Active Directory 管理分步指南.docx
《Active Directory 管理分步指南.docx》由会员分享,可在线阅读,更多相关《Active Directory 管理分步指南.docx(29页珍藏版)》请在冰豆网上搜索。
ActiveDirectory管理分步指南
ActiveDirectory管理分步指南 - []
sqlsky 发表于 2005-12-31
本指南向您介绍如何管理WindowsServer2003ActiveDirectory服务和“ActiveDirectory用户和计算机”管理单元。
本页内容
简介
概述
使用“ActiveDirectory域和信任关系”管理单元
使用“ActiveDirectory用户和计算机”管理单元
其他资源
简介
逐步式指南
MicrosoftWindowsServer2003部署分步指南提供了许多关于常见的操作系统配置的实际操作经验。
本指南首先介绍通过以下过程来建立通用网络结构:
安装WindowsServer2003;配置ActiveDirectory;安装WindowsXPProfessional工作站并最后将此工作站添加到域中。
后续分步指南假定您已建立了此通用网络结构。
如果您不想遵循此通用网络结构,则在使用这些指南时需要进行适当的修改。
通用网络结构要求完成以下指南。
•
第一部分:
将WindowsServer2003安装为域控制器
•
第二部分:
安装WindowsXPProfessional工作站并将其连接到域上
在配置完通用网络结构后,就可以使用任何其他分步指南了。
注意,某些分步指南除需要有通用网络结构外,可能还需要满足额外的先决条件。
任何额外的要求都将列在特定的分步指南中。
MicrosoftVirtualPC
可以在物理实验室环境中或通过虚拟化技术(如MicrosoftVirtualPC2004或MicrosoftVirtualServer2005)来实施WindowsServer2003部署分步指南。
借助于虚拟机技术,客户可以同时在一台物理服务器上运行多个操作系统。
VirtualPC2004和VirtualServer2005就是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提高操作效率而设计的。
WindowsServer2003部署分步指南假定所有配置都是在物理实验室环境中完成的,但大多数配置不需修改就可以应用于虚拟环境。
这些分步指南中提供的概念在虚拟环境中的应用不在本文的讨论范围之内。
重要说明
此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点和事件纯属虚构,我们决无意影射,任何人也不应由此臆猜,任何真实的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。
此通用基础结构是为在专用网络上使用而设计的。
此通用基础结构中使用的虚拟公司名称和域名系统(DNS)名称并没有为在Internet上使用而进行注册。
您不应在公共网络或Internet上使用此名称。
此通用基础结构的ActiveDirectory服务结构用于说明“WindowsServer2003更改和配置管理”如何与ActiveDirectory配合使用。
不能将其作为任何组织进行ActiveDirectory配置时都可以使用的模型。
返回页首
概述
本指南向您介绍如何管理WindowsServer2003ActiveDirectory服务。
ActiveDirectory管理工具简化了目录服务管理。
您可以使用标准工具或Microsoft管理控制台(MMC),创建侧重于完成单项管理任务的自定义工具。
您可以将几个工具组合到一个控制台中。
您也可以为各个具有特定管理职责的管理员分配自定义工具。
您只能从能够访问域的计算机上使用ActiveDirectory管理工具。
“管理工具”菜单上提供了下列ActiveDirectory管理工具:
•
ActiveDirectory用户和计算机
•
ActiveDirectory域和信任关系
•
ActiveDirectory站点和服务
您也可以从一台不是域控制器的计算机上远程管理ActiveDirectory,例如一台运行WindowsXPProfessional的计算机。
为此,您必须安装WindowsServer2003管理工具包。
“ActiveDirectory架构”管理单元是一个用于管理架构的ActiveDirectory管理工具。
默认情况下,“管理工具”菜单上没有该管理单元,必须手动添加它。
高级管理员和网络支持专家可以使用很多命令行工具来配置和管理ActiveDirectory以及对其进行故障排除。
您也可以创建使用ActiveDirectoryServiceInterfaces(ADSI)的脚本。
操作系统安装媒体上提供了一些示例脚本。
先决条件
•
第一部分:
将WindowsServer2003安装为域控制器
•
第二部分:
安装WindowsXPProfessional工作站并将其连接到域上
•
安装其他域控制器的分步指南
指南要求
•
要执行本文中的过程,您必须以具有管理权限的用户身份登录。
•
如果您是在某个域控制器上进行操作,则可能无法安装“ActiveDirectory架构”管理单元。
要安装该管理单元,请执行以下操作:
•
在命令提示符下,键入
regsvr32schmmgmt.dll
现在,就可以在MMC内使用“ActiveDirectory架构”管理单元了。
•
在基于WindowsServer2003的独立服务器或WindowsXPProfessional工作站上,ActiveDirectory管理工具是可选的。
您可以从“控制面板”中的“添加/删除程序”安装这些工具(使用Windows组件向导),也可以从WindowsServer2003CD上的ADMINPAK进行安装。
返回页首
使用“ActiveDirectory域和信任关系”管理单元
“ActiveDirectory域和信任关系”管理单元为林中的所有域树提供一个图形视图。
使用此工具,管理员可以管理林中的每个域;管理域之间的信任关系;配置每个域的操作模式(纯模式或混合模式);并为林配置其他用户主体名称(UPN)后缀。
启动“ActiveDirectory域和信任关系”管理单元
要启动该管理单元,请按照以下步骤操作:
1.
在“HQ-CON-DC-01”上,单击“开始”按钮,指向“所有程序”,指向“管理工具”,然后单击“ActiveDirectory域和信任关系”。
此时将出现“ActiveDirectory域和信任关系”管理单元(如图1所示)。
图1.“ActiveDirectory域和信任关系”管理单元
用户主体名称(UPN)为用户登录到ActiveDirectory提供了易于使用的命名样式。
UPN的样式基于Internet标准RFC822,有时将其称为“邮件地址”。
默认UPN后缀是林DNS名称,它是林中第一个树中第一个域的DNS名称。
在本指南和本系列的其他分步指南中,默认UPN后缀是“”。
您可以添加其他的UPN后缀,这可以提高登录安全性。
您也可以为所有用户提供单一UPN后缀以简化用户登录名称。
UPN后缀仅在WindowsServer2003域中使用,而且不一定是有效的DNS域名。
要添加其他UPN后缀,请按照以下步骤操作:
1.
在左窗格上部选中并用右键单击“ActiveDirectory域和信任关系”,然后单击“属性”。
2.
在“其他UPN后缀”框中,输入您想用的任何其他UPN后缀,然后单击“添加”。
3.
单击“确定”关闭窗口。
更改域和林功能
WindowsServer2003ActiveDirectory中引入的域和林功能提供了一种在网络环境中启用全域或全林ActiveDirectory功能的方法。
根据您的网络环境,您可以使用不同级别的域功能和林功能。
如果域或林中的所有域控制器均运行WindowsServer2003,并且将功能级别设置为WindowsServer2003,则可以使用所有的全域和全林功能。
如果域或林中不但包括运行WindowsServer2003的域控制器,还包括运行WindowsNT®4.0或Windows2000的域控制器,则您只能使用一部分ActiveDirectory全域和全林功能。
在Windows2000混合模式和纯模式下,允许在ActiveDirectory中启用其他功能。
混合模式域可以包含WindowsNT4.0备份域控制器,但不能使用通用安全组、组嵌套和安全ID(SID)历史记录功能。
如果将域设置为纯模式,则可以使用通用安全组、组嵌套和SID历史记录功能。
运行Windows 2000Server的域控制器不支持域和林功能。
警告:
在提升域功能级别后,不能将运行早期版本操作系统的域控制器加入该域。
例如,如果将域功能级别提升为WindowsServer2003,则不能将运行Windows2000Server的域控制器添加到该域中。
域功能启用的功能会影响整个域,而且只能影响该域。
可以使用四种域功能级别:
Windows2000混合模式(默认)、Windows2000纯模式、WindowsServer2003过渡和WindowsServer2003。
默认情况下,域在Windows2000混合功能级别运行。
要提升域功能,请按照以下步骤操作:
1.
右键单击域对象(本例中为“”),然后单击“提升域功能级别”。
2.
从“选择一个可用的域功能级别”下拉列表中,选择“WindowsServer2003”,然后单击“提升。
3.
在出现警告信息时,单击“确定”以提升域功能。
再次单击“确定”完成此过程。
4.
关闭“ActiveDirectory域和信任关系”窗口。
返回页首
使用“ActiveDirectory用户和计算机”管理单元
要启动“ActiveDirectory用户和计算机”管理单元,请按照以下步骤操作:
1.
单击“开始”按钮,指向“所有程序”,指向“管理工具”,然后单击“ActiveDirectory用户和计算机”。
2.
单击“+”号展开“C”。
图2显示了“ActiveDirectory用户和计算机”管理单元的关键组件。
图2.“ActiveDirectory用户和计算机”管理单元
认识ActiveDirectory对象
下表中描述的对象是在ActiveDirectory的安装过程中创建的。
图标
文件夹
说明
域
管理单元的根节点,表示所管理的域。
Computers
包含所有加入域且基于WindowsNT、Windows2000、WindowsXP和WindowsServer2003的计算机。
这包括运行WindowsNT3.51和4.0版本的计算机。
如果您从旧版本进行升级,ActiveDirectory会将计算机帐户迁移到该文件夹。
您可以移动这些对象。
System
包含ActiveDirectory系统和服务信息。
Users
包含域中的所有用户。
在升级过程中,将迁移先前域中的所有用户。
像计算机一样,您可以移动用户对象。
您可以使用ActiveDirectory创建下列对象。
图标
对象
说明
用户
用户对象是目录中的一个安全主体。
用户可以使用这些凭据登录到网络上,并且可以为用户授予访问权限。
联系人
联系人对象是没有任何安全权限的帐户。
您不能以联系人的身份登录到网络上。
联系人通常表示外部用户,用以收发电子邮件。
计算机
计算机对象表示网络上的一台计算机。
对于基于WindowsNT的工作站和服务器,这是计算机帐户。
组织单位
组织单位(OU)用作一种容器,以便以逻辑方式来组织目录对象(如用户、组和计算机),这与使用文件夹来组织硬盘上的文件大体相同。
组
组可以包含用户、计算机和其他组。
组简化了对大量对象进行的管理工作。
共享文件夹
共享文件夹是已在目录中发布的网络共享。
共享打印机
共享打印机是已在目录中发布的网络打印机。
添加组织单位
本过程在“Contoso”域中创建其他OU。
注意,您可以创建嵌套的OU,对嵌套级别没有限制。
这些步骤遵循在通用结构分步指南中建立的ActiveDirectory结构。
如果您没有创建该结构,请直接在“C”下添加OU和用户;即,将本过程中提到的“Accounts”替换为“C”。
要添加OU,请按照以下步骤操作:
1.
单击“Accounts”旁边的“+”号将其展开。
2.
右键单击“Accounts”。
3.
指向“新建”,然后单击“组织单位”。
键入“Construction”作为新组织单位的名称,然后单击“确定”。
重复上述步骤以创建其他OU(如下所示):
•
在“Accounts”下创建组织单位“Engineering”。
•
在“Accounts”下创建组织单位“Manufacturing”。
•
在“Manufacturing”组织单位下创建“Consumer”组织单位。
(为此,请用右键单击“Manufacturing”,指向“新建”,然后单击“组织单位”。
)
•
在“Manufacturing”组织单位下创建“Corporate”和“Government”组织单位。
单击“Manufacturing”,以便在右窗格中显示它的内容。
完成后,您应具有下面的如图3所示的分层结构。
图3.新OU
创建用户帐户
下面的过程在“Construction”OU中创建用户帐户“JohnSmith”。
要创建用户帐户,请按照以下步骤操作:
1.
右键单击“Construction”组织单位,指向“新建”,然后单击“用户”,或在管理单元工具栏上单击“新建用户”。
2.
键入用户信息(如图4所示)。
图4. “新建用户”对话框
3.
单击“下一步”以继续。
4.
在“密码”和“确认密码”框中都键入“pass#word1”,然后单击“下一步”。
注意:
密码在保护组织网络安全方面所起到的作用常常被低估和忽视。
密码提供了第一道防线,阻止对您的组织进行XX的访问。
WindowsServer2003家族中有一项新功能,即要求所有新建立的用户帐户使用复杂密码。
有关此项功能的信息,请参见设置密码策略逐步式指南。
5.
在下一个对话框中,单击“完成”接受确认。
现在,您已在“Construction”OU中为“JohnSmith”创建了一个帐户。
要添加关于此用户的其他信息,请按照以下步骤操作:
1.
在左窗格中选择“Construction”,在右窗格中右键单击“JohnSmith”,然后单击“属性”。
2.
正如图5中所示,在“属性”对话框的“常规”选项卡上,添加有关此用户的更多信息,然后单击“确定”。
单击每个可用的选项卡,并查看可定义的可选用户信息。
图5.其他用户信息
移动用户帐户
可以在OU之间移动用户,这些OU可以在相同的域中,也可以在不同的域中。
例如,在本过程中,将JohnSmith从“Construction”部门移动到“Engineering”部门。
要在OU之间移动用户,请按照以下步骤操作:
1.
在右窗格中,单击“JohnSmith”用户帐户,右键单击该帐户,然后单击“移动”。
2.
在“移动”屏幕上,单击“Accounts”旁边的“+”号将其展开(如图6所示)。
图6.可用OU列表
3.
单击“Engineering”OU,然后单击“确定”。
创建组
要创建组,请按照以下步骤操作:
1.
右键单击“Engineering”OU,单击“新建”,然后单击“组”。
2.
在“新建对象–组”对话框中,键入“Tools”作为组名。
3.
查看一下WindowsServer2003中可用的组类型和作用域(如下表所示)。
保留默认设置,然后单击“确定”以创建“Tools”组。
•
“组类型”指示该组是否可用于指派对其他网络资源(如文件和打印机)的权限。
安全组和通讯组都可用于电子邮件通讯组列表。
•
“组作用域”确定组的可见性以及组内可以包含的对象类型。
作用域
可见性
可包含
域本地
域
用户、域本地、全局或通用组
全局
林
用户或全局组
通用
林
用户、全局或通用组
将用户添加到组中
要将用户添加到组中,请按照以下步骤操作:
1.
在左窗格中单击“Engineering”OU。
2.
在右窗格中,右键单击“Tools”组,然后单击“属性”。
3.
单击“成员”选项卡,然后单击“添加”。
4.
在“输入对象名称来选择”文本框中,键入“John”,然后单击“确定”。
图7.将“JohnSmith”添加到“Tools”安全组中
5.
在“Tools属性”屏幕上,确认“JohnSmith”现在是“Tools”安全组的成员,然后单击“确定”。
发布共享文件夹
为帮助用户更方便地找到共享文件夹,您可以在ActiveDirectory中发布有关共享文件夹的信息。
可以在ActiveDirectory中发布任何共享网络文件夹,包括分布式文件系统(Dfs)文件夹。
在目录中创建共享文件夹对象并不会自动共享该文件夹。
这个过程分为两步:
您必须先共享该文件夹,然后在ActiveDirectory中发布它。
要共享一个文件夹,请按照以下步骤操作:
1.
使用Windows资源管理器,在某一磁盘卷上创建一个名为“EngineeringSpecs”的新文件夹。
2.
在Windows资源管理器中,右键单击“EngineeringSpecs”文件夹,然后单击“属性”。
单击“共享”,然后单击“共享该文件夹”。
3.
在“EngineeringSpecs属性”屏幕上,在“共享名”框中键入“ES”,然后单击“确定”。
完成后,关闭Windows资源管理器。
注意:
默认情况下,内置的“Everyone”组有权访问该共享文件夹。
单击“权限”按钮可更改默认权限。
在目录中发布共享文件夹
要在目录中发布共享文件夹,请按照以下步骤操作:
1.
在“ActiveDirectory用户和计算机”管理单元中,右键单击“Engineering”OU,指向“新建”,然后单击“共享文件夹”。
2.
在“新建对象–共享文件夹”屏幕上,在“名称”框中键入“EngineeringSpecs”。
3.
在“网络路径”名称框中,键入“\\hq-con-dc-\ES”,然后单击“确定”。
4.
右键单击“EngineeringSpecs”,然后单击“属性”。
5.
单击“关键字”。
键入“specifications”作为“新值”,然后单击“添加”继续。
单击两次“确定”以完成操作。
现在,用户可以按共享名或关键字搜索ActiveDirectory以查找此共享资源。
搜索共享文件夹
要查找共享文件夹,请按照以下步骤操作:
1.
在“ActiveDirectory用户和计算机”MMC中,右键单击“Contoso”,然后单击“查找”。
2.
在“查找”下拉列表中,单击“共享文件夹”。
在“关键字”文本框中键入“specifications”,然后单击“开始查找”。
3.
在“搜索结果”中,右键单击“EngineeringSpecs”,然后单击“打开”。
图8.在ActiveDirectory中搜索共享文件夹
注意:
在填充ES共享文件夹后,最终用户可以通过目录搜索查找其内容。
用户也可以将此共享资源映射为网络驱动器。
4.
关闭“查找共享文件夹”对话框。
发布打印机
您也可以在ActiveDirectory中发布有关共享打印机的信息。
对于在WindowsNT中共享的打印机,必须手动发布该打印机的相关信息。
对于在WindowsServer2003家族或Windows2000Server家族中共享的打印机,在创建共享打印机时,系统会自动将该打印机的相关信息发布到目录中。
可使用“ActiveDirectory用户和计算机”手动发布共享打印机信息。
打印子系统自动将打印机属性(位置、说明、装入的纸张等)更改传播到目录中。
注意:
本节提供了一些详细的操作步骤,介绍如何配置和发布打印机,使打印机直接将内容打印到文件。
如果您想使用基于IP、LPT或USB的打印机,则必须修改这些过程中的步骤。
添加新的打印机
要添加新的打印机,请按照以下步骤操作:
1.
单击“开始”按钮,单击“打印机和传真”,然后双击“添加打印机”。
此时将出现“添加打印机向导”。
单击“下一步”。
2.
单击“连接到这台计算机的本地打印机”,清除“自动检测并安装我的即插即用打印机”复选框,然后单击“下一步”。
3.
在“使用以下端口”下拉列表中,单击“FILE:
(打印到文件)”选项,然后单击“下一步”。
4.
在“厂商”结果窗格中,单击“Generic”。
在“打印机”结果窗格中,单击“Generic/TextOnly”。
单击“下一步”以继续。
5.
在“命名打印机”页上,将“打印机名”更改为“PrinttoFile”,然后单击“下一步”。
6.
在“打印机共享”页上,将“共享名”更改为“FilePrinter”,然后单击“下一步”。
7.
对于“位置和注释”页上的“位置”,键入“Headquarters–Bldg4–Room2200”。
单击“下一步”以继续。
8.
单击“下一步”以打印测试页,然后单击“完成”即完成安装。
9.
在出现相应提示时,键入“TestPrint”作为打印机测试页的文件名。
完成后,单击“确定”。
此时,将自动在ActiveDirectory中发布打印机。
在ActiveDirectory中查找打印机
要在ActiveDirectory中查找打印机,请按照以下步骤操作:
1.
在“打印机和传真”屏幕上,双击“添加打印机”图标。
2.
此时将出现“添加打印机向导”对话框。
单击“下一步”以继续。
3.
单击“网络打印机”,然后单击“下一步”。
4.
单击“在目录中查找一个打印机”(默认值),然后单击“下一步”。
5.
此时将出现“查找打印机”对话框。
单击“开始查找”以搜索在ActiveDirectory中发布的所有打印机。
通过设