计算机网络管理技术 第1章 网络管理技术概述 第2章 SNMP网络管理架构 第3章 网络流量监控技术与方法 第4章 磁盘管理 第5章 用户管理 第6章 组策略管理 第7章 补丁管理 第8章 IP地址管理 第9章 VLAN管理 第10章 网络存储管理
计算机网络管理技术 第5章 用户管理 对于一款成熟稳定的网络操作系统或应用软件来说,规范、安全的用户管理功能在网络管理中发挥着十分重要的作用。 计算机网络中涉及用户管理的知识面很广,如权限、角色、资源、日志等,而且实现方式也各不相同,无法找到一个统一的模式来描述。 本章主要以Windows 2000/2003网络为基础,分别介绍用户、用户账户、用户组的功能特点,并从日常网络管理的角度出发介绍用户管理的实现方法。
5.1 用户管理与目录服务 5.2 域与活动目录 5.3 用户账户管理 5.4 组账户管理 5.5 实验操作1:用域管理用户 计算机网络管理技术 第5章 用户管理 5.1 用户管理与目录服务 5.2 域与活动目录 5.3 用户账户管理 5.4 组账户管理 5.5 实验操作1:用域管理用户
计算机网络管理技术 5.1 用户管理与目录服务 在计算机网络中,用户与目录之间存在着对应关系。用户是访问网络的主体,而目录是对用户进行管理的集合。 目录服务的目的——是使各种资源和服务对用户透明,用户不必知道资源的具体位置就可以方便地访问它们。
5.1.2 Novell目录服务 5.1.3 Microsoft目录服务 5.1.4 iPlanet目录服务 5.1.5 OpenLDAP 计算机网络管理技术 5.1 用户管理与目录服务 5.1.1 目录服务的概念 5.1.2 Novell目录服务 5.1.3 Microsoft目录服务 5.1.4 iPlanet目录服务 5.1.5 OpenLDAP 5.1.6 LDAP
计算机网络管理技术 5.1.1 目录服务的概念 目录(directory)是用来存储用户账户、组、打印机、共享文件夹等对象(object)的一个集合。 像我们使用的电话号码簿,它包括了用户的姓名、性别、电话、地址、出生时间等基本信息,所以从应用功能来看,电话号码簿也是一种目录。 我们在计算机系统中使用的文件目录,它记录了文件的名称、大小、时间、存储位置等信息,文件目录是一种最常见的数字资源目录。 我们可以将目录理解为一个特定的管理单元。将存储目录中相关组成元素的数据库称为目录数据库(directory database)。 目录服务(Directory Service,DS)是一个代表网络用户及资源的基于对象的数据库,主要用于存放用户的信息及网络配置数据,便于管理人员和应用程序对信息进行添加、修改和查询。 目录服务的功能就是让用户很容易地在目录内方便、快速地查找到所需要的数据。
第一部分是数据库,一种分布式的数据库,且拥有一个描述数据的规则; 第二部分则是访问和处理数据库时使用的访问协议。 计算机网络管理技术 概括地讲,目录服务就是按照树状信息组织模式,实现信息管理和服务接口的一种方法。目录服务系统一般由两部分组成: 第一部分是数据库,一种分布式的数据库,且拥有一个描述数据的规则; 第二部分则是访问和处理数据库时使用的访问协议。
计算机网络管理技术 5.1.1 目录服务的概念 5.1.2 Novell目录服务 5.1.3 Microsoft目录服务 5.1 用户管理与目录服务 5.1.1 目录服务的概念 5.1.2 Novell目录服务 5.1.3 Microsoft目录服务 5.1.4 iPlanet目录服务 5.1.5 OpenLDAP 5.1.6 LDAP
计算机网络管理技术 5.1.2 Novell目录服务 正是目录服务的重要性,所以各大网络操作系统都非常关注目录服务功能的开发和应用,例如著名的Novell Directory Services(Novell目录服务,NDS),它就是基于Novell NetWare网络操作系统的目录服务。 NDS是一种流行的软件产品,它能够从管理的角度对计算机资源的访问进行管理并能跟踪网络用户。网络管理员通过使用NDS可以建立和控制用户数据库,并能够通过带有图形用户界面(GUI)的目录来管理他们。管理员可以对远程计算机用户集中进行添加、更新和管理。应用程序也可以自动分配并集中维护。NDS可以在Windows NT、Sun Microsystem的Solaris、IBM的OS/390和Novell自己的NetWare下运行,所以它可以控制多平台的网络。
计算机网络管理技术 NDS是随着Netware 4.x一起发布的,属于比较早的面向企业网络的目录服务产品。它有效地将网络系统的各种资源组织到一起,也将各种应用软件集成到同一个资源管理平台上。NDS曾经为处于低谷的Novell公司带来了希望和生机。 到了Netware 5.x的时候,NDS从中分离出来,以便支持不同的系统平台,这就是eDirectory。NDS可以支持各种规模的网络环境。由于NDS是从NetWare操作系统中分离出来的,所以软件的可靠性较高,也支持多个目录服务器之间的复制。
计算机网络管理技术 5.1 用户管理与目录服务 5.1.1 目录服务的概念 5.1.2 Novell目录服务 5.1.3 Microsoft目录服务 5.1.4 iPlanet目录服务 5.1.5 OpenLDAP 5.1.6 LDAP
计算机网络管理技术 5.1.3 Microsoft目录服务 Microsoft目录服务,即大家熟知的活动目录(Active Directory,AD)。在Windows 2000 Server操作系统发布之际,呼声最高、影响最大的当属活动目录。活动目录成了Windows 2000 Server网络系统的核心,它存储了当前网络环境中所有资源的信息,包括基本的个人账户信息和各种系统服务。另外,活动目录本身与系统的安全服务紧密地集成在一起,每个用户的安全信息被保存在活动目录中,而用户对系统资源的访问也受活动目录的控制。 活动目录的适用范围非常广泛,小到一台计算机或一个LAN,大到一个跨不同地区的WAN,在活动目录内可以包含该范围中的所有对象,例如文件、打印机、应用程序、服务器、域或用户等。
计算机网络管理技术 活动目录是一个名称空间。所谓“名称空间”就是一块规划好的区域 在这个区域内可以利用某个名字找到与这个名字相关的信息(象电话簿)。 在TCP/IP网络环境中,用域名系统(Domain Name System,DNS)解析名称与IP地址之间的映射关系 Windows 2000/2003中活动目录的名称空间是以域为单位进行划分,并采用了DNS结构 活动目录是Windows 2000 Server和Windows Server 2003的核心组件,它超越了一般目录服务的概念 它利用目录服务设施,将整个网络系统有机地组织起来。 活动目录与Microsoft Exchange Server有特殊的关系
计算机网络管理技术 5.1 用户管理与目录服务 5.1.1 目录服务的概念 5.1.2 Novell目录服务 5.1.3 Microsoft目录服务 5.1.4 iPlanet目录服务 5.1.5 OpenLDAP 5.1.6 LDAP
通过跨越多个应用实现集中化用户、组和访问控制,iPlanet Directory Server可以极大地简化管理。 计算机网络管理技术 5.1.4 iPlanet目录服务 iPlanet 目录服务(iPlanet Directory Server,iDS)作为SUN公司的产品为大量用户开发外联网(Extranet)应用提供所需求的可伸缩性和信息控制。 通过跨越多个应用实现集中化用户、组和访问控制,iPlanet Directory Server可以极大地简化管理。 与SUN的iPlanet Application Server、iPlanet Web Server 关系密切
计算机网络管理技术 5.1 用户管理与目录服务 5.1.1 目录服务的概念 5.1.2 Novell目录服务 5.1.3 Microsoft目录服务 5.1.4 iPlanet目录服务 5.1.5 OpenLDAP 5.1.6 LDAP
计算机网络管理技术 5.1.5 OpenLDAP (Open Light Directory Access Protocol) OpenLDAP是一个通过Internet进行集体开发的项目(1998年8月发布1.0版本)。 它的目标是提供一个稳定的、商业级的、功能全面的LDAP套件,其中包括LDAP服务器和一些开发工具,具体内容请参考www.openldap.org网站。 由于OpenLDAP是源码开放的,所以它在Linux平台上受到广泛的欢迎,当然也可以移植到其他的系统平台上,甚至Windows平台上。 OpenLDAP的一种典型应用是与Sendmail(或者Qmail)一起提供邮件服务,用户可以利用LDAP协议查询邮件账户信息。
计算机网络管理技术 5.1 用户管理与目录服务 5.1.1 目录服务的概念 5.1.2 Novell目录服务 5.1.3 Microsoft目录服务 5.1.4 iPlanet目录服务 5.1.5 OpenLDAP 5.1.6 LDAP
计算机网络管理技术 5.1.6 LDAP LDAP其实是实现目录服务的一个协议。 应用于网络资源查找、用户访问控制与认证信息的查询、新型网络服务、网络安全、商务网的通用数据库服务和安全服务等方面 LDAP协议从1993年批准,产生了LDAP v1版本,随后于1997年发布了第三个版本LDAP v3。LDAP v3协议不是单个协议,而是一个协议族。 由于LDAP所具有的查询效率高、树状的信息管理模式、分布式的部署框架以及灵活而详细的访问控制,使得LDAP被广泛地应用于基础性、关键性信息的管理。
计算机网络管理技术 第5章 用户管理 5.1 用户管理与目录服务 5.2 域与活动目录 5.3 用户账户管理 5.4 组账户管理 5.5 实验操作1:用域管理用户
计算机网络管理技术 5.2 域与活动目录 Microsoft的活动目录是目前应用较为广泛且易于实现的一种目录服务类型。为使读者更进一步了解目录服务的功能和特点,本节以Windows 2000/2003操作系统的活动目录为例,就相关概念和应用进行介绍。
计算机网络管理技术 5.2 域与活动目录 5.2.1 域目录及信任关系 5.2.2 域控制器 5.2.3 全局编录
计算机网络管理技术 5.2.1 域目录及信任关系 Windows 2000/2003中的活动目录采用了DNS的结构,不但易于理解,而且便于管理。同时,活动目录以域为基本的数据存储和管理单位,域与域之间存在信任关系。 1. 域目录树 如图5-1所示的是一个树状结构的域目录树,其中最上层的域名wldhj.com是这个域目录树的根域,下面的lib.wldhj.com和net.wldhj.com是wldhj.com的两个子域。 wldhj.com Lib.wldhj.com net.wldhj.com www.lib.wldhj.com mail.lib.wldhj.com www.net.wldhj.com
Windows 2000/2003将存储在各个域中的对象总称为活动目录。 计算机网络管理技术 由于活动目录的域名采用TCP/IP网络中DNS的结构进行命名,所以从图5-1可以看出,该域目录树也符合Internet中DNS域名空间的命名策略。 域目录树内的所有域共享同一个活动目录,即在这个目录树下仅有一个活动目录。不过,这个活动目录内的数据是分散地存储在各个域内,且每一个域内只存储该域的数据。 Windows 2000/2003将存储在各个域中的对象总称为活动目录。
计算机网络管理技术 2. 域的信任关系 信任关系具有双向性。当两个域之间建立了信任关系后,才可以相互访问对方域内的资源。 3. 域目录林(域森林) 在大型网络中有时需要同时创建多个域来对网络进行管理。这个由多个域目录树组成的结构称为域目录林,或域森林。
计算机网络管理技术 如图所示,域目录林是由2个或多个域目录树组成的,每个域目录树都有自己唯一的名称空间。 第1个域目录树称为根域 wldhj.com etongtv.net net.wldhj.com Lib.wldhj.com Lib.etongtv.net Net.etongtv.net www.lib.wldhj.com mail.lib.wldhj.com www.net.wldhj.com mail.lib.etongtv.net www.net.etongtv.net 第1个域目录树称为根域 在域目录林中,不同的域目录树之间通过根域建立双向的信任关系。
计算机网络管理技术 5.2 域与活动目录 5.2.1 域目录及信任关系 5.2.2 域控制器 5.2.3 全局编录
一个域内可以只有一台域控制器,也可以存在多台域控制器。它们各自存储着一份相同的活动目录。 计算机网络管理技术 5.2.2 域控制器 活动目录的目录数据存储在域控制器内。 一个域内可以只有一台域控制器,也可以存在多台域控制器。它们各自存储着一份相同的活动目录。 当用户从位于域中的一台计算机登录时,域控制器根据其活动目录内的账户数据来审核用户所输入的账户与密码是否正确。 在一个域中提供多台域控制器主要出于两个方面的考虑: 一是容错。 二是提高访问效率。
计算机网络管理技术 5.2 域与活动目录 5.2.1 域目录及信任关系 5.2.2 域控制器 5.2.3 全局编录
计算机网络管理技术 5.2.3 全局编录 虽然域目录树内的所有域共享同一个活动目录,但是活动目录内的数据却是分散地存储在各自的域内,且每一个域内仅存储该域本身的数据。 那么,如何让每一个用户、应用程序能够快速地找到位于其他域内的资源呢?这就需要全局编录的支持。 全局编录由域控制器扮演,其中包含着在活动目录内的每个对象。不过,这些对象的属性信息是不完整的,主要是常用于搜索的属性,例如用户的姓、名、登录的账户名称等。 全局编录使得用户不知道对象位于哪个域内的情况下,仍然可以快速地找到所需要的对象。 一个域目录林内的所有域目录共享相同的全局编录,而域目录林内的第一台域控制器就是默认的全局编录服务器。
计算机网络管理技术 第5章 用户管理 5.1 用户管理与目录服务 5.2 域与活动目录 5.3 用户账户管理 5.4 组账户管理 5.5 实验操作1:用域管理用户
用户账户是计算机网络中进行资源访问和管理的主体。 计算机网络管理技术 5. 3 用户账户管理 用户账户是计算机网络中进行资源访问和管理的主体。 在访问网络资源时,不管是认证访问还是匿名访问,都要用到用户帐号。 匿名访问时,系统会自动分配一个默认的账户。
计算机网络管理技术 5. 3 用户账户管理 5.3.1 用户账户的分类 5.3.2 系统内置的用户账户
计算机网络管理技术 5.3.1 用户账户的分类 不同的系统对用户账户的分类不尽相同,但根据访问资源的不同,可以分为本地用户账户和网络用户账户两类 (其中在Windows 2000/2003网络环境中,将网络用户账户称为域用户账户)。 1. 本地用户账户 本地用户账户是创建在非域控制器的“本地安全账户数据库”内的用户账户信息。用户可以利用本地用户账户登录该账户所在的计算机,并只能访问本地计算机上的资源。
访问其他计算机上的资源(远程登录并输入远程计算机内的本地用户账户的名称和密码)。 计算机网络管理技术 访问其他计算机上的资源(远程登录并输入远程计算机内的本地用户账户的名称和密码)。
域用户账户存储在域控制器的活动目录AD数据库内。用户可以利用域用户账户登录域,并访问网络上的资源,如域中其他计算机上内的文件、打印机等。 计算机网络管理技术 2. 域用户账户 域用户账户存储在域控制器的活动目录AD数据库内。用户可以利用域用户账户登录域,并访问网络上的资源,如域中其他计算机上内的文件、打印机等。 用户的账户名称和密码等信息被送到域控制器的活动目录数据库中进行验证。 账户会被自动复制到同一个域内的其他域控制器内。
仅在未加入域的计算机上创建本地用户账户。 计算机网络管理技术 3. 用户账户的管理 仅在未加入域的计算机上创建本地用户账户。 在规划一个具有域的网络时,尽量不要让域用户利用本地用户账户登录。
计算机网络管理技术 5. 3 用户账户管理 5.3.1 用户账户的分类 5.3.2 系统内置的用户账户
· Administrator(系统管理员账户) 计算机网络管理技术 5.3.2 系统内置的用户账户 · Administrator(系统管理员账户) 拥有对本机和网络管理的最高权限。 需要设置较为复杂的密码,或更名。 无法被删除。 · Guest(客户): 供用户临时使用的账户,主要供偶尔登录系统的用户使用。 Guest账户仅具有很少部分的权限。 管理员可以更改Guest账户的名称,但无法被删除。 Guest账户系统默认是停用的。
计算机网络管理技术 第5章 用户管理 5.1 用户管理与目录服务 5.2 域与活动目录 5.3 用户账户管理 5.4 组账户管理 5.5 实验操作1:用域管理用户
使用组的目的是便于对用户账户进行分类、集中管理,尤其在大型网络的管理中组扮演着十分重要的角色。 计算机网络管理技术 5.4 组账户管理 使用组的目的是便于对用户账户进行分类、集中管理,尤其在大型网络的管理中组扮演着十分重要的角色。
计算机网络管理技术 5. 4 组账户管理 5.4.1 组的分类 5.4.2 组的使用范围 5.4.3 系统内置的组
计算机网络管理技术 5.4.1 组的分类 根据是否使用域这一管理模式的不同,可以将组分为本地组和域组。在域组中,根据管理权限的不同,又可以分为安全组和分布式组。 1. 本地组和域组 在非域控制器的计算机上创建的组称为本地组,而在域控制器上创建的组称为域组。 本地组的管理比较简单,而域组的管理较为复杂。
根据管理权限的不同,可以将域组分为安全组和分布式组两种类型。 计算机网络管理技术 2. 安全组与分布式组 根据管理权限的不同,可以将域组分为安全组和分布式组两种类型。 安全组可以被用来设置权限。 分布式组用在与安全无关的任务上。 在日常网络管理中,我们主要用到的是安全组。
计算机网络管理技术 5. 4 组账户管理 5.4.1 组的分类 5.4.2 组的使用范围 5.4.3 系统内置的组
计算机网络管理技术 5.4.2 组的使用范围 根据使用范围的不同,可以将域内的组分为通用组、全局组和本地域组3类。 1. 通用组 通用组可以指派所有域中的访问权限,以便访问每一个域内的资源。 通用组中的成员可以是域目录林中任何一个域内的用户、通用组或全局组。但无法包含任何一个域内的本地域组。 通用组中的成员可以访问任何一个域内的资源。
用来组织用户,将具有相同权限的多个用户加入到同一个全局组中进行集中管理。 计算机网络管理技术 2. 全局组 用来组织用户,将具有相同权限的多个用户加入到同一个全局组中进行集中管理。 全局组中的成员只能是与该组位于相同域中的用户或全局组,即只能将同一个域中的用户或其他全局组加入到全局组内。 位于全局组中的用户可以访问域目录林中任何一个域中的资源。
3. 本地域组 主要被用来指派在其所属域内的访问权限,以便可以访问该域内的资源。 计算机网络管理技术 3. 本地域组 主要被用来指派在其所属域内的访问权限,以便可以访问该域内的资源。 组内的成员能够包含域目录林中任何一个域内的用户、通用组、全局组,还能够包含同一个域内的本地域组,但不能包含其他域内的本地域组。 本地域组内的用户只能访问该用户所在域内的资源,而无法访问其他不同域内的资源。 在以上介绍的3种组中,在日常网络管理中应用最为广泛的是全局组。
计算机网络管理技术 三类组的区别: 全局组: 来自本域用于全林 通用组: 来自全林用于全林 本地域组: 来自全林用于本域
计算机网络管理技术 5. 4 组账户管理 5.4.1 组的分类 5.4.2 组的使用范围 5.4.3 系统内置的组
计算机网络管理技术 5.4.3 系统内置的组 在安装Windows XXX Server后,会自动创建一些组,这些组称为“内置的本地组”。 升级成为域控制器时,也会在活动目录数据库内创建一些组,这些组称为“内置的域组”。分为: 内置的本地域组 内置的全局组 内置的特殊组 1. 内置的本地组 在非域控制器的计算机的“本地安全账户数据库”内。 对本地计算机进行管理。
计算机网络管理技术 下面是对常用的几个本地组的功能介绍: · Administrators: 具有对本地计算机进行管理的最高权限。 当某一台计算机加入域后,则域的Domain Admins会自动加入到该计算机的Administrators组内,即域中的系统管理员在这台计算机上也具有系统管理员的权限。 · Backup Operators: 组内的用户可以进行文件或文件夹的“备份”与“还原”操作。 · Guests: 临时访问本地计算机内资源的用户。 · Network Configuration Operators: 组中的用户可以在客户端进行一般的网络设置操作,如修改IP地址等。 但是不能添加或删除程序,也不可能执行与网络服务器设置相关的任务,如DNS、DHCP、WINS服务器的设置等。
计算机网络管理技术 · Power Users: · Remote Desktop Users: · Users: 该组的权限位于Administrators组与Users组之间。 · Remote Desktop Users: 该组中的成员可以进行远程计算机登录,如使用Telnet或终端服务登录等。 · Users: Users组中的成员只拥有一些基本的权限,如运行应用程序。 不能修改操作系统的设置,不能更改其他用户的数据,不能关闭服务器级的计算机。 所有创建的本地用户账户都自动添加到Users组中。 如果将这台计算机加入域,则域的Domain Users会自动加入到该计算机的Users组中。
计算机网络管理技术 2. 内置的本地域组 在Windows 2000/2003活动目录中,系统内置了一些本地域组,并被分配了相应的权限,以便让这些组中的成员具有管理整个域与活动目录的能力。这些内置的本地域组位于活动目录的Builtin容器内(如图所示)。
计算机网络管理技术 下面是对常用的几个本地域组的功能介绍: · Account Operators:成员可以在除Builtin和Domain Controller组织单位之外的其他任何一个容器与组织单位内新建、删除、更改用户账户、组账户、计算机账户。 · Administrators:属于该组中的成员具有对系统的最高管理权限,可以执行整个活动目录的管理任务。 · Backup Operators:该组中的成员可以备份与还原域控制器内的文件和文件夹,还可以关闭域控制器。 · Guests:该组中的账户提供没有用户账户但需要临时访问域控制器内资源的用户使用。该组默认的成员为用户账户Guest与全局组Domain Guests。
计算机网络管理技术 · Network Configuration Operators:域控制器上进行一般的网络设置操作,如修改IP地址等。但不可以执行与网络服务器设置相关的任务。 · Printer Operators:该组中的成员可以创建、停止或管理在域控制器上的共享打印机,也可以将域控制器关闭。 · Remote Desktop Users:该组中的成员可以通过终端服务功能进行远程计算机登录。
计算机网络管理技术 · Server Operators:该组中的成员可以创建、管理、删除域控制器上的共享文件夹和打印机,可以进行备份与还原操作,并能够对域控制器上的硬盘进行格式化,或更改域控制器的系统时间,还可以关闭域控制器。 · Users:Users本地域组中的成员只拥有一些基本的权限,如运行应用程序。该组中的默认成员为Domain Users全局组。 前面提到了“容器”和“组织单位”的概念。其中容器是包含一组对象(如用户、计算机等)的集合,并不代表一个实体。而组织单位是一个特殊的容器,可以在其中创建组账户、用户账户等。
计算机网络管理技术 3. 内置的全局组 全局组本身并没有任何权限,需要将其加入到本地域组或直接分配权限后用来管理用户: · Domain Admins:由于域内的成员计算机会自动将该组加入到Administrators组中,所以Domain Admins这个全局组中的成员都具有系统管理员的权限。该组默认的成员为域用户Administrator。 · Domain Computers:所有加入该域的计算机都被自动加入到该组内。
· Domain Users:所有添加的域用户账户都自动加入到该组内。 计算机网络管理技术 · Domain Controllers:域内的所有域控制器都被自动加入到该组内。 · Domain Users:所有添加的域用户账户都自动加入到该组内。 · Enterprise Admins:该组只存在于整个域目录林的根域中,其成员具有管理整个域目录林内的所有域的权限。 · Schema Admins:该组只存在于整个域目录林的根域中,其成员具备管理架构的权限。
计算机网络管理技术 4. 内置的特殊组 特殊组存在于每一台Windows Server 2003计算机内,用户无法更改这些组的成员。用户在“Active Directory用户和计算机”或“计算机管理”内看不到这些组。这些组只有在设置权限时才能够看到。下面是对常用的几个内置的特殊组的功能介绍: · Everyone:任何一个用户都属于这个组。需要注意的是,如果Guest账户被启用时,当给Everyone组指派权限时必须小心。 · Authenticated Users:任何一个利用有效的用户账户连接的用户都属于这个组。 · Interactive:任何在本地登录的用户都属于这个组。 ……
计算机网络管理技术 第5章 用户管理 5.1 用户管理与目录服务 5.2 域与活动目录 5.3 用户账户管理 5.4 组账户管理 5.5 实验操作1:用域管理用户
计算机网络管理技术 5.5 实验操作1:用域管理用户 本实验以Windows Server 2003操作系统为基础,介绍通过基于活动目录的域实现对用户进行集中管理的方法。下面操作中,要创建的活动目录域名为wldhj.com。
计算机网络管理技术 5.5 实验操作1:用域管理用户 5.5.1 配置域控制器 5.5.2 检查已配置的域控制器 5.5.3 添加域用户账户 5.5.2 检查已配置的域控制器 5.5.3 添加域用户账户 5.5.4 用域来管理计算机 5.5.5 用组来管理用户账户 5.5.6 添加其他的域控制器
计算机网络管理技术 5.5.1 配置域控制器 当在网络中创建第一个域控制器时,同时也创建了第一个域、第一个林、第一个站点。下面操作中的服务器名为Server1、对应的IP地址为172.16.1.10。由于Windows Server 2003的域名是采用NDS的架构与命名方式,所以在安装之前必须先确定一个DNS格式的域名,本例为wldhj.com。下面介绍第一台域控制器的创建方法。具体步骤如下:
计算机网络管理技术 (1)选择“开始→控制面板→网络连接→本地连接”,设置服务器的IP地址。本例中要设置的IP地址为172.16.1.10,子网掩码为255.255.255.0,网关为172.16.1.1(网关地址在交换机设置时确定),其中应选取“使用下面的DNS服务器地址”,并且将“首选DNS服务器”地址设置为本机的IP地址,如图5-5所示。当然“首选DNS服务器”也可以不设,这时系统会自动将该服务器的IP地址作为其DNS地址。
计算机网络管理技术 (2)选择“开始→运行”,在出现的“打开”文本框中输入DCPromo命令,运行活动目录(Active Directory)安装向导,如图5-6所示。
计算机网络管理技术 (3)单击“下一步”按钮,出现如图5-7所示的对话框。在该对话框中对Windows Server 2003在安全方面的改进进行了必要的说明。
计算机网络管理技术 (4)单击“下一步”按钮,出现如图5-8所示的对话框。由于这是网络中的第一台域控制器,所以必须选择“新域的域控制器”。
计算机网络管理技术 (5)单击“下一步”按钮,出现如图5-9所示的对话框。由于这是网络中的第一台域控制器,所以必须选择“在新林中的域”一项。
计算机网络管理技术 (6)单击“下一步”按钮,出现如图5-10所示的对话框。在“新域的DNS全名”下面输入要创建的域名。
计算机网络管理技术 (7)单击“下一步”按钮,出现如图5-11所示的对话框。在“域NetBIOS名”后面使用系统默认的名称,它让Windows 98/NT等不支持DNS域名的旧操作系统可以利用该NetBIOS名称访问域内的资源。
计算机网络管理技术 (8)单击“下一步”按钮,出现如图5-12所示的对话框。其中:“数据库文件夹”用来存储活动目录数据库;“日志文件夹”用来存储活动目录的变化日志,该日志可以用来修复活动目录。 需要注意的是,如果用户的服务器内有多个硬盘,建议将存储活动目录数据库的文件夹与存储活动目录日志的文件夹分别设置在不同的硬盘内。这样一方面让两块硬盘分别担负不同的操作,提高效率,另一方面分开存储可以避免当一个硬盘出现故障后两份数据同时丢失的后果,提高修复活动目录的能力。
计算机网络管理技术 (9)单击“下一步”按钮,出现如图5-13所示的对话框。SYSVOL文件夹用来存储与组策略相关的数据,它必须位于NTFS的磁盘分区中。
计算机网络管理技术 (10)单击“下一步”按钮,出现如图5-14所示的对话框。由于这是网络中的第一台域控制器,所以系统自动选取了“在这台计算机上安装并配置DNS服务器,并将这台DNS服务器设为这台计算机的首选DNS服务器”一项。
计算机网络管理技术 (11)单击“下一步”按钮,出现如图5-15所示的对话框。其中,当选择了“与Windows 2000之前的服务器操作系统兼容的权限”后,可以让在Windows 98/NT上运行的一些早期的应用程序,能够以匿名(Anonymous)方式访问Windows Server 2003活动目录内的用户与组等对象的信息;当选择了“只与Windows 2000或Windows Server 2003操作系统兼容的权限”后,将不允许以匿名方式访问活动目录内的用户与组等对象信息,而必须经过身份确认后才能够访问。只有所有服务器级的程序全部属于Windows Server 20003和Windows 2000 Server活动目录域内时,才可以选择该模式。
计算机网络管理技术 (12)单击“下一步”按钮,出现如图5-16所示的对话框。请设置“目录服务还原模式”的系统管理员密码。 需要说明的是,“目录服务还原模式”是一个安全模式,进入该模式可以修复活动目录数据库。用户可以在系统启动时按下F8键进入该模式,这时就需要输入在这里设置的密码。另外,如果用户将来要将该域控制器还原为一般服务器时也需要该密码。同时,还需要说明的是“目录服务还原模式”的系统管理员与域中的系统管理员是完全不同的两个帐号,其密码设置也是分开进行和存储的。
计算机网络管理技术 (13)单击“下一步”按钮,出现如图5-17所示的对话框。用户可最后确认前面设置的信息。
计算机网络管理技术 (14)当确认前面的设置无误后,单击“下一步”按钮,系统开始配置活动目录,出现如图5-18所示界面。
计算机网络管理技术 (15)当活动目录配置成功后,将出现如图5-19所示的提示信息。 (16)单击“确定”按钮,并重新启动计算机后,活动目录开始工作。
计算机网络管理技术 5.5 实验操作1:用域管理用户 5.5.1 配置域控制器 5.5.2 检查已配置的域控制器 5.5.3 添加域用户账户 5.5.2 检查已配置的域控制器 5.5.3 添加域用户账户 5.5.4 用域来管理计算机 5.5.5 用组来管理用户账户 5.5.6 添加其他的域控制器
计算机网络管理技术 5.5.2 检查已配置的域控制器 在安装和配置完Windows Server 2003域服务器后,需要对域服务器的各项设置及运行情况进行检查。 在Windows Server 2003上安装了活动目录后,域控制器会将自己登记到DNS服务器内,这样其他的计算机就可以通过DNS服务器来查找这个域控制器。所以,当Windows Server 2003升级为域控制器后,首先要检查DNS服务器内是否已经有这些域控制器的数据。
计算机网络管理技术 选择“开始→管理工具→DNS”,打开如图5-20所示的DNS窗口。其中,在“正向查找区域”下方应该有一个已经创建的名为“wldhj.com”的区域,它可以让Windows Server 2003域wldhj.com中的成员将其数据登记到本区域中。右边列表框显示了域控制器server1.wldhj.com已经将其主机名称(Server1)与IP地址(172.16.1.10)登记到了DNS服务器中。
计算机网络管理技术 另外,图5-20右边的列表框中还有_tcp、_udp等记录,这说明域控制器已经将其与活动目录有关的数据登记到了DNS服务器内。例如,单击“_tcp”记录,将打开如图5-21所示的对话框。其中,数据类型为SRV的_ldap记录表示server1.wldhj.com已经将其扮演域控制器角色的信息登记到了DNS服务器中。从_gc记录可以看出,“全局编录”的角色由server1.wldhj.com来扮演。
计算机网络管理技术 5.5 实验操作1:用域管理用户 5.5.1 配置域控制器 5.5.2 检查已配置的域控制器 5.5.3 添加域用户账户 5.5.2 检查已配置的域控制器 5.5.3 添加域用户账户 5.5.4 用域来管理计算机 5.5.5 用组来管理用户账户 5.5.6 添加其他的域控制器
计算机网络管理技术 5.5.3 添加域用户账户 这一节的操作主要是为了下一节“5.5.4 用域来管理计算机”的操作作好准备。因为当用户的计算机接入域进行管理时,域控制器需要对其身份进行验证。为此,在使用域控制器的网络中需要为每一个用户创建用户账户。具体操作如下: (1) 选择“开始→程序→管理工具→Active Directory用户和计算机”,打开如图5-22所示的管理窗口。
计算机网络管理技术 (2) 选取活动目录域名“wldhj.com”,单击鼠标右键,在出现的快捷菜单中选择“新建→组织单位”,在打开的如图5-23所示的对话框中输入要创建的组织单位名称(本例为“网管中心”)。 需要引起网络管理员注意的是,一些不具备管理经验的网络管理员会直接在系统默认的“Users”组中创建用户账户和组账户,这种做法是很不可取的,这会带来管理上的极大不便,尤其是网络规模较大时更是如此。为此,建议管理人员根据单位部门的划分情况,分别创建不同的“组织单位”,并将用户账户分别纳入对应的“组织单位”进行管理。
计算机网络管理技术 (3) 选取已创建的“组织单位”(本例为已创建的“网管中心”),单击鼠标右键,在出现的快捷菜单中选择“新建→用户”,打开如图5-24所示的对话框。可以在“姓名”后输入用户的真实姓名,以便于管理。而在“用户登录名”下面必须为该用户分配一个在整个域目录林中唯一的名称(建议使用姓名的汉语拼音或缩写),该用户在客户端登录域时必须用到该账户名称。 例如,用户“王群”在Windows 2000/XP/2003/Vista等高版本的计算机上登录域时,可以使用账户名称wq@wldhj.com。而在Windows 98/NT等早期版本的计算机上登录域时,所使用的账户只能为wq。
计算机网络管理技术 (4) 单击“下一步”按钮,打开如图5-25所示的设置账户密码对话框。其中,在“密码”与“确认密码”处分别输入并确认密码。在选取了“用户下次登录时须更改密码”选项后,用户在下次登录域时必须修改自己的密码。这个操作可以确保只有该用户才知道自己的密码;“用户不能更改密码”可以防止用户来修改密码,主要用于当多个用户共同使用一个账户名称时;选取“密码永不过期”选项后,用户将永远无法修改账户的密码;“账户禁用”主要用于暂时停用该用户账户,例如某个员工暂时离开单位一段时间时,在这段时间内便可以将他的账户停用,等回来后再恢复。
计算机网络管理技术 (5) 单击“下一步”按钮,在出现的对话框中对前面输入的信息进行确认。确认无误后单击“完成”按钮,该用户账户创建完成,如图5-26所示。 使用相同的方法,创建其他的组织单位,并在组织单位中创建相应的用户账户。
计算机网络管理技术 5.5 实验操作1:用域管理用户 5.5.1 配置域控制器 5.5.2 检查已配置的域控制器 5.5.3 添加域用户账户 5.5.2 检查已配置的域控制器 5.5.3 添加域用户账户 5.5.4 用域来管理计算机 5.5.5 用组来管理用户账户 5.5.6 添加其他的域控制器
计算机网络管理技术 5.5.4 用域来管理计算机 在安装了域控制器后,就可以将计算机加入到域中来集中进行管理。下面以运行Windows XP Professional操作系统的计算机为例,介绍加入域控制器的方法: (1) 在确保要加入域的计算机与域控制器能够正常通信的前提下(可以使用ping命令进行测试)下,在“DNS服务器”中加入域控制器的IP地址172.16.1.10。
计算机网络管理技术 (2) 选取桌面上的“我的电脑”图标,单击鼠标右键,在出现的快捷菜单中选取“属性”,在打开的对话框中选择“计算机名”标签项,打开如图5-27所示的对话框。
计算机网络管理技术 (3) 单击“更改”按钮,在打开的如图5-28所示的对话框的“隶属于”下方选取“域”,并输入已创建的域名(本例为wldhj.com)。
计算机网络管理技术 (4) 单击“确定”按钮,打开如图5-29所示的对话框。在将计算机加入到域中时,必须输入域控制器的系统管理员账户,否则无法加入。
计算机网络管理技术 (5) 单击“确定”按钮,如果输入的域控制器系统管理员的账户及密码正确,则出现如图5-30所示提示信息。 (6) 单击“确定”按钮,出现如图5-31所示的提示信息。当计算机加入域后必须重新启动才能生效。
计算机网络管理技术 (7) 单击“确定”按钮,重新启动计算机,出现如图5-32所示的登录对话框。对于Windows XP Professional等较高版本的计算机来说,可以在“用户名”后输入在域控制器上创建的用户账户名称,在“密码”后面该用户账户对应的密码,在“登录到”下拉列表中一定要选择要登录域名的NetBIOS名称(本例为wldhj),而不能选择从“本机”登录。也可以在“用户名”后直接输入完整的用户信息(本例为wq@wldhj.com),并输入正确的“密码”后进行登录。
计算机网络管理技术 (8) 单击“确定”按钮,该计算机已成功加入域中,并接受域控制器的管理。
计算机网络管理技术 这时,如果在域控制器的“Active Directory用户和计算机”窗口中打开“Computers”组织单元,则会看到已加入到域控制器的计算机名称,如图5-34所示。
计算机网络管理技术 当计算机加入到域控制器后,管理员可以通过域对分布在不同位置的计算机进行集中管理,如通过组策略为计算机分布软件(具体内容见本书第6章)、对计算机进行远程控制等。例如,在如图5-34所示的窗口中,选取已加入域的计算机名(本例为“JSPI-XP”),单击鼠标右键,在出现的快捷菜单中选择“管理”,将打开如图5-35所示的管理窗口。在该窗口中可以对远程计算机进行大量的操作,如重新设置远程计算机本地用户账户的密码、新建本地用户账户、启用或关闭网络服务功能等。这些内容读者可以在实验过程中自己进行操作,在此不再详述。
计算机网络管理技术 5.5 实验操作1:用域管理用户 5.5.1 配置域控制器 5.5.2 检查已配置的域控制器 5.5.3 添加域用户账户 5.5.2 检查已配置的域控制器 5.5.3 添加域用户账户 5.5.4 用域来管理计算机 5.5.5 用组来管理用户账户 5.5.6 添加其他的域控制器
计算机网络管理技术 5.5.5 用组来管理用户账户 使用组的目的是对用户账户进行分类管理。具体来说,通过对组的权限设置使不同的组拥有不同的网络资源访问和管理权限,然后将用户账户分别归入不同的组,从而方便了对用户权限的管理。 例如,根据需要我们要创建“管理员组”和“普通用户组”两个组,其中属于“管理员组”中的用户具有域控制器系统管理员的权限,而属于“普通用户组”中的用户只具有访问网络资源的权限。 1. 创建组账户 (1) 在域控制器的“Active Directory用户和计算机”窗口中新建一个专门用于存放组账户的组织单元,本例为“组管理单元”。希望网络管理员要养成这种使用“组织单元”功能的习惯。
计算机网络管理技术 (2) 选取已创建的组织单元名称(本例为“组管理单元”),单击鼠标右键,在出现的快捷菜单中选择“新建→组”,在打开的如图5-36所示的对话框中输入要创建的组账户名称,本例首先输入第一个组账户“管理员组”。在“组作用域”下方选择“全局”,以便适用于整个域目录林。在“组类型”下方选择“安全组”,该组主要用于安全管理。
计算机网络管理技术 (3) 单击“确定”按钮,完成“管理员组”的创建。 (4) 使用相同的方法创建“普通用户组”。最后如图5-37所示。
计算机网络管理技术 2. 给组指派权限 可以将域控制器内置组的权限指派给新建的组,例如可以将“Administrators”组指派给“管理员组”,这样位于“管理员组”中的用户将具有域控制器系统管理员的权限。具体操作如下: (1) 在如图5-37所示的窗口中选取“管理员组”,单击鼠标右键,在出现的快捷菜单中选择“属性”,在打开的对话框中选择“隶属于”标签项,打开如图5-38所示的对话框。
计算机网络管理技术 (2) 单击“添加”按钮,在出现的对话框中单击“高级”按钮,在再次打开的对话框中单击“立即查找”,出现如图5-39所示的对话框。在该对话框中选取要指派的内置组账户“Administrators”。
计算机网络管理技术 (3) 单击“确定”按钮,返回如图5-40所示的对话框,在“输入对象名称来选择”下方列表中显示了已指派的组名“Administrators”。
计算机网络管理技术 (4) 单击“确定”按钮,返回如图5-38所示的对话框,“Administrators”组账户将显示在“隶属于”下方的列表框中。 (5) 单击“确定”按钮,完成设置。“管理员组”将具有与“Administrators”组相同的权限。 使用相同的方法,为“普通用户组”指派“Users”组的权限。
计算机网络管理技术 3. 将用户账户添加到组中 通过以上操作,在为不同的组指派了不同的权限后,就可以将用户添加到不同的组中进行管理。例如,我们可以将不同部门的管理员账户添加到“管理员组”中,这样位于该组中的所有用户就具有系统管理员的权限。而将其他用户账户添加到“普通用户组”内,使其只具有访问网络资源的权限。具体操作如下: (1) 在域控制器上打开“Active Directory用户和计算机”窗口,并选取“管理员组”,然后单击鼠标右键,在出现的快捷菜单中选择“属性”,在打开的对话框中选择“成员”标签项。 (2)在打开的对话框中单击“添加”按钮,打开“选择用户、联系人或计算机”对话框。
计算机网络管理技术 (3) 单击“高级”按钮,并在新打开的对话框中单击“立即查找”按钮,打开如图5-41所示的对话框。在该对话框中选取要添加的用户账户名称。可按下“Ctrl”键,然后用鼠标选取要添加的多个用户账户名称。
计算机网络管理技术 (4) 单击“确定”按钮,返回类似于如图5-40所示的对话框。 (5) 单击“确定”按钮,返回如图5-42所示的对话框。选取的用户账户名称将显示在“成员”下方的列表框中。 (6) 单击“确定”按钮,完成设置。这样,位于“管理员组”中的用户将具有系统管理员的权限。 使用相同的方法,为“普通用户组”添加其他的用户账户名称。
计算机网络管理技术 5.5 实验操作1:用域管理用户 5.5.1 配置域控制器 5.5.2 检查已配置的域控制器 5.5.3 添加域用户账户 5.5.2 检查已配置的域控制器 5.5.3 添加域用户账户 5.5.4 用域来管理计算机 5.5.5 用组来管理用户账户 5.5.6 添加其他的域控制器
计算机网络管理技术 5.5.6 添加其他的域控制器 对于使用域方式管理的网络来说,域控制器是整个网络管理的核心,域控制器的安全决定了整个网络系统的安全。很显然,一个网络中仅拥有一台域控制器是很不安全的,一般要求创建两台或两台以上的域控制器。本章“5.5.1 配置域控制器”一节介绍了第一台域控制器的安装和配置方法,下面将在第一台域控制器的基础上介绍将另一台运行Windows Server 2003的计算机升级为域控制器的方法。 1. 准备工作 将运行Windows Server 2003的计算机加入到Windows Server 2003域控制器之前,必须保证要加入的计算机能够通过TCP/IP协议访问网络中要加入的域控制器(即第一台域控制器Server1.wldhj.com)。另外,如果要加入的计算机已经是其他域控制器的成员,则必须脱离已有的域,否则无法加入。
计算机网络管理技术 2. 具体操作方法 在满足了以上的条件后,就可以通过以下的方法将一台运行Windows Server 2003的计算机加入到已有的Windows Server 2003域控制器系统中。 (1)选择“开始→运行”,在出现的“打开”文本框中输入“dcpromo”命令。单击“确定”按钮,出现如图5-43所示的欢迎使用Active Directory安装向导对话框。
计算机网络管理技术 (2) 单击“下一步”按钮,打开如图5-44所示的操作系统兼容性说明对话框。早期的Windows 95/98和未安装Service Pack 4.0的Windows NT 4.0操作系统将无法登录到Windows Server 2003域控制器。
计算机网络管理技术 (3) 单击“下一步”按钮,出现如图5-45所示的域控制器类型对话框。因为本例是将这台计算机加入到已有的Windows Server 2003域控制器,所以在这里只能选择“现有域的额外域控制器”。
计算机网络管理技术 (4)单击“下一步”按钮,打开如图5-46所示的网络凭证对话框。在“用户名”和“密码”处分别输入能够对要加入的域控制器进行相应操作的用户名和密码,即第一台Windows Server 2003域控制器的管理员账户和对应的密码。
计算机网络管理技术 (5)单击“下一步”按钮,在出现的如图5-47所示对话框的“域名”下面输入已有域的名称,本例为wldhj.com。
计算机网络管理技术 (6) 如果前面的设置(包括输入的用户名、密码和域名)正确,单击“下一步”按钮后将出现如图5-48所示的对话框。在该对话框中选择“数据库文件夹”和“日志文件夹”的存储位置,选择原则与安装第一台域控制器时完全相同,可参看本章前面的说明。
计算机网络管理技术 (7) 单击“下一步”按钮,将出现如图5-49所示的选择SYSVOL文件夹存储位置的对话框。选择原则与安装第一台域控制器时完全相同,可参看本章前面的说明。
计算机网络管理技术 (8) 单击“下一步”按钮,出现如图5-50所示的设置“目录服务还原模式”密码的对话框。有关“目录服务还原模式”的功能和密码设置原则与安装第一台域控制器时完全相同,可参看本章前面的说明。
计算机网络管理技术 (9)单击“下一步”按钮,出现如图5-51所示的确认信息对话框。在单击“下一步”之前请对前面的设置(选择的域名及数据库文件夹、日志文件夹、SYSVOL文件夹的存储位置)进行确认。如果设置有误,可单击“上一步”按钮进行修改。
计算机网络管理技术 (10)当确认前面的设置无误后,单击“下一步”按钮,系统开始安装活动目录,并与第一台域控制器进行数据同步。当顺利完成以上的操作后,将出现如图5-52所示的对话框。
计算机网络管理技术 (11)单击“完成”按钮,需要重新启动计算机。当重新启动计算机后,该计算机将成为已有域(wldhj.com)中的一员。打开任何一台域控制器的“Active Directory用户和计算机”窗口,在“Domain Controllers”组织单元中将会同时显示两台域控制器的信息,如图5-53所示。
计算机网络管理技术 Windows Server 2003域控制器没有主域和备份域之分,凡加入同一域的计算机,不管加入顺序的先后,在身份和功能上都是平等的。不同的域控制器之间都会自动同步活动目录数据库中的数据,以确保每一台域控制器中活动目录数据库中的信息是相同的。 上面介绍了第二台域控制器的创建方法,如果用户还要创建第三台、第四台甚至更多的域控制器,其创建方法与创建第二台完全相同。
The End