软考网络工程师实验指南（二）构建Windows域与用户账户管理

【实验说明】域是windows server 2003系统下功能非常强大的管理系统，可以极大的提高系统的安全性和方便用户帐户管理维护，尤其适合大型企业。可以创建域的Server 2003版本有标准版、企业版以及数据中心版，只有Web版的不可以使用域功能。本实验将会演示如何创建简单的域以及简单的账户管理。

【所需软件】

1、VMware Workstation 6.5 英文正式版

2、Windows Server 2003 SP2 企业版原版光盘镜像

【实验步骤】

一、安装活动目录

准备工作，安装活动目录之前，首先对服务器的IP地址进行设置，如下

 

1）单击开始选择运行，输入dcpromo，开始安装活动目录，单击下一步继续

2）出现操作系统兼容性提示，点击下一步

 

3）域控制器类型

4）创建一个新林中的域

5)指定域的名称

6）NetBIOS名，建议不要修改

7）数据库和日志文件文件夹

8）共享的系统卷

9）因为活动目录是基于DNS解析的，所以，必须指定一台DNS服务器，我们这里就以服务器自己作为DNS服务器，选择第二项，系统会自动将本台服务器配置成DNS服务器

10）选择兼容性，根据实际情况，如果在网络环境中还在使用Windows Server 2000，那么一定要选择第一项。

11）目录还原模式密码，就是在开机的时候按F8键后，有一个目录还原模式

12）所有配置完成，单击下一步开始安装活动目录与DNS配置

13）完成安装后需要重新启动电脑

14）至此，活动目录安装完成，我们这台服务器已经是一台域控制器同时也是DNS服务器。

 

二、将客户端加入域

准备工作，首先将客户端配置好IP，可以与服务器正常通信，另外，客户端的DNS一定要指向域控制器的DNS，否则将无法解析找不到域控制器。

1）右键单击我的电脑选择属性，然后单击计算机名选项卡，点击更改，选择域，输入域控制器的域名xiaowu.com，单击确定

2）此时弹出授权对话框，这里面要输入有权加入域控制器的账号和密码，我们这里输入administrator

3）加入成功，需要重新启动电脑。重新启动电脑后，我们将无法登陆到域，因为在域中我们还没有为这台客户端创建账号。请看第三部分，在于控制器中创建账号。

三、在域控制器中创建账号

客户端加入域环境中，是不能登陆域的，原因是还没有为其创建账号，但是可以登陆本地。如果想登陆域控制器，需要建立账号，在登录的过程中，是通过网络域控制器验证身份的，而不是本地了。

1）在服务器端单击开始-管理工具-Active Directory用户和计算机，进入活动目录的用户和计算机管理。

2）右键单击Users选择新建-用户

 

 

3）完成用户建立以后，我们就可以回到客户端去用xwnet这个账号进行登陆，注意登陆到处一定要选择域名，而不要选择本地登陆

4）由于是第一次登陆，所以比较漫长，要生成一些用户的配置文件等。至此我们就完成了在域控制器中创建用户的任务。

 

四、域用户的管理

A、创建组织单元OU

组织单元是一组用户的集合，方便管理，同时也可以应用组策略对整个组的成员进行策略实施，是活动目录中非常常用的。

1）在服务器端单击开始-管理工具-Active Directory用户和计算机，进入活动目录的用户和计算机管理。右键单击xiaowu.com-新建-组织单位。我们假设建立一个销售部，输入销售部单击确定

2）确定后会发现左侧多了一个销售部

B、将用户“小五”添加到销售部中

1）单击左侧的users，在右侧的用户列表中右键单击“小五”，在弹出的菜单中选择移动（小技巧：也可以直接将小五用户拖拽到销售部下）

2）选择销售部，单击确定。这时我们就把小五用户添加到了销售部

 

 

C、对用户进行设置，右键单击用户选择属性，可以在弹出的拥有多个选项卡的窗口中对用户进行详细的设置

1）限制用户登陆时间。单击账户选项卡，单击登陆时间，我们设置只允许工作时间登陆，其它时间禁止登陆。

2）漫游用户配置文件配置

请参考我的另一篇原创文章《Windows Server 2003 漫游用户配置文件配置详解》 [url]http://xwnet.blog.51cto.com/233677/103019[/url]

 

D、对组织单元实施组策略，右键单击销售部组织单元，选择属性，选择组策略，单击新建，双击新建组策略进行策略编辑。此策略将应用到组织单元下所有用户。