實驗六 Windows Server 2003域的安裝與管理

1、實驗六 Windows Server 2003域的管理一、實驗?zāi)康?掌握創(chuàng)建和管理域用戶賬戶。2掌握漫游用戶配置文件的設(shè)置方法。3掌握創(chuàng)建和管理域中的組。二、實驗要求1創(chuàng)建和管理域用戶賬戶。 2設(shè)置漫游用戶配置文件。3創(chuàng)建和管理域中的組。三、實驗原理（一）域用戶賬戶概述用戶登錄到網(wǎng)絡(luò)并使用網(wǎng)絡(luò)資源的基礎(chǔ)必須有用戶帳戶，在域控中網(wǎng)絡(luò)上用戶和計算機帳戶的管理是通過“Active Directory用戶和計算機”工具來實現(xiàn)的。1. Active Directory 用戶帳戶用戶帳戶為用戶或計算機提供安全保障。在域控制器中，只有具有用戶帳戶的用戶才能訪問服務(wù)器，使用網(wǎng)絡(luò)上的資源。帳戶主要用于：驗證用戶

2、或計算機的身份；授權(quán)對域資源的訪問；審核使用用戶或計算機帳戶所執(zhí)行的操作等。Active Directory用戶帳戶允許用戶登錄到具有可驗證，并授權(quán)訪問域資源的計算機和域中。登錄到網(wǎng)絡(luò)的每個用戶應(yīng)有自己唯一的帳戶和密碼，用戶帳號可以用“用戶名域名”來表示，二者都需要用戶在登錄時鍵入。Windows 2003提供了可用于登錄到Windows 2003計算機的預(yù)定義帳戶。每個預(yù)定義帳戶都有不同的權(quán)利和權(quán)限組合。這些預(yù)定義帳戶包括：l Administrator：稱為管理員帳戶，具有最廣泛的權(quán)利和權(quán)限。l Guest：稱為客戶帳戶，只有有限的權(quán)利和權(quán)限，缺省時該帳戶被禁用。2. 計算機帳戶計算機帳戶

3、是Windows 2003新增的功能，加入到域中且運行Windows 2003的每一臺計算機都有計算機帳戶。與用戶帳戶類似，計算機帳戶提供了一種驗證和審核計算機訪問網(wǎng)絡(luò)以及域資源的方法。注意，一個計算機系統(tǒng)要加入到域中，只能使用一個計算機帳戶，而一個用戶可擁有多個用戶帳戶，并且可在不同的計算機（指已經(jīng)連接到域中的計算機）上使用各自的用戶帳戶進行網(wǎng)絡(luò)登錄。（二）組賬戶的概述組是Windows 2003 從Windows NT 系統(tǒng)繼承下來的安全管理形式，它是指活動目錄或本地計算機對象，包含用戶、聯(lián)系人、計算機和其他組等，是同類型對象的集合。在Windows 2003中，組可以用來管理用戶和計算機

4、對網(wǎng)絡(luò)資源的訪問，方便管理訪問目的和權(quán)限相同的一系列用戶和計算機帳戶。1. 組的兩種類型 (1) 安全組（安全式） 安全組位于定義資源和對象權(quán)限的選擇性訪問控制表(DACL)中。安全組也可用作電子郵件實體。向組發(fā)送電子郵件的同時會將郵件發(fā)給組的所有成員。 (2) 通訊組（分布式） 通訊組不采用安全機制。只有在電子郵件應(yīng)用程序中，才能使用通訊組將電子郵件發(fā)送給一組用戶。 在本機模式下，上述兩種組類型可以進行互換。2. 組作用域 每個安全組和通訊組均具有作用域，該作用域標識組在域樹或域林中所應(yīng)用的范圍。根據(jù)作用域的范圍可分為通用、全局和本地域。在默認情況下，創(chuàng)建的新組配置為具有全局作用域的安全組。

5、 通用：有通用作用域的組可將其成員作為來自域樹或樹林中任何Windows 2003 域的組和帳戶，并且在域樹或樹林的任何域中都可獲得權(quán)限。 全局：有全局作用域的組可將其成員作為僅來自組所定義的域的組和帳戶，并且在樹林的任何域中都可獲得權(quán)限。 本地域：具有本地作用域的組可將其成員作為來自Windows 2000或Windows NT域的組和帳戶，并且可用于僅在域中授予權(quán)限。3. 內(nèi)置和預(yù)定義組安裝域控制器時，系統(tǒng)自動生成的內(nèi)置組安裝在“Active Directory 用戶和計算機”控制臺的“Builtin”（內(nèi)置的域本地組）和“Users”（預(yù)定義的全局組）文件夾中?？蓪?nèi)置和預(yù)定義組移動到域

6、中的其他組或組織單位文件夾，但不能將它們移動至其他域。（三）漫游用戶配置文件概述用戶登錄時下載到本地計算機，而用戶注銷時本地和服務(wù)器都進行更新的基于服務(wù)器的用戶配置文件。用戶登錄到工作站或服務(wù)器，服務(wù)器的漫游用戶配置文件是可用的。登錄時，如果本地用戶配置文件比服務(wù)器上的要新，則用戶可以使用該本地文件。四、實驗設(shè)備1局域網(wǎng)。2三臺虛擬機，一臺安裝Windows XP系統(tǒng)，兩臺安裝Windows Sever 2003系統(tǒng)。3Windows XP和Windows Sever 2003系統(tǒng)盤。五、實驗步驟（一）創(chuàng)建和管理域用戶賬戶在域控制器上通過“Active Directory 用戶和計算

7、機”管理控制臺創(chuàng)建和管理域用戶賬戶。1、 域控制器“serverj”上打開Active Directory 用戶和計算機管理控制臺，并在左側(cè)的“樹”窗口內(nèi)單擊“Users”，右側(cè)的窗口內(nèi)會顯示當前域中現(xiàn)有的用戶賬戶和組，如圖1所示。圖1 域中現(xiàn)有的用戶賬戶和組2、右擊“Users”或在右側(cè)的空白處，在出現(xiàn)的菜單選擇“新建”并單擊其中的“用戶”，將出現(xiàn)創(chuàng)建新對象-用戶的對話框，如圖2和3所示。圖2 打開新建對象-用戶對話框圖3 新建對象-用戶對話框3、 設(shè)置用戶賬戶的密碼，例如輸入密碼“LGlg123456”，然后單擊“下一步”，將會出現(xiàn)完成創(chuàng)建的對話框，如圖4和5所示。圖4 設(shè)置新建用戶賬戶密

8、碼的對話框圖5 完成創(chuàng)建的對話框4、 單擊“完成”，新用戶賬戶創(chuàng)建成功，并且顯示在Users項下的用戶賬戶和組的列表中。5、 使用新建的用戶賬戶“l(fā)g”，密碼“LGlg123456”在“slaveserver”成員計算機上登錄，如圖6和7所示。圖6 登錄到域中計算機的對話框圖7 顯示登錄信息6、 在如圖8所示的“賬戶”選項卡中，單擊“登錄時間”，將出現(xiàn)用戶登錄時段的對話框。圖8 用戶屬性對話框的“賬戶”選項卡7、 允許用戶每周從周一到周五的上午8點到下午5點的工作時間可以登錄到域，則單擊“全部”并選擇“拒絕登錄”，然后按住鼠標左鍵拖動選擇周一到周五的上午8點到下午5點的區(qū)域并選擇“允許登錄”，

9、其設(shè)置結(jié)果如圖11所示。圖11 周一到周五的上午8點到下午5點的工作時間可以登錄8、 在如圖8所示的“賬戶”選項卡中，單擊“登錄到”，將出現(xiàn)登錄工作站的對話框，如圖12所示。圖12 登錄工作站的對話框9、 在如圖8所示的“賬戶”選項卡中，根據(jù)實際需求在“賬戶”選項下設(shè)置相關(guān)的選項。10、在如圖8所示的“賬戶”選項卡中，根據(jù)實際需求在“賬戶過期”項下設(shè)置賬戶過期的選項，該選項經(jīng)常用于對臨時員工使用的用戶賬戶進行設(shè)置。例如將lg賬戶設(shè)置為2009年9月19日過期，如圖13所示。圖13 選擇過期時間的窗口13、在如圖8所示的用戶賬戶屬性對話框中，單擊“配置文件”，打開用戶賬戶屬性的配置文件選項卡，如

10、圖14所示。圖14 用戶賬戶屬性的配置文件選項卡1）在域控制器serverj上新建一個共享文件夾存放用戶配置文件，例如共享文件夾名為“background”。2）在如圖14所示的用戶賬戶屬性的配置文件選項卡中，將用于存放用戶配置文件的共享文件的UNC路徑輸入到“用戶配置文件”框內(nèi)的“配置文件路徑”欄中，然后單擊確定。3）在計算機“slaveserver”上使用賬戶lg登錄，并將桌面背景更改為如圖15所示的圖案，然后注銷lg。圖15 在計算機“slaveserver”上更改后的桌面背景4）在計算機“client”上使用賬戶lg登錄，將出現(xiàn)同樣的桌面背景。然后，在桌面上新建一個名為“client”

11、的文件夾，然后注銷lg。5）在計算機“slaveserver”上再次使用賬戶lg登錄，桌面上同樣會出現(xiàn)“client”文件夾，則漫游用戶配置文件配置完成。（二）創(chuàng)建和管理域中的組在域控制器上通過“Active Directory 用戶和計算機”管理控制臺創(chuàng)建域中的組，并通過組管理域用戶賬戶。1、 在域控制器serverj上打開Active Directory 用戶和計算機管理控制臺，并在左側(cè)的“樹”窗口內(nèi)右擊“Users”，選擇“新建組”，將出現(xiàn)新建對象-組的對話框，如圖16所示。圖16 新建對象-組對話框2、 根據(jù)實際需要創(chuàng)建組，創(chuàng)建一個名為“JSJ”的全局組，然后單擊“確定”。3、 使用同樣的方法創(chuàng)建一個名為“JSJ-GG”的本地域組。創(chuàng)建完成后，在Active Directory 用戶和計算機管理控制臺中將會出現(xiàn)新創(chuàng)建的組。4、 右擊“JSJ”，在菜單中單擊“屬性”，將出現(xiàn)組JSJ屬性對話框，如圖17所示。圖17 組JSJ屬性對話框5、 在圖17對話框中，單擊“成員”，選擇“添加”按鈕，向組JSJ中添加成員，將出現(xiàn)選擇用戶、聯(lián)系人或計算機的對話框，如圖18所示。圖18 選擇用戶、聯(lián)系人或計算機對話框6、 在組J