域的管理课件

1、域的管理演示域的工作环境域的说明 安装活动目录活动目录简介 活动目录的逻辑结构活动目录的安装 活动目录简介活动目录的作用 活动目录的对象轻型目录访问协议（LDAP） 活动目录是什么？目录服务的功能组织管理控制资源集中管理单点管理单点登陆可访问所有的目录服务资源活动目录提供目录服务功能，包括一种集中组织、管理和控制网络资源访问的方法。它的出现使得WIN2K系统与Internet上的各项服务和协议更加联系紧密，因为它对目录的命名方式成功地与”域名“的命名方式一致，然后通过DNS进行解析，使得与在Internet上通过WINS解析取得一致的效果。 轻型目录访问协议 (LDAP)LDAP提供了一种与活

2、动目录通讯的方法，通过为目录中的每一个对象指定唯一的命名路径 域（DOMAIN）1.域是是活动目录的中逻辑结构的核心单元，一个域包含许多台计算机，它们由管理者设定，共用一个目录数据库。一个域有一个唯一的名字2.域起着安全边界的作用：保证域的管理者只能在该域内有着必要的管理权限，每个域都有自己的安全策略和与其它域的安全联系方式 森林与域树(root)account. user. 域树双向可传递信任manger. sales. 森林域树双向可传递信任 全局目录（GC）全局目录服务器全局目录（GC）目录对象属性的子集DomainDomainDomainDomainDomainDomain查询 域控制

3、器域控制器域控制器域复制 User1User2User1User2= 具有可写属性的活动目录数据库域控制器运行在win2000server的计算机上，用来存储目录的副本，管理目录信息的变化，并把这该变化复制给该域其它的域控制器。域控制器存储目录数据，管理用户登录、验证和目录搜索 利用活动目录来实行集中式管理OU1DomainComputersUsersOU2UsersPrintersComputer1User1Printer1User2DomainOU2OU1User1Computer1Printer1User2搜索活动目录:可以使一个管理员集中管理网络资源可以使管理员容易的确定对象的信息可以

4、使管理员把相似的对象组织到 OU 中可以使管理员给站点、域或 OU 指定具体的组策略设置 委派管理控制权分配权限:把不同的 OU 指派给不同 的管理员控制指定在一个 OU 中修改对 象具体属性的权限指定在所有 OU 中执行同 样任务的权限通过定制管理工具:指派具体的管理任务可以简化界面设计 DomainAdmin1Admin2Admin3OU2OU3OU1 DNS概述DNS在活动目录中的作用DNS与活动目录活动目录中的DNS名字解析活动目录集成的区域安装和配置DNS以支持活动目录 DNS与活动目录的命名空间sales. training. trainingmicrosoftDNS命名空间活动目

5、录命名空间= DNS节点(域或计算机)= 活动目录的域salescomputer1(DNS 根域)“.”com.InternetDNS主机名与 Windows 2000的计算机名DNS主机记录与活动目录的组件可表示同一台计算机 计算机可以依靠DNS在活动目录内定位域控制器活动目录BuiltinComputersNcie-1Ncie-2DNS“.”com.salestrainingNcie-1microsoft全称域名（FQDN） = ncie-1.Windows 2000 计算机名 = ncie-1 AD与DNS作用和区别 活动目录与DNS的区别 DNS和活动目录的结合是Windows2000

6、服务器的最主要特点，DNS域和活动目录域对不同的名字空间使用同一样的域名。但它们各自存储不同的数据，因此管理不同的对象。DNS存储它的区域和资源记录，活动目录存储域和域中的对象。对DNS来说，域名是以DNS的命名结构为基础的，是一种倒树型结构：一个根域，下面的域既是父域又是子域。每一个DNS域中的计算机可以通过完全合格域名（FQDN）进行识别。每一个与因特网连接的WIN2K域都有一个DNS名字，并且每一个WIN2K域中的计算机也都有一个DNS名字。因此，域和计算机即代表活动目录对象，又代表域节点。 活动目录的安装实验物理环境计算机A域控制器DC或与DNS集成DNS服务器计算机B：域名 IP：/

7、24dns:或dns:IP:/24IP：/24dns:或dns:IP：/24dns:或dns: 活动目录的安装 将计算机加入到域 创建和管理域用户帐户域用户帐户的管理 域模式中的组的管理 创建域用户帐户使用域用户帐户登录计算机设置域用户帐户的属性 创建域用户帐户 使用域用户帐户登录计算机 设置域用户帐户属性(2) 创建和管理域中的组介绍域中的组组的类型组的范围创建域中的组AGDLP规则 介绍用户和组为每个用户账号创建一个唯一登陆名将用户账号分组以高效管理域资源的访问将组嵌套到别的组中以减少管理任务 用户共享资源Permissions组 介绍活动目录中的组组可以被嵌套到其它

8、的组中一个用户可以是许多组的成员GroupGroup使用组来简化资源权限的分配GroupGroupGroupGroupGroupGroup 全局组全局组的规则可加入的组成员作用范围权限范围混合模式: 本域的用户账号本机模式: 本域的用户账号混合模式: 域本地组本机模式: 任何域中的通用和域本地组, 还有本域中的全局组目录林中所有的域目录林中所有的域 添加添加 全局组域本地组的规则可加入的组成员作用范围权限范围混合模式: 任何域中的用户账号和全局组本机模式: 目录林中任何域中的用户账号，全局组和 通用组以及本域中的域本地组混合模式: 不能是任何组的成员本机模式: 本域中的域本地组 混合模式: 域

9、控制器本机模式: 域控制器所在的域混合模式: 域控制器本机模式: 域控制器所在的域 添加添加全局组 域DLG域本地组 域本地组 通用组可加入的组通用组的规则成员混合模式: 不能创建通用组本机模式: 目录林中任何域中的用户账号，全局组，和其它的通用组混合模式:不能创建通用组本机模式: 任何域中的域本地组和通用组作用范围在目录林中的所有域中都是可见的权限范围目录林中的所有域 全局组 通用组AGDLP用户账号多个全局组全局组域本地组授权AGDLPGDLG把域用户账号添加到全局组(可选) 把多个全局组添加到另一个全局组中把全局组添加到域本地组把资源的访问权限分配给域本地组创建域中的组 用户配置文件的类

10、型默认的用户配置文件 本地用户配置文件 漫游用户配置文件 强制性漫游用户配置文件 默认的用户配置文件 默认的用户配置文件用于生成一个新用户的工作环境，所有对用户配置文件的修改都是在默认用户配置文件上开始的。当用户第一次登录到计算机时其用户配置文件的内容就是由DefaultUser文件夹中的内容和AllUser文件夹的内容组成的 本地用户配置文件 当一个用户登录到一台计算机时创建的用户配置文件就是本地用户配置文件。一台计算机上可以有多个本地配置文件，分别对应于每个曾经登录过该计算机的用户。用户配置文件不能直接被编辑，要想修改配置文件的内容需要以该用户登录，然后修改用户的工作环境如桌面、“开始”菜

11、单、鼠标等，在用户退出登录时，系统会自动的将修改的配置保存到用户配置文件中去。漫游用户配置文件保存对该文件的更改强制性用户配置文件服务器用户用户用户用户漫游配置文件ABCD不保存用户对此文件的更改强制性用户配置文件不保存用户对工作环境的修改 当用户更改了工作环境参数后退出登录再重新登录时工作环境又恢复到强制用户配置文件中设定的当需要一个统一的工作环境时该文件就十分有用该文件由管理员控制 通常将强制性用户配置文件保存在某台服务器上这样无论用户从哪一台计算机上登录都将得到一个相同且不能更改的工作环境。ntuser.dat ntuser.man 设置漫游用户配置文件servernameProfile%username% 用于存放用户漫游配置文件共享文件夹服务器的UNC路径%username%是取当前用户登录名的变量,在用户登录成功后,系统会以用户名登录名为名称在Profile文件夹中创建一