IT同路人MCSE-Windows Server 2003活动目录的规划、实现和管理(70-294)课程PPT_04
- 格式:pdf
- 大小:864.65 KB
- 文档页数:47
下载文档原格式
合集下载
Windows Server 2003 活动目录和域控制器的配置与管理
六 Windows Server 2003活动目录实验要求:1、在虚拟机中安装操作系统时,你要设想你是在服务器上安装操作系统,设想你自己是网络管理员。
注意保证网络连通。
虚拟硬盘为25G。
2、五个人一组,五个人要相互分工合作。
全班可以分为X组,第一组的IP范围为121.87.1.100-121.87.1.200,第X组的IP范围为121.87.X.100-121.87.X.200。
参考书本图7-1为我们学院建立一个域树,林根域是,该域的默认的管理员帐户administrator改为admin_xcvtc1,密码设置为ABC123456789def (第一组在xcvtc后面加一个1,第二组加个2……) 。
3、域下面有两个子域: 一个是系部的,你可以任意选择一个系部,如选择信息工程系则其子域完整域名为,默认的管理员账户administrator改为admin_xxgcx;另一个是行政部分(),默认的管理员账户administrator改为admin_xz。
密码均可自行设置或者为空白。
4、系部有两个组织单位,“领导办公室”(ldb)和“教研室”(jys),在“领导办公室”组织单位中创建XLD用户,密码自行设置;行政部分有“教务处”(jwc)和“人事处”(rsc)两个组织单位,在“教务处”组织单位中创建JWC用户。
并将“领导办公室”组织单位的创建用户和组的权限委派给XLD用户,将“教务处”组织单位的修改组名的权限委派给JWC 用户。
5、在林根域中添加用户主体后缀名称。
6、你们一组中除了三个域控制器外还有几台计算机(可以称为客户端)。
“领导办公室”(ldb)和“人事处”(rsc)两个组织单位中分别创建ldb(对应其中一个客户端)和rsc 两个计算机帐户(对应另外一台客户端)。
7、将你们一组中除了三台域控制器外的两台计算机加入到与相应的域中(要求在客户端上进行设置,一台客户端的计算机名称改为ldb,其隶属于系部的子域。
活动目录的规划、实现和管理_05
导入操作
GPO1 GPO 设置
GPO2
导入操作将所有的 GPO 设置从源 GPO 复制到 目标 GPO
导入设置到 GPO 中
5.4.8 导入设置到 导入设置到GPO
演示: 演示: 掌握如何导入组策略设置到 GPO 中
实验5-3:管理 GPO 实验 :
目的: 目的: 复制 GPO 备份 GPO
5.4.9 实验 :管理 实验5-3:管理GPO
第 5 章 组策略的实现
策略基础知识 创建与配置组策略对象 配置组策略刷新率与组策略设置 管理 GPO 组策略的验证与问题处理 委派管理组策略的管理控制 规划企业的组策略方案
策略基础知识
组策略可以定义的设置类型
5.1 策略基础知识
策略基础知识
继承路径 处理 GPO 的顺序 多值 GPO 设置 阻止继承 强制选项 筛选GPO 筛选 “组策略管理”控制台 组策略管理” 组策略管理
规划 GPO 的原则 确定 GPO 继承的原则 确定站点组策略方案的原则 规划 GPO 管理的原则 部署 GPO 的原则 实验5-6: 实验 :实现组策略
5.7 规划企业的组策略方案
规划 GPO 的原则
5.7.1 规划 规划GPO的原则 的原则
在最高层次应用 GPO 设置 减少 GPO 的数量 创建专用 GPO 禁用计算机或用户配置设置
删除已经备份的 GPO 恢复已经删除的 GPO
第 5 章 组策略的实现
策略基础知识 创建与配置组策略对象 配置组策略刷新率与组策略设置 管理 GPO 组策略的验证与问题处理 委派管理组策略的管理控制 规划企业的组策略方案
组策略的验证与问题处理
5.5 组策略的验证与问题处理
实现组策略时的常见问题 使用 “组策略建模向导” 检验组策略设置 组策略建模向导” 使用“组策略结果” 使用“组策略结果”验证组策略设置 实验5-4: 实验 :组策略验证和故障排除
第7章 Windows Server 2003活动目录
图7-3 域类型
新建林(续)
(7) 在“数据库和日志文件文件夹” 页面上,键入要安装数据库和日 志文件文件夹的位臵,或单击 “浏览”选择一个位臵,然后单 击“下一步”。 (8) 在“共享的系统卷”页面上,键 入要安装 Sysvol 文件夹的位臵, 或单击“浏览”选择一个位臵, 然后单击“下一步”。 (9) 在“DNS 注册诊断”页上,单击 “在这台计算机上安装并配臵 DNS 服务器,并将这台 DNS 服 务器设为这台计算机的首选 DNS 服务器”,如图7-4所示。然后单 击“下一步”,选择在该服务器 上安装和配臵 DNS。
7.1.4 轻型目录访问协议
LDAP 是在 TCP/IP 网络上使用的通信协议。 LDAP 定义目录客户端如何访问目录服务 器以及客户端如何能进行目录操作并共享 目录数据。
7.1.5 活动目录的逻辑结构
1. 层次化的目录结构 Windows Server 2003的活动目录是由组织单元、 域、域树和森林构成的层次结构。如图7-1所示。
7.1.3 活动目录的命名
1. Active Directory 域名 Active Directory 域名通常是域的完整的域名系 统(DNS) 名称,如。 2. 用户帐户 在 Active Directory 中,每个用户帐户都有基于 IETF RFC 822(ARPA Internet 文本消息格式标 准) 的 UPN。UPN 包括由“@”符号连接起来的 用户登录名和 UPN 后缀,如 user@。 3. 计算机帐户
新建子域(续)
(4) 在“创建一个新域”页面上,单击“在现有域树中的子 域”,如图7-5所示。然后单击“下一步”。 (5) 在“网络凭据”页面上,键入要用于该操作的用户帐户 的用户名、密码及用户域,如图7-6所示。“用户名” 输入根域管理员的用户名adminstator,“密码”输入根 域管理员用户的密码,“域”中填入父域的域名 ,然后单击“下一步”。
第12章-Windows Server 2003活动目录简介
contoso.msft
森林 树
nwtraders.msft asia. contoso.msft au. contoso.msft
双向、可传递的信任
树
asia. nwtraders.msft au. nwtraders.msft
12.2.3 组织单位(Organization Unit)
网络管理模型 组织结构来自内容总结• • • • • 理解Windows Server 2003活动目录的概念 掌握活动目录的特点和好处 掌握活动目录的逻辑结构组成 掌握活动目录的物理结构组成 理解活动目录和DNS服务的关系
Sales Users Computers
Vancouver Sales Repair
• 使用OU把对象组织到逻辑结构中,以此更好地 满足公司的需要 • 通过为用户或组分配特定的权限,从而给他们 委派对某个OU中的对象进行管理控制的能力
12.2.4 全局编录(Global Catalog)
• 存储了活动目录中的所有对象以及每个对 象的部分属性信息
12.2.1 域
• 域是一个管理界限
– 域管理员只能对本域范围内的对象进行管理,不能 管理其它域,除非被明确分配了对其它域的管理权 利
• 域是复制的单元
– 域中的域控制器参与活动目录的复制工作,它包含 了本域目录信息的完整副本
复制
Windows 2003域
12.2.2 域树和域目录林
双向、可传递的信任
Seattle New York Chicago Los Angeles
IP 子网
站点
站点: 优化复制流量 使用户能够通过一条可靠、高速的连接登录到 一台域控制器上
IP 子网
12.4 设置DNS服务支持活动目录
森林 树
nwtraders.msft asia. contoso.msft au. contoso.msft
双向、可传递的信任
树
asia. nwtraders.msft au. nwtraders.msft
12.2.3 组织单位(Organization Unit)
网络管理模型 组织结构来自内容总结• • • • • 理解Windows Server 2003活动目录的概念 掌握活动目录的特点和好处 掌握活动目录的逻辑结构组成 掌握活动目录的物理结构组成 理解活动目录和DNS服务的关系
Sales Users Computers
Vancouver Sales Repair
• 使用OU把对象组织到逻辑结构中,以此更好地 满足公司的需要 • 通过为用户或组分配特定的权限,从而给他们 委派对某个OU中的对象进行管理控制的能力
12.2.4 全局编录(Global Catalog)
• 存储了活动目录中的所有对象以及每个对 象的部分属性信息
12.2.1 域
• 域是一个管理界限
– 域管理员只能对本域范围内的对象进行管理,不能 管理其它域,除非被明确分配了对其它域的管理权 利
• 域是复制的单元
– 域中的域控制器参与活动目录的复制工作,它包含 了本域目录信息的完整副本
复制
Windows 2003域
12.2.2 域树和域目录林
双向、可传递的信任
Seattle New York Chicago Los Angeles
IP 子网
站点
站点: 优化复制流量 使用户能够通过一条可靠、高速的连接登录到 一台域控制器上
IP 子网
12.4 设置DNS服务支持活动目录
实验一 Windows server 2003 权限管理和活动目录的安装与部署
实验一Windows server 2003 权限管理和活动目录的安装与部署【实验目的】1.掌握Windows Server 2003活动目录的安装与部署。
2.掌握域中用户的管理方法。
【实验环境】Windows Server 2003服务器一台,Windows XP客户端一台。
【实验内容】一、Windows Server 2003 NTFS分区权限设置1. Windows Server 2003 NTFS分区权限介绍为了确保用户能够按照所希望的进行操作,并减少破坏行为的发生,NTFS 的权限设置至关重要。
NTFS分区是Windows Server 2003推荐的系统分区格式,它比FAT32分区有更好的性能和更高的安全性。
图1 文件和文件夹的“安全”选项卡如图1所示,选择“安全”选项卡(注:只有处在NTFS分区上的文件和文件夹才有“安全”选项卡)。
选中“组或用户名称”列表框中对应的用户,就可在下面窗口中设置该用户或组对此文件或文件夹的权限,如果欲操作的用户或组不在“组或用户名称”列表框中出现,则需要单击“添加”按钮把该用户或组添加进来。
下面针对文件夹的NTFS权限进行介绍。
完全控制:指用户对该对象具有所有的权限,包括下面列出的所有权限和夺取该文件夹所有者的权限。
修改:具有“完全控制”中除夺取所有权以外的权限。
读取及运行:能查看该文件以及子文件夹下的内容,能执行文件,如EXE 文件等。
此权限也包括了“列出文件夹目录”和“读取”权限。
列出文件夹目录:只能浏览该文件夹以及子文件夹下的内容,但不能查看文件具体内容,当然也无法复制。
读取:能查看文件内容。
写入:能新建文件或文件夹,如果只具有此权限,其结果是用户可以在此文件下添加内容,但无法浏览此文件夹下的内容,更无法查看文件的具体内容。
2.相关问题(1)本机管理员属于“Users”组,如果清除“Users”组的“读取和运行”权限,管理员还能否读取和运行该文件夹中的文件?(2)取消或拒绝“Users”组的允许“读取和运行”权限,两者有何区别?3.实例如果别人要临时借用自己的计算机,可计算机上有一些重要资料担心被删除,有些隐私文件担心被看见,但又不得不借,有什么两全其美的方法?4.配置共享默认情况下所有用户都能读取共享文件夹,如果限制一些用户从网络上访问该文件夹或者允许一部分人有更高的权限,则需要额外设置。
《windows server 2003服务器操作系统》第13章 活动目录基础
2、组织单元 活动目录允许管理员在一个域内创建一个满 足其组织需要的层次结构。建立这些层次结构要选 择的对象类是Orgnizational Unit类,这是一个通 用容器,该容器可以因管理上的目的而将其他大多 数对象类组合到一起。活动目录中的一个组织单元 与文件系统中的一个目录是类似的,它是一个可以 包容其他对象的容器。
第8章 活动目录基础
主要知识点:
一、活动目录逻辑结构 二、活动目录物理结构 三、活动目录的安装 (了解) (了解) (掌握)
四、将计算机加入到域
(掌握)
一 活动目录介绍
1、什么是活动目录 活动目录(Active Directory)是Windows Server 2003平台提供的目录服务,在中央数据库 中存放信息,使用户在网络上只拥有一个用户账号。 Windows Server 2003中的活动目录是高度完善的、 自适应能力很强的目录服务。它支持用户进行大范 围的修改来满足特定的商务和组织需要。活动目录 支持多域结构,由一个或多个域组成。每个域拥有 与其他域相关的安全策略和安全关系。这种多域模 式可以使Windows Server 2003具有更高的安全性。
(1)管理层次
组织单元可以被嵌套在一起来创建一个域中 的层次结构,并为用户、组和资源对象形成逻辑上 的管理单元,如打印机、计算机、应用程序和文件 共享。一个域中的组织单元层次结构独立于其他域 的结构;每个域可以组织自己的层次结构。同样, 由一个集中的权威机构管理的多个域可以实现相似 的组织单元层次结构。这种结构是灵活的,它使得 一个组织可以创建一个与其管理模型相同的环境, 不管它是集中的还是分散的。
DNS的主要功能是将用户可以识别的计算机 名字映射到计算机可识别的IP地址上。因此,DNS 为计算机名字定义了一个名字空间,根据这些名字 可以解析出IP地址,反之亦然。在Windows NT 4.0或更早的版本中,DNS名字是不需要的,域和 计算机使用NetBIOS名字,这种名字通过使用 Windows Internet名字服务(WINS)而映射到IP 地址。尽管对Windows Server 2003域和基于 Windows Server 2003的计算机来说,它们是需要 DNS名字的,但为了达到跟Windows NT 4.0域及 那些运行Windows NT 4.0或更早版本、Windows for Workgroups、Windows 98或Windows 95的客 户机之间的兼容性,Windows Server 2003中也支 持NetBIOS名字。
Windows_server_2003的活动目录安装和配置
3.使用管理员administrator在客户机上登陆域
客户机加入域成功,需要重新启动计算机生效
二、配置用户主文件夹
1.在DC上创建域用户帐户
2.创建主文件夹所使用的共享文件夹
3.配置用户主文件夹
4.使用域用户帐户的客户机上上登陆域
三、OU的管理
1.在DC上创建5个OU
2.将用户帐户移动到销售部ou中
3.在ou中创建域用户帐户和全局组
4.委派域帐户对销售部OU有添加用户的权限
在客户机上测试
本文出自技术博客
Windows server 2003的活动目录安装和配置用户主文件夹
任务1:安装活动目录
任务2:配置用户主文件夹
任务3:OU的管理
一、安装活动目录
1.安装活动目录
出现安装界面
安装active derectory
完成安装将重新启动计算机
2.将计算机加入域
首先配置计算机的IP地址
在客户机上右键单击“我的电脑”——“属性”——“计
客户机加入域成功,需要重新启动计算机生效
二、配置用户主文件夹
1.在DC上创建域用户帐户
2.创建主文件夹所使用的共享文件夹
3.配置用户主文件夹
4.使用域用户帐户的客户机上上登陆域
三、OU的管理
1.在DC上创建5个OU
2.将用户帐户移动到销售部ou中
3.在ou中创建域用户帐户和全局组
4.委派域帐户对销售部OU有添加用户的权限
在客户机上测试
本文出自技术博客
Windows server 2003的活动目录安装和配置用户主文件夹
任务1:安装活动目录
任务2:配置用户主文件夹
任务3:OU的管理
一、安装活动目录
1.安装活动目录
出现安装界面
安装active derectory
完成安装将重新启动计算机
2.将计算机加入域
首先配置计算机的IP地址
在客户机上右键单击“我的电脑”——“属性”——“计
Windows Server 2003网络操作系统第4章 域与活动目录(改)
4.2 活动目录的创建与配置
4.2.4 创建子域
(4)输入父域的域名以及管理员的账户、密码等。
4.2 活动目录的创建与配置
4.2.4 创建子域
(5)接着输入子域的NetBIOS名。 (6)重新启动计算机,用管理员登录到域中。
4.2 活动目录的创建与配置
4.2.5 创建域林中的第二棵域树
1. 创建DNS域
4.2 活动目录的创建与配置
4.2.5 创建域林中的第二棵域树
2. 安装域树的域控制器
(1)确认服务器上“本地连接”属性中的TCP/IP的首选DNS指向。
(2)运行活动目录安装向导。 (3)选择“新域的域控制器” 。
4.2 活动目录的创建与配置
4.2.5 创建域林中的第二棵域树
2. 安装域树的域控制器
下一步选择“在现有的林中的域树” 。
4.2 活动目录的创建与配置
4.2.5 创建域林中的第二棵域树
2. 安装域树的域控制器
(4)输入已有域树的根域的域名和管理员的账户、密码。
(5)接着输入新域的NetBIOS名,按照原步骤继续设置,直到完成。
Temp.edb:临时文件。
安装后检查
5. DNS记录
4.2 活动目录的创建与配置
4.2.3 安装额外的域控制器
(1)首先要在 服务器上检查“本地连接”属 性,确认能否正常通信。
(2)运行“Active Directory”安装向导。 (3)将该计算机设置为现有域的额外域控制 器。 (4)输入拥有将该计算机升级为域控制器权 力的用户名和密码。 (5)安装向导从原有的域控制器上开始复 制活动目录。
4.1 域与活动目录
4.1.3 域目录树
当需要配置一个包含多个域的网络时, 应该将网络配置成域目录树结构。域目录 树是一种树型结构。 活动目录的域名仍然采用DNS域名的命 名规则进行命名。
浅谈windows server 2003活动目录实施前的规划
做 的 一 些 规 划 进 行 了探 讨 。
【 关键 词 】 A t eDrcoy 活 动 目录 c v i tr i e
规 划 目录 林
【 中图分类号】T 3 3 9 P9 . 0
【 文献标识码】 A
【 文章编号】 10 — 4 92 0 )2 0 7 - 2 0 9 15 ( 70 - 0 5 0 0
第 三个 原则 是 规划 一 个理 想 的结 构 。 了解企
式 的 。活 动 目录 是 一 种 通 用 的 分 布 式 的 信 息 仓
库 ,通 过 它 可 以 以 一 致 的 形 式 , 在 整 个 网 络 或
业 单 位 理 想 的 目标 , 立 多 个 方 案 , 后 对 它 们 进 建 然
陈 文 伟 孙伟 清 : 谈 wid wsevr 03活 动 目录 实施 前 的规 划 浅 n o re 0 s 2
但 由 此 带 来 的 管 理 开 销 可 能 很 大 。 确 定 域 数 目之
活 动 目 录 进 行 重 新 设 计 。 下 面 本 文 就 wid ws no Sre 0 3活 动 目 录 实 施 前 需 要 做 哪 些 规 划 进 行 ev r2 0
定要 确 这
在 可 行 的 前 提 下 遵 守 简 单 为 主 的 原 则 。尽 量 考 虑
上 任 意 的 人 口点 以 一 致 的 接 口连 接 到 系 统 , 与 或 系 统 保 持 连 续 状 态 。无 论 用 户 需 要 什 么 , 备 、 设 通
探讨。
一
、
基本 规 划原 则
在 进 行 活 动 目录 规 划 时 ,我 们 应 遵 从 以 下 基
本 的 设 计 原 则 指 导 决 策 过 程 。 主 要 原 则 之 一 是 简 单 。简 单 的结 构 易 于 调 试 、 护 和 说 明 。尽 管 增 加 维
【 关键 词 】 A t eDrcoy 活 动 目录 c v i tr i e
规 划 目录 林
【 中图分类号】T 3 3 9 P9 . 0
【 文献标识码】 A
【 文章编号】 10 — 4 92 0 )2 0 7 - 2 0 9 15 ( 70 - 0 5 0 0
第 三个 原则 是 规划 一 个理 想 的结 构 。 了解企
式 的 。活 动 目录 是 一 种 通 用 的 分 布 式 的 信 息 仓
库 ,通 过 它 可 以 以 一 致 的 形 式 , 在 整 个 网 络 或
业 单 位 理 想 的 目标 , 立 多 个 方 案 , 后 对 它 们 进 建 然
陈 文 伟 孙伟 清 : 谈 wid wsevr 03活 动 目录 实施 前 的规 划 浅 n o re 0 s 2
但 由 此 带 来 的 管 理 开 销 可 能 很 大 。 确 定 域 数 目之
活 动 目 录 进 行 重 新 设 计 。 下 面 本 文 就 wid ws no Sre 0 3活 动 目 录 实 施 前 需 要 做 哪 些 规 划 进 行 ev r2 0
定要 确 这
在 可 行 的 前 提 下 遵 守 简 单 为 主 的 原 则 。尽 量 考 虑
上 任 意 的 人 口点 以 一 致 的 接 口连 接 到 系 统 , 与 或 系 统 保 持 连 续 状 态 。无 论 用 户 需 要 什 么 , 备 、 设 通
探讨。
一
、
基本 规 划原 则
在 进 行 活 动 目录 规 划 时 ,我 们 应 遵 从 以 下 基
本 的 设 计 原 则 指 导 决 策 过 程 。 主 要 原 则 之 一 是 简 单 。简 单 的结 构 易 于 调 试 、 护 和 说 明 。尽 管 增 加 维
Windows2003下安装活动目录与设置主文件夹(VM环境)
安装活动目录并配置用户主文件夹这次装的很辛苦,不过最后还是成功了,很兴奋
首先安装活动目录
很简单,一路默认即可
建立新用户test1,第一次设置主文件夹
到此时出现问题
加入时无论如何加不进去,我写的域名是bupt.local 使我烦恼好长时间,最后将要放弃时,无意间输入bupt 时,成功进入加入域
过程忘记截图,开始时已经建立了windows2003中新建用户test1,但登陆域时并没有主文件夹,后来在图书馆查资料,知道首先要建立共享文件夹
已经建立共享文件夹test
并设置主文件路径,依然不成功
后来找到原因需要设置一下共享文件夹
注销XP,在次测试,成功
到此结束
实验总结:经过这次实验使我懂得了很多知识,锻炼了自己的动手能力,培养自己上图书馆的习惯,培养了自己发现问题解决问题的能力,总之,收益良多。
中间有些截图没有,因为不想重装,但下次一定注意,但是绝大部分过程均有截图‘
PS:在宿舍时由于配置服务器,导致宿舍集体断网,很汗颜,后来的实验均在网线拔了的情
况下进行。
Windows Server 2003活动目录设计
-
div2
Division 2 Div2 infra IT team
div3
Division 3 Div3 infra IT team
中心运行森林根域, 拥有EA和SA组 部门得到自己的域, 有自己的DA组
设计森林根域
给森林根域命名
- 选择一个DNS后缀 - 增加新的, 以前没用过的前缀 • • • 标准字符 ‘A’-’Z’, ‘0’-’9’, ‘-’ 不要超过15个字符 例如,
OU=div3 Division 3
Division 2
专门的森林根域, 按地理分布的子域来控制复制 单个IT团队控制所有服务管理功能
最佳实践域模型
专用根域
根域负责易于转换 将森林管理员从普通管理员中分离 单一树是最简单的 – 没有多个树或非连续名字空间的需求 没有深层的嵌套结构 与网络/广域网结构良好映射 与全局IT组织良好映射 稳定 – 地理位置相对稳定
-
使变更复制到其他域控制器 …更多
信任服务管理员
一个恶意的管理员是怎样攻击的? 一个恶意的管理员是怎样攻击的?
攻击方法
在域控制器系统安全环境内注入代码,修改LSA进程中的代码 在域控制器上将LSA进程运行于调试器中 将域控制器启动到恢复模式下或离线对活动目录数据库进行编辑 不 在因特网上,攻击者发布了很多工具。任何恶意的服务管理员可以得 到它们。
森林设计
每个森林负责人进行独立的森林设计
1. 2. 3. 4. 域设计 DNS设计 组织单元设计 站点拓扑
域设计
什么是域? 什么是域?
域是森林的一个分区
- 复制的边界 - 管理的边界
允许目录扩展到慢速和拥挤的网络上
- 限制数据复制的目的地
div2
Division 2 Div2 infra IT team
div3
Division 3 Div3 infra IT team
中心运行森林根域, 拥有EA和SA组 部门得到自己的域, 有自己的DA组
设计森林根域
给森林根域命名
- 选择一个DNS后缀 - 增加新的, 以前没用过的前缀 • • • 标准字符 ‘A’-’Z’, ‘0’-’9’, ‘-’ 不要超过15个字符 例如,
OU=div3 Division 3
Division 2
专门的森林根域, 按地理分布的子域来控制复制 单个IT团队控制所有服务管理功能
最佳实践域模型
专用根域
根域负责易于转换 将森林管理员从普通管理员中分离 单一树是最简单的 – 没有多个树或非连续名字空间的需求 没有深层的嵌套结构 与网络/广域网结构良好映射 与全局IT组织良好映射 稳定 – 地理位置相对稳定
-
使变更复制到其他域控制器 …更多
信任服务管理员
一个恶意的管理员是怎样攻击的? 一个恶意的管理员是怎样攻击的?
攻击方法
在域控制器系统安全环境内注入代码,修改LSA进程中的代码 在域控制器上将LSA进程运行于调试器中 将域控制器启动到恢复模式下或离线对活动目录数据库进行编辑 不 在因特网上,攻击者发布了很多工具。任何恶意的服务管理员可以得 到它们。
森林设计
每个森林负责人进行独立的森林设计
1. 2. 3. 4. 域设计 DNS设计 组织单元设计 站点拓扑
域设计
什么是域? 什么是域?
域是森林的一个分区
- 复制的边界 - 管理的边界
允许目录扩展到慢速和拥挤的网络上
- 限制数据复制的目的地
Windows Server 2003活动目录简介
4/7
2、树和信任关系 域是安全的最小边界、而域树是由多个域树组成的,因此多个域之间互相访问 时就需要一种信任关系。在 window server 2003 的域树中父域和子域之间可以 自动建立一种双向可传递的信任关系。 如果两个域之间有双向信任关系,则可以达到以下结果: 》这两个域就像一个域一样,A 域中的帐号可以在 B 域中登陆 A 域 》A 域中的用户可以访问 B 域中有权限访问的资源 可以说这种双向信任关系淡化了不同域之间的界线。而在 windiws server 2003 的域树中,父域和子域之间的信任关系不但是双向的,而且是可传递的。
2/7
活动目录的逻辑结构 》域 》域树 》域目录林 》组织单位 在 ad 中有很多资源对象,要对这些资源进行很好的管理,就必须把他们有机地组织起来, 活动目录的逻辑结构就是用来组织资源的。 通常将 ad 的逻辑结构和公司的组织结构框架结合起来。通过对资源进行逻辑组织,使用户 可以通过名称而不是通过物理位置来查找资源,并且使网络的物理结构对用户来说是透明 的。 活动目录的逻辑结构包括域(DOMAIN)、域树、域目录林和组织单位 一、域的概念
3.2 站点 1、dc 实际存储 ad 的地方 2、站点 站点一般与地理位置相对应,它由一个或几个物理子网组成,创建站点的目的是为了优 化 dc 之间的复制的流量。 站点具有以下特点: 》一个站点可以有一个或多个 ip 子网 》一个站点中可以有一个或多个域 》一个域可以属于多个站点
三、DNS 服务支持 ad dns 服务的作用 dns 域活动目录名称空间 服务资源记录 活动集成区域 设置 DNS 服务支持活动目录
注意: 活动目录、域和域控制器的关系: 域是一种逻辑的组织形式,能够对网络中资源进行统一的管理,就像工作组模式对网络 进行松散管理一样。要想实现域的管理,必须在一台计算机上安装 ad 才能实现,而安 装了 ad 的计算机就是域控制器。
2、树和信任关系 域是安全的最小边界、而域树是由多个域树组成的,因此多个域之间互相访问 时就需要一种信任关系。在 window server 2003 的域树中父域和子域之间可以 自动建立一种双向可传递的信任关系。 如果两个域之间有双向信任关系,则可以达到以下结果: 》这两个域就像一个域一样,A 域中的帐号可以在 B 域中登陆 A 域 》A 域中的用户可以访问 B 域中有权限访问的资源 可以说这种双向信任关系淡化了不同域之间的界线。而在 windiws server 2003 的域树中,父域和子域之间的信任关系不但是双向的,而且是可传递的。
2/7
活动目录的逻辑结构 》域 》域树 》域目录林 》组织单位 在 ad 中有很多资源对象,要对这些资源进行很好的管理,就必须把他们有机地组织起来, 活动目录的逻辑结构就是用来组织资源的。 通常将 ad 的逻辑结构和公司的组织结构框架结合起来。通过对资源进行逻辑组织,使用户 可以通过名称而不是通过物理位置来查找资源,并且使网络的物理结构对用户来说是透明 的。 活动目录的逻辑结构包括域(DOMAIN)、域树、域目录林和组织单位 一、域的概念
3.2 站点 1、dc 实际存储 ad 的地方 2、站点 站点一般与地理位置相对应,它由一个或几个物理子网组成,创建站点的目的是为了优 化 dc 之间的复制的流量。 站点具有以下特点: 》一个站点可以有一个或多个 ip 子网 》一个站点中可以有一个或多个域 》一个域可以属于多个站点
三、DNS 服务支持 ad dns 服务的作用 dns 域活动目录名称空间 服务资源记录 活动集成区域 设置 DNS 服务支持活动目录
注意: 活动目录、域和域控制器的关系: 域是一种逻辑的组织形式,能够对网络中资源进行统一的管理,就像工作组模式对网络 进行松散管理一样。要想实现域的管理,必须在一台计算机上安装 ad 才能实现,而安 装了 ad 的计算机就是域控制器。
为Windows Server 2003做规划
为Windows Server 2003做规划有无数远程节点的大公司能够从Windows Server 2003快速更新上获得极大的好处。
这是工业界分析家们的一致看法,至少有很多用户会使用Windows的新版本。
大部分Windows观察家都同意这一点,对于终端用户少于1000、只有大约50台服务器的中小企业来说,维持原状也许是明智的。
对于那些在近两年才把系统升级到Windows 2000的公司来说,更是如此。
专家认为,即便这样,也应该开始筹划一个最终的系统升级。
毕竟,对Windows NT的支持在2004年12月31日就终止了,即便是对Windows 2000的支持也不会一直持续下去的。
正如EK&K的股东Eric Stral指出的那样:“如果你有一个微软的商店,你会最终使用Windows Server 2003。
”即使对于小一点的用户来说,新系统在算法上的改进和其它后台调整使得这个操作系统与以前的Windows版本系统相比,可以更快更好的运行。
但是网站的掌舵人、集体政策专家Jeremy Moskowitz说:“如果你经营一个小企业,那么2003能给你带来的好处也不是那么大。
”咨询家们认为,对于大客户来说,有很多因素可以促使你尽快使用Windows Server 2003。
这个新Windows带来了更快也更可靠的从Active Directory复制的功能、更多的管理Active Directory的选择、更有效的终端服务、以及贯穿整个操作系统的更好的安全性。
新系统还有其它许多优点,对于那些分支办公室超过250个的公司来说,利用新系统使得对Active Directory的管理变得更加容易了。
Moskowitz说:“以前,你不得不手动做一些的繁琐事情来让它工作,但是现在你可以管理群组政策,包括那些对于无线网络的规定,制定软件权限,以及完成其它任务,包括对大规模机器组的域的重命名。
Windows Server 2003还包括许多先进的功能,例如进行假设分析的能力。
Windows2003活动目录详解
10
1.2.1 域(DOMAIN)
域是是活动目录的中逻辑结构的核心单元,一个域包含许多台计 算机,它们由管理者设定,共用一个目录数据库。一个域有一个 唯一的名字 域起着安全边界的作用:保证域的管理者只能在该域内有着必要 的管理权限,每个域都有自己的安全策略和与其它域的安全联系 方式 域同时也是一个复制单元,作为域控制器的计算机包含活动目录 的副本。在一个特定的域中,所有域控制器都能得到活动目录的 变化信息,并把这些变化的信息复制给该域中的其它域控制器
操作系统必须是Windows 2003 Server以上版 本 执行活动目录安装的用户必须具有管理权限 计算机至少有250M的空间,而且至少有一个 NTFS分区 计算机必须安装TCP/IP,而且正确配置DNS
31
活动目录的安装实验物理环境
IP 192.168.1.3/24 dns:192.168.1.1 或 dns:192.168.1.2
14
1.2.4全局目录(GC)
目录对象属性的 子集
Domain Domain Domain Domain Domain Domain
全局目录(GC)
查询
利用组成员身份登 录网络
全局目录服务器
15
1.3 活动目录的物理结构
本节内容 域控制器(Domain Cotroller) 站点(Site) 学习目标 掌握活动目录物理结构的分类 掌握每种物理结构的作用和特点
DNS SYSVOL 数据库 和日志 文件
35
实现活动目录集成区域
使用与活动目录集成的DNS区域 实现正向查找区域 实现反向查找区域
DNS 服务器
区域 数据库
活动目录 集成的区域
36
确保活动目录集成区域安全更新
1.2.1 域(DOMAIN)
域是是活动目录的中逻辑结构的核心单元,一个域包含许多台计 算机,它们由管理者设定,共用一个目录数据库。一个域有一个 唯一的名字 域起着安全边界的作用:保证域的管理者只能在该域内有着必要 的管理权限,每个域都有自己的安全策略和与其它域的安全联系 方式 域同时也是一个复制单元,作为域控制器的计算机包含活动目录 的副本。在一个特定的域中,所有域控制器都能得到活动目录的 变化信息,并把这些变化的信息复制给该域中的其它域控制器
操作系统必须是Windows 2003 Server以上版 本 执行活动目录安装的用户必须具有管理权限 计算机至少有250M的空间,而且至少有一个 NTFS分区 计算机必须安装TCP/IP,而且正确配置DNS
31
活动目录的安装实验物理环境
IP 192.168.1.3/24 dns:192.168.1.1 或 dns:192.168.1.2
14
1.2.4全局目录(GC)
目录对象属性的 子集
Domain Domain Domain Domain Domain Domain
全局目录(GC)
查询
利用组成员身份登 录网络
全局目录服务器
15
1.3 活动目录的物理结构
本节内容 域控制器(Domain Cotroller) 站点(Site) 学习目标 掌握活动目录物理结构的分类 掌握每种物理结构的作用和特点
DNS SYSVOL 数据库 和日志 文件
35
实现活动目录集成区域
使用与活动目录集成的DNS区域 实现正向查找区域 实现反向查找区域
DNS 服务器
区域 数据库
活动目录 集成的区域
36
确保活动目录集成区域安全更新
实验二 Win2003活动目录设置
实验二Win Server 2003活动目录设置一、实验目的:熟练掌握Win2003活动目录的安装和设置;了解“域”的概念。
二、实验属性:设计型三、实验环境Pentium 550Hz以上的CPU;建议至少256MB的内存;建议硬盘至少2GB,并有1GB空闲空间。
四、实验内容在安装Active Directory前首先确定DNS服务正常工作,下面来安装根域为的第一台域控制器。
运行Active Directory安装向导将Windows server 2003计算机配置为域控制器,创建一个新域或者向现有的域添加其他域控制器。
五、实验步骤1、安装(1)利用配置服务器启动位于%System root%\System32中的Active Directory安装向导程序Dcpromo.exe,单击[下一步]。
(2)由于所建立的是域中的第一台域控制器,所以选择[新域的域控制器]单击[下一步]。
(3)选择[创建一个新域的域目录树],单击[下一步]。
(4)选择[创建一个新域的域目录林],单击[下一步]。
(5)在[新域DNS全名]中输入要创建的域名,单击[下一步]。
(6)安装向导自动将域名控制器的NetBIOS名设置为“nt2003”,单击[下一步]。
(7)显示数据库、目录文件及Sysvol文件的保存位置,一般不必做修改,单击[下一步]。
(8)配置DNS服务器,单击[下一步],如果在安装Active Directory之前未配置DNS 服务器可以在此让安装向导配置DNS,推荐使用这种方法。
(9)为用户和组选择默认权限,单击[下一步](10)输入目录恢复模式下的管理员密码,单击[下一步]。
(11)安装向导显示摘要信息,单击[下一步]。
(12)安装完成,重新启动计算机。
2、检查Active Directory安装是否正确,在安装过程中一项最重要的工作就是在DNS 数据库中添加服务记录(SRV记录),下面介绍一下如何检查安装是否正确。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
记录所有成功的 Active Directory更改 跟踪对某个资源的访问 检测和记录失败的访问尝试
4.6.1 审核Active Directory访问的重要性
监视 Active Directory 更改的原则
4.6.2 监视Active Directory更改的原则
下列情况下启用:
启用账户管理事件 启用策略更改的成功审核 启用系统事件的失败审核 必要时才启用策略更改事件和账户管理事件的失 败审核
第 4 章 实现用户、组及计算机账户
账户简介 创建和管理多个账户的工具 用户主体名称后缀的实现 在 Active Directory 中移动对象 用户、组和计算机账户策略 制定 Active Directory 审核策略
在 Active Directory 中移动对象
SID 历史记录 移动对象涉及的问题 在域中移动对象 在域间移动对象
创建和管理多个账户的工具 使用 Csvde 工具创建账户 使用 Ldifde 工具创建和管理账户
4.2 创建和管理多个账户
用 Windows 脚本宿主创建和管理账户 实验4-1:创建用户账户
创建和管理多个账户的工具
Active Directory Active Directory 用户和计算机 用户和计算机
多媒体:名称后缀路由的工作原理
contoso.msft 信任
adatum.msft
john@contoso.msft
检测和解决名称后缀冲突 4.3.2 检测和解决名称后缀冲突
冲突检测: 相同的域名系统(DNS,Domain Name System)名 称已经在使用 相同的 NetBIOS 名称已经在使用 域安全 ID(SID)与其他名称后缀 SID 冲突 名称后缀冲突时,将拒绝来自于林外对此域的访问
实验4-3:移动对象
目的: 使用 Ldp.exe 工具:
4.4.6 实验4-3:移动对象
检验用户对象的 SID、SID 历史和 GUID 移动用户对象到同一域中其他组织 修改用户对象的 SID、SID 历史和 GUID
第 4 章 实现用户、组及计算机账户
账户简介 创建和管理多个账户的工具 用户主体名称后缀的实现 在 Active Directory 中移动对象 用户、组和计算机账户策略 制定 Active Directory 审核策略
使用 Ldifde 工具创建和管理账户
4.2.3 使用 Ldifde 工具创建和管理账户
演示: 使用 Ldifde 命令行工具演示账户管理
用 Windows 脚本宿主创建和管理账户
4.2.4 用 Windows 脚本宿主创建和管理账户
演示: 使用 Windows 脚本宿主创建和管理账户
实验4-1:创建用户账户
第4章 实现用户、组及计算 机账户
IT同路人在业余时间给大家授课了,一般上课人数安排在2-4人左右,人手一机,单独辅 导也可以!! 培训内容包括MCSE、CCNA、Linux、Oracle、Sun Solaris、Exchange Server 2003 SQL Server 2000/2005、Sharepoint Server 2003、ISA Server 2004、SMS Server 2003、 Project server 2003、Lotus Domino、LCS 2003等课程。有需求的可以和我联系,我住在上 海。 QQ:369964068。 网站: E-mail:ittongluren@ 私人培训与培训学校相比有几大优势: 1、上课时间灵活,上课人数较少,一般安排在1-4人,也可以接收单独辅导 2、授课老师具有在IT公司工作多年的丰富的项目管理经验 3、授课老师具有在培训学校多年的相关课程的授课经验 4、上课内容有不懂的,可以随时与老师直接交流,解决你的问题。 5、培训价格与在学校培训相比,要便宜多了,还能学到比他们多的知识内容 6、可以得到授课老师很多的相关课程内容的讲义、电子书籍、视频资料等东西 7、有一个比较好的IT人员相互之间交流技术的平台 8、随到随学,滚动开班,非常灵活的学习方式
4.2.1 创建和管理多个账户的工具
目录服务工具 目录服务工具
Dsadd Dsmod Dsrm
Csvde 和 Ldifde 工具 Csvde 和 Ldifde 工具 Windows 脚本宿主 Windows 脚本宿主
使用 Csvde 工具创建账户
4.2.2 使用 Csvde 工具创建账户
演示: 使用 Csvde 命令行工具
目的:
4.2.5 实验4-1:创建用户账户
练习脚本文件创建和运行包含命令的脚 本文件来创建用户账户
第 4 章 实现用户、组及计算机账户
账户简介 创建和管理多个账户的工具 用户主体名称后缀的实现 在 Active Directory 中移动对象 用户、组和计算机账户策略 制定 Active Directory 审核策略
是安全组或通讯组,成员可以是来自于自身林中任何域 的用户、组和计算机
第 4 章 实现用户、组及计算机账户
账户简介 创建和管理多个账户 用户主体名称后缀的实现 在 Active Directory 中移动对象 用户、组和计算机账户策略 制定 Active Directory 审核策略
创建和管理多个账户
实验4-4:规划账户策略
目的: 配置:
4.5.5 实验4ห้องสมุดไป่ตู้4:规划账户策略
账户命名策略 密码策略 身份验证、授权和管理策略 为林确定组的策略
第 4 章 实现用户、组及计算机账户
账户简介 创建和管理多个账户的工具 用户主体名称后缀的实现 在 Active Directory 中移动对象 用户、组和计算机账户策略 制定 Active Directory 审核策略
制定用户、组和计算机账户策略
命名账户的原则 设置密码策略的原则 身份认证、授权和管理账户的原则 制定组策略的原则 实验4-4:规划账户策略
4.5 制定用户、组和计算机账户策略
命名账户的原则
4.5.1 命名账户的原则
账户(用户、计算机、组)命名规则:
标识具体用户账户类型 需要标识计算机的所有者、位置和账户类型 标识组的类型、位置和组的用途
4.4.2 移动对象涉及的问题
在域中移动对象
4.4.3 在域中移动对象
演示: 掌握如何在域中移动对象
在域间移动对象
4.4.4 在域间移动对象
演示: 掌握如何在域间移动对象
使用 LDP 工具查看已移动对象的属性
4.4.5 使用LDP工具查看已移动对象的属性
演示: 掌握如何使用 LDP 工具查看已移动对象的属性
设置密码策略的原则
4.5.2 设置密码策略的原则
定义“强制密码历史”策略设置,记住至少 24 个先 前密码 定义“密码最长期限”策略设置为不超过 42 天 定义“密码最短存留期”至少为 2 天 定义“最短密码长度”策略设置,至少 8 个字符 启用“密码必须符合复杂性要求”策略设置
身份验证、授权和管理账户的原则
创建和删除 UPN 后缀
4.3.3 创建和删除UPN后缀
演示: 掌握如何创建和删除 UPN 后缀
在林信任中启用和禁用名称后缀路由
4.3.4 在林信任中启用和禁用名称后缀路由
演示: 掌握如何在林信任中启用和禁用名称后缀路由
实验4-2:创建UPN后缀
目的:
4.3.5 实验4-2:创建UPN后缀
为二级域创建名称后缀后,在两个林间 启用名称后缀路由
制定 Active Directory 审核策略
审核Active Directory访问的重要性 监视 Active Directory 更改的原则 实验4-5:规划审核策略 实验4-6:实现账户和审核策略
4.6 制定Active Directory 审核策略
审核Active Directory访问的重要性
用户主体名称后缀的实现
用户主体名称
4.3 用户主体名称后缀的实现
多媒体:名称后缀路由的工作原理 检测和解决名称后缀冲突 创建和删除 UPN 后缀 在林信任中启用和禁用名称后缀路由 实验4-2:创建UPN后缀
用户主体名称
4.3.1 用户主体名称
“用户主体名称”是仅用于登录到 Windows Server 2003 网络的登录名称A suzanf@contoso.msft 优点 在 Active Directory 林中是唯一的 与用户 E-mail 地址相同的名称
活动目录的规划、实现和管理 —— 以 Windows Server 2003 为例
第 1 章 Active Directory 结构简介 第 2 章 实现 Active Directory 林和域结构 第 3 章 实现组织单位结构 第 4 章 实现用户、组及计算机账户 第 5 章 组策略的实现 第 6 章 使用组策略部署和管理软件 第 7 章 使用组策略管理安全 第 8 章 实现站点以管理 Active Directory 复制 第 9 章 实现域控制器的布置 第 10 章 操作主机的管理 第 11 章 维护 Active Directory
4.5.3 身份认证、授权和管理账户的原则
将“账户锁定阈值”策略设置设定为较大的值 保护管理员账户 使用多因素身份验证 使用基于角色的安全模式来分配权限 禁用“Administrator”账户,向用户和管理员委派执 行其工作任务所需的最小特权
制定组策略的原则
4.5.4 制定组策略的原则
将负有常规工作职责的用户指派到全局组 为共享资源创建本地域组 添加需要访问资源的全局组到本地域组中 使用通用组来授予对多个域中资源的访问权限 当成员身份为静态时,使用通用组
实验4-5:规划审核策略
目的:
4.6.3 实验4-5:规划审核策略
决定启用哪些审核策略
实验4-6:实现账户和审核策略
4.6.4 实验4-6:实现账户和审核策略
4.6.1 审核Active Directory访问的重要性
监视 Active Directory 更改的原则
4.6.2 监视Active Directory更改的原则
下列情况下启用:
启用账户管理事件 启用策略更改的成功审核 启用系统事件的失败审核 必要时才启用策略更改事件和账户管理事件的失 败审核
第 4 章 实现用户、组及计算机账户
账户简介 创建和管理多个账户的工具 用户主体名称后缀的实现 在 Active Directory 中移动对象 用户、组和计算机账户策略 制定 Active Directory 审核策略
在 Active Directory 中移动对象
SID 历史记录 移动对象涉及的问题 在域中移动对象 在域间移动对象
创建和管理多个账户的工具 使用 Csvde 工具创建账户 使用 Ldifde 工具创建和管理账户
4.2 创建和管理多个账户
用 Windows 脚本宿主创建和管理账户 实验4-1:创建用户账户
创建和管理多个账户的工具
Active Directory Active Directory 用户和计算机 用户和计算机
多媒体:名称后缀路由的工作原理
contoso.msft 信任
adatum.msft
john@contoso.msft
检测和解决名称后缀冲突 4.3.2 检测和解决名称后缀冲突
冲突检测: 相同的域名系统(DNS,Domain Name System)名 称已经在使用 相同的 NetBIOS 名称已经在使用 域安全 ID(SID)与其他名称后缀 SID 冲突 名称后缀冲突时,将拒绝来自于林外对此域的访问
实验4-3:移动对象
目的: 使用 Ldp.exe 工具:
4.4.6 实验4-3:移动对象
检验用户对象的 SID、SID 历史和 GUID 移动用户对象到同一域中其他组织 修改用户对象的 SID、SID 历史和 GUID
第 4 章 实现用户、组及计算机账户
账户简介 创建和管理多个账户的工具 用户主体名称后缀的实现 在 Active Directory 中移动对象 用户、组和计算机账户策略 制定 Active Directory 审核策略
使用 Ldifde 工具创建和管理账户
4.2.3 使用 Ldifde 工具创建和管理账户
演示: 使用 Ldifde 命令行工具演示账户管理
用 Windows 脚本宿主创建和管理账户
4.2.4 用 Windows 脚本宿主创建和管理账户
演示: 使用 Windows 脚本宿主创建和管理账户
实验4-1:创建用户账户
第4章 实现用户、组及计算 机账户
IT同路人在业余时间给大家授课了,一般上课人数安排在2-4人左右,人手一机,单独辅 导也可以!! 培训内容包括MCSE、CCNA、Linux、Oracle、Sun Solaris、Exchange Server 2003 SQL Server 2000/2005、Sharepoint Server 2003、ISA Server 2004、SMS Server 2003、 Project server 2003、Lotus Domino、LCS 2003等课程。有需求的可以和我联系,我住在上 海。 QQ:369964068。 网站: E-mail:ittongluren@ 私人培训与培训学校相比有几大优势: 1、上课时间灵活,上课人数较少,一般安排在1-4人,也可以接收单独辅导 2、授课老师具有在IT公司工作多年的丰富的项目管理经验 3、授课老师具有在培训学校多年的相关课程的授课经验 4、上课内容有不懂的,可以随时与老师直接交流,解决你的问题。 5、培训价格与在学校培训相比,要便宜多了,还能学到比他们多的知识内容 6、可以得到授课老师很多的相关课程内容的讲义、电子书籍、视频资料等东西 7、有一个比较好的IT人员相互之间交流技术的平台 8、随到随学,滚动开班,非常灵活的学习方式
4.2.1 创建和管理多个账户的工具
目录服务工具 目录服务工具
Dsadd Dsmod Dsrm
Csvde 和 Ldifde 工具 Csvde 和 Ldifde 工具 Windows 脚本宿主 Windows 脚本宿主
使用 Csvde 工具创建账户
4.2.2 使用 Csvde 工具创建账户
演示: 使用 Csvde 命令行工具
目的:
4.2.5 实验4-1:创建用户账户
练习脚本文件创建和运行包含命令的脚 本文件来创建用户账户
第 4 章 实现用户、组及计算机账户
账户简介 创建和管理多个账户的工具 用户主体名称后缀的实现 在 Active Directory 中移动对象 用户、组和计算机账户策略 制定 Active Directory 审核策略
是安全组或通讯组,成员可以是来自于自身林中任何域 的用户、组和计算机
第 4 章 实现用户、组及计算机账户
账户简介 创建和管理多个账户 用户主体名称后缀的实现 在 Active Directory 中移动对象 用户、组和计算机账户策略 制定 Active Directory 审核策略
创建和管理多个账户
实验4-4:规划账户策略
目的: 配置:
4.5.5 实验4ห้องสมุดไป่ตู้4:规划账户策略
账户命名策略 密码策略 身份验证、授权和管理策略 为林确定组的策略
第 4 章 实现用户、组及计算机账户
账户简介 创建和管理多个账户的工具 用户主体名称后缀的实现 在 Active Directory 中移动对象 用户、组和计算机账户策略 制定 Active Directory 审核策略
制定用户、组和计算机账户策略
命名账户的原则 设置密码策略的原则 身份认证、授权和管理账户的原则 制定组策略的原则 实验4-4:规划账户策略
4.5 制定用户、组和计算机账户策略
命名账户的原则
4.5.1 命名账户的原则
账户(用户、计算机、组)命名规则:
标识具体用户账户类型 需要标识计算机的所有者、位置和账户类型 标识组的类型、位置和组的用途
4.4.2 移动对象涉及的问题
在域中移动对象
4.4.3 在域中移动对象
演示: 掌握如何在域中移动对象
在域间移动对象
4.4.4 在域间移动对象
演示: 掌握如何在域间移动对象
使用 LDP 工具查看已移动对象的属性
4.4.5 使用LDP工具查看已移动对象的属性
演示: 掌握如何使用 LDP 工具查看已移动对象的属性
设置密码策略的原则
4.5.2 设置密码策略的原则
定义“强制密码历史”策略设置,记住至少 24 个先 前密码 定义“密码最长期限”策略设置为不超过 42 天 定义“密码最短存留期”至少为 2 天 定义“最短密码长度”策略设置,至少 8 个字符 启用“密码必须符合复杂性要求”策略设置
身份验证、授权和管理账户的原则
创建和删除 UPN 后缀
4.3.3 创建和删除UPN后缀
演示: 掌握如何创建和删除 UPN 后缀
在林信任中启用和禁用名称后缀路由
4.3.4 在林信任中启用和禁用名称后缀路由
演示: 掌握如何在林信任中启用和禁用名称后缀路由
实验4-2:创建UPN后缀
目的:
4.3.5 实验4-2:创建UPN后缀
为二级域创建名称后缀后,在两个林间 启用名称后缀路由
制定 Active Directory 审核策略
审核Active Directory访问的重要性 监视 Active Directory 更改的原则 实验4-5:规划审核策略 实验4-6:实现账户和审核策略
4.6 制定Active Directory 审核策略
审核Active Directory访问的重要性
用户主体名称后缀的实现
用户主体名称
4.3 用户主体名称后缀的实现
多媒体:名称后缀路由的工作原理 检测和解决名称后缀冲突 创建和删除 UPN 后缀 在林信任中启用和禁用名称后缀路由 实验4-2:创建UPN后缀
用户主体名称
4.3.1 用户主体名称
“用户主体名称”是仅用于登录到 Windows Server 2003 网络的登录名称A suzanf@contoso.msft 优点 在 Active Directory 林中是唯一的 与用户 E-mail 地址相同的名称
活动目录的规划、实现和管理 —— 以 Windows Server 2003 为例
第 1 章 Active Directory 结构简介 第 2 章 实现 Active Directory 林和域结构 第 3 章 实现组织单位结构 第 4 章 实现用户、组及计算机账户 第 5 章 组策略的实现 第 6 章 使用组策略部署和管理软件 第 7 章 使用组策略管理安全 第 8 章 实现站点以管理 Active Directory 复制 第 9 章 实现域控制器的布置 第 10 章 操作主机的管理 第 11 章 维护 Active Directory
4.5.3 身份认证、授权和管理账户的原则
将“账户锁定阈值”策略设置设定为较大的值 保护管理员账户 使用多因素身份验证 使用基于角色的安全模式来分配权限 禁用“Administrator”账户,向用户和管理员委派执 行其工作任务所需的最小特权
制定组策略的原则
4.5.4 制定组策略的原则
将负有常规工作职责的用户指派到全局组 为共享资源创建本地域组 添加需要访问资源的全局组到本地域组中 使用通用组来授予对多个域中资源的访问权限 当成员身份为静态时,使用通用组
实验4-5:规划审核策略
目的:
4.6.3 实验4-5:规划审核策略
决定启用哪些审核策略
实验4-6:实现账户和审核策略
4.6.4 实验4-6:实现账户和审核策略