计算机网络操作系统（第二版）课件第5章 活动目录.ppt

1、第第5章章 活动目录活动目录本章学习目标本章学习目标 活动目录是微软的一种非常重要的目录服务，它活动目录是微软的一种非常重要的目录服务，它存储网络上各种资源（如用户、组、计算机、共享资存储网络上各种资源（如用户、组、计算机、共享资源、打印机和联系人等）的信息，提供分布式的目录源、打印机和联系人等）的信息，提供分布式的目录服务，信息可以分散在多台不同的计算机上，只要拥服务，信息可以分散在多台不同的计算机上，只要拥有相应权限，用户可以方便地在网络上任何一台计算有相应权限，用户可以方便地在网络上任何一台计算机上登录到域，并可以查找和使用这些网络资源，为机上登录到域，并可以查找和使用这些网络资源，为域

2、管理人员提供了一个集中管理网络对象的架构与服域管理人员提供了一个集中管理网络对象的架构与服务。务。本章学习目标本章学习目标 本章介绍本章介绍Windows Server 2008中活动目录的中活动目录的概念与基本管理，概念与基本管理，Windows域的概念与管理，组织单域的概念与管理，组织单位、组及账户的管理。本章包括以下主要内容：位、组及账户的管理。本章包括以下主要内容：n 活动目录的基本概念活动目录的基本概念n 活动目录的规划与安装活动目录的规划与安装n 域控制器的管理域控制器的管理n 组和组织单位的管理组和组织单位的管理n 用户账户和计算机账户的管理用户账户和计算机账户的管理n 资源发布

3、与域的管理资源发布与域的管理 5.1 概述概述活动目录（活动目录（Active Directory）是一种目）是一种目录服务，它存储有关网络对象（如用户、组、录服务，它存储有关网络对象（如用户、组、计算机、共享资源、打印机和联系人等）的信计算机、共享资源、打印机和联系人等）的信息，使管理员和用户可以方便地查找并使用这息，使管理员和用户可以方便地查找并使用这些网络资源。些网络资源。5.1.1 活动目录简介活动目录简介 5.1.1 活动目录简介活动目录简介 域（域（Domain）是）是Windows Server 2008目录目录服务的基本管理单位，域模式的最大好处就是它的单服务的基本管理单位，域

4、模式的最大好处就是它的单一网络登录能力，任何用户只要在域中有一个账户，一网络登录能力，任何用户只要在域中有一个账户，就可以漫游域网络。域目录树中的每一个节点都有自就可以漫游域网络。域目录树中的每一个节点都有自己的安全边界，这种层次结构既实现了细粒度管理，己的安全边界，这种层次结构既实现了细粒度管理，又保证了安全性。又保证了安全性。活动目录服务把域详细划分成组织单位（活动目录服务把域详细划分成组织单位（OU），），组织单位是一个逻辑单位，它是域中一些用户和组、组织单位是一个逻辑单位，它是域中一些用户和组、文件与打印机等资源对象的集合。文件与打印机等资源对象的集合。5.1.1 活动目录简介活动目录

5、简介活动目录是一种集成管理技术，是一个层次的、活动目录是一种集成管理技术，是一个层次的、树状的结构，通过活动目录组织和存储网络上的对象树状的结构，通过活动目录组织和存储网络上的对象信息，可以让管理员非常方便的进行对象的查询、组信息，可以让管理员非常方便的进行对象的查询、组织和管理。活动目录具有与织和管理。活动目录具有与DNS集成、便于查询、可集成、便于查询、可伸缩可扩展、可以进行基于策略的管理、安全高效等伸缩可扩展、可以进行基于策略的管理、安全高效等特点。特点。相对于相对于Windows Server 2003，Windows Server 2008活动目录服务有很大的改进，主要体现在：增加活

6、动目录服务有很大的改进，主要体现在：增加了只读域控制器、可重启的活动目录域服务、活动目了只读域控制器、可重启的活动目录域服务、活动目录审核等。录审核等。5.1.2 活动目录的特性活动目录的特性 Windows Server 2008活动目录是一活动目录是一个完全可扩展、可伸缩的目录服务，既能满个完全可扩展、可伸缩的目录服务，既能满足商业足商业ISP的需要，又能满足企业内部网和外的需要，又能满足企业内部网和外联网的需要，通过活动目录，可以实现提高联网的需要，通过活动目录，可以实现提高增强网络的安全性、提高管理的灵活性，方增强网络的安全性、提高管理的灵活性，方便用户在各种不同环境部署服务。便用户在

7、各种不同环境部署服务。5.1.2 活动目录的特性活动目录的特性n1可重启的活动目录域服务可重启的活动目录域服务 在在Windows Server 2008中，提供了可中，提供了可重启活动目录域服务的功能，其中活动目录重启活动目录域服务的功能，其中活动目录域服务像其他服务一样是作为一个服务存在域服务像其他服务一样是作为一个服务存在，可以在系统服务控制台中停止或者启动，可以在系统服务控制台中停止或者启动，而不必像以前那样重启服务器，减少了服务而不必像以前那样重启服务器，减少了服务器重启的次数，极大地方便了用户，提高了器重启的次数，极大地方便了用户，提高了网络服务的应用。网络服务的应用。5.1.2

8、活动目录的特性活动目录的特性n2只读域服务只读域服务 在在Windows Server 2008中，提供了中，提供了只读域服务（只读域控制器），有效地避免只读域服务（只读域控制器），有效地避免了类似的安全问题。只读域控制器最大的特了类似的安全问题。只读域控制器最大的特点是虽然存有活动目录域服务中所有的对象点是虽然存有活动目录域服务中所有的对象和属性，但是只能从域控制器复制数据，不和属性，但是只能从域控制器复制数据，不能向域控制器写数据。另外，只读域控制器能向域控制器写数据。另外，只读域控制器是单向复制，包括是单向复制，包括AD数据库和数据库和SYSVO，只可，只可以从其他域控制器上同步信息，不

9、可以向其以从其他域控制器上同步信息，不可以向其他域控制器同步信息。他域控制器同步信息。5.1.2 活动目录的特性活动目录的特性n3活动目录审核活动目录审核 Windows Server 2008的目录审核功的目录审核功能更细化、精确一些，可以在日志中查看对能更细化、精确一些，可以在日志中查看对活动目录做过的修改类型，修改时间、修改活动目录做过的修改类型，修改时间、修改对象以及修改的值等信息。对象以及修改的值等信息。Windows Server 2008活动目录审核策略细化为活动目录审核策略细化为4个子个子类别，分别是：目录服务访问、目录服务更类别，分别是：目录服务访问、目录服务更改、目录服务复

10、制、详细目录服务复制。改、目录服务复制、详细目录服务复制。5.1.2 活动目录的特性活动目录的特性n4多元密码策略多元密码策略 Windows Server 2008使用的是多元使用的是多元密码策略密码策略(Fine-Grained Password Policy)，可以针对不同的用户或用户群体设置不同，可以针对不同的用户或用户群体设置不同的密码策略。比如学校中网络中心部署强密的密码策略。比如学校中网络中心部署强密码策略（密码复杂度较高、密码长度较长，码策略（密码复杂度较高、密码长度较长，密码更新周期短一些），而其他部门则可以密码更新周期短一些），而其他部门则可以部署较为宽松的密码策略。部署较

11、为宽松的密码策略。5.2 安装活动目录安装活动目录 安装活动目录之前，需要事先细致而全面安装活动目录之前，需要事先细致而全面地规划适合本单位实际应用的活动目录，否则地规划适合本单位实际应用的活动目录，否则不但无法发挥活动目录的强大功能，反而给使不但无法发挥活动目录的强大功能，反而给使用带来诸多麻烦。用带来诸多麻烦。5.2.1 规划活动目录规划活动目录5.2.1 规划活动目录规划活动目录n1规划规划DNS 若要使用活动目录，首先需要规划名称空若要使用活动目录，首先需要规划名称空间。在间。在Windows Server 2008中，用中，用DNS名称命名活动目录域。选择名称命名活动目录域。选择DN

12、S名称用于活名称用于活动目录域时，以单位保留在动目录域时，以单位保留在Internet上使用上使用的已注册的已注册DNS域名后缀开始，并将该名称和域名后缀开始，并将该名称和单位中使用的地理名称或部门名称结合起来单位中使用的地理名称或部门名称结合起来，组成活动目录域的全名。，组成活动目录域的全名。5.2.1 规划活动目录规划活动目录n2规划域结构规划域结构 最简单的域结构是单域。一般应从单域开最简单的域结构是单域。一般应从单域开始规划，只有当单域模式不能满足应用需求始规划，只有当单域模式不能满足应用需求时，才增加其他的域。时，才增加其他的域。只有在下列情形下才建议创建多个域：只有在下列情形下才建

13、议创建多个域：n（1）大量的对象。）大量的对象。n（2）不同的）不同的Internet域名。域名。n（3）对复制进行更多的控制。）对复制进行更多的控制。n（4）分散的网络管理。）分散的网络管理。5.2.1 规划活动目录规划活动目录n3规划组织单位结构规划组织单位结构 在域中可以创建组织单位的层次结构，在域中可以创建组织单位的层次结构，组织单位可包含用户、组、计算机、打印机组织单位可包含用户、组、计算机、打印机、共享文件夹以及其他组织单位。组织单位、共享文件夹以及其他组织单位。组织单位是目录容器对象，在是目录容器对象，在“Active Directory用用户和计算机户和计算机”管理控制台中它们

14、以文件夹形管理控制台中它们以文件夹形式组织。组织单位简化了域中目录对象的视式组织。组织单位简化了域中目录对象的视图以及对这些对象的管理。可将每个组织单图以及对这些对象的管理。可将每个组织单位的管理控制权委派给特定的管理员，更接位的管理控制权委派给特定的管理员，更接近实际单位工作职责划分。近实际单位工作职责划分。5.2.1 规划活动目录规划活动目录n4规划委派模式规划委派模式 在每个域中创建组织单位树，并将部分在每个域中创建组织单位树，并将部分组织单位子树的权力派给其他用户或组，就组织单位子树的权力派给其他用户或组，就可以将权力分派到单位中的最底层部门。这可以将权力分派到单位中的最底层部门。这样

15、，除了个别保留拥有对整个域的管理授权样，除了个别保留拥有对整个域的管理授权的管理员账户和域管理员组，以备少数高度的管理员账户和域管理员组，以备少数高度信任的管理员使用，其他管理权限可以下放信任的管理员使用，其他管理权限可以下放到基层。到基层。5.2.1 规划活动目录规划活动目录 规划活动目录时，还要注意以下几点：规划活动目录时，还要注意以下几点：n（1）使用的域越少越好，）使用的域越少越好，Windows Server 2008支持庞大的单个域容量。支持庞大的单个域容量。n（2）限制组织单位的层次，以提高在活动目）限制组织单位的层次，以提高在活动目录中搜索对象的运行效率。录中搜索对象的运行效率

16、。n（3）限制组织单位中的对象个数，有利于高）限制组织单位中的对象个数，有利于高效地查找特定资源。效地查找特定资源。n（4）可以将管理权限分配到组织单位级，这）可以将管理权限分配到组织单位级，这样既提高了管理效率，又降低了管理员的负样既提高了管理效率，又降低了管理员的负荷。荷。5.2.2 安装活动目录安装活动目录 安装安装Windows Server 2008时，系统默时，系统默认没有安装活动目录。用户要将自己的服认没有安装活动目录。用户要将自己的服务器配置成域控制器，应该首先安装活动务器配置成域控制器，应该首先安装活动目录。目录。安装安装Windows Server 2008活动目录服活动目

17、录服务，可以通过命令务，可以通过命令“dcpromo.exe”方式进方式进行，也可以通过行，也可以通过“服务器管理器服务器管理器”进行，进行，这里以这里以“服务器管理器服务器管理器”为例来安装活动为例来安装活动目录，具体步骤如下：目录，具体步骤如下：5.2.2 安装活动目录安装活动目录步骤一、添加步骤一、添加Active DirectoryActive Directory域服务角色：域服务角色：（1 1）启动）启动Windows Server 2008Windows Server 2008，系统自动打开配置服务器，系统自动打开配置服务器窗口，或者选择窗口，或者选择“管理工具管理工具”中中“服务

18、器管理器服务器管理器”命令，打命令，打开开“服务器管理器服务器管理器”窗口，如图窗口，如图5-15-1所示。所示。（2 2）在图）在图5-15-1所示窗口中，右键单击所示窗口中，右键单击“角色角色”选项，选择选项，选择“添加角色添加角色”选项，出现选项，出现“添加角色向导添加角色向导”对话框，单击对话框，单击“下一步下一步”继续。出现继续。出现“选择服务器角色选择服务器角色”对话框，如图对话框，如图5-25-2所示，从服务器角色列表中选择所示，从服务器角色列表中选择“Active DirectoryActive Directory域服务域服务”选项，单击选项，单击“下一步下一步”继续。继续。（

19、3 3）出现）出现“Active DirectoryActive Directory域服务域服务”对话框，在此对域服对话框，在此对域服务进行了简单介绍，单击务进行了简单介绍，单击“下一步下一步”继续。出现继续。出现“确认安装确认安装选择选择”对话框，以确认选择了正确的服务器角色，单击对话框，以确认选择了正确的服务器角色，单击“安安装装”，开始，开始Active DirectoryActive Directory域服务的安装。完成安装后出域服务的安装。完成安装后出现现“安装结果安装结果”对话框，如图对话框，如图5-35-3所示。所示。5.2.2 安装活动目录安装活动目录步骤二、运行步骤二、运行A

20、ctive DirectoryActive Directory域服务安装向导：域服务安装向导：（1 1）在）在“服务器管理器服务器管理器”窗口中，在左侧窗格中单击窗口中，在左侧窗格中单击“角角色色”下的下的“Active DirectoryActive Directory域服务域服务”选项，然后单击右侧选项，然后单击右侧窗格显示的超链窗格显示的超链“运行运行Active DirectoryActive Directory域服务安装向导域服务安装向导”，打开打开“Active DirectoryActive Directory域服务安装向导域服务安装向导”对话框，如图对话框，如图5-5-4 4所

21、示，单击所示，单击“下一步下一步”继续。继续。（2 2）打开）打开“操作系统兼容性操作系统兼容性”对话框，提示对话框，提示Windows Windows Server 2008Server 2008中改进的安全设置会影响旧版中改进的安全设置会影响旧版WindowsWindows。单击。单击“下一步下一步”，打开，打开“选择某一部署配置选择某一部署配置”对话框，如图对话框，如图5-55-5所示，因为是第一个域控制器，选择所示，因为是第一个域控制器，选择“在新林中新建域在新林中新建域”单单选框，单击选框，单击“下一步下一步”继续。继续。5.2.2 安装活动目录安装活动目录（3 3）打开）打开“命名

22、林根域命名林根域”对话框，如图对话框，如图5-65-6所示，输入域名，所示，输入域名，单击单击“下一步下一步”按钮，经过检查后打开按钮，经过检查后打开“设置林功能级别设置林功能级别”对话框，若想与以前操作系统版本兼容，在对话框，若想与以前操作系统版本兼容，在“林功能级别林功能级别”中选择中选择“Windows 2000”Windows 2000”选项。单击选项。单击“下一步下一步”出现出现“设置设置域功能级别域功能级别”对话框，同样选择对话框，同样选择“Windows 2000Windows 2000纯模式纯模式”选选项，单击项，单击“下一步下一步”继续。继续。（4 4）打开）打开“其他域控制

23、器选项其他域控制器选项”对话框，选中对话框，选中“DNSDNS服务器服务器”复选框，如图复选框，如图5-75-7所示。单击所示。单击“下一步下一步”，打开，打开“静态静态IPIP分分配配”对话框，选择对话框，选择“否，将静态否，将静态IPIP地址分配给所有物理网络地址分配给所有物理网络适配器适配器”选项，并正确配置静态选项，并正确配置静态IPIP地址后继续下一步。地址后继续下一步。5.2.2 安装活动目录安装活动目录（5 5）出现）出现“无法创建无法创建DNSDNS服务器的委派服务器的委派”信息信息提示框，单击提示框，单击“是是”继续，在出现的对话框中设置继续，在出现的对话框中设置“数据库、日

24、志文件和数据库、日志文件和SYSVOL”SYSVOL”的位置，然后单击的位置，然后单击“下一步下一步”。（6 6）出现）出现“目录服务还原模式的目录服务还原模式的AdministratorAdministrator密码密码”，完成密码设置，单击，完成密码设置，单击“下下一步一步”。打开。打开“摘要摘要”对话框，显示前面所作的设对话框，显示前面所作的设置，如有问题，可返回单击置，如有问题，可返回单击“上一步上一步”按钮修改。按钮修改。单击单击“下一步下一步”开始服务的安装。开始服务的安装。安装完成后，显示安装完成后，显示“完成完成Active DirectoryActive Directory域

25、域服务安装向导服务安装向导”对话框，单击对话框，单击“完成完成”退出安装向退出安装向导，并根据提示重新启动计算机。导，并根据提示重新启动计算机。5.2.2 安装活动目录安装活动目录 要删除活动目录，选择要删除活动目录，选择“开始开始”/“/“运行运行”，执行执行dcpromodcpromo命令，打开命令，打开“Active DirectoryActive Directory安装安装向导向导”对话框，并沿着向导进行删除。对话框，并沿着向导进行删除。在完成活动目录安装后，可以通过以下方法检在完成活动目录安装后，可以通过以下方法检验安装是否正确，安装过程中一项最重要的工作是验安装是否正确，安装过程中

26、一项最重要的工作是在在DNSDNS数据库中添加服务记录（数据库中添加服务记录（SRVSRV记录）。通过查记录）。通过查看看DNSDNS文件的文件的SRVSRV记录验证安装效果，使用文本编辑记录验证安装效果，使用文本编辑器打开器打开%SystemRoot%/system32/config/%SystemRoot%/system32/config/中的中的Netlogon.dnsNetlogon.dns文件，查看文件，查看LDAPLDAP服务记录，出现形如服务记录，出现形如_ldap._.600 IN SRV 0 100 389 _ldap._.600 IN SRV 0 100 389 记录记录

27、5.3 域控制器管理域控制器管理域（域（Domain）是活动目录的分区，定义了安全边界，允）是活动目录的分区，定义了安全边界，允许授权用户访问本域中的资源。域是由管理员安装活动目录时许授权用户访问本域中的资源。域是由管理员安装活动目录时定义的一个网络环境，是一些计算机的集合，这个集合使用一定义的一个网络环境，是一些计算机的集合，这个集合使用一个目录数据库，并为管理员提供对用户账户、组和计算机等对个目录数据库，并为管理员提供对用户账户、组和计算机等对象的集中管理和维护等功能。活动目录可由一个或多个域组成，象的集中管理和维护等功能。活动目录可由一个或多个域组成，每一个域可以存储上百万个对象，域之间

28、有层次关系，可以建每一个域可以存储上百万个对象，域之间有层次关系，可以建立域树和域林，如图立域树和域林，如图5-10、图、图5-11所示，进行无限地域扩展。所示，进行无限地域扩展。图中的双箭头表示域之间的信任关系，域的信任关系都是图中的双箭头表示域之间的信任关系，域的信任关系都是双向和可传递的。双向和可传递的。域 的 信 任 关 系5.3 域控制器管理域控制器管理 在活动目录中，目录存储只有一种形式，而域控在活动目录中，目录存储只有一种形式，而域控制器（制器（Domain ControllerDomain Controller）包括了完整的域目录的）包括了完整的域目录的信息，因此，每一个域中必

29、须有一个域控制器。活动信息，因此，每一个域中必须有一个域控制器。活动目录是目录是Windows Server 2008Windows Server 2008网络提供的目录服务，网络提供的目录服务，是运行在域控制器上的数据库，存储着网络对象的信是运行在域控制器上的数据库，存储着网络对象的信息，活动目录中可以有多个域控制器。息，活动目录中可以有多个域控制器。在企业网络中，特别是在单域网络中，域控制器在企业网络中，特别是在单域网络中，域控制器是网络正常运作的中心，起到重要的网络控制作用。是网络正常运作的中心，起到重要的网络控制作用。因此，对于管理员来说，管理域控制器是最重要的工因此，对于管理员来说，

30、管理域控制器是最重要的工作之一，用户必须根据网络运行情况合理地设置域控作之一，用户必须根据网络运行情况合理地设置域控制器的属性。制器的属性。5.3.1 设置域控制器属性设置域控制器属性 安装好目录服务和域控制器，管理员可以查看并设置域安装好目录服务和域控制器，管理员可以查看并设置域控制器属性。运行控制器属性。运行“管理工具管理工具”中中“Active Directory用户与用户与计算机计算机”管理控制台，展开域树目录，如图管理控制台，展开域树目录，如图5-12所示。所示。图图5-12 “Active Directory用户和计算机用户和计算机”管理控制台窗口管理控制台窗口5.3.1 设置域控

31、制器属性设置域控制器属性在 控 制 台 目 录 树 中 双 击 展 开 域 节 点，单 击在 控 制 台 目 录 树 中 双 击 展 开 域 节 点，单 击Domain Controllers子节点，详细资料窗格列出当子节点，详细资料窗格列出当前域控制器的计算机列表，鼠标右击设置的域控制器前域控制器的计算机列表，鼠标右击设置的域控制器（如图中（如图中SERVER001），选择），选择“属性属性”选项，打开选项，打开该控制器的该控制器的“属性属性”对话框，如图对话框，如图5-13所示。所示。5.3.1 设置域控制器属性设置域控制器属性对话框包括的主要选项卡及内容：对话框包括的主要选项卡及内容：n

32、“常规常规”选项卡：选项卡：“描述描述”文本框中输入对域控文本框中输入对域控制器的一般描述。可以设置制器的一般描述。可以设置“信任计算机作为委派信任计算机作为委派”，以支持其他域内服务器请求本地服务。，以支持其他域内服务器请求本地服务。n“操作系统操作系统”选项卡：显示操作系统的名称、版选项卡：显示操作系统的名称、版本以及本以及Service PackService Pack，管理员只能查看但不能修改这，管理员只能查看但不能修改这些内容。些内容。n“隶属于隶属于”选项卡：如图选项卡：如图5-145-14所示，可以根据需所示，可以根据需要添加组，单击要添加组，单击“添加添加”按钮，打开按钮，打开

33、“选择组选择组”对话对话框，为域控制器选择一个要添加的组；要删除某个已框，为域控制器选择一个要添加的组；要删除某个已经添加的组，在经添加的组，在“隶属于隶属于”列表框选择该组，然后单列表框选择该组，然后单击击“删除删除”按钮即可。按钮即可。5.3.1 设置域控制器属性设置域控制器属性n当管理员为域控制器添加多个组时，还可为域当管理员为域控制器添加多个组时，还可为域控制器设置一个主要组。设置主要组，在控制器设置一个主要组。设置主要组，在“隶属于隶属于”列表框中选择组，一般为列表框中选择组，一般为Domain ControllersDomain Controllers，也可为也可为Cert Pub

34、lishersCert Publishers，然后单击，然后单击“设置主要组设置主要组”按钮即可。按钮即可。n“位置位置”选项卡：可以设置域控制器的位置。选项卡：可以设置域控制器的位置。n“管理者管理者”选项卡：设置管理者信息，要更改选项卡：设置管理者信息，要更改域控制器的管理者，可单击域控制器的管理者，可单击“更改更改”按钮，打开按钮，打开“选择用户或联系人选择用户或联系人”对话框，选择新的管理人即可对话框，选择新的管理人即可；要删除管理者，可单击；要删除管理者，可单击“清除清除”按钮；要查看和按钮；要查看和修改管理者属性，可单击修改管理者属性，可单击“查看查看”按钮，打开该管按钮，打开该管

35、理者属性对话框来进行操作。理者属性对话框来进行操作。n域控制器设置完毕，单击域控制器设置完毕，单击“确定确定”保存设置。保存设置。5.3.2 查找域控制器目录内容查找域控制器目录内容 活动目录实际上是一个网络清单，包括网络活动目录实际上是一个网络清单，包括网络中的域、域控制器、用户、计算机、联系人、组、组中的域、域控制器、用户、计算机、联系人、组、组织单位及网络资源等各个方面的信息，使管理员可以织单位及网络资源等各个方面的信息，使管理员可以方便地管理这些内容。方便地管理这些内容。查找目录内容，在查找目录内容，在“Active DirectoryActive Directory用户用户和计算机和

36、计算机”控制台窗口的控制台目录树中鼠标右键单控制台窗口的控制台目录树中鼠标右键单击域节点，在弹出的快捷菜单中选择击域节点，在弹出的快捷菜单中选择“查找查找”命令，命令，打开打开“查找用户联系人及组查找用户联系人及组”对话框，如图对话框，如图5-155-15所示。所示。5.3.2 查找域控制器目录内容查找域控制器目录内容 在在“查找查找”下拉列表框中选择要查找的目录内容，下拉列表框中选择要查找的目录内容，包括用户、联系人及组、计算机、打印机、共享文件包括用户、联系人及组、计算机、打印机、共享文件夹、组织单位、自定义搜索等。例如我们要查找计算夹、组织单位、自定义搜索等。例如我们要查找计算机，在查找

37、列表中选择机，在查找列表中选择“计算机计算机”，如图，如图5-165-16所示，所示，在在“范围范围”下拉列表框中选择查找范围，如整个目录。下拉列表框中选择查找范围，如整个目录。在在“计算机计算机”选项卡中设置查找条件。例如，在选项卡中设置查找条件。例如，在“计算机名计算机名”文本框中输入要查找的计算机名，如输文本框中输入要查找的计算机名，如输入部分内容入部分内容“server”server”，在，在“所有者所有者”文本框中输入文本框中输入计算机的用户名，在计算机的用户名，在“作用作用”下拉列表框中选择计算下拉列表框中选择计算机在网络中作用。机在网络中作用。5.3.2 查找域控制器目录内容查找

38、域控制器目录内容 单击单击“高级高级”选项卡，设置高级查找条件，单击选项卡，设置高级查找条件，单击“字段字段”按钮，从弹出的快捷菜单中选择设置条件的按钮，从弹出的快捷菜单中选择设置条件的选项，然后在选项，然后在“条件条件”下拉列表框和下拉列表框和“值值”文本框中文本框中设置查询条件。设置好条件之后，单击设置查询条件。设置好条件之后，单击“添加添加”按钮，按钮，将条件添加到下面的文本框中。如果要继续添加高级将条件添加到下面的文本框中。如果要继续添加高级条件，重复上述步骤。条件，重复上述步骤。所有查找条件设置完毕，单击所有查找条件设置完毕，单击“开始查找开始查找”按钮按钮即开始查找，查找结果显示在

39、即开始查找，查找结果显示在“搜索结果搜索结果”窗口中。窗口中。5.4 组织单位和组管理组织单位和组管理 n组织单位（组织单位（Organizational Unit，OU）又称组）又称组织单元，是一个容器对象，它可以包括域中一些用户织单元，是一个容器对象，它可以包括域中一些用户、计算机和组、文件与打印机等资源。不过，组织单、计算机和组、文件与打印机等资源。不过，组织单位不能包含其他域中的对象。位不能包含其他域中的对象。n组织单位具有继承性，子单位能够继承父单位的组织单位具有继承性，子单位能够继承父单位的访问许可权。域管理员可以使用组织单位来创建管理访问许可权。域管理员可以使用组织单位来创建管理

40、模型，授予用户对域中所有组织单位或单个组织单位模型，授予用户对域中所有组织单位或单个组织单位的管理权限。的管理权限。5.4.1 组织单位和组基本概念组织单位和组基本概念 5.4.1 组织单位和组基本概念组织单位和组基本概念 组是指活动目录或本地计算机对象，包含用户、组是指活动目录或本地计算机对象，包含用户、联系人、计算机和其他组等。组可以用来管理用户联系人、计算机和其他组等。组可以用来管理用户和计算机对网络资源的访问，如活动目录对象及其和计算机对网络资源的访问，如活动目录对象及其属性、网络共享、文件、目录、打印机队列，还可属性、网络共享、文件、目录、打印机队列，还可以筛选组策略。以筛选组策略。

41、引入组的概念，方便管理员对用户和计算机账引入组的概念，方便管理员对用户和计算机账户的管理，有了组的概念之后，就可以将这些具有户的管理，有了组的概念之后，就可以将这些具有相同权限的用户或计算机划归到一个组中，使这些相同权限的用户或计算机划归到一个组中，使这些用户成为该组的成员，然后通过赋予该组权限来使用户成为该组的成员，然后通过赋予该组权限来使这些用户或计算机都具有相同的权限。这些用户或计算机都具有相同的权限。5.4.1 组织单位和组基本概念组织单位和组基本概念 注意：组和组织单位有很大的不同，组注意：组和组织单位有很大的不同，组主要用于权限设置，而组织单位则主要用于主要用于权限设置，而组织单位

42、则主要用于网络构建，组织单位只表示单个域中的对象网络构建，组织单位只表示单个域中的对象集合（可包括组对象），组可以包含用户、集合（可包括组对象），组可以包含用户、计算机、本地服务器上的共享资源、单个域、计算机、本地服务器上的共享资源、单个域、域目录树或目录林。域目录树或目录林。5.4.1 组织单位和组基本概念组织单位和组基本概念 以域以域为例，域控制器安装好后，启动为例，域控制器安装好后，启动“Active DirectoryActive Directory用户和计算机用户和计算机”管理控制台，可以看管理控制台，可以看到，系统默认产生到，系统默认产生UsersUsers、ComputersCo

43、mputers、BuiltinBuiltin、Domain Domain ControllersControllers等组织单位，如等组织单位，如Domain ControllersDomain Controllers包括域控包括域控制服务器，这里是刚刚安装的目录服务器，制服务器，这里是刚刚安装的目录服务器，UsersUsers包括一些包括一些组和用户，组和用户，BuiltinBuiltin包括本地域安全组。我们可以根据具体包括本地域安全组。我们可以根据具体应用设置自己的组织单位，如创建应用设置自己的组织单位，如创建AccountsAccounts（账号）组织（账号）组织单位，并为其创建二级组

44、织单位，包括单位，并为其创建二级组织单位，包括InformationInformation、ManagementManagement和和MachineryMachinery，分别代表信息、管理和机械三个，分别代表信息、管理和机械三个学院，用于存放各个学院用户账号；创建学院，用于存放各个学院用户账号；创建GroupsGroups组织单位，组织单位，存放组信息；创建存放组信息；创建ResourcesResources组织单位，存放桌面、移动和组织单位，存放桌面、移动和服务器等资源信息，层次结构图如图服务器等资源信息，层次结构图如图5-185-18所示。所示。图5-18 创建层次化组织单位5.4.2

45、 创建组织单位和组创建组织单位和组 系统提供了许多内置组用于权限和安全设置，但一般它系统提供了许多内置组用于权限和安全设置，但一般它们不能满足特殊安全和灵活性的需要。为了更好地管理用户和们不能满足特殊安全和灵活性的需要。为了更好地管理用户和计算机账户，管理员可根据网络应用创建一些新组。创建新组计算机账户，管理员可根据网络应用创建一些新组。创建新组之后，可以赋予特定权限并添加组成员。按上述规划的之后，可以赋予特定权限并添加组成员。按上述规划的hzuthzut域域的结构，首先创建组织单位。的结构，首先创建组织单位。创建组织单位，在控制台目录树中展开域节点，鼠标右创建组织单位，在控制台目录树中展开域

46、节点，鼠标右击域节点或可添加组织单位的文件夹节点，从弹出的快捷菜单击域节点或可添加组织单位的文件夹节点，从弹出的快捷菜单中选择中选择“新建新建”/“/“组织单位组织单位”命令，在打开的对话框的命令，在打开的对话框的“名名称称”文本框中输入新创建组织单位的名称，单击文本框中输入新创建组织单位的名称，单击“确定确定”按钮按钮即可。如分别创建即可。如分别创建AccountsAccounts、GroupsGroups、InformationInformation等组织单等组织单位。位。5.4.2 创建组织单位和组创建组织单位和组n 创建新组，在控制台目录树中展开域节点，创建新组，在控制台目录树中展开域

47、节点，右击要进行组创建的组织单位或容器，如为右击要进行组创建的组织单位或容器，如为GroupsGroups创建新组，从弹出的快捷菜单中选择创建新组，从弹出的快捷菜单中选择“新建新建”/“/“组组”命令，打开如图命令，打开如图5-195-19所示的对话框，在所示的对话框，在“组名组名”文本框中输入要创建的组名文本框中输入要创建的组名teachersteachers，此例中组为，此例中组为全局安全组。单击全局安全组。单击“确定确定”按钮即完成组的创建。按钮即完成组的创建。n 在域中合理地添加和安排组织单位，不仅方在域中合理地添加和安排组织单位，不仅方便管理员对域中账户和组的管理，而且有利于网络便管

48、理员对域中账户和组的管理，而且有利于网络的扩展。按照图的扩展。按照图5-185-18规划的层次结构创建组织单位规划的层次结构创建组织单位和组后，活动目录结构如图和组后，活动目录结构如图5-205-20所示。所示。5.4.2 创建组织单位和组创建组织单位和组n 管理员可以定期删除活动目录中不再发挥作用管理员可以定期删除活动目录中不再发挥作用的组织单位和组，需要注意的是，管理员只能删除自的组织单位和组，需要注意的是，管理员只能删除自己创建的组织单位和组，不能删除由系统创建的内置己创建的组织单位和组，不能删除由系统创建的内置组织单位和组。组织单位和组。n 删除组织单位和组，在删除组织单位和组，在“A

49、ctive DirectoryActive Directory用用户和计算机户和计算机”管理控制台，鼠标右击要删除的组或组管理控制台，鼠标右击要删除的组或组织单位，选择快捷菜单中的织单位，选择快捷菜单中的“删除删除”命令，系统打开命令，系统打开信息确认框，单击信息确认框，单击“是是”按钮即完成组或组织单位的按钮即完成组或组织单位的删除。删除。5.4.3 委派控制组或组织单位委派控制组或组织单位 在在Windows Server 2008Windows Server 2008网络中，随着组和网络中，随着组和组织单位的增多，网络的管理工作越来越繁杂，组织单位的增多，网络的管理工作越来越繁杂，为了减

50、轻管理员的网络系统管理工作负担，通为了减轻管理员的网络系统管理工作负担，通过委派控制功能，管理员可以将一部分域管理过委派控制功能，管理员可以将一部分域管理工作委派给其他用户、计算机或组。工作委派给其他用户、计算机或组。5.4.3 委派控制组或组织单位委派控制组或组织单位 对某个组或组织单位进行委派控制，在对某个组或组织单位进行委派控制，在“Active Active DirectoryDirectory用户与计算机用户与计算机”管理控制台中，鼠标右击要委派管理控制台中，鼠标右击要委派控制的组织单位或组节点，从弹出的快捷菜单中选择控制的组织单位或组节点，从弹出的快捷菜单中选择“委派委派控制控制”