模塊2 Windows Server 2003域服務(wù)器資源管理 本章主要介紹域的創(chuàng)建，如何將計算機(jī)加入到域中，在域環(huán)境下帳戶、組和OU 的管理。一、預(yù)備知識（一）域的概念域是一個計算機(jī)群體的組合，是一

模塊2 Windows Server 2003域服務(wù)器資源管理 本章主要介紹域的創(chuàng)建，如何將計算機(jī)加入到域中，在域環(huán)境下帳戶、組和OU 的管理。

一、預(yù)備知識

（一）域的概念

域是一個計算機(jī)群體的組合，是一個相對嚴(yán)格的組織，而域控制器（DC ）則是這個域內(nèi)的管理核心。

域控制器的作用相當(dāng)一個門衛(wèi)，它包含了由這個域的帳戶密碼、管理策略等信息構(gòu)成的數(shù)據(jù)庫。當(dāng)一臺計算機(jī)登錄域時，域控制器首先要鑒別這臺電腦是否是屬于這個域，用戶使用登錄帳號和密碼是否正確。如果正確則允許計算機(jī)登入這個域，使用該域內(nèi)其有權(quán)限訪問任何資源，如文件服務(wù)器，打印服務(wù)器；如果不正確則不允許登錄計算機(jī)，這時計算機(jī)將無法訪問域內(nèi)任何資源，在一定程度上保護(hù)了企業(yè)網(wǎng)絡(luò)資源。

一般情況下，域控制器集成了DNS 服務(wù)，可以解析域內(nèi)的計算機(jī)名稱（基于TCP/IP），解決了工作組環(huán)境不同網(wǎng)段計算機(jī)不能使用計算機(jī)名互訪的問題。

域控制器自身所需配置非常低，對網(wǎng)絡(luò)帶寬的占用也幾乎微不足道，正常情況下域控制器是不可能發(fā)布到外網(wǎng)使用的，因?yàn)樗陌踩P(guān)系到整個域組織的安全，如果用戶希望在外網(wǎng)也能夠登錄企業(yè)域使用內(nèi)部資源，最常用的解決方式是在網(wǎng)關(guān)處開通VPN 功能，這樣既能保證帳號密碼傳輸?shù)陌踩?，又能像在局域網(wǎng)一樣便捷地訪問網(wǎng)絡(luò)資源。

（二）域控制器應(yīng)具備條件

1、安裝者必須具有本地管理員權(quán)限

2、操作系統(tǒng)版本必須滿足條件（Windows Server 2003除Web 版外都滿足）

3、本地磁盤至少有一個分區(qū)是NTFS 文件系統(tǒng) 4、有TCP/IP設(shè)置（IP 地址、子網(wǎng)掩碼等） 5、有相應(yīng)的DNS 服務(wù)器支持 6、有足夠的可用空間

二、工作任務(wù)

（一）任務(wù)情境：

如果你是某公司的網(wǎng)絡(luò)管理員，公司網(wǎng)絡(luò)中有約100臺計算機(jī)，公司需要集中管理計

算機(jī)和用戶帳戶以及其他網(wǎng)絡(luò)資源，你如何實(shí)現(xiàn)呢？

如果公司員工有一些重要的工作文件需要可靠保存，不但需要在自己的機(jī)器上保存，

還要在可靠的服務(wù)器上保存，并且不能讓其他員工看到呢？

（二）任務(wù)目標(biāo)

理解域的概念

理解域控制器的條件

掌握本地域組與全局組的管理

理解OU 的概念

三、操作流程

步驟一：安裝活動目錄

（1）打開“開始”/“程序”/“管理工具”/“管理您的服務(wù)器”/“添加/刪除角色”/“配置您的服務(wù)器向?qū)А?，在服?wù)器角色窗口中選擇“域控制器（Active Directory）”/“下一步”即可打開“Active Directory安裝向?qū)А?，如圖7-2-1所示。

圖7-2-1 配置服務(wù)器向?qū)?/p>

（2）彈出 “域控制器類型” 窗口。域控制器的類型有兩種，第一種“新域的域控制”，第二種“現(xiàn)有域的額外域控制器”，如圖7-2-2所示。

圖7-2-2 選擇域控制器類型

（3）選擇新域的域控制器后，如圖7-2-3所示，選擇“在新林中的域”，單擊“下一步”按鈕。域又有3種選擇：新林中的域、在現(xiàn)有域樹中的子域和在現(xiàn)有的林中的域樹。

圖7-2-3 創(chuàng)建一個新域

（4）彈出“新的域名”窗口，輸入新域的DNS 名稱，如hnzyxx.com.cn ，如圖7-2-4所示，單擊“下一步”按鈕。

圖7-2-4 新的域名

（5）彈出“NetBIOS 域名” 窗口，輸入“域NetBIOS 名”，如圖7-2-5所示，單擊“下一步”按鈕。

圖7-2-5 NetBIOS 域名

（6）彈出“數(shù)據(jù)庫和日志文件文件夾” 窗口選擇活動目錄數(shù)據(jù)庫和日志文件夾保存位置，如圖7-2-6所示。

圖7-2-6 數(shù)據(jù)庫和日志文件文件夾

（7）彈出“共享的系統(tǒng)卷” 窗口輸入SYSVOL 文件夾的位置，如圖7-2-7所示，單擊“下一步”按鈕。

圖7-2-7 共享的系統(tǒng)卷

（8）彈出“DNS 注冊診斷”窗口，如果是域中的第一臺域控制器，選擇第二項，如圖7-2-8所示，單擊“下一步”按鈕。

圖7-2-8 DNS 注冊診斷

（9）彈出“權(quán)限”窗口，如果使用Windows Server 2000以前的操作系統(tǒng)的域控制器，選擇第一項，否則選擇第二項，如圖7-2-9所示。

圖7-2-9 權(quán)限

（10）彈出“目錄服務(wù)還原模式的管理員密碼”窗口，輸入“還原模式密碼”，單擊“下一步”，如圖7-2-10所示。

提示：在目錄服務(wù)還原模式時，所有的域帳戶都不能使用，只能使用還原模式管理員帳戶登錄，不可以使用域管理員帳戶登錄。配置完成后，系統(tǒng)會安裝所需要的文件并提示重新啟動計算機(jī)。

圖7-2-10 目錄服務(wù)還原模式的管理員密碼

步驟二：將計算機(jī)加入域

（11）在客戶端計算機(jī)上系統(tǒng)屬性中的“計算機(jī)名”選項卡中，單擊“更改”按鈕可以打開加入域的對話框，選中域后，輸入正確的域名，如圖7-2-11所示。然后根據(jù)提示輸入具有加入域權(quán)限的用戶名和密碼。

圖7-2-11 輸入域名

（12）客戶機(jī)加入域，就可以在客戶機(jī)使用域用戶帳戶登錄到域，如圖7-2-12所示。

圖7-2-12 域帳戶登錄

步驟三：域用戶帳戶

（13）創(chuàng)建新用戶：單擊“開始”/“程序”/“管理工具”/“Active Directory用戶和計算機(jī)”。右擊“Users 文件夾”/“新建”/“用戶”，如圖7-2-13所示，單擊“下一步”按鈕。

圖7-2-13 創(chuàng)建新用戶

（14）彈出如圖7-2-14所示，輸入帳戶指定密碼，單擊“下一步”按鈕。

提示：Administrator 帳戶必須設(shè)置復(fù)雜的口令，應(yīng)該包括大小寫字母、數(shù)字和特殊符號組合，如a&5Dz!Kp。

圖7-2-14 密碼對話框

（15）配置域用戶帳戶屬性：域帳戶屬性的“帳戶”選項卡允許用戶定義設(shè)置帳戶的各種屬性，如圖7-2-15所示。

圖7-2-15 “帳戶”選項卡

（16）在“帳戶”選項卡中，單擊“登錄時間”，可以在某時間段，禁止用戶使用域帳戶登錄網(wǎng)絡(luò)。比如，將用戶帳戶設(shè)定為只有周一至周五可以登錄公司網(wǎng)絡(luò)，如圖7-2-16所示。

圖7-2-16 設(shè)定登錄時間

（17）在“帳戶”選項卡中，單擊“登錄到”可選擇允許用戶帳戶從所有的計算機(jī)上登錄，或限定用戶只能在列表中的計算機(jī)上登錄。這樣可以限制用戶帳戶的登錄位置，如圖7-2-17所示。

圖7-2-17 登錄工作站

四、知識要點(diǎn)

（一）域用戶帳戶的命名規(guī)則

（1）唯一用戶登錄名：域用戶帳戶的用戶登錄名在域中必須是唯一的。域用戶帳戶的顯示名在其所在的組織單位（OU ）中必須是唯一的。

（2）最和20字符：域用戶登錄名可以包含最多20個大寫或小寫字符（不區(qū)分大小寫）。

（3）非法字符：在域用戶帳戶名稱不能出現(xiàn)以下字符：< > ? / ; : , [ ] 。

五、模塊練習(xí)