計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)（第二版）課件第8章

第8章使用和管理WINDOWS2000活動(dòng)目錄第8章使用和管理活動(dòng)目錄本章學(xué)習(xí)目標(biāo)8.1

活動(dòng)目錄8.2

組織單位的管理8.3

用戶賬戶的管理8.4

組的建立8.5

從工作站登錄域結(jié)構(gòu)的網(wǎng)絡(luò)8.6

思考題第8章使用和管理WINDOWS2000活動(dòng)目錄本章學(xué)習(xí)目標(biāo)

本章主要介紹活動(dòng)目錄（ActiveDirectory）以及各種對(duì)象的創(chuàng)建和管理。通過本章的學(xué)習(xí)，讀者應(yīng)掌握以下內(nèi)容：lActiveDirectory的概念與特點(diǎn)lActiveDirectory的創(chuàng)建lActiveDirectory用戶和計(jì)算機(jī)控制臺(tái)的使用l

組織單位、用戶賬戶和組的創(chuàng)建與管理第8章使用和管理WINDOWS2000活動(dòng)目錄8.1活動(dòng)目錄8.1.1

活動(dòng)目錄簡(jiǎn)介8.1.2

活動(dòng)目錄的優(yōu)點(diǎn)8.1.3

安裝ActiveDirectory8.1.4ActiveDirectory的檢測(cè)8.1.5ActiveDirectory用戶和計(jì)算機(jī)控制臺(tái)的使用返回下一頁第8章使用和管理WINDOWS2000活動(dòng)目錄8.1.1活動(dòng)目錄簡(jiǎn)介

活動(dòng)目錄是一種目錄服務(wù)，它存儲(chǔ)有關(guān)網(wǎng)絡(luò)對(duì)象的信息（例如，用戶、組和計(jì)算機(jī)賬戶、打印機(jī)等共享資源），使管理員與用戶可以方便地查找和使用網(wǎng)絡(luò)信息。活動(dòng)目錄的應(yīng)用起源于WindowsNT4.0Server，在WindowsServer2003中得到進(jìn)一步的應(yīng)用和發(fā)展，具有可擴(kuò)展性和可調(diào)整性，并將結(jié)構(gòu)化數(shù)據(jù)存儲(chǔ)作為目錄信息邏輯和分層組織的基礎(chǔ)。返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.1.1活動(dòng)目錄簡(jiǎn)介

域是WindowsServer目錄服務(wù)的基本管理單位，但增加了許多新的功能。域模式的最大優(yōu)點(diǎn)是它的單一網(wǎng)絡(luò)登錄功能，任何用戶只要在域內(nèi)有一個(gè)賬戶，就可以漫游網(wǎng)絡(luò)。域目錄樹中的每一個(gè)節(jié)點(diǎn)都有自己的安全邊界，這種層次結(jié)構(gòu)既保證了安全性，又可精確設(shè)置。

返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.1.1活動(dòng)目錄簡(jiǎn)介

同時(shí)活動(dòng)目錄服務(wù)將域又細(xì)分成組織單位，組織單位是一個(gè)邏輯單位，它是域中一些用戶和組賬戶、文件與打印機(jī)等資源對(duì)象的集合。組織單位中還可以再劃分下級(jí)組織單位，并且下級(jí)組織單位能夠繼承父單元的訪問許可權(quán)。每一個(gè)組織單位可以有自己的管理員并指定其管理權(quán)限，從而實(shí)現(xiàn)了對(duì)資源和用戶的分級(jí)管理。返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.1.1活動(dòng)目錄簡(jiǎn)介

域中的所有域控制器之間都是平等關(guān)系，不再區(qū)分主域控制器和備份域控制器，這是因?yàn)閃indowsServer2003采用了動(dòng)態(tài)活動(dòng)目錄服務(wù)，在進(jìn)行目錄復(fù)制時(shí)不是沿用一般目錄服務(wù)的主從方式，而是采用多主復(fù)制方式。通過這種方式，任何一個(gè)域控制器上的活動(dòng)目錄庫的變更都會(huì)被自動(dòng)復(fù)制到其他域控制器上。

返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.1.1活動(dòng)目錄簡(jiǎn)介WindowsServer2003活動(dòng)目錄服務(wù)的另一大特點(diǎn)是與Internet融合，它把DNS作為其定位服務(wù)。為了克服DNS管理困難的缺點(diǎn)，WindowsServer2003將DNS與其特有的DHCP和WINS緊密配合起來，從而使DNS更加易于管理。下一頁返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.1.2活動(dòng)目錄的優(yōu)點(diǎn)1．基于策略的管理2．?dāng)U展性3．可調(diào)整性4．信息復(fù)制5．與DNS的集成6．靈活的查詢7．信息安全性下一頁返回第8章使用和管理WINDOWS2000活動(dòng)目錄1．基于策略的管理

活動(dòng)目錄服務(wù)包括數(shù)據(jù)存儲(chǔ)和邏輯分層結(jié)構(gòu)。作為邏輯結(jié)構(gòu)，它為策略應(yīng)用程序提供分層的環(huán)境。作為目錄，它存儲(chǔ)著分配給特定環(huán)境的策略（稱為組策略對(duì)象）。組策略對(duì)象表示一套規(guī)則，包括應(yīng)用環(huán)境的有關(guān)設(shè)置，目錄對(duì)象和域資源的訪問確定，用戶可使用什么域資源以及這些域資源的配置使用等。返回下一頁第8章使用和管理WINDOWS2000活動(dòng)目錄2．?dāng)U展性

活動(dòng)目錄可進(jìn)行擴(kuò)展，即管理員可將新的對(duì)象類添加到規(guī)劃中，而且可將新的屬性添加到已有的對(duì)象類中。可以通過以下兩種方法將對(duì)象和屬性添加至活動(dòng)目錄中：使用活動(dòng)目錄架構(gòu)、通過活動(dòng)目錄服務(wù)接口（ADSI）或者LDIFDE、CSVDE命令行應(yīng)用程序創(chuàng)建腳本。下一頁返回第8章使用和管理WINDOWS2000活動(dòng)目錄3．可調(diào)整性

活動(dòng)目錄可包括一個(gè)或多個(gè)域，每個(gè)域都有一個(gè)或多個(gè)域控制器，這使管理員可調(diào)整目錄以滿足任何網(wǎng)絡(luò)的要求。多個(gè)域可組合成域目錄樹或目錄森林。將目錄配置成域目錄樹或森林，使得管理員可以針對(duì)不同上下文策略對(duì)目錄的名稱空間進(jìn)行分區(qū)，并調(diào)整目錄使其能容納大量的資源和對(duì)象。下一頁返回第8章使用和管理WINDOWS2000活動(dòng)目錄4．信息復(fù)制

活動(dòng)目錄使用多主復(fù)制。對(duì)目錄數(shù)據(jù)所做的更改將復(fù)制到所有的域控制器中，每個(gè)域控制器的目錄數(shù)據(jù)都保持同步。信息復(fù)制提供了有效性、容錯(cuò)和加載平衡等優(yōu)點(diǎn)。在一個(gè)域中使用多個(gè)域控制器可提供容錯(cuò)和加載平衡。如果域中的某個(gè)域控制器減慢、停止或失敗，同一域中的其他域控制器可提供必要的目錄訪問，因?yàn)樗鼈儼嗤哪夸洈?shù)據(jù)。在廣域網(wǎng)中，目錄訪問可由與每個(gè)網(wǎng)絡(luò)客戶機(jī)最近的域控制器執(zhí)行。下一頁返回第8章使用和管理WINDOWS2000活動(dòng)目錄5．與DNS的集成

活動(dòng)目錄使用DNS很容易將主機(jī)名稱（如）轉(zhuǎn)換為IP地址。這樣就可以在TCP/IP網(wǎng)絡(luò)上直接使用計(jì)算機(jī)主機(jī)名稱進(jìn)行網(wǎng)絡(luò)連接。

DNS域和計(jì)算機(jī)使用分層結(jié)構(gòu)的友好名稱。例如，名稱既是DNS名稱也是WindowsServer2003域名。域中的每臺(tái)計(jì)算機(jī)依靠其完整的域名進(jìn)行識(shí)別。

下一頁返回第8章使用和管理WINDOWS2000活動(dòng)目錄6．靈活的查詢

用戶和管理員可根據(jù)對(duì)象屬性（例如，姓、名、E-mail地址、辦公室位置或用戶賬戶的其他屬性），快速查找網(wǎng)絡(luò)上的對(duì)象。也可通過活動(dòng)目錄生成的全局目錄查找對(duì)象。下一頁返回第8章使用和管理WINDOWS2000活動(dòng)目錄7．信息安全性

安全性與活動(dòng)目錄完全集成在一起，活動(dòng)目錄還提供安全策略和應(yīng)用范圍的設(shè)置。安全策略可包含賬戶信息，可以通過組策略設(shè)置、執(zhí)行安全策略。管理員可將某些管理權(quán)限分派給其他賬戶或組，這種權(quán)限分派允許指定誰具有管理部分網(wǎng)絡(luò)的權(quán)限?？梢詫⒛巢糠值墓芾矸峙山o下級(jí)管理員，而不必?fù)碛袑?duì)整個(gè)網(wǎng)絡(luò)具有廣泛權(quán)限的管理員。下一頁返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.1.3安裝ActiveDirectory如果要將網(wǎng)絡(luò)設(shè)置為域結(jié)構(gòu)，則網(wǎng)絡(luò)上必須有域控制器。域控制器通過ActiveDirectory來提供目錄服務(wù)，若網(wǎng)絡(luò)中沒有域控制器，則可將該獨(dú)立服務(wù)器配置為新域的域控制器；若網(wǎng)絡(luò)中有其他域控制器，可將其配置為額外域控制器。WindowsServer2003的域控制器必須由標(biāo)準(zhǔn)版、企業(yè)版或數(shù)據(jù)中心版的系統(tǒng)來扮演，Web版的系統(tǒng)不能作為域控制器。返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.1.3安裝ActiveDirectory

在域中創(chuàng)建第一個(gè)域控制器，步驟如下：（1）以系統(tǒng)管理員的身份登錄，通過“開始”→“控制面板”→“網(wǎng)絡(luò)連接”→“本地連接”→“屬性”→“Internet協(xié)議（TCP/IP）”→“屬性”的途徑，打開“Internet協(xié)議（TCP/IP）屬性”對(duì)話框。然后，設(shè)置IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)，并將首選的DNS地址指向本機(jī)的IP地址。返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.1.3安裝ActiveDirectory（2）通過執(zhí)行“開始”→“運(yùn)行”命令，在對(duì)話框中輸入命令“dcpromo”，單擊“確定”按鈕，啟動(dòng)“ActiveDirectory安裝向?qū)А?。?）打開“ActiveDirectory安裝向?qū)А睂?duì)話框，單擊“下一步”按鈕，如圖8-1所示。返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.1.3安裝ActiveDirectory圖8-1啟動(dòng)ActiveDirectory安裝向?qū)Х祷氐?章使用和管理WINDOWS2000活動(dòng)目錄8.1.3安裝ActiveDirectory（4）打開如圖8-2所示的“操作系統(tǒng)兼容性”對(duì)話框，單擊“下一步”按鈕。返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.1.3安裝ActiveDirectory（5）如圖8-3和圖8-4所示，依次選擇“新域的域控制器”→“下一步”

→

“在新林中的域”→“下一步”。返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.1.3安裝ActiveDirectory（6）打開如圖8-5所示的“新的域名”對(duì)話框，在“新域的DNS全名”文本框中，輸入新域的DNS全名，例如jsj.。單擊“下一步”按鈕，在如圖8-6所示的“NetBIOS域名”對(duì)話框的“域NetBIOS名”文本框中，提示默認(rèn)名，然后單擊“下一步”按鈕。返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.1.3安裝ActiveDirectory返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.1.3安裝ActiveDirectory（7）打開如圖8-7所示的對(duì)話框，在“數(shù)據(jù)庫文件夾”和“日志文件夾”文本框中設(shè)置保存的位置。然后，單擊“下一步”按鈕。返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.1.3安裝ActiveDirectory（8）打開如圖8-8所示的“共享的系統(tǒng)卷”對(duì)話框，在“文件夾位置”框中設(shè)置Sysvol文件夾的位置，也建議使用默認(rèn)值，單擊“下一步”按鈕。Sysvol文件夾存放域的公用文件的服務(wù)器副本，它的內(nèi)容將被復(fù)制到域中的所有域控制器上。返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.1.3安裝ActiveDirectory（9）確認(rèn)DNS支持。如圖8-9所示。在這里，選擇“在這臺(tái)計(jì)算機(jī)上安裝并配置DNS服務(wù)器…”單選框，然后單擊“下一步”按鈕。返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.1.3安裝ActiveDirectory（10）在如圖8-10所示的對(duì)話框中，選擇“與Windows2000之前的服務(wù)器操作系統(tǒng)兼容的權(quán)限”或“只與Windows2000或WindowsServer2003操作系統(tǒng)兼容的權(quán)限”單選框。然后單擊“下一步”按鈕。返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.1.3安裝ActiveDirectory（11）在如圖8-11所示的對(duì)話框中，輸入用于刪除、修復(fù)目錄服務(wù)的密碼，單擊“下一步”按鈕。返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.1.3安裝ActiveDirectory（12）打開如圖8-12所示的“摘要”對(duì)話框，用戶可檢查、確認(rèn)設(shè)置的選項(xiàng)。然后單擊“下一步”按鈕。返回8.1.3安裝ActiveDirectory（13）系統(tǒng)開始配置ActiveDirectory，同時(shí)打開“正在配置ActiveDirectory”對(duì)話框，提示配置過程，如圖8-13所示。請(qǐng)耐心等候，不要單擊“跳過DNS安裝”按鈕，可能還需指向系統(tǒng)安裝光盤源程序的位置（可以預(yù)先將安裝光盤原程序拷貝到“C:\i386”文件夾）。第8章使用和管理WINDOWS2000活動(dòng)目錄返回8.1.3安裝ActiveDirectory（14）ActiveDirectory配置完成后，單擊“完成”按鈕。重新啟動(dòng)計(jì)算機(jī)，ActiveDirectory才能生效。第8章使用和管理WINDOWS2000活動(dòng)目錄返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.1.4ActiveDirectory的檢測(cè)

由于域控制器會(huì)將它的主機(jī)名稱、IP地址、所扮演的角色等數(shù)據(jù)被自動(dòng)登記到DNS服務(wù)器內(nèi)，以便讓其他的計(jì)算機(jī)通過DNS服務(wù)器來查找這臺(tái)域控制器。因此，應(yīng)首先檢查DNS服務(wù)器內(nèi)是否已經(jīng)有該域控制器的相關(guān)數(shù)據(jù)。返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.1.4ActiveDirectory的檢測(cè)ActiveDirectory安裝完成后，應(yīng)檢查DNS服務(wù)器內(nèi)的記錄是否完整。1．檢查域控制器的域名稱與IP地址記錄

2．檢查SRV記錄下一頁返回第8章使用和管理WINDOWS2000活動(dòng)目錄1．檢查域控制器的域名稱

與IP地址記錄通過“開始”→“程序”→“管理工具”→“DNS”的途徑，打開如圖8-14所示的窗口。展開SERVERLJJ→“正向搜索區(qū)域”→對(duì)象，在右邊的窗口中存在“（與父文件夾相同）主機(jī)”記錄，表明域控制器已經(jīng)正確地將其域名稱與IP地址登記到DNS服務(wù)器內(nèi)。返回第8章使用和管理WINDOWS2000活動(dòng)目錄1．檢查域控制器的域名稱

與IP地址記錄下一頁返回第8章使用和管理WINDOWS2000活動(dòng)目錄2．檢查SRV記錄

檢查DNS服務(wù)器中用來支持ActiveDirectory的區(qū)域內(nèi)，是否有如圖8-14所示的_msdcs、_sites、_tcp、_udp等文件夾，因?yàn)橛蚩刂破鲿?huì)將自己所扮演的角色，登記到這些文件夾內(nèi)的SRV記錄中。打開_tcp文件夾后，可以看到一個(gè)數(shù)據(jù)類型為SRV的記錄（_ladp），表示這臺(tái)域控制器已經(jīng)正確地將扮演LDAP服務(wù)器角色的信息登記到DNS服務(wù)器上了。

下一頁返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.1.5ActiveDirectory用戶和計(jì)算機(jī)控制臺(tái)的使用ActiveDirectory用戶和計(jì)算機(jī)控制臺(tái)用于增加、修改、刪除、管理用戶和計(jì)算機(jī)賬戶、組和組織單位等對(duì)象，并可在目錄上發(fā)布和管理資源。可以依次選擇“開始”→“程序”→“管理工具”→“ActiveDirectory用戶和計(jì)算機(jī)”命令，打開如圖8-15所示的“ActiveDirectory用戶和計(jì)算機(jī)”控制臺(tái)窗口。返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.1.5ActiveDirectory用戶和計(jì)算機(jī)控制臺(tái)的使用1．改變用戶和計(jì)算機(jī)顯示方式2．預(yù)定義的組3．加入到域中的計(jì)算機(jī)下一頁返回第8章使用和管理WINDOWS2000活動(dòng)目錄1．改變用戶和計(jì)算機(jī)顯示方式

使用控制臺(tái)的“查看”菜單可以控制顯示方式，顯示或關(guān)閉控制臺(tái)樹、說明條、狀態(tài)欄；或者選擇顯示列信息，以大圖標(biāo)、小圖標(biāo)、列表、詳細(xì)信息等方式顯示內(nèi)容；使用如圖8-16所示的篩選器選項(xiàng)，用戶可自定義篩選顯示內(nèi)容。返回第8章使用和管理WINDOWS2000活動(dòng)目錄1．改變用戶和計(jì)算機(jī)顯示方式下一頁返回第8章使用和管理WINDOWS2000活動(dòng)目錄2．預(yù)定義的組

在“ActiveDirectory用戶和計(jì)算機(jī)”控制臺(tái)窗口，分別打開Builtin、Users文件夾，可以查看系統(tǒng)預(yù)定義的組。這些組都是安全組，有不同的權(quán)限，Builtin文件夾中的為預(yù)定義的本地組；Users文件夾中的為預(yù)定義的全局組。用戶可以根據(jù)實(shí)際應(yīng)用環(huán)境，規(guī)劃網(wǎng)絡(luò)的域結(jié)構(gòu)，利用預(yù)定義的組，修改創(chuàng)建自己的組。返回第8章使用和管理WINDOWS2000活動(dòng)目錄2．預(yù)定義的組位于Builtin文件夾中預(yù)定義的本地組如圖8-17所示返回第8章使用和管理WINDOWS2000活動(dòng)目錄2．預(yù)定義的組位于Users文件夾中的預(yù)定義的全局組如圖8-18所示。

下一頁返回第8章使用和管理WINDOWS2000活動(dòng)目錄3．加入到域中的計(jì)算機(jī)

在“ActiveDirectory用戶和計(jì)算機(jī)”控制臺(tái)窗口，打開Computers文件夾，可以查看加入到域中的計(jì)算機(jī)列表。只能從加入到域中的計(jì)算機(jī)上登錄域。下一頁返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.2組織單位的管理8.2.1

添加組織單位8.2.2

刪除組織單位8.2.3

設(shè)置組織單位的屬性下一頁返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.2.1添加組織單位打開“ActiveDirectory用戶和計(jì)算機(jī)”窗口。在控制臺(tái)目錄樹中雙擊以展開節(jié)點(diǎn)，右擊域節(jié)點(diǎn)或者可添加組織單位的文件夾節(jié)點(diǎn)，并從彈出的快捷菜單中選擇“新建”→“組織單位”命令，打開“新建對(duì)象-組織單位”對(duì)話框。第8章使用和管理WINDOWS2000活動(dòng)目錄8.2.1添加組織單位

如圖8-19所示。在“名稱”框中輸入新建組織單位的名稱，然后單擊“確定”按鈕即可。下一頁第8章使用和管理WINDOWS2000活動(dòng)目錄8.2.2刪除組織單位可以打開“ActiveDirectory用戶和計(jì)算機(jī)”窗口。在控制臺(tái)目錄樹中，雙擊域節(jié)點(diǎn)以展開該節(jié)點(diǎn)。然后右擊要?jiǎng)h除的組織單位，并從彈出的快捷菜單中選擇“刪除”命令，系統(tǒng)會(huì)打開確認(rèn)框，單擊“是”按鈕即可。下一頁第8章使用和管理WINDOWS2000活動(dòng)目錄8.2.3設(shè)置組織單位的屬性

組織單位被添加之后，還應(yīng)根據(jù)需要設(shè)置其屬性。通過設(shè)置組織單位的屬性，不但可以指定組織單位的管理者和常規(guī)屬性，也可以為組織單位創(chuàng)建組策略。要設(shè)置組織單位的屬性，可參照下面的步驟：第8章使用和管理WINDOWS2000活動(dòng)目錄8.2.3設(shè)置組織單位的屬性（1）打開“ActiveDirectory用戶和計(jì)算機(jī)”窗口。（2）在控制臺(tái)目錄樹中，雙擊域節(jié)點(diǎn)以展開該節(jié)點(diǎn)。（3）右擊要設(shè)置屬性的組織單位，從彈出的快捷菜單中選擇“屬性”命令，打開該組織單位的屬性對(duì)話框，如圖8-20所示。第8章使用和管理WINDOWS2000活動(dòng)目錄8.2.3設(shè)置組織單位的屬性（4）選擇“常規(guī)”選項(xiàng)卡，如圖8-20所示，在“描述”文本框中輸入組織單位的描述文字，并在“國(guó)家（地區(qū)）”、“省/自治區(qū)”、“縣市”、“街道”和“郵政編碼”框中分別輸入相應(yīng)信息。（5）選擇“管理者”選項(xiàng)卡，如圖8-21所示，單擊“更改”按鈕，在“選擇用戶或聯(lián)系人”對(duì)話框中選擇一個(gè)用戶或聯(lián)系人作為管理者；單擊“查看”按鈕，可查看管理者的屬性；如果要清除管理者，單擊“清除”按鈕即可。第8章使用和管理WINDOWS2000活動(dòng)目錄8.2.3設(shè)置組織單位的屬性第8章使用和管理WINDOWS2000活動(dòng)目錄8.2.3設(shè)置組織單位的屬性（6）選擇“組策略”選項(xiàng)卡，如圖8-22所示。（7）要新建一個(gè)組策略對(duì)象，單擊“新建”按鈕，在組策略對(duì)象列表框中會(huì)出現(xiàn)一個(gè)新的組策略對(duì)象，請(qǐng)輸入一個(gè)有意義的名稱。（8）創(chuàng)建組策略之后，單擊“編輯”按鈕，將打開“組策略”窗口，如圖8-23所示。第8章使用和管理WINDOWS2000活動(dòng)目錄8.2.3設(shè)置組織單位的屬性第8章使用和管理WINDOWS2000活動(dòng)目錄8.2.3設(shè)置組織單位的屬性（9）在“組策略”窗口中，管理員可對(duì)組策略進(jìn)行編輯，包括計(jì)算機(jī)配置和用戶配置兩個(gè)方面。編輯完畢后，關(guān)閉窗口。（10）單擊屬性窗口的“關(guān)閉”按鈕。下一頁第8章使用和管理WINDOWS2000活動(dòng)目錄8.3用戶賬戶的管理8.3.1

用戶賬戶的類型8.3.2

內(nèi)置的用戶賬戶8.3.3

建立域用戶賬戶8.3.4

域用戶賬戶的屬性設(shè)置8.3.5

管理域用戶賬戶8.3.6

創(chuàng)建本地用戶賬戶下一頁返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.3.1用戶賬戶的類型WindowsServer2003支持的用戶賬戶分為兩種類型：（1）域用戶賬戶（2）本地用戶賬戶下一頁第8章使用和管理WINDOWS2000活動(dòng)目錄（1）域用戶賬戶

域用戶賬戶建立在域控制器的ActiveDirectory數(shù)據(jù)庫內(nèi)。用戶可以利用域用戶賬戶來登錄域，并訪問網(wǎng)絡(luò)上的資源。當(dāng)用戶利用域用戶賬戶登錄時(shí)，由域控制器來檢查所輸入的賬戶與密碼是否正確。將用戶賬戶建立在某臺(tái)域控制器內(nèi)后，該賬戶數(shù)據(jù)會(huì)被自動(dòng)復(fù)制到同一個(gè)域內(nèi)的其他所有域控制器中。因此，當(dāng)該用戶登錄時(shí)，此域內(nèi)的所有域控制器都可以負(fù)責(zé)審核。返回下一頁第8章使用和管理WINDOWS2000活動(dòng)目錄（2）本地用戶賬戶

本地用戶賬戶建立在WindowsServer2003獨(dú)立服務(wù)器、WindowsServer2003/Windows2000成員服務(wù)器或WindowsXP計(jì)算機(jī)的本地安全數(shù)據(jù)庫內(nèi)，而不是域控制器內(nèi)。用戶可以利用本地用戶賬戶來登錄此計(jì)算機(jī)，但是只能夠訪問該計(jì)算機(jī)內(nèi)的資源，無法訪問域結(jié)構(gòu)網(wǎng)絡(luò)上的資源。返回第8章使用和管理WINDOWS2000活動(dòng)目錄（2）本地用戶賬戶

在此建議用戶最好不要在WindowsServer2003成員服務(wù)器或已加入域的Windows系統(tǒng)計(jì)算機(jī)內(nèi)建立本地用戶賬戶，因?yàn)闊o法通過域內(nèi)其他任何一臺(tái)計(jì)算機(jī)來使用這些賬戶、設(shè)置這些賬戶的權(quán)限。這些賬戶無法訪問域上的資源，同時(shí)域系統(tǒng)管理員也無法管理這些本地用戶賬戶。因此，在域結(jié)構(gòu)的網(wǎng)絡(luò)中，最好使用域用戶賬戶。下一頁返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.3.2內(nèi)置的用戶賬戶

當(dāng)WindowsServer2003安裝完畢后，將自動(dòng)建立一些內(nèi)置的賬戶，常見的賬戶是：（1）Administrator（系統(tǒng)管理員）（2）Guest（客戶）（3）IUSR_（計(jì)算機(jī)名）（Internet來賓賬戶）（4）IWAM_（計(jì)算機(jī)名）（啟動(dòng)IIS進(jìn)程賬戶）下一頁返回第8章使用和管理WINDOWS2000活動(dòng)目錄（1）Administrator（系統(tǒng)管理員）Administrator擁有最高的權(quán)限，可以用它來管理計(jì)算機(jī)與域內(nèi)的設(shè)置，例如建立、更改、刪除用戶與組賬戶、設(shè)置安全策略、設(shè)置用戶賬戶的權(quán)限等。如果從安全角度的考慮，不想讓他人知道該賬戶的名稱，可以將其改名，但是無法將其刪除。返回下一頁第8章使用和管理WINDOWS2000活動(dòng)目錄（2）Guest（客戶）Guest是供臨時(shí)用戶使用的賬戶，例如提供給偶爾需要登錄或者僅登錄一次的用戶使用。這個(gè)賬戶只有基本權(quán)限。可以更改此賬戶的名稱，但是無法將這個(gè)賬戶刪除。該賬戶默認(rèn)是禁用的，若要使用，請(qǐng)將其啟用。下一頁返回第8章使用和管理WINDOWS2000活動(dòng)目錄（3）IUSR_（計(jì)算機(jī)名）

匿名訪問Internet信息服務(wù)的內(nèi)置賬戶，是訪問WWW服務(wù)器的賬戶。下一頁返回（4）IWAM_（計(jì)算機(jī)名）這是安裝IIS時(shí)系統(tǒng)自動(dòng)建立的一個(gè)內(nèi)置賬號(hào)，主要用于啟動(dòng)進(jìn)程外應(yīng)用程序的Internet信息服務(wù)。第8章使用和管理WINDOWS2000活動(dòng)目錄返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.3.2內(nèi)置的用戶賬戶

并非所有的用戶都具備權(quán)限來管理賬戶，由于目前只有系統(tǒng)管理員才具有添加、更改、刪除等管理賬戶的權(quán)限，因此必須先利用Administrator賬戶登錄。下一頁返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.3.3建立域用戶賬戶

在每個(gè)用戶賬戶添加完成后，ActiveDirectory都會(huì)為其建立一個(gè)惟一的安全識(shí)別碼（SID），Windows2000系統(tǒng)內(nèi)部利用這個(gè)SID來代表該用戶，有關(guān)的權(quán)限設(shè)置等都是對(duì)SID來設(shè)置的，而不是對(duì)賬戶名稱。

SID不會(huì)被重復(fù)使用，即使將某個(gè)賬戶刪除后，再添加一個(gè)相同名稱的賬戶，它也不會(huì)擁有原來該賬戶的權(quán)限，因?yàn)樗鼈兊腟ID不同，對(duì)Win2000系統(tǒng)而言，是不同的賬戶。返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.3.3建立域用戶賬戶

在建立用戶賬戶時(shí)，可以選擇一個(gè)組織單位，以便將用戶賬戶建立到該組織單位內(nèi)?？梢詫①~戶建立在內(nèi)置的Users組織單位或其他自行創(chuàng)建的組織單位內(nèi)。其步驟如下：（1）打開“ActiveDirectory用戶和計(jì)算機(jī)”窗口，雙擊域名（）→然后右擊“syzx”組織單位，再?gòu)膹棾龅目旖莶藛沃羞x擇“新建”→“用戶”命令。當(dāng)出現(xiàn)如圖8-24所示的窗口時(shí)，進(jìn)行以下設(shè)置：返回第8章使用和管理WINDOWS2000活動(dòng)目錄l

“姓”與“名”：l

“姓名”：l

“用戶登錄名”：l

“用戶登錄名（Win2000以前版本）”：8.3.3建立域用戶賬戶返回第8章使用和管理WINDOWS2000活動(dòng)目錄l

“姓”與“名”：l

“姓名”：l

“用戶登錄名”：l

“用戶登錄名（Win2000以前版本）”：8.3.3建立域用戶賬戶

至少在這兩個(gè)文本框之一輸入信息。

返回第8章使用和管理WINDOWS2000活動(dòng)目錄l

“姓”與“名”：l

“姓名”：l

“用戶登錄名”：l

“用戶登錄名（Win2000以前版本）”：8.3.3建立域用戶賬戶

用戶的全名，默認(rèn)就是前面的姓與名兩者的組合。返回第8章使用和管理WINDOWS2000活動(dòng)目錄l

“姓”與“名”：l

“姓名”：l

“用戶登錄名”：l

“用戶登錄名（Win2000以前版本）”：8.3.3建立域用戶賬戶

這是用戶用來登錄域所使用的名稱。在ActiveDirectory內(nèi)，這個(gè)名稱必須是惟一的。返回第8章使用和管理WINDOWS2000活動(dòng)目錄l

“姓”與“名”：l

“姓名”：l

“用戶登錄名”：l

“用戶登錄名（Win2000以前版本）”：8.3.3建立域用戶賬戶

這個(gè)名稱可以被Windows2000以前版本的用戶使用，如被WindowsNT/98等用戶使用。返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.3.3建立域用戶賬戶（2）單擊“下一步”按鈕，將出現(xiàn)圖8-25所示的對(duì)話框，設(shè)置如下：l

“密碼”與“確認(rèn)密碼”：“用戶下次登錄時(shí)須更改密碼”：

“用戶不能更改密碼”：l

“密碼永不過期”：l

“賬戶已停用”：返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.3.3建立域用戶賬戶l

“密碼”與“確認(rèn)密碼”：“用戶下次登錄時(shí)須更改密碼”：

“用戶不能更改密碼”：l

“密碼永不過期”：l

“賬戶已停用”：

在“密碼”與“確認(rèn)密碼”框中輸入密碼。為了避免在輸入時(shí)被他人看到密碼，因此框中的密碼只會(huì)以星號(hào)（*）顯示。密碼最多為128個(gè)字符。密碼的大小寫是有區(qū)別的，例如abc與ABC是不同的密碼。返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.3.3建立域用戶賬戶l

“密碼”與“確認(rèn)密碼”：“用戶下次登錄時(shí)須更改密碼”：

“用戶不能更改密碼”：l

“密碼永不過期”：l

“賬戶已停用”：

強(qiáng)迫用戶在下次登錄時(shí)必須更改密碼。該項(xiàng)設(shè)置可以確保只有該用戶知道此密碼，提高用戶賬戶的安全性。返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.3.3建立域用戶賬戶l

“密碼”與“確認(rèn)密碼”：“用戶下次登錄時(shí)須更改密碼”：

“用戶不能更改密碼”：l

“密碼永不過期”：l

“賬戶已停用”：

它可防止用戶更改密碼，如果多人共享一個(gè)賬戶時(shí)（例如guest），則選擇此復(fù)選框，避免發(fā)生被某個(gè)用戶更改密碼后，造成其他用戶都無法登錄的情況。返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.3.3建立域用戶賬戶l

“密碼”與“確認(rèn)密碼”：“用戶下次登錄時(shí)須更改密碼”：

“用戶不能更改密碼”：l

“密碼永不過期”：l

“賬戶已停用”：

若選擇此復(fù)選框，則系統(tǒng)永遠(yuǎn)不會(huì)要求該用戶更改密碼，即使在“賬戶策略”的“密碼最長(zhǎng)存留期”中設(shè)置了所有用戶必須定期更改密碼，系統(tǒng)也不會(huì)要求該用戶更改密碼。若同時(shí)選擇了“用戶下次登錄時(shí)須更改密碼”與“密碼永不過期”復(fù)選框，則以“密碼永不過期”有效。返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.3.3建立域用戶賬戶l

“密碼”與“確認(rèn)密碼”：“用戶下次登錄時(shí)須更改密碼”：

“用戶不能更改密碼”：l

“密碼永不過期”：l

“賬戶已停用”：

禁止用戶利用此賬戶登錄，例如，對(duì)于某個(gè)請(qǐng)長(zhǎng)假的員工的賬戶，可以利用此選項(xiàng)暫時(shí)將該賬戶停用。返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.3.3建立域用戶賬戶（3）單擊“下一步”按鈕后，提示用戶賬戶的信息。最后單擊“完成”按鈕，完成用戶賬戶的創(chuàng)建。所有新建的域用戶賬戶，都可以被用來在網(wǎng)絡(luò)上從加入域的計(jì)算機(jī)上登錄，卻無法直接在域控制器上登錄，除非被賦予“本地登錄”的權(quán)利。下一頁返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.3.4域用戶賬戶的屬性設(shè)置

每個(gè)域用戶賬戶都有一些相關(guān)的屬性可供設(shè)置，要設(shè)置用戶賬戶的屬性，依次通過“選擇該用戶”→“單擊鼠標(biāo)右鍵”→“屬性”的途徑，打開如圖8-26所示的“屬性”對(duì)話框。以下只說明部分的選項(xiàng)，其余的選項(xiàng)將在以后相關(guān)的章節(jié)介紹。1．用戶個(gè)人信息的設(shè)置2．賬戶信息的設(shè)置下一頁返回第8章使用和管理WINDOWS2000活動(dòng)目錄1．用戶個(gè)人信息的設(shè)置

用戶個(gè)人信息是指姓名、地址、電話、傳真、移動(dòng)電話、公司、部門、職稱、電子郵件、Web頁等。有如下幾個(gè)選項(xiàng)卡：常規(guī)、地址、電話、單位。返回下一頁第8章使用和管理WINDOWS2000活動(dòng)目錄2．賬戶信息的設(shè)置

選擇“賬戶”選項(xiàng)卡，如圖8-27所示。有一部分賬戶信息的設(shè)置，在添加用戶賬戶時(shí)就已經(jīng)說明過了，在這里僅介紹如下設(shè)置。（1）賬戶過期（2）登錄時(shí)間（3）限制用戶只能夠從某些工作站登錄下一頁返回第8章使用和管理WINDOWS2000活動(dòng)目錄（1）賬戶過期

設(shè)置賬戶的有效期限。默認(rèn)為賬戶永不過期，也可以選擇“在這之后”單選框，并確定賬戶過期的時(shí)間。返回下一頁第8章使用和管理WINDOWS2000活動(dòng)目錄（2）登錄時(shí)間

“登錄時(shí)間”按鈕用來設(shè)置允許用戶登錄到域的時(shí)段，默認(rèn)為用戶可以在任何時(shí)段登錄域。設(shè)置時(shí)，請(qǐng)單擊圖8-27中的“登錄時(shí)間”按鈕，將出現(xiàn)如圖8-28所示的對(duì)話框。返回第8章使用和管理WINDOWS2000活動(dòng)目錄（2）登錄時(shí)間

圖中橫軸每一方塊代表一個(gè)小時(shí)，縱軸每一方塊代表一天，填充的方塊表示允許該用戶登錄的時(shí)段，空白的方塊代表該時(shí)段不允許此用戶登錄。選擇要設(shè)置的時(shí)段，若單擊“允許登錄”單選框，設(shè)置允許用戶在該時(shí)段內(nèi)登錄；若單擊“拒絕登錄”單選框，設(shè)置不允許用戶在該時(shí)段內(nèi)登錄。完成用戶登錄時(shí)段的設(shè)置。下一頁返回第8章使用和管理WINDOWS2000活動(dòng)目錄（3）限制用戶只能夠從某些工作站登錄“登錄到”按鈕，用來設(shè)置允許用戶登錄到域的計(jì)算機(jī)，系統(tǒng)默認(rèn)為用戶可從任何一臺(tái)計(jì)算機(jī)登錄域，也可以限制用戶只能從某幾臺(tái)計(jì)算機(jī)登錄域。設(shè)置時(shí)，請(qǐng)單擊“登錄到”按鈕，出現(xiàn)右圖對(duì)話框。

下一頁返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.3.5管理域用戶賬戶

打開“ActiveDirectory用戶和計(jì)算機(jī)”窗口，選定用戶賬戶并單擊鼠標(biāo)右鍵，打開如圖8-30所示的快捷菜單，然后選擇相應(yīng)的命令來管理域用戶賬戶。（1）復(fù)制。

（2）停用賬戶/啟用賬戶。

（3）重命名。

（4）刪除賬戶。

（5）重設(shè)密碼。

（6）解除被鎖定的賬戶。

返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.3.5管理域用戶賬戶（1）復(fù)制。

（2）停用賬戶/啟用賬戶。

（3）重命名。

（4）刪除賬戶。

（5）重設(shè)密碼。

（6）解除被鎖定的賬戶。

可以復(fù)制具有相同屬性的賬戶。

返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.3.5管理域用戶賬戶（1）復(fù)制。

（2）停用賬戶/啟用賬戶。

（3）重命名。

（4）刪除賬戶。

（5）重設(shè)密碼。

（6）解除被鎖定的賬戶。

若賬戶在某一段時(shí)間內(nèi)不使用，則可以將其停用；待需要使用時(shí)，再將其重新啟用。圖8-29中所看到的是“停用賬戶”的命令，如果該賬戶已被停用，則此處的命令會(huì)變?yōu)椤皢⒂觅~戶”。

返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.3.5管理域用戶賬戶（1）復(fù)制。

（2）停用賬戶/啟用賬戶。

（3）重命名。

（4）刪除賬戶。

（5）重設(shè)密碼。

（6）解除被鎖定的賬戶。

可以將用戶賬戶重命名，由于其安全識(shí)別碼（SID）并沒有改變，因此該賬戶的屬性、權(quán)限設(shè)置與組關(guān)系都不會(huì)受到影響。

返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.3.5管理域用戶賬戶（1）復(fù)制。

（2）停用賬戶/啟用賬戶。

（3）重命名。

（4）刪除賬戶。

（5）重設(shè)密碼。

（6）解除被鎖定的賬戶。

可以將不再使用的賬戶刪除，以免占用ActiveDirectory的空間。將賬戶刪除后，即使再添加一個(gè)相同名稱的賬戶，這個(gè)新賬戶也不會(huì)繼承原賬戶的屬性、權(quán)限、設(shè)置與組關(guān)系，因其具有不同的SID。

返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.3.5管理域用戶賬戶（1）復(fù)制。

（2）停用賬戶/啟用賬戶。

（3）重命名。

（4）刪除賬戶。

（5）重設(shè)密碼。

（6）解除被鎖定的賬戶。

當(dāng)用戶遺失密碼或密碼過期時(shí)，可以利用此命令重新替用戶設(shè)置密碼。返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.3.5管理域用戶賬戶（1）復(fù)制。

（2）停用賬戶/啟用賬戶。

（3）重命名。

（4）刪除賬戶。

（5）重設(shè)密碼。

（6）解除被鎖定的賬戶。

在賬戶策略中可以設(shè)置用戶輸入密碼失敗多次時(shí)，將該賬戶鎖定。若用戶賬戶被鎖定，可以在屬性對(duì)話框中將“賬戶被鎖定”的復(fù)選框清除即可。

下一頁返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.3.6創(chuàng)建本地用戶賬戶

創(chuàng)建本地用戶賬戶可以依次通過“開始”→“設(shè)置”→“控制面板”→“管理工具”→“計(jì)算機(jī)管理”→“系統(tǒng)工具”→“本地用戶和組”→“用戶”，然后單擊鼠標(biāo)右鍵，并從彈出的快捷菜單中選擇“新用戶”的途徑來完成，其屬性的設(shè)置類似于域用戶賬戶的設(shè)置。下一頁返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.4組的建立8.4.1

組的類型8.4.2

組的作用域8.4.3

域組的管理8.4.4

本地組的創(chuàng)建8.4.5

內(nèi)置的組下一頁返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.4.1組的類型WindowsServer2003所支持的組分為兩種類型。1．安全組2．通訊組下一頁返回第8章使用和管理WINDOWS2000活動(dòng)目錄1．安全組

安全組可以用來設(shè)置權(quán)限，簡(jiǎn)化網(wǎng)絡(luò)的維護(hù)和管理。例如，可以設(shè)置某個(gè)安全組對(duì)一些文件具備“讀取”的權(quán)限。安全組也可以用在與安全無關(guān)的任務(wù)上，例如，將電子郵件發(fā)送給某個(gè)安全組。下一頁返回第8章使用和管理WINDOWS2000活動(dòng)目錄2．通訊組

通訊組只能用在與安全無關(guān)的任務(wù)上，例如，可以將電子郵件發(fā)送給某個(gè)通訊組。通訊組不能用于權(quán)限的設(shè)置與管理。下一頁返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.4.2組的作用域

每個(gè)安全組和分布式組均具有作用域，在Windows域內(nèi)，有三類不同的作用域。1．全局組2．本地域組3．通用組下一頁返回第8章使用和管理WINDOWS2000活動(dòng)目錄1．全局組

全局組主要用來組織用戶，可以將多個(gè)權(quán)限相似的用戶賬戶加入到同一個(gè)全局組內(nèi)。全局組的特點(diǎn)如下：l

全局組內(nèi)的成員，只能夠包含該組所屬的域內(nèi)的用戶賬戶與全局組。也就是說，只能夠?qū)⑼粋€(gè)域內(nèi)的用戶賬戶與其他全局組加入到全局組內(nèi)。l

全局組可以訪問任何一個(gè)域內(nèi)的資源。也就是說，可以在任何一個(gè)域內(nèi)設(shè)置某個(gè)全局組的使用權(quán)限，以便讓此全局組具備權(quán)限來訪問該域內(nèi)的資源。下一頁返回第8章使用和管理WINDOWS2000活動(dòng)目錄2．本地域組

本地域組主要用來指派其所屬域內(nèi)的訪問權(quán)限，以便可以訪問該域內(nèi)的資源。本地域組的特點(diǎn)如下：l

本地域組內(nèi)的成員，能夠包含任何一個(gè)域內(nèi)的用戶賬戶、通用組、全局組。它也能夠包含同一個(gè)域內(nèi)的本地域組，但是無法包含其他域內(nèi)的本地域組。l

本地域組只能夠訪問本域內(nèi)的資源，無法訪問其他不同域內(nèi)的資源。換句話說，在設(shè)置本地域組的權(quán)限時(shí)，只可以設(shè)置本域內(nèi)資源的權(quán)限，但是無法設(shè)置其他不同域內(nèi)資源的權(quán)限。下一頁返回第8章使用和管理WINDOWS2000活動(dòng)目錄3．通用組

通用組主要用來指派在所有域內(nèi)的訪問權(quán)限，以便可以訪問每一個(gè)域內(nèi)的資源。通用組的特點(diǎn)如下：l

通用組內(nèi)的成員，能夠包含任何一個(gè)域內(nèi)的用戶賬戶、通用組、全局組。但是它無法包含任何一個(gè)域內(nèi)的本地域組。l

通用組可以訪問任何一個(gè)域內(nèi)的資源。也就是說，可以在任何一個(gè)域內(nèi)設(shè)置通用組的權(quán)限，以便讓此通用組具備權(quán)限來訪問該域內(nèi)的資源。下一頁返回第8章使用和管理WINDOWS2000活動(dòng)目錄8.4.3域組的管理

打開“ActiveDirectory用戶和計(jì)算機(jī)”窗口，添加、刪除與管理域組。1．域組的添加、刪除與更名2．添加域組的成員下一頁返回第8章使用和管理WINDOWS2000活動(dòng)目錄1．域組的添加、刪除與更名添加域組的步驟如下：（1）在“ActiveDirectory用戶和計(jì)算機(jī)”窗口中選擇域名或某個(gè)組織單位，單擊鼠標(biāo)右鍵，從彈出的快捷菜單中依次選擇“新建”→“組”命令，打開如圖8-31所示的對(duì)話框。

返回第8章使用和管理WINDOWS2000活動(dòng)目錄1．域組的添加、刪除與更名（2）在“組名”文本框中輸入域組的名稱，在“組名（Windows2000以前版本）”文本框中輸入供舊版操作系統(tǒng)訪問的組名。（3）在“組作用域”單選組框中選擇組的作用域：“本地域”、“全局”或“通用”。（4）在“組類型”單選組框中選擇組的類型：“安全式”或“分布式”。（5）單擊“確定”按鈕，完成域組的創(chuàng)建。返回第8章使用和管理WINDOWS2000活動(dòng)目錄1．域組的添加、刪除與更名

每個(gè)組賬戶添加完成后，系統(tǒng)都會(huì)為其建立一個(gè)惟一的安全識(shí)別碼（SID），在Windows2000系統(tǒng)內(nèi)部是利用這個(gè)SID來表示該組，有關(guān)權(quán)限的設(shè)置等都是對(duì)SID來設(shè)置的?？梢韵冗x擇域組賬戶，單擊鼠標(biāo)右鍵，并從彈出的快捷菜單中選擇“重命名”命令，更改域組賬戶名。由于更改名稱后，在Windows2000內(nèi)部的安全識(shí)別碼（SID）并沒有改變，因此該域組賬戶的屬性、權(quán)限等設(shè)置都不變。返回第8章使用和管理WINDOWS2000活動(dòng)目錄1．域組的添加、刪除與更名