《windows网络操作系统》第3章__域的创建与管理56893.ppt

企业要构建一个办公网络，考虑到业务发展的需要，以及网络的安全性，需要对重要的公共资源和计算机使用人员的信息实现集中管理。 为此需要将原来基于工作组方式的网络升级为基于域的网络，现在需要将一台或多台计算机升级为域控制器，并将其它所有计算机加入到域成为成员服务器或工作站。 同时对原来的本地用户账户和组按不同部门归类升级为域用户和组进行管理。 课程导入 课程导入 第3章 域的创建与管理 了解：域的概念、特点，活动目录的结构，域用户账户、域组账户和组织单位的概念、特点和用途 熟悉：域控制器的条件，活动目录的管理与维护，域组账户的使用原则 掌握：创建域，将计算机加入或脱离域，将域控制器降级为独立服务器或成员服务器；域用户账户、域组账户和组织单位的管理 3.1 域的有关概念 活动目录是存储网络上对象的相关信息并使该信息可供用户和网络管理员使用的目录服务。 目录是一个数据库，用于保存与网络资源相关的信息结构、资源位置、安全信息及管理信息等。如：计算机、用户、组、打印机等的名称、描述、地理位置、访问权限等信息。 目录服务是使目录中所有信息和资源发挥作用的服务。 服务的主要表现是： 网络中的所有用户和应用程序只需提供很少的信息就能准确定位到这些实体资源，保证用户能够快速访问。 目录服务在网络安全方面也扮演着中心授权机构的角色，从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。 域（Domain）是共用一个“目录服务数据库”有安全边界的计算机的集合。 3.1 域的有关概念 3.1 域的有关概念 域控制器 在一个域中，活动目录数据库必须存储在域中特定的计算机上，这样的计算机被称为域控制器（Domain Controller，简写为DC）。 一个域可以有一个或多个域控制器，各域控制器是平等的。 成员服务器 那些安装了服务器版操作系统（如：Windows Server 2003或Windows 2000 Server），但未安装AD服务且加入域的计算机 。 工作站 所有安装Windows NT Workstation、Windows 2000 Professional或Windows XP Professional系统，且加入域的计算机 3.1 域的有关概念 有许多计算机并不属于任何一个域，即以工作组模式运行着，从功能上来讲，也可将其分为两种角色： 独立服务器 安装了各种版本的Windows Server，但未加入域。它一旦加入域中，其角色便转化为“成员服务器”。 一般客户端计算机 无论执行何种操作系统，只要未加入域，且不是独立服务器的计算机，都归为此类。它一旦加入域中，其角色便是“工作站”。 3.1 域的有关概念 集中管理：域中所有计算机共享了一个活动目录数据库，里面包含了整个域中的所有的资源信息、账户信息与安全信息。 安全级别较高：由于域中所有安全信息都集中存储在活动目录数据库中，所以管理员可以通过指定强有力的安全策略来保证整个域的安全。 便于用户访问域中的资源：在域的活动目录数据库中，管理员可以创建 “域用户账户”。 一个域中无论有多少台计算机，用户只要拥有域用户账户，便可访问域中所有计算机上允许访问的资源，即域用户账户对资源的访问范围可以是整个域，而非局限在一台计算机上。 域用户账户可以在加入域的任何一台计算机上登录，从而使用、访问该计算机上资源。 3.1 域的有关概念 组织单位（Organizational Unit，简称OU） OU是组织、管理一个域内的对象的容器，它能包容用户账户、用户组、计算机、应用程序、打印机和其它的OU。 域(Domain) 域是活动目录的核心单元，是对象（如计算机、用户、组织单位等）的容器，这些对象有相同的安全需求、复制过程和管理。域管理员具有管理本域的所有权利，如果其它的域显式地赋予它管理权限，他还能够访问或管理其它的域。 域树(Tree) 3.2 域的创建 计算机必须运行Windows Server 2003标准版、企业版或数据中心版，Web版的计算机不能成为域控制器 安装者具有本地管理员权限 至少具有250MB的磁盘空间。其中，200MB的空间用于存放活动目录数据库，50MB的空间用于存放活动目录数据库的事务日志文件。 安装域控制器的服务器上至少要有一个NTFS分区。 有TCP/IP设置（IP地址、子网掩码、DNS的IP等） 域结构的网络中必须有DNS服务器与其相配合。DNS服务器的作用是定位域控制器的位置。 3.2 域的创建 安装过程演示： 3.2 域的创建 计算机能加入域的先决条件是： 该计算机与域控制器能连通 在计算机上正确设置首选DNS服务器的IP地址(这里设为第一台DC的IP)。 3.2 域的创建 3.3 域的管理 创建域用户账户： 3.3 域的管理 限制用户登录域的时间