AD域管理解决方案
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
OU 用于:
• 层次化地、逻辑地表示公司组织结构 • 以统一的方式管理一系列对象 • 将权限委派给对象的管理员组 • 应用策略
域组策略
组策略对象
• 包含组策略设置 • 在两个位置存储内容
组策略容器 • 存储在 AD DS 中 • 提供版本信息
组策略模板
• 存储在共享 SYSVOL 文件夹中 • 配置组策略设置 • 支持 ADM 和 ADMX 模板
• 所有用户可以: • 恢复文件或文件夹 • 浏览以前版本来选择正确的数据 • 复制文件或文件夹到备用位置
什么是 WDS ?
WDS 是 Windows Server 2012 提供的windows 系统部署服务角色 •Windows Deployment Services:
• 可以让您进行网络安装 • 简化部署过程 • 支持部署到没有操作系统的计算机 • 使用技术,如Windows PE, .wim, .vhd and .vhdx 以及
Internet
Automatic updates
配置客户端使用WSUS
• 使用组策略: • 配置自动更新 • 确定内部WSUS服务器位置
• 对于运行Windows 8,Windows Server 2012或更新的计算机, 您应该: • 自动下载更新 • 不自动安装更新
• 对于运行比较旧的计算机,您应该 • 自动下载更新 • 自动安装更新
Active Directory管理应用前后对比
对比内容 操作系统安装 软件安装
无域 光盘、U盘 拷贝到本地安装
有域 光盘、U盘、网络部署 网络分发,网络共享安装
用我户的数文据档保)护(桌面、无,或用户自己备份 有,系统自动备份到服务器
文件保护版本
无,或用户自己多次备 有,系统自动创建。可根据需
份
• 无论是共享和NTFS文件和文件夹权限必须有正确的 权限,否则用户或组将被拒绝访问该资源
什么是访问权限枚举Access-Based Enumeration?
•Access-based enumeration允许管理员根据共享文 件夹设置权限控制共享文件夹的可见性
•Access Based Enumeration :
• 父/子关系中权限默认继承 • 阻止权限继承:
• 您可以组织权限继承 • 您可以在文件或文件夹上应用阻止继承 • 您可以在文件夹上设置阻止新权限传播给子对象
有效权限
• 共享权限和NTFS权限结合使用时,应用最严格权限
• 如:如果一个用户或组被赋予读取共享文件夹权限和 写的NTFS权限,用户或组将只能够读取该文件,因为 它是更严格的权限
• 提供了一个集中的地方来管理用户和组帐户以及相应的工具集 • 提供了一个集中的地方来分配对共享网络资源的访问权 • 为支持 AD DS 的应用程序提供目录服务 • 提供用于配置应用于所有用户和计算机的安全策略的多种选项 • 提供用于管理用户桌面和安全设置的组策略
OU
OU 是可包含用户、组、计算机和其他 OU 的 Active Directory 容器。
什么是共享文件夹?
• 共享文件夹是授予网络访问它们的内容的文件夹
• 文件夹可以共享,但单个文件不能 • 使用UNC路径访问共享文件夹:
• \\LON-SVR1\Sales (标准共享) • \\LON-SVR1\Sales$ (隐藏共享)
权限继承
• 继承是用来管理对资源的访问,无须为每个对象给予明确的 权限
基于映像部署
Active Directory管理应用前后对比
• 无域环境:对工作站没有管理能力,每台用户对计算机都有完全 控制权限,安装软件不受限制。用户的数据都保存在本地计算机, 员工自己保存自己的数据,数据安全没有备份冗余。
• 有域环境:对集团计算机进行统一的管理。可以通过网络安装操 作系统、通过网络分发软件,自动将终端“桌面”、“我的文档” 重定向到服务器并进行定时备份、为每个用户提供共享文件夹 (实现局域网网盘功能)。
用户利用以下两种方式安装软件:
• 用户开始运行此软件
• 利用文件启动功能(document activation)
将软件分配给计算机
当将一个软件通过组策略分配给域内的成员计算机后,这些计算机启动 时就会自动安装这个软件,而且任何用户登录都可以使用此软件。
将软件发布给用户
通过这种方式将软件发布给域内用户,此软件不会自动安装到用户的计 算机内。
要每天Leabharlann Baidu建到到多次
操作系统补丁安装 用户自己联网安装 服务器自动分发,定时安装
服务器之间数据同步 无
DFS自动复制、自动同步
共享文件夹(局域网 网盘)
无
可以为每个用户提供网盘,供 用户保存数据
Active Directory 域管理解决方案
主要内容
• Active Directory概述 • 组策略 • 使用组策略分发软件 • 分布式文件系统 • WSUS系统更新管理服务 • WDS部署操作系统 • AD域管理解决的问题
什么是活动目录
• 活动目录是用于Windows Server 的目录服务。活动目录的核心 包含了活动目录数据库,在活动目录数据库中存储着网络上各种 对象的有关信息(计算机、用户、组等),并使该信息易于管理 员和用户查找及使用。
软件部署概述
将软件分配给用户 将软件分配给计算机 将软件分布给用户
将软件分配给用户
当将一个软件通过组策略分配给域内用户后,用户在域内的任何一台计 算机登录时,这个软件都会被通告(advertised)给该用户。但是此 软件并没有完全安装,而只是安装了与软件相关的部分信息,如快捷方 式。
• 内置于Windows Server • 对共享文件夹可用 • 在每个共享文件夹基础上配置
使用卷影副本保护共享文件和文件夹
什么是卷影副本? 卷影副本计划注意事项 使用卷影副本恢复数据 演示:从卷影副本恢复数据
什么是Shadow Copies?
• 运行访问以前的文件版本 • 基于磁盘变化跟踪
• 在同一卷上分配磁盘空间 • 当空间满时,旧的卷影副本会被删除
• 不能替代备份 • 不适合恢复数据库
卷影副本计划注意事项
Default schedule is 7:00 A.M. and noon
创建卷影副本计划基于: • 服务器容量 • 更新频率 • 更新重要性
使用卷影副本恢复数据
• 可以从文件或文件夹属性对话框中访问以前版本 • 管理员可以直接在服务器上恢复到以前版本 • 用户可以通过网络恢复以前版本
组策略组件
组策略设置定义了具体配置,应用于 用户或计算机
一个组策略是一些能够应用于用 户、计算机的组策略设置集合
组策略委派管理
委派组策略相关任务可以将管理工作量分布到企业
下面的组策略任务可以独立委派:
• 创建 GPOs • 编辑 GPOs • 为站点、域、OU管理GPO链接 • 执行组策略建模分析 • 读取组策略结果集 • 创建WMI 过滤器
用户利用以下两种方式安装软件:
• 通过控制面板安装
• 利用文件启动功能(document activation)
WSUS 系统更新管理服务器
Automatic updates
Microsoft Update website
Test clients
LAN
Server running Windows Server Update Services
• 目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的 基础。
为什么部署活动目录
AD DS 提供了一个集中式的系统,用于管理网络上的用户、计算机和 其他资源。
AD DS 功能包括:
• 集中式目录 • 单一登录访问 • 集成安全性 • 可伸缩性 • 公共管理界面
AD DS 通过以下几点实现集中管理网络:
• 层次化地、逻辑地表示公司组织结构 • 以统一的方式管理一系列对象 • 将权限委派给对象的管理员组 • 应用策略
域组策略
组策略对象
• 包含组策略设置 • 在两个位置存储内容
组策略容器 • 存储在 AD DS 中 • 提供版本信息
组策略模板
• 存储在共享 SYSVOL 文件夹中 • 配置组策略设置 • 支持 ADM 和 ADMX 模板
• 所有用户可以: • 恢复文件或文件夹 • 浏览以前版本来选择正确的数据 • 复制文件或文件夹到备用位置
什么是 WDS ?
WDS 是 Windows Server 2012 提供的windows 系统部署服务角色 •Windows Deployment Services:
• 可以让您进行网络安装 • 简化部署过程 • 支持部署到没有操作系统的计算机 • 使用技术,如Windows PE, .wim, .vhd and .vhdx 以及
Internet
Automatic updates
配置客户端使用WSUS
• 使用组策略: • 配置自动更新 • 确定内部WSUS服务器位置
• 对于运行Windows 8,Windows Server 2012或更新的计算机, 您应该: • 自动下载更新 • 不自动安装更新
• 对于运行比较旧的计算机,您应该 • 自动下载更新 • 自动安装更新
Active Directory管理应用前后对比
对比内容 操作系统安装 软件安装
无域 光盘、U盘 拷贝到本地安装
有域 光盘、U盘、网络部署 网络分发,网络共享安装
用我户的数文据档保)护(桌面、无,或用户自己备份 有,系统自动备份到服务器
文件保护版本
无,或用户自己多次备 有,系统自动创建。可根据需
份
• 无论是共享和NTFS文件和文件夹权限必须有正确的 权限,否则用户或组将被拒绝访问该资源
什么是访问权限枚举Access-Based Enumeration?
•Access-based enumeration允许管理员根据共享文 件夹设置权限控制共享文件夹的可见性
•Access Based Enumeration :
• 父/子关系中权限默认继承 • 阻止权限继承:
• 您可以组织权限继承 • 您可以在文件或文件夹上应用阻止继承 • 您可以在文件夹上设置阻止新权限传播给子对象
有效权限
• 共享权限和NTFS权限结合使用时,应用最严格权限
• 如:如果一个用户或组被赋予读取共享文件夹权限和 写的NTFS权限,用户或组将只能够读取该文件,因为 它是更严格的权限
• 提供了一个集中的地方来管理用户和组帐户以及相应的工具集 • 提供了一个集中的地方来分配对共享网络资源的访问权 • 为支持 AD DS 的应用程序提供目录服务 • 提供用于配置应用于所有用户和计算机的安全策略的多种选项 • 提供用于管理用户桌面和安全设置的组策略
OU
OU 是可包含用户、组、计算机和其他 OU 的 Active Directory 容器。
什么是共享文件夹?
• 共享文件夹是授予网络访问它们的内容的文件夹
• 文件夹可以共享,但单个文件不能 • 使用UNC路径访问共享文件夹:
• \\LON-SVR1\Sales (标准共享) • \\LON-SVR1\Sales$ (隐藏共享)
权限继承
• 继承是用来管理对资源的访问,无须为每个对象给予明确的 权限
基于映像部署
Active Directory管理应用前后对比
• 无域环境:对工作站没有管理能力,每台用户对计算机都有完全 控制权限,安装软件不受限制。用户的数据都保存在本地计算机, 员工自己保存自己的数据,数据安全没有备份冗余。
• 有域环境:对集团计算机进行统一的管理。可以通过网络安装操 作系统、通过网络分发软件,自动将终端“桌面”、“我的文档” 重定向到服务器并进行定时备份、为每个用户提供共享文件夹 (实现局域网网盘功能)。
用户利用以下两种方式安装软件:
• 用户开始运行此软件
• 利用文件启动功能(document activation)
将软件分配给计算机
当将一个软件通过组策略分配给域内的成员计算机后,这些计算机启动 时就会自动安装这个软件,而且任何用户登录都可以使用此软件。
将软件发布给用户
通过这种方式将软件发布给域内用户,此软件不会自动安装到用户的计 算机内。
要每天Leabharlann Baidu建到到多次
操作系统补丁安装 用户自己联网安装 服务器自动分发,定时安装
服务器之间数据同步 无
DFS自动复制、自动同步
共享文件夹(局域网 网盘)
无
可以为每个用户提供网盘,供 用户保存数据
Active Directory 域管理解决方案
主要内容
• Active Directory概述 • 组策略 • 使用组策略分发软件 • 分布式文件系统 • WSUS系统更新管理服务 • WDS部署操作系统 • AD域管理解决的问题
什么是活动目录
• 活动目录是用于Windows Server 的目录服务。活动目录的核心 包含了活动目录数据库,在活动目录数据库中存储着网络上各种 对象的有关信息(计算机、用户、组等),并使该信息易于管理 员和用户查找及使用。
软件部署概述
将软件分配给用户 将软件分配给计算机 将软件分布给用户
将软件分配给用户
当将一个软件通过组策略分配给域内用户后,用户在域内的任何一台计 算机登录时,这个软件都会被通告(advertised)给该用户。但是此 软件并没有完全安装,而只是安装了与软件相关的部分信息,如快捷方 式。
• 内置于Windows Server • 对共享文件夹可用 • 在每个共享文件夹基础上配置
使用卷影副本保护共享文件和文件夹
什么是卷影副本? 卷影副本计划注意事项 使用卷影副本恢复数据 演示:从卷影副本恢复数据
什么是Shadow Copies?
• 运行访问以前的文件版本 • 基于磁盘变化跟踪
• 在同一卷上分配磁盘空间 • 当空间满时,旧的卷影副本会被删除
• 不能替代备份 • 不适合恢复数据库
卷影副本计划注意事项
Default schedule is 7:00 A.M. and noon
创建卷影副本计划基于: • 服务器容量 • 更新频率 • 更新重要性
使用卷影副本恢复数据
• 可以从文件或文件夹属性对话框中访问以前版本 • 管理员可以直接在服务器上恢复到以前版本 • 用户可以通过网络恢复以前版本
组策略组件
组策略设置定义了具体配置,应用于 用户或计算机
一个组策略是一些能够应用于用 户、计算机的组策略设置集合
组策略委派管理
委派组策略相关任务可以将管理工作量分布到企业
下面的组策略任务可以独立委派:
• 创建 GPOs • 编辑 GPOs • 为站点、域、OU管理GPO链接 • 执行组策略建模分析 • 读取组策略结果集 • 创建WMI 过滤器
用户利用以下两种方式安装软件:
• 通过控制面板安装
• 利用文件启动功能(document activation)
WSUS 系统更新管理服务器
Automatic updates
Microsoft Update website
Test clients
LAN
Server running Windows Server Update Services
• 目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的 基础。
为什么部署活动目录
AD DS 提供了一个集中式的系统,用于管理网络上的用户、计算机和 其他资源。
AD DS 功能包括:
• 集中式目录 • 单一登录访问 • 集成安全性 • 可伸缩性 • 公共管理界面
AD DS 通过以下几点实现集中管理网络: