chap3 活动目录2.pptVIP

本地用户帐户：在未安装活动目录的成员服务器或者独立服务器上，可以利用“计算机管理”工具在工作组环境下创建和管理本地用户和组。 用户可以利用本地用户帐户登录到该帐户所在的计算机，但是这个帐户只能够访问这台计算机内的资源，无法访问网络上的资源。如果要访问其他计算机内的资源，必须输入该计算机内的帐户名和密码。 当用户利用本地用户帐户登录时，由这台计算机利用其中的“本地安全帐户数据库”检查帐户名称和密码是否正确。 本地用户帐户只存在于这台计算机内，它们不会被复制到域控制器的活动目录中，也不会被复制到其他计算机的“本地安全帐户数据库”内。 域用户帐户：在安装活动目录的域控制器上，可以利用“Active Directory用户和计算机”工具在基于域的环境下创建和管理网络中的用户、计算机、组、组织单位、域、域控制器以及发布共享资源。 当用户利用域用户帐户登录时，这个帐户数据库被送到域控制器中，由域控制器检查用户所输入的帐户名称和密码是否正确。 在将用户帐户创建在某台域控制器后，这个帐户会被自动复制到同一个域内的其他域控制器内。因此，当用户登录时，该域内的所有域控制器都可以检查用户所输入的帐户名称和密码是否正确。 本地组帐户：在未安装活动目录时，可以利用“计算机管理”工具在工作组环境下创建和管理本地的组帐户。这些组帐户被存储在“本地安全帐户数据库内”。本地组只能在本地计算机中使用，也就是它们只能访问本地计算机内的资源。 域的组帐户：在安装活动目录的域控制器上，可以利用“Active Directory用户和计算机”工具在基于域的环境下创建和管理网络中的组，这些组帐户被存储在活动目录数据库内，能够被使用在整个域目录林的所有计算机上，也就是说，它们能够访问所有的计算机的资源。 3.4 活动目录的管理 3.4 活动目录的管理 3.4 活动目录的管理 3.4 活动目录的管理 –加入域 3.4 活动目录的管理 –安全策略设置 Step3 设置本地策略 　 Step4 设置管理模板策略 1） 任务栏和[开始]菜单设置 在“组策略编辑器”中，依次展开“用户配置”→“管理模板”→“任务栏和[开始]菜单”，如后图所示。 展开“用户配置”→“管理模板”→“控制面板”，为技术部进行如下设置： 删除“添加或删除程序” 阻止添加/删除打印机 禁用TCP/IP高级配置 禁止添加或删除用于LAN接连或远程访问连接的组件 类似地，可以根据实际规划，为其他部门设置相应安全策略。 Step4 设置管理模板策略 3.4 活动目录的管理 信任关系是两个域控制器之间实现资源互访的重要前提，任何一个域被加入到域目录树后，这个域都会自动信任父域，同时父域也会自动信任这个新域，而且这些信任关系具备双向传递性。由于这个信任关系的功能是通过所谓的Kerberos安全协议完成的，因此有时也被称为Kerberos信任。 当网络中有多个不同的域，想要让每个用户都可以自由访问网络中的每台服务器（不管用户是否属于这个域）时，域之间需要创建信任关系。在前面的章节中，我们已创建了一个是域，主域计算机名为ycserver，TCP/IP地址为：，现在我们再创建一个域，主域计算机名为ycserver-02，TCP/IP地址为：。下面我们就以这两个域为例，介绍信任关系的创建。创建信任关系时，在ycserver-02计算机上进行操作，具体的操作步骤为： 创建信任关系 3.4 活动目录的管理 1）单击“开始”→“管理工具”→“Active Directory域和信任关系”，从主窗口中右击域名，从现出的菜单中选择“属性”，打开“域属性”窗口，接着单击“信任”标签，打开如图3-35所示的“信任”选项卡。由于当前域尚未与其它任何域建立信任关系，所以此时列表为空。 2）单击“新建信任”按钮，打开“新建信任向导”，单击“下一步”按钮，弹出如图3-36所示“信任名称”窗口，在“名称”文本框中输入要与之建立信任关系的NetBIOS名称或者DNS名称，这里为“”。 创建信任关系 3.4 活动目录的管理 图3-35 信任选项卡 图3-36 信任名称 3.4 活动目录的管理 3）单击“下一步”按钮，弹出如图3-37所示“信任方向”对话框，选择信任关系的方向，可以是“双向”、“单向：内传”、“单向：外传”。双向的信任关系实际上是由两个单向的信任关系组成的，因此也可以通过分别建立两个单向的信任关系来建立双向信任关系。这里为了方便，选择“双向”单选按钮，单击“下一步”按钮。 4）如图3-38所示，由于信任关系要在一方建立传入，在另一方建立传出，为了方便，选择“这个域和指定的域”单选按钮，同时创建传入和传出信任，单击“下一步”按钮，否则必须在域上重复以上的步骤。 创建信任