;;;;組是Windows 2000從Windows NT系統(tǒng)繼承下來(lái)的安全管理形式，它是指活動(dòng)目錄或本地計(jì)算機(jī)對(duì)象，包含用戶、聯(lián)系人、計(jì)算機(jī)和其他組等。在Windows 2000中，組可以用來(lái)管理用戶和計(jì)算機(jī)對(duì)網(wǎng)絡(luò)資源的訪問，例如活動(dòng)目錄對(duì)象及其屬性、網(wǎng)絡(luò)共享、文件、目錄、打印機(jī)隊(duì)列，還可以篩選組策略。使用組，主要是為了方便管理訪問目的和權(quán)限相同的一系列用戶和計(jì)算機(jī)帳戶。 ;;;;作為管理員的用戶在賦予用戶或計(jì)算機(jī)帳戶權(quán)限時(shí)，如果它們的權(quán)限各不相同，必須分別為它們?cè)O(shè)置；但是，如果它們的權(quán)限相同，還要分別進(jìn)行設(shè)置，就多做了許多重復(fù)性工作。有了組的概念之后，就可以將這些具有相同權(quán)限的用戶或計(jì)算機(jī)劃歸到一個(gè)組中，使這些用戶成為該組的成員，然后通過賦予該組權(quán)限來(lái)使這些用戶或計(jì)算機(jī)都具有了相同的權(quán)限，這就大大減輕了作為管理員的用戶的帳戶管理工作。 ;;;;組織單元（Organizational Unit,簡(jiǎn)稱OU）是域中包含的一類目錄對(duì)象，它包括域中一些用戶、計(jì)算機(jī)和組、文件與打印機(jī)等資源。不過，組織單元不能包含其他域中的對(duì)象。由于動(dòng)態(tài)目錄服務(wù)把域又詳細(xì)的劃分成組織單元，且組織單元中還可以再劃分下級(jí)組織單元，因此組織單元的分層結(jié)構(gòu)可用來(lái)建立域的分層結(jié)構(gòu)模型，進(jìn)而可使用戶把網(wǎng)絡(luò)所需的域的數(shù)量減至最小。;;;;組織單元具有繼承性，子單元能夠繼承父單元的訪問許可權(quán)。域管理員可使用組織單位來(lái)創(chuàng)建管理模型，該模型可調(diào)整為任何尺寸。而且，域管理員可授予用戶對(duì)域中所有組織單位或單個(gè)組織單位的管理權(quán)限。;;;;注釋 組和組織單元有很大的不同。組主要用于權(quán)限設(shè)置，而組織單元?jiǎng)t主要用于網(wǎng)絡(luò)構(gòu)建；另外，組織單元只表示單個(gè)域中的對(duì)象集合（可包括組對(duì)象），而組可以包含用戶、計(jì)算機(jī)、本地服務(wù)器上的共享資源、單個(gè)域、域目錄樹或目錄林。 ;;;;創(chuàng)建新組和組織單元 ;;;;雖然系統(tǒng)提供了許多內(nèi)置組用于權(quán)限和安全設(shè)置，但是它們不能滿足特殊安全和靈活性的需要。所以，用戶要想很好的管理用戶和計(jì)算機(jī)帳戶，必須根據(jù)網(wǎng)絡(luò)情況創(chuàng)建一些新組。新組創(chuàng)建之后，就可以像使用內(nèi)置組一樣使用它們，賦予權(quán)限和進(jìn)行組成員的添加。另外， 在域中合理地添加和安排組織單元，不但方便了管理員對(duì)域中帳戶和組的管理，而且還有利于網(wǎng)絡(luò)的擴(kuò)展。;;;;要?jiǎng)?chuàng)建新組，在控制臺(tái)目錄樹中，展開域節(jié)點(diǎn)。右擊要進(jìn)行組創(chuàng)建的組織單元或容器，從彈出的快捷菜單中選擇“新建” |“組”命令，打開如圖9 - 3 2所示的“創(chuàng)建新對(duì)象一(組)”對(duì)話框，在“新組名稱”文本框中輸入要?jiǎng)?chuàng)建的組名;并在“新組的下層名”文本框中輸入新組的下層名稱(也可使用默認(rèn)名稱)。在“組領(lǐng)域”選項(xiàng)區(qū)域中，通過選擇單選按鈕來(lái)選擇組的應(yīng)用領(lǐng)域；在“組類型”選項(xiàng)區(qū)域中，通過選擇單選按鈕來(lái)選擇新組的類型。單擊“確定”按鈕即完成組的創(chuàng)建。 ;;;;要添加組織單元，在控制臺(tái)目錄樹中，展開域節(jié)點(diǎn)。右擊域節(jié)點(diǎn)或者可添加組織單元的文件夾節(jié)點(diǎn)，從彈出的快捷菜單中選擇“新建” |“組織單元”命令，打開如圖9 - 3 3所示的“創(chuàng)建新對(duì)象”—(組織單元)”對(duì)話框，在“名稱”文本框中輸入新創(chuàng)建組織單元的名稱，然后單擊“確定”按鈕即完成組織單元的創(chuàng)建。;;;;刪除組和組織單元 ;;;;當(dāng)用戶的活動(dòng)目錄中的組和組織單元因太多而影響了對(duì)用戶和計(jì)算機(jī)帳戶的管理時(shí)，作為管理員的用戶可對(duì)自己創(chuàng)建的組和組織單元進(jìn)行清理。例如，當(dāng)目錄中有長(zhǎng)期不使用的組或者是不符合網(wǎng)絡(luò)安全的組，可將其刪除。當(dāng)域中的某個(gè)組織單元中所包含的用戶、計(jì)算機(jī)、聯(lián)系人和組織單元等已經(jīng)被刪除或因?yàn)槠渌蚨辉侔l(fā)揮作用時(shí)，也可將其刪除。不過，管理員只能刪除自己創(chuàng)建的組和組織單元，而不能刪除由系統(tǒng)提供的內(nèi)置組和組織單元。;;;;要?jiǎng)h除組和組織單元，在控制臺(tái)目錄樹中，展開域節(jié)點(diǎn)。單擊要?jiǎng)h除的組或組織單元所在的組織單元，使詳細(xì)資料窗格中列出該組織單元的內(nèi)容。然后右擊要?jiǎng)h除的組或組織單元，從彈出的快捷菜單中選擇“刪除”命令，這時(shí)系統(tǒng)會(huì)打開信息確認(rèn)框，單擊“是”按鈕即完成組或組織單元的刪除。;;;;委派控制組或組織單元 ;;;;在Windows 2000網(wǎng)絡(luò)中，隨著組和組織單元的增多，網(wǎng)絡(luò)的管理工作越來(lái)越來(lái)繁雜，僅僅依靠管理員去處理所有的網(wǎng)絡(luò)問題是不可能的。為此， Windows 2000提供了一項(xiàng)新的網(wǎng)絡(luò)功能—委派控制，通過它，作為管理員的用戶可以將一部分域管理工作委派給其他用戶、 計(jì)算機(jī)或組，由其他用戶、計(jì)算機(jī)或組來(lái)幫助進(jìn)行管理，這樣就減輕了用戶的網(wǎng)絡(luò)系統(tǒng)管理工作。如果要對(duì)某各組或組織單元進(jìn)行委派控制，可參照下面的步驟：;;;;1. 在“Active Directory用戶與計(jì)算機(jī)”窗口的控制臺(tái)目錄樹中，單擊之后再雙擊域節(jié)點(diǎn)，展開該節(jié)點(diǎn)。;;;;2. 右擊要委派控制的組織單元或組節(jié)點(diǎn)，例如右擊Users，從彈出的快捷菜單中選擇“委派控制”命令，打開“控制委派向?qū)А睂?duì)話框，如圖9 - 3 4所示。 ;;;;3. 單擊“下一步”按鈕，打開“Active Directory文件夾”對(duì)話框，如圖9 - 3 5所示。在“您想委派控制的文件夾名”文本框中已經(jīng)顯示出要委派控制的文件夾(組織單元或容器)，不能再進(jìn)行輸入。;;;;4. 單擊“下一步”按鈕，打開如圖9 - 3 6所示的“組或用戶選擇”對(duì)話框，單擊“添加”按鈕，打開“選擇用戶、計(jì)算機(jī)或組”對(duì)話框，選擇一個(gè)或多個(gè)要委派控制的用戶，也可選擇一個(gè)或多個(gè)要委派控制的組。;;;;5. 單擊“下一步”按鈕，打開“預(yù)定義的委派”對(duì)話框，如圖9 - 3 7所示。 ;;;;6. 如果要使用預(yù)定義的任務(wù)，可選擇“預(yù)定義的任務(wù)”單選按鈕，并在任務(wù)文本框中通過啟用或禁用復(fù)選框來(lái)設(shè)置委派控制權(quán)限，例如，啟用“創(chuàng)建、刪除以及管理用戶帳戶”復(fù)選框，則被委派的用戶或組具有創(chuàng)建、刪除以及管理用戶帳戶的權(quán)限。如果管理員要自己定義任務(wù)，可選擇“自定義任務(wù)”單選按鈕。這里選擇“自定義任務(wù)”單選按鈕。;;;;7. 單擊“下一步”按鈕，打開“ Active Directory對(duì)象類型選擇”對(duì)話框，如圖9 - 3 8所示。;;;;8. 如果要委派的對(duì)象為整個(gè)文件夾，可選擇“整個(gè)文件夾”單選按鈕，如果要委派的對(duì)象只是文件夾中的對(duì)象，可選擇“文件夾中的對(duì)象”單選按鈕，并在“對(duì)象類型”列表框中通過啟用復(fù)選框來(lái)選擇對(duì)象；如果不希望委派包括默認(rèn)和指定的所選對(duì)象類型的權(quán)限，可禁用“包括默認(rèn)和指定的所選對(duì)象類型的權(quán)限”復(fù)選框。;;;;9. 單擊“下一步”按鈕，打開“權(quán)限”對(duì)話框，如圖9 - 3 9所示。;;;;10. 在“篩選器選項(xiàng)”選項(xiàng)區(qū)域中，通過啟用復(fù)選框來(lái)設(shè)置“要委派的權(quán)限”列表框中顯示哪些權(quán)限，例如啟用“顯示一般權(quán)限”復(fù)選框，則“要委派的權(quán)限”列表框中顯示出要委派的一般權(quán)限。;;;;11. 通過啟用“要委派的權(quán)限”列表框中的復(fù)選框來(lái)選擇要委派的權(quán)限，例如啟用“完全控制”復(fù)選框，則被委派的用戶或組所選對(duì)象具有完全控制權(quán)。;;;;12. 單擊“下一步”按鈕，打開“完成控制委派向?qū)А睂?duì)話框，單擊“完成”按鈕，完成向?qū)А? ;;;;設(shè)置組織單元屬性 ;;;;組織單元被除了有利于網(wǎng)絡(luò)擴(kuò)展外，另一大優(yōu)點(diǎn)是它在管理方面的方便性和安全性，但是，如果不根據(jù)組織單元的實(shí)際情況設(shè)置其屬性，是很難發(fā)揮這個(gè)優(yōu)點(diǎn)的。所以，用戶在創(chuàng)建組織單元之后，必須根據(jù)需要設(shè)置組織單元屬性。通過設(shè)置組織單元的屬性，不但可以指定組織單元的管理人和常規(guī)屬性，也可為組織單元?jiǎng)?chuàng)建組策略。要設(shè)置組織單元的屬性，可參照下面的步驟。;;;;1. 在控制臺(tái)目錄樹中，右擊要設(shè)置屬性的組織單元，從彈出的快捷菜單中選擇“屬性”命令，打開該組織單元的屬性對(duì)話框，如圖9 - 4 0所示。;;;;2. 在“常規(guī)”選項(xiàng)卡中，可在“描述”文本框中為組織單元輸入一段描述，在“省、自治區(qū)”、“縣市”、“街道”和“郵政編碼”文本框中輸入組織單元所包含的計(jì)算機(jī)和用戶的統(tǒng)一通信地址和郵編。;;;;3. 選擇“管理人”選項(xiàng)卡，單擊“更改”按鈕，打開“選擇用戶或聯(lián)系人”對(duì)話框選擇一個(gè)用戶或聯(lián)系人作為管理人;管理人更改之后，單擊“查看”按鈕，可打開所更改的管理人的屬性對(duì)話框，管理員可對(duì)管理人的屬性進(jìn)行修改，如果要清除管理人，單擊“清除”按鈕即可。;;;;4. 單擊“組策略”選項(xiàng)卡，如圖9 - 4 1所示。;;;;5. 要新建一個(gè)組策略對(duì)象，單擊“新建”按鈕，在組策略對(duì)象列表框會(huì)出現(xiàn)一個(gè)新的組策略對(duì)象，如圖9 - 4 2所示，在名稱文本框中為新策略輸入一個(gè)有意義的名稱。;;;;6. 組策略創(chuàng)建好之后，單擊“編輯”按鈕，會(huì)打開如圖9 - 4 3所示的“組策略”窗口。在該窗口中，管理員可對(duì)創(chuàng)建的組策略進(jìn)行編輯，包括計(jì)算機(jī)配置和用戶配置兩個(gè)方面，編輯完畢，關(guān)閉窗口。;;;;7. 要設(shè)置某個(gè)組策略對(duì)象的屬性，在列表框中選擇該對(duì)象，然后單擊“屬性”按鈕，打開該對(duì)象屬性對(duì)話框，進(jìn)行“常規(guī)”、“鏈接”和“安全”方面的設(shè)置。;;;;8. 在列表中，不同位置的組策略對(duì)象具有不同的優(yōu)先級(jí)，較高位置的組策略對(duì)象比較低位置的組策略對(duì)象優(yōu)先級(jí)高。所以，管理員可以改變組策略對(duì)象在列表中的位置來(lái)決定組策略對(duì)象的應(yīng)用級(jí)別。要時(shí)變某個(gè)組策略對(duì)象在列表中的位置，選擇該對(duì)象，單擊“向上”或“向下”按鈕即可上移或下移該對(duì)象。;;;;9. 如果要?jiǎng)h除某個(gè)組策略對(duì)象，在列表中選擇該對(duì)象，然后單擊“刪除”按鈕即可。;;;;10. 用戶要配置某個(gè)組策略對(duì)象的選項(xiàng)，在列表中選擇該對(duì)象，單擊“選項(xiàng)”按鈕，打開該組策略對(duì)象的選項(xiàng)對(duì)話框，如圖9 - 44所示。;;;;11. 在“鏈接選項(xiàng)”選項(xiàng)區(qū)域中，啟用“沒有替代”復(fù)選框，可防止其他組策略對(duì)象替代這個(gè)組對(duì)象中的策略集；啟用“被禁用”復(fù)選框，可暫時(shí)禁用該策略，需要啟用時(shí)，禁用“被禁用”復(fù)選框即可。然后單擊“確定”按鈕返回到組策略選項(xiàng)卡。 ;;;;12. 如果要防止組策略被下一級(jí)組織單元所繼承，可啟用“阻止策略繼承”復(fù)選框。最后單擊“關(guān)閉”按鈕保存屬性設(shè)置。 ;;;;設(shè)置組屬性 ;;;;一個(gè)新組被用戶創(chuàng)建好之后，系統(tǒng)并沒有設(shè)置該組常規(guī)屬性和權(quán)限，也沒有為其指定組成員和管理人，該組幾乎不發(fā)揮任何作用。如果要充分發(fā)揮組對(duì)用戶和計(jì)算機(jī)帳戶的管理作用，用戶必須設(shè)置該組的屬性，解決上面提出的問題。要設(shè)置組屬性，可參照下面的步驟。 ;;;;1. 在控制臺(tái)目錄樹中單擊要設(shè)置屬性的組所在的組織單元或容器，使詳細(xì)資料窗格中列出該組織單元的內(nèi)容。在詳細(xì)資料窗格中，右擊要添加成員的組，從彈出的快捷菜單中選擇“屬性”命令，打開該組的屬性對(duì)話框，如圖9 - 45所示。 ;;;;2. 為了便于管理，在“描述”和“注釋”文本框中分別輸入有關(guān)該組的描述和注釋；如果要修改組名稱，在“下層名稱”文本框中輸入新的組名稱；為了便于組管理員同組成員交換信息，在“電子郵件”文本框中輸入組管理員的地電子電郵件地址。;;;;3. 單擊“成員”選項(xiàng)卡，如圖9 - 4 6所示。要添加成員，單擊“添加”按鈕，打開“選擇用戶聯(lián)系人或計(jì)算機(jī)”對(duì)話框選擇要添加的成員。要?jiǎng)h除組成員，在“成員”列表框中選擇要?jiǎng)h除的組成員，然后單擊“刪除”按鈕即可。 ;;;;4. 因?yàn)橛脩糁饕峭ㄟ^向新組添加內(nèi)置組來(lái)設(shè)置新組的權(quán)限的，所以要設(shè)置組權(quán)限，選擇“成員屬于”選項(xiàng)卡，單擊“添加”按鈕，打開“選擇組”對(duì)話框，為自己創(chuàng)建的組選擇內(nèi)置組。要?jiǎng)h除某個(gè)組權(quán)限，在“成員屬于”列表框中選擇該組，然后單擊“刪除”按鈕即可。;;;;5. 要設(shè)置組的管理人，選擇“管理人”選項(xiàng)卡。要更改組管理人，單擊“更改”按鈕，打開“選擇用戶或聯(lián)系人”對(duì)話框?yàn)楦慕M選擇管理人；要查看管理人的屬性，單擊“查看”按鈕進(jìn)行查看；如果要清除管理人對(duì)組的管理，單擊“清除”按鈕即可。;;;;6. 屬性設(shè)置完畢，單擊“確定”按鈕保存設(shè)置并關(guān)閉屬性對(duì)話框。