第六章 Windows域管理.docVIP

Windows域管理 很多人对域名、活动目录、DHCP、DNS等术语可能还停留在概念性的阶段，于实际操作却有些陌生，本章有助于改善这一点。本章主要内容包括： 介绍域、活动目录等基础概念； 活动目录部署和配置； DHCP部署和配置； 组策略 涉及以下一些方面： 普通Server 2003和域控制器之间的升降级 DHCP和DNS的配置使用 添加或删除域用户 计算机加入域 SAM数据库和Syskey 组策略应用：对组策略进行编辑、设置，掌握强化系统的安全性的方法。 域管理基础 域是（Domain） 域和工作组 首先我们介绍一下工作组（Work Group）域和工作组是环境的两种不同的网络资源管理模式。 工作组是我们默认安装完系统以后的最初、也是最常用的一种工作模式工作组将局域网的电脑按功能分组，以便浏览共享资源。同一个工作组内部成员网上邻居资源共享。从网上邻居最先看到的是机所在的工作组的机器。 工作组就像一个自由加入和退出的俱乐部一样可以随时自由出入限制，它本身的作用仅仅是提供一个房间，。在模式下，任何一台电脑只要接入网络，其他机器就都可以访问共享资源，没有server或client的概念。共享文件加访问密码，非常容易被破解。以工作组组成的局域网，每一台电脑一切设置在本机上进行包括各种策略，用户也是在本机的，密码是放在本机的数据库来验证的。 域的提出，放弃了可以随便出出进进工作组，而严格控制。域既是Windows网络系统的逻辑组织单元，也是Internet的逻辑组织单元在Windows系统中，域是安全边界。以域方式组成的网络，里面必须至少有一台服务器作为管理机，即域控制器（Domain Controller，DC）同一个域中的计算机彼此之间已经建立了信任关系一个独立的工作站上，域就是计算机自身。 可以把域和工作组联系起来理解信任域管理员只能管理域的内部，除非其他的域显式地赋予他管理权限，他才能访问或管理其他的域。如果计算机加入域的话，各种策略是域控制器统一设定，用户名和密码也是放到域控制器去验证这样做方便管理 不同于工作组，域的登陆密码是通过服务器验证的当电脑联入网络时，域控制器首先要进行网络身份验证鉴别这台电脑是否属于域，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。他只能用户访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。域的安全性高于工作组。 一个好的安全体系是多层防护的当多个域通过信任关系连接起来，并且共享一个模式、配置和全局目录的时候，它们组成一个域树。多个域树可以组成一个森林。相互信任的一个或多个活动目录树形成的小组。 活动目录 域中使用控制器Active Directory用户和计算机创建域的账户、密码、属于域的计算机等信息存储在Active Directory数据库中。Active Directory数据库 利用活动目录自带的强大功能，可以非常有效的帮助企业强化网络整体安全。简单来说，活动目录的首要目标是客户端的安全管理标准化管理用户计算机乱装软件乱拷东西把所有计算机的软件或者桌面都统一如果这两点完成了，那么再往高级了说，活动目录将成为企业基础架构的根本，所有的高级服务都会向活动目录整合，以利用其统一的身份验证、安全管理以及资源公用。 域可以跨越多个物理区域帐户可以在同一域的任何一台计算机登陆。 活动目录对整个网络系统中不同角色的信息整合作用如图2-1-1所示。 图2-1-1 活动目录中的信息 DNS服务主要用于名称解析和查询，AD的可靠性和可用性很大程度上依赖于DNS服务的正常运行，如果没有DNS服务，DC将无法互相查找并复制目录信息，客户端也将无法联系DC来进行身份验证。Windows2000/2003中的DNS区域可以与AD集成，集成的DNS区域数据存放在AD中。使用组策略设置DNS服务自动启动，控制器只归域管理员，可以避免DNS服务被未经授权的用户操纵，也可防止管理员疏忽而禁用该服务。 域模型与信任关系 信任关系是域与域之间建立的连接关系。它可以执行对经过委托的域内用户的登录审核工作。域之间经过委托后，用户只要在某一个域内有一个用户帐号，就可以使用其他域内的网络资源了。例如， 若A域信任委托B域，则B域的用户可以访问A域的资源，而A域的用户则不能访问B域的资源，这就是单向委托。若A域的用户也想访问B域的资源，那么必须再建立B域信任A域的委托关系，这就是双向委托。 有四种基本的域模型： 单域模型：网络中只有一个域，就是主域，域中有一个主域控制器和一或多个备份域控制器。该模型适合于用户较少的网络。 主域模型：网络中至少有两个域，但只在其中一个域（主域）中创建所有用户并存储这些用户信息。其他域则称为资源域，负责维护文件目录和