《计算机网络实用技术》（雷建军 主编）电子教案 第7章 使用和管理Windows 2000

《《计算机网络实用技术》（雷建军 主编）电子教案 第7章 使用和管理Windows 2000》由会员分享，可在线阅读，更多相关《《计算机网络实用技术》（雷建军 主编）电子教案 第7章 使用和管理Windows 2000（43页珍藏版）》请在金锄头文库上搜索。

1、第7章 使用和管理Windows 2000活动目录,7.1 活动目录 7.2 组织单位的管理 7.3 用户账户的管理 7.4 组的建立,本章学习目标,l 活动目录的概念与特点 l 活动目录的创建 l 活动目录用户和计算机控制台的使用 l 组织单位、用户账户和组的创建与管理,返回本章首页,7.1 活动目录,7.1.1 活动目录简介 7.1.2 活动目录的优点 7.1.3 安装活动目录 7.1.4 活动目录用户和计算机控制台的使用,返回本章首页,7.1.1 活动目录简介,活动目录是一种目录服务，它存储有关网络对象的信息，例如，用户、组和计算机账户、共享资源和打印机等，并使管理员和用户可以方便地查找

2、和使用网络信息。活动目录的应用起源于Windows NT 4.0，在Windows 2000 Server中得到进一步的应用和发展，具有可扩展性和可调整性，并将结构化数据存储作为目录信息逻辑和分层组织的基础。 域模式的最大好处就是它的单一网络登录能力，任何用户只要在域内有一个账户，就可以漫游网络。,在Windows 2000中，域中的所有域控制器之间都是平等关系，不再区分主域控制器和备份域控制器，这是因为Windows 2000采用了动态活动目录服务，在进行目录复制时不是沿用一般目录服务的主从方式，而是采用多主复制方式。 Windows 2000活动目录服务的另一大特点是与Internet融合

3、，它把DNS作为其定位服务。为了克服DNS管理困难的缺点，Windows 2000将DNS与其特有的DHCP和WINS紧密配合起来，从而使DNS管理变得易于操作。,返回本节,7.1.2 活动目录的优点,1基于策略的管理 2扩展性 3可调整性 4信息复制 5与DNS的集成 6灵活的查询 7信息安全性,返回本节,7.1.3 安装活动目录,活动目录安装如图7-1至7-13所示,图7-1 启动Active Directory安装向导,图7-2 选择域控制类型,图7-3 创建目录树或子域,图7-4 创建或加入目录林,图7-5 指定新域名,图7-6 输入NetBIOS域名,图7-7 指定数据库和日志文件的

4、位置,图7-8 指定系统卷共享的文件夹的位置,图7-9 选择安装与配置DNS,图7-10 为用户和组对象选择默认权限,图7-11 设置目录服务恢复模式的管理员密码,图7-12 “摘要”对话框,图7-13 “正在配置Active Directory”窗口,返回本节,7.1.4 活动目录用户和计算机控制台的使用,活动目录用户和计算机控制台，用于增加、修改、删除、管理Windows 2000用户和计算机账户、组和组织单位等对象，并可在目录上发布和管理资源。,图7-14 “Active Directory用户和计算机”控制台,1改变用户和计算机显示方式,打开“活动目录用户和计算机”控制台，可以展开域节

5、点，在窗口左边的控制台树中显示一些文件夹，如果是新安装的域控制器，文件夹缺省显示是： Builtin（预定义本地组）； Computers（计算机） Domain Contro1s（域控制器）； Users（预定义全局组）； ForeignSecurityPricapal（外部安全负责人）。,图7-15 “筛选器选项”对话框,2预定义的组,当用户安装了一个域控制器后，在Builtin和Users文件夹下可以看到系统预定义的组，这些组都是安全组，代表不同的权限和权利。,图7-16 预定义的本地组,图7-17 预定义的全局组,返回本节,7.2 组织单位的管理,7.2.1 添加组织单位 7.2.2

6、删除组织单位 7.2.3 设置组织单位属性,返回本章首页,7.2.1 添加组织单位,在域中合理地添加和设置组织单位，不仅方便了管理员对域中用户和组的管理，而且还有利于网络的扩展。要添加组织单位，如图7-18所示。,图7-18 创建组织单位,返回本节,7.2.2 删除组织单位,当域中的某个组织单位不再发挥作用时，管理员可将其删除，以免影响对其他组织单位的管理。要删除不再需要的组织单位，可以依次选择“开始” “程序”“管理工具”“Active Directory用户和计算机”选项，打开“Active Directory用户和计算机”窗口。,返回本节,7.2.3 设置组织单位属性,组织单位被添加之后

7、，如果不根据需要设置其属性，就很难发挥其管理的方便性和安全性。通过设置组织单位的属性，不但可以指定组织单位的管理人和常规属性，也可为组织单位创建组策略。要设置组织单位的属性，可参照下面的步骤： 如图7-19至7-22所示,图7-19 “常规”选项卡,图7-20 “管理者”选项卡,图7-21 “组策略”选项卡,图7-22 “组策略”对话框,返回本节,7.3 用户账户的管理,7.3.1 用户账户的类型 7.3.2 内置的用户账户 7.3.3 建立域用户账户 7.3.4 域用户账户的属性设置 7.3.5 管理域用户账户 7.3.6 建立本地用户账户,返回本章首页,7.3.1 用户账户的类型,（1）域

8、用户账户 域用户账户建立在域控制器的Active Directory数据库内。用户可以利用域用户账户来登录域，并利用它来访问网络上的资源，例如访问其他计算机内的文件、打印机等资源。 （2）本地用户账户 本地用户账户建立在Windows 2000独立服务器、Windows 2000成员服务器或Windows 2000 Professional的本地安全数据库内，而不是域控制器内。用户可以利用本地用户账户来登录此计算机，但是只能够访问这台计算机内的资源，无法访问网络上的资源。,返回本节,7.3.2 内置的用户账户,（1）Administrator（系统管理员） Administrator拥有最高的

9、权限，可以用它来管理计算机与域内的设置，例如建立、更改、删除用户与组账户、设置安全策略、设置用户帐户的权限等。 （2）Guest（客户） Guest是供临时用户使用的账户，例如提供偶尔需要登录、或者仅登录一次的用户使用，以便访问网络上的资源。,返回本节,7.3.3 建立域用户账户,必须使用“Active Directory用户和计算机”管理单元来建立域用户账户。当使用这个管理单元来建立账户时，这个账户会被建立在MMC控制台所找到的第一台域控制器内，以后该账户会被自动复制到此域内的所有域控制器内。 在每个用户账户添加完成后，活动目录都会为其建立一个惟一的安全识别码（Security Identi

10、fier，SID），Windows 2000系统内部是利用这个SID来代表该用户，有关的权限设置等都是通过SID来设置的，而不是利用用户的账户名称。,图7-23 “新建对象-用户”对话框,图7-24 设置密码,返回本节,7.3.4 域用户账户的属性设置,1用户个人信息的设置 所谓“用户个人信息”，就是指姓名、地址、电话、传真、移动电话、公司、部门、职称、电子邮件、Web页等。如图7-25所示,图7-25 “属性”对话框,2账户信息的设置 选择“账户”选项卡，如图7-26所示。 （1）账户过期 （2）登录时间的设置 （3）限制用户只能够从某些工作站登录,图7-26 “账户”选项卡,图7-27 “

11、登录时段”窗口,图7-28 设置允许登录的工作站,返回本节,7.3.5 管理域用户账户,依次选择“开始”“程序”“管理工具”“Active Directory用户和计算机”选项，打开“活动目录用户和计算机”对话框，选定用户账户并右击，打开如图7-29所示的快捷菜单，然后选择相应的命令来管理域用户账户。 （1）复制。 （2）停用账户/启用账户。 （3）重命名。 （4）删除账户。 （5）重设密码。 （6）解除被锁定的账户。,图7-29 管理域用户账户,返回本节,7.3.6 建立本地用户账户,本地用户账户是建立在Windows 2000 Professional、Windows 2000独立服务器或

12、成员服务器的本地安全数据库内，而不是域控制器内的账户。用户可以利用本地用户账户登录此账户所在的计算机，但是无法登录域，同时只能够访问这台计算机内的资源，无法访问网络上的资源。,返回本节,7.4 组的建立,7.4.1 组的类型 7.4.2 组的作用域 7.4.3 域组的管理 7.4.4 本地组的建立 7.4.5 内置的组,返回本章首页,7.4.1 组的类型,Windows 2000所支持的组分为以下两种类型：安全式和分布式。 安全组：安全组可以用来设置权限，简化网络的维护和管理。 分布式组：分布式组只能用在与安全（权限的设置等）无关的任务上，例如，可以将电子邮件发送给某个分布式组。分布式组不能进

13、行权限设置。,返回本节,7.4.2 组的作用域,1全局组 全局组主要是用来组织用户，可以将多个权限相似的用户账户加入到同一个全局组内。 2本地域组 本地域组主要用来指派其在所属域内的访问权限，以便可以访问该域内的资源。 3通用组 通用组主要用来指派在所有域内的访问权限，以便可以访问每一个域内的资源。,返回本节,7.4.3 域组的管理,可以依次选择“开始”“程序”“管理工具”“Active Directory用户和计算机”选项，打开“Active Directory用户和计算机”对话框，来添加、删除与管理域组。 1域组的添加、删除与更名 2添加域组的成员,图7-30 “新建对象-组”对话框,图7

14、-31 “选择用户、联系人或计算机”对话框,返回本节,7.4.4 本地组的建立,本地组是建立在Windows 2000 Professional、Windows2000独立服务器或成员服务器的本地安全数据库内，而不是域控制器内。本地组只能够访问此组所在计算机内的资源，无法访问网络上的资源。 建议只在未加入域的计算机内建立本地组账户，而不要在加入域的计算机内建立本地组账户，因为无法通过域内其他任何一台计算机来访问这些账户、设置这些账户的权限，因此这些账户无法访问域上的资源，同时域系统管理员也无法管理这些本地组账户。,返回本节,7.4.5 内置的组,Windows 2000域内含多个内置的组，包括本地域组、全局组与系统组。而Windows 2000独立服务器、Windows 2000成员服务器、Windows 2000 Professional内则包含了一些内置的本地组与系统组。这些组本身己被赋予了一些权利与权限，以便让其具备管理域控制器与活动目录的能力。只要将用户或全局组等账户加入到这些内置的本地域组内，这些账户也将具有相同的权利与权限。,返回本节,THANK YOU VERY MUCH ！,本章到此结束， 谢谢您的光临！,结 束放映,返回本章首页,