3讲 Windows Server 2003域及其帐户管理

第3讲WindowsServer2003域及其账户管理局域网中两种常见的组织方式一、工作组模式在工作组模式的网络中，各计算机是独立的，各计算机中的账户和资源也是各自进行管理的。如果一个人想要访问不同的计算机，就需要在每台计算机中建立账户。访问时，也需要分别登录。ABCABCABC二、域模式在域模式的网络中，可以把各计算机组织起来，各计算机中的账户和资源也可以组织起来进行集中管理。当一个域用户要访问域中不同的计算机，他只需登录一次就可以访问域中的各台计算机中的共享资源。ABC域控制器域网络的结构一、域控制器在域结构的网络中，需要一个对账户和资源进行统一管理的机制，这个机制就是活动目录（ActiveDirectory）。域中所有的账户和共享资源都需要在活动目录中进行登记。用户可以利用活动目录查找和使用这些资源。安装有活动目录的计算机称为域控制器。二、域名每个域都有一个域名，用于标识一个域。域名通常采用层次结构命名。如：jsj.local三、成员计算机域建立后，只有那些加入到域中的计算机才能用来访问域中的资源，这些计算机是成员计算机。成员计算机的计算机全名：计算机名.域名如：一台计算机名字为A，当它加入jsj.local域后，它的全名变为A.jsj.local。四、DNS服务器在网络中访问计算机时使用的地址是IP地址。当我们用计算机名访问成员计算机时，需要先通过DNS服务器把计算机名转换为IP地址再访问。A.jsj.local192.168.0.10B.jsj.local192.168.0.11A192.168.0.10DNS服务器人员B在网上邻居中找到了域中的计算机A，双击计算机A的图标提出访问请求。DNS服务器将计算机A的名字解析为IP地址，并将IP地址回送给人员B。人员B利用IP地址访问计算机A。五、域的其它组成部分DHCP服务器：用于为域中的各成员计算机分配IP地址等配置信息。如果域中的计算机都采用手工配置IP地址，则可以不需要DHCP服务器。域用户帐户：用于域使用者的身份验证，只有拥有了域用户帐户的人员才能登录到域。域共享资源：可被域用户共享的资源。单域网络的构建第一步：安装域控制器一个域可以有一个或多个域控制器，各域控制器是平等的，管理员可以在任一台域控制器上更新域中的信息，更新的信息会自动传递到网络中的其它域控制器中。设置多个域控制器可以提高域的安全性。域控制器、DNS服务器、DHCP服务器可以安装在不同计算机中，不过，在多数情况下，它们都安装在同一台计算机中。安装域控制器就是安装ActiveDirectory的过程。安装了ActiveDirectory的计算机就成为域控制器。安装过程：准备工作：选择一台准备作为域控制器的计算机。它必须有一个NTFS分区。如果它已经存在DNS服务器或DHCP服务器，应该将它们卸载。检查该机IP设置：如果将来DNS和DHCP服务器都要装在该计算机中，应该设置一个固定的IP地址，DNS服务器地址也应该设置为本机IP地址。单击“开始|管理工具|配置您的服务器向导”。在服务器角色中选择“域控制器”，单击“下一步”，启动ActiveDirectory安装向导。选择“域控制器类型”：若选择“新域的域控制器”则表示创建一个新域；若选择“现有域的额外域控制器”则表示在现有域中增加域控制器。选择“域的类型”：若选择“在新林中的域”表示建立一个独立的域。指定域名：输入新域的域名。域名必须符合DNS域名规则，输入后，系统会花一些时间在网络中检查该域名。由于域名建立后很难更改，所以最好一次确定域名，避免更改。指定NetBIOS名：默认为DNS域名的前半段，一般不需修改。设置数据库和日志文件文件夹位置：如果条件许可，这两个文件夹最好放在两块不同的硬盘中。设置“共享的系统卷”的位置：这个文件夹必须设置在NTFS分区内。选择或安装DNS服务器：可以在本机上安装DNS服务器，也可以选择自己安装DNS服务器。权限设置：如果网络中有旧版本的域控制器，要选择与其对应的兼容性权限。设置还原模式下的管理员密码：还原模式是域控制器的安全模式，可用于修复活动目录数据库。参数设置完成，单击“下一步”开始安装活动目录，这期间需要插入WindowsServer2003安装盘。安装时间需要几分钟。安装完成后，要求重新启动计算机。重启之后，域控制器安装完成。安装了第一个域控制器后意味着域已经建立。其后还需进行以下工作：安装额外的域控制器：可根据需要安装。将计算机加入域：这些计算机成为该域的成员计算机。创建域用户帐户，并把它们分配给特定人员：这些人成为域用户。向域中添加共享资源：这些资源可以供域用户共享。删除域控制器如果域中有多个域控制器，删除了一个域控制器，该计算机就降格为成员计算机。如果删除了域中所有域控制器，则该域也被删除。删除方法：与安装方法一样。单击“开始|管理工具|配置您的服务器向导”。在服务器角色中选择“域控制器”，单击“下一步”，启动ActiveDirectory安装向导。按照提示完成操作就删除了域控制器。多域网络如果一个单位有多个部门，可以在每个部门建立一个域。多域网络通常有3种结构：1、彼此独立的域域A域B2、域树结构根域A子域B子域C子域D3、域林结构根域A子域C子域E子域D根域B域信任关系彼此独立的域之间没有信任关系。这种域之间不能互访对方的共享资源。建立了信任关系的域，经过一定的授权后，用户可以在一个域中访问另一个域中的共享资源。信任关系有方向性和传递性。域A域B域C假设域A和域B建立了双向可传递的信任关系，域B和域C建立了双向可传递的信任关系，则域A和域C自动成为双向信任的。信任类型1、父子：双向、可传递用于构建域树结构，父域与子域之间为父子信任关系。2、树根：双向、可传递用于构建域林结构，域林中根域之间为树根信任关系。根域A子域C子域E子域D根域B父子父子父子树根多域网络的构建一、构建多个彼此独立的域在各个域中分别安装域控制器，在安装每个域的第一台域控制器时应选择：域控制器类型域类型新域的域控制器在新林中的域各域的域名可以分别设置，不需要关联。二、构建域树在各个域中分别安装域控制器，但应该先建立父域，再建立子域，在安装子域中第一台域控制器时应选择：域控制器类型域类型新域的域控制器在现有域树中的子域域树中子域的域名必须与父域的域名相关联。根域A子域B子域Dlinite.localsales.linite.localgroup.sales.linite.local三、构建域林在各个域中分别安装域控制器，在建立新域树的第一台域控制器时应选择：域控制器类型域类型新域的域控制器在现有的林中的域树域林中各根域的域名之间不需要相关联。根域A子域B根域Elinite.localsales.linite.localcome.cc说明：域间的信任关系一般是在建立域时创建。如果想要建立一些特殊的信任关系，可以先建立彼此独立的域，然后在域控制器上使用“新建信任向导”设置域间的信任类型。域帐户管理域账户管理类似于本地账户管理，它有以下特点：1、在域控制器上没有本地用户帐户，其原有的本地用户帐户自动转变为域用户帐户；2、域账户在域控制器上创建和管理；3、拥有域用户账户的人登录域时，由域控制器对其进行身份验证。域账户包括域用户账户、域组账户、域计算机账户。域用户账户分配给使用域的人员，用它可登录到域中；域组账户用于将域用户账户和计算机账户分组，为组指派权限和权利，可简化管理。计算机账户是加入到域中的计算机，每台加入域的服务器和客户机都拥有一个计算机账户，用它可控制域中包含哪些计算机。内置的域用户帐户：Administrator(管理员)：该帐户具有对域的完全控制权。它同时是Administrators、DomainAdmins等多个内置组的成员。Guest(来宾)：该帐户只有极有限的权利。默认是禁用的。它是Guests组和DomainGuests组的成员。内置用户账户可以重命名或禁用，但不能删除。一、计算机账户创建计算机账户的过程就是将一台计算机加入到域中的过程。只有域管理员组的成员有权将一台计算机加入域中。准备工作：在准备加入域的计算机上，把它的DNS服务器地址设置为该域使用的DNS服务器地址。把计算机加入域：方法一：在欲加入域的计算机上打开“我的电脑”属性，在“计算机名”选项卡中用“更改”按钮把该计算机加入域。注意：加入时会要求输入用户名和密码，这里必须输入管理员的用户名和密码。方法二：以管理员身份登录域控制器，打开“开始|管理工具|ActiveDirectory用户和计算机”，在目录树上单击右键，选择“新建|计算机”，输入欲加入域的计算机名或IP地址，就可以把指定计算机加入域中。注：通常我们把计算机账户存放在活动目录的Computers容器中。二、域用户帐户域用户帐户在域控制器的活动目录中创建和管理。在系统内部，域用户账户用SID区分。一个域用户账户的权利和权限通常取决于它所在的组。一个域用户账户可同时属于多个组，其权限为各组权限的叠加。域用户帐户只存在于域控制器中，各成员计算机中只有其本地用户帐户。创建域用户帐户打开“开始|管理工具|ActiveDirectory用户和计算机”；在目录树上单击右键，选择“新建|用户”，输入姓、名、密码、密码选项等参数，就创建了一个新的域用户账户。域用户帐户的组织如果帐户数量较少，通常将域用户帐户放置在Users容器中。如果帐户数量很多，通常可创建一些组织单位(OU)，将帐户分门别类地放在各OU中。OU相当于活动目录中的文件夹，它可以创建多层。域用户帐户的使用在一台域成员计算机上登录，在登录界面上输入帐户名和密码，并选择要登录的域。域用户帐户属性的设置在活动目录中，双击用户名或单击右键选择“属性”。常规选项卡设置该帐户的详细说明信息。账户选项卡修改帐户的登录名、登录选项、密码选项、帐户期限等。登录时间限制默认为不限制，本例设置为只允许星期一至星期五的7:00~19:00登录。登录机器限制默认允许登录到域中所有计算机。可以设置为只允许登录到指定的若干计算机。隶属于选项卡新建用户默认加入DomainUsers组。在此处可变更用户所在的组，从而使用户获得相应的权利。配置文件选项卡默认用户使用本地配置文件，无登录脚本和主文件夹。管理员可以为用户建立漫游配置文件、登录脚本或主文件夹。本地用户配置文件和漫游用户配置文件默认情况下，用户配置文件位于用户登录时使用的计算机上。所以，当一个用户使用不同的计算机上登录过后，在每台计算机上都会产生各自的配置文件。如果使用漫游配置文件，则配置文件可存放在一台指定的计算机中，不论用户在哪台计算机上登录，使用的都是同一个配置文件，这样就可做到让配置文件跟着用户走的效果。注：只有在域环境才能设置和使用漫游用户配置文件。漫游用户配置文件的设置方法1、对存放配置文件的计算机进行设置选择域中的一台计算机（可以是域控制器，也可以是成员计算机），在其上创建一个文件夹，将该文件夹设置为共享，共享权限为“Everyone完全控制”，NTFS权限也为“Everyone完全控制”。2、在域控制器上配置漫游用户配置文件路径在用户的配置文件选项卡中，指定配置文件的路径名，其格式为：\\计算机名\文件夹名\%Username%漫游原理当用户第一次登录域时，域控制器会根据设置的路径在指定的计算机中为该用户创建配置文件。以后不论用户在哪台计算机上登录域，域控制器都会将该配置文件下载到用户所在的计算机中。如果用户修改了配置文件内容，当用户注销时，他的配置文件会被上传到指定的计算机中。几点说明Everyone：这是一个特殊身份组，表示所有人。特殊身份组的成员是根据条件生成的，不能人为设置。共享权限和NTFS权限：用来限制用户对文件夹的访问权限。网络用户访问共享文件夹时的权限同时受共享权限和NTFS权限的限制。三、域组账户组帐户用于组织用户账户。每个组帐户可以赋予一定的权力和权限。当需要给一个用户账户某种权利或权限时，只要把它加入相应的组即可。一个用户账户可同时隶属于多个组，它的权利和权限是各个组权限的叠加。在域中允许组的嵌套，即一个组的成员可以是用户账户，也可以是另一个组。（本地账户的组不能嵌套）系统内置组在创建域时系统会自动创建一些内置组。这些组位于活动目录中的Builtin容器和Users容器中。常用的内置组有：DomainAdmins：域管理员组。该组成员具有对本域的完全控制权。默认成员有Administrator账户。EnterpriseAdmins：企业管理员组。仅出现在林根域中。该组成员具有对林中所有域的完全控制权。默认成员有Administrator账户。Administrasors：管理员组。该组成员具有对域中所有域控制器的完全控制权。默认成员有DomainAdmins组、EnterpriseAdmins组、Administrator账户。DomainUsers：域用户组。默认情况下域中创建的所有用户账户都会自动成为该组的成员。DomainComputers：域计算机组。默认情况下域中所有计算机账户都会自动成为该组的成员。DomainControllers：域控制器组。该组包含了此域中的所有域控制器。DomainGuests：域来宾组。该组包含了所有域来宾。Users：用户组。该组成员可执行大部分常见任务，如运行应用程序、使用打印机等。默认成员有DomainUsers等，因此域中所有用户账户都会自动成为该组的成员。新建组账户在活动目录上单击右键，选择“新建|组”；在弹出的对话框中设置组名、组类型、组作用域等参数，就建立了一个组帐户；双击组帐户，弹出该组帐户的“属性”对话框，可以变更组帐户的参数、向组中添加或删除成员等。组作用域全局组：成员只来自本地域；成员可以访问任何域内资源。本地域组：成员可来自任何域，成员可访问本地域内的资源。通用组：成员可以来自任何域；成员可以访问任何域内资源。对于单域网络，通常只定义全局组和本地域组。对于有信任关系的多域网络，应根据情况授权某些用户的跨域访问权限。组类型通信组：用于创建电子邮件通信组列表。一般在部署了电子邮件服务的网络定义这种组。安全组：用于给共享资源指派权限。多数情况下，我们定义的组都是安全组。组规划策略以单域网络为例，一般按以下顺序规划组：1、对本域中的成员，按照其职责划分全局组；2、对本域中的资源，按资源种类划分本地域组；3、以本地域组为单位，为资源设置访问权限；4、把全局组加入到相应的本地域组中，使它获得相应的权限。例：你是某公司的网络管理员，你管理的域情况如下：域用户：经理1人财务人员2人销售人员5人共享资源：考勤表，完全访问经理考勤表，只读销售人员和财务人员财务报表，完全访问财务人员打印机经理和财务人员组规划：组组作用域成员经理全局组zhao财务全局组qian、sun销售全局组li、zhou、wu、zheng、wang考勤1本地域组经理考勤2本地域组财务、销售财务表本地域组财务打印本地域组经理、财务权限设置权限尽量以组为单位进行设置，这样可简化权限授予过程。权限设置方法：在文件夹或打印机上单击右键，选择“属性”。在“安全”选项卡中可设置NTFS访问权限；在“共享”选项卡中可设置共享访问权限。说明：对共享的资源网络访问权限需在“共享”和“安全”选项卡中作同样的设置才会有效。共享资源的发布域中的共享资源包括共享文件夹、共享打印机等，它们可以位于域中任意一台成员计算机中。创建共享资源账户的过程就是把共享资源发布到域中的过程。只有域管理员组的成员才能执行发布共享资源的操作。准备工作：在准备加入域的文件夹或打印机设置为“共享”。把共享资源加入域：以管理员身份登录域控制器，打开“开始|管理工具|ActiveDirectory用户和计算机”，在目录树上单击右键，选择“新建|文件夹”或“新建|打印机”，输入共享资源的路径，就可以把该资源加入域中。注：通常我们把共享资源账户也存放在活动目录的Computers容器中，如果资源数量较多，可以另建容器。网络路径(UNC地址)：访问网络中共享资源时使用的地址。\\计算机名\共享名或者\\IP地址\共享名创建完成后，可以打开共享文件夹的属性，在其中可以添加一些关键字，这样可方便客户用查找功能找到该资源。说明：当一个文件夹设置成共享后，如果没有把它加入域中，则该文件夹只能用工作组的方式访问。如果该文件夹发布到域中了，则该文件夹既可以用域的方式访问，也可以用工作组的方式访问。小结域控制器DNS域名：jsj.local域(Domain)是一系列计算机、用户和各种资源的集合。在域模式中，资源是集中进行管理的。用户只要登录一次，就可以访问位于不同计算机上的资源。每个域中至少有一台域控制器，用于对域中的资源进行登记并管理。练习题1、简述一个域网络的构建过程。第一步：安装一台域控制器(同时安装DNS服务器)，这样域就创建了。第二步：为域用户创建域用户帐户。只有拥有域用户帐户的人才能登录到域。第三步：把计算机加入域中。只有通过这些计算机才能登录到域中。第四步：将计算机中的共享资源加入到域中。2、构建多域网络时，常用的结构有哪两种？它们使用什么样的信任关系？常用的结构有域树结构和域林结构。域