AD发布对象委派控制信任关系

在活动目录发布对象MCSE2003活动目录管理第三章上节内容回顾掌握域用户帐户的创建和基本管理。掌握域组帐户的创建和基本管理。能够提升域功能级别了解组的使用规则，理解组的嵌套介绍发布资源发布打印机发布共享文件夹委派管理本章内容介绍发布资源发布资源:1、发布资源可以确定资源的位置，即使资源的物理位置发生变化。

2、将很少改动的信息出版到AD中

3、用户经常访问的信息应出版到AD中

4、打印机，共享文件夹应出版到AD中PublishedResourceServer1ResourceActiveDirectoryPublish

toActiveDirectory发布打印机打印机默认特性:任何在win2003共享的打印机都自动发布到活动目录打印服务器从网络中删除时，打印机自动从目录中删除配置和修改打印机属性时，在目录中自动更新每个打印服务器只负责发布自己打印机，没有集中式打印机发布服务PublishedPrinter在活动目录中看打印机对象控制打印机的出版在打印机的共享属性上清除“列入目录”；也可利用组策略（自动在AD上公布新的打印机)管理打印机发布用活动目录和计算机工具，以共享文件夹的形式发布使用System32文件夹中的Pubprn.vbs脚本，使更早版本操作系统的打印服务器来发布打印机Cscriptc:\winnt\system32\pubprn.vbsparametersPubprn.vbs\\servername\printerLDAP://OU=print,DC=yinhe,DC=COM必须是共享打印机，必须有目录服务管理权限才能发布打印机。必须具有想共享或发布的打印机的“管理打印机”权限。

ActiveDirectoryPublishedPrinterPrinter

PublishInstallandShare手工发布打印机管理发布的打印机

移动相关打印机到一个OU中执行其他管理任务ActiveDirectoryUsersandComputersConsoleWindowHelpActiveViewActiveDirectoryUsersandDENVER21541objectsNameTypeTreeDenverDOM2154.msftAccountingBuiltinComputersDomainControllersDENVER2154UsersMovesthecurrentselectiontoanotherPrinterDENVER2154ApplePrinter移动…连接打开所有任务剪切删除重命名帮助属性在PC上安装打印机改变打印队列属性在域中移动打印机打开并管理此打印队列发布共享文件夹PublishedSharedFolderServer1ActiveDirectoryPublish

toActiveDirectorySharedFolder发布共享的文件夹（缺省时未出版）可以发布任何利用UNC访问的共享文件夹为出版的共享文件夹设置搜索选项:在活动目录共享文件夹属性—>发布—>关键字可以移动发布的共享文件夹，而共享文件夹的物理位置并不改变发布到活动目录中的对象与它所代表的共享资源是完全分离的删除文件夹共享时，发布仍在。发布是两个对象，而共享是一个对象。发布的两个对象是一个是共享对象，另一个是AD中的发布对象，这个对象是对共享对象的引用希望访问发布对象时，必须拥有AD中发布对象和共享对象两者的权限比较发布的对象与共享的资源AccountingPropertiesGeneralManagedByObjectSecurityNameAdd…RemovePermission:AllowDenyFullControlReadWriteAdministrators(NWTRADERS…..AuthenticatedUsersDomainAdmins(NWTRADERS…EnterpriseAdmins(NWTRADER…Pre-Windows2000CompatibleA…AccountingPropertiesGeneralWebSharingSharingSecurityNameAdd…RemovePermission:AllowDenyFullControlModifyRead&ExecuteListFolderContentsReadWriteAdministrators(NWTRADERS…CREATOROWNEREveryone发布对象Printer1AccountingOU2OU1共享的资源namericaAccountingSales比较发布的对象与共享的资源

Lab:在活动目录中共享资源委派管理控制概述活动目录对象安全活动目录对象的访问控制活动目录对象的委派管理控制活动目录安全组成委派和系统访问控制列表访问控制接口继承怎样授权访问资源活动目录对象安全安全主体能够对它分配权限的对象如：用户、安全组、和计算机每一个安全主体都有一个唯一的安全标识符（SID）安全标识符安全标识符是用来标识一个安全主体，它在这个拥有者被创建时产生，绝对不会重用

安全描述符包含相关的安全信息的数据结构

如果你在一个对象上设置了权限，安全描述符中就会包含一个DACL如果你还对这个对象设置了审核，安全述符中还会包含一个SACL活动目录安全组成Di干sc育re欺ti舌on牵ar妄y易Ac齐ce脊ss咐C死on殿tr性ol案L假is被t踏(D石AC绝L)是否掠允许屠对某仇对象徐访问Sy容st聚em蒸A垮cc煌es贸s促Co订nt栋ro泽l暑Li雪st绵(砌SA宣CL）控制巷对对层象访夜问的洽审核安全描述符HeaderOwnerSIDGroupSIDDACLSACLACEsACEs委派垂和系雕统访家问控酒制列晌表Ac拒ce绣ss恋C第on乞tr眨ol肤E蚁nt胜ri低esUsedinaDACLtodenyaccessUsedinaDACLtoallowaccessUsedinaDACLtodenyorallowaccesstoapropertyorpropertysetortolimitinheritancetoaspecifiedtypeofchildobjectDACLDataStructureHeaderAccessMaskSIDUserSIDGroupACEAccessDeniedACEAccessAllowedACEAccessDeniedbyObjectACEAccessAllowedbyObjectControlFlagsUsers从父对象继承访问许可ParentObjectChildObjectDACLUser1ReadGroup1FullControlDACLUser1ReadGroup1FullControlDACLsAreInheritedby

ChildObjects建立确子对叮象时倍，不减用人你为的涉授权确保骆应用检于父苗节点享的权猴限也电同时侵作用却于子挥节点在改吸变权柄限时妈，只竖需改愧父节树点上扰的权芳限在AD的对提象上邮，直静接分咸配的AC资E优先旋于继占承的AC金E继承权限卷继承孕可以俩减少分派哭权限算的次指数手工赖阻止蜓权限发的继允承复制先前每继承稼了对漠对象刊的许柴可移除先前签移除彩继承茫来自捞对象捷的许呜可FullControlOUOUOUFullControlFullControlFullControlOUOUOUReadRead控制活继承救许可UsersPropertiesGeneralObjectsSecurityNameEveryoneAdd...RemoveAdministrators(domain_name\Acct...Allowinheritablepermissionsfromparenttopropagatetothisobject.Advanced...OKCancelApplyFullControlReadWriteCreateallchildobjectsDeleteallchildobjectsAuthenticatedUserAllowDeny特殊选权限标准康权限设置Ac据ti取ve傲D缴ir渔ec梯to朽ry许可活动邪目录讽中每辰一个通对象村都有寺所有过者建立斗对象柿的人岩员自殊动成晨为对枝象的撤所有枯者，鸭即使纱没有出现菌在DS雾AL中，猪默认隔具有鲜对象哥的完兔全控幕制。如果变是管何理组助的成庆员创嗽建的晚对象咏，那承么它论的所药有者豪是管鞭理组,而不构是个辱人。Advanced…Allowinheritablepermissionsfromparenttopropagatetothisobject.OKCancelApplyAccessControlSettingsforSystem1PermissionsAuditingOwnerCurrentownerofthisitem:DomainAdmins(CONTOSO\Domain\Admins)Changeownerto:Administrator(CONTOSO\Administrator)Administrators(CONTOSO\Administrators)NameOwners对象腰的所聪有者AccessControlSettingsforSystem2PermissionsAuditingOwnerCurrentownerofthisitem:DomainAdmins(ASIA1\Domain\Admins)Changeownerto:Administrator(ASIA1\Administrator)Administrators(ASIA1\Administrators)Ow趁ne俊rs见hi舍p田Ch农an断ge本s站Wh可en州:具有换完全横控制身的人烈员，贡可以惧将修炭改所短有权弹的权限委致派给叮其他成用户掘。管理扁组的暗成员抛都拥趴有对杀象所认有权改变徒对象衫的所填有者委派竿管理歉控制参概述使用导委派虹控制智向导委派管理闹控制委派活动雅目录对象的管伏理控扬制授权匀管理林意义托：改变骂特殊鱼容器诵的属到性建立剖和删彩除OU中的搏具体蒸对象更新OU中具区体对洗象的恰某种冷属性DomainOU1OU2OU3Admin1Admin2Admin3委派肃管理荐控制星概述对用宾户和久组进红行委固派控猪制打开拾委派旁控制做向导选择程进行星委派脊控制授的用傅户和逆组指定嫩委派夺的任狗务选择Ac返ti汇ve宁D婆ir屋ec雹to橡ry对象含类型指定召权限毅给用抽户和途组使用委派控制庄向导跟综委派权限的分派使用委派控制向导尽可能的在OU上分派控制按所在组织的原则控制委派委派管理煌控制La上b忧:委派管理余控制1、宵建个OU气12、建三研个帐号垄，A1巨，A激2，获A33、分别橡以A1傻，A跃2，腥A3登录钟，查长看他馅们有凉什么甜权限3、将在OU税1中创喷建，纸修改府，删鞭除帐暂号的清权限插授于A14、导向望》直矩接选眼择就姜可以5、弱将在赔整个厨域中患修改鞠密码释的权辜限授高予A26、导向秘》自煎定义桑》只宿用于袍这个蝇文件傻夹》隆用户底对象》驻修改办密码委派管理湾控制本章贺目标创建吸域树凯、域巨森林及、额四外域沙控制娇器理解但域之桂间的披信任围关系钱。单赴向，稀双向洗信任稻关系理解窑信任少域和餐被信永任域锦的意乘义熟悉窝跨域他访问妇资源阁的流宵程能够行独立勇的建娱立快犹捷方侄式、满林信眠任了解检外部饶信任阅和领丛域信阻任掌握捎信任栽关系猜的管钉理和脖删除创建社域树物和域供森林创建月子域创建宜域林廊中的让第二辟棵树创建券同一玻域中彻的第垒二台巧域控包制器12345678910111213141516创建隔子域12345678910下面贤的步判骤和臂安装液子域喉相同创建董域林劳中的眉第二无棵树前面台步骤类和安限装子数域相伶同下面贴的步报骤和长安装衣子域钟相同创建击同一挠域中颂的第荷二台诉域控孝制器信任析关系拘基本移概念A域DC摩1B域DC陆1信任工作欧站：谈用户服务歌器：愈资源信任愈域被信材任域什么易是“溜访问盈令牌挂”？当用退户登魔录到雅某台村计算估机，赌在验馒证用节户帐败号和典密码德无误忠外系肺统会燃为该概用户澡建立尾一个帅“访磨问令魄牌”(a义cc母es剖s铸to炊ke知n)，其挑包含糕该用受户的SI罩D和用之户所裤属组祸的SI酒D。用轮户拿梳到“遵访问壶令牌扰”后臣系统生会根降据令判牌中赛的SI危D去决翼定用劲户对旱特定荡资源茄拥有型哪些留访问途权限达。Wi什nd箱ow屈s算se冷rv割er卫20深03计算泼机内惜负责暗验证展用户当身份暑工作怖的服沉务是LS捞A(素Lo的ca客lSe翁cu批ri诱ty秃A列ut今ho唉ri树ty河)验证骑用户谊身份离的方执法有Ke复rb住er尘os棍V5和NT进LMNT边LMNT冶L渴AN袍M泽an查ag剂er的缩孙写。在网饼络环泳境中蒜，NT弟LM用作肥身份术验证种协议积以处线理两恢台计占算机际（其机中至姻少有痰一台巧计算巾机运用行Wi隶nd赠ow选s塞NT溪4辨.0或更站早版规本）窗之间肾的事辨务。垮具有瞎此配胡置的粗网络颤称为粪“混兵合模糕式”猫，这哗是Wi随nd霞ow古s挡Se浑rv济er茶2价00擦3家族眉中的扫默认茶设置纱。例如旺，以催下配侄置将歪使用NT撕LM作为芬身份萄验证爬机制衔：Wi驼nd施ow经s械20拳00或Wi烟nd秒ow同s卵XP鬼P郑ro抢fe蠢ss畜io枣na遵l客户找端向Wi辣nd漏ow的s伤NT访4吨.0的域写控制亏器验纸证身志份。Wi这nd偿ow倡s斜NT防4板.0劫W孙or旧ks卖ta钱ti舒on客户很端向Wi拾nd扮ow嫌s读20叹00或Wi棚nd权ow报s末Se肉rv讨er竖2捆00卖3域控宴制器合验证窑身份霸。Wi勇nd裳ow抱s右NT幻玉4膝.0芳W窗or谈ks迟ta碍ti适on客户剩端向Wi凳nd师ow眠s欢NT前4乓.0域控纠制器愚验证也身份统。Wi捆nd搁ow僵s菠NT输4聪.0域中话的用马户向Wi博nd券ow造s架20治00或运刑行Wi某nd痕ow达s恼Se耀rv速er偷2绒00鸣3家族列的域旨验证甩身份恋。运行疲向任旬何域谷控制院器验大证身图份的Wi霸nd知ow溜s震95、Wi吩nd亮ow既s有98或Wi挎nd撞ow关s巾Mi起ll灵en设ni兆um主E馒di坡ti浊on的客嗽户端座。另外吩，NT见LM是为喜没有距加入和到域到中的有计算兄机（攻如独亦立服初务器秤和工倾作组玩）提方供的踢身份伙验证拘协议她。Ke币rb欣er袜os谱V侧5希腊泼神话遗中守孔卫冥何王大帅门的滥长有驴三头腊的看巷门狗哨。Ke同rb秒er伍os屋V共5中的秘一项姨重要洽服务尚是密浩钥分让发中厘心(K陈DC尼)。KD贡C作为Ac敏ti略ve踏D桑ir号ec苏to孔ry目录抖服务厕的一如部分刑在每屋个域不控制俱器上吸运行百，它愚存储俭了所兔有客洗户端瓶密码昼和其免他帐界户信肢息。Ke饱rb叫er朗os堪V肠5身份燥验证帐过程悉按如兵下方棵式工遥作：1.客户窄端系敬统上学的用位户使丑用密猾码或塞智能晴卡向KD弃C进行绩身份倒验证浙。2.示KD裂C向此现客户身端颁护发一搏个特薄别的伶授权日票证仅。客绒户端森系统折使用律该票说证访毁问授制票服段务（TG奖S)，这晚是域头控制旁器上流的Ke国rb聋er愧os邀V身5身份横验证树机制含的一笑部分塑。3.隆TG筋S接着逼向客麦户端锅颁发喷服务遇票证群。4.客户栏端向舅所请潜求的恩网络架服务科出示种服务党票证影。服阴务票锹证向君此服拐务证酬明用蓄户的庙身份染，同时也歼向该坦用户龄证明泪服务露的身纯份。注：Ke初rb第er绒os滔V迹5服务榨安装怎在每蔽个域励控制均器上絮，并劲且Ke门rb累er议os客户证端则衫安装弃在每避个工作站更和服肿务器害上。用户1访问ch拣il届d.挡mi误cr盾os哪of页t.吩co恰m域内渗的文手件服以务器1跨域倘访问牺的详浮细说浇明1.典Us氧er任1使用喘来自ch邪il采d1总.m著ic丹ro致so热ft狐.c熔om域的间凭据址登录禁到Wo姻rk朴st慕at课io结n1。在堆此过干程中则，负阵责进抚行验抗证的影域控微制器吨将为Us墓er泼1颁发樱一张步票证无授予路式票脂证(T赴GT组)。在石进行宏资源棵访问副身份助验证返时，蹄需要鼻提供局此票物证。递此后动，用窄户尝闯试访亦问ch枕il踪蝶d2域中纸文件毁服务葛器上员的共原享资井源(\\仿fi平le质se愧rv部er妨1\散sh醒ar异e)。2.寇Wo欣rk回st命at蒜io脂n1联系摄其所牙在域画中的障某个附域控乡丰制器(C蛛hi词ld肿DC烟1)上的价密钥趟发行销中心(K烈DC批)，并骗针对Fi俯le鼻Se仗rv原er定1的服贤务规漫则名(S韵PN膨)申请全服务渠票证内。3.陪Ch考il垃dD旦C1没有猴在自截身域盛数据什库中晶找到吃该SP碗N，因画而继粘续查叶询全角局编伐录，勤看林释中是术否有志任何员域包占含此SP课N。全袭局编认录将扔所请绪求的椒信息间发送爷回Ch项il抚dD碧C1。4.吧Ch蝴il乏dD亏C1将引盖用发障送给Wo义rk拦st团at使io盟n1。5.啊Wo抽rk半st机at步io灶n1联系Fo甜re姓st遵Ro罪ot纷DC兔1（它赖的父张域）救中的访域控京制器染，以政便获火取访杰问Ch睡il加d2域中乐的域馆控制屑器(C壁hi仪ld吐DC签2)时所远需的脾引用申。Fo言re何st稿Ro化ot扮DC灿1将引刘用发看送给Wo扇rk敢st冈at跳io塔n1。6.奶Wo喉rk虏st赤at凑io历n1联系Ch呈il姓dD振C2上的KD吓C并协捷商访铸问Fi肝le高Se骆rv蜡er料1时所谜需的倡票证董。7.现在Wo朱rk稠st蚊at隆io弃n1具备艇了服独务票绪证。货它将隐把服雄务票闯证发嗓送Fi谣le垂Se疫rv伯er饲1，而Fi万le该Se岩rv黄er膊1将读吐取用助户的台安全垂凭据撤并相疫应地净建立挂访问植令牌醋。信任竞关系练的类旷型单向疾信任双向划信任可传贩递信胸任不可申传递控信任信任膊的种晕类(图示)信任类型名称传递性单向或双向父-子(parent-child)是双向树-根目录(tree-root)是双向快捷方式(shortcut)是单向或双向林(forest)是单向或双向外部(external)否单向或双向领域(realm)是或否单向或双向*父-子、程树-根目组录的杏信任役关系绞是自议动建韵立的*A林信手任B林，B林信拴任C林，扬在林严信任奔关系钢里面愉此种圈情况A林并薪不会偷自动督信任C林*外涛部信嘉任可蛾用于20笑03域和NT域或惊是两耐个林与之间聋的信惹任，怖不具移备传贞递性*领裁域信策任是歪种跨圈平台扒信任劣，可贝以让Wi市nd援ow倡s系统木和非Wi驾nd陶ow枪s系统旋之间股的Ke灯rb评er毅os叨V5领域怖间建铺立信归任关刊系，扒如:W编in进do导ws向20息03和un躁ix系统石间的龟信任目录嫁树和而目录俊林中惑的信蚕任关愤系Wi驶nd炊ow傻s尘20絮03中的捆传递宫信任Wi远nd倦ow辩s绪20站03中的汤非传徐递信地任验证感和取互消信休任Wi次nd贩ow得s挡20本03中的绸传递毛信任父—子信任父—子信任目录树根信任域间同信任自动玻创建犁（默财认）可传专递双向3c击om绍.n滤ethu伟aw闭ei礼.n阳etWu仍ha碑n.六hu翅aw死ei斤.n邻etWu削ch筑an尚g.嫌wu型ha更n.hu丈aw雷ei殖.n备etTr孩ee遍T围woTr俯ee诉O智ne目录验林目录勤林根弓域Wi棚nd莫ow功s队20朵03中的依快捷仅信任Tree