管理活动目录与用户

Windows Server活动目录企业应用项目四 使用组策略管理用户地工作环境四.一有关知识识组策略是一种能够让系统管理员充分管理与控制用户工作环境地功能通过它来确保用户拥有符合组织要求地工作环境,也通过它来限制用户,这样不但可以让用户拥有适当地环境,也可以减轻系统管理员地管理负担。

本节介绍如何使用组策略来简化在Active Directory环境管理计算机与用户。

将了解组策略对象(GPO)结构以及如何应用GPO,还有应用GPO时地某些例外情况。

本节还将讨论Windows Server 二零一二提供地组策略功能,这些功能也有助于简化计算机与用户管理。

四.一.一组策略组策略是一种技术,它支持Active Directory环境计算机与用户地一对多管理,特点如图六-一所示。

图六-一组策略通过编辑组策略设置,并针对目地用户或计算机设计组策略对象(GPO),可以集管理具体地配置参数。

这样,只更改一个GPO,就能管理成千上万地计算机或用户。

组策略对象是应用于选定用户与计算机地设置地集合。

组策略可控制目地对象地环境地很多方面,包括注册表,NTFS文件系统安全,审核与安全策略,软件安装与限制,桌面环境,登录/注销脚本等。

通过链接,一个GPO可与AD DS地多个容器关联。

反过来,多个GPO也可链接到一个容器。

一．域策略域级策略只影响属于该域地用户与计算机。

默认情况下存在两个域级策略,如表六-一所示。

表六-一默认域级策略（域策略,域控制器策略）可以创建其它域级策略,然后将其链接到AD DS地各种容器,以将具体配置应用于选定对象。

例如,提供额外安全设置地GPO可应用于包含应用程序服务器计算机账户地组织单位。

又如,GPO可限制某个组织单位用户地桌面环境。

二．本地策略运行Windows 二零零零 Server或更高版本操作系统地每台计算机都有本地组策略。

此策略影响本地计算机以及登录到该计算机地任何用户,包括从该本地计算机登录到域地域用户。

活动⽬录介绍微软在Windows NT Server 4.0中就已经贯彻了⽬录服务的思想。

NT的"域（domain）"的概念是⽬录服务的⼀个基本单元。

"⼀次登录，Single Logon"在Windows NTServer 的环境下有了具体的应⽤，⽐如Internet Information Server、Exchange Server、SQL Server等都可以与Windows NT Server的账号验证集成起来，⽤户⼀次登录就可以获得Web、Email和数据库等多种多样的⽹络服务。

Windows 2000 Server在Windows NT Server 4.0的基础上，进⼀步发展了"活动⽬录（Active Directory）"。

活动⽬录充分体现了微软产品的"ICE"，即集成性（Integration），深⼊性(Comprehensive)，和易⽤性(Ease of Use)等优点。

活动⽬录是⼀个完全可扩展，可伸缩的⽬录服务，既能满⾜商业ISP的需要，⼜能满⾜企业内部⽹和外联⽹的需要。

活动⽬录的由来 活动⽬录是从⼀个数据存储开始的。

它采⽤的是Exchange Server的数据存储，称为：Extens ible Storage Service （ESS）。

其特点是不需要事先定义数据库的参数，可以做到动态地增长，性能⾮常优良。

这个数据存储之上已建⽴索引的，可以⽅便快速地搜索和定位。

活动⽬录的分区是"域（Domain）"，⼀个域可以存储上百万的对象。

域之间还有层次关系，可以建⽴域树和域森林，⽆限地扩展。

在数据存储之上，微软建⽴了⼀个对象模型，以构成活动⽬录。

这⼀对象模型对LDAP有纯粹的⽀持，还可以管理和修改Schema。

Schema包括了在活动⽬录中的计算机、⽤户和打印机等所有对象的定义，其本⾝也是活动⽬录的内容之⼀，在整个域森林中是唯⼀的。

使用活动目录服务的好处是什么?完全集成到Windows 2000 服务器版中的活动目录为网络管理员、开发者和用户提供了访问目录服务的能力，这样可以：●简化管理任务●加强网络安全性●通过互操作使用现存网络简化管理分布式系统常常导致时间的消耗和管理的冗余。

当公司在他们的基础结构上添加应用程序并雇用新的职员时，他们需要适当地向各桌面系统分发软件并管理多个应用程序目录。

通过在单一的位置管理用户、组和网络资源以及分发软件和管理桌面系统配置，活动目录可以显著降低公司的管理费用。

例如，活动目录在同一个位置管理Windows 2000用户和Microsoft Exchange邮箱信息。

基于下列原因，活动目录可以从以下方面帮助公司简化管理：●消除冗余管理任务提供对Windows用户账号、客户、服务器和应用程序以及现存目录同步能力进行单一点管理。

●降低桌面系统的行程针对用户在公司中所担当的角色自动向其分发软件，以减少或消除系统管理员为软件安装和配置而安排的多次行程。

●更好的实现IT资源的最大化安全地将管理功能分派到组织机构的所有层次上。

●降低总体拥有成本（TCO）通过使网络资源容易被定位、配置和使用来简化对文件和打印服务的管理和使用。

活动目录如何简化管理以层次化组织用户和网络资源，活动目录使管理员拥有对用户账号、客户、服务器和应用程序进行管理的单一点。

这就减少了冗余的管理任务，同时，通过让管理员管理对象组或容器而非每个独立的对象来增加管理的准确性。

图4：活动目录简化了网络资源的管理活动目录允许管理员分派特定的管理权限和任务给单独的用户和组，以便更好地使用系统管理资源。

如上图所示，特定的管理任务，例如重新设置用户密码，可以被分派给市场机构的办公室管理员。

更多的特权功能，如"创建用户"，可以为IT管理员保留。

活动目录也允许组织机构针对用户在公司中所担当的角色自动地将软件分发给他们。

例如，一个公司可以指定职员容器中的所有用户（无论是从哪里登录到网络上的）均可使用人力资源管理应用程序。

实验五活动目录服务（AD的安装、加入和退出域、域用户的管理和配置）【实验目的】1、理解域的概念，掌握AD的安装方法。

2、掌握加入和退出域的方法。

3、掌握域用户的管理和配置，组的规划和建立。

4、了解Windows Server 2003域用户和本地用户的区别。

5、理解组的概念和作用，认识组的类型。

【实验内容】1、练习AD的安装方法，2、练习加入和退出域的方法。

3、练习域用户的管理和配置，组的规划和建立【实验步骤】一、安装活动目录1）新建DC的角色。

在开始菜单中点击“管理您的服务器”，在打开的画面中点击“添加或删除角色”。

2）在“预备步骤”对话框中，单击[下一步]按钮，出现“服务器角色”对话框后，选择“域控制器”，按[下一步]继续。

3）在“选择总结”对话框中，单击[下一步]按钮，随后会进入AD安装向导过程，（如果直接执行“dcpromo”命令也可以启动AD安装向导，则可以省略前三个步骤），单击[下一步]按钮。

4）出现“操作系统兼容性”对话框，单击[下一步]按钮，在“域控制器类型”对话框中，我们将在这个向导中建立一个新域的DC和林，所以我们选择“新域的域控制器”，按[下一步]按钮继续。

5）选择“在新林中的域”，按[下一步]按钮继续，。

6）出现如下图所示，在“新域的DNS全名”文本框中输入新建域的DNS全名，例如: 或者或者之类的DNS全名。

按[下一步]按钮继续。

7）在“NetBIOS域名”对话框中，在“域NetBIOS名”文本框中输入NetBIOS域名，或者接受显示的名称。

NetBIOS域名是供早期的Windows用户用来识别新域的, 按[下一步]按钮继续。

8）在出现“数据库和日志文件夹”的对话框中（如下图），这些文件夹必须放在NTFS分区上，注意，基于最佳性和可恢复性的考虑，最好将活动目录的数据库和日志保存在不同的硬盘上。

按[下一步]按钮继续。

9）在出现“共享的系统卷”对话框中，该文件夹必须放在NTFS分区上，在Windows Server 2003中，Sysvol文件夹存放域的公用文件的服务器副本，它的内容将被复制到域中的所有域控制器上。

网络操作系统管理课程实训报告学生姓名学号一、实训目标理解域用户帐户与组帐户的特点、用途，掌握管理域用户帐户与组帐户的方法与步骤。

二、实训环境2台Windows Server 2022服务器和1台Windows 10客户端。

三、实训内容1. 创建如下域并部署额外域控制器，如下图所示。

2. 在域test中有三个部门：销售部、培训部和技术支持部，现在需要为这三个部门分别建立组织单位，并把每个部门的计算机加入各自的组织单位中。

3. 在域test中，为公司员工创建域用户帐户，并设置域用户帐户的个人信息。

4. 对某些用户（如临时员工），设置这些域用户帐户的登录时间以及限制登录地点。

5. 如果用户alice由于生病而在一段时间内无法上班，请禁用她的域用户帐户。

6. 如果一个用户忘记了自己的帐户密码，为其重设帐户密码。

7. 一个用户辞职后离开了公司，请删除该用户的用户帐户。

8. 创建组帐户，并把一些用户帐户加入这个组帐户中。

9. 委派用户emma对销售部OU的管理权（创建、删除和管理用户帐户）。

三、实训成果在计算机server1上安装活动目录域服务，将其变为域test内的第一台控制器。

添加角色和功能安装“Active Directory域服务” 将此服务器提升为域控制器配置“新林的根域名”创建额外域控制器，配置计算机server2，同server1配置“添加到现有域”部署配置新建域用户帐户设置域用户帐户的个人信息限制域用户帐户的登录时间限制登录地点禁用账户或重置密码删除用户帐户新建本地域组把用户帐户加入组中配置委派控制添加委派用户委派常见任务四、实训体会通过本单元的学习，掌握了管理本地用户与组帐户、域活动目录域服务的方法，主要包括：本地帐户概述、管理本地用户帐户和组帐户、安装活动目录域服务、管理域用户帐户、组帐户和组织单位和组策略概述。

通过本次实训，了解了常用的系统内置帐户、组策略概念，理解本地帐户的概念和用途，域及其相关组件的概念、域内常用帐户的概念。

使用活动目录的意义1、信息的安全性大大增强安装活动目录后信息的安全性完全与活动目录集成，用户授权管理和目录进入控制已经整合在活动目录当中了（包括用户的访问和登录权限等），而它们都是WIN2K操作系统的关键安全措施。

活动目录集中控制用户授权，目录进入控制不只能在每一个目录中的对象上定义，而且还能在每一个对象的每个属性上定义，这一点是以前任何系统所不能达到的，包括WINNT 4.0。

除此之外，活动目录还可以提供存储和应用程序作用域的安全策略，提供安全策略的存储和应用范围。

安全策略可包含帐户信息，如域范围内的密码限制或对特定域资源的访问权等。

所以从一定程序上可以这么说WIN2K的安全性就是活动目录所体现的安全性，由此可见对于网管来说如何配置好活动目录中对象及属性的安全性是一个网管配置好WIN2K系统的关键。

2、引入基于策略的管理，使系统的管理更加明朗活动目录服务包括目录对象数据存储和逻辑分层结构（指上面所讲的目录、目录树、域、域树、域林等所组成的层次结构），作为目录，它存储着分配给特定环境的策略，称为组策略对象。

作为逻辑结构，它为策略应用程序提供分层的环境。

组策略对象表示了一套商务规则，它包括与要应用的环境有关的设置，组策略是用户或计算机初始化时用到的配置设置。

所有的组策略设置都包含在应用到活动目录，域，或组织单元的组策略对象（GPOs）中。

GPOs设置决定目录对象和域资源的进入权限，什么样的域资源可以被用户使用，以及这些域资源怎样使用等。

例如，组策略对象可以决定当用户登录时用户在他们的计算机上看到什么应用程序，当它在服务器上启动时有多少用户可连接至Server，以及当用户转移到不同的部门或组时他们可访问什么文件或服务。

组策略对象使您可以管理少量的策略而不是大量的用户和计算机。

通过活动目录，您可将组策略设置应用于适当的环境中，不管它是您的整个单位还是您单位中的特定部门。

3、具有很强的可扩展性WIN2K的活动目录具有很强的可扩展性，管理员可以在计划中增加新的对象类，或者给现有的对象类增加新的属性。

活动目录命令整理一、活动目录修改及查询命令dsadd命令（创建活动目录对象）使用dsadd命令可以在活动目录中创建OU、用户、组、联系人等对象，下面逐一进行介绍。

1、创建组织单位：命令格式：dsadd ou <OUDN> [-desc 描述] [{-s 服务器|-d 域}] [-u 用户名] [-p {密码|*}] [-q] [{-uc|-uoc|-uci}]注意：OU名称应为要创建的OU的LDAP绝对路径（DN，Distinguished Name），如果DN中包含空格，应该在路径两端使用双引号。

例如要在域中建立一个名为finance的OU，可以执行以下命令：C:\>dsadd ou ou=finance,dc=yjx,dc=com -desc "财务部"dsadd 成功:ou=finance,dc=yjx,dc=com2、创建域用户帐户命令格式：dsadd user <UserDN> [-samid <SAMName>] -pwd {<Password>|*} –upn UPN例如要在域中建立一个名为mike的用户帐户，该用户将位于sales OU中，其显示名称为“mike yang”，则可以执行以下命令：C:\>dsadd user cn=mike,ou=sales,dc=yjx,dc=com -samid mike -pwd benet3.0 -display “mike yang”dsadd 成功:cn=mike,ou=sales,dc=yjx,dc=com3、创建计算机帐户命令格式：dsadd computer <ComputerDN>要在域中的sales OU中建立一个名为client-2的计算机帐户，可以执行以下命令：C:\>dsadd computer cn=client-2,ou=sales,dc=yjx,dc=comdsadd 成功:cn=client-2,ou=sales,dc=yjx,dc=com要在域中的sales OU中建立一个名为client-3的计算机帐户，并设置计算机账户的描述信息为“测试工作站”，可以执行以下命令：C:\>dsadd computer cn=client-3,ou=sales,dc=yjx,dc=com -desc 测试工作站dsadd 成功:cn=client-3,ou=sales,dc=yjx,dc=com4、创建联系人命令格式：dsadd contact <ContactDN> [-fn <FirstName>] [-mi <Initial>] [-ln <LastName>] [-display<DisplayName>] [-desc <Description>]要在域中的sales OU中建立一个名为杨建新的联系人，执行以下命令：C:\>dsadd contact cn=杨建新,ou=sales,dc=yjx,dc=com -fn jianxin -ln yang -display 杨建新dsadd 成功:cn=杨建新,ou=sales,dc=yjx,dc=com以上创建操作完成后，sales OU的基本情况如下图所示：dsmod命令（修改活动目录对象）dsmod命令用来修改活动目录对象的属性，可以对OU、用户、组、联系人等对象进行修改。

《Windows活动目录管理》课程标准适用专业：计算机网络专业课程编码：C3-1-3开设时间：第6阶段课时数：36一、课程概述《Windows活动目录》是湖南铁道职业技术学院计算机网络专业的一门专业拓展课程。

课程的主要内容包括：活动目录的基本概念、活动目录基本管理任务、组策略的管理与应用、管理活动目录的信任关系、对活动目录数据库的管理及对活动目录进行恢复等。

本课程学分为1.5学时，总教学时数为36学时，其中理论课时与实践课时各占一半。

通过本课程的学习使学生掌握活动目录的逻辑结构组成，掌握活动目录的基本管理任务，掌握组策略的应用，了解活动目录数据库的管理与维护，初步具备Windows 活动目录的管理的能力。

二、培养目标1．方法能力目标：（1）独立学习能力；（2）职业生涯规划能力；（3）获取新知识能力、信息搜索能力；（4）决策能力；（5）理论联系实际的能力和严谨的工作作风；2．社会能力目标：（1）培养学生的沟通能力及团队协作精神；（2）培养学生分析问题、解决问题的能力；（3）培养学生敬业乐业的工作作风；（4）培养学生的表达能力；3．专业能力目标：（1）掌握Windows活动目录的基本管理任务；（2）掌握组策略的创建、继承、解决组重策略冲突、组策略部署、GPMC工具的使用；（3）学生通过学习能解决在企业中如何利用组策略来管理用户的工作环境和实现软件部署；（4）培养应用Windows活动目录对网络资源进行管理的技能；三、与前后课程的联系1．与前续课程的联系《Windows网络操作系统》课程让学生了解网络操作系统域管理与使用、掌握建立域的方法、掌握域用户与组账户的管理等操作与技能。

2．与后继课程的关系该课程为学生后续课程《网络组建与维护》、毕业设计等课程提供操作保障。

四、教学内容与学时分配根据职业岗位网络管理工程师的要求，将本课程的教学内容分解为14个项目。

五、教材的选用1．教材选取的原则教材选用时遵循“够用、实用”的原则，以真实任务为驱动，在真实环境和任务中介绍Windows活动目录的相关知识，采用“理论实践一体化”的教学思想，符合“做中学，学中做”的教学理念。