Windows_Server_2003域及其帳戶管理

1、第3章 Windows Server 2003域及其賬戶管理張書源局域網(wǎng)中兩種常見的組織方式一、工作組模式在工作組模式的網(wǎng)絡中，各計算機是獨立的，各計算機中的賬戶和資源也是各自進行管理的。如果一個人想要訪問不同的計算機，就需要在每臺計算機中建立賬戶。訪問時，也需要分別登錄。ABCABCABC二、域模式在域模式的網(wǎng)絡中，可以把各計算機組織起來，各計算機中的賬戶和資源也可以組織起來進行集中管理。當一個域用戶要訪問域中不同的計算機，他只需登錄一次就可以訪問域中的各臺計算機中的共享資源。ABC域控制器域網(wǎng)絡的結構一、域控制器在域結構的網(wǎng)絡中，需要一個對賬戶和資源進行統(tǒng)一管理的機制，這個機制就是活動目錄

2、Active Directory。域中所有的賬戶和共享資源都需要在活動目錄中進行登記。用戶可以利用活動目錄查找和使用這些資源。安裝有活動目錄的計算機稱為域控制器。二、域名每個域都有一個域名，用于標識一個域。域名通常采用層次結構命名。如：jsj.local三、成員計算機域建立后，只有那些參加到域中的計算機才能用來訪問域中的資源，這些計算機是成員計算機。成員計算機的計算機全名：計算機名.域名如：一臺計算機名字為A，當它參加 jsj.local 域后，它的全名變?yōu)?。四、DNS效勞器在網(wǎng)絡中訪問計算機時使用的地址是IP地址。當我們用計算機名訪問成員計算機時，需要先通過DNS效勞器把計算機名轉換為IP

3、地址再訪問。A.jsj.local192.168.0.10B.jsj.local192.168.0.11A192.168.0.10DNS服務器人員B在網(wǎng)上鄰居中找到了域中的計算機A，雙擊計算機A的圖標提出訪問請求。DNS效勞器將計算機A的名字解析為IP地址，并將IP地址回送給人員B。人員B利用IP地址訪問計算機A。五、域的其它組成局部DHCP效勞器：用于為域中的各成員計算機分配IP地址等配置信息。如果域中的計算機都采用手工配置IP地址，那么可以不需要DHCP效勞器。域用戶帳戶：用于域使用者的身份驗證，只有擁有了域用戶帳戶的人員才能登錄到域。域共享資源：可被域用戶共享的資源。單域網(wǎng)絡的構建第一步

4、：安裝域控制器一個域可以有一個或多個域控制器，各域控制器是平等的，管理員可以在任一臺域控制器上更新域中的信息，更新的信息會自動傳遞到網(wǎng)絡中的其它域控制器中。設置多個域控制器可以提高域的平安性。域控制器、DNS效勞器、DHCP效勞器可以安裝在不同計算機中，不過，在多數(shù)情況下，它們都安裝在同一臺計算機中。安裝域控制器就是安裝 Active Directory 的過程。安裝了 Active Directory 的計算機就成為域控制器。安裝過程：準備工作：選擇一臺準備作為域控制器的計算機。它必須有一個NTFS分區(qū)。如果它已經(jīng)存在DNS效勞器或DHCP效勞器，應該將它們卸載。檢查該機IP設置：如果將來D

5、NS和DHCP效勞器都要裝在該計算機中，應該設置一個固定的IP地址，DNS效勞器地址也應該設置為本機IP地址。單擊“開始 | 管理工具 | 配置您的效勞器向導。在效勞器角色中選擇“域控制器，單擊“下一步，啟動 Active Directory 安裝向導。選擇“域控制器類型：假設選擇“新域的域控制器那么表示創(chuàng)立一個新域；假設選擇“現(xiàn)有域的額外域控制器那么表示在現(xiàn)有域中增加域控制器。選擇“域的類型：假設選擇“在新林中的域表示建立一個獨立的域。指定域名：輸入新域的域名。域名必須符合DNS域名規(guī)那么，輸入后，系統(tǒng)會花一些時間在網(wǎng)絡中檢查該域名。由于域名建立后很難更改，所以最好一次確定域名，防止更改。指

6、定NetBIOS名：默認為DNS域名的前半段，一般不需修改。設置數(shù)據(jù)庫和日志文件文件夾位置：如果條件許可，這兩個文件夾最好放在兩塊不同的硬盤中。設置“共享的系統(tǒng)卷的位置：這個文件夾必須設置在NTFS分區(qū)內(nèi)。選擇或安裝DNS效勞器：可以在本機上安裝DNS效勞器，也可以選擇自己安裝DNS效勞器。權限設置：如果網(wǎng)絡中有舊版本的域控制器，要選擇與其對應的兼容性權限。設置復原模式下的管理員密碼：復原模式是域控制器的平安模式，可用于修復活動目錄數(shù)據(jù)庫。參數(shù)設置完成，單擊“下一步開始安裝活動目錄，這期間需要插入 Windows Server 2003 安裝盤。安裝時間需要幾分鐘。安裝完成后，要求重新啟動計算

7、機。重啟之后，域控制器安裝完成。安裝了第一個域控制器后意味著域已經(jīng)建立。其后還需進行以下工作：安裝額外的域控制器：可根據(jù)需要安裝。將計算機參加域：這些計算機成為該域的成員計算機。創(chuàng)立域用戶帳戶，并把它們分配給特定人員：這些人成為域用戶。向域中添加共享資源：這些資源可以供域用戶共享。刪除域控制器如果域中有多個域控制器，刪除了一個域控制器，該計算機就降格為成員計算機。如果刪除了域中所有域控制器，那么該域也被刪除。刪除方法：與安裝方法一樣。單擊“開始 | 管理工具 | 配置您的效勞器向導。在效勞器角色中選擇“域控制器，單擊“下一步，啟動 Active Directory 安裝向導。按照提示完成操作就

8、刪除了域控制器。多域網(wǎng)絡如果一個單位有多個部門，可以在每個部門建立一個域。多域網(wǎng)絡通常有3種結構：1、彼此獨立的域域A域B2、域樹結構根域A子域B子域C子域D3、域林結構根域A子域C子域E子域D根域B域信任關系彼此獨立的域之間沒有信任關系。這種域之間不能互訪對方的共享資源。建立了信任關系的域，經(jīng)過一定的授權后，用戶可以在一個域中訪問另一個域中的共享資源。信任關系有方向性和傳遞性。域A域B域C假設域A和域B建立了雙向可傳遞的信任關系，域B和域C建立了雙向可傳遞的信任關系，那么域A和域C自動成為雙向信任的。信任類型1、父子：雙向、可傳遞用于構建域樹結構，父域與子域之間為父子信任關系。2、樹根：雙向

9、、可傳遞用于構建域林結構，域林中根域之間為樹根信任關系。根域A子域C子域E子域D根域B父子父子父子樹根3、外部、領域、林、快捷用于建立一些有特殊要求的信任。多域網(wǎng)絡的構建一、構建多個彼此獨立的域在各個域中分別安裝域控制器，在安裝每個域的第一臺域控制器時應選擇：域控制器類型域類型新域的域控制器在新林中的域各域的域名可以分別設置，不需要關聯(lián)。二、構建域樹在各個域中分別安裝域控制器，但應該先建立父域，再建立子域，在安裝子域中第一臺域控制器時應選擇：域控制器類型域類型新域的域控制器在現(xiàn)有域樹中的子域域樹中子域的域名必須與父域的域名相關聯(lián)。根域A子域B子域Dlinite.local三、構建域林在各個域中

10、分別安裝域控制器，在建立新域樹的第一臺域控制器時應選擇：域控制器類型域類型新域的域控制器在現(xiàn)有的林中的域樹域林中各根域的域名之間不需要相關聯(lián)。根域A子域B根域Elinite.localcome.cc說明：域間的信任關系一般是在建立域時創(chuàng)立。如果想要建立一些特殊的信任關系，可以先建立彼此獨立的域，然后在域控制器上使用“新建信任向導設置域間的信任類型。域帳戶管理域賬戶管理類似于本地賬戶管理，它有以下特點：1、在域控制器上沒有本地用戶帳戶，其原有的本地用戶帳戶自動轉變?yōu)橛蛴脩魩簦?、域賬戶在域控制器上創(chuàng)立和管理；3、擁有域用戶賬戶的人登錄域時，由域控制器對其進行身份驗證。域賬戶包括域用戶賬戶、域組

11、賬戶、域計算機賬戶、域共享資源帳戶。域用戶賬戶分配給使用域的人員，用它可登錄到域中；域組賬戶用于將域用戶賬戶和計算機賬戶分組，為組指派權限和權利，可簡化管理。計算機賬戶是參加到域中的計算機，每臺參加域的效勞器和客戶機都擁有一個計算機賬戶，用它可控制域中包含哪些計算機。共享資源帳戶是參加到域中的共享文件夾、共享打印機等，共享資源必須參加到域中才能被域用戶共享。內(nèi)置的域用戶帳戶：Administrator(管理員)：該帳戶具有對域的完全控制權。它同時是 Administrators、Domain Admins 等多個內(nèi)置組的成員。Guest(來賓)：該帳戶只有極有限的權利。默認是禁用的。它是 Gu

12、ests組和Domain Guests組的成員。內(nèi)置用戶賬戶可以重命名或禁用，但不能刪除。一、計算機賬戶創(chuàng)立計算機賬戶的過程就是將一臺計算機參加到域中的過程。只有域管理員組的成員有權將一臺計算機參加域中。準備工作：在準備參加域的計算機上，把它的DNS效勞器地址設置為該域使用的DNS效勞器地址。把計算機參加域：方法一：在欲參加域的計算機上翻開“我的電腦屬性，在“計算機名選項卡中用“更改按鈕把該計算機參加域。注意：參加時會要求輸入用戶名和密碼，這里必須輸入管理員的用戶名和密碼。方法二：以管理員身份登錄域控制器，翻開“開始 | 管理工具 | Active Directory 用戶和計算機，在目錄樹上

13、單擊右鍵，選擇“新建 | 計算機，輸入欲參加域的計算機名或IP地址，就可以把指定計算機參加域中。注：通常我們把計算機賬戶存放在活動目錄的 Computers 容器中。二、共享資源賬戶域中的共享資源包括共享文件夾、共享打印機等，它們可以位于域中任意一臺成員計算機中。創(chuàng)立共享資源賬戶的過程就是把共享資源發(fā)布到域中的過程。只有域管理員組的成員才能執(zhí)行發(fā)布共享資源的操作。準備工作：在準備參加域的文件夾或打印機設置為“共享 。把共享資源參加域：以管理員身份登錄域控制器，翻開“開始 | 管理工具 | Active Directory 用戶和計算機，在目錄樹上單擊右鍵，選擇“新建 | 文件夾或“新建 | 打

14、印機 ，輸入共享資源的路徑，就可以把該資源參加域中。注：通常我們把共享資源賬戶也存放在活動目錄的 Computers 容器中，如果資源數(shù)量較多，可以另建容器。網(wǎng)絡路徑(UNC地址)：訪問網(wǎng)絡中共享資源時使用的地址。計算機名共享名 或者 IP地址共享名創(chuàng)立完成后，可以翻開共享文件夾的屬性，在其中可以添加一些關鍵字，這樣可方便客戶用查找功能找到該資源。說明：當一個文件夾設置成共享后，如果沒有把它參加域中，那么該文件夾只能用工作組的方式訪問。如果該文件夾發(fā)布到域中了，那么該文件夾既可以用域的方式訪問，也可以用工作組的方式訪問。三、域用戶帳戶域用戶帳戶在域控制器的活動目錄中創(chuàng)立和管理。在系統(tǒng)內(nèi)部，域用

15、戶賬戶用SID區(qū)分。一個域用戶賬戶的權利和權限通常取決于它所在的組。一個域用戶賬戶可同時屬于多個組，其權限為各組權限的疊加。域用戶帳戶只存在于域控制器中，各成員計算機中只有其本地用戶帳戶。創(chuàng)立域用戶帳戶翻開“開始 | 管理工具 | Active Directory 用戶和計算機；在目錄樹上單擊右鍵，選擇“新建 | 用戶，輸入 姓、名、密碼、密碼選項 等參數(shù)，就創(chuàng)立了一個新的域用戶賬戶。域用戶帳戶的組織如果帳戶數(shù)量較少，通常將域用戶帳戶放置在 Users 容器中。如果帳戶數(shù)量很多，通?？蓜?chuàng)立一些組織單位(OU)，將帳戶分門別類地放在各OU中。OU相當于活動目錄中的文件夾，它可以創(chuàng)立多層。域用戶帳

16、戶的使用在一臺域成員計算機上登錄，在登錄界面上輸入帳戶名和密碼，并選擇要登錄的域。域用戶帳戶屬性的設置在活動目錄中，雙擊用戶名或單擊右鍵選擇“屬性。常規(guī)選項卡設置該帳戶的詳細說明信息。賬戶選項卡修改帳戶的登錄名、登錄選項、密碼選項、帳戶期限等。登錄時間限制默認為不限制，本例設置為只允許星期一至星期五的7:0019:00登錄。登錄機器限制默認允許登錄到域中所有計算機?？梢栽O置為只允許登錄到指定的假設干計算機。隸屬于選項卡新建用戶默認參加Domain Users組。在此處可變更用戶所在的組，從而使用戶獲得相應的權利。配置文件選項卡默認用戶使用本地配置文件，無登錄腳本和主文件夾。管理員可以為用戶建立

17、漫游配置文件、登錄腳本或主文件夾。本地用戶配置文件和漫游用戶配置文件默認情況下，用戶配置文件位于用戶登錄時使用的計算機上。所以，當一個用戶使用不同的計算機上登錄過后，在每臺計算機上都會產(chǎn)生各自的配置文件。如果使用漫游配置文件，那么配置文件可存放在一臺指定的計算機中，不管用戶在哪臺計算機上登錄，使用的都是同一個配置文件，這樣就可做到讓配置文件跟著用戶走的效果。注：只有在域環(huán)境才能設置和使用漫游用戶配置文件。漫游用戶配置文件的設置方法1、對存放配置文件的計算機進行設置選擇域中的一臺計算機可以是域控制器，也可以是成員計算機，在其上創(chuàng)立一個文件夾，將該文件夾設置為共享，共享權限為“Everyone 完

18、全控制，NTFS權限也為“Everyone 完全控制。2、在域控制器上配置漫游用戶配置文件路徑在用戶的配置文件選項卡中，指定配置文件的路徑名，其格式為：計算機名文件夾名%Username%漫游原理當用戶第一次登錄域時，域控制器會根據(jù)設置的路徑在指定的計算機中為該用戶創(chuàng)立配置文件。以后不管用戶在哪臺計算機上登錄域，域控制器都會將該配置文件下載到用戶所在的計算機中。如果用戶修改了配置文件內(nèi)容，當用戶注銷時，他的配置文件會被上傳到指定的計算機中。幾點說明Everyone：這是一個特殊身份組，表示所有人。特殊身份組的成員是根據(jù)條件生成的，不能人為設置。共享權限和NTFS權限：用來限制用戶對文件夾的訪問

19、權限。網(wǎng)絡用戶訪問共享文件夾時的權限同時受共享權限和NTFS權限的限制。主文件夾和登錄腳本主文件夾與用戶配置文件類似，也可以用來存放用戶的個人文檔。但該文件夾不會在用戶登錄時自動下載到用戶所在的計算機上，所以不會影響用戶的登錄速度。登錄腳本是用戶在登錄時希望自動運行的腳本文件，可用于對登錄環(huán)境進行初始化。四、域組賬戶組帳戶用于組織用戶賬戶。每個組帳戶可以賦予一定的權力和權限。當需要給一個用戶賬戶某種權利或權限時，只要把它參加相應的組即可。一個用戶賬戶可同時隸屬于多個組，它的權利和權限是各個組權限的疊加。在域中允許組的嵌套，即一個組的成員可以是用戶賬戶，也可以是另一個組。本地賬戶的組不能嵌套系統(tǒng)

20、內(nèi)置組在創(chuàng)立域時系統(tǒng)會自動創(chuàng)立一些內(nèi)置組。這些組位于活動目錄中的Builtin容器和Users容器中。常用的內(nèi)置組有：Domain Admins：域管理員組。該組成員具有對本域的完全控制權。默認成員有 Administrator賬戶。Enterprise Admins：企業(yè)管理員組。僅出現(xiàn)在林根域中。該組成員具有對林中所有域的完全控制權。默認成員有 Administrator賬戶。Administrasors：管理員組。該組成員具有對域中所有域控制器的完全控制權。默認成員有 Domain Admins組、Enterprise Admins組、Administrator賬戶。Domain Use

21、rs：域用戶組。默認情況下域中創(chuàng)立的所有用戶賬戶都會自動成為該組的成員。Domain Computers：域計算機組。默認情況下域中所有計算機賬戶都會自動成為該組的成員。Domain Controllers：域控制器組。該組包含了此域中的所有域控制器。Domain Guests：域來賓組。該組包含了所有域來賓。Users：用戶組。該組成員可執(zhí)行大局部常見任務，如運行應用程序、使用打印機等。默認成員有 Domain Users等，因此域中所有用戶賬戶都會自動成為該組的成員。新建組賬戶在活動目錄上單擊右鍵，選擇“新建 | 組；在彈出的對話框中設置組名、組類型、組作用域等參數(shù)，就建立了一個組帳戶；雙

22、擊組帳戶，彈出該組帳戶的“屬性對話框，可以變更組帳戶的參數(shù)、向組中添加或刪除成員等。組作用域全局組：成員只來自本地域；成員可以訪問任何域內(nèi)資源。本地域組：成員可來自任何域，成員可訪問本地域內(nèi)的資源。通用組：成員可以來自任何域；成員可以訪問任何域內(nèi)資源。對于單域網(wǎng)絡，通常只定義全局組和本地域組。對于有信任關系的多域網(wǎng)絡，應根據(jù)情況授權某些用戶的跨域訪問權限。組類型通信組：用于創(chuàng)立電子郵件通信組列表。一般在部署了電子郵件效勞的網(wǎng)絡定義這種組。平安組：用于給共享資源指派權限。多數(shù)情況下，我們定義的組都是平安組。組規(guī)劃策略以單域網(wǎng)絡為例，一般按以下順序規(guī)劃組：1、對本域中的成員，按照其職責劃分全局組；

23、2、對本域中的資源，按資源種類劃分本地域組；3、以本地域組為單位，為資源設置訪問權限；4、把全局組參加到相應的本地域組中，使它獲得相應的權限。例：你是某公司的網(wǎng)絡管理員，你管理的域情況如下：域用戶：經(jīng)理1人財務人員2人銷售人員5人共享資源：考勤表，完全訪問經(jīng)理考勤表，只讀銷售人員和財務人員財務報表，完全訪問財務人員打印機經(jīng)理和財務人員組規(guī)劃：組組作用域成員經(jīng)理全局組zhao財務全局組qian、sun銷售全局組li、zhou、wu、 zheng、wang考勤1本地域組經(jīng)理考勤2本地域組財務、銷售財務表本地域組財務打印本地域組經(jīng)理、財務權限設置權限盡量以組為單位進行設置，這樣可簡化權限授予過程。權

24、限設置方法：在文件夾或打印機上單擊右鍵，選擇“屬性。在“平安選項卡中可設置NTFS訪問權限；在“共享選項卡中可設置共享訪問權限。說明：對共享的資源網(wǎng)絡訪問權限需在“共享和“平安選項卡中作同樣的設置才會有效。小結域控制器DNS域名：jsj.local域(Domain)是一系列計算機、用戶和各種資源的集合。在域模式中，資源是集中進行管理的。用戶只要登錄一次，就可以訪問位于不同計算機上的資源。每個域中至少有一臺域控制器，用于對域中的資源進行登記并管理。練習題1、簡述一個域網(wǎng)絡的構建過程。第一步：安裝一臺域控制器(同時安裝DNS效勞器)，這樣域就創(chuàng)立了。第二步：為域用戶創(chuàng)立域用戶帳戶。只有擁有域用戶帳戶的人才能登錄到域。第三步：把計算機參加域中。只有通過這些計算機才能登錄到域中。第四步：將計算機中的共享資源參加到域中。2、構建多域網(wǎng)絡時，常用的結構有哪兩種？它們使用什么樣的信任關系？常用的結構有域樹結構和域林結構。域樹結構通過父子信任關系搭建；域林結構通過樹根信任關系搭建。3、域賬戶是在哪臺計算機上創(chuàng)立并管理的？使用的控制臺是哪個控制臺？域賬戶是在域控制器上創(chuàng)立并管理的，使用的控制臺是“Active Direct