WindowsServer域及账户管理.ppt

《WindowsServer域及账户管理.ppt》由会员分享，可在线阅读，更多相关《WindowsServer域及账户管理.ppt（52页珍藏版）》请在三一办公上搜索。

1、2010年9月16日,第3章 Windows Server 2008 域及其账户管理,3.1 活动目录的概述3.1.1 目录服务的含义3.1.2 需要目录服务的原因3.1.3 活动目录与域3.2 ACTIVE DIRECTORY的物理结构3.2.1 域控制器3.2.2 站点3.3 域信任关系3.4 ACTIVE DIRECTORY 的安装3.4.1 域控制器的安装3.4.2 将计算机加入到域3.5 域账户管理3.5.1 域用户账户3.5.2 域用户组账户3.5.3 组、用户账户的创建,【内容提要】,活动目录的概述活动目录的组成活动目录的安装活动目录（Active Directory）是Wind

2、ows Server 2008系统中提供的目录服务，用于存储网络上各种对象的相关信息，以便于管理员查找和使用。活动目录是企业IT管理的重要组成部分，掌握活动目录对提高Windows Server 2008的管理技能具有非常重要的意义。本章讨论活动目录的基本概念、结构元素和特性，并介绍有关活动目录服务的基本操作。,活动目录的概述,活动目录（Active Directory）是Windows Server 2008操作系统提供的一种新的目录服务。所谓目录服务其实就是提供了一种按层次结构组织的信息，然后按名称关联检索信息的服务方式。这种服务提供了一个存储在目录中的各种资源的统一管理视图，从而减轻了企

3、业的管理负担。另外，它还为用户和应用程序提供了对其所包含信息的安全访问。活动目录作为用户、计算机和网络服务相关信息的中心，支持现有的行业标准LDAP（Lightweight Directory Access Protocal，轻量目录访问协议）第8版，使任何兼容LDAP的客户端都能与之相互协作，可访问存储在活动目录中的信息，如Linux、Novell系统等。,3.1.1 目录服务的含义,目录是一个用于存储用户感兴趣的对象信息的信息库。所谓目录服务就是结构化的网络资源信息库，如计算机、用户、打印机、服务器等。活动目录（Active Directory）是用于Windows Server 2008

4、 的目录服务。它存储着本网络上各种对象的相关信息，并使用一种易于用户查找及使用的结构化的数据存储方法来组织和保存数据。在整个目录中，通过登录验证以及目录中对象的访问控制，将安全性集成到 Active Directory中。,3.1.2 需要目录服务的原因,目录服务可以实现如下的功能：（1）提高管理者定义的安全性来保证信息不受入侵者的破坏；（2）将目录分布在一个网络中的多台计算机上，提高了整个网络系统的可靠性；（3）复制目录可以使得更多用户获得它并且减少使用和管理开销，提高效率；（4）分配一个目录于多个存储介质中使其可以存储规模非常大的对象。,3.1.3 活动目录与域,Windows域（Doma

5、in）是基于NT技术构建的Windows系统组成的计算机网络的独立安全范围，是Windows的逻辑管理单位，也就是说一个域就是一系列的用户账户、访问权限和其他的各种资源的集合。活动目录的结构如图3.1所示。,图3.1 活动目录的结构,1对象,对象（Object）是对某具体事物的命名，如用户、打印机或应用程序等。属性是对象用来识别主题的描述性数据。一个用户的属性可能包括用户的Name、Email和Phone等，如图3.2所示，是一个用户对象和其属性的表示。,图3.2 用户对象和它的属性,2域,域（Domain）是Windows Server 2008活动目录的核心单元，是共享同一活动目录的一组计

6、算机集合。域是安全的边界，在默认的情况下，一个域的管理员只能管理自己的域，一个域的管理员要管理其他的域需要专门的授权。域也是复制单位，一个域可包含多个域控制器，当某个域控制器的活动目录数据库修改以后，会将此修改复制到其他所有域控制器。,3组织单元,组织单元（OU，Organizational Unit）是组织、管理一个域内对象的容器，它能包容用户账户、用户组、计算机、打印机和其他的组织单元。,4树,树（Tree），又称为域树，用来描述对象及容器的分层结构关系。域树是由若干具有共同的模式、配置的域构成的，形成了一个临近的名字空间。在树中的域也是通过信任关系连接起来的。活动目录是一个或更多树的集合

7、。树可以通过两种途径表示，一种是域之间的关系，另一种是域树的名字空间一棵Windows Server 2008域树就是一个DNS名字空间。域树名字空间具有以下特点：（1）一棵树只有一个名字，即位于树根处的域的DNS名字；（2）在根域下面创建的域（子域）的名字总是与根域的名字邻接；（3）一棵树子域的DNS名字是反映该组织机构的。,5树林,树林（Forest）：树林是一棵或多棵Windows Server 2008活动目录树的集合。各树之间地位相当，由双向传递的信任关系相关联。单个域组成一棵单域的树，单棵树组成单树的树林。树林与活动目录是同一个概念，也就是说，一个特定的目录服务实例（包括所有的域、

8、所有的配置和模式信息）中的全部目录分区集合组成一片树林。,3.2 Active Directory的物理结构,3.2.1 域控制器域控制器是运行Active Directory 的 Windows Server 2008服务器。由于在域控制器上，Active Directory 存储了所有的域范围内的账户和策略信息，如系统的安全策略、用户身份验证数据和目录搜索。账户信息可以属于用户、服务和计算机账户。由于有Active Directory 的存在，域控制器不需要本地安全账户管理器（SAM）。在域中作为服务器的系统可以充当以下两种角色中的任何一种：域控制器或成员服务器。,3.2.2 站点,Act

9、ive Directory中的站点代表网络的物理结构或拓扑。Active Directory 使用在目录中存储为站点和站点连接对象建立起最有效的复制拓扑。可以将站点定义为由一个或多个 IP 子网的一组连接良好的计算机集合。站点与域不同，站点代表网络的物理结构，而域代表组织的逻辑结构。站点在概念上不同于Windows Server 2008 的域，因为一个站点可以跨越多个域，而一个域也可以跨越多个站点。站点并不属于域名称空间的一部分，站点控制域信息的复制，并可以帮助确定资源位置的远近。站点反映网络的物理结构，而域通常反映组织的逻辑结构。,3.3 域信任关系,信任是域之间建立的关系，它可使一个域中

10、的用户由处在另一个域中的域控制器来进行验证。Windows Server 2008域之间信任关系建立在Kerberos安全协议上。Windows Server 2008树林中的所有信任都是可传递的、双向信任的，因此，信任关系中的两个域都是相互受信任的。如图3.4所示。,图3.4 一个域树和它的信任关系表示,8.4 Active Directory 的安装,Active Directory和DNS具有相同的层次结构。DNS区域可存储在Active Directory中。如果要使用Windows Server 2008 DNS服务，主区域文件可存储在Active Directory 中，用于复制到

11、其他Active Directory域控制器中。Active Directory 客户使用DNS来定位域控制器。将Windows Server 2008服务器的基本系统安装完成之后，可以通过手动安装域名服务器（DNS）和DCPromo（创建DNS和Active Directory的命令行工具），也可以使用“Windows Server 2008管理服务器”向导进行安装。下面介绍具体的安装方法。,8.4.1 域控制器的安装,1Windows Server 2008 管理服务器安装安装AD DS之前需验证Windows Server 2008系统、配置TCP/IPv4属性、设置AD DS 的数据库

12、、日志文件以及SYSVOL文件夹。在计算机WIN上安装Active Directory域服务和DNS服务，域名为“”。,Windows Server 2008 管理服务器安装,（1）单击“开始|运行”，在运行对话框中输入“dcpromo”命令，出现如图3.5所示的界面，开始安装Active Directory域服务二进制文件。,图3.5安装Active Directory域服务二进制文件,Windows Server 2008 管理服务器安装,（2）Active Directory域服务二进制文件安装完之后,将打开如图3.6所示的”Active Directory域服务安装向导”，通过该向导把

13、当前计算机配置为域控制器。,图3.6 Active Directory域服务安装向导,Windows Server 2008 管理服务器安装,（3）单击“下一步”按钮，出现“操作系统兼容性”对话框。（4）单击“下一步”按钮，在出现的“选择一部署配置”对话框中选择“在新林中新建域”复选框，如图图3.7所示。,图3.7 在新林中新建域,Windows Server 2008 管理服务器安装,（5）单击“下一步”按钮，出现“命名林根域”对话框，在“目录林根级域的FQDN”文本框中输入新的林根级完整的域名系统名称为“”如图3.8所示。,图3.8命名林根域,Windows Server 2008 管理服

14、务器安装,(6)单击“下一步”按钮，开始检查网络中是否已经存在名为“”的林的名称，如果没有检查到该林，则出现如图3.9所示的对话框。,图3.9 设置林功能级别,Windows Server 2008 管理服务器安装,（7）单击“下一步”按钮，出现如图所示的“设置域功能级别”对话框。有Windows 2000纯模式、Windows Server 2003和 Windows Server 2008三个域功能级别，默认域功能级别为Windows 2000纯模式。,图3.10设置域功能级别,Windows Server 2008 管理服务器安装,（8）单击“下一步”按钮，开始检查计算机上DNS配置，检

15、查完毕出现“其他域控制器选项”对话框，选择“DNS服务器”复选框将该计算机配置为DNS服务器，如图3.11所示。在该对话框中的选项说明如下：,图3.11选择其它域控制器,Windows Server 2008 管理服务器安装,（9）单击“下一步”按钮，弹出如图3.12所示的界面，该信息表示因为无法找到有权威的父区域或者未运行DNS服务器，所以无法创建该DNS服务器的委派。,图3.12无法创建DNS委派,Windows Server 2008 管理服务器安装,（10）单击“是”按钮，出现“数据库、日志文件和SYSVOL的位置”对话框，在该对话框中指定活动目录数据库、日志文件以及SYSVOL文件夹

16、的存储位置，其中SYSVOL文件夹必须存在NTFS文件系统的分区上，如图3.13所示。,图3.13指定数据库、日志文件以及SYSVOL文件夹的位置,Windows Server 2008 管理服务器安装,（11）单击“下一步”按钮，出现“目录服务还原模式的Adminstrator密码”对话框，在该对话框中指导定在目录服务还原模式下所需的密码，该密码必须符合密码策略规定的复杂性要求，如图3.14所示。,图3.14设置目录服务还原模式的Adminstrator密码,Windows Server 2008 管理服务器安装,（12）单击“下一步”按钮，出现“摘要”对话框，在该对话框显示以上步骤设置的相

17、关信息。确认信息没错，则单击“下一步”按钮，开始安装DNS和Active Directory域服务，过程如图3.15所示。,图3.15正在安装Active Directory域服务,Windows Server 2008 管理服务器安装,（13）整个安装Active Directory域服务需要几分钟时间，安装完成后会出现如图3.16所示“完成Active Directory域服务安装向导”对话框，表示Active Directory域服务安装成功。,图3.16完成Active Directory域服务,2域控制器的删除,安装好的域控制器的角色是可以更改的，可以使用“Active Direct

18、ory 安装向导”，在成员服务器上安装Active Directory以使其成为域控制器，也可从域控制器上删除Active Directory，使其成为成员服务器。,图3.21删除域,3.4.2 将计算机加入到域,将计算机添加到Windows Server 2008域中的详细操作步骤：(1)打开需要添加进域的客户端计算机“TCP/IP”属性对话框，将首选DNS的IP地址设置为“172.16.22.2”，如图3.25所示.,图3.25设置首选DNS服务器,将计算机加入到域,(2)右键单击“我的电脑”，然后单击“属性”按钮。单击“计算机名”选项卡，可以打开如图3.26所示的界面。（3）记录下完整的

19、计算机名称信息（备用）。（4）在控制面板中或桌面上“我的电脑”打开“系统”属性。在“计算机名”选项卡上，单击“更改”按钮启动计算机名称更改，如图3.27所示。,图3.26“系统属性”对话框中的“网络表示”选项卡,图3.27计算机名称更改,将计算机加入到域,（5）单击“隶属于”下面的“域”，输入要加入的域的名称，这里可以输入”,然后单击“确定”按钮，提示用户提供将计算机加入到域的用户名和用户密码。（6）单击“确定”按钮关闭“系统属性”对话框，将提示重新启动计算机以便使用所做的改动,在出现的“用户账户和域信息”页面（如图3.28所示）中，输入Active Directory用户（域用户组中的任何成

20、员）的用户名和密码，然后单击“下一步”按钮。单击“确定”按钮，出现“欢迎加入域”页面，说明A1计算机已成功加入域,如图3.29所示。,将计算机加入到域,（7）单击“确定”按钮，最后，系统会提示“重新启动计算机”。重新启动计算机之后，系统所做的设置才会完全生效，如图3.30所示。,图3.30重新启动生效,3.5 域账户管理,3.5.1 域用户账户Active Directory用户账户和计算机账户代表物理实体，如人或计算机。用户账户也可用做某些应用程序的专用服务账户。用户账户和计算机账户以及组也称为安全主体。安全主体是被自动指派了安全标识符（SID）的目录对象。用户或计算机账户在系统中可以用于以

21、下几个方面。1验证用户或计算机的身份2授权或拒绝访问域资源3管理其他安全主体4审核使用用户或计算机账户执行的操作,3.5.1 域账户账户,Active Directory用户账户和计算机账户代表物理实体，如人或计算机。用户账户也可用做某些应用程序的专用服务账户。用户账户和计算机账户以及组也称为安全主体。安全主体是被自动指派了安全标识符（SID）的目录对象。用户或计算机账户在系统中可以用于以下几个方面。（1）Active Directory用户账户。（2）保护Active Directory用户账户。（3）Active Directory账户配置选项。（4）计算机账户。,3.5.2 域用户组账户

22、,组是用户和计算机账户、联系人以及其他可作为单个单元管理的集合，属于特定组的用户和计算机称为组成员。通过对Active Directory 中的组进行管理，可以实现如下功能：（1）简化管理（2）委派管理,组相关的基本概念,1组作用域组都有一个作用域，用来确定在域树或林中该组的应用范围。有3种组作用域：通用组、全局组和本地域组。（1）通用组的成员包括域树或林中任何域中的其他组和账户，而且可在该域树或林中的任何域中指派权限。（2）全局组的成员包括只在其中定义该组域中的其他组和账户，而且可在林中的任何域中指派权限。（3）本地域组的成员可包括Windows Server 2008、Windows 20

23、00或Windows NT域中的其他组和账户，而且只能在域内指派权限，如表3.5所示。,组相关的基本概念,5组类型组可用于将用户账户、计算机账户和其他组账户收集到可管理的单元中。使用组而不是单独的用户可简化网络的维护和管理。Active Directory 中有两种组类型：通信组和安全组。可以使用通信组创建电子邮件通信组列表，使用安全组给共享资源指派权限。（1）通信组。只有在电子邮件应用程序（如 Exchange）中，才能使用通信组将电子邮件发送给一组用户。如果需要组来控制对共享资源的访问，则需创建安全组。（2）安全组。安全组提供了一种有效的方式来指派对网络上资源的访问权。使用安全组，可以将用

24、户权利指派到Active Directory中的安全组，可以对安全组指派用户权利以确定该组的哪些成员可以在处理域（或林）、作用域内工作。,3.5.3 组、用户账户的创建,1.组的创建Windows Server 2008中的组是可包含用户、联系人、计算机和其他组的Active Directory或本机对象。通过使用组可以管理用户和计算机对Active Directory对象及其属性、网络共享位置、文件、目录、打印机列队等共享资源的访问，也可以进行筛选器组策略设置，创建电子邮件通信组等。（1）单击“开始”按钮，指向“管理工具”，然后单击“Active Directory 用户和计算机”。（2）单

25、击“”旁边的“+”号将其展开。单击“”本身，显示如图3.28所示的右窗格的内容。,3.5.3 组、用户账户的创建,（3）在图3.31的左窗格中，右键单击“”，指向“新建”，然后单击“组织单位”按钮。,图3.31 添加组织单位,组的创建,（4）在名称框中输入“student”，然后单击“确定”按钮,如图3.32所示。,图3.32组织单位名称,（5）重复步骤3和4以创建“teacher”和“manager”组识单位（OU）。（6）在图3.33的左窗格中单击“student”，此时将在右窗格中显示其内容（此过程开始时它是空的）。（7）右键单击“student”，指向“新建”，然后单击“组织单位”。,

26、图3.33 创建组织单位,组的创建,（8）输入“zhilan”，单击“确定”按钮。（9）重复步骤7和8，在“student”中创建“fengze”和“zhilan”组识单位（OU）。在“Teacher”组识单位（OU）中创建“Computer”、“English”和“Math”,如图3.34所示。,图3.34 最终的组识单位（OU）结构,组的创建,（10）鼠标右键单击“manager”，指向“新建”，然后单击“组”以为创建两个安全组。要添加的两个组是“sunman”、“mathman”和“enlishman”,如图3.32所示。每个组的设置应该是“全局”和“安全”。单击“确定”按钮，分别创建每

27、个组。,2、创建用户账户,下面的操作将在芷兰学生宿舍区创建用户。（1）在左窗格中，右键单击“zhilan”，指向“新建”，然后单击“用户”。（2）输入“san”作为“名”，输入“zhang”作为“姓”（注意，在“姓名”框中将自动显示全名），如图3.36所示。,图3.36 添加用户,2、创建用户账户,（3）输入“zhangsan”作为“用户登录名”，窗口如图3.36所示。（4）单击“下一步”按钮。（5）在“密码”和“确认密码”中，输入“passwordstu”，然后单击“下一步”继续。,2、创建用户账户,（6）单击“完成”。此时，“zhangsan”作为用户显示在右窗格的“zhilan”下面，如

28、图3.37所示。（7）重复步骤2到7，为“Fengze”和“Jinan”的组识单位（OU）添加多个不同的账户。,图 3.37添加用户之后的组织结构,3.将用户添加到安全组中操作步骤：,（1）在图3.37的左窗格中，单击“Manager”,然后双击“sunman”组。（2）单击“成员”选项卡，然后单击“添加”。（3）单击“高级”，然后单击“立即查找”。（4）按住“Ctrl”键并单击用户名，从下面部分中选择所有相应的用户。在突出显示所有成员后，单击“确定”按钮，将需要加入的成员添加到“sunman”安全组中，如图3.38所示。单击“确定”按钮关闭“sunman安全组属性”页。（5）重复步骤2到5，

29、为Non-management组添加成员。（6）关闭“Active Directory用户和计算机”管理单元。至此，完成了计算机的组织和用户的添加。,习 题 3,3.1 什么是Windows的活动目录？它有什么特点？3.2 什么是域控制器？什么是成员服务器？他们二者之间有什么区别？3.3 简要描述创建域用户账户的步骤。3.4 什么是组？Windows Server 2008有哪几种类型的组？3.5 如何将一台计算机加入到Windows Server 2008的域中？请描述出主要步骤。3.6 Windows Server 2008有哪些主要的内置账户和内置组？最主要的内置账户是什么？提供给临时或

30、来宾客户使用的账户又是哪个？3.7 如何使用命令来将Windows Server 2008服务器提升为活动目录中的域控制器，或者将域控制器降级？,实训3 安装和管理Windows Server 2008的活动目录,3.1 在Windows Server 2008中安装活动目录（域名为）。3.2 让Windows XP客户机加入到活动目录。3.3 创建用户和用户组（创建Student和Studentman两个组，然后再创建Student1和Student2两个域用户账户，并将这两个用户加入到Student组中。在Studnetman组中也分别创建Stuman1和Stuman2两个账户）。3.4 分别给Student和Studentman组赋予权限，测试Student1和Stuman2是否具有相应的权限。,