80 元
下载资源

域的应用基本图示

上传人:dja****22 文档编号:243351614 上传时间:2024-09-21 格式:PPT 页数:219 大小:1.40MB
返回 下载 相关 举报
域的应用基本图示_第1页
第1页 / 共219页
域的应用基本图示_第2页
第2页 / 共219页
域的应用基本图示_第3页
第3页 / 共219页
点击查看更多>>
资源描述
,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,2154,A:Windows2000,目录服务基础结构设计与管理,高培国际认证中心,,版权所有,不得用于其它培训目的。,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,下次课开始于,2024/9/21,MICROSOFT,EDUCATION,AND,CERTIFICATION,目录服务基础结构设计与管理,Microsoft Windows 2000,课程号2154,A,,考试号70-217,(,一),2024/9/21,MCSE:Windows2000,张东辉,高培信息办,TEL:5988204,Email:zhangdh,个人信息,Systems Engineer,Microsoft,Certified,Professional,2024/9/21,Windows 2000,中的,活动目录介绍,1,2024/9/21,1-1概述,活动目录简介,轻量级目录访问协议,LDAP,活动目录逻辑结构,组织单元,OU、,域、树、林,2000集中式和非集中式管理,活动目录物理结构,DC,如何用于,AD,中的复制,多主控和单主控的操作角色,管理2000网络的方法,AD,和组策略、委派控制,2024/9/21,1-2多媒体:,Windows 2000,中活动目录的概念,2024/9/21,对象,object,:,属性,setting,的集合,用户、组、计算机、打印机、共享夹、联系人,OU、,域、树、林,站点,SITE,活动目录,AD,的目录服务提供,用于组织、管理和控制网络资源的结构和功能,2024/9/21,活动目录存储整个网络上资源的信息,便于用户查找、管理和使用这些资源,小型网络:,UNC,路径,大型网络:难以确定资源位置、名称,所以需要目录服务快速定位资源,对用户透明、高效,不需要知道资源的物理位置,如何连接,1-3活动目录介绍,2024/9/21,什么是活动目录?,目录服务的功能,组织,管理,控制,资源,集中管理,单点管理,用户只需登录一次,就可访问整个活动目录的资源,目录服务:存储网络资源的信息,使信息可有效利用,实质为后台服务,表现为管理、用户工具,目录服务,2024/9/21,活动目录对象,对象:网络资源,属性:关于对象的信息,属性,名,姓,登录名,属性,打印机名,打印机位置,活动目录,Printers,Printer1,Printer2,Suzan Fine,Users,Don Hall,属性值,对象,打印机,用户,Printer3,2024/9/21,目录服务使用用户可以通过查找对象的一个或多个具体属性来确定对象的位置,2024/9/21,活动目录架构(,Schema),对象类,例如:,打印机,计算机,用户,用户属性,可能包括:,accountExpires,department,distinguishedName,middleName,属性列表,accountExpires,department,distinguishedName,directReports,dNSHostName,operatingSystem,repsFrom,repsTo,middleName,属性,例如:,活动目录架构,动态获得,动态更新,通过,DACLs,保护对象和属性,2024/9/21,查看并编辑架构(,Schema),安装,MMC,插件,找到,I386schmmgmt.dl_(58K),复制到,system32,下,自动解压为,schmmgmt.dll(158K),Regsvr32 schmmgmt.dll,架构的改变可通过,ADSI,函数集进行目录服务编程实现,开发,ADSI(,活动目录服务接口)函数集,可制作个性化的管理工具,但应先在一个林中进行测试,2024/9/21,轻型目录访问协议(,LDAP),为活动目录中的对象标识,LDAP,命名路径,标识名,DN(,完整路径),如:,CN=Suzan Fine,OU=Sales,DC=contoso,DC=msft,相对标识名,RDN,如:,CN=Suzan Fine,DC,域组件,OU,组织单元,CN,普通名字,2024/9/21,2024/9/21,1-4活动目录的逻辑结构,(,logic Structure),具有伸缩性,包括下列组件:,域,Domain:,核心单元,组织单元,OU,域目录树与目录林,TreeForest,全局目录,GC,2024/9/21,活动目录使你能够通过名字(属性)找到资源,而不是物理位置,这样使网络的物理结构对用户透明,域,Domains,组织单元,OU,树,Tree,和林,Forest,Domain,域,域,目录树,域,域,域,目录树,目录林,域,OU,OU,OU,逻辑结构:,组织网络资源,2024/9/21,域,安全边界,域管理员只能在域内进行管理,除非明确得到其它域的授权,复制单元,域控制器,DC,在域内参加复制,并且包含它的域目录信息的完整副本,Windows 2000,域,User1,User2,User1,User2,复制,2024/9/21,安全边界,复制,管理,安全策略,组策略,2024/9/21,组织单元,OU,(Organizational Units),组织结构,Sales,Vancouver,Repair,Users,Sales,Computers,网络管理模式,利用,OU,可以把对象组织到一个逻辑结构中,使其最好地适应你的组织需求,可以把管理控制权委派给,OU,内的对象,通过指定权限到一个或几个用户和组,2024/9/21,组织结构,通过组织,OU,,可建立一个层次结构,ou,ou,ou,ou,ou,ou,深层次/浅层次的结构,ou,ou,ou,ou,2024/9/21,目录树和目录林,japan.,china.,目录树,目录林,japan,.,china,.,Tree,(,root),域,Windows NT 4.0,单向不可传递信任关系,双向可传递信任关系,2024/9/21,什么是目录树,父域,子域,连续的名字空间,,(域后缀延续 ),sales.contoso.msft,父域,子域,新域,目录树根 域,contoso,.,msft,sales.,contoso.msft,2024/9/21,什么是目录林?,nwtraders.msft,marketing.,nwtraders.msft,sales.,nwtraders.msft,contoso.msft,sales.,contoso.msft,在目录林中的所有域共用一个公共配置、架构,Schema、,全局目录,GC,一个目录林是一个或多个目录树,在目录林中的目录树不共同一个连续的名字空间,目录林,目录树,目录树,2024/9/21,什么是目录林根域?,目录林根域是在林中第,一个建立的域,contoso.msft,目录林,目录林根域,nwtraders.msft,目录树,目录树根域,全局目录,配置和架构,企业,Enterprise Admins,Schema Admins,marketing.nwtraders.msft,sales.contoso.msft,目录树,2024/9/21,多层域的特征,降低复制流量,维护域唯一的安全策略单元,保留,Windows NT,早期版本的域结构,支持大量用户和多域名,2024/9/21,全局目录服务器,(,GC,服务器),全局目录,GC,服务器,对象属性,Domain,Domain,Domain,Domain,Domain,Domain,查询,利用通用组成员身,份的信息登录网络,2024/9/21,GC,和登录过程,GC,提供,为用户帐号提供通用组权利信息,当用户登录用一个用户主要名称,UPN(,如:,),时,提供域信息,User,登录,域,域,域,域,域,GC,服务器,2024/9/21,建立一个,GC,服务器,AD Sites and Services,C,onsole,W,indow,H,elp,A,ctive,V,iew,Tree,Name,Type,Description,Active Directory Sites and Services,Sites,Default-First-Site-Name,Servers,Inter-Site Transports,Subnets,ATLANTA,LONDON,New Active Directory Connection,New,All Tasks,New Window from Here,Delete,Refresh,属性,Help,NTDS Settings Properties,General,Object,Security,NTDS Settings,D,escription:,Q,uery Policy:,全局编录,Domain Controller,Default Query Policy,启用或者禁用,全局编录,GC,2024/9/21,1-5活动目录的物理结构,(,Physical Structure),与逻辑结构相互独立,之间没有必然的联系,一般用来配置管理网络交流,DC,和站点组成活动目录的物理结构,定义复制和登录发生的时间和地点,域控制器,DC,存储,AD,的副本,管理信息的变化和复制,一至多个,建议最少两个容错,2024/9/21,复制,DC-B,DC-C,DC-A,多主控制复制,2024/9/21,活动目录复制,多主控复制,同步以前,,DC,上会在短时间内有不同的信息,解决方法:以后第11章再讲,单主控操作,指定一个或几个单主控操作规则,一个域控制器执行操作,不允许同时进行,2024/9/21,站点(,Site):,连接性能较好(高带宽)的子网的集合,通常是一个,LAN,活动目录对象,在,AD,中,反映网络的物理拓扑结构,关于复制,站点内复制:基于变化通知,不压缩,站点间复制:基于时间调度,压缩,一致性差一些,所用协议:,RPC、SMTP,2024/9/21,站点,IP,子网,IP,子网,桥头堡,服务器,站点内复制,站点,IP,子网,IP,子网,桥头堡,服务器,站点内复制,慢速网络链路上,的复制,优化复制交流,用户可靠、高带宽登录,一个站点可有几个域,一个域也可有几个站点,一般为后者,2024/9/21,1-6管理,Windows 2000,网络的方法,利用活动目录和组策略,集中管理/委派管理控制权,利用活动目录实行集中式管理,一个管理员就可以集中管理网络资源,管理员很容易确定对象的信息,把相似的管理和安全要求对象组织到,OU,中,利用组策略管理站点、域、,OU,2024/9/21,管理用户环境,利用组策略对用户可用范围加以限制,集中管理应用程序的安装、修复、更新、转移,配置用户数据跟随用户,无论在线或离线,委派管理控制权,如三个,OU,,三个管理员,指定具体的权限,或定制控制台,也可同样任务的权限,如在所有,OU,中重设密码,2024/9/21,利用,DNS(,域名系统),来支持活动目录,2,2024/9/21,2-1概述,DNS,和,AD,集成2000关键特性,使用相同的分层命名结构,域、计算机成为,AD,的对象/,DNS,资源记录,客户机可通过查询,DNS,找到,DC(,或其它对象),使,DNS,主区域结构存储于,AD,,并随,AD,复制,指,DNS,的,AD,集成区域,2024/9/21,2-2活动目录中的,DNS,角色介绍,名字解析(正向,反向),DNS,将计算机名称转化为,IP,地址,计算机使用,DNS,在网络中互相查找,Windows 2000,域的命名协定,2000,AD,使用,DNS,的域名命名标准,DNS,域和,AD,域共享一公共的分层命名结构,如,查找活动目录的物理成分,DNS,通过提供的服务来验证域服务器,计算机使用,DNS,来查找,DC,和,GC,2024/9/21,DNS,域和,AD,域使用相同的,分层命名结构和域名,但,实际上域名空间是不同的,好处:,使2000网络计算机能够利用,DNS,查找提供,AD,相关服务的,DC,和计算机,2-3,DNS,和活动目录,2024/9/21,DNS,和活动目录的域名空间,sales. ,training. ,training,microsoft,DNS,域名空间,AD,域名空间,=,DNS,节点,(,域/计算机,),=,AD,域,sales,computer1,(DNS,根域),“.”,com.,Internet,2024/9/21,要点:,使域和计算机成为,DNS,的节点,AD,的对象,并,相对应,活动目录和,Internet,如,DNS,的.,com,服务器中包含,(zone),使别的域利用,Internet,来查找,(domain),反之,你也可通过,(domain),.com,来查找,Internet,上的域名服务器的资源记录,2024/9/21,DNS,主机名称和,Windows 2000,计算机名称,DNS,的主机记录和,AD,计算机对象对应同一物理计算机,DNS,允许计算机查找,AD,中的,DC,活动目录,Builtin,Computers,Computer1,Computer2,DNS,“.”,com.,sales,training,computer1,microsoft,FQDN =,Windows 2000,计算机名,=,Computer1,2024/9/21,DNS,主机名与,AD,中计算机帐号是相同的,计算机名可认为是特殊的域名,FQDN:,完全有效域名,计算机的全称域名,计算机的全名,2024/9/21,2-4活动目录中,DNS,名字解析,服务资源记录(,SRV,记录),2000,计算机通过,DNS,的,SRV,记录来查找,DC,本域、特定域、树状结构中的域,还可查找全局目录,GC、Kerberos KDC,服务器的域控制器,将服务和,DNS,计算机名称一一对应,服务记录和资源记录,2024/9/21,SRV,记录格式,_,ldap,.,_tcp.contoso.msft 600 IN SRV 0 100 389 london.contoso.msft.,字段,描述,Service,指定服务名,,如,LDAP,或,kerberos,Protocol,指出传输协议的形式,,如,TCP,或,UDP,Name,指定资源记录中提到的域名,Ttl,指定标准,DNS,资源记录的连线时间值,(秒),Class,指定标准,DNS,资源记录的类值,,在,Internet,里,总为,IN,Priority,指定主机的优先权,,客户尝试与最低优先权的主机相连,Weight,指定负担调节机理,,随机选择较高负担的服务记录,Port,显示该主机的服务端口,Target,指定支持,提供该服务,的主机的全称域名(,FQDN),2024/9/21,由域控制器配置的服务记录,运行,Windows 2000,的域控制器额外注册,SRV,记录,_msdcs,子域,格式如下,:,_,Service.,_,Protocol.DcType,._,msdcs,.,DNS,域名,SRV,记录,查找标准,ldap._tcp.,DNS,域名,.,允许计算机在该域中查找,LDAP,服务器,,所有,DC,配置这个记录,_,ldap._tcp.,站点名,._,sites.dc.,_msdcs.,DNS,域名,.,允许计算机查找该域控制器,和该站点,所有,DC,配置这个记录,_,gc._tcp.,DnsForestName,.,允许计算机,DNS,域名查找该林全局目录服务器,,仅,GC,且为2000,DC,配置这个记录,_,gc._tcp.,站点名,._,sites.,Dns,林名,.,允许计算机查找该林该站点的的全局目录服务器,,仅,GC,且为2000,DC,配置这个记录,_,kerberos._tcp.,DNS,域名,.,允许计算机在该域中查找,KDC,服务器,,所有,K5DC,配置这个记录,_,kerberos._tcp.,站点名,.,_,sites.,DNS,域名,.,允许计算机查找该域该站点的,KDC,服务器,,所有,K5DC,配置这个记录,2024/9/21,怎样使用,DNS,来查找域控制器,DNS,服务器,区域数据库,SRV,记录,客户机联系域控制器,6,域控制器响应,7,运行在,DC,上的,LDAP,服务器,8,客户发送请求到域控制器,用户登录,或,AD,搜索,1,发送带有客户信息的,DNS,查询,3,网络登录收集客户机信息,2,返回,IP,地址列表,5,DNS,查询合适的,SRV,记录,4,客户,2024/9/21,2-5活动目录的集成区域,活动目录,域控制器,DC,DNS,服务器,AD,集成区域,区域,数据库,在活动目录中存储主要区域,DNS,区域复制随,AD,复制进行,2024/9/21,好处:,消除了主,DNS,服务器作为单个主控带来的不足之处,能够进行安全可靠的动态更新,对那些没有配置为域控制器的,DNS,服务器执行标准区域传送,2024/9/21,2-6安装和配置,DNS,以支持活动目录,DNS,的执行必须支持,SRV,记录,配置正向和反向区域,活动目录的,DNS,需求,没有,DNS,无法安装活动目录,SRV,服务记录,DNS,动态更新协议,增量区域传送,增量复制,IXFR,,全量复制,AXFR,2000的,DNS,服务器,以上三点全支持,NT4+SP4,2024/9/21,安装和配置,DNS,分配静态,IP,地址,配置,DNS,的主后缀,安装,DNS,服务器服务,创建正向区域,与活动目录域同名,并动态更新,创建反向区域(可选),验证,DNS,服务是有效的,Nslookup type=ns DNS,域名,2024/9/21,在安装,AD,的过程中安装,DNS,在提示时安装,安装,DNS,服务,创建正向区域,配置为,AD,集成区域,使之动态更新,注意:不会创建反向区域,2024/9/21,2-7,实验,A:,安装和配置,DNS,来支持活动目录,Ipconfig /registerdns,将自己的,A,记录、,PTR,记录立即注册到,DNS,服务器,2024/9/21,创建,Windows 2000,域,3,2024/9/21,3-1概述,Windows 2000,的域控制器,DC:,2000S、AS、DS,安装活动目录,Dcpromo.exe,AD,安装进程,检查,AD,默认结构,执行后活动目录的安装任务,2024/9/21,3-2介绍如何创建,Windows 2000,域,域是2000网络中的,核心管理单元,用来限定,信息和资源,的组织管理方式,新目录林中的第一个域为,林根域(林根),利用,AD,安装向导,可以创建域和,DC,新目录林、第一个,DC、,附加,DC,子域、新目录树,2024/9/21,3-3安装活动目录,运行,dcpromo.exe,准备工作、指定信息,可利用自动应答文件来安装,AD,2024/9/21,计算机上运行的是,Windows2000 S、AS、DS,AD,数据库至少需要,200 MB,AD,数据库的事务日志文件,另需5,0 MB,若为,GC,,还需一定的空间,系统卷(,SYSVOL),文件夹,必须,NTFS,安装,TCP/IP,并且配置了,DNS,如果是在现存的2000网络上创建域,,那么还需要创建域所需的管理特权,活动目录安装准备,TCP/IP,NTFS,2024/9/21,创建第一个域,(多媒体演示),启动,AD,安装向导:,dcpromo.exe,选择域控制器和域类型,指定所需信息,域、,DNS,和,NetBIOS,名,AD,数据库、日志文件和共用系统卷,SYSVOL,的位置,选择权限:以前兼容/2000,指定“,目录服务恢复模式,”管理员密码,AD,不启动,由,NT,的一个小,SAM,库来验证,AD,安装向导将,:,安装活动目录,AD,把计算机转换为域控制器,DC,2024/9/21,添加附加域控制器,为了容错,一个域中至少两个,DC,在域中,一个以上的,DC,也可用来分布负载,登录请求、,GC,查询、其它服务,运行,Dcpromo.exe,加一个,DC,到已存在的域,AD,安装向导将,:,转换计算机为域控制器,DC,复制活动目录,AD,从一个已存在的,DC,至少有一个,DC,联机,2024/9/21,2024/9/21,2024/9/21,2024/9/21,使用无人值守安装脚本来安装活动目录,DCInstall,RebootOnSuccess=Yes,DatabasePath=C:Winntntds,LogPath=C:Winntntds,SYSVOLPath=C:WinntSysvol,SiteName=Default-First-Site-Name,ReplicaOrNewDomain=Domain,TreeOrChild=Tree,CreateOrJoin=Create,2024/9/21,DomainNetbiosName=gpmcse,NewDomainDNSName=,DNSOnNetwork=No,No,表示不利用已有的,为新域创建新的,DNS,AutoConfigDNS=Yes,运行:,dcpromo.exe /answer:,应答文件,2024/9/21,3-4 实验,A:,创建,Windows 2000,域,实际操作:,dns,指向自己,2024/9/21,3-5活动目录安装进程,配置参数,用户界面验证,管理员、2000,S/AS/DS,等,命名验证,AD,站点和服务,sitesdefault first site nameservers,s58,不可重名,否则,s58,将被删除,TCP/IP,配置验证,必须有效,IP(,静态/动态),2024/9/21,DNS:,必须动态更新的,DNS,否则将安装一个,DNS,和,NetBIOS,域名字的生效,必须唯一,NetBIOS,名字,有效15位,用户身份验证,新林,不需要,加入,需林管理员,文件位置的验证,SYSVOL,需,NTFS,有足够的空间,2024/9/21,站点配置,确定新,DC,加入哪个站点,若有子网,加入到该子网关联的站点,若无子网,则加入,default first site name,并在合适的位置,创建服务器对象,目录服务配置,对各种类型的安装,都相同,的活动的目录操作,创建要求的注册选项,设置,AD,的执行计数器,配置服务器,使它向“第一资格授权”自动申请,X.509,域控制器资格,对基于,SMTP,的复制是必须的,2024/9/21,启动,Kerero V5,鉴定服务,安装,AD,管理工具的快捷方式,目录分区配置,架构目录分区,林中所有,DC,配置目录分区,林中所有,DC,域目录分区,域中所有,DC,2024/9/21,服务和安全配置,设置自动启动服务,RPC Locator,服务,Net Logon,服务,KDC,服务,Intersite Messaging,Distributed Link Tracking Server,Windows Time,设置安全,目录服务和,SYSVOL,在,AD,的文件和对象上配置默认,DACLs,使用安全模板配置默认的域组策略,Winntinfdcfirst.inf,defltdc.inf,dcup.inf,2024/9/21,附加活动目录安装操作,设置计算机,DNS,根域名字,作为新域的名字,确定服务器是不是域的成员,在新域的“,DC”,这个,OU,中,创建计算机帐号,用户提供的密码,作为管理员的密码,在配置容器中创建交互参考对象,LDAP,利用该对象来确定其它域中资源的位置,加入域安全策略,域控制器安全策略的快捷方式,创建,SYSVOL,文件夹,组策略信息、网络登录文件,2024/9/21,在创建目录林根域时,创建架构和配置容器,指定,PDC,仿真、,RID、,域命名、架构、基础结构主控,2024/9/21,3-6 检查活动目录默认结构,组策略可用于,OU,,但不能用于容器,查看高级功能,2024/9/21,检查活动目录默认结构,Active Directory Users and Computers,C,onsole,W,indow,H,elp,A,ctive,V,iew,Active Directory Users and Co.,contoso.msft 8 objects,Name,Builtin,Computers,Domain Controllers,ForeignSecurityPrincipals,LostAndFound,System,Users,Builtin,Computers,Domain Controllers,ForeignSecurityPrincipals,LostAndFound,System,Users,Infrastructure,contoso.msft,Tree,默认的,Windows 2000,安全组,默认的计算机帐号存储位置,默认的,DC,的计算机帐号存储位置,外部安全原则:保存外部有信任关系的域的,SID,保存独立的对象,保存一些内置的系统设置,用户帐号和组帐号的默认位置,2024/9/21,验证,SRV,记录,,DNS,验证系统卷,SYSVOL,,WINNTSYSVOL,验证目录数据库和日志文件,WINNTNTDS,通过检查事件日志验证安装结果,SYSVOL,DNS,Database and Log Files,验证活动目录安装,3-7执行后活动目录安装任务,2024/9/21,验证活动目录安装,验证,SRV,资源记录,DNS,管理器,Nslookup,Ls -t srv,域名,验证,SYSVOL,Domain、staging、staging areas、sysvol,共享:,netlogonsysvoldomainscripts,sysvolsysvol,验证目录数据库和日志文件,Ntds.dit,edb.*,res*.log,2024/9/21,实现,AD,集成区域,DNS,可利用,AD,存储和复制区域数据库,DNS,服务器,contoso.msft,区域,数据库,AD,集成区域,在,DNS,中使用,AD,集成区域,实现正向区域,实现反向区域,2024/9/21,确保,AD,集成区域:安全更新,只有,AD,集成区域才可配置:仅安全更新,在,DNS,的,AD,集成区域使用:安全更新,这样你可以控制区域和资源记录的访问,DNS,服务器,contoso.msft,AD,集成区域,区域,数据库,安全更新,客户,2024/9/21,转换域模式,本机模式,域控制器,DC (Windows 2000 only),混合模式,域控制器,DC,(Windows 2000),和,域控制器,DC (Windows NT 4.0),AD,安装后,运行在混合模式下,提供对已存在的,NT,域的支持,但组嵌套和安全通用组必需域在本机模式下,2024/9/21,混合模式,本机模式,单向不可逆,操作,管理工具,AD,用户和计算机/,AD,域和信任域属性常规改变模式,2024/9/21,设计组织单元,OU,结构,Users,Sales,Computers,如果你想要设计,OU,结构,增强管理控制,对网络资源委派管理控制,组织相似的网络资源到,OU,简单对象管理和控制网络资源的访问,使资源管理更有效,控制组策略的应用,使用“,AD,用户和计算机”在域/,OU,中建立一个,OU,权限要求,父:读,列表,创建子,列组件,2024/9/21,3-8,实验,B:,执行后活动目录安装任务,2024/9/21,3-9,解决,AD,安装过程中出现的问题,在创建或添加,DC,的时候,访问被拒绝,,(新:本管,加:域管),Err,or,DNS,或,NetBIOS,域名称不统一,Err,or,不能与域取得联系,Err,or,磁盘空间不足,Err,or,2024/9/21,3-10,删除活动目录,域控制器,DC (Windows 2000),提供管理证书,Enterprise Admins,组成员,Domain Admins,组成员,删除活动目录,AD,删除活动目录通过:,Remove Active Directory by:,AD,安装向导,提供适当的管理证书,AD,安装向导,执行特定的删除操作依赖于,DC,的类型,2024/9/21,设置和管理用户和组,4,2024/9/21,4-1概述,活动目录一种目录服务,保存和维护,网络资源所需的数据,用户帐号:登录域/本地机,组帐号:用户帐号的集合,组类型:安全组、分发组,组作用范围:全局组、域本地组、通用组,2024/9/21,4-2介绍用户帐号和组,为,每个人,创建一个,唯一,登录的用户帐号,利用,批处理,成批创建用户帐号,利用,组,来方便地管理用户对共享资源的访问,将,组加入组,来减少管理工作量,用户,共享资源,Permissions,组,2024/9/21,4-3用户登录名,每个用户帐号,用户主要名,UPN,前缀后缀,2000以前版本的用户登录名,2024/9/21,User Principal Name,用户主要名称,UPN,后缀默认为根域/当前域,林管理员,可改变,只能在2000域中使用,不需要是有效的,DNS,域,利于域间移动;同,EMAIL,地址格式,用户登录名(2000以前版本),登录时,用户需选择域,介绍用户登录名,后缀,前缀,suzanfcontoso.msft,+,用户名,域,contoso/suzanf,2024/9/21,用户登录名唯一性原则,全名(显示名称)在容器内必须唯一,zhangdonghui,用户主名在林中必须唯一,zhangdh,用户登录名在域中必须唯一,zhangdh,2024/9/21,创建用户主名,UPN,后缀,(林管理员),AD,域和信任关系,A,ction,V,iew,Tree,Name,Type,Active Directory,域和信任关系,contoso.msft,nwtraders.msft,domain.DNS,domain.DNS,contoso.msft,nwtraders.msft,Opens property sheet for the current selection.,Connect to Domain Controller,Operations Master,V,iew,Re,f,resh,Export,L,ist,H,elp,属性,Active Directory Domains and Trusts Properties,UPN,后缀,The names of the current domain and the root domain are the default user principal name (UPN) suffixes. Adding alternative domain names provides additional logon security and simplifies user logon names.,If you want alternative UPN suffixes to appear during user creation, add them to the following list.,其它,UPN,后缀:,contoso.msft,A,d,d,R,emove,OK,Cancel,A,pply,添加新的后缀,2024/9/21,创建用户主名后缀的目的:,附加的登录安全性,必须在用户帐号中选用备用的,UPN,后缀才行,登录到林中另一个域,简化管理,G,常改为根域,如,2024/9/21,4-4创建多用户帐号,成批导入/导出程序,使用,CSV,DE,创建多用户帐号,逗号分隔符,目录交换,使用,LD,IF,DE,创建多用户帐号,轻型目录访问协议,互换格式,目录交换,2024/9/21,成批导入程序,用于导入的文本文件,必须包含用户帐号的,OU,,对象的类型以及用户登录名的路径,用户主名,启用/禁用,不指定:禁用,可包含个人信息,不可包含密码,2024/9/21,使用,CSVDE,创建多用户帐号,只,能用来,添加,对象,,不能用于删除/修改,可使用,Excel、Word,另存为.,csv,导入/导出,为导入准备一个,CSVDE,Dn,objectclass,samaccountname,userprincipalname,displayname,useraccountcontrol,“cn=suzan fine,ou=human resources,dc=asia,dc=contose,dc=msft”,user,suzanf,suzanfcontoso.msft,suzan fine,512,512,启用,514禁用,见光盘上文件,使用,CSVDE,命令,Csvde i-f,文件名,2024/9/21,使用,LDIFDE,创建多用户帐号,可用于,添加/删除/修改,对象,为导入准备一,LDIF,文件,Dn:cn=suzan fine,ou=human resources,dc=asia,dc=contose,dc=msft,Objectclass:user,Samaccountname:suzanf,Userprincipalname: suzanfcontoso.msft,Displayname:suzan fine,useraccountcontrol:512,使用,LDIFDE,命令,ldifde i-f,文件名,2024/9/21,用户帐号的日常管理及维护,执行公共管理任务,重设密码、解除锁定、重命名、禁用/启用、删除、域内不同,OU,间移动,查询用户帐号,4-5管理用户帐号,2024/9/21,执行公共管理任务,Active Directory Users and Computers,Active Directory Users and Computers,C,onsole,W,indow,H,elp,A,ction,V,iew,Tree,Accounting 4 objects,Name,Type,contoso.msft,Accounting,Builtin,Computers,Domain Controllers,Users,Anne Paper,User,Creates a new user, copying information from the selected user.,Help,Copy,Add members to a group,禁用帐户,重设密码,移动,Open home page,Send mail,All Tasks,删除,重命名,Refresh,属性,A,c,count is,locked out,帐号被,锁定,2024/9/21,同理,可查询其它对象,如:计算机、打印机、共享夹等,操作,AD,用户和计算机域查找,网上邻居目录域查找,属性少,只三个,常规、地址、公司,查询用户帐号,2024/9/21,查找用户帐号,Find Users, Contacts, and Groups,F,ile,E,dit,V,iew,H,elp,Find:,Entire Directory,Users,Contacts,and,Groups,In:,F,i,nd Now,Sto,p,C,lear All,B,rowse.,Add,R,emove,Name,Description,Type,Joe Pak,Don Hall,Anne Paper,User,User,User,Entire Directory,contoso,Accounting,Fie,l,d,Users,Contacts,and,Groups,Advanced,31,item(s) found,选择搜索的属性,指定属性的值,设置条件,在结果框中管理用户帐号,搜索整个目录/域/,OU,2024/9/21,4-6,实验,A:,设置和管理用户帐号,2024/9/21,两种组,类型,安全组(有,SID),用于与安全性有关的功能,如资源权限,也可用于向多用户发送,e-mail,信息,(此时功能与分发组相同),分发组(无,SID),与安全性无关,不能为其授权,仍是必要的,某些应用程序只能够读分发组,如,MS Exchange Server 2000(,针对,AD,设计),注意:应用程序必须支持,AD,,才可使用分发组,驻留在,AD,中,4-7在活动目录中使用组,2024/9/21,介绍活动目录中的组,组可以加入别的组当中,(组嵌套),用户可以是多个组的成员,组,组,组可使指派资源权限简单化,组,组,组,组,组,组,2024/9/21,范围,:域本地、全局、通用,以前我们讨论过用户帐号的使用范围:,本地帐号本地机资源,域帐号域内资源,接下来讨论:,各种组什么范围内的资源,在混合域模式下,同样组之间不能嵌套,组最多5000个成员,2024/9/21,使用全局组,全局组规则,可加入,组成员,作用范围,权限范围,混合模式:,同一个域,的用户帐号,本机模式:,同一个域的用户帐号和,全局组,混合模式,: 域本地组,本机模式,: 任何域的通用组和域本地组,同域全局组,访问,本域和所有信任域,目录林中所有的域,本机模式:,加入,加入,全 局 组,2024/9/21,使用域本地组,混合模式,域本地组规则,可加入,成员,作用范围,权限范围,混合模式:,任何域,的用户和全局组,本机模式:,林中任何域的用户、全局组、,通用组,,同域的,域本地组,混合模式:,不能加入任何组,本机模式,: 同一域的域本地组,只能访问,自己的域,域本地组所在的域,加入,加入,全局组,域,域本地组,域本地组,2024/9/21,使用通用组,(集全局组和域本地组的所有优点),可加入,通用组规则,成员,混合模式:,安全通用组不可使用,本机模式,: 目录林中的任何域的用户、全局组、其它通用组,混合模式:,不可使用,本机模式,: 任何域的本地组和通用组,作用范围,访问目录林中所有域,权限范围,目录林中所有的域,从多层域加入,全局组,通用组,2024/9/21,增:组在,GC,中的表现,GC,中,全局组、本地组的名称,无其成员的内容,通用组,含其成员的内容,通用组的成员变化会引起,GC,变化,进行林内复制,增加流量,解决:少做成员改变,成员尽量为组,2024/9/21,增:,在本机模式下:,组的类型、作用范围可改变,全局,通用(桥梁),域本地组,原则仍是:,AGDLP,AGDLP,原则,DL,可能是其它域的,若直接给每个用户赋权,每次都要麻烦对方域的管理员,删除组,并不会删除其下的用户,但注意:不可恢复(用户帐号也是一样),2024/9/21,4-8在域中使用组的策略,本章在讨论在单域中使用组,第十章在讨论在多域中使用组(通用组),范围:域本地、全局、通用,2024/9/21,使用全局组和域本地组,(本机模式),用户帐号,全局组,全局组,域本地组,权限,A,G,DL,P,G,DLG,加域用户帐号到全局组,(对于多层次部门可选,),加全局组到另一个全局组,加全局组到域本地组,对域本地组指派资源的权限,2024/9/21,4-9,实验,B:,在单域中建立和管理组,2024/9/21,4-10解决域用户帐号和组的问题,不能建立用户帐号和组,,可能违反了唯一性规则,Err,or,不能更新用户帐号的属性,,权限不够,Err,or,用户不能访问资源,,一票否决(考题),Err,or,2024/9/21,在活动目录上发布资源,5,2024/9/21,5-1概述,如何在活动目录上发布资源,打印机、共享夹,网络管理,应保障发布资源具有安全性和选择性,便于用户在网络上寻找信息,2024/9/21,5-2,发布资源介绍,发布资源:,在活动目录中建立对象:,包含所需信息,对所需信息提供参考,有一些资源已经在活动目录中,如:用户帐户,发布的资源应,相对静态,很少改变,使管理员和用户能够定位资源,即使资源的物理位置发生了改变,已被发布,资源,服务器1,资源,活动目录,发布到,活动目录,2024/9/21,5-3设置和管理发布打印机,按照预设:,所有2000上的打印机都自动发布到,AD,上,组策略中可改,组计管打印机,非2000上的打印机,AD,用户和计算机,Pubprn.vbs,脚本,2024/9/21,打印机发布介绍,发布打印机的预设特性:,任何运行在2000的打印服,务器上的,共享,打印机将被,自动,发布到活动目录,如果打印服务器从网络上删除,打印机也将,自动,从活动目录中删除,每个打印服务器,负责,发布在活动目录中的各自打印机,Windows2000,自动在活动目录中更新打印机对象的属性,被发布的,打印机,2024/9/21,管理打印机发布,浏览打印机对象,在,“,AD,用户和计算机,”,查看,用户、组和计算机作为容器,此时可看到相应计算机下的共享打印机,控制打印机发布,在,“,打印机,”,属性, 列在目录中,默认:自动选中,默认域策略,计算机配置,管理模板,打印机,设置,“,自动在,AD,上公布新的打印机,”,2024/9/21,管理孤立打印机,AD,利用孤立切断器删除,孤立打印机对象,如打印服务器关闭时的打印机对象,孤立切断器将不断地从不存在的打印机中删除对象,检查3次,每次间隔8小时,仍未找到,则删除,2024/9/21,发布不是运行2000计算机的打印机,发布不是运行2000计算机下的打印机,1.,安装并共享打印机,2.,在活动目录中发布打印机,用下列方法之一,发布不是运行2000计算机下的打印机,AD,用户和计算机,相应,OU,,新建打印机,,UNC,路径,Pubprn.vbs,脚本文件,Cscript c:winntsystem32pubprn.vbs,参数,已被发布,打印机,安装并共享,活动目录,发布到,活动目录,打印机,2024/9/21,发布所有安装在,contoso.msft,域中,Sales OU,上的打印机,Pubprn.vbs server “LDAP:/OU=Sales,dc=contoso,dc=msft”,发布,contoso.msft,域中,Accounting OU,上的名为,Printer,打印机,Pubprn.vbs serverprinter LDAP:/OU=Accounting,dc=contoso,dc=msft,以上两例上,server,为服务器名,2024/9/21,管理发布打印机,将安装在多个计算机上的相关打印机移到一个,OU,中,移动的打印机,依然由,原打印管理器,管理,在发布的打印机上执行其它的管理任务,Active Directory Users and Computers,C,onsole,W,indow,H,elp,A,ctive,V,iew,Active Directory Users and,DENVER2154 1 objects,Name,Type,Tree,DenverDOM2154.msft,Accounting,Builtin,Computers,Domain Controllers,DENVER2154,Users,Moves the current selection to another,Printer,DENVER2154 Apple Printer,移动,连接,打开,All Tasks,Delete,Rename,Refresh,Help,属性,在计算机上,安装打印机,改变打印队列属性,在域内移动打印机,打开并管理,打印机队列,2024/9/21,新增:实现打印机位置步骤,为组织建立命名约定,如:,gp/mcse,位置名称格式如下:,name,/,name,/,name,/,name,/,.,(,斜杠 / 必须是除号。),如:,china/hlj/dq/gp/building1/floor3/room301,名称可以由除斜杠 / 之外的任意字符组成。,名称的等级数限制为 256。,name,的最大长度是 32 个字符。,整个位置名称的最大长度是 260 个,字符,。,2024/9/21,新增:实现打印机位置步骤,在目录服务中创建子网对象,设置站点和子网的位置属性,启用位置跟踪(组计管打印机),预设打印机位置搜索文本,设置每台打印机的位置,测试设置。,2024/9/21,5-4实现打印机位置,以子网为单位,实现打印机的定位,建立子网对象,AD,站点和服务,设置“位置”属性,详见帮助:“启用打印机位置跟踪”,2000网络上,允许用户定位打印机,并连接到,物理位置较近,的打印设备上,需要的时候,也可连接与他们工作位置不同的打印机上,2024/9/21,什么是打印机位置?,当用户搜索打印机时:,Subnet,Location,Object,Security,L,ocation:,USA/Seattle/Building 1,B,rowse,192.168.30.0/20,Properties,1,1.,AD,寻找与用户计算机所在位置的,IP,子网,相一致的子网对象,PRIV0118
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 图纸专区 > 大学资料


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!