实验六 Windows Server 2003域的安装与管理.doc

实验六 Windows Server 2003域的管理 一、实验目的 1．掌握创建和管理域用户账户。 2．掌握漫游用户配置文件的设置方法。 3．掌握创建和管理域中的组。 二、实验要求 1．创建和管理域用户账户。 2．设置漫游用户配置文件。 3．创建和管理域中的组。 三、实验原理 （一）域用户账户概述 用户登录到网络并使用网络资源的基础必须有用户帐户，在域控中网络上用户和计算机帐户的管理是通过“Active Directory用户和计算机”工具来实现的。 1. Active Directory 用户帐户 用户帐户为用户或计算机提供安全保障。在域控制器中，只有具有用户帐户的用户才能访问服务器，使用网络上的资源。帐户主要用于：验证用户或计算机的身份；授权对域资源的访问；审核使用用户或计算机帐户所执行的操作等。 Active Directory用户帐户允许用户登录到具有可验证，并授权访问域资源的计算机和域中。登录到网络的每个用户应有自己唯一的帐户和密码，用户帐号可以用“用户名@域名”来表示，二者都需要用户在登录时键入。 Windows 2003提供了可用于登录到Windows 2003计算机的预定义帐户。每个预定义帐户都有不同的权利和权限组合。这些预定义帐户包括： Administrator：称为管理员帐户，具有最广泛的权利和权限。 Guest：称为客户帐户，只有有限的权利和权限，缺省时该帐户被禁用。 2. 计算机帐户 计算机帐户是Windows 2003新增的功能，加入到域中且运行Windows 2003的每一台计算机都有计算机帐户。 与用户帐户类似，计算机帐户提供了一种验证和审核计算机访问网络以及域资源的方法。注意，一个计算机系统要加入到域中，只能使用一个计算机帐户，而一个用户可拥有多个用户帐户，并且可在不同的计算机（指已经连接到域中的计算机）上使用各自的用户帐户进行网络登录。 （二）组账户的概述 组是Windows 2003 从Windows NT 系统继承下来的安全管理形式，它是指活动目录或本地计算机对象，包含用户、联系人、计算机和其他组等，是同类型对象的集合。在Windows 2003中，组可以用来管理用户和计算机对网络资源的访问，方便管理访问目的和权限相同的一系列用户和计算机帐户。 1. 组的两种类型 (1) 安全组（安全式） 安全组位于定义资源和对象权限的选择性访问控制表(DACL)中。安全组也可用作电子邮件实体。向组发送电子邮件的同时会将邮件发给组的所有成员。 (2) 通讯组（分布式） 通讯组不采用安全机制。只有在电子邮件应用程序中，才能使用通讯组将电子邮件发送给一组用户。 在本机模式下，上述两种组类型可以进行互换。 2. 组作用域 每个安全组和通讯组均具有作用域，该作用域标识组在域树或域林中所应用的范围。根据作用域的范围可分为通用、全局和本地域。在默认情况下，创建的新组配置为具有全局作用域的安全组。 通用：有通用作用域的组可将其成员作为来自域树或树林中任何Windows 2003 域的组和帐户，并且在域树或树林的任何域中都可获得权限。 全局：有全局作用域的组可将其成员作为仅来自组所定义的域的组和帐户，并且在树林的任何域中都可获得权限。 本地域：具有本地作用域的组可将其成员作为来自Windows 2000或Windows NT域的组和帐户，并且可用于仅在域中授予权限。 3. 内置和预定义组 安装域控制器时，系统自动生成的内置组安装在“Active Directory 用户和计算机”控制台的“Builtin”（内置的域本地组）和“Users”（预定义的全局组）文件夹中。可将内置和预定义组移动到域中的其他组或组织单位文件夹，但不能将它们移动至其他域。 （三）漫游用户配置文件概述 用户登录时下载到本地计算机，而用户注销时本地和服务器都进行更新的基于服务器的用户配置文件。用户登录到工作站或服务器，服务器的漫游用户配置文件是可用的。登录时，如果本地用户配置文件比服务器上的要新，则用户可以使用该本地文件。 四、实验设备 1．局域网。 2．三台虚拟机，一台安装Windows XP系统，两台安装Windows Sever 2003系统。 3．Windows XP和Windows Sever 2003系统盘。 五、实验步骤 （一）创建和管理域用户账户 在域控制器上通过“Active Directory?用户和计算机”管理控制台创建和管理域用户账户。 域控制器“serverj”上打开Active Directory 用户和计算机管理控制台，并在左侧的“树”窗口内单击“Users”，右侧的窗口内会显示当前域中现有的用户账户和组，如图1所示。 图1 域中现有