模板
對能在AD數據庫中存在的全部對象、屬性和值進行定義的實體是模板(Schema)。模板還指定了特定對象的必需屬性(比如我們剛剛建立的用戶的登錄名)和可選的屬性(如用戶的電話電話)。
微軟隨AD包括了一個缺省的模板,它可以滿足多數用戶初始的需求。但是,AD是可以擴展的,這意味著,可以通過增加新的對象或屬性類型,把特定屬性修改成必需的或是可選的,從而對AD進行自定義。
在AD中利用組織單元
可以在AD中建立組織單元(OU),對企業中的資源進行邏輯上的分組,例如用銷售部、市場部這樣的OU可以體現出業務的層次結構或者組織結構,而用紐約、波士頓來反映系統管理模式,以便做信息系統支持。微軟建議在下列情況下,應當使用OU把企業的資源分組:如果想讓AD結構反映公司結構或組織的細節;如果想把管理控制權委托到較小的用戶組、組和資源上;或者如果公司組織結構日后會變化。
在活動目錄用戶和計算機管理器(Active Directory Users And Computers)中, OU用文件夾的方式表示,前面有一個書本的圖標。缺省的域控制器容器有相同的圖標。這個區別讓你可以把組策略施加到這個對象類型上(組策略是Windows NT 4.0的系統策略在Windows 2000中超集。簡要地說,它們被用來定義計算機和用戶的配置,管理用戶桌面上的應用程序,指定安全選項,分配腳本,控制注冊表的設置。)
移動AD對象
在已經建立了OU之后,你會想把資源從缺省的容器對象中移動到能夠反映資源在你的組織結構中邏輯位置或者反映對資源的控制的OU中。在AD中移動對象 相當簡單,你在對象上單擊右鍵,然后選擇移動(Move)即可。你現在面對一個對話框,顯示了你域的AD中的容器對象的層次結構。 你從中選擇要把對象移動到其中的容器對象,然后單擊OK。就是這么簡單,對象就被移動到AD中不同的容器里。你可能注意到一件事,就是你只能在你的域的AD里移動對象。不幸的是,你不能在你的森林的不同域之間移動AD對象。
建立組對象
在Windows NT里,組被用來管理訪問共享資源的用戶和計算機,或者來建立電子郵件發送列表。在Windows 2000里,這種訪問擺脫了只能訪問建立組所在域的限制!組可以被用來在你的森林的任何域里應用權限。這與OU不同,OU只能用來為管理的目的建立AD對象集合,而且被限制在建立OU所在的域里。
在你從新建(New)菜單里選擇組(Group)時,新對象-組(New Object — Group)向導會提示你輸入建立新組所需要的信息。這是向導的第一個也是唯一的屏幕,它會問你組名稱,組類型和組的范圍。
我們首先來看組類型。Windows 2000 有兩種類型的組:安全組和發布組。Windows 2000 操作系統只使用安全組。你要使用這些安全組在共享資源和AD對象上分配權限。發布組只被應用程序使用,而應用程序只能把發布組用于非安全方面的功能。
例如,一個Exchange 用戶可能使用發布組給一組用戶發送電子郵件。但是,你應該知道,雖然發布組不能用于安全用途,可是你的安全組可以被應用程序作為電子郵件發布列表使用。如果你的域操作在純(Native)模式,你可以把組類型從安全組切換成發布組,反之亦然。下面,我們來看看組的范圍。每個安全組和發布組都有一個范圍屬性,它定義了你在森林里能怎么樣使用該組。有三種組的范圍:域本地(Domain local),全局(Global),和宇宙(Universal)。請參閱表 C 中各個組范圍的說明:
表c: 組范圍
![]("/news/luxufeng/images/1146280929.jpg")
到了現在,你可能在想“為什么我要用其它組類型,而不用宇宙組?它給了我要的一切!”答案是,因為宇宙組和它的成員被列在全局編目里 (GC)。
每次GC在你的森林的域之間復制時,都包括宇宙組的成員。與宇宙組類似,全局組和域本地組也被列在GC里,但是,它們的成員并不列在GC中。通過在合適的位置使用全局組和域本地組,你能夠減小你的AD DC的尺寸,這樣就會明顯地降低保持GC最新所產生的復制流量。
在選擇組范圍時,應當仔細選擇。在你的域運行在混合模式下時,你不能改變組的范圍。如果你運行在純(Native)模式,就允許你把全局組轉變宇宙組,前題是全局組不是另外一個全局的成員,也可以把域本地組轉變成宇宙組,前提是域本地組中不包括另一個域本地組作為它的成員。
現在知道了組的范圍,再讓我們簡略地談談建立新組最簡單的部分-組的名稱。在你為組起名時,全局組和域本地組在你創建它們的域里必須是唯一的。而宇宙組,則必須在整個森林里是唯一的。
向你的組加入成員
在2000里,組中最多可以包含5,000個成員。但是,在域操作在純(Native)模式時,你可以對組進行嵌套(使一個組成為另一個組的成員),這樣,就有效地增加了組能擁有的用戶數量。包含在另一個組中的組,在它的父組中只算一個成員,但是這個組自己又可以包含另外5,000個用戶。
就象在以前的Windows NT版本里一樣,在Windows 2000里也有兩種方法把成員加到組里。你以本文前面的部分已經看到,你可以使用每個用戶屬性對話框里的組成員(Member Of)頁一次把用戶加到多個組里,或者,你可以使用組的屬性對話框里的成員(Member)頁一次把多個用戶加到這個組里。那么怎么才能打開組的屬性對話框呢?方法是在組上單擊右鍵,然后從彈出菜單中選擇屬性(Properties)菜單項。
在AD中發布文件夾
在AD里包括一個共享文件夾需要兩步。首先,你必須建立一個文件夾并共享它,然后再在AD里發布它。把共享文件夾發布在AD里是可選的。如果你沒有在AD里發布共享文件夾,客戶仍可以在資源瀏覽器窗口(如我的網絡位置(My Network Places))里訪問到它。
通過把共享文件夾發布到AD里,你就使得在你森林里任何位置的客戶,都可以使用共享文件夾的RDN或屬性查找它。對于這些客戶,沒有必要知道共享的物理位置。既然第一步處理-共享一個文件夾并不是什么新東西,那么就讓我們直接來談談處理的第二步-在AD里發布文件夾。在你的AD里選擇任意一個容器對象,選擇新建 | 共享文件夾(New | Shared Folder)。新建對象(New Object)向導只有一個屏幕。在這,你要輸入共享在AD中使用的名稱(這個名稱可以與文件夾的共享名不同)以及到共享的UNC路徑。單擊OK,你現在就有了一個在AD中發布的共享了。
在AD中發布打印機
在Windows 2000里建立打印機的操作與在以前的Windows NT版本里類似:使用增加打印機(Add Printer)向導進行(增加打印機向導仍舊位于 開始 | 設置 | 打印機(Start | Settings | Printers))當中。在共享一臺打印機時,它自動地被發布到AD里,使用的名稱是 服務器名-打印機名 的格式。與發布共享文件夾不同,不用獨立的步驟就把共享打印機發布到AD中。
在活動目錄用戶和計算機管理器(Active Directory Users And Computers )里,打印機顯示在它所建立的計算機之下。但是,前提是你改變了查看(View)菜單,把用戶、組和計算機當作容器。您可以把打印機對象移動到任何AD容器對象里,就象對其它AD對象的操作一樣-單擊右鍵,選擇移動(Move)。打印機沒有必要一定呆在它建立的計算機下面。
與多數其它AD對象不同,打印機作為一個實體存在于AD的外面。在AD里的打印機對象的屬性對話框只能控制打印機在AD里的屬性(主要是用戶用戶來查找特定打印機的那些屬性)。您要使用打印機文件夾里的打印機屬性對話框,來控制打印機的全部配置和安全設置。
建立聯系人
建立聯系人對象相當簡單。新建對象向導會提示你輸入名稱(First Name)、姓氏(Last Name),顯示名稱(Display name)。Windows 2000 把你輸入的姓氏和名稱組合起,自動填充全稱(Full Name)字段。但是,全稱字段是可以編輯的,這樣您可以修改默認的全稱。你可以使用聯系人的屬性對話框輸入相關信息,就象用戶對象類型的屬性對話一樣,聯系人屬性對話框也有通用(General)、地址(Address)、電話(Telephones)、公司(Organization)、組成員(Member Of)這些頁面。
現在你已經可以用計算機、聯系人、組、組織單元、打印機、用戶、共享文件夾這些對象充實你的AD數據庫了!新建對象向導在輸入建立每個對象類型所需要的信息的過程中,可以指導操作,所以在建立每個對象類型時,沒有什么東西你必須要記住。在建立對象之后,你可以使用它們的快捷菜單里的選項管理它們,或者在每個對象的屬性對話框里管理。您把對象移動到代表你的公司結構或管理模式的組織單元里,這樣來管理對象。
