《windows網(wǎng)絡操作系統(tǒng)》第3章__域的創(chuàng)建與管理課件

《《windows網(wǎng)絡操作系統(tǒng)》第3章__域的創(chuàng)建與管理課件》由會員分享，可在線閱讀，更多相關《《windows網(wǎng)絡操作系統(tǒng)》第3章__域的創(chuàng)建與管理課件（40頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、,Click to edit Master title style,一,Second level,Second level,Windows 網(wǎng)絡操作系統(tǒng),2023/9/12,第,1,頁,企業(yè)要構建一個辦公網(wǎng)絡，考慮到業(yè)務發(fā)展的需要，以及網(wǎng)絡的安全性，需要對重要的公共資源和計算機使用人員的信息實現(xiàn)集中管理。,為此需要將,原來基于工作組方式的網(wǎng)絡升級為基于域的網(wǎng)絡，現(xiàn)在需要將一臺或多臺計算機升級為域控制器，并將其它所有計算機加入到域成為成員服務器或工作站。,同時對原來的本地用戶賬戶和組按不同部門歸類升級為域用戶和組進行管理。,項目背景,第3章 域的創(chuàng)建與管理,企業(yè)要構建一個辦公網(wǎng)絡，考慮到業(yè)務發(fā)展

2、的需要，以及網(wǎng)絡的安全,課程導入,大、中型企業(yè)網(wǎng)絡有幾百到上千的用戶，資源也比較分散，這時候如何管理？,“工作組”和“域”是,Windows,網(wǎng)絡的兩種管理方式。,工作組,每一臺計算機都獨立維護自己的資源，不能集中管理所有網(wǎng)絡資源,每一臺計算機都在本地存儲用戶的賬戶,一個賬戶只能登錄到一臺計算機,工作組中的計算機的地位都是平等的，對于其他計算機來說既是服務器，也是客戶機,工作組的網(wǎng)絡規(guī)模一般少于,10,臺計算機,域,將網(wǎng)絡中多臺計算機邏輯上組織到一起，進行集中管理，這種區(qū)別于工作組的邏輯環(huán)境叫做域,域是組織與存儲資源的核心管理單元,活動目錄,提供了存儲網(wǎng)絡上對象信息并使網(wǎng)絡用戶使用該數(shù)據(jù)的方法

3、,課程導入大、中型企業(yè)網(wǎng)絡有幾百到上千的用戶，資源也比較分散，,課程導入,工作組,域,SAM,SAM,SAM,單用戶帳號,Active Directory,課程導入工作組域SAMSAMSAM單用戶帳號Active D,第3章 域的創(chuàng)建與管理,了解：,域的概念、特點，活動目錄的結構，域用戶賬戶、域組賬戶和組織單位的概念、特點和用途,熟悉：,域控制器的條件，活動目錄的管理與維護，域組賬戶的使用原則,掌握：,創(chuàng)建域，將計算機加入或脫離域，將域控制器降級為獨立服務器或成員服務器；域用戶賬戶、域組賬戶和組織單位的管理,本章學習目的,第3章 域的創(chuàng)建與管理了解：域的概念、特點，活動目錄的結構,3.1,域的

4、有關概念,活動目錄,是存儲網(wǎng)絡上對象的相關信息并使該信息可供用戶和網(wǎng)絡管理員使用的目錄服務。,目錄,是一個數(shù)據(jù)庫，用于保存與網(wǎng)絡資源相關的信息結構、資源位置、安全信息及管理信息等。如：計算機、用戶、組、打印機等的名稱、描述、地理位置、訪問權限等信息。,目錄服務,是使目錄中所有信息和資源發(fā)揮作用的服務。,服務的主要表現(xiàn)是：,網(wǎng)絡中的所有用戶和應用程序只需提供很少的信息就能準確定位到這些實體資源，保證用戶能夠快速訪問。,目錄服務在網(wǎng)絡安全方面也扮演著中心授權機構的角色，從而使操作系統(tǒng)可以輕松地驗證用戶身份并控制其對網(wǎng)絡資源的訪問。,域,（,Domain,）是共用一個“目錄服務數(shù)據(jù)庫”有安全邊界的計

5、算機的集合。,3.1.1,認識,Windows,的域,3.1 域的有關概念活動目錄是存儲網(wǎng)絡上對象的相關信息并使,3.1,域的有關概念,3.1.1,認識,Windows,的域,教科書的目錄,網(wǎng)絡的（活動）目錄,AD,存儲對象,章、節(jié)的名稱；頁號,基本單元（對象）：,用戶、組、計算機、文件、打印機、聯(lián)系人等；,綜合單元：,組織單元、域、域樹、域林等,提供的,服務,讓讀者快速查找、定位書上的信息,對網(wǎng)上的各種資源實現(xiàn)集中統(tǒng)一的單點管理，讓管理員和用戶能夠便捷地查找、定位和管理網(wǎng)上各類對象的信息，進兒使這些信息充分發(fā)揮作用?；顒幽夸浺沧鳛榫W(wǎng)絡安全的集中管理機構，使得操作系統(tǒng)可以驗證用戶的身分并控制用

6、戶對網(wǎng)絡資源的訪問。,存儲結構,書的前幾頁,域控制器,DC,，結構化的數(shù)據(jù)倉庫大型數(shù)據(jù)庫,擴展性,靜態(tài),不能增加條目,動態(tài)活動,可以隨著網(wǎng)絡資源的增加而動態(tài)地進行擴展；提供對網(wǎng)上資源實施系統(tǒng)管理、安全管理和互操作性等功能服務。,3.1 域的有關概念3.1.1 認識Windows的域教科,3.1,域的有關概念,域控制器,在一個域中，活動目錄數(shù)據(jù)庫必須存儲在域中特定的計算機上，這樣的計算機被稱為域控制器（,Domain Controller,，簡寫為,DC,）。,一個域可以有一個或多個域控制器，各域控制器是平等的。,成員服務器,那些安裝了服務器版操作系統(tǒng)（如：,Windows Server 200

7、3,或,Windows 2000 Server,），但未安裝,AD,服務且加入域的計算機。,工作站,所有安裝,Windows NT Workstation,、,Windows 2000 Professional,或,Windows XP Professional,系統(tǒng)，且加入域的計算機,3.1.2,域中計算機的角色,3.1 域的有關概念域控制器3.1.2 域中計算機的角色,3.1,域的有關概念,有許多計算機并不屬于任何一個域，即以工作組模式運行著，從功能上來講，也可將其分為兩種角色：,獨立服務器,安裝了各種版本的,Windows Server,，但未加入域。它一旦加入域中，其角色便轉化為“成員

8、服務器”。,一般客戶端計算機,無論執(zhí)行何種操作系統(tǒng)，只要未加入域，且不是獨立服務器的計算機，都歸為此類。它一旦加入域中，其角色便是“工作站”。,3.1.2,域中計算機的角色,3.1 域的有關概念有許多計算機并不屬于任何一個域，即以工,3.1,域的有關概念,集中管理：,域中所有計算機共享了一個活動目錄數(shù)據(jù)庫，里面包含了整個域中的所有的資源信息、賬戶信息與安全信息。,安全級別較高：,由于域中所有安全信息都集中存儲在活動目錄數(shù)據(jù)庫中，所以管理員可以通過指定強有力的安全策略來保證整個域的安全。,便于用戶訪問域中的資源：,在域的活動目錄數(shù)據(jù)庫中，管理員可以創(chuàng)建“域用戶賬戶”。,一個域中無論有多少臺計算機

9、，用戶只要擁有域用戶賬戶，便可訪問域中所有計算機上允許訪問的資源，即域用戶賬戶對資源的訪問范圍可以是整個域，而非局限在一臺計算機上。,域用戶賬戶可以在加入域的任何一臺計算機上登錄，從而使用、訪問該計算機上資源。,3.1.3,域的特點,3.1 域的有關概念集中管理：域中所有計算機共享了一個活動,3.1,域的有關概念,組織單位,（,Organizational Unit,，簡稱,OU,）,OU,是組織、管理一個域內的對象的容器，它能包容用戶賬戶、用戶組、計算機、應用程序、打印機和其它的,OU,。,域,(Domain),域是活動目錄的核心單元，是對象（如計算機、用戶、組織單位等）的容器，這些對象有相

10、同的安全需求、復制過程和管理。域管理員具有管理本域的所有權利，如果其它的域顯式地賦予它管理權限，他還能夠訪問或管理其它的域。,域樹,(Tree),3.1.4,活動目錄的組織結構,3.1 域的有關概念組織單位（Organizational,3.2,域的創(chuàng)建,計算機必須運行,Windows Server 2003,標準版、企業(yè)版或數(shù)據(jù)中心版，,Web,版的計算機不能成為域控制器,安裝者具有本地管理員權限,至少具有,250MB,的磁盤空間。其中，,200MB,的空間用于存放活動目錄數(shù)據(jù)庫，,50MB,的空間用于存放活動目錄數(shù)據(jù)庫的事務日志文件。,安裝域控制器的服務器上至少要有一個,NTFS,分區(qū)。,

11、有,TCP/IP,設置（,IP,地址、子網(wǎng)掩碼、,DNS,的,IP,等）,域結構的網(wǎng)絡中必須有,DNS,服務器與其相配合。,DNS,服務器的作用是定位域控制器的位置。,3.2.1,安裝域控制器的條件,3.2 域的創(chuàng)建計算機必須運行Windows Server,3.2,域的創(chuàng)建,安裝過程演示：,3.2.2,域控制器的安裝,3.2 域的創(chuàng)建安裝過程演示：3.2.2 域控制器的安裝,3.2,域的創(chuàng)建,計算機能加入域的先決條件是：,該計算機與域控制器能連通,在計算機上正確設置首選,DNS,服務器的,IP,地址,(,這里設為第一臺,DC,的,IP),。,3.2.3,計算機加入或脫離域,客戶端,1,（物理

12、機）,客戶端,2,（虛擬機,2,）,IP,：,172.16.,220,.X+160/24,DNS,：,172.16.220.X+80/24,IP,：,172.16.220.X/24,域控制器,（虛擬機,1,）,IP,：,172.16.,220.,X+80/24,DNS,：,172.16.220.X+80/24,加入域,3.2 域的創(chuàng)建計算機能加入域的先決條件是：3.2.3 計,3.2,域的創(chuàng)建,3.2.3,計算機加入或脫離域,3.2 域的創(chuàng)建3.2.3 計算機加入或脫離域,3.3 域的管理,創(chuàng)建域用戶賬戶：,3.3.1,創(chuàng)建與管理域用戶賬戶,3.3 域的管理創(chuàng)建域用戶賬戶：3.3.1 創(chuàng)建與管

13、理域用戶,3.3 域的管理,限制用戶登錄域的時間：,3.3.1,創(chuàng)建與管理域用戶賬戶,3.3 域的管理限制用戶登錄域的時間：3.3.1 創(chuàng)建與管理,3.3 域的管理,限制域用戶賬戶只能從特定的計算機上登錄域,3.3.1,創(chuàng)建與管理域用戶賬戶,3.3 域的管理限制域用戶賬戶只能從特定的計算機上登錄域3.,3.3 域的管理,3.3.2,創(chuàng)建與管理域組賬戶,域組分類,安全組,通訊組（分布式組）,實現(xiàn)與安全性有關的工作和功能，可以通過給安全組賦予訪問資源的權限來限制安全組的成員對域中資源的訪問。如：可設置對某個文件有“讀取”或“改寫”的權限。,也可用在與安全無關的任務上，如：可以通過電子郵件軟件將電子

14、郵件發(fā)送給安全組。,用在與安全無關的任務上。不能被賦予訪問資源的權限。只能收發(fā)電子郵件，即分發(fā)組可以組織其成員的,E-MAIL,地址成為,E-MAIL,列表。利用這個特性使基于,AD,的應用程序就可以直接利用分發(fā)組來發(fā),E-MAIL,給多個用戶以及實現(xiàn)其他和,E-MAIL,列表相關的功能（例如在,Microsoft Exchange 2003 Server,中使用）。,本地域組,全局組,通用組,作用范圍,該組所在的域內,所有受信任的域,所有受信任的域,成員,所有域的用戶賬戶、全局組、通用組，以及本域的域本地組,本域的用戶賬戶和全局組,所有域的用戶賬戶、全局組和通用組,3.3 域的管理3.3.2

15、 創(chuàng)建與管理域組賬戶域組分類安全,3.3 域的管理,組織單位（,OU,）,OU,是一個容器，在,OU,中可以包含用戶、組等其他對象，也可以在,OU,中建立子,OU,。,OU,容納和組織對象的方式：,按對象類型來劃分,按企業(yè)的組織結構來劃分；,按地區(qū)來劃分；,混合劃分方法,3.3.3,創(chuàng)建與管理組織單位,3.3 域的管理組織單位（OU）OU是一個容器，在OU中,3.3 域的管理,創(chuàng)建組織單位,3.3.3,創(chuàng)建與管理組織單位,3.3 域的管理創(chuàng)建組織單位3.3.3 創(chuàng)建與管理組織單位,3.3 域的管理,向組織單位添加對象,3.3.3,創(chuàng)建與管理組織單位,3.3 域的管理向組織單位添加對象3.3.3

16、 創(chuàng)建與管理組,3.4 域中組策略的應用,3.4.1,認識組策略,通過,組策略,GPO,（,Group Policy Object,）來實現(xiàn)用戶和計算機的集中配置和管理。這些設置包括安全選項、軟件安裝、腳本文件設置、桌面外觀和用戶文件管理等。,組策略的所有配置信息都保存在組策略對象,兩類,GPO,：,系統(tǒng)內建的默認,GPO,默認域策略,（,Default Domain Policy,）：該策略將影響域中的所有用戶和計算機。,默認域控制器組策略,（,Default Domain Controllers Policy,）：通常只影響到域中所有的域控制器。,用戶自定義,GPO,3.4 域中組策略的應用3.4.1 認識組策略通過組策略G,3.4 域中組策略的應用,創(chuàng)建和管理,GPO,的工具：,組策略管理控制臺,GPMC,它不是,Windows Server 2003,內置的工具，但可以從微軟網(wǎng)站免費下載。該工具可以完成對組策略的各種配置和管理，包括備份，還原和生成組策略報表。,Active Directory,用戶和計算機,用于管理域和,OU,的組策略,Active Directory,站點和