域 用 户 及组账户 的管理 域系统管理员需要为每一个用户分别建立一个用户账户,让用户可以利用这个账户来登录域、访问网络上的资源。系统管理员同时也需要了解如何巧用组,以便有效的管理资源的访问。 本章的主要内容包括: 》域用户账户 》一次同时添加多个用户账户 》域组账户 》提升域功能级别 》组的使用准则 3.1 域用户账户 作为域系统管理员,可以利用“Active Directory用户和计算机”控制台来建立并管理域用户账户。当用户利用域用户账户登录域后,便可以直接连接域内的所有计算机、访问资源。换句话说,域用户在域内的一台计算机上登录成功后,当他们要连接域内的其他计算机时,并不需要再次登录到其他计算机上。这个只需要登录一次的功能,被制为“单一登录”( single sign-on )”。 本机用户账户并不具备“单一登录和”的功能,也就是说利用本机用户账户登录后,当要连接其他计算机时,必须再次登录。 非域控制器的 Wdindows Server2003、Windows XP Professional等计算机默认没有"Active Directory 用户和计算机”控制台等管理 Active Directory的工具,不过,可以通过安装“Windows Server 2003 Administration Tool Pack”来拥有这些工具,也就是运行位于 Windows Server 2003 安装光盘中的I386 文件夹内的 ADMINPAD.MSI 程序。 3.1.1 组织单位 组织单位内可以容纳其他的对象,如用户账户、组账户、计算机账户等,以便更容易的管理资源,并可以通过组策略来集中管理域的用户工作环境与计算机环境。 你可以利用“开始”-》“管理工具”-》“Active Directory 用户和计算机”->"右击域名称“-》”新建“-》”组织单位“的途径来建立组织单位。应设置有意义的组织单位名称,如”业务部“、”研发部“等,而且不要经常改变名称。 3.1.2 用户登录账户 在 Windows Server 2003 或 Windows 2000 Server 域中,用户可以利用”用户登录名称(Windows 2000 以前版本)“来登录域(见图3-1): 》用户登录名称(user principal name, UPN) 它的格式与电子邮件账户相同,例如图 3-1 中的 test@yu.local,这个名称只能在 Windows Server 2003, Windows XP Professional, Windows 2000 计算机上登录域时使用(如图3-2)。在整个林内,这个名称必须是唯一的。 UPN 并不会随着账户的转移而改变,举例来说,用户”王乔治“的用户账户位于域 abc.co...
