第3章 域的创建与管理

Windows网络操作系统2020年3月28日星期六第1页企业要构建一个办公网络，考虑到业务发展的需要，以及网络的安全性，需要对重要的公共资源和计算机使用人员的信息实现集中管理。为此需要将原来基于工作组方式的网络升级为基于域的网络，现在需要将一台或多台计算机升级为域控制器，并将其它所有计算机加入到域成为成员服务器或工作站。同时对原来的本地用户账户和组按不同部门归类升级为域用户和组进行管理。项目背景第3章域的创建与管理2011年9月20星期二WINDOWS网络操作系统第1页Windows网络操作系统2020年3月28日星期六第2页课程导入大、中型企业网络有几百到上千的用户，资源也比较分散，这时候如何管理？“工作组”和“域”是Windows网络的两种管理方式。工作组每一台计算机都独立维护自己的资源，不能集中管理所有网络资源每一台计算机都在本地存储用户的账户一个账户只能登录到一台计算机工作组中的计算机的地位都是平等的，对于其他计算机来说既是服务器，也是客户机工作组的网络规模一般少于10台计算机域将网络中多台计算机逻辑上组织到一起，进行集中管理，这种区别于工作组的逻辑环境叫做域域是组织与存储资源的核心管理单元活动目录提供了存储网络上对象信息并使网络用户使用该数据的方法2011年9月20星期二WINDOWS网络操作系统第2页Windows网络操作系统2020年3月28日星期六第3页课程导入工作组域SAMSAMSAM单用户帐号ActiveDirectory2011年9月20星期二WINDOWS网络操作系统第3页Windows网络操作系统2020年3月28日星期六第4页第3章域的创建与管理了解：域的概念、特点，活动目录的结构，域用户账户、域组账户和组织单位的概念、特点和用途熟悉：域控制器的条件，活动目录的管理与维护，域组账户的使用原则掌握：创建域，将计算机加入或脱离域，将域控制器降级为独立服务器或成员服务器；域用户账户、域组账户和组织单位的管理本章学习目的2011年9月20星期二WINDOWS网络操作系统第4页Windows网络操作系统2020年3月28日星期六第5页3.1域的有关概念活动目录是存储网络上对象的相关信息并使该信息可供用户和网络管理员使用的目录服务。目录是一个数据库，用于保存与网络资源相关的信息结构、资源位置、安全信息及管理信息等。如：计算机、用户、组、打印机等的名称、描述、地理位置、访问权限等信息。目录服务是使目录中所有信息和资源发挥作用的服务。服务的主要表现是：网络中的所有用户和应用程序只需提供很少的信息就能准确定位到这些实体资源，保证用户能够快速访问。目录服务在网络安全方面也扮演着中心授权机构的角色，从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。域（Domain）是共用一个“目录服务数据库”有安全边界的计算机的集合。3.1.1认识Windows的域2011年9月20星期二WINDOWS网络操作系统第5页Windows网络操作系统2020年3月28日星期六第6页3.1域的有关概念3.1.1认识Windows的域教科书的目录网络的（活动）目录AD存储对象章、节的名称；页号基本单元（对象）：用户、组、计算机、文件、打印机、联系人等；综合单元：组织单元、域、域树、域林等提供的服务让读者快速查找、定位书上的信息对网上的各种资源实现集中统一的单点管理，让管理员和用户能够便捷地查找、定位和管理网上各类对象的信息，进儿使这些信息充分发挥作用。活动目录也作为网络安全的集中管理机构，使得操作系统可以验证用户的身分并控制用户对网络资源的访问。存储结构书的前几页域控制器DC，结构化的数据仓库大型数据库扩展性静态——不能增加条目动态／活动——①可以随着网络资源的增加而动态地进行扩展；②提供对网上资源实施系统管理、安全管理和互操作性等功能服务。2011年9月20星期二WINDOWS网络操作系统第6页Windows网络操作系统2020年3月28日星期六第7页3.1域的有关概念域控制器在一个域中，活动目录数据库必须存储在域中特定的计算机上，这样的计算机被称为域控制器（DomainController，简写为DC）。一个域可以有一个或多个域控制器，各域控制器是平等的。成员服务器那些安装了服务器版操作系统（如：WindowsServer2003或Windows2000Server），但未安装AD服务且加入域的计算机。工作站所有安装WindowsNTWorkstation、Windows2000Professional或WindowsXPProfessional系统，且加入域的计算机3.1.2域中计算机的角色2011年9月20星期二WINDOWS网络操作系统第7页Windows网络操作系统2020年3月28日星期六第8页3.1域的有关概念有许多计算机并不属于任何一个域，即以工作组模式运行着，从功能上来讲，也可将其分为两种角色：独立服务器安装了各种版本的WindowsServer，但未加入域。它一旦加入域中，其角色便转化为“成员服务器”。一般客户端计算机无论执行何种操作系统，只要未加入域，且不是独立服务器的计算机，都归为此类。它一旦加入域中，其角色便是“工作站”。3.1.2域中计算机的角色2011年9月20星期二WINDOWS网络操作系统第8页Windows网络操作系统2020年3月28日星期六第9页3.1域的有关概念集中管理：域中所有计算机共享了一个活动目录数据库，里面包含了整个域中的所有的资源信息、账户信息与安全信息。安全级别较高：由于域中所有安全信息都集中存储在活动目录数据库中，所以管理员可以通过指定强有力的安全策略来保证整个域的安全。便于用户访问域中的资源：在域的活动目录数据库中，管理员可以创建“域用户账户”。一个域中无论有多少台计算机，用户只要拥有域用户账户，便可访问域中所有计算机上允许访问的资源，即域用户账户对资源的访问范围可以是整个域，而非局限在一台计算机上。域用户账户可以在加入域的任何一台计算机上登录，从而使用、访问该计算机上资源。3.1.3域的特点2011年9月20星期二WINDOWS网络操作系统第9页Windows网络操作系统2020年3月28日星期六第10页3.1域的有关概念组织单位（OrganizationalUnit，简称OU）OU是组织、管理一个域内的对象的容器，它能包容用户账户、用户组、计算机、应用程序、打印机和其它的OU。域(Domain)域是活动目录的核心单元，是对象（如计算机、用户、组织单位等）的容器，这些对象有相同的安全需求、复制过程和管理。域管理员具有管理本域的所有权利，如果其它的域显式地赋予它管理权限，他还能够访问或管理其它的域。域树(Tree)3.1.4活动目录的组织结构2011年9月20星期二WINDOWS网络操作系统第10页Windows网络操作系统2020年3月28日星期六第11页3.2域的创建计算机必须运行WindowsServer2003标准版、企业版或数据中心版，Web版的计算机不能成为域控制器安装者具有本地管理员权限至少具有250MB的磁盘空间。其中，200MB的空间用于存放活动目录数据库，50MB的空间用于存放活动目录数据库的事务日志文件。安装域控制器的服务器上至少要有一个NTFS分区。有TCP/IP设置（IP地址、子网掩码、DNS的IP等）域结构的网络中必须有DNS服务器与其相配合。DNS服务器的作用是定位域控制器的位置。3.2.1安装域控制器的条件2011年9月20星期二WINDOWS网络操作系统第11页Windows网络操作系统2020年3月28日星期六第12页3.2域的创建安装过程演示：3.2.2域控制器的安装2011年9月20星期二WINDOWS网络操作系统第12页Windows网络操作系统2020年3月28日星期六第13页3.2域的创建计算机能加入域的先决条件是：该计算机与域控制器能连通在计算机上正确设置首选DNS服务器的IP地址(这里设为第一台DC的IP)。3.2.3计算机加入或脱离域客户端1（物理机）客户端2（虚拟机2）IP：172.16.220.X+160/24DNS：172.16.220.X+80/24IP：172.16.220.X/24域控制器（虚拟机1）IP：172.16.220.X+80/24DNS：172.16.220.X+80/24加入域2011年9月20星期二WINDOWS网络操作系统第13页Windows网络操作系统2020年3月28日星期六第14页3.2域的创建3.2.3计算机加入或脱离域2011年9月20星期二WINDOWS网络操作系统第14页Windows网络操作系统2020年3月28日星期六第15页3.3域的管理创建域用户账户：3.3.1创建与管理域用户账户2011年9月20星期二WINDOWS网络操作系统第15页Windows网络操作系统2020年3月28日星期六第16页3.3域的管理限制用户登录域的时间：3.3.1创建与管理域用户账户2011年9月20星期二WINDOWS网络操作系统第16页Windows网络操作系统2020年3月28日星期六第17页3.3域的管理限制域用户账户只能从特定的计算机上登录域3.3.1创建与管理域用户账户2011年9月20星期二WINDOWS网络操作系统第17页Windows网络操作系统2020年3月28日星期六第18页3.3域的管理3.3.2创建与管理域组账户域组分类安全组通讯组（分布式组）实现与安全性有关的工作和功能，可以通过给安全组赋予访问资源的权限来限制安全组的成员对域中资源的访问。如：可设置对某个文件有“读取”或“改写”的权限。也可用在与安全无关的任务上，如：可以通过电子邮件软件将电子邮件发送给安全组。用在与安全无关的任务上。不能被赋予访问资源的权限。只能收发电子邮件，即分发组可以组织其成员的E-MAIL地址成为E-MAIL列表。利用这个特性使基于AD的应用程序就可以直接利用分发组来发E-MAIL给多个用户以及实现其他和E-MAIL列表相关的功能（例如在MicrosoftExchange2003Server中使用）。本地域组全局组通用组作用范围该组所在的域内所有受信任的域所有受信任的域成员所有域的用户账户、全局组、通用组，以及本域的域本地组本域的用户账户和全局组所有域的用户账户、全局组和通用组2011年9月20星期二WINDOWS网络操作系统第18页Windows网络操作系统2020年3月28日星期六第19页3.3域的管理组织单位（OU）——OU是一个容器，在OU中可以包含用户、组等其他对象，也可以在OU中建立子OU。OU容纳和组织对象的方式：按对象类型来划分按企业的组织结构来划分；按地区来划分；混合划分方法3.3.3创建与管理组织单位2011年9月20星期二WINDOWS网络操作系统第19页Windows网络操作系统2020年3月28日星期六第20页3.3域的管理创建组织单位3.3.3创建与管理组织单位2011年9月20星期二WINDOWS网络操作系统第20页Windows网络操作系统2020年3月28日星期六第21页3.3域的管理向组织单位添加对象3.3.3创建与管理组织单位2011年9月20星期二WINDOWS网络操作系统第21页Windows网络操作系统2020年3月28日星期六第22页3.4域中组策略的应用3.4.1认识组策略通过组策略GPO（GroupPolicyObject）来实现用户和计算机的集中配置和管理。这些设置包括安全选项、软件安装、脚本文件设置、桌面外观和用户文件管理等。组策略的所有配置信息都保存在组策略对象两类GPO：系统内建的默认GPO默认域策略（DefaultDomainPolicy）：该策略将影响域中的所有用户和计算机。默认域控制器组策略（DefaultDomainControllersPolicy）：通常