您好,欢迎访问三七文档
一.Windowsserver2003域概述1.1,域及目录服务概述1.2.目录服务基本组成1.3目录服务的实现1.4域用户账户1.5组的实现和管理二,组策略2.1组策略介绍:2.2组策略的结构2.3组策略的创建及链接2.4组策略的生效时间:2.5组策略的继承关系:2.6组策略的常用配置:一.Windowsserver2003域概述•在一个小型网络中,我们用工作组的方式来管理网络。但当计算机超过10台时,我们可以将多台网络中的计算机逻辑上组织到一起,对这些计算机进行集中管理。这些多台计算机组成的逻辑环境叫做域(domain)。域中的重要信息都集中存储在数据库中,例如用户账户,组账户,打印机信息和共享文件夹信息等,存储这些信息的数据库叫做activedirectory(AD)数据库。•Windowsserver2003域可以简化网络资源的管理工作,可以在域控制器(DC)上完成绝大部分的管理工作。只要用户用域账户登陆到网络,就可以访问域中所有权限访问的资源.域中可以存放大量的资源,用户可以利用搜索功能,快速查找到需要的对象。域的管理员也可以利用安全管理工具(组策略)来限制用户的操作,从而保障网络的安全.1.1,域及目录服务概述activedirectory是一个结构,它是对网络中各式各样的资源和服务的一种统一的,集中的组织方式和管理模式.可以从以下来理解activedirectory.1,是一个数据库:首先也是最重要的一点。在一个计算机网络上存在着许多网络资源。用户必须能够定位和使用这些资源,管理员必须能够管理这些资源如何被使用。activedirectory在一个集中的位置存储所有使用和管理这些资源所需要的信息,有效集中的组织,查找和管理网络中的资源。活动目录好比图书馆的图书目录,图书目录存放了这个图书馆的图书信息,便于查阅。2.是一个目录服务:它不仅仅是存储网络资源信息的目录,还包括使得这些资源对用户和应用程序可用的所有服务。这正如通常的数据库管理系统(DBMS)一样,不仅包括数据的存储,还包括使得所有存储数据有效,安全,方便的提供给用户和应用程序的各种服务。3.可以定制activedirectory:存放在活动目录中的资源。如用户,组,计算机和打印机等都称为活动目录对象。对象属性是目录中对象的特性。如“打印机”这个对象则有位置,描述等属性。为了包括一些额外的对象和对象属性,可以定制activedirectory.使得它具有可扩展性。意识是:可添加活动目录对象,也可以更改活动目录对象的属性。活动目录为管理员和网络用户提供了很多易管理和易使用的特性:1.简化管理。由于活动目录的集中存储性质,简化了网络的管理,管理员可以集中管理活动目录,并通过管理活动目录,进而管理整个网络中的用户,计算机,打印机,服务器等网络资源。2.可扩展行:目录可以随着公司或组织的增长而一同扩展。允许用户从一个具有几百个的小型网络环境发展到拥有几百万的大型网络环境。3.便捷的网络访问:activedirectory允许快捷,方便的查询网络资源,从而让用户集中在工作上而不是在工具上。允许用户一次登陆网络就可以访问网络中的所有该用户有权限访问的资源。并且,用户访问网络资源,不必知道资源所在的物理位置。即使物理资源改变了原来的物理位置,对于活动目录来讲,也没有任何的影响。用户依然可以像以前一样在目录中找到它,就像它没有移动,这对于用户来讲是非常方便的。注:如果用户对所查询的资源没有相应的权限,用户将不能找到该资源,或者无法使用该资源。1.2.目录服务基本组成Activedirectory包含逻辑和物理两种结构。逻辑结构包括:1.域:域是活动目录中逻辑结构的核心单元,是共享同一个安全和管理界限的资源。活动目录可以由一个或多个域构成,一个域也可以跨越多个物理位置。2.组织单元:组织单元(organizationunit,简称OU).是一个域里的逻辑容器它可以将用户账户,组,计算机和打印机等对象组织起来,一般OU对应公司的一个行政部门。3.树:树是一个或多个域的层次组合,树中的域共享连续的名称空间和成次的名称结构。如。Tongyi.com和wx.tongyi.com.4.森林:域林是一颗或多颗完全独立的域树的逻辑组合。域林中的每颗域树有不同的名称空间。物理结构包括:1.站点:站点一般与物理位置相对应,他由一个或多个告诉连接的物理子网组成。2.域控制器:域控制器(domaincontroller简称DC)就是存储活动目录的地方,一个域可以有一个或几个域控制器。1.3目录服务的实现实现活动目录服务必须先安装一台域控制器;1.Activedirectory的安装与卸载;•安装者必须具有本地管理员权限•操作系统的版本必须满足条件•本地磁盘至少有一个分区是NTFS文件系统•系统盘应该有足够的剩余空间•有相应的DNS服务器支持满足以上几个条件就可以进行活动目录的安装了;点击-开始-运行-输入dcpromo回车下一步:选择域控制器的类型•新域的域控制器1.在新林中的域2.在现有林中的域树•现有域的额外域控制器这里我们选择-〔在新林中的域〕-并点击〔下一步〕输入新域的DNS名称,如。Tongyi.com然后系统会提示activedirectory数据库和SYSVOL文件夹的存储位置。其中SYSVOL文件夹的存储位置必须是NTFS文件系统。它在域建立完成后被设置为共享,以让其他域控制器和客户端访问。SYSVOL文件夹中存放了一些域中的公用文件和服务器的副本,以及在域中设置的各种策略和各种脚本。在创建完域控制器后,需要将其他的服务器和客户端计算机加入到域中;用户必须在本地客户计算机上拥有管理员权限才能将其加入到域中。以windowsxp/2000profesional客户端计算机为例。首先检查客户机的网络配置:•确保网络物理上连通•设置IP地址•检查客户机到服务器是否连通•将客户机配置成根域DNS服务器的客户端。在客户机计算机上系统属性中的-计算机名-通过更该按钮-打开加入域的对话框。提示:客户端按照加入域的方式加入莫一个工作组里,就会自动从域中退出。2.OU的创建在activedirecroty中,域一般对应于公司级别,而OU则对应于公司中的部门。也可以在OU中建立子OU,用户和组。可以对莫个普通用户授权,让其纸具有管理莫个OU的权利。OU常见的设计方式:•基于管理对象的ou•基于地理位置的ou•基于业务功能部门的ou•基于项目的ou3.域的模式:•混合模式(包括所有的系统版本)•Windows2000本机模式(包括2003和2000)•Windowsserver2003模式1.4域用户账户用户如果想访问一个基于windowsserver2003的活动目录网络中的资源,就需要有一个合法的域用户账户。与工作组中的本地账户相同,域用户账户存储在网络中的集中位置,即活动目录中,用户只要拥有一个域用户账户,就可以登陆到域并访问其他计算机上的资源,实现了单一账户,单一登陆,从而简化了账户管理。1.域用户账户的创建:创建一个域用户账户需要考虑一下几个方面•域用户账户的命名规则:这有利于管理员和用户记忆注意事项注释唯一用户登录名域用户的登录名在目录中是唯一的,显示名在OU中是唯一的长度20字符登录名可以最多20个大写或小写字符(不区分大小写)非法字符用户名不能出现一下字符()?/\;+=[]雇员类型能够体现出雇员身份.例如是临时雇员还是正式雇员2.域用户账户的密码规则:设置安全密码需要考虑一下方面•Administrator账户必须设置复杂口令,并且要尽量减少知道此口令的人数•避免使用电话号码,人名,地址,生日等作为口令•密码长度最好在8位以上•密码中应该包括大小写字母,数字和特殊符号,例如:a!3DX!k93.设定密码中的选项说明•用户在下次登录时必须更改密码•用户不能更改密码•密码用不过期•禁用账户4.域用户账户的删除和移动•移动域用户账户•删除用户账户(SID安全标识符)5.配置域用户账户的属性•登录时间•登录到•账户过期6.配置文件默认路径是\documentsandsettings\%usrname%文件夹里。为了能让用户在域中所有的计算机上登录时,都能看到自己的界面和文件,可以用漫游配置文件。漫游配置文件的原理是:将用户的配置文件放到一个服务器的共享文件夹里,然后在用户的属性里指向配置文件所在的网络路径。1.5组的实现和管理组(group)是用户账户的集合。通过向一组用户分配权限而不是向用户分配权限来简化管理。总的来说组有一下特点:•一个用户加入组,就会继承该组的所有权限•一个用户可以加入多个组•组也可以加入组1.组的分类•安全组•通迅组2.组的作用域与成员资格•本地域组(domainlocal):用于资源管理•全局组(globalgroup):用于组织用户账户•通用组(universalgruop):用于跨域的资源访问组类型作用域成员通用组任何域树或林中任何域中指派权限包括域树或林中任何域中的其他组和账户全局组可在林中的任何域中指派权限包括其所在域中的其他组和账户本地域组同一域内指派权限所有域中的其他组和账户我们在对资源进行授权时一般应遵循以下规则(单域模式):A-----------G----------------DL------------PAccount(用户账户)-global(全局组)-domaillocal(本地域组)-permissious(资源)多域模式:A---------G----------U-----------DL-------P二,组策略2.1组策略介绍:目的:集中管理用户和计算机环境。•活动目录容器:cite,domain,ou中含有user,computer两种对象,只有这两种对象受gp(组策略)控制。•不在容器的user,computer不受这个容器的GP控制。•一个GP可以应用到多个容器上(cite,domain,ou).•降低了控制用户和计算机环境的总费用,提高管理效率,GP基于AD的,其设置和管理都在AD中进行。通过AD的控制机制作用到user和computer上。2.2组策略的结构•组策略对象:GPO作用:用于保存所有的GP设置保存在两个地方:组策略容器(GPC):在活动目录-system-policies(usercompter)组策略模板(GPT):在域控制器-sysvol\sysvol(策略和脚本)•组策略链接:GOPLINK作用:通过把GPO链接到容器上来执行GP2.3组策略的创建及链接:一般用微软的gpms插件来管理组策略;手动启用计算机的策略配置:命令提示符-gpupdate/targer:computer/force手动启用用户的策略配置:命令提示符-gpupdate/targer:user/force2.4组策略的生效时间:2.5组策略的继承关系:•默认继承•阻止继承•强制继承•阻断继承2.6组策略的常用配置:•管理模板•脚本•文件夹重定向•软件分发2.7WMI筛选器:•8.组策略设计方案建议•(把计算机和用户要分别放到不同的OU中,可先建计算机和用户两个OU再在这两个OU下按地理位置划分总的OU然后在按组织结构划分子OU)
本文标题:AD应用
链接地址:https://www.777doc.com/doc-3387295 .html