《第九讲使用和管理WINDOWS2000活动目录-第.ppt》由会员分享,可在线阅读,更多相关《第九讲使用和管理WINDOWS2000活动目录-第.ppt(107页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第7章 使用和管理WINDOWS 2000活动目录v本章学习目标v7.1 活动目录v7.2 组织单位的管理v7.3 用户账户的管理v7.4 组的建立v7.5 思考题本章学习目标v 本章主要介绍活动目录(Active Directory)以及各种对象的创建和管理。通过本章的学习,读者应掌握以下内容:vl Active Directory的概念与特点vl Active Directory的创建vl Active Directory用户和计算机控制台的使用l组织单位、用户账户和组的创建与管理7.1 活动目录v7.1.1 活动目录简介v7.1.2 活动目录的优点v7.1.3 安装Active Dire
2、ctoryv7.1.4 Active Directory用户和计算机控制台的使用7.1.1 活动目录简介v 活动目录是一种目录服务,它存储有关网络对象的信息(例如,用户、组和计算机账户、打印机等共享资源),使管理员与用户可以方便地查找和使用网络信息。活动目录的应用起源于Windows NT 4.0 Server,在Windows 2000 Server中得到进一步的应用和发展,具有可扩展性和可调整性,并将结构化数据存储作为目录信息逻辑和分层组织的基础。7.1.1 活动目录简介v 域是Windows 2000目录服务的基本管理单位,但增加了许多新的功能。域模式的最大优点是它的单一网络登录功能,任
3、何用户只要在域内有一个账户,就可以漫游网络。域目录树中的每一个节点都有自己的安全边界,这种层次结构既保证了安全性,又可精确设置。7.1.1 活动目录简介v 同时活动目录服务将域又细分成组织单位,组织单位是一个逻辑单位,它是域中一些用户和组账户、文件与打印机等资源对象的集合。组织单位中还可以再划分下级组织单位,并且下级组织单位能够继承父单元的访问许可权。每一个组织单位可以有自己的管理员并指定其管理权限,从而实现了对资源和用户的分级管理。7.1.1 活动目录简介v 域中的所有域控制器之间都是平等关系,不再区分主域控制器和备份域控制器,这是因为Win2000采用了动态活动目录服务,在进行目录复制时不
4、是沿用一般目录服务的主从方式,而是采用多主复制方式。通过这种方式,任何一个域控制器上的活动目录库的变更都会被自动复制到其他域控制器上。7.1.1 活动目录简介v Windows 2000活动目录服务的另一大特点是与Internet融合,它把DNS作为其定位服务。为了克服DNS管理困难的缺点,Windows 2000将DNS与其特有的DHCP和WINS紧密配合起来,从而使DNS更加易于管理。另外,Windows 2000广泛地支持标准的命名规则,例如,WWW使用的HTTP和URL命名规则、Internet电子邮件使用的RFC822命名规则等。7.1.2 活动目录的优点v1基于策略的管理v2扩展性
5、v3可调整性v4信息复制v5与DNS的集成v6灵活的查询v7信息安全性1基于策略的管理v 活动目录服务包括数据存储和逻辑分层结构。作为逻辑结构,它为策略应用程序提供分层的环境。作为目录,它存储着分配给特定环境的策略(称为组策略对象)。组策略对象表示一套规则,包括应用环境的有关设置,目录对象和域资源的访问确定,用户可使用什么域资源以及这些域资源的配置使用等。2扩展性v 活动目录可进行扩展,即管理员可将新的对象类添加到规划中,而且可将新的属性添加到已有的对象类中。v 可以通过以下两种方法将对象和属性添加至活动目录中:使用活动目录架构、通过活动目录服务接口(ADSI)或者LDIFDE、CSVDE 命
6、令行应用程序创建脚本。3可调整性v 活动目录可包括一个或多个域,每个域都有一个或多个域控制器,这使管理员可调整目录以满足任何网络的要求。多个域可组合成域目录树或目录森林。v 将目录配置成域目录树或森林,使得管理员可以针对不同上下文策略对目录的名称空间进行分区,并调整目录使其能容纳大量的资源和对象。4信息复制v 活动目录使用多主复制。对目录数据所做的更改将复制到所有的域控制器中,每个域控制器的目录数据都保持同步。v 信息复制提供了有效性、容错和加载平衡等优点。在一个域中使用多个域控制器可提供容错和加载平衡。如果域中的某个域控制器减慢、停止或失败,同一域中的其他域控制器可提供必要的目录访问,因为它
7、们包含着相同的目录数据。在广域网中,目录访问可由与每个网络客户机最近的域控制器执行。5与DNS的集成v 活动目录使用DNS很容易将主机名称(如)转换为IP地址。这样就可以在TCP/IP网络上直接使用计算机主机名称进行网络连接。v DNS域和计算机使用分层结构的友好名称。例如,名称既是DNS名称也是Windows 2000域名。v域中的每台计算机依靠其完整的域名进行识别。6灵活的查询v 用户和管理员可根据对象属性(例如,姓、名、E-mail地址、办公室位置或用户账户的其他属性),快速查找网络上的对象。也可通过活动目录生成的全局目录查找对象。7信息安全性v 安全性与活动目录完全集成在一起,活动目录
8、还提供安全策略和应用范围的设置。安全策略可包含账户信息,可以通过组策略设置、执行安全策略。管理员可将某些管理权限分派给其他账户或组,这种权限分派允许指定谁具有管理部分网络的权限。可以将某部分的管理分派给下级管理员,而不必拥有对整个网络具有广泛权限的管理员。v Windows 2000 Server支持多种网络安全协议,这些协议提供更强大、更有效的安全性。7.1.3 安装Active Directoryv 如果要将Windows 2000的网络设置为域结构,则网络上必须有域控制器。域控制器通过Active Directory来提供目录服务,例如负责维护Active Directory数据库、审核
9、用户的账户与密码等。在安装Win2000 Server时,系统并没有安装Active Directory,若网络中没有域控制器,则可将该独立服务器或成员服务器配置为新域的域控制器;若网络中有其他域控制器,可将其配置为额外域控制器。7.1.3 安装Active Directoryv 在域中创建第一个域控制器,其具体操作步骤如下:v(1)当独立服务器或成员服务器重新启动时,以系统管理员的身份登录,通过“开始”“程序”“管理工具”“配置服务器”的途径,打开如图7-1所示的“Windows 2000配置服务器”对话框,然后单击左边的“Active Directory”,选择下方的“启动Active D
10、irectory向导”。7.1.3 安装Active Directoryv图7-1 启动Active Directory安装向导7.1.3 安装Active Directoryv(2)在出现“Active Directory安装向导”对话框时,单击“下一步”按钮。v(3)出现如图7-2所示的“域控制器类型”窗口,选择“新域的域控制器”单选框,使服务器成为新域中的第一个域控制器。然后单击“下一步”按钮。v(4)如图7-3、7-4所示,依次选择“创建一个新的域目录树”“下一步”“创建新的域目录林”“下一步”。7.1.3 安装Active Directory7.1.3 安装Active Direct
11、oryv(5)打开如图7-5所示的“新的域名”对话框,在“新域的DNS全名”文本框中,输入在Internet命名机构注册的新域的DNS全名,例如。单击“下一步”按钮。在如图7-6所示的“NetBIOS域名”对话框的“域NetBIOS名”文本框中,输入NetBIOS域名,然后再单击“下一步”按钮。7.1.3 安装Active Directory7.1.3 安装Active Directoryv(6)打开如图7-7所示的“数据库和日志文件位置”对话框,在“数据库位置”文本框中设置保存数据库的位置;在“日志位置”文本框中设置保存日志的位置。然后,单击“下一步”按钮。7.1.3 安装Active Di
12、rectoryv(7)打开如图7-8所示的“共享的系统卷”对话框,在“文件夹位置”框中设置Sysvol文件夹的位置。单击“下一步”按钮。在Windows 2000中,Sysvol文件夹存放域的公用文件的服务器副本,它的内容将被复制到域中的所有域控制器上。7.1.3 安装Active Directory7.1.3 安装Active Directoryv(8)系统将自动检测是否安装了DNS服务器,若没有配置,则提示用户配置DNS服务器。单击“确定”按钮,如图7-9所示,打开“配置DNS”对话框。有两个选项:l“是,在这台计算机上安装和配置DNS”:可以为新域安装和配置DNS服务器;l“否,我将自己
13、安装并配置”:在安装Active Directory之后再安装和配置DNS。v在这里,选择“是,在这台计算机上安装和配置DNS”单选框,然后单击“下一步”按钮。7.1.3 安装Active Directoryv(9)在如图7-10所示的对话框中,选择“与Windows 2000服务器之前的版本相兼容的权限”或“只与Windows 2000服务器相兼容的权限”单选框。然后单击“下一步”按钮。v(10)在如图7-11所示的“目录服务恢复模式的管理员密码”对话框中,输入用于修复目录服务的密码。单击“下一步”按钮。7.1.3 安装Active Directory7.1.3 安装Active Direc
14、toryv(11)打开如图7-12所示“摘要”对话框,用户可检查设置的选项。然后单击“下一步”按钮。v(12)系统开始配置Active Directory,同时打开“正在配置Active Directory”对话框,提示配置过程,如图7-13所示。v(13)Active Directory配置完成后,单击“完成”按钮。重新启动计算机,Active Directory生效。7.1.3 安装Active Directory下一下一下一下一页页页页7.1.4 Active Directory用户和计算机控制台的使用v Active Directory用户和计算机控制台,用于增加、修改、删除、管理用户
15、和计算机账户、组和组织单位等对象,并可在目录上发布和管理资源。v 可以依次选择“开始”“程序”“管理工具”“Active Directory用户和计算机”命令,打开如图7-14所示的“Active Directory用户和计算机”控制台窗口。7.1.4 Active Directory用户和计算机控制台的使用v1改变用户和计算机显示方式v2预定义的组v3加入到域中的计算机1改变用户和计算机显示方式v 使用控制台的“查看”菜单可以控制显示方式,显示或关闭控制台树、说明条、状态栏;或者选择显示列信息,以大图标、小图标、列表、详细信息等方式显示内容;使用如图7-15所示的筛选器选项,用户可自定义筛选
16、显示内容。1改变用户和计算机显示方式2预定义的组v 在“Active Directory用户和计算机”控制台窗口,分别打开Builtin、Users文件夹,可以查看系统预定义的组。这些组都是安全组,有不同的权限,Builtin文件夹中的为预定义的本地组;Users文件夹中的为预定义的全局组。用户可以根据实际应用环境,规划网络的域结构,利用预定义的组,修改创建自己的组。2预定义的组2预定义的组3加入到域中的计算机v 在“Active Directory用户和计算机”控制台窗口,打开Computers文件夹,可以查看加入到域中的计算机列表。只能从加入到域中的计算机上登录域。7.2 组织单位的管理v
17、7.2.1 添加组织单位v7.2.2 删除组织单位v7.2.3 设置组织单位的属性7.2.1 添加组织单位v 在域中合理地添加和设置组织单位,不仅方便了管理员对域中用户和组的管理,而且还有利于网络的扩展。要添加组织单位,打开“Active Directory用户和计算机”窗口。在控制台目录树中双击以展开节点,右击域节点或者可添加组织单位的文件夹节点,并从弹出的快捷菜单中选择“新建”“组织单位”命令,打开“新建对象-组织单位”对话框。7.2.1 添加组织单位v 如图7-18所示。在“名称”框中输入新建组织单位的名称,然后单击“确定”按钮即可。7.2.2 删除组织单位v 当域中的某个组织单位不再发
18、挥作用时,管理员可将其删除,以免影响对其他组织单位的管理。要删除不再需要的组织单位,可以打开“Active Directory用户和计算机”窗口。在控制台目录树中,双击域节点以展开该节点。然后右击要删除的组织单位,并从弹出的快捷菜单中选择“删除”命令,系统会打开确认框,单击“是”按钮即可。7.2.3 设置组织单位的属性v 组织单位被添加之后,还应根据需要设置其属性。通过设置组织单位的属性,不但可以指定组织单位的管理者和常规属性,也可以为组织单位创建组策略。要设置组织单位的属性,可参照下面的步骤:7.2.3 设置组织单位的属性v(1)打开“Active Directory用户和计算机”窗口。v(
19、2)在控制台目录树中,双击域节点以展开该节点。v(3)右击要设置属性的组织单位,从弹出的快捷菜单中选择“属性”命令,打开该组织单位的属性对话框,如图7-19所示。7.2.3 设置组织单位的属性v(4)选择“常规”选项卡,如图7-19所示,在“描述”文本框中输入组织单位的描述文字,并在“国家(地区)”、“省/自治区”、“县市”、“街道”和“邮政编码”框中分别输入相应信息。v(5)选择“管理者”选项卡,如图7-20所示,单击“更改”按钮,在“选择用户或联系人”对话框中选择一个用户或联系人作为管理者;单击“查看”按钮,可查看管理者的属性;如果要清除管理者,单击“清除”按钮即可。7.2.3 设置组织单
20、位的属性7.2.3 设置组织单位的属性v(6)选择“组策略”选项卡,如图7-21所示。v(7)要新建一个组策略对象,单击“新建”按钮,在组策略对象列表框中会出现一个新的组策略对象,请输入一个有意义的名称。v(8)创建组策略之后,单击“编辑”按钮,将打开“组策略”窗口,如图7-22所示。7.2.3 设置组织单位的属性7.2.3 设置组织单位的属性v(9)在“组策略”窗口中,管理员可对组策略进行编辑,包括计算机配置和用户配置两个方面。编辑完毕后,关闭窗口。v(10)单击属性窗口的“关闭”按钮。7.3 用户账户的管理v7.3.1 用户账户的类型v7.3.2 内置的用户账户v7.3.3 建立域用户账户
21、v7.3.4 域用户账户的属性设置v7.3.5 管理域用户账户v7.3.6 创建本地用户账户7.3.1 用户账户的类型v Windows 2000所支持的用户账户分为以下两种类型:域用户账户和本地用户账户。v(1)域用户账户v(2)本地用户账户(1)域用户账户v 域用户账户建立在域控制器的Active Directory数据库内。用户可以利用域用户账户来登录域,并访问网络上的资源。v 当用户利用域用户账户登录时,由域控制器来检查所输入的账户与密码是否正确。v 将用户账户建立在某台域控制器内后,该账户数据会被自动复制到同一个域内的其他所有域控制器中。因此,当该用户登录时,此域内的所有域控制器都可
22、以负责审核。(2)本地用户账户v 本地用户账户建立在Windows 2000独立服 务 器、Windows 2000成 员 服 务 器 或Windows 2000 Professional的本地安全数据库内,而不是域控制器内。用户可以利用本地用户账户来登录此计算机,但是只能够访问该计算机内的资源,无法访问网络上的资源。(2)本地用户账户v 在此建议用户最好不要在Windows 2000成员服务器或已加入域的Windows 2000 Professional内建立本地用户账户,因为无法通过域内其他任何一台计算机来使用这些账户、设置这些账户的权限。这些账户无法访问域上的资源,同时域系统管理员也无法
23、管理这些本地用户账户。因此,在域结构的网络中,最好都使用域用户账户。7.3.2 内置的用户账户v 当Windows 2000 安装完毕后,将自动建立一些内置的账户,其中常见的几个账户是:v(1)Administrator(系统管理员)v(2)Guest(客户)v(3)IUSR_(计算机名)(Internet 来宾账户)v(4)TSInternetuser(终端服务访问账户)(1)Administrator(系统管理员)v Administrator拥有最高的权限,可以用它来管理计算机与域内的设置,例如建立、更改、删除用户与组账户、设置安全策略、设置用户账户的权限等。如果从安全角度的考虑,不想让
24、他人知道该账户的名称,可以将其改名,但是无法将其删除。(2)Guest(客户)v Guest是供临时用户使用的账户,例如提供给偶尔需要登录或者仅登录一次的用户使用。这个账户只有基本的权限。可以更改此账户的名称,但是无法将这个账户删除。该账户默认是未开放的,若要使用,请将其开放。(3)IUSR_(计算机名)v 匿名访问Internet信息服务的内置账户,是访问WWW服务器的账户。7.3.2 内置的用户账户v 并非所有的用户都具备权限来管理账户,由于目前只有系统管理员才具有添加、更改、删除等管理账户的权限,因此必须先利用Administrator账户登录。7.3.3 建立域用户账户v 在每个用户账
25、户添加完成后,Active Directory都会为其建立一个惟一的安全识别码(SID),Windows 2000系统内部利用这个SID来代表该用户,有关的权限设置等都是对SID来设置的,而不是对账户名称。v SID不会被重复使用,即使将某个账户删除后,再添加一个相同名称的账户,它也不会拥有原来该账户的权限,因为它们的SID不同,对Win2000系统而言,是不同的账户。7.3.3 建立域用户账户v 在建立用户账户时,可以选择一个组织单位,以便将用户账户建立到该组织单位内。可以将账户建立在内置的Users组织单位或其他自行创建的组织单位内。其步骤如下:v(1)打开“Active Director
26、y用户和计算机”窗口,双击域名()然后右击“syzx”组织单位,再从弹出的快捷菜单中选择“新建”“用户”命令。当出现如图7-23所示的窗口时,进行以下设置:vl“姓”与“名”:vl“姓名”:vl“用户登录名”:vl“用户登录名(Win2000以前版本)”:7.3.3 建立域用户账户vl“姓”与“名”:vl“姓名”:vl“用户登录名”:vl“用户登录名(Win2000以前版本)”:7.3.3 建立域用户账户 至少在这两个文本框之一输入信息。vl“姓”与“名”:vl“姓名”:vl“用户登录名”:vl“用户登录名(Win2000以前版本)”:7.3.3 建立域用户账户 用户的全名,默认就是前面的姓与
27、名两者的组合。vl“姓”与“名”:vl“姓名”:vl“用户登录名”:vl“用户登录名(Win2000以前版本)”:7.3.3 建立域用户账户 这是用户用来登录域所使用的名称。在Active Directory内,这个名称必须是惟一的。vl“姓”与“名”:vl“姓名”:vl“用户登录名”:vl“用户登录名(Win2000以前版本)”:7.3.3 建立域用户账户 这个名称可以被Windows 2000以前版本的用户使用,如被Windows NT/98等用户使用。7.3.3 建立域用户账户v(2)单击“下一步”按钮,将出现图7-24所示的对话框,设置如下:vl“密码”与“确认密码”:l“用户下次登录
28、时须更改密码”:l“用户不能更改密码”:vl“密码永不过期”:vl“账户已停用”:7.3.3 建立域用户账户vl“密码”与“确认密码”:l“用户下次登录时须更改密码”:l“用户不能更改密码”:vl“密码永不过期”:vl“账户已停用”:在“密码”与“确认密码”框中输入密码。为了避免在输入时被他人看到密码,因此框中的密码只会以星号(*)显示。密码最多为128个字符。密码的大小写是有区别的,例如abc与ABC是不同的密码。7.3.3 建立域用户账户vl“密码”与“确认密码”:l“用户下次登录时须更改密码”:l“用户不能更改密码”:vl“密码永不过期”:vl“账户已停用”:强迫用户在下次登录时必须更改
29、密码。该项设置可以确保只有该用户知道此密码,提高用户账户的安全性。7.3.3 建立域用户账户vl“密码”与“确认密码”:l“用户下次登录时须更改密码”:l“用户不能更改密码”:vl“密码永不过期”:vl“账户已停用”:它可防止用户更改密码,如果多人共享一个账户时(例如guest),则选择此复选框,避免发生被某个用户更改密码后,造成其他用户都无法登录的情况。7.3.3 建立域用户账户vl“密码”与“确认密码”:l“用户下次登录时须更改密码”:l“用户不能更改密码”:vl“密码永不过期”:vl“账户已停用”:若选择此复选框,则系统永远不会要求该用户更改密码,即使在“账户策略”的“密码最长存留期”中
30、设置了所有用户必须定期更改密码,系统也不会要求该用户更改密码。若同时选择了“用户下次登录时须更改密码”与“密码永不过期”复选框,则以“密码永不过期”有效。7.3.3 建立域用户账户vl“密码”与“确认密码”:l“用户下次登录时须更改密码”:l“用户不能更改密码”:vl“密码永不过期”:vl“账户已停用”:禁止用户利用此账户登录,例如,对于某个请长假的员工的账户,可以利用此选项暂时将该账户停用。7.3.3 建立域用户账户v(3)单击“下一步”按钮后,提示用户账户的信息。最后单击“完成”按钮,完成用户账户的创建。v 所有新建的域用户账户,都可以被用来在网络上从加入域的计算机上登录,却无法直接在域控
31、制器上登录,除非被赋予“本地登录”的权利。7.3.4 域用户账户的属性设置v 每个域用户账户都有一些相关的属性可供设置,要设置用户账户的属性,依次通过“选择该用户”“单击鼠标右键”“属性”的途径,打开如图7-25所示的“属性”对话框。以下只说明部分的选项,其余的选项将在以后相关的章节介绍。v1用户个人信息的设置v2账户信息的设置1用户个人信息的设置v 用户个人信息是指姓名、地址、电话、传真、移动电话、公司、部门、职称、电子邮件、Web页等。有如下几个选项卡:常规、地址、电话、单位。2账户信息的设置v 选择“账户”选项卡,如图7-26所示。有一部分账户信息的设置,在添加用户账户时就已经说明过了,
32、在这里仅介绍如下设置。v(1)账户过期v(2)登录时间v(3)限制用户只能够从某些工作站登录(1)账户过期v 设置账户的有效期限。默认为账户永不过期,也可以选择“在这之后”单选框,并确定账户过期的时间。(2)登录时间v “登录时间”按钮用来设置允许用户登录到域的时段,默认为用户可以在任何时段登登录录域域。设设置置时时,请请 单单 击击 图图 7-26中中的的“登登录录时时间间”按按钮钮,将将出出 现现 如如 图图 7-27所示的对话框。所示的对话框。(2)登录时间v 图中横轴每一方块代表一个小时,纵轴每一方块代表一天,填充的方块表示允许该用户登录的时段,空白的方块代表该时段不允许此用户登录。v
33、 选择要设置的时段,若单击“允许登录”单选框,设置允许用户在该时段内登录;若单击“拒绝登录”单选框,设置不允许用户在该时段内登录。完成用户登录时段的设置。(3)限制用户只能够从某些工作站登录v “登录到”按钮,用来设置允许用户登录到域的计算机,系统默认为用户可从任何一台计算机登录域,也可以限制用户只能从某几台计算机登录域。设置时,请单击“登录到”按钮,出现右图对话框。7.3.5 管理域用户账户v 打开“Active Directory用户和计算机”窗口,选定用户账户并单击鼠标右键,打开如图7-29所示的快捷菜单,然后选择相应的命令来管理域用户账户。v(1)复制。(2)停用账户/启用账户。(3)
34、重命名。(4)删除账户。v(5)重设密码。(6)解除被锁定的账户。7.3.5 管理域用户账户v(1)复制。(2)停用账户/启用账户。(3)重命名。(4)删除账户。v(5)重设密码。(6)解除被锁定的账户。可以复制具有相同属性的账户。7.3.5 管理域用户账户v(1)复制。(2)停用账户/启用账户。(3)重命名。(4)删除账户。v(5)重设密码。(6)解除被锁定的账户。若账户在某一段时间内不使用,则可以将其停用;待需要使用时,再将其重新启用。图7-29中所看到的是“停用账户”的命令,如果该账户已被停用,则此处的命令会变为“启用账户”。7.3.5 管理域用户账户v(1)复制。(2)停用账户/启用账
35、户。(3)重命名。(4)删除账户。v(5)重设密码。(6)解除被锁定的账户。可以将用户账户重命名,由于其安全识别码(SID)并没有改变,因此该账户的属性、权限设置与组关系都不会受到影响。7.3.5 管理域用户账户v(1)复制。(2)停用账户/启用账户。(3)重命名。(4)删除账户。v(5)重设密码。(6)解除被锁定的账户。可以将不再使用的账户删除,以免占用Active Directory的空间。将账户删除后,即使再添加一个相同名称的账户,这个新账户也不会继承原账户的属性、权限、设置与组关系,因其具有不同的SID。7.3.5 管理域用户账户v(1)复制。(2)停用账户/启用账户。(3)重命名。(
36、4)删除账户。v(5)重设密码。(6)解除被锁定的账户。当用户遗失密码或密码过期时,可以利用此命令重新替用户设置密码。7.3.5 管理域用户账户v(1)复制。(2)停用账户/启用账户。(3)重命名。(4)删除账户。v(5)重设密码。(6)解除被锁定的账户。在账户策略中可以设置用户输入密码失败多次时,将该账户锁定。若用户账户被锁定,可以在属性对话框中将“账户被锁定”的复选框清除即可。7.3.6 创建本地用户账户v 创建本地用户账户可以依次通过“开始”“设置”“控制面板”“管理工具”“计算机管理”“系统工具”“本地用户和组”“用户”,然后单击鼠标右键,并从弹出的快捷菜单中选择“新用户”的途径来完成
37、,其属性的设置类似于域用户账户的设置。7.4 组的建立v7.4.1 组的类型v7.4.2 组的作用域v7.4.3 域组的管理v7.4.4 本地组的创建v7.4.5 内置的组7.4.1 组的类型v Windows 2000所支持的组分为以下两种类型:v1安全组v2分布式组1安全组v 安全组可以用来设置权限,简化网络的维护和管理。例如,可以设置某个安全组对一些文件具备“读取”的权限。安全组也可以用在与安全无关的任务上,例如,将电子邮件发送给某个安全组。2分布式组v 分布式组只能用在与安全(权限的设置等)无关的任务上,例如,可以将电子邮件发送给某个分布式组。分布式组不能用于权限的设置与管理。7.4.
38、2 组的作用域v 每个安全组和分布式组均具有作用域,在Windows 2000域内,有三类不同的作用域。v1全局组v2本地域组v3通用组1全局组v 全局组主要用来组织用户,可以将多个权限相似的用户账户加入到同一个全局组内。全局组的特点如下:vl 全局组内的成员,只能够包含该组所属的域内的用户账户与全局组。也就是说,只能够将同一个域内的用户账户与其他全局组加入到全局组内。vl 全局组可以访问任何一个域内的资源。也就是说,可以在任何一个域内设置某个全局组的使用权限,以便让此全局组具备权限来访问该域内的资源。2本地域组v 本地域组主要用来指派其所属域内的访问权限,以便可以访问该域内的资源。本地域组的
39、特点如下:vl 本地域组内的成员,能够包含任何一个域内的用户账户、通用组、全局组。它也能够包含同一个域内的本地域组,但是无法包含其他域内的本地域组。vl 本地域组只能够访问本域内的资源,无法访问其他不同域内的资源。换句话说,在设置本地域组的权限时,只可以设置本域内资源的权限,但是无法设置其他不同域内资源的权限。3通用组v 通用组主要用来指派在所有域内的访问权限,以便可以访问每一个域内的资源。通用组的特点如下:vl 通用组内的成员,能够包含任何一个域内的用户账户、通用组、全局组。但是它无法包含任何一个域内的本地域组。vl 通用组可以访问任何一个域内的资源。也就是说,可以在任何一个域内设置通用组的
40、权限,以便让此通用组具备权限来访问该域内的资源。7.4.3 域组的管理v 打开“Active Directory用户和计算机”窗口,添加、删除与管理域组。v1域组的添加、删除与更名v2添加域组的成员1域组的添加、删除与更名v添加域组的步骤如下:v(1)在“Active Directory用户和计算机”窗口中选择域名或某个组织单位,单击鼠标右键,从弹出的快捷菜单中依次选择“新建”“组”命令,打开如图7-30所示的对话框。1域组的添加、删除与更名v(2)在“组名”文本框中输入域组的名称,在“组名(Windows 2000以前版本)”文本框中输入供旧版操作系统访问的组名。v(3)在“组作用域”单选组
41、框中选择组的作用域:“本地域”、“全局”或“通用”。v(4)在“组类型”单选组框中选择组的类型:“安全式”或“分布式”。v(5)单击“确定”按钮,完成域组的创建。1域组的添加、删除与更名v 每个组账户添加完成后,系统都会为其建立一个惟一的安全识别码(SID),在Windows 2000系统内部是利用这个SID来表示该组,有关权限的设置等都是对SID来设置的。v 可以先选择域组账户,单击鼠标右键,并从弹出的快捷菜单中选择“重命名”命令,更改域组账户名。由于更改名称后,在Windows 2000内部的安全识别码(SID)并没有改变,因此该域组账户的属性、权限等设置都不变。1域组的添加、删除与更名v
42、 也可以先选择要删除的域组账户,单击鼠标右键,从弹出的快捷菜单中选择“删除”命令,将域组账户删除。域组账户删除后,即使添加一个相同名称的域组账户,也不会继承前一个被删除账户的属性和权限等设置。因为,虽然新域账户的名称与被删除的账户名称相同,但是其SID不同。因此,它们是两个不同的组账户。2添加域组的成员v 要将用户账户和组加入到域组内,可以在“Active Directory用户计算机”窗口中双击打开域名或某组织单位,在所选的域组上单击鼠标右键,并从弹出的快捷菜单中选择“属性”“成员”“添加”命令,打开如图7-31所示的对话框,选定要被加入的成员(例如用户账户或组等),然后单击“添加”按钮。最
43、后单击“确定”按钮,完成设置。2添加域组的成员7.4.4 本地组的创建v 创建本地组账户,可以通过依次选择“开始”“设置”“控制面板”“管理工具”“计算机管理”“系统工具”“本地用户和组”“组”单击鼠标右键,并从弹出的快捷菜单中选择“新建组”命令,打开“新建对象-组”对话框,在“组名”文本框中输入新建的本地组账户名,也可以单击“添加”按钮来添加组的成员。最后单击“创建”按钮,完成本地组账户的建立。7.4.5 内置的组v Windows 2000域内含多个内置的组,包括本地域组、全局组与系统组。而Windows 2000独立服务器、Windows 2000成员服务器、Windows 2000 P
44、rofessional内则包含了一些内置的本地组与系统组。这些组本身已被赋予了相应的权限,只要将用户或全局组等账户加入到这些内置的本地域组中,这些账户也将具有相应的权限。7.5 思考题v1如何安装Active Directory?v2Windows 2000中的Active Directory的优点有哪些?v3Active Directory用户和计算机控制台的使用方法是什么?v4系统内置的用户和组账户有哪些?v5组织单位、组有什么不同?v6在Windows 2000中,怎样添加、删除和设置组、用户账户以及组织单位?v7域用户账户与本地用户账户有何异同?v8组有哪些类型,各有什么特点?组的作用域有哪些,各有什么特点?