局域網(wǎng)技術(shù)第4章組建域模式的局域網(wǎng)張蒲生主編

pszhang@126.com2007年8月中國科技網(wǎng)學(xué)習(xí)任務(wù)掌握活動目錄的安裝、配置與管理的方法。理解域結(jié)構(gòu)和域控制器的功能，能夠進行域管理，以及將客戶端加入到域中并訪問域中的資源。學(xué)會管理域模式局域網(wǎng)中的用戶和計算機。第4章組建工作組模式的局域網(wǎng)中國科技網(wǎng)目錄4.1活動目錄的基本知識

4.1.1活動目錄概述

4.1.2安裝活動目錄服務(wù)4.2域管理與服務(wù)配置

4.2.1域的管理

4.2.2配置活動目錄信任

4.2.3客戶機登錄Windows域的方法

4.2.4域中資源的訪問和控制方法

4.2.5域模式的局域網(wǎng)配置實訓(xùn)4.3活動目錄的服務(wù)管理

4.3.1用戶和計算機賬戶管理

4.3.2組和組織單位的管理

4.3.3域模式的局域網(wǎng)中用戶管理的實訓(xùn)中國科技網(wǎng)4.1.1活動目錄概述1．活動目錄的由來MSDOS下的“目錄”、“路徑”和Windows系統(tǒng)下“文件夾”所能代表的僅是這個目錄下所有文件的存放位置和所有文件總的大小，并不能得出其他有關(guān)信息，它的屬性也就相對固定了，是靜態(tài)的。Microsoft公司從Windows2000Server開始引入活動目錄的概念。這個目錄是活動的，所以它是動態(tài)的，它是一種包含服務(wù)功能的目錄，它可以做到“由此及彼”的聯(lián)想及映射?；顒幽夸洶▋蓚€方面：目錄和與目錄相關(guān)的服務(wù)。中國科技網(wǎng)活動目錄的主要功能（1）利用活動目錄服務(wù)可以集中組織、管理和控制用戶及其對網(wǎng)絡(luò)資源的訪問。（2）活動目錄集成了各種技術(shù)服務(wù)和應(yīng)用，如域名服務(wù)、動態(tài)主機配置服務(wù)和WWW服務(wù)等。此外，活動目錄還集成了許多當(dāng)今流行的數(shù)據(jù)庫訪問技術(shù)和編程技術(shù)，如組件對象模型、動態(tài)鏈接庫和網(wǎng)絡(luò)化多媒體對象技術(shù)等。（3）當(dāng)用戶和應(yīng)用程序進行信息訪問時，活動目錄提供信息儲存庫及相應(yīng)的服務(wù)?？蛻粝蚧顒幽夸浄?wù)器發(fā)送查詢請求時，需要DNS服務(wù)來定位活動目錄服務(wù)器。4.1.1活動目錄概述中國科技網(wǎng)2．引入活動目錄的意義

□

信息安全性大大增強

□

基于策略的管理，使系統(tǒng)的管理更加明朗

□

具有很強的可擴展性

□

具有很強的可伸縮性

□

與DNS集成緊密

□

具有靈活的查詢4.1.1活動目錄的概述中國科技網(wǎng)4.1.1活動目錄概述3．工作組模式和域模式（1）兩種基本模式使用Windows系統(tǒng)來組建局域網(wǎng)有兩種基本的模式：工作組模式和域模式。（2）工作組模式和域模式的差別如果說工作組是“免費的旅店”，那么域就是“星級的賓館”。工作組可以隨便出出進進，而域則需要嚴格控制。中國科技網(wǎng)4.1.2安裝活動目錄服務(wù)1.安裝前的準備工作首先是必須有安裝活動目錄的管理員權(quán)限，否則無法安裝。在安裝活動目錄之前，要確保系統(tǒng)盤為NTFS分區(qū)。2.安裝活動目錄的步驟活動目錄的安裝操作步驟請參見教材95-97頁。中國科技網(wǎng)4.1.2安裝活動目錄服務(wù)中國科技網(wǎng)3．檢驗安裝結(jié)果（1）檢查DNS文件的SRV記錄用文本編輯器打開%SystemRoot%/system32/config/中的Netlogon.dns文件，查看LDAP服務(wù)記錄。（2）驗證SRV記錄在命令提示行下，輸入NSLOOKUP；然后輸入settype=srv；_ldap_。如果返回了服務(wù)器名和IP地址，說明SRV記錄工作正常。4.1.2安裝活動目錄服務(wù)中國科技網(wǎng)4.2.1域的管理4.2.2配置活動目錄信任4.2.3客戶機登錄Windows域的方法4.2.4域中資源的訪問和控制方法4.2.5域模式的局域網(wǎng)配置實訓(xùn)4.2域管理與服務(wù)配置中國科技網(wǎng)4.2.1域的管理1．設(shè)置域控制器屬性（1）選擇“開始”→“程序”→“管理工具”→“ActiveDirectory用戶與計算機”菜單，打開“ActiveDirectory用戶與計算機”管理窗口。（2）在控制臺目錄樹中，雙擊展開域節(jié)點，單擊“DomainControllers”子節(jié)點。（3）在詳細資料窗格中，右擊要設(shè)置屬性的域控制器，從彈出的快捷菜單中選擇“屬性”選項，打開該控制器的“屬性”對話框。中國科技網(wǎng)4.2.1域的管理1．設(shè)置域控制器屬性（4）在“常規(guī)”選項卡的“描述”文本框中輸入對域控制器的一般描述。如果不希望域控制器的可受信任用來作為委派，可禁用“信任計算機作為委派”復(fù)選框。（5）選擇“操作系統(tǒng)”選項卡，在該選項卡中，顯示出操作系統(tǒng)的名稱、版本以及ServicePack，管理員只能查看并不能修改這些內(nèi)容。（6）選擇“隸屬于”選項卡，要添加組，單擊“添加”，打開“選擇組”對話框為域控制器選擇一個要添加的組；要刪除某個已經(jīng)添加的組，在“成員屬于”列表框選擇該組，然后單擊“刪除”即可。中國科技網(wǎng)4.2.1域的管理1．設(shè)置域控制器屬性（7）當(dāng)管理員為域控制器添加多個組時，還可為域控制器設(shè)置一個主要組。要設(shè)置主要組，在“隸屬于”列表框中選擇要設(shè)置的主要組，一般為DomainControllers，也可為CertPublishers，然后單擊“設(shè)置主要組”即可。（8）選擇“位置”選項卡，可以設(shè)置域控制器的位置。（9）選擇“管理者”選項卡，要更改域控制器的管理者，可單擊“更改”，打開“選擇用戶或聯(lián)系人”對話框，選擇新的管理人即可。要刪除管理者，可單擊“清除”來刪除；要查看和修改管理者屬性，可單擊“查看”，打開該管理者屬性對話框來進行操作。（10）域控制器設(shè)置完畢，單擊“確定”保存設(shè)置。中國科技網(wǎng)4.2.1域的管理2．查找域控制器目錄內(nèi)容（1）在“ActiveDirectory用戶和計算機”窗口的控制臺目錄樹中，右擊域節(jié)點，在彈出的快捷菜單中選擇“查找”命令，打開“查找用戶聯(lián)系人及組”對話框。（2）在“查找”下拉列表框中可以選擇要查找的目錄內(nèi)容，包括“用戶、聯(lián)系人及組”、“計算機”、“打印機”、“共享文件夾”、“組織單位”、“自定義搜索”等。例如，在列表中選擇“計算機”，在“范圍”下拉列表框中選擇查找范圍，如整個目錄。（3）在“計算機”選項卡中，設(shè)置查找條件。例如，在“計算機”文本框中輸入要查找的計算機名，在“所有者”文本框中輸入計算機的用戶名，在“作用”下拉列表框中選擇計算機在網(wǎng)絡(luò)中作用。中國科技網(wǎng)4.2.1域的管理2．查找域控制器目錄內(nèi)容（4）單擊“高級”選項卡，要設(shè)置高級查找條件，單擊“字段”按鈕，從彈出的快捷菜單中選擇設(shè)置條件的選項，然后在“條件”下拉列表框和“值”文本框中設(shè)置查詢條件。（5）高級條件設(shè)置好之后，單擊“添加”按鈕，將條件添加到下面的文本框中。如果要繼續(xù)添加高級條件，可按照上面步驟繼續(xù)添加。（6）所有查找條件設(shè)置完畢，單擊“開始查找”按鈕即開始查找，并將查找結(jié)果列出。中國科技網(wǎng)4.2.1域的管理3．連接到其他域在一個多域的網(wǎng)絡(luò)中，用戶經(jīng)常需要將當(dāng)前域連接到其他域，這樣可使當(dāng)前域中的用戶和計算機訪問其他域中的資源，也可將當(dāng)前域控制器的部分操作主機功能傳送給其他域控制器，甚至可將當(dāng)前域控制器更改為其他域中的域控制器。要連接到網(wǎng)絡(luò)中其他域時，可在控制臺目錄樹中，右擊“Active

Directory用戶和計算機”根節(jié)點，從彈出的快捷菜單中選擇“連接到域”命令，打開“連接到域”對話框，在“域”文本框中輸入要連接的域的名稱；或者單擊“瀏覽”按鈕，打開“瀏覽域”對話框選擇要連接的域，單擊“確定”按鈕即可建立連接。中國科技網(wǎng)4.2.1域的管理4．重命名域和域控制器使用WindowsServer2003安裝光盤上的工具Rendom.exe來重命名域。5．更改域控制器要更改域控制器時，可在控制臺目錄樹中，右擊“ActiveDirectory用戶和計算機”根節(jié)點，從彈出的快捷菜單中選擇“連接到域控制器”，打開“連接到域控制器”對話框。在“輸入另一個域控制器的名稱”文本框中輸入要連接的域控制器；或者從域控制器列表中選擇一個要連接的域控制器。如果在域中沒有列出其他可用的域控制器，可選擇“任何可寫的域控制器”選項，系統(tǒng)會根據(jù)網(wǎng)絡(luò)連接情況自動選擇可用的域控制器。要連接的域控制器選定之后，單擊“確定”完成連接。中國科技網(wǎng)4.2.1域的管理6．提升域功能級別根據(jù)網(wǎng)絡(luò)的實際需要，可以提升域功能級別，具體步驟如下。（1）運行“管理工具”→“ActiveDirectory域和信任關(guān)系”管理應(yīng)用程序。（2）右擊想要管理的域的“域節(jié)點”，然后單擊“提升域功能級別”。（3）在更改域模式窗口中，可以在“選一個可用的域功能級別”的下拉菜單中選擇一種模式。中國科技網(wǎng)4.2.2配置活動目錄信任1．創(chuàng)建明確的域信任（1）運行“管理工具”→“ActiveDirectory域和信任關(guān)系”管理應(yīng)用程序。（2）在控制臺樹中，鼠標右鍵單擊要管理的域節(jié)點，然后單擊“屬性”。（3）單擊“信任”選項卡。（4）根據(jù)需要，單擊“新建信任”，打開“新建信任向?qū)А贝翱?，與一個Windows域建立信任則輸入這個域的名稱。單擊“下一步”，打開的窗口會詢問信任方向，WindowsServer2003中活動目錄信任的方向有單向的內(nèi)向信任、單向的外向信任、雙向信任。這里選擇“雙向”。中國科技網(wǎng)4.2.2配置活動目錄信任1．創(chuàng)建明確的域信任（5）單擊“下一步”，窗口詢問創(chuàng)建信任關(guān)系域的范圍，選擇“只是這個域”。（6）單擊“下一步”，選擇“全域性身份驗證”；單擊“下一步”打開“信任密碼”窗口，輸入密碼。（7）單擊“下一步”，給出我們所配置的信息，在以后的步驟中使用默認設(shè)置，最后單擊“完成”，完成配置。注意：密碼必須是信任域和被信任域雙方都接受的。中國科技網(wǎng)4.2.2配置活動目錄信任2．驗證信任關(guān)系（1）運行“管理工具”→“ActiveDirectory域和信任關(guān)系”管理應(yīng)用程序。（2）在控制臺樹中，鼠標右鍵單擊要驗證的信任關(guān)系所涉及的一個域，然后單擊“屬性”對話框。（3）單擊“信任”選項卡，在“受此域信任的域”或“信任此域的域”中，單擊要驗證的信任關(guān)系，然后單擊“屬性”。（4）單擊“驗證”即可。中國科技網(wǎng)4.2.2配置活動目錄信任3．撤銷信任關(guān)系（1）運行“管理工具”→“ActiveDirectory域和信任關(guān)系”管理應(yīng)用程序。（2）在控制臺樹中，鼠標右鍵單擊要撤銷的信任關(guān)系所涉及的一個域節(jié)點，然后單擊“屬性”對話框。（3）單擊“信任”選項卡，在“受此域信任的域”或“信任此域的域”中，單擊要撤銷的信任關(guān)系，然后單擊“刪除”即可。（4）對于此信任關(guān)系中涉及的其他域，重復(fù)該過程。中國科技網(wǎng)4.2.3客戶機登錄Windows域的方法1．服務(wù)器端設(shè)置要把局域網(wǎng)中客戶端的計算機加入域，必須要由網(wǎng)絡(luò)管理員進行相應(yīng)的設(shè)置。以系統(tǒng)管理員身份在已經(jīng)設(shè)置好活動目錄的服務(wù)器上登錄，選擇“開始”→“程序”→“管理工具”→“ActiveDirectory用戶和計算機”，之后在程序界面中右擊“Computers”，在彈出的快捷菜單中單擊“新建”按鈕，然后選擇“計算機”選項，之后填入想要加入域的計算機名即可。中國科技網(wǎng)4.2.3客戶機登錄Windows域的方法2．客戶端設(shè)置①啟動Windows2000professional，以本地管理員身份登錄到計算機。首先將客戶機TCP/IP配置中所配的DNS服務(wù)器，指向域控制器所用的DNS服務(wù)器。然后右擊“我的電腦”，在彈出的快捷菜單中選擇“系統(tǒng)特性”選項，出現(xiàn)“系統(tǒng)特性”對話框。選擇“網(wǎng)絡(luò)標識”選項卡，然后單擊“屬性”。②在“標識更改”對話框中，輸入當(dāng)前計算機的名稱和將要加入的域名稱，假如域控制器所在的域是，則在“隸屬于域”下填入gdqy，單擊“確定”。中國科技網(wǎng)4.2.3客戶機登錄Windows域的方法中國科技網(wǎng)4.2.3客戶機登錄Windows域的方法2．客戶端設(shè)置③隨后會出現(xiàn)賬戶名稱和密碼輸入的對話框，輸入擁有加入域權(quán)限的用戶賬戶的名稱和密碼，然后單擊“確定”。④最后將會彈出對話框“歡迎加入域”。單擊“確定”，提示需要重新啟動計算機才能完成加入到域中的全部操作。單擊“確定”，重新啟動計算機。⑤客戶端計算機重新啟動之后，在提示用戶登錄的對話框中單擊“選項”，在“登錄到”下拉列表中選擇需要登錄的域，在“用戶名”文本框中輸入用戶賬戶，在“密碼”文本框中輸入密碼。單擊“確定”，就可以以域用戶賬戶的身份登錄到域模式的局域網(wǎng)中，并訪問域中網(wǎng)絡(luò)資源了。中國科技網(wǎng)4.2.3客戶機登錄Windows域的方法注意事項①這里的域用戶賬號和密碼，必須是網(wǎng)絡(luò)管理員為用戶建的那個賬號和密碼，而不是由本機用戶自己創(chuàng)建的賬號和密碼。如果沒有將計算機加入到域中，或者登錄的域名、用戶名、密碼有一項不正確，都會出現(xiàn)錯誤信息。②當(dāng)要將客戶端加入到域中的時候，要保證客戶端能夠通過DNS服務(wù)器找到活動目錄域控制器，否則客戶機不能加入到域中。也就是說，要將客戶機的IP的網(wǎng)絡(luò)號設(shè)置得與DNS服務(wù)器和域控制器的相同；同時，首選或備用DNS服務(wù)器地址值設(shè)置為活動目錄中的DNS服務(wù)器地址。中國科技網(wǎng)4.2.4域中資源的訪問和控制方法1．資源發(fā)布與查找（1）發(fā)布共享文件夾和共享打印機發(fā)布共享文件夾的步驟：單擊“開始”→“控制面板”→“管理工具”→打開“ActiveDirectory用戶和計算機”管理應(yīng)用程序；在控制臺樹中，雙擊“域節(jié)點”；右擊想在其中添加共享文件夾的文件夾，指向“新建”并選擇“共享文件夾”選項，出現(xiàn)共享文件夾對話框；鍵入文件夾的名稱和網(wǎng)絡(luò)路徑；單擊“確定”完成操作。發(fā)布共享打印機的步驟：單擊“開始”→“控制面板”→“管理工具”→打開“ActiveDirectory用戶和計算機”管理應(yīng)用程序；在控制臺樹中，雙擊“域節(jié)點”；在控制臺樹中，右擊想在其中發(fā)布打印機的文件夾，指向“新建”并單擊“打印機”；出現(xiàn)設(shè)置共享打印機路徑對話框；鍵入網(wǎng)絡(luò)路徑，單擊“確定”完成操作。中國科技網(wǎng)4.2.4域中資源的訪問和控制方法（2）資源查找①單擊“開始”→“控制面板”→“管理工具”→“Active

Directory域和信任關(guān)系”管理應(yīng)用程序。②在控制臺樹中，右擊“域節(jié)點”，然后單擊“查找”，出現(xiàn)查找對話框。③在“查找”中單擊“自定義搜索”。④單擊“字段”，選擇要搜索的對象種類，然后單擊要為其指定搜索值的對象的屬性。⑤在“條件”中單擊搜索的條件。⑥在“值”中鍵入要應(yīng)用搜索條件的屬性值。⑦單擊“添加”，將該搜索條件添加至自定義搜索。⑧重復(fù)④至⑦，直到添加完所需的全部搜索條件為止。⑨單擊“開始查找”。中國科技網(wǎng)4.2.4域中資源的訪問和控制方法2．分布式文件系統(tǒng)分布式文件系統(tǒng)的技術(shù)思路是用戶本身并不需要知道哪些服務(wù)器資源是真正存在的，他們只要簡單地通過一個特殊的共享就可以訪問到文件系統(tǒng)，而且還可以訪問到他們所需要的所有數(shù)據(jù)，無論這些數(shù)據(jù)是集中存儲在本地還是分散存儲在許多不同的服務(wù)器中。使用DFS，系統(tǒng)管理員可以使用戶方便地訪問和管理物理上分布在網(wǎng)絡(luò)各處的文件。通過DFS，可以使分布在多個服務(wù)器上的文件如同位于網(wǎng)絡(luò)上的一個位置一樣顯示在用戶面前。用戶在訪問文件時不再需要知道和指定它們的實際物理位置。中國科技網(wǎng)4.2.4域中資源的訪問和控制方法（1）創(chuàng)建DFS根目錄“根目錄”就是DFS層級結(jié)構(gòu)的最頂層。一個根目錄中包含多個共享文件夾。要在服務(wù)器中創(chuàng)建根目錄，單擊“開始”→“運行”→“管理工具”→“分布式文件系統(tǒng)”→右擊“分布式文件系統(tǒng)”，然后從快捷菜單中選擇“新建根目錄”選項，Windows載入新建根目錄安裝向?qū)ВB續(xù)單擊“下一步”通過向?qū)Ъ纯蓜?chuàng)建DFS根目錄。為了確認根目錄是有效的，可以右擊它，然后在快捷菜單中選擇“檢查狀態(tài)”命令。正確的狀態(tài)應(yīng)該顯示為“聯(lián)機”。中國科技網(wǎng)4.2.4域中資源的訪問和控制方法（2）添加DFS鏈接打開DFS管理控制臺，右擊所創(chuàng)建的DFS根目錄圖標，在彈出菜單中選擇“新建鏈接”，打開“新建鏈接”對話框，在“鏈接名稱”輸入框中輸入在DFS中顯示的共享名。在“目標路徑”輸入框中輸入一個符合通用命名標準（UNC）的路徑或者用“瀏覽”來指定與該鏈接關(guān)聯(lián)的共享文件夾。完成后單擊“確定”，即可將這個共享文件夾添加到DFS中。重復(fù)以上建立鏈接的方法可以把網(wǎng)絡(luò)中多個主機多個共享文件夾組織到DFS中來，這樣用戶只要訪問DFS根目錄就能訪問其中的所有共享文件夾了。中國科技網(wǎng)4.2.4域中資源的訪問和控制方法（3）訪問DFS①打開“網(wǎng)上鄰居”，瀏覽并打開服務(wù)器（DFS根目錄所在計算機），會看到服務(wù)器上所有的共享文件夾。打開DFS共享文件夾，可以看到創(chuàng)建DFS時添加的共享文件夾。②使用“映射網(wǎng)絡(luò)驅(qū)動器”的方法，將DFS根目錄文件夾映射為網(wǎng)絡(luò)驅(qū)動器。③用戶使用瀏覽器訪問DFS目錄，可以在瀏覽器地址欄中輸入DFS根目錄共享文件夾的路徑，格式為“\\計算機名\共享文件夾名”，就能直接訪問DFS目錄了。④打開“開始”菜單，在運行對話框中輸入DFS根目錄共享文件夾的路徑，單擊“確定”即可。中國科技網(wǎng)1．實訓(xùn)目的通過實訓(xùn)，理解活動目錄的概念，能夠在WindowsServer2003操作系統(tǒng)下實際安裝、配置活動目錄，提供局域網(wǎng)內(nèi)的活動目錄服務(wù)。2．實訓(xùn)設(shè)備和條件采用硬件設(shè)備時，兩臺主機通過交叉雙絞線相連，或者兩臺主機與交換機相連。采用虛擬機環(huán)境時，將兩臺虛擬機連接在虛擬交換機Vmnet2之上，并設(shè)為同一個網(wǎng)段。3．實訓(xùn)內(nèi)容與步驟實訓(xùn)的具體內(nèi)容與操作步驟請參見教材109頁。4.2.5域模式的局域網(wǎng)配置實訓(xùn)中國科技網(wǎng)4.2.5域模式的局域網(wǎng)配置實訓(xùn)中國科技網(wǎng)4.3.1用戶和計算機賬戶管理4.3.2組和組織單位的管理4.3.3域模式的局域網(wǎng)中用戶管理的實訓(xùn)4.3活動目錄的服務(wù)管理中國科技網(wǎng)4.3.1用戶和計算機賬戶管理1．用戶和計算機賬戶簡介賬號可以用于驗證計算機或用戶的身份、允許訪問域中資源和審核用戶或計算機賬號的活動。（1）用戶賬戶用戶賬戶分為兩類：全局用戶賬戶和本地用戶賬戶。（2）計算機賬戶每一個運行Windows的計算機在加入到域時都需要一個計算機賬號，就像用戶賬號一樣，被用來驗證和審核計算機的登錄過程和訪問域資源。中國科技網(wǎng)4.3.1用戶和計算機賬戶管理2．創(chuàng)建用戶和計算機賬戶①“ActiveDirectory用戶和計算機”控制臺目錄樹中，展開域節(jié)點。②如果要創(chuàng)建用戶賬戶，可右擊要添加用戶的組織單位或容器，從彈出的快捷菜單中選擇“新建”→“用戶”，打開新建對象-用戶的對話框。在“姓”和“名”文本框中分別輸入姓和名，并在“用戶登錄名”文本框中輸入用戶登錄時使用的名字。③單擊“下一步”，打開密碼設(shè)置的對話框。在“密碼”和“確認密碼”文本框中輸入要為用戶設(shè)置的密碼。如果希望用戶下次登錄時更改密碼，可選擇“用戶下次登錄時須更改密碼”，否則選擇“用戶不能更改密碼”。如果希望密碼永遠不過期，可選擇“密碼永不過期”。如果暫不啟用該用戶賬戶，可選擇“賬戶已禁用”，單擊“下一步”即可完成創(chuàng)建。創(chuàng)建計算機賬戶方法同上，只需在上述第②步中選擇“計算機”，在彈出的對話框中輸入該計算機的名稱，單擊“確定”即可。中國科技網(wǎng)4.3.1用戶和計算機賬戶管理3．刪除用戶和計算機賬戶在控制臺目錄樹中，展開域節(jié)點，單擊要刪除的用戶或者計算機。在詳細資料窗格中，右擊要刪除的用戶或者計算機，從彈出的快捷菜單中選擇“刪除”選項，出現(xiàn)信息確認框后，單擊“是”即可刪除該用戶或者計算機。4．停用用戶和計算機賬戶在控制臺目錄樹中，展開域節(jié)點，單擊要停用的用戶賬戶或者計算機。在詳細資料窗格中，右擊要停用的用戶或者計算機賬戶，從彈出的快捷菜單中選擇“停用賬戶”選項，出現(xiàn)信息確認框后，單擊“是”即可停用被選用戶或者計算機賬戶。中國科技網(wǎng)4.3.1用戶和計算機賬戶管理5．移動用戶和計算機賬戶在控制臺目錄樹中，展開域節(jié)點，單擊要移動用戶或者計算機賬戶。在詳細資料窗格中，右擊要移動的用戶賬戶，從彈出的快捷菜單中選擇“移動”選項，打開“移動”對話框，在“將對象移動到容器”對話框中雙擊域節(jié)點，展開該節(jié)點，單擊移動的目標組織單位，然后單擊“確定”即可完成移動。中國科技網(wǎng)4.3.1用戶和計算機賬戶管理6．為用戶和計算機賬戶添加組要為用戶賬戶添加組，可在控制臺目錄樹中，展開域節(jié)點，單擊要加入組的用戶所在的組織單位或容器。在詳細資料窗口中，右鍵單擊該用戶賬戶，從彈出的快捷菜單中選擇“添加到組”選項，打開“為用戶添加組”對話框?？梢灾苯虞斎虢M對象的名稱，也可以打開“高級”選項卡進行查找。然后在組列表框中選擇一個要添加的組，單擊“確定”即可為用戶添加組。要為計算機賬戶添加組時，可在控制臺目錄樹中，展開域節(jié)點，單擊“計算機”或者要加入組的計算機所在的組織單位及容器。在詳細資料窗口中，右鍵單擊該計算機賬戶，從彈出的快捷菜單中選擇“屬性”選項，打開該計算機的屬性對話框。然后單擊“成員屬于”標簽，打開“隸屬于”選項卡，單擊“添加”，打開“選擇組”對話框選擇要加入的組，單擊“確定”完成添加。中國科技網(wǎng)4.3.1用戶和計算機賬戶管理7．重設(shè)用戶密碼在控制臺目錄樹中，展開域節(jié)點，然后單擊包含要重新設(shè)置密碼的用戶的組織單位或容器。在詳細資料窗口中，右鍵單擊該用戶賬戶，從彈出的快捷菜單中選擇“重設(shè)密碼”選項，打開“重設(shè)密碼”對話框，在“新密碼”和“確認密碼”文本框中輸入要設(shè)置的新密碼。如果允許用戶更改密碼，可選擇“用戶下次登錄時須更改密碼”復(fù)選框。單擊“確定”保存設(shè)置，同時系統(tǒng)會打開確認信息框，單擊“確定”可完成設(shè)置。8．管理客戶計算機在控制臺目錄樹中，展開域節(jié)點，然后單擊要管理的計算機所在的組織單位。右鍵單擊該計算機，從彈出的快捷菜單中選擇“管理”選項，打開該計算機的計算機管理窗口。在該窗口中，管理員可以對連接的計算機進行系統(tǒng)工具、存儲、服務(wù)器應(yīng)用程序和服務(wù)等方面的管理。中國科技網(wǎng)4.3.2組和組織單位的管理1．創(chuàng)建新組和組織單位要創(chuàng)建新組，可在控制臺目錄樹中，展開域節(jié)點，右擊要進行組創(chuàng)建的組織單位或容器。從彈出的快捷菜單中選擇“新建”→“組”選項，打開對話框，在“組名”文本框中輸入要創(chuàng)建的組名。在“組作用域”選項區(qū)域中，選擇“本地域”或“全局域”單選來確定組的作用域，在多域環(huán)境下就要利用全局組的跨多域功能；在“組類型”選項區(qū)域中，通過“安全組”或“通訊組”單選來選擇組類型。單擊“確定”即完成組的創(chuàng)建。要添加組織單位，可在控制臺目錄樹中，展開域節(jié)點，右鍵單擊域節(jié)點或者可添加組織單位的文件夾節(jié)點。從彈出的快捷菜單中選擇“新建”→“組織單位”選項，在打開的對話框的“名稱”文本框中輸入新創(chuàng)建組織單位的名稱，單擊“確定”即可。中國科技網(wǎng)4.3.2組和組織單位的管理中國科技網(wǎng)4.3.2組和組織單位的管理2．刪除組和組織單位在控制臺目錄樹中，展開域節(jié)點。單擊要刪除的組或組織單位所在的組織單位，詳細資料窗格中會列出該組織單位的內(nèi)容。然后右鍵單擊要刪除的組或組織單位，選擇快捷菜單中“刪除”選項，這時系統(tǒng)會打開信息確認框，單擊“是”即完成組或組織單位的刪除。中國科技網(wǎng)4.3.2組和組織單位的管理3．委派控制組或組織單位（1）在“ActiveDirectory用戶與計算機”窗口的控制臺目錄樹中，雙擊展開域節(jié)點。（2）右擊要委派控制的組織單位或組節(jié)點，例如Users，從彈出的快捷菜單中選擇“委派控制”選項，進入“控制委派向?qū)А贝翱?，單擊“下一步”。?）在打開的“用戶和組”對話框中，單擊“添加”，打開“選擇用戶、計算機或組”對話框?？梢灾苯虞斎胍粋€或多個要委派控制的用戶或組，也可單擊“高級”選項卡進行查找，從列表中選擇一個或多個要委派控制的用戶或組。（4）選擇之后單擊“確定”，則在創(chuàng)建組的“輸入對象名來選擇”文本框中會出現(xiàn)所選對象，單擊“確定”。中國科技網(wǎng)4.3.2組和組織單位的管理3．委派控制組或組織單位（5）在打開的窗口中單擊“下一步”，打開選擇用戶和組的“要委派的任務(wù)”對話框?？梢赃x擇要委派的常見任務(wù)，這里選擇“創(chuàng)建自定義任務(wù)去委派”選項。（6）單擊“下一步”，打開定義要委派控制任務(wù)對話框，指定委派任務(wù)范圍。如果要委派的對象為整個文件夾，可選擇“這個文件夾”，如果要委派的對象只是文件夾中的對象，可選擇“文件夾中的對象”，并在“對象類型”列表框中通過復(fù)選框來選擇對象。（7）單擊“下一步”，打開“權(quán)限”對話框，通過選擇“要委派的權(quán)限”復(fù)選框來選擇要委派的權(quán)限，例如選擇“讀取”、“創(chuàng)建所有子對象”等復(fù)選框設(shè)置相應(yīng)權(quán)限。中國科技網(wǎng)4.3.2組和組織單位的管理4．設(shè)置組織單位屬性（1）在控制臺目錄樹中，右鍵單擊要設(shè)置屬性的組織單位，從彈出的快捷菜單中選擇“屬性”選項，打開該組織單位的屬性對話框。（2）在“常規(guī)”選項卡中，可以設(shè)置“描述”、“省/自治區(qū)”、“縣市”、“街道”和“郵政編碼”等計算機和用戶常規(guī)信息。（3）選擇“管理者”選項卡，單擊“更改”，打開“選擇用戶或聯(lián)系人”對話框選擇一個用戶或聯(lián)系人作為管理者；管理者更改之后，單擊“屬性”，可打開所更改的管理者的屬性對話框，管理員可對管理者的屬性進行修改，如果要清除管理者，單擊“清除”即可。中國科技網(wǎng)4.3.2組和組織單位的管理4．設(shè)置組織單位屬性（4）單擊“組策略”選項卡。要新建一個組策略對象，單擊“新建”，在“組策略對象鏈接”列表框中會出現(xiàn)一個新的組策略對象，在其名稱文本框中為新策略輸入一個有意義的名稱。組策略設(shè)置影響計算機或用戶賬戶，并且可應(yīng)用于站點、域或組織單位。它可用于配置安全選項、管理應(yīng)用程序、管理桌面外觀、指派腳本并將文件夾從本地計算機重新定向到網(wǎng)絡(luò)位置。（5）單擊“編輯”，會打開“組策略編輯器”窗口。在該窗口中，管理員可對創(chuàng)建的組策略進行編輯，包括計算機配置和用戶配置兩個方面。可以對計算機配置中的“登錄”策略進行編輯，例如登錄時是否顯示歡迎界面，啟動和登錄是否等待網(wǎng)絡(luò)等性質(zhì)進行設(shè)置。編輯完畢，關(guān)閉窗口。（6）要設(shè)置某個組策略對象的屬性，在組策略對象鏈接列表中選擇對象，單擊“屬性”，打開該對象屬性對話框，進行“常規(guī)”、“鏈接”和“安全”方面的設(shè)置。中國科技網(wǎng)4.3.2組和組織單位的管理4．設(shè)置組織單位屬性（7）在列表中，不同位置的組策略對象具有不同的優(yōu)先級，較高位置的組策略對象比較低位置的組策略對象優(yōu)先級高。所以，管理員可以改變組策略對象在列表中的位置來決定組策略對象的應(yīng)用級別。要改變某個組策略對象在列表中的位置，選擇該對象，單擊“向上”或“向下”即可上移或下移該對象。如果要刪除某個組策略對象，在列表中選擇該對象，然后單擊“刪除”即可。（8）用戶要配置某個組策略對象的選項，在組策略鏈接列表中選擇“策略1”對象，單擊“選項”，打開該組策略對象的選項對話框。在“鏈接選項”選項區(qū)域中，選擇“禁止替代”復(fù)選框，可防止其他組策略對象替代這個組對象中的策略集；啟用“已禁用”復(fù)選框，可暫時禁用該策略，需要啟用時，禁用“已禁用”復(fù)選框即可。然后單擊“確定”返回到組策略選項卡。（9）如果要防止組策略被下一級組織單位所繼承，可啟用“阻止策略繼承”復(fù)選框。最后單擊“關(guān)閉”保存屬性設(shè)置。中國科技網(wǎng)4.3.2組和組織單位的管理5．設(shè)置組屬性（1）在控制臺目錄樹中，單擊要設(shè)置屬性的組所在的組織單位或容器。在詳