（以下操作均在Windows Server 2003系統(tǒng)中實(shí)現(xiàn)，客戶端也是使用2003來(lái)模擬，和實(shí)際中客戶端使用的XP 操作系統(tǒng)可能會(huì)有所不同） 很多企業(yè)都會(huì)用到域環(huán)境來(lái)實(shí)現(xiàn)管理，域的實(shí)際應(yīng)用非常廣泛

（以下操作均在Windows Server 2003系統(tǒng)中實(shí)現(xiàn)，客戶端也是使用2003來(lái)模擬，和實(shí)際中客戶端使用的XP 操作系統(tǒng)可能會(huì)有所不同） 很多企業(yè)都會(huì)用到域環(huán)境來(lái)實(shí)現(xiàn)管理，域的實(shí)際應(yīng)用非常廣泛。下面我們講解在域環(huán)境下如何管理用戶帳戶和組。在講解過(guò)程中我們會(huì)涉及到用戶帳戶、計(jì)算機(jī)帳戶、組和OU 等對(duì)象。

一、域用戶帳戶的特點(diǎn)

和本地用戶帳戶不同，域用戶帳戶保存在活動(dòng)目錄中。由于所有的用戶帳戶都集中保存在活動(dòng)目錄中，所以使得集中管理變成可能。同時(shí)，一個(gè)域用戶帳戶可以在域中的任何一臺(tái)計(jì)算機(jī)上登錄（域控制器除外），用戶可以不再使用固定的計(jì)算機(jī)。當(dāng)計(jì)算機(jī)出現(xiàn)故障時(shí)，用戶可以使用域用戶帳戶登錄到另一臺(tái)計(jì)算機(jī)上繼續(xù)工作，這樣也使帳號(hào)的管理變得簡(jiǎn)單。

在工作組環(huán)境中，所有計(jì)算機(jī)是獨(dú)立的，要讓用戶能夠登錄到計(jì)算機(jī)并使用計(jì)算機(jī)的資源，必須為每個(gè)用戶建立本地用戶帳戶。同時(shí)，為了方便實(shí)現(xiàn)用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)權(quán)限，我們可以使用本地組來(lái)實(shí)現(xiàn)。

本地用戶帳戶和組主要用在本地計(jì)算機(jī)。本地用戶帳戶只能登錄到本地計(jì)算機(jī)；本地用戶帳戶保存在本地計(jì)算機(jī)；本地用戶若需要訪問(wèn)其它計(jì)算機(jī)，需要在其它計(jì)算機(jī)上有相應(yīng)的用戶帳戶以便進(jìn)行身份驗(yàn)證。

二、管理工具

要對(duì)域中的用戶和計(jì)算機(jī)等對(duì)象進(jìn)行管理，我們要使用“Active Directory用戶和計(jì)算機(jī)”管理工具。該工具在我們安裝了活動(dòng)目錄后會(huì)被添加到管理工具中，我們可以在管理工具里找到它。

打開后如圖所示，在窗口的左邊，可以看到我們創(chuàng)建的域。按左邊的“ ”號(hào)展開該域

展開后可以找到“users”管理單元，點(diǎn)擊后在右邊就可以看到一些內(nèi)置的用戶帳號(hào)和組。當(dāng)系統(tǒng)安裝了活動(dòng)目錄后，原來(lái)的本地用戶和組帳號(hào)都沒有了，這些對(duì)象會(huì)變成域用戶帳號(hào)和域本地組，并被放在該“users”管理單元內(nèi)

三、OU （組織單位）

在域中有很多的對(duì)象，包括用戶帳戶、組、共享文件夾和共享打印機(jī)等。這些對(duì)象都是集中存儲(chǔ)在活動(dòng)目錄中并使用“AD用戶與計(jì)算機(jī)”管理工具來(lái)進(jìn)行管理。但如果這些大量的對(duì)象都放在“users”管理單元內(nèi)進(jìn)行管理，會(huì)帶來(lái)一定的不便，例如不便于查找、難于設(shè)置策略等 所以為了更好的組織和管理這些對(duì)象，引入的“OU”的概念。OU 又叫組織單位，它是一個(gè)容器，主要的作用就是用來(lái)組織和管理這些對(duì)象的。為了便于日后的管理，我們一定的設(shè)計(jì)好OU 的結(jié)構(gòu)

OU 結(jié)構(gòu)的劃分有幾種不同的方法，例如

按對(duì)象類型來(lái)劃分。該劃分方法是創(chuàng)建幾個(gè)OU ，不同的OU 放不同的對(duì)象，比如一個(gè)OU 放用戶帳戶，另一個(gè)OU 放計(jì)算機(jī)帳戶等 按企業(yè)的組織結(jié)構(gòu)來(lái)劃分。方法是為不同的部門創(chuàng)建不同的OU ，把屬于每個(gè)部門的對(duì)象都放在一個(gè)OU 里，比如財(cái)務(wù)部的OU 放財(cái)務(wù)部的用戶帳戶、財(cái)務(wù)部的計(jì)算機(jī)帳戶和組等，而業(yè)務(wù)部的OU 放業(yè)務(wù)部的用戶帳戶、業(yè)務(wù)部的計(jì)算機(jī)帳戶和組等。這是一種常用的方法 按地區(qū)來(lái)劃分。該方法主要用在有分支機(jī)構(gòu)的企業(yè)，分別為不同的分支機(jī)構(gòu)創(chuàng)建不同的OU ，然后把屬于該分支機(jī)構(gòu)的所有對(duì)象都放在相應(yīng)的OU 里。比如一個(gè)企業(yè)有廣州總公司、上海分公司和北京分公司，那么就分別為這三個(gè)分公司建立三個(gè)OU ，一個(gè)OU 放廣州總公司的對(duì)象，一個(gè)放上海分公司的對(duì)象，還有一個(gè)放北京分公司的對(duì)象

混合劃分方法。該方法是按組織結(jié)構(gòu)劃分和按地區(qū)劃分兩種方法的結(jié)合，先為不同分支機(jī)構(gòu)創(chuàng)建OU ，再在不同的分支機(jī)構(gòu)的OU 里按組織結(jié)構(gòu)來(lái)創(chuàng)建子OU 。這也是一種常用的方法

要?jiǎng)?chuàng)建一個(gè)OU ，在“AD用戶和計(jì)算機(jī)”管理工具里右擊域名，在彈出的快捷菜單中選擇新建，在子菜單中選擇“組織單位

在“新建對(duì)象 - 組織單位”對(duì)話框中輸入組織單位的名稱，例如：XXX 公司

按“確定”后完成了一個(gè)OU 的創(chuàng)建

要在該OU 里創(chuàng)建子OU ，右擊該OU ，同樣在彈出的快捷菜單中選擇新建組織單位，分別為不同的部門創(chuàng)建不同的OU ，完成后如下圖所示

四、為用戶創(chuàng)建帳戶

要在OU 里為域用戶創(chuàng)建用戶帳戶，右擊一個(gè)OU ，在彈出的快捷菜單中選擇“新建”，并在子菜單中選擇“用戶”

在出現(xiàn)的“新建對(duì)象 - 用戶”對(duì)話框中，為用戶分別輸入“姓”和“名”，并在“用戶登錄名”中輸入用戶用來(lái)登錄系統(tǒng)的登錄名，該登錄名和電子郵件的地址非常象，如：。前面的姓名是用戶的顯示名，顯示名在同一個(gè)OU 里必須是唯一的，而用戶的登錄名在同一個(gè)域里必須是唯一的

按下一步后進(jìn)入另一個(gè)對(duì)話框，該對(duì)話框要求為域用戶輸入一個(gè)初始密碼，并確保勾選“用戶下次登錄時(shí)須更改密碼”選項(xiàng)

下一步后按“完成”按鈕完成用戶帳戶的創(chuàng)建

五、限制用戶能登錄的計(jì)算機(jī)

在域環(huán)境下，一個(gè)域用戶帳戶默認(rèn)是可以登錄到域中任意一臺(tái)計(jì)算機(jī)的（DC 除外），這樣為用戶提供了方便。因?yàn)榧僭O(shè)用戶正在使用的計(jì)

算機(jī)出現(xiàn)故障了，需要維修，那么該用戶可以用他自己的域用戶帳戶在其它計(jì)算機(jī)上登錄域，繼續(xù)完成自己未完成的工作，繼續(xù)使用域中的資源而不會(huì)受到影響，但工作組卻沒有提供這樣的方便

但是如果我們需要限制用戶只能使用某些計(jì)算機(jī)來(lái)登錄域，那么可以通過(guò)設(shè)置用戶帳戶的屬性來(lái)實(shí)現(xiàn)

打開要進(jìn)行限制的用戶帳戶的屬性，找到“帳戶”選項(xiàng)卡，點(diǎn)擊“登錄到”按鈕

在打開的“登錄工作站”對(duì)話框中，可以看到默認(rèn)的設(shè)置是用戶可以登錄到“所有計(jì)算機(jī)”，要進(jìn)行限制，選擇“下列計(jì)算機(jī)”單選按鈕，并在“計(jì)算機(jī)名”文本框內(nèi)輸入只允許用戶在其上登錄的計(jì)算機(jī)名并點(diǎn)擊“添加”按鈕。如果有必要，可以添加多臺(tái)計(jì)算機(jī)

完成后，該用戶只能在指定的計(jì)算機(jī)上登錄，而不能在未指定的計(jì)算機(jī)上登錄到域

六、限制用戶登錄域的時(shí)間

在默認(rèn)設(shè)置下，域用戶可以在任何時(shí)間登錄到域，但如果想限制用戶只能在某些時(shí)間才允許登錄到域，而其它時(shí)間不能登錄到域，比如說(shuō)公司規(guī)定只有在星期一到五的8：00到18：00這段時(shí)間可以登錄到域，而其它時(shí)間不能登錄到域，則可以通過(guò)設(shè)置用戶帳戶的屬性來(lái)實(shí)現(xiàn)

打開用戶帳戶的屬性對(duì)話框，找到“帳戶”選項(xiàng)卡，點(diǎn)擊“登錄時(shí)間...”按鈕

在打開的“XX的登錄時(shí)間”對(duì)話框中，選定特定的時(shí)間段，并選擇“允許登錄”或“拒絕登錄”，確定

七、設(shè)置漫游配置文件

1、什么是配置文件

配置文件是用于保存特定用戶工作環(huán)境的特殊文件（一組文件）。用戶工作環(huán)境包括：用戶的桌面設(shè)置、應(yīng)用程序設(shè)置、用戶的“我的文檔”、收藏夾、開始菜單、臨時(shí)文件等設(shè)置。每個(gè)用戶都有屬于自己的配置文件。當(dāng)一個(gè)用戶在一臺(tái)計(jì)算機(jī)上登錄后，默認(rèn)在計(jì)算機(jī)的C ：盤下有一個(gè)“Documents and Settings”文件夾，該文件夾用于保存用戶的配置文件，每個(gè)用戶都在該文件夾里有一個(gè)和自己用戶名同名的子文件夾，該子文件夾保存的就是該用戶的配置文件

2、為什么要用漫游配置文件

如果用戶需要經(jīng)常在不同的計(jì)算機(jī)上登錄，那么每在一臺(tái)計(jì)算機(jī)登錄，該計(jì)算機(jī)就會(huì)為該用戶建立一個(gè)配置文件，多臺(tái)計(jì)算機(jī)意味著該用戶有多個(gè)配置文件，這樣可能會(huì)出現(xiàn)這樣一種情況：用戶“U1”在計(jì)算機(jī)“C1”登錄，然后在“我的文檔”里保存了一個(gè)文件“F1”，然后該用戶注銷后在計(jì)算機(jī)“C2”登錄，可是當(dāng)用戶打開“我的文檔”時(shí)卻找不到他的文件“F1”。這是因?yàn)樵诓煌挠?jì)算機(jī)上用戶的配置文件并不一致，該用戶只能回到計(jì)算機(jī)“C1”的登錄才可以找回自己的文件“F1“

另外，用戶在“桌面”或“我的文檔”里保存的所有文件實(shí)際上是保存在本地計(jì)算機(jī)里，數(shù)據(jù)的備份是需要由用戶自己來(lái)完成的。然而，并不是所有用戶都知道“什么是備份”？“如何備份“

3、漫游配置文件的優(yōu)點(diǎn)

漫游配置文件是指把用戶的配置文件集中存放在網(wǎng)絡(luò)中的某個(gè)專用服務(wù)器中（文件服務(wù)器），當(dāng)用戶登錄時(shí)，系統(tǒng)會(huì)自動(dòng)去尋找該服務(wù)器，并找到屬于該用戶的配置文件，然后加載。這時(shí)，無(wú)論用戶在什么地方登錄，該用戶都可以使用同一個(gè)配置文件，不會(huì)出現(xiàn)上述的問(wèn)題，

在任何一臺(tái)計(jì)算機(jī)登錄所獲得的工作環(huán)境都是一樣的。同時(shí)，由于所有用戶的配置文件集中保存在同一臺(tái)服務(wù)器中，所以也方便了管理員進(jìn)行集中的備份，保證數(shù)據(jù)的安全

4、為用戶設(shè)置漫游配置文件

首先要找一臺(tái)專用的文件服務(wù)器，在該服務(wù)器中建立一個(gè)文件夾并共享，共享權(quán)限設(shè)置everyone 寫入權(quán)限

然后選擇一個(gè)用戶，打開屬性對(duì)話框，找到“配置文件”選項(xiàng)卡。在“配置文件路徑”中填入上面建立的共享文件夾的UNC 路徑，并在該路徑后跟該用戶的用戶名，以便于把該用戶的配置文件存放在以用戶名命名的子文件夾里。確定

這時(shí)該用戶在域中任一臺(tái)計(jì)算機(jī)上登錄，該用戶的工作環(huán)境都是一樣的

八、用戶主文件夾

用戶主文件夾是用于給用戶保存文件的主要的地方。用戶可以在“桌面”、“我的文檔”和本地磁盤中保存數(shù)據(jù)，但當(dāng)用戶經(jīng)常需要在不同的計(jì)算機(jī)上登錄時(shí)，用戶的文件可能會(huì)分散保存在不同的地方，對(duì)用戶使用造成不便，同時(shí)也不利于對(duì)數(shù)據(jù)進(jìn)行備份。當(dāng)用戶計(jì)算機(jī)出現(xiàn)故障時(shí)，也有可能會(huì)造成用戶數(shù)據(jù)的丟失。

主文件夾是在一臺(tái)專用的服務(wù)器中，類似于上面的“漫游配置文件”中的文件夾，用戶的所有數(shù)據(jù)都可以保存在主文件夾里，好處是用戶在任何一臺(tái)計(jì)算機(jī)上登錄都可以找到自己的文件，不用擔(dān)心用戶計(jì)算機(jī)的故障會(huì)造成數(shù)據(jù)的丟失，方便管理員對(duì)數(shù)據(jù)進(jìn)行集中備份等。 為用戶設(shè)置主文件夾的方法和設(shè)置漫游配置文件的方法差不多，也要先在一臺(tái)專用的文件服務(wù)器上建立一個(gè)共享文件夾，并開放everyone 寫入權(quán)限，然后在用戶屬性對(duì)話框中找到“配置文件”選項(xiàng)卡，選中“連接”，選擇一個(gè)驅(qū)動(dòng)器符號(hào)，在“到：”處寫入共享文件夾的路徑，并在該路徑后加上該用戶的用戶名。確定，完成

當(dāng)該用戶登錄后，在“我的電腦”里會(huì)多出一個(gè)“網(wǎng)絡(luò)驅(qū)動(dòng)器”，該網(wǎng)絡(luò)驅(qū)動(dòng)器就是剛才我們建立的用戶主文件夾。用戶把自己的文件保存到該網(wǎng)絡(luò)驅(qū)動(dòng)器里時(shí)，實(shí)際上是保存在那臺(tái)專用的文件服務(wù)器中

九、組的管理

在域中，組的類型有兩種，分別是“安全組”和“通訊組”。安全組即可以設(shè)置權(quán)限，也可以收發(fā)電子郵件；而通訊組不能設(shè)置權(quán)限，只能收發(fā)電子郵件

根據(jù)組的作用范圍不同，組又分為“本地域組”、“全局組”和“通用組”三種

本地域組：作用范圍是該組所在的域內(nèi)，可以包含的成員包括：所有域的用戶帳戶、全局組、通用組，以及本域的域本地組

全局組：作用范圍是所有受信任的域，可以包含的成員有：本域的用戶帳戶和全局組

通用組：作用范圍是所有受信任的域，可以包含的成員有：所有域的用戶帳戶、全局組和通用組

要新建組，右擊某個(gè)OU ，選擇“新建”->“組”

在出現(xiàn)的對(duì)話框中輸入組的名稱，選擇組的類型和作用范圍，確定即可。（注：只有域功能模式在2000或2003模式才能新建通用組）

要提升域功能級(jí)別，右擊域名，在出現(xiàn)的菜單中選擇“提升域功能級(jí)別”

在彈出的“提升域功能級(jí)別”對(duì)話框中，可以看到當(dāng)前的域功能級(jí)別，然后在下面的下拉列表中選擇一個(gè)合適的域功能級(jí)別，確定。（域功能級(jí)別提升后不能返回，是單向的操作）

創(chuàng)建了組以后，就可以把相應(yīng)的用戶帳號(hào)或某些組加入到組里以方便賦予權(quán)限

十、使用組的策略

在域環(huán)境下使用組，一般遵循AGDLP 規(guī)則，另外還有AGGDLP 、AGUDLP 、AGGUDLP 等規(guī)則。

以最常用的AGDLP 規(guī)則為例介紹一下用法

A-用戶

G-全局組

DL-本地域組

P-權(quán)限

AGDLP 是指把用戶帳號(hào)加入全局組，把全局組加入本地域組，然后對(duì)本地域組設(shè)置權(quán)限。

為什么不把用戶帳戶加入全局組，然后直接對(duì)全局組設(shè)置權(quán)限？或者把用戶加入本地域組，然后直接對(duì)本地域組設(shè)置權(quán)限？

1、把用戶加入全局組，然后直接對(duì)全局組設(shè)置權(quán)限

該方法的缺點(diǎn)是：由于全局組只能包括本域的用戶和全局組，如果需要設(shè)置其它域的用戶的權(quán)限，則必需要單獨(dú)設(shè)置，如果有多個(gè)全局組，則設(shè)置權(quán)限也要設(shè)置多次。

2、把用戶加入本地域組，然后直接對(duì)本地域組設(shè)置權(quán)限

該方法的缺點(diǎn)是：由于本地域組的作用范圍是本地域，如果用戶需要訪問(wèn)其它域的資源，則需要重新為該用戶設(shè)置權(quán)限，如果有多個(gè)用戶，則要分別設(shè)置多次