WindowsServer2008系統(tǒng)管理與配置教材配套電子教案機(jī)械工業(yè)出版社2011年5/30/202413.1了解域和活動(dòng)目錄知識(shí)3.2建立域控制器3.3從客戶機(jī)登錄域3.4管理用戶賬戶3.5管理組賬戶3.6管理組織單位知識(shí)要點(diǎn)●了解WindowsServer2008活動(dòng)目錄的作用和工作流程。●掌握活動(dòng)目錄的作用結(jié)構(gòu)及根本概念?！裾莆战⒂蚩刂破鞯姆椒ê筒襟E?！裾莆杖绾瓮ㄟ^(guò)客戶機(jī)登陸到域?！裾莆諏?duì)域用戶賬戶和組的管理?！裾莆战M織單位的創(chuàng)立及更改。3.1任務(wù)1—了解域和活動(dòng)目錄知識(shí)組織單位〔OU〕也稱(chēng)組織單元，是用戶、組、計(jì)算機(jī)和其他對(duì)象〔也可以包含其他的組織單元〕在活動(dòng)目中的邏輯管理單位，OU可以包含各種對(duì)象，比方用戶賬戶、用戶組、計(jì)算機(jī)、打印機(jī)，甚至可以包括其他的OU。域〔Domain〕域是網(wǎng)絡(luò)中對(duì)計(jì)算機(jī)和用戶的一種邏輯分組。在活動(dòng)目錄中，域是一個(gè)或多個(gè)組織單元管理單位，是一個(gè)網(wǎng)絡(luò)平安邊界。域樹(shù)域樹(shù)由多個(gè)域組成，這些域共享同一個(gè)表結(jié)構(gòu)和配置，形成一個(gè)連續(xù)的名字空間。樹(shù)中的域通過(guò)雙向信任關(guān)系連接起來(lái)。域樹(shù)中的域?qū)哟卧缴罴?jí)別越低，一個(gè)“.”代表一個(gè)層次，如就比mywin2008這個(gè)域級(jí)別低，因?yàn)樗袃蓚€(gè)層次關(guān)系，而mywin2008只有一個(gè)層次。層次低的稱(chēng)為子域，層次高的稱(chēng)為父域。如圖域林域林是指一個(gè)或多個(gè)沒(méi)有形成連續(xù)名字空間的域樹(shù)。域林中的所有域樹(shù)共享同一個(gè)表結(jié)構(gòu)、配置和全局目錄。域信任關(guān)系兩個(gè)域之間可以存在雙向信任的關(guān)系：對(duì)于這兩個(gè)域的用戶來(lái)講好比是忽略了域的概念，每一方均可利用對(duì)方的資源。用戶在使用連網(wǎng)的計(jì)算機(jī)時(shí)，有一個(gè)代表“身份”的名稱(chēng)，在計(jì)算機(jī)中稱(chēng)為用戶。計(jì)算機(jī)中的用戶分為本地用戶賬戶和域用戶賬戶。用戶組用戶組是把多個(gè)用戶統(tǒng)一起來(lái)，進(jìn)行管理。根據(jù)所管理的用戶不同，分為本地用戶組和域用戶組，活動(dòng)目錄結(jié)構(gòu)圖知識(shí)補(bǔ)充域樹(shù)中的域是通過(guò)雙向可傳遞的信任關(guān)系連接在一起的。由于這些信任關(guān)系是雙向而且是可傳遞的，因此在域樹(shù)或域林中新創(chuàng)立的域可以立即與域樹(shù)或域林中每個(gè)其他的域建立信任關(guān)系。這些信任關(guān)系允許單一登錄過(guò)程，在域樹(shù)或域林中的所有域上對(duì)用戶進(jìn)行身份驗(yàn)證，但這不一定意味著經(jīng)過(guò)身份驗(yàn)證的用戶在域樹(shù)的所有域中都擁有相同的權(quán)利和權(quán)限。因?yàn)橛蚴瞧桨策吔?，所以必須在每個(gè)域的根底上為用戶指派相應(yīng)的權(quán)利和權(quán)限。3.2任務(wù)2—建立域控制器

1、首先設(shè)置效勞器IP地址。鼠標(biāo)右鍵單擊桌面“網(wǎng)絡(luò)”圖標(biāo)，選中“屬性”，在彈出的對(duì)話框中選擇“任務(wù)”列表的“管理網(wǎng)絡(luò)連接”選項(xiàng)，出現(xiàn)“網(wǎng)絡(luò)連接”對(duì)話框，右鍵單擊“本地連接”圖標(biāo)選擇“屬性”，在如下圖的本地連接屬性窗口中選擇“Internet協(xié)議版本4〔TCP/IPv4〕”，單擊“屬性”。2、在IP地址設(shè)置對(duì)話框中設(shè)置IP地址及DNS服、務(wù)器地址，因?yàn)槭前惭b活動(dòng)目錄，所以、二者要一致，完成后確定。〔詳細(xì)設(shè)置、可參考本書(shū)第2章相關(guān)步驟操作〕3、安裝DNS效勞器。依次選擇“開(kāi)始”—“管理工具”—“效勞器管理器”—“角色”—“添加角色”，彈出“添加角色向?qū)А睂?duì)話框。4、選擇“下一步”，如圖在“DNS效勞器”選項(xiàng)上打?qū)μ?hào)，繼續(xù)選擇“下一步”，直到完成DNS效勞器安裝。5、安裝活動(dòng)目錄。如圖繼續(xù)添加角色，完成“ActiveDirectory域效勞”的安裝。6、安裝結(jié)束后，只是啟動(dòng)了活動(dòng)目錄的域效勞，并未將SERVER2008作為域控制器運(yùn)行。如圖在“開(kāi)始”菜單的運(yùn)行對(duì)話框里輸入“dcpromo”后回車(chē)，運(yùn)行ActiveDirectory域效勞安裝向?qū)А?、在如圖活動(dòng)目錄域效勞安裝向?qū)е?，選擇“高級(jí)模式”按“下一步”繼續(xù)。。

8、在如下圖的對(duì)話框中選擇“在新林中建新域”。9、選擇“下一步”后，在如圖對(duì)話框中命名林根域?yàn)椤癿ywin2008”。10、在系統(tǒng)經(jīng)過(guò)檢查目錄林根級(jí)域名稱(chēng)合法后，繼續(xù)設(shè)置域NetBIOS名稱(chēng)，如圖11、選擇“下一步”，由于活動(dòng)目錄給出的功能級(jí)別選擇，只能向高版本提升功能級(jí)別，不能降級(jí)，因此在如圖林功能級(jí)別及隨后的域功能級(jí)別對(duì)話框中，選擇功能較為完善而且版本不是最高的“WindowsServer2003”。12、在檢查完DNS配置后，由于是首次安裝，因此出現(xiàn)提示：無(wú)法創(chuàng)立該DNS效勞器的委派，選擇“是”繼續(xù)。彈出如圖對(duì)話框，設(shè)置活動(dòng)目錄數(shù)據(jù)庫(kù)，日志文件和SYSVOL存放位置，可以依據(jù)需要進(jìn)行更改。13、選擇“下一步”，在窗口中設(shè)置目錄效勞復(fù)原模式的管理員密碼，也就是系統(tǒng)管理員的登錄密碼。與Windowsserver2008的強(qiáng)制密碼規(guī)那么一樣，密碼要由大小寫(xiě)字母及數(shù)字組成，如：MYwin2008。確認(rèn)密碼格式符合要求后，經(jīng)過(guò)活動(dòng)目錄域效勞安裝配置，提示重啟完成安裝。卸載WindowsServer2008系統(tǒng)的域控制器，可以通過(guò)在“開(kāi)始”—“運(yùn)行”對(duì)話框中輸入“dcpromo”進(jìn)入域效勞安裝向?qū)В瑔螕簟跋乱徊健边x擇“刪除該域”，繼續(xù)選擇“下一步”直到完成域控制器的卸載。能力擴(kuò)展1、設(shè)置客戶機(jī)user03的IP地址為“192.16.0.3”，且DNS效勞器地址為“192.16.0.2”，并在控制面板中選擇“系統(tǒng)”選項(xiàng)，進(jìn)入“計(jì)算機(jī)名”對(duì)話框，單擊“更改”按鍵，選擇“隸屬于”區(qū)域的“域”一項(xiàng)，并填寫(xiě)所要參加的域：mywin2008。2、單擊“確定”按鈕，客戶機(jī)將通過(guò)DNS效勞器查詢(xún)是否有域名為“mywin2008”的域控制器存在，解析成功后出現(xiàn)“計(jì)算機(jī)名更改”對(duì)話框。在計(jì)算機(jī)名更改窗口中輸入域賬號(hào)名稱(chēng)和密碼進(jìn)行登錄。此處的用戶名可能與計(jì)算機(jī)user03的本地管理員用戶名相同，但是并非是user03的管理員，而是域mywin2008的域用戶賬戶。3.3任務(wù)2—從客戶機(jī)登陸域3、在域控制器核實(shí)用戶權(quán)限有效后,客戶機(jī)的設(shè)置得到認(rèn)可后，如下圖計(jì)算機(jī)user03成功參加到域。4：客戶機(jī)登陸到域。重新啟動(dòng)計(jì)算機(jī)user03，進(jìn)入到系統(tǒng)登錄對(duì)話框，選擇登錄到域MYWIN2008〔即域mywin2008的域NetBIOS名稱(chēng)〕，輸入有效的用戶名及密碼，成功完成登錄?？蛻魴C(jī)要訪問(wèn)網(wǎng)絡(luò)的資源，只要在“網(wǎng)上鄰居”中查找“域”下各種效勞器或者客戶機(jī)提供的共享資源即可。當(dāng)客戶機(jī)成功添加到域中后，管理員可以集中管理這些客戶機(jī)，具體操作步驟如下：1、在“管理工具”中的“ActiveDirectory用戶和計(jì)算機(jī)”對(duì)話框下依次選擇“mywin2008”→“Computers”選項(xiàng)，此時(shí)右部區(qū)域顯示了所有參加到域中的所有客戶機(jī)，選擇要管理的客戶機(jī)用鼠標(biāo)右鍵單擊，在彈出的菜單中可以進(jìn)行下述操作：禁用賬戶、重設(shè)賬戶、移動(dòng)該管理項(xiàng)到左邊窗口下的不同的位置、對(duì)客戶機(jī)進(jìn)行遠(yuǎn)程管理、配置客戶機(jī)的屬性。能力擴(kuò)展2、在菜單中選擇“管理”選項(xiàng)，出現(xiàn)如下圖的“計(jì)算機(jī)管理”對(duì)話框，可以對(duì)客戶機(jī)進(jìn)行綜合管理。1、以管理員用戶賬戶Administrator登錄進(jìn)入效勞器，從“管理工具”中運(yùn)行“效勞器管理器”。在“角色”中的“ActiveDirectory域效勞”下選擇域“mywin2008”。其中的“Users”保存著域中的用戶組和原來(lái)的用戶名。展開(kāi)“Users”，右鍵單擊右側(cè)的空白區(qū)域，或者直接在“Users”上單擊鼠標(biāo)右鍵，在彈出的菜單中選擇“新建”命令。3.4任務(wù)4—管理用戶賬戶2、在“新建”的下級(jí)菜單中選擇“用戶”，如圖3-22所示“新建對(duì)象-用戶”對(duì)話框。在對(duì)話框中輸入將要?jiǎng)?chuàng)立的用戶的幾個(gè)根本信息：姓、名、姓名、英文縮寫(xiě)、用戶登陸名。在“姓名”后輸入將要?jiǎng)?chuàng)立的用戶名如“user01”,在“用戶登錄名”下輸入“user01”。3：?jiǎn)螕簟跋乱徊健保@示設(shè)置密碼與根本用戶屬性對(duì)話框。在“密碼”和“確認(rèn)密碼”后面輸入新創(chuàng)立的用戶密碼，與WindowsServer2008的密碼規(guī)那么一樣，密碼要由大小寫(xiě)字母及數(shù)字組成，如：MYwin2008。根據(jù)實(shí)際情況設(shè)置用戶的密碼登錄屬性為“密碼永不過(guò)期”。單擊“下一步”，完成創(chuàng)立用戶。4、如果設(shè)置的用戶密碼符合系統(tǒng)要求，單擊“完成”后返回“ActiveDirectory用戶和計(jì)算機(jī)”窗口。如果不符合要求，那么會(huì)彈出如圖3-25所示對(duì)話框。此時(shí)單擊“確定”按鈕，返回“上一步”到密碼設(shè)置對(duì)話框，按WindowsServer2008強(qiáng)制密碼要求重新設(shè)置密碼。1：選擇一個(gè)用戶user01，進(jìn)入用戶屬性對(duì)話框，如圖設(shè)置登錄時(shí)間2、單擊選擇“賬戶”選項(xiàng)卡，單擊“登錄時(shí)間”按鈕，顯示登錄時(shí)間設(shè)置對(duì)話框。系統(tǒng)默認(rèn)允許用戶在任何時(shí)間登錄。可以設(shè)置的登錄時(shí)間是按星期日到星期六、每天24小時(shí)、每小時(shí)一個(gè)設(shè)置單位來(lái)劃分，用鼠標(biāo)選取時(shí)間單位，單擊“允許登錄”或“拒絕登陸”設(shè)置登錄時(shí)間。1、在用戶屬性對(duì)話框中單擊“登錄到”按鈕，將顯示設(shè)置”登錄工作站”對(duì)話框。如下圖,默認(rèn)用戶“user01”可以登陸到“所有計(jì)算機(jī)”。設(shè)置用戶只能登陸到指定的計(jì)算機(jī)2、選中“以下計(jì)算機(jī)”，然后在“計(jì)算機(jī)名”中輸入此用戶可以登陸的計(jì)算機(jī)，如：user03，然后單擊“添加”按鈕添加到列表中。可以在列表中添加多臺(tái)計(jì)算機(jī)，如下圖。在添加完計(jì)算機(jī)后，單擊“確定”返回用戶屬性，單擊“確定”返回主窗口。在“ActiceDirectory用戶和計(jì)算機(jī)”管理窗口中，還可以對(duì)用戶賬戶和組進(jìn)行其他相關(guān)設(shè)置和管理。右鍵單用戶user01，彈出如下圖菜單，這里包括了管理員可以針對(duì)user01實(shí)施的相關(guān)操作。能力擴(kuò)展創(chuàng)立域用戶組并添加組賬戶1、在“ActiveDirectory用戶與計(jì)算機(jī)”中，在“Users”右側(cè)的空白窗格中用右鍵單擊，從出現(xiàn)的菜單中選擇“新建”—“組”。在“新建對(duì)象—組”對(duì)話框中，輸入新用戶組的組名稱(chēng)group01，然后分別在“組作用域”和“組類(lèi)型”選項(xiàng)框中選擇“全局”和“平安組”，單擊“確定”完成創(chuàng)立組。3.5任務(wù)5—管理組賬戶2、在“ActiceDirectory用戶和計(jì)算機(jī)”管理窗口中右鍵單擊“group01”，在彈出的菜單中選擇屬性，單擊“成員”中的“添加”按鈕，開(kāi)始添加組賬戶。在彈出的“選擇用戶、聯(lián)系人、計(jì)算機(jī)或組”對(duì)話框中，單擊“對(duì)象類(lèi)型”按鈕可以選擇添加對(duì)象的類(lèi)型。確定了對(duì)象類(lèi)型后，在“輸入對(duì)象名稱(chēng)來(lái)選擇”下的框體內(nèi)輸入想要添加的賬戶名稱(chēng)user01，單擊“檢查名稱(chēng)”。3、得到系統(tǒng)確認(rèn)無(wú)誤后，顯示出賬戶user01的全名信息如下圖。單擊“確定”按鈕后回到“成員”列表，成員user01成功添加進(jìn)組group01。1、在組“group01”的屬性窗口中選擇“平安”窗口，如下圖，顯示組內(nèi)已經(jīng)分配權(quán)限的成員。管理域用戶組賬戶2、選擇“高級(jí)”選項(xiàng)，彈出“group01的高級(jí)平安設(shè)置”對(duì)話框。單擊“添加”按鈕重復(fù)與添加組賬戶相同的步驟，把賬戶user01添加進(jìn)來(lái)。在列表中選定“user01”，并單擊“編輯”按鈕，在“group01的權(quán)限工程”窗口中設(shè)置“user01”的權(quán)限。在“名稱(chēng)”選項(xiàng)內(nèi)可以更改選定的成員，在“應(yīng)用于”選項(xiàng)內(nèi)可以選擇“user01”的權(quán)限所應(yīng)用到得范圍。設(shè)置后點(diǎn)“確定”完成。如下圖，賦予“user01”可以更改及重置“后代用戶對(duì)象”密碼的權(quán)限。用戶和組建立隸屬關(guān)系后，也可以解除，例如，將用戶組“group01”內(nèi)的用戶user01移除，只需切換回組屬性的“成員”對(duì)話框，選擇“user01”，單擊“刪除”按鈕即可。組建立后，也可以刪除，例如，刪除用戶組“group01”可直接在“ActiceDirectory用戶和計(jì)算機(jī)”管理窗口中右鍵單擊“group01”,選擇“刪除”。能力擴(kuò)展創(chuàng)立組織單位1、翻開(kāi)“ActiceDirectory用戶和計(jì)算機(jī)”管理窗口，選擇當(dāng)前域“mywin2008”，單擊右鍵，從彈出的菜單中選擇“新建”—“組織單位”3.6任務(wù)6—管理組織單位2、翻開(kāi)“新建對(duì)象—組織單位”對(duì)話框，在“名稱(chēng)”文本框中輸入新建組織單位的名稱(chēng)：ouwin2008。系統(tǒng)默認(rèn)選擇“防止容器被意外刪除”選項(xiàng)。單擊“確定”按鈕完成創(chuàng)立。單擊組織單位“ouwin2008”，在彈出的菜單中可以繼續(xù)建立“ouwin2008”的子組織單位。按照網(wǎng)絡(luò)用戶結(jié)構(gòu)創(chuàng)立組織單位后，可以將以前創(chuàng)立的用戶“移動(dòng)”到其相應(yīng)的組織單位中以利于管理。如下圖，已經(jīng)創(chuàng)立了兩個(gè)子組織單位：pc和user。pc用來(lái)放置域所管理的計(jì)算機(jī)，user用來(lái)放置域所管理的域用戶賬戶。當(dāng)組織單位中的大多數(shù)用戶不在有直接聯(lián)系的時(shí)候，可以刪除組織單位。如果