我們已經(jīng)知道,通過在dc上創(chuàng)建新用戶,新用戶就可以登錄連接到域的計算機。問題是,使用dc中的用戶名登錄到計算機后,是否對該計算機擁有完全控制權(quán)限呢?
答案是不行的。
我們既希望用戶能對自己的電腦擁有完全控制權(quán),但是又不希望將其域用戶的權(quán)限提升到域管理員。我們應(yīng)該怎樣做呢?
我們知道,計算機是有本地管理員組的,我們能不能將域中的普通用戶加入本地管理員組呢?
答案是可以的。
我們先使用域管理員身份登錄該計算機。
右鍵我的電腦--計算機管理--本地用戶和組
我們可以看到在組中,有一個是administrators組,這就是本地管理員組。我們雙擊查看他的屬性
可以看到在該組中,存在三個成員,分別是Administrator(本地管理員)、liangkoong(我們本地創(chuàng)建的管理員)和xdf/domain admins(域管理員組)。
可以看到并沒有qiang.li用戶,這也說明了作為在dc中創(chuàng)建的qiang.li賬戶并不是本地管理員,他的權(quán)限是比較低的。
我們可以將其添加進本地管理員組。
我們在輸入框中直接輸入qiang.li,點擊檢查名稱,系統(tǒng)自動為我們補全。
這樣,我們就將qiang.li這個dc中的普通用戶添加進了本地管理員組。
然后我們注銷登錄,使用qiang.li賬戶來登錄。
建議將域用戶加入到普通成員機的本地管理員組中。
本地管理員組:administrators
域管理員組:domain admins
幾個名詞
1)OU:組織單位。origanazation unit
作用:用于歸類域資源(域用戶、域計算機、域組)。OU便于我們對大量的域資源進行歸類和查找。比如IT部的所有計算機放入IT的OU中,財務(wù)部的所有計算機放入財務(wù)的OU中。我們可以把OU理解為一個容器,他的作用類似于組,都是用于分類的。組的意義在于為眾多的用戶統(tǒng)一分配權(quán)限,目的是賦權(quán)限,而OU的目的是為了下發(fā)組策略,通過為OU綁定組策略來統(tǒng)一限制用戶。組策略的目的是為了對用戶進行限制,如不讓上網(wǎng)頁,不讓關(guān)機等。
OU的創(chuàng)建。
在dc中打開ad用戶和計算機,在我們的域名上右鍵--新建--組織單位。
我們其實也可以將xdf.com下的所有文件夾都認為是OU,比如computers、domain controller、users等,它們都是相同組策略的集合。
OU是可以嵌套的,這也體現(xiàn)了組織架構(gòu)的分層管理目的。我們將此前創(chuàng)建的李強同學(xué)的賬號移動到IT部下,如果此后給IT部一個組策略,李強同學(xué)就會收到相應(yīng)的影響。
我們不僅可以對用戶進行這樣的分類,同時也可以對域中的計算機進行相同的分類,在OU這個容器中,它們是平等的。建議將用戶和他的電腦放在同一個OU中。
2)GPO:組策略。group policy
作用:通過組策略可以修改計算機的各種屬性,如開始菜單、桌面背景、網(wǎng)絡(luò)參數(shù)等。
組策略在域中,是基于OU來下發(fā)的。組策略在域中下發(fā)后,用戶的應(yīng)用順序是LSDOU(local--site--domain--ou,即如果同時有l(wèi)ocal和ou的策略,那么以ou的策略為準(zhǔn))。需要注意的是組策略本身與域是沒有關(guān)系的,本地也有組策略。
我們打開開始菜中--管理工具--組策略管理。
在xdf.com中,存在兩個OU,分別是domain controllers和我們創(chuàng)建的新東方。
在此界面中,組策略表有
default domain policy,這是全局默認的組策略表。修改它能對整個域的計算機起作用。
default domain controllers policy,這是域控的默認的組策略表。修改它能對所有dc起作用。
我們可以手動為新東方這個OU建組策略。
一般我們給GPO的名稱與其對應(yīng)OU一致。
我們可以為每一個OU都貼一張GPO
我們對GPO的第一個需求是定制企業(yè)桌面背景,我們希望所有加入企業(yè)域中的計算機的桌面背景都是企業(yè)logo。
我們右鍵新東方這個GPO,點擊編輯。
出現(xiàn)了組策略管理編輯器。
其中計算機配置是對該OU中所有計算機進行配置,對計算機生效,而用戶配置就是對OU中所有用戶進行配置,對用戶生效。畢竟這是兩種不同的實體。理論上,對于用戶的策略修改,注銷用戶再登錄就會生效,對于計算機的策略修改,重啟計算機才會生效。
我們打開用戶配置--策略--管理模板--桌面--active desktop,可以看到右側(cè)有很多條目,每一條都是一條策略,每一條策略對應(yīng)一個狀態(tài),狀態(tài)一般有三種,默認狀態(tài)(未配置)、啟用和禁止。我們可以看到桌面墻紙。
我們進行修改,注意需要寫網(wǎng)絡(luò)路徑。同時將share該文件夾的共享權(quán)限中添加domain users組的讀權(quán)限。
我們在windowsxp進行驗證。重啟或者注銷登錄。發(fā)現(xiàn)成功。
我們可以在dc的gpo中查看具體的策略應(yīng)用情況。
