Windows2003活动目录详解

null第1章 活动目录简介第1章 活动目录简介本节内容: 1.1 活动目录简介 1.2 活动目录的逻辑结构 1.3 活动目录的物理结构 1.4 设置DNS服务支持活动目录 学习目标 理解活动的概念 掌握活动目录的特点和好处 掌握活动目录的逻辑结构组成 掌握活动目录的物理结构组成 理解活动目录和DNS服务的关系第一部分第一部分 基础篇 第一章 Windows Server 2003 活动目录 第二章 创建活动目录域和目录林结构1.1活动目录简介1.1活动目录简介本节内容 什么是活动目录 活动目录对象 活动目录架构 轻型目录访问 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 活动目录的特点 利用活动目录来实行集中式管理 学习目标 理解活动目录的基础概念 认识应用活动目录对网络管理带来的好处1.1.1活动目录是什么？1.1.1活动目录是什么？活动目录提供目录服务功能，包括一种集中组织、管理和控制网络资源访问的方法。活动目录使物理网络拓扑和协议透明化，这样网络上的用户可以访问任何资源，不需要知道资源在什么地方或物理上它是如何连接到网络上的1.1.2活动目录的对象1.1.2活动目录的对象1.1.3 活动目录的结构1.1.3 活动目录的结构对象类打印机计算机用户用户的属性 可以包含:accountExpires department distinguishedName middleName属性列 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf accountExpires department distinguishedName directReports dNSHostName operatingSystem repsFrom repsTo middleName … 属性活动目录架构： 定义了数据类型、语法 规则 编码规则下载淘宝规则下载天猫规则下载麻将竞赛规则pdf麻将竞赛规则pdf 、命名约定 1.1.4 轻量目录访问协议 (LDAP)1.1.4 轻量目录访问协议 (LDAP)LDAP 提供了一种与活动目录通讯的方法，通过为目录中的每一个对象指定唯一的命名路径 LDAP 命名路径包括: 标识名 相对标识名CN=crq,OU=aoc,DC=ncie,DC=com1.1.5活动目录的特点1.1.5活动目录的特点1.1.6 利用活动目录来实行集中式管理1.1.6 利用活动目录来实行集中式管理　活动目录: 可以使一个管理员集中管理网络资源 可以使管理员容易的确定对象的信息 可以使管理员把相似的对象组织到 OU 中 可以使管理员给站点、域或 OU 指定具体的组策略设置1.2　活动目录的逻辑结构1.2　活动目录的逻辑结构本节内容 域（Domain） 组织单元（Organization Unit） 域树（Domain Tree） 全局编录（Global Catalog） 学习目标 掌握活动目录逻辑结构的分类 掌握每种逻辑结构的作用和特点 掌握活动目录中全局编录的作用1.2.1 域（DOMAIN）1.2.1 域（DOMAIN）域是是活动目录的中逻辑结构的核心单元，一个域包含许多台计算机，它们由管理者设定，共用一个目录数据库。一个域有一个唯一的名字 域起着安全边界的作用：保证域的管理者只能在该域内有着必要的管理权限，每个域都有自己的安全策略和与其它域的安全联系方式 域同时也是一个复制单元，作为域控制器的计算机包含活动目录的副本。在一个特定的域中，所有域控制器都能得到活动目录的变化信息，并把这些变化的信息复制给该域中的其它域控制器 Windows 2000 域User1 User2复制1.2.2 组织单元（OU）1.2.2 组织单元（OU）OU 可以把对象组织到一个逻辑结构中，使其能最佳适应组织的需要 委派 OU 的管理控制权，必须把 OU 及 OU 包含对象的具体的权限指定给一个或几个用户和组组织结构SalesaecRepairUsersaocComputers网络管理模型1.2.3 域树与域目录林1.2.3 域树与域目录林域目录林具有以下特点域目录林具有以下特点目录林中的所有域树拥有相同的架构和全局目录 目录林中的第一个域称为该目录林的根域 用目录林根域名字作为目录林的名字 目录林的根域和该目录林中的其它域树的的根域之间存在双向可传递的信息关系 1.2.4全局目录（GC）1.2.4全局目录（GC）1.3 活动目录的物理结构1.3 活动目录的物理结构本节内容 域控制器（Domain Cotroller） 站点（Site） 学习目标 掌握活动目录物理结构的分类 掌握每种物理结构的作用和特点 1.3.1域控制器1.3.1域控制器 1.3.1 站点1.3.1 站点 站点: 优化复制流量 使用户能够使用可靠、高速的连接登录到域控制器上站点的特点站点的特点　　　站点一般与地理位置相对应，它由一个或几个物理子网组成。创建站点的目的是为了优化DC之间复制的流量。 一个站点可以有一个或多个IP 一个站点中可以有一个或多个域 一个域可以属于多个站点 1.4 DND 服务支持活动目录1.4 DND 服务支持活动目录本节内容 DNS服务的作用 DNS与活动目录名称空间 服务资源记录 活动目录集成区域 设置DNS服务支持活动目录 学习目标 理解DNS服务的作用 DNS与活动目录的关系 SRV记录的作用 AD集成区域的特点 设置DNS服务支持活动目录 1.4.1 DNS（域名服务）作用1.4.1 DNS（域名服务）作用1.4.2 DNS与活动目录的命名空间1.4.2 DNS与活动目录的命名空间DNS主机名与计算机名DNS主机名与计算机名DNS主机记录与活动目录的组件可表示同一台计算机 计算机可以依靠DNS在活动目录内定位域控制器DNS“.”com.salestrainingcomputer1microsoft全称域名（FQDN） = computer1.training.microsoft.com Windows 2000 计算机名 = Computer11.4.3 服务资源记录1.4.3 服务资源记录第二章　创建活动目录域和目录林结构第二章　创建活动目录域和目录林结构本章内容 2.1 安装活动目录 2.2 把计算机加入到域 2.3 安装现有域的额外域控制器 2.4 在现有域下安装子域实现域树结构 2.5 创建森林中的一棵树 2.6 在域控制器上删除活动目录 学习目标 安装活动目录的前提条件 活动目录的安装过程 活动目录安装后的变化 如何把计算机加入到域 理解活动目录的逻辑结构 掌握活动目录的删除过程2.1 安装活动目录2.1 安装活动目录本节内容 安装活动目录的前提条件 活动目录的安装过程 安装活动目录后操作系统的变化 学习目标 安装活动目录前提准备工作 执行活动目录的安装过程 安装完成后验证活动目录安装的完整性介绍如何创建基于Windows 2003的域介绍如何创建基于Windows 2003的域域是核心管理单元 活动目录中创建的第一个域是整个目录林中的根域或根 使用活动目录安装向导可以创建域和域控制器 准备安装活动目录 准备安装活动目录创建第一个域创建第一个域 启动活动目录安装向导选择域控制器和域的类型定制新域所需要的信息 域名，DNS名，和NetBIOS名 数据库文件，日志文件，和共享系统卷的位置 指定使用目录服务恢复模式的密码 活动目录安装向导: 安装活动目录 把计算机转换成域控制器添加一个复制域控制器添加一个复制域控制器为保证容错的需要，一个域中至 少应有两个域控制器 具有一个以上的域控制器，可 防止单个域控制器过载的现象发生 使用Dcpromo命令把域控制器加入到现存的域中 活动目录安装向导: 可把计算机转换成域控制器 从现存的域控制器上复制活动目录2.1.1 安装活动目录的前提条件2.1.1 安装活动目录的前提条件在一台计算机上安装活动目录的必备条件 操作系统必须是Windows 2003 Server以上版本 执行活动目录安装的用户必须具有管理权限 计算机至少有250M的空间，而且至少有一个NTFS分区 计算机必须安装TCP/IP,而且正确配置DNS 活动目录的安装实验物理环境 活动目录的安装实验物理环境 将FAT/FAT32转换成NTFS 将FAT/FAT32转换成NTFS活动目录安装后的工作活动目录安装后的工作校验活动目录安装 实现活动目录集成区域 确保活动目录集成区域安全更新 转换域模式 实现组织单元（OU）结构校验活动目录安装校验活动目录安装实现活动目录集成区域实现活动目录集成区域使用与活动目录集成的DNS区域 实现正向查找区域 实现反向查找区域 确保活动目录集成区域安全更新确保活动目录集成区域安全更新使用活动目录集成的区域来确保DNS的安全更新 通过安全的活动目录集成的区域，用户可以控制区域和资源纪录的访问2.2 把计算机加入到域2.2 把计算机加入到域本节内容 哪些计算机能成为windows2003 Server域的成员 把计算机加入到域 学习目标 把计算机加入到域2.2.1哪些计算机能成为windows2003 Server域的成员2.2.1哪些计算机能成为windows2003 Server域的成员Windows NT Windows 2000 Windows Server 2003 Windows XP2.2.2 把计算机加入到域2.2.2 把计算机加入到域加入到域ncie.com客户端加入到域之前的准备客户端加入到域之前的准备客户端要要正确配置TCP/IP参数 客户端的DNS指向和DC的DNS指向保持一致 加入到域的用户权限 Win2000起,域中的普通用户 Windows NT4.0,具备Administrator权限 域普通用户最多只能加入出 10台 Administrator是没有限制2.3 安装现有域的额外的域控制器2.3 安装现有域的额外的域控制器本节内容 利用网络安装现有域的额外的域控制器 利用磁盘复制安装现有域的额外的域控制器 学习目标 掌握在现有域中安装额外的域控制器的方法额外的域控制器额外的域控制器2.2.3 利用磁盘复制安装现有域的额外的域的域控制器2.2.3 利用磁盘复制安装现有域的额外的域的域控制器ncie.com2.4 在现有域下安装子域实现域树结构2.4 在现有域下安装子域实现域树结构本节内容 在现有域下安装实现域树结构 学习目标 在现有域下安装一个子域在现有域下安装子域实现域树结构在现有域下安装子域实现域树结构2.5 创建目录林中的一棵树2.5 创建目录林中的一棵树本节内容 创建目录林中的一棵域树 学习目标 在目录林中创建一棵域树 创建目录林中的一棵树创建目录林中的一棵树目录林根域新域树2.6 在域控制器上删除活动目录2.6 在域控制器上删除活动目录本节内容 在域控制器删除活动目录 学习目标 删除活动目录第二部分第二部分 基本管理篇 第3章 在活动目录中管理用户 第4章 在活动目录中管理组账号 第5章 在活动目录中重用OU管理资源 第6章 在活动目录中发布资源第三章 在活动目录中管理用户第三章 在活动目录中管理用户本节内容 3.1 用户账号的介绍 3.2 创建用户账号 3.3 管理用户账号 3.4 账号安全 学习目标 理解用户账号的作用 掌握创建用户账号的方法 管理用户账号的方法 实现账号安全3.1 用户账号的介绍3.1 用户账号的介绍本节内容 用户账号的一般性介绍 用户主名 用户主名后缀 学习目标 用户账号在网络中的作用 用户主名的使用 用户主名后缀的创建及使用3.1.1用户账号的一般介绍3.1.1用户账号的一般介绍Windows Server 2003 用户账号 本地用户账号 域用户账号 域用户账号 域用户账号域用户账号是在DC上建立的，域用户账号是访问域的唯一凭证，作为AD的一个对象保存在域的AD数据库中。用户从域中的任何一台计算机登录到域中的时候必须提供一个合法的域用户账号，该账号将被域的DC所验证。 介绍用户登录名 介绍用户登录名用户主名 缺省情况下后缀是网络中 根域的名字，也可使用其 它域为用户配置其它后缀 用户登陆名 (Pre-Windows 2000) 用户登录时可选择域 用户登陆名唯一性原则 容器中的全名必须唯一 在目录林中，用户主名必须唯一 用户登录名 (pre-Windows 2000) 在域中必须唯一3.2 创建用户账号3.2 创建用户账号本节内容 使用“Acitve Directory用户和计算机”创建用户账号 使用dsadd命令创建用户账号 在域中的成员服务器具上安装管理工具包 利用Run AS执行管理任务 在域控制器上登录 学习目标 掌握用不同的方法创建用户账号 在成员服务器上执行管理任务 巧用Run AS工具3.2.2 使用dsadd命令创建用户账号3.2.2 使用dsadd命令创建用户账号c:\dsadd /? c:\dsadd user / 在域ncie.com中创建用户crq c:\dsadd user cn=crq,dc=ncie,dc=com（默认禁用，且不在User容器中） 在域ncie.com中创建用户crq，且启该账号 c:\dsadd user cn=crq,dc=ncie,dc=com –disabled on 在域ncie.com的aoc的OU中创建用户crq，且启该账号 c:\dsadd user cn=crq,ou=aoc,dc=ncie,dc=ncie,dc=com –disabled on 查看用户信息 c:\dsget user cn=crq,ou=aoc,dc=ncie,dc=com查看相关命令3.2.3在域中的成员服务器具上安装管理工具包3.2.3在域中的成员服务器具上安装管理工具包Windows Server 2003 安装盘I386目录下ADMINPAK.MSI C:\WINDOWS\SYSTEM32\adminpak.msi3.3 管理用户账号3.3 管理用户账号本节内容 执行用户账号公共管理任务 在AD中查找用户账号 设置用户账号属性 域用户账号复制 删除域用户账号 学习目标 掌握管理用户账号的方法 用户账号各项属性的作用 对用户账号执行日常的管理任务3.3.1执行用户账号公共管理任务3.3.1执行用户账号公共管理任务添加到组 禁用账号 重设密码 移动 删除 重命名3.3.2 设置用户账号属性3.3.2 设置用户账号属性3.3.3 在AD中查找用户账号3.3.3 在AD中查找用户账号3.3.4 域用户账号复制3.3.4 域用户账号复制3.3.5 删除域用户账号3.3.5 删除域用户账号使用“Acitve Directory用户和计算机”创建用户账号 使用dsadd命令创建用户账号 删除域中的用户账号必有具有域的管理权限 只能删除创建的用户账号 内置用户账号不能删除 使用dsrm命令删除用户账号使用dsrm命令删除用户账号删除域ncie.com中crq账号 c:\dsrm cn=crq,dc=ncie,dc=com 删除域ncie.com中容器的crq账号 c:\dsrm cn=crq,cn=user,dc=ncie,dc=com 删除域ncie.com中crq账号,不加提示信息 c:\dsrm cn=crq,dc=ncie,dc=com –noprompt 删除域ncie.com中容器ou1的crq账号 c:\dsrm cn=crq,ou=ou1,dc=ncie,dc=com3.4 账号的安全3.4 账号的安全本节内容 账号管理的一般性原则 密码策略 管理Administrator账号 管理Guest账号 查看用户账号的SID 学习目标 掌握账号安全的原则 设置严格的密码策略 敏感账号的管理3.4.1账号管理的一般性原则3.4.1账号管理的一般性原则 管理用户账号应遵循的原则 确保网络中只有必需的账号被使用,及时删除不使用的账号,而且每个账号仅有能够满足他们完成工作的最小权限 重命名敏感用户账号 实施严格的密码策略,阻止对密码的暴力攻击 设置账号锁定策略3.4.2 密码策略3.4.2 密码策略　　　严格的密码策略是保证系统安全的第一道屏障。当用户在设置密码时应该尽量避免下面的习惯、 空密码 与用户登录名相同及用户登录名的简单化 与用户的相关的个人信息 英文单词 3.4.3 管理Administrator账号3.4.3 管理Administrator账号不能删除、禁用、修改权限 可以更改名称3.4.5 查看用户账号的SID3.4.5 查看用户账号的SIDSID （Security Identifier,安全标识）是一种不同长度的数据结构，用来识别用户、组和计算机 SID中综合了计算机名字、当前时间以及处理当前用户线程所花费的CPU时间等信息 c:\whoami /user（查看当有用户账号的SID）第４章　在活动目录中管理组账号第４章　在活动目录中管理组账号学习目标 4.1 组账号的介绍 4.2 活动目录中组账号的分类 4.3 在域中创建组账号 4.4 管理组账号 4.5 在域中实现AGDLP法则　 4.6 使用默认组 学习目标 掌握组账号的作用 了解组的分类 域中组的分类和组的范围 全局组、本地组及通用组的使用 掌握如何在域中实现AGDLP法则 认识默认组4.1 组账号4.1 组账号本节内容 组账号介绍 Windows Server 2003 中组的类别 学习目标 了解组账号的作用 掌握Windows Server 2003 中工作组的类别 掌握Windwos Server 2003 中域中组成的类别4.1.1 组账号介绍4.1.1 组账号介绍组是用户账号的逻辑的集合 将用户账号分组管理便于提高管理域资源的访问 介绍活动目录中的组介绍活动目录中的组4.1.2 Windos Server 2003 中组的类别4.1.2 Windos Server 2003 中组的类别工作组中的组 内置组和本地组（组模式） 域中的组 非DC中的组 DC中的组 4.2 活动目录组账号的分类4.2 活动目录组账号的分类本节内容 组的类型 组的范围 学习目标 掌握域中组的分类 掌握域中组的范围 4.2.2 组的类型4.2.2 组的类型通讯组 用来组织用户账号，没有安全性，一般说不用于授权 安全组 具备通信组的全部功能，用来为用户和计算机分配权限 使用全局组 使用全局组 使用域本地组 使用域本地组 使用通用组 使用通用组 使用全局和域本地组 使用全局和域本地组4.3 在域中创建组账号4.3 在域中创建组账号本节内容 使用“Active Directory用户计算机”创建组账号 使用dsadd命令创建组账号 学习目标 掌握在域中创建账号的不同方法4.3.1使用“Active Directory用户计算机”创建组账号4.3.1使用“Active Directory用户计算机”创建组账号4.3.2 使用dsadd命令创建组账号4.3.2 使用dsadd命令创建组账号在域ncie.com中创建aoc组（默认安全-全局组） c:\dsadd group cn=aoc,dc=ncie,dc=com 在域ncie.com中创建安全-本地域组aoc c:\dsadd group cn=aoc,dc=ncie,dc=com –scop l 在域ncie.com中创建一个通用组aoc c:\dsadd group cn =aoc,dc=ncie,dc=com –scope u 使用dsadd命令创建组账号使用dsadd命令创建组账号在域ncie.com中ou1下创建组aoc在域中ncie.com中ou1下创建组aoc c:\dsadd group cn=aoc,ou=ou1,dc=ncie.dc=com 在域ncie.com中ou1下创建一个组aoc,并把ou1下的用户账号aec加入到aoc组中 c:\dsadd group cn=aoc,ou=ou1,dc=ncie,dc=com –members cn=aec,ou=ou1,dc=ncie,dc=com4.4 管理账号4.4 管理账号本节内容 组账号的常规管理任务 在活动目录中删除组账号 学习目标 掌握如何在域中对组账号进行管理 掌握如何在域中删除组账号4.1.1 组账号的常规管理任务4.1.1 组账号的常规管理任务　　组账号的管理涉及到组账号信息的设置、管理组账号的成员关系、设置组账号的管理者及账号的重命名和删除等4.2.2 在活动目录中删除组账号4.2.2 在活动目录中删除组账号在域ncie.com中删除User容器内的aoc组账号，并不出现提示信息 c:\dsrm –no pormpt cn=aoc,cn=users,dc=ncie,dc=com 在域ncie.com中删除OU1容器内aoc组账号，并不出现提示信息 c:\dsrm –no pormpt cn=aoc,ou=ou1,dc=ncie,dc=com4.5 在域中实现AGDLP法则4.5 在域中实现AGDLP法则　4.6 使用Windows Server 2003 中的默认组　4.6 使用Windows Server 2003 中的默认组本节内容 预定义组 内置组 内置本地组 特殊组 学习目标 认识Windows Server 2003 中的默认组 了解每个默认组和特点和功能4.6.1 预定义组4.6.1 预定义组4.6.2 内置组4.6.2 内置组4.6.3 内置本地组4.6.3 内置本地组第５章在活动目录中利用OU管理资源第５章在活动目录中利用OU管理资源本章内容 5.1 组织单位简介 5.2 在活动目录中创建OU 5.3 在活动目录中管理OU 5.4 活动目录中对象的安全性设置 5.5 用户登录进程 5.6 访问令牌（Access Token） 5.7 在活动目录中实现委派管理控制 学习目标 组织单位的功能 在AD中创建及管理OU 实现AD中对象的安全性 理解用户登录进程 访问令牌的作用 AD中委派管理控制的作用及实施5.1 组织单位简介5.1 组织单位简介本节内容 组织单位的功能 组织单位和组账号的区别 组织单位和域的关系 组织单位和其他活动目录容器的区别 学习目标 掌握在AD中OU的作用 理解OU和组账号的异同 理解OU和域的关系 理解OU和其他容器的异同 5.1.1组织单元的功能（OU）5.1.1组织单元的功能（OU）OU 可以把对象组织到一个逻辑结构中，使其能最佳适应组织的需要 委派 OU 的管理控制权，必须把 OU 及 OU 包含对象的具体的权限指定给一个或几个用户和组组织结构AecAOCAxcUsersNcieComputers网络管理模型5.1.2 组织单元和组账号的区别5.1.2 组织单元和组账号的区别相同之处： OU和组账号都是活动目录的对象 不同之处： 组账号中包含的对象类型有限，只能是账号 OU中可以包含账号、计算机、打印机、共享文件夹组织单元的功能组织单元的功能可以使一个管理员集中管理网络资源 可以使管理员容易的确定对象的信息 可以使管理员把相似的对象组织到 OU 中 可以使管理员给OU 指定具体的组策略设置　5.1.3 组织单元和域的关系　5.1.3 组织单元和域的关系OU和域都属于活动目录的逻辑结构范畴 相同点：OU和域都是用户和计算机的管理单元，都可以容纳活动目录的对象，都可以对其设置组策略 不同点：用户只能登录到域，而不能登录到OU 先有域，后有OU OU只能存在域中，域不能在OU中存在 域的级别比OU高5.1.4 组织单位和容器的区别5.1.4 组织单位和容器的区别OU既可以包含活动目录的对象,也可以对其设置组策略 其他容器只能包含活动目录对象，不能对其设置组策略 5.2 在活动目录中创建OU 5.2 在活动目录中创建OU本节内容 使用“Active Directory用户和计算机”创建OU 使用dsadd命令创建OU 学习目标 掌握用不同方法创建OU 在活动目录中实现OU的嵌套5.2.1使用“Active Directory用户和计算机”创建OU5.2.1使用“Active Directory用户和计算机”创建OU普通容器对象不能创建OU 普通容器和OU是平级的，没有包含关系 只能在域或OU下创建一个OU5.2.2使用dsadd 命令创建OU5.2.2使用dsadd 命令创建OU在ncie.com域中创建名为aoc的OU，其命令为 c:\dsadd ou ou=aoc,dc=ncie,dc=com 创建OU的名字有空格，要把名字用双引号括起来 c:\dsadd ou ou=“aoc department”,dc=ncie,dc=com 在同一个OU创建子OU时 c:\dsadd ou ou=aec,ou=aoc,dc=ncie,dc=com 5.3 在活动目录中管理OU5.3 在活动目录中管理OU本节内容 在活动目录中对OU执行常规管理任务 在OU之间移动活动目录对象 在活动目录中删除OU 学习目标 掌握如何在域中对OU的属性执行管理 掌握域中移动活动目对象的方法 掌握如何在域中删除OU5.3.1在活动目录中对OU执行常规管理任务5.3.1在活动目录中对OU执行常规管理任务OU的管理包括： OU的常规信息 OU管理者 对象 安全性 组策略 OU的常规信息 OU的常规信息 设置OU管理者 设置OU管理者 设置OU的对象 设置OU的对象 设置OU的安全 设置OU的安全5.3.2在OU之间移动活动目录对象5.3.2在OU之间移动活动目录对象用户移动账号后,赋予该用户账号的权限设置不会变 该用户账号会使用新OU的组策略设置5.2.3 在活动目录中删除OU5.2.3 在活动目录中删除OU删除OU要具有一定的权限 检查该OU是否还有继续使用的活动目录对象使用命令行删除OU使用命令行删除OU删除ncie.com域中OU（aoc） c:\dsrm ou=aoc,dc=ncie,dc=com 删除OU时不希望出现提示 c:\dsrm –nopromt ou=aoc,dc=ncie,dc=com 删除包含子对象的OU c:\dsrm –subtree ou=ou1,dc=ncie,dc=com 删除OU中的子对象，但并不删除OU c:\dsrm –subtree –exclude ou=ou11,dc=ncie,dc=com 5.4活动目录中对象的安全性设置5.4活动目录中对象的安全性设置本节内容 活动目录安全组件 访问控制列表 权限的特点 活动目录中权限的继承 活动目录对象的所有者 学习目标 掌握活动目录中安全组件的构成 掌握活动目录中访问控制列表的分类作用 掌握活动目录中对象权限的基本特点 掌握活动目录中权限的继承关系 掌握活动目录中对象所有者的作用及取得所有权 5.4.1活动目录安全组件5.4.1活动目录安全组件 安全主体 包含用户、安全组和计算机帐户 由唯一的安全标识符所标识 安全标识符 (SIDs) 用来唯一标识安全主体 不能重复使用 安全描述符 包含与安全主体相关的安全信息 包含动态访问控制列表（DACL）和系统访问控制 列表（SACL）5.4.2访问控制列表5.4.2访问控制列表访问控制列表 (DACL) 用来标识安全主体是否可以访问特定对象，以及允许访问或拒绝访问的深度 系统访问控制列表 (SACL) 用于控制活动目录对象访问审核访问控制项（ACE）访问控制项（ACE）活动目录对象（DACL）活动目录对象（DACL）DACL中的ACEDCAL系统访问控制列表（SACL）系统访问控制列表（SACL）SACL中的ACESACL活动目录3种权限的设置活动目录3种权限的设置5.4.5 活动目录对象的所有者5.4.5 活动目录对象的所有者5.5 用户登录进程5.5 用户登录进程本节内容 交互登录进程 网络登录进程 学习目标 掌握用户登录的过程 了解登录进程和种类用户登录过程用户登录过程用户登录本地安全子系统为用户取得一个会话凭证本地安全子系统请求一个工作站服务的会话凭证Kerberos 发送一个工作站服务的会话凭证本地安全子系统建立一个访问标记用户的进程被缚上访问标记123456本地 安全 子系统域控制器全局目录 服务器申请访问 令牌1申请申请2346建立 访问标记（令牌）5Kerberos 服务访问标记（令牌）的作用访问标记（令牌）的作用访问标记: 在用户登陆过程中建立，在访问对象时需要使用访问标记 包含SID ，一个唯一的标识符来代表一个用户或一个组 包含组ID，用户所属的组列表 包含用户权利，用户的特权访问 标记Security ID: S-1-5-21-146... Group IDs: Employees EVERYONE LOCAL User Rights: SeChangeNotifyPrivilege - (attributes) 3 SeSecurityPrivilege - (attributes) 0 如何授权对资源的访问如何授权对资源的访问5.4.4 活动目录中权限继承5.4.4 活动目录中权限继承在子对象建立的时候，不再人为地把权限应用于子对象 确保应用于父对象的权限也同时应用于子对象 确保在需要改变容器内所有对象的权限时，只需要改变父对象权限而子对象将自动继承这些变化 确保ACE应用于活动目录对象时，在继承的ACE发生冲突之前已经应用ACE控制对活动目录对象的访问控制对活动目录对象的访问活动目录权限 控制权限继承 设置活动目录权限 对象所有权 改变对象所有权活动目录权限活动目录权限 权限: 可以被允许或拒绝 可以间接或直接拒绝 可以设置 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 权限和特殊权限 控制权限继承控制权限继承 对象被创建时， 会自动继承权限 可以阻止权限继承 可以把以前继承的权限拷贝到对象上 可以删除以前对象继承的权限设置活动目录权限设置活动目录权限标准权限特殊权限对象所有权对象所有权每一个对象都有一个所有者 所有者控制对象权限的设置，以及这些权限授权给哪些人 如果管理员组的成员拥有所有权，那么默认的所有者是该组，而不是单个用户5.7在活动目录中实现委派管理控制5.7在活动目录中实现委派管理控制本节内容 委派管理概述 在AD中实现委派 验证委派权限 在AD中收回委派的权限 委派管理控制原则 学习目标 理解在AD中委派管理的好处 掌握在AD中如何实现委派管理 如何对委派权限进行验证 掌握在AD中如何收回委派的权限 理解委派管理控制的原则委派管理控制综述委派管理控制综述 委派管理的方式: 改变特定容器的属性 建立和删除组织单元中某种具体类型的对象 更新组织单元中某种具体类型对象的某种具体属性使用委派控制向导使用委派控制向导把管理控制委派给用户或组启动委派控制向导选择将要委派控制的用户或组指定委派的任务选择活动目录对象类型把权限分派给将要委派控制的用户或组委派管理控制的原则委派管理控制的原则第六章 在活动目录中发布资源第六章 在活动目录中发布资源本节内容 6.1 介绍发布资源 6.2 设置和管理发布打印机 6.3 设置和管理共享文件夹 6.4 比较发布对象和共享资源 6.5 在活动目录中发布资源的原则 学习目标 理解活动目录中发布资源的作用 掌握在活动目录中发布打印机 掌握在活动目录中管理发布共享文件夹 掌握在活动目录中管理发布的共享打印机 发布对象的共享资源的区别 掌握在活动目录中发布资源的原则6.1 介绍发布资源6.1 介绍发布资源本节内容 发布资源的概念 在活动目录中发布资源的特点 学习目标 理解活动目录中发布资源的作用 掌握活动目录中发布资源的特点　6.1.1 发布资源介绍　6.1.1 发布资源介绍发布资源: 需要在活动目录中创建对象: 可直接包含所需要的信息 提供信息的参考服务器1活动目录6.1.2 在活动目录中发布资源的特点6.1.2 在活动目录中发布资源的特点服务器活动目录在AD中发布资源可以确定资源位置，即使资源的物理位置发生了改变 应该把静态的、很少改动的资源发布到活动目录中 用户经常访问的资源如打印机、共享文件夹发布到活动目录中6.2 设置和管理发布打印机6.2 设置和管理发布打印机打印机发布介绍 管理打印机发布 在没有运行 Windows 2003的计算机上发布打印机 管理已发布的打印机 6.2.1 打印机发布介绍6.2.1 打印机发布介绍6.2.2 创建并发布打印机6.2.2 创建并发布打印机　　　在某运行 Windows 2003的计算机上创建并发布打印机: 安装和共享一个打印机 在活动目录中发布打印机打印机 发布安装和共享创建并发布打印机实验创建并发布打印机实验实验:在Windows Server 2003域中创建并发布打印机 实验目的:实现域中的打印机发布6.3 设置和管理发布共享文件夹6.3 设置和管理发布共享文件夹在活动目录中发布共享文件夹实验在活动目录中发布共享文件夹实验实验:在Windows Server 2003域中创建并发布共享文件夹 实验目的:实现域中的共享文件发布在活动目录中发布资源最佳 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 在活动目录中发布资源最佳方案