实战MMC网络管理平台.ppt

第15章 实战MMC 网络管理平台,计算机网络维护与故障排除案例精选,设置和使用MMC网络管理平台 委派控制管理 管理授权管理器 从MMC中管理Active Directory,计算机网络维护与故障排除案例精选,本章重点,案例目标,通过本章的学习，用户不但可以了解到MMC是一款本身并不具备管理功能，却能聚集许多功能强大的网络管理工具，而且利用MMC网络管理平台，可以实现许多重要的网络管理功能，进一步实现网络的多方管理，确保自己的网络安全。,15.1 准备工作 15.2 设置和使用MMC网络管理平台 15.3 如何进行委派管理 15.4 从MMC中管理Active Directory 15.5 可能出现的问题与解决 15.6 总结与经验积累,计算机网络维护与故障排除案例精选,15.1 准备工作,材料准备,计算机网络维护与故障排除案例精选,（1）Windows Server 2003系统安装光盘。（2）Microsoft Windows Server 2003家族光盘。（3）本地和远程计算机。,知识准备,在网络规模日益增大的今天，如果仍然沿用古老的单机分别管理模式，将是远远不能实现目前网络管理需求的。为了最大限度地提高网络的管理和维护效率，大多网络管理人员都使用了远程控制软件，以实现对局域网或服务器进行随时随地的管理。然而，当选用pcAnyWhere远程控制软件或通过远程桌面连接功能，来对服务器进行远程管理时，也同时开启了一个危险之门，常常会给某些非法攻击者的远程入侵带来便利。但使用MMC控制台的计算机管理功能，不但可以有效地管理本地或远程的服务器，而且还能有效避开远程桌面连接所带来的安全漏洞。因此，借助MMC系统控制台，用户不但十分便捷地对服务器进行远程管理，并且还能阻止黑客对服务器进行恶意攻击。,15.2 设置和使用MMC网络管理平台,计算机网络维护与故障排除案例精选,Microsoft Management Console（MMC）是集成了用来管理网络、计算机、服务及其他系统组件的管理工具。可以创建、保存或打开MMC控制台来管理硬件、软件和Windows系统的网络组件。在MMC中，用户可以添加到控制台的主要工具类型称为管理单元，其他可以添加的项目包括ActiveX控件、指向Web面页的连接、文件夹、任务板视图和任务等。,15.2 设置和使用MMC网络管理平台,15.2.1 runas命令的使用,计算机网络维护与故障排除案例精选,管理员可以使用一个权限受限制的账户执行日常、非管理性的任务。只有在执行特定管理任务时，才使用一个权限更大的账户，经过注销再重新登录之后，就可以完成这样的任务了。此时，用户即可使用一般账户登录，然后使用runnas命令来运行能行使更大权限的工具。runas命令允许运行.exe程序、保存的MMC控制台程序和保存的MMC控制台的快捷方式及“控制面板”项，作为另一组的成员登录到计算机时，可以管理员的身份运行此命令。用户还可以使用runas命令来启动任何.exe程序、MMC控制器或“控制面板”项，只要提供适当的用户账号和密码信息，用户账号就具有登录计算机的能力，并且.exe程序、MMC控制台和“控制面板”项在系统中对该用户账户均可用。,15.2 设置和使用MMC网络管理平台,15.2.2 设置MMC中的组策略,只有管理员才可以使用组策略来限制或允许访问特定的管理单元，或者限制用户或组在MMC中使用作者模式的能力，这适用于已配置组策略的网络。要设置特定计算机的用户策略，必须是该计算机的管理员或有相等权利的用户。不能使用MMC创建计算机策略，只能创建用户策略。设置MMC策略方法有多种，而且还要根据当前服务器的角色选用不同的配置方法，其实这里的MMC组策略设置实际上就是组策略的几种打开方式。但却可以不用理会当前服务器的角色，直接利用控制台添加“组策略编辑器”管理单元来配置组策略即可。,计算机网络维护与故障排除案例精选,15.2 设置和使用MMC网络管理平台,15.2.3 创建和使用MMC控制台,计算机网络维护与故障排除案例精选,在创建控制台之前，必须要考虑该控制台将要实施的任务、要管理的组件，以及执行任务所必须的管理单元和控件。还需要考虑是否创建任务板视图和任务。只有在合理的计划确定之后，才有可能合理地创建和使用MMC控制台。下面首先看一下怎样创建MMC控制台。在控制台树中添加任务 添加任务板视图,15.2 设置和使用MMC网络管理平台,如何使用MMC控制台进行本地计算机和远程计算机的管理操作。本地计算机的管理 要使用MMC控制台管理本地计算机，必须先在控制台中添加相应的管理单元。远程计算机的管理 如果要实现对远程计算机进行管理，首先需要将管理单元项目添加到远程计算机的新MMC控制台中。,计算机网络维护与故障排除案例精选,15.2.3 创建和使用MMC控制台,15.3 如何进行委派管理,计算机网络维护与故障排除案例精选,委派管理是指特定管理任务的管理责任从更高的授权机构到更低的授权机构的一种转移。通过委派管理，可以为适当的用户和组指派一些特定的管理任务，为普通用户和组织指定基本的管理任务，而让Domain Admins和Enterprise Admins组的成员，执行域范围和林范围的管理。可以使组织内的组更多地控制本地网络资源。还可以通过限制管理组的成员，保护网络不受意外或恶意的损伤。通过在域中创建组织单位并将特定组织单位的管理控制权委派给特定用户和组，可将管理控制权委派给域树的任何级别。Active Directory 服务和数据所有者定义了特定的权限和用户权利，并可用于委派或限制管理控制权。从而使得单位中的某一角色合适的完成为其分配的责任。委派管理提供了如下好处：使得能够在多个管理组之间分布管理责任，每个组都具有已定义的权限范围和已定义的责任；支持分散管理权限，可以特别明确注重安全分布的管理责任。另外，通过委派管理，组织可以有效地管理基础结构，强制执行安全防范措施。,15.3 如何进行委派管理,计算机网络维护与故障排除案例精选,15.3.1 委派控制管理,委派控制管理是在“Active Directory用户和计算机”管理单元中进行的。,15.3.2 管理授权管理器,授权管理器提供了可将角色访问控制转嫁到应用程序的灵活框架，为使用这些应用程序的管理员，提供与这些作业功能相关的已分配用户角色进行访问的权限。授权管理器应用程序可以将授权策略存储为授权存储的形式，而且可在运行时应用授权策略。,15.4 从MMC中管理Active Directory,15.4.1 Active Directory管理工具简介,计算机网络维护与故障排除案例精选,Active Directory管理工具只能在某个域的计算机中使用。其中【管理工具】菜单提供了下列Active Directory管理工具：Active Directory用户和计算机 Active Directory域和信任关系 Active Directory站点和服务 Active Directory可以实现远程管理，但必须安装Windows Server 2003管理工具包。Microsoft Windows Server 2003管理工具包提供平台的远程管理服务器的工具。这些工具打包在Microsoft Windows Server 2003光盘上的adminpak.msi文件中，支持32位和64位服务器操作系统。,15.4 从MMC中管理Active Directory,15.4.1 Active Directory管理工具简介,Active Directory MMC控制台可以通过命令方式启动。Active Directory MMC控制台包括“Active Directory 用户和计算机”、“Active Directory 域和信任关系”和“Active Directory 站点和服务”，即提供了允许启动针对域或域控制器的控制台的命令行选项。这些命令即支持完全合格的域名，也支持NetBIOS名称。可以使用这些命令行选项直接从命令行运行Active Directory MMC控制台，也可以创建快捷方式启动控制台，并将相应的命令行选项添加到快捷方式中去。,计算机网络维护与故障排除案例精选,15.4 从MMC中管理Active Directory,15.4.2 从MMC管理Active Directory架构,计算机网络维护与故障排除案例精选,“Active Directory架构”管理单元是用于管理结构的Microsoft管理控制台管理工具，只能在可访问域中使用。在默认情况下，【管理工具】菜单中无“Active Directory架构”管理单元，下面就具体讲述一下如何安装Active Directory架构管理单元。,15.5 可能出现的问题与解决,当本地计算机和远程服务器安装的是两种不同操作系统时，就必须先在本地计算机中安装好与远程服务器相对应的MMC管理插件。例如：要是本地计算机中使用的是Windows 2000服务器系统，而远程服务器使用的是Windows 2003服务器系统，则就必须在本地计算机中先安装好Windows 2003服务器的相关管理工具。具体安装方法是：（1）将Windows 2003服务器系统的安装光盘先放入到光驱中，打开其中的“i386”文件夹窗口。（2）双击该窗口中的“adminpak.msi”文件图标，在随后屏幕上将弹出Windows 2003服务器的管理工具安装向导窗口，按照屏幕向导提示完成好安装任务。（3）此时将打开MMC管理控制台，将Windows 2003服务器有关的管理工具全部加入其中即可。这样，就可以实现Windows Server 2003服务器进行远程控制和管理操作了。,计算机网络维护与故障排除案例精选,15.6 总结与经验积累,计算机网络维护与故障排除案例精选,通过本章的学习，用户可以了解到MMC的管理功能是通过相应的管理单元来实现的，虽然它只单单是提供了一个管理平台，但却能更加丰富网络的管理功能。本章介绍的重点不是具体的网络管理工功能，而是通过一些具体的例子，介绍如何利用控制台来实现各种管理单元的管理功能。,The End,