《windows网络操作系统》第3章__域的创建与管理课件

《《windows网络操作系统》第3章__域的创建与管理课件》由会员分享，可在线阅读，更多相关《《windows网络操作系统》第3章__域的创建与管理课件（40页珍藏版）》请在装配图网上搜索。

1、,Click to edit Master title style,一,Second level,Second level,Windows 网络操作系统,2023/9/12,第,1,页,企业要构建一个办公网络，考虑到业务发展的需要，以及网络的安全性，需要对重要的公共资源和计算机使用人员的信息实现集中管理。,为此需要将,原来基于工作组方式的网络升级为基于域的网络，现在需要将一台或多台计算机升级为域控制器，并将其它所有计算机加入到域成为成员服务器或工作站。,同时对原来的本地用户账户和组按不同部门归类升级为域用户和组进行管理。,项目背景,第3章 域的创建与管理,企业要构建一个办公网络，考虑到业务发展

2、的需要，以及网络的安全,课程导入,大、中型企业网络有几百到上千的用户，资源也比较分散，这时候如何管理？,“工作组”和“域”是,Windows,网络的两种管理方式。,工作组,每一台计算机都独立维护自己的资源，不能集中管理所有网络资源,每一台计算机都在本地存储用户的账户,一个账户只能登录到一台计算机,工作组中的计算机的地位都是平等的，对于其他计算机来说既是服务器，也是客户机,工作组的网络规模一般少于,10,台计算机,域,将网络中多台计算机逻辑上组织到一起，进行集中管理，这种区别于工作组的逻辑环境叫做域,域是组织与存储资源的核心管理单元,活动目录,提供了存储网络上对象信息并使网络用户使用该数据的方法

3、,课程导入大、中型企业网络有几百到上千的用户，资源也比较分散，,课程导入,工作组,域,SAM,SAM,SAM,单用户帐号,Active Directory,课程导入工作组域SAMSAMSAM单用户帐号Active D,第3章 域的创建与管理,了解：,域的概念、特点，活动目录的结构，域用户账户、域组账户和组织单位的概念、特点和用途,熟悉：,域控制器的条件，活动目录的管理与维护，域组账户的使用原则,掌握：,创建域，将计算机加入或脱离域，将域控制器降级为独立服务器或成员服务器；域用户账户、域组账户和组织单位的管理,本章学习目的,第3章 域的创建与管理了解：域的概念、特点，活动目录的结构,3.1,域的

4、有关概念,活动目录,是存储网络上对象的相关信息并使该信息可供用户和网络管理员使用的目录服务。,目录,是一个数据库，用于保存与网络资源相关的信息结构、资源位置、安全信息及管理信息等。如：计算机、用户、组、打印机等的名称、描述、地理位置、访问权限等信息。,目录服务,是使目录中所有信息和资源发挥作用的服务。,服务的主要表现是：,网络中的所有用户和应用程序只需提供很少的信息就能准确定位到这些实体资源，保证用户能够快速访问。,目录服务在网络安全方面也扮演着中心授权机构的角色，从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。,域,（,Domain,）是共用一个“目录服务数据库”有安全边界的计

5、算机的集合。,3.1.1,认识,Windows,的域,3.1 域的有关概念活动目录是存储网络上对象的相关信息并使,3.1,域的有关概念,3.1.1,认识,Windows,的域,教科书的目录,网络的（活动）目录,AD,存储对象,章、节的名称；页号,基本单元（对象）：,用户、组、计算机、文件、打印机、联系人等；,综合单元：,组织单元、域、域树、域林等,提供的,服务,让读者快速查找、定位书上的信息,对网上的各种资源实现集中统一的单点管理，让管理员和用户能够便捷地查找、定位和管理网上各类对象的信息，进儿使这些信息充分发挥作用。活动目录也作为网络安全的集中管理机构，使得操作系统可以验证用户的身分并控制用

6、户对网络资源的访问。,存储结构,书的前几页,域控制器,DC,，结构化的数据仓库大型数据库,扩展性,静态,不能增加条目,动态活动,可以随着网络资源的增加而动态地进行扩展；提供对网上资源实施系统管理、安全管理和互操作性等功能服务。,3.1 域的有关概念3.1.1 认识Windows的域教科,3.1,域的有关概念,域控制器,在一个域中，活动目录数据库必须存储在域中特定的计算机上，这样的计算机被称为域控制器（,Domain Controller,，简写为,DC,）。,一个域可以有一个或多个域控制器，各域控制器是平等的。,成员服务器,那些安装了服务器版操作系统（如：,Windows Server 200

7、3,或,Windows 2000 Server,），但未安装,AD,服务且加入域的计算机。,工作站,所有安装,Windows NT Workstation,、,Windows 2000 Professional,或,Windows XP Professional,系统，且加入域的计算机,3.1.2,域中计算机的角色,3.1 域的有关概念域控制器3.1.2 域中计算机的角色,3.1,域的有关概念,有许多计算机并不属于任何一个域，即以工作组模式运行着，从功能上来讲，也可将其分为两种角色：,独立服务器,安装了各种版本的,Windows Server,，但未加入域。它一旦加入域中，其角色便转化为“成员

8、服务器”。,一般客户端计算机,无论执行何种操作系统，只要未加入域，且不是独立服务器的计算机，都归为此类。它一旦加入域中，其角色便是“工作站”。,3.1.2,域中计算机的角色,3.1 域的有关概念有许多计算机并不属于任何一个域，即以工,3.1,域的有关概念,集中管理：,域中所有计算机共享了一个活动目录数据库，里面包含了整个域中的所有的资源信息、账户信息与安全信息。,安全级别较高：,由于域中所有安全信息都集中存储在活动目录数据库中，所以管理员可以通过指定强有力的安全策略来保证整个域的安全。,便于用户访问域中的资源：,在域的活动目录数据库中，管理员可以创建“域用户账户”。,一个域中无论有多少台计算机

9、，用户只要拥有域用户账户，便可访问域中所有计算机上允许访问的资源，即域用户账户对资源的访问范围可以是整个域，而非局限在一台计算机上。,域用户账户可以在加入域的任何一台计算机上登录，从而使用、访问该计算机上资源。,3.1.3,域的特点,3.1 域的有关概念集中管理：域中所有计算机共享了一个活动,3.1,域的有关概念,组织单位,（,Organizational Unit,，简称,OU,）,OU,是组织、管理一个域内的对象的容器，它能包容用户账户、用户组、计算机、应用程序、打印机和其它的,OU,。,域,(Domain),域是活动目录的核心单元，是对象（如计算机、用户、组织单位等）的容器，这些对象有相

10、同的安全需求、复制过程和管理。域管理员具有管理本域的所有权利，如果其它的域显式地赋予它管理权限，他还能够访问或管理其它的域。,域树,(Tree),3.1.4,活动目录的组织结构,3.1 域的有关概念组织单位（Organizational,3.2,域的创建,计算机必须运行,Windows Server 2003,标准版、企业版或数据中心版，,Web,版的计算机不能成为域控制器,安装者具有本地管理员权限,至少具有,250MB,的磁盘空间。其中，,200MB,的空间用于存放活动目录数据库，,50MB,的空间用于存放活动目录数据库的事务日志文件。,安装域控制器的服务器上至少要有一个,NTFS,分区。,

11、有,TCP/IP,设置（,IP,地址、子网掩码、,DNS,的,IP,等）,域结构的网络中必须有,DNS,服务器与其相配合。,DNS,服务器的作用是定位域控制器的位置。,3.2.1,安装域控制器的条件,3.2 域的创建计算机必须运行Windows Server,3.2,域的创建,安装过程演示：,3.2.2,域控制器的安装,3.2 域的创建安装过程演示：3.2.2 域控制器的安装,3.2,域的创建,计算机能加入域的先决条件是：,该计算机与域控制器能连通,在计算机上正确设置首选,DNS,服务器的,IP,地址,(,这里设为第一台,DC,的,IP),。,3.2.3,计算机加入或脱离域,客户端,1,（物理

12、机）,客户端,2,（虚拟机,2,）,IP,：,172.16.,220,.X+160/24,DNS,：,172.16.220.X+80/24,IP,：,172.16.220.X/24,域控制器,（虚拟机,1,）,IP,：,172.16.,220.,X+80/24,DNS,：,172.16.220.X+80/24,加入域,3.2 域的创建计算机能加入域的先决条件是：3.2.3 计,3.2,域的创建,3.2.3,计算机加入或脱离域,3.2 域的创建3.2.3 计算机加入或脱离域,3.3 域的管理,创建域用户账户：,3.3.1,创建与管理域用户账户,3.3 域的管理创建域用户账户：3.3.1 创建与管

13、理域用户,3.3 域的管理,限制用户登录域的时间：,3.3.1,创建与管理域用户账户,3.3 域的管理限制用户登录域的时间：3.3.1 创建与管理,3.3 域的管理,限制域用户账户只能从特定的计算机上登录域,3.3.1,创建与管理域用户账户,3.3 域的管理限制域用户账户只能从特定的计算机上登录域3.,3.3 域的管理,3.3.2,创建与管理域组账户,域组分类,安全组,通讯组（分布式组）,实现与安全性有关的工作和功能，可以通过给安全组赋予访问资源的权限来限制安全组的成员对域中资源的访问。如：可设置对某个文件有“读取”或“改写”的权限。,也可用在与安全无关的任务上，如：可以通过电子邮件软件将电子

14、邮件发送给安全组。,用在与安全无关的任务上。不能被赋予访问资源的权限。只能收发电子邮件，即分发组可以组织其成员的,E-MAIL,地址成为,E-MAIL,列表。利用这个特性使基于,AD,的应用程序就可以直接利用分发组来发,E-MAIL,给多个用户以及实现其他和,E-MAIL,列表相关的功能（例如在,Microsoft Exchange 2003 Server,中使用）。,本地域组,全局组,通用组,作用范围,该组所在的域内,所有受信任的域,所有受信任的域,成员,所有域的用户账户、全局组、通用组，以及本域的域本地组,本域的用户账户和全局组,所有域的用户账户、全局组和通用组,3.3 域的管理3.3.2

15、 创建与管理域组账户域组分类安全,3.3 域的管理,组织单位（,OU,）,OU,是一个容器，在,OU,中可以包含用户、组等其他对象，也可以在,OU,中建立子,OU,。,OU,容纳和组织对象的方式：,按对象类型来划分,按企业的组织结构来划分；,按地区来划分；,混合划分方法,3.3.3,创建与管理组织单位,3.3 域的管理组织单位（OU）OU是一个容器，在OU中,3.3 域的管理,创建组织单位,3.3.3,创建与管理组织单位,3.3 域的管理创建组织单位3.3.3 创建与管理组织单位,3.3 域的管理,向组织单位添加对象,3.3.3,创建与管理组织单位,3.3 域的管理向组织单位添加对象3.3.3

16、 创建与管理组,3.4 域中组策略的应用,3.4.1,认识组策略,通过,组策略,GPO,（,Group Policy Object,）来实现用户和计算机的集中配置和管理。这些设置包括安全选项、软件安装、脚本文件设置、桌面外观和用户文件管理等。,组策略的所有配置信息都保存在组策略对象,两类,GPO,：,系统内建的默认,GPO,默认域策略,（,Default Domain Policy,）：该策略将影响域中的所有用户和计算机。,默认域控制器组策略,（,Default Domain Controllers Policy,）：通常只影响到域中所有的域控制器。,用户自定义,GPO,3.4 域中组策略的应用3.4.1 认识组策略通过组策略G,3.4 域中组策略的应用,创建和管理,GPO,的工具：,组策略管理控制台,GPMC,它不是,Windows Server 2003,内置的工具，但可以从微软网站免费下载。该工具可以完成对组策略的各种配置和管理，包括备份，还原和生成组策略报表。,Active Directory,用户和计算机,用于管理域和,OU,的组策略,Active Directory,站点和