活动目录和用户管理.doc

活动目录和用户管理 来源： 作者： 发布时间：2007-09-25 - 了解Active Directory的基本概念 了解安装活动目录的基本方法 掌握用户/计算机帐户的设置和管理 掌握组帐户的设置和管理 了解组织单位的设置和管理 Active Directory（活动目录）概述 Active Directory是用于Windows 2000 Server的目录服务，它存储有关网络对象的信息，使管理员和用户可以方便地查找和使用网络信息。 安装活动目录Active Directory 安装前必须对活动目录的结构进行规划：域命名、规划域结构、规划委派模式、规划组织单位结构等。 用户/计算机帐户的设置和管理 用户必须拥有帐户，才能登录到网络并使用网络资源。而计算机帐户是Windows 2000新增的功能，加入到域中且运行Windows 2000或Windows NT的每一台计算机都有计算机帐户。 组帐户的设置和管理 组是Windows 2000从Windows NT系统继承下来的安全管理形式，它是同类型对象的集合，便于管理访问目的和权限相同的一系列用户和计算机帐户。 组织单位的设置和管理 组织单位（OU）表示单个域中的对象集合（可包括组对象），具有继承性，主要用于网络构建。 活动目录服务可以把域划分成组织单位，而且组织单位还可以再划分下级组织单位。可以创建组织单位、委派控制组织单元。 用户/计算机帐户的设置和管理 组帐户的设置和管理 Active Directory 活动目录 概述 Active Directory AD 是用于Windows 2000 Server的目录服务，它存储有关网络对象的信息，例如，用户、组、计算机、共享资源、打印机和联系人等，并使管理员和用户可以方便地查找和使用网络信息。AD目录服务使用结构化的数据存储作为目录信息逻辑层次结构的基础。 Active Directory包括两个方面的内容：目录和目录服务。 目录是存储有关网络上对象信息的层次结构。 目录服务，例如，Active Directory提供了用于存储目录数据并使该数据可由网络用户和管理员使用的方法。 Windows 2000 Server的活动目录是一个分布式的目录结构，不管用户从哪里访问分散在多台计算机中信息，对用户都提供统一的视图。 Active Directory是由组织（OU）、域（Domain）、域树（Tree）、域林 Forest 构成的层次结构。该层次结构使网络容易扩展、便于组织、管理和目录定位。 1. 域（domain ） 域是Windows 2000目录服务的基本管理单位，是Active Directory的核心单元，是帐户和网络资源的集合。域的最大好处就是它的单一网络登录能力。它把一个域作为一个完整的目录，域之间能通过一种可传递的信任关系建立起树状连接，任何用户只要在域中有一个帐户，就可以漫游整个网络。 2. 域树和域林 DNS域名。Windows 2000的活动目录与域名系统 DNS 紧密集成，即活动目录的名称空间采用DNS的名称空间结构。在DNS名字结构中，由“.”分开DNS名字的各个部分，每个部分代表DNS层次结构树中的一个结点，也代表Windows 2000域中的一个活动目录域名。域树中的第一个域称作根域（root），如图7-2-1所示。是根域，child是的子域，grandchild是的子域。域树中的每个域共享相同的配置、对象和全局目录，具有相同的DNS域名后缀，从而实现了连续的域名空间。 多个域树就构成域林，树林中的域树不形成连续的域名空间，每棵域树可以有自己独立的DNS名称。 3. 域信任关系 7-2-2所示。 ?图7-2-2? 域信任关系 在Windows2000中，所有信任关系都是可传递的而且是双向的。如果A域信任B域且B域信任C域，则域中的用户（授予适当权限时）可以访问A域中的资源。 在域树中创建域时，相邻域（父域和子域）之间自动建立信任关系。域树或域林中新创建的 Windows 2000 域可以立即与域树或域林中每个其他Windows 2000 域建立信任关系。因为这些信任关系是可传递的，所以可以在域树或树林中的任何域之间进行用户和计算机的身份验证。　 4. 组织单位（Organizational Unit） 权限，从而可以实现对资源和用户的分级管理。 组织单位可用于组织、管理一个域内的对象，可以包含用户帐号、用户组、计算机和其他组织单位，但不能包括来自其他域的对象。组织单位是可以指派组策略或委派管理的最小作用域。 安装活动目录 安装Windows 2000 时，系统没有安装活动目录。如果用户要将自己的服务器配置成域控制器，必须先安装活动目录。用户可根据系统提供的活动目录安装向导，来配置自己的服务