第 5章 活动目录
学习目标
? 活动目录的基本概念
? 活动目录的规划与安装
? 域控制器的管理
? 用户账户和计算机账户的管理
? 组和组织单位的管理
? 资源发布和域的管理
5.1 概 述
5.1.1 活动目录简介
5.1.2 活动目录的三种特性
? 集成性
? 深入性
? 易用性
5.2 安装活动目录
5.2.1 活动目录的规划
?规划 DNS
?规划域结构
?规划组织单位结构
?规划委派模式
5.2.2 安装活动目录( 1)
安装活动目录具体步骤如下:
步骤一,启动 Windows Server 2003系统自动打开, Server 2003配置服务器, 窗口,或者选择, 开始, /“程序, /“管理工
具, /“配置服务器,,打开如图 5-1所示配置服务器向导窗口。
步骤二,单击, 下一步,,出现一个配置服务器向导的预备步骤
窗口,以确认所提到的步骤已完成。单击, 下一步,,出现检
测网络设置窗口,如图 5-2所示。
步骤三,接下来出现配置选项窗口,我们选择, 自定义配置, 选
项,单击, 下一步,,出现服务器角色窗口,也就是你想让你
的服务器担任的角色,我们从列表中选择, 域控制器, 。如图
5-3所示。单击, 下一步, 按钮,出现确认窗口,以确认选择
了正确角色。单击, 下一步,,出现, Active Directory安装
向导窗口,,如图 5-4所示。
也可省去前面步骤,直接通过“开始” /“运行”,打开“运行”对
话框,输入 dcpromo命令,单击“确定”按钮,打开如图 5-4所
示的对话框。
图 5-1,Server 2003配置服务器”窗口 图 5-2 显示活动目录内容
5.2.2 安装活动目录( 2)
5.2.2 安装活动目录( 3)
步骤四,单击, 下一步,,打开, 操作系统兼容性, 对话框。其大
意是早期的 Windows版本无法登录 Windows Server 2003创建的域。
图 5-3 服务器角色配置窗口
5.2.2 安装活动目录( 4)
步骤五,单击, 下一步,,, Active Directory安装向导, 会询问
新建的域控制器的性质,如图 5-5,我们选择, 新域的域控制器, 。
图 5-4 Active Directory安装向导窗口
5.2.2 安装活动目录( 5)
步骤六,单击, 下一步,,打开如图 5-6所示的, 创建一个新域, 对话框,如果
所创建的域为单位的第一个域,或者希望所创建的新域独立于现有目录林,可选
择, 新林中的域, 。如果希望新的域成为现有域的子域,则选择, 现有域中的子
域, 。如想创建一个与现有域树分开的、新的域树,则选择, 在现有林中的域
树, 。这里我们选择, 新林中的域, 。
图 5-5 选择域控制器的类型 图 5-6 选择创建域的类型
5.2.2 安装活动目录( 6)
步骤七,单击“下一步”,打开如图 5-7所示的指定域名对话框,在“新
域的 DNS全名”文本框中输入新建域的 DNS全名,例如 wgzx.edu.cn。
步骤八,单击“下一步”,打开如图 5-8所示的,NetBIOS域名”对话框,
在“域 NetBIOS名”文本框中输入 NetBIOS域名,或者接受显示的名称。
NetBIOS域名是供早期的 Windows用户用来识别新域的。
图 5-7 指定新域名 图 5-8 指定 NetBIOS
5.2.2 安装活动目录( 7)
步骤九,单击, 下一步,,打开如图 5-9所示的, 数据库和日志文件
文件夹, 对话框,在, 数据库文件夹, 文本框中输入保存数据库的位
置,或者单击, 浏览, 按钮选择路径,在, 日志文件夹, 文本框中输
入保存日志的位置或单击, 浏览, 按钮选择路径。
注意,基于最佳性和可恢复性的考虑,最好将活动目录的数据库和日
志保存在不同的硬盘上。
步骤十,单击, 下一步,,打开如图 5-10所示的, 共享的系统卷, 对
话框,在 Server 2003中,Sysvol文件夹存放域的公用文件的服务器
副本,它的内容将被复制到域中的所有域控制器上。在, 文件夹位置,
文本框中输入 Sysvol文件夹位置,如本例中对应文件夹为
c:\WINNT\SYSVOL,或单击, 浏览, 按钮选择路径。
步骤十一,单击“下一步”,会出现,Active Directory安装向导”的
DNS注册诊断程序对话框,如图 5-11。我们选择“在这台计算机上安
装并配置 DNS服务器,并将这台 DNS服务器设为计算机的首选 DNS服
务器”。
5.2.2 安装活动目录( 8)
图 5-9 指定活动目录的数据库和日志文件的文件夹
图 5-10 指定系统卷共享文件夹
5.2.2 安装活动目录( 9)
步骤十二, 单击, 下一步,, 打开如图 5-12所示的, 权限, 对话框, 为用户和
组选择默认权限, 如果单位中还存在或将要用 Windows 2000的以前版本, 选择
,与 Windows 2000之前的服务器操作系统兼容的权限, 。 否则, 选择, 只与
Windows 2000或 Windows Server 2003操作系统兼容的权限, 。
图 5-11 DNS注册诊断 图 5-12 权限设置
5.2.2 安装活动目录( 10)
步骤十三,单击“下一步”,打开“目录服务还原模式的管理员密码”对
话框,如图 5-13所示,输入并牢记该密码,以备将来目录服务还原模式下使
用。
步骤十四,单击, 下一步,,打开, 摘要, 对话框,如图 5-14所示。通过
该对话框,用户可检查并确认设置的各个选项。
图 5-13 输入目录服务恢复模式管理员密码 图 5-14 确认选定的选项
步骤十五,单击, 下一步,,系统开始配置活动目录,中间将需要 Windows
Server 2003 安装光盘,如图 5-15所示。此时如果将 2003光盘放入光驱,系统会
自动完成对 DNS服务器得配置。
步骤十六,经过几分钟之后,配置完成。同时,打开, 完成 Active Directory
安装向导, 对话框,如图 5-16所示,单击, 完成,,即完成活动目录的安装。
图 5-15 配置活动目录 图 5-16 完成活动目录的安装
5.2.2 安装活动目录( 11)
5.2.2 安装活动目录( 12)
活动目录安装完成之后,必须重新启动计算机,活动目录才会生效。
注意:在活动目录安装之后,不但服务器的开机和关机时间变长,而且系统
的执行速度变慢。所以,如果用户对某个服务器没有特别要求或不把它作为域
控制器来使用,可将该服务器上的活动目录删除,使其降级为成员服务器或独
立服务器。
成员服务器是指安装到现有域中的附加域控制器;独立服务器是指在名称空
间目录树中直接位于另一个域名之下的服务器。删除活动目录使服务器成为成
员服务器还是独立服务器,取决于该服务器的域控制器的类型。如果要删除活
动目录的服务器不是域中的唯一的域控制器,则删除活动目录将使该服务器成
为成员服务器;如果要删除活动目录的服务器是域中最后一个域控制器,则删
除活动目录将使该服务器成为独立服务器。
要删除活动目录,打开, 开始, 菜单,选择, 运行, 命令,打开, 运行, 对
话框,输入 dcpromo命令,然后单击, 确定, 按钮,打开, Active Directory
安装向导, 对话框,并沿着向导进行删除,这里不再细述其过程。
5.2.3 检验安装结果
在安装完成后, 可以通过以下方法检验 Active Directory安装是否正确, 在安
装过程中一项最重要的工作是在 DNS数据库中添加服务记录 ( SRV记录 ),
下面介绍一下如何检查安装结果 。
1,检查 DNS文件的 SRV记录 。
用文本编辑器打开 %SystemRoot%/system32/config/中的 Netlogon.dns文件, 察
看 LDAP服务记录, 在本例中为 _ldap._tcp.wgzx.edu.cn,600 IN SRV 0 100 389
shenlan.wgzx.edu.cn。
2,验证 SRV记录在 NSLOOKUP命令工具中运行是否正常 。
( 1) 在命令提示行下, 输入 NSLOOKUP;
( 2) 输入 set type=srv;
( 3) 输入 _ldap._tcp.wgzx.edu.cn。
如果返回了服务器名和 IP地址,说明 SRV记录工作正常。
5.3 域控制器管理
域( Domain)是活动目录的分区,定义了安全边界,在没经过授权的情况下,
不允许其他域中的用户访问本域中的资源。活动目录可由一个或多个域组成,
每一个域可以存储上百万个对象,域之间还有层次关系,可以建立域树和域林,
如图 5-17,5-18所示,进行无限地域扩展。图中的双箭头表示域之间的信任关
系,Server 2003中域的信任关系都是双向和可传递的。
r o o t, c o m
c h i l d, r o o t, c o m
g r a n d c h i l d, c h i l d, r o o t, c o m
r o o t, c o m
c h i l d, r o o t, c o m
g r a n d c h i l d, c h i l d, r o o t, c o m
1, c o m
2, 1, c o m
3, 2, 1, c o m
域的信任关系
2, 2, c o m
图 5-17 域树 图 5-18 域林
5.3.1 设置域控制器属性( 1)
设置域控制器属性,具体步骤如下:
步骤一,选择, 开始, /“程序, /“管理工具, /“Active Directory用户与
计算机, 菜单,打开, Active Directory用户与计算机, 管理窗口,如
图 5-19所示。
步骤二,在控制台目录树中,双击展开域节点。单击 Domain Controllers
子节点。
步骤三,在详细资料窗格中,右击要设置属性的域控制器,从弹出的快捷
菜单中选择, 属性,,打开该控制器的, 属性, 对话框,如图 5-20所示。
步骤四,在, 常规, 选项卡的, 描述, 文本框中输入对域控制器的一般描
述。如果不希望域控制器的可受信任用来作为委派,可禁用, 信任计算
机作为委派, 复选框。
步骤五,选择, 操作系统, 选项卡,在该选项卡中,显示出操作系统的名
称、版本以及 Service Pack,管理员只能查看并不能修改这些内容。
步骤六,选择如图 5-21所示的, 隶属于, 选项卡,要添加组,单击, 添加,
按钮,打开, 选择组, 对话框为域控制器选择一个要添加的组;要删除
某个已经添加的组,在, 成员属于, 列表框选择该组,然后单击, 删除,
按钮即可。
5.3.1 设置域控制器属性( 2)
图 5-19 Active Directory用户和计算机窗口
5.3.1 设置域控制器属性( 3)
步骤七,当管理员为域控制器添加多个组时,还可为域控制器设置一个主要
组。要设置主要组,在, 隶属于, 列表框中选择要设置的主要组,一般为
Domain Controllers,也可为 Cert Publishers,然后单击, 设置主要组, 按
钮即可。
步骤八,选择, 位置, 选项卡,可以设置域控制器的位置。
步骤九,选择, 管理者, 选项卡,要更改域控制器的管理者,可单击, 更改,
按钮,打开, 选择用户或联系人, 对话框,选择新的管理人即可。要删除管
理者,可单击, 清除, 按钮来删除;要查看和修改管理者属性,可单击, 查
看, 按钮,打开该管理者属性对话框来进行操作。
步骤十,域控制器设置完毕,单击, 确定, 按钮保存设置。
5.3.1 设置域控制器属性( 4)
图 5-20 设置域控制器属性 图 5-21 设置成员组
5.3.2 查找域控制器目录内容( 1)
要查找目录内容,可参照如下步骤:
步骤一,在, Active Directory用户和计算机, 窗口的控制台目录树中,鼠
标右击域节点,在弹出的快捷菜单中选择, 查找, 命令,打开, 查找用户联系
人及组, 对话框,如图 5-22所示。
步骤二,在, 查找, 下拉列表框中可以选择要查找的目录内容,包括, 用户
、联系人及组,,, 计算机,,, 打印机,,, 共享文件夹,,, 组织单位,
,,自定义搜索, 等。
例如,在列表中选择“计算机”,如图 5-23所示。在“范围”下拉列表框中
选择查找范围,如整个目录。
步骤三,在“计算机”选项卡中,设置查找条件。例如,在“计算机”文本
框中输入要查找的计算机名,在“所有者”文本框中输入计算机的用户名,在
“作用”下拉列表框中选择计算机在网络中作用。
步骤四,单击, 高级, 选项卡,要设置高级查找条件,单击, 字段, 按钮,
从弹出的快捷菜单中选择设置条件的选项,然后在, 条件, 下拉列表框和, 值
” 文本框中设置查询条件。
5.3.2 查找域控制器目录内容( 2)
步骤五,高级条件设置好之后,单击, 添加, 按钮,将条件添加到下面的文
本框中。如果要继续添加高级条件,可按照上面步骤继续添加。
步骤六,所有查找条件设置完毕,单击, 开始查找, 按钮即开始查找,并将
查找结果列出,如图 5-23下面窗口所示。
图 5-22,查找用户联系人及
组”对话框图
图 5-23 列出查找结果
5.3.3 连接到其他域
在一个多域的网络中,用户经常需要将当前域连接到其他域,这样可使当前域
中的用户和计算机访问其他域中的资源,也可将当前域控制器的部分操作主机功
能传送给其他域控制器,甚至可将当前域控制器更改为其他域中的域控制器。
要连接到网络中其他域,在控制台目录树中,鼠标右击, Active Directory用
户和计算机, 根结点,从弹出的快捷菜单中选择, 连接到域, 命令,打开如图 5-
24所示的, 连接到域, 对话框,在, 域, 文本框中输入要连接的域的名称;或者
单击, 浏览,,打开, 浏览域, 对话框选择要连接的域,单击, 确定, 即可建立
连接。
图 5-24 连接到其他域
注意:一般情况下,一个域网络中至少应有两个域控制器(一个域控制器和一
个附加域控制器),以便在当前域控制器出现故障时,可使用附加域控制器来
代替当前域控制器,保证网络的正常运行。
5.3.4 更改域控制器
要更改域控制器,在控制台目录树中,鼠标右击, Active Directory用户和计算
机, 根节点,从弹出的快捷菜单中选择, 连接到域控制器,,打开如图 5-25所示
的, 连接到域控制器, 对话框。
在, 输入另一个域控制器的名称, 文本框中输入要连接的域控制器;或者从域控
制器列表中选择一个要连接的域控制器。如果在域中没有列出其他可用的域控制
器,可选择, 任何可写的域控制器, 选项,系统会根据网络连接情况自动选择可
用的域控制器。要连接的域控制器选定之后,单击, 确定, 按钮完成连接。
图 5-25 连接到域控制器
5.4 用户和计算机账户管理
5.4.1 用户和计算机账户简介
?用户账户
?计算机账户
5.4.2 创建用户和计算机账户( 1)
用户账户的创建可参照如下步骤:
步骤一,在, Active Directory用户和计算机, 窗口的控制台目录树中,双击
展开域节点。
步骤二,如果要创建用户账户,鼠标右击要添加用户的组织单位或容器,从弹
出的快捷菜单中选择, 新建, /“用户,,打开如图 5-26所示的对话框。
步骤三,在, 姓, 和, 名, 文本框中分别输入姓和名,并在, 用户登录名, 文
本框中输入用户登录时使用的名字。
步骤四,单击, 下一步,,打开如图 5-27所示的对话框。
步骤五,在, 密码, 和, 确认密码, 文本框中输入要为用户设置的密码。如果
希望用户下次登录时更改密码,可选择, 用户下次登录时须更改密码,,否则选
择, 用户不能更改密码, 。如果希望密码永远不过期,可选择, 密码永不过期,
。如果暂不启用该用户账户,可选择, 账户已禁用, 。
步骤六,单击“下一步”按钮即可完成创建。
创建计算机账户方法同上,只需在上述第 2步中选择, 计算机,,在弹出的对
话框中输入该计算机的名称,单击, 确定, 即可。
5.4.2 创建用户和计算机账户( 2)
图 5-26 新建用户 图 5-27 密码设置
5.4.3 删除用户和计算机账户
要删除一个用户和计算机账户,在控制台目录树中,展开域节点。单击
要删除的用户或者计算机所在的组织单位或容器,在详细资料窗格中,鼠标
右击要删除的用户或者计算机,从弹出的快捷菜单中选择, 删除,,出现信
息确认框后,单击, 是, 即可删除该用户或者计算机。
5.4.4 停用用户和计算机账户
停用用户账户,在控制台目录树中,展开域节点。单击要停用的用户账户
或者计算机所在的组织单位或容器,在详细资料窗格中,右击要停用的用户或
者计算机账户,从弹出的快捷菜单中选择, 停用账户, 命令,出现信息确认框
后,单击, 是, 按钮即可停用被选用户或者计算机账户。
5.4.5 移动用户和计算机账户
要移动用户和计算机账户,在控制台目录树中,展开域节点。单击要移动用户或
者计算机账户所在的组织单位或容器,在详细资料窗格中,鼠标右击要移动的用
户账户,从弹出的快捷菜单中选择, 移动,,打开, 移动, 对话框,在, 将对象
移动到容器, 对话框中双击域节点,展开该节点,如图 5-28所示。单击移动的目
标组织单位,然后单击, 确定, 即可完成移动。
图 5-28 移动账户
5.4.6 为用户和计算机账户添加组
要为用户账户添加组,在控制台目录树中,展开域节点,鼠标单击要加入组的用
户所在的组织单位或容器,在详细资料窗口中,鼠标右键单击该用户账户,从弹
出的快捷菜单中选择, 添加到组,,打开如图 5-29所示的, 选择组, 对话框,可
以直接输入组对象的名称,也可以打开, 高级, 选项卡进行查找。然后在组列表
框中选择一个要添加的组,单击, 确定, 按钮即可为用户添加组。
要为计算机账户添加组,在控制台目录树中,展开域节点,鼠标单击, 计算机,
或者要加入组的计算机所在的组织单位及容器,在详细资料窗口中,鼠标右键单
击该计算机账户,从弹出的快捷菜单中选择, 属性, 命令,打开该计算机的属性
对话框。然后单击, 成员属于, 标签,打开, 隶属于, 选项卡,单击, 添加, 按
钮,打开, 选择组, 对话框选择要加入的组,单击, 确定, 按钮完成添加。
图 5-29 为用户添加组
5.4.7 重设用户密码
5.4.8 管理客户计算机
? 要重新设置用户密码,在控制台目录树中,展开域节点。然后单击包含要
重新设置密码的用户的组织单位或容器,在详细资料窗口中,鼠标右键单击该
用户账户,从弹出的快捷菜单中选择, 重设密码,,打开, 重设密码, 对话框,
在, 新密码, 和, 确认密码, 文本框中输入要设置的新密码。如果允许用户更
改密码,可选择, 用户下次登录时须更改密码, 复选框。单击, 确定, 按钮保
存设置,同时系统会打开确认信息框,单击, 确定, 按钮可完成设置。
? 要管理客户计算机,在控制台目录树中,展开域节点。然后单击要管理的
计算机所在的组织单位,鼠标右键单击该计算机,从弹出的快捷菜单中选择
,管理, 命令,打开该计算机的计算机管理窗口。在该窗口中,管理员可以对
连接的计算机进行系统工具、存储、服务器应用程序和服务等方面的管理。例
如可以对该计算机上的用户进行管理。
5.5 组和组织单位的管理
?组是 Server 2003从 Windows 2000系统继承下来的安全管理形式,它是指活动
目录或本地计算机对象,包含用户、联系人、计算机和其他组等。在 Server
2003中,组可以用来管理用户和计算机对网络资源的访问,例如活动目录对象及
其属性、网络共享、文件、目录、打印机队列,还可以筛选组策略。使用组,方
便了管理访问目的和权限相同的一系列用户和计算机账户。
?组织单位( Organizational Unit,OU)是域中包含的一类目录对象,它包括
域中一些用户、计算机和组、文件与打印机等资源。不过,组织单位不能包含其
他域中的对象。由于活动目录服务把域又详细的划分成组织单位,且组织单位中
还可以再划分下级组织单位,因此组织单位的分层结构可用来建立域的分层结构
模型,进而可使用户把网络所需的域的数量减至最小。
注意:组和组织单位有很大的不同。组主要用于权限设置,而组织单位则主要
用于网络构建;另外,组织单位只表示单个域中的对象集合(可包括组对象),
而组可以包含用户、计算机、本地服务器上的共享资源、单个域、域目录树或目
录林。
5.5.1 创建新组和组织单位
要创建新组,在控制台目录树中,展开域节点。鼠标右键单击要进行组创建
的组织单位或容器,从弹出的快捷菜单中选择, 新建, /“组, 命令,打开如图
5-30所示的对话框,在, 组名, 文本框中输入要创建的组名。在, 组作用域,
选项区域中,选择单选按钮来确定组的作用域;在, 组类型, 选项区域中,通
过单选按钮来选择新组的类型。单击, 确定, 按钮即完成组的创建。
要添加组织单位,在控制台目录树中,展开域节点。鼠标右键单击域节点或
者可添加组织单位的文件夹节点,从弹出的快捷菜单中选择, 新建, /“组织单
位, 命令,在打开的对话框的, 名称, 文本框中输入新创建组织单位的名称,
单击, 确定, 即可。
图 5-30 创建组
5.5.2 删除组和组织单位
要删除组和组织单位,在控制台目录树中,展开域节点。鼠
标单击要删除的组或组织单位所在的组织单位,详细资料窗
格中会列出该组织单位的内容。然后鼠标右键单击要删除的
组或组织单位,选择快捷菜单中, 删除, 命令,这时系统会
打开信息确认框,单击, 是, 按钮即完成组或组织单位的删
除。
5.5.3 委派控制组或组织单位( 1)
如果要对某个组或组织单位进行委派控制,可参照下面的步骤:
步骤一,在, Active Directory用户与计算机, 窗口的控制台目录树中,鼠标
双击展开域节点。
步骤二,鼠标右键单击要委派控制的组织单位或组节点,例如 Users,从弹出
的快捷菜单中选择, 委派控制, 命令,进入, 控制委派向导, 窗口,单击, 下一
步, 按钮。
步骤三,在打开的, 用户和组, 对话框中,单击, 添加, 按钮,打开, 选择用
户、计算机或组, 对话框,你可以直接输入一个或多个要委派控制的用户或组,
也可单击, 高级, 选项卡进行查找,从列表中选择一个或多个要委派控制的用户
或组。
步骤四,选择之后单击, 确定, 按钮,则在图 5-31中的, 输入对象名来选择,
文本框中会出现所选对象,单击, 确定, 。
步骤五,在打开的窗口中单击, 下一步, 按钮,打开, 要委派的任务, 对话框
。我们可以选择要委派的常见任务。我们这里选择, 创建自定义任务去委派, 选
项。
步骤六,单击, 下一步, 按钮,打开如图 5-32所示对话框。指定委派任务范围
。如果要委派的对象为整个文件夹,可选择, 这个文件夹,,如果要委派的对象
只是文件夹中的对象,可选择, 文件夹中的对象,,并在, 对象类型, 列表框中
通过复选框来选择对象。
5.5.3 委派控制组或组织单位( 2)
图 5-31选择用户和组
步骤七,单击, 下一步, 按钮,打开, 权限, 对话框,如图 5-33所示。通过选
择, 要委派的权限, 复选框来选择要委派的权限,例如选择, 读取,,, 创建
所有子对象, 等复选框设置相应权限。
注意,对不同资源进行控制委派,配置向导有所不同。
5.5.3 委派控制组或组织单位( 3)
图 5-32 定义要委派控制任务 图 5-33 指定委派权限
5.5.4 设置组织单位属性( 1)
要设置组织单位的属性,可参照下面的步骤。
步骤一,在控制台目录树中,鼠标右键单击要设置属性的组织单位,从弹出的
快捷菜单中选择, 属性, 命令,打开该组织单位的属性对话框,如图 5-34所示。
步骤二,在, 常规, 选项卡中,可以设置, 描述,,, 省 /自治区,,, 县市
”,, 街道, 和, 邮政编码, 等计算机和用户常规信息。
图 5-34 设置属性 图 5-35 管理组策略
5.5.4 设置组织单位属性( 2)
步骤三,选择, 管理者, 选项卡,单击, 更改, 按钮,打开, 选择用户或联系人,
对话框选择一个用户或联系人作为管理者;管理者更改之后,单击, 属性, 按钮,
可打开所更改的管理者的属性对话框,管理员可对管理者的属性进行修改,如果要
清除管理者,单击, 清除, 按钮即可。
步骤四,单击, 组策略, 选项卡,如图 5-35所示。要新建一个组策略对象,单击
,新建, 按钮,在, 组策略对象链接, 列表框中会出现一个新的组策略对象,在其
名称文本框中为新策略输入一个有意义的名称。
步骤五,单击, 编辑, 按钮,会打开如图 5-36所示的, 组策略编辑器, 窗口。在
该窗口中,管理员可对创建的组策略进行编辑,包括计算机配置和用户配置两个方
面。如图 5-36所示可以对计算机配置中的, 登录, 策略进行编辑,例如登录时是否
显示欢迎界面,启动和登录是否等待网络等性质进行设置。编辑完毕,关闭窗口。
步骤六,要设置某个组策略对象的属性,在图 5-35中组策略对象链接列表中选择
对象,单击, 属性, 按钮,打开该对象属性对话框,进行, 常规,,, 链接, 和,
安全, 方面的设置。
步骤七,在列表中,不同位置的组策略对象具有不同的优先级,较高位置的组策
略对象比较低位置的组策略对象优先级高。所以,管理员可以改变组策略对象在列
表中的位置来决定组策略对象的应用级别。要改变某个组策略对象在列表中的位置
,选择该对象,单击, 向上, 或, 向下, 按钮即可上移或下移该对象。
如果要删除某个组策略对象,在列表中选择该对象,然后单击, 删除, 按钮即可

5.5.4 设置组织单位属性( 3)
图 5-36 编辑组策略
5.5.4 设置组织单位属性( 4)
步骤八,用户要配置某个组策略对象的选项,在如图 5-35组策略链接列表中选
择, 策略, 对象,单击, 选项, 按钮,打开该组策略对象的选项对话框,如图 5-
37所示。
在, 链接选项, 选项区域中,选择, 禁止替代, 复选框,可防止其他组策略对
象替代这个组对象中的策略集;启用, 已禁用, 复选框,可暂时禁用该策略,需
要启用时,禁用, 已禁用, 复选框即可。然后单击, 确定, 按钮返回到组策略选
项卡。
步骤九,如果要防止组策略被下一级组织单位所继承,可启用, 阻止策略继
承, 复选框(见图 5-35)。最后单击, 关闭, 按钮保存属性设置。
图 5-37 配置组策略对象选项
5.5.5 设置组属性( 1)
要设置组的属性,具体步骤如下:
步骤一,在控制台目录树中鼠标单击要设置属性的组所在的组织单位或容器,
在详细资料窗口中,鼠标右键单击要添加成员的组,从弹出的快捷菜单中选择,
属性, 命令,打开该组的属性对话框,如图 5-38所示。
步骤二,为了便于管理,在, 描述, 和, 注释, 文本框中分别输入有关该组的
描述和注释;可以修改组名称;为了便于组管理员与组成员交换信息,在, 电子
邮件, 文本框中输入组管理员的电子邮件地址。
图 5-38 设置常规属性 图 5-39 添加成员到组
5.5.5 设置组属性( 2)
步骤三,单击, 成员, 选项卡,如图 5-39所示。要添加成员,单击
,添加,,打开, 选择用户联系人或计算机, 对话框选择要添加的成
员。要删除组成员,在, 成员, 列表框中选择要删除的组成员,然后
单击, 删除, 即可。
步骤四,用户设置新组的权限,主要通过向新组添加内置组来实现。
选择, 隶属于, 选项卡,单击, 添加,,打开, 选择组, 对话框,为
自己创建的组选择内置组。要删除某个组权限,在, 隶属于, 列表框
中选择该组,单击, 删除, 即可。
步骤五,要设置组的管理者,选择, 管理者, 选项卡。要更改组管
理者,单击, 更改, 按钮,打开, 选择用户或联系人, 对话框选择管
理者;要查看管理者的属性,单击, 属性, 按钮进行查看;如果要清
除管理者对组的管理,单击, 清除, 按钮即可。
步骤六,属性设置完毕,单击, 确定, 按钮保存设置并关闭属性对
话框。
5.6 资源发布和域的管理
5.6.1 资源发布的管理
一, 资源的发布
1,公布共享文件夹的步骤如下:
( 1) 运行, 管理工具, /“ActiveDirectory域和信任关系, 管理应用程序;
( 2) 在控制台树中, 鼠标双击, 域节点, ;
( 3) 鼠标右键单击想在其中添加共享文件夹的文件夹, 指向, 新建, 并单
击, 共享文件夹, 对话框, 如图 5-40所示;
( 4) 键入文件夹的名称和网络路径;
( 5) 单击, 确定, 按钮完成操作 。
2,公布打印机的步骤如下:
( 1) 打开, Active Directory用户和计算机, ;
( 2) 在控制台树中, 鼠标双击, 域节点, ;
( 3) 在控制台树中, 鼠标右键单击想在其中公布打印机的文件夹, 指向,
新建,, 并单击, 打印机, ;
( 4) 键入网络路径, 如图 5-41所示 。
( 5)单击, 确定, 按钮完成操作。
图 5-41 设置共享打印机路径
图 5-40 设置共享文件夹
5.6.1 资源发布的管理
二, 资源的查找
若要进行自定义搜索, 可参照如下步骤:
( 1) 运行, 管理工具, /“Active Directory域和信任关系, 管理应用
程序;
( 2) 在控制台树中用鼠标右键单击, 域节点,, 然后单击, 查找, ;
( 3) 在, 查找, 中单击, 自定义搜索, ;
( 4) 鼠标单击, 字段,, 选择要搜索的对象种类, 然后单击要为其
指定搜索值的对象的属性;
( 5) 在, 条件, 中单击搜索的条件;
( 6) 在, 值, 中键入要应用搜索条件的属性值;
( 7) 单击, 添加,, 将该搜索条件添加至自定义搜索;
( 8) 重复第 ( 4) 步至第 ( 7) 步, 直到添加完所需的全部搜索条件
为止;
( 9)单击, 开始查找, 按钮。
5.6.2 域的管理
1,提升域功能级别
Windows Server 2003中有四个域功能级别, 下表列出了域功能级别及其所支
持的域控制器 。 默认情况下, 域以 Windows 2000混合功能级别操作 。
域功能级别 支持的域控制器
Windows 2000 混合
模式
Windows NT 4.0,Windows 2000

Windows Server 2003家族
Windows 2000 纯模

Windows 2000,Windows Server
2003家族
Windows Server 2003
临时
Windows NT 4.0,Windows
Server 2003家族
Windows Server 2003 Windows Server 2003家族
表 5-1 域功能级别与其支持的域控制器
5.6.2 域的管理
根据网络的实际需要, 可以提升域功能级别, 提升域功能级别的具体步骤如
下:
步骤一, 运行, 管理工具, /“Active Directory域和信任关系, 管理应用程序;
步骤二, 鼠标右键单击你想要管理的域的, 域节点,, 然后单击, 提升域功
能级别, ;
步骤三,在打开如图 5-42所示窗口中,我们可以在, 选一个可用的域功能级
别, 的下拉菜单中选择一种模式。
图 5-42 更改域模式
2,创建明确的域信任
创建明确的域信任具体步骤如下:
步骤一, 运行, 管理工具, /“Active Directory域和信任关系, 管理应用程序;
步骤二, 在控制台树中, 鼠标右键单击要管理的域节点, 然后单击, 属性
” ;
步骤三, 单击, 信任, 选项卡, 如图 5-43所示;
步骤四, 根据需要, 单击, 新建信任, 按钮, 打开, 新建信任向导, 窗口
,输入一个信任域的名称 。
步骤五, 单击, 下一步,, 打开的窗口会询问信任方向, 我们选择, 双向
” ;单击, 下一步,, 窗口询问创建信任关系域的范围, 我们选择, 只是这
个域, ;
步骤六, 单击, 下一步,, 打开如图 5-44所示窗口, 我们选择, 全域性身
份验证, ;单击, 下一步, 打开, 信任密码, 窗口, 输入密码;
步骤七, 单击, 下一步,, 给出我们所配置的信息, 在以后的步骤中我们
使用默认设置, 最后单击, 完成, 按钮, 完成配置, 如图 5-45所示 。
注意:密码必须是信任域和被信任域双方都接受的。
图 5-44 单击, 编辑, 后的对话框选项
图 5-43,信任, 选项卡
3,验证信任关系
信任关系建立之后, 可以验证信任关系的创建情况 。 验证信任关系具体步骤
如下:
步骤一, 运行, 管理工具, /“Active Directory域和信任关系, 管理应用程序;
步骤二, 在控制台树中, 鼠标右键单击要验证的信任关系所涉及的一个域,
然后单击, 属性, 对话框;
步骤三, 单击, 信任, 选项卡, 在, 受此域信任的域, 或, 信任此域的域,
中, 单击要验证的信任关系, 然后单击, 属性,, 其结果如图 5-46所示;
步骤四,单击, 验证, 按钮即可。4,撤销信任关系
如果不再需要已建立的信任关系, 可以撤销信任关系 。
撤销信任关系的具体步骤如下:
步骤一, 运行, 管理工具, /“Active Directory域和信任关系, 管理应用程序;
步骤二, 在控制台树中, 鼠标右键单击要撤销的信任关系所涉及的一个域节
点, 然后单击, 属性, 对话框;
步骤三, 单击, 信任, 选项卡, 在, 受此域信任的域, 或, 信任此域的域,
中, 单击要撤销的信任关系, 然后单击, 删除, 按钮即可;
步骤四,对于此信任关系中涉及的其他域,重复该过程。
5-45,信任, 选项卡 5-46 信任域属性窗口
本章小结
? 活动目录( Active Directory)的引入,
方便了管理员在统一的环境下管理全网的
各种资源,保证了系统的良好扩展性和可
管理性。本章主要讲述活动目录的基本概
念、管理模式、安装方法以及对用户和计
算机账户的管理、组和组织单位的管理、
域和域控制器的管理等内容。
思考题
1, Active Directory 的优点是什么? 如何安装 Active
Directory?
2, 在 Active Directory 安装结束后, 如何检验 Active
Directory安装是否正确?
3,不同的组对网络性能具有哪些影响?
4,如何限制用户由某台客户机在某个特定时段登录?
5,组织单位的委派控制有何意义?
6,如何实现域间信任?
7.将用户账户、计算机账户添加到组中作用有何不同?
实训
题目,Windows Server 2003 活动目录的安装与配置
内容与要求:
1,安装 Windows Server 2003活动目录 。
2,设置域控制器属性, 连接到其他域, 更改域控制器 。
3,使用, Active Directory用户和计算机, 窗口管理用户和
计算机账户, 包括账户的创建, 删除, 停用, 移动等 。
4,管理组和组织单位 。