电大形考任务管理活动目录域.pdf
- 文档编号:14657486
- 上传时间:2023-06-25
- 格式:PDF
- 页数:39
- 大小:1.50MB
电大形考任务管理活动目录域.pdf
《电大形考任务管理活动目录域.pdf》由会员分享,可在线阅读,更多相关《电大形考任务管理活动目录域.pdf(39页珍藏版)》请在冰点文库上搜索。
实训目标:
实训目标:
理解域的特点,掌握创建域、管理域以及管理组织单位的方法与步骤;理解域用户账户与组账户的特点、用途,掌握管理域用户账户与组账户的方法与步骤。
实训环境:
实训环境:
6台WindowsServer2008R2企业版计算机。
实训内容:
实训内容:
假设你是一家公司的网络管理员,负责管理公司的网络。
公司希望创建域来管理网络。
为此,需要你执行以下工作:
按照下图1,创建域森林。
图1具有两棵域树的森林在域中有三个部门:
销售部、培训部和技术支持部,现在需要为这三个部门分别建立组织单位,并把每个部门的10台计算机加入到各自的组织单位中。
在域中,为公司员工创建域用户账户,并设置域用户账户的个人信息。
对某些用户(例如:
临时工),设置这些域用户账户的登录时间以及限制登录地点。
如果一个用户(如:
john)由于生病而在一段时间内无法上班,请禁用他的域用户账户。
如果一个用户忘记了自己的账户密码,为其重设账户密码。
一个用户辞职后离开了公司,请删除该用户的用户账户。
创建组账户,并把一系列的用户账户加入到这个组账户中。
提示:
提示:
本实训需要搭建五台域控制器,如果学员实训中无法在计算机上运行这么多虚拟机,本实训可以化简为仅搭建、、三台域控制器。
内容中对的操作改为对的操作。
一、创建森林域在此计算机上安装WindowsServer2008R2企业版。
将此计算机的名称设置为dc3,当它升级为域控制器后会自动改名为。
此计算机的IP地址和DNS服务器地址等信息按照图2所示进行配置。
以该计算机的本机管理员身份登录,然后使用以下两种方式之一安装活动目录。
单击屏幕左下角的“服务器管理器”图标,然后请转到步骤3。
单击【开始】【运行】,输入“dcpromo.exe”后,单击【确定】图标。
此时它会自动执行步骤3步骤10,所以请转到步骤11。
在“服务器管理器”中,单击左侧的“角色”,然后单击右边的“添加角色”。
在“开始之前”窗口中,单击【下一步】按钮。
在“选择服务器角色”窗口中,选中【ActiveDirectory域服务】,然后在弹出的“是否添加ActiveDirectory域服务所需的功能”窗口中,单击【添加必需的功能】,最后单击【下一步】按钮。
在活动目录安装窗口中,单击【下一步】按钮。
在“ActiveDirectory域服务简介”窗口中,单击【下一步】按钮。
在“确认安装选择”窗口中,单击【安装】按钮。
在“安装结果”窗口中,单击【关闭】按钮。
单击【关闭该向导并启动ActiveDirectory域服务安装向导(dcpromo.exe)】在“欢迎使用ActiveDirectory域服务安装向导”窗口中,单击【下一步】按钮。
在“操作系统兼容性”窗口中,单击【下一步】按钮。
如图2所示,因为是在一个已有森林中新创建子域,所以选中【现有林】和【在现有林中新建域】,然后单击【下一步】按钮。
图2如图3所示,在“键入位于计划安装此域控制器的林中任何域的名称”处输入森林根域的名称,即“”。
如果当前用户有权添加子域(例如:
EnterpriseAdmins组成员),则直接单击【下一步】按钮。
如果当前用户无此权限,则需要选中【备用凭据】【设置】,然后输入一个有权添加子域的用户账户名称和密码,再单击【下一步】按钮。
此时,由于我们使用本机管理员账户登录,因此需要输入EnterpriseAdmins组成员(即:
域管理员账户)的名称和密码作为备用凭据。
提示:
在图3-70中输入森林中任何一个域名都可以,安装向导只是使用它来取得这个森林的信息。
只有EnterpriseAdmins组成员有权建立子域,默认时森林根域的域管理员是EnterpriseAdmins组的成员。
图3在图4所示窗口中,输入父域的名称(即:
),再输入该子域的名称(即:
bj),这样,该子域的全名为“”。
然后,单击【下一步】按钮。
图5如图6所示,在“设置域功能级别”窗口中,保留默认的域功能级别,即:
WindowsServer2003”。
以后,可以手动提升。
然后,单击【下一步】按钮。
图6在“请选择一个站点”窗口中选择此域控制器所在的站点,目前这里只有一个默认的站点“Default-First-Site-Name”,请直接单击【下一步】按钮。
在“其他域控制器选项”窗口中,选择此域控制器是否还承担DNS服务器、全局编录服务器、只读域控制器的角色。
在这里,我们可以清除所有选项,如图8所示。
然后,单击【下一步】按钮。
图8在弹出的提示安装DNS服务的窗口中,单击【是】按钮。
在这里,我们不需要在此域控制器上维护DNS服务,而是由森林根域的DNS服务器()来维护该子域的所有计算机信息。
为此,该子域的所有计算机(包括:
域控制器)都要被配置为DNS服务器“”的DNS客户机。
在如图9所示窗口中,可以指定数据库文件夹、日志文件文件夹和SYSVOL文件的位置,在这里可保留默认值。
然后,单击【下一步】按钮。
图9在如图10所示窗口中,设置“目录服务还原模式的Administrator密码”,然后单击【下一步】按钮。
此密码在安全模式下修复活动目录时使用。
图10在“摘要”窗口中,单击【下一步】按钮。
如图11所示,在此计算机上会安装活动目录,完成后请重新启动计算机。
至此,森林根域下面的子域创建完毕。
这也意味着创建了一棵多域的域树。
图11为了检验这台域控制器是否已到DNS服务器那里成功注册了自己的信息,请在第一台域控制器上打开DNS管理工具进行查看,如图12所示。
图12二、创建森林的第二棵域树创建森林的第二棵域树11、在DNS服务器上创建第二棵域树的DNS区域在创建第二棵域树之前,需要考虑DNS设置问题。
为了简化问题,在这里我们让森林根域中的DNS服务器既维护第一棵域树的信息又维护第二棵域树的信息。
为此,一方面需要在DNS服务器上创建名为“”的DNS区域;另一方面还要把第二棵域树中所有域的所有计算机的DNS服务器地址均指向计算机的IP地址,以便它们自动向其注册自己的信息。
在DNS服务器上创建“”区域的具体步骤为:
以域管理员的身份,在桌面上单击【开始】【管理工具】【DNS】,在如图13所示窗口中,右击【正向查找区域】【新建区域】。
在“欢迎使用新建区域向导”窗口中,单击【下一步】按钮。
在如图14所示窗口中,选中【主要区域】,同时选中【在ActiveDirectory中存储区域(只有DNS服务器是可写域控制器时才可用)】。
在如图14所示窗口中,保留默认选项即可,然后单击【下一步】按钮。
如图15所示,在【区域名称】处输入第二棵域树的域名“”。
然后,单击【下一步】按钮。
在如图16所示窗口中,保留默认选项即可。
然后,单击【下一步】按钮。
在“正在完成新建区域向导”窗口中,单击【完成】按钮。
则在DNS控制台中,能够看到该区域,如图17所示。
至此,在DNS服务器上创建了一个名为“”的DNS区域。
以后,第二棵域树的计算机将会把自己的信息自动注册到该DNS区域中。
图13新建区域图14创建主要区域图15新建区域图16设置动态更新图17查看DNS区域2、创建第二棵域树在图1中IP地址为192.168.10.31的计算机上安装WindowsServer2008R2企业版。
将此计算机的名称设置为dc5,当它升级为域控制器后会自动改名为。
此计算机的IP地址和DNS服务器地址等信息按照图1所示进行配置。
以该计算机的本机管理员身份登录,然后使用以下两种方式之一安装活动目录。
单击屏幕左下角的“服务器管理器”图标,然后请转到步骤。
单击【开始】【运行】,输入“dcpromo.exe”后,单击【确定】图标。
此时它会自动执行步骤步骤,所以请转到步骤。
在“服务器管理器”中,单击左侧的“角色”,然后单击右边的“添加角色”。
在“开始之前”窗口中,单击【下一步】按钮。
在“选择服务器角色”窗口中,选中【ActiveDirectory域服务】,然后在弹出的“是否添加ActiveDirectory域服务所需的功能”窗口中,单击【添加必需的功能】,最后单击【下一步】按钮。
在活动目录安装窗口中,单击【下一步】按钮。
在“ActiveDirectory域服务简介”窗口中,单击【下一步】按钮。
在“确认安装选择”窗口中,单击【安装】按钮。
在“安装结果”窗口中,单击【关闭】按钮。
单击【关闭该向导并启动ActiveDirectory域服务安装向导(dcpromo.exe)】在“欢迎使用ActiveDirectory域服务安装向导”窗口中,选中【使用高级模式安装】,如图18所示。
然后,单击【下一步】按钮。
在“操作系统兼容性”窗口中,单击【下一步】按钮。
如图19所示,因为是在一个已有森林中创建新域树,所以同时选中【现有林】、【在现有林中新建域】和【新建域树根而不是新子域】,然后单击【下一步】按钮。
图18使用高级模式安装图19创建新域树如图20所示,在“键入位于计划安装此域控制器的林中任何域的名称”处输入森林根域的名称,即“”。
如果当前用户有权添加子域(例如:
EnterpriseAdmins组成员),则直接单击【下一步】按钮。
如果当前用户无此权限,则需要选中【备用凭据】【设置】,然后输入一个有权添加子域的用户账户名称和密码,再单击【下一步】按钮。
此时,由于我们使用本机管理员账户登录,因此需要输入EnterpriseAdmins组成员(即:
域管理员账户)的名称和密码作为备用凭据。
在图21所示窗口中,输入新域树的名称,即:
。
这意味着,该域树的树根域名称也为“”。
然后,单击【下一步】按钮。
图20输入域名称图21输入域名称在如图22-图23所示窗口中输入域的NetBIOS名称,旧版本Windows操作系统会使用这个名称来访问该域。
在这里,保留默认值,即:
stu。
然后,单击【下一步】按钮。
图22输入域的NetBIOS名称图23选择源控制器在“设置域功能级别”窗口中,保留默认的域功能级别,即:
WindowsServer2003”。
以后,可以手动提升。
然后,单击【下一步】按钮。
在“请选择一个站点”窗口中选择此域控制器所在的站点,目前这里只有一个默认的站点“Default-First-Site-Name”,请直接单击【下一步】按钮。
在“其他域控制器选项”窗口中,选择此域控制器是否还承担DNS服务器、全局编录服务器、只读域控制器的角色。
在这里,我们可以清除所有选项。
然后,单击【下一步】按钮。
在“源域控制器”窗口中,可以设置此域控制器从哪台域控制器那里复制活动目录数据库。
在这里,可以保留默认值,即:
“让向导选择一个合适的域控制器”,如图24所示。
然后,单击【下一步】按钮。
在弹出的窗口中,可以指定数据库文件夹、日志文件文件夹和SYSVOL文件的位置,在这里可保留默认值。
然后,单击【下一步】按钮。
在弹出的窗口中,设置“目录服务还原模式的Administrator密码”,然后单击【下一步】按钮。
此密码在安全模式下修复活动目录时使用。
此时,在该计算机上会安装活动目录,完成后请重新启动计算机。
至此,森林根域下面的第二棵域树创建完毕。
为了检验这台域控制器是否已到DNS服务器那里成功注册了自己的信息,请在第一台域控制器上打开DNS管理工具进行查看,如图24所示。
图24查看DNS设置三、创建域用户账户创建域用户账户单击【开始】【管理工具】【ActiveDirectory用户和计算机】。
在如图25所示窗口中,在域中,右击【Users】,单击【新建】【用户】。
图25新建用户图26新建用户的对话框在如图26所示的对话框中,执行以下设置:
姓与名:
至少在这两个文本框中的一个输入文本信息。
姓名:
用户的完整名称,默认时为姓与名的组合。
用户登录名:
这种格式的账户名称又被称为“用户主体名称”(UserPrincipalName,简称UPN),其格式与电子邮箱名的格式相同,例如:
。
该名称在整个森林中必须是唯一的。
用户只能在域中的WindowsServer2008R2、WindowsServer2008、WindowsServer2003、WindowsXP、Windows2000等计算机上使用这个名称登录到域,在Windows2000以前的旧版本Windows计算机(例如:
WindowsNT)上则不能使用。
用户登录名(Windows2000以前版本):
用户在域中的WindowsNT计算机上只能使用这个名称登录到域。
这个名称在域中必须是唯一的。
此外,用户在域中的WindowsServer2008R2、WindowsServer2008、WindowsServer2003、WindowsXP、Windows2000等计算机上也可以使用这个名称登录到域。
然后,单击【下一步】按钮。
在如图27所示的对话框中,里面的选项与2.3.3节“创建本地用户账户”相同。
请单击【下一步】按钮。
图27设置密码图28创建完成后的画面在弹出的窗口中,单击【完成】按钮。
创建完成后,可以看到刚刚创建的域用户账户,如图28所示。
四、允许普通域用户账户在域控制器上登录到域允许普通域用户账户在域控制器上登录到域以域管理员的身份单击【开始】【管理工具】【组策略管理】展开【域】展开“域”展开“DefaultDomainControllersPolicy”右击【编辑】,如图29所示。
接下来,在如图30所示窗口中,展开【计算机配置】展开【策略】Windows设置安全设置本地策略用户权限分配,双击“允许本地登录”。
然后,在如图31所示窗口中,单击【添加用户或组】按钮,将指定的普通域用户账户或组账户加入到列表内。
然后,单击【确定】按钮。
在域控制器上运行命令“gpupdate”,使组策略生效。
现在,普通域用户账户即可在域控制器上登录到域了。
图29编辑策略图30找到“允许本地登录”策略图31编辑组策略五、使用域用户账户登录到域使用域用户账户登录到域1.添加UPN后缀在图31中可以看到,用户账户UPN的后半部分(即:
后缀)默认是该账户所在域的域名(例如:
)。
在某些情况下,用户可能希望拥有其它UPN后缀。
例如:
用户可能希望把自己的UPN后缀改为“”,这样就与自己的电子邮箱账户同名了。
为此,管理员可以给用户添加UPN后缀。
具体步骤为:
单击【开始】【管理工具】【ActiveDirectory域和信任关系】,右击“ActiveDirectory域和信任关系”【属性】。
在如图32所示窗口中,输入UPN后缀,如:
、等。
接下来,管理员就可以为用户账户修改UPN后缀了,如图33所示。
图32修改UPN后缀图33修改UPN后缀2.设置域用户账户的个人信息在创建了域用户账户后,双击该账户可以打开它的属性对话框,如图34所示。
在这里可以设置用户的个人信息。
图34设置个人信息3、限制域用户账户的登录时间默认时,域用户账户可以在任何时间登录到域。
如果希望限制用户的登录时间,那么可以在如图35所示的用户账户属性对话框中单击【账户】选项卡。
然后,单击【登录时间】按钮,将会弹出如图36所示的对话框。
在图中,横轴的每一个小方块代表一小时,纵轴的每一个小方块代表一天;被填充的方块代表允许登录的时间段,空白的方块代表不允许登录的时间段。
管理员可以根据用户的需求,选中允许登录的时间段,然后单击【允许登录】即可。
图35设置登录时间图36选择登录时间4.限制域用户账户只能从特定计算机上登录域默认时域用户账户可以从域中的任何一台计算机(域控制器除外)上登录到域,但是管理员也可以限制他们只能从特定的计算机上登录域。
为此,可在如图37所示的用户账户的属性对话框中单击【账户】选项卡,然后单击【登录到】按钮,将会弹出如图38所示的对话框。
在对话框中选中【下列计算机】,然后输入允许用户用来登录域的计算机的NetBIOS名称,例如:
pc1、pc2,再单击【确定】按钮即可。
图37设置登录使用的计算机图38添加可用于登录的计算机5.禁用、启用域用户账户如果某个员工在一段时间内无法上班,为了安全起见,可以先将他的用户账户禁用,等他上班后再将其重新启用。
为此,在【ActiveDirectory用户和计算机】中右击一个用户账户,如图39所示。
然后,在快捷菜单中选择【禁用账户】即可。
如果一个用户账户被禁用了,那么在该账户的图标上将会出现一个向下的箭头符号。
如果希望启用一个被禁用的用户账户,则右击该账户,然后在快捷菜单中选择【启用账户】即可。
6.重设域用户账户密码如果用户忘记密码或者密码使用期限到期时,管理员可以为用户账户重新设置一个密码。
为此,在如图39所示的快捷菜单中选择【重设密码】即可。
7.重新命名域用户账户当某个员工离职时,可以先将他使用的域用户账户禁用,等到新员工接替他的工作后,再将该用户账户改名并且重新设置密码与个人信息。
为此,在如图39所示的快捷菜单中选择【重命名】,然后设置一个新的用户名称即可。
8.删除域用户账户如果员工离职后不再使用这个用户账户时,则可以将其删除。
为此,在如图39所示的快捷菜单中选择【删除】即可。
图39管理用户账户六、域组账户概述域组账户概述1.1.域组账户的类型域组账户的类型在WindowsServer2008R2域中,组账户分为两种类型:
安全组和通讯组。
其中,安全组:
管理员可以为安全组分配权限和权利。
因此,如果建立组的目的是为了使其成员获得一定的权限或权利,那么应该创建安全组。
通讯组:
管理员不能为通讯组分配权限和权利。
因此,通讯组主要用于与权限或权利无关的场合。
例如,管理员可以给通讯组发送电子邮件等。
2.2.域组账户的使用范围域组账户的使用范围对于安全组而言,还可以根据使用范围的不同,将其分为三种:
全局组(GlobalGroup)、本地域组(DomainLocalGroup)和通用组(UniversalGroup)。
(11)全局组)全局组在全局组中,只能够包含所在域中的域用户账户和全局组。
如果给全局组分配了权限或权利,那么该组中的所有成员都将具有该组所拥有的权限或权利。
此外,还可以把全局组加入到一个本地域组中,成为该组的一个成员。
这样,如果给这个本地域组分配了权限或权利,那么该组中的全局组及其所有成员都将具有该本地域组所拥有的权限或权利。
(22)本地域组)本地域组在本地域组中,能够包含森林中任何域的域用户账户、全局组和本域的本地域组。
如果给本地域组分配了权限或权利,那么该组中的所有成员都将具有该组所拥有的权限或权利。
(33)通用组)通用组在通用组中,能够包含森林中任何域的域用户账户、全局组、通用组,但是不能包含本地域组。
如果给通用域组分配了权限或权利,那么该组中的所有成员都将具有该组所拥有的权限或权利。
3.3.内置的域组账户内置的域组账户在WindowsServer2008R2域中,已经包含了若干内置的本地域组、全局组和通用组。
这些内置的组账户已经被预先分配了一定的权限和权利。
只要将用户账户加入这些组中,便会拥有与这些组相同的权限和权利。
因此,建议管理员在为用户账户分配权限或权利时,充分使用这些内置组。
(11)内置的本地域组)内置的本地域组以下列出比较常见的内置本地域组,它们位于Builtin容器中。
名名称称权限和权利权限和权利Administrators该组的成员具有域管理员的权限和权利,他们拥有对整个域的最大控制权,可以执行所有的域管理任务。
Users该组的成员只具有一些基本的权限和权利,例如:
运行应用程序等。
AccountOperators该组的成员可以在容器和组织单位中添加、删除、修改用户账户、组账户和计算机账户,不过Builtin容器、DomainControllers组织单位等除外。
BackupOperators该组的成员可以备份与还原计算机上的文件,无论他们是否有权限访问这些文件。
PrintOperators该组的成员可以管理打印机。
ServerOperators该组的成员可以备份与还原计算机上的文件、锁定与解开计算机、将硬盘格式化、更改服务器的系统日期和时间、关机等。
Guests此组的用户账户无法永久改变其桌面的工作环境,拥有极为有限的权限和权利。
(22)内置的全局组)内置的全局组内置的全局组位于容器Users内,主要有:
名称名称权限和权利权限和权利DomainAdmins该组是本地域组Administrators的成员。
该组的成员具有域管理员的权限和权利,默认时包括用户账户Administrator。
DomainUsers该组是本地域组Users的成员。
该组的成员只具有一些基本的权限和权利,新创建的域用户账户都自动属于该组。
DomainControllers域内所有的域控制器账户都会被自动加入此组内。
DomainComputers域内所有非域控制器的计算机账户都被自动加入此组内。
DomainGuests该组会被加入到本地域组Guests内。
(33)内置的通用组)内置的通用组内置的通用组位于容器Users内,主要有:
名称名称权限和权利权限和权利EnterpriseAdmins该组只存在于森林根域,其成员有权管理整个森林。
默认时,森林根域的用户账户Administrator是该组的成员。
SchemaAdmins该组只存在于森林根域,其成员有权修改活动目录架构。
默认时,森林根域的用户账户Administrator是该组的成员。
七:
创建全局组和本地域组创建全局组和本地域组1.创建全局组在一个WindowsServer2008R2域中,创建全局组的步骤为:
以域管理员的身份登录域,单击【开始】【管理工具】【ActiveDirectory用户和计算机】,然后在图40所示窗口中右击【Users】,在快捷菜单中选中【新建】【组】。
接着,在如图41所示对话框中,选中【安全组】和【全局】,输入该组的名称,例如:
g_group1,最后单击【确定】按钮。
这样,便创建了一个全局组,如图42所示。
图40新建组账户图41输入组的名称图42创建完成后的画面图43输入组的名称2、创建本地域组在一个WindowsServer2008R2域中,创建本地域组的步骤为:
以域管理员的身份登录域,单击【开始】【管理工具】【ActiveDirectory用户和计算机】,然后在图40所示窗口中右击【Users】,在快捷菜单中选中【新建】【组】。
接着,在如图43所示对话框中,选中【安全组】和【本地域】,输入该组的名称,例如:
dl_group1,最后单击【确定】按钮。
这样,便创建了一个本地域组,如图44所示。
图44创建完成后的画面图3-113添加成员2.向组中添加成员在创建了一个组后,可以根据需要把多个用户账户或组账户添加到组中。
这样,如果给这个组分配了权限或权利后,那么该组中的所有成员也具有该组所拥有的权限或权利了。
下面,以本地域组为例,介绍如何添加成员。
图46添加成员图47添加成员后的画面具体操作步骤为:
在如图45所示窗口中右击一个本地域组账户(如:
dl_group1),单击【属性】,然后单击【成员】【添加】【高级】【立即查找】。
在如图46所示窗口中,按住【Ctrl】键的同时用鼠标选中多个用户账
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电大 任务 管理 活动 目录