域的应用基本图示_第1页
域的应用基本图示_第2页
域的应用基本图示_第3页
域的应用基本图示_第4页
域的应用基本图示_第5页
已阅读5页,还剩214页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、下次课开始于2022/10/5 MICROSOFT EDUCATIONAND CERTIFICATION目录服务基础结构设计与管理Microsoft Windows 2000课程号2154A,考试号70-217(一)2022/10/5MCSE:Windows2000张东辉高培信息办 TEL:5988204Email:zhangdh个人信息Systems EngineerMicrosoftCertifiedProfessional2022/10/5Windows 2000中的活动目录介绍12022/10/51-1概述活动目录简介轻量级目录访问协议LDAP活动目录逻辑结构组织单元OU、域、树、林2

2、000集中式和非集中式管理活动目录物理结构DC如何用于AD中的复制多主控和单主控的操作角色管理2000网络的方法AD和组策略、委派控制2022/10/51-2多媒体:Windows 2000中活动目录的概念2022/10/5对象object:属性setting的集合用户、组、计算机、打印机、共享夹、联系人OU、域、树、林站点SITE活动目录AD的目录服务提供用于组织、管理和控制网络资源的结构和功能2022/10/5活动目录存储整个网络上资源的信息便于用户查找、管理和使用这些资源小型网络:UNC路径大型网络:难以确定资源位置、名称所以需要目录服务快速定位资源对用户透明、高效不需要知道资源的物理位

3、置,如何连接1-3活动目录介绍2022/10/5什么是活动目录?目录服务的功能组织管理控制资源集中管理单点管理用户只需登录一次,就可访问整个活动目录的资源目录服务:存储网络资源的信息,使信息可有效利用实质为后台服务,表现为管理、用户工具目录服务2022/10/5活动目录对象对象:网络资源 属性:关于对象的信息属性名姓登录名属性打印机名打印机位置活动目录PrintersPrinter1Printer2Suzan FineUsersDon Hall属性值对象打印机用户Printer32022/10/5目录服务使用用户可以通过查找对象的一个或多个具体属性来确定对象的位置2022/10/5活动目录架构

4、(Schema)对象类例如:打印机计算机用户用户属性可能包括:accountExpiresdepartmentdistinguishedNamemiddleName属性列表accountExpiresdepartmentdistinguishedNamedirectReportsdNSHostNameoperatingSystemrepsFromrepsTomiddleName 属性 例如:活动目录架构动态获得动态更新通过DACLs保护对象和属性2022/10/5查看并编辑架构(Schema)安装MMC插件找到I386schmmgmt.dl_(58K)复制到system32 下自动解压为 sc

5、hmmgmt.dll(158K)Regsvr32 schmmgmt.dll架构的改变可通过ADSI函数集进行目录服务编程实现开发ADSI(活动目录服务接口)函数集,可制作个性化的管理工具但应先在一个林中进行测试 2022/10/5轻型目录访问协议(LDAP)为活动目录中的对象标识LDAP命名路径标识名DN(完整路径)如:CN=Suzan Fine,OU=Sales,DC=contoso,DC=msft相对标识名RDN如: CN=Suzan FineDC 域组件OU 组织单元CN 普通名字2022/10/52022/10/51-4活动目录的逻辑结构(logic Structure)具有伸缩性,包

6、括下列组件:域Domain:核心单元组织单元OU域目录树与目录林TreeForest全局目录GC2022/10/5活动目录使你能够通过名字(属性)找到资源,而不是物理位置,这样使网络的物理结构对用户透明域Domains组织单元OU树Tree和林ForestDomain域域目录树域域域目录树目录林域OUOUOU逻辑结构:组织网络资源2022/10/5域安全边界域管理员只能在域内进行管理,除非明确得到其它域的授权复制单元域控制器DC在域内参加复制,并且包含它的域目录信息的完整副本Windows 2000域User1User2User1User2复制2022/10/5安全边界复制管理安全策略组策略2

7、022/10/5组织单元OU(Organizational Units)组织结构SalesVancouverRepairUsersSalesComputers网络管理模式利用OU可以把对象组织到一个逻辑结构中,使其最好地适应你的组织需求可以把管理控制权委派给OU内的对象,通过指定权限到一个或几个用户和组2022/10/5组织结构通过组织OU,可建立一个层次结构ouououououou深层次/浅层次的结构ouououou2022/10/5目录树和目录林 japan. china. 目录树目录林japan. china. Tree(root)域 Windows NT 4.0单向不可传递信任关系双向

8、可传递信任关系2022/10/5什么是目录树父域 子域连续的名字空间,(域后缀延续 )sales.contoso.msft父域子域新域目录树根 域contoso.msftsales.contoso.msft2022/10/5什么是目录林?nwtraders.msftmarketing. nwtraders.msftsales. nwtraders.msftcontoso.msftsales. contoso.msft在目录林中的所有域共用一个公共配置、架构Schema、全局目录GC一个目录林是一个或多个目录树在目录林中的目录树不共同一个连续的名字空间目录林目录树目录树2022/10/5什么是目

9、录林根域?目录林根域是在林中第一个建立的域contoso.msft目录林目录林根域nwtraders.msft目录树目录树根域全局目录配置和架构企业Enterprise AdminsSchema Adminsmarketing.nwtraders.msftsales.contoso.msft目录树2022/10/5多层域的特征降低复制流量维护域唯一的安全策略单元保留 Windows NT早期版本的域结构支持大量用户和多域名2022/10/5全局目录服务器(GC服务器)全局目录GC服务器对象属性DomainDomainDomainDomainDomainDomain查询利用通用组成员身份的信息登

10、录网络2022/10/5GC和登录过程GC提供为用户帐号提供通用组权利信息 当用户登录用一个用户主要名称UPN(如:)时,提供域信息User登录域域域域域GC服务器2022/10/5建立一个GC服务器AD Sites and ServicesConsole Window HelpActive ViewTreeNameTypeDescriptionActive Directory Sites and ServicesSitesDefault-First-Site-NameServersInter-Site TransportsSubnetsATLANTALONDONNew Active Dire

11、ctory ConnectionNewAll TasksNew Window from HereDeleteRefresh属性HelpNTDS Settings PropertiesGeneralObjectSecurityNTDS SettingsDescription:Query Policy:全局编录Domain ControllerDefault Query Policy启用或者禁用全局编录GC2022/10/51-5活动目录的物理结构(Physical Structure)与逻辑结构相互独立,之间没有必然的联系一般用来配置管理网络交流DC和站点组成活动目录的物理结构定义复制和登录发生

12、的时间和地点域控制器DC存储AD的副本,管理信息的变化和复制一至多个,建议最少两个容错2022/10/5复制DC-BDC-CDC-A多主控制复制2022/10/5活动目录复制多主控复制同步以前,DC上会在短时间内有不同的信息解决方法:以后第11章再讲单主控操作指定一个或几个单主控操作规则一个域控制器执行操作,不允许同时进行2022/10/5站点(Site):连接性能较好(高带宽)的子网的集合,通常是一个LAN活动目录对象在AD中,反映网络的物理拓扑结构关于复制站点内复制:基于变化通知,不压缩站点间复制:基于时间调度,压缩一致性差一些所用协议:RPC、SMTP2022/10/5站点IP 子网IP

13、 子网桥头堡服务器站点内复制站点IP 子网IP子网桥头堡服务器站点内复制慢速网络链路上的复制优化复制交流用户可靠、高带宽登录一个站点可有几个域一个域也可有几个站点一般为后者2022/10/51-6管理Windows 2000网络的方法利用活动目录和组策略集中管理/委派管理控制权利用活动目录实行集中式管理一个管理员就可以集中管理网络资源管理员很容易确定对象的信息把相似的管理和安全要求对象组织到OU中利用组策略管理站点、域、OU2022/10/5管理用户环境利用组策略对用户可用范围加以限制集中管理应用程序的安装、修复、更新、转移配置用户数据跟随用户,无论在线或离线委派管理控制权如三个OU,三个管理

14、员指定具体的权限,或定制控制台也可同样任务的权限,如在所有OU中重设密码2022/10/5利用DNS(域名系统)来支持活动目录22022/10/52-1概述DNS和AD集成2000关键特性使用相同的分层命名结构域、计算机成为AD的对象/DNS资源记录客户机可通过查询DNS找到DC(或其它对象)使DNS主区域结构存储于AD,并随AD复制指DNS的AD集成区域2022/10/52-2活动目录中的DNS角色介绍名字解析(正向,反向)DNS将计算机名称转化为IP地址计算机使用DNS在网络中互相查找Windows 2000域的命名协定2000AD使用DNS的域名命名标准DNS域和AD域共享一公共的分层命

15、名结构如查找活动目录的物理成分DNS通过提供的服务来验证域服务器计算机使用DNS来查找DC和GC2022/10/5DNS域和AD域使用相同的分层命名结构和域名但实际上域名空间是不同的好处:使2000网络计算机能够利用DNS查找提供AD相关服务的DC和计算机2-3 DNS和活动目录2022/10/5DNS和活动目录的域名空间sales. training. trainingmicrosoftDNS域名空间AD域名空间= DNS节点(域/计算机)= AD域salescomputer1(DNS根域)“.”com.Internet2022/10/5要点:使域和计算机成为DNS的节点AD的对象并相对应活

16、动目录和Internet如DNS的.com服务器中包含(zone)使别的域利用Internet来查找(domain)反之,你也可通过(domain).com来查找Internet上的域名服务器的资源记录2022/10/5DNS主机名称和Windows 2000计算机名称DNS的主机记录和AD计算机对象对应同一物理计算机DNS允许计算机查找AD中的DC活动目录BuiltinComputersComputer1Computer2DNS“.”com.salestrainingcomputer1microsoftFQDN = Windows 2000 计算机名 = Computer12022/10/5

17、DNS主机名与AD中计算机帐号是相同的计算机名可认为是特殊的域名FQDN:完全有效域名计算机的全称域名计算机的全名2022/10/52-4活动目录中DNS名字解析服务资源记录(SRV记录)2000计算机通过DNS的SRV记录来查找DC本域、特定域、树状结构中的域还可查找全局目录GC、Kerberos KDC服务器的域控制器将服务和DNS计算机名称一一对应服务记录和资源记录2022/10/5SRV 记录格式_ldap._tcp.contoso.msft 600 IN SRV 0 100 389 london.contoso.msft. 字段描述Service 指定服务名,如LDAP或kerber

18、osProtocol 指出传输协议的形式,如TCP或UDPName 指定资源记录中提到的域名Ttl 指定标准DNS资源记录的连线时间值(秒)Class 指定标准DNS资源记录的类值,在Internet里,总为INPriority 指定主机的优先权,客户尝试与最低优先权的主机相连Weight 指定负担调节机理,随机选择较高负担的服务记录Port 显示该主机的服务端口Target 指定支持提供该服务的主机的全称域名(FQDN)2022/10/5由域控制器配置的服务记录运行Windows 2000的域控制器额外注册SRV记录 _msdcs 子域,格式如下:_Service._Protocol.DcT

19、ype._msdcs.DNS域名SRV记录查找标准ldap._tcp.DNS域名.允许计算机在该域中查找LDAP服务器,所有DC配置这个记录_ldap._tcp.站点名._sites.dc._msdcs.DNS域名.允许计算机查找该域控制器和该站点,所有DC配置这个记录_gc._tcp.DnsForestName.允许计算机DNS域名查找该林全局目录服务器,仅GC且为2000DC配置这个记录_gc._tcp.站点名._sites.Dns林名.允许计算机查找该林该站点的的全局目录服务器,仅GC且为2000DC配置这个记录_kerberos._tcp.DNS域名.允许计算机在该域中查找KDC服务器

20、,所有K5DC配置这个记录_kerberos._tcp.站点名._sites.DNS域名.允许计算机查找该域该站点的KDC服务器,所有K5DC配置这个记录2022/10/5怎样使用DNS来查找域控制器DNS 服务器区域数据库SRV记录客户机联系域控制器6域控制器响应7运行在DC上的LDAP服务器8客户发送请求到域控制器用户登录,或AD搜索1发送带有客户信息的DNS查询3网络登录收集客户机信息2返回IP地址列表 5DNS查询合适的SRV记录4客户2022/10/52-5活动目录的集成区域活动目录域控制器DCDNS服务器AD集成区域区域数据库在活动目录中存储主要区域DNS区域复制随AD复制进行20

21、22/10/5好处:消除了主DNS服务器作为单个主控带来的不足之处能够进行安全可靠的动态更新对那些没有配置为域控制器的DNS服务器执行标准区域传送2022/10/52-6安装和配置DNS以支持活动目录DNS的执行必须支持SRV记录配置正向和反向区域活动目录的DNS需求没有DNS无法安装活动目录SRV服务记录DNS动态更新协议增量区域传送增量复制IXFR,全量复制AXFR2000的DNS服务器,以上三点全支持NT4+SP42022/10/5安装和配置DNS分配静态IP地址配置DNS的主后缀安装DNS服务器服务创建正向区域与活动目录域同名,并动态更新创建反向区域(可选)验证DNS服务是有效的Nsl

22、ookup type=ns DNS域名2022/10/5在安装AD的过程中安装DNS在提示时安装安装DNS服务创建正向区域配置为AD集成区域使之动态更新注意:不会创建反向区域2022/10/5 2-7 实验A:安装和配置DNS来支持活动目录Ipconfig /registerdns 将自己的A记录、PTR记录立即注册到DNS服务器2022/10/5创建Windows 2000域32022/10/53-1概述Windows 2000的域控制器DC:2000S、AS、DS安装活动目录Dcpromo.exeAD安装进程检查AD默认结构执行后活动目录的安装任务2022/10/53-2介绍如何创建Win

23、dows 2000域域是2000网络中的核心管理单元用来限定信息和资源的组织管理方式新目录林中的第一个域为林根域(林根)利用AD安装向导,可以创建域和DC新目录林、第一个DC、附加DC子域、新目录树2022/10/53-3安装活动目录运行dcpromo.exe准备工作、指定信息可利用自动应答文件来安装AD2022/10/5计算机上运行的是Windows2000 S、AS、DSAD数据库至少需要200 MBAD数据库的事务日志文件,另需50 MB若为GC,还需一定的空间系统卷(SYSVOL)文件夹,必须NTFS 安装TCP/IP并且配置了DNS如果是在现存的2000网络上创建域,那么还需要创建域

24、所需的管理特权活动目录安装准备TCP/IPNTFS2022/10/5创建第一个域(多媒体演示)启动AD安装向导:dcpromo.exe选择域控制器和域类型指定所需信息域、DNS和NetBIOS名AD数据库、日志文件和共用系统卷SYSVOL的位置选择权限:以前兼容/2000指定“目录服务恢复模式”管理员密码 AD不启动,由NT的一个小SAM库来验证AD安装向导将:安装活动目录AD把计算机转换为域控制器DC2022/10/5添加附加域控制器为了容错,一个域中至少两个DC在域中,一个以上的DC也可用来分布负载登录请求、GC查询、其它服务 运行Dcpromo.exe加一个DC到已存在的域AD安装向导将

25、:转换计算机为域控制器DC复制活动目录AD从一个已存在的DC 至少有一个DC联机2022/10/52022/10/52022/10/52022/10/5使用无人值守安装脚本来安装活动目录DCInstallRebootOnSuccess=YesDatabasePath=C:WinntntdsLogPath=C:WinntntdsSYSVOLPath=C:WinntSysvolSiteName=Default-First-Site-NameReplicaOrNewDomain=DomainTreeOrChild=TreeCreateOrJoin=Create2022/10/5DomainNetbi

26、osName=gpmcseNewDomainDNSName=DNSOnNetwork=NoNo表示不利用已有的,为新域创建新的DNSAutoConfigDNS=Yes运行:dcpromo.exe /answer:应答文件2022/10/53-4 实验A:创建Windows 2000域实际操作:,dns指向自己2022/10/53-5活动目录安装进程配置参数用户界面验证管理员、2000S/AS/DS等命名验证AD站点和服务sitesdefault first site nameserverss58不可重名,否则s58将被删除TCP/IP配置验证必须有效IP(静态/动态)2022/10/5DNS:

27、必须动态更新的DNS否则将安装一个DNS和NetBIOS域名字的生效必须唯一NetBIOS名字,有效15位用户身份验证新林,不需要加入,需林管理员文件位置的验证SYSVOL需NTFS有足够的空间2022/10/5站点配置确定新DC加入哪个站点若有子网,加入到该子网关联的站点若无子网,则加入default first site name并在合适的位置,创建服务器对象目录服务配置对各种类型的安装都相同的活动的目录操作创建要求的注册选项设置AD的执行计数器配置服务器,使它向“第一资格授权”自动申请X.509域控制器资格对基于SMTP的复制是必须的2022/10/5启动Kerero V5鉴定服务安装A

28、D管理工具的快捷方式目录分区配置架构目录分区林中所有DC配置目录分区林中所有DC域目录分区域中所有DC2022/10/5服务和安全配置设置自动启动服务RPC Locator服务Net Logon服务KDC服务Intersite MessagingDistributed Link Tracking ServerWindows Time设置安全目录服务和SYSVOL在AD的文件和对象上配置默认DACLs使用安全模板配置默认的域组策略Winntinfdcfirst.inf,defltdc.inf,dcup.inf2022/10/5附加活动目录安装操作设置计算机DNS根域名字,作为新域的名字确定服务器

29、是不是域的成员在新域的“DC”这个OU中,创建计算机帐号用户提供的密码,作为管理员的密码在配置容器中创建交互参考对象LDAP利用该对象来确定其它域中资源的位置加入域安全策略,域控制器安全策略的快捷方式创建SYSVOL文件夹组策略信息、网络登录文件2022/10/5在创建目录林根域时创建架构和配置容器指定PDC仿真、RID、域命名、架构、基础结构主控2022/10/53-6 检查活动目录默认结构组策略可用于OU,但不能用于容器查看高级功能2022/10/5检查活动目录默认结构Active Directory Users and ComputersConsole Window HelpActive

30、 ViewActive Directory Users and Co.contoso.msft 8 objectsNameBuiltinComputersDomain ControllersForeignSecurityPrincipalsLostAndFoundSystemUsersBuiltinComputersDomain ControllersForeignSecurityPrincipalsLostAndFoundSystemUsersInfrastructurecontoso.msftTree默认的 Windows 2000安全组默认的计算机帐号存储位置默认的DC的计算机帐号存储位

31、置外部安全原则:保存外部有信任关系的域的SID保存独立的对象保存一些内置的系统设置用户帐号和组帐号的默认位置2022/10/5验证 SRV记录,DNS验证系统卷 SYSVOL,WINNTSYSVOL验证目录数据库和日志文件,WINNTNTDS通过检查事件日志验证安装结果SYSVOLDNSDatabase and Log Files验证活动目录安装3-7执行后活动目录安装任务2022/10/5验证活动目录安装验证SRV资源记录DNS管理器NslookupLs -t srv 域名验证SYSVOLDomain、staging、staging areas、sysvol共享:netlogonsysvol

32、domainscripts sysvolsysvol 验证目录数据库和日志文件Ntds.dit,edb.*,res*.log2022/10/5实现AD集成区域DNS可利用AD存储和复制区域数据库DNS服务器contoso.msft区域数据库AD集成区域在DNS中使用AD集成区域实现正向区域实现反向区域2022/10/5确保AD集成区域:安全更新只有AD集成区域才可配置:仅安全更新在DNS的AD集成区域使用:安全更新这样你可以控制区域和资源记录的访问DNS服务器contoso.msftAD集成区域区域数据库安全更新客户2022/10/5转换域模式本机模式域控制器DC (Windows 2000

33、only)混合模式域控制器DC(Windows 2000)和域控制器DC (Windows NT 4.0)AD安装后,运行在混合模式下,提供对已存在的NT域的支持 但组嵌套和安全通用组必需域在本机模式下2022/10/5混合模式本机模式单向不可逆操作管理工具AD用户和计算机/AD域和信任域属性常规改变模式2022/10/5设计组织单元OU结构UsersSalesComputers如果你想要设计OU结构增强管理控制 对网络资源委派管理控制 组织相似的网络资源到OU 简单对象管理和控制网络资源的访问 使资源管理更有效控制组策略的应用使用“AD用户和计算机”在域/OU中建立一个OU权限要求父:读,列

34、表,创建子,列组件2022/10/53-8实验B:执行后活动目录安装任务 2022/10/53-9解决AD安装过程中出现的问题在创建或添加DC的时候,访问被拒绝,(新:本管,加:域管) Err orDNS或NetBIOS域名称不统一 Err or不能与域取得联系Err or磁盘空间不足 Err or2022/10/53-10 删除活动目录域控制器DC (Windows 2000)提供管理证书Enterprise Admins组成员Domain Admins组成员删除活动目录AD删除活动目录通过:Remove Active Directory by:AD安装向导 提供适当的管理证书 AD安装向导

35、,执行特定的删除操作依赖于DC的类型2022/10/5设置和管理用户和组42022/10/54-1概述活动目录一种目录服务保存和维护网络资源所需的数据用户帐号:登录域/本地机组帐号:用户帐号的集合组类型:安全组、分发组组作用范围:全局组、域本地组、通用组2022/10/54-2介绍用户帐号和组为每个人创建一个唯一登录的用户帐号 利用批处理成批创建用户帐号利用组来方便地管理用户对共享资源的访问 将组加入组来减少管理工作量用户共享资源Permissions组2022/10/54-3用户登录名每个用户帐号用户主要名UPN前缀后缀2000以前版本的用户登录名2022/10/5User Principa

36、l Name用户主要名称UPN后缀默认为根域/当前域林管理员可改变只能在2000域中使用不需要是有效的DNS域利于域间移动;同EMAIL地址格式用户登录名(2000以前版本)登录时,用户需选择域介绍用户登录名后缀前缀suzanfcontoso.msft+用户名域contoso/suzanf2022/10/5用户登录名唯一性原则全名(显示名称)在容器内必须唯一zhangdonghui用户主名在林中必须唯一zhangdh用户登录名在域中必须唯一zhangdh2022/10/5创建用户主名UPN后缀(林管理员)AD域和信任关系Action ViewTreeNameTypeActive Directo

37、ry 域和信任关系 contoso.msftnwtraders.msftdomain.DNSdomain.DNScontoso.msftnwtraders.msftOpens property sheet for the current selection.Connect to Domain ControllerOperations MasterViewRefreshExport ListHelp属性Active Directory Domains and Trusts PropertiesUPN 后缀The names of the current domain and the root d

38、omain are the default user principal name (UPN) suffixes. Adding alternative domain names provides additional logon security and simplifies user logon names.If you want alternative UPN suffixes to appear during user creation, add them to the following list.其它UPN后缀:contoso.msftAddRemoveOKCancelApply添

39、加新的后缀2022/10/5创建用户主名后缀的目的:附加的登录安全性必须在用户帐号中选用备用的UPN后缀才行登录到林中另一个域简化管理G常改为根域,如2022/10/54-4创建多用户帐号成批导入/导出程序使用CSVDE创建多用户帐号逗号分隔符目录交换使用LDIFDE创建多用户帐号轻型目录访问协议互换格式目录交换2022/10/5成批导入程序用于导入的文本文件必须包含用户帐号的OU,对象的类型以及用户登录名的路径用户主名,启用/禁用不指定:禁用可包含个人信息不可包含密码2022/10/5使用CSVDE创建多用户帐号只能用来添加对象,不能用于删除/修改可使用Excel、Word另存为.csv导入

40、/导出为导入准备一个CSVDEDn,objectclass,samaccountname,userprincipalname,displayname,useraccountcontrol“cn=suzan fine,ou=human resources,dc=asia,dc=contose,dc=msft”,user,suzanf,suzanfcontoso.msft,suzan fine,512512启用,514禁用见光盘上文件使用CSVDE命令Csvde i-f 文件名2022/10/5使用LDIFDE创建多用户帐号可用于添加/删除/修改对象为导入准备一LDIF文件Dn:cn=suzan

41、fine,ou=human resources,dc=asia,dc=contose,dc=msftObjectclass:userSamaccountname:suzanfUserprincipalname: suzanfcontoso.msftDisplayname:suzan fineuseraccountcontrol:512使用LDIFDE命令ldifde i-f 文件名2022/10/5用户帐号的日常管理及维护执行公共管理任务重设密码、解除锁定、重命名、禁用/启用、删除、域内不同OU间移动查询用户帐号4-5管理用户帐号2022/10/5执行公共管理任务Active Director

42、y Users and ComputersActive Directory Users and ComputersConsole Window HelpAction ViewTreeAccounting 4 objectsNameTypecontoso.msftAccountingBuiltinComputersDomain ControllersUsersAnne PaperUserCreates a new user, copying information from the selected user.HelpCopyAdd members to a group禁用帐户重设密码移动Ope

43、n home pageSend mailAll Tasks删除重命名Refresh属性Account is locked out帐号被锁定2022/10/5同理,可查询其它对象如:计算机、打印机、共享夹等操作AD用户和计算机域查找网上邻居目录域查找属性少,只三个常规、地址、公司查询用户帐号2022/10/5查找用户帐号Find Users, Contacts, and GroupsFile Edit View HelpFind:Entire DirectoryUsers, Contacts, and GroupsIn:Find NowStopClear AllBrowse.AddRemoveN

44、ameDescriptionTypeJoe PakDon HallAnne PaperUserUserUserEntire DirectorycontosoAccountingFieldUsers, Contacts, and GroupsAdvanced31 item(s) found选择搜索的属性指定属性的值设置条件在结果框中管理用户帐号搜索整个目录/域/OU2022/10/54-6实验A:设置和管理用户帐号2022/10/5两种组类型安全组(有SID)用于与安全性有关的功能,如资源权限也可用于向多用户发送e-mail信息(此时功能与分发组相同)分发组(无SID)与安全性无关,不能为其授权

45、仍是必要的,某些应用程序只能够读分发组如MS Exchange Server 2000(针对AD设计)注意:应用程序必须支持AD,才可使用分发组驻留在AD中4-7在活动目录中使用组2022/10/5介绍活动目录中的组组可以加入别的组当中(组嵌套)用户可以是多个组的成员组组组可使指派资源权限简单化组组组组组组2022/10/5范围:域本地、全局、通用以前我们讨论过用户帐号的使用范围:本地帐号本地机资源域帐号域内资源接下来讨论:各种组什么范围内的资源在混合域模式下,同样组之间不能嵌套组最多5000个成员2022/10/5使用全局组全局组规则可加入组成员作用范围权限范围混合模式: 同一个域的用户帐号

46、本机模式: 同一个域的用户帐号和全局组混合模式: 域本地组本机模式: 任何域的通用组和域本地组,同域全局组访问本域和所有信任域目录林中所有的域 本机模式:加入加入全 局 组2022/10/5使用域本地组混合模式域本地组规则可加入成员作用范围权限范围混合模式: 任何域的用户和全局组 本机模式: 林中任何域的用户、全局组、通用组,同域的域本地组 混合模式: 不能加入任何组本机模式: 同一域的域本地组只能访问自己的域域本地组所在的域加入加入全局组域域本地组域本地组2022/10/5使用通用组(集全局组和域本地组的所有优点)可加入通用组规则成员混合模式: 安全通用组不可使用本机模式: 目录林中的任何域

47、的用户、全局组、其它通用组混合模式: 不可使用本机模式: 任何域的本地组和通用组作用范围访问目录林中所有域权限范围目录林中所有的域从多层域加入全局组通用组2022/10/5增:组在GC中的表现GC中全局组、本地组的名称,无其成员的内容通用组,含其成员的内容通用组的成员变化会引起GC变化,进行林内复制,增加流量解决:少做成员改变,成员尽量为组2022/10/5增:在本机模式下:组的类型、作用范围可改变全局通用(桥梁)域本地组原则仍是:AGDLPAGDLP原则DL可能是其它域的若直接给每个用户赋权每次都要麻烦对方域的管理员删除组,并不会删除其下的用户但注意:不可恢复(用户帐号也是一样)2022/1

48、0/54-8在域中使用组的策略本章在讨论在单域中使用组第十章在讨论在多域中使用组(通用组)范围:域本地、全局、通用2022/10/5使用全局组和域本地组(本机模式)用户帐号全局组全局组域本地组权限AGDLPGDLG加域用户帐号到全局组(对于多层次部门可选) 加全局组到另一个全局组加全局组到域本地组对域本地组指派资源的权限2022/10/54-9 实验B:在单域中建立和管理组2022/10/54-10解决域用户帐号和组的问题不能建立用户帐号和组,可能违反了唯一性规则Err or不能更新用户帐号的属性,权限不够Err or用户不能访问资源,一票否决(考题)Err or2022/10/5在活动目录上

49、发布资源52022/10/55-1概述如何在活动目录上发布资源打印机、共享夹网络管理应保障发布资源具有安全性和选择性便于用户在网络上寻找信息2022/10/55-2发布资源介绍发布资源: 在活动目录中建立对象:包含所需信息对所需信息提供参考有一些资源已经在活动目录中,如:用户帐户发布的资源应相对静态,很少改变使管理员和用户能够定位资源,即使资源的物理位置发生了改变 已被发布资源服务器1资源 活动目录发布到活动目录2022/10/55-3设置和管理发布打印机按照预设:所有2000上的打印机都自动发布到AD上组策略中可改组计管打印机非2000上的打印机AD用户和计算机Pubprn.vbs脚本202

50、2/10/5打印机发布介绍发布打印机的预设特性:任何运行在2000的打印服务器上的共享打印机将被自动发布到活动目录 如果打印服务器从网络上删除,打印机也将自动从活动目录中删除 每个打印服务器负责发布在活动目录中的各自打印机Windows2000自动在活动目录中更新打印机对象的属性被发布的打印机2022/10/5管理打印机发布浏览打印机对象在“AD用户和计算机”查看用户、组和计算机作为容器此时可看到相应计算机下的共享打印机控制打印机发布在“打印机”属性 列在目录中默认:自动选中默认域策略计算机配置管理模板打印机,设置“自动在AD上公布新的打印机”2022/10/5管理孤立打印机AD利用孤立切断器

51、删除孤立打印机对象如打印服务器关闭时的打印机对象孤立切断器将不断地从不存在的打印机中删除对象检查3次,每次间隔8小时仍未找到,则删除2022/10/5发布不是运行2000计算机的打印机发布不是运行2000计算机下的打印机1.安装并共享打印机2.在活动目录中发布打印机用下列方法之一,发布不是运行2000计算机下的打印机AD用户和计算机,相应OU,新建打印机,UNC路径Pubprn.vbs脚本文件Cscript c:winntsystem32pubprn.vbs 参数已被发布打印机安装并共享活动目录发布到活动目录打印机2022/10/5发布所有安装在contoso.msft域中Sales OU上的

52、打印机Pubprn.vbs server “LDAP:/OU=Sales,dc=contoso,dc=msft”发布contoso.msft域中Accounting OU上的名为Printer打印机Pubprn.vbs serverprinter LDAP:/OU=Accounting,dc=contoso,dc=msft 以上两例上server为服务器名2022/10/5管理发布打印机 将安装在多个计算机上的相关打印机移到一个OU中 移动的打印机,依然由原打印管理器管理在发布的打印机上执行其它的管理任务Active Directory Users and ComputersConsole W

53、indow HelpActive ViewActive Directory Users and DENVER2154 1 objectsNameTypeTreeDenverDOM2154.msftAccountingBuiltinComputersDomain ControllersDENVER2154UsersMoves the current selection to anotherPrinterDENVER2154 Apple Printer移动连接打开All TasksDeleteRenameRefreshHelp属性在计算机上安装打印机改变打印队列属性在域内移动打印机打开并管理打印机

54、队列2022/10/5新增:实现打印机位置步骤为组织建立命名约定 如:gp/mcse位置名称格式如下:name/name/name/name/.(斜杠 / 必须是除号。) 如:china/hlj/dq/gp/building1/floor3/room301名称可以由除斜杠 / 之外的任意字符组成。 名称的等级数限制为 256。 name 的最大长度是 32 个字符。整个位置名称的最大长度是 260 个字符。 2022/10/5新增:实现打印机位置步骤在目录服务中创建子网对象设置站点和子网的位置属性启用位置跟踪(组计管打印机)预设打印机位置搜索文本设置每台打印机的位置测试设置。2022/10/5

55、5-4实现打印机位置以子网为单位,实现打印机的定位建立子网对象AD站点和服务设置“位置”属性详见帮助:“启用打印机位置跟踪”2000网络上,允许用户定位打印机,并连接到物理位置较近的打印设备上需要的时候,也可连接与他们工作位置不同的打印机上2022/10/5什么是打印机位置?当用户搜索打印机时:SubnetLocationObjectSecurityLocation:USA/Seattle/Building 1Browse/20 Properties11. AD寻找与用户计算机所在位置的IP子网相一致的子网对象PRIV0118 PropertiesDevice SettingsPrinter

56、CommandsFont SelectionGeneralSharingPortsAdvancedSecurityPRIV0118USA/Seattle/Building 1/Near 1134Location:2. AD利用子网对象位置属性中的值搜索具有同样值的打印机23. AD显示一系列位置值与子网对象位置值相匹配的计算机NameLocationModelPRIV0080PRIV0039PRIV0118CORP0071CORP0032CORP0099CORP0026CORP0051USA/Seattle/Building 1/Near 1119 USA/Seattle/Building 1

57、/Near 2005USA/Seattle/Building 1/Near 1134USA/Seattle/Building 1/Near COPY ROOMUSA/Seattle/Building 1/Near 1280USA/Seattle/Building 1/Near 1218USA/Seattle/Building 1/Near 1218USA/Seattle/Building 1/Near 1182HP ColorHP LaserHP Laser HP Laser HP LaserHP ColorHP LaserHP Laser32022/10/5打印机位置要求带有两个或两个以上I

58、P子网的活动目录网络否则都处于同一物理位置,没有差别与网络物理拓扑相一致的IP寻址方案同一子网,物理位置也较近每个站点的子网对象代表活动目录中IP子网 包含活动目录用来搜索具有相同物理位置的打印机的位置属性可以搜索活动目录的客户计算机2022/10/5定义位置名称每一个位置名称与具体的IP子网相一致必须利用同一个命名规则为子网对象和打印机确定位置属性的值可为打印机添加更多层的节点,以便更具体地确定打印机的物理位置USA/Seattle/Building1/floor3/office3334,最大长度:名32,级256,总:260USADenverSeattleBuilding 1192.168

59、.30.*Building 2192.168.32.*USA/Seattle/Building 1USA/Seattle/Building 2Floor 2192.168.10.*Floor 3192.168.11.*USA/Denver/Floor 2USA/Denver/Floor 3Entire DirectoryUSABuilding 1DenverBuilding 2Seattle2022/10/5配置打印机位置任务利用组策略进行位置跟踪组策略计算机配置管理模板打印机在活动目录中建立子网对象AD站点和服务站点子网如:/24设置子网对象的位置属性子网属性位置设置打印机的位置属性打印机属

60、性位置2022/10/55-5设置和管理发布的共享文件夹发布共享文件夹AD用户和计算机相应OU新建共享夹输入UNC路径为发布的共享文件夹配置搜索选项共享文件夹属性描述、关键字(可多个)移动发布的共享文件夹同移动其它对象共享文件夹的物理位置并不改变2022/10/5设置和管理发布的共享文件夹被发布的共享文件夹服务器1活动目录发布到活动目录共享文件夹发布共享文件夹:1.将文件夹共享在活动目录中发布共享文件夹AD用户和计算机相应位置新建共享文件夹添加共享夹对象的描述和关键词,以便于用户搜索当需要时,移动发布的共享夹对象到其它容器或OU中2022/10/55-6发布对象与共享资源的比较Accounti

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论