目录服务和证书服务PPT课件.ppt

组网技术目录服务与证书服务 1 第三章目录服务和证书服务 ActiveDirectory及其配置ActiveDirectory目录服务ActiveDirectory结构ActiveDirectory管理工具及其安装配置ActiveDirectory的基本管理通过组策略集中配置Windows2000网络Windows2000证书服务 2 3 1ActiveDirectory服务配置 目录是存储有关网络上对象信息的一种层次结构 而目录服务提供了存储和管理目录数据的方法利用目录服务集中管理网络资源 从而减轻网络管理元的负担 提高管理效率Windows2000的ActiveDirectory 活动目录 就是一种超级目录服务基于ActiveDirectory的组策略是实现集中管理和配置Windows2000系统的管理工具 一 目录服务 3 3 1ActiveDirectory服务配置 数据存储 即目录 存储着与ActiveDirectory对象有关的信息 这些对象包括共享资源 如服务器 文件 打印机 网络用户和计算机账户架构 即一套规则 定义了包含在目录中的对象类和属性以及这些对象实例的约束和限制及其名称的格式目录中每个对象信息的全局编录 允许用户和管理员查找目录信息 而与目录中实际包含数据的域无关查询和索引机制 是网络用户或应用程序能够发布并查找这些对象及其属性 二 ActiveDirectory目录服务 4 3 1ActiveDirectory服务配置 通过网络发布目录数据的复制服务 对目录数据所作的任何修改都被复制到域中的所有域控制器 同步机制 ActiveDirectory目录服务与网络安全登录过程的安全子系统集成对目录数据查询和数据修改的访问控制ActiveDirectory特性信息安全性 安全性完全与活动目录集成 不仅可以在目录中的每个对象上而且可以在每个对象的属性上定义访问控制 二 ActiveDirectory目录服务 5 3 1ActiveDirectory服务配置 ActiveDirectory特性基于组策略的管理可扩展性可伸缩性 活动目录包含一个或多个域 每个域具有一个或多个域控制器 可以调整目录的规模以满足任何网络的需要 多个域可以合并为域树 多个域树可以合并为树林信息的复制 复制目录提供了信息的可用性 容错 负载平衡和性能优势与DNS集成 活动目录具有与DNS相同的层次结构 DNS区域可存储在活动目录中 而活动目录客户则可以利用DNS来定位域控制器与其他目录服务的互操作性灵活的查询 二 ActiveDirectory目录服务 6 3 1ActiveDirectory服务配置 典型的树状结构 自上而下 依次为域树林 域树 域 组织单元 设计时一般自上而下设计域 是活动目录的基本单位 每个域都是一个安全界限 安全策略及其设置不能跨越不同的域 每个域仅存处该域中各个对象的相关信息 域中所有对象存储在多个域控制器下 目录中的每个域用DNS域名标识 并需要一个或多个域控制器 三 ActiveDirectory目录结构 7 3 1ActiveDirectory服务配置 组织单元 是可以把用户 组 计算机和其它单位放入其中的活动目录容器 但是不能包含来自其它域的对象 组织单元是指派组策略设置或委派管理权限的最小单位域树 可以把多个域合成为一个域树 其中第一个域称作根域 同一域树中的其它域称为子域 三 ActiveDirectory目录结构 8 3 1ActiveDirectory服务配置 域树林 包括多个域树 树林中的域树不连成相互邻接的名字空间 树林也有根域 它是树林中创建的第一个域 树林中所有域树的根域与树林的根域能够建立可传递的信任关系 三 ActiveDirectory目录结构 9 3 1ActiveDirectory服务配置 活动目录管理工具只能在可访问Win2000域的计算机中使用 在Win2000域控制器上可以使用的管理工具有三种 如果希望在非域控制器的计算机远程使用活动目录管理工具 必须安装管理工具活动目录用户和计算机活动目录域和信任活动目录站点和服务可通过管理控制台 MMC MicrosoftManagementConsole 自定义管理工具从控制台中选择 添加 删除管理单元 可以把控制台设置保存到文件中 以便下次使用 四 ActiveDirectory管理工具 10 3 1ActiveDirectory服务配置 服务器角色域控制器 存储目录数据并管理用户域的交互 其中包括用户登录过程 身份验证和目录搜索 为获得高可用性和容错能力 使用单个局域网的小单位可能只需要一个具有两个域控制器的域 具有多个网络位置的大型企业在每个位置都需要一个或多个域控制器 域控制器是整个域的核心 承担主要的管理任务 负责处理用户和计算机的登录成员服务器 是域中非域控制器的Win2000服务器 一般用作文件服务器 应用服务器 数据库服务器 Web服务器 证书服务器 防火墙和远程访问服务器 它不负责处理账户登录过程 不参与活动目录复制 不存储安全策略信息 与其它域成员一样 成员服务器服从站点 域或组织单元定义的组策略 同时也包含本地安全账户数据库独立服务器 作为工作组成员安装 五 ActiveDirectory的规划和安装 11 3 1ActiveDirectory服务配置 安装域控制器 使用活动目录向导可以在独立服务器上安装域控制器 或者将成员服务器升级为域控制器 也可以把域控制器降级为成员服务器创建新的域创建现有域的额外域控制器创建一个新的域目录树在现有域目录树中创建一个新的子域创建新的域目录树林把新的域目录树放入现有的目录树林中 五 ActiveDirectory的规划和安装 12 3 1ActiveDirectory服务配置 域控制器的删除和降级 如果该域包含子域不能将其删除 如果该域控制器是域中的最后一个域控制器 那么降级这个域控制器将会使该域从树林中删除 如果这个域控制器是树林中的最后一个域 那么降级这个域控制器也将删除树林更改模式 Win2000域控制器默认为混合模式 允许WinNT和Win2000备份域控制器存在于同一个域中 只有从域中删除所有的WinNT域控制器时 与模式才能更改为本地模式 在本地模式下 所有的域控制器都升级到Win2000 而且域控制器已启用本机模式操作 只能把模式从混合模式改为本机模式 五 ActiveDirectory的规划和安装 13 3 1ActiveDirectory服务配置 活动目录客户 是连接到活动目录网络的计算机所用的网络客户软件 使用活动目录客户配置的计算机可以通过定位域控制器登录到网络Win9x 附加的活动目录客户软件Win2000系列 WindowsXPWindows2000Server安装光盘上client目录中包含dsclient exe的活动目录客户软件要登录到活动目录网络 活动目录客户必须首先为它们所在的域定位活动目录域控制器 活动目录客户要将DNS名称查询发送到相应的DNS服务器 六 设置ActiveDirectory客户 14 3 1ActiveDirectory服务配置 让计算机加入域 以Windows2000Professional为例确认能够连接到活动目录域控制器所在计算机把DNS服务器设置为能够解析活动目录域控制器域名的DNS服务器IP地址 在单域网中通常就是域控制器本身 右击 我的电脑 属性 网络标识 属性 在 隶属于 区域中选择 域 输入域名 其它 按钮 输入此计算机的DNS后缀 本机域名 并选中 在域成员身份变化时 更改主DNS后缀 连接确定后 输入与用户名和密码 单击 确定 重新启动如果要退出活动目录域 只需将该域成员计算机重新加入工作组即可 六 设置ActiveDirectory客户 15 3 1ActiveDirectory服务配置 让Windows9X计算机登录到域 运行Windows9X的计算机缺乏运行Windows2000和WindowsXP的计算机的安全特性 不能在Windows2000域中为它们指派计算机账户 而支能够以用户帐户登录打开网络设置对话框 选中 Microsoft网络用户 选择 属性 选中 登录到WindowsNT域 并设置域名 六 设置ActiveDirectory客户 16 3 2ActiveDirectory管理 计算机 WindowsNT 2000 XP计算机的账户联系人 个人信息记录 姓名 电子邮件等组 Group 某些用户 联系人和计算机的分组组织单元 把域细分的活动目录容器打印机共享文件夹 一 主要ActiveDirectory对象 17 3 2ActiveDirectory管理 活动目录用户账户 用于验证用户身份 指派用户的访问权限 用户必须使用特定帐户登录到特定的计算机和域 登录到网络的每个用户应有自己的唯一账户和密码 用户帐户也可用作某些应用程序的服务账户添加用户帐户 为获得用户验证和授权的安全性 通过 活动目录用户和计算机 控制台为加入网络的每个用户帐户创建单独的用户帐户 每个用户帐户又可以添加到Windows2000组 以控制指派给账户的权限 二 管理活动目录用户和计算机账户 18 3 2ActiveDirectory管理 添加用户帐户打开 活动目录用户和计算机 控制台右击要添加用户的域或组织单元 选择 新建 用户 在打开的对话框中设置帐户基本信息输入用户的姓名信息在 登录用户名 中输入用户用户登录的名称如果用户使用不同的名称从运行WindowsNT 9X的计算机登录 则把显示在 用户登录名 Windows2000以前版本 中的用户登录名称改为不同的名称单击 下一步 设置密码及其它账户选项添加计算机账户 基本同上 二 管理活动目录用户和计算机账户 19 3 2ActiveDirectory管理 组 是可以包含用户 联系人 计算机和其它组的活动目录对象或本机对象 与组相反 组织单元用于在单个域中创建对象集 但是不授予成员身份 组织单元及其所包含的对象的管理可委派给单独的管理员或组安全 Security 组 用于将用户 计算机和其它组收集到可管理的单位中 为资源指派权限时 管理员应将权限指派给安全组而不是个别用户发布 Distribute 组 只能用作电子邮件的通信组 不能用于筛选组策略设置 不具备安全功能 三 管理组 20 3 2ActiveDirectory管理 组的作用域 每个组均具有作用域 它确定组在域树或树林中所应用的范围 类别有 通用域 具有该作用域的组可将其成员作为来自域树或树林中任何Windows2000域的组和账户 并且在域树或树林中的任何域中都可获得权限 具有该作用域的组称之为通用组全局域 具有该作用域的组可将其成员作为仅来自组所定义的域的组和账户 并且在树林的任何域中都可获得权限 具有全局作用域的组成为全局组本地域 具有该作用域的组可将其成员作为来自Windows2000或WindowsNT域的组和账户 并且只能在域中获得权限添加组和组的成员 类似于添加用户帐户 三 管理组 21 3 2ActiveDirectory管理 组织单位 是可以指派组策略摄制或委派管理权限的最小作用域或单位 它可以包含用户 组 加算机 打印机 共享文件夹及其他组织单位 它是目录容器单位 可以把每个组织单位的管理控制权委派给特定的人组织单位的结构 属于层次结构 应能够反映组织单位的职能或商务结构 尽可能在域中建立组织单位的层次结构以代替多域的设计结构 四 管理组织单位 22 3 2ActiveDirectory管理 组织单位的划分原则如果具有多个相对分散独立的单位 其中不同的用户和资源由完全不同的管理人员来管理 则将网络分割成独立的几个域如果网络分成几个独立部分 且部分之间连接速度非常慢 就可将网络分成独立的域如果单位的各个部分相互独立 可将一个域分成多个组织单位组织单位的创建 类似于用户帐户的创建 四 管理组织单位 23 3 2ActiveDirectory管理 发布资源在某台域成员计算机上创建共享文件夹登录到域控制器 打开 活动目录用户和计算机 控制台右击要添加共享文件夹的域或组织单位 选择 新建 共享文件夹 设置共享文件夹的名称以及网络路径为该文件夹设置用户访问权限活动目录站点 一个或多个IP子网中的一组计算机 站点反映网络的物理结构 域反映整个单位的逻辑结构 逻辑结构和物理结构相互独立 可能相互交叉 活动目录允许单个站点中有多个域 单个域中有多个站点 五 发布资源 活动目录站点 24 3 3用组策略集中配置Win2K网络 组策略 GroupPolicy 是Windows2K的一种系统管理技术 用来定义自动应用到网络中特定用户和计算机的默认设置 包括安全选项 软件安装 脚本文件设置 桌面外观 用户文件管理等 组策略有具体的组策略对象来实现组策略对象活动目录组策略对象 存储在域控制器中 只能在活动目录环境下使用本地组策略对象 存储在所有运行Windows2K XP的计算机上 它只能存在于一台计算机上 只能作用于该计算机及其本地用户如果两者设置发生冲突 前者的设置覆盖后者的设置 一 组策略概念 25 3 3用组策略集中配置Win2K网络 组策略对象的作用范围 由组策略对象链接 GPOLink 来设置 如果某个组策略对象要想生效 必须连接到某个活动目录对象 站点 域或组织单位 组策略对象的应用对象 用户 计算机组策略优先级本地组策略 活动目录站点 活动目录域 活动目录组织单位如果一个组织单位连接了多个组策略 那么按照管理员指定的顺序同步处理 一 组策略概念 26 3 3用组策略集中配置Win2K网络 组策略对象的作用范围 由组策略对象链接组策略的继承子容器继承父容器的组策略 如果把特定组策略分配个一个高级父容器 那么该组策略将应用于其下的所有子容器 包括容器中的用户和计算机如果明确把组策略指定给一个子容器 那么子容器的组策略将替代父容器的组策略禁用的组策略设置继承后也是禁用的如果父容器分配的组策略和子容器配置的策略不兼容 子容器不能继承父级的策略设置 子容器中的设置可用 一 组策略概念 27 3 3用组策略集中配置Win2K网络 打开组策略管理单元的方式 活动目录用户和计算机 活动目录站点和服务 独立的MMC管理单元 启动MMC 控制台 添加 删除管理单元 添加 组策略 编辑组策略对象 启动 ActiveDirectory用户和计算机 右击域或组织单元 属性 组策略 选项卡调整组策略对象的顺序禁用组策略 二 组策略对象的配置 28 3 3用组策略集中配置Win2K网络 编辑组策略对象调整组策略的继承阻止策略继承 使得从更高级的站点 域或组织单位的策略在当前作用范围内被拒绝 并且只能在站点 域和组织单位上设置 而不能在具体的组策略对象上设置禁止替代 强制当前容器的所有子容器继承该策略 即使子容器策略与其冲突 甚至已经为子级设置了 阻止继承 组策略对象安全设置 在 组策略 选项卡上选中某个组策略对象 属性 安全 选项卡 设置访问权限 添加 删除安全组 二 组策略对象的配置 29 3 3用组策略集中配置Win2K网络 组策略不是由域控制器强加的 而是由客户机请求的 当发生下列任一事件时 客户机从域控制器请求策略 客户机启动用户登录应用程序通过API函数RefreshPolicy 请求刷新用户请求刷新按照指定的间隔系统自动刷新 可以强行禁用组策略的后台刷新 三 刷新组策略 30 3 4Win2K证书服务 非对称加密基础结构公开密钥 PublicKey 可被任何人拥有私有密钥 Pri