第12章 活动目录管理

第 12 章 活动目录管理 目录服务就是将网络系统中的各种网络设备、网络服务、网络账户等资源信息集中起 来进行管理，为使用者提供一个统一的清单。Windows Server 2003 通过对目录服务数据 库的维护来管理网络上众多的计算机、网络设备、打印设备、共享文件、共享打印、网络 账户等基本信息和安全信息，提供对系统资源及服务的跟踪定位，使各种资源和服务对用 户透明，用户不必知道资源的具体位置就可以方便地访问它们。 12.1 活动目录概述 12.1.1活动目录的基本概念 活动目录(Active Directory，简称为 AD)的目录服务用于组织、管理和控制网络资源的 结构和功能，便于用户查找、管理和使用网络资源。 因为大型网络中难以确定资源位置、名称，所以需要目录服务，使得用户能透明、高 效地快速定位资源，而不需要知道资源的物理位置、如何连接。有了活动目录，可以实现 单点管理，用户只需登录一次，就可以访问整个活动目录的资源。 Windows Server 2003 将 DNS (域名系统) 和活动目录进行了集成，它们使用相同的分 层命名结构。DNS 主机名与活动目录中计算机帐号是相同的，计算机名可认为是特殊的域 名。 域、计算机可成为活动目录的对象／DNS 资源记录，客户机可通过查询 DNS 找到域 控制器(或其它对象)。DNS 主区域结构可存储于活动目录，并随活动目录复制。 1. 域 域是一组相互之间有逻辑关系(工作关系)的计算机的集合。域中的计算机与它的物理 位置无关，只要它们是互连的即可。 一个域中必须有一台域控制器和若干台客户机。为了提高性能和容错，一个域中也可 有多台域控制器，如图 12-1 所示。一个域中的多台域控制器之间会自动复制活动目录信息， 即一个域中多台域控制器内的活动目录信息相同。 1 图 12-1 一个域 域控制器起着用户访问认证等安全性方面的控制和管理方面的控制作用。 2. 域树 域树指由若干个域组成的层次结构。域树中的第一个域称作根域，相同域树中的其它 域称为子域，相同域树中直接在另一个域上层的域称作子域的父域。域树中域之间可建立 可传递的信任关系。 域树中具有公用根域的所有域构成连续名称空间，如图 12-2 所示。域的名字就是 DNS 域名，子域名字的后缀就是其父域的名字。 图 12-2 域树 3. 树林 树林是用双向可靠传递信任链接的 Windows Server 2003 的域树的集合。树林中的域树 间不形成连续的名称空间。构建树林主要用于两个不同公司的合并，这样，既可以使两个 公司原有的资源不用改变，又可以使两个公司的资源进行整合。 树林都有根域，它是树林中创建的第一个域。树林根域的名字不能改变，因为它与域 树根域有信任关系。 2 树林中的所有域共用一个公共配置、架构(Schema)和全局编录(Global Catalog，简称为 GC)。 全局编录服务器为用户帐号提供通用组权利信息，当用户登录用一个用户主要名称 (UPN)，如 www@gpmsce.com 时，提供域信息。树林根域的第一个域控制器，默认为全局 编录服务器。 在单个域中，用户登录不需要全局编录服务器。 树林中所有域树的根域与树林的根域可建立可传递的信任关系，如图 12-3 所示。 图 12-3 树林 4. 信任关系 域信任关系是建立在两个域之间的关系，它使一个域中的用户由另一个域中的域控制 器进行验证。验证通过后，便使得一个域中的用户可以访问另一个域中的资源，如图 12-4 所示。 图 12-4 域信任关系 同一个树林中的 Windows Server 2003 域之间会自动建立可传递的信任关系非传递的 3 信任关系主要存在于以下域之间： — Windows Server 2003 域和 Windows NT 域之间。 — 两个树林中的 Windows Server 2003 域之间。 这些域之间的信任关系需要用户手工建立。 5. 活动目录安装前的准备 (1) 计算机上运行的必须是 Windows Server 2003 。 (2) 活动目录数据库至少需要 200MB，活动目录数据库的事务日志文件另需 50MB， 若为全局编录服务器，还需一定的空间。 (3) 系统卷(SYSVOL)文件夹必须在 NTFS 分区。 (4) 安装并且配置了 TCP/IP。 (5) 若在现存的 Windows Server 2003 网络上创建域，那么还需要创建域所需的管理特 权。 12.1.2 活动目录的安装 1. 活动目录的安装 提示：活动目录的安装将使计算机转换为域控制器。 安装活动目录要启动活动目录安装向导，下面两种方法都可以启动活动目录安装向 导。 方法 1：通过“开始/管理工具/管理您的服务器”命令，启动 Active Directory 安装向 导。这种方法常用于初次安装活动目录。 方法 2：通过“开始/运行/键入 Dcpromo.exe”菜单命令，启动 Active Directory 安装向 导。这种方法常用于活动目录安装完成后，再次启动活动目录安装向导。 下面以方法 1 为例，介绍活动目录的安装。 （1） 执行“开始/管理工具/管理您的服务器”命令，打开“管理您的服务器”窗口， 选择“添加或删除角色”项，打开“配置您的服务器向导”中的“预备步骤”对话框，单 击“下一步”按钮，打开“服务器角色”对话框，选中“域控制器(Active Directory)”项， 如图 12-5 所示。 4 图 12-5 在“配置服务器”窗口选中“Active Directory”选项 (2) 单击“下一步”按钮，打开“选择 总结 初级经济法重点总结下载党员个人总结TXt高中句型全总结.doc高中句型全总结.doc理论力学知识点总结pdf ”对话框，如图 12-6 所示。 图 12-6 “选择总结”对话框 (3) 单击“下一步”按钮，启动 Active Directory 安装向导，如图 12-7 所示。 5 图 12-7 启动 Active Directory 安装向导 (4) 单击“下一步”按钮，打开“操作系统兼容性”对话框，提示对以前的 Windows 95、 Windows NT 4.0 SP3 或更早的版本不兼容，如图 12-8 所示。 图 12-8 “操作系统兼容性”对话框 (5) 单击“下一步”按钮，打开“域控制器类型”选择对话框，如图 12-9 所示。如果 是创建一个新域的第一台域控制器，则选择“新域的域控制器”选项；如果是创建一个域 中的第二台域控制器，则选择“现有域的额外域控制器”选项。 6 图 12-9 “域控制器类型”选择对话框 (6) 在此选择“新域的域控制器”选项，单击“下一步”按钮，打开如图 12-10 所示的 “创建一个新域”对话框，如果是创建第一个新域树第一个域，则选择“在新林中的域” 选项；如果是创建一个已有域树中的一个子域则选择“在现有域树中的子域”选项。在此 选择“在新林中的域”选项。 图 12-10 “创建一个新域”对话框 (7) 单击“下一步”按钮，打开“新的域名”设置对话框，在“新域的 DNS 全名”栏 中按照 DNS 的 格式 pdf格式笔记格式下载页码格式下载公文格式下载简报格式下载 输入域的全名，如 sdut.edu，如图 12-11 所示。 7 图 12-11 “新的域名”设置对话框 (8) 单击“下一步”按钮，打开“NetBIOS 域名”设置对话框。NetBIOS 域名主要是 为早期 Windows 版本(如 Windows 98/NT)的用户登录域时使用的域名，默认情况下，系统 将新域 DNS 全名的最左边一段设置成了 NetBIOS 域名，如图 12-12 所示。 图 12-12 “NetBIOS 域名”设置对话框 (9) 单击“下一步”按钮，打开“数据库和日志文件文件夹”设置对话框，如图 12-13 所示。默认情况下，系统已经设置了一个目录位置，用户可以不改变。 8 图 12-13 “数据库和日志文件文件夹”设置对话框 (10) 单击“下一步”按钮，打开“共享的系统卷”位置设置对话框。共享的系统卷名 为 SYSVOL，是一个文件夹，用于存放域的公用文件的服务器副本，若系统管理所用，其 内容和维护由系统自动进行。每一个域控制器都会有一个共享的系统卷，而且，每一个域 控制器共享系统卷内的内容均相同，因为它们会自动复制。默认情况下，系统已经设置了 一个共享系统卷的文件夹位置，用户可以不改变，如图 12-14 所示。 图 12-14 “共享的系统卷”位置设置对话框 (11) 单击“下一步”按钮，系统会弹出一个“DNS 注册诊断”对话框，如图 12-15 所 示。在此选择“在这台计算机上安装并配置 DNS 服务器，并将这台 DNS 服务器设为这台 计算机的首选 DNS 服务器”选项，如图 12-15 所示。 9 图 12-15 “DNS 注册诊断”对话框 (12) 单击“下一步”按钮，打开“权限”模式设置对话框。 如果网络中除了有 Windows Server 2003 的计算机外，还有以前版本的 Windows 系统， 为了使它们能协同工作，可选择“与 Windows 2000 服务器之前的服务器操作系统兼容的 权限”选项，这个模式又叫“混合模式”。 如果网络中只有 Windows 2000 的计算机，可选择“只与 Windows2000 服务器相兼容 的权限”选项，这个模式又叫“本机模式”或“私有模式”，如图 12-16 所示。 图 12-16 “权限”模式设置对话框 (13) 在此选择“与 Windows Server 2003 服务器之前的版本相兼容的权限”选项，单 击“下一步”按钮，打开“目录服务恢复模式的管理员密码”设置对话框，如图 12-17 所 示。 提示：这不是系统登录密码，而是在进行活动目录恢复时所需要的密码。 10 图 12-17 “目录服务恢复模式的管理员密码设置对话框 (14) 单击“下一步”按钮，打开“摘要”对话框，如图 12-18 所示。这里对前面各项 设置进行汇总显示，用户可以进一步确认。 图 12-18 “摘要”对话框 (15) 如果没有什么要改动的，单击“下一步”按钮，系统便开始进行活动目录的配置。 配置完成后，弹出“完成 Active directory 安装向导”对话框，如图 12-19 所示。 11 图 12-19 “完成 Active Directory 安装向导”对话框 (16) 单击“完成”按钮，系统提示重新启动计算机。重新启动计算机后，以系统管理 员的用户名 administrator 登录。 2. 服务器的角色转换 运行 Windows Server 2003 的计算机能够按照域控制器、成员服务器和独立服务器三 种角色运行，利用 Dcpromo.exe 命令可以在各种角色之间更改 Windows Server 2003 ，以 适应所在单位的需要。 域控制器是使用 Active Directory 安装向导配置的运行 Windows 的计算机。域控制器 存储着目录数据并且管理用户域的交互，其中包括用户登录过程、身份验证和目录搜索。 成员服务器可以是运行 Windows Server 2003、是域的成员但不是域控制器的计算机。 成员服务器不处理用户登录过程，不参与活动目录复制，不存储域安全策略信息。成 员服务器一般用做文件服务器、应用服务器、数据库服务器、Web 服务器、证书服务器、 防火墙以及远程访问服务器等。由于成员服务器是域的成员，工作时也必须登录到域控制 器上，所以它不能脱离域控制器工作。 独立服务器是运行 Windows 2000 Server 的计算机，但它不是域的成员。如果 Windows Server 2003 作为工作组成员安装，则该服务器是独立服务器。独立服务器可与网络上的其 它计算机共享资源，但没有活动目录所具有的任何特点。 服务器角色转换的步骤如下： (1) 活动目录安装完成后，通过“开始/运行”菜单命令，打开“运行”窗口，键入 “dcpromo.exe”，如图 12-20 所示。 12 图 12-20 通过 dcpromo.exe 命令再次启动活动目录安装向导 (2) 再次启动活动目录安装向导后，可将域控制器降级为成员服务器，或删除活动目 录，将域控制器降级为独立服务器，如图 12-21 所示。 图 12-21 将域控制器降级 (3) 单击“下一步”按钮，打开“删除 Active Directory”对话框，如图 12-22 所示。如 果网络中只有这一台域控制器，而要将该域控制器降级，则必须选中“这个服务器是域中 的最后一个域控制器”选项，这时，该域控制器将降级为独立服务器，方可独立工作：如 果网络中还有其它的域控制器，要将该域控制器降级，没有选中“这个服务器是域中的最 后一个域控制器”选项时，该域控制器将降级为成员服务器。 13 图 12-22 “删除 Active Directory”对话框 (4) 单击“下一步”按钮，打开“应用程序目录分区”对话框，如图 12-23 所示。 图 12-23 “应用程序目录分区”对话框 (5) 单击“下一步”按钮，打开“确认删除”设置对话框，选中“删除这个域控制器 上的所有应用程序目录分区”，如图 12-24 所示。 14 图 12-24 “确认删除”对话框 (6) 单击“下一步”按钮，打开“管理员密码”对话框，指派降级后的服务器的管理 员密码，此密码不能为空，如图 12-25 所示。 图 12-25 “管理员密码”对话框 (7) 单击“下一步”按钮，打开“摘要”对话框，“摘要”对话框是对前面喧响的汇总， 如图 12-26 所示。 15 图 12-26 删除活动目录“摘要”对话框 (8) 单击“下一步”按钮，开始删除活动目录。单击“取消”按钮，可退出删除活动 目录的操作。 删除活动目录后，若想再次配置活动目录，可按前面介绍的两种方法再次启动 Active Directory 安装向导进行配置。 3. 活动目录默认结构 活动目录安装完成后，在“管理工具”菜单中会生成 3 个以 Active Directory 开头的菜 单项，如图 12-27 所示。其中，“Active Directory 用户和计算机”菜单项最常用． 图 12-27 活动目录工具菜单 16 通过“开始/管理工具/Active Directory 用户和计算机”菜单命令，打开“Active Directory 用户和计算机”控制台，双击域名展开活动目录显示，可看到有 5 项活动目录 对象，再单击控制台中的“查看”菜单，选择“高级功能”菜单项，可看到活动目录全 部的默认结构，共有 9 项，如图 12-28 所示。 图 12-28 活动目录全部的默认结构 下面简要介绍活动目录的默认结构对象． — Builtin，默认的 Windows Server 2003 安全组。 — Computers：默认的计算机帐号存储位置。 — Domain Controllers；默认的域控制器的计算机帐号存储位置。 — Foreign Security Principals：外部安全原则，保存外部有信任关系的域的安全标识 符(SID)。 — Users：用户帐号和组帐号的默认位置。 4 全局编录服务器 建立一个全局编录服务器可按如下步骤操作： (1) 通过“开始/管理工具/Active Directory 站点和服务”菜单命令，打开“AD 站点和 服务”控制台，逐项展开“Sites”、“Default-First-Site-Name”、“Servers”和某服务器名， 选中服务器名下的“NTDS Settings”选项，右击该项，选择“属性”命令，如图 12-29 所 示。 17 图 12-29 调用站点服务器的 NTDS Settings 属性 (2) 在打开的“NTDS Settings 属性”对话框的“常规”选项卡中，选中“全局编录” 选项，如图 12-30 所示。树林根域的第一个域控制器，默认就是全局编录服务器。 图 12-30 设置“全局编录” 18 12.2 组织单位 12.2.1 组织单位概述 域中的对象组织单位(Organizational Unit，可简称为 OU)是某种特定对象类型的资源的 集合，它是基于资源的角度来考虑问题的，和目录服务的宗旨相吻合，是 Windows Server 2003 所提倡的，并试图取代 WORKGROUP 的新概念，它以域为边界。 最有效和最简便的域的组织方法是单域方式，而利用组织单位就可以实现单域的组织。 利用组织单位可以把对象组织到一个域中，使其最好地适应组织需求。可以把管理控 制权委派给组织单位内的对象，通过指定权限到一个或几个用户和组。 通过设置组织单位，可建立一个层次结构。实际工作中，可以参照管理机构的设置来 建立组织单位。 12.2.2 创建组织单位对象 (1) 通过“开始/管理工具/Active Directory 用户和计算机”菜单命令，打开“Active Directory 用户和计算机”控制台。选中域名，再右击域名，选择“新建”菜单命令，再选 择“组织单位”菜单项，如图 12-31 所示。 图 12-31 准备创建“组织单位” (2) 在打开的“新建对象—组织单位”对话框中，输入组织单位的名称，如图 12-32 所示。 19 图 12-32 输入组织单位的名称 (3) 单击“确定”按钮，即创建好了一个组织单位。 在一个组织单位内还可以再创建下一级的组织单位。 右击一个组织单位名，选择“新建”菜单命令，再选择“组织单位”菜单项，创建几 个下一级的组织单位，如图 12-33 所示。 图 12-33 创建下一级的组织单位 从图 12-33 中可以看出，组织单位的设置完全可参照管理机构来设置。组织单位名前 面的图标是一个文件夹图标中包含一本书的样式。 20 12.3 域用户帐户 12.3.1 域用户帐户概述 用户帐户是指由定义 Windows Server 2003 用户的所有信息组成的记录，它包括用户登 录所需要的用户名、密码、用户帐户具有成员关系的组，以及用户使用计算机和网络及访 问它们的资源的权利和权限。对于 Windows Server 2003 域控制器，用户帐户即域用户帐户 受“Active Directory 用户和计算机”管理。 12.3.2 创建域用户 1 新建域用户 (1) 通过“开始/管理工具/Active Directory 用户和计算机”菜单命令，打开“Active Directory 用户和计算机”控制台，选中某组织单位，再右击组织单位，依次选择“新建” 和“用户”菜单命令，如图 12-34 所示。 图 12-34 准备创建“用户” (2) 在打开的输入用户帐户信息的对话框中输入用户帐户的相关信息，此对话框中的 “姓”、“名”和“姓名”栏只是为了在控制台中识别用户，只有“用户登录名”项才用于 客户机登录到服务器，“姓名”和“用户登录名”项可以不一致，如图 12-35 所示。 21 图 12-35 输入用户帐户相关信息 (3) 单击“下一步”按钮，打开输入密码的对话框，如图 12-36 所示。 图 12-36 输入密码 4) 在“密码”栏和“确认密码”中输入相同的密码。 在此对话框中，还有 4 个复选框，下面简要介绍它们的应用。 — “用户下次登录时须更改密码”选项。因为现在是系统管理员在新建用户，新建 用户的密码系统管理员都知道，如果密码只想让用户自己知道，就要选中该项，用户在下 次登录时就可对密码进行修改。 — “用户不能更改密码”选项。一些公用的用户帐户(如 guest)，应选中该项，以防 止一个人修改了密码而造成其它人不能登录的现象。 — “密码永不过期”选项。默认设置下，用户密码使用一段时间(如 42 天)后，系统 22 会要求修改密码，以提高安全性，如果用户想永久使用当前的密码，可选中该项。 — “帐户已停用”选项。若选中此项，该用户名就不能被使用了，但与该用户相关 的资源还在，只是目前被冻结了，在需要时，取消该选项，即可恢复该用户的使用。实际 工作中，该选项比较适合于用户暂时离开单位的情况(如出差)。 5) 选中“用户不能更改密码”和“密码永不过期”选项，单击“下一步”按钮，再单 击“完成”按钮，便结束了新建用户的工作。 2. 用复制的方法创建新用户 在实际工作中，有时要创建多个设置相同的用户，如对同一个部门的人的工作要求相似 一样。为了提高新建用户的工作效率，可采用复制的方法来创建类似设置的用户。 (1) 右击某一个已创建好的用户名，选择“复制”，如图 12-37 所示。 图 12-37 准备复制用户 (2) 在打开的“复制对象-用户”对话框中输入另一个新建用户的相关信息，如图 12-38 所示。 23 图 12-38 用复制的方法新建一个用户时输入相关信息 (3) 单击“下一步”按钮，在打开的对话框中输入密码，如图 12-39 所示．将图 12-39 与图 12-36 进行比较，在图 12-35 中，是手工选择了“用户下次登录时须更改密码”选项， 而图 12-39 中，“用户下次登录时须更改密码”选项是自动被选中的，即将老用户的有关设 置复制给新用户了。 图 12-39 用复制的方法新建一个用户时输入密码 (4) 单击“下一步”按钮，再单击“完成”按钮，结束用复制方法新建用户的工作。 3．查看/修改用户帐户有关设置 (1) 修改用户密码 24 右击用户名，在弹出的菜单中选择“重设密码”，如图 12-40 所示。 图 12-40 修改用户密码 (2) 移动用户帐户位置 如果用户发生了工作调动，可将该用户移动到另一个组织单位。 右击用户名，在弹出的菜单中选择“移动”，参见图 12-40。 (3) 查看/修改用户帐户属性 右击用户名，在弹出的菜单中选择“属性”，在打开的对话框中，可对用户的相关设置 做进一步的修改，如“帐户”选项卡中的相关设置。这里可进行的设置比新建用户时要多， 如图 12-41 所示。 25 图 12-41 查看/修改用户帐户属性 4． 设置普通域用户在本机登录 默认设置下，为了安全，普通域用户无权在服务器的本机登录，只能从客户机上登录 到服务器。但通过设置也可以使普通域用户在服务器上进行本机登录。 (1) 通过“开始/程序/管理工具/域控制器安全策略”菜单命令，打开“域控制器安全策 略”控制台。 (2) 依次展开“安全设置”、“本地策略”、“用户权利指派”选项，在右侧窗格选中“在 本地登录”，如图 12-42 所示。 图 12-42 “域控制器安全策略”控制台中“在本地登录”选项 (3) 选中“在本地登录”选项，打开“安全策略设置”对话框，如图 12-43 所示。 26 图 12-43 “安全策略设置”对话框 (4) 单击“添加”按钮，在其中添加可在本地登录的用户。 设置完成后，一定要重新启动计算机才能生效。 12.4 组 12.4.1 组概述 组可使指派资源权限简单化，用户可以是多个组的成员，一个组可以加入到别的组当 中。一个组最多可有 5000 个成员。 能创建组的用户必须是 Administrators 组、Account Operators 组的成员。 1. 组的作用域 组的作用域有“本地组”、“全局组”和“通用组”三种。 Windows Server 2003 的域有“私有(本机)模式”和“混合模式”两种，“通用组”只在“私 有模式”中存在。 (1) 全局组 全局组主要用于组织相同需求的用户。 混合模式下全局组成员可以是同一个域的用户帐户；本机模式下全局组成员可以是同 一个域的用户帐户和其它全局组。 混合模式下全局组可加入到域本地组；本机模式下全局组可加入到任何域的通用组、 域本地组、同域全局组中。 27 全局组可访问本域和所有信任域。 (2) 本地组 域本地组主要针对资源而设置，包括非域控制器上的资源。 混合模式下本地组成员可以是任何域的用户和全局组；本机模式下本地组成员可以是 树林中任何域的用户、全局组、通用组、同域的域本地组。 混合模式下本地组不能加入到任何其它组；本机模式下本地组可加入到同一域的其它 域本地组。 本地组只能访问自己所在的域。 (3) 通用组 混合模式下通用组不可使用。 本机模式下通用组成员可以是树林中的任何域的用户、全局组、其它通用组。 本机模式下通用组可加入到任何域的本地组和通用组。 通用组可访问树林中所有域。 通用组一般不用于单域，它适用于多域环境。 (4) 有关说明 1) 在混合域模式下，同类组之间不能嵌套。 2) 可将域的混合模式转换为本机模式，但反向转换不行。 2. 组类型 (1) 安全组 安全组有安全标识符(SID)，用于与安全性有关的功能，如资源权限。也可用于向多用 户发送 E-mail 信息，此时功能与分布组相同。 (2) 分布组 分布组无安全标识符，与安全性无关，不能为其授权，用于群发电子邮件。分布组有 时是必要的，因为某些应用程序只能够读分布组，如 MS Exchange Server 2000(针对活动目 录 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 )。 (3) 安全标识符 安全标识符(SID)由文字和数字组成，它用来惟一标识用户、组、服务、计算机。Windows 2000 控制访问时是使用安全标识符，而井非名字。 用户或组的安全性标识符不可重用，删除后再建同名的用户或组，Windows2000 认为 是不同的用户或组，因为它们的安全性标识符不会跟原来一样。 3. 组在树林中的使用策略 树林中有许多域，域中组的许可策略可按 AG(DL)P 的方式分配，即用户一全局组一本 地组一分配资源许可。 将用户放入某一个全局组中，再将该全局组放入某一个本地组中，最后对该本地组分 配资源许可。 如果只有一个单域，则不必设置得这么烦琐，只需将用户放入某一个组中，再对该组 分配资源许可即可。 28 4. 特殊组 Windows Server 2003 内置了一些特殊组．如 Everyone(所有用户，含 guest 用户)、 Authenticated Users(所有通过认证的用户，不含 guest 用户)等。 内置的域本地组在活动目录的 builtin 夹中，用于在域控制器的活动目录中执行任务， 它们位于域控制器上，不可删除。 预定义的全局组在活动目录的 Users 夹中，用它们控制域中所有用户更容易，它们只 存在于域控制器上。Domain users 组包括所有域用户和 guest 用户。 12.4.2 创建组 1. 创建组 创建组并为组添加成员的步骤如下： (1) 通过“开始/程序/管理工具/Active Directory 用户和计算机”菜单命令，打开“Active Directory 用户和计算机”控制台，选中某组织单位，再右击该组织单位．选择“新建”菜 单命令，再选择“组”菜单项，打开“新建对象—组”对话框．在该对话框中输入组名， 选择好组作用域和组类型，默认情况下，系统将创建全局安全组，如图 12-44 所示。 图 12-44 新建全局安全组 (2) 单击“确定”按钮，一个全局安全组便创建好了。 (3) 再新建另一个组，在“新建对象—组”对话框中，选择组作用域为“本地域”，组 类型为“安全式”，系统将创建本地安全组，如图 12-45 所示。 29 图 12-45 新建本地安全组 (4) 右击本地安全组组名，选择“属性”，打开该组的属性对话框，选择“成员”选项 卡，如图 12-46 所示。 图 12-46 组的属性对话框 （5）单击“添加”按钮，给组添加成员，在选择组成员的列表框中，不仅可以看到单 个用户名，还可以看到全局组名，这就说明了全局组可以加入其它本地组，如图 12-47 所 30 示。 图 12-47 给本地组添加组成员 （6）右击全局安全组组名，选择“属性”，打开该组的属性对话框，选择“成员”选 项卡，单击“添加”按钮，给组添加成员，在选择组成员的列表框中，可以看到单个用户 名，但看不到本地组名，这就说明了本地组不能加入到全局组，如图 12-48 所示。 图 12-48 给全局组添加组成员 31 12.5 计算机账户 12.5.1 计算机账户概述 加入域中且运行 Windows Server 2003 或 Window NT 的每一台计算机均具有计算机帐 户。与用户帐户类似，计算机帐户提供一种验证和审核计算机访问网络以及域资源的方法。 连接到网络上的每一台计算机都应有自己惟一的计算机帐户。 12.5.2 创建计算机帐户 1．在活动目录中创建计算机帐户 (1) 通过“开始/管理工具/Active Directory 用户和计算机”菜单命令，打开“Active Directory 用户和计算机”控制台，选中某组织单位，再右击该组织单位，选择“新建”菜 单命令，再选择“计算机”菜单项，在打开的“新建对象—计算机”对话框中输入客户机 的计算机名，如图 12-49 所示。 图 12-49 新建计算机帐户 注意： 在“新建对象—计算机”对话框中可以看到，默认设置下，只有Domain Admins 组(域管理员组)的成员才可以将计算机加入到域，系统管理员administrator就是域管理员组 的成员． (2) 单击“下一步”按钮，打开“管理”对话框，如图 12-50 所示，选择“这是一台 被管理的计算机”。 32 图 12-50 “管理”对话框 (3) 单击“下一步”按钮，再单击“完成”按钮，完成在活动目录中添加计算机帐户。 2． 将客户机加入到域 要想在活动目录中对客户机进行进一步的控制(如组策略的设置)，还应该在客户机上 将客户机加入到域，其操作步骤如下： (1) 在 Windows 2000 Professional 的客户机桌面上右击“我的电脑”，选择“属性”，打 开“系统特性”对话框，选择“网络标识”选项卡，单击“属性”按钮，如图 12-50 所示。 33 图 12-50 客户机“系统特性”对话框 (2) 在打开的“标识更改”对话框中，选择“域”单选框，并在下面的文本框中输要 加入的域名，如图 12-51 所示。 图 12-51 客户机“标识更改”对话框 34 (3) 单击“确定”按钮，打开“域用户名和密码”对话框，输入有权将该计算机加入 到域的域用户名和密码，如 Domain Admins 组(域管理员组)的成员，在此输入系统管理员 用户名 administrator 和密码，如图 12-52 所示。 图 12-52 有权加入到域的“域用户名和密码”对话框 (4) 单击“确定”按钮，如果加入成功，将弹出如图 12-53 所示的对话框。 图 12-53 欢迎加入域的对话框 (5) 单击“确定”按钮，系统提示重新启动计算机．重新启动客户机后，在登录时选 择登录到活动目录的域，客户机便加入到了活动目录。 在服务器的一个组织单位中，若没有事先建好计算机帐户，在客户机上将计算机加入到 域后，服务器会自动在 Computers 对象中生成该计算机帐户，可根据需要将它们移至其它 组织单位。 3． 在活动目录中管理域中的客户机 在服务器的“Active Directory 用户和计算机”控制台，选中某计算机帐户，右击该计 算机帐户，选择“管理”菜单命令，如图 12-54 所示。 35 图 12-54 启动客户机计算机的管理 在随后打开的“计算机管理”窗口中就可实现在服务器上对客户机进行相关的管理， 如图 12-55 所示。需要注意的是，此“计算机管理”窗口中的计算机名是客户机的计算机 名。 图 12-55 在服务器上对客户机进行相关的管理 36 习题 12 简答题 （1）什么是活动目录？ （2）简述什么是域？ （3）简述什么是组织单位？ （4）什么是计算机账户？ 操作题 （1）新建一个域名为 zyxy.edu 的活动目录。 （2）在创建的活动目录中新建一个名为“机电系”的组织单位，并在该组织单位中再创建 下一级组织单位“机电一班”。 （3）在活动目录中的组织单位“机电系”下建立名为 jd1 和 jd2 的域用户帐户，然后创建 一个名为 jd 的全局组，并将 jd1 和 jd2 加入 jd 中。 （4）在“机电一班”下建立一个名为 computer1 的计算机账户，然后启动客户机，将客户 机的计算机名改为 computer1，并将 computer1 加入 zyxy.edu 域中。 37 第12章 活动目录管理 12.1 活动目录概述 12.1.1活动目录的基本概念 12.1.2 活动目录的安装 12.2 组织单位 12.2.1 组织单位概述 12.2.2 创建组织单位对象 12.3 域用户帐户 12.3.1 域用户帐户概述 12.3.2 创建域用户 12.4 组 12.4.1 组概述 12.4.2 创建组 12.5 计算机账户 12.5.1 计算机账户概述 12.5.2 创建计算机帐户 习题12 简答题 操作题