單元九管理Windows Server 2012 證書服務(wù)器

1、LIAO NINGJIDIANPOLYTECHINIC 網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用（第三版）網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用（第三版）遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院叢佩麗叢佩麗遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用任務(wù)20 配置Windows Server 2012 證書服務(wù)器安裝證書服務(wù)器配置證書服務(wù)器應(yīng)用證書服務(wù)器遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用任務(wù)20 配置Windows Server 2012 證書證書服務(wù)器教學(xué)目標(biāo)v掌握證書（CA）的基本知識。v能夠安裝證書服務(wù)器。v能夠配置證書服務(wù)器。v能

2、夠應(yīng)用證書服務(wù)。遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用任務(wù)20 配置Windows Server 2012 證書證書服務(wù)器任務(wù)引入 某公司網(wǎng)絡(luò)管理員，要以Windows Server 2012網(wǎng)絡(luò)操作系統(tǒng)為平臺，建設(shè)公司的網(wǎng)站，公司的域名為，為了公司網(wǎng)站安全，利用安全套接層（SSL）協(xié)議實現(xiàn)安全的數(shù)據(jù)通信，公司的域名為。遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用任務(wù)20 配置Windows Server 2012 證書證書服務(wù)器任務(wù)要求v公司域名為。v能夠成功利用IP地址和域名訪問公司網(wǎng)站。v能夠使用SSL

3、協(xié)議訪問公司網(wǎng)站。遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用任務(wù)20 配置Windows Server 2012 證書證書服務(wù)器任務(wù)分析 作為公司的網(wǎng)絡(luò)管理員，為了完成該任務(wù)，需要進(jìn)行網(wǎng)絡(luò)規(guī)劃，首先利用Internet信息服務(wù)管理器（IIS）的默認(rèn)站點架設(shè)公司的網(wǎng)站，實現(xiàn)客戶機(jī)使用域名訪問公司網(wǎng)站；證書頒發(fā)機(jī)構(gòu)在服務(wù)器192.168.1.4上安裝證書服務(wù)，為Web服務(wù)器申請安裝證書，最后驗證并訪問安全點的Web站點。遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用任務(wù)20 配置Windows Server 2012

4、證書證書服務(wù)器相關(guān)知識SSL安全協(xié)議CA的作用基于Windows的CA支持4種類型遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用用戶帳戶與組管理 v Windows Server 2003是一個可以建立多域、可供多人使用的操作系統(tǒng)，因此域上用戶與計算機(jī)的管理就是服務(wù)器上最重要也是最復(fù)雜的一環(huán)。v 為了整個系統(tǒng)的安全以及提供良好的服務(wù)，每個用戶都應(yīng)有自己的用戶賬戶，以不同的組或權(quán)限來存取服務(wù)器上或域上的資源。v 除了單獨設(shè)置個人賬戶之外，也可以使用組的觀念將一些用戶賬戶集中起來，當(dāng)更改組的屬性時，該屬性也會應(yīng)用到改組的成員中。如此以來，可以減少一一修改用戶屬

5、性的麻煩 遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用用戶帳戶管理 v Windows Server 2003的用戶有兩種類型： 域用戶帳戶：域用戶帳戶建立在域控制器的Active Directory數(shù)據(jù)庫內(nèi)，域用戶帳戶可以在域內(nèi)的任何計算機(jī)上登錄，所有的域控制器都可以對該用戶進(jìn)行登錄身份驗證 本地用戶帳戶：成員服務(wù)器和獨立服務(wù)器上建立的用戶是本地用戶，用戶可以登錄到本機(jī)，但是不能登錄到域控制器上，也不能使用域內(nèi)資源 遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用用戶帳戶管理 v 內(nèi)置的用戶帳戶 Administra

6、tor（系統(tǒng)管理員）：該帳戶具有最高的權(quán)限，可以管理域內(nèi)的所有資源，為了安全，可以將其改名，但是無法將此帳戶刪除 Guest（客戶）：是臨時使用的帳戶，這個帳戶只有少部分權(quán)限，提供給偶爾登錄的用戶使用，對系統(tǒng)的安全有好處 遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用用戶帳戶管理 v 用戶帳號的創(chuàng)建 依次選擇【開始】|【程序】|【管理工具】|【Active Directory用戶和計算機(jī)】選項 并從彈出的對話框中雙擊域名，然后右擊【users】組織單位，再從彈出的快捷菜單中依次選擇【新建】|【用戶】的命令。遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系

7、統(tǒng)管理及應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用用戶帳戶管理 單擊【下一步】按鈕，進(jìn)行密碼設(shè)置遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用用戶帳戶管理 單擊【下一步】按鈕后，提示用戶賬戶的信息 遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用用戶帳戶管理 v 修改【組策略】 所有新創(chuàng)建的域用戶賬戶，可以被用來在網(wǎng)絡(luò)上從成員服務(wù)器或Windows 2000 Professional計算機(jī)登錄，卻無法直接在域控制器登錄，除非被賦予【本地登錄】 的權(quán)利。 如果要賦予域用戶帳戶在域控制器上登錄的權(quán)限，必須修改【組策略】?！窘M策略】 的修改一

8、定要小心，除非是管理員有特殊需要，并且能保證修改完以后還可以再恢復(fù)，否則可能造成不可預(yù)知的錯誤。 遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用用戶帳戶管理 v 修改【組策略】 依次選擇【開始】|程序】|管理工具】|【Active Directory用戶和計算機(jī)】選項，選中【Domain Controllers】，單擊右鍵，選擇【屬性】遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用用戶帳戶管理 單擊【編輯】，有兩項內(nèi)容，分別是【計算機(jī)配置】和【用戶配置】 遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用網(wǎng)

9、絡(luò)操作系統(tǒng)管理及應(yīng)用用戶帳戶管理 選擇【計算機(jī)配置】|【windows設(shè)置】|【安全設(shè)置】|【本地策略】選項，單擊【用戶權(quán)利指派】，這時在右側(cè)窗口中出現(xiàn)很多內(nèi)容，雙擊【在本地登錄】選項 遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用用戶帳戶管理 可以看到，系統(tǒng)默認(rèn)的允許在域控制器上登錄的用戶組有Account Operators，Administrators，Backup Operators，Print Operators，Server Operators，沒有域用戶帳戶，單擊【添加】按鈕遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用網(wǎng)絡(luò)操

10、作系統(tǒng)管理及應(yīng)用用戶帳戶管理 單擊右下腳【高級】按鈕，再單擊【立即查找】按鈕，可以在這個對話框中選擇允許在域控制器上登錄的用戶與組，如果讓所有的域用戶都可以在域控制器上登錄，雙擊Users 遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用用戶帳戶管理 依次單擊【確定】按鈕，在【在本地登錄】的用戶就由五組增加為六組 單擊【確定】返回【組策略】窗口，關(guān)閉此窗口，返回【Domain Controllers】 屬性對話框時，單擊【確定】關(guān)閉此窗口即可 組策略設(shè)置完成以后并不能立即生效，要使組策略生效，需要將計算機(jī)重新啟動，每次計算機(jī)重新啟動時，會重新應(yīng)用組策略 遼寧

11、機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用用戶帳戶管理v 域用戶賬戶的屬性設(shè)置 要設(shè)置用戶賬戶的屬性時，選擇該用戶，單擊鼠標(biāo)右鍵打開【屬性】選項 遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用用戶帳戶管理 賬戶信息的設(shè)置 選擇【賬戶】選項卡，在這里介紹用戶賬戶的【登錄時間】 、【登錄到】以及【賬戶過期】等設(shè)置 遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用用戶帳戶管理 賬戶過期 設(shè)置賬戶的有效期限，默認(rèn)為賬戶永不過期，也可以選擇【在這以后】單選框，并確定賬戶過期的時間。 登錄時間的

12、設(shè)置 【登錄時間】用來設(shè)置允許用戶登錄到域的時段，默認(rèn)是用戶可以在任何時段登錄域。設(shè)置時，單擊【登錄時間】 按鈕遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用用戶帳戶管理 限制用戶只能夠從某些工作站登錄 【登錄到】用來設(shè)置允許用戶登錄到域的計算機(jī)，系統(tǒng)默認(rèn)為用戶可從任何一臺計算機(jī)登錄域，也可以限制用戶只能從某些計算機(jī)登錄域。遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用用戶帳戶管理 配置文件 單擊【配置文件】標(biāo)簽 遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用用戶帳戶管理 成員隸屬

13、 單擊【隸屬于】標(biāo)簽 遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用用戶帳戶管理 在這個屬性頁下，可以規(guī)劃該用戶所屬于的組。在Windows Server 2003的內(nèi)建組中各有各的權(quán)限，如果我們想讓該用戶具備某一權(quán)限，則可加入對應(yīng)的組。例如，如果希望用戶李娜具有管理員的權(quán)限，則應(yīng)該將域用戶李娜加入管理員組。因此，單擊【添加】按鈕，再單擊【高級】|【立即查找】按鈕，找到【Administrators】組遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用用戶帳戶管理 最后單擊【確定】按鈕完成操作，會發(fā)現(xiàn)用戶李娜同時隸屬于【u

14、sers】組和【Administrators】組 遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用用戶帳戶管理v 管理域用戶賬戶 依次選擇【開始】|【程序】|【管理工具】|【Active Directory用戶和計算機(jī)】 選項，打開【 Active Directory用戶和計算機(jī)】 對話框，選定用戶賬戶并右擊，打開快捷菜單，然后選擇相應(yīng)的命令來管理與用戶賬戶 復(fù)制 禁用賬戶 重命名 刪除賬戶 重設(shè)密碼 解除被鎖定的用戶遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用用戶帳戶管理v 建立本地用戶賬戶 建立本地賬戶可以依次選擇

15、【開始】|【設(shè)置】|【控制面板】|【管理工具】|【計算機(jī)管理】|【系統(tǒng)管理】|【本地用戶和組】|【用戶】，然后單擊鼠標(biāo)右鍵，并從彈出的快捷菜單中選擇【新用戶】命令來完成。遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用組管理v 利用組來管理用戶，能夠起到事半功倍的效果。可以以組為單位進(jìn)行權(quán)限的設(shè)置與分配。v Windows Server 2003域內(nèi)包含多個內(nèi)置的組，包括本地域組、全局組和系統(tǒng)組。成員服務(wù)器和獨立服務(wù)器內(nèi)包含了一些內(nèi)置的本地組與系統(tǒng)組 遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用組管理v 內(nèi)置的本地域組

16、 在Windows Server 2003域的活動目錄內(nèi)，系統(tǒng)內(nèi)置了一些本地域組，這些組已經(jīng)被賦予了一些權(quán)利與權(quán)限，以便管理域控制器和Active Directory。只要將用戶添加到此組，則該用戶也具有同樣的權(quán)利與權(quán)限。 這些內(nèi)置的本地域組位于Active Directory的Builtin組織單位內(nèi)。類型有以下幾種： Administrators Server Operators Account Operators Printer Operators Backup Operators Users Guests遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)

17、用組管理v 內(nèi)置的全局組 當(dāng)建立一個域時，系統(tǒng)會Active Directory在內(nèi)建立一些內(nèi)置的全局組。這些全局組本身并沒有任何的權(quán)利與權(quán)限，但是可以通過將其加入到具備權(quán)利或權(quán)限的本地域組，或者直接給此全局組指派權(quán)利或權(quán)限 這些內(nèi)置的全局組是位于組織單位內(nèi)。以下列出幾個較常用的全局組 Domain Admins Domain Users Domain Guests Enterprise Admins遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用組管理v 內(nèi)置的本地組 在Windows Server 2003獨立服務(wù)器、Windows Server 200

18、3成員服務(wù)器的本地安全數(shù)據(jù)庫中，系統(tǒng)內(nèi)置了一些本地組，這些組本身已被賦予了一些權(quán)利與權(quán)限，以便讓其具備管理本地計算機(jī)的功能。只要將用戶或全局組等帳戶加入到此本地組內(nèi)，這些帳戶也將具有相同的權(quán)利與權(quán)限。 以下列出幾個較常用的本地組： Administrators Backup Operators Users Guests Power Users遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用組管理v 內(nèi)置的系統(tǒng)組 系統(tǒng)組位于每臺Windows Server 2003計算機(jī)內(nèi)，這些組的成員根據(jù)用戶如何訪問資源而定。無法更改這些組的成員，也就是說，無法在“Acti

19、ve Directory用戶和計算機(jī)”或“計算機(jī)管理”內(nèi)看到、管理這些組。這些組只有在設(shè)置權(quán)利、權(quán)限時才看得到。 以下列出幾個較常用的系統(tǒng)組： Everyone Authenticated Users Interactive Network Creator Owner Anonymous Logon Dialup遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用組管理v 域組的添加、刪除與更名 在【 Active Directory用戶和計算機(jī)】對話框選擇域名或某個組織單位，單擊鼠標(biāo)右鍵，從彈出的快捷菜單中依次選擇【新建】|【組】命令 在【組名】文本框輸入域組

20、的名稱，在【組名（Windows 2000 以前版本）】文本框中輸入供舊操作系統(tǒng)訪問的組名 在【組作用域】復(fù)選框中選擇組的使用領(lǐng)域：【本地域】、【全局】或【通用】 在【組類型】復(fù)選框中選擇組的類型：【安全組】或【通訊組】 單擊【確定】按鈕，完成域組的建立?？梢钥吹阶约旱慕M 遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用組管理v 添加域組的成員 要將用戶賬戶和組加入到域組中，可以在【Active Directory用戶和計算機(jī)】 對話框中雙擊域名或某組織單位，并在所選的域組上單擊鼠標(biāo)右鍵，并從彈出的快捷菜單中選擇【屬性】|【成員】|【添加】命令，選定要被加入

21、的成員，例如用戶賬戶或組等，然后單擊【添加】按鈕，最后單擊【確定】按鈕，完成設(shè)置 遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用組管理v 本地組的建立 本地組是建立在Windows 2000 Professional、 Windows 2000、 Windows Server 2003獨立服務(wù)器或成員服務(wù)器的本地安全數(shù)據(jù)庫內(nèi)，而不是域控制器內(nèi)。本地組只能訪問此組所在計算機(jī)內(nèi)的資源，無法訪問網(wǎng)絡(luò)上的資源。 建議只在未加入域的計算機(jī)內(nèi)建立本地賬戶，而不要在加入域的計算機(jī)內(nèi)建立本地組賬戶，因為無法通過域內(nèi)其他任何一臺計算機(jī)來訪問這些賬戶、設(shè)置這些賬戶的權(quán)限，因此

22、這些賬戶無法訪問域上的資源，同時域系統(tǒng)管理員也無法管理這些本地組賬戶。 本地組內(nèi)的成員可以是所屬域內(nèi)或所信任域內(nèi)的用戶賬戶、全局組、通用組以及本地用戶賬戶。 建立本地賬戶方法和建立域組，方法類似 遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用組策略 Windows Server 2003提供了“組策略”，以便能更容易地控制與管理網(wǎng)絡(luò)上用戶的工作環(huán)境與計算機(jī)的環(huán)境、減輕網(wǎng)絡(luò)管理的負(fù)擔(dān)、降低網(wǎng)絡(luò)管理的成本。通過修改“組策略”，使普通用戶可以在域控制器上登錄，這是對用戶工作環(huán)境和計算機(jī)工作環(huán)境的設(shè)置。除了以上功能，“組策略”還提供了很多強(qiáng)大的功能，以下列舉一些常

23、用功能： 帳戶策略的設(shè)置 例如設(shè)置密碼長度、密碼使用期限、帳戶鎖定策略等。 本地策略的設(shè)置 例如審核策略的設(shè)置、用戶權(quán)利的指派、安全性的設(shè)置。 腳本的設(shè)置 例如登錄/注銷、啟動/關(guān)閉腳本的設(shè)置。 用戶工作環(huán)境的設(shè)置 例如隱藏用戶桌面上所有的圖標(biāo)、刪除“開始”菜單中的“運行”“搜索”/“關(guān)機(jī)”等功能、在“開始”菜單中添加“注銷”的功能等。軟件的安裝與刪除 用戶登錄時或者計算機(jī)啟動時，自動為用戶安裝指定的應(yīng)用程序、自動修復(fù)所安裝的程序或者自動刪除所安裝的程序。 文件夾的重定向 例如改變“我的文檔”、“My Pictures”等數(shù)據(jù)的存儲位置。 遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管

24、理及應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用組策略 v 管理模板策略的設(shè)置 通過例子來介紹如何設(shè)置管理模板策略，例如將【開始】菜單中的【運行】命令刪除。 1. 建立設(shè)置時需要的單位和用戶帳戶 單擊【開始】|【程序】|【管理工具】，再單擊【Active Directory用戶和計算機(jī)】，對著域名單擊鼠標(biāo)右鍵，選擇【新建】中的【組織單位】，新添加的組織單位的名稱是人事處 。 在組織單位中創(chuàng)建用戶賬戶張歷歷，再在組織單位人事處中以同樣的方法新建一個組織單位會計，在組織單位會計中新建一個用戶賬戶，用戶登錄名為test。遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用組策略 設(shè)置與

25、測試組策略的功能 設(shè)置組策略 以administrator身份登錄以后，通過【開始】|【程序】|【管理工具】|【Active Directory用戶和計算機(jī)】的方式單擊域名，對著組織單位人事處單擊鼠標(biāo)右鍵，選擇【屬性】中的【組策略】，再選擇【新建】，添加一個新的組策略，名稱為【rsc policy】 遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用組策略 單擊【編輯】，選擇【用戶配置】|【管理模板】，【管理模板】中有很多內(nèi)容，主要有【windows 組件】，【桌面】，【控制面板】，【系統(tǒng)】和【網(wǎng)絡(luò)】，選擇【windows 組件】中的【任務(wù)欄】和【開始】菜單】

26、遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用組策略 右側(cè)窗口中詳細(xì)的內(nèi)容，用戶可以根據(jù)自己的需要設(shè)置任務(wù)欄和開始菜單的內(nèi)容，例如，從【開始】菜單刪除【收藏夾】菜單，將【注銷】添加到【開始】菜單等內(nèi)容，雙擊【從開始菜單中刪除運行菜單】 遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用組策略 測試組策略 組策略設(shè)置完成以后，我們利用已經(jīng)建立的用戶來測試組策略是否正常。 將用戶administrator注銷，利用組織單位“人事處”中的用戶“張歷歷”登錄，如果設(shè)置正確，會發(fā)現(xiàn)登錄以后，【開始】菜單中的【運行】命令不見了。 再用組織單位“會計”中的用戶“test登錄”，會發(fā)現(xiàn)用戶test登錄以后，【開始】菜單中的【運行】命令也不見了，這說明組策略繼承了 遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用組策略 v 登錄/注銷腳本的設(shè)置 在建立域用戶時，我們已經(jīng)接觸了組策略，通過修改組策略，使普通用戶可以在域控制器上登錄，修改的部分是【組策略】中的【計算機(jī)設(shè)置】，這部分內(nèi)容是修改【組策略】中的【用戶配置】，可以設(shè)置登錄與注銷腳本遼寧機(jī)電職業(yè)技術(shù)學(xué)院遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)管理及應(yīng)用組策略 登錄腳本的設(shè)置 先創(chuàng)建一個登錄腳本，單擊【開始】|【