User Manage3
- 1. 群組管理
- 2. 認識群組 簡單來說 , 可以將群組看成一個邏輯單位 , 它包含一群使用者帳戶或是其他的群組。 當我們將權限指派給群組後 , 任何加入這個群組的物件 ( 帳戶或其他群組 ), 都會擁有這個群組具有的權限。
- 3. 認識群組 網域內的群組 , 和使用者帳戶一樣 , 也具有一個獨一無二的 SID, 因此我們可以把權限指派給群組。這些能夠被賦予權限的物件 ( 帳戶或群組 ) 我們稱之為 安全性原則 (Security Principal) 。 能指派權限的群組又稱為 安全性群組 , 另外還有一種不能指派權限的 發佈群組 。
- 4. 認識群組領域 群組領域 (Group Scope) 簡單的說 , 就是指這個群組的『 使用範圍 』: 能用於指派位於何處 ( 網域或樹系 ) 資源的權限。 能放在哪個領域 ( 網域或樹系 ) 的其它群組之中。 能包含來自何處的使用者帳戶及群組。
- 5. 群組領域 (Group Scope) Windows Server 2003 中一共有 3 種群組領域 (Group Scope) : 網域區域 (Domain Local) : 使用範圍是本網域的群組 , 這類群組簡稱為網域區域群組。 通用 (Global) : 指派權限時使用範圍可及於樹系 , 但只能含同網域其它帳戶或群組 , 這類群組簡稱為通用群組。 萬用 (Universal) : 使用範圍及於整個樹系 , 這類群組簡稱為萬用群組。
- 6. 網域區域群組的 4 種成員 任何網域的 使用者帳戶 。 任何網域的 通用群組 。 若網域功能等級設為 Windows 2000 純粹模式 或 Windows Server 2003 模式 , 則還可包含任何網域的 萬用群組 及同網域的 網域區域群組 。
- 7. 網域區域群組 若群組中包含其他的群組 ( 例如在網域區域群組中包含其他網域區域、通用或萬用群組 ), 稱為群組的 巢狀架構 (Nesting) 。 網域區域群組 幾乎可以包含所有類型的成員 , 然而它的權限範圍只限於同網域的資源。
- 8. 網域區域群組 在管理網域資源時 , 一般都會把存取權限指派給 網域區域群組 , 而不會直接指派給使用者帳戶:
- 9. 本機群組 VS. 網域區域群組 Windows 2000 Professional / XP 電腦 ( 以下簡稱為用戶端 ) 以及網域控制站以外的獨立伺服器或成員伺服器 , 並不會有群組領域 ( 網域區域、通用以及 萬用群組 ), 它們只有本機群組 (Local Group), 用來組織本機使用者帳戶;其權限的範圍只限於本機電腦 , 亦即只有本機的資源能指派給本機群組。
- 10. 本機群組 VS. 網域區域群組 若用戶端與獨立伺服器加入網域中 , 則本機群組除了可包含本機使用者帳戶外 , 還可以包含: 同網域的網域使用者帳戶。 同網域的 網域區域群組 以及整個樹系的 通用群組 與 萬用群組 。
- 11. 通用群組的 2 種成員 同網域的使用者帳戶。 若網域功能等級設為 Windows 2000 純粹模式 或 Windows Server 2003 模式 , 則可包含同網域的其他 通用群組 。
- 12. 通用群組 通用群組 的權限範圍是整個樹系 , 也就是說 , 可以將 A 網域資源的存取權限 , 指派給 B 、 C 、 D... 等網域的 通用群組 ;然而 , 在實際應用上 , 最好將 通用群組 加入 網域區域群組 中 , 而不要直接將權限指派給 通用群組 。
- 13. 利用網域區域群組與通用群組管理單一網域 其規劃的方式稱為『 AGDLP 』。其原則如下: 把需要相同權限的使用者帳戶 (A ccount) 加入同一個通用 ( G lobal) 群組中。 把 通用群組 加入 網域區域群組 ( D omain L ocal) 。 將網域內資源的存取權限 ( P ermission) 指派給網域區域群組。
- 14. 管理單一網域案例
- 15. AGDLP 管理方式的優點 當產品部門不需要使用印表機時 , 只須將『 Products 』從『 Printers 』中移除即可;反之 , 如果 網域區域群組 中包含的是個別的使用者而非 通用群組 時 , 系統管理員必須一一將產品部門的員工自『 Printers 』中移除 , 增加管理負擔。
- 16. AGDLP 管理方式的優點 若有其他部門 , 例如:銷售 (Sales) 與行銷 (Marketing) 也要使用印表機 , 只須將他們加到『 Printers 』 網域區域群組 即可;反之 , 如果將權限直接指派給 通用群組 , 則比較浪費時間 , 因為各部門 (Products 、 Accountings 、 Sales 、 Marketing) 的權限都必須個別重複做相同的設定。
- 17. 萬用群組的 3 種成員 任何網域的使用者帳戶。 任何網域的 通用群組 。 任何網域的 萬用群組 。
- 18. 萬用群組 萬用群組 和 通用群組 一樣 , 可以指派樹系中任何資源的權限給它。 就單一網域的觀點 , 使用 萬用群組 取代 通用群組 的確是可行的方法 , 能夠有效組織使用者帳戶管理資源;然而 , 在多網域的環境 , 就會衍生出極大的效率問題。
- 19. 萬用群組 由於跨網域存取資料時 , 會利用通用類別目錄來查詢資源所在的位置 , 所以不同網域的通用類別目錄間彼此需要相互複寫資料 , 以確保資料的同步。 萬用群組 的特性之一 , 就是會把群組名稱以及包含的成員都發佈到通用類別目錄上 , 一旦其成員變動 , 則會觸發通用類別目錄之間複寫動作 , 造成網路可觀的負載。
- 20. 萬用群組 然而 , 通用群組 和 網域區域群組 則只有群組名稱會記錄於通用類別目錄 , 所以無論其成員如何變動 , 都不會影響到通用類別目錄的內容而觸發複寫機制。 因此 , 在多網域的環境 , 為了控制網路頻寬 , 利用 通用群組 來組織帳戶還是有其必要性。
- 21. 利用萬用群組管理多個網域 萬用群組 存在的目的就是為了簡化多網域 ( 樹系 ) 的管理工作 , 以下我們舉一個實例 , 說明使用 萬用群組 的好處。 在『不』使用 萬用群組 時 , 其規劃的藍圖如下:
- 24. 萬用群組 如上圖所示 , 規劃的步驟是將各網域的財務人員組織為 通用群組 , 再把這些 通用群組 加到 萬用群組 , 然後將個別網域資源的存取權限 , 指派給該網域的 網域區域群組 , 最後再將 萬用群組 加入各個 網域區域群組 中即可。
- 25. 萬用群組 如此一來 , 萬用群組 中並沒有直接包含使用者帳戶 , 而是包含各網域的 通用群組 , 簡化對 萬用群組 的管理外 , 也可以有效降低因通用類別目錄間彼此複寫 , 所造成的網路負載 ( 因為 通用群組 中的成員異動 , 並不會觸發複寫機制 ) 。
- 26. 群組規劃帳戶的原則 將資源的存取權限指派給 網域區域群組 , 然後將樹系中的 通用群組 或 萬用群組 加到 網域區域群組 中 , 以獲得該項資源的存取權。 將網域內相同權限的使用者帳戶組織在 通用群組 中 , 再將 通用群組 加入各個 網域區域群組 中。
- 27. 群組規劃帳戶的原則 在多網域的環境中 , 將相同權限的 通用群組 組織到 萬用群組 中 , 然後把 萬用群組 加入各個網域區域群組中。盡量不要在 萬用群組 中包含使用者帳戶。 群組中包含其他群組的巢狀結構 (Nesting) 不要太複雜 , 建議您採用單層結構 (One-Level Nesting) 即可。
- 28. 利用群組管理網域 新增群組 將使用者加入通用群組 將通用群組加入網域區域群組 將資源存取權限指派給網域區域群組 重新命名群組 刪除群組
- 29. 新增群組 請執行『 開始 / 系統管理工具 / Active Directory 使用者及電腦 』命令 , 然後在要建立群組的容器按右鈕 , 執行『 新增 / 群組 』命令:
- 30. 新增群組
- 31. 通用群組 在上圖的 群組領域 設定中選擇 通用 單選鈕 , 便能夠建立『 Products 』 通用群組 :
- 32. 將使用者加入通用群組 通用群組 是用來組織需要相同權限的使用者帳戶 , 因此新增群組之後 , 就可以把使用者加入群組中。 要將使用者加入『 Products 』群組 , 請在該群組上按右鈕 , 執行『 內容 』命令 , 開啟群組的 內容 交談窗:
- 33. 將使用者加入通用群組
- 34. 將使用者加入通用群組
- 35. 將使用者加入通用群組
- 36. 將通用群組加入網域區域群組 將『 Products 』 通用群組 加到『 Printers 』 網域區域群組 , 請在『 Products 』上按右鈕 , 執行『 內容 』命令 , 開啟群組的 內容 交談窗:
- 37. 將通用群組加入網域區域群組
- 38. 將通用群組加入網域區域群組
- 39. 將通用群組加入網域區域群組
- 40. 將通用群組加入網域區域群組 除了在『 Products 』的 成員隸屬 頁次中將它加到『 Printers 』 , 也可以『反向操作』在『 Printers 』中將『 Products 』加進來。 請開啟『 Printers 』的內容交談窗 , 切換到 成員 頁次:
- 41. 成員隸屬
- 42. 將通用群組加入網域區域群組 在『 Products 』的 成員隸屬 頁次中 , 新增『 Printers 』群組。表示『 Products 』 通用群組 隸屬於『 Printers 』 網域區域群組 。 在『 Printers 』的 成員 頁次中 , 新增『 Products 』群組。表示『 Printers 』 網域區域群組 包含『 Products 』 通用群組 為其成員。
- 43. 將資源存取權限指派給網域 區域群組 假設要將印表機的權限指派給『 Printers 』 網域區域群組 , 讓『 Printers 』的成員都能夠使用印表機。 請執行『 開始 / 印表機和傳真 』命令:
- 48. 重新命名群組
- 49. 重新命名群組
- 50. 重新命名群組
- 51. 刪除群組 群組刪除後 , 即使重新建立相同名稱的群組 , Windows Server 2003 仍會重新指定一個不同的 SID 給新群組 , 所以雖有相同的名稱 , 實際上是 2 個不同的群組。亦即 , 重新建立的群組不會保留之前群組的權限設定。
- 52. 刪除群組
- 53. 認識群組類型 Windows Server 2003 支援 安全性群組 以及 發佈群組 這 2 種群組類型:
- 54. 安全性群組 安全性群組 和使用者帳戶一樣 , 每個 安全性群組 都會有個獨一無二的 SID, 所以我們可以直接將資源的使用權限指派給 安全性群組 。 在用戶端及非網域控制站的伺服器中的本機群組 , 並沒有 安全性群組 與 發佈群組 的差別 , 本機群組都是 安全性群組 。
- 55. 發佈群組 發佈群組 並沒有 SID, 因此不能用它來指派物件的存取權限。 發佈群組 的功用是組織其成員的電子郵件地址 , 成為電子郵件清單 , 我們可以利用電子郵件處理程式寄信給發佈群組中所有的成員。然而請注意!郵件處理程式必須支援 Active Directory 才能使用發佈群組 ( 例如 Exchange Server 2000/2003) 。
- 56. 安全性群組 VS. 發佈群組 實際上 安全性群組 也具有 發佈群組 的功能 , 也就是說 , 可以把 安全性群組 當成 發佈群組 來使用 , 寄送電子郵件給 安全性群組 的成員。 在 Windows 2000 純粹模式 或 Windows Server 2003 模式 中 , 系統管理員可以視需要 , 隨時轉變群組類型 , 亦即 安全性群組 與 發佈群組 之間可以自由轉換。
- 57. 安全性群組 VS. 發佈群組 功能總結
- 58. 聯絡人 在 Windows Server 2003 中 , 無論是 安全性群組 或是 發佈群組 , 都可以包含聯絡人物件。
- 59. 建立聯絡人 請選定要放置此聯絡人的容器 (Builtin 容器除外 ), 然後按右鈕執行『 新增 / 聯絡人 』命令:
- 60. 認識內建群組 內建本機群組 內建的 網域區域群組 內建的 通用群組 內建的 萬用群組 內建的 系統群組 這 5 種內建的群組因應管理需求都有一些事先設定好的使用者權利 (User Right), 任何使用者或群組加入這些內建群組中 , 就會擁有特定的使用者權利。
- 61. 使用者權利 (Right) 使用者權利 (Right) 指的是可做某類動作的能力 , 例如能不能變更系統時間、能不能登入某一台電腦、能不能關機、能不能備份檔案等 , 由此可知 , 使用者權利影響的對象是 Windows Server 2003 系統本身。
- 62. 權限 (Permission) 權限 (Permission) 是指使用者對於一項特定物件 ( 檔案、資料夾 , 或印表機等 ) 的存取限制 , 包含可否讀取、寫入或刪除等。權限需針對個別物件來指定 , 例如使用者可讀取他自己的 我的文件 資料夾中的檔案 , 但並不意味著他可以讀取同一磁碟上其它資料夾的檔案。
- 63. 非網域控制站的內建本機群組 安裝 Windows Server 2003 Server 後 , 系統會自動建立 內建本機群組 (Built-in Local Group) 。 安裝 AD 服務成為網域控制站的電腦 , 其中所有的本機群組都會被轉移到 AD 中。 我們只能在獨立伺服器 (Standalone Server) 、成員伺服器 (Member Server) 等非網域控制站電腦上 , 看到 內建本機群組 , 而且無法將它們刪除。
- 64. 非網域控制站的內建本機群組 內建本機群組 有一些事先設定好的使用者權利 , 以便讓其成員擁有管理本機電腦的能力。 要查看非網域控制站的內建本機群組 , 請在該電腦的桌面 我的電腦 圖示上按右鈕 , 執行『 管理 』命令:
- 65. 非網域控制站的內建本機群組 選擇 此項 這些就是內建本機群組
- 66. 內建群組的功用 Administrators : 此群組的成員擁有本機電腦最大的管理權限 , 系統管理員 Administrator 就是這個群組的成員。 當獨立伺服器及用戶端加入網域後 , 網域的 Domain Admins 通用群組 就會自動加入本機的 Administrators 群組中 , 因此網域的系統管理員也能夠管理網域內所有的電腦。 Backup Operators : 此群組的成員可以登入此台電腦、關機 , 以及利用備份程式來備份或還原資料。
- 67. 內建群組的功用 HelpServicesGroup : 專供可提供支援服務的程式所使用的特別群組。 Network Configuration Operators : 此群組的成員可進行 TCP/IP 相關設定。 Performance Monitor Users : 此群組的成員可從本機或遠端使用 效能記錄及警示 監看電腦的效能。
- 68. 內建群組的功用 Performance Log Users : 此群組的成員可從本機或遠端使用 效能記錄及警示 建立效能記錄、警示等。 Power Users : 此群組的成員可以安裝應用程式、新增 / 刪除與管理本機使用者帳戶 , 以及建立 / 取消本機的共用資料夾和印表機。 Print Operators : 此群組的成員可管理印表機。
- 69. 內建群組的功用 Remote Desktop Users : 此群組的成員可從遠端使用 遠端桌面 登入本機。 Replicator : 此群組專門用於 檔案複寫服務 (File Replication Service), 不應將一般使用者帳戶加入此群組中。
- 70. 內建群組的功用 Users : 預設任何本機使用者帳戶都是此群組的成員。此群組的成員可以登入這台電腦以及存取網路上的共用資源;可是 Users 群組預設不能變更系統設定。 當獨立伺服器及用戶端加入網域後 , 網域的 Domain Users 通用群組就會自動加入本機的 Users 群組中 , 這也是網域使用者預設可登入、使用網域中所有電腦的原因 ( 除了網域控制站以外 ) 。
- 71. 內建群組的功用 Guests : 此群組擁有最少的使用者權利和權限 , 其成員所能執行的動作 ( 例如:備份檔案、關機等 ) 須由系統管理員另行指派;而所能存取的資源 , 則須視指派給它的權限而定。 內建的 Guest 帳戶就是 Guests 群組的成員 , 此帳戶的用途是讓沒有本機帳戶的人也可以登入這台電腦。
- 72. 建立本機群組 系統管理員也可以在非網域控制站或用戶端上建立自訂的 本機群組 , 本機群組 的權限範圍只限於它所在的電腦 , 無法存取網域內的資源。 由於只有本機資源才能指派給本機群組 , 所以一般在網域中我們不會將權限指派給本機群組 , 而是指派給 網域區域群組 。 若要建立本機群組 , 請在非網域控制站的 開始 / 我的電腦 圖示上按右鈕 , 執行『 管理 』命令:
- 73. 建立本機群組
- 74. 建立本機群組
- 75. 網域或控制站的內建本機群組 建立網域之後 , 網域控制站原本的內建本機群組會轉移到 AD 下的 Builtin 容器下 , 這些群組與生俱來就有一些因應管理需求而產生的使用者權利與權限。 其中像 Network Configuration Operators 、 Performance Monitor Users 等群組的功用和前面介紹的同名 本機群組 相似 , 只不過在 DC 上的內建群組其權利、權限可及於網域中的所有電腦。
- 77. 內建群組的功用 Account Operators : 此群組成員可以登入網域控制站、新增 / 移除與管理網域使用者帳戶和群組 , 但不能變更或刪除『 Administrators 、 Domain Admins 、 Account Operators 、 Backup Operators 、 Print Operators 、 Server Operators 』等群組以及其成員。
- 78. 內建群組的功用 Administrators : 此群組的成員擁有所有的使用者權利與權限 , 對整個網域有最大的控制權。 Administrator 帳戶、 Domain Admins 通用群組 以及 Enterprise Admins 萬用群組 , 這 3 者預設是此群組的成員。 Backup Operators : 此群組成員擁有 本機登入、系統關機、備份檔案及目錄 與 還原檔案 及 目錄 4 種使用者權利 , 所以可以登入網域控制站電腦 , 執行備份程式來備份及回存整個系統。
- 79. 內建群組的功用 Incoming Forest Trust Builders : 在樹系根網域才會有這個群組 , 此群組的成員可建立另一網域對本網域的 連入 (Inbound) 單向信任關係。 Print Operators : 此群組成員擁有 本機登入 及 系統關機 使用者權利 , 且可以新增 / 移除與設定網域內的印表機。
- 80. 內建群組的功用 Server Operators : 此群組成員擁有 允許本機登入、系統關機、備份檔案及目錄、還原檔案及目錄、變更系統時間與從遠端系統強制關機 6 種使用者權利 , 可以管理網域控制站電腦上的印表機、共用資料夾以及備份 / 回存伺服器上的資料等。 Server Operators 群組的能力僅次於 Administrators 群組 , 但此群組的成員無法變更系統安全性設定。
- 81. 內建群組的功用 Users : 預設任何網域使用者帳戶都是此群組的成員。 此群組的成員可以登入網域內所有非網域控制站電腦 , 以及存取網路上的共用資源 , 但預設不能變更系統設定。
- 82. 網域中電腦的角色與群組的 關係 網域中的電腦會因為其角色的不同 , 而擁有不同的群組: 網域控制站 :儲存 AD 資料 , 我們可以在這台電腦上 建立網域區域群組、通用群組 與 萬用群組 等 3 種群組。 其它伺服器與用戶端 :在網域中『非』網域控制站的電腦 , 可擁有它自己的本機群組。
- 83. 網域中電腦的角色與群組的 關係 當獨立伺服器和用戶端加入網域後 , 系統會自動把網域控制站的 Domain Admins 通用群組 加入這些電腦的 Administrators 本機群組 , 並將 Domain Users 通用群組 加入這些電腦的 Users 本機群組 , 所以網域的 Administrator 可以管理這些電腦 , 而網域中一般使用者也可以登入使用這些電腦。
- 84. 內建的網域區域、通用與 萬用群組 舉例來說 , Domain Admins 通用群組的使用者權利與權限是來自它所隸屬的 Administrators 本機群組 , 唯有內建的本機群組及網域區域群組才具有預設的使用者權利與權限:
- 85. Users 容器中內建的群組 在 Users 容器中可以看到內建的 網域區域群組 、 通用群組 與 萬用群組 :
- 86. 各群組的功用 Cert Publishers : 屬於 網域區域群組 , 此群組的成員可將數位憑證發行至 AD 中 , 專門用於企業認證及更新代理程式。 Domain Admins : 屬於 通用群組群組 , 專門用來組織網域中具有 Administrator 權限的使用者帳戶 ( 例如:網域系統管理員帳戶 Administrator, 預設為此群組的成員 ) 。此群組預設隸屬於 Administrators 本機 群組。
- 87. 各群組的功用 Domain Computers : 屬於 通用群組 , 所有加入網域的電腦都會有自己的電腦帳戶 , 而這些帳戶都屬於此群組的成員。 Domain Controllers : 屬於 通用群組 , 網域內所有的網域控制站都會是這個群組的成員。 Domain Guests : 屬於 通用群組 , 專門用來組織網域中具有 Guest 性質的使用者帳戶。
- 88. 各群組的功用 Domain Users : 屬於 通用群組 , 預設所有的網域使用者帳戶都會是這個群組的成員。 Enterprise Admins : 屬於 萬用群組 , 這個特別的群組只會出現在整個樹系中的根網域 , 子網域不會有此群組。簡單的說 , 此群組的成員有權進行『 整個樹系 』的管理工作。預設樹系根網域的 Administrator 帳戶隸屬於此群組 , 但樹系中其它網域的 Administrator 帳戶則否。
- 89. 各群組的功用 Group Policy Creator Owners : 屬於 通用群組 , 此群組的成員有權建立 群組原則 。 Schema Admins : 屬於 萬用群組 ( 混合模式下則為 通用群組 ), 這個群組也會出現在整個樹系中的根網域。簡單的說 , 此群組的成員具有編輯 AD Schema 的權限 , 預設只有根網域的 Administrator 帳戶為此群組的成員。
- 90. 安裝特定伺服器的內建群組 DnsAdmins : 有安裝 DNS 服務的伺服器才會有此群組 , 此群組的成員可管理 DNS 服務。 DnsUpdateProxy : 有安裝 DNS 服務的伺服器才會有此群組 , 此群組主要用於 DHCP 伺服器對 DNS 服務進行動態更新。 IIS_WPG : 有安裝 IIS 6.0 時會出現此群組 , 主要是用來管理供 IIS 的工作行程 (Worker Process) 使用的登入帳戶。
- 91. 內建的系統群組 除了過可在 電腦管理、 Active Directory 使用者及電腦 中看到的內建群組外 , 每台 Windows Server 2003 伺服器或用戶端都還有一組特別的系統群組 , 稱為 內建安全性原則 (Builtin Security Principal) 。 這些群組只會在指派使用者權利或設定權限時才會出現 , 平常在 電腦管理 、 Active Directory 使用者及電腦 主控台無法看到它們。
- 92. 內建的系統群組 如果要設定 我的文件 資料夾的權限 , 請在 我的文件 圖示上按右鈕 , 執行『 內容 』命令 , 然後切換到 安全 頁次 , 按 新增 鈕再按 立即尋找 鈕即可看到內建的系統群組:
- 93. 內建的系統群組
- 94. 指派使用者權利 認識使用者權利 在網域中指派使用者權利 指派本機的使用者權利
- 95. 認識使用者權利 在網域中 , 可以利用 群組原則編輯器 , 指派使用者權利給群組 ( 或使用者帳戶 ) 。 對於在工作群組 (Workgroup) 中的電腦 , 系統管理員也可以利用 本機安全性原則 主控台來指派本機的使用者權利給本機群組 ( 或本機使用者帳戶 ) 。
- 96. 認識使用者權利
- 97. 較可能用到的使用者權利 從網路存取這台電腦: 使用者或群組可經由網路連結到這台電腦上存取資源。 將工作站加入網域: 允許使用者將電腦加入網域。 備份檔案及目錄: 可備份系統上所有的資料 , 不管該群組或使用者有沒有全部檔案及目錄的讀取權限 , 都可以順利進行備份工作。 變更系統時間: 可變更系統的日期與時間。
- 98. 較可能用到的使用者權利 從遠端系統強制關機: 使用者或群組可以由遠端系統將這台電腦關機。 載入和釋放週邊設備驅動程式: 可以利用 控制台 安裝或移除驅動程式。 允許本機登入: 可以讓使用者或群組登入這台電腦 , 例如網域控制站電腦預設只允許 Administrators 、 Backup Operators 、 Print Operators 等群組於本機登入。
- 99. 較可能用到的使用者權利 管理稽核及安全日誌: 可以設定要針對哪些檔案、資料夾等資源做稽核 , 並能夠檢視與清除 安全 事件記錄檔的內容。 還原檔案及目錄: 相對於備份檔案及目錄 , 這項設定是能夠將備份資料還原至系統的權利。 系統關機: 可關閉電腦。
- 100. 較可能用到的使用者權利 取得檔案或其他物件的所有權: 可以取得任何資源 ( 磁碟、檔案、印表機等 ) 的擁有權 , 有了擁有權就可以對該項物件進行所有的操作。 略過周遊檢查: 即使沒有某個目錄的任何權限 , 仍然可以切換到該目錄下的子目錄 ( 此動作就稱為『周遊』 , traverse) 。這種使用者權利在備份資料時就會派上用場。
- 101. 在網域中指派使用者權利 可以用 群組原則 主控台 , 來修改 使用者權利 的設定 , 讓使用者 / 群組能享有特定的權利。 以下就將 Domain Users 群組設為具有登入網域控制站的權利 , 來示範指派使用者權利的方法。 請先啟動 Active Directory 使用者及電腦主控台 , 然後參考下面的步驟:
- 102. 在網域中指派使用者權利
- 103. 在網域中指派使用者權利
- 104. 在網域中指派使用者權利
- 105. 在網域中指派使用者權利
- 106. 在網域中指派使用者權利
- 107. 在網域中指派使用者權利
- 108. 指派本機的使用者權利 在工作群組 ( 亦即非網域模式 ) 中的獨立伺服器 , 必須利用 本機安全性原則 主控台 , 才能將該電腦的使用者權利指派給本機群組 ( 或本機使用者帳戶 ), 以設定本機使用者能夠對該台電腦執行哪些動作。
- 109. 指派本機的使用者權利 指派本機的系統關機給自訂的『 MyLocal 』本機群組 , 請執行『 開始 / 系統管理工具 / 本機安全性原則 』命令:
- 110. 指派本機的使用者權利
- 111. 指派本機的使用者權利
- 112. 指派本機的使用者權利
- 113. 指派本機的使用者權利 7
- 114. 指派本機的使用者權利