Win Server 2003域的安装和管理
win2003无法上网的解决方法
win2003无法上网的解决方法2007年03月17日星期六16:22win2003无法上网的解决方法:(1:)打“windows server 2003所有补丁包括“2003断网补丁”。
记事本里记的有网址。
(2:)打开网络属性,点“安装”安钮,安装一个“QOS数据包计划程序”。
(3:)先在“电源管理”中把电源方案改成“演示”方案,然后禁用计算机里所有的硬件“休眠”,再在“设备管理器”中在网卡“属性”里把网卡的休眠关掉。
(4:)保证在服务中“DHCP”,“DNS”服务都运行正常。
并把这两个服务设置成,“断开就连接”的模式。
(5:)装最新的“网卡驱动”。
(6:)也可以在“本地连接”中点右键,点“修复”,尝试一下,看行不。
(7:)注意如果上述方法不行,可以在“本地网络连接”中点“右键”,先禁用“网络连接”,然后在启用“网络连接”这样肯定行。
解决办法:1、查看是否能ping通,包括ping网关,ping其它计算机。
ping 192.168.0.12、如果ping网关、ping其它计算机都能ping通,证明硬件、IP配置等均无问题。
如果ping 不通,请检查IP配置、网络硬件设备。
DNS用于上网,访问Internet,和局域网无关。
3、检查你的win2003是否启动了guest用户,默认为禁止,请改为启用。
检查你的计算机是不是安装了防火增,如天网、瑞星等,还有就是windows自带的防火墙,如果启用了,请关掉防火墙。
综上,局域网可正常使用的必要条件是:1、为每台计算机设置好TCP/IP的IP地址,网关、掩码。
如:IP地址:192.168.2.200子网掩码:255.255.255.0网关:192.168.2.02、网卡、网线、交换器设备运转正常,网卡灯亮。
3、启用guest来宾账户。
4、在访问局域网时,请关闭防火墙,包括windows自带的防火墙。
当然,也可以配置防火墙,以达到查看其它计算机上共享文档的目的。
实验三、windows 2003 server 本地用户和组的管理
实验三、windows 2003 server 本地用户和组的管理一、实验目的利用windows 2003 Enterprise server的本地用户和组管理工具对本机器帐户进行各种操作二、基本知识本次实验要求具有本地用户创建规则、组的创建规则的基本知识,学会区分本地用户和组与域帐户和组的区别三、实验设备与环境1.机器安装操作系统为Windows 2003 Enterprise Server简体中文版,并且有一台安装了活动目录的计算机。
2.每小组需要性能良好的计算机若干台,且以管理员权限的身份登录计算机。
四、实验内容1.熟悉本地用户和组管理的控制台启动“本地用户和组” 应用程序,选择“开始” /“程序”/“管理工具”/“计算机管理”,展开“本地用户和组”选项,单击“本地用户和组”;或者直接在“我的电脑”上右单击等方式都可以进入2.在本地用户和组管理工具上创建一个用户名字为“HAQHWB”的用户,密码为123456,并要了解创建时的几个选项,比如:“用户下次登陆时须修改密码”、“用户不能更改密码”、“密码永不过期”和“帐户已停用”概念,但是需要注意相关设置要根据“本地安全策略”才决定是否可以启用备注:要了解用户帐户创建时和密码的相关规则和系统的内置的用户帐户,要特别注意当网络中有WIN2000之前的操作系统,那么要注意密码不能超过14个字符3.在本地用户和组管理工具上创建一个组名字为:“HAQHWB”的组,并将上面建好的“HAQHWB”用户加入到该组中备注:要了解组创建时的命名规则及作用,它实际体现了一组用户帐户权限的集合;并要对系统内的内置组有深刻的认识4.尝试将“HAQHWB”组加入到系统管理员组中,你会发现什么问题呢??请学员自己解答此问题,如实在无法解答,则可以问指导老师5.思考一下我们建的组到底有什么样的作用呢??6.将“HAQHWB”用户加人到相应的内置的Administrators组,这样可以使该用户获得相应的权限,你会发现组帐户的命名后面都多了个复数S7.实验漫游用户配置文件和强制漫游配置文件五、注意事项1.掌握各个内置组的作用及权限,一定要该条目有很全面的理解。
Win2003 IIS 安装方法 图文教程
Win2003 IIS 安装方法图文教程Win server2003 IIS的安装方法,不论是卸载重新安装,还是初次安装都需要知道的。
默认情况下iis是不安装的。
要通过控制面板来安装。
具体做法为:1. 进入“控制面板”。
2. 双击“添加或删除程序”。
3. 单击“添加/删除 Windows 组件”。
4. 在“组件”列表框中,双击“应用程序服务器”。
5. 双击“Internet 信息服务(IIS)”。
6. 从中选择“万维网服务”及“文件传输协议(FTP)服务”。
7. 双击“万维网服务”,从中选择“Active Server Pages” 及“万维网服务”等。
安装好IIS后,接着设置Web服务器,具体做法为:1. 在“开始”菜单中选择“管理工具→Internet信息服务(IIS)管理器”。
2. 在“Internet 信息服务(IIS)管理器”中双击“本地计算机”。
3. 右击“网站”,在弹出菜单中选择“新建→网站”,打开“网站创建向导”。
4. 依次填写“网站描述”、“IP 地址”、“端口号”、“路径”和“网站访问权限”等。
最后,为了便于访问还应设置默认文档(Index.asp、Index.htm)。
上述设置和Windows 2000 Server网站设置基本相同,但此时Web服务还仅适用于静态内容,即静态页面能正常浏览,常用Active Server Pages(ASP)功能没有被启用。
所以还应在“Internet 信息服务(IIS)管理器”的“ Web 服务扩展”中选择允许“Active Server Pages”。
a.安装IIS若操作系统中还未安装IIS服务器,可打开“控制面板”,然后单击启动“添加/删除程序”,在弹出的对话框中选择“添加/删除Windows组件”,在Windows组件向导对话框中选中“Internet信息服务(IIS)”,然后单击“下一步”,按向导指示,完成对IIS的安装。
(图例如下图1、图2 由于白茶123使用的是Windows Server 2003操作系统所以和大家的安装界面有所出入,但大体相同)此主题相关图片如下:图1—windows组件向导1 此主题相关图片如下:图2—windows组件向导2b.启动Internet信息服务(IIS)Internet信息服务简称为IIS,单击Windows开始菜单---所有程序---管理工具---Intern et信息服务(IIS)管理器,即可启动“Internet信息服务”管理工具(如图3)此主题相关图片如下:图3—Internet信息服务(IIS)管理器c.配置IISIIS安装后,系统自动创建了一个默认的Web站点,该站点的主目录默认为C:\\Inetpub\\ www.root。
Win2003Server域控制器安装设置及问题处理
Win2003配置域服务器服务器升级成域控制器后,还需要为企业的计算机使用者建立相应的域用户帐号,共享目录,权限等等。
笔者在这里以建立一个域控制帐号为“andy.wang”,并设置隐藏共享、对于公共目录根据用户组统一设置好网络访问权限安全。
对于网络用户私有文件夹,把它设为隐藏共享,避免服务器出现太多的共享文件夹。
在安全方面:把该文件设为该用户完全控制权限。
域用户建立步骤:通过单击“开始”按钮,指向“所有程序”,指向“管理工具”,然后单击“Active Directory用户和计算机”。
在出现的窗口就可以为每个使用者建立一个域用户帐号。
详细的操作步骤如下:1、右键单击窗口左栏“Users”,指向“新建”,然后单击“用户”。
2、键入“andy”作为“名”;键入“wang”作为“姓”。
(注意,在“姓名”框中将自动显示全名。
)3、键入“andy.wang”作为“用户登录名”。
窗口应与图7相似。
然后单击“下一步”。
4、在“密码”和“确认密码”中,键入“pass#word1”,然后单击“下一步”继续。
注意:默认情况下,Windows Server2003要求所有新创建的用户使用复杂密码。
可通过组策略禁用密码复杂性要求。
5、单击“完成”。
此时,andy.wang的域帐号用户就建立完成了。
设置共享目录与安全:在系统的数据盘建立共享目录。
在这里,笔者在d:User_Data目录下为所有的域用户建立相应的共享目录。
如下图所示,建立d:User_Dataandy.wang共享目录,并右键单击该文件夹,指向“共享与安全”单击打开文件共享设置。
第一步:在文件属性对话窗口选择“共享该文件夹”单选框,在下面共享名文本框输入对应域用户帐号+“$”,将共享名设为“andy.wang$”的隐藏共享。
第二步:点击“权限”按钮,进入共享目录权限设置对话框。
删除原有的everyone组,添加该域用户帐号权限,并勾选“完全控制”、“更改”、“读取”三个选项卡,设置完成后如下图所示:点击“确定”按钮回到文件属性窗口,再次点击“确定”按钮完成文件共享与网络访问权限设置。
Windows Server 2003操作系统安装
一、Windows Server 2003简介1、操作系统(OS)一般分为:(1)桌面操作系统:常用的有DOS,Win98,WinME,Win2000pro专业版,WinXP,Linux(2)网络操作系统:WinNT,Win2000Server,Win2003Server服务器版或advanced高级服务器版,Linux,Unix2、Win2003Server版本:都是为服务器设计的。
(1)Win2003Server Web版(2)Win2003Server标准版(3)Win2003Server企业版(4)Win2003Server数据中心版二、Windows Server 2003安装(1)从光盘启动根据下面提示进行安装设置(2)创建磁盘分区正常情况下,要分成四个区(C、D、E、F)一般情况下操作系统安装在F区。
以硬盘250G为例,可根据实据情况对硬盘分区,对F盘(系统盘)分30G空间,考虑到我们将在C盘安装数据库,因些可将C盘分大一些,比如100G,别两个盘也可根据实际情况分区大小。
(3)格式化磁盘分区(7)输入姓名和单位(8)输入产品密钥(JCGMJ-TC669-KCBG7-HB8X2-FXG7M)(9)选择授权模式:这里我们一般选择每服务器模式注意:以上两种授权模式的区别:a、每服务器模式限制同时访问本机的客户机数量,每设备模式不限制,但要求每台客户机都要购买“客户访问许可证”;b、每服务器模式适合在只有一台服务器的网络中使用,每设备模式适合于有多台服务器的网络中使用。
(10)输入计算机名和管理员密码注意:计算机名称最好自己定义一个,方便记忆和查找(11)设置网络属性(12)设置网络工作模式(13)开始安装三、Windows Server 2003修改服务参数(1)打开存放操作系统盘(F盘),打开工具,选择文件夹选项,弹出文件夹选项对话框。
钩选上“显示所有文件和文件夹”在系统盘目录下找到BOOT.INI文件,修改文件目录下的timeout参数,例timeout=3(2)系统更新打开控制面板,展选择“自动更新“,在里面设置,如下图所示所选打开“windows update网站”更新如下图所示。
如何在 Windows Server 2003 中提升域和目录林功能级别
/kb/322692(第 2/7 页)2005-7-8 11:51:17
如何在 Windows Server 2003 中提升域和目录林功能级别
4.
在“选择一个可用的域功能级别”中,请执行以下操作之一: • 单击“Windows 2000 本机模式”,然后单击“提升”以便把域功能级别提升到 Windows 2000 本机模式。 -或• 单击“Windows Server 2003”,然后单击“提升”以便把域功能级别提升到 Windows Server 2003。 注意:您也可以通过右击出现在 Active Directory 用户和计算机 MMC 管理单元中的域来提升域功能级别,然后单击“提升域功能级别”。要提升域功能级别,您必须是域管理员组的成员。 当前的域功能级别显示在“提升域功能级别”对话框的“当前域功能级别”中。级别提升在 PDC FSMO 上执行并要求域管理员权限。
当目录林功能提升后,运行早期版本操作系统的域控制器将不能被引入到该目录林中。例如,如果您将目录林功能提升至 Windows Server 2003,运行 Windows NT 4.0 或 Windows 2000 Server 的域控制器则不能添加到该目录林中。 返回页首
临时级别 — 从 Windows NT 4.0 域升级
/kb/322692(第 1/7 页)2005-7-8 11:51:17
如何在 Windows Server 2003 中提升域和目录林功能级别
返回页首
目录林功能级别
目录林功能激活目录林中所有的域都具有的功能。下面列出了三种目录林功能级别及相应的功能和所支持的域控制器。 Wind版本
: 322692 : 11.0
最后更新日期 : 2004年6月25日
搭建网络操作系统winServer2003
Page 17
17
2.文本安装部分
(1)将Windows Server 2003安装光盘插入光驱,并从光盘引 导,光盘将自动引导系统启动,出现硬件检测屏幕。
Page 18
18
(2)装程序继续加载模块,搜索系统中的大容量设备,如SCSI和IDE控制器。 (3)检测完后,出现安装与恢复屏幕,按Enter键,开始安装Windows Server 2003。
3.1.3.服务器分类
按外观划分 :塔式服务器 机架式服务器 刀片服务器 按应用服务类型划分:文件服务器 数据 库数据服务器 邮件服务器 WEB服务器 多媒体服务 终端服务 主域控制器 按性能划分:入门级服务器 工作组级服 务器 部门级服务器 企业级服务器 按体系架构划分 务器
:X86服务器 非X86服
Page 9
9
按性能分类
入门级服务器:支持一个CPU,大 多采用SATA硬盘、支持RAID 1、冗 余性能差(电源、风扇等)。右边例 图为HP ML110内部图
工作组级服务器:支持双路CPU , 采用(SCSI)SAS硬盘、支持RAID 5,支持热插拔,冗余性能差(电源、 风扇等)。右边例图为HP ML150内 部图
Page 13
13
3.2.1.Windows Server 2003的新特性
(1)对称多处理与内存支持 (2)新的活动目录 (3)应用程序服务 (4)群集服务 (5)文件和打印服务 (6)Internet信息服务6.0(IIS 6.0) (7)管理服务 (8)安全性 (9)存储管理 (10)终端服务器 (11)Windows Media服务 (12)卷影副本 (13)网络和通信服务
Page 10
10
Windows2003 Server 系统之家设置大全
Windows2003 Server 设置大全
• 2.启用硬件和DirectX加速 • ★硬件加速:桌面点击右键--属性 (Properties)->设置(Settings)--高级 (Advanced)--疑难解答(Troubleshoot)。把该 页面的硬件加速滚动条拉到“完全”(Full) ,最好点击“确定”(OK)保存退出。这期间 可能出现一瞬的黑屏是完全正常。
Windows2003 Server 设置大全
• HKEY_LOCAL_MACHIN|SOFTWARE|MicroSoft |WindowsNT|CurrentVersion|Winlogon段, 在此段中按右键,新建二个字符串段, AutoAdminLogon=“1”,DefaultPassword=“为 超级用户Administrator所设置的Password”。 注意,一定要为Administrator设置一个密码, 否则不能实现自启动。然后,重新启动 Windows即可实现自动登录。系统之家 /
Windows2003 Server 设置大全
• 7.如何使用USB硬盘、U盘,添加已经有 分区的硬盘 • 我的电脑(单击右键)----管理----磁盘管 理-----在相应的硬盘上执行导入和分配盘符 操作 • 8.在控制面板里显示全部组件: • 把Windows\inf目录中的sysoc.inf文件里 的"hide"替换掉。
Windows2003 Server 设置大全
• • 6.禁止关机时出现的关机理由选择项: 关机事件跟踪(ShutdownEventTracker)也 是Windowsserver2003区别于其他工作站系 统的一个设置, • 对于服务器来说这是一个必要的选择, 但是对于工作站系统却没什么用,我们同 样可以禁止它。 • 打开”开始“Start->”运行“Run->输 入”gpedit.msc“,在出现的窗口的左边部分,
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
小结
域(Domain)是一系列计算机、 用户和各种资源的集合。 在域模式中,资源是集中进 行管理的。用户只要登录一 次,就可以访问位于不同计 算机上的资源。 每个域中至少有一台域控制 器,用于对域中的资源进行 登记并管理。
域控制器
DNS
域名:jsj.local
练习题
1、简述一个域网络的构建过程。
服务器搭建与管理 —— Windows Server 2003
主讲:匡芳君
授课班级 授课时间 授课地点
计应/英1001班 4月20日星期三 知701
第 25 次 课
课题内容: Win Server 2003域的安装与管理 教学目的: 掌握Windows Server 2003 中域控制器的安装方法。 掌握Windows Server 2003 中域控制器的删除方法。 教学方法:演示法、练习法 重 难 点:域控制器的安装与删除。 能力培养:培养安装和删除域控制器及域的使用能力。 课堂类型:讲授课 教 具:投影仪、多媒体设备
三、构建域林
在各个域中分别安装域控制器,在建立新域树的第一台 域控制器时应选择:
域控制器类型 域类型
新域的域控制器
在现有的林中的域树
linite.local
根域A
根域E
域林中各根域的域名之 间不需要相关联。
子域B
sales.linite.local
说明:域间的信任关系一般是在建立域时创建。如果 想要建立一些特殊的信任关系,可以先建立彼此独立 的域,然后在域控制器上使用“新建信任向导”设置 域间的信任类型。
任务3 管理活动目录
1.在活动目录中使用OU
组织单元
组织单元是包含在活动目录中的容器对象。创建组织单元 的目的是对活动目录对象进行分类。 创建组织单元有如下好处: (1)可以分类组织对象,使所有对象结构更清晰。
第一步:安装一台域控制器(同时安装DNS服务器),这样 域就创建了。 第二步:为域用户创建域用户帐户。只有拥有域用户帐户 的人才能登录到域。 第三步:把计算机加入域中。只有通过这些计算机才能登 录到域中。 第四步:将计算机中的共享资源加入到域中。
2、构建多域网络时,常用的结构有哪两种?它们使用 什么样的信任关系? 常用的结构有域树结构和域林结构。
二、构建域树
在各个域中分别安装域控制器,但应该先建立父域,再 建立子域,在安装子域中第一台域控制器时应选择:
域控制器类型 域类型
新域的域控制器
在现有域树中的子域
linite.local
根域A
域树中子域的域名必须与父 域的域名相关联。
子域B
sales.linite.local
子域D
group.sales.linite.local
域A 域B 域C
假设域A和域B建立了双向可传递的信任关系,域B和域C 建立了双向可传递的信任关系,则域A和域C自动成为双向 信任的。
信任类型
1、父子:双向、可传递
用于构建域树结构,父域 与子域之间为父子信任关 系。 2、树根:双向、可传递
根域A 父子 子域C 父子 子域D 子域E 树根 根域B 父子
设置多个域控制器可以提高域的安全性。 域控制器、DNS服务器、DHCP服务器可以安装在不同计算 机中,不过,在多数情况下,它们都安装在同一台计算机中。 安装域控制器就是安装 Active Directory 的过程。安装了 Active Directory 的计算机就成为域控制器。
安装过程: 准备工作:
选择一台准备作为域控制器的计算机。
它必须有一个NTFS分区。 如果它已经存在DNS服务器或DHCP服务器,应该将它 们卸载。 检查该机IP设置:如果将来DNS和DHCP服务器都要装在 该计算机中,应该设置一个固定的IP地址,DNS服务器 地址也应该设置为本机IP地址。
方法一: 运行dcpromo命令。 方法二:单击“开始 | 管理工具 | 配置您的服务器向导”。
用于构建域林结构,域林 中根域之间为树根信任关 系。
3、外部、领域、林、快捷
用于建立一些有特殊要求的信任。
多域网络的构建
一、构建多个彼此独立的域
在各个域中分别安装域控制器,在安装每个域的第一台 域控制器时应选择:
域控制器类型 新域的域控制器 域类型 在新林中的域
各域的域名可以分别设置,不需要关联。
在服务器角色中选择“域控制器”,单击“下一步”,启 动 Active Directory 安装向导。
选择“域控制器类型”:若选择“新域的域控制器”则表示 创建一个新域;若选择“现有域的额外域控制器”则表示在 现有域中增加域控制器。
选择“域的类型”:若选择“在新林中的域”表示建立一个独 立的域。
删除域控制器
如果域中有多个域控制器,删除了一个域控制器,该计算 机就降格为成员计算机。 如果删除了域中所有域控制器,则该域也被删除。 删除方法:与安装方法一样。
方法一: 运行dcpromo命令。
方法二:单击“开始 | 管理工具 | 配置您的服务器向导”。 在服务器角色中选择“域控制器”,单击“下一步”,启 动 Active Directory 安装向导。 按照提示完成操作就删除了域控制器。
域树结构通过父子信任关系搭建;
域林结构通过树根信任关系搭建。
3、域账户是在哪台计算机上创建并管理的?使用的控 制台是哪个控制台?
域账户是在域控制器上创建并管理的,使用的控制台是 “Active Directory 用户和计算机”。 4、在域控制器上,Administrator账户默认隶属于哪些 组? Administrator账户默认隶属于Administrators、 Domain Admins和Enterprise Admins组。
局域网中两种常见的组织方式
一、工作组模式 在工作组模式的网络中,各计算机是独立的,各计算机中 的账户和资源也是各自进行管理的。 如果一个人想要访问不同的计算机,就需要在每台计算机 中建立账户。访问时,也需要分别登录。
A B C
A B C
A B C
二、域模式 在域模式的网络中,可以把各计算机组织起来,各计算机 中的账户和资源也可以组织起来进行集中管理。 当一个域用户要访问域中不同的计算机,他只需登录一次 就可以访问域中的各台计算机中的共享资源。
项目目标
• 掌握规划和安装局域网中的活动目录;
• 掌握在Windows 2003 Server中创建管理域用户及组;
• 掌握在Windows 2003 Server中添加和管理各种域服务器。 • 掌握将局域网中的计算机加入到在Windows 2003 Server 的域服务器中。
域网络的结构
一、域控制器
五、域的其它组成部分
DHCP服务器:用于为域中的各成员计算机分配IP地址等 配置信息。如果域中的计算机都采用手工配置IP地址,则 可以不需要DHCP服务器。 域用户帐户:用于域使用者的身份验证,只有拥有了域用 户帐户的人员才能登录到域。
域共享资源:可被域用户共享的资源。
单域网络的构建
第一步:安装域控制器 一个域可以有一个或多个域控制器,各域控制器是平等的, 管理员可以在任一台域控制器上更新域中的信息,更新的信 息会自动传递到网络中的其它域控制器中。
5、新建的域用户账户自动加入哪个组? 新建的域用户账户自动加入Domain Users组。
6、如果你拥有了一个域用户账户,你可以在哪种计算 机上登录到域? A.域控制器 B.已加入域的成员计算机 C.自己家里的 计算机 D.网络中的任一台计算机 选B。
域结构网络的创建 预习
实验内容: 1、创建完全独立的域 2、创建有多个域控制器的域 3、创建具有父子信任关系的域树 4、创建具有树根信任关系的域林 基本要求: 1、如何安装和卸载域控制器? 2、如何在域中安装额外的域控制器? 3、如何安装子域的域控制器? 4、如何在现有域林中创建新域树?
A
B
C
域控制器
项目描述
某公司组建的单位内部的办公网络,原来是基 于工作组方式的,近期由于公司业务发展,人员激 增,基于网络的安全管理需要,考虑将基于工作组 的网络升级为基于域的网络,现在需要将一台或多 台计算机升级为域控制器,并将其它所有计算机加 入到域成为成员服务器。同时对原来的本地用户账 户和组也升级为域用户和组进行管理。
设置“共享的系统卷”的位置:这个文件夹必须设置在 NTFS分区内。
选择或安装DNS服务器:可以在本机上安装DNS服务器, 也可以选择自己安装DNS服务器。
权限设置:如果网络中有旧版本的域控制器,要选择与其 对应的兼容性权限。
设置还原模式下的管理员密码:还原模式是域控制器的安 全模式,可用于修复活动目录数据库。
任务2 备份与恢复活动目录
1. 活动目录的备份
(1)Windows备份
在“开始”→“程序”→“附件”→“系统工 具”→“备份”内进行备份 。
(2)命令行备份
ntbackup backup systemstate /J “Backup Job 1” /F
“D: \backup.bkf”
备份过程与Windows状态下备份活动目录一样
任务2 备份与恢复活动目录
2. 活动目录的恢复
活动目录的恢复应用在下面的三种情况: (1)网络中只有一台域控制器,在重新安装系统后,必须 恢复活动目录。
(2)如果服务器发生故障,借助于备份文件恢复。
(3)利用备份的数据,快速安装新的额外的域外控制器。
任务3 管理活动目录
1.在活动目录中使用OU
OU是组织单元,在活动目录( Active Directo ry,AD)中扮演特殊的角色,它是一个当普通边界 不能满足要求时创建的边界。 OU 把域中的对象组 织成逻辑管理组,而不是安全组或代表地理实体的 组。OU是可以应用组策略和委派责任的最小单位。