《《windows網(wǎng)絡(luò)操作系統(tǒng)》第3章__域的創(chuàng)建與管理課件》由會(huì)員分享，可在線閱讀，更多相關(guān)《《windows網(wǎng)絡(luò)操作系統(tǒng)》第3章__域的創(chuàng)建與管理課件（40頁珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、,Click to edit Master title style,一,Second level,Second level,Windows 網(wǎng)絡(luò)操作系統(tǒng),2023/9/12,第,1,頁,企業(yè)要構(gòu)建一個(gè)辦公網(wǎng)絡(luò)，考慮到業(yè)務(wù)發(fā)展的需要，以及網(wǎng)絡(luò)的安全性，需要對(duì)重要的公共資源和計(jì)算機(jī)使用人員的信息實(shí)現(xiàn)集中管理。,為此需要將,原來基于工作組方式的網(wǎng)絡(luò)升級(jí)為基于域的網(wǎng)絡(luò)，現(xiàn)在需要將一臺(tái)或多臺(tái)計(jì)算機(jī)升級(jí)為域控制器，并將其它所有計(jì)算機(jī)加入到域成為成員服務(wù)器或工作站。,同時(shí)對(duì)原來的本地用戶賬戶和組按不同部門歸類升級(jí)為域用戶和組進(jìn)行管理。,項(xiàng)目背景,第3章 域的創(chuàng)建與管理,企業(yè)要構(gòu)建一個(gè)辦公網(wǎng)絡(luò)，考慮到業(yè)務(wù)發(fā)展

2、的需要，以及網(wǎng)絡(luò)的安全,課程導(dǎo)入,大、中型企業(yè)網(wǎng)絡(luò)有幾百到上千的用戶，資源也比較分散，這時(shí)候如何管理？,“工作組”和“域”是,Windows,網(wǎng)絡(luò)的兩種管理方式。,工作組,每一臺(tái)計(jì)算機(jī)都獨(dú)立維護(hù)自己的資源，不能集中管理所有網(wǎng)絡(luò)資源,每一臺(tái)計(jì)算機(jī)都在本地存儲(chǔ)用戶的賬戶,一個(gè)賬戶只能登錄到一臺(tái)計(jì)算機(jī),工作組中的計(jì)算機(jī)的地位都是平等的，對(duì)于其他計(jì)算機(jī)來說既是服務(wù)器，也是客戶機(jī),工作組的網(wǎng)絡(luò)規(guī)模一般少于,10,臺(tái)計(jì)算機(jī),域,將網(wǎng)絡(luò)中多臺(tái)計(jì)算機(jī)邏輯上組織到一起，進(jìn)行集中管理，這種區(qū)別于工作組的邏輯環(huán)境叫做域,域是組織與存儲(chǔ)資源的核心管理單元,活動(dòng)目錄,提供了存儲(chǔ)網(wǎng)絡(luò)上對(duì)象信息并使網(wǎng)絡(luò)用戶使用該數(shù)據(jù)的方法

3、,課程導(dǎo)入大、中型企業(yè)網(wǎng)絡(luò)有幾百到上千的用戶，資源也比較分散，,課程導(dǎo)入,工作組,域,SAM,SAM,SAM,單用戶帳號(hào),Active Directory,課程導(dǎo)入工作組域SAMSAMSAM單用戶帳號(hào)Active D,第3章 域的創(chuàng)建與管理,了解：,域的概念、特點(diǎn)，活動(dòng)目錄的結(jié)構(gòu)，域用戶賬戶、域組賬戶和組織單位的概念、特點(diǎn)和用途,熟悉：,域控制器的條件，活動(dòng)目錄的管理與維護(hù)，域組賬戶的使用原則,掌握：,創(chuàng)建域，將計(jì)算機(jī)加入或脫離域，將域控制器降級(jí)為獨(dú)立服務(wù)器或成員服務(wù)器；域用戶賬戶、域組賬戶和組織單位的管理,本章學(xué)習(xí)目的,第3章 域的創(chuàng)建與管理了解：域的概念、特點(diǎn)，活動(dòng)目錄的結(jié)構(gòu),3.1,域的

4、有關(guān)概念,活動(dòng)目錄,是存儲(chǔ)網(wǎng)絡(luò)上對(duì)象的相關(guān)信息并使該信息可供用戶和網(wǎng)絡(luò)管理員使用的目錄服務(wù)。,目錄,是一個(gè)數(shù)據(jù)庫，用于保存與網(wǎng)絡(luò)資源相關(guān)的信息結(jié)構(gòu)、資源位置、安全信息及管理信息等。如：計(jì)算機(jī)、用戶、組、打印機(jī)等的名稱、描述、地理位置、訪問權(quán)限等信息。,目錄服務(wù),是使目錄中所有信息和資源發(fā)揮作用的服務(wù)。,服務(wù)的主要表現(xiàn)是：,網(wǎng)絡(luò)中的所有用戶和應(yīng)用程序只需提供很少的信息就能準(zhǔn)確定位到這些實(shí)體資源，保證用戶能夠快速訪問。,目錄服務(wù)在網(wǎng)絡(luò)安全方面也扮演著中心授權(quán)機(jī)構(gòu)的角色，從而使操作系統(tǒng)可以輕松地驗(yàn)證用戶身份并控制其對(duì)網(wǎng)絡(luò)資源的訪問。,域,（,Domain,）是共用一個(gè)“目錄服務(wù)數(shù)據(jù)庫”有安全邊界的計(jì)

5、算機(jī)的集合。,3.1.1,認(rèn)識(shí),Windows,的域,3.1 域的有關(guān)概念活動(dòng)目錄是存儲(chǔ)網(wǎng)絡(luò)上對(duì)象的相關(guān)信息并使,3.1,域的有關(guān)概念,3.1.1,認(rèn)識(shí),Windows,的域,教科書的目錄,網(wǎng)絡(luò)的（活動(dòng)）目錄,AD,存儲(chǔ)對(duì)象,章、節(jié)的名稱；頁號(hào),基本單元（對(duì)象）：,用戶、組、計(jì)算機(jī)、文件、打印機(jī)、聯(lián)系人等；,綜合單元：,組織單元、域、域樹、域林等,提供的,服務(wù),讓讀者快速查找、定位書上的信息,對(duì)網(wǎng)上的各種資源實(shí)現(xiàn)集中統(tǒng)一的單點(diǎn)管理，讓管理員和用戶能夠便捷地查找、定位和管理網(wǎng)上各類對(duì)象的信息，進(jìn)兒使這些信息充分發(fā)揮作用?；顒?dòng)目錄也作為網(wǎng)絡(luò)安全的集中管理機(jī)構(gòu)，使得操作系統(tǒng)可以驗(yàn)證用戶的身分并控制用

6、戶對(duì)網(wǎng)絡(luò)資源的訪問。,存儲(chǔ)結(jié)構(gòu),書的前幾頁,域控制器,DC,，結(jié)構(gòu)化的數(shù)據(jù)倉(cāng)庫大型數(shù)據(jù)庫,擴(kuò)展性,靜態(tài),不能增加條目,動(dòng)態(tài)活動(dòng),可以隨著網(wǎng)絡(luò)資源的增加而動(dòng)態(tài)地進(jìn)行擴(kuò)展；提供對(duì)網(wǎng)上資源實(shí)施系統(tǒng)管理、安全管理和互操作性等功能服務(wù)。,3.1 域的有關(guān)概念3.1.1 認(rèn)識(shí)Windows的域教科,3.1,域的有關(guān)概念,域控制器,在一個(gè)域中，活動(dòng)目錄數(shù)據(jù)庫必須存儲(chǔ)在域中特定的計(jì)算機(jī)上，這樣的計(jì)算機(jī)被稱為域控制器（,Domain Controller,，簡(jiǎn)寫為,DC,）。,一個(gè)域可以有一個(gè)或多個(gè)域控制器，各域控制器是平等的。,成員服務(wù)器,那些安裝了服務(wù)器版操作系統(tǒng)（如：,Windows Server 200

7、3,或,Windows 2000 Server,），但未安裝,AD,服務(wù)且加入域的計(jì)算機(jī)。,工作站,所有安裝,Windows NT Workstation,、,Windows 2000 Professional,或,Windows XP Professional,系統(tǒng)，且加入域的計(jì)算機(jī),3.1.2,域中計(jì)算機(jī)的角色,3.1 域的有關(guān)概念域控制器3.1.2 域中計(jì)算機(jī)的角色,3.1,域的有關(guān)概念,有許多計(jì)算機(jī)并不屬于任何一個(gè)域，即以工作組模式運(yùn)行著，從功能上來講，也可將其分為兩種角色：,獨(dú)立服務(wù)器,安裝了各種版本的,Windows Server,，但未加入域。它一旦加入域中，其角色便轉(zhuǎn)化為“成員

8、服務(wù)器”。,一般客戶端計(jì)算機(jī),無論執(zhí)行何種操作系統(tǒng)，只要未加入域，且不是獨(dú)立服務(wù)器的計(jì)算機(jī)，都?xì)w為此類。它一旦加入域中，其角色便是“工作站”。,3.1.2,域中計(jì)算機(jī)的角色,3.1 域的有關(guān)概念有許多計(jì)算機(jī)并不屬于任何一個(gè)域，即以工,3.1,域的有關(guān)概念,集中管理：,域中所有計(jì)算機(jī)共享了一個(gè)活動(dòng)目錄數(shù)據(jù)庫，里面包含了整個(gè)域中的所有的資源信息、賬戶信息與安全信息。,安全級(jí)別較高：,由于域中所有安全信息都集中存儲(chǔ)在活動(dòng)目錄數(shù)據(jù)庫中，所以管理員可以通過指定強(qiáng)有力的安全策略來保證整個(gè)域的安全。,便于用戶訪問域中的資源：,在域的活動(dòng)目錄數(shù)據(jù)庫中，管理員可以創(chuàng)建“域用戶賬戶”。,一個(gè)域中無論有多少臺(tái)計(jì)算機(jī)

9、，用戶只要擁有域用戶賬戶，便可訪問域中所有計(jì)算機(jī)上允許訪問的資源，即域用戶賬戶對(duì)資源的訪問范圍可以是整個(gè)域，而非局限在一臺(tái)計(jì)算機(jī)上。,域用戶賬戶可以在加入域的任何一臺(tái)計(jì)算機(jī)上登錄，從而使用、訪問該計(jì)算機(jī)上資源。,3.1.3,域的特點(diǎn),3.1 域的有關(guān)概念集中管理：域中所有計(jì)算機(jī)共享了一個(gè)活動(dòng),3.1,域的有關(guān)概念,組織單位,（,Organizational Unit,，簡(jiǎn)稱,OU,）,OU,是組織、管理一個(gè)域內(nèi)的對(duì)象的容器，它能包容用戶賬戶、用戶組、計(jì)算機(jī)、應(yīng)用程序、打印機(jī)和其它的,OU,。,域,(Domain),域是活動(dòng)目錄的核心單元，是對(duì)象（如計(jì)算機(jī)、用戶、組織單位等）的容器，這些對(duì)象有相

10、同的安全需求、復(fù)制過程和管理。域管理員具有管理本域的所有權(quán)利，如果其它的域顯式地賦予它管理權(quán)限，他還能夠訪問或管理其它的域。,域樹,(Tree),3.1.4,活動(dòng)目錄的組織結(jié)構(gòu),3.1 域的有關(guān)概念組織單位（Organizational,3.2,域的創(chuàng)建,計(jì)算機(jī)必須運(yùn)行,Windows Server 2003,標(biāo)準(zhǔn)版、企業(yè)版或數(shù)據(jù)中心版，,Web,版的計(jì)算機(jī)不能成為域控制器,安裝者具有本地管理員權(quán)限,至少具有,250MB,的磁盤空間。其中，,200MB,的空間用于存放活動(dòng)目錄數(shù)據(jù)庫，,50MB,的空間用于存放活動(dòng)目錄數(shù)據(jù)庫的事務(wù)日志文件。,安裝域控制器的服務(wù)器上至少要有一個(gè),NTFS,分區(qū)。,

11、有,TCP/IP,設(shè)置（,IP,地址、子網(wǎng)掩碼、,DNS,的,IP,等）,域結(jié)構(gòu)的網(wǎng)絡(luò)中必須有,DNS,服務(wù)器與其相配合。,DNS,服務(wù)器的作用是定位域控制器的位置。,3.2.1,安裝域控制器的條件,3.2 域的創(chuàng)建計(jì)算機(jī)必須運(yùn)行Windows Server,3.2,域的創(chuàng)建,安裝過程演示：,3.2.2,域控制器的安裝,3.2 域的創(chuàng)建安裝過程演示：3.2.2 域控制器的安裝,3.2,域的創(chuàng)建,計(jì)算機(jī)能加入域的先決條件是：,該計(jì)算機(jī)與域控制器能連通,在計(jì)算機(jī)上正確設(shè)置首選,DNS,服務(wù)器的,IP,地址,(,這里設(shè)為第一臺(tái),DC,的,IP),。,3.2.3,計(jì)算機(jī)加入或脫離域,客戶端,1,（物理

12、機(jī)）,客戶端,2,（虛擬機(jī),2,）,IP,：,172.16.,220,.X+160/24,DNS,：,172.16.220.X+80/24,IP,：,172.16.220.X/24,域控制器,（虛擬機(jī),1,）,IP,：,172.16.,220.,X+80/24,DNS,：,172.16.220.X+80/24,加入域,3.2 域的創(chuàng)建計(jì)算機(jī)能加入域的先決條件是：3.2.3 計(jì),3.2,域的創(chuàng)建,3.2.3,計(jì)算機(jī)加入或脫離域,3.2 域的創(chuàng)建3.2.3 計(jì)算機(jī)加入或脫離域,3.3 域的管理,創(chuàng)建域用戶賬戶：,3.3.1,創(chuàng)建與管理域用戶賬戶,3.3 域的管理創(chuàng)建域用戶賬戶：3.3.1 創(chuàng)建與管

13、理域用戶,3.3 域的管理,限制用戶登錄域的時(shí)間：,3.3.1,創(chuàng)建與管理域用戶賬戶,3.3 域的管理限制用戶登錄域的時(shí)間：3.3.1 創(chuàng)建與管理,3.3 域的管理,限制域用戶賬戶只能從特定的計(jì)算機(jī)上登錄域,3.3.1,創(chuàng)建與管理域用戶賬戶,3.3 域的管理限制域用戶賬戶只能從特定的計(jì)算機(jī)上登錄域3.,3.3 域的管理,3.3.2,創(chuàng)建與管理域組賬戶,域組分類,安全組,通訊組（分布式組）,實(shí)現(xiàn)與安全性有關(guān)的工作和功能，可以通過給安全組賦予訪問資源的權(quán)限來限制安全組的成員對(duì)域中資源的訪問。如：可設(shè)置對(duì)某個(gè)文件有“讀取”或“改寫”的權(quán)限。,也可用在與安全無關(guān)的任務(wù)上，如：可以通過電子郵件軟件將電子

14、郵件發(fā)送給安全組。,用在與安全無關(guān)的任務(wù)上。不能被賦予訪問資源的權(quán)限。只能收發(fā)電子郵件，即分發(fā)組可以組織其成員的,E-MAIL,地址成為,E-MAIL,列表。利用這個(gè)特性使基于,AD,的應(yīng)用程序就可以直接利用分發(fā)組來發(fā),E-MAIL,給多個(gè)用戶以及實(shí)現(xiàn)其他和,E-MAIL,列表相關(guān)的功能（例如在,Microsoft Exchange 2003 Server,中使用）。,本地域組,全局組,通用組,作用范圍,該組所在的域內(nèi),所有受信任的域,所有受信任的域,成員,所有域的用戶賬戶、全局組、通用組，以及本域的域本地組,本域的用戶賬戶和全局組,所有域的用戶賬戶、全局組和通用組,3.3 域的管理3.3.2

15、 創(chuàng)建與管理域組賬戶域組分類安全,3.3 域的管理,組織單位（,OU,）,OU,是一個(gè)容器，在,OU,中可以包含用戶、組等其他對(duì)象，也可以在,OU,中建立子,OU,。,OU,容納和組織對(duì)象的方式：,按對(duì)象類型來劃分,按企業(yè)的組織結(jié)構(gòu)來劃分；,按地區(qū)來劃分；,混合劃分方法,3.3.3,創(chuàng)建與管理組織單位,3.3 域的管理組織單位（OU）OU是一個(gè)容器，在OU中,3.3 域的管理,創(chuàng)建組織單位,3.3.3,創(chuàng)建與管理組織單位,3.3 域的管理創(chuàng)建組織單位3.3.3 創(chuàng)建與管理組織單位,3.3 域的管理,向組織單位添加對(duì)象,3.3.3,創(chuàng)建與管理組織單位,3.3 域的管理向組織單位添加對(duì)象3.3.3

16、 創(chuàng)建與管理組,3.4 域中組策略的應(yīng)用,3.4.1,認(rèn)識(shí)組策略,通過,組策略,GPO,（,Group Policy Object,）來實(shí)現(xiàn)用戶和計(jì)算機(jī)的集中配置和管理。這些設(shè)置包括安全選項(xiàng)、軟件安裝、腳本文件設(shè)置、桌面外觀和用戶文件管理等。,組策略的所有配置信息都保存在組策略對(duì)象,兩類,GPO,：,系統(tǒng)內(nèi)建的默認(rèn),GPO,默認(rèn)域策略,（,Default Domain Policy,）：該策略將影響域中的所有用戶和計(jì)算機(jī)。,默認(rèn)域控制器組策略,（,Default Domain Controllers Policy,）：通常只影響到域中所有的域控制器。,用戶自定義,GPO,3.4 域中組策略的應(yīng)用3.4.1 認(rèn)識(shí)組策略通過組策略G,3.4 域中組策略的應(yīng)用,創(chuàng)建和管理,GPO,的工具：,組策略管理控制臺(tái),GPMC,它不是,Windows Server 2003,內(nèi)置的工具，但可以從微軟網(wǎng)站免費(fèi)下載。該工具可以完成對(duì)組策略的各種配置和管理，包括備份，還原和生成組策略報(bào)表。,Active Directory,用戶和計(jì)算機(jī),用于管理域和,OU,的組策略,Active Directory,站點(diǎn)和