AD03发布对象_委派控制_信任关系

1、1会计学AD03发布对象发布对象_委派控制委派控制_信任关系信任关系ResourceServer1Resource Active Directory打印机默认特性打印机默认特性: :n任何在任何在win2003win2003共享的打印机都自动发布到活动目录共享的打印机都自动发布到活动目录n打印服务器从网络中删除时，打印机自动从目录中删除打印服务器从网络中删除时，打印机自动从目录中删除n配置和修改打印机属性时，在目录中自动更新配置和修改打印机属性时，在目录中自动更新n每个打印服务器只负责发布自己打印机，没有集中式打每个打印服务器只负责发布自己打印机，没有集中式打印机发布服务印机发布服务Print

2、ern在活动目录中看打印机对象在活动目录中看打印机对象n控制打印机的出版控制打印机的出版1.1.在打印机的共享属性上清除在打印机的共享属性上清除“列入目录列入目录”；2.2.也可利用组策略（自动在也可利用组策略（自动在ADAD上公布新的打印机上公布新的打印机) )u用活动目录和计算机工具，以共享文件夹的形式发布用活动目录和计算机工具，以共享文件夹的形式发布u使用使用 System32 System32 文件夹中的文件夹中的 Pubprn.vbs Pubprn.vbs 脚本，使更早版本操作系统脚本，使更早版本操作系统的打印服务器来发布打印机的打印服务器来发布打印机1.1.Cscript c:wi

3、nntsystem32pubprn.vbs Cscript c:winntsystem32pubprn.vbs parametersparameters2.2.Pubprn.vbs servernameprinter Pubprn.vbs servernameprinter LDAP:/OU=print,DC=yinhe,DC=COMLDAP:/OU=print,DC=yinhe,DC=COMu必须是共享打印机，必须有目录服务管理权限才能发布打印机。必须是共享打印机，必须有目录服务管理权限才能发布打印机。 必须必须具有想共享或发布的打印机的具有想共享或发布的打印机的“管理打印机管理打印机”权限

4、。权限。 Active DirectoryPrinterPrinterInstall and Sharen移动相关打印机移动相关打印机到一个到一个OUOU中中 n执行其他管理任务执行其他管理任务Active Directory Users and ComputersConsole Window HelpActive ViewActive Directory Users and DENVER2154 1 objectsNameTypeTreeDenverDOM2154.msftAccountingBuiltinComputersDomain ControllersDENVER2154UsersM

5、oves the current selection to anotherPrinterDENVER2154 Apple Printer移动连接打开所有任务剪切删除重命名帮助属性在在PC上安装打印机上安装打印机改变打印队列属性改变打印队列属性在域中移动打印机在域中移动打印机打开并管理此打印队列打开并管理此打印队列SharedFolderServer1Active DirectorySharedFoldern发布共享的文件夹（缺省时未出版）发布共享的文件夹（缺省时未出版）n可以发布任何利用可以发布任何利用UNCUNC访问的共享文件夹访问的共享文件夹n为出版的共享文件夹设置搜索选项为出版的共享文件

6、夹设置搜索选项 : :在活动目录在活动目录 共享文件夹共享文件夹 属性属性发布发布关键字关键字 n可以移动发布的共享文件夹，而共享文件夹的物可以移动发布的共享文件夹，而共享文件夹的物 理位置并不改变理位置并不改变 发布到活动目录中的对象与它所代表的共享资源是完发布到活动目录中的对象与它所代表的共享资源是完 全分离的全分离的 删除文件夹共享时，发布仍在。删除文件夹共享时，发布仍在。 发布是两个对象，而共享是一个对象。发布的两个对发布是两个对象，而共享是一个对象。发布的两个对象是一个是共享对象，另一个是象是一个是共享对象，另一个是ADAD中的发布对象，这个对中的发布对象，这个对象是对共享对象的引用

7、希望访问发布对象时，必须拥有象是对共享对象的引用希望访问发布对象时，必须拥有ADAD中发布对象和共享对象两者的权限中发布对象和共享对象两者的权限Accounting PropertiesGeneral Managed By ObjectSecurityNameAddRemovePermission:AllowDenyFull ControlReadWriteAdministrators (NWTRADERS.Authenticated UsersDomain Admins (NWTRADERSEnterprise Admins (NWTRADERPre-Windows 2000 Compati

8、ble AAccounting PropertiesGeneral Web Sharing SharingSecurityNameAddRemovePermission:AllowDenyFull ControlModifyRead & ExecuteList Folder ContentsReadWriteAdministrators (NWTRADERSCREATOR OWNEREveryonePrinter1AccountingOU2OU1namericaAccounting Sales Lab :Lab :在活动目录中共享资源在活动目录中共享资源n 安全主体安全主体 能够对它分

9、配权限的对象能够对它分配权限的对象 如：如： 用户、安全组、和计算机用户、安全组、和计算机 每一个每一个安全主体安全主体都有一个唯一的安全标识符（都有一个唯一的安全标识符（SIDSID）n安全标识符安全标识符安全标识符安全标识符是用来标识一个安全主体，它在这个拥有者被是用来标识一个安全主体，它在这个拥有者被创建时产生，绝对不会重用创建时产生，绝对不会重用 n安全描述符安全描述符n包含相关的包含相关的安全信息的数据结构安全信息的数据结构 n如果你在一个对象上设置了如果你在一个对象上设置了权限权限，安全描述符中就会包含一个，安全描述符中就会包含一个DACLDACLn如果你还对这个对象设置了如果你还

10、对这个对象设置了审核审核，安全述符中还会包含一个，安全述符中还会包含一个SACLSACLnDiscretionary Access Control List (DACL)n是否允许对某对象访问是否允许对某对象访问nSystem Access Control List (SACL）n控制对对象访问的审核控制对对象访问的审核安全描述符安全描述符HeaderOwner SIDGroup SIDDACLSACLACEsACEsUsed in a DACL to deny accessUsed in a DACL to allow accessUsed in a DACL to deny or allo

11、w access to a property or property set or to limit inheritance to a specified type of child objectDACL Data StructureHeaderAccess MaskSID UserSID GroupACE Access DeniedACE Access AllowedACE Access Denied by ObjectACE Access Allowed by ObjectControlFlagsUsers 从父对象继承访从父对象继承访问许可问许可ParentObjectChildObje

12、ctDACLUser 1ReadGroup 1 Full ControlDACLUser 1ReadGroup 1 Full ControlDACLs Are Inherited by Child Objects1.1. 建立子对象时，不用人为的授权建立子对象时，不用人为的授权2.2. 确保应用于父节点的权限也同时作用于子节点确保应用于父节点的权限也同时作用于子节点3.3. 在改变权限时，只需改父节点上的权限在改变权限时，只需改父节点上的权限4.4. 在在ADAD的对象上，直接分配的的对象上，直接分配的ACEACE优先于继承的优先于继承的ACEACEn 权限继承可以减少权限继承可以减少 分派权

13、限的次数分派权限的次数n手工阻止权限的继承手工阻止权限的继承l 复制复制 先前继承了对对象的许可l 移除移除 先前移除继承来自对象的许可Full ControlOUOUOUFull ControlFull ControlFull ControlOUOUOUReadReadUsers PropertiesGeneralObjectsSecurityNameEveryoneAdd.RemoveAdministrators (domain_nameAcct.Allow inheritable permissions from parent to propagate to this object.Ad

14、vanced.OKCancelApplyFull ControlReadWriteCreate all child objectsDelete all child objectsAuthenticated UserAllowDeny特殊权限特殊权限标准权限标准权限n活动目录中每一个对象都有所有者活动目录中每一个对象都有所有者n建立对象的人员自动成为对象的所有者，即使没有建立对象的人员自动成为对象的所有者，即使没有 出现在出现在DSALDSAL中，默认具有对象的完全控制。中，默认具有对象的完全控制。n如果是管理组的成员创建的对象，那么它的所有者是管理组如果是管理组的成员创建的对象，那么它的所有者

15、是管理组, ,而不而不是个人。是个人。AdvancedAllow inheritable permissions from parent to propagate to this object.OKCancelApplyAccess Control Settings for System1PermissionsAuditingOwnerCurrent owner of this item:Domain Admins (CONTOSODomainAdmins)Change owner to:Administrator (CONTOSOAdministrator)Administrators (C

16、ONTOSOAdministrators)NameOwnersAccess Control Settings for System2PermissionsAuditingOwnerCurrent owner of this item:Domain Admins (ASIA1DomainAdmins)Change owner to:Administrator (ASIA1Administrator)Administrators (ASIA1Administrators)DomainOU1OU2OU3Admin1Admin2Admin3打开委派控制向导打开委派控制向导选择进行委派控制的用户和组选择

17、进行委派控制的用户和组指定委派的任务指定委派的任务选择选择Active Directory 对象类型对象类型指定权限给用户和组指定权限给用户和组跟综委派权限的分派跟综委派权限的分派使用委派控制向导使用委派控制向导尽可能的在尽可能的在OU上分派控制上分派控制按所在组织的原则控制委派按所在组织的原则控制委派A域B域信任信任工作站：用户工作站：用户服务器：资源服务器：资源信任域被信任域信任类型名称信任类型名称传递性传递性单向或双向单向或双向父父-子子(parent-child)是是双向双向树树-根目录根目录(tree-root)是是双向双向快捷方式快捷方式(shortcut)是是单向或双向单向或双向

18、林林(forest)是是单向或双向单向或双向外部外部(external)否否单向或双向单向或双向领域领域(realm)是或否是或否单向或双向单向或双向父父子信任子信任父父子信任子信任目录树根信任目录树根信任域间信任域间信任l自动创建（默认）l可传递l双向WWuchang.wuhan. Tree TwoTree One目录林目录林目录林根域目录林根域Tree OneTree T目录林目录林HW目录树根域目录树根域目录林根域目录林根域信任域信任域信任域信任域信任域信任域CS快捷信任快捷信任非传递信任非传递信任非传递信任非传递信任l手工建立l单向H目录林目录林非传递信任存在于非传递信任存在于lWindows 2003 域与Windows NT 域之间l一个目录林的Windows 2003 与与另一个目录林的Windows 2003的域之间DomainSW验证信任验证信任取消信任取消信任ResourceServer1Resource Active Directory打印机默认特性打印机默认特性: :n任何在任何在win2003win2003共享的打印机都自动发布到活动目录共享的打印机都自动发布到活动目录n打印服务器从网络中删除时，打印机自动从目录中删除打印服务