Windows 2000/XP网络组建与系统管理 李燕 中南分校

第六章 管理活动目录 本章着重阐述在活动目录中怎样创建和管理对象（包括用户和用户组）、怎样控制对活动目录对象的访问和怎样委派对活动目录对象的管理控制。 使读者不仅能够部署、设计、连接和配置Windows 2000 的网络，同时能够对系统进行有效的、合理的管理。

第六章 管理活动目录 Microsoft Windows 2000中的活动目录的目录服务由表示网络资源的对象组成，这些网络资源包括有用户、计算机和打印机等与计算机有关的设备。 当向网络中添加新的资源时，可创建代表这些资源的对象，将资源放入到诸如组织单元(OU)这样的活动目录的对象中，通过管理对象来管理对这些资源的访问。 因此，在Windows 2000中，对系统的管理主要是对活动目录的管理。

用户和用户组的概念 用户的概念 一般意义上的用户，通常是指进入计算机系统并使用计算机和网络中资源的具体的人，每个人在使用系统资源之前必须得到专门建立的拥有一定权限的账户，以便得到操作系统和网络的认可，以及在限定范围内使用资源。 但实际上，Windows 2000并不区别使用资源的是人还是设备或者是调用的程序，因此网络中把使用过程中需要调用的对象的任何过程、机器或者技术都统一

用户和用户组的概念 的被Windows操作系统看成是用户。 不同的对象（人或者计算机）使用网络资源的过程中都必须有一个自己的帐户来登陆系统： 若对象为企业中的个人，系统管理员可以根据其工作的性质和业务范畴赋予每个账户不同的权限，这样做是为了保护系统的资源，同时也保护每个用户个人的资源。 若对象为计算机，为其设定帐户能进行方便有效地识别和连接其他的计算机，才能加入到系统中的一个域。

用户和用户组的概念 用户组的概念 在一个大型的网络系统中，会有非常多的用户来访问网络资源，不同的用户对于资源的范围和访问及操作的要求都不相同，但同一部门、同一级别的用户却有一定的共通性。 为了能对同类型的用户进行成批的管理，以减轻管理的工作量，可以将那些工作性质类似或者操作内容近似的若干用户划分为一个组，称之为用户组。

Windows 2000 提供三种不同的用户账户，即： 用户和用户组的概念 用户和用户账户 Windows 2000 提供三种不同的用户账户，即： 本地用户账户（Local User Accounts），用户可以登录到一台特定的计算机上，访问那台计算机上的资源； 域用户账户（Domain User Accounts），用户可以登录到某一个域上，访问域中的网络资源； 内建用户账户（Built－in Accounts）是操作系统安装时系统自动设置的，主要是为系统管理员设置的具有最高权限级别的管理员账户和为来访客人设置的具有较低权限级别的账户。

本地用户账户（Local User Accounts） 用户和用户账户 本地用户账户（Local User Accounts） 在本地计算机上建立的用户就是本地用户帐户，该帐户只允许用户使用本地资源的权限。 建立此类帐户时，Windows 2000只会在本地的计算机安全数据库中建立该用户帐户的信息，但不会把信息复制到域控制器中去。 一般情况下，不要在加入域的计算机中建立本地帐户，这是因为域管理员无法管理这类帐户，用户也无法通过此类帐户登陆访问域中资源。

用户和用户账户 域用户账户（Domain User Accounts） 使用域用户帐户登陆的用户可以使用除了本机以外的所有在域范围内的其他的机器上的资源。因此域用户帐户的权限比本地用户帐户来得大。 用户在用这个账户的用户名和口令登录时，Windows 2000 Server用这个账户的用户名和口令对用户的身份进行鉴别，并创建具有用户属性和安全信息的访问令牌，从而确认用户是否可以登录到要访问的服务器上去。

用户和用户账户 当我们在域控制器上AD（活动目录）中建立了域用户帐户以后，域控制器会将用户信息复制到其他的域控制器中。 通常将域用户帐号信息复制到其他的域控制器需要花一点时间，在这段时间里面用户在其他的域控制器上可能会无法正常登陆。 但当复制完成以后，所有域树型结构中的域控制器都可以在用户登陆期间替用户进行验证。

内建用户账户（Built－in Accounts） 用户和用户账户 内建用户账户（Built－in Accounts） 在安装Windows2000时一并安装的用户帐户称为内建用户帐户，通常有两类，他们是：系统管理员Administrator和来宾帐户Guest。 ◇ Administrator：该帐户为初次安装Windows 2000 Server系统后的预设系统管理员，因此具有无上权力。他可以为整个域或者计算机做设置。 该帐户可以更名但无法删除，也无法Disable。

◇ Guest：该帐户作为偶尔需要使用域帐户存取资源权力的帐户，也就是未在系统中建立固定帐号的人暂时使用，只具有很有限的权限。 。 用户和用户账户 ◇ Guest：该帐户作为偶尔需要使用域帐户存取资源权力的帐户，也就是未在系统中建立固定帐号的人暂时使用，只具有很有限的权限。 。 该帐户亦不能删除，但可以更名，也可以Disable。在默认状态下，Guest帐户是停用的，如果需要使用该帐户，可以选择启用该帐户。 一般情况下，为了安全考虑，不推荐启用Guest帐户。

组和内置组 当安装好Windows 2000 Server以后，系统会自动建立一些用户组，通常这些组为了区分系统管理工作的权限所设定，不同的组有不同的资源存取权限。 在大型的网络环境中，由于用户众多，因此需要设置的存取权限也就特别的繁杂。 使用组可以简化网络的维护和管理，在一般情况下，管理员是按组来给用户分配权限，将某个用户添加到某个组时，这个用户就享有那个组的权限。

组和内置组 Windows 2000 Server提供了许多内置的组，并为这些内置组设置了缺省的权限。启动“Active directory用户和计算机”，可以看到 ：

组和内置组

组和内置组 各个内置组的权限和用途归纳如下： l. Administrators组 本组是Windows 2000目录服务中权限最大的一个组，本身具有的权限可以有：  管理员组内的用户有权创建、删除、修改和编辑用户及组账户  修改系统注册表、安装、启动和中止服务  改变文件和目录许可属性

组和内置组  创建和共享资源，如打印机及目录结构等  设定用户配置文件  管理域内的计算机成员  向域内添加服务器和工作站 默认情况下为Administrators组分配的许多权限都被划分到Server Operators组和Account Operators组。

组和内置组 注意： 虽然管理员组享有很高的权限，但是实际上管理员没有可能对域内所有资源都有访问权限。 通过文件和目录许可设置以及远程共享卷的许可设置，可拒绝管理员访问特定的资源。然而，如管理员需要使用他们暂时无法接触的一个资源，可以通过先获得那个资源的所有权。 只有管理员组内的一名成员才能改变另一名管理员的用户属性。

2.Server Operators组 组和内置组  可创建、管理和中止共享卷服务  用本地或网络方式登录到服务器  改变服务器的时钟  锁定服务器或为服务器解锁

组和内置组  格式化服务器的硬盘驱动器  进行服务器备份  创建、管理和中止共享打印机服务  关闭服务器系统  被委托执行涉及服务器管理的许多常规任务

3. Account Operators组 组和内置组  修改密码、变更组成员、创建新的用户和组  修改登录次数  在域内添加NT工作站和NT服务器  重设密码、解除对用户账户的锁定以及对用户进行重命名

Account Operators组的成员通常担负着日常的用户管理职责，应该由单位指定的系统维护员担任，统一管理单位内部的用户账户。 组和内置组  修改配置文件和登录脚本  关闭服务器系统 Account Operators组的成员通常担负着日常的用户管理职责，应该由单位指定的系统维护员担任，统一管理单位内部的用户账户。

4. Print Operators组 组和内置组 打印操作员能创建、管理和共享打印机；通过本地方式登录到服务器；并能关闭服务器系统。能创建的打印机既包括本地打印机，也包括网络共享打印机。

组和内置组 5. Backup Operators组 Backup Operators组成员可通过本地方式登录到服务器，并能关闭服务器系统。 此外，备份操作员组具有某些特殊的权力，可绕过文件和目录许可，对服务器上的所有文件进行备份，其中包括一些他们通常无权访问的文件。极少有真正的用户成为这个组的成员。大多数情况下，只有具有服务ID的用户才能是这个组的成员。 

6. Users组 组和内置组 Users组成员可以操作计算机和保存文档，但不能安装程序以及对系统文件和设置进行有可能具有破坏性的改变。 用户组不能访问一个受委托域内的资源。尽管这个组的成员可登录到其他域，但不能访问除明确赋予权限以外的其他任何资源。

7. Guests组 8.Replicator组 组和内置组 在默认情况下，来宾组没有任何权限，而且只能是一名成员(来宾)。 除非专门为其授予了资源的访问权限，否则这个组的成员除了能登录到域之外不能做任何事情。  8.Replicator组 Replicator组是为“目录复制”服务提供一个登录服务账户，支持域中文件复制。

组和内置组 小结： 虽然直接向用户分配对资源的访问权限是可能的，但实际操作中的情况是，通过组成员关系来分配对资源的权限，并通过将用户放在具有适当权限的组中从而向用户授予访问权限。 例如，不是向用户A授予访问财务部文件的权限，而是向财务组中成员授予访问财务部文件的权限，然后把A放入组中，A才具有访问财务部文件的能力。

计算机账户 计算机也是AD（活动目录）中的一类重要对象，它们在访问活动目录中的网络资源的时候也需要事先获得授权的帐户。 设置计算机账户是为了能对网络中的计算机进行有效的管理。 与用户账户相似，计算机账户也是用来审核计算机登录网络以及访问与中资源的过程。合法的用户从合法的计算机上才能登录到Windows 2000域中。

创建和管理活动目录对象 管理组织单元 在活动目录中是通过管理活动目录对象来管理用户账户、计算机账户、组织单元和域等。 Windows 2000在活动目录的逻辑结构中设置了组织单元(OU)， 由于OU中可以再嵌入OU，每个OU都可以映射成是企业中的一个小的部门。层层嵌套，可以一直映射到不可再分解的最小的部门，从而可以映射多层次的组织机构。 在活动目录域中，为了实现按层次进行管理，可以创建一个用来管理和授权的OU组成的层次组织。

管理组织单元 组织单元（OU）是被看作是活动目录容器对象，可用来组织活动目录中代表用户的网络资源的对象，如用户账户和计算机账户，也能包含其他OU。 OU帮助用户为用户的域规定管理界限。用户可以扩展一个由容器构成的分层结构来模拟用户的组织结构或管理需要。建立以后还必须允许用户来授权对许多用户账户、组或其他资源的管理控制。通过这样做可以对OU和它们包含的对象进行授权管理控制。

管理组织单元 1．添加组织单元 用户必须有父容器(域或OU)上的“读取”、“显示内容”和“创建组织单元对象”权限，才能在那一个容器内创建OU。 在缺省情况下，管理组成员有在任何地方创建OU的权限。 创建一个OU的执行步骤如下： (l) 从“管理工具”菜单中打开“活动目录用户与计算机”，再右击希望在其中创建新OU的容器

管理组织单元

管理组织单元 (2) 指向“新建”，然后单击“组织单元”

管理组织单元 (3) 在对话框中输入OU的名称，然后单击“确定”。

如图所示：添加完成。用户不能在Users，Computers和Builtin中创建OU或对它们应用组策略 管理组织单元 如图所示：添加完成。用户不能在Users，Computers和Builtin中创建OU或对它们应用组策略

管理组织单元 2．修改组织单元的属性 OU的属性涉及到对OU的一些描述和OU链接的组策略，因此在添加了新的OU后，应立即设置和修改OU的属性。 修改的步骤如下： 1）右击要设置属性的OU名称，点击快捷菜单中的“属性”，就会弹出OU的属性对话框。

管理组织单元

管理组织单元 属性对话框中有三个选项卡，即“常规”、“管理者”、和“组策略”。

管理组织单元 (1) “常规”选项卡 在“常规”选项卡中可以填写对该组织单元的描述（如简介等信息）以及它所在的详细地址（包括省、市、街道和邮政编码等）。

管理组织单元 （2） “管理者”选项卡 在“管理者”选项卡中可以为组织单元指定一个负责人。选择了一个管理人后，选项卡中的其它有关个人信息的选项会自动地从该管理人账户的属性中获得。

管理组织单元 单击 “更改”按钮就会弹出一个对话框，其中列出了Users组中的所有用户和联系人，以供选择。可以通过这种方法来更改不同的管理者。

管理组织单元   （3）“组策略”选项卡 “组策略”选项卡如图所示，该选项卡可用于为OU制订一个与之链接的组策略对象。

管理组织单元 对于新添加的OU，“组策略”选项卡中没有任何组策略对象可供链接，此时可单击“新建”按钮，为该OU设置一个新的组策略对象。

管理组织单元 如果系统中已有现有的组策略对象，可以单击“添加”按钮，为该OU设置一个现有的组策略对象。

管理组织单元 3．修改组织单元的名称 可能由于机构的变化需要修改OU的名称，因为OU的名称一般是与某一机构相对应。修改组织单元的名称有两种方法: 一种方法是右击要修改其名称的OU，点击快捷菜单中的“重命名”，即可修改OU的名称。 另一种方法是像在资源管理器修改文件名那样修改OU的名称，即对被修改的OU连击两次，即可修改，但不同于双击，两次之间的时间间隔要长一些。

管理组织单元

管理组织单元

管理组织单元

管理组织单元 4．移动组织单元 如果组织单元的位置放错了或者企业的机构发生了变动，就有可能需要在组织单元的树中移动组织单元。组织单元可以在树中的同一级中移动，也可以在不同级中移动。 移动组织单元的方法是在控制台书中右击需要移动的组织单元，在快捷菜单重点击“移动”，然后点击要移入的位置（OU或子OU）。

管理组织单元

管理组织单元 选中新建的“CAD开发部”以后选择“移动”，然后在出来的对话框里面选择要移动去的地方，选择“技术部”。

管理组织单元 结果如图所示，移动成功。

管理用户帐户 在建立了域和OU以后，就应该建立用户账户，根据需要可以在一个域的下面或者在一个OU中建立账户。 用户账户用来验证用户和授予权限来获得对网络资源的访问。 管理员可以用“活动目录用户和计算机”在任何可用的域控制器上建立新的账户。 创建了账户就意味着目录进行了更新，域控制器会按照复制的周期和时间表将更新的内容复制到域中所有其他的域控制器中。

1、添加用户帐户 管理用户帐户 添加用户账户时，必须首先选择在哪个OU中创建用户账户。 可以在域级别建立账户，但是这样做会限制用户的授权选项并增加管理用户网络的复杂性。 添加一个用户账户的步骤如下： (l) 从“管理工具”菜单中打开“活动目录用户与计算机”。

管理用户帐户 (2) 右击希望在其中建立用户账户的域或者OU，指向快捷菜单中的“新建”。然后单击“用户”，就会弹出 “创建用户(Create User)”对话框。

“创建用户(Create User)”对话框如图所示 管理用户帐户 “创建用户(Create User)”对话框如图所示

管理用户帐户 (3) 在“创建用户”对话框中，需要为此账户指定一些名称： “名(First name)”和“姓(Last name)”是在定位用户账户时的搜索操作中可能用到的用户账户属性。用户为这两个属性所指定的值在森林中的任何级别都不要求是唯一的。 “名称(Name)” 是用户的全名，活动目录把它显示为用户账户名。这个名称在用户创建用户账户的容器内必须是唯一的。

管理用户帐户 每个用户账户都有一个用户主名(UPN)，它由“用户登录名(UserLogonName)”和一个UPN后缀组成。UPN后缀(一个未标志的下拉列表框)缺省显示域树中根域的DNS名，用户可以选择列表中的任何域作为UPN后缀。 “下层登录名(Down level logonname)”用来从运行Windows以前的版本，例如：WindowsNT4.0或Windows NT 3.51的计算机登录。这个名称在域中必须是唯一的。

“下一步”修改用户密码和相关属性权限设置。 管理用户帐户 “下一步”修改用户密码和相关属性权限设置。

添加成功！观察右半边的窗口，可以看到用户已生成。 管理用户帐户 添加成功！观察右半边的窗口，可以看到用户已生成。

管理用户帐户 2、查看和修改用户帐户属性 管理员创建的每个用户账户都与一些缺省的属性有联系。在活动目录中执行查寻任务时会用到这些属性。因此，用户应为创建的每个域用户账户提供详细的属性定义。 打开一个用户账户的“属性”对话框，显示每个选项卡上的属性。在创建一个域用户账户以后，可以配置私人和账户属性、登录选项及拔号设置。

管理用户帐户 右击需要设置属性的账户，点击“属性”，对话框中的选项卡包含关于每个用户账户的信息。

管理用户帐户 “常规”选项卡对话框 可以修改用户的显示名称、描述信息和基本联系方式等，以方便管理员的管理。

管理用户帐户 “账户”选项卡

管理用户帐户 “登录时间”按钮是用来指定用户能够登录的时间,比如可以指定用户在每一周内的哪些天的哪个时间段内才能使用网络。 “账户” 选项卡中间的“账户选项”复选框列表可以指定有关密码规则和一些其他安全性方面的规则。 在选项卡底下还可以指定账户是永远不过期还是在多长时间后就过期。通过设置账户在一段时间后过期,管理员可以定期对所有用户的资格进行审核,以确定他们是否能继续使用网络资源。

管理用户帐户 “配置文件 ”选项卡

管理用户帐户 “配置文件”主要用来指定用户操作系统环境,在工作过程中如果用户对操作系统环境进行改变,那么配置文件也会发生相应的变化。 如果管理员在服务器上为用户设置一个配置文件并在该选项卡中指定它的路径,则无论用户从哪一台计算机上登录都能获得一模一样的桌面环境。

管理用户帐户 “登录脚本”是一个保存在服务器上批处理文件或者可执行文件,它会在用户登录到域时自动下载到客户机并在客户机上运行。利用这种文件,管理员将可为用户统一映射网络驱动器,使客户机时钟与服务器的时钟同步,显示用户须知等等。

管理用户帐户 “主文件夹”是指用户登录以后的默认目录,比如在保存文档时,如果用户不指定路径,那么该文档将会保存到主文件夹中。 管理员可以在用户自己的计算机上为他们分配一个主文件夹,也可以在服务器上创建一个主文件夹。如果用户希望将重要的数据保存到自己的主文件夹中,那么最好还是在服务器上创建主文件夹。这样,用户才能使自己的文件经常都能在服务器上随同其他文件一起得到备份。

管理员可以在这个界面中将用户添加到指定的组中,或者从包含该用户的组中删除它。 管理用户帐户 “成员属于 ”选项卡 管理员可以在这个界面中将用户添加到指定的组中,或者从包含该用户的组中删除它。

管理用户帐户 将用户添加到某个组的方法

管理用户帐户 取消隶属关系的方法：在“隶属于”列表中选择一个组，然后单击“删除”按钮将用户从该组中删除，该组也就在“隶属于”列表中消失。 值得注意的是，如果已将某个组设置为该用户的主要组,则不能从该组中删除该用户,只有将另一个组设为主要组之后才能删除。要将某个组设为该用户的主要组,可以先在列表中选中该组,然后单击“设置主要组”按钮。

管理用户帐户 3．复制用户账户 可以拷贝一个现有的域用户账户，以便简化创建新的域用户账户的过程，但这需要先创建一个可用作模板的账户，配置所需的设置信息，关闭账户，然后再需要创建新用户时拷贝这个账户。 用复制的途径创建新用户账户的方法如下： 1）在“活动目录用户和计算机”上，右击需要复制的用户账户，再单击“复制”。

管理用户帐户

管理用户帐户 （2）在“拷贝对象-用户”对话框中，为新用户账户输入用户名和用户登录名，再单击“下一步”。 （3）输入口令并确认，设置口令需求，再单击“下一步”。 （4） 验证新用户账户信息，再单击“完成”。

管理用户帐户 复制完成，结果如图所示。

管理用户帐户

管理用户帐户 4. 修改用户账户密码 系统不允许通过修改账户属性来修改用户账户密码，因此用户忘记了自己的账户密码而不能登录,管理员应能为他重新设置一个新的账户密码。 修改的方法是在该用户账户名称上单击鼠标右键,然后在弹出的快捷菜单中选择“重设密码”即可。 选择“重设密码"菜单项后,这时屏幕上会出现“重设密码”对话框, 在该对话框中,为该用户输人一个新的账户密码并确认该新密码。若同时选中“用户下次登录时须更改密码"复选框,这样当用户以该新密码登录后系统会要求该用户马上更改密码。

管理用户帐户

管理用户帐户

管理用户帐户 5. 修改用户账户名称 从账户属性对话框中的“常规”选项卡中只能修改用户的姓名,而无法修改账户名称。 若要修改某个用户账户的名称,可在该用户账户名称上单击鼠标右键,然后在弹出的快捷菜单中选择“重命名”即可。 另一种更方便的途径是,在该用户账户上连续单击两次。注意,不是双击鼠标,要比双击鼠标的间隔稍微长一些。

6. 移动用户账户 在“活动目录用户和计算机”中,可以将某个用户账户移动到同一个域中的其他容器中。 管理用户帐户 为了移动用户账户，可在某个用户账户上单击鼠标右键,然后在弹出的快捷菜单中选择“移动”, 在出来的对话框中,展开其中的目录树,选择一个移动用户账户的目的位置,然后单击“确定”。 这样,该用户账户就移动到指定的目的容器中。

管理用户帐户

管理用户帐户

管理用户帐户 将用户“刘平”移动到技术部中，完成！

管理计算机账户 计算机账户可用来验证和审核计算机并授予其权限来获得对网络资源的访问，在这一点上它与用户账户相似。 运行Windows 2000或Windows NT 4.0的客户计算机必须有一个有效的计算机账户才能加入域。 建立计算机账户与建立用户账户有许多相似之处，例如禁用/启用账户、移动账户、重命名账户等。

1、添加计算机帐户 管理计算机账户 可以在任何可用域的控制器上用“活动目录用户和计算机”来创建一个新的计算机账户。 建立账户以后，活动目录会把它复制到域中其他全部域控制器上。 建立计算机账户时，必须首先选择要在哪个容器中建立计算机账户。可以在域级别建立计算机账户，但这样做会限制用户委派选项并增加管理用户网络的复杂性。

管理计算机账户 建立计算机账户

管理计算机账户 在对话框输入计算机名。 需要注意的是：计算机名在森林中必须是唯一的。

管理计算机账户 2．查看和修改计算机账户属性

管理计算机账户

管理计算机账户

管理计算机账户

3．管理计算机 管理计算机账户 在计算机账户建立以后，管理员可以对这个计算机账户进行远程管理。 管理的方法是在在控制台目录树中右击该计算机账户名称，就会弹出快捷菜单，选择“管理”，就可以通过“计算机管理”控制台窗口如同管理本地计算机一样管理远程计算机。

管理计算机账户 计算机帐户 “管理”的操作

管理计算机账户

移动和定位对象 移动对象 当企业的组织机构或业务职能发生变化时，网络的逻辑结构也应相应地改变，这就有可能将某些对象从一个部门移到另一个部门。例如，需要在OU之间移动对象。 在OU间对象移动时，对象的权限遵循下述规则： 直接授予对象的权限保持不变； 任何从以前OU继承的权限不移动，对象从新的OU继承权限。

定位对象 移动和定位对象 系统为用户提供了下述几种查找对象的方法： (1) 用“活动目录用户和计算机”中的“查找”来寻找对象。 (2) 用“开始”菜单上的“搜索” 来寻找对象。 (3) 用“Windows资源管理器”中的“搜索”来寻找对象。 (4) 用“我的网络位置”中的“搜索”来寻找对象。

移动和定位对象

移动和定位对象

管理组 组是可包含用户、计算机和其他组的活动目录或本机对象。使用组可以控制和管理用户和计算机对活动目录对象及其属性、网络共享位置、文件、目录、打印机等共享资源的访问，还可以向一组用户发送电子邮件。 　　在Windows 2000域中，组根据其类型可以分为安全组（Securiy Group）和分发组（Distribution Group ），根据其范围又可以分为全局组（Global Group）、域本地组（Domain Local Group）和通用组（Universal Group）。组的类型决定组可以管理哪些类型的任务，组的范围决定组可以作用的范围。

组的类型 安全组 安全组主要是用来设置权限用的，例如：可以设置某个安全组对某个文件具备“读取”的权限。使用安全组可以定义资源和对象权限的目录访问控制表（Directory Access Control List , DACL），控制和管理用户和计算机对活动目录对象及其属性、网络共享位置、文件、目录和打印机等资源和对象的访问。 安全组中的成员会自动继承其所属安全组的所有权限。

分发组 组的类型 安全组具有分发组的全部功能，也可用作电子邮件实体。当向安全组发送电子邮件时，会将邮件发给安全组的所有成员。 分发组一般用于组织用户。使用分发组可以向一组用户发送电子邮件，由于它不能用于与安全有关的功能，不能列于资源和对象权限的目录访问控制列表（DACL）中。因此，只有在电子邮件应用程序（如Exchange）中才用到分发组。

域本地组 组作用域 从组的使用领域（范围）来看，Windows 2000域内的组可以分为三个组：域本地组、全局组和通用组。 域本地组主要是用来指派在所在域内的访问权限，以便可以访问该域内的资源。 特性如下： 域本地组内的成员，能够包含任何一个域内的用户帐户、通用组、全局组；它也能够包含同一个 域内的域本地组；但它无法包含其他域内的域本地组。

组作用域 域本地组只能够访问同一个域内的资源，无法访问其他域内的资源；即在某个计算机上设置权限时，只可以设置同一个域内的本地域组的权限，但是无法设置其他不同域内的域本地组的权限。

全局组 组作用域 主要是用来将多个权限相似的用户帐户加入到同一个全局组内。 特性如下： 全局组内的成员，只能够包含该组所属的域内的用户帐户与全局组，即能够将同一个域内的用户帐户与其他全局组加入到全局组内。

组作用域 全局组可以访问任何一个域内的资源，即可以在任何一个域内设置某个全局组的使用权限（这个全局组可以是在同一个域内。也可以是在另一个域内），以便让此全局组具备权限来访问该域内的资源。

通用组 组作用域 特性如下： 通用组的成员，能够包含任何一个域内的用户帐户、通用组、全局组。但是它无法包含任何一个域内的域本地组。 通用组主要是被用来指派在所有域内的访问权限，以便可以访问每一个域内的资源。 特性如下： 通用组的成员，能够包含任何一个域内的用户帐户、通用组、全局组。但是它无法包含任何一个域内的域本地组。 通用组可以访问任何一个域内的资源，即可以在任何一个域内设置通用组的权限，以便让此通用组具备权限来访问该域内的资源。

选择一个组作用域 组作用域 全局目录中保留了一个通用组成员的列表。全局和域本地组虽然也被在全局目录中列出，但它们的成员未被列出。 每个通用组成员的变化都会被复制到所有全局目录服务器上。通过尽量减少通用组的使用，用户减小全局目录的大小，从而减少由复制全局目录而带来的网络上的流量。

组作用域 考虑把通用组成员限于其他组，而不包括用户账户。这样就允许用户通过调整通用组成员的组来调整通用组成员的用户账户。因为这样做不直接影响通用组成员，所以不会产生复制流量。 限制通用组的使用还能在资源位于不同域时帮助用户减小访问令牌的大小。

AGDLP策略： 添加组 使用全局组和域本地组的策略 （1）把用户帐户放入全局组中。 （2）把全局组放在域本地组中。 （3）为此域本地组授予资源权限。

添加组 AGDLP策略体现了在域环境下的管理思想，它提供了较强的逻辑性和灵活性，同时又降低了网络分配权限的复杂性。 当在目录林中有多个域，不同域的用户帐号需要访问某个域中的特定资源时，这个策略更能显示出其优越性。按照这个原则进行权限分配时，管理员可以有一个比较强的逻辑遵循原则，避免造成权限混乱。

添加组 创建组

添加组 向组中加入成员或组

修改组 改变组类型 当域为本机模式时，可以把一个组从安全组改变为分布组或从分布组改为安全组。 当域是混合模式时，用户不能改变组的类型。

修改组

修改组 改变组作用域 当一个组的业务职能发生变化时，可能需要改变这个组的作用域。 例如，某一个组原来只能访问一个域的资源，即为域本地组，现因工作上的需要，要让这个组能访问所有域的资源，这就需要将这组的作用域由原来的域本地组改为通用组。只有在本机模式下才可以改变一个组的作用域。

修改组 在改变组作用域时有下列限制： (1) 把一个全局组改为通用组，只有当这个全局组不是其他全局组的成员时，才能作此改变。 (2) 把一个域本地组改为通用组，只有当这个域本地组不包括其他域本地组时，才能作此改变。

删除组 修改组 当不需要某个组时，可以删除它。删除一个组时，用户只是删除了这个组及与其有关的权限和权力，而不删除此组成员的用户账户。 用户创建的每个组都有一个唯一的、不可再度使用的标识符，此标识符称为安全标识符(SID)。Windows 2000用SID来鉴别一个组以及授予它的权限。当用户删除了一个组时，Windows 2000就不会再使用那个组的SID。即使用户用相同的名称重新创建了一个组，Windows2000也不会再用那个SID。因此，用户无法通过创建新组来恢复对资源的访问。

管理本地组 本地组的作用是用域实现对本地资源的访问。只有在服务器成员上以及运行Windows 2000 Professional 的计算机上才能创建本地组。 当域本地组没有被创建用来提供对本地计算机资源的访问时，单个用户就会创建本地组来实现对本地计算机资源的访问。利用本地组只能赋予对本地计算机资源的访问的权限。本地组不能是任何其他组的成员。

管理本地组 新建本地组的操作

权限控制 在活动目录中所有的资源都定义为对象，对对象的访问有严格的权限控制。 每个对象都有一个安全描述符来规定谁有权限来访问此对象及允许访问的类型。Windows 2000用这些安全描述符来控制对对象的访问。 为了简化管理，用户可以把有相同安全要求的对象组织到一个OU中。然后用户就可以为整个OU和其中全部对象授予访问权限。

权限控制 安全描述符包含两个用于为每个对象指派和跟踪安全信息的访问控制列表 (ACL)：目录访问控制列表 (DACL) 和系统访问控制列表 (SACL)。 目录访问控制列表 (DACL)。 DACL 标识已被指派或拒绝对某个对象的访问权限的用户和组。如果 DACL 未明确标识某个用户或用户所属的任何组，则该用户将被拒绝访问此对象。在默认情况下，DACL 由对象的所有者或创建此对象的人控制，它包含决定此对象的用户访问权的访问控制项 (ACE)。

权限控制 • 系统访问控制列表 (SACL)。 SACL 标识当其成功访问或未能访问某个对象时要审核的用户和组。审核可用来监视与系统或网络安全相关的事件、标识违反安全情况，以及确定任何损害的范围和位置。在默认情况下，SACL 由对象的所有者或创建此对象的人控制。SACL 包含访问控制项 (ACE)，它决定是否记录用户使用给定权限（例如，“完全控制”和“读取”）访问对象时的成功或失败尝试。

权限控制

安全选项卡定义了对象哪些类型的权限被分配给了哪些用户和组。 权限控制 安全选项卡定义了对象哪些类型的权限被分配给了哪些用户和组。 下面是一些公共的权限： 完全控制：完全控制对象，包括读取、写入、获得所有权、执行和更改权限的能力。 读取：查看对象和对象属性，如果对象是一个可执行文件，那么还可以执行该对象。 写入：保存对对象的更改。 读取电话和邮件选项：阅读与对象有关的电话和邮件

权限控制 信息（适用于用户和组对象）。 写入电话和邮件选项：写入与对象有关的电话和邮件信息（适用于用户和组对象）。 创建所有子对象：在当前对象内部创建对象（适用于OU、域以及类似的容器对象）。 删除所有子对象：删除当前对象内的对象（适用于OU、域以及类似的容器对象）。 管理复制拓扑：用来管理复制拓扑（适用于域）。

权限控制机制： 活动目录权限 ① 允许用户控制：谁能访问单个对象或对象性质以及用户允许的访问类型。 ② 用户可以用权限来给一特定用户或组分配对一个OU、一个OU组成的分层结构或一个简单对象的管理特权。

活动目录权限 1、权限的管理 一个用户要想访问某个对象，必须预先被授予访问这个对象的权限，并设定访问的类型，如果没有被授予访问这个对象的权限或者虽然具有权限但访问的类型不对，访问就会遭到拒绝。 Windows 2000为活动目录中每个对象存贮了一个用户访问权限列表，此列表被命名为目录访问控制列表(DACL,Directory Access Controll List)。一个对象的DACL列出了谁能访问此对象及每个用户能在此对象上进行的特殊操作。

活动目录权限 不同类型的对象提供给用户的可选的权限是不同的，能够提供什么可选的权限取决于该对象本身的特性。 例如，一个用户对象中有“重新设置口令(Reset Password)”权限而一个打印机对象就不存在此权限。

2、用户拥有的权限和多权限的概念 活动目录权限 一般说来，为了简化管理，一个用户是作为某个组的成员，这个组拥有的权限也就是这个组的成员所拥有的权限。 允许一个用户同时作为多个分别具有不同权限的组的成员，而对于某一个对象每个组的访问权限是不同的。这就形成了一个用户拥有多权限的情况。 实际上，为了系统的安全和因为业务上的需要，使用多权限是有益处的。

例如： 活动目录权限 某一个用户承担着网络系统管理的任务，同时又承担着一个职能部门的业务管理任务，那么这个用户应该至少同时是两个组的成员。 1、作为Administrators组的成员； 2、作为某一个域本地组或者全局组或者通用组的成员。

3、允许和拒绝权限 活动目录权限  用于兼顾权限的一般性和特殊性 一个用户是作为某个组的成员，这个组拥有的权限也就是这个组的成员所拥有的权限。这样一来，一个组中所有的用户账户的权限都是相同的。 但实际上在一个系统中，有可能因为业务职能的需要，一个组中的某一个账户需要授予这个组中别的账户所没有的某一权限选项，或者需要对这个账户取消这个组中别的账户都有的某一权限选项。

活动目录权限  让管理员根据情况决定是否让某个拥有权限的用户能够行使其权力。 活动目录提供了这种功能，在活动目录中，管理员可以允许或拒绝权限。被拒绝的权限比用户在其他方面允许用户账户和组所具有的任何权限都有优先权。 如果管理员拒绝了一个用户对一个对象访问的权限，那么即使他是一个允许权限组的成员，他也不会有那一权限。

活动目录权限  不能拒绝所有用户的访问 应该注意，要保证对所有对象都至少有一个用户有完全的控制权限。不这样做可能会导致一些对象不可访问，甚至使用“活动目录用户和计算机”的管理员也可能无法访问。

4、标准权限和特殊权限 活动目录权限 作用：减轻管理员设置权限的工作量。 管理员可以在对象上设置标准和特殊权限。 标准权限是最经常被授予的权限，它们由特殊权限组成。特殊权限为用户提供了对对象访问控制的更好办法。 例如，标准“写入”权限由“写全部属性”、“作为成员添加/删除自己”和“读取”权限组成。

大部分对象可用的标准权限 对象权限 允 许 用 户 完全控制 改变权限和拥有所有权，再加上进行其他标准权限所允许的操作。 读取 查看对象及对象性质、对象所有者和活动目录权限。 写入 改变对象属性 创建所有子对象 向一个OU中添加任何类型的子对象。 删除所有子对象 从一个OU中删除任何类型的子对象。

权限继承 权限继承 当管理员授予权限时，用户可以选择把权限应用到子对象上，这样就能把权限传到给定对象的全部子对象上。 用户界面中的继承的权限的复选框会变暗来显示那个权限是继承的。 继承可以使 Active Directory 中某个容器对象中定义的访问控制信息应用到任何次对象上。这样就消除了每次创建子对象时都要应用权限的需要。

权限继承 禁止权限继承 活动目录提供了禁止权限继承的功能，管理员可以针对某个子对象设定禁止权限继承，这样子对象就不能从父对象继承权限。当管理员禁止继承时，只有明确地授予那个对象的权限才有用。 在对象的“属性”对话框中的“安全”选项卡中可以设定禁止权限继承。

权限继承 对于禁止权限继承的子对象，Windows 2000允许管理员采用下述两种方法之一设置子对象的权限： 将父对象的权限拷贝到此对象上，再在此基础上作必要的修改。 删除此对象以前继承的权限。然后，根据用户的需要，此对象授予新的权限。

授予活动目录权限 添加或改变权限

授予活动目录权限 查看权限 注意： 要尽量避免授予对对象的特定属性权限，因为这样可能会使系统管理变得复杂，甚至可能导致错误。

授予活动目录权限 修改继承后的权限

改变对象所有权 对象所有权的概念 在活动目录中，每个对象都有一个所有者。创建对象的人自动成为被创建的对象的所有者。所有者有权控制访问对象的权限，即确定访问对象的权限和谁访问对象。 管理员可以获得任何对象的所有权，并且可以改变此对象的权限。如果管理员组的成员创建了一个对象或得到了所有权，那么管理员组就是所有者而不仅是此组的单个成员是所有者。

改变对象所有权 所有权的改变 在系统的使用、管理和维护的过程中，有时需要改变对象的所有权，这往往是发生在人员调离、升迁等变化的时候，原来的所有者将对象的所有权移交给接替其工作的人。

活动目录对象的委派控制 管理员还可以将管理系统的权限委派给某些组、账户或者下级的管理员，进行这种委派往往是出于下述的目的： 减轻系统管理员在系统管理方面的工作负荷； 按层次级别建立责任人制度，使职能部门的管理员有一定的管理权限； 管理员因故需要委派一个用户代替他行使管理权力； 其它的原因。

活动目录对象的委派控制 使用控制委派向导 在Windows 2000中，管理员可以用MMC中的“控制的委派”向导来完成委派的操作。在需要的时候，管理员可委派下述类型的控制： (1) 委派一个用户在一特定OU中创建或修改对象的权限。 (2) 委派一个用户修改对一对象的属性的特定权限的操作权限，例如授予在用户账户上重新设置密码的权限。

6.4.5 活动目录对象的委派控制

活动目录对象的委派控制 创建自定义管理工具 Windows 2000中的一个新特性是用MMC创建自定义的管理工具的能力。在用户已委派活动目录的一部分的管理控制以后，用户可以创建自己的管理工具集并把它们分给被委派的管理员。 这些自定义的管理工具以.msc文件存放在My Document文件夹里，它们可以被通过e-mail传送、存放在共享文件夹中或张贴在Web页上。它们也可以被分配给有组策略设置的用户、组或计算机。

添加对象属性到全局目录 1、添加属性的原则 当全局目录中现有的属性不足以支持搜索和定位时，就应该向全局目录添加新的属性。 要求添加到全局目录的属性应该符合下述四个条件： (1) 唯一性：属性所对应的信息应该相对于对象是 唯一的，使得属性在搜索时是有效的。例如，性别就不宜作为添加到全局目录的属性。

添加对象属性到全局目录 (2) 可用性：属性的信息容易获取。 (3) 静态性：属性的信息不轻易改变或者从不发生变化。例如，职工的出生日期就是静态信息。 (4) 信息量小：这个要求是为了便于搜索，同时也为了减少复制流量。

添加对象属性到全局目录 2、激活活动目录架构 在向全局目录添加属性之前，需要激活架构。

添加对象属性到全局目录

MMC的功能和访问选项 MMC的功能概述 MMC（Microsoft Management Console）：微软管理控制台。

MMC的功能和访问选项 实际上，MMC并不执行管理功能，它只是一种可以根据需要有选择地集成管理工具中各种管理单元的界面，只有向其中添加了系统的组件，才能让用户执行相应的管理。 系统管理员可以使用MMC创建、保存或打开管理工具以便管理硬件、软件和 Windows 系统的网络组件。 可以添加到控制台的主要工具类型称为管理单元。

MMC的功能和访问选项 控制台访问选项 使用 MMC 有两种常规方法：用户模式、作者模式。 在用户模式中，用已有的 MMC 控制台管理系统；

MMC的功能和访问选项 用户模式依次有 “完全访问”、“受限访问，多个窗口”和“受限访问，单一窗口”三个级别，它们允许不同级别的访问和功能。

MMC的功能和访问选项 两种模式的区别： 1、权限不同。 用户模式：通过选择一种用户模式选项，可以排除用户可能不需要的创作功能。

MMC的功能和访问选项 2、更改保存的控制台的方法不同。 作者模式：关闭控制台时会提示保存所做的更改。 用户模式：如果没有选中“不要保存更改到此控制台”复选框（它可以通过单击“控制台”菜单中的“选项”来获得），那么当关闭控制台时所做更改会自动被保存。

MMC的功能和访问选项 在下述三种情况下，将忽略控制台的默认模式并且控制台以作者模式打开： (1) 打开控制台时 MMC 已经打开。 (2) 通过快捷方式菜单命令“作者”打开控制台。 (3) 在命令提示符下用“/a”选项打开控制台。

MMC的功能和访问选项 MMC控制台

MMC的功能和访问选项 管理单元 管理单元是 MMC 控制台的基本组件。管理单元总在控制台中，但不能自己运行。当安装了一个组件，在运行 Windows 的计算机上有与之关联的管理单元时，管理单元对于任何在该计算机上创建控制台的人员都可用（除非受用户策略的限制）。 MMC 支持两种类型的管理单元：独立管理单元和扩展管理单元。

MMC的功能和访问选项 A、独立管理单元：通常称为管理单元，可以将独立管理单元添加到控制台树中，而不用先添加另外的项目。 B 、扩展管理单元：通常称为扩展，扩展一般只能添加到已有独立或扩展的管理单元的控制台树中。当启用管理单元的扩展时，它们操作由管理单元控制的对象，如计算机、打印机、调制解调器或其他设备。

打开MMC和保存的控制台文件 创建和使用MMC 打开MMC 开始 运行 键入“mmc” 回车 完整的MMC命令行语法是： mmc path\filename.msc [/a] 命令是启动 MMC 并打开保存的控制台。这里是指出保存的控制台文件的完整路径和文件名。 如果没指定控制台文件，MMC 将打开新控制台。

创建和使用MMC 为新的 MMC 控制台添加项目

创建和使用MMC 设置MMC中的组策略 (1) 对计算机用户启用组策略

创建和使用MMC (2) 启用域组织单元的组策略 要为域设置 MMC 或管理单元策略，必须使用配置为域控制器的计算机，而且必须是该域的管理员或有相等权力。 (3) 设置策略 可以为用户、组或组织单元设置策略来限制或允许访问指定的管理单元。