理Windows 2000活动目录

第7章使用和管理Windows2000活动目录第7章使用和管理Windows2000活动目录7.1活动目录7.2组织单位的管理7.3用户账户的管理7.4组的建立第7章使用和管理Windows2000活动目录本章学习目标l活动目录的概念与特点l活动目录的创建l活动目录用户和计算机控制台的使用l组织单位、用户账户和组的创建与管理返回本章首页第7章使用和管理Windows2000活动目录7.1活动目录7.1.1活动目录简介7.1.2活动目录的优点7.1.3安装活动目录7.1.4活动目录用户和计算机控制台的使用返回本章首页第7章使用和管理Windows2000活动目录7.1.1活动目录简介活动目录是一种目录服务，它存储有关网络对象的信息，例如，用户、组和计算机账户、共享资源和打印机等，并使管理员和用户可以方便地查找和使用网络信息。活动目录的应用起源于WindowsNT4.0，在Windows2000Server中得到进一步的应用和发展，具有可扩展性和可调整性，并将结构化数据存储作为目录信息逻辑和分层组织的基础。域模式的最大好处就是它的单一网络登录能力，任何用户只要在域内有一个账户，就可以漫游网络。第7章使用和管理Windows2000活动目录在Windows2000中，域中的所有域控制器之间都是平等关系，不再区分主域控制器和备份域控制器，这是因为Windows2000采用了动态活动目录服务，在进行目录复制时不是沿用一般目录服务的主从方式，而是采用多主复制方式。Windows2000活动目录服务的另一大特点是与Internet融合，它把DNS作为其定位服务。为了克服DNS管理困难的缺点，Windows2000将DNS与其特有的DHCP和WINS紧密配合起来，从而使DNS管理变得易于操作。返回本节第7章使用和管理Windows2000活动目录7.1.2活动目录的优点1．基于策略的管理2．扩展性3．可调整性4．信息复制5．与DNS的集成6．灵活的查询7．信息安全性返回本节第7章使用和管理Windows2000活动目录7.1.3安装活动目录活动目录安装如图7-1至7-13所示图7-1启动ActiveDirectory安装向导第7章使用和管理Windows2000活动目录图7-2选择域控制类型图7-3创建目录树或子域第7章使用和管理Windows2000活动目录图7-4创建或加入目录林图7-5指定新域名第7章使用和管理Windows2000活动目录图7-6输入NetBIOS域名图7-7指定数据库和日志文件的位置第7章使用和管理Windows2000活动目录图7-8指定系统卷共享的文件夹的位置图7-9选择安装与配置DNS第7章使用和管理Windows2000活动目录图7-10为用户和组对象选择默认权限图7-11设置目录服务恢复模式的管理员密码第7章使用和管理Windows2000活动目录图7-12“摘要”对话框图7-13“正在配置ActiveDirectory”窗口返回本节第7章使用和管理Windows2000活动目录7.1.4活动目录用户和计算机控制台的使用活动目录用户和计算机控制台，用于增加、修改、删除、管理Windows2000用户和计算机账户、组和组织单位等对象，并可在目录上发布和管理资源。图7-14“ActiveDirectory用户和计算机”控制台第7章使用和管理Windows2000活动目录1．改变用户和计算机显示方式打开“活动目录用户和计算机”控制台，可以展开域节点，在窗口左边的控制台树中显示一些文件夹，如果是新安装的域控制器，文件夹缺省显示是：Builtin（预定义本地组）；Computers（计算机）DomainContro1s（域控制器）；Users（预定义全局组）；ForeignSecurityPricapal（外部安全负责人）。第7章使用和管理Windows2000活动目录图7-15“筛选器选项”对话框第7章使用和管理Windows2000活动目录2．预定义的组当用户安装了一个域控制器后，在Builtin和Users文件夹下可以看到系统预定义的组，这些组都是安全组，代表不同的权限和权利。图7-16预定义的本地组第7章使用和管理Windows2000活动目录图7-17预定义的全局组返回本节第7章使用和管理Windows2000活动目录7.2组织单位的管理7.2.1添加组织单位7.2.2删除组织单位7.2.3设置组织单位属性返回本章首页第7章使用和管理Windows2000活动目录7.2.1添加组织单位在域中合理地添加和设置组织单位，不仅方便了管理员对域中用户和组的管理，而且还有利于网络的扩展。要添加组织单位，如图7-18所示。图7-18创建组织单位返回本节第7章使用和管理Windows2000活动目录7.2.2删除组织单位当域中的某个组织单位不再发挥作用时，管理员可将其删除，以免影响对其他组织单位的管理。要删除不再需要的组织单位，可以依次选择“开始”→“程序”→“管理工具”→“ActiveDirectory用户和计算机”选项，打开“ActiveDirectory用户和计算机”窗口。返回本节第7章使用和管理Windows2000活动目录7.2.3设置组织单位属性组织单位被添加之后，如果不根据需要设置其属性，就很难发挥其管理的方便性和安全性。通过设置组织单位的属性，不但可以指定组织单位的管理人和常规属性，也可为组织单位创建组策略。要设置组织单位的属性，可参照下面的步骤：如图7-19至7-22所示第7章使用和管理Windows2000活动目录图7-19“常规”选项卡图7-20“管理者”选项卡第7章使用和管理Windows2000活动目录图7-21“组策略”选项卡图7-22“组策略”对话框返回本节第7章使用和管理Windows2000活动目录7.3用户账户的管理7.3.1用户账户的类型7.3.2内置的用户账户7.3.3建立域用户账户7.3.4域用户账户的属性设置7.3.5管理域用户账户7.3.6建立本地用户账户返回本章首页第7章使用和管理Windows2000活动目录7.3.1用户账户的类型（1）域用户账户域用户账户建立在域控制器的ActiveDirectory数据库内。用户可以利用域用户账户来登录域，并利用它来访问网络上的资源，例如访问其他计算机内的文件、打印机等资源。（2）本地用户账户本地用户账户建立在Windows2000独立服务器、Windows2000成员服务器或Windows2000Professional的本地安全数据库内，而不是域控制器内。用户可以利用本地用户账户来登录此计算机，但是只能够访问这台计算机内的资源，无法访问网络上的资源。返回本节第7章使用和管理Windows2000活动目录7.3.2内置的用户账户（1）Administrator（系统管理员）Administrator拥有最高的权限，可以用它来管理计算机与域内的设置，例如建立、更改、删除用户与组账户、设置安全策略、设置用户帐户的权限等。（2）Guest（客户）Guest是供临时用户使用的账户，例如提供偶尔需要登录、或者仅登录一次的用户使用，以便访问网络上的资源。返回本节第7章使用和管理Windows2000活动目录7.3.3建立域用户账户必须使用“ActiveDirectory用户和计算机”管理单元来建立域用户账户。当使用这个管理单元来建立账户时，这个账户会被建立在MMC控制台所找到的第一台域控制器内，以后该账户会被自动复制到此域内的所有域控制器内。在每个用户账户添加完成后，活动目录都会为其建立一个惟一的安全识别码（SecurityIdentifier，SID），Windows2000系统内部是利用这个SID来代表该用户，有关的权限设置等都是通过SID来设置的，而不是利用用户的账户名称。第7章使用和管理Windows2000活动目录图7-23“新建对象-用户”对话框图7-24设置密码返回本节第7章使用和管理Windows2000活动目录7.3.4域用户账户的属性设置1．用户个人信息的设置所谓“用户个人信息”，就是指姓名、地址、电话、传真、移动电话、公司、部门、职称、电子邮件、Web页等。如图7-25所示图7-25“属性”对话框第7章使用和管理Windows2000活动目录2．账户信息的设置选择“账户”选项卡，如图7-26所示。（1）账户过期（2）登录时间的设置（3）限制用户只能够从某些工作站登录图7-26“账户”选项卡第7章使用和管理Windows2000活动目录图7-27“登录时段”窗口图7-28设置允许登录的工作站返回本节第7章使用和管理Windows2000活动目录7.3.5管理域用户账户依次选择“开始”→“程序”→“管理工具”→“ActiveDirectory用户和计算机”选项，打开“活动目录用户和计算机”对话框，选定用户账户并右击，打开如图7-29所示的快捷菜单，然后选择相应的命令来管理域用户账户。（1）复制。（2）停用账户/启用账户。（3）重命名。（4）删除账户。（5）重设密码。（6）解除被锁定的账户。第7章使用和管理Windows2000活动目录图7-29管理域用户账户返回本节第7章使用和管理Windows2000活动目录7.3.6建立本地用户账户本地用户账户是建立在Windows2000Professional、Windows2000独立服务器或成员服务器的本地安全数据库内，而不是域控制器内的账户。用户可以利用本地用户账户登录此账户所在的计算机，但是无法登录域，同时只能够访问这台计算机内的资源，无法访问网络上的资源。返回本节第7章使用和管理Windows2000活动目录7.4组的建立7.4.1组的类型7.4.2组的作用域7.4.3域组的管理7.4.4本地组的建立7.4.5内置的组返回本章首页第7章使用和管理Windows2000活动目录7.4.1组的类型Windows2000所支持的组分为以下两种类型：安全式和分布式。安全组：安全组可以用来设置权限，简化网络的维护和管理。分布式组：分布式组只能用在与安全（权限的设置等）无关的任务上，例如，可以将电子邮件发送给某个分布式组。分布式组不能进行权限设置。返回本节第7章使用和管理Windows2000活动目录7.4.2组的作用域1．全局组全局组主要是用来组织用户，可以将多个权限相似的用户账户加入到同一个全局组内。2．本地域组本地域组主要用来指派其在所属域内的访问权限，以便可以访问该域内的资源。3．通用组通用组主要用来指派在所有域内的访问权限，以便可以访问每一个域内的资源。返回本节第7章使用和管理Windows2000活动目录7.4.3域组的管理可以依次选择“开始”→“程序”→“管理工具”→“ActiveDirectory用户和计算机”选项，打开“ActiveDirectory用户和计算机”对话框，来添加、删除与管理域组。1．域组的添加、删除与更名2．添加域组的成员第7章使用和管理Windows2000活动目录图7-30“新建对象-组”对话框图7-31“选择用户、联系人或计算机”对话框返回本节第7章使用和管理Windows2000活动目录7.4.4本地组的建立本地组是建立在Windows2000Professional、Windows2000独立服务器或成员服务器的本地安全数据库内，而不是域控制器内。本地组只能够访问此组所在计算机内的资源，无法访问网络上的资源。建议只在未加入域的计算机内建立本地组账户，而不要在加入域的计算机内建立本地组账户，因为无法通过域内其他任何一台计算机来访问这些账户、设置这些账户的权限，因此这些账户无法访问域上的资源，同时域系统管理员也无法管理这些本地组账户。返回本节第7章使用和管理Windows2000活动目录7.4.5内置的组Windows2000域内含多个内置的组，包括本地域组、全局组与系统组。而Windows2000独立服务器、Windows2000成员服务器、Windows2000Professional内则包含了一些内置的本地组与系统