活动目录管理及维护

最新推荐文章于 2022-05-02 11:15:00 发布
最新推荐文章于 2022-05-02 11:15:00 发布
阅读量2.6k 收藏 18
点赞数 6
分类专栏: Windows系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dahege666/article/details/87943015
版权

第一章   部署Windows  域环境

本章结构

一、域、活动目录的相关概念

二、部署Windows 域环境

三、管理域中的账户、组、OU

具体知识点

一、域、活动目录的相关概念

(一)、工作组

特点:工作组环境下的计算机地位平等,规模很小(不适合大型企业网络环境)

(二)、域环境

定义:逻辑上把网络中计算机组织在一起,集中管理的一种网络环境

优点:1、集中管理   2、便捷的网络资源访问   3、可扩展性

                     是一个数据库:存储着整个Windows网络中用户、组、计算机、共享文件夹等对象信息

活动目录         

                      是一种服务:能实现对数据对象的增、删、改、查等操作

域就是活动目录具体的体现形式

                      域控制器(DC):安装了活动目录功能的计算机

 域环境

                       成员计算机:加入了该域环境的计算机

(三)、域的结构

单域:网络中只有一个域 (最常见的管理方式)

域树:具有连续名称空间的多个域

域林:由一个或多个没有形成连续名称的域树组成

二、部署Windows 域环境

(一)、部署域控制器

必须满足条件:

              1、安装者必须是本地管理员权限

               2、操作系统版本必须是服务器版本(Web版除外)

               3、本地至少一个分区是NTFS文件系统

               4、配置静态的IP地址和子网掩码  (正确TCP/IP设置)

               5、磁盘空间足够

输入安装命令: dcpromo  

 

(二)、部署成员计算机

1、客户机必须和域控制器是连通的

2、一定要配置正确的DNS地址 (否则无法解析域名,也就无法加入域)

三、域中用户、组 、OU的管理

(一)、用户

1、命名规则:

a、唯一的用户登录名  (登录名在域中是唯一的;显示名在OU中唯一)

b、最长20字符

c、不能出现非法字符  ( <  >  ?  !  /   \  |   = 等)

2、用户属性

a、登录时间 :  来限制用户登录域的时间

b、登录到:可实现账户可以登录的客户机范围

c、账户过期:规定用户账户是否存在过期的期限来保证账户安全

(二)、组

               安全组:主要是用于设置用户安全权限的

组的类型

                通讯组:主要用于电子邮件通信的

                       本地域组:使用范围是本域

组的作用域     全局组:使用范围是整个林及信任域

                        通用组:使用范围是整个林及信任域 (用户的登录或查询速度更快)

 

(三)、OU的管理

定义:是活动目录中的一个容器(组织单位);可以存放用户、组、计算机、OU等其他对象

创建方法:基于部门的;基于地理位置的;基于对象类型的

特别注意:OU中不能包含来自其他域中的对象

 

第二章    域控管理

本章结构

一、回顾Windows 域

二、添加额外域控及管理

三、卸载域控

具体知识点

一、回顾Windows 域

1、域环境的概念

2、域环境的搭建

a、安装域控制器的条件      b、客户机加入域的条件   c、用户、组、OU的管理

 

二、添加额外域控及管理

(一)、为什么要有额外域控?

1、容错   当域中的域控制器出现故障时,其他域控仍能提供域服务

2、负载均衡                 适用大型网络环境,加快用户登录域的审核速度

3、更易于用户的连接访问     适用于分支机构,提高登录速度

 

(二)、安装额外域控的条件

1、必须具有域管理员身份

2、正确的TCP/IP设置  (能保证和域控制通信,DNS设置正确)

3、操作系统版本必须受当前域功能级别支持  (向下兼容)

安装过程使用命令:dcpromo   (在现有林,添加域控制器)

注意:安装过程中不需要加入域也能成功

安装完成后,AD中所有数据是同步的

 

三、卸载域控制器

(一)、注意事项

1、保证域环境中至少有一台全局编录服务器 (用于验证用户登录)

2、所有域控一定要处于联机状态

3、如果该域控制器不是域内的最后一台域控制器,则该控制器被降级为成员服务器;如果是最后一台域控制器,则降级为独立服务器

(二)、卸载命令 : dcpromo

 

第三章   组策略的应用

本章结构

一、组策略的相关概念

二、组策略的应用(修改现有策略、创建、应用规则、软件分发等

具体知识点

一、组策略的相关概念

(一)、作用:统一桌面环境、自动执行脚本、安全设置、软件安装等

(二)、好处:1、减小管理成本(只要设置一次就可对相关用户或计算机生效)

             2、减小用户单独配置错误的可能性

             3、可以针对特定对象(用户或计算机)实施特定策略

(三)、GPO

1、组策略的所有配置信息都存放在GPO中

2、GPO只能链接到站点、域、OU中(SDOU),通过设置来影响容器中的计算机或用户

3、默认存在的GPO: 默认域策略(Default Domain Policy )对整个域都生效

                    默认域控制器策略( Default Domain Controller Policy) 对域控生效

(四)、组策略的内容

1、计算机配置 : 对容器内的计算机生效  (客户端重启生效)

2、用户配置:    对容器内的账户生效     (客户端注销生效)

二、组策略的应用

(一)、应用规则

1、默认继承    (下级容器会默认继承上级容器的策略)

2、阻止继承     (下级容器可以选择阻止继承上级容器的策略)

3、强制生效     (上级容器的策略可以强制让下级容器生效)

强制生效 > 阻止继承 > 默认继承

4、应用顺序与规则

1)、顺序:LSDOU的顺序 (从左到右应用),后应用的生效

2)、不冲突 : 累加

3)、冲突: 后应用的生效

4)、如果同一个容器应用了多个GPO,不冲突则累加;冲突,谁的优先级高谁后应用,谁生效  (优先级=1 为最高)

5、筛选:可以实现阻止一个GPO应用到容器中的特定账户或计算机

6、软件分发

1)、准备.msi格式的软件包

2)、需要创建共享文件夹,把需要部署的软件放在共享文件夹中,并赋予共享文件夹的共享权限和NTFS权限

3)、创建GPO\用户配置\策略\软件设置\软件安装\属性\选择默认程序包的位置

4)、添加数据包

5)、设置“登录安装此应用程序”

6)、验证

  分配:可以将程序分配到用户或计算机上 (用户必须用的软件,采用“分配”)
  发布:可以将程序发布给用户,用户可选择是否安装

注意:分配比发布更具有强制性的部署方式

 

第四章     Windows 备份和灾难恢复

本章结构

一、Windows  备份工具的概述

二、数据备份

三、数据还原

具体知识点

一、备份工具

(一)、备份: 为了避免数据丢失(硬件故障、误操作、病毒感染.....),提前将系统中数据按一定策略存储到安全的地方,当出现问题时能快速还原减少损失

(二)、还原: 备份的反向过程

(三)、Windows  Server  Backup

特性:是Windows  Server 2008系统中的一个功能,由管理控制台和命令行工具组成;能实现对服务器执行基本的备份和还原功能。

 

安装:服务器管理器\功能\选择“Windows  Server Backup”(安装命令行工具,必须安装Windows  Powershell 功能)\下一步安装

二、数据备份

(一)、备份方式

1、手动备份  (一次性备份)

2、自动备份   (备份计划)   周期性进行,减少管理员工作量

(二)、一次性备份的操作

1、图形化方式

2、命令行方式备份

wbadmin (固定格式命令)   start  backup (开始备份) -backuptarget:盘符: (备份存储目标位置)  -include:盘符:  (备份的源位置)

(三)、一次性备份的恢复

1、图形化  

2、命令行

a、查看可用的备份集版本          wbadmin    get   versions     (查出的关键数据是版本标识符

b、开始恢复        wbadmin    start  recovery (开始恢复) -version:版本标识符   -itemtype:类型   -items:还原内容的具体位置列表(例:D:\aaa.txt)  -recoverytarget:盘符:\    (还原的目标位置)

类型:三种    volume  代表卷    app  应用程序     file   文件或文件夹

(四)、计划备份的操作   (准备一块单独硬盘)

1、图形化

2、命令行

a、查看可用的磁盘       wbadmin    get   disks    (查看的关键内容是目标磁盘的磁盘标识符

b、 wbadmin   enable  backup (启用备份)   -addtarget :磁盘标识符 (备份目标存储位置)  -schedule:备份时间     (如果多个时间用逗号隔开)  -include:盘符:  (需要备份的盘)   -allCritical  (包含系统分区卷)

注意:计划备份必须包含系统分区

3、命令行还原   (同一次性还原)

(五)、备份配置

1、完整备份      每次备份所有内容都会备份  (时间长但不影响性能)

2、增量备份      只有改动的内容会被备份,以前备份过的不再备份 (速度快,降低整体性能)

3、自定义       可针对不同磁盘选择不同方式    (建议:系统盘完整备份,其他盘做增量备份

 

第五章    活动目录备份和灾难恢复

本章结构

一、AD备份/还原

二、备份/还原操作

三、Windows 的安全模式

 

具体知识点

一、AD备份还原简介

(一)、为什么要进行活动目录备份?   

(二)、注意:如果要备份AD,只能当成系统状态的一部分完成

       系统状态数据包括  :   P105~P106

(三)、备份系统状态的注意事项

1、只能用命令完成

2、不能自动备份    (如果想实现自动备份,只能通过任务计划完成)

3、只能存在本地磁盘

4、恢复时只能恢复系统状态数据和应用程序;卷和文件无法恢复

5、备份操作者的权限:  只能是Administrators 组和 backup  Operators组成员

(四)、两种还原方式及区别

1、非授权还原     (域中只有一台DC  ;域中有多台DC,但是旧数据不需要还原到其他域控制器上)

2、授权还原        (域中有多台DC,数据需要还原到所有DC上;是建立在非授权基础之上)

二、备份\还原操作

(一)、单域控备份,非授权还原

1、备份   : wbadmin    start  systemstatebackup  (开始系统状态备份) -backuptarget:目标盘符:

2、删除用户和OU及文件夹

3、非授权还原

a、重启 按 F8  选择目录服务还原模式 ;用“.\administrator”输入安装域控时目录服务还原密码登录

b、查看备份集版本      wbadmin    get    versions    (关键版本标识符

c、非授权还原     wbadmin   start    systemstaterecovery  (开始恢复)  -version:版本标识符

d、还原完成后重启,删除的用户和OU可以恢复,文件夹不能恢复

(二)、多域控,授权还原

1、环境   (两台DC,一主,一额 )

2、主域控建立了4个域用户:aa、bb、cc、dd ;aa、bb在user中;cc、dd直接在域中;建立了两个OU  aa和bb;在C盘还建立了T218的测试文件夹

3、做系统状态备份  (主域控)

4、备份完成后,删除刚刚建立的所有内容   (发现误操作)

5、先做非授权还原

6、授权还原     (需要建立在非授权基础上,非授权完成后不重启

a、Ntdsutil      (进入这个管理工具,专门管理AD活动目录的)

b、Active   instance  ntds     (将实例名设置为“NTDS”)

c、Authoritative   restore    (进入授权还原命令模式)

d、Restore   object   cn=aa (用户名),cn=users ,(代表还原账户所在的位置),dc=benet,(域名),dc=com (域后缀)

如果还原OU  把cn改成OU    (注意:如果该用户直接在域中不在users中,可省略cn=users)

7、验证  :只有做了授权的用户或OU会恢复

第六章    操作主机

本章结构

一、操作主机概念

二、转移和占用

三、操作主机应用  (2003的AD 升级到2008 AD)

具体知识点

一、操作主机概念

(一)、单主复制    (出现Windows  NT 4.0的域环境下;域控制器分为PDC (主域控)和BDC (备份域控)两种;PDC可以修改数据库内容;BDC只能读取AD数据库内容)

(二)、多主复制    (Windows 2000后;所有域控制器都可以修改AD数据库内容)

缺点:所有域控制器的地位平等  (造成网络中某些功能不合适)

(三)、操作主机     (是域控制器的一种角色,担任不同的角色的域控制器有不同功能)

(四)、五种操作主机角色

范围

名称

作用

默认位置

管理工具

林内唯一

架构主机

统一林中所有对象及其属性

林内的第一台DC上

AD架构

regsvr32 schmmgmt.dll)注册

域命名主机

防止林中域名重复

AD域和信任关系

域内唯一

PDC仿真

主机

域内密码和时间同步;支持2000之前的系统

域内第一台DC

AD用户和计算机

RID主机

域内分配RID号(SID=域ID + RID)

基础结构

主机

所在域中对象到其他域的引用

二、转移和占用

(一)、为什么要转移和占用?     (P130)

(二)、转移     正常的角色转换   (担任角色的主机和目标主机需要联机)

(三)、占用     强制手段转移操作主机角色

操作步骤: 1、  Ntdsutil      进入管理工具

           2、  roles

           3、  connection     

           4、  connect   to   server  本机的全名 (目标DC   的FQDN)

           5、   quit        后退一步

           6、   Seize   五种操作主机角色  (逐一操作)

注意:1、能转移绝不占用

      2、被占用的操作角色不要再连接到网络上  

三、将Windows  Server 2003的AD升级到Windows  Server 2008AD

(一)、网络环境

已知的2003的域控制器和一台2008工作组环境的服务器

(二)、目标

将2008服务器变成该网络的域控制器

(三)、具体步骤

1、扩展2003的功能   (因为2003不支持2008的功能)

a、将2008的光盘插入2003系统中    运行命令 D:  进入光驱  

b、运行命令    cd  source \adprep  

c、adprep.exe  /forestprep        扩展林信息  输入 C  回车

d、提升域功能级别为本机模式   (即域功能级别为2003)

e、adprep.exe  /domainprep      (扩展域架构)

f、adprep.exe  /domainprep   /gpprep     (更新组策略对象权限)

g、adprep.exe   /rodcprep       (更新对只读域控的支持)

2、将2008变成额外域控制器   (将首选DNS指向自己)

3、转移操作主机角色到2008上

4、卸载2003域控制器

5、先提升林功能级别和域功能级别

6、删除2003的残余信息   (在AD站点和服务)

第七章    AD常见故障排查

本章结构

一、AD常见故障排查思路

二、常见故障举例

具体知识点

一、常见故障及排障思路

(一)、常见故障

1、加入域失败     2、域用户无法登录      3、域登录缓慢

4、组策略部署不生效     5、数据同步失败

(二)、排障思路

1、单一用户        用户是否禁用、密码是否过期、是否有权限

2、单一客户端      时间是否同步、IP是否设置正确、DNS是否正确

3、网络            交换路由设备

4、服务器          AD是否正常运行,DNS服务器是否正常工作

二、常见故障举例

(一)、客户机无法加入域

1、分析:不是单一用户          单一计算机  (DNS设置是否正确)

测试   :ping   ip  和 域名

查看DNS缓存的命令:  ipconfig  /displaydns

刷新DNS缓存          ipconfig  /flushdns    (清空)

2、解决方法:设置正确的DNS指向,清空DNS缓存

(二)、用户无法登录

1、分析

1)、换用户登录,依旧不能登录说明不是用户的问题

2)、换客户端登录,依旧不能登录说明不是客户端问题

3)、用ping命令验证 :  ping  IP地址可通;但是ping  域名不同  得出是DNS有问题

4)、首先检查DNS客户端;第二步检查DNS服务器问题

2、解决方法:重启DNS服务

(三)、部分用户登录缓慢

1、分析:

1)、能登录,但是时间长说明不是客户端问题

2)、ping  两台DC的IP都能通,但是Ping 域名不通说明网络没问题还是DNS问题

3)、用nslookup 解析域名失败,换首选DNS能成功,说明其中一个DNS服务器有问题

2、解决方法:换DNS首选指向,解决故障的DNS服务器

(四)、组策略不生效的问题

1、分析

1)、是否对所有用户都不生效

2)、在服务器上运行  “gpupdate /force”刷新组策略  (重启服务器和客户端)

3)、检查是计算机配置还是用户配置

4)、检查组策略是否有冲突    (LSDOU顺序及组策略应用规则)

(五)、DC间复制数据失败

1、分析:现象两台DC,在其中一台新建账户,发现账户不能同步

2、解决方法:DC间影响数据同步的因素

1)、网络问题     2)、时间是否同步  

如果手动复制失败,时间问题

同步时间: net   time   \\对方的主机名(或IP地址)   /set   /y

第八章      多域间访问

本章结构

一、林内信任关系

二、林间信任关系

具体知识点

一、林内信任关系

(一)、林根域、子域、树根域的概念

                                                                Enterprise  Admins (企业管理组):可以对活动目录的整个林做修改

1、林根域:林中创建的第一个域                               

                                                                 Schema  Admins (架构管理组):扩展林架构

2、子域:向域树中添加的任何新域都叫子域,子域的域名= 自己的名字 + 父域的域名

3、树根域:在林环境中建立的具有独立的域名的一个域树

(二)、林内的信任关系

1、搭建环境:必须是林根域Enterprise  Admins 成员

2、信任关系特点

a、自动建立 (环境搭建完成后自动建立 树根信任和父子信任)

b、双向

c、可传递的信任    A和B相互信任  B和C相互信任        A和C相互信任

3、验证方法 : AGDLP规则

1、A 用户;G代表全局组、DL代表本地域组、P权限

将本域中的账户加入全局组(范围信任整个林及信任域);将全局组加入信任域的本地域组;给本地域组赋予权限;本域中的账户可以访问信任域中的资源

2、林中所有域账户都能在同一台客户机去登录自己的域

二、林间信任

(一)、外部信任

特点:

1、手动建立   2、不可传递性   3、分双向和单向

        外传:本地域信任指定域

单向

        内传: 指定域信任本域

作用:实现特定域之间的信任,从而实现相互访问

(二)、林信任

特点: 1、手动建立    2、可传递性   3、只能在林根域上建立  4、分双向和单向

作用:实现林间任意域之间的信任及相互访问

我是哥哥。
关注
专栏目录
活动目录的配置与管理
m0_54860576的博客
03-10 2481
实验内容: 1、创建网络中第一台域控制器。 2、客户端加入活动目录。 3、组策略禁用cmd功能。 实验结果 首先创建两台虚拟机,名为 test 1 和test 2 。将他们仅主机模式即可。随后更改他们的网络设置: test 1设置如下 test 2 设置如下:因为域控是test 1 所以dns服务器跟test 1相同。网关:同一网段。 但是此时如果我们去ping 它们是不能ping通的,原因是防火墙,但是关掉防火墙会不安全这时我们可以用另外一种方法。进入防火墙里>入站规则&g...
Windows2000AD活动目录日常管理视频教程
07-23
教程名称:Windows 2000 AD活动目录日常管理视频教程课程目录:【】AD活动目录的日常管理操作(一)【】AD活动目录的日常管理操作(三)【】AD活动目录的日常管理操作(二)【】AD活动目录的日常管理操作(五)【】...
活动目录维护、备份与修复
weixin_34259559的博客
06-01 124
如果想提升域功能级别的话 需要使用Active Directory用户和计算机 通过开始--运行--输入dsa.msc按确定来打开Active Directory用户和计算机 对着域名(yejunsheng.com)右键--选择提升域功能级别 可以看到当前域功能级别是Windows 2000混合模式 我现在把它提升到Windows Server 2003 按...
活动目录(Active Directory)
weixin_34061042的博客
07-27 1341
Active Directory和活动目录是同义词,已合并。 活动目录 百科名片    活动目录(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务。活动目录服务是Windows 2000操作系统平台的中心...
管理活动目录
Nicks_u的博客
04-12 162
创建域 创建额外域控制器与RODC 将计算机加入域或脱离域 删除域控制器与域 管理域用户账户 管理域中的组 组织单位的规划和创建
微软ID活动目录管理与设计2
09-15
在“2003活动目录管理与设计1”这个文件中,可能详细介绍了在Windows Server 2003环境下如何进行活动目录的部署、配置、管理维护,包括上述各方面的实践技巧和案例。学习这些内容将有助于提升对早期AD版本的理解,...
AD(活动目录)管理员操作手册域控及组策略管理.docx
09-09
在IT管理领域,AD活动目录是微软Windows Server操作系统中的核心组件,它提供了一个集中式、层次化的命名空间,用于管理和控制网络资源。AD使得网络中的身份验证、授权和配置管理变得更加高效和安全。 1. 工作组与...
规划、实现、管理维护活动目录
11-14
规划、实现、管理维护活动目录 WIN2003
AD ---- 活动目录的日常管理操作(一)
04-11
AD ---- 活动目录的日常管理操作(一)
Windows Server 2008 活动目录
10-29
Windows Server 活动目录详细介绍,高清版PDF,非扫描版本,非常实用的电子书,下载它,你不会后悔的。
微软活动目录管理管理简明手册
12-08
在基于Windows 2000网络中,活动目录(Active Directory)是它的核心。活动目录是一个分布式的目录服务。网络信息可以分散在多台不同的计算机上,保证快速访问和容错;同时不管用户从何处访问或信息处在何处,对用户都提供统一的视图。可以这样说:没有活动目录,就没有Windows 2000。7 E9 e* I* K; J 8 F# j3 ^7 j$ j一、活动目录基础 6 z) K" V O6 _, k$ m$ F0 D(一)活动目录概览( X# G1 c6 B+ z* g$ f9 w! ]& I 1.什么是活动目录" D1 N0 ~3 _ J$ B0 p 8 m s, [* {) i) n6 f4 s 活动目录是Windows 2000网络中的目录服务。目录服务是一种网络服务,它存储关于网络资源的信息,并使用户或应用程序可以访问这些资源。活动目录使用同样的方法命名、描述、查找、访问、管理和保护这些资源的信息。/ h( T2 t7 ~5 X0 ^4 p - u- i! w* d# O4 d' Y* E( v(1)活动目录的功能: 6 Y4 }' M# y) {5 K. V3 m! R7 S; v 活动目录提供的服务功能,包括一种集中组织、管理和控制网络资源访问的方法。它使物理网络拓朴和协议透明化,这样网络上的用户可以访问任何资源,而不需要知道资源在什么地方,或物理上它是如何连接到网络上的。% t! G+ S" E# e9 q 2 \% m) N4 I- I* v4 f. t(2)集中式管理: * [. Y& e' Q6 @, z7 u& O$ X4 V0 m1 |4 n) K! a% Y 一个运行Windows 2000的服务器在活动目录中存储系统配置、用户简介和应用程序的信息。与组策略相结合,活动目录可以使管理者使用同样的管理界面管理分布式桌面、网络服务和来自中心位置的应用程序。活动目录同时提供对网络资源集中控制,允许用户只登录一次就可以访问整个活动目录的资源。/ [) F0 b& {- Z' Y : Q8 }* B' c% \$ Z# w0 q- x- @ 2.活动目录对象% i& Q! Q* t' M4 {7 }' n- K$ y * Z2 j) M0 E4 [) U* P, j. {活动目录存储网络对象的信息。活动目录对象代表网络资源。如用户、组、计算机和打印机。而且,网络中所有的服务器、域和站点都作为对象。因为活动目录代表了所有网络资源,只需要一个管理员就可以管理这些资源。+ e7 X" A; h1 H+ ?2 z8 p ) ~( _. I6 _% C( D' ?+ z3.轻型目录访问协议 + Y; _% K9 n+ K/ F i6 G/ _: x4 y# X% d 轻型目录访问协议(Lightweight Directory Access Protocol,LDAP)是用于访问活动目录的协议。2 ?: L1 z$ `1 l1 g$ G r6 S 2 G/ r( M+ |) R) R" j" ^* [. [LDAP是用于查询和更新活动目录的目录服务协议。LDAP协议规范表明,一个活动目录对象可以由一系列域组件、OU和普通名字来代表,它们组成了活动目录中的命名路径。LDAP命名的路径是用来访问活动目录对象的,它包括了下面的两类:% T* B4 E: k( {8 ^ 9 U& n1 d0 J; Q: q, w1 O. t+ k1 z (1)标识名(Distinguished Name): ; n! e# H# Q; X' J 7 k& D: |( n5 V! b+ v+ T d/ R在活动目录中每个对象都有一个标识名,标识名确定了对象所在的域和可以找到对象的完整路径。比如,典型的标识名包括: ) v( ^# h2 Q% P ) k( @' h3 e4 k* G+ s" i7 `CN=TOM,OU=Manager,DC=Tech,DC=COM$ s" t. g: e" ^6 q) _ . W, `* `$ G+ l& }7 O/ ^$ Z) G" R(^60090102a^) , ]4 n* g, \5 M2 B7 ?% y( N5 T& w7 s8 Y4 C (2)相对标识名(Relative Distinguished Name):$ Q4 y( i A" B! J2 f, } ) Q' A. Z% l8 F5 K LDAP相对标识名是LDAP标识名的一部分,它用来标识容器中的对象,它的组成随客户建立的现场搜索内容的大小而变化。搜索内容的范围可以是域组件,也可以是普通名字的对象。 1 N6 f7 Q+ p: _0 L: e0 n2 n5 o7 g1 y 下表中给出了标识名,客户建立的搜索内容和相对标识名的具体的例子。 ( `/ b$ c$ Q: f5 G1 h5 j6 t4 x' X! J& K/ L (^60090102b^) - o; a/ R( W" Q( H+ w7 W' e$ n# [' z7 S (二)活动目录结构 / R1 e, {5 F6 l7 `2 g1.活动目录的逻辑结构 ; {! I/ m% N1 x; b! v: i : g: W2 s% o% A6 {4 x0 B(1)域: ' }' }5 v" y7 @9 K! G _5 Q- _+ f( P0 ] 域(Doamin)是活动目录中逻辑结构的核心单元,一个域包含许多台计算机,它们由管理员设定,共用一个目录数据库。一个域有一个唯一的名字,给那些由域管理员集中管理的用户账号和组账号提供访问通道。 " t9 D5 }8 f9 S0 v/ d8 o- M V1 D2 k2 ~+ N6 [2 v7 C. _ 要创建域,用户必须将一个或更多的运行Windows 2000 Server的计算机升级为域控制器。每个域至少必须包含一个域控制器。$ p8 r1 I2 U0 K0 _3 s, @4 ~1 S ( d; ]% ]2 v0 V. k1 P0 ?# C(2)组织单元:" f, N4 i; A9 D1 h+ _ 1 p* g8 H, B, x$ p, h5 p& o 组织单元(Organizational Units,OU)是一个起组织作用的单位。它可将用户、组、计算机和其他单位放入其中的活动目录容器。组织单元不能包括来自其他域的对象。组织单元是可以指派组策略设置或委派管理权限的最小作用域或单位。使用组织单元,用户可在组织单元中代表逻辑层次结构的域中创建容器。这样用户就可以根据用户的组织模型管理账户和资源的配置和使用。 1 e+ }# `! n6 {& h9 ~6 T) \* O0 q 8 V0 D0 S) [( v5 \$ [% R(3)目录树和目录林:4 t+ Q+ o8 q7 X: }% K 0 K+ g; |# ^; h3 S% y1 B 活动目录中的每个域利用DNS(Domain Name Server,域名服务)域名加以标识,并且需要一个或多个域控制器。如果用户的网络需要一个以上的域,则用户可以创建多个域。共享相同的公用架构和全局目录的一个或多个域称为域林。如果树林中的多个域有连续的DNS域名,则该结构称为域树。如^60090102c^所示。 ' C, [0 _7 o0 Q0 w, S" v+ z( D* t7 N 如果相关域树共享相同的活动架构以及目录配置和复制信息,但不共享连续的DNS名称空间,则称之为域林。$ h, Z8 p5 k( h# f0 W - v# E$ N5 i/ @域树和域林的组合为用户提供了灵活的域命名选项。连续和非连续的DNS名称空间都可加入到用户的目录中。 $ b2 D1 h Z5 S& O# P/ A- n; [7 S 2 O" c5 Z' v+ z3 W# r5 `/ X. d(4)全局目录:. C- m/ F* a4 T5 e ' r! o0 C5 N1 @$ j/ Q% H0 V7 w$ r一个域的活动目录类似于一本书的目录,那么全局目录就好像是一系列书的总目录。在全局目录中包含一个已有活动目录对象属性的子集。默认情况下,存储在全局目录中的对象属性是那些经常用到的内容,而非全部属性。 - g' B e* Q1 b' N! @ 4 k9 H# a7 L4 C" C全局目录服务器是一个域控制器,活动目录建立的第一个域控制器自动成为全局目录服务器。全局目录就放在全局目录服务器上。 5 E4 E: a& _- c% ~1 X 4 Z z8 n. F8 D8 @1 `% A/ p% x4 s2.活动目录的物理结构& i* E3 v! U0 s+ ]5 ? , D* g0 V# `" `) g(1)域控制器: _1 {% O: y' ]+ W/ [ 8 c6 p0 N( J1 o域控制器就是存储活动目录的地方,一个域可以有一个或几个域控制器。在域中,各域控制器相互复制活动目录的改变,在目录林中,各域控制器相互之间也把信息自动复制给对方。 $ j D* X9 F, S$ @ X1 Q+ i. m2 x' M % H; [# e9 \& q- B# f. `(2)站点:+ G! K. R5 I* ~: k6 g1 B$ @4 Z- j' B ( y: ] o$ r9 C( \/ x5 b @: a站点(Site)是由一个或多个IP子网中的一组计算机,确保目录信息的有效交换,站点中的计算机需要很好地连接,尤其是子网内的计算机。站点和域名称空间之间没有必要的连接。站点反映网络的物理结构,而域通常反映用户单位的逻辑结构。逻辑结构和物理结构相互独立,所以网络的物理结构及其域结构之间没有必要的相关性,活动目录允许单个站点中有多个域,单个域中有多个站点。 2 p h5 x$ E8 O, \0 s( d" q+ l; n. t6 E0 z4 F/ R1 ?$ F 如果配置方案未组织成站点,则域和客户之间的信息交换可能非常混乱。站点能提高网络使用的效率。 ; K( `+ F8 I2 b4 t 7 q6 g1 \( i9 c1 B( S9 X( G二、安装活动目录* O! ~# |* Y1 x4 ]: E; X$ _4 ?. } (一)安装活动目录的要点 3 t; E1 N, f& V* e4 p3 S首先,也是最重要的一点,就是你必须有安装活动目录管理员权限,否则无法安装。' E/ P8 R' x% B$ f( q7 h5 i 3 ^7 w8 h% q+ a) v" n$ D0 K; C在安装活动目录之前,要确保计算机满足基本系统要求:* Z& t: _9 N6 A1 c" C - B7 H( D6 e+ q- W9 x(1)计算机运行Windows 2000 Server版本,且系统盘是NTFS分区。0 O0 F/ N" {4 M2 A* V6 X$ g; f/ Z9 g & t' m4 Y7 \: g+ c* T3 A (2)用于活动目录数据库的最小磁盘空间为200MB,另外还要有50MB的空间用于活动目录数据库的日志文件。% N, l3 [) D1 u9 r- R" {: `( U6 K - S P; `* |# m( E* Q$ E& U2 u (3)已做好了DNS服务器的解析。1 C. \( h3 k) `6 q2 A1 @! P " v" N0 w: a& ~: e- I DNS(Domain Name Server, 域名服务器)是活动目录的基础,没有DNS就不会有活动目录。DNS也叫域名服务,它的作用是将某个域名与IP地址对应,从而将人易于理解的域名转达化为易于计算机寻址的IP地址。而如果活动目录中的资源对应的是LDAP标识,那么只需要DNS中有这个标识的定位记录就可以很方便地供用户查找资源,并寻址到相应的位置上。' u* [+ L2 m- \ j: h: L. r7 u 有关DNS服务器的配置,读者可以参考《电脑报2001年合订本》下册附录中《ⅡS 5.0网络建站完全手册》一文。 4 ^; U6 a4 c4 _+ F. @& i* y2 M 9 X, c" R4 J. `7 w: z(二)安装活动目录 3 |" ]' a: f6 V# D$ W运行活动目录安装向导将Windows 2000 Server升级为域控制器以创建一个新域,或者向现有的域添加其他域控制器。2 E5 K. u' s+ W: ?7 g7 L # u) H2 p, | f 1.安装域里的第一台域控制器 4 w9 {' z: n+ Q: ]3 Y 0 `) M, t8 y9 `- K在安装活动目录前首先确定DNS服务正常工作,下面我们来安装根域为lanyi.com的第一台域控制器。! l. {% A- D& a# l : A5 u: R, v0 f5 \' Z9 o m(1)运行位于C:\Winnt\System32目录下的dcpromo.exe文件,以启动活动目录安装向导。点击“下一步”按钮。 4 a/ ~1 x* @2 z7 m5 G6 m3 y; D! M0 t! t. R (2)由于用户所建立的是域中的第一台域控制器,所以在“域控制器类型”对话框中选择“新域的域控制器”选项,然后点击“下一步”按钮。 , ^: j- [0 {3 Z& m2 B1 l9 Z) p5 p! _; \+ c (3)在“创建目录树和子域”对话框中选择“创建一个新域的域目录树”,点击“下一步”按钮。; ]1 h& I- K! @3 h/ J5 g 3 A. q3 r6 `' g+ S(4)在“创建或加入目录林”对话框中选择“创建新的域目录林”,点击“下一步”按钮。 # [2 D" E4 o; N. j, d- g; H! U! k" ~. |+ m (5)在“新的域名”对话框中的“新域的DNS全名”框中输入需要创建的域名,这里是lanyi.com。点击“下一步”按钮。& M: O; I8 X% Z3 k0 K+ m8 G0 g9 { 2 G/ b7 t( E" {9 y8 G2 S" _. l(6)在“NetBIOS域名”对话框中,安装向导自动将域控制器的NetBIOS名设置为“LANYI”,点击“下一步”按钮。9 P* U& U; P' P; [! D* E) ? + S& e$ Y$ N# _' q(7)在“数据库和日志文件位置”对话框中,将显示数据库、日志文件的保存位置,一般不必作修改。点击“下一步”按钮。, @! c5 p) @* R' C" d! h ( V" p$ a2 X4 G t7 k; L6 Z! ?) V (8)在“共享的系统卷”中,指定作为系统卷共享的文件夹。Sysvol文件夹存放域的公用文件的服务器副本。Sysvol广播的内容被复制到域中的所有域控制器。其文件夹位置一般不必作修改。点击“下一步”按钮。* t% T! ?5 X- E- U) b N5 o: I4 c) ^) U0 O(9)在“配置DNS”对话框中,点击“下一步”按钮(如果在安装活动目录之前未配置DNS服务器,可以在此让安装向导配置DNS,推荐使用这种方法)。 7 j6 ^* x& Z4 D* U. p$ g : ^4 V; D- D1 }0 ?5 T(10)在“权限”对话框中为用户和组选择默认权限,考虑到现在大多数单位中仍然需要使用Windows 2000的以前版本,所以选择“与Windows 2000服务器之前版本相兼容的权限”选项,点击“下一步”按钮。 ; u. j1 k. B `+ Z; w+ a, |1 {9 x) U" y1 [5 l/ U+ M% A9 u0 t1 N; V (11)在“目录服务恢复模式的管理员密码”对话框中输入以目录恢复模式下的管理员密码。点击“下一步”按钮。 / i: @, K$ g# u. |# d ' n% K7 [9 X: @3 ^(12)此时,安装向导将显示安装摘要信息。点击“下一步”按钮即可开始安装,安装完成之后,重新启动计算机即可。 9 X2 l( n" a% K, ~/ r. }+ x* z5 n8 u% ?8 e" a 2.检验安装结果* S0 C) w1 I$ \; ^' ?* W+ z- H : Y: s& ?. U3 s# X& P7 N& f 安装完成后,可以通过以下方法检验活动目录安装是否正确,在安装过程中一项最重要的工作是在DNS数据库中添加服务记录(即SRV记录)。; G F! |; z( Z3 n& }- d: ? % e* |8 R( Z% e+ s9 N! X# X (1)检查DNS文件的SRV记录:用文本编辑器打开%systemroot%\system32\config\中的Netlogon.dns文件,查看LDAP服务记录,在本例中为_ldap._tcp.lanyi.com.600 IN SRV 0 100 389 n2k_server.lanyi.com. ! f9 |9 r l& ?6 { & {) K* E8 T$ j0 R/ S, T(2)验证SRV记录在NSLOOKUP命令工具中运行正常:在命令提示行下,输入“nslookup”命令;输入“set type=srv”命令;然后输入_ldap._tcp.lanyi.com。此时如果返回了服务器名和IP地址,说明SRV记录工作正常。! o9 K; o8 q' _( ]" C/ ~% ^ & Q: Q: d0 j8 C 另外,当安装完毕后,在管理工具中提供了三个工具:Active Directory用户和计算机、Active Directory域和信任关系、Active Directory站点和服务。同时系统还提供了Active DirectorySchema和ADSI,主要用于Active Direttory开发的工具。: T5 J9 f/ E# Y! h& @ 6 W* V, Z6 w( E+ l% q0 d0 @Active Directory用户和计算机工具是配置互动目录最常用的工具,在后面我们将详细介绍它的使用方法。1 g1 F, _* x7 u1 r/ g - M* U6 n% G! G. S6 Y6 u 3.删除活动目录- h8 h, m3 j3 R 1 I$ |: u& {4 p2 t9 R( d 与安装活动目录一样,运行dcpromo.exe文件即可。 # z0 Q5 R: y5 G8 v: Z, T- D3 U& R- B/ q3 t 三、设置管理用户和组 0 L6 n8 Y" v2 L: D( e! p在网络中为用户开设账户的工作即是一项基本功能,又是一项非常重要的工作,因为账户与权限有关。% \0 v- A+ ^# k Q' l( `+ n* } S3 Q' X% s: F9 q用户账号保存在活动目录中,为该用户账号启动唯一登录的对象。唯一登录是指从工作站登录获得网络资源的访问过程中,用户只能输入一次名字和密码。域用户账号可以登录到域访问网络资源,或是登录到个人计算机上访问本机上的资源。 ( ?0 I4 }. [. |9 G( m0 P% z! b O/ O- f/ H% S (一)用户登录名 & @2 Z6 [; S2 `+ N1.用户主名2 N. Z0 Y& W. Y: t& l" L : L) ?! [! {& t 在活动目录中,每个用户都有一个用户登录名,和一个pre-Windows 2000用户登录名。用户账户信息用来验证和认可目录林中任何地方的用户,这就导致了唯一登录。( U& g/ t$ ?% z% k; S2 l 3 b/ g1 x" j6 h. I5 P) n 用户主名是只用于登录Windows 2000网络上的登录名。也可将此名看作是用户登录名。一个用户主名有两个部分,它们用@符号隔开。如apple@lanyi.com。一个用户登录名有以下两个组成部分: ' L: V$ y2 ~* p3 a6 K, X 6 T6 D6 P' H& ~# `用户主名前缀:在apple@lanyi.com是apple。 0 u) c2 E/ S( |. Z; o5 y( L9 |: \9 Q" j& D. b% d 用户主名后缀:在apple@lanyi.com是lanyi.com。默认情况下,后缀是网络中根域的名字。用户可以使用网络中的其他域来为用户配置其他的后缀。( t6 A8 k+ D& S0 D3 `8 V( { 0 k( `$ Y; e7 I' d 2.创建用户主名后缀* m& H& Y6 p/ X% f. E 0 ^ y! P+ P# }1 u) |% q0 u (1)点击“开始→程序→管理工具→Active Directory域和信任关系”选项,右击“Active Directory域和信任关系”选项,选择“属性”命令。; E( e# [* m2 j9 U" ~6 v" Q 7 B0 n* e$ H7 e(2)在打开的对话框的“UPN后缀”选项卡中输入一个可供选择的后缀名,如lanyi.com,然后点击“添加”按钮。 3 h% A* [7 t' R, S/ w 4 q7 Q) m; L2 M8 z; J(二)管理用户账号 " h9 V5 h& W5 j1.创建一个用户账号 ! u7 L6 X$ o" Q! v . c; O" M7 `; k8 ? `1 Y(1)点击“开始→程序→管理工具→Active Directory用户和计算机”选项,在打开的窗口的左侧栏中右击“user”容器,选择“新建对象”命令。 3 f, W' g6 i7 c: {' b) e G; Z 1 O( A) J- d2 a* D(2)在打开的“新建对象”对话框中,输入姓名和用户登录名。点击“下一步”按钮,输入用户密码。其中:4 \9 R1 x1 R5 @8 Y$ Z1 ~. V: ?5 s+ k4 j / T! K9 J+ B+ q, ~$ h用户下次登录时需要更改密码:如选中此项,用户下次登录时将提示用户重新输入新密码。 ; Q; M) E$ S4 y0 F: N! C E# Q( U. _1 `用户不能更改密码:这一选项保证用户密码不能被修改。 ' m* c& e' A' c* c( T$ F : p: d2 C$ }% a密码永不过期:如选中此项,密码将永不过期。因为过期的密码将不能使用,过期时间在账户安全策略中设置,或在账户属性对话框中修改。. `" F5 P2 W6 S: Z: S: t + |* h9 m5 G% K+ u6 | q 账户已停用:表明此账户已被停止使用,如想让账户解锁,必须由管理员在用户属性对话框中设置。- A1 D( b% H' Q! [# [9 {6 j. u . Q6 W) |: D+ V: `2.执行公共管理任务 4 K f9 h# w# \3 \: ~, y7 o3 T" C5 M9 M (1)禁用和启用用户账号: 2 m" s' |% M v2 I+ |1 ` : O+ x' s( u2 x% n J当用户一段时间内不需要他们的账号,但一段时间后需要使用它们时,管理员可将此用户账号禁用。 $ U+ ?9 B; o. H- a3 T ! e( R% O7 ?4 e0 F9 U在“Active Directory用户和计算机”窗口中,右击相应的用户账号,然后根据该账号的当前状态点击“停用账户”或“启用账户”命令即可。 ! e" R' K/ b! e4 Q3 U& C0 w. k* h& ` / R" x) y( Y; G(2)重设密码: / Z3 t& P! }3 V; j* m: }; e2 x9 p# b 0 `. ?4 X. p- a: f当在用户改变密码前密码期满或是用户忘记密码的情况下,管理员需要重新设置密码。 8 S& B+ s- b' }( q) i* u+ r. m5 h7 R0 a! m" l9 | 在“Active Directory用户和计算机”窗口中,右击相应的用户账号,然后点击“重设密码”命令即可。 # Q, H) ^& x; w3 I! L' w5 L- [9 w: p! u3 z (3)在一个域内移动用户账号: 7 d/ F3 v- e9 D. p + x5 t: O$ d! U3 g% B1 l必要时,管理员可能需要在同一个域内的OU之间移动用户账号。例如一个职员从一个部门调到另一个部门,这样将由另一个管理管理该职员的用户账号。8 o( q0 V0 B) ?1 Z/ P$ I9 \ 4 z) [! H9 N* W5 k8 [& [% B* \在“Active Directory用户和计算机”窗口中,右击相应的用户账号,点击“移动”命令。在打开的“移动”对话框中,双击域目录树,点击对象要移入的OU,然后点击“确定”按钮即可。 ' v: [: s8 A( w* c7 t6 D* K- c5 G* K/ k + Q% u; V. T) D- C(4)删除用户账号: ) c( ]( I- \6 R$ E" |5 J3 A9 @7 |( K w, x 在活动目录中存在有无用的账号,如果一个授权用户能够使用一个无用的账号登录可能会引起网络安全的风险,所以对无用的账号应当删除。6 m' e$ F3 p: H / G9 ]) J, d9 S在“Active Directory用户和计算机”窗口中,右击相应的用户账号,然后点击“删除”命令即可。; X" b& R. l* ^" u6 C & L* z8 |8 Z& w0 K. L. ?1 k (5)重命名用户账号:* h& U+ a: o+ u8 W! G5 X7 S0 D' L # `' C* @2 M$ n4 ?$ x: n: n如果管理员想保留以前某个账户所指定的各种属性和权限给一个新的用户时,可以将以前的账户重命名。, _# {' X6 K2 g1 f6 ~ c" \/ b2 x % u( B' @7 S! j 在“Active Directory用户和计算机”窗口中,右击相应的用户账号,然后点击“重命名”命令即可。 - X% f2 j5 D4 E. V: \6 j* i* q* D8 \3 Z% z 3.为域用户账号设置属性 8 }6 @" E& N6 i6 t+ \4 W8 y& O% \+ ~9 g4 X/ x( b. C) y (1)设置个人属性:* K$ G3 ?$ X3 E+ Y $ s8 n) l; @# W 在“Active Directory用户和计算机”窗口中,右击相应的用户账号,点击“属性”命令即可打开相应的属性对话框。在该对话框中,各个选项卡对应于不同的用户设置,你可以根据具体的情况尽可能的详尽填写。这样做的好处是利于以后的账户查找。) B2 M8 V Z e0 H, ^" u % ^" \3 ^2 @ V' P" ~ f (2)设置账户属性: 9 M7 V/ V+ }/ j6 [" y! b + Q, B! A1 M2 C: S6 {4 y* A在“账户”选项卡中管理员可以指定用户的登录名称,设置账户选项,指定账号失效日期。5 [* {* q' z3 q+ W% I 7 r7 T; X7 m$ o你可以在该选项卡下配置当你创建该账户时指定的设置值,如用户登录名和登录选项。可以修改密码需求条件,为此,在“账户选项”选项组下选择相应的复选框即可。2 _$ n% Z$ }# \8 P0 i& U9 g 3 ^. r C3 {& Y$ x除此之外,还可以在该选项卡下设置用户账户的失效日期。到达这一日期后,Windows 2000将自动禁用相应的账户。默认情况下,用户账号永不失效。为此,你只需要在“账户过期”选项组中,点击“在这之后”选项,然后从列表中选择一个失效日期,点击“确定”按钮。 2 j3 |( X! h+ L4 j) f$ s' V 0 M7 _/ M$ w- ?1 Z(3)指定登录选项:7 f4 ^' h9 O, w2 B+ @1 D, H 2 [6 N' L- \- J; D _ 你可以通过设置用户的登录时段,控制用户可以在哪些时段登录到指定的域,你也可以通过设置登录工作站,来控制用户可以从哪个计算机登录到指定的域。 ) L1 S$ F6 B1 x7 K 0 ^! I0 @2 V0 B. G- b在默认情况下,用户可以每周七天,每天24小时连接到服务器。在高安全性网络中,你可能想限制用户可以登录到网络的时段。为了设置登录的时段,你可以按照下面的步骤进行:" j5 V& [0 t% j3 y3 a8 S : [6 b5 Z( ^/ C' j 在“账户”选项卡中点击“登录时间”按钮,打开相应的对话框。其中蓝色指示该用户可以登录到的时段,而白色框指示该用户不能登录到的时段。 ( i/ | Y, e+ q( B5 \4 [- n$ D% ? 在“天”和“时”框中,选择你想拒绝访问的时段框,并点击开始时间,然后向终止时间拖动,再点击“拒绝登录”或“允许登录”选项即可。5 F8 V c7 e; B ' `' y6 K5 z/ E% `$ x, w1 \ M同样的,你也可以指定用户从哪个计算机登录,在默认情况下,具有合法账号的任何用户都可以在运行Windows 2000的任何计算机登录到网络。 / j/ A& v2 x& W! y! K! c 9 u! x4 Z% ^- n+ C在“账户”选项卡中点击“登录到”按钮,然后在打开的对话框中点击“下列计算机”选项,添加用户可以进行登录的计算机。为此,在“计算机名称”框中输入计算机的名称,点击“添加”按钮即可。' k2 l. Q8 l8 c3 L& `; D/ Q 9 l% x& d1 ^* p: T' F+ m2 U2 s 4.用户配置文件/ F, F+ s4 A. r( e( w / r+ e+ r7 _1 C% q% u, f* q% r. O在Windows 2000中,用户的工作环境主要由用户配置文件定义的。为了安全性的目的,Windows 2000要求每一个访问系统的用户账号都有一个用户配置文件。用户配置文件包含所有必要的设置值,这些设置值包括显示器、区域设置、鼠标和声音设置等,除此之外还包括网络和打印机连接。- O# o0 t3 ?. k# j3 F2 S( V " e- ]; ~% b4 P) ]+ X f (1)用户配置文件的类型: ; f r- L: Y& L" w! s4 y8 Q 0 J- C: u' U) ?4 R" o/ U用户配置文件在用户第一次登录到计算机时创建。所有针对具体用户的设置值都自动保存在该用户的文件夹中,即C:\Documents and Settings\用户名。 , f: [ {, X9 p0 g ) ? z+ Z' P, w! E默认的用户配置文件:用作所有用户配置文件的基础。每个用户配置文件都开始于默认的用户配置文件的一个复制件。8 H& Q) X, R5 q7 Y . M+ F Y) @& A1 w$ C本地用户配置文件:在用户第一次登录到计算机时创建,并被存储在本地计算机中。每个计算机上可以有多个这样的配置文件。+ P1 R; O7 i4 q6 B N 9 N5 u7 U; L2 ]9 J$ q漫游用户配置文件:由系统管理员创建,并存储在某个服务器上。在任何时候,用户登录到网络中的任何计算机时,这一配置文件都是可用的。如果某个用户修改了他的桌面设置值,在该用户撤销登录时,这一用户配置文件即在服务器上更新。6 U y* J5 O# x ) ~3 D/ b3 \' {% Q3 [" k7 _9 O强制性用户配置文件:由管理员创建,用于为某个或某些用户指定特定的设置值。强制性用户配置文件可以是本地的或是漫游的用户配置文件。它不保存对用户桌面设置值的任何修改,用户可以修改他所登录的计算机的桌面设置值,但是当他们退出登录时,这些修改不被保存。 0 K* N" Q+ g$ k2 `9 @1 v3 b$ t! K% o1 t3 _; _7 X4 `, z" X (2)创建漫游的和强制性漫游的用户配置文件: 4 P) |" z& g) ^8 R$ o ; Z5 L1 a7 \$ i+ ~) J5 J让我们来创建漫游的用户配置文件:9 u) h) l1 s8 q i$ ^ H 5 j( @; W T) J7 y7 P8 X! c4 [6 n在某个服务器上创建一个共享的文件夹,并为用户提供对于该文件夹的“完全控制”的权限。$ L6 z! R2 B7 t 0 d3 K. M' [( j' q在用户账号属性对话框中,点击“配置文件”选项卡,在“配置文件路径”框中输入相应的路径信息,用以指定共享文件夹。键入的路径信息应该是\\server_name\shared_folder_name\user_name。可以采用变量%user_name%,而不键入具体的用户名称,此时,Windows 2000将自动用漫游用户配置文件的用户账号名称替代%user_name%。/ C, s% K _& |; ~, G3 P 6 z4 G* |1 i b: z 下面再让我们来创建一个强制性的漫游用户配置文件:8 u5 c& K+ W0 M4 @' {( h6 } - j0 S: R9 W F- l首先在某个服务器上创建一个共享文件夹,其中包含一个配置文件夹,创建的用户配置文件将被置于该文件夹中。为用户提供对于这一配置文件夹的“完全控制”权限。例如创建一个名称为“Profiles”文件夹,然后在该文件夹中创建一个名为“User1”的文件夹。 # k2 o" h( \. v3 ?7 c3 s5 K1 R 6 }1 Q. q0 |2 h建立一个已经配置的漫游用户配置文件。在“Active Directory用户和计算机”窗口中创建一个新的用户,指定该用户的配置文件夹作为路径信息,然后配置该配置文件。如创建一个名称为User1的用户,并指定配置文件的路径为\\server_name\Profiles\user1。为了配置该配置文件,以User1作为用户名称登录到域,必要的时候修改桌面设置值,然后退出登录。 0 \* A6 M O3 s5 d! E8 n# @' K) I3 q: `: f. Y+ @% W/ x 将配置文件Ntuser.dat重命名为Ntuser.man。这样做将使配置文件成为只读的,并因此而成为强制性的。& W3 p" Q5 k! z& V- L d/ s* I 5 F9 v3 C7 s/ B+ V (三)活动目录中的组& P* [9 k* Q3 X 组是可包含用户、联系人、计算机和其他组的Active Directory或本机对象。使用组可以简化管理。' Q, F. G2 b" L6 c6 g0 S ) P$ _/ W T8 n) a, c; Q& r1.从组的类型分类# P% ? K# B7 S: P! G0 K- I1 E& i 1 V, O9 H& U" d& Q( m(1)安全组:用于将用户、计算机和其他组收集到可管理的单位中。为资源(文件共享、打印机等)指派权限时,管理员应将那些权限指派给安全组而非个别用户。权限可一次分配给这个组,而不是多次分配给单独的用户。 . e/ c9 f) G* d& E7 L# d ( N" o. l6 D, ~) b1 S8 k+ O(2)分布组:只能用作电子邮件的组。不能用于筛选组策略设置。该组无安全功能。 - N3 ^8 H! |; B0 C+ E* }4 d; m6 A+ R1 G; r 上述两种组都支持域本地、全局或通用组范围中的一种。1 ?3 m* I9 q7 ^: p2 @5 i0 G & F) l" I3 {0 ~3 Z; ?7 t 2.域模式5 _5 S' V5 q" A3 [6 n+ x0 I $ L3 U1 v4 a; n% y2 g& l) T在学习本地、全局或通用组之前,我们需要先讲述一下域的模式。域模式共有两种,混合模式和本机模式。计算机刚升级为Windows 2000域控制器时,默认情况下为混合模式,如果你想更改为本机模式,可以按照下面的步骤进行:( J1 F1 I% X ^ i9 T3 Y& p ( E* d1 C4 q8 {# E# I在“Active Directory用户和计算机”窗口中,右击域名,选择“属性”命令。此时,你可以在打开的对话框的“常规”选项卡“域模式”选项组中,点击“更改模式”按钮,在打开的对话框中点击“是”按钮,即可将域模式改为本机模式。 + l' e9 H. R; k, G0 i 6 X9 @4 `+ E& I$ T7 p3.全局组2 h- g( M9 X' q2 g5 ^4 e+ V ( w- }, ~2 D U 利用这一组作用域,来组织那此具有类似的网络访问需求的用户。你可以利用全局组授予访问任何域上的资源的权限( i6 F2 n3 H/ F% N6 d ' r; e" J, F% ~# q (1)成员资格。混合模式可以包含来自同一域的用户账号。本机模式可以包含来自同一域的用户账号和全局组。4 j/ x0 u8 A( ~+ T " o8 k5 M E6 w) \(2)成员范围。在混合模式中,全局组可以是域本地组的一个成员。在本机模式中,全局组可以是任何一个域中的通用和域局部组,以及同一域中的全局组的成员。 d, r1 {5 \2 N0 l8 @ 3 c' J5 Y; x* s+ V( K0 E# ^+ C. x% D(3)作用范围。全局组在它的域及包括目录林中的所有域的所有信任域中都是可见的。 ) p8 i8 g! o- ^) e9 u# l! U / c X/ r' r2 B4 y; ^* v* P(4)权限范围。目录林中的所有域。 3 w- x+ w8 `% n2 Z, g" E% _$ e0 y1 n) G8 J2 v4 c. ?% r 4.域本地组. l5 l6 ?! s/ [- @' e 8 c& ^( @6 c& {# ~ 利用这一组作用域,可以授予访问域资源的权限。这些权限要位于创建该域本地组的域中,但是不必驻留在某个域控制器上。 " E! Y/ f5 H4 t$ E7 j ) {3 k. D( a; x(1)成员资格。混合模式可以包含任何域的用户和全局组。本机模式可以包含目录林中的任何域的用户账号、全局组和通用组以及同一域的域本地组。, ~8 \" D! [' A* ~; f4 e- q, P 9 {. @" i' j0 q/ c (2)成员范围。在混合模式中,域本地组不能是任何组的成员。在本机模式中,域本地组可以同一域中的域本地组的成员。 * E" ^$ g9 `( k6 a3 R0 R0 } . N; R3 h8 }8 \1 W% q0 O+ b(3)作用范围。域本地组只在它自己的域中可见。' W9 l' o; H; r ( d6 \0 l& j( u9 b5 ~- N" e(4)权限范围。域本地组位于其中的域。1 ]; E5 O) Q3 L! s0 O 4 x4 s j% O0 R 5.通用组 + r# o$ @/ o0 A S& J/ L9 i! s" U! v4 _ 利用通用组可以为多个域中的相关资源授权。利用通用组可以授予访问任何域上资源的权限。 5 o) E1 |1 f9 h: u! b % ^, x& M9 f4 a" F: ~* N! l+ B7 D(1)成员资格。在混合模式中不能创建通用组。本机模式可以包含来自目录林中的任何域的用户账号、全局组和其他通用组。 & W% e" F$ B$ v, T / b2 z6 y4 v7 z1 k$ p(2)成员范围。通用组在混合模式中不适用。在本机模式中,通用组可以是任何域中的域本地和通用组的成员。 * C& S* i! {' n( Z; g4 N9 f9 }5 [7 l$ H2 b; l$ A (3)作用范围。通用组在目录林中的所有域中都是可见的。, _$ ^$ D @7 j$ m5 g; ]" E' [ # U' M3 R b4 d(4)权限范围。目录林中的所有域。* X% z$ y. P Y" H ; B+ J/ I7 T9 K" v4 T1 P& W 6.在域中使用组的管理思想 - a: d h% G6 g& y" G. o6 j a O" s# v4 f7 h1 k6 L2 i 经过上面的介绍,相信大家知道组是可以嵌套的,而且有了组,对于多个相同权限的用户,再也不用分别给每个用户赋权了,只需给一个组赋权就可以了。那么在Windows 2000域中使用组应遵循什么原则呢?+ k; [# {6 r8 _5 }: u7 B g( L+ Q0 P1 Q4 V; U8 e% j+ `; l* {/ F 这个原则其实很简单,那就是:将用户加入全局组;将全局组加入域本地组;给本地组赋权。 : N# u6 b$ [) Z1 \1 u8 I7 U# O* D( a& m; j0 X. v, v+ B 这也就是AGDLP,其中A(User Account,用户账号)G(Globle Group,全局组)DL(Domain Local Group,域本地组)P(Permissions,权限)策略。这个策略是一种管理思想的体现,它提供了最大的灵活性;同时又降低了给网络分配权限的复杂性,尤其在有多个域时,这个策略就更加具有优势,如果只有一个域,那么这个策略就可以更简化了。 ! t6 T6 P% y' E& w1 \; X# [% t" \+ {$ g4 X! L+ ] 四、在活动目录上发布资源 9 o3 S) a5 R; R8 j- R" x! _% d发布的意思可以简单地理解为在活动目录中可见。在活动目录中发布资源要注意发布相对静态的、很少改变的资源。( H6 r( `" M9 e l$ i / p8 n* `- Z; e: P1. 资源的发布! C+ t- `. J1 ]5 b0 C6 F: \ (1)公布共享文件夹: & }& W1 k4 w% P7 v- d$ {, x# h8 n* y 要想将共享文件夹发布在活动目录上,就必须手工加入,而不会自动产生。 3 b( Q" k5 f0 _& d$ h- n1 G2 [$ T; u 首先在“Active Directory用户和计算机”窗口中双击域节点。然后右击想在其中添加共享文件夹的文件夹,选择“新建→共享文件夹”命令,打开共享文件夹对话框,键入文件夹的名称,键入用户想在目录中公布的UNC名称即可。% B6 H9 O/ D4 m% s G ) g5 B/ H6 t- u( P" o& @(2)公布Windows NT打印机: + X/ R0 M0 P* P4 t! ` 9 D( N. V9 h; H; b9 o! a域中的Windows 2000计算机上的打印机都将自动发布在活动目录中,下面我们讲述非Windows 2000计算机上的打印机。 ) y. j) Z( Q1 f# z6 ~9 O9 i. C1 K+ }- G v; N* d 首先在“Active Directory用户和计算机”窗口中双击域节点。然后右击想在其中公布打印机的文件夹,选择“新建→打印机”命令,打开相应的对话框,在其中键入用户想在目录中公布的UNC名称即可。 5 s! F! z# h3 @3 @1 b2 v8 d6 t& U/ N Q& V) p3 R$ u, t2.资源的查找 * T& F$ `; ]0 [3 o0 w9 O E/ K在“Active Directory用户和计算机”窗口中,右击域节点,点击“查找”命令,打开“查找”对话框,点击“自定义搜索”按钮。 % V. y: l D* s) Q, l l0 S0 \- y5 P i, W 点击“字段”,指向要搜索的对象种类,然后点击要为其指定搜索值的对象的属性;在“条件”中,点击搜索的条件;在“值”中,键入要应用搜索条件的属性值。点击“添加”按钮,将该搜索条件添加至自定义搜索。点击“开始查找”按钮即可开始搜索。 " \& `8 B* I% e. y( E; P " `& [: s; I: [重复上面的步骤可以添加所需的全部搜索条件。/ {; D8 Z3 p. J( o" @7 I 1 q& M; j7 [* X5 n7 ?五、实现组策略, ^; Q8 p' W0 Z, @7 c3 P0 P 组策略(GPO)为网络提供了比用户和计算机更多的管理控制能力。通过使用组策略,一旦定义了用户的工作环境,就可以依赖Windows 2000来连续推行定义好的组策略设置。可以将组策略应用到整个网络中,也可以仅将它应用到某个特定的用户或计算机组上。! P: Z. w2 m) A 9 Z# g" p: t/ r(一)组策略基础 % u; R7 y" S& t- B1.组策略的作用 1 W+ p) h6 B- A / d9 ?/ _. ?$ O% W4 e, ?+ n0 K使用组策略可以:- ~) a' e, c" i# `( m' \ ; p4 g7 r7 u' E2 |! X(1)通过站点或域的级别,为整个组织设置组策略的集中化策略,或者在组织单元的级别,为每个部门设置组策略的分散式策略。 % L3 }: \2 z* X+ D# o 9 _3 |, G% ~7 a6 y* _; \9 t(2)确保用户有适合完成他们工作的环境。' H& {& P+ a- Z2 T5 E3 \, Z/ C 2 W" |3 }: i9 f) s% Z! E0 G' B4 J(3)降低控制用户和计算机的总费用。) w7 ^+ f, z) l7 _ z* z. }5 ~* `$ R+ o 2.组策略类型 . A1 f- y, }3 S8 G* r% I5 P1 c, S& O0 F# y$ v7 Y* D& I 管理员模板:即基于注册的设定应用设置和桌面环境的设置。( p6 H' z! B! B) ^& ]& u: B; L 5 k3 I# ~0 Z3 |6 z o* ? 安全性:即配置本地计算机、域及网络安全性设置的设置。1 n8 k! H) z5 I5 I! c& X: w$ X 3 V8 i9 m) @8 D4 q9 f. m) \, C1 z 软件安装:即软件安装、升级、卸载的集中化管理的设置。. @+ N. q4 `. E+ A + @( f! Z n. P- u& ]2 M7 N- N命令:即当Windows 2000运行特定命令时的指定设置。% c2 W7 l3 v0 A5 q% s3 q4 S ( O' u+ f; _8 A. ?- G8 h u5 v远程安装服务:即当运行远程安装服务(RIS)的远程安装向导时控制用户可能的选项设置。 . {6 L+ J3 W! K" h 5 @5 z) D w+ f1 WInternet Explorer维护:即管理和定制基于Windows 2000计算机的Internet Explorer的设置。 5 X/ i3 {( J5 }, C. d% ` ! ~4 v7 ?. H; A3 ]! S文件夹再定向:即在网络服务器上存储用户个性化文件夹的设置。 - [6 y; i0 g; m6 }$ |, Q( L# o( [! M 3.计算机组策略和用户组策略! u+ M9 j7 @! Y' t( c/ |) R- A0 d: I% s6 M : g9 Z; s9 i; y5 m0 p% j: c 组策略中有计算机组策略和用户组策略设置。! R( }- X p/ {" A+ w* P ! {3 d& Z& E$ A. F5 I# J计算机组策略设置有:操作系统行为、桌面行为、安全性设置、计算机的启动和关机命令、计算机赋予的应用程序选项以及应用程序设置。& s8 B+ s( O5 T: I9 h. g 4 H1 `$ X4 p U) N用户组策略设置有:操作系统行为、桌面行为、安全性设置、赋予的和分布的应用程序选项、应用程序设置、文件夹的重定向选项以及用户登录和退出登录命令。# j* R2 o1 b' U ! |+ Z( L6 G+ q2 O" c注意:通常计算机组策略在和用户组策略冲突时,计算机组策略有优先权。 8 A- B" \8 T6 }3 Z7 Y 2 Z4 Z2 s8 T' Z8 S0 O2 ^将组策略和站点、域或组织单位链接后。组策略的设置将应用在站点、域或组织单位的用户和计算机上。管理员不能将组策略和默认的活动目录容器──计算机、用户和Builtin相连,因为它们不是OU(组织单元)。 * I2 g8 I6 J6 f' F! t% I; R6 `& M$ E" H+ {1 T (二)创建组策略和组策略的继承 % s2 X, E9 G/ ^) N1.创建组策略 ' A# v6 Q7 }) @! G. y9 _1 N& w* K % w6 I$ }2 x6 ^ ^8 @: H0 c( ]通过使用活动目录用户和计算机来为域和OU创建组策略,执行下面步骤:- b% H$ @& d3 z9 S) ]. v 3 b" q8 I9 E7 ~(1)在“Active Directory用户和计算机”窗口中右击想创建组策略的域或OU,然后点击“属性”命令。" X2 v% b* x( [, U 3 E/ a: N9 o, Z% e7 C (2)在打开的“组策略”对话框中点击“新建”按钮,然后为新的组策略输入名称,默认为“新建组策略对象”。8 S, Z$ _& d3 H0 b" V + A, [ M" l$ D* o" k: H+ d2.连接组策略0 o! M# \. K$ E( p( } 2 ^% h8 d9 |& Z9 C) z: T5 r连接一个已存在的组策略到域和OU上,执行下面步骤:4 d0 h3 b: l) u: t- ~6 p ] & Y8 ~, c7 c" P9 A! T$ n (1)在“Active Directory用户和计算机”窗口中右击想创建组策略的域或OU,然后点击“属性”命令。  8 l1 u3 `' X8 {3 Q0 z- T . T1 `+ l L# T6 Z (2)在“组策略”对话框中点击“添加”按钮。) @* j c3 _- x* d3 o% H0 x; U- W ) w0 a- C5 a& B2 T/ J8 e (3)在打开的“添加组策略对象属性”对话框中的“域/OUs”、“站点”或“所有”选项卡中,点击确认要连接的组策略即可。 / J& I+ ?1 k+ p, m' y) Y8 b; y K$ u8 U, z, F 注意:任何一个拥有该组策略的读写权限的人都可以对它做出修改。 $ A$ i9 y1 e/ e+ t4 X3 m% m! t$ F- S# I8 n' r8 [4 G 3.组策略继承 7 T2 c& l. t- }) t( d/ l- W& `: S, n. M2 J8 P. `+ z 组策略的继承性包括Windows 2000在活动目录中处理组策略的顺序,以及在连接到母容器的组策略的继承性。其继承流程是:8 k( [2 t. V; Z; ?" S- @ 8 |, \* n4 K, i% v/ r) E6 { 默认组策略被继承。子容器从父容器那里继承组策略,意味着子容器可能拥有多个用于用户和计算机的组策略设置。不止一个组策略与它连接。如果一个站点包含一个域以上计算机,连接到该站点的组策略中定义的组策略设置将应用到所有登录到该站点的计算机设置用户上,不管计算机和用户账号是否存在该域中。 ) K, V9 F! d7 q7 M# `" e# B! V# Q " Y+ P+ L1 G+ e域控制器每5分钟刷新一次组策略,重要的组策略设置将在危急的服务器中快速发挥作用。Windows 2000首先处理计算机设置,然后处理用户设置。 ; A8 t+ C9 Z. n: x$ ?( ? , v$ }: v" t0 G8 `6 V下表列出了客户端扩展和对应组策略设置类型(位于C:\Winnt\System32目录中):(^60090102d^) # y& T" a x! s- X' ]+ v& ~$ H g7 w' j! a! j5 t3 {: t7 T 4.解决组策略的冲突 , N! h& a9 D4 y& h) D& j9 O' d! {1 v9 t5 j 如果发生冲突,默认的是执行最新的设置;除非用户设置和计算机设置冲突。而在大多数场合下,计算机设置高于用户设置。组策略是累积的,除非两个或多个设置冲突,否则所有组策略设置都将被执行;当冲突发生时确定执行哪个组。 4 E# i; w* r6 f# |0 V+ ?% _( @ , d3 m- r \+ B5 Q, z% f策略设置的原则是:& S& l, P" L5 B 1 G F' ]4 q" T# _7 o( W(1)来自母容器的组策略设置,和来自子容器的组策略设置冲突,子容器的设置后执行并发挥作用。/ }$ B7 k% C; ?! Y* t 7 @. u% @2 ^, f, k, m) \(2)连接到同一容器上的,不同的组策略的设置发生冲突,在容器属性对话框中,组策略列表中最高位置的组策略设置后执行并发挥作用。组策略累积处理的例外是IP安全性设置和用户权限设置。当执行IP安全性设置和用户权限设置时,最新执行的组策略将改变以前组策略。 ( w D6 x3 h# @3 }: P4 y1 {9 `* C5 ]* O* _ a; X 5.修改组策略的继承性, C" _& h! ?! b ^$ I* g' p l7 P* R 阻止继承,将不允许子容器从母容器那里继承组策略设置。允许在一个子容器阻止继承,将阻止容器所有的组策略设置而不是单个设置。当活动目录的容器需要唯一的组策略设置,和需要确保设置不被继承时,这一功能将是很有用的。+ S& v- X- P$ C% O ! w& ~( ? u. e2 H 阻止子容器的组策略容器继承,执行下列步骤: ; b) F, \5 M; v( G 2 N- `9 F% d% J4 Z! e(1)在“Active Directory用户和计算机”窗口中打开想阻止继承的域或OU的“属性”对话框。/ J9 {( k) F% r ! s3 q/ _; u4 x) t* K. ^ (2)在“组策略”对话框中,点击“阻止组策略继承”项即可。 8 ?* w# K4 u/ X8 ~- a * Y6 m O1 D* T) V" Y注意:阻止组策略继承的两个局限。即你无法选择阻止哪个组策略;不能阻止连接在母容器设置为不重写(禁止代替)的组策略。& z3 C! E7 c% ?1 R o9 t " h! s, Z! D; I0 a" }$ [" M( p' b 6.监控组策略 U* T# Z' D" C/ s5 Q2 n& ?5 \5 C & {' r) A# X4 m F# ^2 C7 C(1)启用诊断记录:" i) N0 B) B/ {0 u8 R2 b $ D! [6 Z& A2 v" G7 y- m) W启用组策略的诊断记录,促成组策略在事件日志中产生具体事件。这些具体事件,能够通过返回事件以及提供附加信息,在诊断组策略执行相关问题时提供帮助。 : I- y8 l/ _6 z1 H5 j, z $ P. B3 l% Y9 p1 {, `9 ~以本地管理员的身份登录,然后点击“开始→运行”,在“打开”对话框中输入Regedit,打开注册表的编辑器。定位至HKEYLOCALMACHINE\Software\Microsoft\WindowsNT\Current\Version,然后点击“编辑→新建→项”命令,输入Diagnostics后按回车。! l0 @- @8 y1 O% S * v- w( M1 t+ s- ^! A 选择上面建立的Diagnostics项,点击“编辑→新建→双字节值”命令,输入RunDiagnosticsLoggingGlobal后按回车。 - W$ D/ k' n7 n. W3 @5 ]9 c( b3 t& ~, l6 S& d 最后双击RunDiagnosticsLoggingGlobal,输入1即可。 2 Q: i2 @' u' M& J% {3 F9 r2 C. s" ?- X& m/ q (2)启用详细记录:. u$ u; I3 b* @1 d9 r% g & o: ^! Z5 p( I详细记录将记录所有的变更和应用到本地计算机和登录计算机的用户的设置。日志文件位于Systemroot\Debug\Usermode文件夹下,命名为Userenv.log。启用详细记录将涉及添加详细记录的注册关键词。; |4 W( C0 i- {! [! I! x 2 ]$ X; X l: o K8 F为了允许详细记录,添加名为UserEnvDebugLevel值为30002双字节记录值到注删表中的HKEYLOCALMACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon下。2 T+ `8 m6 \ s" q2 [ # w b2 k. `: q) y" d注意:30002的值允许详细记录,30001仅允许错误和警告记录,30000不记录任何事件。 ! C- G+ Z7 u4 B- o, Y1 I6 K h$ O' @, L; Y/ \2 b (三)利用组策略$ \$ b) f2 Z- c( W' S 1.组策略管理用户环境/ K. ~" \7 U0 D2 [ 0 ], j: J5 D& [9 D4 J4 Z 管理用户环境意味着用户在登录网络时,控制用户有哪些权力。可以通过控制用户的桌面、网络连接和用户界面来控制用户权力。控制用户环境可以确保用户有执行他们工作所需要的权力,但不能破坏或不恰当地配置他们的环境。( _) X# }( B7 v' l1 m 3 S# C, P9 f% ]用来管理用户环境的四种典型组策略设置类型是,管理模板设置、脚本设置、文件夹重定向和用户界面。% z% ~5 k+ F+ N4 R& S , X/ Z- h7 i3 A ?' d组策略管理模板是用来管理用户环境的,基于注册的设置。该设置将修改存放在两个注册表目录树下的设置。其中:; Q3 @: L: D Q' t6 ] . K$ I/ u6 h$ D1 b" l计算机设置:在HKEYLOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Policies中。 + Z# T; ?9 R6 X " p1 V; m' L0 G3 }% _4 Z2 ]/ w用户设置:在HKEYCURRENTUSER\Software\Microsoft\Windows\CurrentVersion\Policies中。 3 }8 W7 S# W: d1 ^- V" a. b) {6 f 2.管理模板设置的类型 . X, |1 E) ?, s- f' b/ W 5 i3 d! o6 g4 R5 [# P- J" W管理模板设置的类型分为七种,都是用户和计算机的设置: + ?, p8 e ?9 u0 k( x4 J 8 K i" V* x# E/ `, w' r \2 h(1)Windows组件:用户可以访问的Windows 2000及其工具和组件部分。计算机和用户为该设置类型的使用者。 ) C! M, u' G# d0 `4 a/ O3 Q0 b ! B/ A/ ]! Z8 t P: S3 @% {% \(2)系统:登录、退出过程。利用系统设置,可以管理组策略、更新区间、启用磁盘限额和实现回环处理。计算机和用户为该设置类型的使用者。; U- f+ X- y, k \ : {0 w' ]( n. p(3)网络:网络连接和拨号连接的属性。计算机和用户为该设置类型的使用者。 * M: D8 V B! J! i# e! v! Q+ e- o+ ^! |! y7 [0 p (4)打印机:打印机设置,可以是自动公布在活动目录中的打印机,并使基于网络的打印无效。计算机为该设置类型的使用者。% n; l$ B( w) }$ d+ M% z % z; s1 H" @* |# ^! w. x (5)开始菜单和工具栏:用户可以从开始菜单中访问的功能组件。用户为该设置类型的使用者。 : j7 M1 t/ H7 j4 H4 x$ J( v! I. F6 d& L+ L: a: u (6)桌面:活动桌面。通过隐藏某些桌面图标并控制用户对“我的文档”文件夹使用,可以控制用户对网络的访问。用户为该设置类型的使用者。 # ?9 W* S: T5 ~4 l2 f( k5 R% N1 U& K+ t, K6 s (7)控制面板:控制面板上的一些应用程序。用户为该设置类型的使用者。 2 {0 C7 v: b# x. S! C% F4 E5 i$ E+ X2 U2 X( E 禁用桌面的设置。如下表所示:(^60090102e^)( V5 \, e" q9 Z b0 U4 V $ c! \$ R+ k$ P `, h" g( l9 q3 d4 q 禁用用户访问网络资源的设置。如下表所示:(^60090102f^) 1 w7 {6 N1 h" Y+ s. L0 V# u& P! D- K" K( `2 v 禁用用户访问管理工具和应用程序的设置。如下表所示:(^60090102g^) 4 b& K; u$ \! O# |8 E2 S: Z4 X. i8 t8 B7 g* [# G 3.组策略中的回送处理模式% }5 K4 _3 N/ [: Z% X, u6 t$ Z - I# f( z$ |% p9 b$ L, w组策略回送处理模式,可以把用户管理模板设置实现到计算机上。回送处理模式是实施应用于计算机的组策略中的用户配置设置的组策略。对于指定具体任务的计算机或安装了特殊软件的计算机非常有效,按下列步骤启用回环处理模式: t2 S4 N ?6 J ( F& m6 s. T( L(1)打开组策略,展开“计算机配置→管理模板→系统”节点,点击“组策略”选项。 9 I; I) D) e$ \ 9 l. G* D' G" I(2)双击“用户组策略反向对应处理方式”选项。: z/ M6 [% s1 Q! c- s! b ; a; C! y/ a6 s3 b* P (3)点击“允许”按钮,然后在“模式”中选中“替换模式”或“合并模式”。“替换模式”处理应用于计算机的组策略;“合并模式”首先处理应用于用户对象的组策略,然后处理应用于计算机对象的组策略。如果设置发生冲突,将实施组策略中的计算机对象设置,因为这些组策略设置最后使用。" f; x2 B0 U! _/ N% y0 _ ) k8 A% q3 u' z# ]( [2 j 4.设计组策略模板3 u* `5 ~! Y6 n 6 f' W, w q# ^# o$ G 通过在组策略中配置管理模板扩展名中的设置,实现管理模板的设置。在组策略“属性”对话框中的三个状态说明如下: Y7 g3 ?- p" r# i: n" C* u. K # Q- a1 k% Q& H; j' G6 I6 r" Y未配置:不对计算机产生任何变化。' C" }6 T ]* i! [$ T( W. Q + y q# G% o9 b, V6 o启用:把引起的变化添加到注册表中。 3 D" I! y! \- Q3 o8 N/ i- x5 r; L4 p4 j( a' ]% q2 ?- k) \: h5 J4 | 禁用:防止引起的变化添加到注册表中。0 @; V2 R! ?' H* _3 F! m! Q* b 0 V7 w( z6 D2 q/ | G* Y5 k 右击合适的站点、域或OU,点击“属性”命令,然后点击“组策略”选项卡,建立或选择现存的组策略,点击“编辑”按钮。 5 @7 o' ~, y6 T. ~: s ( ] w5 T: {: A在组策略中,展开“计算机设置”或“用户设置”选项,然后展开“管理模板”直到确定需要修改的位置。最后在组策略属性面板中,双击需要修改的组策略设置。 : Z- t* A# M, E+ I6 J/ f( L4 M3 S8 O; g' O 5.用组策略分配脚本 $ {3 C$ N4 B, {) r/ [3 R8 C) g( N; D 利用组策略脚本设置,可以把脚本设置成在指定的时间里自动运行。管理员可以利用策略中的脚本扩展来运行批处理文件、可执行程序和支持脚本的Windows脚本主机。组策略脚本设置可集中配置脚本,在计算机启动、关闭、用户登录、退出的时候自动运行。 4 k7 f- ?2 _" Q# j8 h + q& H* b: f* B! GWindows 2000按下列的顺序处理并运行指定脚本的组策略:# e* G3 O- [* K( V' i' L) U. ? 4 ~/ M: M! v% h: z( ]' p: ?$ X (1)当用户启动计算机、进行登录时,存在以下几种情况:启动脚本缺省情况下,隐藏、同步运行;登录脚本缺省情况下,隐藏、非同步运行。 4 O& R6 `$ V$ j: j, I/ Y1 g8 V' m" I! _1 C; | (2)当用户退出、关闭计算机时,存在以下几种情况:退出脚本运行;关闭脚本运行。 & n, y1 v& H! R6 v ) i3 Z0 M { z2 n( U/ z注意:处理脚本缺省超时时间是10分种,如要调整时间,可以配置Computer Configuration\Administrative Templates\System\Logon\Maximum wait time中的组策略脚本的等待时间,改变后将影响所有运行脚本。 : l" F, Q- u+ O8 Q0 Q6 S1 P+ a, `* s 我们可以按下列步骤分配一个脚本:6 t1 w0 {( J) _% H0 t $ I. Z" W: A; b! @* |. W(1)打开组策略中合适的组策略,展开“计算机配置”或“用户配置”,展开“Windows Setting”,点击“脚本”按钮。 ' L5 o: Q, h) @/ e9 ?' O5 U0 ^: Q& f7 Q/ v ?# ~ (2)在脚本的“属性”对话框中,点击“添加”按钮,点击“浏览”按钮,选择需要分配的脚本后点击“打开”按钮,添加需要的脚本参数即可。8 {. d% W, j" ]' D% F , F! x2 D- f; I# R7 c. V, j6.利用组策略重定向文件夹 ) o+ ^; W! L. R& @6 V2 ^. L; H3 v0 ]! w: L4 U6 N! F 重定向文件夹,可以确保用户可以获得数据,不管他们在什么计算机上登录。 8 K R0 Y( n) t* W5 X9 T; A# _$ D! b. f% [ 可以重定向文件夹有:我的文档、应用程序数据、桌面和开始菜单,Windows 2000会自动建立这些文件夹。 ; R# ^. }' I: l* \$ F5 c3 @" ~ 5 @) d. I9 f7 I利用重定向文件夹,我们可以:不管用户从什么客户计算机上登录,都可以访问文件夹中的数据;文件夹中的数据集中存储,因此文件夹中的文件将更便于管理和备份;减少网络通信;重定向文件夹的文件,可以当用户登录到客户计算机上的时候,不使用存储空间存储这些文件。9 e0 }9 c; ], c+ Y! k5 V, o {& c & c/ j: x/ d: K 如果管理员在重定向文件夹的时候使用变量%Username%,那么Windows 2000将为每个用户在服务器上建立唯一的个人文件夹。按下列步骤重定向文件夹:8 _" j$ g8 W8 r2 C) E3 x $ d5 _; t+ P1 ~) A (1)在“组策略”对话框中点击“编辑”按钮。: Z; t2 h7 U. d2 K" v, s 3 q ^; C2 D, A (2)展开“用户配置→Windows Settings→文件夹重定向”节点。然后右击要重定向的文件夹名字,点击“属性”命令,然后提供目标路径和位置路径即可。/ G% Z- J$ k% X. G" L; U* I : Q/ c% {" s" q8 \7 y% Z3 B 7.利用组策略确保用户环境安全; K2 \7 ^2 |) I* o# ^ " K L# w+ X. O, M* G& j( w L域用户策略成为域成员的、基于Windows 2000的工作站或服务器的预设用户策略,例外的是组织单元定义另一个用户策略的时候,组织单元的用户策略设置影响到组织单元中任何计算机上的本地策略。而本地策略设置只在利用计算机本地用户登录时候应用。按下列步骤把安全模板引用到组策略中:7 R4 x8 g$ {6 }& a/ m , |+ w: g: [' ]; h5 V/ Y展开组策略中的“计算机配置→Windows Settings→安全设置”节点。右击“安全设置”,然后点击“引入策略”。选择需要引用的安全模板即可。 ' [' D# v, ]7 _, f! e, e+ n + P# F& ]% i ]/ m1 p6 m另一种应用安全策略的方式是为每台计算机配置安全设置,要配置安全设置,需要执行下列任务: 7 ^9 s0 \( `$ i, e# M3 z& w" }8 u& g; g 展开“计算机配置→Windows Settings→安全设置”节点。在策略属性对话框中,双击需要配置的安全设置。在“策略”选项卡上,通过选择三种状态的一种来配置安全设置:启用、禁用、未配置。3 I3 x+ D( |/ W/ d" @9 ?9 Y6 m$ U5 S . D( B- z* p' }; ?! w六、使用组策略管理软件 6 ]1 d& T* h1 ? t2 ~' ^1 \(一).使用组策略管理软件' o, P t) L n 管理软件的过程包括: : P* U7 G6 T) y. x8 g/ k, T4 S E" \ 预备:准备一个文件,以便应用程序能使用组策略布置。7 [, Y' x3 s, k# Y; N2 R9 C) \$ Y & y8 _- ?& i* Z( {' C+ M布置:管理员创建一个在计算机上安装软件,并将组策略链接到相应的活动类别容器的组策略对象。 " z4 _; ~. J3 `* ] 9 A: h4 K4 \% z4 `( M# p9 F维护:用新版本的软件升级软件或用补丁来重新布置软件。2 x/ m/ t. _: n $ |' E% y8 H# \! I) n w 删除:为消除不再使用的软件,从开始布置软件的组策略中删除软件包设置。 " d# _$ u$ R, O- ]# l# l5 H% m7 { b5 g 将软件分配给用户和计算机:9 j7 E& B; X. W) ^ 4 S" H" o, K3 j& t: ]. g% x在用户配置过程中,在用户登录时应用程序被通告,安装不会自动开始。这样可以节省了硬盘空间和时间。, j# M9 a& B, Z$ y - r J/ W' l8 h. w 在计算机配置过程中,当给计算机分配软件时,不会出现通告,软件被自动安装。可以确保相应的应用程序在那台计算机上总是可用的无论谁使用那台计算机。 ( h* {2 s; Y4 k/ w2 j0 @* B! E7 y & g4 x- Q' K1 s% @' f) u2.用户安装发布的软件0 e1 R4 ]* F0 X+ e7 i2 u, s 可以将软件分配给用户和计算机。分配软件包确保软件对于用户和计算机是可用的。分配软件确保用户需要的所有应用程序都安装到了他们的计算机上,用户下一次登录时,新安装的软件会出现在他们的桌面上。当软件出现后,应用程序的开始菜单快捷方式和桌面图标也出现了。0 b: m* y4 Y i " p) I3 o3 Y) a; X7 ` 用户可以采用下面两种方法之一来安装发布的软件:, Y& B% z9 b4 k : r! ?% ^1 j( ~ q& f1 f& Q (1)使用控制面板双击“添加/删除程序”,选择需要的应用程序,点击“安装”按钮。6 U% Z! ~% T# I3 ?0 p$ v ! N, r5 ]+ h" m+ I(2)使用文档激活的方法。当应用程序发布在活动类别中时,它所支持的文档扩展文件名在活动类别中注册了, 如果双击一个未知类型文件,计算机就会安装它。0 @# F' \& g. d, q1 H 7 C; V/ Q/ H2 U3.布置软件8 ~6 \7 f* m) u4 P 按下列步骤使用组策略布置软件:+ j1 m; R* |6 L: P/ [ * r" `- |1 u+ M(1)根据软件是分配给用户还是计算机,在“用户配置”或“计算机配置”中创建或编辑一个组策略。4 k T% T/ [* s) q5 n$ k( ^4 i & C% R* U0 G; d; z* k$ O+ E (2)布置“软件设置”,右击“软件安装”,选择“新建→程序包”命令,当“文件打开”对话框出现时,选定包文件,点击“打开”按钮。; |$ T6 J& z( _- K1 U9 t( U / @* E7 ^5 E/ F (3)在“布置软件”对话框中,选定一种布置方法即可。 / G1 S: C8 e9 S* o: n& |& \% ~; T/ Q. x2 \5 ]* ~* S* y 改变一个软件包的软件布置选项,执行下列步骤:& Z; h* [0 K. [$ P7 ^ 1 ?6 }( i1 n# E) G/ x (1)在软件安装中,右击布置的包,然后点击“属性”命令。 " Y, V* c5 U4 m2 o$ w3 X2 _4 U( G8 r9 [$ N (2)在应用程序的“属性”对话框中,点击“布置”选项卡,设置下表描述的选项的任意组合。(^60090102h^) n* {0 I9 v' h8 D6 t1 [+ Z& X+ [3 l% G9 G# M6 X 设置软件安装默认选项,请执行下列步骤: 0 V- p* r' ]" f' J5 x' s ( d9 `6 U9 \" N5 J$ ~$ J# |1 m(1)根据软件是要分配给用户还是计算机,或是发布,在“用户配置”或“计算机配置”中创建或编辑一个组策略。, f/ u1 S8 v7 p7 W( [# | h ! l4 c2 ? Z, ^8 k(2)布置“软件设置”,右击“软件安装”,点击“属性”按钮。% ], D6 L* ?" ^: b3 m. n 7 W+ p' M) U( s. o+ J, s+ Q(3)在“软件安装属性”对话框中,点击“常规”选项卡,设置下表描述的选项的任何组合。(^60090102i^)(^60090102j^) - Z; k) |* n) W: e' s ; p# Y/ k/ [ z+ x' i& n可以布置一个应用程序的几个不同配置并且控制如何分配或发布应用程序。使用软件修改,执行下面步骤: 2 C6 S+ ]8 c, ^, ?- n x0 m: L% k% z (1)在将一个新包添加到一个组策略中或在此包布置前,打开应用程序包的“属性”对话框,点击“修改”选项卡。点击“增加”按钮。 / x, ?% L' z2 w- u4 B# Q# z h P( V" a( @. [8 F (3)在“打开”对话框中,选择修改(.mst)文件的路径和文件名,点击“打开”按钮即可。: t. G* l2 Y/ r: j5 { 7 N% f* K! w- z& p 4.创建软件类别 # h0 f8 l1 f7 i. g6 O7 `创建软件类别,执行下面步骤: . i8 r8 I5 s/ h3 E- I$ L+ `# k 3 p. S: q# ]+ s# z7 _(1)根据软件是要分配给用户还是计算机,或是发布,在“用户配置”或“计算机配置”内创建或编辑一个组策略。 5 v" C$ Q% u8 U5 ?4 j% }5 g% n8 k2 h. W (2)布置“软件设置”,右击“软件安装”,然后点击“属性”按钮,在打开的对话框中点击“类别”选项卡。 6 ]1 p# P* I9 Z* U7 Q; j: z1 Z7 \2 f (3)点击“增加”、“修改”或“删除”按钮创建并编辑类别名。 / q" c r2 w1 o / N+ ]0 C: Q- X5 M) n" j管理员还可以控制哪个应用程序首先和文件扩展名关联。修改文件扩展名优先权,执行下列步骤: : S, m( c! M& ^; F' x6 ?: C$ N- Z- S [& K (1)打开用于布置应用程序的组策略。布置“用户配置”,然后打开软件安装的“属性”对话框。 6 H+ ^. I7 o: j( A* t$ L% o; D7 |( b* w1 y2 U (3)在软件安装的“软件安装属性”对话框中,点击“文件扩展”选项卡,单击(向上)或(向下)来设置优先次序。 / D* r! w% ~6 M6 r( _$ i6 V, N' U0 J! H* y 5.维护布置的软件3 a: v* p8 Y z3 l. ]! c 维护布置的软件在于:升级布置的软件、重新布置软件。升级布置的软件:可以进行强制升级或可选升级。强制升级用于强迫用户升级到当前最新的版本。可选升级用于允许用户同时使用一个程序的两个版本。为布置一个升级,执行下列步骤:: n1 g! m) U0 F- B; I, S - o% r& j% d6 I* D(1)布置高一级版本软件。. t% L' y1 K5 R+ ?; y# N1 X / ?" w; l: e9 H6 ~' b+ y. V; r# q (2)打开“软件安装”,右击高一级版本,然后点击“属性”按钮。在包文件的“属性”对话框中,点击“升级”选项卡。在“Packages that this package will upgrade”部分,点击“增加”按钮,选定低版本应用程序。 : R. [" @# w0 H( U9 u3 A) N2 A- g4 @& h& r" W" f9 N8 H0 l (3)选择升级类型:为进行强制升级,选定“现存软件必须升级”复选框;为进行可选升级,取消选定“现存软件必须升级”复选框。0 ]$ I* C6 }* }6 a 5 j1 W4 X- ] w! b0 n6 j- ` |6.删除布置的软件 , j( u5 Z+ x+ L) _& F0 S N. R删除布置的软件,执行下列步骤: : A# q0 R: Z6 A6 U' T! ^+ C; _. @$ f6 b; @$ s1 Q) r (1)打开原来用于布置软件的组策略。在“软件安装”中,右击包名,选择“所有任务→删除”命令。 ; r/ \7 o/ b) r# j * ~) s9 S% O! \& L(2)在“删除软件”对话框中,选择下表描术的选项中的一项,然后单击“确定”按钮。
AD (Active Directory)活动目录
eolanda的专栏
06-10 667
AD (Active Directory)活动目录活动目录(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务。(Active Directory不能运行在Windows Web Server上,但是可以通过它对运行Windows Web
活动目录(LiveFolder)
云计算?
02-23 133
活动目录(LiveFolder) LiveFolder的概念和用途 活动目录(LiveFolder)是一种小型的应用层插件。它本身体现为桌面出现的图标,通过点击这些图标,将出现一个列表框,列表框中将显示数据信息。通过活动目录可以在不打开应用程序的情况下,在桌面就能查看其中的数据信息。 在Android的桌面中长按桌面或者选择菜单,进入增加活动目录的界面,可以将LiveFolder增加到桌面,...
实验1:活动目录的使用和管理
Arwen_emm的博客
05-02 1957
首先下载服务器操作系统镜像,我选择的是Windows Server 2012 (x64) - DVD (Chinese-Simplified) ed2k://|file|cn_windows_server_2012_x64_dvd_915588.iso|3826081792|6A56281311F9FE6973F66CF36E2F50BE|/ 然后虚拟机新建虚拟机。 ...
管理活动目录和域
ZXCVB12121的博客
05-01 262
(1)创建域 (2)创建额外域控制器 (3)计算机加入到域 (4)创建域用户账户 (5)限制域用户帐户的登陆时间 (6)创建组织单位 (7)计算机脱离域 (8)删除域 ...
活动目录
Magic Find
06-19 1299
有关活动目录访问控制(access control)--登录计算机或网络权限的管理。 ACE--参见"访问控制条目"。 访问控制条目(access control entry,简称ACE) --每一个ACE包括一个安全标识符(SID),这个标识符标识这个ACE的应用对象(用户或小组)以及允许或者拒绝访问的ACE信息的类型。 访问控制表(access control list,简称A
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值