扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在Windows 2000服务器安装成活动目录域控制器之后,就是开始在你的AD数据库里建立对象的时候了。
活动目录用户和计算机
使用预先配置好的微软管理控制台(MMC)来管理你活动目录中的对象,活动目录中的对象又称为资源。你可以在 开始 | 程序 | 管理工具(Start | Programs | Administrative Tools)中找到这个MMC。在你把一台Windows 2000服务器升级为AD域控制器(DC)时,就会自动地安装这个工具。
在AD用户和计算机控制台里显示AD对象,代表你的域资源。这些对象既可以是容器对象-容器是能够包含其它对象的对象,在Windows 2000中包含的目录管理工具里,对象典型地是以文件夹的形式显示;也可以是叶子对象:叶子代表你域中的实际资源,比如用户、打印机或者网络共享。
在活动目录提升的过程中,建立了几个AD容器。不管是从早期的Windows NT升级而来,还是完全安装的一个全新的Windows 2000服务器,这些容器对象都是一样的。不过,在从早期的Windows NT版本升级时,在的SAM数据库里的信息会被转移到这些容器里。在缺省视图中,你会看到4个容器,我们现在就来看看这些容器和它们的作用。
缺省的容器对象
你将看到的第一个缺省容器对象是内置(Builtin)容器。这个容器里放着代表你的域里本地安全组的叶子对象。在四个缺省容器中,你会发现,这是唯一一个你不能把缺省对象移出去的容器。
计算机(Computers)容器是第二个缺省容器。里面放着你的域里所有Windows 2000和Windows NT计算机成员的计算机帐号。如果你从早期的Windows NT版本升级而来,你会发现活动目录安装向导已经把你域中的Windows NT计算机帐号迁移到这个容器里。
第三个缺省容器是域控制器(Domain Controllers)容器。这个容器为你域里的每个域控制器(AD)放一个计算机帐号。
用户(Users)容器是最后一个缺省容器。这个容器里放着所有的用户帐户和你域里的全部安全组。如果你从早期的Windows NT版本升级而来,你会发现你的域用户帐户已经被迁移到这个容器里。
建立活动目录对象
在AD数据库中,你能够建立各类型的对象。建立对象的方法是,在AD的某个容器里单击右键,然后在弹出菜单中选择 新建(New)。在新建菜单中,选择你要建立的对象的类型。你可以在看到可以使用的选项。在建立你选中的对象类类型时,会有一个向导指导你进行操作。
表A: 你能够在你的AD数据库里建立的对象类型。
建立的每个对象都必须有一个能够与其它对象区别开的名称(DN):名称加上通过它的容器层次结构到达对象的的路径一起来确定一个对象。每个对象都有一个相对不同的名称(RDN),RDN仅仅是对象自己的名称。在对象所在的容器内,RDN必须是唯一的。如果对象的RDN在它所在的容器里是唯一的,那么它的DN在AD里也会是唯一的。让我们来看看最普通的AD对象-用户对象的建立过程。
建立用户帐户
建立新用户向导有三个屏幕。在第一个屏幕中,需要你输入帐户的名称。在建立新用户时,必须定义用户的全名,登录名和UPN。建立用户帐户时,用户的全名在用户所在的容器里必须是唯一的,就象其它AD对象一样。但是,帐户使用的登录名必须在你的整个域都是唯一的。在你建立用户帐户时,你还要指定一个用户主要名称(UPN)。UPN基于Internet标准RFC822。它由两部分组成,两部分之间由@符号连接在一起:
1. 前缀是用户的帐户名。也被当作安全主要名称。如果你熟悉Windows NT,那么UPN的前缀兼容SAM数据库使用的安全帐户名称。
2. 后缀标识用户帐户所在的域。在你在你的AD里建立用户帐户时,缺省的UPN后缀是你的域树里第一个域的DNS名称。
例如,用户judik 在support4.com 域里有一个帐户,那么他的UPN就是judik@support4.com。
在第二个屏幕中,要输入用户的口令,还可以设置用户帐户的口令属性。你可能在Windows NT中已经认识了这些选项。你可以要求用户在下次登录时修改他们的口令;可以指定用户自己不能修改口令;可以把口令期限设置为永远不过期;还可以暂时禁止帐户。
第三个也是最后一个屏幕是总结屏幕。屏幕上显示你即将创建的对象的最终特性。如果你注意到某些错误,你可以用上一步(Back)按钮返回到向导的上一步,并修改错误。
修改对象的属性
你会注意到,在建立用户对象的时候,在向导里没有许多信息让你设置。对于你在AD中建立的所有对象来说,都是这样的。对象建立向导只会要求你输入在AD中建立对象所需的最少信息。但实际上,每个对象都有许多属性可以设置。
在对象建立以后,你就可以修改它的属性,输入额外的属性值。操作方法是,在对象上单击右键。在快捷菜单里,你会找到管理对象最常使用的命令。如果你在菜单里选择属性(Properties),就会打开你选中的对象类型特有的属性对话框。在对话框里,你就可以设置对象所有可用的属性。现在我们一起以用户对象为例,来看看属性对话框。
修改用户对象
用户对象属性对话框中的页面里,你可以对表B中列出的不同类型的信息进行设置。
表B: 可以为用户对象配置的属性。
模板
对能在AD数据库中存在的全部对象、属性和值进行定义的实体是模板(Schema)。模板还指定了特定对象的必需属性(比如我们刚刚建立的用户的登录名)和可选的属性(如用户的电话电话)。
微软随AD包括了一个缺省的模板,它可以满足多数用户初始的需求。但是,AD是可以扩展的,这意味着,可以通过增加新的对象或属性类型,把特定属性修改成必需的或是可选的,从而对AD进行自定义。
在AD中利用组织单元
可以在AD中建立组织单元(OU),对企业中的资源进行逻辑上的分组,例如用销售部、市场部这样的OU可以体现出业务的层次结构或者组织结构,而用纽约、波士顿来反映系统管理模式,以便做信息系统支持。微软建议在下列情况下,应当使用OU把企业的资源分组:如果想让AD结构反映公司结构或组织的细节;如果想把管理控制权委托到较小的用户组、组和资源上;或者如果公司组织结构日后会变化。
在活动目录用户和计算机管理器(Active Directory Users And Computers)中, OU用文件夹的方式表示,前面有一个书本的图标。缺省的域控制器容器有相同的图标。这个区别让你可以把组策略施加到这个对象类型上(组策略是Windows NT 4.0的系统策略在Windows 2000中超集。简要地说,它们被用来定义计算机和用户的配置,管理用户桌面上的应用程序,指定安全选项,分配脚本,控制注册表的设置。)
移动AD对象
在已经建立了OU之后,你会想把资源从缺省的容器对象中移动到能够反映资源在你的组织结构中逻辑位置或者反映对资源的控制的OU中。在AD中移动对象 相当简单,你在对象上单击右键,然后选择移动(Move)即可。你现在面对一个对话框,显示了你域的AD中的容器对象的层次结构。 你从中选择要把对象移动到其中的容器对象,然后单击OK。就是这么简单,对象就被移动到AD中不同的容器里。你可能注意到一件事,就是你只能在你的域的AD里移动对象。不幸的是,你不能在你的森林的不同域之间移动AD对象。
建立组对象
在Windows NT里,组被用来管理访问共享资源的用户和计算机,或者来建立电子邮件发送列表。在Windows 2000里,这种访问摆脱了只能访问建立组所在域的限制!组可以被用来在你的森林的任何域里应用权限。这与OU不同,OU只能用来为管理的目的建立AD对象集合,而且被限制在建立OU所在的域里。
在你从新建(New)菜单里选择组(Group)时,新对象-组(New Object — Group)向导会提示你输入建立新组所需要的信息。这是向导的第一个也是唯一的屏幕,它会问你组名称,组类型和组的范围。
我们首先来看组类型。Windows 2000 有两种类型的组:安全组和发布组。Windows 2000 操作系统只使用安全组。你要使用这些安全组在共享资源和AD对象上分配权限。发布组只被应用程序使用,而应用程序只能把发布组用于非安全方面的功能。
例如,一个Exchange 用户可能使用发布组给一组用户发送电子邮件。但是,你应该知道,虽然发布组不能用于安全用途,可是你的安全组可以被应用程序作为电子邮件发布列表使用。如果你的域操作在纯(Native)模式,你可以把组类型从安全组切换成发布组,反之亦然。下面,我们来看看组的范围。每个安全组和发布组都有一个范围属性,它定义了你在森林里能怎么样使用该组。有三种组的范围:域本地(Domain local),全局(Global),和宇宙(Universal)。请参阅表 C 中各个组范围的说明:
表c: 组范围
到了现在,你可能在想“为什么我要用其它组类型,而不用宇宙组?它给了我要的一切!”答案是,因为宇宙组和它的成员被列在全局编目里 (GC)。
每次GC在你的森林的域之间复制时,都包括宇宙组的成员。与宇宙组类似,全局组和域本地组也被列在GC里,但是,它们的成员并不列在GC中。通过在合适的位置使用全局组和域本地组,你能够减小你的AD DC的尺寸,这样就会明显地降低保持GC最新所产生的复制流量。
在选择组范围时,应当仔细选择。在你的域运行在混合模式下时,你不能改变组的范围。如果你运行在纯(Native)模式,就允许你把全局组转变宇宙组,前题是全局组不是另外一个全局的成员,也可以把域本地组转变成宇宙组,前提是域本地组中不包括另一个域本地组作为它的成员。
现在知道了组的范围,再让我们简略地谈谈建立新组最简单的部分-组的名称。在你为组起名时,全局组和域本地组在你创建它们的域里必须是唯一的。而宇宙组,则必须在整个森林里是唯一的。
向你的组加入成员
在2000里,组中最多可以包含5,000个成员。但是,在域操作在纯(Native)模式时,你可以对组进行嵌套(使一个组成为另一个组的成员),这样,就有效地增加了组能拥有的用户数量。包含在另一个组中的组,在它的父组中只算一个成员,但是这个组自己又可以包含另外5,000个用户。
就象在以前的Windows NT版本里一样,在Windows 2000里也有两种方法把成员加到组里。你以本文前面的部分已经看到,你可以使用每个用户属性对话框里的组成员(Member Of)页一次把用户加到多个组里,或者,你可以使用组的属性对话框里的成员(Member)页一次把多个用户加到这个组里。那么怎么才能打开组的属性对话框呢?方法是在组上单击右键,然后从弹出菜单中选择属性(Properties)菜单项。
在AD中发布文件夹
在AD里包括一个共享文件夹需要两步。首先,你必须建立一个文件夹并共享它,然后再在AD里发布它。把共享文件夹发布在AD里是可选的。如果你没有在AD里发布共享文件夹,客户仍可以在资源浏览器窗口(如我的网络位置(My Network Places))里访问到它。
通过把共享文件夹发布到AD里,你就使得在你森林里任何位置的客户,都可以使用共享文件夹的RDN或属性查找它。对于这些客户,没有必要知道共享的物理位置。既然第一步处理-共享一个文件夹并不是什么新东西,那么就让我们直接来谈谈处理的第二步-在AD里发布文件夹。在你的AD里选择任意一个容器对象,选择新建 | 共享文件夹(New | Shared Folder)。新建对象(New Object)向导只有一个屏幕。在这,你要输入共享在AD中使用的名称(这个名称可以与文件夹的共享名不同)以及到共享的UNC路径。单击OK,你现在就有了一个在AD中发布的共享了。
在AD中发布打印机
在Windows 2000里建立打印机的操作与在以前的Windows NT版本里类似:使用增加打印机(Add Printer)向导进行(增加打印机向导仍旧位于 开始 | 设置 | 打印机(Start | Settings | Printers))当中。在共享一台打印机时,它自动地被发布到AD里,使用的名称是 服务器名-打印机名 的格式。与发布共享文件夹不同,不用独立的步骤就把共享打印机发布到AD中。
在活动目录用户和计算机管理器(Active Directory Users And Computers )里,打印机显示在它所建立的计算机之下。但是,前提是你改变了查看(View)菜单,把用户、组和计算机当作容器。您可以把打印机对象移动到任何AD容器对象里,就象对其它AD对象的操作一样-单击右键,选择移动(Move)。打印机没有必要一定呆在它建立的计算机下面。
与多数其它AD对象不同,打印机作为一个实体存在于AD的外面。在AD里的打印机对象的属性对话框只能控制打印机在AD里的属性(主要是用户用户来查找特定打印机的那些属性)。您要使用打印机文件夹里的打印机属性对话框,来控制打印机的全部配置和安全设置。
建立联系人
建立联系人对象相当简单。新建对象向导会提示你输入名称(First Name)、姓氏(Last Name),显示名称(Display name)。Windows 2000 把你输入的姓氏和名称组合起,自动填充全称(Full Name)字段。但是,全称字段是可以编辑的,这样您可以修改默认的全称。你可以使用联系人的属性对话框输入相关信息,就象用户对象类型的属性对话一样,联系人属性对话框也有通用(General)、地址(Address)、电话(Telephones)、公司(Organization)、组成员(Member Of)这些页面。
现在你已经可以用计算机、联系人、组、组织单元、打印机、用户、共享文件夹这些对象充实你的AD数据库了!新建对象向导在输入建立每个对象类型所需要的信息的过程中,可以指导操作,所以在建立每个对象类型时,没有什么东西你必须要记住。在建立对象之后,你可以使用它们的快捷菜单里的选项管理它们,或者在每个对象的属性对话框里管理。您把对象移动到代表你的公司结构或管理模式的组织单元里,这样来管理对象。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。