Active Directory 網域

Active Directory基礎管理實務操作

2012-10-01
Active Directory在現今的企業網路環境中可說無所不在,對於想踏入網管工作領域的人來說,除了必須要有基礎的Intranet與Internet網路運作架構概念外,Windows網路環境基礎建設Active Directory的管理更是一項必要的學習,而其中使用者帳戶與群組的管理是平常管理者最基本的工作之一。
接下來,在〔隸屬於〕活頁標籤內如圖10所示可以變更這位使用者所隸屬的群組,在預設狀態下,所有新增的使用者都隸屬於「Domain Users」與「Users」這兩個基本群組。關於系統預設的幾個基本群組用途,可以參考表1的說明。


▲圖10 設定所屬群組。

在〔撥入〕活頁標籤內則主要設定是否允許這位使用者可透過電話撥接的方式,或是以VPN網路撥接的方式來連線企業網路。如圖11所示,在Windows Server 2008中預設為「透過NPS網路原則控制存取」,這部分是整合最新的網路存取保護(NAP)架構來應用。如果並不打算部署NAP架構,則可以改選「允許存取」或「拒絕存取」。此外,還可以依照需求決定是否個別設定靜態IP位址的指派、靜態路由的指派等等。


▲圖11 遠端撥入設定。

在〔遠端控制〕活頁標籤內則可設定當這位使用者使用遠端桌面連線終端機服務伺服器時,同時間也連線的系統管理員是否能夠透過「終端機服務管理員」介面中的「遠端控制功能」,針對這位使用者進行唯一工作階段的檢視(純監視用途),或是與該使用者進行互動(預設值)。關於這部分的詳細操作,可以參考終端服務的相關章節內容介紹。

〔一般〕活頁標籤內則提供使用者個人資訊的相關設定(圖12)。這些設定看似不重要,但事實上越是完整的描述設定,對於後續無論在網域物件管理上或是與其他架構在Active Directory基礎下的應用系統整合,例如Exchange Server 2007、SharePoint Server 2007、Office Communications Server 2007,都會有很大的幫助,因此建議先完成〔一般〕活頁標籤內的相關欄位資訊設定。


▲圖12 個人一般資訊設定。

接著是〔位址〕活頁標籤,這裡可以設定地址相關的資訊。然後如圖13所示在〔組織〕活頁標籤內設定使用者的職稱、部門、公司及主管等資訊,強烈建議設定這些資訊。如同前面所說的,這些資訊的異動,將可以與架構在它之上的應用系統進行整合性管理。


▲圖13 組織資訊設定。

網域群組與組織的管理

繼續說明群組和組織的管理。開始之前,先介紹如下四種基本群組類型:

‧ 本機群組(Local Group)
每一個成員伺服器或用戶端電腦(Windows 2000 Professional、Windows XP Professional)在點選電腦管理後,都可以再展開「本機使用者和群組」。

之後,看到「群組」項目下的所有預設群組,而這些群組的成員中,除了可以包含一些本機或網域的使用者外,還可以加入同一個網域內的網域區域群組,以及另一個受信任Active Directory或NT網域中的萬用群組和通用群組,以作為成員之一。

‧ 網域本機群組(Domain Local Group)
必須在網域控制站(DC)下建立的群組類型,其成員可以包含受信任網域中的通用群組,以及同一個網域中的其他網域區域群組。

‧ 全域群組(Global Group)
必須在網域控制站(DC)下建立的群組類型,從Windows NT的網域架構開始,便經常被使用在兩個彼此完成信任關係設定的網域環境下,因為可以相互將各自建立的通用群組加入到對方網域中的本機群組,以便於存取資源。

‧ 萬用群組(Universal Group)
此群組類型的成員包含樹系中任何網域下的任何全域群組或萬用群組,不過要建立此種群組類型,必須在確認網域內都只有Windows 2000 Server以上版本的網域控制站,並將目前網域的模式切換成為「原始模式」時才可以使用。

表1 常見的預設安全性群組


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!