第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
第 4章 域和活动目录的管理
4.1域和活动目录的管理
4.2 用户和用户组的管理
上一章 返回目录
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
内容提要
? 活动目录的概念、特点、规划
? 活动目录的升级
? 域的相关概念
? 域控制器对域中各种对象的管理
? 用户和用户组的相关概念
? 创建和管理用户和组账户
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
4.1域和活动目录的管理
4.1.1活动目录
4.1.2域及其相关概念
4.1.3管理域控制器
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
4.1.1活动目录
1,活动目录
( 1)活动目录简介
活动目录包括两个方面:目录和与目录相
关的服务。
( 2)活动目录的目录服务具有以下特性,
① 数据存储,也称为目录,存储有关活
动目录对象的信息
② 一系列规则定义了目录中对象的类和
属性、这些对象范例的限制以及名称的格式
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
4.1.1活动目录
③ 全局目录包含了目录中所有对象的信息
④ 查询和索引机制使得网络用户或应用程序可
以发布和查找对象及其属性
⑤ 复制服务负责在网络中分配目录数据
⑥ 为保证网络登录过程的安全,以及对目录数
据查询和数据修改的访问控制,将安全子系统与之
集成
⑦ 为获得活动目录的最大效益,通过网络访问
活动目录的计算机必须运行正确的客户软件。
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
4.1.1活动目录
( 3)活动目录规划
活动目录规划是确定对象及有关对象信息
类型的定义或元数据的列表,可以将其存储
在活动目录中。组成规划的元数据有两种类
型 —类和属性
2,活动目录的特点
( 1) 信息安全性
( 2)基于策略的管理
( 3)扩展性
( 4)可调整性
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
4.1.1活动目录
( 5)信息复制
( 6)与 DNS 集成
( 7)与其他目录服务的内部操作
( 8)灵活的查询
3,Windows 2000中活动目录的特点
4,升级活动目录
在 Windows 2000 Server中,通过升级活
动目录,用户既可以建立域中的第一台“域
控制器”,也可以建立起其他的域控制器
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
图 4-1 配置服务器窗口 图 4-2 Active Directory安装向导窗口
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
图 4-3 域控制器类型窗口 图 4-4 创建目录树或子域窗口
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
图 4-5 创建或加入目录林窗口 图 4-6 新的域名窗口
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
图 4-6 NetBIOS域名窗口 图 4-7 配置 DNS窗口
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
图 4-9 权限选择窗口 图 4-10 目录服务恢复模式的管理员密码窗口
图 4-8 提示窗口
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
图 4-11 摘要窗口 图 4-12文件复制窗口
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
图 4-13 完成 AD安装向导窗口 图 4-14 AD安装完成后要求重启计算机窗口
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
4.1.2域及其相关概念
1,域
域在活动目录中定义安全边界。活动目录由一个或多个
域组成。每个域均拥有与其他域相关的安全策略和安全关系
2,域树
域树由多个域组成,这些域共享同一表结构和配置,形
成一个连续的名字空间
3,域树林
域树林是指由一个或多个没有形成连续名字空间的域树
组成,它与上面所讲的域树最明显的区别就在于这些域树林
之间没有形成连续的名字空间,而域树则是由一些具有连续
名字空间的域组成
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
4.1.2域及其相关概念
4,域信任关系
域信任关系是一种建立在域间的关系,它使得一个域中
的用户可由另一域中的域控制器进行验证。所有域信任关系
中只有两种域:信任关系域和被信任关系域
( 1)传递
( 2)不传递
( 3)单向
( 4)双向
5,组织单位
组织单位是可指定组策略或代表管理权限的最小领域或
单位 。使用组织单位可在域中创建容器,该域表示组织中的
等级和逻辑结构。
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
4.1.2域及其相关概念
6,活动目录站点和服务
7,组
组是活动目录或本地计算机对象,它包含用户、联系、
计算机和其他组。
8,活动目录用户和计算机账户
( 1)活动目录用户账户
( 2)计算机账户
9,域控制器
10,名字空间
11,对象
12,容器
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
4.1.3管理域控制器
1,查找域控制器
图 4-16 AD用户和计算机窗口 图 4-17查找用户、联系人及组窗口
图 4-18 查找计算机窗口
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
4.1.3管理域控制器
2,管理不同的域
图 4-19 连接到域对话框
图 4-20 连接到域控制器窗口
3,使用不同的域控制器管理域
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
4.1.3管理域控制器
4,委派控制
图 4-23用户和组一窗口 图 4-24 用户和组二窗口
图 4-21 AD用户和计算机窗口 图 4-22 欢迎窗口
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
4.1.3管理域控制器
4,委派控制
图 4-27 完成窗口
图 4-25对象类型选择窗口 图 4-26 控权限窗口
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
4.1.3管理域控制器
5,管理单个主机操作
图 4-28 操作主机窗口
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
4.2 用户和用户组的管理
4.2.1账户管理中的基本概念
4.2.2创建和管理用户账户
4.2.3用组管理用户账户
4.2.4 Windows 2000中组的使用
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
4.2.1账户管理中的基本概念
1,基本概念
( 1)用户( User)
用户指的是一个实实在在的人,计算机的使用者。
正像一个人可以拥有多个银行账户和密码一样,一个用
户也可以有一个或多个账号及密码 ( 2)用户账号
( USER Account)和密码( Password)
( 3)用户权限( USER Right)
( 4)建立账号的最小特权原则
2,用户账户类型
( 1)内置用户账户
安装完操作系统后就存在的, 不需要建立就存在的
账户被称为内置账户或自代账户 。
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
4.2.1账户管理中的基本概念
② 类型
? l Administrator:管理计算机 ( 域 ) 的内置账户
? l Guest:供来宾访问计算机或访问域的内置账户
? l IUER_:匿名访问 Internet信息服务的内置账户
? l IWAM_:启动进程之外的应用程序的 Internet信
息服务的内置账户
? l Krbtgt:密钥发行中心服务账户
? l NetShowService,Windows Media服务在此账户下
运行
? l TsInternetUser:终端服务使用该账户
? Administrator账户具有系统的最高权限, Guest账
户一开始是被禁止的, 它是为临时登录网络并使用网络
中的有限资源的用户提供的, 它仅具有少量的权限 。 这
两个内置账户是最常用的 。
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
4.2.1账户管理中的基本概念
② 类型
? Administrator:管理计算机 ( 域 ) 的内置账户
? Guest:供来宾访问计算机或访问域的内置账户
? IUER_:匿名访问 Internet信息服务的内置账户
? IWAM_:启动进程之外的应用程序的 Internet信息服务
的内置账户
? Krbtgt:密钥发行中心服务账户
? NetShowService,Windows Media服务在此账户下运行
? TsInternetUser:终端服务使用该账户
Administrator账户具有系统的最高权限, Guest账
户一开始是被禁止的, 它是为临时登录网络并使用网络中的
有限资源的用户提供的, 它仅具有少量的权限 。 这两个内置
账户是最常用的 。
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
4.2.1账户管理中的基本概念
( 2)其他账户及账户管理
( 3)启用, 筛选器,
图 4-29 AD用户和计算机中的筛选器选项窗口
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
4.2.2创建和管理用户账户
1,管理用户账户的策略
①根据组的规划设计原则,设计好将创建用
户的名称、组、访问级别、对共享资源的访问权
限等
②建立和管理用户账号。例如:建立账户模
板,然后根据需要,对账户进行复制、修改或删
除等项工作
③设置账户的各种策略
④根据需要进行组的组织和设置
⑤给组设置资源访问权限
⑥维护域控制器
⑦排除登录故障
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
4.2.2创建和管理用户账户
2,用户账户管理的主要内容
包括:添加用户账户、复制用户账户、禁止
用户账户、启用已禁止的用户账户、删除用户账
户、查找用户账户、查找联系人、修改用户账户
属性、移动用户账户、重命名用户账户、重置用
户密码以及更改用户所属的组等。
3,新建域用户账户
必须使用具有 Administrator、
Administrators组和 Account Operators组的成员
账户登录,这些账户和组的成员具有账户管理的
权限
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
4.2.2创建和管理用户账户
图 4-32 新建对象 -用户窗口三
图 4-30 新建对象 -用户窗口一 图 4-31 新建对象 -用户窗口二

第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
4.2.2创建和管理用户账户
4,管理用户账户的有效方法
( 1) 方法和工具,
① 创建用户模板 。 使用用户模板可以迅速创建多个新的用
户账号 。
② 一次改变多个用户账号的属性 。
③ 为了保证网络安全, 设计和实现相应的账户策略 。
④ 维护域控制器, 使得用户账户总能被验证成功 。
⑤ 解决用户账户登录时遇到的主要问题 。
⑥ 通过创建 Administrators组, 来完成网络的维护, 管理
安全等任务
完成上述任务, 登录时用户的身份应当是
,Administrator,
Administrators和 Account Operators”等组中的成员 。
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
4.2.2创建和管理用户账户
( 2)创建用户模板和复制用户账户
图 4-33 复制对象 -用户窗口一 图 4-34 复制对象 -用户窗口二
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
4.2.2创建和管理用户账户
( 3) 账户管理规则
① 应当为每一个种类的账户建立一个模板 。 例
如:学校中的教师, 管理人员和学生等 。
② 如果需要管理一批使用性质相近的临时网络
用户, 也可以创建一个管理模板 。 例如:具有登录时
间, 登录地点和其他的一些资源访问的限制条件 。
③ 根据需要复制模板账户, 并输入和修改必须
新输入的内容 。
5.修改用户账号
① 每次修改一个账号
② 每次修改多个账号
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
4.2.2创建和管理用户账户
6,将多个用户账户添加到指定组的操作
图 4-35 多个账户选择组窗口
7,删除用户账号, 与 6修改操作步骤类似
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
4.2.3用组管理用户账户
在设计和规划好, 组, 之后,管理员的主要
工作就是创建用户账户的全局组,并根据规划将
全局组加入合适的本地域组和通用组中 。
1.“组, 的基本概念
( 1), 组账户, 定义
,组账户, 是网络系统中同类对象的集合,
通常将其简称为, 组, 。同组的对象对系统或资
源的访问,拥有相同的控制和访问权限
( 2), 组账户, 的性质
在 Windows 2000中,有以下两中性质的组,
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
4.2.3用组管理用户账户
① 安全组:主要用于控制和管理资源的安全
性 。
②分布组:通常使用, 分布组, 来管理与安
全性无关的任务。可以使用信使对某, 分布组,
发送信息,却不能为该组分配某共享资源的权限。
( 3), 组账户, 说明
① 只有在支持活动目录的计算机上, 才能使
用分布组
② 用户建立的应用型, 组, 和系统内置或预
定义组大都是安全组
③ 一个用户可以不属于任何组, 也可同时属
于多个组
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
4.2.3用组管理用户账户
3,域控制器 Windows 2000 Server中组的
分类
( 1)系统内置组
图 4-36 AD用户和计算机窗口, Builtin”中的本地组
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
4.2.3用组管理用户账户
Windows 2000计算机上具有的内置本地组
的类型和各组具有的操作能力如表 4-2所示。表
4-2 内置本地组的类型和各组具有的操作能力
本地组名称
操作能力
Administra
tors
系统管理员

该组的成员都是系统管理员 。 在本地计算机上可以执行
所有的管理任务, 是 Windows 2000中权限最高的组 。 如
果所在的计算机是域控制器, 则其成员对域和计算机有
着完全的管理和控制权 。
Backup Operators
备份操作员

该组的成员都是备份操作员, 其成员可以使用 Windows
2000上的备份程序对 Windows 2000计算机进行备份和恢
复, 权限较单一 。
Guests
来宾组
该组的成员只能作为来宾, 可执行已被授权的任务, 访
问被分配许可的资源, 如只能操作计算机和保存文档 。
Guests组的成员不能对本地环境做永久性的修改 。
Power
Users
超级用户

该组的成员拥有较多的权限, 但比系统管理员组的权限
低 ( 仅在 Windows 2000 professional中存在 )
Replicato
r
复制器组
该组的成员只能在域中进行文件复制, 权限较低 。 该组
不用于管理, 仅为目录服务使用
Users
用户组
该组的成员一般为普通用户, 权限与 Guests类似, 可执
行已被授权的任务, 访问被分配许可的资源, 例如, 只
能操作计算机和保存文档 。
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
4.2.3用组管理用户账户
表 4-3 域控制器上内置本地组的类型和操作能力
本地组名称
操作能力
Account
Operators
账户操作员
该组的成员可以管理域用户账户和组账户的信息, 但不具备系统配置和修改的
权限 。
Server
Operators
服务器操作员
该组的成员是域中的服务器管理员, 权限较高, 如可以设置磁盘资源的共享,
备份和恢复服务器, 但不能管理其他计算机 。
Printer
Operators
打印操作员
该组的成员是打印管理员, 可以设置和管理本地, 共享和网络打印机;此外,
还能通过本地的方式登录到服务器, 并关闭服务器系统
Pre-Windows
2000 Compatible
Access
兼容组
该组的成员允许访问在域中所有用户和组的读取访问反向兼容组 。
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
4.2.3用组管理用户账户
( 2)系统预定义的本地组和全局组( Users)
① 预定义组
图 4-37 AD用户和计算机窗口的, Users”中预定义组
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
4.2.3用组管理用户账户
② 预定义的全局组
表 4-4 域控制器上预定义的全局组类型和组成
全局组名称
组成员和操作权限
Domain
Admins
域管理员组
该组的成员具有系统管理员的权限, 它隶属于 Administrators组; Administrator账
户默认时, 也是该组的成员 。 Domain Admins组的成员具有系统管理员的权限, 可执
行本地计算机的管理任务 。
Domain
Guests
域来宾组
所有的域的来宾都是该组的成员, 该组会自动加入到 Guests组, Guest账户默认时,
也是该组的成员 。 该组的成员具有有限的访问权限 。
Domain
Users
域用户组
所有本域的域用户账户都是该组的成员, 该组隶属于 Users本地组 。 当域用户账户创
建时会自动成为该组的成员, 本地 Users组也会自动加入该组 。 该组成员可以登录到
域中, 访问域内的共享资源 。
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
4.2.3用组管理用户账户
③ 预定义的本地(域)组
( 3)系统组
表 4-5 常用的特殊系统组的类型、组成和能力
系统组名称
组成及其操作能力
Everyone
每个人组
代表所有当前从网络上访问该计算机的用户, 包括所有来自其他域的来宾和用户 。 无论用户何时登录到网
络上, 它们都将被自动添加到 Everyone组 。 Administrators组的成员可以该组分配许可权限 。 管理员在启
用了 Guest账户后, 应当注意该组的权限分配 。
Creater
Owner
资源创建
者组
该组包括一个创建资源 ( 文件, 文件夹和打印文件 ) 的所有者, 以及获得了其资源所有权的用户 。 如果某
个管理员 ( Administrators) 组的成员获得了一个资源的所有权, 则此资源的所有者就属于该管理员组 。
只有在 NTFS分区上, 这个组可以用来管理文件和文件夹的访问任务 。
Network
网络组
该组包括所有正在从网络上其他计算机连到你的计算机的共享资源上的用户 。 代表当前通过网络访问给定
资源的用户 ( 不是通过从本地登录到资源所在的计算机来访问资源用户 ) 。 当用户通过网络访问给定资源
时, 它们都将自动添加大网络组 。
Interactive
该组自动包括了从本地登录到计算机上的用户, 该组的成员通过计算机之间的交互登录来访问资源 。 代表
当前登录到特定计算机上并且访问该计算机上给定资源的所有用户 ( 不是通过网络访问资源的用户 ) 。 无
论用户何时访问当前登录的计算机上所给的资源, 它们都被自动添加到交互组 。
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
4.2.4 Windows 2000中组的使用
1,使用本地组和全局组进行管理的最佳策略
( 1)使用本地域组和全局组的管理策略
① 建立全局组 。
② 使用全局组组织用户, 将具有相同权限
需求的用户加入到同一组 。
③ 在资源所在的域, 建立本地域组 。
④ 将所有需要拥有相同资源访问权限的全
局组加入到上述的本地域组中 。
⑤ 给本地域组分配资源的访问权限 。
( 2) 使用 domain users全局组进行管理
( 3) 实现跨域管理的目标
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
4.2.4 Windows 2000中组的使用
( 4) 实现特定管理的目标
( 5) 实施最小特权原则
2,使用全局组与通用组进行管理的最佳策

① 在每个域内建立全局组 。
② 将每个域内具备相同权限的用户账户加
入到该域的全局组内 。
③ 在资源所在的域建立一个通用组 。
④ 将域中所有需要拥有该资源相同访问权
限的全局组分别加入到上述的通用组中 。
⑤ 给此通用分配资源的访问权限 。
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
小结,
本章介绍了活动目录的概念, 特点及其规划
过程 。 并以 Windows 2000为网络操作系统详细阐
述了其活动目录的升级过程 。 域在活动目录中定
义安全边界, 介绍了在域中的十几个相关概念,
这是理解域概念必须要掌握的一些基本内容 。 还
以 Windows 2000为网络操作系统介绍了 查找域控
制器, 管理不同的域, 使用不同的域控制器管理
域, 委派控制, 管理单个主机等多项对对象的操
作过程 。 本章最后还介绍了用户和用户组的相关
概念, Windows 2000中的内置组特性及作用域以
及 在网络中如何创建, 管理用户和用户组的策略
等相关知识 。
Questions?
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
1,什么是活动目录? 其特点是什么?
2,Windows 2000中活动目录有哪些特点?
3,什么是域, 域树, 域树林?
4,域的信任关系指的是什么? Windows 2000中信任关
系是怎样的?
5,用户和用户账号指的是什么?
6,账号的最小特权原则是什么?
7,Windows 2000账号有几种类型?
8,管理用户账号的策略是什么?
9,Windows 2000中有哪几种组账号?
10,Windows 2000中使用全局组和通用组进行管理的最
佳策略是什么?
第 4章 域和活动目录的管理
上一页 下一页 返回本章首页
11,Windows 2000中使用本地组和全局组进行
管理的最佳策略是什么?
12,实验项目
( 1) 以 Windows 2000为网络操作系统进行活
动目录 AD的升级 。
( 2) 建立 Windows 2000域, 并进行域控制器
的管理 ( 查找域控制器, 管理不同的域, 使用不同
的域控制器管理域, 委派控制, 管理单个主机等内
容 ) 。
( 3) 熟悉并掌握 Windows 2000域控制器上的
内置组和预定义组 。
( 4) 掌握网络管理员对账号和组的日常操作 。