1、第 6章 Windows 2000组管理及组策略 教学提示:组是指访问目的和权限相同的一系列活动目录或本地计算机对象的集合,可以包含用户、计算机和其他组等。在 Windows 2000中,通过组可以管理用户和计算机对网络资源的访问,例如活动目录对象及其属性、网络共享、文件、目录和打印机队列,还可以建立组策略。使用组,主要是为了方便管理,提高效率。教学目标:本章的主要目标是学习 Windows 2000账户的基本管理操作,并掌握用户配置文件的设置方法。6.1 组 类 型组是 Windows 2000 从 Windows NT 系统继承下来的安全管理形式,它是指活动目录或本地计算机对象的集合,可以
2、包含用户、计算机和其他组等。在 Windows 2000中,组可以用来管理用户和计算机对网络资源的访问,例如活动目录对象及其属性、网络共享、文件、目录和打印机队列,还可以筛选组策略。使用组,主要是为了方便管理访问目的和权限相同的一系列用户和计算机账户。系统管理员在赋予用户或计算机账户权限时,如果它们的权限各不相同,必须分别为它们设置;但是,如果它们的权限相同,还要分别进行设置,就多做许多重复性工作。有了组的概念之后,就可以将这些具有相同权限的用户或计算机划归到一个组中,使这些用户成为该组的成员,然后通过赋予该组权限来使这些用户或计算机都具有相同的权限,这就大大减轻了系统管理员对账户和权限管理的
3、工作。6.2 组 的 管 理注意:虽然可通过用户账户登录计算机,但不能通过组账户登录计算机。注意:虽然可通过用户账户登录计算机,但不能通过组账户登录计算机。使用组账户可以对同类用户授予权限并简化管理。如果用户是可访问某个资源的一个组中的成员,则该特定用户也可访问这一资源。因此,若要使某个用户能访问各种与工作相关的资源,只需将该用户加入正确的组。跟管理用户账户一样, Windows 2000 使用惟一安全标识符来跟踪组账户,即在删除组账户之后又重新创建该账户时,所有权限和特权都必须重新设置。6.2.1 创建新组6.2.2 设置组属性6.2.3 删除组6.2.4 将组转换为另一种组类型6.2.5
4、更改组作用域6.2.6 委派控制组6.2.1 创建新组虽然系统提供了一些内置组用于权限和安全设置,但是它们不能满足特殊安全和灵活性的需要。所以,要想很好的管理用户和计算机账户,必须根据网络情况创建一些新组。新组创建之后,就可以像使用内置组一样使用它们,如赋予权限和进行组成员的 添加。(1) 打开 Active Directory 用户和计算机管理控制台。(2) 在控制台树中,双击域节点。(3) 右击要添加组的文件夹,单击 【 新建 】 ,然后单击 【 组 】 。(4) 输入新组的名称。在默认情况下,用户输入的名称还将作为新组的 Windows 2000 以前版本的名称。如 图 6.1所示。(5
5、) 单击所需的 【 组作用域 】 。(6) 单击所需的 【 组类型 】 。选择 【 全局 】 ,单击 【 确定 】 完成。注意:如果用户目前创建的组所属的域处于混合模式,则只能选择具有注意:如果用户目前创建的组所属的域处于混合模式,则只能选择具有 “域本地域本地 ”或或 “全局全局 ”作用域的安全组。作用域的安全组。返回图 6.1 创建新组返回6.2.2 设置组属性一个新组被创建好之后,系统并没有设置该组常规属性和权限,也没有为其指定组成员和管理人,该组几乎不发挥任何作用。如果要充分发挥组对用户和计算机账户的管理作用,用户必须设置该组的属性,来解决上面提出的问题。 返回6.2.3 删除组当活动
6、目录中的组因太多而影响了对用户和计算机账户的管理时,作为管理员可对自己创建的组进行清理。例如,当目录中有长期不使用的组或者是不符合网络安全的组,可将其删除。当域中的某个组织单元中所包含的用户、计算机和联系人等已经被删除或因为其他原因而不再发挥作用时,也可将其删除。不过,管理员只能删除自己创建的组,而不能删除由系统提供的内置组。要删除组,在控制台目录树中,展开域节点。单击要删除的组所在的组织单元,使详细资料窗口中列出该组织单元的内容。然后右击要删除的组,从弹出的快捷菜单中选择 【 删除 】 命令,这时系统会打开信息确认框,单击 【 是 】 按钮即完成组的删除。如 图 6.4所示。返回图 6.4 删除组返回6.2.4 将组转换为另一种组类型用户密码是用户在进行系统登录时所提供的最重要的安全凭证,因此当用户密码被别人盗用或者用户感到有必要修改自己的密码时,用户可以通过 Windows 2000 提供的修改密码工具对用户密码进行重新设置。在设置密码时,应注意避免过于简单,以免被他人轻易破解。返回图 6.5 组类型和作用域转换返回
