Active Directory 管理分步指南
本指南向您介绍如何管理 Windows Server 2003 Active Directory 服务和“Active Directory 用户和计算机”管理单元。
本页内容
 | 简介 |
|---|---|
| 概述 |
| 使用“Active Directory 域和信任关系”管理单元 |
| 使用“Active Directory 用户和计算机”管理单元 |
| 其他资源 |
简介
逐步式指南
Microsoft Windows Server 2003 部署分步指南提供了许多关于常见的操作系统配置的实际操作经验。本指南首先介绍通过以下过程来建立通用网络结构:安装 Windows Server 2003;配置 Active Directory;安装 Windows XP Professional 工作站并最后将此工作站添加到域中。后续分步指南假定您已建立了此通用网络结构。如果您不想遵循此通用网络结构,则在使用这些指南时需要进行适当的修改。
通用网络结构要求完成以下指南。
• |
第一部分:将 Windows Server 2003 安装为域控制器
---|---
• |
第二部分:安装 Windows XP Professional 工作站并将其连接到域上
在配置完通用网络结构后,就可以使用任何其他分步指南了。注意,某些分步指南除需要有通用网络结构外,可能还需要满足额外的先决条件。任何额外的要求都将列在特定的分步指南中。
Microsoft Virtual PC
可以在物理实验室环境中或通过虚拟化技术(如 Microsoft Virtual PC 2004 或 Microsoft Virtual Server 2005)来实施 Windows Server 2003 部署分步指南。借助于虚拟机技术,客户可以同时在一台物理服务器上运行多个操作系统。Virtual PC 2004 和 Virtual Server 2005 就是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提高操作效率而设计的。
Windows Server 2003 部署分步指南假定所有配置都是在物理实验室环境中完成的,但大多数配置不需修改就可以应用于虚拟环境。
这些分步指南中提供的概念在虚拟环境中的应用不在本文的讨论范围之内。
重要说明
此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点和事件纯属虚构,我们决无意影射,任何人也不应由此臆猜,任何真实的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。
此通用基础结构是为在专用网络上使用而设计的。此通用基础结构中使用的虚拟公司名称和域名系统 (DNS) 名称并没有为在 Internet 上使用而进行注册。您不应在公共网络或 Internet 上使用此名称。
此通用基础结构的 Active Directory 服务结构用于说明“Windows Server 2003 更改和配置管理”如何与 Active Directory 配合使用。不能将其作为任何组织进行 Active Directory 配置时都可以使用的模型。
返回页首
概述
本指南向您介绍如何管理 Windows Server 2003 Active Directory 服务。Active Directory 管理工具简化了目录服务管理。您可以使用标准工具或 Microsoft 管理控制台 (MMC),创建侧重于完成单项管理任务的自定义工具。您可以将几个工具组合到一个控制台中。您也可以为各个具有特定管理职责的管理员分配自定义工具。
您只能从能够访问域的计算机上使用 Active Directory 管理工具。“管理工具”菜单上提供了下列 Active Directory 管理工具:
• |
Active Directory 用户和计算机
---|---
• |
Active Directory 域和信任关系
• |
Active Directory 站点和服务
您也可以从一台不是域控制器的计算机上远程管理 Active Directory,例如一台运行 Windows XP Professional 的计算机。为此,您必须安装 Windows Server 2003 管理工具包。
“Active Directory 架构”管理单元是一个用于管理架构的 Active Directory 管理工具。默认情况下,“管理工具”菜单上没有该管理单元,必须手动添加它。
高级管理员和网络支持专家可以使用很多命令行工具来配置和管理 Active Directory 以及对其进行故障排除。您也可以创建使用 Active Directory Service Interfaces (ADSI) 的脚本。操作系统安装媒体上提供了一些示例脚本。
先决条件
• |
第一部分:将 Windows Server 2003 安装为域控制器
---|---
• |
第二部分:安装 Windows XP Professional 工作站并将其连接到域上
• |
安装其他域控制器的分步指南
指南要求
• |
要执行本文中的过程,您必须以具有管理权限的用户身份登录。
---|---
• |
如果您是在某个域控制器上进行操作,则可能无法安装“Active Directory 架构”管理单元。要安装该管理单元,请执行以下操作:
| • |
在命令提示符下,键入
regsvr32 schmmgmt.dll
---|---
现在,就可以在 MMC 内使用“Active Directory 架构”管理单元了。
• |
在基于 Windows Server 2003 的独立服务器或 Windows XP Professional 工作站上,Active Directory 管理工具是可选的。您可以从“控制面板”中的“添加/删除程序”安装这些工具(使用 Windows 组件向导),也可以从 Windows Server 2003 CD 上的 ADMINPAK 进行安装。
---|---
返回页首
使用“Active Directory 域和信任关系”管理单元
“Active Directory 域和信任关系”管理单元为林中的所有域树提供一个图形视图。使用此工具,管理员可以管理林中的每个域;管理域之间的信任关系;配置每个域的操作模式(纯模式或混合模式);并为林配置其他用户主体名称 (UPN) 后缀。
启动“Active Directory 域和信任关系”管理单元
要启动该管理单元,请按照以下步骤操作:
1.
|
在“HQ-CON-DC-01”上,单击“开始”按钮,指向“所有程序”,指向“管理工具”,然后单击“Active Directory 域和信任关系”。此时将出现“Active Directory 域和信任关系”管理单元(如图 1 所示)。
图 1. “Active Directory 域和信任关系”管理单元
---|---
用户主体名称 (UPN) 为用户登录到 Active Directory 提供了易于使用的命名样式。UPN 的样式基于 Internet 标准 RFC 822,有时将其称为“邮件地址”。默认 UPN 后缀是林 DNS 名称,它是林中第一个树中第一个域的 DNS 名称。在本指南和本系列的其他分步指南中,默认 UPN 后缀是“contoso.com”。
您可以添加其他的 UPN 后缀,这可以提高登录安全性。您也可以为所有用户提供单一 UPN 后缀以简化用户登录名称。UPN 后缀仅在 Windows Server 2003 域中使用,而且不一定是有效的 DNS 域名。
要添加其他 UPN 后缀,请按照以下步骤操作:
1.
|
在左窗格上部选中并用右键单击“Active Directory 域和信任关系”,然后单击“属性”。
---|---
2.
|
在“其他 UPN 后缀”框中,输入您想用的任何其他 UPN 后缀,然后单击“添加”。
3.
|
单击“确定”关闭窗口。
更改域和林功能
Windows Server 2003 Active Directory 中引入的域和林功能提供了一种在网络环境中启用全域或全林 Active Directory 功能的方法。根据您的网络环境,您可以使用不同级别的域功能和林功能。
如果域或林中的所有域控制器均运行 Windows Server 2003,并且将功能级别设置为 Windows Server 2003,则可以使用所有的全域和全林功能。如果域或林中不但包括运行 Windows Server 2003 的域控制器,还包括运行 Windows NT ® 4.0 或 Windows 2000 的域控制器,则您只能使用一部分 Active Directory 全域和全林功能。
在 Windows 2000 混合模式和纯模式下,允许在 Active Directory 中启用其他功能。混合模式域可以包含 Windows NT 4.0 备份域控制器,但不能使用通用安全组、组嵌套和安全 ID (SID) 历史记录功能。如果将域设置为纯模式,则可以使用通用安全组、组嵌套和 SID 历史记录功能。运行 Windows 2000 Server 的域控制器不支持域和林功能。
警告: 在提升域功能级别后,不能将运行早期版本操作系统的域控制器加入该域。例如,如果将域功能级别提升为 Windows Server 2003,则不能将运行 Windows 2000 Server 的域控制器添加到该域中。
域功能启用的功能会影响整个域,而且只能影响该域。可以使用四种 域 功能级别:Windows 2000 混合模式(默认)、Windows 2000 纯模式、Windows Server 2003 过渡和 Windows Server 2003。默认情况下,域在 Windows 2000 混合功能级别运行。
要提升域功能,请按照以下步骤操作:
1.
|
右键单击域对象(本例中为“contoso.com”),然后单击“提升域功能级别”。
---|---
2.
|
从“选择一个可用的域功能级别”下拉列表中,选择“Windows Server 2003”,然后单击“提升。
3.
|
在出现警告信息时,单击“确定”以提升域功能。再次单击“确定”完成此过程。
4.
|
关闭“Active Directory 域和信任关系”窗口。
返回页首
使用“Active Directory 用户和计算机”管理单元
要启动“Active Directory 用户和计算机”管理单元,请按照以下步骤操作:
1.
|
单击“开始”按钮,指向“所有程序”,指向“管理工具”,然后单击“Active Directory 用户和计算机”。
---|---
2.
|
单击“+”号展开“Contoso.com”。
图 2 显示了“Active Directory 用户和计算机”管理单元的关键组件。
图 2. “Active Directory 用户和计算机”管理单元
认识 Active Directory 对象
下表中描述的对象是在 Active Directory 的安装过程中创建的。
| 图标 | 文件夹 | 说明 |
|---|
|
域
|
管理单元的根节点,表示所管理的域。
|
Computers
|
包含所有加入域且基于 Windows NT、Windows 2000、Windows XP 和 Windows Server 2003 的计算机。这包括运行 Windows NT 3.51 和 4.0 版本的计算机。如果您从旧版本进行升级,Active Directory 会将计算机帐户迁移到该文件夹。您可以移动这些对象。
.gif)
|
System
|
包含 Active Directory 系统和服务信息。
|
Users
|
包含域中的所有用户。在升级过程中,将迁移先前域中的所有用户。像计算机一样,您可以移动用户对象。
您可以使用 Active Directory 创建下列对象。
| 图标 | 对象 | 说明 |
|---|
|
用户
|
用户对象是目录中的一个安全主体。用户可以使用这些凭据登录到网络上,并且可以为用户授予访问权限。
|
联系人
|
联系人对象是没有任何安全权限的帐户。您不能以联系人的身份登录到网络上。联系人通常表示外部用户,用以收发电子邮件。
|
计算机
|
计算机对象表示网络上的一台计算机。对于基于 Windows NT 的工作站和服务器,这是计算机帐户。
|
组织单位
|
组织单位 (OU) 用作一种容器,以便以逻辑方式来组织目录对象(如用户、组和计算机),这与使用文件夹来组织硬盘上的文件大体相同。
|
组
|
组可以包含用户、计算机和其他组。组简化了对大量对象进行的管理工作。
|
共享文件夹
|
共享文件夹是已在目录中发布的网络共享。
|
共享打印机
|
共享打印机是已在目录中发布的网络打印机。
添加组织单位
本过程在“Contoso”域中创建其他 OU。注意,您可以创建嵌套的 OU,对嵌套级别没有限制。
这些步骤遵循在通用结构分步指南中建立的 Active Directory 结构。如果您没有创建该结构,请直接在“Contoso.com”下添加 OU 和用户;即,将本过程中提到的“Accounts”替换为“Contoso.com”。
要添加 OU,请按照以下步骤操作:
1.
|
单击“Accounts”旁边的“+”号将其展开。
---|---
2.
|
右键单击“Accounts”。
3.
|
指向“新建”,然后单击“组织单位”。键入“Construction”作为新组织单位的名称,然后单击“确定”。
重复上述步骤以创建其他 OU(如下所示):
• |
在“Accounts”下创建组织单位“Engineering”。
---|---
• |
在“Accounts”下创建组织单位“Manufacturing”。
• |
在“Manufacturing”组织单位下创建“Consumer”组织单位。(为此,请用右键单击“Manufacturing”,指向“新建”,然后单击“组织单位”。)
• |
在“Manufacturing”组织单位下创建“Corporate”和“Government”组织单位。单击“Manufacturing”,以便在右窗格中显示它的内容。
完成后,您应具有下面的如图 3 所示的分层结构。
图 3. 新 OU
创建用户帐户
下面的过程在“Construction”OU 中创建用户帐户“John Smith”。
要创建用户帐户,请按照以下步骤操作:
1.
|
右键单击“Construction”组织单位,指向“新建”,然后单击“用户”,或在管理单元工具栏上单击“新建用户”。
---|---
2.
|
键入用户信息(如图 4 所示)。
图 4. “新建用户”对话框
3.
|
单击“下一步”以继续。
4.
|
在“密码”和“确认密码”框中都键入“pass#word1”,然后单击“下一步”。
注意: 密码在保护组织网络安全方面所起到的作用常常被低估和忽视。密码提供了第一道防线,阻止对您的组织进行未经授权的访问。Windows Server 2003 家族中有一项新功能,即要求所有新建立的用户帐户使用复杂密码。有关此项功能的信息,请参见 设置密码策略 逐步式指南。
5.
|
在下一个对话框中,单击“完成”接受确认。
现在,您已在“Construction”OU 中为“John Smith”创建了一个帐户。
要添加关于此用户的其他信息,请按照以下步骤操作:
1.
|
在左窗格中选择“Construction”,在右窗格中右键单击“John Smith”,然后单击“属性”。
---|---
2.
|
正如图 5 中所示,在“属性”对话框的“常规”选项卡上,添加有关此用户的更多信息,然后单击“确定”。单击每个可用的选项卡,并查看可定义的可选用户信息。
图 5. 其他用户信息
移动用户帐户
可以在 OU 之间移动用户,这些 OU 可以在相同的域中,也可以在不同的域中。例如,在本过程中,将 John Smith 从“Construction”部门移动到“Engineering”部门。
要在 OU 之间移动用户,请按照以下步骤操作:
1.
|
在右窗格中,单击“John Smith”用户帐户,右键单击该帐户,然后单击“移动”。
---|---
2.
|
在“移动”屏幕上,单击“Accounts”旁边的“+”号将其展开(如图 6 所示)。
图 6. 可用 OU 列表
3.
|
单击“Engineering”OU,然后单击“确定”。
创建组
要创建组,请按照以下步骤操作:
1.
|
右键单击“Engineering”OU,单击“新建”,然后单击“组”。
---|---
2.
|
在“新建对象 – 组”对话框中,键入“Tools”作为组名。
3.
|
查看一下 Windows Server 2003 中可用的组类型和作用域(如下表所示)。保留默认设置,然后单击“确定”以创建“Tools”组。
| • |
“组类型”指示该组是否可用于指派对其他网络资源(如文件和打印机)的权限。安全组和通讯组都可用于电子邮件通讯组列表。
---|---
• |
“组作用域”确定组的可见性以及组内可以包含的对象类型。
| 作用域 | 可见性 | 可包含 |
|---|
域本地
|
域
|
用户、域本地、全局或通用组
全局
|
林
|
用户或全局组
通用
|
林
|
用户、全局或通用组
将用户添加到组中
要将用户添加到组中,请按照以下步骤操作:
1.
|
在左窗格中单击“Engineering”OU。
---|---
2.
|
在右窗格中,右键单击“Tools”组,然后单击“属性”。
3.
|
单击“成员”选项卡,然后单击“添加”。
4.
|
在“输入对象名称来选择”文本框中,键入“John”,然后单击“确定”。
图 7. 将“John Smith”添加到“Tools”安全组中
5.
|
在“Tools 属性”屏幕上,确认“John Smith”现在是“Tools”安全组的成员,然后单击“确定”。
发布共享文件夹
为帮助用户更方便地找到共享文件夹,您可以在 Active Directory 中发布有关共享文件夹的信息。可以在 Active Directory 中发布任何共享网络文件夹,包括分布式文件系统 (Dfs) 文件夹。在目录中创建共享文件夹对象并不会自动共享该文件夹。这个过程分为两步:您必须先共享该文件夹,然后在 Active Directory 中发布它。
要共享一个文件夹,请按照以下步骤操作:
1.
|
使用 Windows 资源管理器,在某一磁盘卷上创建一个名为“Engineering Specs”的新文件夹。
---|---
2.
|
在 Windows 资源管理器中,右键单击“Engineering Specs”文件夹,然后单击“属性”。单击“共享”,然后单击“共享该文件夹”。
3.
|
在“Engineering Specs 属性”屏幕上,在“共享名”框中键入“ES”,然后单击“确定”。完成后,关闭 Windows 资源管理器。
注意: 默认情况下,内置的“Everyone”组有权访问该共享文件夹。单击“权限”按钮可更改默认权限。
在目录中发布共享文件夹
要在目录中发布共享文件夹,请按照以下步骤操作:
1.
|
在“Active Directory 用户和计算机”管理单元中,右键单击“Engineering”OU,指向“新建”,然后单击“共享文件夹”。
---|---
2.
|
在“新建对象 – 共享文件夹”屏幕上,在“名称”框中键入“Engineering Specs”。
3.
|
在“网络路径”名称框中,键入“\\hq-con-dc-01.contoso.com\ES”,然后单击“确定”。
4.
|
右键单击“Engineering Specs”,然后单击“属性”。
5.
|
单击“关键字”。键入“specifications”作为“新值”,然后单击“添加”继续。单击两次“确定”以完成操作。
现在,用户可以按共享名或关键字搜索 Active Directory 以查找此共享资源。
搜索共享文件夹
要查找共享文件夹,请按照以下步骤操作:
1.
|
在“Active Directory 用户和计算机”MMC 中,右键单击“Contoso”,然后单击“查找”。
---|---
2.
|
在“查找”下拉列表中,单击“共享文件夹”。在“关键字”文本框中键入“specifications”,然后单击“开始查找”。
3.
|
在“搜索结果”中,右键单击“Engineering Specs”,然后单击“打开”。
图 8. 在 Active Directory 中搜索共享文件夹
注意: 在填充 ES 共享文件夹后,最终用户可以通过目录搜索查找其内容。用户也可以将此共享资源映射为网络驱动器。
4.
|
关闭“查找共享文件夹”对话框。
发布打印机
您也可以在 Active Directory 中发布有关共享打印机的信息。对于在 Windows NT 中共享的打印机,必须手动发布该打印机的相关信息。对于在 Windows Server 2003 家族或 Windows 2000 Server 家族中共享的打印机,在创建共享打印机时,系统会自动将该打印机的相关信息发布到目录中。可使用“Active Directory 用户和计算机”手动发布共享打印机信息。
打印子系统自动将打印机属性(位置、说明、装入的纸张等)更改传播到目录中。
注意: 本节提供了一些详细的操作步骤,介绍如何配置和发布打印机,使打印机直接将内容打印到文件。如果您想使用基于 IP、LPT 或 USB 的打印机,则必须修改这些过程中的步骤。
添加新的打印机
要添加新的打印机,请按照以下步骤操作:
1.
|
单击“开始”按钮,单击“打印机和传真”,然后双击“添加打印机”。此时将出现“添加打印机向导”。单击“下一步”。
---|---
2.
|
单击“连接到这台计算机的本地打印机”,清除“自动检测并安装我的即插即用打印机”复选框,然后单击“下一步”。
3.
|
在“使用以下端口”下拉列表中,单击“FILE: (打印到文件)”选项,然后单击“下一步”。
4.
|
在“厂商”结果窗格中,单击“Generic”。在“打印机”结果窗格中,单击“Generic / Text Only”。单击“下一步”以继续。
5.
|
在“命名打印机”页上,将“打印机名”更改为“Print to File”,然后单击“下一步”。
6.
|
在“打印机共享”页上,将“共享名”更改为“FilePrinter”,然后单击“下一步”。
7.
|
对于“位置和注释”页上的“位置”,键入“Headquarters – Bldg 4 – Room 2200”。单击“下一步”以继续。
8.
|
单击“下一步”以打印测试页,然后单击“完成”即完成安装。
9.
|
在出现相应提示时,键入“Test Print”作为打印机测试页的文件名。完成后,单击“确定”。
此时,将自动在 Active Directory 中发布打印机。
在 Active Directory 中查找打印机
要在 Active Directory 中查找打印机,请按照以下步骤操作:
1.
|
在“打印机和传真”屏幕上,双击“添加打印机”图标。
---|---
2.
|
此时将出现“添加打印机向导”对话框。单击“下一步”以继续。
3.
|
单击“网络打印机”,然后单击“下一步”。
4.
|
单击“在目录中查找一个打印机”(默认值),然后单击“下一步”。
5.
|
此时将出现“查找打印机”对话框。单击“开始查找”以搜索在 Active Directory 中发布的所有打印机。通过设置其他搜索选项,可以按可用功能或打印机位置来限制结果。
打印机位置跟踪: 使用打印机位置跟踪可加快打印机搜索速度。如果启用了打印机位置跟踪,则在用户单击“开始查找”后,Active Directory 将列出用户所在位置的所有与用户查询匹配的打印机。用户可以单击“浏览”更改“位置”字段以搜索位于其他位置的打印机。有关配置打印机位置跟踪的更多信息,请参见 Windows Server 2003 帮助和支持中心。
6.
|
在“查找打印机”页上的“搜索结果”中,双击“Print to File”以安装该打印机。单击“是”(默认值),将这台打印机设置为系统的默认打印机,然后单击“下一步”。
图 9. 在 Active Directory 中搜索共享打印机
7.
|
单击“完成”以完成打印机安装。
8.
|
关闭“打印机和传真”窗口。
在 Active Directory 中,您可以发布除 Windows Server 2003、Windows 2000 或 Windows XP 以外的其他操作系统共享的打印机。尽管可以使用“Active Directory 用户和计算机”管理单元完成此操作,但最简便的方法是使用“pubprn.vbs”脚本。该脚本将发布给定服务器上的所有共享打印机。该脚本位于“\winnt\system32”目录中。
使用“pubprn.vbs”脚本手动发布打印机
要使用“pubprn.vbs”脚本手动发布打印机,请按照以下步骤操作:
1.
|
单击“开始”按钮,然后单击“运行”。在文本框中键入“cmd”,然后单击“确定”。
---|---
2.
|
键入“cd \ windows\ system32”,然后按“Enter”键。
3.
|
键入“cscript pubprn.vbs prserv1 "LDAP://ou=accounts,dc=contoso,dc=com"”,然后按“Enter”键。
注意: 该示例会将 Prserv1 服务器上的所有打印机发布到“Accounts”OU。该脚本仅复制以下打印机属性子集,包括位置、型号、注释和 UNC 路径。 **此脚本不能在 Windows Server 2003 上运行,它仅用作将打印机从下层打印服务器发布到 Active Directory 的手动工具。 **
4.
|
“关闭”该窗口。
使用“Active Directory 用户和计算机”管理单元手动发布打印机
1.
|
右键单击“Marketing”OU,单击“新建”,然后单击“打印机”。
---|---
2.
|
此时将出现“新建对象 - 打印机”对话框。在文本框中,键入打印机路径,如“\\server\share name”,然后单击“确定”。
由于最终用户可以浏览打印机、向这些打印机提交作业以及直接从服务器安装打印机驱动程序,因此,他们会体验到在目录中发布的打印机的无缝操作过程。
创建计算机对象
当计算机加入域时,会自动创建一个计算机对象。如果您不想为所有用户都分配将计算机添加到域中的权限,也可以在将计算机手动或通过脚本加入域之前创建计算机对象。
要手动将计算机添加到域中,请按照以下步骤操作:
1.
|
右键单击“Engineering”OU,指向“新建”,然后单击“计算机”。
---|---
2.
|
键入“Legacy”作为“计算机名”,然后单击“下一步”。
3.
|
如果该计算机是一个被管理的系统,您可以输入系统“GUID”。在本例中,将系统“GUID”保留空白,单击“下一步”,然后单击“完成”。
4.
|
要从“Active Directory 用户和计算机”管理单元中管理这台计算机,请右键单击该“计算机对象”,然后单击“管理”。
作为一个可选项,您还可以选择允许哪些用户将计算机加入域。这样,就可以由管理员来创建计算机帐户,而由具有较少权限的用户来安装该计算机并将其加入域。
重命名、移动和删除对象
可以重命名和删除目录中的每个对象,并且可以将大多数对象移动到不同的容器中。以下过程详细介绍了创建计算机对象的示例。
要将“Legacy”计算机对象移动到不同的容器中,请按照以下步骤操作:
1.
|
在“Accounts”OU 中,单击“Engineering”OU。
---|---
2.
|
右键单击“Legacy”计算机对象,然后单击“移动”。
3.
|
展开“Resources”OU,然后单击“Servers”将其突出显示(如图 10 所示)。
图 10. 移动计算机对象
4.
|
单击“确定”,将计算机移动到“Resources”OU 下面的“Server”OU 中。
管理计算机对象
您可以直接从“Active Directory 用户和计算机”管理单元中管理 Active Directory 中的计算机对象。“计算机管理”是一个组件,您可以使用它来查看和控制计算机配置的许多方面。“计算机管理”将一些管理实用工具组合到一个控制台树中,可通过它方便地访问本地或远程计算机的管理属性和工具。
注意: 以下示例假定您正在使用 HQ-CON-DC-01 控制台,并且 HQ-CON-DC-02 当前正在运行。
管理远程计算机
要管理远程计算机,请按照以下步骤操作:
1.
|
在“Active Directory 用户和计算机”管理单元中,右键单击“contoso.com”,然后单击“连接到域”。
---|---
2.
|
单击“浏览”,然后单击“contoso.com”旁边的“+”号。双击“vancouver.contoso.com”,然后单击“确定”。
3.
|
单击“+”号展开“vancouver.contoso.com”,然后单击“域控制器”。
4.
|
右键单击“HQ-CON-DC-02”,然后单击“管理”。现在可以远程管理系统了(如图 11 所示)。
图 11. 远程管理计算机
查看大图
5.
|
关闭“计算机管理”窗口。
嵌套组
通过使用嵌套组,您可以提供全公司或全处范围内的资源访问,而只需进行最低限度的维护。将每个工作组帐户组都放在一个全公司范围内的资源组中并不是一个有效的解决方案,因为这需要创建和维护数量很大的成员身份链接。要使用嵌套组,管理员需要创建一系列帐户组,这些组分别代表公司管理的各个部门。
例如,顶级帐户组可以叫做“All Employees”,可以将其与一个能够授予资源和共享目录的访问权的资源组相关联。下一级可以包含代表公司主要部门的帐户组。此级别中的各个组都是“All Employees”的成员,分别关联着一个资源组,该资源组授予对共享目录和与它所代表的部门相应的资源的访问权。
在部门内,下一级帐户组可能代表“处”。处的共享资源可包括项目进度表、会议时间表、休假计划,或对整个处都适用的任何网络信息。处帐户组均是部门帐户组的成员。
在一个处内,可以将管理结构组织为具有任何所需特定级别的安全组。这些组可以是工作组帐户组,并且可以代表组织分层结构树中的叶节点。
在划分好此组分层结构后,您可以通过将某个新雇员放在工作组帐户组中,立即为其授予工作组、处、部门和整个公司的资源的访问权限。此系统支持最小访问权限原则,因为新雇员不能查看相邻工作组、其他处或其他部门的资源。
创建嵌套组
要创建嵌套组,请按照以下步骤操作:
1.
|
在“Active Directory 用户和计算机”管理单元中,右键单击“vancouver.contoso.com”,然后单击“连接到域”。
---|---
2.
|
单击“浏览”,然后单击“contoso.com”。单击两次“确定”以完成操作。
3.
|
展开“contoso.com”,然后展开“Accounts”OU。
4.
|
使用以下方法创建一个新组:右键单击“Engineering”,指向“新建”,然后单击“组”。键入“All Engineering”,然后单击“确定”。
5.
|
右键单击“All Engineering”组,然后单击“属性”。
6.
|
单击“成员”选项卡,然后单击“添加”。
7.
|
在“输入对象名称来选择”框中,键入“Tools”,然后单击“确定”。
8.
|
再次单击“确定”。现在已创建了一个嵌套组。
查找特定对象
在大型目录部署中,浏览一个内容广泛的对象列表以搜索特定对象是不切实际的。通常,查找符合某一条件的特定对象是比较有效的。在以下示例中,您将在“Contoso”域中查找登录名以“J”开头的所有用户。
要查找登录名以“J”开头的用户,请按照以下步骤操作:
1.
|
单击选中“contoso.com”。右键单击“contoso.com”,然后单击“查找”。
---|---
2.
|
单击“高级”选项卡。在“字段”下拉列表中,选择“用户”,然后单击“登录名”。
3.
|
键入“J”作为“值”,然后单击“添加”。单击“开始查找”。结果应该与图 12 中显示的内容相似。
图 12. 使用高级目录搜索方法
4.
|
关闭“查找用户、联系人及组”窗口。
筛选对象列表
通过筛选从目录返回的对象列表,您可以更有效地对目录进行管理。您可以使用筛选选项,限制返回到管理单元的对象类型。例如,您可以选择只查看用户和组,或者,您也可能希望创建一个更复杂的筛选器。如果某个 OU 的对象超过指定数量,则可使用“筛选器”功能限制在结果窗格中显示的对象个数。您可以使用“筛选器”功能配置该选项。
要创建一个仅用于显示用户的筛选器,请按照以下步骤操作:
1.
|
在“Active Directory 用户和计算机”管理单元中,单击“Accounts”OU 下面的“Engineering”。
---|---
2.
|
单击“查看”