在 Windows Server 中管理 Active Directory.docx

1、在 Windows Server 中管理 Active DirectoryActive Directory 管理分步指南本指南向您介绍如何管理 Windows Server 2003 Active Directory 服务和“Active Directory 用户和计算机”管理单元。本页内容简介概述使用“Active Directory 域和信任关系”管理单元使用“Active Directory 用户和计算机”管理单元其他资源简介逐步式指南Microsoft Windows Server 2003 部署分步指南提供了许多关于常见的操作系统配置的实际操作经验。本指南首先介绍通过以下过程来建立通

2、用网络结构：安装 Windows Server 2003；配置 Active Directory；安装 Windows XP Professional 工作站并最后将此工作站添加到域中。后续分步指南假定您已建立了此通用网络结构。如果您不想遵循此通用网络结构，则在使用这些指南时需要进行适当的修改。通用网络结构要求完成以下指南。第一部分：将 Windows Server 2003 安装为域控制器第二部分：安装 Windows XP Professional 工作站并将其连接到域上在配置完通用网络结构后，就可以使用任何其他分步指南了。注意，某些分步指南除需要有通用网络结构外，可能还需要满足额外的先决

3、条件。任何额外的要求都将列在特定的分步指南中。Microsoft Virtual PC可以在物理实验室环境中或通过虚拟化技术（如 Microsoft Virtual PC 2004 或 Microsoft Virtual Server 2005）来实施 Windows Server 2003 部署分步指南。借助于虚拟机技术，客户可以同时在一台物理服务器上运行多个操作系统。Virtual PC 2004 和 Virtual Server 2005 就是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提高操作效率而设计的。Windows Server 2003 部署分步指南假定所有配置都

4、是在物理实验室环境中完成的，但大多数配置不需修改就可以应用于虚拟环境。这些分步指南中提供的概念在虚拟环境中的应用不在本文的讨论范围之内。重要说明此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点和事件纯属虚构，我们决无意影射，任何人也不应由此臆猜，任何真实的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。此通用基础结构是为在专用网络上使用而设计的。此通用基础结构中使用的虚拟公司名称和域名系统 (DNS) 名称并没有为在 Internet 上使用而进行注册。您不应在公共网络或 Internet 上使用此名称。此通用基础结构的 Active Directory

5、服务结构用于说明“Windows Server 2003 更改和配置管理”如何与 Active Directory 配合使用。不能将其作为任何组织进行 Active Directory 配置时都可以使用的模型。返回页首概述本指南向您介绍如何管理 Windows Server 2003 Active Directory 服务。Active Directory 管理工具简化了目录服务管理。您可以使用标准工具或 Microsoft 管理控制台 (MMC)，创建侧重于完成单项管理任务的自定义工具。您可以将几个工具组合到一个控制台中。您也可以为各个具有特定管理职责的管理员分配自定义工具。您只能从能够访问

6、域的计算机上使用 Active Directory 管理工具。“管理工具”菜单上提供了下列 Active Directory 管理工具：Active Directory 用户和计算机Active Directory 域和信任关系Active Directory 站点和服务您也可以从一台不是域控制器的计算机上远程管理 Active Directory，例如一台运行 Windows XP Professional 的计算机。为此，您必须安装 Windows Server 2003 管理工具包。“Active Directory 架构”管理单元是一个用于管理架构的 Active Directory

7、管理工具。默认情况下，“管理工具”菜单上没有该管理单元，必须手动添加它。高级管理员和网络支持专家可以使用很多命令行工具来配置和管理 Active Directory 以及对其进行故障排除。您也可以创建使用 Active Directory Service Interfaces (ADSI) 的脚本。操作系统安装媒体上提供了一些示例脚本。先决条件第一部分：将 Windows Server 2003 安装为域控制器第二部分：安装 Windows XP Professional 工作站并将其连接到域上安装其他域控制器的分步指南指南要求要执行本文中的过程，您必须以具有管理权限的用户身份登录。如果您是在

8、某个域控制器上进行操作，则可能无法安装“Active Directory 架构”管理单元。要安装该管理单元，请执行以下操作：在命令提示符下，键入regsvr32 schmmgmt.dll现在，就可以在 MMC 内使用“Active Directory 架构”管理单元了。在基于 Windows Server 2003 的独立服务器或 Windows XP Professional 工作站上，Active Directory 管理工具是可选的。您可以从“控制面板”中的“添加/删除程序”安装这些工具（使用 Windows 组件向导），也可以从 Windows Server 2003 CD 上的 AD

9、MINPAK 进行安装。返回页首使用“Active Directory 域和信任关系”管理单元“Active Directory 域和信任关系”管理单元为林中的所有域树提供一个图形视图。使用此工具，管理员可以管理林中的每个域；管理域之间的信任关系；配置每个域的操作模式（纯模式或混合模式）；并为林配置其他用户主体名称 (UPN) 后缀。启动“Active Directory 域和信任关系”管理单元要启动该管理单元，请按照以下步骤操作：1.在“HQ-CON-DC-01”上，单击“开始”按钮，指向“所有程序”，指向“管理工具”，然后单击“Active Directory 域和信任关系”。此时将出现“

10、Active Directory 域和信任关系”管理单元（如图 1 所示）。图 1. “Active Directory 域和信任关系”管理单元用户主体名称 (UPN) 为用户登录到 Active Directory 提供了易于使用的命名样式。UPN 的样式基于 Internet 标准 RFC 822，有时将其称为“邮件地址”。默认 UPN 后缀是林 DNS 名称，它是林中第一个树中第一个域的 DNS 名称。在本指南和本系列的其他分步指南中，默认 UPN 后缀是“”。您可以添加其他的 UPN 后缀，这可以提高登录安全性。您也可以为所有用户提供单一 UPN 后缀以简化用户登录名称。UPN 后缀仅

11、在 Windows Server 2003 域中使用，而且不一定是有效的 DNS 域名。要添加其他 UPN 后缀，请按照以下步骤操作：1.在左窗格上部选中并用右键单击“Active Directory 域和信任关系”，然后单击“属性”。2.在“其他 UPN 后缀”框中，输入您想用的任何其他 UPN 后缀，然后单击“添加”。3.单击“确定”关闭窗口。更改域和林功能Windows Server 2003 Active Directory 中引入的域和林功能提供了一种在网络环境中启用全域或全林 Active Directory 功能的方法。根据您的网络环境，您可以使用不同级别的域功能和林功能。如果域

12、或林中的所有域控制器均运行 Windows Server 2003，并且将功能级别设置为 Windows Server 2003，则可以使用所有的全域和全林功能。如果域或林中不但包括运行 Windows Server 2003 的域控制器，还包括运行 Windows NT 4.0 或 Windows 2000 的域控制器，则您只能使用一部分 Active Directory 全域和全林功能。在 Windows 2000 混合模式和纯模式下，允许在 Active Directory 中启用其他功能。混合模式域可以包含 Windows NT 4.0 备份域控制器，但不能使用通用安全组、组嵌套和安全

13、 ID (SID) 历史记录功能。如果将域设置为纯模式，则可以使用通用安全组、组嵌套和 SID 历史记录功能。运行 Windows2000 Server 的域控制器不支持域和林功能。警告：在提升域功能级别后，不能将运行早期版本操作系统的域控制器加入该域。例如，如果将域功能级别提升为 Windows Server 2003，则不能将运行 Windows 2000 Server 的域控制器添加到该域中。域功能启用的功能会影响整个域，而且只能影响该域。可以使用四种域 功能级别：Windows 2000 混合模式（默认）、Windows 2000 纯模式、Windows Server 2003 过渡和

14、 Windows Server 2003。默认情况下，域在 Windows 2000 混合功能级别运行。要提升域功能，请按照以下步骤操作：1.右键单击域对象（本例中为“”），然后单击“提升域功能级别”。2.从“选择一个可用的域功能级别”下拉列表中，选择“Windows Server 2003”，然后单击“提升。3.在出现警告信息时，单击“确定”以提升域功能。再次单击“确定”完成此过程。4.关闭“Active Directory 域和信任关系”窗口。返回页首使用“Active Directory 用户和计算机”管理单元要启动“Active Directory 用户和计算机”管理单元，请按照以下步

15、骤操作：1.单击“开始”按钮，指向“所有程序”，指向“管理工具”，然后单击“Active Directory 用户和计算机”。2.单击“+”号展开“C”。图 2 显示了“Active Directory 用户和计算机”管理单元的关键组件。图 2. “Active Directory 用户和计算机”管理单元认识 Active Directory 对象下表中描述的对象是在 Active Directory 的安装过程中创建的。图标文件夹说明域管理单元的根节点，表示所管理的域。Computers包含所有加入域且基于 Windows NT、Windows 2000、Windows XP 和 Windo

16、ws Server 2003 的计算机。这包括运行 Windows NT 3.51 和 4.0 版本的计算机。如果您从旧版本进行升级，Active Directory 会将计算机帐户迁移到该文件夹。您可以移动这些对象。System包含 Active Directory 系统和服务信息。Users包含域中的所有用户。在升级过程中，将迁移先前域中的所有用户。像计算机一样，您可以移动用户对象。您可以使用 Active Directory 创建下列对象。图标对象说明用户用户对象是目录中的一个安全主体。用户可以使用这些凭据登录到网络上，并且可以为用户授予访问权限。联系人联系人对象是没有任何安全权限的帐户

17、。您不能以联系人的身份登录到网络上。联系人通常表示外部用户，用以收发电子邮件。计算机计算机对象表示网络上的一台计算机。对于基于 Windows NT 的工作站和服务器，这是计算机帐户。组织单位组织单位 (OU) 用作一种容器，以便以逻辑方式来组织目录对象（如用户、组和计算机），这与使用文件夹来组织硬盘上的文件大体相同。组组可以包含用户、计算机和其他组。组简化了对大量对象进行的管理工作。共享文件夹共享文件夹是已在目录中发布的网络共享。共享打印机共享打印机是已在目录中发布的网络打印机。添加组织单位本过程在“Contoso”域中创建其他 OU。注意，您可以创建嵌套的 OU，对嵌套级别没有限制。这些步

18、骤遵循在通用结构分步指南中建立的 Active Directory 结构。如果您没有创建该结构，请直接在“C”下添加 OU 和用户；即，将本过程中提到的“Accounts”替换为“C”。要添加 OU，请按照以下步骤操作：1.单击“Accounts”旁边的“+”号将其展开。2.右键单击“Accounts”。3.指向“新建”，然后单击“组织单位”。键入“Construction”作为新组织单位的名称，然后单击“确定”。重复上述步骤以创建其他 OU（如下所示）：在“Accounts”下创建组织单位“Engineering”。在“Accounts”下创建组织单位“Manufacturing”。在“Ma

19、nufacturing”组织单位下创建“Consumer”组织单位。（为此，请用右键单击“Manufacturing”，指向“新建”，然后单击“组织单位”。）在“Manufacturing”组织单位下创建“Corporate”和“Government”组织单位。单击“Manufacturing”，以便在右窗格中显示它的内容。完成后，您应具有下面的如图 3 所示的分层结构。图 3. 新 OU创建用户帐户下面的过程在“Construction”OU 中创建用户帐户“John Smith”。要创建用户帐户，请按照以下步骤操作：1.右键单击“Construction”组织单位，指向“新建”，然后单击“

20、用户”，或在管理单元工具栏上单击“新建用户”。2.键入用户信息（如图 4 所示）。图 4.“新建用户”对话框3.单击“下一步”以继续。4.在“密码”和“确认密码”框中都键入“pass#word1”，然后单击“下一步”。注意：密码在保护组织网络安全方面所起到的作用常常被低估和忽视。密码提供了第一道防线，阻止对您的组织进行XX的访问。Windows Server 2003 家族中有一项新功能，即要求所有新建立的用户帐户使用复杂密码。有关此项功能的信息，请参见设置密码策略逐步式指南。5.在下一个对话框中，单击“完成”接受确认。现在，您已在“Construction”OU 中为“John Smith”

21、创建了一个帐户。要添加关于此用户的其他信息，请按照以下步骤操作：1.在左窗格中选择“Construction”，在右窗格中右键单击“John Smith”，然后单击“属性”。2.正如图 5 中所示，在“属性”对话框的“常规”选项卡上，添加有关此用户的更多信息，然后单击“确定”。单击每个可用的选项卡，并查看可定义的可选用户信息。图 5. 其他用户信息移动用户帐户可以在 OU 之间移动用户，这些 OU 可以在相同的域中，也可以在不同的域中。例如，在本过程中，将 John Smith 从“Construction”部门移动到“Engineering”部门。要在 OU 之间移动用户，请按照以下步骤操作

22、：1.在右窗格中，单击“John Smith”用户帐户，右键单击该帐户，然后单击“移动”。2.在“移动”屏幕上，单击“Accounts”旁边的“+”号将其展开（如图 6 所示）。图 6. 可用 OU 列表3.单击“Engineering”OU，然后单击“确定”。创建组要创建组，请按照以下步骤操作：1.右键单击“Engineering”OU，单击“新建”，然后单击“组”。2.在“新建对象 组”对话框中，键入“Tools”作为组名。3.查看一下 Windows Server 2003 中可用的组类型和作用域（如下表所示）。保留默认设置，然后单击“确定”以创建“Tools”组。“组类型”指示该组是否

23、可用于指派对其他网络资源（如文件和打印机）的权限。安全组和通讯组都可用于电子邮件通讯组列表。“组作用域”确定组的可见性以及组内可以包含的对象类型。作用域可见性可包含域本地域用户、域本地、全局或通用组全局林用户或全局组通用林用户、全局或通用组将用户添加到组中要将用户添加到组中，请按照以下步骤操作：1.在左窗格中单击“Engineering”OU。2.在右窗格中，右键单击“Tools”组，然后单击“属性”。3.单击“成员”选项卡，然后单击“添加”。4.在“输入对象名称来选择”文本框中，键入“John”，然后单击“确定”。图 7. 将“John Smith”添加到“Tools”安全组中5.在“Too

24、ls 属性”屏幕上，确认“John Smith”现在是“Tools”安全组的成员，然后单击“确定”。发布共享文件夹为帮助用户更方便地找到共享文件夹，您可以在 Active Directory 中发布有关共享文件夹的信息。可以在 Active Directory 中发布任何共享网络文件夹，包括分布式文件系统 (Dfs) 文件夹。在目录中创建共享文件夹对象并不会自动共享该文件夹。这个过程分为两步：您必须先共享该文件夹，然后在 Active Directory 中发布它。要共享一个文件夹，请按照以下步骤操作：1.使用 Windows 资源管理器，在某一磁盘卷上创建一个名为“Engineering S

25、pecs”的新文件夹。2.在 Windows 资源管理器中，右键单击“Engineering Specs”文件夹，然后单击“属性”。单击“共享”，然后单击“共享该文件夹”。3.在“Engineering Specs 属性”屏幕上，在“共享名”框中键入“ES”，然后单击“确定”。完成后，关闭 Windows 资源管理器。注意：默认情况下，内置的“Everyone”组有权访问该共享文件夹。单击“权限”按钮可更改默认权限。在目录中发布共享文件夹要在目录中发布共享文件夹，请按照以下步骤操作：1.在“Active Directory 用户和计算机”管理单元中，右键单击“Engineering”OU，指向

26、“新建”，然后单击“共享文件夹”。2.在“新建对象 共享文件夹”屏幕上，在“名称”框中键入“Engineering Specs”。3.在“网络路径”名称框中，键入“hq-con-dc-ES”，然后单击“确定”。4.右键单击“Engineering Specs”，然后单击“属性”。5.单击“关键字”。键入“specifications”作为“新值”，然后单击“添加”继续。单击两次“确定”以完成操作。现在，用户可以按共享名或关键字搜索 Active Directory 以查找此共享资源。搜索共享文件夹要查找共享文件夹，请按照以下步骤操作：1.在“Active Directory 用户和计算机”MM

27、C 中，右键单击“Contoso”，然后单击“查找”。2.在“查找”下拉列表中，单击“共享文件夹”。在“关键字”文本框中键入“specifications”，然后单击“开始查找”。3.在“搜索结果”中，右键单击“Engineering Specs”，然后单击“打开”。图 8. 在 Active Directory 中搜索共享文件夹注意：在填充 ES 共享文件夹后，最终用户可以通过目录搜索查找其内容。用户也可以将此共享资源映射为网络驱动器。4.关闭“查找共享文件夹”对话框。发布打印机您也可以在 Active Directory 中发布有关共享打印机的信息。对于在 Windows NT 中共享的打

28、印机，必须手动发布该打印机的相关信息。对于在 Windows Server 2003 家族或 Windows 2000 Server 家族中共享的打印机，在创建共享打印机时，系统会自动将该打印机的相关信息发布到目录中。可使用“Active Directory 用户和计算机”手动发布共享打印机信息。打印子系统自动将打印机属性（位置、说明、装入的纸张等）更改传播到目录中。注意：本节提供了一些详细的操作步骤，介绍如何配置和发布打印机，使打印机直接将内容打印到文件。如果您想使用基于 IP、LPT 或 USB 的打印机，则必须修改这些过程中的步骤。添加新的打印机要添加新的打印机，请按照以下步骤操作：1.

29、单击“开始”按钮，单击“打印机和传真”，然后双击“添加打印机”。此时将出现“添加打印机向导”。单击“下一步”。2.单击“连接到这台计算机的本地打印机”，清除“自动检测并安装我的即插即用打印机”复选框，然后单击“下一步”。3.在“使用以下端口”下拉列表中，单击“FILE: (打印到文件)”选项，然后单击“下一步”。4.在“厂商”结果窗格中，单击“Generic”。在“打印机”结果窗格中，单击“Generic / Text Only”。单击“下一步”以继续。5.在“命名打印机”页上，将“打印机名”更改为“Print to File”，然后单击“下一步”。6.在“打印机共享”页上，将“共享名”更改为

30、“FilePrinter”，然后单击“下一步”。7.对于“位置和注释”页上的“位置”，键入“Headquarters Bldg 4 Room 2200”。单击“下一步”以继续。8.单击“下一步”以打印测试页，然后单击“完成”即完成安装。9.在出现相应提示时，键入“Test Print”作为打印机测试页的文件名。完成后，单击“确定”。此时，将自动在 Active Directory 中发布打印机。在 Active Directory 中查找打印机要在 Active Directory 中查找打印机，请按照以下步骤操作：1.在“打印机和传真”屏幕上，双击“添加打印机”图标。2.此时将出现“添加打印机向导”对话框。单击“下一步”以继续。3.单击“网络打印机”，然后单击“下一步”。4.单击“在目录中查找一个打印机”（默认值），然后单击“下一步”。5.此时将出现“查找打印机”对话框。单击“开始查找”以搜索在 Active Directory 中发布的所有打印机。通过设置其他搜索选项，可以按可用功能或