活动目录的用户和组
Windows的使用活动目录讲义
活动目录
活动目录
该窗口可对计算机进行以下管理。 监视诸如登录次数和应用程序错误等系统事件。 创建和管理共享。 浏览与本地或远程计算机相连的用户列表。 启动和终止计划任务和线程。 设置存储设备的属性。 查看设备配置和添加新设备驱动器。
活动目录
⑤创建用户账户 弹出“Active Directory用户和计算机”窗 口 。 在左窗格中右击要创建计算机账户的域,快捷 菜单中选择“新建→用户”选项, “新建对象— 用户”对话框。
活动目录
目录服务把域详细分为组织单元。组织单元是 一个逻辑单位,是域中一些用户和组、文件与打印 机等资源对象的集合。组织单元还可以再划分下级 组织单元,下级组织单元能够继承父组织单元的访 问许可权。 每个组织单元可以有自己单独的管理员并指定 其管理权限,它们管理着不同的任务,从而实现对 资源和用户的分级管理。动态目录服务通过这种域 的组织单元树和域之间的可传递信任树来组织其信 任对象,实现颗粒式管理,为动态活动目录的管理 和扩展带来了极大的方便。
步骤3. 输入要加入的域名,然后单击“确定“。
步骤4.系统提示“输入有权限在域中重命名这台计算机的 帐户的名称和密码”时,输入该域中有权限的用户名和密 码,需经域控制器验证通过。 步骤5.出现“欢迎您加入xxxx.xxx域”后,表示当前计算 机已经成功地加入到指定的域中
活动目录
(2)域和信任关系管理工具 “Active Directory域和信任关系”管理工具 可以帮助系统管理员完成不同域之间信任关系的设 置。 例如,系统中安装两个域:hzjsj域与hzjw域, 两个域各有一台Active Directory的域控制器,且 两个域之间的连接正常。
活动目录
2 安装活动目录 (1)注意事项 1)在服务器上安装活动目录时,磁盘中必须有一个 格式化为NTFS的分区。 2)可以利用系统提供的活动目录安装向导配置服务 器。如果网络没有其他域控制器,可将服务器配置 为域控制器,并新建子域、域目录树或目录林。如 果网络中有其他域控制器,可将服务器设置为附加 域控制器,加入旧域、旧目录树或目录林。 3)活动目录安装后,服务器的开机和关机时间变长, 且系统的执行速度变慢。
活动目录详解
活动目录详解(基础篇)Windows 2000活动目录详解我们知道WIN2K系统最大的突破性和成功之一就在于它全新引入的“活动目录(Active Directory)服务”,使得WIN2K系统与Internet上的各项服务和协议更加联系紧密,因为它对目录的命名方式成功地与”域名“的命名方式一致,然后通过DNS进行解析,使得与在Internet上通过WINS解析取得一致的效果。
活动目录也说明了Microsoft在网络结构方面的策略转移,虽然在以前NT时代也有部分产品(如EXCHANGE SERVER、IIS等)提供过类似于活动目录的服务,然而活动目录作为一个全新的综合服务方式是在WIN2K的诞生后随之而来的。
活动目录的身影似乎在整个WIN2K系统中无处不在。
然而要真正了解“活动目录”的方方面面又谈何容易,下面就想通过一些通俗的讲解花几个篇章对活动目录的各主要方面作一详尽的分析,希望对那些对WIN2K的活动目录还存有畏惧心理的新手一个全面认识的机会。
一、活动目录的由来谈到活动目录最使人容易想起的就是DOS下的“目录”、“路径”和Windows9X/ME下“文件夹”,那个时候的“目录”或“文件夹”仅代表一个文件存在磁盘上的位置和层次关系,一个文件生成之后相对来说这个文件的所在目录也就固定了(当然可以删除、转移等,现在不考虑这些),也就是说它的属性也就相对固定了,是静态的。
这个目录所能代表的仅是这个目录下所有文件的存放位置和所有文件总的大小,并不能得出其它有关信息,这样就影响到了整体使用目录的效率,也就是影响了系统的整体效率,使系统的整个管理变得复杂。
因为没有相互关联,所以在不同应用程序中同一对象要进行多次配置,管理起来相当繁锁,影响了系统资源的使用效率。
为了改变这种效率低下的关系和加强与Internet上有关协议的关联,Microsoft公司决定在WIN2K中全面改革,也就是引入活动目录的概念。
理解活动目录的关键就在于“活动”两个字,千万不要将“活动”两个字去掉而仅仅从“目录”两个字去理解,那你我理来理去一定还是不能脱离原来在DOS下目录或Windows9x下的文件夹,正因为这个目录是活动的,所以它是动态的,它是一种包含服务功能的目录,它可以做到“由此及彼”的联想、映射,如找到了一个用户名,就可联想到它的账号、出生信息、E-mail、电话等所有基本信息,虽然组成这些信息的文件可能不在一块。
用户和组管理
1. 组的类型
与用户账户一样,根据Windows Server 2003服务器的工作组模式和 域模式,组分为本地组和域组。 1)本地组
创建在本地的组账户叫本地组。这些组账户的信息被存储在本地安全 账户数据库(SAM)中。本地组只能在本地计算机上使用,它有两种类型: 用户创建的组和系统内置的组。 2)域组
(2)弹出“user属性”对话框,在“常规”选项卡中选中 “账户已禁用”复选框,如下图B所示,单击“确定”按钮, 该账户即被禁用。
(3)如果要重新启用该账户,只要取消选中“账户已禁 用”复选框即可。
图A
图B
1.2 组的管理
组是指本地计算机或Active Directory中的对 象,包括用户、联系人、计算机和其他组。通 过组来管理用户和计算机对共享资源的访问。 引入组的概念主要是为了方便管理访问权限相 同的一系列用户账户。
5)禁用与激活账户
当某个用户长期不使用时,就要禁用该账户,不允许该账 户登录,禁用后该账户信息会显示为“╳”。禁用与激活本 地账户的操作步骤如下:
(1)在“计算机管理”窗口的左窗格中,选择“本地用 户和组”→“用户”选项,在右窗格中右击需要禁用的账户, 这里选择user账户,然后选择快捷菜单中的“属性”命令, 如下图A所示。
(3)设置好以上选项后,单击“创建”按钮,即可完成 新用户的创建。
图A
图B
2)更改账户
要对已经建立的账户 更改登录名,具体操作 为:
在“计算机管理”窗 口左侧的目录树列表中 选择“本地用户和 组”→“用户”选项,在 右侧用户列表格中右击 需要重命名的账户,选 择快捷菜单中的“重命 名”命令,如右图所示。 然后输入新的名称。
活动目录的好处
使用活动目录服务的好处是什么?完全集成到Windows 2000 服务器版中的活动目录为网络管理员、开发者和用户提供了访问目录服务的能力,这样可以:●简化管理任务●加强网络安全性●通过互操作使用现存网络简化管理分布式系统常常导致时间的消耗和管理的冗余。
当公司在他们的基础结构上添加应用程序并雇用新的职员时,他们需要适当地向各桌面系统分发软件并管理多个应用程序目录。
通过在单一的位置管理用户、组和网络资源以及分发软件和管理桌面系统配置,活动目录可以显著降低公司的管理费用。
例如,活动目录在同一个位置管理Windows 2000用户和Microsoft Exchange邮箱信息。
基于下列原因,活动目录可以从以下方面帮助公司简化管理:●消除冗余管理任务提供对Windows用户账号、客户、服务器和应用程序以及现存目录同步能力进行单一点管理。
●降低桌面系统的行程针对用户在公司中所担当的角色自动向其分发软件,以减少或消除系统管理员为软件安装和配置而安排的多次行程。
●更好的实现IT资源的最大化安全地将管理功能分派到组织机构的所有层次上。
●降低总体拥有成本(TCO)通过使网络资源容易被定位、配置和使用来简化对文件和打印服务的管理和使用。
活动目录如何简化管理以层次化组织用户和网络资源,活动目录使管理员拥有对用户账号、客户、服务器和应用程序进行管理的单一点。
这就减少了冗余的管理任务,同时,通过让管理员管理对象组或容器而非每个独立的对象来增加管理的准确性。
图4:活动目录简化了网络资源的管理活动目录允许管理员分派特定的管理权限和任务给单独的用户和组,以便更好地使用系统管理资源。
如上图所示,特定的管理任务,例如重新设置用户密码,可以被分派给市场机构的办公室管理员。
更多的特权功能,如"创建用户",可以为IT管理员保留。
活动目录也允许组织机构针对用户在公司中所担当的角色自动地将软件分发给他们。
例如,一个公司可以指定职员容器中的所有用户(无论是从哪里登录到网络上的)均可使用人力资源管理应用程序。
server-2019域用户和组的管理
displayName userPrincipalName samAccountName
csvde
Dn ,objectclass,samaccountname,userprincipalna me,displayname,Useraccountcontrol
“cn=peter,ou=tech,dc=contoso,dc=com”, user,peter,petercontoso,peter,514
DLG
Domain Local Group
Global Group
Global Group
Universal Group
DLG
Domain Local Group
Permissions
问题1:在目录树和目录林中使用组
? Accountants Need to Gain Access to the Accounting Data Across the Forest How Do You Set Up Groups?
7
成批导入程序
用户信息
记事本文件
活动目录
每一个用户对象,文件: 1.必须包括指向活动目录中的用户帐号、本身的类型以及
用户的登录名 2.应包含用户主名,帐号是否禁用 3.包含用户的属性(用户信息) 4.不可以包含密码
DN = Full Name + Path
使用CSVDE创建多用户帐号
objectClass
Add from Multiple
Domains
成员资格 成员属于
Global Group 作用范围
Universal Group Rules
可以包含来自目录林中的任何 域的用户和帐号全局组和其它 通用组
计算机网络 活动目录的结构
计算机网络活动目录的结构活动目录(Active Directory)是一个分布式的目录服务,信息可以分散在多台不同的计算机中,以保证用户的快速访问和容错。
它包括目录和目录相关的服务两个方面,其中目录是存储各种对象的一个物理上的容器,目录管理的基本对象是用户、计算机、文件及打印机等资源;目录服务是使目录中的所有信息和资源发挥作用的服务,如用户和资源管理、基于目录的网络服务及基于网络的应用管理等。
另外,Active Directory集成了关键服务,如DNS、MSMQ、MTS等和关键应用,如电子邮件、网络管理、ERP等。
为了更加深入的了解活动目录,我们从其物理结构和逻辑结构两方面分别进行讲解。
1.Active Directory逻辑结构在Active Directory中,是将资源组织到逻辑结构中,该逻辑结构是组织逻辑结构的镜像。
资源在逻辑上进行分组,使得用户可以通过名称而不是物理位置就能查找资源,也使网络的物理结构对用户来说是透明的。
Active Directory是由组织单位、域、域树构成的层次化目录结构。
它为每个域建立一个目录数据库副本,用于存储这个域的对象。
如果多个域之间存在相互关系,则他们可以构成域树,每个域都拥有各自的目录数据库副本存储自己的对象,并且可以查找域树种其他域的目录数据库副本。
多个域树则构成域林。
在前面已介绍过域、域树及域林,这里我们只对组织单位进行讲解。
组织单位(Organizational Unit)是组织、管理一个域内对象的容器,它包括用户账户、用户组、计算机、打印机、其它活动单位等。
因此,我们可以利用组织单位将域中的对象形成一个完全逻辑上的层次结构。
为了有效组织目录对象,组织单位根据企业业务模式的不同来创建不同的层次结构,如可以通过按部门、地理位置、对象类型等来划分层次结构。
这样可以帮助企业解决很多问题,极大地简化了网络管理工作,用户可以利用一个服务功能轻松的找到某个对象而不必考虑他的具体位置。
活动目录
安装活动目录
(1)运行位于C:WinntSystem32目录下的dcpromo.exe文件,以启动活动目录安装向导。点击“下一 步”按钮。 (2)由于用户所建立的是域中的第一台域控制器,所以在“域控制器类型”对话框中选择“新域的域 控制器”选项,然后点击“下一步”按钮。 (3)在“创建目录树和子域”对话框中选择“创建一个新域的域目录树”,点击“下一步”按钮。 (4)在“创建或加入目录林”对话框中选择“创建新的域目录林”,点击“下一步”按钮。 (5)在“新的域名”对话框中的“新域的DNS全名”框中输入需要创建的域名,这里是。 点击“下一步”按钮。 (6)在“NetBIOS域名”对话框中,安装向导自动将域控制器的NetBIOS名设置为“LANYI”,点击 “下一步”按钮。 (7)在“数据库和日志文件位置”对话框中,将显示数据库、日志文件的保存位置,一般不必作修改。 点击“下一步”按钮。 (8)在“共享的系统卷”中,指定作为系统卷共享的文件夹。Sysvol文件夹存放域的公用文件的服务 器副本。Sysvol广播的内容被复制到域中的所有域控制器。其文件夹位置一般不必作修改。点击 “下一步”按钮。 (9)在“配置DNS”对话框中,点击“下一步”按钮(如果在安装活动目录之前未配置DNS服务器,可 以在此让安装向导配置DNS,推荐使用这种方法)。 (10)在“权限”对话框中为用户和组选择默认权限,考虑到现在大多数单位中仍然需要使用 Windows 2000的以前版本,所以选择“与Windows 2000服务器之前版本相兼容的权限”选项,点 击“下一步”按钮。 (11)在“目录服务恢复模式的管理员密码”对话框中输入以目录恢复模式下的管理员密码。点击 “下一步”按钮。 (12)此时,安装向导将显示安装摘要信息。点击“下一步”按钮即可开始安装,安装完成之后,重 新启动计算机即可。
用 户 和 组
用户和组
知识点: ·创建和管理用户帐户:创建和管理本地用户帐户,创建和管理域用户帐户。 ·利用组管理对资源的访问:在工作组中实现组,在域中实现组。 ·共享磁盘资源:共享和权限,共享文件夹,磁盘配额。 ·配置网络打印机:Windows 2000下的打印功能,配置基于Web打印机。
1.1 创建和管理用户帐户 1.1.1 概述 用户帐户是含有特定用户信息的记录,用户帐户使得用户能登录到指定计算机,以访 问该计算机上的资源;或是登录到特定的域,以访问网络资源。 域是在同一个域名和安全范围内的一组帐户和网络资源的集合。
注意:这里介绍的组,仅仅是本机模式下的组,而不是处在混合模式下的网络中的组。
1.2.2 在工作组中实现组 一个工作组下可能会由几台计算机组成,它没有域网络中的纷繁功能,但通过在工作组 这样的简单计算机分组中使用组概念,可以使工作组中引入相当的网络功能。 1. 本地组和内置本地组: ⑴ 本地组
在工作组中实现一个组,该组就是本地组。 作为本地组还应注意: ·本地组只能包含来自创建该本地组的计算机的本地用户帐户; ·本地组不能是任何其他组的成员; ·本地组不出现在域的活动目录中,所以只能在工作组下的各个计算机的安全性帐户 管理器中进行管理。 ⑵ 内置本地组 除了自定义的本地组以外,Windows 2000 Professional和Windows 2000 Server还 提供了默认的组,就是内置本地组,这些组都有一组事先确定的权限和内置功能。
⑴ 设置用户帐户密码 ⑵ 设置本地用户帐户的属性
1.1.3 创建和管理域用户帐户
域用户帐户与本地用户帐户的区别在于:本地用户帐户只能在创建了该用户帐户的单 个独立的计算机系统上登录,使用该一台计算机上的资源;而域用户帐户可以在创建了该 用户帐户的域下的任何一台成员工作站或服务器上登录系统,并且可以使用域中所有的共 享网络资源。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
密码策略 • 严格的密码策略是保证系统安全的第一道屏障 • 危险密码
– – – – – – 空密码 与用户名相同 用户名的简单变化 用户本人相关的个人信息 英文单词 键盘上相邻的字母组合
• 强壮密码
– 字母 数字+大小写 具有一定的长度 无意义的组合 字母+数字 大小写 具有一定的长度+无意义的组合 数字 大小写+具有一定的长度 无意义的组合+ 定期更改
– 位于域控制器(DC)中的组 位于域控制器( )
• DC上没有本地组,只有域中的组账号 上没有本地组, 上没有本地组
活动目录中组的类型 • 在活动目录中,根据组的类型进行分类,有通讯 在活动目录中,根据组的类型进行分类, 组和安全组两种类型
– 通讯组:用来组织用户账号,没有安全特性,一般来 通讯组:用来组织用户账号,没有安全特性, 说不用于授权。 说不用于授权。在通讯组中可以存储联系人和用户账 可以在Microsoft其他的产品如 其他的产品如Microsoft 号,可以在 其他的产品如 Exchange 2007中使用 中使用 – 安全组:具备通讯组的全部功能,用来为用户和计算 安全组:具备通讯组的全部功能, 机分配权限, 机分配权限,是Windows Server 2003标准的安全主 标准的安全主 体。安全组出现在定义资源和对象权限的访问控制列 表中
Windows Server 2003中组的类别 中组的类别 • 域中的组
– 位于域中成员服务器(非DC)中的组 位于域中成员服务器( )
• 组的成员可以是本地计算机上的本地用户账号、域中的用户 组的成员可以是本地计算机上的本地用户账号、 账号、域中的全局组和通用组账号、 账号、域中的全局组和通用组账号、信任域中的域用户账号 以及信任域中的全局组和通用组账号 • 通过“计算机管理”控制台下的“本地用户和组”来管理和 通过“计算机管理”控制台下的“本地用户和组” 维护 • 为了安全,不建议使用 为了安全,
Windows Server 2003中组的类别 中组的类别 • 工作组中的组
– 内置组:在创建操作系统或安装相应的网络服务时创 内置组: 建的,对操作系统都具有一定的管理权限, 建的,对操作系统都具有一定的管理权限,无法被删 除也不能修改其权限配置 – 本地组:可以组织用户账号并对组进行授权 本地组: – 通过“计算机管理”控制台进行管理和维护 通过“计算机管理”
查看用户账号的SID 查看用户账号的 • SID(Security Identifier,安全标识符)是一种 ( ,安全标识符) 不同长度的数据结构,用来识别用户、 不同长度的数据结构,用来识别用户、组和计算 机账号 • 在Windows系统中是基于 系统中是基于SID,而不是基于名字 系统中是基于 , 来识别对象的。 在创建该对象时产生, 来识别对象的。SID在创建该对象时产生,从 在创建该对象时产生 CPU中随机读取一个字符串 SID一旦被使用就 CPU中随机读取一个字符串,SID一旦被使用就 中随机读取一个字符串, 永远都不会重复 • 利用whoami命令查看用户的 利用 命令查看用户的SID 命令查看用户的
账号管理的一般性原则 • 确保网络中只有必需的账号被使用,及时删除不 确保网络中只有必需的账号被使用, 使用的账号, 使用的账号,而且每个账号仅有能满足他们完成 工作的最小权限 • 重命名敏感用户账号,如Administrator、Guest 重命名敏感用户账号, 、 以及其他一些在安装软件或服务时( 以及其他一些在安装软件或服务时(如IIS和终端 和终端 服务) 服务)自动建立的账号 • 实施严格的密码策略,阻止对密码的暴力攻击 实施严格的密码策略, • 设置账号锁定策略
管理活动目录用户账号和 组账号
教学教研部 赵天宇
本章目标 • • • • 理解域用户和计算机账户 学会创建和管理域用户和计算机账户 理解活动目录中组的不同类型及其作用 学会运用AGDLP策略 学会运用 策略
用户账号的介绍 • • • 用户账号的一般性介绍 用户主名 用户主名后缀
用户账号的一般性介绍
•
用户账号的作用
为用户提供“单一验证” 为用户提供“单一验证” – 提供对资源的访问 – 本地用户账号和域用户账号的区别 – 可以分为显示名和登录名
–
用户主名
是一种只能用来登录到Windows 是一种只能用来登录到Windows Server 2003网络的登录名 2003网络的登录名
user@
域用户账号复制 • 账号模板的作用
– 把多个用户账号的公用属性写到模板账号中,然后利 把多个用户账号的公用属性写到模板账号中, 用账号复制的方法可以减轻管理员的工作负担
• 演示:账号复制 演示:
在AD中搜索用户账号 中搜索用户账号 • 利用活动目录根据已知用户账号的属性进行搜索 • 演示:在AD中搜索用户账号 中搜索用户账号 演示:
管理Administrator账号 账号 管理 • Administrator账号的特点 账号的特点
– 不能删除 – 不能修改其默认权限的设置
• 重命名 重命名administrator账号 账号
管理Guest账号 账号 管理 • Guest账号的作用 账号的作用
– Guest账号作为来宾账号,是供那些未经授权的用户访 账号作为来宾账号, 账号作为来宾账号 问系统时使用的,所以除非特别需要, 问系统时使用的,所以除非特别需要,否则不要启用 Guest账号,而且也不要为 账号, 账号 而且也不要为Guest账号赋予额外的权限 账号赋予额外的权限
– 域功能级别可以提升,但提升是单向的,而且只有Domain 域功能级别可以提升,但提升是单向的,而且只有 Admins和Enterprise Admin组的成员才能进行该操作 和 组的成员才能进行该操作
活动目录域和目录林的功能 • 林功能级别
– Windows 2000模式 模式
• 支持 支持Windows NT4.0、Windows 2000和Windows 2003 、 和 • 不能实现如全局编目复制改造、域重命名、林信任、活动目录 不能实现如全局编目复制改造、域重命名、林信任、 中停用类型或属性等功能
组账号的介绍 • • • • • • 组账号介绍 Windows Server 2003中组的类别 中组的类别 活动目录中组的类型 活动目录域和目录林的功能 组的范围 通用组和全局编录的关系
组账号介绍 • 组账号
– 组是用户账号的逻辑的集合(删除组后用户仍存在) 组是用户账号的逻辑的集合(删除组后用户仍存在) – 当一个用户账号加入到一个组以后,该用户账号就拥有 当一个用户账号加入到一个组以后, 该组所拥有的全部权限 – 一个用户账号同时可以是多个组的成员。 一个用户账号同时可以是多个组的成员。 – 在特定情况下组是可以嵌套的(组中可以包括其他组) 在特定情况下组是可以嵌套的(组中可以包括其他组)
执行用户账号公共管理任务
• 公共管理任务包括: 公共管理任务包括:
– 添加到组:把用户加入到一个组账号中,可 添加到组:把用户加入到一个组账号中, 以使用户账号具有该组所拥有的权限, 以使用户账号具有该组所拥有的权限,在对 用户授权时使用 – 禁用账户:如果员工出差,在一段时间内该 禁用账户:如果员工出差, 账号不使用时应该把账号禁用 – 重设密码:当用户本人忘记了自己的密码时, 重设密码:当用户本人忘记了自己的密码时, 可以由管理员对密码进行重新设置 – 移动:当员工从一个部门调到另外的部门时, 移动:当员工从一个部门调到另外的部门时, 可以利用账号移动在网络管理中以体现这种 行政管理的变化 – 删除:当员工离职时,出于安全性的考虑, 删除:当员工离职时,出于安全性的考虑, 应将不再使用的用户账号删除 – 重命名:从安全的角度来看,账号重命名对 重命名:从安全的角度来看, 一些内置账号如Administrator来说非常重要 一些内置账号如 来说非常重要
使用“ 用户和计算机” 使用“Active Directory用户和计算机”创建用户账号 用户和计算机 • 演示:使用“Active Directory用户和计算机” 演示:使用“ 用户和计算机” 用户和计算机 创建用户账号的过程
Active Directory Users and Computers
设置用户账号属性 • 对用户账号的管理实质上是对账号属性的管理 • 演示:设置用户账号的常用属性 演示:
实现用户配置文件
用户配置文件的功能: 用户配置文件的功能:对Display、 、 regional、mouse、printer、network等 、 、 、 等 属性进行设置,定义用户工作环境 属性进行设置,
活动目录域的功能级别 • 域功能级别
– Windows 2000混合模式 混合模式
• 支持 支持Windows NT4.0、Windows 2000和Windows 2003 、 和 • 安装活动目录后目录的默认功能级别 • 该模式的域不能使用通用组、不能进行组的嵌套、也不能启用SID的 该模式的域不能使用通用组、不能进行组的嵌套、也不能启用 的 历史记录功能(迁移安全主体) 历史记录功能(迁移安全主体)
删除域用户账号 • 使用“Active Directory用户和计算机”删除用 使用“ 用户和计算机” 用户和计算机 户账号 • 利用 利用dsrm命令删除域用户账号 命令删除域用户账号
Windows Server 2003中的账号安全 中的账号安全 • • • • • 账号管理的一般性原则 密码策略 管理Administrator账号 管理 账号 管理Guest账号 管理 账号 查看用户账号的SID 查看用户账号的
– Windows 2000纯模式 纯模式
• 支持 支持Windows2000和Windows 2003 和 • 该模式的域能使用通用组、进行组嵌套和SID的历史记录功能 该模式的域能使用通用组、进行组嵌套和 的历史记录功能