盡量以UPN(User Principal)去登入
EX:Peter@sayms.com
因為UPN並不會因為帳戶被搬移到其他網域而改變。
倘若用使用者登入名稱登入,則只能登入此網域。
EX:Sayms\Peter
P.S UPN帳號在整個樹系內,名稱必須是唯一的;而使用者登入名稱是在同一個網域內,必須是唯一。
※UPN
UPN可做替換,在AD網域及信任→右鍵內容可新增
並在要替換UPN的帳戶去做修改,可解決一些UPN過於冗長的問題。
EX:Peter@sayms.com → Peter@yahoo.com
如下圖:
※尋找使用者
可尋找單一網域或整個樹系(整個目錄):GC→向通用類別目錄,去搜尋所有資料(但並非全部屬性),而也可自行去GC增加所想要搜尋到的屬性。
※新增多筆使用者帳戶 REF:3-17
- Csvde -i -f C:\Users1.txt REF:3-18
- ldifde -i -f C:\Users2.txt REF:3-19
P.S 注意存檔時編碼要選擇Unicode,否則ldifde.exe無法正確辨識中文。
※網域群組
- 安全性群組:有SID ,可以被用來指定權限與權利
- 發佈群組:沒有SID,且無法設定權限。
- 網域本機群組 (domain local group):此群組主要用來指派所屬網域內的存取權限
- 全域群組 (global group):此群組主要用來組織使用者
- 萬用群組 (universal group):此群組可以在所有網域內設定存取權限
下列為各別群組可以包含的使用者及群組(以A網域的角度去看):
※Trust觀念
A網域的Peter想存取B網域的資源,有個先決條件是:B網域信任A網域
※AGLP觀念延伸
- A→G→DL←P
A→G→G→DL←P
A→G→U→DL←P
AGGDLP的圖似乎有誤
回覆刪除右側似乎應該只有B網域
OK 已更正,當時貼圖排版貼錯
回覆刪除韻如謝謝你