Windows-server-2008域及账户管理_第1页
Windows-server-2008域及账户管理_第2页
Windows-server-2008域及账户管理_第3页
Windows-server-2008域及账户管理_第4页
Windows-server-2008域及账户管理_第5页
已阅读5页,还剩46页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

【内容提要】活动目录的概述活动目录的组成活动目录的安装活动目录(ActiveDirectory)是WindowsServer2008系统中提供的目录服务,用于存储网络上各种对象的相关信息,以便于管理员查找和使用。活动目录是企业IT管理的重要组成部分,掌握活动目录对提高WindowsServer2008的管理技能具有非常重要的意义。本章讨论活动目录的基本概念、结构元素和特性,并介绍有关活动目录服务的基本操作。活动目录的概述活动目录(ActiveDirectory)是WindowsServer2008操作系统提供的一种新的目录服务。所谓目录服务其实就是提供了一种按层次结构组织的信息,然后按名称关联检索信息的服务方式。这种服务提供了一个存储在目录中的各种资源的统一管理视图,从而减轻了企业的管理负担。另外,它还为用户和应用程序提供了对其所包含信息的安全访问。活动目录作为用户、计算机和网络服务相关信息的中心,支持现有的行业标准LDAP(LightweightDirectoryAccessProtocal,轻量目录访问协议)第8版,使任何兼容LDAP的客户端都能与之相互协作,可访问存储在活动目录中的信息,如Linux、Novell系统等。3.1.1目录服务的含义目录是一个用于存储用户感兴趣的对象信息的信息库。所谓目录服务就是结构化的网络资源信息库,如计算机、用户、打印机、服务器等。活动目录(ActiveDirectory)是用于WindowsServer2008的目录服务。它存储着本网络上各种对象的相关信息,并使用一种易于用户查找及使用的结构化的数据存储方法来组织和保存数据。在整个目录中,通过登录验证以及目录中对象的访问控制,将安全性集成到ActiveDirectory中。3.1.2需要目录服务的原因目录服务可以实现如下的功能:(1)提高管理者定义的安全性来保证信息不受入侵者的破坏;(2)将目录分布在一个网络中的多台计算机上,提高了整个网络系统的可靠性;(3)复制目录可以使得更多用户获得它并且减少使用和管理开销,提高效率;(4)分配一个目录于多个存储介质中使其可以存储规模非常大的对象。3.1.3活动目录与域Windows域(Domain)是基于NT技术构建的Windows系统组成的计算机网络的独立安全范围,是Windows的逻辑管理单位,也就是说一个域就是一系列的用户账户、访问权限和其他的各种资源的集合。活动目录的结构如图3.1所示。图3.1活动目录的结构1.对象对象(Object)是对某具体事物的命名,如用户、打印机或应用程序等。属性是对象用来识别主题的描述性数据。一个用户的属性可能包括用户的Name、Email和Phone等,如图3.2所示,是一个用户对象和其属性的表示。图3.2用户对象和它的属性2.域域(Domain)是WindowsServer2008活动目录的核心单元,是共享同一活动目录的一组计算机集合。域是安全的边界,在默认的情况下,一个域的管理员只能管理自己的域,一个域的管理员要管理其他的域需要专门的授权。域也是复制单位,一个域可包含多个域控制器,当某个域控制器的活动目录数据库修改以后,会将此修改复制到其他所有域控制器。3.组织单元组织单元(OU,OrganizationalUnit)是组织、管理一个域内对象的容器,它能包容用户账户、用户组、计算机、打印机和其他的组织单元。4.树树(Tree),又称为域树,用来描述对象及容器的分层结构关系。域树是由若干具有共同的模式、配置的域构成的,形成了一个临近的名字空间。在树中的域也是通过信任关系连接起来的。活动目录是一个或更多树的集合。树可以通过两种途径表示,一种是域之间的关系,另一种是域树的名字空间一棵WindowsServer2008域树就是一个DNS名字空间。域树名字空间具有以下特点:(1)一棵树只有一个名字,即位于树根处的域的DNS名字;(2)在根域下面创建的域(子域)的名字总是与根域的名字邻接;(3)一棵树子域的DNS名字是反映该组织机构的。5.树林树林(Forest):树林是一棵或多棵WindowsServer2008活动目录树的集合。各树之间地位相当,由双向传递的信任关系相关联。单个域组成一棵单域的树,单棵树组成单树的树林。树林与活动目录是同一个概念,也就是说,一个特定的目录服务实例(包括所有的域、所有的配置和模式信息)中的全部目录分区集合组成一片树林。3.2ActiveDirectory的物理结构3.2.1域控制器域控制器是运行ActiveDirectory的WindowsServer2008服务器。由于在域控制器上,ActiveDirectory存储了所有的域范围内的账户和策略信息,如系统的安全策略、用户身份验证数据和目录搜索。账户信息可以属于用户、服务和计算机账户。由于有ActiveDirectory的存在,域控制器不需要本地安全账户管理器(SAM)。在域中作为服务器的系统可以充当以下两种角色中的任何一种:域控制器或成员服务器。3.2.2站点ActiveDirectory中的站点代表网络的物理结构或拓扑。ActiveDirectory使用在目录中存储为站点和站点连接对象建立起最有效的复制拓扑。可以将站点定义为由一个或多个IP子网的一组连接良好的计算机集合。站点与域不同,站点代表网络的物理结构,而域代表组织的逻辑结构。站点在概念上不同于WindowsServer2008的域,因为一个站点可以跨越多个域,而一个域也可以跨越多个站点。站点并不属于域名称空间的一部分,站点控制域信息的复制,并可以帮助确定资源位置的远近。站点反映网络的物理结构,而域通常反映组织的逻辑结构。3.3域信任关系信任是域之间建立的关系,它可使一个域中的用户由处在另一个域中的域控制器来进行验证。WindowsServer2008域之间信任关系建立在Kerberos安全协议上。WindowsServer2008树林中的所有信任都是可传递的、双向信任的,因此,信任关系中的两个域都是相互受信任的。如图3.4所示。图3.4一个域树和它的信任关系表示8.4ActiveDirectory的安装ActiveDirectory和DNS具有相同的层次结构。DNS区域可存储在ActiveDirectory中。如果要使用WindowsServer2008DNS服务,主区域文件可存储在ActiveDirectory中,用于复制到其他ActiveDirectory域控制器中。ActiveDirectory客户使用DNS来定位域控制器。将WindowsServer2008服务器的基本系统安装完成之后,可以通过手动安装域名服务器(DNS)和DCPromo(创建DNS和ActiveDirectory的命令行工具),也可以使用“WindowsServer2008管理服务器”向导进行安装。下面介绍具体的安装方法。8.4.1域控制器的安装1.WindowsServer2008管理服务器安装安装ADDS之前需验证WindowsServer2008系统、配置TCP/IPv4属性、设置ADDS的数据库、日志文件以及SYSVOL文件夹。在计算机WIN上安装ActiveDirectory域服务和DNS服务,域名为“”。WindowsServer2008管理服务器安装(1)单击“开始|运行”,在运行对话框中输入“dcpromo”命令,出现如图3.5所示的界面,开始安装ActiveDirectory域服务二进制文件。图3.5安装ActiveDirectory域服务二进制文件WindowsServer2008管理服务器安装(2)ActiveDirectory域服务二进制文件安装完之后,将打开如图3.6所示的”ActiveDirectory域服务安装向导”,通过该向导把当前计算机配置为域控制器。图3.6ActiveDirectory域服务安装向导WindowsServer2008管理服务器安装(3)单击“下一步”按钮,出现“操作系统兼容性”对话框。(4)单击“下一步”按钮,在出现的“选择一部署配置”对话框中选择“在新林中新建域”复选框,如图图3.7所示。图3.7在新林中新建域WindowsServer2008管理服务器安装(5)单击“下一步”按钮,出现“命名林根域”对话框,在“目录林根级域的FQDN”文本框中输入新的林根级完整的域名系统名称为“”如图3.8所示。图3.8命名林根域WindowsServer2008管理服务器安装(6)单击“下一步”按钮,开始检查网络中是否已经存在名为“”的林的名称,如果没有检查到该林,则出现如图3.9所示的对话框。图3.9设置林功能级别WindowsServer2008管理服务器安装(7)单击“下一步”按钮,出现如图所示的“设置域功能级别”对话框。有Windows2000纯模式、WindowsServer2003和WindowsServer2008三个域功能级别,默认域功能级别为Windows2000纯模式。图3.10设置域功能级别WindowsServer2008管理服务器安装(8)单击“下一步”按钮,开始检查计算机上DNS配置,检查完毕出现“其他域控制器选项”对话框,选择“DNS服务器”复选框将该计算机配置为DNS服务器,如图3.11所示。在该对话框中的选项说明如下:图3.11选择其它域控制器WindowsServer2008管理服务器安装(9)单击“下一步”按钮,弹出如图3.12所示的界面,该信息表示因为无法找到有权威的父区域或者未运行DNS服务器,所以无法创建该DNS服务器的委派。图3.12无法创建DNS委派WindowsServer2008管理服务器安装(10)单击“是”按钮,出现“数据库、日志文件和SYSVOL的位置”对话框,在该对话框中指定活动目录数据库、日志文件以及SYSVOL文件夹的存储位置,其中SYSVOL文件夹必须存在NTFS文件系统的分区上,如图3.13所示。图3.13指定数据库、日志文件以及SYSVOL文件夹的位置WindowsServer2008管理服务器安装(11)单击“下一步”按钮,出现“目录服务还原模式的Adminstrator密码”对话框,在该对话框中指导定在目录服务还原模式下所需的密码,该密码必须符合密码策略规定的复杂性要求,如图3.14所示。图3.14设置目录服务还原模式的Adminstrator密码WindowsServer2008管理服务器安装(12)单击“下一步”按钮,出现“摘要”对话框,在该对话框显示以上步骤设置的相关信息。确认信息没错,则单击“下一步”按钮,开始安装DNS和ActiveDirectory域服务,过程如图3.15所示。图3.15正在安装ActiveDirectory域服务WindowsServer2008管理服务器安装(13)整个安装ActiveDirectory域服务需要几分钟时间,安装完成后会出现如图3.16所示“完成ActiveDirectory域服务安装向导”对话框,表示ActiveDirectory域服务安装成功。图3.16完成ActiveDirectory域服务2.域控制器的删除安装好的域控制器的角色是可以更改的,可以使用“ActiveDirectory安装向导”,在成员服务器上安装ActiveDirectory以使其成为域控制器,也可从域控制器上删除ActiveDirectory,使其成为成员服务器。图3.21删除域3.4.2将计算机加入到域将计算机添加到WindowsServer2008域中的详细操作步骤:(1)打开需要添加进域的客户端计算机“TCP/IP”属性对话框,将首选DNS的IP地址设置为“”,如图3.25所示.图3.25设置首选DNS服务器将计算机加入到域(2)右键单击“我的电脑”,然后单击“属性”按钮。单击“计算机名”选项卡,可以打开如图3.26所示的界面。(3)记录下完整的计算机名称信息(备用)。(4)在控制面板中或桌面上“我的电脑”打开“系统”属性。在“计算机名”选项卡上,单击“更改”按钮启动计算机名称更改,如图3.27所示。

图3.26“系统属性”对话框中的“网络表示”选项卡图3.27计算机名称更改将计算机加入到域(5)单击“隶属于”下面的“域”,输入要加入的域的名称,这里可以输入””,然后单击“确定”按钮,提示用户提供将计算机加入到域的用户名和用户密码。(6)单击“确定”按钮关闭“系统属性”对话框,将提示重新启动计算机以便使用所做的改动,在出现的“用户账户和域信息”页面(如图3.28所示)中,输入ActiveDirectory用户(域用户组中的任何成员)的用户名和密码,然后单击“下一步”按钮。单击“确定”按钮,出现“欢迎加入域”页面,说明A1计算机已成功加入域,如图3.29所示。将计算机加入到域(7)单击“确定”按钮,最后,系统会提示“重新启动计算机”。重新启动计算机之后,系统所做的设置才会完全生效,如图3.30所示。图3.30重新启动生效3.5域账户管理3.5.1域用户账户ActiveDirectory用户账户和计算机账户代表物理实体,如人或计算机。用户账户也可用做某些应用程序的专用服务账户。用户账户和计算机账户以及组也称为安全主体。安全主体是被自动指派了安全标识符(SID)的目录对象。用户或计算机账户在系统中可以用于以下几个方面。1.验证用户或计算机的身份2.授权或拒绝访问域资源3.管理其他安全主体4.审核使用用户或计算机账户执行的操作3.5.1域账户账户ActiveDirectory用户账户和计算机账户代表物理实体,如人或计算机。用户账户也可用做某些应用程序的专用服务账户。用户账户和计算机账户以及组也称为安全主体。安全主体是被自动指派了安全标识符(SID)的目录对象。用户或计算机账户在系统中可以用于以下几个方面。(1)ActiveDirectory用户账户。(2)保护ActiveDirectory用户账户。(3)ActiveDirectory账户配置选项。(4)计算机账户。3.5.2域用户组账户组是用户和计算机账户、联系人以及其他可作为单个单元管理的集合,属于特定组的用户和计算机称为组成员。通过对ActiveDirectory中的组进行管理,可以实现如下功能:(1)简化管理(2)委派管理组相关的基本概念1.组作用域组都有一个作用域,用来确定在域树或林中该组的应用范围。有3种组作用域:通用组、全局组和本地域组。(1)通用组的成员包括域树或林中任何域中的其他组和账户,而且可在该域树或林中的任何域中指派权限。(2)全局组的成员包括只在其中定义该组域中的其他组和账户,而且可在林中的任何域中指派权限。(3)本地域组的成员可包括WindowsServer2008、Windows2000或WindowsNT域中的其他组和账户,而且只能在域内指派权限,如表3.5所示。组相关的基本概念5.组类型组可用于将用户账户、计算机账户和其他组账户收集到可管理的单元中。使用组而不是单独的用户可简化网络的维护和管理。ActiveDirectory中有两种组类型:通信组和安全组。可以使用通信组创建电子邮件通信组列表,使用安全组给共享资源指派权限。(1)通信组。只有在电子邮件应用程序(如Exchange)中,才能使用通信组将电子邮件发送给一组用户。如果需要组来控制对共享资源的访问,则需创建安全组。(2)安全组。安全组提供了一种有效的方式来指派对网络上资源的访问权。使用安全组,可以将用户权利指派到ActiveDirectory中的安全组,可以对安全组指派用户权利以确定该组的哪些成员可以在处理域(或林)、作用域内工作。3.5.3组、用户账户的创建1.组的创建WindowsServer2008中的组是可包含用户、联系人、计算机和其他组的ActiveDirectory或本机对象。通过使用组可以管理用户和计算机对ActiveDirectory对象及其属性、网络共享位置、文件、目录、打印机列队等共享资源的访问,也可以进行筛选器组策略设置,创建电子邮件通信组等。(1)单击“开始”按钮,指向“管理工具”,然后单击“ActiveDirectory用户和计算机”。(2)单击“”旁边的“+”号将其展开。单击“”本身,显示如图3.28所示的右窗格的内容。3.5.3组、用户账户的创建(3)在图3.31的左窗格中,右键单击“”,指向“新建”,然后单击“组织单位”按钮。图3.31添加组织单位组的创建(4)在名称框中输入“student”,然后单击“确定”按钮,如图3.32所示。图3.32组织单位名称(5)重复步骤3和4以创建“teacher”和“manager”组识单位(OU)。(6)在图3.33的左窗格中单击“student”,此时将在右窗格中显示其内容(此过程开始时它是空的)。(7)右键单击“student”,指向“新建”,然后单击“组织单位”。图3.33创建组织单位组的创建(8)输入“zhilan”,单击“确定”按钮。(9)重复步骤7和8,在“student”中创建“fengze”和“zhilan”组识单位(OU)。在“Teacher”组识单位(OU)中创建“Computer”、“English”和“Math”,如图3.34所示。图3.34最终的组识单位(OU)结构组的创建(10)鼠标右键单击“manager”,指向“新建”,然后单击“组”以为创建两个安全组。要添加的两个组是“sunman”、“mathman”和“enlishman”,如图3.32所示。每个组的设置应该是“全局”和“安全”。单击“确定”按钮,分别创建每个组。2、创建用户账户下面的操作将在芷兰学生宿舍区创建用户。(1)在左窗格中,右键单击“zhilan”,指向“新建”,然后单击“用户”。(2)输入“san”作为“名”,输入“zhang”作为“姓”(注意,在“姓名”框中将自动显示全名),如图3.36所示。图3.36添加用户2、创建用户账户(3)输入“zhangsan”作为“用户登录名”,窗口如图3.36所示。(4)单击“下一步”按钮。(5)在“密码”和“确认密码”中,输入“passwordstu”,然后单击“下一步”继续。2、创建用户账户(6)单击“完成”。此时,“zhangsan”作为用户显示在右窗格的“/student/zhilan”下面,如图3.37所示。(7)重复步骤2到7,为“Fengze”和“Jinan”的组识单位(OU)添加多个不同的账户。图3.37添加用户之后的组织结构3.将用户添加到安全组中操作步骤:(1)在图3.37

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论