以下操作均在Windows Server 2008 R2系統中實現,客戶端也是使用window 7來模擬,和實際中客戶端可能會有所不同);
很多企業都會用到域環境來實現管理,域的實際應用非常廣泛。下面我們講解在域環境下如何管理用戶帳戶和組。在講解過程中我們會涉及到用戶帳戶、計算機帳戶、組和OU等對象。
一、域用戶帳戶的特點;
和本地用戶帳戶不同,域用戶帳戶保存在活動目錄中。由於所有的用戶帳戶都集中保存在活動目錄中,所以使得集中管理變成可能。同時,一個域用戶帳戶可以在域中的任何一臺計算機上登錄(域控制器除外),用戶可以不再使用固定的計算機。當計算機出現故障時,用戶可以使用域用戶帳戶登錄到另一臺計算機上繼續工作,這樣也使帳號的管理變得簡單。
二、管理工具;
要對域中的用戶和計算機等對象進行管理,我們要使用“Active Directory用戶和計算機”管理工具。該工具在我們安裝了活動目錄後會被添加到管理工具中,我們可以在管理工具裏找到它。
打開後如圖所示,在窗口的左邊,可以看到我們創建的域。按左邊的“+”號展開該域
展開後可以找到“users”管理單元,點擊後在右邊就可以看到一些內置的用戶帳號和組。當系統安裝了活動目錄後,原來的本地用戶和組帳號都沒有了,這些對象會變成域用戶帳號和域本地組,並被放在該“users”管理單元內。
三、組織單元(OU);
在域中有很多的對象,包括用戶帳戶、組、共享文件夾和共享打印機等。這些對象都是集中存儲在活動目錄中並使用“AD用戶與計算機”管理工具來進行管理。但如果這些大量的對象都放“users”管理單元內進行管理,會帶來一定的不便,例如不便於查找、難於設置策略等。所以爲了更好的組織和管理這些對象,引入的“OU”的概念。OU又叫組織單位,它是一個容器,主要的作用就是用來組織和管理這些對象的。爲了便於日後的管理,我們一定的設計好OU的結構。OU結構的劃分有幾種不同的方法,例如:
按對象類型來劃分。該劃分方法是創建幾個OU,不同的OU放不同的對象,比如一個OU放用戶帳戶,另一個OU放計算機帳戶等;
按企業的組織結構來劃分。方法是爲不同的部門創建不同的OU,把屬於每個部門的對象都放在一個OU裏,比如財務部的OU放財務部的用戶帳戶、財務部的計算機帳戶和組等,而業務部的OU放業務部的用戶帳戶、業務部的計算機帳戶和組等。這是一種常用的方法;
按地區來劃分。該方法主要用在有分支機構的企業,分別爲不同的分支機構創建不同的OU,然後把屬於該分支機構的所有對象都放在相應的OU裏。比如一個企業有廣州總公司、上海分公司和北京分公司,那麼就分別爲這三個分公司建立三個OU,一個OU放廣州總公司的對象,一個放上海分公司的對象,還有一個放北京分公司的對象;
混合劃分方法。該方法是按組織結構劃分和按地區劃分兩種方法的結合,先爲不同分支機構創建OU,再在不同的分支機構的OU裏按組織結構來創建子OU。這也是一種常用的方法。
要創建一個OU,在“AD用戶和計算機”管理工具裏右擊域名,在彈出的快捷菜單中選擇新建,在子菜單中選擇“組織單位”
在“新建對象 - 組織單位”對話框中輸入組織單位的名稱,例如:XXX公司
按“確定”後完成了一個OU的創建
要在該OU裏創建子OU,右擊該OU,同樣在彈出的快捷菜單中選擇新建組織單位,分別爲不同的部門創建不同的OU,完成後如下圖所示
四、爲用戶創建帳戶
要在OU裏爲域用戶創建用戶帳戶,右擊一個OU,在彈出的快捷菜單中選擇“新建”,並在子菜單中選擇“用戶”
在出現的“新建對象 - 用戶”對話框中,爲用戶分別輸入“姓”和“名”,並在“用戶登錄名”中輸入用戶用來登錄系統的登錄名,該登錄名和電子郵件的地址非常象,如:。前面的姓名是用戶的顯示名,顯示名在同一個OU裏必須是唯一的,而用戶的登錄名在同一個域裏必須是唯一的。
按下一步後進入另一個對話框,該對話框要求爲域用戶輸入一個初始密碼,並確保勾選“用戶下次登錄時須更改密碼”選項。
下一步後按“完成”按鈕完成用戶帳戶的創建。
五、限制用戶能登錄的計算機
在域環境下,一個域用戶帳戶默認是可以登錄到域中任意一臺計算機的(DC除外),這樣爲用戶提供了方便。因爲假設用戶正在使用的計算機出現故障了,需要維修,那麼該用戶可以用他自己的域用戶帳戶在其它計算機上登錄域,繼續完成自己未完成的工作,繼續使用域中的資源而不會受到影響,但工作組卻沒有提供這樣的方便。
但是如果我們需要限制用戶只能使用某些計算機來登錄域,那麼可以通過設置用戶帳戶的屬性來實現。
打開要進行限制的用戶帳戶的屬性,找到“帳戶”選項卡,點擊“登錄到”按鈕
在打開的“登錄工作站”對話框中,可以看到默認的設置是用戶可以登錄到“所有計算機”,要進行限制,選擇“下列計算機”單選按鈕,並在“計算機名”文本框內輸入只允許用戶在其上登錄的計算機名並點擊“添加”按鈕。如果有必要,可以添加多臺計算機。
完成後,該用戶只能在指定的計算機上登錄,而不能在未指定的計算機上登錄到域。
六、限制用戶登錄域的時間
在默認設置下,域用戶可以在任何時間登錄到域,但如果想限制用戶只能在某些時間才允許登錄到域,而其它時間不能登錄到域,比如說公司規定只有在星期一到五的8:00到18:00這段時間可以登錄到域,而其它時間不能登錄到域,則可以通過設置用戶帳戶的屬性來實現。
打開用戶帳戶的屬性對話框,找到“帳戶”選項卡,點擊“登錄時間...”按鈕
在打開的“XX的登錄時間”對話框中,選定特定的時間段,並選擇“允許登錄”或“拒絕登錄”,確定。
七、設置漫遊配置文件
1、什麼是配置文件:
配置文件是用於保存特定用戶工作環境的特殊文件(一組文件)。用戶工作環境包括:用戶的桌面設置、應用程序設置、用戶的“我的文檔”、收藏夾、開始菜單、臨時文件等設置。每個用戶都有屬於自己的配置文件。當一個用戶在一臺計算機上登錄後,默認在計算機的C:盤下有一個“Documents and Settings”文件夾,該文件夾用於保存用戶的配置文件,每個用戶都在該文件夾裏有一個和自己用戶名同名的子文件夾,該子文件夾保存的就是該用戶的配置文件。
2、爲什麼要用漫遊配置文件:
如果用戶需要經常在不同的計算機上登錄,那麼每在一臺計算機登錄,該計算機就會爲該用戶建立一個配置文件,多臺計算機意味着該用戶有多個配置文件,這樣可能會出現這樣一種情況:用戶“U1”在計算機“C1”登錄,然後在“我的文檔”裏保存了一個文件“F1”,然後該用戶註銷後在計算機“C2”登錄,可是當用戶打開“我的文檔”時卻找不到他的文件“F1”。這是因爲在不同的計算機上用戶的配置文件並不一致,該用戶只能回到計算機“C1”的登錄纔可以找回自己的文件“F1”。
另外,用戶在“桌面”或“我的文檔”裏保存的所有文件實際上是保存在本地計算機裏,數據的備份是需要由用戶自己來完成的。然而,並不是所有用戶都知道“什麼是備份”?“如何備份”?
3、漫遊配置文件的優點:
漫遊配置文件是指把用戶的配置文件集中存放在網絡中的某個專用服務器中(文件服務器),當用戶登錄時,系統會自動去尋找該服務器,並找到屬於該用戶的配置文件,然後加載。這時,無論用戶在什麼地方登錄,該用戶都可以使用同一個配置文件,不會出現上述的問題,在任何一臺計算機登錄所獲得的工作環境都是一樣的。同時,由於所有用戶的配置文件集中保存在同一臺服務器中,所以也方便了管理員進行集中的備份,保證數據的安全。
4、爲用戶設置漫遊配置文件
首先要找一臺專用的文件服務器,在該服務器中建立一個文件夾並共享,共享權限設置everyone寫入權限。
然後選擇一個用戶,打開屬性對話框,找到“配置文件”選項卡。在“配置文件路徑”中填入上面建立的共享文件夾的UNC路徑,並在該路徑後跟該用戶的用戶名,以便於把該用戶的配置文件存放在以用戶名命名的子文件夾裏。確定。
這時該用戶在域中任一臺計算機上登錄,該用戶的工作環境都是一樣的。
八、用戶主文件夾
用戶主文件夾是用於給用戶保存文件的主要的地方。用戶可以在“桌面”、“我的文檔”和本地磁盤中保存數據,但當用戶經常需要在不同的計算機上登錄時,用戶的文件可能會分散保存在不同的地方,對用戶使用造成不便,同時也不利於對數據進行備份。當用戶計算機出現故障時,也有可能會造成用戶數據的丟失。
主文件夾是在一臺專用的服務器中,類似於上面的“漫遊配置文件”中的文件夾,用戶的所有數據都可以保存在主文件夾裏,好處是用戶在任何一臺計算機上登錄都可以找到自己的文件,不用擔心用戶計算機的故障會造成數據的丟失,方便管理員對數據進行集中備份等。
爲用戶設置主文件夾的方法和設置漫遊配置文件的方法差不多,也要先在一臺專用的文件服務器上建立一個共享文件夾,並開放everyone寫入權限,然後在用戶屬性對話框中找到“配置文件”選項卡,選中“連接”,選擇一個驅動器符號,在“到:”處寫入共享文件夾的路徑,並在該路徑後加上該用戶的用戶名。確定,完成。
當該用戶登錄後,在“我的電腦”裏會多出一個“網絡驅動器”,該網絡驅動器就是剛纔我們建立的用戶主文件夾。用戶把自己的文件保存到該網絡驅動器裏時,實際上是保存在那臺專用的文件服務器中。
九、組的管理
在域中,組的類型有兩種,分別是“安全組”和“通訊組”。安全組即可以設置權限,也可以收發電子郵件;而通訊組不能設置權限,只能收發電子郵件。
根據組的作用範圍不同,組又分爲“本地域組”、“全局組”和“通用組”三種。
本地域組:作用範圍是該組所在的域內,可以包含的成員包括:所有域的用戶帳戶、全局組、通用組,以及本域的域本地組。
全局組:作用範圍是所有受信任的域,可以包含的成員有:本域的用戶帳戶和全局組。
通用組:作用範圍是所有受信任的域,可以包含的成員有:所有域的用戶帳戶、全局組和通用組。
要新建組,右擊某個OU,選擇“新建”->“組”
在出現的對話框中輸入組的名稱,選擇組的類型和作用範圍,確定即可。(注:只有域功能模式在2000或2003模式才能新建通用組)
要提升域功能級別,右擊域名,在出現的菜單中選擇“提升域功能級別”
在彈出的“提升域功能級別”對話框中,可以看到當前的域功能級別,然後在下面的下拉列表中選擇一個合適的域功能級別,確定。(域功能級別提升後不能返回,是單向的操作)
創建了組以後,就可以把相應的用戶帳號或某些組加入到組裏以方便賦予權限。
十、使用組的策略
在域環境下使用組,一般遵循AGDLP規則,另外還有AGGDLP、AGUDLP、AGGUDLP等規則。
以最常用的AGDLP規則爲例介紹一下用法:
A-用戶
G-全局組
DL-本地域組
P-權限
AGDLP是指把用戶帳號加入全局組,把全局組加入本地域組,然後對本地域組設置權限。
異議問題:
爲什麼不把用戶帳戶加入全局組,然後直接對全局組設置權限?或者把用戶加入本地域組,然後直接 對本地域組設置權限?
1、把用戶加入全局組,然後直接對全局組設置權限
該方法的缺點是:由於全局組只能包括本域的用戶和全局組,如果需要設置其它域的用戶的權限,則必需要單獨設置,如果有多個全局組,則設置權限也要設置多次。
2、把用戶加入本地域組,然後直接對本地域組設置權限
該方法的缺點是:由於本地域組的作用範圍是本地域,如果用戶需要訪問其它域的資源,則需要重新爲該用戶設置權限,如果有多個用戶,則要分別設置多次。
本文出自 “不是路不平,只是你不行!” 博客,轉載請與作者聯繫!