计算机互联网网络管理(4).pptVIP

第4章 Windows 2000 域及用户管理 4.1域和活动目录 4.2 管理域控制器 4.3 用户和用户组的管理 4.1域和活动目录 4.1.1活动目录 4.1.2域和工作组 4.1.3组建工作组结构网络 4.1.4组建域结构网络 4.1.1活动目录 1. 活动目录 活动目录是动态的，它是一种包含服务功能的目录。它包括两个方面：目录和与目录相关的服务。 2. 活动目录的特点 （1）信息安全性。安全性与活动目录完全集成在一起。不仅可以针对目录中的每个对象定义访问控制，还可对其每种属性进行操作。 （2）基于策略的管理 活动目录的目录服务包括数据存储以及逻辑、分层结构。作为逻辑结构，它为策略应用程序提供上下文分层结构。作为目录，它存储指定给特定上下文的策略（称为组策略，相关内容详见第6章）。 （3）与 DNS 集成 活动目录使用域名解析系统（Domain Name System，DNS）。DNS 是一个 Internet 的标准服务，它可以很容易地在IP地址和域名之间翻译，例如 翻译成数字的 TCP/IP 地址。这可以在 TCP/IP 网络上启用与计算机和用户的标识和连接。 另外，活动目录还具有信息复制，扩展性，可调整等特性。 4.1.2域和工作组 1. 域概念 域在活动目录中定义安全边界。活动目录由一个或多个域组成。每个域均拥有与其他域相关的安全策略和安全关系。域具有以下特点： （1）两个不同域的安全策略和设置（例如管理权限和访问控制列表）不能相互交叉。 （2）分派管理权限消除了需要大量具有广泛管理权限管理员的必要。 （3）将对象分成不同的组放入域中有助于在网络中反映公司的组织结构。 （4）每个域只存储有关该域中对象的信息。活动目录可通过拆分目录信息的存储扩展至数量庞大的对象。 （5）域也是复制的单元。活动目录使用多主复制模型。某特定域中的所有域控制器均可接收更改并通过域将这些更改复制到域中的所有域控制器。 （6）单个域可以跨越多个物理位置或站点。使用单个域可以大大简化上级管理。 2. 组织单位 域中包含的一类目录对象是组织单位。组织单位是活动目录容器，在其中可放置用户、组、计算机和其他组织单位。组织单位不能包含其他域中的对象。 组织单位是可指定组策略或代表管理权限的最小领域或单位。使用组织单位可在域中创建容器，该域表示组织中的等级和逻辑结构。这使得可以在组织模型基础上管理账户和资源的配置及使用。 由于组织单位可包含其他组织单位，因此容器的分层结构可扩展用来建立域中组织分层结构的模型。使用组织单位将有助于把网络所需的域的数量减至最小。 组织单位是可指定组策略或代表管理权限的最小领域或单位。使用组织单位可在域中创建容器，该域表示组织中的等级和逻辑结构。这使得可以在组织模型基础上管理账户和资源的配置及使用。 由于组织单位可包含其他组织单位，因此容器的分层结构可扩展用来建立域中组织分层结构的模型。使用组织单位将有助于把网络所需的域的数量减至最小。 4. 活动目录用户和计算机账户 活动目录用户和计算机账户表示计算机或个人等物理实体。账户为用户或计算机提供安全凭据，以便用户和计算机能够登录到网络并访问域资源。账户用于： ① 验证用户或计算机的身份 ② 授权对域资源的访问 ③ 审核使用用户或计算机账户所执行的操作 使用活动目录的用户账户和计算机账户添加、禁用、重新设置和删除用户和计算机账户。 （1）活动目录用户账户 Windows 2000 提供可用于登录到 Windows 2000 计算机的预定义用户账户。这些内置账户是： ① Administrator管理员账户 ② Guest客户账户 （2）计算机账户 每个加入域的 Windows 2000 和 Windows NT 计算机都具有计算机账户。与用户账户类似，计算机账户提供验证和审核计算机登录到网络以及访问域资源过程的方法。同样使用活动目录Users 和Computers创建计算机账户。 5. 域控制器 域控制器是使用活动目录安装向导配置的Windows 2000 Server 的计算机。 7. 工作组（workgroup）概述 与域相对应的是工作组。工作组是一种对等网，是一个由网络连接而成的计算机群组，群组中的计算机将各自的资源共享给他人访问。 8. Windows 2000工作组 在Windows 2000工作组模式中，每一台计算机的地位都是平等的。 Windows 2000工作组的特点如下： 工作组中的所有计算机之间是一种平等的关系，没有主从之分。 工作组中资源和账户的管理是分散的。每台计算机上的管理员能够完全实现对本机的资源和账户的管理。 “人机