实现用户、组和计算机账号 账号简介 建立和管理多个账号 实现用户主名后缀 在活动目录中移动对象 规划用户、组和计算机账号的策略.

Presentation on theme: "实现用户、组和计算机账号 账号简介 建立和管理多个账号 实现用户主名后缀 在活动目录中移动对象 规划用户、组和计算机账号的策略."— Presentation transcript:

1 实现用户、组和计算机账号 账号简介 建立和管理多个账号 实现用户主名后缀 在活动目录中移动对象 规划用户、组和计算机账号的策略

2 一、账号简介 账号的类型(P86) 组的类型(P87) 什么是域本地组(P88) 什么是全局组(P90) 什么是通用组(P91)

3 账号的类型 用户账号 计算机账号 组账号 本地用户账号：使一个用户登录到特定的计算机 域用户账号：使用户登录到域来访问网络资源
内置用户账号：使用户能够执行管理任务 计算机账号 每一台运行Windows XP/Server 2003的计算机加入到域，都会在AD中创建一个计算机账号 组账号 若干用户账号、计算机账号或其它组账号的组合，可以使用组高效的管理对域资源的访问

4 组的类型(P88) 通讯组 如果你想群发邮件，就可以创建通信组，将配置了邮箱地址的联系人、用户加入该通信组，只需给该通信组发一份邮件，则通信组中的成员都将收到该邮件 安全组 可以使用安全组给用户或计算机分配权利和权限 嵌套：被嵌套组会继承其父组的权限，此可简化授权过程

5 什么是域本地组(P88) 定义和管理对单个域内资源的访问 域本地组的创建是针对某种资源的访问情况来创建的。
例：使五个用户访问特定的打印机，可通过创建本地域组printer_user并指派给其访问打印机printer的权限 也可以针对共享文件夹folder的访问情况，创建两个域本地组folder_readers和folder_writers 作用范围：域本地组只在本域可见，即只能在本域对其授权，作用范围是本域

6 什么是全局组 全局组是根据用户担负的职责来合并用户，即将用户分类
例：组织内有张厂长，李副厂长，他们要访问的资源和访问网络权利相同，可以创建“厂长”这个全局组，然后将他们俩加到这个组，如果以后新来一个王厂长，直接将其加入“厂长”全局组，那么王厂长就有了“厂长”全局组的权利和权限 全局组可以嵌套，比如把“厂长”和“科长”组添加到“高层干部”这个全局组 全局组不在自身的域之外复制，所以全局组中的账户可以频繁更改，而不需要对全局编录进行复制以免增加额外通信量 作用范围：全局组只在信任域中可见，即可以在任何信任域中对其授权，作用范围是所有信任域

7 什么是通用组 当mcse.com和cs.mcse.com中的厂长都要访问mcse域中的共享文件夹folder1和cs域中的folder2，可以分别给mcse域中的“厂长”全局组授权，再给cs域中的“厂长”全局组授权，然后分别对folder1/2授权，如何简化这样的授权呢？ 需要合并跨越不同域的组(创建通用组) 在mcse域中创建一个通用组“所有厂长”，将两个域的全局组“厂长”添加到“所有厂长”通用组，再对folder1/2授权“所有厂长” 注：通用组成员身份不宜频繁更改，该更改将复制到林中的每个全局编录，如何才能使通用组成员身份不频繁更改？ 将账户添加到全局组并将这些组嵌套在通用组

8 二、建立和管理多个账号 当管理的账号数量少的时候，可以使用“AD用户和计算机”插件，也可以使用命令行工具Dsadd,Dsmod,Dsrm来管理活动目录中的用户、计算机和组。 当管理的账号数量较多的时候，可以使用Csvde、Ldifde、Windows脚本主机三种工具创建。

9 用“AD用户和计算机”创建单用户账户

10 使用Csvde工具创建用户账号

11 注意事项(P96) 文件第一行称为属性行，中间不能有换 行符号，其中的标点符号必须是英文的， 各属性可以任何顺序摆放.
如果域的口令策略有复杂性要求，则无 法使用Csvde来建立启用的用户账号。在这 种情况下，把UserAccountControl值设为 514：禁用用户账号；附：512为启用

12

13 使用Ldifde工具创建用户账号

14 注意事项(P98) 任何以＃开始的行，运行Ldifde文件时将会被忽略 如果某一个属性值为空，但属性后的”:”不能省

15

16 使用Windows 脚本主机创建用户账号

17 注意事项(P100) LDAP 必须大写，否则命令将失败
某些活动目录的对象属性不能在创建时设置，比如，当建立一个用户账号时，不能启用账号或设置口令，只有当建立对象后，才能设置这些属性，如 objUser.AccountDisabled=FALSE objUser.ChangePassword “id5*!26” objUser.setinfo

18

19 实训课题 Mcse公司雇佣了两个新的销售人员，Brednda Diaz和Suzan Fine。必须为他们创建用户账号，当前mcse域规定是使用用户的First名称和Last名称前一个字母，你将使用Csvde、Ldifde、Windows脚本主机三种工具在mcse\market组织单元中创建用户账号。

20 三、实现用户主名后缀 什么是用户主名 用户主名登录身份验证过程 用户主名如何在网络上路由

21 什么是用户主名 User Principal name 是用来登录到Windows Server 2003网络中的登录名
用户主名前缀：suzanf 用户主名后缀：mcse.com 使用用户主名的好处： 用户从一个域移到另一个域，不需要修改用户主名 用户主名可以与用户的邮件地址相同 用户主名在森林中必须唯一 在林内使用用户主名可以在任何域的计算机上登录，不用选择登录到哪个域 默认情况下，在子域中创建用户，可以用父域名称或子域名称作主名后缀；但根域中创建用户只能用根域名称作为后缀

22 用户主名登录身份验证过程 当用户使用用户主名登录时，计算机如何判断用户是属于哪个域？
例：当mcse.com域中的用户Susan在cs.mcse.com域中的计算机上登录时身份验证步骤： 客户向DNS发送查找mcse林中全局目录服务器请求 DNS返回mcse林中全局目录服务器的服务记录 客户机再次向DNS发送查询mcse.com的域控制器的请求 DNS服务器返回mcse.com域中的域控制器查询结果 客户机向mcse.com域中的域控制器发送身份验证的请求

23 问： “用户主名登录身份验证过程”介绍了在同一个林中用登录主名登录的过程，客户机需要找到林中的全局目录服务器以判断该用户所在的域
跨林的身份验证是如何判断用户在哪个域？ 答：名称后缀路由__一种提供跨林的名称解析过程，在同一个林中不需要名称后缀路由，林可以包含多个名称后缀

24 用户主名如何在网络上路由 步骤： 客户机首先判断该用户是哪个域的用户，将请求提交给ibm林中的全局目录服务器 全局目录服务器查看数据库，查找与其所在林建立的林信任关系的信息，如果找到，则比较两者UPN后缀，如果匹配，全局目录就向客户机返回一个路由提示。 根据路由提示，身份验证请求就提交mcse.com林中的全局目录服务器，最终找到该用户所在域进行身份验证

25 四、在活动目录中移动对象 SID历史 移动对象的实质 在域内移动对象 在域间移动对象 使用LDP查看移动对象的属性 练习：移动对象

26 SID历史 当在不同域之间移动活动目录对象，比如用户账号，和该对象对应的安全主题也被移动。
新域的活动目录将记录这个安全主题以前用的SID，同时指派给该安全主题一个新的SID，维护跟踪这些安全主题的一个列表，这个列表称为SID历史。

27 用户访问资源的权限是通过SID来标识的，用户移动到新域后，新域会分配一个新的SID，并记录该用户以前的SID

28 移动对象的实质 Windows 2000混合模式下SID历史是禁用的 当一个用户在域内移动时，其SID和全局唯一标识符GUID不变；
当在林中不同域间移动对象时，AD指派给用户一个新的SID，GUID不变； 当在不同林之间移动用户，AD指派给用户一个新的SID，一个新的GUID

29 在域内移动对象 工具：AD用户和计算机

30 在域间移动对象 工具：AD迁移工具(默认不安装，可以在Windows Server 2003安装盘上i386/ADMT文件夹admigration.msi) 可以将AD对象从一个域移动到另一个域或从一个林中的域移动到另一个林中的域 如果在两个林之间移动用户，须要在两个域之间建立信任关系 移动的时候可以先进行测试

31 使用LDP查看移动对象的属性 移动对象后，确认对象的属性正确的更新，比如检查对象的SID和SID历史，查看这些信息，须使用LDP.exe，LDP.exe在安装盘\support\Tools文件夹 CMD->LDP->Connection(输入要连接的DC)->再次connection(Bind,输入连接凭据)->View(Tree,在对话框中选择要查看的域名)->在控制台上，双击想查看的对象和属性、SID历史和当前的SID

32 练习：移动对象 在同一域内移动对象： 在林内不同域间移动对象： 在不同林之间移动对象： 使用LDP检查用户的SID、GUID、SID历史
在同一个域中的不同组织单元间移动一个用户账号 使用LDP查看移动用户的SID、GUID以及SID历史变化 在林内不同域间移动对象： 在不同林之间移动对象：

33 五、规划用户、组和计算机账号的策略 命名账号的方针 设置密码策略的方针 身份验证、授权和管理账号的方针 使用组的方针 练习：设计一个账号策略

34 命名账号的方针 为组织定义一个名称规范，包括： 考虑使用：
使用用户的名、或名的起始三个字母，或名的起始部分创建用户账号。比如用户的名是Sreada Diaz,则为该用户创建个Sreada用户账号 使用名和用户姓的起始几个字母，或者完整的用户的姓创建用户账号，比如，为用户Breada Diaz创建一个BreadaDiaz用户账号 考虑使用： 使用前缀或后缀标明用户账号的类型，比如market 使用短的域名称作为用户登录主名后缀来简化登录

35 设置密码策略的方针 定义“强制密码历史”策略设置可以使系统记忆几个以前用过的密码，当密码到期时，用户将无法重复使用以前用过的密码
定义“密码最长期限”可以使密码的到期时间尽可能短，从而即使攻击者破解了密码，也只能在密码到期之前访问网络 定义“密码最短期限”可以使密码在指定的天数内无法更改 定义“最短密码长度”可以使密码必须至少包含指定个数的字符，使用该策略，用户便无法使用空密码 启用“密码必须符合复杂性要求”：长度至少7个字符；不包含用户名、公司名称等；不包含完整的字典词汇；与以前的密码不一样；包含(大写字母、小写字母、特殊字符、数字全部四种)

36 身份验证、授权和管理账号的方针 不要随意使用账号锁定策略 不应该以管理员的身份的运行计算机
使用多种身份验证方法(管理员账号和远程访问用户使用智能卡等) 禁用管理员账号并指派给用户和管理员能够执行任务的最具限制的权限

37 使用组的方针 将负责日常工作的用户添加到全局组，根据成员担负的工作标识组，比如“科长组”
针对共享资源的访问创建域本地组，本地组应标识共享的资源，如打印机、文件夹；然后将那些须要访问这些资源的全局组添加到相应的域本地组 通用组可以访问多个域的资源，如果多个域的用户须要访问的资源分布在多个域，可以为这些账号创建通用组，然后对通用组授权 注：通用组的成员相对稳定时使用通用组，如果通用组成员的改变会引起AD的复制，这样会增加网络流量，最好在通用组中添加全局组

38 练习：设计一个账号策略 场景：公司处于高度竞争环境中，维护公司的商业安全和秘密十分重要，公司在AD目录林中有1000名用户。
目录林包含一个空的根域test.net,和一个包含了所有用户账号和组的子域corp.test.net，目录林中所有的域控制器运行的是Windows Server 2003，目录林根域只有管理员账号，执行目录林范围的管理任务。

39 问题： 在该公司域中，为其中的用户使用什么命名策略？ 将为公司的AD使用什么密码策略？ 为根域使用什么样的密码策略？
设计的身份验证，授权和管理策略应包含什么？ 使用组的策略应包含什么？

40 参考策略(1) 在该公司域中，为其中的用户使用什么命名策略？ 将为公司的AD使用什么密码策略？ 为根域使用什么样的密码策略？
一个命名策略是使用用户的名和部分姓，当用户的姓名一样时，通过在姓的后面添加至少两个字符来区别。 将为公司的AD使用什么密码策略？ 至少包含以下五项：密码最长期限42天；最短密码期限2天；最小密码长度8位；密码必须符合复杂性要求_启用；用可还原的加密来存储密码_禁用 为根域使用什么样的密码策略？ 至少包含以下五项：密码最长期限42天；最短密码期限7天；最小密码长度14位；密码必须符合复杂性要求_启用；用可还原的加密来存储密码_禁用

41 参考策略(2) 设计的身份验证，授权和管理策略应包含什么？ 设置一个账号锁定策略，当用户登录8次没有成功后，锁定30分钟；
要求管理员使用一般的用户账号登录，执行管理任务时，用“运行方式”以管理员的身份打开管理工具 对远程访问公司网络的用户要求智能卡身份验证 在每个域重命名或禁用管理员账号 根据用户角色创建组

42 参考策略(3) 使用组的策略应包含什么？ 将负责日常工作的用户添加到全局组
针对共享资源的访问创建域本地组，然后将那些需要访问这些资源的全局组添加到相应的域本地组 不要轻易使用通用组