windows_server2003域模式下的管理
Windows Server 2003域模式下的管理1. 域模式管理原理域模式管理是一种高效可靠的管理系统,其核心就在于将 计算机加入到一个指定的逻辑单元“域”中,然后对加入其中 的计算机实现统一、高
Windows Server 2003域模式下的管理
1. 域模式管理原理
域模式管理是一种高效可靠的管理系统,其核心就在于将 计算机加入到一个指定的逻辑单元“域”中,然后对加入其中 的计算机实现统一、高效的管理,对整个网络系统中的计 算机、用户、资源进行了重新的整合。时期在管理方式上 发生了根本性的改变。
在与模式的管理体系下,整个网络管理经过以下4个过程实 现对加入域的所有计算机和所有用户进行综合管理
1) 建立域服务器
2) 将被管理的计算机加入到域中
3) 使用域下的管理员账户建立新的用户
4) 在域中通过任何计算机对域中任何账户实现设置管理
2. 域模式下用户设置
当一台计算机成为域控制器时,或者当一台计算机加入的 域成为成为域模式下的一台客户机时,每台计算机中的账 户信息将发生变化。
1)在域控制器中,原本地账户已经不能使用了。
2)通过客户机进入域控制器前,系统出现两个进入选项,一个
,是本地进入选项,一个是域控制器选项。
3)域模式下的默认账户
Domain admins(域管理员)
Administrator (本地管理员)
4) 如何在域模式下建立账户
3. 域模式下的账户管理
在基于域模式下的windows server 2003的账户信息变得非 常丰富,管理员被赋予了极大地权利,对于所有加入到域 中用户的账户信息都要进行管理和维护,账户信息将被域 中所有有权利需要账户信息的各个部门使用。
(1)账户信息的设置
(2)账户信息的删除
1账户信息的设置
在账户属性中有16个选项卡,涵盖了账户的大部分信息
1) “常规”、“地址”、“电话”、“单位”选项卡中的信息时账户的个人信息,用于拥有权限的账户查询
2) “账户”选项卡的上半部分与普通账户信息没有区别,但下半部分包括了众多的信息,在域控制器管理的网络中,所有账户可以被限制在以5种方式进入系统和运用系统:
(1)指定的账户
(2)指定的计算机
,(3)指定的时间
(4)运行指定的程序
(5)访问指定的资源
3“账户选项”选项组提供多项有关账户安全方面的设置,在后面的课程学习再展开实验。
4“账户过期”选项组对账户登录计算机的时间做出了更严格的限制,可以选择“永不过期”或“在这之后”单选按钮,指定具体的日期来限制该账户登录到域控制器。
2账户的删除
在日常的系统管理中,主要是对系统资源和账户的管理。 在账户管理中经常出现原有账户不使用的情况,主要有: 试验用账户、误操作建立的账户、临时账户和禁用的账
户。对于这些账户一半情况下管理员可以执行操作,但是 在windows server 2003中,确认和识别账户的不仅仅是账 户名,而是系统自动派发的安全标示(SID )
如果删除了账户该账户的SID 仍然是存在的。
4. 域模式下组的概念
在windows server 2003的域控制器中,组是一个非常重要 的概念与应用。账号是进入系统的身份证,组是用来简
化、统一管理账户的逻辑结构,利用组可以把具有相同权 限需求和管理需求的用户组织存放在一起
1) 组的特点
,(1)组是个逻辑结构
(2)一个账户可以同时加入多个组
(3)当一个用户加入到一个指定组是,该用户就有了该组的权限
2.Windows server 2003组的范围
全局
本地域
3.Windows server 2003组的分类
安全组
通信组
通用
4.Windows server 2003中的默认组
预定义组
内置组
内置本地组
特殊组
5. 组的设置
1组账号建立
右击“Active Directory用户和计算机”窗口中User 文件夹,在弹出的快捷菜单中选择“新建”-“组”命令
在“新建对象-组”对话框中输入相应的信息并设置组的作用域、组类型、然后单击“确定”按钮
1设置组成员
,打开要加入账户的指定组的属性对话框的“成员”选项卡
单击“添加”-“高级”-“立即查找”按钮,显示被选定用户账户 选中要加入组的用户账户
在“成员”选项卡中选中用户点击删除,可以将指定用户删除出组
2.1.3 域模式下对分区文件夹文件的管理
1域模式规划与建立
在域模式下,一旦构架出符合需求的用户账户体系,确立了加入域的计算机后,最重要的工作就是确定哪些账户能访问文件夹,对文件能进行什么权限的英勇。这时候,用户账户已经成为域中的一个成员,可以通过域中任何一台计算机登录,对任何计算机上的资源对象进行访问。计算机如何加入域参见课本实例。
2. 通过指定计算机登录对异地计算机的文件夹进行权限设置
2.2 设置组织单位与配置客户机
1. 组织单位的概念
组织单位是域中的一类目录对象,它包括域中一些用户、计算机、 组、文件等资源。主要用于网络构建。可使网络管理员以一种更容易理解和管理的方式来模拟实际工作中的单位结构。
2. 组织单位与组账号的区别
组织单位与组账号都是域模式下的管理对象,组织单元管 理的对象更多一些,而组账号只对用户账户在文件夹上的
权限进行管理。删除了组账号,组账号所管理的用户账号的逻辑关系被打破,但用户账户本身不会消失,删除了OU ,在OU 中
,设置的信息,加入管理的对象随之删除
3. 组织单位与域的关系
域是操作系统对所有与之连接的计算机和登录计算机的用户账户的全面管理,是建立在活动目录中最全面完善的网络管理模式,用户访问计算机时需先登录域再进入组织单元。
好比操作系统和应用软件,域就像是操作系统。组织单位就比如应用软件。用户只有进入操作系统后才能使用应用软件,域中的组织单位也是如此。
4. 创建组织单位
1. 在安装了活动目录的域控制器计算机上打开“active directory 用户和计算机”窗口。
2. 右击“gs.com ”域,在弹出的快捷菜单中选择“新建”-“组织单位”
3. 打开组织单位对话框,输入名称
4. 点击确定按钮就成功建立了一个组织单位
2.2.2 配置客户机
当域建立好后,主要的工作就是将计算机加入到域中,并通过活动目录对域中的计算机进行管理。
1调整TCP/IP协议的属性,使DNS 指向gs.com 的DNS
2右击“我的电脑”图标,打开“属性”命令-“系统属性”-“计算机名”
3单击“更改”按钮,打开“计算机名称更改”,输入计算机名和加
,入的域名
4单击“确定”按钮,打开“计算机名更改”对话框,输入有操作权限的用户名和密码
5单击“确定”重启即可。
2.3 组策略
2.3.1组策略的概念
注册表是Windows 系统中保存系统软件和应用软件配置的数据库,而随着Windows 功能越来越丰富,注册表里的配置项目也越来越多,很多配置都可以自定义设置,但这些配置分布在注册表的各个角落,如果是手工配置,可以想像是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供用户直接使用,从而达到方便管理计算机的目的。 其实简单地说,组策略设置就是在修改注册表中的配置。当然,组策略使用了更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。
2. 编辑工具
如果是windows2003系统,那么系统已经默认安装了组策略编辑程序,打开运行命令对话框,输入gpedit.msc 即可。使用上面的方法,打开的组策略对象就是当前计算机,而如果需要配置其他的计算机就可以运行控制台程序来管理。
,2.3.2 组策略的内容
2.4 利用组策略进行管理建立组策略
1打开Active Directory用户和计算机命令
2选定gs.com ,在工作区右击,在弹出的快捷菜单中选择“新建”命令,并在对话框中输入组织单位的名字
3右击组织单位,在弹出的快捷菜单中选择“属性”
4在“属性”对话框中单击“组策略”标签,打开选项卡
5单击“编辑”按钮,在“组策略编辑器”窗口中对它进行编辑
利用组策略管理用户环境实例
1隐藏组织单位abc 的用户桌面上的“网上邻居”和“我的文档”图
,标
2禁止abc 的用户运行word 程序
3为组织单位abc 用户安装netinfo 程序