第六章WindowsServer組網(wǎng)應(yīng)用清華大學(xué)

第六章WindowsServer2003組網(wǎng)應(yīng)用第六章WindowsServer2003組網(wǎng)應(yīng)用學(xué)習(xí)目的與要求本章主要介紹WindowsServer2003中活動目錄的概念，運(yùn)用域模式來實(shí)現(xiàn)組網(wǎng)應(yīng)用。通過本章學(xué)習(xí)，讀者應(yīng)能掌握活動目錄的規(guī)劃與安裝；掌握域成員計算機(jī)的加入方法；掌握用戶賬戶和計算機(jī)賬戶的管理方法；掌握組織單位的管理、活動目錄對象建立與管理的方法。第六章WindowsServer2003組網(wǎng)應(yīng)用6.1活動目錄的概念6.2活動目錄的安裝6.3加入域的成員計算機(jī)6.4活動目錄對象建立與管理6.1活動目錄的概念6.1.1活動目錄的概述活動目錄(ActiveDirectory)是一種目錄服務(wù)，它存儲有關(guān)網(wǎng)絡(luò)對象(如用戶、組、計算機(jī)、共享資源、打印機(jī)和聯(lián)系人等)的信息，并將結(jié)構(gòu)化數(shù)據(jù)存儲作為目錄信息邏輯和分層組織的基礎(chǔ)，使管理員和用戶可以方便地查找并使用這些網(wǎng)絡(luò)信息。域(Domain)仍然是WindowsServer2003目錄服務(wù)的基本管理單位，但增加了許多新的功能。域模式的最大好處就是它的單一網(wǎng)絡(luò)登錄能力，任何用戶只要在域中有一個賬戶，就可以漫游網(wǎng)絡(luò)。6.1活動目錄的概念6.1.2活動目錄的特性1.集成性WindowsServer2003活動目錄的集成性指它結(jié)合了各種管理：用戶、資源管理、基于目錄的網(wǎng)絡(luò)服務(wù)和基于網(wǎng)絡(luò)的應(yīng)用管理。另外，WindowsServer2003活動目錄還廣泛地采納了Internet標(biāo)準(zhǔn)，將眾多Internet服務(wù)集成在一起，增強(qiáng)了自身的網(wǎng)絡(luò)管理功能。2.深入性WindowsServer2003活動目錄的深入性主要體現(xiàn)在其企業(yè)級的可伸縮性、安全性、互操作性、編程能力和升級能力上。Server2003活動目錄允許用戶組建單域來管理少量的網(wǎng)絡(luò)對象，也允許用戶通過域目錄管理成萬上億個對象。3.易用性WindowsServer2003活動目錄主要體現(xiàn)在其簡易的安裝和管理上。在安裝WindowsServer2003活動目錄時，第一個域服務(wù)器配置成為域控制器，而其他所有新安裝的計算機(jī)都安裝成為成員服務(wù)器，并且目錄服務(wù)可以事后用Dcpromo的命令進(jìn)行特別安裝。6.1活動目錄的概念6.1.3活動目錄的結(jié)構(gòu)活動目錄：活動目錄的作用是用于組織有關(guān)真實(shí)網(wǎng)絡(luò)實(shí)體——例如用戶、共享、打印機(jī)以及應(yīng)用程序等信息。對象：活動目錄對象(object)表示網(wǎng)絡(luò)中的某種物理對象。常見的活動目錄對象有用戶、組、打印機(jī)、共享文件夾、應(yīng)用程序、數(shù)據(jù)庫、聯(lián)系等等

組織單位：組織單位(OrganizationalUnit，OU)就像文件夾一樣。OU定義用于存放對象(也存放其他的OU)。它和對象一樣，也包含屬性，但對其本身不起作用。組織單位的用途是存放其他的對象。6.1活動目錄的概念域：從定義上講，域(domain)是用戶和計算機(jī)的邏輯分組(如圖6.3所示)。域通常位于本地化的地理位置上，但也有例外。實(shí)際上，域不僅僅是邏輯分組——它實(shí)際上是網(wǎng)絡(luò)的安全邊界。域樹：由一個以上的域所組成的層次式排列，但這些域需分享一個連續(xù)的名稱空間(如圖6.5所示)。每一個域之間可建立雙向可傳遞的信任關(guān)系。域林：那些不共享連續(xù)名稱空間的一個或多個樹稱為域林(forest)。域林中的所有樹都具有相同的架構(gòu)、配置和全局編錄，但是這些樹不共享同一個連續(xù)名稱空間。6.2活動目錄的安裝

6.2.1活動目錄的規(guī)劃1.規(guī)劃DNS2.規(guī)劃域結(jié)構(gòu)3.規(guī)劃組織單位結(jié)構(gòu)4.規(guī)劃委派模式6.2活動目錄的安裝安裝WindowsServer2003時，系統(tǒng)沒有默認(rèn)安裝活動目錄。用戶要將自己的服務(wù)器配置成域控制器，應(yīng)該首先安裝活動目錄。通過配置服務(wù)器向?qū)Щ蜻\(yùn)行“dcpromo”開始域控制器的安裝。6.2活動目錄的安裝(1) 啟動WindowsServer2003系統(tǒng)自動打開【Server2003配置服務(wù)器】窗口，或者選擇【開始】/【程序】/【管理工具】/【配置服務(wù)器】，打開如圖所示配置服務(wù)器向?qū)Т翱凇?.2活動目錄的安裝(2) 單擊【下一步】，出現(xiàn)一個配置服務(wù)器向?qū)У念A(yù)備步驟窗口，以確認(rèn)所提到的步驟已完成。單擊【下一步】，出現(xiàn)檢測網(wǎng)絡(luò)設(shè)置窗口。6.2活動目錄的安裝(3) 接下來出現(xiàn)配置選項(xiàng)窗口，我們選擇【自定義配置】選項(xiàng)，單擊【下一步】，出現(xiàn)服務(wù)器角色窗口，也就是你想讓你的服務(wù)器擔(dān)任的角色，我們從列表中選擇【域控制器】。6.2活動目錄的安裝單擊【下一步】按鈕，出現(xiàn)確認(rèn)窗口，以確認(rèn)選擇了正確角色。單擊【下一步】，出現(xiàn)【ActiveDirectory安裝向?qū)Т翱凇?如圖所示。6.2活動目錄的安裝(4) 單擊【下一步】，打開【操作系統(tǒng)兼容性】對話框。其大意是早期的Windows版本無法登錄WindowsServer2003創(chuàng)建的域。(5) 單擊【下一步】，【ActiveDirectory安裝向?qū)А繒儐栃陆ǖ挠蚩刂破鞯男再|(zhì)，選擇【新域的域控制器】。6.2活動目錄的安裝(6) 單擊【下一步】，打開如圖所示的【創(chuàng)建一個新域】對話框，如果所創(chuàng)建的域?yàn)閱挝坏牡谝粋€域，或者希望所創(chuàng)建的新域獨(dú)立于現(xiàn)有目錄林，可選擇【新林中的域】。如果希望新的域成為現(xiàn)有域的子域，則選擇【現(xiàn)有域中的子域】。如想創(chuàng)建一個與現(xiàn)有域樹分開的、新的域樹，則選擇【在現(xiàn)有林中的域樹】。這里我們選擇【新林中的域】。6.貪2活動以目錄習(xí)的安塔裝(7扒)單擊【下一猶步】，打快開如孟圖所摧示的憑指定歪域名齒對話糠框，躁在【新域寨的DN商S全名】文本夏框中藏輸入錯新建遼域的DN滅S全名截，例株如xj禿.c亭om。6.咳2活動倒目錄巾的安桌裝(8萌)單擊【下一良步】，打第開如棕圖所滅示的【Ne囑tB芒IO很S域名】對話激框，懼在【域Ne食tB半IO射S名】文本盤框中值輸入Ne棚tB員IO魂S域名楚，或神者接飄受顯俊示的屬名稱曬。Ne吃tB際IO協(xié)S域名底是供值早期召的Wi影nd悶ow暴s用戶燥用來臺識別怎新域段的。6.停2活動強(qiáng)目錄司的安發(fā)裝(9從)單擊【下一牽步】，打祥開如嘗圖所斷示的【數(shù)據(jù)騾庫和安日志株文件傅文件厚夾】對話忠框，選在【數(shù)據(jù)汽庫文姿件夾】文本養(yǎng)框中遇輸入懸保存廊數(shù)據(jù)姿庫的兄位置淋，或南者單桶擊【瀏覽】按鈕野選擇焰路徑溝，在【日志谷文件灣夾】文本唇框中很輸入荷保存萍日志炕的位睡置或歇單擊【瀏覽】按鈕退選擇噸路徑棉。注枕意，惕基于洪最佳你性和蔑可恢薪復(fù)性到的考鏟慮，還最好水將活蚊動目泡錄的行數(shù)據(jù)貢庫和騙日志泥保存與在不戶同的孝硬盤添上。6.英2活動揭目錄糟的安和裝(1英0)單擊【下一員步】，打連開如符圖所友示的【共享捐的系據(jù)統(tǒng)卷】對話跨框，評在Se佩rv埋er拖2超00愁3中，Sy司sv錫ol文件騰夾存許放域脾的公謎用文墻件的城服務(wù)菠器副察本，勞它的縱內(nèi)容蛇將被暑復(fù)制誰到域屠中的沒所有欣域控鞠制器叨上。6.娃2活動系目錄渣的安純裝(1匠1)單擊【下一濾步】，會做出現(xiàn)【Ac肉ti烏ve回D腔ir門ec例to飛ry安裝趕向?qū)А康腄N器S注冊譽(yù)診斷至程序服對話燦框。懂我們育選擇【在這臂臺計記算機(jī)慎上安擱裝并館配置DN情S服務(wù)齊器，鏟并將攻這臺DN嫌S服務(wù)蠶器設(shè)邊為計拾算機(jī)陶的首明選DN叛S服務(wù)恒器】6.易2活動滴目錄瞎的安壩裝(1澡2)單擊【下一底步】，打純開如汁圖所雹示的【權(quán)限】對話飼框，過為用測戶和棉組選掩擇默喂認(rèn)權(quán)昨限，探如果送單位弦中還逢存在仰或?qū)⒐б肳i際nd哀ow荒s計20逃00的以斯前版童本，談選擇【與Wi樸nd艙ow尖s擋20讀00之前役的服甚務(wù)器嫂操作藍(lán)系統(tǒng)鋼兼容勿的權(quán)促限】。否襖則，斥選擇【只與Wi淚nd幻玉ow散s裹20轟00或Wi瓦nd陜ow康s膏Se沒rv弊er喇2句00租3操作沫系統(tǒng)沾兼容薄的權(quán)恢限】。6.誤2活動英目錄逆的安表裝(1彎3)單擊【下一巡壽步】，打軟開【目錄待服務(wù)陜還原醒模式被的管熟理員逃密碼】對話憲框，上如圖低所示成，輸伏入并香牢記澆該密辨碼，習(xí)以備煙將來分目錄圾服務(wù)稅還原慎模式去下使陵用。6.魂2活動從目錄蓮的安趙裝(1豬4)單擊【下一拋步】，打既開【摘要】對話鍬框，晨如圖尸所示站。通錦過該燙對話膽框，腸用戶條可檢鵲查并嗚確認(rèn)淡設(shè)置目的各錯個選緣瑞項(xiàng)。6.膀2活動廊目錄棒的安鎖裝(1密5)單擊【下一斃步】，系雁統(tǒng)開鴨始配秩置活乏動目杜錄，刮中間努將需餅要Wi扣nd樸ow軋s陡Se姜rv鋒er乎2怕00醫(yī)3安裝報光盤搶，如瓣圖所拜示。五此時悟如果途將20丑03光盤愿放入漲光驅(qū)腥，系四統(tǒng)會蛾自動頃完成釋對DN騰S服務(wù)杏器得連配置鈴。6.清2活動某目錄驅(qū)的安培裝(1進(jìn)6)經(jīng)過揮幾分產(chǎn)鐘之佛后，引配置乏完成笨。同筑時，膊打開【完成Ac灣ti抬ve鋤D幕ir食ec爆to怎ry安裝淹向?qū)А繉υ捝た?，布如圖飽所示劣，單壘擊【完成】，即幣完成朵活動籍目錄狂的安密裝。6.請3加入俊域的廣成員襪計算膜機(jī)無論悄是服居務(wù)器織還是您客戶藥計算罩機(jī)，嘴要加競?cè)氲接?xùn)某個嶼域中封，首竄先要顛做必摸要的TC呢P/悔IP協(xié)議妙的設(shè)雜置，墻即：成員燃計算尺機(jī)與鍬域控強(qiáng)制器英是連市通的悄。成員聚計算刷機(jī)與矩域控鄰制器扶所使洲用的DN拳S服務(wù)摟器是悠相同抗的，嘴即可以以使饒得客合戶機(jī)啞通過DN鵝S服務(wù)敞器獲追得域魂名。6.西3加入秀域的結(jié)成員森計算臭機(jī)6.調(diào)3.枕1成員耗服務(wù)講器的電加入以Wi昌nd驅(qū)ow摧s弓20赴00編S已er還ve若r和Wi碑nd遮ow忍s璃Se晨rv訂er端2每00況3操作縮慧系統(tǒng)尸的服際務(wù)器什為主慕，將秘其加螺入到分域中爐，成凱為域遠(yuǎn)中的佳成員府服務(wù)泛器。6.弓3加入著域的競成員餅計算垂機(jī)(1背)右擊【我的渠電腦】，在田彈出洽的菜駐單中衰選擇【計算綱機(jī)名】標(biāo)簽遍，如賢圖所捷示。6.驅(qū)3加入船域的度成員砌計算汪機(jī)(2蜓)單擊【更改】，進(jìn)被入【計算貿(mào)機(jī)名安更改】窗口鑼，選高擇【隸屬來于域】，并揉在其繪中填稱入域炕名【xj鉛.c滿om】，如圖紅所示菜。6.攪3加入赤域的奶成員傲計算視機(jī)(3得)單擊【確定】按鈕撇，進(jìn)揉入到【域用稈戶名腰和密貧碼】設(shè)置扛窗口越，輸壺入有文加入短該域島權(quán)限新的賬仔戶名暢和密參碼，亡如圖汁所示飛。6.地3加入沉域的徐成員疾計算摘機(jī)(4率)單擊【確定】按鈕昨，彈餃出【網(wǎng)絡(luò)惡標(biāo)識】確定英窗口菠，出秒現(xiàn)【歡迎探加入鏡到xj皺.c朗om域】的提的示信搶息，寒如圖滾所示辭。(5遺)單擊【確定】按鈕菜后，婚系統(tǒng)盾會提鋸示重棟啟系禍統(tǒng)，脹重啟緞后登顫錄時機(jī)會提福示是常登錄構(gòu)到域率還是登本機(jī)靜的信襖息，錘選擇戚登錄央到域宇要用沖域用星戶賬璃戶，昂選擇爛登錄安到本極機(jī)要陪用本麥地賬領(lǐng)戶。6.鈔3加入僻域的鄰成員它計算辱機(jī)6.蟻3.售2客戶把端計潔算機(jī)擁的加唯入下面盲以主符流的非客戶睛端計袍算機(jī)震操作繡系統(tǒng)(Wi碼nd梯ow迎s傅20才00改P丈ro顫fe雕ss餅io撓na委l)為主誘，介市紹如夢何將羊客戶灰端計爛算機(jī)額加入捧到域蓬中。(1園)設(shè)置駛客戶怪計算漸機(jī)的忙標(biāo)識痛，具奪體設(shè)索置如糧圖所植示。6.欲3加入申域的男成員圍計算歪機(jī)(2蔽)單擊【網(wǎng)絡(luò)ID擁】按鈕目，進(jìn)例入【網(wǎng)絡(luò)眼標(biāo)識蘇向?qū)А浚缃韴D所姜示。6.桐3加入筍域的咳成員嗎計算推機(jī)(3津)單擊【下一朗步】按鈕鴨，進(jìn)容入【正在摟連接嶺網(wǎng)絡(luò)】對話剃框，往選擇【公司馳使用論帶有掉域的第網(wǎng)絡(luò)】，如瘋圖所爬示。6.緒3加入摧域的太成員眾計算嫌機(jī)(4耽)單擊【下一岸步】按鈕閑，進(jìn)擠入【網(wǎng)絡(luò)買信息】窗口堡，如諷圖所慘示。6.彎3加入零域的具成員牙計算糾機(jī)(5統(tǒng))單擊【下一拘步】按鈕伶，進(jìn)唱入【用戶隙賬戶植和域?yàn)a信息】窗口才，如偷圖所備示。6.貨3加入削域的詠成員扛計算役機(jī)(6辣)輸入糊所在劣域的嘉管理胃員賬名戶及醬密碼拆，單除擊【下一病步】按鈕漲，進(jìn)綁入【用戶些賬戶】窗口什，如下圖所謝示。6.積3加入新域的幻玉成員番計算絕機(jī)(7拆)選擇【目前議不添棋加用申戶】選項(xiàng)暑，單亡擊【下一仗步】按鈕木，進(jìn)送入【網(wǎng)絡(luò)呀訪問綿標(biāo)識酸完成】窗口冬，如灑圖所沾示。(8賠)單擊【完成】按鈕客，重非啟客界戶機(jī)胡，在誦登錄者界面孩中選使擇登喪錄到輩域，詠用域拴中的脅用戶拜賬戶送登錄庸進(jìn)入腳域。6.尾4活動斧目錄崗對象灣建立源與管拴理6.雷4.憲1用戶浸管理1.用戶偽賬戶阻介紹(1癢)本地紅用戶塌賬戶(2蜂)域用械戶賬烤戶(3乏)內(nèi)建幅用戶田賬戶6.殿4活動粱目錄貼對象坑建立刷與管陽理2.用戶寸賬戶誕的管錘理(1星)新建搏用戶切賬戶(2葬)刪除晉用戶(3杜)停用鋸用戶費(fèi)賬戶(4觸)移動喬用戶(5邁)用戶藍(lán)賬戶施選項(xiàng)(6遵)管理沒用戶運(yùn)賬戶6.粗4活動樓目錄幸對象執(zhí)建立享與管河理6.蓋4.響2組的村管理1.組的鄉(xiāng)豐概念組是反用來幫管理屑對共錦享資腿源進(jìn)董行訪功問的義用戶某賬戶東的集斧合。黑組可烘以簡課化對拾網(wǎng)絡(luò)統(tǒng)中資莫源訪順問的麥管理閑。將一差個用假戶賬萄戶添伏加為捉組的登成員頭時，文該賬里戶就壇被授種予該裙組擁翅有的碌所有餡權(quán)限磚。首一個斤用戶牌賬戶叨可以蔑是多嶼個組職的成姐員。6.役4活動趕目錄壘對象零建立丈與管困理2.工作犧組和男域中稻的組(1篇)工作盲組中支的組寶：被創(chuàng)籌建在藏非域壟控制冰器的銜計算世機(jī)上估。駐留摔在“喜安全甩賬戶別管理撐器”(SA活M)中。僅在脆創(chuàng)建傲組的駁計算懸機(jī)上史才能煩用該毀組來船授予涌用戶口訪問它資源得和執(zhí)謝行系沉統(tǒng)任秤務(wù)的啄權(quán)限銷。(2班)域中貝的組贏：僅可武在域訊控制晝器上嶺創(chuàng)建駐留久在活湖動目乳錄里在域透中任頑何一嘴臺計查算機(jī)符上都拍可以苗用組飯來授蓋予用匪戶訪濤問資濕源和婦執(zhí)行倦系統(tǒng)申任務(wù)倒的權(quán)扎限6.職4活動鐘目錄懇對象描建立傭與管貪理3.組的毒的作揉用域本地瘡域組彩：使膚用這泉個作榨用域育來給糧位于悶創(chuàng)建堆該本護(hù)地域暢組的濾域中遙的資叉源分連配權(quán)罩限。隸僅適四用于寺本身滋所在剖域中禽的域鐵主控弦制器得、成射員服有務(wù)器土以及頓域工蓬作站搶，卻拐不能堵跨域珠。全局斗組萬：祖使用殺這種支組作退用域捐來組因織有米相似眨網(wǎng)絡(luò)泥訪問萬要求竄的用圍戶。菊適用俘于本度身所襲在域反中的世域主膊控制晝器、爸成員踏服務(wù)再器、息域工挨作站晴以及趕其他頸的信梅任關(guān)供系域陷。通用利組：豬給傲多個吸域中銳的相懶關(guān)資趣源授低予權(quán)舞限。與在曠所連將接的搖任何炭域樹驕中都茄有效4.組的星類型安全尤式：迫具儲有權(quán)絨限和便資源砍使用既的限癥制。分布羨式：飼僅謀適用甘于配貨合郵湖件服圍務(wù)器猜軟件趙。6.跑4活動扇目錄丙對象掌建立趕與管歇理5.組的腦嵌套劉：把組壞添加沾到其資他組館可以谷減少矩需要西分配療權(quán)限壁的次脊數(shù)。肉多層內(nèi)嵌套羅會造伍成混晶亂，月一般免采用表一層諒嵌套盈。6.內(nèi)置登組將內(nèi)農(nóng)置的告使用抱權(quán)利朵指派嚴(yán)給用鉆戶，潮使這尤些用血戶直旨接具育有該宋域的休全部瞞或部痰分的字系統(tǒng)其管理洗控制押權(quán)。哀內(nèi)置觸本地堪域組國只存字在于梨域控幕制器砍上，鄙不能碎刪除島。(1旋)內(nèi)建章的本立地域旋組有減：Ac瓜co體un她t忌Op秩er灰at趨or骨s、Ad虛mi禍ni美st姿ra內(nèi)to米rs、Ba扁ck低up