Windows-Server-2003-配置與應(yīng)用(陳學(xué)平)

Windows2003配置與應(yīng)用教學(xué)資料項目1WindowsServer2003安裝學(xué)習(xí)目標(biāo)：（1）、了解安裝Win2003服務(wù)器版軟件對硬件環(huán)境的要求（2）、了解安裝的方式有：升級安裝、全新安裝；手工安裝、自動安裝（3）、了解許可證的概念及【每客戶許可證】與【每服務(wù)器許可證】的區(qū)別（4）、了解什么是多重啟動（5）、掌握NTFS、FAT32、FAT三種文件系統(tǒng)的區(qū)別，能正確選擇合適的文件系統(tǒng)（6）、熟練掌握WIN2003服務(wù)器的安裝（7）、理解虛擬機的概念，能正確安裝、設(shè)置VMWare軟件1.1任務(wù)名稱WindowsServer2003安裝1.1.1任務(wù)分析某企業(yè)用于辦公的計算機約300臺，現(xiàn)要求建立企業(yè)的Intranet網(wǎng)，以實現(xiàn)資源共享和方便管理。假如你是這個企業(yè)的網(wǎng)絡(luò)管理員，你應(yīng)該購買什么樣的計算機來實現(xiàn)這一要求，然后選擇安裝什么樣的操作呢？經(jīng)過分析和比較，管理員決定選擇幾臺高性能的服務(wù)器來為企業(yè)提供服務(wù)，操作系統(tǒng)安裝WindowsServer2003EnterpriseEdition（WindowsServer2003企業(yè)版）。同時，客戶機配置一般的辦公機即可。如果讀者就是這個管理員，完成這個任務(wù)的思路如下：一是，可以考慮用真實的主機的來安裝操作系統(tǒng)。二是如果實訓(xùn)環(huán)境不允許，則可以在虛擬機中來安裝WindowsServer2003企業(yè)版，真實的主機安裝WindowsServer2003企業(yè)版操作系統(tǒng)與在虛擬機中安裝操作系統(tǒng)的方法基本一樣，如果采用在虛擬機中安裝WindowsServer2003企業(yè)版則還需要先對VMWARE虛擬機進行了解，并配置好虛擬機使用的硬件設(shè)備和網(wǎng)絡(luò)環(huán)境，然后從虛擬機中啟動安裝程序進行WindowsServer2003企業(yè)版的安裝。根據(jù)這個思路結(jié)合任務(wù)實施的步驟即可完成這個任務(wù)。1.1.2知識鏈接1.WindowsServer2003簡介1）、操作系統(tǒng)(OS)一般分為：（1）桌面操作系統(tǒng)：常用的有DOS,Win2000pro專業(yè)版,WinXP,Linux（2）網(wǎng)絡(luò)操作系統(tǒng)：WinNT,Win2000Server，Win2003Server服務(wù)器版或高級服務(wù)器版，Linux，Unix2）、Win2003Server版本：都是為服務(wù)器設(shè)計的。3）、Win2003Server新增的功能Windows2003是微軟公司開發(fā)的新一代網(wǎng)絡(luò)服務(wù)器操作系統(tǒng)，與以前的同類操作系統(tǒng)相比，它更加安全、性能更加穩(wěn)定，而操作和使用卻更加輕松，因此，它不僅能夠安裝到服務(wù)器上設(shè)置成為主域控制服務(wù)器、文件服務(wù)器等各種服務(wù)器，也能安裝在局域網(wǎng)的客戶機上，作為客戶端系統(tǒng)使用，當(dāng)然也可以安裝到個人電腦中，成為更加穩(wěn)定、更加安全、更容易使用的個人操作系統(tǒng)。（1）活動目錄：主要存儲有關(guān)網(wǎng)絡(luò)對象的信息，并使管理員和用戶可以方便地查找和使用該信息，為組織提供了更為強大的通用性、可管理性及受益性。（2）安全性：比Win2000Server不僅僅是改進，而是進化。例如：證書管理、憑據(jù)管理，以及Internet身份驗證。2.VMWARE虛擬機介紹VMware公司提供工作站、部門服務(wù)器和企業(yè)機服務(wù)器的虛機解決方案，分別是VMwareWorkstation、VMwareGSXServer和VMwareESXserver。VMware難能可貴之處在于，它不但能夠虛擬出單一的系統(tǒng)，而且能夠虛擬出復(fù)雜的網(wǎng)絡(luò)。3.關(guān)于虛擬機的操作虛擬機的操作有以下內(nèi)容：（1）開機：與真實主機一樣。（2）關(guān)機：與真實主機一樣。（3）待機：與真實主機一樣。（4）鼠標(biāo)切換：Ctrl+Alt這個是將虛擬機的光標(biāo)移動到外面的主機中，或者移動到虛擬機中。（5）全屏切換：Ctrl+Alt+Enter（6）快速切換鍵F11，可以切換全屏或虛擬機的正常屏幕。1.1.3任務(wù)實施任務(wù)實施1虛擬機的安裝及配置1、虛擬機軟件的安裝虛擬機的版本為VMWare7.0，安裝過程從略。一路直接單擊【下一步】即可。2、配置一臺虛擬機（1）啟動VMWare7.0，在如圖1-1所示的窗口中選擇第一項【新建虛擬機】。（2）彈出【新建虛擬機向?qū)А繉υ捒?，保持默認(rèn)選擇【標(biāo)準(zhǔn)】即可，如圖1-2所示。（3）單擊【下一步】，出現(xiàn)【安裝客戶機操作系統(tǒng)】對話框，在這個對話框中，有3個選擇安裝的選項，第一個是【安裝盤】，第二個是【安裝盤鏡像文件】，第三個是【我以后再安裝操作系統(tǒng)】，這三個選項，大家根據(jù)實際情況來進行選擇，如果有光驅(qū)和安裝盤，則可以選擇第一項，如果有安裝盤的鏡像則選擇第二項，如果暫時什么都沒有則選擇第三項，我們此時選擇第二項，如圖1-3所示。（4）單擊【下一步】，選擇客戶機操作系統(tǒng)及版本，我們選擇Windows2003企業(yè)版，如圖1-4所示。（5）單擊【下一步】，在【EasyInstall信息】對話框中輸入安裝序列號和管理員的密碼，如果此時不輸入，則在安裝過程中中再輸入，如圖1-5所示。（6）單擊【下一步】，出現(xiàn)【虛擬機名稱和位置】對話框，在這個對話框中，虛擬機名稱可以保持默認(rèn)，【位置】則瀏覽選擇安裝的文件夾，如圖1-6所示。圖1-6【虛擬機名稱和位置】對話框(7)安裝位置選擇后，單擊【下一步】，出現(xiàn)【指定磁盤容量】對話框，我們在【最大磁盤大小】欄內(nèi)指定8G的空間，如圖1-7所示。圖1-7指定磁盤空間（8）單擊【下一步】，出現(xiàn)【準(zhǔn)備創(chuàng)建虛擬機】對話框，出現(xiàn)了虛擬機的一些默認(rèn)設(shè)置，如圖1-8所示。我們可以單擊【定制硬件】，在出現(xiàn)的對話框中，進行種硬件設(shè)置，修改和添加等，比如，我們將網(wǎng)絡(luò)適配器改為橋接，如圖1-9所示。圖1-9定制硬件的對話框（9）單擊圖1-9的【確定】，回到圖1-8中，再單擊【完成】按鈕，出現(xiàn)如圖1-10所示的界面。任務(wù)實施2在虛擬機上安裝win2003Server系統(tǒng)

我們在任務(wù)實施1中配置好了虛擬機，現(xiàn)在則可以啟動虛擬機，在虛擬機中安裝操作系統(tǒng)了，在虛擬機上安裝win2003Server系統(tǒng)的步驟如下：（1）從光盤鏡像文件引導(dǎo)啟動。根據(jù)下面提示進行安裝設(shè)置，在圖1-11中我們選擇按【Enter鍵】開始安裝。（2）出現(xiàn)【授權(quán)協(xié)議】對話框，我們選擇【F8】同意，進行【下一步】安裝，如圖1-12所示。（3）創(chuàng)建磁盤分區(qū)。在圖1-13所示的界面中，創(chuàng)建磁盤分區(qū)，因為這個盤沒有劃分分區(qū)，是不能安裝操作系統(tǒng)的，我們選擇按【C】鍵，開始創(chuàng)建磁盤分區(qū)。（4）在圖1-15所示的界面中，就輸入最大磁盤分區(qū)：8182MB,然后按【Enter】創(chuàng)建。（5）在圖1-16所示的界面中，按【Enter】開始安裝，出現(xiàn)1-17所示的界面，選擇第一項【用NTFS文件系統(tǒng)格式化磁盤分區(qū)】，再次【Enter】鍵繼續(xù)。（6）格式化完畢，則開始復(fù)制文件并重新啟動，進入圖形界面安裝，如圖1-18所示。（7）出現(xiàn)【自定義】軟件對話框，輸入姓名和單位。（8）在出現(xiàn)的【您的產(chǎn)品密鑰】對話框中，輸入產(chǎn)品密鑰，即產(chǎn)品的序列號。（9）在【授權(quán)模式】對話框中，選擇授權(quán)模式：這里我們一般選擇每服務(wù)器模式，如圖1-19所示。注意：以上兩種授權(quán)模式的區(qū)別：a、每服務(wù)器模式限制同時訪問本機的客戶機數(shù)量，每設(shè)備模式不限制，但要求每臺客戶機都要購買【客戶訪問許可證】；b、每服務(wù)器模式適合在只有一臺服務(wù)器的網(wǎng)絡(luò)中使用，每設(shè)備模式適合于有多臺服務(wù)器的網(wǎng)絡(luò)中使用。（10）在出現(xiàn)的【計算機名稱和管理員密碼】對話框中，輸入計算機名稱和管理員密碼。注意：計算機名稱最好自己定義一個，方便記憶和查找（11）設(shè)置網(wǎng)絡(luò)屬性，設(shè)置網(wǎng)絡(luò)工作模式，然后開始正式安裝直到完成。1.1.4任務(wù)總結(jié)與回顧本任務(wù)中我們完成了兩個內(nèi)容的練習(xí)，一個是虛擬機的安裝與配置，一個是WindowsServer2003EnterpriseEdition操作系統(tǒng)的安裝，我們采用的是ISO鏡像文件進行完全安裝，在下面的實驗中我們還可以練習(xí)多種情形的安裝，除了這些安裝方式外，我們還可以安裝GHOST版的WindowsServer2003EnterpriseEdition，可以提高安裝速度，只是為了追求穩(wěn)定性，還是采用完全安裝較穩(wěn)妥。1.1.5習(xí)題1.上機操作：完成虛擬機的創(chuàng)建及操作系統(tǒng)的安裝1）、配置一臺虛擬機，要求：（1）選擇操作系統(tǒng)：WindowsServer2003EnterpriseEdition；（2）選擇【E：\MyVirtualMachines\WindowsServer2003EnterpriseEdition】目錄作為虛擬機的空間；（3）內(nèi)存：512MB；（4）硬盤：10GB。2）、在虛擬機上安裝win2003Server系統(tǒng)，要求：（1）創(chuàng)建磁盤分區(qū)：C分區(qū)為4GB、E分區(qū)為4GB、F分區(qū)為2GB；（2）用NTFS文件系統(tǒng)格式化C分區(qū)；（3）設(shè)置授權(quán)模式為每服務(wù)器模式，同時連接數(shù)為10。2.案例分析（1）你所在的企業(yè)新近采購了20臺辦公用電腦，經(jīng)理要求你用最短的時間將系統(tǒng)安裝好，你將怎么做？（1）小王使用WindowsServer2003光盤啟動安裝一臺服務(wù)器，重新啟動后，計算機提示找不到系統(tǒng)。這可能是什么原因？應(yīng)該怎樣處理？3.上機操作：完成下面的實驗。操作系統(tǒng)的自動安裝。項目2活動目錄安裝與管理學(xué)習(xí)目標(biāo)：（1）、了解ActiveDirectory。（2）、掌握ActiveDirectory的安裝與刪除。（3）、掌握客戶端的加入與退出域。（4）掌握活動目錄的備份與還原。2.1任務(wù)名稱活動目錄的安裝及部署2.1.1任務(wù)分析假如有500臺電腦的一個公司，我們希望某臺電腦上的賬戶Cbq可以訪問每臺電腦內(nèi)的資源或者可以在每臺電腦上登錄。那么在工作組環(huán)境中，我們必須要在這500臺電腦的各個SAM數(shù)據(jù)庫中創(chuàng)建Cbq這個賬戶。一旦Cbq想要更換密碼，必須要更改500次。這樣企業(yè)的管理員的負(fù)擔(dān)就非常重了?，F(xiàn)在只是500臺電腦的公司，如果是有50000臺電腦或者上萬臺電腦的公司呢，估計管理員就忙不過來了。為了節(jié)省人力資源和提高工作效率，這時域環(huán)境的應(yīng)用就必不可少了。而域環(huán)境的應(yīng)用，就需要安裝活動目錄才能實現(xiàn)。就是前面這個例子，在域環(huán)境中，只需要在活動目錄中創(chuàng)建一次Cbq賬戶，那么就可以在任意500臺電腦中的一臺上登錄Cbq，如果要為Cbq賬戶更改密碼，只需要在活動目錄中更改一次就可以了。如果讀者正在學(xué)習(xí)活動目錄，完成這個任務(wù)的思路如下：首先是選擇要安裝域控制器和額外域控制器的機器，然后安裝域控制器，同時，為了讓有些成員服務(wù)器能夠加入域環(huán)境，還要對域控制器進行檢查。其次，為了讓域控制器在小型環(huán)境中成為成員服務(wù)器我們還需要將域控制器進行降級即卸載。再次，域控制器有可能出現(xiàn)問題，當(dāng)域控制器出現(xiàn)問題后，原來的一切數(shù)據(jù)將會丟失，重新建立域控制器將是非常困難的，因此，還需要進行域控制器的備份與還原。根據(jù)這個思路結(jié)合任務(wù)實施的步驟即可完成這個任務(wù)。2.1.2知識鏈接1．活動目錄簡介活動目錄是一個數(shù)據(jù)庫，存放的是域中所有的用戶的賬號以及安全策略?；顒芋w現(xiàn)了其是一個范圍，可以放大和縮小，活動目錄又簡稱域。2.活動目錄安裝前的準(zhǔn)備安裝活動目錄的必備條件：（1）選擇操作系統(tǒng)：WindowsServer2003中除了Web版的不支持活動目錄外，其他的Standard版，Enterprise版，Datacenter版都支持活動目錄。我們這一節(jié)用的是Enterprise版。（2）DNS服務(wù)器：活動目錄與DNS是緊密集成的，活動目錄中域的名稱的解析需要DNS的支持。（3）一個NTFS磁盤分區(qū)：（4）設(shè)置本機靜態(tài)IP地址和DNS服務(wù)器IP地址：大多時候我們安裝過程不順利或者安裝不成功，都是因為我們沒有在要安裝活目錄的這臺計算機上指定DNS服務(wù)器的IP地址以及自身的IP地址。3.安裝活動目錄的情形安裝活動目錄分兩種情況：情況1，在某臺計算機上安裝活動目錄的過程中同時安裝DNS服務(wù)器。那么這臺計算機既充當(dāng)了域控制器的角色，也充當(dāng)了DNS服務(wù)器的角色。情況1是用得最多的方法，但安裝前必須要為這臺計算機配置靜態(tài)IP，同時把DNS服務(wù)器的IP地址配置為本機的IP地址。情況2，首先準(zhǔn)備一臺DNS服務(wù)器，可以是已經(jīng)存在的DNS服務(wù)器或者是我們剛剛安裝好的，意思就是先安裝好DNS服務(wù)器，然后再安裝活動目錄。此時不管我們是再找一臺計算機安裝活動目錄，還是在已經(jīng)是DNS服務(wù)器的計算機上安裝活動目錄，我們都需要在DNS中創(chuàng)建一個正向查找區(qū)域并啟用【動態(tài)更新】功能。同時這個正向查找區(qū)域的名稱必須和我們要安裝的域的名稱一樣，比如我要安裝一個域名為

的域，那么這個正向查找區(qū)域的名字也必須為。同時在安裝前必須要為這臺要安裝活動目錄的計算機配置靜態(tài)IP，同時把這臺計算機的DNS服務(wù)器的IP地址配置為已經(jīng)存在的DNS服務(wù)器的IP地址。4.與活動目錄相關(guān)的概念1）命名空間命名空間是一個界定好的區(qū)域，。而WindowsServer2003的活動目錄就一個命名空間，我們通過活動目錄里的對象的名稱就可以找到與這個對象相關(guān)的信息。活動目錄的【命名空間】采用DNS的架構(gòu)，所以活動目錄的域名采用DNS的格式來命名。我們可以把域名命名為,等。2）域、域樹、林和組織單元活動目錄的邏輯結(jié)構(gòu)包裹：域（Domain）、域樹(DomainTree)、林（Forest）和組織單元（OrganizationUnit）。3）域控制器和站點活動目錄的物理結(jié)構(gòu)由域控制器和站點組成。2.1.3任務(wù)實施任務(wù)實施1安裝活動目錄上面我們介紹了安裝活動目錄的情形，我們演示情況1的安裝過程，因為這種比較常用。（1）首先我們準(zhǔn)備一臺安裝了WindowsServer2003企業(yè)版的計算機，計算機名為computer。接著為這臺計算機配置靜態(tài)IP，并把DNS服務(wù)器IP地址指向自己，如圖2-1所示。圖2-1指定IP地址（2）選擇【開始】｜【運行】輸入【dcpromo】命令，啟動ActiveDirectory安裝向?qū)?，如圖2-2所示。我們也可以CMD打開命令提示符，運用該命令。圖2-2輸入【dcpromo】命令（3）在【歡迎使用ActiveDirectory安裝向?qū)А繉υ捒蛑袉螕簟鞠乱徊健堪粹o。（4）出現(xiàn)【操作系統(tǒng)兼容性】對話框，顯示了一些安全設(shè)置，不用管它，直接單擊【下一步】按鈕。（5）這里我們選擇【新域的域控制器】。由于我們是第一次創(chuàng)建域環(huán)境，所以必須選擇這一項。單擊【下一步】按鈕。如圖2-3所示。（6）在如圖2-4所示的對話框中，我們選擇【在新林中的域】，和（5）的原因一樣。然后單擊【下一步】按鈕。（7）在對話框中輸入新域的域名，這個域名必須符合DNS的命名格式，我們這里輸入【】。當(dāng)然你可以

等，如果是企業(yè)的實際生產(chǎn)環(huán)境，這里最好指定你在公網(wǎng)注冊的域名.然后單擊【下一步】按鈕。此時會稍微等一下才會跳到下一個對話框，因為安裝向?qū)ㄙM時間來檢查此域名是否已經(jīng)存在于網(wǎng)絡(luò)中，若存在，安裝程序會要求重新設(shè)置一個新的域名。如圖2-5所示。（8）出現(xiàn)【NETBIOS域名】設(shè)置對話框，安裝向?qū)ё詣訋臀覀冊O(shè)置了NETBIOS名為win2003。它取的是域名的前半段文字。NETBIOS名支持那些不支持DNS域名的早期版本的操作系統(tǒng)利用NETBIOS域名來訪問域內(nèi)的資源。此名稱可以修改，但不能超過15個字符。等我們講到計算機加入域的時候，我們會利用它能找到域控制器。單擊【下一步】按鈕。（9）選擇活動目錄數(shù)據(jù)庫和日志文件的存放位置，建議最好不要存在一個地方，這樣可以減少磁盤的I/O，從而提高效率。這里使用的是默認(rèn)值。如圖2-6所示，然后單擊【下一步】按鈕。（10）選擇SYSVOL文件夾的存放位置，這里使用的是默認(rèn)值。此文件夾必須位于NTFS磁盤分區(qū)中。如圖2-7所示，然后單擊【下一步】按鈕。（11）由于我們采用的是情況1來安裝活動目錄，此時我們必須選擇【在這臺計算機上安裝并配置DNS服務(wù)器，并將這臺DNS服務(wù)器設(shè)為這臺計算機的首選DNS服務(wù)器】。因為我們還沒有DNS服務(wù)器，此時我們必須在安裝活動目錄的過程中安裝DNS服務(wù)器。如圖2-8所示，然后單擊【下一步】按鈕。（12）出現(xiàn)【權(quán)限】設(shè)置對話框，選擇第二項【只與Windows2000或WindowsServer2003操作系統(tǒng)兼容的權(quán)限】，如圖2-9所示。（13）單擊【下一步】，然后設(shè)定【目錄服務(wù)還原模式】的密碼，什么是目錄服務(wù)還原模式，其實就是計算機啟動時，我們不停的按F8進去，有一項就是【目錄服務(wù)還原模式】，在WindowsServer2003中，這里我們可以不設(shè)置密碼也可以設(shè)置密碼，我這里設(shè)置了密碼。但是WindowsServer2008中這里必須要設(shè)置密碼。如圖2-10所示，然后單擊【下一步】按鈕。（13）出現(xiàn)【摘要】對話框，檢查我們以前設(shè)置的各個值，確認(rèn)無誤后，然后單擊【下一步】按鈕。如圖2-11所示。（14）開始安裝活動目錄了，如圖2-12所示，安裝過程中會出現(xiàn)DNS安裝畫面。（15）安裝成功，單擊【完成】按鈕，此時會彈出重新啟動對話框。我們單擊【立即重新啟動】。（16）重新啟動之后，我們發(fā)現(xiàn)登錄時已經(jīng)是域環(huán)境了，此時我們就可以登錄域了。至此，活動目錄就安裝完成了。如果不出現(xiàn)意外的話，此時已經(jīng)算是成功了，當(dāng)然我們最好登錄進去仔細(xì)的檢查下。打開【我的電腦】｜【屬性】｜【計算機名】，可以看computer已經(jīng)是域了。如圖2-13所示。任務(wù)實施2域控制器啟動及客戶端的登錄說明：我們的域控制器及客戶端都是VMWARE虛擬機安裝的windowsserver2003企業(yè)版的操作系統(tǒng)。我們建議讀者在練習(xí)時，也可以采用虛擬機來完成。（1）域控制器computer，它是我們在任務(wù)實施1安裝的域控制器。（2）客戶端computer1。（3）主域控制器登錄及客戶機的域登錄。任務(wù)實施的步驟如下：1）主域控制器的檢查首先啟動域控制器computer，輸入密碼登錄到

域。如果能成功登錄表示我們的域控制器正在工作，但還不能表明活動目錄已經(jīng)完全安裝成功。所以我們還要在域控制器上檢查如下幾項：第1項：查看管理工具中相關(guān)的項是否已經(jīng)存在。如圖2-14所示圖2-14管理工具的啟動項第2項：檢查ActiveDirectory數(shù)據(jù)庫文件與SYSVOL文件夾。ActiveDirectory數(shù)據(jù)庫文件會默認(rèn)會安裝到：C:\WINDOWS\NTDS文件夾中，此文件中有7個文件，其中ntds.dit便是ActiveDirectory數(shù)據(jù)庫文件，.log是日志文件。如圖2-15所示。第3項：檢查DNS服務(wù)器內(nèi)與AD相關(guān)的文件夾和SRV記錄是否存在或完整。由于域控制器會把自己的主機名、IP地址以及所扮演的角色等數(shù)據(jù)登錄到DNS服務(wù)器內(nèi)，以便讓其他的計算機通過DNS服務(wù)器來尋找這臺域控制器。因此必須要檢查這些文件夾和SRV記錄，打開DNS，當(dāng)然可以在管理工具下利用圖形界面打開，這里可以用命令dnsmgmt.msc來打開，如圖2-18所示。2）通過客戶端加入域檢查（1）首先我們登錄到客戶端computer1,然后【我的電腦】｜右鍵單擊【屬性】｜【計算機名】|【更改】，在【隸屬于】文本框中輸入，如圖2-21所示。圖2-21客戶端加入到域（2）圖2-22顯示加入

域失敗，原因其實很簡單，我們還沒有配置computer1客戶端的IP地址。（3）為了使用域名而不是NETBIOS名讓客戶端加入域，我們必須配置Clients客戶端的IP地址。并且，要配置客戶端的首選DNS為主域控制器的Ip地址即為，如圖2-23所示。（4）配置完IP之后，再次單擊【計算機名稱更改】對話框中的【確定】按鈕。此時就會順利找到域控制器了。我們知道計算機之間通信是通過IP地址進行的，我們這里輸入域名

后，事實上是DNS服務(wù)器幫我們把

域名解析成域控制器的IP地址。所以客戶端加入域需要DNS服務(wù)器的支持。此時彈出和上面用NETBIOS名加入域一樣的對話框。我們在里面輸入域的管理員賬戶和密碼，如圖2-24所示，單擊【確定】按鈕，（5）此時彈出歡迎加入

域的對話框，如圖2-25所示。還有一種方法是：我們?nèi)绻麜簳r不改客戶端的IP地址，即暫時不配置客戶端的IP地址的首選DNS為主域控制器的IP地址，則我們就輸入NETBIOS名來加入域，即在在【隸屬于】文本框中將

改為win2003，如圖2-26所示。會得到與上面相同的結(jié)果，歡迎加入到域。（6）單擊確定之后會提示你必須重啟計算機才能使更改生效，如圖2-27所示。（7）重啟計算機后，我們發(fā)現(xiàn)computer1客戶端的登錄框已經(jīng)變成如圖2-28所示，表示這臺計算機已經(jīng)成功加入域。我們可以選擇登錄到本地，也可以選擇登錄到域。注意：當(dāng)選擇登錄到域時，我們還必須在域控制器computer上為這個客戶端創(chuàng)建一個用戶賬戶?，F(xiàn)在我們來創(chuàng)建一個用戶賬戶cxp，在ActiveDirectory用戶和計算機的Users上單擊右鍵｜【新建【｜【用戶】，彈出【新建對象-用戶】對話框，在其中輸入姓名，及用戶登錄名，如圖2-29所示。具體創(chuàng)建方法可以參見本書的項目4的域用戶的創(chuàng)建部分的介紹。

我們還要引起重視的是域用戶的密碼設(shè)置，此時，我們單擊圖2-29中的【下一步】按鈕，只是輸入個簡單的密碼，提示我們并不能創(chuàng)建該用戶，因為密碼不符合復(fù)雜性要求，這時我們通過修改密碼策略來實現(xiàn)用戶的創(chuàng)始。經(jīng)過以上的設(shè)置，cxp這個用戶賬戶已經(jīng)創(chuàng)建成功。最后我們用cxp在computer1客戶端登錄域控制器computer，第一次登錄會稍慢一些。任務(wù)實施3額外域控制器的安裝

我們就以任務(wù)實施2中的客戶機computer1來進行安裝額外域控制器，安裝步驟如下：（1）首先我們在客戶機中進行域登錄，登錄到主域控制器。（2）登錄成功后，選擇【開始】｜【運行】輸入【dcpromo】命令，啟動ActiveDirectory安裝向?qū)АＴ凇練g迎使用ActiveDirectory安裝向?qū)А繉υ捒蛑袉螕簟鞠乱徊健堪粹o。（3）在【域控制器類型】對話框中，我們選擇【現(xiàn)有域的額外域控制器】這項，如圖2-31所示。 （4）單擊【下一步】，出現(xiàn)【網(wǎng)絡(luò)憑據(jù)】對話框，要求輸入【網(wǎng)絡(luò)用戶名和密碼】及域名，此時，我們可以輸入網(wǎng)絡(luò)用戶administrator,或者我們已經(jīng)創(chuàng)建的網(wǎng)絡(luò)用戶cxp如圖2-32、2-33所示。要注意的是：如果我們在客戶機中的IP地址設(shè)置中沒有指定主域控制器的IP地址（本例為）為首選DNS的IP地址，將會出現(xiàn)如圖2-34所示的對話框。我們只要指定了客戶機的首選DNS為主域控制器的IP地址，如圖2-35所示，就不會出現(xiàn)這個錯誤提示了。（5）在與域控制器聯(lián)系正常后，會彈出一個對話框，讓我們輸入額外的域控制器的域名的對話框，我們輸入域名后，單擊【下一步】會出現(xiàn)NETBIOS名對話框，然后出現(xiàn)選擇數(shù)據(jù)庫的保存位置，不用管它，默認(rèn)即可。還有就是出現(xiàn)設(shè)置目錄還原模式的密碼及摘要信息等這些都與安裝第一臺域控制器沒有什么區(qū)別。（6）然后在【確認(rèn)】摘要信息無誤后，開始安裝額外域控制器，安裝完成后，提示重新啟動后額外域控制器就建立成功了。 任務(wù)實施4域控制器的常規(guī)卸載 我們以前面建立的額外域控制器來進行卸載。（1）選擇【開始】｜【運行】輸入【dcpromo】命令，啟動ActiveDirectory安裝向?qū)?，在【歡迎使用ActiveDirectory安裝向?qū)А繉υ捒蛑袉螕簟鞠乱徊健堪粹o。（2）在出現(xiàn)的【刪除ActiveDirectory】對話框，我們不選擇【這個服務(wù)器是域中的最后一個域控制器】，如圖2-36所示。直接單擊【下一步】按鈕，（3）出現(xiàn)設(shè)置管理員密碼的對話框，注意這個密碼，是域控制器卸載后，計算機本地的登錄密碼，不是域登錄密碼，如圖2-37所示。（4）單擊【下一步】按鈕，出現(xiàn)【摘要】信息，提示這臺服務(wù)器將成為域的成員，而不是域控制器，單擊【下一步】開始進行的域控制器的卸載，卸載完成后，重新啟動計算機生效，任務(wù)實施5活動目錄的備份與恢復(fù)在域控制器環(huán)境中，用戶進行域登錄后，就可以訪問域中的共享出來的給用戶的所有資源。如果這個域控制器損壞了，那用戶登錄時可就無法獲得令牌了，沒有了這個令牌，用戶就沒法向成員服務(wù)器證明自己的身份，那用戶還能訪問域中的資源嗎？結(jié)果不言而喻，整個域的資源分配趨于崩潰。針對這個現(xiàn)象我們可以通過額外域控制器來實現(xiàn)挽救。除此之外，我們還可以通過Windows自帶的備份工具對Activedirectory進行完全備份，在出故障時，我們選擇本臺計算機或其他的成員計算機進行還原，即可恢復(fù)活動目錄。1.Activedirectory的備份（1）在域控制器計算機上依次單擊【開始】｜【程序】｜【附件】｜【系統(tǒng)工具】｜【備份】，出現(xiàn)了備份還原向?qū)?，點擊下一步繼續(xù)。如圖2-38所示，（2）單擊【下一步】，在出現(xiàn)的對話框中，不用備份計算機上的所有信息，我們只備份ActiveDirectory，因此我們手工選擇要備份的內(nèi)容。此處我們選擇【讓我選擇要備份的內(nèi)容】，如圖2-39所示。（3）單擊【下一步】，在出現(xiàn)圖2-40所示的對話框中，我們選擇備份SystemState，SystemState中包含了ActiveDirectory。其實我們只需要SystemState中的ActiveDirectory，Registry和Sysvol就夠了，但備份工具中不允許再進行粒度更細(xì)致的劃分，因此我們選擇備份整個SystemState。（4）我們把SystemState備份在C:\ADbackup目錄下。如圖2-41所示。（5）單擊【下一步】，出現(xiàn)【正在完成備份或還原向?qū)А繉υ捒?，我們單擊【完成】按鈕，即出現(xiàn)如圖2-42所示的開始備份的對話框。注意：等備份完成后我們把備份文件復(fù)制到文件服務(wù)器進行保存即可。備份完成后，我們假設(shè)域控制器computer發(fā)生了物理故障，現(xiàn)在我們用另外一臺計算機computer1來接替computer。我們把這臺新計算機也命名為computer，IP設(shè)置和原域控制器也保持一致，尤其是一定要把DNS指向為win2003.COM提供解析支持的那個DNS服務(wù)器，在此例中就是。計算機改名和IP地址的更改我們不再多述，參見前面的介紹完成。而且新的計算機不需要創(chuàng)建ActiveDirectory，我們從備份中恢復(fù)ActiveDirectory即可讓這臺成員服務(wù)器成為域控制器接替原來的域控制器進行工作。2.活動目錄的還原我們讓域用戶進行登錄，一切正常，至此，ActiveDirectory恢復(fù)完成。如果域中唯一的域控制器發(fā)生了物理故障，那整個域的資源分配就要趨于崩潰，因此我們很有必要使用用備份工具對ActiveDirectory數(shù)據(jù)庫進行備份，然后在域控制器崩潰時利用備份內(nèi)容還原ActiveDirectory進行災(zāi)難恢復(fù)。這種方案簡單易行，很適合小型企業(yè)使用，希望大家都能掌握這種基礎(chǔ)手段。2.1.4任務(wù)總結(jié)與回顧我們在本任務(wù)中給讀者介紹了活動目錄中最為常見的知識和技能，如：活動目錄的安裝、域控制器的登錄，域控制器成員服務(wù)器加入域，額外域控制器的安裝，以額外域控制器介紹了域控制器的常規(guī)卸載，同時，我們還介紹了域控制器出故障前的備份及域控制器出現(xiàn)故障后用成員服務(wù)器接替域控制器進行工作的技巧，活動目錄還有一些知識，如子域創(chuàng)建，域信任關(guān)系的建立，域的遷移，域的重命名，域的站點建立等，由于本書篇幅所限，我們沒有介紹，有興趣的讀者可以自學(xué)或者與作者聯(lián)系共同學(xué)習(xí)。2.1.5習(xí)題1.什么是活動目錄？活動目錄的作用是什么？2.安裝活動目錄的準(zhǔn)備條件有哪些？3.安裝活動目錄的情形有哪些？4.什么是域、域樹、林和組織單元？5．上機操作：完成下面的實驗項目3WindowsServer2003賬號和組的管理學(xué)習(xí)目標(biāo)：（1）了解成員服務(wù)器中的有哪些本地用戶。（2）了解有哪些本地用戶組。（3）掌握創(chuàng)建本地用戶和組的方法。3.1任務(wù)名稱WindowsServer2003賬號和組的管理3.1.1任務(wù)分析在WindowsServer2003的成員服務(wù)器系統(tǒng)中，本地用戶和組是極其重要的，因為你要管理操作系統(tǒng)，都要先進入系統(tǒng)，進入系統(tǒng)，當(dāng)然少不了用戶。所以對用戶和組的有效管理就很重要。如果讀者正在學(xué)習(xí)本地用戶和組，完成這個任務(wù)的思路如下：首先我們進行圖形化的本地用戶和組的創(chuàng)建及管理，在練習(xí)時我們進入到計算機管理控制臺中找到本地用戶和組然后即可以進行操作。其次，練習(xí)通過命令提示符下管理本地用戶和組的常用和實用命令。讀者和身邊的人在生活中可能會遇到有時忘記進入WindowsServer2003密碼的時候，這時，命令符操作用戶帳號就會起到作用了。根據(jù)這個思路結(jié)合任務(wù)實施的步驟即可完成這個任務(wù)。3.1.2知識鏈接1.本地用戶帳戶簡介在WindowsServer2003操作系統(tǒng)中，每一個使用者都必須有一個帳戶，才能登錄到計算機和服務(wù)器，并且訪問網(wǎng)絡(luò)上的資源。WindowsServer2003所支持的用戶帳戶分為兩種類型：本地用戶帳戶和域用戶帳戶。而組帳戶在域和其他環(huán)境下有很大的不同。2.本地用戶帳戶的管理當(dāng)WindowsServer2003工作在【工作組】模式下或者作為域中的成員服務(wù)器時，在計算機操作系統(tǒng)中存在的是本地用戶和本地組。本地用戶帳戶的作用范圍僅限于在創(chuàng)建該帳戶的計算機上，以控制用戶對該計算機上的資源的訪問。所以當(dāng)需要訪問在【工作組】模式下的計算機時，必須在每一個需要訪問的計算機上都有其本地帳戶。其中本地帳戶都存儲在%SystemRoot%\system32\config\Sam數(shù)據(jù)庫中。3.本地組的管理在WindowsServer2003中有如下幾個內(nèi)置組：Administrators組、Users組、PowerUsers組、BackupOperators組、Guests組。屬于Administrators組的用戶，都具備系統(tǒng)管理員的權(quán)限，擁有對這臺計算機最大的控制權(quán)，內(nèi)置的系統(tǒng)管理員Administrator就是此本地組的成員，而且無法將其從此組中刪除。Users組權(quán)限受到很大的限制，其所能執(zhí)行的任務(wù)和能夠訪問的資源，根據(jù)指派給他的權(quán)利而定。所有創(chuàng)建的本地帳戶都自動屬于此組。

PowerUsers組內(nèi)的用戶可以添加、刪除、更改本地用戶帳戶；建立、管理、刪除本地計算機內(nèi)的共享文件夾與打印機。

BackupOperators組的成員可以利用【W(wǎng)indowsServer2003備份】程序來備份與還原計算機內(nèi)的文件和數(shù)據(jù)。

Guests組包含Guest帳戶，一般被用于在域中或計算機中沒有固定帳戶的用戶臨時訪問域或計算機時使用的。該帳戶默認(rèn)情況下不允許對域或計算機中的設(shè)置和資源做更改。出于安全考慮Guest帳戶在WindowsServer2003安裝好之后是被禁用的，如果需要可以手動地啟用。應(yīng)該注意分配給該帳戶的權(quán)限，該帳戶也是黑客攻擊的主要對象。3.1.3任務(wù)實施任務(wù)實施1本地用戶帳戶的創(chuàng)建與管理

下面學(xué)習(xí)怎樣管理WindowsServer2003的本地用戶帳戶。

1.本地用戶帳戶的創(chuàng)建 在成員服務(wù)器上創(chuàng)建本地用戶的步驟如下： （1）啟動計算機，以【Administrator】身份登錄WindowsServer2003，然后單擊【開始】｜【所有程序】｜【管理工具】｜【計算機管理】命令，如圖3-1所示。將出現(xiàn)計算機管理控制臺，如圖3-2所示。（2）在【計算機管理】控制臺中，打開【本地用戶和組】，并選擇【用戶】，將出現(xiàn)系統(tǒng)中現(xiàn)有的用戶信息，如圖3-3所示。特別補充說明一下：除了上面的方法啟動【本地用戶和組】外，我們還可以在【運行】對話框中輸入lusrmgr.msc來打開本地用戶和組，如圖3-4、圖3-5所示。圖3-5本地用戶和組注意：我們可以看出圖3-3和圖3-5有差別，一個是【計算機管理】控制臺，一個是【本地用戶和組】控制臺，但是在【本地用戶和組】這個項目上是相同的。（3）單擊圖3-3或圖3-5的【用戶】或在右側(cè)的用戶信息窗口中的空白位置單擊，將彈出如圖3-6所示的菜單。（4）在圖3-6所示的菜單中選擇【新用戶】命令，將彈出創(chuàng)建新用戶的對話框，如圖3-7所示。（5）單擊【創(chuàng)建】按鈕，成功創(chuàng)建之后又將返回創(chuàng)建新用戶的對話框。單擊【關(guān)閉】按鈕，關(guān)閉該對話框，然后在計算機管理控制臺中將能夠看到新創(chuàng)建的用戶帳戶，如圖3-8所示。2.設(shè)置本地帳戶屬性注銷cxp這個用戶，以Administrator帳戶登錄WindowsServer2003，參照上面的步驟打開如圖3-8所示的計算機管理控制臺，在用戶帳戶【cxp】上單擊，在彈出的菜單中根據(jù)實際需要選擇菜單中的命令對帳戶進行操作。(1)選擇【設(shè)置密碼】命令可以更改當(dāng)前用戶帳戶的密碼。選擇【刪除】命令或【重命名】命令可以刪除當(dāng)前用戶帳戶或更改當(dāng)前用戶帳戶的名稱。選擇【屬性】命令，如圖3-9所示。將會彈出該帳戶的屬性對話框，如圖3-10所示。在圖3-10對話框中我們可以根據(jù)要求設(shè)置cxp帳戶的【常規(guī)】屬性，例如停用cxp帳戶，則在【常規(guī)】選項卡中選中【帳戶已禁用】復(fù)選框，然后單擊【確定】按鈕返回計算機管理控制臺，停用的帳戶以紅色的【叉】標(biāo)記表示。本地帳戶的其他屬性選項卡，將在后面加以介紹。任務(wù)實施2創(chuàng)建本地組并將成員添加本地組創(chuàng)建本地組并將成員添加本地組的步驟如下：（1）在如圖3-9所示的計算機管理控制臺中單擊【組】，選擇【新建組】命令，如圖3-11所示。將彈出【新建組】的對話框，如圖3-12所示。（2）我們在圖3-12所示的對話框中根據(jù)實際需要在相應(yīng)的文本框內(nèi)輸入內(nèi)容，例如在【組名】文本框輸入【網(wǎng)絡(luò)教研室】，在描述文本框輸入【網(wǎng)絡(luò)教研室】，輸入完成后，我們可以單擊【創(chuàng)建】按鈕，完成這個用戶組的創(chuàng)建，我們看圖3-12對話框中所示的【成員】區(qū)域，是空白，里面沒有一個成員，即此時創(chuàng)建的用戶組是空的，沒有一個用戶，所以我們可以單擊另一個按鈕即【添加】按鈕給【網(wǎng)絡(luò)教研室】這個新建的用戶組添加成員，當(dāng)我們單擊【添加】按鈕后，將彈出如圖3-13所示的【選擇用戶】對話框。（3）在圖3-13的對話框中，我們可以在【輸入對象名稱來選擇】區(qū)域中輸入要添加到【網(wǎng)絡(luò)教研室】組中的用戶或其他組，例如輸入用戶【cxp】然后單擊【確定】按鈕返回。這時，用戶【cxp】將出現(xiàn)在圖3-12成員區(qū)域的文本框中。單擊【確定】按鈕，組的創(chuàng)建和設(shè)置完成。我們要注意的是：除了這種方法，添加【組】成員外，我們還可以單擊圖3-13中的【高級】按鈕，會彈出【選擇用戶】對話框中，單擊【立即查找】按鈕，會在圖3-14所示的【搜索結(jié)果】區(qū)域中，顯示所有的【組】和【用戶】，我們可以在選擇的用戶上，單擊左鍵，然后單擊【確定】按鈕即可完成【組】中成員的添加。圖3-14選擇用戶對話框除此之外，我們還可以在帳戶【屬性】設(shè)置中將帳戶添加到組，通過帳戶屬性的【隸屬于】選項卡操作。我們在選定的帳戶上單擊，選擇【屬性】命令，在彈出的對話框上打開【隸屬于】選項卡，如圖3-15所示。單擊【添加】按鈕出現(xiàn)如圖3-16所示的對話框，在此可以直接輸入需要添加的組的名稱，如果記不清楚組的名稱，可以單擊【高級】按鈕，在彈出的【選擇組】對話框中實行查找，單擊【立即查找】按鈕，將會出現(xiàn)本計算機所有的組的名稱，如圖3-17所示。

選擇想要加入的組，單擊【確定】按鈕，返回【選擇組】對話框。加入的組將出現(xiàn)在【選擇組】對話框中，如圖3-18所示。然后單擊【確定】按鈕，返回用戶屬性對話框，我們發(fā)現(xiàn)選擇的組【網(wǎng)絡(luò)教研室】已經(jīng)出現(xiàn)在如圖3-19所示對話框的隸屬于區(qū)域，。單擊【確定】按鈕，完成組的添加。任務(wù)實施3通過命令行創(chuàng)建用戶、提升用戶權(quán)限、克隆用戶、隱藏用戶 下面我們給大家講一下通過命令行，創(chuàng)建用戶、提升用戶權(quán)限、克隆用戶、隱藏用戶的技巧。1.通過命令行解決用戶忘記登錄密碼的問題 假設(shè)我們用一個用戶是是【user】，忘記了登錄密碼如何處理呢？ 我們可以采用以下的方法：方法一：（1）重新啟動計算機，在啟動畫面出現(xiàn)后馬上按下F8鍵，選擇【帶命令行的安全模式】。運行過程結(jié)束時，系統(tǒng)列出了系統(tǒng)超級用戶【administrator】和本地用戶【user】的選擇菜單，鼠標(biāo)單擊【administrator】，進入命令行模式。（2）鍵入命令：【netuseruser123456/add】，強制將【user】用戶的口令更改為【123456】。若想在此添加一新用戶（如：用戶名為ccbbqq，口令為123456）的話，請鍵入【netuserccbbqq123456/add】，添加后可用【netlocalgroupadministratorsccbbqq/add】命令將用戶提升為系統(tǒng)管理組【administrators】的用戶，并使其具有超級權(quán)限。如果要刪除用戶則可以輸入：netuserccbbqq/del即可刪除。(3)重新啟動計算機，選擇正常模式下運行，就可以用更改后的口令【123456】登錄【user】用戶了。方法二：（1）如果有雙系統(tǒng)的話而且另一個系統(tǒng)能正常進入的話.那將是非常簡單的.只需要把c:\windows\repair下的software,system,security,default和sam五個文件拷到c:\windows\system32\config下覆蓋原來的文件，重啟即可。2.SAM的相關(guān)知識（1）SAM數(shù)據(jù)庫的位置SAM數(shù)據(jù)庫位于C:\WINDOWS\system32\config\的sam文件夾。（2）增加和刪除用戶我們通過命令行增加兩個用戶，命令如圖3-23所示。圖3-23增加用戶test1和test2下面，我們刷新一下注冊表，看SAM的Names內(nèi)的用戶，已經(jīng)出現(xiàn)了test1和test2，如圖3-24所示?，F(xiàn)在把test1和test2都刪除掉，輸入命令如圖3-25所示，然后按F5刷新一下，在Names里面沒有test1和test2這兩個用戶了，如圖3-26所示。（3）克隆用戶我們現(xiàn)在單擊Names中的管理員，在窗口右邊類型里出現(xiàn)了一個0x1f4，如圖3-27所示。這個就是安全標(biāo)識符SID，SID是由于英文和阿拉伯?dāng)?shù)字組成的字符串，每個用戶都有自己的SID都是十六進制數(shù)我們將AdministratorSID的后幾位1f4轉(zhuǎn)換成十進制就變成500。注意:每個用戶的SID都不能改的，所以現(xiàn)在很多黑客軟件只要知道那個用戶的SID結(jié)尾是500，就知道這個用戶是Administrator權(quán)限最大的用戶我們在注冊表中，找到與Administrator對應(yīng)的上面的Users中的0X1F4對應(yīng)的000001F4，單擊一下，然后就看到了一個F鍵，F(xiàn)鍵存儲了該用戶的權(quán)利權(quán)限用戶配置文件的配置等，我們右鍵單擊修改，出現(xiàn)編輯二進制數(shù)值對話框，我們將F值的數(shù)值數(shù)據(jù)進行復(fù)制，如圖3-29所示。我們現(xiàn)在來做一個實驗把Administrator的F鍵值復(fù)制并粘貼到cbq這個用戶的的F鍵值里面，讀者能想到是怎么樣的一個結(jié)果嗎?現(xiàn)在cbq這個用戶就成為adminisrator了。要注意的是我們看下Names中的cbq這個類型是0X3FF，那么在Users中要找到000003FF這個選項的F值進行粘貼。我們用cbq這個用戶進行登錄，也看到剛才在Administrator的桌面上新建的一個文件夾和一個DOC文件，權(quán)限也是和管理員的權(quán)限一樣可以修改系統(tǒng)時間等等，我們查看這個用戶的隸屬于組，而沒有Administrators這個組。（4）創(chuàng)建隱藏帳號我們對這個隱藏帳號進行總結(jié)：1.這樣的隱藏帳戶是危險的。2.重啟后，會顯示出test$帳戶。但是netuser顯示不出來：（5）加強windows密碼安全性我們可以使用Syskey命令來加密數(shù)據(jù)庫，如圖3-37、3-38所示。圖3-37輸入Syskey命令圖3-38啟用加密3.1.4任務(wù)總結(jié)與回顧在本任務(wù)中我們介紹了WindowsServer2003的本地用戶和組的一些基本操作，還介紹了命令行對用戶的操作，這些對于成員服務(wù)器的計算機來說，是非常重要的，因為成員服務(wù)器如果不登錄到域中，要實現(xiàn)本地辦公時，就要用本地帳戶登錄，當(dāng)密碼忘記時，就會用到命令行強行修改密碼，或者強行提升用戶權(quán)限，這些都是非常重要的。3.1.5習(xí)題1.WindowsServer2003如何創(chuàng)建本地帳戶？2．WindowsServer2003有哪些本地組？3.WindowsServer2003如何通過命令行創(chuàng)建、刪除用戶？4.WindowsServer2003如何通過命令行提升用戶權(quán)限？如何增加隱藏用戶？5.上機操作：完成下面的實驗內(nèi)容項目4域用戶帳戶和域組的管理學(xué)習(xí)目標(biāo)：（1）了解域用戶的概念。（2）了解域組的類型。（3）掌握域用戶和組的創(chuàng)建及管理方法。4.1任務(wù)名稱域用戶帳戶的管理4.1.1任務(wù)分析在項目2介紹活動目錄時，我們就提到工作組模式的計算機當(dāng)用戶數(shù)量龐大時，管理員的工作負(fù)擔(dān)非常大，從而出現(xiàn)了域環(huán)境，即有了域控制器、成員服務(wù)器的說法，而成員服務(wù)器除了有在本地工作的本地用戶和組外，為了能夠訪問網(wǎng)絡(luò)中的資源，訪問域環(huán)境下各個服務(wù)器共享出來的網(wǎng)絡(luò)資源，就需要在域控制器上創(chuàng)建在整個域中通行的帳戶，這個帳號，在域環(huán)境中的任意一臺成員計算機上登錄都是可以使用網(wǎng)絡(luò)資源的。如果讀者正在學(xué)習(xí)域用戶的相關(guān)知識或者想了解這方面的知識，完成這個任務(wù)的思路如下：首先我們要在創(chuàng)建域用戶之前了解域用戶類型，域組的類型，然后知道域用戶和組的創(chuàng)建方法，知道組織單位就好比我們的工作單位中的部門，了解用戶的配置文件等。其次，進入到域控制器域用戶管理控制臺創(chuàng)建域用戶和組，創(chuàng)建組織單位。再次，在了解配置文件的基礎(chǔ)上，練習(xí)配置文件的創(chuàng)建方法。根據(jù)這個思路結(jié)合任務(wù)實施的步驟即可完成這個任務(wù)。4.1.2知識鏈接1.域用戶帳戶的管理域用戶帳戶是用戶訪問域的唯一憑證，因此在域中必須是唯一的。域用戶帳戶保存在AD（活動目錄）數(shù)據(jù)庫中，該數(shù)據(jù)庫位于在DC（域控制器）上的\%systemroot%\NTDS文件夾下。為了保證帳戶在域中的唯一性，每一個帳戶都被WindowsServer2003簽訂一個唯一的SID（SecurityIdentifier，安全識別符）。SID將成為一個帳戶的屬性，不隨帳戶的修改、更名而改動，并且一旦帳戶被刪除，則SID也將不復(fù)存在，即便重新創(chuàng)建一個一模一樣的帳戶，其SID也不會和原有的SID一樣，對于WindowsServer2003而言，這就是兩個不同的帳戶。2.創(chuàng)建域用戶創(chuàng)建域用戶帳戶是在活動目錄數(shù)據(jù)庫中添加記錄，所以一般是在域控制器中進行的，當(dāng)然也可以使用相應(yīng)的管理工具或命令通過網(wǎng)絡(luò)在其他計算機上操作，但都需要有創(chuàng)建帳戶的權(quán)限。3.域模式中的組管理1）域模式中的組類型在域中有兩種組的類型：安全組和通信組。（1）.安全組（SecurityGroups）（2）通信組（DistributionGroups）4.組的作用域組的作用域決定了組的作用范圍、組中可以擁有的成員以及組之間的嵌套關(guān)系。在WindowsServer2003域模式下組有3種組作用域：全局組作用域、本地組作用域和通用組作用域。5.采用復(fù)制創(chuàng)建新的域賬號采用復(fù)制的方式創(chuàng)建新的域用戶，默認(rèn)情況下，只有最常用的屬性（比如登錄時間、工作站限制、帳戶過期限制、隸屬于哪個組等）才傳遞給復(fù)制的用戶。6.組織單位簡介包含在域中的特別有用的目錄對象類型就是組織單位。組織單位是可將用戶、組、計算機和其他組織單位放入其中的ActiveDirectory容器。用戶可擁有對域中所有組織單位或?qū)蝹€組織單位的管理權(quán)限。組織單位的管理員不需要具有域中任何其他組織單位的管理權(quán)限。組織單位對于管理委派和組策略的設(shè)置非常重要，這一點將在后面的章節(jié)中詳細(xì)介紹。7.用戶配置文件的類型用戶第一次登錄到某臺計算機上時，WindowsServer2003即為該用戶創(chuàng)建一個用戶配置文件。該文件保存在C:\DocumentsandSettings\Username文件夾中，其中Username為該用戶的用戶名。用戶在登錄的計算機上對工作環(huán)境所作的修改將被保存到該文件夾下的配置文件中，并在下次進入到系統(tǒng)時應(yīng)用修改后的配置。用戶配置文件包括多種類型，分別用于不同的工作環(huán)境。1）默認(rèn)的用戶配置文件（DefauLtUserProfiLe）默認(rèn)的用戶配置文件用于生成一個新用戶的工作環(huán)境，所有對用戶配置文件的修改都是在默認(rèn)用戶配置文件上進行的。默認(rèn)的用戶配置文件在所有基于WindowsServer2003的計算機上都存在，該文件保存在C:\DocumentsandSettings\DefaultUser隱藏文件夾中。當(dāng)用戶第一次登錄到計算機上的時候其用戶配置文件的內(nèi)容就是由DefaultUser文件夾中的內(nèi)容和AllUsers文件夾中的內(nèi)容組成的。2)強制性用戶配置文件（MandatorYUserProfiLe）強制性用戶配置文件不保存用戶對工作環(huán)境的修改，當(dāng)用戶更改了工作環(huán)境參數(shù)之后退出登錄再重新登錄時，工作環(huán)境又恢復(fù)到強制用戶配置文件中所設(shè)定的狀態(tài)。當(dāng)需要一個統(tǒng)一的工作環(huán)境時該文件就十分有用。該文件由管理員控制，可以是本地的也可以是漫游的用戶配置文件，通常將強制性用戶配置文件保存在某臺服務(wù)器上，這樣不管用戶從哪臺計算機上登錄都將得到一個相同且不能更改的工作環(huán)境。因此強制性用戶配置文件有時候也被稱為強制性漫游用戶配置文件。4.1.3任務(wù)實施任務(wù)實施1創(chuàng)建域用戶及管理1.創(chuàng)建域用戶創(chuàng)建域用戶帳戶，操作如下。（1）執(zhí)行【開始】|【程序】|【管理工具】|【ActiveDirectory用戶和計算機】命令，彈出如圖4-1所示窗口。也可以通過在【控制面板】中雙擊【管理工具】，然后在【管理工具】窗口中雙擊【ActiveDirectory用戶和計算機】圖標(biāo)，打開【ActiveDirectory用戶和計算機】窗口。（2）在【Users】上單擊，執(zhí)行【新建】|【用戶】命令，如圖4-5所示。彈出一個創(chuàng)建用戶的對話框，在該對話框中輸入用戶信息，如圖4-6所示。（3）單擊【下一步】按鈕，輸入用戶密碼，如圖4-7所示。為了域用戶帳戶的安全，管理員在給每個用戶設(shè)置初始化密碼后，最好將【用戶下次登錄時須更改密碼】復(fù)選框選中。以便用戶在第一次登錄時更改自己的密碼。在服務(wù)器提升為域控制器后，WindowsServer2003對域用戶的密碼復(fù)雜性要求比較高，如果不符合要求，就會彈出一個警告提示框，用戶無法創(chuàng)建。在為用戶設(shè)置好符合域控制器安全性密碼設(shè)置條件的密碼后，單擊【下一步】按鈕，然后單擊【完成】按鈕，至此，域用戶帳戶已經(jīng)建立好了。這個密碼策略，我們后面將進行介紹。2.設(shè)置域帳戶屬性對于域用戶帳戶來說，它的屬性設(shè)置比本地帳戶復(fù)雜得多。以剛才創(chuàng)建的用戶帳戶為例，來學(xué)習(xí)設(shè)置域帳戶屬性。（1）在帳戶【陳冰倩】上單擊，選擇【屬性】命令，彈出新對話框，如圖4-4所示。也可以通過選擇【陳冰倩】這一用戶后在工具欄上打開【操作】菜單，同樣會出現(xiàn)【屬性】命令。或者直接在【陳冰倩】帳戶上雙擊，同樣可以彈出如圖4-8所示對話框。（2）在【常規(guī)】選項卡中輸入用戶信息，如圖4-8所示。從圖4-8可以看出，域用戶帳戶的屬性明顯比本地用戶復(fù)雜。（3）在【地址】選項卡中輸入用戶的地址和郵編，在【電話】選項卡中輸入用戶的各種電話號碼。圖4-8帳戶屬性對話框（4）在【帳戶】選項卡中可以更改用戶登錄名、密碼策略和帳戶策略，如圖4-9所示。在【帳戶】選項卡中，可以控制用戶的登錄時間和只能登錄哪些服務(wù)器或計算機。單擊【登錄時間】按鈕，可在如圖4-10所示的對話框中設(shè)置登錄時間。同時可以通過單擊【登錄到】按鈕，控制用戶只能登錄哪些服務(wù)器或計算機，如圖4-11所示。特別說明：對于時間控制，如果已登錄用戶在域中的工作時間超過設(shè)定的【允許登錄】時間，并不會斷開與域的連接。但用戶注銷后重新登錄時，便不能登錄了，【登錄時間】只是限定可以登錄到域中的時間。對于控制用戶可以登錄到哪些計算機時，在【計算機名】下的文本框中只能輸入計算機NetBIOS名，不能輸入DNS名或IP地址。

（5）在【單位】選項卡中可以輸入職務(wù)、部門、公司名稱、直接下屬等，如圖4-12所示。 （6）在【隸屬于】選項卡中，單擊【添加】按鈕，可以將該用戶添加到組，如圖4-13所示。用戶屬性對話框中的其他選項卡，將在其他部分加以介紹。任務(wù)實施2創(chuàng)建域組下面我們介紹創(chuàng)建域組的方法。（1）首先創(chuàng)建一個全局組。 在【Users】上右擊，執(zhí)行【新建】|【組】命令，如圖4-14所示。在彈出的創(chuàng)建用戶的對話框中輸入用戶信息，設(shè)置組作用域為全局組，如圖4-15所示。（2）將網(wǎng)絡(luò)教研室的用戶添加到創(chuàng)建的組中。 在創(chuàng)建的【網(wǎng)絡(luò)教研室】組上右擊，選擇【屬性】命令，彈出如圖4-16所示的常規(guī)對話框。 打開【成員】選項卡，如圖4-17所示。單擊【添加】按鈕。 在彈出的【選擇用戶、聯(lián)系人或計算機】對話框中輸入用戶名稱（如果需要添加多個用戶，則用戶之間用分號隔開），然后單擊【確定】按鈕，用戶就添加到全局組中，如圖4-18所示。 如果忘記需要添加的用戶名稱，可以單擊【高級】按鈕，在彈出的對話框中單擊【立即查找】按鈕。計算機將域中所有的用戶、聯(lián)系人或計算機都顯示在對話框中，從中選擇需要添加的用戶，單擊【確定】按鈕，如圖4-19所示。 在返回的對話框中，已經(jīng)選擇的用戶出現(xiàn)在其中，單擊【確定】按鈕，如圖4-20所示。返回【成員】選項卡，如圖4-21所示。單擊【確定】按鈕，用戶添加完畢。任務(wù)實施3采用復(fù)制創(chuàng)建新的域賬號 采用復(fù)制的方式創(chuàng)建新的域用戶，默認(rèn)情況下，只有最常用的屬性（比如登錄時間、工作站限制、帳戶過期限制、隸屬于哪個組等）才傳遞給復(fù)制的用戶。 采用復(fù)制創(chuàng)建新的域賬號步驟如下： （1）打開【ActiveDirectory用戶和計算機】窗口，單擊要復(fù)制的用戶帳戶，然后選擇【復(fù)制】命令，如圖4-22所示。（2）在彈出的【復(fù)制對象－用戶】對話框中輸入新建的用戶信息，如圖4-23所示。然后跟新建用戶一樣，設(shè)置用戶密碼，完成用戶的復(fù)制。（3）然后，可以打開通過復(fù)制創(chuàng)建的用戶的【屬性】窗口，打開【隸屬于】選項卡，可以清楚地看到原來被復(fù)制的這個用戶所隸屬于的組出現(xiàn)在這個新建的用戶屬性中，如圖4-24所示。任務(wù)實施4組織單位創(chuàng)建及管理1.創(chuàng)建組織單位（1）打開【ActiveDirectory用戶和計算機】窗口，在需要創(chuàng)建組織單位的域中右擊，執(zhí)行【新建】|【組織單位】命令，如圖4-25所示。（2）彈出【新建對象－組織單位】對話框，如圖4-26所示。輸入想要創(chuàng)建的組織單位的名稱，單擊【確定】按鈕。完成組織單位的創(chuàng)建。2.向組織單位中添加組織單位、用戶和組可以向剛創(chuàng)建的組織單位中添加組織單位、用戶和組。其操作方法同新建組織單位、用戶和組一樣。（1）打開【ActiveDirectory用戶和計算機】窗口，單擊新創(chuàng)建的組織單位，在右側(cè)欄空白處單擊，執(zhí)行【新建】|【組織單位】命令，如圖4-27所示。（2）在彈出【新建對象－組織單位】對話框，輸入想要創(chuàng)建的組織單位的名稱，如【網(wǎng)絡(luò)教研室】，單擊【確定】按鈕。就在組織單位下添加了組織單位、用戶和組，如圖4-28所示。（3）還可以將其他組織單位中的用戶和組通過移動添加到此組織單位中，在【ActiveDirectory用戶和計算機】窗口中選擇以前創(chuàng)建的用戶和組，單擊，選擇【移動】命令，如圖4-29所示。（4）在彈出的對話框中選擇想要移動到的組織單位名稱，單擊【確定】按鈕，完成用戶和組的移動。（5）移動完成后，可以發(fā)現(xiàn)【計算機應(yīng)用系】這個組織單位下面增加了一個組織單位，【信息安全教研室】，變?yōu)榱藘蓚€，如圖4-30所示。任務(wù)實施5設(shè)置漫游用戶配置文件

要創(chuàng)建漫游用戶配置文件，系統(tǒng)管理員首先要在網(wǎng)絡(luò)上的一臺服務(wù)器上共享一個文件夾，用于存放漫游用戶配置文件。4.1.4任務(wù)總結(jié)與回顧 本任務(wù)中我們完成了5個內(nèi)容，域用戶的創(chuàng)建，域組的創(chuàng)建，復(fù)制創(chuàng)建用戶帳戶，組織單位的創(chuàng)建及管理，用戶配置文件的創(chuàng)建及管理，其中最基本的是域組域用戶的創(chuàng)建，創(chuàng)建了域用戶后，要想在域中的任意一臺計算機上都是可以登錄的，是需要在域控制器的域安全策略中對域用戶的安全性進行設(shè)置，讓創(chuàng)建的域用戶能夠進行網(wǎng)絡(luò)登錄，也要讓其能夠在本地登錄（這些請讀者引起重視），除了這個以外，組織單位與我們實際工作單位中的部門相類似，可以根據(jù)我們的工作部門來進行組織單位的創(chuàng)建，從而方便我們的域用戶管理，還有就是用戶配置文件的使用，可以讓用戶使用較為統(tǒng)一的工作環(huán)境。4.1.5習(xí)題1.總結(jié)創(chuàng)建域用戶和域組的方法。2.如何設(shè)置域用戶的密碼策略？3.上機操作：完成下面的實驗項目5文件服務(wù)器安裝配置與管理學(xué)習(xí)目標(biāo)：(1)學(xué)會安裝和配置文件服務(wù)器。(2)學(xué)會服務(wù)器端共享文件夾的配置和管理。(3)學(xué)會客戶端訪問共享文件夾的方法。(4)學(xué)會NTFS文件系統(tǒng)權(quán)限的設(shè)置方法。(5)學(xué)會磁盤配額的使用。5.1任務(wù)名稱文件服務(wù)器的安裝與配置5.1.1任務(wù)分析在一個單位，一個公司經(jīng)常會出現(xiàn)使用一些共同的文件和軟件，原來我們都是自己到存放文件的計算機上去復(fù)制，現(xiàn)在，如果我們想使用一個一些共同的文件，則可以不需要自己去復(fù)制文件，而可以直接通過局域網(wǎng)的文件服務(wù)器實現(xiàn)資源的共享，可以在本地計算機上連接到文件服務(wù)器來使用一個或多個共同使用的文件，因此文件服務(wù)器的搭建就顯得尤為重要。如果讀者單位的用戶想使用服務(wù)器上的共享的資源，讀者可以幫這些用戶完成這個