AD域服务器详细搭建课件.ppt

1、第第5 5章章 活动目录活动目录1ppt课件学习目标活动目录的基本概念活动目录的规划与安装域控制器的管理用户账户和计算机账户的管理组和组织单位的管理资源发布和域的管理2ppt课件5.1 概 述5.1.1 活动目录简介5.1.2 活动目录的三种特性 集成性 深入性 易用性3ppt课件5.2 5.2 安装活动目录安装活动目录5.2.1 活动目录的规划规划DNS规划域结构规划组织单位结构规划委派模式4ppt课件5.2.2 5.2.2 安装活动目录（安装活动目录（1 1）安装活动目录具体步骤如下：安装活动目录具体步骤如下：步骤一，启动Windows Server 2003系统自动打开“Server 2

2、003配置服务器”窗口，或者选择“开始”/“程序”/“管理工具”/“配置服务器”，打开如图5-1所示配置服务器向导窗口。步骤二，单击“下一步”，出现一个配置服务器向导的预备步骤窗口，以确认所提到的步骤已完成。单击“下一步”，出现检测网络设置窗口，如图5-2所示。步骤三，接下来出现配置选项窗口，我们选择“自定义配置”选项，单击“下一步”，出现服务器角色窗口，也就是你想让你的服务器担任的角色，我们从列表中选择“域控制器”。如图5-3所示。单击“下一步”按钮，出现确认窗口，以确认选择了正确角色。单击“下一步”，出现“Active Directory安装向导窗口”,如图5-4所示。也可省去前面步骤，直

3、接通过“开始”/“运行”，打开“运行”对话框，输入dcpromo命令，单击“确定”按钮，打开如图5-4所示的对话框。5ppt课件图5-1“Server 2003配置服务器”窗口 图5-2 显示活动目录内容5.2.2 5.2.2 安装活动目录（安装活动目录（2 2）6ppt课件5.2.2 5.2.2 安装活动目录（安装活动目录（3 3）步骤四，单击“下一步”，打开“操作系统兼容性”对话框。其大意是早期的Windows版本无法登录Windows Server 2003创建的域。图5-3 服务器角色配置窗口7ppt课件5.2.2 5.2.2 安装活动目录（安装活动目录（4 4）步骤五，单击“下一步”

4、，“Active Directory安装向导”会询问新建的域控制器的性质，如图5-5，我们选择“新域的域控制器”。图5-4 Active Directory安装向导窗口8ppt课件5.2.2 5.2.2 安装活动目录（安装活动目录（5 5）步骤六，单击“下一步”，打开如图5-6所示的“创建一个新域”对话框，如果所创建的域为单位的第一个域，或者希望所创建的新域独立于现有目录林，可选择“新林中的域”。如果希望新的域成为现有域的子域，则选择“现有域中的子域”。如想创建一个与现有域树分开的、新的域树，则选择“在现有林中的域树”。这里我们选择“新林中的域”。图5-5 选择域控制器的类型 图5-6 选择创

5、建域的类型9ppt课件5.2.2 5.2.2 安装活动目录（安装活动目录（6 6）步骤七，单击“下一步”，打开如图5-7所示的指定域名对话框，在“新域的DNS全名”文本框中输入新建域的DNS全名，例如。步骤八，单击“下一步”，打开如图5-8所示的“NetBIOS域名”对话框，在“域NetBIOS名”文本框中输入NetBIOS域名，或者接受显示的名称。NetBIOS域名是供早期的Windows用户用来识别新域的。图5-7 指定新域名 图5-8 指定NetBIOS10ppt课件5.2.2 5.2.2 安装活动目录（安装活动目录（7 7）步骤九，单击“下一步”，打开如图5-9所示的“数据库和日志文件

6、文件夹”对话框，在“数据库文件夹”文本框中输入保存数据库的位置，或者单击“浏览”按钮选择路径，在“日志文件夹”文本框中输入保存日志的位置或单击“浏览”按钮选择路径。注意，基于最佳性和可恢复性的考虑，最好将活动目录的数据库和日志保存在不同的硬盘上。步骤十，单击“下一步”，打开如图5-10所示的“共享的系统卷”对话框，在Server 2003中，Sysvol文件夹存放域的公用文件的服务器副本，它的内容将被复制到域中的所有域控制器上。在“文件夹位置”文本框中输入Sysvol文件夹位置，如本例中对应文件夹为c:WINNTSYSVOL，或单击“浏览”按钮选择路径。步骤十一，单击“下一步”，会出现“Act

7、ive Directory安装向导”的DNS注册诊断程序对话框，如图5-11。我们选择“在这台计算机上安装并配置DNS服务器，并将这台DNS服务器设为计算机的首选DNS服务器”。11ppt课件5.2.2 5.2.2 安装活动目录（安装活动目录（8 8）图5-9 指定活动目录的数据库和日志文件的文件夹图5-10 指定系统卷共享文件夹12ppt课件5.2.2 5.2.2 安装活动目录（安装活动目录（9 9）步骤十二，单击“下一步”，打开如图5-12所示的“权限”对话框，为用户和组选择默认权限，如果单位中还存在或将要用Windows 2000的以前版本，选择“与Windows 2000之前的服务器操

8、作系统兼容的权限”。否则，选择“只与Windows 2000或Windows Server 2003操作系统兼容的权限”。图5-11 DNS注册诊断 图5-12 权限设置13ppt课件5.2.2 5.2.2 安装活动目录（安装活动目录（1010）步骤十三，单击“下一步”，打开“目录服务还原模式的管理员密码”对话框，如图5-13所示，输入并牢记该密码，以备将来目录服务还原模式下使用。步骤十四，单击“下一步”，打开“摘要”对话框，如图5-14所示。通过该对话框，用户可检查并确认设置的各个选项。图5-13 输入目录服务恢复模式管理员密码 图5-14 确认选定的选项14ppt课件步骤十五，单击“下一步

9、”，系统开始配置活动目录，中间将需要Windows Server 2003 安装光盘，如图5-15所示。此时如果将2003光盘放入光驱，系统会自动完成对DNS服务器得配置。步骤十六，经过几分钟之后，配置完成。同时，打开“完成Active Directory安装向导”对话框，如图5-16所示，单击“完成”，即完成活动目录的安装。图5-15 配置活动目录 图5-16 完成活动目录的安装 5.2.2 5.2.2 安装活动目录（安装活动目录（1111）15ppt课件5.2.2 5.2.2 安装活动目录（安装活动目录（1212）活动目录安装完成之后，必须重新启动计算机，活动目录才会生效。注意：在活动目录

10、安装之后，不但服务器的开机和关机时间变长，而且系统的执行速度变慢。所以，如果用户对某个服务器没有特别要求或不把它作为域控制器来使用，可将该服务器上的活动目录删除，使其降级为成员服务器或独立服务器。成员服务器是指安装到现有域中的附加域控制器；独立服务器是指在名称空间目录树中直接位于另一个域名之下的服务器。删除活动目录使服务器成为成员服务器还是独立服务器，取决于该服务器的域控制器的类型。如果要删除活动目录的服务器不是域中的唯一的域控制器，则删除活动目录将使该服务器成为成员服务器；如果要删除活动目录的服务器是域中最后一个域控制器，则删除活动目录将使该服务器成为独立服务器。要删除活动目录，打开“开始”

11、菜单，选择“运行”命令，打开“运行”对话框，输入dcpromo命令，然后单击“确定”按钮，打开“Active Directory安装向导”对话框，并沿着向导进行删除，这里不再细述其过程。16ppt课件5.2.3 5.2.3 检验安装结果检验安装结果在安装完成后，可以通过以下方法检验Active Directory安装是否正确，在安装过程中一项最重要的工作是在DNS数据库中添加服务记录（SRV记录），下面介绍一下如何检查安装结果。1检查DNS文件的SRV记录。用文本编辑器打开%SystemRoot%/system32/config/中的Netlogon.dns文件，察看LDAP服务记录，在本例中

12、为_ldap._.600 IN SRV 0 100 389 。2验证SRV记录在NSLOOKUP命令工具中运行是否正常。（1）在命令提示行下，输入NSLOOKUP；（2）输入set type=srv；（3）输入_ldap._。如果返回了服务器名和IP地址，说明SRV记录工作正常。17ppt课件5.3 域控制器管理域控制器管理域（Domain）是活动目录的分区，定义了安全边界，在没经过授权的情况下，不允许其他域中的用户访问本域中的资源。活动目录可由一个或多个域组成，每一个域可以存储上百万个对象，域之间还有层次关系，可以建立域树和域林，如图5-17、5-18所示，进行无限地域扩展。图中的双箭头表示

13、域之间的信任关系，Server 2003中域的信任关系都是双向和可传递的。 域的信任关系域的信任关系图 5-17 域树 图 5-18 域林 18ppt课件5.3.1 设置域控制器属性（设置域控制器属性（1）设置域控制器属性，具体步骤如下：步骤一，选择“开始”/“程序”/“管理工具”/“Active Directory用户与计算机”菜单，打开“Active Directory用户与计算机”管理窗口，如图5-19所示。步骤二，在控制台目录树中，双击展开域节点。单击Domain Controllers子节点。步骤三，在详细资料窗格中，右击要设置属性的域控制器，从弹出的快捷菜单中选择“属性”，打开该控

14、制器的“属性”对话框，如图5-20所示。步骤四，在“常规”选项卡的“描述”文本框中输入对域控制器的一般描述。如果不希望域控制器的可受信任用来作为委派，可禁用“信任计算机作为委派”复选框。步骤五，选择“操作系统”选项卡，在该选项卡中，显示出操作系统的名称、版本以及Service Pack，管理员只能查看并不能修改这些内容。步骤六，选择如图5-21所示的“隶属于”选项卡，要添加组，单击“添加”按钮，打开“选择组”对话框为域控制器选择一个要添加的组；要删除某个已经添加的组，在“成员属于”列表框选择该组，然后单击“删除”按钮即可。19ppt课件5.3.1 设置域控制器属性（设置域控制器属性（2）图5-

15、19 Active Directory用户和计算机窗口20ppt课件5.3.1 设置域控制器属性（设置域控制器属性（3）步骤七，当管理员为域控制器添加多个组时，还可为域控制器设置一个主要组。要设置主要组，在“隶属于”列表框中选择要设置的主要组，一般为Domain Controllers，也可为Cert Publishers，然后单击“设置主要组”按钮即可。步骤八，选择“位置”选项卡，可以设置域控制器的位置。步骤九，选择“管理者”选项卡，要更改域控制器的管理者，可单击“更改”按钮，打开“选择用户或联系人”对话框，选择新的管理人即可。要删除管理者，可单击“清除”按钮来删除；要查看和修改管理者属性，

16、可单击“查看”按钮，打开该管理者属性对话框来进行操作。步骤十，域控制器设置完毕，单击“确定”按钮保存设置。21ppt课件5.3.1 设置域控制器属性（设置域控制器属性（4）图5-20 设置域控制器属性 图5-21 设置成员组 22ppt课件5.3.2 查找域控制器目录内容（查找域控制器目录内容（1）要查找目录内容，可参照如下步骤：步骤一，在“Active Directory用户和计算机”窗口的控制台目录树中，鼠标右击域节点，在弹出的快捷菜单中选择“查找”命令，打开“查找用户联系人及组”对话框，如图5-22所示。步骤二，在“查找”下拉列表框中可以选择要查找的目录内容，包括“用户、联系人及组”、“

17、计算机”、“打印机”、“共享文件夹”、“组织单位”、“自定义搜索”等。例如，在列表中选择“计算机”，如图5-23所示。在“范围”下拉列表框中选择查找范围，如整个目录。步骤三，在“计算机”选项卡中，设置查找条件。例如，在“计算机”文本框中输入要查找的计算机名，在“所有者”文本框中输入计算机的用户名，在“作用”下拉列表框中选择计算机在网络中作用。步骤四，单击“高级”选项卡，要设置高级查找条件，单击“字段”按钮，从弹出的快捷菜单中选择设置条件的选项，然后在“条件”下拉列表框和“值”文本框中设置查询条件。23ppt课件5.3.2 查找域控制器目录内容（查找域控制器目录内容（2）步骤五，高级条件设置好之

18、后，单击“添加”按钮，将条件添加到下面的文本框中。如果要继续添加高级条件，可按照上面步骤继续添加。步骤六，所有查找条件设置完毕，单击“开始查找”按钮即开始查找，并将查找结果列出，如图5-23下面窗口所示。图5-22“查找用户联系人及组”对话框图图5-23 列出查找结果 24ppt课件5.3.3 连接到其他域连接到其他域在一个多域的网络中，用户经常需要将当前域连接到其他域，这样可使当前域中的用户和计算机访问其他域中的资源，也可将当前域控制器的部分操作主机功能传送给其他域控制器，甚至可将当前域控制器更改为其他域中的域控制器。要连接到网络中其他域，在控制台目录树中，鼠标右击“Active Direc

19、tory用户和计算机”根结点，从弹出的快捷菜单中选择“连接到域”命令，打开如图5-24所示的“连接到域”对话框，在“域”文本框中输入要连接的域的名称；或者单击“浏览”，打开“浏览域”对话框选择要连接的域，单击“确定”即可建立连接。图5-24 连接到其他域 注意：一般情况下，一个域网络中至少应有两个域控制器（一个域控制器和一个附加域控制器），以便在当前域控制器出现故障时，可使用附加域控制器来代替当前域控制器，保证网络的正常运行。25ppt课件5.3.4 更改域控制器更改域控制器要更改域控制器，在控制台目录树中，鼠标右击“Active Directory用户和计算机”根节点，从弹出的快捷菜单中选择

20、“连接到域控制器”，打开如图5-25所示的“连接到域控制器”对话框。在“输入另一个域控制器的名称”文本框中输入要连接的域控制器；或者从域控制器列表中选择一个要连接的域控制器。如果在域中没有列出其他可用的域控制器，可选择“任何可写的域控制器”选项，系统会根据网络连接情况自动选择可用的域控制器。要连接的域控制器选定之后，单击“确定”按钮完成连接。图5-25 连接到域控制器26ppt课件5.4 用户和计算机账户管理用户和计算机账户管理5.4.1 用户和计算机账户简介 用户账户 计算机账户 27ppt课件5.4.2 创建用户和计算机账户（创建用户和计算机账户（1）用户账户的创建可参照如下步骤：步骤一，

21、在“Active Directory用户和计算机”窗口的控制台目录树中，双击展开域节点。步骤二，如果要创建用户账户，鼠标右击要添加用户的组织单位或容器，从弹出的快捷菜单中选择“新建”/“用户”，打开如图5-26所示的对话框。步骤三，在“姓”和“名”文本框中分别输入姓和名，并在“用户登录名”文本框中输入用户登录时使用的名字。步骤四，单击“下一步”，打开如图5-27所示的对话框。步骤五，在“密码”和“确认密码”文本框中输入要为用户设置的密码。如果希望用户下次登录时更改密码，可选择“用户下次登录时须更改密码”，否则选择“用户不能更改密码”。如果希望密码永远不过期，可选择“密码永不过期”。如果暂不启用

22、该用户账户，可选择“账户已禁用”。步骤六，单击“下一步”按钮即可完成创建。创建计算机账户方法同上，只需在上述第2步中选择“计算机”，在弹出的对话框中输入该计算机的名称，单击“确定”即可。28ppt课件5.4.2 创建用户和计算机账户（创建用户和计算机账户（2）图5-26 新建用户 图5-27 密码设置29ppt课件5.4.3 5.4.3 删除用户和计算机账户删除用户和计算机账户 要删除一个用户和计算机账户，在控制台目录树中，展开域节点。单击要删除的用户或者计算机所在的组织单位或容器，在详细资料窗格中，鼠标右击要删除的用户或者计算机，从弹出的快捷菜单中选择“删除”，出现信息确认框后，单击“是”即

23、可删除该用户或者计算机。5.4.4 5.4.4 停用用户和计算机账户停用用户和计算机账户 停用用户账户，在控制台目录树中，展开域节点。单击要停用的用户账户或者计算机所在的组织单位或容器，在详细资料窗格中，右击要停用的用户或者计算机账户，从弹出的快捷菜单中选择“停用账户”命令，出现信息确认框后，单击“是”按钮即可停用被选用户或者计算机账户。30ppt课件5.4.5 5.4.5 移动用户和计算机账户移动用户和计算机账户要移动用户和计算机账户，在控制台目录树中，展开域节点。单击要移动用户或者计算机账户所在的组织单位或容器，在详细资料窗格中，鼠标右击要移动的用户账户，从弹出的快捷菜单中选择“移动”，打

24、开“移动”对话框，在“将对象移动到容器”对话框中双击域节点，展开该节点，如图5-28所示。单击移动的目标组织单位，然后单击“确定”即可完成移动。图5-28 移动账户31ppt课件5.4.6 为用户和计算机账户添加组为用户和计算机账户添加组要为用户账户添加组，在控制台目录树中，展开域节点，鼠标单击要加入组的用户所在的组织单位或容器，在详细资料窗口中，鼠标右键单击该用户账户，从弹出的快捷菜单中选择“添加到组”，打开如图5-29所示的“选择组”对话框，可以直接输入组对象的名称，也可以打开“高级”选项卡进行查找。然后在组列表框中选择一个要添加的组，单击“确定”按钮即可为用户添加组。要为计算机账户添加组

25、，在控制台目录树中，展开域节点，鼠标单击“计算机”或者要加入组的计算机所在的组织单位及容器，在详细资料窗口中，鼠标右键单击该计算机账户，从弹出的快捷菜单中选择“属性”命令，打开该计算机的属性对话框。然后单击“成员属于”标签，打开“隶属于”选项卡，单击“添加”按钮，打开“选择组”对话框选择要加入的组，单击“确定”按钮完成添加。图5-29 为用户添加组 32ppt课件5.4.7 5.4.7 重设用户密码重设用户密码 5.4.8 5.4.8 管理客户计算机管理客户计算机 要重新设置用户密码，在控制台目录树中，展开域节点。然后单击包含要重新设置密码的用户的组织单位或容器，在详细资料窗口中，鼠标右键单击

26、该用户账户，从弹出的快捷菜单中选择“重设密码”，打开“重设密码”对话框，在“新密码”和“确认密码”文本框中输入要设置的新密码。如果允许用户更改密码，可选择“用户下次登录时须更改密码”复选框。单击“确定”按钮保存设置，同时系统会打开确认信息框，单击“确定”按钮可完成设置。要管理客户计算机，在控制台目录树中，展开域节点。然后单击要管理的计算机所在的组织单位，鼠标右键单击该计算机，从弹出的快捷菜单中选择“管理”命令，打开该计算机的计算机管理窗口。在该窗口中，管理员可以对连接的计算机进行系统工具、存储、服务器应用程序和服务等方面的管理。例如可以对该计算机上的用户进行管理。33ppt课件5.5 组和组织

27、单位的管理组和组织单位的管理 v组是Server 2003从Windows 2000系统继承下来的安全管理形式，它是指活动目录或本地计算机对象，包含用户、联系人、计算机和其他组等。在Server 2003中，组可以用来管理用户和计算机对网络资源的访问，例如活动目录对象及其属性、网络共享、文件、目录、打印机队列，还可以筛选组策略。使用组，方便了管理访问目的和权限相同的一系列用户和计算机账户。v组织单位（Organizational Unit，OU）是域中包含的一类目录对象，它包括域中一些用户、计算机和组、文件与打印机等资源。不过，组织单位不能包含其他域中的对象。由于活动目录服务把域又详细的划分成

28、组织单位，且组织单位中还可以再划分下级组织单位，因此组织单位的分层结构可用来建立域的分层结构模型，进而可使用户把网络所需的域的数量减至最小。注意：组和组织单位有很大的不同。组主要用于权限设置，而组织单位则主要用于网络构建；另外，组织单位只表示单个域中的对象集合（可包括组对象），而组可以包含用户、计算机、本地服务器上的共享资源、单个域、域目录树或目录林。34ppt课件5.5.1 5.5.1 创建新组和组织单位创建新组和组织单位 要创建新组，在控制台目录树中，展开域节点。鼠标右键单击要进行组创建的组织单位或容器，从弹出的快捷菜单中选择“新建”/“组”命令，打开如图5-30所示的对话框，在“组名”文

29、本框中输入要创建的组名。在“组作用域”选项区域中，选择单选按钮来确定组的作用域；在“组类型”选项区域中，通过单选按钮来选择新组的类型。单击“确定”按钮即完成组的创建。要添加组织单位，在控制台目录树中，展开域节点。鼠标右键单击域节点或者可添加组织单位的文件夹节点，从弹出的快捷菜单中选择“新建”/“组织单位”命令，在打开的对话框的“名称”文本框中输入新创建组织单位的名称，单击“确定”即可。图5-30 创建组35ppt课件5.5.2 5.5.2 删除组和组织单位删除组和组织单位 要删除组和组织单位，在控制台目录树中，展开域节点。鼠标单击要删除的组或组织单位所在的组织单位，详细资料窗格中会列出该组织单

30、位的内容。然后鼠标右键单击要删除的组或组织单位，选择快捷菜单中“删除”命令，这时系统会打开信息确认框，单击“是”按钮即完成组或组织单位的删除。36ppt课件5.5.3 委派控制组或组织单委派控制组或组织单位（位（1 1）如果要对某个组或组织单位进行委派控制，可参照下面的步骤：步骤一，在“Active Directory用户与计算机”窗口的控制台目录树中，鼠标双击展开域节点。步骤二，鼠标右键单击要委派控制的组织单位或组节点，例如Users，从弹出的快捷菜单中选择“委派控制”命令，进入“控制委派向导”窗口，单击“下一步”按钮。步骤三，在打开的“用户和组”对话框中，单击“添加”按钮，打开“选择用户、

31、计算机或组”对话框，你可以直接输入一个或多个要委派控制的用户或组，也可单击“高级”选项卡进行查找，从列表中选择一个或多个要委派控制的用户或组。步骤四，选择之后单击“确定”按钮，则在图5-31中的“输入对象名来选择”文本框中会出现所选对象，单击“确定”。步骤五，在打开的窗口中单击“下一步”按钮，打开“要委派的任务”对话框。我们可以选择要委派的常见任务。我们这里选择“创建自定义任务去委派”选项。步骤六，单击“下一步”按钮，打开如图5-32所示对话框。指定委派任务范围。如果要委派的对象为整个文件夹，可选择“这个文件夹”，如果要委派的对象只是文件夹中的对象，可选择“文件夹中的对象”，并在“对象类型”列

32、表框中通过复选框来选择对象。37ppt课件5.5.3 委派控制组或组织单委派控制组或组织单位（位（2 2）图5-31选择用户和组 步骤七，单击“下一步”按钮，打开“权限”对话框，如图5-33所示。通过选择“要委派的权限”复选框来选择要委派的权限，例如选择“读取”、“创建所有子对象”等复选框设置相应权限。注意，对不同资源进行控制委派，配置向导有所不同。38ppt课件5.5.3 委派控制组或组织单委派控制组或组织单位（位（3 3）图5-32 定义要委派控制任务 图5-33 指定委派权限39ppt课件5.5.4 5.5.4 设置组织单位属性（设置组织单位属性（1 1）要设置组织单位的属性，可参照下面

33、的步骤。步骤一，在控制台目录树中，鼠标右键单击要设置属性的组织单位，从弹出的快捷菜单中选择“属性”命令，打开该组织单位的属性对话框，如图5-34所示。步骤二，在“常规”选项卡中，可以设置“描述”、“省/自治区”、“县市”、“街道”和“邮政编码”等计算机和用户常规信息。图5-34 设置属性 图5-35 管理组策略40ppt课件5.5.4 5.5.4 设置组织单位属性（设置组织单位属性（2 2）步骤三，选择“管理者”选项卡，单击“更改”按钮，打开“选择用户或联系人”对话框选择一个用户或联系人作为管理者；管理者更改之后，单击“属性”按钮，可打开所更改的管理者的属性对话框，管理员可对管理者的属性进行修

34、改，如果要清除管理者，单击“清除”按钮即可。步骤四，单击“组策略”选项卡，如图5-35所示。要新建一个组策略对象，单击“新建”按钮，在“组策略对象链接”列表框中会出现一个新的组策略对象，在其名称文本框中为新策略输入一个有意义的名称。步骤五，单击“编辑”按钮，会打开如图5-36所示的“组策略编辑器”窗口。在该窗口中，管理员可对创建的组策略进行编辑，包括计算机配置和用户配置两个方面。如图5-36所示可以对计算机配置中的“登录”策略进行编辑，例如登录时是否显示欢迎界面，启动和登录是否等待网络等性质进行设置。编辑完毕，关闭窗口。步骤六，要设置某个组策略对象的属性，在图5-35中组策略对象链接列表中选择

35、对象，单击“属性”按钮，打开该对象属性对话框，进行“常规”、“链接”和“安全”方面的设置。步骤七，在列表中，不同位置的组策略对象具有不同的优先级，较高位置的组策略对象比较低位置的组策略对象优先级高。所以，管理员可以改变组策略对象在列表中的位置来决定组策略对象的应用级别。要改变某个组策略对象在列表中的位置，选择该对象，单击“向上”或“向下”按钮即可上移或下移该对象。如果要删除某个组策略对象，在列表中选择该对象，然后单击“删除”按钮即可。41ppt课件5.5.4 5.5.4 设置组织单位属性（设置组织单位属性（3 3）图5-36 编辑组策略 42ppt课件5.5.4 5.5.4 设置组织单位属性（

36、设置组织单位属性（4 4）步骤八，用户要配置某个组策略对象的选项，在如图5-35组策略链接列表中选择“策略”对象，单击“选项”按钮，打开该组策略对象的选项对话框，如图5-37所示。在“链接选项”选项区域中，选择“禁止替代”复选框，可防止其他组策略对象替代这个组对象中的策略集；启用“已禁用”复选框，可暂时禁用该策略，需要启用时，禁用“已禁用”复选框即可。然后单击“确定”按钮返回到组策略选项卡。步骤九，如果要防止组策略被下一级组织单位所继承，可启用“阻止策略继承”复选框（见图5-35）。最后单击“关闭”按钮保存属性设置。图5-37 配置组策略对象选项 43ppt课件5.5.5 5.5.5 设置组属

37、性（设置组属性（1 1）要设置组的属性，具体步骤如下：步骤一，在控制台目录树中鼠标单击要设置属性的组所在的组织单位或容器，在详细资料窗口中，鼠标右键单击要添加成员的组，从弹出的快捷菜单中选择“属性”命令，打开该组的属性对话框，如图5-38所示。步骤二，为了便于管理，在“描述”和“注释”文本框中分别输入有关该组的描述和注释；可以修改组名称；为了便于组管理员与组成员交换信息，在“电子邮件”文本框中输入组管理员的电子邮件地址。图5-38 设置常规属性 图5-39 添加成员到组44ppt课件5.5.5 5.5.5 设置组属性（设置组属性（2 2）步骤三，单击“成员”选项卡，如图5-39所示。要添加成员

38、，单击“添加”，打开“选择用户联系人或计算机”对话框选择要添加的成员。要删除组成员，在“成员”列表框中选择要删除的组成员，然后单击“删除”即可。步骤四，用户设置新组的权限,主要通过向新组添加内置组来实现。选择“隶属于”选项卡，单击“添加”，打开“选择组”对话框，为自己创建的组选择内置组。要删除某个组权限，在“隶属于”列表框中选择该组，单击“删除”即可。步骤五，要设置组的管理者，选择“管理者”选项卡。要更改组管理者，单击“更改”按钮，打开“选择用户或联系人”对话框选择管理者；要查看管理者的属性，单击“属性”按钮进行查看；如果要清除管理者对组的管理，单击“清除”按钮即可。步骤六，属性设置完毕，单击

39、“确定”按钮保存设置并关闭属性对话框。45ppt课件5.6 5.6 资源发布和域的管理资源发布和域的管理 5.6.1 资源发布的管理一、资源的发布1公布共享文件夹的步骤如下：（1）运行“管理工具”/“Active Directory域和信任关系”管理应用程序；（2）在控制台树中，鼠标双击“域节点”；（3）鼠标右键单击想在其中添加共享文件夹的文件夹，指向“新建”并单击“共享文件夹”对话框，如图5-40所示；（4）键入文件夹的名称和网络路径；（5）单击“确定”按钮完成操作。2公布打印机的步骤如下：（1）打开“Active Directory用户和计算机”；（2）在控制台树中，鼠标双击“域节点”；（

40、3）在控制台树中，鼠标右键单击想在其中公布打印机的文件夹，指向“新建”，并单击“打印机”；（4）键入网络路径，如图5-41所示。（5）单击“确定”按钮完成操作。46ppt课件图5-41 设置共享打印机路径 图5-40 设置共享文件夹47ppt课件5.6.1 资源发布的管理二、资源的查找若要进行自定义搜索，可参照如下步骤：（1）运行“管理工具”/“Active Directory域和信任关系”管理应用程序；（2）在控制台树中用鼠标右键单击“域节点”，然后单击“查找”；（3）在“查找”中单击“自定义搜索”；（4）鼠标单击“字段”，选择要搜索的对象种类，然后单击要为其指定搜索值的对象的属性；（5）在

41、“条件”中单击搜索的条件；（6）在“值”中键入要应用搜索条件的属性值；（7）单击“添加”，将该搜索条件添加至自定义搜索；（8）重复第（4）步至第（7）步，直到添加完所需的全部搜索条件为止；（9）单击“开始查找”按钮。48ppt课件5.6.2 5.6.2 域的管理域的管理 1提升域功能级别Windows Server 2003中有四个域功能级别，下表列出了域功能级别及其所支持的域控制器。默认情况下，域以Windows 2000混合功能级别操作。域功能级别支持的域控制器Windows 2000 混合模式Windows NT 4.0、Windows 2000、Windows Server 2003家

42、族Windows 2000 纯模式Windows 2000、Windows Server 2003家族Windows Server 2003临时Windows NT 4.0、Windows Server 2003家族Windows Server 2003Windows Server 2003家族表5-1 域功能级别与其支持的域控制器49ppt课件5.6.2 5.6.2 域的管理域的管理根据网络的实际需要，可以提升域功能级别，提升域功能级别的具体步骤如下：步骤一，运行“管理工具”/“Active Directory域和信任关系”管理应用程序；步骤二，鼠标右键单击你想要管理的域的“域节点”，然后单

43、击“提升域功能级别”；步骤三，在打开如图5-42所示窗口中，我们可以在“选一个可用的域功能级别”的下拉菜单中选择一种模式。图5-42 更改域模式 50ppt课件2.2.创建明确的域信任创建明确的域信任创建明确的域信任具体步骤如下：步骤一，运行“管理工具”/“Active Directory域和信任关系”管理应用程序；步骤二，在控制台树中，鼠标右键单击要管理的域节点，然后单击“属性”；步骤三，单击“信任”选项卡，如图5-43所示；步骤四，根据需要，单击“新建信任”按钮，打开“新建信任向导”窗口，输入一个信任域的名称。步骤五，单击“下一步”，打开的窗口会询问信任方向，我们选择“双向”；单击“下一步

44、”，窗口询问创建信任关系域的范围，我们选择“只是这个域”；步骤六，单击“下一步”，打开如图5-44所示窗口，我们选择“全域性身份验证”；单击“下一步”打开“信任密码”窗口，输入密码；步骤七，单击“下一步”，给出我们所配置的信息，在以后的步骤中我们使用默认设置，最后单击“完成”按钮，完成配置，如图5-45所示。注意：密码必须是信任域和被信任域双方都接受的。51ppt课件图5-44 单击“编辑”后的对话框选项 图5-43“信任”选项卡52ppt课件3.3.验证信任关系验证信任关系信任关系建立之后，可以验证信任关系的创建情况。验证信任关系具体步骤如下：步骤一，运行“管理工具”/“Active Dir

45、ectory域和信任关系”管理应用程序；步骤二，在控制台树中，鼠标右键单击要验证的信任关系所涉及的一个域，然后单击“属性”对话框；步骤三，单击“信任”选项卡，在“受此域信任的域”或“信任此域的域”中，单击要验证的信任关系，然后单击“属性”，其结果如图5-46所示；步骤四，单击“验证”按钮即可。4.撤销信任关系如果不再需要已建立的信任关系，可以撤销信任关系。撤销信任关系的具体步骤如下：步骤一，运行“管理工具”/“Active Directory域和信任关系”管理应用程序；步骤二，在控制台树中，鼠标右键单击要撤销的信任关系所涉及的一个域节点，然后单击“属性”对话框；步骤三，单击“信任”选项卡，在“

46、受此域信任的域”或“信任此域的域”中，单击要撤销的信任关系，然后单击“删除”按钮即可；步骤四，对于此信任关系中涉及的其他域，重复该过程。53ppt课件5-45 “信任”选项卡 5-46 信任域属性窗口54ppt课件本章小结本章小结 活动目录（活动目录（Active DirectoryActive Directory）的引入，）的引入，方便了管理员在统一的环境下管理全网的方便了管理员在统一的环境下管理全网的各种资源，保证了系统的良好扩展性和可各种资源，保证了系统的良好扩展性和可管理性。本章主要讲述活动目录的基本概管理性。本章主要讲述活动目录的基本概念、管理模式、安装方法以及对用户和计念、管理模式

47、、安装方法以及对用户和计算机账户的管理、组和组织单位的管理、算机账户的管理、组和组织单位的管理、域和域控制器的管理等内容。域和域控制器的管理等内容。55ppt课件思考题思考题1Active Directory的优点是什么？如何安装Active Directory？2在Active Directory安装结束后，如何检验Active Directory安装是否正确？3不同的组对网络性能具有哪些影响？4如何限制用户由某台客户机在某个特定时段登录？5组织单位的委派控制有何意义？6如何实现域间信任？7将用户账户、计算机账户添加到组中作用有何不同？56ppt课件实训实训题目：Windows Server 2003 活动目录的安装与配置内容与要求：1安装Windows Server 2003活动目录。2设置域控制器属性、连接到其他域、更改域控制器。3使用“Active Directory用户和计算机”窗口管理用户和计算机账户，包括账户的创建、删除、停用、移动等。4管理组和组织单位。57ppt课件