活动目录域的管理技巧

域（Domain）是活动目录的分区，定义了安全边界，在没经过授权的情况下，不允许其他域中的用户访问本域中的资源。活动目录可由一个或多个域组成，每一个域可以存储上百万个对象，域之间还有层次关系，可以建立域树和域林。

在活动目录中，目录存储只有一种形式，而域控制器（Domain Controller）包括了完整的域目录的信息，因此，每一个域中必须有一个域控制器，否则域也就不存在了。Windows Server 2003的活动目录中不再有主域控制器和备份控制器的区别，所有的域控制器在用户访问和提供服务方面都是相同的。

1.设置域控制器属性

管理员通过设置域控制器属性，不但可以确定域控制器的位置、操作系统和常规属性，还可以设置域控制器的组合管理员。设置域控制器属性的具体步骤如下。

1）选择“开始”→“程序”→“管理工具”→“Active Directory用户与计算机”命令，打开“Active Directory用户和计算机”窗口，如图5-66所示。

图5-66 “Active Directory用户和计算机”窗口

2）在控制台目录树中，双击展开域节点。单击Domain Controller子节点。

3）在详细资料窗格中，右击要设置属性的域控制器，在弹出的快捷菜单中选择“属性”命令，打开该控制器的“属性”对话框，如图5-67所示。

图5-67 设置域控制器属性

4）在“常规”选项卡的“描述”文本框中输入对域控制器的一般描述。如果不希望域控制器的可受信任用来作为委派，可取消选中“信任计算机作为委派”复选框。

5）打开“操作系统”选项卡，在该选项卡中，显示出操作系统的名称、版本以及Serv-icePack，管理员只能查看但不能修改这些内容。

6）打开如图5-68所示的“隶属于”选项卡，要添加组，单击“添加”按钮，打开“选择组”对话框为域控制器选择一个要添加的组；要删除某个已经添加的组，在成员“属于”列表框选择该组，然后单击“删除”按钮即可。

图5-68 设置成员组

7）当管理员为域控制器添加多个组时，还可为域控制器设置一个主要组。要设置主要组，在“隶属于”列表框中选择要设置的主要组，一般为Domain Controller，也可为Cert Publishers，然后单击“设置主要组”按钮即可。

8）打开“位置”选项卡，可以设置域控制器的位置。

9）打开“管理者”选项卡，要更改域控制器的管理者，可单击“更改”按钮，打开“选择用户或联系人”对话框，选择新的管理者即可。要删除管理者，可单击“清除”按钮来删除；要查看和修改管理者属性，可单击“查看”按钮，打开该管理者属性对话框来进行操作。

10）域控制器设置完毕，单击“确定”按钮保存设置。

2.用户和计算机账户管理

用户账户的创建可参照如下步骤。

1）在“Active Directory用户和计算机”窗口的控制台目录树中，双击展开域节点。

2）如果要创建用户账户，鼠标右击要添加用户的组织单位和容器（merry.microsoft.cn），在弹出的快捷菜单中选择“新建”→“用户”命令，打开如图5-69所示的对话框。

图5-69 新建用户

3）在“姓”和“名”文本框中分别输入姓和名，并在“用户登录名”文本框中输入用户登录使用的名字。

4）单击“下一步”按钮，在如图5-70所示的对话框中设置密码。在“密码”和“确认密码”文本框中输入要为用户设置的密码。如果希望用户下次登录时更改密码，可以选中“用户下次登录时须更改密码”复选框，否则选择“用户不能更改密码”复选框。如果希望密码永远不过期，可选择“密码永不过期”复选框。如果暂不启用该用户账户，可选择“用户已禁用”复选框。

图5-70 设置密码

5）单击“下一步”按钮即可完成创建。

创建计算机账户方法同上，只需在上述第2步中选择“计算机”命令，在弹出的对话框中输入该计算机的名称，单击“确定”按钮即可。

要删除一个用户和计算机账户，在控制台目录树中，展开域节点。单击要删除的用户或者计算机所在的组织单位或容器，在详细资料窗格中，鼠标右击要删除的用户或者计算机，从弹出的快捷菜单中选择“删除”命令，出现信息确认框后，单击“是”按钮，即可删除被选用户或者计算机账户。

要停用用户账户，在控制台目录树中，展开域节点。单击要停用的用户账户或者计算机所在的组织单位或容器，在详细资料窗格中，鼠标右击要停用的用户或者计算机账户，在弹出的快捷菜单中选择“停用账户”命令，出现信息确认框后，单击“是”按钮，即可停用被选用户或者计算机账户。

要移动用户和计算机账户，在控制台目录中，展开域节点。单击要移动用户或者计算机账户所在的组织单位和容器，在详细资料窗格中，右击要移动的用户账户，在弹出的快捷菜单中选择“移动”命令，打开“移动”对话框。在“将对象移动到容器”对话框中双击域节点，展开该节点。单击移动的目标组织单位，然后单击“确定”按钮即可完成移动。

要重新设置用户密码，在控制台目录树中，展开域节点。然后单击包含要重新设置密码的用户的组织单位或容器，在详细资料窗口中，右击该用户账户，在弹出的快捷菜单中选择“重设密码”命令，打开“重设密码”对话框，在“新密码”和“确认密码”文本框中输入要设置的新密码。如果允许用户更改密码，可选择“用户下次登录时须更改密码”复选框。单击“确定”按钮保存设置，同时系统会打开确认信息框，单击“确定”按钮可完成设置。

要管理客户计算机，在控制台目录树中，展开域节点。然后单击要管理的计算机所在的组织单位，右击该计算机，在弹出的快捷菜单中选择“管理”命令，打开该计算机的计算机管理窗口。在该窗口中，管理员可以对连接的计算机进行系统的工具、存储、服务器应用程序和服务等方面的管理。例如，可以对该计算机上的用户进行管理。

3.组和组织单位的管理

组是Windows Server 2003从Windows Server 2000系统继承下来的安全管理形式，它是指活动目录或本地计算机对象，包含用户、联系人、计算机和其他组等。在Windows Server 2003中，组可以用来管理用户和计算机对网络资源的访问，例如，活动目录对象及其属性、网络共享、文件、目录、打印机列队，还可以筛选组策略。使用组，方便了管理访问目的和权限相同的一系列用户和计算机账户。

组织单位（Organizational Unit，OU）是域中包含的一类目录对象，它包含域中一些用户、计算机和组、文件与打印机等资源。不过，组织单位不能包含其他域中的对象。由于活动目录服务把域又详细地划分成组织单位，且组织单位中还可以再划分下级组织单位，因此组织单位的分层结构可用来建立域的分层结构模型，进而可使用户把网络所需的域的数量减至最小。

注意：组和组织单位有很大的不同。组主要用于权限设置，而组织单位则主要用于网络构建；另外，组织单位只表示单个域中的对象集合（可包括组对象），而组可以包含用户、计算机、本地服务器上的共享资源、单个域、域目录树或目录林。(www.xing528.com)

（1）创建新组和组织单位

要创建新组，在控制台目录树中，展开域节点。右击要进行组创建的组织单位或容器（Domain Controller），在弹出的快捷菜单中选择“新建”→“组”命令，打开如图5-71所示对话框，在“组名”文本框中输入要创建的组名。在“组作用域”选项区域中，选择单选按钮来确定组的作用域；在“组类型”选项区域中，通过单选按钮来选择新组的类型。单击“确定”按钮即完成组的创建。

图5-71 创建组

要添加组织单位，在控制台目录树中，展开域节点。右击域节点或者可添加组织单位的文件夹节点，在弹出的快捷菜单中选择“新建”→“组织单位”命令，在打开的对话框的“名称”文本框中输入新创建组织单位的名称，单击“确定”按钮即可。

（2）删除组和组织单位

要删除组和组织单位，在控制台目录树中，展开域节点。单击要删除的组和组织单位所在的组织单位，详细资料窗格中会列出该组织单位的内容。然后右击要删除的组或组织单位，选择快捷菜单中“删除”命令，这时系统会打开信息确认框，单击“是”按钮即完成组或组织单位的删除。

（3）委派控制组和组织单位

如果要对某个组或组织单位进行委派控制，可参照下面的步骤。

1）在“Active Directory用户和计算机”窗口的控制台目录树中，双击展开域节点。

2）右击要委派控制的组织单位或组节点，如Users，在弹出的快捷菜单中选择“委派控制”命令，进入“控制委派向导”窗口，单击“下一步”按钮。

3）在打开的“用户和组”对话框中，单击“添加”按钮，打开“选择用户、计算机或组”对话框，可以直接输入一个或多个要委派控制的用户或组，也可单击“高级”选项卡进行查找，从列表中选择一个或多个要委派控制的用户或组。

4）选择之后单击“确定”按钮，则在“输入对象名来选择”文本框中会出现所选对象，单击“确定”按钮。

5）在打开的窗口中单击“下一步”按钮，打开“要委派的任务”对话框。可以选择要委派的常见任务，这里选择“创建自定义任务去委派”选项。

6）单击“下一步”按钮，打开对话框。指定委派任务范围。如果要委派的对象为整个文件夹，可选择“这个文件夹”，如果要委派的对象只是文件夹中的对象，可选择“文件夹中的对象”，并在“对象类型”列表框中通过复选框来选择对象。

7）单击“下一步”按钮，打开“权限”对话框。通过选择“要委派的权限”复选框来选择要委派的权限，例如，选择“读取”、“创建所有子对象”等复选框设置相应权限。

注意，对不同资源进行控制委派，配置向导有所不同。

（4）设置组织单位属性

要设置组织单位的属性，可参照下面的步骤。

1）在控制台目录树中，右击要设置属性的组织单位，在弹出的快捷菜单中选择“属性命令”，打开该组织单位的属性对话框。

2）在“常规”选项卡中，可以设置“描述”、“省/自治区”、“县市”、“街道”和“邮政编码”等计算机和用户常规信息。

3）打开“管理者”选项卡，单击“更改”按钮，打开“选择用户或联系人”对话框，选择一个用户或联系人作为管理者；管理者更改之后，单击“属性”按钮，可打开所更改的管理者的属性对话框，管理员可对管理者的属性进行修改，如果要清除管理者，单击“清除”按钮即可。

4）打开“组策略”选项卡。要新建一个组策略对象，单击“新建”按钮，在“组策略对象链接”列表框中会出现一个新的组策略对象，在其名称文本框中为新策略输入一个有意义的名称。

5）单击“编辑”按钮，会打开“组策略编辑器”窗口。在该窗口中，管理员可对创建的组策略进行编辑，包括计算机配置和用户配置两个方面。可以对计算机配置中的“登录”策略进行编辑，例如，登录时是否显示欢迎界面，启动和登录是否等待网络等性质进行设置。编辑完毕，关闭窗口。

6）要设置某个组策略对象的属性，在组策略对象链接列表中选择对象，单击“属性”按钮，打开该对象属性对话框，进行“常规”、“链接”和“安全”方面的设置。

7）在列表中，不同位置的组策略对象具有不同的优先级，较高位置的组策略对象比较低位置的组策略对象优先级高。所以，管理员可以通过改变组策略对象在列表中的位置来决定组策略对象的应用级别。要改变某个组策略对象在列表中的位置，选择该对象，单击“向上”和“向下”按钮即可上移或下移该对象。

如果要删除某个组策略对象，在列表中选择该对象，然后单击“删除”按钮即可。

8）用户要配置某个组策略对象的选项，在组策略链接列表中选择“策略”对象，单击“选项”按钮，打开该组策略对象的选项对话框。

在“连接选项”选项区域中，选择“禁止替代”复选框，可防止其他组策略对象替代这个组对象中的策略集；选中“已禁用”复选框，可暂时禁用该策略，需要启用时，取消选中“已禁用”复选框即可。然后单击“确定”按钮返回到组策略选项卡。

9）如果要防止组策略被下一级组织单位所继承，可选中“阻止策略继承”复选框。最后单击“关闭”按钮保存属性设置。

（5）设置组属性

要设置组的属性，具体步骤如下。

1）在控制台目录树中单击要设置属性的组所在的组织单位或容器，在详细资料窗口中，右击要添加成员的组，从弹出的快捷菜单中选择“属性”命令，打开该组的属性对话框。

2）为了便于管理，在“描述”和“注释”文本框中分别输入有关该组的描述和注释；可以修改组名称；为了便于组管理员和组成员交换信息，在“电子邮件”文本框中输入组管理员的电子邮件地址。

3）单击“成员”选项卡。要添加成员，单击“添加”按钮，打开“选择用户联系人或计算机”对话框选择要添加的成员；要删除组成员，在“成员”列表框中选择要删除的组成员。

4）用户设置新组的权限，主要通过向新组添加内置组来实现。选择“隶属于”选项卡，单击“添加”按钮，打开“选择组”对话框，为自己创建的组选择内置组。要删除某个组权限，在“隶属于”列表框中选择该组，单击“删除”按钮即可。

5）要设置组的管理者，选择“管理者”选项卡。要更改组管理者，单击“更改”按钮，打开“选择用户和联系人”对话框选择管理者；要查看管理者的属性，单击“属性”按钮进行查看；如果要清除管理者对组的管理，单击“清除”按钮即可。

6）属性设置完毕，单击“确定”按钮保存设置并关闭属性对话框。

活动目录的引入，方便了管理员在统一的环境下管理全网的各种资源，保证了系统的良好扩展性和可管理性。本节主要讲述了活动目录的基本概念、安装方法以及用户和计算机账户的管理、组和组织单位的管理等内容。