 |
帖子主题: [推荐]第十七章 活动目录和域控制器 |
头衔:论坛总管理员
|
Admin   |
荣誉:管理员
职务:总版主
级别:圣骑士
积分:547
经验:3330
文章:271
注册:03-01-20 23:27
|
|
|
 发表: 2006-06-08 17:23:52 人气:13925  
[推荐]第十七章 活动目录和域控制器
麻雀虽小,五脏俱全。彭彭所在的公司虽不大,但公司计算机网络中基本上该有的设备和应用都有了,为了把公司的网络建设得更加具有可管理性,彭彭决定好好研究一下据说管理功能很强的Windows 2000的活动目录,从而加强对公司网络的管理。为此,彭彭还专门将公司的网络升级成了域模式。
17.1 什么是活动目录
目录服务功能是Windows 2000的最重要的功能之一,它可将网络中各种对象组织起来进行统一管理,方便了网络对象的查找,加强了网络的安全性,并大大方便了像彭彭这样的管理员对网络的管理。
一、活动目录简介
到底什么是活动目录呢?谈到活动目录就让彭彭联想到DOS下的“目录”、“路径”和Windows 9X/Me下的“文件夹”,那个时候的“目录”或“文件夹”仅代表一个文件存在磁盘上的位置和层次关系,一个文件生成之后相对来说这个文件的所在目录也就固定了(当然可以删除、转移等,现在不考虑这些),也就是说它的属性也就相对固定了,其属性是静态的。这个目录所能代表的仅是这个目录下所有文件的存放位置和所有文件总的大小,并不能得出其它有关信息,这样就影响到了整体使用目录的效率,也就影响了系统的整体效率,使系统的整个管理变得复杂。因为没有相互关联,所以在不同应用程序中同一对象要进行多次配置,管理起来相当烦琐,影响了系统资源的使用效率。
什么是活动目录呢?很简单,它就是Windows 2000特有的目录结构,它是“活动”的。
理解活动目录的关键就在于“活动”两个字,千万不要将“活动”两个字去掉而仅仅从“目录”两个字去理解,否则理解来理解去一定还是不能脱离原来在DOS下的目录或Windows 9X下的文件夹。正因为这个目录是活动的,所以它是动态的,它是一种包含服务功能的目录,它可以做到“由此及彼”的联想、映射,如找到了一个用户名,就可联想到它的账号、出生信息、E-mail、电话等所有基本信息,虽然组成这些信息的文件可能不在一块。同时不同应用程序之间还可以对这些信息进行共享,减少了系统开发资源的浪费,提高了系统资源的利用效率。
二、活动目录的特性
活动目录包括两个方面 :目录和与目录相关的服务。目录是存储各种对象的一个物理上的容器,从静态的角度来理解活动目录与我们以前所结识的“目录”和“文件夹”没有本质区别,仅仅是一个对象,是一个实体 ;而目录服务是使目录中所有信息和资源发挥作用的服务,活动目录是一个分布式的目录服务,信息可以分散在多台不同的计算机上,保证用户能够快速访问,因为多台机上有相同的信息,所以在信息发布方面具有很强的控制能力,正因如此,不管用户从何处访问或信息处在何处,都能给用户提供统一的视图。
彭彭一直在想,我为什么要安装活动目录呢?虽然上面的这些特性听起来比较好,但具体又好在哪里呢?嘿嘿,就在彭彭想得头痛欲裂的时候,论坛上的高手看不过彭彭不停地贴“为什么,谁能告诉我?”终于忍不住出手了。
因为活动目录并不是Windows 2000系统必须安装的一种服务,它是为了网络管理的方便而专门设计的。强烈推荐使用活动目录来管理域系统。使用活动目录有如下好处 :
1.信息的安全性大大增强。
2.引入基于策略的管理,使系统的管理更加明朗。
3.具有很强的可扩展性。
4.智能的信息复制能力。
5.与 DNS 集成紧密。
6.与其他目录服务具有互操作性。
7.具有灵活的查询功能。
反正高手讲了一大堆,总的就是一个“好”字,彭彭一直很信任这个老大,既然他都这么说了,当然有一定的好处,自己只有在实践中慢慢去体会了。
17.2 安装活动目录
虽然活动目录具有强大的功能,但在安装Windows 2000时,系统并没有安装活动目录。用户要将自己的服务器配置成域控制器以发挥活动目录的作用,必须安装活动目录。这一点,彭彭倒是预先就做了。要安装活动目录,可参照下面的步骤进行。
【小提示】系统提供的活动目录安装向导,可帮助用户配置自己的服务器。如果网络没有其它域控制器,可将服务器配置为域控制器,并新建子域,新建域目录树或目录林。如果网络中有其它域控制器,可将服务器设置为附加域控制器,加入旧域、旧目录树或目录林。
1.打开“Windows 2000配置服务器”窗口(图17.2.1)。
图17.2.1 “Windows 2000配置服务器”窗口
2.在左边的列表中单击“Active Directory”(活动目录)超级链接,并拖动右边的滚动条到底部,使对话框如图17.2.2所示。
图17.2.2 Active Directory(活动目录)对话框
3.单击“开始”超级链接,打开“Active Directory安装向导”对话框(图17.2.3)。
图17.2.3 “Active Directory安装向导”对话框
4.点击“下一步”按钮,打开如图17.2.4所示的“域控制器类型”对话框,选择“新域的域控制器”单选按钮,使服务器成为新域中的第一个域控制器。像彭彭所在公司的网络只需要一台域控制器就够了。
图17.2.4 “域控制器类型”对话框
5. 点击“下一步”按钮,打开如图17.2.5所示的“创建目录树或子域”对话框,现在彭彭所在公司完全是新建域结构,所以选择“创建一个新的域目录树”单选按钮。
图17.2.5 “创建目录树或子域”对话框
6. 点击“下一步”按钮,打开如图17.2.6所示的“创建或加入目录林”对话框,此时所创建的域为公司的第一个域,可选择“创建新的域或目录树”单选按钮。
图17.2.6“创建或加入目录林”对话框
7. 点击“下一步”按钮,打开“新的域名”对话框(图17.2.7),在“新域DNS全名”文本框中输入新建域的DNS全名,例如kbsoft.com。
图17.2.7“新的域名”对话框
8. 点击“下一步”按钮,打开“NetBIOS域名”对话框(图17.2.8),在“NetBIOS域名”文本框中输入NetBIOS域名,或者接受显示的名称。NetBIOS域名是供早期的Windows用户用来识别新域的。
图17.2.8 “Net BIOS域名”对话框
9. 点击“下一步”按钮,打开“数据库和日志文件位置”对话框(图17.2.9),在“数据库位置”文本框中输入保存数据库的位置,或者单击“浏览”按钮选择路径,在“日志位置”文本框中输入保存日志的位置或单击“浏览”按钮选择路径。注意,基于最佳性和可恢复性的考虑,最好将活动目录的数据库和日志保存在不同的硬盘上。
图17.2.9 “数据库和日志文件位置”对话框
10. 点击“下一步”按钮,打开如图17.2.10所示的“共享的系统卷”对话框,在Windows 2000中,Sysvol文件夹存放域的公用文件的服务器副本,它的内容将被复制到域中的所有域控制器上(实际上,彭彭只有一台域控制器)。在“文件夹位置”文本框中输入Sysvol文件夹位置,或单击“浏览”按钮选择路径。
图17.2.10 “共享的系统卷”对话框
11. 点击“下一步”按钮,如果原来没有配置名称为kbsoft.com的DNS服务器,则系统会提示要求配置DNS服务器,单击“确定”按钮,即可打开“配置DNS”对话框(图17.2.11)。
图17.2.11 “配置DNS”对话框
12. 如果要通过向导为新域安装和配置DNS服务器,则选择“是,在这台计算机上安装和配置DNS(推荐)”单选按钮。如果要在安装活动目录之后再安装和配置DNS,可选择“否,我将自己安装并配置”单选按钮。彭彭原来是安装了DNS服务器的,只需要将原来的DNS更改过来就是了。
13. 点击“下一步”按钮,打开“为用户和组选择权限”对话框(图17.2.12)。如果允许匿名用户读取该域的信息则选择“与Windows 2000服务器之前的版本相兼容的权限”单选按钮。如果需要用户进行验证才能读取该域的信息,则选择“只与Windows 2000服务器版本相兼容的权限”单选按钮。
图17.2.12 “为用户和组选择权限”对话框
14.点击“下一步”按钮,输入目录恢复时的管理员密码(图17.2.13)。
图17.2.13 目录恢复模式管理员密码输入窗口
15. 点击“下一步”按钮,打开“摘要”对话框(图17.2.14)。通过该对话框,用户可检查并确认选定的选项。
图17.2.14 “摘要”对话框
16. 点击“下一步”按钮,系统开始配置活动目录,同时打开“正在配置Active Directory”对话框,显示配置过程。
17. 经过几分钟之后,配置完成。同时,打开“Active Directory安装向导”对话框,单击“完成”按钮,即完成活动目录的安装,重新启动计算机,活动目录即可生效。
【小提示】在活动目录安装之后,不但服务器的开机和关机时间变长,而且系统的执行速度也变慢了。所以,如果用户对某个服务器没有特别要求或不把它作为域控制器来使用,可将该服务器上的活动目录删除,使之降级为成员服务器或独立服务器。成员服务器是指安装到现有域中的附加域控制器;独立服务器是指在名称空间目录树中直接位于另一个域名之下的服务器。使删除活动目录的服务器成为成员服务器还是独立服务器,取决于该服务器的域控制器的类型。如果要删除活动目录的服务器不是域中的惟一的域控制器,则删除活动目录将使该服务器成为成员服务器;如果要删除活动目录的服务器是域中最后一个域控制器,则删除活动目录将使该服务器成为独立服务器。
要删除活动目录,只需要打开“开始”菜单,选择“运行”命令,打开“运行”对话框。在“打开”下拉列表框中输入“dcpromo”,然后单击“确定”按钮,打开“Active Directory安装向导”对话框,并沿着向导进行删除就行了,过程比较简单。
17.3 域控制器管理
17.3.1 域控制器与活动目录的关系
域是活动目录的分区,定义了安全边界,在没有经过授权的情况下,不允许其他域中的用户访问本域中的资源。活动目录可由一个或多个域组成,每一个域可以存储上百万个对象,域之间还有层次关系,可以建立域树和域林,进行无限的域扩展。
在活动目录中,目录存储只有一种形式,即域控制器(Domain Controller),它包括了完整的域目录的信息。因此,每一个域中必须有一个域控制器,否则域也就不存在了。Windows 2000的活动目录不再有主域控制器和备份域控制器的区别,所有的域控制器在用户访问和提供服务方面都是相同的。它们之间的同步是采用了一种先进的多主复制的技术,称为Update Sequence Numbers (USN)。每个服务器跟踪其复制伙伴的最新USN列表,保证及时更新并且更新时不会有冲突或相互覆盖等情况出现。对于管理员来说,域控制器管理是最重要的工作,因为域控制器的运行状态直接关系到网络的正常运行。
17.3.2 设置域控制器
在公司网络中,特别是在单域网络中,域控制器是网络正常运作中心,所起到的网络控制作用是非常重要的。因此,管理员必须根据网络运行情况合理地设置域控制器的属性。作为管理员,通过设置域控制器属性,不但可以确定域控制器的位置、操作系统和常规属性,而且还可设置域控制器的组和管理人。下面就来介绍域控制器属性的设置过程。要设置域控制器属性,可参照下面的步骤进行:
1. 选择“开始→程序→管理工具→配置服务器”命令,打开“Windows 2000配置服务器”窗口,单击左边列表中的“Active Directory连接”,使右边的窗格中列出相应的内容,然后单击“管理”超级连接,打开“Active Directory用户与计算机”窗口(图17.3.1)。
图17.3.1 Active Directory用户与计算机窗口
2. 在控制台目录树中,单击之后再双击域节点,展开该节点。再单击Domain Computers子节点,使详细资料窗格中列出相关内容。
3. 在详细资料窗格中,右击要设置属性的域控制器,从弹出的快捷菜单中选择“属性”命令,打开该控制器的“属性”对话框(图17.3.2)。
图17.3.2 域控制器的“属性”对话框
4. 在“常规”选项卡的“描述”文本框中输入对域控制器的一般描述;如果不希望域控制器的可受信任用来作为委派,可禁用“计算机可受信任用来作为委派”复选框。
5. 选择“操作系统”选项卡;在该选项卡中,显示出操作系统的名称、版本以及ServicePack,管理员只能查看而不能修改这些内容。
6. 选择“成员属于”选项卡(图17.3.3),若要添加组,则单击“添加”按钮,打开“选择组”对话框为域控制器选择一个要添加的组;若要删除某个已经添加的组,则在“成员属于”列表框选择该组,然后单击“删除”按钮即可。
图17.3.3 “成员属于”选项卡
7. 当管理员为域控制器添加多个组时,还可为域控制器设置一个主要组。若要设置主要组,则在“成员属于”列表框中选择要设置的主要组,一般为Domain Controllers ,也可为CertPublishers,然后单击“设置主要组”按钮即可。
8. 选择“位置”选项卡(图17.3.4)。在“位置”文本框中输入域控制器的位置;或者单击“浏览”按钮选择路径。
图17.3.4 “位置”选项卡
9. 选择“管理人”选项卡(图17.3.5)。若要更改域控制器的管理人,可单击“更改”按钮,打开“选择用户或联系人”对话框,选择新的管理人即可。要删除管理人,则可单击“清除”按钮来删除;若要查看和修改管理人属性,可单击“查看”按钮,打开该管理人属性对话框来进行操作。
图17.3.5 “管理人”选项卡
10.域控制器设置完毕,单击“确定”按钮保存设置。
17.3.3 查找域控制器目录内容
在Windows 2000中,活动目录实际上是一个网络清单,包括网络中的域、域控制器、用户、计算机、联系人、组、组织单位及网络资源等各个方面的信息,使管理员对这些内容的查找更加方便。要查找目录内容,可参照下面的步骤进行:
1. 在“Active Directory用户和计算机”窗口的控制台目录树中,右击域节点,弹出如图17.3.6所示的快捷菜单,选择“查找”命令,打开“查找用户联系人及组”对话框(图17.3.7)。
图17.3.7 “查找用户联系人及组”对话框
2. 在“查找”下拉列表框中选择要查找的目录内容,包括用户联系人及组、计算机、打印机、共享文件夹、组织单位、自定义搜索和路由器等,例如,选择“计算机”选项,这时对话框标题变为“计算机”(图17.3.8)。
图17.3.8 查找计算机对话框
3.在“范围”下拉列表框中选择查找范围,例如,整个目录。在“计算机”选项卡中,设置查找条件。例如,在“计算机”文本框中输入要查找的计算机名;在“所有者”文本框中输入计算机的用户名;在“作用”下拉列表框中选择计算机在网络中作用。
4.单击“高级”选项卡(图17.3.9)。要设置高级查找条件,单击“字段”按钮,从弹出的快捷菜单中选择设置条件的选项,然后在“条件”下拉列表框和“值”文本框中设置条件。
图17.3.9 查找计算机“高级”选项卡
5.高级条件设置好之后,单击“添加”按钮,将条件添加到下面的文本框中。如果要继续添加高级条件,可按照上面步骤继续添加。
6.所有查找条件设置完毕,单击“开始查找”按钮即开始查找,并将查找结果列出。
7. 查找完毕,单击关闭按钮关闭窗口。
17.3.4 更改域控制器
虽然一个域的控制器是域网络的中心,一般都能够稳定地运行,但是它也有出现故障的可能,导致域网络不能正常运行。这时,作为管理员的用户必须更改域控制器,以保证网络的正常运作。在Windows 2000中,由于不再区分主域控制器和辅助域控制器,因而域控制器的更改变得更加简单,用户只须建立当前域与其他任何可写的域控制器的连接即可。
要更改域控制器,在控制台目录树中,右击“Active Directory用户和计算机”根站点,从弹出的快捷菜单中选择“连接到域控制器”命令,打开如图17.3.10所示的“连接到域控制器”对话框,然后在“更改为”文本框中输入要连接的域控制器 ;或者从域控制器列表中选择一个要连接的域控制器。如果在域中没有列出其他可用的域控制器,可选择“任何可写的域控制器”选项,系统会根据网络连接情况自动选择可用的域控制器。要连接的域控制器选定之后,单击“确定”按钮完成连接。
图17.3.10 “连接到域控制器”对话框
【小提示】一般情况下,一个域网络中至少应有两个域控制器(一个域控制器和一个附加域控制器),以便在当前域控制器出现故障时,可使用附加域控制器来代替当前域控制器,保证网络的正常运行。
17.4 账户和组的管理
17.4.1 账户的管理
在一个网络中,用户和计算机都是网络的主体,两者缺一不可。拥有计算机账户是计算机接入Windows 2000网络的基础,而拥有用户账户是用户登录到网络并使用网络资源的基础,因此用户和计算机账户管理是Windows 2000网络管理中最重要且最经常的工作。
活动目录用户和计算机账户表示诸如计算机或个人等物理实体。账户为用户或计算机提供安全凭据,以便用户和计算机能够登录到网络并访问域资源。活动目录的账户主要用于验证用户或计算机的身份、授权对域资源的访问、审核使用用户或计算机账户所执行的操作等。
一、什么是活动目录用户账户
用户账户是用来记录用户的用户名和口令、隶属的组、可以访问的网络资源以及用户的个人文件和设置。每个用户都应在域控制器中有一个用户账户,才能访问服务器,使用网络上的资源。用户账户由一个“用户名”和一个“口令”来标记,二者都需要用户在登录时键入。活动目录用户账户以经验证和授权访问域资源的身份登录到计算机和域。而且,用户账户也可作为某些应用程序的服务账户。
二、什么是活动目录计算机账户
每个加入域的Windows 2000 和Windows NT 计算机都具有计算机账户,否则无法进行域连接,实现域资源的访问。与用户账户类似,计算机账户也提供验证和审核计算机登录到网络以及访问域资源的方法。不过,一个计算机系统要加入到域中,只能使用一个计算机账户,而一个用户可拥有多个用户账户,且可在不同的计算机(指已经连接到域中的计算机)上使用自己的用户账户进行网络登录。
【小提示】Windows 98和Windows 95计算机不具备Windows 2000和Windows NT计算机所具有的高级安全特性,无法在Windows 2000域中为它指定计算机账户。不过,用户仍可以登录到网络并在活动目录域中使用Windows 98和Windows 95计算机。
三、如何创建用户和计算机账户
当有新的用户需要使用网络上的资源时,作为管理员必须在域控制器中为他添加一个相应的用户账户,否则该用户无法访问域中的资源。另一方面,当有新的客户计算机要加入到域中时,作为管理员必须在域控制器中为它创建一个计算机账户,以便它有资格成为域成员。计算机账户的创建非常简单,这里不再细述,下面只着重介绍用户账户的创建过程:
1. 在“Active Divectory用户和计算机”窗口的控制台目录树中,单击之后再双击域节点,展开该节点。
2. 如果要创建用户账户,则右击要添加用户的组织单位或容器,从弹出的快捷菜单中选择“新建→用户”命令;如果要创建计算机账户,则右击要添加计算机的组织单位或容器,从弹出的快捷菜单中选择“新建→计算机”命令。这里选择“新建→用户”命令,打开“创建新对象—用户”对话框一(图17.4.1)。
图17.4.1 “创建新对象—用户”对话框一
3. 在“名”和“姓”文本框中分别输入姓和名,并在“用户登录名”文本框中输入用户登录时使用的名字。如果用户需要在Windows NT、Windows 98或者Windows 95计算机上以不同的登录名登录时,可在“下层登录名”文本框中输入不同的登录名。
4. 点击“下一步”按钮,打开“创建新对象—用户”对话框二(图17.4.2)。
图17.4.2 “创建新对象—用户”对话框二
5.在“密码”和“确认密码”文本框中输入要为用户设置的密码。如果希望用户下次登录时更改密码,可启用“用户下次登录时须更改密码”复选框,否则启用“用户不能更改密码”复选框。如果希望密码永远不过期,可启用“密码永不过期”复选框。如果暂不启用该用户账户,可启用“账户已停用”复选框。
6.单击“完成”按钮即可完成创建。
四、如何删除或停用用户和计算机账户
要删除和停用一个用户和计算机账户,在控制台目录树中,展开域节点。单击要删除的用户或者计算机所在的组织单位,使详细资料窗格中列出组织单位的内容。然后在详细资料窗格中右击要删除的用户或者计算机,从弹出的快捷菜单中选择相应的命令就行了。
五、将用户和计算机账户添加进组
将用户和计算机进行编组,在活动目录中的方法与一般的用户管理基本一样,彭彭稍微看了一下,就没有再多花时间进去了。
17.4.2 组的管理
这里组的概念与作用和原来的一样,其区别主要体现在管理上。
【小提示】组和组织单位有很大的不同。组主要用于权限设置,而组织单位则主要用于网络构建;另外,组织单位只表示单个域中的对象集合(可包括组对象),而组可以包含用户、计算机、本地服务器上的共享资源、单个域、域目录树或目录林。
一、如何创建新组和组织单位
要创建新组,在控制台目录树中,展开域节点。右击要进行组创建的组织单位,从弹出的快捷菜单中选择“新建→组”命令,打开“建新对象一组”对话框(图17.4.3),在“新组名称”文本框中输入要创建的组名;并在“新组的下层名”文本框中输入新组的下层名称(也可使用默认名称)。在“组作用域”选项区域中,对于全局和本地域的概念想必不用再介绍,该怎么选就怎么选。在“组类型”选项区域中,选择“安全”。
图17.4.3 “创建新对象一(组)”对话框
要添加组织单位,在控制台目录树中,展开域节点。右击域节点或者可添加组织单位的文件夹节点,从弹出的快捷菜单中选择“新建→组织单位”命令,打开“创建新对象”—组织单位”对话框(图17.4.4),在“名称”文本框中输入新创建组织单位的名称,然后单击“确定”按钮即完成组织单位的创建。
图17.4.4 “创建新对象—组织单位”对话框
二、如何删除组和组织单位
当用户的活动目录中的组和组织单位因太多而影响了对用户和计算机账户的管理时,作为管理员的用户可对自己创建的组和组织单位进行清理。不过,管理员只能删除自己创建的组和组织单位,而不能删除由系统提供的内置组和组织单位。
删除方法和刚才介绍的删除账户的方式是一样的,但要注意的一点就是,删除了组,只是删除了这个集合,组中的账户是保留着的。
三、委派控制组和组织单位
随着组和组织单位的增多,网络的管理工作会越来越来繁杂,仅仅依*管理员去处理所有的网络问题是不可能的,彭彭为此苦恼不已。幸好Windows 2000提供了一项新的网络功能——委派控制,通过它,管理员可以将一部分域管理工作委派给其他用户、计算机或组,让它们来帮助进行管理,这样就减轻了管理员的工作。如果要对某组或组织单位进行委派控制,可参照下面的步骤进行 :
1. 在“Active Directory用户与计算机”窗口的控制台目录树中,单击之后再双击域节点,展开该节点。
2. 右击要委派控制的组织单位或组节点,例如右击“Users”,从弹出的快捷菜单中选择“委派控制”命令,打开“控制委派向导”对话框(图17.4.5)。
图17.4.5 “控制委派向导”对话框
3.点击“下一步”按钮,打开 “组或用户选择”对话框(图17.4.6),单击“添加”按钮,打开“选择用户、计算机或组”对话框,选择一个或多个要委派控制的用户,也可选择一个或多个要委派控制的组。
图17.4.6 “组或用户选择”对话框
4.点击“下一步”按钮,打开“预定义的委派”对话框(图17.4.7)。
图17.4.7 “预定义的委派”对话框
5.如果有预定义的任务,可选择“预定义的任务”单选按钮,并在任务文本框中通过启用或禁用复选框来设置委派控制权限。如果管理员要自己定义任务,可选择“自定义任务”单选按钮。如果没有预定义的任务就直接到下一步。
6.点击“下一步”按钮,打开“Active Directory对象类型选择”对话框(图17.4.8)。
图17.4.8 “Active Directory对象类型选择”对话框
7.如果要委派的对象为整个文件夹,可选择“整个文件夹”单选按钮 ;如果要委派的对象只是文件夹中的对象,可选择“文件夹中的对象”单选按钮,并在“对象类型”列表框中通过启用复选框来选择对象;如果不希望委派包括默认和指定的所选对象类型的权限,可禁用“包括默认和指定的所选对象类型的权限”复选框。
8.点击“下一步”按钮,打开“权限”对话框(图17.4.9)。
图17.4.9 “权限”对话框
9.在“筛选器选项”选项区域中,通过启用复选框来设置“要委派的权限”列表框中显示哪些权限,例如启用“显示一般权限”复选框,则“要委派的权限”列表框中显示出要委派的一般权限。
10.通过启用“要委派的权限”列表框中的复选框来选择要委派的权限,例如启用“完全控制”复选框,则被委派的用户或组所选对象具有完全控制权。
11.点击“下一步”按钮,打开“完成控制委派向导”对话框,单击“完成”按钮,完成向导。
四、如何设置组织单位属性
组织单位除了有利于网络扩展外,另一大优点是它在管理方面的方便性和安全性,但是,如果不根据组织单位的实际情况设置属性,是很难发挥这个优点的。所以,在创建组织单位之后,必须根据需要设置组织单位属性。通过设置组织单位的属性,不但可以指定组织单位的管理人和常规属性,也可为组织单位创建组策略。要设置组织单位的属性,可参照下面的步骤进行。
1.在控制台目录树中,右击要设置属性的组织单位,从弹出的快捷菜单中选择“属性”命令,打开该组织单位的属性对话框(图17.4.10)。
图17.4.10 组织单位的属性对话框
2. 在“常规”选项卡中,可在“描述”文本框中为组织单位输入一段描述,在“省、自治区”、“县市”、“街道”和“邮政编码”文本框中输入组织单位所包含的计算机和用户的统一通信地址和邮编。
3. 选择“管理人”选项卡,单击“更改”按钮,打开“选择用户或联系人”对话框选择一个用户或联系人作为管理人;管理人更改之后,单击“查看”按钮,可打开所更改的管理人的属性对话框,管理员可对管理人的属性进行修改。如果要清除管理人,单击“清除”按钮即可。
4.单击“组策略”选项卡(图17.4.11)。
图17.4.11 “组策略”选项卡
5.要新建一个组策略对象,单击“新建”按钮,在组策略对象列表框会出现一个新的组策略对象(图17.4.12),在名称文本框中为新策略输入一个有意义的名称。
图17.4.12 新建组策略对象
6. 组策略创建好之后,单击“编辑”按钮,打开“组策略”窗口(图17.4.13)。在该窗口中,管理员可对创建的组策略进行编辑,包括计算机配置和用户配置两个方面。编辑完毕,关闭窗口。
图17.4.13 “组策略”窗口
7. 要设置某个组策略对象的属性,在列表框中选择该对象,然后单击“属性”按钮,打开该对象属性对话框,进行“常规”、“链接”和“安全”方面的设置。
8. 在列表中,不同位置的组策略对象具有不同的优先级,较高位置的组策略对象较之低位置的组策略对象优先级高。所以,管理员可以改变组策略对象在列表中的位置来决定组策略对象的应用级别。如要改变某个组策略对象在列表中的位置,则选择该对象,单击“向上”或“向下”按钮即可上移或下移该对象。
9.如果要删除某个组策略对象,在列表中选择该对象,然后单击“删除”按钮即可。
10.用户要配置某个组策略对象的选项,在列表中选择该对象,单击“选项”按钮,打开该组策略对象的选项对话框(图17.4.14)。
图17.4.14 组策略对象的选项对话框
11. 在“链接选项”区域中,启用“没有替代”复选框,可防止其他组策略对象替代这个组对象中的策略集;启用“被禁用”复选框,可暂时禁用该策略,需要启用时,禁用“被禁用”复选框即可。然后单击“确定”按钮返回到组策略选项卡。
12.如果要防止组策略被下一级组织单位所继承,可启用“阻止策略继承”复选框。最后单击“关闭”按钮保存属性设置。
五、如何设置组属性
一个新组被用户创建好之后,系统并没有设置该组常规属性和权限,也没有为其指定组成员和管理人,该组几乎不发挥任何作用。如果要充分发挥组对用户和计算机账户的管理作用,管理员必须设置该组的属性,解决上面提出的问题。要设置组属性,可参照下面的步骤进行:
1. 在控制台目录树中单击要设置属性的组所在的组织单位或容器,使详细资料窗格中列出该组织单位的内容。在详细资料窗格中,右击要添加成员的组,从弹出的快捷菜单中选择“属性”命令,打开该组的属性对话框(图17.4.15)。
图17.4.15 组的属性对话框
2. 为了便于管理,在“描述”和“注释”文本框中分别输入有关该组的描述和注释;如果要修改组名称,在“下层名称”文本框中输入新的组名称;为了便于组管理员同组成员交换信息,在“电子邮件”文本框中输入组管理员的电子邮件地址。
3.单击“成员”选项卡(图17.4.16)。要添加成员,单击“添加”按钮,打开“选择用户联系人或计算机”对话框选择要添加的成员。要删除组成员,在“成员”列表框中选择要删除的组成员,然后单击“删除”按钮即可。
图17.4.16 “成员”选项卡
4.因为用户主要是通过向新组添加内置组来设置新组的权限的,所以要设置组权限,选择“成员属于”选项卡,单击“添加”按钮,打开“选择组”对话框,为自己创建的组选择内置组。要删除某个组权限,在“成员属于”列表框中选择该组,然后单击“删除”按钮即可。
5.要设置组的管理人,选择“管理人”选项卡。要更改组管理人,单击“更改”按钮,打开“选择用户或联系人”对话框为改组选择管理人;要查看管理人的属性,单击“查看”按钮进行查看;如果要清除管理人对组的管理,单击“清除”按钮即可。
6.属性设置完毕,单击“确定”按钮保存设置并关闭属性对话框。
-----------------------------------------------------| 相关帖子 | |
| [推荐]第十七章 活动目录和域控制器 (Admin,13925,2006-06-08 17:23:52) |
|
|
回复帖子 注意: *为必填项 |
|
|
|
Copyright © 2018 外贸网站建设,SOHO英文网页制作,网站设计公司--伊路网络工作室 版权所有
本论坛内容纯属发表个人意见,与雪风伊路网络科技立场无关
论坛域名:bbs.elut.cn
页面执行时间:57毫秒
