在Windows 2000服務器安裝成活動目錄域控制器之后，就是開始在你的AD數據庫里建立對象的時候了。

　　　　活動目錄用戶和計算機

　　　　使用預先配置好的微軟管理控制臺（MMC）來管理你活動目錄中的對象，活動目錄中的對象又稱為資源。你可以在 開始 | 程序 | 管理工具（Start | Programs | Administrative Tools）中找到這個MMC。在你把一臺Windows 2000服務器升級為AD域控制器（DC）時，就會自動地安裝這個工具。

　　　　在AD用戶和計算機控制臺里顯示AD對象，代表你的域資源。這些對象既可以是容器對象－容器是能夠包含其它對象的對象，在Windows 2000中包含的目錄管理工具里，對象典型地是以文件夾的形式顯示；也可以是葉子對象：葉子代表你域中的實際資源，比如用戶、打印機或者網絡共享。

　　　　在活動目錄提升的過程中，建立了幾個AD容器。不管是從早期的Windows NT升級而來，還是完全安裝的一個全新的Windows 2000服務器，這些容器對象都是一樣的。不過，在從早期的Windows NT版本升級時，在的SAM數據庫里的信息會被轉移到這些容器里。在缺省視圖中，你會看到4個容器，我們現在就來看看這些容器和它們的作用。

　　　　缺省的容器對象

　　　　你將看到的第一個缺省容器對象是內置（Builtin）容器。這個容器里放著代表你的域里本地安全組的葉子對象。在四個缺省容器中，你會發(fā)現，這是唯一一個你不能把缺省對象移出去的容器。

　　　　計算機（Computers）容器是第二個缺省容器。里面放著你的域里所有Windows 2000和Windows NT計算機成員的計算機帳號。如果你從早期的Windows NT版本升級而來，你會發(fā)現活動目錄安裝向導已經把你域中的Windows NT計算機帳號遷移到這個容器里。

　　　　第三個缺省容器是域控制器（Domain Controllers）容器。這個容器為你域里的每個域控制器（AD）放一個計算機帳號。

　　　　用戶（Users）容器是最后一個缺省容器。這個容器里放著所有的用戶帳戶和你域里的全部安全組。如果你從早期的Windows NT版本升級而來，你會發(fā)現你的域用戶帳戶已經被遷移到這個容器里。

　　　　建立活動目錄對象

　　　　在AD數據庫中，你能夠建立各類型的對象。建立對象的方法是，在AD的某個容器里單擊右鍵，然后在彈出菜單中選擇 新建（New）。在新建菜單中，選擇你要建立的對象的類型。你可以在看到可以使用的選項。在建立你選中的對象類類型時，會有一個向導指導你進行操作。

　　　　表A: 你能夠在你的AD數據庫里建立的對象類型。



　　　　建立的每個對象都必須有一個能夠與其它對象區(qū)別開的名稱(DN)：名稱加上通過它的容器層次結構到達對象的的路徑一起來確定一個對象。每個對象都有一個相對不同的名稱(RDN)，RDN僅僅是對象自己的名稱。在對象所在的容器內，RDN必須是唯一的。如果對象的RDN在它所在的容器里是唯一的，那么它的DN在AD里也會是唯一的。讓我們來看看最普通的AD對象－用戶對象的建立過程。

　　　　建立用戶帳戶

　　　　建立新用戶向導有三個屏幕。在第一個屏幕中，需要你輸入帳戶的名稱。在建立新用戶時，必須定義用戶的全名，登錄名和UPN。建立用戶帳戶時，用戶的全名在用戶所在的容器里必須是唯一的，就象其它AD對象一樣。但是，帳戶使用的登錄名必須在你的整個域都是唯一的。在你建立用戶帳戶時，你還要指定一個用戶主要名稱(UPN)。UPN基于Internet標準RFC822。它由兩部分組成，兩部分之間由@符號連接在一起：

　　　　1. 前綴是用戶的帳戶名。也被當作安全主要名稱。如果你熟悉Windows NT，那么UPN的前綴兼容SAM數據庫使用的安全帳戶名稱。
　　　　2. 后綴標識用戶帳戶所在的域。在你在你的AD里建立用戶帳戶時，缺省的UPN后綴是你的域樹里第一個域的DNS名稱。
　　　　例如，用戶judik 在support4.com 域里有一個帳戶，那么他的UPN就是judik@support4.com。

　　　　在第二個屏幕中，要輸入用戶的口令，還可以設置用戶帳戶的口令屬性。你可能在Windows NT中已經認識了這些選項。你可以要求用戶在下次登錄時修改他們的口令；可以指定用戶自己不能修改口令；可以把口令期限設置為永遠不過期；還可以暫時禁止帳戶。

　　　　第三個也是最后一個屏幕是總結屏幕。屏幕上顯示你即將創(chuàng)建的對象的最終特性。如果你注意到某些錯誤，你可以用上一步(Back)按鈕返回到向導的上一步，并修改錯誤。

　　　　修改對象的屬性

　　　　你會注意到，在建立用戶對象的時候，在向導里沒有許多信息讓你設置。對于你在AD中建立的所有對象來說，都是這樣的。對象建立向導只會要求你輸入在AD中建立對象所需的最少信息。但實際上，每個對象都有許多屬性可以設置。

　　　　在對象建立以后，你就可以修改它的屬性，輸入額外的屬性值。操作方法是，在對象上單擊右鍵。在快捷菜單里，你會找到管理對象最常使用的命令。如果你在菜單里選擇屬性(Properties)，就會打開你選中的對象類型特有的屬性對話框。在對話框里，你就可以設置對象所有可用的屬性。現在我們一起以用戶對象為例，來看看屬性對話框。

　　　　修改用戶對象

　　　　用戶對象屬性對話框中的頁面里，你可以對表B中列出的不同類型的信息進行設置。

　　　　表B: 可以為用戶對象配置的屬性。

模板

　　　　對能在AD數據庫中存在的全部對象、屬性和值進行定義的實體是模板(Schema)。模板還指定了特定對象的必需屬性(比如我們剛剛建立的用戶的登錄名)和可選的屬性(如用戶的電話電話)。

　　　　微軟隨AD包括了一個缺省的模板，它可以滿足多數用戶初始的需求。但是，AD是可以擴展的，這意味著，可以通過增加新的對象或屬性類型，把特定屬性修改成必需的或是可選的，從而對AD進行自定義。

　　　　在AD中利用組織單元

　　　　可以在AD中建立組織單元(OU)，對企業(yè)中的資源進行邏輯上的分組，例如用銷售部、市場部這樣的OU可以體現出業(yè)務的層次結構或者組織結構，而用紐約、波士頓來反映系統管理模式，以便做信息系統支持。微軟建議在下列情況下，應當使用OU把企業(yè)的資源分組：如果想讓AD結構反映公司結構或組織的細節(jié)；如果想把管理控制權委托到較小的用戶組、組和資源上；或者如果公司組織結構日后會變化。

　　　　在活動目錄用戶和計算機管理器(Active Directory Users And Computers)中， OU用文件夾的方式表示，前面有一個書本的圖標。缺省的域控制器容器有相同的圖標。這個區(qū)別讓你可以把組策略施加到這個對象類型上(組策略是Windows NT 4.0的系統策略在Windows 2000中超集。簡要地說，它們被用來定義計算機和用戶的配置，管理用戶桌面上的應用程序，指定安全選項，分配腳本，控制注冊表的設置。)

　　　　移動AD對象

　　　　在已經建立了OU之后，你會想把資源從缺省的容器對象中移動到能夠反映資源在你的組織結構中邏輯位置或者反映對資源的控制的OU中。在AD中移動對象 相當簡單，你在對象上單擊右鍵，然后選擇移動(Move)即可。你現在面對一個對話框，顯示了你域的AD中的容器對象的層次結構。 你從中選擇要把對象移動到其中的容器對象，然后單擊OK。就是這么簡單，對象就被移動到AD中不同的容器里。你可能注意到一件事，就是你只能在你的域的AD里移動對象。不幸的是，你不能在你的森林的不同域之間移動AD對象。

　　　　建立組對象

　　　　在Windows NT里，組被用來管理訪問共享資源的用戶和計算機，或者來建立電子郵件發(fā)送列表。在Windows 2000里，這種訪問擺脫了只能訪問建立組所在域的限制！組可以被用來在你的森林的任何域里應用權限。這與OU不同，OU只能用來為管理的目的建立AD對象集合，而且被限制在建立OU所在的域里。

　　　　在你從新建(New)菜單里選擇組(Group)時，新對象－組(New Object — Group)向導會提示你輸入建立新組所需要的信息。這是向導的第一個也是唯一的屏幕，它會問你組名稱，組類型和組的范圍。

　　　　我們首先來看組類型。Windows 2000 有兩種類型的組：安全組和發(fā)布組。Windows 2000 操作系統只使用安全組。你要使用這些安全組在共享資源和AD對象上分配權限。發(fā)布組只被應用程序使用，而應用程序只能把發(fā)布組用于非安全方面的功能。

　　　　例如，一個Exchange 用戶可能使用發(fā)布組給一組用戶發(fā)送電子郵件。但是，你應該知道，雖然發(fā)布組不能用于安全用途，可是你的安全組可以被應用程序作為電子郵件發(fā)布列表使用。如果你的域操作在純(Native)模式，你可以把組類型從安全組切換成發(fā)布組，反之亦然。下面，我們來看看組的范圍。每個安全組和發(fā)布組都有一個范圍屬性，它定義了你在森林里能怎么樣使用該組。有三種組的范圍：域本地(Domain local)，全局(Global)，和宇宙(Universal)。請參閱表 C 中各個組范圍的說明：

　　　　表c: 組范圍







　　　　到了現在，你可能在想“為什么我要用其它組類型，而不用宇宙組？它給了我要的一切!”答案是，因為宇宙組和它的成員被列在全局編目里 (GC)。

　　　　每次GC在你的森林的域之間復制時，都包括宇宙組的成員。與宇宙組類似，全局組和域本地組也被列在GC里，但是，它們的成員并不列在GC中。通過在合適的位置使用全局組和域本地組，你能夠減小你的AD DC的尺寸，這樣就會明顯地降低保持GC最新所產生的復制流量。

　　　　在選擇組范圍時，應當仔細選擇。在你的域運行在混合模式下時，你不能改變組的范圍。如果你運行在純(Native)模式，就允許你把全局組轉變宇宙組，前題是全局組不是另外一個全局的成員，也可以把域本地組轉變成宇宙組，前提是域本地組中不包括另一個域本地組作為它的成員。

　　　　現在知道了組的范圍，再讓我們簡略地談談建立新組最簡單的部分－組的名稱。在你為組起名時，全局組和域本地組在你創(chuàng)建它們的域里必須是唯一的。而宇宙組，則必須在整個森林里是唯一的。

　　　　向你的組加入成員

　　　　在2000里，組中最多可以包含5,000個成員。但是，在域操作在純(Native)模式時，你可以對組進行嵌套(使一個組成為另一個組的成員)，這樣，就有效地增加了組能擁有的用戶數量。包含在另一個組中的組，在它的父組中只算一個成員，但是這個組自己又可以包含另外5,000個用戶。

　　　　就象在以前的Windows NT版本里一樣，在Windows 2000里也有兩種方法把成員加到組里。你以本文前面的部分已經看到，你可以使用每個用戶屬性對話框里的組成員(Member Of)頁一次把用戶加到多個組里，或者，你可以使用組的屬性對話框里的成員(Member)頁一次把多個用戶加到這個組里。那么怎么才能打開組的屬性對話框呢？方法是在組上單擊右鍵，然后從彈出菜單中選擇屬性(Properties)菜單項。

　　　　在AD中發(fā)布文件夾

　　　　在AD里包括一個共享文件夾需要兩步。首先，你必須建立一個文件夾并共享它，然后再在AD里發(fā)布它。把共享文件夾發(fā)布在AD里是可選的。如果你沒有在AD里發(fā)布共享文件夾，客戶仍可以在資源瀏覽器窗口（如我的網絡位置(My Network Places)）里訪問到它。

　　　　通過把共享文件夾發(fā)布到AD里，你就使得在你森林里任何位置的客戶，都可以使用共享文件夾的RDN或屬性查找它。對于這些客戶，沒有必要知道共享的物理位置。既然第一步處理－共享一個文件夾并不是什么新東西，那么就讓我們直接來談談處理的第二步－在AD里發(fā)布文件夾。在你的AD里選擇任意一個容器對象，選擇新建 | 共享文件夾(New | Shared Folder)。新建對象(New Object)向導只有一個屏幕。在這，你要輸入共享在AD中使用的名稱(這個名稱可以與文件夾的共享名不同)以及到共享的UNC路徑。單擊OK，你現在就有了一個在AD中發(fā)布的共享了。

　　　　在AD中發(fā)布打印機

　　　　在Windows 2000里建立打印機的操作與在以前的Windows NT版本里類似：使用增加打印機(Add Printer)向導進行（增加打印機向導仍舊位于 開始 | 設置 | 打印機(Start | Settings | Printers)）當中。在共享一臺打印機時，它自動地被發(fā)布到AD里，使用的名稱是 服務器名－打印機名 的格式。與發(fā)布共享文件夾不同，不用獨立的步驟就把共享打印機發(fā)布到AD中。

　　　　在活動目錄用戶和計算機管理器(Active Directory Users And Computers )里，打印機顯示在它所建立的計算機之下。但是，前提是你改變了查看(View)菜單，把用戶、組和計算機當作容器。您可以把打印機對象移動到任何AD容器對象里，就象對其它AD對象的操作一樣－單擊右鍵，選擇移動(Move)。打印機沒有必要一定呆在它建立的計算機下面。

　　　　與多數其它AD對象不同，打印機作為一個實體存在于AD的外面。在AD里的打印機對象的屬性對話框只能控制打印機在AD里的屬性(主要是用戶用戶來查找特定打印機的那些屬性)。您要使用打印機文件夾里的打印機屬性對話框，來控制打印機的全部配置和安全設置。

　　　　建立聯系人

　　　　建立聯系人對象相當簡單。新建對象向導會提示你輸入名稱(First Name)、姓氏(Last Name)，顯示名稱(Display name)。Windows 2000 把你輸入的姓氏和名稱組合起，自動填充全稱(Full Name)字段。但是，全稱字段是可以編輯的，這樣您可以修改默認的全稱。你可以使用聯系人的屬性對話框輸入相關信息，就象用戶對象類型的屬性對話一樣，聯系人屬性對話框也有通用(General)、地址(Address)、電話(Telephones)、公司(Organization)、組成員(Member Of)這些頁面。

　　　　現在你已經可以用計算機、聯系人、組、組織單元、打印機、用戶、共享文件夾這些對象充實你的AD數據庫了!新建對象向導在輸入建立每個對象類型所需要的信息的過程中，可以指導操作，所以在建立每個對象類型時，沒有什么東西你必須要記住。在建立對象之后，你可以使用它們的快捷菜單里的選項管理它們，或者在每個對象的屬性對話框里管理。您把對象移動到代表你的公司結構或管理模式的組織單元里，這樣來管理對象。

AD學習筆記10