活动目录的用户和组
Windows的使用活动目录讲义
活动目录
活动目录
该窗口可对计算机进行以下管理。 监视诸如登录次数和应用程序错误等系统事件。 创建和管理共享。 浏览与本地或远程计算机相连的用户列表。 启动和终止计划任务和线程。 设置存储设备的属性。 查看设备配置和添加新设备驱动器。
活动目录
⑤创建用户账户 弹出“Active Directory用户和计算机”窗 口 。 在左窗格中右击要创建计算机账户的域,快捷 菜单中选择“新建→用户”选项, “新建对象— 用户”对话框。
活动目录
目录服务把域详细分为组织单元。组织单元是 一个逻辑单位,是域中一些用户和组、文件与打印 机等资源对象的集合。组织单元还可以再划分下级 组织单元,下级组织单元能够继承父组织单元的访 问许可权。 每个组织单元可以有自己单独的管理员并指定 其管理权限,它们管理着不同的任务,从而实现对 资源和用户的分级管理。动态目录服务通过这种域 的组织单元树和域之间的可传递信任树来组织其信 任对象,实现颗粒式管理,为动态活动目录的管理 和扩展带来了极大的方便。
步骤3. 输入要加入的域名,然后单击“确定“。
步骤4.系统提示“输入有权限在域中重命名这台计算机的 帐户的名称和密码”时,输入该域中有权限的用户名和密 码,需经域控制器验证通过。 步骤5.出现“欢迎您加入xxxx.xxx域”后,表示当前计算 机已经成功地加入到指定的域中
活动目录
(2)域和信任关系管理工具 “Active Directory域和信任关系”管理工具 可以帮助系统管理员完成不同域之间信任关系的设 置。 例如,系统中安装两个域:hzjsj域与hzjw域, 两个域各有一台Active Directory的域控制器,且 两个域之间的连接正常。
活动目录
2 安装活动目录 (1)注意事项 1)在服务器上安装活动目录时,磁盘中必须有一个 格式化为NTFS的分区。 2)可以利用系统提供的活动目录安装向导配置服务 器。如果网络没有其他域控制器,可将服务器配置 为域控制器,并新建子域、域目录树或目录林。如 果网络中有其他域控制器,可将服务器设置为附加 域控制器,加入旧域、旧目录树或目录林。 3)活动目录安装后,服务器的开机和关机时间变长, 且系统的执行速度变慢。
活动目录详解
活动目录详解(基础篇)Windows 2000活动目录详解我们知道WIN2K系统最大的突破性和成功之一就在于它全新引入的“活动目录(Active Directory)服务”,使得WIN2K系统与Internet上的各项服务和协议更加联系紧密,因为它对目录的命名方式成功地与”域名“的命名方式一致,然后通过DNS进行解析,使得与在Internet上通过WINS解析取得一致的效果。
活动目录也说明了Microsoft在网络结构方面的策略转移,虽然在以前NT时代也有部分产品(如EXCHANGE SERVER、IIS等)提供过类似于活动目录的服务,然而活动目录作为一个全新的综合服务方式是在WIN2K的诞生后随之而来的。
活动目录的身影似乎在整个WIN2K系统中无处不在。
然而要真正了解“活动目录”的方方面面又谈何容易,下面就想通过一些通俗的讲解花几个篇章对活动目录的各主要方面作一详尽的分析,希望对那些对WIN2K的活动目录还存有畏惧心理的新手一个全面认识的机会。
一、活动目录的由来谈到活动目录最使人容易想起的就是DOS下的“目录”、“路径”和Windows9X/ME下“文件夹”,那个时候的“目录”或“文件夹”仅代表一个文件存在磁盘上的位置和层次关系,一个文件生成之后相对来说这个文件的所在目录也就固定了(当然可以删除、转移等,现在不考虑这些),也就是说它的属性也就相对固定了,是静态的。
这个目录所能代表的仅是这个目录下所有文件的存放位置和所有文件总的大小,并不能得出其它有关信息,这样就影响到了整体使用目录的效率,也就是影响了系统的整体效率,使系统的整个管理变得复杂。
因为没有相互关联,所以在不同应用程序中同一对象要进行多次配置,管理起来相当繁锁,影响了系统资源的使用效率。
为了改变这种效率低下的关系和加强与Internet上有关协议的关联,Microsoft公司决定在WIN2K中全面改革,也就是引入活动目录的概念。
理解活动目录的关键就在于“活动”两个字,千万不要将“活动”两个字去掉而仅仅从“目录”两个字去理解,那你我理来理去一定还是不能脱离原来在DOS下目录或Windows9x下的文件夹,正因为这个目录是活动的,所以它是动态的,它是一种包含服务功能的目录,它可以做到“由此及彼”的联想、映射,如找到了一个用户名,就可联想到它的账号、出生信息、E-mail、电话等所有基本信息,虽然组成这些信息的文件可能不在一块。
用户和组管理
1. 组的类型
与用户账户一样,根据Windows Server 2003服务器的工作组模式和 域模式,组分为本地组和域组。 1)本地组
创建在本地的组账户叫本地组。这些组账户的信息被存储在本地安全 账户数据库(SAM)中。本地组只能在本地计算机上使用,它有两种类型: 用户创建的组和系统内置的组。 2)域组
(2)弹出“user属性”对话框,在“常规”选项卡中选中 “账户已禁用”复选框,如下图B所示,单击“确定”按钮, 该账户即被禁用。
(3)如果要重新启用该账户,只要取消选中“账户已禁 用”复选框即可。
图A
图B
1.2 组的管理
组是指本地计算机或Active Directory中的对 象,包括用户、联系人、计算机和其他组。通 过组来管理用户和计算机对共享资源的访问。 引入组的概念主要是为了方便管理访问权限相 同的一系列用户账户。
5)禁用与激活账户
当某个用户长期不使用时,就要禁用该账户,不允许该账 户登录,禁用后该账户信息会显示为“╳”。禁用与激活本 地账户的操作步骤如下:
(1)在“计算机管理”窗口的左窗格中,选择“本地用 户和组”→“用户”选项,在右窗格中右击需要禁用的账户, 这里选择user账户,然后选择快捷菜单中的“属性”命令, 如下图A所示。
(3)设置好以上选项后,单击“创建”按钮,即可完成 新用户的创建。
图A
图B
2)更改账户
要对已经建立的账户 更改登录名,具体操作 为:
在“计算机管理”窗 口左侧的目录树列表中 选择“本地用户和 组”→“用户”选项,在 右侧用户列表格中右击 需要重命名的账户,选 择快捷菜单中的“重命 名”命令,如右图所示。 然后输入新的名称。
活动目录的好处
使用活动目录服务的好处是什么?完全集成到Windows 2000 服务器版中的活动目录为网络管理员、开发者和用户提供了访问目录服务的能力,这样可以:●简化管理任务●加强网络安全性●通过互操作使用现存网络简化管理分布式系统常常导致时间的消耗和管理的冗余。
当公司在他们的基础结构上添加应用程序并雇用新的职员时,他们需要适当地向各桌面系统分发软件并管理多个应用程序目录。
通过在单一的位置管理用户、组和网络资源以及分发软件和管理桌面系统配置,活动目录可以显著降低公司的管理费用。
例如,活动目录在同一个位置管理Windows 2000用户和Microsoft Exchange邮箱信息。
基于下列原因,活动目录可以从以下方面帮助公司简化管理:●消除冗余管理任务提供对Windows用户账号、客户、服务器和应用程序以及现存目录同步能力进行单一点管理。
●降低桌面系统的行程针对用户在公司中所担当的角色自动向其分发软件,以减少或消除系统管理员为软件安装和配置而安排的多次行程。
●更好的实现IT资源的最大化安全地将管理功能分派到组织机构的所有层次上。
●降低总体拥有成本(TCO)通过使网络资源容易被定位、配置和使用来简化对文件和打印服务的管理和使用。
活动目录如何简化管理以层次化组织用户和网络资源,活动目录使管理员拥有对用户账号、客户、服务器和应用程序进行管理的单一点。
这就减少了冗余的管理任务,同时,通过让管理员管理对象组或容器而非每个独立的对象来增加管理的准确性。
图4:活动目录简化了网络资源的管理活动目录允许管理员分派特定的管理权限和任务给单独的用户和组,以便更好地使用系统管理资源。
如上图所示,特定的管理任务,例如重新设置用户密码,可以被分派给市场机构的办公室管理员。
更多的特权功能,如"创建用户",可以为IT管理员保留。
活动目录也允许组织机构针对用户在公司中所担当的角色自动地将软件分发给他们。
例如,一个公司可以指定职员容器中的所有用户(无论是从哪里登录到网络上的)均可使用人力资源管理应用程序。
server-2019域用户和组的管理
displayName userPrincipalName samAccountName
csvde
Dn ,objectclass,samaccountname,userprincipalna me,displayname,Useraccountcontrol
“cn=peter,ou=tech,dc=contoso,dc=com”, user,peter,petercontoso,peter,514
DLG
Domain Local Group
Global Group
Global Group
Universal Group
DLG
Domain Local Group
Permissions
问题1:在目录树和目录林中使用组
? Accountants Need to Gain Access to the Accounting Data Across the Forest How Do You Set Up Groups?
7
成批导入程序
用户信息
记事本文件
活动目录
每一个用户对象,文件: 1.必须包括指向活动目录中的用户帐号、本身的类型以及
用户的登录名 2.应包含用户主名,帐号是否禁用 3.包含用户的属性(用户信息) 4.不可以包含密码
DN = Full Name + Path
使用CSVDE创建多用户帐号
objectClass
Add from Multiple
Domains
成员资格 成员属于
Global Group 作用范围
Universal Group Rules
可以包含来自目录林中的任何 域的用户和帐号全局组和其它 通用组
计算机网络 活动目录的结构
计算机网络活动目录的结构活动目录(Active Directory)是一个分布式的目录服务,信息可以分散在多台不同的计算机中,以保证用户的快速访问和容错。
它包括目录和目录相关的服务两个方面,其中目录是存储各种对象的一个物理上的容器,目录管理的基本对象是用户、计算机、文件及打印机等资源;目录服务是使目录中的所有信息和资源发挥作用的服务,如用户和资源管理、基于目录的网络服务及基于网络的应用管理等。
另外,Active Directory集成了关键服务,如DNS、MSMQ、MTS等和关键应用,如电子邮件、网络管理、ERP等。
为了更加深入的了解活动目录,我们从其物理结构和逻辑结构两方面分别进行讲解。
1.Active Directory逻辑结构在Active Directory中,是将资源组织到逻辑结构中,该逻辑结构是组织逻辑结构的镜像。
资源在逻辑上进行分组,使得用户可以通过名称而不是物理位置就能查找资源,也使网络的物理结构对用户来说是透明的。
Active Directory是由组织单位、域、域树构成的层次化目录结构。
它为每个域建立一个目录数据库副本,用于存储这个域的对象。
如果多个域之间存在相互关系,则他们可以构成域树,每个域都拥有各自的目录数据库副本存储自己的对象,并且可以查找域树种其他域的目录数据库副本。
多个域树则构成域林。
在前面已介绍过域、域树及域林,这里我们只对组织单位进行讲解。
组织单位(Organizational Unit)是组织、管理一个域内对象的容器,它包括用户账户、用户组、计算机、打印机、其它活动单位等。
因此,我们可以利用组织单位将域中的对象形成一个完全逻辑上的层次结构。
为了有效组织目录对象,组织单位根据企业业务模式的不同来创建不同的层次结构,如可以通过按部门、地理位置、对象类型等来划分层次结构。
这样可以帮助企业解决很多问题,极大地简化了网络管理工作,用户可以利用一个服务功能轻松的找到某个对象而不必考虑他的具体位置。
活动目录
安装活动目录
(1)运行位于C:WinntSystem32目录下的dcpromo.exe文件,以启动活动目录安装向导。点击“下一 步”按钮。 (2)由于用户所建立的是域中的第一台域控制器,所以在“域控制器类型”对话框中选择“新域的域 控制器”选项,然后点击“下一步”按钮。 (3)在“创建目录树和子域”对话框中选择“创建一个新域的域目录树”,点击“下一步”按钮。 (4)在“创建或加入目录林”对话框中选择“创建新的域目录林”,点击“下一步”按钮。 (5)在“新的域名”对话框中的“新域的DNS全名”框中输入需要创建的域名,这里是。 点击“下一步”按钮。 (6)在“NetBIOS域名”对话框中,安装向导自动将域控制器的NetBIOS名设置为“LANYI”,点击 “下一步”按钮。 (7)在“数据库和日志文件位置”对话框中,将显示数据库、日志文件的保存位置,一般不必作修改。 点击“下一步”按钮。 (8)在“共享的系统卷”中,指定作为系统卷共享的文件夹。Sysvol文件夹存放域的公用文件的服务 器副本。Sysvol广播的内容被复制到域中的所有域控制器。其文件夹位置一般不必作修改。点击 “下一步”按钮。 (9)在“配置DNS”对话框中,点击“下一步”按钮(如果在安装活动目录之前未配置DNS服务器,可 以在此让安装向导配置DNS,推荐使用这种方法)。 (10)在“权限”对话框中为用户和组选择默认权限,考虑到现在大多数单位中仍然需要使用 Windows 2000的以前版本,所以选择“与Windows 2000服务器之前版本相兼容的权限”选项,点 击“下一步”按钮。 (11)在“目录服务恢复模式的管理员密码”对话框中输入以目录恢复模式下的管理员密码。点击 “下一步”按钮。 (12)此时,安装向导将显示安装摘要信息。点击“下一步”按钮即可开始安装,安装完成之后,重 新启动计算机即可。
用 户 和 组
用户和组
知识点: ·创建和管理用户帐户:创建和管理本地用户帐户,创建和管理域用户帐户。 ·利用组管理对资源的访问:在工作组中实现组,在域中实现组。 ·共享磁盘资源:共享和权限,共享文件夹,磁盘配额。 ·配置网络打印机:Windows 2000下的打印功能,配置基于Web打印机。
1.1 创建和管理用户帐户 1.1.1 概述 用户帐户是含有特定用户信息的记录,用户帐户使得用户能登录到指定计算机,以访 问该计算机上的资源;或是登录到特定的域,以访问网络资源。 域是在同一个域名和安全范围内的一组帐户和网络资源的集合。
注意:这里介绍的组,仅仅是本机模式下的组,而不是处在混合模式下的网络中的组。
1.2.2 在工作组中实现组 一个工作组下可能会由几台计算机组成,它没有域网络中的纷繁功能,但通过在工作组 这样的简单计算机分组中使用组概念,可以使工作组中引入相当的网络功能。 1. 本地组和内置本地组: ⑴ 本地组
在工作组中实现一个组,该组就是本地组。 作为本地组还应注意: ·本地组只能包含来自创建该本地组的计算机的本地用户帐户; ·本地组不能是任何其他组的成员; ·本地组不出现在域的活动目录中,所以只能在工作组下的各个计算机的安全性帐户 管理器中进行管理。 ⑵ 内置本地组 除了自定义的本地组以外,Windows 2000 Professional和Windows 2000 Server还 提供了默认的组,就是内置本地组,这些组都有一组事先确定的权限和内置功能。
⑴ 设置用户帐户密码 ⑵ 设置本地用户帐户的属性
1.1.3 创建和管理域用户帐户
域用户帐户与本地用户帐户的区别在于:本地用户帐户只能在创建了该用户帐户的单 个独立的计算机系统上登录,使用该一台计算机上的资源;而域用户帐户可以在创建了该 用户帐户的域下的任何一台成员工作站或服务器上登录系统,并且可以使用域中所有的共 享网络资源。
windows server 2019服务器操作系统-第14章 域帐户的管理
规】、【环境】、【会话】、【远程控制】、【终
端服务配置文件】、【拨入】、【地址】、【帐
户】、【配置文件】、【电话】、【单位】和【隶
属于】等属性标签。
用户属性对话框
(1)【常规】标签包含建立新用户帐户时提供的 信 息。可以在【描述】和【办公室】文本框中增 加信息,也可以输入用户联系信息,包括电话 号码、E-mail地址和Web页面URL,如下图 所 示。
第9章 域帐户的管理
主要知识点:
一、创建和管理域用帐户 二、活动目录物理结构 三、组的类型和作用范围 四、用户配置文件
(了解) (了解) (掌握) (掌握)
一 域用户和计算机帐户
1、用户帐户和计算机帐户概述
(1) 活动目录用户帐户
用户帐户是用来记录用户的用户名和密码、
【选择组】对话框
(3)单击【禁用帐户】选项,当前用户将被禁止 使 用,此时在窗口中显示的用户名左侧小图标上 将显示一个红色的“X”符号,表明当前此用户 不可登录到服务器。再次打开快捷菜单时,原 来的【禁用帐户】选项变为【启用帐户】,单 击此选项,用户名被启用,可以进行登录操 作。
(4)单击【重设密码】选项显示对话框,管理员 可 以修改用户的密码,并设置用户是否在下次登 录时更改密码。
account对象中。
(2)通讯组
该组不是安全主体,只被用作分配列表。
可以在通讯组中存储联系和用户帐户。由于联系不
包括用户帐户的系统开销,所以只把联系放入组中
才更有意义。通讯组还和Microsoft Exchange兼
容,所以被广泛用于电话技术和传递信息应用软件
中。当升级Exchange用以支持Active Directory
活动目录内置组Account Operators的最佳实践建议
活动目录内置组Account Operators的最佳实践建议Account Operators 是一个Windows活动目录中内置的安全组,位于“Builtin”容器。
默认情况下,该内置组没有成员。
它可以创建和管理该域中的用户和组,但不可以管理服务管理员帐户。
最佳的做法是不要在该组中添加成员,也不要将之用于任何委派的管理任务。
Account Operators组的成员用户可以创建、删除及修改用户、组,如果你想委派诸如重置密码、加域、创建AD对象等权限,不要将他们添加到这个组中,因为它相对使用委派分配控制有更多的特权,后者只分配了执行任务实际需要的权限,而可以成为受限制的组。
因此在控制AD安全性上,使用委派比添加用户到这个组要更好。
此外,Account Operators组也是一个受保护的组,如果你添加用户/组到这个组,当adminSDHoler(也叫SD propagator)进程运行校验受保护组成员关系时,那些用户/组的安全描述符会被adminSDHolder的安全描述符所覆盖,同时这些成员账户不再继承父级容器的ACE访问控制条目,因此这些账户的安全权限会被修改。
活动目录的组
Guests
无默认的用户权限
组 IncomingForestTru stBuilders(仅出现 在林根域中) NetworkConfigurat ionOperators PerformanceMonito rUsers
描述 该组的成员可以创建对林根域的单向传入林信任。例如,驻留 在A林中的该组成员能够创建来自B林的单向传入信任。该单向 传入林信任允许A林中的用户访问位于B林的资源。该组的成员 在林根域上会得到[创建传入信任]权限。该组无默认成员。 该组的成员可更改TCP/IP设置并续订和发布该域中域控制器上 的TCP/IP地址。该组无默认成员。 该组的成员可在本地或从远程客户端监视该域中域控制器上的 性能计数器、日志和警报, ,不必成为Administrators 组的成员 该组的成员可在本地或从远程客户端管理该域中域控制器上的 性能计数器,不必成为Administrators 或PerformanceLogUsers组的成员 该组的成员具有对该域中所有用户和组的读取访问权限。该组 向后兼容运行NT4.0及更低版本的计算机。默认情况下,特殊 的Everyone标识是该组的成员。仅当用户在运行NT4.0及更低 版本时,将其添加到该组中 该组的成员可管理、成就、贡献和删除连接到该域中域控制器 上的打印机。它们可以管理该域中的AD打印机对象。该组的 成员可本地登陆到该域的域控制器中,并可将其关闭。该组无 默认成员。由于该组的成员可在该域的所有域控制器上加载和 卸载设备驱动程序,因此在添加用户时须谨慎。 该组的成员可远程登录到该域的域控制器。无默认成员 该组支持目录复制功能,并由该域的域控制器上的[文件复制] 服务使用。该组无默认成员,不向该组添加用户。
在定义对资源和对象的权限的ACL中列出 了安全组。为资源指派权限时,管理员应将 那些权限指派给安全组而非个别用户。权限 可一次分配给这个组,而不是多次分配给单 独的用户。添加到组的每个帐户将接受在AD 中指派给该组的权力以及在资源上为该组定 义的权限。
Windows 活动目录管理常用命令
活动目录命令整理一、活动目录修改及查询命令dsadd命令(创建活动目录对象)使用dsadd命令可以在活动目录中创建OU、用户、组、联系人等对象,下面逐一进行介绍。
1、创建组织单位:命令格式:dsadd ou <OUDN> [-desc 描述] [{-s 服务器|-d 域}] [-u 用户名] [-p {密码|*}] [-q] [{-uc|-uoc|-uci}]注意:OU名称应为要创建的OU的LDAP绝对路径(DN,Distinguished Name),如果DN中包含空格,应该在路径两端使用双引号。
例如要在域中建立一个名为finance的OU,可以执行以下命令:C:\>dsadd ou ou=finance,dc=yjx,dc=com -desc "财务部"dsadd 成功:ou=finance,dc=yjx,dc=com2、创建域用户帐户命令格式:dsadd user <UserDN> [-samid <SAMName>] -pwd {<Password>|*} –upn UPN例如要在域中建立一个名为mike的用户帐户,该用户将位于sales OU中,其显示名称为“mike yang”,则可以执行以下命令:C:\>dsadd user cn=mike,ou=sales,dc=yjx,dc=com -samid mike -pwd benet3.0 -display “mike yang”dsadd 成功:cn=mike,ou=sales,dc=yjx,dc=com3、创建计算机帐户命令格式:dsadd computer <ComputerDN>要在域中的sales OU中建立一个名为client-2的计算机帐户,可以执行以下命令:C:\>dsadd computer cn=client-2,ou=sales,dc=yjx,dc=comdsadd 成功:cn=client-2,ou=sales,dc=yjx,dc=com要在域中的sales OU中建立一个名为client-3的计算机帐户,并设置计算机账户的描述信息为“测试工作站”,可以执行以下命令:C:\>dsadd computer cn=client-3,ou=sales,dc=yjx,dc=com -desc 测试工作站dsadd 成功:cn=client-3,ou=sales,dc=yjx,dc=com4、创建联系人命令格式:dsadd contact <ContactDN> [-fn <FirstName>] [-mi <Initial>] [-ln <LastName>] [-display<DisplayName>] [-desc <Description>]要在域中的sales OU中建立一个名为杨建新的联系人,执行以下命令:C:\>dsadd contact cn=杨建新,ou=sales,dc=yjx,dc=com -fn jianxin -ln yang -display 杨建新dsadd 成功:cn=杨建新,ou=sales,dc=yjx,dc=com以上创建操作完成后,sales OU的基本情况如下图所示:dsmod命令(修改活动目录对象)dsmod命令用来修改活动目录对象的属性,可以对OU、用户、组、联系人等对象进行修改。
第6章_活动目录的配置和管理
活动目录的设置与管理
1 域用户 2 域组 3 用户配置文件和主文件夹
我们用这个帐号"Jack"登录到"域"中看看, 打开下面的"登录到"选单,选择"SOFT"域。第 一次用该帐号登录域,花费的时间要长一点,以 后就比较快了。
我们打开“控制面板”,双击“用户和密码”, 这时会出现 一个“用户和密码”对话框,要求指定本机管理员的用户名和密码, 验证身份后就进入“用户和密码”窗口,你会发现在其中多出了一 个用户“Jack”,原来我们并没有创建这个用户,这个帐号的图 标也与众不同,本机用户的图标都是一个小电脑和一个头像组成, 这个用户是一个地球和一个头像组成,表明其来自“域Soft”, 这就是我们刚才在将计算机加入到“域”中 。
1. 启动Windows 2000 Server系统自动打 开“Windows 2000配置服务器”窗口
2. 在左边的列表中单击Active Directory (活动目录)超级链接,并拖动右边的滚动条到底部, 使对话框
3. 单击“开始”超级链接,打开“ Active Directory安装向导”对话框
8. 单击“下一步”按钮,打开如图9 - 8所示的 “NetBIOS域名”对话框,在“域NetBIOS名”文本框中输 入NetBIOS域名,或者接受显示的名称。NetBIOS域名是供 早期的Windows用户用来识别新域的。
9. 单击“下一步”按钮,打开如图9 - 9所示的“数据库和 日志文件位置”对话框,在“数据库位置”文本框中输入保存数 据库的位置,或者单击“浏览”按钮选择路径,在“日志位置” 文本框中输入保存日志的位置或单击“浏览”按钮选择路径。注 意,基于最佳性和可恢复性的考虑,最好将活动目录的数据库和 日志保存在不同的硬盘上。
活 动 目 录
·查找的方法
计机查找域控制器分为以下几个步骤:
⑴ 首先用户登录域,开始使用活动目录以及域控制器提供的特定服务,启动网络登录服 务的用户计算机使用一个API接口——DsGetDcName和服务器进行数据交流;
·增量区域传送:它是上一条的补充,它只允许新的或修改过的数据文件在DNS服务器 之间复制。
1. 安装DNS前的准备: 安装Windows 2000的DNS需要的条件: ·安装Microsoft Windows 2000 Advance Server系统的并被配置为标准服务器的计算机; ·一个静态的IP地址和相应的子网掩码; ·所要配置的DNS域名以及正向查找区域名和反向查找区域名。 对所要安装DNS的计算机配置DNS后缀: ⑴ 以系统管理员的身份登录系统; ⑵ 调入“我的电脑”的属性界面对话框,选择“网络标识”页面,点击“其它”; ⑶ 在“DNS后缀和NetBIOS计算机名”界面中的“此计算机的主DNS后缀”文本框中填 入所要设置的域名,再将打开的所有界面中点击“确定”完成设置,重新启动计算机。
计算机网络技术
活动目录
知识点: ·活动目录概述:活动目录的组成、活动目录的逻辑结构、活动目录的物理结构。 ·DNS和活动目录的集成:DNS的作用、DNS解析、活动目录的集成区域、安装和配置DNS。 ·创建域:创建域前的准备、创建域的过程、域的配置和管理。 ·活动目录下的用户管理与资源发布:创建和管理用户帐户及使用组、在活动目录中发布资 源;委派管理控制。
3. 配置DNS : 安装完DNS服务后,还需要为DNS创建正向及反向的查找区域: ⑴ 创建及配置正向查找区域
⑵ 创建及配置反向查找区域
第10章_活动目录服务
2. 活动目录服务的对象 在活动目录中目录服务的对象通常包括共享 资源、 网络用户账户、 计算机帐户、 服务、 资源 、 网络用户账户 、 计算机帐户 、 服务 、 数据库和其他任意对象, 数据库和其他任意对象 , 每种对象的管理方 法类似。 在所有对象中, 法类似 。 在所有对象中 , 最常见的管理对象 就是活动目录中的计算机和用户。 就是活动目录中的计算机和用户。 Derectory用户和计算机管理单 3. Active Derectory用户和计算机管理单 元的组成 Directory用户和计算机管理单 4. Active Directory用户和计算机管理单 元中的对象管理类别图10-2 森林的组成
人民邮电出版社
10.1.3 目录服务管理 1.目录服务概述 目录服务是W2000-SER提供的一种基本网络服 目录服务是W2000-SER提供的一种基本网络服 利用目录服务, 务 。 利用目录服务 , 用户或者是管理者无需 知道对象的确切名称, 即可通过对象的一个 知道对象的确切名称 , 或多个属性, 查找到计算机网络中的对象。 或多个属性 , 查找到计算机网络中的对象 。 2000域方式网络中 最主要的目录服务有: 域方式网络中, 在W2000域方式网络中,最主要的目录服务有: 用户管理、 计算机管理、 资源管理、 用户管理 、 计算机管理 、 资源管理 、 基于目 录的网络服务和基于网络的应用管理。 录的网络服务和基于网络的应用管理。
第10章 活动目录服务 10章
10.1
Windows 2000活动目 录概述
10.1.1 Windows 2000活动目录的基本概念 活动目录的基本概念 1. 活动目录及其组织结构与特点 活动目录的Active Directory, 简称AD AD。 活动目录的 Active Directory , 简称 AD 。 它 2000是 在 W2000-SER 中 使 用 的 目 录 服 务 , 也 是 2000网络体系结构中最重要的概念 网络体系结构中最重要的概念。 W2000网络体系结构中最重要的概念。 目录(Directory)和文件目录( 2. 目录(Directory)和文件目录(File Directory) Directory) (1 ) 目录 2000中 在 Windows 2000 中 , 目录是用来存储各种对 象的一个物理容器, 象的一个物理容器 , 用它来管理的对象可以 人民邮电出版社 计算机、 用户账户、 是 : 域 、 组 、 计算机 、 用户账户 、 文件目录 和打印机等。 和打印机等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
密码策略 • 严格的密码策略是保证系统安全的第一道屏障 • 危险密码
– – – – – – 空密码 与用户名相同 用户名的简单变化 用户本人相关的个人信息 英文单词 键盘上相邻的字母组合
• 强壮密码
– 字母 数字+大小写 具有一定的长度 无意义的组合 字母+数字 大小写 具有一定的长度+无意义的组合 数字 大小写+具有一定的长度 无意义的组合+ 定期更改
– 位于域控制器(DC)中的组 位于域控制器( )
• DC上没有本地组,只有域中的组账号 上没有本地组, 上没有本地组
活动目录中组的类型 • 在活动目录中,根据组的类型进行分类,有通讯 在活动目录中,根据组的类型进行分类, 组和安全组两种类型
– 通讯组:用来组织用户账号,没有安全特性,一般来 通讯组:用来组织用户账号,没有安全特性, 说不用于授权。 说不用于授权。在通讯组中可以存储联系人和用户账 可以在Microsoft其他的产品如 其他的产品如Microsoft 号,可以在 其他的产品如 Exchange 2007中使用 中使用 – 安全组:具备通讯组的全部功能,用来为用户和计算 安全组:具备通讯组的全部功能, 机分配权限, 机分配权限,是Windows Server 2003标准的安全主 标准的安全主 体。安全组出现在定义资源和对象权限的访问控制列 表中
Windows Server 2003中组的类别 中组的类别 • 域中的组
– 位于域中成员服务器(非DC)中的组 位于域中成员服务器( )
• 组的成员可以是本地计算机上的本地用户账号、域中的用户 组的成员可以是本地计算机上的本地用户账号、 账号、域中的全局组和通用组账号、 账号、域中的全局组和通用组账号、信任域中的域用户账号 以及信任域中的全局组和通用组账号 • 通过“计算机管理”控制台下的“本地用户和组”来管理和 通过“计算机管理”控制台下的“本地用户和组” 维护 • 为了安全,不建议使用 为了安全,
Windows Server 2003中组的类别 中组的类别 • 工作组中的组
– 内置组:在创建操作系统或安装相应的网络服务时创 内置组: 建的,对操作系统都具有一定的管理权限, 建的,对操作系统都具有一定的管理权限,无法被删 除也不能修改其权限配置 – 本地组:可以组织用户账号并对组进行授权 本地组: – 通过“计算机管理”控制台进行管理和维护 通过“计算机管理”
查看用户账号的SID 查看用户账号的 • SID(Security Identifier,安全标识符)是一种 ( ,安全标识符) 不同长度的数据结构,用来识别用户、 不同长度的数据结构,用来识别用户、组和计算 机账号 • 在Windows系统中是基于 系统中是基于SID,而不是基于名字 系统中是基于 , 来识别对象的。 在创建该对象时产生, 来识别对象的。SID在创建该对象时产生,从 在创建该对象时产生 CPU中随机读取一个字符串 SID一旦被使用就 CPU中随机读取一个字符串,SID一旦被使用就 中随机读取一个字符串, 永远都不会重复 • 利用whoami命令查看用户的 利用 命令查看用户的SID 命令查看用户的
账号管理的一般性原则 • 确保网络中只有必需的账号被使用,及时删除不 确保网络中只有必需的账号被使用, 使用的账号, 使用的账号,而且每个账号仅有能满足他们完成 工作的最小权限 • 重命名敏感用户账号,如Administrator、Guest 重命名敏感用户账号, 、 以及其他一些在安装软件或服务时( 以及其他一些在安装软件或服务时(如IIS和终端 和终端 服务) 服务)自动建立的账号 • 实施严格的密码策略,阻止对密码的暴力攻击 实施严格的密码策略, • 设置账号锁定策略
管理活动目录用户账号和 组账号
教学教研部 赵天宇
本章目标 • • • • 理解域用户和计算机账户 学会创建和管理域用户和计算机账户 理解活动目录中组的不同类型及其作用 学会运用AGDLP策略 学会运用 策略
用户账号的介绍 • • • 用户账号的一般性介绍 用户主名 用户主名后缀
用户账号的一般性介绍
•
用户账号的作用
为用户提供“单一验证” 为用户提供“单一验证” – 提供对资源的访问 – 本地用户账号和域用户账号的区别 – 可以分为显示名和登录名
–
用户主名
是一种只能用来登录到Windows 是一种只能用来登录到Windows Server 2003网络的登录名 2003网络的登录名
user@
域用户账号复制 • 账号模板的作用
– 把多个用户账号的公用属性写到模板账号中,然后利 把多个用户账号的公用属性写到模板账号中, 用账号复制的方法可以减轻管理员的工作负担
• 演示:账号复制 演示:
在AD中搜索用户账号 中搜索用户账号 • 利用活动目录根据已知用户账号的属性进行搜索 • 演示:在AD中搜索用户账号 中搜索用户账号 演示:
管理Administrator账号 账号 管理 • Administrator账号的特点 账号的特点
– 不能删除 – 不能修改其默认权限的设置
• 重命名 重命名administrator账号 账号
管理Guest账号 账号 管理 • Guest账号的作用 账号的作用
– Guest账号作为来宾账号,是供那些未经授权的用户访 账号作为来宾账号, 账号作为来宾账号 问系统时使用的,所以除非特别需要, 问系统时使用的,所以除非特别需要,否则不要启用 Guest账号,而且也不要为 账号, 账号 而且也不要为Guest账号赋予额外的权限 账号赋予额外的权限
– 域功能级别可以提升,但提升是单向的,而且只有Domain 域功能级别可以提升,但提升是单向的,而且只有 Admins和Enterprise Admin组的成员才能进行该操作 和 组的成员才能进行该操作
活动目录域和目录林的功能 • 林功能级别
– Windows 2000模式 模式
• 支持 支持Windows NT4.0、Windows 2000和Windows 2003 、 和 • 不能实现如全局编目复制改造、域重命名、林信任、活动目录 不能实现如全局编目复制改造、域重命名、林信任、 中停用类型或属性等功能
组账号的介绍 • • • • • • 组账号介绍 Windows Server 2003中组的类别 中组的类别 活动目录中组的类型 活动目录域和目录林的功能 组的范围 通用组和全局编录的关系
组账号介绍 • 组账号
– 组是用户账号的逻辑的集合(删除组后用户仍存在) 组是用户账号的逻辑的集合(删除组后用户仍存在) – 当一个用户账号加入到一个组以后,该用户账号就拥有 当一个用户账号加入到一个组以后, 该组所拥有的全部权限 – 一个用户账号同时可以是多个组的成员。 一个用户账号同时可以是多个组的成员。 – 在特定情况下组是可以嵌套的(组中可以包括其他组) 在特定情况下组是可以嵌套的(组中可以包括其他组)
执行用户账号公共管理任务
• 公共管理任务包括: 公共管理任务包括:
– 添加到组:把用户加入到一个组账号中,可 添加到组:把用户加入到一个组账号中, 以使用户账号具有该组所拥有的权限, 以使用户账号具有该组所拥有的权限,在对 用户授权时使用 – 禁用账户:如果员工出差,在一段时间内该 禁用账户:如果员工出差, 账号不使用时应该把账号禁用 – 重设密码:当用户本人忘记了自己的密码时, 重设密码:当用户本人忘记了自己的密码时, 可以由管理员对密码进行重新设置 – 移动:当员工从一个部门调到另外的部门时, 移动:当员工从一个部门调到另外的部门时, 可以利用账号移动在网络管理中以体现这种 行政管理的变化 – 删除:当员工离职时,出于安全性的考虑, 删除:当员工离职时,出于安全性的考虑, 应将不再使用的用户账号删除 – 重命名:从安全的角度来看,账号重命名对 重命名:从安全的角度来看, 一些内置账号如Administrator来说非常重要 一些内置账号如 来说非常重要
使用“ 用户和计算机” 使用“Active Directory用户和计算机”创建用户账号 用户和计算机 • 演示:使用“Active Directory用户和计算机” 演示:使用“ 用户和计算机” 用户和计算机 创建用户账号的过程
Active Directory Users and Computers
设置用户账号属性 • 对用户账号的管理实质上是对账号属性的管理 • 演示:设置用户账号的常用属性 演示:
实现用户配置文件
用户配置文件的功能: 用户配置文件的功能:对Display、 、 regional、mouse、printer、network等 、 、 、 等 属性进行设置,定义用户工作环境 属性进行设置,
活动目录域的功能级别 • 域功能级别
– Windows 2000混合模式 混合模式
• 支持 支持Windows NT4.0、Windows 2000和Windows 2003 、 和 • 安装活动目录后目录的默认功能级别 • 该模式的域不能使用通用组、不能进行组的嵌套、也不能启用SID的 该模式的域不能使用通用组、不能进行组的嵌套、也不能启用 的 历史记录功能(迁移安全主体) 历史记录功能(迁移安全主体)
删除域用户账号 • 使用“Active Directory用户和计算机”删除用 使用“ 用户和计算机” 用户和计算机 户账号 • 利用 利用dsrm命令删除域用户账号 命令删除域用户账号
Windows Server 2003中的账号安全 中的账号安全 • • • • • 账号管理的一般性原则 密码策略 管理Administrator账号 管理 账号 管理Guest账号 管理 账号 查看用户账号的SID 查看用户账号的
– Windows 2000纯模式 纯模式
• 支持 支持Windows2000和Windows 2003 和 • 该模式的域能使用通用组、进行组嵌套和SID的历史记录功能 该模式的域能使用通用组、进行组嵌套和 的历史记录功能