第3章_windows_server_2003域及其帐户管理2

《第3章_windows_server_2003域及其帐户管理2》由会员分享，可在线阅读，更多相关《第3章_windows_server_2003域及其帐户管理2（88页珍藏版）》请在金锄头文库上搜索。

1、单击此处编辑母版标题样式 单击此处编辑母版副标题样式 *1 第3章 Windows Server 2003域及其 账户管理 v张书源 局域网中两种常见的组织方式 一、工作组模式 在工作组模式的网络中，各计算机是独立的，各计算机中 的账户和资源也是各自进行管理的。 如果一个人想要访问不同的计算机，就需要在每台计算机 中建立账户。访问时，也需要分别登录。 A B C A B C ABC 二、域模式 在域模式的网络中，可以把各计算机组织起来，各计算机 中的账户和资源也可以组织起来进行集中管理。 当一个域用户要访问域中不同的计算机，他只需登录一次 就可以访问域中的各台计算机中的共享资源。 ABC 域控

2、制器 域网络的结构 一、域控制器 在域结构的网络中，需要一个对账户和资源进行统一管理的 机制，这个机制就是活动目录（Active Directory）。 域中所有的账户和共享资源都需要在活动目录中进行登记。 用户可以利用活动目录查找和使用这些资源。 安装有活动目录的计算机称为域控制器。 二、域名 每个域都有一个域名，用于标识一个域。域名通常采用层次 结构命名。如：jsj.local 三、成员计算机 域建立后，只有那些加入到域中的计算机才能用来访问域 中的资源，这些计算机是成员计算机。 成员计算机的计算机全名：计算机名.域名 如：一台计算机名字为A，当它加入 jsj.local 域后，它的全 名

3、变为 A.jsj.local。 四、DNS服务器 在网络中访问计算机时使用的地址是IP地址。当我们用计 算机名访问成员计算机时，需要先通过DNS服务器把计算 机名转换为IP地址再访问。 A.jsj.local 192.168.0.10 B.jsj.local 192.168.0.11 A 192.168.0.10 DNS服务器 人员B在网上邻居中找到 了域中的计算机A，双击 计算机A的图标提出访问 请求。 DNS服务器将计算机A的 名字解析为IP地址，并将 IP地址回送给人员B。 人员B利用IP地址访问计 算机A。 五、域的其它组成部分 DHCP服务器：用于为域中的各成员计算机分配IP地址等

4、配置信息。如果域中的计算机都采用手工配置IP地址，则 可以不需要DHCP服务器。 域用户帐户：用于域使用者的身份验证，只有拥有了域用 户帐户的人员才能登录到域。 域共享资源：可被域用户共享的资源。 单域网络的构建 第一步：安装域控制器 一个域可以有一个或多个域控制器，各域控制器是平等的， 管理员可以在任一台域控制器上更新域中的信息，更新的信 息会自动传递到网络中的其它域控制器中。 设置多个域控制器可以提高域的安全性。 域控制器、DNS服务器、DHCP服务器可以安装在不同计算 机中，不过，在多数情况下，它们都安装在同一台计算机中 。 安装域控制器就是安装 Active Directory 的过程

5、。安装了 Active Directory 的计算机就成为域控制器。 安装过程： 准备工作： 选择一台准备作为域控制器的计算机。 它必须有一个NTFS分区。 如果它已经存在DNS服务器或DHCP服务器，应该将它 们卸载。 检查该机IP设置：如果将来DNS和DHCP服务器都要装在 该计算机中，应该设置一个固定的IP地址，DNS服务器 地址也应该设置为本机IP地址。 单击“开始 | 管理工具 | 配置您的服务器向导”。 在服务器角色中选择“域控制器”，单击“下一步”，启动 Active Directory 安装向导。 选择“域控制器类型”：若选择“新域的域控制器”则表示创建 一个新域；若选择“现有

6、域的额外域控制器”则表示在现有域 中增加域控制器。 选择“域的类型”：若选择“在新林中的域”表示建立一个独立的 域。 指定域名：输入新域的域名。域名必须符合DNS域名规则， 输入后，系统会花一些时间在网络中检查该域名。 由于域名建立后很难更改，所以最好一次确定域名，避免更改 。 指定NetBIOS名：默认为DNS域名的前半段，一般不需 修改。 设置数据库和日志文件文件夹位置：如果条件许可，这两 个文件夹最好放在两块不同的硬盘中。 设置“共享的系统卷”的位置：这个文件夹必须设置在NTFS 分区内。 选择或安装DNS服务器：可以在本机上安装DNS服务器， 也可以选择自己安装DNS服务器。 权限设置

7、：如果网络中有旧版本的域控制器，要选择与其 对应的兼容性权限。 设置还原模式下的管理员密码：还原模式是域控制器的安 全模式，可用于修复活动目录数据库。 参数设置完成，单击“下一步”开始安装活动目录，这期间 需要插入 Windows Server 2003 安装盘。安装时间需 要几分钟。 安装完成后，要求重新启动计算机。 重启之后，域控制器安装完成。 安装了第一个域控制器后意味着域已经建立。其后还需 进行以下工作： 安装额外的域控制器：可根据需要安装。 将计算机加入域：这些计算机成为该域的成员计算机。 创建域用户帐户，并把它们分配给特定人员：这些人成 为域用户。 向域中添加共享资源：这些资源可以

8、供域用户共享。 删除域控制器 如果域中有多个域控制器，删除了一个域控制器，该计算 机就降格为成员计算机。 如果删除了域中所有域控制器，则该域也被删除。 删除方法：与安装方法一样。 单击“开始 | 管理工具 | 配置您的服务器向导”。 在服务器角色中选择“域控制器”，单击“下一步”，启动 Active Directory 安装向导。 按照提示完成操作就删除了域控制器。 多域网络 如果一个单位有多个部门，可以在每个部门建立一个域 。 多域网络通常有3种结构： 1、彼此独立的域 域A域B 2、域树结构 根域A 子域B子域C 子域D 3、域林结构 根域A 子域C 子域E 子域D 根域B 域信任关系 彼

9、此独立的域之间没有信任关系。这种域之间不能互访对 方的共享资源。 建立了信任关系的域，经过一定的授权后，用户可以在一 个域中访问另一个域中的共享资源。 信任关系有方向性和传递性。 域A域B域C 假设域A和域B建立了双向可传递的信任关系，域B和域C 建立了双向可传递的信任关系，则域A和域C自动成为双向 信任的。 信任类型 1、父子：双向、可传递 用于构建域树结构，父域 与子域之间为父子信任关 系。 2、树根：双向、可传递 用于构建域林结构，域林 中根域之间为树根信任关 系。 根域A 子域C 子域E 子域D 根域B 父子 父子 父子 树根 3、外部、领域、林、快捷 用于建立一些有特殊要求的信任。

10、多域网络的构建 一、构建多个彼此独立的域 在各个域中分别安装域控制器，在安装每个域的第一台 域控制器时应选择： 域控制器类型域类型 新域的域控制器在新林中的域 各域的域名可以分别设置，不需要关联。 二、构建域树 在各个域中分别安装域控制器，但应该先建立父域，再 建立子域，在安装子域中第一台域控制器时应选择： 域控制器类型域类型 新域的域控制器在现有域树中的子域 域树中子域的域名必须与父 域的域名相关联。 根域A 子域B 子域D linite.local sales.linite.local group.sales.linite.local 三、构建域林 在各个域中分别安装域控制器，在建立新域树

11、的第一台 域控制器时应选择： 域控制器类型域类型 新域的域控制器在现有的林中的域树 域林中各根域的域名之 间不需要相关联。 根域A 子域B 根域E linite.local sales.linite.local come.cc 说明：域间的信任关系一般是在建立域时创建。如果 想要建立一些特殊的信任关系，可以先建立彼此独立 的域，然后在域控制器上使用“新建信任向导”设置域 间的信任类型。 域帐户管理 域账户管理类似于本地账户管理，它有以下特点： 1、在域控制器上没有本地用户帐户，其原有的本地用 户帐户自动转变为域用户帐户； 2、域账户在域控制器上创建和管理； 3、拥有域用户账户的人登录域时，由域

12、控制器对其进 行身份验证。 域账户包括域用户账户、域组账户、域计算机账户、域共 享资源帐户。 域用户账户分配给使用域的人员，用它可登录到域中； 域组账户用于将域用户账户和计算机账户分组，为组指派 权限和权利，可简化管理。 计算机账户是加入到域中的计算机，每台加入域的服务器 和客户机都拥有一个计算机账户，用它可控制域中包含哪 些计算机。 共享资源帐户是加入到域中的共享文件夹、共享打印机等 ，共享资源必须加入到域中才能被域用户共享。 内置的域用户帐户： Administrator(管理员)：该帐户具有对域的完全控制权。 它同时是 Administrators、Domain Admins 等多个内置

13、组 的成员。 Guest(来宾)：该帐户只有极有限的权利。默认是禁用的 。它是 Guests组和Domain Guests组的成员。 内置用户账户可以重命名或禁用，但不能删除。 一、计算机账户 创建计算机账户的过程就是将一台计算机加入到域中的过程 。 只有域管理员组的成员有权将一台计算机加入域中。 准备工作： 在准备加入域的计算机上，把它的DNS服务器地址设置为 该域使用的DNS服务器地址。 把计算机加入域： 方法一：在欲加入域的计算机上打开“我的电脑”属性，在“ 计算机名”选项卡中用“更改”按钮把该计算机加入域。 注意：加入时会要求输入用户名和密码，这里必须输入管 理员的用户名和密码。 方法

14、二：以管理员身份登录域控制器，打开“开始 | 管理工 具 | Active Directory 用户和计算机”，在目录树上单击右键 ，选择“新建 | 计算机”，输入欲加入域的计算机名或IP地址 ，就可以把指定计算机加入域中。 注：通常我们把计算机账户存放在活动目录的 Computers 容器中。 二、共享资源账户 域中的共享资源包括共享文件夹、共享打印机等，它们可 以位于域中任意一台成员计算机中。 创建共享资源账户的过程就是把共享资源发布到域中的过 程。 只有域管理员组的成员才能执行发布共享资源的操作。 准备工作： 在准备加入域的文件夹或打印机设置为“共享” 。 把共享资源加入域： 以管理员身

15、份登录域控制器，打开“开始 | 管理工具 | Active Directory 用户和计算机”，在目录树上单击右键，选 择“新建 | 文件夹”或“新建 | 打印机” ，输入共享资源的路径 ，就可以把该资源加入域中。 注：通常我们把共享资源账户也存放在活动目录的 Computers 容器中，如果资源数量较多，可以另建容器。 网络路径(UNC地址)：访问网络中共享资源时使用的地址。 计算机名共享名 或者 IP地址共享名 创建完成后，可以打开共 享文件夹的属性，在其中 可以添加一些关键字，这 样可方便客户用查找功能 找到该资源。 说明： 当一个文件夹设置成共享后，如果没有把它加入域中， 则该文件夹只

16、能用工作组的方式访问。 如果该文件夹发布到域中了，则该文件夹既可以用域的 方式访问，也可以用工作组的方式访问。 三、域用户帐户 域用户帐户在域控制器的活动目录中创建和管理。 在系统内部，域用户账户用SID区分。 一个域用户账户的权利和权限通常取决于它所在的组。一 个域用户账户可同时属于多个组，其权限为各组权限的叠 加。 域用户帐户只存在于域控制器中，各成员计算机中只有其 本地用户帐户。 创建域用户帐户 打开“开始 | 管理工具 | Active Directory 用户和计算机” ； 在目录树上单击右键，选择“新建 | 用户”，输入 姓、 名、密码、密码选项 等参数，就创建了一个新的域用 户账户。 域用户帐户的组织 如果帐户数量较少，通常将域用户帐户放置在 Users 容 器中。 如果帐户数量很多，通常可创建一些组织单位(OU)，将 帐户分门别类地放在各OU中。 OU相当于活动目录中的文件夹，它可以创建多层。 域用户帐户的使用 在一台域成员计算机上登录，在登录界面上输入帐户 名和密码，并选择要登录的域。 域用户帐户属性的设置 在活动目录中，双击用户名或单击右键选择