(Windows 2003教案)第5章 组织单位对象的访问管理.docVIP

第5章 组织单位对象的访问管理 本章概述 本章节主要是和大家介绍了对组织单位对象的访问进行管理时所需的知识和技能。通过本章节的学习，我们可以了解组织单位的不同角色。同时可以学会如何进行修改 Active Directory 对象权限的技能，并能委派组织单位的控制权限。 教学目标 了解组织单位的不同角色。 掌握修改 Active Directory 对象权限的技能。 掌握委派组织单位的控制权限的技能。 教学重点 我们在AD中会有许多不同的对象，例如：用户，计算机，打印机等，我们必须要对它们的权限做一定的规划和限制。所以学会修改 Active Directory 对象的权限尤其重要。 教学难点 委派的概念对于初学者来说不容易弄清楚，需要老师详细讲解。 教学资源 课本 知识点 5.1修改Active Directory对象的权限 5.2组织单位的控制委派 实验 1 委派管理控制 记录 Active Directory 对象的安全设置 习题 习题1对应知识点修改Active Directory对象的权限 习题对应知识点修改Active Directory对象的权限 习题对应知识点修改Active Directory对象的权限 习题对应知识点 教学指导手册包 新版幻灯片 光盘：\Powerpnt\ 2274_2275_0.ppt 习题解答 光盘：\Tprep\answer 多媒体视频 光盘：\ Powerpnt\2274_7_A_OU.html 先修知识 在正式开始学习本章内容以前，学生须具备下列知识基础。 先修知识 推荐补充 《》 Active Directory对象的权限 教学提示 ： 本节主要达到以下目的： 了解 Active Directory 对象的权限及对象权限的特性。（略讲） 掌握 Active Directory 对象权限的继承。（略讲） 掌握修改 Active Directory 对象的权限。（精讲＋演示） 教学内容 教学方法 教学提示 讲授： Active Directory 对象权限通过对各个对象或对象属性的访问和访问类型控制，为计算机资源提供安全保护。可以使用权限为组织单位或组织单位的层次结构分配管理特权，从而对网络访问进行管理，也可以使用权限为特定用户或组分配单一对象的管理特权。 其实在前面的课程中我们也大面积的说到权限之类的话题。权限其实是为了限制计算机对象在网络中所能做的操作。就好象我们汽车的通行证一样。进入工地，你必须出示通行证，要不，你就不具备进入工地的权限。 标准权限是最经常被配置的权限，由一组特殊权限构成。管理员可以使用特殊权限更为恰当地控制授予用户的访问类型。标准权限包括： 完全控制 写入 读取 创建所有子对象 删除所有子对象 只有在管理员或对象所有者为对象授予权限之后，用户才可以访问对象。这里就牵扯到授权访问的问题，我们现在来看一下书上是如何讲解： 讲解课本5.1.1 阅书：5.1.1 幻灯：第5~7页 讲授： 当我们看过了AD的部分权限之后，我们会发觉其和NTFS 权限类似，但前者仍然有其独特之处。 Active Directory 对象权限能够设置为允许或拒绝、隐式拒绝或显式拒绝、标准权限或特殊权限，还可设置为对象级权限或从父对象处继承权限。 在这里我想和大家说一下继承的概念，首先我们从生活化的例子里来说，每个人都会从自己的父母身上继承来一些特性，例如长的比较象啊，性格比较接近啊等。这其实就是我们所说的最多的继承。在计算机世界里，“继承”是面向对象软件技术当中的一个概念。如果一个类A继承自另一个类B，就把这个A称为B的子类，而把B称为A的父类。继承可以使得子类具有父类的各种属性和方法，而不需要再次编写相同的代码。在令子类继承父类的同时，可以重新定义某些属性，并重写某些方法，即覆盖父类的原有属性和方法，使其获得与父类不同的功能。幻灯：第8~9页 讲授： 前面一章我们已经说明了继承的概念，现在我们来看一下继承有什么优点，说的最直接的，其实继承可以帮助我们减少一些不必要的重复劳动，但又给我们创造新事物带来灵活性和便利。 Windows Server 2003 中的权限继承从以下几方面简化了权限管理工作： 创建子对象时，不需要再为子对象人工配置权限 应用于父对象的权限将完全应用于所有子对象 当需要修改容器中所有对象的权限时，只需修改父对象的权限，子对象会自动继承更改 讲解课本5.1.3 阅书：5.1.3 幻灯：第10~11页 讲授： 修改Active Directory 对象会影响权限继承。当组织或管理职能发生变化时，系统管理员需要在 Active Directory 中的不同组织单位间移动对象。移动对象时，对象的继承权限将会改变。因此，在修改A