主要内容: 活动目录的基本知识 活动目录的安装 构造域帐户 安全策略的设置 设置共享文件夹 安装网络打印机 活动目录的规划与建设 主要内容: 活动目录的基本知识 活动目录的安装 构造域帐户 安全策略的设置 设置共享文件夹 安装网络打印机
活动目录的基本知识 1、域模式 所谓域模式,实质是一种集中存储、访问网络上各种信息资源的模式,它采用活动目录(Active Directory)的结构,将网络上的各种资源以对象的形式,集中存储在活动目录中,组织成结构化的信息库,使信息易于管理,便于查找及使用。域极大地简化了用户和计算机的管理,并且提供了更好的网络资源访问方式 。
活动目录的基本知识 1、域模式 (1)什么是域(domain):域是活动目录(Active Directory)的基本逻辑管理单位,整个网络可以组织成一个单独的域,也可以根据需要划分为多个域,域模式的最大好处,就是它的单一网络登录能力,任何用户只要在域中有一个用户帐户,就可以登录域并能访问网络中的所有资源。 (2)域的命名:Windows Server 2003的Active Directory与DNS紧密地整合在一些,域的“命名空间”就是采用DNS架构,域名(domain name)也采用DNS的格式来命名,例如,可以将Windows Server 2003的域命名为bizsmooth.com、chuangxinmaoyi.com.cn。 (3)域控制器:域控制器是域中的服务器,域控制器上安装了Active Dricetory并存放了目录数据库。一个域内可以有多台域控制器,域中的所有控制器各存储着一份相同的活动目录。
活动目录的基本知识 2、域中的对象 在域中所有的资源都是以对象的形式存储在活动目录中,这些资源包括文件、打印机、应用程序、服务器、域、用户帐户等等。 (1)组织单元:包含在域中的特别有用的目录对象类型就是组织单位。组织单位是一种可将用户、组、计算机和其他对象放入其中的 Active Directory 容器,组织单位还是指派组策略设置或委派管理权限的最小作用域或单位。使用组织单位,系统管理员可以根据本单位的实际组织结构建立和管理用户帐户、计算机帐户、共享文件夹、打印机等资源,并可以通过组策略来集中管理域的用户工作环境与计算机环境等 。 (2)用户:用户是域中的最基本对象,一个域中,可以没有组织单位,也可以没有组,但是必须要有用户,网络管理员可为每一个需要访问域资源的用户建立用户帐户,任何用户只要在域中有一个用户帐户,就可以登录域并能访问网络中的资源。 。
活动目录的基本知识 2、域中的对象 (3)组:组是可包含用户、联系人、计算机和其他组的 Active Directory对象。使用组可以管理用户和计算机对 Active Directory 对象及其属性、网络共享位置、文件、目录、打印机列队等共享资源的访问。 从组的使用范围来看,Windows Server 2003域内的组可分为三类:通用组、全局组、域本地组。通用组可以在本域或信任域之间使用,用于组织用户帐户。全局组可以在整个Active Directory中使用,用于组织用户帐户。域本地组主要用来指派在其所属域内的访问权限,以便访问该域内的资源。 根据组类型,Windows Server 2003域内的组可分为两种:安全组和通讯组。安全组可以赋予其访问资源的权限,所有的内置组都是安全组。通讯组主要作用是作为联系人,这种类型的组不能赋予访问资源的权限。
活动目录的基本知识 2、域中的对象 (4)本机帐户与域帐户的差异 : 在网络中没有域的情况下,用户使用本机帐户登录计算机,可以使用和管理本地计算机的资源。 当用户需要访问网络中其他计算机的资源时,必须提供其他计算机的本地帐户,才能访问相应的计算机。 若网络中存在域,当用户使用域帐户登录到域中,就可以访问网络中的任何资源。每台安装windows操作系统的计算机上都有本机帐户,但是在域控制器上本机帐户是被禁止的,取而代之的是域帐户,域帐户保存在Active Directory目录数据库中,允许用户从域中的任何计算机登录域,并且可以访问整个域的资源 。
活动目录的基本知识 2、域中对象的管理 进行域的管理,主要是对活动目录中各资源对象的管理,其中常用的管理操作有:对组织单位的安全策略设置,对共享权限和访问权限的设置,以及对网络共享设备,如打印机的管理和维护等等。 (1)安全策略设置 : 管理员主要利用组策略来管理用户的工作环境与计算机环境,组策略提供了很强大的安全管理功能。 1) 组策略分“计算机配置”与“用户配置”两部分: 计算机配置:当计算机启动时,就会根据“计算机配置”的内容来设置计算机的环境。 用户配置:当用户登录时,就会根据“用户配置”的内容来设置用户的工作环境。 2) 利用组策略可以实现的功能有: 帐户策略的设置、本地策略的设置、脚本设置、用户工作环境的设置、软件的安装与删除、文件夹的重定向等。
活动目录的基本知识 2、域中对象的管理 (2) 共享文件夹管理 要为域中的用户提供共享资源,必须将资源所在的目录设置为共享,并为共享目录设置共享权限和安全权限。另外,在域控制器中,管理员还常常需要为用户或用户组指定共享文件夹,将网络上的某一共享文件夹映射为用户的网络驱动器,当该用户启动计算机,可以象使用本地驱动器一样访问共享文件夹。 (3) 打印机管理 打印机是一种必不可少的办公设备,网络管理员必须掌握打印机的安装和管理方法。目前在办公环境中,存在有两类打印机,一类主要是利用PC服务器来实现共享打印,一般称为共享打印机。另一类是网络打印机,即可以直接接入网络的打印机,只要安装相应的软件就能实现打印,而不用直接连任何电脑。
活动目录的安装 活动目录的安装过程: Step 1:启动活动目录向导 在安装有Windows Server 2003操作系统的服务器上,依次单击“开始”→“设置”→“控制面板”菜单项,在“控制面板”中双击“管理工具”,然后双击“管理您的服务器向导”,启动配置向导。单击“添加或删除角色” ,在“配置选项”对话框中,选择“自定义配置”。在“服务器角色”对话框中,选择“域控制器(Active Directory)”选项,启动活动目录安装向导。 或者通过“开始”→“运行”,输入命令dcpromo,启动活动目录安装向导。
活动目录的安装 Step 2:安全设置的兼容性提示 安装向导显示,由于Windows Server 2003使用了新的安全设置,一些较早版本的操作系统,如Windows 98,Windows NT 4.0 SP3或更早版本,将无法通过Windows Server 2003域控制器来登录与访问域资源。 Step 3:选择域控制器类型 因为该服务器是域中的第一台域控制器,所以在“域控制器类型”对话框中选择“新域的域控制器”选项。在“创建一个新域”对话框中选择“在新林中的域”选项。
活动目录的安装 Step 4:设置域名 在“新的域名”对话框的“新域的DNS全名”框中,输入需要创建的域名chuangxinmaoyi.com。如图 所示。
活动目录的安装 Step 5:设置NetBIOS名称 在“NetBIOS名”对话框中,显示:非Windows操作系统的客户端将使用的NetBIOS域名。可保持默认设置。 Step 6:设置数据库和日志文件安装位置 在“数据库和日志文件文件夹”对话框中,输入数据库、日志文件的保存位置。 Step7:设置系统卷共享文件位置 在“共享的系统卷”对话框中,指定作为系统卷共享的文件夹。Sysvol文件夹存放域公用文件的服务器副本。Sysvol中的内容被复制到域中的所有域控制器,其文件夹位置一般不作修改。
活动目录的安装 Step8:配置DNS Step9:设置目录服务恢复模式密码 Step10:查看摘要完成安装 如果在安装活动目录之前未配置DNS服务器,可在此让安装向导配置DNS。在接下来的“权限”对话框中,考虑到目前大多数网络环境中仍然包括Windows 2000以前的操作系统,所以应选择“与Windows 2000之前的服务器操作系统兼容的权限”选项。 Step9:设置目录服务恢复模式密码 在“目录服务还原模式的管理员密码”对话框中输入目录还原模式下的管理员密码。 Step10:查看摘要完成安装 安装向导将显示安装摘要信息,确认无误后,单击“下一步”按钮即可开始安装。完成安装后,将重启系统。
构造域帐户 Step1 建立组织单位:策略控制”和“访问控制 依次单击“开始”→”程序”→“管理工具”→“Active Directory用户和计算机” ,在打开的窗口中右击域名称,选择快捷菜单项“新建”→“组织单位”,输入组织单位名称。重复以上步骤,完成所有组织单位的建立,如图所示。
构造域帐户 Step2 在“访问控制”下创建用户组帐户 在“Active Directory用户和计算机”管理单元中,右击“访问控制”组织单位,选择快捷菜单项“新建”→“组”,输入组名称、设置组作用域和组类型(一般为默认的全局、安全组)。重复以上过程,完成所有组帐户的建立。如图 所示。
构造域帐户 Step3 创建用户帐户 展开“策略控制”,右击组织单位“财务部”,选择快捷菜单项“新建”→“用户”,在图所示对话框中输入张经理的信息并为张经理设定登录的用户名,在图所示对话框输入和确认用户密码,并根据需要选择相应的复选框,创建财务部主管张经理的帐户。
构造域帐户 Step4 将用户加入用户组 在“Active Directory用户和计算机”管理单元中,在“访问控制”组织单元里,右击“财务部”组, 打开“属性”对话框,如图所示,在“成员”选项卡中使用“添加”按钮可以将“张经理”加入到“财务部”组。重复以上过程,将建立的用户帐户全部加入到相应的组,如图所示。
构造域帐户 在客户机利用域帐户登录域,可以检查上述设置的有效性。 选择一台安装Winows XP操作系统的客户机,打开TCP/IP配置窗口,在DNS中加入域控制器的IP地址。 然后右击“我的电脑”,打开 “属性”对话框,点击“计算机名”选项卡中的“更改”按钮。在“计算机名称更改”对话框中的“隶属于”部分选择单选框“域”,并输入域的名称, chuangxinmaoyi.com。 在系统提示框中,输入域用户名和密码,出现欢迎加入域的提示框,说明设置正确。
安全策略设置 Step1 启动组策略 在“Active Directory用户和计算机”管理单元中,展开组织单位“策略控制”,右击需要设置组策略的组织单位(如技术部),打开“属性”对话框的“组策略”选项卡,单击“新建”按钮,输入新建的组策略名,然后单击“编辑”按钮打开“组策略编辑器”。
安全策略设置 Step2 设置帐户安全策略 在“组策略编辑器”中,依次展开 “计算机配置”→ “Windows设置”→“安全设置”→“帐户策略”。 在密码策略中,启用“密码必须符合复杂性要求”,“密码长度最小值”设为6个字符,“密码最长使用期限”为30天,“强制密码历史”为3个记住密码。 在帐户锁定策略中,“帐户锁定阈值”设为3,“帐户锁定时间”为30分钟。
安全策略设置 Step2 设置帐户安全策略 如图所示。
安全策略设置 Step2 设置帐户安全策略 如图所示。
安全策略设置 Step3 设置本地策略 在“组策略编辑器”中,依次展开“计算机配置”→ “Windows设置”→“安全设置”→“本地策略。 为技术部设定相应的审核策略、安全选项,并为技术部用户指定相应权限。如图所示。
安全策略设置 Step4 设置管理模板策略 1) 任务栏和[开始]菜单设置 在“组策略编辑器”中,依次展开“用户配置”→“管理模板”→“任务栏和[开始]菜单”,如图所示。
安全策略设置 Step4 设置管理模板策略 2) 展开“用户配置”→“管理模板”→“桌面”,如图所示。
安全策略设置 Step4 设置管理模板策略 3) 展开“用户配置”→“管理模板”→“控制面板”,为技术部进行如下设置: 删除“添加或删除程序” 阻止添加/删除打印机 禁用TCP/IP高级配置 禁止添加或删除用于LAN接连或远程访问连接的组件 类似地,可以根据实际规划,为其他部门设置相应安全策略。
指定用户共享文件夹 Step1 打开“Active Directory用户和计算机”管理工具 展开组织单位“策略控制”→“财务部”,在帐户“张经理”的“属性”页中选择“配置文件”选项卡,如图所示。
指定用户共享文件夹 Step3 映射驱动器 单击“连接”单选框,为共享文件夹选择映射驱动器Z:,输入共享文件夹的路径,如“\\server\财务部”,如图所示,为财务部主管张经理建立了网络驱动器。
安装网络打印机 (1) 将打印机连接到网络并设置IP地址。 Step1 连接打印机 将一根直通跳线的一端插在网络交换机上,另一端插在打印机的网卡端口上,打开打印机电源。 Step2 查看默认配置页 按下打印机面板上绿色“执行”按钮,直到打印机面板上绿色指示灯开始闪烁,打印机会自动打印出一张配置页,会得到一个私有 IP 地址,例如:169.254.68.128。
安装网络打印机 (1) 将打印机连接到网络并设置IP地址。 Step3 设置管理计算机的IP地址 Step4 设置网络打印机的IP地址 在同一物理网段选择一台机器作为管理计算机,在手动设置网络打印机的IP地址前,要先将管理计算机的IP地址与网络打印机设置在同一网段,这里将管理打印机的计算机的IP地址设置成为169.254.68.1。 Step4 设置网络打印机的IP地址 在管理计算机上打开 IE 浏览器,在地址栏中输入169.254.68.128,进入 EWS 界面(如图所示),单击“Networking”,选择“Manual IP”,输入打印机的IP 地址192.168.1.253。
安装网络打印机 (2) 在客户机上安装网络打印机 Step1 启动安装打印机向导 在打印机设置中双击“添加打印机”,打开打印机安装向导,在图所示界面中,选择“本地打印机”。
安装网络打印机 (2) 在客户机上安装网络打印机 Step2 创建端口 在“选择打印机端口”的界面中,选择创建新端口,并选择“Standard TCP/IP port”,如图所示。
安装网络打印机 (2) 在客户机上安装网络打印机 Step3 设置IP地址 输入打印机的网络地址,如192.168.1.253,如图所示。
安装网络打印机 (2) 在客户机上安装网络打印机 Step4 安装驱动 如图所示,选择“从磁盘安装”,并在光驱中放入驱动光盘,打印机型号选择“HP LaserJet 1022n”,完成安装过程。