第6章 活动目录的配置和管理.ppt

第6章活动目录的设置与管理 虽然活动目录具有强大的功能 但在安装Windows2000时 系统并没有安装活动目录 用户要将自己的服务器配置成域控制器 发挥活动目录的作用 必须安装活动目录 系统提供的活动目录安装向导 可帮助用户配置自己的服务器 如果网络没有其他域控制器 可将服务器配置为域控制器 并新建子域 新建域目录树或目录林 如果网络中有其他域控制器 可将服务器设置为附加域控制器 加入旧域 旧目录树或目录林 要安装活动目录 可参照下面的步骤 1 启动Windows2000Server系统自动打开 Windows2000配置服务器 窗口 2 在左边的列表中单击ActiveDirectory 活动目录 超级链接 并拖动右边的滚动条到底部 使对话框 3 单击 开始 超级链接 打开 ActiveDirectory安装向导 对话框 4 单击 下一步 按钮 打开如图所示的 域控制器类型 对话框 选择 新域的域控制器 单选按钮 使服务器成为新域中的第一个域控制器 如果网上已有域控制器 可选择 现有域的额外域控制器 单选按钮 7 单击 下一步 按钮 打开如图9 7所示的 新的域名 对话框 在 新域的DNS全名 文本框中输入新建域的DNS全名 例如 8 单击 下一步 按钮 打开如图9 8所示的 NetBIOS域名 对话框 在 域NetBIOS名 文本框中输入NetBIOS域名 或者接受显示的名称 NetBIOS域名是供早期的Windows用户用来识别新域的 9 单击 下一步 按钮 打开如图9 9所示的 数据库和日志文件位置 对话框 在 数据库位置 文本框中输入保存数据库的位置 或者单击 浏览 按钮选择路径 在 日志位置 文本框中输入保存日志的位置或单击 浏览 按钮选择路径 注意 基于最佳性和可恢复性的考虑 最好将活动目录的数据库和日志保存在不同的硬盘上 10 单击 下一步 按钮 打开如图9 10所示的 共享的系统卷 对话框 在Windows2000中 Sys vol文件夹存放域的公用文件的服务器副本 它的内容将被复制到域中的所有域控制器上 在 文件夹位置 文本框中输入Sys vol文件夹位置 或单击 浏览 按钮选择路径 11 单击 下一步 按钮 如果用户没有配置名称为的DNS服务器 则系统会提示用户配置DNS服务器 单击 确定 按钮 即可打开 配置DNS 对话框 如图9 11所示 12 如果通过向导为新域安装和配置DNS服务器 选择 是 在这台计算机上安装和配置DNS 推荐 单选按钮 如果要在安装活动目录之后再安装和配置DNS 可选择 否 我将自己安装并配置 单选按钮 13 单击 下一步 按钮 打开如图9 12所示的 WindowsNT4 0RAS服务器 对话框 如果希望减弱WindowsNT4 0RAS的访问权限选择 是 减弱权限 单选按钮 如果不更改访问权限 选择 否 不要更改权限 单选按钮 14 单击 下一步 按钮 打开 摘要 对话框 如图9 13所示 通过该对话框 用户可检查并确认选定的选项 15 单击 下一步 按钮 系统开始配置活动目录 同时打开 正在配置ActiveDirectory 对话框 显示配置过程 如图9 14所示 16 经过几分钟之后 配置完成 同时 打开 完成 ActiveDirectory安装向导 对话框 单击 完成 按钮 即完成活动目录的安装 重新启动计算机 活动目录即会生效 注释在活动目录安装之后 不但服务器的开机和关机时间变长 而且系统的执行速度变慢 所以 如果用户对某个服务器没有特别要求或不把它作为域控制器来使用 可将该服务器上的活动目录删除 使其降级为成员服务器或独立服务器 成员服务器是指安装到现有域中的附加域控制器 独立服务器是指在名称空间目录树中直接位于另一个域名之下的服务器 使删除活动目录的服务器成为成员服务器还是独立服务器 取决于该服务器的域控制器的类型 如果要删除活动目录的服务器不是域中的唯一的域控制器 则删除活动目录将使该服务器成为成员服务器 如果要删除活动目录的服务器是域中最后一个域控制器 则删除活动目录将使该服务器成为独立服务器 要删除活动目录 打开 开始 菜单 选择 运行 命令 打开 运行 对话框 在 打开 下拉列表框中输入dcpromo 然后单击 确定 按钮 打开 ActiveDirectory安装向导 对话框 并沿着向导进行删除 虽然活动目录具有强大的功能 但在安装Windows2000时 系统并没有安装活动目录 用户要将自己的服务器配置成域控制器 发挥活动目录的作用 必须安装活动目录 系统提供的活动目录安装向导 可帮助用户配置自己的服务器 如果网络没有其他域控制器 可将服务器配置为域控制器 并新建子域 新建域目录树或目录林 如果网络中有其他域控制器 可将服务器设置为附加域控制器 加入旧域 旧目录树或目录林 要安装活动目录 可参照下面的步骤 活动目录的设置与管理 1域用户2域组3用户配置文件和主文件夹 我们用这个帐号 Jack 登录到 域 中看看 打开下面的 登录到 选单 选择 SOFT 域 第一次用该帐号登录域 花费的时间要长一点 以后就比较快了 我们打开 控制面板 双击 用户和密码 这时会出现一个 用户和密码 对话框 要求指定本机管理员的用户名和密码 验证身份后就进入 用户和密码 窗口 你会发现在其中多出了一个用户 Jack 原来我们并没有创建这个用户 这个帐号的图标也与众不同 本机用户的图标都是一个小电脑和一个头像组成 这个用户是一个地球和一个头像组成 表明其来自 域Soft 这就是我们刚才在将计算机加入到 域 中 1域用户 1 1创建域用户账号1 2设置域用户账号属性 1 1创建域用户帐户 使用域用户帐户登录计算机完整的域用户登录名 登录名 域名 1 2设置域用户帐户属性 注意以下几点 登录时间 只限制登录到域中的时间 登录到 在选定 计算机名 时 只能输入计算机的NetBIOS名 不能输入DNS或IP地址 账户过期 选项 只限定在该日期之后登录到域的请求 如果一直登录在域中没有注销 则不会自动注销 2 域模式下的组 2 1域模式中的组类型2 2域模式中的组作用域2 3创建域中的组2 4域模式中的组策略 2 1域组的类型 安全组 用来为用户和计算机分配权限 是Windows2003的安全主体 有唯一SID 分布组 不能分配权限 只能与电子邮件应用程序一起使用以便将电子邮件发送到用户集 不是Windows2003的安全主体 没有SID 注 使用分发组的应用程序必须支持活动目录 2 2域组的作用域 全局组作用域 本地域组作用域和通用组作用域 全局组作用域 其成员是对网络有相同访问权限的用户 其作用范围是整个域树 本地域组作用域 可以被赋予访问域中任何地点的资源的权限 本地域组的权限作用范围仅限于创建该组的域中 具有开放的成员资格 可以接受任何一种账号成为该组的成员 但本地域组不能成为其他任何组的成员 通用组作用域 作用范围是在整个域树中 通用组具有开放的成员资格可以接受任何一种账号成为该组的成员 可以成为其他