网络管理技术(下)

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

二、Windows 2000账号的约定 1.Windows 2000的账号命名约定 •域用户账号的用户登录名在AD中必须唯一; •域用户账号的完全名称在创建该用户账号的域中必须唯一; •本地用户账号在创建该账号的计算机上必须唯一; •如果用户名称有重复,则应该在账号上区别出来; •对于临时雇员应该做出特殊的命名,以便标识出来; •用户账户的登录名最多可以包含20个大小写字符和数字,不能使用系统 保留字符: “ ” / \ [ ] : ; | = , + * ? < >
2.分发组
分发组不是windows 2000的安全实体,没有SID,因此也不能被赋予
访问资源的权限。如果应用程序想使用分发组,则应用程序必须支持
活动目录。
二、域模式中的组类型作用域
1.全局组作用域 全局组作用域中的成员是对网络具有相同访问权限的用户。全局组
的作用范围是整个域树,因此全局组可以属于同一个域树中被赋予访问
6.保留:使用保留创建通过 DHCP 服务器的永久地址租约指派。保留
确保了子网上指定的硬件设备始终可使用相同的 IP 地址。 7.选项类型:选项类型是 DHCP 服务器在向 DHCP 客户机提供租约服
务时指派的其他客户机配置参数。例如,某些公用选项包含用于默认网
关(路由器)、WINS 服务器和 DNS 服务器的 IP 地址。通常,为每个 作用域启用并配置这些选项类型。DHCP 控制台还允许您配置由服务器 上添加和配置的所有作用域使用的默认选项类型。虽然大多数选项都是 在 RFC 2132 中预定义的,但若需要的话,您可使用 DHCP 控制台定义 并添加自定义选项类型。
提示:出于安全考虑,建议将该账号更名,以降低该账号的安全风险。
2)Guest账号
Guest(来宾)账号一般被用于在域中或计算机中没有固定账号的用户 临时访问域或计算机时使用的。
提示:出于安全考虑,Guest账号在Windows 2000安装好之后是被屏
蔽的,如果需要,可以手动启用,应该注意分配给该账号的权限,该账 号也是黑客攻击的主要对象。
夹的位置。 信息。 主页地址信息等。
用户登录 名称 设置用户 登录时段 指出允许用户 登录的服务器
用户登录的 域名
设置用户账号 密码选项
作业: 1.说明域、树、林三者之间
的关系。 2.在win2000中,账号有哪几 类,它们之间有什么不同。
第九讲 组管理
来自百度文库
组是在Windows 2000网络环境中的一个非常重要的概念,组将 具有相同特点及属性的用户组合在一起,便于管理的使用。可以说 组是用户账号的一种逻辑组合。在一个拥有众多用户的网络中给每 一个用户分别授予访问资源的权限将使工作量大幅增加,而具有相 同身份的用户通常其权限也相同,对于众多账号所做的重复操作是
四、创建域模式中的组
创建域模式中组要求操作者为Administrators组或Account Operators 组的成员。
1)在“管理工具”中双击“Active Directory用户和计算机”图标,打
开“Active Directory用户和计算机”对话框;
2)单击User图标,在右侧的子窗口中可以看到本域中现有的用户和组;
二、DHCP 术语 1.作用域:作用域是用于网络的可能 IP 地址的完整连续范围。作用域
通常定义提供 DHCP 服务的网络上的单独物理子网。作用域还为服务 器提供管理 IP 地址的分配和指派以及与网上客户相关的任何配置参数
的主要方法。
2.超级作用域:超级作用域是可用于支持相同物理子网上多个逻辑 IP 子网的作用域的管理性分组。超级作用域仅包含可一起激活的成员作 用域或子作用域。超级作用域不用于配置有关作用域使用的其他详细 信息。如果想配置超级作用域内使用的多数属性,您需要单独配置成 员作用域。
6)在Users列表中双击刚才创建的组;
7)单击“添加”按钮,打开“选择用户、联系人或计算机”对话框;
8)在“名称”列表中选择要加入该组的用户,单击“添加”按钮添加该用户
9)单击“确定”按钮,添加的用户将出现在“成员”列表中。
10)“成员属于”设置
11)管理者设置
第十讲 DHCP设置
动态主机配置协议 (DHCP) 是一种简化主机 IP 配置管理的 TCP/IP 标 准。DHCP 标准为 DHCP 服务器的使用提供了一种有效的方法:即管理
十分繁琐的,因此通过将具有相同身份和属性的用户组合到一个逻
辑的集合当中,并且一次赋予该集合访问资源的权限而不再单独给 用户赋权限,从而大大地节省了工作量,简化了对访问网络中资源
的管理,这里的集合就是组。
域模式中的组又称为域组,存储在域的活动目录中,因此用户和 应用程序可以在任何地方使用域组。域组在域的DC上创建。域组是 在Windows 2000域模式下管理用户访问资源的最佳途径。 一、域模式中的组类型作用域 1.安全组 安全组顾名思义即实现与安全性有关的工作和功能,是属于Windows 2000的安全主体。可以通过给安全组赋予访问资源的权限来限制安全组 成员对域中资源的访问。
三、本地组 Administrators:它拥有对域或Windows2000计算机最大的控制权; Server Operators:它拥有域的管理权限。 •建立、管理删除服务器中的共享目录与打印机; •备份与还原文件、锁定与解开服务器; •将服务器上的硬盘格式化; •更改系统的时间以及在域的服务器上登录域,并将服务器关闭; Account Operators:它可以利用“域用户管理器”添加用户账号与组,修 改或删除大部分的用户账号和组; Printer Operators:此组的组员可以建立和管理在Windows2000上的共享打 印机;
提示:有关密码的策略可以在“本地安全设置”的“密码策略”中加
以规定以保护系统的安全性。
二、Windows 2000域用户账号的建立
二、Windows 2000域用户账号的管理
将用户加 入到组中 中止账号 的使用 更改用户 账号密码 删除用户 账号 重命名用 户账号 设置用户 账号属性
终端服务配置文件:记录用户使用“终端服务”时预先配置的信息。 远程控制:记录用户对“终端服务”远程控制的设置。 会话:记录使用“终端服务”所需的参数。 环境:记录用户登录系统时运行的应用程序和启用的设备。 拨入:记录用户进行远程拨号访问网络的方式,以及各种相关参数。 成员属于:记录用户所属的组。 配置文件:记录用户配置文件的存放路径,以及登录脚本和用户主文件 单位:记录用户的职位、工作部门、公司领导以及顶头上司。 电话:记录各种与该用户的相关的电话号码。 账号:记录用户的登录名,以及该用户的其他账号选项。 地址:记录用户所在的国家、省或州、城市、街道、邮箱和邮政编码等 常规:记录了用户的名称、个人描述、办公地点、电话号码、E-mail地址、
IP 地址的动态分配以及网络上启用 DHCP 客户机的其他相关配置信息。
TCP/IP 网络上的每台计算机都必须有唯一的计算机名称和 IP 地址。IP 地 址(以及与之相关的子网掩码)标识主计算机及其连接的子网。将计算 机移动到不同的子网时,必须更改 IP 地址。DHCP 允许您从本地网络上 的 DHCP 服务器 IP 地址数据库中为客户机动态指派 IP 地址。
2.Windows 2000的账号密码约定 •尽量避免带有明显意义的字符或数字的组合,采用大小写和数字的无意 义混合; •在不同安全要求下,规定最小的密码长度。通常密码越长越不易被猜到 (最长可以达到128位); •对于不同安全要求,确定用户的账号密码是由管理员控制还是由账号的 拥有者控制; •定期更改密码,尽量使用不同的密码。
一、使用 DHCP 的好处
1.安全而可靠的配置 DHCP 避免了由于需要手动在每个计算机上键入值而引起的配置错误。
DHCP 还有助于防止由于在网络上配置新的计算机时重用以前指派的 IP
地址而引起的地址冲突。 2.减少配置管理
使用 DHCP 服务器可以大大降低用于配置和重新配置网上计算机
的时间。可以配置服务器以便在指派地址租约时提供其他配置值的全部 范围。这些值是使用 DHCP 选项指派的。 3.另外,DHCP 租约续订过程还有助于确保客户机配置需要经常更新 的情况(如使用移动或便携式计算机频繁更改位置的用户),通过客户 机直接与 DHCP 服务器通讯可以高效自动地进行这些改动。
3.排除范围:排除范围是作用域内从 DHCP 服务中排除的有限 IP 地址
序列。排除范围确保在这些范围中的任何地址都不是由网络上的服务器 提供给 DHCP 客户机的。
4.地址池:在您定义 DHCP 作用域并应用排除范围之后,剩余的地址
在作用域内形成可用地址池。分池的地址适合于由服务器到您网络上 DHCP 客户机的动态指派。 5.租约:租约是客户机可使用指派的 IP 地址期间 DHCP 服务器指定 的时间长度。租用给客户时,租约是活动的。在租约过期之前,客户 机一般需要通过服务器更新其地址租约指派。当租约期满或在服务器 上删除时,租约是非活动的。租约期限决定租约何时期满以及客户需 要用服务器更新它的次数。
3)在右侧的子窗口中右击,在弹出的快捷菜单中单击“新建”,在 弹出菜单中单击“组”。打开“新建对象-组”对话框; 4)在“组名”编辑框中输入该组的名称,在“组名(windows2000以前 版本)”编辑框中输入该组用于让旧操作系统访问的名称;
5)单击“确定”按钮,返回到“Active Directory用户和计算机”对话 框,这时在右侧的子窗口中可以看到新建的组;
Users:拥有最少的访问权限; Guests:只是供临时登录所需,其组员仅被赋予非常少的权限; Replicator:此组的主要任务是进行目录复制的操作; Powers Users:域上没有此组。此组中的用户除了具有User组所具有的 功能外,这还可以建立用户账号,修改其所建立的用户账号。 Backup Operators:可以备份与还原服务器中的目录与文件。
2.本地用户账号(Local User Accounts) •本地用户账号只能建立在Windows 2000独立服务器, Windows 2000成
员服务器、或基于Windows 2000 Professional的计算机中,该账号的作
用范围仅限于在创建该账号的计算机上,以控制用户对该计算机上资 源的访问。 •由于本地用户账号的验证上由创建该账号的计算机来进行的,因此对
资源的权限。 2.本地域组作用域 本地域组作用域可以被赋予访问域中任何地点的资源的权限,本地 域组的权限作用范围仅限于创建该组的域中,即本地组只能够访问创建 该组的域中的资源。
3.通用组作用域 通用组权限的作用范围是在整个域树中,通用组具有开放的成 员资格可以接受任何一种账号成为该组的成员,并且通用组可以成 为其他任何组的成员而无论是否属于同一个域中。
网络管理技术 (下)
第八讲 用户账号管理
一、Windows 2000网络中账号的种类
1.域用户账号(Domain User Accounts) •域用户账号是用户访问域的唯一凭证,因此在域中必须是唯一的; •保存域用户账号的AD数据库称为安全账号管理器(SAM),SAM数
据库位于在DC上的\%systemroot%\NTDS\NTDS.DIT文件中。
于这种类型账号的管理是分散的。
3.内置的用户账号(Built-in User Accounts)
内置的用户账号是Windows 2000操作系统自带的账号,在安装好 Windows 2000之后这些账号就存在,并已经赋予了相应的权限。 1)Administrator账号 Administrator(管理员)账号被赋予在域中和在计算机中具有不受限 制的权利,该账号被设计用于对本地计算机或域进行管理,可以从事创 建其他用户账号、创建组、实施安全策略、管理打印机以及分配用户对 资源的访问权限。
8.选项类别:选项类别是一种可供服务器进一步管理提供给客户的选
项类型的方式。当选项类别添加到服务器时,可为该类别的客户机提供 用于其配置的类别特定选项类型。对于 Windows 2000,客户机也可指定 与服务器通信时的类别 ID。对于不支持类别 ID 过程的早期 DHCP 客户 机,服务器可配置成默认类别以便在将客户机归类时使用。选项类别有 两种类型:供应商类别和用户类别。
相关文档
最新文档