计算机网络实验4windows网络域的实现

《计算机网络》实验报告实验序号：实验3 实验项目名称：windows网络域的实现学弓姓名专业班级专升本4班实验地点指导教师实验时间一、实验目的及要求活动目录的基本概念活动目录的规划与安装域控制器的管理用户账户和计算机账户的管理组和组织单位的管理资源发布和域的管理二、实验设备(环境)及要求两台windows2003服务器三、实验内容与步骤概述活动目录简介活动目录的三种特性集成性深入性易用性活动目录的逻辑结构1.域(Domain)域是活动目录中逻辑结构的核心单元，活动目录包含一个或多个域，每个域均有自己的安全策略以及与其他域的信任关系，因此,域是网络安全管理的边界。也就是说，域内的所有对象均处于一个安全管理单位内，域和域之间的关系是不同安全管理单位之间的关系。域是复制的单位。每个域均可以有一个或者几个域控制器(DomainControler)。所有域控制器可以接收更改信息，并将这些更改的信息复制到域中的其他域控制器中，从而保证同一个域内的所有域控制器中的内容完全--致。活动目录的逻辑结构2.域树根据实际要求，一个网络可能需要包含多个域，这时，可以将网络设置成域目录树的结构（层次结构）。活动目录的逻辑结构域树中的第一个域称作根域，相同域树中的其他域为子域，相同域树中上层的域称为子域的父域。如图&1所示为一棵域目录树，其中根域为,一级子域为和,下面分别还有两个二级子域。具有公用根域的所有域构成连续名称空间。由于活动目录的域名采用DNS域名的结构进行命名，所以从图中可以看出，该域目录也符合DNS域名空间的命名策略，它们的名称空间是连续的，即：子域的域名包含其父域的域名，如：子域中包含着父域的域名。在这棵目录树中的所有域，共享着一个活动目录，也就是说，•棵域树只有••个活动目录。但是，该活动目录内的数据是分散地存储在各个域内，具体位置是域内的域控制器的目录数据库中，当然，每个域中只存储本域内的数据。活动目录的逻辑结构信任关系是两个域之间安全信息的通信连接，也就是说，两个域只有建立了信任关系后，方可访问对方域内的资源。在WindowsServer2003中域的信任关系有以下特点：1双向性：如果A域信任B域，则B域就信任A域。1可传递性：如果A域信任B域，而B域又信任C域，则A域就自动信任C域，那么根据双向性，C域也信任A域，这样A域和C域就自动地建立起双向的信任关系。活动目录的逻辑结构因此，当一个域加入到某个域目录树后，它会自动地双向信任当前域目录树的所有域，这种通过传递性建立起来的双向信任关系，称为隐含的信任关系。如图8.1所设置的•棵域目录树，各个域之间存在着隐含的信任关系。假如，现在建立一个新域,加入到当前域树中，它会与该域树中的所有域自动建立起双向的信任关系，新域的用户可以访问其他域内的资源（在其权限允许范围内）。活动目录的逻辑结构3.域林域林由多个域目录树构成（而域树可以看成是特殊的域林），每个域树有自己的独立的名称空间，因此，通常域林中的域并不共享连续的名字空间。如图&2所示的域目林中包含两棵域树：和。创建的第一棵域树的根域就是整个域树的根域，同时该域的域名就是域林的名称。假设图8.2中的第一棵域树为,那么域就是域林的名称。8.1.2活动目录的逻辑结构域林中所有域树中的根域之间，会自动地建立双向的、可传递的信任关系，因此,域目录林中任何一个域中的用户，都有权限访问其他域目录树中的资源。服务器的角色.域控制器（DC）域控制器就是存储活动目录的服务器，它负责活动目录数据库的维护、用户身份的验证和活动目录的安全性。一个域可以有一个或若干个域控制器，通常它们的地位是平等的。在域中，各域控制器相互复制活动目录的更改。例如：某个域有两个域控制器A和B,在域控制器A上创建了--个用户帐户（zhangsan）时，这个帐户（zhangsan）就被建立在当前域控制器A的活动目录中，然后zhangsan的相关数据就会自动地复制到域控制器B中。一个域中包含多个域控制器，可以获得高性能，提高容错能力。因为当-台域控制器出现故障了，其他的域控制器仍然可以提供服务，而用户是感觉不到的。同样，在域林中，各域控制器相互之间也把信息自动复制给对方，从而为用户提供最新的全局编录，方便了用户在域林中搜索信息。.成员服务器成员服务器是运行WindowsServer2003的计算机，它是域的成员但不是域控制器。因为它不是域控制器，所以成员服务器不处理账户登录过程，不参与活动目录复制，也不存储域安全策略信息。成员服务器一般用作文件服务器、应用服务器、数据库服务器、Web服务器、证书服务器、防火墙以及远程访问服务器。服务器的角色.独立服务器独立服务器是运行WindowsServer2003的计算机并且不是Windows域的成员。如果WindowsServer2003作为工作组成员安装，则该服务器是独立的服务器。它可以与网络上的其他计算机共享资源，但是不接受活动目录所提供的任何好处。.更改服务器角色使用活动目录安装向导，可以将成员服务器升级至域控制器，也可以将域控制器降级为成员服务器。服务器的角色2.2安装活动目录2.2.1活动目录的规划规戈I」DNS规划域结构规划组织单位结构规划委派模式2.2.2安装活动目录（1）安装活动目录具体步骤如下：步骤•，启动WindowsServer2003系统自动打开“Server2003配置服务器”窗口，或者选择“开始”/“程序”/“管理工具”/“配置服务器”，打开如图2-1所示配置服务器向导窗口。步骤二，单击“下一步”，出现一个配置服务器向导的预备步骤窗口，以确认所提到的步骤已完成。单击“下一步”，出现检测网络设置窗口，如图2-2所示。步骤三，接下来出现配置选项窗口，我们选择“自定义配置”选项，单击“下一步”，出现服务器角色窗口，也就是你想让你的服务器担任的角色，我们从列表中选择“域控制器”。如图2-3所示。单击“下一步”按钮，出现确认窗口，以确认选择了正确角色。单击“下一步”，出现“ActiveDirectory安装向导窗口”，如图2-4所示。也可省去前面步骤，直接通过“开始”/“运行”，打开“运行”对话框，输入dcpromo命令，单击“确定”按钮，打开如图2-4所示的对话框。图2-1"Server2003配置服务器”窗口 图2-2显示活动目录内容2.2.2安装活动目录(2)2.2.2安装活动目录(3)步骤四，单击“下一步”，打开“操作系统兼容性”对话框。其大意是早期的Windows版本无法登录WindowsServer2003创建的域。图2-3服务器角色配置窗口2.2.2安装活动目录(4)步骤五，单击“下一步”，“ActiveDirectory安装向导”会询问新建的域控制器的性质，如图2-2,我们选择“新域的域控制器二图2-4ActiveDirectory安装向导窗口2.2.2安装活动目录(2)步骤六，单击“下一步”，打开如图2-6所示的“创建一个新域”对话框，如果所创建的域为单位的第•个域，或者希望所创建的新域独立于现有目录林，可选择“新林中的域”。如果希望新的域成为现有域的子域，则选择“现有域中的子域”。如想创建一个与现有域树分开的、新的域树，则选择“在现有林中的域树”。这里我们选择“新林中的域”。图2-6选择创建域的类图图2-6选择创建域的类型2.2.2安装活动目录(6)步骤七，单击“下一步”，打开如图2-7所示的指定域名对话框，在“新域的DNS全名”文本框中输入新建域的DNS全名，例如。步骤八，单击“下一步”，打开如图2-8所示的“NetBIOS域名”对话框，在“域NetBIOS名”文本框中输入NetBIOS域名，或者接受显示的名称。NetBIOS域名是供早期的Windows用户用来识别新域的。图2-7指定新域名 图2-8指定NetBIOS2.2.2安装活动目录(7)步骤九，单击“下一步”，打开如图2-9所示的“数据库和日志文件文件夹”对话框，在“数据库文件夹”文本框中输入保存数据库的位置，或者单击“浏览”按钮选择路径，在“日志文件夹”文本框中输入保存日志的位置或单击“浏览”按钮选择路径。注意，基于最佳性和可恢复性的考虑，最好将活动目录的数据库和日志保存在不同的硬盘上。步骤十，单击“下一步”，打开如图2-10所示的“共享的系统卷”对话框，在Server2003中，Sysvol文件夹存放域的公用文件的服务器副本，它的内容将被复制到域中的所有域控制器上。在“文件夹位置”文本框中输入Sysvol文件夹位置，如本例中对应文件夹为c:\WINNT\SYSVOL,或单击“浏览”按钮选择路径。步骤十一，单击“下一步"，会出现"ActiveDirectory安装向导”的DNS注册诊断程序对话框，如图2-11。我们选择“在这台计算机上安装并配置DNS服务器,并将这台DNS服务器设为计算机的首选DNS服务器”。2.2.2安装活动目录(8)图2-9指定活动目录的数据库和日志文件的文件夹图2-10指定系统卷共享文件夹2.2.2安装活动目录(9)步骤十二，单击“下一步”，打开如图2-12所示的“权限”对话框，为用户和组选择默认权限，如果单位中还存在或将要用Windows2000的以前版本，选择“与Windows2000之前的服务器操作系统兼容的权限”。否则，选择“只与Windows2000或WindowsServer2003操作系统兼容的权限”。图2-11DNS注册诊断 图2-12权限设置2.2.2安装活动目录(10)步骤十三，单击“下一步”，打开“目录服务还原模式的管理员密码”对话框，如图2-13所示，输入并牢记该密码，以备将来目录服务还原模式下使用。步骤十四，单击“下一步”，打开“摘要”对话框，如图2-14所示。通过该对话框，用户可检查并确认设置的各个选项。图2-13输入目录服务恢复模式管理员密码 图2-14确认选定的选项步骤十五，单击"下一步"，系统开始配置活动目录，中间将需要WindowsServer2003安装光盘，如图2-12所示。此时如果将2003光盘放入光驱，系统会自动完成对DNS服务器得配置。步骤十六，经过几分钟之后，配置完成。同时，打开“完成ActiveDirectory安装向导”对话框，如图2-16所示，单击“完成”，即完成活动目录的安装。图2-12配置活动目录 图2-16完成活动目录的安装2.2.2安装活动目录(11)2.2.2安装活动目录(12)活动目录安装完成之后，必须重新启动计算机，活动目录才会生效。注意：在活动目录安装之后，不但服务器的开机和关机时间变长，而且系统的执行速度变慢。所以，如果用户对某个服务器没有特别要求或不把它作为域控制器来使用，可将该服务器上的活动目录删除，使其降级为成员服务器或独立服务器。成员服务器是指安装到现有域中的附加域控制器；独立服务器是指在名称空间目录树中直接位于另一个域名之下的服务器。删除活动目录使服务器成为成员服务器还是独立服务器，取决于该服务器的域控制器的类型。如果要删除活动目录的服务器不是域中的唯一的域控制器，则删除活动目录将使该服务器成为成员服务器；如果要删除活动目录的服务器是域中最后一个域控制器，则删除活动目录将使该服务器成为独立服务器。要删除活动目录，打开“开始”菜单，选择“运行”命令，打开“运行”对话框,输入dcpromo命令，然后单击"确定"按钮，打开"ActiveDirectory安装向导”对话框，并沿着向导进行删除，这里不再细述其过程。2.2.3检验安装结果在安装完成后，可以通过以下方法检验ActiveDirectory安装是否正确，在安装过程中一项最重要的工作是在DNS数据库中添加服务记录(SRV记录)，下面介绍一下如何检查安装结果。.检查DNS文件的SRV记录。用文本编辑器打开％SystemRoot%/system32/config/中的Netlogon.dns文件，察看LDAP服务记录，在本例中为_ldap._.600INSRV0100389。.验证SRV记录在NSLOOKUP命令工具中运行是否正常。(1)在命令提示行下，输入NSLOOKUP；(2)输入settype=srv；(3)输入」dap._。如果返回了服务器名和IP地址，说明SRV记录工作正常。2.3域控制器管理域(Domain)是活动目录的分区，定义了安全边界，在没经过授权的情况下，不允许其他域中的用户访问本域中的资源。活动目录可由一个或多个域组成，每一个域可以存储上百万个对象，域之间还有层次关系，可以建立域树和域林，如图2-17、2-18所示，进行无限地域扩展。图中的双箭头表示域之间的信任关系，Server2003中域的信任关系都是双向和可传递的。图2-18域图图2-18域林设置域控制器属性（1）设置域控制器属性，具体步骤如下：步骤一，选择“开始”/“程序”/“管理工具"/"ActiveDirectory用户与计算机”菜单，打开“ActiveDirectory用户与计算机”管理窗口，如图2-19所示。步骤二，在控制台目录树中，双击展开域节点。单击DomainControllers子节点。步骤三，在详细资料窗格中，右击要设置属性的域控制器，从弹出的快捷菜单中选择“属性”，打开该控制器的“属性”对话框，如图2-20所示。步骤四，在“常规”选项卡的“描述”文本框中输入对域控制器的一般描述。如果不希望域控制器的可受信任用来作为委派，可禁用“信任计算机作为委派”复选框。步骤五，选择“操作系统”选项卡，在该选项卡中，显示出操作系统的名称、版本以及ServicePack,管理员只能查看并不能修改这些内容。步骤六，选择如图2-21所示的“隶属于”选项卡，要添加组，单击“添加”按钮，打开“选择组”对话框为域控制器选择一个要添加的组；要删除某个已经添加的组，在“成员属于”列表框选择该组，然后单击“删除”按钮即可。设置域控制器属性（2）图2-19ActiveDirectory用户和计算机窗口设置域控制器属性（3）步骤七，当管理员为域控制器添加多个组时，还可为域控制器设置一个主要组。要设置主要组，在“隶属于”列表框中选择要设置的主要组，一般为DomainControllers,也可为CertPublishers,然后单击“设置主要组"按钮即可。步骤八，选择“位置”选项卡，可以设置域控制器的位置。步骤九，选择“管理者”选项卡，要更改域控制器的管理者，可单击“更改”按钮，打开“选择用户或联系人”对话框，选择新的管理人即可。要删除管理者，可单击“清除”按钮来删除；要查看和修改管理者属性，可单击“查看”按钮，打开该管理者属性对话框来进行操作。步骤十，域控制器设置完毕，单击“确定”按钮保存设置。设置域控制器属性（4）图2-20设置域控制器属性 图2-21设置成员组查找域控制器目录内容（1）要查找目录内容，可参照如下步骤：步骤•，在“ActiveDirectory用户和计算机”窗口的控制台目录树中，鼠标右击域节点，在弹出的快捷菜单中选择“查找”命令，打开“查找用户联系人及组”对话框，如图2-22所示。步骤二，在“查找”下拉列表框中可以选择要查找的目录内容，包括“用户、联系人及组”、“计算机”、“打印机”、“共享文件夹”、“组织单位”、“自定义搜索”笺xj"例如，在列表中选择“计算机”，如图2-23所示。在“范围”下拉列表框中选择查找范围，如整个目录。步骤三，在“计算机”选项卡中，设置查找条件。例如，在“计算机”文本框中输入要查找的计算机名，在“所有者”文本框中输入计算机的用户名，在“作用”下拉列表框中选择计算机在网络中作用。步骤四，单击“高级”选项卡，要设置高级查找条件，单击“字段”按钮，从弹出的快捷菜单中选择设置条件的选项，然后在“条件”下拉列表框和“值”文本框中设置查询条件。查找域控制器目录内容（2）步骤五，高级条件设置好之后，单击“添加”按钮，将条件添加到下面的文本框中。如果要继续添加高级条件，可按照上面步骤继续添加。步骤六，所有查找条件设置完毕，单击“开始查找”按钮即开始查找，并将查找结果列出，如图2-23下面窗口所示。图2-22“查找用户联系人及组”对话框图图2-23列出查找结果连接到其他域在一个多域的网络中，用户经常需要将当前域连接到其他域，这样可使当前域中的用户和计算机访问其他域中的资源，也可将当前域控制器的部分操作主机功能传送给其他域控制器，甚至可将当前域控制器更改为其他域中的域控制器。要连接到网络中其他域，在控制台目录树中，鼠标右击“ActiveDirectory用户和计算机”根结点，从弹出的快捷菜单中选择“连接到域”命令，打开如图2-24所示的“连接到域”对话框，在“域”文本框中输入要连接的域的名称；或者单击“浏览”，打开“浏览域”对话框选择要连接的域，单击“确定”即可建立连接。图2-24连接到其他域注意：一般情况下，一个域网络中至少应有两个域控制器（一个域控制器和一个附加域控制器），以便在当前域控制器出现故障时，可使用附加域控制器来代替当前域控制器，保证网络的正常运行。更改域控制器要更改域控制器，在控制台目录树中，鼠标右击“ActiveDirectory用户和计算机”根节点，从弹出的快捷菜单中选择“连接到域控制器”，打开如图2-22所示的“连接到域控制器”对话框。在“输入另一个域控制器的名称”文本框中输入要连接的域控制器；或者从域控制器列表中选择一个要连接的域控制器。如果在域中没有列出其他可用的域控制器，可选择“任何可写的域控制器”选项，系统会根据网络连接情况自动选择可用的域控制器。要连接的域控制器选定之后，单击“确定”按钮完成连接。图2-22连接到域控制器2.6资源发布和域的管理资源发布的管理一、资源的发布享文件夹的步骤如下：（1）运行“管理工具”/“ActiveDirectory域和信任关系”管理应用程序；（2）在控制台树中，鼠标双击“域节点”；（3）鼠标右键单击想在其中添加共享文件夹的文件夹，指向“新建”并单击“共享文件夹”对话框，如图2-40所示；（4）键入文件夹的名称和网络路径；（2）单击“确定”按钮完成操作。印机的步骤如下：（1）打开"ActiveDirectory用户和计算机”；（2）在控制台树中，鼠标双击“域节点”；（3）在控制台树中，鼠标右键单击想在其中公布打印机的文件夹，指向“新建”,并单击“打印机”；（4）键入网络路径，如图2-41所示。（2）单击“确定”按钮完成操作。图2-41设置共享打印机路径图2-40设置共享文件夹资源发布的管理二、资源的查找若要进行自定义搜索，可参照如下步骤：（1）运行“管理工具”/“ActiveDirectory域和信任关系”管理应用程序；（2）在控制台树中用鼠标右键单击“域节点”，然后单击“查找”；（3）在“查找”中单击“自定义搜索”；（4）鼠标单击“字段”，选择要搜索的对象种类，然后单击要为其指定搜索值的对象的属性；（2）在“条件”中单击搜索的条件；（6）在“值”中键入要应用搜索条件的属性值；（7）单击“添加”，将该搜索条件添加至自定义搜索：（8）重复第（4）步至第（7）步，直到添加完所需的全部搜索条件为止；（9）单击“开始查找”按钮。域的管理1.提升域功能级别WindowsServer2003中有四个域功能级别，下表列出了域功能级别及其所支持的域控制器。默认情况下，域以Windows2000混合功能级别操作。表2-1域功能级别与其支持的域控制器域的管理根据网络的实际需要，可以提升域功能级别，提升域功能级别的具体步骤如下：步骤•，运行“管理工具”/“ActiveDirectory域和信任关系”管理应用程序；步骤二，鼠标右键单击你想要管理的域的“域节点”，然后单击“提升域功能级别”；步骤三，在打开如图2-42所示窗口中，我们可以在“选一个可用的域功能级别”的下拉菜单中选择一种模式。图2-42更改域模式.创建明确的域信任创建明确的域信任具体步骤如下：步骤一，运行“管理工具”/“ActiveDirectory域和信任关系”管理应用程序；步骤二，在控制台树中，鼠标右键单击要管理的域节点，然后单击“属性”；步骤三，单击“信任”选项卡，如图2-43所示；步骤四，根据需要，单击“新建信任”按钮，打开“新建信任向导”窗口，输入•个信任域的名称。步骤五，单击“下一步”，打开的窗口会询问信任方向，我们选择“双向”；单击“下一步”，窗口询问创建信任关系域的范围，我们选择“只是这个域”；步骤六，单击“下一步”，打开如图2-44所示窗口，我们选择“全域性身份验证”;单击“下一步”打开“信任密码”窗口，输入密码：步骤七，单击“下一步”，给出我们所配置的信息，在以后的步骤中我们使用默认设置，最后单击“完成”按钮，完成配置，如图2-42所示。注意：密码必须是信任域和被信任域双方都接受的。图2-44单击“编辑”后的对话框选项图2-43“信任”选项卡.验证信任关系信任关系建立之后，可以验证信任关系的创建情况。验证信任关系具体步骤如下：步骤」运行“管理工具”/“ActiveDirectory域和信任关系”管理应用程序；步骤二，在控制台树中，鼠标右键单击要验证的信任关系所涉及的一个域，然后单击“属性”对话框；步骤三，单击“信任”选项卡，在“受此域信任的域”或“信任此域的域”中，单击要验证的信任关系，然后单击“属性”，其结果如图2-46所示；步骤四，单击“验证”按钮即可。.撤销信任关系如果不再需要已建立的信任关系，可以撤销信任关系。撤销信任关系的具体步骤如下：步骤、运行“管理工具”/“ActiveDirectory域和信任关系”管理应用程序；步骤二，在控制台树中，鼠标右键单击要撤销的信任关系所涉及的一个域节点，然后单击“属性”对话框；步骤三，单击“信任”选项卡，在“受此域信任的域”或“信任此域的域”中，单击要撤销的信任关系，然后单击“删除”按钮即可；步骤四，对于此信任关系中涉及的其他域，重复该过程。2-42“信任”选项卡 2-46信任域属性窗口本章小结活动目录(ActiveDirectory)的引入，方便了管理员在统一的环境下管理全网的各种资源，保证了系统的良好扩展性和可管理性。本章主要讲述活动目录的基本概念、管理模式、安装方法以及对用户和计算机账户的管理、组和组织单位的管理、域和域控制器的管理等内容。思考题.ActiveDirectory的优点是什么？如何安装ActiveDirectory?.在ActiveDirectory安装结束后，如何检验ActiveDirectory安装是否正确？.不同的组对网络性能具有哪些影响？.如何限制用户由某台客户机在某个特定时段登录？.组织单位的委派控制有何意义？.如何实现域间信任？.将用户账户、计算机账户添加到组中作用有何不同？实训题目：WindowsServer2003活动目录的安装与配置内容与要求：.安装WindowsServer2003活动目录。.设置域控制器属性、连接到其他域、更改域控制器。.使用“ActiveDirectory用户和计算机”窗口管理用户和计算机账户，包括账户的创建、删除、停用、移动等。.管理组和组织单位。四、实验结果与数据处理.2.2安装活动目录（1）安装活动目录具体步骤如下：步骤一，启动WindowsServer2003系统自动打开“Server2003配置服务器”窗口，或者选择“开始”/“程序”/“管理工具”/“配置服务器”，打开如图2-1所示配置服务器向导窗口。步骤二，单击“下一步”，出现一个配置服务器向导的预备步骤窗口，以确认所提到的步骤已完成。单击“下一步”，出现检测网络设置窗口，如图2-2所示。步骤三，接下来出现配置选项窗口，我们选择“自定义配置”选项，单击“下一•步”，出现服务器角色窗口，也就是你想让你的服务器担任的角色，我们从列表中选择“域控制器”。如图2-3所示。单击“下一步”按钮，出现确认窗口，以确认选择了正确角色。单击“下一步”，出现“ActiveDirectory安装向导窗口”，如图2-4所示。也可省去前面步骤，直接通过“开始”/“运行”，打开“运行”对话框，输入dcpromo命令，单击“确定”按钮.2.2安装活动目录（2）2.2.2安装活动目录(3)2.2.2安装活动目录(3)步骤四，单击“下一步”，打开“操作系统兼容性”对话框。其大意是早期的Windows版本无法登录Windows版本无法登录WindowsServer2003创建的域。2.2.2安装活动目录(4)步骤五，单击"下一步"，"ActiveDirectory安装向导”会询问新建的域控制器的

性质，如图2-2,我们选择“新域的域控制器二图2-4ActiveDirectory安装向导窗口2.2.2安装活动目录(2)步骤六，单击“下一步”，打开如图2-6所示的“创建一个新域”对话框，如果所创建的域为单位的第一个域，或者希望所创建的新域独立于现有目录林，可选择“新林中的域二如果希望新的域成为现有域的子域，则选择“现有域中的子域”。如想创建一个与现有域树分开的、新的域树，则选择“在现有林中的域树”。这里我们选择“新林中的域二

2.2.2安装活动目录（6）步骤七，单击“下一步”，打开如图2-7所示的指定域名对话框，在“新域的DNS全名”文本框中输入新建域的DNS全名，例如。步骤八，单击“下一步”，打开如图2-8所示的“NetBIOS域名”对话框，在“域NetBIOS名”文本框中输入NetBIOS域名，或者接受显示的名称。NetBIOS域名是供早期的Windows用户用来识别新域的。

步骤九，单击“下一步”，打开如图2-9所示的“数据库和日志文件文件夹”对话框，在“数据库文件夹”文本框中输入保存数据库的位置，或者单击“浏览”按钮选择路径，在“日志文件夹”文本框中输入保存日志的位置或单击“浏览”

按钮选择路径。注意，基于最佳性和可恢复性的考虑，最好将活动目录的数据库和日志保存在不同的硬盘上。步骤十，单击“下•步”，打开如图2-10所示的“共享的系统卷”对话框，在Server2003中，Sysvol文件夹存放域的公用文件的服务器副本，它的内容将被复制到域中的所有域控制器上。在“文件夹位置”文本框中输入Sysvol文件夹位置，如本例中对应文件夹为c:\WINNT\SYSVOL,或单击“浏览”按钮选择路径。步骤十,,单击"下一步"，会出现"ActiveDirectory安装向导”的DNS注册诊断程序对话框，如图2-11。我们选择“在这台计算机上安装并配置DNS服务器,并将这台DNS服务器设为计算机的首选DNS服务器二

ActiveDirectory安芸向导共享的系统卷'请指定作为系统卷共享的文件夹.SYSV0L文件夹存放域的公用文件的服务器副本.SYSV0L文件夹的内容被复制到域中的所有域控制器.SYSV0L文件夹必须在NTFS卷上.浏览4).一I请输入SYSV0L文件夹的位置.文浏览4).一IC:\WIHDOWS\SYSVOLl<上一步:)|下一步■)>1 取消I步骤十二，单击“下一步”，打开如图2-12所示的“权限”对话框，为用户和组选择默认权限，如果单位中还存在或将要用Windows2000的以前版本，选择“与Windows2000之前的服务器操作系统兼容的权限”。否则，选择“只与Windows2000或WindowsServer2003操作系统兼容的权限”。一些服务器程序，如VindowsHT远程访问服务，可读取域控制器储存的信息・r与Windows2000之前的服务器操作系统兼容的权限(P)如果在Windows2000之前的服务器操作系统上运行服务器程序，或在Windows2000或WindowsServer2003操作系统上运行服务需程序，该服务器又是Windows2000之前域的成员，语选此选项。小匿名用户可读取这个域的信息.6只与Windows2000^WindowsServer2003,操作系统兼容的权限@）：如果仅在Windows2000或Windo"sServer2003操作系统上运仃服务器程序，该服务器又是ActiveDirectory域的成员，请选此选项.只有经过验证的用户才能读取这个域的信息.〈上一步也)|下一步国)>|取消|

安装活动目录（10）步骤十三，单击“下一步”，打开“目录服务还原模式的管理员密码”对话框,如图2-13所示，输入并牢记该密码，以备将来目录服务还原模式下使用。步骤十四，单击“下一步”，打开“摘要”对话框，如图2-14所示。通过该对话框，用户可检查并确认设置的各个选项。

步骤十五，单击“下一步”，系统开始配置活动目录，中间将需要WindowsServer2003安装光盘，如图2-12所示。此时如果将2003光盘放入光驱，系统会自动完成对DNS服务器得配置。步骤十六，经过几分钟之后，配置完成。同时，打开“完成ActiveDirectory安装向导”对话框，如图2-16所示，单击“完成”，即完成活动目录的安装。ActiveDirectory安装向导正在完成ActiveDirectc导:已在这台讦苴机上为ActiveDirectory.ActiveDirectory安装向导正在完成ActiveDirectc导:已在这台讦苴机上为ActiveDirectory.已将此域控制器分配给Default-Firs站点.ActiveDirectory站点和服务管理所有站点.要关闭此向导，语单击“完成”.安装向（上一步色）［完成।取消।活动目录安装完成之后，必须重新启动计算机，活动目录才会生效。活动目录安装完成之后，必须重新启动计算机，活动目录才会生效。注意：在活动目录安装之后，不但服务器的开机和关机时间变长，而且系统的执行速度变慢。所以，如果用户对某个服务器没有特别要求或不把它作为域控制器来使用，可将该服务器上的活动目录删除，使其降级为成员服务器或独立服务器。成员服务器是指安装到现有域中的附加域控制器；独立服务器是指在名称空间目录树中直接位于另…个域名之下的服务器。删除活动目录使服务器成为成员服务器还是独立服务器，取决于该服务器的域控制器的类型。如果要删除活动目录的服务器不是域中的唯一的域控制器，则删除活动目录将使该服务器成为成员服务器；如果要删除活动目录的服务器是域中最后一个域控制器，则删除活动目录将使该服务器成为独立服务器。要删除活动目录，打开“开始”菜单，选择“运行”命令，打开“运行”对话框,输入dcpromo命令，然后单击''确定"按钮，打开"ActiveDirectory安装向导”对话框，并沿着向导进行删除，这里不再细述其过程。检验安装结果在安装完成后，可以通过以下方法检验ActiveDirectory安装是否正确，在安装过程中一项最重要的工作是在DNS数据库中添加服务记录（SRV记录），下面介绍--下如何检查安装结果。.检查DNS文件的SRV记录。用文本编辑器打开％SystemRoot%/system32/config/中的Netlogon.dns文件，察看LDAP服务记录，在本例中为」dap._.600INSRV0100389。地址5）|OC:\WIND0WS\syst«m32\config名稀q I 大小I类& I修改日期 I属性I '\w7fnrcK1a P*伴衣 7014-9-2?17SA文件更）/辑Q）格式©）查看9帮助国） H.600INA.600INA_ldap._.600INSRU0100389._ldap,_tcp.DeFault-First-Site-Nane._.600INSRU0100389windows2003_ldap._tcp.pdc._.600INSRU0100389._ldap._tcp.gc._.600INSRU01003268windows2O03.._ldap._tcp.DeFault-First-Site-Nane._sites,gc._.600INSRU01003268i_ldap._tcp.3F0ed73c-1F7F-42a6-a164-556c6O9d4c2a.domains._.690INSRUIgc._.600INAgc._.600INA1ef20O21-0345-4e59-9fbO-8e0a8bdf1553._.600INCNAMEwindows2003.wgcdckerberos._tcp.de._.600INSRU010088.kerberos._tcp.Default-First-Site-Name.__sites.de._.600INSRU01008I_ldap._tcp.dc._.600INSRU0100389._ldap._tcp.DeFault-First-Site-Name._sites.de._.600INSRU0100389w:l/oihojcu+cc oria*ccATMCDIIR*4（*（IOQ・,・4c，c・,・u。（1tlQ,.・cc«4corliar*r».验证SRV记录在NSLOOKUP命令工具中运行是否正常。(1)在命令提示行下，输入NSLOOKUP；(2)输入settype=srv；(3)输入」dap._。如果返回了服务器名和IP地址，说明SRV记录工作正常。\DocunentsandSettingsXAdministratoi*>nslookupDNSrequesttinedout.timeoutwas2seconds.***Can'tfindseruernameforaddress：TimedoutDefaultSeruer：UnKnownfAddress：settype=si*u_ldap._fSeruei*：UnKnownAddress：iDNSrequesttimedout.timeoutwas2seconds._SRUservicelocation：TOC\o"1-5"\h\zpriority = 0weight = 100poi*t = 389surhostname= internetaddress=

2.3域控制器管理域（Domain）是活动目录的分区，定义了安全边界，在没经过授权的情况下，不允许其他域中的用户访问本域中的资源。活动目录可由一个或多个域组成，每一个域可以存储上百万个对象，域之间还有层次关系，可以建立域树和域林，如图2-17、2-18所示，进行无限地域扩展。图中的双箭头表示域之间的信任关系,Server2003中域的信任关系都是双向和可传递的。设置域控制器属性（1）设置域控制器属性，具体步骤如下：步骤选择“开始”/“程序”/“管理工具"/"ActiveDirectory用户与计算机”菜单，打开"ActiveDirectory用户与计算机”管理窗口，如图2-19所示。二ActiveDirectory用户和计算机匕配置向导dministrator二ActiveDirectory用户和计算机匕配置向导dministrator苜理您的服务器"IWindows资液修理器我的电电0*控制面板© ►［唏营理工具 ►9命令提示符,.记事本InternetExplorerTDNS资终端服务首理器其终端服务器授权3打印机和传真与帮助和支持QD户搜索⑤）口运行（J）.所有程序很）►ActiveDirectory域和信任关系ActiveDirectory站点和服务DNSInternet信息服务QIS）营理器Microsoft.NETFramework1.1配置MicrosoftNETFramework1.1向导分布式文件系统服务管理您的服务器计篁机管理路由和远程访问配置您的服务器向导群集管理器事件查看器授权数据源（ODBC）网络负载平衡管理器性能域安全策略域控制器安全策略远程桌面证书颁发机构步骤二,在控制台目录树中,双击展开域干点。单击DomainControllers子下点。S文件电）愫作Q）查看9窗口置）帮助国）了S文件电）愫作Q）查看9窗口置）帮助国）了ActiveDirectory用尸和计篁机D保存的查询B百I田口BuiltinS।~1Computers0DomainControllers@1\ForeignSecurityPriE口UsersDoB&inControllers1个对象占种ActiveDirectory用户和计复机g■»|区］的®|X囱囱喳图画出通囱▽@is步骤五，选择“操作系统”选项卡，在该选项卡中，显示出操作系统的名称、版本以及ServicePack,管理员只能查看并不能修改这些内容

2.3.1设置域控制器属性（2）图2-19ActiveDirectory用户和计算机窗口2.3.1设置域控制器属性（3）步骤七，当管理员为域控制器添加多个组时，还可为域控制器设置一个主要组。要设置主要组，在“隶属于”列表框中选择要设置的主要组，一般为DomainControllers,也可为CertPublishers,然后单击“设置主要组”按钮即可。步骤八，选择“位置”选项卡，可以设置域控制器的位置。

步骤九，选择“管理者”选项卡，要更改域控制器的管理者，可单击“更改”按钮，打开“选择用户或联系人”对话框，选择新的管理人即可。要删除管理者，可单击“清除”按钮来删除；要查看和修改管理者属性，可单击“查看”按钮，打开该管理者属性对话框来进行操作。2.3.1设置域控制器属性（4）图2-20设置域控制器属性ActiveDirectory用户和计算机匕文件任）操作。）查看9窗口⑹帮助国）g♦1包的毡1囱回屋性3X匕ActiveDirectory用户和计餐常规1管理者1蛆策略1O保存的查询□ 出口BuiltinE CJIDomainControllersC-1ForeignSecurityPrinc:口Users域名隼indows2000以前版本）/）:|WGCDC描述@）：r域功能级别®）:Windows2000混合模式林功能级别任）：Windows2000确定I取消I酶®I图2-21设置成员组

/文件①）操作⑥查看9窗口d）帮助国）4?ActiveDirectory/文件①）操作⑥查看9窗口d）帮助国）♦查找用户、联系人及蛆，Active:文件任）编辑堡）查看"）帮助比）浏览（£）.一开始查找复）|停止口浏览（£）.一开始查找复）|停止口contacontacontaconia全部清除位）步骤三，在“计算机”选项卡中，设置查找条件。例如，在“计算机”文本框中输入要查找的计算机名，在“所有者”文本框中输入计算机的用户名，在“作用”下拉列表框中选择计算机在网络中作用。ActiveDirectory用户和计宜机3文件9操作Q）查看9窗口出）帮助国）♦查找计算机，!□!x|£Active:口保存□wgcdBcDFV♦查找计算机，!□!x|£Active:口保存□wgcdBcDFV口口®口口文件也）编揖更）查找也）：M算机

计算机I高级I计苴机名Q）：所有者Q）：查看叫帮助凶一▼|氾围®.|_^pwgcdc|windows2003开始查找g）I作用®：丽 3停止也）全部清除C）搜索结果6）:簪 I计或机角色 I所有者胃话NDOWS20O3域控制器

步骤四，单击“高级”选项卡，要设置高级查找条件，单击“字段”按钮，从弹出的快捷菜单中选择设置条件的选项，然后在“条件”下拉列表框和“值”文本框中设置查询条件。> - /、 <।x（. c，2.3.2查找域控制器目录内容（2）步骤五，高级条件设置好之后，单击“添加”按钮，将条件添加到下面的文本框中。如果要继续添加高级条件，可按照上面步骤继续添加。步骤六，所有查找条件设置完毕，单击“开始查找”按钮即开始查找，并将查找结果列出，如图2-23下面窗口所示。图2-22“查找用户联系人及组”对话框图图2-23列出查找结果图2-23列出查找结果2.3.3连接到其他域在一个多域的网络中，用户经常需要将当前域连接到其他域，这样可使当前域中的用户和计算机访问其他域中的资源，也可将当前域控制器的部分操作主机功能传送给其他域控制器，甚至可将当前域控制器更改为其他域中的域控制器。要连接到网络中其他域，在控制台目录树中，鼠标右击“ActiveDirectory用户和计算机”根结点，从弹出的快捷菜单中选择“连接到域”命令，打开如图2-24所示的“连接到域”对话框，在“域”文本框中输入要连接的域的名称；或者单击“浏览”，打开“浏览域”对话框选择要连接的域，单击“确定”即可建立连接。ActiveDirectory用户和计算机O文件电）操作⑥查看9窗口W）帮助国）g3的囱曲四国也也ActiveDirectory用户和计宜机[]2个对象名称 ActiveDirectory用户和计宜机[]2个对象名称 I类我 I描述 一|保存的查询 保存您收藏的查询的文^P* 域B^9口BuiltinComputersDomainControllersForttignSecurityPrincip£注意：•般情况下，一个域网络中至少应有两个域控制器（一个域控制器和一个附加域控制器），以便在当前域控制器出现故障时，可使用附加域控制器来代替当前域控制器，保证网络的正常运行。2.3.4更改域控制器要更改域控制器，在控制台目录树中，鼠标右击“ActiveDirectory用户和计算机”根节点，从弹出的快捷菜单中选择“连接到域控制器”，打开如图2-22所示的“连接到域控制器”对话框。在“输入另一个域控制器的名称”文本框中输入要连接的域控制器；或者从域控制器列表中选择一个要连接的域控制器。如果在域中没有列出其他可用的域控制器，可选择“任何可写的域控制器”选项，系统会根据网络连接情况自动选择可用的域控制器。要连接的域控制器选定之后，单击“确定”按钮完成连接。

(2)单击“确定”按钮完成操作。ActiveDirectory用户和计苴机已文件任)操作⑥查看9窗口但)帮助电)一-电胭@甯同哈|图回迈该囱▽4宜蜡ActiveDirectory用户和计篁机V6个对象l±J_J庆仔亘1即1名称 1类型 1描述.I委派控制®)...查找9...连接到域9).一连接到域控制器(£).•.提升域功能级别。).・・愫作主机■)・•・n builtinDoMainers 容器 Default container foControllers 蛆织单位 Default container fonSecurityPrincipals 容器 Default container fo容器 Default container fo共享文件夹EnBuiltirE口ComputeE国］DomainE口ForeigrfflnUsers新建⑨ ►!讨篁机所有任务4) ►联系人杳看W) ►组从这里创建窗口世)InetOr^PersonMSMQ队列别名刷新也)导出列表1).•・犯线单位打印机属性4)用户共享文件夹都助国)2.6.1资源发布的管理二、资源的查找

若要进行自定义搜索，可参照如下步骤:(1)(2)运行“管理工具”/“ActiveDirectory域和信任关系”管理应用程序;(1)(2)(3)在“查找”中单击“自定义搜索”;在控制台树中用鼠标右键单击“域节点”，然后单击“查找”;(3)在“查找”中单击“自定义搜索”;(4)(2)在“条件”中单击搜索的条件;(4)(2)在“条件”中单击搜索的条件;鼠标单击“字段”，选择要搜索的对象种类，然后单击要为其指定搜索值的对象的属性;在“值”中键入要应用搜索条件的属性值;(7)单击“添加”，将该搜索条件添加至自定义搜索;(7)单击“添加”，将该搜索条件添加至自定义搜索;(8)(8)重复第（4）步至第（7）步，直到添加完所需的全部搜索条件为止;（9）单击“开始查找”按钮。WindowsServer2003中有四个域功能级别，下表列出了域功能级别及其所支持的域控制器。默认情况下，域以Windows2000混合功能级别操作。表2-1域功能级别与其支持的域控制器2.6.2域的管理根据网络的实际需要，可以提升域功能级别，提升域功能级别的具体步骤如下:步骤-，运行“管理工具”/“ActiveDirectory域和信任关系”管理应用程序;1口ActiveDirectory站点和服务-ActiTeDirectory域和信任关系已立文件任)操作。)查看W1口ActiveDirectory站点和服务-ActiTeDirectory域和信任关系已立文件任)操作。)查看W)帮助QI)t-仁->|包函富哈四回QA<电ActiveDirectory域和信任关系，ActiveDirectory用户和计篁机9%、ActiveDirectory域和信任关系\cbninistrator告理您的服务器Iind”s资源管理器我的电府修控制面板(£) ►|唏管理工具 \g命令提示符)记事本InternetExplorerDNS比量终端服务管理器苗终端服务器授权3打印机和传真切帮助和支持a)；搜索⑤)口运行⑥…所有程序►园注销Q)@关机@)DNSInternet信息服务QIS)管理器MicrosoftNETFramework1.1配置Microsoft.NETFramework1.1向导分布式文件系统服务管理您的服务器计算机管理路由和远程访问配置您的服务器向导群集管理器事件查看器授权数据源(ODBC)网络负载平衡管理器性能域安全策略域控制器安全策略远程桌面证书颁发机构终端服务首理器终端服务配置妓mb口攵sa也如步骤二，鼠标右键单击你想要管理的域的“域节点”，然后单击“提升域功能级别”；(0)原步位I.Tw.<rwcrvdASMgBt-[DVS\IIID0fS2003]A文件（F）操作。）查看9窗口置）帮助国）X直囱TIVD0IS2003届性$DHS-B3WIHD0WS2003B口正向查找区域田UX直囱TIVD0IS2003届性$DHS-B3WIHD0WS2003B口正向查找区域田U反向查找区域0画事件查看器事件日志।监视接口转发器高级I根提示转发器星解决那些这台服务器没有应答的DKS查询的服务器.转发下列DNS域中的名称查询.I新建国）一要添加一个转发器，话选择一个DNS域，在下面键入转发器的IP地址，然后单击“添加”.所选域的转发器的IP地址列表位）：在转发查询超时之前的秒数也）： [5r不对这个域使用递归⑤）确定|取消|应用a）|步骤一，运行“管理工具”/“ActiveDirectory域和信任关系”管理应用程序;Directory缘和信任关系ActiveDirectory站点和服务DNSInternet信息服务QIS)管理器4支文件9操作Q)查看9帮助QPg—l包的直哈应回咨ActiveDirectory域和信任关系，ActiveDirectory用户和计苴机?ActiveDirectory域和信任关系\chninistratorMicrosoft.NETFramework管理您的蜜务器夕我的电府/Windows资源言理器0控制面板(£) >［唯管理工具 >g命令提示符&打E口机和传真,,记事本InternetExploreryDNS额1帮助和支持也)Q搜索(S)□运行®…居终端服务营理器M终端服务器授权所有程序0)►因注销Q)©关机@)第Microsoft.NETFrameworkI分布式文件系统当服务管理您的服务器口计菖机省理1路由和远程访问•配置您的服务器向导金群集管理器g事件查看器)授权P数据源(ODBC)，网络负载平衡管理器0性能□域安全策略□域控制器安全策略.远程桌面口证书颁发机构产终端服务营理器i终端服务配置豆坡整M2攵sa旭为i.i配置it向导步骤二，在控制台树中，鼠标右键单击要管理的域节点，然后单击“属性”;

|笑ActinDirectory域和信任关系k文件更）镰作®查看9帮助电）-<=:n>画囱哈四面飞ActiveDirectory域和在飞ActiveDirectory域和在

一/J星性常规信任|管理者I步骤五，单击“下一步”，打开的窗口会询问信任方向，我们选择“双向”；单击“下一步”，窗口询问创建信任关系域的范围，我们选择“只是这个域”；

步骤六，单击“下一步”，打开如图2-44所示窗口，我们选择“全域性身份验证”;单击“下一步”打开“信任密码”窗口，输入密码;文件电）操作@）查看W）帮助国）♦■»|任的囱曲因回怨ActiveDirectory域和｛|

.歹wgcdc.«du.怨ActiveDirectory域和｛|

.歹wgcdc.«屋性常规信任I管理者IJ"述ctiveDirectory域和信1文件9操作⑥查看（V）帮助量）O引回的飞哈七四飞ActiveDirectory域和作#飞ActiveDirectory域和作#星性常规信任I管理者I步骤七，单击“卜••步”，给出我们所配置的信息，在以后的步骤中我们使用默认设置，最后单击“完成”按钮，完成配置，如图2-42所示。星性新建信任向导常规信任I管理者I工/Al 一、.正在完成新建信任向导您已成功完成了新建信任向导，但是由于下列原因，新建的信任关系不能被确久星性新建信任向导常规信任I管理者I工/Al 一、.正在完成新建信任向导您已成功完成了新建信任向导，但是由于下列原因，新建的信任关系不能被确久(Y)：陶认传出信任失败，错误为：信任密码蛉证失败，错误为1787:服务器上的安全数据库没有此工作站信任关系的计苴机帐户.将尝试安全通道重置.安全通道重置失败，错误为1787:服务器上的安全必须先在另一个域中得到创建，该信任才能起作用.谙确保在两个域中使用同一个信任密码.要关闭此向导，请单击“完成”.〈上一步⑼| 完成|取消|注意：密码必须是信任域和被信任域双方都接受的。同理另外一个域需要做转发器和要做对应的信任。图2-44单击“编辑”后的对话框选项文件也）3X信任受此域信任的域9卜向信任）®）属性任）信任此域的域（内向信任）（Q）可传递属性复）com删除9新建信任国）取消应用④验证信任关系信任关系建立之后，可以验证信任关系的创建情况。验证信任关系具体步骤如下文件也）3X信任受此域信任的域9卜向信任）®）属性任）信任此域的域（内向信任）（Q）可传递属性复）com删除9新建信任国）取消应用④验证信任关系信任关系建立之后，可以验证信任关系的创建情况。验证信任关系具体步骤如下步骤二，在控制台树中，鼠标右键单击要验证的信任关系所涉及的一个域，然后单击“属性”对话框步骤一，运行“管理工具”/“ActiveDirectory域和信任关系”管理应用程序操作”查看〃）帮助QJ）回的直哈巴回星性步骤四，单击“验证”按钮即可。原步位ActiveDcn星性星性3ActiveDcn星性星性3凶・3凶您想要验证信任的传入方向吗。要这样做，您必须有I域的管理员权限.r否，不验证传入信任(Q)6是，验证传入信任(1)输入在指定域有管理员权限的帐尸的用户名和密码.用户名也):密码位)：|Cadministrator确定|取消要提高外部信任的安全，启用了安全识别符(SID)筛选功能,有关SID筛选功能的详细信息，请卷见保证外部信仟的安全.取消

文件电）操作®查看9帮助OPt-»包函|囹哈|[g回岁岁星性,?Jx常规|身份验证|此域0）：其他域迪）：|信任类型电）:指定域中的以在信任履其他域迪）：|信任类型电）:指定域中的以在信任履验证9要确X@。果需要）并重置此信任关系，话单击“验证”.验证9要提高外部信任的安全，启用了安全识别符（SID）筛选功能.有关SID篇选功能的详细信息，语卷见保证外部信仟的安全.确定 取消4.撤销信任关系如果不再需要已建立的信任关系，可以撤销信任关系。撤销信任关系的具体步骤如下：步骤一，运行“管理工具”/“ActiveDirectory域和信任关系”管理应用程序；步骤二，在控制台树中，鼠标右键单击要撤销的信任关系所涉及的•个域节点,然后单击“属性”对话框；

安装如上面步骤.在ActiveDirectory安装结束后，如何检验ActiveDirectory安装是否正确？打开ActiveDirectory域验证.不同的组对网络性能具有哪些影响？.如何限制用户由某台客户机在某个特定时段登录?fActiTeDirectory用户和计苴机J文件电）操作Q）查看9窗口但）帮助出）Directory用户和计Directory用户和计E口保存的查询臼的EnBuiltinEQjComputers国画DomainControllersEPlForeignSeciirityPri]三|Users如上面步骤3.使用“ActiveDirectory用户和计算机”窗口管理用户和计算机账户，包括账户的创建、删除、停用、移动等。新建用户：ActiTeDirectory用户和计苴机W文件任）操作⑥查看9窗口量）帮助国）①二Tj©的0富由哈上回泊该向▽@至力ActiveDirectory用户和计篁机$口保存的查询白植wgcdc.田口BuiltinSC]Computers®DomainControllers田[JForeignSecurityPrincipa^UsersUsers 121个对象名称1类型1描述CAdministratorUcdcCertPublishers^^DnsAdminsDnsUpdateProxyj^DomainAdmins©^DomainComputers空DomainC。委派控制⑥劈…Gu查找ufuDomainUs.用户用尸安全殂一本...安全蛆一本…安全犯-全局安全犯-全局安全组-全局安全殂-全局安全组-全局安全组-全局营理计1此组的5DNS营3?允许替工指定的先加入到龙域中所4域的所不所有域户j^EnterprisGroupPolGuestJ^HelpServifJlIS.WPGClUSR.WINDCIWAM_WIND或RASandISchemaAd劭SUPP0RT_3偷'elnetCli所有任务意） >刷新电）导出列表1）...查看9 »排列图标a） ►对齐图标但）属性®讨算机联系人组InetOrgPersonMSMQ队列别名打印机用户共享文件夹而一企业的孑这个组匚供来宾t帮助和*IISIf匿名访日用于启云这个娼u架构的事这是一,帮助QJ）安全组-本…本蛆的E<1 1 2J设置用户名:

箝法门孽住Xw«—‘―.11i.rT・<rwcr»名ActiveDirectory用户和计算机匕文件电）操作⑥查看9窗口①）帮助Qi）<=-回函x®x直为皓।四而迈源.▽qMWActiveDirectory用户和计算机EO保存的查询白 wgcdc.e如.cnEnBuiltinComputers国；益DomainControllersS二JForeignSecurityPrincipa^0Users移动到哪:Users22个对象名称I描述0Administratorkdc2^DCertPublishers^j/DnsAdmins由DnsUpdateProxy^PDonainC^Dom&in^^Doniain^^Doni&in^PDom&inAdminsComputersControllersGuestsUserstf3EnterpriseAdminsGroupPolicyCreator的GuestHelpServicesGroup0JlIS_WPGCIUSR_WIHD0WS2003CIWAM_WI»D0*S2003fjRASandIASS