Windows Server 2003域模式下的管理1. 域模式管理原理域模式管理是一種高效可靠的管理系統(tǒng)，其核心就在于將 計算機加入到一個指定的邏輯單元“域”中，然后對加入其中 的計算機實現統(tǒng)一、高

Windows Server 2003域模式下的管理

1. 域模式管理原理

域模式管理是一種高效可靠的管理系統(tǒng)，其核心就在于將 計算機加入到一個指定的邏輯單元“域”中，然后對加入其中 的計算機實現統(tǒng)一、高效的管理，對整個網絡系統(tǒng)中的計 算機、用戶、資源進行了重新的整合。時期在管理方式上 發(fā)生了根本性的改變。

在與模式的管理體系下，整個網絡管理經過以下4個過程實 現對加入域的所有計算機和所有用戶進行綜合管理

1) 建立域服務器

2) 將被管理的計算機加入到域中

3) 使用域下的管理員賬戶建立新的用戶

4) 在域中通過任何計算機對域中任何賬戶實現設置管理

2. 域模式下用戶設置

當一臺計算機成為域控制器時，或者當一臺計算機加入的 域成為成為域模式下的一臺客戶機時，每臺計算機中的賬 戶信息將發(fā)生變化。

1）在域控制器中，原本地賬戶已經不能使用了。

2）通過客戶機進入域控制器前，系統(tǒng)出現兩個進入選項，一個

是本地進入選項，一個是域控制器選項。

3）域模式下的默認賬戶

Domain admins（域管理員）

Administrator （本地管理員）

4) 如何在域模式下建立賬戶

3. 域模式下的賬戶管理

在基于域模式下的windows server 2003的賬戶信息變得非 常豐富，管理員被賦予了極大地權利，對于所有加入到域 中用戶的賬戶信息都要進行管理和維護，賬戶信息將被域 中所有有權利需要賬戶信息的各個部門使用。

(1)賬戶信息的設置

(2)賬戶信息的刪除

1賬戶信息的設置

在賬戶屬性中有16個選項卡，涵蓋了賬戶的大部分信息

1) “常規(guī)”、“地址”、“電話”、“單位”選項卡中的信息時賬戶的個人信息，用于擁有權限的賬戶查詢

2) “賬戶”選項卡的上半部分與普通賬戶信息沒有區(qū)別，但下半部分包括了眾多的信息，在域控制器管理的網絡中，所有賬戶可以被限制在以5種方式進入系統(tǒng)和運用系統(tǒng)：

(1)指定的賬戶

(2)指定的計算機

(3)指定的時間

(4)運行指定的程序

(5)訪問指定的資源

3“賬戶選項”選項組提供多項有關賬戶安全方面的設置，在后面的課程學習再展開實驗。

4“賬戶過期”選項組對賬戶登錄計算機的時間做出了更嚴格的限制，可以選擇“永不過期”或“在這之后”單選按鈕，指定具體的日期來限制該賬戶登錄到域控制器。

2賬戶的刪除

在日常的系統(tǒng)管理中，主要是對系統(tǒng)資源和賬戶的管理。 在賬戶管理中經常出現原有賬戶不使用的情況，主要有： 試驗用賬戶、誤操作建立的賬戶、臨時賬戶和禁用的賬

戶。對于這些賬戶一半情況下管理員可以執(zhí)行操作，但是 在windows server 2003中，確認和識別賬戶的不僅僅是賬 戶名，而是系統(tǒng)自動派發(fā)的安全標示（SID ）

如果刪除了賬戶該賬戶的SID 仍然是存在的。

4. 域模式下組的概念

在windows server 2003的域控制器中，組是一個非常重要 的概念與應用。賬號是進入系統(tǒng)的身份證，組是用來簡

化、統(tǒng)一管理賬戶的邏輯結構，利用組可以把具有相同權 限需求和管理需求的用戶組織存放在一起

1) 組的特點

(1)組是個邏輯結構

(2)一個賬戶可以同時加入多個組

(3)當一個用戶加入到一個指定組是，該用戶就有了該組的權限

2.Windows server 2003組的范圍

全局

本地域

3.Windows server 2003組的分類

安全組

通信組

通用

4.Windows server 2003中的默認組

預定義組

內置組

內置本地組

特殊組

5. 組的設置

1組賬號建立

右擊“Active Directory用戶和計算機”窗口中User 文件夾，在彈出的快捷菜單中選擇“新建”-“組”命令

在“新建對象-組”對話框中輸入相應的信息并設置組的作用域、組類型、然后單擊“確定”按鈕

1設置組成員

打開要加入賬戶的指定組的屬性對話框的“成員”選項卡

單擊“添加”-“高級”-“立即查找”按鈕，顯示被選定用戶賬戶 選中要加入組的用戶賬戶

在“成員”選項卡中選中用戶點擊刪除，可以將指定用戶刪除出組

2.1.3 域模式下對分區(qū)文件夾文件的管理

1域模式規(guī)劃與建立

在域模式下，一旦構架出符合需求的用戶賬戶體系，確立了加入域的計算機后，最重要的工作就是確定哪些賬戶能訪問文件夾，對文件能進行什么權限的英勇。這時候，用戶賬戶已經成為域中的一個成員，可以通過域中任何一臺計算機登錄，對任何計算機上的資源對象進行訪問。計算機如何加入域參見課本實例。

2. 通過指定計算機登錄對異地計算機的文件夾進行權限設置

2.2 設置組織單位與配置客戶機

1. 組織單位的概念

組織單位是域中的一類目錄對象，它包括域中一些用戶、計算機、 組、文件等資源。主要用于網絡構建?？墒咕W絡管理員以一種更容易理解和管理的方式來模擬實際工作中的單位結構。

2. 組織單位與組賬號的區(qū)別

組織單位與組賬號都是域模式下的管理對象，組織單元管 理的對象更多一些，而組賬號只對用戶賬戶在文件夾上的

權限進行管理。刪除了組賬號，組賬號所管理的用戶賬號的邏輯關系被打破，但用戶賬戶本身不會消失，刪除了OU ，在OU 中

設置的信息，加入管理的對象隨之刪除

3. 組織單位與域的關系

域是操作系統(tǒng)對所有與之連接的計算機和登錄計算機的用戶賬戶的全面管理，是建立在活動目錄中最全面完善的網絡管理模式，用戶訪問計算機時需先登錄域再進入組織單元。

好比操作系統(tǒng)和應用軟件，域就像是操作系統(tǒng)。組織單位就比如應用軟件。用戶只有進入操作系統(tǒng)后才能使用應用軟件，域中的組織單位也是如此。

4. 創(chuàng)建組織單位

1. 在安裝了活動目錄的域控制器計算機上打開“active directory 用戶和計算機”窗口。

2. 右擊“gs.com ”域，在彈出的快捷菜單中選擇“新建”-“組織單位”

3. 打開組織單位對話框，輸入名稱

4. 點擊確定按鈕就成功建立了一個組織單位

2.2.2 配置客戶機

當域建立好后，主要的工作就是將計算機加入到域中，并通過活動目錄對域中的計算機進行管理。

1調整TCP/IP協(xié)議的屬性，使DNS 指向gs.com 的DNS

2右擊“我的電腦”圖標，打開“屬性”命令-“系統(tǒng)屬性”-“計算機名”

3單擊“更改”按鈕，打開“計算機名稱更改”，輸入計算機名和加

入的域名

4單擊“確定”按鈕，打開“計算機名更改”對話框，輸入有操作權限的用戶名和密碼

5單擊“確定”重啟即可。

2.3 組策略

2.3.1組策略的概念

注冊表是Windows 系統(tǒng)中保存系統(tǒng)軟件和應用軟件配置的數據庫，而隨著Windows 功能越來越豐富，注冊表里的配置項目也越來越多，很多配置都可以自定義設置，但這些配置分布在注冊表的各個角落，如果是手工配置，可以想像是多么困難和煩雜。而組策略則將系統(tǒng)重要的配置功能匯集成各種配置模塊，供用戶直接使用，從而達到方便管理計算機的目的。 其實簡單地說，組策略設置就是在修改注冊表中的配置。當然，組策略使用了更完善的管理組織方法，可以對各種對象中的設置進行管理和配置，遠比手工修改注冊表方便、靈活，功能也更加強大。

2. 編輯工具

如果是windows2003系統(tǒng)，那么系統(tǒng)已經默認安裝了組策略編輯程序，打開運行命令對話框，輸入gpedit.msc 即可。使用上面的方法，打開的組策略對象就是當前計算機，而如果需要配置其他的計算機就可以運行控制臺程序來管理。

2.3.2 組策略的內容

2.4 利用組策略進行管理建立組策略

1打開Active Directory用戶和計算機命令

2選定gs.com ，在工作區(qū)右擊，在彈出的快捷菜單中選擇“新建”命令，并在對話框中輸入組織單位的名字

3右擊組織單位，在彈出的快捷菜單中選擇“屬性”

4在“屬性”對話框中單擊“組策略”標簽，打開選項卡

5單擊“編輯”按鈕，在“組策略編輯器”窗口中對它進行編輯

利用組策略管理用戶環(huán)境實例

1隱藏組織單位abc 的用戶桌面上的“網上鄰居”和“我的文檔”圖

標

2禁止abc 的用戶運行word 程序

3為組織單位abc 用戶安裝netinfo 程序