用户帐户与组管理.ppt

《用户帐户与组管理.ppt》由会员分享，可在线阅读，更多相关《用户帐户与组管理.ppt（64页珍藏版）》请在三一办公上搜索。

1、用户帐户与组管理,本章学习目标,本章主要讲解Windows 2000中活动目录（Active Directory，AD）的用户帐户和相关管理。通过本章学习，应该掌握以下内容：域控制器的管理 用户账户和计算机账户的管理 组和组织单位的管理 资源发布和域的管理,9.1 用户和计算机账户管理,在一个网络中，用户和计算机都是网络的主体，两者缺一不可。拥有计算机账户是计算机接入Windows网络的基础，拥有用户账户是用户登录到网络并使用网络资源的基础，因此用户和计算机账户管理是Windows网络管理中最必要且最经常的工作。,9.1.1 用户和计算机账户分类(1),Windows 2000 Server

2、提供了3种不同类型的用户帐户，不同的帐户拥有不同的网络资源存取或管理能力。本地用户账户域用户账户内建用户帐户,9.1.1 用户和计算机账户分类(2),本地用户账户本地用户账户建立在Windows 2000独立服务器、成员服务器或Windows 2000 Professional的本地安全数据库内，而不是域控制器内。用户可以利用本地用户账户来登录此计算机，但是只能够访问这台计算机内的资源，无法访问网络上的资源。,9.1.1 用户和计算机账户分类(3),域用户账户域用户账户建立在域控制器的Active Directory数据库内。用户可以利用域用户账户来登录域，并利用它来访问网络上的资源，例如访问

3、其他计算机内的文件、打印机等资源。每个加入Windows 2000域的计算机都具有计算机账户，否者无法进行域连接，实现域资源的访问。,9.1.1 用户和计算机账户分类(4),内建用户账户在安装Windows 2000时一并安装的用户帐户称之为内建用户帐户，通常为Administrator与Guest。Administrator（系统管理员）Administrator拥有最高的权限，可以用它来管理计算机与域内的设置，例如建立、更改、删除用户与组账户、设置安全策略、设置用户帐户的权限等。Guest（来宾帐户）Guest是供临时用户使用的账户，例如提供偶尔需要登录、或者仅登录一次的用户使用，以便访问

4、网络上的资源。,9.1.2 创建用户和计算机账户(1),用户账户的创建可参照如下步骤：1.在“Active Divectory用户和计算机”窗口的控制台目录树中，双击展开域节点。2.如果要创建用户账户，鼠标右击要添加用户的组织单位或容器，从弹出的快捷菜单中选择“新建”/“用户”，打开如图9-26所示的对话框。若要创建计算机账户，则从弹出的快捷菜单中选择“新建”/“计算机”。,图9-26新建用户,9.1.2 创建用户和计算机账户(2),3.在“姓”和“名”文本框中分别输入姓和名，并在“用户登录名”文本框中输入用户登录时使用的名字。4.单击“下一步”，打开如图9-27所示的对话框。5.在“密码”和

5、“确认密码”文本框中输入要为用户设置的密码。如果希望用户下次登录时更改密码，可选择“用户下次登录时须更改密码”，否则选择“用户不能更改密码”。如果希望密码永远不过期，可选择“密码永不过期”。如果暂不启用该用户账户，可选择“账户已停用”。,图9-27密码设置,9.1.2 创建用户和计算机账户(3),6.单击“下一步”按钮即可完成创建。创建计算机账户方法同上，只需在上述第2步中选择“计算机”，在弹出的对话框中输入该计算机的名称，单击“确定”即可,9.1.3 设置帐户属性(1),用户个人信息的设置“用户个人信息”，就是指姓名、地址、电话、传真、移动电话、公司、部门、职称、电子邮件、Web页等。如图9

6、.1-1所示,图9.1-1“属性”对话框,9.1.3 设置帐户属性(2),账户信息的设置选择“账户”选项卡，如图9.1-2所示。（1）账户过期（2）登录时间的设置（3）限制用户只能够从某些工作站登录,图9.1-2“账户”选项卡,图9.1-3“登录时段”窗口,图9.1-4 设置允许登录的工作站,9.1.3 设置帐户属性(3),9.1.3 删除用户和计算机账户,当系统中的某一个用户账户不再被使用或者管理员不再希望某个用户账户存在于安全域中时，可将该用户账户删除。另外，在网络的使用中，当域中的某个计算机断开了与网络的连接，或者管理员不再希望某个计算机存在于自己的安全域中时，可将该计算机的计算机账户从

7、域控制器中删除，以防有其他计算机假借原来的计算机使用域中的网络资源。要删除一个用户和计算机账户，在控制台目录树中，展开域节点。单击要删除的用户或者计算机所在的组织单位或容器，在详细资料窗格中右击要删除的用户或者计算机，从弹出的快捷菜单中选择“删除”，出现信息确认框后，单击“是”即可删除该用户或者计算机。,9.1.4 停用用户和计算机账户,如果某个用户的账户暂时不使用，可将其停用。例如，单位有长期出差人员，可暂停其账户的使用。如果某个计算机账户暂时不使用，也可将其停用。例如，单位有计算机因故障而不能在短时间内使用，可将该计算机的账户停用。停用账户的目的是防止其他用户或者计算机使用暂时不使用的账户

8、进行域登录。账户被停用之后，当该用户或者计算机需要重新使用已被停用的账户时，管理员重新启用该账户即可。停用用户账户，在控制台目录树中，展开域节点。单击要停用的用户账户或者计算机所在的组织单位或容器，在详细资料窗格中，右击要停用的用户或者计算机账户，从弹出的快捷菜单中选择“停用账户”命令，出现信息确认框后，单击“是”按钮即可停用被选用户或者计算机账户。,要移动用户和计算机账户，在控制台目录树中，展开域节点。单击要移动用户或者计算机账户所在的组织单位或容器，在详细资料窗格中，鼠标右击要移动的用户账户，从弹出的快捷菜单中选择“移动”。如图9-28所示。单击移动。,9.1.5 移动用户和计算机账户(1

9、),图9-28移动账户,9.1.5 移动用户和计算机账户(2),打开“移动”对话框，在“将对象移动到容器”对话框中双击域节点，展开该节点，如图9-28所示。单击移动的目标组织单位，然后单击“确定”即可完成移动。,图9-28移动账户,9.1.6 为用户和计算机账户添加组,要为用户账户添加组，在控制台目录树中，展开域节点，接着单击要加入组的用户所在的组织单位或容器，在详细资料窗口中，鼠标右键单击该用户账户，从弹出的快捷菜单中选择“将成员添加到组”，打开如图9-29所示的“选择组”对话框，在组列表框中选择一个要添加的组，单击“确定”按钮即可为用户添加组。要为计算机账户添加组，在控制台目录树中，展开域

10、节点，接着单击Computers或者要加入组的计算机所在的组织单位及容器，在详细资料窗口中，鼠标右键单击该计算机账户，从弹出的快捷菜单中选择“属性”命令，打开该计算机的属性对话框。然后单击“成员属于”标签，打开“成员属于”选项卡，单击“添加”按钮，打开“选择组”对话框选择要加入的组，单击“确定”按钮完成添加。,图9-29为用户添加组,9.1.7 重设用户密码,用户密码是用户在进行网络登录时所采用的最重要的安全措施，所以当用户密码被别人盗用或者用户感到有必要修改自己的密码时，管理员可以通过Windows 2000提供的修改密码工具对用户使用的旧密码进行重新设置。在设置密码时，应使密码与用户所在的

11、组织单位和用户账户的各种信息保持一致性，以方便用户记忆。要重新设置用户密码，在控制台目录树中，展开域节点。然后单击包含要重新设置密码的用户的组织单位或容器，在详细资料窗口中，鼠标右键单击该用户账户，从弹出的快捷菜单中选择“重设密码”，打开“重设密码”对话框，在“新密码”和“确认密码”文本框中输入要设置的新密码。如果允许用户更改密码，可选择“用户下次登录时须更改密码”复选框。单击“确定”按钮保存设置，同时系统会打开确认信息框，单击“确定”按钮可完成设置。,9.1.8 管理客户计算机,管理客户计算机是Windows 2000网络的强大功能之一，它允许管理员通过域控制器直接管理网络中的客户计算机，这

12、样不但加强了域控制器的作用，而且有利于用户对网络的管理和维护。不过，通过域控制器直接管理的计算机所运行的系统必须是Windows 2000或Windows NT系统，安装Windows 95/98或者其他系统的计算机不能被直接管理。要管理客户计算机，在控制台目录树中，展开域节点。然后单击要管理的计算机所在的组织单位，鼠标右键单击该计算机，从弹出的快捷菜单中选择“管理”命令，打开该计算机的计算机管理窗口。在该窗口中，管理员可以对连接的计算机进行系统工具、存储、服务器应用程序和服务等方面的管理。例如可以对该计算机上的用户进行管理。管理工作处理完毕，关闭窗口即可。,9.2 组和组织单位的管理(1),

13、组是Windows 2000从Windows NT系统继承下来的安全管理形式，它是指活动目录或本地计算机对象，包含用户、联系人、计算机和其他组等。在Windows 2000中，组可以用来管理用户和计算机对网络资源的访问，还可以筛选组策略。使用组，方便了管理访问目的和权限相同的一系列用户和计算机账户。管理员在赋予用户或计算机账户权限时，如果它们的权限各不相同，必须分别为它们设置；如果它们的权限相同，就可以将这些用户或计算机划归到一个组中，使这些用户成为该组的成员，然后通过赋予该组权限来使这些用户或计算机都具有了相同的权限。,9.2 Windows 2000的内建用户组(1),当安装完Window

14、s2000 Server后，系统会建立一些组。通常这些组为区分系统管理工作的权限所设立，不同的组有不同的资源存取权限。本地域组全局组本地组系统组,本地域组本地域组主要是用来指定其所属域内的存取权限，Account Operators(帐户操作员)：该组的成员具有操作使用者管理员所属域的帐号与组，并可设置帐户的进阶权限。Administrators：该组的成员可以完全不受限制地存取计算机域的资源。Backup Operators：可使用Windows备份工具来进行备份/还原的工作Guests：该组的成员只能享有管理员授予的权限以及存取指定权限的资源Printer Operators：可以管理域打

15、印机Replicator：该组的成员可以支持域中的文件拷贝，可启动目录复制程序进行目录复制。Server Operators：管理域服务器Users：该组的成员会被防止制造意外或有意的全面系统变更。因此只可以执行得到授权的应用程序，不可执行大部分的继承应用程序。,9.2 Windows 2000的内建用户组(2),全局组全局组主要是用来组织用户，可以将多个权限相似的用户账户加入到同一个全局组内。Domain Admins：该组可以代表具有操作域权力的用户Domain Guests：代表所有域来宾的组Domain Users：代表所有域用户的组Enterprise Admins：Windows

16、2000提供给我们授权具有管理整个网络权利用户的方法，该方法就是将用户帐号加至Enterprise Admins，然后再将该组加至每个域的Administrators本地域组内。,9.2 Windows 2000的内建用户组(3),本地组提供了在单一的计算机上执行系统工作的权利。Administrators：该组的成员可以完全不受限制地存取本地计算机的资源，内建的Administrator用户为该组的预设成员。Backup Operators：可使用Windows备份工具来进行备份/还原的工作Guests：该组的成员只能享有管理员授予的权限以及存取指定权限的资源Power Users：该组的成

17、员可以新建/删除/修改本地用户帐户Replicator：该组的成员可以支持域中的文件拷贝，可启动目录复制程序进行目录复制。Users：该组的成员会被防止制造意外或有意的全面系统变更。因此只可以执行得到授权的应用程序，不可执行大部分的继承应用程序。,9.2 Windows 2000的内建用户组(4),系统组系统组是较为特殊的组，因为该组虽然存在Windows2000之中，但却无法在Windows2000所提供的工具中管理这些组的成员。Everyone：指所有存取这台计算机的用户Authenticated Users：经过授权的合法用户Interactive：任何在本地登录的用户Network：通

18、过网络连接到本地上共享资源的用户AnonymousLogon：匿名（未经合法授权）进入的用户Dialup：拨号连接的用户。,9.2 Windows 2000的内建用户组(5),9.2 组和组织单位的管理(2),组织单位（Organizational Unit，OU）是域中包含的一类目录对象，它包括域中一些用户、计算机和组、文件与打印机等资源。不过，组织单位不能包含其他域中的对象。组织单位的分层结构可用来建立域的分层结构模型，使用户把网络所需的域的数量减至最小。组织单位具有继承性，子单位能够继承父单位的访问许可权。域管理员可使用组织单位来创建管理模型，该模型可调整为任何尺寸。而且，域管理员可授予

19、用户对域中所有组织单位或单个组织单位的管理权限。注意：组主要用于权限设置，而组织单位则主要用于网络构建；另外，组织单位只表示单个域中的对象集合（可包括组对象），而组可以包含用户、计算机、本地服务器上的共享资源、单个域、域目录树或目录林。,开启“Active Directory用户和计算机”管理工具。展开树形目录“Active Directory用户和计算机”中的主机项目，点击“Users”右键单击，从弹出的快捷菜单中选择“新建”组”。打开如图9-30所示的对话框，在“组名”文本框中输入要创建的组名。在“组作用域”选项区域中，选择单选按钮来确定组的作用域；在“组类型”选项区域中，通过单选按钮来选

20、择新组的类型。单击“确定”按钮即完成组的创建。,9.2.1 创建新组和组织单位,图9-30 创建组,9.2.1 创建新组和组织单位,组作用域本地域：常用来指定资源，具有“不限制成员”（可由任何域加入成员）与“存取一个域中资源”的特性。全局：常用来组织一群对网络资源存取需求的相似的用户，具有“限制成员”与“存取任何域中资源”的特性。通用：常用来指定多个域之间相关资源的权限，具有“不限制成员”与“存取任何域中资源”的特性。,图9-30 创建组,9.2.1 创建新组和组织单位,组类型安全式：使用安全性类型的组可以指定存取资源的权限，且拥有发布类型组的所有能力。分布式：只有执行非安全性的组功能时才会勾

21、选本选项，无法使用分布式组类型来指定权限。,图9-30 创建组,9.2.2 删除组和组织单位,活动目录中的组和组织单位太多会影响管理员对用户和计算机账户的管理，此时，管理员可以对自己创建的组和组织单位进行清理。不过，管理员只能删除自己创建的组和组织单位，而不能删除由系统提供的内置组和组织单位。要删除组和组织单位，在控制台目录树中，展开域节点。单击要删除的组或组织单位所在的组织单位，详细资料窗格中会列出该组织单位的内容。然后鼠标右键单击要删除的组或组织单位，选择快捷菜单中“删除”命令，这时系统会打开信息确认框，单击“是”按钮即完成组或组织单位的删除。,9.2.3 设置组属性（1）,一个新组被用户

22、创建好之后，系统并没有设置该组常规属性和权限，也没有为其指定组成员和管理者，该组几乎不发挥任何作用。如果要充分发挥组对用户和计算机账户的管理作用，用户必须设置该组的属性，具体步骤如下。1.在控制台目录树中单击要设置属性的组所在的组织单位或容器，在详细资料窗口中，鼠标右键单击要添加成员的组，从弹出的快捷菜单中选择“属性”命令，打开该组的属性对话框，如图9-38所示。2.为了便于管理，在“描述”和“注释”文本框中分别输入有关该组的描述和注释；可以修改组名称；为了便于组管理员与组成员交换信息，在“电子邮件”文本框中输入组管理员的电子邮件地址。,图9-38 设置常规属性,9.2.3 设置组属性（2）,

23、3.单击“成员”选项卡，如图9-39所示。要添加成员，单击“添加”，打开“选择用户联系人或计算机”对话框选择要添加的成员。要删除组成员，在“成员”列表框中选择要删除的组成员，然后单击“删除”即可。4.因为用户主要是通过向新组添加内置组来设置新组的权限的，所以要设置组权限，选择“成员属于”选项卡，单击“添加”，打开“选择组”对话框，为自己创建的组选择内置组。要删除某个组权限，在“成员属于”列表框中选择该组，单击“删除”即可。5.要设置组的管理者，选择“管理者”选项卡。要更改组管理者，单击“更改”按钮，打开“选择用户或联系人”对话框选择管理者；要查看管理者的属性，单击“查看”按钮进行查看；如果要清

24、除管理者对组的管理，单击“清除”按钮即可。6.属性设置完毕，单击“确定”按钮保存设置并关闭属性对话框。,图9-39 添加成员到组,9.2.4 设置组织单位属性(1),组织单位除了有利于网络扩展外，另一大优点是它在管理方面的方便性和安全性，但是，如果不根据组织单位的实际情况设置其属性，是很难发挥这个优点的。所以，用户在创建组织单位之后，必须根据需要设置组织单位属性。通过设置组织单位的属性，不但可以指定组织单位的管理者和常规属性，也可为组织单位创建组策略。要设置组织单位的属性，可参照下面的步骤。,9.2.4 设置组织单位属性(2),1.在控制台目录树中，鼠标右键单击要设置属性的组织单位，从弹出的快

25、捷菜单中选择“属性”命令，打开该组织单位的属性对话框，如图9-34所示。2.在“常规”选项卡中，可以设置“描述”、“省/自治区”、“县市”、“街道”和“邮政编码”等计算机和用户常规信息。,图9-34设置属性,9.2.4 设置组织单位属性(3),3.选择“管理者”选项卡，单击“更改”按钮，打开“选择用户或联系人”对话框选择一个用户或联系人作为管理者；管理者更改之后，单击“查看”按钮，可打开所更改的管理者的属性对话框，管理员可对管理者的属性进行修改，如果要清除管理者，单击“清除”按钮即可。,图9-35管理组策略,9.2.4 设置组织单位属性(4),4.单击“组策略”选项卡，如图9-35所示。要新建

26、一个组策略对象，单击“新建”按钮，在“组策略对象链接”列表框中会出现一个新的组策略对象，在其名称文本框中为新策略输入一个有意义的名称。5.单击“编辑”按钮，会打开如图9-36所示的“组策略”窗口。在该窗口中，管理员可对创建的组策略进行编辑，包括计算机配置和用户配置两个方面。如图所示可以对计算机配置中的“登录”策略进行编辑。编辑完毕，关闭窗口。,图9-36编辑组策略,9.2.4 设置组织单位属性(5),6.要设置某个组策略对象的属性，在图9-35中组策略对象链接列表中选择对象，单击“属性”按钮，打开该对象属性对话框，进行“常规”、“链接”和“安全”方面的设置。7.在列表中，不同位置的组策略对象具

27、有不同的优先级，较高位置的组策略对象比较低位置的组策略对象优先级高。所以，管理员可以改变组策略对象在列表中的位置来决定组策略对象的应用级别。要改变某个组策略对象在列表中的位置，选择该对象，单击“向上”或“向下”按钮即可上移或下移该对象。,图9-35管理组策略,9.2.4 设置组织单位属性(6),9.如果要删除某个组策略对象，在列表中选择该对象，然后单击“删除”按钮即可。9.用户要配置某个组策略对象的选项，在如图9-35组策略链接列表中选择对象，单击“选项”按钮，打开该组策略对象的选项对话框，如图9-37所示。10.在“链接选项”选项区域中，选择“没有替代”复选框，可防止其他组策略对象替代这个组

28、对象中的策略集；启用“被禁用”复选框，可暂时禁用该策略，需要启用时，禁用“被禁用”复选框即可。然后单击“确定”按钮返回到组策略选项卡。11.如果要防止组策略被下一级组织单位所继承，可启用“阻止策略继承”复选框（见图9-35）。最后单击“关闭”按钮保存属性设置。,图9-37 配置组策略对象选项,9.2.5 委派控制组或组织单位(1),如果对某个组或组织单位进行委派控制，可参照下面的步骤：1.在“Active Directory用户与计算机”窗口的控制台目录树中，双击展开域节点。2.鼠标右键单击要委派控制的组织单位或组节点，例如Users，从弹出的快捷菜单中选择“委派控制”命令，进入“控制委派向导

29、”窗口，单击“下一步”按钮。,9.2.5 委派控制组或组织单位(2),3.在打开如图9-31所示的“组或用户选择”对话框中，单击“添加”按钮，打开“选择用户、计算机或组”对话框，选择一个或多个要委派控制的用户，也可选择一个或多个要委派控制的组。,9.2.5 委派控制组或组织单位(3),5.单击“下一步”按钮，打开如图9-32所示，指定委派任务范围。如果要委派的对象为整个文件夹，可选择“这个文件夹”，如果要委派的对象只是文件夹中的对象，可选择“文件夹中的对象”，并在“对象类型”列表框中通过复选框来选择对象。,图9-32定义要委派控制任务,9.2.5 委派控制组或组织单位(4),6.单击“下一步”

30、按钮，打开“权限”对话框，如图9-33所示。通过选择“要委派的权限”复选框来选择要委派的权限，例如选择“读取”、“创建所有子对象”等复选框设置相应权限。7.单击“下一步”按钮，打开“完成控制委派向导”对话框，单击“完成”按钮，结束委派设置。注意，对不同资源进行控制委派，配置向导有所不同。,图9-33 指定委派权限,9.3 资源发布和域的管理,域（Domain）是活动目录的分区，定义了安全边界，在没经过授权的情况下，不允许其他域中的用户访问本域中的资源。活动目录可由一个或多个域组成，每一个域可以存储上百万个对象，域之间还有层次关系，可以建立域树和域林，如图9-17、9-18所示，进行无限地域扩展

31、。图中的双箭头表示域之间的信任关系，Windows 2000中域的信任关系都是双向和可传递的。,图 9-17 域树,图 9-18 域林,资源发布的管理（1）,一、资源的发布1公布共享文件夹的步骤如下：（1）打开“Active Directory用户和计算机”；（2）在控制台树中，双击“域节点”；（3）鼠标右键单击想在其中添加共享文件夹的文件夹，指向“新建”并单击“共享文件夹”对话框，如图9-40所示；（4）键入文件夹的名称；网络路径；（5）单击“确定”按钮完成操作。,图9-40设置共享文件夹,资源发布的管理（2）,2公布Windows NT打印机的步骤如下：（1）打开“Active Direc

32、tory用户和计算机”；（2）在控制台树中，双击“域节点”；（3）在控制台树中，鼠标右键单击想在其中公布打印机的文件夹，指向“新建”，并单击“打印机”；（4）键入网络路径，如图9-41所示。,图9-40设置共享打印机路径,资源发布的管理（3）,二、资源的查找若要进行自定义搜索，可参照如下步骤：（1）打开“Active Directory用户和计算机”；（2）在控制台树中用右键单击“域节点”，然后单击“查找”；（3）在“查找”中单击“自定义搜索”；（4）单击“字段”，选择要搜索的对象种类，然后单击要为其指定搜索值的对象的属性；（5）在“条件”中单击搜索的条件；（6）在“值”中键入要应用搜索条件的

33、属性值；（7）单击“添加”，将该搜索条件添加至自定义搜索；（8）重复第（4）步至第（7）步，直到添加完所需的全部搜索条件为止；（9）单击“开始查找”按钮。,域的管理（1）,一、更改域模式（1）打开“Active Directory域和信任关系”；（2）鼠标右键单击你想要管理的域的“域节点”，然后单击“确定”；（3）在如图9-42所示“常规”选项卡上单击“更改模式”，然后单击“确定”。注意：域模式的更改是不可逆的，只能将模式从混合模式更改为本机模式，一旦域以本机模式运行后，就不能在再回到混合模式了。所以，如果已经或即将有Windows域控制器，请不要更改域模式。,图9-42更改域模式,域的管理（

34、2）,二、创建明确的域信任（或者称信任的快捷方式）（1）打开“Active Directory域和信任关系”；（2）在控制台树中，鼠标右键单击要管理的域的域节点，然后单击“属性”；（3）单击“信任”选项卡，如图9-43所示；（4）根据需要，单击“受此域信任的域”或“信任此域的域”，再单击“添加”；（5）如果要添加的域是Windows 2000域，则键入域的DNS全名。注意：密码必须是信任域和被信任域双方都接受的。,图9-43“信任”选项卡,域的管理（3）,三、验证信任关系1打开“Active Directory域和信任关系”；2在控制台树中，用鼠标右键单击要验证的信任关系所涉及的一个域，然后单

35、击“属性”对话框；3单击“信任”选项卡；4在“受此域信任的域”或“信任此域的域”中，单击要验证的信任关系，然后单击“编辑”，其结果如图9-44所示；5单击“验证”按钮。,图9-43单击“编辑”后的对话框选项,域的管理（4）,四、撤销信任关系1打开“Active Directory域和信任关系”；2在控制台树中，鼠标右键单击要撤销的信任关系所涉及的一个域节点，然后单击“属性”对话框；3单击“信任”选项卡；4在“受此域信任的域”或“信任此域的域”中，单击要撤销的信任关系，然后单击“删除”；5对于此信任关系中涉及的其他域，重复该过程。注意：不能撤销树林中不同域之间默认的双向可传递信任关系。但可删除明

36、确创建的快捷信任关系。,9.4 域控制器管理,域控制器是使用 Active Directory 安装向导配置的运行 Windows 2000 Server 的计算机。域控制器存储着目录数据并管理用户域的交互，其中包括用户登录过程、身份验证和目录搜索。一个域可有一个或多个域控制器。为了获得高可用性和容错能力，使用单个局域网(LAN)的小单位可能只需要一个具有两个域控制器的域。具有多个网络位置的大公司在每个位置都需要一个或多个域控制器以提供高可用性和容错能力。,9.4.1 设置域控制器属性（1）,管理员通过设置域控制器属性，不但可以确定域控制器的位置、操作系统和常规属性，而且还可设置域控制器的组和

37、管理员。设置域控制器属性，具体步骤如下：1.选择“开始”/“程序”/“管理工具”/“配置服务器”命令，打开“Windows 2000配置服务器”窗口，单击左边的列表中的Active Directory链接，使右边的窗格中列出相应的内容，然后单击“管理”超级连接，打开“Active Directory用户与计算机”管理窗口，如图9-19所示。,图9-19Active Directory用户和计算机窗口,9.4.1 设置域控制器属性（2）,.在控制台目录树中，双击展开域节点。单击Domain Computers子节点。.在详细资料窗格中，右击要设置属性的域控制器，从弹出的快捷菜单中选择“属性”，打

38、开该控制器的“属性”对话框，如图9-20所示。,图9-20设置域控制器属性,9.4.1 设置域控制器属性（3）,4.在“常规”选项卡的“描述”文本框中输入对域控制器的一般描述。如果不希望域控制器的可受信任用来作为委派，可禁用“信任计算机作为委派”复选框。5.选择“操作系统”选项卡，在该选项卡中，显示出操作系统的名称，版本以及Service Pack，管理员只能查看并不能修改这些内容。,9.4.1 设置域控制器属性（4）,6.选择如图9-21所示的“成员属于”选项卡，要添加组，单击“添加”按钮，打开“选择组”对话框为域控制器选择一个要添加的组；要删除某个已经添加的组，在“成员属于”列表框选择该组

39、，然后单击“删除”按钮即可。,图9-21设置成员组,9.4.1 设置域控制器属性（5）,7.当管理员为域控制器添加多个组时，还可为域控制器设置一个主要组。要设置主要组，在“成员属于”列表框中选择要设置的主要组，一般为Domain Controllers，也可为Cert Publishers，然后单击“设置主要组”按钮即可。9.选择“位置”选项卡，可以设置域控制器的位置。9.选择“管理者”选项卡，要更改域控制器的管理者，可单击“更改”按钮，打开“选择用户或联系人”对话框，选择新的管理人即可。要删除管理者，可单击“清除”按钮来删除；要查看和修改管理者属性，可单击“查看”按钮，打开该管理者属性对话框

40、来进行操作。10.域控制器设置完毕，单击“确定”按钮保存设置。,9.4.2 查找域控制器目录内容（1）,在Windows 2000中，活动目录实际上是一个网络清单，包括网络中的域、域控制器、用户、计算机、联系人、组、组织单位及网络资源等各个方面的信息，使管理员可以方便查找这些内容。要查找目录内容，可参照如下步骤：1.在“Active Directory用户和计算机”窗口的控制台目录树中，鼠标右击域节点，在弹出的快捷菜单中选择“查找”命令，打开“查找用户联系人及组”对话框，如图9-22所示。,图9-22“查找用户联系人及组”对话框图,9.4.2 查找域控制器目录内容（2）,2.在“查找”下拉列表

41、框中可以选择要查找的目录内容，包括“用户、联系人及组”、“计算机”、“打印机”、“共享文件夹”、“组织单位”、“自定义搜索”等。例如，在列表中选择“计算机”，如图9-23所示。在“范围”下拉列表框中选择查找范围，如整个目录。,图9-23列出查找结果,9.4.2 查找域控制器目录内容（3）,3.在“计算机”选项卡中，设置查找条件。例如，在“计算机”文本框中输入要查找的计算机名，在“所有者”文本框中输入计算机的用户名，在“作用”下拉列表框中选择计算机在网络中作用。4.单击“高级”选项卡，要设置高级查找条件，单击“字段”按钮，从弹出的快捷菜单中选择设置条件的选项，然后在“条件”下拉列表框和“值”文本

42、框中设置条件。5.高级条件设置好之后，单击“添加”按钮，将条件添加到下面的文本框中。如果要继续添加高级条件，可按照上面步骤继续添加。6.所有查找条件设置完毕，单击“开始查找”按钮即开始查找，并将查找结果列出，如图9-23下面窗口所示。,9.4.3 连接到其他域,在一个多域的网络中，用户经常需要将当前域连接到其他域，这样可使当前域中的用户和计算机访问其他域中的资源，也可将当前域控制器的部分操作主机功能传送给其他域控制器，甚至可将当前域控制器更改为其他域中的域控制器。要连接到网络中其他域，在控制台目录树中，右击“Active Directory用户和计算机”根结点，从弹出的快捷菜单中选择“连接到域

43、”命令，打开如图9-24所示的“连接到域”对话框，在“域”文本框中输入要连接的域的名称；或者单击“浏览”，打开“浏览域”对话框选择要连接的域，单击“确定”即可建立连接。,图9-24 连接到其他域,9.4.4 更改域控制器(1),一个域的控制器是域网络的中心，一旦它出现故障，将导致域网络不能正常运行，此时管理员必须及时更改域控制器，以保证网络的正常运作。在Windows 2000中，由于不再区分主域控制器和辅助域控制器，域控制器的更改变得更加简单，管理员只须建立当前域与其他任何可写的域控制器的连接即可。要更改域控制器，在控制台目录树中，右击“Active Directory用户和计算机”根节点，

44、从弹出的快捷菜单中选择“连接到域控制器”，打开如图9-25所示的“连接到域控制器”对话框。,9.4.4 更改域控制器(2),在“更改为”文本框中输入要连接的域控制器；或者从域控制器列表中选择一个要连接的域控制器。如果在域中没有列出其他可用的域控制器，可选择“任何可写的域控制器”选项，系统会根据网络连接情况自动选择可用的域控制器。要连接的域控制器选定之后，单击“确定”按钮完成连接。,图9-25连接到域控制器,思 考 题,1不同的组对网络性能具有哪些影响？2如何限制用户由某台客户机在某个特定时段登录？3组织单位的委派控制有何意义？4如何实现域间信任？5.将用户账户、计算机账户添加到组中作用有何不同？,