計算機網(wǎng)絡(luò)操作系統(tǒng)（第二版）課件第5章 活動目錄

第5章活動目錄本章學習目標活動目錄是微軟的一種非常重要的目錄服務(wù)，它存儲網(wǎng)絡(luò)上各種資源（如用戶、組、計算機、共享資源、打印機和聯(lián)系人等）的信息，提供分布式的目錄服務(wù)，信息可以分散在多臺不同的計算機上，只要擁有相應(yīng)權(quán)限，用戶可以方便地在網(wǎng)絡(luò)上任何一臺計算機上登錄到域，并可以查找和使用這些網(wǎng)絡(luò)資源，為域管理人員提供了一個集中管理網(wǎng)絡(luò)對象的架構(gòu)與服務(wù)。本章學習目標本章介紹WindowsServer2008中活動目錄的概念與基本管理，Windows域的概念與管理，組織單位、組及賬戶的管理。本章包括以下主要內(nèi)容：

活動目錄的基本概念活動目錄的規(guī)劃與安裝域控制器的管理組和組織單位的管理用戶賬戶和計算機賬戶的管理資源發(fā)布與域的管理

5.1概述活動目錄（ActiveDirectory）是一種目錄服務(wù)，它存儲有關(guān)網(wǎng)絡(luò)對象（如用戶、組、計算機、共享資源、打印機和聯(lián)系人等）的信息，使管理員和用戶可以方便地查找并使用這些網(wǎng)絡(luò)資源。5.1.1活動目錄簡介5.1.1活動目錄簡介

域（Domain）是WindowsServer2008目錄服務(wù)的基本管理單位，域模式的最大好處就是它的單一網(wǎng)絡(luò)登錄能力，任何用戶只要在域中有一個賬戶，就可以漫游域網(wǎng)絡(luò)。域目錄樹中的每一個節(jié)點都有自己的安全邊界，這種層次結(jié)構(gòu)既實現(xiàn)了細粒度管理，又保證了安全性。活動目錄服務(wù)把域詳細劃分成組織單位（OU），組織單位是一個邏輯單位，它是域中一些用戶和組、文件與打印機等資源對象的集合。5.1.1活動目錄簡介活動目錄是一種集成管理技術(shù)，是一個層次的、樹狀的結(jié)構(gòu)，通過活動目錄組織和存儲網(wǎng)絡(luò)上的對象信息，可以讓管理員非常方便的進行對象的查詢、組織和管理?；顒幽夸浘哂信cDNS集成、便于查詢、可伸縮可擴展、可以進行基于策略的管理、安全高效等特點。相對于WindowsServer2003，WindowsServer2008活動目錄服務(wù)有很大的改進，主要體現(xiàn)在：增加了只讀域控制器、可重啟的活動目錄域服務(wù)、活動目錄審核等。5.1.2活動目錄的特性

WindowsServer2008活動目錄是一個完全可擴展、可伸縮的目錄服務(wù)，既能滿足商業(yè)ISP的需要，又能滿足企業(yè)內(nèi)部網(wǎng)和外聯(lián)網(wǎng)的需要，通過活動目錄，可以實現(xiàn)提高增強網(wǎng)絡(luò)的安全性、提高管理的靈活性，方便用戶在各種不同環(huán)境部署服務(wù)。

5.1.2活動目錄的特性1．可重啟的活動目錄域服務(wù)在WindowsServer2008中，提供了可重啟活動目錄域服務(wù)的功能，其中活動目錄域服務(wù)像其他服務(wù)一樣是作為一個服務(wù)存在，可以在系統(tǒng)服務(wù)控制臺中停止或者啟動，而不必像以前那樣重啟服務(wù)器，減少了服務(wù)器重啟的次數(shù)，極大地方便了用戶，提高了網(wǎng)絡(luò)服務(wù)的應(yīng)用。5.1.2活動目錄的特性2．只讀域服務(wù)在WindowsServer2008中，提供了只讀域服務(wù)（只讀域控制器），有效地避免了類似的安全問題。只讀域控制器最大的特點是雖然存有活動目錄域服務(wù)中所有的對象和屬性，但是只能從域控制器復(fù)制數(shù)據(jù)，不能向域控制器寫數(shù)據(jù)。另外，只讀域控制器是單向復(fù)制，包括AD數(shù)據(jù)庫和SYSVO，只可以從其他域控制器上同步信息，不可以向其他域控制器同步信息。5.1.2活動目錄的特性3．活動目錄審核

WindowsServer2008的目錄審核功能更細化、精確一些，可以在日志中查看對活動目錄做過的修改類型，修改時間、修改對象以及修改的值等信息。WindowsServer2008活動目錄審核策略細化為4個子類別，分別是：目錄服務(wù)訪問、目錄服務(wù)更改、目錄服務(wù)復(fù)制、詳細目錄服務(wù)復(fù)制。5.1.2活動目錄的特性4．多元密碼策略

WindowsServer2008使用的是多元密碼策略(Fine-GrainedPasswordPolicy)，可以針對不同的用戶或用戶群體設(shè)置不同的密碼策略。比如學校中網(wǎng)絡(luò)中心部署強密碼策略（密碼復(fù)雜度較高、密碼長度較長，密碼更新周期短一些），而其他部門則可以部署較為寬松的密碼策略。5.2

安裝活動目錄

安裝活動目錄之前，需要事先細致而全面地規(guī)劃適合本單位實際應(yīng)用的活動目錄，否則不但無法發(fā)揮活動目錄的強大功能，反而給使用帶來諸多麻煩。5.2.1規(guī)劃活動目錄5.2.1規(guī)劃活動目錄1．規(guī)劃DNS若要使用活動目錄，首先需要規(guī)劃名稱空間。在WindowsServer2008中，用DNS名稱命名活動目錄域。選擇DNS名稱用于活動目錄域時，以單位保留在Internet上使用的已注冊DNS域名后綴開始，并將該名稱和單位中使用的地理名稱或部門名稱結(jié)合起來，組成活動目錄域的全名。5.2.1規(guī)劃活動目錄2．規(guī)劃域結(jié)構(gòu)最簡單的域結(jié)構(gòu)是單域。一般應(yīng)從單域開始規(guī)劃，只有當單域模式不能滿足應(yīng)用需求時，才增加其他的域。只有在下列情形下才建議創(chuàng)建多個域：（1）大量的對象。（2）不同的Internet域名。（3）對復(fù)制進行更多的控制。（4）分散的網(wǎng)絡(luò)管理。5.2.1規(guī)劃活動目錄3．規(guī)劃組織單位結(jié)構(gòu)在域中可以創(chuàng)建組織單位的層次結(jié)構(gòu)，組織單位可包含用戶、組、計算機、打印機、共享文件夾以及其他組織單位。組織單位是目錄容器對象，在“ActiveDirectory用戶和計算機”管理控制臺中它們以文件夾形式組織。組織單位簡化了域中目錄對象的視圖以及對這些對象的管理?？蓪⒚總€組織單位的管理控制權(quán)委派給特定的管理員，更接近實際單位工作職責劃分。5.2.1規(guī)劃活動目錄4．規(guī)劃委派模式在每個域中創(chuàng)建組織單位樹，并將部分組織單位子樹的權(quán)力派給其他用戶或組，就可以將權(quán)力分派到單位中的最底層部門。這樣，除了個別保留擁有對整個域的管理授權(quán)的管理員賬戶和域管理員組，以備少數(shù)高度信任的管理員使用，其他管理權(quán)限可以下放到基層。5.2.1規(guī)劃活動目錄規(guī)劃活動目錄時，還要注意以下幾點：（1）使用的域越少越好，WindowsServer2008支持龐大的單個域容量。（2）限制組織單位的層次，以提高在活動目錄中搜索對象的運行效率。（3）限制組織單位中的對象個數(shù)，有利于高效地查找特定資源。（4）可以將管理權(quán)限分配到組織單位級，這樣既提高了管理效率，又降低了管理員的負荷。5.2.2安裝活動目錄

安裝WindowsServer2008時，系統(tǒng)默認沒有安裝活動目錄。用戶要將自己的服務(wù)器配置成域控制器，應(yīng)該首先安裝活動目錄。安裝WindowsServer2008活動目錄服務(wù)，可以通過命令“dcpromo.exe”方式進行，也可以通過“服務(wù)器管理器”進行，這里以“服務(wù)器管理器”為例來安裝活動目錄，具體步驟如下：5.2.2安裝活動目錄步驟一、添加ActiveDirectory域服務(wù)角色：（1）啟動WindowsServer2008，系統(tǒng)自動打開配置服務(wù)器窗口，或者選擇“管理工具”中“服務(wù)器管理器”命令，打開“服務(wù)器管理器”窗口，如圖5-1所示。（2）在圖5-1所示窗口中，右鍵單擊“角色”選項，選擇“添加角色”選項，出現(xiàn)“添加角色向?qū)А睂υ捒?，單擊“下一步”繼續(xù)。出現(xiàn)“選擇服務(wù)器角色”對話框，如圖5-2所示，從服務(wù)器角色列表中選擇“ActiveDirectory域服務(wù)”選項，單擊“下一步”繼續(xù)。（3）出現(xiàn)“ActiveDirectory域服務(wù)”對話框，在此對域服務(wù)進行了簡單介紹，單擊“下一步”繼續(xù)。出現(xiàn)“確認安裝選擇”對話框，以確認選擇了正確的服務(wù)器角色，單擊“安裝”，開始ActiveDirectory域服務(wù)的安裝。完成安裝后出現(xiàn)“安裝結(jié)果”對話框，如圖5-3所示。5.2.2安裝活動目錄步驟二、運行ActiveDirectory域服務(wù)安裝向?qū)В海?）在“服務(wù)器管理器”窗口中，在左側(cè)窗格中單擊“角色”下的“ActiveDirectory域服務(wù)”選項，然后單擊右側(cè)窗格顯示的超鏈“運行ActiveDirectory域服務(wù)安裝向?qū)А?，打開“ActiveDirectory域服務(wù)安裝向?qū)А睂υ捒颍鐖D5-4所示，單擊“下一步”繼續(xù)。（2）打開“操作系統(tǒng)兼容性”對話框，提示W(wǎng)indowsServer2008中改進的安全設(shè)置會影響舊版Windows。單擊“下一步”，打開“選擇某一部署配置”對話框，如圖5-5所示，因為是第一個域控制器，選擇“在新林中新建域”單選框，單擊“下一步”繼續(xù)。5.2.2安裝活動目錄（3）打開“命名林根域”對話框，如圖5-6所示，輸入域名，單擊“下一步”按鈕，經(jīng)過檢查后打開“設(shè)置林功能級別”對話框，若想與以前操作系統(tǒng)版本兼容，在“林功能級別”中選擇“Windows2000”選項。單擊“下一步”出現(xiàn)“設(shè)置域功能級別”對話框，同樣選擇“Windows2000純模式”選項，單擊“下一步”繼續(xù)。（4）打開“其他域控制器選項”對話框，選中“DNS服務(wù)器”復(fù)選框，如圖5-7所示。單擊“下一步”，打開“靜態(tài)IP分配”對話框，選擇“否，將靜態(tài)IP地址分配給所有物理網(wǎng)絡(luò)適配器”選項，并正確配置靜態(tài)IP地址后繼續(xù)下一步。5.2.2安裝活動目錄（5）出現(xiàn)“無法創(chuàng)建DNS服務(wù)器的委派”信息提示框，單擊“是”繼續(xù)，在出現(xiàn)的對話框中設(shè)置“數(shù)據(jù)庫、日志文件和SYSVOL”的位置，然后單擊“下一步”。（6）出現(xiàn)“目錄服務(wù)還原模式的Administrator密碼”，完成密碼設(shè)置，單擊“下一步”。打開“摘要”對話框，顯示前面所作的設(shè)置，如有問題，可返回單擊“上一步”按鈕修改。單擊“下一步”開始服務(wù)的安裝。安裝完成后，顯示“完成ActiveDirectory域服務(wù)安裝向?qū)А睂υ捒颍瑔螕簟巴瓿伞蓖顺霭惭b向?qū)?，并根?jù)提示重新啟動計算機。5.2.2安裝活動目錄要刪除活動目錄，選擇“開始”/“運行”，執(zhí)行dcpromo命令，打開“ActiveDirectory安裝向?qū)А睂υ捒?，并沿著向?qū)нM行刪除。在完成活動目錄安裝后，可以通過以下方法檢驗安裝是否正確，安裝過程中一項最重要的工作是在DNS數(shù)據(jù)庫中添加服務(wù)記錄（SRV記錄）。通過查看DNS文件的SRV記錄驗證安裝效果，使用文本編輯器打開%SystemRoot%/system32/config/中的Netlogon.dns文件，查看LDAP服務(wù)記錄，出現(xiàn)形如_ldap._.600INSRV0100389記錄5.3域控制器管理域（Domain）是活動目錄的分區(qū)，定義了安全邊界，允許授權(quán)用戶訪問本域中的資源。域是由管理員安裝活動目錄時定義的一個網(wǎng)絡(luò)環(huán)境，是一些計算機的集合，這個集合使用一個目錄數(shù)據(jù)庫，并為管理員提供對用戶賬戶、組和計算機等對象的集中管理和維護等功能。活動目錄可由一個或多個域組成，每一個域可以存儲上百萬個對象，域之間有層次關(guān)系，可以建立域樹和域林，如圖5-10、圖5-11所示，進行無限地域擴展。圖中的雙箭頭表示域之間的信任關(guān)系，域的信任關(guān)系都是雙向和可傳遞的。5.3域控制器管理在活動目錄中，目錄存儲只有一種形式，而域控制器（DomainController）包括了完整的域目錄的信息，因此，每一個域中必須有一個域控制器?；顒幽夸浭荳indowsServer2008網(wǎng)絡(luò)提供的目錄服務(wù)，是運行在域控制器上的數(shù)據(jù)庫，存儲著網(wǎng)絡(luò)對象的信息，活動目錄中可以有多個域控制器。在企業(yè)網(wǎng)絡(luò)中，特別是在單域網(wǎng)絡(luò)中，域控制器是網(wǎng)絡(luò)正常運作的中心，起到重要的網(wǎng)絡(luò)控制作用。因此，對于管理員來說，管理域控制器是最重要的工作之一，用戶必須根據(jù)網(wǎng)絡(luò)運行情況合理地設(shè)置域控制器的屬性。5.3.1設(shè)置域控制器屬性

安裝好目錄服務(wù)和域控制器，管理員可以查看并設(shè)置域控制器屬性。運行“管理工具”中“ActiveDirectory用戶與計算機”管理控制臺，展開域樹目錄，如圖5-12所示。圖5-12“ActiveDirectory用戶和計算機”管理控制臺窗口5.3.1設(shè)置域控制器屬性在控制臺目錄樹中雙擊展開域節(jié)點，單擊DomainControllers子節(jié)點，詳細資料窗格列出當前域控制器的計算機列表，鼠標右擊設(shè)置的域控制器（如圖中SERVER001），選擇“屬性”選項，打開該控制器的“屬性”對話框，如圖5-13所示。5.3.1設(shè)置域控制器屬性對話框包括的主要選項卡及內(nèi)容：“常規(guī)”選項卡：“描述”文本框中輸入對域控制器的一般描述。可以設(shè)置“信任計算機作為委派”，以支持其他域內(nèi)服務(wù)器請求本地服務(wù)?！安僮飨到y(tǒng)”選項卡：顯示操作系統(tǒng)的名稱、版本以及ServicePack，管理員只能查看但不能修改這些內(nèi)容?！半`屬于”選項卡：如圖5-14所示，可以根據(jù)需要添加組，單擊“添加”按鈕，打開“選擇組”對話框，為域控制器選擇一個要添加的組；要刪除某個已經(jīng)添加的組，在“隸屬于”列表框選擇該組，然后單擊“刪除”按鈕即可。5.3.1設(shè)置域控制器屬性當管理員為域控制器添加多個組時，還可為域控制器設(shè)置一個主要組。設(shè)置主要組，在“隸屬于”列表框中選擇組，一般為DomainControllers，也可為CertPublishers，然后單擊“設(shè)置主要組”按鈕即可?！拔恢谩边x項卡：可以設(shè)置域控制器的位置?！肮芾碚摺边x項卡：設(shè)置管理者信息，要更改域控制器的管理者，可單擊“更改”按鈕，打開“選擇用戶或聯(lián)系人”對話框，選擇新的管理人即可；要刪除管理者，可單擊“清除”按鈕；要查看和修改管理者屬性，可單擊“查看”按鈕，打開該管理者屬性對話框來進行操作。域控制器設(shè)置完畢，單擊“確定”保存設(shè)置。5.3.2查找域控制器目錄內(nèi)容

活動目錄實際上是一個網(wǎng)絡(luò)清單，包括網(wǎng)絡(luò)中的域、域控制器、用戶、計算機、聯(lián)系人、組、組織單位及網(wǎng)絡(luò)資源等各個方面的信息，使管理員可以方便地管理這些內(nèi)容。查找目錄內(nèi)容，在“ActiveDirectory用戶和計算機”控制臺窗口的控制臺目錄樹中鼠標右鍵單擊域節(jié)點，在彈出的快捷菜單中選擇“查找”命令，打開“查找用戶聯(lián)系人及組”對話框，如圖5-15所示。5.3.2查找域控制器目錄內(nèi)容

在“查找”下拉列表框中選擇要查找的目錄內(nèi)容，包括用戶、聯(lián)系人及組、計算機、打印機、共享文件夾、組織單位、自定義搜索等。例如我們要查找計算機，在查找列表中選擇“計算機”，如圖5-16所示，在“范圍”下拉列表框中選擇查找范圍，如整個目錄。在“計算機”選項卡中設(shè)置查找條件。例如，在“計算機名”文本框中輸入要查找的計算機名，如輸入部分內(nèi)容“server”，在“所有者”文本框中輸入計算機的用戶名，在“作用”下拉列表框中選擇計算機在網(wǎng)絡(luò)中作用。5.3.2查找域控制器目錄內(nèi)容

單擊“高級”選項卡，設(shè)置高級查找條件，單擊“字段”按鈕，從彈出的快捷菜單中選擇設(shè)置條件的選項，然后在“條件”下拉列表框和“值”文本框中設(shè)置查詢條件。設(shè)置好條件之后，單擊“添加”按鈕，將條件添加到下面的文本框中。如果要繼續(xù)添加高級條件，重復(fù)上述步驟。所有查找條件設(shè)置完畢，單擊“開始查找”按鈕即開始查找，查找結(jié)果顯示在“搜索結(jié)果”窗口中。5.4組織單位和組管理

組織單位（OrganizationalUnit，OU）又稱組織單元，是一個容器對象，它可以包括域中一些用戶、計算機和組、文件與打印機等資源。不過，組織單位不能包含其他域中的對象。組織單位具有繼承性，子單位能夠繼承父單位的訪問許可權(quán)。域管理員可以使用組織單位來創(chuàng)建管理模型，授予用戶對域中所有組織單位或單個組織單位的管理權(quán)限。

5.4.1組織單位和組基本概念

5.4.1組織單位和組基本概念

組是指活動目錄或本地計算機對象，包含用戶、聯(lián)系人、計算機和其他組等。組可以用來管理用戶和計算機對網(wǎng)絡(luò)資源的訪問，如活動目錄對象及其屬性、網(wǎng)絡(luò)共享、文件、目錄、打印機隊列，還可以篩選組策略。

引入組的概念，方便管理員對用戶和計算機賬戶的管理，有了組的概念之后，就可以將這些具有相同權(quán)限的用戶或計算機劃歸到一個組中，使這些用戶成為該組的成員，然后通過賦予該組權(quán)限來使這些用戶或計算機都具有相同的權(quán)限。5.4.1組織單位和組基本概念

注意：組和組織單位有很大的不同，組主要用于權(quán)限設(shè)置，而組織單位則主要用于網(wǎng)絡(luò)構(gòu)建，組織單位只表示單個域中的對象集合（可包括組對象），組可以包含用戶、計算機、本地服務(wù)器上的共享資源、單個域、域目錄樹或目錄林。5.4.1組織單位和組基本概念

以域為例，域控制器安裝好后，啟動“ActiveDirectory用戶和計算機”管理控制臺，可以看到，系統(tǒng)默認產(chǎn)生Users、Computers、Builtin、DomainControllers等組織單位，如DomainControllers包括域控制服務(wù)器，這里是剛剛安裝的目錄服務(wù)器，Users包括一些組和用戶，Builtin包括本地域安全組。我們可以根據(jù)具體應(yīng)用設(shè)置自己的組織單位，如創(chuàng)建Accounts（賬號）組織單位，并為其創(chuàng)建二級組織單位，包括Information、Management和Machinery，分別代表信息、管理和機械三個學院，用于存放各個學院用戶賬號；創(chuàng)建Groups組織單位，存放組信息；創(chuàng)建Resources組織單位，存放桌面、移動和服務(wù)器等資源信息，層次結(jié)構(gòu)圖如圖5-18所示。圖5-18創(chuàng)建層次化組織單位5.4.2創(chuàng)建組織單位和組系統(tǒng)提供了許多內(nèi)置組用于權(quán)限和安全設(shè)置，但一般它們不能滿足特殊安全和靈活性的需要。為了更好地管理用戶和計算機賬戶，管理員可根據(jù)網(wǎng)絡(luò)應(yīng)用創(chuàng)建一些新組。創(chuàng)建新組之后，可以賦予特定權(quán)限并添加組成員。按上述規(guī)劃的hzut域的結(jié)構(gòu)，首先創(chuàng)建組織單位。創(chuàng)建組織單位，在控制臺目錄樹中展開域節(jié)點，鼠標右擊域節(jié)點或可添加組織單位的文件夾節(jié)點，從彈出的快捷菜單中選擇“新建”/“組織單位”命令，在打開的對話框的“名稱”文本框中輸入新創(chuàng)建組織單位的名稱，單擊“確定”按鈕即可。如分別創(chuàng)建Accounts、Groups、Information等組織單位。5.4.2創(chuàng)建組織單位和組

創(chuàng)建新組，在控制臺目錄樹中展開域節(jié)點，右擊要進行組創(chuàng)建的組織單位或容器，如為Groups創(chuàng)建新組，從彈出的快捷菜單中選擇“新建”/“組”命令，打開如圖5-19所示的對話框，在“組名”文本框中輸入要創(chuàng)建的組名teachers，此例中組為全局安全組。單擊“確定”按鈕即完成組的創(chuàng)建。在域中合理地添加和安排組織單位，不僅方便管理員對域中賬戶和組的管理，而且有利于網(wǎng)絡(luò)的擴展。按照圖5-18規(guī)劃的層次結(jié)構(gòu)創(chuàng)建組織單位和組后，活動目錄結(jié)構(gòu)如圖5-20所示。5.4.2創(chuàng)建組織單位和組管理員可以定期刪除活動目錄中不再發(fā)揮作用的組織單位和組，需要注意的是，管理員只能刪除自己創(chuàng)建的組織單位和組，不能刪除由系統(tǒng)創(chuàng)建的內(nèi)置組織單位和組。刪除組織單位和組，在“ActiveDirectory用戶和計算機”管理控制臺，鼠標右擊要刪除的組或組織單位，選擇快捷菜單中的“刪除”命令，系統(tǒng)打開信息確認框，單擊“是”按鈕即完成組或組織單位的刪除。5.4.3委派控制組或組織單位

在WindowsServer2008網(wǎng)絡(luò)中，隨著組和組織單位的增多，網(wǎng)絡(luò)的管理工作越來越繁雜，為了減輕管理員的網(wǎng)絡(luò)系統(tǒng)管理工作負擔，通過委派控制功能，管理員可以將一部分域管理工作委派給其他用戶、計算機或組。5.4.3委派控制組或組織單位

對某個組或組織單位進行委派控制，在“ActiveDirectory用戶與計算機”管理控制臺中，鼠標右擊要委派控制的組織單位或組節(jié)點，從彈出的快捷菜單中選擇“委派控制”命令，進入“控制委派向?qū)А贝翱?，單擊“下一步”繼續(xù)。在打開的“用戶和組”對話框中單擊“添加”按鈕，打開“選擇用戶、計算機或組”對話框，可以直接輸入一個或多個要委派控制的用戶或組，也可單擊“高級”選項卡進行查找，從列表中選擇一個或多個要委派控制的用戶或組。這里我們輸入用戶賬號為zhj（假設(shè)該用戶已存在），如圖5-21所示，單擊“確定”按鈕。5.4.3委派控制組或組織單位

單擊“下一步”繼續(xù)，打開“要委派的任務(wù)”對話框可以選擇要委派的常見任務(wù)，如圖5-22所示對話框。單擊“下一步”繼續(xù)，出現(xiàn)總結(jié)對話框，點擊“完成”即可。注意：對不同資源進行控制委派，配置向?qū)в兴煌?.4.4設(shè)置組織單位屬性

用戶在創(chuàng)建組織單位之后，可以根據(jù)需要設(shè)置組織單位屬性，包括指定組織單位的管理者和常規(guī)屬性，為組織單位創(chuàng)建組策略。設(shè)置組織單位的屬性，在“ActiveDirectory用戶與計算機”管理控制臺中，鼠標右擊需要設(shè)置的組織單位，從彈出的快捷菜單中選擇“屬性”命令，打開該組織單位的屬性對話框，如圖5-23所示。5.4.4設(shè)置組織單位屬性

組織單位屬性包括以下選項卡：“常規(guī)”選項卡，可以設(shè)置“描述”、“省/自治區(qū)”、“市縣”、“街道”和“郵政編碼”等計算機和用戶常規(guī)信息。“管理者”選項卡，單擊“更改”按鈕，打開“選擇用戶、聯(lián)系人或組”對話框，選擇一個用戶或聯(lián)系人作為管理者；管理者更改之后，單擊“屬性”按鈕，可打開所更改的管理者的屬性對話框，管理員可對管理者的屬性進行修改，如果要清除管理者，單擊“清除”按鈕即可。5.4.5設(shè)置組屬性

用戶創(chuàng)建一個新組后，系統(tǒng)并沒有設(shè)置該組常規(guī)屬性和權(quán)限，也沒有為其指定組成員和管理者，該組幾乎不能發(fā)揮任何作用。設(shè)置組的屬性，在“ActiveDirectory用戶與計算機”管理控制臺中，鼠標右擊組對象，從彈出的快捷菜單中選擇“屬性”命令，打開該組的屬性對話框，如圖5-24所示。5.4.5設(shè)置組屬性

為了便于管理，在“描述”和“注釋”文本框中分別輸入有關(guān)該組的描述和注釋；可以修改組名稱；為了便于組管理員與組成員交換信息，在“電子郵件”文本框中輸入組管理員的電子郵件地址。單擊“成員”選項卡，如圖5-25所示。添加成員，單擊“添加”按鈕，打開“選擇用戶聯(lián)系人或計算機”對話框，選擇要添加的成員。要刪除組成員，在“成員”列表框中選擇要刪除的組成員，然后單擊“刪除”按鈕即可。5.4.5設(shè)置組屬性

通過向新組添加內(nèi)置組設(shè)置新組的權(quán)限。選擇“隸屬于”選項卡，單擊“添加”按鈕，打開“選擇組”對話框，為自己創(chuàng)建的組選擇內(nèi)置組。要刪除某個組權(quán)限，在“隸屬于”列表框中選擇該組，單擊“刪除”按鈕即可。設(shè)置組的管理者，選擇“管理者”選項卡；更改組管理者，單擊“更改”按鈕，打開“選擇用戶或聯(lián)系人”對話框，選擇管理者；查看管理者的屬性，單擊“屬性”按鈕進行查看；清除管理者對組的管理，單擊“清除”按鈕即可。屬性設(shè)置完畢，單擊“確定”按鈕保存設(shè)置并關(guān)閉屬性對話框。5.5用戶和計算機賬戶管理

在一個網(wǎng)絡(luò)中，用戶和計算機都是網(wǎng)絡(luò)的應(yīng)用主體。擁有計算機賬戶是計算機接入Windows網(wǎng)絡(luò)的基礎(chǔ)，擁有用戶賬戶是用戶登錄到網(wǎng)絡(luò)并使用網(wǎng)絡(luò)資源的基礎(chǔ)?；顒幽夸浭褂脩艉陀嬎銠C賬戶表示計算機或個人等物理實體。賬戶為用戶或計算機提供安全憑據(jù)，以便用戶和計算機能夠登錄網(wǎng)絡(luò)并訪問域資源?；顒幽夸浀馁~戶主要用于驗證用戶或計算機的身份，授權(quán)對域資源的訪問，審核用戶或計算機賬戶所執(zhí)行的操作等。

5.5.1用戶和計算機賬戶

5.5.1用戶和計算機賬戶

1．用戶賬戶用戶賬戶記錄了用戶的用戶名和口令、隸屬的組、可以訪問的網(wǎng)絡(luò)資源，以及用戶的個人文件和設(shè)置。每個域用戶都應(yīng)在域控制器中有一個用戶賬戶，才能訪問域中服務(wù)器和使用域中網(wǎng)絡(luò)資源。用戶賬戶由一個用戶名和一個口令來標識，用戶登錄系統(tǒng)時，用戶賬戶通過活動目錄驗證后登錄到計算機和域，并授權(quán)訪問域資源。用戶賬戶也可作為某些應(yīng)用程序的服務(wù)賬戶。WindowsServer2008提供了預(yù)定義用戶賬戶，包括管理員賬戶和客戶賬戶，用戶使用預(yù)定義賬戶可以登錄到本地計算機并訪問其上的資源。每個預(yù)定義賬戶有不同的權(quán)限。管理員賬戶具有最廣泛的權(quán)限，而客戶賬戶則只有有限的權(quán)限。為了更安全訪問系統(tǒng)，管理員應(yīng)為每個用戶創(chuàng)建獨立的用戶賬戶，并將用戶賬戶添加到組中，指定賬戶相應(yīng)權(quán)限。5.5.1用戶和計算機賬戶

2．計算機賬戶客戶端計算機必須先加入到域，才能使用用戶賬戶登錄到域，接受域的統(tǒng)一管理或使用域中的資源。注意：計算機在加入域前，應(yīng)該將客戶端計算機的DNS地址設(shè)置為域控制器（域控制器與DNS是集成的）的IP地址，如果二者不是集成的，應(yīng)該設(shè)置為DNS服務(wù)器的IP地址。每個加入域的Windows計算機都具有計算機賬戶，否則無法與域連接或訪問域資源。與用戶賬戶類似，計算機賬戶也提供驗證和審核計算機登錄到網(wǎng)絡(luò)以及訪問域資源的方法。不過，一個計算機系統(tǒng)要加入到域中，只能使用一個計算機賬戶，而一個用戶可擁有多個用戶賬戶，且可在不同的計算機（指已經(jīng)連接到域中的計算機）上使用自己的用戶賬戶登錄網(wǎng)絡(luò)。5.5.2創(chuàng)建用戶和計算機賬戶

當有新的用戶加入到域中時，管理員應(yīng)該在域控制器中添加一個相應(yīng)的用戶賬戶。當有新的客戶計算機加入到域中時，管理員應(yīng)在域控制器中創(chuàng)建一個計算機賬戶，使其成為域成員。創(chuàng)建用戶賬戶，在“ActiveDirectory用戶和計算機”管理控制臺中，鼠標右擊要添加用戶的組織單位或容器，從彈出的快捷菜單中選擇“新建”/“用戶”命令，打開如圖5-26所示的對話框。5.5.2創(chuàng)建用戶和計算機賬戶

輸入姓、名和用戶登錄名等信息后，單擊“下一步”繼續(xù)，打開設(shè)置密碼對話框，如圖5-27所示，在“密碼”和“確認密碼”文本框中輸入用戶初始密碼。如果希望用戶下次登錄時自行更改密碼，可選擇“用戶下次登錄時須更改密碼”復(fù)選框，否則選擇“用戶不能更改密碼”復(fù)選框。如果希望密碼永遠不過期，可選擇“密碼永不過期”。如果暫不啟用該用戶賬戶，可選擇“賬戶已禁用”復(fù)選框。單擊“下一步”即可完成創(chuàng)建。創(chuàng)建計算機賬戶方法同上，選擇“新建”/“計算機”命令，在彈出的對話框中輸入該計算機的名稱，單擊“確定”按鈕即可。5.5.3刪除、停用和移動用戶和計算機賬戶

當系統(tǒng)中的某一個用戶賬戶不再使用，管理員可刪除用戶賬戶。當域中的某個計算機不再需要與域連接，管理員可刪除該計算機賬戶，以防其他計算機假借原來的計算機使用域中的網(wǎng)絡(luò)資源。刪除一個用戶和計算機賬戶，在控制臺目錄樹中展開域節(jié)點，單擊要刪除的用戶或計算機所在的組織單位或容器，在詳細資料窗格中鼠標右擊要刪除的用戶或計算機，選擇“刪除”命令，出現(xiàn)信息確認框后，單擊“是”按鈕即可刪除該用戶或計算機。5.5.3刪除、停用和移動用戶和計算機賬戶

如果某個用戶的賬戶暫時不使用，如單位內(nèi)長期出差人員，可禁止其賬戶的使用。同樣，如果某個計算機賬戶暫時不使用，如單位內(nèi)有計算機因故障而不能在短時間內(nèi)使用，也可禁用該賬戶。需要恢復(fù)禁用賬戶時，管理員重新啟用該賬戶即可。禁用賬戶，在控制臺目錄樹中展開域節(jié)點，單擊要禁用的用戶賬戶或計算機所在的組織單位或容器，在詳細資料窗格中鼠標右擊要停用的用戶或計算機賬戶，選擇“禁用賬戶”命令，出現(xiàn)信息確認框后，單擊“是”按鈕即可禁用被選用戶或計算機賬戶。5.5.3刪除、停用和移動用戶和計算機賬戶

在一個大型網(wǎng)絡(luò)中，為了便于管理，管理員經(jīng)常需要將用戶和計算機賬戶移動到新的組織單位或容器中。賬戶被移動后，用戶和計算機仍可使用它們進行網(wǎng)絡(luò)登錄，不需要重新創(chuàng)建。移動用戶和計算機賬戶，在控制臺目錄樹中展開域節(jié)點，單擊要移動用戶或計算機賬戶所在的組織單位或容器，在詳細資料窗格中鼠標右擊要移動的用戶賬戶，選擇“移動”命令，打開“移動”對話框，在“將對象移到容器”對話框中雙擊域節(jié)點，展開該節(jié)點，如圖5-28所示，單擊移動的目標組織單位，然后單擊“確定”按鈕即可完成移動。5.5.4將用戶和計算機賬戶添加到組為便于管理員管理用戶和計算機賬戶，可以將不同的用戶或計算機添加到具有不同權(quán)限的組中，使用戶和計算機繼承所在組的所有權(quán)限。同時，管理員也可以直接通過組管理多個用戶和計算機賬戶，減輕管理員的管理維護工作。將用戶賬戶添加到組，在控制臺目錄樹中展開域節(jié)點，單擊要加入組的用戶所在的組織單位或容器，在詳細資料窗口中鼠標右擊該用戶賬戶，選擇“添加到組”命令，打開如圖5-29所示的“選擇組”對話框，可以直接輸入組對象的名稱，也可以點擊“高級”按鈕，打開高級窗口進行查找，然后在組列表框中選擇一個要添加的組，單擊“確定”按鈕即可將用戶添加到組。5.5.4將用戶和計算機賬戶添加到組將計算機賬戶添加到組，在控制臺目錄樹中展開域節(jié)點，單擊“計算機”或要加入組的計算機所在的組織單位或容器，在詳細資料窗口中鼠標右擊該計算機賬戶，選擇“屬性”命令，打開該計算機的屬性對話框，然后單擊“成員屬于”標簽，打開“隸屬于”選項卡，單擊“添加”按鈕，打開“選擇組”對話框，選擇要加入的組，單擊“確定”按鈕完成添加。5.5.5重設(shè)用戶密碼

用戶密碼是用戶登錄網(wǎng)絡(luò)的重要憑證，用戶忘記密碼或（懷疑）密碼被他人盜用時，管理員可以重新設(shè)置密碼。重新設(shè)置用戶密碼，在控制臺目錄樹中展開域節(jié)點，單擊包含要重新設(shè)置密碼的用戶的組織單位或容器，在詳細資料窗口中鼠標右擊該用戶賬戶，選擇“重設(shè)密碼”命令，打開“重設(shè)密碼”對話框，在“新密碼”和“確認密碼”文本框中輸入要設(shè)置的新密碼。如果允許用戶更改密碼，可選擇“用戶下次登錄時須更改密碼”復(fù)選框，單擊“確定”按鈕保存設(shè)置，同時系統(tǒng)會打開確認信息框，單擊“確定”按鈕可完成設(shè)置。5.5.6管理客戶計算機

管理員通過域控制器直接管理網(wǎng)絡(luò)中的客戶計算機，這不但加強了域控制器的作用，而且有利于用戶對網(wǎng)絡(luò)的管理和維護。域控制器可以直接管理運行WindowsServer2008/2003或Windows2000/NT系統(tǒng)的計算機，不能管理安裝Windows95/98或者其他系統(tǒng)的計算機。管理客戶計算機，在控制臺目錄樹中展開域節(jié)點，然后單擊要管理的計算機所在的組織單位，鼠標右擊該計算機，從彈出的快捷菜單中選擇“管理”命令，打開該計算機的計算機管理窗口。在該窗口中，管理員可以對連接的計算機進行系統(tǒng)工具、存儲、服務(wù)器應(yīng)用程序和服務(wù)等方面的管理，例如，可以管理該計算機上用戶賬戶，可以讀寫該計算機上共享文件夾等。5.6資源發(fā)布和域的管理

在WindowsServer2008中可以發(fā)布共享文件夾、共享打印機等資源。發(fā)布共享文件夾，運行“管理工具”/“ActiveDirectory用戶和計算機”管理控制臺程序，在控制臺樹中，右鍵單擊要在其中添加共享文件夾的文件夾，選擇“新建”/“共享文件夾”選項，打開新建對象對話框，如圖5-30所示。輸入文件夾的名稱和網(wǎng)絡(luò)路徑，這里添加主機“haut-004”下共享文件夾“Server2Shares”到管理組織單位Accounts/Information下，單擊“確定”完成操作。

5.6.1資源發(fā)布管理5.6.1資源發(fā)布管理需要注意的是，輸入的網(wǎng)絡(luò)路徑必須正確，路徑指向的文件夾必須設(shè)置為共享，此處添加共享文件夾系統(tǒng)不進行檢查，路徑錯誤之后無法對資源正常管理。發(fā)布打印機，運行“ActiveDirectory用戶和計算機”管理控制臺程序，選擇發(fā)布打印機的對象容器，鼠標右擊選擇“新建”/“打印機”選項，彈出新建對象對話框，鍵入網(wǎng)絡(luò)路徑，如圖5-31所示。點擊“確定”完成操作。5.6.1資源發(fā)布管理自定義搜索資源，運行“