当前位置:文档之家 › 活动目录ppt

活动目录ppt

  • 格式:ppt
  • 大小:356.50 KB
  • 文档页数:28

下载文档原格式

  / 28

合集下载

1.活动目录介绍

1.活动目录介绍
特点:
1、域环境定义了安全边界:安全边界的作用保证了域环境的管理
者只能在自己的域环境内部行使管理员的权利。
2、域环境也是活动目录服务数据库的复制单元:域内可以存在
多台域控制器,所有的域控制器都能够执行对活动目录的查询 等工作,同时把活动目录数据库的变化复制给其他的域控制器。
第45页,共79页。
安全边界
用户账号的属性中可能包括用户姓名、 电话号码、 电子邮件地址 和家庭住址等。
第37页,共79页。
活动目录对象
Objects Printers Users
Attributes
Printer Name Printer Location
Attributes First Name Last Name Logon Name
计算机网络最基本的单元就是“域”,活动目录可以贯穿一 个或多个域。
每个域都有自己的安全策略以及它与其他域的信任关 系。当多个域通过信任关系连接起来之后,活动目录可以被 多个信任域共享。
第44页,共79页。
活动目录的相关术语
域环境是活动目录中的逻辑结构的核心管理单元。
域内包含网络中的计算机、用户和网络服务等对象。每个活 动目录域有唯一的名字。
第19页,共79页。
轻型目录访问协议(LDAP)
可分辨名称(Distinguished Name,DN),对象在AD中 的完整路径:
CN=user1, OU=Market1, OU=Market, DC=abc,DC= com DC=abc,DC= com
OU=Market OU=Market1
Win2003的AD与DNS紧密结合,域“命名空 间”采用DNS的架构,域名也采用DNS的格式来 命名。
第35页,共79页。

Windows活动目录权限管理服务电脑资料PPT

Windows活动目录权限管理服务电脑资料PPT
定期对权限管理进行审计 和监控,确保权限策略的 有效执行,及时发现和处 理安全问题。
02
活动目录基础知识
活动目录结构
目录树
由组织单位、域、站点等 组成的层次结构,用于管 理和组织网络中的资源。

共享相同的安全策略、用 户账户和密码策略的逻辑 边界,包含一个或多个物 理位置。
组织单位
目录树中的容器,用于将 相关对象(如用户、组、 计算机)组合在一起,便 于管理。
04
活动目录权限管理服务实施
权限管理服务器部署
服务器硬件要求
活动目录安装与配置
确保服务器满足最低硬件要求,如处 理器、内存和存储空间。
安装活动目录服务,并配置域控制器 、站点和复制等。
服务器操作系统
安装支持的Windows Server操作系 统,并配置必要的角色和功能。
权限管理客户端配置
客户端操作系统
监控与审计结果分析
结果汇总与整理
将监控和审计结果进行汇总和整理,形成可视 化报告,便于理解和分析。
异常检测与定位
通过对比分析,检测目录权限的异常变动,定 位潜在的安全风险。
改进建议与措施
根据分析结果,提出针对性的改进建议和措施,优化目录权限管理策略。
06
活动目录权限管理优化建议
定期审查权限策略
确保客户端计算机运行支持的Windows操作系统 。
加入域
将客户端计算机加入到活动目录域中,以便集中 管理。
客户端软件安装
安装必要的客户端软件,如远程桌面服务客户端 等。
权限管理策略应用
用户和组管理
在活动目录中创建用户账户和组,并 分配相应的权限。
文件和文件夹权限设置
设置文件和文件夹的访问权限,包括 读取、写入和执行等。

活动目录

活动目录

安装活动目录
(1)运行位于C:WinntSystem32目录下的dcpromo.exe文件,以启动活动目录安装向导。点击“下一 步”按钮。 (2)由于用户所建立的是域中的第一台域控制器,所以在“域控制器类型”对话框中选择“新域的域 控制器”选项,然后点击“下一步”按钮。 (3)在“创建目录树和子域”对话框中选择“创建一个新域的域目录树”,点击“下一步”按钮。 (4)在“创建或加入目录林”对话框中选择“创建新的域目录林”,点击“下一步”按钮。 (5)在“新的域名”对话框中的“新域的DNS全名”框中输入需要创建的域名,这里是。 点击“下一步”按钮。 (6)在“NetBIOS域名”对话框中,安装向导自动将域控制器的NetBIOS名设置为“LANYI”,点击 “下一步”按钮。 (7)在“数据库和日志文件位置”对话框中,将显示数据库、日志文件的保存位置,一般不必作修改。 点击“下一步”按钮。 (8)在“共享的系统卷”中,指定作为系统卷共享的文件夹。Sysvol文件夹存放域的公用文件的服务 器副本。Sysvol广播的内容被复制到域中的所有域控制器。其文件夹位置一般不必作修改。点击 “下一步”按钮。 (9)在“配置DNS”对话框中,点击“下一步”按钮(如果在安装活动目录之前未配置DNS服务器,可 以在此让安装向导配置DNS,推荐使用这种方法)。 (10)在“权限”对话框中为用户和组选择默认权限,考虑到现在大多数单位中仍然需要使用 Windows 2000的以前版本,所以选择“与Windows 2000服务器之前版本相兼容的权限”选项,点 击“下一步”按钮。 (11)在“目录服务恢复模式的管理员密码”对话框中输入以目录恢复模式下的管理员密码。点击 “下一步”按钮。 (12)此时,安装向导将显示安装摘要信息。点击“下一步”按钮即可开始安装,安装完成之后,重 新启动计算机即可。

《域与活动目录》课件

《域与活动目录》课件
2 优化和调整
学习如何优化和调整域和活动目录,提升系统的性能和稳定性。
3 故障排查和解决
掌握域和活动目录故障排查和解决的方法,确保系统的正常运行。
六、总结
重要性
发展趋势
总结域与活动目录的重要性, 以及它们在系统管理中的关 键作用。
展望域与活动目录的发展趋 势,了解未来技术的变革和 影响。
未来展望
展望域与活动目录的未来, 探索新的发展方向和挑战。
安装和配置
学习如何安装和配置域 控制器,确保系统能够 顺利运行。
维护和管理
掌握域控制器的维护和 管理技巧,确保域的稳 定运行。
三、活动目录
概念和作用
了解活动目录的概念和作 用,以及它对域的重要性。
架构和组件
深入了解活动目录的架构 和各个组件的功能,帮助 您更好地管理活动目录。
命名和管理
学习如何命名和管理活动 目录,确保数据的有效组 织和访问。
四、域和活动目录的关系
1
关联
了解域和活动目录之间的关联,以及它们在系统中的协作关系。
2
同步
学习如何同步域和活动目录的数据,确保信息的一致性和准系统免受潜在威胁。
五、域和活动目录的应用
1 应用场景
探索域和活动目录的各种应用场景,了解它们在不同领域的价值和实际用途。
《域与活动目录》PPT课 件
欢迎来到《域与活动目录》课程的PPT课件。在本次课程中,我们将深入探讨 域和活动目录的概念、结构、应用等内容,帮助您更好地理解和掌握这一重 要的主题。
一、域的概念
在本节中,我们将介绍域的定义和作用,域的层次结构以及域名称系统。
二、域控制器
作用和分类
了解域控制器的作用和 不同分类,为后续的安 装和配置提供基础。

活动目录和域PPT课件

活动目录和域PPT课件
Windows Server 2003级别
该级别下,域中所有域控制器只能是Windows Server 2003和Windows Server 2008。
Windows Server 2008级别
该级别是目前为止所有域功能级别中的最高级别,支持所有Windows Server 2003域功能级别,此外还支持以下功能:
例如,在Windows Server 2003的Active Directory中 提供了比Windows 2000 Server Active Directory更高 的功能级别,称为Windows 2003临时模式和Windows 2003模式。只有把所有的域控制器都升级到Windows 2003模式,整个林才能被提升到Windows 2003模式 。
将计算机加入域时会自动在活动目录中创建该计算机 帐户。不管是运行Windows NT、Windows 2000、 Windows XP或Windows Vista的计算机,还是运行 Windows Server 2003、Windows Server 2008的服务 器,在加入域时都会在域中创建一个计算机帐户。与 用户帐户类似,计算机帐户对访问网络和域资源提供 了一种身份验证和审核方式。域中的每个计算机帐户 必须是唯一的。
14.1 活动目录介绍 14.2 搭建域环境 14.3 管理域成员 14.4 域和林功能级别
14.1 活动目录介绍
在规模较小的企业环境中,计算机可以使用工作组的 形式来组织和管理。但是,如果企业的网络规模较大 、地理位置分散,并且网络中的计算机和服务器数量 较多,就需要使用域的形式来组织,以便进行集中的 管理和集中的用户身份验证。
同时,我们也可以将多个域进行合并,成为一个“林 ”,从而可以对林中的所有计算机进行统一管理。

05-活动目录PPT课件

05-活动目录PPT课件

2021/7/24
计算机网络操作系统——Windows Server 2003配置与管理
8
制作:张浩军
8
5.1.2 活动目录的三种特性
1.集成性
– Windows Server 2003活动目录集成了各种管理:用 户、资源管理、基于目录的网络服务和基于网络的应 用管理,此外,活动目录还广泛地采纳了Internet标准, 将众多Internet服务集成在一起,增强了自身的网络管 理功能。
计算机网络操作系统——Windows Server 2003配置与管理
3
制作:张浩军
3
目录
5.1 概述 5.2 安装活动目录 5.3 域控制器管理 5.4 组织单位和组管理 5.5 用户和计算机账户管理 5.6 资源发布和域的管理
2021/7/24
计算机网络操作系统——Windows Server 2003配置与管理
9
制作:张浩军
9
5.1.2 活动目录的三种特性
2.深入性
– Windows Server 2003活动目录的深入性主要体现在 其企业级的可伸缩性、安全性、互操作性、编程能力 和升级能力上。Windows Server 2003活动目录允许 用户组建单域来管理少量的网络对象,也允许用户通 过域目录管理成万上亿个对象。
2021/7/24
计算机网络操作系统——Windows Server 2003配置与管理
5
制作:张浩军
5
5.1.1 活动目录简介
• 活动目录服务把域详细划分成组织单位(OU), 组织单位是一个逻辑单位,它是域中一些用户和 组、文件与打印机等资源对象的集合。
• 组织单位中还可以再划分下级组织单位,下级组 织单位能够继承父单位的访问许可权。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

◆3.3.6 域信任管理
需要了解的两个概念:
域信任是域之间建立的关系,它可使一个域中的用户由处在另一个域
中的域控制器来进行验证。身份验证请求遵循信任路径。
信任路径是身份验证请求在域之间必须遵循的一组信任关系。在用户
可以访问另一个域中的资源之前,Windows 2000 安全机制必须确定信任 域(含有用户试图访问的资源的域)和受信任域(用户的登录域)之间是 否有信任关系。
2
3.1 活动目录服务
Windows 2000系统最大的突破性和成功之一就在于它引入的“活动 目录(Active Directory,简称为AD)”服务。它具有良好的可扩展性、可 调整性,并将结构化数据存储作为目录信息逻辑和分层组织的基础。
3.1.1活动目录服务概述 ◆3.1.1活动目录服务概述
活动目录呢包括两个方面:
◆3.2.2 活动目录的安装
活动目录安装:单击该超链接观看演示3.2.2
8
安装了活动目录,服务器的开机和关机时间变长,且系统的执行速度 变慢。如果用户对某个服务器没有特别要求或不把它作为域控制器来使用, 可将该服务器上的活动目录删除。单击该超链接观看演示3.2.2(2)
3.2.3检查活动目录的安装结果 ◆3.2.3检查活动目录的安装结果
12
◆3.3.5 更改域模式
要想更改域模式,可按下面步骤进行: ⒈ 打开“Active Directory域和信任关系”窗口。 ⒉ 右键盘单击用户想要管理的域的域节点,然后单击“属性”按钮, 打开 “常规”选项卡对话框。 ⒊ 单击“更改模式”按钮, 然后单击“确定”。
“常规”选项卡对话框
13
提醒读者注意:域模式的更改是不可逆的,只能将模式从混 合模式更改为本机模式,一旦域以本机模式运行后,就不能再回 到混合模式了。
⒉ 深入性
主要体现在活动目录企业级的可伸缩性、安全性、互操作性、编程能 力和升级能力上。
⒊ 易用性
主要体现在活动目录简易的安装和管理上。
6
活动目录安装之后,主要有三个活动目录的管理界面: ⑴活动目录用户和计算机管理,主要用于实施对域的用户和计算机进 行管理; ⑵活动目录的域和域信任关系的管理,主要用于管理多域的委托和信 任关系; ⑶活动目录的站点管理,可以把域控制器置于不同的站点进行管理。 一般情况下,一个站点内的域控制器之间的复制是自动进行的,站点间 的域控制器之间的复制需要管理员设定,以优化复制流量,提高可伸缩 性。
10
◆3.3.1 设置域控制器属性
域控制器是网络正常运作的中心,起到的网络控制作用是非常重要的。 因此,用户必须根据网络运行情况合理地设置域控制器的属性。用户通过设 置域控制器属性,可以确定域控制器的位置、操作系统和常规属性,还可设 置域控制器的组和管理员。 域控制器属性的设置过程:单击该超链接观看演示(3.3.1)
对象是活动目录中的信息实体,是一组属性的集合,往往代表了有 形实体。
二、容器、域、组织单位 容器、
容器与对象相似,也是一些属性的集合,与目录对象不同的是,容 器不代表有形的实体,而是代表存放对象的空间,且仅代表存放一 个对象的空间。 域(Domain)是一组有逻辑关系(工作关系)的计算机集合。 组织单位是一个逻辑单位,它是域中一些用户和组、文件与打印机 等资源对象的集合。
17
3.4 组和组织单位管理
在Windows 2000网络较为高级的管理中,会使用组单位,它试图正在取 代WORKGROUP的概念。本节主要介绍组和组单位的创建与管理。
◆3.4.1 组和组织单位概述
了解几个概念:
组:是Windows 2000从Windows NT系统继承下来的安全管理形式,
是指活动目录或本地计算机对象,包含用户、联系人、计算机和其他组 等。使用组,主要是为了方便管理访问目的和权限相同的一系列用户和 计算机账户。
在多域的网络中,经常需要将当前域连接到其他域,这样做可使当前 域中的用户和计算机能访问其他域中的资源,也可将当前域控制器的部分操 作主机功能传送给其他域控制器,甚至可将当前域控制器更改为其他域中的 域控制器。单击该超链接观看演示(3.3.3)
◆3.3.4 更改域控制器
域控制器是域网络的中心,若出现故障会导致域网络无法正常运行。 此时管理员必须更改域控制器,以确保网络正常运作。 由于Windows 2000中不再区分主域控制器和辅助域控制器,因此, 域控制器的更改变得更加简单,用户只须建立当前域与其它任何可写的 域控制器的连接即可。单击该超链接观看演示(3.3.4)
单击该超链接观看演示3.3.6(1)
15
二、验证信任关系
⒈ 打开 “Active Directory域和信任关系”。 ⒉ 在控制台树中,用鼠标右击要验证的信任关系所涉及的一个域,然后 单击 “属性”。 ⒊ 单击 “信任” 选项卡。 ⒋ 在 “受此域信任的域”或“信任此域的域” 中,单击要验证的信任 关系,然后单击“编辑”按钮。 ⒌ 单击 “验证” 按钮。
◆3.4.2
组和组织单位的创建
Windows 2000系统提供了许多内置组用于权限和安全设置,但它们不能 满足特殊安全和灵活性的需要。用户要想很好地管理用户和计算机账户,必 须根据网络情况创建一些新组。新组创建后,就可以像使用内置组一样使用 它们,赋予权限和进行组成员的添加。
一、创建组: 创建组
能创建组的用户必须是Administrators组、Account Operators组的成员 。要创建新组可按下面操作进行:
14
一、创建明确的域信任
⒈ 打开“Active Directory域和信任关系”窗口。 ⒉ 在控制台树中,鼠标右击要管理的域的域节点,然后单击“属性”。 ⒊ 单击“信任”选项卡。 ⒋ 根据需要,单击“受此域信任的域”或“信任此域的域”,再单击 “添加”按钮。 ⒌ 如果要添加的域是Windows2000域,则键入域的DNS全名。 提醒读者注意,密码必须是信任域和被信任域双方都接受的。
◆3.3.2 查找域控制器目录内容
在Windows 2000中,活动目录是一个网络清单,包括网络中的域、域 控制器、用户、计算机、联系人、组、组织单位及网络资源等各个方面的 信息,使管理员对这些内容的查找更加方便。要查找目录内容,可参照下 面的演示实例:单击该超链接观看演示 (3.3.2)
11
◆3.3.3 连接到其他域
单击该超链接观看演示3.4.2(1)
20
二、创建新组织单位: 创建新组织单位:
⑴ 在“Active Directory用户和计算机”窗口的控制台目录树中,展 开域节点。右击域节点或者可添加组织单位的文件夹节点,选择“新建 ”/“组织单位”命令,打开 “新建对象-组织单位”对话框。 ⑵ 在“名称”文本框中输入新创建组织单位的名称。 ⑶ 单击“确定”按钮即完成组织单位的创建。
检查的方法为: ⒈ 检查DNS文件的SRV记录( DNS数据库中服务记录) ⒉ 验证SRV记录在NSLOOKUP命令工具中运行是否正常:
单击该超链接观看演示3.2.3
9
3.3 域与域控制器管理
几个需要了解的概念:
域:是活动目录的分区,定义了安全边界,在没经过授权的情况下,
不允许其他域中的用户访问本域中的资源。
7
3.2 活动目录的安装 ◆3.2.1 安装前的规划
本小节主要讲述以下几个问题: 本小节主要讲述以下几个问题:单击该超链听详细讲解3.2.1
⒈ DNS的规划 DNS的规划 ⒉ 域结构的规划 OU) ⒊ 组织单位(Organization Units,简写为OU)结构的规划 组织单位( Units,简写为OU ⒋ 委派模式的规划
域树
信任关系
树林、信任关系
一棵或多棵域树又可以组成树林 树林。 树林
5
◆3.1.2 活动目录的特性
Windows 2000 Server活动目录,主要有以下三个特性:
⒈ 集成性
指它结合了三个方面的管理内容:用户和资源管理、基于目录的网络 服务、基于网络的应用管理。
4
三、子域是域的子域, 这样父域与子域就组成了域树 域树,图中具有公用根域的所有域构成连 域树 续名称空间,也就是说域的名字就是DNS的名字,子域名字的后缀就 是其父域的名字。

单击该超链接观看演示3.4.2(2)
21
◆3.4.3 组和组织单位的删除
活动目录中的组和组织单位因太多而影响了对用户和计算机账户的 管理时,作为管理员的用户可对自己创建的组和组织单位进行清理。 要删除组和组织单位,可按下面步骤进行: ⒈ 在“Active Directory用户和计算机”控制台目录树中,展开域 节点。单击要删除的组或组织单位所在的组织单位,使详细资料窗格中 列出该组织单位的内容。 ⒉ 右击要删除的组或组织单位,从弹出的快捷菜单中选择“删除” 命令,系统会打开信息确认框。 ⒊ 单击“是”按钮,完成组或组织单位的删除。 注意,管理员只能删除自己创建的组和组织单位,而不能删除由系统 提供的内置组和组织单位。 单击该超链接观看演示3.4.3
19
⑴ 在”Active Directory用户和计算机“窗口的控制台目录树中展 开域节点。右击要进行组创建的组织单位或容器,从弹出的快捷菜单中 选择“新建”/“组”命令,打开如图3-30所示的“新建对象-组”对话 框。 ⑵ 在“组名”文本框中输入要创建的组名;在“组作用域”选项区 域中,通过单选按钮来选择组的应用领域;在“组类型”选项区域中, 通过单选按钮来选择新组的类型。 ⑶ 单击“确定”按钮即完成组的创建。
活动目录:可由一个或多个域组成,每一个域可以存储上百万个对 活动目录:
象,域之间还有层次关系,可以建立域树和树林,进行无限的域扩展。 活动目录中,目录存储只有一种形式。而域控制器包括了完整的域 目录的信息。每一个域中必须有一个域控制器,否则域也就不存在了。 Windows 2000的活动目录中没有主域控制器和备份域控制器的区别, 所有的域控制器在用户访问和提供服务方面都是相同的。 域控制器的管理是管理员最重要的工作。域控制器的运行状态直接 关系到网络的正常运行。