《域的管理.ppt》由会员分享,可在线阅读,更多相关《域的管理.ppt(44页珍藏版)》请在三一文库上搜索。
1、1 域的管理域的管理 演 示域的 工作环 境 域 的说明 2 安装活安装活动动动动目目录录录录 活 动目录 简介 活 动目录 的逻辑 结构 活 动目录 的安装 3 活动动目录简录简 介 活 动目录的 作用 活 动目录的 对象 轻 型目录访 问协议( LDAP) 4 活动动目录录是什么? 目录服务的功能目录服务的功能 n组织 n管理 n控制 资源 集中管理集中管理 n单点管理 n单点登陆可访问所有的目录服 务资源 活动目录提供目录服务功能,包括一种集中组织、管理和控制网络资源 访问的方法。它的出现使得WIN2K系统与Internet上的各项服务和协议更 加联系紧密,因为它对目录的命名方式成功地与
2、”域名“的命名方式一 致,然后通过DNS进行解析,使得与在Internet上通过WINS解析取得一致 的效果。 5 活动动目录录的对对象 对象: 对象是活动 目录中的信息实体,也即我们通常所 见的“属性”,但它是一组属性的集合 ,往往代表了有形的实体,比如用户 账户、文件名等。对象通过属性描述 它的基本特征,比如: 一个用户账号 的属性中可能包括用户姓名、 电话 号码、 电子邮件地址和家庭住址等 。 属性属性 名字 姓氏 登陆名 属性属性 打印机名 打印机的位置 活动目录活动目录 打印机 打印机1 打印机2 crq 用户 lrj 访问属性访问属性 对象对象 打印机 用户 打印机3 6 轻型目录
3、访问协议 (LDAP) LDAPLDAP 提供了一种与活动提供了一种与活动 目录通讯的方法,目录通讯的方法, 通过为目录中的每通过为目录中的每 一个对象指定唯一一个对象指定唯一 的命名路径的命名路径 7 域(DOMAIN) 1.域是是活动 目录的中逻辑结构的核心单元,一 个域包含许多台计算机,它们由管 理者设定,共用一个目录数据库。 一个域有一个唯一的名字 2.域起着安全 边界的作用:保证域的管理者只能 在该域内有着必要的管理权限,每 个域都有自己的安全策略和与其它 域的安全联系方式 8 组织单元(OU) 组织结构组织结构 Sales Vancouver Repair Users Sales
4、 Computers 网络管理模型网络管理模型 包含在域中 特别别有用的目录对录对 象类类型就是 组织单组织单 元。组织单组织单 元可包含用 户户、组组、计计算机和其他对对象, 组织单组织单 元不能包括来自其他域 的对对象。我们们可以通过组过组 策略 对组织单对组织单 元中的对对象进进行管理, 从而实现实现 集中管理的功能。组组 织单织单 元是可以指派组组策略设设置 的最小作用单单位。 9 森林与域树树 (root) account. user. 域树 双向可传递信任双向可传递信任 manger. sales. 森林 域树 双向可传递信任双向可传递信任 10 全局目录录(GC) 全
5、局目录服务器 全局目录(全局目录(GCGC) 目录 对象 属性 的子 集 DomainDomain Domain DomainDomain Domain 查询查询 11 域控制器 域控制器域控制器 域 复制复制 User1 User2 User1 User2 = 具有可写属性的活动目录数据库 域控制器运行在win2000server的计算机上,用来 存储目录的副本,管理目录信息的变化,并把这该 变化复制给该域其它的域控制器。域控制器存储目 录数据,管理用户登录、验证和目录搜索 12 利用活动动目录录来实实行集中式管理 OU1 Domain Computers Users OU2 Users P
6、rinters Computer1 User1 Printer1 User2 Domain OU2OU1 User1 Computer1Printer1User2 搜索搜索 活动目录: 可 以使一个管理员集中管 理网络资源 可 以使管理员容易的确定 对象的信息 可 以使管理员把相似的对 象组织到 OU 中 可 以使管理员给站点、域 或 OU 指定具体的组策 略设置 13 委派管理控制权权 分配权限: 把不同的 OU 指派给不同 的管理员控制 指定在一个 OU 中修改对 象具体属性的权限 指定在所有 OU 中执行同 样任务的权限 通过定制管理工具: 指派具体的管理任务 可以简化界面设计 Doma
7、in Admin1 Admin2 Admin3 OU2 OU3 OU1 14 DNS概述 DNS在 活动目录中的作 用 DNS与 活动目录 活动 目录中的DNS名 字解析 活动 目录集成的区域 安装 和配置DNS以支 持活动目录 15 DNS(域名服务)作用 16 DNS与活动动目录录的命名空间间 sales. training. training microsoft DNS命名空间 活动目录命名空间 = DNS节点(域或计算机)= 活动目录的域 sales computer1 (DNS 根域) “ “.”.” . Internet 17 DNS主机名与 Windows 2000的计算机
8、名 nDNS主机记录与活动目录的组件可表 示同一台计算机 n计算机可以依靠DNS在活动目录内定 位域控制器 活动目录 Builtin Computers Ncie-1 Ncie-2 DNS “ “.”.” . sales trainingtraining Ncie-1Ncie-1 microsoftmicrosoft 全称域名(FQDN) = ncie- Windows 2000 计算机名 = ncie-1 18 计计算机如何用DNS来定位域控制器 DNS 服务器 区域数据库区域数据库 SRV 记录 客户机联系域控制器客户机联系域控制器 6 6 域控制器作出反应域控制器作出反应 7 7 运行
9、轻型目录访 问协议(LDAP )的域控制器 8 8 客户机给域控制器 发送一个请求 登陆或查找活动目录登陆或查找活动目录 1 1 发送包含客户机信息的发送包含客户机信息的DNSDNS查询查询 3 3 网络登陆服务收集客户机信息网络登陆服务收集客户机信息 2 2 返回返回IPIP地址列表地址列表 5 5 DNSDNS查询匹配的查询匹配的SRVSRV记录记录 4 4 客户机 19 AD与DNS作用和区别别 20 活动动目录录与DNS的区别别 DNS和活动 目录的结合是Windows2000 服务器的最主要特点,DNS域 和活动目录域对不同的名字空 间使用同一样的域名。但它们 各自存储不同的数据,因
10、此管 理不同的对象。DNS存储它的 区域和资源记录,活动目录存 储域和域中的对象。对DNS来 说,域名是以DNS的命名结构 为基础的,是一种倒树型结构 :一个根域,下面的域既是父 域又是子域。每一个DNS域中 的计算机可以通过完全合格域 名(FQDN)进行识别。每一 个与因特网连接的WIN2K域都 有一个DNS名字,并且每一个 WIN2K域中的计算机也都有一 个DNS名字。因此,域和计算 机即代表活动目录对象,又代 表域节点。 21 活动目录的安装实验物理环境 计算机A域控制器DC或与DNS集成 DNS服务器 计算机B :域名 IP:192.168.1.1/24 dns:192.168.1.
11、1 或 dns:192.168.1.2 IP:192.168.1. 2/24 IP:192.168.1.4 /24 dns:192.168.1.1 或 dns:192.168.1.2 IP:192.168.1.3 /24 dns:192.168.1.1 或 dns:192.168.1.2 22 活动动目录录的安装 23 将计计算机加入到域 24 创建和管理域用户帐户创建和管理域用户帐户 域用户帐 户的管理 域模式中 的组的管理 创建域用创建域用 户帐户户帐户 使用域用使用域用 户帐户登录计算机户帐户登录计算机 设置域用设置域用 户帐户的属性户帐户的属性 25 域用户账号 域用户账号是在DC上建
12、立的,域用户账号是访 问域的唯一凭证,作为AD的一个对象保存在域 的AD数据库中。用户从域中的任何一台计算机 登录到域中的时候必须提供一个合法的域用户 账号,该账号将被域的DC所验证。 单用户帐户 Active Directory 26 创建域用户帐户创建域用户帐户 27 使用域用户帐户登录计算机使用域用户帐户登录计算机 28 设置域用户帐户属性设置域用户帐户属性(1)(1) 29 设置域用户帐户属性设置域用户帐户属性(2)(2) 30 创建和管理域中的组创建和管理域中的组 介绍域中的介绍域中的 组组 组的类型组的类型 组的范围组的范围 创建域中的创建域中的 组组 AGDLPAGDLP规规 则
13、则 31 介绍绍用户户和组组 为每个用户账号 创建一个唯一登陆名 将用户账号分组 以高效管理域资源的访问 将组嵌套到别的 组中以减少管理任务 用户用户 共享资源共享资源 Permissions 组组 32 介绍绍活动动目录录中的组组 n组可以被嵌套到其它的组中 n一个用户可以是许多组的成员 Group Group n使用组来简化资源权限的分配 Group Group Group Group Group Group 33 全局组组 全局组的规则 可加入的组可加入的组 成员成员 作用范围作用范围 权限范围权限范围 l混合模式: 本域的用户账号 l本机模式: 本域的用户账号 l混合模式: 域本地组
14、l本机模式: 任何域中的通用和域本地组, 还有本域 中的全局组 l目录林中所有的域 l目录林中所有的域 添加添加 全局组 34 域本地组的规则 可加入的组可加入的组 成员成员 作用范围作用范围 权限范围权限范围 l混合模式: 任何域中的用户账号和全局组 l本机模式: 目录林中任何域中的用户账号,全局组和 通用组以及本域中的域本地组 l混合模式: 不能是任何组的成员 l本机模式: 本域中的域本地组 l混合模式: 域控制器 l本机模式: 域控制器所在的域 l混合模式: 域控制器 l本机模式: 域控制器所在的域 添加 添加 全局组 域 DLG 域本地组 域本地组组 35 通用组组 可加入的组可加入的
15、组 通用组的规则 成员成员 l混合模式: 不能创建通用组 l本机模式: 目录林中任何域中的 用户账号,全局组,和其它的 通用组 l混合模式:不能创建通用组 l本机模式: 任何域中的域本地组 和通用组 作用范围作用范围l在目录林中的所有域中都是可 见的 权限范围权限范围 l目录林中的所有域 全局组 通用组 36 AGDLP 用户账号多个全局组全局组域本地组授权 A A GGDLDL P P GG DLG 把域用户账号添加到全局组 (可选) 把多个全局组添加到另一个全局组中 把全局组添加到域本地组 把资源的访问权限分配给域本地组 37 创建域中的组创建域中的组 38 用户户配置文件的类类型 默 认
16、的用 户配置 文件 本 地用户 配置文 件 漫 游用户 配置文 件 强 制性漫 游用户 配置文 件 39 默认的用户配置文件 默认的用户 配置文件用于生成一个 新用户的工作环境,所 有对用户配置文件的修 改都是在默认用户配置 文件上开始的。当用户 第一次登录到计算机时 其用户配置文件的内容 就是由DefaultUser文件 夹中的内容和AllUser文 件夹的内容组成的 40 本地用户配置文件 当一个用户登录 到一台计算机时创建的用户配 置文件就是本地用户配置文件 。一台计算机上可以有多个本 地配置文件,分别对应于每个 曾经登录过该计算机的用户。 用户配置文件不能直接被编辑 ,要想修改配置文件
17、的内容需 要以该用户登录,然后修改用 户的工作环境如桌面、“开始 ”菜单、鼠标等,在用户退出 登录时,系统会自动的将修改 的配置保存到用户配置文件中 去。 41 漫游用户配置文件 保存对该文件 的更改 42 强制性用户配置文件 服务器 用户 用户 用户 用户 漫游配置文件 A B CD 不保存用户对 此文件的更改 强制性用户配置文件不保存用户对工作环境的修改 当用户更改 了工作环境参数后退出登录再重新登录时工作环境又恢复到强制 用户配置文件中设定的当需要一个统一的工作环境时该文件就十 分有用该文件由管理员控制 通常将强制性用户配置文件保存在 某台服务器上这样无论用户从哪一台计算机上登录都将得到
18、一个 相同且不能更改的工作环境。 ntuser.dat ntuser.man 43 设置漫游用户配置文件 servernameProfile%username% 用于存放用户漫游配 置文件共享文件夹服 务器的UNC路径 %username%是取当前用 户登录名的变量,在用户登 录成功后,系统会以用户名 登录名为名称在Profile文 件夹中创建一个子文件夹, 来存放该用户的用户配置 文件 44 漫游、强制性用户配置文件实验 在服务器上创建一个共享文件夹(比如:share) 在服务器配置文件路径中配置为servername或IP地址 Shard_floder_name%User name% 本例中路径为:192.168.0.101share%User name% 强制漫游用户配置文件,只要把ntuser.dat改名为ntuser.man即可