《Windows2000网络基础教程与上机指导》第4章Windows2000域和组织单元管理

第4章Windows2000域和组织单元管理教学提示：域和组织单元作为活动目录逻辑结构中的重要组成部分，在网络管理中占有很重要的地位，特别是域控制器，它的故障可能会引起整个网络无法正常运行。而在大规模的组织结构中，Windows2000提供了层次化的管理方式即组织单元。域信任关系的管理可以进一步简化大规模的网络管理与控制。因此创建域信任关系，对域控制器进行管理，创建组织单元、对组织单元进行管理、委派不同层次用户执行不同的管理任务，都将是网络管理的重要内容。教学目标：本章介绍了Windows2000下的域模式及其转换、域控制器管理、域信任关系管理、组织单元创建和控制委派等概念及其操作，由于这些内容在实际网络管理中经常遇到，通过本章的学习，需要熟练掌握域和组织单元的相关操作。4.1Windows2000的域模式4.1.1Windows2000中的域4.1.2域模式4.1.1Windows2000中的域1.工作组和域Windows2000中网络内的服务器可以安装成工作组模式和域模式。2.域中计算机类型在一个域中，计算机分成以下3种类型。(1)域控制器作为域控制器的只能是安装了Windows2000Server的计算机，域控制器在一个网络中可以有多个。(2)成员服务器在一个域中，一台Windows2000Server服务器如果不是域控制器，就是成员服务器，如果不加入域就是独立服务器。(3)其他计算机其他未安装Windows2000Server的计算机，他们可以共享其他计算机提供的资源。返回4.1.2域模式1.混合模式2.本机模式3.域模式转换返回1.混合模式之所以叫混合模式，是因为允许运行Windows2000及其以前的版本，如WindowsNT的域控制器同时存在于一个域中。在混合模式下，以前版本的WindowsNT中的域特性仍然有效，但是一些Windows2000的特性在这种环境中是无效的。Windows2000Server域控制器的默认安装模式是混合模式。在混合模式下，域中可能已经存在WindowsNT4.0域控制器，混合模式下不支持组嵌套。返回2.本机模式在本机模式中，域中的所有域控制器都运行Windows2000Server。在本机模式中可以利用通用组、嵌套组成员身份和域内用户移动等Windows2000Server的新功能。其中通用组是用户账户的集合，可以包含来自目录林中任何ActiveDirectory域的成员，可以给通用组指派权限，以便使他们能够访问目录林中任一成员计算机上的资源。通用组只在本机模式中才有效。返回3.域模式转换域在第一次安装时的模式是混合模式。域模式可以从混合模式更改为本机模式，但不能把本机模式更改成混合模式。只有域中的所有域控制器都运行Windows2000Server的情况下，才能将运行Windows2000Server的域控制器，并且最好是所有运行Windows2000Server的域控制器，更改到本机模式。返回4.2域控制器的管理4.2.1域控制器与全局目录4.2.2设置域控制器属性4.2.3连接到其他域4.2.4更改域控制器4.2.1域控制器与全局目录1.域控制器域是活动目录的分区，域区分安全边界，在没经授权的情况下，不允许其他域中的用户访问本域中的资源。活动目录可以由一个或多个域组成，每个域可以存储多个对象，域之间有层次关系，可以建立域目录树和域目录林进行域扩展。活动目录结构中目录存储的惟一形式是域控制器。2.全局目录尽管活动目录支持多主机复制方案，然而由于复制引起的通信流量以及网络潜在的冲突，目录信息变化的传播并不一定能够顺利进行。因此在域控制器中使用全局目录服务器来减少流量和冲突。全局目录是一个信息仓库，包含活动目录中所有对象的部分属性，这些属性往往是查询过程中访问最为频繁的属性。返回4.2.2设置域控制器属性域控制器常常是网络正常运行的中心，因此，用户必须根据网络运行情况合理地设置域控制器的属性。通过设置域控制器属性，不但可以确定域控制器的位置、操作系统和常规属性，而且还可以设置域控制器的组和管理人。返回4.2.3连接到其他域在规模较大的网络中，往往存在多个域，用户常常需要将当前域连接到其他域，以使当前域中的用户和计算机能访问其他域中的资源，同时将当前域控制器的部分操作主机功能传送给其他域控制器，或将当前域控制器更改为其他域中的域控制器。返回4.2.4更改域控制器当域控制器出现故障，不能正常运行时，往往会导致有域网络不能正常运行，这时可以通过更改域控制器来保证网络正常运行。由于Windows2000中的域控制器不再区分为主域控制器和辅助域控制器，且每个域控制器保存着相同的活动目录的所有信息，因此更改域控制器只须建立当前域与其他任何可写的域控制器连接即可。返回4.3域信任关系管理4.3.1域信任关系概述4.3.2单向域信任关系及其建立4.3.3双向可传递域信任关系的建立4.3.1域信任关系概述域不仅是安全边界，而且还是复制与管理的边界。根域管理员组、域管理员组和企业管理员组的成员可以轻易地访问域目录林中的任何机器。将资源真正隔离的惟一办法就是将它们放入分离的域林中。活动目录通过提供域间的信任关系来实现跨域的安全。当域间有信任关系时，每个域的认证机构都信任所有它信任的域的认证机构，也信任该认证机构认可的用户和计算机以及资源。相反的，一个域上的域用户在该域的信任域上也是有效的用户，能够访问信任域上的资源。同一目录林中的Windows2000域相互之间存在可传递的信任关系。在Windows2000目录林中，每个树中的根域之间存在隐式的可传递信任关系。单个树中所有相邻的域之间还存在双向的隐式可传递信任关系。返回4.3.2单向域信任关系及其建立在域管理的过程中，除了有双向的隐式信任关系外，也可能需要在域之间建立显式的信任关系。WindowsNT4.0域和Windows2000域之间就必须建立显式的信任关系，因为WindowsNT4.0不能加入与Windows2000域的可传递信任关系。另外也可能需要在不同目录林中实现域的彼此信任，也需要显式加入双向信任关系。Windows2000允许在域之间建立单向可传递信任关系。如果想在目录林之外的一个目录林中运行MicrosoftProxyServer2.0或MicrosoftInternetSecurityandAcceleration(ISA)Server2000，单向可传递信任关系特别有用。从防火墙域到内部域的单向信任使得内部域中的账户受外部域的信任，但不允许内部域信任外部域中的。这是一种不可传递的单向信任关系。返回4.3.3双向可传递域信任关系的建立建立双向信任关系的步骤与过程同建立单向信任关系的过程相同，同4.3.2节所叙述的步骤。但上述步骤建立的是第二个域到第一个域的单向信任关系，要建立双向信任关系，还必须完成第一个域到第二个域的单向信任关系。把4.3.2节中在第一个域上实现的操作在第二个域上再次操作，而在第二个域上执行的操作在第一个域上再次操作，并注意更换信任域和受信任域的名字，就建立了第一个域到第二个域的单向信任关系。这样两个域就完成了双向信任关系的建立。这里对建立第一个域到第二个域的单向信任关系的步骤不再详细叙述，读者可按照4.3.2节的步骤自行操作完成。返回4.4组织单元的管理4.4.1创建组织单元及组织单元对象4.4.2管理组织单元4.4.3委派管理权限组织单元是活动目录的逻辑结构之一，可向组织单元容器中添加各种活动目录对象，如计算机、用户、组、共享文件、打印机、组织单元等。组织单元可以嵌套，即一个组织单元下面可以再建立组织单元，并且没有层数限制。组织单元是域对象之一，只能存在于域中，而域不能存在于组织单元中。4.4.2管理组织单元组织单元的管理包括对组织单元本身属性的设置和移动组织单元中的对象。在实际应用中，组织单元往往对应于一个公司的几个部门，则人员、打印机等在不同部门之间可能需要经常流动，组织单元提供了对象根据需要进行移动的管理。返回4.4.3委派管理权限在大型应用环境中，由中心的网络管理员来管理全部网络、用户及其授权是不现实的，因此常常需要把集中的权限根据组织单元的划分分配到不同的部门或机构中，来实现不同层次的网络管理。因为组织单元往往与实际应用中的组织单元或部门相对应，所以委派权限经常通过组织单元来实施。在委派实施过程中先选择委派的用户，然后选择委派的任务，确定委派的范围，最后是委派的权限。委派管理权限使用控制委派向导完成。返回4.5上机指导4.5.1更改域模式4.5.2建立双向域信任关系这一实验需要两台计算机相互配合，并且先要对两个域的DNS进行配置，两个域的域名都要在同一DNS中进行解析，两个域之间能够通过域名互相访问。在这里我们假设一个域为a.com域，另一个域为b.com域。4.5.3对创建的组织单元委派权限