本章要点:
Ø 用户帐号和组概述
Ø 创建和管理用户帐号
Ø 在域中使用组的策略
活动目录是一种保存和维护网络资源所需的数据的目录服务数据库。域用户帐号在AD中创建一次,就能在域中的工作站上登录访问网络资源。组通常是用户帐号的集合,可以用来高效管理域资源的访问。
管理对 Active Directory 目录服务拥有管理权限的用户和组是网络系统保护的重要组成部分。获得 Active Directory 域控制器管理权限的怀有恶意的人可以破坏网络系统的安全。这些人可能是未经授权的用户,他们已经得到管理密码;或者可能是合法的管理员,但被胁迫或心怀不满。此外,并不是所有的问题都与恶意的企图有关。被授予管理权限的用户也可能因错误了解配置更改的细节而在不经意间造成一些问题。因此,仔细管理具有域控制器管理控制权的用户和组是非常重要的。
管理员可以创建三种类型的用户账号,每种用户账号都有特定的功能:
1、
本地用户账号。本地用户帐号驻留于创建它的计算机上的安全帐号管理器(SAM)中,用户可以利用它登录到一台特定的计算机上以访问该计算机上的资源。
2、
域用户账号。域用于帐号驻留于活动目录(AD)中,用户可以利用它登录到域以访问网络资源。
3、
内置的用户账号。用户可以利用它执行管理任务或可以临时访问网络资源。如需要将一个普通用户的权限进行提升,可以将这个用户添加到相应的具有管理权限的内置组中。
在活动目录中,每一个用户帐户都有一个用户登录名,以及一个低于Windows 2000版本的Windows用户登录名。用户帐户信息用来验证和授权目录林中任何地方的用户,在创建用户帐户时,需要确保用户帐户遵循唯一性原则。
一个用户登录名有两部分:用户主名前缀和用户主名后缀。为了在活动目录域和信任关系中添加一个新的后缀,管理员必须是预先确定的企业管理组的成员。
在Windows 2000/2003网络中,用户可以用一个用户主名或者一个用户登录名来登录。域控制器可以用这些登录名中的任何一个来验证登录请求。
用户主名
用户主名(User Principal Name)的格式同E-mail地址,例如,[email][email protected][/email],john称为用户主名前缀,esstest.com称为用户主名后缀,一般为根域的域名。主用户名只能用登录Windows 2000的网络。
使用用户主名的优点如下:
1、当将一个用户账号移动到不同的域中时用户主名不变,因为这个名字在活动目录中是唯一的。
2、用户主名和用户的E-mail地址名一样,可以实现一个用户主名通行Windows 2000网络,并可与将来的Exchange邮件系统集成在一起,因为它具有和标准的E-mail地址一样的格式。
图 3-1 采用用户主名登录
用户登录名(Windows 2000
以前版本)
用户登录名可用于Pre-Windows 2000的环境或Windows 2000;登录时需要提供用户登录名和域名。
图 3-2 采用用户登录名登录
用户登录名的唯一性原则
在活动目录中域用户帐户用户登录名必须遵循唯一性原则。当创建用户登录名时,要考虑如下的唯一性原则:
1、全名在所属的容器内惟一。
2、用户登录名(Windows 2000以前版本)在所属的域内惟一。
3、用户主名在整个森林内惟一。
3.1.3 活动目录中组的分类
组是可包含用户、联系人、计算机和其他组的Active Directory或本机对象。使用组可以简化管理。
从组的类型分类
从组的类型对活动目录中的组进行划分,可以分为安全组和分布组。而这两种组都支持全局组、域本地组、域通用组三种组范围中的一种。
安全组用来为用户和计算机分配权限。它的主要特点如下:
1、安全组实现与安全性有关的工作和功能,属于Windows 2000的安全主体。
2、通过给安全组赋予访问资源的权限来限制安全组成员对域中资源的访问。
3、每一个安全组都有一个唯一的SID,在AD中不会重复。
4、 安全组也具有分发组的某些功能。
分布组没有SID,该组无安全功能,不能被赋予访问资源的权限。它的主要特点如下:
1、分布组实际上是一个用户账号的列表。
2、可以组织其成员的 E-mail地址形成E-mail列表。
3、 只能与电子邮件应用程序一起使用以便将邮件发送到用户集。
从组的作用域范围进行分类
从组的作用域范围进行划分,活动目录中的组可分为全局组、域本地组和域通用组。
可以使用全局组来管理那些进行相同工作任务并有类似网络访问需求的用户。因为全局组具有目录林范围的可见性,不应特地为域资源访问而创建它们。它主要用于组织用户或用户组。
图 3-3 全局组的特点
全局组的特点如图3-3所示。图中描述了全局组的成员资格、成员范围、作用域范围以及权限范围。
可以使用域本地组为位于在其中创建域本地组的域中的资源分配访问权限。图3-4描述了域本地组的成员资格、成员范围、作用域范围以及权限范围。
图 3-4 域本地组的特点
可使用通用组来嵌套全局组,以便为多个域中的相关资源分配权限。一个Windows 2000域必须处于本机模式才能使用通用组。
图3-5描述了通用组的成员资格、成员范围、作用域范围以及权限范围。
图 3-5 域通用组的特点
通用组一般用于多域的情况,通用组的成员信息保存在GC中。尽量避免通用组直接包含用户账号成员,而使用全局组作为通用组的成员。
每一个在域中活动的用户都在活动目录中有一个用户帐号。用户帐号信息用来验证和授权目录林中任何地方的用户,保证了单一性。
当在活动目录用户和计算机中创建一个帐号时,需要选择一个用户主名的后缀。如果活动目录用户和计算机中不存在需要的后缀,可以以企业管理员组成员的身份登录进行添加。通过给所有的用户提供唯一的用户主名后缀,简化了管理和用户登录过程。
可以按以下步骤来添加一个新的后缀:
1、选择【管理工具】 => 【Active Directory域和信任】,右【Active Directory域和信任】,然后选择【属性】菜单。
2、在【UPN后缀】标签上,为域键入一个可供选择的UPN后缀(如我们可以创建一个contoso.msft域名后缀),然后单击【添加】按钮,即可完成添加。
可以一次只创建一个用户帐号,也可一次创建多个用户帐号,在本小节中,我们首先介绍一次只创建一个用户帐号的方法。
可按下列步骤完成单用户帐号的创建:
1、选择【管理工具】 => 【Active Directory用户和计算机】,然后展开【Active Directory用户和计算机】,右击Users,选择【新建】 => 【用户】。如图3-6所示。
图 3-6 采用用户登录名登录
2、在【新建对象-用户】对话框中,输入用户的相关信息。如用户登录名,并选择一个用户主名后缀,然后单击【下一步】按钮。如图3-7所示。
3、为用户帐号设置相应的口令,然后按向导默认选项完成一个新用户的创建。
图 3-7 输入用户信息
采用批量导入的方法,通过从一个文本文件导入数据来配置用户帐户的属性,可以在活动目录中一次创建多个用户。
为了批量创建多用户,您可以使用LDIFDE(LDIF Data Interchange Format Directory Exchange,轻型目录访问协议互换格式目录交换)工具实现这一操作,也可以使用VBScript开发系统编写简单程序实现这一操作。使用这些工具,您可以导入、导出及修改诸如用户、通讯录、组、服务器、打印机及共享文件夹的对象。
本单元将重点介绍如何LDIFDE以及CSVDE(Comma Separated Value Directory Exchange,逗号分离值目录交换)来进行批量创建多用户帐户的方法。
CSVDE
和LDIFDE
文件中包含的信息
创建多用户帐户时,在CSVDE或LDIFDE文件中应包含下列的信息:
1、必须包含指向活动目录中的用户帐号、用户帐户本身的对象类型以及用户登录名(Windows 2000以前版本)的路径。
2、应该包含用户主名。主要用于登录到Windows 2000/2003的网络。
3、可以包含用户个人信息,如电话号码或家庭地址等。
4、不可以包含密码。批量导入应为用户帐户保留空密码。缺省情况下,用户在第一次登录时必须修改密码。
5、可包含用户是启用还是禁用的信息。如果不指定一个值,用户帐户是禁用的。
使用CSVDE
工具完成批量创建用户帐户操作
CSVDE格式只能用来向活动目录中添加用户对象和对象的其它类型。在导入一个CSVDE文件前,必须确入要导入的文件格式正确,以便使导入成功。通常可以采用记事本、Excel或Word等程序来编辑和格式化一个文本文件。
CSVDE文件格式如图3-8所示,格式文件的第一行为属性行,指明了要为用户帐户定义的每个属性的名字,不同属性间用逗号隔开。格式文件的第二行及以后的行为用户帐户行,包含了说明属性行中每个属性的相应值,注意应于属性行一一对应。在用户帐号行中,可包含用户帐号的启用或禁用信息,如值512表示启用用户帐户,值514表示禁用用户帐户。
图 3-8 CSVDE文件的格式
在将文件正确格式化后,可以使用CSVDE命令导入文件以在活动目录中创建多用户帐户。导入命令如下:
csvde –I –f filename (其中-I 表示要文件导入;-f表示下一个参数是要导入的文件名)
使用LDIFDE
工具完成批量创建用户帐户操作
LDIF(LDAP数据交换格式)是一种文件格式的Internet标准草案,该文件格式可以用于在符合LDAP标准的目录上完成批量操作。LDIF可以用于导入和导出数据,并允许在活动目录中完成添加、修改及删除等批量操作。Windows 2000/2003操作系统中包含一个名为LDIFDE的工具,该工具可以支持基于LDIF标准的批量操作。
图 3-9 LDIFDE文件格式
LDIFDE文件格式如图3-9所示,格式文件包含了一个由一系列描述活动目录中的每个用户帐户的条目行,或者一系列描述活动目录中的用户帐户的改变的行所组成的一个记录。用户帐户条目指定了为每个新用户帐户定义的的每个属性的名字。
要注意的是:在格式文件中,任何以“#”开始的行是注释行,运行时将被忽略。而如果一个值没有属性,则必须将其表示为:AttributeDescription”:”FILL SEP。
在将文件正确格式化后,可以使用LDIFDE命令导入文件以在活动目录中创建多用户帐户。导入命令如下:
ldifde –I –f filename (其中-I 表示要文件导入;-f表示下一个参数是要导入的文件名)
3.2.4 用户帐号的基本管理
当活动目录中的用户创建后,管理员还必须继续完成一些管理任务以确保用户的环境以及对他们所享有资源的合法。
实现用户帐户的基本管理主要是对用户进行登录时间、登录的工作站、用户密码等进行管理。如图3-10、3-11所示。
图 3-10 设置用户帐户的过期时间
图 3-11 设置用户可以登录的工作站
在基本管理中,还有一些公共的管理任务,如重设密码、解除锁定用户、重命名、禁用、启用以及删除用户帐户和在一个域内移动用户帐户等。因为可能有大量的用户,还可用活动目录自带的查找工具来查询一个特定的用户帐户。如图3-12所示。
图 3-12 执行公共的管理任务
在Windows 2000中,用户的工作环境主要由用户配置文件定义的。为了安全性的目的,Windows 2000要求每一个访问系统的用户账号都有一个用户配置文件。用户配置文件包含所有必要的设置值,这些设置值包括显示器、区域设置、鼠标和声音设置等,除此之外还包括网络和打印机连接。
用户配置文件的类型
用户配置文件有以下四种类型:
1、
默认的用户配置文件(Default User Profile
)。用于生成一个新用户的工作环境,所有对用户配置文件的修改都在默认的用户配置文件上开始进行。该文件保存在Windows安装卷上的\Documents and Settings\ Default User文件夹下。当用户第一次登录计算机时,其用户配置文件的内容由Default User文件夹中的内容和All Users文件夹中的内容组成。
2、
本地用户配置文件(Local User Profile
)。在用户第一次登录到计算机时创建,并被存储在本地计算机中。每个计算机上可以有多个这样的配置文件。本地用户的配置文件的名字以用户命名。
3、
漫游用户配置文件(Roaming User Profile
)。由系统管理员创建,并存储在某个服务器上。在任何时候,用户登录到网络中的任何计算机时,这一配置文件都是可用的。如果某个用户修改了他的桌面设置值,在该用户撤销登录时,这一用户配置文件即在服务器上更新。
4、
强制性用户配置文件(Mandatory User Profile)
。由管理员创建,用于为某个或某些用户指定特定的设置值。强制性用户配置文件可以是本地的或是漫游的用户配置文件。它不保存对用户桌面设置值的任何修改,用户可以修改他所登录的计算机的桌面设置值,但是当他们退出登录时,这些修改不被保存。
创建漫游配置文件
一般情况下,当通过Windows 2000操作系统的管理工具建立起用户帐号后,这些用户的默认都是设置成非漫游性用户帐号。即如没有经过特别的设置,这些用户帐户都拥有相同的操作环境。当你为用户设置了漫游配文件之后,不论用户通过你的企业中的哪一台Windows 2000工作站登录,都会拥有相同的操作环境,且在任一台工作站上做的更改都会保留下来。
Windows 2000操作系统采用共享文件夹方式存储漫游型用户的设置文件,所以在设置用户的漫游配置文件前,首先要在网络中某个服务器上(如计算机ESS-DC-11)创建一个共享的文件夹(如Profile),并为用户提供对于该文件夹的“完全控制”的权限。接下来,你必须继续将用户帐户转换为漫游型用户帐户。转换步骤如下:
1、在域用户账号(如user1)的属性对话框中,点击【配置文件】选项卡,在【配置文件路径】文本框中输入相应的路径信息,用以指定共享文件夹。在输入路径时,可以采用变量%user_name%,而不键入具体的用户名称,此时,Windows 2000将自动用漫游用户配置文件的用户账号名称替代%user_name%。设置完毕后按【确定】按钮完成配置。如图3-13所示。
图 3-13 设置用户配置文件路径
2、右击配置好的用户帐户user1,在属性菜单中选择【复制】,可以创建其它的用户帐户,同时会自动将用户配置文件路径及其它一些公用信息进行复制。
3、用户user1在域中一台工作站A上登录,然后在桌面上创建一个文件,并可在“我的文档”以及开始菜单中作一些个性的修改,完成后注销。
4、用户user1在域中的另一台工作站B上登录,可以看到他在工作站A上作的修改在工作站B上仍然有效。
创建强制型配置文件
可以通过为用户配置强制型配置文件,使其在域中任一中工作站上作的个性设置在注销后失效。配置的方法是将用户配置文件中的Ntuser.dat重命名为Ntuser.man。这样做将使配置文件成为只读的,并因此而成为强制性的。
为了高效的使用组,需要一个为使用不同组作用域范围而定的策略。在域中使用组的策略有:
1、使用A-G-DL-P策略;
2、使用A-G-G-DL-P策略;
3、使用A-G-U-DL-P策略。
这里,A表示用户账号,G表示全局组,U表示通用组,DL表示域本地组,P表示资源权限。如A-G-DL-P策略是将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。其余类推。
AGGDLP
策略
AGGDLP策略适用于单域结构中。图3-14描述了AGGDLP策略的实现的过程。
图 3-14 AGGDLP策略
AGGUDLP
策略
AGGUDLP策略适用于目录林结构即多域结构中。图3-15描述了AGGUDLP策略的实现的过程。
图 3-15 ADDUDLP策略