Windows Server 2012活動目錄基礎配置與應用（新手教程）之6---組織單位OU與組Group

標籤：組織單位   組   

   概念：組織單位(Organizational Unit)，簡稱OU ，是可以將使用者、組、電腦和其它組織單位放入其中的AD容器，是可以指派組原則設定或委派系統管理權限的最小範圍或單元。

 

   觀察：AD使用者和電腦的視窗，分析OU表徵圖的不同。

 

   1.OU的基本管理

（1）仿照學校的結構，建立不同的OU。

 650) this.width=650;" src="http://s1.51cto.com/wyfs02/M01/8A/1F/wKiom1gnC3jiBDHsAACT_AhTRbY580.jpg-wh_500x0-wm_3-wmp_4-s_2692015115.jpg" title="6-1.jpg" alt="wKiom1gnC3jiBDHsAACT_AhTRbY580.jpg-wh_50" />

（2）按住滑鼠左鍵，分別移動部分使用者賬戶至建立好的OU中。

 650) this.width=650;" src="http://s4.51cto.com/wyfs02/M01/8A/1F/wKiom1gnC7yhBk_DAACKYoY9MOk138.jpg-wh_500x0-wm_3-wmp_4-s_2019414490.jpg" title="6-2.jpg" alt="wKiom1gnC7yhBk_DAACKYoY9MOk138.jpg-wh_50" />

 

（3）選擇一個使用者，移動至動漫製作技術這個OU中，然後將該OU刪除，檢查使用者是否仍然存在。（注意，刪除OU時，需要通過AD使用者和電腦管理主控台中，選擇查看菜單下的進階功能，才能使每個OU隱藏的屬性“對象”這一標籤出現！！）

 650) this.width=650;" src="http://s4.51cto.com/wyfs02/M01/8A/1B/wKioL1gnC_3TcRXVAABtkXVBNck592.jpg-wh_500x0-wm_3-wmp_4-s_3959132318.jpg" title="6-3.jpg" alt="wKioL1gnC_3TcRXVAABtkXVBNck592.jpg-wh_50" />

 

    總結：組織單元主要用於網路構建，只表示單個域包含的一類目錄對象如使用者、電腦和組、檔案與印表機等資源，是一個容器，可以在OU上部署組策略，是一個容器。組織單元還具有分層結構可用來建立域的分層結構模型，進而可使使用者把網路所需的域的數量減至最小。組織單元具有繼承性，子單元能夠繼承父單元的acl。同時網域系統管理員可授予使用者對域中所有組織單位或單個組織單位的系統管理權限。就像一個公司的各個部門的主管，權力平均化能更有效管理。

    2.組的基本管理

   （1）以管理員身份登入DC，在USERS容器內，建立兩個組，分別命名為“15網路男神組”和“15網路女神組”。組範圍保持預設設定，群組類型分別選擇為“安全性群組”和“通訊群組”。

                       

650) this.width=650;" src="http://s5.51cto.com/wyfs02/M02/8A/1F/wKiom1gnDLPC0SDTAABvjUCZSyc309.jpg-wh_500x0-wm_3-wmp_4-s_306665098.jpg" style="float:none;" title="6-4.jpg" alt="wKiom1gnDLPC0SDTAABvjUCZSyc309.jpg-wh_50" />

650) this.width=650;" src="http://s3.51cto.com/wyfs02/M02/8A/1B/wKioL1gnDLSDvuzqAABhzMT720g891.jpg-wh_500x0-wm_3-wmp_4-s_736856603.jpg" style="float:none;" title="6-5.jpg" alt="wKioL1gnDLSDvuzqAABhzMT720g891.jpg-wh_50" />

      

 

 

 

（2）在DC的案頭上建立一個檔案夾，設定其NTFS許可權。觀察使用權限設定的視窗裡，上述建立的兩個組，哪一個出現，哪一個不出現。

 650) this.width=650;" src="http://s5.51cto.com/wyfs02/M00/8A/1F/wKiom1gnDN7ChnJNAAB5kJnG5SI210.jpg-wh_500x0-wm_3-wmp_4-s_625338959.jpg" title="6-6.jpg" alt="wKiom1gnDN7ChnJNAAB5kJnG5SI210.jpg-wh_50" />

 

（3）改變原先“通訊群組”為“安全性群組”，關閉步驟2裡設定許可權的視窗，再次開啟查看。

 650) this.width=650;" src="http://s3.51cto.com/wyfs02/M02/8A/1B/wKioL1gnDTGRvMoJAAA4llhZjgU230.jpg-wh_500x0-wm_3-wmp_4-s_4186264677.jpg" title="6-7.jpg" alt="wKioL1gnDTGRvMoJAAA4llhZjgU230.jpg-wh_50" />

 

    由上述操作，可知：AD中的域組可以分為兩種類型，且它們之間可以相互轉換。分別是：

    安全性群組：可以被用來指定許可權與權利，例如設定對檔案具有讀取許可權；也可以用在與安全無關的工作上，例如可以發送電郵給安全性群組。

    通訊群組：又稱發布組，被用在與安全（許可權與權利的設定等）無關的工作上，例如可以發送電郵給發布組，但是無法給予發布組許可權與權利。

    除了組的類型，應用中還需要考慮組的作用範圍。（瞭解）

650) this.width=650;" src="http://s3.51cto.com/wyfs02/M01/8A/1F/wKiom1gnDXOjix6TAAEMXIo_SEc372.jpg-wh_500x0-wm_3-wmp_4-s_98952313.jpg" title="6-8.jpg" alt="wKiom1gnDXOjix6TAAEMXIo_SEc372.jpg-wh_50" />

 

總結：

組和組織單元有很大的不同。組主要用於使用權限設定，組織單位可以包含使用者、電腦、本機伺服器上的共用資源。執行刪除操作時，操作結果有所不同。 

本文出自 “網路蝸牛” 部落格，謝絕轉載！

Windows Server 2012活動目錄基礎配置與應用（新手教程）之6---組織單位OU與組Group