《域用戶帳號(hào)與管理》PPT課件.pptVIP

委托關(guān)系 對(duì)于由多個(gè)域組成的網(wǎng)絡(luò)，一個(gè)域中的用戶需要訪問另一個(gè)域中的資源時(shí)，需要在兩個(gè)域中建立委托關(guān)系 現(xiàn)稱委托者為“信任域”，接受委托者為“受托域”。 當(dāng)建立起委托關(guān)系后，信任域即可辨認(rèn)受托域中的用戶帳號(hào)，允許這些帳號(hào)在信任域內(nèi)使用。例如： 在信任域中登陸，但在登陸時(shí)必須指明用戶屬于哪一個(gè)受托域 在信任域中被設(shè)置其對(duì)信任域內(nèi)資源的使用權(quán)限與訪問權(quán)限 訪問信任域中的資源 委托關(guān)系可以是單向的或雙向的。 委托關(guān)系不具有轉(zhuǎn)移性,域的模式 單域模式 單主域模式 多主域模式,單域模式 單主域模式 由于所有的用戶帳號(hào)都建立在主域中，所以其他域必須委托主域，以便主域的帳號(hào)能夠使用所有域中的資源。,單域 所有用戶帳號(hào),域的成員 在Windows 2003 Server網(wǎng)絡(luò)的一個(gè)域中，必須有一臺(tái)安裝并運(yùn)行Windows 2003 Server Server的服務(wù)器，并且此服務(wù)器必須是主域控制器（PDC），此服務(wù)器內(nèi)保存著域內(nèi)用戶與組數(shù)據(jù)庫(kù)的主備份。此外，域內(nèi)還可以存在其他服務(wù)器。如下圖：,主域控制器 是一臺(tái)運(yùn)行Windows 2003 Server 的計(jì)算機(jī)，一個(gè)域必須有且只能有一個(gè)主域控制器。 域中所有帳號(hào)、組以及安全設(shè)置等數(shù)據(jù)都集中保存在主域控制器的目錄數(shù)據(jù)庫(kù)中，因此帳號(hào)的增加與修改都是在主域控制器的目錄數(shù)據(jù)庫(kù)中進(jìn)行的。 主域控制器也可以做文件、打印或應(yīng)用軟件服務(wù)器。同時(shí)負(fù)責(zé)審核登陸者的身份。 備份域控制器 是一臺(tái)運(yùn)行Windows 2003 Server的計(jì)算機(jī)，但在安裝時(shí)被設(shè)置為備份域控制器。主域控制器會(huì)定期將目錄數(shù)據(jù)庫(kù)備份到備份域控制器中。 功能和主域控制器類似；但備份域控制器不是必須的。 可分擔(dān)審核負(fù)荷，或在PDC無法使用時(shí)提升為PDC，保證正常運(yùn)行,獨(dú)立服務(wù)器 沒有被賦予特殊的名稱；可以是文件、打印或應(yīng)用軟件服務(wù)器中的一種或多種。已經(jīng)添加到域中的獨(dú)立服務(wù)器，具有以下特點(diǎn)： 沒有備份域目錄數(shù)據(jù)庫(kù)功能。 沒有審核域登陸者身份的功能（只能審核本機(jī)登陸者身份）。 可以使用所屬域內(nèi)的帳號(hào)。 可以使用受托域內(nèi)的帳號(hào)。,安裝域控制器（ 通過Active Directory安裝向?qū)渲茫┎襟E： 開始-管理工具-配置服務(wù)器，在打開的相應(yīng)對(duì)話框內(nèi)，單擊” Active Directory安裝向?qū)А?。（或者“開始”-“運(yùn)行”-“dcpromo”啟動(dòng)向?qū)?。?啟動(dòng)向?qū)Вc(diǎn)擊”下一步“按鈕。 設(shè)置域控制器類型。 創(chuàng)建目錄樹或子域。 創(chuàng)建或加入目錄林 新的域名。如： NetBIOS域名。如：jsjxy 指定Active Directory數(shù)據(jù)庫(kù)和日志文件的位置。,當(dāng)域控制器安裝完成后，即可進(jìn)行活動(dòng)目錄的管理，資源發(fā)布及客戶機(jī)的域內(nèi)資源的訪問。 在控制面板中的管理工具窗口中，可見增加了三個(gè)圖標(biāo)： Active Directory用戶和計(jì)算機(jī)：用于域控制器的配置和管理、活動(dòng)目錄的資源發(fā)布等。 Active Directory域和信任關(guān)系：用于設(shè)置域和域之間的信任關(guān)系。 Active Directory站點(diǎn)和服務(wù)：用于配置各域控制器之間的性能優(yōu)化。,域用戶帳號(hào)與管理,在Windows 2003 Server中，域用戶管理器是用于建立和管理域中用戶帳號(hào)、組、安全規(guī)則的主要工具。 Windows 2003 Server提供兩個(gè)內(nèi)置的全局帳號(hào)，分別為 Administrator:用于對(duì)整個(gè)域進(jìn)行管理，即系統(tǒng)管理員帳號(hào)。 Guest:供臨時(shí)訪問者訪問域中資源的帳號(hào) 以上兩個(gè)帳號(hào)名稱可以被用戶修改，但是不能刪除。 當(dāng)用戶比較多時(shí)，利用組對(duì)其管理。常見組類型為 全局組、本地組,全局組：經(jīng)過適當(dāng)設(shè)置，可以在任意域中使用的組。只有域控制器才有全局組。在全局組中，只能包含該組所在域內(nèi)的用戶，不能包含域內(nèi)的用戶，也不能包含其他的本地組或全局組。 本地組：經(jīng)過適當(dāng)設(shè)置，本地組可以包含所有域中的用戶和所有全局組，但是不能包括其他本地組。對(duì)域控制器上的本地組而言，只能設(shè)置其對(duì)計(jì)算機(jī)上資源的訪問權(quán)限。,用戶帳號(hào)及建立方法。 用戶名、用戶全稱、用戶密碼、隸屬組、用戶環(huán)境配置文件、可在那些時(shí)間登陸、從那些工作站登陸、帳號(hào)有效日期、登陸命令文件、主目錄、撥入等信息。 添加一個(gè)用戶帳號(hào)后，系統(tǒng)自動(dòng)為其生成一個(gè)安全標(biāo)示碼（SID），此號(hào)碼是唯一的，系統(tǒng)利用該號(hào)碼來決定用戶權(quán)限。 一個(gè)帳號(hào)被刪除后，即使再添加一個(gè)與其同名的帳號(hào)，新帳號(hào)也不能具有與原來帳號(hào)相同的權(quán)限設(shè)置。 具體操作為：選擇“開始”程序管理工具-域用戶管理器，在其窗口里面選擇不同菜單，打開相應(yīng)對(duì)話框進(jìn)行設(shè)置。,用戶帳號(hào)管理 對(duì)用戶帳號(hào)進(jìn)行復(fù)制、修改、刪除。 安全規(guī)則及其設(shè)置 在域用戶管理器中，可以設(shè)置3種安全規(guī)則： 帳號(hào)規(guī)則：用來管理所有與用戶帳號(hào)、密碼有關(guān)的事項(xiàng)，例如密碼的期限、登陸錯(cuò)誤幾次后就將被帳號(hào)鎖定等。 用戶權(quán)限規(guī)則：用來為用戶和組指派權(quán)限，例如：那些用戶可以通過網(wǎng)絡(luò)登陸、那些用戶可以從本機(jī)直接登陸等。 審核規(guī)則：用來設(shè)置是否對(duì)某些事件進(jìn)行記錄。例如：可以設(shè)定將登陸、注銷的成功、失敗狀況等記錄到安全日志中。,用戶帳號(hào)和組 每個(gè)要登陸到域的用戶都需要一個(gè)用戶帳號(hào)，帳號(hào)包含用戶名稱、密碼、用戶權(quán)限、訪問權(quán)限等信息。 用戶帳號(hào)分為：全局帳號(hào)和本地帳號(hào)，添加到域中的帳號(hào)默認(rèn)為全局帳號(hào)。 Windows 2003 Server提供兩個(gè)內(nèi)置的全局帳號(hào)，分別為 Administrator