目录服务和证书服务PPT资料.ppt
《目录服务和证书服务PPT资料.ppt》由会员分享,可在线阅读,更多相关《目录服务和证书服务PPT资料.ppt(35页珍藏版)》请在冰豆网上搜索。
对目录数据所作的任何修改都被复制到域中的所有域控制器(同步机制)vActiveDirectory目录服务与网络安全登录过程的安全子系统集成v对目录数据查询和数据修改的访问控制vActiveDirectory特性信息安全性:
安全性完全与活动目录集成。
不仅可以在目录中的每个对象上而且可以在每个对象的属性上定义访问控制。
二、ActiveDirectory目录服务3.1ActiveDirectory服务配置vActiveDirectory特性基于组策略的管理可扩展性可伸缩性:
活动目录包含一个或多个域,每个域具有一个或多个域控制器,可以调整目录的规模以满足任何网络的需要;
多个域可以合并为域树,多个域树可以合并为树林信息的复制:
复制目录提供了信息的可用性、容错、负载平衡和性能优势与DNS集成:
活动目录具有与DNS相同的层次结构,DNS区域可存储在活动目录中,而活动目录客户则可以利用DNS来定位域控制器与其他目录服务的互操作性灵活的查询二、ActiveDirectory目录服务3.1ActiveDirectory服务配置v典型的树状结构,自上而下,依次为域树林域树域组织单元,设计时一般自上而下设计v域:
是活动目录的基本单位,每个域都是一个安全界限,安全策略及其设置不能跨越不同的域;
每个域仅存处该域中各个对象的相关信息;
域中所有对象存储在多个域控制器下;
目录中的每个域用DNS域名标识,并需要一个或多个域控制器三、ActiveDirectory目录结构3.1ActiveDirectory服务配置v组织单元:
是可以把用户、组、计算机和其它单位放入其中的活动目录容器,但是不能包含来自其它域的对象;
组织单元是指派组策略设置或委派管理权限的最小单位v域树:
可以把多个域合成为一个域树;
其中第一个域称作根域,同一域树中的其它域称为子域三、ActiveDirectory目录结构3.1ActiveDirectory服务配置v域树林:
包括多个域树;
树林中的域树不连成相互邻接的名字空间;
树林也有根域,它是树林中创建的第一个域;
树林中所有域树的根域与树林的根域能够建立可传递的信任关系三、ActiveDirectory目录结构3.1ActiveDirectory服务配置v活动目录管理工具只能在可访问Win2000域的计算机中使用;
在Win2000域控制器上可以使用的管理工具有三种,如果希望在非域控制器的计算机远程使用活动目录管理工具,必须安装管理工具活动目录用户和计算机活动目录域和信任活动目录站点和服务v可通过管理控制台(MMC-MicrosoftManagementConsole)自定义管理工具从控制台中选择添加/删除管理单元可以把控制台设置保存到文件中,以便下次使用四、ActiveDirectory管理工具3.1ActiveDirectory服务配置v服务器角色域控制器:
存储目录数据并管理用户域的交互,其中包括用户登录过程、身份验证和目录搜索;
为获得高可用性和容错能力,使用单个局域网的小单位可能只需要一个具有两个域控制器的域,具有多个网络位置的大型企业在每个位置都需要一个或多个域控制器;
域控制器是整个域的核心,承担主要的管理任务,负责处理用户和计算机的登录成员服务器:
是域中非域控制器的Win2000服务器,一般用作文件服务器、应用服务器、数据库服务器、Web服务器、证书服务器、防火墙和远程访问服务器;
它不负责处理账户登录过程,不参与活动目录复制,不存储安全策略信息,与其它域成员一样,成员服务器服从站点、域或组织单元定义的组策略,同时也包含本地安全账户数据库独立服务器:
作为工作组成员安装五、ActiveDirectory的规划和安装3.1ActiveDirectory服务配置v安装域控制器:
使用活动目录向导可以在独立服务器上安装域控制器,或者将成员服务器升级为域控制器,也可以把域控制器降级为成员服务器创建新的域创建现有域的额外域控制器创建一个新的域目录树在现有域目录树中创建一个新的子域创建新的域目录树林把新的域目录树放入现有的目录树林中五、ActiveDirectory的规划和安装3.1ActiveDirectory服务配置v域控制器的删除和降级:
如果该域包含子域不能将其删除;
如果该域控制器是域中的最后一个域控制器,那么降级这个域控制器将会使该域从树林中删除;
如果这个域控制器是树林中的最后一个域,那么降级这个域控制器也将删除树林v更改模式:
Win2000域控制器默认为混合模式,允许WinNT和Win2000备份域控制器存在于同一个域中,只有从域中删除所有的WinNT域控制器时,与模式才能更改为本地模式;
在本地模式下,所有的域控制器都升级到Win2000,而且域控制器已启用本机模式操作;
只能把模式从混合模式改为本机模式五、ActiveDirectory的规划和安装3.1ActiveDirectory服务配置v活动目录客户:
是连接到活动目录网络的计算机所用的网络客户软件,使用活动目录客户配置的计算机可以通过定位域控制器登录到网络Win9x+附加的活动目录客户软件Win2000系列、WindowsXPWindows2000Server安装光盘上client目录中包含dsclient.exe的活动目录客户软件要登录到活动目录网络,活动目录客户必须首先为它们所在的域定位活动目录域控制器,活动目录客户要将DNS名称查询发送到相应的DNS服务器六、设置ActiveDirectory客户3.1ActiveDirectory服务配置v让计算机加入域:
以Windows2000Professional为例确认能够连接到活动目录域控制器所在计算机把DNS服务器设置为能够解析活动目录域控制器域名的DNS服务器IP地址(在单域网中通常就是域控制器本身)右击我的电脑属性网络标识属性在隶属于区域中选择域输入域名其它按钮输入此计算机的DNS后缀(本机域名)并选中在域成员身份变化时,更改主DNS后缀连接确定后,输入与用户名和密码,单击确定重新启动如果要退出活动目录域,只需将该域成员计算机重新加入工作组即可六、设置ActiveDirectory客户3.1ActiveDirectory服务配置v让Windows9X计算机登录到域:
运行Windows9X的计算机缺乏运行Windows2000和WindowsXP的计算机的安全特性,不能在Windows2000域中为它们指派计算机账户,而支能够以用户帐户登录打开网络设置对话框,选中Microsoft网络用户选择属性选中登录到WindowsNT域,并设置域名六、设置ActiveDirectory客户3.2ActiveDirectory管理v计算机:
WindowsNT/2000/XP计算机的账户v联系人:
个人信息记录,姓名、电子邮件等v组(Group):
某些用户、联系人和计算机的分组v组织单元:
把域细分的活动目录容器v打印机v共享文件夹一、主要ActiveDirectory对象3.2ActiveDirectory管理v活动目录用户账户:
用于验证用户身份、指派用户的访问权限;
用户必须使用特定帐户登录到特定的计算机和域;
登录到网络的每个用户应有自己的唯一账户和密码;
用户帐户也可用作某些应用程序的服务账户v添加用户帐户:
为获得用户验证和授权的安全性,通过活动目录用户和计算机控制台为加入网络的每个用户帐户创建单独的用户帐户,每个用户帐户又可以添加到Windows2000组,以控制指派给账户的权限二、管理活动目录用户和计算机账户3.2ActiveDirectory管理v添加用户帐户打开活动目录用户和计算机控制台右击要添加用户的域或组织单元,选择新建用户在打开的对话框中设置帐户基本信息输入用户的姓名信息在登录用户名中输入用户用户登录的名称如果用户使用不同的名称从运行WindowsNT/9X的计算机登录,则把显示在用户登录名(Windows2000以前版本)中的用户登录名称改为不同的名称单击下一步设置密码及其它账户选项v添加计算机账户:
基本同上二、管理活动目录用户和计算机账户3.2ActiveDirectory管理v组:
是可以包含用户、联系人、计算机和其它组的活动目录对象或本机对象;
与组相反,组织单元用于在单个域中创建对象集,但是不授予成员身份;
组织单元及其所包含的对象的管理可委派给单独的管理员或组v安全(Security)组:
用于将用户、计算机和其它组收集到可管理的单位中,为资源指派权限时,管理员应将权限指派给安全组而不是个别用户v发布(Distribute)组:
只能用作电子邮件的通信组,不能用于筛选组策略设置,不具备安全功能三、管理组3.2ActiveDirectory管理v组的作用域:
每个组均具有作用域,它确定组在域树或树林中所应用的范围,类别有:
通用域:
具有该作用域的组可将其成员作为来自域树或树林中任何Windows2000域的组和账户,并且在域树或树林中的任何域中都可获得权限,具有该作用域的组称之为通用组全局域:
具有该作用域的组可将其成员作为仅来自组所定义的域的组和账户,并且在树林的任何域中都可获得权限,具有全局作用域的组成为全局组本地域:
具有该作用域的组可将其成员作为来自Windows2000或WindowsNT域的组和账户,并且只能在域中获得权限v添加组和组的成员:
类似于添加用户帐户三、管理组3.2ActiveDirectory管理v组织单位:
是可以指派组策略摄制或委派管理权限的最小作用域或单位,它可以包含用户、组、加算机、打印机、共享文件夹及其他组织单位,它是目录容器单位,可以把每个组织单位的管理控制权委派给特定的人v组织单位的结构:
属于层次结构,应能够反映组织单位的职能或商务结构,尽可能在域中建立组织单位的层次结构以代替多域的设计结构四、管理组织单位3.2ActiveDirectory管理v组织单位的划分原则如果具有多个相对分散独立的单位,其中不同的用户和资源由完全不同的管理人员来管理,则将网络分割成独立的几个域如果网络分成几个独立部分,且部分之间连接速度非常慢,就可将网络分成独立的域如果单位的各个部分相互独立,可将一个域分成多个组织单位v组织单位的创建:
类似于用户帐户的创建四、管理组织单位3.2ActiveDirectory管理v发布资源在某台域成员计算机上创建共享文件夹登录到域控制器,
升级会员 