建立与管理帐户课件

《建立与管理帐户课件》由会员分享，可在线阅读，更多相关《建立与管理帐户课件（51页珍藏版）》请在装配图网上搜索。

1、建立網域 Windows 2000 系統實務Ch07建立網域-1n微軟的企業網路架構裡,最重要的角色即是網域。n許多 Windows 2000的重要功能,都建立在網域上。nAD 服務就是建立在網域的基礎之上 n並非 Windows 2000 網路一定只能採取網域的架構 建立網域-2n規劃 Windows 2000 網路環境時,可以有工作群組（Workgroup）和網域（Domain）兩種選擇。n工作群組適合用於小型的網路,而網域因擁有較優越的管理能力,適合用於中、大型的網路。各自為政的網路架構工作群組-1n工作群組是泛指一群以網路相連的電腦,彼此分享對方的資源（如檔案或印表機）n每台電腦的地位

2、皆是平等,所以也有人把它稱為對等式（Peer to Peer）網路 n以 Windows 2K所組成的工作群組為例,不管是伺服器或工作站,都擁有本機的帳戶資料庫,唯有登記在資料庫內的使用者,才能合法使用該電腦上的資源 n圖7-2各自為政的網路架構工作群組-2n從網路管理的角度來看,這樣的架構有 2 個明顯的缺點：n帳戶管理較麻煩 假設網路上有 5 部伺服器和30 名使用者,總共要建立 150（5*30）筆帳戶資料,才能讓所有使用者取用每部伺服器的資源。而且,如果有任何一筆資料需要異動,得做 5 次修改才行。n只能個別對電腦做安全性設定例如：系統管理員希望限制使用者的登入時段,這就必須到每一部伺

3、服器前設定。中央集權的網路架構網域 n網域的基本觀念為,在網路中挑一部電腦當作安全控管伺服器（在 Windows 2000 稱為網域控制站）,由它專門負責網域的帳戶與安全管理。所有加入網域的電腦,都以網域控制站的帳戶和安全性設定為準。拿前面的例子來說,只要在伺服器中擇一擔任網域控制站,再將其它的電腦和所有使用者統統加入網域。系統管理員只需維護 35（30+5）筆帳戶資料（包括電腦及使用者）,即可讓所有使用者使用全部電腦上的資源。圖7-4 Windows 95/98 能否加入網域？n嚴格來說,Windows NT/2000 之外的機器（例如 Windows 95/98）,不算加入網域,而只是能連

4、接到網域。換言之,雖然使用者能夠利用網域帳戶,從 Windows 95/98 的電腦登入到網域裡存取資源,可是這些機器並未受到網域的管轄,而且在網域控制站上也不會有這些機器的帳戶資料 網域中的電腦角色 n網域中的電腦依其功能,區分為以下 3 種角色：網域控制站 成員伺服器 工作站 網域控制站-1n安裝了 Windows 2000 Server,而且啟用 AD 服務的電腦,即為網域控制站。n網域控制站在網域中扮演運作核心的地位,除了特定的網管人員之外,應限制其它使用者都不允許登入網域控制站,以防止 AD 資料遭到破壞。網域控制站-2n網域控制站主要負責的工作如下：提供 AD 服務。儲存與複製 A

5、D 資料庫。管理網域中的活動,包括使用者登入、身分驗證、與目錄查詢等等。成員伺服器-1n安裝了 Windows 2000 Server,但是不啟用 AD 服務的電腦；或者是安裝 Windows NT 4.0 Server 的電腦,都算是成員伺服器 n成員伺服器依其提供服務的不同,可能會被冠上不同的名稱,例如檔案伺服器、應用程式伺服器、或資料庫伺服器等等。不過它們在網域中的角色都是一樣的,都需接受網域控制站的控管 成員伺服器-2n由於這些伺服器同屬網域的成員,所以審核使用者身份的工作,都交由網域控制站執行,只要通過網域控制站的驗證,即允許使用者登入。成員伺服器的本機帳戶 n成員伺服器上仍保留有本

6、機的帳戶資料庫,因此使用者也可以利用這些本機帳戶,登入該伺服器。n對網域的安全管理而言,成員資料庫上的本機帳戶,無疑是安全性上的一個漏洞。所以最好是關閉所有成員伺服器上的本機帳戶,僅允許使用者以網域的帳戶登入,才有最佳保障 工作站-1n所有安裝 Windows 2K Professional 或 Windows NT 4.0 Workstation,而且加入網域的電腦,都歸類為工作站 n工作站可以存取網域中的資源、執行應用程式等。但是,Windows 2K許多新增的功能,例如 AD 服務、群組原則、軟體發布、DNS 名稱動態更新等,必須配合 Windows 2000 Professional

7、工作站才能發揮功效。而 Windows NT 工作站雖然能加入網域,不過無法享受 Windows 2000 的新增功能 工作站-2n加入網域的工作站,同樣是由網域控制站負責使用者身分驗證,並接受網域方面的管理。譬如,網域系統管理員可以限制誰何時才允許登入該工作站,而未加入網域的工作站,雖然也能用來連接網域存取資源,卻得不到網域的保護與管理 n工作站上也保留了本機帳戶的資料庫,使用者如果利用本機帳戶登入工作站,即有辦法存取本機上的資源,但仍無法存取網域裡的資源 網域外的電腦角色-1n網路上沒有加入網域的電腦,即以工作群組的模式運作n使用者可以利用這些電腦連接網域,只要提供合法的網域帳戶即可,不過

8、這樣做有一個缺點：每次存取不同電腦上的資源時,都要輸入網域的帳戶名稱與密碼。網域外的電腦角色-2n網域外的電腦也可概略區分為兩種角色：獨立伺服器 安裝了 Windows 2000 Server 或 Windows NT Server,但是未加入網域的電腦,均視為獨立伺服器。獨立伺服器一旦加入網域後,角色即轉換為成員伺服器。相反地,成員伺服器如果退出網域,則又會回到獨立伺服器的角色。如果在獨立伺服器上安裝 AD 服務,則升級為網域控制站。網域外的電腦角色-3n其它電腦 無論是執行何種作業系統,只要未加入網域,而且不是獨立伺服器的電腦,都可以歸為此類。使用者或許可利用這些電腦連接網域,唯前提是必須

9、擁有網域帳戶 建立第 1 個網域 n建立網域的第一步即建立網域控制站,而建立網域控制站的第一個動作就是安裝 AD 服務。安裝 AD 服務的準備事項 在安裝 AD 服務之前,請先確定您的電腦與網路符合以下要求 n至少需要一個格式化為NTFS 5.0的磁碟分割（Partition）n保留 1 GB 以上（建議值）的可用磁碟空間 n以 TCP/IP 為預設的通訊協定,並使用 DNS 提供名稱解析服務 安裝 AD 服務的流程 n安裝 AD 服務的流程,大致上可分為以下兩階段(圖7-9)n以下要建立的網域,即是整個網路的第一個網域,這種網域又稱為根網域（Root Domain）安裝 AD 服務的步驟-1

10、 n安裝 Windows 2000 Server 後,第一次開機時會自動開啟設定伺服器視窗,我們將介紹如何利用它來建立第 1 部網域控制站 安裝 AD 服務的步驟-2n重新啟動後,開始/程式集/系統管理工具裡會新增 3 個 AD 管理工具：Active Directory 使用者及電腦、Active Directory 站台及服務、和Active Directory 網域及信任。此外,還多了DHCP、DNS和 3 個有關安全性原則的項目 將獨立伺服器加入網域 n建立了網域控制站之後,網域即開始運作,此時可優先將網路上的獨立伺服器加入網域,令其接受網域的集中管理 設定 DNS n要順利加入網域,

11、先決條件是要能夠連結到該網域的網域控制站,而要連上正確的網域控制站,就必須先在電腦上設定正確的 DNS 伺服器的位址 n應該將獨立伺服器上的慣用的 DNS 伺服器欄位,設為網域控制站的IP 位址 加入網域-1 加入網域-2n加入網域後的電腦,其電腦名稱預設會出現在Active Directory 使用者及電腦視窗的Computers容器下 電腦角色的變換 n在 Windows 2000 網域中,可以將獨立伺服器或成員伺服器升級為網域控制站；也可以將網域控制站還原回成員伺服器 n利用加入和退出網域的動作,還可以變換獨立伺服器和成員伺服器間的身分 n圖 7-30網域控制站降級為成員伺服器 n以系統

12、管理員身分登入網域 n重新指定本機系統管理員的密碼：當初升級為網域控制站後,本機上的所有帳戶資料都會被刪除。所以降級時,成員伺服器會另外重建一份本機的帳戶資料（包括預設的帳戶和群組）,因此必須重新指定本機系統管理員的密碼 成員伺服器轉為獨立伺服器 原始模式與混合模式 nWindows 2000 提供兩種網域運作模式：原始模式（Native mode）與混合模式（Mixed mode）n在不同的模式下,所能執行的功能有頗大的差異 何謂原始模式 n欲採用原始模式,必須符合唯一的條件：所有的網域控制站都必須執行 Windows 2000 Server n至於非網域控制站,則無論是執行 Windows

13、 2000 Professional 或 Windows NT 都沒有關係 原始模式的特性 n除了網域區域群組（Domain local group）和通用群組（Global group）外,另外多了萬用群組（Universal group）n支援更複雜,且更多層次的群組巢接（Group nesting）功能。例如：網域區域群組可以包含同網域的網域區域群組或同樹系的通用群組和萬用群組 何謂混合模式 n只要不採用原始模式,就一定是混合模式 n網域中包含 Windows 2000 網域控制站和 Windows NT 4.0 的備份網域控制站（Backup Domain Controller,BDC

14、）n所有的網域控制站都是 Windows 2000 Server,但是尚未變更模式 nWindows 2000 網域預設是採用混合模式 兩種模式的比較-1網域規模 n混合模式的網域規模,仍限制於 40,000 個物件以下,但在原始模式下則無此限制。根據微軟的說法,原始模式的網域有容納一百萬個物件的能力（理論值是一千萬個物件）兩種模式的比較-2信任關係 n在原始模式中,信任關係具有雙向遞移性。但是在混合模式中,網域間的信任關係仍屬單向非遞移性 兩種模式的比較-3群組類型 n原始模式支援完整的群組類型,包括本機群組、網域區域群組、通用群組和萬用群組；而混合模式網域只支援網域區域群組和通用群組。此外,混合模式裡只允許將通用群組加入網域區域群組,而不允許通用群組包含通用群組,或網域區域群組包含網域區域群組；但原始模式則無這些限制 如何變更網域的模式