windows NT 系統(tǒng)中Everyone 組和Administrator . guest 權(quán)限區(qū)別以及采取的安全措施 詳細回答

在UNIX下，如果你有ROOT權(quán)限，那你就可以控制整臺SERVER了。

公司專注于為企業(yè)提供網(wǎng)站建設(shè)、成都網(wǎng)站設(shè)計、微信公眾號開發(fā)、商城網(wǎng)站制作，小程序設(shè)計，軟件按需求定制網(wǎng)站等一站式互聯(lián)網(wǎng)企業(yè)服務(wù)。憑借多年豐富的經(jīng)驗，我們會仔細了解各客戶的需求而做出多方面的分析、設(shè)計、整合，為客戶設(shè)計出具風(fēng)格及創(chuàng)意性的商業(yè)解決方案，創(chuàng)新互聯(lián)更提供一系列網(wǎng)站制作和網(wǎng)站推廣的服務(wù)。

在NT SERVER下，如果你有Administrator權(quán)限，整臺SERVER就歸你了。

在NT SERVER下，Administrator組有一些限制性，因為Administrator組是本地組。還有一個為用戶提供管理權(quán)限的組就是Domain Admins組，這個組是全局組。

本地的Administrator組自動包含全局的Domain Admins組。因此，如果你想使用一個用戶擁有對域及其委托域的管理權(quán)限，就應(yīng)該讓其成為全局組的Domain Admins組的成員，而不是Administrator組的成員。如果你想讓他成為本地域的管理員，只控制本地域，那么就應(yīng)該讓他成為本地的Administrator組的成員。

所以，說只要有Administrator的權(quán)限，就可以管理整臺SERVER了。但是，缺省的Administrator帳號存在潛在的安全危險性，Administrator是黑客常攻擊的對象。入侵者可以無休止的嘗試Administrator的密碼驗證，以破獲密碼。

解決這個問題的最好辦法就是重新命名管理員帳號。在重新命名了缺省的Administrator帳號之后，還要設(shè)置一個令人難以猜測的口令。就OK了。。。

希望這個解決辦法能給你一點啟發(fā)。。。：） Everyone組是WINDOWS上對系統(tǒng)所有資源具有完全控制權(quán)的缺省組。Everyone組中包括所有用戶，除了非委托域的用戶。如果你與其他域建立了委托關(guān)系，那么Everyone組將包括委托域中的用戶。這就意味著即使你認(rèn)為還沒有給委托關(guān)系域上的用戶授予訪問權(quán)限，事實上你卻已經(jīng)授予了。

為了避免這種情況的發(fā)生，你應(yīng)該刪除WINDOWS NT設(shè)置在所有資源上的缺省權(quán)限（Everyone組），你應(yīng)該設(shè)置以DOMAIN USERS組代替Everyone組來擁有對資源的全面控制權(quán)。WINDOWS NT安裝后，默認(rèn)目錄權(quán)限，Everyone 完全控制。

如果，你想讓你的SERVER安全些，那么，就要把Everyone刪掉或者降低他的權(quán)限。 人見人愛的Guest組是不是大家都知道這個組是做什么的呢？

Guest組是系統(tǒng)管理員用于對系統(tǒng)資源進行低級訪問的本地組，一般情況下請不要為這個組指定什么成員呀。那樣會出事的。。呵呵。

在缺省的情況下，WINDOWS NT將使全局的Domain Guest組成為本地的Guest組的成員。由于系統(tǒng)的Guest帳號是Domain Guest組的成員，所以系統(tǒng)會對任何沒有用戶帳號而以系統(tǒng)的Guest身份登錄訪問全域資源的用戶進行身份驗證。

在安裝WINDOWS NT時，系統(tǒng)創(chuàng)建了兩個缺省的帳號：Administrator帳號和Guest帳號。在缺省的情況下，WINDOWS NT SERVER是禁止Guest帳號使用的。與其他域帳號一樣，Guest帳號屬于Everyone組中的一部分。Guest帳號給人一種不安全感。但是，如果你特別想要Guest帳號，那么或者刪除Everyone組，或者重新命名Guest帳號，或者創(chuàng)建一個新的Guest帳號。Interactive這個你們應(yīng)該很熟悉了。呵呵，就是“交互”呀。是制任何在本地計算機上登陸的用戶。Interactive組只包含當(dāng)前正在這臺計算機上登錄的用戶的相應(yīng)帳號。當(dāng)用戶登錄后，WINDOWS NT操作系統(tǒng)自動地使他成為Interactive組的成員。管理員應(yīng)該利用Interactive組給那些在本地訪問資源的用戶授予不同的訪問權(quán)限。

不信，你可以做這個實驗，讓域用戶里的用戶登陸到這個NT SERVER里的任何一個目錄中。條件是：只要這個目錄有Network和Interactive組。

這個我試過的。很不錯。。：） 呵呵。。Guest怎么變成了人見人揣的帳號了呢？：（ Interactive這個你們應(yīng)該很熟悉了。呵呵，就是“交互”呀。是制任何在本地計算機上登陸的用戶。Interactive組只包含當(dāng)前正在這臺計算機上登錄的用戶的相應(yīng)帳號。當(dāng)用戶登錄后，WINDOWS NT操作系統(tǒng)自動地使他成為Interactive組的成員。管理員應(yīng)該利用Interactive組給那些在本地訪問資源的用戶授予不同的訪問權(quán)限。

不信，你可以做這個實驗，讓域用戶里的用戶登陸到這個NT SERVER里的任何一個目錄中。條件是：只要這個目錄有Network和Interactive組。 WINDOWS NT中有一些象Network組這樣的組，系統(tǒng)管理員無法控制他們。Network組包含的用戶都是從本地機訪問資源，不管用戶是從哪來訪問資源。如果你是系統(tǒng)管理員，想要設(shè)置資源的訪問權(quán)限，以便使從網(wǎng)絡(luò)上訪問資源的 記得評為最佳答案！??！謝了

這個我試過的。很不錯。。：）

windows server 2003系統(tǒng)里Active Directory設(shè)置的幾個小問題

1.組類型：

Windows?server?2003中包括安全組可通信組兩種類型

（1）安全組：

安全組用于將用戶、計算機和其他收集到可管理的單位中。為資源（文件共享、打印機等）指派權(quán)利，管理員應(yīng)將這些權(quán)限一次性指派給安全組。添加組的每個賬戶可以接受為該組定義的權(quán)利和權(quán)限。安全組也可以使用作電子郵件實體，在向組中發(fā)送電子郵件的同時，將郵件發(fā)給族的所有成員。

（2）通信組：

通信組只能用作電子郵件的通信，不能用于篩選組策略設(shè)置。通信組無安全組功能。只有在電子郵件應(yīng)用程序中，才能使用通信組將電子郵件發(fā)送給一組用戶。

2.組作用域類型：

每個安全組和通信組均有作用域，該作用域標(biāo)識組在域樹或樹林中應(yīng)用的范圍。組的作用域有通用作用域、全局作用域、本地作用域。

（1）通用組：

有通用作用域的組可以將其成員作為來自域樹或樹林中任何Windows?server?2003域的組合賬戶，并且在域樹或樹林的任何域中都可獲得權(quán)限。?有通用作用域的組成為通用組

（2)全局組：

有全局作用域的組可將其成員作為僅來自組所定義的域的組和賬戶，并且在樹林中的任何域中都可獲得權(quán)限。有全局作用域的組成為全局組

(3)本地組：

具有域本地作用域的組可以將其作為來自Windows?server?2003或Windows?NT域的組和賬戶，且可用于僅在域中授予權(quán)限。具有本地作用域的組成為本地組

3.設(shè)置這個帳戶只給單獨的一臺電腦使用是做得到的???如圖設(shè)置

通過用戶名查到使用該帳戶的電腦的計算機名?需要借助于?WINS服務(wù)器查找NetBiOS名

更改計算機的名稱對計算機沒什么影響，因為重啟之后，域控制器會更新該計算機的信息，會保持以前的組策略設(shè)置。

對不起?我還沒有學(xué)到這里?目前學(xué)校老師只講了活動目錄的相關(guān)知識

配置相關(guān)服務(wù)器要到以后才能學(xué)到

windows net 主要功能是什么

許多 Windows NT 網(wǎng)絡(luò)命令以 net 開始。這些 net 命令有一些公共屬性：

通過鍵入 net /? 可查閱所有可用的 net 命令。

通過鍵入 net help 命令可在命令行中獲得 net 命令的語法幫助。例如，要得到 net acco

unts 命令的幫助，請鍵入 net help accounts。

所有 net 命令接受選項 / yes 和 /no（可縮寫為 / y 和 /n ）。/ y 對命令產(chǎn)生的任何交

互提示自動回答“是”，/n 回答“否”。例如，net stop server 通常提示確認(rèn)是否根據(jù)服

務(wù)器服務(wù)結(jié)束所有服務(wù)，net stop server /y 自動回答“是”并關(guān)閉服務(wù)器服務(wù)。

Net Accounts

更新用戶帳號數(shù)據(jù)庫、更改密碼及所有帳號的登錄要求。必須要在更改帳號參數(shù)的計算機上

運行網(wǎng)絡(luò)登錄服務(wù)。

net accounts [/forcelogoff:{minutes | no}] [/minpwlen:length] [/maxpwage:{days |br unlimited}] [/minpwage:days] [/uniquepw:number] [/domain]

net accounts [/sync] [/domain]

參數(shù)

無

鍵入不帶參數(shù)的 net accounts，將顯示當(dāng)前密碼設(shè)置、登錄時限及域信息。

/forcelogoff:{minutes | no}

設(shè)置當(dāng)用戶帳號或有效登錄時間過期時，結(jié)束用戶和服務(wù)器會話前的等待時間。no 選項禁止

強行注銷。該參數(shù)的默認(rèn)設(shè)置為 no。

指定 /forcelogoff:minutes 之后，Windows NT 在其強制用戶退出網(wǎng)絡(luò) minutes 分鐘之前

，將給用戶發(fā)出警報。如果還有打開的文件，Windows NT 將警告用戶。如果 minutes 小于

兩分鐘，Windows NT 警告用戶立即從網(wǎng)絡(luò)注銷。

/minpwlen:length

設(shè)置用戶帳號密碼的最少字符數(shù)。允許范圍是 0-14，默認(rèn)值為 6。

/maxpwage:{days | unlimited}

設(shè)置用戶帳號密碼有效的最大天數(shù)。unlimited 不設(shè)置最大天數(shù)。/maxpwage 選項的天數(shù)必

須大于 /minpwage。允許范圍是 1-49,710 天 (unlimited)。默認(rèn)值為 90 天。

/minpwage:days

設(shè)置用戶必須保持原密碼的最小天數(shù)。 0 值不設(shè)置最小時間。允許范圍是 0-49,710 天，默

認(rèn)值為 0 天。

/uniquepw:number

要求用戶更改密碼時，必須在經(jīng)過 number 次后，才能重復(fù)使用與之相同的密碼。允許范圍

是 0-8。默認(rèn)值為 5。

/domain

在當(dāng)前域的主域控制器上執(zhí)行該操作。否則只在本地計算機執(zhí)行操作。

該參數(shù)僅用于 Windows NT Server 域中的 Windows NT Workstation 計算機，Windows NT

Server 計算機默認(rèn)為在主域控制器執(zhí)行操作。

/sync

當(dāng)用于主域控制器時，該命令使域中所有備份域控制器同步；當(dāng)用于備份域控制器時，該命

令僅使該備份域控制器與主域控制器同步。該命令僅適用于 Windows NT Server 域成員的計

算機。

Net Computer

從域數(shù)據(jù)庫中添加或刪除計算機。該命令僅在運行 Windows NT Server 的計算機上可用。

net computer \computername {/add | /del}

參數(shù)

\computername

指定要添加到域或從域中刪除的計算機。

/add

將指定計算機添加到域。

/del

將指定計算機從域中刪除。

Net Config

顯示當(dāng)前運行的可配置服務(wù)，或顯示并更改某項服務(wù)的設(shè)置。

net config [service [options]]

參數(shù)

無

鍵入不帶參數(shù)的 net config 將顯示可配置服務(wù)的列表。

service

通過 net config 命令進行配置的服務(wù)（server 或 workstation）。

options

服務(wù)的特定選項。完整語法請參閱 net config server 或 net config workstation。

Net Config Server

運行服務(wù)時顯示或更改服務(wù)器的服務(wù)設(shè)置。

net config server [/autodisconnect:time] [/srvcomment:"text "] [/hidden:{yes | nbr o}]

參數(shù)

無

鍵入不帶參數(shù)的 net config server，將顯示服務(wù)器服務(wù)的當(dāng)前配置。

/autodisconnect:time

設(shè)置斷開前用戶會話閑置的最大時間值?？梢灾付?-1，表示永不斷開連接。允許范圍是 -1

-65535 分鐘，默認(rèn)值是 15 分鐘。

/srvcomment:"text "

為服務(wù)器添加注釋，可以通過 net view 命令在屏幕上顯示所加注釋。注釋最多可達 48 個

字符，文字要用引號引住。

/hidden:{yes | no}

指定服務(wù)器的計算機名是否出現(xiàn)在服務(wù)器列表中。請注意隱含某個服務(wù)器并不改變該服務(wù)器

的權(quán)限。默認(rèn)為 no。

Net Config Workstation

服務(wù)運行時，顯示或更改工作站各項服務(wù)的設(shè)置。

net config workstation [/charcount:bytes] [/chartime:msec] [/charwait:sec]

參數(shù)

無

鍵入不帶參數(shù)的 net config workstation 將顯示本地計算機的當(dāng)前配置。

/charcount:bytes

指定 Windows NT 在將數(shù)據(jù)發(fā)送到通訊設(shè)備之前收集的數(shù)據(jù)量。如果同時設(shè)置 /chartime:m

sec 參數(shù)，Windows NT 按首先滿足條件的選項運行。允許范圍是 0-65535 字節(jié)，默認(rèn)值是

16 字節(jié)。

/chartime:msec

指定 Windows NT 在將數(shù)據(jù)發(fā)送到通訊設(shè)備之前收集數(shù)據(jù)的時間。如果同時設(shè)置 /charcoun

t:bytes 參數(shù)，Windows NT 按首先滿足條件的選項運行。允許范圍是 0-65535000 毫秒，默

認(rèn)值是 250 毫秒。

/charwait:sec

設(shè)置 Windows NT 等待通訊設(shè)備變?yōu)榭捎玫臅r間。允許的范圍是 0-65535 秒，默認(rèn)值是 36

00 秒。

Net Continue

重新激活掛起的服務(wù)。

net continue service

參數(shù)

service

能夠繼續(xù)運行的服務(wù)，包括： file server for macintosh（該服務(wù)僅限于 Windows NT Se

rver）, ftp publishing service, lpdsvc, net logon, network dde，network dde dsdm

，nt lm security support provider，remoteboot（該服務(wù)僅限于 Windows NT Server），

remote access server, schedule，server，simple tcp/ip services 及 workstation 。

Net File

顯示某服務(wù)器上所有打開的共享文件名及鎖定文件數(shù)。該命令也可以關(guān)閉個別文件并取消文

件鎖定。

net file [id [/close]]

參數(shù)

無

鍵入不帶參數(shù)的 net file 可獲得服務(wù)器上打開文件的列表。

id

文件標(biāo)識號。

/close

關(guān)閉打開的文件并釋放鎖定記錄。請從共享文件的服務(wù)器中鍵入該命令。

Net Group

在 Windows NT Server 域中添加、顯示或更改全局組。該命令僅在 Windows NT Server 域

中可用。

net group [groupname [/comment:"text "]] [/domain]

net group groupname {/add [/comment:"text "] | /delete} [/domain]

net group groupname username [ ...] {/add | /delete} [/domain]

參數(shù)

無

鍵入不帶參數(shù)的 net group 可以顯示服務(wù)器名稱及服務(wù)器的組名稱。

groupname

要添加、擴展或刪除的組。僅提供某個組名便可查看組中的用戶列表。

/comment:"text "

為新建組或現(xiàn)有組添加注釋。注釋最多可以是 48 個字符，并用引號將注釋文字引住。

/domain

在當(dāng)前域的主域控制器中執(zhí)行該操作，否則在本地計算機上執(zhí)行操作。

該參數(shù)僅用于作為 Windows NT Server 域成員的 Windows NT Workstation 計算機。Windo

ws NT Server 計算機默認(rèn)為在主域控制器中操作。

username[ ...]

列表顯示要添加到組或從組中刪除的一個或多個用戶。使用空格分隔多個用戶名稱項。

/add

添加組或在組中添加用戶名。必須使用該命令為添加到組中的用戶建立帳號。

/delete

刪除組或從組中刪除用戶名。

Net Help

提供網(wǎng)絡(luò)命令列表及幫助主題，或提供指定命令或主題的幫助?？捎镁W(wǎng)絡(luò)命令列于 N 下面的

“命令參考”中“命令”窗口內(nèi)。

net help [command]

net command {/help | /?}

參數(shù)

無

鍵入不帶參數(shù)的 net help 顯示能夠獲得幫助的命令列表和幫助主題。

command

需要其幫助的命令，不要將 net 作為 command 的一部分。

/help

提供顯示幫助文本方式選擇。

/?

顯示命令的正確語法。

Net Helpmsg

提供 Windows NT 錯誤信息的幫助。

net helpmsg message#

參數(shù)

message#

需要其幫助的 Windows NT 消息的四位代碼。

Net Localgroup

添加、顯示或更改本地組。

net localgroup [groupname [/comment:"text "]] [/domain]

net localgroup groupname {/add [/comment:"text "] | /delete} [/domain]

net localgroup groupname name [ ...] {/add | /delete} [/domain]

參數(shù)

無

鍵入不帶參數(shù)的 net localgroup 將顯示服務(wù)器名稱和計算機的本地組名稱。

groupname

要添加、擴充或刪除的本地組名稱。只提供 groupname 即可查看用戶列表或本地組中的全局

組。

/comment: "text "

為新建或現(xiàn)有組添加注釋。注釋文字的最大長度是 48 個字符，并用引號引住。

/domain

Windows Server 2003中本地域組、全局組、通用組之間的包含關(guān)系

這幾個組主要是在多域中能看出效果，直接解釋可能對你很抽象，知道這些，想必你知道AGDLP規(guī)則吧。。跟這個關(guān)系很大。

1.先給你說通用組，說白了，主要就是發(fā)郵件什么用的，沒太多用。因為本地域組和人局組也可能實現(xiàn)，而且還能做權(quán)限，要比通用組方便的多。沒有太多意義。

2.再給你說全局組。其實他屬于本地域組的下級組，但如果你在一個單域中的話，他和本地域組和全局組就沒有什么區(qū)別，多域就可以看出他們區(qū)別了。同樣可以加成員設(shè)定權(quán)限，給你具一個多域例子，假如有2個域一個是a.com 一個是b.com 兩個域是互相不能訪問對方資源的，當(dāng)兩個域?qū)α⑿湃侮P(guān)系后。a.com域想訪問b.com域，需要把成員加入a.com全局組。然后再加入b.com域的本地域組。這樣a.com域的全局組成員就可能訪問到b.com域。這就是他倆的關(guān)系。。

3.想必知道本地域組和全局組的關(guān)系就不用我多本地域組了吧。我說這么多可能你不是太理解，但按我的方法搭個環(huán)境做一遍你就會恍然大悟的。祝你成功?。?！做不通有什么問題可能接著問我。

手打的好累?。。?！~~~分是給準(zhǔn)備有心的人的。明智之人都該知道分是給哪位的！

各種域模式下，全局組，通用組，域本地組的區(qū)別

問：全局組、域本地組、通用組到底有什么區(qū)別？它們之間的關(guān)系如何？

答：很多初級網(wǎng)管員對全局組、域本地組、通用組之間區(qū)別、關(guān)系比較模糊。對于這個問題我們首先要明確全局組、域本地組、通用組的的作用范圍。

全局組：可以全局使用。即：可在本域和有信任關(guān)系的其它域中使用，體現(xiàn)的是全局性。MS建議的規(guī)則：基于組織結(jié)構(gòu)、行政結(jié)構(gòu)規(guī)劃。

域本地組：只能在本域的域控制器DC上使用。MS建議的規(guī)則：基于資源（夾、打印機……）規(guī)劃。

在域的混合模式下，只能把全局組加入到域本地組，即AGDLP原則。

注意：2000/03域的默認(rèn)模式為：混合模式。則域本地組：只能在本域的域控制器DC上使用。若域功能級別轉(zhuǎn)成本機模式（或稱2000純模式），甚至03模式，域本地組可在全域范圍內(nèi)使用。

說明：全局組和域本地組的關(guān)系，非常類似于域用戶帳號和本地帳號的關(guān)系。域用戶帳號，可以全局使用，即在本域和其它關(guān)系的其它域中都可以使用，而本地帳號只能在本地機上使用。下面我來舉兩個例子來進一步說明（以混合模式下為例）：

例1：將用戶張三（域帳號Z3）加入到域本地組administrators中，并不能使Z3對非DC的域成員計算機有任何特權(quán)，但若加入到全局組Domain Admins中，張三就是域管理員了，可以在全局使用，對域成員計算機是有特權(quán)的。

例2：只有在域的DC上，對資源（如：文件/夾）設(shè)置權(quán)限，你可以指派域本地組administrators；但在非DC的域成員計算機上，你是無法設(shè)置域本地組administrators的權(quán)限的。因為它是域本地組，只能在DC上使用。

通用組：組的成員情況，記錄在全局目錄GC中，非常適于林中跨域訪問使用。集成了全局組和域本地組的長處。

望采納

“通用組、全局組、域本地組”怎么理解？關(guān)于活動目錄的。

活動目錄是Windows 2000網(wǎng)絡(luò)中目錄服務(wù)的實現(xiàn)方式。目錄服務(wù)是一種網(wǎng)絡(luò)服務(wù)，它存儲網(wǎng)絡(luò)資源的信息并使得用戶和應(yīng)用程序能訪問這些資源。

活動目錄對象

主要包括用戶、組、計算機和打印機，然而網(wǎng)絡(luò)中的所有服務(wù)器、域和站點等也可認(rèn)為是活動目錄中的對象。

活動目錄架構(gòu)

◆ 含有活動目錄中所有對象的定義；

◆ 用對象類和對象屬性來描述每個對象；

◆ 在Windows 2000的網(wǎng)絡(luò)中，整個森林只有一個架構(gòu)；

◆ 架構(gòu)保存在活動目錄中。

活動目錄的邏輯結(jié)構(gòu)

活動目錄的邏輯結(jié)構(gòu)用來組織網(wǎng)絡(luò)資源。

域（Domain）

◆ 域是Windows 2000 活動目錄的核心單元，是共享同一活動目錄的一組計算機集合；

◆ 域是安全的邊界，在缺省的情況下，一個域的管理員只能管理他自己的域，一個域的管理員要管理其他的域，需要專門的授權(quán)；

◆ 域是復(fù)制單位，一個域可包含多個域控制器，當(dāng)某個域控制器的活動目錄數(shù)據(jù)庫修改以后，會將此修改復(fù)制到其他所有域控制器。

組織單元（Organizational Units，OU）

◆ OU是域下面的容器對象，用于組織對活動目錄對象的管理，是Windows 2000中最小的管理單元；

◆ OU可用來匹配一個企業(yè)的實際組織結(jié)構(gòu)，域的管理員可以指定某個用戶去管理某個OU；

◆ OU也可以像域一樣做成樹狀的結(jié)構(gòu)，即OU下面還可以有OU；

◆ 使用OU可取代Windows NT4.0的多域網(wǎng)絡(luò)，參見圖1。

圖1

樹和森林（Trees and Forests）

樹（Trees）：由一個或多個域構(gòu)成。Windows 2000中的樹共享連續(xù)的名字空間；樹具有雙向、傳遞信任，即缺省情況下，Windows 2000中父域和子域、樹和樹之間的信任關(guān)系都是雙向的，而且是可傳遞的。

森林（Forests）：森林由一棵或多棵樹組成。森林中的樹不共享一個連續(xù)的名字空間，但共享一個普通架構(gòu)和全局目錄。

全局目錄（Global Catalog）

Global Catalog（GC）是一個包含活動目錄中所有對象的屬性信息（不是完全信息，是常用屬性的一個子集）的倉庫，它為用戶提供以下重要功能：

◆ 在整個森林中查找活動目錄的信息；

◆ 使用通用組成員信息登錄到網(wǎng)絡(luò)；

◆ 活動目錄中的第一個域控制器自動成為全局目錄，為了平衡登錄和查詢流量，您可以設(shè)置額外的全局目錄。

活動目錄的物理結(jié)構(gòu)

物理結(jié)構(gòu)用來設(shè)置和管理網(wǎng)絡(luò)流量。活動目錄的物理結(jié)構(gòu)由域控制器和站點組成。

域控制器（Domain Controller）

活動目錄復(fù)制：多主復(fù)制模式（Multi-Master Replication Model）和活動目錄的物理結(jié)構(gòu)決定復(fù)制在什么時候發(fā)生和如何發(fā)生。

單主操作：對從森林中添加/刪除域這樣的操作，不適合用多主復(fù)制的模式，需要單主復(fù)制，執(zhí)行單主操作的計算機稱為操作主機。

站點（Sites）

◆ 站點由一個或多個高速連接的IP子網(wǎng)構(gòu)成；

◆ 站點是網(wǎng)絡(luò)的物理結(jié)構(gòu)，站點和域沒有必然聯(lián)系，一個站點可包含多個域，一個域也可跨多個站點；

◆ 創(chuàng)建站點的主要理由是為了優(yōu)化復(fù)制流量和使用戶能夠用可靠的高速線路連接到域控制器。

活動目錄集成區(qū)域

要實現(xiàn)活動目錄集成區(qū)域， DNS Server必須裝有活動目錄的DC。因為集成后DNS的區(qū)域數(shù)據(jù)庫文件變成了活動目錄的一部分，它的復(fù)制被包含在活動目錄的復(fù)制中，所以不會再發(fā)生DNS區(qū)域傳輸（Zone Transfer）。但仍然能向非活動目錄集成的輔助服務(wù)器執(zhí)行區(qū)域傳輸，避免了主服務(wù)器失敗后，DNS記錄無法被更新。

安裝和設(shè)置DNS以支持活動目錄

若在安裝活動目錄時同時安裝DNS，操作系統(tǒng)會自動配置DNS，并創(chuàng)建與活動目錄域同名的DNS正向查詢區(qū)域、配置此正向查詢區(qū)域與活動目錄集成。

活動目錄對DNS的要求

◆ 支持SRV記錄（強制）；

◆ 支持動態(tài)更新協(xié)議（推薦）；

◆ 支持增量區(qū)域傳輸（推薦）。

活動目錄的用戶登錄名

主用戶名（User Principal Name）

主用戶名的格式同E-mail地址，例如，john@cyc.com，john稱為主用戶名前綴，cyc.com稱為主用戶名后綴，一般為根域的域名。主用戶名只能用于登錄Windows 2000的網(wǎng)絡(luò)。

用戶登錄名（User Logon Name）

用于Pre-Windows 2000的環(huán)境或Windows 2000；登錄時需要用戶名和域名。

用戶名惟一性原則

◆ 全名在所屬的容器內(nèi)惟一；

◆ 用戶登錄名在所屬的域內(nèi)惟一；

◆ 主用戶名在整個森林內(nèi)惟一。

活動目錄中的組

全局組（Global Groups）；

域本地組（Domain Local Groups）；

通用組（Universal Groups）：通用組一般用于多域的情況，通用組的成員信息保存在GC中。盡量避免通用組直接包含用戶賬號成員，而使用全局組作為通用組的成員。

在域中使用組的策略

使用A-G-DL-P策略；

使用A-G-G-DL-P策略；

使用A-G-U-DL-P策略。

這里，A表示用戶賬號，G表示全局組，U表示通用組，DL表示域本地組，P表示資源權(quán)限。A-G-DL-P策略是將用戶賬號添加到全局組中，將全局組添加到域本地組中，然后為域本地組分配資源權(quán)限。其余類推。

在活動目錄中出版資源

所有Windows 2000的共享打印機都被自動出版在活動目錄中；

刪除打印機時也會自動刪除活動目錄中的打印機；

打印服務(wù)器負責(zé)在活動目錄中出版打印機；

當(dāng)修改打印機屬性時，會自動更新活動目錄中打印機的屬性。

活動目錄安全組件

安全主體（Security Principals）

安全主體是一個能夠?qū)λ峙錂?quán)限的對象，例如，用戶、組和計算機；

每一個Windows 2000域中的安全主體都有一個惟一的安全標(biāo)識符。

安全標(biāo)識符（Security Identifier——SIDs）

安全標(biāo)識符是用來標(biāo)識一個安全主體的一個數(shù)值，它在這個主體被創(chuàng)建時產(chǎn)生，絕對不會重用。Windows 2000中的訪問控制機制是基于SIDs，而不是基于名字。

安全描述符（Security Descriptors）

安全描述符是包含與一個可以設(shè)置安全對象相關(guān)的安全信息的數(shù)據(jù)結(jié)構(gòu)，主要包括以下內(nèi)容：

頭部：安全描述符的版本信息和一組控制標(biāo)志；

所有者：此對象所有者的SID；

主要組：所有者所屬的主要組的SID；

DACL（Discretionary Access Control List）：用戶對此對象的訪問控制列表；

SACL (System Access Control List)：對用戶進行審核的訪問控制列表。

如果在一個對象上設(shè)置了權(quán)限，這個對象的安全描述符中將包含一個DACL。DACL中包含允許或拒絕訪問這個對象的用戶和組的SIDs；如果還對這個對象設(shè)置了審核，它的安全描述符中還包含一個SACL。

活動目錄權(quán)限

權(quán)限是一種對象所有者的授權(quán)，通過授權(quán)，用戶可以對特殊對象進行操作。如果對象是所有者，可以分派給其他用戶或組部分或全部任務(wù)的權(quán)限，還可以分派所有權(quán)的權(quán)限。

◆ 允許權(quán)限或拒絕權(quán)限：拒絕權(quán)限比任何允許權(quán)限優(yōu)先級高；

◆ 間接否定或直接否定（Implicitly Deny or Explicitly Deny）：例如不是明確指定的操作權(quán)限是間接否定；

◆ 標(biāo)準(zhǔn)權(quán)限和特殊權(quán)限：標(biāo)準(zhǔn)權(quán)限是經(jīng)常分派的權(quán)限，而特殊權(quán)限是對分派訪問權(quán)限的更細致的控制：

◆ 完全控制；

◆ 讀出：查看對象和對象屬性；

◆ 寫入：修改對象內(nèi)容和屬性；

◆ 創(chuàng)建所有子對象：向OU中添加對象；

◆ 刪除所有子對象：從OU中刪除對象。

實驗技術(shù)

安裝活動目錄

1．必備條件：計算機必須安裝Windows 2000 Server， Advanced Server、Datacenter Server和最小250M的可用磁盤空間；必須有NTFS磁盤分區(qū)或卷用于保存SYSVOL文件夾；必須運行TCP/IP協(xié)議和DNS服務(wù)（可在安裝活動目錄的同時安裝DNS），計算機須安裝網(wǎng)卡。

2．在Windows 2000上使用dcpromo命令，將出現(xiàn)“AC安裝向?qū)А睂υ捒颍粼诰W(wǎng)絡(luò)中第一次安裝活動目錄時，所創(chuàng)建的是森林的根域，此時選擇“新域的域控制器”單選鈕。

3．選擇“創(chuàng)建一個新的目錄樹”和“創(chuàng)建新的域目錄樹”單選鈕，輸入新域的DNS全名，例如，cyc.com，輸入NetBIOS名，它一般取DNS域名的第一部分或前15位，這里是cyc，然后指定AD數(shù)據(jù)庫和SYSVOL保存的文件，后者必須位于NTFS分區(qū)。

4．最后指定權(quán)限和密碼等，此時開始安裝AD并創(chuàng)建一個Windows 2000的域cyc.com。活動目錄安裝后，將在“程序/管理下產(chǎn)生三項：Active Directory用戶和計算機、Active Directory域和信任關(guān)系、Active Directory站點和服務(wù)。

5．若用無人值守的安裝腳本去安裝活動目錄，則使用命 [HTML]在基于Windows 2000網(wǎng)絡(luò)中，活動目錄(Active Directory)是它的核心。活動目錄是一個分布式的目錄服務(wù)。網(wǎng)絡(luò)信息可以分散在多臺不同的計算機上，保證快速訪問和容錯；同時不管用戶從何處訪問或信息處在何處，對用戶都提供統(tǒng)一的視圖。可以這樣說：沒有活動目錄，就沒有Windows 2000。一、活動目錄基礎(chǔ)

(一)活動目錄概覽

1.什么是活動目錄活動目錄是Windows 2000網(wǎng)絡(luò)中的目錄服務(wù)。目錄服務(wù)是一種網(wǎng)絡(luò)服務(wù)，它存儲關(guān)于網(wǎng)絡(luò)資源的信息，并使用戶或應(yīng)用程序可以訪問這些資源?；顒幽夸浭褂猛瑯拥姆椒?、描述、查找、訪問、管理和保護這些資源的信息。(1)活動目錄的功能：活動目錄提供的服務(wù)功能，包括一種集中組織、管理和控制網(wǎng)絡(luò)資源訪問的方法。它使物理網(wǎng)絡(luò)拓樸和協(xié)議透明化，這樣網(wǎng)絡(luò)上的用戶可以訪問任何資源，而不需要知道資源在什么地方，或物理上它是如何連接到網(wǎng)絡(luò)上的。(2)集中式管理：一個運行Windows 2000的服務(wù)器在活動目錄中存儲系統(tǒng)配置、用戶簡介和應(yīng)用程序的信息。與組策略相結(jié)合，活動目錄可以使管理者使用同樣的管理界面管理分布式桌面、網(wǎng)絡(luò)服務(wù)和來自中心位置的應(yīng)用程序?；顒幽夸浲瑫r提供對網(wǎng)絡(luò)資源集中控制，允許用戶只登錄一次就可以訪問整個活動目錄的資源。2.活動目錄對象活動目錄存儲網(wǎng)絡(luò)對象的信息。活動目錄對象代表網(wǎng)絡(luò)資源。如用戶、組、計算機和打印機。而且，網(wǎng)絡(luò)中所有的服務(wù)器、域和站點都作為對象。因為活動目錄代表了所有網(wǎng)絡(luò)資源，只需要一個管理員就可以管理這些資源。3.輕型目錄訪問協(xié)議輕型目錄訪問協(xié)議(Lightweight Directory Access Protocol，LDAP)是用于訪問活動目錄的協(xié)議。LDAP是用于查詢和更新活動目錄的目錄服務(wù)協(xié)議。LDAP協(xié)議規(guī)范表明，一個活動目錄對象可以由一系列域組件、OU和普通名字來代表，它們組成了活動目錄中的命名路徑。LDAP命名的路徑是用來訪問活動目錄對象的，它包括了下面的兩類：(1)標(biāo)識名(Distinguished Name)：在活動目錄中每個對象都有一個標(biāo)識名，標(biāo)識名確定了對象所在的域和可以找到對象的完整路徑。比如，典型的標(biāo)識名包括：CN=TOM，OU=Manager，DC=Tech，DC=COM(2)相對標(biāo)識名(Relative Distinguished Name)：LDAP相對標(biāo)識名是LDAP標(biāo)識名的一部分，它用來標(biāo)識容器中的對象，它的組成隨客戶建立的現(xiàn)場搜索內(nèi)容的大小而變化。搜索內(nèi)容的范圍可以是域組件，也可以是普通名字的對象。下表中給出了標(biāo)識名，客戶建立的搜索內(nèi)容和相對標(biāo)識名的具體的例子。(二)活動目錄結(jié)構(gòu)

1.活動目錄的邏輯結(jié)構(gòu)(1)域：域(Doamin)是活動目錄中邏輯結(jié)構(gòu)的核心單元，一個域包含許多臺計算機，它們由管理員設(shè)定，共用一個目錄數(shù)據(jù)庫。一個域有一個唯一的名字，給那些由域管理員集中管理的用戶賬號和組賬號提供訪問通道。要創(chuàng)建域，用戶必須將一個或更多的運行Windows 2000 Server的計算機升級為域控制器。每個域至少必須包含一個域控制器。(2)組織單元：組織單元(Organizational Units，OU)是一個起組織作用的單位。它可將用戶、組、計算機和其他單位放入其中的活動目錄容器。組織單元不能包括來自其他域的對象。組織單元是可以指派組策略設(shè)置或委派管理權(quán)限的最小作用域或單位。使用組織單元，用戶可在組織單元中代表邏輯層次結(jié)構(gòu)的域中創(chuàng)建容器。這樣用戶就可以根據(jù)用戶的組織模型管理賬戶和資源的配置和使用。(3)目錄樹和目錄林：活動目錄中的每個域利用DNS(Domain Name Server，域名服務(wù))域名加以標(biāo)識，并且需要一個或多個域控制器。如果用戶的網(wǎng)絡(luò)需要一個以上的域，則用戶可以創(chuàng)建多個域。共享相同的公用架構(gòu)和全局目錄的一個或多個域稱為域林。如果樹林中的多個域有連續(xù)的DNS域名，則該結(jié)構(gòu)稱為域樹。如圖所示。如果相關(guān)域樹共享相同的活動架構(gòu)以及目錄配置和復(fù)制信息，但不共享連續(xù)的DNS名稱空間，則稱之為域林。域樹和域林的組合為用戶提供了靈活的域命名選項。連續(xù)和非連續(xù)的DNS名稱空間都可加入到用戶的目錄中。(4)全局目錄：一個域的活動目錄類似于一本書的目錄，那么全局目錄就好像是一系列書的總目錄。在全局目錄中包含一個已有活動目錄對象屬性的子集。默認(rèn)情況下，存儲在全局目錄中的對象屬性是那些經(jīng)常用到的內(nèi)容，而非全部屬性。全局目錄服務(wù)器是一個域控制器，活動目錄建立的第一個域控制器自動成為全局目錄服務(wù)器。全局目錄就放在全局目錄服務(wù)器上。2.活動目錄的物理結(jié)構(gòu)(1)域控制器：域控制器就是存儲活動目錄的地方，一個域可以有一個或幾個域控制器。在域中，各域控制器相互復(fù)制活動目錄的改變，在目錄林中，各域控制器相互之間也把信息自動復(fù)制給對方。(2)站點：站點(Site)是由一個或多個IP子網(wǎng)中的一組計算機，確保目錄信息的有效交換，站點中的計算機需要很好地連接，尤其是子網(wǎng)內(nèi)的計算機。站點和域名稱空間之間沒有必要的連接。站點反映網(wǎng)絡(luò)的物理結(jié)構(gòu)，而域通常反映用戶單位的邏輯結(jié)構(gòu)。邏輯結(jié)構(gòu)和物理結(jié)構(gòu)相互獨立，所以網(wǎng)絡(luò)的物理結(jié)構(gòu)及其域結(jié)構(gòu)之間沒有必要的相關(guān)性，活動目錄允許單個站點中有多個域，單個域中有多個站點。如果配置方案未組織成站點，則域和客戶之間的信息交換可能非?；靵y。站點能提高網(wǎng)絡(luò)使用的效率。二、安裝活動目錄

(一)安裝活動目錄的要點

首先，也是最重要的一點，就是你必須有安裝活動目錄的管理員權(quán)限，否則無法安裝。在安裝活動目錄之前，要確保計算機滿足基本系統(tǒng)要求：(1)計算機運行Windows 2000 Server版本，且系統(tǒng)盤是NTFS分區(qū)。(2)用于活動目錄數(shù)據(jù)庫的最小磁盤空間為200MB，另外還要有50MB的空間用于活動目錄數(shù)據(jù)庫的日志文件。(3)已做好了DNS服務(wù)器的解析。DNS(Domain Name Server, 域名服務(wù)器)是活動目錄的基礎(chǔ)，沒有DNS就不會有活動目錄。DNS也叫域名服務(wù)，它的作用是將某個域名與IP地址對應(yīng)，從而將人易于理解的域名轉(zhuǎn)達化為易于計算機尋址的IP地址。而如果活動目錄中的資源對應(yīng)的是LDAP標(biāo)識，那么只需要DNS中有這個標(biāo)識的定位記錄就可以很方便地供用戶查找資源，并尋址到相應(yīng)的位置上。有關(guān)DNS服務(wù)器的配置，讀者可以參考《電腦報2001年合訂本》下冊附錄中《ⅡS 5.0網(wǎng)絡(luò)建站完全手冊》一文。(二)安裝活動目錄

運行活動目錄安裝向?qū)indows 2000 Server升級為域控制器以創(chuàng)建一個新域，或者向現(xiàn)有的域添加其他域控制器。1.安裝域里的第一臺域控制器在安裝活動目錄前首先確定DNS服務(wù)正常工作，下面我們來安裝根域為lanyi.com的第一臺域控制器。(1)運行位于C:\Winnt\System32目錄下的dcpromo.exe文件，以啟動活動目錄安裝向?qū)А｜c擊“下一步”按鈕。(2)由于用戶所建立的是域中的第一臺域控制器，所以在“域控制器類型”對話框中選擇“新域的域控制器”選項，然后點擊“下一步”按鈕。(3)在“創(chuàng)建目錄樹和子域”對話框中選擇“創(chuàng)建一個新域的域目錄樹”，點擊“下一步”按鈕。(4)在“創(chuàng)建或加入目錄林”對話框中選擇“創(chuàng)建新的域目錄林”，點擊“下一步”按鈕。(5)在“新的域名”對話框中的“新域的DNS全名”框中輸入需要創(chuàng)建的域名，這里是lanyi.com。點擊“下一步”按鈕。(6)在“NetBIOS域名”對話框中，安裝向?qū)ё詣訉⒂蚩刂破鞯腘etBIOS名設(shè)置為“LANYI”，點擊“下一步”按鈕。(7)在“數(shù)據(jù)庫和日志文件位置”對話框中，將顯示數(shù)據(jù)庫、日志文件的保存位置，一般不必作修改。點擊“下一步”按鈕。(8)在“共享的系統(tǒng)卷”中，指定作為系統(tǒng)卷共享的文件夾。Sysvol文件夾存放域的公用文件的服務(wù)器副本。Sysvol廣播的內(nèi)容被復(fù)制到域中的所有域控制器。其文件夾位置一般不必作修改。點擊“下一步”按鈕。(9)在“配置DNS”對話框中，點擊“下一步”按鈕(如果在安裝活動目錄之前未配置DNS服務(wù)器，可以在此讓安裝向?qū)渲肈NS，推薦使用這種方法)。(10)在“權(quán)限”對話框中為用戶和組選擇默認(rèn)權(quán)限，考慮到現(xiàn)在大多數(shù)單位中仍然需要使用Windows 2000的以前版本，所以選擇“與Windows 2000服務(wù)器之前版本相兼容的權(quán)限”選項，點擊“下一步”按鈕。(11)在“目錄服務(wù)恢復(fù)模式的管理員密碼”對話框中輸入以目錄恢復(fù)模式下的管理員密碼。點擊“下一步”按鈕。(12)此時，安裝向?qū)@示安裝摘要信息。點擊“下一步”按鈕即可開始安裝，安裝完成之后，重新啟動計算機即可。2.檢驗安裝結(jié)果安裝完成后，可以通過以下方法檢驗活動目錄安裝是否正確，在安裝過程中一項最重要的工作是在DNS數(shù)據(jù)庫中添加服務(wù)記錄(即SRV記錄)。(1)檢查DNS文件的SRV記錄：用文本編輯器打開%systemroot%\system32\config\中的Netlogon.dns文件，查看LDAP服務(wù)記錄，在本例中為_ldap._tcp.lanyi.com.600 IN SRV 0 100 389 n2k_server.lanyi.com.(2)驗證SRV記錄在NSLOOKUP命令工具中運行正常：在命令提示行下，輸入“nslookup”命令；輸入“set type=srv”命令；然后輸入_ldap._tcp.lanyi.com。此時如果返回了服務(wù)器名和IP地址，說明SRV記錄工作正常。另外，當(dāng)安裝完畢后，在管理工具中提供了三個工具：Active Directory用戶和計算機、Active Directory域和信任關(guān)系、Active Directory站點和服務(wù)。同時系統(tǒng)還提供了Active DirectorySchema和ADSI，主要用于Active Direttory開發(fā)的工具。Active Directory用戶和計算機工具是配置互動目錄最常用的工具，在后面我們將詳細介紹它的使用方法。3.刪除活動目錄與安裝活動目錄一樣，運行dcpromo.exe文件即可。三、設(shè)置管理用戶和組

在網(wǎng)絡(luò)中為用戶開設(shè)賬戶的工作即是一項基本功能，又是一項非常重要的工作，因為賬戶與權(quán)限有關(guān)。用戶賬號保存在活動目錄中，為該用戶賬號啟動唯一登錄的對象。唯一登錄是指從工作站登錄獲得網(wǎng)絡(luò)資源的訪問過程中，用戶只能輸入一次名字和密碼。域用戶賬號可以登錄到域訪問網(wǎng)絡(luò)資源，或是登錄到個人計算機上訪問本機上的資源。(一)用戶登錄名

1.用戶主名在活動目錄中，每個用戶都有一個用戶登錄名，和一個pre-Windows 2000用戶登錄名。用戶賬戶信息用來驗證和認(rèn)可目錄林中任何地方的用戶，這就導(dǎo)致了唯一登錄。用戶主名是只用于登錄Windows 2000網(wǎng)絡(luò)上的登錄名。也可將此名看作是用戶登錄名。一個用戶主名有兩個部分，它們用@符號隔開。如apple@lanyi.com。一個用戶登錄名有以下兩個組成部分：用戶主名前綴：在apple@lanyi.com是apple。用戶主名后綴：在apple@lanyi.com是lanyi.com。默認(rèn)情況下，后綴是網(wǎng)絡(luò)中根域的名字。用戶可以使用網(wǎng)絡(luò)中的其他域來為用戶配置其他的后綴。2.創(chuàng)建用戶主名后綴(1)點擊“開始→程序→管理工具→Active Directory域和信任關(guān)系”選項，右擊“Active Directory域和信任關(guān)系”選項，選擇“屬性”命令。(2)在打開的對話框的“UPN后綴”選項卡中輸入一個可供選擇的后綴名，如lanyi.com，然后點擊“添加”按鈕。(二)管理用戶賬號

1.創(chuàng)建一個用戶賬號(1)點擊“開始→程序→管理工具→Active Directory用戶和計算機”選項，在打開的窗口的左側(cè)欄中右擊“user”容器，選擇“新建對象”命令。(2)在打開的“新建對象”對話框中，輸入姓名和用戶登錄名。點擊“下一步”按鈕，輸入用戶密碼。其中：用戶下次登錄時需要更改密碼：如選中此項，用戶下次登錄時將提示用戶重新輸入新密碼。用戶不能更改密碼：這一選項保證用戶密碼不能被修改。密碼永不過期：如選中此項，密碼將永不過期。因為過期的密碼將不能使用，過期時間在賬戶安全策略中設(shè)置，或在賬戶屬性對話框中修改。賬戶已停用：表明此賬戶已被停止使用，如想讓賬戶解鎖，必須由管理員在用戶屬性對話框中設(shè)置。2.執(zhí)行公共管理任務(wù)(1)禁用和啟用用戶賬號：當(dāng)用戶一段時間內(nèi)不需要他們的賬號，但一段時間后需要使用它們時，管理員可將此用戶賬號禁用。在“Active Directory用戶和計算機”窗口中，右擊相應(yīng)的用戶賬號，然后根據(jù)該賬號的當(dāng)前狀態(tài)點擊“停用賬戶”或“啟用賬戶”命令即可。(2)重設(shè)密碼：當(dāng)在用戶改變密碼前密碼期滿或是用戶忘記密碼的情況下，管理員需要重新設(shè)置密碼。在“Active Directory用戶和計算機”窗口中，右擊相應(yīng)的用戶賬號，然后點擊“重設(shè)密碼”命令即可。(3)在一個域內(nèi)移動用戶賬號：必要時，管理員可能需要在同一個域內(nèi)的OU之間移動用戶賬號。例如一個職員從一個部門調(diào)到另一個部門，這樣將由另一個管理員管理該職員的用戶賬號。在“Active Directory用戶和計算機”窗口中，右擊相應(yīng)的用戶賬號，點擊“移動”命令。在打開的“移動”對話框中，雙擊域目錄樹，點擊對象要移入的OU，然后點擊“確定”按鈕即可。(4)刪除用戶賬號：在活動目錄中存在有無用的賬號，如果一個授權(quán)用戶能夠使用一個無用的賬號登錄可能會引起網(wǎng)絡(luò)安全的風(fēng)險，所以對無用的賬號應(yīng)當(dāng)刪除。在“Active Directory用戶和計算機”窗口中，右擊相應(yīng)的用戶賬號，然后點擊“刪除”命令即可。(5)重命名用戶賬號：如果管理員想保留以前某個賬戶所指定的各種屬性和權(quán)限給一個新的用戶時，可以將以前的賬戶重命名。在“Active Directory用戶和計算機”窗口中，右擊相應(yīng)的用戶賬號，然后點擊“重命名”命令即可。3.為域用戶賬號設(shè)置屬性(1)設(shè)置個人屬性：在“Active Directory用戶和計算機”窗口中，右擊相應(yīng)的用戶賬號，點擊“屬性”命令即可打開相應(yīng)的屬性對話框。在該對話框中，各個選項卡對應(yīng)于不同的用戶設(shè)置，你可以根據(jù)具體的情況盡可能的詳盡填寫。這樣做的好處是利于以后的賬戶查找。(2)設(shè)置賬戶屬性：在“賬戶”選項卡中管理員可以指定用戶的登錄名稱，設(shè)置賬戶選項，指定賬號失效日期。你可以在該選項卡下配置當(dāng)你創(chuàng)建該賬戶時指定的設(shè)置值，如用戶登錄名和登錄選項?？梢孕薷拿艽a需求條件，為此，在“賬戶選項”選項組下選擇相應(yīng)的復(fù)選框即可。除此之外，還可以在該選項卡下設(shè)置用戶賬戶的失效日期。到達這一日期后，Windows 2000將自動禁用相應(yīng)的賬戶。默認(rèn)情況下，用戶賬號永不失效。為此，你只需要在“賬戶過期”選項組中，點擊“在這之后”選項，然后從列表中選擇一個失效日期，點擊“確定”按鈕。(3)指定登錄選項：你可以通過設(shè)置用戶的登錄時段，控制用戶可以在哪些時段登錄到指定的域，你也可以通過設(shè)置登錄工作站，來控制用戶可以從哪個計算機登錄到指定的域。在默認(rèn)情況下，用戶可以每周七天，每天24小時連接到服務(wù)器。在高安全性網(wǎng)絡(luò)中，你可能想限制用戶可以登錄到網(wǎng)絡(luò)的時段。為了設(shè)置登錄的時段，你可以按照下面的步驟進行：在“賬戶”選項卡中點擊“登錄時間”按鈕，打開相應(yīng)的對話框。其中藍色指示該用戶可以登錄到的時段，而白色框指示該用戶不能登錄到的時段。在“天”和“時”框中，選擇你想拒絕訪問的時段框，并點擊開始時間，然后向終止時間拖動，再點擊“拒絕登錄”或“允許登錄”選項即可。同樣的，你也可以指定用戶從哪個計算機登錄，在默認(rèn)情況下，具有合法賬號的任何用戶都可以在運行Windows 2000的任何計算機登錄到網(wǎng)絡(luò)。在“賬戶”選項卡中點擊“登錄到”按鈕，然后在打開的對話框中點擊“下列計算機”選項，添加用戶可以進行登錄的計算機。為此，在“計算機名稱”框中輸入計算機的名稱，點擊“添加”按鈕即可。4.用戶配置文件在Windows 2000中，用戶的工作環(huán)境主要由用戶配置文件定義的。為了安全性的目的，Windows 2000要求每一個訪問系統(tǒng)的用戶賬號都有一個用戶配置文件。用戶配置文件包含所有必要的設(shè)置值，這些設(shè)置值包括顯示器、區(qū)域設(shè)置、鼠標(biāo)和聲音設(shè)置等，除此之外還包括網(wǎng)絡(luò)和打印機連接。(1)用戶配置文件的類型：用戶配置文件在用戶第一次登錄到計算機時創(chuàng)建。所有針對具體用戶的設(shè)置值都自動保存在該用戶的文件夾中，即C:\Documents and Settings\用戶名。默認(rèn)的用戶配置文件：用作所有用戶配置文件的基礎(chǔ)。每個用戶配置文件都開始于默認(rèn)的用戶配置文件的一個復(fù)制件。本地用戶配置文件：在用戶第一次登錄到計算機時創(chuàng)建，并被存儲在本地計算機中。每個計算機上可以有多個這樣的配置文件。漫游用戶配置文件：由系統(tǒng)管理員創(chuàng)建，并存儲在某個服務(wù)器上。在任何時候，用戶登錄到網(wǎng)絡(luò)中的任何計算機時，這一配置文件都是可用的。如果某個用戶修改了他的桌面設(shè)置值，在該用戶撤銷登錄時，這一用戶配置文件即在服務(wù)器上更新。強制性用戶配置文件：由管理員創(chuàng)建，用于為某個或某些用戶指定特定的設(shè)置值。強制性用戶配置文件可以是本地的或是漫游的用戶配置文件。它不保存對用戶桌面設(shè)置值的任何修改，用戶可以修改他所登錄的計算機的桌面設(shè)置值，但是當(dāng)他們退出登錄時，這些修改不被保存。(2)

文章名稱：關(guān)于windows系統(tǒng)全局組的信息
本文路徑：http://sd-ha.com/article0/hooeio.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供小程序開發(fā)、全網(wǎng)營銷推廣、企業(yè)建站、標(biāo)簽優(yōu)化、營銷型網(wǎng)站建設(shè)、軟件開發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)