計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)基礎(chǔ)實(shí)訓(xùn)報(bào)告專業(yè)班級(jí)姓名學(xué)號(hào)課程名稱實(shí)驗(yàn)項(xiàng)目域控制器的部署指導(dǎo)教師日期成績(jī) 第頁(yè)項(xiàng)目15實(shí)訓(xùn)：域控制器的部署一、實(shí)訓(xùn)目的1、了解域模式網(wǎng)絡(luò)的功能2、掌握域控制器的安裝方法3、掌握域模式網(wǎng)絡(luò)中用戶賬戶和計(jì)算機(jī)賬戶的管理方法二、實(shí)訓(xùn)環(huán)境每人一臺(tái)Windows7/8/10物理機(jī)，并且在該物理機(jī)安裝了1臺(tái)WindowsServer2016虛擬機(jī)，1臺(tái)Windows7/8/10虛擬機(jī)。三、實(shí)訓(xùn)內(nèi)容1、安裝域控制器“ActiveDirectory域服務(wù)”安裝完成后，需要對(duì)域控制器進(jìn)行部署。單擊“服務(wù)器管理器-儀表板”標(biāo)題欄上的小旗子（通知），隨后點(diǎn)擊“將此服務(wù)器提升為域控制器”，如圖15-5所示。圖15-5提升為域控制器在圖15-6中需要選擇域控制器的類型：“將域控制器添加到現(xiàn)有域”、“將新域添加到現(xiàn)有林”和“添加新林”，它們的區(qū)別就在于如果安裝的是域中的第一臺(tái)域控制器，則選擇“添加新林”；如果為了保證在任何時(shí)刻都有域控制器對(duì)網(wǎng)絡(luò)用戶進(jìn)行驗(yàn)證，保證網(wǎng)絡(luò)的正常工作，需要在網(wǎng)絡(luò)中安裝多個(gè)域控制器時(shí)，這時(shí)域中如果已經(jīng)存在一個(gè)域控制器，就需要選擇“將域控制器添加到現(xiàn)有域”。如果要將新的域控制器加入到已有的林中，則選擇“將新域添加到現(xiàn)有林”。我們因?yàn)橐渴鹨粋€(gè)全新的網(wǎng)絡(luò)，在這里選擇“添加新林”，并為新域指定一個(gè)根域的名稱，“”,完畢后，單擊“下一步”。圖15-6選擇域控制器類型在圖15-7中設(shè)置目錄服務(wù)還原模式密碼（要求滿足密碼復(fù)雜度要求），單擊“下一步”。圖15-7域控制器選項(xiàng)在隨后的DNS選項(xiàng)中，如果當(dāng)前網(wǎng)絡(luò)中沒有安裝DNS服務(wù)器或者未啟動(dòng)DNS服務(wù)，可以不勾選“創(chuàng)建DNS委派”，將來在配置DNS服務(wù)器時(shí)進(jìn)行。單擊“下一步”。為新域指定一個(gè)NetBIOS名，NetBIOS名是為了網(wǎng)絡(luò)中的DOS、Windows9X、WindowsMe等客戶機(jī)加入域而使用的。如圖15-8所示。圖15-8NetBIOS域名指定ActiveDirectory數(shù)據(jù)庫(kù)和日志文件保存的位置，為了安全起見，最好將Active數(shù)據(jù)庫(kù)和日志文件分別保存到不同的硬盤或計(jì)算機(jī)上。如圖15-9所示，完成設(shè)定后，單擊“下一步”。圖15-9數(shù)據(jù)庫(kù)、日志文件和SYSVOL的位置系統(tǒng)會(huì)進(jìn)行先決條件檢查，以便保證域控制器的正常安裝，出現(xiàn)的警告信息可以不予理會(huì)。單擊“安裝”即可。安裝完畢后，系統(tǒng)會(huì)自動(dòng)重新啟動(dòng)，重新啟動(dòng)完成后，代表計(jì)算機(jī)已經(jīng)成為域控制器了。重新啟動(dòng)計(jì)算機(jī)的時(shí)間有點(diǎn)長(zhǎng)，請(qǐng)耐心等待。2、用戶和組的管理ActiveDirectory用戶和計(jì)算機(jī)賬號(hào)代表物理實(shí)體，諸如計(jì)算機(jī)或人。用戶賬號(hào)或計(jì)算機(jī)賬號(hào)（以及組）稱為安全主體。安全主體是自動(dòng)分配安全標(biāo)識(shí)符的目錄對(duì)象。帶安全標(biāo)識(shí)符的對(duì)象可登錄到網(wǎng)絡(luò)并訪問域資源。用戶或計(jì)算機(jī)賬號(hào)用于：驗(yàn)證用戶或計(jì)算機(jī)的身份、授權(quán)或拒絕訪問域資源、管理其他安全主體、審計(jì)使用用戶或計(jì)算機(jī)賬號(hào)執(zhí)行的操作。我們以下設(shè)置賬號(hào)的工作都是在采用活動(dòng)目錄的環(huán)境中進(jìn)行。1）建立用戶賬號(hào)前的準(zhǔn)備工作在一個(gè)網(wǎng)絡(luò)中，用戶和計(jì)算機(jī)都是網(wǎng)絡(luò)的主體，兩者缺一不可。擁有計(jì)算機(jī)賬號(hào)是計(jì)算機(jī)接入WindowsServer2016網(wǎng)絡(luò)的基礎(chǔ)，擁有用戶賬號(hào)是用戶登錄到網(wǎng)絡(luò)并使用網(wǎng)絡(luò)資源的基礎(chǔ)，因此用戶和計(jì)算機(jī)賬號(hào)管理是WindowsServer2016網(wǎng)絡(luò)管理中最必要且最經(jīng)常的工作。一個(gè)有經(jīng)驗(yàn)的網(wǎng)絡(luò)管理員一定要注重對(duì)用戶賬號(hào)的統(tǒng)一規(guī)劃。在網(wǎng)絡(luò)中，每一個(gè)用戶可能具有不同的職能，為了保證網(wǎng)上用戶的相互識(shí)別和獨(dú)立性，每一個(gè)用戶都應(yīng)有一個(gè)唯一的用戶賬號(hào)，在這個(gè)用戶賬號(hào)中包含有用戶名稱、登錄密碼以及登錄方法等各項(xiàng)信息。但是，這些具有不同職能的用戶，其使用網(wǎng)絡(luò)資源的權(quán)限有些可能相同，有些可能不同，所以，我們利用“組”（即：用戶組）來分類管理這些用戶賬號(hào)，將具有相同資源權(quán)限的用戶納入同一個(gè)組來管理。正像每個(gè)用戶有唯一的“用戶賬號(hào)”一樣，每個(gè)組也有唯一的“組賬號(hào)”。只要給某一個(gè)組進(jìn)行了權(quán)限設(shè)置，這個(gè)組的所有成員就具有與組相同的屬性，即可通過“組賬號(hào)”間接地給“用戶賬號(hào)”賦予權(quán)限，這比對(duì)用戶賬號(hào)逐一賦予權(quán)限要方便得多，同時(shí)避免了管理上的混亂，同時(shí)也大大減輕了管理員的負(fù)擔(dān)。因此，當(dāng)組建規(guī)模較大（用戶數(shù)較多）的網(wǎng)絡(luò)時(shí)，很有必要對(duì)需要登錄服務(wù)器的用戶賬號(hào)進(jìn)行分類管理和規(guī)劃。建議先制作一個(gè)表格，將用戶根據(jù)其在網(wǎng)絡(luò)中享有權(quán)限的不同來分類歸檔，然后運(yùn)用組的功能，分別管理這些用戶賬號(hào)。在WindowsServer2016網(wǎng)絡(luò)中，如果采用活動(dòng)目錄，那么可以直接在域的“users”組織單位中設(shè)置全域的用戶賬號(hào)。但為了管理和查找的方便，最好首先建立域的其他組織單位（如“電子與通信系”、“軟件與大數(shù)據(jù)系”等），然后在對(duì)應(yīng)的組織單位中再去建立用戶賬號(hào)和計(jì)算機(jī)賬號(hào)。以便于將來對(duì)用戶賬號(hào)和計(jì)算機(jī)賬號(hào)的各種操作。2）新建用戶賬號(hào)當(dāng)有新的用戶需使用網(wǎng)絡(luò)上的資源時(shí)，作為網(wǎng)絡(luò)管理員必須在域控制器中為其添加一個(gè)相應(yīng)的用戶賬號(hào)，否則該用戶無法訪問域中的資源。另一方面，當(dāng)有新的客戶計(jì)算機(jī)要加入到域中時(shí)，作為管理員的用戶必須在域控制器中為其創(chuàng)建一個(gè)計(jì)算機(jī)賬號(hào)，以便它有資格成為域成員。當(dāng)成功創(chuàng)建一個(gè)用戶賬號(hào)后，WindowsServer2016Server會(huì)隨機(jī)自動(dòng)分配一個(gè)SID（SecurityIdentifier，安全識(shí)別碼）給該用戶賬號(hào)。用戶賬號(hào)的SID同時(shí)具有唯一性和永久性。即在同一網(wǎng)絡(luò)中，SID不可能重復(fù)，即使用戶賬號(hào)已被刪除，其SID仍然會(huì)被永久保留；如果賬號(hào)刪除后又建立了一個(gè)同名賬戶，由于SID的不同，新建的賬戶也不可能擁有與以前同名賬戶的權(quán)限。以下將分步介紹用戶賬號(hào)的建立過程。（1）選擇“開始”→“Windows管理工具”→“ActiveDirectory管理中心”，打開“ActiveDirectory管理中心”窗口，如圖15-10所示。圖15-10ActiveDirectory管理中心（2）為了便于管理，我們先建立一個(gè)“電子與通信系”的組織單位，在圖15-10中右單擊“SDCIT（本地）”，選擇“新建”→“組織單位”，如圖開圖15-11所示。圖15-11創(chuàng)建組織單位打開新創(chuàng)建的組織單位“電子與通信系”，在右部的空白處單擊鼠標(biāo)的右鍵，選擇“新建”→“用戶”（或單擊右部的“新建”→“用戶”），將出現(xiàn)圖15-12所示的對(duì)話框。在該對(duì)話框中，你可以按照提示輸入新建賬號(hào)的有關(guān)信息，包括用戶的姓、名、英文縮寫、姓名、用戶UPN登錄、用戶的注釋信息等。注意：用戶UPN登錄不能超過20個(gè)字節(jié)（10個(gè)漢字），而且不能包含/\[]:;|=,+<>？等字符。圖15-12用戶屬性在圖15-12的對(duì)話框中設(shè)置的密碼不要超過14個(gè)字符，原則上密碼可以使用任意字符，不過不建議使用漢字。而且在使用英文字母做密碼時(shí)，應(yīng)注意Windows網(wǎng)絡(luò)對(duì)密碼的驗(yàn)證處理是大小寫敏感的。這一點(diǎn)一定要注意，否則從客戶機(jī)登錄時(shí)，會(huì)出現(xiàn)密碼不正確的提示。在WindowsServer2016中，為了保證網(wǎng)絡(luò)的安全性，強(qiáng)制用戶在設(shè)置密碼時(shí)必須滿足密碼復(fù)雜度的要求：不能包含用戶的賬戶名，不能包含用戶姓名中超過兩個(gè)連續(xù)字符的部分；至少有六個(gè)字符長(zhǎng)；包含以下四類字符中的三類字符:英文大寫字母(A到Z)；英文小寫字母(a到z)；10個(gè)基本數(shù)字(0到9)；非字母字符(例如：!、$、#、%)；如果選擇了“用戶下次登錄時(shí)須更改密碼”項(xiàng)，系統(tǒng)將會(huì)強(qiáng)迫用戶在第一次登錄時(shí)更改密碼，否則無法登錄。針對(duì)很多安全意識(shí)不強(qiáng)而使用缺省密碼的用戶，這是保證用戶賬號(hào)安全的必要措施。如果是創(chuàng)建供多人使用的公用賬號(hào)，應(yīng)選擇“用戶不能更改密碼”項(xiàng)，否則任何一個(gè)用戶更改了密碼后，都將會(huì)使其他用戶無法使用該賬號(hào)登錄。當(dāng)“密碼永不過期”一項(xiàng)被選定后，密碼將永久有效。如用戶賬號(hào)暫時(shí)不用，可選擇“賬戶已禁用”一項(xiàng)，以防止其他用戶利用此賬號(hào)登錄。設(shè)置完畢后，單擊“確定”，返回“ActiveDirectory管理中心”，即可創(chuàng)建了一個(gè)用戶賬號(hào)。3）管理用戶賬號(hào)(1)限制用戶登錄的時(shí)間憑借新建成的賬號(hào)的缺省設(shè)置，用戶可以在任何時(shí)間訪問WindowsServer2016服務(wù)器。但在實(shí)際的應(yīng)用中，有時(shí)需對(duì)用戶訪問網(wǎng)絡(luò)服務(wù)器的時(shí)間進(jìn)行限制。例如，許多單位為了禁止用戶在下班后訪問服務(wù)器，對(duì)用戶賬號(hào)設(shè)置了登錄時(shí)間限制。這樣，在下班后，用戶（當(dāng)然更主要針對(duì)盜用別人賬號(hào)的非法用戶）將無法登錄，這有利于網(wǎng)絡(luò)系統(tǒng)的安全管理。具體設(shè)置方法是：1、在圖15-10中右單擊已經(jīng)創(chuàng)建的用戶賬號(hào)，選擇“屬性”（或選中已有賬號(hào)，在右部單擊“屬性”）。在圖15-12中點(diǎn)擊“登錄小時(shí)...”。2、在創(chuàng)建新用戶的圖15-12中點(diǎn)擊“登錄小時(shí)...”。出現(xiàn)圖15-13所示的“登錄時(shí)段”對(duì)話框。對(duì)話框中藍(lán)色的方格表示允許該用戶使用的時(shí)間，該方格表示以小時(shí)為單位，一個(gè)方格代表一小時(shí)。藍(lán)色表示允許登錄，白色表示不允許登錄。在缺省狀況下，所有方塊均為藍(lán)色，即全天24小時(shí)都可登錄到WindowsServer2016服務(wù)器。如要設(shè)置在某一時(shí)間段內(nèi)不允許用戶訪問服務(wù)器時(shí)，只要用鼠標(biāo)選中要限制的時(shí)段（按住鼠標(biāo)左鍵，從起始時(shí)間格拖至結(jié)束時(shí)間格），再單擊“拒絕登錄”按鈕（此時(shí)所選時(shí)段應(yīng)全部變?yōu)榘咨?，即可限制該用戶賬號(hào)在該時(shí)段內(nèi)不能登錄；若選擇某時(shí)間段后，單擊“允許登錄”按鈕，則該時(shí)間段允許用戶登錄。在下圖中表示的是用戶wanglizheng能夠登錄網(wǎng)絡(luò)的時(shí)間是周一到周五的8:00到18:00，在其他時(shí)間段被禁止登錄網(wǎng)絡(luò)。需要特別指出的是，用戶賬號(hào)登錄時(shí)段的改變要在該用戶下次登錄時(shí)才生效，并不能實(shí)時(shí)地終止已登錄到WindowsServer2016服務(wù)器用戶的網(wǎng)絡(luò)連接。因此網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)該在用戶當(dāng)日用戶第一次登錄之前，完成對(duì)其賬號(hào)登錄時(shí)段的修改。圖15-13登錄小時(shí)數(shù)(2)限制用戶的登錄地點(diǎn)一個(gè)新用戶建成后，系統(tǒng)默許他可以在任何一臺(tái)工作站上登錄，但是為了保證網(wǎng)絡(luò)以及資源的安全性，必要時(shí)你可以設(shè)置讓其從指定的工作站登錄。例如銀行的柜臺(tái)終端，由于其操作員位置一般不允許隨意移動(dòng)，因此將其鎖定到只能從特定終端登錄就顯得非常重要；而像部門主管之類的對(duì)業(yè)務(wù)擁有較高權(quán)限、工作地點(diǎn)范圍又相對(duì)固定的用戶，可以將其登錄地點(diǎn)分別設(shè)置到該部門主管所轄的電腦終端上，為各部門主管協(xié)同工作提供便利；而系統(tǒng)管理員(Administrator)由于其工作的特殊性，要求他必須能在任何時(shí)候、從任何位置對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行訪問、管理，因此，限制系統(tǒng)管理員登錄地點(diǎn)的設(shè)置是不明智的。用戶登錄地點(diǎn)的設(shè)置方法與設(shè)置用戶登錄時(shí)間的方法類似，在圖15-12“用戶賬戶屬性”對(duì)話框中的單擊“登錄到”按鈕，此時(shí)出現(xiàn)圖15-14所示的“登錄到”對(duì)話框。這兩行提示信息意義為“所有計(jì)算機(jī)”登錄和“下列計(jì)算機(jī)”登錄。當(dāng)選擇了用戶從指定的計(jì)算機(jī)登錄時(shí)，只要將代表該計(jì)算機(jī)的計(jì)算機(jī)名稱（可以是計(jì)算機(jī)的NetBIOS名稱或DNS名稱）輸入后單擊“添加”即可（切記計(jì)算機(jī)名稱前不能出現(xiàn)斜杠符“\”），每輸入一個(gè)計(jì)算機(jī)名稱后單擊“添加”按鈕，全部完成后單擊“確定”按鈕。如果禁止用戶從某臺(tái)計(jì)算機(jī)登錄網(wǎng)絡(luò)，選中該計(jì)算機(jī)，單擊“刪除”即可。圖15-14登錄到(3)設(shè)置用戶賬號(hào)信息在圖15-12中可以對(duì)所選定的用戶賬號(hào)進(jìn)行有效期限和賬號(hào)類型等信息的設(shè)置。對(duì)話框中“賬戶過期”下方的“從不”一項(xiàng)，表示該用戶賬號(hào)除非被網(wǎng)絡(luò)管理員刪除，否則可被無限期使用；“賬號(hào)過期”下面的“結(jié)束日期”并輸入了限定時(shí)間后，該賬號(hào)只在期限所規(guī)定的時(shí)間內(nèi)有效，過了時(shí)間，該賬號(hào)就自動(dòng)失效。一般用于對(duì)一些臨時(shí)賬戶的處理，例如，學(xué)生在校期間可以正常使用校園網(wǎng)中的賬戶，學(xué)生畢業(yè)后賬戶就失效，這也是保障安全性的一種措施。為了保證安全性，用戶不應(yīng)該使用默認(rèn)密碼，所以密碼選項(xiàng)為設(shè)置“用戶下次登錄時(shí)須更改密碼”。對(duì)于公共賬戶，密碼選項(xiàng)應(yīng)該設(shè)置為“密碼永不過期”“用戶不能更改密碼”以防任何一個(gè)人修改了密碼，導(dǎo)致其他網(wǎng)絡(luò)用戶無法登錄網(wǎng)絡(luò)的情況。(4)修改用戶賬號(hào)在用戶賬號(hào)的使用中，可根據(jù)不同時(shí)間或不同環(huán)境的需要，對(duì)賬號(hào)的屬性進(jìn)行必要的修改，WindowsServer2016Server允許你一次修改一個(gè)或多個(gè)用戶賬號(hào)的屬性。一次修改一個(gè)賬號(hào)的屬性。在圖15-12中雙擊要修改賬號(hào)的用戶名，執(zhí)行類似新建用戶賬號(hào)的操作，修改有關(guān)賬號(hào)的屬性。(5)用戶賬號(hào)的刪除當(dāng)某些賬號(hào)不再使用時(shí)，出于對(duì)系統(tǒng)安全的考慮，應(yīng)及時(shí)將其從域中刪除。操作中可右單擊選中的賬戶，對(duì)所選定的一個(gè)或多個(gè)賬號(hào)進(jìn)行刪除。一個(gè)用戶賬號(hào)被刪除后，如果再建立一個(gè)同名的賬號(hào)，該賬號(hào)不會(huì)繼承前一個(gè)被刪除賬號(hào)的屬性和權(quán)限，這是因?yàn)閃indowsServer2016會(huì)給不同時(shí)期建立的每一個(gè)賬號(hào)分配一個(gè)固定的SID。4）創(chuàng)建計(jì)算機(jī)賬號(hào)每個(gè)加入WindowsServer2016域的WindowsServer2016和其他計(jì)算機(jī)都具有計(jì)算機(jī)賬號(hào)，否者無法進(jìn)行域連接，實(shí)現(xiàn)域資源的訪問。與用戶賬號(hào)類似，計(jì)算機(jī)賬號(hào)也提供驗(yàn)證和審核計(jì)算機(jī)登錄到網(wǎng)絡(luò)以及訪問域資源的方法。不過，一個(gè)計(jì)算機(jī)系統(tǒng)要加入到域中，只能使用一個(gè)計(jì)算機(jī)賬號(hào)，而一個(gè)用戶可擁有多個(gè)用戶賬號(hào)，且可在不同的計(jì)算機(jī)（指已經(jīng)連接到域中的計(jì)算機(jī)）上使用自己的用戶賬號(hào)進(jìn)行網(wǎng)絡(luò)登錄。在圖15-10ActiveDirectory管理中心的“Computers”上單擊鼠標(biāo)的右鍵，選擇“新建”→“計(jì)算機(jī)”，將出現(xiàn)圖15-15所示的對(duì)話框。圖15-15計(jì)算機(jī)賬戶在圖15-15中輸入計(jì)算機(jī)的名稱然后單擊“確定”即可。需要注意的是，建立的計(jì)算機(jī)賬號(hào)在整個(gè)域中必須是惟一的。關(guān)于計(jì)算機(jī)賬號(hào)的刪除、更名等操作，與用戶賬號(hào)的操作相同。5）組與組織單位組是WindowsServer2016從WindowsNT系統(tǒng)繼承下來的安全管理形式，它是指活動(dòng)目錄或本地計(jì)算機(jī)對(duì)象，包含用戶、聯(lián)系人、計(jì)算機(jī)和其他組等。在WindowsServer2016網(wǎng)絡(luò)中，組可以用來管理用戶和計(jì)算機(jī)對(duì)網(wǎng)絡(luò)資源的訪問，例如活動(dòng)目錄對(duì)象及其屬性、網(wǎng)絡(luò)共享、文件、目錄、打印機(jī)隊(duì)列。使用組，主要是為了方便管理訪問目的和權(quán)限相同的一系列用戶和計(jì)算機(jī)賬號(hào)。網(wǎng)絡(luò)管理員在賦予用戶或計(jì)算機(jī)賬號(hào)權(quán)限時(shí)，如果它們的權(quán)限各不相同，必須分別為它們?cè)O(shè)置；但是，如果它們的權(quán)限相同，還要分別進(jìn)行設(shè)置，就多做了許多重復(fù)性工作。有了組的概念之后，就可以將這些具有相同權(quán)限的用戶或計(jì)算機(jī)劃歸到一個(gè)組中，使這些用戶成為該組的成員，然后通過賦予該組權(quán)限來使這些用戶或計(jì)算機(jī)都具有了相同的權(quán)限，這就大大減輕了作為管理員的用戶的賬號(hào)管理工作。組織單位(OrganizationalUnit,簡(jiǎn)稱OU)是域中包含的一類目錄對(duì)象，它包括域中一些用戶、計(jì)算機(jī)和組、文件與打印機(jī)等資源。不過，組織單位不能包含其他域中的對(duì)象。由于目錄服務(wù)可以把域詳細(xì)地劃分成多個(gè)組織單位，且組織單位中還可以再劃分下級(jí)組織單位，因此組織單位的分層結(jié)構(gòu)主要用來建立域的分層結(jié)構(gòu)模型，使網(wǎng)絡(luò)結(jié)構(gòu)看起來更清晰。組織單位具有繼承性，子組織單位能夠繼承父組織單位的訪問許可權(quán)。網(wǎng)絡(luò)管理員可使用組織單位來創(chuàng)建管理模型。而且，網(wǎng)絡(luò)管理員可授予用戶對(duì)域中所有組織單位或單個(gè)組織單位的管理權(quán)限。注意：組和組織單位有很大的不同。組主要用于權(quán)限設(shè)置，而組織單位則主要用于網(wǎng)絡(luò)結(jié)構(gòu)的管理；另外，組織單位只表示單個(gè)域中的對(duì)象集合（可包括組對(duì)象），而組可以包含用戶、計(jì)算機(jī)、本地服務(wù)器上的共享資源。雖然系統(tǒng)提供了許多內(nèi)置組用于權(quán)限和安全設(shè)置，但是它們并不能滿足特殊安全和靈活性的需要。所以，要想很好的管理用戶賬號(hào)和計(jì)算機(jī)賬號(hào)，必須根據(jù)網(wǎng)絡(luò)情況創(chuàng)建一些新組。新組創(chuàng)建之后，就可以像使用內(nèi)置組一樣使用它們，賦予權(quán)限和進(jìn)行組成員的添加。另外，在域中合理地添加和安排組織單位，不但方便了管理員對(duì)域中賬號(hào)和組的管理，而且還有利于網(wǎng)絡(luò)的擴(kuò)展。要?jiǎng)?chuàng)建新組，在控制臺(tái)目錄樹中，展開域節(jié)點(diǎn)。右單擊要進(jìn)行組創(chuàng)建的組織單位或容器，從彈出的快捷菜單中選擇“新建”→“組”，打開如圖15-16所示的“創(chuàng)建組：”對(duì)話框，在“組名”文本框中輸入要?jiǎng)?chuàng)建的組名。在“組范圍”選項(xiàng)區(qū)域中，通過單選按鈕來選擇組的作用域；在“組類型”選項(xiàng)區(qū)域中，通過選擇單選按鈕來選擇新組的類型。單擊“確定”按鈕即完成組的創(chuàng)建。圖15-16創(chuàng)建組一個(gè)新組被創(chuàng)建好之后，系統(tǒng)并沒有設(shè)置該組常規(guī)屬性和權(quán)限，也沒有為其指定組成員，該組幾乎不發(fā)揮任何作用。如果要充分發(fā)揮組對(duì)用戶和計(jì)算機(jī)賬號(hào)的管理作用，用戶必須設(shè)置該組的屬性。要設(shè)置組屬性，可參照下面的步驟。(1)右單擊要添加成員的組，從彈出的快捷菜單中選擇“屬性”或雙擊需要添加成員的組，打開該組的屬性對(duì)話框。(2)為了便于管理，在“描述”和“注釋”文本框中分別輸入有關(guān)該組的描述和注釋；如果要修改組名稱，輸入新的組名稱；為了便于組管理員同組成員交換信息，在“電子郵件”文本框中輸入組管理員的電子郵件地址。(3)在“成員”選項(xiàng)單擊“添加”，如圖15-17所示。要添加成員，單擊“添加”按鈕，打開“選擇用戶聯(lián)系人或計(jì)算機(jī)”對(duì)話框選擇要添加的成員。要?jiǎng)h除組成員，在“成員”列表框中選擇要?jiǎng)h除的組成員，然后單擊“刪除”按鈕即可。圖15-17添加組成員(4)因?yàn)橛脩糁饕峭ㄟ^向新組添加內(nèi)置組來設(shè)置新組的權(quán)限的，所以要設(shè)置組權(quán)限，在圖15-18組屬性對(duì)話框的“擴(kuò)展”部分中單擊“添加”按鈕，打開“選擇組”對(duì)話框，為自己創(chuàng)建的組選擇內(nèi)置組。要?jiǎng)h除某個(gè)組權(quán)限，在“