第4章 活动目录与用户管理

1书名：WindowsServer2003组网技术与实训主讲：唐耀德2第4章活动目录与用户管理2020/5/243本章要点域与活动目录的概念活动目录的创建与配置管理域用户和组管理组织单元管理信任关系2020/5/244第4章活动目录与用户管理4.1域与活动目录4.2活动目录的创建与配置4.3管理域用户和组4.4管理组织单元（OU）4.5管理信任关系2020/5/2454.1域与活动目录活动目录是一个分布式的目录服务，信息可以分散在多台不同的计算机上，保证用户能够快速访问，既提高了管理效率，又使网络应用更加方便。活动目录就是Windows网络中的目录服务，有两方面内容：目录和与目录相关的服务。ActiveDirectory存储了有关网络对象的信息，例如用户、组、计算机、共享资源、打印机和联系人等，并且让管理员和用户能够轻松地查找和使用这些信息。2020/5/246域与活动目录域（Domain）是在WindowsNT/2000/2003网络环境中组建客户机/服务器网络的实现方式，是WindowsServer2003域中ActiveDirectory数据库的基本管理单位。域控制器中保存着整个网络的用户账号及目录数据库，即活动目录，并且可以被网络应用程序或者服务所访问。一个域可能拥有一台以上的域控制器。每一台域控制器都拥有它所在域的目录的一个可写副本。2020/5/247目录树目录树：共用连续名字空间的域就组成一个域目录树。2020/5/248域目录林目录林是一个或多个目录树的集合。目录林中的目录树并不共用相同的连续的名字空间。2020/5/249信任关系信任关系是网络中不同域之间的一种内在联系。只有在两个域之间创建了信任关系，这两个域才可以相互访问。在通过WindowsServer2003系统创建域目录树和域目录林时，域目录树的根域和子域之间，域目录林的不同树根之间都会自动创建双向的、传递的信任关系，有了信任关系，使根域与子域之间、域目录林中的不同树之间可以互相访问，并可以从其他域登录到本域。如果希望两个无关域之间可以相互访问或从对方域登录到自己所在的域，也可以手工创建域之间的信任关系。2020/5/2410组织单元组织单元是包含在活动目录中的容器对象，是可以指派组策略设置或委派管理权限的最小作用单位。组织单元可以将用户、组、计算机和其他单元放入活动目录的容器。组织单元不能包括来自其他域的对象。创建组织单元有如下好处：（1）可以分类组织对象，使所有对象结构更清晰。（2）可以对某些对象配置组策略，实现对这些对象的管理和控制。（3）可以委派管理控制权，如管理员可以给不同部门的网络主管授权，让他们管理本部门的账号。2020/5/24114.2活动目录的创建与配置4.2.1创建活动目录启动WindowsServer2003系统，以Administrator权限登录。2020/5/2412ActiveDirectory安装向导2020/5/2413提示操作系统兼容性2020/5/2414选择域控制器类型2020/5/2415选择创建的域的类型2020/5/2416指定域名2020/5/2417指定域的NetBIOS名称2020/5/2418指定放置ActiveDirectory数据库和日志文件的文件夹2020/5/2419数据库日志和系统卷设置2020/5/2420DNS注册诊断2020/5/2421选择兼容模式2020/5/2422设定还原模式管理员密码2020/5/2423安装选项摘要2020/5/2424提示重启计算机以使更改生效安装完成后，需要重启计算机2020/5/24254.2.2安装后检查1、计算机名2020/5/2426安装后检查2.管理工具中会添加包括“ActiveDirectory用户和计算机”、“ActiveDirectory站点和服务”、“ActiveDirectory域和信任关系”等管理工具。3.活动目录对象2020/5/2427安装后检查4.ActiveDirectory数据库ActiveDirectory数据库文件保存在%SystemRoot%\Ntds文件夹中，主要的文件有：Ntds.dit：数据库文件。Edb.log：日志文件。Edb.chk：检查点文件。Res1.log、Res2.log：保留的日志文件。Temp.edb：临时文件。2020/5/2428安装后检查5.DNS记录2020/5/24294.2.3删除活动目录删除时要注意以下三点：（1）如果该域内还有其他域控制器，则该域会被降级为该域的成员服务器。（2）如果这个域控制器是该域的最后一个域控制器，则被降级后，该域内将不存在任何域控制器了。因此，该域控制器被删除，而该计算机被降级为独立服务器。（3）如果这台域控制器是“全局编录”，则将其降级后，它将不再担当“全局编录”的角色，因此请先确定网络上是否还有其他的“全局编录”域控制器。2020/5/2430ActiveDirectory安装向导2020/5/2431全局编录确认2020/5/2432删除域控制器2020/5/2433应用程序目录分区2020/5/2434确认删除2020/5/2435管理员密码2020/5/24364.2.4活动目录的备份与恢复不能单独备份活动目录，而只能将活动目录作为系统状态数据的一部分进行备份。系统状态数据包括注册表、系统启动文件、类注册数据库、证书服务数据、文件复制服务、群集服务、域名服务和活动目录等8个部分。2020/5/2437活动目录的备份（1）（1）Windows备份依次打开“开始”→“程序”→“附件”→“系统工具”→“备份”。2020/5/2438选择系统状态2020/5/2439备份作业信息2020/5/2440活动目录备份（2）（2）命令行备份若要将活动目录以“backup.bkf”为文件名备份到“D:\backup.bkf”文件夹下，可以在命令提示符下输入：ntbackupbackupsystemstate/J“BackupJob1”/F“D:\backup.bkf”备份过程与Windows状态下备份活动目录一样。2020/5/2441活动目录的恢复（1）如果网络中只有一台域控制器，那么在重新安装系统后，就必须利用备份文件恢复活动目录。（2）如果服务器发生故障，导致活动目录设置丢失，也可以借助于备份文件恢复。（3）利用备份的数据，可以快速安装新的域外控制器。2020/5/24424.2.5安装额外的域控制器在一个域中可以有多台域控制器。在安装额外的DC时，需要将活动目录数据库由现有的域控制器复制到这台新的DC上。2020/5/24434.3管理域用户和组用户账号可为用户提供登录到域以访问网络资源或登录到计算机以访问该机资源的能力。定期使用网络的每个人都应有一个惟一的用户账号。WindowsServer2003提供两种主要类型的用户账号：本地用户账号和域用户账号。除此之外，WindowsServer2003系统中还有内置的用户账号。2020/5/2444域用户账号域用户账户用来使用户能够登录到域或其他计算机中，从而获得对网络资源的访问权。经常访问网络的用户都应拥有网络惟一的用户账户。如果网络中有多个域控制器，可以在任何域控制器上创建新的用户账户，因为这些域控制器都是对等的。当在一个域控制器上创建新的用户账户时，这个域控制器会把信息复制到其他域控制器，从而确保该用户可以登录并访问任何一个域控制器。2020/5/2445内置用户账号WindowsServer2003自动创建若干个用户账号，并且赋予了相应的权限，称为内置账号。内置用户账号不允许被删除。最常用的两个内置账号是Administrator和Guest。使用内置Administrator（管理员）账号管理计算机和域配置。Guest（来客）账号一般被用于在域中或计算机中没有固定账号的用户临时访问域或计算机时使用的。2020/5/2446创建域用户账号“管理工具”——“ActiveDirectory用户和计算机”2020/5/2447新建对象——用户2020/5/2448输入密码2020/5/2449强密码的特征长度至少有7个字符。不包含用户名、真实姓名或公司名称。不包含完整的字典词汇。包含全部下列4组字符类型：大写字母（A、B、C．．．）、小写字母（a、b、c．．．）、数字（0、l、2、3、4、5、6、7、8、9）、键盘上的符号（键盘上所有未定义为字母和数字的字符，如`～!@#$%^&（）*_+-{}[]|\/?:”;’,.）。账户已禁用。防止用户使用选定的账户登录，当用户暂时离开企业时，可以使用该选项，以便日后迅速启用。也可以禁用一个可能有威胁的账户，当排除问题之后，再重新启用该账户。许多管理员将禁用的账户用做公用用户账户的模板。以后拟再使用该账户时，可以在该账户上右击，并在弹出的快捷菜单中选择“启用账户”选项即可。2020/5/2450添加计算机用户2020/5/2451修改用户属性2020/5/2452创建组2020/5/2453设置用户账号属性2020/5/24541.设置个人属性——常规、地址选项卡2020/5/2455设置个人属性——电话、单位选项卡2020/5/24562.设置账号属性2020/5/24573.设置登录时间2020/5/24584.设置用户可登录的计算机2020/5/2459维护用户账号1.禁用、启用、重命名和删除用户账号2020/5/24602.重设密码2020/5/24614.4管理组织单元（OU）OU是组织单元，把域中的对象组织成逻辑管理组，而不是安全组或代表地理实体的组。OU是可以应用组策略和委派责任的最小单位。对于OU，要注意以下几点：谨慎添加OU保持层次简单OU与组的区别2020/5/2462委派OU2020/5/2463委派OU2020/5/24644.5管理信任关系2020/5/2465小结本章主要讲了活动目录与用户管理。重点讲述了创建WindowsServer2003域、管理域用户和组、管理组织单元及信任关系。WindowsServer2003服务器可以有3种角色：独立服务器、成员服务器和域控制器，服务器可以从一种角色转变到另一角色。所谓域控制器就是安装了活动目录的服务器。2020/5/2466习题1.什么时候需要安装多个域树？2.简述什么是活动目录、域、活动目录树和活动目录林。3.简述什么是信任关系。4.为什么在域中常常需要DNS服务器？5.活动目录中存放了什么信息？2020/5/2467实训项目项目一、安装各种域控制器项目二、建立信任关系项目三、管理组织单元（OU）