Windows_Server_2003域及其帳戶管理

1、第3章 Windows Server 2003域及其賬戶管理張書源局域網(wǎng)中兩種常見的組織方式一、工作組模式在工作組模式的網(wǎng)絡(luò)中，各計(jì)算機(jī)是獨(dú)立的，各計(jì)算機(jī)中的賬戶和資源也是各自進(jìn)行管理的。如果一個人想要訪問不同的計(jì)算機(jī)，就需要在每臺計(jì)算機(jī)中建立賬戶。訪問時，也需要分別登錄。ABCABCABC二、域模式在域模式的網(wǎng)絡(luò)中，可以把各計(jì)算機(jī)組織起來，各計(jì)算機(jī)中的賬戶和資源也可以組織起來進(jìn)行集中管理。當(dāng)一個域用戶要訪問域中不同的計(jì)算機(jī)，他只需登錄一次就可以訪問域中的各臺計(jì)算機(jī)中的共享資源。ABC域控制器域網(wǎng)絡(luò)的結(jié)構(gòu)一、域控制器在域結(jié)構(gòu)的網(wǎng)絡(luò)中，需要一個對賬戶和資源進(jìn)行統(tǒng)一管理的機(jī)制，這個機(jī)制就是活動目錄

2、Active Directory。域中所有的賬戶和共享資源都需要在活動目錄中進(jìn)行登記。用戶可以利用活動目錄查找和使用這些資源。安裝有活動目錄的計(jì)算機(jī)稱為域控制器。二、域名每個域都有一個域名，用于標(biāo)識一個域。域名通常采用層次結(jié)構(gòu)命名。如：jsj.local三、成員計(jì)算機(jī)域建立后，只有那些參加到域中的計(jì)算機(jī)才能用來訪問域中的資源，這些計(jì)算機(jī)是成員計(jì)算機(jī)。成員計(jì)算機(jī)的計(jì)算機(jī)全名：計(jì)算機(jī)名.域名如：一臺計(jì)算機(jī)名字為A，當(dāng)它參加 jsj.local 域后，它的全名變?yōu)?。四、DNS效勞器在網(wǎng)絡(luò)中訪問計(jì)算機(jī)時使用的地址是IP地址。當(dāng)我們用計(jì)算機(jī)名訪問成員計(jì)算機(jī)時，需要先通過DNS效勞器把計(jì)算機(jī)名轉(zhuǎn)換為IP

3、地址再訪問。A.jsj.local192.168.0.10B.jsj.local192.168.0.11A192.168.0.10DNS服務(wù)器人員B在網(wǎng)上鄰居中找到了域中的計(jì)算機(jī)A，雙擊計(jì)算機(jī)A的圖標(biāo)提出訪問請求。DNS效勞器將計(jì)算機(jī)A的名字解析為IP地址，并將IP地址回送給人員B。人員B利用IP地址訪問計(jì)算機(jī)A。五、域的其它組成局部DHCP效勞器：用于為域中的各成員計(jì)算機(jī)分配IP地址等配置信息。如果域中的計(jì)算機(jī)都采用手工配置IP地址，那么可以不需要DHCP效勞器。域用戶帳戶：用于域使用者的身份驗(yàn)證，只有擁有了域用戶帳戶的人員才能登錄到域。域共享資源：可被域用戶共享的資源。單域網(wǎng)絡(luò)的構(gòu)建第一步

4、：安裝域控制器一個域可以有一個或多個域控制器，各域控制器是平等的，管理員可以在任一臺域控制器上更新域中的信息，更新的信息會自動傳遞到網(wǎng)絡(luò)中的其它域控制器中。設(shè)置多個域控制器可以提高域的平安性。域控制器、DNS效勞器、DHCP效勞器可以安裝在不同計(jì)算機(jī)中，不過，在多數(shù)情況下，它們都安裝在同一臺計(jì)算機(jī)中。安裝域控制器就是安裝 Active Directory 的過程。安裝了 Active Directory 的計(jì)算機(jī)就成為域控制器。安裝過程：準(zhǔn)備工作：選擇一臺準(zhǔn)備作為域控制器的計(jì)算機(jī)。它必須有一個NTFS分區(qū)。如果它已經(jīng)存在DNS效勞器或DHCP效勞器，應(yīng)該將它們卸載。檢查該機(jī)IP設(shè)置：如果將來D

5、NS和DHCP效勞器都要裝在該計(jì)算機(jī)中，應(yīng)該設(shè)置一個固定的IP地址，DNS效勞器地址也應(yīng)該設(shè)置為本機(jī)IP地址。單擊“開始 | 管理工具 | 配置您的效勞器向?qū)?。在效勞器角色中選擇“域控制器，單擊“下一步，啟動 Active Directory 安裝向?qū)?。選擇“域控制器類型：假設(shè)選擇“新域的域控制器那么表示創(chuàng)立一個新域；假設(shè)選擇“現(xiàn)有域的額外域控制器那么表示在現(xiàn)有域中增加域控制器。選擇“域的類型：假設(shè)選擇“在新林中的域表示建立一個獨(dú)立的域。指定域名：輸入新域的域名。域名必須符合DNS域名規(guī)那么，輸入后，系統(tǒng)會花一些時間在網(wǎng)絡(luò)中檢查該域名。由于域名建立后很難更改，所以最好一次確定域名，防止更改。指

6、定NetBIOS名：默認(rèn)為DNS域名的前半段，一般不需修改。設(shè)置數(shù)據(jù)庫和日志文件文件夾位置：如果條件許可，這兩個文件夾最好放在兩塊不同的硬盤中。設(shè)置“共享的系統(tǒng)卷的位置：這個文件夾必須設(shè)置在NTFS分區(qū)內(nèi)。選擇或安裝DNS效勞器：可以在本機(jī)上安裝DNS效勞器，也可以選擇自己安裝DNS效勞器。權(quán)限設(shè)置：如果網(wǎng)絡(luò)中有舊版本的域控制器，要選擇與其對應(yīng)的兼容性權(quán)限。設(shè)置復(fù)原模式下的管理員密碼：復(fù)原模式是域控制器的平安模式，可用于修復(fù)活動目錄數(shù)據(jù)庫。參數(shù)設(shè)置完成，單擊“下一步開始安裝活動目錄，這期間需要插入 Windows Server 2003 安裝盤。安裝時間需要幾分鐘。安裝完成后，要求重新啟動計(jì)算

7、機(jī)。重啟之后，域控制器安裝完成。安裝了第一個域控制器后意味著域已經(jīng)建立。其后還需進(jìn)行以下工作：安裝額外的域控制器：可根據(jù)需要安裝。將計(jì)算機(jī)參加域：這些計(jì)算機(jī)成為該域的成員計(jì)算機(jī)。創(chuàng)立域用戶帳戶，并把它們分配給特定人員：這些人成為域用戶。向域中添加共享資源：這些資源可以供域用戶共享。刪除域控制器如果域中有多個域控制器，刪除了一個域控制器，該計(jì)算機(jī)就降格為成員計(jì)算機(jī)。如果刪除了域中所有域控制器，那么該域也被刪除。刪除方法：與安裝方法一樣。單擊“開始 | 管理工具 | 配置您的效勞器向?qū)?。在效勞器角色中選擇“域控制器，單擊“下一步，啟動 Active Directory 安裝向?qū)?。按照提示完成操作?/p>

8、刪除了域控制器。多域網(wǎng)絡(luò)如果一個單位有多個部門，可以在每個部門建立一個域。多域網(wǎng)絡(luò)通常有3種結(jié)構(gòu)：1、彼此獨(dú)立的域域A域B2、域樹結(jié)構(gòu)根域A子域B子域C子域D3、域林結(jié)構(gòu)根域A子域C子域E子域D根域B域信任關(guān)系彼此獨(dú)立的域之間沒有信任關(guān)系。這種域之間不能互訪對方的共享資源。建立了信任關(guān)系的域，經(jīng)過一定的授權(quán)后，用戶可以在一個域中訪問另一個域中的共享資源。信任關(guān)系有方向性和傳遞性。域A域B域C假設(shè)域A和域B建立了雙向可傳遞的信任關(guān)系，域B和域C建立了雙向可傳遞的信任關(guān)系，那么域A和域C自動成為雙向信任的。信任類型1、父子：雙向、可傳遞用于構(gòu)建域樹結(jié)構(gòu)，父域與子域之間為父子信任關(guān)系。2、樹根：雙向

9、、可傳遞用于構(gòu)建域林結(jié)構(gòu)，域林中根域之間為樹根信任關(guān)系。根域A子域C子域E子域D根域B父子父子父子樹根3、外部、領(lǐng)域、林、快捷用于建立一些有特殊要求的信任。多域網(wǎng)絡(luò)的構(gòu)建一、構(gòu)建多個彼此獨(dú)立的域在各個域中分別安裝域控制器，在安裝每個域的第一臺域控制器時應(yīng)選擇：域控制器類型域類型新域的域控制器在新林中的域各域的域名可以分別設(shè)置，不需要關(guān)聯(lián)。二、構(gòu)建域樹在各個域中分別安裝域控制器，但應(yīng)該先建立父域，再建立子域，在安裝子域中第一臺域控制器時應(yīng)選擇：域控制器類型域類型新域的域控制器在現(xiàn)有域樹中的子域域樹中子域的域名必須與父域的域名相關(guān)聯(lián)。根域A子域B子域Dlinite.local三、構(gòu)建域林在各個域中

10、分別安裝域控制器，在建立新域樹的第一臺域控制器時應(yīng)選擇：域控制器類型域類型新域的域控制器在現(xiàn)有的林中的域樹域林中各根域的域名之間不需要相關(guān)聯(lián)。根域A子域B根域Elinite.localcome.cc說明：域間的信任關(guān)系一般是在建立域時創(chuàng)立。如果想要建立一些特殊的信任關(guān)系，可以先建立彼此獨(dú)立的域，然后在域控制器上使用“新建信任向?qū)гO(shè)置域間的信任類型。域帳戶管理域賬戶管理類似于本地賬戶管理，它有以下特點(diǎn)：1、在域控制器上沒有本地用戶帳戶，其原有的本地用戶帳戶自動轉(zhuǎn)變?yōu)橛蛴脩魩簦?、域賬戶在域控制器上創(chuàng)立和管理；3、擁有域用戶賬戶的人登錄域時，由域控制器對其進(jìn)行身份驗(yàn)證。域賬戶包括域用戶賬戶、域組

11、賬戶、域計(jì)算機(jī)賬戶、域共享資源帳戶。域用戶賬戶分配給使用域的人員，用它可登錄到域中；域組賬戶用于將域用戶賬戶和計(jì)算機(jī)賬戶分組，為組指派權(quán)限和權(quán)利，可簡化管理。計(jì)算機(jī)賬戶是參加到域中的計(jì)算機(jī)，每臺參加域的效勞器和客戶機(jī)都擁有一個計(jì)算機(jī)賬戶，用它可控制域中包含哪些計(jì)算機(jī)。共享資源帳戶是參加到域中的共享文件夾、共享打印機(jī)等，共享資源必須參加到域中才能被域用戶共享。內(nèi)置的域用戶帳戶：Administrator(管理員)：該帳戶具有對域的完全控制權(quán)。它同時是 Administrators、Domain Admins 等多個內(nèi)置組的成員。Guest(來賓)：該帳戶只有極有限的權(quán)利。默認(rèn)是禁用的。它是 Gu

12、ests組和Domain Guests組的成員。內(nèi)置用戶賬戶可以重命名或禁用，但不能刪除。一、計(jì)算機(jī)賬戶創(chuàng)立計(jì)算機(jī)賬戶的過程就是將一臺計(jì)算機(jī)參加到域中的過程。只有域管理員組的成員有權(quán)將一臺計(jì)算機(jī)參加域中。準(zhǔn)備工作：在準(zhǔn)備參加域的計(jì)算機(jī)上，把它的DNS效勞器地址設(shè)置為該域使用的DNS效勞器地址。把計(jì)算機(jī)參加域：方法一：在欲參加域的計(jì)算機(jī)上翻開“我的電腦屬性，在“計(jì)算機(jī)名選項(xiàng)卡中用“更改按鈕把該計(jì)算機(jī)參加域。注意：參加時會要求輸入用戶名和密碼，這里必須輸入管理員的用戶名和密碼。方法二：以管理員身份登錄域控制器，翻開“開始 | 管理工具 | Active Directory 用戶和計(jì)算機(jī)，在目錄樹上

13、單擊右鍵，選擇“新建 | 計(jì)算機(jī)，輸入欲參加域的計(jì)算機(jī)名或IP地址，就可以把指定計(jì)算機(jī)參加域中。注：通常我們把計(jì)算機(jī)賬戶存放在活動目錄的 Computers 容器中。二、共享資源賬戶域中的共享資源包括共享文件夾、共享打印機(jī)等，它們可以位于域中任意一臺成員計(jì)算機(jī)中。創(chuàng)立共享資源賬戶的過程就是把共享資源發(fā)布到域中的過程。只有域管理員組的成員才能執(zhí)行發(fā)布共享資源的操作。準(zhǔn)備工作：在準(zhǔn)備參加域的文件夾或打印機(jī)設(shè)置為“共享 。把共享資源參加域：以管理員身份登錄域控制器，翻開“開始 | 管理工具 | Active Directory 用戶和計(jì)算機(jī)，在目錄樹上單擊右鍵，選擇“新建 | 文件夾或“新建 | 打

14、印機(jī) ，輸入共享資源的路徑，就可以把該資源參加域中。注：通常我們把共享資源賬戶也存放在活動目錄的 Computers 容器中，如果資源數(shù)量較多，可以另建容器。網(wǎng)絡(luò)路徑(UNC地址)：訪問網(wǎng)絡(luò)中共享資源時使用的地址。計(jì)算機(jī)名共享名 或者 IP地址共享名創(chuàng)立完成后，可以翻開共享文件夾的屬性，在其中可以添加一些關(guān)鍵字，這樣可方便客戶用查找功能找到該資源。說明：當(dāng)一個文件夾設(shè)置成共享后，如果沒有把它參加域中，那么該文件夾只能用工作組的方式訪問。如果該文件夾發(fā)布到域中了，那么該文件夾既可以用域的方式訪問，也可以用工作組的方式訪問。三、域用戶帳戶域用戶帳戶在域控制器的活動目錄中創(chuàng)立和管理。在系統(tǒng)內(nèi)部，域用

15、戶賬戶用SID區(qū)分。一個域用戶賬戶的權(quán)利和權(quán)限通常取決于它所在的組。一個域用戶賬戶可同時屬于多個組，其權(quán)限為各組權(quán)限的疊加。域用戶帳戶只存在于域控制器中，各成員計(jì)算機(jī)中只有其本地用戶帳戶。創(chuàng)立域用戶帳戶翻開“開始 | 管理工具 | Active Directory 用戶和計(jì)算機(jī)；在目錄樹上單擊右鍵，選擇“新建 | 用戶，輸入 姓、名、密碼、密碼選項(xiàng) 等參數(shù)，就創(chuàng)立了一個新的域用戶賬戶。域用戶帳戶的組織如果帳戶數(shù)量較少，通常將域用戶帳戶放置在 Users 容器中。如果帳戶數(shù)量很多，通?？蓜?chuàng)立一些組織單位(OU)，將帳戶分門別類地放在各OU中。OU相當(dāng)于活動目錄中的文件夾，它可以創(chuàng)立多層。域用戶帳

16、戶的使用在一臺域成員計(jì)算機(jī)上登錄，在登錄界面上輸入帳戶名和密碼，并選擇要登錄的域。域用戶帳戶屬性的設(shè)置在活動目錄中，雙擊用戶名或單擊右鍵選擇“屬性。常規(guī)選項(xiàng)卡設(shè)置該帳戶的詳細(xì)說明信息。賬戶選項(xiàng)卡修改帳戶的登錄名、登錄選項(xiàng)、密碼選項(xiàng)、帳戶期限等。登錄時間限制默認(rèn)為不限制，本例設(shè)置為只允許星期一至星期五的7:0019:00登錄。登錄機(jī)器限制默認(rèn)允許登錄到域中所有計(jì)算機(jī)?？梢栽O(shè)置為只允許登錄到指定的假設(shè)干計(jì)算機(jī)。隸屬于選項(xiàng)卡新建用戶默認(rèn)參加Domain Users組。在此處可變更用戶所在的組，從而使用戶獲得相應(yīng)的權(quán)利。配置文件選項(xiàng)卡默認(rèn)用戶使用本地配置文件，無登錄腳本和主文件夾。管理員可以為用戶建立

17、漫游配置文件、登錄腳本或主文件夾。本地用戶配置文件和漫游用戶配置文件默認(rèn)情況下，用戶配置文件位于用戶登錄時使用的計(jì)算機(jī)上。所以，當(dāng)一個用戶使用不同的計(jì)算機(jī)上登錄過后，在每臺計(jì)算機(jī)上都會產(chǎn)生各自的配置文件。如果使用漫游配置文件，那么配置文件可存放在一臺指定的計(jì)算機(jī)中，不管用戶在哪臺計(jì)算機(jī)上登錄，使用的都是同一個配置文件，這樣就可做到讓配置文件跟著用戶走的效果。注：只有在域環(huán)境才能設(shè)置和使用漫游用戶配置文件。漫游用戶配置文件的設(shè)置方法1、對存放配置文件的計(jì)算機(jī)進(jìn)行設(shè)置選擇域中的一臺計(jì)算機(jī)可以是域控制器，也可以是成員計(jì)算機(jī)，在其上創(chuàng)立一個文件夾，將該文件夾設(shè)置為共享，共享權(quán)限為“Everyone 完

18、全控制，NTFS權(quán)限也為“Everyone 完全控制。2、在域控制器上配置漫游用戶配置文件路徑在用戶的配置文件選項(xiàng)卡中，指定配置文件的路徑名，其格式為：計(jì)算機(jī)名文件夾名%Username%漫游原理當(dāng)用戶第一次登錄域時，域控制器會根據(jù)設(shè)置的路徑在指定的計(jì)算機(jī)中為該用戶創(chuàng)立配置文件。以后不管用戶在哪臺計(jì)算機(jī)上登錄域，域控制器都會將該配置文件下載到用戶所在的計(jì)算機(jī)中。如果用戶修改了配置文件內(nèi)容，當(dāng)用戶注銷時，他的配置文件會被上傳到指定的計(jì)算機(jī)中。幾點(diǎn)說明Everyone：這是一個特殊身份組，表示所有人。特殊身份組的成員是根據(jù)條件生成的，不能人為設(shè)置。共享權(quán)限和NTFS權(quán)限：用來限制用戶對文件夾的訪問

19、權(quán)限。網(wǎng)絡(luò)用戶訪問共享文件夾時的權(quán)限同時受共享權(quán)限和NTFS權(quán)限的限制。主文件夾和登錄腳本主文件夾與用戶配置文件類似，也可以用來存放用戶的個人文檔。但該文件夾不會在用戶登錄時自動下載到用戶所在的計(jì)算機(jī)上，所以不會影響用戶的登錄速度。登錄腳本是用戶在登錄時希望自動運(yùn)行的腳本文件，可用于對登錄環(huán)境進(jìn)行初始化。四、域組賬戶組帳戶用于組織用戶賬戶。每個組帳戶可以賦予一定的權(quán)力和權(quán)限。當(dāng)需要給一個用戶賬戶某種權(quán)利或權(quán)限時，只要把它參加相應(yīng)的組即可。一個用戶賬戶可同時隸屬于多個組，它的權(quán)利和權(quán)限是各個組權(quán)限的疊加。在域中允許組的嵌套，即一個組的成員可以是用戶賬戶，也可以是另一個組。本地賬戶的組不能嵌套系統(tǒng)

20、內(nèi)置組在創(chuàng)立域時系統(tǒng)會自動創(chuàng)立一些內(nèi)置組。這些組位于活動目錄中的Builtin容器和Users容器中。常用的內(nèi)置組有：Domain Admins：域管理員組。該組成員具有對本域的完全控制權(quán)。默認(rèn)成員有 Administrator賬戶。Enterprise Admins：企業(yè)管理員組。僅出現(xiàn)在林根域中。該組成員具有對林中所有域的完全控制權(quán)。默認(rèn)成員有 Administrator賬戶。Administrasors：管理員組。該組成員具有對域中所有域控制器的完全控制權(quán)。默認(rèn)成員有 Domain Admins組、Enterprise Admins組、Administrator賬戶。Domain Use

21、rs：域用戶組。默認(rèn)情況下域中創(chuàng)立的所有用戶賬戶都會自動成為該組的成員。Domain Computers：域計(jì)算機(jī)組。默認(rèn)情況下域中所有計(jì)算機(jī)賬戶都會自動成為該組的成員。Domain Controllers：域控制器組。該組包含了此域中的所有域控制器。Domain Guests：域來賓組。該組包含了所有域來賓。Users：用戶組。該組成員可執(zhí)行大局部常見任務(wù)，如運(yùn)行應(yīng)用程序、使用打印機(jī)等。默認(rèn)成員有 Domain Users等，因此域中所有用戶賬戶都會自動成為該組的成員。新建組賬戶在活動目錄上單擊右鍵，選擇“新建 | 組；在彈出的對話框中設(shè)置組名、組類型、組作用域等參數(shù)，就建立了一個組帳戶；雙

22、擊組帳戶，彈出該組帳戶的“屬性對話框，可以變更組帳戶的參數(shù)、向組中添加或刪除成員等。組作用域全局組：成員只來自本地域；成員可以訪問任何域內(nèi)資源。本地域組：成員可來自任何域，成員可訪問本地域內(nèi)的資源。通用組：成員可以來自任何域；成員可以訪問任何域內(nèi)資源。對于單域網(wǎng)絡(luò)，通常只定義全局組和本地域組。對于有信任關(guān)系的多域網(wǎng)絡(luò)，應(yīng)根據(jù)情況授權(quán)某些用戶的跨域訪問權(quán)限。組類型通信組：用于創(chuàng)立電子郵件通信組列表。一般在部署了電子郵件效勞的網(wǎng)絡(luò)定義這種組。平安組：用于給共享資源指派權(quán)限。多數(shù)情況下，我們定義的組都是平安組。組規(guī)劃策略以單域網(wǎng)絡(luò)為例，一般按以下順序規(guī)劃組：1、對本域中的成員，按照其職責(zé)劃分全局組；

23、2、對本域中的資源，按資源種類劃分本地域組；3、以本地域組為單位，為資源設(shè)置訪問權(quán)限；4、把全局組參加到相應(yīng)的本地域組中，使它獲得相應(yīng)的權(quán)限。例：你是某公司的網(wǎng)絡(luò)管理員，你管理的域情況如下：域用戶：經(jīng)理1人財(cái)務(wù)人員2人銷售人員5人共享資源：考勤表，完全訪問經(jīng)理考勤表，只讀銷售人員和財(cái)務(wù)人員財(cái)務(wù)報(bào)表，完全訪問財(cái)務(wù)人員打印機(jī)經(jīng)理和財(cái)務(wù)人員組規(guī)劃：組組作用域成員經(jīng)理全局組zhao財(cái)務(wù)全局組qian、sun銷售全局組li、zhou、wu、 zheng、wang考勤1本地域組經(jīng)理考勤2本地域組財(cái)務(wù)、銷售財(cái)務(wù)表本地域組財(cái)務(wù)打印本地域組經(jīng)理、財(cái)務(wù)權(quán)限設(shè)置權(quán)限盡量以組為單位進(jìn)行設(shè)置，這樣可簡化權(quán)限授予過程。權(quán)

24、限設(shè)置方法：在文件夾或打印機(jī)上單擊右鍵，選擇“屬性。在“平安選項(xiàng)卡中可設(shè)置NTFS訪問權(quán)限；在“共享選項(xiàng)卡中可設(shè)置共享訪問權(quán)限。說明：對共享的資源網(wǎng)絡(luò)訪問權(quán)限需在“共享和“平安選項(xiàng)卡中作同樣的設(shè)置才會有效。小結(jié)域控制器DNS域名：jsj.local域(Domain)是一系列計(jì)算機(jī)、用戶和各種資源的集合。在域模式中，資源是集中進(jìn)行管理的。用戶只要登錄一次，就可以訪問位于不同計(jì)算機(jī)上的資源。每個域中至少有一臺域控制器，用于對域中的資源進(jìn)行登記并管理。練習(xí)題1、簡述一個域網(wǎng)絡(luò)的構(gòu)建過程。第一步：安裝一臺域控制器(同時安裝DNS效勞器)，這樣域就創(chuàng)立了。第二步：為域用戶創(chuàng)立域用戶帳戶。只有擁有域用戶帳戶的人才能登錄到域。第三步：把計(jì)算機(jī)參加域中。只有通過這些計(jì)算機(jī)才能登錄到域中。第四步：將計(jì)算機(jī)中的共享資源參加到域中。2、構(gòu)建多域網(wǎng)絡(luò)時，常用的結(jié)構(gòu)有哪兩種？它們使用什么樣的信任關(guān)系？常用的結(jié)構(gòu)有域樹結(jié)構(gòu)和域林結(jié)構(gòu)。域樹結(jié)構(gòu)通過父子信任關(guān)系搭建；域林結(jié)構(gòu)通過樹根信任關(guān)系搭建。3、域賬戶是在哪臺計(jì)算機(jī)上創(chuàng)立并管理的？使用的控制臺是哪個控制臺？域賬戶是在域控制器上創(chuàng)立并管理的，使用的控制臺是“Active Direct