活动目录ppt

组织单位（OU，Organizational Unit）:是域中包含的一类目录对
象，它包括域中一些用户、计算机和组、文件与打印机等资源。 注意：组织单位不能包含其他域中的对象。
18
组和组织单位的区别：组主要用于权限设置，而组织单位则主要用于网 络构建；组织单位只表示单个域中的对象集合（可包括组对象），而组可以 包含用户、计算机、本地服务器上的共享资源、单个域、域目录树或目录林。
在多域的网络中，经常需要将当前域连接到其他域，这样做可使当前 域中的用户和计算机能访问其他域中的资源，也可将当前域控制器的部分操 作主机功能传送给其他域控制器，甚至可将当前域控制器更改为其他域中的 域控制器。单击该超链接观看演示(3.3.3)
◆3.3.4 更改域控制器
域控制器是域网络的中心，若出现故障会导致域网络无法正常运行。 此时管理员必须更改域控制器，以确保网络正常运作。 由于Windows 2000中不再区分主域控制器和辅助域控制器，因此， 域控制器的更改变得更加简单，用户只须建立当前域与其它任何可写的 域控制器的连接即可。单击该超链接观看演示(3.3.4)
19
⑴ 在”Active Directory用户和计算机“窗口的控制台目录树中展 开域节点。右击要进行组创建的组织单位或容器，从弹出的快捷菜单中 选择“新建”/“组”命令，打开如图3-30所示的“新建对象-组”对话 框。 ⑵ 在“组名”文本框中输入要创建的组名；在“组作用域”选项区 域中，通过单选按钮来选择组的应用领域；在“组类型”选项区域中， 通过单选按钮来选择新组的类型。 ⑶ 单击“确定”按钮即完成组的创建。
活动目录：可由一个或多个域组成，每一个域可以存储上百万个对 活动目录：
象，域之间还有层次关系，可以建立域树和树林，进行无限的域扩展。 活动目录中，目录存储只有一种形式。而域控制器包括了完整的域 目录的信息。每一个域中必须有一个域控制器，否则域也就不存在了。 Windows 2000的活动目录中没有主域控制器和备份域控制器的区别， 所有的域控制器在用户访问和提供服务方面都是相同的。 域控制器的管理是管理员最重要的工作。域控制器的运行状态直接 关系到网络的正常运行。
单击该超链接观看演示3.3.6(1)
15
二、验证信任关系
⒈ 打开 “Active Directory域和信任关系”。 ⒉ 在控制台树中，用鼠标右击要验证的信任关系所涉及的一个域，然后 单击 “属性”。 ⒊ 单击 “信任” 选项卡。 ⒋ 在 “受此域信任的域”或“信任此域的域” 中，单击要验证的信任 关系，然后单击“编辑”按钮。 ⒌ 单击 “验证” 按钮。
检查的方法为: ⒈ 检查DNS文件的SRV记录（ DNS数据库中服务记录） ⒉ 验证SRV记录在NSLOOKUP命令工具中运行是否正常：
单击该超链接观看演示3.2.3
9
3.3 域与域控制器管理
几个需要了解的概念：
域：是活动目录的分区，定义了安全边界，在没经过授权的情况下，
不允许其他域中的用户访问本域中的资源。
第3章 Windows 2000 Server概述 Server概述
3.1 活动目录服务 3.2 活动目录的安装 3.3 域与域控制器管理 3.4 组和组织单位管理
1
第3章 活动目录服务
本章学习内容要求： 本章学习内容要求： 了解活动目录的新特性 熟悉Windows 2000中活动目录的基本知识及使用方法 熟悉Windows 2000中活动目录的基本知识及使用方法 掌握活动目录的规划、 掌握活动目录的规划、安装及检测 了解域控制器管理的概念及功能 掌握域控制器管理的基本方法 掌握组和组织单位的管理
10
◆3.3.1 设置域控制器属性
域控制器是网络正常运作的中心，起到的网络控制作用是非常重要的。 因此，用户必须根据网络运行情况合理地设置域控制器的属性。用户通过设 置域控制器属性，可以确定域控制器的位置、操作系统和常规属性，还可设 置域控制器的组和管理员。 域控制器属性的设置过程：单击该超链接观看演示(3.3.1)
17
3.4 组和组织单位管理
在Windows 2000网络较为高级的管理中，会使用组单位，它试图正在取 代WORKGROUP的概念。本节主要介绍组和组单位的创建与管理。
◆3.4.1 组和组织单位概述
了解几个概念：
组:是Windows 2000从Windows NT系统继承下来的安全管理形式，
是指活动目录或本地计算机对象，包含用户、联系人、计算机和其他组 等。使用组，主要是为了方便管理访问目的和权限相同的一系列用户和 计算机账户。
◆3.3.2 查找域控制器目录内容
在Windows 2000中，活动目录是一个网络清单，包括网络中的域、域 控制器、用户、计算机、联系人、组、组织单位及网络资源等各个方面的 信息，使管理员对这些内容的查找更加方便。要查找目录内容，可参照下 面的演示实例：单击该超链接观看演示 (3.3.2)
11
◆3.3.3 连接到其他域
14
一、创建明确的域信任
⒈ 打开“Active Directory域和信任关系”窗口。 ⒉ 在控制台树中，鼠标右击要管理的域的域节点，然后单击“属性”。 ⒊ 单击“信任”选项卡。 ⒋ 根据需要，单击“受此域信任的域”或“信任此域的域”，再单击 “添加”按钮。 ⒌ 如果要添加的域是Windows2000域，则键入域的DNS全名。 提醒读者注意，密码必须是信任域和被信任域双方都接受的。
单击该超链接观看演示(3.3.6(2))
16
三、撤消信任关系
⒈ 打开“Active Directory域和信任关系”。 ⒉ 在控制台树中，鼠标右击要撤销的信任关系所涉及的一个域节点，然后单击 “属性”。 ⒊ 单击“信任”选项卡。 ⒋ 在“受此域信任的域”或“信任此域的域”中，单击要撤销的信任关系，然 后单击“删除”按钮。 ⒌ 对于此信任关系中涉及的其他域，重复该过程。 注意：不能撤销树林中不同域之间默认的双向可传递信任关系。但可删除明确创 建的快捷信任关系。
对象是活动目录中的信息实体，是一组属性的集合，往往代表了有 形实体。
二、容器、域、组织单位 容器、
容器与对象相似，也是一些属性的集合，与目录对象不同的是，容 器不代表有形的实体，而是代表存放对象的空间，且仅代表存放一 个对象的空间。 域(Domain)是一组有逻辑关系（工作关系）的计算机集合。 组织单位是一个逻辑单位，它是域中一些用户和组、文件与打印机 等资源对象的集合。
◆3.4.2
组和组织单位的创建
Windows 2000系统提供了许多内置组用于权限和安全设置，但它们不能 满足特殊安全和灵活性的需要。用户要想很好地管理用户和计算机账户，必 须根据网络情况创建一些新组。新组创建后，就可以像使用内置组一样使用 它们，赋予权限和进行组成员的添加。
一、创建组： 创建组
能创建组的用户必须是Administrators组、Account Operators组的成员 。要创建新组可按下面操作进行:
单击该超链接观看演示3.4.2(1)
20
二、创建新组织单位： 创建新组织单位：
⑴ 在“Active Directory用户和计算机”窗口的控制台目录树中，展 开域节点。右击域节点或者可添加组织单位的文件夹节点，选择“新建 ”/“组织单位”命令，打开 “新建对象-组织单位”对话框。 ⑵ 在“名称”文本框中输入新创建组织单位的名称。 ⑶ 单击“确定”按钮即完成组织单位的创建。
⒉ 深入性
主要体现在活动目录企业级的可伸缩性、安全性、互操作性、编程能 力和升级能力上。
⒊ 易用性
主要体现在活动目录简易的安装和管理上。
6
活动目录安装之后，主要有三个活动目录的管理界面: ⑴活动目录用户和计算机管理，主要用于实施对域的用户和计算机进 行管理； ⑵活动目录的域和域信任关系的管理，主要用于管理多域的委托和信 任关系； ⑶活动目录的站点管理，可以把域控制器置于不同的站点进行管理。 一般情况下，一个站点内的域控制器之间的复制是自动进行的，站点间 的域控制器之间的复制需要管理员设定，以优化复制流量，提高可伸缩 性。
12
◆3.3.5 更改域模式
要想更改域模式，可按下面步骤进行： ⒈ 打开“Active Directory域和信任关系”窗口。 ⒉ 右键盘单击用户想要管理的域的域节点，然后单击“属性”按钮， 打开 “常规”选项卡对话框。 ⒊ 单击“更改模式”按钮， 然后单击“确定”。
“常规”选项卡对话框
13
提醒读者注意：域模式的更改是不可逆的，只能将模式从混 合模式更改为本机模式，一旦域以本机模式运行后，就不能再回 到混合模式了。
目录：是存储各种对象的容器。如，用户、组、计算机、共享资源、 ⑴目录 打印机和联系人等。 ⑵目录服务：是使目录中所有信息和资源发挥作用的服务。 目录服务 活动目录是一个分布式的目录服务，信息可以分散在多台不同的计算机 上，保证用户能够快速访问。
3
下面对有关活动目录的重要名词和概念进行说明：
一、对象与属性
域树
信任关系 a.com 1.com b.a.com 2.1.com c.b.a.com 3.2.1.com
树林、信任关系
一棵或多棵域树又可以组成树林 树林。 树林
5
◆3.1.2 活动目录的特性
Windows 2000 Server活动目录，主要有以下三个特性：
⒈ 集成性
指它结合了三个方面的管理内容：用户和资源管理、基于目录的网络 服务、基于网络的应用管理。
2
3.1 活动目录服务
Windows 2000系统最大的突破性和成功之一就在于它引入的“活动 目录（Active Directory,简称为AD）”服务。它具有良好的可扩展性、可 调整性，并将结构化数据存储作为目录信息逻辑和分层组织的基础。
3.1.1活动目录服务概述 ◆3.1.1活动目录服务概述
活动目录呢包括两个方面：
◆3.2.2 活动目录的安装
活动目录安装：单击该超链接观看演示3.2.2
8
安装了活动目录，服务器的开机和关机时间变长，且系统的执行速度 变慢。如果用户对某个服务器没有特别要求或不把它作为域控制器来使用， 可将该服务器上的活动目录删除。单击该超链接观看演示3.2.2(2)
3.2.3检查活动目录的安装结果 ◆3.2.3检查活动目录的安装结果
7
百度文库
3.2 活动目录的安装 ◆3.2.1 安装前的规划
本小节主要讲述以下几个问题: 本小节主要讲述以下几个问题:单击该超链听详细讲解3.2.1
⒈ DNS的规划 DNS的规划 ⒉ 域结构的规划 OU） ⒊ 组织单位（Organization Units，简写为OU）结构的规划 组织单位（ Units，简写为OU ⒋ 委派模式的规划
4
三、子域、域树、树林 子域、域树、
一个域又可以有子域。如:tsg.jltc.edu.cn是jltc.edu.cn域的子域， 这样父域与子域就组成了域树 域树，图中具有公用根域的所有域构成连 域树 续名称空间，也就是说域的名字就是DNS的名字，子域名字的后缀就 是其父域的名字。
edu.cn Jltc.edu.cn Tsg.jltc.edu.cn
单击该超链接观看演示3.4.2(2)
21
◆3.4.3 组和组织单位的删除
活动目录中的组和组织单位因太多而影响了对用户和计算机账户的 管理时，作为管理员的用户可对自己创建的组和组织单位进行清理。 要删除组和组织单位，可按下面步骤进行： ⒈ 在“Active Directory用户和计算机”控制台目录树中，展开域 节点。单击要删除的组或组织单位所在的组织单位，使详细资料窗格中 列出该组织单位的内容。 ⒉ 右击要删除的组或组织单位，从弹出的快捷菜单中选择“删除” 命令，系统会打开信息确认框。 ⒊ 单击“是”按钮，完成组或组织单位的删除。 注意，管理员只能删除自己创建的组和组织单位，而不能删除由系统 提供的内置组和组织单位。 单击该超链接观看演示3.4.3
◆3.3.6 域信任管理
需要了解的两个概念：
域信任是域之间建立的关系，它可使一个域中的用户由处在另一个域
中的域控制器来进行验证。身份验证请求遵循信任路径。
信任路径是身份验证请求在域之间必须遵循的一组信任关系。在用户
可以访问另一个域中的资源之前，Windows 2000 安全机制必须确定信任 域（含有用户试图访问的资源的域）和受信任域（用户的登录域）之间是 否有信任关系。