网络系统安全运行与维护教案8

郑州铁路职业技术学院教案首页序号：8授课班级信息安全22A1信息安全22A2授课日期3.183.29出勤情况全勤全勤课程名称网络系统安全运行与维护教学类型实验复习旧课引入新课复习旧课：Windows系统活动目录的相关知识在理解和掌握了活动目录的基础上，我们就要开始安装活动目录，并在不同的计算机上配置一个林域引入新课：安装与配置Windows系统活动目录教学目标要求学生通过该能力模块的学习,能够熟练掌握活动目录的安装和配置过程讲授要点教学设计讲授要点：安装和配置活动目录教学设计：复习上节内容回顾上节内容，活动目录的概念和作用任务引入学习活动目录，重在如何配置和使用它，本节课就要学习如何进行安装和配置实验操作通过理论讲授和实验演示法，讲解本节重要知识点实验总结总结实验过程和操作重点难点解决方法重点：安装和配置活动目录难点：安装和配置活动目录解决方法：案例讲解+上机实验课后作业总结安装和配置活动目录的过程课后总结安装和配置活动目录只能通过使用管理员账号在命令提示符进行操作，这也显示了该操作的不可逆性和重要性。郑州铁路职业技术学院教师教案第8-PAGE7页Windows系统活动目录安装与配置教学过程步骤主要内容教学组织复习事件查看器的查看掌握新建警报并配置警报类型通过系统监视器监控系统运行状态5分钟复习上节内容任务引入通过模块一的设置，计算机已经达到了一定的安全，但是只是针对单机的设置。针对于企业网络来说，还可以将计算机联合到一起，提高整体的安全性，使用ActiveDirectory实现对主机进行安全和统一管理是很好的方法。5分钟教师讲授知识讲授一、ActiveDirectoryActiveDirectory的安全信息ActiveDirectory®使用内置登录身份验证和用户授权为某单位提供了安全的目录环境，这是本地安全机构(LSA)的核心功能。登录身份验证和用户授权在默认情况下可用，可以对网络访问和网络资源提供即时保护。ActiveDirectory要求在确认用户的标识之后，才允许访问网络，此过程称为身份验证。用户只需要提供对域（或受信任域）的单一登录即可访问网络。当ActiveDirectory确认用户的身份之后，进行身份验证的域控制器上的LSA将生成一个访问令牌，确定用户可以对网络资源进行哪个级别的访问。ActiveDirectory支持许多安全的Internet标准协议和身份验证机制，用于在登录时证明身份，其中包括KerberosV5、X.509v3证书、智能卡、公钥基础结构(PKI)和使用安全套接字层(SSL)的轻型目录访问协议(LDAP)。域和域之间的身份验证是通过信任进行的。信任是建立在两个或多个域之间的关系，它使一个域中的用户由另一域中的域控制器验证。信任关系可以是可传递或非传递的，但必须始终存在，以便一个域中的用户访问另一个域中的共享资源。除了通过身份验证保护网络访问之外，ActiveDirectory还可通过简化用户的授权来保护共享资源。当ActiveDirectory验证用户登录之后，通过安全组指派给该用户的用户权利以及对共享资源指派的权限将决定该用户是否被授权访问该资源。此授权过程可保护共享资源不接受未授权的访问，只允许授权用户或组进行访问。二、活动目录1、名字空间：从本质上讲，活动目录就是一个名字空间，我们可以把名字空间理解为任何给定名字的解析边界，这个边界就是指这个名字所能提供或关联、映射的所有信息范围。通俗地说就是我们在服务器上通过查找一个对象可以查到的所有关联信息总和，如一个用户，如果我们在服务器已给这个用户定义了讲如：用户名、用户密码、工作单位、联系电话、家庭住址等，那上面所说的总和广义上理解就是“用户”这个名字的名字空间，因为我们只输入一个用户名即可找到上面我所列的一切信息。名字解析是把一个名字翻译成该名字所代表的对象或者信息的处理过程。举例来说，在一个电话目录形成一个名字空间中，我们可以从每一个电话户头的名字可以被解析到相应的电话号码，而不是象现在一样名字是名字，号码归号码，根本不能横向联系。Windows操作系统的文件系统也形成了一个名字空间，每一个文件名都可以被解析到文件本身（包含它应有的所有信息）。2、对象：对象是活动目录中的信息实体，也即我们通常所见的“属性”，但它是一组属性的集合，往往代表了有形的实体，比如用户账户、文件名等。对象通过属性描述它的基本特征，比如，一个用户账号的属性中可能包括用户姓名、电话号码、电子邮件地址和家庭住址等。3、容器：容器是活动目录名字空间的一部分，与目录对象一样，它也有属性，但与目录对象不同的是，它不代表有形的实体，而是代表存放对象的空间，因为它仅代表存放一个对象的空间，所以它比名字空间小。比如一个用户，它是一个对象，但这个对象的容器就仅限于从这个对象本身所能提供的信息空间，如它仅能提供用户名、用户密码。其它的如：工作单位、联系电话、家庭住址等就不属于这个对象的容器范围了。4、目录树：在任何一个名字空间中，目录树是指由容器和对象构成的层次结构。树的叶子、节点往往是对象，树的非叶子节点是容器。目录树表达了对象的连接方式，也显示了从一个对象到另一个对象的路径。在活动目录中，目录树是基本的结构，从每一个容器作为起点，层层深入，都可以构成一棵子树。一个简单的目录可以构成一棵树，一个计算机网络或者一个域也可以构成一棵树。这也很容易理解，我们最初学电脑时不就是在全面理解DOS下的路径概念基础之上开始的吗，其实这“目录树”也就是一种“路径关系”，如果你理解了DOS下的“路径”相信理解这“目录树”是没什么问题的！5、域：域是WIN2K网络系统的安全性边界。我们知道一个计算机网最基本的单元就是“域”，这一点不是WIN2K所独有的，但活动目录可以贯穿一个或多个域。在独立的计算机上，域即指计算机本身，一个域可以分布在多个物理位置上，同时一个物理位置又可以划分不同网段为不同的域，每个域都有自己的安全策略以及它与其他域的信任关系。当多个域通过信任关系连接起来之后，活动目录可以被多个信任域域共享6、组织单元：包含在域中特别有用的目录对象类型就是组织单元。组织单元是可将用户、组、计算机和其他单元放入活动目录的容器中，组织单元不能包括来自其他域的对象。组织单元是可以指派组策略设置或委派管理权限的最小作用单位。使用组织单元，您可在组织单元中代表逻辑层次结构的域中创建容器，这样您就可以根据您的组织模型管理帐户、资源的配置和使用，可使用组织单元创建可缩放到任意规模的管理模型。可授予用户对域中所有组织单元或对单个组织单元的管理权限，组织单元的管理员不需要具有域中任何其他组织单元的管理权，组织单元有点象我们在NT时代的工作组，我们从管理权限上来讲可以这么理解。7、域树：域树由多个域组成，这些域共享同一表结构和配置，形成一个连续的名字空间。树中的域通过信任关系连接起来，活动目录包含一个或多个域树。域树中的域层次越深级别越低，一个“.”代表一个层次，如域child.M就比M这个域级别低，因为它有两个层次关系，而M只有一个层次。而域Grandchild.Child.M比Child.M级别低，道理一样。域树中的域是通过双向可传递信任关系连接在一起。由于这些信任关系是双向的而且是可传递的，因此在域树或树林中新创建的域可以立即与域树或树林中每个其他的域建立信任关系。这些信任关系允许单一登录过程，在域树或树林中的所有域上对用户进行身份验证，但这不一定意味着经过身份验证的用户在域树的所有域中都拥有相同的权利和权限。因为域是安全界限，所以必须在每个域的基础上为用户指派相应的权利和权限。8、域林：域林是指由一个或多个没有形成连续名字空间的域树组成，它与上面所讲的域树最明显的区别就在于这些域树之间没有形成连续的名字空间，而域树则是由一些具有连续名字空间的域组成。但域林中的所有域树仍共享同一个表结构、配置和全局目录。域林中的所有域树通过Kerberos信任关系建立起来，所以每个域树都知道Kerberos信任关系，不同域树可以交叉引用其他域树中的对象。域林都有根域，域林的根域是域林中创建的第一个域，域林中所有域树的根域与域林的根域建立可传递的信任关系。9、站点：站点是指包括活动目录域服务器的一个网络位置，通常是一个或多个通过TCP/IP连接起来的子网。站点内部的子网通过可靠、快速的网络连接起来。站点的划分使得管理员可以很方便地配置活动目录的复杂结构，更好地利用物理网络特性，使网络通信处于最优状态。当用户登录到网络时，活动目录客户机在同一个站点内找到活动目录域服务器，由于同一个站点内的网络通信是可靠、快速和高效的，所以对于用户来说，他可以在最快的时间内登录到网络系统中。因为站点是以子网为边界的，所以活动目录在登录时很容易找到用户所在的站点，进而找到活动目录域服务器完成登录工作。10、域控制器：域控制器是使用活动目录安装向导配置的WIN2KServer的计算机。活动目录安装向导安装和配置为网络用户和计算机提供活动目录服务的组件供用户选择使用。域控制器存储着目录数据并管理用户域的交互关系，其中包括用户登录过程、身份验证和目录搜索，一个域可有一个或多个域控制器。为了获得高可用性和容错能力，使用单个局域网(LAN)的小单位可能只需要一个具有两个域控制器的域。具有多个网络位置的大公司在每个位置都需要一个或多个域控制器以提供高可用性和容错能力。三、Windows多域间的访问域树：公用连续域名空间的windows域。具有相同的域名后缀。域树的第一个域是域树的根域。单个域构成单个域的树。向域中添加的任何新域称为子域。由本身的名字和父域域名结合成DNS名。单个域树或者多个域树构成林。林中不同的域树不共用连续的域名空间。林中的所有域公用相同的配置架构和全局编录。在林中创建的第一个域为林的根域。存在Enterpriseadmins和schemaadmins组。Enterpriseadmins企业管理员组成员，可以对活动目录中的整个林做修改。例如添加子域。Schemaadmins架构管理员组成员，可对活动目录中整个林做架构修改。安装活动目录的条件：1、拥有本地管理员权限2、操作系统版本（WEB版本除外）3、本地磁盘至少有一个NTFS分区4、TCP/IP设定。（固定IP）5、相应的DNS支持6、足够的空间创建子域时，管理权限：Enterpriseadmins、domainadmins成员。在一个林中创建多域的原因：1、部门（或分公司）之间有不同的安全策略要求，可以针对部门或分公司创建域。2、有大量的活动目录对象，可以分解成多个域，使每个域活动目录对象较少。3、分散网络管理，而不是有一个域管理员管理，多个域多个域管理员。4、对复制进行更多的控制。域之间建立信任关系资源域（信任域）：资源所在的域。账户域（被信任的域）：信任账户所在的域。林中默认的信任关系：父子信任、树根信任，不可删除的。信任关系特点：1、自动建立。在创建子域或域树时自动建立。2、传递信任（可传递的）。A信任B，B信任C，则A信任C。3、双向信任。两个域两个方向上的两条信任路径。林中跨域访问：AGDLP原则跨域访问的两种方式:1、用户试用本域的计算机通过网络方式访问资源。2、用户使用资源域的计算机访问资源。林之间的信任：外部信任、林信任外部信任：在不同的域之间创建的不可传递的信任。林信任：windowsserver2003林特有的信任。Windowsserver2003林根域之间建立的信任，提供单向或双向可传递的信任关系。信任方向：双向：本地域信任指定域，同时指定域信任本地域。单向（外传）：本地域信任指定域。单向（内传）：指定域信任本地域。由于信任关系是在两个域之间建立的，如果域A（本地域）建立一个单向：外传信任，则需要域B（指定域）必须建立一个单向：内传信任。选择“这个域和指定的域”，就会在指定域自动建立一个单向：内传信任。林间外部信任的特点：1、手动建立2、信任关系不可传递3、信任方向有单向和双向两种。林信任：前提条件：林的功能级别设置为：windowsserver2003。升级林功能级别之前，需要将林中所有域的域功能级别设置为windows2000纯模式或windowsserver2003模式。域的功能级别：支持的域控Windows2000混合模式windowsNT4.0windows2000serverwindowsserver2003Windows2000本机（纯模式）windows2000serverwindowsserver2003家族Windowsserver2003模式windowsserver2003家族林的功能级别：支持的域控Windows2000windowsNT4.0windows2000window