用戶帳戶與組管理

1、2021/8/61用戶帳戶與組管理用戶帳戶與組管理2021/8/62本章學習目標本章學習目標 本章主要講解Windows 2000中活動目錄（Active Directory，AD）的用戶帳戶和相關管理。通過本章學習，應該掌握以下內(nèi)容：n 域控制器的管理n 用戶賬戶和計算機賬戶的管理n 組和組織單位的管理n 資源發(fā)布和域的管理2021/8/639.1 用戶和計算機賬戶管理用戶和計算機賬戶管理在一個網(wǎng)絡中，用戶和計算機都是網(wǎng)絡的主體，兩者缺一不可。擁有計算機賬戶是計算機接入Windows網(wǎng)絡的基礎，擁有用戶賬戶是用戶登錄到網(wǎng)絡并使用網(wǎng)絡資源的基礎，因此用戶和計算機賬戶管理是Windows網(wǎng)絡管理

2、中最必要且最經(jīng)常的工作。2021/8/649.1.1 用戶和計算機賬戶分類用戶和計算機賬戶分類(1)Windows 2000 Server 提供了3種不同類型的用戶帳戶，不同的帳戶擁有不同的網(wǎng)絡資源存取或管理能力。n本地用戶賬戶n域用戶賬戶n內(nèi)建用戶帳戶2021/8/659.1.1 用戶和計算機賬戶分類用戶和計算機賬戶分類(2)本地用戶賬戶本地用戶賬戶n本地用戶賬戶建立在Windows 2000獨立服務器、成員服務器或Windows 2000 Professional的本地安全數(shù)據(jù)庫內(nèi)，而不是域控制器內(nèi)。用戶可以利用本地用戶賬戶來登錄此計算機，但是只能夠訪問這臺計算機內(nèi)的資源，無法訪問網(wǎng)絡上的

3、資源。2021/8/669.1.1 用戶和計算機賬戶分類用戶和計算機賬戶分類(3)域用戶賬戶域用戶賬戶n域用戶賬戶建立在域控制器的Active Directory數(shù)據(jù)庫內(nèi)。用戶可以利用域用戶賬戶來登錄域，并利用它來訪問網(wǎng)絡上的資源，例如訪問其他計算機內(nèi)的文件、打印機等資源。每個加入Windows 2000域的計算機都具有計算機賬戶，否者無法進行域連接，實現(xiàn)域資源的訪問。2021/8/679.1.1 用戶和計算機賬戶分類用戶和計算機賬戶分類(4)內(nèi)建用戶賬戶內(nèi)建用戶賬戶在安裝Windows 2000時一并安裝的用戶帳戶稱之為內(nèi)建用戶帳戶，通常為Administrator與Guest。Admini

4、strator（系統(tǒng)管理員）（系統(tǒng)管理員） nAdministrator擁有最高的權(quán)限，可以用它來管理計算機與域內(nèi)的設置，例如建立、更改、刪除用戶與組賬戶、設置安全策略、設置用戶帳戶的權(quán)限等。 Guest（來賓帳戶）（來賓帳戶） nGuest是供臨時用戶使用的賬戶，例如提供偶爾需要登錄、或者僅登錄一次的用戶使用，以便訪問網(wǎng)絡上的資源。2021/8/689.1.2 創(chuàng)建用戶和計算機賬戶創(chuàng)建用戶和計算機賬戶(1)(1)用戶賬戶的創(chuàng)建可參照如下步驟：1.在“Active DivectoryActive Divectory用戶和計算機用戶和計算機”窗口的控制臺目錄樹中，雙擊展開域節(jié)點。2.如果要創(chuàng)建用

5、戶賬戶，鼠標右擊要添加用戶的組織單位或容器，從彈出的快捷菜單中選擇“新建”/“用戶”，打開如圖9-26所示的對話框。若要創(chuàng)建計算機賬戶，則從彈出的快捷菜單中選擇“新建”/“計算機”。圖圖9-269-26新建用戶新建用戶 2021/8/699.1.2 創(chuàng)建用戶和計算機賬戶創(chuàng)建用戶和計算機賬戶(2)(2)3.在“姓”和“名”文本框中分別輸入姓和名，并在“用戶登錄名”文本框中輸入用戶登錄時使用的名字。4.單擊“下一步”，打開如圖9-27所示的對話框。 5.在“密碼”和“確認密碼”文本框中輸入要為用戶設置的密碼。如果希望用戶下次登錄時更改密碼，可選擇“用戶下次登錄時須更改密碼”，否則選擇“用戶不能更改

6、密碼”。如果希望密碼永遠不過期，可選擇“密碼永不過期”。如果暫不啟用該用戶賬戶，可選擇“賬戶已停用”。圖圖9-279-27密碼設置密碼設置 2021/8/6109.1.2 創(chuàng)建用戶和計算機賬戶創(chuàng)建用戶和計算機賬戶(3)(3)6.單擊“下一步”按鈕即可完成創(chuàng)建。 創(chuàng)建計算機賬戶方法同上，只需在上述第2步中選擇“計算機”，在彈出的對話框中輸入該計算機的名稱，單擊“確定”即可2021/8/6119.1.3 9.1.3 設置帳戶屬性設置帳戶屬性(1)(1)用戶個人信息的設置n“用戶個人信息”，就是指姓名、地址、電話、傳真、移動電話、公司、部門、職稱、電子郵件、Web頁等。如圖9.1-1所示 圖圖9.1

7、-1 “屬性屬性”對話框?qū)υ捒?2021/8/6129.1.3 9.1.3 設置帳戶屬性設置帳戶屬性(2)(2)賬戶信息的設置選擇“賬戶”選項卡，如圖9.1-2所示。 （1）賬戶過期 （2）登錄時間的設置 （3）限制用戶只能夠從某些工作站登錄 圖圖9.1-2 “賬戶賬戶”選項選項卡卡2021/8/613圖圖9.1-3 “登錄時段登錄時段”窗口窗口圖圖9.1-4 設置允許登錄的工作站設置允許登錄的工作站9.1.3 設置帳戶屬性設置帳戶屬性(3)2021/8/6149.1.3 刪除用戶和計算機賬戶刪除用戶和計算機賬戶當系統(tǒng)中的某一個用戶賬戶不再被使用或者管理員不再希望某個用戶賬戶存在于安全域中時，

8、可將該用戶賬戶刪除。另外，在網(wǎng)絡的使用中，當域中的某個計算機斷開了與網(wǎng)絡的連接，或者管理員不再希望某個計算機存在于自己的安全域中時，可將該計算機的計算機賬戶從域控制器中刪除，以防有其他計算機假借原來的計算機使用域中的網(wǎng)絡資源。要刪除一個用戶和計算機賬戶，在控制臺目錄樹中，展開域節(jié)點。單擊要刪除的用戶或者計算機所在的組織單位或容器，在詳細資料窗格中右擊要刪除的用戶或者計算機，從彈出的快捷菜單中選擇“刪除”，出現(xiàn)信息確認框后，單擊“是”即可刪除該用戶或者計算機。 2021/8/6159.1.4 停用用戶和計算機賬戶停用用戶和計算機賬戶 如果某個用戶的賬戶暫時不使用，可將其停用。例如，單位有長期出差

9、人員，可暫停其賬戶的使用。如果某個計算機賬戶暫時不使用，也可將其停用。例如，單位有計算機因故障而不能在短時間內(nèi)使用，可將該計算機的賬戶停用。 停用賬戶的目的是防止其他用戶或者計算機使用暫時不使用的賬戶進行域登錄。賬戶被停用之后，當該用戶或者計算機需要重新使用已被停用的賬戶時，管理員重新啟用該賬戶即可。 停用用戶賬戶，在控制臺目錄樹中，展開域節(jié)點。單擊要停用的用戶賬戶或者計算機所在的組織單位或容器，在詳細資料窗格中，右擊要停用的用戶或者計算機賬戶，從彈出的快捷菜單中選擇“停用賬戶”命令，出現(xiàn)信息確認框后，單擊“是”按鈕即可停用被選用戶或者計算機賬戶。2021/8/616要移動用戶和計算機賬戶，在

10、控制臺目錄樹中，展開域節(jié)點。單擊要移動用戶或者計算機賬戶所在的組織單位或容器，在詳細資料窗格中，鼠標右擊要移動的用戶賬戶，從彈出的快捷菜單中選擇“移動”。如圖9-28所示。單擊移動。9.1.5 移動用戶和計算機賬戶移動用戶和計算機賬戶(1)圖圖9-289-28移動賬戶移動賬戶 2021/8/6179.1.5 移動用戶和計算機賬戶移動用戶和計算機賬戶(2)打開“移動”對話框，在“將對象移動到容器”對話框中雙擊域節(jié)點，展開該節(jié)點，如圖9-28所示。單擊移動的目標組織單位，然后單擊“確定”即可完成移動。 圖圖9-289-28移動賬戶移動賬戶 2021/8/6189.1.6 為用戶和計算機賬戶添加組為

11、用戶和計算機賬戶添加組要為用戶賬戶添加組，在控制臺目錄樹中，展開域節(jié)點，接著單擊要加入組的用戶所在的組織單位或容器，在詳細資料窗口中，鼠標右鍵單擊該用戶賬戶，從彈出的快捷菜單中選擇“將成員添加到組”，打開如圖9-29所示的“選擇組”對話框，在組列表框中選擇一個要添加的組，單擊“確定”按鈕即可為用戶添加組。 要為計算機賬戶添加組，在控制臺目錄樹中，展開域節(jié)點，接著單擊Computers或者要加入組的計算機所在的組織單位及容器，在詳細資料窗口中，鼠標右鍵單擊該計算機賬戶，從彈出的快捷菜單中選擇“屬性”命令，打開該計算機的屬性對話框。然后單擊“成員屬于”標簽，打開“成員屬于”選項卡，單擊“添加”按鈕

12、，打開“選擇組”對話框選擇要加入的組，單擊“確定”按鈕完成添加。 圖圖9-299-29為用戶添加組為用戶添加組 2021/8/6199.1.7 重設用戶密碼重設用戶密碼用戶密碼是用戶在進行網(wǎng)絡登錄時所采用的最重要的安全措施，所以當用戶密碼被別人盜用或者用戶感到有必要修改自己的密碼時，管理員可以通過Windows 2000提供的修改密碼工具對用戶使用的舊密碼進行重新設置。在設置密碼時，應使密碼與用戶所在的組織單位和用戶賬戶的各種信息保持一致性，以方便用戶記憶。 要重新設置用戶密碼，在控制臺目錄樹中，展開域節(jié)點。然后單擊包含要重新設置密碼的用戶的組織單位或容器，在詳細資料窗口中，鼠標右鍵單擊該用戶

13、賬戶，從彈出的快捷菜單中選擇“重設密碼”，打開 “重設密碼”對話框，在“新密碼”和“確認密碼”文本框中輸入要設置的新密碼。如果允許用戶更改密碼，可選擇“用戶下次登錄時須更改密碼”復選框。單擊“確定”按鈕保存設置，同時系統(tǒng)會打開確認信息框，單擊“確定”按鈕可完成設置。 2021/8/6209.1.8 管理客戶計算機管理客戶計算機管理客戶計算機是Windows 2000網(wǎng)絡的強大功能之一，它允許管理員通過域控制器直接管理網(wǎng)絡中的客戶計算機，這樣不但加強了域控制器的作用，而且有利于用戶對網(wǎng)絡的管理和維護。不過，通過域控制器直接管理的計算機所運行的系統(tǒng)必須是Windows 2000或Windows N

14、T系統(tǒng)，安裝Windows 95/98或者其他系統(tǒng)的計算機不能被直接管理。 要管理客戶計算機，在控制臺目錄樹中，展開域節(jié)點。然后單擊要管理的計算機所在的組織單位，鼠標右鍵單擊該計算機，從彈出的快捷菜單中選擇“管理”命令，打開該計算機的計算機管理窗口。在該窗口中，管理員可以對連接的計算機進行系統(tǒng)工具、存儲、服務器應用程序和服務等方面的管理。例如可以對該計算機上的用戶進行管理。管理工作處理完畢，關閉窗口即可。2021/8/6219.2 9.2 組和組織單位的管理組和組織單位的管理(1)組是Windows 2000從Windows NT系統(tǒng)繼承下來的安全管理形式，它是指活動目錄或本地計算機對象，包含

15、用戶、聯(lián)系人、計算機和其他組等。 在Windows 2000中，組可以用來管理用戶和計算機對網(wǎng)絡資源的訪問，還可以篩選組策略。使用組，方便了管理訪問目的和權(quán)限相同的一系列用戶和計算機賬戶。 管理員在賦予用戶或計算機賬戶權(quán)限時，如果它們的權(quán)限各不相同，必須分別為它們設置；如果它們的權(quán)限相同，就可以將這些用戶或計算機劃歸到一個組中，使這些用戶成為該組的成員，然后通過賦予該組權(quán)限來使這些用戶或計算機都具有了相同的權(quán)限。2021/8/6229.2 Windows 2000的內(nèi)建用戶組的內(nèi)建用戶組(1)當安裝完Windows2000 Server后，系統(tǒng)會建立一些組。通常這些組為區(qū)分系統(tǒng)管理工作的權(quán)限所

16、設立，不同的組有不同的資源存取權(quán)限。n本地域組n全局組n本地組n系統(tǒng)組2021/8/623本地域組本地域組本地域組主要是用來指定其所屬域內(nèi)的存取權(quán)限，nAccount Operators(帳戶操作員帳戶操作員) ：該組的成員具有操作使用者管理員所屬域的帳號與組，并可設置帳戶的進階權(quán)限。nAdministrators：該組的成員可以完全不受限制地存取計算機域的資源。nBackup Operators ：可使用Windows備份工具來進行備份/還原的工作nGuests ：該組的成員只能享有管理員授予的權(quán)限以及存取指定權(quán)限的資源nPrinter Operators ：可以管理域打印機nReplica

17、tor ：該組的成員可以支持域中的文件拷貝，可啟動目錄復制程序進行目錄復制。nServer Operators ：管理域服務器nUsers ：該組的成員會被防止制造意外或有意的全面系統(tǒng)變更。因此只可以執(zhí)行得到授權(quán)的應用程序，不可執(zhí)行大部分的繼承應用程序。9.2 Windows 2000的內(nèi)建用戶組的內(nèi)建用戶組(2)2021/8/624全局組全局組全局組主要是用來組織用戶，可以將多個權(quán)限相似的用戶賬戶加入到同一個全局組內(nèi)。nDomain Admins ：該組可以代表具有操作域權(quán)力的用戶nDomain Guests ：代表所有域來賓的組nDomain Users ：代表所有域用戶的組nEnterp

18、rise Admins ：Windows 2000提供給我們授權(quán)具有管理整個網(wǎng)絡權(quán)利用戶的方法，該方法就是將用戶帳號加至Enterprise Admins ，然后再將該組加至每個域的Administrators本地域組內(nèi)。9.2 Windows 2000的內(nèi)建用戶組的內(nèi)建用戶組(3)2021/8/625本地組本地組提供了在單一的計算機上執(zhí)行系統(tǒng)工作的權(quán)利。nAdministrators ：該組的成員可以完全不受限制地存取本地計算機的資源，內(nèi)建的Administrator用戶為該組的預設成員。nBackup Operators ：可使用Windows備份工具來進行備份/還原的工作nGuests

19、：該組的成員只能享有管理員授予的權(quán)限以及存取指定權(quán)限的資源nPower Users ：該組的成員可以新建/刪除/修改本地用戶帳戶nReplicator ：該組的成員可以支持域中的文件拷貝，可啟動目錄復制程序進行目錄復制。nUsers ：該組的成員會被防止制造意外或有意的全面系統(tǒng)變更。因此只可以執(zhí)行得到授權(quán)的應用程序，不可執(zhí)行大部分的繼承應用程序。9.2 Windows 2000的內(nèi)建用戶組的內(nèi)建用戶組(4)2021/8/626系統(tǒng)組系統(tǒng)組系統(tǒng)組是較為特殊的組，因為該組雖然存在Windows2000之中，但卻無法在Windows2000所提供的工具中管理這些組的成員。nEveryone ：指所有

20、存取這臺計算機的用戶nAuthenticated Users ：經(jīng)過授權(quán)的合法用戶nInteractive ：任何在本地登錄的用戶nNetwork ：通過網(wǎng)絡連接到本地上共享資源的用戶nAnonymousLogon ：匿名（未經(jīng)合法授權(quán)）進入的用戶nDialup ：撥號連接的用戶。9.2 Windows 2000的內(nèi)建用戶組的內(nèi)建用戶組(5)2021/8/6279.2 9.2 組和組織單位的管理組和組織單位的管理(2)組織單位組織單位（Organizational Unit，OU）是域中包含的一類目錄對象，它包括域中一些用戶、計算機和組、文件與打印機等資源。不過，組織單位不能包含其他域中的對象

21、。組織單位的分層結(jié)構(gòu)可用來建立域的分層結(jié)構(gòu)模型，使用戶把網(wǎng)絡所需的域的數(shù)量減至最小。 組織單位具有繼承性，子單位能夠繼承父單位的訪問許可權(quán)。域管理員可使用組織單位來創(chuàng)建管理模型，該模型可調(diào)整為任何尺寸。而且，域管理員可授予用戶對域中所有組織單位或單個組織單位的管理權(quán)限。注意注意：組主要用于權(quán)限設置，而組織單位則主要用于網(wǎng)絡構(gòu)建；另外，組織單位只表示單個域中的對象集合（可包括組對象），而組可以包含用戶、計算機、本地服務器上的共享資源、單個域、域目錄樹或目錄林。 2021/8/628開啟“Active Directory用戶和計算機”管理工具。展開樹形目錄“Active Directory用戶和計

22、算機”中的主機項目，點擊“Users”右鍵單擊，從彈出的快捷菜單中選擇“新建”組”。打開如圖9-30所示的對話框，在“組名”文本框中輸入要創(chuàng)建的組名。在“組作用域”選項區(qū)域中，選擇單選按鈕來確定組的作用域；在“組類型”選項區(qū)域中，通過單選按鈕來選擇新組的類型。單擊“確定”按鈕即完成組的創(chuàng)建。9.2.1 創(chuàng)建新組和組織單位創(chuàng)建新組和組織單位圖圖9-30 9-30 創(chuàng)建組創(chuàng)建組 2021/8/6299.2.1 創(chuàng)建新組和組織單位創(chuàng)建新組和組織單位組作用域n本地域：常用來指定資源，具有“不限制成員”（可由任何域加入成員）與“存取一個域中資源”的特性。n全局：常用來組織一群對網(wǎng)絡資源存取需求的相似的用

23、戶，具有“限制成員”與“存取任何域中資源”的特性。n通用：常用來指定多個域之間相關資源的權(quán)限，具有“不限制成員”與“存取任何域中資源”的特性。圖圖9-30 9-30 創(chuàng)建組創(chuàng)建組 2021/8/6309.2.1 創(chuàng)建新組和組織單位創(chuàng)建新組和組織單位組類型n安全式：使用安全性類型的組可以指定存取資源的權(quán)限，且擁有發(fā)布類型組的所有能力。n分布式：只有執(zhí)行非安全性的組功能時才會勾選本選項，無法使用分布式組類型來指定權(quán)限。圖圖9-30 9-30 創(chuàng)建組創(chuàng)建組 2021/8/6319.2.2 9.2.2 刪除組和組織單位刪除組和組織單位活動目錄中的組和組織單位太多會影響管理員對用戶和計算機賬戶的管理，此

24、時，管理員可以對自己創(chuàng)建的組和組織單位進行清理。不過，管理員只能刪除自己創(chuàng)建的組和組織單位，而不能刪除由系統(tǒng)提供的內(nèi)置組和組織單位。 要刪除組和組織單位，在控制臺目錄樹中，展開域節(jié)點。單擊要刪除的組或組織單位所在的組織單位，詳細資料窗格中會列出該組織單位的內(nèi)容。然后鼠標右鍵單擊要刪除的組或組織單位，選擇快捷菜單中“刪除”命令，這時系統(tǒng)會打開信息確認框，單擊“是”按鈕即完成組或組織單位的刪除。 2021/8/6329.2.3 設置組屬性（設置組屬性（1 1）一個新組被用戶創(chuàng)建好之后，系統(tǒng)并沒有設置該組常規(guī)屬性和權(quán)限，也沒有為其指定組成員和管理者，該組幾乎不發(fā)揮任何作用。如果要充分發(fā)揮組對用戶和計

25、算機賬戶的管理作用，用戶必須設置該組的屬性，具體步驟如下。1.在控制臺目錄樹中單擊要設置屬性的組所在的組織單位或容器，在詳細資料窗口中，鼠標右鍵單擊要添加成員的組，從彈出的快捷菜單中選擇“屬性”命令，打開該組的屬性對話框，如圖9-38所示。2.為了便于管理，在“描述”和“注釋”文本框中分別輸入有關該組的描述和注釋；可以修改組名稱；為了便于組管理員與組成員交換信息，在“電子郵件”文本框中輸入組管理員的電子郵件地址。 圖圖9-38 9-38 設置常規(guī)屬性設置常規(guī)屬性2021/8/6339.2.3 設置組屬性（設置組屬性（2 2）3.單擊“成員”選項卡，如圖9-39所示。要添加成員，單擊“添加”，打

26、開“選擇用戶聯(lián)系人或計算機”對話框選擇要添加的成員。要刪除組成員，在“成員”列表框中選擇要刪除的組成員，然后單擊“刪除”即可。4.因為用戶主要是通過向新組添加內(nèi)置組來設置新組的權(quán)限的，所以要設置組權(quán)限，選擇“成員屬于”選項卡，單擊“添加”，打開“選擇組”對話框，為自己創(chuàng)建的組選擇內(nèi)置組。要刪除某個組權(quán)限，在“成員屬于”列表框中選擇該組，單擊“刪除”即可。5.要設置組的管理者，選擇“管理者”選項卡。要更改組管理者，單擊“更改”按鈕，打開“選擇用戶或聯(lián)系人”對話框選擇管理者；要查看管理者的屬性，單擊“查看”按鈕進行查看；如果要清除管理者對組的管理，單擊“清除”按鈕即可。 6.屬性設置完畢，單擊“確

27、定”按鈕保存設置并關閉屬性對話框。圖圖9-39 添加成員到組添加成員到組 2021/8/6349.2.4 設置組織單位屬性設置組織單位屬性(1)(1)組織單位除了有利于網(wǎng)絡擴展外，另一大優(yōu)點是它在管理方面的方便性和安全性，但是，如果不根據(jù)組織單位的實際情況設置其屬性，是很難發(fā)揮這個優(yōu)點的。所以，用戶在創(chuàng)建組織單位之后，必須根據(jù)需要設置組織單位屬性。通過設置組織單位的屬性，不但可以指定組織單位的管理者和常規(guī)屬性，也可為組織單位創(chuàng)建組策略。要設置組織單位的屬性，可參照下面的步驟。2021/8/6359.2.4 設置組織單位屬性設置組織單位屬性(2)(2)1.在控制臺目錄樹中，鼠標右鍵單擊要設置屬性

28、的組織單位，從彈出的快捷菜單中選擇“屬性”命令，打開該組織單位的屬性對話框，如圖9-34所示。2.在“常規(guī)”選項卡中，可以設置“描述”、“省/自治區(qū)”、“縣市”、“街道”和“郵政編碼”等計算機和用戶常規(guī)信息。圖圖9-349-34設置屬性設置屬性 2021/8/6369.2.4 設置組織單位屬性設置組織單位屬性(3)(3)3.選擇“管理者”選項卡，單擊“更改”按鈕，打開“選擇用戶或聯(lián)系人”對話框選擇一個用戶或聯(lián)系人作為管理者；管理者更改之后，單擊“查看”按鈕，可打開所更改的管理者的屬性對話框，管理員可對管理者的屬性進行修改，如果要清除管理者，單擊“清除”按鈕即可。圖圖9-359-35管理組策略管

29、理組策略 2021/8/6379.2.4 設置組織單位屬性設置組織單位屬性(4)(4)4.單擊“組策略”選項卡，如圖9-35所示。要新建一個組策略對象，單擊“新建”按鈕，在“組策略對象鏈接”列表框中會出現(xiàn)一個新的組策略對象，在其名稱文本框中為新策略輸入一個有意義的名稱。 5.單擊“編輯”按鈕，會打開如圖9-36所示的“組策略”窗口。在該窗口中，管理員可對創(chuàng)建的組策略進行編輯，包括計算機配置和用戶配置兩個方面。如圖所示可以對計算機配置中的“登錄”策略進行編輯。編輯完畢，關閉窗口。圖圖9-369-36編輯組策略編輯組策略 2021/8/6389.2.4 設置組織單位屬性設置組織單位屬性(5)(5)

30、6.要設置某個組策略對象的屬性，在圖9-35中組策略對象鏈接列表中選擇對象，單擊“屬性”按鈕，打開該對象屬性對話框，進行“常規(guī)”、“鏈接”和“安全”方面的設置。7.在列表中，不同位置的組策略對象具有不同的優(yōu)先級，較高位置的組策略對象比較低位置的組策略對象優(yōu)先級高。所以，管理員可以改變組策略對象在列表中的位置來決定組策略對象的應用級別。要改變某個組策略對象在列表中的位置，選擇該對象，單擊“向上”或“向下”按鈕即可上移或下移該對象。圖圖9-359-35管理組策略管理組策略 2021/8/6399.2.4 設置組織單位屬性設置組織單位屬性(6)(6)9.如果要刪除某個組策略對象，在列表中選擇該對象，

31、然后單擊“刪除”按鈕即可。9.用戶要配置某個組策略對象的選項，在如圖9-35組策略鏈接列表中選擇對象，單擊“選項”按鈕，打開該組策略對象的選項對話框，如圖9-37所示。10.在“鏈接選項”選項區(qū)域中，選擇“沒有替代”復選框，可防止其他組策略對象替代這個組對象中的策略集；啟用“被禁用”復選框，可暫時禁用該策略，需要啟用時，禁用“被禁用”復選框即可。然后單擊“確定”按鈕返回到組策略選項卡。11 .如果要防止組策略被下一級組織單位所繼承，可啟用“阻止策略繼承”復選框（見圖9-35）。最后單擊“關閉”按鈕保存屬性設置。圖圖9-37 配置組策略對象選項配置組策略對象選項 2021/8/6409.2.5

32、委派控制組或組織單位委派控制組或組織單位(1)如果對某個組或組織單位進行委派控制，可參照下面的步驟：1.在“Active Directory用戶與計算機”窗口的控制臺目錄樹中，雙擊展開域節(jié)點。2.鼠標右鍵單擊要委派控制的組織單位或組節(jié)點，例如Users，從彈出的快捷菜單中選擇“委派控制”命令，進入“控制委派向?qū)А贝翱?，單擊“下一步”按鈕。2021/8/6419.2.5 委派控制組或組織單位委派控制組或組織單位(2)3.在打開如圖9-31所示的“組或用戶選擇”對話框中，單擊“添加”按鈕，打開“選擇用戶、計算機或組”對話框，選擇一個或多個要委派控制的用戶，也可選擇一個或多個要委派控制的組。2021

33、/8/6429.2.5 9.2.5 委派控制組或組織單位委派控制組或組織單位(3)(3)5.單擊“下一步”按鈕，打開如圖9-32所示，指定委派任務范圍。如果要委派的對象為整個文件夾，可選擇“這個文件夾”，如果要委派的對象只是文件夾中的對象，可選擇“文件夾中的對象”，并在“對象類型”列表框中通過復選框來選擇對象。圖圖9-329-32定義要委派控制任務定義要委派控制任務 2021/8/6439.2.5 委派控制組或組織單位委派控制組或組織單位(4)6.單擊“下一步”按鈕，打開“權(quán)限”對話框，如圖9-33所示。通過選擇“要委派的權(quán)限”復選框來選擇要委派的權(quán)限，例如選擇“讀取”、“創(chuàng)建所有子對象”等復

34、選框設置相應權(quán)限。7.單擊“下一步”按鈕，打開“完成控制委派向?qū)А睂υ捒?，單擊“完成”按鈕，結(jié)束委派設置。注意注意，對不同資源進行控制委派，配置向?qū)в兴煌?。圖圖9-33 9-33 指定委派權(quán)限指定委派權(quán)限 2021/8/6449.3 資源發(fā)布和域的管理資源發(fā)布和域的管理域（Domain）是活動目錄的分區(qū)，定義了安全邊界，在沒經(jīng)過授權(quán)的情況下，不允許其他域中的用戶訪問本域中的資源。活動目錄可由一個或多個域組成，每一個域可以存儲上百萬個對象，域之間還有層次關系，可以建立域樹和域林，如圖9-17、9-18所示，進行無限地域擴展。圖中的雙箭頭表示域之間的信任關系，Windows 2000中域的信任關

35、系都是雙向和可傳遞的。域的信任關系域的信任關系圖 9-17 域樹圖 9-18 域林 2021/8/6459.3.1 資源發(fā)布的管理（資源發(fā)布的管理（1 1）一、資源的發(fā)布1公布共享文件夾的步驟如下：（1）打開“Active Directory用戶和計算機”；（2）在控制臺樹中，雙擊“域節(jié)點”；（3）鼠標右鍵單擊想在其中添加共享文件夾的文件夾，指向“新建”并單擊“共享文件夾”對話框，如圖9-40所示；（4）鍵入文件夾的名稱；網(wǎng)絡路徑；（5）單擊“確定”按鈕完成操作。圖圖9-40設置共享文件夾設置共享文件夾 2021/8/6469.3.1 資源發(fā)布的管理（資源發(fā)布的管理（2 2）2公布Window

36、s NT打印機的步驟如下：（1）打開“Active Directory用戶和計算機”；（2）在控制臺樹中，雙擊“域節(jié)點”；（3）在控制臺樹中，鼠標右鍵單擊想在其中公布打印機的文件夾，指向“新建”，并單擊“打印機”；（4）鍵入網(wǎng)絡路徑，如圖9-41所示。圖圖9-40設置共享打印機路徑設置共享打印機路徑 2021/8/6479.3.1 資源發(fā)布的管理（資源發(fā)布的管理（3 3）二、資源的查找若要進行自定義搜索，可參照如下步驟：（1）打開“Active Directory用戶和計算機”；（2）在控制臺樹中用右鍵單擊“域節(jié)點”，然后單擊“查找”；（3）在“查找”中單擊“自定義搜索”；（4）單擊“字段”，

37、選擇要搜索的對象種類，然后單擊要為其指定搜索值的對象的屬性；（5）在“條件”中單擊搜索的條件；（6）在“值”中鍵入要應用搜索條件的屬性值；（7）單擊“添加”，將該搜索條件添加至自定義搜索；（8）重復第（4）步至第（7）步，直到添加完所需的全部搜索條件為止；（9）單擊“開始查找”按鈕。2021/8/6489.3.2 域的管理（域的管理（1 1）一、更改域模式（1）打開“Active Directory域和信任關系”；（2）鼠標右鍵單擊你想要管理的域的“域節(jié)點”，然后單擊“確定”；（3）在如圖9-42所示“常規(guī)”選項卡上單擊“更改模式”，然后單擊“確定”。 n注意注意：域模式的更改是不可逆的，只能

38、將模式從混合模式更改為本機模式，一旦域以本機模式運行后，就不能在再回到混合模式了。所以，如果已經(jīng)或即將有Windows域控制器，請不要更改域模式。圖圖9-42更改域模式更改域模式 2021/8/6499.3.2 域的管理（域的管理（2 2）二、創(chuàng)建明確的域信任（或者稱信任的快捷方式）（1）打開“Active Directory域和信任關系”；（2）在控制臺樹中，鼠標右鍵單擊要管理的域的域節(jié)點，然后單擊“屬性”；（3）單擊“信任”選項卡，如圖9-43所示；（4）根據(jù)需要，單擊“受此域信任的域”或“信任此域的域”，再單擊“添加”；（5）如果要添加的域是Windows 2000域，則鍵入域的DNS全

39、名。注意注意：密碼必須是信任域和被信任域雙方都接受的。 圖圖9-43 “信任信任”選項卡選項卡 2021/8/6509.3.2 域的管理（域的管理（3 3）三、驗證信任關系1打開“Active Directory域和信任關系”；2在控制臺樹中，用鼠標右鍵單擊要驗證的信任關系所涉及的一個域，然后單擊“屬性”對話框；3單擊“信任”選項卡；4在“受此域信任的域”或“信任此域的域”中，單擊要驗證的信任關系，然后單擊“編輯”，其結(jié)果如圖9-44所示；5單擊“驗證”按鈕。 圖圖9-43單擊單擊“編輯編輯”后的對話框選后的對話框選項項 2021/8/6519.3.2 域的管理（域的管理（4 4）四、撤銷信任

40、關系1打開“Active Directory域和信任關系”；2在控制臺樹中，鼠標右鍵單擊要撤銷的信任關系所涉及的一個域節(jié)點，然后單擊“屬性”對話框；3單擊“信任”選項卡；4在“受此域信任的域”或“信任此域的域”中，單擊要撤銷的信任關系，然后單擊“刪除”；5對于此信任關系中涉及的其他域，重復該過程。 注意注意：不能撤銷樹林中不同域之間默認的雙向可傳遞信任關系。但可刪除明確創(chuàng)建的快捷信任關系。 2021/8/6529.4 域控制器管理域控制器管理域控制器域控制器是使用 Active Directory 安裝向?qū)渲玫倪\行 Windows 2000 Server 的計算機。域控制器存儲著目錄數(shù)據(jù)并管

41、理用戶域的交互，其中包括用戶登錄過程、身份驗證和目錄搜索。一個域可有一個或多個域控制器。為了獲得高可用性和容錯能力，使用單個局域網(wǎng) (LAN) 的小單位可能只需要一個具有兩個域控制器的域。具有多個網(wǎng)絡位置的大公司在每個位置都需要一個或多個域控制器以提供高可用性和容錯能力。2021/8/6539.4.1 設置域控制器屬性（設置域控制器屬性（1 1）管理員通過設置域控制器屬性，不但可以確定域控制器的位置、操作系統(tǒng)和常規(guī)屬性，而且還可設置域控制器的組和管理員。設置域控制器屬性，具體步驟如下：1.選擇“開始”/“程序”/“管理工具”/“配置服務器”命令，打開“Windows 2000配置服務器”窗口，

42、單擊左邊的列表中的Active Directory鏈接，使右邊的窗格中列出相應的內(nèi)容，然后單擊“管理”超級連接，打開“Active Directory用戶與計算機”管理窗口，如圖9-19所示。圖圖9-199-19Active DirectoryActive Directory用戶和計算機窗口用戶和計算機窗口 2021/8/6549.4.1 設置域控制器屬性（設置域控制器屬性（2 2）.在控制臺目錄樹中，雙擊展開域節(jié)點。單擊Domain Computers子節(jié)點。.在詳細資料窗格中，右擊要設置屬性的域控制器，從彈出的快捷菜單中選擇“屬性”，打開該控制器的“屬性”對話框，如圖9-20所示。圖圖9-

43、209-20設置域控制器屬性設置域控制器屬性2021/8/6559.4.1 設置域控制器屬性（設置域控制器屬性（3 3）4.在“常規(guī)”選項卡的“描述”文本框中輸入對域控制器的一般描述。如果不希望域控制器的可受信任用來作為委派，可禁用“信任計算機作為委派”復選框。5.選擇“操作系統(tǒng)”選項卡，在該選項卡中，顯示出操作系統(tǒng)的名稱，版本以及Service Pack，管理員只能查看并不能修改這些內(nèi)容。2021/8/6569.4.1 設置域控制器屬性（設置域控制器屬性（4 4）6.選擇如圖9-21所示的“成員屬于”選項卡，要添加組，單擊“添加”按鈕，打開“選擇組”對話框為域控制器選擇一個要添加的組；要刪除

44、某個已經(jīng)添加的組，在“成員屬于”列表框選擇該組，然后單擊“刪除”按鈕即可。圖圖9-219-21設置成員組設置成員組2021/8/6579.4.1 設置域控制器屬性（設置域控制器屬性（5 5） 7.當管理員為域控制器添加多個組時，還可為域控制器設置一個主要組。要設置主要組，在“成員屬于”列表框中選擇要設置的主要組，一般為Domain Controllers，也可為Cert Publishers，然后單擊“設置主要組”按鈕即可。 9.選擇“位置”選項卡，可以設置域控制器的位置。 9.選擇“管理者”選項卡，要更改域控制器的管理者，可單擊“更改”按鈕，打開“選擇用戶或聯(lián)系人”對話框，選擇新的管理人即可。要刪除管理者，可單擊“清除”按鈕來刪除；要查看和修改管理者屬性，可單擊“查看”按鈕，打開該管理者屬性對話框來進行操作。 10. 域控制器設置完畢，單擊“確定”按鈕保存設置。2021/8/6589.4.2 查找域控制器目錄內(nèi)容查找域控制器目錄內(nèi)容 （1） 在Windows 2000中，活動目錄實際上是一個網(wǎng)絡清單，包括網(wǎng)絡中的域、域控制器、用戶、計算機、聯(lián)系人、組、組織單位及網(wǎng)絡資源等各個方面的信息，使管理員可以方便查找這些內(nèi)容。要查找目錄內(nèi)容，可參照如下步驟：1.在“Acti