版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、第6章 Windows 2000組管理及組策略,教學(xué)提示:組是指訪問(wèn)目的和權(quán)限相同的一系列活動(dòng)目錄或本地計(jì)算機(jī)對(duì)象的集合,可以包含用戶、計(jì)算機(jī)和其他組等。在Windows 2000中,通過(guò)組可以管理用戶和計(jì)算機(jī)對(duì)網(wǎng)絡(luò)資源的訪問(wèn),例如活動(dòng)目錄對(duì)象及其屬性、網(wǎng)絡(luò)共享、文件、目錄和打印機(jī)隊(duì)列,還可以建立組策略。使用組,主要是為了方便管理,提高效率。,教學(xué)目標(biāo):本章的主要目標(biāo)是學(xué)習(xí)Windows 2000賬戶的基本管理操作,并掌握用戶配置文件
2、的設(shè)置方法。,6.1 組 類(lèi) 型,組是Windows 2000 從Windows NT 系統(tǒng)繼承下來(lái)的安全管理形式,它是指活動(dòng)目錄或本地計(jì)算機(jī)對(duì)象的集合,可以包含用戶、計(jì)算機(jī)和其他組等。在Windows 2000中,組可以用來(lái)管理用戶和計(jì)算機(jī)對(duì)網(wǎng)絡(luò)資源的訪問(wèn),例如活動(dòng)目錄對(duì)象及其屬性、網(wǎng)絡(luò)共享、文件、目錄和打印機(jī)隊(duì)列,還可以篩選組策略。使用組,主要是為了方便管理訪問(wèn)目的和權(quán)限相同的一系列用戶和計(jì)算機(jī)賬戶。 系統(tǒng)管理
3、員在賦予用戶或計(jì)算機(jī)賬戶權(quán)限時(shí),如果它們的權(quán)限各不相同,必須分別為它們?cè)O(shè)置;但是,如果它們的權(quán)限相同,還要分別進(jìn)行設(shè)置,就多做許多重復(fù)性工作。有了組的概念之后,就可以將這些具有相同權(quán)限的用戶或計(jì)算機(jī)劃歸到一個(gè)組中,使這些用戶成為該組的成員,然后通過(guò)賦予該組權(quán)限來(lái)使這些用戶或計(jì)算機(jī)都具有相同的權(quán)限,這就大大減輕了系統(tǒng)管理員對(duì)賬戶和權(quán)限管理的工作。,6.2 組 的 管 理,注意:雖然可通過(guò)用戶賬戶登錄計(jì)算機(jī),但不能通過(guò)組賬戶登錄計(jì)算機(jī)。,
4、使用組賬戶可以對(duì)同類(lèi)用戶授予權(quán)限并簡(jiǎn)化管理。如果用戶是可訪問(wèn)某個(gè)資源的一個(gè)組中的成員,則該特定用戶也可訪問(wèn)這一資源。因此,若要使某個(gè)用戶能訪問(wèn)各種與工作相關(guān)的資源,只需將該用戶加入正確的組。 跟管理用戶賬戶一樣,Windows 2000使用惟一安全標(biāo)識(shí)符來(lái)跟蹤組賬戶,即在刪除組賬戶之后又重新創(chuàng)建該賬戶時(shí),所有權(quán)限和特權(quán)都必須重新設(shè)置。 6.2.1 創(chuàng)建新組 6.2.2 設(shè)置組屬性
5、 6.2.3 刪除組 6.2.4 將組轉(zhuǎn)換為另一種組類(lèi)型 6.2.5 更改組作用域 6.2.6 委派控制組,6.2.1 創(chuàng)建新組,雖然系統(tǒng)提供了一些內(nèi)置組用于權(quán)限和安全設(shè)置,但是它們不能滿足特殊安全和靈活性的需要。所以,要想很好的管理用戶和計(jì)算機(jī)賬戶,必須根據(jù)網(wǎng)絡(luò)情況創(chuàng)建一些新組。新組創(chuàng)建之后,就可以像使用內(nèi)置組一樣使用它們,如賦予權(quán)限和進(jìn)行組成員的 添加。(1)
6、 打開(kāi)Active Directory 用戶和計(jì)算機(jī)管理控制臺(tái)。(2) 在控制臺(tái)樹(shù)中,雙擊域節(jié)點(diǎn)。(3) 右擊要添加組的文件夾,單擊【新建】,然后單擊【組】。(4) 輸入新組的名稱。在默認(rèn)情況下,用戶輸入的名稱還將作為新組的 Windows 2000 以前版本的名稱。如圖6.1所示。(5) 單擊所需的【組作用域】。(6) 單擊所需的【組類(lèi)型】。選擇【全局】,單擊【確定】完成。,注意:如果用戶目前創(chuàng)建的組所屬的域處于
7、混合模式,則只能選擇具有“域本地”或“全局”作用域的安全組。,返回,,圖6.1 創(chuàng)建新組,返回,6.2.2 設(shè)置組屬性,一個(gè)新組被創(chuàng)建好之后,系統(tǒng)并沒(méi)有設(shè)置該組常規(guī)屬性和權(quán)限,也沒(méi)有為其指定組成員和管理人,該組幾乎不發(fā)揮任何作用。如果要充分發(fā)揮組對(duì)用戶和計(jì)算機(jī)賬戶的管理作用,用戶必須設(shè)置該組的屬性,來(lái)解決上面提出的問(wèn)題。,返回,6.2.3 刪除組,當(dāng)活動(dòng)目錄中的組因太多而影響了對(duì)用戶和計(jì)算機(jī)賬戶的管理時(shí),作為管理員可對(duì)自己創(chuàng)建的組
8、進(jìn)行清理。例如,當(dāng)目錄中有長(zhǎng)期不使用的組或者是不符合網(wǎng)絡(luò)安全的組,可將其刪除。當(dāng)域中的某個(gè)組織單元中所包含的用戶、計(jì)算機(jī)和聯(lián)系人等已經(jīng)被刪除或因?yàn)槠渌蚨辉侔l(fā)揮作用時(shí),也可將其刪除。不過(guò),管理員只能刪除自己創(chuàng)建的組,而不能刪除由系統(tǒng)提供的內(nèi)置組。 要?jiǎng)h除組,在控制臺(tái)目錄樹(shù)中,展開(kāi)域節(jié)點(diǎn)。單擊要?jiǎng)h除的組所在的組織單元,使詳細(xì)資料窗口中列出該組織單元的內(nèi)容。然后右擊要?jiǎng)h除的組,從彈出的快捷菜單中選擇【刪除】命令,這時(shí)系
9、統(tǒng)會(huì)打開(kāi)信息確認(rèn)框,單擊【是】按鈕即完成組的刪除。如圖6.4所示。,返回,,圖6.4 刪除組,返回,6.2.4 將組轉(zhuǎn)換為另一種組類(lèi)型,用戶密碼是用戶在進(jìn)行系統(tǒng)登錄時(shí)所提供的最重要的安全憑證,因此當(dāng)用戶密碼被別人盜用或者用戶感到有必要修改自己的密碼時(shí),用戶可以通過(guò)Windows 2000 提供的修改密碼工具對(duì)用戶密碼進(jìn)行重新設(shè)置。在設(shè)置密碼時(shí),應(yīng)注意避免過(guò)于簡(jiǎn)單,以免被他人輕易破解。,返回,,圖6.5 組類(lèi)型和作用域轉(zhuǎn)換,返回,6
10、.2.5 更改組作用域,(1) 打開(kāi)Active Directory 用戶和計(jì)算機(jī)管理控制臺(tái)。(2) 在控制臺(tái)樹(shù)中,雙擊域節(jié)點(diǎn)。 (3) 單擊包含組的文件夾。(4) 在詳細(xì)信息窗口中,右擊組,然后單擊【屬性】。(5) 在【常規(guī)】選項(xiàng)卡的【組作用域】下,單擊【本地域】、【全局】或【通用】,單擊【確定】。如圖6.5所示。,返回,6.2.6 委派控制組,用戶密碼是用戶在進(jìn)行系統(tǒng)登錄時(shí)所提供的最重要的安全憑證,因
11、此當(dāng)用戶密碼被別人盜用或者用戶感到有必要修改自己的密碼時(shí),用戶可以通過(guò)Windows 2000 提供的修改密碼工具對(duì)用戶密碼進(jìn)行重新設(shè)置。在設(shè)置密碼時(shí),應(yīng)注意避免過(guò)于簡(jiǎn)單,以免被他人輕易破解。,返回,6.3 組策略的創(chuàng)建,在Windows 98的安裝盤(pán)中有一個(gè)系統(tǒng)策略編輯器,可以對(duì)用戶和用戶組進(jìn)行各種設(shè)置,系統(tǒng)則根據(jù)這些設(shè)置自動(dòng)修改注冊(cè)表的相關(guān)內(nèi)容。Windows 2000也提供了一個(gè)與之相類(lèi)似的但功能卻要強(qiáng)大得多的策略編輯器,就是組
12、策略,它能通過(guò)修改注冊(cè)表對(duì)系統(tǒng)的各種特殊屬性進(jìn)行設(shè)置,從而滿足用戶對(duì)系統(tǒng)進(jìn)行相關(guān)設(shè)置和限制的需要。 組策略是在Windows 2000 環(huán)境下管理工作站安全措施的基礎(chǔ)技術(shù) 組策略設(shè)置定義了系統(tǒng)管理員需要管理的用戶桌面環(huán)境的多種組件,例如,用戶可用的程序、用戶桌面上出現(xiàn)的程序以及【開(kāi)始】菜單選項(xiàng)。 6.3.1 組策略與Active Directory的關(guān)系 6.3.2 組
13、策略的創(chuàng)建,6.3.1 組策略與Active Directory的關(guān)系,組策略與Active Directory 用戶與計(jì)算機(jī)中的域和文件夾以及MMC管理單元相關(guān)聯(lián),組策略授予的權(quán)限應(yīng)用到存儲(chǔ)于該文件夾中的計(jì)算機(jī)上。使用Active Directory站點(diǎn)和服務(wù)管理單元還可將組策略應(yīng)用到站點(diǎn)。子文件夾從父文件夾繼承組策略,子文件夾也可擁有自己的組策略對(duì)象。指派給一個(gè)文件夾的組策略可能不止一個(gè)。組策略是安全組的補(bǔ)充,可以將單一安全配置文
14、件應(yīng)用到多臺(tái)計(jì)算機(jī)上。它加強(qiáng)了一致性并易于管理。組策略對(duì)象(GPO)包含實(shí)現(xiàn)多種類(lèi)型安全策略的權(quán)限和參數(shù)??傊?,組策略可由父站點(diǎn)傳遞到子站點(diǎn)和局域網(wǎng) 位于組策略對(duì)象【安全設(shè)置】節(jié)點(diǎn)的容器包括:賬戶策略、本地策略、事件日志、受限組、系統(tǒng)服務(wù)、注冊(cè)表、文件系統(tǒng)、公鑰策略和Active Directory中的網(wǎng)際協(xié)議安全策略等。有些策略只應(yīng)用于域的范圍,也就是說(shuō),策略設(shè)置是在域范圍內(nèi)進(jìn)行的。,返回,6.3.2 組策略的創(chuàng)建
15、,1.在非域控制器上創(chuàng)建本地組策略2.在域控制器上創(chuàng)建全局組策略對(duì)象3.將組策略對(duì)象鏈接到站點(diǎn)、域或組織單位,返回,1.在非域控制器上創(chuàng)建本地組策略,單擊【開(kāi)始】|【運(yùn)行】,在【運(yùn)行】對(duì)話框的【打開(kāi)】欄中輸入gpedit.msc,單擊【確定】,即可啟動(dòng)Windows 2000組策略管理窗口。如圖6.10所示。,,圖6.10 Windows 2000組策略管理窗口,返回,2.在域控制器上創(chuàng)建全局組策略對(duì)象,在一個(gè)域或組織單位中編輯組
16、策略的途徑有多種。這里介紹兩種。 方法一:從【開(kāi)始】|【運(yùn)行】,然后輸入:mmc.exe 啟動(dòng)MMC,選擇【控制臺(tái)】|【增加/刪除】插件,然后選擇【組策略】|【瀏覽】,在AD域內(nèi)的組策略對(duì)象就會(huì)顯示出來(lái),可以選擇一個(gè)或多個(gè)GPO進(jìn)行編輯。 方法二:在【Active Directory 用戶和計(jì)算機(jī)】管理控制臺(tái)中,右擊一個(gè)域或組織單位,在菜單中選擇【屬性】,然后選擇【組策略】標(biāo)簽。具體步驟如下。(1)
17、 打開(kāi) Active Directory 用戶和計(jì)算機(jī),創(chuàng)建鏈接到域或組織單位的組策略對(duì)象。或打開(kāi) Active Directory 站點(diǎn)和服務(wù),創(chuàng)建鏈接到站點(diǎn)的組策略對(duì)象。(2) 在控制臺(tái)中,右擊新建的組策略對(duì)象要鏈接到的站點(diǎn)、域或組織單位。(保存在當(dāng)前域中。)(3) 單擊【屬性】,然后單擊【組策略】選項(xiàng)卡, 如圖 6.11。(4) 單擊【新建】,輸入組策略對(duì)象的名稱,然后單擊【關(guān)閉】。,返回,,圖6.11 創(chuàng)建全局組
18、策略,返回,3.將組策略對(duì)象鏈接到站點(diǎn)、域或組織單位,(1) 打開(kāi) Active Directory 用戶和計(jì)算機(jī),創(chuàng)建鏈接到域或組織單位的組策略對(duì)象,或打開(kāi) Active Directory 站點(diǎn)和服務(wù),創(chuàng)建鏈接到站點(diǎn)的組策略對(duì)象。(2) 在控制臺(tái)中,右擊組策略對(duì)象應(yīng)該鏈接到的站點(diǎn)、域或組織單位。(3) 單擊【屬性】,然后單擊【組策略】選項(xiàng)卡。(4) 要將組策略對(duì)象添加到【組策略對(duì)象鏈接】列表中,請(qǐng)單擊【添加】。出現(xiàn)【添
19、加組策略對(duì)象鏈接】對(duì)話框。(5) 單擊【全部】選項(xiàng)卡,單擊所需的組策略對(duì)象,然后再單擊【確定】。(6) 在站點(diǎn)、域或組織單位的【屬性】對(duì)話框中,單擊【確定】。,返回,6.4 組策略的應(yīng)用,在Windows 2000操作系統(tǒng)中,使用組策略可以定義用戶和計(jì)算機(jī)的配置。 存儲(chǔ)在域控制器中的非本地組策略對(duì)象只能在Active Directory環(huán)境下使用。 本地組策略對(duì)象存儲(chǔ)在各個(gè)本地計(jì)算機(jī)上。
20、 使用組策略,我們可以對(duì)用戶工作環(huán)境狀態(tài)只定義一次,然后按照系統(tǒng)管理員定義的策略,對(duì)用戶和計(jì)算機(jī)進(jìn)行管理。 6.4.1 組策略應(yīng)用順序 6.4.2 組策略應(yīng)用實(shí)例,6.4.1 組策略應(yīng)用順序,用戶及計(jì)算機(jī)策略:用戶策略設(shè)置位于組策略中【用戶配置】節(jié)點(diǎn)下,在用戶登錄時(shí)獲得。計(jì)算機(jī)策略設(shè)置位于組策略中【計(jì)算機(jī)配置】節(jié)點(diǎn)下,在計(jì)算機(jī)啟動(dòng)時(shí)獲得。用戶和計(jì)算機(jī)是接收組策略的兩個(gè)Active Dire
21、ctory 對(duì)象類(lèi)型。,返回,6.4.2 組策略應(yīng)用實(shí)例,1. 控制光驅(qū)的自動(dòng)運(yùn)行 2. 禁止運(yùn)行指定的程序 出于系統(tǒng)安全和其他原因,有些程序我們可能不希望用戶隨意運(yùn)行,這可以在組策略中禁止用戶運(yùn)行指定的程序。,返回,6.5 組策略安全,6.5.1 組策略和AD 6.5.2 GPO的多樣性和繼承,6.5.1 組策略和AD,組策略包括應(yīng)用于域或計(jì)算機(jī)中的大量安全權(quán)限配置文件。一個(gè)組策略對(duì)象可
22、以應(yīng)用到局域網(wǎng)內(nèi)的所有計(jì)算機(jī)。單個(gè)計(jì)算機(jī)啟動(dòng)時(shí),組策略得以應(yīng)用,如果作出改動(dòng)時(shí)沒(méi)有重新啟動(dòng)計(jì)算機(jī),組策略會(huì)得到定期刷新。 只有運(yùn)行Windows 2000的系統(tǒng)可以執(zhí)行組策略,運(yùn)行Windows NT 4.0和Windows 9x的客戶機(jī)則無(wú)法識(shí)別到或運(yùn)行具有AD架構(gòu)的組策略對(duì)象。 要充分發(fā)揮GPO的功能,需要有AD域架構(gòu)的支持,利用AD可以定義一個(gè)集中的策略,所有的Windows 2000服務(wù)器和工
23、作站都可以采用它。然而,每臺(tái)運(yùn)行Windows 2000的計(jì)算機(jī)都有一個(gè)本地GPO(駐留在本地計(jì)算機(jī)文件系統(tǒng)上的GPO),通過(guò)本地GPO,可以為每臺(tái)工作站指定一個(gè)策略,它在AD域中不起作用。 本地GPO支持除軟件安裝和文件夾重定向之外的所有默認(rèn)擴(kuò)展,如果想充分發(fā)揮GPO的功能,需要AD的支持。,返回,6.5.2 GPO的多樣性和繼承,在AD中,可以在域、組織單位或站點(diǎn)3個(gè)不同的層次上定義GPO。OU是AD中的一個(gè)容器
24、,可以指派它對(duì)用戶、組或計(jì)算機(jī)等對(duì)象進(jìn)行管理,站點(diǎn)是網(wǎng)絡(luò)上子網(wǎng)的集合,站點(diǎn)形成了AD的復(fù)制分界線。GPO的名字空間被劃分為計(jì)算機(jī)配置和用戶配置兩個(gè)大類(lèi),只有用戶和計(jì)算機(jī)可以使用GPO,像打印機(jī)對(duì)象甚至用戶組都不能應(yīng)用GPO。 根據(jù)GPO在AD名字空間中的不同位置,可以有多個(gè)GPO對(duì)用戶對(duì)象或計(jì)算機(jī)對(duì)象起作用。只有域中的其他對(duì)象是通過(guò)繼承生成時(shí)GPO才是通過(guò)繼承生成的。Windows 2000通過(guò)下面的方式執(zhí)行GPO。
25、首先 ,操作系統(tǒng)執(zhí)行現(xiàn)有的本地系統(tǒng)上的策略,然后, Windows 2000 依次執(zhí)行定義的站點(diǎn)級(jí)的GPO、域一級(jí)的GPO和基于OU的GPO,微軟把這一優(yōu)先順序取其首個(gè)字母縮寫(xiě)為L(zhǎng)SDOU(執(zhí)行的順序依次是本地Local、站點(diǎn) Site 、域Domain、OU層次的GPO),用戶可以在這個(gè)鏈上的許多層次上定義GPO。,返回,6.6 上 機(jī) 指 導(dǎo),6.6.1 建立sales組并將用戶Administrator加入該組6.6.2
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 《windows 2000網(wǎng)絡(luò)基礎(chǔ)教程與上機(jī)指導(dǎo)》第7章windows 2000磁盤(pán)管理
- 《windows 2000網(wǎng)絡(luò)基礎(chǔ)教程與上機(jī)指導(dǎo)》第5章windows 2000用戶管理
- 《windows 2000網(wǎng)絡(luò)基礎(chǔ)教程與上機(jī)指導(dǎo)》第15章windows 2000終端服務(wù)
- 《windows 2000網(wǎng)絡(luò)基礎(chǔ)教程與上機(jī)指導(dǎo)》第16章windows 2000備份與還原
- 《windows 2000網(wǎng)絡(luò)基礎(chǔ)教程與上機(jī)指導(dǎo)》第13章windows 2000的ftp服務(wù)
- 《windows 2000網(wǎng)絡(luò)基礎(chǔ)教程與上機(jī)指導(dǎo)》第10章windows 2000的dhcp服務(wù)
- 《windows 2000網(wǎng)絡(luò)基礎(chǔ)教程與上機(jī)指導(dǎo)》第4章windows 2000域和組織單元管理
- windows2000網(wǎng)絡(luò)基礎(chǔ)教程與上機(jī)指導(dǎo)第9章節(jié)windows2000網(wǎng)絡(luò)幻燈片
- 《windows 2000網(wǎng)絡(luò)基礎(chǔ)教程與上機(jī)指導(dǎo)》第8章windows 2000文件系統(tǒng)管理與dfs
- 《visual c#程序設(shè)計(jì)教程與上機(jī)指導(dǎo)》第6章windows程序設(shè)計(jì)
- 第2章 中文windows 2000操作系統(tǒng)
- 《solidworks 2005基礎(chǔ)教程與上機(jī)指導(dǎo)》第8章鈑金設(shè)計(jì)
- 《網(wǎng)頁(yè)設(shè)計(jì)基礎(chǔ)教程與上機(jī)指導(dǎo)第2版》第1章網(wǎng)頁(yè)設(shè)計(jì)基礎(chǔ)
- photoshop 7.0基礎(chǔ)教程與上機(jī)指導(dǎo)第1課
- 《protel 2004設(shè)計(jì)及應(yīng)用基礎(chǔ)教程與上機(jī)指導(dǎo)》第9章人工布線
- 《電腦入門(mén)教程與上機(jī)指導(dǎo)》第7課word 2000基礎(chǔ)操作
- 《電腦綜合使用教程與上機(jī)指導(dǎo)》第17課excel 2000基礎(chǔ)操作
- 《電腦入門(mén)教程與上機(jī)指導(dǎo)》第3課windows 98的文件管理
- windows2000server
- windows 2008網(wǎng)絡(luò)負(fù)載均衡
評(píng)論
0/150
提交評(píng)論