;;;;组是Windows 2000从Windows NT系统继承下来的安全管理形式,它是指活动目录或本地计算机对象,包含用户、联系人、计算机和其他组等 。在Windows 2000中,组可以用来管理用户和计算机对网络资源的访问,例如活动目录对象及其属性、网络共享、文件、目录、打印机队列,还可以筛选组策略 。使用组,主要是为了方便管理访问目的和权限相同的一系列用户和计算机帐户 。
;;;;作为管理员的用户在赋予用户或计算机帐户权限时,如果它们的权限各不相同,必须分别为它们设置;但是,如果它们的权限相同,还要分别进行设置,就多做了许多重复性工作 。有了组的概念之后,就可以将这些具有相同权限的用户或计算机划归到一个组中,使这些用户成为该组的成员,然后通过赋予该组权限来使这些用户或计算机都具有了相同的权限,这就大大减轻了作为管理员的用户的帐户管理工作 。
;;;;组织单元(Organizational Unit,简称OU)是域中包含的一类目录对象,它包括域中一些用户、计算机和组、文件与打印机等资源 。不过,组织单元不能包含其他域中的对象 。由于动态目录服务把域又详细的划分成组织单元,且组织单元中还可以再划分下级组织单元,因此组织单元的分层结构可用来建立域的分层结构模型,进而可使用户把网络所需的域的数量减至最小 。
;;;;组织单元具有继承性,子单元能够继承父单元的访问许可权 。域管理员可使用组织单位来创建管理模型,该模型可调整为任何尺寸 。而且,域管理员可授予用户对域中所有组织单位或单个组织单位的管理权限 。
;;;;注释 组和组织单元有很大的不同 。组主要用于权限设置,而组织单元则主要用于网络构建;另外,组织单元只表示单个域中的对象集合(可包括组对象),而组可以包含用户、计算机、本地服务器上的共享资源、单个域、域目录树或目录林 。
;;;;创建新组和组织单元
;;;;虽然系统提供了许多内置组用于权限和安全设置,但是它们不能满足特殊安全和灵活性的需要 。所以,用户要想很好的管理用户和计算机帐户,必须根据网络情况创建一些新组 。新组创建之后,就可以像使用内置组一样使用它们,赋予权限和进行组成员的添加 。另外,
在域中合理地添加和安排组织单元,不但方便了管理员对域中帐户和组的管理,而且还有利于网络的扩展 。
;;;;要创建新组,在控制台目录树中,展开域节点 。右击要进行组创建的组织单元或容器,从弹出的快捷菜单中选择“新建” |“组”命令,打开如图9 - 3 2所示的“创建新对象一(组)”对话框,在“新组名称”文本框中输入要创建的组名;并在“新组的下层名”文本框中输入新组的下层名称(也可使用默认名称) 。在“组领域”选项区域中,通过选择单选按钮来选择组的应用领域;在“组类型”选项区域中,通过选择单选按钮来选择新组的类型 。单击“确定”按钮即完成组的创建 。
;;;;要添加组织单元,在控制台目录树中,展开域节点 。右击域节点或者可添加组织单元的文件夹节点,从弹出的快捷菜单中选择“新建” |“组织单元”命令,打开如图9 - 3 3所示的“创建新对象”—(组织单元)”对话框,在“名称”文本框中输入新创建组织单元的名称,然后单击“确定”按钮即完成组织单元的创建 。
;;;;删除组和组织单元
;;;;当用户的活动目录中的组和组织单元因太多而影响了对用户和计算机帐户的管理时,作为管理员的用户可对自己创建的组和组织单元进行清理 。例如,当目录中有长期不使用的组或者是不符合网络安全的组,可将其删除 。当域中的某个组织单元中所包含的用户、计算机、联系人和组织单元等已经被删除或因为其他原因而不再发挥作用时,也可将其删除 。不过,管理员只能删除自己创建的组和组织单元,而不能删除由系统提供的内置组和组织单元 。
推荐阅读
- 在Windows 2000中添加网络组件
- Windows 2000 分区异常故障疑难解析
- Windows 2000 关机技巧分享
- 搞定Windows 2000的用户配置文件
- Windows 2000中的磁盘文件系统
- 如何在Windows 2000设置显示系统文件
- Windows 2000辅助工具设置
- 全自动安装 Windows 2000
- 如何在Windows 2000中创建用户帐号
- Windows 2000 “查找”专题问答