组是Windows 2000从Windows NT系统继承下来的安全管理形式,它是指活动目录或本地计算机对象,包含用户、联系人、计算机和其他组等。在Windows 2000中,组可以用来管理用户和计算机对网络资源的访问,例如活动目录对象及其属性、网络共享、文件、目录、打印机队列,还可以筛选组策略。使用组,主要是为了方便管理访问目的和权限相同的一系列用户和计算机帐户。
作为管理员的用户在赋予用户或计算机帐户权限时,如果它们的权限各不相同,必须分别为它们设置;但是,如果它们的权限相同,还要分别进行设置,就多做了许多重复性工作。有了组的概念之后,就可以将这些具有相同权限的用户或计算机划归到一个组中,使这些用户成为该组的成员,然后通过赋予该组权限来使这些用户或计算机都具有了相同的权限,这就大大减轻了作为管理员的用户的帐户管理工作。
组织单元(Organizational Unit,简称OU)是域中包含的一类目录对象,它包括域中一些用户、计算机和组、文件与打印机等资源。不过,组织单元不能包含其他域中的对象。由于动态目录服务把域又详细的划分成组织单元,且组织单元中还可以再划分下级组织单元,因此组织单元的分层结构可用来建立域的分层结构模型,进而可使用户把网络所需的域的数量减至最小。
组织单元具有继承性,子单元能够继承父单元的访问许可权。域管理员可使用组织单位来创建管理模型,该模型可调整为任何尺寸。而且,域管理员可授予用户对域中所有组织单位或单个组织单位的管理权限。
注释 组和组织单元有很大的不同。组主要用于权限设置,而组织单元则主要用于网络构建;另外,组织单元只表示单个域中的对象集合(可包括组对象),而组可以包含用户、计算机、本地服务器上的共享资源、单个域、域目录树或目录林。
创建新组和组织单元
虽然系统提供了许多内置组用于权限和安全设置,但是它们不能满足特殊安全和灵活性的需要。所以,用户要想很好的管理用户和计算机帐户,必须根据网络情况创建一些新组。新组创建之后,就可以像使用内置组一样使用它们,赋予权限和进行组成员的添加。另外,
在域中合理地添加和安排组织单元,不但方便了管理员对域中帐户和组的管理,而且还有利于网络的扩展。
要创建新组,在控制台目录树中,展开域节点。右击要进行组创建的组织单元或容器,从弹出的快捷菜单中选择“新建” |“组”命令,打开如图9 - 3 2所示的“创建新对象一(组)”对话框,在“新组名称”文本框中输入要创建的组名;并在“新组的下层名”文本框中输入新组的下层名称(也可使用默认名称)。在“组领域”选项区域中,通过选择单选按钮来选择组的应用领域;在“组类型”选项区域中,通过选择单选按钮来选择新组的类型。单击“确定”按钮即完成组的创建。
要添加组织单元,在控制台目录树中,展开域节点。右击域节点或者可添加组织单元的文件夹节点,从弹出的快捷菜单中选择“新建” |“组织单元”命令,打开如图9 - 3 3所示的“创建新对象”—(组织单元)”对话框,在“名称”文本框中输入新创建组织单元的名称,然后单击“确定”按钮即完成组织单元的创建。
删除组和组织单元
当用户的活动目录中的组和组织单元因太多而影响了对用户和计算机帐户的管理时,作为管理员的用户可对自己创建的组和组织单元进行清理。例如,当目录中有长期不使用的组或者是不符合网络安全的组,可将其删除。当域中的某个组织单元中所包含的用户、计算机、联系人和组织单元等已经被删除或因为其他原因而不再发挥作用时,也可将其删除。不过,管理员只能删除自己创建的组和组织单元,而不能删除由系统提供的内置组和组织单元。
要删除组和组织单元,在控制台目录树中,展开域节点。单击要删除的组或组织单元所在的组织单元,使详细资料窗格中列出该组织单元的内容。然后右击要删除的组或组织单元,从弹出的快捷菜单中选择“删除”命令,这时系统会打开信息确认框,单击“是”按钮即完成组或组织单元的删除。
委派控制组或组织单元
在Windows 2000网络中,随着组和组织单元的增多,网络的管理工作越来越来繁杂,仅仅依靠管理员去处理所有的网络问题是不可能的。为此, Windows 2000提供了一项新的网络功能—委派控制,通过它,作为管理员的用户可以将一部分域管理工作委派给其他用户、
计算机或组,由其他用户、计算机或组来帮助进行管理,这样就减轻了用户的网络系统管理工作。如果要对某各组或组织单元进行委派控制,可参照下面的步骤:
1. 在“Active Directory用户与计算机”窗口的控制台目录树中,单击之后再双击域节点,展开该节点。
2. 右击要委派控制的组织单元或组节点,例如右击Users,从弹出的快捷菜单中选择“委派控制”命令,打开“控制委派向导”对话框,如图9 - 3 4所示。
3. 单击“下一步”按钮,打开“Active Directory文件夹”对话框,如图9 - 3 5所示。在“您想委派控制的文件夹名”文本框中已经显示出要委派控制的文件夹(组织单元或容器),不能再进行输入。
4. 单击“下一步”按钮,打开如图9 - 3 6所示的“组或用户选择”对话框,单击“添加”按钮,打开“选择用户、计算机或组”对话框,选择一个或多个要委派控制的用户,也可选择一个或多个要委派控制的组。
5. 单击“下一步”按钮,打开“预定义的委派”对话框,如图9 - 3 7所示。
6. 如果要使用预定义的任务,可选择“预定义的任务”单选按钮,并在任务文本框中通过启用或禁用复选框来设置委派控制权限,例如,启用“创建、删除以及管理用户帐户”复选框,则被委派的用户或组具有创建、删除以及管理用户帐户的权限。如果管理员要自己定义任务,可选择“自定义任务”单选按钮。这里选择“自定义任务”单选按钮。
7. 单击“下一步”按钮,打开“ Active Directory对象类型选择”对话框,如图9 - 3 8所示。
8. 如果要委派的对象为整个文件夹,可选择“整个文件夹”单选按钮,如果要委派的对象只是文件夹中的对象,可选择“文件夹中的对象”单选按钮,并在“对象类型”列表框中通过启用复选框来选择对象;如果不希望委派包括默认和指定的所选对象类型的权限,可禁用“包括默认和指定的所选对象类型的权限”复选框。
9. 单击“下一步”按钮,打开“权限”对话框,如图9 - 3 9所示。
10. 在“筛选器选项”选项区域中,通过启用复选框来设置“要委派的权限”列表框中显示哪些权限,例如启用“显示一般权限”复选框,则“要委派的权限”列表框中显示出要委派的一般权限。
11. 通过启用“要委派的权限”列表框中的复选框来选择要委派的权限,例如启用“完全控制”复选框,则被委派的用户或组所选对象具有完全控制权。
12. 单击“下一步”按钮,打开“完成控制委派向导”对话框,单击“完成”按钮,完成向导。
设置组织单元属性
组织单元被除了有利于网络扩展外,另一大优点是它在管理方面的方便性和安全性,但是,如果不根据组织单元的实际情况设置其属性,是很难发挥这个优点的。所以,用户在创建组织单元之后,必须根据需要设置组织单元属性。通过设置组织单元的属性,不但可以指定组织单元的管理人和常规属性,也可为组织单元创建组策略。要设置组织单元的属性,可参照下面的步骤。
1. 在控制台目录树中,右击要设置属性的组织单元,从弹出的快捷菜单中选择“属性”命令,打开该组织单元的属性对话框,如图9 - 4 0所示。
2. 在“常规”选项卡中,可在“描述”文本框中为组织单元输入一段描述,在“省、自治区”、“县市”、“街道”和“邮政编码”文本框中输入组织单元所包含的计算机和用户的统一通信地址和邮编。
3. 选择“管理人”选项卡,单击“更改”按钮,打开“选择用户或联系人”对话框选择一个用户或联系人作为管理人;管理人更改之后,单击“查看”按钮,可打开所更改的管理人的属性对话框,管理员可对管理人的属性进行修改,如果要清除管理人,单击“清除”按钮即可。
4. 单击“组策略”选项卡,如图9 - 4 1所示。
5. 要新建一个组策略对象,单击“新建”按钮,在组策略对象列表框会出现一个新的组策略对象,如图9 - 4 2所示,在名称文本框中为新策略输入一个有意义的名称。
6. 组策略创建好之后,单击“编辑”按钮,会打开如图9 - 4 3所示的“组策略”窗口。在该窗口中,管理员可对创建的组策略进行编辑,包括计算机配置和用户配置两个方面,编辑完毕,关闭窗口。
7. 要设置某个组策略对象的属性,在列表框中选择该对象,然后单击“属性”按钮,打开该对象属性对话框,进行“常规”、“链接”和“安全”方面的设置。
8. 在列表中,不同位置的组策略对象具有不同的优先级,较高位置的组策略对象比较低位置的组策略对象优先级高。所以,管理员可以改变组策略对象在列表中的位置来决定组策略对象的应用级别。要时变某个组策略对象在列表中的位置,选择该对象,单击“向上”或“向下”按钮即可上移或下移该对象。
9. 如果要删除某个组策略对象,在列表中选择该对象,然后单击“删除”按钮即可。
10. 用户要配置某个组策略对象的选项,在列表中选择该对象,单击“选项”按钮,打开该组策略对象的选项对话框,如图9 - 44所示。
11. 在“链接选项”选项区域中,启用“没有替代”复选框,可防止其他组策略对象替代这个组对象中的策略集;启用“被禁用”复选框,可暂时禁用该策略,需要启用时,禁用“被禁用”复选框即可。然后单击“确定”按钮返回到组策略选项卡。
12. 如果要防止组策略被下一级组织单元所继承,可启用“阻止策略继承”复选框。最后单击“关闭”按钮保存属性设置。
设置组属性
一个新组被用户创建好之后,系统并没有设置该组常规属性和权限,也没有为其指定组成员和管理人,该组几乎不发挥任何作用。如果要充分发挥组对用户和计算机帐户的管理作用,用户必须设置该组的属性,解决上面提出的问题。要设置组属性,可参照下面的步骤。
1. 在控制台目录树中单击要设置属性的组所在的组织单元或容器,使详细资料窗格中列出该组织单元的内容。在详细资料窗格中,右击要添加成员的组,从弹出的快捷菜单中选择“属性”命令,打开该组的属性对话框,如图9 - 45所示。
2. 为了便于管理,在“描述”和“注释”文本框中分别输入有关该组的描述和注释;如果要修改组名称,在“下层名称”文本框中输入新的组名称;为了便于组管理员同组成员交换信息,在“电子邮件”文本框中输入组管理员的地电子电邮件地址。
3. 单击“成员”选项卡,如图9 - 4 6所示。要添加成员,单击“添加”按钮,打开“选择用户联系人或计算机”对话框选择要添加的成员。要删除组成员,在“成员”列表框中选择要删除的组成员,然后单击“删除”按钮即可。
4. 因为用户主要是通过向新组添加内置组来设置新组的权限的,所以要设置组权限,选择“成员属于”选项卡,单击“添加”按钮,打开“选择组”对话框,为自己创建的组选择内置组。要删除某个组权限,在“成员属于”列表框中选择该组,然后单击“删除”按钮即可。
5. 要设置组的管理人,选择“管理人”选项卡。要更改组管理人,单击“更改”按钮,打开“选择用户或联系人”对话框为改组选择管理人;要查看管理人的属性,单击“查看”按钮进行查看;如果要清除管理人对组的管理,单击“清除”按钮即可。
6. 属性设置完毕,单击“确定”按钮保存设置并关闭属性对话框。