《活动目录的规划与建设》由会员分享,可在线阅读,更多相关《活动目录的规划与建设(34页珍藏版)》请在金锄头文库上搜索。
1、1活动目录的规划与建设主要内容:(练习 58-81) u活动目录的基本知识 u活动目录的安装 u构造域帐户 u安全策略的设置 u设置共享文件夹 u安装网络打印机2活动目录的基本知识1、域模式所谓域模式,实质是一种集中存储、访问网络上各种 信息资源的模式,它采用活动目录(Active Directory)的 结构,将网络上的各种资源以对象的形式,集中存储在活 动目录中,组织成结构化的信息库,使信息易于管理,便 于查找及使用。域极大地简化了用户和计算机的管理,并 且提供了更好的网络资源访问方式 。 3活动目录的基本知识1、域模式(1)什么是域(domain):域是活动目录(Active Direc
2、tory)的基本逻辑管 理单位,整个网络可以组织成一个单独的域,也可以根据需要划分为多个 域,域模式的最大好处,就是它的单一网络登录能力,任何用户只要在域 中有一个用户帐户,就可以登录域并能访问网络中的所有资源。 (2)域的命名:Windows Server 2003的Active Directory与DNS紧密地整合 在一些,域的“命名空间”就是采用DNS架构,域名(domain name)也采 用DNS的格式来命名,例如,可以将Windows Server 2003的域命名为 、。 (3)域控制器:域控制器是域中的服务器,域控制器上安装了Active Dricetory并存放了目录数据库。
3、一个域内可以有多台域控制器,域中的所 有控制器各存储着一份相同的活动目录。4活动目录的基本知识、域中的对象在域中所有的资源都是以对象的形式存储在活动目录中,这些资源包括 文件、打印机、应用程序、服务器、域、用户帐户等等。 (1)组织单元:包含在域中的特别有用的目录对象类型就是组织单位。组织 单位是一种可将用户、组、计算机和其他对象放入其中的 Active Directory 容器,组织单位还是指派组策略设置或委派管理权限的最小作用域或单位 。使用组织单位,系统管理员可以根据本单位的实际组织结构建立和管理 用户帐户、计算机帐户、共享文件夹、打印机等资源,并可以通过组策略 来集中管理域的用户工作环
4、境与计算机环境等 。 (2)用户:用户是域中的最基本对象,一个域中,可以没有组织单位,也可 以没有组,但是必须要有用户,网络管理员可为每一个需要访问域资源的 用户建立用户帐户,任何用户只要在域中有一个用户帐户,就可以登录域 并能访问网络中的资源。 。 5活动目录的基本知识、域中的对象(3)组:组是可包含用户、联系人、计算机和其他组的 Active Directory对象 。使用组可以管理用户和计算机对 Active Directory 对象及其属性、网络共享 位置、文件、目录、打印机列队等共享资源的访问。 从组的使用范围来看,Windows Server 2003域内的组可分为三类:通用 组、
5、全局组、域本地组。通用组可以在本域或信任域之间使用,用于组织用户 帐户。全局组可以在整个Active Directory中使用,用于组织用户帐户。域本地 组主要用来指派在其所属域内的访问权限,以便访问该域内的资源。 根据组类型,Windows Server 2003域内的组可分为两种:安全组和通讯组。 安全组可以赋予其访问资源的权限,所有的内置组都是安全组。通讯组主要作 用是作为联系人,这种类型的组不能赋予访问资源的权限。 6活动目录的基本知识、域中的对象(4)本机帐户与域帐户的差异 :在网络中没有域的情况下,用户使用本机帐户登录计算机,可以 使用和管理本地计算机的资源。当用户需要访问网络中其
6、他计算机的资源时,必须提供其他计算 机的本地帐户,才能访问相应的计算机。若网络中存在域,当用户使用域帐户登录到域中,就可以访问网 络中的任何资源。每台安装windows操作系统的计算机上都有本机帐 户,但是在域控制器上本机帐户是被禁止的,取而代之的是域帐户, 域帐户保存在Active Directory目录数据库中,允许用户从域中的任何 计算机登录域,并且可以访问整个域的资源 。 7活动目录的基本知识、域中对象的管理进行域的管理,主要是对活动目录中各资源对象的管理,其中常用的管理 操作有:对组织单位的安全策略设置,对共享权限和访问权限的设置,以及对 网络共享设备,如打印机的管理和维护等等。 (
7、1)安全策略设置 :管理员主要利用组策略来管理用户的工作环境与计算机环境,组策略提供 了很强大的安全管理功能。 1) 组策略分“计算机配置”与“用户配置”两部分:计算机配置:当计算机启动时,就会根据“计算机配置”的内容来设置计算 机的环境。用户配置:当用户登录时,就会根据“用户配置”的内容来设置用户的工作 环境。 2) 利用组策略可以实现的功能有:帐户策略的设置、本地策略的设置、脚本设置、用户工作环境的设置、软 件的安装与删除、文件夹的重定向等。8活动目录的基本知识、域中对象的管理(2) 共享文件夹管理要为域中的用户提供共享资源,必须将资源所在的目录设置为共享,并为 共享目录设置共享权限和安全
8、权限。另外,在域控制器中,管理员还常常需要 为用户或用户组指定共享文件夹,将网络上的某一共享文件夹映射为用户的网 络驱动器,当该用户启动计算机,可以象使用本地驱动器一样访问共享文件夹 。(3) 打印机管理打印机是一种必不可少的办公设备,网络管理员必须掌握打印机的安装和 管理方法。目前在办公环境中,存在有两类打印机,一类主要是利用PC服务 器来实现共享打印,一般称为共享打印机。另一类是网络打印机,即可以直接 接入网络的打印机,只要安装相应的软件就能实现打印,而不用直接连任何电 脑。9活动目录的安装活动目录的安装过程:Step 1:启动活动目录向导在安装有Windows Server 2003操作
9、系统的服务器上,依次单击“开 始”“设置”“控制面板”菜单项,在“控制面板”中双击“管理工具”,然后 双击“管理您的服务器向导”,启动配置向导。单击“添加或删除角色” ,在“ 配置选项”对话框中,选择“自定义配置”。在“服务器角色”对话框中,选择 “域控制器(Active Directory)”选项,启动活动目录安装向导。 或者通过“开始”“运行”,输入命令dcpromo,启动活动目录安装向导。10活动目录的安装Step 2:安全设置的兼容性提示 安装向导显示,由于Windows Server 2003使用了新的安全设置,一些较早 版本的操作系统,如Windows 98,Windows NT
10、4.0 SP3或更早版本,将无法通 过Windows Server 2003域控制器来登录与访问域资源,2003 web版不支持。 Step 3:选择域控制器类型 因为该服务器是域中的第一台域控制器,所以在“域控制器类型”对话框中选 择“新域的域控制器”选项。在“创建一个新域”对话框中选择“在新林中的域”选项。 11活动目录的安装Step 4:设置域名 在“新的域名”对话框的“新域的DNS全名”框中,输入需要创建的域名 。如图 所示。 12活动目录的安装Step 5:设置NetBIOS名称 在“NetBIOS名”对话框中,显示:非Windows操作系统的客户端将使用的 NetBIOS域名。可保
11、持默认设置。Step 6:设置数据库和日志文件安装位置 在“数据库和日志文件文件夹”对话框中,输入数据库、日志文件的保存位置 。 可以放置在不同的分区。Step7:设置系统卷共享文件位置在“共享的系统卷”对话框中,指定作为系统卷共享的文件夹。Sysvol文件夹 存放域公用文件的服务器副本。Sysvol中的内容被复制到域中的所有域控制器, 其文件夹位置一般不作修改。Sysvol包含系统的基本配置、脚本文件、组策略设 置。13活动目录的安装Step8:配置DNS如果在安装活动目录之前未配置DNS服务器,可在此让安装向导配置DNS。 在接下来的“权限”对话框中,考虑到目前大多数网络环境中仍然包括Wi
12、ndows 2000以前的操作系统,所以应选择“与Windows 2000之前的服务器操作系统兼容 的权限”选项。一旦DNS名设置后不能随意更改。Step9:设置目录服务恢复模式密码在“目录服务还原模式的管理员密码”对话框中输入目录还原模式下的管理员 密码。Step10:查看摘要完成安装安装向导将显示安装摘要信息,确认无误后,单击“下一步”按钮即可开始安 装。完成安装后,将重启系统。14构造域帐户Step1建立组织单位:策略控制”和“访问控制依次单击“开始”程序”“管理工具”“Active Directory用户和计算 机” ,在打开的窗口中右击域名称,选择快捷菜单项“新建”“组织单位”, 输
13、入组织单位名称。重复以上步骤,完成所有组织单位的建立,如图所 示。15构造域帐户Step2在“访问控制”下创建用户组帐户在“Active Directory用户和计算机”管理单元中,右击“访问控制”组织 单位,选择快捷菜单项“新建”“组”,输入组名称、设置组作用域和组类 型(一般为默认的全局、安全组)。重复以上过程,完成所有组帐户的 建立。如图 所示。16构造域帐户Step3创建用户帐户展开“策略控制”,右击组织单位“财务部”,选择快捷菜单项“新建”“ 用户”,在图所示对话框中输入张经理的信息并为张经理设定登录的用户 名,在图所示对话框输入和确认用户密码,并根据需要选择相应的复选 框,创建财务
14、部主管张经理的帐户。17构造域帐户 Step4将用户加入用户组在“Active Directory用户和计算机”管理单元中,在“访问控制”组织单 元里,右击“财务部”组, 打开“属性”对话框,如图所示,在“成员”选项卡中 使用“添加”按钮可以将“张经理”加入到“财务部”组。重复以上过程,将建 立的用户帐户全部加入到相应的组,如图所示。18构造域帐户在客户机利用域帐户登录域,可以检查上述设置的有效性。选择一台安装Winows XP操作系统的客户机,打开TCP/IP配置窗口 ,在DNS中加入域控制器的IP地址。然后右击“我的电脑”,打开 “属性”对话框,点击“计算机名”选项卡中 的“更改”按钮。在
15、“计算机名称更改”对话框中的“隶属于”部分选择单选框“ 域”,并输入域的名称, 。在系统提示框中,输入域用户名和密码,出现欢迎加入域的提示框 ,说明设置正确。19安全策略设置Step1启动组策略在“Active Directory用户和计算机”管理单元中,展开组织单位“策略 控制”,右击需要设置组策略的组织单位(如技术部),打开“属性”对话 框的“组策略”选项卡,单击“新建”按钮,输入新建的组策略名,然后单击“ 编辑”按钮打开“组策略编辑器”。20安全策略设置Step2设置帐户安全策略在“组策略编辑器”中,依次展开 “计算机配置” “Windows设置”“安 全设置”“帐户策略”。在密码策略中
16、,启用“密码必须符合复杂性要求”,“密码长度最小值” 设为6个字符,“密码最长使用期限”为30天,“强制密码历史”为3个记住密 码。 在帐户锁定策略中,“帐户锁定阈值”设为3,“帐户锁定时间”为30分钟。21安全策略设置Step2设置帐户安全策略如图所示。22安全策略设置Step2设置帐户安全策略如图所示。23安全策略设置Step3设置本地策略在“组策略编辑器”中,依次展开“计算机配置” “Windows设置”“安 全设置”“本地策略。为技术部设定相应的审核策略、安全选项,并为技术部用户指定相 应权限。如图所示。24安全策略设置Step4设置管理模板策略 1) 任务栏和开始菜单设置 在“组策略编辑器”中,依次展开“用户配置”“管理模板”“任务栏和开始 菜单”,如图所示。25安全策略设置Step4设置管理模板策略 2) 展开“用户配置”“管理模板”“桌面”,如图所示。26安全策
