WindowsServer域及其账户管理学习教案

《WindowsServer域及其账户管理学习教案》由会员分享，可在线阅读，更多相关《WindowsServer域及其账户管理学习教案（81页珍藏版）》请在金锄头文库上搜索。

1、会计学1WindowsServer域及其账户域及其账户(zhn h)管管理理第一页，共81页。内容提要内容提要(nirntyo)(nirntyo)n n活动目录的概述活动目录的概述n n活动目录的组成活动目录的组成n n活动目录的安装活动目录的安装n n活动目录（活动目录（ActiveDirectoryActiveDirectory）是）是WindowsServer2003WindowsServer2003系统中提供的目系统中提供的目录服务，用于存储网络上各种对象的相关信息，以便于管理员查找和使用。录服务，用于存储网络上各种对象的相关信息，以便于管理员查找和使用。活动目录是企业活动目录是企业I

2、TIT管理的重要组成部分，掌握活动目录对提高管理的重要组成部分，掌握活动目录对提高WindowsWindowsServer2003Server2003的管理技能具有非常重要的意义。本章讨论的管理技能具有非常重要的意义。本章讨论(toln)(toln)活动目录活动目录的基本概念、结构元素和特性，并介绍有关活动目录服务的基本操作。的基本概念、结构元素和特性，并介绍有关活动目录服务的基本操作。第1页/共80页第二页，共81页。9.1 活动活动(hu dng)目录的概述目录的概述n n活动目录（活动目录（ActiveDirectoryActiveDirectory）是）是WindowsServer20

3、03WindowsServer2003操作系统提供的一种新的目操作系统提供的一种新的目录服务。所谓目录服务其实就是提供了一种按层次结构组织的信息，然后按名称关录服务。所谓目录服务其实就是提供了一种按层次结构组织的信息，然后按名称关联检索信息的服务方式联检索信息的服务方式(fngsh)(fngsh)。这种服务提供了一个存储在目录中的各种资源的。这种服务提供了一个存储在目录中的各种资源的统一管理视图，从而减轻了企业的管理负担。另外，它还为用户和应用程序提供了统一管理视图，从而减轻了企业的管理负担。另外，它还为用户和应用程序提供了对其所包含信息的安全访问。活动目录作为用户、计算机和网络服务相关信息的

4、中对其所包含信息的安全访问。活动目录作为用户、计算机和网络服务相关信息的中心，支持现有的行业标准心，支持现有的行业标准LDAPLDAP（LightweightDirectoryAccessProtocalLightweightDirectoryAccessProtocal，轻量目，轻量目录访问协议）第录访问协议）第3 3版，使任何兼容版，使任何兼容LDAPLDAP的客户端都能与之相互协作，可访问存储在的客户端都能与之相互协作，可访问存储在活动目录中的信息，如活动目录中的信息，如LinuxLinux、NovellNovell系统等。系统等。第2页/共80页第三页，共81页。9.1.1 目录服务目

5、录服务(fw)的含义的含义n n目录是一个用于存储用户感兴趣的对象信息的信息库。目录是一个用于存储用户感兴趣的对象信息的信息库。目录是一个用于存储用户感兴趣的对象信息的信息库。目录是一个用于存储用户感兴趣的对象信息的信息库。n n活动目录（活动目录（活动目录（活动目录（ActiveDirectoryActiveDirectoryActiveDirectoryActiveDirectory）是用于）是用于）是用于）是用于WindowsServer2003WindowsServer2003WindowsServer2003WindowsServer2003的目录服务。它存储着的目录服务。它存储着的

6、目录服务。它存储着的目录服务。它存储着本网络上各种对象的相关信息，并使用一种易于用户查找及使用的结构化的数据存本网络上各种对象的相关信息，并使用一种易于用户查找及使用的结构化的数据存本网络上各种对象的相关信息，并使用一种易于用户查找及使用的结构化的数据存本网络上各种对象的相关信息，并使用一种易于用户查找及使用的结构化的数据存储方法来组织和保存数据。在整个目录中，通过登录验证以及目录中对象的访问控储方法来组织和保存数据。在整个目录中，通过登录验证以及目录中对象的访问控储方法来组织和保存数据。在整个目录中，通过登录验证以及目录中对象的访问控储方法来组织和保存数据。在整个目录中，通过登录验证以及目录

7、中对象的访问控制，将安全性集成到制，将安全性集成到制，将安全性集成到制，将安全性集成到ActiveDirectoryActiveDirectoryActiveDirectoryActiveDirectory中。通过一次登录（中。通过一次登录（中。通过一次登录（中。通过一次登录（SingleSign-OnSingleSign-OnSingleSign-OnSingleSign-On，SSOSSOSSOSSO），），），），管理员可管理整个网络中的目录数据和单位，而且获得授权的网络用户可访问网络管理员可管理整个网络中的目录数据和单位，而且获得授权的网络用户可访问网络管理员可管理整个网络中的目录数据

8、和单位，而且获得授权的网络用户可访问网络管理员可管理整个网络中的目录数据和单位，而且获得授权的网络用户可访问网络上所有的资源。这种基于策略的管理模式大大上所有的资源。这种基于策略的管理模式大大上所有的资源。这种基于策略的管理模式大大上所有的资源。这种基于策略的管理模式大大(dd)(dd)(dd)(dd)地减轻了复杂网络的管理复杂地减轻了复杂网络的管理复杂地减轻了复杂网络的管理复杂地减轻了复杂网络的管理复杂度和工作量。度和工作量。度和工作量。度和工作量。第3页/共80页第四页，共81页。9.1.2 需要需要(xyo)目录服务的原目录服务的原因因n n目录服务可以实现如下的功能：目录服务可以实现如

9、下的功能：目录服务可以实现如下的功能：目录服务可以实现如下的功能：n n（1 1 1 1）提高管理者定义的安全性来保证信息不受入侵者）提高管理者定义的安全性来保证信息不受入侵者）提高管理者定义的安全性来保证信息不受入侵者）提高管理者定义的安全性来保证信息不受入侵者的破坏；的破坏；的破坏；的破坏； n n（2 2 2 2）将目录分布在一个网络中的多台计算机上，提高）将目录分布在一个网络中的多台计算机上，提高）将目录分布在一个网络中的多台计算机上，提高）将目录分布在一个网络中的多台计算机上，提高了整个网络系统了整个网络系统了整个网络系统了整个网络系统(xtng)(xtng)(xtng)(xtng)

10、的可靠性；的可靠性；的可靠性；的可靠性；n n（3 3 3 3）复制目录可以使得更多用户获得它并且减少使用）复制目录可以使得更多用户获得它并且减少使用）复制目录可以使得更多用户获得它并且减少使用）复制目录可以使得更多用户获得它并且减少使用和管理开销，提高效率；和管理开销，提高效率；和管理开销，提高效率；和管理开销，提高效率；n n（4 4 4 4）分配一个目录于多个存储介质中使其可以存储规）分配一个目录于多个存储介质中使其可以存储规）分配一个目录于多个存储介质中使其可以存储规）分配一个目录于多个存储介质中使其可以存储规模非常大的对象。模非常大的对象。模非常大的对象。模非常大的对象。n n目录服

11、务既是管理工具又是终端用户工具。当网络中对目录服务既是管理工具又是终端用户工具。当网络中对目录服务既是管理工具又是终端用户工具。当网络中对目录服务既是管理工具又是终端用户工具。当网络中对象的数目增加时，目录服务变得很重要。因此，从这一象的数目增加时，目录服务变得很重要。因此，从这一象的数目增加时，目录服务变得很重要。因此，从这一象的数目增加时，目录服务变得很重要。因此，从这一点上可以将目录服务看做是一个大的分布系统点上可以将目录服务看做是一个大的分布系统点上可以将目录服务看做是一个大的分布系统点上可以将目录服务看做是一个大的分布系统(xtng)(xtng)(xtng)(xtng)的转换中心，用

12、户可以利用该中心快捷的管理并使用其的转换中心，用户可以利用该中心快捷的管理并使用其的转换中心，用户可以利用该中心快捷的管理并使用其的转换中心，用户可以利用该中心快捷的管理并使用其中的资源。中的资源。中的资源。中的资源。第4页/共80页第五页，共81页。9.1.3 活动活动(hu dng)目录与域目录与域n nWindows域（域（Domain）是基于）是基于NT技术构建的技术构建的Windows系统组系统组成的计算机网络的独立安全范围，成的计算机网络的独立安全范围，是是Windows的逻辑管理单位，也的逻辑管理单位，也就是说一个域就是一系列的用户就是说一个域就是一系列的用户账户、访问权限账户、

13、访问权限(qunxin)和其和其他的各种资源的集合。他的各种资源的集合。n n活动目录由一个或多个域构成，活动目录由一个或多个域构成，一个域可以跨越不止一个物理地一个域可以跨越不止一个物理地点。每一个域都有它自己的安全点。每一个域都有它自己的安全策略和本域与其他域之间的安全策略和本域与其他域之间的安全关系。当多个域通过信任关系连关系。当多个域通过信任关系连接起来并且拥有共同的模式、配接起来并且拥有共同的模式、配置和全局目录时，它们就构成了置和全局目录时，它们就构成了一个域树。多个域树可以连接起一个域树。多个域树可以连接起来形成一个树林。来形成一个树林。第5页/共80页第六页，共81页。活动活动

14、(hudng)(hudng)目录的结构图目录的结构图第6页/共80页第七页，共81页。对象对象(duxing)(duxing)n n对象对象(duxing)(duxing)（ObjectObject）是对某具体事物）是对某具体事物的命名，如用户、打印机或应用程序等。属的命名，如用户、打印机或应用程序等。属性是对象性是对象(duxing)(duxing)用来识别主题的描述性用来识别主题的描述性数据。一个用户的属性可能包括用户的数据。一个用户的属性可能包括用户的NameName、EmailEmail和和PhonePhone等等第7页/共80页第八页，共81页。域域n n域（域（DomainDoma

15、in）是）是WindowsServer2003WindowsServer2003活动活动目录目录(ml)(ml)的核心单元，是共享同一活动目的核心单元，是共享同一活动目录录(ml)(ml)的一组计算机集合。域是安全的边的一组计算机集合。域是安全的边界，在默认的情况下，一个域的管理员只能界，在默认的情况下，一个域的管理员只能管理自己的域，一个域的管理员要管理其他管理自己的域，一个域的管理员要管理其他的域需要专门的授权。域也是复制单位，一的域需要专门的授权。域也是复制单位，一个域可包含多个域控制器，当某个域控制器个域可包含多个域控制器，当某个域控制器的活动目录的活动目录(ml)(ml)数据库修改以

16、后，会将此数据库修改以后，会将此修改复制到其他所有域控制器。修改复制到其他所有域控制器。第8页/共80页第九页，共81页。组织组织(zzh)(zzh)单元单元n n组织单元（组织单元（组织单元（组织单元（OUOUOUOU，OrganizationalUnitOrganizationalUnitOrganizationalUnitOrganizationalUnit）是组织、管理一个域内对象的容器，它能）是组织、管理一个域内对象的容器，它能）是组织、管理一个域内对象的容器，它能）是组织、管理一个域内对象的容器，它能包容用户账户、用户组、计算机、打印机和其他的组织单元。很明显，通过组织单包容用户账

17、户、用户组、计算机、打印机和其他的组织单元。很明显，通过组织单包容用户账户、用户组、计算机、打印机和其他的组织单元。很明显，通过组织单包容用户账户、用户组、计算机、打印机和其他的组织单元。很明显，通过组织单元的包容，组织单元具有很清楚的层次结构。使用组织单位可帮助管理员将网络所元的包容，组织单元具有很清楚的层次结构。使用组织单位可帮助管理员将网络所元的包容，组织单元具有很清楚的层次结构。使用组织单位可帮助管理员将网络所元的包容，组织单元具有很清楚的层次结构。使用组织单位可帮助管理员将网络所需的域数量降到最低，组织单位还可以创建缩放到任意规模的管理模型。这种包容需的域数量降到最低，组织单位还可以

18、创建缩放到任意规模的管理模型。这种包容需的域数量降到最低，组织单位还可以创建缩放到任意规模的管理模型。这种包容需的域数量降到最低，组织单位还可以创建缩放到任意规模的管理模型。这种包容结构可以使管理者将组织单元切入到域中来反映出企业的组织结构，同时管理者还结构可以使管理者将组织单元切入到域中来反映出企业的组织结构，同时管理者还结构可以使管理者将组织单元切入到域中来反映出企业的组织结构，同时管理者还结构可以使管理者将组织单元切入到域中来反映出企业的组织结构，同时管理者还可以委派任务可以委派任务可以委派任务可以委派任务(rnwu)(rnwu)(rnwu)(rnwu)与授权。使用组织单位，可以在组织单

19、位中代表逻辑层次结与授权。使用组织单位，可以在组织单位中代表逻辑层次结与授权。使用组织单位，可以在组织单位中代表逻辑层次结与授权。使用组织单位，可以在组织单位中代表逻辑层次结构的域中创建容器，这样就可以根据实际的组织模型管理账户和资源的配置和使用。构的域中创建容器，这样就可以根据实际的组织模型管理账户和资源的配置和使用。构的域中创建容器，这样就可以根据实际的组织模型管理账户和资源的配置和使用。构的域中创建容器，这样就可以根据实际的组织模型管理账户和资源的配置和使用。第9页/共80页第十页，共81页。树树n n树（树（树（树（TreeTreeTreeTree），又称为域树，用来描述对象及容器的分

20、层结构），又称为域树，用来描述对象及容器的分层结构），又称为域树，用来描述对象及容器的分层结构），又称为域树，用来描述对象及容器的分层结构关系。域树是由若干具有共同的模式、配置的域构成的，形关系。域树是由若干具有共同的模式、配置的域构成的，形关系。域树是由若干具有共同的模式、配置的域构成的，形关系。域树是由若干具有共同的模式、配置的域构成的，形成了一个临近的名字空间。在树中的域也是通过信任成了一个临近的名字空间。在树中的域也是通过信任成了一个临近的名字空间。在树中的域也是通过信任成了一个临近的名字空间。在树中的域也是通过信任(xnrn)(xnrn)(xnrn)(xnrn)关系连接起来的。活动目

21、录是一个或更多树的集合。关系连接起来的。活动目录是一个或更多树的集合。关系连接起来的。活动目录是一个或更多树的集合。关系连接起来的。活动目录是一个或更多树的集合。树可以通过两种途径表示，一种是域之间的关系，另一种是树可以通过两种途径表示，一种是域之间的关系，另一种是树可以通过两种途径表示，一种是域之间的关系，另一种是树可以通过两种途径表示，一种是域之间的关系，另一种是域树的名字空间。域树的名字空间。域树的名字空间。域树的名字空间。第10页/共80页第十一页，共81页。域树名字空间域树名字空间(kngjin)(kngjin)的特点的特点（1 1）一棵树只有一个名字，）一棵树只有一个名字，即位于即

22、位于(wiy)(wiy)树根处的域的树根处的域的DNSDNS名字；名字；（2 2）在根域下面创建的域）在根域下面创建的域（子域）的名字总是与根域的（子域）的名字总是与根域的名字邻接；名字邻接；（3 3）一棵树子域的）一棵树子域的DNSDNS名字名字是反映该组织机构的。是反映该组织机构的。第11页/共80页第十二页，共81页。树林树林(shln)(shln)n n树林是一棵或多棵树林是一棵或多棵WindowsServer2003WindowsServer2003活活动动(hudng)(hudng)目录树的集合。各树之间地位目录树的集合。各树之间地位相当，由双向传递的信任关系相关联。单个相当，由双

23、向传递的信任关系相关联。单个域可以组成一棵单域的树，单棵树可以组成域可以组成一棵单域的树，单棵树可以组成单树的树林。树林与活动单树的树林。树林与活动(hudng)(hudng)目录是目录是同一个概念，也就是说，一个特定的目录服同一个概念，也就是说，一个特定的目录服务实例（包括所有的域、所有的配置和模式务实例（包括所有的域、所有的配置和模式信息）中的全部目录分区集合组成一片树林。信息）中的全部目录分区集合组成一片树林。第12页/共80页第十三页，共81页。3.2 Active Directory3.2 Active Directory的物理的物理的物理的物理(wl)(wl)结构结构结构结构n n

24、域控制器域控制器n n站点站点第13页/共80页第十四页，共81页。9.2.1 域控制器域控制器n n域控制器是运行域控制器是运行ActiveDirectoryActiveDirectory的的 WindowsServer2003WindowsServer2003服务器。服务器。n n由于在域控制器上，由于在域控制器上，ActiveDirectoryActiveDirectory存存储了所有的域范围内的账户和策略信息储了所有的域范围内的账户和策略信息(xnx)(xnx)，如系统的安全策略、用户身份验，如系统的安全策略、用户身份验证数据和目录搜索。账户信息证数据和目录搜索。账户信息(xnx)(x

25、nx)可以可以属于用户、服务和计算机账户。由于有属于用户、服务和计算机账户。由于有ActiveDirectoryActiveDirectory的存在，域控制器不需的存在，域控制器不需要本地安全账户管理器（要本地安全账户管理器（SAMSAM）。）。n n在域中作为服务器的系统可以充当以下两种在域中作为服务器的系统可以充当以下两种角色中的任何一种：域控制器或成员服务器。角色中的任何一种：域控制器或成员服务器。第14页/共80页第十五页，共81页。1域控制器域控制器n n一个域可有一个或多个域控制器。一个域可有一个或多个域控制器。n n通常单个局域网（通常单个局域网（LANLAN）的用户）的用户(y

26、ngh)(yngh)可能只需要一个域就能够满足要求。由于一可能只需要一个域就能够满足要求。由于一个域比较简单，所以整个域也只要一个域控个域比较简单，所以整个域也只要一个域控制器。制器。n n为了获得高可用性和较强的容错能力，具有为了获得高可用性和较强的容错能力，具有多个网络位置的大型网络或组织可能在每个多个网络位置的大型网络或组织可能在每个部分都需要一个或多个域控制器。这样的设部分都需要一个或多个域控制器。这样的设计，使得大型组织的管理非常的烦琐，而计，使得大型组织的管理非常的烦琐，而ActiveDirectoryActiveDirectory支持域中所有域控制器支持域中所有域控制器之间目录数

27、据的多宿主复制，从而可以降低之间目录数据的多宿主复制，从而可以降低管理的复杂程度，提高管理效率。管理的复杂程度，提高管理效率。第15页/共80页第十六页，共81页。2成员成员(chngyun)服务器服务器n n一个成员服务器是一台运行一个成员服务器是一台运行WindowsServerWindowsServer20032003的域成员服务器，由于不是域控制器，的域成员服务器，由于不是域控制器，因此成员服务器不执行用户身份验证并且不因此成员服务器不执行用户身份验证并且不存储安全策略信息，这样可以让成员服务器存储安全策略信息，这样可以让成员服务器拥有拥有(yngyu)(yngyu)更高的处理能力来处

28、理网络更高的处理能力来处理网络中的其他服务。所以在网络中，通常使用成中的其他服务。所以在网络中，通常使用成员服务器作为专用的文件服务器、应用服务员服务器作为专用的文件服务器、应用服务器、数据库服务器或者器、数据库服务器或者WebWeb服务器，专门用服务器，专门用于为网络中的用户提供一种或几种服务。由于为网络中的用户提供一种或几种服务。由于将身份认证和服务分开，这样可以获得较于将身份认证和服务分开，这样可以获得较好的效率。好的效率。第16页/共80页第十七页，共81页。9.2.2 站点站点n n站点定义为由一个或多个站点定义为由一个或多个IPIP子网组成的一子网组成的一组连接良好的计算机集合。站

29、点与域不同组连接良好的计算机集合。站点与域不同(btn)(btn)，站点代表网络的物理结构，一，站点代表网络的物理结构，一般与地理位置相对应，而域代表组织的逻辑般与地理位置相对应，而域代表组织的逻辑结构。结构。n n这样的集合会提高工作效率，因为要确保站这样的集合会提高工作效率，因为要确保站点内目录信息的有效交换，站点中的计算机点内目录信息的有效交换，站点中的计算机需要很好地连接，尤其是不同需要很好地连接，尤其是不同(btn)(btn)子子网内的计算机，通过站点可以简化网内的计算机，通过站点可以简化ActiveActiveDirectoryDirectory内的站点之间的复制、身份验证内的站点

30、之间的复制、身份验证等活动。等活动。第17页/共80页第十八页，共81页。站点站点n n站点在概念上不同于站点在概念上不同于站点在概念上不同于站点在概念上不同于WindowsServer2003WindowsServer2003WindowsServer2003WindowsServer2003的域，因为一个站点可以跨越的域，因为一个站点可以跨越的域，因为一个站点可以跨越的域，因为一个站点可以跨越多个域，而一个域也可以跨越多个站点。站点并不属于域名称空间的一部多个域，而一个域也可以跨越多个站点。站点并不属于域名称空间的一部多个域，而一个域也可以跨越多个站点。站点并不属于域名称空间的一部多个域，

31、而一个域也可以跨越多个站点。站点并不属于域名称空间的一部分，站点控制域信息的复制，并可以帮助确定资源位置的远近。站点反映分，站点控制域信息的复制，并可以帮助确定资源位置的远近。站点反映分，站点控制域信息的复制，并可以帮助确定资源位置的远近。站点反映分，站点控制域信息的复制，并可以帮助确定资源位置的远近。站点反映(fnyng)(fnyng)(fnyng)(fnyng)网络的物理结构，而域通常反映网络的物理结构，而域通常反映网络的物理结构，而域通常反映网络的物理结构，而域通常反映(fnyng)(fnyng)(fnyng)(fnyng)组织的逻辑结构。逻组织的逻辑结构。逻组织的逻辑结构。逻组织的逻辑

32、结构。逻辑结构和物理结构相互独立，具有以下特点：辑结构和物理结构相互独立，具有以下特点：辑结构和物理结构相互独立，具有以下特点：辑结构和物理结构相互独立，具有以下特点：n n（1 1 1 1）网络的物理结构及其域结构之间没有必要的相关性。）网络的物理结构及其域结构之间没有必要的相关性。）网络的物理结构及其域结构之间没有必要的相关性。）网络的物理结构及其域结构之间没有必要的相关性。 n n（2 2 2 2）ActiveDirectoryActiveDirectoryActiveDirectoryActiveDirectory允许单个站点中有多个域，单个域中有多个站点。允许单个站点中有多个域，单个

33、域中有多个站点。允许单个站点中有多个域，单个域中有多个站点。允许单个站点中有多个域，单个域中有多个站点。 n n（3 3 3 3）站点和域名称空间之间没有必要的连接。）站点和域名称空间之间没有必要的连接。）站点和域名称空间之间没有必要的连接。）站点和域名称空间之间没有必要的连接。第18页/共80页第十九页，共81页。9.3 域信任域信任(xnrn)关系关系n n信任是域之间建立的关系，它可使一个域中信任是域之间建立的关系，它可使一个域中的用户由处在另一个域中的域控制器来进行的用户由处在另一个域中的域控制器来进行验证。验证。WindowsServer2003WindowsServer2003域之

34、间信任关域之间信任关系建立在系建立在KerberosKerberos安全协议上，安全协议上，KerberosKerberos信信任是可传递的、分层次和结构的。任是可传递的、分层次和结构的。WindowsWindowsServer2003Server2003树林中的所有树林中的所有(suyu)(suyu)信任都信任都是可传递的、双向信任的，因此，信任关系是可传递的、双向信任的，因此，信任关系中的两个域都是相互受信任的。如图所示，中的两个域都是相互受信任的。如图所示，如果域如果域A A信任域信任域B B并且域并且域B B信任域信任域C C，则域，则域C C中中的用户（授予适当权限时）可以访问域的用

35、户（授予适当权限时）可以访问域A A中中的资源。只有的资源。只有DomainAdminsDomainAdmins组的成员可以组的成员可以管理信任关系。管理信任关系。第19页/共80页第二十页，共81页。信任信任(xnrn)(xnrn)关系关系第20页/共80页第二十一页，共81页。1信任信任(xnrn)协议协议n n运行运行WindowsServer2003WindowsServer2003的域控制器使用的域控制器使用以下两种协议之一来验证用户以下两种协议之一来验证用户(yngh)(yngh)和应和应用程序：用程序：KerberosV5KerberosV5和和NTLMNTLM。Kerberos

36、V5KerberosV5协议是运行协议是运行WindowsWindows计算机的默认协议。如计算机的默认协议。如果事务中所涉及的任何计算机都不支持果事务中所涉及的任何计算机都不支持KerberosV5KerberosV5，则将使用，则将使用NTLMNTLM协议。协议。第21页/共80页第二十二页，共81页。2信任信任(xnrn)类型类型n n域和域之间的通信是通过信任发生的。信任是为了使一个域域和域之间的通信是通过信任发生的。信任是为了使一个域域和域之间的通信是通过信任发生的。信任是为了使一个域域和域之间的通信是通过信任发生的。信任是为了使一个域中的用户访问另一个域中的资源而必须存在的身份验证

37、管道。中的用户访问另一个域中的资源而必须存在的身份验证管道。中的用户访问另一个域中的资源而必须存在的身份验证管道。中的用户访问另一个域中的资源而必须存在的身份验证管道。使用使用使用使用“ActiveDirectory“ActiveDirectory“ActiveDirectory“ActiveDirectory安装安装安装安装(nzhung)(nzhung)(nzhung)(nzhung)向导向导向导向导”时，将会时，将会时，将会时，将会创建两个默认信任。默认情况下，当使用创建两个默认信任。默认情况下，当使用创建两个默认信任。默认情况下，当使用创建两个默认信任。默认情况下，当使用“Active

38、“Active“Active“ActiveDirectoryDirectoryDirectoryDirectory安装安装安装安装(nzhung)(nzhung)(nzhung)(nzhung)向导向导向导向导”在域树或林根域中添加新在域树或林根域中添加新在域树或林根域中添加新在域树或林根域中添加新域时，系统会自动创建双向的可传递信任。如表所示，定义域时，系统会自动创建双向的可传递信任。如表所示，定义域时，系统会自动创建双向的可传递信任。如表所示，定义域时，系统会自动创建双向的可传递信任。如表所示，定义了两种默认信任类型。了两种默认信任类型。了两种默认信任类型。了两种默认信任类型。信信信信 任

39、任任任 类类类类 型型型型传传传传 递递递递 性性性性方方方方向向向向说说说说明明明明父子父子父子父子可传递可传递可传递可传递双向双向双向双向默默默默认认认认情情情情况况况况下下下下，当当当当现现现现有有有有域域域域树树树树中中中中添添添添加加加加新新新新的的的的子子子子域域域域时时时时，将将将将建建建建立立立立一一一一个个个个新新新新的的的的父父父父子子子子信信信信任任任任。来来来来自自自自子子子子域域域域的的的的身身身身份份份份验验验验证证证证请请请请求求求求将通过其父向上传递到信任域中将通过其父向上传递到信任域中将通过其父向上传递到信任域中将通过其父向上传递到信任域中树根树根树根树根可传

40、递可传递可传递可传递双向双向双向双向默默默默认认认认情情情情况况况况下下下下，当当当当现现现现有有有有林林林林中中中中创创创创建建建建新新新新的的的的域域域域树树树树时时时时，将将将将建建建建立一个新的树根信任立一个新的树根信任立一个新的树根信任立一个新的树根信任第22页/共80页第二十三页，共81页。其他信任其他信任(xnrn)(xnrn)类型类型信信信信 任任任任 类类类类 型型型型传传传传 递递递递 性性性性方方方方向向向向说说说说明明明明外部外部外部外部不可传递不可传递不可传递不可传递单向或双单向或双单向或双单向或双向向向向使使使使用用用用外外外外部部部部信信信信任任任任可可可可访访访

41、访问问问问域域域域中中中中的的的的资资资资源源源源，或或或或单单单单独独独独（未未未未经经经经林林林林信任连接）的林内某个域中的资源信任连接）的林内某个域中的资源信任连接）的林内某个域中的资源信任连接）的林内某个域中的资源领域领域领域领域可传递或可传递或可传递或可传递或不可传递不可传递不可传递不可传递单向或双单向或双单向或双单向或双向向向向使使使使用用用用领领领领域域域域信信信信任任任任可可可可建建建建立立立立非非非非WindowsWindowsKerberosKerberos领领领领域域域域和和和和WindowsServer2003WindowsServer2003域之间的信任关系域之间的信

42、任关系域之间的信任关系域之间的信任关系林林林林可传递可传递可传递可传递单向或双单向或双单向或双单向或双向向向向使使使使用用用用林林林林信信信信任任任任可可可可在在在在各各各各个个个个林林林林之之之之间间间间共共共共享享享享资资资资源源源源。如如如如果果果果林林林林信信信信任任任任是是是是双双双双向向向向信信信信任任任任，则则则则任任任任一一一一个个个个林林林林中中中中的的的的身身身身份份份份验验验验证证证证请请请请求求求求都都都都可可可可以以以以到达另一个林到达另一个林到达另一个林到达另一个林快捷快捷快捷快捷可传递可传递可传递可传递单向或双单向或双单向或双单向或双向向向向使使使使用用用用快快快

43、快捷捷捷捷信信信信任任任任可可可可改改改改善善善善 WindowsWindowsServer2003Server2003林林林林内内内内的的的的两两两两个个个个域域域域之之之之间间间间的的的的用用用用户户户户登登登登录录录录时时时时间间间间。当当当当两两两两个个个个域域域域被被被被两两两两个个个个域域域域树树树树分隔开时，这是很有用的分隔开时，这是很有用的分隔开时，这是很有用的分隔开时，这是很有用的第23页/共80页第二十四页，共81页。委托委托(witu)(witu)n n委托是活动目录最重要的安全特性之一，委委托是活动目录最重要的安全特性之一，委托使得托使得(shde)(shde)较高级的

44、管理员对个人或组较高级的管理员对个人或组授予对容器和子树特定的管理权。这样就通授予对容器和子树特定的管理权。这样就通过取消大部分用户组的权利而消除了对过取消大部分用户组的权利而消除了对“域域管理员管理员”的需求。的需求。第24页/共80页第二十五页，共81页。继承继承(jchng)(jchng)n n继承是授予用户或组权限的对象自由访问控继承是授予用户或组权限的对象自由访问控制列表（制列表（DACLDACL）中的一个项目，也是对象）中的一个项目，也是对象的系统访问控制列表（的系统访问控制列表（SACLSACL）中的项目，）中的项目，该列表指定用户或组要审核的安全事件，访该列表指定用户或组要审核

45、的安全事件，访问控制项也被称为问控制项也被称为ACEACE。继承使得一个给定。继承使得一个给定的的ACEACE可以从它应用的容器传播到其所有子可以从它应用的容器传播到其所有子孙的容器。继承可以与委托相结合，从而保孙的容器。继承可以与委托相结合，从而保证对目录中整个子树的某一单一证对目录中整个子树的某一单一(dny)(dny)操操作的管理权。作的管理权。第25页/共80页第二十六页，共81页。复制复制(fzh)(fzh)n n活动目录提供多主版本复制。多主版本复制活动目录提供多主版本复制。多主版本复制意味着给定分区的所有拷贝都是可写的，这意味着给定分区的所有拷贝都是可写的，这就使得给定分区的任意

46、就使得给定分区的任意(rny)(rny)拷贝的更新拷贝的更新都可以完成。活动目录复制系统将一个给定都可以完成。活动目录复制系统将一个给定拷贝的改变传递给所有其他拷贝。复制是自拷贝的改变传递给所有其他拷贝。复制是自动且透明的。动且透明的。第26页/共80页第二十七页，共81页。可传递可传递(chund)(chund)的双向信任的双向信任n n当一个域加入一个当一个域加入一个WindowsServer2003WindowsServer2003域域树中时，在加入域与该树中父代之间的可传树中时，在加入域与该树中父代之间的可传递双向信任递双向信任(xnrn)(xnrn)关系就自动建立了。由关系就自动建立

47、了。由于信任于信任(xnrn)(xnrn)是可传递的和双向的，所以是可传递的和双向的，所以树成员之间的其他附加信任树成员之间的其他附加信任(xnrn)(xnrn)关系是关系是不需要的。不需要的。第27页/共80页第二十八页，共81页。9.4 Active Directory 的安装的安装(nzhung)n n活动目录的规划活动目录的规划活动目录的规划活动目录的规划n n一、规划一、规划一、规划一、规划DNS DNS DNS DNS n n 选择选择选择选择DNSDNSDNSDNS名称用于名称用于名称用于名称用于Active DirectoryActive DirectoryActive Dir

48、ectoryActive Directory域时，以单位保留在域时，以单位保留在域时，以单位保留在域时，以单位保留在InternetInternetInternetInternet上使用的已注册上使用的已注册上使用的已注册上使用的已注册DNSDNSDNSDNS域名后缀开始，并将该名称和单位域名后缀开始，并将该名称和单位域名后缀开始，并将该名称和单位域名后缀开始，并将该名称和单位中使用的地理名称或部门名称结合起来，组成中使用的地理名称或部门名称结合起来，组成中使用的地理名称或部门名称结合起来，组成中使用的地理名称或部门名称结合起来，组成Active Active Active Active Di

49、rectoryDirectoryDirectoryDirectory域的全名。域的全名。域的全名。域的全名。n n二、规划域结构二、规划域结构二、规划域结构二、规划域结构 n n 从单域开始，只有在单域模式不能满足要求时，才增加其他从单域开始，只有在单域模式不能满足要求时，才增加其他从单域开始，只有在单域模式不能满足要求时，才增加其他从单域开始，只有在单域模式不能满足要求时，才增加其他的域。一个域可跨越多个站点并且包含的域。一个域可跨越多个站点并且包含的域。一个域可跨越多个站点并且包含的域。一个域可跨越多个站点并且包含(bohn)(bohn)(bohn)(bohn)数百万个对象。数百万个对象。

50、数百万个对象。数百万个对象。 n n下列情形下才建议创建多个域：下列情形下才建议创建多个域：下列情形下才建议创建多个域：下列情形下才建议创建多个域：n n1 1 1 1部门之间不同的密码要求。部门之间不同的密码要求。部门之间不同的密码要求。部门之间不同的密码要求。n n2 2 2 2大量的对象。大量的对象。大量的对象。大量的对象。n n3 3 3 3不同的不同的不同的不同的InternetInternetInternetInternet域名。域名。域名。域名。n n4 4 4 4对复制进行更多的控制。对复制进行更多的控制。对复制进行更多的控制。对复制进行更多的控制。n n5 5 5 5分散的网

51、络管理。分散的网络管理。分散的网络管理。分散的网络管理。 第28页/共80页第二十九页，共81页。活动活动(hu dng)(hu dng)目录的规划目录的规划三、规划组织单位结构三、规划组织单位结构三、规划组织单位结构三、规划组织单位结构 组织单位可包含用户、组、计算机、打印机、共享文件夹以及其他组织单位。组织单位可包含用户、组、计算机、打印机、共享文件夹以及其他组织单位。组织单位可包含用户、组、计算机、打印机、共享文件夹以及其他组织单位。组织单位可包含用户、组、计算机、打印机、共享文件夹以及其他组织单位。 通常创建的组织单位应能反映部门的职能或商务结构。通常创建的组织单位应能反映部门的职能或

52、商务结构。通常创建的组织单位应能反映部门的职能或商务结构。通常创建的组织单位应能反映部门的职能或商务结构。 每个域都可以实现自己的组织单位层次结构。每个域都可以实现自己的组织单位层次结构。每个域都可以实现自己的组织单位层次结构。每个域都可以实现自己的组织单位层次结构。 四、规划委派模式四、规划委派模式四、规划委派模式四、规划委派模式 将部分将部分将部分将部分(b fen)(b fen)(b fen)(b fen)组织单位子树的权利派给其他用户或组。组织单位子树的权利派给其他用户或组。组织单位子树的权利派给其他用户或组。组织单位子树的权利派给其他用户或组。第29页/共80页第三十页，共81页。注

53、意：注意：1 1使使用用的的域域越越少少越越好好，因因为为在在WindowsWindows20032003中单个域的容量已被大大扩展了。中单个域的容量已被大大扩展了。2 2限限制制组组织织单单位位的的层层次次，以以提提高高(t(tgo)go)在在ActiveDirectoryActiveDirectory搜索对象的运行效率。搜索对象的运行效率。3 3限限制制组组织织单单位位中中的的对对象象个个数数，有有利利于于高高效效的查找特定资源。的查找特定资源。4 4可可以以将将管管理理权权限限分分配配到到组组织织单单位位级级，这这样样既既提提高高(t(tgo)go)了了管管理理效效率率，又又降降低低了了

54、管管理理员的负荷。员的负荷。第30页/共80页第三十一页，共81页。9.4.2 9.4.2 域控制器的安装域控制器的安装域控制器的安装域控制器的安装(nzhung)(nzhung)1 1从从从从Windows Server 2003Windows Server 2003的【管理您的服务器】安装的【管理您的服务器】安装的【管理您的服务器】安装的【管理您的服务器】安装（1 1）单击）单击）单击）单击“ “开始开始开始开始 | | 程序程序程序程序 | | 管理工具管理工具管理工具管理工具 | | 管理您的服务器管理您的服务器管理您的服务器管理您的服务器” ”。点击。点击。点击。点击“ “添加添加添

55、加添加或删除角色或删除角色或删除角色或删除角色” ”。（2 2）在服务器角色列表中选择）在服务器角色列表中选择）在服务器角色列表中选择）在服务器角色列表中选择“ “域控制器（域控制器（域控制器（域控制器（Active DirectoryActive Directory）” ”，并单击，并单击，并单击，并单击“ “下一步下一步下一步下一步(y b)”(y b)”按钮启动按钮启动按钮启动按钮启动Active DirectoryActive Directory安装向导，安装向导，安装向导，安装向导，如图所示。如图所示。如图所示。如图所示。第31页/共80页第三十二页，共81页。9.4.2 9.4.2

56、 域控制器的安装域控制器的安装域控制器的安装域控制器的安装(nzhung)(nzhung)2 2使用命令行手工安装使用命令行手工安装使用命令行手工安装使用命令行手工安装单击单击单击单击“ “开始开始开始开始(kish) | (kish) | 运行运行运行运行” ”按钮，输入按钮，输入按钮，输入按钮，输入“DCPROMO”“DCPROMO”，然后单击，然后单击，然后单击，然后单击“ “确确确确定定定定” ”按钮。按钮。按钮。按钮。第32页/共80页第三十三页，共81页。点击点击“下一步下一步(yb)”(yb)”按钮，弹出按钮，弹出“操作系操作系统兼容性统兼容性”向导页向导页第33页/共80页第三

57、十四页，共81页。第34页/共80页第三十五页，共81页。新域类型新域类型(lixng)(lixng)第35页/共80页第三十六页，共81页。第36页/共80页第三十七页，共81页。默认，系统会使用默认，系统会使用默认，系统会使用默认，系统会使用DNSDNSDNSDNS名称中最前面的部分作为名称中最前面的部分作为名称中最前面的部分作为名称中最前面的部分作为NetBIOSNetBIOSNetBIOSNetBIOS名，如果该名称已经在网络中使用，系统会名，如果该名称已经在网络中使用，系统会名，如果该名称已经在网络中使用，系统会名，如果该名称已经在网络中使用，系统会自动在该名称后加一个字符作为新域的

58、自动在该名称后加一个字符作为新域的自动在该名称后加一个字符作为新域的自动在该名称后加一个字符作为新域的NetBIOSNetBIOSNetBIOSNetBIOS名。名。名。名。也可根据自己的需要手工也可根据自己的需要手工也可根据自己的需要手工也可根据自己的需要手工(shugng)(shugng)(shugng)(shugng)指定另外一个名指定另外一个名指定另外一个名指定另外一个名称。称。称。称。第37页/共80页第三十八页，共81页。AD文件文件(wnjin)存储位置存储位置出于安全性的考虑，最好不要出于安全性的考虑，最好不要(byo)(byo)将活动目录数将活动目录数据库和日志放在同一个分区

59、，且要确保活动目录日志据库和日志放在同一个分区，且要确保活动目录日志所在的分区必须有足够的剩余空间所在的分区必须有足够的剩余空间第38页/共80页第三十九页，共81页。SYSVOL 存储域公共文件服务器副本的共享文件夹，它们存储域公共文件服务器副本的共享文件夹，它们(t men)在域中所有的域控制器之间复制。在域中所有的域控制器之间复制。 第39页/共80页第四十页，共81页。第40页/共80页第四十一页，共81页。第41页/共80页第四十二页，共81页。第42页/共80页第四十三页，共81页。第43页/共80页第四十四页，共81页。在安装过程在安装过程(guchng)(guchng)中需要中

60、需要提供提供WindowsServer2003WindowsServer2003的安的安装文件，此时可将安装系统的装文件，此时可将安装系统的镜像文件装入光驱，确定。继镜像文件装入光驱，确定。继续安装。续安装。第44页/共80页第四十五页，共81页。第45页/共80页第四十六页，共81页。3域控制器的删除域控制器的删除(shnch)第46页/共80页第四十七页，共81页。第47页/共80页第四十八页，共81页。第48页/共80页第四十九页，共81页。第49页/共80页第五十页，共81页。第50页/共80页第五十一页，共81页。第51页/共80页第五十二页，共81页。n n单击下一步按钮，开始活动

61、目录的删除过程单击下一步按钮，开始活动目录的删除过程(guchng)(guchng)，与安装过程，与安装过程(guchng)(guchng)的的“写写”操作相反，删除活动目录的过程操作相反，删除活动目录的过程(guchng)(guchng)是是“擦除擦除”。n n删除完成后会出现删除完成后会出现“已从这台计算机上删除已从这台计算机上删除ActiveDirectory”ActiveDirectory”。n n单击单击“完成完成”，重新启动计算机。，重新启动计算机。第52页/共80页第五十三页，共81页。9.4.3 将计算机加入将计算机加入(jir)到域到域1、哪些计算机能成为、哪些计算机能成为W

62、indows Server 2003域的成员？域的成员？ Windows Server 2003的域可以管理微软的域可以管理微软以前版本以前版本(bnbn)的操作系统主机。包括：的操作系统主机。包括：Windows NTWindows 2000Windows XPWindows Server 2003第53页/共80页第五十四页，共81页。2、把计算机加入、把计算机加入(jir)到域到域（1 1）在需要添加进域的计算机）在需要添加进域的计算机上，鼠标右键单击上，鼠标右键单击“我的电我的电脑脑”，然后单击，然后单击“属性属性”按按钮。钮。（2 2）单击）单击“计算机名计算机名”选项卡，选项卡，可

63、以打开如图所示的界面。可以打开如图所示的界面。（3 3）记录）记录(jl)(jl)下完整的计算下完整的计算机名称信息（备用）。机名称信息（备用）。第54页/共80页第五十五页，共81页。加入加入(jir)(jir)到域的步骤到域的步骤（4）单击）单击“更改更改”按钮启动按钮启动“计算机名称更改计算机名称更改”对话框，在对话框，在“隶属于隶属于”选项区域中选中选项区域中选中“域域”单选按钮，在空白处输入要加入域的单选按钮，在空白处输入要加入域的DNS名称。名称。这里可以输入刚建好的域名这里可以输入刚建好的域名(y mn)。然后单击。然后单击“确定确定”按钮按钮 在客户端加入到域之前，应首先设置客

64、户端的在客户端加入到域之前，应首先设置客户端的TCP/IP属性，保证属性，保证客户端的客户端的DNS指向和指向和DC的的DNS指向保持一致指向保持一致(客户端客户端DNS服务器地址与服务器地址与DC的的DNS一致一致)。（5）提示输入拥有加入该域权限的用户名称和密码。）提示输入拥有加入该域权限的用户名称和密码。 从从windows 2000起，域中的普通用户就可以把计算机加入到域，起，域中的普通用户就可以把计算机加入到域，但一个普通用户最多只能把但一个普通用户最多只能把10台计算机加入到域，而台计算机加入到域，而Administrator没没有限制。有限制。（6）单击）单击“确定确定”按钮，身

65、份验证成功后，会出现加入域的操作成功的按钮，身份验证成功后，会出现加入域的操作成功的对话框。单击确定，将提示重新启动计算机以便使用所做的改动。对话框。单击确定，将提示重新启动计算机以便使用所做的改动。第55页/共80页第五十六页，共81页。9.4.4 安装安装(nzhung)现有域的额外的域控制器现有域的额外的域控制器n n有两种方法有两种方法(fngf)(fngf)：n n1 1、利用网络安装、利用网络安装n n2 2、利用磁盘复制安装、利用磁盘复制安装第56页/共80页第五十七页，共81页。1 1、利用网络安装、利用网络安装、利用网络安装、利用网络安装(nzhung)(nzhung)现有域

66、的额外域控制器现有域的额外域控制器现有域的额外域控制器现有域的额外域控制器（1 1 1 1）在要作为额外）在要作为额外）在要作为额外）在要作为额外DCDCDCDC的计算机上，开始的计算机上，开始的计算机上，开始的计算机上，开始| | | |运行，运行，运行，运行，输入输入输入输入dcpromodcpromodcpromodcpromo命令，开始活动目录安装过程。在命令，开始活动目录安装过程。在命令，开始活动目录安装过程。在命令，开始活动目录安装过程。在“域控制器类型域控制器类型域控制器类型域控制器类型”向导向导向导向导(xingdo)(xingdo)(xingdo)(xingdo)页中选中页中

67、选中页中选中页中选中“现有域的额外域控制器现有域的额外域控制器现有域的额外域控制器现有域的额外域控制器”单选按钮。单选按钮。单选按钮。单选按钮。（2 2 2 2）单击）单击）单击）单击“下一步下一步下一步下一步”，在，在，在，在“网络凭据网络凭据网络凭据网络凭据”向导向导向导向导(xingdo)(xingdo)(xingdo)(xingdo)页中输入具页中输入具页中输入具页中输入具有安装活动目录权限的用户名称和密码。有安装活动目录权限的用户名称和密码。有安装活动目录权限的用户名称和密码。有安装活动目录权限的用户名称和密码。（3 3 3 3）单击）单击）单击）单击“下一步下一步下一步下一步”，在

68、，在，在，在“额外的域控制器额外的域控制器额外的域控制器额外的域控制器”向导向导向导向导(xingdo)(xingdo)(xingdo)(xingdo)页中页中页中页中输入现有域的输入现有域的输入现有域的输入现有域的DNSDNSDNSDNS全名。全名。全名。全名。（4 4 4 4）连续单击）连续单击）连续单击）连续单击“下一步下一步下一步下一步”，选择活动目录数据库和日志的安装位置、，选择活动目录数据库和日志的安装位置、，选择活动目录数据库和日志的安装位置、，选择活动目录数据库和日志的安装位置、SYSVOLSYSVOLSYSVOLSYSVOL文件夹的位置、活动目录还原模式的密码等信息，最后出文

69、件夹的位置、活动目录还原模式的密码等信息，最后出文件夹的位置、活动目录还原模式的密码等信息，最后出文件夹的位置、活动目录还原模式的密码等信息，最后出现摘要信息。现摘要信息。现摘要信息。现摘要信息。（5 5 5 5）单击下一步，开始安装过程。会从当前的域控制器复制域的信）单击下一步，开始安装过程。会从当前的域控制器复制域的信）单击下一步，开始安装过程。会从当前的域控制器复制域的信）单击下一步，开始安装过程。会从当前的域控制器复制域的信息。息。息。息。（6 6 6 6）安装完成后重新启动计算机。）安装完成后重新启动计算机。）安装完成后重新启动计算机。）安装完成后重新启动计算机。第57页/共80页第

70、五十八页，共81页。2 2、利用磁盘、利用磁盘、利用磁盘、利用磁盘(c pn)(c pn)复制安装现有域的额外的域控制器复制安装现有域的额外的域控制器复制安装现有域的额外的域控制器复制安装现有域的额外的域控制器n n（1）利用系统(xtng)备份工具，对“系统(xtng)状态”做备份。第58页/共80页第五十九页，共81页。n n（2 2 2 2）将备份好的系统状态文件复制到要作为额外）将备份好的系统状态文件复制到要作为额外）将备份好的系统状态文件复制到要作为额外）将备份好的系统状态文件复制到要作为额外DCDCDCDC的计算机上。的计算机上。的计算机上。的计算机上。n n（3 3 3 3）在该

71、计算机上打开）在该计算机上打开）在该计算机上打开）在该计算机上打开“备份工具备份工具备份工具备份工具 【还原和管理媒体】【还原和管理媒体】【还原和管理媒体】【还原和管理媒体】”对话框，还原对话框，还原对话框，还原对话框，还原“系统状态文件系统状态文件系统状态文件系统状态文件”。此时，选择将文件还原到。此时，选择将文件还原到。此时，选择将文件还原到。此时，选择将文件还原到“单个文件夹单个文件夹单个文件夹单个文件夹”，并在备用位置，并在备用位置，并在备用位置，并在备用位置处选择一个物理位置。如处选择一个物理位置。如处选择一个物理位置。如处选择一个物理位置。如C:ntdsrestoreC:ntdsr

72、estoreC:ntdsrestoreC:ntdsrestore。n n（4 4 4 4）还原后，在【运行】中输入）还原后，在【运行】中输入）还原后，在【运行】中输入）还原后，在【运行】中输入“dcpromo/adv”“dcpromo/adv”“dcpromo/adv”“dcpromo/adv”命令，单击确定，开始安命令，单击确定，开始安命令，单击确定，开始安命令，单击确定，开始安装活动目录，在装活动目录，在装活动目录，在装活动目录，在“域控制器类型域控制器类型域控制器类型域控制器类型”中选中中选中中选中中选中“现有域的额外域控制器现有域的额外域控制器现有域的额外域控制器现有域的额外域控制器”

73、单选按单选按单选按单选按钮。钮。钮。钮。n n（5 5 5 5）单击下一步，在）单击下一步，在）单击下一步，在）单击下一步，在“复制域信息复制域信息复制域信息复制域信息”处选中处选中处选中处选中“从这些恢复的备份文件从这些恢复的备份文件从这些恢复的备份文件从这些恢复的备份文件”单选单选单选单选框，单击框，单击框，单击框，单击“浏览浏览浏览浏览”按钮指定按钮指定按钮指定按钮指定(zhdng)(zhdng)(zhdng)(zhdng)刚刚设定的还原文件的物理位置（刚刚设定的还原文件的物理位置（刚刚设定的还原文件的物理位置（刚刚设定的还原文件的物理位置（ 如上如上如上如上C:ntdsrestoreC

74、:ntdsrestoreC:ntdsrestoreC:ntdsrestore）。）。）。）。第59页/共80页第六十页，共81页。第60页/共80页第六十一页，共81页。n n（6 6）单击）单击“下一步下一步”，出现，出现“全局编录全局编录”向导页，在此选择是否将这台向导页，在此选择是否将这台DCDC设置为全局设置为全局编录服务器。编录服务器。n n为了平衡登录验证和查询的流量，建议在每为了平衡登录验证和查询的流量，建议在每个地点设置一个全局编录服务器。个地点设置一个全局编录服务器。n n（7 7）单击下一步，在）单击下一步，在“网络凭据网络凭据”向导页向导页中输入具有中输入具有(jyu)(

75、jyu)安装活动目录权限的用安装活动目录权限的用户名称和密码，然后依次选择活动目录数据户名称和密码，然后依次选择活动目录数据库和日志的安装位置、库和日志的安装位置、SYSVOLSYSVOL文件夹的位置文件夹的位置、活动目录还原模式的密码等信息，开始安、活动目录还原模式的密码等信息，开始安装活动目录。安装完成后这台计算机就成为装活动目录。安装完成后这台计算机就成为域中的额外的域控制器了。域中的额外的域控制器了。第61页/共80页第六十二页，共81页。一、创建域用户账户创建域用户账户，必须(bx)在WindowsServer2003域控制器上使用“ActiveDirectory用户和计算机”为创建

76、用户账户，普通的客户机不能创建域用户账户。9.5 9.5 域账户域账户域账户域账户(zhn h)(zhn h)管理管理管理管理第62页/共80页第六十三页，共81页。二、管理域用户账户二、管理域用户账户 当客户机以指定的用户账户登录当客户机以指定的用户账户登录(dn l)(dn l)域后，在域后，在共享网络资源的同时，还接受共享网络资源的同时，还接受Windows Server 2003Windows Server 2003服务服务器的统一管理。器的统一管理。 1 1设置用户账户属性设置用户账户属性 第63页/共80页第六十四页，共81页。第64页/共80页第六十五页，共81页。第65页/共8

77、0页第六十六页，共81页。2重设用户账户密码 3查找用户账户 4禁用/启用(qyng)账户 5删除用户账户 第66页/共80页第六十七页，共81页。练习：1.创建域用户账户2.对域用户账户进行(jnxng)设置第67页/共80页第六十八页，共81页。域中组用户域中组用户(yngh)(yngh)账户管理账户管理 教学目标教学目标(mbio)(mbio)1.1.了解域中组账户的有关概念了解域中组账户的有关概念2.2.掌握在域中创建组的方法掌握在域中创建组的方法3.3.掌握在组中添加用户的方法掌握在组中添加用户的方法 4.4.能将用户权限指派到域中的组能将用户权限指派到域中的组教学重点1.在域中创建

78、(chungjin)组2.在组中添加用户教学难点将用户权限指派到域中的组第68页/共80页第六十九页，共81页。一、域中组账户简介在WindowsServer2003域中，可以将组分为通讯组和安全组两种类型。1通讯组使用通讯组可以创建电子邮件通讯组列表，只有在电子邮件应用程序（如Exchange）中，才能使用通讯组将电子邮件发送给一组用户。2安全组安全组提供了一种有效的方式来指派(zhpi)对网络上资源的访问权。使用安全组可以将用户权限分配到ActiveDirectory中的安全组。组的作用域分为通用作用域、全局作用域和本地域作用域三类不同的类型。第69页/共80页第七十页，共81页。二、创建

79、二、创建(chungjin)(chungjin)域中的组域中的组 第70页/共80页第七十一页，共81页。三、在组中添加用户三、在组中添加用户 新建组后，可以新建组后，可以(ky)(ky)将该组所属的用户账户添加将该组所属的用户账户添加到该组账户中，分组进行管理。在组中添加用户即在组到该组账户中，分组进行管理。在组中添加用户即在组中添加组成员，组成员包括用户和域中的计算机。中添加组成员，组成员包括用户和域中的计算机。 第71页/共80页第七十二页，共81页。四、将用户四、将用户(yngh)(yngh)权限指派到域中的组权限指派到域中的组 单单击击“开开始始”“”“管管理理工工具具”“”“域域控

80、控制制器器安安全全策策略略”，打打开开“域域控控制制器器安安全全策策略略”对对话话框框，在在控控制制台台树树中中，依依 次次 单单 击击 “安安 全全 设设 置置 ”“”“本本 地地 策策 略略 ”“”“用用 户户(yngh)(yngh)权限分配权限分配”，如图所示。，如图所示。第72页/共80页第七十三页，共81页。练习(linx)：1.在域中创建组2.在组中添加用户3.将用户权限指派到组小结(xioji)：作业：第73页/共80页第七十四页，共81页。使用使用(shyng)(shyng)组策略组策略 教学目标教学目标1.1.了解了解(lioji)(lioji)组策略的基本概念组策略的基本概

81、念2.2.能使用组策略管理用户组能使用组策略管理用户组3.3.能在客户机上验证组策略应用能在客户机上验证组策略应用 4.4.能将客户机加入到域中能将客户机加入到域中 教学重点1.使用组策略管理(gunl)用户组2.将客户机加入到域中教学难点使用组策略管理(gunl)用户组第74页/共80页第七十五页，共81页。一、使用(shyng)组策略组策略设置定义了网络管理员需要管理的用户操作环境的多种组件，主要包括用户可用的程序、用户桌面上出现的程序及“开始”菜单选项等。使用(shyng)组策略可以为不同的用户组设置不同的权限。1.组策略简介所谓策略（Policy），是Windows中的一种自动配置桌面

82、设置的机制。所谓组策略（GroupPolicy），顾名思义，就是基于组的策略。它以Windows中的一个MMC管理单元(微软管理控制台)的形式存在，可以帮助系统管理员针对整个计算机或是特定用户来设置多种配置，包括桌面配置和安全配置。第75页/共80页第七十六页，共81页。2.使用(shyng)组策略管理用户组第76页/共80页第七十七页，共81页。第77页/共80页第七十八页，共81页。习题习题(xt)9(xt)99.19.1什么是什么是WindowsWindows的活动目录？它有什么特点？的活动目录？它有什么特点？9.29.2什么是域控制器？什么是成员服务器？他们二者之间有什么区别？什么是域

83、控制器？什么是成员服务器？他们二者之间有什么区别？9.39.3简要描述创建域用户账户的步骤。简要描述创建域用户账户的步骤。9.49.4什么是组？什么是组？WindowsServer2003WindowsServer2003有哪几种类型的组？有哪几种类型的组？9.59.5如何将一台计算机加入到如何将一台计算机加入到WindowsServer2003WindowsServer2003的域中？请描述出主要步骤。的域中？请描述出主要步骤。9.6WindowsServer20039.6WindowsServer2003有哪些有哪些(nxi)(nxi)主要的内置账户和内置组？最主要的内置账户是主要的内置账

84、户和内置组？最主要的内置账户是什么？提供给临时或来宾客户使用的账户又是哪个？什么？提供给临时或来宾客户使用的账户又是哪个？第78页/共80页第七十九页，共81页。实训实训实训实训9999安装安装安装安装(nzhung)(nzhung)(nzhung)(nzhung)和管理和管理和管理和管理WindowsServer2003WindowsServer2003WindowsServer2003WindowsServer2003的活的活的活的活动目录动目录动目录动目录9.1在WindowsServer2003中安装活动目录（域名为）。9.2让WindowsXP客户机加入(jir)到活动目录。9.3创

85、建用户和用户组（创建Student和Studentman两个组，然后再创建Student1和Student2两个域用户账户，并将这两个用户加入(jir)到Student组中。在Studnetman组中也分别创建Stuman1和Stuman2两个账户）。9.4分别给Student和Studentman组赋予权限，测试Student1和Stuman2是否具有相应的权限。第79页/共80页第八十页，共81页。内容(nirng)总结会计学。逻辑结构和物理结构相互独立(dl)，具有以下特点：。使用林信任可在各个林之间共享资源。当两个域被两个域树分隔开时，这是很有用的。继承可以与委托相结合，从而保证对目录中整个子树的某一单一操作的管理权。活动目录复制系统将一个给定拷贝的改变传递给所有其他拷贝。删除完成后会出现“已从这台计算机上删除Active Directory”。（1）利用系统备份工具，对“系统状态”做备份第八十一页，共81页。