2019年9月6日2时21分第1页子项目一:网络操作平台部署与配置2019年9月6日2时21分第2页2019年9月6日2时21分第3页企业需求某企业网络目前有数据信息点1000多个,为了实现企业信息化管理,准备架设服务器。要求各应用服务器和部门服务器选择安装操作系统平台,并设置合适的网络资源管理方式。2019年9月6日2时21分第4页需求分析需求:安装服务器网络操作系统平台。分析:从易用性和维护方便考虑,域控制器应当选择安装Windows2000/2003操作系统。由于各内部服务器的安全性要求较低,从易用性考虑,也应选择安装Windows2000/2003操作系统。对于直联外网的堡垒主机,从安全性和稳定性考虑,可以考虑选择安装LINUX操作系统。2019年9月6日2时21分第5页需求分析需求:设置合适的网络资源管理方式分析:网络规模较小时,可采用工作组方式;网络规模较大时,采用域管理模式(本例)。2019年9月6日2时21分第6页技术要点要实现上述任务,需要以下技术支持:1、网络操作系统安装:用以部署服务器操作系统平台。2、活动目录安装:用以配置域控制器。3、用户管理:用以为用户和网络资源设置权限。2019年9月6日2时21分第7页一、网络操作系统概述网络操作系统的功能网络操作系统与运行在工作站上的操作系统,由于提供的服务类型不同而有差别。桌面计算机的操作系统,如WindowsXP,其设计目的是让用户在本机上运行的各种应用性能最佳。而一般情况下,网络操作系统是以使网络相关特性最佳为目的的。如共享数据文件、软件应用以及共享硬盘、打印机、调制解调器、扫描仪和传真机等。2019年9月6日2时21分第8页常用的网络操作系统1.Windows类界面友好,应用广泛。WindowsNTServer、Windows2000Server、WindowsServer2003。2.NetWare类对网络硬件的要求较低。3.Unix系统功能强大。4.Linux。自由开放,成本低廉。Debian,redhat(红帽)、ubuntu。2019年9月6日2时21分第9页域和工作组在工作组中:所有的计算机都是对等的,没有计算机可以控制另一台计算机。每台计算机都具有一组用户帐户。若要使用工作组中的任何计算机,您必须具有该计算机上的帐户。通常情况下,计算机的数量在十台到二十台之间。所有的计算机必须在同一本地网络或子网中。在域中:有一台或多台计算机为域控制器。网络管理员使用域控制器控制域中所有计算机的安全和权限。这使得更容易进行更改,因为更改会自动应用到所有的计算机。如果具有域上的用户帐户,您就可以登录到域中的任何计算机,而无需具有该计算机上的帐户。可以有成百上千台计算机。计算机可以位于不同的本地网络中。2019年9月6日2时21分第10页2019年9月6日2时21分第11页二、安装和配置WindowsServer20032019年9月6日2时21分第12页2.1WindowsServer2003介绍WindowsServer2003的4个版本WindowsServer2003Web版WindowsServer2003标准版WindowsServer2003企业版WindowsServer2003Datacenter版2019年9月6日2时21分第13页安装WindowsServer2003企业版的硬件需求硬件需求最小CPU速度基于X86的计算机:133MHz基于Itanium的计算机:733MHz推荐CPU速度基于X86的计算机:550MHz最小RAM容量基于X86的计算机:128M基于Itanium的计算机:1G推荐RAM容量基于X86的计算机:256MB最大RAM基于X86的计算机:32G基于Itanium的计算机:64G多处理器支持基于X86的计算机:最多8个处理器基于Itanium的计算机:最多8个处理器安装所需的磁盘空间基于x86的计算机:1.25GB到2GB基于Itanium的计算机:3GB到4GB2019年9月6日2时21分第14页安装或升级WindowsServer2003的注意事项最好不要在正在使用的服务器上安装新操作系统做好备份注意多系统共存2.2安装WindowsServer2003演示VMwareWorkstation的使用方法演示安装WindowsServer2003企业版2019年9月6日2时21分第15页2019年9月6日2时21分第16页创建磁盘分区安装WindowsServer2003要点2019年9月6日2时21分第17页选择文件系统2019年9月6日2时21分第18页选择授权模式2019年9月6日2时21分第19页输入计算机名和管理员密码2019年9月6日2时21分第20页WindowsServer2003完整安装流程安装WindowsServer2003安装服务包(SP2)硬件设备驱动安装杀毒软件联网升级杀毒软件联网升级安全补丁软件配置2019年9月6日2时21分第21页三、Windows2003工作组和用户管理2019年9月6日2时21分第22页3.1工作组的特性每一台计算机管理自己每一台计算机都在本地存储用户的账户。工作组中计算机的数量最好不要超过10台。用户在工作组中使用本地账户登录到计算机,一个账户只能登录到一台计算机。2019年9月6日2时21分第23页3.2创建和管理本地用户账户本地账户存储在本地计算机上的SAM中本地账户能够并且只能够登录到本地计算机本地账户可以用“计算机管理”中的“本地用户和组”来管理本地账户主要用于工作组环境中2019年9月6日2时21分第24页创建本地用户账户使用计算机管理工具进行用户管理需要用户名全名描述密码相关选项2019年9月6日2时21分第25页创建本地用户账户(Cont.)用户名:用户名最长20字符,不区分大小写,也可以使用中文,但不能使用一些特殊字符(/\[]:;|=,+*?)全名和描述:此信息为可选项,可以输入一些员工的个人信息和公司信息,如姓名和部门等;密码和确认密码:密码的最大长度可以达到127位,密码的设置不应过于简单,应该使用字母、数字及特殊符号的组合。2019年9月6日2时21分第26页创建本地用户账户(Cont.)用户下次登录时必须更改密码用户不能更改密码密码永不过期账户已禁用保障用户隐私用于共享账户默认42天过期暂时禁止登录2019年9月6日2时21分第27页更改账户密码重设密码一般由管理员完成更改密码一般由用户完成2019年9月6日2时21分第28页重命名和删除账户重命名用户删除用户SID:S-1-5-21-1292074401-2054391636-2487779615-500删除后不能重建2019年9月6日2时21分第29页使用本地组当一个用户加入到一个组以后,该用户会继承该组所拥有的所有权限;一个用户账户可以同时加入到多个组;有些情况下,组可以加入到其他组,或者说组里可以包括组。2019年9月6日2时21分第30页创建本地组创建组使用计算机管理工具中的用户和组管理需要输入组名和描述可以直接添加成员2019年9月6日2时21分第31页内置组默认本地组自动建立拥有特殊的权限有些组是动态的2019年9月6日2时21分第32页管理本地组本地组的管理修改组成员删除组SID重命名组成员和权限不变ALP策略2019年9月6日2时21分第33页四、实现WindowsServer2003域2019年9月6日2时21分第34页域域控制器4.1WindowsServer2003域概述域是基本管理单位域中可包含大量对象计算机用户打印机共享文件夹域是活动目录的组成部分OU1DomainComputersUsersOU2UsersPrintersComputer1User1Printer1User2OU2OU1User1Computer1Printer1User22019年9月6日2时21分第35页域、域树、域森林根域下面可以建立多层子域域和子域构建成域树多棵域树构建成森林域之间自动建立双向信任关系2019年9月6日2时21分第36页Abc.comTianjin.abc.comBeijing.abc.com树双向信任关系Xyz.com双向信任关系Tianjin.xyz.comBeijing.xyz.com树域、域树、域森林2019年9月6日2时21分第37页OU-组织单位OU是活动目录中的一种对象OU中可以建立子对象利用OU可以模拟管理模型OUOUOU对象2019年9月6日2时21分第38页域控制器域控制器是存储活动目录数据库的计算机一个域最少一台域控制器多台域控制器需要同步数据库域控制器域控制器域复制2019年9月6日2时21分第39页4.2活动目录安装安装者必须具有本地管理权限操作系统必须满足条件(WindowsServer2003Web版除外都满足)本地磁盘至少有一个分区是NTFS文件系统系统盘应该有最少300MB的剩余空间。安装TCP/IP协议和相应的DNS服务器支持。2019年9月6日2时21分第40页启动活动目录安装程序启动安装向导使用管理您的服务器向导使用命令DCPROMO配置域控制器演示安装活动目录2019年9月6日2时21分第41页2019年9月6日2时21分第42页4.3活动目录的配置与管理可以根据各种因素创建OU功能型SCMS–SalesC–ConsultantsM-Marketing混合型例子功能组织位置功能组织位置组织型MERM–ManufacturingE–EngineeringR-Research位置型NFIN–NorwayF–FranceI–Indonesia2019年9月6日2时21分第43页域用户账户本地用户帐号(存储在本地计算机)域用户帐号(存储在活动目录中)WindowsServer2003域2019年9月6日2时21分第44页配置域用户账户的属性登录名登录时间可以登录的计算机配置文件/主文件夹2019年9月6日2时21分第45页组组也可以加入组一个用户可以加入多个组GroupGroup一个用户账户加入组,就会继承该组所有的权限GroupGroupGroupGroupGroupGroup2019年9月6日2时21分第46页组作用域1.本地域组。(localdomaingroup)用户范围:任何域中的用户帐户和全局组。森林中任何域中的用户帐户,全局组和通用组以及本地域中的本地域组。可加入的组:不能是任何组成员,只能是本域中的本地域组。作用范围:只在其自己的域中可见。权限范围:只能在本地域组所在的本域中MS建议的规则:基于资源(夹、打印机……)规划。2019年9月6日2时21分第47页组作用域2.全局组。(globalgroup)用户范围:本域中的所有用户。可加入的组:林中所有任域的本地域组。作用范围:在本域和所有信任域中都是可见的。权限范围:森林中所有的域。MS建议的规则:基于组织结构、行政结构规划。2019年9月6日2时21分第48页组作用域3.通用组(universalgroup)用户范围:森林中任何域中的用户帐户。全局组和其他的通用组。可加入的组:任何域中的本地域组和通用组。作用范围:在森林中的所有域中都是可见的。权限范围:整个林和所有的信任域。通用组的成员情况,记录在全局目录GC(全局编录)中,非常适于林中的跨域访问使用,集成了全局组和本地域组的优处。2019年9月6日2时21分第49页组的分类组的类型说明安全组用于设置用户权限和权利,也可用于邮件分布列表通讯组只用于邮件分布列表2019年9月6日2时21分第50页管理域中的组创建组设置组信息添加组成员设置组管理者2019年9月6日2时2