计算机网络实用技术（第二版）课件第8章

第8章使用和管理WINDOWS2000活动目录第8章使用和管理活动目录本章学习目标8.1

活动目录8.2

组织单位的管理8.3

用户账户的管理8.4

组的建立8.5

从工作站登录域结构的网络8.6

思考题第8章使用和管理WINDOWS2000活动目录本章学习目标

本章主要介绍活动目录（ActiveDirectory）以及各种对象的创建和管理。通过本章的学习，读者应掌握以下内容：lActiveDirectory的概念与特点lActiveDirectory的创建lActiveDirectory用户和计算机控制台的使用l

组织单位、用户账户和组的创建与管理第8章使用和管理WINDOWS2000活动目录8.1活动目录8.1.1

活动目录简介8.1.2

活动目录的优点8.1.3

安装ActiveDirectory8.1.4ActiveDirectory的检测8.1.5ActiveDirectory用户和计算机控制台的使用返回下一页第8章使用和管理WINDOWS2000活动目录8.1.1活动目录简介

活动目录是一种目录服务，它存储有关网络对象的信息（例如，用户、组和计算机账户、打印机等共享资源），使管理员与用户可以方便地查找和使用网络信息。活动目录的应用起源于WindowsNT4.0Server，在WindowsServer2003中得到进一步的应用和发展，具有可扩展性和可调整性，并将结构化数据存储作为目录信息逻辑和分层组织的基础。返回第8章使用和管理WINDOWS2000活动目录8.1.1活动目录简介

域是WindowsServer目录服务的基本管理单位，但增加了许多新的功能。域模式的最大优点是它的单一网络登录功能，任何用户只要在域内有一个账户，就可以漫游网络。域目录树中的每一个节点都有自己的安全边界，这种层次结构既保证了安全性，又可精确设置。

返回第8章使用和管理WINDOWS2000活动目录8.1.1活动目录简介

同时活动目录服务将域又细分成组织单位，组织单位是一个逻辑单位，它是域中一些用户和组账户、文件与打印机等资源对象的集合。组织单位中还可以再划分下级组织单位，并且下级组织单位能够继承父单元的访问许可权。每一个组织单位可以有自己的管理员并指定其管理权限，从而实现了对资源和用户的分级管理。返回第8章使用和管理WINDOWS2000活动目录8.1.1活动目录简介

域中的所有域控制器之间都是平等关系，不再区分主域控制器和备份域控制器，这是因为WindowsServer2003采用了动态活动目录服务，在进行目录复制时不是沿用一般目录服务的主从方式，而是采用多主复制方式。通过这种方式，任何一个域控制器上的活动目录库的变更都会被自动复制到其他域控制器上。

返回第8章使用和管理WINDOWS2000活动目录8.1.1活动目录简介WindowsServer2003活动目录服务的另一大特点是与Internet融合，它把DNS作为其定位服务。为了克服DNS管理困难的缺点，WindowsServer2003将DNS与其特有的DHCP和WINS紧密配合起来，从而使DNS更加易于管理。下一页返回第8章使用和管理WINDOWS2000活动目录8.1.2活动目录的优点1．基于策略的管理2．扩展性3．可调整性4．信息复制5．与DNS的集成6．灵活的查询7．信息安全性下一页返回第8章使用和管理WINDOWS2000活动目录1．基于策略的管理

活动目录服务包括数据存储和逻辑分层结构。作为逻辑结构，它为策略应用程序提供分层的环境。作为目录，它存储着分配给特定环境的策略（称为组策略对象）。组策略对象表示一套规则，包括应用环境的有关设置，目录对象和域资源的访问确定，用户可使用什么域资源以及这些域资源的配置使用等。返回下一页第8章使用和管理WINDOWS2000活动目录2．扩展性

活动目录可进行扩展，即管理员可将新的对象类添加到规划中，而且可将新的属性添加到已有的对象类中。可以通过以下两种方法将对象和属性添加至活动目录中：使用活动目录架构、通过活动目录服务接口（ADSI）或者LDIFDE、CSVDE命令行应用程序创建脚本。下一页返回第8章使用和管理WINDOWS2000活动目录3．可调整性

活动目录可包括一个或多个域，每个域都有一个或多个域控制器，这使管理员可调整目录以满足任何网络的要求。多个域可组合成域目录树或目录森林。将目录配置成域目录树或森林，使得管理员可以针对不同上下文策略对目录的名称空间进行分区，并调整目录使其能容纳大量的资源和对象。下一页返回第8章使用和管理WINDOWS2000活动目录4．信息复制

活动目录使用多主复制。对目录数据所做的更改将复制到所有的域控制器中，每个域控制器的目录数据都保持同步。信息复制提供了有效性、容错和加载平衡等优点。在一个域中使用多个域控制器可提供容错和加载平衡。如果域中的某个域控制器减慢、停止或失败，同一域中的其他域控制器可提供必要的目录访问，因为它们包含着相同的目录数据。在广域网中，目录访问可由与每个网络客户机最近的域控制器执行。下一页返回第8章使用和管理WINDOWS2000活动目录5．与DNS的集成

活动目录使用DNS很容易将主机名称（如）转换为IP地址。这样就可以在TCP/IP网络上直接使用计算机主机名称进行网络连接。

DNS域和计算机使用分层结构的友好名称。例如，名称既是DNS名称也是WindowsServer2003域名。域中的每台计算机依靠其完整的域名进行识别。

下一页返回第8章使用和管理WINDOWS2000活动目录6．灵活的查询

用户和管理员可根据对象属性（例如，姓、名、E-mail地址、办公室位置或用户账户的其他属性），快速查找网络上的对象。也可通过活动目录生成的全局目录查找对象。下一页返回第8章使用和管理WINDOWS2000活动目录7．信息安全性

安全性与活动目录完全集成在一起，活动目录还提供安全策略和应用范围的设置。安全策略可包含账户信息，可以通过组策略设置、执行安全策略。管理员可将某些管理权限分派给其他账户或组，这种权限分派允许指定谁具有管理部分网络的权限。可以将某部分的管理分派给下级管理员，而不必拥有对整个网络具有广泛权限的管理员。下一页返回第8章使用和管理WINDOWS2000活动目录8.1.3安装ActiveDirectory如果要将网络设置为域结构，则网络上必须有域控制器。域控制器通过ActiveDirectory来提供目录服务，若网络中没有域控制器，则可将该独立服务器配置为新域的域控制器；若网络中有其他域控制器，可将其配置为额外域控制器。WindowsServer2003的域控制器必须由标准版、企业版或数据中心版的系统来扮演，Web版的系统不能作为域控制器。返回第8章使用和管理WINDOWS2000活动目录8.1.3安装ActiveDirectory

在域中创建第一个域控制器，步骤如下：（1）以系统管理员的身份登录，通过“开始”→“控制面板”→“网络连接”→“本地连接”→“属性”→“Internet协议（TCP/IP）”→“属性”的途径，打开“Internet协议（TCP/IP）属性”对话框。然后，设置IP地址、子网掩码、默认网关，并将首选的DNS地址指向本机的IP地址。返回第8章使用和管理WINDOWS2000活动目录8.1.3安装ActiveDirectory（2）通过执行“开始”→“运行”命令，在对话框中输入命令“dcpromo”，单击“确定”按钮，启动“ActiveDirectory安装向导”。（3）打开“ActiveDirectory安装向导”对话框，单击“下一步”按钮，如图8-1所示。返回第8章使用和管理WINDOWS2000活动目录8.1.3安装ActiveDirectory图8-1启动ActiveDirectory安装向导返回第8章使用和管理WINDOWS2000活动目录8.1.3安装ActiveDirectory（4）打开如图8-2所示的“操作系统兼容性”对话框，单击“下一步”按钮。返回第8章使用和管理WINDOWS2000活动目录8.1.3安装ActiveDirectory（5）如图8-3和图8-4所示，依次选择“新域的域控制器”→“下一步”

→

“在新林中的域”→“下一步”。返回第8章使用和管理WINDOWS2000活动目录8.1.3安装ActiveDirectory（6）打开如图8-5所示的“新的域名”对话框，在“新域的DNS全名”文本框中，输入新域的DNS全名，例如jsj.。单击“下一步”按钮，在如图8-6所示的“NetBIOS域名”对话框的“域NetBIOS名”文本框中，提示默认名，然后单击“下一步”按钮。返回第8章使用和管理WINDOWS2000活动目录8.1.3安装ActiveDirectory返回第8章使用和管理WINDOWS2000活动目录8.1.3安装ActiveDirectory（7）打开如图8-7所示的对话框，在“数据库文件夹”和“日志文件夹”文本框中设置保存的位置。然后，单击“下一步”按钮。返回第8章使用和管理WINDOWS2000活动目录8.1.3安装ActiveDirectory（8）打开如图8-8所示的“共享的系统卷”对话框，在“文件夹位置”框中设置Sysvol文件夹的位置，也建议使用默认值，单击“下一步”按钮。Sysvol文件夹存放域的公用文件的服务器副本，它的内容将被复制到域中的所有域控制器上。返回第8章使用和管理WINDOWS2000活动目录8.1.3安装ActiveDirectory（9）确认DNS支持。如图8-9所示。在这里，选择“在这台计算机上安装并配置DNS服务器…”单选框，然后单击“下一步”按钮。返回第8章使用和管理WINDOWS2000活动目录8.1.3安装ActiveDirectory（10）在如图8-10所示的对话框中，选择“与Windows2000之前的服务器操作系统兼容的权限”或“只与Windows2000或WindowsServer2003操作系统兼容的权限”单选框。然后单击“下一步”按钮。返回第8章使用和管理WINDOWS2000活动目录8.1.3安装ActiveDirectory（11）在如图8-11所示的对话框中，输入用于删除、修复目录服务的密码，单击“下一步”按钮。返回第8章使用和管理WINDOWS2000活动目录8.1.3安装ActiveDirectory（12）打开如图8-12所示的“摘要”对话框，用户可检查、确认设置的选项。然后单击“下一步”按钮。返回8.1.3安装ActiveDirectory（13）系统开始配置ActiveDirectory，同时打开“正在配置ActiveDirectory”对话框，提示配置过程，如图8-13所示。请耐心等候，不要单击“跳过DNS安装”按钮，可能还需指向系统安装光盘源程序的位置（可以预先将安装光盘原程序拷贝到“C:\i386”文件夹）。第8章使用和管理WINDOWS2000活动目录返回8.1.3安装ActiveDirectory（14）ActiveDirectory配置完成后，单击“完成”按钮。重新启动计算机，ActiveDirectory才能生效。第8章使用和管理WINDOWS2000活动目录返回第8章使用和管理WINDOWS2000活动目录8.1.4ActiveDirectory的检测

由于域控制器会将它的主机名称、IP地址、所扮演的角色等数据被自动登记到DNS服务器内，以便让其他的计算机通过DNS服务器来查找这台域控制器。因此，应首先检查DNS服务器内是否已经有该域控制器的相关数据。返回第8章使用和管理WINDOWS2000活动目录8.1.4ActiveDirectory的检测ActiveDirectory安装完成后，应检查DNS服务器内的记录是否完整。1．检查域控制器的域名称与IP地址记录

2．检查SRV记录下一页返回第8章使用和管理WINDOWS2000活动目录1．检查域控制器的域名称

与IP地址记录通过“开始”→“程序”→“管理工具”→“DNS”的途径，打开如图8-14所示的窗口。展开SERVERLJJ→“正向搜索区域”→对象，在右边的窗口中存在“（与父文件夹相同）主机”记录，表明域控制器已经正确地将其域名称与IP地址登记到DNS服务器内。返回第8章使用和管理WINDOWS2000活动目录1．检查域控制器的域名称

与IP地址记录下一页返回第8章使用和管理WINDOWS2000活动目录2．检查SRV记录

检查DNS服务器中用来支持ActiveDirectory的区域内，是否有如图8-14所示的_msdcs、_sites、_tcp、_udp等文件夹，因为域控制器会将自己所扮演的角色，登记到这些文件夹内的SRV记录中。打开_tcp文件夹后，可以看到一个数据类型为SRV的记录（_ladp），表示这台域控制器已经正确地将扮演LDAP服务器角色的信息登记到DNS服务器上了。

下一页返回第8章使用和管理WINDOWS2000活动目录8.1.5ActiveDirectory用户和计算机控制台的使用ActiveDirectory用户和计算机控制台用于增加、修改、删除、管理用户和计算机账户、组和组织单位等对象，并可在目录上发布和管理资源。可以依次选择“开始”→“程序”→“管理工具”→“ActiveDirectory用户和计算机”命令，打开如图8-15所示的“ActiveDirectory用户和计算机”控制台窗口。返回第8章使用和管理WINDOWS2000活动目录8.1.5ActiveDirectory用户和计算机控制台的使用1．改变用户和计算机显示方式2．预定义的组3．加入到域中的计算机下一页返回第8章使用和管理WINDOWS2000活动目录1．改变用户和计算机显示方式

使用控制台的“查看”菜单可以控制显示方式，显示或关闭控制台树、说明条、状态栏；或者选择显示列信息，以大图标、小图标、列表、详细信息等方式显示内容；使用如图8-16所示的筛选器选项，用户可自定义筛选显示内容。返回第8章使用和管理WINDOWS2000活动目录1．改变用户和计算机显示方式下一页返回第8章使用和管理WINDOWS2000活动目录2．预定义的组

在“ActiveDirectory用户和计算机”控制台窗口，分别打开Builtin、Users文件夹，可以查看系统预定义的组。这些组都是安全组，有不同的权限，Builtin文件夹中的为预定义的本地组；Users文件夹中的为预定义的全局组。用户可以根据实际应用环境，规划网络的域结构，利用预定义的组，修改创建自己的组。返回第8章使用和管理WINDOWS2000活动目录2．预定义的组位于Builtin文件夹中预定义的本地组如图8-17所示返回第8章使用和管理WINDOWS2000活动目录2．预定义的组位于Users文件夹中的预定义的全局组如图8-18所示。

下一页返回第8章使用和管理WINDOWS2000活动目录3．加入到域中的计算机

在“ActiveDirectory用户和计算机”控制台窗口，打开Computers文件夹，可以查看加入到域中的计算机列表。只能从加入到域中的计算机上登录域。下一页返回第8章使用和管理WINDOWS2000活动目录8.2组织单位的管理8.2.1

添加组织单位8.2.2

删除组织单位8.2.3

设置组织单位的属性下一页返回第8章使用和管理WINDOWS2000活动目录8.2.1添加组织单位打开“ActiveDirectory用户和计算机”窗口。在控制台目录树中双击以展开节点，右击域节点或者可添加组织单位的文件夹节点，并从弹出的快捷菜单中选择“新建”→“组织单位”命令，打开“新建对象-组织单位”对话框。第8章使用和管理WINDOWS2000活动目录8.2.1添加组织单位

如图8-19所示。在“名称”框中输入新建组织单位的名称，然后单击“确定”按钮即可。下一页第8章使用和管理WINDOWS2000活动目录8.2.2删除组织单位可以打开“ActiveDirectory用户和计算机”窗口。在控制台目录树中，双击域节点以展开该节点。然后右击要删除的组织单位，并从弹出的快捷菜单中选择“删除”命令，系统会打开确认框，单击“是”按钮即可。下一页第8章使用和管理WINDOWS2000活动目录8.2.3设置组织单位的属性

组织单位被添加之后，还应根据需要设置其属性。通过设置组织单位的属性，不但可以指定组织单位的管理者和常规属性，也可以为组织单位创建组策略。要设置组织单位的属性，可参照下面的步骤：第8章使用和管理WINDOWS2000活动目录8.2.3设置组织单位的属性（1）打开“ActiveDirectory用户和计算机”窗口。（2）在控制台目录树中，双击域节点以展开该节点。（3）右击要设置属性的组织单位，从弹出的快捷菜单中选择“属性”命令，打开该组织单位的属性对话框，如图8-20所示。第8章使用和管理WINDOWS2000活动目录8.2.3设置组织单位的属性（4）选择“常规”选项卡，如图8-20所示，在“描述”文本框中输入组织单位的描述文字，并在“国家（地区）”、“省/自治区”、“县市”、“街道”和“邮政编码”框中分别输入相应信息。（5）选择“管理者”选项卡，如图8-21所示，单击“更改”按钮，在“选择用户或联系人”对话框中选择一个用户或联系人作为管理者；单击“查看”按钮，可查看管理者的属性；如果要清除管理者，单击“清除”按钮即可。第8章使用和管理WINDOWS2000活动目录8.2.3设置组织单位的属性第8章使用和管理WINDOWS2000活动目录8.2.3设置组织单位的属性（6）选择“组策略”选项卡，如图8-22所示。（7）要新建一个组策略对象，单击“新建”按钮，在组策略对象列表框中会出现一个新的组策略对象，请输入一个有意义的名称。（8）创建组策略之后，单击“编辑”按钮，将打开“组策略”窗口，如图8-23所示。第8章使用和管理WINDOWS2000活动目录8.2.3设置组织单位的属性第8章使用和管理WINDOWS2000活动目录8.2.3设置组织单位的属性（9）在“组策略”窗口中，管理员可对组策略进行编辑，包括计算机配置和用户配置两个方面。编辑完毕后，关闭窗口。（10）单击属性窗口的“关闭”按钮。下一页第8章使用和管理WINDOWS2000活动目录8.3用户账户的管理8.3.1

用户账户的类型8.3.2

内置的用户账户8.3.3

建立域用户账户8.3.4

域用户账户的属性设置8.3.5

管理域用户账户8.3.6

创建本地用户账户下一页返回第8章使用和管理WINDOWS2000活动目录8.3.1用户账户的类型WindowsServer2003支持的用户账户分为两种类型：（1）域用户账户（2）本地用户账户下一页第8章使用和管理WINDOWS2000活动目录（1）域用户账户

域用户账户建立在域控制器的ActiveDirectory数据库内。用户可以利用域用户账户来登录域，并访问网络上的资源。当用户利用域用户账户登录时，由域控制器来检查所输入的账户与密码是否正确。将用户账户建立在某台域控制器内后，该账户数据会被自动复制到同一个域内的其他所有域控制器中。因此，当该用户登录时，此域内的所有域控制器都可以负责审核。返回下一页第8章使用和管理WINDOWS2000活动目录（2）本地用户账户

本地用户账户建立在WindowsServer2003独立服务器、WindowsServer2003/Windows2000成员服务器或WindowsXP计算机的本地安全数据库内，而不是域控制器内。用户可以利用本地用户账户来登录此计算机，但是只能够访问该计算机内的资源，无法访问域结构网络上的资源。返回第8章使用和管理WINDOWS2000活动目录（2）本地用户账户

在此建议用户最好不要在WindowsServer2003成员服务器或已加入域的Windows系统计算机内建立本地用户账户，因为无法通过域内其他任何一台计算机来使用这些账户、设置这些账户的权限。这些账户无法访问域上的资源，同时域系统管理员也无法管理这些本地用户账户。因此，在域结构的网络中，最好使用域用户账户。下一页返回第8章使用和管理WINDOWS2000活动目录8.3.2内置的用户账户

当WindowsServer2003安装完毕后，将自动建立一些内置的账户，常见的账户是：（1）Administrator（系统管理员）（2）Guest（客户）（3）IUSR_（计算机名）（Internet来宾账户）（4）IWAM_（计算机名）（启动IIS进程账户）下一页返回第8章使用和管理WINDOWS2000活动目录（1）Administrator（系统管理员）Administrator拥有最高的权限，可以用它来管理计算机与域内的设置，例如建立、更改、删除用户与组账户、设置安全策略、设置用户账户的权限等。如果从安全角度的考虑，不想让他人知道该账户的名称，可以将其改名，但是无法将其删除。返回下一页第8章使用和管理WINDOWS2000活动目录（2）Guest（客户）Guest是供临时用户使用的账户，例如提供给偶尔需要登录或者仅登录一次的用户使用。这个账户只有基本权限。可以更改此账户的名称，但是无法将这个账户删除。该账户默认是禁用的，若要使用，请将其启用。下一页返回第8章使用和管理WINDOWS2000活动目录（3）IUSR_（计算机名）

匿名访问Internet信息服务的内置账户，是访问WWW服务器的账户。下一页返回（4）IWAM_（计算机名）这是安装IIS时系统自动建立的一个内置账号，主要用于启动进程外应用程序的Internet信息服务。第8章使用和管理WINDOWS2000活动目录返回第8章使用和管理WINDOWS2000活动目录8.3.2内置的用户账户

并非所有的用户都具备权限来管理账户，由于目前只有系统管理员才具有添加、更改、删除等管理账户的权限，因此必须先利用Administrator账户登录。下一页返回第8章使用和管理WINDOWS2000活动目录8.3.3建立域用户账户

在每个用户账户添加完成后，ActiveDirectory都会为其建立一个惟一的安全识别码（SID），Windows2000系统内部利用这个SID来代表该用户，有关的权限设置等都是对SID来设置的，而不是对账户名称。

SID不会被重复使用，即使将某个账户删除后，再添加一个相同名称的账户，它也不会拥有原来该账户的权限，因为它们的SID不同，对Win2000系统而言，是不同的账户。返回第8章使用和管理WINDOWS2000活动目录8.3.3建立域用户账户

在建立用户账户时，可以选择一个组织单位，以便将用户账户建立到该组织单位内。可以将账户建立在内置的Users组织单位或其他自行创建的组织单位内。其步骤如下：（1）打开“ActiveDirectory用户和计算机”窗口，双击域名（）→然后右击“syzx”组织单位，再从弹出的快捷菜单中选择“新建”→“用户”命令。当出现如图8-24所示的窗口时，进行以下设置：返回第8章使用和管理WINDOWS2000活动目录l

“姓”与“名”：l

“姓名”：l

“用户登录名”：l

“用户登录名（Win2000以前版本）”：8.3.3建立域用户账户返回第8章使用和管理WINDOWS2000活动目录l

“姓”与“名”：l

“姓名”：l

“用户登录名”：l

“用户登录名（Win2000以前版本）”：8.3.3建立域用户账户

至少在这两个文本框之一输入信息。

返回第8章使用和管理WINDOWS2000活动目录l

“姓”与“名”：l

“姓名”：l

“用户登录名”：l

“用户登录名（Win2000以前版本）”：8.3.3建立域用户账户

用户的全名，默认就是前面的姓与名两者的组合。返回第8章使用和管理WINDOWS2000活动目录l

“姓”与“名”：l

“姓名”：l

“用户登录名”：l

“用户登录名（Win2000以前版本）”：8.3.3建立域用户账户

这是用户用来登录域所使用的名称。在ActiveDirectory内，这个名称必须是惟一的。返回第8章使用和管理WINDOWS2000活动目录l

“姓”与“名”：l

“姓名”：l

“用户登录名”：l

“用户登录名（Win2000以前版本）”：8.3.3建立域用户账户

这个名称可以被Windows2000以前版本的用户使用，如被WindowsNT/98等用户使用。返回第8章使用和管理WINDOWS2000活动目录8.3.3建立域用户账户（2）单击“下一步”按钮，将出现图8-25所示的对话框，设置如下：l

“密码”与“确认密码”：“用户下次登录时须更改密码”：

“用户不能更改密码”：l

“密码永不过期”：l

“账户已停用”：返回第8章使用和管理WINDOWS2000活动目录8.3.3建立域用户账户l

“密码”与“确认密码”：“用户下次登录时须更改密码”：

“用户不能更改密码”：l

“密码永不过期”：l

“账户已停用”：

在“密码”与“确认密码”框中输入密码。为了避免在输入时被他人看到密码，因此框中的密码只会以星号（*）显示。密码最多为128个字符。密码的大小写是有区别的，例如abc与ABC是不同的密码。返回第8章使用和管理WINDOWS2000活动目录8.3.3建立域用户账户l

“密码”与“确认密码”：“用户下次登录时须更改密码”：

“用户不能更改密码”：l

“密码永不过期”：l

“账户已停用”：

强迫用户在下次登录时必须更改密码。该项设置可以确保只有该用户知道此密码，提高用户账户的安全性。返回第8章使用和管理WINDOWS2000活动目录8.3.3建立域用户账户l

“密码”与“确认密码”：“用户下次登录时须更改密码”：

“用户不能更改密码”：l

“密码永不过期”：l

“账户已停用”：

它可防止用户更改密码，如果多人共享一个账户时（例如guest），则选择此复选框，避免发生被某个用户更改密码后，造成其他用户都无法登录的情况。返回第8章使用和管理WINDOWS2000活动目录8.3.3建立域用户账户l

“密码”与“确认密码”：“用户下次登录时须更改密码”：

“用户不能更改密码”：l

“密码永不过期”：l

“账户已停用”：

若选择此复选框，则系统永远不会要求该用户更改密码，即使在“账户策略”的“密码最长存留期”中设置了所有用户必须定期更改密码，系统也不会要求该用户更改密码。若同时选择了“用户下次登录时须更改密码”与“密码永不过期”复选框，则以“密码永不过期”有效。返回第8章使用和管理WINDOWS2000活动目录8.3.3建立域用户账户l

“密码”与“确认密码”：“用户下次登录时须更改密码”：

“用户不能更改密码”：l

“密码永不过期”：l

“账户已停用”：

禁止用户利用此账户登录，例如，对于某个请长假的员工的账户，可以利用此选项暂时将该账户停用。返回第8章使用和管理WINDOWS2000活动目录8.3.3建立域用户账户（3）单击“下一步”按钮后，提示用户账户的信息。最后单击“完成”按钮，完成用户账户的创建。所有新建的域用户账户，都可以被用来在网络上从加入域的计算机上登录，却无法直接在域控制器上登录，除非被赋予“本地登录”的权利。下一页返回第8章使用和管理WINDOWS2000活动目录8.3.4域用户账户的属性设置

每个域用户账户都有一些相关的属性可供设置，要设置用户账户的属性，依次通过“选择该用户”→“单击鼠标右键”→“属性”的途径，打开如图8-26所示的“属性”对话框。以下只说明部分的选项，其余的选项将在以后相关的章节介绍。1．用户个人信息的设置2．账户信息的设置下一页返回第8章使用和管理WINDOWS2000活动目录1．用户个人信息的设置

用户个人信息是指姓名、地址、电话、传真、移动电话、公司、部门、职称、电子邮件、Web页等。有如下几个选项卡：常规、地址、电话、单位。返回下一页第8章使用和管理WINDOWS2000活动目录2．账户信息的设置

选择“账户”选项卡，如图8-27所示。有一部分账户信息的设置，在添加用户账户时就已经说明过了，在这里仅介绍如下设置。（1）账户过期（2）登录时间（3）限制用户只能够从某些工作站登录下一页返回第8章使用和管理WINDOWS2000活动目录（1）账户过期

设置账户的有效期限。默认为账户永不过期，也可以选择“在这之后”单选框，并确定账户过期的时间。返回下一页第8章使用和管理WINDOWS2000活动目录（2）登录时间

“登录时间”按钮用来设置允许用户登录到域的时段，默认为用户可以在任何时段登录域。设置时，请单击图8-27中的“登录时间”按钮，将出现如图8-28所示的对话框。返回第8章使用和管理WINDOWS2000活动目录（2）登录时间

图中横轴每一方块代表一个小时，纵轴每一方块代表一天，填充的方块表示允许该用户登录的时段，空白的方块代表该时段不允许此用户登录。选择要设置的时段，若单击“允许登录”单选框，设置允许用户在该时段内登录；若单击“拒绝登录”单选框，设置不允许用户在该时段内登录。完成用户登录时段的设置。下一页返回第8章使用和管理WINDOWS2000活动目录（3）限制用户只能够从某些工作站登录“登录到”按钮，用来设置允许用户登录到域的计算机，系统默认为用户可从任何一台计算机登录域，也可以限制用户只能从某几台计算机登录域。设置时，请单击“登录到”按钮，出现右图对话框。

下一页返回第8章使用和管理WINDOWS2000活动目录8.3.5管理域用户账户

打开“ActiveDirectory用户和计算机”窗口，选定用户账户并单击鼠标右键，打开如图8-30所示的快捷菜单，然后选择相应的命令来管理域用户账户。（1）复制。

（2）停用账户/启用账户。

（3）重命名。

（4）删除账户。

（5）重设密码。

（6）解除被锁定的账户。

返回第8章使用和管理WINDOWS2000活动目录8.3.5管理域用户账户（1）复制。

（2）停用账户/启用账户。

（3）重命名。

（4）删除账户。

（5）重设密码。

（6）解除被锁定的账户。

可以复制具有相同属性的账户。

返回第8章使用和管理WINDOWS2000活动目录8.3.5管理域用户账户（1）复制。

（2）停用账户/启用账户。

（3）重命名。

（4）删除账户。

（5）重设密码。

（6）解除被锁定的账户。

若账户在某一段时间内不使用，则可以将其停用；待需要使用时，再将其重新启用。图8-29中所看到的是“停用账户”的命令，如果该账户已被停用，则此处的命令会变为“启用账户”。

返回第8章使用和管理WINDOWS2000活动目录8.3.5管理域用户账户（1）复制。

（2）停用账户/启用账户。

（3）重命名。

（4）删除账户。

（5）重设密码。

（6）解除被锁定的账户。

可以将用户账户重命名，由于其安全识别码（SID）并没有改变，因此该账户的属性、权限设置与组关系都不会受到影响。

返回第8章使用和管理WINDOWS2000活动目录8.3.5管理域用户账户（1）复制。

（2）停用账户/启用账户。

（3）重命名。

（4）删除账户。

（5）重设密码。

（6）解除被锁定的账户。

可以将不再使用的账户删除，以免占用ActiveDirectory的空间。将账户删除后，即使再添加一个相同名称的账户，这个新账户也不会继承原账户的属性、权限、设置与组关系，因其具有不同的SID。

返回第8章使用和管理WINDOWS2000活动目录8.3.5管理域用户账户（1）复制。

（2）停用账户/启用账户。

（3）重命名。

（4）删除账户。

（5）重设密码。

（6）解除被锁定的账户。

当用户遗失密码或密码过期时，可以利用此命令重新替用户设置密码。返回第8章使用和管理WINDOWS2000活动目录8.3.5管理域用户账户（1）复制。

（2）停用账户/启用账户。

（3）重命名。

（4）删除账户。

（5）重设密码。

（6）解除被锁定的账户。

在账户策略中可以设置用户输入密码失败多次时，将该账户锁定。若用户账户被锁定，可以在属性对话框中将“账户被锁定”的复选框清除即可。

下一页返回第8章使用和管理WINDOWS2000活动目录8.3.6创建本地用户账户

创建本地用户账户可以依次通过“开始”→“设置”→“控制面板”→“管理工具”→“计算机管理”→“系统工具”→“本地用户和组”→“用户”，然后单击鼠标右键，并从弹出的快捷菜单中选择“新用户”的途径来完成，其属性的设置类似于域用户账户的设置。下一页返回第8章使用和管理WINDOWS2000活动目录8.4组的建立8.4.1

组的类型8.4.2

组的作用域8.4.3

域组的管理8.4.4

本地组的创建8.4.5

内置的组下一页返回第8章使用和管理WINDOWS2000活动目录8.4.1组的类型WindowsServer2003所支持的组分为两种类型。1．安全组2．通讯组下一页返回第8章使用和管理WINDOWS2000活动目录1．安全组

安全组可以用来设置权限，简化网络的维护和管理。例如，可以设置某个安全组对一些文件具备“读取”的权限。安全组也可以用在与安全无关的任务上，例如，将电子邮件发送给某个安全组。下一页返回第8章使用和管理WINDOWS2000活动目录2．通讯组

通讯组只能用在与安全无关的任务上，例如，可以将电子邮件发送给某个通讯组。通讯组不能用于权限的设置与管理。下一页返回第8章使用和管理WINDOWS2000活动目录8.4.2组的作用域

每个安全组和分布式组均具有作用域，在Windows域内，有三类不同的作用域。1．全局组2．本地域组3．通用组下一页返回第8章使用和管理WINDOWS2000活动目录1．全局组

全局组主要用来组织用户，可以将多个权限相似的用户账户加入到同一个全局组内。全局组的特点如下：l

全局组内的成员，只能够包含该组所属的域内的用户账户与全局组。也就是说，只能够将同一个域内的用户账户与其他全局组加入到全局组内。l

全局组可以访问任何一个域内的资源。也就是说，可以在任何一个域内设置某个全局组的使用权限，以便让此全局组具备权限来访问该域内的资源。下一页返回第8章使用和管理WINDOWS2000活动目录2．本地域组

本地域组主要用来指派其所属域内的访问权限，以便可以访问该域内的资源。本地域组的特点如下：l

本地域组内的成员，能够包含任何一个域内的用户账户、通用组、全局组。它也能够包含同一个域内的本地域组，但是无法包含其他域内的本地域组。l

本地域组只能够访问本域内的资源，无法访问其他不同域内的资源。换句话说，在设置本地域组的权限时，只可以设置本域内资源的权限，但是无法设置其他不同域内资源的权限。下一页返回第8章使用和管理WINDOWS2000活动目录3．通用组

通用组主要用来指派在所有域内的访问权限，以便可以访问每一个域内的资源。通用组的特点如下：l

通用组内的成员，能够包含任何一个域内的用户账户、通用组、全局组。但是它无法包含任何一个域内的本地域组。l

通用组可以访问任何一个域内的资源。也就是说，可以在任何一个域内设置通用组的权限，以便让此通用组具备权限来访问该域内的资源。下一页返回第8章使用和管理WINDOWS2000活动目录8.4.3域组的管理

打开“ActiveDirectory用户和计算机”窗口，添加、删除与管理域组。1．域组的添加、删除与更名2．添加域组的成员下一页返回第8章使用和管理WINDOWS2000活动目录1．域组的添加、删除与更名添加域组的步骤如下：（1）在“ActiveDirectory用户和计算机”窗口中选择域名或某个组织单位，单击鼠标右键，从弹出的快捷菜单中依次选择“新建”→“组”命令，打开如图8-31所示的对话框。

返回第8章使用和管理WINDOWS2000活动目录1．域组的添加、删除与更名（2）在“组名”文本框中输入域组的名称，在“组名（Windows2000以前版本）”文本框中输入供旧版操作系统访问的组名。（3）在“组作用域”单选组框中选择组的作用域：“本地域”、“全局”或“通用”。（4）在“组类型”单选组框中选择组的类型：“安全式”或“分布式”。（5）单击“确定”按钮，完成域组的创建。返回第8章使用和管理WINDOWS2000活动目录1．域组的添加、删除与更名

每个组账户添加完成后，系统都会为其建立一个惟一的安全识别码（SID），在Windows2000系统内部是利用这个SID来表示该组，有关权限的设置等都是对SID来设置的。可以先选择域组账户，单击鼠标右键，并从弹出的快捷菜单中选择“重命名”命令，更改域组账户名。由于更改名称后，在Windows2000内部的安全识别码（SID）并没有改变，因此该域组账户的属性、权限等设置都不变。返回第8章使用和管理WINDOWS2000活动目录1．域组的添加、删除与更名