WindowsServer2003域及其账户管理答辩
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
方法:右键单击“我的电脑”,选择“属性”。(或 “控制面板 | 系统”) 选择“计算机名”选项卡,单击“更改”按钮。 设置“隶属于”为“域”,输入加入的域的名称。 输入用户拥有的域账户名和密码。
说明:
并非所有用户都有权将一台计算机添加到域中,该用户 必须拥有一个可以加入域权限的账户。
一台计算机加入域后,在域控制器上会生成一个计算机 账户,其中的名字是计算机的名字,所以一台计算机如 果更改了名字,就需要重新加入域。
在安装活动目录的计算机上把它的“DNS服务器地址” 指定为DNS服务器的IP地址。
删除域控制器
在安装有活动目录的域控制器上启动“Active Directory 安装向导”,由于该机已经是域控制器,则弹出“删除 Active Directory”对话框。按照提示进行下去可删除域 控制器。
一台域控制器被删除后,它会降格为成员服务器。
3.2 Active Directory的物理结构
域控制器: 域控制器是运行和存放 Active Directory 的服务器。 其中存放了各个域的账户信息和策略信息。
一个域可以有一个或多个域控制器,各域控制器是平等 的,管理员可以在任一台域控制器上更新域中的信息, 更新的信息会自动传递到网络中的其它域控制器中。 设置多个域控制器可以提高域的安全性。
建立第1个域
如果当前网络还没有域,可以选择一台服务器,在其中 安装活动目录,使它成为域控制器,则一个域就建立了。
之后还可以在该域中再建立第2台、第3台、…… 域控制 器,它们与第1台域控制器是平等的,这时不再是建立一 个新域。
域控制器 第1台域控制器 第2台域控制器 第3台域控制器
域控制器类型 新域的域控制器 现有域的额外域控制器 现有域的额外域控制器
域控制器
域控制器类型
域类型
第1台域控制器 新域的域控制器 在新林中的域
07.9.13 05专 (1、2) 9
安装域控制器的条件
域结构的网络中必须有DNS服务器与其相配合。DNS服 务器的作用是定位域控制器的位置。
DNS服务器可以安装在一台域控制器中,也可以另行安 装。
多台域控制器可以共用一个DNS服务器,该DNS服务器 应该可以解析各个域及其子域的域名,并将其与域控制 器相关联。
安装域控制器的服务器上至少要有一个NTFS分区。
安装域控制器的步骤
单击“开始 | 管理工具 | 配置您的服务器向导”。
在服务器角色中选择“域控制器”,单击“下一步”,启 动 Active Directory 安装向导。
选择“域控制器类型”:若选择“新域的域控制器”则表示 创建一个新域;若选择“现有域的额外域控制器”则表示在 现有域中增加域控制器。
3.3 域信任关系
如果一个网络中建立有多个域,为了使一个域中的用户 能够访问另一个域中的资源,需要建立域和域间的信任 关系。
在建立一个新域或新的域树时,可以自动建立与原有域 或域树的信任关系。
只有 Domain Admins 组(域管理员组)的成员才有 权管理或变更域间的信任关系。
域间的信任关系一般是双向的、可传递的。
域类型 在新林中的域
在现有域树中建立子域
建立一个新域的域控制器,将该域指定为现有域的子域。
在子域中也可以再建立域控制器,它们和该子域中原有 的域控制器是平等的。
域控制器
子域中第1台域 控制器
子域中第2台域 控制器
域控制器类型 新域的域控制器
现有域的额外域控制器
域类型
在现有域树中的 子域
建立现有域林中的新的域树
继承:是将一个项目的访问权限授予特定的用户或组,并 允许它传播到所有的子孙。这样可简化权限的授予过程。
委托和继承功能多用于有特定用户群的应用,如FTP、电 子邮件等。这样就可以设立专门的管理员负责这些业务的 管理,他们不需要拥有管理员的全部权利。
3.4 Active Directory 的安装
安装了活动目录的服务器就成为域控制器,所以安装活动 目录的过程就是创建域控制器的过程。
比如:如果域A信任域B,域B信任域C,则域A与域C也 是双向信任的。这样用户可以在域C中访问域A或域B中 的资源(根据授予的权限)。
域A
域B
域C
1、信任协议
域控制器使用 Kerberos V5 协议或 NTLM 协议建立 和管理信任关系。
Kerberos V5 协议是默认的信任协议,如果域中涉及 的计算机不支持 Kerberos V5 协议,则使用 NTLM 协议。
建立一个新域的域控制器,将它指定为现有林中的域树。 这样就建立了一个新的域树。
在新的域树中还可以再建立子域。
域控制器
域控制器类型
域类型
第1台域控制器 新域的域控制器 在现有的林中的域树
建立与现有域完全无关的新域
安装一个新域的域控制器,使它与现有域完全无关。如 果在这个域下再建立子域,该域树与原来的域树也完全 无关。
域账户包括域用户账户、域组账户、计算机账户、共享资 源帐户。
域用户账户分配给使用域的人员,用它可登录到域中;
域组账户用于将域用户账户和计算机账户分组,为组指派 权限和权利,可简化管理。
计算机账户是加入到域中的计算机,每台加入域的服务器 和客户机都拥有一个计算机账户,用它可控制域中包含哪 些计算机。
相关概念
域(Domain):一个域就是一系列的用户账户、访问权限 和其他各种资源的集合。 域是网络的独立安全范围,是 Windows 的逻辑管理单位。
活动目录(Active Directory):活动目录是一个信息库, 它可以包含一个或多个域。
域树(Tree):多个域可以构成一个具有层次结构的域树。
共享资源帐户是加入到域中的共享文件夹、共享打印机等, 共享资源必须加入到域中才能被域用户共享。
3.5.1 域用户账户
域用户账户必须在域控制器上创建,如果域中有多个域控 制器,创建后会自动复制到各个域控制器中。
每个域用户账户包括用户名、密码等,创建后分配给指定 用户,作为该用户登录域的身份依据。
在系统内部,域用户账户用SID区分,当一个域用户账户 被删除,即使再创建一个同名的账户,由于它们的SID不 同,新帐户与原帐户并不相同。
权限设置:如果网络中有旧版本的域控制器,要选择与其 对应的兼容性权限。
设置还原模式下的管理员密码:还原模式是活动目录的安 全模式,可用于修复活动目录数据库。
参数设置完成,单击“下一步”开始安装活动目录,这期 间需要插入 Windows Server 2003 安装盘。时间大约 需要几分钟。
安装完成后,要求重新启动计算机。
选择“域的类型”:若选择“在新林中的域”则表示建立一个 独立的域;若选择“在现有域树中的子域”则建立一个现有域 的子域;若选择“在现有的林中的域树”则建立林中的一个新 域树。
指定域名:输入新域的域名。域名必须符合DNS域名规则, 输入后,系统会花一些时间在网络中检查该域名。
由于域名建立后很难更改,所以最好一次确定域名,避免更 改。
指定NetBIOS域名:默认为DNS域名的前半段,一般不 需修改。
设置数据库和日志文件文件夹位置:如果条件许可,这两 个文件夹最好放在两块不同的硬盘中。
设置“共享的系统卷”的位置:这个文件夹必须设置在 NTFS分区内。
选择或安装DNS服务器:可以在本机上安装DNS服务器, 也可以选择自己安装DNS服务器。
域控制器与DNS服务器的配合
一、在安装活动目录的计算机上同时安装DNS服务器 在安装之前,应该把该计算机的“DNS服务器地址”设 置为本机的IP地址。 这种方法安装的DNS服务器会自动生成与Active Directory相符合的配置。
二、另外安装DNS服务器
这种方法应该先在一台计算机上安装DNS服务器,并在 该DNS服务器内建立一个支持Active Directory的区域, 开启该区域的安全动态更新功能。
如果删除的是域中的最后一台域控制器,则该域也被删 除。 如果一个域下还有子域,必须先删除子域。 只有拥有相应权限的管理员才能删除域控制器和域。
3.4.2 将计算机加入域
条件:该计算机必须能够访问到域控制器所对应的 DNS 服务器。 所以,首先应该把该计算机的DNS服务器地址设置为域 控制器对应的DNS服务器地址。
计算机加入域后,域用户可以使用该计算机登录到域, 使用的账户是该用户拥有的域账户,而不一定是加入域 时使用的账户。
3.5 域账户管理
域账户管理类似于本地账户管理,它有以下特点: 1、域账户在域控制器上创建和管理; 2、在域上定义的安全策略对所有的域账户都有效; 3、拥有域账户的人可以在域中任一台计算机上登录域, 并使用域中的共享资源。
3.1 活动目录概述
在域结构的网络中,需要一个对账户和资源进行统一管理 的机制,这个机制就是活动目录(Active Directory)。 域中所有的账户和共享资源都需要在活动目录中进行登记。 用户可以利用目录查找和使用这些资源。
基于域结构的网络可大大减轻管理的复杂度和工作量,通 常用于结构较复杂的网络。
一个域用户账户的权利和权限通常取决于它所在的组。一 个域用户账户可同时属于多个组,其权限为各组权限的叠 加。
内置的域用户账户
当一台计算机升级为域控制器时,会自动创建几个用户 账户,称为内置用户账户。常用的有:
Administrator(管理员):该帐户具有对域的完全控制权。 它同时是 Administrators、Domain Admins 等多个 内置组的成员。
域林(Forest):一棵或多棵域树的集合构成域林。
名字空间
域树的名字空间是一个DNS名字空间。各子域的名字必须 与其父域的名字邻接。
根域A
子域B
子域C
域树的名字就是根域的名 字;
子域的名字必须与其父域 的名字邻接。
子域D
由于一个域中可以有一个或多个域控制器,所以一个域 中允许在多台服务器上安装活动目录。
建立域控制器时应该先进行规划,明确该域控制器所管 理的域,还需要明确各域之间的关系,这样才不会造成 混乱。
域规划
域树1
域A
域树2
域C
域树3
域D
域B
域林1
域E
域林2
第3章 Windows Server 2003 域及其账户管理
在工作组模式的网络中,各服务器都是独立的,各服务 器中的账户和资源也是各自进行管理的。所以,管理员 需要为每台服务器建立账户。管理时也需要分别登录各 服务器完成管理工作。授权用户访问不同的服务器时, 也需要分别登录。
在域模式的网络中,服务器可以集中进行管理,域中的 账户和资源也是集中管理的。所以,管理员登录一次就 可以管理整个域。授权访问用户登录一次就可以访问所 有共享资源。
域林中的多棵域树不构成邻接的名字空间。每棵域树 各自构成一个 DNS名字空间。
域林中第一个创建的域称为树林根域,它不可以删除、 更改或重命名。当创建一棵新树时,要指定初始的根 域,这样第2棵树的根域与第1棵树的根域间就建立了 一个信任关系;同样,建立第3棵树的根域时,应该与 第2棵树的根域建立信任关系。
自定义的信任类型有4种:外部、领域、林、快捷。
用它们可以设立一些单向的、不可传递的信任关系,用 于一些有特殊要求的场合。
3、委托和继承
委托和继承是两种管理技巧。如果一个网络的域结构很复 杂,会使域管理员的负担很重。
委托:管理员为特定的个人或组授予一定的管理权,即把 部分业务委托给相关人员。这样可减轻对域管理员的依赖, 也减轻了管理员的负担。
成员服务器:
成员服务器是一台运行 Windows Server 2003 的服 务器,它是域中的成员,但不是域控制器。
成员服务器不执行用户身份验证,也不存储安全策略信 息,这些工作由域控制器完成,这样,可以让成员服务 器有更高的处理能力来处理网络中的其他服务。
在域结构的网络中,身份验证与服务是分开的,这样可 以提高服务器的效率。
2、信任类型
新建域或域树时,Biblioteka 常使用系统默认的信任类型。(1) 父子:双向、可传递。 向一个域树中添加新域时,该域与其父域间建立父子信 任关系。
(2) 树根:双向、可传递。 向一个域林中添加新的域树时,新域的树根与现有域树 的树根间可建立树根信任关系。
域管理员可以使用“新建信任向导”创建其它的信任类 型,并应用于指定的域之间。
说明:
并非所有用户都有权将一台计算机添加到域中,该用户 必须拥有一个可以加入域权限的账户。
一台计算机加入域后,在域控制器上会生成一个计算机 账户,其中的名字是计算机的名字,所以一台计算机如 果更改了名字,就需要重新加入域。
在安装活动目录的计算机上把它的“DNS服务器地址” 指定为DNS服务器的IP地址。
删除域控制器
在安装有活动目录的域控制器上启动“Active Directory 安装向导”,由于该机已经是域控制器,则弹出“删除 Active Directory”对话框。按照提示进行下去可删除域 控制器。
一台域控制器被删除后,它会降格为成员服务器。
3.2 Active Directory的物理结构
域控制器: 域控制器是运行和存放 Active Directory 的服务器。 其中存放了各个域的账户信息和策略信息。
一个域可以有一个或多个域控制器,各域控制器是平等 的,管理员可以在任一台域控制器上更新域中的信息, 更新的信息会自动传递到网络中的其它域控制器中。 设置多个域控制器可以提高域的安全性。
建立第1个域
如果当前网络还没有域,可以选择一台服务器,在其中 安装活动目录,使它成为域控制器,则一个域就建立了。
之后还可以在该域中再建立第2台、第3台、…… 域控制 器,它们与第1台域控制器是平等的,这时不再是建立一 个新域。
域控制器 第1台域控制器 第2台域控制器 第3台域控制器
域控制器类型 新域的域控制器 现有域的额外域控制器 现有域的额外域控制器
域控制器
域控制器类型
域类型
第1台域控制器 新域的域控制器 在新林中的域
07.9.13 05专 (1、2) 9
安装域控制器的条件
域结构的网络中必须有DNS服务器与其相配合。DNS服 务器的作用是定位域控制器的位置。
DNS服务器可以安装在一台域控制器中,也可以另行安 装。
多台域控制器可以共用一个DNS服务器,该DNS服务器 应该可以解析各个域及其子域的域名,并将其与域控制 器相关联。
安装域控制器的服务器上至少要有一个NTFS分区。
安装域控制器的步骤
单击“开始 | 管理工具 | 配置您的服务器向导”。
在服务器角色中选择“域控制器”,单击“下一步”,启 动 Active Directory 安装向导。
选择“域控制器类型”:若选择“新域的域控制器”则表示 创建一个新域;若选择“现有域的额外域控制器”则表示在 现有域中增加域控制器。
3.3 域信任关系
如果一个网络中建立有多个域,为了使一个域中的用户 能够访问另一个域中的资源,需要建立域和域间的信任 关系。
在建立一个新域或新的域树时,可以自动建立与原有域 或域树的信任关系。
只有 Domain Admins 组(域管理员组)的成员才有 权管理或变更域间的信任关系。
域间的信任关系一般是双向的、可传递的。
域类型 在新林中的域
在现有域树中建立子域
建立一个新域的域控制器,将该域指定为现有域的子域。
在子域中也可以再建立域控制器,它们和该子域中原有 的域控制器是平等的。
域控制器
子域中第1台域 控制器
子域中第2台域 控制器
域控制器类型 新域的域控制器
现有域的额外域控制器
域类型
在现有域树中的 子域
建立现有域林中的新的域树
继承:是将一个项目的访问权限授予特定的用户或组,并 允许它传播到所有的子孙。这样可简化权限的授予过程。
委托和继承功能多用于有特定用户群的应用,如FTP、电 子邮件等。这样就可以设立专门的管理员负责这些业务的 管理,他们不需要拥有管理员的全部权利。
3.4 Active Directory 的安装
安装了活动目录的服务器就成为域控制器,所以安装活动 目录的过程就是创建域控制器的过程。
比如:如果域A信任域B,域B信任域C,则域A与域C也 是双向信任的。这样用户可以在域C中访问域A或域B中 的资源(根据授予的权限)。
域A
域B
域C
1、信任协议
域控制器使用 Kerberos V5 协议或 NTLM 协议建立 和管理信任关系。
Kerberos V5 协议是默认的信任协议,如果域中涉及 的计算机不支持 Kerberos V5 协议,则使用 NTLM 协议。
建立一个新域的域控制器,将它指定为现有林中的域树。 这样就建立了一个新的域树。
在新的域树中还可以再建立子域。
域控制器
域控制器类型
域类型
第1台域控制器 新域的域控制器 在现有的林中的域树
建立与现有域完全无关的新域
安装一个新域的域控制器,使它与现有域完全无关。如 果在这个域下再建立子域,该域树与原来的域树也完全 无关。
域账户包括域用户账户、域组账户、计算机账户、共享资 源帐户。
域用户账户分配给使用域的人员,用它可登录到域中;
域组账户用于将域用户账户和计算机账户分组,为组指派 权限和权利,可简化管理。
计算机账户是加入到域中的计算机,每台加入域的服务器 和客户机都拥有一个计算机账户,用它可控制域中包含哪 些计算机。
相关概念
域(Domain):一个域就是一系列的用户账户、访问权限 和其他各种资源的集合。 域是网络的独立安全范围,是 Windows 的逻辑管理单位。
活动目录(Active Directory):活动目录是一个信息库, 它可以包含一个或多个域。
域树(Tree):多个域可以构成一个具有层次结构的域树。
共享资源帐户是加入到域中的共享文件夹、共享打印机等, 共享资源必须加入到域中才能被域用户共享。
3.5.1 域用户账户
域用户账户必须在域控制器上创建,如果域中有多个域控 制器,创建后会自动复制到各个域控制器中。
每个域用户账户包括用户名、密码等,创建后分配给指定 用户,作为该用户登录域的身份依据。
在系统内部,域用户账户用SID区分,当一个域用户账户 被删除,即使再创建一个同名的账户,由于它们的SID不 同,新帐户与原帐户并不相同。
权限设置:如果网络中有旧版本的域控制器,要选择与其 对应的兼容性权限。
设置还原模式下的管理员密码:还原模式是活动目录的安 全模式,可用于修复活动目录数据库。
参数设置完成,单击“下一步”开始安装活动目录,这期 间需要插入 Windows Server 2003 安装盘。时间大约 需要几分钟。
安装完成后,要求重新启动计算机。
选择“域的类型”:若选择“在新林中的域”则表示建立一个 独立的域;若选择“在现有域树中的子域”则建立一个现有域 的子域;若选择“在现有的林中的域树”则建立林中的一个新 域树。
指定域名:输入新域的域名。域名必须符合DNS域名规则, 输入后,系统会花一些时间在网络中检查该域名。
由于域名建立后很难更改,所以最好一次确定域名,避免更 改。
指定NetBIOS域名:默认为DNS域名的前半段,一般不 需修改。
设置数据库和日志文件文件夹位置:如果条件许可,这两 个文件夹最好放在两块不同的硬盘中。
设置“共享的系统卷”的位置:这个文件夹必须设置在 NTFS分区内。
选择或安装DNS服务器:可以在本机上安装DNS服务器, 也可以选择自己安装DNS服务器。
域控制器与DNS服务器的配合
一、在安装活动目录的计算机上同时安装DNS服务器 在安装之前,应该把该计算机的“DNS服务器地址”设 置为本机的IP地址。 这种方法安装的DNS服务器会自动生成与Active Directory相符合的配置。
二、另外安装DNS服务器
这种方法应该先在一台计算机上安装DNS服务器,并在 该DNS服务器内建立一个支持Active Directory的区域, 开启该区域的安全动态更新功能。
如果删除的是域中的最后一台域控制器,则该域也被删 除。 如果一个域下还有子域,必须先删除子域。 只有拥有相应权限的管理员才能删除域控制器和域。
3.4.2 将计算机加入域
条件:该计算机必须能够访问到域控制器所对应的 DNS 服务器。 所以,首先应该把该计算机的DNS服务器地址设置为域 控制器对应的DNS服务器地址。
计算机加入域后,域用户可以使用该计算机登录到域, 使用的账户是该用户拥有的域账户,而不一定是加入域 时使用的账户。
3.5 域账户管理
域账户管理类似于本地账户管理,它有以下特点: 1、域账户在域控制器上创建和管理; 2、在域上定义的安全策略对所有的域账户都有效; 3、拥有域账户的人可以在域中任一台计算机上登录域, 并使用域中的共享资源。
3.1 活动目录概述
在域结构的网络中,需要一个对账户和资源进行统一管理 的机制,这个机制就是活动目录(Active Directory)。 域中所有的账户和共享资源都需要在活动目录中进行登记。 用户可以利用目录查找和使用这些资源。
基于域结构的网络可大大减轻管理的复杂度和工作量,通 常用于结构较复杂的网络。
一个域用户账户的权利和权限通常取决于它所在的组。一 个域用户账户可同时属于多个组,其权限为各组权限的叠 加。
内置的域用户账户
当一台计算机升级为域控制器时,会自动创建几个用户 账户,称为内置用户账户。常用的有:
Administrator(管理员):该帐户具有对域的完全控制权。 它同时是 Administrators、Domain Admins 等多个 内置组的成员。
域林(Forest):一棵或多棵域树的集合构成域林。
名字空间
域树的名字空间是一个DNS名字空间。各子域的名字必须 与其父域的名字邻接。
根域A
子域B
子域C
域树的名字就是根域的名 字;
子域的名字必须与其父域 的名字邻接。
子域D
由于一个域中可以有一个或多个域控制器,所以一个域 中允许在多台服务器上安装活动目录。
建立域控制器时应该先进行规划,明确该域控制器所管 理的域,还需要明确各域之间的关系,这样才不会造成 混乱。
域规划
域树1
域A
域树2
域C
域树3
域D
域B
域林1
域E
域林2
第3章 Windows Server 2003 域及其账户管理
在工作组模式的网络中,各服务器都是独立的,各服务 器中的账户和资源也是各自进行管理的。所以,管理员 需要为每台服务器建立账户。管理时也需要分别登录各 服务器完成管理工作。授权用户访问不同的服务器时, 也需要分别登录。
在域模式的网络中,服务器可以集中进行管理,域中的 账户和资源也是集中管理的。所以,管理员登录一次就 可以管理整个域。授权访问用户登录一次就可以访问所 有共享资源。
域林中的多棵域树不构成邻接的名字空间。每棵域树 各自构成一个 DNS名字空间。
域林中第一个创建的域称为树林根域,它不可以删除、 更改或重命名。当创建一棵新树时,要指定初始的根 域,这样第2棵树的根域与第1棵树的根域间就建立了 一个信任关系;同样,建立第3棵树的根域时,应该与 第2棵树的根域建立信任关系。
自定义的信任类型有4种:外部、领域、林、快捷。
用它们可以设立一些单向的、不可传递的信任关系,用 于一些有特殊要求的场合。
3、委托和继承
委托和继承是两种管理技巧。如果一个网络的域结构很复 杂,会使域管理员的负担很重。
委托:管理员为特定的个人或组授予一定的管理权,即把 部分业务委托给相关人员。这样可减轻对域管理员的依赖, 也减轻了管理员的负担。
成员服务器:
成员服务器是一台运行 Windows Server 2003 的服 务器,它是域中的成员,但不是域控制器。
成员服务器不执行用户身份验证,也不存储安全策略信 息,这些工作由域控制器完成,这样,可以让成员服务 器有更高的处理能力来处理网络中的其他服务。
在域结构的网络中,身份验证与服务是分开的,这样可 以提高服务器的效率。
2、信任类型
新建域或域树时,Biblioteka 常使用系统默认的信任类型。(1) 父子:双向、可传递。 向一个域树中添加新域时,该域与其父域间建立父子信 任关系。
(2) 树根:双向、可传递。 向一个域林中添加新的域树时,新域的树根与现有域树 的树根间可建立树根信任关系。
域管理员可以使用“新建信任向导”创建其它的信任类 型,并应用于指定的域之间。