要管理服务器,必须具有适当权限。由于域本地组成员可以执行一般的管理任务,所以熟悉系统分配给各组的权限就显得非常重要。这些权限允许域本地组成员执行特定任务。
当计算机成为域控制器时,Active Directory目录服务就会创建内置组,在默认情况下这些组拥有预定权限,组成员能够执行内置的系统任务,而且这些组无法被删除,他们包括在“Active Directory用户和计算机”的域名下的“builtin”容器内,组及权限描述如下。
Administrator用户是默认的Administrators组的成员,是域中拥有最大权力和权限的用户,在整个域中几乎是无所不能,而且整个内置域本地组的权限也很大,一但密码泄露,带来的危害是很大的,所以内置域本地组的成员最好都使用强密码(强密码:密码内容包括数字、大写字母、小字字母、符号,且长度超过7位),以保安全。
要管理域,并不是非要在域控制器上才能施行管理。实际上可以从域中任何一台电脑登陆具有管理权限的用户,都可以实施管理。
例如:在Glasgow上以域Administrator用户登陆,并且给域中添加一个组织单位(OU)。
当前实验环境:
1、域控制器London已经启动,且域管理员Administrator已经登陆,现在在Glasgow上再以域管理员Administrator登陆。
2、Glasgow因为没有安装AD,所以它的管理工具中没有“Active Directory用户和计算机”,这里我们要使用MMC工具来完成对域的管理(MMC是Microsoft 管理控制台(Microsoft Management Console)的意思,它集成了很多的系统控制选项,例如设备管理(系统、硬件)或者计算机权限控制(Administrative管理工具),简化了任务的执行)。
单击添加按钮来添加管理单元,这里有大多数域和系统管理控制项。
3、在域中新建一个“测试”的组织单位。
虽然用管理员身份登陆后,可做一些管理工作,但有时候仅用一下管理员权力,又需要注销后,以管理员身份登陆,管理完成后,还需要注销,登陆回原来用户,这样就比较麻烦了,所以还有一种方便的管理方式,那就是“运行方式”。
使用“运行方式”,可以以非管理员账户登录到计算机,并执行管理任务,“运行方式”允许用户用不同的权限而不是用户的当前登录账号来执行特定的工具和程序。
大多数时候,我们都是以用户身份登录执行日常任务,同时使用“运行方式”来进行特别的管理任务,“运行方式”可以在用户界面的开始菜单、Windows 资源管理器、命令提示符下执行。
例:以域管理员身份在Glasgow上运行“计算机管理”连接到London上,并在London的D盘把Mp3文件夹建立为一个名为“共享”的Everyone只读的共享文件夹。
1、在控制面板→管理工具中对“计算机管理”右击,选“运行方式”。
2、输入域管理员身份的账户和密码(Nwtraders\Administrator)
现在打开的是本地计算机管理,对“计算机管理(本地)”右击选“连接到另一台计算机”。(当然域管理员也具有对本地计算机管理的权力,因为一旦计算机加入域,Domain Admins组自动会加入本地的Administrators组,而域管理员默认是Domain Admins组的成员,所以域管理员对域内所有计算机是无所不能。)
在london的“共享”中“新建共享”。
弹出共享文件夹向导,下一步。
运行方式还可以使用命令方式来工作,格式如:
RUNAS [ [/noprofile | /profile] [/env] [/savecred | /netonly] ] /user:
/noprofile 指定不应该加载用户的配置文件。这会加速应用程序加载,但可能会造成一些应用程序运行不正常。
/profile 指定应该加载用户的配置文件,这是默认值。
/env 要使用当前环境,而不是用户的环境。
/netonly 只在指定的凭据限于远程访问的情况下才使用。
/savecred 用用户以前保存的凭据。Windows XP Home Edition 上没有这个选项,该选项会被忽略。
/smartcard 如果凭据是智能卡提供的,则使用这个选项。
/user
program EXE 的命令行。
例如:runas /profile /env /user:nwtraders\administrator "mmc %windir%\system32\dsa.msc"
以域管理员身份运行“Active Directory用户和计算机”,域管理员的密码在按回车后会。
可以把runas命令做成Bat批处理文件形式,也可以做成快捷方式形式来运行。
远程桌面是 Windows Server 2003 在保留原有 “终端服务” 基础上新增的一个可以用来进行远程控制的功能,它只是一个客户端,在使用远程桌面管理服务之前,必须先启用服务器的远程管理功能,即要连接到那台计算机,就要启动那台计算机的远程桌面服务功能。(远程桌面:使用RDP协议(Remote Desktop Protocol,简称RDP) “用于管理的远程桌面”可以从异地计算机访问服务器。RDP 协议可以将用户界面传送到客户端会话,还可以将客户端的键盘和鼠标信息传送到服务器)
例:在Glasgow上用普通用户登陆后,使用域管理员身份运行“远程桌面连接”,来连接到London上。
1、要远程桌面London,必须要先启动London上的远程管理功能,先以管理员身份登陆London,对桌面上“我的电脑”右击,选“属性”,单击“远程”选项卡。
启用远程桌面后,系统给出提示,单击确定,结束这步操作。如果只允许指定的用户远程桌面连接到这台计算机,就必须单击“选择远程用户”,然后添加有密码的帐户,以允许这些用户来远程桌面连接。(Administrator用户不需要添加,他本身就有访问任何远程桌面的权力,另外已经登陆到远程桌面服务器的用户,自动拥有从别的计算机远程连接这台电脑的权力)。
注意:这里One用户虽然加入了列表中,但因远程桌面连接的是域控制器London,策略中有更高的要求,所以One用户必须是Administrators或Domain Admins组中的成员才可以。但在其他域中的非域控制器的成员电脑上这样设置就可以远程桌面连接了。
2、使用Administrator身份连接远程桌面。
单击开始→所有程序→附件→通讯→远程桌面连接,打开远程桌面,或者在开始→运行中输入:mstsc并确定。
单击“选项”,输入计算机、用户名、密码,单击“连接”就可以远程桌面连接到London了(在单域环境下可输入域名,也可不输入)。
如果要用One用户连接London的远程桌面,无须把他加入到Administrators或Domain Admins组中才可以。
实际工作中可以打开多个远程桌面连接来连接多台电脑。
另外,客户端也可以使用MMC中添加的“远程桌面”。一个远程桌面,可以添加多个新连接,不过,被连接的电脑将会被锁定,无法操作,只有结束远程桌面后,才能正常操作。
管理工具中的“终端服务管理器”,可以查看当前的远程桌面连接的用户,可以对连接的用户“复位”或“注销”操作。
管理工具中的“终端服务配置”,可以配置使用RDP的远程桌面的属性。
可以限制会话时间和空闲时间,用于节省带宽。
可以设置同时最多连接数。