活動(dòng)目錄服務(wù)課件

活動(dòng)目錄呢包括兩個(gè)方面：

⑴目錄：是存儲(chǔ)各種對(duì)象的容器。如，用戶、組、計(jì)算機(jī)、共享資源、打印機(jī)和聯(lián)系人等。

⑵目錄服務(wù)：是使目錄中所有信息和資源發(fā)揮作用的服務(wù)?；顒?dòng)目錄是一個(gè)分布式的目錄服務(wù)，信息可以分散在多臺(tái)不同的計(jì)算機(jī)上，保證用戶能夠快速訪問。

◆3.1.1活動(dòng)目錄服務(wù)概述Windows2000系統(tǒng)最大的突破性和成功之一就在于它引入的“活動(dòng)目錄（ActiveDirectory,AD）”服務(wù)。它具有良好的可擴(kuò)展性、可調(diào)整性，并將結(jié)構(gòu)化數(shù)據(jù)存儲(chǔ)作為目錄信息邏輯和分層組織的基礎(chǔ)。

3.1活動(dòng)目錄服務(wù)1下面對(duì)有關(guān)活動(dòng)目錄的重要名詞和概念進(jìn)行說明：

一、對(duì)象與屬性對(duì)象是活動(dòng)目錄中的信息實(shí)體，是一組屬性的集合，往往代表了有形實(shí)體。

二、容器、域、組織單位容器與對(duì)象相似，也是一些屬性的集合，與目錄對(duì)象不同的是，容器不代表有形的實(shí)體，而是代表存放對(duì)象的空間，且僅代表存放一個(gè)對(duì)象的空間。

域(Domain)是一組有邏輯關(guān)系（工作關(guān)系）的計(jì)算機(jī)集合。組織單位是一個(gè)邏輯單位，它是域中一些用戶和組、文件與打印機(jī)等資源對(duì)象的集合。2三、子域、域樹、樹林一個(gè)域又可以有子域。如:是域的子域，這樣父域與子域就組成了域樹，圖中具有公用根域的所有域構(gòu)成連續(xù)名稱空間，也就是說域的名字就是DNS的名字，子域名字的后綴就是其父域的名字。一棵或多棵域樹又可以組成樹林。

TJ域樹1.樹林、信任關(guān)系信任關(guān)系3活動(dòng)目錄安裝之后，主要有三個(gè)活動(dòng)目錄的管理界面:⑴活動(dòng)目錄用戶和計(jì)算機(jī)管理，主要用于實(shí)施對(duì)域的用戶和計(jì)算機(jī)進(jìn)行管理；⑵活動(dòng)目錄的域和域信任關(guān)系的管理，主要用于管理多域的委托和信任關(guān)系；⑶活動(dòng)目錄的站點(diǎn)管理，可以把域控制器置于不同的站點(diǎn)進(jìn)行管理。一般情況下，一個(gè)站點(diǎn)內(nèi)的域控制器之間的復(fù)制是自動(dòng)進(jìn)行的，站點(diǎn)間的域控制器之間的復(fù)制需要管理員設(shè)定，以優(yōu)化復(fù)制流量，提高可伸縮性。

5

幾個(gè)需要了解的概念：

域：是活動(dòng)目錄的分區(qū)，定義了安全邊界，在沒經(jīng)過授權(quán)的情況下，不允許其他域中的用戶訪問本域中的資源。

活動(dòng)目錄：可由一個(gè)或多個(gè)域組成，每一個(gè)域可以存儲(chǔ)上百萬個(gè)對(duì)象，域之間還有層次關(guān)系，可以建立域樹和樹林，進(jìn)行無限的域擴(kuò)展。活動(dòng)目錄中，目錄存儲(chǔ)只有一種形式。而域控制器包括了完整的域目錄的信息。每一個(gè)域中必須有一個(gè)域控制器，否則域也就不存在了。Windows2000的活動(dòng)目錄中沒有主域控制器和備份域控制器的區(qū)別，所有的域控制器在用戶訪問和提供服務(wù)方面都是相同的。域控制器的管理是管理員最重要的工作。域控制器的運(yùn)行狀態(tài)直接關(guān)系到網(wǎng)絡(luò)的正常運(yùn)行。3.3域與域控制器管理6◆3.3.1設(shè)置域控制器屬性域控制器是網(wǎng)絡(luò)正常運(yùn)作的中心，起到的網(wǎng)絡(luò)控制作用是非常重要的。因此，用戶必須根據(jù)網(wǎng)絡(luò)運(yùn)行情況合理地設(shè)置域控制器的屬性。用戶通過設(shè)置域控制器屬性，可以確定域控制器的位置、操作系統(tǒng)和常規(guī)屬性，還可設(shè)置域控制器的組和管理員。域控制器屬性的設(shè)置過程：單擊該超鏈接觀看演示(3.3.1)

◆3.3.2查找域控制器目錄內(nèi)容在Windows2000中，活動(dòng)目錄是一個(gè)網(wǎng)絡(luò)清單，包括網(wǎng)絡(luò)中的域、域控制器、用戶、計(jì)算機(jī)、聯(lián)系人、組、組織單位及網(wǎng)絡(luò)資源等各個(gè)方面的信息，使管理員對(duì)這些內(nèi)容的查找更加方便。要查找目錄內(nèi)容，可參照下面的演示實(shí)例：單擊該超鏈接觀看演示

(3.3.2)7◆3.3.3連接到其他域

在多域的網(wǎng)絡(luò)中，經(jīng)常需要將當(dāng)前域連接到其他域，這樣做可使當(dāng)前域中的用戶和計(jì)算機(jī)能訪問其他域中的資源，也可將當(dāng)前域控制器的部分操作主機(jī)功能傳送給其他域控制器，甚至可將當(dāng)前域控制器更改為其他域中的域控制器。單擊該超鏈接觀看演示(3.3.3)

◆3.3.4更改域控制器域控制器是域網(wǎng)絡(luò)的中心，若出現(xiàn)故障會(huì)導(dǎo)致域網(wǎng)絡(luò)無法正常運(yùn)行。此時(shí)管理員必須更改域控制器，以確保網(wǎng)絡(luò)正常運(yùn)作。由于Windows2000中不再區(qū)分主域控制器和輔助域控制器，因此，域控制器的更改變得更加簡單，用戶只須建立當(dāng)前域與其它任何可寫的域控制器的連接即可。單擊該超鏈接觀看演示(3.3.4)

8組和組織單位的區(qū)別：組主要用于權(quán)限設(shè)置，而組織單位則主要用于網(wǎng)絡(luò)構(gòu)建；組織單位只表示單個(gè)域中的對(duì)象集合（可包括組對(duì)象），而組可以包含用戶、計(jì)算機(jī)、本地服務(wù)器上的共享資源、單個(gè)域、域目錄樹或目錄林?！?.4.2組和組織單位的創(chuàng)建Windows2000系統(tǒng)提供了許多內(nèi)置組用于權(quán)限和安全設(shè)置，但它們不能滿足特殊安全和靈活性的需要。用戶要想很好地管理用戶和計(jì)算機(jī)賬戶，必須根據(jù)網(wǎng)絡(luò)情況創(chuàng)建一些新組。新組創(chuàng)建后，就可以像使用內(nèi)置組一樣使用它們，賦予權(quán)限和進(jìn)行組成員的添加。

一、創(chuàng)建組：

能創(chuàng)建組的用戶必須是Administrators組、AccountOperators組的成員。要?jiǎng)?chuàng)建新組可按下面操作進(jìn)行:10

⑴在”ActiveDirectory用戶和計(jì)算機(jī)“窗口的控制臺(tái)目錄樹中展開域節(jié)點(diǎn)。右擊要進(jìn)行組創(chuàng)建的組織單位或容器，從彈出的快捷菜單中選擇“新建”/“組”命令，打開如圖3-30所示的“新建對(duì)象-組”對(duì)話框。⑵在“組名”文本框中輸入要?jiǎng)?chuàng)建的組名；在“組作用域”選項(xiàng)區(qū)域中，通過單選按鈕來選擇組的應(yīng)用領(lǐng)域；在“組類型”選項(xiàng)區(qū)域中，通過單選按鈕來選擇新組的類型。⑶單擊“確定”按鈕即完成組的創(chuàng)建。

單擊該超鏈接觀看演示3.4.2(1)

11

◆3.4.3組和組織單位的刪除活動(dòng)目錄中的組和組織單位因太多而影響了對(duì)用戶和計(jì)算機(jī)賬戶的管理時(shí)，作為管理員的用戶可對(duì)自己創(chuàng)建的組和組織單位進(jìn)行清理。要?jiǎng)h除組和組織單位，可按下面步驟進(jìn)行：⒈在“ActiveDirectory用戶和計(jì)算機(jī)”控制臺(tái)目錄樹中，展開域節(jié)點(diǎn)。單擊要?jiǎng)h除的組或組織單位所在的組織單位，使詳細(xì)資料窗格中列出該組織單位的內(nèi)容。⒉右擊要?jiǎng)h除的組或組織單位，從彈出的快捷菜單中選擇“刪除”命令，系統(tǒng)會(huì)打開信息確認(rèn)框。⒊單擊“是”按鈕，完成組或組織單位的刪除。注意，管理員只能刪除自己創(chuàng)建的組和組織單位，而不能刪除由系統(tǒng)提供的內(nèi)置組和組織單位。

單擊該超鏈接觀看演示3.4.313◆3.4.4委派控制組或組織單位

Windows2000提供了一項(xiàng)新的網(wǎng)絡(luò)功能--委派控制。通過它，作為管理員可以將一部分域管理工作委派給其他用戶、計(jì)算機(jī)或組，減輕管理員的網(wǎng)絡(luò)系統(tǒng)管理負(fù)擔(dān)。對(duì)組或組織單位進(jìn)行委派控制，可采取以下步驟：⒈在“ActiveDirectory用戶與計(jì)算機(jī)”窗口的控制臺(tái)目錄樹中，單擊之后再雙擊域節(jié)點(diǎn)，展開該節(jié)點(diǎn)。⒉右擊要委派控制的組織單位或組節(jié)點(diǎn)，如，右擊Users，從彈出的快捷菜單中選擇“委派控制”命令，打開“控制委派向?qū)А睂?duì)話框。⒊單擊“下一步”按鈕，打開“組或用戶選擇”對(duì)話框，單擊“添加”，打開“選擇用戶、計(jì)算機(jī)或組”對(duì)話框，選擇一個(gè)或多個(gè)要委派控制的用戶，也可以選擇一個(gè)或多個(gè)要委派控制的組。14

⒋單擊“下一步”按鈕，指定委派的任務(wù)范圍。如果委派的對(duì)象為整個(gè)文件夾，可選擇“這個(gè)文件夾”，如果委派的對(duì)象只是文件夾中的對(duì)象，可選擇“文件夾中的對(duì)象”，并在“對(duì)象類型”列表框中通過復(fù)選框來選擇對(duì)象。⒌單擊“下一步”按鈕，打開“權(quán)限”對(duì)話框，如圖3-35所示。通過選擇“要委派的權(quán)限”復(fù)選框來選擇要委派的權(quán)限，如，選擇“讀取”、“創(chuàng)建所有的子對(duì)象”、“刪除所有的子對(duì)象”、“讀取所有屬性”等復(fù)選框設(shè)置相應(yīng)權(quán)限。⒍單擊“下一步”按鈕，打開“完成控制委派向?qū)А睂?duì)話框，單擊“完成”按鈕，結(jié)束委派設(shè)置。

單擊該超鏈接觀看演示(3.4.4)

15◆3.4.6設(shè)置組屬性組可以使指派資源權(quán)限簡單化，用戶可以是多個(gè)組的成員，一個(gè)組可以加入到別的組當(dāng)中。一個(gè)組最多可有5000個(gè)成員。新組創(chuàng)建好后，系統(tǒng)并沒有設(shè)置該組常規(guī)屬性和權(quán)限，也沒有為其指定組成員和管理人，該組幾乎不發(fā)揮任何作用。要設(shè)置組屬性，步驟如下：⒈在“ActiveDirectory用戶與計(jì)算機(jī)”窗口的控制臺(tái)目錄樹中，單擊要設(shè)置屬性的組所在的組織單位或容器，使得詳細(xì)資料窗格中列出該組織單位的內(nèi)容。在詳細(xì)資料窗格中，右擊要添加成員的組，選擇“屬性”命令，打開該組的屬性對(duì)話框。17⒉為了便于管理，在“描述”和“注釋”文本框中分別輸入有關(guān)該組的描述和注釋；如果要修改組名稱，在“組名”文本框中輸入新的組名稱；在“電子郵件”文本框中輸入組管理員的電子電郵件地址。⒊單擊“成員”選項(xiàng)卡，打開如圖所示的設(shè)置組“成員屬性”對(duì)話框。要添加成員，單擊“添加”按鈕，打開“選擇用戶聯(lián)系人或計(jì)算機(jī)”對(duì)話框選擇要添加的成員。要?jiǎng)h除組成員，在“成員”列表框中選擇要?jiǎng)h除的組成員，然后單擊“刪除”按鈕即可。⒋因?yàn)橛脩糁饕峭ㄟ^向新組添加內(nèi)置組來設(shè)置新組的權(quán)限的，所以要設(shè)置組權(quán)限，選擇“成員屬于”選項(xiàng)卡，單擊“添加”按鈕，打開“選擇組”對(duì)話框，為自己創(chuàng)建的組選擇內(nèi)置組。要?jiǎng)h除某個(gè)組權(quán)限，在“成員屬于”列