管理 Microsoft Windows Server 2003 网络环境活动目录设计和实施.ppt

中国企业网管联盟 ITPro俱乐部（全国）QQ群ITPro俱乐部（全国）QQ群管理 Microsoft Windows Server 2003 网络环境  （活动目录设计和实施） 商业场景 你是某公司的系统管理员，公司之前的网络管理非常分散，网络中病毒泛滥，系统经常崩溃，文件经常丢失，用户网络行为很难控制，职员经常玩游戏看电影，管理员每天的工作都忙于维护机器，如重装系统，杀毒等等，整个公司的信息化办公效率非常低下． 现在公司要求规划活动目录域环境，实现集中管理，杜绝以上问题的产生． 公司网络环境 总部在青岛，分部在北京，德国，三地经常互访网络资源，网络通过VPN连接 要求实现每个站点的ＤＣ和ＤＮＳ容错 管理权在总部，分布只有部分权限 创建ＯＵ，规划好活动目录结构 实现打印机位置，方便用户快速寻找打印机 通过组策略管理用户和计算机 维护好活动目录的复制和活动目录数据库 通过ＳＭＳ管理公司的资产，实现远程控制以及软件分发 今日议程： 域和工作组的区别 实验：域中计算机之间的资源互访 Windows Server 2003活动目录的概述 实验：使用活动目录管理资源 组策略基础 实验：组策略管理企业网络安全 实验：使用GPO配置用户桌面环境 实验：使用GPO发布应用软件 实验：使用GPO限制应用软件 安全个体，SID，SAM 安全个体：是指能够产生与安全相关的行为的实体（比如用户和组是安全实体，而打印机则不是） SID：在计算机世界中标识一个安全个体的唯一凭证编号。就象身份证号码唯一标识每个中国公民一样。 SAM：是集中管理安全个体的数据库。 工作组 域 是指由管理员定义的计算机、用户和组对象的集合。这些对象共享公用目录数据库、安全策略以及与其他域之间的安全关系。 计算机加入域 必要条件: 可用的DC（域控制器） 可用的DNS 服务器 正确的域名 有权限将用户加入域的用户帐号和密码 将客户机加入到域 将客户机加入到域 将客户机加入到域 将客户机加入到域 将客户机加入到域 将客户机加入到域 将客户机加入到域 将客户机加入到域 将客户机加入到域 将客户机加入到域 将客户机加入到域 将客户机加入到域 将客户机加入到域 主题 2 : Windows Server 2003 活动目录概述 主题： 1.什么是活动目录 2.活动目录的数据库 3.活动目录的逻辑结构 4.活动目录的物理结构 5.活动目录和DNS服务 6.管理活动目录中的用户 7.管理活动目录中的组 1.什么是活动目录 活动目录是一个存放相关对象的信息源 2.活动目录的数据库 2.1活动目录中存储：对象，属性，类 使用“活动目录和计算机”工具查看对象 使用“活动目录和计算机”工具查看对象 Schema（架构） 2.2活动目录数据库分区 使用“ADSI EDIT”查看Schema信息 活动目录架构 3.活动目录的逻辑结构 3.1 森林 ( Forest ) 3.2 域树 ( Tree ) 3.3 域 ( Domain ) 3.4 组织单位 (Organization Unit) 3.1森林 (Forest) 由一个或者多个域构成 这些域共享相同的架构信息和配置信息以及全局编目 3.2域树 ( Tree ) 一个或多个域构成 这些域共享相同的架构和配置信息 这些域有着邻接的名字空间 域树 3.3 域 ( Domain ) 一组对象的集合，共享相同的活动目录域分区数据 包含用户，计算机，组等对象 域控制器 域控制器是存储活动目录数据库的计算机 一个域最少一台域控制器 多台域控制器之间需要同步活动目录数据库 域、域树、森林 域、域树、森林 根域下面可以建立多层子域 域和子域构建成域树 多棵域树构建成森林 域之间自动建立双向信任关系 3.4 组织单位 ( Organization Unit ) 活动目录的逻辑结构 4 活动目录的物理结构 4.1为什么需要活动目录的物理结构； 4.2 域控制器 ( DC ) 4.3 站点和IP子网 4.1 为什么需要活动目录的物理结构 客户端需要找到离自己最近的可用资源； 优化复制。 4.2 DC（域控制器） 域控制器是存储活动目录数据库的计算机； 一个域最少需要配置一台域控制器； 一个域中有多台域控制器时，这些域控制器需要定期同步活动目录数据库； 4.3 站点和IP子网 每个地理位置中的若干台域控制器可以划分为一个站点 站点内部优先同步活动目录数据库，同步后再和其他站点中的域控制器同步 5. 活动目录和DNS服务 6. 管理活动目录中的用户 6.1 域用户帐号的创建 创建帐号 创建帐号 创建帐号 创建帐号 6.2 域用户帐号管理 域用户帐号属性 7. 管理活动目录中的组 组的作用 组的类