《windows网络操作系统》第3章 域的创建与管理.ppt

《《windows网络操作系统》第3章 域的创建与管理.ppt》由会员分享，可在线阅读，更多相关《《windows网络操作系统》第3章 域的创建与管理.ppt（40页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Windows Windows 网络操作系统网络操作系统2023/1/17第第1 页页l企业要构建一个办公网络，考虑到业务发展的需要，企业要构建一个办公网络，考虑到业务发展的需要，以及网络的安全性，需要对重要的公共资源和计算以及网络的安全性，需要对重要的公共资源和计算机使用人员的信息实现集中管理。机使用人员的信息实现集中管理。l为此需要将为此需要将原来基于工作组方式的网络升级为基于原来基于工作组方式的网络升级为基于域的网络，现在需要将一台或多台计算机升级为域域的网络，现在需要将一台或多台计算机升级为域控制器，并将其它所有计算机加入到域成为成员服控制器，并将其它所有计算机加入到域成为成员服务器或

2、工作站。务器或工作站。l同时对原来的本地用户账户和组按不同部门归类升同时对原来的本地用户账户和组按不同部门归类升级为域用户和组进行管理。级为域用户和组进行管理。项目背景项目背景第第3 3章章 域的创建与管理域的创建与管理Windows Windows 网络操作系统网络操作系统2023/1/17第第2 页页课程导入课程导入l l大、中型企业网络有几百到上千的用户，资源也比较分散，这大、中型企业网络有几百到上千的用户，资源也比较分散，这大、中型企业网络有几百到上千的用户，资源也比较分散，这大、中型企业网络有几百到上千的用户，资源也比较分散，这时候如何管理？时候如何管理？时候如何管理？时候如何管理？

3、l l“工作组工作组工作组工作组”和和和和“域域域域”是是是是WindowsWindows网络的两种管理方式。网络的两种管理方式。网络的两种管理方式。网络的两种管理方式。工作组工作组工作组工作组n每一台计算机都独立维护自己的资源，不能集中管理所有网络资源每一台计算机都独立维护自己的资源，不能集中管理所有网络资源n每一台计算机都在本地存储用户的账户每一台计算机都在本地存储用户的账户n一个账户只能登录到一台计算机一个账户只能登录到一台计算机n工作组中的计算机的地位都是平等的，对于其他计算机来说既是服工作组中的计算机的地位都是平等的，对于其他计算机来说既是服务器，也是客户机务器，也是客户机 n工作组

4、的网络规模一般少于工作组的网络规模一般少于1010台计算机台计算机域域域域n将网络中多台计算机逻辑上组织到一起，进行集中管理，这种区别将网络中多台计算机逻辑上组织到一起，进行集中管理，这种区别于工作组的逻辑环境叫做域于工作组的逻辑环境叫做域n域是组织与存储资源的核心管理单元域是组织与存储资源的核心管理单元 活动目录活动目录活动目录活动目录n提供了存储网络上对象信息并使网络用户使用该数据的方法提供了存储网络上对象信息并使网络用户使用该数据的方法Windows Windows 网络操作系统网络操作系统2023/1/17第第3 页页课程导入课程导入工作组工作组域域SAMSAMSAMSAMSAMSAM

5、单用户帐单用户帐号号Active DirectoryWindows Windows 网络操作系统网络操作系统2023/1/17第第4 页页第第3 3章章 域的创建与管理域的创建与管理了解：了解：了解：了解：域的概念、特点，活动目录的结构，域的概念、特点，活动目录的结构，域的概念、特点，活动目录的结构，域的概念、特点，活动目录的结构，域用户账户、域组账户和组织单位的概念、域用户账户、域组账户和组织单位的概念、域用户账户、域组账户和组织单位的概念、域用户账户、域组账户和组织单位的概念、特点和用途特点和用途特点和用途特点和用途熟悉：熟悉：熟悉：熟悉：域控制器的条件，活动目录的管理与域控制器的条件，活

6、动目录的管理与域控制器的条件，活动目录的管理与域控制器的条件，活动目录的管理与维护，域组账户的使用原则维护，域组账户的使用原则维护，域组账户的使用原则维护，域组账户的使用原则掌握：掌握：掌握：掌握：创建域，将计算机加入或脱离域，将创建域，将计算机加入或脱离域，将创建域，将计算机加入或脱离域，将创建域，将计算机加入或脱离域，将域控制器降级为独立服务器或成员服务器；域控制器降级为独立服务器或成员服务器；域控制器降级为独立服务器或成员服务器；域控制器降级为独立服务器或成员服务器；域用户账户、域组账户和组织单位的管理域用户账户、域组账户和组织单位的管理域用户账户、域组账户和组织单位的管理域用户账户、域

7、组账户和组织单位的管理本章学习目的本章学习目的Windows Windows 网络操作系统网络操作系统2023/1/17第第5 页页3.1 3.1 域的有关概念域的有关概念l l活动目录活动目录活动目录活动目录是存储网络上对象的相关信息并使该信息可供用户和网是存储网络上对象的相关信息并使该信息可供用户和网是存储网络上对象的相关信息并使该信息可供用户和网是存储网络上对象的相关信息并使该信息可供用户和网络管理员使用的目录服务。络管理员使用的目录服务。络管理员使用的目录服务。络管理员使用的目录服务。l l目录目录目录目录是一个数据库，用于保存与网络资源相关的信息结构、资源是一个数据库，用于保存与网络

8、资源相关的信息结构、资源是一个数据库，用于保存与网络资源相关的信息结构、资源是一个数据库，用于保存与网络资源相关的信息结构、资源位置、安全信息及管理信息等。如：计算机、用户、组、打印机位置、安全信息及管理信息等。如：计算机、用户、组、打印机位置、安全信息及管理信息等。如：计算机、用户、组、打印机位置、安全信息及管理信息等。如：计算机、用户、组、打印机等的名称、描述、地理位置、访问权限等信息。等的名称、描述、地理位置、访问权限等信息。等的名称、描述、地理位置、访问权限等信息。等的名称、描述、地理位置、访问权限等信息。l l目录服务目录服务目录服务目录服务是使目录中所有信息和资源发挥作用的服务。是

9、使目录中所有信息和资源发挥作用的服务。是使目录中所有信息和资源发挥作用的服务。是使目录中所有信息和资源发挥作用的服务。服务的主要表现是：服务的主要表现是：服务的主要表现是：服务的主要表现是：n网络中的所有用户和应用程序只需提供很少的信息就能准网络中的所有用户和应用程序只需提供很少的信息就能准确定位到这些实体资源，保证用户能够快速访问。确定位到这些实体资源，保证用户能够快速访问。n目录服务在网络安全方面也扮演着中心授权机构的角色，目录服务在网络安全方面也扮演着中心授权机构的角色，从而使操作系统可以轻松地验证用户身份并控制其对网络从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。资源的

10、访问。l域域域域（DomainDomain）是共用一个）是共用一个）是共用一个）是共用一个“目录服务数据库目录服务数据库目录服务数据库目录服务数据库”有安全边界的计有安全边界的计有安全边界的计有安全边界的计算机的集合。算机的集合。算机的集合。算机的集合。3.1.1 3.1.1 认识认识WindowsWindows的域的域Windows Windows 网络操作系统网络操作系统2023/1/17第第6 页页3.1 3.1 域的有关概念域的有关概念3.1.1 3.1.1 认识认识WindowsWindows的域的域教科书的目录教科书的目录教科书的目录教科书的目录网络的（活动）目录网络的（活动）目录

11、网络的（活动）目录网络的（活动）目录ADAD存储存储存储存储对象对象对象对象章、节的名称；章、节的名称；章、节的名称；章、节的名称；页号页号页号页号基本单元（对象）：基本单元（对象）：基本单元（对象）：基本单元（对象）：用户、组、计算机、文件、打印用户、组、计算机、文件、打印用户、组、计算机、文件、打印用户、组、计算机、文件、打印机、联系人等；机、联系人等；机、联系人等；机、联系人等；综合单元：综合单元：综合单元：综合单元：组织单元、域、域树、域林等组织单元、域、域树、域林等组织单元、域、域树、域林等组织单元、域、域树、域林等提供提供提供提供的的的的服务服务服务服务让读者快速查让读者快速查让读

12、者快速查让读者快速查找、定位书上找、定位书上找、定位书上找、定位书上的信息的信息的信息的信息对网上的各种资源实现集中统一的单点管理，让管理对网上的各种资源实现集中统一的单点管理，让管理对网上的各种资源实现集中统一的单点管理，让管理对网上的各种资源实现集中统一的单点管理，让管理员和用户能够便捷地查找、定位和管理网上各类对象员和用户能够便捷地查找、定位和管理网上各类对象员和用户能够便捷地查找、定位和管理网上各类对象员和用户能够便捷地查找、定位和管理网上各类对象的信息，进儿使这些信息充分发挥作用。活动目录也的信息，进儿使这些信息充分发挥作用。活动目录也的信息，进儿使这些信息充分发挥作用。活动目录也的

13、信息，进儿使这些信息充分发挥作用。活动目录也作为网络安全的集中管理机构，使得操作系统可以验作为网络安全的集中管理机构，使得操作系统可以验作为网络安全的集中管理机构，使得操作系统可以验作为网络安全的集中管理机构，使得操作系统可以验证用户的身分并控制用户对网络资源的访问。证用户的身分并控制用户对网络资源的访问。证用户的身分并控制用户对网络资源的访问。证用户的身分并控制用户对网络资源的访问。存储存储存储存储结构结构结构结构书的前几页书的前几页书的前几页书的前几页域控制器域控制器域控制器域控制器DCDCDCDC，结构化的数据仓库大型数据库，结构化的数据仓库大型数据库，结构化的数据仓库大型数据库，结构化

14、的数据仓库大型数据库扩展扩展扩展扩展性性性性静态静态静态静态不能不能不能不能增加条目增加条目增加条目增加条目动态活动动态活动动态活动动态活动可以随着网络资源的增加而动态地可以随着网络资源的增加而动态地可以随着网络资源的增加而动态地可以随着网络资源的增加而动态地进行扩展；进行扩展；进行扩展；进行扩展；提供对网上资源实施系统管理、安全管提供对网上资源实施系统管理、安全管提供对网上资源实施系统管理、安全管提供对网上资源实施系统管理、安全管理和互操作性等功能服务。理和互操作性等功能服务。理和互操作性等功能服务。理和互操作性等功能服务。Windows Windows 网络操作系统网络操作系统2023/1

15、/17第第7 页页3.1 3.1 域的有关概念域的有关概念l域控制器域控制器在一个域中，活动目录数据库必须存储在域中特定的在一个域中，活动目录数据库必须存储在域中特定的在一个域中，活动目录数据库必须存储在域中特定的在一个域中，活动目录数据库必须存储在域中特定的计算机上，这样的计算机被称为域控制器（计算机上，这样的计算机被称为域控制器（计算机上，这样的计算机被称为域控制器（计算机上，这样的计算机被称为域控制器（Domain Domain ControllerController，简写为，简写为，简写为，简写为DCDC）。）。）。）。一个域可以有一个或多个域控制器，各域控制器是平一个域可以有一个或

16、多个域控制器，各域控制器是平一个域可以有一个或多个域控制器，各域控制器是平一个域可以有一个或多个域控制器，各域控制器是平等的。等的。等的。等的。l成员服务器成员服务器那些安装了服务器版操作系统（如：那些安装了服务器版操作系统（如：那些安装了服务器版操作系统（如：那些安装了服务器版操作系统（如：Windows Windows Server 2003Server 2003或或或或Windows 2000 ServerWindows 2000 Server），但未安装），但未安装），但未安装），但未安装ADAD服务且加入域的计算机服务且加入域的计算机服务且加入域的计算机服务且加入域的计算机 。l工作

17、站工作站所有安装所有安装所有安装所有安装Windows NT WorkstationWindows NT Workstation、Windows Windows 2000 Professional2000 Professional或或或或Windows XP ProfessionalWindows XP Professional系系系系统，且加入域的计算机统，且加入域的计算机统，且加入域的计算机统，且加入域的计算机 3.1.2 域中计算机的角色域中计算机的角色Windows Windows 网络操作系统网络操作系统2023/1/17第第8 页页3.1 3.1 域的有关概念域的有关概念l有许多计

18、算机并不属于任何一个域，即以工作组有许多计算机并不属于任何一个域，即以工作组模式运行着，从功能上来讲，也可将其分为两种模式运行着，从功能上来讲，也可将其分为两种角色：角色：独立服务器独立服务器n安装了各种版本的安装了各种版本的Windows ServerWindows Server，但未加入域。，但未加入域。它一旦加入域中，其角色便转化为它一旦加入域中，其角色便转化为“成员服务器成员服务器”。一般客户端计算机一般客户端计算机n无论执行何种操作系统，只要未加入域，且不是无论执行何种操作系统，只要未加入域，且不是独立服务器的计算机，都归为此类。它一旦加入独立服务器的计算机，都归为此类。它一旦加入域

19、中，其角色便是域中，其角色便是“工作站工作站”。3.1.2 域中计算机的角色域中计算机的角色Windows Windows 网络操作系统网络操作系统2023/1/17第第9 页页3.1 3.1 域的有关概念域的有关概念l集中管理：集中管理：集中管理：集中管理：域中所有计算机共享了一个活动目录数据域中所有计算机共享了一个活动目录数据域中所有计算机共享了一个活动目录数据域中所有计算机共享了一个活动目录数据库，里面包含了整个域中的所有的资源信息、账户信库，里面包含了整个域中的所有的资源信息、账户信库，里面包含了整个域中的所有的资源信息、账户信库，里面包含了整个域中的所有的资源信息、账户信息与安全信息

20、。息与安全信息。息与安全信息。息与安全信息。l安全级别较高：安全级别较高：安全级别较高：安全级别较高：由于域中所有安全信息都集中存储在由于域中所有安全信息都集中存储在由于域中所有安全信息都集中存储在由于域中所有安全信息都集中存储在活动目录数据库中，所以管理员可以通过指定强有力活动目录数据库中，所以管理员可以通过指定强有力活动目录数据库中，所以管理员可以通过指定强有力活动目录数据库中，所以管理员可以通过指定强有力的安全策略来保证整个域的安全。的安全策略来保证整个域的安全。的安全策略来保证整个域的安全。的安全策略来保证整个域的安全。l便于用户访问域中的资源：便于用户访问域中的资源：便于用户访问域中

21、的资源：便于用户访问域中的资源：在域的活动目录数据库中，在域的活动目录数据库中，在域的活动目录数据库中，在域的活动目录数据库中，管理员可以创建管理员可以创建管理员可以创建管理员可以创建“域用户账户域用户账户域用户账户域用户账户”。一个域中无论有多少台计算机，用户只要拥有域用户账户，一个域中无论有多少台计算机，用户只要拥有域用户账户，一个域中无论有多少台计算机，用户只要拥有域用户账户，一个域中无论有多少台计算机，用户只要拥有域用户账户，便可访问域中所有计算机上允许访问的资源，即域用户账便可访问域中所有计算机上允许访问的资源，即域用户账便可访问域中所有计算机上允许访问的资源，即域用户账便可访问域中

22、所有计算机上允许访问的资源，即域用户账户对资源的访问范围可以是整个域，而非局限在一台计算户对资源的访问范围可以是整个域，而非局限在一台计算户对资源的访问范围可以是整个域，而非局限在一台计算户对资源的访问范围可以是整个域，而非局限在一台计算机上。机上。机上。机上。域用户账户可以在加入域的任何一台计算机上登录，从而域用户账户可以在加入域的任何一台计算机上登录，从而域用户账户可以在加入域的任何一台计算机上登录，从而域用户账户可以在加入域的任何一台计算机上登录，从而使用、访问该计算机上资源。使用、访问该计算机上资源。使用、访问该计算机上资源。使用、访问该计算机上资源。3.1.3 域的特点域的特点Win

23、dows Windows 网络操作系统网络操作系统2023/1/17第第10 页页3.1 3.1 域的有关概念域的有关概念l组织单位组织单位组织单位组织单位（Organizational UnitOrganizational Unit，简称，简称，简称，简称OUOU）OUOU是组织、管理一个域内的对象的容器，它能包是组织、管理一个域内的对象的容器，它能包是组织、管理一个域内的对象的容器，它能包是组织、管理一个域内的对象的容器，它能包容用户账户、用户组、计算机、应用程序、打印机容用户账户、用户组、计算机、应用程序、打印机容用户账户、用户组、计算机、应用程序、打印机容用户账户、用户组、计算机、应用

24、程序、打印机和其它的和其它的和其它的和其它的OUOU。l域域域域(Domain)(Domain)域是活动目录的核心单元，是对象（如计算机、用域是活动目录的核心单元，是对象（如计算机、用域是活动目录的核心单元，是对象（如计算机、用域是活动目录的核心单元，是对象（如计算机、用户、组织单位等）的容器，这些对象有相同的安全户、组织单位等）的容器，这些对象有相同的安全户、组织单位等）的容器，这些对象有相同的安全户、组织单位等）的容器，这些对象有相同的安全需求、复制过程和管理。域管理员具有管理本域的需求、复制过程和管理。域管理员具有管理本域的需求、复制过程和管理。域管理员具有管理本域的需求、复制过程和管理

25、。域管理员具有管理本域的所有权利，如果其它的域显式地赋予它管理权限，所有权利，如果其它的域显式地赋予它管理权限，所有权利，如果其它的域显式地赋予它管理权限，所有权利，如果其它的域显式地赋予它管理权限，他还能够访问或管理其它的域。他还能够访问或管理其它的域。他还能够访问或管理其它的域。他还能够访问或管理其它的域。l域树域树域树域树(Tree)(Tree)3.1.4 活动目录的组织结构活动目录的组织结构Windows Windows 网络操作系统网络操作系统2023/1/17第第11 页页3.2 3.2 域的创建域的创建l计算机必须运行计算机必须运行计算机必须运行计算机必须运行Windows Se

26、rver 2003Windows Server 2003标准版、企标准版、企标准版、企标准版、企业版或数据中心版，业版或数据中心版，业版或数据中心版，业版或数据中心版，WebWeb版的计算机不能成为域控制版的计算机不能成为域控制版的计算机不能成为域控制版的计算机不能成为域控制器器器器l安装者具有本地管理员权限安装者具有本地管理员权限安装者具有本地管理员权限安装者具有本地管理员权限l至少具有至少具有至少具有至少具有250MB250MB的磁盘空间。其中，的磁盘空间。其中，的磁盘空间。其中，的磁盘空间。其中，200MB200MB的空间的空间的空间的空间用于存放活动目录数据库，用于存放活动目录数据库，

27、用于存放活动目录数据库，用于存放活动目录数据库，50MB50MB的空间用于存放活的空间用于存放活的空间用于存放活的空间用于存放活动目录数据库的事务日志文件。动目录数据库的事务日志文件。动目录数据库的事务日志文件。动目录数据库的事务日志文件。l安装域控制器的服务器上至少要有一个安装域控制器的服务器上至少要有一个安装域控制器的服务器上至少要有一个安装域控制器的服务器上至少要有一个NTFSNTFS分区。分区。分区。分区。l有有有有TCP/IPTCP/IP设置（设置（设置（设置（IPIP地址、子网掩码、地址、子网掩码、地址、子网掩码、地址、子网掩码、DNSDNS的的的的IPIP等）等）等）等）l域结构

28、的网络中必须有域结构的网络中必须有域结构的网络中必须有域结构的网络中必须有DNSDNS服务器与其相配合。服务器与其相配合。服务器与其相配合。服务器与其相配合。DNSDNS服务器的作用是定位域控制器的位置。服务器的作用是定位域控制器的位置。服务器的作用是定位域控制器的位置。服务器的作用是定位域控制器的位置。3.2.1 安装域控制器的条件安装域控制器的条件Windows Windows 网络操作系统网络操作系统2023/1/17第第12 页页3.2 3.2 域的创建域的创建l安装过程演示：安装过程演示：安装过程演示：安装过程演示：3.2.2 域控制器的安装域控制器的安装Windows Window

29、s 网络操作系统网络操作系统2023/1/17第第13 页页3.2 3.2 域的创建域的创建l计算机能加入域的先决条件是：计算机能加入域的先决条件是：计算机能加入域的先决条件是：计算机能加入域的先决条件是：该计算机与域控制器能连通该计算机与域控制器能连通该计算机与域控制器能连通该计算机与域控制器能连通在计算机上正确设置首选在计算机上正确设置首选在计算机上正确设置首选在计算机上正确设置首选DNSDNS服务器的服务器的服务器的服务器的IPIP地址地址地址地址(这里设为第一台这里设为第一台这里设为第一台这里设为第一台DCDC的的的的IP)IP)。3.2.3 计算机加入或脱离域计算机加入或脱离域客户端

30、客户端1（物理机）（物理机）客户端客户端2（虚拟机（虚拟机2）IPIP：172.16.172.16.220220.X+160/24.X+160/24DNSDNS：172.16.220.X+80/24172.16.220.X+80/24 IPIP：172.16.220.X/24172.16.220.X/24域控制器域控制器（虚拟机（虚拟机1）IPIP：172.16.172.16.220.220.X+80/24X+80/24DNSDNS：172.16.220.X+80/24172.16.220.X+80/24加入域加入域Windows Windows 网络操作系统网络操作系统2023/1/17第第

31、14 页页3.2 3.2 域的创建域的创建3.2.3 计算机加入或脱离域计算机加入或脱离域Windows Windows 网络操作系统网络操作系统2023/1/17第第15 页页3.3 3.3 域的管理域的管理l创建域用户账户：创建域用户账户：创建域用户账户：创建域用户账户：3.3.1 创建与管理域用户账户创建与管理域用户账户Windows Windows 网络操作系统网络操作系统2023/1/17第第16 页页3.3 3.3 域的管理域的管理l限制用户登录域的时间：限制用户登录域的时间：限制用户登录域的时间：限制用户登录域的时间：3.3.1 创建与管理域用户账户创建与管理域用户账户Windo

32、ws Windows 网络操作系统网络操作系统2023/1/17第第17 页页3.3 3.3 域的管理域的管理l限制域用户账户只能从特定的计算机上登录域限制域用户账户只能从特定的计算机上登录域限制域用户账户只能从特定的计算机上登录域限制域用户账户只能从特定的计算机上登录域3.3.1 创建与管理域用户账户创建与管理域用户账户Windows Windows 网络操作系统网络操作系统2023/1/17第第18 页页3.3 3.3 域的管理域的管理3.3.2 创建与管理域组账户创建与管理域组账户域组域组分类分类安全组安全组通讯组（分布式组）通讯组（分布式组）实现与安全性有关的工作和功能，实现与安全性有

33、关的工作和功能，可以通过给安全组赋予访问资源的可以通过给安全组赋予访问资源的权限来限制安全组的成员对域中资权限来限制安全组的成员对域中资源的访问。如：可设置对某个文件源的访问。如：可设置对某个文件有有“读取读取”或或“改写改写”的权限。的权限。也可用在与安全无关的任务上，如：也可用在与安全无关的任务上，如：可以通过电子邮件软件将电子邮件可以通过电子邮件软件将电子邮件发送给安全组。发送给安全组。用在与安全无关的任务上。不能被赋予访用在与安全无关的任务上。不能被赋予访问资源的权限。只能收发电子邮件，即分问资源的权限。只能收发电子邮件，即分发组可以组织其成员的发组可以组织其成员的E-MAILE-MA

34、IL地址成为地址成为E-E-MAILMAIL列表。利用这个特性使基于列表。利用这个特性使基于ADAD的应用的应用程序就可以直接利用分发组来发程序就可以直接利用分发组来发E-MAILE-MAIL给给多个用户以及实现其他和多个用户以及实现其他和E-MAILE-MAIL列表相关列表相关的功能（例如在的功能（例如在Microsoft Exchange Microsoft Exchange 2003 Server2003 Server中使用）。中使用）。本地域组本地域组全局组全局组通用组通用组作用作用范围范围该组所在的域内该组所在的域内所有受信任的域所有受信任的域所有受信任的域所有受信任的域成员成员所有

35、域的用户账户、全局组、所有域的用户账户、全局组、通用组，以及本域的域本地组通用组，以及本域的域本地组本域的用户账户和本域的用户账户和全局组全局组所有域的用户账户、全局所有域的用户账户、全局组和通用组组和通用组Windows Windows 网络操作系统网络操作系统2023/1/17第第19 页页3.3 3.3 域的管理域的管理l组织单位（组织单位（OU）OU是一个容器，在是一个容器，在OU中可以包含用户、组等其他对象，也可以在中可以包含用户、组等其他对象，也可以在OU中建立子中建立子OU。lOU容纳和组织对象的方式：容纳和组织对象的方式：按对象类型来划分按对象类型来划分按企业的组织结构来划分；

36、按企业的组织结构来划分；按地区来划分；按地区来划分；混合划分方法混合划分方法 3.3.3 创建与管理组织单位创建与管理组织单位Windows Windows 网络操作系统网络操作系统2023/1/17第第20 页页3.3 3.3 域的管理域的管理l创建组织单位创建组织单位创建组织单位创建组织单位3.3.3 创建与管理组织单位创建与管理组织单位Windows Windows 网络操作系统网络操作系统2023/1/17第第21 页页3.3 3.3 域的管理域的管理l向组织单位添加对象向组织单位添加对象向组织单位添加对象向组织单位添加对象3.3.3 创建与管理组织单位创建与管理组织单位Windows

37、 Windows 网络操作系统网络操作系统2023/1/17第第22 页页3.4 3.4 域中组策略的应用域中组策略的应用3.4.1 认识组策略认识组策略l通过通过通过通过组策略组策略组策略组策略GPOGPO（Group Policy ObjectGroup Policy Object）来实现用）来实现用）来实现用）来实现用户和计算机的集中配置和管理。这些设置包括安全选户和计算机的集中配置和管理。这些设置包括安全选户和计算机的集中配置和管理。这些设置包括安全选户和计算机的集中配置和管理。这些设置包括安全选项、软件安装、脚本文件设置、桌面外观和用户文件项、软件安装、脚本文件设置、桌面外观和用户文

38、件项、软件安装、脚本文件设置、桌面外观和用户文件项、软件安装、脚本文件设置、桌面外观和用户文件管理等。管理等。管理等。管理等。l组策略的所有配置信息都保存在组策略对象组策略的所有配置信息都保存在组策略对象组策略的所有配置信息都保存在组策略对象组策略的所有配置信息都保存在组策略对象l两类两类两类两类GPOGPO：系统内建的默认系统内建的默认系统内建的默认系统内建的默认GPOGPOn默认域策略默认域策略（Default Domain PolicyDefault Domain Policy）：该策略将影）：该策略将影响域中的所有用户和计算机。响域中的所有用户和计算机。n默认域控制器组策略默认域控制器

39、组策略（Default Domain Controllers Default Domain Controllers PolicyPolicy）：通常只影响到域中所有的域控制器。）：通常只影响到域中所有的域控制器。用户自定义用户自定义用户自定义用户自定义GPOGPOWindows Windows 网络操作系统网络操作系统2023/1/17第第23 页页3.4 3.4 域中组策略的应用域中组策略的应用l创建和管理创建和管理创建和管理创建和管理GPOGPO的工具：的工具：的工具：的工具：组策略管理控制台组策略管理控制台组策略管理控制台组策略管理控制台GPMCGPMCn它不是它不是Windows Se

40、rver 2003Windows Server 2003内置的工具，但可以内置的工具，但可以从微软网站免费下载。该工具可以完成对组策略的从微软网站免费下载。该工具可以完成对组策略的各种配置和管理，包括备份，还原和生成组策略报各种配置和管理，包括备份，还原和生成组策略报表。表。Active DirectoryActive Directory用户和计算机用户和计算机用户和计算机用户和计算机n用于管理域和用于管理域和OUOU的组策略的组策略Active DirectoryActive Directory站点和服务站点和服务站点和服务站点和服务n用于管理站点的组策略。用于管理站点的组策略。3.4.2

41、创建组策略对象创建组策略对象Windows Windows 网络操作系统网络操作系统2023/1/17第第24 页页3.4 3.4 域中组策略的应用域中组策略的应用3.4.2 创建组策略对象创建组策略对象Windows Windows 网络操作系统网络操作系统2023/1/17第第25 页页3.4 3.4 域中组策略的应用域中组策略的应用3.4.3 配置组策略对象配置组策略对象Windows Windows 网络操作系统网络操作系统2023/1/17第第26 页页3.4 3.4 域中组策略的应用域中组策略的应用1 1统一定制桌面环境统一定制桌面环境统一定制桌面环境统一定制桌面环境l l步骤步骤

42、步骤步骤1 1：在域控制器的非系统磁盘在域控制器的非系统磁盘在域控制器的非系统磁盘在域控制器的非系统磁盘建一个文件夹建一个文件夹建一个文件夹建一个文件夹将准备统一的桌面将准备统一的桌面将准备统一的桌面将准备统一的桌面背景图片文件放入文件夹中背景图片文件放入文件夹中背景图片文件放入文件夹中背景图片文件放入文件夹中右击右击右击右击该文件夹该文件夹该文件夹该文件夹选选选选【属性属性属性属性】在打开的在打开的在打开的在打开的【属性属性属性属性】窗口中点击窗口中点击窗口中点击窗口中点击【共享共享共享共享】选项选项选项选项卡卡卡卡点击点击点击点击【共享此文件夹共享此文件夹共享此文件夹共享此文件夹】单选按单

43、选按单选按单选按钮钮钮钮单击单击单击单击【权限权限权限权限】按钮。按钮。按钮。按钮。l l步骤步骤步骤步骤2 2：打开设置共享权限对话框，打开设置共享权限对话框，打开设置共享权限对话框，打开设置共享权限对话框，点击点击点击点击【安全安全安全安全】选项卡选项卡选项卡选项卡对对对对“Domain Domain Users”Users”组设置文件夹的相应共享组设置文件夹的相应共享组设置文件夹的相应共享组设置文件夹的相应共享权限权限权限权限设置完成后，单击设置完成后，单击设置完成后，单击设置完成后，单击【确定确定确定确定】按钮。按钮。按钮。按钮。3.4.4 组策略的应用组策略的应用Windows Wi

44、ndows 网络操作系统网络操作系统2023/1/17第第27 页页3.4 3.4 域中组策略的应用域中组策略的应用1 1统一定制桌面环境统一定制桌面环境统一定制桌面环境统一定制桌面环境l步骤步骤步骤步骤3 3：【开始开始开始开始】【管理工具管理工具管理工具管理工具】【Active Active Directory Directory 用户和计算用户和计算用户和计算用户和计算机机机机】在打开的控制台在打开的控制台在打开的控制台在打开的控制台窗口中，右击要创建组窗口中，右击要创建组窗口中，右击要创建组窗口中，右击要创建组策略对象的域或组织单策略对象的域或组织单策略对象的域或组织单策略对象的域或组

45、织单位位位位【属性属性属性属性】【组策组策组策组策略略略略】【新建新建新建新建】输入输入输入输入组策略对象的名称组策略对象的名称组策略对象的名称组策略对象的名称按按按按【EnterEnter】键。键。键。键。3.4.4 组策略的应用组策略的应用Windows Windows 网络操作系统网络操作系统2023/1/17第第28 页页3.4 3.4 域中组策略的应用域中组策略的应用1统一定制桌面环境统一定制桌面环境l步骤步骤步骤步骤4 4：选择选择选择选择“统一桌面统一桌面统一桌面统一桌面”【编辑编辑编辑编辑】打开打开打开打开【组策组策组策组策略编辑器略编辑器略编辑器略编辑器】【用户配置用户配置用

46、户配置用户配置】【管理模板管理模板管理模板管理模板】【桌面桌面桌面桌面】【Active DesktopActive Desktop】在右侧子窗口中，右击在右侧子窗口中，右击在右侧子窗口中，右击在右侧子窗口中，右击【启用启用启用启用Active DesktopActive Desktop】在快捷菜单中选择在快捷菜单中选择在快捷菜单中选择在快捷菜单中选择【属属属属性性性性】。3.4.4 组策略的应用组策略的应用Windows Windows 网络操作系统网络操作系统2023/1/17第第29 页页3.4 3.4 域中组策略的应用域中组策略的应用1统一定制桌面环境统一定制桌面环境l l步骤步骤步骤步

47、骤5 5：在打开的在打开的在打开的在打开的【启用启用启用启用Active DesktopActive Desktop属性属性属性属性】窗窗窗窗口中，点击口中，点击口中，点击口中，点击【已启用已启用已启用已启用】点点点点击击击击【确定确定确定确定】。l l步骤步骤步骤步骤6 6：在图在图在图在图3-433-43所示的右所示的右所示的右所示的右侧子窗口中，双击侧子窗口中，双击侧子窗口中，双击侧子窗口中，双击【Active Active DesktopDesktop墙纸墙纸墙纸墙纸】在打开的在打开的在打开的在打开的【Active DesktopActive Desktop墙纸属墙纸属墙纸属墙纸属性性

48、性性】窗口中，点击窗口中，点击窗口中，点击窗口中，点击【已启用已启用已启用已启用】在在在在“墙纸名称墙纸名称墙纸名称墙纸名称”输入框输入框输入框输入框中输入存放桌面背景文件的中输入存放桌面背景文件的中输入存放桌面背景文件的中输入存放桌面背景文件的完整路径（如：完整路径（如：完整路径（如：完整路径（如：server1shareserver1share文件名）文件名）文件名）文件名）在在在在“墙纸样式墙纸样式墙纸样式墙纸样式”下拉框中下拉框中下拉框中下拉框中选择样式选择样式选择样式选择样式点击点击点击点击【确定确定确定确定】。3.4.4 组策略的应用组策略的应用Windows Windows 网络

49、操作系统网络操作系统2023/1/17第第30 页页3.4 3.4 域中组策略的应用域中组策略的应用1统一定制桌面环境统一定制桌面环境l步骤步骤7：在域控制器上，点击在域控制器上，点击【开始开始】【运行运行】输入输入“gpupdate /force”命令强制刷新组策略。再到命令强制刷新组策略。再到客户端用客户端用“gpupdate /force”命令强命令强制刷新组策略或者注销客户端再登录，制刷新组策略或者注销客户端再登录，此后客户端桌面就会自动换成指定的此后客户端桌面就会自动换成指定的桌面背景了。桌面背景了。3.4.4 组策略的应用组策略的应用Windows Windows 网络操作系统网络

50、操作系统2023/1/17第第31 页页3.4 3.4 域中组策略的应用域中组策略的应用2 2文件夹重定向文件夹重定向文件夹重定向文件夹重定向l l步骤步骤步骤步骤1 1：在域控制器或域中在域控制器或域中在域控制器或域中在域控制器或域中其它计算机上建立一个共享其它计算机上建立一个共享其它计算机上建立一个共享其它计算机上建立一个共享文件夹作为重定向的目标文文件夹作为重定向的目标文文件夹作为重定向的目标文文件夹作为重定向的目标文件夹件夹件夹件夹设置该文件夹为每个设置该文件夹为每个设置该文件夹为每个设置该文件夹为每个人都有完全控制的共享权限人都有完全控制的共享权限人都有完全控制的共享权限人都有完全控