您好,欢迎访问三七文档
当前位置:首页 > 行业资料 > 冶金工业 > 第九讲使用和管理WINDOWS2000活动目录-第
第7章使用和管理WINDOWS2000活动目录本章学习目标7.1活动目录7.2组织单位的管理7.3用户账户的管理7.4组的建立7.5思考题本章学习目标本章主要介绍活动目录(ActiveDirectory)以及各种对象的创建和管理。通过本章的学习,读者应掌握以下内容:lActiveDirectory的概念与特点lActiveDirectory的创建lActiveDirectory用户和计算机控制台的使用l组织单位、用户账户和组的创建与管理7.1活动目录7.1.1活动目录简介7.1.2活动目录的优点7.1.3安装ActiveDirectory7.1.4ActiveDirectory用户和计算机控制台的使用7.1.1活动目录简介活动目录是一种目录服务,它存储有关网络对象的信息(例如,用户、组和计算机账户、打印机等共享资源),使管理员与用户可以方便地查找和使用网络信息。活动目录的应用起源于WindowsNT4.0Server,在Windows2000Server中得到进一步的应用和发展,具有可扩展性和可调整性,并将结构化数据存储作为目录信息逻辑和分层组织的基础。7.1.1活动目录简介域是Windows2000目录服务的基本管理单位,但增加了许多新的功能。域模式的最大优点是它的单一网络登录功能,任何用户只要在域内有一个账户,就可以漫游网络。域目录树中的每一个节点都有自己的安全边界,这种层次结构既保证了安全性,又可精确设置。7.1.1活动目录简介同时活动目录服务将域又细分成组织单位,组织单位是一个逻辑单位,它是域中一些用户和组账户、文件与打印机等资源对象的集合。组织单位中还可以再划分下级组织单位,并且下级组织单位能够继承父单元的访问许可权。每一个组织单位可以有自己的管理员并指定其管理权限,从而实现了对资源和用户的分级管理。7.1.1活动目录简介域中的所有域控制器之间都是平等关系,不再区分主域控制器和备份域控制器,这是因为Win2000采用了动态活动目录服务,在进行目录复制时不是沿用一般目录服务的主从方式,而是采用多主复制方式。通过这种方式,任何一个域控制器上的活动目录库的变更都会被自动复制到其他域控制器上。7.1.1活动目录简介Windows2000活动目录服务的另一大特点是与Internet融合,它把DNS作为其定位服务。为了克服DNS管理困难的缺点,Windows2000将DNS与其特有的DHCP和WINS紧密配合起来,从而使DNS更加易于管理。另外,Windows2000广泛地支持标准的命名规则,例如,命名规则、Internet电子邮件使用的RFC822命名规则等。7.1.2活动目录的优点1.基于策略的管理2.扩展性3.可调整性4.信息复制5.与DNS的集成6.灵活的查询7.信息安全性1.基于策略的管理活动目录服务包括数据存储和逻辑分层结构。作为逻辑结构,它为策略应用程序提供分层的环境。作为目录,它存储着分配给特定环境的策略(称为组策略对象)。组策略对象表示一套规则,包括应用环境的有关设置,目录对象和域资源的访问确定,用户可使用什么域资源以及这些域资源的配置使用等。2.扩展性活动目录可进行扩展,即管理员可将新的对象类添加到规划中,而且可将新的属性添加到已有的对象类中。可以通过以下两种方法将对象和属性添加至活动目录中:使用活动目录架构、通过活动目录服务接口(ADSI)或者LDIFDE、CSVDE命令行应用程序创建脚本。3.可调整性活动目录可包括一个或多个域,每个域都有一个或多个域控制器,这使管理员可调整目录以满足任何网络的要求。多个域可组合成域目录树或目录森林。将目录配置成域目录树或森林,使得管理员可以针对不同上下文策略对目录的名称空间进行分区,并调整目录使其能容纳大量的资源和对象。4.信息复制活动目录使用多主复制。对目录数据所做的更改将复制到所有的域控制器中,每个域控制器的目录数据都保持同步。信息复制提供了有效性、容错和加载平衡等优点。在一个域中使用多个域控制器可提供容错和加载平衡。如果域中的某个域控制器减慢、停止或失败,同一域中的其他域控制器可提供必要的目录访问,因为它们包含着相同的目录数据。在广域网中,目录访问可由与每个网络客户机最近的域控制器执行。5.与DNS的集成活动目录使用DNS很容易将主机名称(如lkb.edu.cn)转换为IP地址。这样就可以在TCP/IP网络上直接使用计算机主机名称进行网络连接。DNS域和计算机使用分层结构的友好名称。例如,名称lkb.edu.cn既是DNS名称也是Windows2000域名。域中的每台计算机依靠其完整的域名进行识别。6.灵活的查询用户和管理员可根据对象属性(例如,姓、名、E-mail地址、办公室位置或用户账户的其他属性),快速查找网络上的对象。也可通过活动目录生成的全局目录查找对象。7.信息安全性安全性与活动目录完全集成在一起,活动目录还提供安全策略和应用范围的设置。安全策略可包含账户信息,可以通过组策略设置、执行安全策略。管理员可将某些管理权限分派给其他账户或组,这种权限分派允许指定谁具有管理部分网络的权限。可以将某部分的管理分派给下级管理员,而不必拥有对整个网络具有广泛权限的管理员。Windows2000Server支持多种网络安全协议,这些协议提供更强大、更有效的安全性。7.1.3安装ActiveDirectory如果要将Windows2000的网络设置为域结构,则网络上必须有域控制器。域控制器通过ActiveDirectory来提供目录服务,例如负责维护ActiveDirectory数据库、审核用户的账户与密码等。在安装Win2000Server时,系统并没有安装ActiveDirectory,若网络中没有域控制器,则可将该独立服务器或成员服务器配置为新域的域控制器;若网络中有其他域控制器,可将其配置为额外域控制器。7.1.3安装ActiveDirectory在域中创建第一个域控制器,其具体操作步骤如下:(1)当独立服务器或成员服务器重新启动时,以系统管理员的身份登录,通过“开始”→“程序”→“管理工具”→“配置服务器”的途径,打开如图7-1所示的“Windows2000配置服务器”对话框,然后单击左边的“ActiveDirectory”,选择下方的“启动ActiveDirectory向导”。7.1.3安装ActiveDirectory图7-1启动ActiveDirectory安装向导7.1.3安装ActiveDirectory(2)在出现“ActiveDirectory安装向导”对话框时,单击“下一步”按钮。(3)出现如图7-2所示的“域控制器类型”窗口,选择“新域的域控制器”单选框,使服务器成为新域中的第一个域控制器。然后单击“下一步”按钮。(4)如图7-3、7-4所示,依次选择“创建一个新的域目录树”→“下一步”→“创建新的域目录林”→“下一步”。7.1.3安装ActiveDirectory7.1.3安装ActiveDirectory(5)打开如图7-5所示的“新的域名”对话框,在“新域的DNS全名”文本框中,输入在Internet命名机构注册的新域的DNS全名,例如lkb.edu.cn。单击“下一步”按钮。在如图7-6所示的“NetBIOS域名”对话框的“域NetBIOS名”文本框中,输入NetBIOS域名,然后再单击“下一步”按钮。7.1.3安装ActiveDirectory7.1.3安装ActiveDirectory(6)打开如图7-7所示的“数据库和日志文件位置”对话框,在“数据库位置”文本框中设置保存数据库的位置;在“日志位置”文本框中设置保存日志的位置。然后,单击“下一步”按钮。7.1.3安装ActiveDirectory(7)打开如图7-8所示的“共享的系统卷”对话框,在“文件夹位置”框中设置Sysvol文件夹的位置。单击“下一步”按钮。在Windows2000中,Sysvol文件夹存放域的公用文件的服务器副本,它的内容将被复制到域中的所有域控制器上。7.1.3安装ActiveDirectory7.1.3安装ActiveDirectory(8)系统将自动检测是否安装了DNS服务器,若没有配置,则提示用户配置DNS服务器。单击“确定”按钮,如图7-9所示,打开“配置DNS”对话框。有两个选项:l“是,在这台计算机上安装和配置DNS”:可以为新域安装和配置DNS服务器;l“否,我将自己安装并配置”:在安装ActiveDirectory之后再安装和配置DNS。在这里,选择“是,在这台计算机上安装和配置DNS”单选框,然后单击“下一步”按钮。7.1.3安装ActiveDirectory(9)在如图7-10所示的对话框中,选择“与Windows2000服务器之前的版本相兼容的权限”或“只与Windows2000服务器相兼容的权限”单选框。然后单击“下一步”按钮。(10)在如图7-11所示的“目录服务恢复模式的管理员密码”对话框中,输入用于修复目录服务的密码。单击“下一步”按钮。7.1.3安装ActiveDirectory7.1.3安装ActiveDirectory(11)打开如图7-12所示“摘要”对话框,用户可检查设置的选项。然后单击“下一步”按钮。(12)系统开始配置ActiveDirectory,同时打开“正在配置ActiveDirectory”对话框,提示配置过程,如图7-13所示。(13)ActiveDirectory配置完成后,单击“完成”按钮。重新启动计算机,ActiveDirectory生效。7.1.3安装ActiveDirectory下一页7.1.4ActiveDirectory用户和计算机控制台的使用ActiveDirectory用户和计算机控制台,用于增加、修改、删除、管理用户和计算机账户、组和组织单位等对象,并可在目录上发布和管理资源。可以依次选择“开始”→“程序”→“管理工具”→“ActiveDirectory用户和计算机”命令,打开如图7-14所示的“ActiveDirectory用户和计算机”控制台窗口。7.1.4ActiveDirectory用户和计算机控制台的使用1.改变用户和计算机显示方式2.预定义的组3.加入到域中的计算机1.改变用户和计算机显示方式使用控制台的“查看”菜单可以控制显示方式,显示或关闭控制台树、说明条、状态栏;或者选择显示列信息,以大图标、小图标、列表、详细信息等方式显示内容;使用如图7-15所示的筛选器选项,用户可自定义筛选显示内容。1.改变用户和计算机显示方式2.预定义的组在“ActiveDirectory用户和计算机”控制台窗口,分别打开Builtin、Users文件夹,可以查看系统预定义的组。这些组都是安全组,有不同的权限,Builtin文件夹中的为预定义的本地组;Users文件夹中的为预定义的全局组。用户可以根据实际应用环境,规划网络的域结构,利用预定义的组,修改创建自己的组。2.预定义的组2.预定义的组3.加入到域中的计算机在“ActiveDirectory用户和计算机”控制台窗口,打开Computers文件夹,可以查看加入到域中的计算机列表。只能从加入到域中的计算机上登录域。7.2组织单位的管理7.2.1添加组织单位7.2.2删除组织单位7.2.3设置组织单位的属性7.2.1添加组织单位在域中合理地添加和设置组织单位,不仅方便了管理员对域中用户和组的管理,而且还有利于网络的扩展。要添加组织单位,打开“ActiveDirectory用户和计算机”窗口。在控制台目录树中双击以展开节点,右击域节点或者可添加组织单位的文件夹节点,并从弹出的快捷菜单中选择“新建”→“组织单位”命令,打开“新建对象-组织单位”对话框。7.2.1添加组织单位如图7-18所示。在“名称”框中输入新建组织单位的名称,然后单击“确定”按钮即可。7.2.2
本文标题:第九讲使用和管理WINDOWS2000活动目录-第
链接地址:https://www.777doc.com/doc-332422 .html