AD域服務(wù)器詳細(xì)搭建.ppt

第5章 活動(dòng)目錄,昆明服務(wù)器租用 / wenku1,學(xué)習(xí)目標(biāo), 活動(dòng)目錄的基本概念 活動(dòng)目錄的規(guī)劃與安裝 域控制器的管理 用戶賬戶和計(jì)算機(jī)賬戶的管理 組和組織單位的管理 資源發(fā)布和域的管理,5.1 概 述,5.1.1 活動(dòng)目錄簡(jiǎn)介 5.1.2 活動(dòng)目錄的三種特性,集成性 深入性 易用性,5.2 安裝活動(dòng)目錄,5.2.1 活動(dòng)目錄的規(guī)劃,規(guī)劃DNS 規(guī)劃域結(jié)構(gòu) 規(guī)劃組織單位結(jié)構(gòu) 規(guī)劃委派模式,5.2.2 安裝活動(dòng)目錄（1）,安裝活動(dòng)目錄具體步驟如下： 步驟一，啟動(dòng)Windows Server 2003系統(tǒng)自動(dòng)打開(kāi)“Server 2003配置服務(wù)器”窗口，或者選擇“開(kāi)始”/“程序”/“管理工具”/“配置服務(wù)器”，打開(kāi)如圖5-1所示配置服務(wù)器向?qū)Т翱凇?步驟二，單擊“下一步”，出現(xiàn)一個(gè)配置服務(wù)器向?qū)У念A(yù)備步驟窗口，以確認(rèn)所提到的步驟已完成。單擊“下一步”，出現(xiàn)檢測(cè)網(wǎng)絡(luò)設(shè)置窗口，如圖5-2所示。 步驟三，接下來(lái)出現(xiàn)配置選項(xiàng)窗口，我們選擇“自定義配置”選項(xiàng)，單擊“下一步”，出現(xiàn)服務(wù)器角色窗口，也就是你想讓你的服務(wù)器擔(dān)任的角色，我們從列表中選擇“域控制器”。如圖5-3所示。單擊“下一步”按鈕，出現(xiàn)確認(rèn)窗口，以確認(rèn)選擇了正確角色。單擊“下一步”，出現(xiàn)“Active Directory安裝向?qū)Т翱凇?如圖5-4所示。 也可省去前面步驟，直接通過(guò)“開(kāi)始”/“運(yùn)行”，打開(kāi)“運(yùn)行”對(duì)話框，輸入dcpromo命令，單擊“確定”按鈕，打開(kāi)如圖5-4所示的對(duì)話框。,圖5-1 “Server 2003配置服務(wù)器”窗口 圖5-2 顯示活動(dòng)目錄內(nèi)容,5.2.2 安裝活動(dòng)目錄（2）,5.2.2 安裝活動(dòng)目錄（3）,步驟四，單擊“下一步”，打開(kāi)“操作系統(tǒng)兼容性”對(duì)話框。其大意是早期的Windows版本無(wú)法登錄Windows Server 2003創(chuàng)建的域。,圖5-3 服務(wù)器角色配置窗口,5.2.2 安裝活動(dòng)目錄（4）,步驟五，單擊“下一步”，“Active Directory安裝向?qū)А睍?huì)詢問(wèn)新建的域控制器的性質(zhì)，如圖5-5，我們選擇“新域的域控制器”。,圖5-4 Active Directory安裝向?qū)Т翱?5.2.2 安裝活動(dòng)目錄（5）,步驟六，單擊“下一步”，打開(kāi)如圖5-6所示的“創(chuàng)建一個(gè)新域”對(duì)話框，如果所創(chuàng)建的域?yàn)閱挝坏牡谝粋€(gè)域，或者希望所創(chuàng)建的新域獨(dú)立于現(xiàn)有目錄林，可選擇“新林中的域”。如果希望新的域成為現(xiàn)有域的子域，則選擇“現(xiàn)有域中的子域”。如想創(chuàng)建一個(gè)與現(xiàn)有域樹(shù)分開(kāi)的、新的域樹(shù)，則選擇“在現(xiàn)有林中的域樹(shù)”。這里我們選擇“新林中的域”。,圖5-5 選擇域控制器的類型 圖5-6 選擇創(chuàng)建域的類型,5.2.2 安裝活動(dòng)目錄（6）,步驟七，單擊“下一步”，打開(kāi)如圖5-7所示的指定域名對(duì)話框，在“新域的DNS全名”文本框中輸入新建域的DNS全名，例如。 步驟八，單擊“下一步”，打開(kāi)如圖5-8所示的“NetBIOS域名”對(duì)話框，在“域NetBIOS名”文本框中輸入NetBIOS域名，或者接受顯示的名稱。NetBIOS域名是供早期的Windows用戶用來(lái)識(shí)別新域的。,圖5-7 指定新域名 圖5-8 指定NetBIOS,5.2.2 安裝活動(dòng)目錄（7）,步驟九，單擊“下一步”，打開(kāi)如圖5-9所示的“數(shù)據(jù)庫(kù)和日志文件文件夾”對(duì)話框，在“數(shù)據(jù)庫(kù)文件夾”文本框中輸入保存數(shù)據(jù)庫(kù)的位置，或者單擊“瀏覽”按鈕選擇路徑，在“日志文件夾”文本框中輸入保存日志的位置或單擊“瀏覽”按鈕選擇路徑。 注意，基于最佳性和可恢復(fù)性的考慮，最好將活動(dòng)目錄的數(shù)據(jù)庫(kù)和日志保存在不同的硬盤上。 步驟十，單擊“下一步”，打開(kāi)如圖5-10所示的“共享的系統(tǒng)卷”對(duì)話框，在Server 2003中，Sysvol文件夾存放域的公用文件的服務(wù)器副本，它的內(nèi)容將被復(fù)制到域中的所有域控制器上。在“文件夾位置”文本框中輸入Sysvol文件夾位置，如本例中對(duì)應(yīng)文件夾為c:WINNTSYSVOL，或單擊“瀏覽”按鈕選擇路徑。 步驟十一，單擊“下一步”，會(huì)出現(xiàn)“Active Directory安裝向?qū)А钡腄NS注冊(cè)診斷程序?qū)υ捒颍鐖D5-11。我們選擇“在這臺(tái)計(jì)算機(jī)上安裝并配置DNS服務(wù)器，并將這臺(tái)DNS服務(wù)器設(shè)為計(jì)算機(jī)的首選DNS服務(wù)器”。,5.2.2 安裝活動(dòng)目錄（8）,圖5-9 指定活動(dòng)目錄的數(shù)據(jù)庫(kù)和日志文件的文件夾,圖5-10 指定系統(tǒng)卷共享文件夾,5.2.2 安裝活動(dòng)目錄（9）,步驟十二，單擊“下一步”，打開(kāi)如圖5-12所示的“權(quán)限”對(duì)話框，為用戶和組選擇默認(rèn)權(quán)限，如果單位中還存在或?qū)⒁肳indows 2000的以前版本，選擇“與Windows 2000之前的服務(wù)器操作系統(tǒng)兼容的權(quán)限”。否則，選擇“只與Windows 2000或Windows Server 2003操作系統(tǒng)兼容的權(quán)限”。,圖5-11 DNS注冊(cè)診斷 圖5-12 權(quán)限設(shè)置,5.2.2 安裝活動(dòng)目錄（10）,步驟十三，單擊“下一步”，打開(kāi)“目錄服務(wù)還原模式的管理員密碼”對(duì)話框，如圖5-13所示，輸入并牢記該密碼，以備將來(lái)目錄服務(wù)還原模式下使用。 步驟十四，單擊“下一步”，打開(kāi)“摘要”對(duì)話框，如圖5-14所示。通過(guò)該對(duì)話框，用戶可檢查并確認(rèn)設(shè)置的各個(gè)選項(xiàng)。,圖5-13 輸入目錄服務(wù)恢復(fù)模式管理員密碼 圖5-14 確認(rèn)選定的選項(xiàng),步驟十五，單擊“下一步”，系統(tǒng)開(kāi)始配置活動(dòng)目錄，中間將需要Windows Server 2003 安裝光盤，如圖5-15所示。此時(shí)如果將2003光盤放入光驅(qū)，系統(tǒng)會(huì)自動(dòng)完成對(duì)DNS服務(wù)器得配置。 步驟十六，經(jīng)過(guò)幾分鐘之后，配置完成。同時(shí)，打開(kāi)“完成Active Directory安裝向?qū)А睂?duì)話框，如圖5-16所示，單擊“完成”，即完成活動(dòng)目錄的安裝。,圖5-15 配置活動(dòng)目錄 圖5-16 完成活動(dòng)目錄的安裝,5.2.2 安裝活動(dòng)目錄（11）,5.2.2 安裝活動(dòng)目錄（12）,活動(dòng)目錄安裝完成之后，必須重新啟動(dòng)計(jì)算機(jī)，活動(dòng)目錄才會(huì)生效。 注意：在活動(dòng)目錄安裝之后，不但服務(wù)器的開(kāi)機(jī)和關(guān)機(jī)時(shí)間變長(zhǎng)，而且系統(tǒng)的執(zhí)行速度變慢。所以，如果用戶對(duì)某個(gè)服務(wù)器沒(méi)有特別要求或不把它作為域控制器來(lái)使用，可將該服務(wù)器上的活動(dòng)目錄刪除，使其降級(jí)為成員服務(wù)器或獨(dú)立服務(wù)器。 成員服務(wù)器是指安裝到現(xiàn)有域中的附加域控制器；獨(dú)立服務(wù)器是指在名稱空間目錄樹(shù)中直接位于另一個(gè)域名之下的服務(wù)器。刪除活動(dòng)目錄使服務(wù)器成為成員服務(wù)器還是獨(dú)立服務(wù)器，取決于該服務(wù)器的域控制器的類型。如果要?jiǎng)h除活動(dòng)目錄的服務(wù)器不是域中的唯一的域控制器，則刪除活動(dòng)目錄將使該服務(wù)器成為成員服務(wù)器；如果要?jiǎng)h除活動(dòng)目錄的服務(wù)器是域中最后一個(gè)域控制器，則刪除活動(dòng)目錄將使該服務(wù)器成為獨(dú)立服務(wù)器。 要?jiǎng)h除活動(dòng)目錄，打開(kāi)“開(kāi)始”菜單，選擇“運(yùn)行”命令，打開(kāi)“運(yùn)行”對(duì)話框，輸入dcpromo命令，然后單擊“確定”按鈕，打開(kāi)“Active Directory安裝向?qū)А睂?duì)話框，并沿著向?qū)нM(jìn)行刪除，這里不再細(xì)述其過(guò)程。,5.2.3 檢驗(yàn)安裝結(jié)果,在安裝完成后，可以通過(guò)以下方法檢驗(yàn)Active Directory安裝是否正確，在安裝過(guò)程中一項(xiàng)最重要的工作是在DNS數(shù)據(jù)庫(kù)中添加服務(wù)記錄（SRV記錄），下面介紹一下如何檢查安裝結(jié)果。 1檢查DNS文件的SRV記錄。 用文本編輯器打開(kāi)%SystemRoot%/system32/config/中的Netlogon.dns文件，察看LDAP服務(wù)記錄，在本例中為_(kāi)ldap._. 600 IN SRV 0 100 389 。 2驗(yàn)證SRV記錄在NSLOOKUP命令工具中運(yùn)行是否正常。 （1）在命令提示行下，輸入NSLOOKUP； （2）輸入set type=srv； （3）輸入_ldap._。 如果返回了服務(wù)器名和IP地址，說(shuō)明SRV記錄工作正常。,5.3 域控制器管理,域（Domain）是活動(dòng)目錄的分區(qū)，定義了安全邊界，在沒(méi)經(jīng)過(guò)授權(quán)的情況下，不允許其他域中的用戶訪問(wèn)本域中的資源?；顒?dòng)目錄可由一個(gè)或多個(gè)域組成，每一個(gè)域可以存儲(chǔ)上百萬(wàn)個(gè)對(duì)象，域之間還有層次關(guān)系，可以建立域樹(shù)和域林，如圖5-17、5-18所示，進(jìn)行無(wú)限地域擴(kuò)展。圖中的雙箭頭表示域之間的信任關(guān)系，Server 2003中域的信任關(guān)系都是雙向和可傳遞的。,圖 5-17 域樹(shù) 圖 5-18 域林,5.3.1 設(shè)置域控制器屬性（1）,設(shè)置域控制器屬性，具體步驟如下： 步驟一，選擇“開(kāi)始”/“程序”/“管理工具”/“Active Directory用戶與計(jì)算機(jī)”菜單，打開(kāi)“Active Directory用戶與計(jì)算機(jī)”管理窗口，如圖5-19所示。 步驟二，在控制臺(tái)目錄樹(shù)中，雙擊展開(kāi)域節(jié)點(diǎn)。單擊Domain Controllers子節(jié)點(diǎn)。 步驟三，在詳細(xì)資料窗格中，右擊要設(shè)置屬性的域控制器，從彈出的快捷菜單中選擇“屬性”，打開(kāi)該控制器的“屬性”對(duì)話框，如圖5-20所示。 步驟四，在“常規(guī)”選項(xiàng)卡的“描述”文本框中輸入對(duì)域控制器的一般描述。如果不希望域控制器的可受信任用來(lái)作為委派，可禁用“信任計(jì)算機(jī)作為委派”復(fù)選框。 步驟五，選擇“操作系統(tǒng)”選項(xiàng)卡，在該選項(xiàng)卡中，顯示出操作系統(tǒng)的名稱、版本以及Service Pack，管理員只能查看并不能修改這些內(nèi)容。 步驟六，選擇如圖5-21所示的“隸屬于”選項(xiàng)卡，要添加組，單擊“添加”按鈕，打開(kāi)“選擇組”對(duì)話框?yàn)橛蚩刂破鬟x擇一個(gè)要添加的組；要?jiǎng)h除某個(gè)已經(jīng)添加的組，在“成員屬于”列表框選擇該組，然后單擊“刪除”按鈕即可。,5.3.1 設(shè)置域控制器屬性（2）,圖5-19 Active Directory用戶和計(jì)算機(jī)窗口,5.3.1 設(shè)置域控制器屬性（3）,步驟七，當(dāng)管理員為域控制器添加多個(gè)組時(shí)，還可為域控制器設(shè)置一個(gè)主要組。要設(shè)置主要組，在“隸屬于”列表框中選擇要設(shè)置的主要組，一般為Domain Controllers，也可為Cert Publishers，然后單擊“設(shè)置主要組”按鈕即可。 步驟八，選擇“位置”選項(xiàng)卡，可以設(shè)置域控制器的位置。 步驟九，選擇“管理者”選項(xiàng)卡，要更改域控制器的管理者，可單擊“更改”按鈕，打開(kāi)“選擇用戶或聯(lián)系人”對(duì)話框，選擇新的管理人即可。要?jiǎng)h除管理者，可單擊“清除”按鈕來(lái)刪除；要查看和修改管理者屬性，可單擊“查看”按鈕，打開(kāi)該管理者屬性對(duì)話框來(lái)進(jìn)行操作。 步驟十，域控制器設(shè)置完畢，單擊“確定”按鈕保存設(shè)置。,5.3.1 設(shè)置域控制器屬性（4）,圖5-20 設(shè)置域控制器屬性 圖5-21 設(shè)置成員組,5.3.2 查找域控制器目錄內(nèi)容（1）,要查找目錄內(nèi)容，可參照如下步驟： 步驟一，在“Active Directory用戶和計(jì)算機(jī)”窗口的控制臺(tái)目錄樹(shù)中，鼠標(biāo)右擊域節(jié)點(diǎn)，在彈出的快捷菜單中選擇“查找”命令，打開(kāi)“查找用戶聯(lián)系人及組”對(duì)話框，如圖5-22所示。 步驟二，在“查找”下拉列表框中可以選擇要查找的目錄內(nèi)容，包括“用戶、聯(lián)系人及組”、“計(jì)算機(jī)”、“打印機(jī)”、“共享文件夾”、“組織單位”、“自定義搜索”等。 例如，在列表中選擇“計(jì)算機(jī)”，如圖5-23所示。在“范圍”下拉列表框中選擇查找范圍，如整個(gè)目錄。 步驟三，在“計(jì)算機(jī)”選項(xiàng)卡中，設(shè)置查找條件。例如，在“計(jì)算機(jī)”文本框中輸入要查找的計(jì)算機(jī)名，在“所有者”文本框中輸入計(jì)算機(jī)的用戶名，在“作用”下拉列表框中選擇計(jì)算機(jī)在網(wǎng)絡(luò)中作用。 步驟四，單擊“高級(jí)”選項(xiàng)卡，要設(shè)置高級(jí)查找條件，單擊“字段”按鈕，從彈出的快捷菜單中選擇設(shè)置條件的選項(xiàng)，然后在“條件”下拉列表框和“值”文本框中設(shè)置查詢條件。,5.3.2 查找域控制器目錄內(nèi)容（2）,步驟五，高級(jí)條件設(shè)置好之后，單擊“添加”按鈕，將條件添加到下面的文本框中。如果要繼續(xù)添加高級(jí)條件，可按照上面步驟繼續(xù)添加。 步驟六，所有查找條件設(shè)置完畢，單擊“開(kāi)始查找”按鈕即開(kāi)始查找，并將查找結(jié)果列出，如圖5-23下面窗口所示。,圖5-22 “查找用戶聯(lián)系人及組”對(duì)話框圖,圖5-23 列出查找結(jié)果,5.3.3 連接到其他域,在一個(gè)多域的網(wǎng)絡(luò)中，用戶經(jīng)常需要將當(dāng)前域連接到其他域，這樣可使當(dāng)前域中的用戶和計(jì)算機(jī)訪問(wèn)其他域中的資源，也可將當(dāng)前域控制器的部分操作主機(jī)功能傳送給其他域控制器，甚至可將當(dāng)前域控制器更改為其他域中的域控制器。 要連接到網(wǎng)絡(luò)中其他域，在控制臺(tái)目錄樹(shù)中，鼠標(biāo)右擊“Active Directory用戶和計(jì)算機(jī)”根結(jié)點(diǎn)，從彈出的快捷菜單中選擇“連接到域”命令，打開(kāi)如圖5-24所示的“連接到域”對(duì)話框，在“域”文本框中輸入要連接的域的名稱；或者單擊“瀏覽”，打開(kāi)“瀏覽域”對(duì)話框選擇要連接的域，單擊“確定”即可建立連接。,圖5-24 連接到其他域,注意：一般情況下，一個(gè)域網(wǎng)絡(luò)中至少應(yīng)有兩個(gè)域控制器（一個(gè)域控制器和一個(gè)附加域控制器），以便在當(dāng)前域控制器出現(xiàn)故障時(shí)，可使用附加域控制器來(lái)代替當(dāng)前域控制器，保證網(wǎng)絡(luò)的正常運(yùn)行。,5.3.4 更改域控制器,要更改域控制器，在控制臺(tái)目錄樹(shù)中，鼠標(biāo)右擊“Active Directory用戶和計(jì)算機(jī)”根節(jié)點(diǎn)，從彈出的快捷菜單中選擇“連接到域控制器”，打開(kāi)如圖5-25所示的“連接到域控制器”對(duì)話框。 在“輸入另一個(gè)域控制器的名稱”文本框中輸入要連接的域控制器；或者從域控制器列表中選擇一個(gè)要連接的域控制器。如果在域中沒(méi)有列出其他可用的域控制器，可選擇“任何可寫的域控制器”選項(xiàng)，系統(tǒng)會(huì)根據(jù)網(wǎng)絡(luò)連接情況自動(dòng)選擇可用的域控制器。要連接的域控制器選定之后，單擊“確定”按鈕完成連接。,圖5-25 連接到域控制器,5.4 用戶和計(jì)算機(jī)賬戶管理,5.4.1 用戶和計(jì)算機(jī)賬戶簡(jiǎn)介,用戶賬戶 計(jì)算機(jī)賬戶,5.4.2 創(chuàng)建用戶和計(jì)算機(jī)賬戶（1）,用戶賬戶的創(chuàng)建可參照如下步驟： 步驟一，在“Active Directory用戶和計(jì)算機(jī)”窗口的控制臺(tái)目錄樹(shù)中，雙擊展開(kāi)域節(jié)點(diǎn)。 步驟二，如果要?jiǎng)?chuàng)建用戶賬戶，鼠標(biāo)右擊要添加用戶的組織單位或容器，從彈出的快捷菜單中選擇“新建”/“用戶”，打開(kāi)如圖5-26所示的對(duì)話框。 步驟三，在“姓”和“名”文本框中分別輸入姓和名，并在“用戶登錄名”文本框中輸入用戶登錄時(shí)使用的名字。 步驟四，單擊“下一步”，打開(kāi)如圖5-27所示的對(duì)話框。 步驟五，在“密碼”和“確認(rèn)密碼”文本框中輸入要為用戶設(shè)置的密碼。如果希望用戶下次登錄時(shí)更改密碼，可選擇“用戶下次登錄時(shí)須更改密碼”，否則選擇“用戶不能更改密碼”。如果希望密碼永遠(yuǎn)不過(guò)期，可選擇“密碼永不過(guò)期”。如果暫不啟用該用戶賬戶，可選擇“賬戶已禁用”。 步驟六，單擊“下一步”按鈕即可完成創(chuàng)建。 創(chuàng)建計(jì)算機(jī)賬戶方法同上，只需在上述第2步中選擇“計(jì)算機(jī)”，在彈出的對(duì)話框中輸入該計(jì)算機(jī)的名稱，單擊“確定”即可。,5.4.2 創(chuàng)建用戶和計(jì)算機(jī)賬戶（2）,圖5-26 新建用戶 圖5-27 密碼設(shè)置,5.4.3 刪除用戶和計(jì)算機(jī)賬戶,要?jiǎng)h除一個(gè)用戶和計(jì)算機(jī)賬戶，在控制臺(tái)目錄樹(shù)中，展開(kāi)域節(jié)點(diǎn)。單擊要?jiǎng)h除的用戶或者計(jì)算機(jī)所在的組織單位或容器，在詳細(xì)資料窗格中，鼠標(biāo)右擊要?jiǎng)h除的用戶或者計(jì)算機(jī)，從彈出的快捷菜單中選擇“刪除”，出現(xiàn)信息確認(rèn)框后，單擊“是”即可刪除該用戶或者計(jì)算機(jī)。,5.4.4 停用用戶和計(jì)算機(jī)賬戶,停用用戶賬戶，在控制臺(tái)目錄樹(shù)中，展開(kāi)域節(jié)點(diǎn)。單擊要停用的用戶賬戶或者計(jì)算機(jī)所在的組織單位或容器，在詳細(xì)資料窗格中，右擊要停用的用戶或者計(jì)算機(jī)賬戶，從彈出的快捷菜單中選擇“停用賬戶”命令，出現(xiàn)信息確認(rèn)框后，單擊“是”按鈕即可停用被選用戶或者計(jì)算機(jī)賬戶。,5.4.5 移動(dòng)用戶和計(jì)算機(jī)賬戶,要移動(dòng)用戶和計(jì)算機(jī)賬戶，在控制臺(tái)目錄樹(shù)中，展開(kāi)域節(jié)點(diǎn)。單擊要移動(dòng)用戶或者計(jì)算機(jī)賬戶所在的組織單位或容器，在詳細(xì)資料窗格中，鼠標(biāo)右擊要移動(dòng)的用戶賬戶，從彈出的快捷菜單中選擇“移動(dòng)”，打開(kāi)“移動(dòng)”對(duì)話框，在“將對(duì)象移動(dòng)到容器”對(duì)話框中雙擊域節(jié)點(diǎn)，展開(kāi)該節(jié)點(diǎn)，如圖5-28所示。單擊移動(dòng)的目標(biāo)組織單位，然后單擊“確定”即可完成移動(dòng)。,圖5-28 移動(dòng)賬戶,5.4.6 為用戶和計(jì)算機(jī)賬戶添加組,要為用戶賬戶添加組，在控制臺(tái)目錄樹(shù)中，展開(kāi)域節(jié)點(diǎn)，鼠標(biāo)單擊要加入組的用戶所在的組織單位或容器，在詳細(xì)資料窗口中，鼠標(biāo)右鍵單擊該用戶賬戶，從彈出的快捷菜單中選擇“添加到組”，打開(kāi)如圖5-29所示的“選擇組”對(duì)話框，可以直接輸入組對(duì)象的名稱，也可以打開(kāi)“高級(jí)”選項(xiàng)卡進(jìn)行查找。然后在組列表框中選擇一個(gè)要添加的組，單擊“確定”按鈕即可為用戶添加組。 要為計(jì)算機(jī)賬戶添加組，在控制臺(tái)目錄樹(shù)中，展開(kāi)域節(jié)點(diǎn)，鼠標(biāo)單擊“計(jì)算機(jī)”或者要加入組的計(jì)算機(jī)所在的組織單位及容器，在詳細(xì)資料窗口中，鼠標(biāo)右鍵單擊該計(jì)算機(jī)賬戶，從彈出的快捷菜單中選擇“屬性”命令，打開(kāi)該計(jì)算機(jī)的屬性對(duì)話框。然后單擊“成員屬于”標(biāo)簽，打開(kāi)“隸屬于”選項(xiàng)卡，單擊“添加”按鈕，打開(kāi)“選擇組”對(duì)話框選擇要加入的組，單擊“確定”按鈕完成添加。,圖5-29 為用戶添加組,5.4.7 重設(shè)用戶密碼 5.4.8 管理客戶計(jì)算機(jī),要重新設(shè)置用戶密碼，在控制臺(tái)目錄樹(shù)中，展開(kāi)域節(jié)點(diǎn)。然后單擊包含要重新設(shè)置密碼的用戶的組織單位或容器，在詳細(xì)資料窗口中，鼠標(biāo)右鍵單擊該用戶賬戶，從彈出的快捷菜單中選擇“重設(shè)密碼”，打開(kāi) “重設(shè)密碼”對(duì)話框，在“新密碼”和“確認(rèn)密碼”文本框中輸入要設(shè)置的新密碼。如果允許用戶更改密碼，可選擇“用戶下次登錄時(shí)須更改密碼”復(fù)選框。單擊“確定”按鈕保存設(shè)置，同時(shí)系統(tǒng)會(huì)打開(kāi)確認(rèn)信息框，單擊“確定”按鈕可完成設(shè)置。 要管理客戶計(jì)算機(jī)，在控制臺(tái)目錄樹(shù)中，展開(kāi)域節(jié)點(diǎn)。然后單擊要管理的計(jì)算機(jī)所在的組織單位，鼠標(biāo)右鍵單擊該計(jì)算機(jī)，從彈出的快捷菜單中選擇“管理”命令，打開(kāi)該計(jì)算機(jī)的計(jì)算機(jī)管理窗口。在該窗口中，管理員可以對(duì)連接的計(jì)算機(jī)進(jìn)行系統(tǒng)工具、存儲(chǔ)、服務(wù)器應(yīng)用程序和服務(wù)等方面的管理。例如可以對(duì)該計(jì)算機(jī)上的用戶進(jìn)行管理。,5.5 組和組織單位的管理,組是Server 2003從Windows 2000系統(tǒng)繼承下來(lái)的安全管理形式，它是指活動(dòng)目錄或本地計(jì)算機(jī)對(duì)象，包含用戶、聯(lián)系人、計(jì)算機(jī)和其他組等。在Server 2003中，組可以用來(lái)管理用戶和計(jì)算機(jī)對(duì)網(wǎng)絡(luò)資源的訪問(wèn)，例如活動(dòng)目錄對(duì)象及其屬性、網(wǎng)絡(luò)共享、文件、目錄、打印機(jī)隊(duì)列，還可以篩選組策略。使用組，方便了管理訪問(wèn)目的和權(quán)限相同的一系列用戶和計(jì)算機(jī)賬戶。 組織單位（Organizational Unit，OU）是域中包含的一類目錄對(duì)象，它包括域中一些用戶、計(jì)算機(jī)和組、文件與打印機(jī)等資源。不過(guò)，組織單位不能包含其他域中的對(duì)象。由于活動(dòng)目錄服務(wù)把域又詳細(xì)的劃分成組織單位，且組織單位中還可以再劃分下級(jí)組織單位，因此組織單位的分層結(jié)構(gòu)可用來(lái)建立域的分層結(jié)構(gòu)模型，進(jìn)而可使用戶把網(wǎng)絡(luò)所需的域的數(shù)量減至最小。 注意：組和組織單位有很大的不同。組主要用于權(quán)限設(shè)置，而組織單位則主要用于網(wǎng)絡(luò)構(gòu)建；另外，組織單位只表示單個(gè)域中的對(duì)象集合（可包括組對(duì)象），而組可以包含用戶、計(jì)算機(jī)、本地服務(wù)器上的共享資源、單個(gè)域、域目錄樹(shù)或目錄林。,5.5.1 創(chuàng)建新組和組織單位,要?jiǎng)?chuàng)建新組，在控制臺(tái)目錄樹(shù)中，展開(kāi)域節(jié)點(diǎn)。鼠標(biāo)右鍵單擊要進(jìn)行組創(chuàng)建的組織單位或容器，從彈出的快捷菜單中選擇“新建”/“組”命令，打開(kāi)如圖5-30所示的對(duì)話框，在“組名”文本框中輸入要?jiǎng)?chuàng)建的組名。在“組作用域”選項(xiàng)區(qū)域中，選擇單選按鈕來(lái)確定組的作用域；在“組類型”選項(xiàng)區(qū)域中，通過(guò)單選按鈕來(lái)選擇新組的類型。單擊“確定”按鈕即完成組的創(chuàng)建。 要添加組織單位，在控制臺(tái)目錄樹(shù)中，展開(kāi)域節(jié)點(diǎn)。鼠標(biāo)右鍵單擊域節(jié)點(diǎn)或者可添加組織單位的文件夾節(jié)點(diǎn)，從彈出的快捷菜單中選擇“新建”/“組織單位”命令，在打開(kāi)的對(duì)話框的“名稱”文本框中輸入新創(chuàng)建組織單位的名稱，單擊“確定”即可。,圖5-30 創(chuàng)建組,5.5.2 刪除組和組織單位,要?jiǎng)h除組和組織單位，在控制臺(tái)目錄樹(shù)中，展開(kāi)域節(jié)點(diǎn)。鼠標(biāo)單擊要?jiǎng)h除的組或組織單位所在的組織單位，詳細(xì)資料窗格中會(huì)列出該組織單位的內(nèi)容。然后鼠標(biāo)右鍵單擊要?jiǎng)h除的組或組織單位，選擇快捷菜單中“刪除”命令，這時(shí)系統(tǒng)會(huì)打開(kāi)信息確認(rèn)框，單擊“是”按鈕即完成組或組織單位的刪除。,5.5.3 委派控制組或組織單位（1）,如果要對(duì)某個(gè)組或組織單位進(jìn)行委派控制，可參照下面的步驟： 步驟一，在“Active Directory用戶與計(jì)算機(jī)”窗口的控制臺(tái)目錄樹(shù)中，鼠標(biāo)雙擊展開(kāi)域節(jié)點(diǎn)。 步驟二，鼠標(biāo)右鍵單擊要委派控制的組織單位或組節(jié)點(diǎn)，例如Users，從彈出的快捷菜單中選擇“委派控制”命令，進(jìn)入“控制委派向?qū)А贝翱冢瑔螕簟跋乱徊健卑粹o。 步驟三，在打開(kāi)的“用戶和組”對(duì)話框中，單擊“添加”按鈕，打開(kāi)“選擇用戶、計(jì)算機(jī)或組”對(duì)話框，你可以直接輸入一個(gè)或多個(gè)要委派控制的用戶或組，也可單擊“高級(jí)”選項(xiàng)卡進(jìn)行查找，從列表中選擇一個(gè)或多個(gè)要委派控制的用戶或組。 步驟四，選擇之后單擊“確定”按鈕，則在圖5-31中的“輸入對(duì)象名來(lái)選擇”文本框中會(huì)出現(xiàn)所選對(duì)象，單擊“確定”。 步驟五，在打開(kāi)的窗口中單擊“下一步”按鈕，打開(kāi)“要委派的任務(wù)”對(duì)話框。我們可以選擇要委派的常見(jiàn)任務(wù)。我們這里選擇“創(chuàng)建自定義任務(wù)去委派”選項(xiàng)。 步驟六，單擊“下一步”按鈕，打開(kāi)如圖5-32所示對(duì)話框。指定委派任務(wù)范圍。如果要委派的對(duì)象為整個(gè)文件夾，可選擇“這個(gè)文件夾”，如果要委派的對(duì)象只是文件夾中的對(duì)象，可選擇“文件夾中的對(duì)象”，并在“對(duì)象類型”列表框中通過(guò)復(fù)選框來(lái)選擇對(duì)象。,5.5.3 委派控制組或組織單位（2）,圖5-31選擇用戶和組,步驟七，單擊“下一步”按鈕，打開(kāi)“權(quán)限”對(duì)話框，如圖5-33所示。通過(guò)選擇“要委派的權(quán)限”復(fù)選框來(lái)選擇要委派的權(quán)限，例如選擇“讀取”、“創(chuàng)建所有子對(duì)象”等復(fù)選框設(shè)置相應(yīng)權(quán)限。 注意，對(duì)不同資源進(jìn)行控制委派，配置向?qū)в兴煌?5.5.3 委派控制組或組織單位（3）,圖5-32 定義要委派控制任務(wù) 圖5-33 指定委派權(quán)限,5.5.4 設(shè)置組織單位屬性（1）,要設(shè)置組織單位的屬性，可參照下面的步驟。 步驟一，在控制臺(tái)目錄樹(shù)中，鼠標(biāo)右鍵單擊要設(shè)置屬性的組織單位，從彈出的快捷菜單中選擇“屬性”命令，打開(kāi)該組織單位的屬性對(duì)話框，如圖5-34所示。 步驟二，在“常規(guī)”選項(xiàng)卡中，可以設(shè)置“描述”、“省/自治區(qū)”、“縣市”、“街道”和“郵政編碼”等計(jì)算機(jī)和用戶常規(guī)信息。,圖5-34 設(shè)置屬性 圖5-35 管理組策略,5.5.4 設(shè)置組織單位屬性（2）,步驟三，選擇“管理者”選項(xiàng)卡，單擊“更改”按鈕，打開(kāi)“選擇用戶或聯(lián)系人”對(duì)話框選擇一個(gè)用戶或聯(lián)系人作為管理者；管理者更改之后，單擊“屬性”按鈕，可打開(kāi)所更改的管理者的屬性對(duì)話框，管理員可對(duì)管理者的屬性進(jìn)行修改，如果要清除管理者，單擊“清除”按鈕即可。 步驟四，單擊“組策略”選項(xiàng)卡，如圖5-35所示。要新建一個(gè)組策略對(duì)象，單擊“新建”按鈕，在“組策略對(duì)象鏈接”列表框中會(huì)出現(xiàn)一個(gè)新的組策略對(duì)象，在其名稱文本框中為新策略輸入一個(gè)有意義的名稱。 步驟五，單擊“編輯”按鈕，會(huì)打開(kāi)如圖5-36所示的“組策略編輯器”窗口。在該窗口中，管理員可對(duì)創(chuàng)建的組策略進(jìn)行編輯，包括計(jì)算機(jī)配置和用戶配置兩個(gè)方面。如圖5-36所示可以對(duì)計(jì)算機(jī)配置中的“登錄”策略進(jìn)行編輯，例如登錄時(shí)是否顯示歡迎界面，啟動(dòng)和登錄是否等待網(wǎng)絡(luò)等性質(zhì)進(jìn)行設(shè)置。編輯完畢，關(guān)閉窗口。 步驟六，要設(shè)置某個(gè)組策略對(duì)象的屬性，在圖5-35中組策略對(duì)象鏈接列表中選擇對(duì)象，單擊“屬性”按鈕，打開(kāi)該對(duì)象屬性對(duì)話框，進(jìn)行“常規(guī)”、“鏈接”和“安全”方面的設(shè)置。 步驟七，在列表中，不同位置的組策略對(duì)象具有不同的優(yōu)先級(jí)，較高位置的組策略對(duì)象比較低位置的組策略對(duì)象優(yōu)先級(jí)高。所以，管理員可以改變組策略對(duì)象在列表中的位置來(lái)決定組策略對(duì)象的應(yīng)用級(jí)別。要改變某個(gè)組策略對(duì)象在列表中的位置，選擇該對(duì)象，單擊“向上”或“向下”按鈕即可上移或下移該對(duì)象。 如果要?jiǎng)h除某個(gè)組策略對(duì)象，在列表中選擇該對(duì)象，然后單擊“刪除”按鈕即可。,5.5.4 設(shè)置組織單位屬性（3）,圖5-36 編輯組策略,5.5.4 設(shè)置組織單位屬性（4）,步驟八，用戶要配置某個(gè)組策略對(duì)象的選項(xiàng)，在如圖5-35組策略鏈接列表中選擇“策略”對(duì)象，單擊“選項(xiàng)”按鈕，打開(kāi)該組策略對(duì)象的選項(xiàng)對(duì)話框，如圖5-37所示。 在“鏈接選項(xiàng)”選項(xiàng)區(qū)域中，選擇“禁止替代”復(fù)選框，可防止其他組策略對(duì)象替代這個(gè)組對(duì)象中的策略集；啟用“已禁用”復(fù)選框，可暫時(shí)禁用該策略，需要啟用時(shí)，禁用“已禁用”復(fù)選框即可。然后單擊“確定”按鈕返回到組策略選項(xiàng)卡。 步驟九， 如果要防止組策略被下一級(jí)組織單位所繼承，可啟用“阻止策略繼承”復(fù)選框（見(jiàn)圖5-35）。最后單擊“關(guān)閉”按鈕保存屬性設(shè)置。,圖5-37 配置組策略對(duì)象選項(xiàng),5.5.5 設(shè)置組屬性（1）,要設(shè)置組的屬性，具體步驟如下： 步驟一，在控制臺(tái)目錄樹(shù)中鼠標(biāo)單擊要設(shè)置屬性的組所在的組織單位或容器，在詳細(xì)資料窗口中，鼠標(biāo)右鍵單擊要添加成員的組，從彈出的快捷菜單中選擇“屬性”命令，打開(kāi)該組的屬性對(duì)話框，如圖5-38所示。 步驟二，為了便于管理，在“描述”和“注釋”文本框中分別輸入有關(guān)該組的描述和注釋；可以修改組名稱；為了便于組管理員與組成員交換信息，在“電子郵件”文本框中輸入組管理員的電子郵件地址。,圖5-38 設(shè)置常規(guī)屬性 圖5-39 添加成員到組,5.5.5 設(shè)置組屬性（2）,步驟三，單擊“成員”選項(xiàng)卡，如圖5-39所示。要添加成員，單擊“添加”，打開(kāi)“選擇用戶聯(lián)系人或計(jì)算機(jī)”對(duì)話框選擇要添加的成員。要?jiǎng)h除組成員，在“成員”列表框中選擇要?jiǎng)h除的組成員，然后單擊“刪除”即可。 步驟四，用戶設(shè)置新組的權(quán)限,主要通過(guò)向新組添加內(nèi)置組來(lái)實(shí)現(xiàn)。選擇“隸屬于”選項(xiàng)卡，單擊“添加”，打開(kāi)“選擇組”對(duì)話框，為自己創(chuàng)建的組選擇內(nèi)置組。要?jiǎng)h除某個(gè)組權(quán)限，在“隸屬于”列表框中選擇該組，單擊“刪除”即可。 步驟五，要設(shè)置組的管理者，選擇“管理者”選項(xiàng)卡。要更改組管理者，單擊“更改”按鈕，打開(kāi)“選擇用戶或聯(lián)系人”對(duì)話框選擇管理者；要查看管理者的屬性，單擊“屬性”按鈕進(jìn)行查看；如果要清除管理者對(duì)組的管理，單擊“清除”按鈕即可。 步驟六，屬性設(shè)置完畢，單擊“確定”按鈕保存設(shè)置并關(guān)閉屬性對(duì)話框。,5.6 資源發(fā)布和域的管理,5.6.1 資源發(fā)布的管理 一、資源的發(fā)布 1公布共享文件夾的步驟如下： （1）運(yùn)行“管理工具”/“Active Directory域和信任關(guān)系”管理應(yīng)用程序； （2）在控制臺(tái)樹(shù)中，鼠標(biāo)雙擊“域節(jié)點(diǎn)”； （3）鼠標(biāo)右鍵單擊想在其中添加共享文件夾的文件夾，指向“新建”并單擊“共享文件夾”對(duì)話框，如圖5-40所示； （4）鍵入文件夾的名稱和網(wǎng)絡(luò)路徑； （5）單擊“確定”按鈕完成操作。 2公布打印機(jī)的步驟如下： （1）打開(kāi)“Active Directory用戶和計(jì)算機(jī)”； （2）在控制臺(tái)樹(shù)中，鼠標(biāo)雙擊“域節(jié)點(diǎn)”； （3）在控制臺(tái)樹(shù)中，鼠標(biāo)右鍵單擊想在其中公布打印機(jī)的文件夾，指向“新建”，并單擊“打印機(jī)”； （4）鍵入網(wǎng)絡(luò)路徑，如圖5-41所示。 （5）單擊“確定”按鈕完成操作。,圖5-41 設(shè)置共享打印機(jī)路徑,圖5-40 設(shè)置共享文件夾,5.6.1 資源發(fā)布的管理,二、資源的查找 若要進(jìn)行自定義搜索，可參照如下步驟： （1）運(yùn)行“管理工具”/“Active Directory域和信任關(guān)系”管理應(yīng)用程序； （2）在控制臺(tái)樹(shù)中用鼠標(biāo)右鍵單擊“域節(jié)點(diǎn)”，然后單擊“查找”； （3）在“查找”中單擊“自定義搜索”； （4）鼠標(biāo)單擊“字段”，選擇要搜索的對(duì)象種類，然后單擊要為其指定搜索值的對(duì)象的屬性； （5）在“條件”中單擊搜索的條件； （6）在“值”中鍵入要應(yīng)用搜索條件的屬性值； （7）單擊“添加”，將該搜索條件添加至自定義搜索； （8）重復(fù)第（4）步至第（7）步，直到添加完所需的全部搜索條件為止； （9）單擊“開(kāi)始查找”按鈕。,5.6.2 域的管理,1提升域功能級(jí)別 Windows Server 2003中有四個(gè)域功能級(jí)別，下表列出了域功能級(jí)別及其所支持的域控制器。默認(rèn)情況下，域以Windows 2000混合功能級(jí)別操作。,表5-1 域功能級(jí)別與其支持的域控制器,5.6.2 域的管理,根據(jù)網(wǎng)絡(luò)的實(shí)際需要，可以提升域功能級(jí)別，提升域功能級(jí)別的具體步驟如下： 步驟一，運(yùn)行“管理工具”/“Active Directory域和信任關(guān)系”管理應(yīng)用程序； 步驟二，鼠標(biāo)右鍵單擊你想要管理的域的“域節(jié)點(diǎn)”，然后單擊“提升域功能級(jí)別”； 步驟三，在打開(kāi)如圖5-42所示窗口中，我們可以在“選一個(gè)可用的域功能級(jí)別”的下拉菜單中選擇一種模式。,圖5-42 更改域模式,2. 創(chuàng)建明確的域信任,創(chuàng)建明確的域信任具體步驟如下： 步驟一，運(yùn)行“管理工具”/“Active Directory域和信任關(guān)系”管理應(yīng)用程序； 步驟二，在控制臺(tái)樹(shù)中，鼠標(biāo)右鍵單