域知识深入学习三:域用户与组账户的管理
3.1 管理域用户账户
域用户单点登录的概念
第一台域控的本地账户会被存到AD DS数据库的Users容器内,同时这台计算机会被放到组织单位Domain Controller
其他加入域的计算机末日呢会放到Computer容器
3.1.1 创建组织单位与域用户账户
组织单位,防止意外删除选项
域用户的密码默认需要至少七个字符,还至少包含大写字母,小写字母,数字,非数字字母等4组字符中的三组。
3.1.2 用户登录账户
域用户有两种账户名登录
1 用户UPN登录 mary@sayms.local
2 用户SamAccountName登录 sayms\mary
普通域用户默认是无法登录域控的
UPN不会随着账户被移动到其他域而改变
3.1.3 创建UPN后缀
可以在 Windows 管理工具 - Active Directory域和信任关系 中添加其他UPN后缀
3.1.4 账户的常规管理工作
新建用户账户后,系统会建立一个唯一的安全标识符SID,权限设置都是通过SID记录
3.1.5 域用户账户的属性设置
1 组织信息的设置
2 账户过期的设置
默认是从不过期
3 登录时间的设置
默认是任何时段都可以登录
4 限制用户只能通过某些计算机登录
默认是普通域用户可以登录任何一台域成员计算机
3.1.6 搜索用户账户
除了在域内搜索外,还可以指定在全局编录搜索整个林的对象
在没有安装Active Directory管理中心的成员服务器上也可以搜索,比如win10
文件资源管理器 - 网络 - 搜索Active Directory
3.1.7 域控制器之间数据的复制
查看当前所连接的其他域控制器
Active Directory管理中心 - 更改域控制器
3.2 一次同时新建多个用户账户
需要指明用户的存储路径DN
需要指定类型
需要包含 用户SamAccountName登录 账户
应该包含 用户UPN登录 账户
可以包含其他用户信息
无法设置密码
由于建立的用户都没有密码,最好禁用账户
3.2.1 利用csvde.exe来新建用户账户
可以用来新建账户或其他类型的对象,事先将数据输入到纯文本文件,然后一次导入到AD DS数据库
csvde -i -f c:\test\users1.txt
514 表示禁用,512表示启用
3.2.2 利用ldifde.exe来新建,修改与删除用户账户
可以新建,删除,修改
可以指定导入到指定域
ldifde -s dc1.sayms.local -i -f c:\test\users2.txt
3.2.3 利用dsadd.exe等程序添加,修改与删除用户账户
dsadd.exe 新建
dsmod.exe 修改
dsrm.exe 删除
这里需要建立批处理文件
里面会有明文密码
3.3 域组账户
组账户也有唯一的安全标识符(security identifier SID)
3.3.1 域内的组类型
安全组 security group 可以被用来分配权限,例如指定安全组对文件具备读取的权限,也可以用在和安全无关的工作上
发布组 distribution group 被用在与安全(权限设置)无关的工作上
3.3.2 组的作用域
组的范围
1 本地域组 domain local group
主要是被用来分配对其所属域内资源的访问权限
2 全局组 global group
主要是用来组织多个即将被赋予相同权限的用户
3 通用组 universal group
可以在所有域内被设置访问权限,以便访问所有域内的资源
3.3.3 域组的创建与管理
1 组的新建,删除,重命名
2 添加组的成员
3.3.4 AD DS内置的组
1 内置的本地域组
Account Operators
默认可以在普通容器和组织单位内新建/删除/修改用户,组,计算机
Administrators
对所有域控有最大控制权,包含Administrator,全局组Domain Admins 通用组 Enterprise Admins
Backup Operators
可以通过Windows Server Backup工具备份和还原域控内的文件,也可以将域控关机
Guests
默认为Guest和全局组Domain Guests
Network Configuration Operators
可在域控执行常规网络配置工作,例如改ip
Performance Monitor Users
可监控域控的工作性能
Pre-Windows 2000 Compatible Access
可读取AD DS域内所有用户和组账户,默认成员为特殊组Authenticated Users
Print Operators
可以管理域控上的打印机,也可以将域控关机
Remote Desktop Users
Server Operators
可以备份或还原域控内的文件,锁定与解锁域控,格式化域控硬盘,更改域控时间,将域控关机
Users
只有基本权限,例如执行应用程序,默认成员为全局组Domain Users
2 内置的全局组
内置的全局组本身没有权限,可以将其加入到具备权限的本地域组或另外分配权限,这些内置全局组位于Users容器内
Domain Admins
域成员计算机会自动将此组加入其本地组Administrators内
Domain Computers
Domain Controller
Domain Users
域成员计算机会自动将此组加入其本地组Users内
Domain Guests
3 内置的通用组
Enterprise Admins
只存在于林根域,有权管理林内所有域
Schema Admins
只存在于林根域,具备管理架构的权限
3.3.5 特殊组账户
Everyone
任何用户都属于这个组
Authenticated Users
任何利用有效用户账户登录此计算机的用户
Interactive
任何在本地登录的用户高
Network
任何通过网络登录的用户
Anonymous Logon
任何未利用有效普通用户账户登录的用户
Dialup
任何eying拨接方式连接的用户
3.4 组的使用原则
A user Account
G Global group
DL Domain Local group
U Universal group
P Permission
3.4.1 A G DL P原则
3.4.2 A G G DL P原则
3.4.3 A G U DL P原则
3.4.4 A G G U DL P原则