Win2003系統(tǒng)介紹及服務器部署方法3

實現(xiàn)WindowsServer2003域第四章Version1.0內(nèi)容回顧工作組的特性本地用戶管理創(chuàng)建設(shè)置更改密碼刪除本地組管理創(chuàng)建本地組內(nèi)置組2/36本章目標理解WindowsServer2003環(huán)境下域的特性和組成掌握單域環(huán)境的創(chuàng)建掌握OU（組織單位）的基本應用熟悉域環(huán)境下用戶賬戶和組的應用3/36域域控制器域是基本管理單位域中可包含大量對象計算機用戶打印機共享文件夾域是活動目錄的組成部分OU1DomainComputersUsersOU2UsersPrintersComputer1User1Printer1User2WindowsServer2003域概述OU2OU1User1Computer1Printer1User24/36域域域DomainDomainDomainOUOUOU域樹域森林OU-組織單位對象

域及目錄服務概述活動目錄是一個數(shù)據(jù)庫活動目錄是一個目錄服務可以定制活動目錄簡化的管理可擴展性便捷的網(wǎng)絡資源訪問5/36域、域樹、域森林根域下面可以建立多層子域域和子域構(gòu)建成域樹多棵域樹構(gòu)建成森林域之間自動建立雙向信任關(guān)系A(chǔ)根TB樹雙向信任關(guān)系X雙向信任關(guān)系TB樹6/36OU-組織單位OU是活動目錄中的一種對象OU中可以建立子對象利用OU可以模擬管理模型OUOUOU對象7/36域控制器域控制器是存儲活動目錄數(shù)據(jù)庫的計算機一個域最少一臺域控制器多臺域控制器需要同步數(shù)據(jù)庫域控制器域控制器域復制User1User2User1User2User3User4User3User48/36站點每個地理位置中的若干臺域控制器可以劃分為一個站點站點內(nèi)部優(yōu)先同步活動目錄數(shù)據(jù)庫，同步后再和其他站點中的域控制器同步站點1域控制器遠程線路站點29/36

活動目錄安裝與卸載安裝者必須具有本地管理權(quán)限操作系統(tǒng)必須滿足條件（WindowsServer2003Web版除外都滿足）本地磁盤至少有一個分區(qū)是NTFS文件系統(tǒng)系統(tǒng)盤應該有足夠的剩余空間安裝TCP/IP協(xié)議和相應的DNS服務器支持10/36活動目錄安裝與卸載(Cont.)啟動安裝向?qū)褂霉芾砟姆掌飨驅(qū)褂妹頓CPROMO11/36活動目錄安裝與卸載(Cont.)12/36

OU的創(chuàng)建功能型SCMS–SalesC–ConsultantsM-Marketing混合型例子功能組織位置功能組織位置組織型MERM–ManufacturingE–EngineeringR-Research位置型NFIN–NorwayF–FranceI–Indonesia可以根據(jù)各種因素創(chuàng)建OU13/36域模式Windows2000混合模式域控制器

(Windows2000/Server2003)域控制器

(WindowsNT4.0)WindowsServer2003模式域控制器全部都是

(WindowsServer2003

)Windows2000本機模式域控制器

(Windows2000)域控制器

(WindowsServer2003)域模式是用來為了兼容老版本操作系統(tǒng)的域控制器，而限制某些新的功能。14/36域用戶賬戶本地用戶帳號

(存儲在本地計算機)域用戶帳號

(存儲在活動目錄中)WindowsServer2003域15/36

域用戶賬戶的創(chuàng)建輸入用戶的基本信息和登錄名稱用戶密碼16/36基于位置的設(shè)計UsersNorthAmericaUsersSouthAmerica基于業(yè)務的設(shè)計UsersAccountingUsersSales域用戶賬戶的創(chuàng)建(Cont.)用戶的存放地點17/36帳號選項說明Usermustchangepasswordatnextlogon用戶在下次登錄時必須修改密碼Usercannotchangepassword用戶無權(quán)修改自己的密碼Passwordneverexpires用戶密碼永不過期Accountisdisabled用戶不能使用此帳號登錄域用戶賬戶的創(chuàng)建(Cont.)18/36域用戶賬戶的刪除和移動組織單元1組織單元2域刪除用戶移動用戶直接鼠標拖動19/36配置域用戶賬戶的屬性登錄名登錄時間可以登錄的計算機配置文件/主文件夾20/36組的實現(xiàn)與管理組也可以加入組一個用戶可以加入多個組GroupGroup一個用戶賬戶加入組，就會繼承該組所有的權(quán)限GroupGroupGroupGroupGroupGroup21/36組的分類組的類型說明安全組用于設(shè)置用戶權(quán)限和權(quán)利，也可用于郵件分布列表通訊組只用于郵件分布列表22/36組的作用域與成員資格支持的域控制器WindowsNT?Server4.0,Windows2000,

WindowsServer2003Windows2000,

WindowsServer2003WindowsServer2003支持的組的范圍全局,域本地全局,域本地,通用全局,域本地,通用Windows2000mixed(default)Windows2000nativeWindowsServer200323/36域本地組成員Mixedmode:

任何域中的用戶帳號和全局組Nativemode:

任何域中的用戶帳號、全局組和通用組，以及同一個域中的域本地組

可成為成員Mixedmode:

無Nativemode:

同一個域的域本地組范圍域本地組所屬的域權(quán)限域本地組所屬的域24/36全局組成員Mixedmode:

同一個域的用戶帳號Nativemode:

同一個域的用戶帳號和全局組可成為成員Mixedmode:

任何域的域本地組Nativemode:

任何域的域本地組和通用組，以及同一個域的全局組范圍本域和所有被信任的域權(quán)限森林中所有的域25/36通用組成員Mixedmode:

不可用Nativemode:

森林中任何域中的用戶帳號、全局組、和其他通用組可成為成員Mixedmode:

不可用Nativemode:

任何域中的域本地組和通用組范圍森林中的所有域權(quán)限森林中的所有域26/36管理域中的組創(chuàng)建組設(shè)置組信息添加組成員設(shè)置組管理者27/36

組的成員和隸屬于屬性團隊或組全局組域本地組成員隸屬于N/ADenverAdminsTom,Jo,andKim成員MemberOfN/AVancouverAdminsSam,Scott,andAmy成員隸屬于Tom,Jo,KimDenverOUAdminsDenverAdmins成員隸屬于Tom,Jo,KimDenverOUAdminsDenverAdmins成員隸屬于Sam,Scott,AmyVancouverOUAdminsVancouverAdminsDenverOUAdmins成員隸屬于DenverAdmins,VancouverAdminsN/A28/36本章總結(jié)在WindowsServer2003網(wǎng)絡環(huán)境中，域是最重要的核心管理單元，是活動目錄的主干。活動目錄由域、子域、域樹、域森林、組織單位構(gòu)成。每個域最少由一臺域控制器組成，可以建立若干個而外的域控制器用力實現(xiàn)容錯和提高性能。29/36本章總結(jié)（Cont.）安裝活動目錄需要使用Windows2000Server和WindowsServer2003（web版除外），并需要管理員權(quán)限、DNS服務、NTFS文件系統(tǒng)?？梢詫⒏鞣N客戶端操作系統(tǒng)和服務器操作系統(tǒng)加入到域，如Windows2000/XP/NT/WindowsServer2003，Windows98只能登錄到域，不能算真正意義上的加入域。30/36本章總結(jié)（Cont.）域的模式分別是Windows2000混合模式、Windows2000純模式和WindowsServer2003模式。不同的域模式，會影響到域中新功能的使用。利用OU組織單位可以根據(jù)公司結(jié)構(gòu)、地理位置、部門等建立相對應的邏輯關(guān)系。域用戶賬戶的登錄名在域中是惟一的，而顯示名在當前容器中必須是惟一的。31/36本章總結(jié)（Cont.）每一個域用戶賬戶在有權(quán)限的條件下可以在域中的任何一臺計算機上登錄，并可以訪問任何資源。通過用戶賬戶的屬性，可以使設(shè)置用戶賬戶的登錄時間、允許登錄的計算機、賬戶的過期時間等等。WindowsServer2003域中分為兩大類組，安全組和通信組，其中通信組不能被授予權(quán)限。32/36本章總結(jié)（Cont.）組按作用域分為三種：域本地組、域全局組和通用組。OU是比域更小一級別的邏輯管理單位，可以在OU中建立各種對象，并可以將OU