第6章活动目录的配置与管理(编辑修改稿)

第6章活动目录的配置与管理(编辑修改稿)内容摘要：

前缀 如： user1 后缀 如： 完整就是： 后缀默认是根域的域名 使用用户主名的优点是当你将一个用户移动到另一个域时 ， 无需改动它的登录方式 ， 因为用户首选名在 AD 中惟一可以与用户的电子邮件一致。 @ 后缀 前缀 第 6章 活动目录的配置和管理 2） 用户登录名 （ 兼容早期系统 ） 提供使用早期客户系统的用户使用，该名字就是用户的账户，如同用户主名中的前缀 注意：用户登录名和用户登录主名前缀这两者可以不同 + 用户 域 nzy user1 第 6章 活动目录的配置和管理 显示名称 用户主名 用户登录名 对象类型 第 6章 活动目录的配置和管理 用户账户的创建 （ 1）创建新用户账户注意事项 1）命名约定： 用户登录名和全称必须是惟一的 用户登录名： 最多可以包含 20 个字符 可以是大小写字母或者是数字 一些关于处理重复名字的建议： 可以使用用户名和姓的首字母 可以使用用户账户来识别临时雇员 第 6章 活动目录的配置和管理 2）密码注意事项： 必须给管理员账户分配复杂的密码 决定是由管理员还是由用户来控制密码 让用户们知道如何使用难以被猜到的复杂密码 避免使用有明显关联的密码，比如你的姓 使用长密码 使用大小写字母和非字母数字字符的组合 第 6章 活动目录的配置和管理 3）用户账户选项 ： 为只需要在特定时间访问的用户设置登录时间 设置用户可以从哪些计算机登录 默认情况下，用户可以使用域中除了域控制器外的任何一台计算机登录到域 也可以设置用户仅能使用他们自己的计算机登录到域 可以为用户账户设置过期日期 第 6章 活动目录的配置和管理 （ 2）建立域用户账户 用 Administrator账户登录，然后使用“ Active Directory用户和计算机”控制台来建立域用户账户。 该控制台位于域控制器，若想在客户端使用，要安装管理工具，方法：运行安装光盘的\i386\。 建立域用户账户的步骤如下： 1）打开“ Active Directory用户和计算机”控制台，双击域名 () ,用鼠标右键单击组织单位“ jxx”，从弹出的快捷菜单中选择“新建” → “用户”命令。 出现“新建对象 用户”对话框 ，如图 所示。 第 6章 活动目录的配置和管理 图 “新建对象 用户”对话框 第 6章 活动目录的配置和管理 图 设置密码 2） 输入 “ 姓 ” 、 “ 名 ” 及 “ 用户登录名 ” ， 单击 “ 下一步 ” 按钮 ， 将出现如图 “ 设置密码 ” 对话框。 第 6章 活动目录的配置和管理 4） 在 “ 密码 ” 与 “ 确认密码 ” 文本框中输入用户账户的密码。 两个文本框中的内容必须相同。 密码最多为 128个字符 ， 密码是区分大小写的 ，例如 abcde与 ABCDE是不同的密码。 5） 单击 “ 下一步 ” 按钮后 ， 显示用户账户的有关信息 ， 检查用户信息是否正确 ， 若不正确可以单击 “ 上一步 ” 按钮 ， 重新设置 ， 否则单击“ 完成 ” 按钮 ， 完成用户账户的创建。 第 6章 活动目录的配置和管理 创建用户主要名称后缀 当我们的用户主名后缀和根域的域名有出入的情况下，我们可能就需要添加用户主名后缀 ,方法是： 通过“管理工具”中的“ Active Directory 域和信任关系”，打开“ Active Directory 域和信任关系”管理单元，右击“ Active Directory 域和信任关系”选择“属性”进行设置。 第 6章 活动目录的配置和管理 添加新的后缀 第 6章 活动目录的配置和管理 用户帐户的管理 （ 1）设置域用户账户的属性 双击要设置的用户账户，打开“属性”对话框，如图 ，即可进行设置。 1）输入用户个人信息 所谓“用户个人信息”，就是指姓名、地址、电话、传真、移动电话、公司、部门、职称、电子邮件、 Web页等，可通过“常规”和“地址”选项卡进行设置，常规选项卡如图。 第 6章 活动目录的配置和管理 图 “属性”对话框 第 6章 活动目录的配置和管理 2） 设置用户账户信息 图6.10“账户”选项卡 第 6章 活动目录的配置和管理 图6.11“登录时段”窗口 在图 “ 登录时间 ” 按钮 ， 出现图 的窗口 ， 可设置允许用户登录到域的时段 ， 默认情况是用户可以在任何时段登录到域。 第 6章 活动目录的配置和管理 图6.12置允许登录的工作站 在图 “ 登录到 ” 按钮 ， 显示 “ 登录工作站 ”对话框 ， 如图 ， 限定用户登录的计算机。 第 6章 活动目录的配置和管理 在 “ 账户选项 ” 列表框中可以对用户账户的登录密码等进行设置。 在 “ 账户过期 ” 中可以设置账户的有效期限 ，默认为账户永不过期 ， 选择 “ 在这以后 ” 单选框 ，并在其后的文本框中输入一个日期 ， 可限定账户过期的时间。 第 6章 活动目录的配置和管理 默认用户配置文件 – 作为所有用户配置文件的基础 本地用户配置文件 – 在用户第一次登录计算机时创建 – 存储在本地计算机上 用户 配置文件 显示 区域设置 鼠标 声音 修改 保存 3） 设置配置文件属性 单击 “ 配置文件 ” 选项卡 ， 可以指定 “ 配置文件的路径 ” 、 “ 登录脚本 ” 和用户 “ 主文件夹 ”的位置。 ① 用户配置文件定制与用户设置 用户配置文件类型： 第 6章 活动目录的配置和管理  漫游用户配置文件  由系统管理员创建  存储在服务器上  强制用户配置文件  由管理员创建  存储在服务器上 配置文件 Windows 20xx 客户端 Windows 20xx 客户端 Windows 20xx 客户端 配置文件 服务器 显示 区域设置 鼠标 声音 第 6章 活动目录的配置和管理 创建漫游用户配置文件 ： ①服务器上创建一个共享文件夹 ②指定该共享文件夹的路径 创建 强制用户配置文件： ①在服务器上创建一个包含配置文件文件夹的共享文件夹 : \Profiles\user1 ② 设置一个配置好的 漫游用户配置文件 ：创建用户 User1，配置文件指向 \ Profiles\user1，以用户 User1登录，修改桌面设置，然后注销。 ③以管理员身份登录，将文件 重命名为 第 6章 活动目录的配置和管理 ② 通过创建主文件夹来管理用户数据 在决定主文件夹位置时，应该考虑以下几点： – 备份和恢复能力 – 服务器上有足够空间 – 用户计算机上有足够空间 – 网络性能 在网络文件服务器上创建主文件夹，必须执行以下 3 个任务： – 创建并共享一个文件夹 – 更改 “ 完全控制 ” 权限 – 提供该主文件夹路径 \Home User1 User2 User3 第 6章 活动目录的配置和管理 用户账户的最佳实践 对内置的 Administrator 账户重命名 创建一个用户账户并授予该账户管理员权限 创建一个用户账户用于执行非管理任务 只在安全性要求较低的网络中启用 Guest 账户 为所有新用户账户创建随机的初始密码 总是要求新用户在第一次登录网络时更改他们的密码 为临时雇员设置用户账户截止日期 第 6章 活动目录的配置和管理 图6.13管理用户的快捷菜单 （ 3） 域用户账户的管理 打开 “ Active Directory 用户和计算机 ” 控制台 ， 用鼠标右键单击要管理的用户账户 ， 打开如图 菜单 ， 然后选择相应的命令来管理域用户账户。 第 6章 活动目录的配置和管理 组账户的管理 组的类型 Windows 20xx中组的类型有两种：安全式和分布式。 1）安全式组：安全式组可以用来设置网络中的访问权限。 2）分布式组：分布式组不能设置网络中的访问权限，而只能用在与安全 (权限的设置等 )无关的任务上，例如，可以将电子邮件发送给某个分布式组。 第 6章 活动目录的配置和管理 组的作用域 在 Windows 20xx域内 ， 每个安全式组和分布式均具有三种不同的作用域：全局 、 本地域和通用。 1） 全局组 成员：只能够包含该组所属的域内的用户账户与全局组。 权限：全局组可以访问任何一个域内的资源。 2） 本地域组 成员：任何一个域内的用户账户 、 通用组 、 全局组；同一个域内的本地域组。 权限：本地域组只能够访问同一个域内的资源。 3） 通用组 成员：任何一个域内的用户账户 、 通用组 、 全局组。 权限：可以访问任何一个域内的资源。 第 6章 活动目录的配置和管理 组类型 安全式组 可以被授予权限 可以使用它们向多个用户发送电子邮件消息 分布式组 不可以被授予权限 可以使用它们向多个用户发送电子邮件 消息 组作用域 全局组作用域 使用这种组作用域来组织有 相似网络访问要求的用户 本地域组作用域 授权访问该本地域组的域中的资源 通用组作用域 授权访问多个域中的相关资源 第 6章 活动目录的配置和管理 访问权限 组 访问权限 用户 访问权限 用户 分别为每个用户授予权限 一次性的为组授予对共享 资源的访问权限 代替了 访问权限 用户 当将一个用户账户添加为组的成员时，该账户就被授予了该组拥有的所有权限 一个用户账户可以是多个组的成员 组和计算机也可以作为某个组的成员。