定义用户、组和计算机

  • 10 分钟

在 AD DS 中,必须向所有需要访问网络资源的用户提供用户帐户。 使用此用户帐户,用户可以对 AD DS 域进行身份验证并访问网络资源。

在 Windows Server 中,用户帐户是包含所有定义用户信息的对象。 用户帐户包括:

  • 用户名。
  • 用户密码。
  • 群组成员资格。

用户帐户还包含可根据组织要求配置的设置。

Active Directory 管理中心中 Jane Dow 用户帐户的屏幕截图。

用户帐户的用户名和密码用作用户的登录凭据。 用户对象还包括其他几个用于描述和管理用户的特性。 可以使用以下工具在 AD DS 中创建和管理用户对象:

  • Active Directory 管理中心。
  • Active Directory(活动目录)用户和计算机。
  • Windows Admin Center。
  • Windows PowerShell。
  • dsadd 命令行工具。

什么是托管服务帐户?

许多应用包含需要安装在托管程序的服务器上的服务。 这些服务通常在服务器启动时运行,或由其他事件触发。 服务通常在后台运行,无需任何用户交互。 为了让服务能够启动和进行身份验证,需要使用服务帐户。 服务帐户可以是计算机的本地帐户,如内置本地服务、网络服务或本地系统帐户。 还可以将服务帐户配置为使用位于 AD DS 的基于域的帐户。

为了帮助进行集中管理和满足程序要求,许多组织选择使用基于域的帐户来运行程序服务。 虽然这相对于使用本地帐户有一些优势,但也存在许多相关问题,如下所示:

  • 可能需要额外的管理工作来安全地管理服务帐户密码。
  • 确定在什么位置将基于域的帐户用作服务帐户有时会比较困难。
  • 可能需要额外的管理工作来管理服务主体名称 (SPN)。

Windows Server 支持一个名为托管服务帐户的 AD DS 对象,可以使用它来辅助服务帐户管理。 托管服务帐户是一个 AD DS 对象类,可实现以下功能:

  • 简化密码管理。
  • 简化 SPN 管理。

什么是组托管服务帐户?

借助组托管服务帐户可以将标准托管服务帐户的功能扩展到域中的多台服务器上。 在应用网络负载均衡 (NLB) 群集或 IIS 服务器的服务器场中,通常需要在同一服务帐户下运行系统或程序服务。 标准托管服务帐户无法向在多台服务器上运行的服务提供托管服务帐户功能。 通过使用组托管服务帐户,可以将多个服务器配置为使用同一个托管服务帐户,并仍保留托管服务帐户提供的好处,如自动密码维护和简化的 SPN 管理。

若要支持组托管服务帐户功能,环境必须满足以下要求:

  • 需要在域中的域控制器上创建 KDS 根密钥。

若要创建 KDS 根密钥,请在 Windows Server 域控制器上的 Windows PowerShell Active Directory 模块中运行以下命令

Add-KdsRootKey –EffectiveImmediately

通过将 New-ADServiceAccount Windows PowerShell cmdlet 和 –PrinicipalsAllowedToRetrieveManagedPassword 参数一起使用可以创建组托管服务帐户。

例如:

New-ADServiceAccount -Name LondonSQLFarm -PrincipalsAllowedToRetrieveManagedPassword SEA-SQL1, SEA-SQL2, SEA-SQL3

什么是组对象?

尽管在小型网络中为单个用户帐户分配权限是可行的,但这在大型企业网络中是不切实际的,而且效率低下。

例如,如果多个用户需要同级别的文件夹访问权限,则创建包含所需用户帐户的组,再将所需的权限分配给该组会更高效。

提示

一个额外的好处是,可以通过在组中添加或删除用户来更改某个用户的文件权限,而不是直接编辑文件权限。

在组织中实现组之前,需要先了解各种类型的 AD DS 组的作用范围。 此外,还需要了解如何使用组类型管理对资源的访问,或者分配管理权限和责任。

显示 Windows 管理中心中“创建组:销售经理”对话框的屏幕截图。

组类型

在 Windows Server 企业网络中有两种类型的组,如下表中所介绍。

组类型 描述
安全性 安全组是启用安全机制的,可以用于向各种资源分配权限。 可以使用访问控制列表 (ACL) 内权限项中的安全组来帮助控制资源访问的安全性。 如果要使用组来管理安全性,组必须是安全组。
分销 电子邮件应用程序通常使用未启用安全机制的通讯组。 还可以将安全组作为电子邮件应用程序的分发方式来使用。

组范围

Windows Server 支持组范围设定。 组的作用域决定组的能力或权限的范围以及组成员身份。 有四个组范围。

  • 本地。 您可以在独立服务器或工作站,以及不是域控制器的域成员服务器或域成员工作站上使用此类型的组。 本地组仅在其所在的计算机上可用。 本地组的重要特征如下:

    • 仅能在本地资源(即本地计算机)上分配功能和权限。
    • 成员可以来自 AD DS 林中任意位置。

  • 域本地。 此类型的组主要用于管理对资源的访问或分配管理权限和责任。 域本地组位于 AD DS 域中的域控制器上,因此该组的作用域是在其所在域的本地。 域本地组的重要特征如下:

    • 仅可在域本地资源(即本地域中的所有计算机)上分配功能和权限。
    • 成员可以来自 AD DS 林中任意位置。

  • 全局。 此类型的组主要用于合并具有相似特征的用户。 例如,可以将属于某个部门或某个地理位置的用户加入全局组。 全局组的重要特征如下:

    • 可以在林中任意位置分配功能和权限。
    • 成员只能来自本地域,可包括来自本地域中的用户、计算机和全局组。

  • 通用。 此类型的组最常用于多域网络,因为它结合了域本地组和全局组的特征。 具体而言,通用组的重要特征如下:

    • 可以在林中任意位置分配功能和权限,类似于为全局组分配的方式。
    • 成员可以来自 AD DS 林中任意位置。

什么是计算机对象?

计算机(如用户)是安全主体,原因是:

  • 他们有一个帐户,其中的登录名和密码由 Windows 自动定期更改。
  • 使用域进行身份验证。
  • 可以属于组和具有对资源的访问权限,你可使用组策略来配置它们。

计算机帐户的生命周期始于您创建计算机对象并将其加入到域中时。 当您将计算机帐户加入到您的域后,日常管理任务包括:

  • 配置计算机属性。
  • 在 OU 之间移动计算机。
  • 管理计算机本身。
  • 重命名、重置、禁用、启用和最终删除计算机对象。

Active Directory 管理中心中“Create Computer: SEA-CL5”对话框的屏幕截图。

计算机容器

在 AD DS 中创建计算机对象之前,需要准备好一个放置该对象的位置。 计算机容器是 AD DS 域中的内置容器。 计算机加入域时,此容器是计算机帐户的默认位置。

此容器不是 OU。 而是 Container 类的对象。 其常用名为 CN=Computers。 容器和 OU 之间存在细微但重要的差异。 不能在容器中创建 OU,因此不能细分计算机容器。 也不能将组策略对象链接到容器。 因此,建议创建自定义 OU 来托管计算机对象,而不是使用计算机容器。