《《计算机网络技术及应用(第二版)》-郝兴伟-电子教案 04》由会员分享,可在线阅读,更多相关《《计算机网络技术及应用(第二版)》-郝兴伟-电子教案 04(78页珍藏版)》请在金锄头文库上搜索。
1、计算机网络技术及应用 (第二版),1,第 1 章 现代电子通信基础 第 2 章 计算机网络 第 3 章 网络操作系统 第 4 章 网络管理基础 第 5 章 常用网络服务及其配置 第 6 章 Web服务器的架设和管理 第 7 章 Ftp服务器的架设和管理 第 8 章 邮件服务器的架设和管理,目 录,2,第 4 章 网络管理基础,网络连接及其配置 目录和目录服务 工作组及其管理 域和活动目录服务 资源共享与发布 组策略 本地组策略 非本地组策略 安全性设计 用户身份验证 授权 病毒防范 使用映像截持技术防止病毒程序的运行 使用组策略防止病毒程序的运行 使用本地安全策略防止病毒程序攻击 关闭不安全端
2、口防止病毒程序攻击 使用防火墙软件防止病毒程序攻击,3,4.1 网络中的工作组和域,目录和目录服务 工作组 域及域控制器 工作组和域管理模式,4,目录和目录服务,连接到网络 网络中有哪些服务器或工作站?它们都提供了什么服务? 网络中有哪些共享资源? 对于网络中存在得类似问题,网络是通过目录和目录服务的方式来解决得。 什么是目录? 目录(Directory)是用来存储有用对象信息的结构。在文件系统中,目录存储关于文件的信息;在分布式的计算机系统或计算机网络中,目录用来存储网络中的工作组或域的安全信息(如:用户账号信息、访问权限等)、共享资源信息(如:共享打印机、共享文件夹等)以及用于访问上述信息
3、的检索信息等。 目录服务 目录服务(Directory Service)就是要让工作站知道网络上的可用资源的信息服务。 采用静态服务表 定期广告 名称服务器,5,工作组,什么是工作组? 工作组(Workgroup)是指网络中的一个计算机集合。 工作组中的计算机共享一个浏览清单 每个工作组有一台或几台服务器收集浏览信息,称为浏览主机。浏览主机是自动选择的。 隐藏浏览清单信息 不希望别的组使用自己的共享打印机。要达到上面的要求,在工作组中有两种办法: 为打印机设置口令或将打印机隐藏,即将打印机从浏览清单中去掉。 通过可以在打印机名称后加一个美元符号($)实现,这样打印机可以共享,但不会出现在浏览清
4、单中。,6,网络中的工作组,建立用帐户 在s1,s2和w1上分别为User01、User02、User03、User04和User05建立本地用户帐户 登录过程 口令表,pwl文件 冒名顶替,S1:Windows 2000 Server S2:Windows Server 2003 W1:Windows 2000 Professional Windows XP若干 五个用户User01、User02、User03、User04和User05,7,将计算机加入工作组,打开“控制面板”窗口,双击“系统”图标,在“系统属性”对话框中,选中“计算机名”选项卡 单击“更改”按钮,打开“计算机名称更改”对
5、话框 在“隶属于”区域中,选择“工作组”单选钮,然后在下面的文本框中输入工作组名称market,单击“确定”按钮。,要将一台Windows XP professional 计算机加入到工作组market中,具体操作步骤如下:,8,域及域控制器,什么是域? 域(Domain)是实行了集中化管理的计算机的集合,是一个具有集中安全控制的超级工作组。 也就是说,在计算机集合中的每台计算机的账户信息都存储在其中的一台计算机上 Windows 98不能加入域,成为域的成员 什么是域控制器? 在Windows域中,负责网络管理的计算机称为域控制器(Domain Controller,DC)。 Windows
6、 Server 计算机 安装Active Directory,9,域安全系统的工作过程,打开Windows XP计算机,在“登录到windows”对话框中,输入用户名和口令、在“登录到”下拉列表中,选择要登录的域technology,开始登录域控制器DC1。 登录请求被域控制器中运行的本地安全认证(LSA)程序处理,用户通过验证后,登录进程会给用户一个安全访问令牌(Security Acces Token,SAT)。 该令牌相当于用户访问系统资源的票证,当用户试图访问系统资源时,将访问令牌提供给Windows 系统,然后Windows检查用户试图访问对象上的访问控制列表。如果用户被允许访问该对
7、象,系统将会分配给用户适当的访问权限。 工作站得到SAT令牌后,可以通过“网上邻居”连接到S1,浏览特殊的共享目录。共享目录有一个称为安全描述表(SD)的附加表,说明哪些用户可以访问。另外,服务器上还有一个称为安全监视器(Security Reference Monitor,SRM)的程序来检查你是否是被允许的成员。这时,服务器S1的SRM将读取你的SAT令牌,并与安全描述表SD的内容比较,确认是否允许你访问。,假设有一个名为technology的域,域控制器为DC1,有一台Windows XP工作站,需要访问域中名为S1的Windows 2000 Server计算机。,10,Windows域
8、中计算机的角色,域控制器 配置,域控制器(Domain Controller,DC)是安装了Active Directory的Windows Server 计算机。 作用,域控制器存储着目录数据并管理用户的交互,其中包括用户登录过程、身份验证和目录搜索。 成员服务器 配置,运行 Windows 服务器操作系统、域的成员但不是域控制器的计算机。 作用,一般用作以下类型的服务器,例如:文件服务器、应用服务器、数据库服务器、Web 服务器、证书服务器、防火墙和远程访问服务器等。 独立服务器 配置,运行 Windows服务器操作系统,但不是 Windows域成员的计算机,即作为工作组成员安装 。 作用
9、,可与网络上的其他计算机共享资源,但是它们不接受 Active Directory 所提供的任何好处。,11,工作组和域管理模式的不同,工作组模式 基于广播来通讯,工作组中的每台计算机互为服务器,互为客户端。 主浏览服务器,负责维护工作组中的浏览列表,并定期向其他计算机广播。 广播在网络中的不稳定性,可能导致工作组中的每台计算机所持有的浏览列表各不相同,导致工作组中的计算机互相访问出现问题。 ActiveDirectory活动目录模式 目录服务统一维护和发布域中的资源,这个资源列表可以使用LDAP进行方便快捷的查询,并可以结合DNS进行定位,这就可以让用户不再需要关心那些资源的物理位置,用户可
10、以以一种逻辑的方式来搜集和整理自己所需要的资源。 相对于工作组那种不稳定的工作模式,活动目录对于网络管理提供了更好的技术支持。 在较大规模的网络中,应该采用域管理模式,而不是采用工作组的网络邻居访问方式。,12,4.2 域和活动目录服务,安装活动目录服务 使用Active Directory服务 域用户与用户组管理 将计算机加入到域 登录到本地或域,13,安装活动目录服务,安装活动目录服务组件的条件 Windows Server 2003,或Windows 2000 Server NTFS文件系统,14,活动目录服务安装过程(1),在Windows Server 2003安装完成后,并没有自动
11、安装活动目录服务,需要由用户自己安装。 (1)在“控制面板”窗口中,双击“管理工具”图标,打开“管理工具”窗口;双击“管理您的服务器”图标,,默认状态下,Windows Server 2003系统安装时,只安装文件服务器,要安装其它服务,单击右上角的“添加或删除角色”超链接,15,活动目录服务安装过程(2),(2)向导检测当前的网络设置,完成后显示配置选项界面。,选择“自定义配置”单选钮,选择需要安装的服务,16,活动目录服务安装过程(3),(3)在服务器角色列表中,选择“域控制器(Active Directory)”,单击“下一步”按钮,17,活动目录服务安装过程(4),(4)然后按照向导提
12、示,分别选择新域的控制器、在新林中的域,随后显示指定新的域名界面,输入新建域的域名,然后单击“下一步”按钮,按照向导提示操作。在操作过程中需要输入还原目录服务的账户密码,和管理员密码不同,需要记下。,18,活动目录服务安装过程(5),(5)DNS服务器的安装和配置 使用DNS服务器 如果当前服务器没有安装DNS服务,在安装活动目录服务的过程中还将一并安装DNS服务。或者跳过DNS服务,然后再单独安装DNS服务。如果已经有DNS服务器,可以直接使用。 一般情况下,一个企业只有一台DNS服务器,它可以安装到一台专用计算机上,负责整个企业的DNS解析。 DNS服务器的设置 在DNS安装完成后,在DN
13、S服务器计算机本身的网络连接中,应该将首先DNS服务器设为它自己,只有这样AD才可能将AD信息注册到DNS,否则计算机在加入域时,将出现域名解析错误。,19,活动目录服务安装过程(6),(6)安装活动目录和DNS服务后,20,活动目录服务管理工具,在控制面板的管理工具文件夹中,可以看到ActiveDirectory相关的三个管理工具,分别是: Active Directory用户和计算机, Active Directory域和信任关系, Active Directory站点和服务,21,使用活动目录服务,“Active Directory用户和计算机”管理工具又称“Active Directo
14、ry用户和计算机”控制台, Computers文件夹,计算机帐户。 Users, 包含域中的所有用户。,22,Active Directory对象,“Active Directory用户和计算机”控制台,可以创建的对象有: 用户,用户对象是目录中的一个安全主体。用户可以使用这些凭据登录到网络上,并且可以为用户授予访问权限。 联系人,联系人对象是没有任何安全权限的帐户。不能以联系人的身份登录到网络上。联系人通常表示外部用户,用以收发电子邮件。 计算机,计算机对象表示网络上的一台计算机。对于基于 Windows NT 的工作站和服务器,这是计算机帐户。 组织单位,组织单位 (OU) 用作一种容器,
15、以便以逻辑方式来组织目录对象(如用户、组和计算机),这与使用文件夹来组织硬盘上的文件大体相同。 组,组可以包含用户、计算机和其他组。组简化了对大量对象进行的管理工作。 共享文件夹,共享文件夹是已在目录中发布的网络共享。 共享打印机,共享打印机是已在目录中发布的网络打印机。 管理员可以完成增加、删除、修改组织单位(OU)、计算机账户、域用户账户、组以及在目录上发布资源等网络管理任务。,23,新建组织单位(OU)对象,组织单位(Organization Unit,OU)的概念 使得基于活动目录的Windows域变得易于管理和扩充,24,新建组织单位(OU)对象(Cont.),在目录树的根节点上单击
16、鼠标右键,在快捷菜单中指向“新建”,单击“组织单位”,弹出“创建对象-组织单位”对话框,输入组织单位名称(如:总公司),单击“确定”按钮。 即完成了第一级组织单位的创建。 用上述类似的方法可以创建下一级的组织单位,当在某个组织单位下创建它的下一层组织单位时,应该在该组织单位的节点上单击鼠标右键,接下来的过程和上面类似。,25,域用户与用户组管理,域用户账户管理 用户组 新建组 组的类型 安全组(Security Group)是可以列在用于定义资源和对象的权限的自由访问控制列表(DACL)中的组,DACL是部分对象安全描述符的列表,该描述符用来允许或拒绝某些指定用户和组的权限。 分布组(Distribution Group),不采用安全机制,不能列于 DACL 中。 组的作用域 本地组(Local Group)只能在本域的域控制器DC上使用 全局组(Global Group)可在本域和有信任关系的其它域中使用,26,新建域用户帐户,在“Active Directory用户和计算机”控制台目录树中选择一个需要创建用户账户的组织单位,单击鼠标右键,在快捷菜单中,指向“新
