我們已經(jīng)知道,通過(guò)在dc上創(chuàng)建新用戶,新用戶就可以登錄連接到域的計(jì)算機(jī)。問(wèn)題是,使用dc中的用戶名登錄到計(jì)算機(jī)后,是否對(duì)該計(jì)算機(jī)擁有完全控制權(quán)限呢?
答案是不行的。
我們既希望用戶能對(duì)自己的電腦擁有完全控制權(quán),但是又不希望將其域用戶的權(quán)限提升到域管理員。我們應(yīng)該怎樣做呢?
我們知道,計(jì)算機(jī)是有本地管理員組的,我們能不能將域中的普通用戶加入本地管理員組呢?
答案是可以的。
我們先使用域管理員身份登錄該計(jì)算機(jī)。
右鍵我的電腦--計(jì)算機(jī)管理--本地用戶和組
我們可以看到在組中,有一個(gè)是administrators組,這就是本地管理員組。我們雙擊查看他的屬性
可以看到在該組中,存在三個(gè)成員,分別是Administrator(本地管理員)、liangkoong(我們本地創(chuàng)建的管理員)和xdf/domain admins(域管理員組)。
可以看到并沒有qiang.li用戶,這也說(shuō)明了作為在dc中創(chuàng)建的qiang.li賬戶并不是本地管理員,他的權(quán)限是比較低的。
我們可以將其添加進(jìn)本地管理員組。
我們?cè)谳斎肟蛑兄苯虞斎雚iang.li,點(diǎn)擊檢查名稱,系統(tǒng)自動(dòng)為我們補(bǔ)全。
這樣,我們就將qiang.li這個(gè)dc中的普通用戶添加進(jìn)了本地管理員組。
然后我們注銷登錄,使用qiang.li賬戶來(lái)登錄。
建議將域用戶加入到普通成員機(jī)的本地管理員組中。
本地管理員組:administrators
域管理員組:domain admins
幾個(gè)名詞
1)OU:組織單位。origanazation unit
作用:用于歸類域資源(域用戶、域計(jì)算機(jī)、域組)。OU便于我們對(duì)大量的域資源進(jìn)行歸類和查找。比如IT部的所有計(jì)算機(jī)放入IT的OU中,財(cái)務(wù)部的所有計(jì)算機(jī)放入財(cái)務(wù)的OU中。我們可以把OU理解為一個(gè)容器,他的作用類似于組,都是用于分類的。組的意義在于為眾多的用戶統(tǒng)一分配權(quán)限,目的是賦權(quán)限,而OU的目的是為了下發(fā)組策略,通過(guò)為OU綁定組策略來(lái)統(tǒng)一限制用戶。組策略的目的是為了對(duì)用戶進(jìn)行限制,如不讓上網(wǎng)頁(yè),不讓關(guān)機(jī)等。
OU的創(chuàng)建。
在dc中打開ad用戶和計(jì)算機(jī),在我們的域名上右鍵--新建--組織單位。
我們其實(shí)也可以將xdf.com下的所有文件夾都認(rèn)為是OU,比如computers、domain controller、users等,它們都是相同組策略的集合。
OU是可以嵌套的,這也體現(xiàn)了組織架構(gòu)的分層管理目的。我們將此前創(chuàng)建的李強(qiáng)同學(xué)的賬號(hào)移動(dòng)到IT部下,如果此后給IT部一個(gè)組策略,李強(qiáng)同學(xué)就會(huì)收到相應(yīng)的影響。
我們不僅可以對(duì)用戶進(jìn)行這樣的分類,同時(shí)也可以對(duì)域中的計(jì)算機(jī)進(jìn)行相同的分類,在OU這個(gè)容器中,它們是平等的。建議將用戶和他的電腦放在同一個(gè)OU中。
2)GPO:組策略。group policy
作用:通過(guò)組策略可以修改計(jì)算機(jī)的各種屬性,如開始菜單、桌面背景、網(wǎng)絡(luò)參數(shù)等。
組策略在域中,是基于OU來(lái)下發(fā)的。組策略在域中下發(fā)后,用戶的應(yīng)用順序是LSDOU(local--site--domain--ou,即如果同時(shí)有l(wèi)ocal和ou的策略,那么以ou的策略為準(zhǔn))。需要注意的是組策略本身與域是沒有關(guān)系的,本地也有組策略。
我們打開開始菜中--管理工具--組策略管理。
在xdf.com中,存在兩個(gè)OU,分別是domain controllers和我們創(chuàng)建的新東方。
在此界面中,組策略表有
default domain policy,這是全局默認(rèn)的組策略表。修改它能對(duì)整個(gè)域的計(jì)算機(jī)起作用。
default domain controllers policy,這是域控的默認(rèn)的組策略表。修改它能對(duì)所有dc起作用。
我們可以手動(dòng)為新東方這個(gè)OU建組策略。
一般我們給GPO的名稱與其對(duì)應(yīng)OU一致。
我們可以為每一個(gè)OU都貼一張GPO
我們對(duì)GPO的第一個(gè)需求是定制企業(yè)桌面背景,我們希望所有加入企業(yè)域中的計(jì)算機(jī)的桌面背景都是企業(yè)logo。
我們右鍵新東方這個(gè)GPO,點(diǎn)擊編輯。
出現(xiàn)了組策略管理編輯器。
其中計(jì)算機(jī)配置是對(duì)該OU中所有計(jì)算機(jī)進(jìn)行配置,對(duì)計(jì)算機(jī)生效,而用戶配置就是對(duì)OU中所有用戶進(jìn)行配置,對(duì)用戶生效。畢竟這是兩種不同的實(shí)體。理論上,對(duì)于用戶的策略修改,注銷用戶再登錄就會(huì)生效,對(duì)于計(jì)算機(jī)的策略修改,重啟計(jì)算機(jī)才會(huì)生效。
我們打開用戶配置--策略--管理模板--桌面--active desktop,可以看到右側(cè)有很多條目,每一條都是一條策略,每一條策略對(duì)應(yīng)一個(gè)狀態(tài),狀態(tài)一般有三種,默認(rèn)狀態(tài)(未配置)、啟用和禁止。我們可以看到桌面墻紙。
我們進(jìn)行修改,注意需要寫網(wǎng)絡(luò)路徑。同時(shí)將share該文件夾的共享權(quán)限中添加domain users組的讀權(quán)限。
我們?cè)趙indowsxp進(jìn)行驗(yàn)證。重啟或者注銷登錄。發(fā)現(xiàn)成功。
我們可以在dc的gpo中查看具體的策略應(yīng)用情況。