第4章管理域中的对象.pptVIP

第4章 管理域中的对象 将资源发布到活动目录中 实现打印机的定位 实现目录对象的安全性 规划活动目录的审核战略 第一节: 将资源发布到活动目录中 问题： 目录服务的本质就是方便用户对大型网络中分散存储的共享资源进行访问，同时实现管理者对于分散资源的集中管理。那么，代表共享资源的对象又是如何生成的，是管理者通过对资源进行发布的手段实现的。 在实现对网络中的资源进行管理之前，管理员要将它们发布到目录中，用一个生成的发布对象去代表资源。用户随后通过发布对象访问资源。 发布共享文件夹资源 Demo:发布共享文件夹 发布共享打印资源 如果打印服务器是域的成员，并且打印机被共享，那么若打印服务器的操作系统是2000以后的，就自动完成了发布。若打印服务器的操作系统是2000以前的，就需要手工发布。 已发布的打印机用户需要使用目录搜索的手段才能定位并使用。发布对象的属性依赖于打印服务器。 可使用组策略控制自动发布。 第二节: 实现打印机的定位 定位功能的目的是让用户能找到离自己最近的打印机，从而方便用户的使用。 实现的手段是：管理者生成IP子网对象以映射一个物理位置，当客户机登录时系统通过分析其IP地址就能找到它所属的IP子网，随后将该子网的位置属性提取，作为搜索打印机的条件进行过滤。 实现打印机定位功能的前提 打印机定位功能的位置属性命名约定 配置并实现打印机定位功能 第三节：实现委派管理 问题： 目录中的对象代表了资源，包括被发布的资源，还有作为管理主体的管理资源。管理者对管理资源进行保护和访问控制，实际上就是将用户对目录对象的管理权进行控制。另一类资源是代表网络共享资源的对象，用户通过访问对象间接的去访问资源，那么只要控制了代表资源对象的权限，不就能控制用户对共享资源的访问了。 于是在实现对网络中的资源进行安全性管理时，将在代表资源的对象上，实现权限控制。 委派管理的目标 委派管理的目标： 1：减轻高级管理员的管理负担 2：实现更为合理的管理层次 3：化解管理风险 委派管理的建议： 1：委派控制不要设置的过多过细 2：委派控制一定要做笔录 3：镇压叛乱（建议把OU管理员 　放在本OU之外） 活动目录对象的权限体系（DACL）介绍 DACL权限控制了哪个人对哪个对象拥有什么样的管理和访问权。其权限跟踪是通过对人的SID进行跟踪实现的。 创建对象的人会成为其所有者，所有者默认拥有完全控制权限。 随机访问控制列表 (DACL)：DACL标识已被指派或拒绝对某个对象的访问权限的用户和组。在默认情况下，DACL由对象的所有者或创建此对象的人控制，它包含决定此对象的用户访问权的访问控制项 (ACE)。 系统访问控制列表 (SACL)：SACL标识当其成功访问或未能访问某个对象时要审核的用户和组。默认情况下，SACL由对象的所有者或创建此对象的人控制。SACL包含访问控制项 (ACE)，它决定是否记录用户使用给定权限（例如，“完全控制”和“读取”）访问对象时的成功或失败尝试。 活动目录对象的常见权限 活动目录对象权限的继承管理 DACL权限的计算规则 权限是累积的 权限的Deny设置屏蔽一切Allow权限 对象的所有者始终具有对象权限的修改权 Demo: 通过对象的权限实现: 用户A可以对自己的帐户进行重置口令的操作 用户B可以改变组Group1的成员关系属性 除了用户C以外的所有人都应当能在OU1中创建子对象 附：登录过程（系统安全的第一关） 附：安全令牌（Access Tokens） 附：如何分配资源访问权（使用安全令牌和访问控制列表） 第四节: 规划活动目录的审核战略 安装Windows 2003插件 已被发布 资源 服务器1 资源 活动目录 发布到 活动目录 发布共享资源与网上邻居的对比： 1：关键字 2：不需要广播 网上邻居每隔12分钟广播一次 3：用户不需要知道共享资源所在的位置 在 Active Directory 网络配置至少一个站点 2个或者多个IP子网 大致对应于企业的物理布局的网络 IP 寻址方案 每个站点的子网对象。可以用 Active Directory 站点和服务来创建它们。 可以查询目录服务的客户端计算机 打印机的命名约定的规则: 位置名称的格式为 name/name/name/name/...（必须使用斜线 (/) 作为分隔符。） 名称可以由除斜杠 / 之外的任意字符组成。 名称的等级数限制为 256。 name 的最大长度是 32 个字符。 整个位置名称的最大长度是 260 个字符。 Tasks That Systems Engineers Perform 启用打印机定位跟踪组策略 在Active Directory创建一个子网对象 设置子网对象的位置属性 Task That Syst