管理活动目录与用户
Windows Server活动目录企业应用Windows Server使用组策略管理用户工作环境
Windows Server活动目录企业应用项目四 使用组策略管理用户地工作环境四.一有关知识识组策略是一种能够让系统管理员充分管理与控制用户工作环境地功能通过它来确保用户拥有符合组织要求地工作环境,也通过它来限制用户,这样不但可以让用户拥有适当地环境,也可以减轻系统管理员地管理负担。
本节介绍如何使用组策略来简化在Active Directory环境管理计算机与用户。
将了解组策略对象(GPO)结构以及如何应用GPO,还有应用GPO时地某些例外情况。
本节还将讨论Windows Server 二零一二提供地组策略功能,这些功能也有助于简化计算机与用户管理。
四.一.一组策略组策略是一种技术,它支持Active Directory环境计算机与用户地一对多管理,特点如图六-一所示。
图六-一组策略通过编辑组策略设置,并针对目地用户或计算机设计组策略对象(GPO),可以集管理具体地配置参数。
这样,只更改一个GPO,就能管理成千上万地计算机或用户。
组策略对象是应用于选定用户与计算机地设置地集合。
组策略可控制目地对象地环境地很多方面,包括注册表,NTFS文件系统安全,审核与安全策略,软件安装与限制,桌面环境,登录/注销脚本等。
通过链接,一个GPO可与AD DS地多个容器关联。
反过来,多个GPO也可链接到一个容器。
一.域策略域级策略只影响属于该域地用户与计算机。
默认情况下存在两个域级策略,如表六-一所示。
表六-一默认域级策略(域策略,域控制器策略)可以创建其它域级策略,然后将其链接到AD DS地各种容器,以将具体配置应用于选定对象。
例如,提供额外安全设置地GPO可应用于包含应用程序服务器计算机账户地组织单位。
又如,GPO可限制某个组织单位用户地桌面环境。
二.本地策略运行Windows 二零零零 Server或更高版本操作系统地每台计算机都有本地组策略。
此策略影响本地计算机以及登录到该计算机地任何用户,包括从该本地计算机登录到域地域用户。
活动目录介绍
活动⽬录介绍微软在Windows NT Server 4.0中就已经贯彻了⽬录服务的思想。
NT的"域(domain)"的概念是⽬录服务的⼀个基本单元。
"⼀次登录,Single Logon"在Windows NTServer 的环境下有了具体的应⽤,⽐如Internet Information Server、Exchange Server、SQL Server等都可以与Windows NT Server的账号验证集成起来,⽤户⼀次登录就可以获得Web、Email和数据库等多种多样的⽹络服务。
Windows 2000 Server在Windows NT Server 4.0的基础上,进⼀步发展了"活动⽬录(Active Directory)"。
活动⽬录充分体现了微软产品的"ICE",即集成性(Integration),深⼊性(Comprehensive),和易⽤性(Ease of Use)等优点。
活动⽬录是⼀个完全可扩展,可伸缩的⽬录服务,既能满⾜商业ISP的需要,⼜能满⾜企业内部⽹和外联⽹的需要。
活动⽬录的由来 活动⽬录是从⼀个数据存储开始的。
它采⽤的是Exchange Server的数据存储,称为:Extens ible Storage Service (ESS)。
其特点是不需要事先定义数据库的参数,可以做到动态地增长,性能⾮常优良。
这个数据存储之上已建⽴索引的,可以⽅便快速地搜索和定位。
活动⽬录的分区是"域(Domain)",⼀个域可以存储上百万的对象。
域之间还有层次关系,可以建⽴域树和域森林,⽆限地扩展。
在数据存储之上,微软建⽴了⼀个对象模型,以构成活动⽬录。
这⼀对象模型对LDAP有纯粹的⽀持,还可以管理和修改Schema。
Schema包括了在活动⽬录中的计算机、⽤户和打印机等所有对象的定义,其本⾝也是活动⽬录的内容之⼀,在整个域森林中是唯⼀的。
活动目录的好处
使用活动目录服务的好处是什么?完全集成到Windows 2000 服务器版中的活动目录为网络管理员、开发者和用户提供了访问目录服务的能力,这样可以:●简化管理任务●加强网络安全性●通过互操作使用现存网络简化管理分布式系统常常导致时间的消耗和管理的冗余。
当公司在他们的基础结构上添加应用程序并雇用新的职员时,他们需要适当地向各桌面系统分发软件并管理多个应用程序目录。
通过在单一的位置管理用户、组和网络资源以及分发软件和管理桌面系统配置,活动目录可以显著降低公司的管理费用。
例如,活动目录在同一个位置管理Windows 2000用户和Microsoft Exchange邮箱信息。
基于下列原因,活动目录可以从以下方面帮助公司简化管理:●消除冗余管理任务提供对Windows用户账号、客户、服务器和应用程序以及现存目录同步能力进行单一点管理。
●降低桌面系统的行程针对用户在公司中所担当的角色自动向其分发软件,以减少或消除系统管理员为软件安装和配置而安排的多次行程。
●更好的实现IT资源的最大化安全地将管理功能分派到组织机构的所有层次上。
●降低总体拥有成本(TCO)通过使网络资源容易被定位、配置和使用来简化对文件和打印服务的管理和使用。
活动目录如何简化管理以层次化组织用户和网络资源,活动目录使管理员拥有对用户账号、客户、服务器和应用程序进行管理的单一点。
这就减少了冗余的管理任务,同时,通过让管理员管理对象组或容器而非每个独立的对象来增加管理的准确性。
图4:活动目录简化了网络资源的管理活动目录允许管理员分派特定的管理权限和任务给单独的用户和组,以便更好地使用系统管理资源。
如上图所示,特定的管理任务,例如重新设置用户密码,可以被分派给市场机构的办公室管理员。
更多的特权功能,如"创建用户",可以为IT管理员保留。
活动目录也允许组织机构针对用户在公司中所担当的角色自动地将软件分发给他们。
例如,一个公司可以指定职员容器中的所有用户(无论是从哪里登录到网络上的)均可使用人力资源管理应用程序。
域控制器管理组策略应用案例
域控制器定义
• 域控制器定义:域控制器是一种服务器,负责管理活动目录服 务,存储和管理网络中的用户账户、计算机账户以及其他资源 。它也是网络中的认证服务器,负责验证用户的身份。
域控制器分类
01
全局目录服务器
全局目录服务器是域控制器的一种特殊类型,它存储了整个域中所有对
象的完整信息。在大型网络中,通常会部署多个全局目录服务器来提高
详细描述
在组策略中,可以通过设置应用程序审计和监控的策略 ,来对服务器或客户端上运行的应用程序进行审计和监 控。例如,可以监控应用程序的运行情况、记录应用程 序的使用日志等,从而实现对应用程序的安全审计和合 规性检查。同时,还可以通过组策略对应用程序进行限 制和管控,例如限制应用程序的运行时间、对应用程序 进行黑白名单管理等。
Байду номын сангаас 03
组策略应用案例一 :用户权限管理
用户权限分配
总结词
通过组策略可以精细化地为用户分配所需的权限,减少不必要的权限,降低安 全风险。
详细描述
在域控制器中,可以使用组策略来统一分配用户权限,如文件夹访问权限、网 络资源访问权限等。通过组策略可以针对不同的用户组进行权限设置,实现批 量权限管理,提高管理效率。
在组策略中可以集成防病毒软件 设置,定期进行全面扫描,及时 检测和清除病毒和恶意软件,保 护企业网络资源的安全。
05
组策略应用案例三 :文件系统安全
文件权限管理
总结词
通过组策略可以实现对文件系统安全的 全面保障,包括文件和文件夹的权限管 理。
VS
详细描述
域控制器可以集中管理文件和文件夹的访 问权限,根据不同用户或用户组设置不同 的访问权限。策略可以细粒度地控制读、 写、执行等操作,有效保护文件系统安全 。
Windows活动目录权限管理服务电脑资料PPT
02
活动目录基础知识
活动目录结构
目录树
由组织单位、域、站点等 组成的层次结构,用于管 理和组织网络中的资源。
域
共享相同的安全策略、用 户账户和密码策略的逻辑 边界,包含一个或多个物 理位置。
组织单位
目录树中的容器,用于将 相关对象(如用户、组、 计算机)组合在一起,便 于管理。
04
活动目录权限管理服务实施
权限管理服务器部署
服务器硬件要求
活动目录安装与配置
确保服务器满足最低硬件要求,如处 理器、内存和存储空间。
安装活动目录服务,并配置域控制器 、站点和复制等。
服务器操作系统
安装支持的Windows Server操作系 统,并配置必要的角色和功能。
权限管理客户端配置
客户端操作系统
监控与审计结果分析
结果汇总与整理
将监控和审计结果进行汇总和整理,形成可视 化报告,便于理解和分析。
异常检测与定位
通过对比分析,检测目录权限的异常变动,定 位潜在的安全风险。
改进建议与措施
根据分析结果,提出针对性的改进建议和措施,优化目录权限管理策略。
06
活动目录权限管理优化建议
定期审查权限策略
确保客户端计算机运行支持的Windows操作系统 。
加入域
将客户端计算机加入到活动目录域中,以便集中 管理。
客户端软件安装
安装必要的客户端软件,如远程桌面服务客户端 等。
权限管理策略应用
用户和组管理
在活动目录中创建用户账户和组,并 分配相应的权限。
文件和文件夹权限设置
设置文件和文件夹的访问权限,包括 读取、写入和执行等。
用户和用户组的管理
1.1 用户账户的管理
• 需要注意的是,为了域用户账户的安全,在给每个用户设置初始 化密码后,最好选中“用户下次登录时须更改密码”复选框,以 便用户在第一次登录时更改自己的密码。在服务器提升为域控制 器后,Windows Server 2003对域用户的密码复杂性要求比较高, 如果不符合要求,就会提示用户无法创建,如下图所示。
1.1 用户账户的管理
• (4)符合域控制器安全性密码设置条件后,单击“下一步”按 钮,打开如下图所示的对话框。单击“完成”按钮,即完成对域 用户的创建。
1.1 用户账户的管理
• 2.设置域账户属性 域账户的属性设置相对本地用户的属性来说,复杂得多。下面以前面新创建的账户
(测试cs)为例,讲解如何设置域账户属性 。 执行“开始”→“程序”→“管理工具”→“Active Directory用户和计算机”命令,打开
1.1 用户账户的管理
1.1 用户账户的管理
• 提示:也可在启动Windows Server 2003操作系统时,在弹出的如 下图所示的“管理您的服务器”窗口中单击“管理Active Directory中的用户和计算机”链接,打开上图所示的窗口。
1.1 用户账户的管理
• (2)在弹出的“新建对象-用户”对话框中输入姓名和登录名等 相关信息,如下图所示。
1.1 用户账户的管理
在“常规”选项卡中,可以修改姓名、显示名称等信息。在 “账户”选项卡中, 可以设置登录名、账户策略,还可以控制用户的登录时间和只能登录哪些服务器或计算 机,如下图a所示。单击“登录时间”按钮,可在如下图b所示的对话框中设置登录时间 (图中横轴每个方块代表一小时,纵轴每个方块代表一天,蓝色方块表示允许用户登录 的时间,空白方块表示该时间不允许用户登录,默认为在所有时间均允许用户登录)。 返回“账户”选项卡中,单击“登录到”按钮,在“登录工作站”对话框中控制用户只 能登录哪些服务器或计算机,如下图c所示。
实验五 活动目录服务(AD的安装、加入和退出域、域用户的管理和配置)
实验五活动目录服务(AD的安装、加入和退出域、域用户的管理和配置)【实验目的】1、理解域的概念,掌握AD的安装方法。
2、掌握加入和退出域的方法。
3、掌握域用户的管理和配置,组的规划和建立。
4、了解Windows Server 2003域用户和本地用户的区别。
5、理解组的概念和作用,认识组的类型。
【实验内容】1、练习AD的安装方法,2、练习加入和退出域的方法。
3、练习域用户的管理和配置,组的规划和建立【实验步骤】一、安装活动目录1)新建DC的角色。
在开始菜单中点击“管理您的服务器”,在打开的画面中点击“添加或删除角色”。
2)在“预备步骤”对话框中,单击[下一步]按钮,出现“服务器角色”对话框后,选择“域控制器”,按[下一步]继续。
3)在“选择总结”对话框中,单击[下一步]按钮,随后会进入AD安装向导过程,(如果直接执行“dcpromo”命令也可以启动AD安装向导,则可以省略前三个步骤),单击[下一步]按钮。
4)出现“操作系统兼容性”对话框,单击[下一步]按钮,在“域控制器类型”对话框中,我们将在这个向导中建立一个新域的DC和林,所以我们选择“新域的域控制器”,按[下一步]按钮继续。
5)选择“在新林中的域”,按[下一步]按钮继续,。
6)出现如下图所示,在“新域的DNS全名”文本框中输入新建域的DNS全名,例如: 或者或者之类的DNS全名。
按[下一步]按钮继续。
7)在“NetBIOS域名”对话框中,在“域NetBIOS名”文本框中输入NetBIOS域名,或者接受显示的名称。
NetBIOS域名是供早期的Windows用户用来识别新域的, 按[下一步]按钮继续。
8)在出现“数据库和日志文件夹”的对话框中(如下图),这些文件夹必须放在NTFS分区上,注意,基于最佳性和可恢复性的考虑,最好将活动目录的数据库和日志保存在不同的硬盘上。
按[下一步]按钮继续。
9)在出现“共享的系统卷”对话框中,该文件夹必须放在NTFS分区上,在Windows Server 2003中,Sysvol文件夹存放域的公用文件的服务器副本,它的内容将被复制到域中的所有域控制器上。
windows server 2019服务器操作系统-第14章 域帐户的管理
规】、【环境】、【会话】、【远程控制】、【终
端服务配置文件】、【拨入】、【地址】、【帐
户】、【配置文件】、【电话】、【单位】和【隶
属于】等属性标签。
用户属性对话框
(1)【常规】标签包含建立新用户帐户时提供的 信 息。可以在【描述】和【办公室】文本框中增 加信息,也可以输入用户联系信息,包括电话 号码、E-mail地址和Web页面URL,如下图 所 示。
第9章 域帐户的管理
主要知识点:
一、创建和管理域用帐户 二、活动目录物理结构 三、组的类型和作用范围 四、用户配置文件
(了解) (了解) (掌握) (掌握)
一 域用户和计算机帐户
1、用户帐户和计算机帐户概述
(1) 活动目录用户帐户
用户帐户是用来记录用户的用户名和密码、
【选择组】对话框
(3)单击【禁用帐户】选项,当前用户将被禁止 使 用,此时在窗口中显示的用户名左侧小图标上 将显示一个红色的“X”符号,表明当前此用户 不可登录到服务器。再次打开快捷菜单时,原 来的【禁用帐户】选项变为【启用帐户】,单 击此选项,用户名被启用,可以进行登录操 作。
(4)单击【重设密码】选项显示对话框,管理员 可 以修改用户的密码,并设置用户是否在下次登 录时更改密码。
account对象中。
(2)通讯组
该组不是安全主体,只被用作分配列表。
可以在通讯组中存储联系和用户帐户。由于联系不
包括用户帐户的系统开销,所以只把联系放入组中
才更有意义。通讯组还和Microsoft Exchange兼
容,所以被广泛用于电话技术和传递信息应用软件
中。当升级Exchange用以支持Active Directory
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
什么时候该恢复活动目录? (1)网络中只有一台域控制器,在重新 安装系统后,必须 恢复活动目录。 • (2)如果服务器发生故障,借助于备份 文件恢复。 • (3)利用备份的数据,快速安装新的额 外的域外控制器。
什么是OU?
• OU是组织单元,在活动目录( Active Directory, AD)中扮演特殊的角色,它是一个当普通边界不 能满足要求时创建的边界。 OU 把域中的对象组织 成逻辑管理组,而不是安全组或代表地理实体的组。 OU是可以应用组策略和委派责任的最小单位。
• 域林中的信任
•
子域和父域的双向、可传递的信任关系是在安装域控制器时就 自动建立的,同时由于域林中的信任关系是可传递的,因此同一 域林中的所有域都显式或者隐式地相互信任
可以在域和管理关系工具里面设置(右键 域然后点属性,在信任选项卡里面)
域用户账户
• 域用户帐户提供 了比本地用户帐 户更多的属性, 例如登录时间和 登录到哪台计算 机的限制等。方 法很简单,在 “用户属性”对 话框中单击相应 的选项卡进行修 改即可。
使用OU该注意什么?
• 1.谨慎添加OU:只在必要的时候才添加OU,不要建太多 的OU,建议不要为个别用户创建OU。 • 2.保持层次简单:不要一开始就创建多层OU,也不要使 OU的层次太深。 • 3.OU与组的区别:真正的差别在于安全模型-组策略与权 限。如果一组用户或计算机需。
查看OU的安全属性
管理活动目录 与用户
什么是活动目录?
活动目录是Windows网络中的目录服务,有两方面内容:目录 和与目录相关的服务。 活动目录是一个分布式的目录服务,信息可以分散在多台不 同的计算机上,保证用户能够快速访问。既提高了管理效率,又 使网络应用更加方便。
如何备份与恢复活动目录?
•在“开始”→“程序”→“附 件”→“系统工具”→“备份”内进 行备份(vm上是那个windows server backup) •如后图
计算机账户添加
• 打开管理工具,右键user,然后新建,里面选 择你要新建的类型
如图所示,即可创建一个新的账户
填好里面的信息,点击下一步
添加密码,以及密码规则,这样就完成了 账户的创建
创建组(步骤和前面用户差不多)
• 用户和组都可以在Active Directory中添加,而且必 须以AD中Account Operators组、Domain Admins组 或Enterprise Admins组的成员的方式登录Windows, 或者必须有管理该活动目录的权限。除可以添加用 户和组外,还可以添加联系人、打印机及共享文件 夹等。
为组指定成员
• 用户组创建完成后,还需要向该组中添加组成员。 组成员可以包括用户账户、联系人、其他组和计算 机。例如,可以将一台计算机加入某组,使该计算 机有权访问另一台计算机上的共享资源。
将用户添加至组
• 新建一个用户之后,可以将该用户添加至某个或某几个组。
查看用户组
• 在“Active Directory用 户和计算机” 控制台窗口中, 展开左侧的控 制台目录树, 选择“users” 选项,在右侧 窗口中可以查 看到用户组。
• (1)在“Active Directory用户和计算机”的菜 单栏中选择“查看”→“高级功能”。 • (2)启用了“高级功能”之后,右击某个OU,选 择“属性”,就可以看见“安全”选项卡了。
• பைடு நூலகம்下图:
勾选高级功能后会多出安全属性这一选项 卡
活动目录域的信任关系
• 信任关系
•
信任关系是网络中不同域之间的一种内在联系。