第1页共8页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第1页共8页AD与策略方案technical2007-04-1022:00:27阅读250评论0字号:大中小订阅AD与策略方案一、域的简介(DCPROMO)1、域是最小的管理单位,树是一个或多个WIN2003域的层次组合,树中的域共享连续的名称空间和层次的名称和结构。域林是一棵完全独立的域树的逻辑组合,域林中每个域树有不同的名称空间,域林中第一个域树的根域作为这个域林的根域,每个域树的根域与域林的根域之间存在传递信任关系。域林中的所有域共享一个通用的全局目录。全局目录在第一个域控制器上自动创建,用来保存常用的ACTIVEDIRECTORY对象属性2、域有3种模式,混合、本机模式(纯模式)和WIN2003模式。2、一个网络里,如果希望一个用户具有管理用户的权限,它就可以管理整个域中的用户。3、域一般对应公司级别,而OU对应公司部门4、OU是AD中的对象,也是AD中的容器5、OU可以建立USER、GROUP,也可以建立子OU6、OU可以对普通用户授权,具有管理新OU的权限7、OU的创建1、基于管理对象的OU,AD中和种对象分类,每一类对象建立一个或多个OU,如用户、计算机、打印机、共享文件。2、基于地理位置的OU,为每一个地理位置创建OU,包含所有业务,如上海、北京。3、基于业务功能部门的OU,为了和公司组织结构相同,OU可以基于公司内部的各种各样的业务功能部门创建,如销售、研发、市场、人力资源部。4、基于项目的OU,为项目分配相应的资源,如人力、软件、硬件设备。可为项目建立单独的OU,OU中建立相应的对象或将其它OU中的对象移动过来。AD中默认建立一个OU,用来存放域控制器的OU,DOMAINCONTROLLERS,OU图标与其它容器的图标不相同。二、AD建立1、域用户账号2、域用户账号属性3、配置文件:程序项目、屏幕颜色、网络连接、打印机连接、窗口大小和位置。配置文件保存在\DOCUMENTSANDSETTING\USERNAME4、组的实现与管理,GROUP是用户账号的集合,通过一组用户分配权限而不是每个用户分配权限管理的特点。(1)用户加入组继承该组权限(2)用户可加入多组(3)组也可以加入组第2页共8页第1页共8页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第2页共8页5、组的分类(1)安全组A组嵌套在B组中,那么A就有B的权限使用,安全组而不是单独的用户,可简化网络的维护和管理工作,安全组定义资源和对象权限的访问控制列表中。(2)通迅组,只能用作电子邮件的通迅,没有安全方面的功能,可在其中存储联系人和用户账号,只有在电子邮件应用程序中,才能使用通迅组将电子邮件发送给一组用户。6、组的作用域与成员关系(1)通用组成员可包括域树或域林中任何域中的其它组织和账户,可在任何域中指派权限。(2)全局组成员可包括只在其所在域中其它组织和账户,可在林中任何域指派权限。(3)本地域组成员可包括WIN2003、WIN2000、NT域中其它组和账户,只能在其所在域中指派权限。7、三种域的介绍(1)本地作用域:1、组可以加到其它本地域的组,并且仅在域中有权限。2、组不把具体本地域作用域的其它组作为其成员就可转为通用作用域。3、当域功能被设置为WIN2000混合时,域组成员可包括来自任何域的账户4、当域功能级别被设置为WIN2000或WIN2003时,本地域组的成员可包括来自任何域的的账户、全局组或通用组,以相同域的本地域组。(2)全局作用域:1、当域功能级别被设置为WIN200本机或WIN2003时,全局组的成员可包括来自相同域的账户或全局组。2、当域功能级别被设置为WIN2000混合时,全局组的成员可包括来自相同域的账户。3、组可被加到其它组并且在任何域中指派权限。4、只要组不是具有全局作用域的任何其他组的成员,就可以转换为通用作用域。(3)通用作用域:当域的功能级别被设置为WIN2000或WIN2003时,通用组的成员可包括来自任何域的账户、全局组和通用组。当域功能级别被设置为WIN2000混合时,不能创建具有通用组的安全组。当域的功能级别被设置为WIN200本或WIN2003时,组可以被加到其它组并在任何域中指派权限。组可以转换为本地域作用域,只要组中没有其它通用组作为其成员,就可以转换为全局作用域。二、域的...
