WindowsServer域及账户管理.ppt

2010年年9月月16日日第第3 3章章 Windows Server 2008 Windows Server 2008 域及其账户管理域及其账户管理3.1 活动目录的概述3.1.1 目录服务的含义3.1.2 需要目录服务的原因3.1.3 活动目录与域3.2 ACTIVE DIRECTORY的物理结构3.2.1 域控制器3.2.2 站点3.3 域信任关系3.4 ACTIVE DIRECTORY 的安装3.4.1 域控制器的安装3.4.2 将计算机加入到域3.5 域账户管理3.5.1 域用户账户3.5.2 域用户组账户3.5.3 组、用户账户的创建【内容提要】•活动目录的概述活动目录的概述•活动目录的组成活动目录的组成•活动目录的安装活动目录的安装•活活 动动 目目 录录 （（ Active Directory）） 是是 Windows Server 2008系系统统中中提提供供的的目目录录服服务务，，用用于于存存储储网网络络上上各各种种对对象象的的相相关关信信息息，，以以便便于于管管理理员员查查找找和和使使用用活活动动目目录录是是企企业业IT管管理理的的重重要要组组成成部部分分，，掌掌握握活活动动目目录录对对提提高高Windows Server 2008的的管管理理技技能能具具有有非非常常重重要要的的意意义义。

本本章章讨讨论论活活动动目目录录的的基基本本概概念念、、结结构构元元素素和和特特性性，，并并介介绍绍有有关关活活动动目目录录服服务务的的基本操作基本操作活动目录的概述活动目录的概述•活活 动动 目目 录录 （（ Active Directory）） 是是 Windows Server 2008操操作作系系统统提提供供的的一一种种新新的的目目录录服服务务所所谓谓目目录录服服务务其其实实就就是是提提供供了了一一种种按按层层次次结结构构组组织织的的信信息息，，然然后后按按名名称称关关联联检检索索信信息息的的服服务务方方式式这这种种服服务务提提供供了了一一个个存存储储在在目目录录中中的的各各种种资资源源的的统统一一管管理理视视图图，，从从而而减减轻轻了了企企业业的的管管理理负负担担另另外外，，它它还还为为用用户户和和应应用用程程序序提提供供了了对对其其所所包包含含信信息息的的安安全全访访问问活活动动目目录录作作为为用用户户、、计计算算机机和和网网络络服服务务相相关关信信 息息 的的 中中 心心 ，， 支支 持持 现现 有有 的的 行行 业业 标标 准准LDAP（（Lightweight Directory Access Protocal，，轻轻量量目目录录访访问问协协议议））第第8版版，，使使任任何何兼兼容容LDAP的的客客户户端端都都能能与与之之相相互互协协作作，，可可访访问问存存储储在在活活动动目目录录中的信息，如中的信息，如Linux、、Novell系统等。

系统等3.1.1 3.1.1 目录服务的含义目录服务的含义•目目录录是是一一个个用用于于存存储储用用户户感感兴兴趣趣的的对对象象信信息息的的信信息息库库所所谓谓目目录录服服务务就就是是结结构构化化的的网网络络资资源源信信息息库库，，如计算机、用户、打印机、服务器等如计算机、用户、打印机、服务器等•活活动动目目录录（（Active Directory））是是用用于于Windows Server 2008 的的目目录录服服务务它它存存储储着着本本网网络络上上各各种种对对象象的的相相关关信信息息，，并并使使用用一一种种易易于于用用户户查查找找及及使使用用的的结结构构化化的的数数据据存存储储方方法法来来组组织织和和保保存存数数据据在在整整个个目目录录中中，，通通过过登登录录验验证证以以及及目目录录中中对对象象的的访访问问控控制，将安全性集成到制，将安全性集成到 Active Directory中3.1.2 3.1.2 需要目录服务的原因需要目录服务的原因•目录服务可以实现如下的功能：目录服务可以实现如下的功能：•（（1））提提高高管管理理者者定定义义的的安安全全性性来来保保证证信信息息不不受受入入侵者的破坏；侵者的破坏； •（（2））将将目目录录分分布布在在一一个个网网络络中中的的多多台台计计算算机机上上，，提高了整个网络系统的可靠性；提高了整个网络系统的可靠性；•（（3））复复制制目目录录可可以以使使得得更更多多用用户户获获得得它它并并且且减减少少使用和管理开销，提高效率；使用和管理开销，提高效率；•（（4））分分配配一一个个目目录录于于多多个个存存储储介介质质中中使使其其可可以以存存储规模非常大的对象。

储规模非常大的对象3.1.3 3.1.3 活动目录与域活动目录与域•Windows域域（（Domain））是是基基于于NT技技术术构构建建的的Windows系系统统组组成成的的计计算算机机网网络络的的独独立立安安全全范范围围，，是是Windows的的逻逻辑辑管管理理单单位位，，也也就就是是说说一一个个域域就就是是一一系系列列的的用用户户账账户户、、访访问问权权限限和和其其他他的的各各种种资资源源的的集合活动目录的结构如图集合活动目录的结构如图3.1所示图3.1 活动目录的结构1 1．对象．对象•对对象象（（Object））是是对对某某具具体体事事物物的的命命名名，，如如用用户户、、打打印印机机或或应应用用程程序序等等属属性性是是对对象象用用来来识识别别主主题题的的描描述述性性数数据据一一个个用用户户的的属属性性可可能能包包括括用用户户的的Name、、Email和和Phone等等，，如如图图3.2所所示示，，是是一一个个用户对象和其属性的表示用户对象和其属性的表示•图图3.2 用户对象和它的属性用户对象和它的属性2 2．域．域•域（域（Domain））是是Windows Server 2008活动目录活动目录的核心单元，是共享同一活动目录的一组计算机集的核心单元，是共享同一活动目录的一组计算机集合。

域是安全的边界，在默认的情况下，一个域的合域是安全的边界，在默认的情况下，一个域的管理员只能管理自己的域，一个域的管理员要管理管理员只能管理自己的域，一个域的管理员要管理其他的域需要专门的授权域也是复制单位，一个其他的域需要专门的授权域也是复制单位，一个域可包含多个域控制器，当某个域控制器的活动目域可包含多个域控制器，当某个域控制器的活动目录数据库修改以后，会将此修改复制到其他所有域录数据库修改以后，会将此修改复制到其他所有域控制器3 3．组织单元．组织单元•组组织织单单元元（（OU，，Organizational Unit））是是组组织织、、管管理理一一个个域域内内对对象象的的容容器器，，它它能能包包容容用用户户账账户户、、用用户组、计算机、打印机和其他的组织单元户组、计算机、打印机和其他的组织单元4 4．树．树•树树（（Tree）），，又又称称为为域域树树，，用用来来描描述述对对象象及及容容器器的的分分层层结结构构关关系系域域树树是是由由若若干干具具有有共共同同的的模模式式、、配配置置的的域域构构成成的的，，形形成成了了一一个个临临近近的的名名字字空空间间在在树树中中的的域域也也是是通通过过信信任任关关系系连连接接起起来来的的。

活活动动目目录录是是一一个个或或更更多多树树的的集集合合树树可可以以通通过过两两种种途途径径表表示，一种是域之间的关系，另一种是域树的名字空间示，一种是域之间的关系，另一种是域树的名字空间•一一棵棵Windows Server 2008域域树树就就是是一一个个DNS名名字字空空间间域域树名字空间具有以下特点：树名字空间具有以下特点：•（（1）一棵树只有一个名字，即位于树根处的域的）一棵树只有一个名字，即位于树根处的域的DNS名字；名字；•（（2））在在根根域域下下面面创创建建的的域域（（子子域域））的的名名字字总总是是与与根根域域的的名名字字邻接；邻接；•（（3）一棵树子域的）一棵树子域的DNS名字是反映该组织机构的名字是反映该组织机构的5 5．树林．树林•树树林林（（Forest））：：树树林林是是一一棵棵或或多多棵棵Windows Server 2008活活动动目目录录树树的的集集合合各各树树之之间间地地位位相相当当，，由由双双向向传传递递的的信信任任关关系系相相关关联联单单个个域域组组成成一一棵棵单单域域的的树树，，单单棵棵树树组组成成单单树树的的树树林林树树林林与与活活动动目目录录是是同同一一个个概概念念，，也也就就是是说说，，一一个个特特定定的的目目录录服服务务实实例例（（包包括括所所有有的的域域、、所所有有的的配配置置和和模模式式信信息息））中的全部目录分区集合组成一片树林。

中的全部目录分区集合组成一片树林3.2 Active Directory3.2 Active Directory的物理结构的物理结构•3.2.1 域控制器域控制器•域域控控制制器器是是运运行行Active Directory 的的 Windows Server 2008服服务务器器由由于于在在域域控控制制器器上上，，Active Directory 存存储储了了所所有有的的域域范范围围内内的的账账户户和和策策略略信信息息，，如如系系统统的的安安全全策策略略、、用用户户身身份份验验证证数数据据和和目目录录搜搜索索账账户户信信息息可可以以属属于于用用户户、、服服务务和和计计算算机机账账户户由由于于有有Active Directory 的的存存在在，，域域控控制制器器不不需需要要本本地地安安全全账账户户管管理理器器（（SAM））在在域域中中作作为为服服务务器器的的系系统统可可以以充充当当以以下下两两种种角角色色中中的的任任何何一一种种：：域域控控制器或成员服务器制器或成员服务器3.2.2 3.2.2 站点站点•Active Directory中的站点代表网络的物理结构或中的站点代表网络的物理结构或拓扑。

拓扑Active Directory 使用在目录中存储为站点使用在目录中存储为站点和站点连接对象建立起最有效的复制拓扑可以将和站点连接对象建立起最有效的复制拓扑可以将站点定义为由一个或多个站点定义为由一个或多个 IP 子网的一组连接良好子网的一组连接良好的计算机集合站点与域不同，站点代表网络的物的计算机集合站点与域不同，站点代表网络的物理结构，而域代表组织的逻辑结构理结构，而域代表组织的逻辑结构•站点在概念上不同于站点在概念上不同于Windows Server 2008 的域，的域，因为一个站点可以跨越多个域，而一个域也可以跨因为一个站点可以跨越多个域，而一个域也可以跨越多个站点站点并不属于域名称空间的一部分，越多个站点站点并不属于域名称空间的一部分，站点控制域信息的复制，并可以帮助确定资源位置站点控制域信息的复制，并可以帮助确定资源位置的远近站点反映网络的物理结构，而域通常反映的远近站点反映网络的物理结构，而域通常反映组织的逻辑结构组织的逻辑结构3.3 3.3 域信任关系域信任关系•信信任任是是域域之之间间建建立立的的关关系系，，它它可可使使一一个个域域中中的的用用户户由由处处在在另另一一个个域域中中的的域域控控制制器器来来进进行行验验证证。

Windows Server 2008域域之之间间信信任任关关系系建建立立在在Kerberos安安全全协协议议上上Windows Server 2008树树林林中中的的所所有有信信任任都都是是可可传传递递的的、、双双向向信信任任的的，，因因此此，，信信任任关关系系中中的的两两个个域域都都是是相相互互受受信信任任的的如如图图3.4所所示•图图3.4 一个域树和它的信任关系表示一个域树和它的信任关系表示8.4 Active Directory 8.4 Active Directory 的安装的安装•Active Directory和和DNS具有相同的层次结构具有相同的层次结构•DNS区区域域可可存存储储在在Active Directory中中如如果果要要使使用用Windows Server 2008 DNS服服务务，，主主区区域域文文件件可可存存储储在在Active Directory 中中，，用用于于复复制制到到其其他他Active Directory域控制器中域控制器中•Active Directory 客客户户使使用用DNS来来定定位位域域控控制制器器将将Windows Server 2008服服务务器器的的基基本本系系统统安安装装完完成成之之后后，，可可以以通通过过手手动动安安装装域域名名服服务务器器（（DNS））和和DCPromo（（创创建建DNS和和Active Directory的的命命令令行行工工具具）），，也也可可以以使使用用“Windows Server 2008管管理理服服务器务器”向导进行安装。

下面介绍具体的安装方法向导进行安装下面介绍具体的安装方法8.4.1 8.4.1 域控制器的安装域控制器的安装•1．．Windows Server 2008 管理服务器安装管理服务器安装•安安装装AD DS之之前前需需验验证证Windows Windows Server Server 20082008系系统统、、配配置置TCP/IPv4TCP/IPv4属属性性、、设设置置AD AD DS DS 的的数数据据库库、、日日志志文文件件以以及及SYSVOLSYSVOL文文件件夹夹在在计计算算机机WINWIN上上安安装装Active Directory域域 服服 务务 和和 DNS服服 务务 ，， 域域 名名 为为“”Windows Server 2008 Windows Server 2008 管理服务器安装管理服务器安装•（（1））单单击击“开开始始 | 运运行行”，，在在运运行行对对话话框框中中输输入入“dcpromo”命命令令，，出出现现如如图图3.5所所示示的的界界面面，，开开始始安装安装Active Directory域服务二进制文件域服务二进制文件图图3.5安装安装Active Directory域服务二进制文件域服务二进制文件Windows Server 2008 Windows Server 2008 管理服务器安装管理服务器安装•（（2））Active Directory域域服服务务二二进进制制文文件件安安装装完完之之后后,将将打打开开如如图图3.6所所示示的的”Active Directory域域服服务务安安装装向向导导”，，通通过过该该向向导导把把当当前前计计算算机机配配置置为为域域控控制器。

制器图图3.6 Active Directory域服务安装向导域服务安装向导Windows Server 2008 Windows Server 2008 管理服务器安装管理服务器安装•（（3））单单击击“下下一一步步”按按钮钮，，出出现现“操操作作系系统统兼兼容容性性”对话框•（（4））单单击击“下下一一步步”按按钮钮，，在在出出现现的的“选选择择一一部部署署配配置置”对对话话框框中中选选择择“在在新新林林中中新新建建域域”复复选选框框，，如图图如图图3.7所示•图图3.7 在新林中新建域在新林中新建域Windows Server 2008 Windows Server 2008 管理服务器安装管理服务器安装•（（5）单击）单击“下一步下一步”按钮，出现按钮，出现“命名林根域命名林根域”对话框，在对话框，在“目录林根级域的目录林根级域的FQDN”文本框中输入文本框中输入新的林根级完整的域名系统名称为新的林根级完整的域名系统名称为“”如图如图3.8所示•图图3.8命名林根域命名林根域Windows Server 2008 Windows Server 2008 管理服务器安装管理服务器安装•(6)单击单击“下一步下一步”按钮，开始检查网络中是否已经按钮，开始检查网络中是否已经存在名为存在名为“”的林的名称，如果没有检的林的名称，如果没有检查到该林，则出现如图查到该林，则出现如图3.9所示的对话框。

所示的对话框•图图3.9 设置林功能级别设置林功能级别Windows Server 2008 Windows Server 2008 管理服务器安装管理服务器安装•（（7））单单击击“下下一一步步”按按钮钮，，出出现现如如图图所所示示的的“设设置置域域功功能能级级别别”对对话话框框有有Windows 2000纯纯模模式式、、Windows Server 2003和和 Windows Server 2008三三个个域域功功能能级级别别，，默默认认域域功功能能级级别别为为Windows 2000纯模式•图图3.10设置域功能级别设置域功能级别Windows Server 2008 Windows Server 2008 管理服务器安装管理服务器安装•（（8））单单击击“下下一一步步”按按钮钮，，开开始始检检查查计计算算机机上上DNS配配置置，，检检查查完完毕毕出出现现“其其他他域域控控制制器器选选项项”对对话话框框，，选选择择“DNS服服务务器器”复复选选框框将将该该计计算算机机配配置置为为DNS服服务务器器，，如如图图3.11所所示示在在该该对对话话框框中中的的选选项说明如下：项说明如下：•图图3.11选择其它域控制器选择其它域控制器Windows Server 2008 Windows Server 2008 管理服务器安装管理服务器安装•（（9）单击）单击“下一步下一步”按钮，弹出如图按钮，弹出如图3.12所示的所示的界面，该信息表示因为无法找到有权威的父区域或界面，该信息表示因为无法找到有权威的父区域或者未运行者未运行DNS服务器，所以无法创建该服务器，所以无法创建该DNS服务器服务器的委派。

的委派•图图3.12无法创建无法创建DNS委派委派Windows Server 2008 Windows Server 2008 管理服务器安装管理服务器安装•（（10））单单击击“是是”按按钮钮，，出出现现“数数据据库库、、日日志志文文件件和和SYSVOL的的位位置置”对对话话框框，，在在该该对对话话框框中中指指定定活活动动目目录录数数据据库库、、日日志志文文件件以以及及SYSVOL文文件件夹夹的的存存储储位位置置，，其其中中SYSVOL文文件件夹夹必必须须存存在在NTFS文文件件系统的分区上，如图系统的分区上，如图3.13所示•图图3.13指定数据库、日志文件以及指定数据库、日志文件以及SYSVOL文件夹的位置文件夹的位置Windows Server 2008 Windows Server 2008 管理服务器安装管理服务器安装•（（11））单单击击“下下一一步步”按按钮钮，，出出现现“目目录录服服务务还还原原模模式式的的Adminstrator密密码码”对对话话框框，，在在该该对对话话框框中中指指导导定定在在目目录录服服务务还还原原模模式式下下所所需需的的密密码码，，该该密密码码必必须须符符合合密密码码策策略略规规定定的的复复杂杂性性要要求求，，如如图图3.14所所示。

示图图3.14设置目录服务还原模式的设置目录服务还原模式的Adminstrator密码密码Windows Server 2008 Windows Server 2008 管理服务器安装管理服务器安装•（（12））单单击击“下下一一步步”按按钮钮，，出出现现“摘摘要要”对对话话框框，，在在该该对对话话框框显显示示以以上上步步骤骤设设置置的的相相关关信信息息确确认认信信息息没没错错，，则则单单击击“下下一一步步”按按钮钮，，开开始始安安装装DNS和和Active Directory域服务，过程如图域服务，过程如图3.15所示图图3.15正在安装正在安装Active Directory域服务域服务Windows Server 2008 Windows Server 2008 管理服务器安装管理服务器安装•（（13））整整个个安安装装Active Directory域域服服务务需需要要几几分分钟钟时时间间，，安安装装完完成成后后会会出出现现如如图图3.16所所示示“完完成成Active Directory域域服服务务安安装装向向导导”对对话话框框，，表表示示Active Directory域服务安装成功。

域服务安装成功图图3.16完成完成Active Directory域服务域服务2 2．域控制器的删除．域控制器的删除•安装好的域控制器的角色是可以更改的，可以使用安装好的域控制器的角色是可以更改的，可以使用“Active Directory 安装向导安装向导”，在成员服务器上，在成员服务器上安装安装Active Directory以使其成为域控制器，也可以使其成为域控制器，也可从域控制器上删除从域控制器上删除Active Directory，使其成为成，使其成为成员服务器员服务器图3.21删除域3.4.2 3.4.2 将计算机加入到域将计算机加入到域•将计算机添加到将计算机添加到Windows Server 2008域中的详细域中的详细操作步骤：操作步骤：•(1)打开需要添加进域的客户端计算机打开需要添加进域的客户端计算机“TCP/IP”属属性对话框，将首选性对话框，将首选DNS的的IP地址设置为地址设置为“172.16.22.2”，如图，如图3.25所示所示.•图图3.25设置首选设置首选DNS服务器服务器将计算机加入到域将计算机加入到域•(2) 右键单击右键单击“我的电脑我的电脑”，然后单击，然后单击“属性属性”按钮。

单击按钮单击“计算机名计算机名”选项卡，可以打开如图选项卡，可以打开如图3.26所示的界面所示的界面•（（3）记录下完整的计算机名称信息（备用）记录下完整的计算机名称信息（备用）•（（4）在控制面板中或桌面上）在控制面板中或桌面上“我的电脑我的电脑”打开打开“系统系统”属属性在“计算机名计算机名”选项卡上，单击选项卡上，单击“更改更改”按钮启动计算按钮启动计算机名称更改，如图机名称更改，如图3.27所示 图图3.26 “系统属性系统属性”对话框中的对话框中的“网络表示网络表示”选项卡选项卡图图3.27计算机名称更改计算机名称更改将计算机加入到域将计算机加入到域•（（5））单单击击“隶隶属属于于”下下面面的的“域域”，，输输入入要要加加入入的的域域的的名名称称，，这这里里可可以以输输入入””,然然后后单单击击“确确定定”按按钮钮，，提提示示用用户户提提供供将将计计算算机机加加入入到到域的用户名和用户密码域的用户名和用户密码•（（6））单单击击“确确定定”按按钮钮关关闭闭“系系统统属属性性”对对话话框框，，将将提提示示重重新新启启动动计计算算机机以以便便使使用用所所做做的的改改动动,在在出出现现的的“用用户户账账户户和和域域信信息息”页页面面（（如如图图3.28所所示示））中中，，输输入入Active Directory用用户户（（域域用用户户组组中中的的任任何何成成员员））的的用用户户名名和和密密码码，，然然后后单单击击“下下一一步步”按按钮钮。

单单击击“确确定定”按按钮钮，，出出现现“欢欢迎迎加加入入域域”页页面面，，说说明明A1计算机已成功加入域计算机已成功加入域,如图如图3.29所示将计算机加入到域将计算机加入到域•（（7）单击）单击“确定确定”按钮，最后，系统会提示按钮，最后，系统会提示“重重新启动计算机新启动计算机”重新启动计算机之后，系统所做重新启动计算机之后，系统所做的设置才会完全生效，如图的设置才会完全生效，如图3.30所示•图图3.30重新启动生效重新启动生效3.5 3.5 域账户管理域账户管理•3.5.1 域用户账户域用户账户•Active Directory用用户户账账户户和和计计算算机机账账户户代代表表物物理理实实体体，，如如人人或或计计算算机机用用户户账账户户也也可可用用做做某某些些应应用用程程序序的的专专用用服服务务账账户户用用户户账账户户和和计计算算机机账账户户以以及及组组也也称称为为安安全全主主体体安安全全主主体体是是被被自自动动指指派派了了安安全全标标识识符符（（SID））的的目目录录对对象象用用户户或或计计算算机机账账户户在在系统中可以用于以下几个方面系统中可以用于以下几个方面•1．验证用户或计算机的身份．验证用户或计算机的身份•2．授权或拒绝访问域资源．授权或拒绝访问域资源•3．管理其他安全主体．管理其他安全主体•4．审核使用用户或计算机账户执行的操作．审核使用用户或计算机账户执行的操作3.5.1 3.5.1 域账户账户域账户账户•Active Directory用户账户和计算机账户代表物理用户账户和计算机账户代表物理实体，如人或计算机。

用户账户也可用做某些应用实体，如人或计算机用户账户也可用做某些应用程序的专用服务账户用户账户和计算机账户以及程序的专用服务账户用户账户和计算机账户以及组也称为安全主体安全主体是被自动指派了安全组也称为安全主体安全主体是被自动指派了安全标识符（标识符（SID）的目录对象用户或计算机账户在）的目录对象用户或计算机账户在系统中可以用于以下几个方面系统中可以用于以下几个方面•（（1））Active Directory用户账户用户账户•（（2）保护）保护Active Directory用户账户用户账户•（（3））Active Directory账户配置选项账户配置选项•（（4）计算机账户计算机账户3.5.2 3.5.2 域用户组账户域用户组账户•组是用户和计算机账户、联系人以及其他可作为单组是用户和计算机账户、联系人以及其他可作为单个单元管理的集合，属于特定组的用户和计算机称个单元管理的集合，属于特定组的用户和计算机称为组成员为组成员•通过对通过对Active Directory 中的组进行管理，可以实中的组进行管理，可以实现如下功能：现如下功能：•（（1）简化管理）简化管理•（（2）委派管理）委派管理组相关的基本概念组相关的基本概念•1．组作用域．组作用域•组组都都有有一一个个作作用用域域，，用用来来确确定定在在域域树树或或林林中中该该组组的的应应用用范范围围。

有有3种组作用域：通用组、全局组和本地域组种组作用域：通用组、全局组和本地域组1））通通用用组组的的成成员员包包括括域域树树或或林林中中任任何何域域中中的的其其他他组组和和账账户户，，而且可在该域树或林中的任何域中指派权限而且可在该域树或林中的任何域中指派权限2））全全局局组组的的成成员员包包括括只只在在其其中中定定义义该该组组域域中中的的其其他他组组和和账账户，而且可在林中的任何域中指派权限户，而且可在林中的任何域中指派权限 3）） 本本 地地 域域 组组 的的 成成 员员 可可 包包 括括 Windows Server 2008、、Windows 2000或或Windows NT域域中中的的其其他他组组和和账账户户，，而而且且只只能在域内指派权限，如表能在域内指派权限，如表3.5所示组相关的基本概念组相关的基本概念•5．组类型．组类型•组可用于将用户账户、计算机账户和其他组账户收集到可管组可用于将用户账户、计算机账户和其他组账户收集到可管理的单元中使用组而不是单独的用户可简化网络的维护和理的单元中使用组而不是单独的用户可简化网络的维护和管理•Active Directory 中有两种组类型：通信组和安全组。

可以中有两种组类型：通信组和安全组可以使用通信组创建电子邮件通信组列表，使用安全组给共享资使用通信组创建电子邮件通信组列表，使用安全组给共享资源指派权限源指派权限•（（1）通信组只有在电子邮件应用程序（如）通信组只有在电子邮件应用程序（如 Exchange））中，才能使用通信组将电子邮件发送给一组用户如果需要中，才能使用通信组将电子邮件发送给一组用户如果需要组来控制对共享资源的访问，则需创建安全组组来控制对共享资源的访问，则需创建安全组•（（2）安全组安全组提供了一种有效的方式来指派对网络）安全组安全组提供了一种有效的方式来指派对网络上资源的访问权使用安全组，可以将用户权利指派到上资源的访问权使用安全组，可以将用户权利指派到Active Directory中的安全组，可以对安全组指派用户权利中的安全组，可以对安全组指派用户权利以确定该组的哪些成员可以在处理域（或林）、作用域内工以确定该组的哪些成员可以在处理域（或林）、作用域内工作3.5.3 3.5.3 组、用户账户的创建组、用户账户的创建•1.组的创建组的创建•Windows Server 2008中的组是可包含用户、联系中的组是可包含用户、联系人、计算机和其他组的人、计算机和其他组的Active Directory或本机对或本机对象。

通过使用组可以管理用户和计算机对象通过使用组可以管理用户和计算机对Active Directory对象及其属性、网络共享位置、文件、目对象及其属性、网络共享位置、文件、目录、打印机列队等共享资源的访问，也可以进行筛录、打印机列队等共享资源的访问，也可以进行筛选器组策略设置，创建电子邮件通信组等选器组策略设置，创建电子邮件通信组等•（（1）单击）单击“开始开始”按钮，指向按钮，指向“管理工具管理工具”，然，然后单击后单击“Active Directory 用户和计算机用户和计算机”•（（2）单击）单击“”旁边的旁边的“+”号将其展开号将其展开单击单击“”本身，显示如图本身，显示如图3.28所示的右所示的右窗格的内容窗格的内容3.5.3 3.5.3 组、用户账户的创建组、用户账户的创建•（（3）在图）在图3.31的左窗格中，右键单击的左窗格中，右键单击“”，指向，指向“新建新建”，然后单击，然后单击“组织组织单位单位”按钮图图3.31 添加组织单位添加组织单位组的创建组的创建•（（4）在名称框中输入）在名称框中输入“student”，然后单击，然后单击“确确定定”按钮按钮,如图如图3.32所示。

所示图图3.32组织单位名称组织单位名称•（（5）重复步骤）重复步骤3和和4以创建以创建“teacher”和和“manager” 组识组识单位（单位（OU）•（（6）在图）在图3.33的左窗格中单击的左窗格中单击“student”，此时将在右窗，此时将在右窗格中显示其内容（此过程开始时它是空的）格中显示其内容（此过程开始时它是空的）•（（7）右键单击）右键单击“student”，指向，指向“新建新建”，然后单击，然后单击“组组织单位织单位”•图图3.33 创建组织单位创建组织单位组的创建组的创建•（（8）输入）输入“zhilan”，单击，单击“确定确定”按钮•（（9）重复步骤）重复步骤7和和8，在，在“student”中创建中创建“fengze”和和“zhilan”组识单位（组识单位（OU）•在在“Teacher”组识单位（组识单位（OU）中创建）中创建“Computer”、、“English”和和“Math”,如图如图3.34所示•图图3.34 最终的组识单位（最终的组识单位（OU）结构）结构组的创建组的创建•（（10）鼠标右键单击）鼠标右键单击“manager”，指向，指向“新建新建”，然后单击，然后单击“组组”以为创建两个安全组。

要添加的以为创建两个安全组要添加的两个组是两个组是“sunman”、、“mathman”和和“enlishman”, 如图如图3.32所示每个组的设置应该所示每个组的设置应该是是“全局全局”和和“安全安全”单击“确定确定”按钮，分别按钮，分别创建每个组创建每个组2 2、创建用户账户、创建用户账户•下面的操作将在芷兰学生宿舍区创建用户下面的操作将在芷兰学生宿舍区创建用户•（（1）在左窗格中，右键单击）在左窗格中，右键单击“zhilan”，指向，指向“新建新建”，然后单击，然后单击“用户用户”•（（2）输入）输入“san”作为作为“名名”，输入，输入“zhang”作作为为“姓姓”（注意，在（注意，在“姓名姓名”框中将自动显示全名）框中将自动显示全名），如图，如图3.36所示•图图3.36 添加用户添加用户2 2、创建用户账户、创建用户账户•（（3）输入）输入“zhangsan”作为作为“用户登录名用户登录名”，窗，窗口如图口如图3.36所示•（（4）单击）单击“下一步下一步”按钮•（（5）在）在“密码密码”和和“确认密码确认密码”中，输入中，输入“passwordstu”，然后单击，然后单击“下一步下一步”继续。

继续2 2、创建用户账户、创建用户账户•（（6）单击）单击“完成完成”此时，“zhangsan”作为用作为用户显示在右窗格的户显示在右窗格的“ zhilan”下面，如图下面，如图3.37所示•（（7）重复步骤）重复步骤2到到7，为，为“Fengze”和和“Jinan”的的组识单位（组识单位（OU）添加多个不同的账户添加多个不同的账户图图 3.37添加用户之后的组织结构添加用户之后的组织结构3. 3. 将用户添加到安全组中操作步骤：将用户添加到安全组中操作步骤：•（（1）在图）在图3.37的左窗格中，单击的左窗格中，单击“Manager”,然后双击然后双击“sunman”组•（（2）单击）单击“成员成员”选项卡，然后单击选项卡，然后单击“添加添加”•（（3）单击）单击“高级高级”，然后单击，然后单击“立即查找立即查找”•（（4）按住）按住“Ctrl”键并单击用户名，从下面部分中选择所键并单击用户名，从下面部分中选择所有相应的用户在突出显示所有成员后，单击有相应的用户在突出显示所有成员后，单击“确定确定”按钮，按钮，将需要加入的成员添加到将需要加入的成员添加到“sunman”安全组中，如图安全组中，如图3.38所所示。

单击示单击“确定确定”按钮关闭按钮关闭“sunman安全组属性安全组属性”页•（（5）重复步骤）重复步骤2到到5，为，为Non-management组添加成员组添加成员•（（6）关闭）关闭“Active Directory用户和计算机用户和计算机”管理单元管理单元至此，完成了计算机的组织和用户的添加至此，完成了计算机的组织和用户的添加习习 题题 3 3•3.1 什么是什么是Windows的活动目录？它有什么特点？的活动目录？它有什么特点？•3.2 什么是域控制器？什么是成员服务器？他们二者之间有什么是域控制器？什么是成员服务器？他们二者之间有什么区别？什么区别？•3.3 简要描述创建域用户账户的步骤简要描述创建域用户账户的步骤•3.4 什么是组？什么是组？Windows Server 2008有哪几种类型的组有哪几种类型的组？？•3.5 如何将一台计算机加入到如何将一台计算机加入到Windows Server 2008的域的域中？请描述出主要步骤中？请描述出主要步骤•3.6 Windows Server 2008有哪些主要的内置账户和内置有哪些主要的内置账户和内置组？最主要的内置账户是什么？提供给临时或来宾客户使用组？最主要的内置账户是什么？提供给临时或来宾客户使用的账户又是哪个？的账户又是哪个？•3.7 如何使用命令来将如何使用命令来将Windows Server 2008服务器提升服务器提升为活动目录中的域控制器，或者将域控制器降级？为活动目录中的域控制器，或者将域控制器降级？实训实训3 3 安装和管理安装和管理Windows Server 2008Windows Server 2008的活动目录的活动目录•3.1 在在Windows Server 2008中安装活动目录（域中安装活动目录（域名为名为）。

•3.2 让让Windows XP客户机加入到活动目录客户机加入到活动目录•3.3 创建用户和用户组（创建创建用户和用户组（创建Student和和Studentman两个组，然后再创建两个组，然后再创建Student1和和Student2两个域用户账户，并将这两个用户加入到两个域用户账户，并将这两个用户加入到Student组中在Studnetman组中也分别创建组中也分别创建Stuman1和和Stuman2两个账户）两个账户）•3.4 分别给分别给Student和和Studentman组赋予权限，组赋予权限，测试测试Student1和和Stuman2是否具有相应的权限是否具有相应的权限。