域用户帐号与管理

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

• 独立服务器
– 没有被赋予特殊的名称;可以是文件、打印 或应用软件服务器中的一种或多种。已经添 加到域中的独立服务器,具有以下特点:
• 没有备份域目录数据库功能。
• 没有审核域登陆者身份的功能(只能审核本机登 陆者身份)。
• 可以使用所属域内的帐号。 • 可以使用受托域内的帐号。
安装域控制器( 通过Active Directory安装向导配置)步
不能设置机械系域内的本地组L1 对物理系内资源的访问权限
本地组L1
NT服务器
NT服务器
工作站
物理系域
物理系域委托机械系域
NT服务器
工作站
可以设置机械系域内的全局组G1 对物理系内资源的访问权限
机械系域 NT服务器 全局组G1
• 用户帐号及建立方法。
– 用户名、用户全称、用户密码、隶属组、用户环境配 置文件、可在那些时间登陆、从那些工作站登陆、帐 号有效日期、登陆命令文件、主目录、拨入等信息。
电子系域
所有用户 帐号
单域 所有用户帐

信息中心域 所有用户帐

机械系 域
所有用 户帐号
管理系域
所有用户 帐号
• 多主域模式
– 网络中含有多 个主域,所有 的用户帐号都 建立在这几个 主域内,且每 一个用户在整 个网络中只需 要一个帐号, 不需要在每一 个主域中都建 立一个帐号。
信息中 心域1 所有用 户帐号
• Windows 2019 Server提供两个内置的全局帐号, 分别为
1.Administrator:用于对整个域进行管理,即系统管理 员帐号。
2.Guest:供临时访问者访问域中资源的帐号 • 以上两个帐号名称可以被用户修改,但是不能删除。 • 当用户比较多时,利用组对其管理。常见组类型为
– 全局组、本地组
3. 审核规则:用来设置是否对某些事件进行记录。例如:可以 设定将登陆、注销的成功、失败状况等记录到安全日志中。
• 用户帐号和组
– 每个要登陆到域的用户都需要一个用户帐号,帐号包 含用户名称、密码、用户权限、访问权限等信息。
– 用户帐号分为:全局帐号和本地帐号,添加到域中的 帐号默认为全局帐号。
– Windows 2019 Server提供两个内置的全局帐号,分 别为
电子系域 所有用户
帐号
信息中 心域2 所有用 户帐号
信息中 心域3 所有用 户帐号
机械系 域
所有用 户帐号
管理系域
所有用户 帐号
• 域的成员
– 在Windows 2019 Server网络的一个域中,必须有一台 安装并运行Windows 2019 Server Server的服务器,并 且此服务器必须是主域控制器(PDC),此服务器内保 存着域内用户与组数据库的主备份。此外,域内还可 以存在其他服务器。如下图:
• 全局组:经过适当设置,可以在任意域中使用的组。只有 域控制器才有全局组。在全局组中,只能包含该组所在域
内的用户,不能包含域内的用户,也不能包含其他的本地 组或全局组。
• 本地组:经过适当设置,本地组可以包含所有域中的用户 和所有全局组,但是不能包括其他本地组。对域控制器上 的本地组而言,只能设置其对计算机上资源的访问权限。
– 添加一个用户帐号后,系统自动为其生成一个安全标
示码(SID),此号码是唯一的,系统利用该号码来决
定用户权限。
– 一个帐号被删除后,即使再添加一个与其同名的帐号, 新帐号也不能具有与原来帐号相同的权限设置。
– 具体操作为:选择“开始”—程序—管理工具---域用 户管理器,在其窗口里面选择不同菜单,打开相应对 话框进行设置。
– Active Directory域和信任关系:用于设置域和域之间的 信任关系。
– Active Directory站点和服务:用于配置各域控制器之间 的性能优化。
域用户帐号与管理
• 在Windows 2019 Server中,域用户管理器是用于 建立和管理域中用户帐号、组、安全规则的主要 工具。
• 在信任域中被设置其对信任域内资源的使用权限与访问权限 • 访问信任域中的资源
– 委托关系可以是单向的或双向的。 – 委托关系不具有转移性
• 域的模式
1.单域模式 2.单主域模式 3.多主域模式
• 单域模式
• 单主域模式
– 由于所有的用 户帐号都建立 在主域中,所 以其他域必须 委托主域,以 便主域的帐号 能够使用所有 域中的资源。
骤:
1. 开始---管理工具---配置服务器,在打开的相应对话 框内,单击” Active Directory安装向导“。(或者 “开始”--“运行”--“dcpromo”启动向导。)
2. 启动向导,点击”下一步“按钮。 3. 设置域控制器类型。 4. 创建目录树或子域。 5. 创建或加入目录林 6. 新的域名。如:jsjxy
– 主域控制器也可以做文件、打印或应用软件服务器。同时负责审核 登陆者的身份。
• 备份域控制器
– 是一台运行Windows 2019 Server的计算机,但在安装时被设置为备 份域控制器。主域控制器会定期将目录数据库备份到备份域控制器 中。
– 功能和主域控制器类似;但备份域控制器不是必须的。 – 可分担审核负荷,或在PDC无法使用时提升为PDC,保证正常运行
• 委托关系
– 对于由多个域组成的网络,一个域中的用户需要访问 另一个域中的资源时,需要在两个域中建立委托关系
– 现称委托者为“信任域”,接受委托者为“受托域”。
– 当建立起委托关系后,信任域即可辨认受托域中的用 户帐号,允许这些帐号在信任域内使用。例如:
• 在信任域中登陆,但在登陆时必须指明用户属于哪一个受托 域
pdc
bdc
Stand-alone Server
网络设备 运行不同操作系统的工作站
• 主域控制器
– 是一台运行Windows 2019 Server 的计算机,一个域必须有且只能 有一个主域控制器。
– 域中所有帐号、组以及安全设置等数据都集中保存在主域控制器的 目录数据库中,因此帐号的增加与修改都是在主域控制器的目录数 据库中进行的。
1. Administrator:用于对整个域进行管理,即系统管理员帐号。 2. Guest:供临时访问者访问域中资源的帐号 • 以上两个帐号名称可以被用户修改,但是不能删除。
– 为提高用户管理效率,允许将域中的帐号按照其性质 划分为组,组中帐号能够自动继承组的权限与访问权 限。
• 用户帐号管理
– 对用户帐号进行复制、修改、删除。
• 安全规则及其设置
– 在域用户管理器中,可以设置3种安全规则:
1. 帐号规则:用来管理所有与用户帐号、密码有关的事项,例 如密码的期限、登陆错误几次后就将被帐号锁定等。
2. 用户权限规则:用来为用户和组指派权限,例如:那些用户 可以通过网络登陆、那些用户可以从本机直接登陆等。
– NetBIOS域名。如:jsjxy
– 指定Active Directory数据库和日志文件的位 置。
• wk.baidu.com域控制器安装完成后,即可进行活动目录的管 理,资源发布及客户机的域内资源的访问。
• 在控制面板中的管理工具窗口中,可见增加了三 个图标:
– Active Directory用户和计算机:用于域控制器的配置和 管理、活动目录的资源发布等。
相关文档
最新文档