域知识深入学习三：域用户与组账户的管理

3.1 管理域用户账户

域用户单点登录的概念 

第一台域控的本地账户会被存到AD DS数据库的Users容器内，同时这台计算机会被放到组织单位Domain Controller

其他加入域的计算机末日呢会放到Computer容器

3.1.1 创建组织单位与域用户账户

组织单位，防止意外删除选项

域用户的密码默认需要至少七个字符，还至少包含大写字母，小写字母，数字，非数字字母等4组字符中的三组。

3.1.2 用户登录账户

域用户有两种账户名登录

1 用户UPN登录  mary@sayms.local

2 用户SamAccountName登录 sayms\mary

 

普通域用户默认是无法登录域控的

UPN不会随着账户被移动到其他域而改变

3.1.3 创建UPN后缀

可以在 Windows 管理工具 - Active Directory域和信任关系 中添加其他UPN后缀

3.1.4 账户的常规管理工作

新建用户账户后，系统会建立一个唯一的安全标识符SID，权限设置都是通过SID记录

3.1.5 域用户账户的属性设置

1 组织信息的设置

2 账户过期的设置

    默认是从不过期

3 登录时间的设置

    默认是任何时段都可以登录

4 限制用户只能通过某些计算机登录

    默认是普通域用户可以登录任何一台域成员计算机

3.1.6 搜索用户账户

除了在域内搜索外，还可以指定在全局编录搜索整个林的对象

在没有安装Active Directory管理中心的成员服务器上也可以搜索，比如win10

 文件资源管理器 - 网络 - 搜索Active Directory

3.1.7 域控制器之间数据的复制

查看当前所连接的其他域控制器

Active Directory管理中心 - 更改域控制器 

 

3.2 一次同时新建多个用户账户

需要指明用户的存储路径DN

需要指定类型

需要包含 用户SamAccountName登录 账户

应该包含 用户UPN登录 账户

可以包含其他用户信息

无法设置密码

由于建立的用户都没有密码，最好禁用账户

3.2.1 利用csvde.exe来新建用户账户

可以用来新建账户或其他类型的对象，事先将数据输入到纯文本文件，然后一次导入到AD DS数据库

csvde -i -f c:\test\users1.txt

514 表示禁用，512表示启用

3.2.2 利用ldifde.exe来新建，修改与删除用户账户

可以新建，删除，修改

可以指定导入到指定域

ldifde -s dc1.sayms.local -i -f c:\test\users2.txt

3.2.3 利用dsadd.exe等程序添加，修改与删除用户账户

dsadd.exe 新建

dsmod.exe 修改

dsrm.exe 删除

这里需要建立批处理文件

里面会有明文密码

 

3.3 域组账户

组账户也有唯一的安全标识符（security identifier SID）

3.3.1 域内的组类型

安全组 security group 可以被用来分配权限，例如指定安全组对文件具备读取的权限，也可以用在和安全无关的工作上

发布组 distribution group 被用在与安全（权限设置）无关的工作上

3.3.2 组的作用域

组的范围

1 本地域组 domain local group

    主要是被用来分配对其所属域内资源的访问权限

2 全局组 global group

    主要是用来组织多个即将被赋予相同权限的用户

3 通用组 universal group

    可以在所有域内被设置访问权限，以便访问所有域内的资源

3.3.3 域组的创建与管理

1 组的新建，删除，重命名

2 添加组的成员

3.3.4 AD DS内置的组

1 内置的本地域组

Account Operators

    默认可以在普通容器和组织单位内新建/删除/修改用户，组，计算机

Administrators

    对所有域控有最大控制权，包含Administrator，全局组Domain Admins 通用组 Enterprise Admins

Backup Operators

    可以通过Windows Server Backup工具备份和还原域控内的文件，也可以将域控关机

Guests

    默认为Guest和全局组Domain Guests

Network Configuration Operators

    可在域控执行常规网络配置工作，例如改ip

Performance Monitor Users

    可监控域控的工作性能

Pre-Windows 2000 Compatible Access

    可读取AD DS域内所有用户和组账户，默认成员为特殊组Authenticated Users

Print Operators

    可以管理域控上的打印机，也可以将域控关机

Remote Desktop Users

Server Operators

    可以备份或还原域控内的文件，锁定与解锁域控，格式化域控硬盘，更改域控时间，将域控关机

Users

    只有基本权限，例如执行应用程序，默认成员为全局组Domain Users

2 内置的全局组

    内置的全局组本身没有权限，可以将其加入到具备权限的本地域组或另外分配权限，这些内置全局组位于Users容器内

Domain Admins

    域成员计算机会自动将此组加入其本地组Administrators内

Domain Computers

Domain Controller

Domain Users

    域成员计算机会自动将此组加入其本地组Users内

Domain Guests

3 内置的通用组

Enterprise Admins

    只存在于林根域，有权管理林内所有域

Schema Admins

    只存在于林根域，具备管理架构的权限

3.3.5 特殊组账户

Everyone

    任何用户都属于这个组

Authenticated Users

    任何利用有效用户账户登录此计算机的用户

Interactive

    任何在本地登录的用户高

Network

    任何通过网络登录的用户

Anonymous Logon

    任何未利用有效普通用户账户登录的用户

Dialup

    任何eying拨接方式连接的用户

 

3.4 组的使用原则

A user Account

G Global group

DL Domain Local group

U Universal group

P Permission

3.4.1 A G DL P原则

3.4.2 A G G DL P原则

3.4.3 A G U DL P原则

3.4.4 A G G U DL P原则