AD域权限设置

null用户账户管理用户账户管理用户账户 域用户账户名称 用户账户命名约定的制定准则 用户账户在 Active Directory 层次结构中的位置 用户账户的密码选项 要求或限制更改密码 用户账户用户账户域用户账户 （存储在 Active Directory）本地用户账户 （存储在本地计算机）Windows Server 2003 域用户账户命名约定的制定准则用户账户命名约定的制定准则创建用户账户时应该考虑： 雇员重名不同类型的雇员，例如临时雇员或雇员用户账户在 Active Directory 层次结构中的位置用户账户在 Active Directory 层次结构中的位置地理商业设计用户账户的密码选项用户账户的密码选项防止用户使用选中的账户登录账户已禁用描述账户选项防止用户更改自己的密码用户不能更改密码用户必须在下次登录到网络时更改自己密码用户下次登录时须更改密码防止用户密码过期密码永不过期要求或限制更改密码要求或限制更改密码创建本地和域服务账户 创建新的本地账户（不在本地登录）限制更改密码 遇到以下情况，使用这个选项选项创建新的域账户 重设密码要求更改密码DSADD DSADD DSADD 是 Windows Server 2003 Server 新提供的工具 DSADD 用于将计算机、联系人、组、组织单位或用户添加到目录中 可通过输入 DSADD /? 获取如何使用该命令的详细信息 用户账户的属性用户账户的属性用户账户的属性对话框计算机账户的属性计算机账户的属性计算机账户的属性对话框管理组帐户管理组帐户创建组 管理组成员身份 使用组应用策略 更改组 使用默认组 创建组创建组组 域功能级别 全局组 通用组 域本地组 本地组 组的创建位置 组命名规则 组组组使管理员能够一次性对资源分配权限，从而简化管理组的特点是根据作用域和类型来定义描述组类型仅仅能够与 电子邮件应用程序配合 使用，不能用来分配权限分布常常用来分配用户权利和权限， 具有通讯组功能安全组作用域的判断主要考虑是否需要扩展到多个域或限制在一个域中 三种组作用域：全局、本地域、通用组组的作用域组的作用域通用组的成员可包括域树或森林中任何域中的其他组和账户，可在该域树或森林中的任何域中指派权限 全局组的成员可包括只在其中定义该组的域中的其他组和账户，可在森林中的任何域中指派权限 域本地组的成员可包括 Windows Server 2003、Windows 2000 或 Windows NT 域中的其他组和账户，而且只能在域内指派权限 域功能级别域功能级别全局、本地域Windows NT® Server 4.0, Windows Server 2000, Windows Server 2003全局、本地域、通用Windows Server 2000, Windows Server 2003全局、本地域、通用 Windows Server 2003支持的域控制器支持的组作用域全局组全局组规则全局组混合模式：同一个域中的用户账户 本机模式：同一个域的用户账户和全局组成员在自己和所有信任的域里可见作用域混合模式： 域本地组 本机模式： 任何域里的通用和域本地组，以及相同域的全局组可作为右边#格#中所示组的成员林中所有域权限通用组通用组规则通用组混合模式：不适用 本机模式：用户账户、全局组和森林中任何域的其他通用组成员森林中所有域都可见作用域混合模式：不适用 本机模式：任何域中的域本地组和通用组可作为右边表格中所示组的成员森林中所有域权限域本地组域本地组规则域本地组混合模式：任何域中的用户账户和全局组 本机模式：森林中任何域的用户账户、全局组和通用组，以及同一域中的域本地组成员仅在自己所在的域中可见作用域混合模式：无 本机模式：同一域中的域本地组可作为右边表格中所示组的成员域本地组所属的域 权限本地组本地组规则本地组计算机的本地用户账户成员无可作为右边表格中所示组的成员内置组列表及说明内置组列表及说明组的创建位置组的创建位置在森林的根域、森林的任何其他域、组织单位创建组 根据管理需要选择域或组织单位来创建组 例： 目录有多个组织单位，每个拥有不同的管理员，可以为这些组织单位创建全局组组命名规则组命名规则安全组：在组名的命名约定中合并作用域 名称能够反映所属关系（部门或小组名称） 在组名的开头添上域名或其缩写 使用描述符来标识一个组所拥有的最大权限，例如：DL IT London OU Admins 通讯组：使用短的别名 显示名称里不应包含用户的别名 一个通讯组最多由五个合作者管理管理组成员 管理组成员 “成员”和“隶属于”属性 演示 “成员”和“隶属于” 确定用户账户的从属组 在组中添加和删除成员 “成员”和“隶属于”属性“成员”和“隶属于”属性组或小组 全局组域本地组 Tom、Jo 和 KimSam、Scott 和 AmyDenver AdminsDenver AdminsVancouver AdminsDenver OU Admins在组中添加和删除成员在组中添加和删除成员通过使用“Active Directory 用户和计算机”来添加成员 通过使用“属性”对话框的“隶属于”选项卡来添加用户账户或组 使用组应用策略 使用组应用策略 组嵌套 组策略组嵌套组组组组组组嵌套意味着将组作为其他组的成员嵌套组用来加强组管理 嵌套组选项取决于 Windows Server 2003 域的功能级别设置为 Windows 2000 本机模式还是 Windows 2000 混合模式组策略组策略