《域管理》教程一些基础知识.docx
《《域管理》教程一些基础知识.docx》由会员分享,可在线阅读,更多相关《《域管理》教程一些基础知识.docx(20页珍藏版)》请在冰点文库上搜索。
《域管理》教程一些基础知识
基本概念介绍
☑域和工作组
域和工作组是针对网络环境中的两种不同的网络资源管理模式。
在一个网络内,可能有成百上千台电脑,如果这些电脑不进行分组,都列在“网上邻居”内,可想而知会有多么乱。
为了解决这一问题,Windows9x/NT/2000就引用了“工作组”这个概念,将不同的电脑一般按功能分别列入不同的组中,如财务部的电脑都列入“财务部”工作组中,人事部的电脑都列入“人事部”工作组中。
你要访问某个部门的资源,就在“网上邻居”里找到那个部门的工作组名,双击就可以看到那个部门的电脑了。
在对等网模式(PEER-TO-PEER)下,任何一台电脑只要接入网络,就可以访问共享资源,如共享打印机、文件、ISDN上网等。
尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。
在由Windows9x构成的对等网中,数据是非常不安全的。
一般来说,同一个工作组内部成员相互交换信息的频率最高,所以你一进入“网上邻居”,首先看到的是你所在工作组的成员。
如果要访问其他工作组的成员,需要双击“整个网络”,就会看到网络上所有的工作组,双击工作组名称,就会看到里面的成员。
你也可以退出某个工作组,只要将工作组名称改动即可。
不过这样在网上别人照样可以访问你的共享资源,只不过换了一个工作组而已。
你可以随便加入同一网络上的任何工作组,也可以离开一个工作组。
“工作组”就像一个自由加入和退出的俱乐部一样,它本身的作用仅仅是提供一个“房间”,以方便网络上计算机共享资源的浏览。
与工作组的“松散会员制”有所不同,“域”是一个相对严格的组织。
“域”指的是服务器控制网络上的计算机能否加入的计算机组合。
实行严格的管理对网络安全是非常必要的。
在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(DomainController,简写为DC)”。
“域控制器”中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。
当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。
如果以上信息不正确,域控制器就拒绝这个用户从这台电脑登录。
不能登录,用户就不能访问服务器上有权限保护的资源,只能以对等网用户的方式访问Windows共享出来的资源,这样就一定程度上保护了网络上的资源。
域其实就是一个安全的边界。
它的存在主要是便于管理大型的网络的,可以进行统一的管理,如统一发布组策略,统一安装某种应用软件等等,并且域中的用户在登陆的时候,身份验证的过程是在域控制器上完成的。
而工作组只适应于小型的网络。
如果电脑比较多的话,那么工作组管理起来就极为不方便。
因为每台电脑上面都有自己的安全账户数据库,所以身份验证过程必须在本地进行,如果你要是想登陆工作组中其他的电脑上面,你必须在那台电脑上面有你的用户账户才行。
☑活动目录
活动目录包括两方面:
目录和目录相关的服务。
目录是存储各种对象的一个物理上的容器,包含了有关各种对象如用户、用户组、计算机、域、文件、打印机、组织单位(OU)以及安全策略等资源的信息。
这些信息可以被发布出来,以供用户和管理员的使用。
而目录服务是使目录中所有信息和资源发挥作用的服务,如用户和资源管理、基于目录的网络服务、基于网络的应用管理。
活动目录提供了一种管理组成网络环境的各种对象的标志和关系的方法。
目录存储在被称为域控制器的服务器上,并且可以被网络应用程序或者服务所访问。
一个域可能拥有一台以上的域控制器。
每一台域控制器都拥有它所在域的目录的一个可写副本。
对目录的任何修改都可以从源域控制器复制到域、域树或者森林中的其它域控制器上。
由于目录可以被复制,而且所有的域控制器都拥有目录的一个可写副本,所以用户和管理员便可以在域的任何位置方便地获得所需的目录信息。
普遍用户和系统通过活动目录查找网络资源,管理人员通过活动目录创建和发布资源信息及实施网络管理。
通过活动目录可实施网络的集中管理、控制用户的工作环境、或委派管理控制,实行分散管理。
☑活动目录对象
对象是活动目录中的信息实体,也即我们通常所见的“属性”,但它是一组属性的集合,往往代表了有形的实体,比如用户账户、文件名等。
对象通过属性描述它的基本特征,比如,一个用户账号的属性中可能包括用户姓名、电话号码、电子邮件地址和家庭住址等。
⏹容器(Container)
容器是活动目录名字空间的一部分,与目录对象一样,它也有属性,但与目录对象不同的是,它不代表有形的实体,而是代表存放对象的空间,因为它仅代表存放一个对象的空间,所以它比名字空间小。
比如一个用户,它是一个对象,但这个对象的容器就仅限于从这个对象本身所能提供的信息空间,如它仅能提供用户名、用户密码。
其它的如:
工作单位、联系电话、家庭住址等就不属于这个对象的容器范围了。
⏹目录树(DirectoryTree)
在任何一个名字空间中,目录树是指由容器和对象构成的层次结构。
树的叶子、节点往往是对象,树的非叶子节点是容器。
目录树表达了对象的连接方式,也显示了从一个对象到另一个对象的路径。
在活动目录中,目录树是基本的结构,从每一个容器作为起点,层层深入,都可以构成一棵子树。
一个简单的目录可以构成一棵树,一个计算机网络或者一个域也可以构成一棵树。
⏹域(Domain)
域是Windows网络系统的安全性边界。
我们知道一个计算机网最基本的单元就是“域”,这一点不是Windows所独有的,但活动目录可以贯穿一个或多个域。
在独立的计算机上,域即指计算机本身,一个域可以分布在多个物理位置上,同时一个物理位置又可以划分不同网段为不同的域,每个域都有自己的安全策略以及它与其他域的信任关系。
当多个域通过信任关系连接起来之后,活动目录可以被多个信任域共享。
域是活动目录逻辑结构的核心单元,是一个计算机的集合,它们共享相同的目录数据库。
在Windows的网络里,域定义了安全界限。
目录包含一个或多个域,每个域均有自己的安全策略以及与其它域的信任关系。
域的管理员有权限执行域内的管理。
域也是复制的单元,所有域的控制器在域里都分担了复制,包含了整个域的目录信息的一个复制。
活动目录采用了一个多主机的复制模式,特定域中的所有域控制器均可接收更改内容并将这些内容复制到域中的所有其它域控制器中。
最容易管理的域结构就是单域。
在企业里第一个产生的Windows2000域称为根域(rootdomain),包含了整个森林的配置和结构信息。
在作域规划时,应从单域开始,并且只有在单域模式不能满足要求时,才增加其它的域。
一个域可跨越多个站点并且包含数百万个对象。
站点结构和域结构互相独立而且非常灵活。
单域可跨越多个地理站点,并且单个站点可包含属于多个域的用户和计算机。
如果只是反映公司的部门组织结构,则不必创建独立的域树。
在一个域中,可以使用组织单元来实现这个目标。
然后,可以指定组策略设置并将用户、组和计算机放在组织单元中。
在下面的原因可以考虑创建多个域:
部门之间不同的安全要求
大量的对象
不同的Internet域名
对复制进行更多的控制
分散的网络管理
⏹组织单元(OrganizationUnit,简称OU)
包含在域中特别有用的目录对象类型就是组织单元。
组织单元也是一个逻辑层次的容器对象,用于管理域中的对象,如用户、组、计算机、打印机和其他组织单元。
组织单元是可以指派组策略设置或委派管理权限的最小作用单位。
组织单元不能包括来自其他域的对象。
使用组织单元,就可以根据组织模型管理帐户、资源的配置和使用,可创建可缩放到任意规模的管理模型。
1.使用Ou以组织企业的网络资源。
把网络资源组织为逻辑的层次结构以最好地满足管理的需要。
2.在组织单元上给用户或组委派管理权限,以反映公司的管理和安全政策,并可减少网络管理员的工作负担和满足实际情况。
⏹域控制器(DomainController,简称DC)
域控制器是使用活动目录安装向导配置的WindowsServer的计算机。
活动目录安装向导安装和配置为网络用户和计算机提供活动目录服务的组件供用户选择使用。
域控制器存储着目录数据并管理用户域的交互关系,其中包括用户登录过程、身份验证和目录搜索,一个域可有一个或多个域控制器。
为了获得高可用性和容错能力,使用单个局域网(LAN)的小单位可能只需要一个具有两个域控制器的域。
具有多个网络位置的大公司在每个位置都需要一个或多个域控制器以提供高可用性和容错能力。
域管理工作的主要内容
☑计算机管理
包括:
把计算机添加到域、修改计算机名、从域中删除计算机等工作
☑用户和组管理
包括:
介绍用户登录名的命名标准、创建用户帐号、管理用户帐号;创建组、管理组的成员。
☑文件管理
包括:
文件权限介绍,共享权限的设置、NTFS权限设置,网络访问。
☑打印管理
包括:
打印机安装、共享及访问
☑应用程序管理
域环境下常用软件的管理。
域管理工作的工具
☑在服务器上的管理工具
Win2000Server或Win2003Server服务器操作系统安装好后,通常都会自动安装有“管理工具”,但如果该服务器已经加入到域,出于安全考虑,普通用户的访问权限有可能受到限制,不能在这些服务器上做交互式登录或远程登录,因此无法使用服务器上的“管理工具”。
☑在客户端计算机上安装管理工具
可以在Win2000Pro或WinXP的客户端计算机上安装域服务器管理工具,安装方法简单,直接双击ADMINPAK.MSI文件即可安装。
注意,对于Win2000客户端,只能安装Win2000Server安装光盘的I386下的ADMINPAK.MSI文件,而对于WinXP客户端,则要安装Win2003Server安装光盘的I386下的ADMINPAK.MSI文件。
☑通过MMC自定义管理工具
计算机管理
☑将计算机添加到域
⏹检查网络设置
3.开始à运行à输入“CMD”,按回车,进入DOS命令提示符窗口。
4.在DOS窗口状态下,输入“IPCONFIG/ALL”命令,查看计算机的IP地址、网关、DNS等设置是否正常。
如果不正常,进行检查修改。
5.在DOS窗口状态下,输入“HOSTNAME”命令,查看计算机的名称是否符合命名规范。
如果不规范,需先修改计算机名。
⏹修改计算机名(如需要才做)
右键点击“我的电脑”à“属性”à“计算机名”à“更改”à在计算机名输入框内,输入标准规范的计算机名à重新启动计算机
⏹将计算机添加到域
右键点击“我的电脑”“属性”“计算机名”“更改”在隶属于域的输入框内,输入域名按提示输入有权限将计算机加入到域的域用户名和密码重新启动计算机
☑修改计算机名
对于没有加入到域的计算机,需要有计算机本地管理员的权限的用户才能完成该工作。
右键点击“我的电脑”à“属性”à“计算机名”à“更改”à在计算机名输入框内,输入标准规范的计算机名à重新启动计算机。
对于已经加入到域的计算机,需要对计算机帐号所在OU具有“修改”以上管理权限的域用户才能完成该工作。
右键点击“我的电脑”à“属性”à“计算机名”à“更改”à在计算机名输入框内,输入标准规范的计算机名à按提示输入对计算机帐号所在OU具有“修改”以上管理权限的用户的用户名和密码à重新启动计算机
☑从域中删除计算机
对于已经加入到域的计算机,需要对计算机帐号所在OU具有“修改”以上管理权限的域用户才能完成该工作。
右键点击“我的电脑”à“属性”à“计算机名”à“更改”à在隶属于工作组的输入框内,输入工作组名à按提示输入对计算机帐号所在OU具有“修改”管理权限的用户的用户名和密码à重新启动计算机
用户管理
☑用户帐号
⏹本地用户帐号
6.使用户登录和访问账号所在的计算机资源
7.账号建立在计算机的安全账号数据库中(SAM)
⏹域用户帐号
8.使用户登录到域并访问域的网络资源
9.账号建立在活动目录中(ActiveDirectory)
⏹内置用户帐号
10.管理员账号行使网络全部管理权限,客户账号提供没有账号的用户临时访问资源的需求
11.内置账号可能建立在计算机的SAM数据库中,也可能建立在ActiveDirectory
☑用户帐号命名标准(登录名、显示名)
用户账号控制用户登录和对计算机或网络资源的访问。
每个计算机用户都必须在活动目录中创建用户账号,并对账号授予相应的系统权力和资源权限,用户在登录时,提供正确账号和口令,方能登录和访问。
Windows2003把用户账号集成进活动目录,并提供了几十个个人属性,使用户账号也成为公司通讯簿。
⏹登录名
⏹显示名
☑创建用户帐号
使用管理工具“ActiveDirectory用户和计算机”来完成。
☑用户帐号的属性
⏹有关网络登录的属性:
有关用户登录的权利和限制
12.局域网内的登录
13.远程访问登录
14.终端服务器的登录
⏹有关用户所属组的信息
⏹有关个人的属性:
有关用户各种联系方式和数字证书
(注意:
域用户账号比本地用户账号属性上多得多)
☑用户帐号属性的修改
使用管理工具“ActiveDirectory用户和计算机”来完成。
☑限制临时计算机用户的用户帐号有效时间
使用管理工具“ActiveDirectory用户和计算机”来完成。
☑限制用户在指定计算机上登录
使用管理工具“ActiveDirectory用户和计算机”来完成。
☑限制用户在指定时间内登录
使用管理工具“ActiveDirectory用户和计算机”来完成。
☑用户帐号锁定与解锁
使用管理工具“ActiveDirectory用户和计算机”来完成。
☑员工离职与用户帐号禁用
使用管理工具“ActiveDirectory用户和计算机”来完成。
组的管理
☑组
☑全局组和域本地组
☑用户账号、组和资源权限的关系
☑正确使用组来管理资源权限的方法
文件管理
☑NTFS文件系统与FAT、FAT32的比较
⏹NTFS比FAT或FAT32的功能更强大,它包括提供活动目录(ActiveDirectory)所需的功能以及其他重要安全性功能。
只有选择NTFS作为文件系统才能使用诸如ActiveDirectory和基于域的安全性等功能。
⏹支持文件加密,它极大地增强了安全性。
⏹要维护文件和文件夹访问控制并支持有限个帐户,必须使用NTFS。
NTFS可以对单个文件设置权限,也可以对文件夹设置权限。
而如果使用FAT32,所有用户都将具有访问权限。
⏹磁盘配额,可用来监视和控制单个用户使用的磁盘空间量。
⏹下表比较了每种文件系统支持的磁盘和文件大小。
NTFS
FAT
FAT32
推荐的最小卷大小约为10MB,
也可使用大于2TB的卷。
无法在软盘上使用。
容量可从软盘大小到4GB。
不支持域。
卷的容量从512MB到2TB。
在Windows XP中,只能格式化最大到32GB的FAT32卷。
不支持域。
文件大小只受卷的容量限制。
最大文件大小为2GB。
最大文件大小为4GB。
☑NTFS文件系统的转换
如果计算机必须有时运行较低版本Windows操作系统(如Win98或Winnt4.0),而其他时间运行Windows XP,即在同一个计算机上安装有多操作系统,则需要使用FAT或FAT32分区作为其硬盘上的主(或启动)分区。
其他情况下,仍然推荐使用NTFS文件系统。
FAT或FAT32可以在任何时候转换为NTFS格式,但一旦将驱动器或分区转换为NTFS,则无法将其简单地转换回FAT或FAT32。
需要重新格式化驱动器或分区,这样将删除该分区上包括应用程序和个人文件在内的所有数据。
(备注:
现在已经有一些第三方的工具,可以将NTFS转换为FAT或FAT32,但微软官方并不提供这样的工具。
)
⏹从命令提示符将FAT或FAT32转换为NTFS
15.打开DOS命令提示符窗口。
16.在命令提示符窗口,请键入:
convertdrive_letter:
/fs:
ntfs
例如,键入convertD:
/fs:
ntfs将会以NTFS格式格式化D:
☑NTFS权限
⏹NTFS文件和文件夹权限,包括完全控制,修改,读取和执行,列出文件夹目录,读取,和写入。
这些权限中的每一个都是由一些定义的特殊权限所构成的逻辑组组成。
特殊权限
完全控制
修改
读取和执行
列出文件夹目录(仅文件夹)
阅读顺序
写入
通过文件夹/执行文件
x
x
x
x
列出文件夹/读取数据
x
x
x
x
x
读取属性
x
x
x
x
x
读取扩展属性
x
x
x
x
x
创建文件/写入数据
x
x
x
创建文件夹/添加数据
x
x
x
写入属性
x
x
x
写入扩展属性
x
x
x
删除子文件夹和文件
x
删除
x
x
读取权限
x
x
x
x
x
x
更改权限
x
取得所有权
x
同步
x
x
x
x
x
x
∙无论有什么权限保护文件,被准许对文件夹进行“完全控制”的组或用户都可以删除该文件夹内的任何文件。
∙尽管“列出文件夹内容”和“读取和执行”看起来有相同的特殊权限,但是这些权限在继承时有所不同。
“列出文件夹内容”可以被文件夹继承而不能被文件继承,并且它只在查看文件夹权限时才会显示。
“读取和执行”可以被文件和文件夹继承,并在查看文件和文件夹权限时都会出现。
访问权限
说明
通过文件夹/执行文件
对于文件夹:
“通过文件夹”允许或拒绝通过文件夹来访问其他文件或文件夹,即使用户没有所通过的文件夹(只适用于文件夹)的访问权限。
只有当“组策略”管理单元中没有授予组或用户“忽略通过检查”用户权限时,“通过文件夹”才起作用。
(默认情况下,授予Everyone组“忽略通过检查”用户权限。
对于文件:
“执行文件”允许或拒绝运行程序文件(仅适用于文件)。
设置文件夹的“通过文件夹”权限不会自动设置该文件夹中所有文件的“执行文件”权限。
列出文件夹/读取数据
“列出文件夹”允许或者拒绝查看文件夹内的文件名和子文件夹名。
“列出文件夹”只影响该文件夹的内容,不影响是否列出正在设置其权限的文件夹。
它只适用于文件夹。
“读取数据”允许或拒绝查看文件(只适用于文件)中的数据。
读取属性
允许或拒绝查看文件或文件夹的属性,例如只读和隐藏。
属性由NTFS定义。
读取扩展属性
允许或拒绝查看文件或文件夹的扩展属性。
扩展属性由程序定义,可能因程序而变化。
创建文件/写入数据
“创建文件”允许或拒绝在文件夹(仅适用于文件夹)内创建文件。
“写入数据”允许或拒绝更改文件和覆盖已有的内容(只适用于文件)。
创建文件夹/添加数据
“创建文件夹”允许或拒绝在文件夹内创建文件夹(仅适用于文件夹)。
“添加数据”允许或拒绝更改文件的末尾,但不限制更改、删除或覆盖已有的数据(仅适用于文件)。
写入属性
允许或拒绝更改文件或文件夹的属性,例如只读或隐藏。
属性由NTFS定义。
“写入属性”权限没有表示可以创建或者删除文件或文件夹,它只包括更改文件或文件夹属性的权限。
要允许(或者拒绝)创建或删除操作,请参阅“创建文件/写入数据”、“创建文件夹/追加数据”、“删除子文件夹和文件”以及“删除”。
写入扩展属性
允许或拒绝更改文件或文件夹的扩展属性。
扩展属性由程序定义,可能因程序而变化。
“写入扩展属性”权限不表示可以创建或者删除文件或文件夹,它只包括更改文件或文件夹属性的权限。
要允许(或者拒绝)创建或删除操作,请参阅“创建文件/写入数据”、“创建文件夹/追加数据”,“删除子文件夹和文件”以及“删除”。
删除子文件夹和文件
允许或拒绝删除子文件夹和文件,即使尚未授予对子文件夹或文件的“删除”权限。
(适用于文件夹)
删除
允许或拒绝删除文件或文件夹。
如果您没有对文件或文件夹的“删除”权限,但是在父文件夹中已被授予“删除子文件夹和文件”,那么您仍然可以删除它。
读取权限
允许或拒绝读取文件或文件夹的权限,例如完全控制、读取、写入。
更改权限
允许或拒绝更改文件或文件夹的权限,例如完全控制、读取、写入。
取得所有权
允许或拒绝取得文件或文件夹的所有权。
文件或文件夹的所有者始终可以更改其权限,无论存在任何保护该文件或文件夹的权限。
同步
允许或拒绝不同的线程在句柄上等待文件或文件夹,并与另一个可能向它发信号的线程同步。
该权限只应用于多线程、多进程程序。
⏹权限的分配和继承
17.用户可以被直接分配相应的NTFS权限
18.NTFS权限可以分配给组,用户作为组的成员可以从所属的组中继承到相应的NTFS权限
19.用户本身被授予的权限和其继承到的所有权限,进行累加,所得到的最大权限便是该用户对于网络资源的最终NTFS权限。
但有一个例外,即该用户被分配或从其他组中继承到“禁止访问”权限,则该用用的有效NTFS权限均为“禁止访问”。
☑设置、查看、更改或删除文件和文件夹权限
1.打开Windows资源管理器,然后定位到您要设置权限的文件和文件夹。
2.右键单击该文件或文件夹,单击“属性”,然后单击“安全”选项卡。
3.执行下列操作之一:
●要为没有出现于“组或用户名称”框中的组或用户设置权限,请单击“添加”。
键入想要为其设置权限的组或用户的名称,然后单击“确定”。
●要更改或删除现有的组或用户的权限,请单击该组或用户的名称。
4.执行下列操作之一:
●要允许或拒绝某一权限,请在“用户或者组的权限”框中,选中“允许”或“拒绝”复选框。
●要从“组或用户名称”框中删除组或者用户,请单击“删除”。
☑共享和共享权限
⏹共享权限的分配和继承
20.用户可以被直接分配相应的共享权限
21.共享权限可以分配给组,用户作为组的成员可以从所属的组中继承到相应的共享权限
22.用户本身被授予的共享权限和其继承到的所有共享权限,进行累加,所得到的最大权限便是该用户对于网络共享资源的最终共享权限。
但有一个例外,即该用户被分配或从其他组中继承到“禁止访问”的共享权限,则该用用的有效共享权限均为“禁止访问”。
☑有效权限
当一个NTFS分区上的文件或文件夹,被共享在网络上之后,网络用户对该资源既有NTFS访问权限,又有共享访问权限。
两者之间会有交叉,对于用户来说,针对该网络资源的最终有效权限为:
NTFS最终权限与共享最终权限相比,以最严格的为准。
例:
D:
分区是一个NTFS分区,“ShareFolder”文件夹已经共享,其中共享权限中Everyone组有“完全控制”的权限,NTFS分区中,G1为“读取”、G2为“修改”,USER01是G1、G2两个组的成员,那么,User01对“ShareFolder”文件夹的有效权限是(“修改”)。
☑查看文件和文件夹的有效权限
1.打开Windows资源管理器,然后找到要查看其有效权限的文件或文件夹。
2.右键单击该文件或文件夹,单击“属性”,然后单击“安全”选项卡。
3.单击“高级”,然后单击“有效权限”选项卡。
4.单击“选择”按钮。
5.在“名称”框中键入用户或组的名称,然后单击“确定”。
选中的复选
升级会员 