第4章活动目录和用户的管理-公开课件（讲义）.pptVIP

（３）管理不同的域 1）打开“Active Directory用户和计算机” 窗口。 2）在控制台目录树中，选择Active Directory用户和计算机节点，右击选择“连接到域”选项，如图4.28所示。 3）键入域名或者单击“浏览”按钮，然后在列表中选定域。 （４）使用不同的域控制器管理域 1）打开“Active Directory用户和计算机”窗口。 2）在控制台目录树中，选择Active Directory用户和计算机节点，右击选择“连接到域控制器”选项，如图4.29所示。 3）单击列表中的域控制器，或者在“输入另一个域控制器的名称”文本框中键入域控制器的名称。 （５）修改域控制器属性 1）打开“Active Directory用户和计算机”窗口。 2）在控制台目录树中，选中域节点上包含域控制器的文件夹。 3）在右侧详细信息窗格中，右键单击要修改的域控制器，然后选择“属性命令”。 4）出现的对话框中将显示常规、操作系统、隶属于、位置、管理者、拨入等属性选项卡，如图4.30所示。 5）单击包含待修改属性选项卡可以进行修改。 （６）建立信任关系 1）打开“Active Directory域和信任关系” 窗口。 2）选择窗口中的一个域名，右击选择“属性”选项，出现属性对话框，选择“信任”选项卡，如图4.31所示。 3）在选项卡上可以通过“新建信任”来添加“受此域信任的域”和“信任此域的域”。 用户是域管理的最小单元，因此，创建不同的用户并赋予其相应的权限就成为网络管理的重要内容。为了减小用户管理的工作量，可以把拥有相同权限的用户组织到一个组，这样，设置组的权限可以对组中所有的用户成员有效。一个用户可以被添加到多个组，此时用户的权限是各个组权限的累加。另外，组还可以加入到其它组中，作为其它组的成员。 4.2.1 基本概念 （1）用户帐户 用户帐户是指定义Windows Server 2003用户的所有信息组成的记录，包括用户登录所需要的用户名、密码、用户帐户所属的组，以及用户使用计算机和网络资源的权限等。登录到Windows Server 2003网络所需要的用户帐户由管理员统一分配。 （2）计算机账户 加入到域中的每一台计算机均具有计算机账户，与用户帐户类似，计算机账户提供一种审核计算机访问网络和域资源权限的方法。不同的是，一台计算机要加入到域中，只能使用一个计算机账户，而一个计算机用户可以拥有多个用户帐户，而且可以在不同的已经联网的计算机上使用自己的用户帐户进行网络登录。 （3）组 组是用户帐户的一个集合，使用组可以一次性地给处于同一组的所有用户指定相同的权限，而不必单独给每一个用户重复指定，从而可以简化管理工作。 按照组的类型可以分为安全组和通迅组。使用安全组可以指定资源的访问权限，安全组具有通迅组的所有功能；通讯组是只能用作电子邮件的组，不具有安全功能。 按照组的作用域有全局组、本地域组和通用组三种。 全局组常用于组织那些对网络的访问要求很近似的用户，它具有以下特征： 1）只能从创建全局组的域来添加组成员。 2）用于访问任意域的资源。用户可以创建一个全局组，然后给它授权，让它的所有成员具有访问任意域的资源的权力。 本地域组常用于授予本地资源的访问权限。例如，用户可以授权一个本地域组具有使用本域中某一台打印机或者扫描仪的权力。它具有以下特征： 1）可以从任意域为本地域添加组成员。 2）用于访问一个域中的资源。 通用组常用于指定对多个域的相关资源的访问，它具有以下特征： 1）可以从任意域为通用组添加组成员。 2）用于访问任意域中的资源。 （4）活动目录对象 活动目录对象表示网络中的某种物理对象。常见的活动目录对象如用户、组、打印机、计算机、联系人、共享文件夹等，每种对象都表示网络中的某个具体实体。 （5）组织单位 组织单位是可以将用户、组、计算机和其它单位放入其中的容器，组织单位不能包括来自其它域的对象。组织单位还可以包含其它的组织单位，即组织单位可以嵌套使用。 4.2.2 用户帐户的管理 （1）新建用户帐户 1）打开“Active Directory用户和计算机”窗口。 2）在控制台树中，双击域节点，展开活动目录，可以看到有五项活动目录对象，再单击控制台中的“查看”菜单，选择“高级功能”菜单项，可以看到活动目录全部的默认结构，共7项，如图4.32所示。 3）用右键单击“users”或其它组织单位，选择“新建/用户”命令，打开“新建对象—用户”窗口。 4）在“姓”和“名”中键入用户的姓和名，在“英文缩写”中，键入用户的英文名字的缩写。 5）在“用户名登录”中键入需要设置的账户名称，从拉下列表中选择登录名称的后缀（登录到哪一个域）。如果用户使用不同的名称从运行