域服務(wù)器的配置與應(yīng)用_百度文庫

1、 部署Active Directory目錄服務(wù)Active Directory存儲了網(wǎng)絡(luò)對象大量的相關(guān)信息，網(wǎng)絡(luò)用戶和應(yīng)用程序可根據(jù)不同的授權(quán)使用在Active Directory中發(fā)布的有關(guān)用戶、計(jì)算機(jī)、文件和打印機(jī)等信息。Active Directory支持LDAP v2和LDAP v3，能夠與其他供應(yīng)商的目錄服務(wù)互操作。Active Directory實(shí)際上是一種用于組織、管理和定位網(wǎng)絡(luò)資源的企業(yè)級工具。對于Windows網(wǎng)絡(luò)來說，規(guī)模越大，需要管理的資源越多，建立Active Directory目錄服務(wù)也就越有必要。Active Directory基礎(chǔ)1Active Dire

2、ctory的功能Active Directory提供了一種組織方式并簡化了計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中資源的訪問。作為一種增強(qiáng)性目錄服務(wù)，它具有下列功能。l     數(shù)據(jù)存儲，也稱為目錄，它存儲著與Active Directory對象有關(guān)的信息。這些對象包括共享資源，如服務(wù)器、文件、打印機(jī)、網(wǎng)絡(luò)用戶和計(jì)算機(jī)賬戶。l     包含目錄中每個(gè)對象信息的全局編錄。允許用戶和管理員查找目錄信息，而與目錄中實(shí)際包含數(shù)據(jù)的域無關(guān)。l     查詢和索引機(jī)制的建立，可以使網(wǎng)絡(luò)用戶或應(yīng)用程序發(fā)布并查找這

3、些對象及其屬性。l     通過網(wǎng)絡(luò)分發(fā)目錄數(shù)據(jù)的復(fù)制服務(wù)。對目錄數(shù)據(jù)所做的任何更改都被復(fù)制到域中的所有域控制器。l     與網(wǎng)絡(luò)安全登錄過程的安全子系統(tǒng)的集成，以及對目錄數(shù)據(jù)查詢和數(shù)據(jù)修改的訪問控制。l     提供安全策略的存儲和應(yīng)用范圍，支持組策略來實(shí)現(xiàn)網(wǎng)絡(luò)用戶和計(jì)算機(jī)的集中配置和管理。2Active Directory對象與其他目錄服務(wù)器一樣，Active Directory以對象為基本單位，采用層次結(jié)構(gòu)來組織管理對象。這些對象包括網(wǎng)絡(luò)中的各項(xiàng)資源，如用戶、計(jì)算機(jī)、

4、打印機(jī)和應(yīng)用程序等。AD對象以層次結(jié)構(gòu)組織，可分為兩種類型。一類是容器對象，即可以包含下層對象的對象；另一類是非容器對象，即不能包含下層對象的對象。每個(gè)對象均有一組屬性，用來記錄該對象的特性。對象與屬性的關(guān)系相當(dāng)于數(shù)據(jù)庫中的記錄和字段之間的關(guān)系。每個(gè)對象都可通過多種不同的名稱引用。Active Directory根據(jù)對象創(chuàng)建或修改時(shí)提供的信息，為每個(gè)對象創(chuàng)建RDN和規(guī)范名稱。例如，在域、unit1組織單位中名為mycomputer的計(jì)算機(jī)的DN是“CN=mycomputer, OU=unit1, DC=abc, DC=com”。如果采用規(guī)范名稱（DN的另一種表示方法），則表示為“3Active

5、 Directory架構(gòu)Active Directory中的每個(gè)對象都是在架構(gòu)中定義的類的實(shí)例。AD架構(gòu)包含目錄中所有對象的定義。架構(gòu)的英文名稱為Schema，也可譯為模式，實(shí)際上就是對象類。在LDAP目錄服務(wù)中，Schema一般以文本方式來存儲，在Active Directory中卻將其作為一種特殊的對象。架構(gòu)對象由對象類和屬性組成，是用來定義對象的對象。4Active Directory結(jié)構(gòu)AD目錄服務(wù)建立在域的基礎(chǔ)上，由域控制器對網(wǎng)絡(luò)中的資源實(shí)行集中管理和控制，目錄信息存儲在域控制器上的Active Directory數(shù)據(jù)庫中。Active Directory以域?yàn)榛A(chǔ)，具有伸縮性，包含

6、一個(gè)或多個(gè)域，每個(gè)域具有一個(gè)或多個(gè)域控制器，可調(diào)整目錄的規(guī)模以滿足任何網(wǎng)絡(luò)的需要。多個(gè)域可合并為域樹，多個(gè)域樹可合并為林。Active Directory是一個(gè)典型的樹狀結(jié)構(gòu)，按自上而下的順序，依次為林樹域組織單位。而在實(shí)際應(yīng)用中，通常是按自下而上的方法來設(shè)計(jì)Active Directory結(jié)構(gòu)的。l     域：Active Directory的基本單位和核心單元，是Active Directory的分區(qū)單位，Active Directory中必須至少有一個(gè)域。共享同一個(gè)AD數(shù)據(jù)庫的計(jì)算機(jī)組成一個(gè)域。一個(gè)典型的域包括域控制器、成員服務(wù)器和工作站等類型的

7、計(jì)算機(jī)。l     組織單位：將域再進(jìn)一步劃分成多個(gè)組織單位（簡稱OU）以便于管理。組織單位是可將用戶、組、計(jì)算機(jī)和其他組織單位放入其中的Active Directory容器。每個(gè)域的組織單位層次都是獨(dú)立的，組織單位不能包括來自其他域的對象。組織單位相當(dāng)于域的子域，本身也具有層次結(jié)構(gòu)。l     域樹：可將多個(gè)域組合成為一個(gè)域樹。l     林：一個(gè)或多個(gè)域樹的集合。5Active Directory站點(diǎn)Active Directory站點(diǎn)可以看作是一個(gè)或多個(gè)IP子網(wǎng)中的一組

8、計(jì)算機(jī)定義。同一站點(diǎn)中的計(jì)算機(jī)需要很好地連接，尤其是子網(wǎng)內(nèi)的計(jì)算機(jī)。如果站點(diǎn)包括多個(gè)子網(wǎng)，由于相同原因那些子網(wǎng)也必須具有良好的網(wǎng)絡(luò)連接。站點(diǎn)與域不同，站點(diǎn)反映網(wǎng)絡(luò)的物理結(jié)構(gòu)，而域通常反映整個(gè)單位的邏輯結(jié)構(gòu)。邏輯結(jié)構(gòu)和物理結(jié)構(gòu)相互獨(dú)立，可能相互交叉。Active Directory允許單個(gè)站點(diǎn)中有多個(gè)域，單個(gè)域中有多個(gè)站點(diǎn)。Active Directory站點(diǎn)的主要作用是使Active Directory適應(yīng)復(fù)雜的網(wǎng)絡(luò)連接環(huán)境，一般只有在有多種網(wǎng)絡(luò)連接的網(wǎng)絡(luò)環(huán)境（如廣域網(wǎng)）中才規(guī)劃站點(diǎn)。6Active Directory目錄復(fù)制復(fù)制目錄提供了信息可用性、容錯(cuò)、負(fù)載平衡和性能優(yōu)勢。通過復(fù)制，AD目

9、錄服務(wù)在多個(gè)域控制器上保留目錄數(shù)據(jù)的副本，從而確保所有用戶的目錄可用性和性能。Active Directory使用一種多主機(jī)復(fù)制模型，允許在任何域控制器上（而不只是委派的主域控制器上）更改目錄。7Active Directory與DNS集成Active Directory與DNS集成并且共享相同的名稱空間結(jié)構(gòu)，兩者的集成體現(xiàn)在以下3個(gè)方面。l     Active Directory和DNS有相同的層次結(jié)構(gòu)。l     DNS區(qū)域可存儲在Active Directory中。l   &#

10、160; Active Directory將DNS作為定位服務(wù)使用。要登錄到Active Directory域，Active Directory客戶端應(yīng)向配置的DNS服務(wù)器查詢在指定域的域控制器上運(yùn)行的LDAP服務(wù)的IP地址。DNS用于將AD域、站點(diǎn)和服務(wù)名稱解析成IP地址。DNS是一種名稱解析服務(wù)，為DNS客戶端提供DNS名稱解析，不需要Active Directory也能運(yùn)行。Active Directory是一種目錄服務(wù)，提供信息儲存庫并讓用戶和應(yīng)用程序訪問信息的服務(wù)。為了定位域控制器，Active Directory客戶端需查詢DNS，Active Directory需要DNS才能工作

11、。8Active Directory管理工具Active Directory管理工具簡化了目錄服務(wù)的管理?？墒褂脴?biāo)準(zhǔn)工具或使用Microsoft管理控制臺（MMC）來創(chuàng)建專門執(zhí)行單項(xiàng)管理任務(wù)的自定義工具。在Windows Server 2003域控制器上可直接使用的管理工具有3種：l     Active Directory 用戶和計(jì)算機(jī)；l     Active Directory 域和信任；l     Active Directory 站點(diǎn)和服務(wù)。 安裝Acti

12、ve Directory部署Active Directory目錄服務(wù)的關(guān)鍵是安裝和配置域控制器，前提是做好Active Directory的規(guī)劃。1規(guī)劃Active Directory主要是規(guī)劃DNS名稱空間和域結(jié)構(gòu)，必要時(shí)還要規(guī)劃組織單位或AD站點(diǎn)。選擇域結(jié)構(gòu)的總的原則是應(yīng)盡可能減少域的數(shù)量，微軟建議企業(yè)網(wǎng)應(yīng)盡可能使用單一域結(jié)構(gòu)，以簡化管理工作。組織單位的規(guī)劃很重要，在域內(nèi)可依據(jù)多種標(biāo)準(zhǔn)劃分組織單位。如果各個(gè)分支機(jī)構(gòu)或部門有大量的對象，或者分支機(jī)構(gòu)或部門相對分散獨(dú)立，或者企業(yè)網(wǎng)絡(luò)分成幾個(gè)獨(dú)立部分，就可以考慮創(chuàng)建多個(gè)域。對于多域的情況，又有兩種選擇：域樹或林。一般來說，分支機(jī)構(gòu)或部門使用相同的

13、頂層DNS名稱空間，層次結(jié)構(gòu)清晰，可創(chuàng)建域樹來包含多個(gè)域；如果使用不同的頂層DNS名稱空間，可創(chuàng)建林來包括多個(gè)域樹和域。Active Directory需要先規(guī)劃名稱空間。Active Directory域使用DNS名稱來命名。選擇DNS名稱用于Active Directory域時(shí)通常使用現(xiàn)有域名，以企業(yè)保留在Internet上使用的已注冊DNS域名后綴開始，并將該名稱和企業(yè)中使用的地理名稱或部門名稱結(jié)合起來，組成Active Directory域的全名。企業(yè)可將內(nèi)部名稱空間與外部名稱空間保持一樣。微軟公司建議將兩者分離，對DNS域名進(jìn)行分組，如內(nèi)部DNS名稱使用諸如“”的名稱，外部DNS名稱

14、使用諸如“”的名稱。適當(dāng)建立站點(diǎn)可以優(yōu)化復(fù)制效率并減少網(wǎng)絡(luò)的管理開銷。站點(diǎn)的數(shù)量取決于網(wǎng)絡(luò)的物理設(shè)計(jì)和網(wǎng)絡(luò)連接帶寬。多數(shù)情況下只需一個(gè)AD站點(diǎn)，如一個(gè)包含單個(gè)子網(wǎng)的局域網(wǎng)，或者以高速主干線連接的多個(gè)子網(wǎng)。如果網(wǎng)絡(luò)分布在多個(gè)地理位置并通過廣域網(wǎng)連接，應(yīng)當(dāng)為每個(gè)地理位置建立單獨(dú)的站點(diǎn)。2安裝域控制器域中的服務(wù)器要么充當(dāng)域控制器，要么充當(dāng)成員服務(wù)器。使用Active Directory安裝向?qū)?，可以在?dú)立服務(wù)器上安裝域控制器，或者將成員服務(wù)器升級至域控制器，也可以將域控制器降級為成員服務(wù)器。Windows Server 2003或Windows 2000 Server服務(wù)器在Active Direc

15、tory環(huán)境中可分為域控制器、成員服務(wù)器和獨(dú)立服務(wù)器3種角色。使用Active Directory安裝向?qū)Э砂惭b和配置域控制器。在使用Active Directory安裝向?qū)е?，?yīng)考慮DNS配置。默認(rèn)情況下，該安裝向?qū)钠湟雅渲玫腄NS服務(wù)器列表中定位新域的權(quán)威DNS服務(wù)器，該列表將接受服務(wù)（SRV）資源記錄的動態(tài)更新。如果找到可接受動態(tài)更新的DNS服務(wù)器，則在重新啟動域控制器時(shí)，所有域控制器的相應(yīng)記錄都自動在DNS服務(wù)器上注冊。如果網(wǎng)絡(luò)上沒有DNS服務(wù)器，可在安裝Active Directory時(shí)選擇自動安裝和配置本地DNS服務(wù)器。DNS 服務(wù)器將安裝在運(yùn)行Active Directory

16、安裝向?qū)У姆?wù)器上，該服務(wù)器的首選DNS服務(wù)器設(shè)置將自動配置為使用新的本地DNS服務(wù)器。使用“配置您的服務(wù)器向?qū)А惫ぞ?，根?jù)提示將服務(wù)器角色選定為“域控制器（Active Directory）”，可啟動Active Directory安裝向?qū)В鶕?jù)提示進(jìn)行安裝操作即可。也可通過運(yùn)行dcpromo命令直接啟動Active Directory安裝向?qū)?。具體步驟不再贅述。3將計(jì)算機(jī)添加到域Active Directory客戶端通過LDAP協(xié)議向域控制器發(fā)送查詢，為了定位域控制器，Active Directory客戶端查詢DNS，Active Directory需要DNS才能工作。域控制器就是一個(gè)Ac

17、tive Directory服務(wù)器，可由Windows 2000 Server和Windows Server 2003服務(wù)器充當(dāng)，它存儲目錄數(shù)據(jù)并管理用戶域的交互，其中包括用戶登錄過程、身份驗(yàn)證和目錄搜索。Windows 2000/XP/2003計(jì)算機(jī)都可作為Active Directory客戶端，Windows 2000以前版本的計(jì)算機(jī)，需要安裝Active Directory客戶端，才能部分支持Active Directory客戶功能。運(yùn)行Windows 95、Windows 98的計(jì)算機(jī)可連接到域，在安裝附加的Active Directory客戶端軟件后，可以使用域功能，但是不能加入到域

18、，不能作為計(jì)算機(jī)賬戶添加到Active Directory。運(yùn)行Windows NT 4.0的計(jì)算機(jī)無需任何更改就可登錄到域，只能使用NTLM認(rèn)證方法。Windows 2000/XP/2003計(jì)算機(jī)需要加入到域，才能享用Active Directory的好處。有兩種情況，一種是將獨(dú)立服務(wù)器加入到域，另一種是將工作站添加到域。加入到域的計(jì)算機(jī)可統(tǒng)稱為域成員計(jì)算機(jī)。在安裝Windows 2000/XP/2003操作系統(tǒng)時(shí)，可以選擇加入到域中，或保留在工作組中。也可以將現(xiàn)有的Windows 2000/XP/2003計(jì)算機(jī)添加到AD域中。這里以Windows Server 2003服務(wù)器加入到域?yàn)槔?/p>

19、將服務(wù)器添加到域 以本機(jī)系統(tǒng)管理員身份登錄到服務(wù)器，確認(rèn)能夠連通Active Directory域控制器計(jì)算機(jī)。 將DNS服務(wù)器設(shè)置為能夠解析Active Directory域控制器域名的DNS服務(wù)器IP地址。在單域網(wǎng)絡(luò)中，通常就是域控制器本身。具體的IP設(shè)置這里就不介紹了。 右鍵單擊控制面板中的“系統(tǒng)”圖標(biāo)，或右鍵單擊“我的電腦”圖標(biāo)，在快捷菜單中選擇【屬性】命令，打開【系統(tǒng)屬性】對話框。 切換到【計(jì)算機(jī)名】選項(xiàng)卡，單擊【更改】按鈕。 打開如圖7.2所示的對話框，在【隸屬于】區(qū)域選中【域】選項(xiàng)，在下面的文本框中輸入域名（可以是域的DNS域名，也可是域NetBIOS名稱），單擊【確定】按鈕。

20、出現(xiàn)【計(jì)算機(jī)名更改】對話框，根據(jù)提示輸入具有將計(jì)算機(jī)加入域權(quán)限的用戶賬戶的名稱和密碼，單擊【確定】按鈕。 如無異常情況，將出現(xiàn)歡迎加入某域的提示，單擊【確定】按鈕。 將出現(xiàn)重新啟動計(jì)算機(jī)的提示，單擊【確定】按鈕。 回到【計(jì)算機(jī)名】對話框，DNS后綴已加入完整的計(jì)算機(jī)名稱。再單擊【確定】按鈕。重新啟動計(jì)算機(jī)，使上述更改生效。此時(shí)在域控制器上打開“Active Directory用戶和計(jì)算機(jī)”控制臺，展開相應(yīng)的域，單擊【Computers】節(jié)點(diǎn)，如圖7.3所示，將發(fā)現(xiàn)新加入域的計(jì)算機(jī)，說明已自動指派相應(yīng)計(jì)算機(jī)賬戶。       

21、        圖7.2  設(shè)置域名                                     圖7.3  查看計(jì)算機(jī)賬戶 如果要退出A

22、ctive Directory域，只需將域成員計(jì)算機(jī)重新加入工作組即可。至于Windows 2000、Windows XP計(jì)算機(jī)作為工作站加入到域的操作步驟與獨(dú)立服務(wù)器基本相同，只是操作界面有點(diǎn)差別。4域成員計(jì)算機(jī)登錄到域啟動域成員計(jì)算機(jī)（服務(wù)器或工作站），按Ctrl+Alt+Delete組合鍵，以UPN用戶名“用戶名域名”和密碼登錄到域，也可以SAM賬戶名稱和密碼登錄到域。    注釋：SAM是安全賬戶管理的意思，這種賬戶是為了與Windows NT域兼容，域內(nèi)的每個(gè)用戶都有一個(gè)惟一的SAM賬戶名稱。以SAM賬戶登錄時(shí)，可在登錄界面中單擊【選項(xiàng)】按鈕展開，在【登

23、錄到】框中設(shè)置要登錄的域名（域NetBIOS名稱），在【用戶名】框中輸入用于Windows 2000以前版本的用戶登錄名。登錄到域后，可通過“網(wǎng)上鄰居”窗口來查看網(wǎng)絡(luò)中的域及其中的計(jì)算機(jī)。管理和使用Active Directory對象在Active Directory中應(yīng)對各類Active Directory對象進(jìn)行合理的組織和管理。1Active Directory對象類別主要的Active Directory對象類別如下。l     用戶（User）：作為安全主體，被授予安全權(quán)限，可登錄到域中。l     計(jì)算

24、機(jī)（Computer）：表示網(wǎng)絡(luò)中的計(jì)算機(jī)實(shí)體，加入到域的Windows NT/2000/XP/2003計(jì)算機(jī)都可創(chuàng)建相應(yīng)的計(jì)算機(jī)賬戶。l     聯(lián)系人（Contact）：一種個(gè)人信息記錄。聯(lián)系人沒有任何安全權(quán)限，不能登錄網(wǎng)絡(luò)，主要用于通過電子郵件聯(lián)系的外部用戶。l     組（Group）：某些用戶、聯(lián)系人、計(jì)算機(jī)的分組，用于簡化大量對象的管理。l     組織單位（Organization Unit）：將域細(xì)分的Active Directory容器。l 

25、60;   打印機(jī)（Printer）：在Active Directory中發(fā)布的打印機(jī)。l     共享文件夾（Shared Folder）：在Active Directory中發(fā)布的共享文件夾。l     InterOrgPersion：標(biāo)準(zhǔn)的用戶對象類，對于Windows Server 2003域功能級別來說，可以作為安全主體。這些對象主要是通過“Active Directory用戶和計(jì)算機(jī)”控制臺來管理的。如圖7.4所示，默認(rèn)情況下，展開域節(jié)點(diǎn)時(shí)，控制臺樹中將顯示以下容器。l &

26、#160;    Builtin：用來存放默認(rèn)內(nèi)置組（如Account Operators或Administrators）對象。l     Computers：包含Windows 2000、Windows XP和Windows Server 2003計(jì)算機(jī)對象。l     Domain Controllers：運(yùn)行Windows 2000或Windows Server 2003的域控制器的計(jì)算機(jī)對象。l     ForeignSecurityPr

27、incipals：存儲有信任關(guān)系的域的對象。l     Users：包含域內(nèi)用戶賬戶和組。選中【查看】菜單上的【高級功能】命令時(shí)，還將顯示LostAndFound和System兩個(gè)文件夾。LostAndFound包含在創(chuàng)建對象的同時(shí)，其容器被刪除的對象。System包含各種系統(tǒng)服務(wù)容器和對象的內(nèi)置系統(tǒng)設(shè)置。2管理Active Directory用戶賬戶Active Directory用戶賬戶用于驗(yàn)證用戶身份，指派用戶的訪問權(quán)限。用戶必須使用用戶賬戶登錄到特定的計(jì)算機(jī)和域。登錄到網(wǎng)絡(luò)的每個(gè)用戶應(yīng)有自己的惟一賬戶和密碼。用戶賬戶也可用作某些應(yīng)用程序的服務(wù)賬戶

28、。在域控制器上建立的是域用戶賬戶，賬戶數(shù)據(jù)存儲在AD中，用來登錄域、訪問域內(nèi)的資源。非域控制器的計(jì)算機(jī)上還有本地賬戶。本地賬戶數(shù)據(jù)存儲在本機(jī)中，不會發(fā)布到AD中，只能用來登錄賬戶所在計(jì)算機(jī)，訪問該計(jì)算機(jī)上的資源。本地賬戶主要用于工作組環(huán)境，對于加入域的計(jì)算機(jī)來說，一般不再建立和管理本地賬戶，除非要以本地賬戶登錄。Windows Server 2003提供了兩個(gè)內(nèi)置域用戶賬戶：Administrator和Guest。Administrator是系統(tǒng)管理員賬戶，對域擁有最高權(quán)限，為安全起見，可將其重命名。Guest是來賓賬戶，主要供沒有賬戶的用戶使用，訪問一些公開資源，為安全起見，系統(tǒng)默認(rèn)禁用此賬

29、戶。默認(rèn)情況下，用戶賬戶一般位于Users容器中，域控制器計(jì)算機(jī)上的原本地賬戶自動轉(zhuǎn)入該容器。為獲得用戶驗(yàn)證和授權(quán)的安全性，應(yīng)為加入網(wǎng)絡(luò)的每個(gè)用戶創(chuàng)建單獨(dú)的用戶賬戶。每個(gè)用戶賬戶又可添加到組以控制指派給賬戶的權(quán)限。添加用戶賬戶 在“Active Directory用戶和計(jì)算機(jī)”控制臺樹中，右鍵單擊要添加用戶的域、組織單位或其他容器（通常是Users），從快捷菜單中選擇【新建】>【用戶】命令。 打開【新建對象用戶】對話框，如圖7.5所示，設(shè)置賬戶基本信息。 輸入用戶的姓名信息。 在【用戶登錄名】框中輸入用戶用于登錄域的名稱，從下拉列表中選擇要附加到用戶登錄名稱的UPN后綴（后面跟號，決定要

30、登錄的域）。 如果用戶使用不同的名稱從運(yùn)行Windows NT、Windows 98、Windows 95的計(jì)算機(jī)登錄，則把顯示在“用戶登錄名（Windows 2000以前版本）”中的用戶登錄名稱改為不同的名稱。在Active Directory中，每個(gè)用戶賬戶都有一個(gè)用戶登錄名、一個(gè)Windows 2000以前版本的用戶登錄名（安全賬戶管理器的賬戶名）和一個(gè)用戶主要名稱后綴。在創(chuàng)建用戶賬戶時(shí)，管理員輸入其登錄名并選擇用戶主要名稱。微軟建議Windows 2000以前版本的用戶登錄名使用此用戶登錄名的前20個(gè)字節(jié)。管理員可以隨時(shí)更改Windows 2000以前版本的登錄名。 單擊【下一步】按鈕

31、，設(shè)置密碼以及其他賬戶選項(xiàng)。注意密碼必須符合用戶賬戶命名策略，請參見后面關(guān)于組策略的內(nèi)容。 單擊【下一步】按鈕，完成用戶賬戶創(chuàng)建。如果要進(jìn)一步設(shè)置用戶賬戶，應(yīng)在控制臺中雙擊相應(yīng)的用戶賬戶，打開如圖7.6所示的對話框，進(jìn)一步設(shè)置用戶賬戶屬性，這里提供很多選項(xiàng)卡，可根據(jù)需要設(shè)置。可同時(shí)配置多個(gè)用戶賬戶。同時(shí)選取多個(gè)賬戶，再打開屬性對話框，可設(shè)置地址、賬戶、單位和配置文件等許多共同屬性。管理員還可執(zhí)行用戶賬戶管理，如刪除、禁用、復(fù)制、重命名、重設(shè)密碼、移動賬戶、發(fā)送郵件和打開主頁等操作。右鍵單擊賬戶，從彈出的快捷菜單中選擇相應(yīng)的命令即可。3管理Active Directory計(jì)算機(jī)賬戶在Active

32、 Directory中，每個(gè)運(yùn)行Windows NT、Windows 2000、Windows XP或Windows Server 2003的計(jì)算機(jī)都有一個(gè)計(jì)算機(jī)賬戶。與用戶賬戶類似，計(jì)算機(jī)賬戶提供了一種驗(yàn)證和審核計(jì)算機(jī)訪問網(wǎng)絡(luò)以及域資源的方法。連接到網(wǎng)絡(luò)上的每一臺計(jì)算機(jī)都應(yīng)有自己的惟一計(jì)算機(jī)賬戶。使用“Active Directory用戶和計(jì)算機(jī)”控制臺來創(chuàng)建和管理計(jì)算機(jī)賬戶。運(yùn)行Windows 95和 Windows 98的計(jì)算機(jī)沒有高級安全功能，不能被指派計(jì)算機(jī)賬戶。          &

33、#160;                         圖7.5  新建用戶對象                       

34、           圖7.6  設(shè)置用戶賬戶屬性當(dāng)將計(jì)算機(jī)加入到域時(shí)，該計(jì)算機(jī)相應(yīng)的計(jì)算機(jī)賬戶自動添加。也可在域控制器上創(chuàng)建計(jì)算機(jī)賬戶，然后再將計(jì)算機(jī)添加到現(xiàn)有賬戶。兩種方法的差別在于：前者總是在Computers容器中創(chuàng)建計(jì)算機(jī)賬戶，后者可以在任何組織單位中創(chuàng)建計(jì)算機(jī)賬戶，新加入域的計(jì)算機(jī)自動查找并使用該賬戶（必須使用相同的NetBIOS名稱）。在“Active Directory用戶和計(jì)算機(jī)”控制臺樹中，右鍵單擊要添加計(jì)算機(jī)賬戶的容器（域或組織單位），從快捷菜單中選擇【新建】&g

35、t;【計(jì)算機(jī)】命令，打開相應(yīng)的對話框，如圖7.7所示，根據(jù)提示設(shè)置即可。除了添加計(jì)算機(jī)賬戶外，還可執(zhí)行禁用、重設(shè)和刪除計(jì)算機(jī)賬戶等操作，其快捷菜單如圖7.8所示。                       圖7.7  新建計(jì)算機(jī)對象            &

36、#160;                   圖7.8  管理計(jì)算機(jī)賬戶的快捷菜單4管理Active Directory組在Active Directory中，組可包含用戶、聯(lián)系人、計(jì)算機(jī)和其他組的Active Directory對象或本機(jī)對象。使用組可以簡化Active Directory對象的管理。組作為一種特殊的對象，具有以下特性。l     組可跨越組織單位

37、或域，將不同域、不同組織單位的對象歸到一個(gè)組。l     組可作為安全主體，與用戶、計(jì)算機(jī)一樣被授予權(quán)限。l     組為非容器對象，組成員與組之間沒有從屬關(guān)系，而且一個(gè)對象可以屬于多個(gè)不同的組。刪除組不會刪除組成員。每個(gè)組均具有作用域，該作用域確定組在域樹或樹林中所應(yīng)用的范圍。有3類不同的作用域：通用、全局和本地域。l     具有通用作用域的組可稱為通用組，其成員可以是任何域的用戶賬戶、全局組或通用組。其權(quán)限范圍是整個(gè)林。l    

38、 具有全局作用域的組可稱為全局組，其成員可以是同域的用戶賬戶或其他全局組。其權(quán)限范圍是整個(gè)林。 l     具有本地域作用域的組可稱為本地域組，它可以是任何域的用戶賬戶、全局組，但是其權(quán)限范圍僅限于同域（建立組的域）的資源，只能將同域的資源指派給本地域組。本地域組不能訪問其他域的資源。有兩種類型的組：安全組（Security）和通訊組（Distribute）。安全組用于將用戶、計(jì)算機(jī)和其他組收集到可管理的單位中。為資源（文件共享、打印機(jī)等）指派權(quán)限時(shí)，管理員應(yīng)將那些權(quán)限指派給安全組而非個(gè)別用戶。權(quán)限可一次分配給這個(gè)組，而不是多次分配給單獨(dú)的用戶。添加到組

39、的每個(gè)賬戶接受為該組定義的權(quán)利和權(quán)限。使用組而不是單獨(dú)的用戶可簡化網(wǎng)絡(luò)的維護(hù)和管理。而通訊組只能用作電子郵件的通訊組，不能用于篩選組策略設(shè)置，不具備安全功能。創(chuàng)建Active Directory域時(shí)自動創(chuàng)建的安全組稱為默認(rèn)組。許多默認(rèn)組被自動指派一組用戶權(quán)利，授權(quán)組中的成員執(zhí)行域中的特定操作。默認(rèn)組位于“Builtin”容器和“Users”容器中?！癇uiltin”容器包含用本地域作用域定義的組?！癠sers”容器包含通過全局作用域定義的組和通過本地域作用域定義的組?？蓪⑦@些容器中的組移動到域中的其他組或組織單位，但不能將它們移動到其他域。    提示：在安裝運(yùn)行

40、Windows Server 2003的獨(dú)立服務(wù)器或成員服務(wù)器時(shí)，自動創(chuàng)建默認(rèn)本地組。本地組不同于域本地組，必須在本機(jī)上獨(dú)立管理，只能用于本機(jī)?？上虮镜亟M添加本地用戶賬戶、域用戶賬戶、計(jì)算機(jī)賬戶以及組賬戶；但不能向域組賬戶添加本地用戶賬戶和本地組賬戶。要創(chuàng)建新的組，在“Active Directory用戶和計(jì)算機(jī)”控制臺樹中右鍵單擊要添加組的容器（域或組織單位），從快捷菜單中選擇【新建】>【組】命令，打開如圖7.9所示的對話框，設(shè)置組的名稱，選擇組作用域和組類型。如果目前創(chuàng)建的組所屬的域處于混合模式，則只能選擇具有本地域或全局作用域的安全組。要將成員添加到組中，有兩種方法。一種是打開組的

41、屬性對話框，如圖7.10所示，切換到【成員】選項(xiàng)卡，然后單擊【添加】按鈕，從【查找位置】下拉列表中選擇對象所屬的域，從列表中選擇對象（如用戶賬戶、聯(lián)系人、其他組），單擊【添加】按鈕。另一種方法是打開用戶賬戶的屬性對話框，切換到【隸屬于】選項(xiàng)卡，然后單擊【添加】按鈕，打開【選擇組】對話框，選擇要添加到的組對象?；蛴益I單擊用戶對象，在快捷菜單中選擇【添加到組】命令。也可將一個(gè)組添加到另一個(gè)組。                  &

42、#160;          圖7.9  新建組對象                                      圖

43、7.10  添加組成員5管理組織單位與組不同，組織單位用于在單個(gè)域中創(chuàng)建對象集，但是不授予成員身份。組織單位及其所包含對象的管理可委派給單獨(dú)的管理員或組。組織單位是可指派組策略設(shè)置或委派管理權(quán)限的最小作用域或單位。組織單位可包含用戶、組、計(jì)算機(jī)、打印機(jī)、共享文件夾以及其他組織單位。組織單位是目錄容器對象，在“Active Directory 用戶和計(jì)算機(jī)”控制臺中，以一種文件夾的形式出現(xiàn)。組織單位簡化了域中目錄對象的視圖以及這些對象的管理?？蓪⒚總€(gè)組織單位的管理控制權(quán)委派給特定的用戶。不要將組與組織單位混淆。一個(gè)用戶可隸屬于多個(gè)組，但只能隸屬于一個(gè)組織單位；組織單位可包含組，但是組不

44、能將組織單位作為成員；組可作為安全主體，被授予權(quán)限，而組織單位不行。要創(chuàng)建新的組織單位，在“Active Directory用戶和計(jì)算機(jī)”控制臺樹中，右鍵單擊要添加組織單位的域（或組織單位），從快捷菜單中選擇【新建】>【組織單位】命令，出現(xiàn)【新建對象-組織單位】對話框，輸入組織單位的名稱即可。 對現(xiàn)有組織單位可執(zhí)行重命名、移動或刪除操作。與組對象不同，一旦刪除組織單位，其中的成員對象也將被刪除。組織單位的成員對象管理與域類似，可以像域一樣管理用戶、計(jì)算機(jī)等對象。在Active Directory中發(fā)布資源從資源共享的角度看，還需在Active Directory中發(fā)布資源，供用戶搜索和使

45、用?？砂l(fā)布的資源包括用戶、計(jì)算機(jī)、打印機(jī)、共享文件夾和網(wǎng)絡(luò)服務(wù)。當(dāng)創(chuàng)建對象時(shí)，在默認(rèn)情況下會自動發(fā)布一些常用的目錄信息，如用戶賬戶或計(jì)算機(jī)名稱。其他目錄信息，如共享文件夾、打印機(jī)等則必須手動發(fā)布。當(dāng)然可通過設(shè)置訪問控制權(quán)限，控制特定的用戶和組能夠搜索和查看發(fā)布的目錄信息。例如，用戶和計(jì)算機(jī)賬戶只有賬戶名稱等常用信息可供一般用戶訪問，而賬戶安全信息則只有管理員才能看到。1發(fā)布共享文件夾首先要在某臺域成員計(jì)算機(jī)上創(chuàng)建共享文件夾，然后在域控制器上打開“Active Directory用戶和計(jì)算機(jī)”控制臺，右鍵單擊要添加共享文件夾的域（或組織單位），在快捷菜單中選擇【新建】>【共享文件夾】命令，

46、在【新建對象-共享文件夾】對話框中設(shè)置共享文件夾名稱和網(wǎng)絡(luò)路徑（UNC名稱），如圖7.11所示，最后根據(jù)需要為該共享文件夾設(shè)置用戶訪問權(quán)限，可以針對域用戶來設(shè)置權(quán)限，默認(rèn)本地Users組包括域Users組。配置完畢，訪問共享文件夾進(jìn)行測試。2發(fā)布共享打印機(jī)在Active Directory中發(fā)布共享打印機(jī)信息有兩種情況。由Windows Server 2003或Windows 2000域成員計(jì)算機(jī)提供的共享打印機(jī)，在創(chuàng)建共享打印機(jī)時(shí)將自動發(fā)布到目錄中。管理員可根據(jù)需要決定是否將共享打印機(jī)發(fā)布到目錄中。在打印服務(wù)器上打開共享打印機(jī)屬性對話框，切換到【共享】選項(xiàng)卡，如圖7.12所示。如果選中【列入

47、目錄】復(fù)選框，該打印機(jī)就會在目錄中發(fā)布；如果清除該復(fù)選框，則不在目錄中發(fā)布。由Windows 2000以前版本（如Windows NT）計(jì)算機(jī)提供的共享打印機(jī)，需要使用“Active Directory 用戶和計(jì)算機(jī)”控制臺手動發(fā)布，右鍵單擊要在其中發(fā)布打印機(jī)的容器對象文件夾，從快捷菜單中選擇【新建】>【打印機(jī)】命令，在【新建對象-打印機(jī)】對話框中設(shè)置共享打印機(jī)的網(wǎng)絡(luò)路徑（UNC名稱）。3發(fā)布服務(wù)服務(wù)是指能使網(wǎng)絡(luò)用戶使用數(shù)據(jù)和操作的應(yīng)用程序。在Active Directory中發(fā)布服務(wù)能使用戶或管理員從網(wǎng)絡(luò)以機(jī)器為中心的視圖移動到以服務(wù)為中心的視圖。通過發(fā)布服務(wù)而不是計(jì)算機(jī)或服務(wù)器，管理

48、員可專注于管理服務(wù)，而不用考慮是哪臺計(jì)算機(jī)在提供服務(wù)或計(jì)算機(jī)位于何處。某些服務(wù)（如證書服務(wù)）在安裝時(shí)自動發(fā)布到Active Directory中。其他服務(wù)可使用編程接口發(fā)布到目錄中。管理員可以使用“Active Directory站點(diǎn)和服務(wù)”控制臺管理已發(fā)布的服務(wù)。                            

49、0; 圖7.11  發(fā)布共享文件夾                                  圖7.12  發(fā)布共享打印機(jī)  查詢和訪問Active Directory對象Active Directory存儲了網(wǎng)絡(luò)對象大量的相關(guān)信息

50、，可供網(wǎng)絡(luò)用戶查詢和訪問。網(wǎng)絡(luò)用戶可使用在Active Directory中發(fā)布的有關(guān)用戶、計(jì)算機(jī)、文件和打印機(jī)的目錄信息，只是其可用性受控于查看信息的安全權(quán)限。有多種目錄搜索工具和多種查詢AD對象的方法。1使用“Active Directory用戶和計(jì)算機(jī)”控制臺查詢AD對象在域控制器上可直接使用“Active Directory用戶和計(jì)算機(jī)”控制臺，在其他域成員計(jì)算機(jī)上需要通過MMC來調(diào)用該控制臺。這種方式可查找?guī)缀跛械腁D對象。通常以普通域用戶身份登錄到域執(zhí)行AD對象查詢?nèi)蝿?wù)。在“Active Directory用戶和計(jì)算機(jī)”控制臺樹中，如果要搜索整個(gè)域，可右鍵單擊域節(jié)點(diǎn)，從快捷菜單中

51、選擇【查找】命令（如果要搜索某個(gè)組織單位，可右鍵單擊該組織單位節(jié)點(diǎn)，從快捷菜單中選擇【查找】命令），打開如圖7.13所示的對話框，在【名稱】框中鍵入要查找的用戶名稱，單擊【開始查找】按鈕?？墒褂貌糠炙阉鳁l件進(jìn)行搜索。可進(jìn)一步限制查找對象和范圍。如圖7.14所示，從【查找】下拉列表中選擇要查詢的對象類型，從【范圍】下拉列表中選擇要查詢的范圍（整個(gè)目錄、某域）。還可使用【高級】選項(xiàng)卡執(zhí)行功能更強(qiáng)大的搜索。            圖7.13  使用AD用戶和計(jì)算機(jī)控制臺查詢AD對象 

52、;                   圖7.14  限制查找的AD對象和范圍2通過“網(wǎng)上鄰居”搜索AD對象在Windows XP或Windows 2000域成員計(jì)算機(jī)上，可通過“網(wǎng)上鄰居”來搜索AD中的用戶、聯(lián)系人、組、計(jì)算機(jī)、共享文件夾、打印機(jī)和組織單位等對象。在Windows XP域成員計(jì)算機(jī)上打開“網(wǎng)上鄰居”窗口，單擊【網(wǎng)絡(luò)任務(wù)】區(qū)域下面的【搜索Active Directory】鏈接，打開相應(yīng)的對話

53、框，如圖7.15所示?？芍苯铀阉饔脩?、聯(lián)系人和組。從【查找】下拉列表中選擇要查詢的對象類型，從【范圍】下拉列表中選擇要查詢的范圍（整個(gè)目錄、某個(gè)特定域），如圖7.16所示。還可切換到【高級】選項(xiàng)卡，設(shè)置更為復(fù)雜的搜索條件。            圖7.15  在Windows XP中通過“網(wǎng)上鄰居”查詢AD對象            圖7.16  限制查找的AD對象和

54、范圍在Windows 2000域成員計(jì)算機(jī)上打開“網(wǎng)上鄰居”窗口，雙擊【整個(gè)網(wǎng)絡(luò)】圖標(biāo)，再雙擊【目錄】圖標(biāo)，顯示整個(gè)Active Directory目錄，例中只有一個(gè)域，如圖7.17所示，右鍵單擊該域，從快捷菜單中選擇【查找】命令，可打開【查找用戶、聯(lián)系人及組】對話框，執(zhí)行AD對象查詢，與Windows XP類似。如果直接雙擊該域，將展開該域的所有對象，如圖7.18所示，該文件夾標(biāo)題以“ntds:/”打頭，可根據(jù)需要雙擊要訪問的Active Directory對象。           

55、0;  圖7.17  通過“網(wǎng)上鄰居”查詢AD對象                            圖7.18  展開和瀏覽域?qū)ο?通過全局編錄查找用戶或打印機(jī)全局編錄（簡稱GC）是存儲林中所有Active Directory對象的副本的域控制器。全局編錄存儲林中主持域的目錄中所有對象的完全副

56、本，以及林中所有其他域中所有對象的部分副本。在全局編錄中存儲所有域?qū)ο蟮淖畛Ｋ阉鞯膶傩裕梢詾橛脩籼峁└咝У乃阉?。在林中的初始域控制器上，會自動?chuàng)建全局編錄?？梢韵蚱渌蚩刂破魈砑尤志庝浌δ?，或者將全局編錄的默認(rèn)位置更改到另一個(gè)域控制器上。全局編錄提供以下功能。l     查找對象：允許用戶在林中的所有域中搜索目錄信息。l     提供UPN驗(yàn)證：當(dāng)執(zhí)行驗(yàn)證的域控制器沒有賬戶信息時(shí)，全局編錄將解析用戶UPN。l     在多域環(huán)境中提供通用組成員身份信息。l &#

57、160;   驗(yàn)證林內(nèi)的對象引用：域控制器使用全局編錄驗(yàn)證對林內(nèi)其他域的對象的引用。                    圖7.19  通過全局編錄查找用戶                   &#

58、160;   圖7.20  通過全局編錄查找打印機(jī)在Windows XP或Windows Server 2003域成員計(jì)算機(jī)中，從【開始】>【搜索】菜單打開【搜索】對話框，再單擊【其他搜索選項(xiàng)】鏈接，再單擊【打印機(jī)、計(jì)算機(jī)和用戶】鏈接，最后選擇【網(wǎng)絡(luò)上的一個(gè)打印機(jī)】或【通訊簿中的用戶】鏈接，打開相應(yīng)的對話框，查找用戶和計(jì)算機(jī)。設(shè)置Active Directory對象訪問控制權(quán)限使用訪問控制權(quán)限，可控制哪些用戶和組能夠訪問AD對象以及訪問對象的權(quán)限。每個(gè)AD對象都有一個(gè)訪問控制列表（ACL），記錄安全主體（用戶、組、計(jì)算機(jī)）對對象的讀取、寫入和審核等訪問權(quán)限。

59、當(dāng)然，不同的對象類型提供的訪問權(quán)限項(xiàng)目也不一樣。    提示：在Active Directory諸多對象中，只有安全主體能夠被授予權(quán)限。安全主體是被自動指派了安全標(biāo)識符（SID，可用于訪問域資源）的目錄對象，安全主體只包括用戶賬戶、計(jì)算機(jī)賬戶以及組。用戶賬戶或計(jì)算機(jī)賬戶的主要用途： 驗(yàn)證用戶或計(jì)算機(jī)的身份； 授權(quán)或拒絕訪問域資源； 管理其他安全主體； 審計(jì)使用用戶或計(jì)算機(jī)賬戶執(zhí)行的操作。在Active Directory中，訪問控制是通過為對象設(shè)置不同的訪問級別或權(quán)限（如“完全訪問”、“寫入”、“讀取”或“拒絕訪問”），在對象級別進(jìn)行管理的。Active Dire

60、ctory中的訪問控制定義了不同的用戶使用Active Directory對象的權(quán)限。默認(rèn)情況下Active Directory 中對象的權(quán)限被設(shè)置為最安全的設(shè)置。管理員可根據(jù)需要為Active Directory對象設(shè)置訪問權(quán)限。設(shè)置Active Directory對象訪問控制權(quán)限 打開“Active Directory用戶和計(jì)算機(jī)”控制臺，從【查看】菜單中選中【高級功能】選項(xiàng)。 右鍵單擊要設(shè)置權(quán)限的對象，從快捷菜單中選擇【屬性】命令，打開相應(yīng)的對話框。 切換到【安全】選項(xiàng)卡，列出當(dāng)前的權(quán)限設(shè)置，單擊【高級】按鈕查看可用于該對象的所有權(quán)限項(xiàng)目，如圖7.21所示。 要給對象添加新權(quán)限，可單擊【

61、添加】按鈕打開相應(yīng)的對話框，指定要添加的組、計(jì)算機(jī)或用戶的名稱，然后單擊【確定】按鈕。 如圖7.22所示，在【對象】和【屬性】選項(xiàng)卡中根據(jù)需要選中或清除【允許】或【拒絕】復(fù)選框。 要更改對象的現(xiàn)有權(quán)限，可單擊某個(gè)權(quán)限項(xiàng)目，單擊【編輯】按鈕，在【對象】和【屬性】選項(xiàng)卡上，相應(yīng)地選中或清除【允許】或【拒絕】復(fù)選框。要刪除對象或?qū)傩缘默F(xiàn)有權(quán)限，應(yīng)單擊某個(gè)權(quán)限項(xiàng)目，然后單擊【刪除】按鈕。                    

62、;          圖7.21  查看對象的所有權(quán)限項(xiàng)目                           圖7.22  設(shè)置對象的權(quán)限    注意：應(yīng)盡量避免為對象的某個(gè)屬性分配權(quán)限，一般保持默

63、認(rèn)值即可。如果操作不當(dāng)，可能造成無法訪問AD對象的問題。  通過組策略集中控制和管理Windows網(wǎng)絡(luò)組策略（Group Policy）是基于Active Directory的一種系統(tǒng)管理技術(shù)，用來定義自動應(yīng)用到網(wǎng)絡(luò)中特定用戶和計(jì)算機(jī)的默認(rèn)設(shè)置，這些設(shè)置包括安全選項(xiàng)、軟件安裝、腳本文件設(shè)置、桌面外觀和用戶文件管理等。在基于Active Directory的Windows網(wǎng)絡(luò)中，可通過組策略來實(shí)現(xiàn)用戶和計(jì)算機(jī)的集中配置和管理。例如，管理員可為特定的域用戶或計(jì)算機(jī)設(shè)置統(tǒng)一的安全策略；可在域中的每臺計(jì)算機(jī)上自動安裝某個(gè)軟件，可為某個(gè)組織單位中的用戶賬戶設(shè)置統(tǒng)一界面。1理解組策略組策略設(shè)置存

64、儲在域控制器中，只能在Active Directory環(huán)境下使用，適用于組策略對象所作用的站點(diǎn)、域或組織單位中的用戶和計(jì)算機(jī)。與AD組策略相對應(yīng)的是本地組策略。本地組策略設(shè)置存儲在所有運(yùn)行Windows 2000/XP/2003的計(jì)算機(jī)上。一個(gè)本地組策略對象只能存在于一臺計(jì)算機(jī)上，只能作用于該計(jì)算機(jī)及本地用戶。如果與AD組策略的設(shè)置發(fā)生沖突，Active Directory組策略對象的設(shè)置將覆蓋本地組策略對象的設(shè)置。如果不沖突，則兩者都可以應(yīng)用?？梢哉军c(diǎn)、域或組織單位為作用范圍來定義不同層次的組策略對象，一旦定義了組策略對象，則該對象包含的規(guī)則將應(yīng)用到相應(yīng)作用范圍的用戶和計(jì)算機(jī)的設(shè)置。組策略對

65、象的作用范圍是由組策略對象鏈接（GPO Link）來設(shè)置的。任何組策略對象要想生效，必須鏈接到某個(gè)Active Directory對象（站點(diǎn)、域或組織單位）。組策略既可以應(yīng)用于用戶，也可以應(yīng)用于計(jì)算機(jī)。用戶和計(jì)算機(jī)是接收策略的惟一Active Directory對象類型。組策略可提供針對用戶和計(jì)算機(jī)的配置，相應(yīng)地稱為用戶策略和計(jì)算機(jī)策略。對于用戶配置來說，無論用戶登錄到哪臺計(jì)算機(jī)，組策略中的用戶配置設(shè)置都將應(yīng)用于相應(yīng)的用戶。用戶在登錄計(jì)算機(jī)時(shí)獲得用戶策略。對于計(jì)算機(jī)配置來說，無論哪個(gè)用戶登錄到計(jì)算機(jī)，組策略中的計(jì)算機(jī)配置設(shè)置都將應(yīng)用于相應(yīng)的計(jì)算機(jī)。計(jì)算機(jī)啟動時(shí)獲得計(jì)算機(jī)策略。組策略不適用于Wi

66、ndows 9x/NT計(jì)算機(jī)，也不會影響未加入域的計(jì)算機(jī)和用戶。在Windows 2000/XP/2003域成員計(jì)算機(jī)中，組策略的執(zhí)行順序?yàn)椋罕镜亟M策略對象Active Directory站點(diǎn)Active Directory域Active Directory組織單位。在Active Directory層次結(jié)構(gòu)的每一級組織單位中，可以鏈接一個(gè)、多個(gè)或不鏈接組策略對象。如果一個(gè)組織單位鏈接了多個(gè)組策略，則按照管理員指定的順序同步處理。這意味著首先處理本地組策略對象，最后處理鏈接到計(jì)算機(jī)或用戶直接上屬組織單位的組策略對象，覆蓋以前的組策略對象。組策略可以繼承。子容器繼承父容器組策略，并且組策略的處理

67、按站點(diǎn)、域和組織單位的順序進(jìn)行。這意味著如果將特定組策略分配給一個(gè)高級父容器，那么這個(gè)組策略將應(yīng)用于該父容器下的所有容器，包括每個(gè)容器中的用戶和計(jì)算機(jī)對象。但是，如果明確將組策略指定給一個(gè)子容器，那么子容器的組策略將替代父容器的組策略。2配置組策略對象可以使用“Active Directory用戶和計(jì)算機(jī)”或“Active Directory站點(diǎn)和服務(wù)”控制臺來配置組策略，前者適合域或組織單位的組策略設(shè)置，后者適合站點(diǎn)的組策略設(shè)置。也可使用組策略對象編輯器MMC管理單元來配置組策略對象，這種方法適合編輯特定的組策略對象。這里以常用的“Active Directory用戶和計(jì)算機(jī)”控制臺為例講解如何配置組策略對象。編輯組策略對象 在“Active Directory用戶和計(jì)算機(jī)”控制臺樹中，右鍵單擊要設(shè)置組策略的域或組織單位（這里以域?yàn)槔?，從快捷菜單中選擇【屬性】命令，打開屬性設(shè)置對話框。 切換到如圖7.23所示的【組策略】選項(xiàng)卡，在組策略對象鏈接列表中已有一個(gè)默認(rèn)的組策略對象。選中該對象，單擊【編輯】按鈕，打開要編輯的組策略對象。 如圖7