实验三活动目录2003.ppt

实验目的 活动目录的安装和配置 实验内容 Win2003配置活动目录 配置和管理域、域用户 了解全局组及本地组等 客户机登录到域 活动目录 微软提供的一种目录服务（Directory service） 目录服务是一种网络服务，它存储网络资源的信息并使得用户和应用程序能访问这些资源 活动目录中存储着网络上各种对象的有关信息，这些信息可以为用户和网络管理员所用的目录服务，并且使用结构化的方式存储数据，具有符合逻辑的层次结构，这样的结构便于管理员和用户查找及使用 域 域是Windows网络系统的安全性边界。 一个计算机网络最基本的单元就是“域”，活动目录可贯穿一个或多个域。 域是活动目录的核心单元，是对象的容器。 一个域可以为一台独立的计算机，也可以分布在多个物理位置上，同时一个物理位置又可划分不同网段为不同的域，每个域都有自己的安全策略以及与其他域的信任关系。 缺省的情况下，一个域的管理员（Domain Admin）只能管理他自己的域。 一个域的管理员要管理其它的域，需要专门的授权。 域树 一个或多个与根域有信任关系的域的集合 树共享连续的名字空间（Namespace） 域林 由一棵或多棵树构成 域林中的树不必共享一个连续的名字空间 域控制器 域控制器存储着目录数据并管理用户域的交互关系，其中包括用户登录过程、身份验证和目录搜索。 一个域可有一个或多个域控制器。 域控制器参与活动目录复制，使每个域控制器上的目录数据同步，以确保随着时间的推移这些信息仍能保持一致，活动目录的优点是可动态管理 活动目录的安装 方法一 开始 运行 dcpromo 活动目录的安装 方法二(安装前最好将本机的IP地址设好) 开始 管理工具 管理你的服务器 活动目录的安装 活动目录的安装 活动目录的安装 活动目录的安装 活动目录的安装 活动目录的安装 活动目录的安装 活动目录的安装 活动目录的安装 活动目录的安装 活动目录的安装 活动目录的安装 活动目录的安装 活动目录的安装 活动目录的安装 活动目录的安装 活动目录的安装 活动目录的安装 安全策略 如果本地计算机已连接到某个域，那么就必须从该域的策略中或者从您所属的组织单位的策略中获取安全策略 如果从多个源获取策略，那么任何冲突都会按照从高到低的先后次序予以解决 部门策略 域策略 站点策略 本地计算机策略 安全策略 当使用本地安全策略修改本地计算机上的安全策略时，可以直接修改计算机上的设置，这些设置将立即生效 设置在本地计算机上将保持有效，直到下次更新“组策略”安全设置为止，这时从“组策略”接收到的安全设置会覆盖发生冲突的本地设置 在工作站或服务器上，每 90 分钟刷新一次安全设置 在域控制器上，每 5 分钟刷新一次安全设置 不管是否进行更改，安全设置都是每 16 小时刷新一次 安全策略 安全策略 活动目录的管理 组织单位（OU) 组织单位（OU) 组织单位（OU) 组织单位（OU) 组 组的工作方式 一次对组授权，用户加入相应组即可，不必多次授权。 用户登录后，修改权利权限，再次登录才生效 一帐号可属于多个组，权利权限取大，但一票否决 工作组中的组 不在域控制器的计算机上创建 客户机或成员服务器 驻留在本地SAM库中 在本地机上使用这些组和授权 域中的组 在域控制器DC上创建 驻留在活动目录中 在域中使用这些组和授予权利权限 本地组 本地机的本地组 相对于域本地组 建议：不要在域成员计算机上使用本地组 因为这样会妨碍你对组的集中管理 本地组只能包含来自本机的本地用户帐号 本地组不能是其他组的成员 在域中实现组 利于在域中进行集中管理 在域控制器上创建，存于活动目录AD中 任何地方，甚至跨域使用 组的类型 安全组 用于与安全性有关的功能，如资源权限 也可用于向多用户发送e-mail信息（此时功能与分发组相同） 通讯组 与安全性无关，不能为其授权 仍是必要的，某些应用程序只能够读分发组 如MS Exchange Server 2000（针对AD设计） 驻留在AD中 建立组 建立组 建立组 用户帐号 通过用户帐号，用户可以登录和访问本地的或者域的资源。 用户帐号的类型： 用户帐号 创建域用户帐号 创建域用户帐号一般在域控制器上进行。 也可以用人工的方式将管理工具安装在某个运行Windows2000 Professional的成员服务器或者计算机上，进行实现远程方式管理域和它的用户帐号。 在Win2000中搜索adminpak.msi文件，然后进行安装。 创建域用户帐号 创建域用户帐号 创建域用户帐号 创建域用户帐号 创建域用户帐号 创建域用户帐号 创建域用户帐号 域用户帐号设置属性 域用户帐号设置属性 域用户帐号设置属性 域用户帐号设置属性