1、Comment c1: 默认的意思Comment c2: OU实现子域控制活动目录的培训资料 活动目录( 活动目录(Active Directory)基础 ) 活动目录是 Windows 2000 网络中目录服务的实现方式.目录服务是一种网络服务,它存储 网络资源的信息并使得用户和应用程序能访问这些资源. 活动目录对象 主要包括用户,组,计算机和打印机,然而网络中的所有服务器,域和站点等也可 认为是活动目录中的对象. 活动目录架构 含有活动目录中所有对象的定义; 用对象类和对象属性来描述每个对象; 在 Windows 2000 的网络中,整个森林只有一个架构; 架构保存在活动目录中. 活动目录
2、的逻辑结构 活动目录的逻辑结构用来组织网络资源. 域(Domain) ) 域是 Windows 2000 活动目录的核心单元,是共享同一活动目录的一组计算机 集合; 域是安全的边界,在缺省的情况下,一个域的管理员只能管理他自己的域,一 个域的管理员要管理其他的域,需要专门的授权; 域是复制单位,一个域可包含多个域控制器,当某个域控制器的活动目录数据 库修改以后,会将此修改复制到其他所有域控制器. 组织单元 组织单元(Organizational Units,OU) , ) OU 是域下面的容器对象,用于组织对活动目录对象的管理,是 Windows 2000 中最小的管理单元; OU 可用来匹配
3、一个企业的实际组织结构,域的管理员可以指定某个用户去管 理某个 OU; OU 也可以像域一样做成树状的结构,即 OU 下面还可以有 OU; 使用 OU 可取代 Windows NT4.0 的多域网络,参见图 1. 图 1 树和森林( 树和森林 (Trees and Forests) ) 树(Trees): 由一个或多个域构成.Windows 2000 中的树共享连续的名 字空间;树具有双向,传递信任,即缺省情况下,Windows 2000 中父域和子域, 树和树之间的信任关系都是双向的,而且是可传递的. 森林(Forests):森林由一棵或多棵树组成.森林中的树不共享一个连续 的名字空间,但共
4、享一个普通架构和全局目录. 全局目录( 全局目录(Global Catalog) ) Global Catalog(GC)是一个包含活动目录中所有对象的属性信息(不是 完全信息,是常用属性的一个子集)的仓库,它为用户提供以下重要功能: 在整个森林中查找活动目录的信息; 使用通用组成员信息登录到网络; 活动目录中的第一个域控制器自动成为全局目录,为了平衡登录和查 询流量,您可以设置额外的全局目录. 活动目录的物理结构 物理结构用来设置和管理网络流量. 活动目录的物理结构由域控制器和站点 组成. 域控制器( 域控制器(Domain Controller) ) 活动目录复制:多主复制模式(Multi
5、-Master Replication Model)和活动 目录的物理结构决定复制在什么时候发生和如何发生. 单主操作:对从森林中添加/ 删除域这样的操作,不适合用多主复制的模 式,需要单主复制,执行单主操作的计算机称为操作主机. 站点( 站点(Sites) ) 站点由一个或多个高速连接的 IP 子网构成; 站点是网络的物理结构,站点和域没有必然联系,一个站点可包含多 个域,一个域也可跨多个站点; 创建站点的主要理由是为了优化复制流量和使用户能够用可靠的高速 线路连接到域控制器. 活动目录集成区域 要实现活动目录集成区域, DNS Server 必须装有活动目录的 DC.因为 集成后 DNS
6、的区域数据库文件变成了活动目录的一部分,它的复制被包含在活动 目录的复制中,所以不会再发生 DNS 区域传输(Zone Transfer).但仍然能向非 活动目录集成的辅助服务器执行区域传输,避免了主服务器失败后,DNS 记录无 法被更新. 安装和设置 DNS 以支持活动目录 若在安装活动目录时同时安装 DNS,操作系统会自动配置 DNS,并创建 与活动目录域同名的 DNS 正向查询区域,配置此正向查询区域与活动目录集成. 活动目录对 DNS 的要求 支持 SRV 记录(强制); 支持动态更新协议(推荐); 支持增量区域传输(推荐). 活动目录的用户登录名 主用户名(User Principa
7、l Name) 主用户名的格式同 E-mail 地址,例如,,john 称为主用户 名前缀, 称为主用户名后缀,一般为根域的域名.主用户名只能用于登录 Windows 2000 的网络 . 用户登录名(User Logon Name) 用于 Pre-Windows 2000 的环境或 Windows 2000;登录时需要用户名和域 名. 用户名惟一性原则 全名在所属的容器内惟一; 用户登录名在所属的域内惟一; 主用户名在整个森林内惟一. 活动目录中的组 全局组(Global Groups); 域本地组(Domain Local Groups); 通用组(Universal Groups):通用
8、组一般用于多域的情况,通用组的成 员信息保存在 GC 中.尽量避免通用组直接包含用户账号成员,而使用全局组作为 通用组的成员. 在域中使用组的策略 使用 A-G-DL-P 策略; 使用 A-G-G-DL-P 策略; 使用 A-G-U-DL-P 策略 . 这里 ,A 表示用户账号,G 表示全局组,U 表示通用组,DL 表示域本地 组,P 表示资源权限 .A-G-DL-P 策略是将用户账号添加到全局组中,将全局组添 加到域本地组中,然后为域本地组分配资源权限.其余类推. 在活动目录中出版资源 所有 Windows 2000 的共享打印机都被自动出版在活动目录中; 删除打印机时也会自动删除活动目录中
9、的打印机; 打印服务器负责在活动目录中出版打印机; 当修改打印机属性时,会自动更新活动目录中打印机的属性. 活动目录安全组件 安全主体 (Security Principals) 安全主体是一个能够对它分配权限的对象,例如,用户,组和计算机; 每一个 Windows 2000 域中的安全主体都有一个惟一的安全标识符. 安全标识符(Security IdentifierSIDs) 安全标识符是用来标识一个安全主体的一个数值, 它在这个主体被创建时 产生,绝对不会重用.Windows 2000 中的访问控制机制是基于 SIDs,而不是基于 名字. 安全描述符(Security Descriptor
10、s) 安全描述符是包含与一个可以设置安全对象相关的安全信息的数据结构, 主要包括以下内容: 头部 :安全描述符的版本信息和一组控制标志; 所有者:此对象所有者的 SID; 主要组:所有者所属的主要组的 SID; DACL(Discretionary Access Control List):用户对此对象的访问控制列 表; SACL (System Access Control List):对用户进行审核的访问控制列表 . 如果在一个对象上设置了权限,这个对象的安全描述符中将包含一个 DACL.DACL 中包含允许或拒绝访问这个对象的用户和组的 SIDs;如果还对这个 对象设置了审核,它的安全描
11、述符中还包含一个 SACL. 活动目录权限 权限是一种对象所有者的授权, 通过授权 , 用户可以对特殊对象进行操作 . 如果对象是所有者, 可以分派给其他用户或组部分或全部任务的权限, 还可以分派 所有权的权限. 允许权限或拒绝权限:拒绝权限比任何允许权限优先级高; 间接否定或直接否定(Implicitly Deny or Explicitly Deny):例如不是 明确指定的操作权限是间接否定; 标准权限和特殊权限:标准权限是经常分派的权限,而特殊权限是对 分派访问权限的更细致的控制: 完全控制; 读出:查看对象和对象属性; 写入:修改对象内容和属性; 创建所有子对象:向 OU 中添加对象
12、; 删除所有子对象:从 OU 中删除对象. 实验技术 安装活动目录 1. 必备条件 : 计算机必须安装 Windows 2000 Server, Advanced Server, Datacenter Server 和最小 250M 的可用磁盘空间;必须有 NTFS 磁盘分区或卷用于保存 SYSVOL 文件 夹; 必须运行 TCP/IP 协议和 DNS 服务(可在安装活动目录的同时安装 DNS),计算机须 安装网卡. 2.在 Windows 2000 上使用 dcpromo 命令 ,将出现“AD 安装向导“对话框,若在网 络中第一次安装活动目录时,所创建的是森林的根域,此时选择“新域的域控制器
13、“单选钮. 3.选择“ 创建一个新的目录树“和“创建新的域目录树“单选钮,输入新域的 DNS 全 名,例如,, 输入 NetBIOS 名,它一般取 DNS 域名的第一部分或前 15 位,这里是 cyc,然后指定 AD 数据库和 SYSVOL 保存的文件 ,后者必须位于 NTFS 分区. 4.最后指定权限和密码等,此时开始安装 AD 并创建一个 Windows 2000 的域 .活动目录安装后 ,将在“程序/管理下产生三项:Active Directory 用户和计算机, Active Directory 域和信任关系,Active Directory 站点和服务. 5.若用无人值守的安装脚本去
14、安装活动目录,则使用命令:dcpromo.exe /answer: answer_ file.而应答文件 answer _file 内容的范例为: DC Install Administrator Password abcd Auto Config DNS yes Create Or Join create Database Path c:winntntds DNS On Network no Domain Net Bios Name east home Log Path c:winntntds New Domain DNS Name Parent Domain DNS Name Reboo
15、t On Success yes Replica Or New Domain do main Site Name default-first-site-name Sys Vol Path c:winntsysvol Tree Or Child tree 6.若要删除活动目录,则使用 dcpromo /CA 命令. 创建批量用户 批量倒入过程(The Bulk Import Process) 将用户信息事先创建到文本文件中, 有两种类型的文本文件: 用逗号分割的文件和 用回车符分割的文件.用逗号分割的文件格式: dn, objectclass, samaccountname, userprinc
16、ipalname, displayname, useraccountcontrol 用回车符分割的文件格式: #creat john(说明行) dn:cn=john,ou=human resourses,dc=cyc,dc=com Objectclass:user Samaccountname:john Userprincipalname: Displayname:john Useraccountcontrol:512 用 CSVDE 创建多个用户账号 命令格式:csvde -i -f filename 其中:-i 表示正在把一个文件导入活动目录;-f 表示下一个参数是导入的文件名且 是使用逗
17、号分割的文件.CSVDE 只能创建用户,不能修改和删除用户. 用 LDIFDE 创建多个用户账号 命令格式:ldifde -i -f filename LDIFDE 命令使用的文件是用回车符分割的文件,它不但能创建用户,而且能修改 和删除用户. 在“Active Directory 用户和计算机“窗口建立用户账号 1.从“开始“菜单,依次选择“程序“,“管理工具“ 与“Active Directory 用户和计算机“ 命令,将打开“Active Directory 用户和计算机“窗口. 2.展开要建立的域,使用鼠标右键单击要建立用户和组的文件夹,在弹出的快捷 菜单上选择“ 新建“命令,再选择相
18、应的下一级命令. 发布打印机 1.在“Active Directory 用户和计算机“窗口上,右击需要发布打印机的 OU. 2.选择“ 新建“,并选择“打印机“命令. 3.输入要在活动目录上发布的打印机的 UNC(格式:servernamesharename ) 名字. 使用 Pubprn.vbs 脚本文件 或: (%systemroot%system32pubprn.vbs)其格式: , pubprn.vbs instructorcanon LDAP:/OU=Sales,DC=cyc,DC=com 发布共享文件夹 1.在“Active Directory 用户和计算机“窗口上,右击需要发布打
19、印机的 OU. 2.选择“ 新建“,并选择“共享文件夹“命令. 3.输入要在活动目录上发布的共享文件夹的 UNC 名字. 设置活动目录权限 设置标准权限 1.从“开始“菜单,依次选择“程序“,“管理工具“ 与“Active Directory 用户和计算机“ 命令. 2.在“Active Directory 用户和计算机“窗口上单击“ 查看“菜单,选择“高级功能“命 令. 3.右击要设置权限的对象 ,选择“属性“命令,将打开“属性“对话框,并单击 “安全“ 标签. 4.要添加新权限,单击“添加“ 按钮,单击需要委派权限的用户账户或组,单击“添 加“按钮 ,然后单击“ 确定“;若要删除权限,选择
20、需要删除的用户账户或组,单击“删除“ 按 钮,然后单击“确定“. 5.在“权限“ 栏目中,选择需要添加或改变权限的“ 允许“或“拒绝“复选框. 设置特殊权限 标准权限对于大多数管理任务来说已经足够, 然而, 也可以浏览一下标准权限中的 特殊权限,这可以使访问权限的控制更加细致.按下列步骤浏览特殊权限: 1.在“属性“ 对话框,单击“ 安全“标签,单击“ 高级“按钮. 2. 在“访问控制设置“对话框上, 在“权限“标签上, 单击需要浏览的项, 然后单击“ 查 看/编辑“ 按钮. 3.将打开“权限项目“对话框,实现相关设置. 委派管理控制 委派是将活动目录对象的管理责任分派给某用户,组或 OU.
21、1.启动“控制委派向导“,在“Active Directory 用户和计算机“ 窗口中,单击需要委 派控制的 OU,在快捷菜单上,单击“委派控制“菜单,将打开“ 控制委派向导“. 2.选择将要委派控制的用户或组. 3.指定委派的任务. 4.选择活动目录对象类型. 委派控制向导允许选择下列控制中的一种: 具体的 OU.对具体 OU 的控制意味着可以管理 OU 内所有的对象 ,也可以在该 OU 中建立新的对象. OU 内具体的对象.向导显示一系列可以委派控制的对象类型,例如,计算机 对象,组对象和打印机对象. 5.把权限分给将要委派控制的用户或组.权限类型为: 常规:最常用的权限; 特殊属性:所有
22、属性的权限; 特殊子对象的创建/ 删除:建立或删除新对象的权限. 结束语 互联网的发展速度举世瞩目, 通过互联网所带来的经济效益更为人们所关注. 在网 络日益普及的今天 ,继 PC 制造,宽带接入之后,下一个机会将出现在哪里?众多的运营商 和设备制造商已用巨额投入预示了下一个热点的到来, 那就是无线上网. 而无线运营和无线 网络设备市场的风生水起,则使无线网络的人才成了市场的新宠. 由于无线局域网是涉及到网络和无线通信的复合技术,在 WLAN 越来越热的今天,我 们在密切关注这个行业发展的同时却不得不面对一个严峻的问题, 那就是无线局域网专业人 才的极度匮乏.所谓“物以稀为贵“,人才市场的规律也是如此,在众多商家和企业关注 “WLAN“这一新贵行业的同时,无限局域网的专业人才也开始备受瞩目. 对于无线厂商和集成商来讲,只有掌握最新的技术,才能把握市场商机,因此,无 论是对技术开发人员还是实际操作人员都提出了更高的要求. 而对于用户来讲, 无线网络的使用是必然趋势. 但在面对众多厂商的产品在设备选 型的过程中,由于缺乏足够的技术与背景知识,往往导致对于
