权限和组的管理

组：权限相同的用户集合

• 组的类型：

安全组：可以用于权限分配也可以用于邮件发布

分布组：只能用于右键分布

• 作用范围

本地域组：包含任意域内的用户，全局组，通用组，本地域内的本地域组，只能访问本域

全剧组：主要用于组织用户，包含相同域内的用户与全局组可以访问所有域

通用组：主要用于组织用户，包含所有域内的用户，全局组，通用组，可以访问所有域

• 组与用户的管理原则

A：用户账号   G：全局组     DL：本地域组      P：权限

权限管理原则：

共享权限：限制用户通过网络访问时的权限

安全权限：限制用户通过本地以及网络访问时的权限

累加性：当一个用户同时属于多个组时，权限是累加的

继承性：子文件夹会继续继承上级文件夹的权限

拒绝权限：当一个用户同时属于多个组时，一个允许一个拒绝，则拒绝优先

文件服务器：

组策略：主要是用于系统管理员管理和控制用户账号以及终端的功能。其目的是提升工作效率，减少工作负载。

组策略功能：
账号策略:  密码、账号锁定等
本地策略： 用户权限、安全性的设备等
脚本策略： 开机、关机、登录、注销
软件安装与删除： 软件的安装、更新、删除
用户的工作环境：  用户的桌面、 系统设置等
其他：   移动介质、重定向等。

组策略可以设置到计算机，也可以设置用户上
计算机策略：  当计算机开机时生效，DC5分钟生效，非DC15生效。90-120分钟自动刷新。
用户策略：    当用户登录时生效，90-120分钟自动刷新

强制刷新：  gpupdate /force

/Target:{Computer | User}

只刷新用户：gpupdate /target:user

组策略对象：GPO
GPO又包含 GPT、GPC
GPT:组策略模板，实际配置信息
GPC：组策略容器，属性值（版本）

GPO可以放置在站点上、域上、OU上
应用到

组策略的规则：
1. 继承性: 子对象继承父对象的策略，子对象有权限拒绝继承，也可以强制继承。

2. 累加性: 父对象策略和子对象累加生效

3. 冲突：  站点<域<OU

实例： 针对域中所有用户允许设置简单密码。

服务器管理器——工具——组策略——default domain policy——右键——编辑

设置最小密码长度（值为0），密码复杂性（禁用）和密码历史（值为0）

验证：新建用户jerry,密码为1

新建成功

实例： 针对域中HR的用户，密码错误三次后，锁定15分钟

组策略管理——HR——右键——第一个

右键——编辑

设置锁定时间和阈值

更新组策略

使用jerry用户输入三次错误密码，之后用户既被锁定

使用管理员登陆查看用户的属性

注：也可更改default domain  policy的账号策略实现以上实验