第六章 Windows Server2003组网应用

1、http:/ 本章主要介绍Windows Server 2003中活动目录的概念，运用域模式来实现组网应用。通过本章学习，读者应能掌握活动目录的规划与安装；掌握域成员计算机的加入方法；掌握用户账户和计算机账户的管理方法；掌握组织单位的管理、活动目录对象建立与管理的方法。http:/ 活动目录的概念n6.2 活动目录的安装n6.3 加入域的成员计算机n6.4 活动目录对象建立与管理http:/ 活动目录的概述活动目录(Active Directory)是一种目录服务，它存储有关网络对象(如用户、组、计算机、共享资源、打印机和联系人等)的信息，并将结构化数据存储作为目录信息逻辑和分层组织的基础，使

2、管理员和用户可以方便地查找并使用这些网络信息。域(Domain)仍然是Windows Server 2003目录服务的基本管理单位，但增加了许多新的功能。域模式的最大好处就是它的单一网络登录能力，任何用户只要在域中有一个账户，就可以漫游网络。http:/ 活动目录的特性 1. 集成性 Windows Server 2003活动目录的集成性指它结合了各种管理：用户、资源管理、基于目录的网络服务和基于网络的应用管理。另外，Windows Server 2003活动目录还广泛地采纳了Internet标准，将众多Internet服务集成在一起，增强了自身的网络管理功能。 2. 深入性 Windows

3、Server 2003活动目录的深入性主要体现在其企业级的可伸缩性、安全性、互操作性、编程能力和升级能力上。Server 2003活动目录允许用户组建单域来管理少量的网络对象，也允许用户通过域目录管理成万上亿个对象。 3. 易用性 Windows Server 2003活动目录主要体现在其简易的安装和管理上。在安装Windows Server 2003活动目录时，第一个域服务器配置成为域控制器，而其他所有新安装的计算机都安装成为成员服务器，并且目录服务可以事后用Dcpromo的命令进行特别安装。http:/ 活动目录的结构 活动目录：活动目录的作用是用于组织有关真实网络实体例如用户、共享、打印

4、机以及应用程序等信息。对象：活动目录对象(object)表示网络中的某种物理对象。常见的活动目录对象有用户、组、打印机、共享文件夹、应用程序、数据库、联系等等 组织单位：组织单位(Organizational Unit，OU)就像文件夹一样。OU定义用于存放对象(也存放其他的OU)。它和对象一样，也包含属性，但对其本身不起作用。组织单位的用途是存放其他的对象。 http:/ 域：从定义上讲，域(domain)是用户和计算机的逻辑分组(如图所示)。域通常位于本地化的地理位置上，但也有例外。实际上，域不仅仅是逻辑分组它实际上是网络的安全边界。 域树：由一个以上的域所组成的层次式排列，但这些域需分享

5、一个连续的名称空间(如图所示)。每一个域之间可建立双向可传递的信任关系。 域林：那些不共享连续名称空间的一个或多个树称为域林(forest)。域林中的所有树都具有相同的架构、配置和全局编录，但是这些树不共享同一个连续名称空间。 http:/ 活动目录的规划 1. 规划DNS 2. 规划域结构 3. 规划组织单位结构 4. 规划委派模式http:/ Server 2003时，系统没有默认安装活动目录。用户要将自己的服务器配置成域控制器，应该首先安装活动目录。n通过配置服务器向导或运行“dcpromo”开始域控制器的安装。http:/ (1)启动Windows Server 2003系统自动打开【

6、Server 2003配置服务器】窗口，或者选择【开始】/【程序】/【管理工具】/【配置服务器】，打开如图所示配置服务器向导窗口。http:/ (2)单击【下一步】，出现一个配置服务器向导的预备步骤窗口，以确认所提到的步骤已完成。单击【下一步】，出现检测网络设置窗口。http:/ (3)接下来出现配置选项窗口，我们选择【自定义配置】选项，单击【下一步】，出现服务器角色窗口，也就是你想让你的服务器担任的角色，我们从列表中选择【域控制器】。http:/ Directory安装向导窗口】,如图所示。http:/ Server 2003创建的域。(5)单击【下一步】，【Active Directory

7、安装向导】会询问新建的域控制器的性质，选择【新域的域控制器】。http:/ (6)单击【下一步】，打开如图所示的【创建一个新域】对话框，如果所创建的域为单位的第一个域，或者希望所创建的新域独立于现有目录林，可选择【新林中的域】。如果希望新的域成为现有域的子域，则选择【现有域中的子域】。如想创建一个与现有域树分开的、新的域树，则选择【在现有林中的域树】。这里我们选择【新林中的域】。http:/ (7)单击【下一步】，打开如图所示的指定域名对话框，在【新域的DNS全名】文本框中输入新建域的DNS全名，例如。http:/ (8)单击【下一步】，打开如图所示的【NetBIOS域名】对话框，在【域Net

8、BIOS名】文本框中输入NetBIOS域名，或者接受显示的名称。NetBIOS域名是供早期的Windows用户用来识别新域的。http:/ (9)单击【下一步】，打开如图所示的【数据库和日志文件文件夹】对话框，在【数据库文件夹】文本框中输入保存数据库的位置，或者单击【浏览】按钮选择路径，在【日志文件夹】文本框中输入保存日志的位置或单击【浏览】按钮选择路径。注意，基于最佳性和可恢复性的考虑，最好将活动目录的数据库和日志保存在不同的硬盘上。http:/ (10)单击【下一步】，打开如图所示的【共享的系统卷】对话框，在Server 2003中，Sysvol文件夹存放域的公用文件的服务器副本，它的内容

9、将被复制到域中的所有域控制器上。http:/ (11)单击【下一步】，会出现【Active Directory安装向导】的DNS注册诊断程序对话框。我们选择【在这台计算机上安装并配置DNS服务器，并将这台DNS服务器设为计算机的首选DNS服务器】http:/ (12)单击【下一步】，打开如图所示的【权限】对话框，为用户和组选择默认权限，如果单位中还存在或将要用Windows 2000的以前版本，选择【与Windows 2000之前的服务器操作系统兼容的权限】。否则，选择【只与Windows 2000或Windows Server 2003操作系统兼容的权限】。http:/ (13)单击【下一步

10、】，打开【目录服务还原模式的管理员密码】对话框，如图所示，输入并牢记该密码，以备将来目录服务还原模式下使用。http:/ (14)单击【下一步】，打开【摘要】对话框，如图所示。通过该对话框，用户可检查并确认设置的各个选项。http:/ (15)单击【下一步】，系统开始配置活动目录，中间将需要Windows Server 2003 安装光盘，如图所示。此时如果将2003光盘放入光驱，系统会自动完成对DNS服务器得配置。http:/ (16)经过几分钟之后，配置完成。同时，打开【完成Active Directory安装向导】对话框，如图所示，单击【完成】，即完成活动目录的安装。http:/ 成员计

11、算机与域控制器是连通的。 成员计算机与域控制器所使用的DNS服务器是相同的，即可以使得客户机通过DNS服务器获得域名。http:/ 成员服务器的加入 以Windows 2000 Server和Windows Server 2003操作系统的服务器为主，将其加入到域中，成为域中的成员服务器。http:/ (1)右击【我的电脑】，在弹出的菜单中选择【计算机名】标签，如图所示。http:/ (2)单击【更改】，进入【计算机名更改】窗口，选择【隶属于域】，并在其中填入域名【】，如图所示。http:/ (3)单击【确定】按钮，进入到【域用户名和密码】设置窗口，输入有加入该域权限的账户名和密码，如图所示。

12、http:/ (4)单击【确定】按钮，弹出【网络标识】确定窗口，出现【欢迎加入到域】的提示信息，如图所示。 (5)单击【确定】按钮后，系统会提示重启系统，重启后登录时会提示是登录到域还是本机的信息，选择登录到域要用域用户账户，选择登录到本机要用本地账户。http:/ 客户端计算机的加入 下面以主流的客户端计算机操作系统(Windows 2000 Professional)为主，介绍如何将客户端计算机加入到域中。 (1)设置客户计算机的标识，具体设置如图所示。http:/ (2)单击【网络ID】按钮，进入【网络标识向导】，如图所示。http:/ (3)单击【下一步】按钮，进入【正在连接网络】对话

13、框，选择【公司使用带有域的网络】，如图所示。http:/ (4)单击【下一步】按钮，进入【网络信息】窗口，如图所示。http:/ (5) 单击【下一步】按钮，进入【用户账户和域信息】窗口，如图所示。http:/ (6) 输入所在域的管理员账户及密码，单击【下一步】按钮，进入【用户账户】窗口，如图所示。http:/ (7) 选择【目前不添加用户】选项，单击【下一步】按钮，进入【网络访问标识完成】窗口，如图所示。 (8) 单击【完成】按钮，重启客户机，在登录界面中选择登录到域，用域中的用户账户登录进入域。http:/ 用户管理 1. 用户账户介绍 (1) 本地用户账户 (2) 域用户账户 (3)

14、内建用户账户http:/ 2. 用户账户的管理 (1)新建用户账户 (2)删除用户 (3)停用用户账户 (4)移动用户 (5)用户账户选项 (6)管理用户账户http:/ 组的管理 1. 组的概念 组是用来管理对共享资源进行访问的用户账户的集合。组可以简化对网络中资源访问的管理。 将一个用户账户添加为组的成员时，该账户就被授予该组拥有的所有权限。 一个用户账户可以是多个组的成员。 http:/ 2. 工作组和域中的组 (1) 工作组中的组： n被创建在非域控制器的计算机上。n驻留在“安全账户管理器”(SAM)中。n仅在创建组的计算机上才能用该组来授予用户访问资源和执行系统任务的权限。 (2)

15、域中的组： n仅可在域控制器上创建 n驻留在活动目录里 n在域中任何一台计算机上都可以用组来授予用户访问资源和执行系统任务的权限 http:/ 3. 组的的作用域 本地域组：使用这个作用域来给位于创建该本地域组的域中的资源分配权限。仅适用于本身所在域中的域主控制器、成员服务器以及域工作站，却不能跨域。 全局组 ： 使用这种组作用域来组织有相似网络访问要求的用户。适用于本身所在域中的域主控制器、成员服务器、域工作站以及其他的信任关系域。 通用组： 给多个域中的相关资源授予权限。 在所连接的任何域树中都有效 4. 组的类型 安全式： 具有权限和资源使用的限制。 分布式： 仅适用于配合邮件服务器软件

16、。 http:/ 5. 组的嵌套： 把组添加到其他组可以减少需要分配权限的次数。多层嵌套会造成混乱，一般采用一层嵌套。 6. 内置组 将内置的使用权利指派给用户，使这些用户直接具有该域的全部或部分的系统管理控制权。内置本地域组只存在于域控制器上，不能删除。 (1)内建的本地域组有 ： Account Operators 、Administrators、Backup Operators、Guests、Printer Operators、Replicator、Server Operators、Users。 (2)内建全局组 ：Domain Admins、Domain Guests 、Domain Users、Enterprise Admins:。 (3本地组：Administrators、Backup Operators、Gue