《网络管理技术(下).ppt》由会员分享,可在线阅读,更多相关《网络管理技术(下).ppt(289页珍藏版)》请在金锄头文库上搜索。
1、网络管理技术 下 第八讲用户账号管理 一 Windows2000网络中账号的种类 1 域用户账号 DomainUserAccounts 域用户账号是用户访问域的唯一凭证 因此在域中必须是唯一的 保存域用户账号的AD数据库称为安全账号管理器 SAM SAM数据库位于在DC上的 systemroot NTDS NTDS DIT文件中 2 本地用户账号 LocalUserAccounts 本地用户账号只能建立在Windows2000独立服务器 Windows2000成员服务器 或基于Windows2000Professional的计算机中 该账号的作用范围仅限于在创建该账号的计算机上 以控制用户对该
2、计算机上资源的访问 由于本地用户账号的验证上由创建该账号的计算机来进行的 因此对于这种类型账号的管理是分散的 3 内置的用户账号 Built inUserAccounts 内置的用户账号是Windows2000操作系统自带的账号 在安装好Windows2000之后这些账号就存在 并已经赋予了相应的权限 1 Administrator账号 Administrator 管理员 账号被赋予在域中和在计算机中具有不受限制的权利 该账号被设计用于对本地计算机或域进行管理 可以从事创建其他用户账号 创建组 实施安全策略 管理打印机以及分配用户对资源的访问权限 提示 出于安全考虑 建议将该账号更名 以降低该
3、账号的安全风险 2 Guest账号 Guest 来宾 账号一般被用于在域中或计算机中没有固定账号的用户临时访问域或计算机时使用的 提示 出于安全考虑 Guest账号在Windows2000安装好之后是被屏蔽的 如果需要 可以手动启用 应该注意分配给该账号的权限 该账号也是黑客攻击的主要对象 二 Windows2000账号的约定 1 Windows2000的账号命名约定 域用户账号的用户登录名在AD中必须唯一 域用户账号的完全名称在创建该用户账号的域中必须唯一 本地用户账号在创建该账号的计算机上必须唯一 如果用户名称有重复 则应该在账号上区别出来 对于临时雇员应该做出特殊的命名 以便标识出来 用
4、户账户的登录名最多可以包含20个大小写字符和数字 不能使用系统保留字符 2 Windows2000的账号密码约定 尽量避免带有明显意义的字符或数字的组合 采用大小写和数字的无意义混合 在不同安全要求下 规定最小的密码长度 通常密码越长越不易被猜到 最长可以达到128位 对于不同安全要求 确定用户的账号密码是由管理员控制还是由账号的拥有者控制 定期更改密码 尽量使用不同的密码 提示 有关密码的策略可以在 本地安全设置 的 密码策略 中加以规定以保护系统的安全性 二 Windows2000域用户账号的建立 二 Windows2000域用户账号的管理 中止账号的使用 更改用户账号密码 将用户加入到组
5、中 删除用户账号 重命名用户账号 设置用户账号属性 常规 记录了用户的名称 个人描述 办公地点 电话号码 E mail地址 主页地址信息等 地址 记录用户所在的国家 省或州 城市 街道 邮箱和邮政编码等信息 账号 记录用户的登录名 以及该用户的其他账号选项 电话 记录各种与该用户的相关的电话号码 单位 记录用户的职位 工作部门 公司领导以及顶头上司 配置文件 记录用户配置文件的存放路径 以及登录脚本和用户主文件夹的位置 成员属于 记录用户所属的组 拨入 记录用户进行远程拨号访问网络的方式 以及各种相关参数 环境 记录用户登录系统时运行的应用程序和启用的设备 会话 记录使用 终端服务 所需的参数
6、 远程控制 记录用户对 终端服务 远程控制的设置 终端服务配置文件 记录用户使用 终端服务 时预先配置的信息 用户登录名称 用户登录的域名 设置用户账号密码选项 设置用户登录时段 指出允许用户登录的服务器 作业 1 说明域 树 林三者之间的关系 2 在win2000中 账号有哪几类 它们之间有什么不同 第九讲组管理 组是在Windows2000网络环境中的一个非常重要的概念 组将具有相同特点及属性的用户组合在一起 便于管理的使用 可以说组是用户账号的一种逻辑组合 在一个拥有众多用户的网络中给每一个用户分别授予访问资源的权限将使工作量大幅增加 而具有相同身份的用户通常其权限也相同 对于众多账号所
7、做的重复操作是十分繁琐的 因此通过将具有相同身份和属性的用户组合到一个逻辑的集合当中 并且一次赋予该集合访问资源的权限而不再单独给用户赋权限 从而大大地节省了工作量 简化了对访问网络中资源的管理 这里的集合就是组 域模式中的组又称为域组 存储在域的活动目录中 因此用户和应用程序可以在任何地方使用域组 域组在域的DC上创建 域组是在Windows2000域模式下管理用户访问资源的最佳途径 一 域模式中的组类型作用域 1 安全组 安全组顾名思义即实现与安全性有关的工作和功能 是属于Windows2000的安全主体 可以通过给安全组赋予访问资源的权限来限制安全组成员对域中资源的访问 2 分发组 分发
8、组不是windows2000的安全实体 没有SID 因此也不能被赋予访问资源的权限 如果应用程序想使用分发组 则应用程序必须支持活动目录 二 域模式中的组类型作用域 1 全局组作用域 全局组作用域中的成员是对网络具有相同访问权限的用户 全局组的作用范围是整个域树 因此全局组可以属于同一个域树中被赋予访问资源的权限 2 本地域组作用域 本地域组作用域可以被赋予访问域中任何地点的资源的权限 本地域组的权限作用范围仅限于创建该组的域中 即本地组只能够访问创建该组的域中的资源 3 通用组作用域 通用组权限的作用范围是在整个域树中 通用组具有开放的成员资格可以接受任何一种账号成为该组的成员 并且通用组可
9、以成为其他任何组的成员而无论是否属于同一个域中 Administrators 它拥有对域或Windows2000计算机最大的控制权 ServerOperators 它拥有域的管理权限 建立 管理删除服务器中的共享目录与打印机 备份与还原文件 锁定与解开服务器 将服务器上的硬盘格式化 更改系统的时间以及在域的服务器上登录域 并将服务器关闭 AccountOperators 它可以利用 域用户管理器 添加用户账号与组 修改或删除大部分的用户账号和组 PrinterOperators 此组的组员可以建立和管理在Windows2000上的共享打印机 三 本地组 Users 拥有最少的访问权限 Gues
10、ts 只是供临时登录所需 其组员仅被赋予非常少的权限 Replicator 此组的主要任务是进行目录复制的操作 PowersUsers 域上没有此组 此组中的用户除了具有User组所具有的功能外 这还可以建立用户账号 修改其所建立的用户账号 BackupOperators 可以备份与还原服务器中的目录与文件 四 创建域模式中的组创建域模式中组要求操作者为Administrators组或AccountOperators组的成员 1 在 管理工具 中双击 ActiveDirectory用户和计算机 图标 打开 ActiveDirectory用户和计算机 对话框 2 单击User图标 在右侧的子窗口
11、中可以看到本域中现有的用户和组 3 在右侧的子窗口中右击 在弹出的快捷菜单中单击 新建 在弹出菜单中单击 组 打开 新建对象 组 对话框 4 在 组名 编辑框中输入该组的名称 在 组名 windows2000以前版本 编辑框中输入该组用于让旧操作系统访问的名称 5 单击 确定 按钮 返回到 ActiveDirectory用户和计算机 对话框 这时在右侧的子窗口中可以看到新建的组 6 在Users列表中双击刚才创建的组 7 单击 添加 按钮 打开 选择用户 联系人或计算机 对话框 8 在 名称 列表中选择要加入该组的用户 单击 添加 按钮添加该用户 9 单击 确定 按钮 添加的用户将出现在 成员
12、 列表中 10 成员属于 设置 11 管理者设置 第十讲DHCP设置 动态主机配置协议 DHCP 是一种简化主机IP配置管理的TCP IP标准 DHCP标准为DHCP服务器的使用提供了一种有效的方法 即管理IP地址的动态分配以及网络上启用DHCP客户机的其他相关配置信息 TCP IP网络上的每台计算机都必须有唯一的计算机名称和IP地址 IP地址 以及与之相关的子网掩码 标识主计算机及其连接的子网 将计算机移动到不同的子网时 必须更改IP地址 DHCP允许您从本地网络上的DHCP服务器IP地址数据库中为客户机动态指派IP地址 一 使用DHCP的好处 1 安全而可靠的配置DHCP避免了由于需要手动
13、在每个计算机上键入值而引起的配置错误 DHCP还有助于防止由于在网络上配置新的计算机时重用以前指派的IP地址而引起的地址冲突 2 减少配置管理使用DHCP服务器可以大大降低用于配置和重新配置网上计算机的时间 可以配置服务器以便在指派地址租约时提供其他配置值的全部范围 这些值是使用DHCP选项指派的 3 另外 DHCP租约续订过程还有助于确保客户机配置需要经常更新的情况 如使用移动或便携式计算机频繁更改位置的用户 通过客户机直接与DHCP服务器通讯可以高效自动地进行这些改动 二 DHCP术语 1 作用域 作用域是用于网络的可能IP地址的完整连续范围 作用域通常定义提供DHCP服务的网络上的单独物
14、理子网 作用域还为服务器提供管理IP地址的分配和指派以及与网上客户相关的任何配置参数的主要方法 2 超级作用域 超级作用域是可用于支持相同物理子网上多个逻辑IP子网的作用域的管理性分组 超级作用域仅包含可一起激活的成员作用域或子作用域 超级作用域不用于配置有关作用域使用的其他详细信息 如果想配置超级作用域内使用的多数属性 您需要单独配置成员作用域 3 排除范围 排除范围是作用域内从DHCP服务中排除的有限IP地址序列 排除范围确保在这些范围中的任何地址都不是由网络上的服务器提供给DHCP客户机的 4 地址池 在您定义DHCP作用域并应用排除范围之后 剩余的地址在作用域内形成可用地址池 分池的地
15、址适合于由服务器到您网络上DHCP客户机的动态指派 5 租约 租约是客户机可使用指派的IP地址期间DHCP服务器指定的时间长度 租用给客户时 租约是活动的 在租约过期之前 客户机一般需要通过服务器更新其地址租约指派 当租约期满或在服务器上删除时 租约是非活动的 租约期限决定租约何时期满以及客户需要用服务器更新它的次数 6 保留 使用保留创建通过DHCP服务器的永久地址租约指派 保留确保了子网上指定的硬件设备始终可使用相同的IP地址 7 选项类型 选项类型是DHCP服务器在向DHCP客户机提供租约服务时指派的其他客户机配置参数 例如 某些公用选项包含用于默认网关 路由器 WINS服务器和DNS服
16、务器的IP地址 通常 为每个作用域启用并配置这些选项类型 DHCP控制台还允许您配置由服务器上添加和配置的所有作用域使用的默认选项类型 虽然大多数选项都是在RFC2132中预定义的 但若需要的话 您可使用DHCP控制台定义并添加自定义选项类型 8 选项类别 选项类别是一种可供服务器进一步管理提供给客户的选项类型的方式 当选项类别添加到服务器时 可为该类别的客户机提供用于其配置的类别特定选项类型 对于Windows2000 客户机也可指定与服务器通信时的类别ID 对于不支持类别ID过程的早期DHCP客户机 服务器可配置成默认类别以便在将客户机归类时使用 选项类别有两种类型 供应商类别和用户类别 二 DHCP的租用过程 DHCPDISCOVER DHCPOFFER DHCPREQUEST DHCPPACK NPACK DHCP客户机 DHCP服务器 1 DHCPDISCOVER 当一个DHCP客户机引导并开始查找DHCP服务器时 客户机处在所谓 初始化 姿态中 这时客户机的TCP IP堆栈初始化加载 并用一具空的IP地址来进行初始化 这时空的IP地址用来保护客户机知道它必须获得一个合法的I
