第 4 章实现用户、组及计算机账户

第 4 章实现用户、组及计算机账户

活动目录的规划、实现和管理—— 以 Windows Server 2003 为例 • 第 1 章 Active Directory 结构简介 • 第 2 章实现 Active Directory 林和域结构 • 第 3 章实现组织单位结构 • 第 4 章实现用户、组及计算机账户 • 第 5 章组策略的实现 • 第 6 章使用组策略部署和管理软件 • 第 7 章使用组策略管理安全 • 第 8 章实现站点以管理 Active Directory 复制 • 第 9 章实现域控制器的布置 • 第 10 章操作主机的管理 • 第 11 章维护 Active Directory

第 4 章实现用户、组及计算机账户 • 账户简介 • 创建和管理多个账户 • 用户主体名称后缀的实现 • 在 Active Directory 中移动对象 • 制定用户、组和计算机账户策略 • 制定 Active Directory 审核策略

账户简介 4.1 账户简介 • 账户类型 • 组类型 • 域本地组 • 全局组 • 通用组

计算机账户 • 验证和审核计算机对网络和对域资源访问组账户 • 帮助简化管理账户类型 4.1.1 账户类型用户账户 • 允许用户“单点登录” • 提供对资源访问的身份认证

组类型 4.1.2 组类型通讯组 • 仅仅用于电子邮件程序 • 没有启用安全特性安全组 • 用来向用户组和计算机委派权利和权限 • “嵌套”是最有效的使用方法域功能级别决定可以创建的组的类型

安全和通讯组能够包含： • 通用组、全局组、来自于自身域的其他本地域组 • 来自于林中任何域的账户域本地组 4.1.3 域本地组

全局组 4.1.4 全局组是一个安全组或通讯组，其中可以包含来自于自身域的用户、组和计算机作为成员

通用组 4.1.5 通用组是安全组或通讯组，成员可以是来自于自身林中任何域的用户、组和计算机

第 4 章实现用户、组及计算机账户 • 账户简介 • 创建和管理多个账户 • 用户主体名称后缀的实现 • 在 Active Directory 中移动对象 • 用户、组和计算机账户策略 • 制定 Active Directory 审核策略

创建和管理多个账户 4.2 创建和管理多个账户 • 创建和管理多个账户的工具 • 使用 Csvde 工具创建账户 • 使用 Ldifde 工具创建和管理账户 • 用 Windows 脚本宿主创建和管理账户 • 实验4-1：创建用户账户

Csvde 和 Ldifde 工具 Windows 脚本宿主创建和管理多个账户的工具 4.2.1 创建和管理多个账户的工具 Active Directory 用户和计算机目录服务工具 • Dsadd • Dsmod • Dsrm

使用 Csvde 工具创建账户 4.2.2 使用 Csvde 工具创建账户演示：使用 Csvde 命令行工具

使用 Ldifde 工具创建和管理账户 4.2.3 使用 Ldifde 工具创建和管理账户演示：使用 Ldifde 命令行工具演示账户管理

用 Windows 脚本宿主创建和管理账户 4.2.4 用 Windows 脚本宿主创建和管理账户演示：使用 Windows 脚本宿主创建和管理账户

实验4-1：创建用户账户 4.2.5 实验4-1：创建用户账户目的：练习脚本文件创建和运行包含命令的脚本文件来创建用户账户

第 4 章实现用户、组及计算机账户 • 账户简介 • 创建和管理多个账户的工具 • 用户主体名称后缀的实现 • 在 Active Directory 中移动对象 • 用户、组和计算机账户策略 • 制定 Active Directory 审核策略

用户主体名称后缀的实现 4.3 用户主体名称后缀的实现 • 用户主体名称 • 多媒体：名称后缀路由的工作原理 • 检测和解决名称后缀冲突 • 创建和删除 UPN 后缀 • 在林信任中启用和禁用名称后缀路由 • 实验4-2：创建UPN后缀

用户主体名称 4.3.1 用户主体名称 • “用户主体名称”是仅用于登录到 Windows Server 2003 网络的登录名称A • 优点 • 在 Active Directory 林中是唯一的 • 与用户 E-mail 地址相同的名称 suzanf@contoso.msft

多媒体：名称后缀路由的工作原理 adatum.msft contoso.msft 信任 john@contoso.msft

检测和解决名称后缀冲突 4.3.2 检测和解决名称后缀冲突 • 冲突检测： • 相同的域名系统（DNS，Domain Name System）名称已经在使用 • 相同的 NetBIOS 名称已经在使用 • 域安全 ID（SID）与其他名称后缀 SID 冲突 • 名称后缀冲突时，将拒绝来自于林外对此域的访问

创建和删除 UPN 后缀 4.3.3 创建和删除UPN后缀演示：掌握如何创建和删除 UPN 后缀

在林信任中启用和禁用名称后缀路由 4.3.4 在林信任中启用和禁用名称后缀路由演示：掌握如何在林信任中启用和禁用名称后缀路由

实验4-2：创建UPN后缀 4.3.5 实验4-2：创建UPN后缀目的：为二级域创建名称后缀后，在两个林间启用名称后缀路由

在 Active Directory 中移动对象 4.4 在Active Directory 中移动对象 • SID 历史记录 • 移动对象涉及的问题 • 在域中移动对象 • 在域间移动对象 • 使用 LDP 工具查看已移动对象的属性 • 实验4-3：移动对象

SID 历史记录 4.4.1 SID 历史记录 • SID 历史记录存储了用户指派的所有 SID 的一个列表 • 提供已迁移用户提供对资源的连续性访问

移动对象涉及的问题 4.4.2 移动对象涉及的问题 • 域内 • 对 SID 或 GUID 不改变 • 林内 • 新 SID • SID 历史 • 相同 GUID • 跨林 • 新 SID • SID 历史 • 新 GUID

在域中移动对象 4.4.3 在域中移动对象演示：掌握如何在域中移动对象

在域间移动对象 4.4.4 在域间移动对象演示：掌握如何在域间移动对象

使用 LDP 工具查看已移动对象的属性 4.4.5 使用LDP工具查看已移动对象的属性演示：掌握如何使用 LDP 工具查看已移动对象的属性

实验4-3：移动对象 4.4.6 实验4-3：移动对象目的：使用 Ldp.exe 工具： • 检验用户对象的 SID、SID 历史和 GUID • 移动用户对象到同一域中其他组织 • 修改用户对象的 SID、SID 历史和 GUID

制定用户、组和计算机账户策略 4.5 制定用户、组和计算机账户策略 • 命名账户的原则 • 设置密码策略的原则 • 身份认证、授权和管理账户的原则 • 制定组策略的原则 • 实验4-4：规划账户策略

命名账户的原则 4.5.1 命名账户的原则账户（用户、计算机、组）命名规则： • 标识具体用户账户类型 • 需要标识计算机的所有者、位置和账户类型 • 标识组的类型、位置和组的用途

设置密码策略的原则 4.5.2 设置密码策略的原则 • 定义“强制密码历史”策略设置，记住至少 24 个先前密码 • 定义“密码最长期限”策略设置为不超过 42 天 • 定义“密码最短存留期”至少为 2 天 • 定义“最短密码长度”策略设置，至少 8 个字符 • 启用“密码必须符合复杂性要求”策略设置

身份验证、授权和管理账户的原则 4.5.3 身份认证、授权和管理账户的原则 • 将“账户锁定阈值”策略设置设定为较大的值 • 保护管理员账户 • 使用多因素身份验证 • 使用基于角色的安全模式来分配权限 • 禁用“Administrator”账户，向用户和管理员委派执行其工作任务所需的最小特权

制定组策略的原则 4.5.4 制定组策略的原则 • 将负有常规工作职责的用户指派到全局组 • 为共享资源创建本地域组 • 添加需要访问资源的全局组到本地域组中 • 使用通用组来授予对多个域中资源的访问权限 • 当成员身份为静态时，使用通用组

实验4-4：规划账户策略 4.5.5 实验4-4：规划账户策略目的： • 配置： • 账户命名策略 • 密码策略 • 身份验证、授权和管理策略 • 为林确定组的策略

制定 Active Directory 审核策略 4.6 制定Active Directory 审核策略 • 审核Active Directory访问的重要性 • 监视 Active Directory 更改的原则 • 实验4-5：规划审核策略 • 实验4-6：实现账户和审核策略

审核Active Directory访问的重要性 4.6.1 审核Active Directory访问的重要性 • 记录所有成功的 Active Directory更改 • 跟踪对某个资源的访问 • 检测和记录失败的访问尝试

监视 Active Directory 更改的原则 4.6.2 监视Active Directory更改的原则下列情况下启用： • 启用账户管理事件 • 启用策略更改的成功审核 • 启用系统事件的失败审核 • 必要时才启用策略更改事件和账户管理事件的失败审核

实验4-5：规划审核策略 4.6.3 实验4-5：规划审核策略目的：决定启用哪些审核策略

实验4-6：实现账户和审核策略 4.6.4 实验4-6：实现账户和审核策略 • 规划账户和审核策略 • 使用 Csvde 工具创建用户 • 创建名称后缀 • 移动组中的用户

回顾总结 • 经过本章的学习，我们了解了下列的知识和内容： • 掌握 Active Directory 账户和组的类型 • 创建多个用户和计算机账户 • 实现 UPN 后缀 • 在林中的域内和域间移动对象 • 为用户、计算机和组账户规划策略 • 规划 Active Directory 审核策略在下一章中，我们将学习如何组策略的实现。

随堂练习 1 你是 shixun 的网络管理员。网络由一个叫做 shixun.com 的单一活动目录域组成。 Shixun 和一家叫做 Acme 的公司合并。你需要为 Acme 公司的所有雇员创建新用户帐户。 Acme 公司的所有用户的 e-mail 地址格式是 alias@acme.com 。在合并后用户需要继续使用他们的 e-mail 地址。为了降低混乱，在登录公司网络时，这些用户需要能够使用他们的 e-mail 地址作为他们的登录名称。你需要确认新用户使用他们的 e-mail 地址作为登录名称时可以登录到网络中。你想通过最小的花费和最少的管理精力来达到这个目的。你该怎么做？

随堂练习 1（续） A．在 shixun.com 林中创建一个叫做 acme.com 的域树. 为 acme.com 域中的所有用户创建用户帐户 B．创建一个叫做 acme.com 的林为 acme.com 域中的所有用户创建用户帐户为两个林之间配置林信任关系 C．为 shixun.com 域中的所有新用户创建用户帐户把 acme 所有用户的 e-mail 地址配置为 alias@acme.com D．配置 acme.com 作为 shixun.com 林的一个附加的用户主体名称（UPN）后缀配置每个用户帐户，使得可以使用 acme.com UPN 后缀

随堂练习 2 你是 shixun 有限公司的网络管理员。网络由一个叫做 shixun.internal 的单一 Windows 2003 活动目录域组成。网络包括20个运行 Windows 2003 Server 的服务器，700个运行 Windows 2000 Professional 的客户端计算机。所有服务器属于默认计算机组。所有客户端计算机属于称作 clients 的组织单元（OU）。所有域控制器属于默认域控制器 OU 。名称解决和 IP 地址由 DNS，WINS，DHCP 控制。你需要确认每个客户端计算机的系统属性的 DNS 后缀被置为 shixun.com。你该怎么做？

随堂练习 2（续） A．创建一个新的组策略对象，并把它连接到客户端把主 DNS 后缀配置为 shixun.com B．修改默认域策略把主 DNS 后缀配置为 shixun.com C．在 DHCP 范围选项中，把 DNS 域名定义为 shixun.internal D．在 DHCP 范围选项中，把 NIS 域名定义为 shixun.internal

第 4 章实现用户、组及计算机账户