計算機網絡實用技術（第二版）課件第8章

第8章使用和管理WINDOWS2000活動目錄第8章使用和管理活動目錄本章學習目標8.1

活動目錄8.2

組織單位的管理8.3

用戶賬戶的管理8.4

組的建立8.5

從工作站登錄域結構的網絡8.6

思考題第8章使用和管理WINDOWS2000活動目錄本章學習目標

本章主要介紹活動目錄（ActiveDirectory）以及各種對象的創(chuàng)建和管理。通過本章的學習，讀者應掌握以下內容：lActiveDirectory的概念與特點lActiveDirectory的創(chuàng)建lActiveDirectory用戶和計算機控制臺的使用l

組織單位、用戶賬戶和組的創(chuàng)建與管理第8章使用和管理WINDOWS2000活動目錄8.1活動目錄8.1.1

活動目錄簡介8.1.2

活動目錄的優(yōu)點8.1.3

安裝ActiveDirectory8.1.4ActiveDirectory的檢測8.1.5ActiveDirectory用戶和計算機控制臺的使用返回下一頁第8章使用和管理WINDOWS2000活動目錄8.1.1活動目錄簡介

活動目錄是一種目錄服務，它存儲有關網絡對象的信息（例如，用戶、組和計算機賬戶、打印機等共享資源），使管理員與用戶可以方便地查找和使用網絡信息?；顒幽夸浀膽闷鹪从赪indowsNT4.0Server，在WindowsServer2003中得到進一步的應用和發(fā)展，具有可擴展性和可調整性，并將結構化數(shù)據存儲作為目錄信息邏輯和分層組織的基礎。返回第8章使用和管理WINDOWS2000活動目錄8.1.1活動目錄簡介

域是WindowsServer目錄服務的基本管理單位，但增加了許多新的功能。域模式的最大優(yōu)點是它的單一網絡登錄功能，任何用戶只要在域內有一個賬戶，就可以漫游網絡。域目錄樹中的每一個節(jié)點都有自己的安全邊界，這種層次結構既保證了安全性，又可精確設置。

返回第8章使用和管理WINDOWS2000活動目錄8.1.1活動目錄簡介

同時活動目錄服務將域又細分成組織單位，組織單位是一個邏輯單位，它是域中一些用戶和組賬戶、文件與打印機等資源對象的集合。組織單位中還可以再劃分下級組織單位，并且下級組織單位能夠繼承父單元的訪問許可權。每一個組織單位可以有自己的管理員并指定其管理權限，從而實現(xiàn)了對資源和用戶的分級管理。返回第8章使用和管理WINDOWS2000活動目錄8.1.1活動目錄簡介

域中的所有域控制器之間都是平等關系，不再區(qū)分主域控制器和備份域控制器，這是因為WindowsServer2003采用了動態(tài)活動目錄服務，在進行目錄復制時不是沿用一般目錄服務的主從方式，而是采用多主復制方式。通過這種方式，任何一個域控制器上的活動目錄庫的變更都會被自動復制到其他域控制器上。

返回第8章使用和管理WINDOWS2000活動目錄8.1.1活動目錄簡介WindowsServer2003活動目錄服務的另一大特點是與Internet融合，它把DNS作為其定位服務。為了克服DNS管理困難的缺點，WindowsServer2003將DNS與其特有的DHCP和WINS緊密配合起來，從而使DNS更加易于管理。下一頁返回第8章使用和管理WINDOWS2000活動目錄8.1.2活動目錄的優(yōu)點1．基于策略的管理2．擴展性3．可調整性4．信息復制5．與DNS的集成6．靈活的查詢7．信息安全性下一頁返回第8章使用和管理WINDOWS2000活動目錄1．基于策略的管理

活動目錄服務包括數(shù)據存儲和邏輯分層結構。作為邏輯結構，它為策略應用程序提供分層的環(huán)境。作為目錄，它存儲著分配給特定環(huán)境的策略（稱為組策略對象）。組策略對象表示一套規(guī)則，包括應用環(huán)境的有關設置，目錄對象和域資源的訪問確定，用戶可使用什么域資源以及這些域資源的配置使用等。返回下一頁第8章使用和管理WINDOWS2000活動目錄2．擴展性

活動目錄可進行擴展，即管理員可將新的對象類添加到規(guī)劃中，而且可將新的屬性添加到已有的對象類中?？梢酝ㄟ^以下兩種方法將對象和屬性添加至活動目錄中：使用活動目錄架構、通過活動目錄服務接口（ADSI）或者LDIFDE、CSVDE命令行應用程序創(chuàng)建腳本。下一頁返回第8章使用和管理WINDOWS2000活動目錄3．可調整性

活動目錄可包括一個或多個域，每個域都有一個或多個域控制器，這使管理員可調整目錄以滿足任何網絡的要求。多個域可組合成域目錄樹或目錄森林。將目錄配置成域目錄樹或森林，使得管理員可以針對不同上下文策略對目錄的名稱空間進行分區(qū)，并調整目錄使其能容納大量的資源和對象。下一頁返回第8章使用和管理WINDOWS2000活動目錄4．信息復制

活動目錄使用多主復制。對目錄數(shù)據所做的更改將復制到所有的域控制器中，每個域控制器的目錄數(shù)據都保持同步。信息復制提供了有效性、容錯和加載平衡等優(yōu)點。在一個域中使用多個域控制器可提供容錯和加載平衡。如果域中的某個域控制器減慢、停止或失敗，同一域中的其他域控制器可提供必要的目錄訪問，因為它們包含著相同的目錄數(shù)據。在廣域網中，目錄訪問可由與每個網絡客戶機最近的域控制器執(zhí)行。下一頁返回第8章使用和管理WINDOWS2000活動目錄5．與DNS的集成

活動目錄使用DNS很容易將主機名稱（如）轉換為IP地址。這樣就可以在TCP/IP網絡上直接使用計算機主機名稱進行網絡連接。

DNS域和計算機使用分層結構的友好名稱。例如，名稱既是DNS名稱也是WindowsServer2003域名。域中的每臺計算機依靠其完整的域名進行識別。

下一頁返回第8章使用和管理WINDOWS2000活動目錄6．靈活的查詢

用戶和管理員可根據對象屬性（例如，姓、名、E-mail地址、辦公室位置或用戶賬戶的其他屬性），快速查找網絡上的對象。也可通過活動目錄生成的全局目錄查找對象。下一頁返回第8章使用和管理WINDOWS2000活動目錄7．信息安全性

安全性與活動目錄完全集成在一起，活動目錄還提供安全策略和應用范圍的設置。安全策略可包含賬戶信息，可以通過組策略設置、執(zhí)行安全策略。管理員可將某些管理權限分派給其他賬戶或組，這種權限分派允許指定誰具有管理部分網絡的權限?？梢詫⒛巢糠值墓芾矸峙山o下級管理員，而不必擁有對整個網絡具有廣泛權限的管理員。下一頁返回第8章使用和管理WINDOWS2000活動目錄8.1.3安裝ActiveDirectory如果要將網絡設置為域結構，則網絡上必須有域控制器。域控制器通過ActiveDirectory來提供目錄服務，若網絡中沒有域控制器，則可將該獨立服務器配置為新域的域控制器；若網絡中有其他域控制器，可將其配置為額外域控制器。WindowsServer2003的域控制器必須由標準版、企業(yè)版或數(shù)據中心版的系統(tǒng)來扮演，Web版的系統(tǒng)不能作為域控制器。返回第8章使用和管理WINDOWS2000活動目錄8.1.3安裝ActiveDirectory

在域中創(chuàng)建第一個域控制器，步驟如下：（1）以系統(tǒng)管理員的身份登錄，通過“開始”→“控制面板”→“網絡連接”→“本地連接”→“屬性”→“Internet協(xié)議（TCP/IP）”→“屬性”的途徑，打開“Internet協(xié)議（TCP/IP）屬性”對話框。然后，設置IP地址、子網掩碼、默認網關，并將首選的DNS地址指向本機的IP地址。返回第8章使用和管理WINDOWS2000活動目錄8.1.3安裝ActiveDirectory（2）通過執(zhí)行“開始”→“運行”命令，在對話框中輸入命令“dcpromo”，單擊“確定”按鈕，啟動“ActiveDirectory安裝向導”。（3）打開“ActiveDirectory安裝向導”對話框，單擊“下一步”按鈕，如圖8-1所示。返回第8章使用和管理WINDOWS2000活動目錄8.1.3安裝ActiveDirectory圖8-1啟動ActiveDirectory安裝向導返回第8章使用和管理WINDOWS2000活動目錄8.1.3安裝ActiveDirectory（4）打開如圖8-2所示的“操作系統(tǒng)兼容性”對話框，單擊“下一步”按鈕。返回第8章使用和管理WINDOWS2000活動目錄8.1.3安裝ActiveDirectory（5）如圖8-3和圖8-4所示，依次選擇“新域的域控制器”→“下一步”

→

“在新林中的域”→“下一步”。返回第8章使用和管理WINDOWS2000活動目錄8.1.3安裝ActiveDirectory（6）打開如圖8-5所示的“新的域名”對話框，在“新域的DNS全名”文本框中，輸入新域的DNS全名，例如jsj.。單擊“下一步”按鈕，在如圖8-6所示的“NetBIOS域名”對話框的“域NetBIOS名”文本框中，提示默認名，然后單擊“下一步”按鈕。返回第8章使用和管理WINDOWS2000活動目錄8.1.3安裝ActiveDirectory返回第8章使用和管理WINDOWS2000活動目錄8.1.3安裝ActiveDirectory（7）打開如圖8-7所示的對話框，在“數(shù)據庫文件夾”和“日志文件夾”文本框中設置保存的位置。然后，單擊“下一步”按鈕。返回第8章使用和管理WINDOWS2000活動目錄8.1.3安裝ActiveDirectory（8）打開如圖8-8所示的“共享的系統(tǒng)卷”對話框，在“文件夾位置”框中設置Sysvol文件夾的位置，也建議使用默認值，單擊“下一步”按鈕。Sysvol文件夾存放域的公用文件的服務器副本，它的內容將被復制到域中的所有域控制器上。返回第8章使用和管理WINDOWS2000活動目錄8.1.3安裝ActiveDirectory（9）確認DNS支持。如圖8-9所示。在這里，選擇“在這臺計算機上安裝并配置DNS服務器…”單選框，然后單擊“下一步”按鈕。返回第8章使用和管理WINDOWS2000活動目錄8.1.3安裝ActiveDirectory（10）在如圖8-10所示的對話框中，選擇“與Windows2000之前的服務器操作系統(tǒng)兼容的權限”或“只與Windows2000或WindowsServer2003操作系統(tǒng)兼容的權限”單選框。然后單擊“下一步”按鈕。返回第8章使用和管理WINDOWS2000活動目錄8.1.3安裝ActiveDirectory（11）在如圖8-11所示的對話框中，輸入用于刪除、修復目錄服務的密碼，單擊“下一步”按鈕。返回第8章使用和管理WINDOWS2000活動目錄8.1.3安裝ActiveDirectory（12）打開如圖8-12所示的“摘要”對話框，用戶可檢查、確認設置的選項。然后單擊“下一步”按鈕。返回8.1.3安裝ActiveDirectory（13）系統(tǒng)開始配置ActiveDirectory，同時打開“正在配置ActiveDirectory”對話框，提示配置過程，如圖8-13所示。請耐心等候，不要單擊“跳過DNS安裝”按鈕，可能還需指向系統(tǒng)安裝光盤源程序的位置（可以預先將安裝光盤原程序拷貝到“C:\i386”文件夾）。第8章使用和管理WINDOWS2000活動目錄返回8.1.3安裝ActiveDirectory（14）ActiveDirectory配置完成后，單擊“完成”按鈕。重新啟動計算機，ActiveDirectory才能生效。第8章使用和管理WINDOWS2000活動目錄返回第8章使用和管理WINDOWS2000活動目錄8.1.4ActiveDirectory的檢測

由于域控制器會將它的主機名稱、IP地址、所扮演的角色等數(shù)據被自動登記到DNS服務器內，以便讓其他的計算機通過DNS服務器來查找這臺域控制器。因此，應首先檢查DNS服務器內是否已經有該域控制器的相關數(shù)據。返回第8章使用和管理WINDOWS2000活動目錄8.1.4ActiveDirectory的檢測ActiveDirectory安裝完成后，應檢查DNS服務器內的記錄是否完整。1．檢查域控制器的域名稱與IP地址記錄

2．檢查SRV記錄下一頁返回第8章使用和管理WINDOWS2000活動目錄1．檢查域控制器的域名稱

與IP地址記錄通過“開始”→“程序”→“管理工具”→“DNS”的途徑，打開如圖8-14所示的窗口。展開SERVERLJJ→“正向搜索區(qū)域”→對象，在右邊的窗口中存在“（與父文件夾相同）主機”記錄，表明域控制器已經正確地將其域名稱與IP地址登記到DNS服務器內。返回第8章使用和管理WINDOWS2000活動目錄1．檢查域控制器的域名稱

與IP地址記錄下一頁返回第8章使用和管理WINDOWS2000活動目錄2．檢查SRV記錄

檢查DNS服務器中用來支持ActiveDirectory的區(qū)域內，是否有如圖8-14所示的_msdcs、_sites、_tcp、_udp等文件夾，因為域控制器會將自己所扮演的角色，登記到這些文件夾內的SRV記錄中。打開_tcp文件夾后，可以看到一個數(shù)據類型為SRV的記錄（_ladp），表示這臺域控制器已經正確地將扮演LDAP服務器角色的信息登記到DNS服務器上了。

下一頁返回第8章使用和管理WINDOWS2000活動目錄8.1.5ActiveDirectory用戶和計算機控制臺的使用ActiveDirectory用戶和計算機控制臺用于增加、修改、刪除、管理用戶和計算機賬戶、組和組織單位等對象，并可在目錄上發(fā)布和管理資源?？梢砸来芜x擇“開始”→“程序”→“管理工具”→“ActiveDirectory用戶和計算機”命令，打開如圖8-15所示的“ActiveDirectory用戶和計算機”控制臺窗口。返回第8章使用和管理WINDOWS2000活動目錄8.1.5ActiveDirectory用戶和計算機控制臺的使用1．改變用戶和計算機顯示方式2．預定義的組3．加入到域中的計算機下一頁返回第8章使用和管理WINDOWS2000活動目錄1．改變用戶和計算機顯示方式

使用控制臺的“查看”菜單可以控制顯示方式，顯示或關閉控制臺樹、說明條、狀態(tài)欄；或者選擇顯示列信息，以大圖標、小圖標、列表、詳細信息等方式顯示內容；使用如圖8-16所示的篩選器選項，用戶可自定義篩選顯示內容。返回第8章使用和管理WINDOWS2000活動目錄1．改變用戶和計算機顯示方式下一頁返回第8章使用和管理WINDOWS2000活動目錄2．預定義的組

在“ActiveDirectory用戶和計算機”控制臺窗口，分別打開Builtin、Users文件夾，可以查看系統(tǒng)預定義的組。這些組都是安全組，有不同的權限，Builtin文件夾中的為預定義的本地組；Users文件夾中的為預定義的全局組。用戶可以根據實際應用環(huán)境，規(guī)劃網絡的域結構，利用預定義的組，修改創(chuàng)建自己的組。返回第8章使用和管理WINDOWS2000活動目錄2．預定義的組位于Builtin文件夾中預定義的本地組如圖8-17所示返回第8章使用和管理WINDOWS2000活動目錄2．預定義的組位于Users文件夾中的預定義的全局組如圖8-18所示。

下一頁返回第8章使用和管理WINDOWS2000活動目錄3．加入到域中的計算機

在“ActiveDirectory用戶和計算機”控制臺窗口，打開Computers文件夾，可以查看加入到域中的計算機列表。只能從加入到域中的計算機上登錄域。下一頁返回第8章使用和管理WINDOWS2000活動目錄8.2組織單位的管理8.2.1

添加組織單位8.2.2

刪除組織單位8.2.3

設置組織單位的屬性下一頁返回第8章使用和管理WINDOWS2000活動目錄8.2.1添加組織單位打開“ActiveDirectory用戶和計算機”窗口。在控制臺目錄樹中雙擊以展開節(jié)點，右擊域節(jié)點或者可添加組織單位的文件夾節(jié)點，并從彈出的快捷菜單中選擇“新建”→“組織單位”命令，打開“新建對象-組織單位”對話框。第8章使用和管理WINDOWS2000活動目錄8.2.1添加組織單位

如圖8-19所示。在“名稱”框中輸入新建組織單位的名稱，然后單擊“確定”按鈕即可。下一頁第8章使用和管理WINDOWS2000活動目錄8.2.2刪除組織單位可以打開“ActiveDirectory用戶和計算機”窗口。在控制臺目錄樹中，雙擊域節(jié)點以展開該節(jié)點。然后右擊要刪除的組織單位，并從彈出的快捷菜單中選擇“刪除”命令，系統(tǒng)會打開確認框，單擊“是”按鈕即可。下一頁第8章使用和管理WINDOWS2000活動目錄8.2.3設置組織單位的屬性

組織單位被添加之后，還應根據需要設置其屬性。通過設置組織單位的屬性，不但可以指定組織單位的管理者和常規(guī)屬性，也可以為組織單位創(chuàng)建組策略。要設置組織單位的屬性，可參照下面的步驟：第8章使用和管理WINDOWS2000活動目錄8.2.3設置組織單位的屬性（1）打開“ActiveDirectory用戶和計算機”窗口。（2）在控制臺目錄樹中，雙擊域節(jié)點以展開該節(jié)點。（3）右擊要設置屬性的組織單位，從彈出的快捷菜單中選擇“屬性”命令，打開該組織單位的屬性對話框，如圖8-20所示。第8章使用和管理WINDOWS2000活動目錄8.2.3設置組織單位的屬性（4）選擇“常規(guī)”選項卡，如圖8-20所示，在“描述”文本框中輸入組織單位的描述文字，并在“國家（地區(qū)）”、“省/自治區(qū)”、“縣市”、“街道”和“郵政編碼”框中分別輸入相應信息。（5）選擇“管理者”選項卡，如圖8-21所示，單擊“更改”按鈕，在“選擇用戶或聯(lián)系人”對話框中選擇一個用戶或聯(lián)系人作為管理者；單擊“查看”按鈕，可查看管理者的屬性；如果要清除管理者，單擊“清除”按鈕即可。第8章使用和管理WINDOWS2000活動目錄8.2.3設置組織單位的屬性第8章使用和管理WINDOWS2000活動目錄8.2.3設置組織單位的屬性（6）選擇“組策略”選項卡，如圖8-22所示。（7）要新建一個組策略對象，單擊“新建”按鈕，在組策略對象列表框中會出現(xiàn)一個新的組策略對象，請輸入一個有意義的名稱。（8）創(chuàng)建組策略之后，單擊“編輯”按鈕，將打開“組策略”窗口，如圖8-23所示。第8章使用和管理WINDOWS2000活動目錄8.2.3設置組織單位的屬性第8章使用和管理WINDOWS2000活動目錄8.2.3設置組織單位的屬性（9）在“組策略”窗口中，管理員可對組策略進行編輯，包括計算機配置和用戶配置兩個方面。編輯完畢后，關閉窗口。（10）單擊屬性窗口的“關閉”按鈕。下一頁第8章使用和管理WINDOWS2000活動目錄8.3用戶賬戶的管理8.3.1

用戶賬戶的類型8.3.2

內置的用戶賬戶8.3.3

建立域用戶賬戶8.3.4

域用戶賬戶的屬性設置8.3.5

管理域用戶賬戶8.3.6

創(chuàng)建本地用戶賬戶下一頁返回第8章使用和管理WINDOWS2000活動目錄8.3.1用戶賬戶的類型WindowsServer2003支持的用戶賬戶分為兩種類型：（1）域用戶賬戶（2）本地用戶賬戶下一頁第8章使用和管理WINDOWS2000活動目錄（1）域用戶賬戶

域用戶賬戶建立在域控制器的ActiveDirectory數(shù)據庫內。用戶可以利用域用戶賬戶來登錄域，并訪問網絡上的資源。當用戶利用域用戶賬戶登錄時，由域控制器來檢查所輸入的賬戶與密碼是否正確。將用戶賬戶建立在某臺域控制器內后，該賬戶數(shù)據會被自動復制到同一個域內的其他所有域控制器中。因此，當該用戶登錄時，此域內的所有域控制器都可以負責審核。返回下一頁第8章使用和管理WINDOWS2000活動目錄（2）本地用戶賬戶

本地用戶賬戶建立在WindowsServer2003獨立服務器、WindowsServer2003/Windows2000成員服務器或WindowsXP計算機的本地安全數(shù)據庫內，而不是域控制器內。用戶可以利用本地用戶賬戶來登錄此計算機，但是只能夠訪問該計算機內的資源，無法訪問域結構網絡上的資源。返回第8章使用和管理WINDOWS2000活動目錄（2）本地用戶賬戶

在此建議用戶最好不要在WindowsServer2003成員服務器或已加入域的Windows系統(tǒng)計算機內建立本地用戶賬戶，因為無法通過域內其他任何一臺計算機來使用這些賬戶、設置這些賬戶的權限。這些賬戶無法訪問域上的資源，同時域系統(tǒng)管理員也無法管理這些本地用戶賬戶。因此，在域結構的網絡中，最好使用域用戶賬戶。下一頁返回第8章使用和管理WINDOWS2000活動目錄8.3.2內置的用戶賬戶

當WindowsServer2003安裝完畢后，將自動建立一些內置的賬戶，常見的賬戶是：（1）Administrator（系統(tǒng)管理員）（2）Guest（客戶）（3）IUSR_（計算機名）（Internet來賓賬戶）（4）IWAM_（計算機名）（啟動IIS進程賬戶）下一頁返回第8章使用和管理WINDOWS2000活動目錄（1）Administrator（系統(tǒng)管理員）Administrator擁有最高的權限，可以用它來管理計算機與域內的設置，例如建立、更改、刪除用戶與組賬戶、設置安全策略、設置用戶賬戶的權限等。如果從安全角度的考慮，不想讓他人知道該賬戶的名稱，可以將其改名，但是無法將其刪除。返回下一頁第8章使用和管理WINDOWS2000活動目錄（2）Guest（客戶）Guest是供臨時用戶使用的賬戶，例如提供給偶爾需要登錄或者僅登錄一次的用戶使用。這個賬戶只有基本權限?？梢愿拇速~戶的名稱，但是無法將這個賬戶刪除。該賬戶默認是禁用的，若要使用，請將其啟用。下一頁返回第8章使用和管理WINDOWS2000活動目錄（3）IUSR_（計算機名）

匿名訪問Internet信息服務的內置賬戶，是訪問WWW服務器的賬戶。下一頁返回（4）IWAM_（計算機名）這是安裝IIS時系統(tǒng)自動建立的一個內置賬號，主要用于啟動進程外應用程序的Internet信息服務。第8章使用和管理WINDOWS2000活動目錄返回第8章使用和管理WINDOWS2000活動目錄8.3.2內置的用戶賬戶

并非所有的用戶都具備權限來管理賬戶，由于目前只有系統(tǒng)管理員才具有添加、更改、刪除等管理賬戶的權限，因此必須先利用Administrator賬戶登錄。下一頁返回第8章使用和管理WINDOWS2000活動目錄8.3.3建立域用戶賬戶

在每個用戶賬戶添加完成后，ActiveDirectory都會為其建立一個惟一的安全識別碼（SID），Windows2000系統(tǒng)內部利用這個SID來代表該用戶，有關的權限設置等都是對SID來設置的，而不是對賬戶名稱。

SID不會被重復使用，即使將某個賬戶刪除后，再添加一個相同名稱的賬戶，它也不會擁有原來該賬戶的權限，因為它們的SID不同，對Win2000系統(tǒng)而言，是不同的賬戶。返回第8章使用和管理WINDOWS2000活動目錄8.3.3建立域用戶賬戶

在建立用戶賬戶時，可以選擇一個組織單位，以便將用戶賬戶建立到該組織單位內?？梢詫①~戶建立在內置的Users組織單位或其他自行創(chuàng)建的組織單位內。其步驟如下：（1）打開“ActiveDirectory用戶和計算機”窗口，雙擊域名（）→然后右擊“syzx”組織單位，再從彈出的快捷菜單中選擇“新建”→“用戶”命令。當出現(xiàn)如圖8-24所示的窗口時，進行以下設置：返回第8章使用和管理WINDOWS2000活動目錄l

“姓”與“名”：l

“姓名”：l

“用戶登錄名”：l

“用戶登錄名（Win2000以前版本）”：8.3.3建立域用戶賬戶返回第8章使用和管理WINDOWS2000活動目錄l

“姓”與“名”：l

“姓名”：l

“用戶登錄名”：l

“用戶登錄名（Win2000以前版本）”：8.3.3建立域用戶賬戶

至少在這兩個文本框之一輸入信息。

返回第8章使用和管理WINDOWS2000活動目錄l

“姓”與“名”：l

“姓名”：l

“用戶登錄名”：l

“用戶登錄名（Win2000以前版本）”：8.3.3建立域用戶賬戶

用戶的全名，默認就是前面的姓與名兩者的組合。返回第8章使用和管理WINDOWS2000活動目錄l

“姓”與“名”：l

“姓名”：l

“用戶登錄名”：l

“用戶登錄名（Win2000以前版本）”：8.3.3建立域用戶賬戶

這是用戶用來登錄域所使用的名稱。在ActiveDirectory內，這個名稱必須是惟一的。返回第8章使用和管理WINDOWS2000活動目錄l

“姓”與“名”：l

“姓名”：l

“用戶登錄名”：l

“用戶登錄名（Win2000以前版本）”：8.3.3建立域用戶賬戶

這個名稱可以被Windows2000以前版本的用戶使用，如被WindowsNT/98等用戶使用。返回第8章使用和管理WINDOWS2000活動目錄8.3.3建立域用戶賬戶（2）單擊“下一步”按鈕，將出現(xiàn)圖8-25所示的對話框，設置如下：l

“密碼”與“確認密碼”：“用戶下次登錄時須更改密碼”：

“用戶不能更改密碼”：l

“密碼永不過期”：l

“賬戶已停用”：返回第8章使用和管理WINDOWS2000活動目錄8.3.3建立域用戶賬戶l

“密碼”與“確認密碼”：“用戶下次登錄時須更改密碼”：

“用戶不能更改密碼”：l

“密碼永不過期”：l

“賬戶已停用”：

在“密碼”與“確認密碼”框中輸入密碼。為了避免在輸入時被他人看到密碼，因此框中的密碼只會以星號（*）顯示。密碼最多為128個字符。密碼的大小寫是有區(qū)別的，例如abc與ABC是不同的密碼。返回第8章使用和管理WINDOWS2000活動目錄8.3.3建立域用戶賬戶l

“密碼”與“確認密碼”：“用戶下次登錄時須更改密碼”：

“用戶不能更改密碼”：l

“密碼永不過期”：l

“賬戶已停用”：

強迫用戶在下次登錄時必須更改密碼。該項設置可以確保只有該用戶知道此密碼，提高用戶賬戶的安全性。返回第8章使用和管理WINDOWS2000活動目錄8.3.3建立域用戶賬戶l

“密碼”與“確認密碼”：“用戶下次登錄時須更改密碼”：

“用戶不能更改密碼”：l

“密碼永不過期”：l

“賬戶已停用”：

它可防止用戶更改密碼，如果多人共享一個賬戶時（例如guest），則選擇此復選框，避免發(fā)生被某個用戶更改密碼后，造成其他用戶都無法登錄的情況。返回第8章使用和管理WINDOWS2000活動目錄8.3.3建立域用戶賬戶l

“密碼”與“確認密碼”：“用戶下次登錄時須更改密碼”：

“用戶不能更改密碼”：l

“密碼永不過期”：l

“賬戶已停用”：

若選擇此復選框，則系統(tǒng)永遠不會要求該用戶更改密碼，即使在“賬戶策略”的“密碼最長存留期”中設置了所有用戶必須定期更改密碼，系統(tǒng)也不會要求該用戶更改密碼。若同時選擇了“用戶下次登錄時須更改密碼”與“密碼永不過期”復選框，則以“密碼永不過期”有效。返回第8章使用和管理WINDOWS2000活動目錄8.3.3建立域用戶賬戶l

“密碼”與“確認密碼”：“用戶下次登錄時須更改密碼”：

“用戶不能更改密碼”：l

“密碼永不過期”：l

“賬戶已停用”：

禁止用戶利用此賬戶登錄，例如，對于某個請長假的員工的賬戶，可以利用此選項暫時將該賬戶停用。返回第8章使用和管理WINDOWS2000活動目錄8.3.3建立域用戶賬戶（3）單擊“下一步”按鈕后，提示用戶賬戶的信息。最后單擊“完成”按鈕，完成用戶賬戶的創(chuàng)建。所有新建的域用戶賬戶，都可以被用來在網絡上從加入域的計算機上登錄，卻無法直接在域控制器上登錄，除非被賦予“本地登錄”的權利。下一頁返回第8章使用和管理WINDOWS2000活動目錄8.3.4域用戶賬戶的屬性設置

每個域用戶賬戶都有一些相關的屬性可供設置，要設置用戶賬戶的屬性，依次通過“選擇該用戶”→“單擊鼠標右鍵”→“屬性”的途徑，打開如圖8-26所示的“屬性”對話框。以下只說明部分的選項，其余的選項將在以后相關的章節(jié)介紹。1．用戶個人信息的設置2．賬戶信息的設置下一頁返回第8章使用和管理WINDOWS2000活動目錄1．用戶個人信息的設置

用戶個人信息是指姓名、地址、電話、傳真、移動電話、公司、部門、職稱、電子郵件、Web頁等。有如下幾個選項卡：常規(guī)、地址、電話、單位。返回下一頁第8章使用和管理WINDOWS2000活動目錄2．賬戶信息的設置

選擇“賬戶”選項卡，如圖8-27所示。有一部分賬戶信息的設置，在添加用戶賬戶時就已經說明過了，在這里僅介紹如下設置。（1）賬戶過期（2）登錄時間（3）限制用戶只能夠從某些工作站登錄下一頁返回第8章使用和管理WINDOWS2000活動目錄（1）賬戶過期

設置賬戶的有效期限。默認為賬戶永不過期，也可以選擇“在這之后”單選框，并確定賬戶過期的時間。返回下一頁第8章使用和管理WINDOWS2000活動目錄（2）登錄時間

“登錄時間”按鈕用來設置允許用戶登錄到域的時段，默認為用戶可以在任何時段登錄域。設置時，請單擊圖8-27中的“登錄時間”按鈕，將出現(xiàn)如圖8-28所示的對話框。返回第8章使用和管理WINDOWS2000活動目錄（2）登錄時間

圖中橫軸每一方塊代表一個小時，縱軸每一方塊代表一天，填充的方塊表示允許該用戶登錄的時段，空白的方塊代表該時段不允許此用戶登錄。選擇要設置的時段，若單擊“允許登錄”單選框，設置允許用戶在該時段內登錄；若單擊“拒絕登錄”單選框，設置不允許用戶在該時段內登錄。完成用戶登錄時段的設置。下一頁返回第8章使用和管理WINDOWS2000活動目錄（3）限制用戶只能夠從某些工作站登錄“登錄到”按鈕，用來設置允許用戶登錄到域的計算機，系統(tǒng)默認為用戶可從任何一臺計算機登錄域，也可以限制用戶只能從某幾臺計算機登錄域。設置時，請單擊“登錄到”按鈕，出現(xiàn)右圖對話框。

下一頁返回第8章使用和管理WINDOWS2000活動目錄8.3.5管理域用戶賬戶

打開“ActiveDirectory用戶和計算機”窗口，選定用戶賬戶并單擊鼠標右鍵，打開如圖8-30所示的快捷菜單，然后選擇相應的命令來管理域用戶賬戶。（1）復制。

（2）停用賬戶/啟用賬戶。

（3）重命名。

（4）刪除賬戶。

（5）重設密碼。

（6）解除被鎖定的賬戶。

返回第8章使用和管理WINDOWS2000活動目錄8.3.5管理域用戶賬戶（1）復制。

（2）停用賬戶/啟用賬戶。

（3）重命名。

（4）刪除賬戶。

（5）重設密碼。

（6）解除被鎖定的賬戶。

可以復制具有相同屬性的賬戶。

返回第8章使用和管理WINDOWS2000活動目錄8.3.5管理域用戶賬戶（1）復制。

（2）停用賬戶/啟用賬戶。

（3）重命名。

（4）刪除賬戶。

（5）重設密碼。

（6）解除被鎖定的賬戶。

若賬戶在某一段時間內不使用，則可以將其停用；待需要使用時，再將其重新啟用。圖8-29中所看到的是“停用賬戶”的命令，如果該賬戶已被停用，則此處的命令會變?yōu)椤皢⒂觅~戶”。

返回第8章使用和管理WINDOWS2000活動目錄8.3.5管理域用戶賬戶（1）復制。

（2）停用賬戶/啟用賬戶。

（3）重命名。

（4）刪除賬戶。

（5）重設密碼。

（6）解除被鎖定的賬戶。

可以將用戶賬戶重命名，由于其安全識別碼（SID）并沒有改變，因此該賬戶的屬性、權限設置與組關系都不會受到影響。

返回第8章使用和管理WINDOWS2000活動目錄8.3.5管理域用戶賬戶（1）復制。

（2）停用賬戶/啟用賬戶。

（3）重命名。

（4）刪除賬戶。

（5）重設密碼。

（6）解除被鎖定的賬戶。

可以將不再使用的賬戶刪除，以免占用ActiveDirectory的空間。將賬戶刪除后，即使再添加一個相同名稱的賬戶，這個新賬戶也不會繼承原賬戶的屬性、權限、設置與組關系，因其具有不同的SID。

返回第8章使用和管理WINDOWS2000活動目錄8.3.5管理域用戶賬戶（1）復制。

（2）停用賬戶/啟用賬戶。

（3）重命名。

（4）刪除賬戶。

（5）重設密碼。

（6）解除被鎖定的賬戶。

當用戶遺失密碼或密碼過期時，可以利用此命令重新替用戶設置密碼。返回第8章使用和管理WINDOWS2000活動目錄8.3.5管理域用戶賬戶（1）復制。

（2）停用賬戶/啟用賬戶。

（3）重命名。

（4）刪除賬戶。

（5）重設密碼。

（6）解除被鎖定的賬戶。

在賬戶策略中可以設置用戶輸入密碼失敗多次時，將該賬戶鎖定。若用戶賬戶被鎖定，可以在屬性對話框中將“賬戶被鎖定”的復選框清除即可。

下一頁返回第8章使用和管理WINDOWS2000活動目錄8.3.6創(chuàng)建本地用戶賬戶

創(chuàng)建本地用戶賬戶可以依次通過“開始”→“設置”→“控制面板”→“管理工具”→“計算機管理”→“系統(tǒng)工具”→“本地用戶和組”→“用戶”，然后單擊鼠標右鍵，并從彈出的快捷菜單中選擇“新用戶”的途徑來完成，其屬性的設置類似于域用戶賬戶的設置。下一頁返回第8章使用和管理WINDOWS2000活動目錄8.4組的建立8.4.1

組的類型8.4.2

組的作用域8.4.3

域組的管理8.4.4

本地組的創(chuàng)建8.4.5

內置的組下一頁返回第8章使用和管理WINDOWS2000活動目錄8.4.1組的類型WindowsServer2003所支持的組分為兩種類型。1．安全組2．通訊組下一頁返回第8章使用和管理WINDOWS2000活動目錄1．安全組

安全組可以用來設置權限，簡化網絡的維護和管理。例如，可以設置某個安全組對一些文件具備“讀取”的權限。安全組也可以用在與安全無關的任務上，例如，將電子郵件發(fā)送給某個安全組。下一頁返回第8章使用和管理WINDOWS2000活動目錄2．通訊組

通訊組只能用在與安全無關的任務上，例如，可以將電子郵件發(fā)送給某個通訊組。通訊組不能用于權限的設置與管理。下一頁返回第8章使用和管理WINDOWS2000活動目錄8.4.2組的作用域

每個安全組和分布式組均具有作用域，在Windows域內，有三類不同的作用域。1．全局組2．本地域組3．通用組下一頁返回第8章使用和管理WINDOWS2000活動目錄1．全局組

全局組主要用來組織用戶，可以將多個權限相似的用戶賬戶加入到同一個全局組內。全局組的特點如下：l

全局組內的成員，只能夠包含該組所屬的域內的用戶賬戶與全局組。也就是說，只能夠將同一個域內的用戶賬戶與其他全局組加入到全局組內。l

全局組可以訪問任何一個域內的資源。也就是說，可以在任何一個域內設置某個全局組的使用權限，以便讓此全局組具備權限來訪問該域內的資源。下一頁返回第8章使用和管理WINDOWS2000活動目錄2．本地域組

本地域組主要用來指派其所屬域內的訪問權限，以便可以訪問該域內的資源。本地域組的特點如下：l

本地域組內的成員，能夠包含任何一個域內的用戶賬戶、通用組、全局組。它也能夠包含同一個域內的本地域組，但是無法包含其他域內的本地域組。l

本地域組只能夠訪問本域內的資源，無法訪問其他不同域內的資源。換句話說，在設置本地域組的權限時，只可以設置本域內資源的權限，但是無法設置其他不同域內資源的權限。下一頁返回第8章使用和管理WINDOWS2000活動目錄3．通用組

通用組主要用來指派在所有域內的訪問權限，以便可以訪問每一個域內的資源。通用組的特點如下：l

通用組內的成員，能夠包含任何一個域內的用戶賬戶、通用組、全局組。但是它無法包含任何一個域內的本地域組。l

通用組可以訪問任何一個域內的資源。也就是說，可以在任何一個域內設置通用組的權限，以便讓此通用組具備權限來訪問該域內的資源。下一頁返回第8章使用和管理WINDOWS2000活動目錄8.4.3域組的管理

打開“ActiveDirectory用戶和計算機”窗口，添加、刪除與管理域組。1．域組的添加、刪除與更名2．添加域組的成員下一頁返回第8章使用和管理WINDOWS2000活動目錄1．域組的添加、刪除與更名添加域組的步驟如下：（1）在“ActiveDirectory用戶和計算機”窗口中選擇域名或某個組織單位，單擊鼠標右鍵，從彈出的快捷菜單中依次選擇“新建”→“組”命令，打開如圖8-31所示的對話框。

返回第8章使用和管理WINDOWS2000活動目錄1．域組的添加、刪除與更名（2）在“組名”文本框中輸入域組的名稱，在“組名（Windows2000以前版本）”文本框中輸入供舊版操作系統(tǒng)訪問的組名。（3）在“組作用域”單選組框中選擇組的作用域：“本地域”、“全局”或“通用”。（4）在“組類型”單選組框中選擇組的類型：“安全式”或“分布式”。（5）單擊“確定”按鈕，完成域組的創(chuàng)建。返回第8章使用和管理WINDOWS2000活動目錄1．域組的添加、刪除與更名

每個組賬戶添加完成后，系統(tǒng)都會為其建立一個惟一的安全識別碼（SID），在Windows2000系統(tǒng)內部是利用這個SID來表示該組，有關權限的設置等都是對SID來設置的?？梢韵冗x擇域組賬戶，單擊鼠標右鍵，并從彈出的快捷菜單中選擇“重命名”命令，更改域組賬戶名。由于更改名稱后，在Windows2000內部的安全識別碼（SID）并沒有改變，因此該域組賬戶的屬性、權限等設置都不變。返回第8章使用和管理WINDOWS2000活動目錄1．域組的添加、刪除與更名