Windows Server 2008项目3 域网络构建与组策略应用.pptVIP

项目导入 大、中型企业网络有几百到上千的用户，资源也比较分散，这时候如何管理？ “工作组”和“域”是Windows网络的两种管理方式。 工作组 每一台计算机都独立维护自己的资源，不能集中管理所有网络资源 每一台计算机都在本地存储用户的账户 一个账户只能登录到一台计算机 工作组中的计算机的地位都是平等的，对于其他计算机来说既是服务器，也是客户机 工作组的网络规模一般少于10台计算机 域 将网络中多台计算机逻辑上组织到一起，进行集中管理，这种区别于工作组的逻辑环境叫做域 域是组织与存储资源的核心管理单元 项目导入 工作组 域 SAM SAM SAM 单用户帐号 Active Directory 项目3 域网络构建与组策略应用 知识目标 了解：域的概念、特点，活动目录的结构，域用户账户、域组账户和组织单位的概念、特点和用途 熟悉：域控制器的条件，活动目录的管理与维护，域组账户的使用原则 掌握：创建域，将计算机加入或脱离域，将域控制器降级为独立服务器或成员服务器；域用户账户、域组账户和组织单位的创建与管理；组策略的应用。 能力目标 会创建域，能将计算机加入或脱离域 会创建与管理域用户账户、域组账户和组织单元 能利用组策略技术对域中的计算机进行一些常用设置 教学目标 3.2 项目知识准备 活动目录是存储网络上对象的相关信息并使该信息可供用户和网络管理员使用的目录服务。 目录是一个数据库，用于保存与网络资源相关的信息结构、资源位置、安全信息及管理信息等。如：计算机、用户、组、打印机等的名称、描述、地理位置、访问权限等信息。 目录服务是使目录中所有信息和资源发挥作用的服务。 服务的主要表现是： 网络中的所有用户和应用程序只需提供很少的信息就能准确定位到这些实体资源，保证用户能够快速访问。 目录服务在网络安全方面也扮演着中心授权机构的角色，从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。 域（Domain）是共用一个“目录服务数据库”的安全边界的计算机的集合。 3.2.1 认识Windows的域 3.2 项目知识准备 3.2.1 认识Windows的域 教科书的目录 网络的（活动）目录AD 存储对象 章、节的名称；页号 基本单元（对象）：用户、组、计算机、文件、打印机、联系人等； 综合单元：组织单元、域、域树、域林等 提供的 服务 让读者快速查找、定位书上的信息 对网上的各种资源实现集中统一的单点管理，让管理员和用户能够便捷地查找、定位和管理网上各类对象的信息，进儿使这些信息充分发挥作用。活动目录也作为网络安全的集中管理机构，使得操作系统可以验证用户的身分并控制用户对网络资源的访问。 存储结构 书的前几页 域控制器DC，结构化的数据仓库大型数据库 扩展性 静态——不能增加条目 动态／活动——①可以随着网络资源的增加而动态地进行扩展；②提供对网上资源实施系统管理、安全管理和互操作性等功能服务。 3.2 项目知识准备 域控制器 在一个域中，活动目录数据库必须存储在域中特定的计算机上，这样的计算机被称为域控制器（Domain Controller，简写为DC）。 一个域可以有一个或多个域控制器，各域控制器是平等的。 成员服务器 那些安装了服务器版操作系统（如：Windows Server 2003或Windows 2000 Server），但未安装AD服务且加入域的计算机 。 工作站 所有安装Windows NT Workstation、Windows 2000 Professional或Windows XP Professional系统，且加入域的计算机 3.2.2 域中计算机的角色 3.2 项目知识准备 有许多计算机并不属于任何一个域，即以工作组模式运行着，从功能上来讲，也可将其分为两种角色： 独立服务器 安装了各种版本的Windows Server，但未加入域。它一旦加入域中，其角色便转化为“成员服务器”。 一般客户端计算机 无论执行何种操作系统，只要未加入域，且不是独立服务器的计算机，都归为此类。它一旦加入域中，其角色便是“工作站”。 3.2.2 域中计算机的角色 3.2 项目知识准备 集中管理：域中所有计算机共享了一个活动目录数据库，里面包含了整个域中的所有的资源信息、账户信息与安全信息。 安全级别较高：由于域中所有安全信息都集中存储在活动目录数据库中，所以管理员可以通过指定强有力的安全策略来保证整个域的安全。 便于用户访问域中的资源：在域的活动目录数据库中，管理员可以创建 “域用户账户”。 一个域中无论有多少台计算机，用户只要拥有域用户账户，便可访问域中所有计算机上允许访问的资源，即域用户账户对资源的访问范围可以是整个域，而非局限在一台计算机上。 域用户账户可以在加入域的任何一台计算机上登录，从而使用