部署Active Directory目錄服務(wù)
Active Directory存儲了網(wǎng)絡(luò)對象大量的相關(guān)信息���,網(wǎng)絡(luò)用戶和應(yīng)用程序可根據(jù)不同的授權(quán)使用在Active Directory中發(fā)布的有關(guān)用戶����、計算機���、文件和打印機等信息。Active Directory支持LDAP v2和LDAP v3�,能夠與其他供應(yīng)商的目錄服務(wù)互操作。Active Directory實際上是一種用于組織�����、管理和定位網(wǎng)絡(luò)資源的企業(yè)級工具����。對于Windows網(wǎng)絡(luò)來說,規(guī)模越大���,需要管理的資源越多����,建立Active Directory目錄服務(wù)也就越有必要。
Active Directory基礎(chǔ)
1.Active Directory的功能
Active Directory提供了一種組織方式并簡化了計算機網(wǎng)絡(luò)系統(tǒng)中資源的訪問�����。作為一種增強性目錄服務(wù)�����,它具有下列功能���。
l 數(shù)據(jù)存儲���,也稱為目錄,它存儲著與Active Directory對象有關(guān)的信息�。這些對象包括共享資源,如服務(wù)器�����、文件、打印機�����、網(wǎng)絡(luò)用戶和計算機賬戶����。
l 包含目錄中每個對象信息的全局編錄。允許用戶和管理員查找目錄信息���,而與目錄中實際包含數(shù)據(jù)的域無關(guān)�����。
l 查詢和索引機制的建立�����,可以使網(wǎng)絡(luò)用戶或應(yīng)用程序發(fā)布并查找這些對象及其屬性。
l 通過網(wǎng)絡(luò)分發(fā)目錄數(shù)據(jù)的復制服務(wù)����。對目錄數(shù)據(jù)所做的任何更改都被復制到域中的所有域控制器。
l 與網(wǎng)絡(luò)安全登錄過程的安全子系統(tǒng)的集成����,以及對目錄數(shù)據(jù)查詢和數(shù)據(jù)修改的訪問控制��。
l 提供安全策略的存儲和應(yīng)用范圍�����,支持組策略來實現(xiàn)網(wǎng)絡(luò)用戶和計算機的集中配置和管理�����。
2.Active Directory對象
與其他目錄服務(wù)器一樣��,Active Directory以對象為基本單位���,采用層次結(jié)構(gòu)來組織管理對象。這些對象包括網(wǎng)絡(luò)中的各項資源����,如用戶、計算機���、打印機和應(yīng)用程序等��。AD對象以層次結(jié)構(gòu)組織��,可分為兩種類型�����。一類是容器對象���,即可以包含下層對象的對象��;另一類是非容器對象���,即不能包含下層對象的對象。每個對象均有一組屬性���,用來記錄該對象的特性�����。對象與屬性的關(guān)系相當于數(shù)據(jù)庫中的記錄和字段之間的關(guān)系���。每個對象都可通過多種不同的名稱引用。Active Directory根據(jù)對象創(chuàng)建或修改時提供的信息��,為每個對象創(chuàng)建RDN和規(guī)范名稱�。例如,在abc.com域���、unit1組織單位中名為mycomputer的計算機的DN是“CN=mycomputer, OU=unit1, DC=abc, DC=com”��。如果采用規(guī)范名稱(DN的另一種表示方法)�����,則表示為“abc.com/unit/1mycomputer”���。除此之外,用戶賬戶還具有一個稱為UPN(用戶主體名稱)的名稱���。UPN是一個友好的名稱��,比DN短并且容易記憶�����。UPN包括一個用戶登錄名稱和該用戶所屬域的DNS名稱�,如user1@abc.com�,該名稱不依賴于DN。
3.Active Directory架構(gòu)
Active Directory中的每個對象都是在架構(gòu)中定義的類的實例��。AD架構(gòu)包含目錄中所有對象的定義。架構(gòu)的英文名稱為Schema�����,也可譯為模式�����,實際上就是對象類�。在LDAP目錄服務(wù)中,Schema一般以文本方式來存儲���,在Active Directory中卻將其作為一種特殊的對象���。架構(gòu)對象由對象類和屬性組成,是用來定義對象的對象���。
4.Active Directory結(jié)構(gòu)
AD目錄服務(wù)建立在域的基礎(chǔ)上����,由域控制器對網(wǎng)絡(luò)中的資源實行集中管理和控制��,目錄信息存儲在域控制器上的Active Directory數(shù)據(jù)庫中�。Active Directory以域為基礎(chǔ)����,具有伸縮性���,包含一個或多個域,每個域具有一個或多個域控制器����,可調(diào)整目錄的規(guī)模以滿足任何網(wǎng)絡(luò)的需要。多個域可合并為域樹����,多個域樹可合并為林。Active Directory是一個典型的樹狀結(jié)構(gòu)����,按自上而下的順序,依次為林→樹→域→組織單位��。而在實際應(yīng)用中����,通常是按自下而上的方法來設(shè)計Active Directory結(jié)構(gòu)的。
l 域:Active Directory的基本單位和核心單元����,是Active Directory的分區(qū)單位�,Active Directory中必須至少有一個域����。共享同一個AD數(shù)據(jù)庫的計算機組成一個域。一個典型的域包括域控制器�����、成員服務(wù)器和工作站等類型的計算機�。
l 組織單位:將域再進一步劃分成多個組織單位(簡稱OU)以便于管理。組織單位是可將用戶�、組、計算機和其他組織單位放入其中的Active Directory容器����。每個域的組織單位層次都是獨立的,組織單位不能包括來自其他域的對象�����。組織單位相當于域的子域��,本身也具有層次結(jié)構(gòu)�。
l 域樹:可將多個域組合成為一個域樹��。
l 林:一個或多個域樹的集合����。
5.Active Directory站點
Active Directory站點可以看作是一個或多個IP子網(wǎng)中的一組計算機定義�。同一站點中的計算機需要很好地連接���,尤其是子網(wǎng)內(nèi)的計算機�。如果站點包括多個子網(wǎng)�,由于相同原因那些子網(wǎng)也必須具有良好的網(wǎng)絡(luò)連接。站點與域不同����,站點反映網(wǎng)絡(luò)的物理結(jié)構(gòu),而域通常反映整個單位的邏輯結(jié)構(gòu)��。邏輯結(jié)構(gòu)和物理結(jié)構(gòu)相互獨立�����,可能相互交叉���。Active Directory允許單個站點中有多個域���,單個域中有多個站點�����。Active Directory站點的主要作用是使Active Directory適應(yīng)復雜的網(wǎng)絡(luò)連接環(huán)境�,一般只有在有多種網(wǎng)絡(luò)連接的網(wǎng)絡(luò)環(huán)境(如廣域網(wǎng))中才規(guī)劃站點�。
6.Active Directory目錄復制
復制目錄提供了信息可用性、容錯���、負載平衡和性能優(yōu)勢����。通過復制�,AD目錄服務(wù)在多個域控制器上保留目錄數(shù)據(jù)的副本,從而確保所有用戶的目錄可用性和性能���。Active Directory使用一種多主機復制模型����,允許在任何域控制器上(而不只是委派的主域控制器上)更改目錄����。
7.Active Directory與DNS集成
Active Directory與DNS集成并且共享相同的名稱空間結(jié)構(gòu)����,兩者的集成體現(xiàn)在以下3個方面��。
l Active Directory和DNS有相同的層次結(jié)構(gòu)���。
l DNS區(qū)域可存儲在Active Directory中�����。
l Active Directory將DNS作為定位服務(wù)使用。要登錄到Active Directory域����,Active Directory客戶端應(yīng)向配置的DNS服務(wù)器查詢在指定域的域控制器上運行的LDAP服務(wù)的IP地址。DNS用于將AD域��、站點和服務(wù)名稱解析成IP地址����。
DNS是一種名稱解析服務(wù),為DNS客戶端提供DNS名稱解析����,不需要Active Directory也能運行����。Active Directory是一種目錄服務(wù)����,提供信息儲存庫并讓用戶和應(yīng)用程序訪問信息的服務(wù)。為了定位域控制器��,Active Directory客戶端需查詢DNS��,Active Directory需要DNS才能工作���。
8.Active Directory管理工具
Active Directory管理工具簡化了目錄服務(wù)的管理���。可使用標準工具或使用Microsoft管理控制臺(MMC)來創(chuàng)建專門執(zhí)行單項管理任務(wù)的自定義工具���。在Windows Server 2003域控制器上可直接使用的管理工具有3種:
l Active Directory 用戶和計算機��;
l Active Directory 域和信任�;
l Active Directory 站點和服務(wù)����。
安裝Active Directory
部署Active Directory目錄服務(wù)的關(guān)鍵是安裝和配置域控制器�����,前提是做好Active Directory的規(guī)劃�����。
1.規(guī)劃Active Directory
主要是規(guī)劃DNS名稱空間和域結(jié)構(gòu)���,必要時還要規(guī)劃組織單位或AD站點。
選擇域結(jié)構(gòu)的總的原則是應(yīng)盡可能減少域的數(shù)量����,微軟建議企業(yè)網(wǎng)應(yīng)盡可能使用單一域結(jié)構(gòu)�����,以簡化管理工作����。組織單位的規(guī)劃很重要,在域內(nèi)可依據(jù)多種標準劃分組織單位���。如果各個分支機構(gòu)或部門有大量的對象��,或者分支機構(gòu)或部門相對分散獨立���,或者企業(yè)網(wǎng)絡(luò)分成幾個獨立部分��,就可以考慮創(chuàng)建多個域�����。對于多域的情況��,又有兩種選擇:域樹或林�。一般來說�,分支機構(gòu)或部門使用相同的頂層DNS名稱空間,層次結(jié)構(gòu)清晰����,可創(chuàng)建域樹來包含多個域;如果使用不同的頂層DNS名稱空間�����,可創(chuàng)建林來包括多個域樹和域�。
Active Directory需要先規(guī)劃名稱空間�����。Active Directory域使用DNS名稱來命名�����。選擇DNS名稱用于Active Directory域時通常使用現(xiàn)有域名�,以企業(yè)保留在Internet上使用的已注冊DNS域名后綴開始����,并將該名稱和企業(yè)中使用的地理名稱或部門名稱結(jié)合起來,組成Active Directory域的全名���。企業(yè)可將內(nèi)部名稱空間與外部名稱空間保持一樣����。微軟公司建議將兩者分離�,對DNS域名進行分組��,如內(nèi)部DNS名稱使用諸如“internal.abc.com”的名稱�����,外部DNS名稱使用諸如“external.abc.com”的名稱。
適當建立站點可以優(yōu)化復制效率并減少網(wǎng)絡(luò)的管理開銷���。站點的數(shù)量取決于網(wǎng)絡(luò)的物理設(shè)計和網(wǎng)絡(luò)連接帶寬���。多數(shù)情況下只需一個AD站點,如一個包含單個子網(wǎng)的局域網(wǎng)��,或者以高速主干線連接的多個子網(wǎng)���。如果網(wǎng)絡(luò)分布在多個地理位置并通過廣域網(wǎng)連接����,應(yīng)當為每個地理位置建立單獨的站點�。
2.安裝域控制器
域中的服務(wù)器要么充當域控制器,要么充當成員服務(wù)器��。使用Active Directory安裝向?qū)?���,可以在獨立服?wù)器上安裝域控制器,或者將成員服務(wù)器升級至域控制器����,也可以將域控制器降級為成員服務(wù)器���。Windows Server 2003或Windows 2000 Server服務(wù)器在Active Directory環(huán)境中可分為域控制器、成員服務(wù)器和獨立服務(wù)器3種角色�����。
使用Active Directory安裝向?qū)Э砂惭b和配置域控制器����。在使用Active Directory安裝向?qū)е埃瑧?yīng)考慮DNS配置����。默認情況下,該安裝向?qū)钠湟雅渲玫腄NS服務(wù)器列表中定位新域的權(quán)威DNS服務(wù)器����,該列表將接受服務(wù)(SRV)資源記錄的動態(tài)更新。如果找到可接受動態(tài)更新的DNS服務(wù)器����,則在重新啟動域控制器時,所有域控制器的相應(yīng)記錄都自動在DNS服務(wù)器上注冊��。
如果網(wǎng)絡(luò)上沒有DNS服務(wù)器�,可在安裝Active Directory時選擇自動安裝和配置本地DNS服務(wù)器。DNS 服務(wù)器將安裝在運行Active Directory安裝向?qū)У姆?wù)器上�,該服務(wù)器的首選DNS服務(wù)器設(shè)置將自動配置為使用新的本地DNS服務(wù)器。
使用“配置您的服務(wù)器向?qū)А惫ぞ?���,根?jù)提示將服務(wù)器角色選定為“域控制器(Active Directory)”,可啟動Active Directory安裝向?qū)?����,根?jù)提示進行安裝操作即可���。也可通過運行dcpromo命令直接啟動Active Directory安裝向?qū)?���。具體步驟不再贅述��。
3.將計算機添加到域
Active Directory客戶端通過LDAP協(xié)議向域控制器發(fā)送查詢�����,為了定位域控制器����,Active Directory客戶端查詢DNS,Active Directory需要DNS才能工作��。域控制器就是一個Active Directory服務(wù)器��,可由Windows 2000 Server和Windows Server 2003服務(wù)器充當���,它存儲目錄數(shù)據(jù)并管理用戶域的交互��,其中包括用戶登錄過程��、身份驗證和目錄搜索���。Windows 2000/XP/2003計算機都可作為Active Directory客戶端,Windows 2000以前版本的計算機�,需要安裝Active Directory客戶端,才能部分支持Active Directory客戶功能��。運行Windows 95�、Windows 98的計算機可連接到域,在安裝附加的Active Directory客戶端軟件后�,可以使用域功能,但是不能加入到域��,不能作為計算機賬戶添加到Active Directory。運行Windows NT 4.0的計算機無需任何更改就可登錄到域��,只能使用NTLM認證方法��。
Windows 2000/XP/2003計算機需要加入到域����,才能享用Active Directory的好處�����。有兩種情況��,一種是將獨立服務(wù)器加入到域�,另一種是將工作站添加到域。加入到域的計算機可統(tǒng)稱為域成員計算機��。在安裝Windows 2000/XP/2003操作系統(tǒng)時��,可以選擇加入到域中���,或保留在工作組中�。也可以將現(xiàn)有的Windows 2000/XP/2003計算機添加到AD域中�。這里以Windows Server 2003服務(wù)器加入到域為例。
將服務(wù)器添加到域
① 以本機系統(tǒng)管理員身份登錄到服務(wù)器,確認能夠連通Active Directory域控制器計算機����。
② 將DNS服務(wù)器設(shè)置為能夠解析Active Directory域控制器域名的DNS服務(wù)器IP地址。在單域網(wǎng)絡(luò)中���,通常就是域控制器本身����。具體的IP設(shè)置這里就不介紹了��。
③ 右鍵單擊控制面板中的“系統(tǒng)”圖標����,或右鍵單擊“我的電腦”圖標,在快捷菜單中選擇【屬性】命令�,打開【系統(tǒng)屬性】對話框。
④ 切換到【計算機名】選項卡�����,單擊【更改】按鈕���。
⑤ 打開如圖7.2所示的對話框���,在【隸屬于】區(qū)域選中【域】選項���,在下面的文本框中輸入域名(可以是域的DNS域名,也可是域NetBIOS名稱)����,單擊【確定】按鈕��。
⑥ 出現(xiàn)【計算機名更改】對話框�����,根據(jù)提示輸入具有將計算機加入域權(quán)限的用戶賬戶的名稱和密碼��,單擊【確定】按鈕�����。
⑦ 如無異常情況���,將出現(xiàn)歡迎加入某域的提示����,單擊【確定】按鈕。
⑧ 將出現(xiàn)重新啟動計算機的提示�����,單擊【確定】按鈕�����。
⑨ 回到【計算機名】對話框�,DNS后綴已加入完整的計算機名稱。再單擊【確定】按鈕���。
重新啟動計算機��,使上述更改生效����。
此時在域控制器上打開“Active Directory用戶和計算機”控制臺�,展開相應(yīng)的域,單擊【Computers】節(jié)點����,如圖7.3所示,將發(fā)現(xiàn)新加入域的計算機�����,說明已自動指派相應(yīng)計算機賬戶。
圖7.2 設(shè)置域名 圖7.3 查看計算機賬戶
如果要退出Active Directory域�,只需將域成員計算機重新加入工作組即可。
至于Windows 2000���、Windows XP計算機作為工作站加入到域的操作步驟與獨立服務(wù)器基本相同�,只是操作界面有點差別�����。
4.域成員計算機登錄到域
啟動域成員計算機(服務(wù)器或工作站)�,按〖Ctrl〗+〖Alt〗+〖Delete〗組合鍵��,以UPN用戶名“用戶名@域名”和密碼登錄到域�,也可以SAM賬戶名稱和密碼登錄到域。
注釋:SAM是安全賬戶管理的意思�,這種賬戶是為了與Windows NT域兼容,域內(nèi)的每個用戶都有一個惟一的SAM賬戶名稱���。以SAM賬戶登錄時�,可在登錄界面中單擊【選項】按鈕展開��,在【登錄到】框中設(shè)置要登錄的域名(域NetBIOS名稱),在【用戶名】框中輸入用于Windows 2000以前版本的用戶登錄名����。
登錄到域后,可通過“網(wǎng)上鄰居”窗口來查看網(wǎng)絡(luò)中的域及其中的計算機�。
管理和使用Active Directory對象
在Active Directory中應(yīng)對各類Active Directory對象進行合理的組織和管理。
1.Active Directory對象類別
主要的Active Directory對象類別如下���。
l 用戶(User):作為安全主體��,被授予安全權(quán)限����,可登錄到域中�����。
l 計算機(Computer):表示網(wǎng)絡(luò)中的計算機實體���,加入到域的Windows NT/2000/XP/2003計算機都可創(chuàng)建相應(yīng)的計算機賬戶��。
l 聯(lián)系人(Contact):一種個人信息記錄����。聯(lián)系人沒有任何安全權(quán)限,不能登錄網(wǎng)絡(luò)�,主要用于通過電子郵件聯(lián)系的外部用戶。
l 組(Group):某些用戶����、聯(lián)系人、計算機的分組���,用于簡化大量對象的管理�����。
l 組織單位(Organization Unit):將域細分的Active Directory容器�。
l 打印機(Printer):在Active Directory中發(fā)布的打印機���。
l 共享文件夾(Shared Folder):在Active Directory中發(fā)布的共享文件夾。
l InterOrgPersion:標準的用戶對象類�����,對于Windows Server 2003域功能級別來說���,可以作為安全主體�。
這些對象主要是通過“Active Directory用戶和計算機”控制臺來管理的。如圖7.4所示����,默認情況下,展開域節(jié)點時�,控制臺樹中將顯示以下容器。
l Builtin:用來存放默認內(nèi)置組(如Account Operators或Administrators)對象�。
l Computers:包含Windows 2000、Windows XP和Windows Server 2003計算機對象����。
l Domain Controllers:運行Windows 2000或Windows Server 2003的域控制器的計算機對象。
l ForeignSecurityPrincipals:存儲有信任關(guān)系的域的對象��。
l Users:包含域內(nèi)用戶賬戶和組��。
選中【查看】菜單上的【高級功能】命令時�����,還將顯示LostAndFound和System兩個文件夾����。LostAndFound包含在創(chuàng)建對象的同時,其容器被刪除的對象。System包含各種系統(tǒng)服務(wù)容器和對象的內(nèi)置系統(tǒng)設(shè)置���。
2.管理Active Directory用戶賬戶
Active Directory用戶賬戶用于驗證用戶身份��,指派用戶的訪問權(quán)限���。用戶必須使用用戶賬戶登錄到特定的計算機和域。登錄到網(wǎng)絡(luò)的每個用戶應(yīng)有自己的惟一賬戶和密碼���。用戶賬戶也可用作某些應(yīng)用程序的服務(wù)賬戶�。
在域控制器上建立的是域用戶賬戶��,賬戶數(shù)據(jù)存儲在AD中����,用來登錄域、訪問域內(nèi)的資源���。非域控制器的計算機上還有本地賬戶�。本地賬戶數(shù)據(jù)存儲在本機中���,不會發(fā)布到AD中,只能用來登錄賬戶所在計算機,訪問該計算機上的資源��。本地賬戶主要用于工作組環(huán)境�����,對于加入域的計算機來說�,一般不再建立和管理本地賬戶,除非要以本地賬戶登錄����。
Windows Server 2003提供了兩個內(nèi)置域用戶賬戶:Administrator和Guest。Administrator是系統(tǒng)管理員賬戶����,對域擁有最高權(quán)限,為安全起見�����,可將其重命名�����。Guest是來賓賬戶����,主要供沒有賬戶的用戶使用�����,訪問一些公開資源���,為安全起見,系統(tǒng)默認禁用此賬戶�。默認情況下,用戶賬戶一般位于Users容器中�,域控制器計算機上的原本地賬戶自動轉(zhuǎn)入該容器。
為獲得用戶驗證和授權(quán)的安全性�����,應(yīng)為加入網(wǎng)絡(luò)的每個用戶創(chuàng)建單獨的用戶賬戶�。每個用戶賬戶又可添加到組以控制指派給賬戶的權(quán)限。
添加用戶賬戶
① 在“Active Directory用戶和計算機”控制臺樹中���,右鍵單擊要添加用戶的域�����、組織單位或其他容器(通常是Users)����,從快捷菜單中選擇【新建】>【用戶】命令�����。
② 打開【新建對象—用戶】對話框�,如圖7.5所示,設(shè)置賬戶基本信息���。
③ 輸入用戶的姓名信息�。
④ 在【用戶登錄名】框中輸入用戶用于登錄域的名稱��,從下拉列表中選擇要附加到用戶登錄名稱的UPN后綴(后面跟@號�,決定要登錄的域)。
⑤ 如果用戶使用不同的名稱從運行Windows NT�、Windows 98、Windows 95的計算機登錄���,則把顯示在“用戶登錄名(Windows 2000以前版本)”中的用戶登錄名稱改為不同的名稱���。
在Active Directory中,每個用戶賬戶都有一個用戶登錄名�����、一個Windows 2000以前版本的用戶登錄名(安全賬戶管理器的賬戶名)和一個用戶主要名稱后綴。在創(chuàng)建用戶賬戶時��,管理員輸入其登錄名并選擇用戶主要名稱���。微軟建議Windows 2000以前版本的用戶登錄名使用此用戶登錄名的前20個字節(jié)��。管理員可以隨時更改Windows 2000以前版本的登錄名�。
⑥ 單擊【下一步】按鈕��,設(shè)置密碼以及其他賬戶選項���。注意密碼必須符合用戶賬戶命名策略�,請參見后面關(guān)于組策略的內(nèi)容�。
⑦ 單擊【下一步】按鈕,完成用戶賬戶創(chuàng)建��。
如果要進一步設(shè)置用戶賬戶�,應(yīng)在控制臺中雙擊相應(yīng)的用戶賬戶,打開如圖7.6所示的對話框�����,進一步設(shè)置用戶賬戶屬性,這里提供很多選項卡����,可根據(jù)需要設(shè)置����。
可同時配置多個用戶賬戶。同時選取多個賬戶��,再打開屬性對話框���,可設(shè)置地址�����、賬戶���、單位和配置文件等許多共同屬性。
管理員還可執(zhí)行用戶賬戶管理���,如刪除���、禁用�����、復制���、重命名、重設(shè)密碼����、移動賬戶、發(fā)送郵件和打開主頁等操作���。右鍵單擊賬戶����,從彈出的快捷菜單中選擇相應(yīng)的命令即可����。
3.管理Active Directory計算機賬戶
在Active Directory中,每個運行Windows NT�����、Windows 2000�、Windows XP或Windows Server 2003的計算機都有一個計算機賬戶���。與用戶賬戶類似,計算機賬戶提供了一種驗證和審核計算機訪問網(wǎng)絡(luò)以及域資源的方法����。連接到網(wǎng)絡(luò)上的每一臺計算機都應(yīng)有自己的惟一計算機賬戶。使用“Active Directory用戶和計算機”控制臺來創(chuàng)建和管理計算機賬戶�����。運行Windows 95和 Windows 98的計算機沒有高級安全功能�����,不能被指派計算機賬戶����。
圖7.5 新建用戶對象 圖7.6 設(shè)置用戶賬戶屬性
當將計算機加入到域時��,該計算機相應(yīng)的計算機賬戶自動添加�����。也可在域控制器上創(chuàng)建計算機賬戶���,然后再將計算機添加到現(xiàn)有賬戶����。兩種方法的差別在于:前者總是在Computers容器中創(chuàng)建計算機賬戶,后者可以在任何組織單位中創(chuàng)建計算機賬戶�����,新加入域的計算機自動查找并使用該賬戶(必須使用相同的NetBIOS名稱)��。
在“Active Directory用戶和計算機”控制臺樹中���,右鍵單擊要添加計算機賬戶的容器(域或組織單位)�,從快捷菜單中選擇【新建】>【計算機】命令�,打開相應(yīng)的對話框,如圖7.7所示�,根據(jù)提示設(shè)置即可。
除了添加計算機賬戶外�����,還可執(zhí)行禁用���、重設(shè)和刪除計算機賬戶等操作���,其快捷菜單如圖7.8所示�����。
圖7.7 新建計算機對象 圖7.8 管理計算機賬戶的快捷菜單
4.管理Active Directory組
在Active Directory中����,組可包含用戶�、聯(lián)系人、計算機和其他組的Active Directory對象或本機對象����。使用組可以簡化Active Directory對象的管理���。
組作為一種特殊的對象���,具有以下特性。
l 組可跨越組織單位或域���,將不同域��、不同組織單位的對象歸到一個組�����。
l 組可作為安全主體�����,與用戶��、計算機一樣被授予權(quán)限���。
l 組為非容器對象�,組成員與組之間沒有從屬關(guān)系�,而且一個對象可以屬于多個不同的組。刪除組不會刪除組成員���。
每個組均具有作用域�,該作用域確定組在域樹或樹林中所應(yīng)用的范圍�。有3類不同的作用域:通用、全局和本地域�����。
l 具有通用作用域的組可稱為通用組,其成員可以是任何域的用戶賬戶����、全局組或通用組。其權(quán)限范圍是整個林�����。
l 具有全局作用域的組可稱為全局組�����,其成員可以是同域的用戶賬戶或其他全局組�。其權(quán)限范圍是整個林。
l 具有本地域作用域的組可稱為本地域組����,它可以是任何域的用戶賬戶��、全局組����,但是其權(quán)限范圍僅限于同域(建立組的域)的資源,只能將同域的資源指派給本地域組��。本地域組不能訪問其他域的資源。
有兩種類型的組:安全組(Security)和通訊組(Distribute)�。安全組用于將用戶、計算機和其他組收集到可管理的單位中�����。為資源(文件共享���、打印機等)指派權(quán)限時��,管理員應(yīng)將那些權(quán)限指派給安全組而非個別用戶�����。權(quán)限可一次分配給這個組����,而不是多次分配給單獨的用戶����。添加到組的每個賬戶接受為該組定義的權(quán)利和權(quán)限。使用組而不是單獨的用戶可簡化網(wǎng)絡(luò)的維護和管理�。而通訊組只能用作電子郵件的通訊組,不能用于篩選組策略設(shè)置�,不具備安全功能����。
創(chuàng)建Active Directory域時自動創(chuàng)建的安全組稱為默認組�����。許多默認組被自動指派一組用戶權(quán)利����,授權(quán)組中的成員執(zhí)行域中的特定操作。默認組位于“Builtin”容器和“Users”容器中����。“Builtin”容器包含用本地域作用域定義的組���?�!癠sers”容器包含通過全局作用域定義的組和通過本地域作用域定義的組��?���?蓪⑦@些容器中的組移動到域中的其他組或組織單位����,但不能將它們移動到其他域。
提示:在安裝運行Windows Server 2003的獨立服務(wù)器或成員服務(wù)器時����,自動創(chuàng)建默認本地組。本地組不同于域本地組���,必須在本機上獨立管理���,只能用于本機?�?上虮镜亟M添加本地用戶賬戶�、域用戶賬戶、計算機賬戶以及組賬戶�����;但不能向域組賬戶添加本地用戶賬戶和本地組賬戶�。
要創(chuàng)建新的組,在“Active Directory用戶和計算機”控制臺樹中右鍵單擊要添加組的容器(域或組織單位)���,從快捷菜單中選擇【新建】>【組】命令���,打開如圖7.9所示的對話框�,設(shè)置組的名稱�����,選擇組作用域和組類型����。如果目前創(chuàng)建的組所屬的域處于混合模式,則只能選擇具有本地域或全局作用域的安全組���。
要將成員添加到組中�����,有兩種方法�����。一種是打開組的屬性對話框��,如圖7.10所示�����,切換到【成員】選項卡��,然后單擊【添加】按鈕��,從【查找位置】下拉列表中選擇對象所屬的域����,從列表中選擇對象(如用戶賬戶���、聯(lián)系人�����、其他組)�����,單擊【添加】按鈕���。
另一種方法是打開用戶賬戶的屬性對話框,切換到【隸屬于】選項卡���,然后單擊【添加】按鈕���,打開【選擇組】對話框�,選擇要添加到的組對象���?�;蛴益I單擊用戶對象����,在快捷菜單中選擇【添加到組】命令����。
也可將一個組添加到另一個組。
圖7.9 新建組對象 圖7.10 添加組成員
5.管理組織單位
與組不同�����,組織單位用于在單個域中創(chuàng)建對象集��,但是不授予成員身份��。組織單位及其所包含對象的管理可委派給單獨的管理員或組��。組織單位是可指派組策略設(shè)置或委派管理權(quán)限的最小作用域或單位。組織單位可包含用戶���、組�、計算機�����、打印機�����、共享文件夾以及其他組織單位���。組織單位是目錄容器對象,在“Active Directory 用戶和計算機”控制臺中�����,以一種文件夾的形式出現(xiàn)����。組織單位簡化了域中目錄對象的視圖以及這些對象的管理?����?蓪⒚總€組織單位的管理控制權(quán)委派給特定的用戶。
不要將組與組織單位混淆�。一個用戶可隸屬于多個組,但只能隸屬于一個組織單位�;組織單位可包含組,但是組不能將組織單位作為成員���;組可作為安全主體���,被授予權(quán)限,而組織單位不行��。
要創(chuàng)建新的組織單位��,在“Active Directory用戶和計算機”控制臺樹中����,右鍵單擊要添加組織單位的域(或組織單位),從快捷菜單中選擇【新建】>【組織單位】命令��,出現(xiàn)【新建對象-組織單位】對話框���,輸入組織單位的名稱即可��。
對現(xiàn)有組織單位可執(zhí)行重命名���、移動或刪除操作����。與組對象不同����,一旦刪除組織單位,其中的成員對象也將被刪除�。
組織單位的成員對象管理與域類似�����,可以像域一樣管理用戶�、計算機等對象。
在Active Directory中發(fā)布資源
從資源共享的角度看���,還需在Active Directory中發(fā)布資源���,供用戶搜索和使用??砂l(fā)布的資源包括用戶�、計算機���、打印機�、共享文件夾和網(wǎng)絡(luò)服務(wù)�����。當創(chuàng)建對象時����,在默認情況下會自動發(fā)布一些常用的目錄信息,如用戶賬戶或計算機名稱���。其他目錄信息�����,如共享文件夾���、打印機等則必須手動發(fā)布。當然可通過設(shè)置訪問控制權(quán)限�,控制特定的用戶和組能夠搜索和查看發(fā)布的目錄信息。例如����,用戶和計算機賬戶只有賬戶名稱等常用信息可供一般用戶訪問��,而賬戶安全信息則只有管理員才能看到���。
1.發(fā)布共享文件夾
首先要在某臺域成員計算機上創(chuàng)建共享文件夾,然后在域控制器上打開“Active Directory用戶和計算機”控制臺���,右鍵單擊要添加共享文件夾的域(或組織單位)�����,在快捷菜單中選擇【新建】>【共享文件夾】命令��,在【新建對象-共享文件夾】對話框中設(shè)置共享文件夾名稱和網(wǎng)絡(luò)路徑(UNC名稱),如圖7.11所示���,最后根據(jù)需要為該共享文件夾設(shè)置用戶訪問權(quán)限����,可以針對域用戶來設(shè)置權(quán)限����,默認本地Users組包括域Users組���。
配置完畢,訪問共享文件夾進行測試���。
2.發(fā)布共享打印機
在Active Directory中發(fā)布共享打印機信息有兩種情況�。
由Windows Server 2003或Windows 2000域成員計算機提供的共享打印機����,在創(chuàng)建共享打印機時將自動發(fā)布到目錄中。管理員可根據(jù)需要決定是否將共享打印機發(fā)布到目錄中�����。在打印服務(wù)器上打開共享打印機屬性對話框���,切換到【共享】選項卡�����,如圖7.12所示�。如果選中【列入目錄】復選框����,該打印機就會在目錄中發(fā)布��;如果清除該復選框����,則不在目錄中發(fā)布��。
由Windows 2000以前版本(如Windows NT)計算機提供的共享打印機�����,需要使用“Active Directory 用戶和計算機”控制臺手動發(fā)布�,右鍵單擊要在其中發(fā)布打印機的容器對象文件夾,從快捷菜單中選擇【新建】>【打印機】命令�,在【新建對象-打印機】對話框中設(shè)置共享打印機的網(wǎng)絡(luò)路徑(UNC名稱)。
3.發(fā)布服務(wù)
服務(wù)是指能使網(wǎng)絡(luò)用戶使用數(shù)據(jù)和操作的應(yīng)用程序����。在Active Directory中發(fā)布服務(wù)能使用戶或管理員從網(wǎng)絡(luò)以機器為中心的視圖移動到以服務(wù)為中心的視圖。通過發(fā)布服務(wù)而不是計算機或服務(wù)器�,管理員可專注于管理服務(wù)�����,而不用考慮是哪臺計算機在提供服務(wù)或計算機位于何處���。某些服務(wù)(如證書服務(wù))在安裝時自動發(fā)布到Active Directory中�����。其他服務(wù)可使用編程接口發(fā)布到目錄中�����。管理員可以使用“Active Directory站點和服務(wù)”控制臺管理已發(fā)布的服務(wù)�����。
圖7.11 發(fā)布共享文件夾 圖7.12 發(fā)布共享打印機
查詢和訪問Active Directory對象
Active Directory存儲了網(wǎng)絡(luò)對象大量的相關(guān)信息��,可供網(wǎng)絡(luò)用戶查詢和訪問���。網(wǎng)絡(luò)用戶可使用在Active Directory中發(fā)布的有關(guān)用戶���、計算機、文件和打印機的目錄信息��,只是其可用性受控于查看信息的安全權(quán)限�����。有多種目錄搜索工具和多種查詢AD對象的方法。
1.使用“Active Directory用戶和計算機”控制臺查詢AD對象
在域控制器上可直接使用“Active Directory用戶和計算機”控制臺�����,在其他域成員計算機上需要通過MMC來調(diào)用該控制臺�。這種方式可查找?guī)缀跛械腁D對象�����。通常以普通域用戶身份登錄到域執(zhí)行AD對象查詢?nèi)蝿?wù)。
在“Active Directory用戶和計算機”控制臺樹中��,如果要搜索整個域�,可右鍵單擊域節(jié)點,從快捷菜單中選擇【查找】命令(如果要搜索某個組織單位����,可右鍵單擊該組織單位節(jié)點,從快捷菜單中選擇【查找】命令)�,打開如圖7.13所示的對話框,在【名稱】框中鍵入要查找的用戶名稱�,單擊【開始查找】按鈕?��?墒褂貌糠炙阉鳁l件進行搜索��。
可進一步限制查找對象和范圍����。如圖7.14所示���,從【查找】下拉列表中選擇要查詢的對象類型��,從【范圍】下拉列表中選擇要查詢的范圍(整個目錄��、某域)��。還可使用【高級】選項卡執(zhí)行功能更強大的搜索�。
圖7.13 使用AD用戶和計算機控制臺查詢AD對象 圖7.14 限制查找的AD對象和范圍
2.通過“網(wǎng)上鄰居”搜索AD對象
在Windows XP或Windows 2000域成員計算機上��,可通過“網(wǎng)上鄰居”來搜索AD中的用戶���、聯(lián)系人�、組����、計算機、共享文件夾、打印機和組織單位等對象�����。
在Windows XP域成員計算機上打開“網(wǎng)上鄰居”窗口���,單擊【網(wǎng)絡(luò)任務(wù)】區(qū)域下面的【搜索Active Directory】鏈接�����,打開相應(yīng)的對話框���,如圖7.15所示?����?芍苯铀阉饔脩?、聯(lián)系人和組。從【查找】下拉列表中選擇要查詢的對象類型���,從【范圍】下拉列表中選擇要查詢的范圍(整個目錄�����、某個特定域)�����,如圖7.16所示��。還可切換到【高級】選項卡����,設(shè)置更為復雜的搜索條件�。
圖7.15 在Windows XP中通過“網(wǎng)上鄰居”查詢AD對象 圖7.16 限制查找的AD對象和范圍
在Windows 2000域成員計算機上打開“網(wǎng)上鄰居”窗口,雙擊【整個網(wǎng)絡(luò)】圖標��,再雙擊【目錄】圖標����,顯示整個Active Directory目錄,例中只有一個域���,如圖7.17所示����,右鍵單擊該域�,從快捷菜單中選擇【查找】命令����,可打開【查找用戶��、聯(lián)系人及組】對話框�����,執(zhí)行AD對象查詢�,與Windows XP類似。如果直接雙擊該域�����,將展開該域的所有對象��,如圖7.18所示�����,該文件夾標題以“ntds://”打頭����,可根據(jù)需要雙擊要訪問的Active Directory對象。
圖7.17 通過“網(wǎng)上鄰居”查詢AD對象 圖7.18 展開和瀏覽域?qū)ο?/P>
3.通過全局編錄查找用戶或打印機
全局編錄(簡稱GC)是存儲林中所有Active Directory對象的副本的域控制器����。全局編錄存儲林中主持域的目錄中所有對象的完全副本�����,以及林中所有其他域中所有對象的部分副本�����。在全局編錄中存儲所有域?qū)ο蟮淖畛K阉鞯膶傩裕梢詾橛脩籼峁└咝У乃阉?��。在林中的初始域控制器上��,會自動?chuàng)建全局編錄�����?���?梢韵蚱渌蚩刂破魈砑尤志庝浌δ?���,或者將全局編錄的默認位置更改到另一個域控制器上��。全局編錄提供以下功能�。
l 查找對象:允許用戶在林中的所有域中搜索目錄信息�。
l 提供UPN驗證:當執(zhí)行驗證的域控制器沒有賬戶信息時,全局編錄將解析用戶UPN���。
l 在多域環(huán)境中提供通用組成員身份信息��。
l 驗證林內(nèi)的對象引用:域控制器使用全局編錄驗證對林內(nèi)其他域的對象的引用�。
全局編錄允許用戶在林中的所有域中搜索目錄信息�����。最常用的就是從“開始”菜單中搜索用戶或打印機�。在Windows 2000域成員計算機(或安裝了目錄服務(wù)客戶端的Windows 95/98/NT計算機)中,從【開始】>【搜索】菜單中選擇【用戶】或【打印機】命令��,可打開相應(yīng)的對話框(分別如圖7.19和圖7.20所示)�,查找用戶或計算機目錄信息。
圖7.19 通過全局編錄查找用戶 圖7.20 通過全局編錄查找打印機
在Windows XP或Windows Server 2003域成員計算機中�����,從【開始】>【搜索】菜單打開【搜索】對話框����,再單擊【其他搜索選項】鏈接���,再單擊【打印機、計算機和用戶】鏈接�,最后選擇【網(wǎng)絡(luò)上的一個打印機】或【通訊簿中的用戶】鏈接,打開相應(yīng)的對話框��,查找用戶和計算機���。
設(shè)置Active Directory對象訪問控制權(quán)限
使用訪問控制權(quán)限,可控制哪些用戶和組能夠訪問AD對象以及訪問對象的權(quán)限����。每個AD對象都有一個訪問控制列表(ACL),記錄安全主體(用戶����、組、計算機)對對象的讀取����、寫入和審核等訪問權(quán)限。當然�,不同的對象類型提供的訪問權(quán)限項目也不一樣���。
提示:在Active Directory諸多對象中,只有安全主體能夠被授予權(quán)限���。安全主體是被自動指派了安全標識符(SID��,可用于訪問域資源)的目錄對象����,安全主體只包括用戶賬戶���、計算機賬戶以及組�。用戶賬戶或計算機賬戶的主要用途:① 驗證用戶或計算機的身份�;② 授權(quán)或拒絕訪問域資源;③ 管理其他安全主體�����;④ 審計使用用戶或計算機賬戶執(zhí)行的操作���。
在Active Directory中��,訪問控制是通過為對象設(shè)置不同的訪問級別或權(quán)限(如“完全訪問”����、“寫入”、“讀取”或“拒絕訪問”)���,在對象級別進行管理的���。Active Directory中的訪問控制定義了不同的用戶使用Active Directory對象的權(quán)限。默認情況下Active Directory 中對象的權(quán)限被設(shè)置為最安全的設(shè)置���。管理員可根據(jù)需要為Active Directory對象設(shè)置訪問權(quán)限��。
設(shè)置Active Directory對象訪問控制權(quán)限
① 打開“Active Directory用戶和計算機”控制臺�,從【查看】菜單中選中【高級功能】選項���。
② 右鍵單擊要設(shè)置權(quán)限的對象,從快捷菜單中選擇【屬性】命令�,打開相應(yīng)的對話框。
③ 切換到【安全】選項卡�����,列出當前的權(quán)限設(shè)置,單擊【高級】按鈕查看可用于該對象的所有權(quán)限項目����,如圖7.21所示。
④ 要給對象添加新權(quán)限��,可單擊【添加】按鈕打開相應(yīng)的對話框��,指定要添加的組����、計算機或用戶的名稱,然后單擊【確定】按鈕�����。
⑤ 如圖7.22所示���,在【對象】和【屬性】選項卡中根據(jù)需要選中或清除【允許】或【拒絕】復選框。
要更改對象的現(xiàn)有權(quán)限��,可單擊某個權(quán)限項目�,單擊【編輯】按鈕,在【對象】和【屬性】選項卡上�����,相應(yīng)地選中或清除【允許】或【拒絕】復選框。
要刪除對象或?qū)傩缘默F(xiàn)有權(quán)限����,應(yīng)單擊某個權(quán)限項目,然后單擊【刪除】按鈕�����。
圖7.21 查看對象的所有權(quán)限項目 圖7.22 設(shè)置對象的權(quán)限
注意:應(yīng)盡量避免為對象的某個屬性分配權(quán)限�,一般保持默認值即可。如果操作不當���,可能造成無法訪問AD對象的問題����。
通過組策略集中控制和管理Windows網(wǎng)絡(luò)
組策略(Group Policy)是基于Active Directory的一種系統(tǒng)管理技術(shù)����,用來定義自動應(yīng)用到網(wǎng)絡(luò)中特定用戶和計算機的默認設(shè)置�,這些設(shè)置包括安全選項、軟件安裝���、腳本文件設(shè)置���、桌面外觀和用戶文件管理等���。在基于Active Directory的Windows網(wǎng)絡(luò)中,可通過組策略來實現(xiàn)用戶和計算機的集中配置和管理���。例如���,管理員可為特定的域用戶或計算機設(shè)置統(tǒng)一的安全策略;可在域中的每臺計算機上自動安裝某個軟件�,可為某個組織單位中的用戶賬戶設(shè)置統(tǒng)一界面。
1.理解組策略
組策略設(shè)置存儲在域控制器中�,只能在Active Directory環(huán)境下使用,適用于組策略對象所作用的站點�、域或組織單位中的用戶和計算機。與AD組策略相對應(yīng)的是本地組策略���。本地組策略設(shè)置存儲在所有運行Windows 2000/XP/2003的計算機上����。一個本地組策略對象只能存在于一臺計算機上��,只能作用于該計算機及本地用戶。如果與AD組策略的設(shè)置發(fā)生沖突�����,Active Directory組策略對象的設(shè)置將覆蓋本地組策略對象的設(shè)置��。如果不沖突��,則兩者都可以應(yīng)用��。
可以站點���、域或組織單位為作用范圍來定義不同層次的組策略對象����,一旦定義了組策略對象�����,則該對象包含的規(guī)則將應(yīng)用到相應(yīng)作用范圍的用戶和計算機的設(shè)置����。組策略對象的作用范圍是由組策略對象鏈接(GPO Link)來設(shè)置的。任何組策略對象要想生效����,必須鏈接到某個Active Directory對象(站點、域或組織單位)�。
組策略既可以應(yīng)用于用戶,也可以應(yīng)用于計算機���。用戶和計算機是接收策略的惟一Active Directory對象類型����。組策略可提供針對用戶和計算機的配置���,相應(yīng)地稱為用戶策略和計算機策略��。對于用戶配置來說�����,無論用戶登錄到哪臺計算機����,組策略中的用戶配置設(shè)置都將應(yīng)用于相應(yīng)的用戶����。用戶在登錄計算機時獲得用戶策略�����。對于計算機配置來說���,無論哪個用戶登錄到計算機,組策略中的計算機配置設(shè)置都將應(yīng)用于相應(yīng)的計算機����。計算機啟動時獲得計算機策略。組策略不適用于Windows 9x/NT計算機�����,也不會影響未加入域的計算機和用戶����。
在Windows 2000/XP/2003域成員計算機中,組策略的執(zhí)行順序為:本地組策略對象→Active Directory站點→Active Directory域→Active Directory組織單位�����。在Active Directory層次結(jié)構(gòu)的每一級組織單位中���,可以鏈接一個�����、多個或不鏈接組策略對象��。如果一個組織單位鏈接了多個組策略����,則按照管理員指定的順序同步處理�。這意味著首先處理本地組策略對象,最后處理鏈接到計算機或用戶直接上屬組織單位的組策略對象��,覆蓋以前的組策略對象�����。
組策略可以繼承�����。子容器繼承父容器組策略���,并且組策略的處理按站點�����、域和組織單位的順序進行�。這意味著如果將特定組策略分配給一個高級父容器,那么這個組策略將應(yīng)用于該父容器下的所有容器�,包括每個容器中的用戶和計算機對象。但是���,如果明確將組策略指定給一個子容器�,那么子容器的組策略將替代父容器的組策略����。
2.配置組策略對象
可以使用“Active Directory用戶和計算機”或“Active Directory站點和服務(wù)”控制臺來配置組策略,前者適合域或組織單位的組策略設(shè)置���,后者適合站點的組策略設(shè)置�����。也可使用組策略對象編輯器MMC管理單元來配置組策略對象���,這種方法適合編輯特定的組策略對象。這里以常用的“Active Directory用戶和計算機”控制臺為例講解如何配置組策略對象�����。
編輯組策略對象
① 在“Active Directory用戶和計算機”控制臺樹中,右鍵單擊要設(shè)置組策略的域或組織單位(這里以域為例)��,從快捷菜單中選擇【屬性】命令�����,打開屬性設(shè)置對話框���。
② 切換到如圖7.23所示的【組策略】選項卡,在組策略對象鏈接列表中已有一個默認的組策略對象����。選中該對象,單擊【編輯】按鈕��,打開要編輯的組策略對象����。
③ 如圖7.24所示,每個組策略對象包括計算機配置和用戶配置兩個部分����,分別對應(yīng)所謂的計算機策略和用戶策略。設(shè)置相應(yīng)的選項。例中設(shè)置賬戶策略���。
提示:無論是計算機配置�,還是用戶配置��,通常包括軟件設(shè)置�、Windows設(shè)置和管理模板這3個子項(由于組策略可向它添加或刪除管理單元擴展組件,因此子項的確切數(shù)目可能不同)�����。其中位于【計算機配置】>【W(wǎng)indows設(shè)置】節(jié)點下面的【安全設(shè)置】節(jié)點是經(jīng)常要設(shè)置的選項��,它允許管理員手動配置指派到組策略對象的安全級別����,設(shè)置系統(tǒng)安全性。
④ 設(shè)置相應(yīng)的組策略對象后�����,返回到【組策略】選項卡�����,再單擊【確定】按鈕。
圖7.23 【組策略】選項卡 圖7.24 編輯組策略
新建和編輯組策略對象后�����,還要添加組策略對象鏈接�,即將當前容器(域或組織單位)鏈接到已有的組策略對象。在【組策略】選項卡中單擊【添加】按鈕打開如圖7.25所示的對話框�,從現(xiàn)存于站點、域或組織單位的組策略對象中選擇����。
3.應(yīng)用組策略
在計算機啟動和用戶登錄時,組策略中的計算機策略和用戶策略按下列順序應(yīng)用到計算機和用戶����。
(1)網(wǎng)絡(luò)啟動��。
(2)獲得組策略對象的有序列表��。該列表可能取決于下列因素:
l 該計算機是否為域成員��,并且是否因此通過Active Directory受組策略的控制�����;
l 計算機在Active Directory中的位置;
l 如果組策略對象列表沒有更改����,則不進行處理,可以使用策略設(shè)置更改該行為���。
(3)計算機策略已得到應(yīng)用��。這些都是收集的列表中“計算機配置”下的設(shè)置�。默認情況下這些操作將同步進行����,順序為本地、站點�、域、組織單位���、子組織單位等��。處理計算機策略時不顯示用戶界面�。
(4)啟動腳本開始運行����。在默認情況下這是隱藏的而且是同步進行的�����。每個腳本在下一個腳本開始執(zhí)行之前要么必須完成���,要么做超時處理。默認超時時間為600秒����。用戶可以使用多種策略設(shè)置更改該行為。
(5)用戶按〖Ctrl〗+〖Alt〗+〖Del〗鍵登錄��。
(6)用戶驗證身份之后���,將加載由當前生效的策略設(shè)置控制的用戶配置文件���。
(7)用戶可獲得組策略對象的有序列表�����。該列表可能取決于下列因素:
l 用戶是否為域用戶����,而且是否因此通過Active Directory受組策略的控制����;
l 用戶在Active Directory中的位置�����;
l 如果要應(yīng)用的組策略對象的列表沒有更改�����,則不進行處理�����,可以使用策略設(shè)置更改該行為���。
(8)用戶策略已被應(yīng)用��。這些都是收集的列表中“用戶配置”下的設(shè)置����。默認情況下這些操作將同步進行���,順序為本地���、站點��、域�、組織單位���、子組織單位等��。處理用戶策略時不顯示用戶界面���。
(9)登錄腳本開始運行。與Windows NT 4.0腳本不同��,基于組策略的登錄腳本在默認情況下是隱藏并且異步運行的�����。用戶對象腳本(在Windows NT 4.0中以正常窗口運行)最后運行����。
(10)顯示由組策略預(yù)定義的操作系統(tǒng)用戶界面��。
限于篇幅��,這里再舉一個使用“管理模板”組策略的簡單例子。要禁止域中所有用戶在IE瀏覽器中更改主頁設(shè)置��。打開組策略編輯器�,依次展開【計算機配置】>【管理模板】>【系統(tǒng)】>【W(wǎng)indows組件】>【Internet Explorer】節(jié)點(如圖7.26所示,)�,雙擊“禁用更改主頁設(shè)置”圖標,打開如圖7.27所示的對話框��。選中【已啟用】選項以啟用該策略���,然后單擊【確定】按鈕���。
圖7.26 展開組策略節(jié)點 圖7.27 啟用“禁用更改主頁設(shè)置”策略
