組是用戶或計算機賬號的集合。通過使用組可以將權限分配給一組用戶而不是單個用戶賬號。當將權限分配給組時，組的所有成員都將繼承那些權限，這樣可以簡化網絡管理。組中可以包含用戶，計算機組，打印機，共享文件夾；一個用戶可以是多個組的成員；新設的組的權限：用戶新添加入組，所得權限須在重新登錄后才有作用。工作組中的組和域中的組工作組中的組創(chuàng)建在非DC的計算機上；駐留在SAM數據庫中；只能訪問本地資源。域中的工作組只在DC上；在AD中；訪問域中的計算機中的資源。第一節(jié)本地組一、本地組類型1.本地組（LocalGroups）

本地組可以在任何一臺基于WindowsServer2003的非DC計算機上創(chuàng)建，通過將用戶加入到相應的本地組賦予相應的權限，就可以控制用戶對本地計算機上資源的訪問。本地賬戶信息是放置在創(chuàng)建該組的計算機內的數據庫中，因此其作用范圍只限于在創(chuàng)建該本地組的計算機上。2.內置組（Built-inGroups）

在安裝運行WindowsServer2003的獨立服務器或成員服務器時，會自動創(chuàng)建內置組。內置組具有一些特定的事先賦予的權力，用以完成某些特定的系統任務。內置組不能被刪除，其作用范圍也僅限于其存在的計算機上。二、實現本地組策略將組、用戶、資源及權限組合在一起而實現對資源訪問的管理稱之為組策略。本地組策略就是先將具有相同屬性的用戶賬號加入到一個本地組當中去，再針對某些資源賦予這個本地組相應的訪問權限，這樣就可以達到一次操作而為多個用戶賦予訪問資源的權限。

三、創(chuàng)建本地組用本地計算機的Administrator組或AccountOperators組的成員身份登錄，打開“計算機管理”新建組對話框右擊“組”，在彈出的快捷菜單中選擇“新建組”計算機管理窗口中可以看到新創(chuàng)建的組組屬性對話框雙擊新建的組的圖標添加組對象選擇用戶組屬性列表中會看到剛才添加的用戶第二節(jié)域模式中的組一、域模式組類型1.通訊組可以使用通訊組創(chuàng)建電子郵件通訊組列表，只有在電子郵件應用程序（如Exchange）中，才能使用通訊組將電子郵件發(fā)送給一組用戶。2.安全組

使用安全組給共享資源指派權限?？梢裕簩⒂脩魴嘞薹峙涞紸ctiveDirectory中的安全組給安全組指派對資源的權限

用戶權利與用戶權限的區(qū)別：權限（permission）控制用戶對資源（如文件、文件夾或打印機）所做的操作。當分配權限時，就給了用戶訪問資源的權利并定義了他們的訪問類型。權利（right）是指可以讓用戶執(zhí)行的系統任務，如更改計算機上的時間、備份、恢復文件或本地登錄等。

3.安全組和通訊組之間的轉換組都可以從安全組轉換為通訊組，反之亦然。

3.安全組和通訊組之間的轉換

當域功能級別設置為Windows2000本機或更高模式的情況下，安全組和通迅組之間可以相互轉換。當域功能級別被設置為Windows2000混合模式時，不可以轉換組。二、域模式中的組的作用域

作用域用來確定在域樹或林中該組的應用范圍。有三類不同的組作用域：全局組作用域、本地域組作用域和通用組作用域。全局組（Globalgroup）全局組的成員是對網絡具有相同訪問權限的用戶；全局組的作用范圍是整個域樹

可以加到本域或其它域的本地域組、通用組中；可以加到本域的全局組中（僅限在本機模式中有效）。域本地組（Domainlocalgroup）混合模式下，可包括域任何域的用戶賬號和全局組；本機模式下，還包括通用組?；旌夏Ｊ较拢荒芗拥狡渌魏谓M中。本機模式下，可以加入到本域的域本地組中。

本機模式是指域中的所有域控制器都是基于Windows2000或WindowsServer2003時，該模式支持所有的組類型。混合模式是指域中的域控制器包含非Windows2000和WindowsServer2003的計算機。在該模式下不可創(chuàng)建通用組。

通用組（Universalgroup）在混合模式下不可用，只在本機模式下可用；為多個域中的相關資源授權；開放的成員關系：可以包含所有的用戶和組（不含本地組）；可加入任何域中的域本地組或通用組。二、規(guī)劃全局組和域本地組

1.何時使用具有本地域作用域的組具有本地域作用域的組可幫助定義和管理對單個域內資源的訪問。本地域組的成員可以是：具有全局作用域的組、具有通用作用域的組、具有本地域作用域的其他組的賬號、上述任何組或帳號的混合體。2.何時使用具有全局作用域的組使用具有全局作用域的組管理那些需要每天維護的目錄對象，如用戶和計算機帳號。因為有全局作用域的組不在自身的域之外復制，所以具有全局作用域的組中的帳號可以頻繁更改，而不需要對全局編錄進行復制以免增加額外通信量。3.何時使用具有通用作用域的組使用具有通用作用域的組來合并跨越不同域的組。為此，請將帳號添加到具有全局作用域的組并且將這些組嵌套在具有通用作用域的組內。使用該策略，對具有全局作用域的組中的任何成員身份的更改都不影響具有通用作用域的組。四、更改組作用域

創(chuàng)建新組時，在默認情況下，新組配置為具有全局作用域的安全組，而與當前域功能級別無關。全局到通用：只有當要更改的組不是另一個全局作用域組的成員時，允許進行該轉換。本地域到通用：只有當要更改的組沒有另一個本地域組作為其成員時，允許進行該轉換。通用到全局：只有當要更改的組沒有另一個通用組作為其成員時，允許進行該轉換。通用到本地域：該操作沒有限制。

五、創(chuàng)建域模式中的組

用Administrators組或AccountOperators組的成員身份登錄?！伴_始”→“管理工具”

→“ActiveDirectory用戶和計算機”

新建對象——組右擊Users圖標，在彈出的菜單中選擇“新建”

→“組”

ActiveDirectory用戶和計算機

——看到創(chuàng)建的組六、管理組

添加組成員

七、刪除組在ActiveDirectory服務中創(chuàng)建的每個組對象都有一個惟一的、不可重復使用的標識符，稱為securityidentifier（SID，安全標識符）。WindowsServer2003使用SID來標識分配給它的組和權限。當刪除一個組時，WindowsServer2003將不再為該組使用相同的SID，即便創(chuàng)建一個與所刪除組名稱相同的新組。因此，不能通過重新創(chuàng)建組對象來恢復對資源的訪問。當刪除一個組時，只刪除了該組和與該組相關的權限。刪除一個組并不刪除作為組成員的對象。

八、使用“運行方式”啟動程序

為獲得最優(yōu)安全性，不要將網絡管理員每天訪問使用的用戶對象添加為Administrators組成員。若要運行需要以Administrator身份登錄的程序，可以使用“運行方式”程序。

找到需要用管理員身份打開的程序或其快捷方式、MMC控制臺或控制面板工具。按下“Shift”鍵，并右擊，從彈出的菜單中選擇“運行方式”。選擇程序的運行身份第三節(jié)默認組

默認組是當創(chuàng)建ActiveDirectory域時自動創(chuàng)建的安全組?？梢允褂眠@些預定義的組來幫助控制對共享資源的訪問，并委派特定的域范圍的管理角色。

一、“Builtin”容器中的組

AccountOperators成員可以創(chuàng)建、修改和刪除位于“Users”或“Computers”容器中的用戶、組和計算機的帳戶以及該域中的組織單位，除了“DomainControllers”組織單位。

Administrators成員具有對域中所有域控制器的完全控制。BackupOperators成員可備份和還原該域中域控制器上的所有文件，不論其各自對這些文件的權限如何。DomainGuests該組沒有默認的用戶權利。

NetworkConfigurationOperators成員可更改TCP/IP設置并續(xù)訂和發(fā)布該域中域控制器上的TCP/IP地址。PerformanceMonitorUsers成員可在本地或從遠程客戶端監(jiān)視該域中域控制器上的性能計數器PerformanceLogUsers成員可在本地或從遠程客戶端管理該域中域控制器上的性能計數器、日志和警報Pre-Windows2000CompatibleAccess成員具有對該域中所有用戶和組的讀取訪問權。PrintOperators成員可管理、創(chuàng)建、共享和刪除連接到該域中域控制器上的打印機。RemoteDesktopUsers成員可遠程登錄到該域的域控制器。該組中沒有默認的成員。沒有默認的用戶權利。Replicator

該組支持目錄復制功能，并由該域的域控制器上的“文件復制”服務使用。

ServerOperators在域控制器上，該組的成員可進行交互式登錄、創(chuàng)建和刪除共享資源、啟動和停止某些服務、備份和還原文件、格式化硬盤，以及關閉計算機。Users成員可執(zhí)行大部分常見任務，如運行應用程序、使用本地和網絡打印機，以及鎖定服務器。

二、“Users”容器中的組CertPublishers成員獲準為用戶和計算機發(fā)行證書。DnsAdmins（隨DNS安裝）成員具有對DNSServer服務的管理訪問權。DnsUpdateProxy（隨DNS安裝）成員是可代表其他客戶端（如DHCP服務器）執(zhí)行動態(tài)更新的DNS客戶端。DomainAdmins成員具有對該域的完全控制權。DomainComputers包含加入到此域的所有工作站和服務器。DomainControllers包含此域中的所有域控制器。DomainGuests包含所有域來賓。DomainUsers包含所有域用戶。EnterpriseAdmins（僅出現在林根域中）成員具有對林中所有域的完全控制作用。GroupPolicyCreatorOwners成員可修改此域中的組策略。IIS_WPG（隨IIS安裝）IIS_WPG組是Internet信息服務(IIS)6.0輔助進程組。RAS和IASServers

該組中的服務器獲準訪問用戶的遠程訪問屬性。SchemaAdmins（僅出現在林根域中）成員可修改ActiveDirectory架構。

第四節(jié)組策略組策略提供進一步控制和集中管理用戶桌面環(huán)境的功能。

用戶不需要設置組策略，而是由組策略管理員配置和管理。一、組策略簡介組策略是一組配置設置，組策略管理員應用于活動目錄存儲中的一個或多個對象。組策略管理員利用組策略控制域中用戶的工作環(huán)境。組策略也可以控制在指定OU位置上的用戶的工作環(huán)境。組策略還授予用戶和組權力。1.組策略優(yōu)點

（1）保護用戶環(huán)境（2）增強用戶環(huán)境

自動安裝應用程序到用戶的“開始”菜單。啟動應用程序分發(fā)，方便用戶在網絡上找到并安裝相應應用程序。安裝文件或快捷方式到網絡上相應位置或用戶計算機上的特定文件夾。當用戶登錄或注銷、計算機啟動或關閉時自動執(zhí)行任務或應用程序。重定向文件夾到網絡位置增強數據可靠性。2.組策略類型

軟件設置：影響用戶可以訪問的應用程序。應用程序自動安裝的策略有兩種方法實現：

指派應用程序，組策略直接在用戶計算機上安裝或升級應用程序，或為用戶提供應用程序的連接，指派的應用程序用戶無法刪除；發(fā)布應用程序，組策略管理員通過活動目錄服務發(fā)布應用程序。應用程序出現在用戶的控制面板的“添加/刪除程序”的安裝組件列表中。用戶可以卸載這些應用程序。腳本：組策略管理員可以設定腳本和批處理文件在指定時間運行。腳本可以自動執(zhí)行重復性任務。安全設置：組策略管理員可以限制用戶訪問文件和文件夾。管理模板：包括基于注冊表的組策略，可以利用它來強制注冊表設置，控制桌面的外觀和狀態(tài)，包括操作系統組件和應用程序。

遠程安裝服務（RIS）：當運行用戶安裝向導時，控制顯示給用戶的RIS安裝選項。

文件夾重定向：可以重定向WindowsServer2003指定的文件夾從用戶配置文件缺省位置到另一個網絡位置，從而對這些件夾集中管理

。

二、組策略結構

組策略是應用到活動目錄存儲中的一個或多個對象的配置設置的集合。這些設置包含在組策略對象（GPO）中。組策略對象在兩個位置存儲組策略的信息：組策略容器（GPC）和組策略模板（GPT）。

1.組策略對象（GPO）GPO中包含作用于站點、域和OU的組策略設置。

一個或多個GPO可以應用于站點、域或OU。存儲在GPC中的組策略數據很少并且不經常改變。而存儲在GFT中的組策略數據很多并經常改變。

2.組策略容器組策略容器（GPC）是存儲GPO屬性并包含計算機和用戶組策略信息子容器的活動目錄對象。GPC中包含信息的版本來確保GPC中的信息同GPT中的信息同步。GPC還包含用于識別GPO是否啟動的狀態(tài)信息。GPC存儲用于配置應用程序的WindowsServer2003類存儲信息。類存儲是一個作用于應用程序、接口和API的基于服務器的存儲庫，提供應用程序指派和發(fā)布功能。

3.組策略模板組策略模板（GRT）是包含在域控制器的%systemroot%\SYSVOL\sysvol\<domain_name>\Policies文件夾下的文件夾結構。GPT是存儲管理模板、安全設置、腳本文件和軟件設置的組策略設置信息的容器。三、應用組策略1.創(chuàng)建GPO

站點屬性——組策略——新建組策略2.使用組策略管理器組策略編輯器包括計算機配置節(jié)點和用戶配置節(jié)點，每個節(jié)點下包括：軟件配置、Windows設置和管理模板。

計算機配置：計算機配置包括所有與計算機相關的策略設置，它們用來指定操作系統行為、桌面行為、安全設置、計算機開機與關機腳本、指定的計算機應用選項以及應用設置。用戶配置：用戶配置包括所有與用戶相關的策略設置，它們用來指定操作系統行為、桌面設置、安全設置、指定和發(fā)布的應用選項、應用設置、文件夾重定向選項、用戶登錄與注銷腳本等。3.GPO權限

創(chuàng)建一個GPO，一組安全組會添加到這個對象并且每個安全組被配置一組屬性。

安全組缺省設置AuthenticatedUsers讀和應用組策略

CreatorOwner為GPO中的子對象和屬性分配SpecialObject和Attribute權限

DomainAdmins讀、寫、創(chuàng)建所有子對象、刪除所有子對象

EnterpriseAdmin讀、寫、創(chuàng)建所有子對象、刪除所有子對象

System讀、寫、創(chuàng)建所有子對象、刪除所有子對象

修改GPO權限打開包含相應的GPO的站點、域或OU的屬性對話框，選擇“組策略”，右擊“新建組策略對象”，選擇“屬性”，并選擇“安全”選項卡。組策略的繼承性通常情況下，組策略從父容器向子容器向下繼承。如果在高層的父容器上設定組策略，這個組策略將作用于父容器下面的所有子容器，包括每一個容器中的用戶和計算機對象。但是，如果明確在子容器指定組策略設置，子容器的組策略設置覆蓋父容器的組策略設置。

四、管理組策略1.管理軟件設置

使用組策略可以集中管理軟件分發(fā)?？梢詾橐唤M用戶或計算機安裝、指派、發(fā)布、升級、修復和卸載軟件。

在使用組策略管理器配置軟件之前，要求應用程序具有MicrosoftWindowsInstaller(.msi)軟件包。

可以為計算機和用戶指派應用程序，也可以為用戶發(fā)布應用程序。

指派應用程序在指派應用程序到用戶時，應用程序向下次登錄到工作站上的用戶廣播。應用程序跟隨用戶進行廣播而不管用戶實際使用的物理計算機。該應用程序在用戶第一次觸發(fā)計算機上的應用程序時進行安裝，這種觸發(fā)可以是在“開始”菜單選擇該應用程序，或是激活與該應用程序相關的文檔。在指派應用程序給計算機時，應用程序廣播并在安全的情況下執(zhí)行安裝。一般情況下在計算機啟動時進行，從而計算機上沒有競爭的進程。發(fā)布應用程序在發(fā)布應用程序到用戶時，應用程序在用戶的計算機上不顯示為安裝。在桌面和“開始”菜單沒有快捷方式可見，用戶計算機的本地注冊表沒有修改。相反，發(fā)布的應用程序在活動目錄保存發(fā)布屬性。然后，應用程序名稱和文件觸發(fā)的信息對活動目錄容器中的用戶可見。所以用戶可以使用控制面板中的“添加/刪除程序”安裝應用程序或通過點擊與應用程序相關的文件觸發(fā)安裝。指派或發(fā)布應用程序的步驟：（1）首先創(chuàng)建一個共享文件夾并將應用程序文件和軟件包文件復制到該文件夾下。（2）