Windows-Server-2003-域及其賬戶管理

1、默認(rèn)情況下，當(dāng)現(xiàn)有域樹中添加新的子域時，默認(rèn)情況下，當(dāng)現(xiàn)有域樹中添加新的子域時，將建立一個新的父子信任。來自子域的身份驗(yàn)證將建立一個新的父子信任。來自子域的身份驗(yàn)證請求將通過其父向上傳遞到信任域中請求將通過其父向上傳遞到信任域中默認(rèn)情況下，當(dāng)現(xiàn)有林中創(chuàng)建新的域樹時，將默認(rèn)情況下，當(dāng)現(xiàn)有林中創(chuàng)建新的域樹時，將建立一個新的樹根信任建立一個新的樹根信任信信 任任 類類 型型傳傳 遞遞 性性方方 向向說說 明明外部外部不可傳遞不可傳遞單向或雙單向或雙向向使用外部信任可訪問域中的資源，或單獨(dú)（未經(jīng)使用外部信任可訪問域中的資源，或單獨(dú)（未經(jīng)林信任連接）的林內(nèi)某個域中的資源林信任連接）的林內(nèi)某個域中的資源領(lǐng)

2、域領(lǐng)域可傳遞或可傳遞或不可傳遞不可傳遞單向或雙單向或雙向向使用領(lǐng)域信任可建立非使用領(lǐng)域信任可建立非Windows Kerberos領(lǐng)域和領(lǐng)域和Windows Server 2003域之間的信任關(guān)系域之間的信任關(guān)系林林可傳遞可傳遞單向或雙單向或雙向向使用林信任可在各個林之間共享資源。如果林信使用林信任可在各個林之間共享資源。如果林信任是雙向信任，則任一個林中的身份驗(yàn)證請求都任是雙向信任，則任一個林中的身份驗(yàn)證請求都可以到達(dá)另一個林可以到達(dá)另一個林快捷快捷可傳遞可傳遞單向或雙單向或雙向向使用快捷信任可改善使用快捷信任可改善 Windows Server 2003林內(nèi)林內(nèi)的兩個域之間的用戶登錄時間。

3、當(dāng)兩個域被兩個的兩個域之間的用戶登錄時間。當(dāng)兩個域被兩個域樹分隔開時，這是很有用的域樹分隔開時，這是很有用的SYSVOL 存儲域公共文件服務(wù)器副本的共享文件夾，它們在域中所存儲域公共文件服務(wù)器副本的共享文件夾，它們在域中所有的域控制器之間復(fù)制。有的域控制器之間復(fù)制。 （4）單擊）單擊“更改更改”按鈕啟動按鈕啟動“計(jì)算機(jī)名稱更改計(jì)算機(jī)名稱更改”對話框，在對話框，在“隸屬于隸屬于”選項(xiàng)區(qū)域中選中選項(xiàng)區(qū)域中選中“域域”單選按鈕，在空白處輸入單選按鈕，在空白處輸入要加入域的要加入域的DNS名稱。這里可以輸入剛建好的域名名稱。這里可以輸入剛建好的域名。然后單擊。然后單擊“確定確定”按鈕按鈕 在客戶端加入

4、到域之前，應(yīng)首先設(shè)置客戶端的在客戶端加入到域之前，應(yīng)首先設(shè)置客戶端的TCP/IP屬屬性，性，保證客戶端的保證客戶端的DNS指向和指向和DC的的DNS指向保持一致指向保持一致(客戶客戶端端DNS服務(wù)器地址與服務(wù)器地址與DC的的DNS一致一致)。（5）提示輸入擁有加入該域權(quán)限的用戶名稱和密碼。）提示輸入擁有加入該域權(quán)限的用戶名稱和密碼。 從從windows 2000起，域中的普通用戶就可以把計(jì)算機(jī)起，域中的普通用戶就可以把計(jì)算機(jī)加入到域，但一個普通用戶最多只能把加入到域，但一個普通用戶最多只能把10臺計(jì)算機(jī)加入到域，臺計(jì)算機(jī)加入到域，而而Administrator沒有限制。沒有限制。（6）單擊）單

5、擊“確定確定”按鈕，身份驗(yàn)證成功后，會出現(xiàn)加入域的按鈕，身份驗(yàn)證成功后，會出現(xiàn)加入域的操作成功的對話框。單擊確定，將提示重新啟動計(jì)算機(jī)以便操作成功的對話框。單擊確定，將提示重新啟動計(jì)算機(jī)以便使用所做的改動。使用所做的改動。 一、一、創(chuàng)建域用戶賬戶創(chuàng)建域用戶賬戶 創(chuàng)建域用戶賬戶，必須在Windows Server 2003域控制器上使用“Active Directory用戶和計(jì)算機(jī)”為創(chuàng)建用戶賬戶，普通的客戶機(jī)不能創(chuàng)建域用戶賬戶。 二、管理域用戶賬戶二、管理域用戶賬戶 當(dāng)客戶機(jī)以指定的用戶賬戶登錄域后，在共享網(wǎng)絡(luò)資源的同時，還接受Windows Server 2003服務(wù)器的統(tǒng)一管理。 1設(shè)置用

6、戶賬戶屬性 2重設(shè)用戶賬戶密碼 3查找用戶賬戶 4禁用/啟用賬戶 5刪除用戶賬戶 練習(xí)：1.創(chuàng)建域用戶賬戶 2.對域用戶賬戶進(jìn)行設(shè)置 教學(xué)重點(diǎn)1.2.教學(xué)難點(diǎn) 一、域中組賬戶簡介域中組賬戶簡介 在Windows Server 2003域中，可以將組分為通訊組和安全組兩種類型。1通訊組使用通訊組可以創(chuàng)建電子郵件通訊組列表，只有在電子郵件應(yīng)用程序（如Exchange）中，才能使用通訊組將電子郵件發(fā)送給一組用戶。 2安全組安全組提供了一種有效的方式來指派對網(wǎng)絡(luò)上資源的訪問權(quán)。使用安全組可以將用戶權(quán)限分配到Active Directory中的安全組。 組的作用域分為通用作用域、全局作用域和本地域作用域

7、三類不同的類型。 二、創(chuàng)建域中的組二、創(chuàng)建域中的組 三、在組中添加用戶三、在組中添加用戶 新建組后，可以將該組所屬的用戶賬戶添加到該組賬戶中，分組進(jìn)行管理。在組中添加用戶即在組中添加組成員，組成員包括用戶和域中的計(jì)算機(jī)。 四、將用戶權(quán)限指派到域中的組四、將用戶權(quán)限指派到域中的組 單擊“開始”“管理工具”“域控制器安全策略”，打開“域控制器安全策略”對話框，在控制臺樹中，依次單擊“安全設(shè)置”“本地策略”“用戶權(quán)限分配”，如圖所示。練習(xí)：1.在域中創(chuàng)建組 2.在組中添加用戶3.將用戶權(quán)限指派到組 小結(jié)：作業(yè)：教學(xué)重點(diǎn)1.2.教學(xué)難點(diǎn) 一、使用組策略使用組策略 組策略設(shè)置定義了網(wǎng)絡(luò)管理員需要管理的用戶操作環(huán)境的多種組件，主要包括用戶可用的程序、用戶桌面上出現(xiàn)的程序及“開始”菜單選項(xiàng)等。使用組策略可以為不同的用戶組設(shè)置不同的權(quán)限。 1.1.組策略簡介組策略簡介 所謂策略（Policy），是Windows中的一種自動配置桌面設(shè)置的機(jī)制。所謂組策略（Group Policy），