域管理
域管理系統(tǒng)? 域和工作組域和工作組是針對網(wǎng)絡(luò)環(huán)境中的兩種不同的網(wǎng)絡(luò)資源管理模式。在一個網(wǎng)絡(luò)內(nèi),可能有成百上千臺電腦,如果這些電腦不進行分組,都列在“網(wǎng)上鄰居”內(nèi),可想而知會有多么亂。為了解決這一問題,
域管理系統(tǒng)
? 域和工作組
域和工作組是針對網(wǎng)絡(luò)環(huán)境中的兩種不同的網(wǎng)絡(luò)資源管理模式。
在一個網(wǎng)絡(luò)內(nèi),可能有成百上千臺電腦,如果這些電腦不進行分組,都列在“網(wǎng)上鄰居”內(nèi),可想而知會有多么亂。為了解決這一問題,Windows 9x/NT/2000就引用了“工作組”這個概念,將不同的電腦一般按功能分別列入不同的組中,如財務(wù)部的電腦都列入“財務(wù)部”工作組中,人事部的電腦都列入“人事部”工作組中。你要訪問某個部門的資源,就在“網(wǎng)上鄰居”里找到那個部門的工作組名,雙擊就可以看到那個部門的電腦了。
在對等網(wǎng)模式(PEER-TO-PEER )下,任何一臺電腦只要接入網(wǎng)絡(luò),就可以訪問共享資源,如共享打印機、文件、ISDN 上網(wǎng)等。盡管對等網(wǎng)絡(luò)上的共享文件可以加訪問密碼,但是非常容易被破解。在由Windows 9x構(gòu)成的對等網(wǎng)中,數(shù)據(jù)是非常不安全的。一般來說,同一個工作組內(nèi)部成員相互交換信息的頻率最高,所以你一進入“網(wǎng)上鄰居”,首先看到的是你所在工作組的成員。如果要訪問其他工作組的成員,需要雙擊“整個網(wǎng)絡(luò)”,就會看到網(wǎng)絡(luò)上所有的工作組,雙擊工作組名稱,就會看到里面的成員。
你也可以退出某個工作組,只要將工作組名稱改動即可。不過這樣在網(wǎng)上別人照樣可以訪問你的共享資源,只不過換了一個工作組而已。你可以隨便加入同一網(wǎng)絡(luò)上的任何工作組,也可以離開一個工作組。“工作組”就像一個自由加入和退出的俱樂部一樣,它本身的作用僅僅是提供一個“房間”,以方便網(wǎng)絡(luò)上計算機共享資源的瀏覽。
與工作組的“松散會員制”有所不同,“域”是一個相對嚴格的組織?!坝颉敝傅氖欠?wù)器控制網(wǎng)絡(luò)上的計算機能否加入的計算機組合。實行嚴格的管理對網(wǎng)絡(luò)安全是非常必要的。
在“域”模式下,至少有一臺服務(wù)器負責(zé)每一臺聯(lián)入網(wǎng)絡(luò)的電腦和用戶的驗證工作,相當(dāng)于一個單位的門衛(wèi)一樣,稱為“域控制器(Domain Controller,簡寫為DC)”。“域控制器”中包含了由這個域的賬戶、密碼、屬于這個域的計算機等信息構(gòu)成的數(shù)據(jù)庫。當(dāng)電腦聯(lián)入網(wǎng)絡(luò)時,域控制器首先要鑒別這臺電腦是否是屬于這個域的,用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息不正確,域控制器就拒絕這個用戶從這臺電腦登錄。不能登錄,用戶就不能訪問服務(wù)器上有權(quán)限保護的資源,只能以對等網(wǎng)用戶的方式訪問Windows 共享出來
3- 1
域管理系統(tǒng)
的資源,這樣就一定程度上保護了網(wǎng)絡(luò)上的資源。
域其實就是一個安全的邊界。它的存在主要是便于管理大型的網(wǎng)絡(luò)的,可以進行統(tǒng)一的管理,如統(tǒng)一發(fā)布組策略,統(tǒng)一安裝某種應(yīng)用軟件等等,并且域中的用戶在登陸的時候,身份驗證的過程是在域控制器上完成的。
而工作組只適應(yīng)于小型的網(wǎng)絡(luò)。如果電腦比較多的話,那么工作組管理起來就極為不方便。因為每臺電腦上面都有自己的安全賬戶數(shù)據(jù)庫,所以身份驗證過程必須在本地進行,如果你要是想登陸工作組中其他的電腦上面,你必須在那臺電腦上面有你的用戶賬戶才行。 ? 活動目錄
活動目錄包括兩方面:目錄和目錄相關(guān)的服務(wù)。目錄是存儲各種對象的一個物理上的容器,包含了有關(guān)各種對象如用戶、用戶組、計算機、域、文件、打印機、組織單位(OU )以及安全策略等資源的信息。這些信息可以被發(fā)布出來,以供用戶和管理員的使用。而目錄服務(wù)是使目錄中所有信息和資源發(fā)揮作用的服務(wù),如用戶和資源管理、基于目錄的網(wǎng)絡(luò)服務(wù)、基于網(wǎng)絡(luò)的應(yīng)用管理?;顒幽夸浱峁┝艘环N管理組成網(wǎng)絡(luò)環(huán)境的各種對象的標(biāo)志和關(guān)系的方法。
目錄存儲在被稱為域控制器的服務(wù)器上,并且可以被網(wǎng)絡(luò)應(yīng)用程序或者服務(wù)所訪問。一個域可能擁有一臺以上的域控制器。每一臺域控制器都擁有它所在域的目錄的一個可寫副本。對目錄的任何修改都可以從源域控制器復(fù)制到域、域樹或者森林中的其它域控制器上。由于目錄可以被復(fù)制,而且所有的域控制器都擁有目錄的一個可寫副本,所以用戶和管理員便可以在域的任何位置方便地獲得所需的目錄信息。
普遍用戶和系統(tǒng)通過活動目錄查找網(wǎng)絡(luò)資源,管理人員通過活動目錄創(chuàng)建和發(fā)布資源信息及實施網(wǎng)絡(luò)管理。
通過活動目錄可實施網(wǎng)絡(luò)的集中管理、控制用戶的工作環(huán)境、或委派管理控制,實行分散管理。
? 活動目錄對象
對象是活動目錄中的信息實體,也即我們通常所見的“屬性”,但它是一組屬性的集合,往往代表了有形的實體,比如用戶賬戶、 文件名等。對象通過屬性描述它的基本特征,比如,一個用戶賬號的屬性中可能包括用戶姓名、 電話號碼、電子郵件地址和家庭住址等。
? 容器 (Container )
容器是活動目錄名字空間的一部分,與目錄對象一樣,它也有屬性,但與目錄對象不同的是,它不代表有形的實體,而是代表存放對象的空間,因為它僅代表存放一個對象的空間,所以它比名字空間小。比如一個用戶,它是一個對象,但這個對象的容器就僅限于從這個對象本身所能提供的信息空間,如它僅能提供用戶名、用戶密碼。其它的如:工作單位、聯(lián)系電話、家庭住址等就不屬于這個對象的容器范圍了。
? 目錄樹 (Directory Tree)
在任何一個名字空間中,目錄樹是指由容器和對象構(gòu)成的層次結(jié)構(gòu)。樹的葉子、節(jié)點往往是對象,樹的非葉子節(jié)點是容器。目錄樹表達了對象的連接方式,也顯示了從一個對象到另一個對象的路徑。在活動目錄中,目錄樹是基本的結(jié)構(gòu),從每一個容器作為起點,層層深入, 都可以構(gòu)成一棵子樹。一個簡單的目錄可以構(gòu)成一棵樹,一個計算機網(wǎng)絡(luò)或者一個域
3- 2
,域管理系統(tǒng)
也可以構(gòu)成一棵樹。
? 域(Domain )
域是Windows 網(wǎng)絡(luò)系統(tǒng)的安全性邊界。我們知道一個計算機網(wǎng)最基本的單元就是“域”,這一點不是Windows 所獨有的,但活動目錄可以貫穿一個或多個域。在獨立的計算機上,域即指計算機本身,一個域可以分布在多個物理位置上,同時一個物理位置又可以劃分不同網(wǎng)段為不同的域,每個域都有自己的安全策略以及它與其他域的信任關(guān)系。當(dāng)多個域通過信任關(guān)系連接起來之后,活動目錄可以被多個信任域共享。
域是活動目錄邏輯結(jié)構(gòu)的核心單元,是一個計算機的集合,它們共享相同的目錄數(shù)據(jù)庫。在Windows 的網(wǎng)絡(luò)里,域定義了安全界限。目錄包含一個或多個域,每個域均有自己的安全策略以及與其它域的信任關(guān)系。域的管理員有權(quán)限執(zhí)行域內(nèi)的管理。域也是復(fù)制的單元,所有域的控制器在域里都分擔(dān)了復(fù)制,包含了整個域的目錄信息的一個復(fù)制?;顒幽夸洸捎昧艘粋€多主機的復(fù)制模式,特定域中的所有域控制器均可接收更改內(nèi)容并將這些內(nèi)容復(fù)制到域中的所有其它域控制器中。
最容易管理的域結(jié)構(gòu)就是單域。在企業(yè)里第一個產(chǎn)生的Windows 2000域稱為根域(root domain ),包含了整個森林的配置和結(jié)構(gòu)信息。在作域規(guī)劃時,應(yīng)從單域開始,并且只有在單域模式不能滿足要求時,才增加其它的域。一個域可跨越多個站點并且包含數(shù)百萬個對象。站點結(jié)構(gòu)和域結(jié)構(gòu)互相獨立而且非常靈活。單域可跨越多個地理站點,并且單個站點可包含屬于多個域的用戶和計算機。如果只是反映公司的部門組織結(jié)構(gòu),則不必創(chuàng)建獨立的域樹。在一個域中,可以使用組織單元來實現(xiàn)這個目標(biāo)。然后,可以指定組策略設(shè)置并將用戶、組和計算機放在組織單元中。在下面的原因可以考慮創(chuàng)建多個域:
部門之間不同的安全要求
大量的對象
不同的 Internet 域名
對復(fù)制進行更多的控制
分散的網(wǎng)絡(luò)管理
? 組織單元 (Organization Unit,簡稱OU )
包含在域中特別有用的目錄對象類型就是組織單元。組織單元也是一個邏輯層次的容器對象,用于管理域中的對象,如用戶、組、計算機、打印機和其他組織單元。組織單元是可以指派組策略設(shè)置或委派管理權(quán)限的最小作用單位。組織單元不能包括來自其他域的對象。使用組織單元,就可以根據(jù)組織模型管理帳戶、資源的配置和使用,可創(chuàng)建可縮放到任意規(guī)模的管理模型。
1. 使用Ou 以組織企業(yè)的網(wǎng)絡(luò)資源。把網(wǎng)絡(luò)資源組織為邏輯的層次結(jié)構(gòu)以最好地
滿足管理的需要。
2. 在組織單元上給用戶或組委派管理權(quán)限,以反映公司的管理和安全政策,并可
減少網(wǎng)絡(luò)管理員的工作負擔(dān)和滿足實際情況。
? 域控制器 (Domain Controller,簡稱DC )
域控制器是使用活動目錄安裝向?qū)渲玫腤indows Server 的計算機?;顒幽夸洶惭b向?qū)О惭b和配置為網(wǎng)絡(luò)用戶和計算機提供活動目錄服務(wù)的組件供用戶選擇使用。域控制器存儲著目錄數(shù)據(jù)并管理用戶域的交互關(guān)系,其中包括用戶登錄過程、身份驗證和目錄搜索,一個域可有一個或多個域控制器。為了獲得高可用性和容錯能力,使用單個局域網(wǎng) (LAN) 的小單位可能只需要一個具有兩個域控制器的域。具有多個網(wǎng)絡(luò)位置的大公司在每個位置都需要一個或多個域控制器以提供高可用性和容錯能力。
3- 3
,域管理系統(tǒng)
? 計算機管理
包括:把計算機添加到域、修改計算機名、從域中刪除計算機等工作
? 用戶和組管理
包括:介紹用戶登錄名的命名標(biāo)準、創(chuàng)建用戶帳號、管理用戶帳號;創(chuàng)建組、管理組的成員。
? 文件管理
包括:文件權(quán)限介紹,共享權(quán)限的設(shè)置、NTFS 權(quán)限設(shè)置,網(wǎng)絡(luò)訪問。
? 打印管理
包括:打印機安裝、共享及訪問
? 應(yīng)用程序管理
域環(huán)境下常用軟件的管理。
3- 4
域管理系統(tǒng)
? 在服務(wù)器上的管理工具
Win2000 Server或Win2003 Server服務(wù)器操作系統(tǒng)安裝好后,通常都會自動安裝有“管理工具”,但如果該服務(wù)器已經(jīng)加入到域,出于安全考慮,普通用戶的訪問權(quán)限有可能受到限制,不能在這些服務(wù)器上做交互式登錄或遠程登錄,因此無法使用服務(wù)器上的“管理工具”。 ? 在客戶端計算機上安裝管理工具
可以在Win2000 Pro 或WinXP 的客戶端計算機上安裝域服務(wù)器管理工具,安裝方法簡單,直接雙擊ADMINPAK.MSI 文件即可安裝。
注意,對于Win2000客戶端,只能安裝Win2000 Server 安裝光盤的I386下的ADMINPAK.MSI 文件,而對于WinXP 客戶端,則要安裝Win2003 Server 安裝光盤的I386下的ADMINPAK.MSI 文件。
? 通過MMC 自定義管理工具
3- 5
域管理系統(tǒng)
? 將計算機添加到域
? 檢查網(wǎng)絡(luò)設(shè)置
1. 開始→運行→輸入“CMD ”,按回車,進入DOS 命令提示符窗口。
2. 在DOS 窗口狀態(tài)下,輸入“IPCONFIG /ALL”命令,查看計算機的IP 地址、網(wǎng)關(guān)、DNS 等設(shè)置是否正常。如果不正常,進行檢查修改。
3. 在DOS 窗口狀態(tài)下,輸入“HOSTNAME ”命令,查看計算機的名稱是否符合命名規(guī)范。如果不規(guī)范,需先修改計算機名。
? 修改計算機名(如需要才做)
右鍵點擊“我的電腦”→“屬性”→“計算機名”→“更改”→在計算機名輸入框內(nèi),輸入標(biāo)準規(guī)范的計算機名→ 重新啟動計算機
? 將計算機添加到域
右鍵點擊“我的電腦”→“屬性”→“計算機名”→“更改”→ 在隸屬于域的輸入框內(nèi),輸入域名→ 按提示輸入有權(quán)限將計算機加入到域的域用戶名和密碼 → 重新啟動計算機
? 修改計算機名
對于沒有加入到域的計算機,需要有計算機本地管理員的權(quán)限的用戶才能完成該工作。 右鍵點擊“我的電腦”→“屬性”→“計算機名”→“更改”→ 在計算機名輸入框內(nèi),輸入標(biāo)準規(guī)范的計算機名→ 重新啟動計算機。
對于已經(jīng)加入到域的計算機,需要對計算機帳號所在OU 具有“修改”以上管理權(quán)限的域用戶才能完成該工作。
右鍵點擊“我的電腦”→“屬性”→“計算機名”→“更改”→在計算機名輸入框內(nèi),
3- 6
域管理系統(tǒng)
輸入標(biāo)準規(guī)范的計算機名→ 按提示輸入對計算機帳號所在OU 具有“修改”以上管理權(quán)限的用戶的用戶名和密碼 → 重新啟動計算機
? 從域中刪除計算機
對于已經(jīng)加入到域的計算機,需要對計算機帳號所在OU 具有“修改”以上管理權(quán)限的域用戶才能完成該工作。
右鍵點擊“我的電腦”→“屬性”→“計算機名”→“更改”→在隸屬于工作組的輸入框內(nèi),輸入工作組名 → 按提示輸入對計算機帳號所在OU 具有“修改”管理權(quán)限的用戶的用戶名和密碼 → 重新啟動計算機
3- 7
,域管理系統(tǒng)
? 用戶帳號
? 本地用戶帳號
1. 使用戶登錄和訪問賬號所在的計算機資源
2. 賬號建立在計算機的安全賬號數(shù)據(jù)庫中(SAM)
? 域用戶帳號
1. 使用戶登錄到域并訪問域的網(wǎng)絡(luò)資源
2. 賬號建立在活動目錄中(Active Directory)
? 內(nèi)置用戶帳號
1. 管理員賬號行使網(wǎng)絡(luò)全部管理權(quán)限,客戶賬號提供沒有賬號的用戶臨時訪問資源的需求
2. 內(nèi)置賬號可能建立在計算機的SAM 數(shù)據(jù)庫中,也可能建立在 Active Directory
3- 8
域管理系統(tǒng)
? 用戶帳號命名標(biāo)準(登錄名、顯示名)
用戶賬號控制用戶登錄和對計算機或網(wǎng)絡(luò)資源的訪問。每個計算機用戶都必須在活動目錄中創(chuàng)建用戶賬號,并對賬號授予相應(yīng)的系統(tǒng)權(quán)力和資源權(quán)限,用戶在登錄時,提供正確賬號和口令,方能登錄和訪問。Windows 2003把用戶賬號集成進活動目錄,并提供了幾十個個人屬性,使用戶賬號也成為公司通訊簿。
? 登錄名
? 顯示名
? 創(chuàng)建用戶帳號
使用管理工具“Active Directory 用戶和計算機”來完成。
? 用戶帳號的屬性
? 有關(guān)網(wǎng)絡(luò)登錄的屬性:有關(guān)用戶登錄的權(quán)利和限制
1. 局域網(wǎng)內(nèi)的登錄
2. 遠程訪問登錄
3. 終端服務(wù)器的登錄
? 有關(guān)用戶所屬組的信息
? 有關(guān)個人的屬性:有關(guān)用戶各種聯(lián)系方式和數(shù)字證書
(注意:域用戶賬號比本地用戶賬號屬性上多得多)
? 用戶帳號屬性的修改
使用管理工具“Active Directory 用戶和計算機”來完成。
? 限制臨時計算機用戶的用戶帳號有效時間
使用管理工具“Active Directory 用戶和計算機”來完成。
? 限制用戶在指定計算機上登錄
使用管理工具“Active Directory 用戶和計算機”來完成。
? 限制用戶在指定時間內(nèi)登錄
使用管理工具“Active Directory 用戶和計算機”來完成。
3- 9
,域管理系統(tǒng) ? 用戶帳號鎖定與解鎖
使用管理工具“Active Directory 用戶和計算機”來完成。 ? 員工離職與用戶帳號禁用
使用管理工具“Active Directory 用戶和計算機”來完成。
3- 10