文档介绍:第6章 组账户的管理
清华大学出版社
普通高等教育”十一五”国家规划教材 Windows Server 2003 网络操作系统
本地组与域组
我们知道,用户帐户分为本地用户帐户和域用户帐户,同样,组也分为本地组与域组。
用户在非域控制器的计算机上创建的组,称为“本地组”。这些组账户存储在“本地
安全账户数据库”,即只能访问本地计算机的资源。
用户在Windows Server 2003域控制器上创建的组称为域组。这些组账户存储在Active Directory数据库内。这些组适用于所有属于这个域的计算机,即它们能够访问所有计算机的资源,条件是要有适当的权限。
Windows Server 2003将域中的组分为两种类型:安全组和分布式组。
安全组:安全组可以被设置权限。例如:可设置让安全组对文件有“读取”或“改写”的权限。安全组也可用在与安全无关的任务上,如,可以通过电子邮件软件将电子邮件发送给安全组。
分布式组:分布式组用在与安全无关的任务上。例如:可以通过电子邮件软件将电子邮件发送给分布式组。用户不能设置分布式组的权限。
注意:应用程序只有在支持活动目录的情况下,才可以使用分布式组。
安全组和分布式组之间可以互相转换。只是这种转换有条件限制,即只有在域功能级别设置为“Windows 2000纯模式”或者“Windows Server 2003”时才可以转换。在“Windows 2000 混合模式”级别中无法转换组类型。
内置的组
Windows Server 2003操作系统能够自动创建一些组。其中有些组是安装时被创建在本地计算机中,有些组是当升级成域控制器时被创建在Active Directory 数据库中。
以下是常用的本地组:
Administrators 该组成员用户都具有系统管理员权限,即拥有使用该计算机的最大权限。
Backup Operators 属于该组的用户,不管是否具有访问权限,都可以通过“开始”“程序”“附件”“系统工具”“备份”,来备份与还原该计算机的文件与文件夹。
Guests 该组成员用户称为来宾用户,默认具有与用户组成员同样的访问权,但来宾账户限制更多,如不能更改账户密码。
Network Configuration Operators 属于该组的用户可在用户计算机进行一些简单的网络设置,如更改IP地址,但不能将计算机设成网络服务器。
Performance Log Users 属于该组的成员可以对该计算机远程访问,以计划此计算机上性能计数器的日志。
Performance Monitor Users 该组的成员可以远程访问以监视该计算机。
Power Users成员拥有大部分管理权限,但比Administrators的权限要少一些。成员用户可以运行经过验证的应用程序,也可运行旧版应用程序。
Print Operators 该组成员可以管理域打印机。
Remote Desktop Users 该组成员具有远程登录的权限。
Users 该组成员拥有一些基本的权限,但默认无法更改系统设置。该组用户可以运行经过验证的应用程序,但不可以运行大多数旧版应用程序。
这些本地组保存在“本地安全账户数据库内”。它们具有管理计算机的能力。加入到这些组中的用户账户,也会具有同等的权利及权限。
要建立本地组,可以打开“开始”“管理工具”“计算机管理”“本地用户和组”,或者右击“我的电脑”“管理”,打开如图6-2所示的画面。
图6-2 选择“新建组”