[管理学]第9讲基于域模式网络的组建与管理.pptVIP

9.5.3 在域控制器上为用户添加账户 因为当用户的计算机接入域进行管理时，域控制器需要对其身份进行验证。为此，在使用域控制器的网络中需要为每一个用户创建用户账户。 9.5.4 将计算机加入域中 在安装了域控制器后，就可以将计算机加入到域中来集中进行管理。 使用组的目的是对用户账户进行分类管理。具体来说，通过对组的权限设置使不同的组拥有不同的网络资源访问和管理权限，然后将用户账户分别归入不同的组，从而方便了对用户权限的管理。 例如，根据需要我们要创建“管理员组”和“普通用户组”两个组，其中属于“管理员组”中的用户具有域控制器系统管理员的权限，而属于“普通用户组”中的用户只具有访问网络资源的权限。 9.6 用组来管理用户账户 9.6.1 创建组账户 9.6.2 给组指派权限 可以将域控制器内置组的权限指派给新建的组，例如可以将“Administrators”组指派给“管理员组”，这样位于“管理员组”中的用户将具有域控制器系统管理员的权限。 使用相同的方法，为“普通用户组”指派“Users”组的权限。 9.6.3 将用户账户添加到组中 通过以上操作，在为不同的组指派了不同的权限后，就可以将用户添加到不同的组中进行管理。例如，我们可以将不同部门的管理员账户添加到“管理员组”中，这样位于该组中的所有用户就具有系统管理员的权限。而将其他用户账户添加到“普通用户组”内，使其只具有访问网络资源的权限。 9.7 添加其他的域控制器 对于使用域方式管理的网络来说，域控制器是整个网络管理的核心，域控制器的安全决定了整个网络系统的安全。很显然，一个网络中仅拥有一台域控制器是很不安全的，一般要求创建两台或两台以上的域控制器。本章“9.5.1 配置域控制器”一节介绍了第一台域控制器的安装和配置方法，下面将在第一台域控制器的基础上介绍将另一台运行Windows Server 2003的计算机升级为域控制器的方法。 9.7.1 准备工作 将运行Windows Server 2003的计算机加入到Windows Server 2003域控制器之前，必须保证要加入的计算机能够通过TCP/IP协议访问网络中要加入的域控制器（即第一台域控制器S）。另外，如果要加入的计算机已经是其他域控制器的成员，则必须脱离已有的域，否则无法加入。 9.7.2 具体操作方法 Windows Server 2003域控制器没有主域和备份域之分，凡加入同一域的计算机，不管加入顺序的先后，在身份和功能上都是平等的。不同的域控制器之间都会自动同步活动目录数据库中的数据，以确保每一台域控制器中活动目录数据库中的信息是相同的。 上面介绍了第二台域控制器的创建方法，如果用户还要创建第三台、第四台甚至更多的域控制器，其创建方法与创建第二台完全相同。 Windows服务器操作系统的成功之一是使用了活动目录（Active Directory），通过活动目录管理计算机和用户账户。活动目录是一个采用了树型结构的分布式数据库，提供了强大的对象查询和管理功能，并具有较强的安全性。目前，大量的企业网络采用基于活动目录的域来管理本地网络中的计算机和用户账户。本讲从用户的需求出发，介绍了活动目录域控制器的创建、使用和管理方法。同时，在本书第10讲中，将详细介绍域控制器环境中组策略的配置和使用方法，第10讲的内容是对本讲内容的深化和应用上的扩展。 ★ 学习目标 ★ 熟悉活动目录的概念 掌握基于Windows Server 2003活动目录域控制器的安装和配置方法 掌握将客户端计算机加入活动目录的方法 掌握利用活动目录管理客户端计算机和用户的方法 第9讲 基于域模式网络的组建与管理 重点难点 熟悉活动目录的概念 掌握基于Windows Server 2003活动目录域控制器的安装和配置方法 掌握利用活动目录管理客户端计算机和用户的方法 9.1 目录服务 在计算机网络中，用户与目录之间存在着对应关系。用户是访问网络的主体，而目录是对用户进行管理的集合 9.1.1 目录服务的概念 目录（directory）是用来存储用户账户、组、打印机、共享文件夹等对象（object）的一个集合。因此，我们可以将目录理解为一个特定的管理单元。将存储目录中相关组成元素的数据库称为目录数据库（directory database）。 目录服务（Directory Service，DS）是一个代表网络用户及资源的基于对象的数据库，主要用于存放用户的信息及网络配置数据，便于管理人员和应用程序对信息进行添加、修改和查询。 概括地讲，目录服务就是按照树状信息组织模式，实现信息管理和服务接口的一种方法。目录服务系统一般由两部分组成：第一部分是数据库，一种分布式的数据库，且拥有一个描述数据的规则；第二部分