IT同路人MCSE-Windows Server 2003活动目录的规划、实现和管理(70-294)课程PPT_03
- 格式:pdf
- 大小:810.60 KB
- 文档页数:33
下载文档原格式
合集下载
Windows Server 2003 活动目录和域控制器的配置与管理
六 Windows Server 2003活动目录实验要求:1、在虚拟机中安装操作系统时,你要设想你是在服务器上安装操作系统,设想你自己是网络管理员。
注意保证网络连通。
虚拟硬盘为25G。
2、五个人一组,五个人要相互分工合作。
全班可以分为X组,第一组的IP范围为121.87.1.100-121.87.1.200,第X组的IP范围为121.87.X.100-121.87.X.200。
参考书本图7-1为我们学院建立一个域树,林根域是,该域的默认的管理员帐户administrator改为admin_xcvtc1,密码设置为ABC123456789def (第一组在xcvtc后面加一个1,第二组加个2……) 。
3、域下面有两个子域: 一个是系部的,你可以任意选择一个系部,如选择信息工程系则其子域完整域名为,默认的管理员账户administrator改为admin_xxgcx;另一个是行政部分(),默认的管理员账户administrator改为admin_xz。
密码均可自行设置或者为空白。
4、系部有两个组织单位,“领导办公室”(ldb)和“教研室”(jys),在“领导办公室”组织单位中创建XLD用户,密码自行设置;行政部分有“教务处”(jwc)和“人事处”(rsc)两个组织单位,在“教务处”组织单位中创建JWC用户。
并将“领导办公室”组织单位的创建用户和组的权限委派给XLD用户,将“教务处”组织单位的修改组名的权限委派给JWC 用户。
5、在林根域中添加用户主体后缀名称。
6、你们一组中除了三个域控制器外还有几台计算机(可以称为客户端)。
“领导办公室”(ldb)和“人事处”(rsc)两个组织单位中分别创建ldb(对应其中一个客户端)和rsc 两个计算机帐户(对应另外一台客户端)。
7、将你们一组中除了三台域控制器外的两台计算机加入到与相应的域中(要求在客户端上进行设置,一台客户端的计算机名称改为ldb,其隶属于系部的子域。
Windows Server 2003活动目录与域控制器
实验二Windows Server 2003活动目录与域控制器[注意事项]:1、在虚拟机软件里自己安装的网络操作系统中做实验。
2、有两种方式打开安装或删除活动目录的界面:(1)用命令“开始——管理工具——配置您的服务器向导”(Server 2003才有)。
(2)用命令“开始——运行——输入‘dcpromo’”。
3、密码可以设置与5.1管理员相同的密码或设置另外的密码,并且一定要书面记住密码。
4、安装结束后出现配置DNS服务器的选项,选择让系统自动配置。
5、安装活动目录成功后的标志见下图5.19。
6、安装好活动目录后,请不要再次运行“dcpromo”命令,否则会删除已安装的活动目录。
一、实验目的学习活动目录的安装和删除(实验只要求安装)。
二、实验内容1.活动目录的安装(升级)2.活动目录的删除(降级)——理论上掌握,具体实验不要做三、实验理论基础活动目录是Windows Server 2003网络中提供的目录服务。
目录服务也是一种网络服务,它把网络中的资源信息集中存储起来,并将其提供给用户和应用程序使用。
它提供了一种一致化的命名、描述、定位、管理和设置相应安全的方法。
通过提供通用的网络资源接口和直观的网络资源访问界面,使用户能够以一致的方式管理自己的整个网络。
由于活动目录中网络资源信息集中存放和管理,使得网络的物理结构和网络所使用的传输协议对用户来讲变得透明起来。
当用户访问网络时,无需了解资源的物理位置和连接方法,就可以访问资源。
这对于多数缺乏网络专业知识的网络普通用户来说,显得格外有意义。
使管理员和一般用户可以方便地查找和使用网络信息,同时也更便于网络管理员有效的管理网络。
活动目录是由组织单位(OU)、域(Domain)、域树(Domain Tree)和森林(Domain Forest)组成的层次结构,它存储有关计算机网络对象的信息。
例如,用户、组、计算机、组织、帐户、共享资源和打印机等等。
域是网络对象的分组,如用户、组和计算机。
活动目录的规划、实现和管理_05
导入操作
GPO1 GPO 设置
GPO2
导入操作将所有的 GPO 设置从源 GPO 复制到 目标 GPO
导入设置到 GPO 中
5.4.8 导入设置到 导入设置到GPO
演示: 演示: 掌握如何导入组策略设置到 GPO 中
实验5-3:管理 GPO 实验 :
目的: 目的: 复制 GPO 备份 GPO
5.4.9 实验 :管理 实验5-3:管理GPO
第 5 章 组策略的实现
策略基础知识 创建与配置组策略对象 配置组策略刷新率与组策略设置 管理 GPO 组策略的验证与问题处理 委派管理组策略的管理控制 规划企业的组策略方案
策略基础知识
组策略可以定义的设置类型
5.1 策略基础知识
策略基础知识
继承路径 处理 GPO 的顺序 多值 GPO 设置 阻止继承 强制选项 筛选GPO 筛选 “组策略管理”控制台 组策略管理” 组策略管理
规划 GPO 的原则 确定 GPO 继承的原则 确定站点组策略方案的原则 规划 GPO 管理的原则 部署 GPO 的原则 实验5-6: 实验 :实现组策略
5.7 规划企业的组策略方案
规划 GPO 的原则
5.7.1 规划 规划GPO的原则 的原则
在最高层次应用 GPO 设置 减少 GPO 的数量 创建专用 GPO 禁用计算机或用户配置设置
删除已经备份的 GPO 恢复已经删除的 GPO
第 5 章 组策略的实现
策略基础知识 创建与配置组策略对象 配置组策略刷新率与组策略设置 管理 GPO 组策略的验证与问题处理 委派管理组策略的管理控制 规划企业的组策略方案
组策略的验证与问题处理
5.5 组策略的验证与问题处理
实现组策略时的常见问题 使用 “组策略建模向导” 检验组策略设置 组策略建模向导” 使用“组策略结果” 使用“组策略结果”验证组策略设置 实验5-4: 实验 :组策略验证和故障排除
第12章-Windows Server 2003活动目录简介
contoso.msft
森林 树
nwtraders.msft asia. contoso.msft au. contoso.msft
双向、可传递的信任
树
asia. nwtraders.msft au. nwtraders.msft
12.2.3 组织单位(Organization Unit)
网络管理模型 组织结构来自内容总结• • • • • 理解Windows Server 2003活动目录的概念 掌握活动目录的特点和好处 掌握活动目录的逻辑结构组成 掌握活动目录的物理结构组成 理解活动目录和DNS服务的关系
Sales Users Computers
Vancouver Sales Repair
• 使用OU把对象组织到逻辑结构中,以此更好地 满足公司的需要 • 通过为用户或组分配特定的权限,从而给他们 委派对某个OU中的对象进行管理控制的能力
12.2.4 全局编录(Global Catalog)
• 存储了活动目录中的所有对象以及每个对 象的部分属性信息
12.2.1 域
• 域是一个管理界限
– 域管理员只能对本域范围内的对象进行管理,不能 管理其它域,除非被明确分配了对其它域的管理权 利
• 域是复制的单元
– 域中的域控制器参与活动目录的复制工作,它包含 了本域目录信息的完整副本
复制
Windows 2003域
12.2.2 域树和域目录林
双向、可传递的信任
Seattle New York Chicago Los Angeles
IP 子网
站点
站点: 优化复制流量 使用户能够通过一条可靠、高速的连接登录到 一台域控制器上
IP 子网
12.4 设置DNS服务支持活动目录
森林 树
nwtraders.msft asia. contoso.msft au. contoso.msft
双向、可传递的信任
树
asia. nwtraders.msft au. nwtraders.msft
12.2.3 组织单位(Organization Unit)
网络管理模型 组织结构来自内容总结• • • • • 理解Windows Server 2003活动目录的概念 掌握活动目录的特点和好处 掌握活动目录的逻辑结构组成 掌握活动目录的物理结构组成 理解活动目录和DNS服务的关系
Sales Users Computers
Vancouver Sales Repair
• 使用OU把对象组织到逻辑结构中,以此更好地 满足公司的需要 • 通过为用户或组分配特定的权限,从而给他们 委派对某个OU中的对象进行管理控制的能力
12.2.4 全局编录(Global Catalog)
• 存储了活动目录中的所有对象以及每个对 象的部分属性信息
12.2.1 域
• 域是一个管理界限
– 域管理员只能对本域范围内的对象进行管理,不能 管理其它域,除非被明确分配了对其它域的管理权 利
• 域是复制的单元
– 域中的域控制器参与活动目录的复制工作,它包含 了本域目录信息的完整副本
复制
Windows 2003域
12.2.2 域树和域目录林
双向、可传递的信任
Seattle New York Chicago Los Angeles
IP 子网
站点
站点: 优化复制流量 使用户能够通过一条可靠、高速的连接登录到 一台域控制器上
IP 子网
12.4 设置DNS服务支持活动目录
实验一 Windows server 2003 权限管理和活动目录的安装与部署
实验一Windows server 2003 权限管理和活动目录的安装与部署【实验目的】1.掌握Windows Server 2003活动目录的安装与部署。
2.掌握域中用户的管理方法。
【实验环境】Windows Server 2003服务器一台,Windows XP客户端一台。
【实验内容】一、Windows Server 2003 NTFS分区权限设置1. Windows Server 2003 NTFS分区权限介绍为了确保用户能够按照所希望的进行操作,并减少破坏行为的发生,NTFS 的权限设置至关重要。
NTFS分区是Windows Server 2003推荐的系统分区格式,它比FAT32分区有更好的性能和更高的安全性。
图1 文件和文件夹的“安全”选项卡如图1所示,选择“安全”选项卡(注:只有处在NTFS分区上的文件和文件夹才有“安全”选项卡)。
选中“组或用户名称”列表框中对应的用户,就可在下面窗口中设置该用户或组对此文件或文件夹的权限,如果欲操作的用户或组不在“组或用户名称”列表框中出现,则需要单击“添加”按钮把该用户或组添加进来。
下面针对文件夹的NTFS权限进行介绍。
完全控制:指用户对该对象具有所有的权限,包括下面列出的所有权限和夺取该文件夹所有者的权限。
修改:具有“完全控制”中除夺取所有权以外的权限。
读取及运行:能查看该文件以及子文件夹下的内容,能执行文件,如EXE 文件等。
此权限也包括了“列出文件夹目录”和“读取”权限。
列出文件夹目录:只能浏览该文件夹以及子文件夹下的内容,但不能查看文件具体内容,当然也无法复制。
读取:能查看文件内容。
写入:能新建文件或文件夹,如果只具有此权限,其结果是用户可以在此文件下添加内容,但无法浏览此文件夹下的内容,更无法查看文件的具体内容。
2.相关问题(1)本机管理员属于“Users”组,如果清除“Users”组的“读取和运行”权限,管理员还能否读取和运行该文件夹中的文件?(2)取消或拒绝“Users”组的允许“读取和运行”权限,两者有何区别?3.实例如果别人要临时借用自己的计算机,可计算机上有一些重要资料担心被删除,有些隐私文件担心被看见,但又不得不借,有什么两全其美的方法?4.配置共享默认情况下所有用户都能读取共享文件夹,如果限制一些用户从网络上访问该文件夹或者允许一部分人有更高的权限,则需要额外设置。
《windows server 2003服务器操作系统》第13章 活动目录基础
2、组织单元 活动目录允许管理员在一个域内创建一个满 足其组织需要的层次结构。建立这些层次结构要选 择的对象类是Orgnizational Unit类,这是一个通 用容器,该容器可以因管理上的目的而将其他大多 数对象类组合到一起。活动目录中的一个组织单元 与文件系统中的一个目录是类似的,它是一个可以 包容其他对象的容器。
第8章 活动目录基础
主要知识点:
一、活动目录逻辑结构 二、活动目录物理结构 三、活动目录的安装 (了解) (了解) (掌握)
四、将计算机加入到域
(掌握)
一 活动目录介绍
1、什么是活动目录 活动目录(Active Directory)是Windows Server 2003平台提供的目录服务,在中央数据库 中存放信息,使用户在网络上只拥有一个用户账号。 Windows Server 2003中的活动目录是高度完善的、 自适应能力很强的目录服务。它支持用户进行大范 围的修改来满足特定的商务和组织需要。活动目录 支持多域结构,由一个或多个域组成。每个域拥有 与其他域相关的安全策略和安全关系。这种多域模 式可以使Windows Server 2003具有更高的安全性。
(1)管理层次
组织单元可以被嵌套在一起来创建一个域中 的层次结构,并为用户、组和资源对象形成逻辑上 的管理单元,如打印机、计算机、应用程序和文件 共享。一个域中的组织单元层次结构独立于其他域 的结构;每个域可以组织自己的层次结构。同样, 由一个集中的权威机构管理的多个域可以实现相似 的组织单元层次结构。这种结构是灵活的,它使得 一个组织可以创建一个与其管理模型相同的环境, 不管它是集中的还是分散的。
DNS的主要功能是将用户可以识别的计算机 名字映射到计算机可识别的IP地址上。因此,DNS 为计算机名字定义了一个名字空间,根据这些名字 可以解析出IP地址,反之亦然。在Windows NT 4.0或更早的版本中,DNS名字是不需要的,域和 计算机使用NetBIOS名字,这种名字通过使用 Windows Internet名字服务(WINS)而映射到IP 地址。尽管对Windows Server 2003域和基于 Windows Server 2003的计算机来说,它们是需要 DNS名字的,但为了达到跟Windows NT 4.0域及 那些运行Windows NT 4.0或更早版本、Windows for Workgroups、Windows 98或Windows 95的客 户机之间的兼容性,Windows Server 2003中也支 持NetBIOS名字。
Windows_server_2003的活动目录安装和配置
3.使用管理员administrator在客户机上登陆域
客户机加入域成功,需要重新启动计算机生效
二、配置用户主文件夹
1.在DC上创建域用户帐户
2.创建主文件夹所使用的共享文件夹
3.配置用户主文件夹
4.使用域用户帐户的客户机上上登陆域
三、OU的管理
1.在DC上创建5个OU
2.将用户帐户移动到销售部ou中
3.在ou中创建域用户帐户和全局组
4.委派域帐户对销售部OU有添加用户的权限
在客户机上测试
本文出自技术博客
Windows server 2003的活动目录安装和配置用户主文件夹
任务1:安装活动目录
任务2:配置用户主文件夹
任务3:OU的管理
一、安装活动目录
1.安装活动目录
出现安装界面
安装active derectory
完成安装将重新启动计算机
2.将计算机加入域
首先配置计算机的IP地址
在客户机上右键单击“我的电脑”——“属性”——“计
客户机加入域成功,需要重新启动计算机生效
二、配置用户主文件夹
1.在DC上创建域用户帐户
2.创建主文件夹所使用的共享文件夹
3.配置用户主文件夹
4.使用域用户帐户的客户机上上登陆域
三、OU的管理
1.在DC上创建5个OU
2.将用户帐户移动到销售部ou中
3.在ou中创建域用户帐户和全局组
4.委派域帐户对销售部OU有添加用户的权限
在客户机上测试
本文出自技术博客
Windows server 2003的活动目录安装和配置用户主文件夹
任务1:安装活动目录
任务2:配置用户主文件夹
任务3:OU的管理
一、安装活动目录
1.安装活动目录
出现安装界面
安装active derectory
完成安装将重新启动计算机
2.将计算机加入域
首先配置计算机的IP地址
在客户机上右键单击“我的电脑”——“属性”——“计
Windows Server 2003网络操作系统第4章 域与活动目录(改)
4.2 活动目录的创建与配置
4.2.4 创建子域
(4)输入父域的域名以及管理员的账户、密码等。
4.2 活动目录的创建与配置
4.2.4 创建子域
(5)接着输入子域的NetBIOS名。 (6)重新启动计算机,用管理员登录到域中。
4.2 活动目录的创建与配置
4.2.5 创建域林中的第二棵域树
1. 创建DNS域
4.2 活动目录的创建与配置
4.2.5 创建域林中的第二棵域树
2. 安装域树的域控制器
(1)确认服务器上“本地连接”属性中的TCP/IP的首选DNS指向。
(2)运行活动目录安装向导。 (3)选择“新域的域控制器” 。
4.2 活动目录的创建与配置
4.2.5 创建域林中的第二棵域树
2. 安装域树的域控制器
下一步选择“在现有的林中的域树” 。
4.2 活动目录的创建与配置
4.2.5 创建域林中的第二棵域树
2. 安装域树的域控制器
(4)输入已有域树的根域的域名和管理员的账户、密码。
(5)接着输入新域的NetBIOS名,按照原步骤继续设置,直到完成。
Temp.edb:临时文件。
安装后检查
5. DNS记录
4.2 活动目录的创建与配置
4.2.3 安装额外的域控制器
(1)首先要在 服务器上检查“本地连接”属 性,确认能否正常通信。
(2)运行“Active Directory”安装向导。 (3)将该计算机设置为现有域的额外域控制 器。 (4)输入拥有将该计算机升级为域控制器权 力的用户名和密码。 (5)安装向导从原有的域控制器上开始复 制活动目录。
4.1 域与活动目录
4.1.3 域目录树
当需要配置一个包含多个域的网络时, 应该将网络配置成域目录树结构。域目录 树是一种树型结构。 活动目录的域名仍然采用DNS域名的命 名规则进行命名。
浅谈windows server 2003活动目录实施前的规划
做 的 一 些 规 划 进 行 了探 讨 。
【 关键 词 】 A t eDrcoy 活 动 目录 c v i tr i e
规 划 目录 林
【 中图分类号】T 3 3 9 P9 . 0
【 文献标识码】 A
【 文章编号】 10 — 4 92 0 )2 0 7 - 2 0 9 15 ( 70 - 0 5 0 0
第 三个 原则 是 规划 一 个理 想 的结 构 。 了解企
式 的 。活 动 目录 是 一 种 通 用 的 分 布 式 的 信 息 仓
库 ,通 过 它 可 以 以 一 致 的 形 式 , 在 整 个 网 络 或
业 单 位 理 想 的 目标 , 立 多 个 方 案 , 后 对 它 们 进 建 然
陈 文 伟 孙伟 清 : 谈 wid wsevr 03活 动 目录 实施 前 的规 划 浅 n o re 0 s 2
但 由 此 带 来 的 管 理 开 销 可 能 很 大 。 确 定 域 数 目之
活 动 目 录 进 行 重 新 设 计 。 下 面 本 文 就 wid ws no Sre 0 3活 动 目 录 实 施 前 需 要 做 哪 些 规 划 进 行 ev r2 0
定要 确 这
在 可 行 的 前 提 下 遵 守 简 单 为 主 的 原 则 。尽 量 考 虑
上 任 意 的 人 口点 以 一 致 的 接 口连 接 到 系 统 , 与 或 系 统 保 持 连 续 状 态 。无 论 用 户 需 要 什 么 , 备 、 设 通
探讨。
一
、
基本 规 划原 则
在 进 行 活 动 目录 规 划 时 ,我 们 应 遵 从 以 下 基
本 的 设 计 原 则 指 导 决 策 过 程 。 主 要 原 则 之 一 是 简 单 。简 单 的结 构 易 于 调 试 、 护 和 说 明 。尽 管 增 加 维
【 关键 词 】 A t eDrcoy 活 动 目录 c v i tr i e
规 划 目录 林
【 中图分类号】T 3 3 9 P9 . 0
【 文献标识码】 A
【 文章编号】 10 — 4 92 0 )2 0 7 - 2 0 9 15 ( 70 - 0 5 0 0
第 三个 原则 是 规划 一 个理 想 的结 构 。 了解企
式 的 。活 动 目录 是 一 种 通 用 的 分 布 式 的 信 息 仓
库 ,通 过 它 可 以 以 一 致 的 形 式 , 在 整 个 网 络 或
业 单 位 理 想 的 目标 , 立 多 个 方 案 , 后 对 它 们 进 建 然
陈 文 伟 孙伟 清 : 谈 wid wsevr 03活 动 目录 实施 前 的规 划 浅 n o re 0 s 2
但 由 此 带 来 的 管 理 开 销 可 能 很 大 。 确 定 域 数 目之
活 动 目 录 进 行 重 新 设 计 。 下 面 本 文 就 wid ws no Sre 0 3活 动 目 录 实 施 前 需 要 做 哪 些 规 划 进 行 ev r2 0
定要 确 这
在 可 行 的 前 提 下 遵 守 简 单 为 主 的 原 则 。尽 量 考 虑
上 任 意 的 人 口点 以 一 致 的 接 口连 接 到 系 统 , 与 或 系 统 保 持 连 续 状 态 。无 论 用 户 需 要 什 么 , 备 、 设 通
探讨。
一
、
基本 规 划原 则
在 进 行 活 动 目录 规 划 时 ,我 们 应 遵 从 以 下 基
本 的 设 计 原 则 指 导 决 策 过 程 。 主 要 原 则 之 一 是 简 单 。简 单 的结 构 易 于 调 试 、 护 和 说 明 。尽 管 增 加 维
Windows Server 2003活动目录设计
-
div2
Division 2 Div2 infra IT team
div3
Division 3 Div3 infra IT team
中心运行森林根域, 拥有EA和SA组 部门得到自己的域, 有自己的DA组
设计森林根域
给森林根域命名
- 选择一个DNS后缀 - 增加新的, 以前没用过的前缀 • • • 标准字符 ‘A’-’Z’, ‘0’-’9’, ‘-’ 不要超过15个字符 例如,
OU=div3 Division 3
Division 2
专门的森林根域, 按地理分布的子域来控制复制 单个IT团队控制所有服务管理功能
最佳实践域模型
专用根域
根域负责易于转换 将森林管理员从普通管理员中分离 单一树是最简单的 – 没有多个树或非连续名字空间的需求 没有深层的嵌套结构 与网络/广域网结构良好映射 与全局IT组织良好映射 稳定 – 地理位置相对稳定
-
使变更复制到其他域控制器 …更多
信任服务管理员
一个恶意的管理员是怎样攻击的? 一个恶意的管理员是怎样攻击的?
攻击方法
在域控制器系统安全环境内注入代码,修改LSA进程中的代码 在域控制器上将LSA进程运行于调试器中 将域控制器启动到恢复模式下或离线对活动目录数据库进行编辑 不 在因特网上,攻击者发布了很多工具。任何恶意的服务管理员可以得 到它们。
森林设计
每个森林负责人进行独立的森林设计
1. 2. 3. 4. 域设计 DNS设计 组织单元设计 站点拓扑
域设计
什么是域? 什么是域?
域是森林的一个分区
- 复制的边界 - 管理的边界
允许目录扩展到慢速和拥挤的网络上
- 限制数据复制的目的地
div2
Division 2 Div2 infra IT team
div3
Division 3 Div3 infra IT team
中心运行森林根域, 拥有EA和SA组 部门得到自己的域, 有自己的DA组
设计森林根域
给森林根域命名
- 选择一个DNS后缀 - 增加新的, 以前没用过的前缀 • • • 标准字符 ‘A’-’Z’, ‘0’-’9’, ‘-’ 不要超过15个字符 例如,
OU=div3 Division 3
Division 2
专门的森林根域, 按地理分布的子域来控制复制 单个IT团队控制所有服务管理功能
最佳实践域模型
专用根域
根域负责易于转换 将森林管理员从普通管理员中分离 单一树是最简单的 – 没有多个树或非连续名字空间的需求 没有深层的嵌套结构 与网络/广域网结构良好映射 与全局IT组织良好映射 稳定 – 地理位置相对稳定
-
使变更复制到其他域控制器 …更多
信任服务管理员
一个恶意的管理员是怎样攻击的? 一个恶意的管理员是怎样攻击的?
攻击方法
在域控制器系统安全环境内注入代码,修改LSA进程中的代码 在域控制器上将LSA进程运行于调试器中 将域控制器启动到恢复模式下或离线对活动目录数据库进行编辑 不 在因特网上,攻击者发布了很多工具。任何恶意的服务管理员可以得 到它们。
森林设计
每个森林负责人进行独立的森林设计
1. 2. 3. 4. 域设计 DNS设计 组织单元设计 站点拓扑
域设计
什么是域? 什么是域?
域是森林的一个分区
- 复制的边界 - 管理的边界
允许目录扩展到慢速和拥挤的网络上
- 限制数据复制的目的地
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
验证管理控制的委派
3.2.5 验证管理控制的委派
目的: 掌握如何验证委派的管理委派
实验3-2 为组织单位委派管理任务
3.2.6 实验3-2:为组织单位委派管理任务
目的: 掌握常见的针对组织单位的管理委派
第 3 章 实现组织单位结构
创建和管理组织单位 委派组织单位的控制 规划组织单位策略
规划组织单位策略
针对用户、计算机进行组织单位架构规 划
实验3-4:实现组织单位架构
创建组织单位 委派管理控制 验证委派控制
3.4 实验3-4:实现组织单位架构
回顾
学习完本章后,将能够: 理解组织单元的生命周期组成部分 常用的使用目录服务命令行工具管理组织单元方法 掌握使用 Ldifde,使用 Windows 脚本宿主创建组织 单元的方法 组织单位委派的相关规划和操作
管理特权的委派 组织单位的管理任务 委派管理控制 定制委派的管理控制 验证管理控制的委派
3.2 委派组织单位的管理控制
实验3-2:为组织单位委派管理任务
委派组织单位的管理控制
3.2 委派组织单位的管理控制
通过委派管理,可以为适当的用户和组指派一定范 围的管理任务 为普通用户和组指派基本管理任务,而让 Domain Admins 和 Enterprise Admins 组的成员执行域范围和 林范围的管理 通过限制 Admin 组的成员,保护网络不受意外或恶 意的损坏
活动目录的规划、实现和管理 —— 以 Windows Server 2003 为例
第 1 章 Active Directory 结构简介 第 2 章 实现 Active Directory 林和域结构 第 3 章 实现组织单位结构 第 4 章 实现用户、组及计算机账户 第 5 章 组策略的实现 第 6 章 使用组策略部署和管理软件 第 7 章 使用组策略管理安全 第 8 章 实现站点以管理 Active Directory 复制 第 9 章 实现域控制器的布置 第 10 章 操作主机的管理 第 11 章 维护 Active Directory
组织单位规划过程 影响组织单位规划的组织因素 规划组织单位结构的原则 委派管理控制的原则 实验3-3:规划组织单位结构 实验3-4:实现组织单位结构
3.3 规划组织单位策略
回顾:委派管理
委派管理 为适当的用户和组委派一定范围的管理任务 可以为普通用户和组指派基本管理任务,而让 Domain Admins 和 Enterprise Admins 组的成员执行 域范围和林范围的管理 通过委派管理,可以使组织内的组更多地控制 他们的本地网络资源 可以通过限制管理员组的成员,保护网络不受 意外或恶意的损伤
组织单位
3.1.1 组织单位管理简
包含在域中的特别有用的目录对象类型就是组 织单位 组织单位是可将用户、组、计算机和其他组织 单位放入其中的 Active Directory 容器 它不能容纳来自其他域的对象
组织单位管理简介
规 规
3.1.1 组织单位管理简
部署 部署 Domain
组织单位 组织单位 计划 计划
混合
委派管理控制的原则
3.3.4 委派管理控制的原则
尽可能在组织单位的最高级别上委派控制,并且 使用继承 最小化在属性级或任务级委派权限管理 限制 Domain Admins 组中用户数量 将访问权限委派给组,而不委派给个人
实验3-3:规划组织单位架构
目的:
3.3.5 实验3-3:规划组织单位架构
组织单位规划过程
3.3.1 组织单位规划过程
记录现有组织的结构 确定需改进的范围 确定管理级别 标识组织中每个管理员和用户账户,以及其管理 的资源
影响组织单位结构的组织因素
IT 管理模型的类型 集中式 IT 组织 采用分散管理的集中 IT 组织 分散 IT 组织 IT 外包 IT 管理模型结构 基于地理位置进行管理 基于组织进行管理 基于业务功能进行管理 混合管理
3.3.2 影响组织单位结构的组织因素
规划组织单位结构的原则 3.3.3 规划组织单位结构的原则
管理模型 地理 组织单位结构设计原则 地理位置
组织
Accounting Accounting Research Research Sales Sales
按照组织的结构
业务功能
组织中的职能 按照地理位置设计较高层次的 组织单位或域 根据组织设计较低层次的组织 单位或域级别
OU1 OU2 OU3
移 移 Domain OU1 OU2A
维 维 Domain OU1 OU2A OU3
创建和管理组织单位的方法
Active Directory 用户和计算机
3.1.2 创建和管理组织单位的方
目录服务工 目录服务工
Dsadd Dsmod Dsrm
Ldifde 命令行工
Windows 脚本宿 Windows 脚本宿
第 3 章 实现组织单位结构
创建和管理组织单位 委派组织单位的管理控制 规划组织单位策略
创建和管理组织单位
组织单位管理简介 创建和管理组织单位的方法 使用目录服务工具创建组织单位
3.1 创建和管理组织单
使用Ldifde 工具创建和管理组织单位 使用 Windows 脚本宿主创建组织单位
组织单位管理简介
管理特权的委派
管理委派是将核心管理员对 组织单位的管理责任分散到 其他管理员的过程 委派管理提供: 服务自治 数据自治
3.2.1 管理特权的委派
Domain
OU1
Admin1
OU的管理任务
3.2.2 组织单位的管理任务
常规管理任务:
更改特定容器的属性 创建和删除指定类型的对象 更新组织单位中指定类型对象的特定属性
委派管理控制
3.2.3 委派管理控制
目的: 使用“控制委派向导”来委派 Active Directory 对象 (比如组织单位等)的管理控制
委派管理控制
3.2.3 委派管理控制
委派管理控制
组织单位控制委派的操作步骤
3.2.3 委派管理控制
定制委派的管理控制
3.2.4 定制委派的管理控制
目的: 掌握如何为某个组织单位委派自定义的管理任务
第3章 实现组织单位结构
IT同路人在业余时间给大家授课了,一般上课人数安排在2-4人左右,人手一机,单独辅 导也可以!! 培训内容包括MCSE、CCNA、Linux、Oracle、Sun Solaris、Exchange Server 2003 SQL Server 2000/2005、Sharepoint Server 2003、ISA Server 2004、SMS Server 2003、 Project server 2003、Lotus Domino、LCS 2003等课程。有需求的可以和我联系,我住在上 海。 QQ:369964068。 网站: E-mail:ittongluren@ 私人培训与培训学校相比有几大优势: 1、上课时间灵活,上课人数较少,一般安排在1-4人,也可以接收单独辅导 2、授课老师具有在IT公司工作多年的丰富的项目管理经验 3、授课老师具有在培训学校多年的相关课程的授课经验 4、上课内容有不懂的,可以随时与老师直接交流,解决你的问题。 5、培训价格与在学校培训相比,要便宜多了,还能学到比他们多的知识内容 6、可以得到授课老师很多的相关课程内容的讲义、电子书籍、视频资料等东西 7、有一个比较好的IT人员相互之间交流技术的平台 8、随到随学,滚动开班,非常灵活的学习方式
3.1.5 使用Windows 脚本宿主创建组织单位
目的: 使用“Windows 脚本宿主”创建组织单位
实验3-1:创建组织单位
目的:
3.1.6 实验3-1:创建组织单位
使用Ldifde命令行工具创建组织单位
第 2 章 实现组织单位结构
创建和管理组织单位 委派组织单位的控制 规划组织单位策略
委派组织单位的管理控制
使用目录服务工具创建组织单位
3.1.3 使用目录服务工具创建组织单
目的: 使用目录服务命令行工具Dsadd、Dsmod和Dsrm来 创建和管理组织单位
使用 Ldifde工具创建和管理组织单位
3.1.4 使用Ldifde工具创建和管理组织单
目的: 使用“Ldifde”命令修改和删除组织单位
使用 Windows 脚本宿主创建组织单位