网络操作系统与管理 辽宁机电职业技术学院.ppt

网络操作系统应用 辽宁机电职业技术学院·信息系 Windows Server2003 活动目录 活动目录概述 活动目录概述 活动目录概述 活动目录的结构 活动目录的结构 组织单元(Organizational Unit,OU) 3.3 活动目录的安装配置 3.3 活动目录的安装配置 3.3 活动目录的安装配置 3.3 活动目录的安装配置 3.3 活动目录的安装配置 3.3 活动目录的安装配置 3.3 活动目录的安装配置 3.4 管理活动目录 3.4管理活动目录 缺省情况下： Windows Server 2003 假定用户希望登录到这台计算机所属的域 3.4管理活动目录 Builtin容器；该容器存储了域本地安全组的子对象，如账户管理员Administrator，惟一一个不能把对象移出的容器。 计算机(Computers)容器：容器中存放所有域中计算机成员。 Domain Controllers容器：容器中为每个域控制器存放了一个计算机账户。 Foreign Security Principals容器：容器中存储了关联外部信任域的安全表示SIDS (Security Identifiers)。只有主子域或域间建立了信任关系后才会出现。 Users容器：容器中存放所有的用户账户和域里的全部安全组。 3.4管理活动目录 3.4管理活动目录 3.4管理活动目录 3.4管理活动目录 3.4管理活动目录 3.4管理活动目录 3.4管理活动目录 3.4管理活动目录 3.4管理活动目录 3.4管理活动目录 3.4管理活动目录 3.4管理活动目录 3.5 活动目录的访问控制 3.5 活动目录的访问控制 3.5 活动目录的访问控制 3.5 活动目录的访问控制 3.5 活动目录的访问控制 3.5 活动目录的访问控制 3.5 活动目录的访问控制 3.5 活动目录的访问控制 3.5 活动目录的访问控制 3.5 活动目录的访问控制 3.5 活动目录的访问控制 3.5 活动目录的访问控制 3.5 活动目录的访问控制 3.5 活动目录的访问控制 3.5 活动目录的访问控制 活动目录的安全性设置 活动目录的安全性设置 活动目录的安全性设置 Windows Server 2003采用了基于对象的安全模式实现对所有活动目 录对象的访问控制。每个活动目录对象都有一个安全性描述符，定义 谁有对这个对象的访问权限，允许以何种方式访问等。活动目录对象 上可以定义的访问控制权限的元素包括安全表述符、对象继承和用户 身份验证。 安全描述符 安全描述符包含两个访问控制列表(ACL)，用于指派和跟踪每个对象的 安全信息，适用于整个对象、对象属性组成或某个对象个别属性，分 为： 随机访问控制列表(DACL) 系统访问控制列表(SACL)  随机访问控制列表(DACL) 它能赋予或拒绝特定用户和组对该对象的访问权。只有对象的所有者 才能更改在DACL中赋予或拒绝的权限，表示此对象的所有者可以自由 访问该对象。DACL标识已被指派或拒绝对某个对象的访问权限的用户 和组。如果 DACL未明确标识某个用户或用户所属的任何组，则该用 户将被拒绝访问此对象。一般DACL由对象的所有者或创建此对象的人 控制，它包含决定此对象的用户访问权的访问控制项。  系统访问控制列表(SACL) SACL标识当其成功访问或未能访问某个对象时要审核的用户和组。 审核用来监视与系统或网络安全相关的事件、标识违反安全情况， 以及确定任何损害的范围和位置。 SACL由对象的所有者或创建此 对象的人控制，决定是否记录用户使用给定权限(例如“读取”)访问对 象时的成功或失败尝试。 访问控制列表(ACL) 使用Active Directory用户和计算机管理控制台查看Active Directory 对象的DACL和SACL。 1) 打开“Active Directory用户和计算机” ； 2) 在“查看”菜单，选择“高级功能”项； 3) 右击需要修改安全属性的对象，选“属性”菜单； 4) 访问“安全”标签； 5) 在权限编辑框中可修改相应的权限。 对象继承 继承可以使Active Directory中某个容器对象中定义的访问控制信息 应用到任何此对象(包括其他容器及其对象)的安全描述符。消除了每 次创建子对象时都要应用权限的需要。必要时可以更改继承的权限。 应避免更改Active Directory对象的默认权限或继承设置。 用户身份验证 Active Directory验证和授权用户、组合计算机访问网络上的对象。 本地安全机构(LSA)负责本地计算机上所有交互式用户身份验证 和授权服务的安全子系统。处理在活动目录中通过Kerberos V5