模板
对能在AD数据库中存在的全部对象、属性和值进行定义的实体是模板(Schema)。模板还指定了特定对象的必需属性(比如我们刚刚建立的用户的登录名)和可选的属性(如用户的电话电话)。
微软随AD包括了一个缺省的模板,它可以满足多数用户初始的需求。但是,AD是可以扩展的,这意味着,可以通过增加新的对象或属性类型,把特定属性修改成必需的或是可选的,从而对AD进行自定义。
在AD中利用组织单元
可以在AD中建立组织单元(OU),对企业中的资源进行逻辑上的分组,例如用销售部、市场部这样的OU可以体现出业务的层次结构或者组织结构,而用纽约、波士顿来反映系统管理模式,以便做信息系统支持。微软建议在下列情况下,应当使用OU把企业的资源分组:如果想让AD结构反映公司结构或组织的细节;如果想把管理控制权委托到较小的用户组、组和资源上;或者如果公司组织结构日后会变化。
在活动目录用户和计算机管理器(Active Directory Users And Computers)中, OU用文件夹的方式表示,前面有一个书本的图标。缺省的域控制器容器有相同的图标。这个区别让你可以把组策略施加到这个对象类型上(组策略是Windows NT 4.0的系统策略在Windows 2000中超集。简要地说,它们被用来定义计算机和用户的配置,管理用户桌面上的应用程序,指定安全选项,分配脚本,控制注册表的设置。)
移动AD对象
在已经建立了OU之后,你会想把资源从缺省的容器对象中移动到能够反映资源在你的组织结构中逻辑位置或者反映对资源的控制的OU中。在AD中移动对象 相当简单,你在对象上单击右键,然后选择移动(Move)即可。你现在面对一个对话框,显示了你域的AD中的容器对象的层次结构。 你从中选择要把对象移动到其中的容器对象,然后单击OK。就是这么简单,对象就被移动到AD中不同的容器里。你可能注意到一件事,就是你只能在你的域的AD里移动对象。不幸的是,你不能在你的森林的不同域之间移动AD对象。
建立组对象
在Windows NT里,组被用来管理访问共享资源的用户和计算机,或者来建立电子邮件发送列表。在Windows 2000里,这种访问摆脱了只能访问建立组所在域的限制!组可以被用来在你的森林的任何域里应用权限。这与OU不同,OU只能用来为管理的目的建立AD对象集合,而且被限制在建立OU所在的域里。
在你从新建(New)菜单里选择组(Group)时,新对象-组(New Object ― Group)向导会提示你输入建立新组所需要的信息。这是向导的第一个也是唯一的屏幕,它会问你组名称,组类型和组的范围。
我们首先来看组类型。Windows 2000 有两种类型的组:安全组和发布组。Windows 2000 操作系统只使用安全组。你要使用这些安全组在共享资源和AD对象上分配权限。发布组只被应用程序使用,而应用程序只能把发布组用于非安全方面的功能。
例如,一个Exchange 用户可能使用发布组给一组用户发送电子邮件。但是,你应该知道,虽然发布组不能用于安全用途,可是你的安全组可以被应用程序作为电子邮件发布列表使用。如果你的域操作在纯(Native)模式,你可以把组类型从安全组切换成发布组,反之亦然。下面,我们来看看组的范围。每个安全组和发布组都有一个范围属性,它定义了你在森林里能怎么样使用该组。有三种组的范围:域本地(Domain local),全局(Global),和宇宙(Universal)。请参阅表 C 中各个组范围的说明:
表c: 组范围
到了现在,你可能在想“为什么我要用其它组类型,而不用宇宙组?它给了我要的一切!”答案是,因为宇宙组和它的成员被列在全局编目里 (GC)。
每次GC在你的森林的域之间复制时,都包括宇宙组的成员。与宇宙组类似,全局组和域本地组也被列在GC里,但是,它们的成员并不列在GC中。通过在合适的位置使用全局组和域本地组,你能够减小你的AD DC的尺寸,这样就会明显地降低保持GC最新所产生的复制流量。
在选择组范围时,应当仔细选择。在你的域运行在混合模式下时,你不能改变组的范围。如果你运行在纯(Native)模式,就允许你把全局组转变宇宙组,前题是全局组不是另外一个全局的成员,也可以把域本地组转变成宇宙组,前提是域本地组中不包括另一个域本地组作为它的成员。
现在知道了组的范围,再让我们简略地谈谈建立新组最简单的部分-组的名称。在你为组起名时,全局组和域本地组在你创建它们的域里必须是唯一的。而宇宙组,则必须在整个森林里是唯一的。
向你的组加入成员
在2000里,组中最多可以包含5,000个成员。但是,在域操作在纯(Native)模式时,你可以对组进行嵌套(使一个组成为另一个组的成员),这样,就有效地增加了组能拥有的用户数量。包含在另一个组中的组,在它的父组中只算一个成员,但是这个组自己又可以包含另外5,000个用户。
就象在以前的Windows NT版本里一样,在Windows 2000里也有两种方法把成员加到组里。你以本文前面的部分已经看到,你可以使用每个用户属性对话框里的组成员(Member Of)页一次把用户加到多个组里,或者,你可以使用组的属性对话框里的成员(Member)页一次把多个用户加到这个组里。那么怎么才能打开组的属性对话框呢?方法是在组上单击右键,然后从弹出菜单中选择属性(Properties)菜单项。
在AD中发布文件夹
在AD里包括一个共享文件夹需要两步。首先,你必须建立一个文件夹并共享它,然后再在AD里发布它。把共享文件夹发布在AD里是可选的。如果你没有在AD里发布共享文件夹,客户仍可以在资源浏览器窗口(如我的网络位置(My Network Places))里访问到它。
通过把共享文件夹发布到AD里,你就使得在你森林里任何位置的客户,都可以使用共享文件夹的RDN或属性查找它。对于这些客户,没有必要知道共享的物理位置。既然第一步处理-共享一个文件夹并不是什么新东西,那么就让我们直接来谈谈处理的第二步-在AD里发布文件夹。在你的AD里选择任意一个容器对象,选择新建 | 共享文件夹(New | Shared Folder)。新建对象(New Object)向导只有一个屏幕。在这,你要输入共享在AD中使用的名称(这个名称可以与文件夹的共享名不同)以及到共享的UNC路径。单击OK,你现在就有了一个在AD中发布的共享了。
在AD中发布打印机
在Windows 2000里建立打印机的操作与在以前的Windows NT版本里类似:使用增加打印机(Add Printer)向导进行(增加打印机向导仍旧位于 开始 | 设置 | 打印机(Start | Settings | Printers))当中。在共享一台打印机时,它自动地被发布到AD里,使用的名称是 服务器名-打印机名 的格式。与发布共享文件夹不同,不用独立的步骤就把共享打印机发布到AD中。
在活动目录用户和计算机管理器(Active Directory Users And Computers )里,打印机显示在它所建立的计算机之下。但是,前提是你改变了查看(View)菜单,把用户、组和计算机当作容器。您可以把打印机对象移动到任何AD容器对象里,就象对其它AD对象的操作一样-单击右键,选择移动(Move)。打印机没有必要一定呆在它建立的计算机下面。
与多数其它AD对象不同,打印机作为一个实体存在于AD的外面。在AD里的打印机对象的属性对话框只能控制打印机在AD里的属性(主要是用户用户来查找特定打印机的那些属性)。您要使用打印机文件夹里的打印机属性对话框,来控制打印机的全部配置和安全设置。
建立联系人
建立联系人对象相当简单。新建对象向导会提示你输入名称(First Name)、姓氏(Last Name),显示名称(Display name)。Windows 2000 把你输入的姓氏和名称组合起,自动填充全称(Full Name)字段。但是,全称字段是可以编辑的,这样您可以修改默认的全称。你可以使用联系人的属性对话框输入相关信息,就象用户对象类型的属性对话一样,联系人属性对话框也有通用(General)、地址(Address)、电话(Telephones)、公司(Organization)、组成员(Member Of)这些页面。
现在你已经可以用计算机、联系人、组、组织单元、打印机、用户、共享文件夹这些对象充实你的AD数据库了!新建对象向导在输入建立每个对象类型所需要的信息的过程中,可以指导操作,所以在建立每个对象类型时,没有什么东西你必须要记住。在建立对象之后,你可以使用它们的快捷菜单里的选项管理它们,或者在每个对象的属性对话框里管理。您把对象移动到代表你的公司结构或管理模式的组织单元里,这样来管理对象。