第06章-活动目录管理.ppt

1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,人民邮电出版社,*,第6章,活动目录,人民邮电出版社,主要内容,6.1 活动目录概述,6.2 活动目录的特性,6.3 安装活动目录,6.4 域控制器管理,6.5 用户和计算机账户管理,6.6 组和组织单元管理,人民邮电出版社,6.1 活动目录概述,6.1.1,活动目录简介,一、活动目录的重要性,1,、增强信息的安全性,2,、基于策略的管理,3,、强的可扩展性,4,、强的可伸缩性,5,、智能的信息复制,6,、与,DNS,紧密集成,7,、与其他目录服务具有互连性,8,、具有灵活的查询,人民邮电出版社,6.1.1,活

2、动目录简介,二、,Windows Server 2003,产品家族中,AD,的新增功能和改进特性,1,集成和生产力,2,性能和伸缩性,3,系统管理和配置管理,4,组策略特性,5,安全性增强,人民邮电出版社,6.1.2,目录形式的数据存储,在各台域控制器之间进行复制的目录数据类型,一、域数据,包含了与域中的对象有关的信息,二、配置数据,描述了目录的拓扑结构,三、架构数据,对目录中存储的所有对象和属性数据的正式定义,人民邮电出版社,6.1.3,活动目录相关名词术语,一、名字空间,名字空间理解为任何给定名字的解析边界，这个边界就是指这个名字所能提供或关联、映射的所有信息范围,二、对象,对象是活动目录

3、中的信息实体,三、容器,容器是活动目录名字空间的一部分,，其属性,代表存放对象的空间,四、目录树,目录树是指由容器和对象构成的层次结构,人民邮电出版社,6.1.3,活动目录相关名词术语,五、域,域是,Windows Server 2003,网络系统的安全性边界,六、组织单元,组织单元是可将用户、组、计算机和其他单元放入活动目录的容器中,七、域树,域树由多个域组成，这些域共享同一表结构和配置，形成一个连续的名字空间,人民邮电出版社,6.1.3,活动目录相关名词术语,八、域林,域林是指由一个或多个没有形成连续名字空间的域树组成,九、站点,站点是指包括活动目录域服务器的一个网络位置，通常是一个或多个

4、通过,TCP/IP,连接起来的子网。,十、域控制器,域控制器是使用活动目录安装向导配置的,Windows Server 2003,的计算机,人民邮电出版社,6.1.4,活动目录的结构,一、逻辑结构,1,域、域树、域林,2,组织单元,活动目录逻辑结构示意图,人民邮电出版社,6.1.4,活动目录的结构,二、物理结构,1,站点,使用站点的意义主要在于以下3点,（1）提高了验证过程的效率,（2）平衡了复制频率,（3）可提供有关站点连接信息,2,域控制器,域控制器是指运行,Windows Server 2003,版本的服务器，它保存了活动目录信息的副本。,域控制器管理目录信息的变化，并把这些变化复制到同

5、一个域中的其他域控制器上，使各个域控制器上的目录信息处于同步。,域控制器存储着目录数据并管理用户域的交互关系，其中包括用户登录过程、身份验证和目录搜索,人民邮电出版社,6.2 活动目录的特性,6.2.1,活动目录的集成性,Windows Server 2003,操作系统活动目录的集成性主要是指它结合了3个方面的管理内容：用户和资源管理、基于目录的网络服务和基于网络的应用管理。另外，,Windows Server 2003,操作系统活动目录还广泛地采纳了因特网标准，把众多的因特网服务都集成在一起，增强自身网络管理功能。,人民邮电出版社,目录管理的基本对象是用户和计算机，还包括文件、打印机等资源。

6、用户对象的属性非常丰富，不但有常见的账号名、口令等，还包括邮件信箱和个人主页地址、在公司中的职位关系等，可以在活动目录中给用户对象发送邮件和访问其个人主页等。在活动目录中，支持全局性的查找，例如查找在整个网络中的双面打印的彩色打印机等。,人民邮电出版社,基于活动目录的应用服务是,Windows Server 2003,平台上的新一代的应用程序，它使应用开发人员可以扩展活动目录的,Schema,和,UI,两个对象，通过,ADSI/ADO,编程在活动目录中发布服务绑定信息，通过组策略配置应用程序。比较典型的基于目录的应用的例子是网络会议。在活动目录的环境中，你只要在,NetMeeting,中敲入同

7、事的,E-mail,别名，就可以通过活动目录中的定位服务，与其进行对话和桌面协作等，非常方便。,人民邮电出版社,活动目录完全采用了因特网标准协议，甚至连用户账号都可以用“用户名域名”来表征，进行网络登录。,人民邮电出版社,6.2.2,活动目录的深入性,Windows Server 2003,操作系统活动目录的深入性主要体现在其企业级的可伸缩性、安全性、互操作性、编程能力和升级能力上。,活动目录的域树和域林的组建方法，可帮助用户使用容器层次来模拟一个企业的组织结构。,人民邮电出版社,6.2.3,活动目录的易用性,Windows Server 2003,活动目录主要体现在其简易的安装和管理上,3,

8、个活动目录的管理界面（,MMC,）,一个是活动目录用户和计算机管理，主要用于实施对域的用户和计算机进行管理；,一个是活动目录的域和域信任关系的管理，主要用于管理多域的委托和信任关系；,一个是活动目录的站点管理，可以把域控制器置于不同的站点进行管理,。,人民邮电出版社,6.2.4,活动目录的安全性,安全性通过登录身份验证以及目录对象的访问控制集成在活动目录之中。通过单点网络登录，管理员可以管理分散在网络各处的目录数据和组织单元，经过授权的网络用户可以访问网络任意位置的资源。基于策略的管理则简化了网络的管理，即便是那些最复杂的网络也是如此。,人民邮电出版社,活动目录通过对象访问控制列表以及用户凭据

9、保护其存储的用户账户和组信息。因为活动目录不但可以保存用户凭据，而且可以保存访问控制信息，所以登录到网络上的用户既能够获得身份验证，又可以获得访问系统资源所需的权限。例如，在用户登录到网络上的时候，安全系统首先利用存储在活动目录中的信息验证用户的身份。然后，在用户试图访问网络服务的时候，系统会检查在服务的自由访问控制列表（,DCAL）,中所定义的属性。,人民邮电出版社,6.3 安装活动目录,6.3.1,活动目录安装规划,活动目录具有信息安全性、基于策略的管理、可扩展性、可伸缩性、信息的复制、与,DNS,集成、与其他目录服务的互操作性、灵活查询等优点,一、,DNS,与活动目录,DNS,用一起名字

10、解析,活动目录用于目录管理,二、规划活动目录,规划,DNS,规划用户的域结构,规划用户的委派模式,人民邮电出版社,6.3.2,活动目录安装前的准备,（1）在安装活动目录之前，必须保证已经有一台机器安装了,Windows Server 2003,或者,Windows 2000 Advanced Server，,且至少有一个,NTFS,分区，而且已经为,TCP/IP,配置了,DNS,协议，并且,DNS,服务支持,SRV,记录和动态更新协议。,人民邮电出版社,（2）要规划好整个系统的域结构，活动目录可包含一个或多个域，如果整个系统的目录结构规划得不好，就不能很好地发挥活动目录的优越性。选择根域（就是

11、一个系统的基本域）是关键，根域名字的选择可以有以下几种方案。,人民邮电出版社,可以使用一个已经注册的,DNS,域名作为活动目录根域名，这样的好处在于企业的公共网络和私有网络使用同样的,DNS,名字。,还可使用一个已经注册的,DNS,域名的子域名作为活动目录的根域名。,为活动目录选择一个与已经注册的,DNS,域名完全不同的域名。这样可以使企业网络在内部和因特网上呈现出两种完全不同的命名结构。,人民邮电出版社,把企业网络的公共部分用一个已经注册的,DNS,域名进行命名，而私有网络用另一个内部域名，从名字空间上把两部分分开，这样做就使得每一部分要访问另一部分时必须使用对方的名字空间来标志。,人民邮电

12、出版社,（3）要进行域和账户命名策划，因为使用活动目录的意义之一就在于使内、外部网络使用统一的目录服务，采用统一的命名方案，以方便网络管理和商务往来。活动目录域名通常是该域的完整,DNS,名称，但是为确保向下兼容，每个域最好还有一个,Windows Server 2003,以前版本的名称，以便在运行,Windows Server 2003,的计算机上使用。,人民邮电出版社,用户账户在活动目录中，每个用户账户都有一个用户登录名、一个,Windows Server 2003,以前版本的用户登录名（安全账户管理器的账户名）和一个用户主要名称后缀。在创建用户账户时，管理员输入其登录名并选择用户主要名称

13、活动目录建议,Windows Server 2003,以前版本的用户登录名使用此用户登录名的前 20 个字节。,人民邮电出版社,活动目录命名策略是企业规划网络系统的第一个步骤，命名策略直接影响到网络的基本结构，甚至影响网络的性能和可扩展性。活动目录为现代企业提供了很好的参考模型，既考虑到了企业的多层次结构，又考虑到了企业的分布式特性，甚至为直接接入因特网提供完全一致的命名模型。,人民邮电出版社,所谓用户主要名称是指由用户账户名称和表示用户账户所在的域的域名组成。这是登录到,Windows Server 2003,操作系统域的标准用法。标准格式为：,user（,像个人的电子邮件地址）。但不要在

14、用户登录名或用户主要名称中加入“”号。活动目录在创建用户主要名称时自动添加此符号。包含多个“”号的用户主要名称是无效的。,人民邮电出版社,在活动目录中，默认的用户主要名称后缀是域树中根域的,DNS,名。如果用户的单位使用由部门和区域组成的多层域树，则对于底层用户的域名可能很长。对于该域中的用户，默认的用户主要名称可能是,。,该域中用户默认的登录名可能是,user。,人民邮电出版社,用户登录时就要输入太长的用户名，非常不方便，,Windows Server 2003,为了解决这一问题，规定在创建用户主要名称后，只要在根域后加上相应的用户名，使同一用户使用更简单的登录名：,user,就可以登录，而

15、不是前面所提到的那一长串。,人民邮电出版社,（4）注意设置规划好域间的信任关系，对于,Windows Server 2003,计算机，通过基于,Kerberos,V5,安全协议的双向、可传递信任关系启用域之间的账户验证。在域树中创建域时，相邻域（父域和子域）之间自动建立信任关系。在域林中，根域和添加到域林的每个域树的根域之间自动建立信任关系。如果这些信任关系是可传递的，则可以在域树或域林中的任何域之间进行用户和计算机的身份验证。,人民邮电出版社,如果将,Windows Server 2003,以前版本的域升级为,Windows Server 2003,域时，,Windows Server 20

16、03,域将自动保留域和任何其他域之间现有的单向信任关系。包括,Windows Server 2003,以前版本的域的所有信任关系。如果用户要安装新的,Windows Server 2003,域并且希望与任何,Windows Server 2003,以前版本的域建立信任关系，则必须创建与那些域的外部信任关系。,人民邮电出版社,6.3.3,安装活动目录,一、活动目录的安装,安装,Windows Server 2003,时，系统并没有安装活动目录。,用户可以根据目录网络中的域情况创建新域控制器、新建子域、新建域目录树或目录林等，可将现有的服务器设置为备份域控制器，加入旧域、旧目录树或目录林。,人民邮

17、电出版社,安装,AD,（,1,）安装,DNS,添加删除程序,Windows,组件，选择,DNS,（,2,）安装,AD,。,开始,所有程序,管理工具,配置您的服务器,配置您的服务器向,导服务器角色,选择,域控制器（,(,Active Directory),开始,运行,运行的文件框中输入命令,Dcpromo,人民邮电出版社,按,向导提示安装,AD,人民邮电出版社,二、创建子域和域树,1,创建子域,2,创建域林中的第二棵域树,人民邮电出版社,二、活动目录的删除,要删除活动目录，单击“开始”，选择“运行”命令，打开“运行”对话框。在“打开”下拉列表框中输入“,dcpromo,.exe”，,然后单击“确

18、定”按钮，打开“,Active Directory,安装向导”对话框，并按照向导提示进行删除操作即可。,人民邮电出版社,6.3.4,检验安装结果,已安装了活动目录的服务器，在启动,Windows Server 2003,操作系统时，“配置您的服务器”窗口会显示已安装了,AD,人民邮电出版社,管理工具中选项的变化,人民邮电出版社,6.4 域控制器管理,6.4.1,设置域控制器属性,在网络运行过程中，特别是在单域网络中，域控制器是网络正常运作的中心，所起到的网络控制作用是非常重要的。用户必须根据网络运行情况合理地设置域控制器的属性。网络管理员通过设置域控制器属性，不但可以确定域控制器的位置、操作系

19、统和常规属性，而且还可设置域控制器的组织和管理者。,人民邮电出版社,6.4.2,查找域控制器目录内容,在,Windows Server 2003,中，活动目录实际上是一个网络清单，包括网络中的域、域控制器、用户、计算机、联系人、组、组织单元及网络资源等各个方面的信息，使管理员对这些内容的查找更加方便。,人民邮电出版社,6.4.3,连接到其他域,在一个多域的网络中，用户经常需要将当前域连接到其他域，这样可使当前域中的用户和计算机能访问其他域中的资源，也可将当前域控制器的部分操作主机功能传送给其他域控制器，甚至可将当前域控制器更改为其他域中的域控制器。,人民邮电出版社,连接到其他域,人民邮电出版社

20、6.4.4,更改域控制器,虽然一个域的控制器是域网络的中心，一般都能够稳定地运行，但是它也有出现故障的可能，导致域网络不能正常运行。这时，管理员必须更改域控制器，以保证网络的正常运作。在,Windows Server 2003,中，由于不再区分主域控制器和辅助域控制器，域控制器的更改变得更加简单，用户只须建立当前域与其他任何可写的域控制器的连接即可。,人民邮电出版社,图6-36 连接到域控制器,人民邮电出版社,6.5 用户和计算机账户管理,6.5.1,用户和计算机账户简介,活动目录用户和计算机账户表示例如计算机或个人等物理实体。账户为用户或计算机提供安全凭据，以便用户和计算机能够登录到网络并

21、访问域资源。活动目录的账户主要用于：验证用户或计算机的身份；授权对域资源的访问；审核使用用户或计算机账户所执行的操作的合法性等。利用活动目录，可以添加、禁用、重新启动及删除用户和计算机等。,人民邮电出版社,一、活动目录用户账户,用户账户是用来记录用户的用户名和口令、隶属的组、可以访问的网络资源，以及用户的个人文件和设置。,每个用户都应在域控制器中有一个用户账户，才能访问服务器，使用网络上的资源。用户账户由一个“用户名”和一个“口令”来标志，二者都需要用户在登录时输入。,通过活动目录，用户账户可以使用户以经过验证和授权访问域资源的身份登录到计算机和域。此外，用户账户也可作为某些应用程序的服务账户

22、人民邮电出版社,Windows Server 2003,的两种预定义用户账户,即管理员账户（,Administrator）,管理网络中的用户和计算机资源,客户账户（,Guest）,被授权访问计算机中的资源,默认的情况下是禁用的,人民邮电出版社,二、计算机账户,计算机账户则是,Windows Server 2003,的新增功能。,只有安装了,Windows 2000（,包括,Server,和,Professional）,的计算机才可以定义计算机账户，每个加入域的计算机都具有计算机账户，否则无法进行域连接，实现域资源的访问。,一个计算机系统要加入到域中，只能是用一个计算机账户，而一个用户可以拥

23、有多个用户账户，,人民邮电出版社,6.5.2 创建用户和计算机账户,在,Windows Server 2003,中，新用户如果需要使用网络上的资源，就必须拥有用户账户。因此，管理员需要在域控制器中为该用户添加一个相应的用户账户，否则该用户将无法访问到域中的资源。,当客户计算机第一次连接到域中时，管理员要在域控制器中为其创建一个计算机账户，以便它有资格成为域成员。,人民邮电出版社,新建用户和计算机,在,AD,用户和计算机工具中,一、新建用户,二、新建计算机,人民邮电出版社,6.5.3,删除用户和计算机账户,当系统中的某一个用户账户不再被使用或者管理员不再希望某个用户账户存在于安全域中，则可删除之

24、在,AD,用户和计算机控制台目录树中，展开域节点，单击要删除的用户和计算机,右键单击要删除的用户和计算机，从弹出的快捷菜单中选择“删除”命令，,人民邮电出版社,6.5.4,停用,/,启用用户和计算机账户,如果某个用户的账户暂时不使用，可将其,停用,。,管理员可重新启用该账户以便用户或计算机使用。,人民邮电出版社,6.5.5,移动用户和计算机账户,在一个大型网络中，为了便于管理，管理员经常需要将用户和计算机账户移动到新的组织单元或容器中。,人民邮电出版社,6.5.6,为用户和计算机账户添加组,为了方便管理员对众多的用户和计算机账户进行管理，,Windows Server 2003,继续沿用了,

25、Windows NT,操作系统中组的策略。通过将不同的计算机添加到具有不同权限的组中的方式，使该用户和计算机继承所在组的所有权限。同时管理员也可以直接通过组来对多个用户和计算机账户进行管理，这大大减轻了管理员对用户和计算机账户的管理工作。,人民邮电出版社,6.5.7,重设用户密码,鼠标右键单击要重新设置密码的用户账户,人民邮电出版社,6.5.8,管理客户计算机,在控制台目录树中，展开域节点,然后单击要管理的计算所在的组织单元，使详细资料窗格列出相应的内容。在详细资料窗格中，鼠标右键单击要管理的计算机，从弹出的快捷菜单中选择“管理”命令,人民邮电出版社,6.5.9,管理用户属性,在“,Activ

26、e Directory,用户和计算机”,窗口左侧的“树”窗口中选中需要进行配置的用户所在的组织单元或容器，在右侧窗口中即出现详细用户列表；鼠标右键单击该用户账户，在弹出的快捷菜单中，选择“属性”,命令,人民邮电出版社,6.6 组和组织单元管理,组是,Windows 2003 Server,从,Windows NT,系统继承下来的安全管理形式，它是指活动目录或本地计算机对象，包含用户、联系人、计算机和其他组等。,在,Windows 2003 Server,中，组可以用来管理用户和计算机对网络资源的访问。使用组，主要是为了方便管理访问目的和权限相同的一系列用户和计算机账户。,人民邮电出版社,6.6

27、1,组的概念,一、组的类型,组的类型有安全组和分布式组两种。安全组显示在访问控制列表（,Access Control Lists，,ACLs,）,中，可以用于定义资源和对象的访问权限，同时也可以作为一个电子邮件实体，即向改组发送的电子邮件将被发送到安全组中的所有成员。,人民邮电出版社,二、组的作用范围,活动目录中的组都有作用范围，根据作用范围的不同，又可以将组分为3种类型：通用组、全局组和域内本地组。其中，通用组可以包含当前域林中任何一个域中的成员，可以被赋予域林中任何一个域的访问权限；全局组能包含组所在域中的成员，也可以被赋予域林中任何一个域的访问权限；域内本地组只能包含某个域的成员，且只

28、能在该域中被赋予访问权限。,人民邮电出版社,三、系统内置组,1.,Builtin,容器内的内置域内本地组:,2.,Users,容器内的内置全局组,人民邮电出版社,6.6.2,创建新组和组织单元,一、创建一个新组,Active Directory,用户和计算机”窗口,新建-组选作用域,人民邮电出版社,6.6.2,创建新组和组织单元,二、创建新的组织单元,Active Directory,用户和计算机”窗口,新建-,Organization Unit,输入名称,人民邮电出版社,6.6.3,删除组和组织单元,当用户的活动目录中的组和组织单元因太多而影响了对用户和计算机账户的管理时，管理员可对自己创建

29、的组和组织单元进行清理。当域中的某个组织单元中所包含的用户、计算机、联系人和组织单元等已经被删除或因为其他原因而不再发挥作用时，也可将其删除。不过，管理员只能删除自己创建的组和组织单元，而不能删除由系统提供的内置组和组织单元。,人民邮电出版社,6.6.4,委派控制组或组织单元,在,Windows 2003 Server,网络操作系统中，随着组和组织单元的增多，网络的管理工作越来越繁杂，仅仅依靠管理员去处理所有的网络问题是不可能的。,Windows 2003 Server,操作系统提供了一项新的网络功能委派控制，通过它，管理员可以将一部分域管理工作委派给其他用户、计算机或组，由其他用户、计算机或

30、组来帮助进行管理，这样就减轻了用户的网络系统管理工作。,人民邮电出版社,6.6.5,设置组属性,一个新组被用户创建好之后，系统并没有设置该组常规属性和权限，也没有为其指定组成员和管理者，该组几乎不发挥任何作用。如果要充分发挥组对用户和计算机账户的管理作用，用户必须设置该组的属性，组的属性包括组名称、组类型和组范围等主要信息。,人民邮电出版社,6.6.6,设置组织单元属性,用户创建组织单元后，应根据需要设置组织单元的属性，才能更好的发挥组织单元在管理方面的方便性和安全性等优点。组织单元的属性设置主要包括描述信息等常规属性、管理者名称及地址设置等信息，同时可以为组织单元创建组策略。,人民邮电出版社,设置组织单元属性方法,“,Active Directory,用户和计算机”窗口左侧的“树”窗口中，鼠标右键单击要设置属性的组织单元的容器名。,（,2,）在弹出的快捷菜单中选择“属性”命令,人民邮电出版社,本,章,小,结,本章的要内容是活动目录的发展情况，活动目录在域中的作用，活动目录在逻辑结构和物理结构,活动目录涉及到的名词术语：域、域树、域林组织单元的特点及相互之间的关系,安装活动目录,对活动目录的用户和计算机进行管理,人民邮电出版社,