|
在Windows2000中用户可以在活动目录用户和计算机管理工具中实现建立用户帐号、计算机帐号、组、安全策略等项。它可以用于建立或编辑网络中的用户、计算机、组、组织单位、域、域控制器、以及发布网络共享资源。活动目录用户和计算机管理器是安装在域控制器上的目录管理工具,且用户可以在Windows2000
Professional 中安装它的管理工具,以便利用客户机对活动目录进行远程管理。
本章介绍了Active Directory用户和计算机的常用管理工具的使用:
1. 账户、组、组织机构相关的基本概念
2. 用户和计算机账户的配置与管理
3. 组的创建和管理
4. 组织机构的添加与管理
5. 资源的发布和搜索
6. 域和域间信任的管理
7.1 基本概念
活动目录用户和计算机管理器中的帐号标识的是一个物理实体如计算机或用户,计算机和用户的帐号在它们登录到网络或访问域中的资源时提供安全信任。帐号可以用于:
§ 验证计算机或用户的身份
§ 允许访问域中资源
§ 审核用户或计算机帐号的活动
7.1.1
用户帐号
用户帐号能够让用户以授权的身份登录到计算机和域中并访问其中资源。用户帐号也可以作为某些软件的服务帐号。
7.1.2 计算机帐号
每一个运行 Windows 2000 和 Windows NT 的计算机在加入到域时都需要一个计算机帐号,就象用户帐号一样,被用来验证和审核计算机的登录过程和访问域资源。
7.1.3
组
组是可包含用户、联系人、计算机和其他组的 Active Directory 或本机对象。使用组可以:
§ 管理用户和计算机对 Active Directory 对象及其属性、网络共享位置、文件、目录、打印机列队等共享资源的访问。
§ 筛选器组策略设置
§ 创建电子邮件通讯组
有两种类型的组:
§ 安全组
§ 通讯组
安全组用于将用户、计算机和其他组收集到可管理的单位中。为资源(文件共享、打印机等等)指派权限时,管理员应将那些权限指派给安全组而非个别用户。权限可一次分配给这个组,而不是多次分配给单独的用户。使用组而不是单独的用户可简化网络的维护和管理。
通讯组只能用作电子邮件的通讯组。不能用于筛选组策略设置。通讯组无安全功能。
任何时候,组都可以从安全组转换为通讯组,反之亦然,但仅限于域处于本机模式的情况下。域处于混合模式时不能转换组。下表总结了域模式对组的作用。
7.1.4
组作用域
每个安全组和通讯组均具有作用域,该作用域标识组在域树或树林中所应用的范围。有三类不同的作用域通用、全局和域本地。
|
通用作用域
|
全局作用域
|
域本地作用域
|
在本机模式域中,可将其成员作为来自任何域的帐户、来自任何域的全局组和来自任何域的通用组。 |
在本机模式域中,可将其成员作为来自相同域的帐户和来自相同域的全局组。 |
在本机模式域中,可将其成员作为来自任何域的帐户、全局组和通用组,以及来自相同域的域本地组。 |
在本机模式域中,不能创建有通用作用域的安全组。 |
在本机模式域中,可将其成员作为来自相同域的帐户。 |
在本机模式域中,可将其成员作为来自任何域的帐户和全局组。 |
组可被放入其他组(当域处于本机模式时)并且在任何域中指派权限。 |
组可被放入其他组并且在任何域中指派权限。 |
组可被放入其他域本地组并且仅在相同域中指派权限。 |
不能转换为任何其他组作用域。 |
只要它不是有全局作用域的任何其他组的成员,则可以转换为通用作用域。 |
只要它不把具有域本地作用域的其他组作为其成员,则可转换为通用作用域。 |
7.1.5
内置和预定义组
安装域控制器时,部分默认的组安装于 "Active Directory 用户和计算机"控制台的"内置"和"用户"文件夹中。这些组是安全组并且代表一些公用的权利和权限集合,可用于将某些角色、权利和权限授予用户放入默认组的帐户和组。
有域本地作用域的默认组放在"内置"文件夹中。有全局作用域的预定义组放在"用户"文件夹中。可将内置和预定义组移动到域中的其他组或组织单位文件夹,但不能将它们移动至其他域。
内置组:
放入"Active Directory 用户和计算机"的"内置"文件夹中的默认组为:帐户操作员
、管理员 、备份操作员 、来宾 、打印操作员 、复制器 、服务器操作员、用户 。下表显示了这些组拥有的默认权利:
| 用户权利 |
允许 |
在默认情况下分配有此权利的组 |
| 从网络访问该计算机 |
连接到网上的计算机。 |
管理员、每个人、超级用户 |
| 备份文件和文件夹 |
备份文件和文件夹该权利将取代文件和文件夹权限 |
管理员、备份操作员 |
| 旁路遍历检查 |
即使用户没有访问父文件夹的权限,也可在文件夹之间移动以访问文件。 |
每个人 |
| 更改系统时间 |
设置计算机内部时钟的时间。 |
管理员、超级用户 |
| 创建页面文件 |
该权利无效。 |
管理员 |
| 调试程序 |
调试各种底层对象,例如线程。 |
管理员 |
| 从远程系统强制关机 |
关闭远程计算机。 |
管理员 |
| 增加调度优先级 |
提高进程的执行优先级。 |
管理员、超级用户 |
| 加载和卸载设备驱动程序 |
安装和删除设备驱动程序。 |
管理员 |
|
|
内置组:(续表)
| 本地登录 |
通过计算机键盘在计算机上登录。 |
管理员、备份操作员、每个人、来宾、超级用户和用户 |
| 管理审计和安全日志 |
指定需要审计的资源访问(诸如文件访问)类型,并且查看和清除安全日志。该权利不允许用户设置系统审计策略。管理员组的成员始终可以查看和清除安全日志。 |
管理员 |
| 修改固件环境变量 |
修改存储于支持此类配置的计算机非易失内存中的系统环境变量。 |
管理员 |
| 图示单独的进程 |
用图表的形式显示某个进程的情况(性能数据采集) |
管理员、超级用户 |
| 图示文件系统性能 |
用图表的形式显示计算机的情况(性能数据采集) |
管理员 |
|
内置组:(续表)
| 还原文件和文件文件夹 |
恢复备份文件和文件文件夹该权利将取代文件和目录权限 |
管理员、备份操作员 |
| 关闭系统 |
关闭
Windows 2000 |
管理员、备份操作员、每个人、超级用户和用户 |
| 取得文件或其他对象的所有权 |
取得文件、文件夹、打印机和计算机上(或连接在计算机上)的其他对象的所有权。该权利将取代保护对象的权限。有关文件和文件夹权限的信息。 |
管理员 |
预定义组:
放在"Active Directory 用户和计算机"的"用户"文件夹中的预定义组有:组名称 、证书发行者 、域管理器 、域计算机 、域控制器
、域来宾 、域用户 、企业管理员 、组策略管理员、架构管理员 。可使用这些有全局作用域的组将该域中各种类型的用户帐户(普通用户、管理员和来宾)收集到组中。然后这些组可以放入该域和其他域中有域本地作用域的组。
7.1.6
特殊身份
除"内置"和"用户"文件夹中的组以外,Windows 2000 Server 还包括几种特殊身份:为方便起见,这些身份通称为组。这些特殊组没有用户可修改的特别成员身份,但是它们能根据环境在不同时间代表不同用户。这三个特殊组为:
§ 每个人
代表所有当前网络的用户,包括来自其他域的来宾和用户。无论用户何时登录到网络上,它们都将被自动添加到 Everyone 组。
§ 网络
代表当前通过网络访问给定资源的用户(不是通过从本地登录到资源所在的计算机来访问资源的用户)。无论用户何时通过网络访问给定的资源,它们都将自动添加到网络组。
§ 交互
代表当前登录到特定计算机上并且访问该计算机上给定资源的所有用户(不是通过网络访问资源的用户)。无论用户何时访问当前登录的计算机上所给的资源,它们都被自动添加到交互组。
7.1.7
组对网络性能影响
用户登录到 Windows 2000 网络时,Windows 2000 域控制器决定用户属于哪个组。Windows 2000 创建安全令牌并将其指派给用户。安全令牌列出了用户帐户
ID 和用户所属的所有安全组的安全 ID。组成员身份可能影响网络性能,由于:
§ 登录的影响
建立安全令牌需要时间,所以用户所属的安全组越多,生成这个用户安全令牌的时间越长,并且该用户登录到网络的时间也越长。造成这一影响的程度将随着网络带宽以及处理登录过程的域控制器的配置而变化。
有时,用户可能想创建只用于电子邮件的组,并不准备使用该组将权利和权限指派给它的成员。为提高登录性能,可创建类似通讯组的组而非安全组。
§ 有通用作用域的组的复制
对存储在全局编录中的数据的更改将复制到树林的每个全局编录中。有通用作用域的组及其成员列在全局编录中。有通用作用域的组的一个成员更改时,整个组成员身份都必须复制到域树或树林中的所有全局编录中。
具有全局或域本地作用域的组也列在全局编录中,但未列出其成员。这将会减小全局编录的大小,并且明显减少需要随时更新全局编录的复制通信量。可通过为经常更改的目录对象使用具有全局或域本地作用域的组来提高网络性能。
§ 网络带宽
每个用户的安全令牌都被发送到用户访问的每台计算机,以使目标计算机能够对照该计算机上所有资源的权限列表比较包含在令牌内的所有安全 ID,从而决定用户在该计算机上是否有相应的权利或权限。目标计算机还检查令牌中的任何安全
ID 是否属于目标计算机上的任何本地组。
用户所属的组越多,其安全令牌就越大。如果用户的网络有大量用户,这些大型安全令牌对网络带宽和域控制器处理能力的影响非常明显。
返回页首>>>
|
