第6章用户管理.ppt

第6章 用户管理 6.1 用户管理与目录服务 6.2 域与活动目录 6. 3 用户账户管理 6. 4 组账户管理 6.5 实验操作1：用域管理用户 6.1 用户管理与目录服务 6.1.1 目录服务的概念 目录（directory）是用来存储用户账户、组、打印机、共享文件夹等对象（object）的一个集合。 目录服务（Directory Service，DS）是一个代表网络用户及资源的基于对象的数据库； 主要用于存放用户的信息及网络配置数据，便于管理人员和应用程序对信息进行添加、修改和查询。 目录服务的功能是让用户很容易地在目录内方便、快速地查找到所需要的数据。 概括讲，目录服务就是按照树状信息组织模式，实现信息管理和服务接口的一种方法。 目录服务系统一般由两部分组成： 第一部分是数据库，一种分布式的数据库，且拥有一个描述数据的规则； 第二部分是访问和处理数据库时使用的访问协议。 6.1.2 Novell目录服务 Novell Directory Services（Novell目录服务，NDS），是基于Novell NetWare网络操作系统的目录服务。 NDS是一种流行的软件产品，它能够从管理的角度对计算机资源的访问进行管理并能跟踪网络用户。 网络管理员通过使用NDS可以建立和控制用户数据库，并能够通过带有图形用户界面GUI的目录来管理他们。 管理员可以对远程计算机用户集中进行添加、更新和管理。应用程序也可以自动分配并集中维护。 NDS可以在Windows NT、Sun Microsystem的Solaris、IBM的OS/360和Novell自己的NetWare下运行，所以它可以控制多平台的网络。 6.1.3 Microsoft目录服务 Microsoft目录服务，即大家熟知的活动目录（Active Directory，AD）。 活动目录是一个名称空间。 “名称空间”是一块规划好的区域，在这个区域内可以利用某个名字找到与这个名字相关的信息。 例如：一个电话簿就是一个名称空间，可以利用人名在这个电话簿中到对应的电话号码等信息。 在TCP/IP网络环境中，用域名系统DNS解析计算机名称与IP地址之间的映射关系，Windows 2000/2003中活动目录的名称空间是以域为单位进行划分，并采用了DNS结构。 6.1.4 iPlanet目录服务 iPlanet 目录服务（iPlanet Directory Server，iDS）作为SUN公司的产品，为大量用户开发外联网（Extranet）应用提供所需求的可伸缩性和信息控制。 通过跨越多个应用实现集中化用户、组和访问控制，iPlanet Directory Server可以极大地简化管理。 6.1.5 OpenLDAP OpenLDAP是一个通过Internet进行集体开发的项目。 它的目标是提供一个稳定的、商业级的、功能全面的LDAP套件，其中包括LDAP服务器和一些开发工具。 具体内容请参考网站。 6.1.6 LDAP LDAP(Light Directory Access Protocol，轻型目录访问协议)，它其实是实现目录服务的一个协议。 LDAP协议从1963年批准，产生了LDAP v1版本，随后于1967年发布了第三个版本LDAP v3。 LDAP v3协议不是单个协议，而是一个协议族。 LDAP的应用主要涉及以下几种类型： 信息安全类：数字证书管理、授权管理、单点登录； 科学计算类：DCE(Distributed Computing Envirionment，分布式计算环境)、UDDI(Universal Description，Discovery and Integration，统一描述、发现和集成协议)； 网络资源管理类：MAIL系统、DNS系统、网络用户管理、电话号码簿； 电子政务资源管理类：内网组织信息服务、电子政务目录体系、数字化校园的统一身份认证等。 6.2 域与活动目录 6.2.1 域目录及信任关系 1．域目录树 如图6-1所示的是一个树状结构的域目录树； 其中最上层的域名是这个域目录树的根域，下面的和是的两个子域。 2．域的信任关系 当一个域被加入到域目录树时，这个域会自动信任上层的父域，同时父域也会自动信任这个新域，而且这种信任关系具有双向性。 当两个域之间建立了信任关系后，才可以相互访问对方域内的资源。 3．域目录林 在大型网络中有时需要同时创建多个域来对网络进行管理。 如图6-2所示，域目录林是由2个或多个域目录树组成的，每个域目录树都有自己唯一的名称空间。 6.2.2 域控制器 活动目录的目录数据存储在域控制器内。 根据