第3章 Active Diretory 集中管理.ppt

第3章ActiveDiretory集中管理,介绍用户和组用户登录名创建多个用户账户管理用户账户在ActiveDirectory中使用组在域中使用组的策略域用户账户和组错误诊断最佳实践,3.1介绍用户和组,为每个用户创建一个惟一的账户，提供用户登录和使用网络的能力使用脚本文件成批创建用户组将用户集合起来，用于管理和共同资源的授权使用组的嵌套来简化管理,3.2用户登录名,用户登录名介绍创建用户主要名称后缀,用户登录名介绍,在Windows2003网络中用户可以使用“用户主要名称”或“用户登录名”登录网络,用户登录名介绍（续）,由两部分组成前缀如：suzanf后缀如：contoso.msft完整就是：suzanfcontoso.msft后缀默认是根域的域名用户首选名字的优点当你将一个用户移动到另一个域时，无需改动它的登录方式，因为用户首选名在AD中惟一可以与用户的电子邮件一致,用户登录名介绍（续）,用户登录名字（兼容早期系统）提供使用早期客户系统的用户使用，该名字就是用户的账户，如同用户首选名字中的前缀注意：用户登录名和用户登录主名前缀这两者可以不同,用户登录名介绍（续）,用户登录名字的惟一准则树林中用户主名惟一在域中，用户登录名惟一在账户所在的容器中，账户的完全名(FullName)应当惟一,创建用户主要名称后缀,当我们的用户主名后缀和根域的域名有出入的情况下，我们可能就需要添加用户主名后缀,添加新的后缀,3.3创建多个用户账户,批量导入用户账户使用CSVDE创建多个用户账户使用LDIFDE创建多个用户账户,3.3.1批量导入用户账户,通过批量导入操作，你可以在Windows2003AD中一次性创建多个用户账户。这个过程中要使用到一个包含你要创建的用户账户所有信息的文本文件，这个文件可以使用数据库程序或Excel和Word制作,3.3.2使用CSVDE创建多个用户账户,CSV（CommaSeparatedvalues）是一种用来存储数据的纯文本文件格式，常用于电子表格或数据库软件。规则：1、开头是不留空，以行为单位。2、可含或不含列名，含列名则居文件第一行。3、一行数据不垮行，无空行。4、以半角“，”作分隔符，列为空也要表达其存在。5、列内容如存在，则用“”包含起来。6、列内容如存在“”则用“”“”包含。7、文件读写时引号，逗号操作规则互逆。8、内码格式不限，可为ASCII、Unicode或者其他。,使用CSVDE创建多个用户账户,DN=全名+路径,显示名称,用户主名,用户登录名,对象类型,格式举例,第一行为属性行：DN,objectClass,samAccountName,userPrincipalName,displayName,userAccountControl第二行开始是用户值：cn=SuzanFine,ou=HumanResources,dc=asia,dc=contoso,dc=msft,user,suzanf,suzanfcontoso.msft,SuzanFine,512,Csvde.exe是一个Windows2000命令行实用程序，安装Windows2000之后，它位于SystemRootSystem32文件夹中。Csvde.exe与Ldifde.exe类似，但它以逗号分隔值(CSV)格式提取信息。可以使用Csvde导入和导出使用逗号分隔值格式的ActiveDirectory数据。使用电子表格程序（如MicrosoftExcel）可打开此.csv文件，查看标题信息和值信息。csvde-i-fc:filename.csv,使用CSVDE创建多个用户账户（续）,CSVDE脚本的输入CSVDEIFFILENAMEI标明输入状态F标明文件,CSVDE脚本的输出CSVDEFFILENAMEF标明文件,3.3.3使用LDIFDE创建多个用户账户,DN=全名+路径,对象类型,显示名称,用户主名,用户登录名,格式举例,DN:CN=SuzanFine,OU=HumanResources,DC=asia,DC=contoso,DC=msftobjectClass:usersamAccountName:suzanfuserPrincipalName:suzanfcontoso.msftdisplayName:SuzanFineuserAccountControl:512,LDIFDE脚本输入LDIFDEIFFILENAME,使用LDIFDE创建多个用户账户（续）,LDIFDE脚本输出LDIFDEFFILENAME,3.4管理用户账户,执行常规的管理任务定位用户账户,执行常规的管理任务,定位用户账户,Remove,Description,挑选属性,指定查找范围,指定特定属性的值,设置条件,3.5在ActiveDirectory中使用组,介绍ActiveDirectory中的组使用全局组使用域本地组使用通用组,介绍ActiveDirectory中的组,组通常用于组织用户账户进行统一的授权,在AD中有两种组：安全组和分布组一个用户可以同时属于多个组在AD中，将一个组加入另一个组称为“嵌套”,使用全局组,使用域本地组,使用域本地组规则,使用通用组,在域中使用组的策略,使用全局和域本地组课堂讨论在单域中使用组,使用全局和域本地组,使用本地组和全局组的策略：A-G-G-DL-P原则,3.6设置和管理发布打印机,介绍打印机发布管理打印机发布在运行非Windows2003的计算机中发布打印机管理发布的打印机,3.6.1介绍打印机发布,下面是发布打印机的默认行为在域中的Windows2003计算机共享的的打印机会在AD中自动发布如果删除打印机服务器，那么发布的打印机对象会自动删除每台打印服务器只负责自己的打印机的发布在配置和修改打印机的属性时，Windows2003将自动更新在AD发布的打印机对象的属性,3.6.2管理打印机发布,在AD中查看发布的打印机对象控制打印机的发布管理离线（不可用）的打印机,管理打印机发布（续）,在AD中查看发布的打印机对象,控制打印机的发布不自动发布打开打印机的共享属性去掉“在目录中列出”通过组策略实现,管理打印机发布（续）,管理离线（不可用）打印机ActiveDirectory通过在DC上运行的“ORPHANPRUNER”的进程，删除离线的打印机周期性的（每8小时）“ORPHANPRUNER”进程验证打印服务器的可用性，以决定是否继续发布打印队列,管理打印机发布（续）,在运行非Windows2003的计算机中发布打印机,方法一在你要发布打印机的容器下，按右键，在弹出的菜单中选择“新建”“打印机”填入连接到打印服务器的UNC,方法二使用PUBPRN.VBS脚本，用命令行发布打印机,在运行非Windows2003的计算机中发布打印机（续）,CSCRIPTPUBPRN.VBSPNT1“LDAP:/OU=SALES,DC=ABC,DC=COM”,举例,3.7.4管理发布的打印机,实现打印机定位,打印机定位打印机定位要求定义位置名字配置打印机定位,打印机定位,打印机定位帮助用户快速连接到离自己物理位置最近的一台打印机,3,1,2,打印机定位（续）,实现过程AD搜索与用户计算机所处的IP子网相应的子网对象AD使用搜索出来的子网对象的值来定位具有相同值的打印机将满足条件的打印机列出,打印机定位要求,ActiveDirectory网络至少配置了一个站点中有两个以上的IP子网IP子网的分布应当与网络的物理位置一致在站点中的IP子网对象上有一个位置属性，它的值将在AD搜索中起作用客户计算机要能够访问到ActiveDirectory,定义位置名字,应当根据网络的物理位置来命名位置信息用一定的格式来设置你的IP子网的位置值在打印机位置信息中输入相同的位置信息格式NAME/NAME/NAME,配置打印机定位,使用组策略允许打印机位置追踪创建AD中的子网对象设置子网对象的位置属性设置打印机对象的位置属性,3.7设置和管理发布共享目录,发布共享目录的优点使得用户在连接共享目录时，无需再记住共享目录的物理位置（UNC），方便用户操作,发布一个共享文件夹添加描述和关键字，以方便用户查找需要时将发布的共享目录移动到其他ActiveDirectory容器中,设置和管理发布共享目录（续）,发布并连接到共享打印机发布并连接到共享目录,实验在ActiveDirectory中发布资源,最佳实践,回顾,学习完本部分后，将能够：描述