1、http:/ 本章主要介紹Windows Server 2003中活動目錄的概念，運用域模式來實現組網應用。通過本章學習，讀者應能掌握活動目錄的規劃與安裝；掌握域成員計算機的加入方法；掌握用戶賬戶和計算機賬戶的管理方法；掌握組織單位的管理、活動目錄對象建立與管理的方法。http:/ 活動目錄的概念n6.2 活動目錄的安裝n6.3 加入域的成員計算機n6.4 活動目錄對象建立與管理http:/ 活動目錄的概述活動目錄(Active Directory)是一種目錄服務，它存儲有關網絡對象(如用戶、組、計算機、共享資源、打印機和聯系人等)的信息，并將結構化數據存儲作為目錄信息邏輯和分層組織的基礎，使

2、管理員和用戶可以方便地查找并使用這些網絡信息。域(Domain)仍然是Windows Server 2003目錄服務的基本管理單位，但增加了許多新的功能。域模式的最大好處就是它的單一網絡登錄能力，任何用戶只要在域中有一個賬戶，就可以漫游網絡。http:/ 活動目錄的特性 1. 集成性 Windows Server 2003活動目錄的集成性指它結合了各種管理：用戶、資源管理、基于目錄的網絡服務和基于網絡的應用管理。另外，Windows Server 2003活動目錄還廣泛地采納了Internet標準，將眾多Internet服務集成在一起，增強了自身的網絡管理功能。 2. 深入性 Windows

3、Server 2003活動目錄的深入性主要體現在其企業級的可伸縮性、安全性、互操作性、編程能力和升級能力上。Server 2003活動目錄允許用戶組建單域來管理少量的網絡對象，也允許用戶通過域目錄管理成萬上億個對象。 3. 易用性 Windows Server 2003活動目錄主要體現在其簡易的安裝和管理上。在安裝Windows Server 2003活動目錄時，第一個域服務器配置成為域控制器，而其他所有新安裝的計算機都安裝成為成員服務器，并且目錄服務可以事后用Dcpromo的命令進行特別安裝。http:/ 活動目錄的結構 活動目錄：活動目錄的作用是用于組織有關真實網絡實體例如用戶、共享、打印

4、機以及應用程序等信息。對象：活動目錄對象(object)表示網絡中的某種物理對象。常見的活動目錄對象有用戶、組、打印機、共享文件夾、應用程序、數據庫、聯系等等 組織單位：組織單位(Organizational Unit，OU)就像文件夾一樣。OU定義用于存放對象(也存放其他的OU)。它和對象一樣，也包含屬性，但對其本身不起作用。組織單位的用途是存放其他的對象。 http:/ 域：從定義上講，域(domain)是用戶和計算機的邏輯分組(如圖所示)。域通常位于本地化的地理位置上，但也有例外。實際上，域不僅僅是邏輯分組它實際上是網絡的安全邊界。 域樹：由一個以上的域所組成的層次式排列，但這些域需分享

5、一個連續的名稱空間(如圖所示)。每一個域之間可建立雙向可傳遞的信任關系。 域林：那些不共享連續名稱空間的一個或多個樹稱為域林(forest)。域林中的所有樹都具有相同的架構、配置和全局編錄，但是這些樹不共享同一個連續名稱空間。 http:/ 活動目錄的規劃 1. 規劃DNS 2. 規劃域結構 3. 規劃組織單位結構 4. 規劃委派模式http:/ Server 2003時，系統沒有默認安裝活動目錄。用戶要將自己的服務器配置成域控制器，應該首先安裝活動目錄。n通過配置服務器向導或運行“dcpromo”開始域控制器的安裝。http:/ (1)啟動Windows Server 2003系統自動打開【

6、Server 2003配置服務器】窗口，或者選擇【開始】/【程序】/【管理工具】/【配置服務器】，打開如圖所示配置服務器向導窗口。http:/ (2)單擊【下一步】，出現一個配置服務器向導的預備步驟窗口，以確認所提到的步驟已完成。單擊【下一步】，出現檢測網絡設置窗口。http:/ (3)接下來出現配置選項窗口，我們選擇【自定義配置】選項，單擊【下一步】，出現服務器角色窗口，也就是你想讓你的服務器擔任的角色，我們從列表中選擇【域控制器】。http:/ Directory安裝向導窗口】,如圖所示。http:/ Server 2003創建的域。(5)單擊【下一步】，【Active Directory

7、安裝向導】會詢問新建的域控制器的性質，選擇【新域的域控制器】。http:/ (6)單擊【下一步】，打開如圖所示的【創建一個新域】對話框，如果所創建的域為單位的第一個域，或者希望所創建的新域獨立于現有目錄林，可選擇【新林中的域】。如果希望新的域成為現有域的子域，則選擇【現有域中的子域】。如想創建一個與現有域樹分開的、新的域樹，則選擇【在現有林中的域樹】。這里我們選擇【新林中的域】。http:/ (7)單擊【下一步】，打開如圖所示的指定域名對話框，在【新域的DNS全名】文本框中輸入新建域的DNS全名，例如。http:/ (8)單擊【下一步】，打開如圖所示的【NetBIOS域名】對話框，在【域Net

8、BIOS名】文本框中輸入NetBIOS域名，或者接受顯示的名稱。NetBIOS域名是供早期的Windows用戶用來識別新域的。http:/ (9)單擊【下一步】，打開如圖所示的【數據庫和日志文件文件夾】對話框，在【數據庫文件夾】文本框中輸入保存數據庫的位置，或者單擊【瀏覽】按鈕選擇路徑，在【日志文件夾】文本框中輸入保存日志的位置或單擊【瀏覽】按鈕選擇路徑。注意，基于最佳性和可恢復性的考慮，最好將活動目錄的數據庫和日志保存在不同的硬盤上。http:/ (10)單擊【下一步】，打開如圖所示的【共享的系統卷】對話框，在Server 2003中，Sysvol文件夾存放域的公用文件的服務器副本，它的內容

9、將被復制到域中的所有域控制器上。http:/ (11)單擊【下一步】，會出現【Active Directory安裝向導】的DNS注冊診斷程序對話框。我們選擇【在這臺計算機上安裝并配置DNS服務器，并將這臺DNS服務器設為計算機的首選DNS服務器】http:/ (12)單擊【下一步】，打開如圖所示的【權限】對話框，為用戶和組選擇默認權限，如果單位中還存在或將要用Windows 2000的以前版本，選擇【與Windows 2000之前的服務器操作系統兼容的權限】。否則，選擇【只與Windows 2000或Windows Server 2003操作系統兼容的權限】。http:/ (13)單擊【下一步

10、】，打開【目錄服務還原模式的管理員密碼】對話框，如圖所示，輸入并牢記該密碼，以備將來目錄服務還原模式下使用。http:/ (14)單擊【下一步】，打開【摘要】對話框，如圖所示。通過該對話框，用戶可檢查并確認設置的各個選項。http:/ (15)單擊【下一步】，系統開始配置活動目錄，中間將需要Windows Server 2003 安裝光盤，如圖所示。此時如果將2003光盤放入光驅，系統會自動完成對DNS服務器得配置。http:/ (16)經過幾分鐘之后，配置完成。同時，打開【完成Active Directory安裝向導】對話框，如圖所示，單擊【完成】，即完成活動目錄的安裝。http:/ 成員計

11、算機與域控制器是連通的。 成員計算機與域控制器所使用的DNS服務器是相同的，即可以使得客戶機通過DNS服務器獲得域名。http:/ 成員服務器的加入 以Windows 2000 Server和Windows Server 2003操作系統的服務器為主，將其加入到域中，成為域中的成員服務器。http:/ (1)右擊【我的電腦】，在彈出的菜單中選擇【計算機名】標簽，如圖所示。http:/ (2)單擊【更改】，進入【計算機名更改】窗口，選擇【隸屬于域】，并在其中填入域名【】，如圖所示。http:/ (3)單擊【確定】按鈕，進入到【域用戶名和密碼】設置窗口，輸入有加入該域權限的賬戶名和密碼，如圖所示。

12、http:/ (4)單擊【確定】按鈕，彈出【網絡標識】確定窗口，出現【歡迎加入到域】的提示信息，如圖所示。 (5)單擊【確定】按鈕后，系統會提示重啟系統，重啟后登錄時會提示是登錄到域還是本機的信息，選擇登錄到域要用域用戶賬戶，選擇登錄到本機要用本地賬戶。http:/ 客戶端計算機的加入 下面以主流的客戶端計算機操作系統(Windows 2000 Professional)為主，介紹如何將客戶端計算機加入到域中。 (1)設置客戶計算機的標識，具體設置如圖所示。http:/ (2)單擊【網絡ID】按鈕，進入【網絡標識向導】，如圖所示。http:/ (3)單擊【下一步】按鈕，進入【正在連接網絡】對話

13、框，選擇【公司使用帶有域的網絡】，如圖所示。http:/ (4)單擊【下一步】按鈕，進入【網絡信息】窗口，如圖所示。http:/ (5) 單擊【下一步】按鈕，進入【用戶賬戶和域信息】窗口，如圖所示。http:/ (6) 輸入所在域的管理員賬戶及密碼，單擊【下一步】按鈕，進入【用戶賬戶】窗口，如圖所示。http:/ (7) 選擇【目前不添加用戶】選項，單擊【下一步】按鈕，進入【網絡訪問標識完成】窗口，如圖所示。 (8) 單擊【完成】按鈕，重啟客戶機，在登錄界面中選擇登錄到域，用域中的用戶賬戶登錄進入域。http:/ 用戶管理 1. 用戶賬戶介紹 (1) 本地用戶賬戶 (2) 域用戶賬戶 (3)

14、內建用戶賬戶http:/ 2. 用戶賬戶的管理 (1)新建用戶賬戶 (2)刪除用戶 (3)停用用戶賬戶 (4)移動用戶 (5)用戶賬戶選項 (6)管理用戶賬戶http:/ 組的管理 1. 組的概念 組是用來管理對共享資源進行訪問的用戶賬戶的集合。組可以簡化對網絡中資源訪問的管理。 將一個用戶賬戶添加為組的成員時，該賬戶就被授予該組擁有的所有權限。 一個用戶賬戶可以是多個組的成員。 http:/ 2. 工作組和域中的組 (1) 工作組中的組： n被創建在非域控制器的計算機上。n駐留在“安全賬戶管理器”(SAM)中。n僅在創建組的計算機上才能用該組來授予用戶訪問資源和執行系統任務的權限。 (2)

15、域中的組： n僅可在域控制器上創建 n駐留在活動目錄里 n在域中任何一臺計算機上都可以用組來授予用戶訪問資源和執行系統任務的權限 http:/ 3. 組的的作用域 本地域組：使用這個作用域來給位于創建該本地域組的域中的資源分配權限。僅適用于本身所在域中的域主控制器、成員服務器以及域工作站，卻不能跨域。 全局組 ： 使用這種組作用域來組織有相似網絡訪問要求的用戶。適用于本身所在域中的域主控制器、成員服務器、域工作站以及其他的信任關系域。 通用組： 給多個域中的相關資源授予權限。 在所連接的任何域樹中都有效 4. 組的類型 安全式： 具有權限和資源使用的限制。 分布式： 僅適用于配合郵件服務器軟件

16、。 http:/ 5. 組的嵌套： 把組添加到其他組可以減少需要分配權限的次數。多層嵌套會造成混亂，一般采用一層嵌套。 6. 內置組 將內置的使用權利指派給用戶，使這些用戶直接具有該域的全部或部分的系統管理控制權。內置本地域組只存在于域控制器上，不能刪除。 (1)內建的本地域組有 ： Account Operators 、Administrators、Backup Operators、Guests、Printer Operators、Replicator、Server Operators、Users。 (2)內建全局組 ：Domain Admins、Domain Guests 、Domain Users、Enterprise Admins:。 (3本地組：Administrators、Backup Operators、Gue