win2003-AD和域.ppt

第1章活动目录简介,本节内容:1.1活动目录简介1.2活动目录的逻辑结构1.3活动目录的物理结构1.4设置DNS服务支持活动目录学习目标理解活动的概念掌握活动目录的特点和好处掌握活动目录的逻辑结构组成掌握活动目录的物理结构组成理解活动目录和DNS服务的关系,第一部分,基础篇第一章WindowsServer2003活动目录第二章创建活动目录域和目录林结构,1.1活动目录简介,本节内容什么是活动目录活动目录对象活动目录架构轻型目录访问协议活动目录的特点利用活动目录来实行集中式管理学习目标理解活动目录的基础概念认识应用活动目录对网络管理带来的好处,1.1.1活动目录是什么？,活动目录提供目录服务功能，包括一种集中组织、管理和控制网络资源访问的方法。活动目录使物理网络拓扑和协议透明化，这样网络上的用户可以访问任何资源，不需要知道资源在什么地方或物理上它是如何连接到网络上的,1.1.2活动目录的对象,1.1.3活动目录的结构,对象类,打印机,计算机,用户,用户的属性可以包含:,accountExpiresdepartmentdistinguishedNamemiddleName,属性列表,accountExpiresdepartmentdistinguishedNamedirectReportsdNSHostNameoperatingSystemrepsFromrepsTomiddleName,属性,活动目录架构：定义了数据类型、语法规则、命名约定,1.1.4轻量目录访问协议(LDAP),LDAP提供了一种与活动目录通讯的方法，通过为目录中的每一个对象指定唯一的命名路径LDAP命名路径包括:标识名相对标识名,CN=crq,OU=aoc,DC=ncie,DC=com,1.1.5活动目录的特点,1.1.6利用活动目录来实行集中式管理,活动目录:可以使一个管理员集中管理网络资源可以使管理员容易的确定对象的信息可以使管理员把相似的对象组织到OU中可以使管理员给站点、域或OU指定具体的组策略设置,1.2活动目录的逻辑结构,本节内容域（Domain）组织单元（OrganizationUnit）域树（DomainTree）全局编录（GlobalCatalog）学习目标掌握活动目录逻辑结构的分类掌握每种逻辑结构的作用和特点掌握活动目录中全局编录的作用,1.2.1域（DOMAIN）,域是是活动目录的中逻辑结构的核心单元，一个域包含许多台计算机，它们由管理者设定，共用一个目录数据库。一个域有一个唯一的名字域起着安全边界的作用：保证域的管理者只能在该域内有着必要的管理权限，每个域都有自己的安全策略和与其它域的安全联系方式域同时也是一个复制单元，作为域控制器的计算机包含活动目录的副本。在一个特定的域中，所有域控制器都能得到活动目录的变化信息，并把这些变化的信息复制给该域中的其它域控制器,Windows2000域,User1User2,复制,1.2.2组织单元（OU）,组织结构,Sales,aec,Repair,Users,aoc,Computers,网络管理模型,OU可以把对象组织到一个逻辑结构中，使其能最佳适应组织的需要委派OU的管理控制权，必须把OU及OU包含对象的具体的权限指定给一个或几个用户和组,1.2.3域树与域目录林,域目录林具有以下特点,目录林中的所有域树拥有相同的架构和全局目录目录林中的第一个域称为该目录林的根域用目录林根域名字作为目录林的名字目录林的根域和该目录林中的其它域树的的根域之间存在双向可传递的信息关系,1.2.4全局目录（GC）,1.3活动目录的物理结构,本节内容域控制器（DomainCotroller）站点（Site）学习目标掌握活动目录物理结构的分类掌握每种物理结构的作用和特点,1.3.1域控制器,1.3.1站点,站点:优化复制流量使用户能够使用可靠、高速的连接登录到域控制器上,站点的特点,站点一般与地理位置相对应，它由一个或几个物理子网组成。创建站点的目的是为了优化DC之间复制的流量。一个站点可以有一个或多个IP一个站点中可以有一个或多个域一个域可以属于多个站点,1.4DND服务支持活动目录,本节内容DNS服务的作用DNS与活动目录名称空间服务资源记录活动目录集成区域设置DNS服务支持活动目录学习目标理解DNS服务的作用DNS与活动目录的关系SRV记录的作用AD集成区域的特点设置DNS服务支持活动目录,1.4.1DNS（域名服务）作用,1.4.2DNS与活动目录的命名空间,DNS主机名与计算机名,DNS主机记录与活动目录的组件可表示同一台计算机计算机可以依靠DNS在活动目录内定位域控制器,DNS,“.”,com.,sales,training,computer1,microsoft,全称域名（FQDN）=Windows2000计算机名=Computer1,1.4.3服务资源记录,第二章创建活动目录域和目录林结构,本章内容2.1安装活动目录2.2把计算机加入到域2.3安装现有域的额外域控制器2.4在现有域下安装子域实现域树结构2.5创建森林中的一棵树2.6在域控制器上删除活动目录学习目标安装活动目录的前提条件活动目录的安装过程活动目录安装后的变化如何把计算机加入到域理解活动目录的逻辑结构掌握活动目录的删除过程,2.1安装活动目录,本节内容安装活动目录的前提条件活动目录的安装过程安装活动目录后操作系统的变化学习目标安装活动目录前提准备工作执行活动目录的安装过程安装完成后验证活动目录安装的完整性,介绍如何创建基于Windows2003的域,域是核心管理单元活动目录中创建的第一个域是整个目录林中的根域或根使用活动目录安装向导可以创建域和域控制器,准备安装活动目录,创建第一个域,启动活动目录安装向导选择域控制器和域的类型定制新域所需要的信息域名，DNS名，和NetBIOS名数据库文件，日志文件，和共享系统卷的位置指定使用目录服务恢复模式的密码活动目录安装向导:安装活动目录把计算机转换成域控制器,添加一个复制域控制器,为保证容错的需要，一个域中至少应有两个域控制器具有一个以上的域控制器，可防止单个域控制器过载的现象发生使用Dcpromo命令把域控制器加入到现存的域中活动目录安装向导:可把计算机转换成域控制器从现存的域控制器上复制活动目录,2.1.1安装活动目录的前提条件,在一台计算机上安装活动目录的必备条件操作系统必须是Windows2003Server以上版本执行活动目录安装的用户必须具有管理权限计算机至少有250M的空间，而且至少有一个NTFS分区计算机必须安装TCP/IP,而且正确配置DNS,活动目录的安装实验物理环境,将FAT/FAT32转换成NTFS,活动目录安装后的工作,校验活动目录安装实现活动目录集成区域确保活动目录集成区域安全更新转换域模式实现组织单元（OU）结构,校验活动目录安装,实现活动目录集成区域,使用与活动目录集成的DNS区域实现正向查找区域实现反向查找区域,确保活动目录集成区域安全更新,使用活动目录集成的区域来确保DNS的安全更新通过安全的活动目录集成的区域，用户可以控制区域和资源纪录的访问,2.2把计算机加入到域,本节内容哪些计算机能成为windows2003Server域的成员把计算机加入到域学习目标把计算机加入到域,2.2.1哪些计算机能成为windows2003Server域的成员,WindowsNTWindows2000WindowsServer2003WindowsXP,2.2.2把计算机加入到域,加入到域,客户端加入到域之前的准备,客户端要要正确配置TCP/IP参数客户端的DNS指向和DC的DNS指向保持一致加入到域的用户权限Win2000起,域中的普通用户WindowsNT4.0,具备Administrator权限域普通用户最多只能加入出10台Administrator是没有限制,2.3安装现有域的额外的域控制器,本节内容利用网络安装现有域的额外的域控制器利用磁盘复制安装现有域的额外的域控制器学习目标掌握在现有域中安装额外的域控制器的方法,额外的域控制器,2.2.3利用磁盘复制安装现有域的额外的域的域控制器,2.4在现有域下安装子域实现域树结构,本节内容在现有域下安装实现域树结构学习目标在现有域下安装一个子域,在现有域下安装子域实现域树结构,2.5创建目录林中的一棵树,本节内容创建目录林中的一棵域树学习目标在目录林中创建一棵域树,创建目录林中的一棵树,目录林,根域,新域树,2.6在域控制器上删除活动目录,本节内容在域控制器删除活动目录学习目标删除活动目录,第二部分,基本管理篇第3章在活动目录中管理用户第4章在活动目录中管理组账号第5章在活动目录中重用OU管理资源第6章在活动目录中发布资源,第三章在活动目录中管理用户,本节内容3.1用户账号的介绍3.2创建用户账号3.3管理用户账号3.4账号安全学习目标理解用户账号的作用掌握创建用户账号的方法管理用户账号的方法实现账号安全,3.1用户账号的介绍,本节内容用户账号的一般性介绍用户主名用户主名后缀学习目标用户账号在网络中的作用用户主名的使用用户主名后缀的创建及使用,3.1.1用户账号的一般介绍,WindowsServer2003用户账号本地用户账号域用户账号,域用户账号,域用户账号是在DC上建立的，域用户账号是访问域的唯一凭证，作为AD的一个对象保存在域的AD数据库中。用户从域中的任何一台计算机登录到域中的时候必须提供一个合法的域用户账号，该账号将被域的DC所验证。,用户主名缺省情况下后缀是网络中根域的名字，也可使用其它域为用户配置其它后缀用户登陆名(Pre-Windows2000)用户登录时可选择域用户登陆名唯一性原则容器中的全名必须唯一在目录林中，用户主名必须唯一用户登录名(pre-Windows2000)在域中必须唯一,介绍用户登录名,3.2创建用户账号,本节内容使用“AcitveDirectory用户和计算机”创建用户账号使用dsadd命令创建用户账号在域中的成员服务器具上安装管理工具包利用RunAS执行管理任务在域控制器上登录学习目标掌握用不同的方法创建用户账号在成员服务器上执行管理任务巧用RunAS工具,3.2.2使用dsadd命令创建用户账号,c:dsadd/?c:dsadduser/在域中创建用户crqc:dsaddusercn=crq,dc=ncie,dc=com（默认禁用，且不在User容器中）在域中创建用户crq，且启该账号c:dsaddusercn=crq,dc=ncie,dc=comdisabledon在域的aoc的OU中创建用户crq，且启该账号c:dsaddusercn=crq,ou=aoc,dc=ncie,dc=ncie,dc=comdisabledon查看用户信息c:dsgetusercn=crq,ou=aoc,dc=ncie,dc=com,查看相关命令,3.2.3在域中的成员服务器具上安装管理工具包,WindowsServer2003安装盘I386目录下ADMINPAK.MSIC:WINDOWSSYSTEM32adminpak.msi,3.3管理用户账号,本节内容执行用户账号公共管理任务在AD中查找用户账号设置用户账号属性域用户账号复制删除域用户账号学习目标掌握管理用户账号的方法用户账号各项属性的作用对用户账号执行日常的管理任务,3.3.1执行用户账号公共管理任务,添加到组禁用账号重设密码移动删除重命名,3.3.2设置用户账号属性,3.3.3在AD中查找用户账号,3.3.4域用户账号复制,3.3.5删除域用户账号,使用“AcitveDirectory用户和计算机”创建用户账号使用dsadd命令创建用户账号删除域中的用户账号必有具有域的管理权限只能删除创建的用户账号内置用户账号不能删除,使用dsrm命令删除用户账号,删除域中crq账号c:dsrmcn=crq,dc=ncie,dc=com删除域中容器的crq账号c:dsrmcn=crq,cn=user,dc=ncie,dc=com删除域中crq账号,不加提示信息c:dsrmcn=crq,dc=ncie,dc=comnoprompt删除域中容器ou1的crq账号c:dsrmcn=crq,ou=ou1,dc=ncie,dc=com,3.4账号的安全,本节内容账号管理的一般性原则密码策略管理Administrator账号管理Guest账号查看用户账号的SID学习目标掌握账号安全的原则设置严格的密码策略敏感账号的管理,3.4.1账号管理的一般性原则,管理用户账号应遵循的原则确保网络中只有必需的账号被使用,及时删除不使用的账号,而且每个账号仅有能够满足他们完成工作的最小权限重命名敏感用户账号实施严格的密码策略,阻止对密码的暴力攻击设置账号锁定策略,3.4.2密码策略,严格的密码策略是保证系统安全的第一道屏障。当用户在设置密码时应该尽量避免下面的习惯、空密码与用户登录名相同及用户登录名的简单化与用户的相关的个人信息英文单词,3.4.3管理Administrator账号,不能删除、禁用、修改权限可以更改名称,3.4.5查看用户账号的SID,SID（SecurityIdentifier,安全标识）是一种不同长度的数据结构，用来识别用户、组和计算机SID中综合了计算机名字、当前时间以及处理当前用户线程所花费的CPU时间等信息c:whoami/user（查看当有用户账号的SID）,第章在活动目录中管理组账号,学习目标4.1组账号的介绍4.2活动目录中组账号的分类4.3在域中创建组账号4.4管理组账号4.5在域中实现AGDLP法则4.6使用默认组学习目标掌握组账号的作用了解组的分类域中组的分类和组的范围全局组、本地组及通用组的使用掌握如何在域中实现AGDLP法则认识默认组,4.1组账号,本节内容组账号介绍WindowsServer2003中组的类别学习目标了解组账号的作用掌握WindowsServer2003中工作组的类别掌握WindwosServer2003中域中组成的类别,4.1.1组账号介绍,组是用户账号的逻辑的集合将用户账号分组管理便于提高管理域资源的访问,介绍活动目录中的组,4.1.2WindosServer2003中组的类别,工作组中的组内置组和本地组（组模式）域中的组非DC中的组DC中的组,4.2活动目录组账号的分类,本节内容组的类型组的范围学习目标掌握域中组的分类掌握域中组的范围,4.2.2组的类型,通讯组用来组织用户账号，没有安全性，一般说不用于授权安全组具备通信组的全部功能，用来为用户和计算机分配权限,使用全局组,使用域本地组,使用通用组,使用全局和域本地组,4.3在域中创建组账号,本节内容使用“ActiveDirectory用户计算机”创建组账号使用dsadd命令创建组账号学习目标掌握在域中创建账号的不同方法,4.3.1使用“ActiveDirectory用户计算机”创建组账号,4.3.2使用dsadd命令创建组账号,在域中创建aoc组（默认安全-全局组）c:dsaddgroupcn=aoc,dc=ncie,dc=com在域中创建安全-本地域组aocc:dsaddgroupcn=aoc,dc=ncie,dc=comscopl在域中创建一个通用组aocc:dsaddgroupcn=aoc,dc=ncie,dc=comscopeu,使用dsadd命令创建组账号,在域中ou1下创建组aoc在域中中ou1下创建组aocc:dsaddgroupcn=aoc,ou=ou1,dc=ncie.dc=com在域中ou1下创建一个组aoc,并把ou1下的用户账号aec加入到aoc组中c:dsaddgroupcn=aoc,ou=ou1,dc=ncie,dc=commemberscn=aec,ou=ou1,dc=ncie,dc=com,4.4管理账号,本节内容组账号的常规管理任务在活动目录中删除组账号学习目标掌握如何在域中对组账号进行管理掌握如何在域中删除组账号,4.1.1组账号的常规管理任务,组账号的管理涉及到组账号信息的设置、管理组账号的成员关系、设置组账号的管理者及账号的重命名和删除等,4.2.2在活动目录中删除组账号,在域中删除User容器内的aoc组账号，并不出现提示信息c:dsrmnopormptcn=aoc,cn=users,dc=ncie,dc=com在域中删除OU1容器内aoc组账号，并不出现提示信息c:dsrmnopormptcn=aoc,ou=ou1,dc=ncie,dc=com,4.5在域中实现AGDLP法则,4.6使用WindowsServer2003中的默认组,本节内容预定义组内置组内置本地组特殊组学习目标认识WindowsServer2003中的默认组了解每个默认组和特点和功能,4.6.1预定义组,4.6.2内置组,4.6.3内置本地组,第章在活动目录中利用OU管理资源,本章内容5.1组织单位简介5.2在活动目录中创建OU5.3在活动目录中管理OU5.4活动目录中对象的安全性设置5.5用户登录进程5.6访问令牌（AccessToken）5.7在活动目录中实现委派管理控制学习目标组织单位的功能在AD中创建及管理OU实现AD中对象的安全性理解用户登录进程访问令牌的作用AD中委派管理控制的作用及实施,5.1组织单位简介,本节内容组织单位的功能组织单位和组账号的区别组织单位和域的关系组织单位和其他活动目录容器的区别学习目标掌握在AD中OU的作用理解OU和组账号的异同理解OU和域的关系理解OU和其他容器的异同,5.1.1组织单元的功能（OU）,组织结构,Aec,AOC,Axc,Users,Ncie,Computers,网络管理模型,OU可以把对象组织到一个逻辑结构中，使其能最佳适应组织的需要委派OU的管理控制权，必须把OU及OU包含对象的具体的权限指定给一个或几个用户和组,5.1.2组织单元和组账号的区别,相同之处：OU和组账号都是活动目录的对象不同之处：组账号中包含的对象类型有限，只能是账号OU中可以包含账号、计算机、打印机、共享文件夹,组织单元的功能,可以使一个管理员集中管理网络资源可以使管理员容易的确定对象的信息可以使管理员把相似的对象组织到OU中可以使管理员给OU指定具体的组策略设置,5.1.3组织单元和域的关系,OU和域都属于活动目录的逻辑结构范畴相同点：OU和域都是用户和计算机的管理单元，都可以容纳活动目录的对象，都可以对其设置组策略不同点：用户只能登录到域，而不能登录到OU先有域，后有OUOU只能存在域中，域不能在OU中存在域的级别比OU高,5.1.4组织单位和容器的区别,OU既可以包含活动目录的对象,也可以对其设置组策略其他容器只能包含活动目录对象，不能对其设置组策略,5.2在活动目录中创建OU,本节内容使用“ActiveDirectory用户和计算机”创建OU使用dsadd命令创建OU学习目标掌握用不同方法创建OU在活动目录中实现OU的嵌套,5.2.1使用“ActiveDirectory用户和计算机”创建OU,普通容器对象不能创建OU普通容器和OU是平级的，没有包含关系只能在域或OU下创建一个OU,5.2.2使用dsadd命令创建OU,在域中创建名为aoc的OU，其命令为c:dsaddouou=aoc,dc=ncie,dc=com创建OU的名字有空格，要把名字用双引号括起来c:dsaddouou=“aocdepartment”,dc=ncie,dc=com在同一个OU创建子OU时c:dsaddouou=aec,ou=aoc,dc=ncie,dc=com,5.3在活动目录中管理OU,本节内容在活动目录中对OU执行常规管理任务在OU之间移动活动目录对象在活动目录中删除OU学习目标掌握如何在域中对OU的属性执行管理掌握域中移动活动目对象的方法掌握如何在域中删除OU,5.3.1在活动目录中对OU执行常规管理任务,OU的管理包括：OU的常规信息OU管理者对象安全性组策略,OU的常规信息,设置OU管理者,设置OU的对象,设置OU的安全,5.3.2在OU之间移动活动目录对象,用户移动账号后,赋予该用户账号的权限设置不会变该用户账号会使用新OU的组策略设置,5.2.3在活动目录中删除OU,删除OU要具有一定的权限检查该OU是否还有继续使用的活动目录对象,使用命令行删除OU,删除域中OU（aoc）c:dsrmou=aoc,dc=ncie,dc=com删除OU时不希望出现提示c:dsrmnopromtou=aoc,dc=ncie,dc=com删除包含子对象的OUc:dsrmsubtreeou=ou1,dc=ncie,dc=com删除OU中的子对象，但并不删除OUc:dsrmsubtreeexcludeou=ou11,dc=ncie,dc=com,5.4活动目录中对象的安全性设置,本节内容活动目录安全组件访问控制列表权限的特点活动目录中权限的继承活动目录对象的所有者学习目标掌握活动目录中安全组件的构成掌握活动目录中访问控制列表的分类作用掌握活动目录中对象权限的基本特点掌握活动目录中权限的继承关系掌握活动目录中对象所有者的作用及取得所有权,5.4.1活动目录安全组件,安全主体包含用户、安全组和计算机帐户由唯一的安全标识符所标识,安全标识符(SIDs)用来唯一标识安全主体不能重复使用,安全描述符包含与安全主体相关的安全信息包含动态访问控制列表（DACL）和系统访问控制列表（SACL）,5.4.2访问控制列表,访问控制列表(DACL)用来标识安全主体是否可以访问特定对象，以及允许访问或拒绝访问的深度系统访问控制列表(SACL)用于控制活动目录对象访问审核,访问控制项（ACE）,活动目录对象（DACL）,DACL中的ACE,DCAL,系统访问控制列表（SACL）,SACL中的ACE,SACL,活动目录3种权限的设置,5.4.5活动目录对象的所有者,5.5用户登录进程,本节内容交互登录进程网络登录进程学习目标掌握用户登录的过程了解登录进程和种类,用户登录过程,用户登录,本地安全子系统为用户取得一个会话凭证,本地安全子系统请求一个工作站服务的会话凭证,Kerberos发送一个工作站服务的会话凭证,本地安全子系统建立一个访问标记,用户的进程被缚上访问标记,1,2,3,4,5,6,本地安全子系统,域控制器,全局目录服务器,申请,访问令牌,1,申请,申请,2,3,4,6,建立访问标记（令牌）,5,Kerberos服务,访问标记（令牌）的作用,访问标记:在用户登陆过程中建立，在访问对象时需要使用访问标记包含SID，一个唯一的标识符来代表一个用户或一个组包含组ID，用户所属的组列表包含用户权利，用户的特权,访问标记,SecurityID:S-1-5-21-146.GroupIDs:EmployeesEVERYONELOCALUserRights:SeChangeNotifyPrivilege-(attributes)3SeSecurityPrivilege-(attributes)0,如何授权对资源的访问,5.4.4活动目录中权限继承,在子对象建立的时候，不再人为地把权限应用于子对象确保应用于父对象的权限也同时应用于子对象确保在需要改变容器内所有对象的权限时，只需要改变父对象权限而子对象将自动继承这些变化确保ACE应用于活动目录对象时，在继承的ACE发生冲突之前已经应用ACE,控制对活动目录对象的访问,活动目录权限控制权限继承设置活动目录权限对象所有权改变对象所有权,活动目录权限,权限:可以被允许或拒绝可以间接或直接拒绝可以设置标准权限和特殊权限,控制权限继承,对象被创建时，会自动继承权限,可以阻止权限继承可以把以前继承的权限拷贝到对象上可以删除以前对象继承的权限,设置活动目录权限,标准权限,特殊权限,对象所有权,每一个对