Windows网络操作系统管理形考作业及参考答案

国家开放大学Windows网络操作系统管理形考作业及

参考答案

形考作业（一）管理活动目录域服务实训

实训目标：

理解域的特点，掌握创建域、管理域以及管理组织单位的方法与步骤；理解域用户账户与

组账户的特点、用途，掌握管理域用户账户与组账户的方法与步骤。

实训环境：版权所有：超越高度

6台WindowsServer2008R2企业版计算机。

实训内容：

假设你是一家公司的网络管理员，负责管理公司的网络。公司希望创建域来管理网络。

为此，需要你执行以下工作：

①按照下图1,创建域森林。

三个部门分别建立组织单位，并把每个部门的10台计算机加入到各自的组织单位中。

③在域bj.test,com中，为公司员工创建域用户账户，并设置域用户账户的个人信息。

④对某些用户（例如：临时工），设置这些域用户账户的登录时间以及限制登录地点。

⑤如果一个用户（如：John）由于生病而在一段时间内无法上班，请禁用他的域用户

账户。

⑥如果一个用户忘记了自己的账户密码，为其重设账户密码。

⑦一个用户辞职后离开了公司，请删除该用户的用户账户。

⑧创建组账户，并把一系列的用户账户加入到这个组账户中。

提示：本实训需要搭建五台域控制器，如果学员实训中无法在计算机上运行这么多虚拟机,

本实训可以化简为仅搭建、、stu.net三台域控制器。内容②中对

sh.test.com的操作改为对bj.test.com的操作。

一、创建森林域

①在此计算机上安装WindowsServer2008R2企业版。将此计算机的名称设置为dc3,当

它升级为域控制器后会自动改名为dc3.bj.test.come此计算机的IP地址和DNS服务器地

址等信息按照图2所示进行配置。

②以该计算机的本机管理员身份登录，然后使用以下两种方式之一安装活动目录。•单击屏

幕左下角的“服务器管理器”图标，然后请转到步骤03。・单击【开始】一【运行】，输

入“dcpromo.exe”后，单击【确定】图标。此时它会自动执行步骤03〜步骤所以请转

到步骤Oil。

③在“服务器管理器”中，单击左侧的“角色”，然后单击右边的“添加角色”。

④在“开始之前”窗口中，单击【下一步】按钮。

⑤在“选择服务器角色”窗口中，选中【ActiveDirectory域服务】，然后在弹出的“是否

添加ActiveDirectory域服务所需的功能”窗口中，单击【添加必需的功能】，最后

单击【下一步】按钮。

⑥

在活动目录安装窗口中，单击【下一步】按钮。

⑦

⑧在"ActiveDirectory域服务简介”窗口中，单击【下一步】按钮。

⑨在“确认安装选择”窗口中，单击【安装】按钮。

⑩在“安装结果”窗口中，单击【关闭】按钮。

单击【关闭该向导并启动ActiveDirectory域服务安装向导(dcpromo.exe)]

⑪在“欢迎使用ActiveDirectory域服务安装向导”窗口中，单击【下一步】按钮。

⑫在“操作系统兼容性”窗口中，单击【下一步】按钮。

⑬如图2所示，因为是在一个已有森林中新创建子域，所以选中【现有林】和【在现有林

中新建域】，然后单击【下一步】按钮。

图2

⑭如图3所示，在“键入位于计划安装此域控制器的林中任何域的名称”处输入森林根域的名

称,即“test,com"。如果当前用户有权添加子域（例如：EnterpriseAdmins组成员），则直

接单击【下一步】按钮。如果当前用户无此权限，则需要选中【备用凭据】一【设置】，然后输

入一个有权添加子域的用户账户名称和密码，再单击【下一步】按钮。此时，由于我们使用本机

管理员账户登录，因此需要输入EnterpriseAdmins组成员（即：test,com域管理员账户）

的名称和密码作为备用凭据。提示：在图3-70中输入森林中任何一个域名都可以，安装向导

只是使用它来取得这个森林的信息。只有EnterpriseAdmins组成员有权建立子域，默认时森

林根域的域管理员是EnterpriseAdmins组的成员。

图3

⑮在图4所示窗口中，输入父域的名称（即：）,再输入该子域的名称（即：bj）,

这样，该子域的全名为“”。然后，单击【下一步】按钮。

⑯如图6所示，在“设置域功能级别”窗口中，保留默认的域功能级别，即：WindowsServer

2003”。以后，可以手动提升。然后，单击【下一步】按钮。

图6

©在“请选择一个站点”窗口中选择此域控制器所在的站点，目前这里只有一个默认的站点

“Default-First-Site-Name”,请直接单击【下一步】按钮。

⑱在“其他域控制器选项”窗口中，选择此域控制器是否还承担DNS服务器、全局编录服务

器、只读域控制器的角色。在这里，我们可以清除所有选项，如图8所示。然后，单击【下一步】

按钮。

(flActiTcDirectory性％炎安装向导

其他域控制者迭项

为此域控制器选择其他选项。

厂DHS服务罟S)

r全局编录©)

「只读慢控制翳CRODGOO

其他僮患S):

讪域中的第一个域控制器不能是RODC。3

当前没有注册为该域的权威名称服务器的DHS愿务器。

有关更蛔控1整迭项的详细信息

:上一步8)|下一步3)>1取消I

图8

@在弹出的提示安装DNS服务的窗口中，单击【是】按钮。在这里，我们不需要在此域控制

器上维护DNS服务，而是由森林根域的DNS服务器(del.test,com)来维护该子域的所有计

算机信息。为此，该子域的所有计算机(包括：域控制器)都要被配置为DNS服务器

“del.test,com”的DNS客户机。

⑳在如图9所示窗口中，可以指定数据库文件夹、日志文件文件夹和SYSVOL文件的位置，

在这里可保留默认值。然后，单击【下一步】按钮。

1ActiveDirectory域服务安装向导凶

数据库、日志文件和STSTOL的位走

指定将包含ActiveDirectory域控制器数据库、曰志文件和SYSVDL的

支徉夹。

为获得更好的性能和可恢复性，清将数据库和日志文件存储在不同的卷上。

数据库文件夹8）：

p:\Windows\HTDS浏览00...1

日志文件文件夹&）：

C:\Windows\NTDS浏览9）二.|

SYSYOL文件夹6）：

|c：\Windows\SYSVOL浏览靠）

有美■前罟ActiveDirectoryt或服郭文件的注细信息

（上一步8）|下一步QD>|取消|

图9

㉑在如图10所示窗口中，设置“目录服务还原模式的Administrator密码”，然后单击【下

一步】按钮。此密码在安全模式下修复活动目录时使用。

图10

㉒在“摘要”窗口中，单击【下一步】按钮。

㉓如图11所示，在此计算机上会安装活动目录，完成后请重新启动计算机。至此，森林根域

下面的子域bj.test.com创建完毕。这也意味着创建了一棵多域的域树。

图11

㉔为了检验这台域控制器是否已到DNS服务器那里成功注册了自己的信息，请在第一台域

控制器del.test,com上打开DNS管理工具进行查看，如图12所示。

图12

二、创建森林的第二棵域树

1'在DNS服务器上创建第二棵域树的DNS区域

在创建第二棵域树之前，需要考虑DNS设置问题。为了简化问题，在这里我们让森林根

域test,com中的DNS服务器del.test,com既维护第一棵域树的信息又维护第二棵域树的信

息。为此，一方面需要在DNS服务器del.test,com上创建名为"stu.net”的DNS区域；另

一方面还要把第二棵域树中所有域的所有计算机的DNS服务器地址均指向计算机

del.test.com的IP地址，以便它们自动向其注册自己的信息。

在DNS服务器del.test,com上创建“stu.net”区域的具体步骤为:

以域管理员的身份，在桌面上单击【开始】一【管理工具】一[DNS],在如图13

所示窗口中，右击【正向查找区域】一【新建区域】•

③在“欢迎使用新建区域向导”窗口中，单击【下一步】按钮。

④在如图14所示窗口中，选中【主要区域】，同时选中【在ActiveDirectory中

存储区域（只有DNS服务器是可写域控制器时才可用）】。

⑤在如图14所示窗口中，保留默认选项即可，然后单击【下一步】按钮。

⑥如图15所示，在【区域名称】处输入第二棵域树的域名“stu.net”。然后，单

击【下一步】按钮。

⑦在如图16所示窗口中，保留默认选项即可。然后，单击【下一步】按钮。

⑧在“正在完成新建区域向导”窗口中，单击【完成】按钮。则在DNS控制台中，

能够看到该区域，如图17所示。至此，在DNS服务器上创建了一个名为“stu.net”

的DNS区域。以后，第二棵域树的计算机将会把自己的信息自动注册到该DNS区域中。

新建区域向导凶

动态更新

您可以指定这个DNS区域接受安全、不安全或等动态的更新。

动

圈新I

DMS客户端计算机在街次发生更改时，用DMS服务署注册并动宓更

诃

记

清选择您想允许的动态更赫类型：

田只允许安全的动态更新储台ActivtDirtctory使用)(5)

ActiveDirectory隽成的区域才有此选项。

「允许丰安全和安全动态更新”)

任何客户接受资源记录的动态更撤。

,因为可以接受来自车信任源的更新，此选项是一个较大的安全弱点。

C不允许动态更新S)

此区域不按受奥海记录的动杰更新。您必须手动更淡这些记录。

(上一步。)|下一步。)>1取消

图13新建区域

新建区域向导

动态更新

您可以指定这个DNS区域接受安全、不安全或非动态的更新。

新

动S1

DNS客户端计算机在每次发生更改时，用DNS服务器注册并动态更

新

记

请选择您想允许的动态更新类型:

6只允许安全的动态更新谴合ActiveDirectory使用)6)

ActiveDirectory集成的区域才有此选项。

「允许非安全和安全动态更新3)

任何客户接受奥源记录的动态更新。

,因为可以接受来自非信任源的更新，此选项是一个较大的安全弱点。

C不允许动态更新(D)

此区域不接受资源记录的动态更新。您必须手动更新这些记录。

〈上一步①)|下一步QD>|取消

图14创建主要区域

图15新建区域

新建区域向导凶

动态更新

您可以指定这个DNS区域接受安全、不安全或非动态的更新。

底

簟

动i

DNS客户端计算机在每次发生更改时，用DNS服务器注册并动态更

BK

请选择您想允许的动态更新类型:

6只允许安全的动态更新谴合ActiveDirectory使用)6)

ActiveDirectory集成的区域才有此选项。

「允许非安全和安全动态更新3)

任何客户接受奥源记录的动态更新。

,因为可以接受来自非信任源的更新，此选项是一个较大的安全弱点。

c不允许动态更新CD)

此区域不接受资源记录的动态更新。您必须手动更新这些记录。

〈上一步(B)|下一步QD>|取消

图16设置动态更新

图17查看DNS区域

2、创建第二棵域树

①在图1中IP地址为192.168.10.31的计算机上安装WindowsServer2008R2企业

版。将此计算机的名称设置为dc5,当它升级为域控制器后会自动改名为。此

计算机的IP地址和DNS服务器地址等信息按照图1所示进行配置。

②以该计算机的本机管理员身份登录，然后使用以下两种方式之一安装活动目录。

•单击屏幕左下角的“服务器管理器”图标，然后请转到步骤③。

•单击【开始】一【运行】，输入“dcpromo.exe”后，单击【确定】图标。此时它会

自动执行步骤③〜步骤⑩，所以请转到步骤⑪。

③在“服务器管理器”中，单击左侧的“角色”，然后单击右边的“添加角色”。

④在“开始之前”窗口中，单击【下一步】按钮。

⑤在“选择服务器角色”窗口中，选中【ActiveDirectory域服务】，然后在弹出的

“是否添加ActiveDirectory域服务所需的功能”窗口中，单击【添加必需的功能】，最

后单击【下一步】按钮。

⑥在活动目录安装窗口中，单击【下一步】按钮。

⑦在“ActiveDirectory域服务简介”窗口中，单击【下一步】按钮。

⑧在“确认安装选择”窗口中，单击【安装】按钮。

⑨在“安装结果”窗口中，单击【关闭】按钮。

⑨单击【关闭该向导并启动ActiveDirectory域服务安装向导(dcpromo.exe)]

⑪在“欢迎使用ActiveDirectory域服务安装向导”窗口中，选中【使用高级模式

安装】，如图18所示。然后，单击【下一步】按钮。

⑫在“操作系统兼容性”窗口中，单击【下一步】按钮。

⑬如图19所示，因为是在一个已有森林中创建新域树，所以同时选中【现有林】、

【在现有林中新建域】和【新建域树根而不是新子域】，然后单击【下一步】按钮。

图18使用高级模式安装

图19创建新域树

⑭如图20所示，在“键入位于计划安装此域控制器的林中任何域的名称”处输入森林

根域的名称,即“test,com”o如果当前用户有权添加子域（例如：EnterpriseAdmins组

成员），则直接单击【下一步】按钮。如果当前用户无此权限，则需要选中【备用凭据】

-【设置】，然后输入一个有权添加子域的用户账户名称和密码，再单击【下一步】按钮。

此时，由于我们使用本机管理员账户登录，因此需要输入EnterpriseAdmins组成员（BP：

test.com域管理员账户）的名称和密码作为备用凭据。

⑮在图21所示窗口中，输入新域树的名称，即：。这意味着，该域树的树根

域名称也为“”。然后，单击【下一步】按钮。

QlActiveDirectory域胫务安装向导2<J

网络凭据

脑舞其上执行安装的林的名称，以及具有执行安装所需的足够板限的

键入位于计划安装此域控制器的林中任何域的名称CT)：

|test.com

清指定用于执行安装的帐户凭据：

C我的当前登录凭据SC5\.Administrator)(C)

.同为当前用户凭据是该计算机的本地凭据，所以无法选择。需要一组域凭

据。

%备用凭据S)：

|test\administrator设罟6)…|

有关谁可以安装ActiveDirectoryt或服务的详细信息

〈上一步8”下一步00>1取消

图20输入域名称

图21输入域名称

⑯在如图22—-图23所示窗口中输入域的NetBIOS名称，旧版本Windows操作系统会

使用这个名称来访问该域。在这里，保留默认值，即：stu。然后，单击【下一步】按钮。

QHActiveDirectory域fig务安装向导

域NetBIOS名称

这是Windows早期版本的用户用于标识新域的名称。

音霹霜就懿酎搦券防娥已邮了高级模式或此向导

接受向导生成的名称，或者键入新名称，然后单击“下一步”。

域NetBIOS名称S):回

<上一步下一步00>|取消|

图22输入域的NetBIOS名称

图23选择源控制器

@在“设置域功能级别”窗口中，保留默认的域功能级别，即：WindowsServer2003”。以

后，可以手动提升。然后，单击【下一步】按钮。

⑱在“请选择一个站点”窗口中选择此域控制器所在的站点，目前这里只有一个默认的

站点“Default-First-Site-Name”,请直接单击【下一步】按钮。

@在“其他域控制器选项”窗口中，选择此域控制器是否还承担DNS服务器、全局编录

服务器、只读域控制器的角色。在这里，我们可以清除所有选项。然后，单击【下一步】按钮。

⑳在“源域控制器”窗口中，可以设置此域控制器从哪台域控制器那里复制活动目录数

据库。在这里，可以保留默认值，即：“让向导选择一个合适的域控制器”，如图24所示。

然后，单击【下一步】按钮。

㉑在弹出的窗口中，可以指定数据库文件夹、日志文件文件夹和SYSVOL文件的位置，

在这里可保留默认值。然后，单击【下一步】按钮。

㉒在弹出的窗口中，设置“目录服务还原模式的Administrator密码”，然后单击【下

一步】按钮。此密码在安全模式下修复活动目录时使用.

㉓此时，在该计算机上会安装活动目录，完成后请重新启动计算机。至此，森林根域

下面的第二棵域树stu.net创建完毕。

㉔为了检验这台域控制器是否已到DNS服务器那里成功注册了自己的信息，请在第一

台域控制器del.test.com上打开DNS管理工具进行查看，如图24所示。

图24查看DNS设置

三、创建域用户账户

①单击【开始】一【管理工具】一【ActiveDirectory用户和计算机】。

②在如图25所示窗口中，在域test.com中，右击【Users】，单击【新建】f【用户】。

|・ActiveDirectory用户和计算机-laixi

文件a)»ff(A)X*wWttOO

*，川4□X、・QI“.▼二&

二ActinDir«et«ry用PKh*MU：3

用

•.保存的或调5Adbiiiustr管理计It机收）的内盘

安

：£力testco*电ADBMR允森将£随申成员的击

安

旨,Builtm电C«MNH此组第成员穗允许发布

安

S..Cc»put«r«■De“dK)不允许将士网中成员的

安

EB忆DoatinCeatr»ll*rtS^DICP4*D«p筮穷境育管攫

&For«icnStcxirityfrin«i;安

电DKTVt«ri落DMCF螺否］隔R读

安

3K«c*«<«4S«rv>c«Accvur本

^DnsAdainsDXSAdaimstratort姐

ff;二Sjl«安

电Dn*UpdeS元在.律他专户版如

安

潮

DMamAd格定的城"慢员

委瀛拄制度)(安

加入到撼中的所育工作

D<«k>nCo需

p安

置找on

,D«eainCo域中斫,，曳*＞咫

ifitor)］计算机器收的所育柒客

所有任务00所科域用户

器企社的脸系统♦曜员

94（v）>«该姐的成员是企立中的

IiMtOr(F«rs«a

瞿这个蛆中的成员可以依

*tI»»«iDC*PSFi

角东百访i科黛机或访

导出列表g0Q队列别名本

HWl这个纲中的“费君可以

IBiaj器

用户此殂中的成员是域中只.

鬻-a）然覃文件宾架刖院第挨管理员」

用P

33rl0

・II21m

时it一个41对象

图25新建用户

图26新建用户的对话框

③在如图26所示的对话框中，执行以下设置：

•姓与名：至少在这两个文本框中的一个输入文本信息。

•姓名：用户的完整名称，默认时为姓与名的组合。

•用户登录名：这种格式的账户名称又被称为“用户主体名称"（UserPrincipalName,简

称UPN）,其格式与电子邮箱名的格式相同，例如：john@。该名称在整个森林中必

须是唯一的。用户只能在域中的WindowsServer2008R2、WindowsServer2008Windows

Server2003、WindowsXP>Windows2000等计算机上使用这个名称登录到域，在Windows2000

以前的旧版本Windows计算机（例如：WindowsNT）上则不能使用。

・用户登录名（Windows2000以前版本）：用户在域中的WindowsNT计算机上只能

使用这个名称登录到域。这个名称在域中必须是唯一的。此外，用户在域中的WindowsServer

2008R2、WindowsServer2008、WindowsServer2003、WindowsXP、Windows2000等计

算机上也可以使用这个名称登录到域。

然后，单击【下一步】按钮。

④在如图27所示的对话框中，里面的选项与2.3.3节“创建本地用户账户”相同。请

单击【下一步】按钮。

图27设置密码

■▲cti"用户和计茸机

文件G)掾作3)£*(*)柒助00

>，力即1VCbX口△W」13时a比入了二里

二ActiveDirectory用用0计算营名秫1类型1箱述▲

♦,保存的资调电Dg“n5安全组-全口««斫有来百

孑at«xt.co®沮D—snUitrs安全组-全J5所有强用户

>'Binitin电安全组-通用企北的指定系统置R

SCooiput«rs^EnUrpris安铝且・通用该组的成员是企11^

金二DoatinContrail«rsHGroWPol.安全组-全局这个组中的成员可g

♦PoreicnS«curit^nnc>(用户供东客访问计算机立

.<StrictAccow电MS5dI安全蛆-本这个组中的服务

♦-Sales^r<i-u»trl用户

Us«rs

^Rt«bonly安全姐-全局此组中的成员是场。

电Schs,Ad安全组-通用架佝的指定系统

$B.rl用户

gu“r2用户

王约输用户

1.

<112J±|________________________________________|±j

图28创建完成后的画面

⑤在弹出的窗口中，单击【完成】按钮。

⑥创建完成后，可以看到刚刚创建的域用户账户，如图28所示。

四、允许普通域用户账户在域控制器上登录到域

①以域管理员的身份单击【开始】一【管理工具】一【组策略管理】一展开【域】一

展开“域”一展开"DefaultDomainControllersPolicy”-右击【编辑】，如

图29所示。

接下来，在如图30所示窗口中，展开【计算机配置】一展开【策略】一Windows

设置一安全设置一本地策略一用户权限分配，双击“允许本地登录”。然后，在如图

31所示窗口中，单击【添加用户或组】按钮，将指定的普通域用户账户或组账户加

入到列表内。然后，单击【确定】按钮。

③在域控制器上运行命令"gpupdate”，使组策略生效。

现在，普通域用户账户即可在域控制器上登录到域了。

图29编辑策略

图30找到“允许本地登录”策略

图31编辑组策略

五、使用域用户账户登录到域

1.添加UPN后缀

在图31中可以看到，用户账户UPN的后半部分（即：后缀）默认是该账户所在域的域

名（例如：）o在某些情况下，用户可能希望拥有其它UPN后缀。例如：用户可能

希望把自己的UPN后缀改为“"，这样就与自己的电子邮箱账户同名了。为此，管

理员可以给用户添加UPN后缀。具体步骤为：单击【开始】一【管理工具】f[ActiveDirectory

域和信任关系】，右击“ActiveDirectory域和信任关系”一【属性】。在如图32所示窗

口中，输入UPN后缀，如：、sina.com等。接下来，管理员就可以为用户账户修改

UPN后缀了，如图33所示。

图32修改UPN后缀

图33修改UPN后缀

2.设置域用户账户的个人信息

在创建了域用户账户后，双击该账户可以打开它的属性对话框，如图34所示。在这里

可以设置用户的个人信息。

图34设置个人信息

3、限制域用户账户的登录时间

默认时，域用户账户可以在任何时间登录到域。如果希望限制用户的登录时间，那么可以

在如图35所示的用户账户属性对话框中单击【账户】选项卡。然后，单击【登录时间】

按钮，将会弹出如图36所示的对话框。在图中，横轴的每一个小方块代表一小时，纵轴的每

一个小方块代表一天；被填充的方块代表允许登录的时间段，空白的方块代表不允许登录的时间

段。管理员可以根据用户的需求，选中允许登录的时间段，然后单击【允许登录】即可。

王约9EE性JJ*J

确定|取消应用♦)|然助

图35设置登录时间

王约谕的登录时间2SJ

确定|

取消

G允许登录0)

C拒绝登录8)

图36选择登录时间

4.限制域用户账户只能从特定计算机上登录域

默认时域用户账户可以从域中的任何一台计算机（域控制器除外）上登录到域，但是管

理员也可以限制他们只能从特定的计算机上登录域。为此，可在如图37所示的用户账户的

属性对话框中单击【账户】选项卡，然后单击【登录到】按钮，将会弹出如图38所示的对

话框。在对话框中选中【下列计算机】，然后输入允许用户用来登录域的计算机的NetBIOS

名称，例如：pci、pc2,再单击【确定】按钮即可。

图37设置登录使用的计算机

图38添加可用于登录的计算机

5.禁用、启用域用户账户

如果某个员工在一段时间内无法上班，为了安全起见，可以先将他的用户账户禁用，等他上班

后再将其重新启用。为此，在【ActiveDirectory用户和计算机】中右击一个用户账户，如

图39所示。然后，在快捷菜单中选择【禁用账户】即可。如果一个用户账户被禁用了，那么

在该账户的图标上将会出现一个向下的箭头符号。如果希望启用一个被禁用的用户账户，则右

击该账户，然后在快捷菜单中选择【启用账户】即可。

6.重设域用户账户密码

如果用户忘记密码或者密码使用期限到期时，管理员可以为用户账户重新设置一个密码。为此,

在如图39所示的快捷菜单中选择【重设密码】即可。

7.重新命名域用户账户

当某个员工离职时，可以先将他使用的域用户账户禁用，等到新员工接替他的工作后，再将该

用户账户改名并且重新设置密码与个人信息。为此，在如图39所示的快捷菜单中选择【重命

名】，然后设置一个新的用户名称即可。

8.删除域用户账户

如果员工离职后不再使用这个用户账户时，则可以将其删除。为此，在如图39所示的

快捷菜单中选择【删除】即可。

BActiveDirectory用户和计算机,lD|x|

文件(?)操作(A)查看(V)帮助00

¥□X□向治1Q圈3皂受sy运鱼

,ActiveDirectory用户和计算用|类型▲

.<保存的查询王约愉P

E)jijtest,cow玄user2复制©...

a2]Builtin•,us«rl

aJComputersSchemaM架构的指定系统管E

DomainControllers

+-沮Read-on置密码此组中的成员是强q

ForeignSecurityPrincij•,r»s-use

ManagedServiceAccour这个组中的服芳器三

'jJRASand打开主页9)

Salts?♦Guest供来宾访问计算机.

'，Users发送由5件00

注GroupP这个组中的成员可g

J,Enterpr所有任务00该组的成员是企业。

电Enterpr企业的指定系统管

电Domain所有城用户

±1除S)

图39管理用户账户

六、域组账户概述

1.域组账户的类型

在WindowsServer2008R2域中，组账户分为两种类型：安全组和通讯组。其中,

•安全组：管理员可以为安全组分配权限和权利。因此，如果建立组的目的是为了使

其成员获得一定的权限或权利，那么应该创建安全组。

•通讯组：管理员不能为通讯组分配权限和权利。因此，通讯组主要用于与权限或权

利无关的场合。例如，管理员可以给通讯组发送电子邮件等。

2.域组账户的使用范围

对于安全组而言，还可以根据使用范围的不同，将其分为三种：全局组(GlobalGroup)、本

地域组(DomainLocalGroup)和通用组(UniversalGroup)。

(1)全局组

在全局组中，只能够包含所在域中的域用户账户和全局组。如果给全局组分配了权限或权利,

那么该组中的所有成员都将具有该组所拥有的权限或权利。止匕外，还可以把全局组加入到一个本

地域组中，成为该组的一个成员。这样，如果给这个本地域组分配了权限或权利，那么该组中的全

局组及其所有成员都将具有该本地域组所拥有的权限或权利。

(2)本地域组

在本地域组中，能够包含森林中任何域的域用户账户、全局组和本域的本地域组。如果给

本地域组分配了权限或权利，那么该组中的所有成员都将具有该组所拥有的权限或权利。

(3)通用组

在通用组中，能够包含森林中任何域的域用户账户、全局组、通用组，但是不能包含本地

域组。如果给通用域组分配了权限或权利，那么该组中的所有成员都将具有该组所拥有的权限或

权利。

3.内置的域组账户

在WindowsServer2008R2域中，已经包含了若干内置的本地域组、全局组和通用组。

这些内置的组账户已经被预先分配了一定的权限和权利。只要将用户账户加入这些组中，便会

拥有与这些组相同的权限和权利。因此，建议管理员在为用户账户分配权限或权利时，充分使用

这些内置组。

(1)内置的本地域组

以下列出比较常见的内置本地域组，它们位于