win2000组的建立与管理

□ 组的类型
  1、安全组：安全组主要是用来设置权限用的。
2、分布式组：是用在与安全（权限设置）无关的任务上。可以将EMAIL发到某个分布　式组，但不能设置分布组的基本权限。分布式组只能用在活动目录中。
□ 组的使用领域
  组的使用领域，WIN2000SERVER域内的组分为以下三个组。
A、全局组
B、本地域组
C、通用组
全局组：
1、全局组的含义：是用来组织用户，也就是可以将多个权限想念的用户帐户加入到　　同一个全局内。
2、全局组的特征：
A、全局组的成员，只能够包含该组所属的域内的用户与全局组。　　
B。全局组可以访问任何一个域内的资源。
本地域组：
1、本地域组的含义：
本地域组，主要是被用来指派其所在域内的访问权限。以便可以访问该域内的资源
2、本地域组的特征：
A、成员：包含任何一个域内用户帐户、通用组、全局组，可以包含同一个域内的本　　地域组，但不包含其他域内的本地域组。
B、本地域组只能访问同一个域内的资源。
通用组：
1、通用组的含义：是被用来指派在所有域内的访问权限，以便可以访问每一个域内　　资源。
2、通用组的特点：
A、成员：能够包含任何一个域内的用户帐户、通用组、全局组，但不能任何一个域　　内本地域组。
B、通用组可以访问任何一个域内的资源。
注：只有本机模式才有通用组的存在；另外也只有在本机模式下，全局组内的成员　　才可以饮食另一个全局组。
□ 更改域的模式
  WIN2000域模式分为混合模式与本机模式两种。
混合模式：
1、含义：WIN2000域被默认为混合模式，域控制器可以包括WINNT计算机。
2、混合模式的特征：A、不支持通用性。B、只有本地域组可以包含全局组，而且是　　单一层次的嵌套；不支持其他嵌套。
二、本地域组：
1、含义：所有的域控制都必须是WIN2000的计算机。WINNT可以是成员服务器。
2、特征：A、支持所有的组。B、支持所有的组的嵌套功能。而且是支持多层嵌套功　　能。
三、更改域的模式：
1、开始——程序——管理工具——活动目录用户和计算机——单击域名——鼠标右　　键）——属性。
2、“常规”选项卡——更改模式。
3、单击“是”来执行更改操作。注：一旦更改为本机模式，就无法再更改回混合模　　式。
□ 组的使用准则
  为了更容易管理网络，利用组来管理网络资源时，建议采用以下两种最常用的使用　　准则。
全局组与本地域组的使用（单域模式下使用）：
1、建立一个全局组，然后将具备相同权限的用户帐户加入到此组内。
2、建立一个本地域组，而你即将设置让此组对某些资源具备适当的权限。
3、将所有即将拥有权限访问此资源的全局组加入到本地域组内。
4、指定适当的权限给本地域组。
另外两种使用组的方法，不过与上述方法使用会有一点缺点：
1、方法一：将用户增加到本地域内。然后直接设置此组对某些资源的权限。缺点是　　：无法设置其他域内设置本地域组的权限。
2、方法二：将用户帐户加入到全局域内，然后直接设置此对某资源的权限。它的缺　　点：如果网络内包含多个域，而每个域内都有一些全局组需要对些资源具备相同的　　权限的话，则必须分别替每个全局组设置权限。浪费时间。
全局组与通用组的配合使用（多域模式下使用）：
1、在每个域内建立一个全局组，然后将具备相同权限的用户帐户加入到该域的全局　　组内。
2、在某域内建立一个通用组。而你即将设置让此组拥有对某些资源具备适当的权限
3、将所有即将拥有权限访问此资源的全局组加入到此通用组内。
4、指定适当的权限给此通用组。
□ 域组的建立
  组的添加、删除与更名
1、组的建立：
A、活动目录用户和计算机——域名——user组织单位——鼠标右键——新建——组　　——输入域组名——是。
2、域组的更名：组帐户——鼠标右键——重命名。（因组帐户的SID号没有变，所　　以组帐户的属性、权利、权限均末变。）
3、组帐户的删除：组帐户——鼠标右键——删除。
添加组成员：
开始——程序——管理工具——活动目录用户和计算机——USERS组织单位——域组　　帐户——鼠标右键——属性——成员——添加——确定。
□ 本地组的建立
  本地组是建立在WIN2000独立服务器、成员服务器或WIN2000PRO的本地安全数据库。　　而不是在域控制内，本地组只能够访问此组所在计算机内的资源。
本地组内的成员按是否加入域的形式分两类：
1、未加入域的本地组成员：只包含本地计算机的用户帐户。
2、已加入域的本地组成员：本地计算机的用户帐户、所属域的域用户帐户、所属域　　的全局组、通用组；所信任域的域用户帐户；所信任域内的全局组，通用组。
增加本地组的步骤：
开始——设置——控制面板——管理工具——计算机管理——系统工具——本地用　　户和组——组——鼠标右键——添加——确定。
□ 内置的组
  WIN2000域内含多个内置的组：本地域组、全局组、系统组，而WIN2000成员服务器　　，独立服务器及WIN2000PRO内则饮食了一些内置的本地组与系统组。
内置的本地域组：
administrators、server operators、account operators、printer operators、　　backup operators、users、guests。
内置的全局组：
domain admins、domain admins、domain guests、enterprise guests。
内置的本地组：
administrators、backup operators、users、power users
everyone、authenticated users、interactve、network、creater owner、　　　　　anonymouns logon、dialup