Windows Server 域及其賬戶管理

會計(jì)學(xué)1WindowsServer域及其賬戶管理第4章WindowsServer2003域及其賬戶管理第1頁/共62頁第4章WindowsServer2003域及其賬戶管理第二講WindowsServer2003域及其賬戶管理[教學(xué)標(biāo)題]:WindowsServer2003域及其賬戶管理[教學(xué)地點(diǎn)]:3語音室[教學(xué)學(xué)時(shí)]:2學(xué)時(shí)第2頁/共62頁學(xué)習(xí)目標(biāo)

[知識目標(biāo)]:活動目錄的基本概念

[能力目標(biāo)]:活動目錄的規(guī)劃與安裝域控制器的管理用戶賬戶和計(jì)算機(jī)賬戶的管理組和組織單位的管理資源發(fā)布和域的管理第3頁/共62頁第4章WindowscServerc2003c域及其賬戶管理$

[教學(xué)重點(diǎn)]:活動目錄的規(guī)劃與安裝、用戶賬戶和計(jì)算機(jī)賬戶的管理8

[教學(xué)難點(diǎn)]:域控制器的管理、用戶賬戶和計(jì)算機(jī)賬戶的管理第4頁/共62頁第4章WindowscServerc2003c域及其賬戶管理$

[課型]:講授型＋操作型$

[教學(xué)方法]

:任務(wù)驅(qū)動法、案例教學(xué)法$

[教學(xué)手段]:多媒體教學(xué)第5頁/共62頁5.1概述5.1.1活動目錄簡介5.1.2活動目錄的三種特性集成性深入性易用性第6頁/共62頁5.2安裝活動目錄5.2.1活動目錄的規(guī)劃規(guī)劃DNS規(guī)劃域結(jié)構(gòu)規(guī)劃組織單位結(jié)構(gòu)規(guī)劃委派模式第7頁/共62頁5.2.2安裝活動目錄（1）安裝活動目錄具體步驟如下：步驟一，啟動WindowsServer2003系統(tǒng)自動打開“Server2003配置服務(wù)器”窗口，或者選擇“開始”/“程序”/“管理工具”/“配置服務(wù)器”，打開如圖5-1所示配置服務(wù)器向?qū)Т翱?。步驟二，單擊“下一步”，出現(xiàn)一個(gè)配置服務(wù)器向?qū)У念A(yù)備步驟窗口，以確認(rèn)所提到的步驟已完成。單擊“下一步”，出現(xiàn)檢測網(wǎng)絡(luò)設(shè)置窗口，如圖5-2所示。步驟三，接下來出現(xiàn)配置選項(xiàng)窗口，我們選擇“自定義配置”選項(xiàng)，單擊“下一步”，出現(xiàn)服務(wù)器角色窗口，也就是你想讓你的服務(wù)器擔(dān)任的角色，我們從列表中選擇“域控制器”。如圖5-3所示。單擊“下一步”按鈕，出現(xiàn)確認(rèn)窗口，以確認(rèn)選擇了正確角色。單擊“下一步”，出現(xiàn)“ActiveDirectory安裝向?qū)Т翱凇?如圖5-4所示。也可省去前面步驟，直接通過“開始”/“運(yùn)行”，打開“運(yùn)行”對話框，輸入dcpromo命令，單擊“確定”按鈕，打開如圖5-4所示的對話框。第8頁/共62頁圖5-1“Server2003配置服務(wù)器”窗口圖5-2顯示活動目錄內(nèi)容5.2.2安裝活動目錄（2）第9頁/共62頁5.2.2安裝活動目錄（3）步驟四，單擊“下一步”，打開“操作系統(tǒng)兼容性”對話框。其大意是早期的Windows版本無法登錄WindowsServer2003創(chuàng)建的域。圖5-3服務(wù)器角色配置窗口第10頁/共62頁5.2.2安裝活動目錄（4）步驟五，單擊“下一步”，“ActiveDirectory安裝向?qū)А睍儐栃陆ǖ挠蚩刂破鞯男再|(zhì)，如圖5-5，我們選擇“新域的域控制器”。圖5-4ActiveDirectory安裝向?qū)Т翱诘?1頁/共62頁5.2.2安裝活動目錄（5）步驟六，單擊“下一步”，打開如圖5-6所示的“創(chuàng)建一個(gè)新域”對話框，如果所創(chuàng)建的域?yàn)閱挝坏牡谝粋€(gè)域，或者希望所創(chuàng)建的新域獨(dú)立于現(xiàn)有目錄林，可選擇“新林中的域”。如果希望新的域成為現(xiàn)有域的子域，則選擇“現(xiàn)有域中的子域”。如想創(chuàng)建一個(gè)與現(xiàn)有域樹分開的、新的域樹，則選擇“在現(xiàn)有林中的域樹”。這里我們選擇“新林中的域”。

圖5-5選擇域控制器的類型圖5-6選擇創(chuàng)建域的類型第12頁/共62頁5.2.2安裝活動目錄（6）步驟七，單擊“下一步”，打開如圖5-7所示的指定域名對話框，在“新域的DNS全名”文本框中輸入新建域的DNS全名，例如。步驟八，單擊“下一步”，打開如圖5-8所示的“NetBIOS域名”對話框，在“域NetBIOS名”文本框中輸入NetBIOS域名，或者接受顯示的名稱。NetBIOS域名是供早期的Windows用戶用來識別新域的。

圖5-7指定新域名圖5-8指定NetBIOS第13頁/共62頁5.2.2安裝活動目錄（7）步驟九，單擊“下一步”，打開如圖5-9所示的“數(shù)據(jù)庫和日志文件文件夾”對話框，在“數(shù)據(jù)庫文件夾”文本框中輸入保存數(shù)據(jù)庫的位置，或者單擊“瀏覽”按鈕選擇路徑，在“日志文件夾”文本框中輸入保存日志的位置或單擊“瀏覽”按鈕選擇路徑。注意，基于最佳性和可恢復(fù)性的考慮，最好將活動目錄的數(shù)據(jù)庫和日志保存在不同的硬盤上。步驟十，單擊“下一步”，打開如圖5-10所示的“共享的系統(tǒng)卷”對話框，在Server2003中，Sysvol文件夾存放域的公用文件的服務(wù)器副本，它的內(nèi)容將被復(fù)制到域中的所有域控制器上。在“文件夾位置”文本框中輸入Sysvol文件夾位置，如本例中對應(yīng)文件夾為c:\WINNT\SYSVOL，或單擊“瀏覽”按鈕選擇路徑。步驟十一，單擊“下一步”，會出現(xiàn)“ActiveDirectory安裝向?qū)А钡腄NS注冊診斷程序?qū)υ捒?，如圖5-11。我們選擇“在這臺計(jì)算機(jī)上安裝并配置DNS服務(wù)器，并將這臺DNS服務(wù)器設(shè)為計(jì)算機(jī)的首選DNS服務(wù)器”。第14頁/共62頁5.2.2安裝活動目錄（8）圖5-9指定活動目錄的數(shù)據(jù)庫和日志文件的文件夾圖5-10指定系統(tǒng)卷共享文件夾第15頁/共62頁5.2.2安裝活動目錄（9）步驟十二，單擊“下一步”，打開如圖5-12所示的“權(quán)限”對話框，為用戶和組選擇默認(rèn)權(quán)限，如果單位中還存在或?qū)⒁肳indows2000的以前版本，選擇“與Windows2000之前的服務(wù)器操作系統(tǒng)兼容的權(quán)限”。否則，選擇“只與Windows2000或WindowsServer2003操作系統(tǒng)兼容的權(quán)限”。

圖5-11DNS注冊診斷圖5-12權(quán)限設(shè)置第16頁/共62頁5.2.2安裝活動目錄（10）步驟十三，單擊“下一步”，打開“目錄服務(wù)還原模式的管理員密碼”對話框，如圖5-13所示，輸入并牢記該密碼，以備將來目錄服務(wù)還原模式下使用。步驟十四，單擊“下一步”，打開“摘要”對話框，如圖5-14所示。通過該對話框，用戶可檢查并確認(rèn)設(shè)置的各個(gè)選項(xiàng)。圖5-13輸入目錄服務(wù)恢復(fù)模式管理員密碼

圖5-14確認(rèn)選定的選項(xiàng)第17頁/共62頁步驟十五，單擊“下一步”，系統(tǒng)開始配置活動目錄，中間將需要WindowsServer2003安裝光盤，如圖5-15所示。此時(shí)如果將2003光盤放入光驅(qū)，系統(tǒng)會自動完成對DNS服務(wù)器得配置。步驟十六，經(jīng)過幾分鐘之后，配置完成。同時(shí)，打開“完成ActiveDirectory安裝向?qū)А睂υ捒?，如圖5-16所示，單擊“完成”，即完成活動目錄的安裝。圖5-15配置活動目錄

圖5-16完成活動目錄的安裝

5.2.2安裝活動目錄（11）第18頁/共62頁5.2.2安裝活動目錄（12）活動目錄安裝完成之后，必須重新啟動計(jì)算機(jī)，活動目錄才會生效。注意：在活動目錄安裝之后，不但服務(wù)器的開機(jī)和關(guān)機(jī)時(shí)間變長，而且系統(tǒng)的執(zhí)行速度變慢。所以，如果用戶對某個(gè)服務(wù)器沒有特別要求或不把它作為域控制器來使用，可將該服務(wù)器上的活動目錄刪除，使其降級為成員服務(wù)器或獨(dú)立服務(wù)器。成員服務(wù)器是指安裝到現(xiàn)有域中的附加域控制器；獨(dú)立服務(wù)器是指在名稱空間目錄樹中直接位于另一個(gè)域名之下的服務(wù)器。刪除活動目錄使服務(wù)器成為成員服務(wù)器還是獨(dú)立服務(wù)器，取決于該服務(wù)器的域控制器的類型。如果要刪除活動目錄的服務(wù)器不是域中的唯一的域控制器，則刪除活動目錄將使該服務(wù)器成為成員服務(wù)器；如果要刪除活動目錄的服務(wù)器是域中最后一個(gè)域控制器，則刪除活動目錄將使該服務(wù)器成為獨(dú)立服務(wù)器。要刪除活動目錄，打開“開始”菜單，選擇“運(yùn)行”命令，打開“運(yùn)行”對話框，輸入dcpromo命令，然后單擊“確定”按鈕，打開“ActiveDirectory安裝向?qū)А睂υ捒?，并沿著向?qū)нM(jìn)行刪除，這里不再細(xì)述其過程。

第19頁/共62頁5.2.3檢驗(yàn)安裝結(jié)果在安裝完成后，可以通過以下方法檢驗(yàn)ActiveDirectory安裝是否正確，在安裝過程中一項(xiàng)最重要的工作是在DNS數(shù)據(jù)庫中添加服務(wù)記錄（SRV記錄），下面介紹一下如何檢查安裝結(jié)果。1．檢查DNS文件的SRV記錄。用文本編輯器打開%SystemRoot%/system32/config/中的Netlogon.dns文件，察看LDAP服務(wù)記錄，在本例中為_ldap._.600INSRV0100389。2．驗(yàn)證SRV記錄在NSLOOKUP命令工具中運(yùn)行是否正常。（1）在命令提示行下，輸入NSLOOKUP；（2）輸入settype=srv；（3）輸入_ldap._。如果返回了服務(wù)器名和IP地址，說明SRV記錄工作正常。

第20頁/共62頁5.3域控制器管理域（Domain）是活動目錄的分區(qū)，定義了安全邊界，在沒經(jīng)過授權(quán)的情況下，不允許其他域中的用戶訪問本域中的資源。活動目錄可由一個(gè)或多個(gè)域組成，每一個(gè)域可以存儲上百萬個(gè)對象，域之間還有層次關(guān)系，可以建立域樹和域林，如圖5-17、5-18所示，進(jìn)行無限地域擴(kuò)展。圖中的雙箭頭表示域之間的信任關(guān)系，Server2003中域的信任關(guān)系都是雙向和可傳遞的。

圖

5-17域樹

圖

5-18域林

第21頁/共62頁5.3.1設(shè)置域控制器屬性（1）設(shè)置域控制器屬性，具體步驟如下：步驟一，選擇“開始”/“程序”/“管理工具”/“ActiveDirectory用戶與計(jì)算機(jī)”菜單，打開“ActiveDirectory用戶與計(jì)算機(jī)”管理窗口，如圖5-19所示。步驟二，在控制臺目錄樹中，雙擊展開域節(jié)點(diǎn)。單擊DomainControllers子節(jié)點(diǎn)。步驟三，在詳細(xì)資料窗格中，右擊要設(shè)置屬性的域控制器，從彈出的快捷菜單中選擇“屬性”，打開該控制器的“屬性”對話框，如圖5-20所示。步驟四，在“常規(guī)”選項(xiàng)卡的“描述”文本框中輸入對域控制器的一般描述。如果不希望域控制器的可受信任用來作為委派，可禁用“信任計(jì)算機(jī)作為委派”復(fù)選框。步驟五，選擇“操作系統(tǒng)”選項(xiàng)卡，在該選項(xiàng)卡中，顯示出操作系統(tǒng)的名稱、版本以及ServicePack，管理員只能查看并不能修改這些內(nèi)容。步驟六，選擇如圖5-21所示的“隸屬于”選項(xiàng)卡，要添加組，單擊“添加”按鈕，打開“選擇組”對話框?yàn)橛蚩刂破鬟x擇一個(gè)要添加的組；要刪除某個(gè)已經(jīng)添加的組，在“成員屬于”列表框選擇該組，然后單擊“刪除”按鈕即可。第22頁/共62頁5.3.1設(shè)置域控制器屬性（2）圖5-19ActiveDirectory用戶和計(jì)算機(jī)窗口第23頁/共62頁5.3.1設(shè)置域控制器屬性（3）步驟七，當(dāng)管理員為域控制器添加多個(gè)組時(shí)，還可為域控制器設(shè)置一個(gè)主要組。要設(shè)置主要組，在“隸屬于”列表框中選擇要設(shè)置的主要組，一般為DomainControllers，也可為CertPublishers，然后單擊“設(shè)置主要組”按鈕即可。

步驟八，選擇“位置”選項(xiàng)卡，可以設(shè)置域控制器的位置。步驟九，選擇“管理者”選項(xiàng)卡，要更改域控制器的管理者，可單擊“更改”按鈕，打開“選擇用戶或聯(lián)系人”對話框，選擇新的管理人即可。要刪除管理者，可單擊“清除”按鈕來刪除；要查看和修改管理者屬性，可單擊“查看”按鈕，打開該管理者屬性對話框來進(jìn)行操作。步驟十，域控制器設(shè)置完畢，單擊“確定”按鈕保存設(shè)置。

第24頁/共62頁5.3.1設(shè)置域控制器屬性（4）圖5-20設(shè)置域控制器屬性

圖5-21設(shè)置成員組

第25頁/共62頁5.3.2查找域控制器目錄內(nèi)容（1）要查找目錄內(nèi)容，可參照如下步驟：步驟一，在“ActiveDirectory用戶和計(jì)算機(jī)”窗口的控制臺目錄樹中，鼠標(biāo)右擊域節(jié)點(diǎn)，在彈出的快捷菜單中選擇“查找”命令，打開“查找用戶聯(lián)系人及組”對話框，如圖5-22所示。步驟二，在“查找”下拉列表框中可以選擇要查找的目錄內(nèi)容，包括“用戶、聯(lián)系人及組”、“計(jì)算機(jī)”、“打印機(jī)”、“共享文件夾”、“組織單位”、“自定義搜索”等。例如，在列表中選擇“計(jì)算機(jī)”，如圖5-23所示。在“范圍”下拉列表框中選擇查找范圍，如整個(gè)目錄。步驟三，在“計(jì)算機(jī)”選項(xiàng)卡中，設(shè)置查找條件。例如，在“計(jì)算機(jī)”文本框中輸入要查找的計(jì)算機(jī)名，在“所有者”文本框中輸入計(jì)算機(jī)的用戶名，在“作用”下拉列表框中選擇計(jì)算機(jī)在網(wǎng)絡(luò)中作用。步驟四，單擊“高級”選項(xiàng)卡，要設(shè)置高級查找條件，單擊“字段”按鈕，從彈出的快捷菜單中選擇設(shè)置條件的選項(xiàng)，然后在“條件”下拉列表框和“值”文本框中設(shè)置查詢條件。第26頁/共62頁5.3.2查找域控制器目錄內(nèi)容（2）步驟五，高級條件設(shè)置好之后，單擊“添加”按鈕，將條件添加到下面的文本框中。如果要繼續(xù)添加高級條件，可按照上面步驟繼續(xù)添加。步驟六，所有查找條件設(shè)置完畢，單擊“開始查找”按鈕即開始查找，并將查找結(jié)果列出，如圖5-23下面窗口所示。圖5-22“查找用戶聯(lián)系人及組”對話框圖圖5-23列出查找結(jié)果

第27頁/共62頁5.3.3連接到其他域在一個(gè)多域的網(wǎng)絡(luò)中，用戶經(jīng)常需要將當(dāng)前域連接到其他域，這樣可使當(dāng)前域中的用戶和計(jì)算機(jī)訪問其他域中的資源，也可將當(dāng)前域控制器的部分操作主機(jī)功能傳送給其他域控制器，甚至可將當(dāng)前域控制器更改為其他域中的域控制器。要連接到網(wǎng)絡(luò)中其他域，在控制臺目錄樹中，鼠標(biāo)右擊“ActiveDirectory用戶和計(jì)算機(jī)”根結(jié)點(diǎn)，從彈出的快捷菜單中選擇“連接到域”命令，打開如圖5-24所示的“連接到域”對話框，在“域”文本框中輸入要連接的域的名稱；或者單擊“瀏覽”，打開“瀏覽域”對話框選擇要連接的域，單擊“確定”即可建立連接。圖5-24連接到其他域注意：一般情況下，一個(gè)域網(wǎng)絡(luò)中至少應(yīng)有兩個(gè)域控制器（一個(gè)域控制器和一個(gè)附加域控制器），以便在當(dāng)前域控制器出現(xiàn)故障時(shí)，可使用附加域控制器來代替當(dāng)前域控制器，保證網(wǎng)絡(luò)的正常運(yùn)行。第28頁/共62頁5.3.4更改域控制器要更改域控制器，在控制臺目錄樹中，鼠標(biāo)右擊“ActiveDirectory用戶和計(jì)算機(jī)”根節(jié)點(diǎn)，從彈出的快捷菜單中選擇“連接到域控制器”，打開如圖5-25所示的“連接到域控制器”對話框。在“輸入另一個(gè)域控制器的名稱”文本框中輸入要連接的域控制器；或者從域控制器列表中選擇一個(gè)要連接的域控制器。如果在域中沒有列出其他可用的域控制器，可選擇“任何可寫的域控制器”選項(xiàng)，系統(tǒng)會根據(jù)網(wǎng)絡(luò)連接情況自動選擇可用的域控制器。要連接的域控制器選定之后，單擊“確定”按鈕完成連接。

圖5-25連接到域控制器第29頁/共62頁5.4用戶和計(jì)算機(jī)賬戶管理5.4.1用戶和計(jì)算機(jī)賬戶簡介

用戶賬戶

計(jì)算機(jī)賬戶

第30頁/共62頁5.4.2創(chuàng)建用戶和計(jì)算機(jī)賬戶（1）用戶賬戶的創(chuàng)建可參照如下步驟：步驟一，在“ActiveDirectory用戶和計(jì)算機(jī)”窗口的控制臺目錄樹中，雙擊展開域節(jié)點(diǎn)。步驟二，如果要創(chuàng)建用戶賬戶，鼠標(biāo)右擊要添加用戶的組織單位或容器，從彈出的快捷菜單中選擇“新建”/“用戶”，打開如圖5-26所示的對話框。步驟三，在“姓”和“名”文本框中分別輸入姓和名，并在“用戶登錄名”文本框中輸入用戶登錄時(shí)使用的名字。步驟四，單擊“下一步”，打開如圖5-27所示的對話框。步驟五，在“密碼”和“確認(rèn)密碼”文本框中輸入要為用戶設(shè)置的密碼。如果希望用戶下次登錄時(shí)更改密碼，可選擇“用戶下次登錄時(shí)須更改密碼”，否則選擇“用戶不能更改密碼”。如果希望密碼永遠(yuǎn)不過期，可選擇“密碼永不過期”。如果暫不啟用該用戶賬戶，可選擇“賬戶已禁用”。步驟六，單擊“下一步”按鈕即可完成創(chuàng)建。創(chuàng)建計(jì)算機(jī)賬戶方法同上，只需在上述第2步中選擇“計(jì)算機(jī)”，在彈出的對話框中輸入該計(jì)算機(jī)的名稱，單擊“確定”即可。第31頁/共62頁5.4.2創(chuàng)建用戶和計(jì)算機(jī)賬戶（2）圖5-26新建用戶圖5-27密碼設(shè)置第32頁/共62頁5.4.3刪除用戶和計(jì)算機(jī)賬戶

要刪除一個(gè)用戶和計(jì)算機(jī)賬戶，在控制臺目錄樹中，展開域節(jié)點(diǎn)。單擊要刪除的用戶或者計(jì)算機(jī)所在的組織單位或容器，在詳細(xì)資料窗格中，鼠標(biāo)右擊要刪除的用戶或者計(jì)算機(jī)，從彈出的快捷菜單中選擇“刪除”，出現(xiàn)信息確認(rèn)框后，單擊“是”即可刪除該用戶或者計(jì)算機(jī)。

5.4.4停用用戶和計(jì)算機(jī)賬戶停用用戶賬戶，在控制臺目錄樹中，展開域節(jié)點(diǎn)。單擊要停用的用戶賬戶或者計(jì)算機(jī)所在的組織單位或容器，在詳細(xì)資料窗格中，右擊要停用的用戶或者計(jì)算機(jī)賬戶，從彈出的快捷菜單中選擇“停用賬戶”命令，出現(xiàn)信息確認(rèn)框后，單擊“是”按鈕即可停用被選用戶或者計(jì)算機(jī)賬戶。

第33頁/共62頁5.4.5移動用戶和計(jì)算機(jī)賬戶要移動用戶和計(jì)算機(jī)賬戶，在控制臺目錄樹中，展開域節(jié)點(diǎn)。單擊要移動用戶或者計(jì)算機(jī)賬戶所在的組織單位或容器，在詳細(xì)資料窗格中，鼠標(biāo)右擊要移動的用戶賬戶，從彈出的快捷菜單中選擇“移動”，打開“移動”對話框，在“將對象移動到容器”對話框中雙擊域節(jié)點(diǎn)，展開該節(jié)點(diǎn)，如圖5-28所示。單擊移動的目標(biāo)組織單位，然后單擊“確定”即可完成移動。圖5-28移動賬戶第34頁/共62頁5.4.6為用戶和計(jì)算機(jī)賬戶添加組要為用戶賬戶添加組，在控制臺目錄樹中，展開域節(jié)點(diǎn)，鼠標(biāo)單擊要加入組的用戶所在的組織單位或容器，在詳細(xì)資料窗口中，鼠標(biāo)右鍵單擊該用戶賬戶，從彈出的快捷菜單中選擇“添加到組”，打開如圖5-29所示的“選擇組”對話框，可以直接輸入組對象的名稱，也可以打開“高級”選項(xiàng)卡進(jìn)行查找。然后在組列表框中選擇一個(gè)要添加的組，單擊“確定”按鈕即可為用戶添加組。要為計(jì)算機(jī)賬戶添加組，在控制臺目錄樹中，展開域節(jié)點(diǎn)，鼠標(biāo)單擊“計(jì)算機(jī)”或者要加入組的計(jì)算機(jī)所在的組織單位及容器，在詳細(xì)資料窗口中，鼠標(biāo)右鍵單擊該計(jì)算機(jī)賬戶，從彈出的快捷菜單中選擇“屬性”命令，打開該計(jì)算機(jī)的屬性對話框。然后單擊“成員屬于”標(biāo)簽，打開“隸屬于”選項(xiàng)卡，單擊“添加”按鈕，打開“選擇組”對話框選擇要加入的組，單擊“確定”按鈕完成添加。

圖5-29為用戶添加組

第35頁/共62頁5.4.7重設(shè)用戶密碼

5.4.8管理客戶計(jì)算機(jī)要重新設(shè)置用戶密碼，在控制臺目錄樹中，展開域節(jié)點(diǎn)。然后單擊包含要重新設(shè)置密碼的用戶的組織單位或容器，在詳細(xì)資料窗口中，鼠標(biāo)右鍵單擊該用戶賬戶，從彈出的快捷菜單中選擇“重設(shè)密碼”，打開“重設(shè)密碼”對話框，在“新密碼”和“確認(rèn)密碼”文本框中輸入要設(shè)置的新密碼。如果允許用戶更改密碼，可選擇“用戶下次登錄時(shí)須更改密碼”復(fù)選框。單擊“確定”按鈕保存設(shè)置，同時(shí)系統(tǒng)會打開確認(rèn)信息框，單擊“確定”按鈕可完成設(shè)置。

要管理客戶計(jì)算機(jī)，在控制臺目錄樹中，展開域節(jié)點(diǎn)。然后單擊要管理的計(jì)算機(jī)所在的組織單位，鼠標(biāo)右鍵單擊該計(jì)算機(jī)，從彈出的快捷菜單中選擇“管理”命令，打開該計(jì)算機(jī)的計(jì)算機(jī)管理窗口。在該窗口中，管理員可以對連接的計(jì)算機(jī)進(jìn)行系統(tǒng)工具、存儲、服務(wù)器應(yīng)用程序和服務(wù)等方面的管理。例如可以對該計(jì)算機(jī)上的用戶進(jìn)行管理。

第36頁/共62頁5.5組和組織單位的管理

組是Server2003從Windows2000系統(tǒng)繼承下來的安全管理形式，它是指活動目錄或本地計(jì)算機(jī)對象，包含用戶、聯(lián)系人、計(jì)算機(jī)和其他組等。在Server2003中，組可以用來管理用戶和計(jì)算機(jī)對網(wǎng)絡(luò)資源的訪問，例如活動目錄對象及其屬性、網(wǎng)絡(luò)共享、文件、目錄、打印機(jī)隊(duì)列，還可以篩選組策略。使用組，方便了管理訪問目的和權(quán)限相同的一系列用戶和計(jì)算機(jī)賬戶。組織單位（OrganizationalUnit，OU）是域中包含的一類目錄對象，它包括域中一些用戶、計(jì)算機(jī)和組、文件與打印機(jī)等資源。不過，組織單位不能包含其他域中的對象。由于活動目錄服務(wù)把域又詳細(xì)的劃分成組織單位，且組織單位中還可以再劃分下級組織單位，因此組織單位的分層結(jié)構(gòu)可用來建立域的分層結(jié)構(gòu)模型，進(jìn)而可使用戶把網(wǎng)絡(luò)所需的域的數(shù)量減至最小。注意：組和組織單位有很大的不同。組主要用于權(quán)限設(shè)置，而組織單位則主要用于網(wǎng)絡(luò)構(gòu)建；另外，組織單位只表示單個(gè)域中的對象集合（可包括組對象），而組可以包含用戶、計(jì)算機(jī)、本地服務(wù)器上的共享資源、單個(gè)域、域目錄樹或目錄林。

第37頁/共62頁5.5.1創(chuàng)建新組和組織單位要創(chuàng)建新組，在控制臺目錄樹中，展開域節(jié)點(diǎn)。鼠標(biāo)右鍵單擊要進(jìn)行組創(chuàng)建的組織單位或容器，從彈出的快捷菜單中選擇“新建”/“組”命令，打開如圖5-30所示的對話框，在“組名”文本框中輸入要創(chuàng)建的組名。在“組作用域”選項(xiàng)區(qū)域中，選擇單選按鈕來確定組的作用域；在“組類型”選項(xiàng)區(qū)域中，通過單選按鈕來選擇新組的類型。單擊“確定”按鈕即完成組的創(chuàng)建。要添加組織單位，在控制臺目錄樹中，展開域節(jié)點(diǎn)。鼠標(biāo)右鍵單擊域節(jié)點(diǎn)或者可添加組織單位的文件夾節(jié)點(diǎn)，從彈出的快捷菜單中選擇“新建”/“組織單位”命令，在打開的對話框的“名稱”文本框中輸入新創(chuàng)建組織單位的名稱，單擊“確定”即可。圖5-30創(chuàng)建組第38頁/共62頁5.5.2刪除組和組織單位要刪除組和組織單位，在控制臺目錄樹中，展開域節(jié)點(diǎn)。鼠標(biāo)單擊要刪除的組或組織單位所在的組織單位，詳細(xì)資料窗格中會列出該組織單位的內(nèi)容。然后鼠標(biāo)右鍵單擊要刪除的組或組織單位，選擇快捷菜單中“刪除”命令，這時(shí)系統(tǒng)會打開信息確認(rèn)框，單擊“是”按鈕即完成組或組織單位的刪除。第39頁/共62頁5.5.3委派控制組或組織單位（1）

如果要對某個(gè)組或組織單位進(jìn)行委派控制，可參照下面的步驟：步驟一，在“ActiveDirectory用戶與計(jì)算機(jī)”窗口的控制臺目錄樹中，鼠標(biāo)雙擊展開域節(jié)點(diǎn)。步驟二，鼠標(biāo)右鍵單擊要委派控制的組織單位或組節(jié)點(diǎn)，例如Users，從彈出的快捷菜單中選擇“委派控制”命令，進(jìn)入“控制委派向?qū)А贝翱?，單擊“下一步”按鈕。步驟三，在打開的“用戶和組”對話框中，單擊“添加”按鈕，打開“選擇用戶、計(jì)算機(jī)或組”對話框，你可以直接輸入一個(gè)或多個(gè)要委派控制的用戶或組，也可單擊“高級”選項(xiàng)卡進(jìn)行查找，從列表中選擇一個(gè)或多個(gè)要委派控制的用戶或組。步驟四，選擇之后單擊“確定”按鈕，則在圖5-31中的“輸入對象名來選擇”文本框中會出現(xiàn)所選對象，單擊“確定”。步驟五，在打開的窗口中單擊“下一步”按鈕，打開“要委派的任務(wù)”對話框。我們可以選擇要委派的常見任務(wù)。我們這里選擇“創(chuàng)建自定義任務(wù)去委派”選項(xiàng)。步驟六，單擊“下一步”按鈕，打開如圖5-32所示對話框。指定委派任務(wù)范圍。如果要委派的對象為整個(gè)文件夾，可選擇“這個(gè)文件夾”，如果要委派的對象只是文件夾中的對象，可選擇“文件夾中的對象”，并在“對象類型”列表框中通過復(fù)選框來選擇對象。

第40頁/共62頁5.5.3委派控制組或組織單位（2）圖5-31選擇用戶和組

步驟七，單擊“下一步”按鈕，打開“權(quán)限”對話框，如圖5-33所示。通過選擇“要委派的權(quán)限”復(fù)選框來選擇要委派的權(quán)限，例如選擇“讀取”、“創(chuàng)建所有子對象”等復(fù)選框設(shè)置相應(yīng)權(quán)限。注意，對不同資源進(jìn)行控制委派，配置向?qū)в兴煌?/p>

第41頁/共62頁5.5.3委派控制組或組織單位（3）圖5-32定義要委派控制任務(wù)圖5-33指定委派權(quán)限第42頁/共62頁5.5.4設(shè)置組織單位屬性（1）要設(shè)置組織單位的屬性，可參照下面的步驟。步驟一，在控制臺目錄樹中，鼠標(biāo)右鍵單擊要設(shè)置屬性的組織單位，從彈出的快捷菜單中選擇“屬性”命令，打開該組織單位的屬性對話框，如圖5-34所示。步驟二，在“常規(guī)”選項(xiàng)卡中，可以設(shè)置“描述”、“省/自治區(qū)”、“縣市”、“街道”和“郵政編碼”等計(jì)算機(jī)和用戶常規(guī)信息。

圖5-34設(shè)置屬性圖5-35管理組策略第43頁/共62頁5.5.4設(shè)置組織單位屬性（2）步驟三，選擇“管理者”選項(xiàng)卡，單擊“更改”按鈕，打開“選擇用戶或聯(lián)系人”對話框選擇一個(gè)用戶或聯(lián)系人作為管理者；管理者更改之后，單擊“屬性”按鈕，可打開所更改的管理者的屬性對話框，管理員可對管理者的屬性進(jìn)行修改，如果要清除管理者，單擊“清除”按鈕即可。步驟四，單擊“組策略”選項(xiàng)卡，如圖5-35所示。要新建一個(gè)組策略對象，單擊“新建”按鈕，在“組策略對象鏈接”列表框中會出現(xiàn)一個(gè)新的組策略對象，在其名稱文本框中為新策略輸入一個(gè)有意義的名稱。步驟五，單擊“編輯”按鈕，會打開如圖5-36所示的“組策略編輯器”窗口。在該窗口中，管理員可對創(chuàng)建的組策略進(jìn)行編輯，包括計(jì)算機(jī)配置和用戶配置兩個(gè)方面。如圖5-36所示可以對計(jì)算機(jī)配置中的“登錄”策略進(jìn)行編輯，例如登錄時(shí)是否顯示歡迎界面，啟動和登錄是否等待網(wǎng)絡(luò)等性質(zhì)進(jìn)行設(shè)置。編輯完畢，關(guān)閉窗口。步驟六，要設(shè)置某個(gè)組策略對象的屬性，在圖5-35中組策略對象鏈接列表中選擇對象，單擊“屬性”按鈕，打開該對象屬性對話框，進(jìn)行“常規(guī)”、“鏈接”和“安全”方面的設(shè)置。步驟七，在列表中，不同位置的組策略對象具有不同的優(yōu)先級，較高位置的組策略對象比較低位置的組策略對象優(yōu)先級高。所以，管理員可以改變組策略對象在列表中的位置來決定組策略對象的應(yīng)用級別。要改變某個(gè)組策略對象在列表中的位置，選擇該對象，單擊“向上”或“向下”按鈕即可上移或下移該對象。如果要刪除某個(gè)組策略對象，在列表中選擇該對象，然后單擊“刪除”按鈕即可。

第44頁/共62頁5.5.4設(shè)置組織單位屬性（3）圖5-36編輯組策略

第45頁/共62頁5.5.4設(shè)置組織單位屬性（4）步驟八，用戶要配置某個(gè)組策略對象的選項(xiàng)，在如圖5-35組策略鏈接列表中選擇“策略”對象，單擊“選項(xiàng)”按鈕，打開該組策略對象的選項(xiàng)對話框，如圖5-37所示。在“鏈接選項(xiàng)”選項(xiàng)區(qū)域中，選擇“禁止替代”復(fù)選框，可防止其他組策略對象替代這個(gè)組對象中的策略集；啟用“已禁用”復(fù)選框，可暫時(shí)禁用該策略，需要啟用時(shí)，禁用“已禁用”復(fù)選框即可。然后單擊“確定”按鈕返回到組策略選項(xiàng)卡。步驟九，

如果要防止組策略被下一級組織單位所繼承，可啟用“阻止策略繼承”復(fù)選框（見圖5-35）。最后單擊“關(guān)閉”按鈕保存屬性設(shè)置。

圖5-37配置組策略對象選項(xiàng)

第46頁/共62頁5.5.5設(shè)置組屬性（1）要設(shè)置組的屬性，具體步驟如下：步驟一，在控制臺目錄樹中鼠標(biāo)單擊要設(shè)置屬性的組所在的組織單位或容器，在詳細(xì)資料窗口中，鼠標(biāo)右鍵單擊要添加成員的組，從彈出的快捷菜單中選擇“屬性”命令，打開該組的屬性對話框，如圖5-38所示。步驟二，為了便于管理，在“描述”和“注釋”文本框中分別輸入有關(guān)該組的描述和注釋；可以修改組名稱；為了便于組管理員與組成員交換信息，在“電子郵件”文本框中輸入組管理員的電子郵件地址。

圖5-38設(shè)置常規(guī)屬性

圖5-39添加成員到組第47頁/共62頁5.5.5設(shè)置組屬性（2）步驟三，單擊“成員”選項(xiàng)卡，如圖5-39所示。要添加成員，單擊“添加”，打開“選擇用戶聯(lián)系人或計(jì)算機(jī)”對話框選擇要添加的成員。要刪除組成員，在“成員”列表框中選擇要刪除的組成員，然后單擊“刪除”即可。步驟四，用戶設(shè)置新組的權(quán)限,主要通過向新組添加內(nèi)置組來實(shí)現(xiàn)。選擇“隸屬于”選項(xiàng)卡，單擊“添加”，打開“選擇組”對話框，為自己創(chuàng)建的組選擇內(nèi)置組。要刪除某個(gè)組權(quán)限，在“隸屬于”列表框中選擇該組，單擊“刪除”即可。步驟五，要設(shè)置組的管理者，選擇“管理者”選項(xiàng)卡。要更改組管理者，單擊“更改”按鈕，打開“選擇用戶或聯(lián)系人”對話框選擇管理者；要查看管理者的屬性，單擊“屬性”按鈕進(jìn)行查看；如果要清除管理者對組的管理，單擊“清除”按鈕即可。步驟六，屬性設(shè)置完畢，單擊“確定”按鈕保存設(shè)置并關(guān)閉屬性對話框。

第48頁/共62頁5.6資源發(fā)布和域的管理5.6.1資源發(fā)布的管理一、資源的發(fā)布1．公布共享文件夾的步驟如下：（1）運(yùn)行“管理工具”/“ActiveDirectory域和信任關(guān)系”管理應(yīng)用程序；（2）在控制臺樹中，鼠標(biāo)雙擊“域節(jié)點(diǎn)”；（3）鼠標(biāo)右鍵單擊想在其中添加共享文件夾的文件夾，指向“新建”并單擊“共享文件夾”對話框，如圖5-40所示；（4）鍵入文件夾的名稱和網(wǎng)絡(luò)路徑；（5）單擊“確定”按鈕完成操作。2．公布打印機(jī)的步驟如下：（1）打開“ActiveDirectory用戶和計(jì)算機(jī)”；（2）在控制臺樹中，鼠標(biāo)雙擊“域節(jié)點(diǎn)”；（3）在控制臺樹中，鼠標(biāo)右鍵單擊想在其中公布打印機(jī)的文件夾，指向“新建”，并單擊“打印機(jī)”；（4）鍵入網(wǎng)絡(luò)路徑，如圖5-41所示。（5）單擊“確定”按鈕完成操作。

第49頁/共62頁圖5-41設(shè)置共享打印機(jī)路徑

圖5-40設(shè)置共享文件夾第50頁/共62頁5.6.1資源發(fā)布的管理二、資源的查找若要進(jìn)行自定義搜索，可參照如下步驟：（1）運(yùn)行“管理工具”/“ActiveDirectory域和信任關(guān)系”管理應(yīng)用程序；（2）在控制臺樹中用鼠標(biāo)右鍵單擊“域節(jié)點(diǎn)”，然后單擊“查找”；（3）在“查找”中單擊“自定義搜索”；（4）鼠標(biāo)單擊“字段”，選擇要搜索的對象種類，然后單擊要為其指定搜索值的對象的屬性；（5）在“條件”中單擊搜索的條件；（6）在“值”中鍵入要應(yīng)用搜索條件的屬性值；（7）單擊“添加”，將該搜索條件添加至自定義搜索；（8）重復(fù)第（4）步至第（7）步，直到添加完所需的全部搜索條件為止；（9）單擊“開始查找”按鈕。

第51頁/共62頁5.6.2域的管理1．提升域功能級別WindowsServer2003中有四個(gè)域功能級別，下表列出了域功能級別及其所支持的域控制器。默認(rèn)情況下，域以Windows2000混合功能級別操作。域功能級別支持的域控制器Windows2000混合模式WindowsNT4.0、Windows2000、WindowsServer2003家族Windows2000純模式Windows2000、WindowsServer2003家族WindowsServer2003臨時(shí)WindowsNT4.0、WindowsServer2003家族WindowsServer2003WindowsServer2003家族表5-1域功能級別與其支持的域控制器第52頁/共62頁5.6.2域的管理根據(jù)網(wǎng)絡(luò)的實(shí)際需要，可以提升域功能級別，提升域功能級別的具體步驟如下：步驟一，運(yùn)行“管理工具”/“ActiveDirectory域和信任關(guān)系”管理應(yīng)用程序；步驟二，鼠標(biāo)右鍵單擊你想要管理的域的“域節(jié)點(diǎn)”，然后單擊“提升域功能級別”；步驟三，在打開如圖5-42所示窗口中，我們可以在“選一個(gè)可用的域功能級別”的下拉菜單中選擇一種模式。

圖5-42更改域模式

第53頁/共62頁2.創(chuàng)建明確的域信任創(chuàng)建明確的域信任具體步驟如下：步驟一，運(yùn)行“管理工具”/“ActiveDirectory域和信任關(guān)系”管理應(yīng)用程序；步驟二，在控制臺樹中，鼠標(biāo)右鍵單擊要管理的域節(jié)點(diǎn)，然后單擊“