第4章 域和活动目录的管理.ppt

第4章 域和活动目录的管理 4.1域和活动目录的管理 4.2 用户和用户组的管理 内容提要 活动目录的概念、特点、规划 活动目录的升级 域的相关概念 域控制器对域中各种对象的管理 用户和用户组的相关概念 创建和管理用户和组账户 4.1域和活动目录的管理 4.1.1活动目录 4.1.2域及其相关概念 4.1.3管理域控制器 4.1.1活动目录 1. 活动目录 （1）活动目录简介 活动目录包括两个方面：目录和与目录相关的服务。 （2）活动目录的目录服务具有以下特性： ① 数据存储，也称为目录，存储有关活动目录对象的信息 ② 一系列规则定义了目录中对象的类和属性、这些对象范例的限制以及名称的格式 4.1.1活动目录 ③ 全局目录包含了目录中所有对象的信息 ④ 查询和索引机制使得网络用户或应用程序可以发布和查找对象及其属性 ⑤ 复制服务负责在网络中分配目录数据 ⑥ 为保证网络登录过程的安全，以及对目录数据查询和数据修改的访问控制，将安全子系统与之集成 ⑦ 为获得活动目录的最大效益，通过网络访问活动目录的计算机必须运行正确的客户软件。 4.1.1活动目录 （3）活动目录规划 活动目录规划是确定对象及有关对象信息类型的定义或元数据的列表，可以将其存储在活动目录中。组成规划的元数据有两种类型—类和属性 2. 活动目录的特点 （1）信息安全性 （2）基于策略的管理 （3）扩展性 （4）可调整性 4.1.1活动目录 （5）信息复制 （6）与 DNS 集成 （7）与其他目录服务的内部操作 （8）灵活的查询 3. Windows 2000中活动目录的特点 4. 升级活动目录 在Windows 2000 Server中，通过升级活动目录，用户既可以建立域中的第一台“域控制器”，也可以建立起其他的域控制器 4.1.2域及其相关概念 1. 域 域在活动目录中定义安全边界。活动目录由一个或多个域组成。每个域均拥有与其他域相关的安全策略和安全关系 2. 域树 域树由多个域组成，这些域共享同一表结构和配置，形成一个连续的名字空间 3. 域树林 域树林是指由一个或多个没有形成连续名字空间的域树组成，它与上面所讲的域树最明显的区别就在于这些域树林之间没有形成连续的名字空间，而域树则是由一些具有连续名字空间的域组成 4.1.2域及其相关概念 4. 域信任关系 域信任关系是一种建立在域间的关系，它使得一个域中的用户可由另一域中的域控制器进行验证。所有域信任关系中只有两种域：信任关系域和被信任关系域 （1）传递 （2）不传递 （3）单向 （4）双向 5. 组织单位 组织单位是可指定组策略或代表管理权限的最小领域或单位 。使用组织单位可在域中创建容器，该域表示组织中的等级和逻辑结构。 4.1.2域及其相关概念 6. 活动目录站点和服务 7. 组 组是活动目录或本地计算机对象，它包含用户、联系、计算机和其他组。 8. 活动目录用户和计算机账户 （1）活动目录用户账户 （2）计算机账户 9. 域控制器 10. 名字空间 11. 对象 12. 容器 4.1.3管理域控制器 1. 查找域控制器 4.1.3管理域控制器 2. 管理不同的域 4.1.3管理域控制器 4. 委派控制 4.1.3管理域控制器 4. 委派控制 4.1.3管理域控制器 5. 管理单个主机操作 4.2 用户和用户组的管理 4.2.1账户管理中的基本概念 4.2.2创建和管理用户账户 4.2.3用组管理用户账户 4.2.4 Windows 2000中组的使用 4.2.1账户管理中的基本概念 1. 基本概念 （1）用户（User） 用户指的是一个实实在在的人，计算机的使用者。正像一个人可以拥有多个银行账户和密码一样，一个用户也可以有一个或多个账号及密码 （2）用户账号（USER Account）和密码（Password） （3）用户权限（USER Right） （4）建立账号的最小特权原则 2. 用户账户类型 （1）内置用户账户 安装完操作系统后就存在的、不需要建立就存在的账户被称为内置账户或自代账户。 4.2.1账户管理中的基本概念 ②类型 l? Administrator:管理计算机（域）的内置账户 l Guest：供来宾访问计算机或访问域的内置账户 l? IUER_：匿名访问Internet信息服务的内置账户 l? IWAM_：启动进程之外的应用程序的Internet信息服务的内置账户 l? Krbtgt：密钥发行中心服务账户 l NetShowService：Windows Media服务在此账户下运行