4. 在 Windows Server 2003 中管理 Active Directory

1、Active Directory 管理分步指南本指南向您介紹如何管理 Windows Server 2003 Active Directory 服務(wù)和“Active Directory 用戶和計(jì)算機(jī)”管理單元。本頁內(nèi)容簡(jiǎn)介概述使用“Active Directory 域和信任關(guān)系”管理單元使用“Active Directory 用戶和計(jì)算機(jī)”管理單元其他資源簡(jiǎn)介逐步式指南Microsoft Windows Server 2003 部署分步指南提供了許多關(guān)于常見的操作系統(tǒng)配置的實(shí)際操作經(jīng)驗(yàn)。本指南首先介紹通過以下過程來建立通用網(wǎng)絡(luò)結(jié)構(gòu)：安裝 Windows Server 2003；配置 Activ

2、e Directory；安裝 Windows XP Professional 工作站并最后將此工作站添加到域中。后續(xù)分步指南假定您已建立了此通用網(wǎng)絡(luò)結(jié)構(gòu)。如果您不想遵循此通用網(wǎng)絡(luò)結(jié)構(gòu)，則在使用這些指南時(shí)需要進(jìn)行適當(dāng)?shù)男薷摹Ｍㄓ镁W(wǎng)絡(luò)結(jié)構(gòu)要求完成以下指南。l 第一部分：將 Windows Server 2003 安裝為域控制器l 第二部分：安裝 Windows XP Professional 工作站并將其連接到域上在配置完通用網(wǎng)絡(luò)結(jié)構(gòu)后，就可以使用任何其他分步指南了。注意，某些分步指南除需要有通用網(wǎng)絡(luò)結(jié)構(gòu)外，可能還需要滿足額外的先決條件。任何額外的要求都將列在特定的分步指南中。Microsoft

3、Virtual PC可以在物理實(shí)驗(yàn)室環(huán)境中或通過虛擬化技術(shù)（如 Microsoft Virtual PC 2004 或 Microsoft Virtual Server 2005）來實(shí)施 Windows Server 2003 部署分步指南。借助于虛擬機(jī)技術(shù)，客戶可以同時(shí)在一臺(tái)物理服務(wù)器上運(yùn)行多個(gè)操作系統(tǒng)。Virtual PC 2004 和 Virtual Server 2005 就是為了在軟件測(cè)試和開發(fā)、舊版應(yīng)用程序遷移以及服務(wù)器整合方案中提高操作效率而設(shè)計(jì)的。Windows Server 2003 部署分步指南假定所有配置都是在物理實(shí)驗(yàn)室環(huán)境中完成的，但大多數(shù)配置不需修改就可以應(yīng)用于虛擬環(huán)

4、境。這些分步指南中提供的概念在虛擬環(huán)境中的應(yīng)用不在本文的討論范圍之內(nèi)。重要說明此處作為例子提到的公司、組織、產(chǎn)品、域名、電子郵件地址、徽標(biāo)、個(gè)人、地點(diǎn)和事件純屬虛構(gòu)，我們決無意影射，任何人也不應(yīng)由此臆猜，任何真實(shí)的公司、組織、產(chǎn)品、域名、電子郵件地址、徽標(biāo)、個(gè)人、地點(diǎn)或事件。此通用基礎(chǔ)結(jié)構(gòu)是為在專用網(wǎng)絡(luò)上使用而設(shè)計(jì)的。此通用基礎(chǔ)結(jié)構(gòu)中使用的虛擬公司名稱和域名系統(tǒng) (DNS) 名稱并沒有為在 Internet 上使用而進(jìn)行注冊(cè)。您不應(yīng)在公共網(wǎng)絡(luò)或 Internet 上使用此名稱。此通用基礎(chǔ)結(jié)構(gòu)的 Active Directory 服務(wù)結(jié)構(gòu)用于說明“Windows Server 2003 更改和配

5、置管理”如何與 Active Directory 配合使用。不能將其作為任何組織進(jìn)行 Active Directory 配置時(shí)都可以使用的模型。概述本指南向您介紹如何管理 Windows Server 2003 Active Directory 服務(wù)。Active Directory 管理工具簡(jiǎn)化了目錄服務(wù)管理。您可以使用標(biāo)準(zhǔn)工具或 Microsoft 管理控制臺(tái) (MMC)，創(chuàng)建側(cè)重于完成單項(xiàng)管理任務(wù)的自定義工具。您可以將幾個(gè)工具組合到一個(gè)控制臺(tái)中。您也可以為各個(gè)具有特定管理職責(zé)的管理員分配自定義工具。您只能從能夠訪問域的計(jì)算機(jī)上使用 Active Directory 管理工具?！肮芾砉ぞ摺?/p>

6、菜單上提供了下列 Active Directory 管理工具： Active Directory 用戶和計(jì)算機(jī)Active Directory 域和信任關(guān)系A(chǔ)ctive Directory 站點(diǎn)和服務(wù)您也可以從一臺(tái)不是域控制器的計(jì)算機(jī)上遠(yuǎn)程管理 Active Directory，例如一臺(tái)運(yùn)行 Windows XP Professional 的計(jì)算機(jī)。為此，您必須安裝 Windows Server 2003 管理工具包。“Active Directory 架構(gòu)”管理單元是一個(gè)用于管理架構(gòu)的 Active Directory 管理工具。默認(rèn)情況下，“管理工具”菜單上沒有該管理單元，必須手動(dòng)添加它。

7、高級(jí)管理員和網(wǎng)絡(luò)支持專家可以使用很多命令行工具來配置和管理 Active Directory 以及對(duì)其進(jìn)行故障排除。您也可以創(chuàng)建使用 Active Directory Service Interfaces (ADSI) 的腳本。操作系統(tǒng)安裝媒體上提供了一些示例腳本。先決條件第一部分：將 Windows Server 2003 安裝為域控制器第二部分：安裝 Windows XP Professional 工作站并將其連接到域上安裝其他域控制器的分步指南指南要求要執(zhí)行本文中的過程，您必須以具有管理權(quán)限的用戶身份登錄。如果您是在某個(gè)域控制器上進(jìn)行操作，則可能無法安裝“Active Directory

8、 架構(gòu)”管理單元。要安裝該管理單元，請(qǐng)執(zhí)行以下操作：在命令提示符下，鍵入 regsvr32 schmmgmt.dll現(xiàn)在，就可以在 MMC 內(nèi)使用“Active Directory 架構(gòu)”管理單元了。在基于 Windows Server 2003 的獨(dú)立服務(wù)器或 Windows XP Professional 工作站上，Active Directory 管理工具是可選的。您可以從“控制面板”中的“添加/刪除程序”安裝這些工具（使用 Windows 組件向?qū)В?，也可以?Windows Server 2003 CD 上的 ADMINPAK 進(jìn)行安裝。使用“Active Directory 域和信

9、任關(guān)系”管理單元“Active Directory 域和信任關(guān)系”管理單元為林中的所有域樹提供一個(gè)圖形視圖。使用此工具，管理員可以管理林中的每個(gè)域；管理域之間的信任關(guān)系；配置每個(gè)域的操作模式（純模式或混合模式）；并為林配置其他用戶主體名稱 (UPN) 后綴。啟動(dòng)“Active Directory 域和信任關(guān)系”管理單元要啟動(dòng)該管理單元，請(qǐng)按照以下步驟操作：1.在“HQ-CON-DC-01”上，單擊“開始”按鈕，指向“所有程序”，指向“管理工具”，然后單擊“Active Directory 域和信任關(guān)系”。此時(shí)將出現(xiàn)“Active Directory 域和信任關(guān)系”管理單元（如圖 1 所示）。圖

10、 1. “Active Directory 域和信任關(guān)系”管理單元用戶主體名稱 (UPN) 為用戶登錄到 Active Directory 提供了易于使用的命名樣式。UPN 的樣式基于 Internet 標(biāo)準(zhǔn) RFC 822，有時(shí)將其稱為“郵件地址”。默認(rèn) UPN 后綴是林 DNS 名稱，它是林中第一個(gè)樹中第一個(gè)域的 DNS 名稱。在本指南和本系列的其他分步指南中，默認(rèn) UPN 后綴是“”。您可以添加其他的 UPN 后綴，這可以提高登錄安全性。您也可以為所有用戶提供單一 UPN 后綴以簡(jiǎn)化用戶登錄名稱。UPN 后綴僅在 Windows Server 2003 域中使用，而

11、且不一定是有效的 DNS 域名。要添加其他 UPN 后綴，請(qǐng)按照以下步驟操作：1.在左窗格上部選中并用右鍵單擊“Active Directory 域和信任關(guān)系”，然后單擊“屬性”。2.在“其他 UPN 后綴”框中，輸入您想用的任何其他 UPN 后綴，然后單擊“添加”。3.單擊“確定”關(guān)閉窗口。更改域和林功能Windows Server 2003 Active Directory 中引入的域和林功能提供了一種在網(wǎng)絡(luò)環(huán)境中啟用全域或全林 Active Directory 功能的方法。根據(jù)您的網(wǎng)絡(luò)環(huán)境，您可以使用不同級(jí)別的域功能和林功能。如果域或林中的所有域控制器均運(yùn)行 Windows Server

12、 2003，并且將功能級(jí)別設(shè)置為 Windows Server 2003，則可以使用所有的全域和全林功能。如果域或林中不但包括運(yùn)行 Windows Server 2003 的域控制器，還包括運(yùn)行 Windows NT 4.0 或 Windows 2000 的域控制器，則您只能使用一部分 Active Directory 全域和全林功能。在 Windows 2000 混合模式和純模式下，允許在 Active Directory 中啟用其他功能。混合模式域可以包含 Windows NT 4.0 備份域控制器，但不能使用通用安全組、組嵌套和安全 ID (SID) 歷史記錄功能。如果將域設(shè)置為純模式，

13、則可以使用通用安全組、組嵌套和 SID 歷史記錄功能。運(yùn)行 Windows2000 Server 的域控制器不支持域和林功能。警告：在提升域功能級(jí)別后，不能將運(yùn)行早期版本操作系統(tǒng)的域控制器加入該域。例如，如果將域功能級(jí)別提升為 Windows Server 2003，則不能將運(yùn)行 Windows 2000 Server 的域控制器添加到該域中。域功能啟用的功能會(huì)影響整個(gè)域，而且只能影響該域。可以使用四種域功能級(jí)別：Windows 2000 混合模式（默認(rèn)）、Windows 2000 純模式、Windows Server 2003 過渡和 Windows Server 2003。默認(rèn)情況下，域在

14、 Windows 2000 混合功能級(jí)別運(yùn)行。要提升域功能，請(qǐng)按照以下步驟操作：1.右鍵單擊域?qū)ο螅ū纠袨椤啊保?，然后單擊“提升域功能?jí)別”。2.從“選擇一個(gè)可用的域功能級(jí)別”下拉列表中，選擇“Windows Server 2003”，然后單擊“提升。3.在出現(xiàn)警告信息時(shí)，單擊“確定”以提升域功能。再次單擊“確定”完成此過程。4.關(guān)閉“Active Directory 域和信任關(guān)系”窗口。使用“Active Directory 用戶和計(jì)算機(jī)”管理單元要啟動(dòng)“Active Directory 用戶和計(jì)算機(jī)”管理單元，請(qǐng)按照以下步驟操作：1.單擊“開始”按鈕，指向“所有程序

15、”，指向“管理工具”，然后單擊“Active Directory 用戶和計(jì)算機(jī)”。2.單擊“+”號(hào)展開“C”。圖 2 顯示了“Active Directory 用戶和計(jì)算機(jī)”管理單元的關(guān)鍵組件。圖 2. “Active Directory 用戶和計(jì)算機(jī)”管理單元認(rèn)識(shí) Active Directory 對(duì)象下表中描述的對(duì)象是在 Active Directory 的安裝過程中創(chuàng)建的。圖標(biāo)文件夾說明域管理單元的根節(jié)點(diǎn)，表示所管理的域。Computers包含所有加入域且基于 Windows NT、Windows 2000、Windows XP 和 Windows Server 20

16、03 的計(jì)算機(jī)。這包括運(yùn)行 Windows NT 3.51 和 4.0 版本的計(jì)算機(jī)。如果您從舊版本進(jìn)行升級(jí)，Active Directory 會(huì)將計(jì)算機(jī)帳戶遷移到該文件夾。您可以移動(dòng)這些對(duì)象。System包含 Active Directory 系統(tǒng)和服務(wù)信息。Users包含域中的所有用戶。在升級(jí)過程中，將遷移先前域中的所有用戶。像計(jì)算機(jī)一樣，您可以移動(dòng)用戶對(duì)象。您可以使用 Active Directory 創(chuàng)建下列對(duì)象。圖標(biāo)對(duì)象說明用戶用戶對(duì)象是目錄中的一個(gè)安全主體。用戶可以使用這些憑據(jù)登錄到網(wǎng)絡(luò)上，并且可以為用戶授予訪問權(quán)限。聯(lián)系人聯(lián)系人對(duì)象是沒有任何安全權(quán)限的帳戶。您不能以聯(lián)系人的身份登

17、錄到網(wǎng)絡(luò)上。聯(lián)系人通常表示外部用戶，用以收發(fā)電子郵件。計(jì)算機(jī)計(jì)算機(jī)對(duì)象表示網(wǎng)絡(luò)上的一臺(tái)計(jì)算機(jī)。對(duì)于基于 Windows NT 的工作站和服務(wù)器，這是計(jì)算機(jī)帳戶。組織單位組織單位 (OU) 用作一種容器，以便以邏輯方式來組織目錄對(duì)象（如用戶、組和計(jì)算機(jī)），這與使用文件夾來組織硬盤上的文件大體相同。組組可以包含用戶、計(jì)算機(jī)和其他組。組簡(jiǎn)化了對(duì)大量對(duì)象進(jìn)行的管理工作。共享文件夾共享文件夾是已在目錄中發(fā)布的網(wǎng)絡(luò)共享。共享打印機(jī)共享打印機(jī)是已在目錄中發(fā)布的網(wǎng)絡(luò)打印機(jī)。添加組織單位本過程在“Contoso”域中創(chuàng)建其他 OU。注意，您可以創(chuàng)建嵌套的 OU，對(duì)嵌套級(jí)別沒有限制。這些步驟遵循在通用結(jié)構(gòu)分步指南

18、中建立的 Active Directory 結(jié)構(gòu)。如果您沒有創(chuàng)建該結(jié)構(gòu)，請(qǐng)直接在“C”下添加 OU 和用戶；即，將本過程中提到的“Accounts”替換為“C”。要添加 OU，請(qǐng)按照以下步驟操作：1.單擊“Accounts”旁邊的“+”號(hào)將其展開。2.右鍵單擊“Accounts”。3.指向“新建”，然后單擊“組織單位”。鍵入“Construction”作為新組織單位的名稱，然后單擊“確定”。重復(fù)上述步驟以創(chuàng)建其他 OU（如下所示）：在“Accounts”下創(chuàng)建組織單位“Engineering”。在“Accounts”下創(chuàng)建組織單位“Manufacturi

19、ng”。在“Manufacturing”組織單位下創(chuàng)建“Consumer”組織單位。（為此，請(qǐng)用右鍵單擊“Manufacturing”，指向“新建”，然后單擊“組織單位”。）在“Manufacturing”組織單位下創(chuàng)建“Corporate”和“Government”組織單位。單擊“Manufacturing”，以便在右窗格中顯示它的內(nèi)容。完成后，您應(yīng)具有下面的如圖 3 所示的分層結(jié)構(gòu)。圖 3. 新 OU創(chuàng)建用戶帳戶下面的過程在“Construction”O(jiān)U 中創(chuàng)建用戶帳戶“John Smith”。要?jiǎng)?chuàng)建用戶帳戶，請(qǐng)按照以下步驟操作：1.右鍵單擊“Construction”組織單位，指向“新

20、建”，然后單擊“用戶”，或在管理單元工具欄上單擊“新建用戶”。2.鍵入用戶信息（如圖 4 所示）。圖 4.“新建用戶”對(duì)話框3.單擊“下一步”以繼續(xù)。4.在“密碼”和“確認(rèn)密碼”框中都鍵入“pass#word1”，然后單擊“下一步”。注意：密碼在保護(hù)組織網(wǎng)絡(luò)安全方面所起到的作用常常被低估和忽視。密碼提供了第一道防線，阻止對(duì)您的組織進(jìn)行未經(jīng)授權(quán)的訪問。Windows Server 2003 家族中有一項(xiàng)新功能，即要求所有新建立的用戶帳戶使用復(fù)雜密碼。有關(guān)此項(xiàng)功能的信息，請(qǐng)參見設(shè)置密碼策略逐步式指南。5.在下一個(gè)對(duì)話框中，單擊“完成”接受確認(rèn)。現(xiàn)在，您已在“Construction”O(jiān)U 中為“J

21、ohn Smith”創(chuàng)建了一個(gè)帳戶。要添加關(guān)于此用戶的其他信息，請(qǐng)按照以下步驟操作：1.在左窗格中選擇“Construction”，在右窗格中右鍵單擊“John Smith”，然后單擊“屬性”。2.正如圖 5 中所示，在“屬性”對(duì)話框的“常規(guī)”選項(xiàng)卡上，添加有關(guān)此用戶的更多信息，然后單擊“確定”。單擊每個(gè)可用的選項(xiàng)卡，并查看可定義的可選用戶信息。圖 5. 其他用戶信息移動(dòng)用戶帳戶可以在 OU 之間移動(dòng)用戶，這些 OU 可以在相同的域中，也可以在不同的域中。例如，在本過程中，將 John Smith 從“Construction”部門移動(dòng)到“Engineering”部門。要在 OU 之間移動(dòng)用戶

22、，請(qǐng)按照以下步驟操作：1.在右窗格中，單擊“John Smith”用戶帳戶，右鍵單擊該帳戶，然后單擊“移動(dòng)”。2.在“移動(dòng)”屏幕上，單擊“Accounts”旁邊的“+”號(hào)將其展開（如圖 6 所示）。圖 6. 可用 OU 列表3.單擊“Engineering”O(jiān)U，然后單擊“確定”。創(chuàng)建組 要?jiǎng)?chuàng)建組，請(qǐng)按照以下步驟操作：1.右鍵單擊“Engineering”O(jiān)U，單擊“新建”，然后單擊“組”。2.在“新建對(duì)象 組”對(duì)話框中，鍵入“Tools”作為組名。3.查看一下 Windows Server 2003 中可用的組類型和作用域（如下表所示）。保留默認(rèn)設(shè)置，然后單擊“確定”以創(chuàng)建“Tools”組。

23、“組類型”指示該組是否可用于指派對(duì)其他網(wǎng)絡(luò)資源（如文件和打印機(jī)）的權(quán)限。安全組和通訊組都可用于電子郵件通訊組列表。“組作用域”確定組的可見性以及組內(nèi)可以包含的對(duì)象類型。作用域可見性可包含域本地域用戶、域本地、全局或通用組全局林用戶或全局組通用林用戶、全局或通用組將用戶添加到組中要將用戶添加到組中，請(qǐng)按照以下步驟操作：1.在左窗格中單擊“Engineering”O(jiān)U。2.在右窗格中，右鍵單擊“Tools”組，然后單擊“屬性”。3.單擊“成員”選項(xiàng)卡，然后單擊“添加”。4.在“輸入對(duì)象名稱來選擇”文本框中，鍵入“John”，然后單擊“確定”。圖 7. 將“John Smith”添加到“Tools”

24、安全組中5.在“Tools 屬性”屏幕上，確認(rèn)“John Smith”現(xiàn)在是“Tools”安全組的成員，然后單擊“確定”。發(fā)布共享文件夾為幫助用戶更方便地找到共享文件夾，您可以在 Active Directory 中發(fā)布有關(guān)共享文件夾的信息?？梢栽?Active Directory 中發(fā)布任何共享網(wǎng)絡(luò)文件夾，包括分布式文件系統(tǒng) (Dfs) 文件夾。在目錄中創(chuàng)建共享文件夾對(duì)象并不會(huì)自動(dòng)共享該文件夾。這個(gè)過程分為兩步：您必須先共享該文件夾，然后在 Active Directory 中發(fā)布它。要共享一個(gè)文件夾，請(qǐng)按照以下步驟操作：1.使用 Windows 資源管理器，在某一磁盤卷上創(chuàng)建一個(gè)名為“En

25、gineering Specs”的新文件夾。2.在 Windows 資源管理器中，右鍵單擊“Engineering Specs”文件夾，然后單擊“屬性”。單擊“共享”，然后單擊“共享該文件夾”。3.在“Engineering Specs 屬性”屏幕上，在“共享名”框中鍵入“ES”，然后單擊“確定”。完成后，關(guān)閉 Windows 資源管理器。注意：默認(rèn)情況下，內(nèi)置的“Everyone”組有權(quán)訪問該共享文件夾。單擊“權(quán)限”按鈕可更改默認(rèn)權(quán)限。在目錄中發(fā)布共享文件夾要在目錄中發(fā)布共享文件夾，請(qǐng)按照以下步驟操作：1.在“Active Directory 用戶和計(jì)算機(jī)”管理單元中，右鍵單擊“Engine

26、ering”O(jiān)U，指向“新建”，然后單擊“共享文件夾”。2.在“新建對(duì)象 共享文件夾”屏幕上，在“名稱”框中鍵入“Engineering Specs”。3.在“網(wǎng)絡(luò)路徑”名稱框中，鍵入“ES”，然后單擊“確定”。4.右鍵單擊“Engineering Specs”，然后單擊“屬性”。5.單擊“關(guān)鍵字”。鍵入“specifications”作為“新值”，然后單擊“添加”繼續(xù)。單擊兩次“確定”以完成操作。現(xiàn)在，用戶可以按共享名或關(guān)鍵字搜索 Active Directory 以查找此共享資源。搜索共享文件夾要查找共享文件夾，請(qǐng)按照以下步驟操作：1.在“A

27、ctive Directory 用戶和計(jì)算機(jī)”MMC 中，右鍵單擊“Contoso”，然后單擊“查找”。2.在“查找”下拉列表中，單擊“共享文件夾”。在“關(guān)鍵字”文本框中鍵入“specifications”，然后單擊“開始查找”。3.在“搜索結(jié)果”中，右鍵單擊“Engineering Specs”，然后單擊“打開”。圖 8. 在 Active Directory 中搜索共享文件夾注意：在填充 ES 共享文件夾后，最終用戶可以通過目錄搜索查找其內(nèi)容。用戶也可以將此共享資源映射為網(wǎng)絡(luò)驅(qū)動(dòng)器。4.關(guān)閉“查找共享文件夾”對(duì)話框。發(fā)布打印機(jī)您也可以在 Active Directory 中發(fā)布有關(guān)共享打印

28、機(jī)的信息。對(duì)于在 Windows NT 中共享的打印機(jī)，必須手動(dòng)發(fā)布該打印機(jī)的相關(guān)信息。對(duì)于在 Windows Server 2003 家族或 Windows 2000 Server 家族中共享的打印機(jī)，在創(chuàng)建共享打印機(jī)時(shí)，系統(tǒng)會(huì)自動(dòng)將該打印機(jī)的相關(guān)信息發(fā)布到目錄中?？墒褂谩癆ctive Directory 用戶和計(jì)算機(jī)”手動(dòng)發(fā)布共享打印機(jī)信息。打印子系統(tǒng)自動(dòng)將打印機(jī)屬性（位置、說明、裝入的紙張等）更改傳播到目錄中。注意：本節(jié)提供了一些詳細(xì)的操作步驟，介紹如何配置和發(fā)布打印機(jī)，使打印機(jī)直接將內(nèi)容打印到文件。如果您想使用基于 IP、LPT 或 USB 的打印機(jī)，則必須修改這些過程中的步驟。添加新

29、的打印機(jī)要添加新的打印機(jī)，請(qǐng)按照以下步驟操作：1.單擊“開始”按鈕，單擊“打印機(jī)和傳真”，然后雙擊“添加打印機(jī)”。此時(shí)將出現(xiàn)“添加打印機(jī)向?qū)А?。單擊“下一步”?.單擊“連接到這臺(tái)計(jì)算機(jī)的本地打印機(jī)”，清除“自動(dòng)檢測(cè)并安裝我的即插即用打印機(jī)”復(fù)選框，然后單擊“下一步”。3.在“使用以下端口”下拉列表中，單擊“FILE: (打印到文件)”選項(xiàng)，然后單擊“下一步”。4.在“廠商”結(jié)果窗格中，單擊“Generic”。在“打印機(jī)”結(jié)果窗格中，單擊“Generic / Text Only”。單擊“下一步”以繼續(xù)。5.在“命名打印機(jī)”頁上，將“打印機(jī)名”更改為“Print to File”，然后單擊“下一

30、步”。6.在“打印機(jī)共享”頁上，將“共享名”更改為“FilePrinter”，然后單擊“下一步”。7.對(duì)于“位置和注釋”頁上的“位置”，鍵入“Headquarters Bldg 4 Room 2200”。單擊“下一步”以繼續(xù)。8.單擊“下一步”以打印測(cè)試頁，然后單擊“完成”即完成安裝。9.在出現(xiàn)相應(yīng)提示時(shí)，鍵入“Test Print”作為打印機(jī)測(cè)試頁的文件名。完成后，單擊“確定”。此時(shí)，將自動(dòng)在 Active Directory 中發(fā)布打印機(jī)。在 Active Directory 中查找打印機(jī)要在 Active Directory 中查找打印機(jī)，請(qǐng)按照以下步驟操作：1.在“打印機(jī)和傳真”屏幕上

31、，雙擊“添加打印機(jī)”圖標(biāo)。2.此時(shí)將出現(xiàn)“添加打印機(jī)向?qū)А睂?duì)話框。單擊“下一步”以繼續(xù)。3.單擊“網(wǎng)絡(luò)打印機(jī)”，然后單擊“下一步”。4.單擊“在目錄中查找一個(gè)打印機(jī)”（默認(rèn)值），然后單擊“下一步”。5.此時(shí)將出現(xiàn)“查找打印機(jī)”對(duì)話框。單擊“開始查找”以搜索在 Active Directory 中發(fā)布的所有打印機(jī)。通過設(shè)置其他搜索選項(xiàng)，可以按可用功能或打印機(jī)位置來限制結(jié)果。打印機(jī)位置跟蹤：使用打印機(jī)位置跟蹤可加快打印機(jī)搜索速度。如果啟用了打印機(jī)位置跟蹤，則在用戶單擊“開始查找”后，Active Directory 將列出用戶所在位置的所有與用戶查詢匹配的打印機(jī)。用戶可以單擊“瀏覽”更改“位置”字

32、段以搜索位于其他位置的打印機(jī)。有關(guān)配置打印機(jī)位置跟蹤的更多信息，請(qǐng)參見 Windows Server 2003 幫助和支持中心。6.在“查找打印機(jī)”頁上的“搜索結(jié)果”中，雙擊“Print to File”以安裝該打印機(jī)。單擊“是”（默認(rèn)值），將這臺(tái)打印機(jī)設(shè)置為系統(tǒng)的默認(rèn)打印機(jī)，然后單擊“下一步”。圖 9. 在 Active Directory 中搜索共享打印機(jī)7.單擊“完成”以完成打印機(jī)安裝。8.關(guān)閉“打印機(jī)和傳真”窗口。在 Active Directory 中，您可以發(fā)布除 Windows Server 2003、Windows 2000 或 Windows XP 以外的其他操作系統(tǒng)共享的打

33、印機(jī)。盡管可以使用“Active Directory 用戶和計(jì)算機(jī)”管理單元完成此操作，但最簡(jiǎn)便的方法是使用“pubprn.vbs”腳本。該腳本將發(fā)布給定服務(wù)器上的所有共享打印機(jī)。該腳本位于“winntsystem32”目錄中。使用“pubprn.vbs”腳本手動(dòng)發(fā)布打印機(jī)要使用“pubprn.vbs”腳本手動(dòng)發(fā)布打印機(jī)，請(qǐng)按照以下步驟操作：1.單擊“開始”按鈕，然后單擊“運(yùn)行”。在文本框中鍵入“cmd”，然后單擊“確定”。2.鍵入“cd windows system32”，然后按“Enter”鍵。3.鍵入“cscript pubprn.vbs prserv1 LDAP:/ou=account

34、s,dc=contoso,dc=com”，然后按“Enter”鍵。注意：該示例會(huì)將 Prserv1 服務(wù)器上的所有打印機(jī)發(fā)布到“Accounts”O(jiān)U。該腳本僅復(fù)制以下打印機(jī)屬性子集，包括位置、型號(hào)、注釋和 UNC 路徑。此腳本不能在 Windows Server 2003 上運(yùn)行，它僅用作將打印機(jī)從下層打印服務(wù)器發(fā)布到 Active Directory 的手動(dòng)工具。4.“關(guān)閉”該窗口。使用“Active Directory 用戶和計(jì)算機(jī)”管理單元手動(dòng)發(fā)布打印機(jī)1.右鍵單擊“Marketing”O(jiān)U，單擊“新建”，然后單擊“打印機(jī)”。2.此時(shí)將出現(xiàn)“新建對(duì)象 - 打印機(jī)”對(duì)話框。在文本框中，鍵

35、入打印機(jī)路徑，如“servershare name”，然后單擊“確定”。由于最終用戶可以瀏覽打印機(jī)、向這些打印機(jī)提交作業(yè)以及直接從服務(wù)器安裝打印機(jī)驅(qū)動(dòng)程序，因此，他們會(huì)體驗(yàn)到在目錄中發(fā)布的打印機(jī)的無縫操作過程。創(chuàng)建計(jì)算機(jī)對(duì)象當(dāng)計(jì)算機(jī)加入域時(shí)，會(huì)自動(dòng)創(chuàng)建一個(gè)計(jì)算機(jī)對(duì)象。如果您不想為所有用戶都分配將計(jì)算機(jī)添加到域中的權(quán)限，也可以在將計(jì)算機(jī)手動(dòng)或通過腳本加入域之前創(chuàng)建計(jì)算機(jī)對(duì)象。要手動(dòng)將計(jì)算機(jī)添加到域中，請(qǐng)按照以下步驟操作：1.右鍵單擊“Engineering”O(jiān)U，指向“新建”，然后單擊“計(jì)算機(jī)”。2.鍵入“Legacy”作為“計(jì)算機(jī)名”，然后單擊“下一步”。3.如果該計(jì)算機(jī)是一個(gè)被管理的系統(tǒng)，您

36、可以輸入系統(tǒng)“GUID”。在本例中，將系統(tǒng)“GUID”保留空白，單擊“下一步”，然后單擊“完成”。4.要從“Active Directory 用戶和計(jì)算機(jī)”管理單元中管理這臺(tái)計(jì)算機(jī)，請(qǐng)右鍵單擊該“計(jì)算機(jī)對(duì)象”，然后單擊“管理”。作為一個(gè)可選項(xiàng)，您還可以選擇允許哪些用戶將計(jì)算機(jī)加入域。這樣，就可以由管理員來創(chuàng)建計(jì)算機(jī)帳戶，而由具有較少權(quán)限的用戶來安裝該計(jì)算機(jī)并將其加入域。重命名、移動(dòng)和刪除對(duì)象可以重命名和刪除目錄中的每個(gè)對(duì)象，并且可以將大多數(shù)對(duì)象移動(dòng)到不同的容器中。以下過程詳細(xì)介紹了創(chuàng)建計(jì)算機(jī)對(duì)象的示例。要將“Legacy”計(jì)算機(jī)對(duì)象移動(dòng)到不同的容器中，請(qǐng)按照以下步驟操作：1.在“Account

37、s”O(jiān)U 中，單擊“Engineering”O(jiān)U。2.右鍵單擊“Legacy”計(jì)算機(jī)對(duì)象，然后單擊“移動(dòng)”。3.展開“Resources”O(jiān)U，然后單擊“Servers”將其突出顯示（如圖 10 所示）。圖 10. 移動(dòng)計(jì)算機(jī)對(duì)象4.單擊“確定”，將計(jì)算機(jī)移動(dòng)到“Resources”O(jiān)U 下面的“Server”O(jiān)U 中。管理計(jì)算機(jī)對(duì)象您可以直接從“Active Directory 用戶和計(jì)算機(jī)”管理單元中管理 Active Directory 中的計(jì)算機(jī)對(duì)象?！坝?jì)算機(jī)管理”是一個(gè)組件，您可以使用它來查看和控制計(jì)算機(jī)配置的許多方面?！坝?jì)算機(jī)管理”將一些管理實(shí)用工具組合到一個(gè)控制臺(tái)樹中，可通過它方

38、便地訪問本地或遠(yuǎn)程計(jì)算機(jī)的管理屬性和工具。注意：以下示例假定您正在使用 HQ-CON-DC-01 控制臺(tái)，并且 HQ-CON-DC-02 當(dāng)前正在運(yùn)行。管理遠(yuǎn)程計(jì)算機(jī)要管理遠(yuǎn)程計(jì)算機(jī)，請(qǐng)按照以下步驟操作：1.在“Active Directory 用戶和計(jì)算機(jī)”管理單元中，右鍵單擊“”，然后單擊“連接到域”。2.單擊“瀏覽”，然后單擊“”旁邊的“+”號(hào)。雙擊“”，然后單擊“確定”。3.單擊“+”號(hào)展開“”，然后單擊“域控制器”。4.右鍵單擊“HQ-CON-DC-02”，

39、然后單擊“管理”。現(xiàn)在可以遠(yuǎn)程管理系統(tǒng)了（如圖 11 所示）。圖 11. 遠(yuǎn)程管理計(jì)算機(jī)5.關(guān)閉“計(jì)算機(jī)管理”窗口。嵌套組通過使用嵌套組，您可以提供全公司或全處范圍內(nèi)的資源訪問，而只需進(jìn)行最低限度的維護(hù)。將每個(gè)工作組帳戶組都放在一個(gè)全公司范圍內(nèi)的資源組中并不是一個(gè)有效的解決方案，因?yàn)檫@需要?jiǎng)?chuàng)建和維護(hù)數(shù)量很大的成員身份鏈接。要使用嵌套組，管理員需要?jiǎng)?chuàng)建一系列帳戶組，這些組分別代表公司管理的各個(gè)部門。例如，頂級(jí)帳戶組可以叫做“All Employees”，可以將其與一個(gè)能夠授予資源和共享目錄的訪問權(quán)的資源組相關(guān)聯(lián)。下一級(jí)可以包含代表公司主要部門的帳戶組。此級(jí)別中的各個(gè)組都是“All Employees”的成員，分別關(guān)聯(lián)著一個(gè)資源