windows server 活动目录知识点汇总

组策略的应用规则 1、 在默认情况下，下层容器会继承来自上层容器的 、 在默认情况下，下层容器会继承来自上层容器的GPO（组 （ 策略对象） 策略对象）
站点
域
OU
低层次从高层次继承GPO 低层次从高层次继承 的设置
域 GPO Domain Payroll Computers Users
2、 子容器可以阻止继承上级的组策略 、
组策略的作用 方便地管理AD中的计算机和用户 方便地管理 中的计算机和用户
用户桌面环境 计算机启动/关机与用户登录 关机与用户登录/注销时所执行的脚本文件 计算机启动 关机与用户登录 注销时所执行的脚本文件 软件分发 安全设置
组策略
活 动 目 录 域控制器
域
组策略实现 组策略是通过“GPO”来设定的 来设定的。 组策略是通过“GPO”来设定的。 组策略对象GPO GPO（ Object） 组策略对象GPO（Group Policy Object） 组策略对象GPO主要有三种： GPO主要有三种 Site2、 3、 组策略对象GPO主要有三种：1、站点 Site2、域Domain 3、组 织单位OU 织单位OU GPO的内容被分为GPC（组策略容器） GPT（组策略模版）两部分： 的内容被分为GPC GPO的内容被分为GPC（组策略容器）与GPT（组策略模版）两部分： 是包含GPO属性和版本信息的活动目录对象 1、 GPC是包含 是包含 属性和版本信息的活动目录对象 在域控制器的共享系统卷（ 2、 GPT在域控制器的共享系统卷（SYSVOL）中，是一种文件夹 在域控制器的共享系统卷 ） 层次结构 系统默认的两个GPO，分别是： 系统默认的两个GPO，分别是： GPO GPO已经被链接到域 已经被链接到域， 1、 Default Domain Policy 此GPO已经被链接到域，因此它的设置会 被应用到整个域内的所有用户与计算机。 被应用到整个域内的所有用户与计算机。 GPO已经被链接到 已经被链接到Domain 2、Default Domain Controller Policy 此GPO已经被链接到Domain OU,因此它的设定值会被应用到域控制器组织单位内的所 Controller OU,因此它的设定值会被应用到域控制器组织单位内的所 有用户与计算机。 有用户与计算机。

• 活动目录由一个或多个域构成，一个域可以跨越不 止一个物理地点。每一个域都有它自己的安全策略 和本域与其他域之间的安全关系。当多个域通过信 任关系连接起来并且拥有共同的模式、配置和全局 目录时，它们就构成了一个域树。多个域树可以连 接起来形成一个树林。
活动目录的结构图
对象
• 对象（Object）是对某具体事物的命名，如用户、 打印机或应用程序等。属性是对象用来识别主题 的描述性数据。一个用户的属性可能包括用户的 Name、Email和Phone等
组织单元
• 组织单元（OU，Organizational Unit）是组织、 管理一个域内对象的容器，它能包容用户账户、用户 组、计算机、打印机和其他的组织单元。很明显，通 过组织单元的包容，组织单元具有很清楚的层次结构。 使用组织单位可帮助管理员将网络所需的域数量降到 最低，组织单位还可以创建缩放到任意规模的管理模 型。这种包容结构可以使管理者将组织单元切入到域 中来反映出企业的组织结构，同时管理者还可以委派 任务与授权。使用组织单位，可以在组织单位中代表 逻辑层次结构的域中创建容器，这样就可以根据实际 的组织模型管理账户和资源的配置和使用。
域
• 域（Domain）是Windows Server 2019活动 目录的核心单元，是共享同一活动目录的一组计 算机集合。域是安全的边界，在默认的情况下， 一个域的管理员只能管理自己的域，一个域的管 理员要管理其他的域需要专门的授权。域也是复 制单位，一个域可包含多个域控制器，当某个域 控制器的活动目录数据库修改以后，会将此修改 复制到其他所有域控制器。
9.2.2 站点
• 站点定义为由一个或多个 IP 子网组成的一组连 接良好的计算机集合。站点与域不同，站点代表 网络的物理结构，一般与地理位置相对应，而域 代表组织的逻辑结构。

角色：虚拟机2，独立服务器 主机名：win2012-2 IP地址：192.168.10.2/24 操作系统：Windows Server 2012 R2
图3-1 安装与配置Hyper-V服务器拓扑图
1.3 项目实施
Windows Server 2012 R2安装完成后，默认没有安装 Hyper-V角色，需要单独安装Hyper-V角色。安装Hyper-V角色 可通过“添加角色向导”完成。 1.3.1 任务1 安装和卸载Hyper-V角色
1.2 项目设计及准备
角色：虚拟机1，独立服务服务器 主机名：win2012-1 IP地址：192.168.10.1/24 操作系统：Windows Server 2012 R2
角色：Hyper-V服务器 主机名：win2012-0 IP地址：192.168.10.100/24 操作系统：Windows Server 2012 R2
目前主流的服务器CPU均支持以上要求，只要 支持硬件虚拟化功能，其他两个要求基本都能够满 足。为了安全起见，在购置硬件设备之前，最好事 先到CPU厂商的网站上确认CPU的型号是否满足以上 要求。
1.2 项目设计及准备
① 安装好Windows Server 2012 R2，并利用“服务器 管理器”添加“Hyper-V”角色。 ② 对Hyper-V服务器进行配置。 ③ 利用“Hyper-V管理器”建立虚拟机。 本项目的参数配置及网络拓扑图如图1-1所示。
① 安装Windows Server 2012 R2 Hyper-V功能，基本 硬件需求如下。 CPU：最少1 GHz，建议2 GHz以及速度更快的CPU。 内存：最少512 MB，建议1 GB。 完整安装Windows Server 2012 R2建议2 GB内存。 安装64位标准版或者数据中心版，最多支持2 TB内 存。 磁盘：完整安装Windows Server 2012 R2建议40 GB 磁盘空间，安装Server Core建议10 GB磁盘空间。

内容提要
第一部分 构建AD DS环境
第2章 建立域树 和林
第1章 部署与管 理AD DS
第3章 管理域用 户账户和组
1
1.1 理论基础
1.2 实践项目 2
设计与准备
3 1.3 实践项目
实施
4
1.4 习题
5 1.5 实训项目
部署与管理活 动目录
1
2.1 理论基础
2.2 实践项目 2
设计与准备
10.1 理论基 1
础
10.2 实践项 2
目设计与准备
3 10.3 实践项
目实施
4
10.4 习题
5 10.5 实训项
目维护AD DS
参考文献
谢谢观看
读书笔记
最 新
版
本
6.2 实践项目设 计与准备
6.3 实践项目实 施
6.4 习题
第三部分 管理与维护AD DS
第7章 配置2活动 目录的对象和信 任
第8章 配置 2Active Direct...
第9章 管理操作 主机
第10章 维护AD DS
1
7.1 理论基础
7.2 实践项目 2
设计与准备
3 7.3 实践项目
实施
04
第三部分 管理与维护 AD DS
05 参考文献
本书以目前被广泛应用的WindowsServer2012R2为例，采用教、学、做相结合的模式，着眼实践应用，以 企业真实案例为基础，全面、系统地介绍活动目录在企业中的应用。全书共分3部分：构建ADDS环境、配置与管 理组策略和管理与维护ADDS。本书结构合理，知识全面且实例丰富，语言通俗易懂。本书采用“任务驱动、项 目导向”的方式，注重知识的实用性和可操作性，强调职业技能训练。本书所有项目的知识点、技能点和项目实 训操作都已录制成微课，并以二维码形式嵌入相应位置，读者可通过扫码看微课。本书适合高等院校、高等职业 院校计算机网络相关专业学生，以及WindowsServer2012R2初、中级用户、网络系统管理工程师、网络系统运 维工程师和社会培训人员等学习，是网络工程师bi备的学习宝典。

第七章 活动目录介绍
• • • • • • • • • • 7.1 概述 7.2 活动目录介绍 7.3 活动目录逻辑结构 7.4 活动目录物理结构 7.5 管理windows 2003网络的方法 7.6 活动目录中的DNS角色介绍 7.7 安装活动目录 7.8 验证活动目录安装 7.9 域控制器管理 7.10 活动目录管理工具
7.7 安装活动目录 7.7.2 安装活动目录前的准备
活动目录（AD）是Windows Server 2003非常关键的服务，它不是 孤立的，而是与许多协议和服务有着非常紧密的关系，并涉及到整个操 作系统的结构和安全。因为安装AD前必须完成一系列的策划和准备。 1．文件系统与网络协议：计算机必须安装Windows Server 2003操 作系统；必须有NTFS磁盘分区或卷用于保存SYSVOL文件夹，最小250M的 可用磁盘空间；计算机须安装网卡并连入网络，运行TCP/IP协议和DNS 服务（可在安装活动目录的同时安装DNS），并有一个静态的IP地址。 建议DNS服务先安装并配臵好，区域设臵成允许动态更新。 2．规划域结构：活动目录可包含一个或多个域，只有合理地规划目 录结构，才能充分发挥活动目录的优越性。选择根域最为关键，推荐使用 一个已经注册的DNS域名的子域名作为活动目录的根域名。 3．域名策划：目录域名通常是该域的完整DNS名称，同时为了确保 向下兼容，每个域还应有一个与以前版本兼容的名字（NetBIOS名字）。 4. 记录相关参数：在将Windows Server 2003的计算机升级到活动 目录服务器时，应当先记录计算机的相关参数。
7.2.3 轻型目录访问协议（LDAP）
• Lightweight Directory Access Protocol • LDAP是用于查询和更新活动目录的目录服务协议。 一个活动目录对象可以由一系列域组件、OU和普 通名字来代表，它们组成了活动目录中命名路径。 LDAP命名路径是用来访问活动目录对象的。它包 括标识名和相对标识名。 • 如标识名： CN=suzan,ou=scales,dc=contoso,dc=msft 其中：CN 、OU表示相对标识名。 标识名代表访问对象的路径。

Demonstration:配置 AD DS 组帐户
在此stration:配置其他 AD DS 对象
在此演示，您将看到如何配置其他 AD DS 对象
Lesson 2:使用组策略
•为将访问分配给资源的选项。 •使用帐户组来分配资源的访问。 •使用帐户组和资源组。 •讨论： 在单个域或多域环境中使用组。
Module 1:配置
Active Directory ® 域服务的域名称服务
模块概述
•Active Directory 域服务和 DNS 集成的概述。 •配置 AD DS 集成的区域。 •配置只读 DNS 区域。
Lesson 1: Active Directory 域服务和 DNS 集成的概述
Lesson 1:配置 Active Directory 对象
•AD DS 对象的类型。 •演示： 配置 AD DS 用户帐户。 •AD DS 组类型。 •AD DS 组范围。 •默认 AD DS 组。 •AD DS 特别标识。 •讨论： 使用默认组和特别的标识。 •演示： 配置 AD DS 组帐户。 •演示： 配置其他 AD DS 对象。
2008
Windows XP
3 客户端验证现有的注册
4
DNS 服务器响应的说明 注册并不存在
客户端将动态更新发送
5 到DNS 服务器
如何安全动态 DNS 更新工作
只有当客户端有正确的凭据要更新接受安全 的动态更新
Windows Vista DNS Client
Local DNS Server
Domain Controller with Active Directory
•在域分区或应用程序分区中，可以存储一个 DNS 区域。 •管理员可以定义自定义复制的范围 应用程序分区。 •DomainDNSzones forestDNSzones 并存储 DNS

对于Windows的网络环境来说，活动目录的作用是极为重要的，在活动目录数据库中存储了和网络管理相关的重要信息。

Windows网络环境中，可能存在一台或者多台域控，活动目录数据库信息会在其中自动进行复制。

在域控上打开“%systemroot%\ntds”目录，即可显示和AD数据库相关的文件（图1），包括名为“ntds.dit”是活动目录数据库文件，以及与之相关的日志文件等。

1.快速整理AD数据库活动目录数据库使用时间久了，在其中会产生碎片信息，这会影响其效能。

为此以域控管理员身份打开命令提示符窗口，执行“net stop ntds”命令，停止AD域服务（图2）。

执行“ntdsutil”命令，显示“ntdsutil:”命令提示符，执行“activate instance ntds”命令，激活名为“ntds”的实例。

执行“files”命令，并切换到文件维护模式。

在“file maintenance:”提示符下执行“compact to e:\clsp ”命令，对AD数据库进行压缩整理操作（图3）。

完成后连续执行“quit”命令，返回正常的命令窗口。

执行“copy "e:\clsp \ntds.dit" "c:\windows\ntds"”命令，替换原有的AD数据库文件。

之后删除“c:\windows\ntds”目录中的所有以“.log”为后缀的日志文件，执行“net start ntds”命令，重启AD DS域服务。

2.备份活动目录数据库当域控制器正常运作时，对其系统状态参数进行备份，这样当其出现问题时，可以进行快速还原。

这里使用Windows Server Backup这一系统工具来执行备份操作。

在服务管理器中打开添加功能向导界面（图4），选择“Windows Server Backup”项，点击下一步按钮，完成该程序的安装操作。

图1图2图3运行Windows Server Backup程序（图5），在其右侧点击“一次性备份”项，在向导界面中选择“其他选项”项（图6），在下一步窗口中选择“自定义”项（图7），来自由定义备份内容。

规】、【环境】、【会话】、【远程控制】、【终
端服务配置文件】、【拨入】、【地址】、【帐
户】、【配置文件】、【电话】、【单位】和【隶
属于】等属性标签。
用户属性对话框
（1）【常规】标签包含建立新用户帐户时提供的 信 息。可以在【描述】和【办公室】文本框中增 加信息，也可以输入用户联系信息，包括电话 号码、E-mail地址和Web页面URL，如下图 所 示。
第9章 域帐户的管理
主要知识点：
一、创建和管理域用帐户 二、活动目录物理结构 三、组的类型和作用范围 四、用户配置文件
（了解） （了解） （掌握） （掌握）
一 域用户和计算机帐户
1、用户帐户和计算机帐户概述
（1） 活动目录用户帐户

用户帐户是用来记录用户的用户名和密码、
【选择组】对话框
（3）单击【禁用帐户】选项，当前用户将被禁止 使 用，此时在窗口中显示的用户名左侧小图标上 将显示一个红色的“X”符号，表明当前此用户 不可登录到服务器。再次打开快捷菜单时，原 来的【禁用帐户】选项变为【启用帐户】，单 击此选项，用户名被启用，可以进行登录操 作。
（4）单击【重设密码】选项显示对话框，管理员 可 以修改用户的密码，并设置用户是否在下次登 录时更改密码。
account对象中。
（2）通讯组

该组不是安全主体，只被用作分配列表。
可以在通讯组中存储联系和用户帐户。由于联系不
包括用户帐户的系统开销，所以只把联系放入组中
才更有意义。通讯组还和Microsoft Exchange兼
容，所以被广泛用于电话技术和传递信息应用软件
中。当升级Exchange用以支持Active Directory

第一章基本概念1、windows server 2008家族共有几个版本？2、简述工作组架构和域架构的网络各自的特点？3、域中的计算机类型可以是：域控制器、成员服务器、独立服务器、其他计算机。

第二章安装1、windows server2008提供两种安装模式：完整安装，服务器核心安装。

2、windows只支持安装到NTFS磁盘分区里。

3、windows server 2008系统默认的本地用户密码至少6个字符，而且不可包含用户名中超过两个以上的连续字符，还有至少A-Z,a-z，0-9，非字母数字中的3组。

4、注销和锁定的区别？第三章基本环境设置1、计算机默认所属的工作组名为WORKGROUP。

2、IPCONFIG 和ping命令的功能。

3、如何通过代理服务器上网？4、如何启用和禁用IE增强的安全设置。

5、防火墙的例外启用。

6、公用和专用网络的区别？7、通过设备管理器来管理计算机内的设备。

8、驱动程序签名。

9、环境变量分为系统环境变量和用户环境变量。

10、环境变量的设置。

11、MMC有什么作用。

12、虚拟内存是pagefile.Sys文件13、休眠文件是hiberfil.Sys文件14、通过任务管理器管理计算机内的应用程序和进程。

第四章本地用户和组账户1、本地安全账户管理器SAM2、内置了两个用户账号administrator 和Guest，Guest默认是禁用。

3、Everyone，任何一个用户都属于这个组。

4、系统默认只有administrator组内的用户才有权限管理用户和组账户。

5、系统默认新建的本地用户账号42天后更改密码。

6、密码重设盘可以重设密码第五章AD域1、AD域服务负责目录数据库的存储、添加、删除、修改、查询。

2、AD 域命名空间采用DNS架构3、AD域内的资源是以对象的形式存在的。

4、组织单元是一个特殊的容器。

5、域树和域林和组织单元的关系6、域之间的信任关系是双向信任。

7、AD DS的目录数据存在域控制器内。

图7-11 “授权模式”对话框
12）此时屏幕要求输入计算机名和系统管理员密 码帐户的密码。.输入这些信息后，单击“下一步” 按钮。 （13）选择要安装的Windows 2000 Server可选 组件，如图7-12所示。 例如，选择“Internet信息服务(IIS)”选项后，再单 击“详细信息”按钮，可选择FTP服务；选择 “网络服务”选项后，再单击“详细信息”按钮， 可选择DHCP、DNS、WINS等服务。单击“下一 步”按钮。
图7-6
Windows 2000 Server图形安装界面
（8）重新启动后，出现的第一个屏幕是 “欢迎使用Windows 2000 Server安装向 导”，单击“下一步”按钮继续，安装向 导将检测并配置计算机上的一些设备， 例如键盘和鼠标等，如图7-7所示。
图7-7 正在安装设备进程图
（9）在弹出的如图7-8所示的“区域设置” 对话框中，可以自定义区域和键盘设置， 或者接受默认设置，然后单击“下一步” 按钮。
（3）将要安装Windows 2000的计算机连接到共 享CD-ROM或共享文件夹。 （4）按下述情况查找且运行CD-ROM的 \I386目 录或共享文件夹中的正确文件。 · 在运行MS-DOS 或Windows 3.x的计算机上，启动共享文件夹中 的WINNT.EXE文件。 ·在运行Windows 98或 Windows NT 4.0的计算机上，启动共享文件夹中 的WINNT32 .EXE文件。 （5） 按照提示进行操作。
4．从网络启动安装程序 （1）如果通过网络安装Windows 2000，可以直 接把CD-ROM设为共享，或者把安装源文件(在 \I386目录中)复制到一个共享文件夹中，再用合适 的程序来启动安装程序。 （2）在一台网络服务器上插入CD-ROM并共享 该驱动器以共享安装文件，或把CD-ROM上 \I386 目录下的文件复制到一个共享文件夹中。

活动目录命令整理一、活动目录修改及查询命令dsadd命令（创建活动目录对象）使用dsadd命令可以在活动目录中创建OU、用户、组、联系人等对象，下面逐一进行介绍。

1、创建组织单位：命令格式：dsadd ou <OUDN> [-desc 描述] [{-s 服务器|-d 域}] [-u 用户名] [-p {密码|*}] [-q] [{-uc|-uoc|-uci}]注意：OU名称应为要创建的OU的LDAP绝对路径（DN，Distinguished Name），如果DN中包含空格，应该在路径两端使用双引号。

例如要在域中建立一个名为finance的OU，可以执行以下命令：C:\>dsadd ou ou=finance,dc=yjx,dc=com -desc "财务部"dsadd 成功:ou=finance,dc=yjx,dc=com2、创建域用户帐户命令格式：dsadd user <UserDN> [-samid <SAMName>] -pwd {<Password>|*} –upn UPN例如要在域中建立一个名为mike的用户帐户，该用户将位于sales OU中，其显示名称为“mike yang”，则可以执行以下命令：C:\>dsadd user cn=mike,ou=sales,dc=yjx,dc=com -samid mike -pwd benet3.0 -display “mike yang”dsadd 成功:cn=mike,ou=sales,dc=yjx,dc=com3、创建计算机帐户命令格式：dsadd computer <ComputerDN>要在域中的sales OU中建立一个名为client-2的计算机帐户，可以执行以下命令：C:\>dsadd computer cn=client-2,ou=sales,dc=yjx,dc=comdsadd 成功:cn=client-2,ou=sales,dc=yjx,dc=com要在域中的sales OU中建立一个名为client-3的计算机帐户，并设置计算机账户的描述信息为“测试工作站”，可以执行以下命令：C:\>dsadd computer cn=client-3,ou=sales,dc=yjx,dc=com -desc 测试工作站dsadd 成功:cn=client-3,ou=sales,dc=yjx,dc=com4、创建联系人命令格式：dsadd contact <ContactDN> [-fn <FirstName>] [-mi <Initial>] [-ln <LastName>] [-display<DisplayName>] [-desc <Description>]要在域中的sales OU中建立一个名为杨建新的联系人，执行以下命令：C:\>dsadd contact cn=杨建新,ou=sales,dc=yjx,dc=com -fn jianxin -ln yang -display 杨建新dsadd 成功:cn=杨建新,ou=sales,dc=yjx,dc=com以上创建操作完成后，sales OU的基本情况如下图所示：dsmod命令（修改活动目录对象）dsmod命令用来修改活动目录对象的属性，可以对OU、用户、组、联系人等对象进行修改。

1,活动目录存储关于用户,计算机和网络资源并且使网络资源能够被用户和应用程序访问这些资源。

2.活动目录提供规范化的名称,描述,定位,访问,管理方法和保护这些资源信息。

3.与组策略相结合,活动目录可以使管理员使用同样的管理界面在中心位置管理分布式桌面,网络服务和应用程序。

4.任意写出活动目录所提供的四个功能:集中的控制网络资源,实现用户一次登录访问整个网络,集中的委派资源的管理可扩展,优化网络流量。

5.活动目录逻辑结构包括的组件有对象,组织单元,域,域树,林。

6.域树是以层次结构组织在一起的域。

7.活动目录的物理结构组成:域控制器,活动目录结点,活动目录分区。

8.每一个域控制器包含的活动目录分区:目录分区,配置分区,架构分区,可选的应用程序分区。

9.只有架构主控和域命名主控在目录林范围唯一。

10.目录林中的每个域都有自己的PDC仿真器,RID主控,和基础结构主控。

二、判断1.活动目录可以使网络上的用户访问任何资源,而不需要知道资源在什么位置或物理上它是如何连接到网络上的。

(T)2.通过集中的控制活动目录中的服务器,共享文件夹和打印机等网络资源,允许所有用户的访问。

(F)3.域是活动目录中逻辑结构的核心单元。

(T)4.目录林是一个域目录树。

(F)5.物理结构是用来管理和组织资源的。

(F)6.标示名是对象在容器中的唯一标识,在同一个容器中不能有两个相同的名称的对象。

(T)7.一个目录林中只有一个构架,所以同一个林中的所有域对不同对象的定义一致。

(T)8.目录分区存储域控制器所在域的所有对象副本,目录分区只在同一域的域控制器之间复制。

(T)9.可以通过随即访问控制列表保护所有对象类属性(T)10.在目录回复模式下,活动目录AD仍可正常工作。

(F)三、选择题1.通过使用(A)对象,你可以很容易地定位和管理对象。

A组织单元。

B域C域树D林2.(C)的作用就是保证域的管理员只能在该域内有必要的管理权限,除非管理员得到其他域的明确授权。

计算机三级《网络技术》考试重点：WindowsServer
2015年计算机三级《网络技术》考试重点：Windows 2000 Server
(1)Windows 2000 Server的特点
最重要的功能是活动目录管理。

活动目录包括：目录和目录服务。

所谓目录，就是一个数据库，存储有关网络对象。

目录服务是一种网络服务，标记管理网络中的所有实体资源，并且提供了命名、描述、查找、访问以及保护这些实体信息一致的方法，使管理者和使用者可以方便地查找和使用这些资源。

活动目录具有可扩展性和可调整性。

(2)活动目录的逻辑结构
Windows 2000 Server的'基本管理单位是域。

域是安全边界，即域管理员只能管理域的内部，除非其他域赋予他管理权限。

同一域中的对象具有相同的安全需求、复制过程和管理要求。

活动目录具有树状逻辑结构，若干域构成一棵域树，若干域树可以构成域森林。

域模式的最大的好处是单一的网络登录能力。

域之间通过基于Kerberos认证的可传递的信任关系建立树状连接。

活动目录把域划分为组织单元。

组织单元是域中一些用户和组、文件与打印机等资源对象的集合。

组织单元可划分为下级组织单元，下级组织单元继承父单元的访问许可权。

在Windows 2000网络中，所有域控制器之间都是平等的关系，不再区分主域控制器和备份域控制器，原因是Windows 2000 Server 采用了活动目录服务。

活动目录用域名服务(DNS)作为定位服务。

【2015年计算机三级《网络技术》考试重点：Windows 2000 Server】。

22
◆3.4.4 委派控制组或组织单位
Windows 2000提供了一项新的网络功能--委派控制。通过它，作为管 理员可以将一部分域管理工作委派给其他用户、计算机或组，减轻管理员 的网络系统管理负担。对组或组织单位进行委派控制，可采取以下步骤： ⒈ 在“Active Directory用户与计算机”窗口的控制台目录树中，单 击之后再双击域节点，展开该节点。 ⒉ 右击要委派控制的组织单位或组节点，如，右击Users，从弹出的快 捷菜单中选择“委派控制”命令，打开 “控制委派向导”对话框。 ⒊ 单击“下一步”按钮，打开“组或用户选择”对话框，单击“添加 ” ，打开 “选择用户、计算机或组”对话框，选择一个或多个要委派控 制的用户，也可以选择一个或多个要委派控制的组。
21
◆3.4.3 组和组织单位的删除
活动目录中的组和组织单位因太多而影响了对用户和计算机账户的 管理时，作为管理员的用户可对自己创建的组和组织单位进行清理。 要删除组和组织单位，可按下面步骤进行： ⒈ 在“Active Directory用户和计算机”控制台目录树中，展开域 节点。单击要删除的组或组织单位所在的组织单位，使详细资料窗格中 列出该组织单位的内容。 ⒉ 右击要删除的组或组织单位，从弹出的快捷菜单中选择“删除” 命令，系统会打开信息确认框。 ⒊ 单击“是”按钮，完成组或组织单位的删除。 注意，管理员只能删除自己创建的组和组织单位，而不能删除由系统 提供的内置组和组织单位。
20
二、创建新组织单位： 创建新组织单位：
⑴ 在“Active Directory用户和计算机”窗口的控制台目录树中，展 开域节点。右击域节点或者可添加组织单位的文件夹节点，选择“新建 ”/“组织单位”命令，打开 “新建对象-组织单位”对话框。 ⑵ 在“名称”文本框中输入新创建组织单位的名称。 ⑶ 单击“确定”按钮即完成组织单位的创建。

在Windows Server 2022平台下的Active Directory服务包括
Active Directory证Active Directory域 Active Directory Active Directory轻Active Directory权
书服务 （AD CS）
服务 （AD DS）
组织单元（Organization Unit，OU） 将域再进一步划分成多个组织单元以便于管理。
域树（Tree） 可将多个域组合成为一个域树。
域林（Forest） 一个域林或多个域树的集合。
联合身份验证服务 型目录服务（AD限管理服务目录服务能提供的功能
服务器及客户端计算机管理 用户服务管理 资源管理 基础网络服务支撑 策略配置
典型的AD结构图
对象 Active Directory以对象为基本单位，采用 层次结构来组织管理对象。
域（Domain） 域是Active Directory的基本单位和核心单元， 是Active Directory的分区单位。

活动目录详解(基础篇)我们知道WIN2K系统最大的突破性和成功之一就在于它全新引入的“活动目录（Active Directory）服务”，使得WIN2K系统与Internet上的各项服务和协议更加联系紧密，因为它对目录的命名方式成功地与”域名“的命名方式一致，然后通过DNS 进行解析，使得与在Internet上通过WINS解析取得一致的效果。

活动目录也说明了Microsoft在网络结构方面的策略转移，虽然在以前NT时代也有部分产品（如EXCHANGE SERVER、IIS等）提供过类似于活动目录的服务，然而活动目录作为一个全新的综合服务方式是在WIN2K的诞生后随之而来的。

活动目录的身影似乎在整个WIN2K系统中无处不在。

然而要真正了解“活动目录”的方方面面又谈何容易，下面就想通过一些通俗的讲解花几个篇章对活动目录的各主要方面作一详尽的分析，希望对那些对WIN2K的活动目录还存有畏惧心理的新手一个全面认识的机会。

一、活动目录的由来谈到活动目录最使人容易想起的就是DOS下的“目录”、“路径”和Windows9X/ME 下“文件夹”，那个时候的“目录”或“文件夹”仅代表一个文件存在磁盘上的位置和层次关系，一个文件生成之后相对来说这个文件的所在目录也就固定了（当然可以删除、转移等，现在不考虑这些），也就是说它的属性也就相对固定了，是静态的。

这个目录所能代表的仅是这个目录下所有文件的存放位置和所有文件总的大小，并不能得出其它有关信息，这样就影响到了整体使用目录的效率，也就是影响了系统的整体效率，使系统的整个管理变得复杂。

因为没有相互关联，所以在不同应用程序中同一对象要进行多次配置，管理起来相当繁锁，影响了系统资源的使用效率。

为了改变这种效率低下的关系和加强与Internet上有关协议的关联，Microsoft公司决定在WIN2K中全面改革，也就是引入活动目录的概念。

理解活动目录的关键就在于“活动”两个字，千万不要将“活动”两个字去掉而仅仅从“目录”两个字去理解，那你我理来理去一定还是不能脱离原来在DOS下目录或Windows9x下的文件夹，正因为这个目录是活动的，所以它是动态的，它是一种包含服务功能的目录，它可以做到“由此及彼”的联想、映射，如找到了一个用户名，就可联想到它的账号、出生信息、E-mail、电话等所有基本信息，虽然组成这些信息的文件可能不在一块。

1.2003的4个版本：web服务器，标准版，企业版，数据中心版。

2.2003所支持的文件系统：FA T.FA T32.NTFS.推荐安装在NTFS文件系统分区。

3.某企业规划windows sever 2003和50台professional，每台服务器最多只有15 人同时访问，最好采用[每服务器同时连接数]授权模式。

4.安装windows 2003时，内存不低于128M，硬盘可用空间不低于1.25GB。

5.从windows 2000开始，windows系统将磁盘分为[基本磁盘]和[动态磁盘]。

6.一个基本磁盘最多分为4个分区，即4个主分区或3个主分区和一个扩展分区。

7.动态卷类型包括：简单，跨区，带区，镜像，RAID-5.8.要将E盘转换为NTFS文件系统，可用运行命令：convert.9.条带卷又称为RAID技术，RAID 1 又称为磁盘镜像，RAID 5 又称为RAID5卷。

10.通过windows 2003 系统组建客服机、服务器模式的网络时，应该将网络配置为域。

活动目录存放在域控制器中。

11.在windows 2003系统中安装活动目录的命令是：dcpromo.12.在windows 2003系统中安装了DNS服务器，计算机即成为一台域控制器。

13.同一个域中的域控制器的地位是相同，平等的域树中子域和父域的信任关系是向下继承。

独立服务器上安装了活动目录就升级为域控制器。

14.windows 2003 服务器的3种角色是：域控制器，成员服务器，独立服务器。

15.账户的类型分为管理员，来宾，游客。

16.根据服务器的工作模式，组分为本地组，域组。

17.工作组模式下，用户账户储存在服务器本地组种；域模式下，用户账户存储在域中。

18.无人值守安装的命令格式是unattend.bat。

使用安装管理器可用自动产生无人值守安装的应答文件。

19.可供设置的标准NTFS文件权限有读取，写入，读取和运行，修改，列出文件夹目录，完全修改。