AD与策略方案VIP免费

第1页共8页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第1页共8页AD与策略方案technical2007-04-1022:00:27阅读250评论0字号：大中小订阅AD与策略方案一、域的简介（DCPROMO）1、域是最小的管理单位，树是一个或多个WIN2003域的层次组合，树中的域共享连续的名称空间和层次的名称和结构。域林是一棵完全独立的域树的逻辑组合，域林中每个域树有不同的名称空间，域林中第一个域树的根域作为这个域林的根域，每个域树的根域与域林的根域之间存在传递信任关系。域林中的所有域共享一个通用的全局目录。全局目录在第一个域控制器上自动创建，用来保存常用的ACTIVEDIRECTORY对象属性2、域有3种模式，混合、本机模式（纯模式）和WIN2003模式。2、一个网络里，如果希望一个用户具有管理用户的权限，它就可以管理整个域中的用户。3、域一般对应公司级别，而OU对应公司部门4、OU是AD中的对象，也是AD中的容器5、OU可以建立USER、GROUP，也可以建立子OU6、OU可以对普通用户授权，具有管理新OU的权限7、OU的创建1、基于管理对象的OU，AD中和种对象分类，每一类对象建立一个或多个OU，如用户、计算机、打印机、共享文件。2、基于地理位置的OU，为每一个地理位置创建OU，包含所有业务，如上海、北京。3、基于业务功能部门的OU，为了和公司组织结构相同，OU可以基于公司内部的各种各样的业务功能部门创建，如销售、研发、市场、人力资源部。4、基于项目的OU，为项目分配相应的资源，如人力、软件、硬件设备。可为项目建立单独的OU，OU中建立相应的对象或将其它OU中的对象移动过来。AD中默认建立一个OU，用来存放域控制器的OU，DOMAINCONTROLLERS，OU图标与其它容器的图标不相同。二、AD建立1、域用户账号2、域用户账号属性3、配置文件：程序项目、屏幕颜色、网络连接、打印机连接、窗口大小和位置。配置文件保存在\DOCUMENTSANDSETTING\USERNAME4、组的实现与管理，GROUP是用户账号的集合，通过一组用户分配权限而不是每个用户分配权限管理的特点。（1）用户加入组继承该组权限（2）用户可加入多组（3）组也可以加入组第2页共8页第1页共8页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第2页共8页5、组的分类（1）安全组A组嵌套在B组中，那么A就有B的权限使用，安全组而不是单独的用户，可简化网络的维护和管理工作，安全组定义资源和对象权限的访问控制列表中。（2）通迅组，只能用作电子邮件的通迅，没有安全方面的功能，可在其中存储联系人和用户账号，只有在电子邮件应用程序中，才能使用通迅组将电子邮件发送给一组用户。6、组的作用域与成员关系（1）通用组成员可包括域树或域林中任何域中的其它组织和账户，可在任何域中指派权限。（2）全局组成员可包括只在其所在域中其它组织和账户，可在林中任何域指派权限。（3）本地域组成员可包括WIN2003、WIN2000、NT域中其它组和账户，只能在其所在域中指派权限。7、三种域的介绍（1）本地作用域：1、组可以加到其它本地域的组，并且仅在域中有权限。2、组不把具体本地域作用域的其它组作为其成员就可转为通用作用域。3、当域功能被设置为WIN2000混合时，域组成员可包括来自任何域的账户4、当域功能级别被设置为WIN2000或WIN2003时，本地域组的成员可包括来自任何域的的账户、全局组或通用组，以相同域的本地域组。（2）全局作用域：1、当域功能级别被设置为WIN200本机或WIN2003时，全局组的成员可包括来自相同域的账户或全局组。2、当域功能级别被设置为WIN2000混合时，全局组的成员可包括来自相同域的账户。3、组可被加到其它组并且在任何域中指派权限。4、只要组不是具有全局作用域的任何其他组的成员，就可以转换为通用作用域。（3）通用作用域：当域的功能级别被设置为WIN2000或WIN2003时，通用组的成员可包括来自任何域的账户、全局组和通用组。当域功能级别被设置为WIN2000混合时，不能创建具有通用组的安全组。当域的功能级别被设置为WIN200本或WIN2003时，组可以被加到其它组并在任何域中指派权限。组可以转换为本地域作用域，只要组中没有其它通用组作为其成员，就可以转换为全局作用域。二、域的...