网络系统安全运行与维护教案8.doc

PAGE7

郑州铁路职业技术学院教案首页

序号：8

授课班级

信息安全22A1

信息安全22A2

授课日期

3.18

3.29

出勤情况

全勤

全勤

课程名称

网络系统安全运行与维护

教学类型

实验

复习旧课

引入新课

复习旧课：Windows系统活动目录的相关知识

在理解和掌握了活动目录的基础上，我们就要开始安装活动目录，并在不同的计算机上配置一个林域

引入新课：安装与配置Windows系统活动目录

教学目标

要求学生通过该能力模块的学习,能够熟练掌握活动目录的安装和配置过程

讲授要点

教学设计

讲授要点：

安装和配置活动目录

教学设计：

复习上节内容

回顾上节内容，活动目录的概念和作用

任务引入

学习活动目录，重在如何配置和使用它，本节课就要学习如何进行安装和配置

实验操作

通过理论讲授和实验演示法，讲解本节重要知识点

实验总结

总结实验过程和操作

重点难点

解决方法

重点：

安装和配置活动目录

难点：

安装和配置活动目录

解决方法：案例讲解+上机实验

课后作业

总结安装和配置活动目录的过程

课后总结

安装和配置活动目录只能通过使用管理员账号在命令提示符进行操作，这也显示了该操作的不可逆性和重要性。

郑州铁路职业技术学院教师教案

第

8-PAGE7

页

Windows系统活动目录安装与配置

教学

过程

步骤

主要内容

教学组织

复习

事件查看器的查看

掌握新建警报并配置警报类型

通过系统监视器监控系统运行状态

5分钟

复习上节内容

任务

引入

通过模块一的设置，计算机已经达到了一定的安全，但是只是针对单机的设置。针对于企业网络来说，还可以将计算机联合到一起，提高整体的安全性，使用ActiveDirectory实现对主机进行安全和统一管理是很好的方法。

5分钟

教师讲授

知识

讲授

一、ActiveDirectory

ActiveDirectory的安全信息ActiveDirectory?使用内置登录身份验证和用户授权为某单位提供了安全的目录环境，这是本地安全机构(LSA)的核心功能。登录身份验证和用户授权在默认情况下可用，可以对网络访问和网络资源提供即时保护。

ActiveDirectory要求在确认用户的标识之后，才允许访问网络，此过程称为身份验证。用户只需要提供对域（或受信任域）的单一登录即可访问网络。当ActiveDirectory确认用户的身份之后，进行身份验证的域控制器上的LSA将生成一个访问令牌，确定用户可以对网络资源进行哪个级别的访问。

ActiveDirectory支持许多安全的Internet标准协议和身份验证机制，用于在登录时证明身份，其中包括KerberosV5、X.509v3证书、智能卡、公钥基础结构(PKI)和使用安全套接字层(SSL)的轻型目录访问协议(LDAP)。

域和域之间的身份验证是通过信任进行的。信任是建立在两个或多个域之间的关系，它使一个域中的用户由另一域中的域控制器验证。

信任关系可以是可传递或非传递的，但必须始终存在，以便一个域中的用户访问另一个域中的共享资源。

除了通过身份验证保护网络访问之外，ActiveDirectory还可通过简化用户的授权来保护共享资源。当ActiveDirectory验证用户登录之后，通过安全组指派给该用户的用户权利以及对共享资源指派的权限将决定该用户是否被授权访问该资源。此授权过程可保护共享资源不接受未授权的访问，只允许授权用户或组进行访问。

二、活动目录

1、名字空间：从本质上讲，活动目录就是一个名字空间，我们可以把名字空间理解为任何给定名字的解析边界，这个边界就是指这个名字所能提供或关联、映射的所有信息范围。通俗地说就是我们在服务器上通过查找一个对象可以查到的所有关联信息总和，如一个用户，如果我们在服务器已给这个用户定义了讲如：用户名、用户密码、工作单位、联系电话、家庭住址等，那上面所说的总和广义上理解就是“用户”这个名字的名字空间，因为我们只输入一个用户名即可找到上面我所列的一切信息。名字解析是把一个名字翻译成该名字所代表的对象或者信息的处理过程。举例来说，在一个电话目录形成一个名字空间中，我们可以从每一个电话户头的名字可以被解析到相应的电话号码，而不是象现在一样名字是名字，号码归号码，根本不能横向联系。Windows操作系统的文件系统也形成了一个名字空间，每一个文件名都可以被解析到文件本身（包含它应有的所有信息）。

2、对象：对象是活动目录中的信息实体，也即我们通常所见的“属性”，但它是一组属性的集合，往往代表了有形的实体，比如用户账户、文件名等。对象通过属性描述它的基本特征，比如，一个用户账号的属性中可能包括用户姓名、电话号码、