试谈建立与管理帐户

建立網域,Windows2000系統實務Ch07,建立網域-1,微軟的企業網路架構裡,最重要的角色即是網域。許多Windows2000的重要功能,都建立在網域上。AD服務就是建立在網域的基礎之上並非Windows2000網路一定只能採取網域的架構,建立網域-2,規劃Windows2000網路環境時,可以有工作群組（Workgroup）和網域（Domain）兩種選擇。工作群組適合用於小型的網路,而網域因擁有較優越的管理能力,適合用於中、大型的網路。,各自為政的網路架構工作群組-1,工作群組是泛指一群以網路相連的電腦,彼此分享對方的資源（如檔案或印表機）每台電腦的地位皆是平等,所以也有人把它稱為對等式（PeertoPeer）網路以Windows2K所組成的工作群組為例,不管是伺服器或工作站,都擁有本機的帳戶資料庫,唯有登記在資料庫內的使用者,才能合法使用該電腦上的資源圖7-2,各自為政的網路架構工作群組-2,從網路管理的角度來看,這樣的架構有2個明顯的缺點：帳戶管理較麻煩假設網路上有5部伺服器和30名使用者,總共要建立150（5*30）筆帳戶資料,才能讓所有使用者取用每部伺服器的資源。而且,如果有任何一筆資料需要異動,得做5次修改才行。只能個別對電腦做安全性設定例如：系統管理員希望限制使用者的登入時段,這就必須到每一部伺服器前設定。,中央集權的網路架構網域,網域的基本觀念為,在網路中挑一部電腦當作安全控管伺服器（在Windows2000稱為網域控制站）,由它專門負責網域的帳戶與安全管理。所有加入網域的電腦,都以網域控制站的帳戶和安全性設定為準。拿前面的例子來說,只要在伺服器中擇一擔任網域控制站,再將其它的電腦和所有使用者統統加入網域。系統管理員只需維護35（30+5）筆帳戶資料（包括電腦及使用者）,即可讓所有使用者使用全部電腦上的資源。圖7-4,Windows95/98能否加入網域？,嚴格來說,WindowsNT/2000之外的機器（例如Windows95/98）,不算加入網域,而只是能連接到網域。換言之,雖然使用者能夠利用網域帳戶,從Windows95/98的電腦登入到網域裡存取資源,可是這些機器並未受到網域的管轄,而且在網域控制站上也不會有這些機器的帳戶資料,網域中的電腦角色,網域中的電腦依其功能,區分為以下3種角色：網域控制站成員伺服器工作站,網域控制站-1,安裝了Windows2000Server,而且啟用AD服務的電腦,即為網域控制站。網域控制站在網域中扮演運作核心的地位,除了特定的網管人員之外,應限制其它使用者都不允許登入網域控制站,以防止AD資料遭到破壞。,網域控制站-2,網域控制站主要負責的工作如下：提供AD服務。儲存與複製AD資料庫。管理網域中的活動,包括使用者登入、身分驗證、與目錄查詢等等。,成員伺服器-1,安裝了Windows2000Server,但是不啟用AD服務的電腦；或者是安裝WindowsNT4.0Server的電腦,都算是成員伺服器成員伺服器依其提供服務的不同,可能會被冠上不同的名稱,例如檔案伺服器、應用程式伺服器、或資料庫伺服器等等。不過它們在網域中的角色都是一樣的,都需接受網域控制站的控管,成員伺服器-2,由於這些伺服器同屬網域的成員,所以審核使用者身份的工作,都交由網域控制站執行,只要通過網域控制站的驗證,即允許使用者登入。,成員伺服器的本機帳戶,成員伺服器上仍保留有本機的帳戶資料庫,因此使用者也可以利用這些本機帳戶,登入該伺服器。對網域的安全管理而言,成員資料庫上的本機帳戶,無疑是安全性上的一個漏洞。所以最好是關閉所有成員伺服器上的本機帳戶,僅允許使用者以網域的帳戶登入,才有最佳保障,工作站-1,所有安裝Windows2KProfessional或WindowsNT4.0Workstation,而且加入網域的電腦,都歸類為工作站工作站可以存取網域中的資源、執行應用程式等。但是,Windows2K許多新增的功能,例如AD服務、群組原則、軟體發布、DNS名稱動態更新等,必須配合Windows2000Professional工作站才能發揮功效。而WindowsNT工作站雖然能加入網域,不過無法享受Windows2000的新增功能,工作站-2,加入網域的工作站,同樣是由網域控制站負責使用者身分驗證,並接受網域方面的管理。譬如,網域系統管理員可以限制誰何時才允許登入該工作站,而未加入網域的工作站,雖然也能用來連接網域存取資源,卻得不到網域的保護與管理工作站上也保留了本機帳戶的資料庫,使用者如果利用本機帳戶登入工作站,即有辦法存取本機上的資源,但仍無法存取網域裡的資源,網域外的電腦角色-1,網路上沒有加入網域的電腦,即以工作群組的模式運作使用者可以利用這些電腦連接網域,只要提供合法的網域帳戶即可,不過這樣做有一個缺點：每次存取不同電腦上的資源時,都要輸入網域的帳戶名稱與密碼。,網域外的電腦角色-2,網域外的電腦也可概略區分為兩種角色：獨立伺服器安裝了Windows2000Server或WindowsNTServer,但是未加入網域的電腦,均視為獨立伺服器。獨立伺服器一旦加入網域後,角色即轉換為成員伺服器。相反地,成員伺服器如果退出網域,則又會回到獨立伺服器的角色。如果在獨立伺服器上安裝AD服務,則升級為網域控制站。,網域外的電腦角色-3,其它電腦無論是執行何種作業系統,只要未加入網域,而且不是獨立伺服器的電腦,都可以歸為此類。使用者或許可利用這些電腦連接網域,唯前提是必須擁有網域帳戶,建立第1個網域,建立網域的第一步即建立網域控制站,而建立網域控制站的第一個動作就是安裝AD服務。,安裝AD服務的準備事項,在安裝AD服務之前,請先確定您的電腦與網路符合以下要求至少需要一個格式化為NTFS5.0的磁碟分割（Partition）保留1GB以上（建議值）的可用磁碟空間以TCP/IP為預設的通訊協定,並使用DNS提供名稱解析服務,安裝AD服務的流程,安裝AD服務的流程,大致上可分為以下兩階段(圖7-9)以下要建立的網域,即是整個網路的第一個網域,這種網域又稱為根網域（RootDomain）,安裝AD服務的步驟-1,安裝Windows2000Server後,第一次開機時會自動開啟設定伺服器視窗,我們將介紹如何利用它來建立第1部網域控制站,安裝AD服務的步驟-2,重新啟動後,開始/程式集/系統管理工具裡會新增3個AD管理工具：ActiveDirectory使用者及電腦、ActiveDirectory站台及服務、和ActiveDirectory網域及信任。此外,還多了DHCP、DNS和3個有關安全性原則的項目,將獨立伺服器加入網域,建立了網域控制站之後,網域即開始運作,此時可優先將網路上的獨立伺服器加入網域,令其接受網域的集中管理,設定DNS,要順利加入網域,先決條件是要能夠連結到該網域的網域控制站,而要連上正確的網域控制站,就必須先在電腦上設定正確的DNS伺服器的位址應該將獨立伺服器上的慣用的DNS伺服器欄位,設為網域控制站的IP位址,加入網域-1,加入網域-2,加入網域後的電腦,其電腦名稱預設會出現在ActiveDirectory使用者及電腦視窗的Computers容器下,電腦角色的變換,在Windows2000網域中,可以將獨立伺服器或成員伺服器升級為網域控制站；也可以將網域控制站還原回成員伺服器利用加入和退出網域的動作,還可以變換獨立伺服器和成員伺服器間的身分圖7-30,網域控制站降級為成員伺服器,以系統管理員身分登入網域重新指定本機系統管理員的密碼：當初升級為網域控制站後,本機上的所有帳戶資料都會被刪除。所以降級時,成員伺服器會另外重建一份本機的帳戶資料（包括預設的帳戶和群組）,因此必須重新指定本機系統管理員的密碼,成員伺服器轉為獨立伺服器,原始模式與混合模式,Windows2000提供兩種網域運作模式：原始模式（Nativemode）與混合模式（Mixedmode）在不同的模式下,所能執行的功能有頗大的差異,何謂原始模式,欲採用原始模式,必須符合唯一的條件：所有的網域控制站都必須執行Windows2000Server至於非網域控制站,則無論是執行Windows2000Professional或WindowsNT都沒有關係,原始模式的特性,除了網域區域群組（Domainlocalgroup）和通用群組（Globalgroup）外,另外多了萬用群組（Universalgroup）支援更複雜,且更多層次的群組巢接（Groupnesting）功能。例如：網域區域群組可以包含同網域的網域區域群組或同樹系的通用群組和萬用群組,何謂混合模式,只要不採用原始模式,就一定是混合模式網域中包含Windows2000網域控制站和WindowsNT4.0的備份網域控制站（BackupDomainController,BDC）所有的網域控制站都是Windows2000Server,但是尚未變更模式Windows2000網域預設是採用混合模式,兩種模式的比較-1,網域規模混合模式的網域規模,仍限制於40,000個物件以下,但在原始模式下則無此限制。根據微軟的說法,原始模式的網域有容納一百萬個物件的能力（理論值是一千萬個物件）,兩種模式的比較-2