Windows Server 2003域模式下的管理1. 域模式管理原理域模式管理是一種高效可靠的管理系統(tǒng)，其核心就在于將 計(jì)算機(jī)加入到一個(gè)指定的邏輯單元“域”中，然后對(duì)加入其中 的計(jì)算機(jī)實(shí)現(xiàn)統(tǒng)一、高

Windows Server 2003域模式下的管理

1. 域模式管理原理

域模式管理是一種高效可靠的管理系統(tǒng)，其核心就在于將 計(jì)算機(jī)加入到一個(gè)指定的邏輯單元“域”中，然后對(duì)加入其中 的計(jì)算機(jī)實(shí)現(xiàn)統(tǒng)一、高效的管理，對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)中的計(jì) 算機(jī)、用戶(hù)、資源進(jìn)行了重新的整合。時(shí)期在管理方式上 發(fā)生了根本性的改變。

在與模式的管理體系下，整個(gè)網(wǎng)絡(luò)管理經(jīng)過(guò)以下4個(gè)過(guò)程實(shí) 現(xiàn)對(duì)加入域的所有計(jì)算機(jī)和所有用戶(hù)進(jìn)行綜合管理

1) 建立域服務(wù)器

2) 將被管理的計(jì)算機(jī)加入到域中

3) 使用域下的管理員賬戶(hù)建立新的用戶(hù)

4) 在域中通過(guò)任何計(jì)算機(jī)對(duì)域中任何賬戶(hù)實(shí)現(xiàn)設(shè)置管理

2. 域模式下用戶(hù)設(shè)置

當(dāng)一臺(tái)計(jì)算機(jī)成為域控制器時(shí)，或者當(dāng)一臺(tái)計(jì)算機(jī)加入的 域成為成為域模式下的一臺(tái)客戶(hù)機(jī)時(shí)，每臺(tái)計(jì)算機(jī)中的賬 戶(hù)信息將發(fā)生變化。

1）在域控制器中，原本地賬戶(hù)已經(jīng)不能使用了。

2）通過(guò)客戶(hù)機(jī)進(jìn)入域控制器前，系統(tǒng)出現(xiàn)兩個(gè)進(jìn)入選項(xiàng)，一個(gè)

是本地進(jìn)入選項(xiàng)，一個(gè)是域控制器選項(xiàng)。

3）域模式下的默認(rèn)賬戶(hù)

Domain admins（域管理員）

Administrator （本地管理員）

4) 如何在域模式下建立賬戶(hù)

3. 域模式下的賬戶(hù)管理

在基于域模式下的windows server 2003的賬戶(hù)信息變得非 常豐富，管理員被賦予了極大地權(quán)利，對(duì)于所有加入到域 中用戶(hù)的賬戶(hù)信息都要進(jìn)行管理和維護(hù)，賬戶(hù)信息將被域 中所有有權(quán)利需要賬戶(hù)信息的各個(gè)部門(mén)使用。

(1)賬戶(hù)信息的設(shè)置

(2)賬戶(hù)信息的刪除

1賬戶(hù)信息的設(shè)置

在賬戶(hù)屬性中有16個(gè)選項(xiàng)卡，涵蓋了賬戶(hù)的大部分信息

1) “常規(guī)”、“地址”、“電話(huà)”、“單位”選項(xiàng)卡中的信息時(shí)賬戶(hù)的個(gè)人信息，用于擁有權(quán)限的賬戶(hù)查詢(xún)

2) “賬戶(hù)”選項(xiàng)卡的上半部分與普通賬戶(hù)信息沒(méi)有區(qū)別，但下半部分包括了眾多的信息，在域控制器管理的網(wǎng)絡(luò)中，所有賬戶(hù)可以被限制在以5種方式進(jìn)入系統(tǒng)和運(yùn)用系統(tǒng)：

(1)指定的賬戶(hù)

(2)指定的計(jì)算機(jī)

(3)指定的時(shí)間

(4)運(yùn)行指定的程序

(5)訪問(wèn)指定的資源

3“賬戶(hù)選項(xiàng)”選項(xiàng)組提供多項(xiàng)有關(guān)賬戶(hù)安全方面的設(shè)置，在后面的課程學(xué)習(xí)再展開(kāi)實(shí)驗(yàn)。

4“賬戶(hù)過(guò)期”選項(xiàng)組對(duì)賬戶(hù)登錄計(jì)算機(jī)的時(shí)間做出了更嚴(yán)格的限制，可以選擇“永不過(guò)期”或“在這之后”單選按鈕，指定具體的日期來(lái)限制該賬戶(hù)登錄到域控制器。

2賬戶(hù)的刪除

在日常的系統(tǒng)管理中，主要是對(duì)系統(tǒng)資源和賬戶(hù)的管理。 在賬戶(hù)管理中經(jīng)常出現(xiàn)原有賬戶(hù)不使用的情況，主要有： 試驗(yàn)用賬戶(hù)、誤操作建立的賬戶(hù)、臨時(shí)賬戶(hù)和禁用的賬

戶(hù)。對(duì)于這些賬戶(hù)一半情況下管理員可以執(zhí)行操作，但是 在windows server 2003中，確認(rèn)和識(shí)別賬戶(hù)的不僅僅是賬 戶(hù)名，而是系統(tǒng)自動(dòng)派發(fā)的安全標(biāo)示（SID ）

如果刪除了賬戶(hù)該賬戶(hù)的SID 仍然是存在的。

4. 域模式下組的概念

在windows server 2003的域控制器中，組是一個(gè)非常重要 的概念與應(yīng)用。賬號(hào)是進(jìn)入系統(tǒng)的身份證，組是用來(lái)簡(jiǎn)

化、統(tǒng)一管理賬戶(hù)的邏輯結(jié)構(gòu)，利用組可以把具有相同權(quán) 限需求和管理需求的用戶(hù)組織存放在一起

1) 組的特點(diǎn)

(1)組是個(gè)邏輯結(jié)構(gòu)

(2)一個(gè)賬戶(hù)可以同時(shí)加入多個(gè)組

(3)當(dāng)一個(gè)用戶(hù)加入到一個(gè)指定組是，該用戶(hù)就有了該組的權(quán)限

2.Windows server 2003組的范圍

全局

本地域

3.Windows server 2003組的分類(lèi)

安全組

通信組

通用

4.Windows server 2003中的默認(rèn)組

預(yù)定義組

內(nèi)置組

內(nèi)置本地組

特殊組

5. 組的設(shè)置

1組賬號(hào)建立

右擊“Active Directory用戶(hù)和計(jì)算機(jī)”窗口中User 文件夾，在彈出的快捷菜單中選擇“新建”-“組”命令

在“新建對(duì)象-組”對(duì)話(huà)框中輸入相應(yīng)的信息并設(shè)置組的作用域、組類(lèi)型、然后單擊“確定”按鈕

1設(shè)置組成員

打開(kāi)要加入賬戶(hù)的指定組的屬性對(duì)話(huà)框的“成員”選項(xiàng)卡

單擊“添加”-“高級(jí)”-“立即查找”按鈕，顯示被選定用戶(hù)賬戶(hù) 選中要加入組的用戶(hù)賬戶(hù)

在“成員”選項(xiàng)卡中選中用戶(hù)點(diǎn)擊刪除，可以將指定用戶(hù)刪除出組

2.1.3 域模式下對(duì)分區(qū)文件夾文件的管理

1域模式規(guī)劃與建立

在域模式下，一旦構(gòu)架出符合需求的用戶(hù)賬戶(hù)體系，確立了加入域的計(jì)算機(jī)后，最重要的工作就是確定哪些賬戶(hù)能訪問(wèn)文件夾，對(duì)文件能進(jìn)行什么權(quán)限的英勇。這時(shí)候，用戶(hù)賬戶(hù)已經(jīng)成為域中的一個(gè)成員，可以通過(guò)域中任何一臺(tái)計(jì)算機(jī)登錄，對(duì)任何計(jì)算機(jī)上的資源對(duì)象進(jìn)行訪問(wèn)。計(jì)算機(jī)如何加入域參見(jiàn)課本實(shí)例。

2. 通過(guò)指定計(jì)算機(jī)登錄對(duì)異地計(jì)算機(jī)的文件夾進(jìn)行權(quán)限設(shè)置

2.2 設(shè)置組織單位與配置客戶(hù)機(jī)

1. 組織單位的概念

組織單位是域中的一類(lèi)目錄對(duì)象，它包括域中一些用戶(hù)、計(jì)算機(jī)、 組、文件等資源。主要用于網(wǎng)絡(luò)構(gòu)建。可使網(wǎng)絡(luò)管理員以一種更容易理解和管理的方式來(lái)模擬實(shí)際工作中的單位結(jié)構(gòu)。

2. 組織單位與組賬號(hào)的區(qū)別

組織單位與組賬號(hào)都是域模式下的管理對(duì)象，組織單元管 理的對(duì)象更多一些，而組賬號(hào)只對(duì)用戶(hù)賬戶(hù)在文件夾上的

權(quán)限進(jìn)行管理。刪除了組賬號(hào)，組賬號(hào)所管理的用戶(hù)賬號(hào)的邏輯關(guān)系被打破，但用戶(hù)賬戶(hù)本身不會(huì)消失，刪除了OU ，在OU 中

設(shè)置的信息，加入管理的對(duì)象隨之刪除

3. 組織單位與域的關(guān)系

域是操作系統(tǒng)對(duì)所有與之連接的計(jì)算機(jī)和登錄計(jì)算機(jī)的用戶(hù)賬戶(hù)的全面管理，是建立在活動(dòng)目錄中最全面完善的網(wǎng)絡(luò)管理模式，用戶(hù)訪問(wèn)計(jì)算機(jī)時(shí)需先登錄域再進(jìn)入組織單元。

好比操作系統(tǒng)和應(yīng)用軟件，域就像是操作系統(tǒng)。組織單位就比如應(yīng)用軟件。用戶(hù)只有進(jìn)入操作系統(tǒng)后才能使用應(yīng)用軟件，域中的組織單位也是如此。

4. 創(chuàng)建組織單位

1. 在安裝了活動(dòng)目錄的域控制器計(jì)算機(jī)上打開(kāi)“active directory 用戶(hù)和計(jì)算機(jī)”窗口。

2. 右擊“gs.com ”域，在彈出的快捷菜單中選擇“新建”-“組織單位”

3. 打開(kāi)組織單位對(duì)話(huà)框，輸入名稱(chēng)

4. 點(diǎn)擊確定按鈕就成功建立了一個(gè)組織單位

2.2.2 配置客戶(hù)機(jī)

當(dāng)域建立好后，主要的工作就是將計(jì)算機(jī)加入到域中，并通過(guò)活動(dòng)目錄對(duì)域中的計(jì)算機(jī)進(jìn)行管理。

1調(diào)整TCP/IP協(xié)議的屬性，使DNS 指向gs.com 的DNS

2右擊“我的電腦”圖標(biāo)，打開(kāi)“屬性”命令-“系統(tǒng)屬性”-“計(jì)算機(jī)名”

3單擊“更改”按鈕，打開(kāi)“計(jì)算機(jī)名稱(chēng)更改”，輸入計(jì)算機(jī)名和加

入的域名

4單擊“確定”按鈕，打開(kāi)“計(jì)算機(jī)名更改”對(duì)話(huà)框，輸入有操作權(quán)限的用戶(hù)名和密碼

5單擊“確定”重啟即可。

2.3 組策略

2.3.1組策略的概念

注冊(cè)表是Windows 系統(tǒng)中保存系統(tǒng)軟件和應(yīng)用軟件配置的數(shù)據(jù)庫(kù)，而隨著Windows 功能越來(lái)越豐富，注冊(cè)表里的配置項(xiàng)目也越來(lái)越多，很多配置都可以自定義設(shè)置，但這些配置分布在注冊(cè)表的各個(gè)角落，如果是手工配置，可以想像是多么困難和煩雜。而組策略則將系統(tǒng)重要的配置功能匯集成各種配置模塊，供用戶(hù)直接使用，從而達(dá)到方便管理計(jì)算機(jī)的目的。 其實(shí)簡(jiǎn)單地說(shuō)，組策略設(shè)置就是在修改注冊(cè)表中的配置。當(dāng)然，組策略使用了更完善的管理組織方法，可以對(duì)各種對(duì)象中的設(shè)置進(jìn)行管理和配置，遠(yuǎn)比手工修改注冊(cè)表方便、靈活，功能也更加強(qiáng)大。

2. 編輯工具

如果是windows2003系統(tǒng)，那么系統(tǒng)已經(jīng)默認(rèn)安裝了組策略編輯程序，打開(kāi)運(yùn)行命令對(duì)話(huà)框，輸入gpedit.msc 即可。使用上面的方法，打開(kāi)的組策略對(duì)象就是當(dāng)前計(jì)算機(jī)，而如果需要配置其他的計(jì)算機(jī)就可以運(yùn)行控制臺(tái)程序來(lái)管理。

2.3.2 組策略的內(nèi)容

2.4 利用組策略進(jìn)行管理建立組策略

1打開(kāi)Active Directory用戶(hù)和計(jì)算機(jī)命令

2選定gs.com ，在工作區(qū)右擊，在彈出的快捷菜單中選擇“新建”命令，并在對(duì)話(huà)框中輸入組織單位的名字

3右擊組織單位，在彈出的快捷菜單中選擇“屬性”

4在“屬性”對(duì)話(huà)框中單擊“組策略”標(biāo)簽，打開(kāi)選項(xiàng)卡

5單擊“編輯”按鈕，在“組策略編輯器”窗口中對(duì)它進(jìn)行編輯

利用組策略管理用戶(hù)環(huán)境實(shí)例

1隱藏組織單位abc 的用戶(hù)桌面上的“網(wǎng)上鄰居”和“我的文檔”圖

標(biāo)

2禁止abc 的用戶(hù)運(yùn)行word 程序

3為組織單位abc 用戶(hù)安裝netinfo 程序