Ch4 实现Windows Server 2003域

1/SlidenumbersVersion1.0实现WindowsServer2003域第四章2/36内容回顾工作组的特性本地用户管理创建设置更改密码删除本地组管理创建本地组内置组3/36本章目标理解WindowsServer2003环境下域的特性和组成掌握单域环境的创建掌握OU（组织单位）的基本应用熟悉域环境下用户账户和组的应用4/36域域控制器域是基本管理单位域中可包含大量对象计算机用户打印机共享文件夹域是活动目录的组成部分OU1DomainComputersUsersOU2UsersPrintersComputer1User1Printer1User2WindowsServer2003域概述OU2OU1User1Computer1Printer1User25/36域域域DomainDomainDomainOUOUOU域树域森林OU-组织单位对象域及目录服务概述活动目录是一个数据库活动目录是一个目录服务可以定制活动目录简化的管理可扩展性便捷的网络资源访问6/36域、域树、域森林根域下面可以建立多层子域域和子域构建成域树多棵域树构建成森林域之间自动建立双向信任关系Abc.comTianjin.abc.comBeijing.abc.com树双向信任关系Xyz.com双向信任关系Tianjin.xyz.comBeijing.xyz.com树7/36OU-组织单位OU是活动目录中的一种对象OU中可以建立子对象利用OU可以模拟管理模型OUOUOU对象8/36域控制器域控制器是存储活动目录数据库的计算机一个域最少一台域控制器多台域控制器需要同步数据库域控制器域控制器域复制9/36站点每个地理位置中的若干台域控制器可以划分为一个站点站点内部优先同步活动目录数据库，同步后再和其他站点中的域控制器同步站点1域控制器远程线路站点210/36活动目录安装与卸载安装者必须具有本地管理权限操作系统必须满足条件（WindowsServer2003Web版除外都满足）本地磁盘至少有一个分区是NTFS文件系统系统盘应该有最少300MB的剩余空间。安装TCP/IP协议和相应的DNS服务器支持。11/36活动目录安装与卸载(Cont.)启动安装向导使用管理您的服务器向导使用命令DCPROMO12/36活动目录安装与卸载(Cont.)13/36OU的创建功能型SCMS–SalesC–ConsultantsM-Marketing混合型例子功能组织位置功能组织位置组织型MERM–ManufacturingE–EngineeringR-Research位置型NFIN–NorwayF–FranceI–Indonesia可以根据各种因素创建OU14/36域模式Windows2000混合模式域控制器(Windows2000/Server2003)域控制器(WindowsNT4.0)WindowsServer2003模式域控制器全部都是(WindowsServer2003)Windows2000本机模式域控制器(Windows2000)域控制器(WindowsServer2003)域模式是用来为了兼容老版本操作系统的域控制器，而限制某些新的功能。15/36域用户账户本地用户帐号(存储在本地计算机)域用户帐号(存储在活动目录中)WindowsServer2003域16/36域用户账户的创建输入用户的基本信息和登录名称用户密码17/36基于位置的设计UsersNorthAmericaUsersSouthAmerica基于业务的设计UsersAccountingUsersSales域用户账户的创建(Cont.)用户的存放地点18/36帐号选项说明Usermustchangepasswordatnextlogon用户在下次登录时必须修改密码Usercannotchangepassword用户无权修改自己的密码Passwordneverexpires用户密码永不过期Accountisdisabled用户不能使用此帐号登录域用户账户的创建(Cont.)19/36域用户账户的删除和移动组织单元1组织单元2域删除用户移动用户直接鼠标拖动20/36配置域用户账户的属性登录名登录时间可以登录的计算机配置文件/主文件夹21/36组的实现与管理组也可以加入组一个用户可以加入多个组GroupGroup一个用户账户加入组，就会继承该组所有的权限GroupGroupGroupGroupGroupGroup22/36组的分类组的类型说明安全组用于设置用户权限和权利，也可用于邮件分布列表通讯组只用于邮件分布列表23/36组的作用域与成员资格支持的域控制器WindowsNT®Server4.0,Windows2000,WindowsServer2003Windows2000,WindowsServer2003WindowsServer2003支持的组的范围全局,域本地全局,域本地,通用全局,域本地,通用Windows2000mixed(default)Windows2000nativeWindowsServer200324/36域本地组成员Mixedmode:任何域中的用户帐号和全局组Nativemode:任何域中的用户帐号、全局组和通用组，以及同一个域中的域本地组可成为成员Mixedmode:无Nativemode:同一个域的域本地组范围域本地组所属的域权限域本地组所属的域25/36全局组成员Mixedmode:同一个域的用户帐号Nativemode:同一个域的用户帐号和全局组可成为成员Mixedmode:任何域的域本地组Nativemode:任何域的域本地组和通用组，以及同一个域的全局组范围本域和所有被信任的域权限森林中所有的域26/36通用组成员Mixedmode:不可用Nativemode:森林中任何域中的用户帐号、全局组、和其他通用组可成为成员Mixedmode:不可用Nativemode:任何域中的域本地组和通用组范围森林中的所有域权限森林中的所有域27/36管理域中的组创建组设置组信息添加组成员设置组管理者28/36组的成员和隶属于属性团队或组全局组域本地组成员隶属于N/ADenverAdminsTom,Jo,andKim成员MemberOfN/AVancouverAdminsSam,Scott,andAmy成员隶属于Tom,Jo,KimDenverOUAdminsDenverAdmins成员隶属于Tom,Jo,KimDenverOUAdminsDenverAdmins成员隶属于Sam,Scott,AmyVancouverOUAdminsVancouverAdminsDenverOUAdmins成员隶属于DenverAdmins,VancouverAdminsN/A29/36本章总结在WindowsServer2003网络环境中，域是最重要的核心管理单元，是活动目录的主干。活动目录由域、子域、域树、域森林、组织单位构成。每个域最少由一台域控制器组成，可以建立若干个而外的域控制器用力实现容错和提高性能。30/36本章总结（Cont.）安装活动目录需要使用Windows2000Server和WindowsServer2003（web版除外），并需要管理员权限、DNS服务、NTFS文件系统。可以将各种客户端操作系统和服务器操作系统加入到域，如Windows2000/XP/NT/WindowsServer2003，Windows98只能登录到域，不能算真正意义上的加入域。31/36本章总结（Cont.）域的模式分别是Windows2000混合模式、Windows2000纯模式和WindowsServer2003模式。不同的域模式，会影响到域中新功能的使用。利用OU组织单位可以根据公司结构、地理位置、部门等建立相对应的逻辑关系。域用户账户的登录名在域中是惟一的，而显示名在当前容器中必须是惟一的。32/36本章总结（Cont.）每一个域用户账户在有权限的条件下可以在域中的任何一台计算机上登录，并可以访问任何资源。通过用户账户的属性，可以使设置用户账户的登录时间、允许登录的计算机、账户的过期时间等等。WindowsServer2003域中分为两大类组，安全组和通信组，其中通信组不能被授予权限。33/36本章总结（Cont.）安全组中又分为三种组：域本地组、域全局组和通用组。OU是比域更小一级别的逻辑管理单位，可以在OU中建立各种对象，并可以将OU的管理权限委派给用户或组。34/36实验目标建立一个单独的域更改域的模式根据需要建立相应的OU创建和管理域用户账户创建和管理组35/36目标图示Aptech.com域控制器1域控制器2客户机客户机客户机客户机36/36实验完成的标准域建立完成，并可以将客户端加入到域域的模式处于WindowsServer2003模式建立若干个组织单位建立若干个用户和组，并将用户加入到组