WindowsServer域及其賬戶管理實用教案

1、第第4章章 Windows Server 2003域及域及其賬戶其賬戶(zhn h)管理管理第1頁/共62頁第一頁，共63頁。第第4章章 Windows Server 2003域及其賬戶域及其賬戶(zhn h)管管理理 第二講第二講 WindowsServer2003域及其賬戶管理域及其賬戶管理 教學標題教學標題 : WindowsServer2003域及其賬戶管理域及其賬戶管理 教學地點教學地點(ddin) :3語音室語音室 教學學時教學學時 :2學時學時第2頁/共62頁第二頁，共63頁。學習學習(xux)目標目標 知識目標:活動目錄的基本概念 能力目標:活動目錄的規(guī)劃(guhu)與安裝域控

2、制器的管理用戶賬戶和計算機賬戶的管理組和組織單位的管理資源發(fā)布和域的管理第3頁/共62頁第三頁，共63頁。第第4章章 WindowscServerc2003c域及其賬戶域及其賬戶(zhn h)管理管理$ $ 教學重點教學重點 : :活動目錄的規(guī)劃活動目錄的規(guī)劃(gu(guhu)hu)與安裝、用戶賬戶和計算機賬戶的管理與安裝、用戶賬戶和計算機賬戶的管理8 8 教學難點教學難點:域控制器的管理、用戶賬戶和計算機賬戶的管理域控制器的管理、用戶賬戶和計算機賬戶的管理第4頁/共62頁第四頁，共63頁。第第4章章 WindowscServerc2003c域及其賬戶域及其賬戶(zhn h)管理管理$ $ 課

3、課 型型:講授講授(ji(jingshu)ngshu)型操作型型操作型$ $ 教學方法教學方法 : :任務(wù)驅(qū)動法、案例教學法任務(wù)驅(qū)動法、案例教學法$ $ 教學手段教學手段:多媒體教學多媒體教學第5頁/共62頁第五頁，共63頁。5.1 概概 述述5.1.1 活動目錄簡介5.1.2 活動目錄的三種(sn zhn)特性 集成性 深入(shnr)性 易用性第6頁/共62頁第六頁，共63頁。5.2 5.2 安裝活動安裝活動(hu dng)(hu dng)目錄目錄5.2.1 活動目錄(ml)的規(guī)劃規(guī)劃DNS規(guī)劃域結(jié)構(gòu)規(guī)劃組織單位(dnwi)結(jié)構(gòu)規(guī)劃委派模式第7頁/共62頁第七頁，共63頁。5.2.2 5.

4、2.2 安裝安裝(nzhung)(nzhung)活動目錄（活動目錄（1 1）安裝活動目錄具體步驟如下：安裝活動目錄具體步驟如下：步驟一，啟動步驟一，啟動(qdng)Windows Server 2003(qdng)Windows Server 2003系統(tǒng)自動打開系統(tǒng)自動打開“Server 2003“Server 2003配置服務(wù)器配置服務(wù)器”窗口，或者選擇窗口，或者選擇“開始開始”/“”/“程程序序”/“”/“管理工具管理工具”/“”/“配置服務(wù)器配置服務(wù)器”，打開如圖，打開如圖5-15-1所示配置所示配置服務(wù)器向?qū)Т翱?。服?wù)器向?qū)Т翱?。步驟二，單擊步驟二，單擊“下一步下一步”，出現(xiàn)一個配置

5、服務(wù)器向?qū)У念A(yù)備步，出現(xiàn)一個配置服務(wù)器向?qū)У念A(yù)備步驟窗口，以確認所提到的步驟已完成。單擊驟窗口，以確認所提到的步驟已完成。單擊“下一步下一步”，出，出現(xiàn)檢測網(wǎng)絡(luò)設(shè)置窗口，如圖現(xiàn)檢測網(wǎng)絡(luò)設(shè)置窗口，如圖5-25-2所示。所示。步驟三，接下來出現(xiàn)配置選項窗口，我們選擇步驟三，接下來出現(xiàn)配置選項窗口，我們選擇“自定義配置自定義配置”選項，單擊選項，單擊“下一步下一步”，出現(xiàn)服務(wù)器角色窗口，也就是你想，出現(xiàn)服務(wù)器角色窗口，也就是你想讓你的服務(wù)器擔任的角色，我們從列表中選擇讓你的服務(wù)器擔任的角色，我們從列表中選擇“域控制器域控制器”。如圖如圖5-35-3所示。單擊所示。單擊“下一步下一步”按鈕，出現(xiàn)確認窗

6、口，以確認按鈕，出現(xiàn)確認窗口，以確認選擇了正確角色。單擊選擇了正確角色。單擊“下一步下一步”，出現(xiàn)，出現(xiàn)“Active “Active DirectoryDirectory安裝向?qū)Т翱诎惭b向?qū)Т翱凇?”,如圖如圖5-45-4所示。所示。也可省去前面步驟，直接通過也可省去前面步驟，直接通過“開始開始”/“”/“運行運行”，打開，打開“運行運行”對話框，輸入對話框，輸入dcpromodcpromo命令，單擊命令，單擊“確定確定”按鈕，打開如圖按鈕，打開如圖5-5-4 4所示的對話框。所示的對話框。第8頁/共62頁第八頁，共63頁。圖5-1 “Server 2003配置(pizh)服務(wù)器”窗口 圖5

7、-2 顯示活動目錄內(nèi)容5.2.2 5.2.2 安裝活動安裝活動(hu dng)(hu dng)目錄（目錄（2 2）第9頁/共62頁第九頁，共63頁。5.2.2 5.2.2 安裝安裝(nzhung)(nzhung)活動目錄（活動目錄（3 3）步驟四，單擊“下一步”，打開“操作系統(tǒng)兼容性”對話框。其大意是早期(zoq)的Windows版本無法登錄Windows Server 2003創(chuàng)建的域。圖5-3 服務(wù)器角色(ju s)配置窗口第10頁/共62頁第十頁，共63頁。5.2.2 5.2.2 安裝活動安裝活動(hu dng)(hu dng)目錄（目錄（4 4）步驟五，單擊“下一步(y b)”，“Ac

8、tive Directory安裝向?qū)А睍儐栃陆ǖ挠蚩刂破鞯男再|(zhì)，如圖5-5，我們選擇“新域的域控制器”。圖5-4 Active Directory安裝向?qū)?xingdo)窗口第11頁/共62頁第十一頁，共63頁。5.2.2 5.2.2 安裝活動安裝活動(hu dng)(hu dng)目錄（目錄（5 5）步驟六，單擊“下一步”，打開如圖5-6所示的“創(chuàng)建一個新域”對話框，如果所創(chuàng)建的域為單位的第一個域，或者希望所創(chuàng)建的新域獨立于現(xiàn)有目錄林，可選擇“新林中的域”。如果希望新的域成為現(xiàn)有域的子域，則選擇“現(xiàn)有域中的子域”。如想創(chuàng)建一個與現(xiàn)有域樹分開(fn ki)的、新的域樹，則選擇“在現(xiàn)有林中的域

9、樹”。這里我們選擇“新林中的域”。 圖5-5 選擇域控制器的類型(lixng) 圖5-6 選擇創(chuàng)建域的類型(lixng)第12頁/共62頁第十二頁，共63頁。5.2.2 5.2.2 安裝活動安裝活動(hu dng)(hu dng)目錄（目錄（6 6）步驟七，單擊“下一步”，打開如圖5-7所示的指定域名對話框，在“新域的DNS全名”文本框中輸入新建域的DNS全名，例如(lr)。步驟八，單擊“下一步”，打開如圖5-8所示的“NetBIOS域名”對話框，在“域NetBIOS名”文本框中輸入NetBIOS域名，或者接受顯示的名稱。NetBIOS域名是供早期的Windows用戶用來識別新域的。 圖5-7

10、 指定(zhdng)新域名 圖5-8 指定(zhdng)NetBIOS第13頁/共62頁第十三頁，共63頁。5.2.2 5.2.2 安裝安裝(nzhung)(nzhung)活動目錄（活動目錄（7 7）步驟九，單擊“下一步”，打開如圖5-9所示的“數(shù)據(jù)庫和日志文件文件夾”對話框，在“數(shù)據(jù)庫文件夾”文本框中輸入保存數(shù)據(jù)庫的位置，或者單擊“瀏覽”按鈕選擇路徑，在“日志文件夾”文本框中輸入保存日志的位置或單擊“瀏覽”按鈕選擇路徑。注意，基于最佳性和可恢復(fù)性的考慮(kol)，最好將活動目錄的數(shù)據(jù)庫和日志保存在不同的硬盤上。步驟十，單擊“下一步”，打開如圖5-10所示的“共享的系統(tǒng)卷”對話框，在Serve

11、r 2003中，Sysvol文件夾存放域的公用文件的服務(wù)器副本，它的內(nèi)容將被復(fù)制到域中的所有域控制器上。在“文件夾位置”文本框中輸入Sysvol文件夾位置，如本例中對應(yīng)文件夾為c:WINNTSYSVOL，或單擊“瀏覽”按鈕選擇路徑。步驟十一，單擊“下一步”，會出現(xiàn)“Active Directory安裝向?qū)А钡腄NS注冊診斷程序?qū)υ捒?，如圖5-11。我們選擇“在這臺計算機上安裝并配置DNS服務(wù)器，并將這臺DNS服務(wù)器設(shè)為計算機的首選DNS服務(wù)器”。第14頁/共62頁第十四頁，共63頁。5.2.2 5.2.2 安裝活動安裝活動(hu dng)(hu dng)目錄（目錄（8 8）圖5-9 指定活動目

12、錄的數(shù)據(jù)庫和日志(rzh)文件的文件夾圖5-10 指定(zhdng)系統(tǒng)卷共享文件夾第15頁/共62頁第十五頁，共63頁。5.2.2 5.2.2 安裝安裝(nzhung)(nzhung)活動目錄（活動目錄（9 9）步驟十二，單擊“下一步”，打開如圖5-12所示的“權(quán)限”對話框，為用戶和組選擇默認權(quán)限，如果單位中還存在(cnzi)或?qū)⒁肳indows 2000的以前版本，選擇“與Windows 2000之前的服務(wù)器操作系統(tǒng)兼容的權(quán)限”。否則，選擇“只與Windows 2000或Windows Server 2003操作系統(tǒng)兼容的權(quán)限”。 圖5-11 DNS注冊(zhc)診斷 圖5-12 權(quán)限設(shè)

13、置第16頁/共62頁第十六頁，共63頁。5.2.2 5.2.2 安裝活動安裝活動(hu dng)(hu dng)目錄（目錄（1010）步驟十三，單擊“下一步”，打開“目錄服務(wù)(fw)還原模式的管理員密碼”對話框，如圖5-13所示，輸入并牢記該密碼，以備將來目錄服務(wù)(fw)還原模式下使用。步驟十四，單擊“下一步”，打開“摘要”對話框，如圖5-14所示。通過該對話框，用戶可檢查并確認設(shè)置的各個選項。圖5-13 輸入目錄服務(wù)恢復(fù)模式管理員密碼(m m) 圖5-14 確認選定的選項第17頁/共62頁第十七頁，共63頁。步驟十五，單擊“下一步”，系統(tǒng)開始配置活動目錄，中間將需要(xyo)Windows

14、Server 2003 安裝光盤，如圖5-15所示。此時如果將2003光盤放入光驅(qū)，系統(tǒng)會自動完成對DNS服務(wù)器得配置。步驟十六，經(jīng)過幾分鐘之后，配置完成。同時，打開“完成Active Directory安裝向?qū)А睂υ捒?，如圖5-16所示，單擊“完成”，即完成活動目錄的安裝。圖5-15 配置活動目錄(ml) 圖5-16 完成活動目錄(ml)的安裝 5.2.2 5.2.2 安裝活動安裝活動(hu dng)(hu dng)目錄（目錄（1111）第18頁/共62頁第十八頁，共63頁。5.2.2 5.2.2 安裝活動安裝活動(hu dng)(hu dng)目錄（目錄（1212）活動目錄安裝(nzhun

15、g)完成之后，必須重新啟動計算機，活動目錄才會生效。注意：在活動目錄安裝(nzhung)之后，不但服務(wù)器的開機和關(guān)機時間變長，而且系統(tǒng)的執(zhí)行速度變慢。所以，如果用戶對某個服務(wù)器沒有特別要求或不把它作為域控制器來使用，可將該服務(wù)器上的活動目錄刪除，使其降級為成員服務(wù)器或獨立服務(wù)器。成員服務(wù)器是指安裝(nzhung)到現(xiàn)有域中的附加域控制器；獨立服務(wù)器是指在名稱空間目錄樹中直接位于另一個域名之下的服務(wù)器。刪除活動目錄使服務(wù)器成為成員服務(wù)器還是獨立服務(wù)器，取決于該服務(wù)器的域控制器的類型。如果要刪除活動目錄的服務(wù)器不是域中的唯一的域控制器，則刪除活動目錄將使該服務(wù)器成為成員服務(wù)器；如果要刪除活動目錄的

16、服務(wù)器是域中最后一個域控制器，則刪除活動目錄將使該服務(wù)器成為獨立服務(wù)器。要刪除活動目錄，打開“開始”菜單，選擇“運行”命令，打開“運行”對話框，輸入dcpromo命令，然后單擊“確定”按鈕，打開“Active Directory安裝(nzhung)向?qū)А睂υ捒颍⒀刂驅(qū)нM行刪除，這里不再細述其過程。 第19頁/共62頁第十九頁，共63頁。5.2.3 5.2.3 檢驗檢驗(jinyn)(jinyn)安裝結(jié)果安裝結(jié)果在安裝完成后，可以通過以下方法檢驗Active Directory安裝是否正確，在安裝過程(guchng)中一項最重要的工作是在DNS數(shù)據(jù)庫中添加服務(wù)記錄（SRV記錄），下面介紹一下

17、如何檢查安裝結(jié)果。1檢查DNS文件的SRV記錄。用文本編輯器打開%SystemRoot%/system32/config/中的Netlogon.dns文件，察看LDAP服務(wù)記錄，在本例中為_ldap._. 600 IN SRV 0 100 389 。2驗證SRV記錄在NSLOOKUP命令工具中運行是否正常。（1）在命令提示行下，輸入NSLOOKUP；（2）輸入set type=srv；（3）輸入_ldap._。如果返回了服務(wù)器名和IP地址，說明SRV記錄工作正常。 第20頁/共62頁第二十頁，共63頁。5.3 域控制器管理域控制器管理(gunl)域（Domain）是活動目錄的分區(qū)，定義了安全邊

18、界，在沒經(jīng)過授權(quán)(shuqun)的情況下，不允許其他域中的用戶訪問本域中的資源?；顒幽夸浛捎梢粋€或多個域組成，每一個域可以存儲上百萬個對象，域之間還有層次關(guān)系，可以建立域樹和域林，如圖5-17、5-18所示，進行無限地域擴展。圖中的雙箭頭表示域之間的信任關(guān)系，Server 2003中域的信任關(guān)系都是雙向和可傳遞的。 域的信任關(guān)系域的信任關(guān)系圖 5-17 域樹 圖 5-18 域林 第21頁/共62頁第二十一頁，共63頁。5.3.1 設(shè)置設(shè)置(shzh)域控制器屬性（域控制器屬性（1）設(shè)置域控制器屬性，具體步驟如下：步驟一，選擇“開始”/“程序”/“管理工具”/“Active Directory用

19、戶與計算機”菜單，打開“Active Directory用戶與計算機”管理窗口，如圖5-19所示。步驟二，在控制臺目錄樹中，雙擊展開域節(jié)點。單擊Domain Controllers子節(jié)點。步驟三，在詳細資料窗格中，右擊要設(shè)置屬性的域控制器，從彈出的快捷菜單中選擇“屬性”，打開該控制器的“屬性”對話框，如圖5-20所示。步驟四，在“常規(guī)”選項卡的“描述”文本框中輸入對域控制器的一般描述。如果不希望域控制器的可受信任(xnrn)用來作為委派，可禁用“信任(xnrn)計算機作為委派”復(fù)選框。步驟五，選擇“操作系統(tǒng)”選項卡，在該選項卡中，顯示出操作系統(tǒng)的名稱、版本以及Service Pack，管理員只

20、能查看并不能修改這些內(nèi)容。步驟六，選擇如圖5-21所示的“隸屬于”選項卡，要添加組，單擊“添加”按鈕，打開“選擇組”對話框為域控制器選擇一個要添加的組；要刪除某個已經(jīng)添加的組，在“成員屬于”列表框選擇該組，然后單擊“刪除”按鈕即可。第22頁/共62頁第二十二頁，共63頁。5.3.1 設(shè)置設(shè)置(shzh)域控制器屬性（域控制器屬性（2）圖5-19 Active Directory用戶(yngh)和計算機窗口第23頁/共62頁第二十三頁，共63頁。5.3.1 設(shè)置設(shè)置(shzh)域控制器屬性（域控制器屬性（3） 步驟七，當管理員為域控制器添加多個組時，還可為域控制器設(shè)置一個主要組。要設(shè)置主要組，在

21、“隸屬于”列表框中選擇要設(shè)置的主要組，一般為Domain Controllers，也可為Cert Publishers，然后單擊“設(shè)置主要組”按鈕即可。 步驟八，選擇“位置”選項卡，可以設(shè)置域控制器的位置。步驟九，選擇“管理者”選項卡，要更改域控制器的管理者，可單擊“更改”按鈕，打開“選擇用戶或聯(lián)系人”對話框，選擇新的管理人即可。要刪除管理者，可單擊“清除”按鈕來刪除；要查看和修改管理者屬性，可單擊“查看”按鈕，打開該管理者屬性對話框來進行操作。 步驟十，域控制器設(shè)置完畢(wnb)，單擊“確定”按鈕保存設(shè)置。 第24頁/共62頁第二十四頁，共63頁。5.3.1 設(shè)置設(shè)置(shzh)域控制器屬性

22、（域控制器屬性（4）圖5-20 設(shè)置(shzh)域控制器屬性 圖5-21 設(shè)置(shzh)成員組 第25頁/共62頁第二十五頁，共63頁。5.3.2 查找查找(ch zho)域控制器目錄內(nèi)容（域控制器目錄內(nèi)容（1）要查找目錄內(nèi)容，可參照如下步驟：步驟一，在“Active Directory用戶和計算機”窗口的控制臺目錄樹中，鼠標右擊域節(jié)點，在彈出的快捷菜單中選擇“查找”命令，打開“查找用戶聯(lián)系人及組”對話框，如圖5-22所示。步驟二，在“查找”下拉列表框中可以選擇要查找的目錄內(nèi)容，包括“用戶、聯(lián)系人及組”、“計算機”、“打印機”、“共享文件夾”、“組織(zzh)單位”、“自定義搜索”等。例如，

23、在列表中選擇“計算機”，如圖5-23所示。在“范圍”下拉列表框中選擇查找范圍，如整個目錄。步驟三，在“計算機”選項卡中，設(shè)置查找條件。例如，在“計算機”文本框中輸入要查找的計算機名，在“所有者”文本框中輸入計算機的用戶名，在“作用”下拉列表框中選擇計算機在網(wǎng)絡(luò)中作用。步驟四，單擊“高級”選項卡，要設(shè)置高級查找條件，單擊“字段”按鈕，從彈出的快捷菜單中選擇設(shè)置條件的選項，然后在“條件”下拉列表框和“值”文本框中設(shè)置查詢條件。第26頁/共62頁第二十六頁，共63頁。5.3.2 查找查找(ch zho)域控制器目錄內(nèi)容（域控制器目錄內(nèi)容（2）步驟五，高級條件設(shè)置好之后，單擊“添加”按鈕，將條件添加到

24、下面的文本框中。如果要繼續(xù)添加高級條件，可按照上面步驟繼續(xù)添加。步驟六，所有(suyu)查找條件設(shè)置完畢，單擊“開始查找”按鈕即開始查找，并將查找結(jié)果列出，如圖5-23下面窗口所示。圖5-22 “查找(ch zho)用戶聯(lián)系人及組”對話框圖圖5-23 列出查找結(jié)果 第27頁/共62頁第二十七頁，共63頁。5.3.3 連接連接(linji)到其他域到其他域在一個多域的網(wǎng)絡(luò)中，用戶經(jīng)常需要將當前域連接到其他域，這樣可使當前域中的用戶和計算機訪問其他域中的資源，也可將當前域控制器的部分操作主機功能傳送給其他域控制器，甚至可將當前域控制器更改為其他域中的域控制器。要連接到網(wǎng)絡(luò)中其他域，在控制臺目錄樹中

25、，鼠標右擊“Active Directory用戶和計算機”根結(jié)點(ji din)，從彈出的快捷菜單中選擇“連接到域”命令，打開如圖5-24所示的“連接到域”對話框，在“域”文本框中輸入要連接的域的名稱；或者單擊“瀏覽”，打開“瀏覽域”對話框選擇要連接的域，單擊“確定”即可建立連接。圖5-24 連接(linji)到其他域 注意：一般情況下，一個域網(wǎng)絡(luò)中至少應(yīng)有兩個域控制器（一個域控制器和一個附加域控制器），以便在當前域控制器出現(xiàn)故障時，可使用附加域控制器來代替當前域控制器，保證網(wǎng)絡(luò)的正常運行。第28頁/共62頁第二十八頁，共63頁。5.3.4 更改更改(gnggi)域控制器域控制器要更改域控制器

26、，在控制臺目錄樹中，鼠標右擊“Active Directory用戶和計算機”根節(jié)點，從彈出的快捷菜單中選擇“連接到域控制器”，打開如圖5-25所示的“連接到域控制器”對話框。在“輸入另一個域控制器的名稱”文本框中輸入要連接的域控制器；或者從域控制器列表中選擇一個要連接的域控制器。如果在域中沒有列出其他可用的域控制器，可選擇“任何可寫的域控制器”選項，系統(tǒng)會根據(jù)網(wǎng)絡(luò)連接情況自動選擇可用的域控制器。要連接的域控制器選定(xun dn)之后，單擊“確定”按鈕完成連接。 圖5-25 連接(linji)到域控制器第29頁/共62頁第二十九頁，共63頁。5.4 用戶用戶(yngh)和計算機賬戶管理和計算機

27、賬戶管理5.4.1 用戶和計算機賬戶(zhn h)簡介 用戶(yngh)賬戶 計算機賬戶 第30頁/共62頁第三十頁，共63頁。5.4.2 創(chuàng)建創(chuàng)建(chungjin)用戶和計算機賬戶（用戶和計算機賬戶（1）用戶賬戶的創(chuàng)建可參照如下步驟：步驟一，在“Active Directory用戶和計算機”窗口的控制臺目錄樹中，雙擊展開(zhn ki)域節(jié)點。步驟二，如果要創(chuàng)建用戶賬戶，鼠標右擊要添加用戶的組織單位或容器，從彈出的快捷菜單中選擇“新建”/“用戶”，打開如圖5-26所示的對話框。步驟三，在“姓”和“名”文本框中分別輸入姓和名，并在“用戶登錄名”文本框中輸入用戶登錄時使用的名字。步驟四，單擊“

28、下一步”，打開如圖5-27所示的對話框。步驟五，在“密碼”和“確認密碼”文本框中輸入要為用戶設(shè)置的密碼。如果希望用戶下次登錄時更改密碼，可選擇“用戶下次登錄時須更改密碼”，否則選擇“用戶不能更改密碼”。如果希望密碼永遠不過期，可選擇“密碼永不過期”。如果暫不啟用該用戶賬戶，可選擇“賬戶已禁用”。步驟六，單擊“下一步”按鈕即可完成創(chuàng)建。創(chuàng)建計算機賬戶方法同上，只需在上述第2步中選擇“計算機”，在彈出的對話框中輸入該計算機的名稱，單擊“確定”即可。第31頁/共62頁第三十一頁，共63頁。5.4.2 創(chuàng)建用戶創(chuàng)建用戶(yngh)和計算機賬戶（和計算機賬戶（2）圖5-26 新建用戶 圖5-27 密碼(

29、m m)設(shè)置第32頁/共62頁第三十二頁，共63頁。5.4.3 5.4.3 刪除刪除(shnch)(shnch)用戶和計算機賬戶用戶和計算機賬戶 要刪除一個用戶和計算機賬戶，在控制臺目錄樹中，展開域節(jié)點。單擊要刪除的用戶或者(huzh)計算機所在的組織單位或容器，在詳細資料窗格中，鼠標右擊要刪除的用戶或者(huzh)計算機，從彈出的快捷菜單中選擇“刪除”，出現(xiàn)信息確認框后，單擊“是”即可刪除該用戶或者(huzh)計算機。 5.4.4 5.4.4 停用用戶停用用戶(yngh)(yngh)和計算機賬戶和計算機賬戶 停用用戶賬戶，在控制臺目錄樹中，展開域節(jié)點。單擊要停用的用戶賬戶或者計算機所在的組織

30、單位或容器，在詳細資料窗格中，右擊要停用的用戶或者計算機賬戶，從彈出的快捷菜單中選擇“停用賬戶”命令，出現(xiàn)信息確認框后，單擊“是”按鈕即可停用被選用戶或者計算機賬戶。 第33頁/共62頁第三十三頁，共63頁。5.4.5 5.4.5 移動用戶和計算機賬戶移動用戶和計算機賬戶(zhn h)(zhn h)要移動用戶和計算機賬戶，在控制臺目錄樹中，展開域節(jié)點。單擊要移動用戶或者計算機賬戶所在的組織單位或容器(rngq)，在詳細資料窗格中，鼠標右擊要移動的用戶賬戶，從彈出的快捷菜單中選擇“移動”，打開“移動”對話框，在“將對象移動到容器(rngq)”對話框中雙擊域節(jié)點，展開該節(jié)點，如圖5-28所示。單擊

31、移動的目標組織單位，然后單擊“確定”即可完成移動。圖5-28 移動(ydng)賬戶第34頁/共62頁第三十四頁，共63頁。5.4.6 為用戶和計算機賬戶為用戶和計算機賬戶(zhn h)添加組添加組要為用戶賬戶添加組，在控制臺目錄樹中，展開域節(jié)點，鼠標單擊要加入(jir)組的用戶所在的組織單位或容器，在詳細資料窗口中，鼠標右鍵單擊該用戶賬戶，從彈出的快捷菜單中選擇“添加到組”，打開如圖5-29所示的“選擇組”對話框，可以直接輸入組對象的名稱，也可以打開“高級”選項卡進行查找。然后在組列表框中選擇一個要添加的組，單擊“確定”按鈕即可為用戶添加組。要為計算機賬戶添加組，在控制臺目錄樹中，展開域節(jié)點，

32、鼠標單擊“計算機”或者要加入(jir)組的計算機所在的組織單位及容器，在詳細資料窗口中，鼠標右鍵單擊該計算機賬戶，從彈出的快捷菜單中選擇“屬性”命令，打開該計算機的屬性對話框。然后單擊“成員屬于”標簽，打開“隸屬于”選項卡，單擊“添加”按鈕，打開“選擇組”對話框選擇要加入(jir)的組，單擊“確定”按鈕完成添加。 圖5-29 為用戶(yngh)添加組 第35頁/共62頁第三十五頁，共63頁。5.4.7 5.4.7 重設(shè)用戶密碼重設(shè)用戶密碼(m m) (m m) 5.4.8 5.4.8 管理客戶計算機管理客戶計算機 要重新設(shè)置用戶密碼，在控制臺目錄樹中，展開域節(jié)點。然后單擊包含要重新設(shè)置密碼的用

33、戶的組織單位或容器，在詳細資料窗口中，鼠標右鍵單擊該用戶賬戶，從彈出的快捷菜單中選擇“重設(shè)密碼”，打開 “重設(shè)密碼”對話框，在“新密碼”和“確認密碼”文本框中輸入要設(shè)置的新密碼。如果允許用戶更改密碼，可選擇“用戶下次(xi c)登錄時須更改密碼”復(fù)選框。單擊“確定”按鈕保存設(shè)置，同時系統(tǒng)會打開確認信息框，單擊“確定”按鈕可完成設(shè)置。 要管理客戶計算機，在控制臺目錄樹中，展開域節(jié)點。然后單擊要管理的計算機所在的組織單位，鼠標右鍵單擊該計算機，從彈出的快捷菜單中選擇“管理”命令，打開該計算機的計算機管理窗口。在該窗口中，管理員可以對連接的計算機進行系統(tǒng)工具、存儲、服務(wù)器應(yīng)用程序和服務(wù)等方面的管理。

34、例如可以對該計算機上的用戶進行管理。 第36頁/共62頁第三十六頁，共63頁。5.5 組和組織單位組和組織單位(dnwi)的管理的管理 v 組是Server 2003從Windows 2000系統(tǒng)繼承下來的安全管理形式，它是指活動(hu dng)目錄或本地計算機對象，包含用戶、聯(lián)系人、計算機和其他組等。在Server 2003中，組可以用來管理用戶和計算機對網(wǎng)絡(luò)資源的訪問，例如活動(hu dng)目錄對象及其屬性、網(wǎng)絡(luò)共享、文件、目錄、打印機隊列，還可以篩選組策略。使用組，方便了管理訪問目的和權(quán)限相同的一系列用戶和計算機賬戶。v 組織單位（Organizational Unit，OU）是域中包

35、含的一類目錄對象，它包括域中一些用戶、計算機和組、文件與打印機等資源。不過，組織單位不能包含其他域中的對象。由于活動(hu dng)目錄服務(wù)把域又詳細的劃分成組織單位，且組織單位中還可以再劃分下級組織單位，因此組織單位的分層結(jié)構(gòu)可用來建立域的分層結(jié)構(gòu)模型，進而可使用戶把網(wǎng)絡(luò)所需的域的數(shù)量減至最小。v 注意：組和組織單位有很大的不同。組主要用于權(quán)限設(shè)置，而組織單位則主要用于網(wǎng)絡(luò)構(gòu)建；另外，組織單位只表示單個域中的對象集合（可包括組對象），而組可以包含用戶、計算機、本地服務(wù)器上的共享資源、單個域、域目錄樹或目錄林。 第37頁/共62頁第三十七頁，共63頁。5.5.1 5.5.1 創(chuàng)建創(chuàng)建(chun

36、gjin)(chungjin)新組和組織單位新組和組織單位 要創(chuàng)建新組，在控制臺目錄樹中，展開域節(jié)點。鼠標右鍵單擊要進行組創(chuàng)建的組織單位或容器(rngq)，從彈出的快捷菜單中選擇“新建”/“組”命令，打開如圖5-30所示的對話框，在“組名”文本框中輸入要創(chuàng)建的組名。在“組作用域”選項區(qū)域中，選擇單選按鈕來確定組的作用域；在“組類型”選項區(qū)域中，通過單選按鈕來選擇新組的類型。單擊“確定”按鈕即完成組的創(chuàng)建。要添加組織單位，在控制臺目錄樹中，展開域節(jié)點。鼠標右鍵單擊域節(jié)點或者可添加組織單位的文件夾節(jié)點，從彈出的快捷菜單中選擇“新建”/“組織單位”命令，在打開的對話框的“名稱”文本框中輸入新創(chuàng)建組織

37、單位的名稱，單擊“確定”即可。圖5-30 創(chuàng)建(chungjin)組第38頁/共62頁第三十八頁，共63頁。5.5.2 5.5.2 刪除組和組織刪除組和組織(zzh)(zzh)單位單位 要刪除(shnch)組和組織單位，在控制臺目錄樹中，展開域節(jié)點。鼠標單擊要刪除(shnch)的組或組織單位所在的組織單位，詳細資料窗格中會列出該組織單位的內(nèi)容。然后鼠標右鍵單擊要刪除(shnch)的組或組織單位，選擇快捷菜單中“刪除(shnch)”命令，這時系統(tǒng)會打開信息確認框，單擊“是”按鈕即完成組或組織單位的刪除(shnch)。第39頁/共62頁第三十九頁，共63頁。5.5.3 委派控制組或組織委派控制組或

38、組織(zzh)單位（單位（1） 如果要對某個組或組織單位進行委派控制，可參照下面的步驟：步驟一，在“Active Directory用戶與計算機”窗口的控制臺目錄樹中，鼠標雙擊展開域節(jié)點。步驟二，鼠標右鍵單擊要委派控制的組織單位或組節(jié)點，例如Users，從彈出的快捷菜單中選擇“委派控制”命令，進入“控制委派向?qū)А贝翱?，單擊“下一步”按鈕。步驟三，在打開的“用戶和組”對話框中，單擊“添加”按鈕，打開“選擇用戶、計算機或組”對話框，你可以直接輸入一個或多個要委派控制的用戶或組，也可單擊“高級”選項卡進行查找，從列表中選擇一個或多個要委派控制的用戶或組。步驟四，選擇之后單擊“確定”按鈕，則在圖5-3

39、1中的“輸入對象名來選擇”文本框中會出現(xiàn)所選對象，單擊“確定”。步驟五，在打開的窗口中單擊“下一步”按鈕，打開“要委派的任務(wù)”對話框。我們可以選擇要委派的常見任務(wù)。我們這里選擇“創(chuàng)建(chungjin)自定義任務(wù)去委派”選項。步驟六，單擊“下一步”按鈕，打開如圖5-32所示對話框。指定委派任務(wù)范圍。如果要委派的對象為整個文件夾，可選擇“這個文件夾”，如果要委派的對象只是文件夾中的對象，可選擇“文件夾中的對象”，并在“對象類型”列表框中通過復(fù)選框來選擇對象。 第40頁/共62頁第四十頁，共63頁。5.5.3 委派控制組或組織委派控制組或組織(zzh)單位（單位（2）圖5-31選擇(xunz)用戶

40、和組 步驟七，單擊“下一步”按鈕，打開(d ki)“權(quán)限”對話框，如圖5-33所示。通過選擇“要委派的權(quán)限”復(fù)選框來選擇要委派的權(quán)限，例如選擇“讀取”、“創(chuàng)建所有子對象”等復(fù)選框設(shè)置相應(yīng)權(quán)限。注意，對不同資源進行控制委派，配置向?qū)в兴煌?第41頁/共62頁第四十一頁，共63頁。5.5.3 委派控制組或組織委派控制組或組織(zzh)單位（單位（3）圖5-32 定義要委派控制任務(wù) 圖5-33 指定(zhdng)委派權(quán)限第42頁/共62頁第四十二頁，共63頁。5.5.4 5.5.4 設(shè)置組織設(shè)置組織(zzh)(zzh)單位屬性（單位屬性（1 1） 要設(shè)置組織單位的屬性，可參照下面的步驟。步驟一，

41、在控制臺目錄樹中，鼠標右鍵單擊要設(shè)置屬性的組織單位，從彈出的快捷菜單中選擇“屬性”命令(mng lng)，打開該組織單位的屬性對話框，如圖5-34所示。步驟二，在“常規(guī)”選項卡中，可以設(shè)置“描述”、“省/自治區(qū)”、“縣市”、“街道”和“郵政編碼”等計算機和用戶常規(guī)信息。 圖5-34 設(shè)置(shzh)屬性 圖5-35 管理組策略第43頁/共62頁第四十三頁，共63頁。5.5.4 5.5.4 設(shè)置組織單位設(shè)置組織單位(dnwi)(dnwi)屬性（屬性（2 2）步驟三，選擇“管理者”選項卡，單擊“更改”按鈕，打開“選擇用戶或聯(lián)系人”對話框選擇一個用戶或聯(lián)系人作為管理者；管理者更改之后，單擊“屬性”按

42、鈕，可打開所更改的管理者的屬性對話框，管理員可對管理者的屬性進行修改，如果要清除管理者，單擊“清除”按鈕即可。步驟四，單擊“組策略”選項卡，如圖5-35所示。要新建一個組策略對象，單擊“新建”按鈕，在“組策略對象鏈接”列表框中會出現(xiàn)一個新的組策略對象，在其名稱文本框中為新策略輸入一個有意義的名稱。步驟五，單擊“編輯”按鈕，會打開如圖5-36所示的“組策略編輯器”窗口。在該窗口中，管理員可對創(chuàng)建的組策略進行編輯，包括計算機配置和用戶配置兩個方面。如圖5-36所示可以對計算機配置中的“登錄”策略進行編輯，例如登錄時是否顯示歡迎界面，啟動和登錄是否等待網(wǎng)絡(luò)等性質(zhì)進行設(shè)置。編輯完畢，關(guān)閉窗口。步驟六，

43、要設(shè)置某個(mu )組策略對象的屬性，在圖5-35中組策略對象鏈接列表中選擇對象，單擊“屬性”按鈕，打開該對象屬性對話框，進行“常規(guī)”、“鏈接”和“安全”方面的設(shè)置。步驟七，在列表中，不同位置的組策略對象具有不同的優(yōu)先級，較高位置的組策略對象比較低位置的組策略對象優(yōu)先級高。所以，管理員可以改變組策略對象在列表中的位置來決定組策略對象的應(yīng)用級別。要改變某個(mu )組策略對象在列表中的位置，選擇該對象，單擊“向上”或“向下”按鈕即可上移或下移該對象。如果要刪除某個(mu )組策略對象，在列表中選擇該對象，然后單擊“刪除”按鈕即可。 第44頁/共62頁第四十四頁，共63頁。5.5.4 5.5.4

44、設(shè)置設(shè)置(shzh)(shzh)組織單位屬性（組織單位屬性（3 3）圖5-36 編輯(binj)組策略 第45頁/共62頁第四十五頁，共63頁。5.5.4 5.5.4 設(shè)置設(shè)置(shzh)(shzh)組織單位屬性（組織單位屬性（4 4）步驟八，用戶要配置某個組策略對象(duxing)的選項，在如圖5-35組策略鏈接列表中選擇“策略”對象(duxing)，單擊“選項”按鈕，打開該組策略對象(duxing)的選項對話框，如圖5-37所示。在“鏈接選項”選項區(qū)域中，選擇“禁止替代”復(fù)選框，可防止其他組策略對象(duxing)替代這個組對象(duxing)中的策略集；啟用“已禁用”復(fù)選框，可暫時禁用該

45、策略，需要啟用時，禁用“已禁用”復(fù)選框即可。然后單擊“確定”按鈕返回到組策略選項卡。步驟九， 如果要防止組策略被下一級組織單位所繼承，可啟用“阻止策略繼承”復(fù)選框（見圖5-35）。最后單擊“關(guān)閉”按鈕保存屬性設(shè)置。 圖5-37 配置(pizh)組策略對象選項 第46頁/共62頁第四十六頁，共63頁。5.5.5 5.5.5 設(shè)置設(shè)置(shzh)(shzh)組屬性（組屬性（1 1） 要設(shè)置組的屬性，具體步驟如下：步驟一，在控制臺目錄樹中鼠標單擊要設(shè)置屬性的組所在的組織單位或容器，在詳細資料窗口中，鼠標右鍵單擊要添加成員的組，從彈出的快捷菜單中選擇“屬性”命令，打開該組的屬性對話框，如圖5-38所示

46、。步驟二，為了便于管理，在“描述(mio sh)”和“注釋”文本框中分別輸入有關(guān)該組的描述(mio sh)和注釋；可以修改組名稱；為了便于組管理員與組成員交換信息，在“電子郵件”文本框中輸入組管理員的電子郵件地址。 圖5-38 設(shè)置常規(guī)屬性(shxng) 圖5-39 添加成員到組第47頁/共62頁第四十七頁，共63頁。5.5.5 5.5.5 設(shè)置設(shè)置(shzh)(shzh)組屬性（組屬性（2 2）步驟(bzhu)三，單擊“成員”選項卡，如圖5-39所示。要添加成員，單擊“添加”，打開“選擇用戶聯(lián)系人或計算機”對話框選擇要添加的成員。要刪除組成員，在“成員”列表框中選擇要刪除的組成員，然后單擊“

47、刪除”即可。步驟(bzhu)四，用戶設(shè)置新組的權(quán)限,主要通過向新組添加內(nèi)置組來實現(xiàn)。選擇“隸屬于”選項卡，單擊“添加”，打開“選擇組”對話框，為自己創(chuàng)建的組選擇內(nèi)置組。要刪除某個組權(quán)限，在“隸屬于”列表框中選擇該組，單擊“刪除”即可。步驟(bzhu)五，要設(shè)置組的管理者，選擇“管理者”選項卡。要更改組管理者，單擊“更改”按鈕，打開“選擇用戶或聯(lián)系人”對話框選擇管理者；要查看管理者的屬性，單擊“屬性”按鈕進行查看；如果要清除管理者對組的管理，單擊“清除”按鈕即可。步驟(bzhu)六，屬性設(shè)置完畢，單擊“確定”按鈕保存設(shè)置并關(guān)閉屬性對話框。 第48頁/共62頁第四十八頁，共63頁。5.6 5.6

48、資源資源(zyun)(zyun)發(fā)布和域的管理發(fā)布和域的管理 5.6.1 資源發(fā)布的管理一、資源的發(fā)布1公布共享文件夾的步驟如下：（1）運行“管理工具”/“Active Directory域和信任關(guān)系(gun x)”管理應(yīng)用程序；（2）在控制臺樹中，鼠標雙擊“域節(jié)點”；（3）鼠標右鍵單擊想在其中添加共享文件夾的文件夾，指向“新建”并單擊“共享文件夾”對話框，如圖5-40所示；（4）鍵入文件夾的名稱和網(wǎng)絡(luò)路徑；（5）單擊“確定”按鈕完成操作。2公布打印機的步驟如下：（1）打開“Active Directory用戶和計算機”；（2）在控制臺樹中，鼠標雙擊“域節(jié)點”；（3）在控制臺樹中，鼠標右鍵單擊

49、想在其中公布打印機的文件夾，指向“新建”，并單擊“打印機”；（4）鍵入網(wǎng)絡(luò)路徑，如圖5-41所示。（5）單擊“確定”按鈕完成操作。 第49頁/共62頁第四十九頁，共63頁。圖5-41 設(shè)置(shzh)共享打印機路徑 圖5-40 設(shè)置(shzh)共享文件夾第50頁/共62頁第五十頁，共63頁。5.6.1 資源發(fā)布資源發(fā)布(fb)的管理的管理二、資源的查找若要進行自定義搜索，可參照如下步驟：（1）運行“管理工具”/“Active Directory域和信任關(guān)系”管理應(yīng)用程序；（2）在控制臺樹中用鼠標右鍵單擊“域節(jié)點”，然后(rnhu)單擊“查找”；（3）在“查找”中單擊“自定義搜索”；（4）鼠標單

50、擊“字段”，選擇要搜索的對象種類，然后(rnhu)單擊要為其指定搜索值的對象的屬性；（5）在“條件”中單擊搜索的條件；（6）在“值”中鍵入要應(yīng)用搜索條件的屬性值；（7）單擊“添加”，將該搜索條件添加至自定義搜索；（8）重復(fù)第（4）步至第（7）步，直到添加完所需的全部搜索條件為止； （9）單擊“開始查找”按鈕。 第51頁/共62頁第五十一頁，共63頁。5.6.2 5.6.2 域的管理域的管理(gunl) (gunl) 1提升域功能級別Windows Server 2003中有四個域功能級別，下表列出了域功能級別及其所支持的域控制器。默認情況(qngkung)下，域以Windows 2000混合功

51、能級別操作。域功能級別支持的域控制器Windows 2000 混合模式Windows NT 4.0、Windows 2000、Windows Server 2003家族Windows 2000 純模式Windows 2000、Windows Server 2003家族Windows Server 2003臨時Windows NT 4.0、Windows Server 2003家族Windows Server 2003Windows Server 2003家族表5-1 域功能級別(jbi)與其支持的域控制器第52頁/共62頁第五十二頁，共63頁。5.6.2 5.6.2 域的管理域的管理(gunl

52、)(gunl)根據(jù)網(wǎng)絡(luò)的實際(shj)需要，可以提升域功能級別，提升域功能級別的具體步驟如下：步驟一，運行“管理工具”/“Active Directory域和信任關(guān)系”管理應(yīng)用程序；步驟二，鼠標右鍵單擊你想要管理的域的“域節(jié)點”，然后單擊“提升域功能級別”；步驟三，在打開如圖5-42所示窗口中，我們可以在“選一個可用的域功能級別”的下拉菜單中選擇一種模式。 圖5-42 更改(gnggi)域模式 第53頁/共62頁第五十三頁，共63頁。2. 2. 創(chuàng)建創(chuàng)建(chungjin)(chungjin)明確的域信任明確的域信任創(chuàng)建明確的域信任具體步驟如下(rxi)：步驟一，運行“管理工具”/“Activ

53、e Directory域和信任關(guān)系”管理應(yīng)用程序；步驟二，在控制臺樹中，鼠標右鍵單擊要管理的域節(jié)點，然后單擊“屬性”；步驟三，單擊“信任”選項卡，如圖5-43所示；步驟四，根據(jù)需要，單擊“新建信任”按鈕，打開“新建信任向?qū)А贝翱?，輸入一個信任域的名稱。步驟五，單擊“下一步”，打開的窗口會詢問信任方向，我們選擇“雙向”；單擊“下一步”，窗口詢問創(chuàng)建信任關(guān)系域的范圍，我們選擇“只是這個域”；步驟六，單擊“下一步”，打開如圖5-44所示窗口，我們選擇“全域性身份驗證”；單擊“下一步”打開“信任密碼”窗口，輸入密碼；步驟七，單擊“下一步”，給出我們所配置的信息，在以后的步驟中我們使用默認設(shè)置，最后單擊“完成”按鈕，完成配置，如圖5-45所示。注意：密碼必須是信任域和被信任域雙方都接受的。 第54頁/共62頁第五十四頁，共63頁。圖 5 - 4 4 單 擊 “ 編 輯 ( b i n j ) ” 后