域用户帐号与管理.ppt

委托关系 对于由多个域组成的网络，一个域中的用户需要访问另一个域中的资源时，需要在两个域中建立委托关系 现称委托者为“信任域”，接受委托者为“受托域”。 当建立起委托关系后，信任域即可辨认受托域中的用户帐号，允许这些帐号在信任域内使用。例如： 在信任域中登陆，但在登陆时必须指明用户属于哪一个受托域 在信任域中被设置其对信任域内资源的使用权限与访问权限 访问信任域中的资源 委托关系可以是单向的或双向的。 委托关系不具有转移性 域的模式 单域模式 单主域模式 多主域模式 单域模式 单主域模式 由于所有的用户帐号都建立在主域中，所以其他域必须委托主域，以便主域的帐号能够使用所有域中的资源。 多主域模式 网络中含有多个主域，所有的用户帐号都建立在这几个主域内，且每一个用户在整个网络中只需要一个帐号，不需要在每一个主域中都建立一个帐号。 域的成员 在Windows 2003 Server网络的一个域中，必须有一台安装并运行Windows 2003 Server Server的服务器，并且此服务器必须是主域控制器（PDC），此服务器内保存着域内用户与组数据库的主备份。此外，域内还可以存在其他服务器。如下图： 主域控制器 是一台运行Windows 2003 Server 的计算机，一个域必须有且只能有一个主域控制器。 域中所有帐号、组以及安全设置等数据都集中保存在主域控制器的目录数据库中，因此帐号的增加与修改都是在主域控制器的目录数据库中进行的。 主域控制器也可以做文件、打印或应用软件服务器。同时负责审核登陆者的身份。 备份域控制器 是一台运行Windows 2003 Server的计算机，但在安装时被设置为备份域控制器。主域控制器会定期将目录数据库备份到备份域控制器中。 功能和主域控制器类似；但备份域控制器不是必须的。 可分担审核负荷，或在PDC无法使用时提升为PDC，保证正常运行 独立服务器 没有被赋予特殊的名称；可以是文件、打印或应用软件服务器中的一种或多种。已经添加到域中的独立服务器，具有以下特点： 没有备份域目录数据库功能。 没有审核域登陆者身份的功能（只能审核本机登陆者身份）。 可以使用所属域内的帐号。 可以使用受托域内的帐号。 安装域控制器（ 通过Active Directory安装向导配置）步骤： 开始---管理工具---配置服务器，在打开的相应对话框内，单击” Active Directory安装向导“。（或者“开始”--“运行”--“dcpromo”启动向导。） 启动向导，点击”下一步“按钮。 设置域控制器类型。 创建目录树或子域。 创建或加入目录林 新的域名。如： NetBIOS域名。如：jsjxy 指定Active Directory数据库和日志文件的位置。 当域控制器安装完成后，即可进行活动目录的管理，资源发布及客户机的域内资源的访问。 在控制面板中的管理工具窗口中，可见增加了三个图标： Active Directory用户和计算机：用于域控制器的配置和管理、活动目录的资源发布等。 Active Directory域和信任关系：用于设置域和域之间的信任关系。 Active Directory站点和服务：用于配置各域控制器之间的性能优化。 域用户帐号与管理 在Windows 2003 Server中，域用户管理器是用于建立和管理域中用户帐号、组、安全规则的主要工具。 Windows 2003 Server提供两个内置的全局帐号，分别为 Administrator:用于对整个域进行管理，即系统管理员帐号。 Guest:供临时访问者访问域中资源的帐号 以上两个帐号名称可以被用户修改，但是不能删除。 当用户比较多时，利用组对其管理。常见组类型为 全局组、本地组 全局组：经过适当设置，可以在任意域中使用的组。只有域控制器才有全局组。在全局组中，只能包含该组所在域内的用户，不能包含域内的用户，也不能包含其他的本地组或全局组。 本地组：经过适当设置，本地组可以包含所有域中的用户和所有全局组，但是不能包括其他本地组。对域控制器上的本地组而言，只能设置其对计算机上资源的访问权限。 用户帐号及建立方法。 用户名、用户全称、用户密码、隶属组、用户环境配置文件、可在那些时间登陆、从那些工作站登陆、帐号有效日期、登陆命令文件、主目录、拨入等信息。 添加一个用户帐号后，系统自动为其生成一个安全标示码（SID），此号码是唯一的，系统利用该号码来决定用户权限。 一个帐号被删除后，即使再添加一个与其同名的帐号，新帐号也不能具有与原来帐号相同的权限设置。 具体操作为：选择“开始”—程序—管理工具---域用户管理器，在其窗口里面选择不同菜单，打开相应对话框进行设置。 用户帐号管理 对用户帐号进行复制、修改、删除。 安全规则及其设置 在