如果域是安全启用的,在混合型域中不能嵌套全局怎么处理

来源：互联网发布：坏男孩软件编辑：程序博客网时间：2024/04/30 07:38

最近在复习Sharepoint管理大全这本书，为了导入书中的用户信息，

我们需要做

1，csvde -i -f mosslbt.csv

提示有45个项目修改成功表示成功

前提是我们先架一个Beauty.Corp的域，并且域用户密码原则允许密码最短长度为0，即默认域安全设置---->安全设置----->密码策略（1）禁用密码必须符合复杂性要求（2）密码最小长度值设为0 （3）强密码历史 0个记住的密码

2运行 addgroup.bat

全部成功表示成功如果有一个是失败都表示失败

下载的文件有些问题

修改后的代码如下：

dsquery user OU=美景训练中心,DC=beauty,DC=corp | dsmod user -pwd P@ssw0rd -mustchpwd nodsadd group "CN=所有员工群组,OU=美景训练中心,DC=beauty,DC=corp"dsadd group "CN=人事管理部群组,OU=美景训练中心,DC=beauty,DC=corp"dsadd group "CN=营销服务部群组,OU=美景训练中心,DC=beauty,DC=corp"dsadd group "CN=产品发展部群组,OU=美景训练中心,DC=beauty,DC=corp"dsadd group "CN=客户服务部群组,OU=美景训练中心,DC=beauty,DC=corp"dsadd group "CN=设备服务部群组,OU=美景训练中心,DC=beauty,DC=corp"dsadd group "CN=业务服务部群组,OU=美景训练中心,DC=beauty,DC=corp"dsadd group "CN=决策主管群组,OU=美景训练中心,DC=beauty,DC=corp"dsadd group "CN=系统管理处群组,OU=美景训练中心,DC=beauty,DC=corp"dsadd group "CN=系统开发处群组,OU=美景训练中心,DC=beauty,DC=corp"dsadd group "CN=数据库技术处群组,OU=美景训练中心,DC=beauty,DC=corp"dsquery user OU=美景训练中心,DC=beauty,DC=corp | dsmod group CN=所有员工群组,OU=美景训练中心,DC=beauty,DC=corp -addmbrdsquery user OU=人事管理部,OU=美景训练中心,DC=beauty,DC=corp | dsmod group CN=人事管理部群组,OU=美景训练中心,DC=beauty,DC=corp -addmbrdsquery user OU=营销服务部,OU=美景训练中心,DC=beauty,DC=corp | dsmod group CN=营销服务部群组,OU=美景训练中心,DC=beauty,DC=corp -addmbrdsquery user OU=客户服务部,OU=美景训练中心,DC=beauty,DC=corp | dsmod group CN=客户服务部群组,OU=美景训练中心,DC=beauty,DC=corp -addmbrdsquery user OU=设备服务部,OU=美景训练中心,DC=beauty,DC=corp | dsmod group CN=设备服务部群组,OU=美景训练中心,DC=beauty,DC=corp -addmbrdsquery user OU=数据库技术处,OU=产品发展部,OU=美景训练中心,DC=beauty,DC=corp | dsmod group CN=数据库技术处群组,OU=美景训练中心,DC=beauty,DC=corp -addmbrdsquery user OU=系统开发处,OU=产品发展部,OU=美景训练中心,DC=beauty,DC=corp | dsmod group CN=系统开发处群组,OU=美景训练中心,DC=beauty,DC=corp -addmbrdsquery user OU=系统管理处,OU=产品发展部,OU=美景训练中心,DC=beauty,DC=corp | dsmod group CN=系统管理处群组,OU=美景训练中心,DC=beauty,DC=corp -addmbrdsquery user OU=业务服务部,OU=美景训练中心,DC=beauty,DC=corp | dsmod group CN=业务服务部群组,OU=美景训练中心,DC=beauty,DC=corp -addmbrdsmod group CN=产品发展部群组,OU=美景训练中心,DC=beauty,DC=corp -addmbr CN=系统管理处群组,OU=美景训练中心,DC=beauty,DC=corp CN=系统开发处群组,OU=美景训练中心,DC=beauty,DC=corp CN=数据库技术处群组,OU=美景训练中心,DC=beauty,DC=corpdsmod group CN=决策主管群组,OU=美景训练中心,DC=beauty,DC=corp -addmbr CN=苏国林,OU=美景训练中心,DC=beauty,DC=corp CN=许丽莹,OU=人事管理部,OU=美景训练中心,DC=beauty,DC=corp CN=张永蓁,OU=客户服务部,OU=美景训练中心,DC=beauty,DC=corp CN=周惠卿,OU=业务服务部,OU=美景训练中心,DC=beauty,DC=corp CN=张智凯,OU=产品发展部,OU=美景训练中心,DC=beauty,DC=corp CN=屠立刚,OU=系统管理处,OU=产品发展部,OU=美景训练中心,DC=beauty,DC=corp CN=邱世萍,OU=营销服务部,OU=美景训练中心,DC=beauty,DC=corp CN=郑旭宏,OU=设备服务部,OU=美景训练中心,DC=beauty,DC=corp

要求：

我们的域是本地模式而不是混合模式 window2003 默认安装的域是混合模式

如果你的系统是

本机模式可以使用通用组并且支持同类型的组嵌套，混合模式可以与NT的域控制器兼容。默认情况下，Windows 2000的域处于混合模式，如果域中所有的域控制器都运行Windows 2000 Server操作系统，则可以把域操作模式转换为本机模式。域操作模式转换为本机模式之后不能转换为混合模式。把域转换为本机模式，执行以下操作即可：
（1）、通过 “开始”菜单— “程序”—“管理工具”—“活动目录用户和计算机”
（2）、右击域—单击“属性”—“常规”—“更改模式”
（3）、单击“是”，然后单击“确定”。

装的是win2003企业版R2SP2，
打开Active Directory 用户和计算机，点击右键，查看常规里没有更改模式
而是:点击右键，选择提升域功能级别:
显示当前域功能级别是Windows 2000 混合模式。
选择一个可用的域功能级别:
Windows 2000 纯模式和 Windows Server 20035 B7
把它改为 Windows 2000 纯模式

看下面的內容吧，了解一下域中的不同類型的組的概念
组作用域
组作用域分为三类：Domain Local Group（本地域），Global Group（全局），Universal（通用）。这三类之间的区别，又要分为两种域模式Native Mode（本地模式）和Mixed Mode（混合模式）的不同来区别对待。
通用作用域
在本机模式域中，可将其成员作为来自任何域的帐户、来自任何域的全局组和来自任何域的通用组。
在本机模式域中，不能创建有通用作用域的安全组。
组可被放入其他组（当域处于本机模式时）并且在任何域中指派权限。
不能转换为任何其他组作用域。

全局作用域
在本机模式域中，可将其成员作为来自相同域的帐户和来自相同域的全局组。
在本机模式域中，可将其成员作为来自相同域的帐户。
组可被放入其他组并且在任何域中指派权限。
只要它不是有全局作用域的任何其他组的成员，则可以转换为通用作用域。

域本地作用域
在本机模式域中，可将其成员作为来自任何域的帐户、全局组和通用组，以及来自相同域的域本地组。
在本机模式域中，可将其成员作为来自任何域的帐户和全局组。
组可被放入其他域本地组并且仅在相同域中指派权限。
只要它不把具有域本地作用域的其他组作为其成员，则可转换为通用作用域。

微软的定义：
从微软Windows 2000帮助中摘来，可以看到在本机模式下组的功能有多么强大，而在混合模式中，你仅仅可以做到以下：将全局组加入域内本地组。微软推荐这样的一套管理策略：A G DL P 也就是说：
a.根据管理需要建立全局组（Global Group），同时将用户加入全局组内
b.建立域本地组（Domain Local Group），将全局组加入不同的域本地组内
c.将资源的权限给予域本地组。