windows域配置及管理_第1頁
windows域配置及管理_第2頁
windows域配置及管理_第3頁
windows域配置及管理_第4頁
windows域配置及管理_第5頁
已閱讀5頁,還剩61頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、北京天和科瑞咨詢有限公司 北京郵電大學移動互聯(lián)網(wǎng)與信息化實驗室 2011年6月,Windows域配置及管理,域,DNS的作用,域的概念,將計算機加入域,DC的條件,創(chuàng)建域,域用戶帳戶,安裝AD,組,安全組/通訊組,本地域組/全局組/通用組,用戶配置文件,用戶主文件夾,創(chuàng)建域帳戶,域帳戶屬性,OU,OU的委派功能,OU概念,2,域的基本概念,域 將網(wǎng)絡(luò)中多臺計算機邏輯上組織到一起,進行集中管理,這種區(qū)別于工作組的邏輯環(huán)境叫做域 域是組織與存儲資源的核心管理單元 活動目錄提供了存儲網(wǎng)絡(luò)上對象信息并使網(wǎng)絡(luò)用戶使用該數(shù)據(jù)的方法,3,域的基本概念,活動目錄 活動目錄(Active Directory)是

2、Windows Server 2003平臺提供的目錄服務(wù),在中央數(shù)據(jù)庫中存放信息,使用戶在網(wǎng)絡(luò)上只擁有一個用戶賬號。 活動目錄是一個全面的目錄服務(wù)管理方案,也是一個企業(yè)級的目錄服務(wù),具有很好的可伸縮性?;顒幽夸洸捎昧薎nternet的標準協(xié)議,它與操作系統(tǒng)緊密地集成在一起。 活動目錄可以管理諸如計算機對象、用戶賬戶、打印機之類的網(wǎng)絡(luò)資源。,4,域的基本概念,活動目錄包括兩個方面:目錄和與目錄相關(guān)的服務(wù)。目錄是存儲各種對象的一個物理上的容器 目錄服務(wù)是使目錄中所有信息和資源發(fā)揮作用的服務(wù),活動目錄是一個分布式的目錄服務(wù),信息可以分散在多臺不同的計算機上,保證用戶能夠快速訪問,5,(1) 信息的安

3、全性大大增強 1、活動目錄集中控制用戶授權(quán) 2、 提供存儲和應(yīng)用程序作用域的安全策略,提供安全策略的存儲和應(yīng)用范圍。 (2) 引入基于策略的管理,使系統(tǒng)的管理更加明朗 作為目錄,它存儲著分配給特定環(huán)境的策略,稱為組策略對象 (3) 具有很強的可擴展性 管理員可以在計劃中增加新的對象類,或者給現(xiàn)有的對象類增加新的屬性。 計劃包括可以存儲在目錄中的每一個對象類的定義和對象類的屬性。,活動目錄作用,6,(4)具有很強的可伸縮性 活動目錄可包含在一個或多個域,每個域具有一個或多個域控制器,以便調(diào)整目錄的規(guī)模以滿足任何網(wǎng)絡(luò)的需要 (5) 智能的信息復制能力 信息復制為目錄提供了信息可用性、容錯、負載平衡

4、和性能優(yōu)勢,活動目錄使用多主機復制,允許在任何域控制器上而不是單個主域控制器上同步更新目錄,7,(6)與DNS集成緊密 活動目錄使用域名系統(tǒng)(DNS)來為服務(wù)器目錄命名 (7)與其他目錄服務(wù)具有互操性 LDAP是用于在活動目錄中查詢和檢索信息的目錄訪問協(xié)議。因為它是一種工業(yè)標準服務(wù)協(xié)議,所以可使用LDAP開發(fā)程序,與同時支持LDAP的其他目錄服務(wù)共享活動目錄信息。 (8)具有靈活的查詢 任何用戶可使用【開始】菜單、【網(wǎng)上鄰居】或【活動目錄用戶和計算機】上的【搜索】命令,通過對象屬性快速查找網(wǎng)絡(luò)上的對象。,8,AD活動目錄作用: 通過將企業(yè)網(wǎng)絡(luò)中的各種資源,例如電腦,用戶,共享的打印機,服務(wù)器等

5、等組織起來形成活動目錄域,在這個域中把這些信息進行分類形成目錄樹。這樣,用戶通過一定的形式,就可以很方便的訪問活動目錄域中的信息. 這種便利的訪問機制,也需要安全的保障機制!ad活動目錄域正是基于這種信息共享基礎(chǔ)上的安全管理規(guī)范。 安裝了活動目錄的計算機稱為“域控制器”,只要加入并接受域控制器的管理就可以在一次登錄之后全網(wǎng)使用,方便地訪問活動目錄提供的網(wǎng)絡(luò)資源。對于管理員,則可以通過對活動目錄的集中管理就能夠管理全網(wǎng)的資源。,9,域是基本管理單位 域中可包含大量對象 計算機 用戶 打印機 共享文件夾 域是活動目錄的組成部分,Windows Server 2003 域概述,10,域及目錄服務(wù)概述

6、,活動目錄是一個數(shù)據(jù)庫 活動目錄是一個目錄服務(wù) 可以定制活動目錄 簡化的管理 可擴展性 便捷的網(wǎng)絡(luò)資源訪問,11,域、域樹、域森林,根域下面可以建立多層子域 域和子域構(gòu)建成域樹 多棵域樹構(gòu)建成森林 域之間自動建立雙向信任關(guān)系,T,B,X,T,B,12,OU-組織單位,OU是活動目錄中的一種對象 OU中可以建立子對象 利用OU可以模擬管理模型,13,域控制器,域控制器是存儲活動目錄數(shù)據(jù)庫的計算機 一個域最少一臺域控制器 多臺域控制器需要同步數(shù)據(jù)庫 域控制器存儲著目錄數(shù)據(jù)并管理用戶域的交互,其中包括用戶登錄過程、身份驗證和目錄搜索。,14,站點,每個地理位置中的若干臺域控制器可以劃分為一個站點 站

7、點內(nèi)部優(yōu)先同步活動目錄數(shù)據(jù)庫,同步后再和其他站點中的域控制器同步,15,活動目錄安裝與卸載,安裝者必須具有本地管理權(quán)限 操作系統(tǒng)必須滿足條件(Windows Server 2003 Web版除外都滿足) 本地磁盤至少有一個分區(qū)是NTFS文件系統(tǒng) 系統(tǒng)盤應(yīng)該有最少300MB的剩余空間。 安裝TCP/IP協(xié)議和相應(yīng)的DNS服務(wù)器支持。 有相應(yīng)的DNS服務(wù)器支持,16,活動目錄安裝與卸載,啟動安裝向?qū)?使用管理您的服務(wù)器向?qū)?使用命令DCPROMO,17,安裝活動目錄,主要步驟 是否創(chuàng)建新域 新域的DNS全名 新域的NetBIOS名 數(shù)據(jù)庫和日志文件文件夾 共享的系統(tǒng)卷 DNS注冊診斷 域兼容性 還

8、原模式密碼,18,DNS在域中的作用,DNS在域中有兩個作用 域名的命名采用DNS標準 辦公網(wǎng)絡(luò)與Internet集成 定位DC 1)客戶機發(fā)送DNS查詢請求給DNS服務(wù)器 2)DNS服務(wù)器查詢匹配的SRV資源記錄 3)DNS服務(wù)器返回相關(guān)DC的IP地址列表給客戶機 4)客戶機聯(lián)系到DC 5)DC響應(yīng)客戶機的請求 域的DNS區(qū)域維護 SRV資源記錄可以定位DC,19,活動目錄安裝與卸載,20,安裝活動目錄后操作系統(tǒng)的變化 (1)查看域控制器的計算機名 安裝活動目錄后DC(Domain Controller,即域控制器)的計算機名會發(fā)后變化,在DC上右鍵單擊【我的電腦】,選擇【屬性】,在彈出的【

9、系統(tǒng)屬性】對話框中選擇【計算機名】標簽,可以查看當前域控制器的計算機名,21,查看管理工具 在DC上依次打開【開始】【程序】【管理工具】,可以看到新增加5個與活動目錄相關(guān)的工具,與活動目錄相關(guān)的五個工具,22,Active Directory用戶和計算機:該工具用于管理域中的用戶、組、計算機賬號及OU等 Active Directory域和信任關(guān)系:該工具用于管理活動目錄域之間的信任關(guān)系 Active Directory站點和服務(wù):該工具用于管理與活動目錄復制相關(guān)的站點信息 域安全策略:該工具用于創(chuàng)建和管理域的安全策略 域控制器安全策略:該工具用于創(chuàng)建和管理域控制器的安全策略,23,查看用戶和

10、組賬號的位置 活動目錄安裝成功后,計算機上的用戶和組賬號的位置會發(fā)生變化。在DC上打開【計算機管理】控制臺,發(fā)現(xiàn)已經(jīng)看不到【本地用戶和組】工具。,計算機管理控制臺工具,24,在DC上使用【Active Directory用戶和計算機】工具來管理用戶和組賬號。在DC上依次打開【開始】【程序】【管理工具】【Active Directory用戶和計算機】,在控制臺下打開Users容器,【Active Directory用戶和計算機】工具管理用戶和組,25,查看SYSVOL(系統(tǒng)卷)文件夾 對DC來說SYSVOL文件夾非常重要,如果SYSVOL文件夾創(chuàng)建的不正確,那么存儲在此文件夾下的組策略、腳本等就

11、不能正確的分發(fā)給域中的計算機,也無法在DC之間進行復制。 SYSVOL文件夾位于%systemroot%下,其中包含以下幾個文件夾,如后圖所示。,Domain(域) Staging(分級) Staging areas(分級區(qū)域) Sysvol(系統(tǒng)卷),26,驗證SYSVOL文件夾,27,(5)查看活動目錄數(shù)據(jù)庫和日志文件 缺省情況下活動目錄數(shù)據(jù)庫和日志文件存放在%systemroot%NTDS文件夾下,其中ntds.dit是活動目錄數(shù)據(jù)庫文件,還有檢查點文件edb.chk、日志文件edb.log和保留日志文件res*.log等。,驗證活動目錄數(shù)據(jù)庫和日志文件,28,活動目錄域與DNS服務(wù)是緊

12、密結(jié)合的,如果要使一個活動目錄域正常工作,必須要有相應(yīng)的DNS區(qū)域來支持它,而且還要有服務(wù)資源記錄(SRV記錄)。如下圖所示為在DNS服務(wù)器上打開DNS控制臺查看活動目錄域的區(qū)域情況。,在DNS服務(wù)器中查看活動目錄域的SRV記錄,查看DNS數(shù)據(jù)庫,29,查看事件日志 安裝活動目錄后打開事件查看器可以看到增加了一個日志“目錄服務(wù)”,在此會記錄有關(guān)活動目錄的信息。,查看事件查看器,30,五 將計算機加入到域,1、哪些計算機能成為Windows Server 2003域的成員 下面的操作系統(tǒng)主機可以成為域的成員:,Windows NT Windows 2000 Windows XP Windows

13、Server 2003,31,系統(tǒng)屬性對話框中“計算機名”標簽,把計算機加入到域 為了更好地管理網(wǎng)絡(luò)中的資源,充分利用活動目錄的特點,應(yīng)該把網(wǎng)絡(luò)中的客戶端計算機加入到域,這樣管理員就可以對域中的計算機進行集中的配置和管理,步驟 1、配置客戶機的首選DNS服務(wù)器 2、將計算機加入域,32,指定該計算機要加入的域的名稱,輸入有加入該域權(quán)限的用戶名和密碼,加入域成功對話框,33,OU的創(chuàng)建,可以根據(jù)各種因素創(chuàng)建OU,34,域模式,域模式是用來為了兼容老版本操作系統(tǒng)的域控制器,而限制某些新的功能。,35,Active Directory對象類別如下,1、 用戶(User):作為安全主體,被授予安全權(quán)限

14、,可登錄到域中。 2、計算機(Computer):表示網(wǎng)絡(luò)中的計算機實體,加入到域的Windows NT/2000/XP/2003計算機都可創(chuàng)建相應(yīng)的計算機賬戶。 3、聯(lián)系人(Contact):一種個人信息記錄。聯(lián)系人沒有任何安全權(quán)限,不能登錄網(wǎng)絡(luò),主要用于通過電子郵件聯(lián)系的外部用戶。 4、組(Group):某些用戶、聯(lián)系人、計算機的分組,用于簡化大量對象的管理。 5、 組織單位(Organization Unit):將域細分的Active Directory容器。 6、 打印機(Printer):在Active Directory中發(fā)布的打印機。 7、 共享文件夾(Shared Folder

15、):在Active Directory中發(fā)布的共享文件夾。 8、 InterOrgPersion:標準的用戶對象類,對于Windows Server 2003域功能級別來說,可以作為安全主體。,36,管理容器,1、 Builtin:用來存放默認內(nèi)置組(如Account Operators或Administrators)對象。 2、Computers:包含Windows 2000、Windows XP和Windows Server 2003計算機對象。 3、 Domain Controllers:運行Windows 2000或Windows Server 2003的域控制器的計算機對象。 4、

16、ForeignSecurityPrincipals:存儲有信任關(guān)系的域的對象。 5、 Users:包含域內(nèi)用戶賬戶和組。,37,域用戶和計算機帳戶,活動目錄用戶帳戶 用戶帳戶是用來記錄用戶的用戶名和密碼、隸屬的組、可以訪問的網(wǎng)絡(luò)資源,以及用戶的個人文件和設(shè)置。 每個用戶都應(yīng)在域控制器中有一個用戶帳戶,才能訪問服務(wù)器,使用網(wǎng)絡(luò)上的資源,38,域用戶賬戶,39,域用戶賬戶的創(chuàng)建,輸入用戶的基本信息和登錄名稱 用戶密碼,40,用戶屬性對話框,41,用戶登錄名 用戶登錄名(Windows 2000以前版本)在域中必須惟一 最長20字符 登錄時間 限制用戶登錄到域的時間 可以登錄的計算機 定義了賬戶可以

17、登錄的計算機列表,配置域用戶賬戶的屬性,42,域用戶賬戶的創(chuàng)建,用戶的存放地點,43,域用戶賬戶的創(chuàng)建,44,管理域用戶和計算機帳戶 就活動目錄的管理而言,【Active Directory用戶和計算機】是使用最為頻繁的工具。該工具可以用來建立、編輯或刪除網(wǎng)絡(luò)中的用戶、計算機、組、組織單位、域、域控制器,以及發(fā)布網(wǎng)絡(luò)共享資源,45,域用戶賬戶的刪除和移動,刪除用戶 移動用戶 直接鼠標拖動,46,配置域用戶賬戶的屬性,登錄名 登錄時間 可以登錄的計算機 配置文件/主文件夾,47,組的實現(xiàn)與管理,48,組的分類,49,組的作用域與成員資格,50,域本地組,51,全局組,52,通用組,53,管理域中

18、的組,創(chuàng)建組 設(shè)置組信息 添加組成員 設(shè)置組管理者,54,AGDLP域用戶A加入到域全局安全組G,然后在“本地用戶和計算機”中創(chuàng)建一個本地組DL,把G加入到DL中,最后為DL分配權(quán)限。,55,組的成員和隸屬于屬性,團隊或組,全局組,域本地組,Tom, Jo, and Kim,Sam, Scott, and Amy,Denver Admins,Denver Admins,Vancouver Admins,Denver OU Admins,56,用戶配置文件概念 用戶的桌面工作環(huán)境,包括桌面、開始菜單、我的文檔、以及其他指定的設(shè)置 一般存儲在操作系統(tǒng)所在分區(qū)上的Documents and Sett

19、ingsusername文件夾里 用戶配置文件類型 本地用戶配置文件 漫游用戶配置文件 強制用戶配置文件 臨時用戶配置文件,57,實現(xiàn)漫游用戶配置文件 1)為漫游用戶創(chuàng)建一個測試配置文件 2)準備一個存放漫游用戶配置文件的網(wǎng)絡(luò)存儲路徑 3)將測試配置文件復制到網(wǎng)絡(luò)存儲路徑 4)設(shè)置域用戶屬性的【配置文件】選項卡,58,用戶主文件夾可以用于存放用戶的私有文件 配置用戶主文件夾后 當域賬戶在客戶機登錄后,就會發(fā)現(xiàn)在本機多了一個分區(qū)(該分區(qū)不在本機) 增強了文件存儲的安全可靠性,59,總結(jié),在Windows Server 2003 網(wǎng)絡(luò)環(huán)境中,域是最重要的核心管理單元,是活動目錄的主干。 活動目錄由域、子域、域樹、域森林、組織單位構(gòu)成。 每個域最少由一臺域控制器組成,可以建立若干個而外的域控制器用力實現(xiàn)容錯和提高性能。,60,總結(jié),安裝活動目錄需要使用Windows 2000 Server和Window

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論