第 6章 活动目录
本章主要讲解 Windows 2000中活动目录( Active
Directory,AD)的基本知识和使用技巧。通过本章学
习,读者应该掌握以下内容,
? 活动目录的基本概念
? 活动目录的规划与安装
? 域控制器的管理
? 用户账户和计算机账户的管理
? 组和组织单位的管理
? 资源发布和域的管理
本章学习目标
6.1 概 述 (1)
6.1.1 活动目录简介
活动目录( Active Directory)是一种目录服务,它存储
有关网络对象(如用户、组、计算机、共享资源、打印机和联
系人等)的信息,并使管理员和用户可以方便地查找和使用这
些网络信息。
域( domain)仍然是 Windows 2000目录服务的基本管理单
位,但增加了许多新的功能。
活动目录服务把域详细划分成组织单位,组织单位是一个
逻辑单位,它是域中一些用户和组、文件与打印机等资源对象
的集合。
活动目录服务把 DNS作为其定位服务,增强其与 Inter-net
的融合。
6.1 概 述 (2)
6.1.2 活动目录的三种特性
1.集成性
用户和资源管理、基于目录的网络服务和基于网
络的应用管理。
2.深入性
深入性主要体现在其企业级的可伸缩性、安全性、
互操作性、编程能力和升级能力上。
3.易用性
简易的安装和管理 。
6.2 安装活动目录
活动目录的规划
安装活动目录
检验安装结果
6.2.1 活动目录的规划 (1)
一, 规划 DNS
选择 DNS名称用于 Active Directory域时, 以单位保留在 Internet
上使用的已注册 DNS域名后缀开始, 并将该名称和单位中使用的地理
名称或部门名称结合起来, 组成 Active Directory域的全名 。
二, 规划域结构
从单域开始, 只有在单域模式不能满足要求时, 才增加其他的
域 。 一个域可跨越多个站点并且包含数百万个对象 。
下列情形下才建议创建多个域,
1,部门之间不同的密码要求 。
2,大量的对象 。
3,不同的 Internet域名 。
4,对复制进行更多的控制 。
5,分散的网络管理 。
6.2.1 活动目录的规划 (2)
三, 规划组织单位结构
组织单位可包含用户, 组, 计算机, 打印机, 共享文
件夹以及其他组织单位 。
通常创建的组织单位应能反映部门的职能或商务结构 。
每个域都可以实现自己的组织单位层次结构 。
四, 规划委派模式
将部分组织单位子树的权利派给其他用户或组 。
6.2.1 活动目录的规划 (3)
还要注意以下几点,
1,使用的域越少越好, 因为在 Windows 2000中单个
域的容量已被大大扩展了 。
2,限制组织单位的层次, 以提高在 Active Directory
搜索对象的运行效率 。
3,限制组织单位中的对象个数, 有利于高效的查找
特定资源 。
4,可以将管理权限分配到组织单位级, 这样既提高
了管理效率, 又降低了管理员的负荷 。
6.2.2 安装活动目录( 1)
安装活动目录具体步骤,
1.启动 Windows 2000 Server系统自动打开, Windows 2000配置
服务器, 窗口,或者选择, 开始, /“程序, /“管理工具, /“配置
服务器,,打开如图 6-1所示配置服务器窗口。
图 6-1
“Windows 2000配置
服务器, 窗口
6.2.2 安装活动目录( 2)
2,在左边的列表中单击, Active Directory”超级链接,并
拖动右边的滚动条到窗口底部,如图 6-2所示。
图 6-2
显示活动目录内容
6.2.2 安装活动目录( 3)
3.单击, 启动, 链接,打开, Active Directory安装向导,
对话框,如图 6-3所示。
也可省去前面三步,直接通过, 开始, /“运行,,打开
,运行, 对话框,输入 dcpromo命令,单击, 确定, 按钮,
打开如图 6-3所示的对话框。
图 6-3
Active Directory安装向导
6.2.2 安装活动目录( 4)
4.单击, 下一步,,打开如图 6-4所示的选择, 域控制
器类型, 对话框。若安装的服务器是域中的第一个域
控制器,选择, 新域的域控制器, 。如果网上已有域
控制器,可选择, 现有域的额外域控制器, 。
图 6-4
选择域控制器类型
6.2.2 安装活动目录( 5)
5.单击, 下一步,,打开如图 6-5所示的, 创建目录树或子
域, 对话框,如果用户不想让新域成为现有域的子域,可选
择, 创建一个新的域目录树, 。如果用户希望新域成为现有
域的子域,可选择, 在现有域目录树中创建一个新的子域, 。
这里,选择, 创建一个新的域目录树, 。
图 6-5
创建目录树或子域
6.2.2 安装活动目录( 6)
6.单击, 下一步,,打开如图 6-6所示的, 创建或加入目录林, 对话框,
如果所创建的域为单位的第一个域,或者希望所创建的新域独立于现有
目录林,可选择, 创建新的域或目录树, 。如果希望新的域目录树中的
用户可访问现有域目录树中的资源,或希望现有域目录树中的用户访问
新域目录树中的资源,
图 6-6
创建或加入目录林
可选择, 将这个新的域
目录树放入现有的目录
林中, 。这里,选择
,创建新的域目录树, 。
6.2.2 安装活动目录( 7)
7.单击, 下一步,,打开如图 6-7所示的指定域名对话框,在
,新域的 DNS全名, 文本框中输入新建域的 DNS全名,例如
wgzx.edu.cn。
图 6-7
指定新域名
6.2.2 安装活动目录( 8)
8.单击, 下一步,,打开如图 6-8所示的, NetBIOS域名, 对话
框,在, 域 NetBIOS名, 文本框中输入 NetBIOS域名,或者接受
显示的名称。 NetBIOS域名是供早期的 Windows用户用来识别新
域的。
图 6-8
指定 NetBIOS
6.2.2 安装活动目录( 9)
9.单击, 下一步,,打开如图 6-9所示的, 数据库和日志文件位置, 对
话框,在, 数据库位置, 文本框中输入保存数据库的位置,或者单击
,浏览, 按钮选择路径,在, 日志位置, 文本框中输入保存日志的位置
或单击, 浏览, 按钮选择路径。
图 6-9
指定活动目录的
数据库和日志文
件位置
注意,基于最佳性和可
恢复性的考虑,最好将
活动目录的数据库和日
志保存在不同的硬盘上

6.2.2 安装活动目录( 10)
10.单击, 下一步,,打开如图 6-10所示的, 共享的系统卷, 对话框,
在 Windows 2000中,Sysvol文件夹存放域的公用文件的服务器副本,它
的内容将被复制到域中的所有域控制器上。在, 文件夹位置, 文本框中
输入 Sysvol文件夹位置,如本例中对应文件夹为 c:\WINNT\SYSVOL,或
单击, 浏览, 按钮选择路径。
图 6-10
指定系统卷共享
文件夹
6.2.2 安装活动目录( 11)
11.单击, 下一步,,如果用户没有配置名称为 wgzx.edu.cn的 DNS服务
器,则系统会提示用户配置 DNS服务器,单击, 确定, 按钮,即可打开
,配置 DNS”对话框,如图 6-11所示。
图 6-11
配置 DNS
12.如果通过向导为新
域安装和配置 DNS服务
器,选择, 是,在这
台计算机上安装和配
置 DNS(推荐), 。如
果要在安装活动目录
之后再安装和配置 DNS
,可选择, 否,我将
自己安装并配置, 。
6.2.2 安装活动目录( 12)
13.单击, 下一步,, 打开如图 6-12所示的, 权限, 对话框, 为用户和
组选择默认权限, 如果单位中还存在或将要用 Windows 2000的以前版本
,选择, 与 Windows 2000服务器之前的版本相兼容的权限, 。 否则, 选
择, 只与 Windows 2000服务器相兼容的权限, 。
图 6-12
权限设置
6.2.2 安装活动目录( 13)
14.单击“下一步”,打开“目录服务恢复模式的管理员
密码”对话框,如图 6-13所示,输入并牢记该密码,以备将
来目录服务恢复模式下使用。
图 6-13
输入目录服务恢复
模式管理员密码
6.2.2 安装活动目录( 14)
15,单击, 下一步,,打开, 摘要, 对话框,如图 6-14所
示。通过该对话框,用户可检查并确认设置的各个选项。
图 6-14
确认选定的选项
6.2.2 安装活动目录( 15)
16,单击, 下一步,,系统开始配置活动目录,如图 6-15所
示。
图 6-15 配置活动目录
6.2.2 安装活动目录( 16)
17,经过几分钟之后,配置完成。同时,打开, 完成 Active Directory
安装向导, 对话框,如图 6-16所示,单击, 完成,,即完成活动目录的
安装。
活动目录安装完成之后,必须重新启动计算机,活动目录才会生效。
图 6-16
完成活动目录的安装
要删除活动目录,打
开, 开始, 菜单,选
择, 运行, 命令,打
开, 运行, 对话框,
输入 dcpromo命令,
然后单击, 确定, 按
钮,打开, Active
Directory安装向导,
对话框,并沿着向导
进行删除,这里不再
细述其过程。
6.2.3 检验安装结果
在安装完成后, 可以通过以下方法检验 Active Directory安装是否正
确, 在安装过程中一项最重要的工作是在 DNS数据库中添加服务记
录 ( SRV记录 ), 下面介绍一下如何检查安装结果 。
1,检查 DNS文件的 SRV记录 。
用文本编辑器打开 %systemroot%/system32/config/中的 Netlogon.dns文
件, 察看 LDAP服务记录, 在本例中为 _ldap._tcp.wgzx.edu.cn.600 IN
0 100 389 apple.wgzx.edu.cn。
2,验证 SRV记录在 NSLOOKUP命令工具中运行是否正常 。
( 1) 在命令提示行下, 输入 NSLOOKUP;
( 2) 输入 set type=srv;
( 3) 输入 _ldap._tcp.wgzx.edu.cn。
如果返回了服务器名和 IP地址, 说明 SRV记录工作正常 。
6.3 域控制器管理
域( Domain)是活动目录的分区,定义了安全边界,在没经过授权
的情况下,不允许其他域中的用户访问本域中的资源。活动目录可
由一个或多个域组成,每一个域可以存储上百万个对象,域之间还
有层次关系,可以建立域树和域林,如图 6-17,6-18所示,进行无
限地域扩展。图中的双箭头表示域之间的信任关系,Windows 2000
中域的信任关系都是双向和可传递的。
r o o t, c o m
c h i l d, r o o t, c o m
g r a n d c h i l d, c h i l d, r o o t, c o m
r o o t, c o m
c h i l d, r o o t, c o m
g r a n d c h i l d, c h i l d, r o o t, c o m
1, c o m
2, 1, c o m
3, 2, 1, c o m
域的信任关系
2, 2, c o m
图 6-17 域树 图 6-18 域林
6.3.1 设置域控制器属性( 1)
管理员通过设置域控制器属性,不但可以确定域控制器的位置、操作
系统和常规属性,而且还可设置域控制器的组和管理员。设置域控制器属
性,具体步骤如下,
1.选择, 开始, /“程序, /“管理工具, /“配置服务器, 命令,打开
,Windows 2000配置服务器, 窗口,单击左边的列表中的 Active
Directory链接,使右边的
图 6-19
Active Directory
用户和计算机窗口
窗格中列出相应的
内容,然后单击
,管理, 超级连接,
打开, Active
Directory用户与计
算机, 管理窗口,
如图 6-19所示。
6.3.1 设置域控制器属性( 2)
2.在控制台目录树中,双击展开域节点。单击 Domain Computers子节点。
图 6-20
设置域控制器属性
3.在详细资料窗格中,右击要设
置属性的域控制器,从弹出的快
捷菜单中选择, 属性,,打开该
控制器的, 属性, 对话框,如图
6-20所示。
6.3.1 设置域控制器属性( 3)
4.在“常规”选项卡的“描述”文本框中输入对域控制器
的一般描述。如果不希望域控制器的可受信任用来作为委
派,可禁用“信任计算机作为委派”复选框。
5.选择, 操作系统, 选项卡,在该选项卡中,显示出操作
系统的名称,版本以及 Service Pack,管理员只能查看并
不能修改这些内容。
6.3.1 设置域控制器属性( 4)
6.选择如图 6-21所示的
,成员属于, 选项卡,要
添加组,单击, 添加, 按
钮,打开, 选择组, 对话
框为域控制器选择一个要
添加的组;要删除某个已
经添加的组,在, 成员属
于, 列表框选择该组,然
后单击, 删除, 按钮即可。
图 6-21
设置成员组
6.3.1 设置域控制器属性( 5)
7.当管理员为域控制器添加多个组时,还可为域控制
器设置一个主要组。要设置主要组,在, 成员属于, 列表
框中选择要设置的主要组,一般为 Domain Controllers,
也可为 Cert Publishers,然后单击, 设置主要组, 按钮即
可。
8.选择, 位置, 选项卡,可以设置域控制器的位置。
9.选择, 管理者, 选项卡,要更改域控制器的管理者,
可单击, 更改, 按钮,打开, 选择用户或联系人, 对话框,
选择新的管理人即可。要删除管理者,可单击, 清除, 按
钮来删除;要查看和修改管理者属性,可单击, 查看, 按
钮,打开该管理者属性对话框来进行操作。
10,域控制器设置完毕,单击, 确定, 按钮保存设置。
6.3.2 查找域控制器目录内容 ( 1)
在 Windows 2000中,活动目录实际上是一个网络清单,包括网络中的
域、域控制器、用户、计算机、联系人、组、组织单位及网络资源等各个
方面的信息,使管理员可以方便查找这些内容。要查找目录内容,可参照
如下步骤,
图 6-22
“查找用户联系人
及组, 对话框图
1.在, Active
Directory用户和计算机,
窗口的控制台目录树中,
鼠标右击域节点,在弹
出的快捷菜单中选择
,查找, 命令,打开
,查找用户联系人及组,
对话框,如图 6-22所示。
6.3.2 查找域控制器目录内容 ( 2)
2.在, 查找, 下拉列表框中可以选择要查找的目录内容,包括, 用户、联
系人及组,,, 计算机,,, 打印机,,, 共享文件夹,,, 组织单位,,
,自定义搜索, 等。
图 6-23
列出查找结果
例如,在列表中选择
“计算机”,如图 6-23
所示。在“范围”下拉
列表框中选择查找范围,
如整个目录。
6.3.2 查找域控制器目录内容 ( 3)
3.在“计算机”选项卡中,设置查找条件。例如,在“计
算机”文本框中输入要查找的计算机名,在“所有者”文
本框中输入计算机的用户名,在“作用”下拉列表框中选
择计算机在网络中作用。
4.单击, 高级, 选项卡,要设置高级查找条件,单击, 字
段, 按钮,从弹出的快捷菜单中选择设置条件的选项,然
后在, 条件, 下拉列表框和, 值, 文本框中设置条件。
5.高级条件设置好之后,单击, 添加, 按钮,将条件添加
到下面的文本框中。如果要继续添加高级条件,可按照上
面步骤继续添加。
6.所有查找条件设置完毕,单击, 开始查找, 按钮即开始
查找,并将查找结果列出,如图 6-23下面窗口所示。
6.3.3 连接到其他域
在一个多域的网络中,用户经常需要将当前域连接到其他域,这样
可使当前域中的用户和计算机访问其他域中的资源,也可将当前域控
制器的部分操作主机功能传送给其他域控制器,甚至可将当前域控制
器更改为其他域中的域控制器。
要连接到网络中其他域,在控制台目录树中,右击, Active
Directory用户和计算机, 根结点,从弹出的快捷菜单中选择, 连接
到域, 命令,打开如图 6-24所示的, 连接到域, 对话框,在, 域, 文
本框中输入要连接的域的名称;或者单击, 浏览,,打开, 浏览域,
对话框选择要连接的域,单击, 确定, 即可建立连接。
图 6-24 连接到其他域
6.3.4 更改域控制器 (1)
一个域的控制器是域网络的中心,一旦它出现故障,
将导致域网络不能正常运行,此时管理员必须及时更改域
控制器,以保证网络的正常运作。在 Windows 2000中,由
于不再区分主域控制器和辅助域控制器,域控制器的更改
变得更加简单,管理员只须建立当前域与其他任何可写的
域控制器的连接即可。
要更改域控制器, 在控制台目录树中, 右击, Active
Directory用户和计算机, 根节点, 从弹出的快捷菜单中
选择, 连接到域控制器,, 打开如图 6-25所示的, 连接到
域控制器, 对话框 。
6.3.4 更改域控制器 (2)
在, 更改为, 文本框中输入要连接的域控制器;或者从域控制器列
表中选择一个要连接的域控制器。如果在域中没有列出其他可用的域控
制器,可选择, 任何可写的域控制器, 选项,系统会根据网络连接情况
自动选择可用的域控制器。要连接的域控制器选定之后,单击, 确定,
按钮完成连接。
图 6-25
连接到域控制器
6.4 用户和计算机账户管理
在一个网络中,用户和计算机都是网络的主体,两者缺
一不可。拥有计算机账户是计算机接入 Windows网络的基础,
拥有用户账户是用户登录到网络并使用网络资源的基础,因
此用户和计算机账户管理是 Windows网络管理中最必要且最
经常的工作。
6.4.1 用户和计算机账户简介
活动目录用户和计算机账户表示诸如计算机或个人等物理
实体。账户为用户或计算机提供安全凭据,以便用户和计算机
能够登录到网络并访问域资源。活动目录的账户主要用于:验
证用户或计算机的身份;授权对域资源的访问;审核用户或计
算机账户所执行的操作等。
一、用户账户
用户账户是用来记录用户的用户名和口令、隶属的组、可
以访问的网络资源,以及用户的个人文件和设置。每个用户都
应在域控制器中有一个用户账户,才能访问服务器,使用网络
上的资源。
二、计算机账户
每个加入域的 Windows 2000和 Windows NT计算机都具有计
算机账户,否者无法进行域连接,实现域资源的访问。
6.4.2 创建用户和计算机账户 (1)
用户账户的创建可参照如下步骤,
1.在, Active Divectory用户和计算机, 窗口的控制台目录树中,双击
展开域节点。
图 6-26
新建用户
2.如果要创建用户账户,
鼠标右击要添加用户的
组织单位或容器,从弹
出的快捷菜单中选择
,新建, /“用户,,打
开如图 6-26所示的对话
框。若要创建计算机账
户,则从弹出的快捷菜
单中选择, 新建, /“计
算机, 。
6.4.2 创建用户和计算机账户 (2)
3.在, 姓, 和, 名, 文本框中分别输入姓和名,并在, 用户登录名, 文本
框中输入用户登录时使用的名字。
4.单击, 下一步,,打开如图 6-27所示的对话框。
图 6-27
密码设置
5.在, 密码, 和, 确认
密码, 文本框中输入要
为用户设置的密码。如
果希望用户下次登录时
更改密码,可选择, 用
户下次登录时须更改密
码,,否则选择, 用户
不能更改密码, 。如果
希望密码永远不过期,
可选择, 密码永不过
期, 。如果暂不启用该
用户账户,可选择, 账
户已停用, 。
6.4.2 创建用户和计算机账户 (3)
6.单击“下一步”按钮即可完成创建。
创建计算机账户方法同上,只需在上述第 2步中选择
,计算机,,在弹出的对话框中输入该计算机的名称,
单击, 确定, 即可
6.4.3 删除用户和计算机账户
当系统中的某一个用户账户不再被使用或者管理员不再
希望某个用户账户存在于安全域中时,可将该用户账户删
除。另外,在网络的使用中,当域中的某个计算机断开了
与网络的连接,或者管理员不再希望某个计算机存在于自
己的安全域中时,可将该计算机的计算机账户从域控制器
中删除,以防有其他计算机假借原来的计算机使用域中的
网络资源。
要删除一个用户和计算机账户,在控制台目录树中,展
开域节点。单击要删除的用户或者计算机所在的组织单位
或容器,在详细资料窗格中右击要删除的用户或者计算机,
从弹出的快捷菜单中选择, 删除,,出现信息确认框后,
单击, 是, 即可删除该用户或者计算机。
6.4.4 停用用户和计算机账户
如果某个用户的账户暂时不使用,可将其停用。例如,
单位有长期出差人员,可暂停其账户的使用。如果某个计
算机账户暂时不使用,也可将其停用。例如,单位有计算
机因故障而不能在短时间内使用,可将该计算机的账户停
用。停用账户的目的是防止其他用户或者计算机使用暂时
不使用的账户进行域登录。账户被停用之后,当该用户或
者计算机需要重新使用已被停用的账户时,管理员重新启
用该账户即可。
停用用户账户,在控制台目录树中,展开域节点。单
击要停用的用户账户或者计算机所在的组织单位或容器,
在详细资料窗格中,右击要停用的用户或者计算机账户,
从弹出的快捷菜单中选择, 停用账户, 命令,出现信息确
认框后,单击, 是, 按钮即可停用被选用户或者计算机账
户。
6.4.5 移动用户和计算机账户
要移动用户和计算机账户, 在控制台目录树中, 展开域节点 。
单击要移动用户或者计算机账户所在的组织单位或容器, 在详细资
料窗格中, 鼠标右击要移动的用户账户, 从弹出的快捷菜单中选择
图 6-28
移动账户
“移动,,打开, 移动, 对话框,
在, 将对象移动到容器, 对话框
中双击域节点,展开该节点,如
图 6-28所示。单击移动的目标组
织单位,然后单击, 确定, 即可
完成移动。
6.4.6 为用户和计算机账户添加组
要为用户账户添加组, 在控制台目录树中, 展开域节点, 接着单击要
加入组的用户所在的组织单位或容器, 在详细资料窗口中, 鼠标右键单击
该用户账户, 从弹出的快捷菜单中选择, 将成员添加到组,, 打开如图 6-
29所示的, 选择组, 对话框, 在组列表框中选择一个要添加的组, 单击
,确定, 按钮即可为用户添加组 。
要为计算机账户添加组, 在控制台目录树中, 展开域节点, 接着单击
Computers或者要加入组的计算机所在的组织单位及容器, 在详细资料窗口
中, 鼠标右键单击该计算机账户, 从弹出的快捷菜单中选择, 属性, 命令,
打开该计算机的属性对话框 。 然后单击, 成员属于, 标签, 打开, 成员属
于, 选项卡, 单击, 添加, 按钮, 打开, 选择组, 对话框选择要加入的组,
单击, 确定, 按钮完成添加 。
图 6-29
为用户添加组
6.4.7 重设用户密码
用户密码是用户在进行网络登录时所采用的最重要的
安全措施,所以当用户密码被别人盗用或者用户感到有必
要修改自己的密码时,管理员可以通过 Windows 2000提供
的修改密码工具对用户使用的旧密码进行重新设置。在设
置密码时,应使密码与用户所在的组织单位和用户账户的
各种信息保持一致性,以方便用户记忆。
要重新设置用户密码,在控制台目录树中,展开域节
点。然后单击包含要重新设置密码的用户的组织单位或容
器,在详细资料窗口中,鼠标右键单击该用户账户,从弹
出的快捷菜单中选择, 重设密码,,打开, 重设密码, 对
话框,在, 新密码, 和, 确认密码, 文本框中输入要设置
的新密码。如果允许用户更改密码,可选择, 用户下次登
录时须更改密码, 复选框。单击, 确定, 按钮保存设置,
同时系统会打开确认信息框,单击, 确定, 按钮可完成设
置。
6.4.8 管理客户计算机
管理客户计算机是 Windows 2000网络的强大功能之一,
它允许管理员通过域控制器直接管理网络中的客户计算机,
这样不但加强了域控制器的作用,而且有利于用户对网络
的管理和维护。不过,通过域控制器直接管理的计算机所
运行的系统必须是 Windows 2000或 Windows NT系统,安装
Windows 95/98或者其他系统的计算机不能被直接管理。
要管理客户计算机,在控制台目录树中,展开域节点。
然后单击要管理的计算机所在的组织单位,鼠标右键单击
该计算机,从弹出的快捷菜单中选择, 管理, 命令,打开
该计算机的计算机管理窗口。在该窗口中,管理员可以对
连接的计算机进行系统工具、存储、服务器应用程序和服
务等方面的管理。例如可以对该计算机上的用户进行管理。
管理工作处理完毕,关闭窗口即可。
6.5 组和组织单位的管理 (1)
组是 Windows 2000从 Windows NT系统继承下来的安
全管理形式,它是指活动目录或本地计算机对象,包含用
户、联系人、计算机和其他组等。在 Windows 2000中,组
可以用来管理用户和计算机对网络资源的访问,还可以筛
选组策略。使用组,方便了管理访问目的和权限相同的一
系列用户和计算机账户。
管理员在赋予用户或计算机账户权限时,如果它们的
权限各不相同,必须分别为它们设置;如果它们的权限相
同,就可以将这些用户或计算机划归到一个组中,使这些
用户成为该组的成员,然后通过赋予该组权限来使这些用
户或计算机都具有了相同的权限。
6.5 组和组织单位的管理 (2)
组织单位( Organizational Unit,OU)是域中包含的一类
目录对象,它包括域中一些用户、计算机和组、文件与打印机
等资源。不过,组织单位不能包含其他域中的对象。组织单位
的分层结构可用来建立域的分层结构模型,使用户把网络所需
的域的数量减至最小。
组织单位具有继承性,子单位能够继承父单位的访问许可
权。域管理员可使用组织单位来创建管理模型,该模型可调整
为任何尺寸。而且,域管理员可授予用户对域中所有组织单位
或单个组织单位的管理权限。
注意,组主要用于权限设置, 而组织单位则主要用于网络构建;
另外, 组织单位只表示单个域中的对象集合 ( 可包括组对象 ),
而组可以包含用户, 计算机, 本地服务器上的共享资源, 单个
域, 域目录树或目录林 。
6.5.1 创建新组和组织单位 (1)
要创建新组,在控制台目录树中,展开域节点。鼠标右
键单击要进行组创建的组织单位或容器,从弹出的快捷菜单
中选择, 新建, /“组, 命令,打开如图 6-30所示的对话框,
在, 组名, 文本框中输入要创建的组名。在, 组作用域, 选
项区域中,选择单选按钮来确定组的作用域;在, 组类型,
选项区域中,通过单选按钮来选择新组的类型。单击, 确定,
按钮即完成组的创建。
要添加组织单位, 在控制台目录树中, 展开域节点 。 鼠
标右键单击域节点或者可添加组织单位的文件夹节点, 从弹
出的快捷菜单中选择, 新建, /“组织单位, 命令, 在打开的
对话框的, 名称, 文本框中输入新创建组织单位的名称, 单
击, 确定, 即可 。
6.5.1 创建新组和组织单位 (2)
图 6-30 创建组
6.5.2 删除组和组织单位
活动目录中的组和组织单位太多会影响管理员对用户和
计算机账户的管理, 此时, 管理员可以对自己创建的组和组
织单位进行清理 。 例如, 当目录中有长期不使用的组或者是
不符合网络安全的组, 可将其删除 。 当域中的某个组织单位
中所包含的用户, 计算机, 联系人和组织单位等已经被删除
或因为其他原因而不再发挥作用时, 也可将其删除 。 不过,
管理员只能删除自己创建的组和组织单位, 而不能删除由系
统提供的内置组和组织单位 。
要删除组和组织单位, 在控制台目录树中, 展开域节点 。
单击要删除的组或组织单位所在的组织单位, 详细资料窗格
中会列出该组织单位的内容 。 然后鼠标右键单击要删除的组
或组织单位, 选择快捷菜单中, 删除, 命令, 这时系统会打
开信息确认框, 单击, 是, 按钮即完成组或组织单位的删除 。
6.5.3 委派控制组或组织单 位 (1)
如果对某个组或组织单位进行委派控制,可参照下面的步骤,
1.在, Active Directory用户与计算机, 窗口的控制台目录
树中,双击展开域节点。
2.鼠标右键单击要委派控制的组织单位或组节点,例如 Users,
从弹出的快捷菜单中选择, 委派控制, 命令,进入, 控制委
派向导, 窗口,单击, 下一步, 按钮。
3.在打开如图 6-31所示的, 组或用户选择, 对话框中,单击
,添加, 按钮,打开, 选择用户、计算机或组, 对话框,选
择一个或多个要委派控制的用户,也可选择一个或多个要委
派控制的组。从图中可以看出,选择了, 计算中心, 组。
6.5.3 委派控制组或组织单 位 (2)
图 6-31选择用户和组
6.5.3 委派控制组或组织单 位 (3)
5.单击, 下一步, 按钮,打开如图 6-32所示,指定委派任务范围。如果要
委派的对象为整个文件夹,可选择, 这个文件夹,,如果要委派的对象只
是文件夹中的对象,可选择, 文件夹中的对象,,并在, 对象类型, 列表
框中通过复选框来选择对象。
图 6-32
定义要委派控制任务
6.5.3 委派控制组或组织单 位 (4)
6.单击, 下一步, 按钮,打开, 权限, 对话框,如图 6-33所示。通过选择
,要委派的权限, 复选框来选择要委派的权限,例如选择, 读取,,, 创
建所有子对象, 等复选框设置相应权限。
图 6-33
指定委派权限
7.单击, 下一步, 按
钮,打开, 完成控制
委派向导, 对话框,
单击, 完成, 按钮,
结束委派设置。
注意,对不同资源
进行控制委派,配置
向导有所不同。
6.5.4 设置组织单位属性 (1)
组织单位除了有利于网络扩展外,另一大优点是它
在管理方面的方便性和安全性,但是,如果不根据组织
单位的实际情况设置其属性,是很难发挥这个优点的。
所以,用户在创建组织单位之后,必须根据需要设置组
织单位属性。通过设置组织单位的属性,不但可以指定
组织单位的管理者和常规属性,也可为组织单位创建组
策略。要设置组织单位的属性,可参照下面的步骤。
6.5.4 设置组织单位属性 (2)
1.在控制台目录树中,鼠标右键单击要设置属性的组织单位,从弹出的快捷
菜单中选择, 属性, 命令,打开该组织单位的属性对话框,如图 6-34所示。
图 6-34
设置属性
2.在, 常规, 选项卡中,可以
设置, 描述,,, 省 /自治
区,,, 县市,,, 街道, 和
,邮政编码, 等计算机和用户
常规信息。
6.5.4 设置组织单位属性 (3)
3.选择, 管理者, 选项卡,单击, 更改, 按钮,打开, 选择用户或联系人,
对话框选择一个用户或联系人作为管理者;管理者更改之后,单击, 查看,
按钮,
图 6-35
管理组策略
可打开所更改的管理者的
属性对话框,管理员可对
管理者的属性进行修改,
如果要清除管理者,单击
,清除, 按钮即可。
6.5.4 设置组织单位属性 (4)
4.单击, 组策略, 选项卡,如图 6-35所示。要新建一个组策略对象,单击
,新建, 按钮,在, 组策略对象链接, 列表框中会出现一个新的组策略对
象,在其名称文本框中为新策略输入一个有意义的名称。
图 6-36
编辑组策略
6.5.4 设置组织单位属性 (5)
5.单击, 编辑, 按钮,会打开如图 6-36所示的, 组策略,
窗口。在该窗口中,管理员可对创建的组策略进行编辑,
包括计算机配置和用户配置两个方面。如图所示可以对
计算机配置中的, 登录, 策略进行编辑。编辑完毕,关
闭窗口。
6.要设置某个组策略对象的属性,在图 6-35中组策略对
象链接列表中选择对象,单击, 属性, 按钮,打开该对
象属性对话框,进行, 常规,,, 链接, 和, 安全, 方
面的设置。
7.在列表中,不同位置的组策略对象具有不同的优先级,
较高位置的组策略对象比较低位置的组策略对象优先级
高。所以,管理员可以改变组策略对象在列表中的位置
来决定组策略对象的应用级别。要改变某个组策略对象
在列表中的位置,选择该对象,单击, 向上, 或, 向下,
按钮即可上移或下移该对象。
6.5.4 设置组织单位属性 (6)
8.如果要删除某个组策略对象,在列表中选择该对象,然
后单击, 删除, 按钮即可。
9.用户要配置某个组策略对象的选项,在如图 6-35组策略
链接列表中选择对象,单击, 选项, 按钮,打开该组策略
对象的选项对话框,如图 6-37所示。
10.在, 链接选项, 选项区域中,选择, 没有替代, 复选框,
可防止其他组策略对象替代这个组对象中的策略集;启用
,被禁用, 复选框,可暂时禁用该策略,需要启用时,禁
用, 被禁用, 复选框即可。然后单击, 确定, 按钮返回到
组策略选项卡。
11,如果要防止组策略被下一级组织单位所继承,可启用
“阻止策略继承”复选框(见图 6-35)。最后单击“关闭”
按钮保存属性设置。
6.5.4 设置组织单位属性 (7)
图 6-37 配置组策略对象选项
6.5.5 设置组属性( 1)
一个新组被用户创建好之后,系统并没有设置该组常规
属性和权限,也没有为其指定组成员和管理者,该组几乎不
发挥任何作用。如果要充分发挥组对用户和计算机账户的管
理作用,用户必须设置该组的属性,具体步骤如下。
1.在控制台目录树中单击要设置属性的组所在的组织单位或
容器,在详细资料窗口中,鼠标右键单击要添加成员的组,
从弹出的快捷菜单中选择, 属性, 命令,打开该组的属性对
话框,如图 6-38所示。
2.为了便于管理,在, 描述, 和, 注释, 文本框中分别输入
有关该组的描述和注释;可以修改组名称;为了便于组管理
员与组成员交换信息,在, 电子邮件, 文本框中输入组管理
员的电子邮件地址。
6.5.5 设置组属性( 2)
图 6-38 设置常规属性
6.5.5 设置组属性( 3)
3.单击, 成员, 选项卡,如图 6-39所示。要添加成员,
单击, 添加,,打开, 选择用户联系人或计算机, 对话框选
择要添加的成员。要删除组成员,在, 成员, 列表框中选择
要删除的组成员,然后单击, 删除, 即可。
4.因为用户主要是通过向新组添加内置组来设置新组的
权限的,所以要设置组权限,选择, 成员属于, 选项卡,单
击, 添加,,打开, 选择组, 对话框,为自己创建的组选择
内置组。要删除某个组权限,在, 成员属于, 列表框中选择
该组,单击, 删除, 即可。
5.要设置组的管理者,选择, 管理者, 选项卡。要更改
组管理者,单击, 更改, 按钮,打开, 选择用户或联系人,
对话框选择管理者;要查看管理者的属性,单击, 查看, 按
钮进行查看;如果要清除管理者对组的管理,单击, 清除,
按钮即可。
6.属性设置完毕,单击, 确定, 按钮保存设置并关闭属
性对话框。
6.5.5 设置组属性( 4)
图 6-38 添加成员到组
6.6 资源发布和域的管理
6.6.1 资源发布的管理( 1)
一, 资源的发布
1,公布共享文件夹的步骤如下,
( 1) 打开, Active Directory用户和计算机, ;
( 2) 在控制台树中, 双击, 域节点, ;
图 6-40
设置共享文件夹
( 3)鼠标右键单击想在
其中添加共享文件夹的文
件夹,指向“新建”并单
击“共享文件夹”对话框,
如图 6-40所示;
( 4)键入文件夹的名称;
网络路径;
( 5)单击“确定”按钮
完成操作。
6.6.1 资源发布的管理( 2)
2,公布 Windows NT打印机的步骤如下,
( 1) 打开, Active Directory用户和计算机, ;
( 2) 在控制台树中, 双击, 域节点, ;
( 3) 在控制台树中, 鼠标右键单击想在其中公布打印机的文件夹,
图 6-40
设置共享打印机路径
指向, 新建,, 并单
击, 打印机, ;
( 4)键入网络路径,
如图 6-41所示。
6.6.1 资源发布的管理( 3)
二, 资源的查找
若要进行自定义搜索, 可参照如下步骤,
( 1) 打开, Active Directory用户和计算机, ;
( 2) 在控制台树中用右键单击, 域节点,, 然后单击, 查找, ;
( 3) 在, 查找, 中单击, 自定义搜索, ;
( 4)单击“字段”,选择要搜索的对象种类,然后单击要为其指定
搜索值的对象的属性;
( 5)在“条件”中单击搜索的条件;
( 6)在“值”中键入要应用搜索条件的属性值;
( 7)单击“添加”,将该搜索条件添加至自定义搜索;
( 8)重复第( 4)步至第( 7)步,直到添加完所需的全部搜索条件
为止;
( 9)单击, 开始查找, 按钮。
6.6.2 域的管理( 1)
一, 更改域模式
( 1) 打开, Active Directory域和信任关系, ;
( 2) 鼠标右键单击你想要管理的域的, 域节点,, 然后单击, 确定, ;
图 6-42
更改域模式
( 3)在如图 6-42所示“常规”选项
卡上单击“更改模式”,然后单击
“确定”。
注意,域模式的更改是不可逆的,
只能将模式从混合模式更改为本机
模式,一旦域以本机模式运行后,
就不能在再回到混合模式了。所以,
如果已经或即将有 Windows域控制器,
请不要更改域模式。
6.6.2 域的管理( 2)
二, 创建明确的域信任 ( 或者称信任的快捷方式 )
图 6-43,信任, 选项卡
( 1)打开,Active Directory域
和信任关系”;
( 2)在控制台树中,鼠标右键
单击要管理的域的域节点,然后
单击“属性”;
( 3)单击“信任”选项卡,如
图 6-43所示;
( 4)根据需要,单击“受此域
信任的域”或“信任此域的域”,
再单击“添加”;
( 5)如果要添加的域是
Windows 2000域,则键入域的
DNS全名。
注意,密码必须是信任域和被信
任域双方都接受的。
6.6.2 域的管理( 3)
三, 验证信任关系
1,打开, Active Directory域和
信任关系, ;
2,在控制台树中, 用鼠标右键
单击要验证的信任关系所涉
及的一个域, 然后单击, 属
性, 对话框;
3,单击, 信任, 选项卡;
4,在, 受此域信任的域, 或
,信任此域的域, 中, 单击
要验证的信任关系, 然后单
击, 编辑,, 其结果如图 6-
44所示;
5,单击, 验证, 按钮 。 图 6-43
单击, 编辑, 后的
对话框选项
6.6.2 域的管理( 4)
四, 撤销信任关系
1,打开, Active Directory域和信任关系, ;
2,在控制台树中, 鼠标右键单击要撤销的信任关系所涉
及的一个域节点, 然后单击, 属性, 对话框;
3,单击, 信任, 选项卡;
4,在, 受此域信任的域, 或, 信任此域的域, 中, 单击
要撤销的信任关系, 然后单击, 删除, ;
5,对于此信任关系中涉及的其他域, 重复该过程 。
注意,不能撤销树林中不同域之间默认的双向可传递信
任关系 。 但可删除明确创建的快捷信任关系 。
思 考 题
1,Active Directory的优点是什么? 如何安装 Active Directory?
2,在 Active Directory安装结束后, 如何检验 Active Directory安装是否正确?
3,不同的组对网络性能具有哪些影响?
4,如何限制用户由某台客户机在某个特定时段登录?
5,组织单位的委派控制有何意义?
6,如何实现域间信任?
7,将用户账户, 计算机账户添加到组中作用有何不同?