活动目录和用户管理

活动目录和用户管理

来源：作者：发布时间：2007-09-25

教学目标

了解Active Directory的基本概念

了解安装活动目录的基本方法

掌握用户/计算机帐户的设置和管理

掌握组帐户的设置和管理

了解组织单位的设置和管理

教学内容

Active Directory（活动目录）概述

Active Directory是用于Windows 2000 Server的目录服务，它存储有关网络对象的信息，使管理员和用户可以方便地查找和使用网络信息。

安装活动目录Active Directory

安装前必须对活动目录的结构进行规划：域命名、规划域结构、规划委派模式、规划组织单位结构等。

用户/计算机帐户的设置和管理

用户必须拥有帐户，才能登录到网络并使用网络资源。而计算机帐户是Windows 2000新增的功能，加入到域中且运行Windows 2000或Windows NT的每一台计算机都有计算

机帐户。

组帐户的设置和管理

组是Windows 2000从Windows NT系统继承下来的安全管理形式，它是同类型对象的集合，便于管理访问目的和权限相同的一系列用户和计算机帐户。

组织单位的设置和管理

组织单位（OU）表示单个域中的对象集合（可包括组对象），具有继承性，主要用于网络构建。

活动目录服务可以把域划分成组织单位，而且组织单位还可以再划分下级组织单位。可以创建组织单位、委派控制组织单元。

重点/难点

用户/计算机帐户的设置和管理

组帐户的设置和管理

Active Directory(活动目录)概述

Active Directory(简称AD)是用于Windows 2000 Server的目录服务，它存储有关网络对象的信息，例如，用户、组、计算机、共享资源、打印机和联系人等，并使管理员和用户可以方便地查找和使用网络信息。AD目录服务使用结构化的数据存储作为目录信息逻辑层次结构的基础。

Active Directory包括两个方面的内容：目录和目录服务。

目录是存储有关网络上对象信息的层次结构。

目录服务，例如，Active Directory提供了用于存储目录

数据并使该数据可由网络用户和管理员使用的方法。

Windows 2000 Server的活动目录是一个分布式的目录结构，不管用户从哪里访问分散在多台计算机中信息，对用户都提供统一的视图。

Active Directory是由组织（OU）、域（Domain）、域树（Tree）、域林(Forest)构成的层次结构。该层次结构使网络容易扩展、便于组织、管理和目录定位。

1. 域（domain ）

域是Windows 2000目录服务的基本管理单位，是Active Directory的核心单元，是帐户和网络资源的集合。域的最大好处就是它的单一网络登录能力。它把一个域作为一个完整的目录，域之间能通过一种可传递的信任关系建立起树状连接，任何用户只要在域中有一个帐户，就可以漫游整个网络。

2. 域树和域林

一个域可以是其他域的子域或父域，多个域就构成一颗树，称为域树。如果创建的新域是已存在域的子域，即多个域有连续的DNS域名。Windows 2000的活动目录与域名系统(DNS)紧密集成，

即活动目录的名称空间采用DNS的名称空间结构。在DNS名字结构中，由“.”分开DNS名字的各个部分，每个部分代表DNS层次结构树中的一个结点，也代表Windows 2000域中的一个活动目录域名。域树中的第一个域称作根域（root），如图7-2-1所示。是根域，child是的子域，grandchild是的子域。域树中的每个域共享相同的配置、对象和全局目录，具有相同的DNS域名后缀，从而实现了连续的域名空间。

多个域树就构成域林，树林中的域树不形成连续的域名空间，每棵域树可以有自己独立的DNS名称。

3. 域信任关系

域信任关系是建立在两个域之间的关系，它使一个域中的用户由另一域中的域控制器验证。所有域信任关系在关系中只能有两个域：信任域和受信任域，如图7-2-2所示。

图7-2-2 域信任关系

在Windows2000中，所有信任关系都是可传递的而且是双向的。如果A域信任B域且B域信任C域，则域中的用户（授予适当权限时）可以访问A域中的资源。

在域树中创建域时，相邻域（父域和子域）之间自动建立信任关系。域树或域林中新创建的 Windows 2000 域可以立即与域树或域林中每个其他Windows 2000 域建立信任关系。因为这些信任关系是可传递的，所以可以在域树或树林中的任何域之间进行用户和计算机的身份验证。

4. 组织单位（Organizational Unit）

域可以划分成组织单位，组织单位是一个逻辑单位，它是域中一些用户和组、文件与打印机等资源对象的集合。组织单位中还可以再划分下级组织单位，下级组织单位能够继承父单位的访问许可权，并且可以有自己单独的管理员和权限，从而可以实现对资源和用户的分级管理。

组织单位可用于组织、管理一个域内的对象，可以包含用户帐号、用户组、计算机和其他组织单位，但不能包括来自其他域的对象。组织单位是可以指派组策略或委派管理的最小作用域。

安装活动目录

安装Windows 2000 时，系统没有安装活动目录。如果用户要将自己的服务器配置成域控制器，必须先安装活动目

录。用户可根据系统提供的活动目录安装向导，来配置自己的服务器。

1. 安装规划Active Directory

安装前必须对活动目录的结构进行规划：

(1) 规划DNS

使用Active Directory需要先规划名称空间。在Windows 2000中，用DNS名称命名Active Directory域。

选择DNS名称用于Active Directory时，可以利用在Internet上注册时使用的DNS域名(如“”)结合本部门名称(如“test”)组成。这种命名方法可确保每个Active Directory域名是全球唯一的。

(2) 规划域结构

最容易管理的域结构就是单域。规划时，应从单域开始，并且只有在单域模式不能满足要求时，才增加其他的域。如果只是反映某个公司的部门组织结构，可以不创建独立的域树，而通过在一个域中，使用组织单位的方法，指定组策略设置并将用户、组和计算机放在组织单位中。

(3) 规划委派模式

可以将权利下派给单位中最底层部门，在每个域中创建组织单位树，并将部分组织单位子树的权利委派给其他用户