Presentation is loading. Please wait.

Presentation is loading. Please wait.

第 8 章 規劃與建立群組.

Similar presentations


Presentation on theme: "第 8 章 規劃與建立群組."— Presentation transcript:

1 第 8 章 規劃與建立群組

2 本章重點 8 - 1 安全性群組的種類 8 - 2 建立與維護群組 8 - 3 認識內建群組 8 - 4 指派使用者權利

3 規劃與建立群組 網域資源(檔案、印表機等等)的存取權限雖然可以直接指派給使用者帳戶, 但是在實務上, 針對每一個帳戶指派權限是沒效率的作法, 也不容易維護。 有鑑於此, 於是產生了群組(Group)的概念。 通常我們將群組視為由使用者帳戶所組成的集合, 不過實際上, 它還可以包含『其他的群組』、『電腦』和『聯絡人』在內。

4 規劃與建立群組 然而, 因為很少有機會將權限賦予『電腦』;而『聯絡人』又不能擁有權限, 所以在實務上, 很少提到後兩種成員。
群組可區分為網域群組和本機群組, 而網域群組又區分為以下兩種: 安全性群組(Security Group) 如同使用者帳戶一樣, 安全性群組也具有一個獨一無二的 SID, 因此我們可以把權限指派給它, 如此會使得該群組的成員都擁有這個群組具有的權限。

5 規劃與建立群組 發佈群組(Distribution Group)
發佈群組沒有 SID, 因此不能賦予權限。它主要是用來將成員的電子郵件位址組成電子郵件清單, 寄信給該清單就等於寄信給清單內的所有成員。 其角色相當於 Microsoft Exchange Server 的電子郵件發送清單(Distribution List)。

6 規劃與建立群組 至於本機群組就很單純, 沒有安全性群組與發佈群組之分, 一律都是安全性群組。
一般而言, 系統管理員著重的是『安全性群組』, 因此本章也以它為重點。 若無特別註明, 在後文中的群組都是指安全性群組!

7 8 - 1 安全性群組的種類 Windows Server 2008 的安全性群組都有其『群組領域』(Group Scope), 群組領域是指這個群組的『影響範圍』, 牽涉到以下 3 件事: 1. 能獲得那個網域資源或樹系資源的權限。 2. 能隸屬於哪個網域或樹系的群組。 3. 能包含那個網域或樹系的使用者帳戶及群組。

8 安全性群組的種類 根據群組領域的不同, 安全性群組區分為以下 3 種:
網域本機群組(Domain Local Group):群組領域為『網域本機』(Domain Local)的群組。 全域群組(Global Group):群組領域為『全域』(Global)的群組。 萬用群組(Universal Group):群組領域為『萬用』(Universal)的群組。

9 建立群組的策略

10 網域本機群組 網域本機群組可以包含以下 4 種成員:
同樹系任何網域的使用者帳戶。 同樹系任何網域的全域群組。 同樹系任何網域的萬用群組 同網域的網域本機群組。 雖然網域本機群組幾乎可以包含所有類型的成員, 然而它的權限範圍只限於同網域(該群組所在的網域)的資源;換言之, 我們只能將同網域資源的權限指派給網域本機群組。

11 網域本機群組 在管理網域資源時, 一般都會把存取權限指派給網域本機群組, 而不會直接指派給使用者帳戶, 如下圖:

12 網域本機群組 以上圖為例, 如果 A、B、C 三位使用者須擁有相同的權限, 則可以先將權限指派給某個網域本機群組, 再將這 3 個帳戶加入該群組中。 這種作法在維護和管理上, 會比直接將資源指派給使用者要好得多。 不過在實際應用上, 我們也可能將隸屬同一部門的使用者先加入全域群組, 然後再將該全域群組加入網域本機群組, 相關的細節請見後文。

13 全域群組 全域群組可以包含以下 2 種成員: 全域群組的權限範圍是整個樹系, 也就是說, 我們可以將樹系內任何資源的權限指派給全域群組。
同網域的使用者帳戶。 同網域的其他全域群組。 全域群組的權限範圍是整個樹系, 也就是說, 我們可以將樹系內任何資源的權限指派給全域群組。

14 全域群組 在實際應用上, 我們通常以全域群組來集合需要相同權限的使用者帳戶。
例如:將產品部門的員工都集中加入 Products 全域群組, 再將 Products 網域加入已設定權限的網域本機群組。

15 利用『網域本機群組』+『全域群組』來管理網域
結合已經介紹的網域本機群組及全域群組, 即可用來規劃單一網域的群組架構, 其原則如下(以下的步驟並無先後順序的差別): 把需要相同權限的使用者帳戶加入同一個全域群組, 例如:將產品部門的員工加入『Products』全域群組、會計部門的員工加入『Accountings』全域群組。 把全域群組加入網域本機群組, 例如:將『Products』與『Accountings』加入『Printers』網域本機群組。

16 利用『網域本機群組』+『全域群組』來管理網域
將網域內資源的權限指派給網域本機群組。 例如:將管理印表機的權限指派給『Printers』網域本機群組, 即可讓前述的『Products』群組與『Accountings』群組的成員(亦即產品部與會計部的員工)都能管理印表機。 這種結合網域本機群組及全域群組的規劃方式, 具有以下的優點: 當產品部不需要管理印表機時, 只須將『Products』從『Printers』中移除即可。

17 利用『網域本機群組』+『全域群組』來管理網域
反之, 如果當初『Printers』包含的是個別的使用者帳戶、而非全域群組時, 系統管理員必須一一移除帳戶, 增加管理負擔。 若銷售(Sales)群組與行銷(Marketings)群組也要使用印表機, 只須將它們也加入『Printers』群組即可。 反之, 當初如果將權限直接指派給全域群組, 則必須對『Sales』和『Marketings』逐一設定權限。

18 萬用群組 萬用群組可以包含以下 3 種成員: 同樹系任何網域的使用者帳戶。 同樹系任何網域的全域群組。 同樹系任何網域的萬用群組。 如同全域群組一樣, 萬用群組的權限範圍也是整個樹系, 所以我們可以指派樹系中任何資源的權限給萬用群組。 既然如此, 讀者或許會質疑:何不捨棄全域群組, 直接以萬用群組來管理帳戶呢?

19 萬用群組 就單一網域的觀點來看, 以萬用群組取代全域群組的確是可行的方法;然而, 在多網域的環境, 就會衍生出『增加網路流量』的問題。
在跨網域存取資源時, 會利用 GC(Global Catalog, 通用類別目錄)來查詢資源所在的位置, 所以不同網域的 GC 伺服器需要相互複寫資料, 以確保資料的同步。 萬用群組會把群組名稱及其成員資訊都發佈到 GC 上, 因此一旦其成員變動, 就會觸發 GC 伺服器的複寫動作, 增加網路的流量。

20 萬用群組 而全域群組和網域本機群組都只有群組名稱會記錄於 GC, 群組的成員資訊不會存於 GC, 所以無論其成員如何變動, 都不會因 GC 的內容變更而觸發複寫動作。 因此, 在多網域的環境, 為了避免增加網路流量, 利用全域群組來組織帳戶還是有其必要性, 不宜用萬用群組取代全域群組。

21 群組適用範圍 可加入成員 可隸屬於 權限範圍 萬用群組 (Universal Group) 所有網域內的使用者、全域群組、萬用群組
所有網域的全域群組、網域區域群組 所有網域 全域群組 (Globe Group) 同一個網域內的使用者與通用群組 同一個網域的全域群組、所有網域內的萬用群組 網域區域(本機)群組 (Domain Local Group) 所有網域內的使用者、全域群組、萬用群組;同一個網域內的網域區域群組 同一個網域

22 在多網域環境運用萬用群組 萬用群組存在的目的就是為了簡化多網域的管理工作, 以下我們舉一個實例說明使用萬用群組的好處。
假設旗標公司有台北總部、台中分公司與高雄分公司, 總部及各分公司的財務人員都要能夠存取彼此的財務報表, 在『不使用萬用群組』時, 其群組架構如下圖。

23 在多網域環境運用萬用群組

24 在多網域環境運用萬用群組 在上圖中, 系統管理員必須將各個全域群組加到網域本機群組中, 才能讓所有財務人員都能存取到各分公司的財務報表。
然而, 若在全域群組和網域本機群組之間, 插入萬用群組之後, 所形成的架構如下圖。

25 在多網域環境運用萬用群組

26 在多網域環境運用萬用群組 如上圖所示, 先將各網域的財務人員組成全域群組, 再把這些全域群組加入萬用群組, 然後再將萬用群組加入網域本機群組, 最後則將網域資源的權限指派給網域本機群組。 由於萬用群組並沒有直接包含使用者帳戶, 而只是包含各網域的全域群組, 因此全域群組中的成員異動, 並不會觸發 GC 伺服器的複寫動作。 如此不但簡化對萬用群組的管理, 也可以有效減少因 GC 伺服器複寫所造成的網路負載。

27 在多網域環境運用萬用群組 最後, 我們歸納出以下規劃群組時的原則:
在單一網域內, 將使用者帳戶組成全域群組, 再將全域群組加入已設定權限的網域本機群組, 以獲得相同的權限(倘若以萬用群組取代全域群組亦可)。 在多網域的環境中, 先將使用者帳戶組成全域群組, 再將全域群組加入萬用群組, 最後將萬用群組加入已設定權限的網域本機群組, 以獲得相同的權限。

28 在多網域環境運用萬用群組 儘量不要在萬用群組中包含使用者帳戶。
群組中包含其他群組的巢狀結構不要太複雜, 建議採用單層巢狀結構(One-Level Nesting)即可。

29 群組分類總攬 最後, 我們將 Windows Server 2008 的各種群組彙整如下圖:

30 8 - 2 建立與維護群組 本節將舉例示範如何建立一個稱為『Printers』的網域本機群組, 和『Products』的全域群組, 然後把『Products』加入『Printers』中, 最後將印表機的使用權限指派給『Printers』。

31 建立群組 要新增群組, 請執行『開始 / 系統管理工具 / Active Directory 使用者和電腦』命令, 然後在要建立群組的容器(假設是 Users)按右鈕, 執行『新增 / 群組』命令:

32 建立群組 以同樣的步驟, 在上圖的群組領域區塊中選擇全域單選鈕, 便能夠建立『Products』全域群組, 下圖就是建立這兩個群組後的情形:

33 新增群組的成員 群組的成員可以是使用者或其它群組, 所以我們分別示範新增使用者和新增其它群組的方式, 最後會歸納出一個通則幫助大家記得。

34 將使用者加入群組 新增群組之後, 就可以把使用者加入群組中。
假設要將 Simon 使用者加入 Products 群組, 請在該群組上按右鈕, 執行『內容』命令, 開啟群組的內容交談窗:

35 將使用者加入群組

36 將使用者加入群組

37 將使用者加入群組 或者, 也可以在 Simon 的內容交談窗的隸屬於頁次, 將自己加入群組。請對 Simon 按右鈕、執行『內容』命令:

38 將使用者加入群組

39 將群組加入其它群組 假設要將 Products 全域群組加入 Printers 網域本機群組, 請在『Printers』上按右鈕, 執行『內容』命令:

40 將群組加入其它群組

41 將群組加入其它群組

42 將群組加入其它群組 此外, 也可以從 Products 的內容交談窗將自己加入 Printers 群組。

43 將群組加入其它群組

44 小結 綜合以上所述, 要將『A』(A 可以是使用者或群組)加入『G』群組時, 可以選擇下列任一種方式:
在『G』群組的成員頁次中, 新增『A』的使用者或群組名稱。

45 將權限指派給群組 由於先前建議大家儘量將權限指派給網域本機群組, 因此便以此來示範, 不過同樣的方式仍可適用於指派給其它群組。
假設只要讓『Printers』的成員能夠使用某印表機, 而非所有網域使用者都能使用。 請執行『開始 / 控制 台』命令:

46 將權限指派給群組

47 將權限指派給群組

48 將權限指派給群組

49 重新命名群組 要重新命名群組請參考以下的步驟:

50 重新命名群組

51 重新命名群組 變更群組名稱後, 其 SID 並不會跟著改變, 所以此群組既有的設定及權限, 都不會改變!

52 刪除群組 在刪除群組前請注意, 刪除後即使重新建立相同名稱的群組, 系統會重新指定一個不同的 SID 給新群組, 所以雖有相同的名稱, 實際上是兩個不同的群組, 新群組不會擁有舊群組的權限與設定。 要刪除群組, 請參考下面的步驟:

53 刪除群組

54 8 - 3 認識內建群組 Windows Server 2008 一共有 6 種內建(Built-in)的群組: 內建本機群組
在 Users 的網域本機群組 在 Users 的全域群組 在 Users 的萬用群組 特殊的系統群組

55 內建本機群組 安裝 Windows Server 2008 後, 系統會自動建立內建本機群組(Built-in Local Group), 但是升級為網域控制站時, 其本機群組都會轉換為網域群組。 所以我們只能在獨立伺服器(Standalone Server)和成員伺服器(Memeber Server)等非網域控制站, 才能看到內建本機群組, 而且無法將它們刪除。

56 內建本機群組 要檢視這些內建本機群組, 請執行『開始 / 系統管理工具 / 電腦管理』命令:

57 內建本機群組 有些群組是為了特定功能而存在, 並非每一部伺服器都用得到。因此以下僅介紹較常用到的群組: Administrators:
當獨立伺服器及用戶端加入網域後, 網域的 Domain Admins 全域群組就會自動加入本機的 Administrators 群組中, 因此網域系統管理員就是網域內所有電腦的系統管理員。

58 內建本機群組 Backup Operators:此群組的成員可以登入本機、關機, 以及利用備份程式來備份或還原資料。
Event Log Readers:此群組的成員可讀取本機的事件日誌。 Network Configuration Operators:此群組的成員可修改 TCP / IP 的組態。 Performance Monitor Users:此群組的成員可從本機或遠端檢視即時(Real - time)的效能資料, 或變更顯示內容。

59 內建本機群組 Performance Log Users:此群組的成員具有Performance Monitor Users 成員的所有權限, 而且在獲得登入為批次使用者使用者權利後, 便可以建立與修改資料收集器集合工具。 Power Users:此群組的成員可以安裝應用程式、管理本機使用者帳戶, 以及建立或取消本機的共用資料夾和印表機。 Print Operators:此群組的成員可管理印表機。

60 內建本機群組 Remote Desktop Users:此群組的成員可使用遠端桌面連線登入本機。

61 內建本機群組 當獨立伺服器及用戶端加入網域後, 網域的 Domain Users 群組就會自動加入本機的 Users 群組中, 這也是網域使用者可登入、使用網域中所有電腦的原因(除了網域控制站以外)。 Guests:此群組擁有極少的使用者權利和權限, 其成員所能執行的動作(例如:備份檔案、關機等)須由系統管理員另行指派;而所能存取的資源, 則須視所擁有的權限而定。

62 內建本機群組 我們在維護本機群組時, 會發現『本機群組不能加入其它本機群組』, 所以本機群組的成員通常都是使用者帳戶。
內建停用的 Guest 帳戶就是 Guests 群組的成員。 我們在維護本機群組時, 會發現『本機群組不能加入其它本機群組』, 所以本機群組的成員通常都是使用者帳戶。

63 在 Builtin 的網域本機群組 建立網域之後, 網域控制站原本的內建本機群組會轉變為網域本機群組, 集中到 Builtin 容器內。
這些群組已經具有因應管理需求而產生的使用者權利與權限, 而且我們無法重新命名、移動及刪除它們:

64 在 Builtin 的網域本機群組 其中諸如 Network Configuration Operators、Performance Monitor Users 等群組的功用, 和前面介紹的同名本機群組相似。 只不過其權利和權限範圍可及於網域中的所有電腦, 因此以下只摘要介紹部分內建網域群組。

65 在 Builtin 的網域本機群組 Account Operators:
此群組成員可以登入網域控制站、維護網域使用者帳戶和群組, 但不能變更或刪除 『Administrators、Domain Admins、Account Operators、Backup Operators、Print Operators、Server Operators』等群組及其成員。 Administrators:此群組的成員擁有所有的使用者權利與權限, 對整個網域有最大的控制權。

66 在 Builtin 的網域本機群組 Administrator 帳戶、Domain Admins 全域群組以及 Enterprise Admins 萬用群組, 這 3 者預設是此群組的成員。 Backup Operators:此群組的成員可登入網域控制站, 並有關閉系統、備份資料與還原資料等使用者權利。 Incoming Forest Trust Builders:在樹系根網域才會有這個群組, 此群組的成員可建立另一網域對本網域的連入(Inbound)單向信任關係。

67 在 Builtin 的網域本機群組 Print Operators:此群組的可登入網域控制站及關機, 而且可以新增、移除與設定網域內的印表機。 Server Operators:此群組成員所擁有的使用者權利僅次於 Administrators 群組, 包括登入網域控制站、關機、備份資料、還原資料、變更系統時間和與從遠端系統強制關機等等。 Users:預設每一位網域使用者帳戶都是此群組的成員。此群組的成員可以登入網域內所有非網域控制站電腦, 以及存取網路上的共用資源, 但預設不能變更系統設定。

68 在 Users 的網域本機、全域和萬用群組 除了 Builtin 中的內建本機群組外, 系統還會在 Users 容器中產生內建的網域本機、全域與萬用群組, 這些群組本身大多沒有任何使用者權利與權限, 它們的使用者權利與權限完全依賴加入其它群組。 舉例來說, Domain Admins 群組的使用者權利與權限, 是因為它隸屬於 Builtin 的 Administrators 群組。

69 在 Users 的網域本機、全域和萬用群組 在 Active Directory 使用者和電腦視窗選取 Users 容器, 便能看到內建的網域本機群組、全域群組與萬用群組:

70 在 Users 的網域本機、全域和萬用群組 以下簡介各群組的功用:
Cert Publishers:屬於網域本機群組, 此群組的成員可將數位憑證發行至 AD 中, 專門用於企業認證及更新代理程式。 Domain Admins:屬於全域群組, 專門用來組織網域中具有 Administrator 權限的使用者帳戶。 此群組預設隸屬於 Administrators 本機群組。

71 在 Users 的網域本機、全域和萬用群組 Domain Computers:屬於全域群組, 所有加入網域的電腦都會有自己的電腦帳戶, 而這些帳戶都隸屬於此群組。 Domain Controllers:屬於全域群組, 網域內所有的網域控制站都是這個群組的成員。 Domain Users:屬於全域群組, 預設所有的網域使用者帳戶都是這個群組的成員。 Enterprise Admins:屬於萬用群組, 這個群組只會出現在整個樹系中根網域的 DC, 在子網域的 DC 不會有此群組。

72 在 Users 的網域本機、全域和萬用群組 簡單的說, 此群組的成員有權進行『整個樹系』的管理工作。預設樹系根網域的 Administrator 帳戶隸屬於此群組, 但樹系中其它網域的 Administrator 帳戶則否。 Group Policy Creator Owners:屬於全域群組, 此群組的成員有權建立群組原則。 Schema Admins:屬於萬用群組, 這個群組也只會出現在整個樹系中的根網域。

73 在 Users 的網域本機、全域和萬用群組 簡單的說, 此群組的成員具有編輯 AD Schema 的權限, 預設只有根網域的 Administrator 帳戶為此群組的成員。 DnsAdmins:安裝 DNS 服務的伺服器才會有此群組, 此群組的成員可管理 DNS 服務。 DnsUpdateProxy:安裝 DNS 服務的伺服器才會有此群組, 此群組主要用於 DHCP 伺服器對 DNS 服務進行動態更新。

74 在 Users 的網域本機、全域和萬用群組 系統管理員可以用以上的群組作為範本, 以簡化管理作業。
例如:將某個使用者帳戶加入 Domain Admins 群組, 該使用者就會擁有系統管理員的能力, 不必從頭設定該帳戶的使用者權利與權限。

75 特殊的系統群組 除了先前介紹過的內建群組外, Windows Server 2008 還有一組特殊的系統群組, 稱為內建安全性原則(Builtin Security Principal)。 這些群組只會在指派使用者權利或設定權限時才會出現, 平常在電腦管理與 Active Directory 使用者和電腦視窗看不到它們。 舉例來說:要設定文件資料夾的權限, 請在開始 / 文件上按右鈕, 執行『內容』命令。

76 特殊的系統群組 然後切換到安全性頁次, 按輯編鈕、再按新增鈕、進階鈕後, 再按立即尋找鈕即可看到內建安全性原則:

77 特殊的系統群組 在上圖中出現許多在圖示右上角有『向上紅箭頭』的群組, 它們便是內建安全性原則。
雖然可以指派使用者權利及權限給它們, 但是卻無法刪除這些特別的群組, 也無法查看它們包含哪些成員。

78 8 - 4 指派使用者權利 所謂『使用者權利』(User Right)指的是能否執行某些動作的能力, 例如:能否變更系統時間、能否登入某一部電腦或能否備份檔案等等, 它所影響的範圍是本機。 雖然可以將使用者權利指派給使用者或群組, 但為了管理方便起見, 最好指派給群組, 而避免指派給個別的使用者。

79 認識使用者權利 Windows Server 2008 提供的使用者權利相當多, 但並非所有的權利我們都會用到。
例如有些使用者權利是供程式設計人員開發特殊用途的應用程式時使用, 以下介紹一般人較可能會用到的使用者權利: 從網路存取這台電腦:使用者或群組可經由網路連結到這台電腦上存取資源。 將工作站加入網域:允許使用者將電腦加入網域。

80 認識使用者權利 備份檔案及目錄:可備份系統上所有的資料, 不管該群組或使用者有沒有全部檔案及目錄的讀取權限, 都可以順利進行備份工作。
變更系統時間:可變更系統的日期與時間。 從遠端系統強制關機:使用者或群組可以由遠端系統將這台電腦關機。 載入和釋放週邊設備驅動程式:可以利用控制台安裝或移除驅動程式。

81 認識使用者權利 允許本機登入:可以讓使用者或群組登入這台電腦, 例如網域控制站電腦預設只允許 Administrators、Backup Operators、Print Operators 等群組於本機登入。 管理稽核及安全日誌:可以設定要針對哪些檔案、資料夾等資源做稽核, 並能夠檢視與清除安全事件記錄檔的內容。 還原檔案及目錄:相對於備份檔案及目錄, 這項設定是能夠將備份資料還原至系統的權利。 關閉系統:可關閉電腦的電源。

82 認識使用者權利 取得檔案或其他物件的所有權:可以取得任何資源(磁碟、檔案、印表機等)的擁有權, 有了擁有權就可以對該項物件進行所有的操作。
略過周遊檢查:即使沒有某個目錄的任何權限, 仍然可以切換到該目錄下的子目錄(此動作就稱為『周遊』, traverse)。這種使用者權利在備份資料時就會派上用場。 修改韌體環境值:對一般 x86 電腦而言, 此權利意指可修改上次的良好設定(剛開機時按下 鍵, 開機選單中所列的啟動選項之一)所代表的設定內容。

83 認識使用者權利 鎖定記憶體分頁:可以將某些重要的資料鎖定在記憶體中, 防止它們被搬移到虛擬記憶體中(Pagefile.sys)。 例如 SQL Server 可能就需要這樣的權利, 如此可將經常用到的資料鎖定在實體記憶體中, 提高查詢效率。 在網域中, 可以利用群組原則管理編輯器來指派使用者權利;對於沒加入網域的電腦, 則可以在本機安全性原則視窗來指派本機的使用者權利, 以下分別說明。

84 在網域中指派使用者權利 以下示範如何將『登入網域控制站』的使用者權利賦予 Domain Users 群組。
請執行『開始 / 系統管理工具 / 群組原則管理』命令, 然後操作如下:

85 在網域中指派使用者權利

86 在網域中指派使用者權利

87 在網域中指派使用者權利

88 在網域中指派使用者權利

89 在網域中指派使用者權利 之後關閉群組原則管理編輯器視窗, 按開始鈕, 輸入 "gpupdate"、按 Enter 鍵即可。

90 指派本機的使用者權利 假設要指派本機的關閉系統使用者權利給自訂的『MyLocal』本機群組, 請執行『開始 / 系統管理工具 / 本機安全性原則』命令:

91 指派本機的使用者權利

92 指派本機的使用者權利

93 指派本機的使用者權利

94 指派本機的使用者權利 重新啟動電腦之後, 以上指派的使用者權利便會生效。


Download ppt "第 8 章 規劃與建立群組."

Similar presentations


Ads by Google