任务2 域与域用户帐户管理

1、项目6 使用windows server 2003组建局域网任务2 域与域用户帐户管理计算机网络技术与应用全国中等职业学校计算机类通用教材本课件的文字及图片版权 均为南京凤凰康轩所有活动目录概述o在网络环境中，各种计算机都有两种工作模式，即工作组模式和域模式。以工作组模式工作的计算机都相互独立，没有从属关系，每台计算机都设定有自己独立的帐户体系和访问权限。以域模式工作的计算机都集中在一个逻辑的组织中，称为域。使用域模式来组织网络，可以对计算机及网络资源进行有效的整合管理。o活动目录（active directory）是在windows nt 4.0操作系统的域结构基础上发展而来的，并提供了一套

2、为分布式网络环境设计的目录服务。活动目录将所有的用户帐户、计算机、文件以及打印机等资源集中在一台服务器上，而这些资源可以分布在不同的物理位置，利用活动目录将这些资源以目录的形式呈现在服务器上，集中管理，只有被授权的用户才可以使用指定的用户帐户登录到这个网络上。使用活动目录可以对相关的网络资源及用户信息进行有效的集中式管理，同时在网络安全方面也提供了更加优良的服务。域和域用户帐户o活动目录中最核心的单元是域，它是用户帐户和网络资源的集合。一个企业或单位总是将自己的整个单位作为一个管理的组织，并相应地创建符合自己逻辑的域结构，通过域来管理整个网络。每个域都有一个域名，并且采用和dns相同的命名方式

3、，具有层次结构，如；每个域都有一个相应的域管理员，除非其他的域明确地赋予该管理员权限，否则只能管理本域，而不能控制其他域；每个域都有一个管理的服务器，称为域控制器（domain controller），它是装有活动目录的windows server 2003服务器，域中的用户帐户和计算机帐户全部集中存放在域控制器上。o域用户帐户是用户访问域的凭证，每个帐户都有一个被授权的唯一sid。在windows server 2003中，计算机对用户的识别，主要是通过该用户帐户的sid。用户在使用中只需要凭借用户帐户，就可以在域中的任何一台成员计算机上登录到所属的域中，从而访问域中的相关网络资源，而不需要

4、知道其sid。管理域用户帐户o只有域管理员才可以创建域用户帐户。在创建域用户帐户时，管理员必须输入用户姓名、用户登录名（用户帐户）。用户帐户是windows server 2003网络中唯一的标识符，因此用户帐户的命名十分重要，windows server 2003域用户帐户命名必须要考虑以下几项：n域用户帐户的登录名在活动目录中必须唯一；n域用户帐户的名称在创建该用户帐户的域中必须唯一；n域用户帐户的登录名不能含系统保留字符，如：、/ ：| * ？等；n域用户帐户的登录名应限制在20个字符或数字内，并且要便于记忆。o在活动目录中，每个用户的登录名都有其标准的格式：，它是由用户登录名、“”符号

5、和用户名所在域的完整dns域名组合而成，如a。管理域用户组o在windows server 2003域中，用户组根据其类型可以分为安全组和分布组，根据其作用域不同可以分为全局组、域本地组和通用组。n安全组安全组一般用于与安全性相关的工作和功能，每个安全组都有一个唯一的sid。使用安全组可以定义资源和对象的选择性访问控制列表权限，控制和管理组中的用户和计算机。它是windows server 2003网络中最常用的组类型。n分布组分布组没有sid，不能用于与安全有关的功能。只有在某些电子邮件应用程序中采用到该类型的组。n全局组全局组只用于设置对域林中资源的访问权限，包含来自本域的用户、组和计算机

6、。是最常用的一种组作用域类型。n域本地组域本地组只用于设置对域内资源的访问权限，成员可以来自林中任一域。n通用组通用组只用于设置对域林中资源的访问权限，成员可以来自林中任一域。混合模式下通用组不可用。任务介绍o 某学校架构了自己的校园网络，为了实现教学形式信息化，学校进一步为所有教室配备了多媒体讲台，把计算机和实物投影仪纳入一个整体的多功能讲台中。在使用过程中，部分班级经常在非允许的时间私自使用多媒体讲台中的计算机。为了有效地治理这种违纪行为，保证教学活动的正常进行，方便管理员集中管理，该校信息中心管理员根据现有的网络条件和技术，决定采用一种新的网络模式，统一配置和管理所有教室的多媒体计算机，

7、让所有教室的计算机在学校规定的正常上课时间内应用于教学活动。安装活动目录服务ostep1 依次点击“开始程序管理工具 配置您的服务器向导” ， 打开“服务器角色”对话框，选中“域控制器（active directory）”，如下图所示。安装活动目录服务ostep2 点击“下一步”按钮开始安装活动目录服务。因为该校是第一次使用域模式组织来管理所有多媒体教室的计算机，即第一次使用域，因此按照向导在“域控制器类型”对话框中选择“新域的域控制器”，如下左图所示。ostep3 在“创建一个新域”对话框中选择“在新林中的域”，如下右图所示。安装活动目录服务ostep4 该校已有一个注册域名，因此在“新的域

8、名”对话框中输入该校用来创建域的dns域名，如下图所示。ostep5 依次点击“下一步”按钮，保持缺省的netbios域名、数据库和日志文件文件夹位置、共享的系统卷三项的值不变。安装活动目录服务ostep6 因为活动目录采用和dns相同的域名，并且和dns结合使用，因此在安装活动目录时，会先诊断该服务器上的dns 服务器， 如果没有配置dns 服务器， 则需要在该服务器上同时安装dns服务器，并将这台dns服务器设为该服务器的首选dns，如下图所示。安装活动目录服务ostep7 该校计算机的操作系统已经没有windows 2000之前的版本，因此，在创建域的时候只需要和windows 2000

9、及之后的版本相兼容即可，如下图所示。安装活动目录服务ostep8 设置“目录服务还原模式的管理员密码”，此密码并不是管理员登录域的密码，而是用于活动目录服务的还原模式，一定要记住，如下图所示。ostep9 做好以上各项配置后，活动目录就开始在该服务器上进行安装操作，过程中会一同将dns服务器也安装上去。安装好后会提示“立即重启计算机”，按照提示，立即重启即可。安装活动目录服务ostep10 服务器重新启动后，此时该服务器已经成为了域 的域控制器。在登录界面， 此时的“administrator”已经成为域的最高管理员，从域控制器登录的时候，只可以登录到一个已经创建好的域网络中，在本例中即为“j

10、lzjzx”，如下图所示。ostep11 进入域控制器后，右击“我的电脑”，选择“属性”，在“计算机名”选项卡中，可以看到该服务器已经工作在域模式，域为。将客户机加入到域中ostep1 打开教室a101的计算机，以管理员的身份登录到此计算机，右击“我的电脑”，选择“属性”，切换到“网络标识”选项卡，可以发现，该计算机现在工作在“工作组”模式下。点击“属性”按钮，打开“标识更改”对话框，选择下面的“域”选项，并将域名填入文本框，将该计算机设置为隶属于此域，如右图所示。将客户机加入到域中ostep2 点击“确定”按钮，弹出“域用户名和密码”对话框，这里所输入的用户名就是有权限将客户机加入到域中的用

11、户的用户名，现在只有域的管理员有权限，因此输入管理员的用户名和密码，点击“确定”按钮即可，并且需要重新启动该计算机才会生效，如下图所示。注意：注意： 在将客户机加入到域之前，需要将客户机的在将客户机加入到域之前，需要将客户机的“首选首选dns服务器服务器”设置为该域的设置为该域的dns服务器，这里即为域控制器的服务器，这里即为域控制器的ip地址，否则客户机将地址，否则客户机将无法找到将要加入的域。无法找到将要加入的域。将客户机加入到域中ostep3 重启后的登录界面如下图所示。在登录界面可以发现“登录到”的后面有两个选择：如果选择“本机”，则登录到本地计算机，并没有登录到域中，这时不能作为域的

12、成员身份访问域中资源；如果选择“jlzjzx”，则登录到这个域中，其将以域成员身份访问域中的网络资源。在这个界面，此时的“administrator”随着选择不同的登录地点而不同， 如果选择登录到“本机”，则此用户是本地计算机的系统管理员；如果选择登录到“jlzjzx”，则此用户是本域的域管理员，因此需要细心操作。从这里我们就可以断定，此客户机已经加入到域 中。创建域用户帐户ostep1 依次点击“开始程序管理工具active directory用户和计算机”，打开“active directory用户和计算机”管理窗口。在管理窗口中，我们可以发现该校的域为，域采用层次结构组织和管理。在“co

13、mputers”中，可以发现现在该域中已经有一台客户机“jlzj-server”，就是前面我们已经加入到域中的客户机，如下图所示。创建域用户帐户ostep2 域中的所有用户帐户都集中存放在“users”中，如下图所示。创建域用户帐户ostep3 右击管理窗口中的“users”，依次选择“新建用户”，打开“新建对象用户”对话框，以a101班级的门牌号为用户姓名和用户登录名建立一个用户帐户，如下图所示。这里的用户登录名即为a101班级计算机登录到域中的用户帐户。ostep4 点击“下一步”按钮，设置该用户的用户密码，如下图所示。创建域用户帐户ostep5 按照创建a101用户帐户的步骤为其他教室分

14、别创建各自的用户帐户。每个教室需要使用计算机进行教学活动时，只需要以自己的用户帐户登录到域即可，如下图所示。创建域用户组ostep1 打开活动目录的用户和计算机管理窗口，右击“users”，依次选择“新建组”，打开“新建对象组”对话框，以一楼为例，为一楼的所有用户创建一个用户组floor_1，如下图所示。这里因为是集中管理所有的用户帐户，因此选择创建全局的安全组。创建域用户组ostep2 创建好了一楼的用户组，接下来就是将一楼所有教室的用户帐户加入到一楼这个用户组中。右击刚创建的用户组“floor_1”，打开其“属性”，切换到“成员”选项卡，点击“添加”按钮，将一楼的四个用户都加入该组，如右图

15、所示。此时，用户组floor_1就包含了一楼的四个用户帐户，在以后的管理中，就可以直接为该用户组赋予相应的权限，组中的所有用户都会得到相应的、相同的权限。创建域用户组ostep3 按照上述的步骤，为其他四层的用户分别创建一个对应的用户组，并且将各层的用户帐户加入到相应的楼层用户组中。ostep4 管理员可以按照正常的教学活动的时间，为所有教室的计算机设置一个可以使用的时间范围，不在规定的时间段就不允许登录域使用各种资源。选中用户帐户a101，打开“属性”对话框，切换到“帐户”选项卡，如右图所示。创建域用户组ostep5 点击“登录时间”按钮，打开“a101的登录时间”对话框，将允许登录的时间设置为周一到周五的8:0016:00，如下图所示。这样，管理员就可以