;;;;組是Windows 2000從Windows NT系統繼承下來的安全管理形式，它是指活動目錄或本地計算機對象，包含用戶、聯系人、計算機和其他組等。在Windows 2000中，組可以用來管理用戶和計算機對網絡資源的訪問，例如活動目錄對象及其屬性、網絡共享、文件、目錄、打印機隊列，還可以篩選組策略。使用組，主要是為了方便管理訪問目的和權限相同的一系列用戶和計算機帳戶。 ;;;;作為管理員的用戶在賦予用戶或計算機帳戶權限時，如果它們的權限各不相同，必須分別為它們設置；但是，如果它們的權限相同，還要分別進行設置，就多做了許多重復性工作。有了組的概念之后，就可以將這些具有相同權限的用戶或計算機劃歸到一個組中，使這些用戶成為該組的成員，然后通過賦予該組權限來使這些用戶或計算機都具有了相同的權限，這就大大減輕了作為管理員的用戶的帳戶管理工作。 ;;;;組織單元（Organizational Unit,簡稱OU）是域中包含的一類目錄對象，它包括域中一些用戶、計算機和組、文件與打印機等資源。不過，組織單元不能包含其他域中的對象。由于動態目錄服務把域又詳細的劃分成組織單元，且組織單元中還可以再劃分下級組織單元，因此組織單元的分層結構可用來建立域的分層結構模型，進而可使用戶把網絡所需的域的數量減至最小。;;;;組織單元具有繼承性，子單元能夠繼承父單元的訪問許可權。域管理員可使用組織單位來創建管理模型，該模型可調整為任何尺寸。而且，域管理員可授予用戶對域中所有組織單位或單個組織單位的管理權限。;;;;注釋 組和組織單元有很大的不同。組主要用于權限設置，而組織單元則主要用于網絡構建；另外，組織單元只表示單個域中的對象集合（可包括組對象），而組可以包含用戶、計算機、本地服務器上的共享資源、單個域、域目錄樹或目錄林。 ;;;;創建新組和組織單元 ;;;;雖然系統提供了許多內置組用于權限和安全設置，但是它們不能滿足特殊安全和靈活性的需要。所以，用戶要想很好的管理用戶和計算機帳戶，必須根據網絡情況創建一些新組。新組創建之后，就可以像使用內置組一樣使用它們，賦予權限和進行組成員的添加。另外， 在域中合理地添加和安排組織單元，不但方便了管理員對域中帳戶和組的管理，而且還有利于網絡的擴展。;;;;要創建新組，在控制臺目錄樹中，展開域節點。右擊要進行組創建的組織單元或容器，從彈出的快捷菜單中選擇“新建” |“組”命令，打開如圖9 - 3 2所示的“創建新對象一(組)”對話框，在“新組名稱”文本框中輸入要創建的組名;并在“新組的下層名”文本框中輸入新組的下層名稱(也可使用默認名稱)。在“組領域”選項區域中，通過選擇單選按鈕來選擇組的應用領域；在“組類型”選項區域中，通過選擇單選按鈕來選擇新組的類型。單擊“確定”按鈕即完成組的創建。 ;;;;要添加組織單元，在控制臺目錄樹中，展開域節點。右擊域節點或者可添加組織單元的文件夾節點，從彈出的快捷菜單中選擇“新建” |“組織單元”命令，打開如圖9 - 3 3所示的“創建新對象”—(組織單元)”對話框，在“名稱”文本框中輸入新創建組織單元的名稱，然后單擊“確定”按鈕即完成組織單元的創建。;;;;刪除組和組織單元 ;;;;當用戶的活動目錄中的組和組織單元因太多而影響了對用戶和計算機帳戶的管理時，作為管理員的用戶可對自己創建的組和組織單元進行清理。例如，當目錄中有長期不使用的組或者是不符合網絡安全的組，可將其刪除。當域中的某個組織單元中所包含的用戶、計算機、聯系人和組織單元等已經被刪除或因為其他原因而不再發揮作用時，也可將其刪除。不過，管理員只能刪除自己創建的組和組織單元，而不能刪除由系統提供的內置組和組織單元。;;;;要刪除組和組織單元，在控制臺目錄樹中，展開域節點。單擊要刪除的組或組織單元所在的組織單元，使詳細資料窗格中列出該組織單元的內容。然后右擊要刪除的組或組織單元，從彈出的快捷菜單中選擇“刪除”命令，這時系統會打開信息確認框，單擊“是”按鈕即完成組或組織單元的刪除。;;;;委派控制組或組織單元 ;;;;在Windows 2000網絡中，隨著組和組織單元的增多，網絡的管理工作越來越來繁雜，僅僅依靠管理員去處理所有的網絡問題是不可能的。為此， Windows 2000提供了一項新的網絡功能—委派控制，通過它，作為管理員的用戶可以將一部分域管理工作委派給其他用戶、 計算機或組，由其他用戶、計算機或組來幫助進行管理，這樣就減輕了用戶的網絡系統管理工作。如果要對某各組或組織單元進行委派控制，可參照下面的步驟：;;;;1. 在“Active Directory用戶與計算機”窗口的控制臺目錄樹中，單擊之后再雙擊域節點，展開該節點。;;;;2. 右擊要委派控制的組織單元或組節點，例如右擊Users，從彈出的快捷菜單中選擇“委派控制”命令，打開“控制委派向導”對話框，如圖9 - 3 4所示。 ;;;;3. 單擊“下一步”按鈕，打開“Active Directory文件夾”對話框，如圖9 - 3 5所示。在“您想委派控制的文件夾名”文本框中已經顯示出要委派控制的文件夾(組織單元或容器)，不能再進行輸入。;;;;4. 單擊“下一步”按鈕，打開如圖9 - 3 6所示的“組或用戶選擇”對話框，單擊“添加”按鈕，打開“選擇用戶、計算機或組”對話框，選擇一個或多個要委派控制的用戶，也可選擇一個或多個要委派控制的組。;;;;5. 單擊“下一步”按鈕，打開“預定義的委派”對話框，如圖9 - 3 7所示。 ;;;;6. 如果要使用預定義的任務，可選擇“預定義的任務”單選按鈕，并在任務文本框中通過啟用或禁用復選框來設置委派控制權限，例如，啟用“創建、刪除以及管理用戶帳戶”復選框，則被委派的用戶或組具有創建、刪除以及管理用戶帳戶的權限。如果管理員要自己定義任務，可選擇“自定義任務”單選按鈕。這里選擇“自定義任務”單選按鈕。;;;;7. 單擊“下一步”按鈕，打開“ Active Directory對象類型選擇”對話框，如圖9 - 3 8所示。;;;;8. 如果要委派的對象為整個文件夾，可選擇“整個文件夾”單選按鈕，如果要委派的對象只是文件夾中的對象，可選擇“文件夾中的對象”單選按鈕，并在“對象類型”列表框中通過啟用復選框來選擇對象；如果不希望委派包括默認和指定的所選對象類型的權限，可禁用“包括默認和指定的所選對象類型的權限”復選框。;;;;9. 單擊“下一步”按鈕，打開“權限”對話框，如圖9 - 3 9所示。;;;;10. 在“篩選器選項”選項區域中，通過啟用復選框來設置“要委派的權限”列表框中顯示哪些權限，例如啟用“顯示一般權限”復選框，則“要委派的權限”列表框中顯示出要委派的一般權限。;;;;11. 通過啟用“要委派的權限”列表框中的復選框來選擇要委派的權限，例如啟用“完全控制”復選框，則被委派的用戶或組所選對象具有完全控制權。;;;;12. 單擊“下一步”按鈕，打開“完成控制委派向導”對話框，單擊“完成”按鈕，完成向導。 ;;;;設置組織單元屬性 ;;;;組織單元被除了有利于網絡擴展外，另一大優點是它在管理方面的方便性和安全性，但是，如果不根據組織單元的實際情況設置其屬性，是很難發揮這個優點的。所以，用戶在創建組織單元之后，必須根據需要設置組織單元屬性。通過設置組織單元的屬性，不但可以指定組織單元的管理人和常規屬性，也可為組織單元創建組策略。要設置組織單元的屬性，可參照下面的步驟。;;;;1. 在控制臺目錄樹中，右擊要設置屬性的組織單元，從彈出的快捷菜單中選擇“屬性”命令，打開該組織單元的屬性對話框，如圖9 - 4 0所示。;;;;2. 在“常規”選項卡中，可在“描述”文本框中為組織單元輸入一段描述，在“省、自治區”、“縣市”、“街道”和“郵政編碼”文本框中輸入組織單元所包含的計算機和用戶的統一通信地址和郵編。;;;;3. 選擇“管理人”選項卡，單擊“更改”按鈕，打開“選擇用戶或聯系人”對話框選擇一個用戶或聯系人作為管理人;管理人更改之后，單擊“查看”按鈕，可打開所更改的管理人的屬性對話框，管理員可對管理人的屬性進行修改，如果要清除管理人，單擊“清除”按鈕即可。;;;;4. 單擊“組策略”選項卡，如圖9 - 4 1所示。;;;;5. 要新建一個組策略對象，單擊“新建”按鈕，在組策略對象列表框會出現一個新的組策略對象，如圖9 - 4 2所示，在名稱文本框中為新策略輸入一個有意義的名稱。;;;;6. 組策略創建好之后，單擊“編輯”按鈕，會打開如圖9 - 4 3所示的“組策略”窗口。在該窗口中，管理員可對創建的組策略進行編輯，包括計算機配置和用戶配置兩個方面，編輯完畢，關閉窗口。;;;;7. 要設置某個組策略對象的屬性，在列表框中選擇該對象，然后單擊“屬性”按鈕，打開該對象屬性對話框，進行“常規”、“鏈接”和“安全”方面的設置。;;;;8. 在列表中，不同位置的組策略對象具有不同的優先級，較高位置的組策略對象比較低位置的組策略對象優先級高。所以，管理員可以改變組策略對象在列表中的位置來決定組策略對象的應用級別。要時變某個組策略對象在列表中的位置，選擇該對象，單擊“向上”或“向下”按鈕即可上移或下移該對象。;;;;9. 如果要刪除某個組策略對象，在列表中選擇該對象，然后單擊“刪除”按鈕即可。;;;;10. 用戶要配置某個組策略對象的選項，在列表中選擇該對象，單擊“選項”按鈕，打開該組策略對象的選項對話框，如圖9 - 44所示。;;;;11. 在“鏈接選項”選項區域中，啟用“沒有替代”復選框，可防止其他組策略對象替代這個組對象中的策略集；啟用“被禁用”復選框，可暫時禁用該策略，需要啟用時，禁用“被禁用”復選框即可。然后單擊“確定”按鈕返回到組策略選項卡。 ;;;;12. 如果要防止組策略被下一級組織單元所繼承，可啟用“阻止策略繼承”復選框。最后單擊“關閉”按鈕保存屬性設置。 ;;;;設置組屬性 ;;;;一個新組被用戶創建好之后，系統并沒有設置該組常規屬性和權限，也沒有為其指定組成員和管理人，該組幾乎不發揮任何作用。如果要充分發揮組對用戶和計算機帳戶的管理作用，用戶必須設置該組的屬性，解決上面提出的問題。要設置組屬性，可參照下面的步驟。 ;;;;1. 在控制臺目錄樹中單擊要設置屬性的組所在的組織單元或容器，使詳細資料窗格中列出該組織單元的內容。在詳細資料窗格中，右擊要添加成員的組，從彈出的快捷菜單中選擇“屬性”命令，打開該組的屬性對話框，如圖9 - 45所示。 ;;;;2. 為了便于管理，在“描述”和“注釋”文本框中分別輸入有關該組的描述和注釋；如果要修改組名稱，在“下層名稱”文本框中輸入新的組名稱；為了便于組管理員同組成員交換信息，在“電子郵件”文本框中輸入組管理員的地電子電郵件地址。;;;;3. 單擊“成員”選項卡，如圖9 - 4 6所示。要添加成員，單擊“添加”按鈕，打開“選擇用戶聯系人或計算機”對話框選擇要添加的成員。要刪除組成員，在“成員”列表框中選擇要刪除的組成員，然后單擊“刪除”按鈕即可。 ;;;;4. 因為用戶主要是通過向新組添加內置組來設置新組的權限的，所以要設置組權限，選擇“成員屬于”選項卡，單擊“添加”按鈕，打開“選擇組”對話框，為自己創建的組選擇內置組。要刪除某個組權限，在“成員屬于”列表框中選擇該組，然后單擊“刪除”按鈕即可。;;;;5. 要設置組的管理人，選擇“管理人”選項卡。要更改組管理人，單擊“更改”按鈕，打開“選擇用戶或聯系人”對話框為改組選擇管理人；要查看管理人的屬性，單擊“查看”按鈕進行查看；如果要清除管理人對組的管理，單擊“清除”按鈕即可。;;;;6. 屬性設置完畢，單擊“確定”按鈕保存設置并關閉屬性對話框。