Windows-Server2008服務器配置實訓教程-教學配套課件-作者-寧蒙-第3章-課件下載

WindowsServer2008系統(tǒng)管理與配置教材配套電子教案機械工業(yè)出版社2011年5/30/202413.1了解域和活動目錄知識3.2建立域控制器3.3從客戶機登錄域3.4管理用戶賬戶3.5管理組賬戶3.6管理組織單位知識要點●了解WindowsServer2008活動目錄的作用和工作流程?！裾莆栈顒幽夸浀淖饔媒Y(jié)構(gòu)及根本概念?！裾莆战⒂蚩刂破鞯姆椒ê筒襟E?！裾莆杖绾瓮ㄟ^客戶機登陸到域?！裾莆諏τ蛴脩糍~戶和組的管理?！裾莆战M織單位的創(chuàng)立及更改。3.1任務1—了解域和活動目錄知識組織單位〔OU〕也稱組織單元，是用戶、組、計算機和其他對象〔也可以包含其他的組織單元〕在活動目中的邏輯管理單位，OU可以包含各種對象，比方用戶賬戶、用戶組、計算機、打印機，甚至可以包括其他的OU。域〔Domain〕域是網(wǎng)絡中對計算機和用戶的一種邏輯分組。在活動目錄中，域是一個或多個組織單元管理單位，是一個網(wǎng)絡平安邊界。域樹域樹由多個域組成，這些域共享同一個表結(jié)構(gòu)和配置，形成一個連續(xù)的名字空間。樹中的域通過雙向信任關(guān)系連接起來。域樹中的域?qū)哟卧缴罴墑e越低，一個“.”代表一個層次，如就比mywin2008這個域級別低，因為它有兩個層次關(guān)系，而mywin2008只有一個層次。層次低的稱為子域，層次高的稱為父域。如圖域林域林是指一個或多個沒有形成連續(xù)名字空間的域樹。域林中的所有域樹共享同一個表結(jié)構(gòu)、配置和全局目錄。域信任關(guān)系兩個域之間可以存在雙向信任的關(guān)系：對于這兩個域的用戶來講好比是忽略了域的概念，每一方均可利用對方的資源。用戶在使用連網(wǎng)的計算機時，有一個代表“身份”的名稱，在計算機中稱為用戶。計算機中的用戶分為本地用戶賬戶和域用戶賬戶。用戶組用戶組是把多個用戶統(tǒng)一起來，進行管理。根據(jù)所管理的用戶不同，分為本地用戶組和域用戶組，活動目錄結(jié)構(gòu)圖知識補充域樹中的域是通過雙向可傳遞的信任關(guān)系連接在一起的。由于這些信任關(guān)系是雙向而且是可傳遞的，因此在域樹或域林中新創(chuàng)立的域可以立即與域樹或域林中每個其他的域建立信任關(guān)系。這些信任關(guān)系允許單一登錄過程，在域樹或域林中的所有域上對用戶進行身份驗證，但這不一定意味著經(jīng)過身份驗證的用戶在域樹的所有域中都擁有相同的權(quán)利和權(quán)限。因為域是平安邊界，所以必須在每個域的根底上為用戶指派相應的權(quán)利和權(quán)限。3.2任務2—建立域控制器

1、首先設置效勞器IP地址。鼠標右鍵單擊桌面“網(wǎng)絡”圖標，選中“屬性”，在彈出的對話框中選擇“任務”列表的“管理網(wǎng)絡連接”選項，出現(xiàn)“網(wǎng)絡連接”對話框，右鍵單擊“本地連接”圖標選擇“屬性”，在如下圖的本地連接屬性窗口中選擇“Internet協(xié)議版本4〔TCP/IPv4〕”，單擊“屬性”。2、在IP地址設置對話框中設置IP地址及DNS服、務器地址，因為是安裝活動目錄，所以、二者要一致，完成后確定?！苍敿氃O置、可參考本書第2章相關(guān)步驟操作〕3、安裝DNS效勞器。依次選擇“開始”—“管理工具”—“效勞器管理器”—“角色”—“添加角色”，彈出“添加角色向?qū)А睂υ捒颉?、選擇“下一步”，如圖在“DNS效勞器”選項上打?qū)μ?，繼續(xù)選擇“下一步”，直到完成DNS效勞器安裝。5、安裝活動目錄。如圖繼續(xù)添加角色，完成“ActiveDirectory域效勞”的安裝。6、安裝結(jié)束后，只是啟動了活動目錄的域效勞，并未將SERVER2008作為域控制器運行。如圖在“開始”菜單的運行對話框里輸入“dcpromo”后回車，運行ActiveDirectory域效勞安裝向?qū)А?、在如圖活動目錄域效勞安裝向?qū)е?，選擇“高級模式”按“下一步”繼續(xù)。。

8、在如下圖的對話框中選擇“在新林中建新域”。9、選擇“下一步”后，在如圖對話框中命名林根域為“mywin2008”。10、在系統(tǒng)經(jīng)過檢查目錄林根級域名稱合法后，繼續(xù)設置域NetBIOS名稱，如圖11、選擇“下一步”，由于活動目錄給出的功能級別選擇，只能向高版本提升功能級別，不能降級，因此在如圖林功能級別及隨后的域功能級別對話框中，選擇功能較為完善而且版本不是最高的“WindowsServer2003”。12、在檢查完DNS配置后，由于是首次安裝，因此出現(xiàn)提示：無法創(chuàng)立該DNS效勞器的委派，選擇“是”繼續(xù)。彈出如圖對話框，設置活動目錄數(shù)據(jù)庫，日志文件和SYSVOL存放位置，可以依據(jù)需要進行更改。13、選擇“下一步”，在窗口中設置目錄效勞復原模式的管理員密碼，也就是系統(tǒng)管理員的登錄密碼。與Windowsserver2008的強制密碼規(guī)那么一樣，密碼要由大小寫字母及數(shù)字組成，如：MYwin2008。確認密碼格式符合要求后，經(jīng)過活動目錄域效勞安裝配置，提示重啟完成安裝。卸載WindowsServer2008系統(tǒng)的域控制器，可以通過在“開始”—“運行”對話框中輸入“dcpromo”進入域效勞安裝向?qū)?，單擊“下一步”選擇“刪除該域”，繼續(xù)選擇“下一步”直到完成域控制器的卸載。能力擴展1、設置客戶機user03的IP地址為“192.16.0.3”，且DNS效勞器地址為“192.16.0.2”，并在控制面板中選擇“系統(tǒng)”選項，進入“計算機名”對話框，單擊“更改”按鍵，選擇“隸屬于”區(qū)域的“域”一項，并填寫所要參加的域：mywin2008。2、單擊“確定”按鈕，客戶機將通過DNS效勞器查詢是否有域名為“mywin2008”的域控制器存在，解析成功后出現(xiàn)“計算機名更改”對話框。在計算機名更改窗口中輸入域賬號名稱和密碼進行登錄。此處的用戶名可能與計算機user03的本地管理員用戶名相同，但是并非是user03的管理員，而是域mywin2008的域用戶賬戶。3.3任務2—從客戶機登陸域3、在域控制器核實用戶權(quán)限有效后,客戶機的設置得到認可后，如下圖計算機user03成功參加到域。4：客戶機登陸到域。重新啟動計算機user03，進入到系統(tǒng)登錄對話框，選擇登錄到域MYWIN2008〔即域mywin2008的域NetBIOS名稱〕，輸入有效的用戶名及密碼，成功完成登錄?？蛻魴C要訪問網(wǎng)絡的資源，只要在“網(wǎng)上鄰居”中查找“域”下各種效勞器或者客戶機提供的共享資源即可。當客戶機成功添加到域中后，管理員可以集中管理這些客戶機，具體操作步驟如下：1、在“管理工具”中的“ActiveDirectory用戶和計算機”對話框下依次選擇“mywin2008”→“Computers”選項，此時右部區(qū)域顯示了所有參加到域中的所有客戶機，選擇要管理的客戶機用鼠標右鍵單擊，在彈出的菜單中可以進行下述操作：禁用賬戶、重設賬戶、移動該管理項到左邊窗口下的不同的位置、對客戶機進行遠程管理、配置客戶機的屬性。能力擴展2、在菜單中選擇“管理”選項，出現(xiàn)如下圖的“計算機管理”對話框，可以對客戶機進行綜合管理。1、以管理員用戶賬戶Administrator登錄進入效勞器，從“管理工具”中運行“效勞器管理器”。在“角色”中的“ActiveDirectory域效勞”下選擇域“mywin2008”。其中的“Users”保存著域中的用戶組和原來的用戶名。展開“Users”，右鍵單擊右側(cè)的空白區(qū)域，或者直接在“Users”上單擊鼠標右鍵，在彈出的菜單中選擇“新建”命令。3.4任務4—管理用戶賬戶2、在“新建”的下級菜單中選擇“用戶”，如圖3-22所示“新建對象-用戶”對話框。在對話框中輸入將要創(chuàng)立的用戶的幾個根本信息：姓、名、姓名、英文縮寫、用戶登陸名。在“姓名”后輸入將要創(chuàng)立的用戶名如“user01”,在“用戶登錄名”下輸入“user01”。3：單擊“下一步”，顯示設置密碼與根本用戶屬性對話框。在“密碼”和“確認密碼”后面輸入新創(chuàng)立的用戶密碼，與WindowsServer2008的密碼規(guī)那么一樣，密碼要由大小寫字母及數(shù)字組成，如：MYwin2008。根據(jù)實際情況設置用戶的密碼登錄屬性為“密碼永不過期”。單擊“下一步”，完成創(chuàng)立用戶。4、如果設置的用戶密碼符合系統(tǒng)要求，單擊“完成”后返回“ActiveDirectory用戶和計算機”窗口。如果不符合要求，那么會彈出如圖3-25所示對話框。此時單擊“確定”按鈕，返回“上一步”到密碼設置對話框，按WindowsServer2008強制密碼要求重新設置密碼。1：選擇一個用戶user01，進入用戶屬性對話框，如圖設置登錄時間2、單擊選擇“賬戶”選項卡，單擊“登錄時間”按鈕，顯示登錄時間設置對話框。系統(tǒng)默認允許用戶在任何時間登錄?？梢栽O置的登錄時間是按星期日到星期六、每天24小時、每小時一個設置單位來劃分，用鼠標選取時間單位，單擊“允許登錄”或“拒絕登陸”設置登錄時間。1、在用戶屬性對話框中單擊“登錄到”按鈕，將顯示設置”登錄工作站”對話框。如下圖,默認用戶“user01”可以登陸到“所有計算機”。設置用戶只能登陸到指定的計算機2、選中“以下計算機”，然后在“計算機名”中輸入此用戶可以登陸的計算機，如：user03，然后單擊“添加”按鈕添加到列表中?？梢栽诹斜碇刑砑佣嗯_計算機，如下圖。在添加完計算機后，單擊“確定”返回用戶屬性，單擊“確定”返回主窗口。在“ActiceDirectory用戶和計算機”管理窗口中，還可以對用戶賬戶和組進行其他相關(guān)設置和管理。右鍵單用戶user01，彈出如下圖菜單，這里包括了管理員可以針對user01實施的相關(guān)操作。能力擴展創(chuàng)立域用戶組并添加組賬戶1、在“ActiveDirectory用戶與計算機”中，在“Users”右側(cè)的空白窗格中用右鍵單擊，從出現(xiàn)的菜單中選擇“新建”—“組”。在“新建對象—組”對話框中，輸入新用戶組的組名稱group01，然后分別在“組作用域”和“組類型”選項框中選擇“全局”和“平安組”，單擊“確定”完成創(chuàng)立組。3.5任務5—管理組賬戶2、在“ActiceDirectory用戶和計算機”管理窗口中右鍵單擊“group01”，在彈出的菜單中選擇屬性，單擊“成員”中的“添加”按鈕，開始添加組賬戶。在彈出的“選擇用戶、聯(lián)系人、計算機或組”對話框中，單擊“對象類型”按鈕可以選擇添加對象的類型。確定了對象類型后，在“輸入對象名稱來選擇”下的框體內(nèi)輸入想要添加的賬戶名稱user01，單擊“檢查名稱”。3、得到系統(tǒng)確認無誤后，顯示出賬戶user01的全名信息如下圖。單擊“確定”按鈕后回到“成員”列表，成員user01成功添加進組group01。1、在組“group01”的屬性窗口中選擇“平安”窗口，如下圖，顯示組內(nèi)已經(jīng)分配權(quán)限的成員。管理域用戶組賬戶2、選擇“高級”選項，彈出“group01的高級平安設置”對話框。單擊“添加”按鈕重復與添加組賬戶相同的步驟，把賬戶user01添加進來。在列表中選定“user01”，并單擊“編輯”按鈕，在“group01的權(quán)限工程”窗口中設置“user01”的權(quán)限。在“名稱”選項內(nèi)可以更改選定的成員，在“應用于”選項內(nèi)可以選擇“user01”的權(quán)限所應用到得范圍。設置后點“確定”完成。如下圖，賦予“user01”可以更改及重置“后代用戶對象”密碼的權(quán)限。用戶和組建立隸屬關(guān)系后，也可以解除，例如，將用戶組“group01”內(nèi)的用戶user01移除，只需切換回組屬性的“成員”對話框，選擇“user01”，單擊“刪除”按鈕即可。組建立后，也可以刪除，例如，刪除用戶組“group01”可直接在“ActiceDirectory用戶和計算機”管理窗口中右鍵單擊“group01”,選擇“刪除”。能力擴展創(chuàng)立組織單位1、翻開“ActiceDirectory用戶和計算機”管理窗口，選擇當前域“mywin2008”，單擊右鍵，從彈出的菜單中選擇“新建”—“組織單位”3.6任務6—管理組織單位2、翻開“新建對象—組織單位”對話框，在“名稱”文本框中輸入新建組織單位的名稱：ouwin2008。系統(tǒng)默認選擇“防止容器被意外刪除”選項。單擊“確定”按鈕完成創(chuàng)立。單擊組織單位“ouwin2008”，在彈出的菜單中可以繼續(xù)建立“ouwin2008”的子組織單位。按照網(wǎng)絡用戶結(jié)構(gòu)創(chuàng)立組織單位后，可以將以前創(chuàng)立的用戶“移動”到其相應的組織單位中以利于管理。如下圖，已經(jīng)創(chuàng)立了兩個子組織單位：pc和user。pc用來放置域所管理的計算機，user用來放置域所管理的域用戶賬戶。當組織單位中的大多數(shù)用戶不在有直接聯(lián)系的時候，可以刪除組織單位。如果