什麼是群組，簡單來說群組可看成一個邏輯單位，它包含一群使用者帳戶或是其它的群組。將權限指派給群組後，任何加入這個群組的帳戶或其它群組，都會擁有這個群組具有的權限。

在網域內的群組，和使用者帳戶一樣具有獨一無二的SID，因此我們可以把權限指派給群組。

何謂群組領域 :

不管是哪一種群組，都有其群組領域(Group Scope)。簡單來說【群組領域】就是指這個群組的「使用範圍」。

1.      能用於指派位於何處 (網域或樹系) 資源權限

2.      能放在哪個領域 (網域或樹系) 的其它群組之中

3.      能包含來自何處的使用者帳戶及群組

在windows server2003中一共有3種群組領域分別為 :

網域區域 (Domain Local):使用範圍是本網域的群組，此群組簡稱為網域區域群組。

通用群組(Global):指派權限時使用範圍可及於樹系，但只能含同網域其它帳戶或群組，此群組稱為

                            通用群組

萬用群組(Universal): 使用範圍及於整個樹系，此群組稱為萬用群組。

   (對於這三種群組後面會有較詳細的說明)

網域區域群組: 

包含以下成員

1.      任何網域的使用者帳戶

2.      任何網域的通用群組

3.      若網域功能等級設為windows2000純粹模式或windows server2003模式，則還可以包含任何網域的萬用群組及同網域的網域區域群組。

雖然網域區域群組幾乎可以包括所有類型的成員，但是他的群限範圍只限於同網域的資源。

在管理網域資源時，一般都會把存取權限指派給網域區域群組，而不會直接指派給使用者帳戶。

PS網域區域群組只限於存取同網域的資源，無法使用其它網域的資源

通用群組:

通常使用通用群組來組織需要相同權限的使用者帳戶。

包含以下2種成員

1.      同網域的使用者帳戶

2.      若網域功能等級設為windows2000純粹模式或windows server2003模式，則可包含同網域的其他通用群組。

通用群組的群限範圍是整個樹系，我們可以將A網域資源的存取權限，指派給B、C、D等網域的通用群組。但是在實際的應用上，最好是把通用群組加到網域區域群組中，而不要直接把權限指派給通用群組。

PS:通用群組是用來組織某個網域的使用者帳戶，讓這些帳戶一次獲得相同的權限。

萬用群組:

包含以下3種成員

1.      任何網域的使用者帳戶

2.      任何網域的通用群組

3.      任何網域的萬用群組

萬用群組和通用群組一樣，可以指派樹系中任何資源的權限給它。萬用群組和通用群組是差不多的，但是差別在於萬用群組主要用於單一網域的環境下，而通用指能用在多網域的情況下。

由於跨網域存取資訊時，會利用通用類別目錄(Global Catalog)來查詢資源所在的位置。所以不同網域的通用類別目錄間彼此需要相互複寫資料，以確保資料的同步。

萬用群組的特性之一，就是會把群組名稱以及包含的成員都發佈到通用類別目錄上。若有成員變動，則會觸發通用類別目錄之間的複寫動作，造成網路可觀的負載。然而，通用群組和網域區域群組則只有群組名稱會記錄於通用類別目錄，群組包含的成員資訊不會存於通用類別目錄，所以無論成員如何變動，都不會影想到通用類別目錄的內容而觸發複寫機制。

PS:因此在多網域的環境，為了控制網路頻寬，利用通用群組來組織帳戶還是有其必要性。

  繼續閱讀 »

在此篇介紹一些有關使用者帳戶的管理方式，在設定過後都需等到下次登入才會生效。

刪除帳戶

在SID部份，一旦刪除了使用者帳戶後，就算在重新建立同名的帳戶，在SID部份是不會相同的，系統也會自行指派一個新的給新帳戶。

在刪除帳戶之前要先確定是否有該帳戶加密的檔案，請先行解密後在刪除，要不然一旦刪除該帳戶就無法在解密了。

刪除帳戶步驟如下 :

開啟【Active Directory使用者及電腦】→【Users】→【對要刪除的帳戶點選右鍵】→【刪除】

點選刪除後，會出現提示畫面。

  繼續閱讀 »

新增帳戶之後，要對該帳戶最進一步的設定。因此在這邊來介紹一下，設定的簡單說明。

以下介紹比較常用的一些設定。

先開啟【Active Directory 使用者及電腦】

開啟方法【開始】→【系統管理工具】→【Active Directory 使用者及電腦】

再來對【Users】→【德瑞克(新建立的使用者帳戶)】→【(右鍵)內容】

 設定電子郵件和首頁

輸入電子郵件帳號和網址後，可以在Active Directory 使用者及電腦的主控台來執行以下動作

1.      在帳戶名稱按右鍵，選【傳送郵件】，即可啟用Outlook Express，寄信給者個使用者(如圖二)

2.      在帳戶名稱按右鍵，選【開啟首頁】，即可使用瀏覽器瀏覽其網頁(如圖二)

(圖一)

(圖二)

接下來介紹如何限制使用者登入的時間和能夠登入的工作站.

一樣對【Users】→【德瑞克(新建立的使用者帳戶)】→【(右鍵)內容】

選擇【帳戶】→【登入時數(L)】

【登入時數(L)】可限制帳戶登入時間

【登入到(T)】可設定此帳戶能夠登入的工作站

點選【登入時數】後會看到此畫面。

藍色方塊代表允許登入

白色方塊代表不允許登入

預設都是所有帳戶在任何時間都能登入

如果要設定登入時間的話。

請先點右方紅框內的【拒絕登入(D)】此時會看到原本全部都是藍色的地方，都變成白色。

接下來在左邊白色方塊內，拉出你想要的時間點後，在點選允許登入，框起來的部份就會

變成藍色的了。

如下圖就是設定成。星期二到星期四 早上7點到下午5點可以登入

有一點要注意一下，以上的設定只能限制使用者登入網域的時間。但是如果帳戶看允許的時間內登入後，直到超過指定的時間時，系統是不會自動將其登出。如果要強迫使用者超過時間後強制登出，請參考以下方式。

  繼續閱讀 »

想使用網域內的任何資源，都必須先登入網域才能使用，但登入網域就須要帳號。因此這邊就來介紹一下如何建立帳號、設定、管理以及各項應用

新增網域使用者帳號

首先在創立帳號之前一定要先知道創立好的帳號會存放在那個位置。

網域控制站會將帳號資料存放在AD資料庫中。網域資料庫的路徑為網域控制站的\%systemroot%/NTDS/NTDS.DIT(其中的【%systemroot%】表示安裝Windows Server 2003的資料夾，預設為Windows)

非網域控制站的獨立伺服器，則將帳號資料存於Security Accounts Manager (SAM)資料庫。路徑為: \%systemroot%/system32/congfig/SAM

當新增一個使用者帳號，系統會自動給予一個Security Idenitfer (SID)給此帳號，SID是Windows Server 2003用來辯別使用者的依據，因此他是獨一無二的。就算是帳號重心命名或是重設密碼，就算是重新建立一個一模一樣的帳號，在新舊SID是不會一樣的。

接下來就介紹如何建立使用者帳號

首先開起Active Directory 使用者及電腦

【開始】→【系統管理工具】→【Active Directory 使用者及電腦】

打開【Active Directory 使用者及電腦】後會看到下圖

在左邊的紅框內為AD安裝時的5種預設

Builtin : 用來存放內建的本機群組

Computers : 用來存放網域內電腦帳戶，當Windows 2000 / 2003 / xp / vista / 7的使用者加入到網域時，這些電腦的帳戶就會存放於此。

Domain Controllers : 用來存放網域控制站。也就是說，在網域內若有多個網域控制站的話都會顯示在這裡。

ForeignSecurityPrincipals : 儲存來自有信任關係網域的物件

Users : 用來存放網域內的使用者帳戶及群組

而在右邊的紅框內則是顯示Users 現有的使用者帳戶和群組

 再來我們要新增帳戶

【User】→【新增(N)】→【使用者】

  繼續閱讀 »

Windows Server 2003 提供的網域運作模式有3種，(又可稱為【網域的功能等級】)

1.      Windows 2000 混合模式 (Mixed mode)

2.      Windows 2000 純粹模式 (Native mode)

3.      Windows Server 2003 模式

在每個不同的模式下都會有不同的執行功能。

更換網域模式如下:

首先要開啟【Active Directory 網域及信任】

開啟方式:【開始】→【系統管理工具】→【Active Directory 網域及信任】

點選下圖中的【Active Directory 網域及信任】

接下來對右邊名稱裡所設定好的網域名稱，點選右鍵。【提高網域功能等級(A)】

再來會看到下圖

在下圖中 上方的紅框內容 表示現階段網域功能的等級。

可以點選 【請選擇可用的網域功能等級(S)】，就可以更改為所需要的網域功能等級了

這邊要注意一點，一旦升級到較高等級後，就無法恢復原來的網域等級了

點選完成後 按下【升級】

此時會出現一個提醒的視窗，確定無誤就可以按下確定了

在提升等級時需要一點時間，請耐心等候。

一但升級完成後會出現下面的訊息。

  繼續閱讀 »