Windows网络服务器配置与管理-提高篇 第3章 设置和管理用户和组.ppt

第3章设置和管理用户和组介绍用户和组用户登录名创建多个用户账户管理用户账户在ActiveDirectory中使用组在域中使用组的策略域用户账户和组错误诊断最佳实践3.1介绍用户和组为每个用户创建一个惟一的账户，提供用户登录和使用网络的能力使用脚本文件成批创建用户组将用户集合起来，用于管理和共同资源的授权使用组的嵌套来简化管理用户用户用户用户共享资源共享资源共享资源共享资源权限权限组组组组3.2用户登录名用户登录名介绍创建用户主要名称后缀用户登录名介绍在Windows2000网络中用户可以使用“用户主要名称”或“用户登录名”登录网络用户登录名介绍（续）由两部分组成前缀如：suzanf后缀如：contoso.msft完整就是：suzanfcontoso.msft后缀默认是根域的域名用户首选名字的优点当你将一个用户移动到另一个域时，无需改动它的登录方式，因为用户首选名在AD中惟一可以与用户的电子邮件一致后缀后缀前缀前缀suzanfcontoso.msft用户登录名介绍（续）提供使用早期客户系统的用户使用，该名字就是用户的账户，如同用户首选名字中的前缀注意：用户登录名和用户登录主名前缀这两者可以不同+用户用户域域contososuzanf用户登录名字（兼容早期系统）用户登录名字（兼容早期系统）用户登录名介绍（续）用户登录名字的惟一准则树林中用户主名惟一在域中，用户登录名惟一在账户所在的容器中，账户的完全名(Full Name)应当惟一创建用户主要名称后缀当我们的用户主名后缀和根域的域名有出入的情况下，我们可能就需要添加用户主名后缀添加新的后缀添加新的后缀3.3创建多个用户账户批量导入用户账户使用 CSVDE 创建多个用户账户使用 LDIFDE 创建多个用户账户3.3.1 批量导入用户账户通过批量导入操作，你可以在 Windows2003AD中一次性创建多个用户账户。这个过程中要使用到一个包含你要创建的用户账户所有信息的文本文件，这个文件可以使用数据库程序或 Excel和 Word制作Active Directory文本文件文本文件 suzanf judyl用户信息用户信息3.3.2使用CSVDE创建多个用户账户CSV（CommaSeparatedvalues）是一种用来存储数据的纯文本文件格式，常用于电子表格或数据库软件。规则：1、开头是不留空，以行为单位。2、可含或不含列名，含列名则居文件第一行。3、一行数据不垮行，无空行。4、以半角“，”作分隔符，列为空也要表达其存在。5、列内容如存在，则用“”包含起来。6、列内容如存在“”则用“”“”包含。7、文件读写时引号，逗号操作规则互逆。8、内码格式不限，可为ASCII、Unicode或者其他。使用CSVDE创建多个用户账户DN=全名全名+路径路径显示名称显示名称用户主名用户主名用户登录名用户登录名对象类型对象类型格式举例格式举例格式举例格式举例第一行为属性行：第一行为属性行：DN,objectClass,samAccountName,userPrincipalName,displayName,userAccountControl第二行开始是用户值：第二行开始是用户值：cn=Suzan Fine,ou=Human Resources,dc=asia,dc=contoso,dc=msft,user,suzanf,suzanfcontoso.msft,Suzan Fine,512Csvde.exe 是一个是一个 Windows 2000 命令行命令行实用程序，安装实用程序，安装 Windows 2000 之后，它位之后，它位于于 SystemRootSystem32 文件夹中。文件夹中。Csvde.exe 与与 Ldifde.exe 类似，但它以逗类似，但它以逗号分隔值号分隔值(CSV)格式提取信息。可以使用格式提取信息。可以使用 Csvde 导入和导出使用逗号分隔值格式的导入和导出使用逗号分隔值格式的 Active Directory 数据。使用电子表格程序数据。使用电子表格程序（如（如 Microsoft Excel）可打开此）可打开此.csv 文件，文件，查看标题信息和值信息。查看标题信息和值信息。csvde-i-fc:filename.csv使用 CSVDE创建多个用户账户（续）CSVDE脚本的输入CSVDEIFFILENAMEI标明输入状态F标明文件CSVDE脚本的输出CSVDEFFILENAMEF标明文件3.3.3 使用 LDIFDE创建多个用户账户DN=全名全名+路径路径对象类型对象类型显示名称显示名称用户主名用户主名用户登录名用户登录名格式举例格式举例格式举例格式举例DN:CN=Suzan Fine,OU=Human Resources,DC=asia,DC=contoso,DC=msftobjectClass:usersamAccountName:suzanf userPrincipalName:suzanfcontoso.msftdisplayName:Suzan FineuserAccountControl:512LDIFDE脚本输入LDIFDEIFFILENAME使用 LDIFDE创建多个用户账户（续）LDIFDE脚本输出LDIFDEFFILENAME3.4管理用户账户执行常规的管理任务定位用户账户执行常规的管理任务账户被锁定 定位用户账户R RemoveemoveDescription挑选属性挑选属性指定查找范围指定查找范围指定特定属性的值指定特定属性的值设置条件设置条件3.5在ActiveDirectory中使用组介绍ActiveDirectory中的组使用全局组使用域本地组使用通用组介绍ActiveDirectory中的组组通常用于组织用户账户进行统一的授权n在在 AD 中有两种组：安全中有两种组：安全组和分布组组和分布组 n一个用户可以同时属于多个组一个用户可以同时属于多个组 n在在 AD 中，将一个组加入另一个组称为中，将一个组加入另一个组称为“嵌套嵌套”3.5.1 使用全局组使用全局组规则使用全局组规则作为其他组作为其他组作为其他组作为其他组成员成员成员成员成员组成成员组成成员组成成员组成作用域作用域作用域作用域 授予权限授予权限授予权限授予权限 l混合模式：混合模式：来自本域的用户l本机模式：本机模式：本域用户和本域全局组 l混合模式混合模式：域本地组l本机模式本机模式：任何域的本地和通用组、本域的全局组 l访问本域和信任域 l树林中的所有域 添加添加添加添加全局组全局组3.5.2使用域本地组使用域本地组规则使用域本地组规则其他组成员其他组成员其他组成员其他组成员成员组成成员组成成员组成成员组成作用域作用域作用域作用域授予权限授予权限授予权限授予权限l混合模式：混合模式：任何域用户和全局组l本机模式：本机模式：任何域用户和全局组、通用组、本域的本地组 l混合模式：混合模式：无 l本机模式本机模式：本域的本地组 l只能访问本域 l只能在本域授权 添加添加添加添加全局组全局组域域DLG域本地组域本地组3.5.3使用通用组其他组成员其他组成员其他组成员其他组成员使用通用组规则使用通用组规则成员身份成员身份成员身份成员身份l混合模式混合模式：无l本机模式本机模式：树林中任何域用户和全局组、通用组 l混合模式混合模式：无l本机模式本机模式：树林中任何域的本地和通用组 作用域作用域作用域作用域l访问树林中的所有域 授予权限授予权限授予权限授予权限l树林中的所有域 从多个域从多个域添加添加全局组全局组通用组通用组3.5.4在域中使用组的策略使用全局和域本地组课堂讨论在单域中使用组使用全局和域本地组使用本地组和全局组的策略：A-G-G-DL-P原则用户账户用户账户全局组全局组全局组全局组域本地组域本地组权限权限A AGGDLDLP PGGDLG添加域用户账户到全局组中添加域用户账户到全局组中（可选）添加全局组到另一个全局组中（可选）添加全局组到另一个全局组中添加全局组到域本地组中添加全局组到域本地组中为域本地组分配资源权限为域本地组分配资源权限课堂讨论在单域中使用组经理需要访问财务数据库经理需要访问财务数据库如何设置组？如何设置组？?资源资源财务财务财务财务回顾学习完本部分后，将能够：学习完本部分后，将能够：n明确在明确在 Microsoft Windows 2003 中使用用户账户和组的作用中使用用户账户和组的作用n明确用户登录名的不同类型，并创建一个用户主要名称后缀明确用户登录名的不同类型，并创建一个用户主要名称后缀n通过将用户信息导入到通过将用户信息导入到 Active Directory中创建大量的用户账户中创建大量的用户账户n管理用户账户管理用户账户n使用组来管理对域资源的访问使用组来管理对域资源的访问n实现使用安全组的策略来管理对域资源的访问实现使用安全组的策略来管理对域资源的访问n解决管理用户账户和组时遇到的常见问题解决管理用户账户和组时遇到的常见问题n应用管理用户账户和组的最佳操作应用管理用户账户和组的最佳操作3.7设置和管理发布打印机介绍打印机发布管理打印机发布在运行非 Windows2003的计算机中发布打印机管理发布的打印机3.7.1介绍打印机发布下面是发布打印机的默认行为在域中的在域中的 Windows 2003计算机共享的计算机共享的的打印机的打印机会在会在 AD 中自动发布中自动发布如果删除打印机服务器，那么发布的打印机对象如果删除打印机服务器，那么发布的打印机对象会自动删除会自动删除 每台打印服务器只负责自己的打印机的发布每台打印服务器只负责自己的打印机的发布 在配置和修改打印机的属性时，在配置和修改打印机的属性时，Windows 2003 将自动更新在将自动更新在AD 发布的打印机对象的属性发布的打印机对象的属性发布发布发布发布 打印机3.7.2管理打印机发布在AD中查看发布的打印机对象控制打印机的发布管理离线（不可用）的打印机管理打印机发布（续）在AD中查看发布的打印机对象控制打印机的发布管理打印机发布（续）不自动发布打开打印机的共享属性去掉“在目录中列出”通过组策略实现 管理离线（不可用）打印机ActiveDirectory通过在 DC上运行的“ORPHANPRUNER”的进程，删除离线的打印机周期性的（每8小时）“ORPHANPRUNER”进程验证打印服务器的可用性，以决定是否继续发布打印队列管理打印机发布（续）发布发布发布发布 打印机在运行非Windows2003的计算机中发布打印机方法一在你要发布打印机的容器下，按右键，在弹出的菜单中选择“新建”“打印机”填入连接到打印服务器的 UNC方法二在运行非Windows2003的计算机中发布打印机（续）使用使用 PUBPRN.VBS 脚本，用命令行发布打印机脚本，用命令行发布打印机CSCRIPT PUBPRN.VBS PNT1“LDAP:/OU=SALES,DC=ABC,DC=COM”n举例举例3.7.4管理发布的打印机Active Directory用户和计算机用户和计算机控制台窗口帮助操作查看ActiveDirectoryUsersandDENVER21541objects名称Type树DenverDOM2154.msftAccountingBuiltinComputersDomainControllersDENVER2154Users将当前选择移动到另一个组织单位。PrinterDENVER2154ApplePrinter移动连接打开任务删除重命名刷新帮助属性属性安装打印机到计算机安装打印机到计算机改变打印队列属性改变打印队列属性在一个域中移动打在一个域中移动打印机印机打开和管理打印队列打开和管理打印队列实现打印机定位打印机定位打印机定位要求定义位置名字配置打印机定位打印机定位打印机定位帮助用户快速连接到离自己物理位置最近的一台打印机名称位置型号PRIV0080PRIV0039PRIV0118CORP0071CORP0032CORP0099CORP0026CORP0051USA/Seattle/Building1/Near1119USA/Seattle/Building1/Near2005USA/Seattle/Building1/Near1134USA/Seattle/Building1/NearCOPYROOMUSA/Seattle/Building1/Near1280USA/Seattle/Building1/Near1218USA/Seattle/Building1/Near1218USA/Seattle/Building1/Near1182HPColorHPLaserHPLaserHPLaserHPLaserHPColorHPLaserHPLaser3 31 12 2打印机定位（续）实现过程AD 搜索与用户计算机所处的搜索与用户计算机所处的 IP 子网相应子网相应的子网对象的子网对象AD 使用搜索出来的子网对象的值来定位使用搜索出来的子网对象的值来定位具有相同值的打印机具有相同值的打印机 将满足条件的打印机列出将满足条件的打印机列出打印机定位要求ActiveDirectory 网络至少配置了一个站点中有两个以上的 IP子网IP子网的分布应当与网络的物理位置一致在站点中的 IP子网对象上有一个位置属性，它的值将在 AD搜索中起作用客户计算机要能够访问到 ActiveDirectory定义位置名字应当根据网络的物理位置来命名位置信息用一定的格式来设置你的 IP子网的位置值在打印机位置信息中输入相同的位置信息 格式NAME/NAME/NAME配置打印机定位使用组策略允许打印机位置追踪创建AD中的子网对象设置子网对象的位置属性设置打印机对象的位置属性3.8设置和管理发布共享目录发布共享目录的优点 使得用户在连接共享目录时，无需再记住使得用户在连接共享目录时，无需再记住共享目录的物理位置（共享目录的物理位置（UNC），），方便用户方便用户操作操作发布发布发布发布共享目录服务器服务器1Active Directory发布到发布到发布到发布到Active DirectoryActive Directory共享目录共享目录发布一个共享文件夹添加描述和关键字，以方便用户查找需要时将发布的共享目录移动到其他ActiveDirectory容器中设置和管理发布共享目录（续）发布并连接到共享目录发布并连接到共享目录5分钟分钟实验在ActiveDirectory中发布资源资源发布错误诊断不能通过位置信息查找到发布的打印机不能通过位置信息查找到发布的打印机 错误错误不能访问在不能访问在 Active Directory 中的打印机中的打印机错误错误最佳实践发布最常用的文件夹和打印机发布最常用的文件夹和打印机 使用简单易识别的打印机定位名称使用简单易识别的打印机定位名称使用容易识别的描述和关键字使用容易识别的描述和关键字将发布的打印机和文件夹放置在包含用户账户的将发布的打印机和文件夹放置在包含用户账户的 OU 中中在发布的资源上设置在发布的资源上设置 DACL 以限制访问权限以限制访问权限Use DACLs on Published Resources to Limit Access在发布的对象上针对用户和组设置只读的权限在发布的对象上针对用户和组设置只读的权限回顾学习完本部分后，将能够：学习完本部分后，将能够：n描述在描述在 Active Directory 上公布资源的用途上公布资源的用途n在在 Active Directory 中设置和管理公布的打印机中设置和管理公布的打印机n设置公布的打印机的位置设置公布的打印机的位置n在在 Active Directory 中设置和管理公布的共享文件夹中设置和管理公布的共享文件夹n区分区分 Active Directory 上公布的对象和实际共享资源上公布的对象和实际共享资源之间的差别之间的差别n解决在解决在 Active Directory 上公布资源的常见问题上公布资源的常见问题n应用最佳操作在应用最佳操作在 Active Directory 上公布资源上公布资源