域用户帐号与管理

• 独立服务器
– 没有被赋予特殊的名称；可以是文件、打印 或应用软件服务器中的一种或多种。已经添 加到域中的独立服务器，具有以下特点：
• 没有备份域目录数据库功能。
• 没有审核域登陆者身份的功能（只能审核本机登 陆者身份）。
• 可以使用所属域内的帐号。 • 可以使用受托域内的帐号。
安装域控制器（ 通过Active Directory安装向导配置）步
不能设置机械系域内的本地组L1 对物理系内资源的访问权限
本地组L1
NT服务器
NT服务器
工作站
物理系域
物理系域委托机械系域
NT服务器
工作站
可以设置机械系域内的全局组G1 对物理系内资源的访问权限
机械系域 NT服务器 全局组G1
• 用户帐号及建立方法。
– 用户名、用户全称、用户密码、隶属组、用户环境配 置文件、可在那些时间登陆、从那些工作站登陆、帐 号有效日期、登陆命令文件、主目录、拨入等信息。
电子系域
所有用户 帐号
单域 所有用户帐
号
信息中心域 所有用户帐
号
机械系 域
所有用 户帐号
管理系域
所有用户 帐号
• 多主域模式
– 网络中含有多 个主域，所有 的用户帐号都 建立在这几个 主域内，且每 一个用户在整 个网络中只需 要一个帐号， 不需要在每一 个主域中都建 立一个帐号。
信息中 心域1 所有用 户帐号
• Windows 2019 Server提供两个内置的全局帐号， 分别为
1.Administrator:用于对整个域进行管理，即系统管理 员帐号。
2.Guest:供临时访问者访问域中资源的帐号 • 以上两个帐号名称可以被用户修改，但是不能删除。 • 当用户比较多时，利用组对其管理。常见组类型为
– 全局组、本地组
3. 审核规则：用来设置是否对某些事件进行记录。例如：可以 设定将登陆、注销的成功、失败状况等记录到安全日志中。
• 用户帐号和组
– 每个要登陆到域的用户都需要一个用户帐号，帐号包 含用户名称、密码、用户权限、访问权限等信息。
– 用户帐号分为：全局帐号和本地帐号，添加到域中的 帐号默认为全局帐号。
– Windows 2019 Server提供两个内置的全局帐号，分 别为
电子系域 所有用户
帐号
信息中 心域2 所有用 户帐号
信息中 心域3 所有用 户帐号
机械系 域
所有用 户帐号
管理系域
所有用户 帐号
• 域的成员
– 在Windows 2019 Server网络的一个域中，必须有一台 安装并运行Windows 2019 Server Server的服务器，并 且此服务器必须是主域控制器（PDC），此服务器内保 存着域内用户与组数据库的主备份。此外，域内还可 以存在其他服务器。如下图：
• 全局组：经过适当设置，可以在任意域中使用的组。只有 域控制器才有全局组。在全局组中，只能包含该组所在域
内的用户，不能包含域内的用户，也不能包含其他的本地 组或全局组。
• 本地组：经过适当设置，本地组可以包含所有域中的用户 和所有全局组，但是不能包括其他本地组。对域控制器上 的本地组而言，只能设置其对计算机上资源的访问权限。
– 添加一个用户帐号后，系统自动为其生成一个安全标
示码（SID），此号码是唯一的，系统利用该号码来决
定用户权限。
– 一个帐号被删除后，即使再添加一个与其同名的帐号， 新帐号也不能具有与原来帐号相同的权限设置。
– 具体操作为：选择“开始”—程序—管理工具---域用 户管理器，在其窗口里面选择不同菜单，打开相应对 话框进行设置。
– Active Directory域和信任关系：用于设置域和域之间的 信任关系。
– Active Directory站点和服务：用于配置各域控制器之间 的性能优化。
域用户帐号与管理
• 在Windows 2019 Server中，域用户管理器是用于 建立和管理域中用户帐号、组、安全规则的主要 工具。
• 在信任域中被设置其对信任域内资源的使用权限与访问权限 • 访问信任域中的资源
– 委托关系可以是单向的或双向的。 – 委托关系不具有转移性
• 域的模式
1.单域模式 2.单主域模式 3.多主域模式
• 单域模式
• 单主域模式
– 由于所有的用 户帐号都建立 在主域中，所 以其他域必须 委托主域，以 便主域的帐号 能够使用所有 域中的资源。
骤：
1. 开始---管理工具---配置服务器，在打开的相应对话 框内，单击” Active Directory安装向导“。（或者 “开始”--“运行”--“dcpromo”启动向导。）
2. 启动向导，点击”下一步“按钮。 3. 设置域控制器类型。 4. 创建目录树或子域。 5. 创建或加入目录林 6. 新的域名。如：jsjxy
– 主域控制器也可以做文件、打印或应用软件服务器。同时负责审核 登陆者的身份。
• 备份域控制器
– 是一台运行Windows 2019 Server的计算机，但在安装时被设置为备 份域控制器。主域控制器会定期将目录数据库备份到备份域控制器 中。
– 功能和主域控制器类似；但备份域控制器不是必须的。 – 可分担审核负荷，或在PDC无法使用时提升为PDC，保证正常运行
• 委托关系
– 对于由多个域组成的网络，一个域中的用户需要访问 另一个域中的资源时，需要在两个域中建立委托关系
– 现称委托者为“信任域”，接受委托者为“受托域”。
– 当建立起委托关系后，信任域即可辨认受托域中的用 户帐号，允许这些帐号在信任域内使用。例如：
• 在信任域中登陆，但在登陆时必须指明用户属于哪一个受托 域
pdc
bdc
Stand-alone Server
网络设备 运行不同操作系统的工作站
• 主域控制器
– 是一台运行Windows 2019 Server 的计算机，一个域必须有且只能 有一个主域控制器。
– 域中所有帐号、组以及安全设置等数据都集中保存在主域控制器的 目录数据库中，因此帐号的增加与修改都是在主域控制器的目录数 据库中进行的。
1. Administrator:用于对整个域进行管理，即系统管理员帐号。 2. Guest:供临时访问者访问域中资源的帐号 • 以上两个帐号名称可以被用户修改，但是不能删除。
– 为提高用户管理效率，允许将域中的帐号按照其性质 划分为组，组中帐号能够自动继承组的权限与访问权 限。
• 用户帐号管理
– 对用户帐号进行复制、修改、删除。
• 安全规则及其设置
– 在域用户管理器中，可以设置3种安全规则：
1. 帐号规则：用来管理所有与用户帐号、密码有关的事项，例 如密码的期限、登陆错误几次后就将被帐号锁定等。
2. 用户权限规则：用来为用户和组指派权限，例如：那些用户 可以通过网络登陆、那些用户可以从本机直接登陆等。
– NetBIOS域名。如：jsjxy
– 指定Active Directory数据库和日志文件的位 置。
• wk.baidu.com域控制器安装完成后，即可进行活动目录的管 理，资源发布及客户机的域内资源的访问。
• 在控制面板中的管理工具窗口中，可见增加了三 个图标：
– Active Directory用户和计算机：用于域控制器的配置和 管理、活动目录的资源发布等。