AD域服務(wù)器詳細(xì)搭建ppt課件

1、第第5 5章章 活動目錄活動目錄學(xué)習(xí)目標(biāo)活動目錄的基本概念活動目錄的規(guī)劃與安裝域控制器的管理用戶賬戶和計算機(jī)賬戶的管理組和組織單位的管理資源發(fā)布和域的管理5.1 概 述5.1.1 活動目錄簡介5.1.2 活動目錄的三種特性 集成性 深入性 易用性5.2 5.2 安裝活動目錄安裝活動目錄5.2.1 活動目錄的規(guī)劃規(guī)劃DNS規(guī)劃域結(jié)構(gòu)規(guī)劃組織單位結(jié)構(gòu)規(guī)劃委派模式5.2.2 5.2.2 安裝活動目錄安裝活動目錄1 1）安裝活動目錄具體步驟如下：安裝活動目錄具體步驟如下：步驟一，啟動步驟一，啟動Windows Server 2019Windows Server 2019系統(tǒng)自動打開系統(tǒng)自動打開“Ser

2、ver 2019Server 2019配置服務(wù)器配置服務(wù)器窗口，或者選擇窗口，或者選擇“開開場場”/“/“程序程序”/“/“管理工具管理工具”/“/“配置服務(wù)器配置服務(wù)器”，打，打開如圖開如圖5-15-1所示配置服務(wù)器向?qū)Т翱?。所示配置服?wù)器向?qū)Т翱?。步驟二，單擊步驟二，單擊“下一步下一步”，出現(xiàn)一個配置服務(wù)器向?qū)?，出現(xiàn)一個配置服務(wù)器向?qū)У念A(yù)備步驟窗口，以確認(rèn)所提到的步驟已完成。單的預(yù)備步驟窗口，以確認(rèn)所提到的步驟已完成。單擊擊“下一步下一步”，出現(xiàn)檢測網(wǎng)絡(luò)設(shè)置窗口，如圖，出現(xiàn)檢測網(wǎng)絡(luò)設(shè)置窗口，如圖5-25-2所所示。示。步驟三，接下來出現(xiàn)配置選項窗口，我們選擇步驟三，接下來出現(xiàn)配置選項窗口，

3、我們選擇“自定自定義配置義配置選項，單擊選項，單擊“下一步下一步”，出現(xiàn)服務(wù)器角色，出現(xiàn)服務(wù)器角色窗口，也就是你想讓你的服務(wù)器擔(dān)任的角色，我們窗口，也就是你想讓你的服務(wù)器擔(dān)任的角色，我們從列表中選擇從列表中選擇“域控制器域控制器”。如圖。如圖5-35-3所示。單擊所示。單擊“下一步下一步按鈕，出現(xiàn)確認(rèn)窗口，以確認(rèn)選擇了正按鈕，出現(xiàn)確認(rèn)窗口，以確認(rèn)選擇了正確角色。單擊確角色。單擊“下一步下一步”，呈現(xiàn)，呈現(xiàn)“Active Active DirectoryDirectory安裝向?qū)Т翱诎惭b向?qū)Т翱凇? ,如圖如圖5-45-4所示。所示。也可省去前面步驟，直接通過也可省去前面步驟，直接通過“開場開場

4、”/“/“運(yùn)行運(yùn)行”，翻，翻開開“運(yùn)行運(yùn)行對話框，輸入對話框，輸入dcpromodcpromo命令，單擊命令，單擊“確定確定按鈕，打開如圖按鈕，打開如圖5-45-4所示的對話框。所示的對話框。圖5-1 “Server 2019配置服務(wù)器窗口 圖5-2 顯示活動目錄內(nèi)容5.2.2 5.2.2 安裝活動目錄安裝活動目錄2 2）5.2.2 5.2.2 安裝活動目錄安裝活動目錄3 3）步驟四，單擊“下一步”，翻開“操作系統(tǒng)兼容性對話框。其大意是早期的Windows版本無法登錄Windows Server 2019創(chuàng)建的域。圖5-3 服務(wù)器角色配置窗口5.2.2 5.2.2 安裝活動目錄安裝活動目錄4

5、4）步驟五，單擊“下一步”，“Active Directory安裝向?qū)儐栃陆ǖ挠蚩刂破鞯男再|(zhì)，如圖5-5，我們選擇“新域的域控制器”。圖5-4 Active Directory安裝向?qū)Т翱?.2.2 5.2.2 安裝活動目錄安裝活動目錄5 5）步驟六，單擊“下一步”，打開如圖5-6所示的“創(chuàng)建一個新域?qū)υ捒?，如果所?chuàng)建的域為單位的第一個域，或者希望所創(chuàng)建的新域獨(dú)立于現(xiàn)有目錄林，可選擇“新林中的域”。如果希望新的域成為現(xiàn)有域的子域，則選擇“現(xiàn)有域中的子域”。如想創(chuàng)建一個與現(xiàn)有域樹分開的、新的域樹，則選擇“在現(xiàn)有林中的域樹”。這里我們選擇“新林中的域”。 圖5-5 選擇域控制器的類型 圖5-6

6、 選擇創(chuàng)建域的類型5.2.2 5.2.2 安裝活動目錄安裝活動目錄6 6）步驟七，單擊“下一步”，打開如圖5-7所示的指定域名對話框，在“新域的DNS全名文本框中輸入新建域的DNS全名，例如。步驟八，單擊“下一步”，打開如圖5-8所示的“NetBIOS域名對話框，在“域NetBIOS名文本框中輸入NetBIOS域名，或者接受顯示的名稱。NetBIOS域名是供早期的Windows用戶用來識別新域的。 圖5-7 指定新域名 圖5-8 指定NetBIOS5.2.2 5.2.2 安裝活動目錄安裝活動目錄7 7）步驟九，單擊“下一步”，打開如圖5-9所示的“數(shù)據(jù)庫和日志文件文件夾對話框，

7、在“數(shù)據(jù)庫文件夾文本框中輸入保存數(shù)據(jù)庫的位置，或者單擊“閱讀按鈕選擇路徑，在“日志文件夾文本框中輸入保存日志的位置或單擊“閱讀按鈕選擇路徑。注意，基于最佳性和可恢復(fù)性的考慮，最好將活動目錄的數(shù)據(jù)庫和日志保存在不同的硬盤上。步驟十，單擊“下一步”，打開如圖5-10所示的“共享的系統(tǒng)卷對話框，在Server 2019中，Sysvol文件夾存放域的公用文件的服務(wù)器副本，它的內(nèi)容將被復(fù)制到域中的所有域控制器上。在“文件夾位置文本框中輸入Sysvol文件夾位置，如本例中對應(yīng)文件夾為c:WINNTSYSVOL，或單擊“閱讀按鈕選擇路徑。步驟十一，單擊“下一步”，會出現(xiàn)“Active Directory安裝

8、向?qū)У腄NS注冊診斷程序?qū)υ捒?，如圖5-11。我們選擇“在這臺計算機(jī)上安裝并配置DNS服務(wù)器，并將這臺DNS服務(wù)器設(shè)為計算機(jī)的首選DNS服務(wù)器”。5.2.2 5.2.2 安裝活動目錄安裝活動目錄8 8）圖5-9 指定活動目錄的數(shù)據(jù)庫和日志文件的文件夾圖5-10 指定系統(tǒng)卷共享文件夾5.2.2 5.2.2 安裝活動目錄安裝活動目錄9 9）步驟十二，單擊“下一步”，打開如圖5-12所示的“權(quán)限對話框，為用戶和組選擇默認(rèn)權(quán)限，如果單位中還存在或?qū)⒁肳indows 2000的以前版本，選擇“與Windows 2000之前的服務(wù)器操作系統(tǒng)兼容的權(quán)限”。否則，選擇“只與Windows 2000或Wind

9、ows Server 2019操作系統(tǒng)兼容的權(quán)限”。 圖5-11 DNS注冊診斷 圖5-12 權(quán)限設(shè)置5.2.2 5.2.2 安裝活動目錄安裝活動目錄1010）步驟十三，單擊“下一步”，翻開“目錄服務(wù)還原模式的管理員密碼對話框，如圖5-13所示，輸入并牢記該密碼，以備將來目錄服務(wù)還原模式下使用。步驟十四，單擊“下一步”，翻開“摘要對話框，如圖5-14所示。通過該對話框，用戶可檢查并確認(rèn)設(shè)置的各個選項。圖5-13 輸入目錄服務(wù)恢復(fù)模式管理員密碼 圖5-14 確認(rèn)選定的選項步驟十五，單擊“下一步”，系統(tǒng)開始配置活動目錄，中間將需要Windows Server 2019 安裝光盤，如圖5-15所示。

10、此時如果將2019光盤放入光驅(qū)，系統(tǒng)會自動完成對DNS服務(wù)器得配置。步驟十六，經(jīng)過幾分鐘之后，配置完成。同時，翻開“完成Active Directory安裝向?qū)υ捒?，如圖5-16所示，單擊“完成”，即完成活動目錄的安裝。圖5-15 配置活動目錄 圖5-16 完成活動目錄的安裝 5.2.2 5.2.2 安裝活動目錄安裝活動目錄1111）5.2.2 5.2.2 安裝活動目錄安裝活動目錄1212）活動目錄安裝完成之后，必須重新啟動計算機(jī)，活動目錄才會生效。注意：在活動目錄安裝之后，不但服務(wù)器的開機(jī)和關(guān)機(jī)時間變長，而且系統(tǒng)的執(zhí)行速度變慢。所以，如果用戶對某個服務(wù)器沒有特別要求或不把它作為域控制器來使

11、用，可將該服務(wù)器上的活動目錄刪除，使其降級為成員服務(wù)器或獨(dú)立服務(wù)器。成員服務(wù)器是指安裝到現(xiàn)有域中的附加域控制器；獨(dú)立服務(wù)器是指在名稱空間目錄樹中直接位于另一個域名之下的服務(wù)器。刪除活動目錄使服務(wù)器成為成員服務(wù)器還是獨(dú)立服務(wù)器，取決于該服務(wù)器的域控制器的類型。如果要刪除活動目錄的服務(wù)器不是域中的唯一的域控制器，則刪除活動目錄將使該服務(wù)器成為成員服務(wù)器；如果要刪除活動目錄的服務(wù)器是域中最后一個域控制器，則刪除活動目錄將使該服務(wù)器成為獨(dú)立服務(wù)器。要刪除活動目錄，翻開“開場菜單，選擇“運(yùn)行命令，翻開“運(yùn)行對話框，輸入dcpromo命令，然后單擊“確定按鈕，翻開“Active Directory安裝向?qū)?/p>

12、對話框，并沿著向?qū)нM(jìn)行刪除，這里不再細(xì)述其過程。 5.2.3 5.2.3 檢驗安裝結(jié)果檢驗安裝結(jié)果在安裝完成后，可以通過以下方法檢驗Active Directory安裝是否正確，在安裝過程中一項最重要的工作是在DNS數(shù)據(jù)庫中添加服務(wù)記錄SRV記錄），下面介紹一下如何檢查安裝結(jié)果。1檢查DNS文件的SRV記錄。用文本編輯器打開%SystemRoot%/system32/config/中的Netlogon.dns文件，察看LDAP服務(wù)記錄，在本例中為_ldap._. 600 IN SRV 0 100 389 。2驗證SRV記錄在NSLOOKU

13、P命令工具中運(yùn)行是否正常。（1在命令提示行下，輸入NSLOOKUP；（2輸入set type=srv；（3輸入_ldap._。如果返回了服務(wù)器名和IP地址，說明SRV記錄工作正常。 5.3 域控制器管理域控制器管理域Domain是活動目錄的分區(qū)，定義了安全邊界，在沒經(jīng)過授權(quán)的情況下，不允許其他域中的用戶訪問本域中的資源?；顒幽夸浛捎梢粋€或多個域組成，每一個域可以存儲上百萬個對象，域之間還有層次關(guān)系，可以建立域樹和域林，如圖5-17、5-18所示，進(jìn)行無限地域擴(kuò)展。圖中的雙箭頭表示域之間的信任關(guān)系，Server 2019中域的信任關(guān)系都是雙向和可傳遞的。 域的信任關(guān)系域的

14、信任關(guān)系圖 5-17 域樹 圖 5-18 域林 5.3.1 設(shè)置域控制器屬性設(shè)置域控制器屬性1）設(shè)置域控制器屬性，具體步驟如下：步驟一，選擇“開場”/“程序”/“管理工具”/“Active Directory用戶與計算機(jī)菜單，翻開“Active Directory用戶與計算機(jī)管理窗口，如圖5-19所示。步驟二，在控制臺目錄樹中，雙擊展開域節(jié)點。單擊Domain Controllers子節(jié)點。步驟三，在詳細(xì)資料窗格中，右擊要設(shè)置屬性的域控制器，從彈出的快捷菜單中選擇“屬性”，打開該控制器的“屬性對話框，如圖5-20所示。步驟四，在“常規(guī)選項卡的“描繪文本框中輸入對域控制器的一般描述。如果不希望域

15、控制器的可受信任用來作為委派，可禁用“信任計算機(jī)作為委派復(fù)選框。步驟五，選擇“操作系統(tǒng)選項卡，在該選項卡中，顯示出操作系統(tǒng)的名稱、版本以及Service Pack，管理員只能查看并不能修改這些內(nèi)容。步驟六，選擇如圖5-21所示的“隸屬于選項卡，要添加組，單擊“添加按鈕，翻開“選擇組對話框為域控制器選擇一個要添加的組；要刪除某個已經(jīng)添加的組，在“成員屬于列表框選擇該組，然后單擊“刪除按鈕即可。5.3.1 設(shè)置域控制器屬性設(shè)置域控制器屬性2）圖5-19 Active Directory用戶和計算機(jī)窗口5.3.1 設(shè)置域控制器屬性設(shè)置域控制器屬性3） 步驟七，當(dāng)管理員為域控制器添加多個組時，還可為域

16、控制器設(shè)置一個主要組。要設(shè)置主要組，在“隸屬于列表框中選擇要設(shè)置的主要組，一般為Domain Controllers，也可為Cert Publishers，然后單擊“設(shè)置主要組按鈕即可。 步驟八，選擇“位置選項卡，可以設(shè)置域控制器的位置。步驟九，選擇“管理者選項卡，要更改域控制器的管理者，可單擊“更改按鈕，翻開“選擇用戶或聯(lián)系人對話框，選擇新的管理人即可。要刪除管理者，可單擊“去除按鈕來刪除；要查看和修改管理者屬性，可單擊“查看按鈕，打開該管理者屬性對話框來進(jìn)行操作。 步驟十，域控制器設(shè)置完畢，單擊“確定按鈕保存設(shè)置。 5.3.1 設(shè)置域控制器屬性設(shè)置域控制器屬性4）圖5-20 設(shè)置域控制器屬

17、性 圖5-21 設(shè)置成員組 5.3.2 查找域控制器目錄內(nèi)容查找域控制器目錄內(nèi)容1）要查找目錄內(nèi)容，可參照如下步驟：步驟一，在“Active Directory用戶和計算機(jī)窗口的控制臺目錄樹中，鼠標(biāo)右擊域節(jié)點，在彈出的快捷菜單中選擇“查找命令，翻開“查找用戶聯(lián)系人及組對話框，如圖5-22所示。步驟二，在“查找下拉列表框中可以選擇要查找的目錄內(nèi)容，包括“用戶、聯(lián)系人及組”、“計算機(jī)”、“打印機(jī)”、“共享文件夾”、“組織單位”、“自定義搜索等。例如，在列表中選擇“計算機(jī)”，如圖5-23所示。在“范圍下拉列表框中選擇查找范圍，如整個目錄。步驟三，在“計算機(jī)選項卡中，設(shè)置查找條件。例如，在“計算機(jī)文本

18、框中輸入要查找的計算機(jī)名，在“所有者文本框中輸入計算機(jī)的用戶名，在“作用下拉列表框中選擇計算機(jī)在網(wǎng)絡(luò)中作用。步驟四，單擊“高級選項卡，要設(shè)置高級查找條件，單擊“字段按鈕，從彈出的快捷菜單中選擇設(shè)置條件的選項，然后在“條件下拉列表框和“值文本框中設(shè)置查詢條件。5.3.2 查找域控制器目錄內(nèi)容查找域控制器目錄內(nèi)容2）步驟五，高級條件設(shè)置好之后，單擊“添加按鈕，將條件添加到下面的文本框中。如果要繼續(xù)添加高級條件，可按照上面步驟繼續(xù)添加。步驟六，所有查找條件設(shè)置完畢，單擊“開始查找按鈕即開始查找，并將查找結(jié)果列出，如圖5-23下面窗口所示。圖5-22 “查找用戶聯(lián)系人及組對話框圖圖5-23 列出查找結(jié)

19、果 5.3.3 連接到其他域連接到其他域在一個多域的網(wǎng)絡(luò)中，用戶經(jīng)常需要將當(dāng)前域連接到其他域，這樣可使當(dāng)前域中的用戶和計算機(jī)訪問其他域中的資源，也可將當(dāng)前域控制器的部分操作主機(jī)功能傳送給其他域控制器，甚至可將當(dāng)前域控制器更改為其他域中的域控制器。要連接到網(wǎng)絡(luò)中其他域，在控制臺目錄樹中，鼠標(biāo)右擊“Active Directory用戶和計算機(jī)根結(jié)點，從彈出的快捷菜單中選擇“連接到域命令，打開如圖5-24所示的“連接到域?qū)υ捒?，在“域文本框中輸入要連接的域的名稱；或者單擊“閱讀”，翻開“瀏覽域?qū)υ捒蜻x擇要連接的域，單擊“確定即可建立連接。圖5-24 連接到其他域 注意：一般情況下，一個域網(wǎng)絡(luò)中至少應(yīng)

20、有兩個域控制器一個域控制器和一個附加域控制器），以便在當(dāng)前域控制器出現(xiàn)故障時，可使用附加域控制器來代替當(dāng)前域控制器，保證網(wǎng)絡(luò)的正常運(yùn)行。5.3.4 更改域控制器更改域控制器要更改域控制器，在控制臺目錄樹中，鼠標(biāo)右擊“Active Directory用戶和計算機(jī)根節(jié)點，從彈出的快捷菜單中選擇“連接到域控制器”，打開如圖5-25所示的“連接到域控制器對話框。在“輸入另一個域控制器的名稱文本框中輸入要連接的域控制器；或者從域控制器列表中選擇一個要連接的域控制器。如果在域中沒有列出其他可用的域控制器，可選擇“任何可寫的域控制器選項，系統(tǒng)會根據(jù)網(wǎng)絡(luò)連接情況自動選擇可用的域控制器。要連接的域控制器選定之后

21、，單擊“確定按鈕完成連接。 圖5-25 連接到域控制器5.4 用戶和計算機(jī)賬戶管理用戶和計算機(jī)賬戶管理5.4.1 用戶和計算機(jī)賬戶簡介 用戶賬戶 計算機(jī)賬戶 5.4.2 創(chuàng)建用戶和計算機(jī)賬戶創(chuàng)建用戶和計算機(jī)賬戶1）用戶賬戶的創(chuàng)建可參照如下步驟：步驟一，在“Active Directory用戶和計算機(jī)窗口的控制臺目錄樹中，雙擊展開域節(jié)點。步驟二，如果要創(chuàng)建用戶賬戶，鼠標(biāo)右擊要添加用戶的組織單位或容器，從彈出的快捷菜單中選擇“新建”/“用戶”，打開如圖5-26所示的對話框。步驟三，在“姓和“名文本框中分別輸入姓和名，并在“用戶登錄名文本框中輸入用戶登錄時使用的名字。步驟四，單擊“下一步”，打開如圖

22、5-27所示的對話框。步驟五，在“密碼和“確認(rèn)密碼文本框中輸入要為用戶設(shè)置的密碼。如果希望用戶下次登錄時更改密碼，可選擇“用戶下次登錄時須更改密碼”，否則選擇“用戶不能更改密碼”。如果希望密碼永遠(yuǎn)不過期，可選擇“密碼永不過期”。如果暫不啟用該用戶賬戶，可選擇“賬戶已禁用”。步驟六，單擊“下一步按鈕即可完成創(chuàng)建。創(chuàng)建計算機(jī)賬戶方法同上，只需在上述第2步中選擇“計算機(jī)”，在彈出的對話框中輸入該計算機(jī)的名稱，單擊“確定即可。5.4.2 創(chuàng)建用戶和計算機(jī)賬戶創(chuàng)建用戶和計算機(jī)賬戶2）圖5-26 新建用戶 圖5-27 密碼設(shè)置5.4.3 5.4.3 刪除用戶和計算機(jī)賬戶刪除用戶和計算機(jī)賬戶 要刪除一個用戶

23、和計算機(jī)賬戶，在控制臺目錄樹中，展開域節(jié)點。單擊要刪除的用戶或者計算機(jī)所在的組織單位或容器，在詳細(xì)資料窗格中，鼠標(biāo)右擊要刪除的用戶或者計算機(jī)，從彈出的快捷菜單中選擇“刪除”，出現(xiàn)信息確認(rèn)框后，單擊“是即可刪除該用戶或者計算機(jī)。 5.4.4 5.4.4 停用用戶和計算機(jī)賬戶停用用戶和計算機(jī)賬戶 停用用戶賬戶，在控制臺目錄樹中，展開域節(jié)點。單擊要停用的用戶賬戶或者計算機(jī)所在的組織單位或容器，在詳細(xì)資料窗格中，右擊要停用的用戶或者計算機(jī)賬戶，從彈出的快捷菜單中選擇“停用賬戶命令，出現(xiàn)信息確認(rèn)框后，單擊“是按鈕即可停用被選用戶或者計算機(jī)賬戶。 5.4.5 5.4.5 移動用戶和計算機(jī)賬戶移動用戶和計算

24、機(jī)賬戶要移動用戶和計算機(jī)賬戶，在控制臺目錄樹中，展開域節(jié)點。單擊要移動用戶或者計算機(jī)賬戶所在的組織單位或容器，在詳細(xì)資料窗格中，鼠標(biāo)右擊要移動的用戶賬戶，從彈出的快捷菜單中選擇“挪動”，翻開“挪動對話框，在“將對象移動到容器對話框中雙擊域節(jié)點，展開該節(jié)點，如圖5-28所示。單擊移動的目標(biāo)組織單位，然后單擊“確定即可完成移動。圖5-28 移動賬戶5.4.6 為用戶和計算機(jī)賬戶添加組為用戶和計算機(jī)賬戶添加組要為用戶賬戶添加組，在控制臺目錄樹中，展開域節(jié)點，鼠標(biāo)單擊要加入組的用戶所在的組織單位或容器，在詳細(xì)資料窗口中，鼠標(biāo)右鍵單擊該用戶賬戶，從彈出的快捷菜單中選擇“添加到組”，打開如圖5-29所示的

25、“選擇組對話框，可以直接輸入組對象的名稱，也可以打開“高級選項卡進(jìn)行查找。然后在組列表框中選擇一個要添加的組，單擊“確定按鈕即可為用戶添加組。要為計算機(jī)賬戶添加組，在控制臺目錄樹中，展開域節(jié)點，鼠標(biāo)單擊“計算機(jī)或者要加入組的計算機(jī)所在的組織單位及容器，在詳細(xì)資料窗口中，鼠標(biāo)右鍵單擊該計算機(jī)賬戶，從彈出的快捷菜單中選擇“屬性命令，打開該計算機(jī)的屬性對話框。然后單擊“成員屬于標(biāo)簽，翻開“隸屬于選項卡，單擊“添加按鈕，翻開“選擇組對話框選擇要加入的組，單擊“確定按鈕完成添加。 圖5-29 為用戶添加組 5.4.7 5.4.7 重設(shè)用戶密碼重設(shè)用戶密碼 5.4.8 5.4.8 管理客戶計算機(jī)管理客戶計

26、算機(jī) 要重新設(shè)置用戶密碼，在控制臺目錄樹中，展開域節(jié)點。然后單擊包含要重新設(shè)置密碼的用戶的組織單位或容器，在詳細(xì)資料窗口中，鼠標(biāo)右鍵單擊該用戶賬戶，從彈出的快捷菜單中選擇“重設(shè)密碼”，翻開 “重設(shè)密碼對話框，在“新密碼和“確認(rèn)密碼文本框中輸入要設(shè)置的新密碼。如果允許用戶更改密碼，可選擇“用戶下次登錄時須更改密碼復(fù)選框。單擊“確定按鈕保存設(shè)置，同時系統(tǒng)會打開確認(rèn)信息框，單擊“確定按鈕可完成設(shè)置。 要管理客戶計算機(jī)，在控制臺目錄樹中，展開域節(jié)點。然后單擊要管理的計算機(jī)所在的組織單位，鼠標(biāo)右鍵單擊該計算機(jī)，從彈出的快捷菜單中選擇“管理命令，打開該計算機(jī)的計算機(jī)管理窗口。在該窗口中，管理員可以對連接的

27、計算機(jī)進(jìn)行系統(tǒng)工具、存儲、服務(wù)器應(yīng)用程序和服務(wù)等方面的管理。例如可以對該計算機(jī)上的用戶進(jìn)行管理。 5.5 組和組織單位的管理組和組織單位的管理 v組是Server 2019從Windows 2000系統(tǒng)繼承下來的安全管理形式，它是指活動目錄或本地計算機(jī)對象，包含用戶、聯(lián)系人、計算機(jī)和其他組等。在Server 2019中，組可以用來管理用戶和計算機(jī)對網(wǎng)絡(luò)資源的訪問，例如活動目錄對象及其屬性、網(wǎng)絡(luò)共享、文件、目錄、打印機(jī)隊列，還可以篩選組策略。使用組，方便了管理訪問目的和權(quán)限相同的一系列用戶和計算機(jī)賬戶。v組織單位Organizational Unit，OU是域中包含的一類目錄對象，它包括域中一些

28、用戶、計算機(jī)和組、文件與打印機(jī)等資源。不過，組織單位不能包含其他域中的對象。由于活動目錄服務(wù)把域又詳細(xì)的劃分成組織單位，且組織單位中還可以再劃分下級組織單位，因此組織單位的分層結(jié)構(gòu)可用來建立域的分層結(jié)構(gòu)模型，進(jìn)而可使用戶把網(wǎng)絡(luò)所需的域的數(shù)量減至最小。v注意：組和組織單位有很大的不同。組主要用于權(quán)限設(shè)置，而組織單位則主要用于網(wǎng)絡(luò)構(gòu)建；另外，組織單位只表示單個域中的對象集合可包括組對象），而組可以包含用戶、計算機(jī)、本地服務(wù)器上的共享資源、單個域、域目錄樹或目錄林。 5.5.1 5.5.1 創(chuàng)建新組和組織單位創(chuàng)建新組和組織單位 要創(chuàng)建新組，在控制臺目錄樹中，展開域節(jié)點。鼠標(biāo)右鍵單擊要進(jìn)行組創(chuàng)建的組織

29、單位或容器，從彈出的快捷菜單中選擇“新建”/“組命令，打開如圖5-30所示的對話框，在“組名文本框中輸入要創(chuàng)建的組名。在“組作用域選項區(qū)域中，選擇單選按鈕來確定組的作用域；在“組類型選項區(qū)域中，通過單選按鈕來選擇新組的類型。單擊“確定按鈕即完成組的創(chuàng)建。要添加組織單位，在控制臺目錄樹中，展開域節(jié)點。鼠標(biāo)右鍵單擊域節(jié)點或者可添加組織單位的文件夾節(jié)點，從彈出的快捷菜單中選擇“新建”/“組織單位命令，在打開的對話框的“名稱文本框中輸入新創(chuàng)建組織單位的名稱，單擊“確定即可。圖5-30 創(chuàng)建組5.5.2 5.5.2 刪除組和組織單位刪除組和組織單位 要刪除組和組織單位，在控制臺目錄樹中，展開域節(jié)點。鼠標(biāo)

30、單擊要刪除的組或組織單位所在的組織單位，詳細(xì)資料窗格中會列出該組織單位的內(nèi)容。然后鼠標(biāo)右鍵單擊要刪除的組或組織單位，選擇快捷菜單中“刪除命令，這時系統(tǒng)會打開信息確認(rèn)框，單擊“是按鈕即完成組或組織單位的刪除。5.5.3 委派控制組或組織單位委派控制組或組織單位1） 如果要對某個組或組織單位進(jìn)行委派控制，可參照下面的步驟：步驟一，在“Active Directory用戶與計算機(jī)窗口的控制臺目錄樹中，鼠標(biāo)雙擊展開域節(jié)點。步驟二，鼠標(biāo)右鍵單擊要委派控制的組織單位或組節(jié)點，例如Users，從彈出的快捷菜單中選擇“委派控制命令，進(jìn)入“控制委派向?qū)Т翱?，單擊“下一步按鈕。步驟三，在打開的“用戶和組對話框中，

31、單擊“添加按鈕，翻開“選擇用戶、計算機(jī)或組對話框，你可以直接輸入一個或多個要委派控制的用戶或組，也可單擊“高級選項卡進(jìn)行查找，從列表中選擇一個或多個要委派控制的用戶或組。步驟四，選擇之后單擊“確定按鈕，則在圖5-31中的“輸入對象名來選擇文本框中會出現(xiàn)所選對象，單擊“確定”。步驟五，在打開的窗口中單擊“下一步按鈕，翻開“要委派的任務(wù)對話框。我們可以選擇要委派的常見任務(wù)。我們這里選擇“創(chuàng)建自定義任務(wù)去委派選項。步驟六，單擊“下一步按鈕，打開如圖5-32所示對話框。指定委派任務(wù)范圍。如果要委派的對象為整個文件夾，可選擇“這個文件夾”，如果要委派的對象只是文件夾中的對象，可選擇“文件夾中的對象”，并

32、在“對象類型列表框中通過復(fù)選框來選擇對象。 5.5.3 委派控制組或組織單位委派控制組或組織單位2）圖5-31選擇用戶和組 步驟七，單擊“下一步按鈕，翻開“權(quán)限對話框，如圖5-33所示。通過選擇“要委派的權(quán)限復(fù)選框來選擇要委派的權(quán)限，例如選擇“讀取”、“創(chuàng)建所有子對象等復(fù)選框設(shè)置相應(yīng)權(quán)限。注意，對不同資源進(jìn)行控制委派，配置向?qū)в兴煌?5.5.3 委派控制組或組織單位委派控制組或組織單位3）圖5-32 定義要委派控制任務(wù) 圖5-33 指定委派權(quán)限5.5.4 5.5.4 設(shè)置組織單位屬性設(shè)置組織單位屬性1 1） 要設(shè)置組織單位的屬性，可參照下面的步驟。步驟一，在控制臺目錄樹中，鼠標(biāo)右鍵單擊要設(shè)

33、置屬性的組織單位，從彈出的快捷菜單中選擇“屬性命令，打開該組織單位的屬性對話框，如圖5-34所示。步驟二，在“常規(guī)選項卡中，可以設(shè)置“描繪”、“省/自治區(qū)”、“縣市”、“街道和“郵政編碼等計算機(jī)和用戶常規(guī)信息。 圖5-34 設(shè)置屬性 圖5-35 管理組策略5.5.4 5.5.4 設(shè)置組織單位屬性設(shè)置組織單位屬性2 2）步驟三，選擇“管理者選項卡，單擊“更改按鈕，翻開“選擇用戶或聯(lián)系人對話框選擇一個用戶或聯(lián)系人作為管理者；管理者更改之后，單擊“屬性按鈕，可打開所更改的管理者的屬性對話框，管理員可對管理者的屬性進(jìn)行修改，如果要清除管理者，單擊“去除按鈕即可。步驟四，單擊“組策略選項卡，如圖5-35

34、所示。要新建一個組策略對象，單擊“新建按鈕，在“組策略對象鏈接列表框中會出現(xiàn)一個新的組策略對象，在其名稱文本框中為新策略輸入一個有意義的名稱。步驟五，單擊“編輯按鈕，會打開如圖5-36所示的“組策略編輯器窗口。在該窗口中，管理員可對創(chuàng)建的組策略進(jìn)行編輯，包括計算機(jī)配置和用戶配置兩個方面。如圖5-36所示可以對計算機(jī)配置中的“登錄策略進(jìn)行編輯，例如登錄時是否顯示歡迎界面，啟動和登錄是否等待網(wǎng)絡(luò)等性質(zhì)進(jìn)行設(shè)置。編輯完畢，關(guān)閉窗口。步驟六，要設(shè)置某個組策略對象的屬性，在圖5-35中組策略對象鏈接列表中選擇對象，單擊“屬性按鈕，打開該對象屬性對話框，進(jìn)展“常規(guī)”、“鏈接和“平安方面的設(shè)置。步驟七，在列

35、表中，不同位置的組策略對象具有不同的優(yōu)先級，較高位置的組策略對象比較低位置的組策略對象優(yōu)先級高。所以，管理員可以改變組策略對象在列表中的位置來決定組策略對象的應(yīng)用級別。要改變某個組策略對象在列表中的位置，選擇該對象，單擊“向上或“向下按鈕即可上移或下移該對象。如果要刪除某個組策略對象，在列表中選擇該對象，然后單擊“刪除按鈕即可。 5.5.4 5.5.4 設(shè)置組織單位屬性設(shè)置組織單位屬性3 3）圖5-36 編輯組策略 5.5.4 5.5.4 設(shè)置組織單位屬性設(shè)置組織單位屬性4 4）步驟八，用戶要配置某個組策略對象的選項，在如圖5-35組策略鏈接列表中選擇“戰(zhàn)略對象，單擊“選項按鈕，打開該組策略對

36、象的選項對話框，如圖5-37所示。在“鏈接選項選項區(qū)域中，選擇“禁止替代復(fù)選框，可防止其他組策略對象替代這個組對象中的策略集；啟用“已禁用復(fù)選框，可暫時禁用該策略，需要啟用時，禁用“已禁用復(fù)選框即可。然后單擊“確定按鈕返回到組策略選項卡。步驟九， 如果要防止組策略被下一級組織單位所繼承，可啟用“阻止策略繼承復(fù)選框見圖5-35）。最后單擊“關(guān)閉按鈕保存屬性設(shè)置。 圖5-37 配置組策略對象選項 5.5.5 5.5.5 設(shè)置組屬性設(shè)置組屬性1 1） 要設(shè)置組的屬性，具體步驟如下：步驟一，在控制臺目錄樹中鼠標(biāo)單擊要設(shè)置屬性的組所在的組織單位或容器，在詳細(xì)資料窗口中，鼠標(biāo)右鍵單擊要添加成員的組，從彈出

37、的快捷菜單中選擇“屬性命令，打開該組的屬性對話框，如圖5-38所示。步驟二，為了便于管理，在“描繪和“注釋文本框中分別輸入有關(guān)該組的描述和注釋；可以修改組名稱；為了便于組管理員與組成員交換信息，在“電子郵件文本框中輸入組管理員的電子郵件地址。 圖5-38 設(shè)置常規(guī)屬性 圖5-39 添加成員到組5.5.5 5.5.5 設(shè)置組屬性設(shè)置組屬性2 2）步驟三，單擊“成員選項卡，如圖5-39所示。要添加成員，單擊“添加”，翻開“選擇用戶聯(lián)系人或計算機(jī)對話框選擇要添加的成員。要刪除組成員，在“成員列表框中選擇要刪除的組成員，然后單擊“刪除即可。步驟四，用戶設(shè)置新組的權(quán)限,主要通過向新組添加內(nèi)置組來實現(xiàn)。選

38、擇“隸屬于選項卡，單擊“添加”，翻開“選擇組對話框，為自己創(chuàng)建的組選擇內(nèi)置組。要刪除某個組權(quán)限，在“隸屬于列表框中選擇該組，單擊“刪除即可。步驟五，要設(shè)置組的管理者，選擇“管理者選項卡。要更改組管理者，單擊“更改按鈕，翻開“選擇用戶或聯(lián)系人對話框選擇管理者；要查看管理者的屬性，單擊“屬性按鈕進(jìn)行查看；如果要清除管理者對組的管理，單擊“去除按鈕即可。步驟六，屬性設(shè)置完畢，單擊“確定按鈕保存設(shè)置并關(guān)閉屬性對話框。 5.6 5.6 資源發(fā)布和域的管理資源發(fā)布和域的管理 5.6.1 資源發(fā)布的管理一、資源的發(fā)布1公布共享文件夾的步驟如下：（1運(yùn)行“管理工具”/“Active Directory域和信任

39、關(guān)系管理應(yīng)用程序；（2在控制臺樹中，鼠標(biāo)雙擊“域節(jié)點”；（3鼠標(biāo)右鍵單擊想在其中添加共享文件夾的文件夾，指向“新建并單擊“共享文件夾對話框，如圖5-40所示；（4鍵入文件夾的名稱和網(wǎng)絡(luò)路徑；（5單擊“確定按鈕完成操作。2公布打印機(jī)的步驟如下：（1翻開“Active Directory用戶和計算機(jī)”；（2在控制臺樹中，鼠標(biāo)雙擊“域節(jié)點”；（3在控制臺樹中，鼠標(biāo)右鍵單擊想在其中公布打印機(jī)的文件夾，指向“新建”，并單擊“打印機(jī)”；（4鍵入網(wǎng)絡(luò)路徑，如圖5-41所示。（5單擊“確定按鈕完成操作。 圖5-41 設(shè)置共享打印機(jī)路徑 圖5-40 設(shè)置共享文件夾5.6.1 資源發(fā)布的管理二、資源的查找若要進(jìn)行

40、自定義搜索，可參照如下步驟：（1運(yùn)行“管理工具”/“Active Directory域和信任關(guān)系管理應(yīng)用程序；（2在控制臺樹中用鼠標(biāo)右鍵單擊“域節(jié)點”，然后單擊“查找”；（3在“查找中單擊“自定義搜索”；（4鼠標(biāo)單擊“字段”，選擇要搜索的對象種類，然后單擊要為其指定搜索值的對象的屬性；（5在“條件中單擊搜索的條件；（6在“值中鍵入要應(yīng)用搜索條件的屬性值；（7單擊“添加”，將該搜索條件添加至自定義搜索；（8重復(fù)第4步至第7步，直到添加完所需的全部搜索條件為止； （9單擊“開始查找按鈕。 5.6.2 5.6.2 域的管理域的管理 1提升域功能級別Windows Server 2019中有四個域功能

41、級別，下表列出了域功能級別及其所支持的域控制器。默認(rèn)情況下，域以Windows 2000混合功能級別操作。域功能級別支持的域控制器Windows 2000 混合模式Windows NT 4.0、Windows 2000、Windows Server 2019家族Windows 2000 純模式Windows 2000、Windows Server 2019家族Windows Server 2019臨時Windows NT 4.0、Windows Server 2019家族Windows Server 2019Windows Server 2019家族表5-1 域功能級別與其支持的域控制器5.6

42、.2 5.6.2 域的管理域的管理根據(jù)網(wǎng)絡(luò)的實際需要，可以提升域功能級別，提升域功能級別的具體步驟如下：步驟一，運(yùn)行“管理工具”/“Active Directory域和信任關(guān)系管理應(yīng)用程序；步驟二，鼠標(biāo)右鍵單擊你想要管理的域的“域節(jié)點”，然后單擊“提升域功能級別”；步驟三，在打開如圖5-42所示窗口中，我們可以在“選一個可用的域功能級別的下拉菜單中選擇一種模式。 圖5-42 更改域模式 2. 2. 創(chuàng)建明確的域信任創(chuàng)建明確的域信任創(chuàng)建明確的域信任具體步驟如下：步驟一，運(yùn)行“管理工具”/“Active Directory域和信任關(guān)系管理應(yīng)用程序；步驟二，在控制臺樹中，鼠標(biāo)右鍵單擊要管理的域節(jié)點，