Windows Server 2019服務器配置實訓教程課件：活動目錄的配置與用戶管理

WindowsServer2019服務器配置實訓教程

活動目錄的配置與用戶管理任務1建立域控制器任務背景與分析1.客戶需求需求

網(wǎng)絡中心王主任對工程師小溫的工作很滿意，他向小溫介紹了學?，F(xiàn)在校園網(wǎng)絡的基本情況、部門劃分、人員組成等情況。提出基于今后網(wǎng)絡管理和維護的工作量的角度考量，希望小溫能完成對智慧校園網(wǎng)絡資源的統(tǒng)一管理，并且對內部網(wǎng)絡資料安全問題提出了自己的擔憂。需求任務背景與分析2.任務分析求

根據(jù)該校校園網(wǎng)絡的業(yè)務需求并結合該學校的具體網(wǎng)絡實際，可以看出該網(wǎng)絡規(guī)模還是很大的?？蛻粢蟀惭b域控制器來對各部門和相關教師的辦公計算機進行統(tǒng)一管理。要完成此任務，就必須了解活動目錄及域控制器的有關知識和操作。任務背景與分析2.任務分析求

工作流程：

確認用戶需求與功能分析→填寫安裝工單→安裝規(guī)劃→實施域控制器安裝→完成配置基本服務。任務背景與分析3.任務工單求邁聯(lián)公司工程任務工單客戶名稱：xx學校網(wǎng)絡中心

任務單號：P2021060201現(xiàn)場地點XX學校網(wǎng)絡中心機房日期：2021年9月2日客戶要求1）建立域控制器2）通過CMD指令行驗證AD是否安裝成功3）確認NetBios域名，指定ADDS數(shù)據(jù)庫、日志和SYSVOL的存儲位置，并查看配置的詳細信息4）域控制器名稱為“”現(xiàn)場環(huán)境及參數(shù)3臺windowsserver2019服務器，其中一臺為域控制器聯(lián)系方式聯(lián)系人：王主任聯(lián)系電話：133XX000001工時4任務背景與分析4．知識儲備求

要想完成活動目錄相關服務的添加、配置與管理，管理員應該了解活動目錄的相關知識。在日常管理工作中，經(jīng)常將數(shù)據(jù)存儲作為目錄的代名詞。目錄包含了有關對象，如用戶、用戶組、計算機、域、組織單位（OU）以及安全策略的信息。這些信息可以被發(fā)布出來，以供用戶和管理員使用。

目錄存儲在被稱為域控制器的服務器上，并且可以被網(wǎng)絡應用程序或者服務所訪問。一個域可能擁有一臺以上的域控制器。每一臺域控制器都擁有它所在域的目錄的一個可寫副本。對目錄的任何修改都可以從源域控制器復制到域、域樹或者域林中的其它域控制器上。由于目錄可以被復制，而且所有的域控制器都擁有目錄的一個可寫副本，因此用戶和管理員可以在域的任何位置方便地獲得所需的目錄信息。通常，目錄數(shù)據(jù)存儲在域控制器上的Ntds.dit文件中。任務背景與分析4．知識儲備求1）活動目錄?；顒幽夸浭俏④沇indowsServer中負責架構中大型網(wǎng)絡環(huán)境的集中式目錄管理服務（DirectoryServices）。它處理了在組織中的網(wǎng)絡對象，對象可以是用戶、組群、計算機、域名控制站、郵件、設置文件、組織單位、樹系等等。只要是在活動目錄結構定義文件（schema）中定義的對象，就可以存儲在活動目錄數(shù)據(jù)文件中，并利用活動目錄（ServiceInterface）來訪問?；顒幽夸洶▋蓚€方面：目錄和與目錄相關的服務。目錄是存儲各種對象的一個物理上的容器，從靜態(tài)的角度來理解活動目錄與以前所結識的“目錄”和“文件夾”沒有本質區(qū)別，就是實際存在的對象，或者說是實體；而目錄服務是使目錄中所有信息和資源發(fā)揮作用的服務?；顒幽夸浭且粋€分布式的目錄服務，信息可以分散在多臺不同的計算機上，保證用戶能夠快速訪問，因為多臺機上有相同的信息，不管用戶從何處訪問或信息處在何處，都對用戶提供統(tǒng)一的視圖。任務背景與分析4．知識儲備求

2）域。域（Domain）是網(wǎng)絡中對計算機和用戶的一種邏輯分組，是出于管理而定義的對象集合，是活動目錄的分區(qū)，定義了安全邊界，在沒經(jīng)過授權的情況下，不允許其他域中的用戶訪問本域的資源。3）域樹。當需要配置一個包含多個域的網(wǎng)絡時，應該將網(wǎng)絡配置成域目錄樹結構。域樹由多個域組成，這些域共享同一個表結構和配置，形成一個連續(xù)的名字空間。樹中的域通過雙向信任關系連接起來。域樹中的域層次越深級別越低，一個“.”代表一個層次，如下圖所示任務背景與分析4．知識儲備求

4）名稱空間。名稱空間是一種命名規(guī)則，通常用來定義網(wǎng)絡資源的唯一名稱?；顒幽夸洷举|上就是一個名稱空間，包含了很多的對象，每個對象都有自己的名字。在這里，可以把他們的關系形象地理解成是一種解析關系。例如，通訊錄可以形成一個名稱空間，每個人的名字都可以被解析為對應的地址等信息。windows的文件系統(tǒng)也可以形成一個名稱空間，每個文件名都可以被解析為具體的某個文件。5）活動目錄(ActiveDirectory)主要提供以下功能①基礎網(wǎng)絡服務：包括DNS、WINS、DHCP、證書服務等。②服務器及客戶端計算機管理：管理服務器及客戶端計算機賬戶，所有服務器及客戶端計算機加入域管理并實施組策略。任務背景與分析4．知識儲備求

③用戶服務：管理用戶域賬戶、用戶信息、企業(yè)通訊錄（與電子郵件系統(tǒng)集成）、用戶組管理、用戶身份認證、用戶授權管理等，按省實施組管理策略。④資源管理：管理打印機、文件共享服務等網(wǎng)絡資源。⑤桌面配置：系統(tǒng)管理員可以集中配置各種桌面配置策略，如：用戶使用域中資源權限限制、界面功能的限制、應用程序執(zhí)行特征限制、網(wǎng)絡連接限制、安全配置限制等。⑥應用系統(tǒng)支撐：支持財務、人事、電子郵件、企業(yè)信息門戶、辦公自動化、補丁管理、防病毒系統(tǒng)等各種應用系統(tǒng)。在WindowsServer2019上安裝活動目錄域服務的步驟視頻如下：任務實施WindowsServer2019上安裝活動目錄域服務在WindowsServer2019上安裝活動目錄域服務的步驟：任務實施WindowsServer2019上安裝活動目錄域服務1）設置指定AD角色服務器的IP地址和DNS服務器地址，因為是安裝活動目錄，所以二者要一致。2）單擊“服務器管理器”，彈出如圖2-2所示界面。圖2-2服務器管理器界面在WindowsServer2019上安裝活動目錄域服務的步驟：任務實施WindowsServer2019上安裝活動目錄域服務3）單擊“添加角色和功能”按鈕。4）進入“添加角色和功能向導”，單擊“下一步”按鈕。5）選擇“基于角色或基于功能的安裝”，然后單擊“下一步”按鈕，如圖2-3所示。圖2-3選擇安裝類型界面在WindowsServer2019上安裝活動目錄域服務的步驟：任務實施WindowsServer2019上安裝活動目錄域服務6）服務器選擇默認，如果同時有多個服務器可供選擇，則選擇所需要的服務器，單擊“下一步”按鈕。7）勾選“ActiveDirectory域服務”（見圖2-4），彈出對話框時單擊“添加功能”即可，然后單擊“下一步”。圖2-4選擇服務器角色界面在WindowsServer2019上安裝活動目錄域服務的步驟：任務實施WindowsServer2019上安裝活動目錄域服務8）選擇和確認需要在服務器上安裝的功能，單擊“下一步”按鈕。9）閱讀AD角色的功能及注意事項，單擊“下一步”按鈕。10）勾選“如果需要，自動重新啟動目標服務器”按鈕，之后單擊“安裝”按鈕，如圖2-5所示。11）安裝完成，單擊“關閉”按鈕。圖2-5服務器安裝完成在WindowsServer2019上安裝活動目錄域服務的步驟：任務實施WindowsServer2019上安裝活動目錄域服務12）單擊服務器管理器右上角的通知欄，并單擊“將此服務器提升為域控制器”，如圖2-6所示。圖2-6將服務器提升為域控制器在WindowsServer2019上安裝活動目錄域服務的步驟：任務實施WindowsServer2019上安裝活動目錄域服務13）選擇“將域控制器添加到現(xiàn)有域”或“添加新林”選項，如圖2-7所示，并確定域的信息，單擊“下一步”按鈕。圖2-7確認域控制器位置和信息任務實施從光盤安裝WindowsServer2019操作系統(tǒng)域的相關知識：

如果網(wǎng)絡的規(guī)模很大，甚至包含了多個域目錄樹，那么這時一個或多個域目錄樹的集合就形成了域目錄林。域林中的所有域樹共享同一個表結構、配置和全局目錄。

為了解決用戶跨域訪問資源的問題，可以在域之間引入“信任”。域的信任關系包括單向信任、雙向信任、傳遞信任、不可傳遞信任、信任協(xié)議。知識拓展在WindowsServer2019上安裝活動目錄域服務的步驟：任務實施WindowsServer2019上安裝活動目錄域服務14）確認制定域控制器的功能和站點信息，并設置DSRM密碼，單擊“下一步”按鈕，如圖2-8所示。圖2-8設置域控制器選項在WindowsServer2019上安裝活動目錄域服務的步驟：任務實施WindowsServer2019上安裝活動目錄域服務15）確認NetBios域名，指定ADDS數(shù)據(jù)庫、日志和SYSVOL的存儲位置，并查看配置的詳細信息，單擊“安裝”按鈕直到顯示安裝完成。16）驗證安裝。在“控制面板”的“管理工具”下，看看有沒有AD活動目錄用戶和計算機以及相應設置管理項，如果有就說明安裝成功了，如圖2-9所示。還可以直接打開CMD命令行，輸入DCDIAG/a驗證AD是否安裝成功，如圖2-10所示。圖2-9管理工具驗證AD安裝成功圖2-10在命令行環(huán)境下驗證AD安裝是否成功任務實施從光盤安裝WindowsServer2019操作系統(tǒng)

域控制器安裝完之后，有時因工作要求要對域控制器進行重新定義或直接卸載。進入“刪除角色和功能向導”，在“服務器角色”界面，取消勾選ActiveDirectory域服務，依次按照操作進行卸載，在卸載過程中會出現(xiàn)錯誤提示，如圖右所示。技能提示圖2-11卸載中的錯誤提示任務實施從光盤安裝WindowsServer2019操作系統(tǒng)

出現(xiàn)這種情況主要是因為在刪除AD域服務之前，必須首先將“此域控制器降級”，然后進入AD域服務配置向導，根據(jù)提示對域控制器進行降級操作，如圖右所示。技能提示圖2-12域控制器降級配置向導小結活動目錄主要功能使用域控制器的注意事項添加角色和功能WindowsServer2019服務器配置實訓教程

活動目錄的配置與用戶管理任務2從客戶機登錄域任務背景與分析1.客戶需求需求

通過前面的操作，已經(jīng)完成了域控制器的安裝，但是學校大部分老師使用計算機的水平都很低，如何有效地使用域控制器，合理地利用教育教學資源成為了一個難題。需求任務背景與分析2.任務分析求

使用客戶機登錄域是一個很簡單的操作，主要是設置有關域服務器的信息和用戶名等。任務背景與分析2.任務分析求

工作流程：

確認用戶需求與功能分析→填寫安裝工單→設置客戶機IP地址和DNS→將客戶機加入域→完成基本配置。任務背景與分析3.任務工單求邁聯(lián)公司工程任務工單客戶名稱：xx學校網(wǎng)絡中心

任務單號：P2021060202現(xiàn)場地點XX學校網(wǎng)絡中心機房日期：2021年12月2日客戶要求1）設置各部門PC機的IP地址，地址為-002）讓員工學會如何將自己的辦公電腦加入域3）通過后臺對加入域的情況進行統(tǒng)計，個別無法自己操作的要給予一定程度的幫助現(xiàn)場環(huán)境及參數(shù)教師辦公電腦（WINDOWSXP,WINDOWS7環(huán)境）聯(lián)系方式聯(lián)系人：王主任聯(lián)系電話：133XX000001工時2任務背景與分析4．知識儲備求域控制器的功能：

當域中的電腦聯(lián)入網(wǎng)絡時，域控制器首先要鑒別這臺電腦是否是屬于這個域的，用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息有一樣不正確，那么域控制器就會拒絕這個用戶從這臺電腦登錄。不能登錄，用戶就不能訪問服務器上有權限保護的資源，他只能以對等網(wǎng)用戶的方式訪問Windows共享出來的資源，這樣就在一定程度上保護了網(wǎng)絡上的資源。任務背景與分析4．知識儲備求客戶機加入域的好處：1）權限管理集中、管理成本下降。2）安全性能加強、權限更加分明。3）賬戶漫游和文件夾重定向。4）方便用戶使用各種共享資源。5）靈活的查詢機制。6）擴展性能較好。任務實施Windows客戶機添加到域將Windows客戶機添加到域步驟視頻如下：任務實施Windows客戶機添加到域將Windows客戶機添加到域步驟1）設置需要加入的客戶機的TCP/IP屬性（需要手動設置），將IP設置在一個網(wǎng)段，主要配置DNS，需要指向內網(wǎng)的DNS服務器，也就是安裝域控制器時選擇的DNS，如圖2-13所示。因為這里域控制器和DNS在一臺服務器上，所以這里直接指向域控制器的IP。圖2-13客戶機IP地址的設置任務實施Windows客戶機添加到域將Windows客戶機添加到域步驟2）用鼠標右鍵單擊“我的電腦”，在彈出的快捷菜單中單擊“屬性”，在“計算機名稱、域和工作組設置”項單擊“更改設置”按鈕，在彈出的“系統(tǒng)屬性”對話框單擊“更改”按鈕，如圖2-14所示。圖2-14將用戶機加入域任務實施Windows客戶機添加到域將Windows客戶機添加到域步驟3）選中“域”單選按鈕，并填寫所要加入的域：。4）單擊“確定”按鈕，客戶機將通過DNS服務器查詢是否有域名為“”的域控制器存在，解析成功后出現(xiàn)“計算機名更改”對話框。需要在窗口中輸入域賬號名稱和密碼進行登錄，如圖2-15所示。圖2-15域賬號名稱和密碼輸入對話框任務實施Windows客戶機添加到域將Windows客戶機添加到域步驟5）在域控制器核實用戶權限有效、客戶機的設置得到認可后，顯示計算機user03成功加入到域，如圖2-16所示。圖2-16成功加入域任務實施Windows客戶機添加到域將Windows客戶機添加到域步驟6）客戶機登陸到域。重新啟動計算機user03，進入到系統(tǒng)登錄對話框，選擇登錄到域school（即域的域NetBIOS名稱），輸入有效的用戶名及密碼，成功完成登錄?？蛻魴C要訪問網(wǎng)絡資源，只要在“網(wǎng)上鄰居”中查找“域”下各種服務器或者客戶機提供的共享資源即可，域中的客戶機共享資源，如圖2-17所示。圖2-17域中的客戶機共享資源當客戶機成功添加到域中后，管理員可以集中管理這些客戶機。在“管理工具”中的“ActiveDirectory用戶和計算機”的菜單中可以進行禁用賬戶、重設賬戶、移動該管理項到左邊窗口下的不同的位置、對客戶機進行遠程管理、配置客戶機的屬性等不同操作。在菜單中選擇“管理”選項，出現(xiàn)“計算機管理”對話框，可以對客戶機進行綜合管理，如下圖所示。技能提示任務實施

管理用戶賬號圖2-18計算機管理選項小結客戶機添加到域方法域控制器的功能WindowsServer2019服務器配置實訓教程

活動目錄的配置與用戶管理任務3管理用戶賬號任務背景與分析1.客戶需求需求

通過前面操作，現(xiàn)在可以通過活動目錄的模式對校園網(wǎng)資源進行管理，網(wǎng)絡中可訪問的資源已經(jīng)通過域控制器進行了統(tǒng)一部署，但是由于學校各職能部門的用戶權限不應該是一樣的，對網(wǎng)絡的訪問時間和地點要求也不同，從管理的角度出發(fā)，管理員需要有針對性地為不同用戶提供不同的訪問范圍和安全等級，那么應該如何操作呢？需求任務背景與分析2.任務分析求

要解決上述問題，應該根據(jù)實際情況，通過域控制器授予不同用戶不同的權限，讓管理工作更加簡單化，根據(jù)校方提供的不同職能部門的權限范圍進行操作。任務背景與分析2.任務分析求

工作流程：

確認用戶需求與功能分析→填寫安裝工單→創(chuàng)建用戶賬號→設置用戶密碼→賦予權限。任務背景與分析3.任務工單求邁聯(lián)公司工程任務工單客戶名稱：xx學校網(wǎng)絡中心

任務單號：P2021060203現(xiàn)場地點XX學校網(wǎng)絡中心機房日期：2021年12月3日客戶要求1）按各部門人員配置創(chuàng)建用戶（配置用戶密碼，初始密碼統(tǒng)一為12345，并要求第一次登陸時修改）2）根據(jù)不同部門人員所負責的工作，給用戶設置相應的權限和登錄時間現(xiàn)場環(huán)境及參數(shù)3臺windowsServer2019服務器聯(lián)系方式聯(lián)系人：王主任聯(lián)系電話：133XX000001工時8任務背景與分析4．知識儲備求

用戶賬號是計算機的基本安全組件。計算機通過用戶賬號辨別用戶身份，讓有使用權限的人登錄計算機，訪問本地計算機資源或從網(wǎng)絡訪問這臺計算機的共享資源。指派不同用戶不同的權限，可以讓用戶執(zhí)行不同的計算機管理任務。創(chuàng)建用戶賬戶步驟如下視頻：任務實施

管理用戶賬號創(chuàng)建用戶賬戶步驟：任務實施

管理用戶賬號1）以管理員用戶賬戶“Administrator”登錄進入服務器，在“服務器管理器”界面中鼠標右鍵單擊所選擇的服務器。單擊“ActiveDirectory用戶和計算機”，如圖2-19所示。圖2-19服務器管理器界面創(chuàng)建用戶賬戶步驟：任務實施

管理用戶賬號2）在“ActiveDirectory用戶和計算機”列表下選擇域“”。其中的“Users”保存著域中的用戶組和用戶名。展開“Users”，右鍵單擊右側的區(qū)域，或者直接在“Users”上單擊鼠標右鍵，在彈出的菜單中選擇“新建”命令，創(chuàng)建新用戶，如圖2-20所示。圖2-20創(chuàng)建新用戶創(chuàng)建用戶賬戶步驟：任務實施

管理用戶賬號3）在“新建”的下級菜單中選擇“用戶”，打開“新建對象-用戶”對話框。在對話框中輸入將要創(chuàng)建的用戶的幾個基本信息如圖2-21所示。在“姓名”文本框中輸入將要創(chuàng)建的用戶名，如“User01”，在“用戶登錄名”文本框中輸入“User01”。圖2-21新建對象-用戶界面創(chuàng)建用戶賬戶步驟：任務實施

管理用戶賬號4）單擊“下一步”按鈕，彈出設置密碼與用戶屬性對話框。在“密碼”和“確認密碼”后面輸入新創(chuàng)建的用戶密碼（密碼應由大小寫字母、字符及數(shù)字組成，如：Class_02）。根據(jù)實際情況設置用戶的密碼登錄屬性為“密碼永不過期”，如圖2-22所示。單擊“下一步”按鈕，完成用戶創(chuàng)建，如圖2-23所示。圖2-22設置密碼和用戶屬性圖2-23完成用戶創(chuàng)建任務實施

管理用戶賬號域用戶賬戶除了具有“本地用戶賬戶”的全部屬性外，還具有一些其他屬性，如用戶的地址信息、電話信息、單位信息等。還可以設置用戶的登錄時間、登錄到的計算機等信息。管理員可以通過域控制器進行管理。知識擴展設置用戶登錄時間的步驟視頻如下：任務實施

管理用戶賬號設置用戶登錄時間的步驟：任務實施

管理用戶賬號

1）鼠標右鍵單擊用戶user01，單擊“屬性”選項（見圖2-24），進入用戶屬性對話框，如圖2-25所示。圖2-24在列表中選中用戶圖2-25用戶屬性對話框設置用戶登錄時間的步驟：任務實施

管理用戶賬號

2）單擊“賬戶”選項卡，單擊“登錄時間”按鈕，彈出登錄時間設置對話框，如圖2-26所示。系統(tǒng)默認允許用戶在任何時間登錄?？梢栽O置的登錄時間是按星期一到星期日、每天24小時、每小時一個設置單位來劃分，用鼠標選取時間單位，單擊“允許登錄”或“拒絕登陸”設置登錄時間。圖2-26用戶登錄時間設置界面設置用戶登錄時間的步驟：任務實施

管理用戶賬號

如圖2-27所示，用戶User01被允許在每星期一至星期五的8：00到18：00登錄，其他時間被拒絕登陸。圖2-27修改用戶登錄時間權限設置用戶登錄到指定計算機的步驟視頻如下：任務實施

管理用戶賬號設置用戶登錄到指定計算機的步驟：任務實施

管理用戶賬號1）在用戶屬性對話框中單擊“登錄到”按鈕，彈出“登錄工作站”對話框，默認用戶“User01”可以登陸到“所有計算機”，如圖2-28所示。圖2-28“登錄工作站”對話框設置用戶登錄到指定計算機的步驟：任務實施

管理用戶賬號2）選中“下列計算機”單選按鈕，然后在“計算機名”中輸入此用戶可以登陸的計算機，如User03，然后單擊“添加”按鈕添加到列表中，如圖2-29所示。可以在列表中添加多臺計算機。圖2-29設置指定用戶登錄任務實施從光盤安裝WindowsServer2019操作系統(tǒng)

在“ActiveDirectory用戶和計算機”管理窗口中，還可以對用戶賬戶和組進行其他相關設置和管理。右鍵單擊用戶User01，彈出如右圖所示的菜單，這里包括了管理員可以對User01實施的相關操作。技能提示圖2-30對域用戶的操作任務實施從光盤安裝WindowsServer2019操作系統(tǒng)1）將用戶添加到組為方便管理，可以對具有相同權限或訪問需求的用戶歸并到一個組里，選擇“添加到組”命令，可以將用戶添加到其他用戶組中。2）禁用賬戶選擇“禁用賬戶”命令一般用于臨時限制某些用戶訪問網(wǎng)絡。3）移動選擇“移動”命令，將會把用戶移動到另一個組織單位（OU）中。技能提示任務實施從光盤安裝WindowsServer2019操作系統(tǒng)4）復制如果選擇“復制”命令，系統(tǒng)將會按照選定的用戶的屬性(即其所屬的用戶組)創(chuàng)建一個與其相同的用戶。注意，此時所復制的用戶User02與原用戶User01具有相同的權限和組。5）刪除選擇“刪除”命令，可以刪除所選的用戶。用戶的權限也隨之全部取消，即使重新創(chuàng)建相同的賬號，也不能獲得原來賬號的權限。6）重命名選擇“重命名”命令，可以更改用戶的名稱。技能提示小結設置用戶登錄到指定計算機及其它常用管理功能設置用戶登錄時間創(chuàng)建用戶賬戶WindowsServer2019服務器配置實訓教程

活動目錄的配置與用戶管理任務4管理組賬號任務背景與分析1.客戶需求需求

因學校里老師數(shù)量比較多，很多老師隸屬于同一部門，所獲得的相應權限和安全級別也都相同，針對這樣的用戶，如果分別對每一個用戶賬號逐一進行權限設置會增加管理的工作量，校方希望工程師幫助解決這一問題，需求任務背景與分析2.任務分析求

WindowsServer2019系統(tǒng)擁有針對用戶進行分組的功能。工程師可以創(chuàng)建并管理組賬戶，通過添加組賬戶，將用戶添加到用戶組，通過設置用戶組的權限來管理用戶組中的用戶。組中的用戶可以自動繼承分配給組的權限，建立組賬戶是非常有效地管理手段。任務背景與分析2.任務分析求

工作流程：

確認用戶需求與功能分析→填寫安裝工單→創(chuàng)建用戶組→添加組賬戶→設置組賬戶權限。任務背景與分析3.任務工單求邁聯(lián)公司工程任務工單客戶名稱：xx學校網(wǎng)絡中心

任務單號：P2021060204現(xiàn)場地點XX學校網(wǎng)絡中心機房日期：2021年12月4日客戶要求1）新建用戶組，用戶組名設為group01、group02…2）將相應用戶添加到同一組中3）設置不同組的組賬戶權限，如財務、辦公室等部門現(xiàn)場環(huán)境及參數(shù)3臺windowsserver2019服務器聯(lián)系方式聯(lián)系人：王主任聯(lián)系電話：133XX000001工時8任務背景與分析4．知識儲備求

用戶組：在整個網(wǎng)絡中，各個訪問網(wǎng)絡的用戶的權限可能是不相同的，可以將具有相同權限的用戶劃為一組，這樣可以減少網(wǎng)絡管理員的負擔，方便批量管理。任務實施用戶組的建立與管理創(chuàng)建域用戶組步驟視頻如下：任務實施用戶組的建立與管理創(chuàng)建域用戶組步驟：1）在“ActiveDirectory用戶與計算機”中，用右鍵單擊“Users”，從出現(xiàn)的菜單中選擇“新建”→“組”。2)打開如圖2-31所示的“新建對象-組”對話框，在“組名”文本框中輸入新用戶組的組名稱“Group01”，選中“全局”和“安全組”單選按鈕，單擊“確定”按鈕完成創(chuàng)建組。圖2-31“新建對象-組”對話框任務實施用戶組的建立與管理在域用戶組中添加組賬戶步驟視頻如下：任務實施用戶組的建立與管理1）在“ActiveDirectory用戶和計算機”管理窗口中右鍵單擊“Group01”，在彈出的菜單中選擇屬性，如圖2-32所示，單擊“成員”中的“添加”按鈕，開始添加組賬戶,如圖2-33所示。圖2-32添加組賬戶在域用戶組中添加組賬戶步驟：任務實施用戶組的建立與管理1）在“ActiveDirectory用戶和計算機”管理窗口中右鍵單擊“Group01”，在彈出的菜單中選擇屬性，如圖2-32所示，單擊“成員”中的“添加”按鈕，開始添加組賬戶,如圖2-33所示。圖2-32添加組賬戶在域用戶組中添加組賬戶步驟：圖2-33組屬性界面任務實施用戶組的建立與管理2）在彈出的如圖2-34所示的“選擇用戶、聯(lián)系人、計算機或組”對話框中，單擊“對象類型”按鈕，可以選擇添加對象的類型。確定了對象類型后，在“輸入對象名稱來選擇”文本框中輸入想要添加的賬戶名稱User01，單擊“檢查名稱”。圖2-34設置組賬戶在域用戶組中添加組賬戶步驟：任務實施用戶組的建立與管理3)系統(tǒng)確認無誤后，顯示出賬戶User01的全名信息,如圖2-35所示。單擊“確定”按鈕后回到“成員”列表，如圖2-36所示。圖2-35檢查名稱完成在域用戶組中添加組賬戶步驟：圖2-36添加成員完成知識拓展求

組規(guī)劃原則：1）相同部門的人在同一個組內。2）將對于某個資源具有相同使用權限的人員規(guī)劃成同一個組。組管理原則：1）先將用戶加入到“全局組”。2）再將該“全局組”加入到“本地域組”。3）最后為該“本地域組”賦予適當?shù)臋嘞蕖Ｈ蝿諏嵤┯脩艚M的建立與管理給Group01組賬戶User01設置權限步驟視頻如下：任務實施用戶組的建立與管理給Group01組賬戶User01設置權限步驟：任務實施用戶組的建立與管理1)在組“Group01”的屬性對話框中選擇“安全”選項卡，顯示組內已經(jīng)分配權限的成員，如圖2-37所示。圖2-37組屬性界面給Group01組賬戶User01設置權限步驟：任務實施用戶組的建立與管理2）選擇“高級”選項，彈出如圖2-38所示的“Group01的高級安全設置”對話框。單擊“添加”按鈕重復與添加組賬戶相同的步驟，把賬戶User01添加進來。圖2-38權限設置給Group01組賬戶User01設置權限步驟：任務實施用戶組的建立與管理3)在列表中選定“User01”，并單擊“編輯”按鈕，在如圖2-39所示的“Group01的權限項目”窗口中設置“User01”的權限。在“應用于”下拉列表中可以選擇“User01”的權限所應用到的范圍。設置后單擊“確定”按鈕。圖2-39組權限項目窗口知識拓展求

組作用域用來確定在域樹或者林中該組的作用范圍，作用域通常包括以下三種類型：

1)全局組：全局組主要是用來組織用戶的。全局組內可以包含同一個域的用戶賬戶與全局組，可以訪問任何一個域內的資源。

2)本地域組：本地域組的成員可以是同一個域的本地域組，也可以是任何域內的賬戶、全局組和通用組，他們能訪問的資源只是該本地域組所在域的資源。3)通用組：通用組可以訪問任何一個域內的資源，通用組可以包含所有域內的用戶賬戶、全局組和通用組。組類型包括通信組和安全組?？梢允褂猛ㄐ沤M創(chuàng)建電子郵件通信組列表，使用安全組給共享資源指派權限。任務實施用戶組的建立與管理用戶和組建立隸屬關系后，也可以解除。例如，將用戶組“Group01”內的用戶User01移除，只需切換回組屬性的“成員”對話框，選擇“User01”，單擊“刪除”按鈕即可。組建立后，也可以刪除。例如，刪除用戶組“Group01”可直接在“ActiveDirectory用戶和計算機”管理窗口中用鼠標右鍵單擊“Group01”,選擇“刪除”。技能提示任務實施用戶組的建立與管理小結給組賬戶設置權限組規(guī)劃原則域用戶組的創(chuàng)建及添加賬戶WindowsServer2019服務器配置實訓教程

活動目錄的配置與用戶管理任務5管理組織單位任務背景與分析1.客戶需求需求

為了更好地管理服務器內的成員，往往還需要管理員對域控制器所管轄的對象進行二次分類。如學校的網(wǎng)絡服務器需要把各部門中層領導的計算機賬戶進行統(tǒng)一管理，并不干擾其賬戶在各部門用戶組的使用，工程師必須在用戶和組的基礎上找出其他管理形式來滿足管理需求。求任務背景與分析2.任務分析求

此類問題在域控制器上可以通過規(guī)劃添加組織單位來完成，管理員可以創(chuàng)建組織單位對域內的對象進行分類，這樣就可以根據(jù)組織的模型管理賬戶和配置資源。為了管理方便，需要創(chuàng)建一個或多個組織單位。任務背景與分析2.任務分析求

工作流程：

確認用戶需求與功能分析→填寫安裝工單→規(guī)劃組織單位容納的對象→新建組織單位→創(chuàng)建子組織單位。任務背景與分析3.任務工單求邁聯(lián)公司工程任務工單客戶名稱：xx學校網(wǎng)絡中心

任務單號：P2021060205現(xiàn)場地點XX學校網(wǎng)絡中心機房日期：2021年12月5日客戶要求1）規(guī)劃組織單位容納的對象2）新建組織單位，命名部門名稱+相應編號，如class2101現(xiàn)場環(huán)境及參數(shù)3臺windowsserver2019服務器聯(lián)系方式聯(lián)系人：王主任聯(lián)系電話：133XX0000