3章域与组策略.docVIP

3 域与组策略 学习要点 理解工作组与域的管理模式 理解什么是Active Directory 掌握组织单位的管理 掌握组策略和组策略的设置 理解域、组织单位和策略的关系 工作组与域 工作组和域是操作系统的网络资源的两种不同管理模式，在对网络实施管理的时候，网络管理员必须对这两种不同的管理模式有深入的了解。 工作组 工作组的管理模式采用颁式的管理。工作组中的任何一台计算机只负责管理本地的资源，每台计算机都可以任意地加入或退出某一工作组（WORKGROUP为默认组），工作组中所有计算机之间是一种平等的关系。工作组的管理模式适用于小型的网络。 域 c/s 域的管理模式采用集中式的管理。在域的管理模式下，至少有一台服务器负责每一台接入网络的计算机和用户的验证管理工作。域管理员是域管理模式中权限最大的人员，可以登录到加入域中的任何一台成员机器，域中所有的资源都在域管理员的控制之下。计算机要加入一个域中，必须经过域管理员的批准。域的工作方式适用于较大型的网络。 下面我们来介绍一下关于域的其他内容。 域结构 由以上内容可知，域是由一些计算机组成的，如图3-1所示，这些计算机按类别分可以分3类，分别为：域控制器、成员服务器和客户机，下面分别来介绍。 域控制器 域控制器是一种服务器，主要用来进行网络的安全核查以及资源共享。域中的所有资源由域控制器统一管理。 一个域中至少要有一个域控制器，如果拥有多个域控制器，它们之间的关系是平等的。域中的成员（包括成员服务器和客户机）可以从一个域中脱离出去，但域控制器却不能退出一个域。非域控制器支持域登录和本地登录两种登录方法，而域控制器不支持本地登录。 成员服务器 成员服务器也是一种服务器，它不能提供网络的安全核查等工作，但是可以提供其他的网络服务，比如Web服务、打印服务等。 客户机 客户机是网络中只享受服务的机器，客户机上的操作系统一般为桌面型的，如：Windows 2000Professional、Windows XP Professional，Windows vista等。 建立域的条件 建立域的条件具体如下： 计算机的振作系统必须是Windows Server 2000、Windows Server 2003或者更高级版本；2008 安装目录的文件系统必须是NTFS格式； 配置了DNS服务器。 静态IP Active Directory Active Directory（活动目录）是Windows Server 2003平台的以目录列举方式管理数据信息的系统组件。Active Directory存储有关网络的对象的信息，使管理员和用户可以更方便地查找使用和管理这些信息。这些对象的信息包括了服务器、卷、打印机、网络用户和组等。 Active Directory管理工具主要包括“Active Directory用户和计算机”、“Active Directory站点和服务”和“Active Directory域和信任关系”3个，下面分别来介绍。 Active Directory用户和计算机 “Active Directory用户和计算机”是管理Active Directory对象（用户、打印机和组等）的工具，打开此管理工具的方法是：依次选择[开始]→[程序]→[管理工具]→[Active Directory用户和计算机]，界面如图3-2所示。下面具体来介绍“Active Directory用户和计算机”。 （1）组织单位。组织单位是Active Directory可以被用户定义并应用组策略（见本章3.4组策略的相关内容）的对象，管理员可以通过创建组织单位来简化域的管理控制。 （2）容器。容器是指在“Active Directory用户和计算机”中不带任何标记的文件夹。默认的容器有Builtin、Computers、Users、ForeignSecurityPrincipals等。 （3）对象。Active Directory对象被放置在Active Directory内的组织单位和容器中。如打印机、用户账户、计算机账户和安全组等都属于Active Directory对象。 3．2．2 Active Directory站点和服务 “Active Directory站点和服务”是用于管理目录数据的复制的工具打开此管理工具的方法是：依次选择[开始] →[程序] →[管理工具] →[Active Directory站点和服务]，界面如图3-3所示。 在安装第一个域时，系统默认配置有“Default-First-Site”站点，新创建的服务器将列在该站点之下。在“Active Directory站点和服务”的管理界面中，可以创建新站点，重命名站点，还可选择站点链接。 Active Directory域和