《WindowsServer2003域模式下的管理》由会员分享,可在线阅读,更多相关《WindowsServer2003域模式下的管理(24页珍藏版)》请在金锄头文库上搜索。
1、第二章Windows Server 2003 域模式下的管理v1.域模式管理原理域模式管理是一种高效可靠的管理系统,其核心就在于将 计算机加入到一个指定的逻辑单元“域”中,然后对加入其 中 的计算机实现统一、高效的管理,对整个网络系统中的计 算机、用户、资源进行了重新的整合。时期在管理方式上 发生了根本性的改变。第二章Windows Server 2003 域模式下的管理v1.域模式管理原理 在与模式的管理体系下,整个网络管理经过以下4个过程 实 现对加入域的所有计算机和所有用户进行综合管理建立域服务器将被管理的计算机加入到域中使用域下的管理员账户建立新的用户在域中通过任何计算机对域中任何账户
2、实现设置管理第二章Windows Server 2003 域模式下的管理v2.域模式下用户设置当一台计算机成为域控制器时,或者当一台计算机加入的 域成为成为域模式下的一台客户机时,每台计算机中的账 户信息将发生变化。在域控制器中,原本地账户已经不能使用了。通过客户机进入域控制器前,系统出现两个进入选项,一个是本地进 入选项,一个是域控制器选项。域模式下的默认账户Domain admins(域管理员)Administrator(本地管理员)v如何在域模式下建立账户第二章Windows Server 2003 域模式下的管理v3.域模式下的账户管理 在基于域模式下的windows server 2
3、003的账户信息变得 非 常丰富,管理员被赋予了极大地权利,对于所有加入到域 中用户的账户信息都要进行管理和维护,账户信息将被域 中所有有权利需要账户信息的各个部门使用。v账户信息的设置v账户信息的删除第二章Windows Server 2003 域模式下的管理v账户信息的设置 在账户属性中有16个选项卡,涵盖了账户的大部分信息“常规”、“地址”、“电话”、“单位”选项卡中的信息时账户的个人信息 ,用于拥有权限的账户查询“账户”选项卡的上半部分与普通账户信息没有区别,但下半部分包 括了众多的信息,在域控制器管理的网络中,所有账户可以被限制 在以5种方式进入系统和运用系统:指定的账户指定的计算机
4、指定的时间运行指定的程序访问指定的资源第二章Windows Server 2003 域模式下的管理“账户选项”选项组提供多项有关账户安全方面的设置,在后面的课 程学习再展开实验。“账户过期”选项组对账户登录计算机的时间做出了更严格的限制, 可以选择“永不过期”或“在这之后”单选按钮,指定具体的日期来限 制该账户登录到域控制器。第二章Windows Server 2003 域模式下的管理v 账户的删除在日常的系统管理中,主要是对系统资源和账户的管理。 在账户管理中经常出现原有账户不使用的情况,主要有: 试验用账户、误操作建立的账户、临时账户和禁用的账 户。对于这些账户一半情况下管理员可以执行操作
5、,但是 在windows server 2003中,确认和识别账户的不仅仅是 账 户名,而是系统自动派发的安全标示(SID) 如果删除了账户该账户的SID仍然是存在的。第二章Windows Server 2003 域模式下的管理v4.域模式下组的概念 在windows server 2003的域控制器中,组是一个非常重 要 的概念与应用。账号是进入系统的身份证,组是用来简 化、统一管理账户的逻辑结构,利用组可以把具有相同权 限需求和管理需求的用户组织存放在一起v组的特点v组是个逻辑结构v一个账户可以同时加入多个组v当一个用户加入到一个指定组是,该用户就有了该组的权限第二章Windows Ser
6、ver 2003 域模式下的管理vWindows server 2003组的分类v安全组v通信组 Windows server 2003组的范围全局本地域通用 Windows server 2003中的默认组预定义组内置组内置本地组特殊组第二章Windows Server 2003 域模式下的管理v5.组的设置组账号建立右击“Active Directory用户和计算机”窗口中User文件夹,在弹出的快捷 菜单中选择“新建”-“组”命令在“新建对象-组”对话框中输入相应的信息并设置组的作用域、组类型 、然后单击“确定”按钮设置组成员打开要加入账户的指定组的属性对话框的“成员”选项卡单击“添加”
7、-“高级”-“立即查找”按钮,显示被选定用户账户选中要加入组的用户账户在“成员”选项卡中选中用户点击删除,可以将指定用户删除出组第二章Windows Server 2003 域模式下的管理v2.1.3 域模式下对分区文件夹文件的管理域模式规划与建立 在域模式下,一旦构架出符合需求的用户账户体系,确立了加入域的计 算 机后,最重要的工作就是确定哪些账户能访问文件夹,对文件能进行什 么 权限的英勇。这时候,用户账户已经成为域中的一个成员,可以通过域 中 任何一台计算机登录,对任何计算机上的资源对象进行访问。 计算机如何加入域参见课本实例。第二章Windows Server 2003 域模式下的管理
8、通过指定计算机登录对异地计算机的文件夹进行权限设置GABCUSER1第二章Windows Server 2003 域模式下的管理v2.2 设置组织单位与配置客户机v组织单位的概念 组织单位是域中的一类目录对象,它包括域中一些用户、计算机 、 组、文件等资源。主要用于网络构建。可使网络管理员以一种更 容 易理解和管理的方式来模拟实际工作中的单位结构。第二章Windows Server 2003 域模式下的管理组织单位与组账号的区别 组织单位与组账号都是域模式下的管理对象,组织单元管 理的对象更多一些,而组账号只对用户账户在文件夹上的 权限进行管理。 删除了组账号,组账号所管理的用户账号的逻辑关系
9、被打 破,但用户账户本身不会消失,删除了OU,在OU中设置 的信息,加入管理的对象随之删除第二章Windows Server 2003 域模式下的管理组织单位与域的关系 域是操作系统对所有与之连接的计算机和登录计算机的用户账户 的 全面管理,是建立在活动目录中最全面完善的网络管理模式,用 户 访问计算机时需先登录域再进入组织单元。 好比操作系统和应用软件,域就像是操作系统。组织单位就比如 应 用软件。用户只有进入操作系统后才能使用应用软件,域中的组 织 单位也是如此。第二章Windows Server 2003 域模式下的管理创建组织单位在安装了活动目录的域控制器计算机上打开“active d
10、irectory用 户和计算机”窗口。右击“”域,在弹出的快捷菜单中选择“新建”-“组织单位”打开组织单位对话框,输入名称点击确定按钮就成功建立了一个组织单位第二章Windows Server 2003 域模式下的管理v2.2.2 配置客户机当域建立好后,主要的工作就是将计算机加入到域中,并 通过活动目录对域中的计算机进行管理。v调整TCP/IP协议的属性,使DNS指向的DNSv右击“我的电脑”图标,打开“属性”命令-“系统属性”-“计算机名”v单击“更改”按钮,打开“计算机名称更改”,输入计算机名和加入 的域名v单击“确定”按钮,打开“计算机名更改”对话框,输入有操作权限 的用户名和密码v单
11、击“确定”重启即可。第二章Windows Server 2003 域模式下的管理v2.3 组策略 2.3.1组策略的概念 注册表是Windows系统中保存系统软件和应用软件配置的数据库,而 随 着Windows功能越来越丰富,注册表里的配置项目也越来越多,很多 配 置都可以自定义设置,但这些配置分布在注册表的各个角落,如果是 手 工配置,可以想像是多么困难和烦杂。而组策略则将系统重要的配置 功 能汇集成各种配置模块,供用户直接使用,从而达到方便管理计算机 的 目的。 其实简单地说,组策略设置就是在修改注册表中的配置。当 然,组策略使用了更完善的管理组织方法,可以对各种对象中的设置 进 行管理和
12、配置,远比手工修改注册表方便、灵活,功能也更加强大。 第二章Windows Server 2003 域模式下的管理2.编辑工具 如果是windows2003系统,那么系统已经默认安装了组策略编辑程序 , 打开运行命令对话框,输入gpedit.msc即可。使用上面的方法,打开 的 组策略对象就是当前计算机,而如果需要配置其他的计算机就可以运 行 控制台程序来管理。 操作步骤参见课本P58。第二章Windows Server 2003 域模式下的管理v2.3.2 组策略的内容第二章Windows Server 2003 域模式下的管理v2.4 利用组策略进行管理建立组策略打开Active Dire
13、ctory用户和计算机命令选定,在工作区右击,在弹出的快捷菜单中选择 “新建”命令,并在对话框中输入组织单位的名字右击组织单位,在弹出的快捷菜单中选择“属性”在“属性”对话框中单击“组策略”标签,打开选项卡单击“编辑”按钮,在“组策略编辑器”窗口中对它进行编辑第二章Windows Server 2003 域模式下的管理v利用组策略管理用户环境实例v隐藏组织单位abc的用户桌面上的“网上邻居”和“我的文 档”图标v禁止abc的用户运行word程序v为组织单位abc用户安装netinfo程序第二章Windows Server 2003 域模式下的管理第二章Windows Server 2003 域模式下的管理
