实验10 windows server 2003活动目录的安装以及用户的设置
一、实验目的:
1、学习活动目录的安装与删除
2、熟练掌握windows server 2003网络系统的活动目录中的组和
用户账户
3、掌握创建组织单位、组和用户账户的方法
4、掌握管理组和用户账户的方法
二、实验内容:
1、活动目录的安装
2、活动目录的删除
3、创建网络组织单位和组
4、创建用户账户
5、管理用户账户
三、实验理论基础:
1、活动目录是由组织单位(OU)、域(Domain)、域树(Domain
Tree)和森林(Domain Forest)组成的层次结构,它存储有关计算机网络对象的信息,如用户、组、计算机、组织、账户、共享资源和打印机等。
2、域是网络对象的分组,如用户、组和计算机,它是最基本的管
理单元
3、域控制器DC:包含了由本域中所有的用户、密码和计算机等
信息组成的数据库。当电脑连入网络时,DC首先要检查这台电脑
是否属于这个域、该用户使用的号及密码等是否与域数据库中所记载的一致等。
四、实验步骤:
1、准备工作:
(1)学生分组。2—3人为一个组
以域名为https://www.doczj.com/doc/ad11347472.html,为例,做实验时,可以以LYZY**.COM(其中*为小组编号)
2、活动目录的安装
同一组的学生都做该实验。
(1)“开始”——>“管理工具”——>“配置您的服务器向导”——>“下一步”按钮,出现“预备步骤”对话框(或运行dcpromo命令)(2)单击“下一步”按钮,在出现的对话框中选择“自定义配置”(3)单击“下一步”按钮,出现“服务器角色”对话框,在此选择“域控制器(Active Directory)”
(4)按屏幕提示,单击“下一步”按钮,在“新的域名”对话框中,输入“https://www.doczj.com/doc/ad11347472.html,”
(5)按屏幕提示,单击“下一步”按钮,在“DNS注册诊断”对话框中,选择第2个选项
(6)按屏幕提示,单击“下一步”按钮,直到完成安装。/
3、启动Active Directory用户和计算机
选择“开始”——>“管理工具”——>“Active Directory用户和计算机”选项即可。
4、活动目录的删除
在命令提示符对话框里输入“dcpromo”命令,即可将其删除
注意:活动目录删除成功后需重启系统。
5、组织单位管理
(1)组织单位的建立。添加OU的步骤:
①启动Active Directory用户和计算机,在此窗口中,右击“https://www.doczj.com/doc/ad11347472.html,”
——>“新建”——>“组织单位”——>输入OU的名称(lxy)——>“确定”按钮。
注意:通过“新建”命令,可添加计算机户、组及组织单位等。
6、组的管理
(1)组的建立:右击“lxy”——>“新建”——>“组”——>输入组的名称(dsz)——>“确定”
(2)组属性的修改:右击“dsz”,选择“属性”,通过选项卡可实现组属性的修改
(3)给组赋予超级用户权限:在上述的属性对话框中,单击“隶属于”——>“添加”——>“高级”——>“立即查找”,在搜索
结果中选择Administrators
7、用户账户管理
(1)新建用户账户
①右击域名“https://www.doczj.com/doc/ad11347472.html,”——>“新建”——>“用户”——>输入用
户的名称“zs”等信息——>“下一步”按钮输入密码等信息——>“确定”按钮——>“下一步”按钮——>“下一步”按钮——>“完成”按钮
(2)用户属性的修改
①右击用户“zs”“属性”,通过选项卡可实现对用户的修改的操作
②单击“隶属于”——>“添加”——>“高级”——>“立即查找”
——>在搜索结果中选择Administrators——>“确定”按钮,可为zs用户赋予超级用户权限,单击“确定”按钮。
③通过“隶属于”,可观察到zs所属组的变化
至此,可确认zs用户获得了超级用户权限
(3)用户登录时间的设置
①选择“账户”,出现“zs”用户的属性对话框
②单击“登录时间”,设置后单击“确定”按钮
(4)用户登录权限的限制
选择“登录到”,选择“下列计算机”——>输入计算机名——>单击“添加”按钮,这样zs用户只能登录到指定的计算机上
(5)用户账户的移动
右击用户“zs”——>选择“移动”——>选择“目标容器”——>单
击“确定”按钮
(6)限制用户对NTFS分区磁盘的使用——磁盘配额
打开“我的电脑”——>右击NTFS分区——>“属性”——>“配额”——>“启用配额管理”——>“配额项”——>“新建配额项”——>“高级”——>“立即查找”——>选择用户zs——>“确定”按钮,并指定配额的空间。
实验成绩 《信息安全概论》实验报告 实验二PKI实验 专业班级:学号:姓名:完成时间_2016/5/18 一、实验目的 加深对CA认证原理及其结构的理解;掌握在Windows 2003 Server环境下独立根CA 的安装和使用;掌握证书服务的管理;掌握基于Web的SSL连接设置,加深对SSL的理解。 二、实验内容 客户端通过Web页面申请证书,服务器端颁发证书,客户端证书的下载与安装;停止/启动证书服务,CA备份/还原,证书废除,证书吊销列表的创建与查看;为Web服务器申请证书并安装,在Web服务器端配置SSL连接,客户端通过SSL与服务器端建立连接。 三、实验环境和开发工具 1.Windows 2003 操作系统 2.VMware Workstation 四、实验步骤和结果 CA分为两大类,企业CA和独立CA; 企业CA的主要特征如下: 1.企业CA安装时需要AD(活动目录服务支持),即计算机在活动目录中才可以。 2.当安装企业根时,对于域中的所用计算机,它都将会自动添加到受信任的根证书颁 发机构的证书存储区域; 3.必须是域管理员或对AD有写权限的管理员,才能安装企业根CA; 独立CA主要以下特征:
1.CA安装时不需要AD(活动目录服务)。 2.任何情况下,发送到独立CA的所有证书申请都被设置为挂起状态,需要管理员受 到颁发。这完全出于安全性的考虑,因为证书申请者的凭证还没有被独立CA验证; AD(活动目录)环境下安装证书服务(企业根CA)的具体步骤如下: 首先要安装IIS ,这样才可以提供证书在线申请。 1)从“控制面板”,双击“添加/删除程序”,单击“添加/删除Windows组件”,选中“证 书服务”,单击“下一步”。如图4-1所示。 图4-1添加证书服务 弹出警告信息“计算机名和域成员身份都不能更改”,选择“是” 2)选中“企业根CA”,并选中“用户自定义设置生成密钥对和CA证书”,单击“下 一步”。如图4-2所示。
、 fi 一、静态路由的配置实例: 实验目的:将拓扑图网络设备和节点,实现网络互通。 1、规划PC和路由器各接口IP地址; 2、配置路由器和PC的IP地址,并测试直连路由是否通过: [R1-GigabitEthernet0/0/0]ip address 24 , 问题: 1、为什么要在边界路由器上默认路由 答:因为企业员工要上网,运行默认路由的这台路由器,都会把不知道往哪里的数据包往互联网上扔!
如图:静态路由负载分担拓扑图配置地址后,使用静态路由到达网络号 /24 。达到自由选路功能[R5]ip route-static 24 [R5]ip route-static 24 [R5]ip route-static 24 ¥ 二、rip动态路由实例 实验目的:通过rip动态路由协议配置,使下图设备全网互通
[R1]rip 问题:解决路由环路的办法 1、触发更新,用来避免环路 2、¥ 3、限制跳数 4、水平分割 5、路由中毒/毒性翻转 /路由毒化 6、Rip计时器 (以上方法都是rip路由协议默认启用的) 虽然更改成版本2RIPv2可以解决不连续子网问题,但是会使路由表变大。为了提高路由器性能需要进行路由手动汇总! [R1-GigabitEthernet0/0/0]rip summary-address (掩码需要进行换算) & 前提是R1路由器有以下环回接口: 将这三个IP地址换算出子网掩码 RIP支持接口明文验证和密文验证
通过我前几篇文章的介绍,我想大家对活动目录的配置以及域控制器在网络中的作用已经有了一个大致的了解了。当然,我写的都是一些关于操作上的文章,至于原理性的东西建议大家自己到网上搜一下或者到书店里去买几本微软的官方教材看一下,因为原理性的东西实在是没什么好写的,要写也是抄书,会被别人以为我在骗稿费的。:)OK,那么现在大家应该知道在域构架网络中,域控制器是多么的重要,所以一台域控制器的崩溃对于网络管理员而言,无疑是一场恶梦,那么活动目录应该如何来备份和恢复呢?在这里我将详细的为大家讲一下这个问题,我们一般把活动目录的备份和恢复分成两种情况: 1、整个网络中有且仅有一台域控制器; 首先,本人并不成赞成网络中存在这种情况,也就是说网络中最好是存在两台或两台以上的域控制器,当然有些朋友可能会说:买服务器你给钱啊?我先声明:我没钱。而且现在的老板都很精哟,一般是能用就行,至于坏了怎么办?那当然是网络管理员来想办法解决了,难道白给你工资啊?所以有些网络中的确存在着只有一台域控制器的现象,那么对于这种情况,备份是必不可少的了,而且建议备份到网络上,别备份到本地计算机上,因为备份在本地的话,万一服务器的硬盘烧毁,那么你的备份也会随之而去,这样的话和没有备份没什么区别。那么,怎么备份?我们要用到Windows 2003自带的备份工具Ntbackup。点击“开始-运行”,输入:“Ntbackup”回车,也可以点击“开始-程序-附件-备份”,其实是一回事,我们就可以看到如下的画面:
点击我用箭头指出的“高级模式”:
再点击用红框标出的“备份向导(高级)”,这时会出现一个备份向导: 在这里请大家注意,直接点“取消”,这样可以进入备份工具控制器,以便有更多的可以自定义的项目:
第3章管理活动目录域 教学要求: 理解:域的概念、特点;活动目录的架构;组织单位的概念、特点;域用户账户的概念、特点;域组账户的概念、特点;域组账户的使用原则; 掌握:创建域;将计算机加入或脱离域;将域控制器降级为独立服务器或成员服务器;管理组织单位;管理域用户账户的工作;管理域组账户的工作; 3.1活动目录的概述 活动目录(ActiveDirectory,AD)服务能把网络中的众多资源有效地组织在一起,实现集中管理与统一保护,最大限度地保证资源的可用性与安全性。 活动目录以数据库的形式存放在网络中的一些特定计算机上,这个数据库称为“活动目录数据库”。 1 2 1 2输入: 3 4-6User 3.2 。 一个活动目录的完整逻辑结构称为“域森林”,一个域森林由若干“域树”组成,一个域树有若干“域”组成。 1、域的定义 在活动目录中,域是一种重要的逻辑管理单元,代表了一个独立的安全范围,能包含大量对象的一种容器。 2、域中计算机的角色 有域控制器、成员服务器、工作站。 域控制器是存放活动目录数据库的,是域中必须要有的。其它两种则不是必须的。 所以最简单的域将只包含一台计算机,这台计算机是该域的域控制器。 3、计算机账户 每台计算机都有一个账户来标识自己,这个账户称为“计算机账户”。在Computers容器内
4 5 创建组账户的主要目的是为用户账户分配资源访问权限,但是管理员不能直接对组账户指定管理策略,也就是不能直接控制组账户中各对象的更复杂的行为。 当删除一个组账户时,其包含的用户账户并不会被删除。但删除一个组织单位时,其包含的所有活动目录对象都将随之删除。 (4)组织单位和其他活动目录容器的区别 图标有所不同 普通容器仅起到把一些活动目录对象组织在一起的作用,管理员不能对其设置组策略。 在组策略中只能看到组织单位而看不到普通容器,这说明只能对组织单位设置组策略而不能对普通容器设置组策略。 在上图中右击“DefaultDomainControllers Pllicy”组策略对象,然后在快捷菜单中选择编辑。可以看到各种组策略。
fi 一、静态路由的配置实例: 实验目的:将拓扑图网络设备和节点,实现网络互通。 1、规划PC和路由器各接口IP地址; 配置路由器和PC的IP地址,并测试直连路由是否通过:2、 [R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24 //IP地址设置 [R1]display ip routing-table //查询R1的路由表蓝色表示辅助指令 [R1]display ip interface brief //查询路由器接口IP设置是否正确 注:其他接口同理! 3、静态路由的配置(给路由器添加路由): [R2]ip route-static 192.168.1.0 24 12.1.1.1 //静态默认路由配置:在R2路由添加192.168.1.0网络,出接口是 12.1.1.1(R2的下一跳) [R2]undo ip route-static 192.168.1.0 24 12.1.1.1 //删除指令 [R1]ip route-static 23.1.1.0 24 12.1.1.2 [R3]ip route-static 12.1.1.0 24 23.1.1.1 [R3]ip route-static 192.168.1.0 24 23.1.1.1 [R3]interface LoopBack 0 //进入环回接口环回接口:模拟路由器上的其他网络号 [R3-LoopBack0]ip address 3.3.3.3 24 //设置环回接口IP地址 4、默认路由的配置: 默认路由:不知道往哪里去的数据包都交给默认路由。(不安全、应用在边界路由即连接外网的路由器) 实际环境中会有很多环回接口,若是都使用静态路由的话,那么配置的工作量会非常大,因此引用默认路
目录 一、实训目的与要求 .......................................................................................... 错误!未定义书签。 二、实训内容...................................................................................................... 错误!未定义书签。 三、参考课时...................................................................................................... 错误!未定义书签。 四、实训考核与组织 .......................................................................................... 错误!未定义书签。 五、说明 ............................................................................................................. 错误!未定义书签。 六、实训项目...................................................................................................... 错误!未定义书签。实训项目一WINDOWS SERVER 2012的安装与配置........................................... 错误!未定义书签。实训项目二DNS域名服务的实现 ....................................................................... 错误!未定义书签。实训项目三DHCP服务器的配置与管理的实现 ................................................. 错误!未定义书签。实训项目四WINS服务器的配置 ......................................................................... 错误!未定义书签。实训项目五WINDOWS SERVER 2012活动目录的实现....................................... 错误!未定义书签。实训项目六WINDOWS SERVER 2012磁盘管理的实现....................................... 错误!未定义书签。实训项目七WINDOWS SERVER 2012文件管理 .................................................. 错误!未定义书签。实训项目八IIS服务器的应用实现 ...................................................................... 错误!未定义书签。实训项目九FTP服务器的配置的实现 ................................................................ 错误!未定义书签。
连云港职业技术学院 信息工程学院 《Windows服务器配置与管理》 大作业文档 题目:活动目录与用户管理 组别:无 姓名:张昭辉 学号: 12号 专业:计算机网络 091 导师:孙前 连云港职业技术学院信息工程学院 2010 年 12 月
摘要 本文档摘要: Active Directory又称为Windows2000server和Windows Server2003系统中非常重要的目录服务。Active Directory用于存储网络上各种对象的有关信息,包括用户账户、组、打印机、共享文件等,并把这些数据存储在目录服务数据库中,便于管理员和用户查询及使用。活动目录具有安全性、可扩展性、可伸缩性的特点,与DNS集成在一起,可基于策略进行管理。本文档主要是介绍活动目录的设置及通过活动目录进行用户管理的方法。 [关键词] 活动目录的概念、 活动目录与域、 域控制器(即Active Directory)的配置、 管理域用户和组、 新建组织单元、 管理组织单元、
目录 摘要 (2) 第一章引言 (4) 第二章域控制器(即Active Directory)的配置 (5) 2.1 活动目录配置前的准备工作 (5) 2.2 配置DNS服务器 (7) 2.3 配置域控制器(即Active Directory) (20) 第三章新建域用户和组 (30) 3.1 新建域用户 (30) 3.2 新建域组 (34) 第四章新建并管理组织单元 (38) 4.1 新建组织单元(OU) (38) 4.2 管理组织单元(OU) (39) 第五章总结 (44) 第六章参考资料与文献 (45)
三层交换机和vtp协议的配置实验报告时间:2011年7月14日 地点:西一楼5实验机房 目的:1)了解三层交换机的原理及其的扩展应用,并掌握其配置方法。 2) 理解VTP协议的原理及应用,掌握VTP的配置技巧。 3)巩固对ACL列表的了解,并练习其配置方法。 内容:一、拓扑设计 二、设备配置 三、项目总结 一、拓扑图: 二、设备配置 1、初始化设备命令 en
conf t no ip domain-look line con 0 logging syn exec 0 0 pass 0 login line vty 0 4 pass 0 login end conf t enable pass 0 2、三层交换机上的捆绑通道命令 Sw0上的端口封装: conf t int rang f0/1- 2 channel-protocol lacp channel-group 1 mode active switchport trunk encapsulation dot1q switchport mode trunk show的结果显示: 修改端口模式为trunk: conf t int rang f0/4-5 switchport trunk encapsulation dot1q switchport mode trunk show的结果显示:
同理在Sw1上进行通道封装,三层交换机Sw1上的配置类似Sw0的配置。 3、在三层交换机Sw0和Sw1上 配置VTP协议 conf t vtp domain test vtp mode server vtp pass 0 show命令显示结果: Sw1的配置类似Sw0的配置。 在一般交换机sw0---sw3上配置VTP协议: conf t vtp domain test vtp mode client vtp pass 0 其余交换机的VTP配置类似Sw0的配置。 4、三层交换机SW0上vlan配置 conf t vlan 2
首先我们需要明确一点:为什么我们需要建立组? 答案很简单:为了管理方便! 其实计算机文件或者文件夹的控制权限是在属性的安全的选项卡中设定的,如下图所示: 在“组或用户名称”中可以添加对此文件夹行使权限的用户或者组。 现在来看这样一种情况: 你是一个域的管理员,在文件服务器上建立了一个共享文件夹,用来放置一些财务部专用文档,假如你有两个选择: 1.在安全属性页中一个一个添加财务部的人员并配置相应的权限。 2.在域控制器中创建财务部的组(包含所有财务部人员),在安全属性页中添加财务部组 假设财务部又新来了N位员工,如果你选择第一种方案,你就需要在安全属性中添加并配置N位员工,而选择第二种方案,你只需要在域控制器上创建用户帐户的时候指定他们的组为财务部就可以了,而无需修改安全属性中的角色列表。所以,很显然你应该选择第二种方式。尤其是你有很多共享文件夹进行管理的时候,使用组来管理的好处就更能够体现出来了。 通过这个例子你也能够体会到:使用组其实是为了管理方便,用最少的工作获得最好的效果!
明确了组的作用后就来看看本地组、全局组、域本地组和通用组的概念和区别。什么是本地组呢? 很多时候本地组被人认为是域本地组的简称。其实严格来说,本地计算机上也可以创建属于本机的组,这些组才应该称为“本地组”。它的成员可以来自本地计算机或者所有的可信任域。本地组存储在本地计算机中,而域本地组存储在域控制器上。你如果使用过域,应该有这种体验:使用域帐户登录域中任意一台计算机后,默认情况下是普通的Users组权限,如果要提升成管理员权限,需要把这个域帐户添加到本地计算机的Administrators组中。 全局组的特点是什么呢? 全局组成员来自于同一域的用户账户和全局组,在林范围内可用。 也就是说能够添加到全局组的成员是本域的成员或者全局组(这样就构成了组的嵌套)。如果在上海的域中创建了全局组A,那么能添加到A中的人只能是上海域中的对象或者是其他可信任域,如北京或大连的全局组。 域本地组的特点是什么呢? 域本地组成员来自林中任何域中的用户账户、全局组和通用组以及本域中的域本地组,在本域范围内可用。 通用组的特点是什么呢? 通用组成员来自林中任何域中的用户账户、全局组和其他的通用组,在全林范围内可用。但是注意通用组的成员不是保存在各自的域控制器上,而是保存在全局编录中,当发生变化时能够全林复制。 规则就这些,请不要记混。可以简单这样记忆: 全局组来自本域用于全林 通用组来自全林用于全林 域本地组来自全林用于本域 因为只有域本地组专用于在本地赋予权限,所以,通常情况下,域本地组总是最后被应用。下面我们通过几个例子来讲述他们的应用: 康博公司是一个大型的软件公司。公司的业务发展很快,目前在北京拥有自己的办公大楼,总部也因此设在那里,另外在上海也有分公司。公司在企业内部建立了域名为https://www.doczj.com/doc/ad11347472.html,的域,由于上海的分公司主营外包业务,相对比较独立,于是为其创建了子域https://www.doczj.com/doc/ad11347472.html,,从而形成了域树。 后来公司管理层经过商议与另外一个物流公司A合作创办了一个电子物流公
实训目标: 理解域的特点,掌握创建域、管理域以及管理组织单位的方法与步骤;理解域用户账户与组账户的特点、用途,掌握管理域用户账户与组账户的方法与步骤。 实训环境: 6台Windows Server 2008 R2企业版计算机。 实训内容: 假设你是一家公司的网络管理员,负责管理公司的网络。公司希望创建域来管理网络。为此,需要你执行以下工作: ①按照下图1,创建域森林。 图1 具有两棵域树的森林 ②在域https://www.doczj.com/doc/ad11347472.html,中有三个部门:销售部、培训部和技术支持部,现在需要为这 三个部门分别建立组织单位,并把每个部门的10台计算机加入到各自的组织单位 中。 ③在域https://www.doczj.com/doc/ad11347472.html,中,为公司员工创建域用户账户,并设置域用户账户的个人信息。 ④对某些用户(例如:临时工),设置这些域用户账户的登录时间以及限制登录地点。 ⑤如果一个用户(如:john)由于生病而在一段时间内无法上班,请禁用他的域用户账户。 ⑥如果一个用户忘记了自己的账户密码,为其重设账户密码。 ⑦一个用户辞职后离开了公司,请删除该用户的用户账户。 ⑧创建组账户,并把一系列的用户账户加入到这个组账户中。
提示:本实训需要搭建五台域控制器,如果学员实训中无法在计算机上运行这么多虚拟机,本实训可以化简为仅搭建 https://www.doczj.com/doc/ad11347472.html,、https://www.doczj.com/doc/ad11347472.html,、https://www.doczj.com/doc/ad11347472.html,三台域控制器。内容②中对https://www.doczj.com/doc/ad11347472.html,的操作改为对https://www.doczj.com/doc/ad11347472.html,的操作。 一、创建森林域 ①在此计算机上安装Windows Server 2008 R2企业版。将此计算机的名称设置为dc3,当它升级为域控制器后会自动改名为https://www.doczj.com/doc/ad11347472.html,。此计算机的IP地址和DNS服务器地址等信息按照图2所示进行配置。 ②以该计算机的本机管理员身份登录,然后使用以下两种方式之一安装活动目录。●单击屏幕左下角的“服务器管理器”图标,然后请转到步骤○3。●单击【开始】→【运行】,输入“dcpromo.exe”后,单击【确定】图标。此时它会自动执行步骤○3~步骤○10,所以请转到步骤○11。 ③在“服务器管理器”中,单击左侧的“角色”,然后单击右边的“添加角色”。 ④在“开始之前”窗口中,单击【下一步】按钮。 ⑤在“选择服务器角色”窗口中,选中【Active Directory域服务】,然后在弹出的“是 否添加Active Directory域服务所需的功能”窗口中,单击【添加必需的功能】,最后单击【下一步】按钮。 ⑥在活动目录安装窗口中,单击【下一步】按钮。 ⑦在“Active Directory域服务简介”窗口中,单击【下一步】按钮。 ⑧在“确认安装选择”窗口中,单击【安装】按钮。 ⑨在“安装结果”窗口中,单击【关闭】按钮。 ⑩单击【关闭该向导并启动Active Directory域服务安装向导(dcpromo.exe)】 ?在“欢迎使用Active Directory域服务安装向导”窗口中,单击【下一步】按钮。?在“操作系统兼容性”窗口中,单击【下一步】按钮。 ?如图2所示,因为是在一个已有森林中新创建子域,所以选中【现有林】和【在现有林中新建域】,然后单击【下一步】按钮。
管理活动目录域服务实训 管理是指一定组织中的管理者,通过实施计划、组织、领导、协调、控制等职能来协调他人的活动,使别人同自己一起实现既定目标的活动过程。是人类各种组织活动中最普通和最重要的一种活动。近百年来,人们把研究管理活动所形成的管理基本原理和方法,统称为管理学。作为一种知识体系,管理学是管理思想、管理原理、管理技能和方法的综合。随着管理实践的发展,管理学不断充实其内容,成为指导人们开展各种管理活动,有效达到管理目的的指南。 (一)管理体系:管理包罗万象,渗透在各个领域,凡是有人群活动的地方,就有管理。上自整个社会、一个国家,下到每个家庭和每个人,都离不开管理。 (二)管理手段:社会是个庞杂的大系统,千头万绪,怎样管理?管理学家们提出机构、法、人和信息四种管理手段。(1)机构,是使管理对象构成系统的组织结构。没有机构就组织不成系统。不成系统便无法管理;(2)法,政策与法律来源于管理目标。在管理活动中,它规定被管理的人哪些应该做,哪些不应该做,是人们的行动准则;(3)人,是管理中最活跃的因素。机构是人组成的,管理职权是人行使的,政策与法是人制定的。发挥人的积极性和创造性是搞好管理的重要手段;(4)信息,不利用信息,就不知道事物的发展形势,就会造成管理的盲目性。它是管理的重要工具。
(三)管理对象:事物多种多样,纷纭复杂,千变万化。管理些什么?科学家们提出了五个主要管理对象:人、财、物、时间和信息。(1)人,是社会财富的创造者、物的掌管者、时间的利用者和信息的沟通者,是管理对象中的核心和基础。只有管好人,才有可能管好财、物、时间和信息;(2)财,是人类衣、食、住及其进行交往的基础。管理者必须考虑运用有限的财力,收到更多的经济效益;(3)物,是人类创造财富的源泉。管理者要充分合理和有效地运用它们,使之为社会系统服务;(4)时间,反映为速度、效率,一个高效率的管理系统,必须充分考虑如何尽可能利用最短的时间,办更多的事;(5)信息,只有管理信息,及时掌握信息,正确地运用信息,才能使管理立于不败之地。
活动目录命令整理 一、活动目录修改及查询命令 dsadd命令(创建活动目录对象) 使用dsadd命令可以在活动目录中创建OU、用户、组、联系人等对象,下面逐一进行介绍。 1、创建组织单位: 命令格式:dsadd ou
操作系统安全实验报告 一、【实验构思(Conceive)】 操作系统安全: 实验目的: 操作系统是计算机的根本,没有操作系统的计算机的用处并不是很大。而如今随着网络的快速发展,计算机成为了我们生活中不可或缺的一部分,因此,计算机操作系统安全显得尤为重要,如果操作系统的安全指标很低的话,那么就会造成个人信息的暴露,受到其他计算机的攻击等等,因此,我们必须对自己的计算机系统安全负责,操作系统的安全是广义的,操作系统安全应该包括操作系统信息安全、操作系统运行速度、操作系统软件安全、操作系统硬件安全等。 操作系统的安全我们可以从操作系统版本、账户安全、文件系统、资源文件安全、日志与审核、服务管理、端口安全、注册表、系统备份与恢复等几方面入手,理解以上几个部分要达到什么样的指标然后在向这个指标去设计。 实验内容分析: 操作系统版本: 操作系统的版本决定计算机根本功能,目前最广泛的版本有windows 7、windows 8、windows XP,三个版本各有优点,例如windows XP更实用与台式计算机,windows 7的兼容性又比windows 8的好,而windows 8的开机速度又更快等等。 账户: 账户指的是登陆操作系统的用户,我们要做的是如何才能让账户安全。 文件系统:
文件系统是操作系统用于明确磁盘或分区上的文件的方法和数据结构即在磁盘上组织文件的方法。也指用于存储文件的磁盘或分区,或文件系统种类。操作系统中负责管理和存储文件信息的软件机构称为文件管理系统,简称文件系统。文件系统由三部分组成:与文件管理有关软件、被管理文件以及实施文件管理所需数据结构。从系统角度来看,文件系统是对文件存储器空间进行组织和分配,负责文件存储并对存入的文件进行保护和检索的系统。具体地说,它负责为用户建立文件,存入、读出、修改、转储文件,控制文件的存取,当用户不再使用文件撤销文件等。 资源文件: 所有可以从中读取出需要的资源的文件,可以称之为“资源文件”。资源的类型可以是图片、音频、视频、文字资源,或者其他可以在计算机中展示的内容等等。由专门的程序接口去读取,并在应用程序中根据需要向用户展示。资源文件的类型很多,不限制文件的后缀名。各个不同的软件系统,可以使用自己定义的资源文件类型。并采用自己的加密方式。资源文件中的资源是可替换的,替换之后,无需重新编译代码,即可实现视觉、听觉、文字等效果的改变。如果直接读取文件就是在程序运行到需要时才从硬盘上搜索(没有现成的地址,这应该是比较慢的原因)。也就是说如果一个工程需要外围文件的量很大,那就不应该把它们加入资源文件,而是在需要的那个文件时再加载它,资源文件比较适合于占空间小的文件。 系统日志与审核: 系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻
使用活动目录服务的好处是什么? 完全集成到Windows 2000 服务器版中的活动目录为网络管理员、开发者和用户提供了访问目录服务的能力,这样可以: ●简化管理任务 ●加强网络安全性 ●通过互操作使用现存网络 简化管理 分布式系统常常导致时间的消耗和管理的冗余。当公司在他们的基础结构上添加应用程序并雇用新的职员时,他们需要适当地向各桌面系统分发软件并管理多个应用程序目录。通过在单一的位置管理用户、组和网络资源以及分发软件和管理桌面系统配置,活动目录可以显著降低公司的管理费用。例如,活动目录在同一个位置管理Windows 2000用户和Microsoft Exchange邮箱信息。基于下列原因,活动目录可以从以下方面帮助公司简化管理: ●消除冗余管理任务提供对Windows用户账号、客户、服务器和应 用程序以及现存目录同步能力进行单一点管理。 ●降低桌面系统的行程针对用户在公司中所担当的角色自动向其分 发软件,以减少或消除系统管理员为软件安装和配置而安排的多次行程。 ●更好的实现IT资源的最大化安全地将管理功能分派到组织机构的 所有层次上。 ●降低总体拥有成本(TCO)通过使网络资源容易被定位、配置和 使用来简化对文件和打印服务的管理和使用。 活动目录如何简化管理 以层次化组织用户和网络资源,活动目录使管理员拥有对用户账号、客户、服务器和应用程序进行管理的单一点。这就减少了冗余的管理任务,同时,通过让管理员管理对象组或容器而非每个独立的对象来增加管理的准确性。 图4:活动目录简化了网络资源的管理 活动目录允许管理员分派特定的管理权限和任务给单独的用户和组,以便更好地使用系统管理资源。如上图所示,特定的管理任务,例如重新设置用户密码,可以被分派给市场机构的办公室管理员。更多的特权功能,如"创建用户",可以为IT管理员保留。 活动目录也允许组织机构针对用户在公司中所担当的角色自动地将软件分 发给他们。例如,一个公司可以指定职员容器中的所有用户(无论是从哪里登录到网络上的)均可使用人力资源管理应用程序。活动目录集中存储这些信息,同时,应用智能镜像管理技术自动安装所分配的应用程序,并给予用户访问其桌面系统的能力而无论用户正在使用网络中的哪个工作站。
实验07 活动目录与域--组策略 实验目的 1 所有域用户不能随便修改背景 2所有域用户只能运行规定的程序 3 所有域用户帐号打开IE默认主页为https://www.doczj.com/doc/ad11347472.html, 4 所有域用户帐号无法使用运行,管理员可以使用运行 5 域用户帐号可以关机 6管理员可以使用本地连接-属性,任何域用户帐号不可使用。 7 域用户帐号看不到C盘 8 域用户帐号在控制面板中看不到”添加删除windows组件” 9 取消自动播放 实验环境 BENET公司利用域环境来实现企业网络管理,公司要求企业员工在使用企业计算机的相关设置需统一管理,要求企业管理员按如下要求完成设置 1 所有域用户不能随便修改背景,保证公司使用带有公司LOGO的统一背景。 2. 所有域用户不能运行管理员已经限制的程序,比如word等。 3 配置域用户所有IE的默认设定为本企业网站https://www.doczj.com/doc/ad11347472.html,,保证员工打开IE 可以直接访问到公司网站。且用户不能自行更改主页 4 禁止域用户使用运行,管理员除外。防止打开注册表等修改系统配置。只有管理员处于管理方便目的,可以使用运行。 5保证域用户有关机权限,保证员工下班可以自行关机,节省公司资源。 6除管理员外的任何域帐号都不可以更改计算机的IP地址设置,防止由于IP地址冲突造成网络混乱。 7 隐藏所有用户的C盘,防止用户误删除系统文件,造成系统崩溃。 8 控制面板中隐藏”添加删除windows组件”,防止用户随意添加windows组件,造成系统问题。 9 取消自动播放,以防止插入U盘有病毒,自动运行病毒 实验准备 1 一人一组 2 准备两台Windows Server 2003虚拟机(一台DC,一台成员主机) 3 实验网络环境192.168.8.0/24
实验二:活动目录域服务的安装与配置 实训课时:2 实训目的: 1、理解域环境中计算机4种不同的类型。 2、熟悉Windows Server 2008域控制器、额外域控制器以及子域的安装。 3、掌握确认域控制器安装成功的方法。 实训要求: 这个项目需要分组来完成完成。 1、安装5 台独立服务器win2008-1、win2008- 2、win2008- 3、win2008-4 和win2008-5 要求: 把win2008-1 提升为域树https://www.doczj.com/doc/ad11347472.html, 的第一台域控制器; 把win2008-2 提升为https://www.doczj.com/doc/ad11347472.html, 的额外域控制器; 把win2008-4 提升为域树https://www.doczj.com/doc/ad11347472.html, 的第一台域控制器; https://www.doczj.com/doc/ad11347472.html, 和https://www.doczj.com/doc/ad11347472.html, 在同一域林中; 把win2008-3 提升为https://www.doczj.com/doc/ad11347472.html, 的域控制器, 把win2008-5 加入到https://www.doczj.com/doc/ad11347472.html,中,成为成员服务器。 各服务器的IP 地址自行分配。实训前一定要分配好IP 地址,组与组间不要冲突。 2、请读者上机实训前,一定做好分组方案。分组IP 方案举例(以第10 组为例,每 组 3 人):5 台计算机的IP 地址依次为:192.168.10.1/24、192.168.10.2/24、 192.168.10.3/24、192.168.10.4/24、192.168.10.5/24。 3、在上面项目完成的基础上建立https://www.doczj.com/doc/ad11347472.html,和https://www.doczj.com/doc/ad11347472.html,域的双向的快捷信任关系。 4、在任一域控制器中建立组织单元outest,建立本地域组Group_test,域账户User1 和 User2,把User1和User2加入到Group_test;控制用户User1 下次登录时要修改密码,用户User2可以登录的时间设置为周六、周日8:00~12:00,其他日期为全天。 实验设备和环境 安装虚拟机和WindowsServer2008系统的计算机5台 实训内容: 1.创建第一个域https://www.doczj.com/doc/ad11347472.html, ①在win2008-1上设置TCP/IP 协议,并且确认DNS 指向了自己。 ②在win2008-1上安装AD 域服务。 ③在win2008-1上安装活动目录(dcpromo.exe)。注意将DNS服务器一同安装。 2.安装后检查 ①查看计算机名。 ②查看管理工具。 ③查看活动目录对象。 ④查看Active Directory 数据库。 ⑤查看DNS 记录。 3.安装额外的域控制器win2008-2 ①首先要在win2008-2 服务器上检查“本地连接”属性,确认win2008-2 服务器和现在 的域控制器win2008-1 能否正常通信;更为关键的是要确认“本地连接”属性中TCP/IP
注意:预习作业在上课前提交,复习作业在上课后提交,共性的作业在实验课会评讲一下,一般不会单独评讲,统一在习题课做综合解答,请各位组长记录作业出现的问题,提交到教员。预习重点部分,不用做在作业上,是给各位学员预习时的引导线。务必记住80%的精力放在预习。 第一章: 预习作业:1.什么是域?什么是活动目录?活动目录有什么特点?2.什么是域树?什么是林?3.安装域控制器必须具备哪些条件?4.将计算机加入域前,要检查客户机哪些配置?5.DNS 在域中有什么作用?● (预习重点:这章节就开始难了,会有很多的名词要理解:域 域控 活动目录 域树 森什么安全组通讯组等等,工作组只适合小型网络,换句话来说,域就适合更大型网络了啦!更换句话来说,你想当个大一点的网络管理,就一定要学好域了,给几个简单的解释先骗大家懂一下吧:?活动目录:一是目录,二是活动,也就是说有一个目录,它是活动的,不属于一台计算机,属整个域的所有电脑。更具体地说他是一个数据库存储着很多对象,例如:组 帐号 打印机 共享文件等等。它能存储这些对象,就能提供一种很好的服务,能让属这个域的用户能快速查找所需的数据了。?域:前面的课提到过,两种网络环境,一种是对等网,平等,没有谁管谁的,另一种是c/s 组构,有服务器有客户机。而我们本课所提到的域,其实就是c/s 结构,能进行集中管理的,其它的域树和森主要看图再对比书本的文字再理解一下。?域控:那一台用来管理这个域的计算机就是域控了,在这里我们暂且单纯地认域域控只有一台,其实在多域的环境下会有多台的,在后面的课程会详细学习。● 安装活动目录:先检查条件够不够,熟读六个条件,域的安装。?加入域:加入域时候,客户机要设置什么才能加入域,这个很重要,很多学员做实验的时候,两台主机都没ping 就去加域,加不入就在大呼大叫,组长帮组员排错的时候要注意是否ping 通ip,是否ping 通域名,别把每个组员都想得太理想了,没有ping 通就急着去加域的学员及加入域的时候域名都写错了,还敢大呼大叫的学员我见得多了。●看书本5页的图,理解一下域树和域林,当然课只应用到单域,由于单一次接触域,多域只是理论上的理解,不要纠结于怎么创,如果非要纠结也行,请预习第八章。 、管路敷设技术通过管线敷设技术,不仅可以解决吊顶层配置不规范问题,而且可保障各类管路习题到位。在管路敷设过程中,要加强看护关于管路高中资料试卷连接管口处理高中资料试卷弯扁度固定盒位置保护层防腐跨接地线弯曲半径标高等,要求技术交底。管线敷设技术中包含线槽、管架等多项方式,为解决高中语文电气课件中管壁薄、接口不严等问题,合理利用管线敷设技术。线缆敷设原则:在分线盒处,当不同电压回路交叉时,应采用金属隔板进行隔开处理;同一线槽内,强电回路须同时切断习题电源,线缆敷设完毕,要进行检查和检测处理。、电气课件中调试对全部高中资料试卷电气设备,在安装过程中以及安装结束后进行高中资料试卷调整试验;通电检查所有设备高中资料试卷相互作用与相互关系,根据生产工艺高中资料试卷要求,对电气设备进行空载与带负荷下高中资料试卷调控试验;对设备进行调整使其在正常工况下与过度工作下都可以正常工作;对于继电保护进行整核对定值,审核与校对图纸,编写复杂设备与装置高中资料试卷调试方案,编写重要设备高中资料试卷试验方案以及系统启动方案;对整套启动过程中高中资料试卷电气设备进行调试工作并且进行过关运行高中资料试卷技术指导。对于调试过程中高中资料试卷技术问题,作为调试人员,需要在事前掌握图纸资料、设备制造厂家出具高中资料试卷试验报告与相关技术资料,并且了解现场设备高中资料试卷布置情况与有关高中资料试卷电气系统接线等情况,然后根据规范与规程规定,制定设备调试高中资料试卷方案。、电气设备调试高中资料试卷技术电力保护装置调试技术,电力保护高中资料试卷配置技术是指机组在进行继电保护高中资料试卷总体配置时,需要在最大限度内来确保机组高中资料试卷安全,并且尽可能地缩小故障高中资料试卷破坏范围,或者对某些异常高中资料试卷工况进行自动处理,尤其要避免错误高中资料试卷保护装置动作,并且拒绝动作,来避免不必要高中资料试卷突然停机。因此,电力高中资料试卷保护装置调试技术,要求电力保护装置做到准确灵活。对于差动保护装置高中资料试卷调试技术是指发电机一变压器组在发生内部故障时,需要进行外部电源高中资料试卷切除从而采用高中资料试卷主要保护装置。
实训任务单卡 3 Training Task Card 班级:组别:学号:姓名:实训日期: 【任务1 创建与配置活动目录】实施步骤(老师演示后,学生操作步骤2-8) 1.分析任务要求:创建与配置活动目录 2.创建第一个域 在win2003-1计算机安装window 2003 server 2003,使其成为独立服务器,并将其提升为域控制器,创建网络的第一个域。(在创建域过程中安装DNS服务器到本机,本机的IP设置为.学号.98/24)首先确认“本地连接”属性TCP/IP 中首选 DNS 指向了自己(.学号.98) 在服务器上安装活动目录。命令行:dcpromo 选择“新域的域控制器。 在“创建一个新域”窗口中,选择“在新林中的域”。 在计算机上安装并配置DNS(将DNS指向自己.学号.98) 在新的域名页面中,输入新域的完整域名(FQDN)。() 在“NetBIOS域名”窗口中确认NetBIOS名。
改变活动目录数据库以及日志存放的路径。(建议将数据库和日志放在不同硬盘上,以提高安全性和性能,在此按默认路径) 在“权限”窗口中,选择一个权限选项。(选择“只与Windows 2000或Windows Server 2003操作系统兼容的权限) 在“目录服务还原模式的管理员密码”窗口中,设置一个密码。(如pa$$worD) 最后,系统显示安装摘要。 3.安装后检查 查看计算机名,查看管理工具(AD用户和计算机,AD站点和服务,AD域和信任关系),查看目录对象,查看AD数据库,查看DNS记录。 注:AD数据库文件保存在 %systemboot%\NTDS文件夹。 查看计算机名。 查看管理工具。 查看活动目录对象。 查看Active Directory 数据库。 查看DNS记录。 4.安装额外的域控制器 在计算机win2003-2计算机上安装window 2003 server 2003,使其成为独立服务器,并将其提升为域的额外域控制器 在服务器上检查“本地连接”属性,确认能否正常通信。(设置IP为:.学号.2/24) 运行“Active Directory”安装向导。命令行:dcpromo /adv 将该计算机设置为现有域的额外域控制器 输入拥有将该计算机升级为域控制器权力的用户名和密码。(用户名必须隶属于目的域Domain Admins 组、Enterprise Admins组或其它授权用户,此项目域为,用户为Administrator) 安装向导从原有的域控制器上开始复制活动目录。 5.创建子域 在win2003-3计算机上安装window 2003 server 2003,使其成为独立服务器,并将其提升为域的子域的域控制器。 注意:win2003-3计算机的首选DNS指向父域的DNS服务器(即win2003-1计算机)在要升级为子域域控制器的独立服务器(win2003-3)上,设置“本地连接”属性。(设置IP为.学号.3/24,DNS为.学号.98,即域控制器的IP,一定要设置DNS的地址!) 运行活动目录安装向导。命令行:dcpromo 选择“新域的域控制器”单选按钮,单击“下一步”按钮;选择“在现有域树中的子域”单选按钮,单击“下一步”按钮。 输入父域的域名以及管理员的账户、密码等。,Administrator,123@abc) 接着输入子域的NetBIOS名。(china) 重新启动计算机,用管理员登录到域中。查看“Active Directory用户和计算机”工具查看子域是否建立成功。 6.创建域林中的第二棵域树 在win2003-1计算机的DNS服务器上新建DNS区域; 展开DNS管理窗口左部的列表,右击“正向查找区域”,选择“新建区域”命令。 在“欢迎使用新建区域向导”界面中单击“下一步”;在“区域类型”中选择“主要区域”。 选择如何复制DNS区域数据(此处选第二项) 输入DNS区域名称,选择“只允许安全的动态更新”或者“允许非安全和安全动态更新”单选按钮。 单击“完成”按钮。 在win2003-4上安装window 2003 server 2003,使其成为独立服务器,并将其提升为域的域控制器。 确认服务器上“本地连接”属性中的TCP/IP的首选DNS指向即.学号.98,并设置IP地址为.学号.4/24)运行活动目录安装向导。命令行:dcpromo 选择“新域的域控制器”,下一步选择“在现有的林中的域树”。