windows 2008_04

1、（時(shí)間：（時(shí)間：3次課，次課，6學(xué)時(shí)）學(xué)時(shí)）n本章要點(diǎn)本章要點(diǎn) Active Directory與域。與域。 創(chuàng)建創(chuàng)建Active Directory域。域。 將將Windows計(jì)算機(jī)加入域。計(jì)算機(jī)加入域。 管理管理Active Directory內(nèi)的組織單位和用戶賬戶。內(nèi)的組織單位和用戶賬戶。 管理管理Active Directory中的組賬戶。中的組賬戶。n技能目標(biāo)技能目標(biāo) 理解域和工作組的區(qū)別，熟悉活動(dòng)目錄的相關(guān)概念。理解域和工作組的區(qū)別，熟悉活動(dòng)目錄的相關(guān)概念。 掌握掌握Active Directory域的創(chuàng)建條件、安裝與配置方法。域的創(chuàng)建條件、安裝與配置方法。 掌握將掌握將Windo

2、ws計(jì)算機(jī)加入和登錄域的方法，能夠使用活動(dòng)目錄中計(jì)算機(jī)加入和登錄域的方法，能夠使用活動(dòng)目錄中資源。資源。 掌握掌握Active Directory內(nèi)的組織單位創(chuàng)建和管理方法，用戶賬戶創(chuàng)內(nèi)的組織單位創(chuàng)建和管理方法，用戶賬戶創(chuàng)建和管理方法。建和管理方法。 理解域內(nèi)組賬戶的類(lèi)型和作用域，掌握理解域內(nèi)組賬戶的類(lèi)型和作用域，掌握Active Directory內(nèi)的組賬內(nèi)的組賬戶的創(chuàng)建和管理方法。戶的創(chuàng)建和管理方法。n4.1 工作場(chǎng)景導(dǎo)入工作場(chǎng)景導(dǎo)入 n4.2 Active Directory與域與域 n4.3 創(chuàng)建創(chuàng)建Active Directory域域 n4.4 將將Windows計(jì)算機(jī)加入域計(jì)算機(jī)加

3、入域 n4.5 管理管理Active Directory內(nèi)的組織單位和用戶賬戶內(nèi)的組織單位和用戶賬戶 n4.6 管理管理Active Directory中的組賬戶中的組賬戶 n4.7 回到工作場(chǎng)景回到工作場(chǎng)景 n4.8 工作實(shí)訓(xùn)營(yíng)工作實(shí)訓(xùn)營(yíng) n4.9 習(xí)題習(xí)題 n工作場(chǎng)景工作場(chǎng)景 XYZ公司是一家大型制造企業(yè)公司是一家大型制造企業(yè) 總部信息中心有各類(lèi)服務(wù)器總部信息中心有各類(lèi)服務(wù)器30余臺(tái)，各車(chē)間、分廠和分公司都有自己的服余臺(tái)，各車(chē)間、分廠和分公司都有自己的服務(wù)器，客戶機(jī)近千臺(tái)務(wù)器，客戶機(jī)近千臺(tái) 各類(lèi)應(yīng)用大多數(shù)是基于各類(lèi)應(yīng)用大多數(shù)是基于Windows平臺(tái)開(kāi)發(fā)，網(wǎng)絡(luò)環(huán)境是工作組模式平臺(tái)開(kāi)發(fā)，網(wǎng)絡(luò)環(huán)

4、境是工作組模式 將網(wǎng)絡(luò)環(huán)境更改為域模式，將各類(lèi)共享資源發(fā)布在將網(wǎng)絡(luò)環(huán)境更改為域模式，將各類(lèi)共享資源發(fā)布在Active Directory中中 公司的域名是公司的域名是n引導(dǎo)問(wèn)題引導(dǎo)問(wèn)題 (1) 如何創(chuàng)建如何創(chuàng)建Active Directory？創(chuàng)建時(shí)對(duì)服務(wù)器有什么要求？創(chuàng)建完成后？創(chuàng)建時(shí)對(duì)服務(wù)器有什么要求？創(chuàng)建完成后如何管理？如何管理？ (2) 一臺(tái)一臺(tái)Windows客戶機(jī)如何添加到域中？如何使用客戶機(jī)如何添加到域中？如何使用Active Directory中中的資源？的資源？ (3) 組織單位是什么？如何創(chuàng)建和管理？組織單位是什么？如何創(chuàng)建和管理？ (4) 域用戶賬號(hào)與本地用戶賬號(hào)有何區(qū)別？

5、如何創(chuàng)建和管理域用戶賬號(hào)？域用戶賬號(hào)與本地用戶賬號(hào)有何區(qū)別？如何創(chuàng)建和管理域用戶賬號(hào)？ (5) 域組賬號(hào)與本地組賬號(hào)有何區(qū)別？如何創(chuàng)建和管理域組賬號(hào)？域組賬號(hào)與本地組賬號(hào)有何區(qū)別？如何創(chuàng)建和管理域組賬號(hào)？n4.2.1 活動(dòng)目錄服務(wù)的概述活動(dòng)目錄服務(wù)的概述 n4.2.2 與活動(dòng)目錄相關(guān)的概念與活動(dòng)目錄相關(guān)的概念 n目錄服務(wù)目錄服務(wù) 用來(lái)存儲(chǔ)了網(wǎng)絡(luò)中各種對(duì)象用來(lái)存儲(chǔ)了網(wǎng)絡(luò)中各種對(duì)象(如用戶賬戶、組、如用戶賬戶、組、計(jì)算機(jī)、打印機(jī)和共享資源等計(jì)算機(jī)、打印機(jī)和共享資源等)的有關(guān)信息的有關(guān)信息 按照層次結(jié)構(gòu)方式進(jìn)行信息的組織按照層次結(jié)構(gòu)方式進(jìn)行信息的組織 方便用戶的查找和使用方便用戶的查找和使用 Act

6、ive Directory(活動(dòng)目錄活動(dòng)目錄)是是Windows Server 2008域環(huán)境中提供目錄服務(wù)的組件域環(huán)境中提供目錄服務(wù)的組件n1工作組和域工作組和域工作組網(wǎng)絡(luò)工作組網(wǎng)絡(luò)“對(duì)等式對(duì)等式”網(wǎng)絡(luò)網(wǎng)絡(luò)資源以及管理是分散在每臺(tái)計(jì)算機(jī)之上資源以及管理是分散在每臺(tái)計(jì)算機(jī)之上特點(diǎn)就是分散管理特點(diǎn)就是分散管理每臺(tái)計(jì)算機(jī)都有自己的每臺(tái)計(jì)算機(jī)都有自己的“本機(jī)安全賬戶數(shù)據(jù)庫(kù)本機(jī)安全賬戶數(shù)據(jù)庫(kù)”，稱為，稱為SAM數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)SAM數(shù)據(jù)庫(kù)默認(rèn)就存儲(chǔ)在數(shù)據(jù)庫(kù)默認(rèn)就存儲(chǔ)在%Systemroot% system32config文件夾中文件夾中域域所有的計(jì)算機(jī)共享一個(gè)集中式的目錄數(shù)據(jù)庫(kù)所有的計(jì)算機(jī)共享一個(gè)集中式的

7、目錄數(shù)據(jù)庫(kù)(又稱為活動(dòng)目錄數(shù)據(jù)庫(kù)又稱為活動(dòng)目錄數(shù)據(jù)庫(kù))活動(dòng)目錄負(fù)責(zé)目錄數(shù)據(jù)庫(kù)的添加、修改、更新和刪除活動(dòng)目錄負(fù)責(zé)目錄數(shù)據(jù)庫(kù)的添加、修改、更新和刪除域環(huán)境，其實(shí)就是要安裝活動(dòng)目錄域環(huán)境，其實(shí)就是要安裝活動(dòng)目錄n2活動(dòng)目錄的特性活動(dòng)目錄的特性1) 服務(wù)的集成性服務(wù)的集成性 活動(dòng)目錄的集成性包括內(nèi)容更豐富活動(dòng)目錄的集成性包括內(nèi)容更豐富 采用采用Internet 標(biāo)準(zhǔn)協(xié)議，用戶賬戶可以使用標(biāo)準(zhǔn)協(xié)議，用戶賬戶可以使用“用戶名用戶名域名域名”來(lái)表示來(lái)表示 與與Internet的域名空間結(jié)構(gòu)一致的域名空間結(jié)構(gòu)一致2) 信息的安全性信息的安全性 多種網(wǎng)絡(luò)安全協(xié)議多種網(wǎng)絡(luò)安全協(xié)議 在活動(dòng)目錄數(shù)據(jù)庫(kù)中存儲(chǔ)了域安全

8、策略的相關(guān)信息在活動(dòng)目錄數(shù)據(jù)庫(kù)中存儲(chǔ)了域安全策略的相關(guān)信息 每個(gè)對(duì)象都有一個(gè)獨(dú)有的安全性描述，主要是定義了瀏覽或更新對(duì)象屬性所需要的訪問(wèn)權(quán)限每個(gè)對(duì)象都有一個(gè)獨(dú)有的安全性描述，主要是定義了瀏覽或更新對(duì)象屬性所需要的訪問(wèn)權(quán)限3) 管理的簡(jiǎn)易性管理的簡(jiǎn)易性 以層次結(jié)構(gòu)組織域中的資源以層次結(jié)構(gòu)組織域中的資源 提供了對(duì)網(wǎng)絡(luò)資源管理的單點(diǎn)登錄提供了對(duì)網(wǎng)絡(luò)資源管理的單點(diǎn)登錄 活動(dòng)目錄允許在線備份活動(dòng)目錄允許在線備份 網(wǎng)絡(luò)系統(tǒng)環(huán)境的管理工作變得更加容易、方便網(wǎng)絡(luò)系統(tǒng)環(huán)境的管理工作變得更加容易、方便4) 應(yīng)用的靈活性應(yīng)用的靈活性 活動(dòng)目錄具有較強(qiáng)的、自動(dòng)的可擴(kuò)展性。系統(tǒng)管理員可以將新的對(duì)象添加到應(yīng)用框架中，并活

9、動(dòng)目錄具有較強(qiáng)的、自動(dòng)的可擴(kuò)展性。系統(tǒng)管理員可以將新的對(duì)象添加到應(yīng)用框架中，并且將新的屬性添加到現(xiàn)有對(duì)象上。活動(dòng)目錄中可實(shí)現(xiàn)一個(gè)域或多個(gè)域，每個(gè)域中有一個(gè)或多且將新的屬性添加到現(xiàn)有對(duì)象上?；顒?dòng)目錄中可實(shí)現(xiàn)一個(gè)域或多個(gè)域，每個(gè)域中有一個(gè)或多個(gè)域控制器，多個(gè)域可合并為域樹(shù)，多個(gè)域樹(shù)又可合并成為域林。個(gè)域控制器，多個(gè)域可合并為域樹(shù)，多個(gè)域樹(shù)又可合并成為域林。 可以應(yīng)用到局域網(wǎng)計(jì)算機(jī)系統(tǒng)環(huán)境中，還可以應(yīng)用于跨地區(qū)的廣域網(wǎng)系統(tǒng)環(huán)境中可以應(yīng)用到局域網(wǎng)計(jì)算機(jī)系統(tǒng)環(huán)境中，還可以應(yīng)用于跨地區(qū)的廣域網(wǎng)系統(tǒng)環(huán)境中n1命名空間命名空間(Namespace) 一個(gè)界定好的區(qū)域一個(gè)界定好的區(qū)域 把電話簿看成一個(gè)把電話簿看

10、成一個(gè)“命名空間命名空間” 活動(dòng)目錄提供一個(gè)命名空間，通過(guò)活動(dòng)目錄里的活動(dòng)目錄提供一個(gè)命名空間，通過(guò)活動(dòng)目錄里的對(duì)象的名稱就可以找到與這個(gè)對(duì)象相關(guān)的信息對(duì)象的名稱就可以找到與這個(gè)對(duì)象相關(guān)的信息 采用采用DNS的架構(gòu)，活動(dòng)目錄的域名采用的架構(gòu)，活動(dòng)目錄的域名采用DNS的的格式來(lái)命名格式來(lái)命名n2對(duì)象對(duì)象(Object)與屬性與屬性(Attribute) 對(duì)象對(duì)象 對(duì)某具體主題事物的命名對(duì)某具體主題事物的命名 例如，用戶、打印機(jī)或應(yīng)用程序例如，用戶、打印機(jī)或應(yīng)用程序 對(duì)象的相關(guān)屬性對(duì)象的相關(guān)屬性 用來(lái)識(shí)別對(duì)象的描述性數(shù)據(jù)用來(lái)識(shí)別對(duì)象的描述性數(shù)據(jù) 例如，用戶的屬性包括用戶的例如，用戶的屬性包括用戶的

11、Name、E-mail 和和Phone 等等n3容器容器(Container) 活動(dòng)目錄命名空間的一部分活動(dòng)目錄命名空間的一部分 代表存放對(duì)象的空間，不代表有形的實(shí)體代表存放對(duì)象的空間，不代表有形的實(shí)體 僅限于從對(duì)象本身所能提供的信息空間僅限于從對(duì)象本身所能提供的信息空間n4域、域樹(shù)、域林和組織單位域、域樹(shù)、域林和組織單位(1) 域域 核心邏輯單元核心邏輯單元 共享同一活動(dòng)目錄的一組計(jì)算機(jī)集合共享同一活動(dòng)目錄的一組計(jì)算機(jī)集合 從安全管理角度講，域是安全的邊界從安全管理角度講，域是安全的邊界(2) 域樹(shù)域樹(shù) 一組具有連續(xù)命名空間的域組成的一組具有連續(xù)命名空間的域組成的 域通過(guò)自動(dòng)建立的信任關(guān)系連

12、接起來(lái)。(3) 域林 由一棵或多棵域樹(shù)組成的 每棵域樹(shù)獨(dú)享連續(xù)的命名空間 不同域樹(shù)之間沒(méi)有命名空間的連續(xù)性 域林中第一個(gè)創(chuàng)建的域稱為域林根域(4) 組織單位 組織、管理一個(gè)域內(nèi)對(duì)象的容器 包容用戶賬戶、用戶組、計(jì)算機(jī)、打印機(jī)和其他的組織單位 層次結(jié)構(gòu)n5域控制器、站點(diǎn)和成員服務(wù)器域控制器、站點(diǎn)和成員服務(wù)器 活動(dòng)目錄的物理結(jié)構(gòu)活動(dòng)目錄的物理結(jié)構(gòu) 域是邏輯組織形式域是邏輯組織形式 部署各種角色計(jì)算機(jī)來(lái)組織部署各種角色計(jì)算機(jī)來(lái)組織 由域控制器和站點(diǎn)組成由域控制器和站點(diǎn)組成 (1) 域控制器域控制器 安裝、運(yùn)行活動(dòng)目錄的安裝、運(yùn)行活動(dòng)目錄的Windows Server 2008 服務(wù)器服務(wù)器 一個(gè)域中

13、可以有一個(gè)或多個(gè)域控制器一個(gè)域中可以有一個(gè)或多個(gè)域控制器 活動(dòng)目錄數(shù)據(jù)庫(kù)自動(dòng)更新活動(dòng)目錄數(shù)據(jù)庫(kù)自動(dòng)更新 (2) 站點(diǎn)站點(diǎn) 站點(diǎn)代表網(wǎng)絡(luò)的物理結(jié)構(gòu)，而域代表組織的邏輯結(jié)構(gòu)站點(diǎn)代表網(wǎng)絡(luò)的物理結(jié)構(gòu)，而域代表組織的邏輯結(jié)構(gòu) 一個(gè)或多個(gè)一個(gè)或多個(gè) IP 子網(wǎng)地址的計(jì)算機(jī)集合子網(wǎng)地址的計(jì)算機(jī)集合 用來(lái)描述域環(huán)境網(wǎng)絡(luò)的物理結(jié)構(gòu)或拓?fù)溆脕?lái)描述域環(huán)境網(wǎng)絡(luò)的物理結(jié)構(gòu)或拓?fù)?(3) 成員服務(wù)器成員服務(wù)器 實(shí)現(xiàn)一定功能或提供某項(xiàng)服務(wù)的服務(wù)器實(shí)現(xiàn)一定功能或提供某項(xiàng)服務(wù)的服務(wù)器 如通常使用的文件服務(wù)器、如通常使用的文件服務(wù)器、FTP 應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器或者應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器或者Web 服務(wù)器服務(wù)器 不執(zhí)行用戶

14、身份驗(yàn)證并且不存儲(chǔ)安全策略信息不執(zhí)行用戶身份驗(yàn)證并且不存儲(chǔ)安全策略信息n4.3.1 創(chuàng)建域的必要條件創(chuàng)建域的必要條件 n4.3.2 創(chuàng)建網(wǎng)絡(luò)中的第一臺(tái)域控制器創(chuàng)建網(wǎng)絡(luò)中的第一臺(tái)域控制器 n4.3.3 檢查檢查DNS服務(wù)器內(nèi)服務(wù)器內(nèi)SRV記錄的完整性記錄的完整性 n1一個(gè)一個(gè)NTFS硬盤(pán)分區(qū)硬盤(pán)分區(qū) SYSVOL文件夾主要用于存儲(chǔ)組策略對(duì)象和腳本文件夾主要用于存儲(chǔ)組策略對(duì)象和腳本 默認(rèn)情況下位于默認(rèn)情況下位于%windir%n2合適的域控制器計(jì)算機(jī)名稱合適的域控制器計(jì)算機(jī)名稱n3配置配置TCP/IP和和DNS客戶端設(shè)置客戶端設(shè)置 使用靜態(tài)使用靜態(tài)IP地址地址n4有一臺(tái)具有允許動(dòng)態(tài)更新有一臺(tái)具有允

15、許動(dòng)態(tài)更新DC定位器記錄定位器記錄的的DNS服務(wù)器服務(wù)器n1安裝安裝Active Directory域服務(wù)域服務(wù) (1) 單擊【添加角色】鏈接，啟動(dòng)添加角色向?qū)螕簟咎砑咏巧挎溄?，啟?dòng)添加角色向?qū)1安裝安裝Active Directory域服務(wù)域服務(wù)(續(xù)續(xù)) (2) 在【開(kāi)始之前】向?qū)ы?yè)中，提示此向?qū)Э梢酝瓿傻墓ぷ鳎约安僮髦皯?yīng)注意的相關(guān)事項(xiàng) (3) 在【選擇服務(wù)器角色】向?qū)ы?yè)中，選中【Active Directory域服務(wù)】復(fù)選框n1安裝安裝Active Directory域服務(wù)域服務(wù)(續(xù)續(xù)) (4) 在【Active Directory域服務(wù)】向?qū)ы?yè)中，簡(jiǎn)要介紹了Active Dir

16、ectory域服務(wù)的功能 (5) 在【確認(rèn)安裝選擇】向?qū)ы?yè)中，要求確認(rèn)所要安裝的角色服務(wù)n1安裝安裝Active Directory域服務(wù)域服務(wù)(續(xù)續(xù)) (6) 在【安裝進(jìn)度】向?qū)ы?yè)中，顯示安裝Active Directory域服務(wù)的進(jìn)度 (7) 在【安裝結(jié)果】向?qū)ы?yè)中，顯示Active Directory域服務(wù)已經(jīng)安裝完成n2安裝活動(dòng)目錄安裝活動(dòng)目錄 (1)啟動(dòng)啟動(dòng)Active Directory域服務(wù)安裝向?qū)в蚍?wù)安裝向?qū)?方法一：【服務(wù)器管理器】窗口方法一：【服務(wù)器管理器】窗口 方法一：運(yùn)行方法一：運(yùn)行dcpromo命令命令n2安裝活動(dòng)目錄（續(xù)）安裝活動(dòng)目錄（續(xù)）(2) 在【Active

17、 Directory域服務(wù)安裝向?qū)А繗g迎界面中，確定是否使用高級(jí)模式安裝(3) 在【操作系統(tǒng)兼容性】向?qū)ы?yè)中，提示W(wǎng)indows Server 2008中改進(jìn)的安全設(shè)置會(huì)影響老版本的Windows(4) 如果系統(tǒng)的TCP/IP配置中沒(méi)有配置首選DNS服務(wù)器IP地址時(shí)，將打開(kāi)【配置域系統(tǒng)客戶端設(shè)置】向?qū)ы?yè)，提示必須要配置DNS客戶端?？梢赃x中復(fù)選框即在這個(gè)服務(wù)器中安裝DNS服務(wù)(5) 在【選擇某一部署配置】向?qū)ы?yè)中，若要?jiǎng)?chuàng)建一臺(tái)全新的域控制器，則選擇【在新林中新建域】單選按鈕；如果網(wǎng)絡(luò)中已經(jīng)存儲(chǔ)其他域控制器或林，則選擇【現(xiàn)有林】單選按鈕，再確定是【向現(xiàn)有域添加域控制器】還是【向現(xiàn)有林中新建域】n

18、2安裝活動(dòng)目錄（續(xù)）安裝活動(dòng)目錄（續(xù)） (6) 在【命名林根域】在【命名林根域】向?qū)ы?yè)中，輸入林根域向?qū)ы?yè)中，輸入林根域的域名的域名 (7) 在【設(shè)置林功能級(jí)在【設(shè)置林功能級(jí)別】向?qū)ы?yè)中，選擇林別】向?qū)ы?yè)中，選擇林功能級(jí)別功能級(jí)別n2安裝活動(dòng)目錄（續(xù)）安裝活動(dòng)目錄（續(xù)） (8) 在【設(shè)置域功能級(jí)別】向?qū)ы?yè)中，選擇域功能級(jí)別 (9) 在【其他域控制器選項(xiàng)】向?qū)ы?yè)中，設(shè)置其他信息n2安裝活動(dòng)目錄（續(xù)）安裝活動(dòng)目錄（續(xù)） (10) 安裝向?qū)ч_(kāi)始檢查DNS配置，打開(kāi)【Active Directory域服務(wù)安裝向?qū)А烤婵?(11) 在【數(shù)據(jù)庫(kù)、日志文件和 SYSVOL的位置】向?qū)ы?yè)中，指定Active

19、 Directory數(shù)據(jù)庫(kù)、日志文件和SYSVOL文件夾在服務(wù)器上的存儲(chǔ)位置n2安裝活動(dòng)目錄（續(xù)）安裝活動(dòng)目錄（續(xù)） (12) 在【目錄服務(wù)還原模式的Administrator密碼】向?qū)ы?yè)中，設(shè)置在目錄服務(wù)還原模式(DSRM)下啟動(dòng)此域控制器的密碼 (13) 在【摘要】向?qū)ы?yè)中，顯示前面所進(jìn)行的設(shè)置以便用戶檢查n2安裝活動(dòng)目錄（續(xù)）安裝活動(dòng)目錄（續(xù)） (14) 在【Active Directory域服務(wù)安裝向?qū)А烤婵蛑?，提示正在根?jù)所設(shè)置的選項(xiàng)配置Active Directory。 (15) 配置完成 (16) 提示重新啟動(dòng)計(jì)算機(jī) (17) 系統(tǒng)已升級(jí)為Active Directory域控制

20、器，此時(shí)必須使用域用戶賬號(hào)登錄，其格式是“域名用戶賬戶”n【Active Directory用戶和計(jì)算機(jī)】窗口n目的：目的： 使其他域成員和域控制使其他域成員和域控制器通過(guò)器通過(guò)SRV記錄發(fā)現(xiàn)此記錄發(fā)現(xiàn)此域控制器域控制器n檢查方法：檢查方法： (1) 首選首選DNS改成指向改成指向自己的自己的IP地址地址 (2) 打開(kāi)【打開(kāi)【DNS管理器】管理器】窗口，檢查窗口，檢查DNS服務(wù)器服務(wù)器內(nèi)的內(nèi)的SRV記錄是否完整記錄是否完整 上面區(qū)域內(nèi)有上面區(qū)域內(nèi)有4項(xiàng)項(xiàng) 下面的區(qū)域有下面的區(qū)域有6項(xiàng)項(xiàng)n4.4.1 將將Windows計(jì)算機(jī)加入域計(jì)算機(jī)加入域 n4.4.2 使用已加入域的計(jì)算機(jī)登錄使用已加入域的

21、計(jì)算機(jī)登錄 n4.4.3 使用活動(dòng)目錄中的資源使用活動(dòng)目錄中的資源 n必須加入到域，才能接受必須加入到域，才能接受域的統(tǒng)一管理，使用域中域的統(tǒng)一管理，使用域中的資源的資源nHome版不能添加到域中版不能添加到域中n添加到域的步驟：添加到域的步驟： (1) 在【在【Internet協(xié)議協(xié)議(TCP/IP)屬性】對(duì)話框中，屬性】對(duì)話框中，指定指定DNS服務(wù)器的地址服務(wù)器的地址 (2) 打開(kāi)【系統(tǒng)屬性】對(duì)話打開(kāi)【系統(tǒng)屬性】對(duì)話框，在【計(jì)算機(jī)名】選項(xiàng)卡框，在【計(jì)算機(jī)名】選項(xiàng)卡中，單擊【更改】按鈕中，單擊【更改】按鈕n添加到域的步驟添加到域的步驟(續(xù)續(xù))： (3) 在【計(jì)算機(jī)名稱更在【計(jì)算機(jī)名稱更改】對(duì)

22、話框中，選中改】對(duì)話框中，選中【隸屬于】選擇區(qū)域的【隸屬于】選擇區(qū)域的【域】單選按鈕，輸入【域】單選按鈕，輸入要加入的域的名稱要加入的域的名稱 (4) 輸入具有將計(jì)算機(jī)輸入具有將計(jì)算機(jī)加入到域權(quán)限的賬戶名加入到域權(quán)限的賬戶名稱和密碼稱和密碼n添加到域的步驟添加到域的步驟(續(xù)續(xù))： (5) 驗(yàn)證通過(guò)，加入域成功驗(yàn)證通過(guò)，加入域成功 (6) 關(guān)閉【系統(tǒng)屬性】對(duì)話框，系統(tǒng)提示重新啟動(dòng)計(jì)算機(jī)關(guān)閉【系統(tǒng)屬性】對(duì)話框，系統(tǒng)提示重新啟動(dòng)計(jì)算機(jī)以便使用所做的改動(dòng)以便使用所做的改動(dòng)n添加到域的步驟添加到域的步驟(續(xù)續(xù))： (7) 打開(kāi)【打開(kāi)【Active Directory用戶和計(jì)算機(jī)】窗口，選擇用戶和計(jì)算機(jī)】

23、窗口，選擇控制臺(tái)樹(shù)中控制臺(tái)樹(shù)中Computers節(jié)點(diǎn)，就可以看到新加入域的客節(jié)點(diǎn)，就可以看到新加入域的客戶機(jī)戶機(jī)nWindows XP客戶端客戶端nWindows Vista/ 7、2008客戶端客戶端 賬戶名格式：賬戶名格式： 用戶名用戶名域名域名 域名域名用戶名用戶名n(1) 打開(kāi)【網(wǎng)上鄰居】窗口，單擊左打開(kāi)【網(wǎng)上鄰居】窗口，單擊左側(cè)的【搜索側(cè)的【搜索Active Directory】鏈】鏈接接n(2) 打開(kāi)【查找用戶、聯(lián)系人及組】打開(kāi)【查找用戶、聯(lián)系人及組】對(duì)話框后，在【查找】下拉列表中對(duì)話框后，在【查找】下拉列表中選擇需要查詢的內(nèi)容選擇需要查詢的內(nèi)容n(3)雙擊該用戶，便可列出該用戶比

24、較詳細(xì)的信息雙擊該用戶，便可列出該用戶比較詳細(xì)的信息n4.5.1 管理組織單位管理組織單位n4.5.2 域用戶賬戶概述域用戶賬戶概述n4.5.3 創(chuàng)建域用戶賬戶創(chuàng)建域用戶賬戶n4.5.4 管理域用戶賬戶管理域用戶賬戶 n組織、管理一個(gè)域內(nèi)對(duì)象的容器組織、管理一個(gè)域內(nèi)對(duì)象的容器n能包容用戶賬戶、用戶組、計(jì)算機(jī)、打印機(jī)和其他的組織單能包容用戶賬戶、用戶組、計(jì)算機(jī)、打印機(jī)和其他的組織單位位n按照公司或企業(yè)的組織結(jié)構(gòu)創(chuàng)建組織單位按照公司或企業(yè)的組織結(jié)構(gòu)創(chuàng)建組織單位n組織單位應(yīng)當(dāng)設(shè)置為有意義的名稱，不要經(jīng)常改變名稱組織單位應(yīng)當(dāng)設(shè)置為有意義的名稱，不要經(jīng)常改變名稱n1新建組織單位 (1) 右擊要進(jìn)行創(chuàng)建的

25、組織單位或容器，選擇【新建】右擊要進(jìn)行創(chuàng)建的組織單位或容器，選擇【新建】【組織單【組織單位】命令位】命令 (2) 在【新建對(duì)象在【新建對(duì)象-組織單位】對(duì)話框中，輸入組織單位的名稱組織單位】對(duì)話框中，輸入組織單位的名稱 【防止容器被意外刪除】復(fù)選框?yàn)檫x中狀態(tài)，其目的是防止管理員的誤【防止容器被意外刪除】復(fù)選框?yàn)檫x中狀態(tài)，其目的是防止管理員的誤操作而刪除組織單位，造成組織單元內(nèi)所有對(duì)象被刪除操作而刪除組織單位，造成組織單元內(nèi)所有對(duì)象被刪除n2設(shè)置組織單位屬性設(shè)置組織單位屬性 (1) 右擊要設(shè)置屬性的右擊要設(shè)置屬性的組織單位，選擇【屬性】組織單位，選擇【屬性】命令命令 (2) 在【常規(guī)】選項(xiàng)卡在【常

26、規(guī)】選項(xiàng)卡中，輸入描述和組織單中，輸入描述和組織單位所在的位置位所在的位置 (3) 在【管理者】選項(xiàng)在【管理者】選項(xiàng)卡，選擇一個(gè)用戶作為卡，選擇一個(gè)用戶作為組織單位的管理者組織單位的管理者 (4) 保存設(shè)置保存設(shè)置n1用戶登錄賬戶用戶登錄賬戶 用用“用戶名用戶名”和和“口令口令”來(lái)標(biāo)識(shí)的來(lái)標(biāo)識(shí)的 兩種用戶登錄名稱格式兩種用戶登錄名稱格式(1) 用戶登錄名用戶登錄名(user principal name，UPN)n格式與電子郵件賬戶相同，如格式與電子郵件賬戶相同，如n用于用于Windows 2000/ XP/ 2003 / Vista/ 2008/ 7n是唯一的，不會(huì)隨著賬戶轉(zhuǎn)移而改變是唯一的

27、，不會(huì)隨著賬戶轉(zhuǎn)移而改變(2) 用戶登錄名用戶登錄名(Windows 2000以前版本以前版本) n例如：例如：XYZzhangwrn用于用于Windows NT/ 98/ME同一個(gè)域內(nèi)，名稱必須是唯一同一個(gè)域內(nèi)，名稱必須是唯一的的 n2內(nèi)置用戶賬戶內(nèi)置用戶賬戶n1新建域用戶賬戶新建域用戶賬戶誰(shuí)能新建誰(shuí)能新建 Administrator用戶用戶 Administrators、Account Operators、Domain Admins、Power Users 組的成員賬戶組的成員賬戶創(chuàng)建步驟創(chuàng)建步驟 (1) 打開(kāi)【打開(kāi)【Active Directory用戶和計(jì)算機(jī)】窗口，右擊要添加用戶的組織

28、單位或容器，選用戶和計(jì)算機(jī)】窗口，右擊要添加用戶的組織單位或容器，選擇【新建】擇【新建】【用戶】命令【用戶】命令 (2 ) 輸入用戶的姓、名和用戶登錄時(shí)使用的名字輸入用戶的姓、名和用戶登錄時(shí)使用的名字 n創(chuàng)建步驟創(chuàng)建步驟 (3) 輸入用戶密碼并確輸入用戶密碼并確認(rèn)，設(shè)置用戶密碼選項(xiàng)認(rèn)，設(shè)置用戶密碼選項(xiàng) (4) 顯示賬戶設(shè)置摘要，顯示賬戶設(shè)置摘要，等待用戶確認(rèn)等待用戶確認(rèn)n2用戶賬戶的復(fù)制和修改用戶賬戶的復(fù)制和修改 目的目的快速創(chuàng)建許多屬性相同的賬戶快速創(chuàng)建許多屬性相同的賬戶 操作方法操作方法選中已經(jīng)建立好的用戶賬戶，單擊鼠標(biāo)右鍵，選擇選中已經(jīng)建立好的用戶賬戶，單擊鼠標(biāo)右鍵，選擇【復(fù)制】命令【復(fù)

29、制】命令n3批量創(chuàng)建域用戶賬戶 目的： 一次性創(chuàng)建大批量用戶 提高工作效率 步驟 (1) 利用可編輯純文本文件的工具(如記事本)，將用戶賬戶數(shù)據(jù)輸入到文件內(nèi)并保存為useradd.txtn3批量創(chuàng)建域用戶賬戶(續(xù))n3批量創(chuàng)建域用戶賬戶(續(xù)) (2) 輸入“csvde -i -f useradd.txt”命令n3批量創(chuàng)建域用戶賬戶(續(xù)) （3）創(chuàng)建完成n1修改域用戶賬戶屬修改域用戶賬戶屬性性 (1) 打開(kāi)【打開(kāi)【Active Directory用戶和計(jì)算機(jī)】用戶和計(jì)算機(jī)】窗口，右擊需要修改的窗口，右擊需要修改的用戶賬戶，選擇【屬性】用戶賬戶，選擇【屬性】命令命令 (2) 在用戶屬性對(duì)話框在用戶

30、屬性對(duì)話框中，就可以選擇并修改中，就可以選擇并修改該賬戶的各項(xiàng)內(nèi)容該賬戶的各項(xiàng)內(nèi)容n2禁用和啟用用戶賬禁用和啟用用戶賬戶戶 目的：目的： 禁用暫時(shí)不用的用戶賬戶禁用暫時(shí)不用的用戶賬戶 方法：方法： 右擊要禁用的用戶賬戶，右擊要禁用的用戶賬戶，選擇【禁用賬戶】命令選擇【禁用賬戶】命令 禁用后的用戶或計(jì)算機(jī)賬禁用后的用戶或計(jì)算機(jī)賬戶上會(huì)顯示一個(gè)向下圖標(biāo)戶上會(huì)顯示一個(gè)向下圖標(biāo) 重新啟用重新啟用n再次右擊該賬戶，選擇再次右擊該賬戶，選擇【啟用賬戶】命令【啟用賬戶】命令n3刪除用戶賬戶 目的：目的： 用戶賬戶不再被使用 管理員不希望某個(gè)用戶賬戶存在于安全域中 步驟 右擊要?jiǎng)h除的用戶賬戶，選擇【刪除】命令

31、 系統(tǒng)提示是否要?jiǎng)h除，單擊【是】按鈕n4重新設(shè)置用戶賬戶密碼 (1) 右擊要重新設(shè)置密碼的用戶賬戶，中選擇【重設(shè)密碼】命令 (2) 在【重置密碼】對(duì)話框中輸入要設(shè)置的新密碼并確認(rèn)n5解除被鎖定的賬戶 賬戶被鎖定的原因 輸入密碼失敗多次 步驟 (1) 選擇鎖定賬戶，單擊鼠標(biāo)右鍵，選擇【屬性】命令，切換到【賬戶】選項(xiàng)卡 (2) 選中【解鎖賬戶】復(fù)選框并確定n6移動(dòng)賬戶移動(dòng)賬戶 目的目的 將用戶或計(jì)算機(jī)賬戶移到新將用戶或計(jì)算機(jī)賬戶移到新的組織單位或容器中的組織單位或容器中 不需要重新創(chuàng)建不需要重新創(chuàng)建 賬戶的管理人和組策略將隨賬戶的管理人和組策略將隨著組織單位的改變而改變著組織單位的改變而改變 方法

32、一：方法一： 右擊要移動(dòng)的用戶賬戶，選右擊要移動(dòng)的用戶賬戶，選擇【移動(dòng)】命令，打開(kāi)【移擇【移動(dòng)】命令，打開(kāi)【移動(dòng)】對(duì)話框動(dòng)】對(duì)話框,，在【將對(duì)象移，在【將對(duì)象移到容器】列表框中選擇目標(biāo)到容器】列表框中選擇目標(biāo)組織單位，單擊【確定】按組織單位，單擊【確定】按鈕鈕 方法二：方法二： 使用鼠標(biāo)拖曳使用鼠標(biāo)拖曳n4.6.1 域模式的組賬戶概述域模式的組賬戶概述n4.6.2 組的創(chuàng)建與管理組的創(chuàng)建與管理 n1域模式下組賬戶的作用域模式下組賬戶的作用 (1) 資源權(quán)限的管理資源權(quán)限的管理 即為組而不是個(gè)別用戶賬戶指派資源權(quán)限。這樣可將相同的資源訪問(wèn)權(quán)即為組而不是個(gè)別用戶賬戶指派資源權(quán)限。這樣可將相同的資源

33、訪問(wèn)權(quán)限指派給該組的所有成員限指派給該組的所有成員 (2) 用戶集中的管理用戶集中的管理 可以創(chuàng)建一個(gè)應(yīng)用組，指定組成員的操作權(quán)限，然后向該組中添加需要可以創(chuàng)建一個(gè)應(yīng)用組，指定組成員的操作權(quán)限，然后向該組中添加需要擁有與該組相同權(quán)限的成員擁有與該組相同權(quán)限的成員n2組類(lèi)型組類(lèi)型 (1) 安全組安全組 安全組主要用于控制和管理資源的安全性安全組主要用于控制和管理資源的安全性 可為該組的成員分配訪問(wèn)控制權(quán)限可為該組的成員分配訪問(wèn)控制權(quán)限 (2) 分布式分布式 管理與安全性質(zhì)無(wú)關(guān)的任務(wù)管理與安全性質(zhì)無(wú)關(guān)的任務(wù) 例如，可以將信使所發(fā)送的信息發(fā)送給某個(gè)分布式組例如，可以將信使所發(fā)送的信息發(fā)送給某個(gè)分布式

34、組n3組作用域組作用域 用來(lái)確定在域樹(shù)或林中該組的應(yīng)用范圍用來(lái)確定在域樹(shù)或林中該組的應(yīng)用范圍 有有3 種組作用域種組作用域(1) 全局組全局組n用來(lái)組織用戶，面向域用戶的用來(lái)組織用戶，面向域用戶的n只包含所屬域的域用戶賬戶只包含所屬域的域用戶賬戶(2) 本地域組本地域組n用來(lái)管理域的資源用來(lái)管理域的資源(3) 通用組通用組n用來(lái)管理所有域內(nèi)的資源用來(lái)管理所有域內(nèi)的資源n4Active Directory域內(nèi)置的組域內(nèi)置的組 創(chuàng)建活動(dòng)目錄域時(shí)自動(dòng)生成創(chuàng)建活動(dòng)目錄域時(shí)自動(dòng)生成 方便管理員控制對(duì)共享資源的訪問(wèn)，并委托特定方便管理員控制對(duì)共享資源的訪問(wèn)，并委托特定域范圍的管理角色域范圍的管理角色 例如

35、，例如，Backup Operators組的成員有權(quán)對(duì)域中組的成員有權(quán)對(duì)域中的所有域控制器執(zhí)行備份操作的所有域控制器執(zhí)行備份操作n1創(chuàng)建組創(chuàng)建組 (1) 打開(kāi)【新建對(duì)象打開(kāi)【新建對(duì)象-組】組】對(duì)話框?qū)υ捒?(2)設(shè)置設(shè)置 輸入要?jiǎng)?chuàng)建的組的名稱輸入要?jiǎng)?chuàng)建的組的名稱 選擇組的作用范圍選擇組的作用范圍 選擇組類(lèi)型選擇組類(lèi)型n2設(shè)置組屬性 (1) 右擊要添加成員的組，右擊要添加成員的組，選擇【屬性】命令，打開(kāi)該選擇【屬性】命令，打開(kāi)該組的屬性對(duì)話框組的屬性對(duì)話框 (2) 在【常規(guī)】選項(xiàng)卡中在【常規(guī)】選項(xiàng)卡中 ，設(shè)置設(shè)置 組的注釋信息組的注釋信息 組管理員的電子郵件組管理員的電子郵件 修改組的作用域和組

36、的類(lèi)型修改組的作用域和組的類(lèi)型n2設(shè)置組屬性（續(xù)）設(shè)置組屬性（續(xù)） (3)在【成員】選項(xiàng)卡，添加或在【成員】選項(xiàng)卡，添加或刪除組成員刪除組成員 (4) 在【隸屬于】選項(xiàng)卡中，向在【隸屬于】選項(xiàng)卡中，向新組添加內(nèi)置組來(lái)設(shè)置權(quán)限新組添加內(nèi)置組來(lái)設(shè)置權(quán)限 (5) 在【管理者】選項(xiàng)卡中，更在【管理者】選項(xiàng)卡中，更改組管理者改組管理者 (6) 屬性設(shè)置完畢，單擊【確定】屬性設(shè)置完畢，單擊【確定】按鈕保存設(shè)置按鈕保存設(shè)置n3刪除組刪除組 (1) 單擊要?jiǎng)h除的組或組織單位所在的組織單位，單擊要?jiǎng)h除的組或組織單位所在的組織單位，檢查窗格中列出該組織單位的內(nèi)容檢查窗格中列出該組織單位的內(nèi)容 (2) 右擊要?jiǎng)h除的

37、組或組織單位，選擇【刪除】右擊要?jiǎng)h除的組或組織單位，選擇【刪除】命令，這時(shí)系統(tǒng)會(huì)提示是否要?jiǎng)h除，單擊【確定】命令，這時(shí)系統(tǒng)會(huì)提示是否要?jiǎng)h除，單擊【確定】按鈕按鈕n工作過(guò)程一：安裝工作過(guò)程一：安裝Active Directory域服務(wù)器域服務(wù)器 (1) 規(guī)劃與安裝操作系統(tǒng)規(guī)劃與安裝操作系統(tǒng) (2) 利用添加角色向?qū)О惭b利用添加角色向?qū)О惭bActive Directory域服務(wù)域服務(wù) (3) 運(yùn)行運(yùn)行Active Directory域服務(wù)安裝向?qū)в蚍?wù)安裝向?qū)?(4) 檢查檢查DNS服務(wù)器內(nèi)服務(wù)器內(nèi)SRV記錄的完整性記錄的完整性n工作過(guò)程二：將客戶機(jī)加入域工作過(guò)程二：將客戶機(jī)加入域 (1) 在客戶

38、機(jī)上，配置在客戶機(jī)上，配置 TCP/IP屬性，指定屬性，指定DNS服務(wù)器的地址服務(wù)器的地址 (2) 打開(kāi)【系統(tǒng)屬性】對(duì)話框，選中【域】單選按鈕，輸入要加入的域的名打開(kāi)【系統(tǒng)屬性】對(duì)話框，選中【域】單選按鈕，輸入要加入的域的名稱稱 (3) 輸入具有加入到域權(quán)限的賬戶名稱和密碼。輸入具有加入到域權(quán)限的賬戶名稱和密碼。 (4) 重新啟動(dòng)客戶機(jī)，登錄到域重新啟動(dòng)客戶機(jī)，登錄到域n工作過(guò)程三：創(chuàng)建組織單位工作過(guò)程三：創(chuàng)建組織單位 創(chuàng)建符合創(chuàng)建符合XYZ公司組織架構(gòu)的組織單位公司組織架構(gòu)的組織單位n工作過(guò)程四：創(chuàng)建域用戶賬戶工作過(guò)程四：創(chuàng)建域用戶賬戶 制訂制訂XYZ公司用戶賬戶命名規(guī)則、密碼要求公司用戶賬

39、戶命名規(guī)則、密碼要求 為為XYZ公司所有員工創(chuàng)建一個(gè)域賬號(hào)公司所有員工創(chuàng)建一個(gè)域賬號(hào)n工作過(guò)程五：創(chuàng)建域組賬戶工作過(guò)程五：創(chuàng)建域組賬戶 對(duì)對(duì)XYZ公司用戶使用網(wǎng)絡(luò)資源情況進(jìn)行分類(lèi)，規(guī)則用戶組公司用戶使用網(wǎng)絡(luò)資源情況進(jìn)行分類(lèi)，規(guī)則用戶組 創(chuàng)建各種用戶組創(chuàng)建各種用戶組 設(shè)置組的屬性，向組中添加域用戶賬號(hào)設(shè)置組的屬性，向組中添加域用戶賬號(hào)n4.8.1 訓(xùn)練實(shí)例訓(xùn)練實(shí)例 n4.8.2 工作實(shí)踐常見(jiàn)問(wèn)題解析工作實(shí)踐常見(jiàn)問(wèn)題解析 n實(shí)訓(xùn)環(huán)境和條件實(shí)訓(xùn)環(huán)境和條件 (1) 網(wǎng)絡(luò)環(huán)境或網(wǎng)絡(luò)環(huán)境或VMware 6.0 Workstation虛擬機(jī)軟件。虛擬機(jī)軟件。 (2) 安裝有安裝有Windows Server

40、 2008的物理計(jì)算機(jī)或虛擬機(jī)的物理計(jì)算機(jī)或虛擬機(jī)(充當(dāng)域控制器充當(dāng)域控制器)。 (3) 安裝有安裝有Windows XP/Vista/7的物理計(jì)算機(jī)或虛擬機(jī)的物理計(jì)算機(jī)或虛擬機(jī)(充當(dāng)域客戶端充當(dāng)域客戶端)。n實(shí)訓(xùn)目的實(shí)訓(xùn)目的 通過(guò)安裝通過(guò)安裝Active Directory來(lái)創(chuàng)建來(lái)創(chuàng)建Windows域，域， 通過(guò)【通過(guò)【Active Directory用戶和計(jì)算機(jī)】窗口來(lái)組織和管理域?qū)ο笥脩艉陀?jì)算機(jī)】窗口來(lái)組織和管理域?qū)ο髇【實(shí)訓(xùn)內(nèi)容【實(shí)訓(xùn)內(nèi)容】 (1) Active Directory域控制器的安裝與配置。域控制器的安裝與配置。 (2) 將將Windows計(jì)算機(jī)加入和登錄域中，使用活動(dòng)目錄

41、中資源。計(jì)算機(jī)加入和登錄域中，使用活動(dòng)目錄中資源。 (3) 創(chuàng)建和管理組織單位。創(chuàng)建和管理組織單位。 (4) 創(chuàng)建和管理域用戶賬戶。創(chuàng)建和管理域用戶賬戶。 (5) 創(chuàng)建和管理域組賬戶。創(chuàng)建和管理域組賬戶。n【實(shí)訓(xùn)過(guò)程【實(shí)訓(xùn)過(guò)程】 （略）（略）n【問(wèn)題【問(wèn)題1】創(chuàng)建】創(chuàng)建AD域時(shí)，由于沒(méi)有域時(shí)，由于沒(méi)有NTFS分區(qū)，導(dǎo)致分區(qū)，導(dǎo)致AD安裝失敗？安裝失??？【答】在【答】在Windows Server 2008成員或獨(dú)立服務(wù)上安裝成員或獨(dú)立服務(wù)上安裝AD時(shí)，其上必須有一個(gè)時(shí)，其上必須有一個(gè)NTFS 5.0分區(qū)，用來(lái)保存分區(qū)，用來(lái)保存AD的的SYSVOL文件夾。如果文件夾。如果C是引導(dǎo)分區(qū)，即系統(tǒng)夾是

42、引導(dǎo)分區(qū)，即系統(tǒng)夾windows所在分區(qū)，采用所在分區(qū)，采用FAT32分區(qū)，系統(tǒng)會(huì)自動(dòng)查找下一個(gè)可用的分區(qū)，系統(tǒng)會(huì)自動(dòng)查找下一個(gè)可用的NTFS分區(qū)來(lái)存放系統(tǒng)卷，如分區(qū)來(lái)存放系統(tǒng)卷，如D:SYSVOL。如果找不到如果找不到NTFS分區(qū)，就會(huì)出錯(cuò)，導(dǎo)致分區(qū)，就會(huì)出錯(cuò)，導(dǎo)致AD安裝失敗。這時(shí)可利用安裝失敗。這時(shí)可利用convert命令將某個(gè)命令將某個(gè)FAT32分區(qū)轉(zhuǎn)成分區(qū)轉(zhuǎn)成NTFS分區(qū)，這個(gè)轉(zhuǎn)換會(huì)保持?jǐn)?shù)據(jù)分區(qū)，這個(gè)轉(zhuǎn)換會(huì)保持?jǐn)?shù)據(jù)的完好。但要注意這個(gè)轉(zhuǎn)換是單向不可逆，要恢復(fù)到的完好。但要注意這個(gè)轉(zhuǎn)換是單向不可逆，要恢復(fù)到FAT分區(qū)，除非重新格式化該分區(qū)。分區(qū)，除非重新格式化該分區(qū)。n【問(wèn)題【問(wèn)題2】

43、建立】建立AD域，需要有什么樣的權(quán)限才行？域，需要有什么樣的權(quán)限才行？【答】若是創(chuàng)建林內(nèi)的第一個(gè)域，即林根域，只要有目標(biāo)計(jì)算機(jī)上的本地管理員權(quán)限即可。作為已有域的附加【答】若是創(chuàng)建林內(nèi)的第一個(gè)域，即林根域，只要有目標(biāo)計(jì)算機(jī)上的本地管理員權(quán)限即可。作為已有域的附加DC，需要該域的域管理員，需要該域的域管理員(Domain Admins)權(quán)限。安裝子域的權(quán)限。安裝子域的DC，或新樹(shù)的，或新樹(shù)的DC，都涉及林結(jié)構(gòu)的改變，需要林管理員，都涉及林結(jié)構(gòu)的改變，需要林管理員(Enterprise Admins)權(quán)限才行。權(quán)限才行。n【問(wèn)題【問(wèn)題3】客戶機(jī)加入到域時(shí)，顯示沒(méi)有加入域的權(quán)限，為什么？】客戶機(jī)加入

44、到域時(shí)，顯示沒(méi)有加入域的權(quán)限，為什么？【答】要想把一臺(tái)計(jì)算機(jī)加入到域，必須以這臺(tái)計(jì)算機(jī)上的本地管理員【答】要想把一臺(tái)計(jì)算機(jī)加入到域，必須以這臺(tái)計(jì)算機(jī)上的本地管理員(默認(rèn)為默認(rèn)為administrator)身份登錄，保證對(duì)這臺(tái)計(jì)算機(jī)有管理控身份登錄，保證對(duì)這臺(tái)計(jì)算機(jī)有管理控制權(quán)限。并按照提示輸入一個(gè)域用戶賬號(hào)或域管理員賬號(hào)，保證能在域內(nèi)為這臺(tái)計(jì)算機(jī)創(chuàng)建一個(gè)計(jì)算機(jī)賬號(hào)。制權(quán)限。并按照提示輸入一個(gè)域用戶賬號(hào)或域管理員賬號(hào)，保證能在域內(nèi)為這臺(tái)計(jì)算機(jī)創(chuàng)建一個(gè)計(jì)算機(jī)賬號(hào)。n【問(wèn)題【問(wèn)題4】客戶機(jī)加入到域時(shí)，顯示】客戶機(jī)加入到域時(shí)，顯示“域域xxx不是不是AD域，或用于域的域，或用于域的AD域控制器無(wú)法聯(lián)系

45、上。域控制器無(wú)法聯(lián)系上?！卞e(cuò)誤，如何解決？錯(cuò)誤，如何解決？【答】在【答】在Windows 2000/2003/2008域中，域中，Windows 2000及以上客戶機(jī)主要靠及以上客戶機(jī)主要靠DNS來(lái)查找域控制器來(lái)查找域控制器(DC)，獲得，獲得DC的的IP地址，然地址，然后開(kāi)始進(jìn)行網(wǎng)絡(luò)身份驗(yàn)證。后開(kāi)始進(jìn)行網(wǎng)絡(luò)身份驗(yàn)證。DNS不可用時(shí)，也可以利用瀏覽服務(wù)，但會(huì)比較慢。不可用時(shí)，也可以利用瀏覽服務(wù)，但會(huì)比較慢。Windows 2000以前老版本計(jì)算機(jī)，不能利用以前老版本計(jì)算機(jī)，不能利用DNS來(lái)來(lái)定位定位DC，只能利用瀏覽服務(wù)、，只能利用瀏覽服務(wù)、WINS、lmhosts文件來(lái)定位文件來(lái)定位DC。所

46、以加入域時(shí)，為了能找到。所以加入域時(shí)，為了能找到DC，應(yīng)首先將客戶機(jī)，應(yīng)首先將客戶機(jī)TCP/IP配置中指向配置中指向DC所用的所用的DNS服務(wù)器。加入域時(shí)，如果輸入的域名為服務(wù)器。加入域時(shí)，如果輸入的域名為FQDN格式，如格式，如，必須利用，必須利用DNS中的中的SRV記錄來(lái)找到記錄來(lái)找到DC，如果客戶機(jī)的，如果客戶機(jī)的DNS指向不對(duì)，就無(wú)法加入到域，出錯(cuò)提示為指向不對(duì)，就無(wú)法加入到域，出錯(cuò)提示為“域域xxx不是不是AD域，或用于域的域，或用于域的AD域控制器無(wú)法聯(lián)系上域控制器無(wú)法聯(lián)系上”。Windows 2000及以上版本及以上版本的計(jì)算機(jī)跨子網(wǎng)的計(jì)算機(jī)跨子網(wǎng)(路由路由)加入域時(shí)，也就是說(shuō)，

47、加入域的計(jì)算機(jī)是加入域時(shí)，也就是說(shuō)，加入域的計(jì)算機(jī)是Windows 2000及以上，且與及以上，且與DC不在同一子網(wǎng)時(shí)，應(yīng)該用此方法。如不在同一子網(wǎng)時(shí)，應(yīng)該用此方法。如果輸入的域名為果輸入的域名為NetBIOS格式，如格式，如xyz，也可以利用瀏覽服務(wù)，也可以利用瀏覽服務(wù)(廣播方式廣播方式)直接找到直接找到DC，但瀏覽服務(wù)不是一個(gè)完善的服務(wù)，雖然可以把計(jì)，但瀏覽服務(wù)不是一個(gè)完善的服務(wù)，雖然可以把計(jì)算機(jī)加入到域，但在加入域和以后登錄時(shí)，需要等待較長(zhǎng)的時(shí)間，所以不推薦。再者，由于客戶機(jī)的算機(jī)加入到域，但在加入域和以后登錄時(shí)，需要等待較長(zhǎng)的時(shí)間，所以不推薦。再者，由于客戶機(jī)的DNS指得不對(duì)，則它無(wú)法利用指得不對(duì)，則它無(wú)法利用Windows 2000 DNS的動(dòng)態(tài)更新動(dòng)能，也就是說(shuō)無(wú)法在的動(dòng)態(tài)更新動(dòng)能，也就是說(shuō)無(wú)法在DNS區(qū)域中自動(dòng)生成關(guān)于這臺(tái)計(jì)算機(jī)的區(qū)域中自動(dòng)生成關(guān)于這臺(tái)計(jì)算機(jī)的A記錄和記錄和PTR記錄。那么同一域另一子記錄。那么同一域另一子網(wǎng)的網(wǎng)的Windows 2000及以上計(jì)算機(jī)就無(wú)法利用及以上計(jì)算機(jī)就無(wú)法利用DNS找到它，這本應(yīng)該是可以的。若客戶機(jī)的找到它，這本應(yīng)該是可以的。若客戶機(jī)的DNS配置沒(méi)問(wèn)題，可使用配置沒(méi)問(wèn)題，可使用nslookup命令確命令確認(rèn)一下客戶機(jī)能否通過(guò)認(rèn)一下客戶機(jī)能否通過(guò)DNS查找到查找到DC，再，再ping一下一下DC看是否通?？?/p>