使用和管理WINDOWS.ppt

第7章 使用和管理WINDOWS 2000活动目录 本章学习目标 7.1 活动目录 7.2 组织单位的管理 7.3 用户账户的管理 7.4 组的建立 7.5 思考题 本章学习目标 本章主要介绍活动目录（Active Directory）以及各种对象的创建和管理。通过本章的学习，读者应掌握以下内容： l Active Directory的概念与特点 l Active Directory的创建 l Active Directory用户和计算机控制台的使用 组织单位、用户账户和组的创建与管理 7.1 活动目录 7.1.1 活动目录简介 7.1.2 活动目录的优点 7.1.3 安装Active Directory 7.1.4 Active Directory用户和计算机控制台的使用 7.1.1 活动目录简介 活动目录是一种目录服务，它存储有关网络对象的信息（例如，用户、组和计算机账户、打印机等共享资源），使管理员与用户可以方便地查找和使用网络信息。活动目录的应用起源于Windows NT 4.0 Server，在Windows 2000 Server中得到进一步的应用和发展，具有可扩展性和可调整性，并将结构化数据存储作为目录信息逻辑和分层组织的基础。 7.1.1 活动目录简介 域是Windows 2000目录服务的基本管理单位，但增加了许多新的功能。域模式的最大优点是它的单一网络登录功能，任何用户只要在域内有一个账户，就可以漫游网络。域目录树中的每一个节点都有自己的安全边界，这种层次结构既保证了安全性，又可精确设置。 7.1.1 活动目录简介 同时活动目录服务将域又细分成组织单位，组织单位是一个逻辑单位，它是域中一些用户和组账户、文件与打印机等资源对象的集合。组织单位中还可以再划分下级组织单位，并且下级组织单位能够继承父单元的访问许可权。每一个组织单位可以有自己的管理员并指定其管理权限，从而实现了对资源和用户的分级管理。 7.1.1 活动目录简介 域中的所有域控制器之间都是平等关系，不再区分主域控制器和备份域控制器，这是因为Win2000采用了动态活动目录服务，在进行目录复制时不是沿用一般目录服务的主从方式，而是采用多主复制方式。通过这种方式，任何一个域控制器上的活动目录库的变更都会被自动复制到其他域控制器上。 7.1.1 活动目录简介 Windows 2000活动目录服务的另一大特点是与Internet融合，它把DNS作为其定位服务。为了克服DNS管理困难的缺点，Windows 2000将DNS与其特有的DHCP和WINS紧密配合起来，从而使DNS更加易于管理。另外，Windows 2000广泛地支持标准的命名规则，例如，WWW使用的HTTP和URL命名规则、Internet电子邮件使用的RFC822命名规则等。 7.1.2 活动目录的优点 1．基于策略的管理 2．扩展性 3．可调整性 4．信息复制 5．与DNS的集成 6．灵活的查询 7．信息安全性 1．基于策略的管理 活动目录服务包括数据存储和逻辑分层结构。作为逻辑结构，它为策略应用程序提供分层的环境。作为目录，它存储着分配给特定环境的策略（称为组策略对象）。组策略对象表示一套规则，包括应用环境的有关设置，目录对象和域资源的访问确定，用户可使用什么域资源以及这些域资源的配置使用等。 2．扩展性 活动目录可进行扩展，即管理员可将新的对象类添加到规划中，而且可将新的属性添加到已有的对象类中。 可以通过以下两种方法将对象和属性添加至活动目录中：使用活动目录架构、通过活动目录服务接口（ADSI）或者LDIFDE、CSVDE 命令行应用程序创建脚本。 3．可调整性 活动目录可包括一个或多个域，每个域都有一个或多个域控制器，这使管理员可调整目录以满足任何网络的要求。多个域可组合成域目录树或目录森林。 将目录配置成域目录树或森林，使得管理员可以针对不同上下文策略对目录的名称空间进行分区，并调整目录使其能容纳大量的资源和对象。 4．信息复制 活动目录使用多主复制。对目录数据所做的更改将复制到所有的域控制器中，每个域控制器的目录数据都保持同步。 信息复制提供了有效性、容错和加载平衡等优点。在一个域中使用多个域控制器可提供容错和加载平衡。如果域中的某个域控制器减慢、停止或失败，同一域中的其他域控制器可提供必要的目录访问，因为它们包含着相同的目录数据。在广域网中，目录访问可由与每个网络客户机最近的域控制器执行。 5．与DNS的集成 活动目录使用DNS很容易将主机名称（如）转换为IP地址。这样就可以在TCP/IP网络上直接使用计算机主