windows域配置和管理教育课件.ppt

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,windows域配置和管理PPT讲座,域,DNS,的作用,域的概念,将计算机加入域,DC,的条件,创建域,域用户帐户,安装,AD,组,安全组,/,通讯组,本地域组,/,全局组,/,通用组,用户配置文件,用户主文件夹,创建域帐户,域帐户属性,OU,OU,的委派功能,OU,概念,域的基本概念,域,将网络中多台计算机逻辑上组织到一起，进行集中管理，这种区别于工作组的逻辑环境叫做域,域是组织与存储资源的核心管理单元,活动目录提供了存储网络上对象信息并使网络用户使用该数据的方法,域的基本概念,活动目录,活动目录（,Active Directory,）是,Windows Server 2003,平台提供的目录服务，在中央数据库中存放信息，使用户在网络上只拥有一个用户账号。,活动目录是一个全面的目录服务管理方案，也是一个企业级的目录服务，具有很好的可伸缩性。活动目录采用了,Internet,的标准协议，它与操作系统紧密地集成在一起。,活动目录可以管理诸如计算机对象、用户账户、打印机之类的网络资源。,域的基本概念,活动目录包括两个方面：目录和与目录相关的服务。目录是存储各种对象的一个物理上的容器,目录服务是使目录中所有信息和资源发挥作用的服务，活动目录是一个分布式的目录服务，信息可以分散在多台不同的计算机上，保证用户能够快速访问,（,1,）信息的安全性大大增强,1,、活动目录集中控制用户授权,2,、提供存储和应用程序作用域的安全策略，提供安全策略的存储和应用范围。,（,2,）引入基于策略的管理，使系统的管理更加明朗,作为目录，它存储着分配给特定环境的策略，称为组策略对象,（,3,）具有很强的可扩展性,管理员可以在计划中增加新的对象类，或者给现有的对象类增加新的属性。,计划包括可以存储在目录中的每一个对象类的定义和对象类的属性。,活动目录作用,（,4,）具有很强的可伸缩性,活动目录可包含在一个或多个域，每个域具有一个或多个域控制器，以便调整目录的规模以满足任何网络的需要,（,5,）智能的信息复制能力,信息复制为目录提供了信息可用性、容错、负载平衡和性能优势，活动目录使用多主机复制，允许在任何域控制器上而不是单个主域控制器上同步更新目录,（,6,）与,DNS,集成紧密,活动目录使用域名系统（,DNS,）来为服务器目录命名,（,7,）与其他目录服务具有互操性,LDAP,是用于在活动目录中查询和检索信息的目录访问协议。因为它是一种工业标准服务协议，所以可使用,LDAP,开发程序，与同时支持,LDAP,的其他目录服务共享活动目录信息。,（,8,）具有灵活的查询,任何用户可使用,【,开始,】,菜单、,【,网上邻居,】,或,【,活动目录用户和计算机,】,上的,【,搜索,】,命令，通过对象属性快速查找网络上的对象。,AD,活动目录作用,:,通过将企业网络中的各种资源，例如电脑，用户，共享的打印机，服务器等等组织起来形成活动目录域，在这个域中把这些信息进行分类形成目录树。这样，用户通过一定的形式，就可以很方便的访问活动目录域中的信息,.,这种便利的访问机制，也需要安全的保障机制！,ad,活动目录域正是基于这种信息共享基础上的安全管理规范。,安装了活动目录的计算机称为“域控制器”，只要加入并接受域控制器的管理就可以在一次登录之后全网使用，方便地访问活动目录提供的网络资源。对于管理员，则可以通过对活动目录的集中管理就能够管理全网的资源。,域,域控制器,域是基本管理单位,域中可包含大量对象,计算机,用户,打印机,共享文件夹,域是活动目录的组成部分,OU1,Domain,Computers,Users,OU2,Users,Printers,Computer1,User1,Printer1,User2,Windows Server 2003 域概述,OU2,OU1,User1,Computer1,Printer1,User2,域,域,域,Domain,Domain,Domain,OU,OU,OU,域树,域,森林,OU-,组织单位,对象,域及目录服务概述,活动目录是一个数据库,活动目录是一个目录服务,可以定制活动目录,简化的管理,可扩展性,便捷的网络资源访问,域、域树、域森林,根域下面可以建立多层子域,域和子域构建成域树,多棵域树构建成森林,域之间自动建立双向信任关系,A,根,T,B,树,双向信任关系,X,双向信任关系,T,B,树,OU-组织单位,OU是活动目录中的一种对象,OU中可以建立子对象,利用OU可以模拟管理模型,OU,OU,OU,对象,域控制器,域控制器是存储活动目录数据库的计算机,一个域最少一台域控制器,多台域控制器需要同步数据库,域控制器存储着目录数据并管理用户域的交互，其中包括用户登录过程、身份验证和目录搜索。,域控制器,域控制器,域,复制,User1,User2,User1,User2,User3,User4,User3,User4,站点,每个地理位置中的若干台域控制器可以划分为一个站点,站点内部优先同步活动目录数据库，同步后再和其他站点中的域控制器同步,站点,1,域控制器,远程线路,站点,2,活动目录安装与卸载,安装者必须具有本地管理权限,操作系统必须满足条件（Windows Server 2003 Web版除外都满足）,本地磁盘至少有一个分区是NTFS文件系统,系统盘应该有最少300MB的剩余空间。,安装TCP/IP协议和相应的DNS服务器支持。,有相应的DNS服务器支持,活动目录安装与卸载,启动安装向导,使用管理您的服务器向导,使用命令,DCPROMO,安装活动目录,主要步骤,是否创建新域,新域的,DNS,全名,新域的,NetBIOS,名,数据库和日志文件文件夹,共享的系统卷,DNS,注册诊断,域兼容性,还原模式密码,DNS在域中的作用,DNS,在域中有两个作用,域名的命名采用,DNS,标准,办公网络与,Internet,集成,定位,DC,1,）客户机发送,DNS,查询请求给,DNS,服务器,2,）,DNS,服务器查询匹配的,SRV,资源记录,3,）,DNS,服务器返回相关,DC,的,IP,地址列表给客户机,4,）客户机联系到,DC,5,）,DC,响应客户机的请求,域的,DNS,区域维护,SRV,资源记录可以定位,DC,活动目录安装与卸载,安装活动目录后操作系统的变化,（,1,）查看域控制器的计算机名,安装活动目录后,DC,（,Domain Controller,，即域控制器）的计算机名会发后变化，在,DC,上右键单击,【,我的电脑,】,，选择,【,属性,】,，在弹出的,【,系统属性,】,对话框中选择,【,计算机名,】,标签，可以查看当前域控制器的计算机名,查看管理工具,在,DC,上依次打开,【,开始,】【,程序,】【,管理工具,】,，可以看到新增加,5,个与活动目录相关的工具,与活动目录相关的五个工具,Active Directory用户和计算机：该工具用于管理域中的用户、组、计算机账号及OU等,Active Directory域和信任关系：该工具用于管理活动目录域之间的信任关系,Active Directory站点和服务：该工具用于管理与活动目录复制相关的站点信息,域安全策略：该工具用于创建和管理域的安全策略,域控制器安全策略：该工具用于创建和管理域控制器的安全策略,查看用户和组账号的位置,活动目录安装成功后，计算机上的用户和组账号的位置会发生变化。在,DC,上打开,【,计算机管理,】,控制台，发现已经看不到,【,本地用户和组,】,工具。,计算机管理控制台工具,在,DC,上使用,【Active Directory,用户和计算机,】,工具来管理用户和组账号。在,DC,上依次打开,【,开始,】【,程序,】【,管理工具,】【Active Directory,用户和计算机,】,，在控制台下打开,Users,容器,qiufen,【Active Directory,用户和计算机,】,工具管理用户和组,查看,SYSVOL,（系统卷）文件夹,对,DC,来说,SYSVOL,文件夹非常重要，如果,SYSVOL,文件夹创建的不正确，那么存储在此文件夹下的组策略、脚本等就不能正确的分发给域中的计算机，也无法在,DC,之间进行复制。,SYSVOL,文件夹位于,%systemroot%,下，其中包含以下几个文件夹，如后图所示。,Domain,（域）,Staging,（分级）,Staging areas,（分级区域）,Sysvol,（系统卷）,验证,SYSVOL,文件夹,（,5,）,查看活动目录数据库和日志文件,缺省情况下活动目录数据库和日志文件存放在,%systemroot%NTDS,文件夹下，其中,ntds.dit,是活动目录数据库文件，还有检查点文件,edb.chk,、日志文件,edb.log,和保留日志文件,res*.log,等。,验证活动目录数据库和日志文件,活动目录域与,DNS,服务是紧密结合的，如果要使一个活动目录域正常工作，必须要有相应的,DNS,区域来支持它，而且还要有服务资源记录（,SRV,记录）。如下图所示为在,DNS,服务器上打开,DNS,控制台查看活动目录域的区域情况。,在,DNS,服务器中查看活动目录域的,SRV,记录,查看,DNS,数据库,查看事件日志,安装活动目录后打开事件查看器可以看到增加了一个日志“目录服务”，在此会记录有关活动目录的信息。,查看事件查看器,五 将计算机加入到域,1、哪些计算机能成为Windows Server 2003域的成员,下面的操作系统主机可以成为域的成员：,Windows NT,Windows 2000,Windows XP,Windows Server 2003,系统属性对话框中“计算机名”标签,把计算机加入到域,为了更好地管理网络中的资源，充分利用活动目录的特点，应该把网络中的客户端计算机加入到域，这样管理员就可以对域中的计算机进行集中的配置和管理,步骤,1,、配置客户机的首选,DNS,服务器,2,、将计算机加入域,指定该计算机要加入的域的名称,xhce,输入有加入该域权限的用户名和密码,加入域成功对话框,OU,的创建,功能型,S,C,M,S Sales,C Consultants,M-Marketing,混合型例子,功能,组织,位置,功能,组织,位置,组织型,M,E,R,M Manufacturing,E Engineering,R-Research,位置型,N,F,I,N Norway,F France,I Indonesia,可以根据各种因素创建OU,域模式,Windows 2000,混合模式,域控制器,(Windows 2000/,Server 2003),域控制器,(Windows NT 4.0),Windows Server 2003,模式,域控制器全部都是,(,Windows Server 2003,),Windows 2000,本机模式,域控制器,(Windows 2000),域控制器,(Windows Server,2003),域模式是用来为了兼容老版本操作系统的域控制器，而限制某些新的功能。,Active Directory对象类别如下,1,、用户（,User,）：,作为安全主体，被授予安全权限，可登录到域中。,2,、计算机（,Computer,）：,表示网络中的计算机实体，加入到域的,Windows NT/2000/XP/2003,计算机都可创建相应的计算机账户。,3,、联系人（,Contact,）：,一种个人信息记录。联系人没有任何安全权限，不能登录网络，主要用于通过电子邮件联系的外部用户。,4,、组（,Group,）：,某些用户、联系人、计算机的分组，用于简化大量对象的管理。,5,、,组织单位（,Organization Unit,）：,将域细分的,Active Directory,容器。,6,、,打印机（,Printer,）：,在,Active Directory,中发布的打印机。,7,、共享文件夹（,Shared Folder,）：,在,Active Directory,中发布的共享文件夹。,8,、,InterOrgPersion,：,标准的用户对象类，对于,Windows Server 2003,域功能级别来说，可以作为安全主体。,管理容器,1,、,Builtin,：,用来存放默认内置组（如,Account Operators,或,Administrators,）对象。,2,、,Computers,：,包含,Windows 2000,、,Windows XP,和,Windows Server 2003,计算机对象,。,3,、,Domain Controllers,：,运行,Windows 2000,或,Windows Server 2003,的域控制器的计算机对象。,4,、,ForeignSecurityPrincipals,：,存储有信任关系的域的对象。,5,、,Users,：,包含域内用户账户和组。,域用户和计算机帐户,活动目录用户帐户,用户帐户是用来记录用户的用户名和密码、隶属的组、可以访问的网络资源，以及用户的个人文件和设置。,每个用户都应在域控制器中有一个用户帐户，才能访问服务器，使用网络上的资源,域用户账户,本地用户帐号,(,存储在本地计算机,),域用户帐号,(,存储在活动目录中,),Windows Server 2003,域,域用户账户的创建,输入用户的基本信息和登录名称,用户密码,用户属性对话框,用户登录名,用户登录名（,Windows 2000,以前版本）在域中必须惟一,最长,20,字符,登录时间,限制用户登录到域的时间,可以登录的计算机,定义了账户可以登录的计算机列表,配置域用户账户的属性,基于位置的设计,Users,North America,Users,South America,基于业务的设计,Users,Accounting,Users,Sales,域用户账户的创建,用户的存放地点,帐号选项,说明,User must change password at next logon,用户在下次登录时必须修改密码,User cannot change password,用户无权修改自己的密码,Password never expires,用户密码永不过期,Account is disabled,用户不能使用此帐号登录,域用户账户的创建,管理域用户和计算机帐户,就活动目录的管理而言，,【Active Directory,用户和计算机,】,是使用最为频繁的工具。该工具可以用来建立、编辑或删除网络中的用户、计算机、组、组织单位、域、域控制器，以及发布网络共享资源,域用户账户的删除和移动,组织单元,1,组织单元,2,域,删除用户,移动用户,直接鼠标拖动,配置域用户账户的属性,登录名,登录时间,可以登录的计算机,配置文件,/,主文件夹,组的实现与管理,组也可以加入组,一个用户可以加入多个组,Group,Group,一个用户账户加入组，就会继承该组所有的权限,Group,Group,Group,Group,Group,Group,组的分类,组的类型,说明,安全组,用于设置用户权限和权利，,也可用于邮件分布列表,通讯组,只用于邮件分布列表,组的作用域与成员资格,支持的域控制器,Windows NT Server 4.0,Windows 2000,Windows Server 2003,Windows 2000,Windows Server 2003,Windows Server 2003,支持的组的范围,全局,域本地,全局,域本地,通用,全局,域本地,通用,Windows 2000 mixed(default),Windows 2000 native,Windows Server 2003,域本地组,成员,Mixed mode:,任何域中的用户帐号和全局组,Native mode:,任何域中的用户帐号、全局组和通用组，以及同一个域中的域本地组,可成为成员,Mixed mode:,无,Native mode:,同一个域的域本地组,范围,域本地组所属的域,权限,域本地组所属的域,全局组,成员,Mixed mode:,同一个域的用户帐号,Native mode:,同一个域的用户帐号和全局组,可成为成员,Mixed mode:,任何域的域本地组,Native mode:,任何域的域本地组和通用组，以及同一个域的全局组,范围,本域和所有被信任的域,权限,森林中所有的域,通用组,成员,Native mode:,森林中任何域中的用户帐号、全局组、和其他通用组,Mixed mode:,不可用,可成为成员,Mixed mode:,不可用,Native mode:,任何域中的域本地组和通用组,范围,森林中的所有域,权限,森林中的所有域,管理域中的组,创建组,设置组信息,添加组成员,设置组管理者,AGDLP域用户A加入到域全局安全组G，然后在“本地用户和计算机”中创建一个本地组DL，把G加入到DL中，最后为DL分配权限。,组的成员和隶属于属性,团队或组,全局组,域本地组,成员,隶属于,N/A,Denver Admins,Tom,Jo,and Kim,成员,Member Of,N/A,Vancouver Admins,Sam,Scott,and Amy,成员,隶属于,Tom,Jo,Kim,Denver OU Admins,Denver Admins,成员,隶属于,Tom,Jo,Kim,Denver OU Admins,Denver Admins,成员,隶属于,Sam,Scott,Amy,Vancouver OU Admins,Vancouver Admins,Denver OU Admins,成员,隶属于,Denver Admins,Vancouver Admins,N/A,用户配置文件概念,用户的桌面工作环境，包括桌面、开始菜单、我的文档、以及其他指定的设置,一般存储在操作系统所在分区上的,Documents and Settings,username,文件夹里,用户配置文件类型,本地用户配置文件,漫游用户配置文件,强制用户配置文件,临时用户配置文件,实现漫游用户配置文件,1,）为漫游用户创建一个测试配置文件,2,）准备一个存放漫游用户配置文件的网络存储路径,3,）将测试配置文件复制到网络存储路径,4,）设置域用户属性的,【,配置文件,】,选项卡,用户主文件夹可以用于存放用户的私有文件,配置用户主文件夹后,当域账户在客户机登录后，就会发现在本机多了一个分区,(,该分区不在本机,),增强了文件存储的安全可靠性,总结,在Windows Server 2003 网络环境中，域是最重要的核心管理单元，是活动目录的主干。,活动目录由域、子域、域树、域森林、组织单位构成。,每个域最少由一台域控制器组成，可以建立若干个而外的域控制器用力实现容错和提高性能。,总结,安装活动目录需要使用Windows 2000 Server和Windows Server 2003（web版除外），并需要管理员权限、DNS服务、NTFS文件系统。,可以将各种客户端操作系统和服务器操作系统加入到域，如Windows 2000/XP/NT/Windows Server 2003，Windows 98只能登录到域，不能算真正意义上的加入域。,总结,域的模式分别是Windows 2000混合模式、Windows 2000纯模式和Windows Server 2003 模式。不同的域模式，会影响到域中新功能的使用。,利用OU组织单位可以根据公司结构、地理位置、部门等建立相对应的逻辑关系。,域用户账户的登录名在域中是惟一的，而显示名在当前容器中必须是惟一的。,总结,每一个域用户账户在有权限的条件下可以在域中的任何一台计算机上登录，并可以访问任何资源。,通过用户账户的属性，可以使设置用户账户的登录时间、允许登录的计算机、账户的过期时间等等。,Windows Server 2003 域中分为两大类组，安全组和通信组，其中通信组不能被授予权限。,总结,安全组中又分为三种组：域本地组、域全局组和通用组。,OU是比域更小一级别的逻辑管理单位，可以在OU中建立各种对象，并可以将OU的管理权限委派给用户或组。,谢 谢！,66,Thank You!,联系我们：北京天和科瑞咨询有限公司,电话,:+86-10-6232 3893 13701378667,传真,:+86-10-6232 3893,E-mail:smi,网址：,