活動目錄服務課件

活動目錄呢包括兩個方面：

⑴目錄：是存儲各種對象的容器。如，用戶、組、計算機、共享資源、打印機和聯(lián)系人等。

⑵目錄服務：是使目錄中所有信息和資源發(fā)揮作用的服務?；顒幽夸浭且粋€分布式的目錄服務，信息可以分散在多臺不同的計算機上，保證用戶能夠快速訪問。

◆3.1.1活動目錄服務概述Windows2000系統(tǒng)最大的突破性和成功之一就在于它引入的“活動目錄（ActiveDirectory,AD）”服務。它具有良好的可擴展性、可調整性，并將結構化數(shù)據(jù)存儲作為目錄信息邏輯和分層組織的基礎。

3.1活動目錄服務1下面對有關活動目錄的重要名詞和概念進行說明：

一、對象與屬性對象是活動目錄中的信息實體，是一組屬性的集合，往往代表了有形實體。

二、容器、域、組織單位容器與對象相似，也是一些屬性的集合，與目錄對象不同的是，容器不代表有形的實體，而是代表存放對象的空間，且僅代表存放一個對象的空間。

域(Domain)是一組有邏輯關系（工作關系）的計算機集合。組織單位是一個邏輯單位，它是域中一些用戶和組、文件與打印機等資源對象的集合。2三、子域、域樹、樹林一個域又可以有子域。如:是域的子域，這樣父域與子域就組成了域樹，圖中具有公用根域的所有域構成連續(xù)名稱空間，也就是說域的名字就是DNS的名字，子域名字的后綴就是其父域的名字。一棵或多棵域樹又可以組成樹林。

TJ域樹1.樹林、信任關系信任關系3活動目錄安裝之后，主要有三個活動目錄的管理界面:⑴活動目錄用戶和計算機管理，主要用于實施對域的用戶和計算機進行管理；⑵活動目錄的域和域信任關系的管理，主要用于管理多域的委托和信任關系；⑶活動目錄的站點管理，可以把域控制器置于不同的站點進行管理。一般情況下，一個站點內(nèi)的域控制器之間的復制是自動進行的，站點間的域控制器之間的復制需要管理員設定，以優(yōu)化復制流量，提高可伸縮性。

5

幾個需要了解的概念：

域：是活動目錄的分區(qū)，定義了安全邊界，在沒經(jīng)過授權的情況下，不允許其他域中的用戶訪問本域中的資源。

活動目錄：可由一個或多個域組成，每一個域可以存儲上百萬個對象，域之間還有層次關系，可以建立域樹和樹林，進行無限的域擴展?；顒幽夸浿?，目錄存儲只有一種形式。而域控制器包括了完整的域目錄的信息。每一個域中必須有一個域控制器，否則域也就不存在了。Windows2000的活動目錄中沒有主域控制器和備份域控制器的區(qū)別，所有的域控制器在用戶訪問和提供服務方面都是相同的。域控制器的管理是管理員最重要的工作。域控制器的運行狀態(tài)直接關系到網(wǎng)絡的正常運行。3.3域與域控制器管理6◆3.3.1設置域控制器屬性域控制器是網(wǎng)絡正常運作的中心，起到的網(wǎng)絡控制作用是非常重要的。因此，用戶必須根據(jù)網(wǎng)絡運行情況合理地設置域控制器的屬性。用戶通過設置域控制器屬性，可以確定域控制器的位置、操作系統(tǒng)和常規(guī)屬性，還可設置域控制器的組和管理員。域控制器屬性的設置過程：單擊該超鏈接觀看演示(3.3.1)

◆3.3.2查找域控制器目錄內(nèi)容在Windows2000中，活動目錄是一個網(wǎng)絡清單，包括網(wǎng)絡中的域、域控制器、用戶、計算機、聯(lián)系人、組、組織單位及網(wǎng)絡資源等各個方面的信息，使管理員對這些內(nèi)容的查找更加方便。要查找目錄內(nèi)容，可參照下面的演示實例：單擊該超鏈接觀看演示

(3.3.2)7◆3.3.3連接到其他域

在多域的網(wǎng)絡中，經(jīng)常需要將當前域連接到其他域，這樣做可使當前域中的用戶和計算機能訪問其他域中的資源，也可將當前域控制器的部分操作主機功能傳送給其他域控制器，甚至可將當前域控制器更改為其他域中的域控制器。單擊該超鏈接觀看演示(3.3.3)

◆3.3.4更改域控制器域控制器是域網(wǎng)絡的中心，若出現(xiàn)故障會導致域網(wǎng)絡無法正常運行。此時管理員必須更改域控制器，以確保網(wǎng)絡正常運作。由于Windows2000中不再區(qū)分主域控制器和輔助域控制器，因此，域控制器的更改變得更加簡單，用戶只須建立當前域與其它任何可寫的域控制器的連接即可。單擊該超鏈接觀看演示(3.3.4)

8組和組織單位的區(qū)別：組主要用于權限設置，而組織單位則主要用于網(wǎng)絡構建；組織單位只表示單個域中的對象集合（可包括組對象），而組可以包含用戶、計算機、本地服務器上的共享資源、單個域、域目錄樹或目錄林?！?.4.2組和組織單位的創(chuàng)建Windows2000系統(tǒng)提供了許多內(nèi)置組用于權限和安全設置，但它們不能滿足特殊安全和靈活性的需要。用戶要想很好地管理用戶和計算機賬戶，必須根據(jù)網(wǎng)絡情況創(chuàng)建一些新組。新組創(chuàng)建后，就可以像使用內(nèi)置組一樣使用它們，賦予權限和進行組成員的添加。

一、創(chuàng)建組：

能創(chuàng)建組的用戶必須是Administrators組、AccountOperators組的成員。要創(chuàng)建新組可按下面操作進行:10

⑴在”ActiveDirectory用戶和計算機“窗口的控制臺目錄樹中展開域節(jié)點。右擊要進行組創(chuàng)建的組織單位或容器，從彈出的快捷菜單中選擇“新建”/“組”命令，打開如圖3-30所示的“新建對象-組”對話框。⑵在“組名”文本框中輸入要創(chuàng)建的組名；在“組作用域”選項區(qū)域中，通過單選按鈕來選擇組的應用領域；在“組類型”選項區(qū)域中，通過單選按鈕來選擇新組的類型。⑶單擊“確定”按鈕即完成組的創(chuàng)建。

單擊該超鏈接觀看演示3.4.2(1)

11

◆3.4.3組和組織單位的刪除活動目錄中的組和組織單位因太多而影響了對用戶和計算機賬戶的管理時，作為管理員的用戶可對自己創(chuàng)建的組和組織單位進行清理。要刪除組和組織單位，可按下面步驟進行：⒈在“ActiveDirectory用戶和計算機”控制臺目錄樹中，展開域節(jié)點。單擊要刪除的組或組織單位所在的組織單位，使詳細資料窗格中列出該組織單位的內(nèi)容。⒉右擊要刪除的組或組織單位，從彈出的快捷菜單中選擇“刪除”命令，系統(tǒng)會打開信息確認框。⒊單擊“是”按鈕，完成組或組織單位的刪除。注意，管理員只能刪除自己創(chuàng)建的組和組織單位，而不能刪除由系統(tǒng)提供的內(nèi)置組和組織單位。

單擊該超鏈接觀看演示3.4.313◆3.4.4委派控制組或組織單位

Windows2000提供了一項新的網(wǎng)絡功能--委派控制。通過它，作為管理員可以將一部分域管理工作委派給其他用戶、計算機或組，減輕管理員的網(wǎng)絡系統(tǒng)管理負擔。對組或組織單位進行委派控制，可采取以下步驟：⒈在“ActiveDirectory用戶與計算機”窗口的控制臺目錄樹中，單擊之后再雙擊域節(jié)點，展開該節(jié)點。⒉右擊要委派控制的組織單位或組節(jié)點，如，右擊Users，從彈出的快捷菜單中選擇“委派控制”命令，打開“控制委派向導”對話框。⒊單擊“下一步”按鈕，打開“組或用戶選擇”對話框，單擊“添加”，打開“選擇用戶、計算機或組”對話框，選擇一個或多個要委派控制的用戶，也可以選擇一個或多個要委派控制的組。14

⒋單擊“下一步”按鈕，指定委派的任務范圍。如果委派的對象為整個文件夾，可選擇“這個文件夾”，如果委派的對象只是文件夾中的對象，可選擇“文件夾中的對象”，并在“對象類型”列表框中通過復選框來選擇對象。⒌單擊“下一步”按鈕，打開“權限”對話框，如圖3-35所示。通過選擇“要委派的權限”復選框來選擇要委派的權限，如，選擇“讀取”、“創(chuàng)建所有的子對象”、“刪除所有的子對象”、“讀取所有屬性”等復選框設置相應權限。⒍單擊“下一步”按鈕，打開“完成控制委派向導”對話框，單擊“完成”按鈕，結束委派設置。

單擊該超鏈接觀看演示(3.4.4)

15◆3.4.6設置組屬性組可以使指派資源權限簡單化，用戶可以是多個組的成員，一個組可以加入到別的組當中。一個組最多可有5000個成員。新組創(chuàng)建好后，系統(tǒng)并沒有設置該組常規(guī)屬性和權限，也沒有為其指定組成員和管理人，該組幾乎不發(fā)揮任何作用。要設置組屬性，步驟如下：⒈在“ActiveDirectory用戶與計算機”窗口的控制臺目錄樹中，單擊要設置屬性的組所在的組織單位或容器，使得詳細資料窗格中列出該組織單位的內(nèi)容。在詳細資料窗格中，右擊要添加成員的組，選擇“屬性”命令，打開該組的屬性對話框。17⒉為了便于管理，在“描述”和“注釋”文本框中分別輸入有關該組的描述和注釋；如果要修改組名稱，在“組名”文本框中輸入新的組名稱；在“電子郵件”文本框中輸入組管理員的電子電郵件地址。⒊單擊“成員”選項卡，打開如圖所示的設置組“成員屬性”對話框。要添加成員，單擊“添加”按鈕，打開“選擇用戶聯(lián)系人或計算機”對話框選擇要添加的成員。要刪除組成員，在“成員”列表框中選擇要刪除的組成員，然后單擊“刪除”按鈕即可。⒋因為用戶主要是通過向新組添加內(nèi)置組來設置新組的權限的，所以要設置組權限，選擇“成員屬于”選項卡，單擊“添加”按鈕，打開“選擇組”對話框，為自己創(chuàng)建的組選擇內(nèi)置組。要刪除某個組權限，在“成員屬于”列