计算机上用户和组的意义,在域中管理用户和组

本章要点：

Ø 用户帐号和组概述

Ø 创建和管理用户帐号

Ø 在域中使用组的策略

3．1 用户帐号和组概述

活动目录是一种保存和维护网络资源所需的数据的目录服务数据库。域用户帐号在AD中创建一次，就能在域中的工作站上登录访问网络资源。组通常是用户帐号的集合，可以用来高效管理域资源的访问。

管理对 Active Directory 目录服务拥有管理权限的用户和组是网络系统保护的重要组成部分。获得 Active Directory 域控制器管理权限的怀有恶意的人可以破坏网络系统的安全。这些人可能是未经授权的用户，他们已经得到管理密码；或者可能是合法的管理员，但被胁迫或心怀不满。此外，并不是所有的问题都与恶意的企图有关。被授予管理权限的用户也可能因错误了解配置更改的细节而在不经意间造成一些问题。因此，仔细管理具有域控制器管理控制权的用户和组是非常重要的。

3.1.1 管理员可以创建的三类用户帐号

管理员可以创建三种类型的用户账号，每种用户账号都有特定的功能：

1、本地用户账号。本地用户帐号驻留于创建它的计算机上的安全帐号管理器(SAM)中，用户可以利用它登录到一台特定的计算机上以访问该计算机上的资源。

2、域用户账号。域用于帐号驻留于活动目录(AD)中，用户可以利用它登录到域以访问网络资源。

3、内置的用户账号。用户可以利用它执行管理任务或可以临时访问网络资源。如需要将一个普通用户的权限进行提升，可以将这个用户添加到相应的具有管理权限的内置组中。

3.1.2 用户登录名

在活动目录中，每一个用户帐户都有一个用户登录名，以及一个低于Windows 2000版本的Windows用户登录名。用户帐户信息用来验证和授权目录林中任何地方的用户，在创建用户帐户时，需要确保用户帐户遵循唯一性原则。

一个用户登录名有两部分：用户主名前缀和用户主名后缀。为了在活动目录域和信任关系中添加一个新的后缀，管理员必须是预先确定的企业管理组的成员。

在Windows 2000/2003网络中，用户可以用一个用户主名或者一个用户登录名来登录。域控制器可以用这些登录名中的任何一个来验证登录请求。

用户主名

用户主名(User Principal Name)的格式同E-mail地址，例如，[email][email protected][/email]，john称为用户主名前缀，esstest.com称为用户主名后缀，一般为根域的域名。主用户名只能用登录Windows 2000的网络。

使用用户主名的优点如下：

1、当将一个用户账号移动到不同的域中时用户主名不变，因为这个名字在活动目录中是唯一的。

2、用户主名和用户的E-mail地址名一样，可以实现一个用户主名通行Windows 2000网络，并可与将来的Exchange邮件系统集成在一起，因为它具有和标准的E-mail地址一样的格式。

图 3-1 采用用户主名登录

用户登录名(Windows 2000以前版本)

用户登录名可用于Pre-Windows 2000的环境或Windows 2000；登录时需要提供用户登录名和域名。

图 3-2 采用用户登录名登录

用户登录名的唯一性原则

在活动目录中域用户帐户用户登录名必须遵循唯一性原则。当创建用户登录名时，要考虑如下的唯一性原则：

1、全名在所属的容器内惟一。

2、用户登录名(Windows 2000以前版本)在所属的域内惟一。

3、用户主名在整个森林内惟一。3.1.3 活动目录中组