权限和组的管理

组：权限相同的用户集合

• 组的类型：

安全组：能够用于权限分配也能够用于邮件发布

分布组：只能用于右键分布

• 做用范围

本地域组：包含任意域内的用户，全局组，通用组，本地域内的本地域组，只能访问本域

全剧组：主要用于组织用户，包含相同域内的用户与全局组能够访问全部域

通用组：主要用于组织用户，包含全部域内的用户，全局组，通用组，能够访问全部域

• 组与用户的管理原则

A：用户帐号   G：全局组     DL：本地域组      P：权限

权限管理原则：

共享权限：限制用户经过网络访问时的权限

安全权限：限制用户经过本地以及网络访问时的权限

累加性：当一个用户同时属于多个组时，权限是累加的

继承性：子文件夹会继续继承上级文件夹的权限

拒绝权限：当一个用户同时属于多个组时，一个容许一个拒绝，则拒绝优先

 

文件服务器：

组策略：主要是用于系统管理员管理和控制用户帐号以及终端的功能。其目的是提高工做效率，减小工做负载。

组策略功能：
帐号策略:  密码、帐号锁定等
本地策略： 用户权限、安全性的设备等
脚本策略： 开机、关机、登陆、注销
软件安装与删除： 软件的安装、更新、删除
用户的工做环境：  用户的桌面、 系统设置等
其余：   移动介质、重定向等。

 

组策略能够设置到计算机，也能够设置用户上
计算机策略：  当计算机开机时生效，DC5分钟生效，非DC15生效。90-120分钟自动刷新。
用户策略：    当用户登陆时生效，90-120分钟自动刷新

强制刷新：  gpupdate /force

/Target:{Computer | User}

只刷新用户：gpupdate /target:user

 

组策略对象：GPO
GPO又包含 GPT、GPC
GPT:组策略模板，实际配置信息
GPC：组策略容器，属性值（版本）

GPO能够放置在站点上、域上、OU上
应用到

组策略的规则：
1. 继承性: 子对象继承父对象的策略，子对象有权限拒绝继承，也能够强制继承。

2. 累加性: 父对象策略和子对象累加生效

3. 冲突：  站点<域<OU

实例： 针对域中全部用户容许设置简单密码。

服务器管理器——工具——组策略——default domain policy——右键——编辑

设置最小密码长度（值为0），密码复杂性（禁用）和密码历史（值为0）

验证：新建用户jerry,密码为1

新建成功

实例： 针对域中HR的用户，密码错误三次后，锁定15分钟

组策略管理——HR——右键——第一个

右键——编辑

设置锁定时间和阈值

更新组策略

使用jerry用户输入三次错误密码，以后用户既被锁定

使用管理员登录查看用户的属性

注：也可更改default domain  policy的帐号策略实现以上实验