Windows的使用活动目录讲义

活动目录
活动目录

该窗口可对计算机进行以下管理。 监视诸如登录次数和应用程序错误等系统事件。 创建和管理共享。 浏览与本地或远程计算机相连的用户列表。 启动和终止计划任务和线程。 设置存储设备的属性。 查看设备配置和添加新设备驱动器。
活动目录
⑤创建用户账户 弹出“Active Directory用户和计算机”窗 口 。 在左窗格中右击要创建计算机账户的域，快捷 菜单中选择“新建→用户”选项， “新建对象— 用户”对话框。
活动目录
目录服务把域详细分为组织单元。组织单元是 一个逻辑单位，是域中一些用户和组、文件与打印 机等资源对象的集合。组织单元还可以再划分下级 组织单元，下级组织单元能够继承父组织单元的访 问许可权。 每个组织单元可以有自己单独的管理员并指定 其管理权限，它们管理着不同的任务，从而实现对 资源和用户的分级管理。动态目录服务通过这种域 的组织单元树和域之间的可传递信任树来组织其信 任对象，实现颗粒式管理，为动态活动目录的管理 和扩展带来了极大的方便。
步骤3. 输入要加入的域名，然后单击“确定“。
步骤4.系统提示“输入有权限在域中重命名这台计算机的 帐户的名称和密码”时，输入该域中有权限的用户名和密 码，需经域控制器验证通过。 步骤5.出现“欢迎您加入xxxx.xxx域”后，表示当前计算 机已经成功地加入到指定的域中
活动目录
(2)域和信任关系管理工具 “Active Directory域和信任关系”管理工具 可以帮助系统管理员完成不同域之间信任关系的设 置。 例如，系统中安装两个域：hzjsj域与hzjw域， 两个域各有一台Active Directory的域控制器，且 两个域之间的连接正常。
活动目录
2 安装活动目录 （1）注意事项 1）在服务器上安装活动目录时，磁盘中必须有一个 格式化为NTFS的分区。 2）可以利用系统提供的活动目录安装向导配置服务 器。如果网络没有其他域控制器，可将服务器配置 为域控制器，并新建子域、域目录树或目录林。如 果网络中有其他域控制器，可将服务器设置为附加 域控制器，加入旧域、旧目录树或目录林。 3）活动目录安装后，服务器的开机和关机时间变长， 且系统的执行速度变慢。
活动目录
（4）域的信任关系 建立信任关系的两个域中，一个称为信任域， 另一个称为被信任域。信任域把自己对用户等对象 的验证委托给被信任域，被信任域的用户身份有效 性验证结果得到信任域的认可。 被信任域的用户和全局组可以获得使用属于信 任域资源的访问权限，该权限通过信任域访问被信 任域的用户账号数据库实现。通过设置信任关系， 可以不必在多个域中安装同一个用户账号，而且可 以使网络中的用户账号管理更加方便。
活动目录
域的信任关系有以下4种类型。 1）双向信任关系 在同一个域林中，默认所有域的信任关系都是 双向可传递的。 2）单向信任关系 两个域之间的信任关系是不可传递的，而且所 有不可传递信任关系都是单向的。
活动目录
3）可传递的信任关系 默认同域林中所有域的信任关系都可传递。 4）不可传递的信任关系 不可传递的信任关系受信任关系的两个域的约 束，不会牵扯到域林中的其他域。 一般来说，同一个域林中混合域之间建立的信 任关系都是不可传递的。
活动目录
（1）域（Domain） 域是Windows 2000目录服务的基本管理单位。 域在活动目录中定义安全边界，域代表一个广义的 局域网系统，可以将一个计算机组扩展到一定区域 的远方。 域是许多网络服务器与工作站连接而成的群组， 该群组内的所有成员均使用相同的软硬件系统设置、 账户系统和其他共享资源。用户只要登录一个域， 就可以共享该域的各项资源。
活动目录
活动目录
3 活动目录的管理工具 用户完成配置服务器后，可以用“管理工具” 提供的活动目录工具进行管理 。 （1）用户和计算机管理工具 用户配置活动目录并指定域后，可以用 “Active Directory用户和计算机”管理工具对网 络上的用户和计算机进行管理。
活动目录
活动目录
在域上创建用户、组、打印机、计算机、联络 人、共享文件夹时，可以选择该选项。 “Active Directory用户和计算机”窗口与 Windows应用程序窗口类似 。 一般情况下，一个域中包含Builtin、 Computers、Domain、Controllers、 ForeignSecurityPrincipals和Users等文件夹。
活动目录
一个域可以有子域，父域和子域组成了域树， 一棵或者多棵域树又可以组成域林。其中，父域和 子域之间，域树和域林之间有双向、可传递的信任 关系。目录树中的域通过双向、传递的信任关系连 接在一起。
活动目录
这些信任关系是双向和传递的，加入目录树的 域会立即与目录树中的每一个域建立信任关系。这 些信任关系允许单个用户登录，以验证用户并授权 验证用户访问整个网络。目录树所有其他域中具有 适当凭证的用户和计算机可以使用目录树中所有域 的所有对象。
② 添加计算机账号到组
用鼠标在“Active Directory用户和计算机” 窗口的右窗格中右击计算机名，在快捷菜单中选择 “属性”选项，弹出“账户—属性”对话框 。
活动目录
活动目录
活动目录
在“成员属于”选项卡中单击“添加”按钮， 双击欲在其中添加计算机的组，单击“确定”按 钮 。 ③ 管理计算机账户 通过快捷菜单的选项，可以完成计算机账户的 管理任务。 ④ 管理计算机 在快捷菜单中选择“管理”选项，打开“计算 机管理”窗口
活动目录
1）单向信任关系的建立 假设hzjsj域需要使用hzjw域中的资源，则 hzjsj域是“受信任端域”，而hzjw域是“信任端 域”。首先，应在hzjw域的域控制计算机上操作， 然后到hzjsj域的域控制器计算机上操作。操作步 骤如下。
活动目录
① hzjw域的设置 ② hzjsj域的设置 2）双向信任关系的建立 建立双向信任关系的操作与单向信任关系的操 作基本相同，只是在两个域的“信任此域的域”和 “受此域信任的域”列表框中都出现对方的域名。
活动目录
（2）域树 由多台域控制器所组成的多层次的、树状结构 的域，称为域树。第一个域称为根域，其他域称为 子域。在同一棵域树中，紧邻的上下两个域形成父 子关系，上层的域称为父域，下层的域称为子域。 在一棵域树中，域的命名符合DNS命名规则。 在同一棵域树中，域名是逐层继承、连续的。 一棵域树由许多域按层次构成，域之间是双向 的、可传递的信任关系。因此，两个同级域可以通 过各自的父域传以下好处。
1）将网络组织成域,可使帐号与资源的管理更加方便。 2）便于发布公司或单位形式的资源信息。 3）使用跨多个域的功能，可以争取更多的时间效益与 资源。 4）在域中应用“组策略”，可以合并域资源以及建立 安全性管理。 5）与现有公司或单位“充分授权，层层负责”的原则 相对应，在域里，可以分层授权给性质不同的管理 员，以避免管理员权限过大、过多。
活动目录
⑥将Windows客户端加入域 不同的客户端计算机加入到域操作略有区别。 Windows XP Professional ：右键单击“我的电脑”—“属 性”—“计算机名”—“更改”—选择隶属于“域”。 Windows 2000：右键单击“我的电脑”—“属性”—“网络 识别”—“属性”—选择隶属于“域”。
活动目录
活动目录
4）独立服务器是指在名称空间目录树中直接位于另 一个域名之下的服务器。如果要删除活动目录的服 务器不是域中惟一的域控制器，删除活动目录将使 该服务器成为成员服务器；如果删除活动目录的服 务器是域中最后一个域控制器，删除活动目录将使 该服务器成为独立服务器。
活动目录
（2）安装活动目录的方法 安装完Windows 2000 Server后，系统重新启 动时，可以在屏幕显示的“配置服务器”对话框中 配置活动目录，也可以在以后的使用中随时启动 “配置服务器工具”完成活动目录的配置工作。
活动目录
（3）域林 域林由一个或多个域树组成，这些域树没有一个 共同的根。同一域林不同域树中的域名之间没有任何 关系。域林中第一棵域树的根域仍然称为域林的林根。 在一个域林中，域树的根域之间也是可传递的双 信任关系。分属两棵域树的域可以通过其各自的根域 建立双向、可传递的信任关系。在域树、域林中，域 之间的关系仅仅是命名继承或信任关系，域作为一个 安全单位仍然是相互独立的。父域与子域之间在安全 上没有必然的联系，父域的管理员在其子域中可能没 有任何权利和权限。
Windows 2000 的使用 ——活动目录
活动目录
通过目录服务，用户可以对用户和计算 机、域和信任关系以及站点和服务进行管理。
1 活动目录简介
活动目录是Windows 2000 Server提供的一 种目录服务。通过活动目录存储有关网络对象 的信息，例如用户、组、计算机、共享资源、 打印机和联系人等，并使管理员和用户可以方 便地查找和使用网络信息。
活动目录
1）用户账户 可以使用户以经过验证和授权访问域资源的身 份登录计算机和域。 2）计算机账户 每个加入到域中的Windows 2000计算机都具 有计算机账户。计算机账户提供验证和审核计算机 登录到网络以及访问域资源过程的方式。
活动目录
① 创建计算机账户
弹出“Active Directory用户和计算机”窗 口 。 在左窗格中右击要创建计算机账户的域，快捷 菜单中选择“新建→计算机”选项， “新建对 象—计算机”对话框。 在“计算机名”文本框键入计算机名，单击 “确定”按钮 。