收藏
下载资源

第6章用户管理剖析.

上传人:今*** 文档编号:107759333 上传时间:2019-10-20 格式:PPT 页数:41 大小:865.50KB
返回 下载 相关 举报
第6章用户管理剖析._第1页
第1页 / 共41页
第6章用户管理剖析._第2页
第2页 / 共41页
第6章用户管理剖析._第3页
第3页 / 共41页
第6章用户管理剖析._第4页
第4页 / 共41页
第6章用户管理剖析._第5页
第5页 / 共41页
点击查看更多>>
资源描述

《第6章用户管理剖析.》由会员分享,可在线阅读,更多相关《第6章用户管理剖析.(41页珍藏版)》请在金锄头文库上搜索。

1、第6章 用户管理,6.1 用户管理与目录服务 6.2 域与活动目录 6. 3 用户账户管理 6. 4 组账户管理 6.5 实验操作1:用域管理用户,6.1 用户管理与目录服务,6.1.1 目录服务的概念 目录(directory)是用来存储用户账户、组、打印机、共享文件夹等对象(object)的一个集合。 目录服务(Directory Service,DS)是一个代表网络用户及资源的基于对象的数据库; 主要用于存放用户的信息及网络配置数据,便于管理人员和应用程序对信息进行添加、修改和查询。 目录服务的功能是让用户很容易地在目录内方便、快速地查找到所需要的数据。,概括讲,目录服务就是按照树状信息

2、组织模式,实现信息管理和服务接口的一种方法。 目录服务系统一般由两部分组成: 第一部分是数据库,一种分布式的数据库,且拥有一个描述数据的规则; 第二部分是访问和处理数据库时使用的访问协议。,6.1.2 Novell目录服务,Novell Directory Services(Novell目录服务,NDS),是基于Novell NetWare网络操作系统的目录服务。 NDS是一种流行的软件产品,它能够从管理的角度对计算机资源的访问进行管理并能跟踪网络用户。 网络管理员通过使用NDS可以建立和控制用户数据库,并能够通过带有图形用户界面GUI的目录来管理他们。 管理员可以对远程计算机用户集中进行添加

3、、更新和管理。应用程序也可以自动分配并集中维护。 NDS可以在Windows NT、Sun Microsystem的Solaris、IBM的OS/360和Novell自己的NetWare下运行,所以它可以控制多平台的网络。,6.1.3 Microsoft目录服务,Microsoft目录服务,即大家熟知的活动目录(Active Directory,AD)。 活动目录是一个名称空间。 “名称空间”是一块规划好的区域,在这个区域内可以利用某个名字找到与这个名字相关的信息。 例如:一个电话簿就是一个名称空间,可以利用人名在这个电话簿中到对应的电话号码等信息。 在TCP/IP网络环境中,用域名系统DNS

4、解析计算机名称与IP地址之间的映射关系,Windows 2000/2003中活动目录的名称空间是以域为单位进行划分,并采用了DNS结构。,6.1.4 iPlanet目录服务,iPlanet 目录服务(iPlanet Directory Server,iDS)作为SUN公司的产品,为大量用户开发外联网(Extranet)应用提供所需求的可伸缩性和信息控制。 通过跨越多个应用实现集中化用户、组和访问控制,iPlanet Directory Server可以极大地简化管理。,6.1.5 OpenLDAP,OpenLDAP是一个通过Internet进行集体开发的项目。 它的目标是提供一个稳定的、商业级

5、的、功能全面的LDAP套件,其中包括LDAP服务器和一些开发工具。 具体内容请参考www.openldap.org网站。,6.1.6 LDAP,LDAP(Light Directory Access Protocol,轻型目录访问协议),它其实是实现目录服务的一个协议。 LDAP协议从1963年批准,产生了LDAP v1版本,随后于1967年发布了第三个版本LDAP v3。 LDAP v3协议不是单个协议,而是一个协议族。 LDAP的应用主要涉及以下几种类型: 信息安全类:数字证书管理、授权管理、单点登录;,科学计算类:DCE(Distributed Computing Envirionmen

6、t,分布式计算环境)、UDDI(Universal Description,Discovery and Integration,统一描述、发现和集成协议); 网络资源管理类:MAIL系统、DNS系统、网络用户管理、电话号码簿; 电子政务资源管理类:内网组织信息服务、电子政务目录体系、数字化校园的统一身份认证等。,6.2 域与活动目录,6.2.1 域目录及信任关系 1域目录树 如图6-1所示的是一个树状结构的域目录树; 其中最上层的域名是这个域目录树的根域,下面的和是的两个子域。,图6-1 域目录树结构,2域的信任关系 当一个域被加入到域目录树时,这个域会自动信任上层的父域,同时父域也会自动信任

7、这个新域,而且这种信任关系具有双向性。 当两个域之间建立了信任关系后,才可以相互访问对方域内的资源。 3域目录林 在大型网络中有时需要同时创建多个域来对网络进行管理。 如图6-2所示,域目录林是由2个或多个域目录树组成的,每个域目录树都有自己唯一的名称空间。,图6-2 域目录林结构,6.2.2 域控制器,活动目录的目录数据存储在域控制器内。 根据需要,一个域内可以只有一台域控制器,也可以存在多台域控制器。 当一个域内存在多个域控制器时,每一个域控制器的地位是平等的,它们各自存储着一份相同的活动目录。 当在一台域控制器内添加了一个用户账户后,这个账户信息首先保存在这台域控制器的活动目录内,然后再

8、被自动复制到域内的其他域控制器的活动目录中,使同一域中所有域控制器内的活动目录数据都保持同步。,6.2.3 全局编录,全局编录由域控制器扮演,其中包含活动目录内的每个对象。 这些对象的属性信息是不完整的,主要是常用于搜索的属性,例如用户的姓名、登录的账户名称等。 全局编录即使在用户不知道对象位于哪个域内的情况下,仍然可以快速地找到所需要的对象。 另外,全局编录还负责提供用户登录时,该用户所隶属的通用组数据。,6. 3 用户账户管理,6.3.1 用户账户的分类 1本地用户账户 本地用户账户是创建在非域控制器的“本地安全账户数据库”内的用户账户信息。 用户可以利用本地用户账户登录该账户所在的计算机

9、,并只能访问本地计算机上的资源。 如果要访问其他计算机上的资源,则必须远程登录并输入远程计算机内的本地用户账户的名称和密码。,2域用户账户 域用户账户存储在域控制器的活动目录(Active Directory,AD)数据库内。 用户可以利用域用户账户登录域,并访问网络上的资源,如域中其他计算机上内的文件、打印机等。,3用户账户的管理 由于本地用户账户信息创建在本地计算机的“本地安全账户数据库”内,只能访问本地计算机内的资源,无法利用本地用户账户访问网络中的资源。 域用户账户信息存储在域控制器的活动目录数据库内,当域用户账户通过域控制器的验证后,该用户就可以访问域内其他计算机上的资源。,为便于用

10、户账户管理,建议仅在未加入域的计算机上创建本地用户账户。 如果用户的计算机通过域进行管理,则要求在域控制器上为该用户创建域用户账户,然后让用户的计算机加入域。,6.3.2 系统内置的用户账户,安装好Windows 2000/2003系统后,会自动创建一些内置的账户,最常用到的是系统管理员账户Administrator和客户临时登录账户Guest。 Administrator:Administrator拥有对本机和网络管理的最高权限,可以用Administrator来管理本机或域内的设置。 如创建、更改、删除用户与组账户,设置安全策略,设置用户的权限等。 Guest:Guest是供用户临时使用的

11、账户,主要供偶尔登录系统的用户使用。 Guest账户仅具有很少部分的权限。,6. 4 组账户管理,6.4.1 组的分类 根据是否使用域管理模式,可将组分为本地组和域组。 域组中,根据管理权限的不同,又可分为安全组和分布式组。 1本地组和域组 与用户账户相同,可以在本地计算机上创建和使用组,也可以在域控制器上创建和使用组。 其中,在非域控制器的计算机上创建的组称为本地组,而在域控制器上创建的组称为域组。,2安全组与分布式组 根据管理权限的不同,可以将域组分为安全组和分布式组两种类型。 其中,安全组可以被用来设置权限。而分布式组用在与安全(如权限设置)无关的任务上。,6.4.2 组的使用范围 根据

12、使用范围的不同,可以将域内的组分为通用组、全局组和本地域组3类。 1通用组 通用组可以指派所有域中的访问权限,以便访问每一个域内的资源。 通用组中的成员可以是域目录林中任何一个域内的用户、通用组或全局组。但无法包含任何一个域内的本地域组。 另外,通用组中的成员可以访问任何一个域内的资源。,2全局组 全局组主要用来组织用户,将具有相同权限的多个用户加入到同一个全局组中进行集中管理。 全局组中的成员只能是与该组位于相同域中的用户或全局组,即只能将同一个域中的用户或其他全局组加入到全局组内。 位于全局组中的用户可以访问域目录林中任何一个域中的资源。,3本地域组 本地域组主要被用来指派在其所属域内的访

13、问权限,以便可以访问该域内的资源。 本地域组内的成员能够包含域目录林中任何一个域内的用户、通用组、全局组,还能够包含同一个域内的本地域组,但不能包含其他域内的本地域组。 本地域组内的用户只能访问该用户所在域内的资源,而无法访问其他不同域内的资源。,6.4.3 系统内置的组,1内置的本地组 在Windows 2000/2003/XP/Vista等非域控制器的计算机的“本地安全账户数据库”内,系统内置了一些本地组,这些组已被分配相应的权限,以便对本地计算机进行管理。 只能将用户账户加入到相应的本地组中,这些用户账户就继承了本地组的权限。,Administrators:属于Administrator

14、s组内的用户具有对本地计算机进行管理的最高权限,可以执行系统管理员的操作。 Backup Operators:属于Backup Operators组内的用户,可以进行文件或文件夹的“备份”与“还原”操作。,Guests:该组提供没有用户账户但需要临时访问本地计算机内资源的用户使用。 该组中的成员无法永久地改变其桌面的工作环境。 Network Configuration Operators:该组中的用户可以在客户端进行一般的网络设置操作,如修改IP地址等。 Power Users:该组的权限位于Administrators组与Users组之间。 例如可以创建、删除、更改本地用户账户,创建、删除

15、、管理本地计算机内的共享文件夹与共享打印机、自定义计算机时间等系统设置。,Remote Desktop Users:该组中的成员可以进行远程计算机登录,如使用Telnet或终端服务登录等。 Users:Users组中的成员只拥有一些基本的权限,如运行应用程序。 但不能修改操作系统的设置,不能更改其他用户的数据,不能关闭服务器级的计算机。,2内置的本地域组 在Windows 2000/2003活动目录中,系统内置了一些本地域组,并被分配了相应的权限,以便让这些组中的成员具有管理整个域与活动目录的能力。 这些内置的本地域组位于活动目录的Builtion容器内。,图6-4 Windows Serve

16、r 2003本地域组,Account Operators:属于该组中的成员,可以在除Builtion和Domain Controller组织单位之外的其他任何一个容器与组织单位内新建、删除、更改用户账户、组账户、计算机账户。 Administrator:属于该组中的成员具有对系统的最高管理权限,可以执行整个活动目录的管理任务。 内置的系统管理员账户Administrator就属于该组中。该组默认的成员还有Domain Admins全局组、Enterprise Admins全局组等。 Backup Operators:该组中的成员可以备份与还原域控制器内的文件和文件夹,还可以关闭域控制器。,Guests:该组中的账户提供没有用户账户但需要临时访问域控制器内资源的用户使用。 该组默认的成员为用户账户Guest与全局组Domain Guests。 Network Configuration Operators:该组中的用户可以在域控制器上进行一般的网络设置操作,如修改IP地址等。 不能添加或删除程序,也不可以执行与网络服务器设置相关的任务,如DNS、DHCP、W

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号