文档介绍：项目6 使用Windows Server 2003组建局域网
——任务2 域与域用户帐户管理
计算机网络技术与应用
全国中等职业学校计算机类通用教材
本课件的文字及图片版权
均为南京凤凰康轩所有
活动目录概述
在网络环境中,各种计算机都有两种工作模式,即工作组模式和域模式。以工作组模式工作的计算机都相互独立,没有从属关系,每台计算机都设定有自己独立的帐户体系和访问权限。以域模式工作的计算机都集中在一个逻辑的组织中,称为域。使用域模式来组织网络,可以对计算机及网络资源进行有效的整合管理。
活动目录(Active Directory)是在Windows NT ,并提供了一套为分布式网络环境设计的目录服务。活动目录将所有的用户帐户、计算机、文件以及打印机等资源集中在一台服务器上,而这些资源可以分布在不同的物理位置,利用活动目录将这些资源以目录的形式呈现在服务器上,集中管理,只有被授权的用户才可以使用指定的用户帐户登录到这个网络上。使用活动目录可以对相关的网络资源及用户信息进行有效的集中式管理,同时在网络安全方面也提供了更加优良的服务。
域和域用户帐户
活动目录中最核心的单元是域,它是用户帐户和网络资源的集合。一个企业或单位总是将自己的整个单位作为一个管理的组织,并相应地创建符合自己逻辑的域结构,通过域来管理整个网络。每个域都有一个域名,并且采用和DNS相同的命名方式,具有层次结构,;每个域都有一个相应的域管理员,除非其他的域明确地赋予该管理员权限,否则只能管理本域,而不能控制其他域;每个域都有一个管理的服务器,称为域控制器(Domain Controller),它是装有活动目录的Windows Server 2003服务器,域中的用户帐户和计算机帐户全部集中存放在域控制器上。
域用户帐户是用户访问域的凭证,每个帐户都有一个被授权的唯一SID。在Windows Server 2003中,计算机对用户的识别,主要是通过该用户帐户的SID。用户在使用中只需要凭借用户帐户,就可以在域中的任何一台成员计算机上登录到所属的域中,从而访问域中的相关网络资源,而不需要知道其SID。
管理域用户帐户
只有域管理员才可以创建域用户帐户。在创建域用户帐户时,管理员必须输入用户姓名、用户登录名(用户帐户)。用户帐户是Windows Server 2003网络中唯一的标识符,因此用户帐户的命名十分重要,Windows Server 2003域用户帐户命名必须要考虑以下几项:
域用户帐户的登录名在活动目录中必须唯一;
域用户帐户的名称在创建该用户帐户的域中必须唯一;
域用户帐户的登录名不能含系统保留字符,如:、/ \ [ ] :| * ?等;
域用户帐户的登录名应限制在20个字符或数字内,并且要便于记忆。
在活动目录中,每个用户的登录名都有其标准的格式:user@,它是由用户登录名、“@”符号和用户名所在域的完整DNS域名组合而成,如A101@。
管理域用户组
在Windows Server 2003域中,用户组根据其类型可以分为安全组和分布组,根据其作用域不同可以分为全局组、域本地组和通用组。
安全组
安全组一般用于与安全性相关的工作和功能,每个安全组都有一个唯一的SID。使用安全组可以定义资源和对象的选择性访问控制列表权限,控制和管理组中的用户和计算机。它是Windows Server 2003网络中最常用的组类型。
分布组
分布组没有SID,不能用于与安全有关的功能。只有在某些电子邮件应用程序中采用到该类型的组。
全局组
全局组只用于设置对域林中资源的访问权限,包含来自本域的用户、组和计算机。是最常用的一种组作用域类型。
域本地组
域本地组只用于设置对域内资源的访问权限,成员可以来自林中任一域。
通用组
通用组只用于设置对域林中资源的访问权限,成员可以来自林中任一域。混合模式下通用组不可用。
任务介绍
某学校架构了自己的校园网络,为了实现教学形式信息化,学校进一步为所有教室配备了多媒体讲台,把计算机和实物投影仪纳入一个整体的多功能讲台中。在使用过程中,部分班级经常在非允许的时间私自使用多媒体讲台中的计算机。为了有效地治理这种违纪行为,保证教学活动的正常进行,方便管理员集中管理,该校信息中心管理员根据现有的网络条件和技术,决定采用一种新的网络模式,统一配置和管理所有教室的多媒体计算机,让所有教室的计算机在学校规定的正常上课时间内应用于教学活动。
安装活动目录服务
Step1 依次点击“开始→程序→管理工具→配置您的服务器向导”, 打开“服务器角色”对话框,选中“域控制器(Active Directory)”,如下图所示。
安装活动目录服务
Step2 点击“下一步”按钮