Windows Server 2003 Active Directory(AD) 七. 群組

由 Derek 發表於 六月 1, 2011 / 尚無評論

什麼是群組,簡單來說群組可看成一個邏輯單位,它包含一群使用者帳戶或是其它的群組。將權限指派給群組後,任何加入這個群組的帳戶或其它群組,都會擁有這個群組具有的權限。

在網域內的群組,和使用者帳戶一樣具有獨一無二的SID,因此我們可以把權限指派給群組。

 

何謂群組領域 :

不管是哪一種群組,都有其群組領域(Group Scope)。簡單來說【群組領域】就是指這個群組的「使用範圍」。

1.      能用於指派位於何處 (網域或樹系) 資源權限

2.      能放在哪個領域 (網域或樹系) 的其它群組之中

3.      能包含來自何處的使用者帳戶及群組

windows server2003中一共有3種群組領域分別為 :

網域區域 (Domain Local):使用範圍是本網域的群組,此群組簡稱為網域區域群組。

通用群組(Global):指派權限時使用範圍可及於樹系,但只能含同網域其它帳戶或群組,此群組稱為

                            通用群組

萬用群組(Universal): 使用範圍及於整個樹系,此群組稱為萬用群組。

   (對於這三種群組後面會有較詳細的說明)

 

 

網域區域群組: 

包含以下成員

1.      任何網域的使用者帳戶

2.      任何網域的通用群組

3.      若網域功能等級設為windows2000純粹模式windows server2003模式,則還可以包含任何網域的萬用群組及同網域的網域區域群組

雖然網域區域群組幾乎可以包括所有類型的成員,但是他的群限範圍只限於同網域的資源。

在管理網域資源時,一般都會把存取權限指派給網域區域群組,而不會直接指派給使用者帳戶。

PS網域區域群組只限於存取同網域的資源,無法使用其它網域的資源

 

 

通用群組:

通常使用通用群組來組織需要相同權限的使用者帳戶。

包含以下2種成員

1.      同網域的使用者帳戶

2.      若網域功能等級設為windows2000純粹模式windows server2003模式,則可包含同網域的其他通用群組。

通用群組的群限範圍是整個樹系,我們可以將A網域資源的存取權限,指派給BCD等網域的通用群組。但是在實際的應用上,最好是把通用群組加到網域區域群組中,而不要直接把權限指派給通用群組。

PS:通用群組是用來組織某個網域的使用者帳戶,讓這些帳戶一次獲得相同的權限。

 

萬用群組:

包含以下3種成員

1.      任何網域的使用者帳戶

2.      任何網域的通用群組

3.      任何網域的萬用群組

萬用群組和通用群組一樣,可以指派樹系中任何資源的權限給它。萬用群組和通用群組是差不多的,但是差別在於萬用群組主要用於單一網域的環境下,而通用指能用在多網域的情況下。

 

由於跨網域存取資訊時,會利用通用類別目錄(Global Catalog)來查詢資源所在的位置。所以不同網域的通用類別目錄間彼此需要相互複寫資料,以確保資料的同步。

 

萬用群組的特性之一,就是會把群組名稱以及包含的成員都發佈到通用類別目錄上。若有成員變動,則會觸發通用類別目錄之間的複寫動作,造成網路可觀的負載。然而,通用群組網域區域群組則只有群組名稱會記錄於通用類別目錄,群組包含的成員資訊不會存於通用類別目錄,所以無論成員如何變動,都不會影想到通用類別目錄的內容而觸發複寫機制。

PS:因此在多網域的環境,為了控制網路頻寬,利用通用群組來組織帳戶還是有其必要性。

 

  繼續閱讀 »

Windows Server 2003 Active Directory(AD) 六.管理使用者帳戶

由 Derek 發表於 五月 31, 2011 / 尚無評論

在此篇介紹一些有關使用者帳戶的管理方式,在設定過後都需等到下次登入才會生效。

 

刪除帳戶

SID部份,一旦刪除了使用者帳戶後,就算在重新建立同名的帳戶,在SID部份是不會相同的,系統也會自行指派一個新的給新帳戶。

在刪除帳戶之前要先確定是否有該帳戶加密的檔案,請先行解密後在刪除,要不然一旦刪除該帳戶就無法在解密了。

刪除帳戶步驟如下 :

開啟【Active Directory使用者及電腦】→【Users】→【對要刪除的帳戶點選右鍵】→【刪除】

 

點選刪除後,會出現提示畫面。

  繼續閱讀 »

Windows Server 2003 Active Directory(AD) 五.使用者帳戶介紹

由 Derek 發表於 五月 8, 2011 / 1 則評論

 

新增帳戶之後,要對該帳戶最進一步的設定。因此在這邊來介紹一下,設定的簡單說明。

以下介紹比較常用的一些設定。

 

先開啟【Active Directory 使用者及電腦】

開啟方法【開始】【系統管理工具】Active Directory 使用者及電腦】

再來對【Users【德瑞克(新建立的使用者帳戶)(右鍵)內容】

 

 設定電子郵件和首頁

輸入電子郵件帳號和網址後,可以在Active Directory 使用者及電腦的主控台來執行以下動作

1.      在帳戶名稱按右鍵,選【傳送郵件】,即可啟用Outlook Express,寄信給者個使用者(如圖二)

2.      在帳戶名稱按右鍵,選【開啟首頁】,即可使用瀏覽器瀏覽其網頁(如圖二)

(圖一)

 

(圖二)

 

接下來介紹如何限制使用者登入的時間和能夠登入的工作站.

一樣對【Users【德瑞克(新建立的使用者帳戶)(右鍵)內容】

選擇【帳戶】【登入時數(L)

【登入時數(L)】可限制帳戶登入時間

【登入到(T)】可設定此帳戶能夠登入的工作站

 

點選【登入時數】後會看到此畫面。

藍色方塊代表允許登入

白色方塊代表不允許登入

預設都是所有帳戶在任何時間都能登入

 

如果要設定登入時間的話。

請先點右方紅框內的【拒絕登入(D)】此時會看到原本全部都是藍色的地方,都變成白色。

接下來在左邊白色方塊內,拉出你想要的時間點後,在點選允許登入,框起來的部份就會

變成藍色的了。

如下圖就是設定成。星期二到星期四 早上7點到下午5點可以登入

有一點要注意一下,以上的設定只能限制使用者登入網域的時間。但是如果帳戶看允許的時間內登入後,直到超過指定的時間時,系統是不會自動將其登出。如果要強迫使用者超過時間後強制登出,請參考以下方式。

  繼續閱讀 »

Windows Server 2003 Active Directory(AD) 四.新增網域使用者

由 Derek 發表於 五月 5, 2011 / 1 則評論

 

想使用網域內的任何資源,都必須先登入網域才能使用,但登入網域就須要帳號。因此這邊就來介紹一下如何建立帳號、設定、管理以及各項應用

 

新增網域使用者帳號

首先在創立帳號之前一定要先知道創立好的帳號會存放在那個位置。

 

網域控制站會將帳號資料存放在AD資料庫中。網域資料庫的路徑為網域控制站的\%systemroot%/NTDS/NTDS.DIT(其中的【%systemroot%】表示安裝Windows Server 2003的資料夾,預設為Windows)

 

非網域控制站的獨立伺服器,則將帳號資料存於Security Accounts Manager (SAM)資料庫。路徑為: \%systemroot%/system32/congfig/SAM

 

當新增一個使用者帳號,系統會自動給予一個Security Idenitfer (SID)給此帳號,SIDWindows Server 2003用來辯別使用者的依據,因此他是獨一無二的。就算是帳號重心命名或是重設密碼,就算是重新建立一個一模一樣的帳號,在新舊SID是不會一樣的。

 

接下來就介紹如何建立使用者帳號

首先開起Active Directory 使用者及電腦

【開始】【系統管理工具】Active Directory 使用者及電腦】

 

打開【Active Directory 使用者及電腦】後會看到下圖

在左邊的紅框內為AD安裝時的5種預設

Builtin : 用來存放內建的本機群組

Computers : 用來存放網域內電腦帳戶,當Windows 2000 / 2003 / xp / vista / 7的使用者加入到網域時,這些電腦的帳戶就會存放於此。

Domain Controllers : 用來存放網域控制站。也就是說,在網域內若有多個網域控制站的話都會顯示在這裡。

ForeignSecurityPrincipals : 儲存來自有信任關係網域的物件

Users : 用來存放網域內的使用者帳戶及群組

 

而在右邊的紅框內則是顯示Users 現有的使用者帳戶和群組

 

 再來我們要新增帳戶

User【新增(N)【使用者】

  繼續閱讀 »

Windows Server 2003 Active Directory(AD) 三. 提高網域功能等級

由 Derek 發表於 五月 5, 2011 / 1 則評論


Windows Server 2003
提供的網域運作模式有3種,(又可稱為【網域的功能等級】)

1.      Windows 2000 混合模式 (Mixed mode)

2.      Windows 2000 純粹模式 (Native mode)

3.      Windows Server 2003 模式

在每個不同的模式下都會有不同的執行功能。

 

 

更換網域模式如下:

首先要開啟【Active Directory 網域及信任】

開啟方式:【開始】【系統管理工具】Active Directory 網域及信任】

 

點選下圖中的【Active Directory 網域及信任】

 

接下來對右邊名稱裡所設定好的網域名稱,點選右鍵。【提高網域功能等級(A)

 

再來會看到下圖

在下圖中 上方的紅框內容 表示現階段網域功能的等級。

可以點選 【請選擇可用的網域功能等級(S)】,就可以更改為所需要的網域功能等級了

這邊要注意一點,一旦升級到較高等級後,就無法恢復原來的網域等級了

 

點選完成後 按下【升級】

 

此時會出現一個提醒的視窗,確定無誤就可以按下確定了

 

在提升等級時需要一點時間,請耐心等候。

一但升級完成後會出現下面的訊息。

 

  繼續閱讀 »

Windows Server 2003 Active Directory(AD) 二.加入或離開網域

由 Derek 發表於 四月 11, 2011 / 1 則評論

 

設定DNS

為了能順利的加入網域,首先要做的就是能夠連結到該網域,因此要正確的連上,必須先在電腦上設定正確的DNS伺服器位址。

 

設定方式如下: 開始    控制台    網路連線    區域連線

 

 

點選區域連線 右鍵  選內容

 

開啟後點選一般   Internet Protocol(TCP/IP)   內容

 

 先點選使用下列DNS伺服器位址

在慣用DNS伺服器的地方輸入有安裝AD那台主機的IP位址

  繼續閱讀 »

Windows Server 2003 Active Directory(AD) 一.安裝

由 Derek 發表於 四月 8, 2011 / 3 則評論

主機環境:

·         Windows Server 2003 R2 Enterprise Edition(32位元)

安裝項目:

    Active Directory

安裝步驟

開啟【管理您的伺服器】,點選左下方開始 系統管理工具 →管理您的伺服器

 

 開啟 管理您的伺服器後,點選【新增或移除角色】

 

此畫面為安裝前的預備步驟,提醒使用者應注意的事前準備

 

此為設定一些基本訊息,如果沒有問題,就會進入【伺服器角色】

 

選擇【網域控制站(Active Directory)

 

此步驟直接點選下一步

 

此時稍等幾秒或幾分鐘,準備安裝與設定AD

 

此畫面為Active Directory安裝精靈的前導頁,直接點選下一步 即可

  繼續閱讀 »