摘要
本指南介绍了对 Windows® 2000 Active Directory™ 服务的管理过程。本文档中的过程演示了如何使用 Active Directory 用户和计算机管理单元添加、移动、删除和改变对象(如用户、联系人、组、服务器、打印机和共享文件夹)属性。
引言
本指南介绍了对 Microsoft® Windows® 2000 Active Directory™ 服务及 Active Directory 用户和计算机管理单元的管理过程。这个管理单元允许您添加、移动、删除和改变对象(如用户、联系人、组、服务器、打印机和共享文件夹)属性。
先决条件
这个软件安装和维护文档以“Windows 2000 Server 部署中的公用基础结构循序渐进”第一部分 和第二部分 为基础。
开始本指南前,请先建立规定特殊硬件和软件配置的公用基础结构。如果您不使用公用基础结构,需要对这一系列指南进行适当的更改。
您可以运行服务器的管理工具,或从运行 Windows 2000 Professional 的计算机运行工具。默认情况下,管理工具安装在所有 Windows 2000 域控制器上。
要按照本文档中的过程运行,您必须作为有管理特权的用户登录。
如果您在域控制器上工作,可以不安装 Active Directory 架构管理单元。如果要安装:
单击开始,指向设置,单击控制面板,然后单击更改或删除程序。
得到提示时,重新安装所有管理工具。
在基于 Windows 2000 的单机服务器或工作站上,Active Directory 管理工具是可选项。您可以使用“Windows 组件向导”从控制面板中的添加/删除程序,或从 Windows 2000 Server 或 Professional CD 上的 ADMINPAK 安装。
在本循序渐进中:
公用管理任务
? 创建组织单位
? 创建用户和联系人
? 创建组,并将成员添加到组
高级管理任务
? 发布共享网络资源,如共享文件夹和打印机
? 移动用户、组和组织单位
? 使用筛选器和搜索检索对象
使用 Active Directory 域和信任关系管理单元
Active Directory 域和信任管理单元提供目录林中所有域目录树的图形视图。使用该工具,管理员可以管理目录林中的每个域、管理域之间的信任关系、配置每个域的作模式(本机或混合模式),并配置目录林的其它用户主要名称 (UPN) 后缀。
启动 Active Directory 域和信任关系管理单元
单击开始,指向程序,指向管理工具,然后单击 Active Directory 域和信任关系。如下面图 1 所示,Active Directory 域和信任关系管理单元出现。
图 1 Active Directory 域和信任关系管理单元
用户主要名称 (UPN) 为用户登录 Active Directory 提供了易于使用的命名样式。UPN 样式是以有时被称为“邮件地址”的 Internet 标准 RFC 822 为基础的。默认 UPN 后缀是域目录林 DNS 名,即域目录林的第一个域树中的第一个域的 DNS 名。在这个站点上的这个和其它循序渐进中,默认 UPN 后缀是 reskit.com。
您可以添加增加登录安全措施的备用用户主要名称后缀。通过给所有用户提供单一 UPN 后缀,您可以简化用户登录名。UPN 后缀只用于 Windows 2000 域,并且不必是有效的 DNS 域名。
选择左窗格上部的 Active Directory 域和信任关系,用右键单击它,然后单击属性。
在“备用 UPN 后缀”框中输入希望使用的备用 UPN 后缀并单击添加。
单击确定关闭窗口。
更改域模式
Windows 2000 域按下面两种模式中的一种作:
混合模式。允许运行 Windows 2000 和更早版本的 Windows NT Server 的域控制器在域中共存。混合模式中仍然使用以前版本 Windows NT® Server 的域功能,但有些 Windows 2000 功能被禁用。
本机模式。要求域中的所有域控制器都运行 Windows 2000 Server。在本机模式中您可以利用通用组、嵌套组成员身份和域内用户移动等新功能。(通用组是用户帐户的集合,可以包含来自目录林中任何 Active Directory 域的成员,可以给通用组指派权限,以便使他们能够访问目录林中任一成员计算机上的资源。通用组只在本机模式中有效。)
域在第一次安装时是混合模式。作模式可以从混合模式更改为本机模式,但更改不可逆。在本机模式中 Windows NT 4.0 域控制器不能参加到域中。
确认您域中的所有域控制器都在运行 Windows 2000 Server 后,您可以更改到本机模式。
切换到本机模式
用右键单击域对象(在我们的示例中是 reskit.com),然后单击属性。
单击更改模式。
您收到一个要求确认的消息。单击是继续。单击确定继续进行,或单击否停止该作。如果计划将 Windows NT 4.0 域控制器添加到您的配置中,请选择不要继续。
使用 Active Directory 用户和计算机管理单元
要启动 Active Directory 用户和计算机管理单元,单击开始,指向程序,指向管理工具,然后单击 Active Directory 用户和计算机。
通过单击 + 号展开 Reskit.com。
下面的图 2 显示 Active Directory 用户和计算机管理单元的关键组件。
图 2 Active Directory 用户和计算机管理单元
识别 Active Directory 对象
下表中说明的对象是在 Active Directory 安装过程中创建的。 图标
文件夹
说明
域
管理单元的根节点代表正在管理的域。
计算机
包含加入域的所有基于 Windows NT ® 和 Windows 2000 的计算机。包含运行 Windows NT 3.51 和 4.0 以及运行 Windows 2000 的计算机。如果您从以前版本升级,Active Directory 会将机器帐户迁移到这个文件夹。您可以移动这些对象。
系统
包含 Active Directory 系统和服务信息。
用户
包含域中的所有用户。升级中,以前域中的所有用户都会被迁移。象计算机一样,用户对象也可以移动。
您可以使用 Active Directory 创建下列对象。 图标
对象
说明
用户
用户对象是目录中的安全主管对象。用户可以用这些凭据登录网络,访问权限可以授权给用户。
联系人
联系人对象是一个没有任何安全权限的帐户。您不能作为联系人登录网络。联系人一般用于代表电子邮件中的外部用户。
计算机
代表网络上计算机的对象。对基于 Windows NT 的工作站和服务器,这是指机器帐户。
组织单位
组织单位用作按逻辑关系组织用户、组和计算机等目录对象的容器,其组织方式与用于组织硬盘上文件的文件夹大致相同。
组
组中可以有用户、计算机和其它组。组简化了对大量对象的管理。
共享文件夹
共享文件夹是已在目录中发布的网络共享。
共享打印机
共享打印机是已在目录中发布的网络打印机。
添加组织单位
这一过程在 Reskit 域中创建一个组织单位 (OU)。注意您可以创建嵌套的组织单位,且系统对嵌套层次没有限制。
这些步骤遵从 "Step-by-Step Guide to a Common Infrastructure for Windows 2000 Server Deployment" 中开始的 Active Directory 结构。如果您没有创建该结构,就直接在 Reskit.com 下添加 OU 和用户;即把下面提到帐户的地方都替换成 Reskit.com。
单击帐户旁边的 + 号进行扩展。
用右键单击帐户。
指向新建并单击组织单位。键入 Construction 作为新组织单位的名称。单击确定。
对本指南的其余练习重复上面的第 1 步和第 2 步,创建其它组织单位如下:
Reskit.com 下的组织单位 Engineering。
Reskit.com 下的组织单位 Manufacturing。
Manufacturing 组织单位下的组织单位 Consumer。(要做到这一点,用右键单击 Manufacturing,指向新建,然后单击组织单位。)
Manufacturing 组织单位下的组织单位 Corporate 和 Government 。单击 Manufacturing,这样它的内容就会在右边窗格显示。
完成后,您应该有下面图 3 所示的层次结构:
图 3 新建 OU
创建用户帐户
下列程序在 Construction OU 中创建用户帐户 James Smith。
新建用户帐户
用右键单击 Construction 组织单位,指向新建,然后单击用户或单击管理单元工具栏上的新建用户。
如下面图 4 所示键入用户信息:
图 4 “新建用户”对话框
注意您输入名和姓后全名自动填入。单击下一步继续。
在密码和确认密码框中键入密码,并单击下一步。
单击完成接受下一个对话框中的确认信息。
现在您已经在 Construction OU 中为 James Smith 创建了帐户。如果要添加这个用户的其它信息:
在左边窗格中选择 Const
