任务3 活动目录.doc

任务3: 活动目录一、知识目标1.掌握活动目录的基本概念2.掌握活动目录的规划与安装3.掌握域控制器的管理4.掌握用户账户和计算机账户的管理5.掌握组和组织单位的管理6.掌握资源发布和域的管理二、能力目标1. 能熟练安装活录。2能熟练将服务器升级为域控制器。3能熟练进行用户账户和计算机账户的创建和管理。4能熟练进行组、组织单位及域的创建和管理。三、基本概念 1 活动目录(Active Directory) 活动目录(简称AD)属于目录服务机制DS(Directory Service)，目录服务是对网络上源的管理，是网络上资源的组织的结构。对网络上的资源进行记录、命名、定位和查找。 2 活动目录优点 集中式管理、存储系统配置、用户账户、用户程序信息，与组策略结合起来实现对整个网络的控制，AD使用户只需在网络上登录一次就可访问网络上的所有资源。 3 活动目录的逻辑结构 由组织单元OU(Organizational Units)、域(Domain)、域树(Tree)、森林(Forest)构成的层次化目录结构。四、任务操作步骤1. 安装活动目录具体步骤如下：步骤一，打开 “Server 2003配置服务器”窗口。选择“开始”“程序”“管理工具”“配置你的服务器向导” 图5-1 “配置你的服务器向导”窗口 图5-2 显示活动目录内容步骤二，单击“下一步”，出现一个配置服务器向导的预备步骤窗口，以确认所提到的步骤已完成。单击“下一步”，出现检测网络设置窗口，如图5-2所示。步骤三，接下来出现配置选项窗口，选择“自定义配置”选项，单击“下一步”，出现服务器角色窗口，选择“域控制器”。如图5-3所示。单击“下一步”按钮，出现确认窗口，单击“下一步”，出现“Active Directory安装向导窗口”,如图5-4所示。图5-3 服务器角色窗口 图5-4 Active Directory安装向导窗口也可直接在“开始”/“运行”对话框中，输入dcpromo命令，单击“确定”，打开如图5-4所示的对话框。步骤四，单击“下一步”，打开“操作系统兼容性”对话框。其大意是早期的Windows版本无法登录Windows Server 2003创建的域。步骤五，单击“下一步”，“Active Directory安装向导”会询问新建的域控制器的性质，如图5-5，选择“新域的域控制器”。步骤六，单击“下一步”，打开如图5-6所示的“创建一个新域”对话框，如果所创建的域为单位的第一个域，或者希望所创建的新域独立于现有目录林，可选择“新林中的域”。如果希望新的域成为现有域的子域，则选择“现有域中的子域”。如想创建一个与现有域树分开的、新的域树，则选择“在现有林中的域树”。这里选择“新林中的域”。图5-5 选择域控制器的类型 图5-6 选择创建域的类型步骤七，单击“下一步”，打开如图5-7所示的指定域名对话框，在“新域的DNS全名”文本框中输入新建域的DNS全名，例如。步骤八，单击“下一步”，打开如图5-8所示的“NetBIOS域名”对话框，在“域NetBIOS名”文本框中输入cjxy，或者接受显示的名称。NetBIOS域名是供早期的Windows用户用来识别新域的。图5-7 指定新域名 图5-8 指定NetBIOS步骤九，单击“下一步”，打开如图5-9所示的“数据库和日志文件文件夹”对话框，在“数据库文件夹”文本框中输入保存数据库的位置，或者单击“浏览”按钮选择路径，在“日志文件夹”文本框中输入保存日志的位置或单击“浏览”按钮选择路径。注意，基于最佳性和可恢复性的考虑，最好将活动目录的数据库和日志保存在不同的硬盘上。步骤十，单击“下一步”，打开图5-10“共享的系统卷”对话框， Sysvol文件夹存放域的公用文件的服务器副本，其内容将被复制到域中的所有域控制器上。在“文件夹位置”文本框中输入Sysvol文件夹位置，如本例中对应文件夹为c:WINNTSYSVOL，或单击“浏览”按钮选择路径。步骤十一，单击“下一步”，会出现“Active Directory安装向导”的DNS注册诊断程序对话框，如图5-11。选择“在这台计算机上安装并配置DNS服务器，并将这台DNS服务器设为计算机的首选DNS服务器”。图5-9 指定活动目录数据库和日志文件夹 图5-10 指定系统卷共享文件夹步骤十二，单击“下一步”，打开图5-12 “权限”对话框，为用户和组选择默认权限，选择“只与Windows 2000或Windows Server 2003操作系统兼容的权限”。图5-11 DNS注册诊断 图5-12 权限设置步骤十三，单击“下一步”，打开“目录服务还原模式的管理员密码”对话框，如图5-13所示，输入并牢记该密码，以备将来目录服务还原模式下使用。步骤十四，单击“下一步”，打开“摘要”对话框，如图5-14所示。通过该对话框，用户可检查并确认设置的各个选项。图5-13 输入恢复模式管理员密码 图5-14 确认选定的选项步骤十五，单击“下一步”，系统开始配置活动目录，中间将需要Windows Server 2003 安装光盘，如图5-15所示。此时如果将2003光盘放入光驱，系统会自动完成对DNS服务器得配置。步骤十六，经过几分钟之后，配置完成，打开“完成Active Directory安装向导”对话框，如图5-16所示，单击“完成”，完成活动目录的安装并重启计算机。图5-15 配置活动目录 图5-16 完成活动目录的安装2检验安装结果安装过程中一项最重要的工作是在DNS数据库中添加服务记录（SRV记录），下面介绍一下如何检查安装结果。1)检查DNS文件的SRV记录。用文本编辑器打开%System%/system32/config/中的Netlogon.dns文件，察看LDAP服务记录，在本例中为_ldap._. 600 IN SRV 0 100 389 .察看LDAP服务记录2)在运行命令nslookup，验证SRV记录是否正常。在命令提示行下，输入NSLOOKUP /? 查看该命令语法。输入nslookup js-26 回车；输入计算机名 回车如果返回了服务器名和IP地址，说明SRV记录工作正常。3. 设置域控制器属性步骤一，“开始”“程序”“管理工具”“Active Directory用户与计算机”菜单，打开“Active Directory用户与计算机”管理窗口。图5-19 Active Directory用户和计算机窗口步骤二，在控制台目录中，双击展开域节点。单击 域控制器子节点。步骤三，在详细资料窗格中，右击要设置属性的域控制器，从弹出的快捷菜单中选择“属性”，打开该控制器的“属性”对话框，如图5-20所示。步骤四，在“常规”选项卡的“描述”文本框中输入对域控制器的一般描述。如果不希望域控制器的可受信任用来作为委派，可禁用“信任计算机作为委派”复选框。步骤五，选择“操作系统”选项卡，在该选项卡中，显示出操作系统的名称、版本以及Service Pack，管理员只能查看并不能修改这些内容。步骤六，选择如图5-21所示的“隶属于”选项卡，要添加组，单击“添加”按钮，打开“选择组”对话框为域控制器选择一个要添加的组；要删除某个已经添加的组，在“成员属于”列表框选择该组，然后单击“删除”按钮即可。步骤七，当管理员为域控制器添加多个组时，还可为域控制器设置一个主要组。要设置主要组，在“隶属于”列表框中选择要设置的主要组，一般为Domain Controllers，也可为Cert Publishers，然后单击“设置主要组”按钮即可。 步骤八，选择“位置”选项卡，可以设置域控制器的位置。步骤九，选择“管理者”选项卡，要更改域控制器的管理者，可单击“更改”按钮，打开“选择用户或联系人”对话框，选择新的管理人即可。要删除管理者，可单击“清除”按钮来删除；要查看和修改管理者属性，可单击“查看”按钮，打开该管理者属性对话框来进行操作。 步骤十，域控制器设置完毕，单击“确定”按钮保存设置。 图5-20 设置域控制器属性 图5-21 设置成员组 4. 查找域控制器目录内容步骤一，在“Active Directory用户和计算机”窗口的控制台目录树中，鼠标右击域节点，在弹出的快捷菜单中选择“查找”命令，打开“查找用户联系人及组”对话框，如图5-22所示。步骤二，在“查找”下拉列表框中可以选择要查找的目录内容，包括“用户、联系人及组”、“计算机”、“打印机”、“共享文件夹”、“组织单位”、“自定义搜索”等。例如，在列表中选择“计算机”，如图5-23所示。在“范围”下拉列表框中选择查找范围，如整个目录。步骤三，在“计算机”选项卡中，设置查找条件。例如，在“计算机”文本框中输入要查找的计算机名，在“所有者”文本框中输入计算机的用户名，在“作用”下拉列表框中选择计算机在网络中作用。步骤四，单击“高级”选项卡，要设置高级查找条件，单击“字段”按钮，从弹出的快捷菜单中选择设置条件的选项，然后在“条件”下拉列表框和“值”文本框中设置查询条件。5. 连接到其他域在一个多域的网络中，用户经常需要将当前域连接到其他域，这样可使当前域中的用户和计算机访问其他域中的资源，也可将当前域控制器的部分操作主机功能传送给其他域控制器，甚至可将当前域控制器更改为其他域中的域控制器。要连接到网络中其他域，在控制台目录树中，鼠标右击“Active Directory用户和计算机”根结点，从弹出的快捷菜单中选择“连接到域”命令，打开如图5-24所示的“连接到域”对话框，在“域”文本框中输入要连接的域的名称；或者单击“浏览”，打开“浏览域”对话框选择要连接的域，单击“确定”即可建立连接。图5-24 连接到其他域 6更改域控制器在控制台目录树中，鼠标右击“Active Directory用户和计算机”根节点，从弹出的快捷菜单中选择“连接到域控制器”，打开如图5-25所示的“连接到域控制器”对话框。在“输入另一个域控制器的名称”文本框中输入要连接的域控制器；或者从域控制器列表中选择一个要连接的域控制器。如果在域中没有列出其他可用的域控制器，可选择“任何可写的域控制器”选项，系统会根据网络连接情况自动选择可用的域控制器。要连接的域控制器选定之后，单击“确定”按钮完成连接。 图5-25 连接到域控制器7. 用户和计算机账户管理用户账户的创建可参照如下步骤：步骤一，在“Active Directory用户和计算机”窗口的控制台目录树中，双击展开域节点。步骤二，如果要创建用户账户，鼠标右击要添加用户的组织单位或容器，从弹出的快捷菜单中选择“新建”/“用户”，打开如图5-26所示的对话框。步骤三，在“姓”和“名”文本框中分别输入姓和名，并在“用户登录名”文本框中输入用户登录时使用的名字。步骤四，单击“下一步”，打开如图5-27所示的对话框。步骤五，在“密码”和“确认密码”文本框中输入要为用户设置的密码。如果希望用户下次登录时更改密码，可选择“用户下次登录时须更改密码”，否则选择“用户不能更改密码”。如果希望密码永远不过期，可选择“密码永不过期”。如果暂不启用该用户账户，可选择“账户已禁用”。步骤六，单击“下一步”按钮即可完成创建。创建计算机账户方法同上，只需在上述第2步中选择“计算机”，在弹出的对话框中输入该计算机的名称，单击“确定”即可。图5-26 新建用户 图5-27 密码设置步骤七，删除、停用、移动用户和计算机账户（学生自行完成）步骤八，将用户和计算机账户添加到组（学生自行完成）步骤九，重新设置用户密码和管理客户计算机（学生自行完成）8. 创建新组和组织单位 在控制台目录树中，展开域节点。鼠标右键单击要进行组创建的组织单位或容器，从弹出的快捷菜单中选择“新建”/“组”命令，打开如图5-30所示的对话框，在“组名”文本框中输入要创建的组名。在“组作用域”选项区域中，选择单选按钮来确定组的作用域；在“组类型”选项区域中，通过单选按钮来选择新组的类型。单击“确定”按钮即完成组的创建。要添加组织单位，在控制台目录树中，展开域节点。鼠标右键单击域节点或者可添加组织单位的文件夹节点，从弹出的快捷菜单中选择“新建”/ “组织单位”命令，在打开的对话框的“名称”文本框中输入新创建组织单位的名称，单击“确定”即可。图5-30 创建组9委派控制组或组织单位步骤一，在“Active Directory用户与计算机”窗口目录树中，双击展开域节点。步骤二，右键单击要委派控制的组织单位或组节点，例如Users，选择“委派控制”命令，进入“控制委派向导”窗口，单击“下一步”按钮。步骤三，打开 “用户和组”对话框，单击“添加”按钮，打开“选择用户、计算机或组”对话框，输入一个或多个要委派控制的用户或组，也可单击“高级”选项卡进行查找，从列表中选择一个或多个要委派控制的用户或组。步骤四，单击“确定”按钮，则在“输入对象名来选择”文本框中会出现所选对象，单击“确定”。步骤五，在打开的窗口中单击“下一步”按钮，打开“要委派的任务”对话框。我们可以选择要委派的常见任务。我们这里选择“创建自定义任务去委派”选项。步骤六，单击“下一步”按钮，指定委派任务范围。如果委派的对象为整个文件夹，可选择“这个文件夹”，如果委派的对象只是文件夹中的对象，可选择“文件夹中的对象”，并在“对象类型”列表框中通过复选框来选择对象。 图5-31选择用户和组 步骤七，单击“下一步”按钮，打开“权限”对话框，如图5-33所示。通过选择“要委派的权限”复选框来选择要委派的权限，例如选择“读取”、“创建所有子对象”等复选框设置相应权限。注意，对不同资源进行控制委派，配置向导有所不同。 图5-32 定义要委派控制任务 图5-33 指定委派权限10资源发布和域的管理 （1）公布共享文件夹的步骤如下：运行“管理工具”/“Active Directory用户和计算机”管理程序；在控制台树中，鼠标右击“域节点”，选“新建”/“共享文件夹”，打开共享文件夹对话框，如图5-40所示；键入文件夹的名称和网络路径，单击“确定”按钮完成操作。（2）公布打印机的步骤如下：打开“Active Directory用户和计算机”；在控制台树中，鼠标右击“域节点”，选“新建”/“打印机”键入网络路径，如图5-41所示。单击“确定”按钮完成操作。图5-40 设置共享文件夹 图5-41 设置共享打印机路径 （3）. 资源的查找（学生自行完成）11提升域功能级别Windows Server 2003中有四个域功能级别，下表列出了域功能级别及其所支持的域控制器。默认情况下，域以Windows 2000混合功能级别操作。域功能级别 支持的域控制器 Windows 2000 混合模式 Windows NT 4.0、Windows 2000、 Windows Server 2003家族 Windows 2000 纯模式 Windows 2000、Windows Server 2003家族 Windows Server 2003临时 Windows NT 4.0、Windows Server 2003家族 Windows Server 2003Windows Server 2003家族 表5-0 域功能级别与其支持的域控制器根据网络的实际需要来提升域功能级别，具体步骤如下：步骤一，运行“管理工具”/“Active Directory域和信任关系”管理应用程序；步骤二，右键单击要管理的“域节点”，然后单击“提升域功能级别”；步骤三，在打开如图5-42所示窗口中，在“选一个可用的域功能级别”的下拉菜单中选择一种模式。 图5-42 更改域模式 12. 创建明确的域信任步骤一，运行“管理工具”/“Active Directory域和信任关系”管理应用程序；步骤二，在控制台树中，鼠标右键单击要管理的域节点，然后单击“属性”；步骤三，单击“信任”选项卡，如图5-43所示；步骤四，单击“新建信任”按钮，打开“新建信任向导”窗口，输入信