局域网组建、管理及维护 样章 第5章 主从式网络的组建

5.2
账号和组的管理
1．账户管理 在一个网络中， 用户和计算机都是网络的主体， 两者缺一不可。 拥有计算机账号是计算机接入 Windows 2003 网络的基础，拥有用户账号是用户能够登录到网络并使用网络资源的基础，对用户账号和计算机账号的管理是 Windows 2003 网络管理最重要、最经常的工作。 1）用户账号 用户账号是用来记录用户的用户名和口令、隶属的组、可以访问的网络资源以及用户的个人文件的设置。每 个用户在域控制器中都必须有一个用户账号， 才能访问服务器， 使用网络资源。 用户账号由一个 【用户名】 和 【口 令】来标记，在用户登录时需要输入 。 2）计算机账号 每个加入域的 Windows 2003 的计算机都有计算机账号，否则无法进行域连接，实现域资源的访问。一个计 算机系统只能使用一个计算机账号。计算机账号也需要登录和验证。 3）账号管理 账号管理包括创建账号、删除或者停用账号、将账号添加进组等。 2．组管理 组与组织不同，组包括用户、计算机、本地服务器上的共享资源、单个域、域目录树或者目录林。
组管理包括新组创建、删除、委派控制、属性设置等。
5.3 本章实训
5.3.1 实训 1 Windows 2003 活动目录的安装 1．实训目的 （1）理解活动目录的概念。 （2）熟练安装 Windows 2003 Active Directory。 2．实训内容 （1）活动目录的安装。 （2）域控制器的管理。 3．实训器材 （1）安装有 Windows 2003 Server 的计算机几台。 （2）Window 2000 Server 安装光盘。 4．实训步骤 1）安装Active Directory 运行 Active Directory 安装向导将 Windows 2003 Server 计算机升级为域控制器， 创建一个新域或向现有的域 添加其他域控制器。创建域控制器可以： 创建网络中的第一个域。 在树林中创建其他的域。 提高网络可用性和可靠性。 提高站点之间的网络性能。 要创建 Windows 2003 域，必须在该域中至少创建一个域控制器。创建域控制器也将创建该域。不可能有没 有域控制器的域。如果确定用户的单位需要一个以上的域，则必须为每个附加的域至少创建一个域控制器。树林 中的附加域可以是：新的子域、新域树的根。 在安装 Active Directory 前首先确定 DNS 服务正常工作，下面将安装根域为 W2K.com 的域中的第一台域控 制器。 （1）利用配置服务器启动位于%Systemroot%\system32 中的 Active Directory 安装向导程序 DCPromo.exe。 如图 5-1 所示，单击【下一步】按钮。 （2）由于用户所建立的是域中的第一台域控制器，所以选择【新域的域控制器】 ，单击【下一步】按钮。如 图 52 所示。 （3）选择【创建一个新域的域目录树】 ，单击【下一步】按钮。 （4）选择【创建一个新域的域目录林】 ，单击【下一步】按钮。 （5）在【新域的 DNS 全名】中输入要创建的域名 Win2003.com，如图 5-3 所示，单击【下一步】按钮。
Win2003.com） 。 （1）利用配置服务器启动位于%Systemroot%\system32 中的 Active Directory 安装向导程序 DCPromo.exe， 单击【下一步】按钮。 （2）由于用户所建立的是域中的一台域控制器，所以选择【新域的域控制器】 ，单击【下一步】按钮。 （3）选择【在现有域目录树中创建一个新的子域】 ，单击【下一步】按钮。 （4）在【网络凭据】对话框中输入上一级域的域名及具有管理员权限的用户名和密码，单击【下一步】按 钮。 （5）在【子域安装】对话框中输入父域域名（Win2003.com）和子域域名（man） ，在下方的子域完整域名中 会自动显示 man. Win2003.com ，单击【下一步】按钮。 （6）安装向导自动将域控制器的 NetBIOS 名设置为【man】 ，用户也可以进行修改，单击【下一步】按钮。 （7）显示数据库、目录文件及 Sysvol 文件的保存位置，一般不必作修改。单击【下一步】按钮。 （8）为用户和组选择默认权限，由于大多数单位中仍然需要使用 Windows 2003 的旧版本，所以选择【与 Windows 2003 服务器之前版本相兼容的权限】 ，单击【下一步】按钮开始安装。 （9）在重新启动后，在 n2k_server. Win2003.com 的【Active Directory 域和信任关系】中将显示新建的子域 man. Win2003.com。 小知识：在活动目录安装后，服务器的开机和关机时间会变长，系统的执行速度也会变慢。如果用户对某个 服务器没有特别要求或者不把它升级为域控制器使用， 则可以将活动目录删除， 将其降级为成员服务器或独立服 务器。这样系统运行速度会有所加快。将活动目录降级为独立服务器可以采用以下方法： 在开始菜单中，选择【运行】菜单，打开【运行】对话框，在打开栏中输入【dcpromo】命令，按【确定】 按钮，打开【Active Directory】对话框，按照向导提示即可完成操作。 3）域控制器的管理 域控制器与活动目录的关系： 域是活动目录的分界，它定义了一个安全边界，在没有经过授权的情况下，不允许其他域中的用户访问本域 的资源，活动目录可以由多个或一个域组成。每个域可以存储上百万个对象。域之间还有层次关系，可以建立域 树和域林，进行无限的域扩展。 在活动目录中，目录存储只有一种形式，即域控制器，因此，只要有域必须有一个域控制器，否则域就不存 在了。对于管理员来说，域控制器管理是最重要的工作，因为域控制器的运行状态直接关系到网络的运行。 域控制器的管理分为以下几个方面： （1）设置域控制器。在只有一个域的网络中，域控制器是网络正常运作的中心，所起到的作用非常重要。 管理员必须根据网络运行情况设置域控制器的属性。 ① 选择 【开始】 菜单中的 【程序】 ， 再选择 【管理工具】 中 【Active Directory 用户和计算机】 菜单， 打开 【Active Directory 用户和计算机】窗口，如图 5-6 所示。
5.1 Windows பைடு நூலகம்003 活动目录
1．Active Directory的概念 Active Directory 是 Windows 2003 Server 所提供的目录服务，存储整个网络的资源，可以更容易的定位、管 理和使用这些资源。 Active Directory 允许用户、 应用程序和 Windows 2003 使用 Active Directory 中的数据库来搜索网络资源。 为 网络管理员提供了一条集中组织、管理和控制对网络资源访问的途径。Active Directory 的组件包括如下部分。 （1）对象：Active Directory 的基本单元，它代表网络资源，如用户账号、组、计算机和打印机等。 （2）组织单元（OU） ：用于组织 Active Directory 对象的一种容器对象。容器对象是专门用于存放其他对象 的一种对象。 （3）域：它是 Windows 2003 Server 中组织和安全的基本单元。所有对象都存在于域中。 2．创建Active Directory 对象 向网络添加资源时，例如，用户账号、组或打印机等，就创建了这些资源的新的 Active Directory 对象。要 想创建新对象， 必须具有所需要的权限。 如要添加一个新用户， 必须具有向组织添加新对象的权限。 默认情况下， Administrator 组的成员只有向域中任意位置添加对象的权限。当创建对象时： 你所使用的规划、向导或者插件的规则限制了创建的对象。 不是所有的属性都是可以定义的。 可以添加到 Active Directory 之中的最常用的一些对象有如下类型。 用户账号：允许用户登录到 Windows 2003 网络。 组：用户账号、组或者计算机的集合。 共享文件夹：指向某一台计算机的一个共享文件夹的指针。 打印机：指向某一台计算机的一个打印机指针。对于不在 Active Directory 中的计算机上的打印机，必 须手工发布。 计算机：属于域成员的计算机。 OU：用来组织 Active Directory 对象。
第5章
教学目标
主从式网络的组建
掌握 Windows 2003 活动目录的安装方法， 掌握 Windows 2003 账号和组的创建及管理方法， 掌握 Windows 2003 主从网络的组建，掌握磁盘配额的使用方法，掌握服务器磁盘及目录安全设置方法。
教学要求
知识要点 能力要求 Windwos 2003 活 (1) 能够安装 Windwos 2003 活动目录 动目录的安装 (1) 域控制器中域用户的创建 (2) 域用户的本地登录设置 Windows 2003 主 (3) 域用户的网络登录设置 从网络的组建 （4）客户机的登录设置并能够登录进行资源的共 享和访问 磁盘配额的使用 (1)能够设置共享文件夹的权限 及服务器安全设 (2) 能够对共享文件夹进行磁盘配额设置 置 (3) 能对共享的文件和目录进行安全设置 关联知识 将 Windows 2003 升级为域控制器 的方法。 域用户、域用户组、交互式登录、 网络登录、客户端登录、共享文件 夹的创建 共享文件夹的创建及权限设置、共 享文件夹的磁盘配额的启用和使 用
道而驰的。
既然工作组不适合大型网络的管理要求，那我们就要重新审视一下其他的管理模型了。域模型就是 针对大型网络的管理需求而设计的，域就是共享用户账号，计算机账号和安全策略的计算机集合。 从域的基本定义中我们可以看到， 域模型的设计中考虑到了用户账号等资源的共享问题， 这样域中 只要有一台计算机为公司员工创建了用户账号， 其他计算机就可以共享账号了。 这样就很好地解决 刚才我们提到的账号重复创建的问题。域中的这台集中存储用户账号的计算机就是域控制器，用户 账号，计算机账号和安全策略被存储在域控制器上一个名为 Active Directory 的数据库中。因此， 本章我们将介绍基于域控制器的活动目录的概念及主从式网络的组建。
图 5-1 Active Directory 安装向导程序
图 5-2 域控制器类型
图 5-3 新域的 DNS 全名
（6）安装向导自动将域控制器的 NetBIOS 名设置为【Win2003】 ，单击【下一步】按钮。 （7）显示数据库、目录文件及 Sysvol 文件的保存位置，一般不必作修改。单击【下一步】按钮。 （8）配置 DNS 服务，单击【下一步】按钮， （如果在安装 Active Directory 之前未配置 DNS 服务器可以在 此让安装向导配置 DNS，推荐使用这种方法） 。 （9）为用户和组选择默认权限，考虑到现在大多数单位中仍然需要使用 Windows 2003 的旧版本，所以选择 【与 Windows 2003 服务器之前版本相兼容的权限】 。如图 5-4 所示，单击【下一步】按钮。 （10）输入以目录恢复模式下的管理员密码，单击【下一步】按钮。 （11）安装向导显示摘要信息，单击【下一步】按钮开始安装，如图 5-5 所示。 （12）安装完成之后，重新启动计算机。
重点难点 主从网的组建 客户机登录到服务器 磁盘配额的使用 服务器的安全设置
在第4章我们介绍了基于工作组的对等网的组建， 我们也曾经提到工作组只能组建一个小型的局域网， 第4 章 的实训环境中，我们只有一台服务器，只需要给需要访问资源的用户创建一个用用户帐号，用户就可以进行访问 了。但是，如果我们遇到这样一个环境，现在假设公司不是一台服务器，而是 500 台服务器，这大致是
一个中型公司的规模， 那么我们的麻烦就来了。 如果这 500 台服务器上都有资源要分配给用户 “陈 学平”，那会有什么样的后果呢？由于工作组的特点是分散管理，那么意味着每台服务器都要给“陈学
平”创建一个用户账号！陈学平这个用户就必须花很多时间来记住自己在每个服务器上的用户名和密码。 而服务器管理员也好不到哪儿去，每个用户账号都重新创建 500 次！如果公司内有 1000 人呢？我 们难以想象这么管理网络资源的后果，这一切的根源都是由于工作组的分散管理！现在大家明白为什么 工作组不适合在大型的网络环境下工作了吧，工作组这种散漫的管理方式和大型网络所要求的高效率是背
图 5-4 选择默认权限
图 5-5 开始安装活动目录
2）安装第二台域控制器 在安装完第一台域控制器后其域名为 Win2003.com，该服务器用于总公司，如果作为公司扩展的需要为其 新建的子公司建立自己的域名和域控制器，则用户将子公司的域名定义为 man. Win2003.com，由于此域名与 Win2003.com 是连续的域名，所以他们组成了一个目录树，今后随着子公司的发展用户还可以在这个目录树下 继续逐级添加子域（如 jiuz.man. Win2003.com） ，如果需要添加的域名与该目录树不连续（如 W3K.com）则用户 就需要建立一个新的目录树，这样由多个目录树组成了域目录林。 在安装第二台域控制器之前，首先检验它的 IP 设置和 DNS 设置，以保证可以访问域控制器（n2k_server.