AD域服務器詳細搭建.ppt

第5章 活動目錄,昆明服務器租用 / wenku1,學習目標, 活動目錄的基本概念 活動目錄的規(guī)劃與安裝 域控制器的管理 用戶賬戶和計算機賬戶的管理 組和組織單位的管理 資源發(fā)布和域的管理,5.1 概 述,5.1.1 活動目錄簡介 5.1.2 活動目錄的三種特性,集成性 深入性 易用性,5.2 安裝活動目錄,5.2.1 活動目錄的規(guī)劃,規(guī)劃DNS 規(guī)劃域結構 規(guī)劃組織單位結構 規(guī)劃委派模式,5.2.2 安裝活動目錄（1）,安裝活動目錄具體步驟如下： 步驟一，啟動Windows Server 2003系統(tǒng)自動打開“Server 2003配置服務器”窗口，或者選擇“開始”/“程序”/“管理工具”/“配置服務器”，打開如圖5-1所示配置服務器向?qū)Т翱凇?步驟二，單擊“下一步”，出現(xiàn)一個配置服務器向?qū)У念A備步驟窗口，以確認所提到的步驟已完成。單擊“下一步”，出現(xiàn)檢測網(wǎng)絡設置窗口，如圖5-2所示。 步驟三，接下來出現(xiàn)配置選項窗口，我們選擇“自定義配置”選項，單擊“下一步”，出現(xiàn)服務器角色窗口，也就是你想讓你的服務器擔任的角色，我們從列表中選擇“域控制器”。如圖5-3所示。單擊“下一步”按鈕，出現(xiàn)確認窗口，以確認選擇了正確角色。單擊“下一步”，出現(xiàn)“Active Directory安裝向?qū)Т翱凇?如圖5-4所示。 也可省去前面步驟，直接通過“開始”/“運行”，打開“運行”對話框，輸入dcpromo命令，單擊“確定”按鈕，打開如圖5-4所示的對話框。,圖5-1 “Server 2003配置服務器”窗口 圖5-2 顯示活動目錄內(nèi)容,5.2.2 安裝活動目錄（2）,5.2.2 安裝活動目錄（3）,步驟四，單擊“下一步”，打開“操作系統(tǒng)兼容性”對話框。其大意是早期的Windows版本無法登錄Windows Server 2003創(chuàng)建的域。,圖5-3 服務器角色配置窗口,5.2.2 安裝活動目錄（4）,步驟五，單擊“下一步”，“Active Directory安裝向?qū)А睍儐栃陆ǖ挠蚩刂破鞯男再|(zhì)，如圖5-5，我們選擇“新域的域控制器”。,圖5-4 Active Directory安裝向?qū)Т翱?5.2.2 安裝活動目錄（5）,步驟六，單擊“下一步”，打開如圖5-6所示的“創(chuàng)建一個新域”對話框，如果所創(chuàng)建的域為單位的第一個域，或者希望所創(chuàng)建的新域獨立于現(xiàn)有目錄林，可選擇“新林中的域”。如果希望新的域成為現(xiàn)有域的子域，則選擇“現(xiàn)有域中的子域”。如想創(chuàng)建一個與現(xiàn)有域樹分開的、新的域樹，則選擇“在現(xiàn)有林中的域樹”。這里我們選擇“新林中的域”。,圖5-5 選擇域控制器的類型 圖5-6 選擇創(chuàng)建域的類型,5.2.2 安裝活動目錄（6）,步驟七，單擊“下一步”，打開如圖5-7所示的指定域名對話框，在“新域的DNS全名”文本框中輸入新建域的DNS全名，例如。 步驟八，單擊“下一步”，打開如圖5-8所示的“NetBIOS域名”對話框，在“域NetBIOS名”文本框中輸入NetBIOS域名，或者接受顯示的名稱。NetBIOS域名是供早期的Windows用戶用來識別新域的。,圖5-7 指定新域名 圖5-8 指定NetBIOS,5.2.2 安裝活動目錄（7）,步驟九，單擊“下一步”，打開如圖5-9所示的“數(shù)據(jù)庫和日志文件文件夾”對話框，在“數(shù)據(jù)庫文件夾”文本框中輸入保存數(shù)據(jù)庫的位置，或者單擊“瀏覽”按鈕選擇路徑，在“日志文件夾”文本框中輸入保存日志的位置或單擊“瀏覽”按鈕選擇路徑。 注意，基于最佳性和可恢復性的考慮，最好將活動目錄的數(shù)據(jù)庫和日志保存在不同的硬盤上。 步驟十，單擊“下一步”，打開如圖5-10所示的“共享的系統(tǒng)卷”對話框，在Server 2003中，Sysvol文件夾存放域的公用文件的服務器副本，它的內(nèi)容將被復制到域中的所有域控制器上。在“文件夾位置”文本框中輸入Sysvol文件夾位置，如本例中對應文件夾為c:WINNTSYSVOL，或單擊“瀏覽”按鈕選擇路徑。 步驟十一，單擊“下一步”，會出現(xiàn)“Active Directory安裝向?qū)А钡腄NS注冊診斷程序?qū)υ捒?，如圖5-11。我們選擇“在這臺計算機上安裝并配置DNS服務器，并將這臺DNS服務器設為計算機的首選DNS服務器”。,5.2.2 安裝活動目錄（8）,圖5-9 指定活動目錄的數(shù)據(jù)庫和日志文件的文件夾,圖5-10 指定系統(tǒng)卷共享文件夾,5.2.2 安裝活動目錄（9）,步驟十二，單擊“下一步”，打開如圖5-12所示的“權限”對話框，為用戶和組選擇默認權限，如果單位中還存在或?qū)⒁肳indows 2000的以前版本，選擇“與Windows 2000之前的服務器操作系統(tǒng)兼容的權限”。否則，選擇“只與Windows 2000或Windows Server 2003操作系統(tǒng)兼容的權限”。,圖5-11 DNS注冊診斷 圖5-12 權限設置,5.2.2 安裝活動目錄（10）,步驟十三，單擊“下一步”，打開“目錄服務還原模式的管理員密碼”對話框，如圖5-13所示，輸入并牢記該密碼，以備將來目錄服務還原模式下使用。 步驟十四，單擊“下一步”，打開“摘要”對話框，如圖5-14所示。通過該對話框，用戶可檢查并確認設置的各個選項。,圖5-13 輸入目錄服務恢復模式管理員密碼 圖5-14 確認選定的選項,步驟十五，單擊“下一步”，系統(tǒng)開始配置活動目錄，中間將需要Windows Server 2003 安裝光盤，如圖5-15所示。此時如果將2003光盤放入光驅(qū)，系統(tǒng)會自動完成對DNS服務器得配置。 步驟十六，經(jīng)過幾分鐘之后，配置完成。同時，打開“完成Active Directory安裝向?qū)А睂υ捒?，如圖5-16所示，單擊“完成”，即完成活動目錄的安裝。,圖5-15 配置活動目錄 圖5-16 完成活動目錄的安裝,5.2.2 安裝活動目錄（11）,5.2.2 安裝活動目錄（12）,活動目錄安裝完成之后，必須重新啟動計算機，活動目錄才會生效。 注意：在活動目錄安裝之后，不但服務器的開機和關機時間變長，而且系統(tǒng)的執(zhí)行速度變慢。所以，如果用戶對某個服務器沒有特別要求或不把它作為域控制器來使用，可將該服務器上的活動目錄刪除，使其降級為成員服務器或獨立服務器。 成員服務器是指安裝到現(xiàn)有域中的附加域控制器；獨立服務器是指在名稱空間目錄樹中直接位于另一個域名之下的服務器。刪除活動目錄使服務器成為成員服務器還是獨立服務器，取決于該服務器的域控制器的類型。如果要刪除活動目錄的服務器不是域中的唯一的域控制器，則刪除活動目錄將使該服務器成為成員服務器；如果要刪除活動目錄的服務器是域中最后一個域控制器，則刪除活動目錄將使該服務器成為獨立服務器。 要刪除活動目錄，打開“開始”菜單，選擇“運行”命令，打開“運行”對話框，輸入dcpromo命令，然后單擊“確定”按鈕，打開“Active Directory安裝向?qū)А睂υ捒?，并沿著向?qū)нM行刪除，這里不再細述其過程。,5.2.3 檢驗安裝結果,在安裝完成后，可以通過以下方法檢驗Active Directory安裝是否正確，在安裝過程中一項最重要的工作是在DNS數(shù)據(jù)庫中添加服務記錄（SRV記錄），下面介紹一下如何檢查安裝結果。 1檢查DNS文件的SRV記錄。 用文本編輯器打開%SystemRoot%/system32/config/中的Netlogon.dns文件，察看LDAP服務記錄，在本例中為_ldap._. 600 IN SRV 0 100 389 。 2驗證SRV記錄在NSLOOKUP命令工具中運行是否正常。 （1）在命令提示行下，輸入NSLOOKUP； （2）輸入set type=srv； （3）輸入_ldap._。 如果返回了服務器名和IP地址，說明SRV記錄工作正常。,5.3 域控制器管理,域（Domain）是活動目錄的分區(qū)，定義了安全邊界，在沒經(jīng)過授權的情況下，不允許其他域中的用戶訪問本域中的資源。活動目錄可由一個或多個域組成，每一個域可以存儲上百萬個對象，域之間還有層次關系，可以建立域樹和域林，如圖5-17、5-18所示，進行無限地域擴展。圖中的雙箭頭表示域之間的信任關系，Server 2003中域的信任關系都是雙向和可傳遞的。,圖 5-17 域樹 圖 5-18 域林,5.3.1 設置域控制器屬性（1）,設置域控制器屬性，具體步驟如下： 步驟一，選擇“開始”/“程序”/“管理工具”/“Active Directory用戶與計算機”菜單，打開“Active Directory用戶與計算機”管理窗口，如圖5-19所示。 步驟二，在控制臺目錄樹中，雙擊展開域節(jié)點。單擊Domain Controllers子節(jié)點。 步驟三，在詳細資料窗格中，右擊要設置屬性的域控制器，從彈出的快捷菜單中選擇“屬性”，打開該控制器的“屬性”對話框，如圖5-20所示。 步驟四，在“常規(guī)”選項卡的“描述”文本框中輸入對域控制器的一般描述。如果不希望域控制器的可受信任用來作為委派，可禁用“信任計算機作為委派”復選框。 步驟五，選擇“操作系統(tǒng)”選項卡，在該選項卡中，顯示出操作系統(tǒng)的名稱、版本以及Service Pack，管理員只能查看并不能修改這些內(nèi)容。 步驟六，選擇如圖5-21所示的“隸屬于”選項卡，要添加組，單擊“添加”按鈕，打開“選擇組”對話框為域控制器選擇一個要添加的組；要刪除某個已經(jīng)添加的組，在“成員屬于”列表框選擇該組，然后單擊“刪除”按鈕即可。,5.3.1 設置域控制器屬性（2）,圖5-19 Active Directory用戶和計算機窗口,5.3.1 設置域控制器屬性（3）,步驟七，當管理員為域控制器添加多個組時，還可為域控制器設置一個主要組。要設置主要組，在“隸屬于”列表框中選擇要設置的主要組，一般為Domain Controllers，也可為Cert Publishers，然后單擊“設置主要組”按鈕即可。 步驟八，選擇“位置”選項卡，可以設置域控制器的位置。 步驟九，選擇“管理者”選項卡，要更改域控制器的管理者，可單擊“更改”按鈕，打開“選擇用戶或聯(lián)系人”對話框，選擇新的管理人即可。要刪除管理者，可單擊“清除”按鈕來刪除；要查看和修改管理者屬性，可單擊“查看”按鈕，打開該管理者屬性對話框來進行操作。 步驟十，域控制器設置完畢，單擊“確定”按鈕保存設置。,5.3.1 設置域控制器屬性（4）,圖5-20 設置域控制器屬性 圖5-21 設置成員組,5.3.2 查找域控制器目錄內(nèi)容（1）,要查找目錄內(nèi)容，可參照如下步驟： 步驟一，在“Active Directory用戶和計算機”窗口的控制臺目錄樹中，鼠標右擊域節(jié)點，在彈出的快捷菜單中選擇“查找”命令，打開“查找用戶聯(lián)系人及組”對話框，如圖5-22所示。 步驟二，在“查找”下拉列表框中可以選擇要查找的目錄內(nèi)容，包括“用戶、聯(lián)系人及組”、“計算機”、“打印機”、“共享文件夾”、“組織單位”、“自定義搜索”等。 例如，在列表中選擇“計算機”，如圖5-23所示。在“范圍”下拉列表框中選擇查找范圍，如整個目錄。 步驟三，在“計算機”選項卡中，設置查找條件。例如，在“計算機”文本框中輸入要查找的計算機名，在“所有者”文本框中輸入計算機的用戶名，在“作用”下拉列表框中選擇計算機在網(wǎng)絡中作用。 步驟四，單擊“高級”選項卡，要設置高級查找條件，單擊“字段”按鈕，從彈出的快捷菜單中選擇設置條件的選項，然后在“條件”下拉列表框和“值”文本框中設置查詢條件。,5.3.2 查找域控制器目錄內(nèi)容（2）,步驟五，高級條件設置好之后，單擊“添加”按鈕，將條件添加到下面的文本框中。如果要繼續(xù)添加高級條件，可按照上面步驟繼續(xù)添加。 步驟六，所有查找條件設置完畢，單擊“開始查找”按鈕即開始查找，并將查找結果列出，如圖5-23下面窗口所示。,圖5-22 “查找用戶聯(lián)系人及組”對話框圖,圖5-23 列出查找結果,5.3.3 連接到其他域,在一個多域的網(wǎng)絡中，用戶經(jīng)常需要將當前域連接到其他域，這樣可使當前域中的用戶和計算機訪問其他域中的資源，也可將當前域控制器的部分操作主機功能傳送給其他域控制器，甚至可將當前域控制器更改為其他域中的域控制器。 要連接到網(wǎng)絡中其他域，在控制臺目錄樹中，鼠標右擊“Active Directory用戶和計算機”根結點，從彈出的快捷菜單中選擇“連接到域”命令，打開如圖5-24所示的“連接到域”對話框，在“域”文本框中輸入要連接的域的名稱；或者單擊“瀏覽”，打開“瀏覽域”對話框選擇要連接的域，單擊“確定”即可建立連接。,圖5-24 連接到其他域,注意：一般情況下，一個域網(wǎng)絡中至少應有兩個域控制器（一個域控制器和一個附加域控制器），以便在當前域控制器出現(xiàn)故障時，可使用附加域控制器來代替當前域控制器，保證網(wǎng)絡的正常運行。,5.3.4 更改域控制器,要更改域控制器，在控制臺目錄樹中，鼠標右擊“Active Directory用戶和計算機”根節(jié)點，從彈出的快捷菜單中選擇“連接到域控制器”，打開如圖5-25所示的“連接到域控制器”對話框。 在“輸入另一個域控制器的名稱”文本框中輸入要連接的域控制器；或者從域控制器列表中選擇一個要連接的域控制器。如果在域中沒有列出其他可用的域控制器，可選擇“任何可寫的域控制器”選項，系統(tǒng)會根據(jù)網(wǎng)絡連接情況自動選擇可用的域控制器。要連接的域控制器選定之后，單擊“確定”按鈕完成連接。,圖5-25 連接到域控制器,5.4 用戶和計算機賬戶管理,5.4.1 用戶和計算機賬戶簡介,用戶賬戶 計算機賬戶,5.4.2 創(chuàng)建用戶和計算機賬戶（1）,用戶賬戶的創(chuàng)建可參照如下步驟： 步驟一，在“Active Directory用戶和計算機”窗口的控制臺目錄樹中，雙擊展開域節(jié)點。 步驟二，如果要創(chuàng)建用戶賬戶，鼠標右擊要添加用戶的組織單位或容器，從彈出的快捷菜單中選擇“新建”/“用戶”，打開如圖5-26所示的對話框。 步驟三，在“姓”和“名”文本框中分別輸入姓和名，并在“用戶登錄名”文本框中輸入用戶登錄時使用的名字。 步驟四，單擊“下一步”，打開如圖5-27所示的對話框。 步驟五，在“密碼”和“確認密碼”文本框中輸入要為用戶設置的密碼。如果希望用戶下次登錄時更改密碼，可選擇“用戶下次登錄時須更改密碼”，否則選擇“用戶不能更改密碼”。如果希望密碼永遠不過期，可選擇“密碼永不過期”。如果暫不啟用該用戶賬戶，可選擇“賬戶已禁用”。 步驟六，單擊“下一步”按鈕即可完成創(chuàng)建。 創(chuàng)建計算機賬戶方法同上，只需在上述第2步中選擇“計算機”，在彈出的對話框中輸入該計算機的名稱，單擊“確定”即可。,5.4.2 創(chuàng)建用戶和計算機賬戶（2）,圖5-26 新建用戶 圖5-27 密碼設置,5.4.3 刪除用戶和計算機賬戶,要刪除一個用戶和計算機賬戶，在控制臺目錄樹中，展開域節(jié)點。單擊要刪除的用戶或者計算機所在的組織單位或容器，在詳細資料窗格中，鼠標右擊要刪除的用戶或者計算機，從彈出的快捷菜單中選擇“刪除”，出現(xiàn)信息確認框后，單擊“是”即可刪除該用戶或者計算機。,5.4.4 停用用戶和計算機賬戶,停用用戶賬戶，在控制臺目錄樹中，展開域節(jié)點。單擊要停用的用戶賬戶或者計算機所在的組織單位或容器，在詳細資料窗格中，右擊要停用的用戶或者計算機賬戶，從彈出的快捷菜單中選擇“停用賬戶”命令，出現(xiàn)信息確認框后，單擊“是”按鈕即可停用被選用戶或者計算機賬戶。,5.4.5 移動用戶和計算機賬戶,要移動用戶和計算機賬戶，在控制臺目錄樹中，展開域節(jié)點。單擊要移動用戶或者計算機賬戶所在的組織單位或容器，在詳細資料窗格中，鼠標右擊要移動的用戶賬戶，從彈出的快捷菜單中選擇“移動”，打開“移動”對話框，在“將對象移動到容器”對話框中雙擊域節(jié)點，展開該節(jié)點，如圖5-28所示。單擊移動的目標組織單位，然后單擊“確定”即可完成移動。,圖5-28 移動賬戶,5.4.6 為用戶和計算機賬戶添加組,要為用戶賬戶添加組，在控制臺目錄樹中，展開域節(jié)點，鼠標單擊要加入組的用戶所在的組織單位或容器，在詳細資料窗口中，鼠標右鍵單擊該用戶賬戶，從彈出的快捷菜單中選擇“添加到組”，打開如圖5-29所示的“選擇組”對話框，可以直接輸入組對象的名稱，也可以打開“高級”選項卡進行查找。然后在組列表框中選擇一個要添加的組，單擊“確定”按鈕即可為用戶添加組。 要為計算機賬戶添加組，在控制臺目錄樹中，展開域節(jié)點，鼠標單擊“計算機”或者要加入組的計算機所在的組織單位及容器，在詳細資料窗口中，鼠標右鍵單擊該計算機賬戶，從彈出的快捷菜單中選擇“屬性”命令，打開該計算機的屬性對話框。然后單擊“成員屬于”標簽，打開“隸屬于”選項卡，單擊“添加”按鈕，打開“選擇組”對話框選擇要加入的組，單擊“確定”按鈕完成添加。,圖5-29 為用戶添加組,5.4.7 重設用戶密碼 5.4.8 管理客戶計算機,要重新設置用戶密碼，在控制臺目錄樹中，展開域節(jié)點。然后單擊包含要重新設置密碼的用戶的組織單位或容器，在詳細資料窗口中，鼠標右鍵單擊該用戶賬戶，從彈出的快捷菜單中選擇“重設密碼”，打開 “重設密碼”對話框，在“新密碼”和“確認密碼”文本框中輸入要設置的新密碼。如果允許用戶更改密碼，可選擇“用戶下次登錄時須更改密碼”復選框。單擊“確定”按鈕保存設置，同時系統(tǒng)會打開確認信息框，單擊“確定”按鈕可完成設置。 要管理客戶計算機，在控制臺目錄樹中，展開域節(jié)點。然后單擊要管理的計算機所在的組織單位，鼠標右鍵單擊該計算機，從彈出的快捷菜單中選擇“管理”命令，打開該計算機的計算機管理窗口。在該窗口中，管理員可以對連接的計算機進行系統(tǒng)工具、存儲、服務器應用程序和服務等方面的管理。例如可以對該計算機上的用戶進行管理。,5.5 組和組織單位的管理,組是Server 2003從Windows 2000系統(tǒng)繼承下來的安全管理形式，它是指活動目錄或本地計算機對象，包含用戶、聯(lián)系人、計算機和其他組等。在Server 2003中，組可以用來管理用戶和計算機對網(wǎng)絡資源的訪問，例如活動目錄對象及其屬性、網(wǎng)絡共享、文件、目錄、打印機隊列，還可以篩選組策略。使用組，方便了管理訪問目的和權限相同的一系列用戶和計算機賬戶。 組織單位（Organizational Unit，OU）是域中包含的一類目錄對象，它包括域中一些用戶、計算機和組、文件與打印機等資源。不過，組織單位不能包含其他域中的對象。由于活動目錄服務把域又詳細的劃分成組織單位，且組織單位中還可以再劃分下級組織單位，因此組織單位的分層結構可用來建立域的分層結構模型，進而可使用戶把網(wǎng)絡所需的域的數(shù)量減至最小。 注意：組和組織單位有很大的不同。組主要用于權限設置，而組織單位則主要用于網(wǎng)絡構建；另外，組織單位只表示單個域中的對象集合（可包括組對象），而組可以包含用戶、計算機、本地服務器上的共享資源、單個域、域目錄樹或目錄林。,5.5.1 創(chuàng)建新組和組織單位,要創(chuàng)建新組，在控制臺目錄樹中，展開域節(jié)點。鼠標右鍵單擊要進行組創(chuàng)建的組織單位或容器，從彈出的快捷菜單中選擇“新建”/“組”命令，打開如圖5-30所示的對話框，在“組名”文本框中輸入要創(chuàng)建的組名。在“組作用域”選項區(qū)域中，選擇單選按鈕來確定組的作用域；在“組類型”選項區(qū)域中，通過單選按鈕來選擇新組的類型。單擊“確定”按鈕即完成組的創(chuàng)建。 要添加組織單位，在控制臺目錄樹中，展開域節(jié)點。鼠標右鍵單擊域節(jié)點或者可添加組織單位的文件夾節(jié)點，從彈出的快捷菜單中選擇“新建”/“組織單位”命令，在打開的對話框的“名稱”文本框中輸入新創(chuàng)建組織單位的名稱，單擊“確定”即可。,圖5-30 創(chuàng)建組,5.5.2 刪除組和組織單位,要刪除組和組織單位，在控制臺目錄樹中，展開域節(jié)點。鼠標單擊要刪除的組或組織單位所在的組織單位，詳細資料窗格中會列出該組織單位的內(nèi)容。然后鼠標右鍵單擊要刪除的組或組織單位，選擇快捷菜單中“刪除”命令，這時系統(tǒng)會打開信息確認框，單擊“是”按鈕即完成組或組織單位的刪除。,5.5.3 委派控制組或組織單位（1）,如果要對某個組或組織單位進行委派控制，可參照下面的步驟： 步驟一，在“Active Directory用戶與計算機”窗口的控制臺目錄樹中，鼠標雙擊展開域節(jié)點。 步驟二，鼠標右鍵單擊要委派控制的組織單位或組節(jié)點，例如Users，從彈出的快捷菜單中選擇“委派控制”命令，進入“控制委派向?qū)А贝翱?，單擊“下一步”按鈕。 步驟三，在打開的“用戶和組”對話框中，單擊“添加”按鈕，打開“選擇用戶、計算機或組”對話框，你可以直接輸入一個或多個要委派控制的用戶或組，也可單擊“高級”選項卡進行查找，從列表中選擇一個或多個要委派控制的用戶或組。 步驟四，選擇之后單擊“確定”按鈕，則在圖5-31中的“輸入對象名來選擇”文本框中會出現(xiàn)所選對象，單擊“確定”。 步驟五，在打開的窗口中單擊“下一步”按鈕，打開“要委派的任務”對話框。我們可以選擇要委派的常見任務。我們這里選擇“創(chuàng)建自定義任務去委派”選項。 步驟六，單擊“下一步”按鈕，打開如圖5-32所示對話框。指定委派任務范圍。如果要委派的對象為整個文件夾，可選擇“這個文件夾”，如果要委派的對象只是文件夾中的對象，可選擇“文件夾中的對象”，并在“對象類型”列表框中通過復選框來選擇對象。,5.5.3 委派控制組或組織單位（2）,圖5-31選擇用戶和組,步驟七，單擊“下一步”按鈕，打開“權限”對話框，如圖5-33所示。通過選擇“要委派的權限”復選框來選擇要委派的權限，例如選擇“讀取”、“創(chuàng)建所有子對象”等復選框設置相應權限。 注意，對不同資源進行控制委派，配置向?qū)в兴煌?5.5.3 委派控制組或組織單位（3）,圖5-32 定義要委派控制任務 圖5-33 指定委派權限,5.5.4 設置組織單位屬性（1）,要設置組織單位的屬性，可參照下面的步驟。 步驟一，在控制臺目錄樹中，鼠標右鍵單擊要設置屬性的組織單位，從彈出的快捷菜單中選擇“屬性”命令，打開該組織單位的屬性對話框，如圖5-34所示。 步驟二，在“常規(guī)”選項卡中，可以設置“描述”、“省/自治區(qū)”、“縣市”、“街道”和“郵政編碼”等計算機和用戶常規(guī)信息。,圖5-34 設置屬性 圖5-35 管理組策略,5.5.4 設置組織單位屬性（2）,步驟三，選擇“管理者”選項卡，單擊“更改”按鈕，打開“選擇用戶或聯(lián)系人”對話框選擇一個用戶或聯(lián)系人作為管理者；管理者更改之后，單擊“屬性”按鈕，可打開所更改的管理者的屬性對話框，管理員可對管理者的屬性進行修改，如果要清除管理者，單擊“清除”按鈕即可。 步驟四，單擊“組策略”選項卡，如圖5-35所示。要新建一個組策略對象，單擊“新建”按鈕，在“組策略對象鏈接”列表框中會出現(xiàn)一個新的組策略對象，在其名稱文本框中為新策略輸入一個有意義的名稱。 步驟五，單擊“編輯”按鈕，會打開如圖5-36所示的“組策略編輯器”窗口。在該窗口中，管理員可對創(chuàng)建的組策略進行編輯，包括計算機配置和用戶配置兩個方面。如圖5-36所示可以對計算機配置中的“登錄”策略進行編輯，例如登錄時是否顯示歡迎界面，啟動和登錄是否等待網(wǎng)絡等性質(zhì)進行設置。編輯完畢，關閉窗口。 步驟六，要設置某個組策略對象的屬性，在圖5-35中組策略對象鏈接列表中選擇對象，單擊“屬性”按鈕，打開該對象屬性對話框，進行“常規(guī)”、“鏈接”和“安全”方面的設置。 步驟七，在列表中，不同位置的組策略對象具有不同的優(yōu)先級，較高位置的組策略對象比較低位置的組策略對象優(yōu)先級高。所以，管理員可以改變組策略對象在列表中的位置來決定組策略對象的應用級別。要改變某個組策略對象在列表中的位置，選擇該對象，單擊“向上”或“向下”按鈕即可上移或下移該對象。 如果要刪除某個組策略對象，在列表中選擇該對象，然后單擊“刪除”按鈕即可。,5.5.4 設置組織單位屬性（3）,圖5-36 編輯組策略,5.5.4 設置組織單位屬性（4）,步驟八，用戶要配置某個組策略對象的選項，在如圖5-35組策略鏈接列表中選擇“策略”對象，單擊“選項”按鈕，打開該組策略對象的選項對話框，如圖5-37所示。 在“鏈接選項”選項區(qū)域中，選擇“禁止替代”復選框，可防止其他組策略對象替代這個組對象中的策略集；啟用“已禁用”復選框，可暫時禁用該策略，需要啟用時，禁用“已禁用”復選框即可。然后單擊“確定”按鈕返回到組策略選項卡。 步驟九， 如果要防止組策略被下一級組織單位所繼承，可啟用“阻止策略繼承”復選框（見圖5-35）。最后單擊“關閉”按鈕保存屬性設置。,圖5-37 配置組策略對象選項,5.5.5 設置組屬性（1）,要設置組的屬性，具體步驟如下： 步驟一，在控制臺目錄樹中鼠標單擊要設置屬性的組所在的組織單位或容器，在詳細資料窗口中，鼠標右鍵單擊要添加成員的組，從彈出的快捷菜單中選擇“屬性”命令，打開該組的屬性對話框，如圖5-38所示。 步驟二，為了便于管理，在“描述”和“注釋”文本框中分別輸入有關該組的描述和注釋；可以修改組名稱；為了便于組管理員與組成員交換信息，在“電子郵件”文本框中輸入組管理員的電子郵件地址。,圖5-38 設置常規(guī)屬性 圖5-39 添加成員到組,5.5.5 設置組屬性（2）,步驟三，單擊“成員”選項卡，如圖5-39所示。要添加成員，單擊“添加”，打開“選擇用戶聯(lián)系人或計算機”對話框選擇要添加的成員。要刪除組成員，在“成員”列表框中選擇要刪除的組成員，然后單擊“刪除”即可。 步驟四，用戶設置新組的權限,主要通過向新組添加內(nèi)置組來實現(xiàn)。選擇“隸屬于”選項卡，單擊“添加”，打開“選擇組”對話框，為自己創(chuàng)建的組選擇內(nèi)置組。要刪除某個組權限，在“隸屬于”列表框中選擇該組，單擊“刪除”即可。 步驟五，要設置組的管理者，選擇“管理者”選項卡。要更改組管理者，單擊“更改”按鈕，打開“選擇用戶或聯(lián)系人”對話框選擇管理者；要查看管理者的屬性，單擊“屬性”按鈕進行查看；如果要清除管理者對組的管理，單擊“清除”按鈕即可。 步驟六，屬性設置完畢，單擊“確定”按鈕保存設置并關閉屬性對話框。,5.6 資源發(fā)布和域的管理,5.6.1 資源發(fā)布的管理 一、資源的發(fā)布 1公布共享文件夾的步驟如下： （1）運行“管理工具”/“Active Directory域和信任關系”管理應用程序； （2）在控制臺樹中，鼠標雙擊“域節(jié)點”； （3）鼠標右鍵單擊想在其中添加共享文件夾的文件夾，指向“新建”并單擊“共享文件夾”對話框，如圖5-40所示； （4）鍵入文件夾的名稱和網(wǎng)絡路徑； （5）單擊“確定”按鈕完成操作。 2公布打印機的步驟如下： （1）打開“Active Directory用戶和計算機”； （2）在控制臺樹中，鼠標雙擊“域節(jié)點”； （3）在控制臺樹中，鼠標右鍵單擊想在其中公布打印機的文件夾，指向“新建”，并單擊“打印機”； （4）鍵入網(wǎng)絡路徑，如圖5-41所示。 （5）單擊“確定”按鈕完成操作。,圖5-41 設置共享打印機路徑,圖5-40 設置共享文件夾,5.6.1 資源發(fā)布的管理,二、資源的查找 若要進行自定義搜索，可參照如下步驟： （1）運行“管理工具”/“Active Directory域和信任關系”管理應用程序； （2）在控制臺樹中用鼠標右鍵單擊“域節(jié)點”，然后單擊“查找”； （3）在“查找”中單擊“自定義搜索”； （4）鼠標單擊“字段”，選擇要搜索的對象種類，然后單擊要為其指定搜索值的對象的屬性； （5）在“條件”中單擊搜索的條件； （6）在“值”中鍵入要應用搜索條件的屬性值； （7）單擊“添加”，將該搜索條件添加至自定義搜索； （8）重復第（4）步至第（7）步，直到添加完所需的全部搜索條件為止； （9）單擊“開始查找”按鈕。,5.6.2 域的管理,1提升域功能級別 Windows Server 2003中有四個域功能級別，下表列出了域功能級別及其所支持的域控制器。默認情況下，域以Windows 2000混合功能級別操作。,表5-1 域功能級別與其支持的域控制器,5.6.2 域的管理,根據(jù)網(wǎng)絡的實際需要，可以提升域功能級別，提升域功能級別的具體步驟如下： 步驟一，運行“管理工具”/“Active Directory域和信任關系”管理應用程序； 步驟二，鼠標右鍵單擊你想要管理的域的“域節(jié)點”，然后單擊“提升域功能級別”； 步驟三，在打開如圖5-42所示窗口中，我們可以在“選一個可用的域功能級別”的下拉菜單中選擇一種模式。,圖5-42 更改域模式,2. 創(chuàng)建明確的域信任,創(chuàng)建明確的域信任具體步驟如下： 步驟一，運行“管理工具”/“Active Directory域和信任關系”管理應用程序； 步驟二，在控制臺樹中，鼠標右鍵單