1、項目 6Windows 2003 Server 域控制器的安裝及配置學習目標：（1）掌握 Windows 2003 Server 域控制器的安裝方法。（2）掌握 Windows 2003 Server 域用戶和組的管理方法。6.1 任務 1 Windows 2003 Server 域控制器的安裝6.1.1 任務分析Windwos 2003 提供了目錄服務，目錄服務需要安裝域控制器才能實現，域控制器安裝后，可以實現大型網絡的安全管理，只有域的成員才能訪問域中的資源，這樣，保護了網絡上的資源，本任務我們就是要進行域控制器的安裝與配置的練習。6.1.2 相關知識1、活動目錄的概念活動目錄是 Wind

2、ows 2003 網絡體系結構中一個基本且不可分割的部分。它在 Windows NT 4.0 操作系統的域結構基礎上改進而成，并提供了一套為分布式網絡環境設計的目錄服務。活動目錄使得組織機構可以有效地對有關網絡資源和用戶的信息進行共享和管理。另外，目錄服務在網絡安全方面也扮演著中心授權機構的角色，從而使操作系統可以輕松地驗證用戶身份并控制其對網絡資源的訪問。同等重要的是，活動目錄還擔當著系統集成和鞏固管理任務的集合點。2、為什么要提供目錄服務?對更加強大、透明且高度集成的目錄服務的不斷需求是由爆炸性增長的網絡計算所導致的。隨著局域網（LAN）、廣域網（WAN）規模與復雜性的不斷提高和這些網絡不

3、斷被連入 Internet，以及應用程序對網絡的依賴程度不斷增強并不斷被鏈接到協作企業網中的其它系統上，對目錄服務的需求也日漸增多。基于下列原因，目錄服務成為擴展的計算機系統中最重要的部件之一：、域控制器【域】的真正含義指的是服務器控制網絡上的計算機能否加入的計算機組合。一提到組合，勢必需要嚴格的控制。所以實行嚴格的管理對網絡安全是非常必要的。在對等網模式下，任何一臺計算機只要接入網絡，其他機器就都可以訪問共享資源，如共享上網等。盡管對等網絡上的共享文件可以加訪問密碼，但是非常容易被破解。在由 Windows 9x構成的對等網中，數據的傳輸是非常不安全的。）服務器端設置以系統管理員身份在已經設

4、置好 ActiveDirectory（活動目錄）的 Windows 2003 Server上登錄，選擇【開始】菜單中【程序】選項中的【管理工具】，然后再選擇【Active Directory 用戶和計算機】，在程序對話框中鼠標右鍵單擊【Computers】，在彈出的菜單中單擊【新建】，然后選擇【計算機】，并填入想要加入域的計算機名即可。要加入域的計算機名最好為英文，中文計算機名可能會引起一些問題。）客戶端設置首先要確認計算機名稱是否正確，然后在桌面【網上鄰居】上鼠標右鍵單擊選擇【屬性】出現網絡屬性設置窗口， 【主網絡登錄】 【Microsoft確認為網絡用戶】。選中窗口上方的【Microsof

5、t 網絡用戶】（如果沒有此項，說明沒有安裝，單擊【添加】安裝【Microsoft 網絡用戶】選項）。單擊【屬性】按鈕，出現【Microsoft 網絡用戶屬性】對話框，選中【登錄到 Windows NT 域】復選框，在【Windows NT 域】中輸入要登錄的域名即可。重新進行客戶機的登錄，在輸入正確的域用戶賬號、密碼以及登錄域之后，就可以使用 Windows 200 Server 域中的資源了。注意：這里的域用戶賬號和密碼，必須是網絡管理員為用戶建的那個賬號和密碼，而不是由本機用戶自己創建的賬號和密碼。如果沒有將計算機加入到域中，或者登錄的域名、用戶名、密碼有一項不正確，都會出現錯誤信息。4、

6、安裝域控制器的條件安裝域控制器的條件如下：（）已安裝了 Windows Server 2003 操作系統；（）服務器上至少要有一個 NTFS 分區；（）一個 DNS 域名；如果網絡中有多個域，各個域名不能重復；（）一個 DNS 服務器；負責域名的解析，用于定位域控制器的位置，多個域控制器可共用一個 DNS服務器。5、安裝域控制器進行域規劃建立域控制器時應該先進行規劃，明確該域控制器所管理的域，還需要明確各域之間的關系，這樣才不會造成混亂。6.1.3 任務實施由于域控制器在安裝時有多種不同的選擇，這里僅以一種情況為例給出安裝過程。例：建立一個獨立的新域，在安裝活動目錄的同時在本機安裝和配置 DN

7、S 服務器。1、準備工作：配置本機 IP 地址和 DNS 服務器地址：要求DNS 服務器地址與本機 IP 地址設置成相同的值。2、安裝活動目錄：3、域控制器的刪除過程打開【開始】 | 【管理工具】 | 【配置您的服務器向導】，彈出【配置您的服務器向導】對話框。選擇服務器角色為【域控制器 (Active Directory)】，按提示進行下去就可以將域控制器刪除了。說明：如果刪除的域控制器是該域中最后一臺域控制器，則該域也被刪除，該域中所有的域帳戶也被刪除。如果一個域有子域，必須先刪除子域。6.1.4 任務總結與回顧本任務我們詳細介紹了域控制器的安裝過程，也提示了域控制器的刪除方法，對于域控制器

8、的安裝過程中的注意事項我們都進行了說明，讀者只要按照步驟一步步操作即可完成這個任務。6.1.5 習題1.什么是活動目錄？2.為什么要使用活動目錄？3.什么是域？4.什么是域控制器？5.如何安裝域控制器？6.如何刪除域控制器？7.上機操作：完成域控制器的安裝6.2 任務 2 Windows 2003 Server 用戶的管理6.2.1 任務分析Windows 2003 Serve 安裝域控制器后，用戶發生了一些變化，增加了域用戶，我們在本任務中要對本地用戶和域用戶的創建進行介紹，將給出創建的方法和步驟。6.2.2 相關知識1、Windows 2003 Server 用戶賬戶的概念所謂用戶帳戶，是

9、計算機使用者的身份憑證。Windows 2003 是多用戶操作系統，可以在一臺計算機上建立多個用戶賬號，不同用戶用不同賬號登錄，盡量減少相互之間的影響。2、Windows 2003 Server 用戶賬戶分類Windows 2003 系統中的用戶賬戶包括：本地用戶賬戶、域用戶賬戶和內置用戶賬戶。1）本地用戶賬戶創建于非域控制器計算機，只能在本地計算機上登錄，無法訪問域中的其他計算機資源。本地用戶信息存儲在本地安全數據庫中（SAM 數據庫）：c:windowssystem32configsam。2）域用戶賬戶創建于域控制器計算機，可以在網絡中任何計算機上登錄。域用戶信息保存在活動目錄中（活動目錄

10、數據庫）：c:windowsNTDSntds.dit 。用戶登錄名是由用戶前綴和后綴組成，之間用分開，如 。3）內置用戶賬戶在安裝系統時一起安裝的用戶賬戶，通常有：Administrator(系統管理員，又稱超級用戶)對系統中全部控制權，管理計算機的內置賬戶，不能被刪除和禁用。Guest（來賓）供那些在系統中沒有個人賬戶的來客訪問的計算機臨時賬戶，默認狀態此用戶被禁用，以確保網絡安全，它也不能被刪除，但可以更名和禁用。623 任務實施1、創建和管理本地用戶賬戶1）創建本地用戶帳戶在【我的電腦】上單擊鼠標右鍵，選擇【管理】|計算機管理|本地用戶和組|【用戶】右鍵|新用戶|輸入用戶名和密碼。2）設

11、置本地用戶屬性右鍵單擊所創建的用戶帳戶|屬性常規：用于設置用戶的密碼選項，如【用戶不能更改密碼】、【密碼永不過期】、【帳戶已禁用】隸屬于：用于將用戶帳戶加入組，成為組的成員3）更改本地用戶帳戶右鍵單擊要更改的用戶帳戶，通過快捷菜單進行更改包括設置密碼、重命名、刪除、禁用或激活用戶賬號等2、創建和管理域用戶賬戶1）創建域用戶賬戶2）、改變密碼策略選項3、管理用戶后綴為使用方便，符合人們使用 email 的習慣，可以更改用戶后綴。4、重設密碼5、復制用戶賬戶復制后的用戶帳戶除名稱不同外，很多設置與原帳戶是相同的。6、移動用戶賬戶（1）右鍵單擊需要重新移動的賬戶，選擇【移動】。（2）在對話框內選擇目

12、的地址，或者是直接進行拖動.7、啟用或禁用賬戶右鍵單擊要啟用或禁用的賬戶，選擇【禁用賬戶】或【啟用賬戶】8、刪除賬戶步驟右鍵單擊要刪除的賬戶，選擇【刪除】即可。9、設置域用戶賬戶的屬性選擇需要設置的用戶，右鍵單擊選擇屬性，如圖所示6-38 所示。（1）設置用戶的個人信息（2）設置域用戶的帳戶信息設置帳戶信息，單擊圖 6-39 中的帳戶，可以進行帳戶設置，如圖 6-40 所示。（3）設置域帳戶的登錄時間和可以登錄的計算機單擊圖 6-40 中的登錄時間和登錄到按鈕可以設置用戶的登錄的時間和登錄的計算機，如圖 6-41、 6-42圖所示。10、開放域用戶帳號在域控制器本地登錄的權限步驟如下：（1）【

13、開始】|【管理工具】|【域控制器安全策略】|【安全設置】|【本地策略】|【用戶權限分配】|雙擊【允許在本地登錄】【增加用戶或組】 如圖 6-43、|，圖 6-44、圖 6-45 所示。圖 6-44 選擇允許在本地登錄圖 6-45 允許在本地登錄屬性設置在圖 6-45 中，可以單擊【添加用戶或組】按鈕，添加可以在本地登錄的用戶帳戶。（2）完成設置后可以用以下 3 種方法之一將安全設置值應用到域控制器方法一：重新啟動域控制器方法二：等域控制器自動應用該新的策略設置，可能需要等 5 分鐘或者更久。方法三：在命令提示符中執行命令 gpupdate6.2.4 任務總結與回顧本任務我們介紹了用戶帳戶的創建

14、與管理方法，并進行詳細的操作介紹，讀者可以通過本任務進行操作，熟悉用戶帳戶的創建與管理方法。6.2.5 習題完成以下任務：任務一：1、建立虛擬機組（一臺域控制器、兩臺 XP 系統）2、設置計算機名：域控制器名為 a1、XP1 名為 a2、XP2 名為 a33、設置 IP 地址：域控制器：IP：，子網掩碼：，網關：，DNS：XP1：IP：，子網掩碼：，網關：，DNS：XP2：IP：，子網掩碼：，網關：，DNS：4.在域控制器上建立 W2K.com 域，并將兩臺 XP 系統加入這個域5.域控制器的 Administrator 與 Guest 賬戶能進行本地登錄嗎？能遠程登錄到域嗎？進行測試后回答。

15、任務 2：域用戶練習 11、創建用戶賬戶創建 2 個域用戶賬戶，其密碼與賬號名相同：（1）student1(下次登錄時必須更改密碼)（2）（賬戶永不過期）2、復制用戶賬戶（1）把 student1 復制為（2）把 student3W 復制為3、更改用戶密碼把 student3W 賬號的密碼改為【自己的生日windows2003】4、設置賬戶屬性（1）設置賬戶 student1 的登錄時間為周一、周三、周五這三天時間（2）設置賬戶 student2 的帳戶選項為用戶不能更改密碼（3）要求賬戶 student3W 在交互式登錄時必須使用智能卡（4）設置賬戶 student4W 只能在名為【a1】的

16、計算機上登錄任務 3：域用戶練習 21、創建 3 個用戶：user1、user2、user32、設置用戶帳戶屬性：（1）user1 帳戶在 3 天后自動過期（2）user2 只允許在雙休日上午 8 點到下午 6 點登錄域（3）user3 只能在名為 a3 的計算機上登錄3、用戶登錄實驗：（1）user1 用戶在 a1 計算機上登錄到域（即本地登錄）（2）user2 用戶在 a2 計算機上登錄到域（3）user3 用戶在 a3 計算機上登錄63 任務 3Windows 2003 Server 組的管理631 任務分析我們在任務 2 中介紹了 Windows Server 2003 用戶帳戶的創建

17、與管理方法，在本任務中我們將介紹用戶組的概念及用戶組的創建及管理，用戶組的管理可以減輕我們的網絡管理負擔，讀者要掌握用戶組的創建及管理方法。632 相關知識1、Windows 2003 Server 的組1）組的概念所謂組，是一組相關賬號的集合。在管理網絡時，可以按照不同用戶的操作需求和資源訪問需求來創建不同的組，從而實現對多個用戶的統一配置和管理，大大提高網絡管理的效率。2）組的類型（1）根據創建組的位置和使用范圍不同，組分為以下 2 種類型：工作組中的組（本地組）：創建在非域控制器計算機，控制對本機資源的訪問。域中的組（域組）：創建在域控制器，控制對域資源的訪問。（2）根據用途不同，域組分

18、為以下 2 種類型：安全組：它是標準 windows server 2003 安全主體，將用戶、計算機和其它組收集到可管理的單位中，主要用于設置權限。通訊組：不能用于設置權限，只能用電子郵件的通信，沒有安全方面的功能。（3）根據組的作用范圍，域組分為以下 3 種類型：通用組：可以將不同域的用戶組織起來，可以訪問所有域的資源。全局組：用于組織用戶，即可以將所有將要被賦予相同權限的用戶加入到同一個全局組中。本地域組：主要用于授予權限，使組的成員可以訪問該域內的資源。2、Windows Server 2003 內置組除了以上的組類型外，Windows Server 2003 還有一些內置的組。（1）

19、Administrators：管理員組，其成員擁有管理員的權限（2）Power Users：超級用戶組，相當于副管理員組，其用戶權限僅次于管理員，可以執行一部分管理操作。例如：可以創建、刪除、更改本地用戶帳戶，創建、刪除、管理本地計算機內的共享文件夾與共享打印機，自定義系統設置，更改計算機時間、關閉計算機等；但不可以更改 Administrators 與 BackupOperators，無法奪取文件的所有權，無法備份與還原文件，無法安裝刪除與刪除設備驅動程序，無法管理安全與審核日志。（3）Users：用戶組，用于組織用戶，不用于授權。（4）Guests：來賓組，保存來賓帳號3、使用組的規則首先將用戶加入組。給組授權4、在單域中使用組的規則將用戶加入全局組將全局組加入域本地組給域本地組授權633 任務實施1、創建組2、設置組的屬性3、