计算机网络操作系统（第二版）课件第5章 活动目录

第5章活动目录本章学习目标活动目录是微软的一种非常重要的目录服务，它存储网络上各种资源（如用户、组、计算机、共享资源、打印机和联系人等）的信息，提供分布式的目录服务，信息可以分散在多台不同的计算机上，只要拥有相应权限，用户可以方便地在网络上任何一台计算机上登录到域，并可以查找和使用这些网络资源，为域管理人员提供了一个集中管理网络对象的架构与服务。本章学习目标本章介绍WindowsServer2008中活动目录的概念与基本管理，Windows域的概念与管理，组织单位、组及账户的管理。本章包括以下主要内容：

活动目录的基本概念活动目录的规划与安装域控制器的管理组和组织单位的管理用户账户和计算机账户的管理资源发布与域的管理

5.1概述活动目录（ActiveDirectory）是一种目录服务，它存储有关网络对象（如用户、组、计算机、共享资源、打印机和联系人等）的信息，使管理员和用户可以方便地查找并使用这些网络资源。5.1.1活动目录简介5.1.1活动目录简介

域（Domain）是WindowsServer2008目录服务的基本管理单位，域模式的最大好处就是它的单一网络登录能力，任何用户只要在域中有一个账户，就可以漫游域网络。域目录树中的每一个节点都有自己的安全边界，这种层次结构既实现了细粒度管理，又保证了安全性。活动目录服务把域详细划分成组织单位（OU），组织单位是一个逻辑单位，它是域中一些用户和组、文件与打印机等资源对象的集合。5.1.1活动目录简介活动目录是一种集成管理技术，是一个层次的、树状的结构，通过活动目录组织和存储网络上的对象信息，可以让管理员非常方便的进行对象的查询、组织和管理。活动目录具有与DNS集成、便于查询、可伸缩可扩展、可以进行基于策略的管理、安全高效等特点。相对于WindowsServer2003，WindowsServer2008活动目录服务有很大的改进，主要体现在：增加了只读域控制器、可重启的活动目录域服务、活动目录审核等。5.1.2活动目录的特性

WindowsServer2008活动目录是一个完全可扩展、可伸缩的目录服务，既能满足商业ISP的需要，又能满足企业内部网和外联网的需要，通过活动目录，可以实现提高增强网络的安全性、提高管理的灵活性，方便用户在各种不同环境部署服务。

5.1.2活动目录的特性1．可重启的活动目录域服务在WindowsServer2008中，提供了可重启活动目录域服务的功能，其中活动目录域服务像其他服务一样是作为一个服务存在，可以在系统服务控制台中停止或者启动，而不必像以前那样重启服务器，减少了服务器重启的次数，极大地方便了用户，提高了网络服务的应用。5.1.2活动目录的特性2．只读域服务在WindowsServer2008中，提供了只读域服务（只读域控制器），有效地避免了类似的安全问题。只读域控制器最大的特点是虽然存有活动目录域服务中所有的对象和属性，但是只能从域控制器复制数据，不能向域控制器写数据。另外，只读域控制器是单向复制，包括AD数据库和SYSVO，只可以从其他域控制器上同步信息，不可以向其他域控制器同步信息。5.1.2活动目录的特性3．活动目录审核

WindowsServer2008的目录审核功能更细化、精确一些，可以在日志中查看对活动目录做过的修改类型，修改时间、修改对象以及修改的值等信息。WindowsServer2008活动目录审核策略细化为4个子类别，分别是：目录服务访问、目录服务更改、目录服务复制、详细目录服务复制。5.1.2活动目录的特性4．多元密码策略

WindowsServer2008使用的是多元密码策略(Fine-GrainedPasswordPolicy)，可以针对不同的用户或用户群体设置不同的密码策略。比如学校中网络中心部署强密码策略（密码复杂度较高、密码长度较长，密码更新周期短一些），而其他部门则可以部署较为宽松的密码策略。5.2

安装活动目录

安装活动目录之前，需要事先细致而全面地规划适合本单位实际应用的活动目录，否则不但无法发挥活动目录的强大功能，反而给使用带来诸多麻烦。5.2.1规划活动目录5.2.1规划活动目录1．规划DNS若要使用活动目录，首先需要规划名称空间。在WindowsServer2008中，用DNS名称命名活动目录域。选择DNS名称用于活动目录域时，以单位保留在Internet上使用的已注册DNS域名后缀开始，并将该名称和单位中使用的地理名称或部门名称结合起来，组成活动目录域的全名。5.2.1规划活动目录2．规划域结构最简单的域结构是单域。一般应从单域开始规划，只有当单域模式不能满足应用需求时，才增加其他的域。只有在下列情形下才建议创建多个域：（1）大量的对象。（2）不同的Internet域名。（3）对复制进行更多的控制。（4）分散的网络管理。5.2.1规划活动目录3．规划组织单位结构在域中可以创建组织单位的层次结构，组织单位可包含用户、组、计算机、打印机、共享文件夹以及其他组织单位。组织单位是目录容器对象，在“ActiveDirectory用户和计算机”管理控制台中它们以文件夹形式组织。组织单位简化了域中目录对象的视图以及对这些对象的管理。可将每个组织单位的管理控制权委派给特定的管理员，更接近实际单位工作职责划分。5.2.1规划活动目录4．规划委派模式在每个域中创建组织单位树，并将部分组织单位子树的权力派给其他用户或组，就可以将权力分派到单位中的最底层部门。这样，除了个别保留拥有对整个域的管理授权的管理员账户和域管理员组，以备少数高度信任的管理员使用，其他管理权限可以下放到基层。5.2.1规划活动目录规划活动目录时，还要注意以下几点：（1）使用的域越少越好，WindowsServer2008支持庞大的单个域容量。（2）限制组织单位的层次，以提高在活动目录中搜索对象的运行效率。（3）限制组织单位中的对象个数，有利于高效地查找特定资源。（4）可以将管理权限分配到组织单位级，这样既提高了管理效率，又降低了管理员的负荷。5.2.2安装活动目录

安装WindowsServer2008时，系统默认没有安装活动目录。用户要将自己的服务器配置成域控制器，应该首先安装活动目录。安装WindowsServer2008活动目录服务，可以通过命令“dcpromo.exe”方式进行，也可以通过“服务器管理器”进行，这里以“服务器管理器”为例来安装活动目录，具体步骤如下：5.2.2安装活动目录步骤一、添加ActiveDirectory域服务角色：（1）启动WindowsServer2008，系统自动打开配置服务器窗口，或者选择“管理工具”中“服务器管理器”命令，打开“服务器管理器”窗口，如图5-1所示。（2）在图5-1所示窗口中，右键单击“角色”选项，选择“添加角色”选项，出现“添加角色向导”对话框，单击“下一步”继续。出现“选择服务器角色”对话框，如图5-2所示，从服务器角色列表中选择“ActiveDirectory域服务”选项，单击“下一步”继续。（3）出现“ActiveDirectory域服务”对话框，在此对域服务进行了简单介绍，单击“下一步”继续。出现“确认安装选择”对话框，以确认选择了正确的服务器角色，单击“安装”，开始ActiveDirectory域服务的安装。完成安装后出现“安装结果”对话框，如图5-3所示。5.2.2安装活动目录步骤二、运行ActiveDirectory域服务安装向导：（1）在“服务器管理器”窗口中，在左侧窗格中单击“角色”下的“ActiveDirectory域服务”选项，然后单击右侧窗格显示的超链“运行ActiveDirectory域服务安装向导”，打开“ActiveDirectory域服务安装向导”对话框，如图5-4所示，单击“下一步”继续。（2）打开“操作系统兼容性”对话框，提示WindowsServer2008中改进的安全设置会影响旧版Windows。单击“下一步”，打开“选择某一部署配置”对话框，如图5-5所示，因为是第一个域控制器，选择“在新林中新建域”单选框，单击“下一步”继续。5.2.2安装活动目录（3）打开“命名林根域”对话框，如图5-6所示，输入域名，单击“下一步”按钮，经过检查后打开“设置林功能级别”对话框，若想与以前操作系统版本兼容，在“林功能级别”中选择“Windows2000”选项。单击“下一步”出现“设置域功能级别”对话框，同样选择“Windows2000纯模式”选项，单击“下一步”继续。（4）打开“其他域控制器选项”对话框，选中“DNS服务器”复选框，如图5-7所示。单击“下一步”，打开“静态IP分配”对话框，选择“否，将静态IP地址分配给所有物理网络适配器”选项，并正确配置静态IP地址后继续下一步。5.2.2安装活动目录（5）出现“无法创建DNS服务器的委派”信息提示框，单击“是”继续，在出现的对话框中设置“数据库、日志文件和SYSVOL”的位置，然后单击“下一步”。（6）出现“目录服务还原模式的Administrator密码”，完成密码设置，单击“下一步”。打开“摘要”对话框，显示前面所作的设置，如有问题，可返回单击“上一步”按钮修改。单击“下一步”开始服务的安装。安装完成后，显示“完成ActiveDirectory域服务安装向导”对话框，单击“完成”退出安装向导，并根据提示重新启动计算机。5.2.2安装活动目录要删除活动目录，选择“开始”/“运行”，执行dcpromo命令，打开“ActiveDirectory安装向导”对话框，并沿着向导进行删除。在完成活动目录安装后，可以通过以下方法检验安装是否正确，安装过程中一项最重要的工作是在DNS数据库中添加服务记录（SRV记录）。通过查看DNS文件的SRV记录验证安装效果，使用文本编辑器打开%SystemRoot%/system32/config/中的Netlogon.dns文件，查看LDAP服务记录，出现形如_ldap._.600INSRV0100389记录5.3域控制器管理域（Domain）是活动目录的分区，定义了安全边界，允许授权用户访问本域中的资源。域是由管理员安装活动目录时定义的一个网络环境，是一些计算机的集合，这个集合使用一个目录数据库，并为管理员提供对用户账户、组和计算机等对象的集中管理和维护等功能。活动目录可由一个或多个域组成，每一个域可以存储上百万个对象，域之间有层次关系，可以建立域树和域林，如图5-10、图5-11所示，进行无限地域扩展。图中的双箭头表示域之间的信任关系，域的信任关系都是双向和可传递的。5.3域控制器管理在活动目录中，目录存储只有一种形式，而域控制器（DomainController）包括了完整的域目录的信息，因此，每一个域中必须有一个域控制器。活动目录是WindowsServer2008网络提供的目录服务，是运行在域控制器上的数据库，存储着网络对象的信息，活动目录中可以有多个域控制器。在企业网络中，特别是在单域网络中，域控制器是网络正常运作的中心，起到重要的网络控制作用。因此，对于管理员来说，管理域控制器是最重要的工作之一，用户必须根据网络运行情况合理地设置域控制器的属性。5.3.1设置域控制器属性

安装好目录服务和域控制器，管理员可以查看并设置域控制器属性。运行“管理工具”中“ActiveDirectory用户与计算机”管理控制台，展开域树目录，如图5-12所示。图5-12“ActiveDirectory用户和计算机”管理控制台窗口5.3.1设置域控制器属性在控制台目录树中双击展开域节点，单击DomainControllers子节点，详细资料窗格列出当前域控制器的计算机列表，鼠标右击设置的域控制器（如图中SERVER001），选择“属性”选项，打开该控制器的“属性”对话框，如图5-13所示。5.3.1设置域控制器属性对话框包括的主要选项卡及内容：“常规”选项卡：“描述”文本框中输入对域控制器的一般描述。可以设置“信任计算机作为委派”，以支持其他域内服务器请求本地服务。“操作系统”选项卡：显示操作系统的名称、版本以及ServicePack，管理员只能查看但不能修改这些内容。“隶属于”选项卡：如图5-14所示，可以根据需要添加组，单击“添加”按钮，打开“选择组”对话框，为域控制器选择一个要添加的组；要删除某个已经添加的组，在“隶属于”列表框选择该组，然后单击“删除”按钮即可。5.3.1设置域控制器属性当管理员为域控制器添加多个组时，还可为域控制器设置一个主要组。设置主要组，在“隶属于”列表框中选择组，一般为DomainControllers，也可为CertPublishers，然后单击“设置主要组”按钮即可。“位置”选项卡：可以设置域控制器的位置。“管理者”选项卡：设置管理者信息，要更改域控制器的管理者，可单击“更改”按钮，打开“选择用户或联系人”对话框，选择新的管理人即可；要删除管理者，可单击“清除”按钮；要查看和修改管理者属性，可单击“查看”按钮，打开该管理者属性对话框来进行操作。域控制器设置完毕，单击“确定”保存设置。5.3.2查找域控制器目录内容

活动目录实际上是一个网络清单，包括网络中的域、域控制器、用户、计算机、联系人、组、组织单位及网络资源等各个方面的信息，使管理员可以方便地管理这些内容。查找目录内容，在“ActiveDirectory用户和计算机”控制台窗口的控制台目录树中鼠标右键单击域节点，在弹出的快捷菜单中选择“查找”命令，打开“查找用户联系人及组”对话框，如图5-15所示。5.3.2查找域控制器目录内容

在“查找”下拉列表框中选择要查找的目录内容，包括用户、联系人及组、计算机、打印机、共享文件夹、组织单位、自定义搜索等。例如我们要查找计算机，在查找列表中选择“计算机”，如图5-16所示，在“范围”下拉列表框中选择查找范围，如整个目录。在“计算机”选项卡中设置查找条件。例如，在“计算机名”文本框中输入要查找的计算机名，如输入部分内容“server”，在“所有者”文本框中输入计算机的用户名，在“作用”下拉列表框中选择计算机在网络中作用。5.3.2查找域控制器目录内容

单击“高级”选项卡，设置高级查找条件，单击“字段”按钮，从弹出的快捷菜单中选择设置条件的选项，然后在“条件”下拉列表框和“值”文本框中设置查询条件。设置好条件之后，单击“添加”按钮，将条件添加到下面的文本框中。如果要继续添加高级条件，重复上述步骤。所有查找条件设置完毕，单击“开始查找”按钮即开始查找，查找结果显示在“搜索结果”窗口中。5.4组织单位和组管理

组织单位（OrganizationalUnit，OU）又称组织单元，是一个容器对象，它可以包括域中一些用户、计算机和组、文件与打印机等资源。不过，组织单位不能包含其他域中的对象。组织单位具有继承性，子单位能够继承父单位的访问许可权。域管理员可以使用组织单位来创建管理模型，授予用户对域中所有组织单位或单个组织单位的管理权限。

5.4.1组织单位和组基本概念

5.4.1组织单位和组基本概念

组是指活动目录或本地计算机对象，包含用户、联系人、计算机和其他组等。组可以用来管理用户和计算机对网络资源的访问，如活动目录对象及其属性、网络共享、文件、目录、打印机队列，还可以筛选组策略。

引入组的概念，方便管理员对用户和计算机账户的管理，有了组的概念之后，就可以将这些具有相同权限的用户或计算机划归到一个组中，使这些用户成为该组的成员，然后通过赋予该组权限来使这些用户或计算机都具有相同的权限。5.4.1组织单位和组基本概念

注意：组和组织单位有很大的不同，组主要用于权限设置，而组织单位则主要用于网络构建，组织单位只表示单个域中的对象集合（可包括组对象），组可以包含用户、计算机、本地服务器上的共享资源、单个域、域目录树或目录林。5.4.1组织单位和组基本概念

以域为例，域控制器安装好后，启动“ActiveDirectory用户和计算机”管理控制台，可以看到，系统默认产生Users、Computers、Builtin、DomainControllers等组织单位，如DomainControllers包括域控制服务器，这里是刚刚安装的目录服务器，Users包括一些组和用户，Builtin包括本地域安全组。我们可以根据具体应用设置自己的组织单位，如创建Accounts（账号）组织单位，并为其创建二级组织单位，包括Information、Management和Machinery，分别代表信息、管理和机械三个学院，用于存放各个学院用户账号；创建Groups组织单位，存放组信息；创建Resources组织单位，存放桌面、移动和服务器等资源信息，层次结构图如图5-18所示。图5-18创建层次化组织单位5.4.2创建组织单位和组系统提供了许多内置组用于权限和安全设置，但一般它们不能满足特殊安全和灵活性的需要。为了更好地管理用户和计算机账户，管理员可根据网络应用创建一些新组。创建新组之后，可以赋予特定权限并添加组成员。按上述规划的hzut域的结构，首先创建组织单位。创建组织单位，在控制台目录树中展开域节点，鼠标右击域节点或可添加组织单位的文件夹节点，从弹出的快捷菜单中选择“新建”/“组织单位”命令，在打开的对话框的“名称”文本框中输入新创建组织单位的名称，单击“确定”按钮即可。如分别创建Accounts、Groups、Information等组织单位。5.4.2创建组织单位和组

创建新组，在控制台目录树中展开域节点，右击要进行组创建的组织单位或容器，如为Groups创建新组，从弹出的快捷菜单中选择“新建”/“组”命令，打开如图5-19所示的对话框，在“组名”文本框中输入要创建的组名teachers，此例中组为全局安全组。单击“确定”按钮即完成组的创建。在域中合理地添加和安排组织单位，不仅方便管理员对域中账户和组的管理，而且有利于网络的扩展。按照图5-18规划的层次结构创建组织单位和组后，活动目录结构如图5-20所示。5.4.2创建组织单位和组管理员可以定期删除活动目录中不再发挥作用的组织单位和组，需要注意的是，管理员只能删除自己创建的组织单位和组，不能删除由系统创建的内置组织单位和组。删除组织单位和组，在“ActiveDirectory用户和计算机”管理控制台，鼠标右击要删除的组或组织单位，选择快捷菜单中的“删除”命令，系统打开信息确认框，单击“是”按钮即完成组或组织单位的删除。5.4.3委派控制组或组织单位

在WindowsServer2008网络中，随着组和组织单位的增多，网络的管理工作越来越繁杂，为了减轻管理员的网络系统管理工作负担，通过委派控制功能，管理员可以将一部分域管理工作委派给其他用户、计算机或组。5.4.3委派控制组或组织单位

对某个组或组织单位进行委派控制，在“ActiveDirectory用户与计算机”管理控制台中，鼠标右击要委派控制的组织单位或组节点，从弹出的快捷菜单中选择“委派控制”命令，进入“控制委派向导”窗口，单击“下一步”继续。在打开的“用户和组”对话框中单击“添加”按钮，打开“选择用户、计算机或组”对话框，可以直接输入一个或多个要委派控制的用户或组，也可单击“高级”选项卡进行查找，从列表中选择一个或多个要委派控制的用户或组。这里我们输入用户账号为zhj（假设该用户已存在），如图5-21所示，单击“确定”按钮。5.4.3委派控制组或组织单位

单击“下一步”继续，打开“要委派的任务”对话框可以选择要委派的常见任务，如图5-22所示对话框。单击“下一步”继续，出现总结对话框，点击“完成”即可。注意：对不同资源进行控制委派，配置向导有所不同。5.4.4设置组织单位属性

用户在创建组织单位之后，可以根据需要设置组织单位属性，包括指定组织单位的管理者和常规属性，为组织单位创建组策略。设置组织单位的属性，在“ActiveDirectory用户与计算机”管理控制台中，鼠标右击需要设置的组织单位，从弹出的快捷菜单中选择“属性”命令，打开该组织单位的属性对话框，如图5-23所示。5.4.4设置组织单位属性

组织单位属性包括以下选项卡：“常规”选项卡，可以设置“描述”、“省/自治区”、“市县”、“街道”和“邮政编码”等计算机和用户常规信息。“管理者”选项卡，单击“更改”按钮，打开“选择用户、联系人或组”对话框，选择一个用户或联系人作为管理者；管理者更改之后，单击“属性”按钮，可打开所更改的管理者的属性对话框，管理员可对管理者的属性进行修改，如果要清除管理者，单击“清除”按钮即可。5.4.5设置组属性

用户创建一个新组后，系统并没有设置该组常规属性和权限，也没有为其指定组成员和管理者，该组几乎不能发挥任何作用。设置组的属性，在“ActiveDirectory用户与计算机”管理控制台中，鼠标右击组对象，从弹出的快捷菜单中选择“属性”命令，打开该组的属性对话框，如图5-24所示。5.4.5设置组属性

为了便于管理，在“描述”和“注释”文本框中分别输入有关该组的描述和注释；可以修改组名称；为了便于组管理员与组成员交换信息，在“电子邮件”文本框中输入组管理员的电子邮件地址。单击“成员”选项卡，如图5-25所示。添加成员，单击“添加”按钮，打开“选择用户联系人或计算机”对话框，选择要添加的成员。要删除组成员，在“成员”列表框中选择要删除的组成员，然后单击“删除”按钮即可。5.4.5设置组属性

通过向新组添加内置组设置新组的权限。选择“隶属于”选项卡，单击“添加”按钮，打开“选择组”对话框，为自己创建的组选择内置组。要删除某个组权限，在“隶属于”列表框中选择该组，单击“删除”按钮即可。设置组的管理者，选择“管理者”选项卡；更改组管理者，单击“更改”按钮，打开“选择用户或联系人”对话框，选择管理者；查看管理者的属性，单击“属性”按钮进行查看；清除管理者对组的管理，单击“清除”按钮即可。属性设置完毕，单击“确定”按钮保存设置并关闭属性对话框。5.5用户和计算机账户管理

在一个网络中，用户和计算机都是网络的应用主体。拥有计算机账户是计算机接入Windows网络的基础，拥有用户账户是用户登录到网络并使用网络资源的基础。活动目录使用户和计算机账户表示计算机或个人等物理实体。账户为用户或计算机提供安全凭据，以便用户和计算机能够登录网络并访问域资源。活动目录的账户主要用于验证用户或计算机的身份，授权对域资源的访问，审核用户或计算机账户所执行的操作等。

5.5.1用户和计算机账户

5.5.1用户和计算机账户

1．用户账户用户账户记录了用户的用户名和口令、隶属的组、可以访问的网络资源，以及用户的个人文件和设置。每个域用户都应在域控制器中有一个用户账户，才能访问域中服务器和使用域中网络资源。用户账户由一个用户名和一个口令来标识，用户登录系统时，用户账户通过活动目录验证后登录到计算机和域，并授权访问域资源。用户账户也可作为某些应用程序的服务账户。WindowsServer2008提供了预定义用户账户，包括管理员账户和客户账户，用户使用预定义账户可以登录到本地计算机并访问其上的资源。每个预定义账户有不同的权限。管理员账户具有最广泛的权限，而客户账户则只有有限的权限。为了更安全访问系统，管理员应为每个用户创建独立的用户账户，并将用户账户添加到组中，指定账户相应权限。5.5.1用户和计算机账户

2．计算机账户客户端计算机必须先加入到域，才能使用用户账户登录到域，接受域的统一管理或使用域中的资源。注意：计算机在加入域前，应该将客户端计算机的DNS地址设置为域控制器（域控制器与DNS是集成的）的IP地址，如果二者不是集成的，应该设置为DNS服务器的IP地址。每个加入域的Windows计算机都具有计算机账户，否则无法与域连接或访问域资源。与用户账户类似，计算机账户也提供验证和审核计算机登录到网络以及访问域资源的方法。不过，一个计算机系统要加入到域中，只能使用一个计算机账户，而一个用户可拥有多个用户账户，且可在不同的计算机（指已经连接到域中的计算机）上使用自己的用户账户登录网络。5.5.2创建用户和计算机账户

当有新的用户加入到域中时，管理员应该在域控制器中添加一个相应的用户账户。当有新的客户计算机加入到域中时，管理员应在域控制器中创建一个计算机账户，使其成为域成员。创建用户账户，在“ActiveDirectory用户和计算机”管理控制台中，鼠标右击要添加用户的组织单位或容器，从弹出的快捷菜单中选择“新建”/“用户”命令，打开如图5-26所示的对话框。5.5.2创建用户和计算机账户

输入姓、名和用户登录名等信息后，单击“下一步”继续，打开设置密码对话框，如图5-27所示，在“密码”和“确认密码”文本框中输入用户初始密码。如果希望用户下次登录时自行更改密码，可选择“用户下次登录时须更改密码”复选框，否则选择“用户不能更改密码”复选框。如果希望密码永远不过期，可选择“密码永不过期”。如果暂不启用该用户账户，可选择“账户已禁用”复选框。单击“下一步”即可完成创建。创建计算机账户方法同上，选择“新建”/“计算机”命令，在弹出的对话框中输入该计算机的名称，单击“确定”按钮即可。5.5.3删除、停用和移动用户和计算机账户

当系统中的某一个用户账户不再使用，管理员可删除用户账户。当域中的某个计算机不再需要与域连接，管理员可删除该计算机账户，以防其他计算机假借原来的计算机使用域中的网络资源。删除一个用户和计算机账户，在控制台目录树中展开域节点，单击要删除的用户或计算机所在的组织单位或容器，在详细资料窗格中鼠标右击要删除的用户或计算机，选择“删除”命令，出现信息确认框后，单击“是”按钮即可删除该用户或计算机。5.5.3删除、停用和移动用户和计算机账户

如果某个用户的账户暂时不使用，如单位内长期出差人员，可禁止其账户的使用。同样，如果某个计算机账户暂时不使用，如单位内有计算机因故障而不能在短时间内使用，也可禁用该账户。需要恢复禁用账户时，管理员重新启用该账户即可。禁用账户，在控制台目录树中展开域节点，单击要禁用的用户账户或计算机所在的组织单位或容器，在详细资料窗格中鼠标右击要停用的用户或计算机账户，选择“禁用账户”命令，出现信息确认框后，单击“是”按钮即可禁用被选用户或计算机账户。5.5.3删除、停用和移动用户和计算机账户

在一个大型网络中，为了便于管理，管理员经常需要将用户和计算机账户移动到新的组织单位或容器中。账户被移动后，用户和计算机仍可使用它们进行网络登录，不需要重新创建。移动用户和计算机账户，在控制台目录树中展开域节点，单击要移动用户或计算机账户所在的组织单位或容器，在详细资料窗格中鼠标右击要移动的用户账户，选择“移动”命令，打开“移动”对话框，在“将对象移到容器”对话框中双击域节点，展开该节点，如图5-28所示，单击移动的目标组织单位，然后单击“确定”按钮即可完成移动。5.5.4将用户和计算机账户添加到组为便于管理员管理用户和计算机账户，可以将不同的用户或计算机添加到具有不同权限的组中，使用户和计算机继承所在组的所有权限。同时，管理员也可以直接通过组管理多个用户和计算机账户，减轻管理员的管理维护工作。将用户账户添加到组，在控制台目录树中展开域节点，单击要加入组的用户所在的组织单位或容器，在详细资料窗口中鼠标右击该用户账户，选择“添加到组”命令，打开如图5-29所示的“选择组”对话框，可以直接输入组对象的名称，也可以点击“高级”按钮，打开高级窗口进行查找，然后在组列表框中选择一个要添加的组，单击“确定”按钮即可将用户添加到组。5.5.4将用户和计算机账户添加到组将计算机账户添加到组，在控制台目录树中展开域节点，单击“计算机”或要加入组的计算机所在的组织单位或容器，在详细资料窗口中鼠标右击该计算机账户，选择“属性”命令，打开该计算机的属性对话框，然后单击“成员属于”标签，打开“隶属于”选项卡，单击“添加”按钮，打开“选择组”对话框，选择要加入的组，单击“确定”按钮完成添加。5.5.5重设用户密码

用户密码是用户登录网络的重要凭证，用户忘记密码或（怀疑）密码被他人盗用时，管理员可以重新设置密码。重新设置用户密码，在控制台目录树中展开域节点，单击包含要重新设置密码的用户的组织单位或容器，在详细资料窗口中鼠标右击该用户账户，选择“重设密码”命令，打开“重设密码”对话框，在“新密码”和“确认密码”文本框中输入要设置的新密码。如果允许用户更改密码，可选择“用户下次登录时须更改密码”复选框，单击“确定”按钮保存设置，同时系统会打开确认信息框，单击“确定”按钮可完成设置。5.5.6管理客户计算机

管理员通过域控制器直接管理网络中的客户计算机，这不但加强了域控制器的作用，而且有利于用户对网络的管理和维护。域控制器可以直接管理运行WindowsServer2008/2003或Windows2000/NT系统的计算机，不能管理安装Windows95/98或者其他系统的计算机。管理客户计算机，在控制台目录树中展开域节点，然后单击要管理的计算机所在的组织单位，鼠标右击该计算机，从弹出的快捷菜单中选择“管理”命令，打开该计算机的计算机管理窗口。在该窗口中，管理员可以对连接的计算机进行系统工具、存储、服务器应用程序和服务等方面的管理，例如，可以管理该计算机上用户账户，可以读写该计算机上共享文件夹等。5.6资源发布和域的管理

在WindowsServer2008中可以发布共享文件夹、共享打印机等资源。发布共享文件夹，运行“管理工具”/“ActiveDirectory用户和计算机”管理控制台程序，在控制台树中，右键单击要在其中添加共享文件夹的文件夹，选择“新建”/“共享文件夹”选项，打开新建对象对话框，如图5-30所示。输入文件夹的名称和网络路径，这里添加主机“haut-004”下共享文件夹“Server2Shares”到管理组织单位Accounts/Information下，单击“确定”完成操作。

5.6.1资源发布管理5.6.1资源发布管理需要注意的是，输入的网络路径必须正确，路径指向的文件夹必须设置为共享，此处添加共享文件夹系统不进行检查，路径错误之后无法对资源正常管理。发布打印机，运行“ActiveDirectory用户和计算机”管理控制台程序，选择发布打印机的对象容器，鼠标右击选择“新建”/“打印机”选项，弹出新建对象对话框，键入网络路径，如图5-31所示。点击“确定”完成操作。5.6.1资源发布管理自定义搜索资源，运行“