權限和組的管理

組：權限相同的用戶集合

• 組的類型：

安全組：能夠用於權限分配也能夠用於郵件發佈

分佈組：只能用於右鍵分佈

• 做用範圍

本地域組：包含任意域內的用戶，全局組，通用組，本地域內的本地域組，只能訪問本域

全劇組：主要用於組織用戶，包含相同域內的用戶與全局組能夠訪問全部域

通用組：主要用於組織用戶，包含全部域內的用戶，全局組，通用組，能夠訪問全部域

• 組與用戶的管理原則

A：用戶帳號   G：全局組     DL：本地域組      P：權限

權限管理原則：

共享權限：限制用戶經過網絡訪問時的權限

安全權限：限制用戶經過本地以及網絡訪問時的權限

累加性：當一個用戶同時屬於多個組時，權限是累加的

繼承性：子文件夾會繼續繼承上級文件夾的權限

拒絕權限：當一個用戶同時屬於多個組時，一個容許一個拒絕，則拒絕優先

 

文件服務器：

組策略：主要是用於系統管理員管理和控制用戶帳號以及終端的功能。其目的是提高工做效率，減小工做負載。

組策略功能：
帳號策略:  密碼、帳號鎖定等
本地策略： 用戶權限、安全性的設備等
腳本策略： 開機、關機、登陸、註銷
軟件安裝與刪除： 軟件的安裝、更新、刪除
用戶的工做環境：  用戶的桌面、 系統設置等
其餘：   移動介質、重定向等。

 

組策略能夠設置到計算機，也能夠設置用戶上
計算機策略：  當計算機開機時生效，DC5分鐘生效，非DC15生效。90-120分鐘自動刷新。
用戶策略：    當用戶登陸時生效，90-120分鐘自動刷新

強制刷新：  gpupdate /force

/Target:{Computer | User}

只刷新用戶：gpupdate /target:user

 

組策略對象：GPO
GPO又包含 GPT、GPC
GPT:組策略模板，實際配置信息
GPC：組策略容器，屬性值（版本）

GPO能夠放置在站點上、域上、OU上
應用到

組策略的規則：
1. 繼承性: 子對象繼承父對象的策略，子對象有權限拒絕繼承，也能夠強制繼承。

2. 累加性: 父對象策略和子對象累加生效

3. 衝突：  站點<域<OU

實例： 針對域中全部用戶容許設置簡單密碼。

服務器管理器——工具——組策略——default domain policy——右鍵——編輯

設置最小密碼長度（值爲0），密碼複雜性（禁用）和密碼歷史（值爲0）

驗證：新建用戶jerry,密碼爲1

新建成功

實例： 針對域中HR的用戶，密碼錯誤三次後，鎖定15分鐘

組策略管理——HR——右鍵——第一個

右鍵——編輯

設置鎖定時間和閾值

更新組策略

使用jerry用戶輸入三次錯誤密碼，以後用戶既被鎖定

使用管理員登錄查看用戶的屬性

注：也可更改default domain  policy的帳號策略實現以上實驗