《windows 2000網(wǎng)絡(luò)基礎(chǔ)教程與上機(jī)指導(dǎo)》第4章windows 2000域和組織單元管理

1、第4章 Windows 2000域和組織單元管理,教學(xué)提示：域和組織單元作為活動(dòng)目錄邏輯結(jié)構(gòu)中的重要組成部分，在網(wǎng)絡(luò)管理中占有很重要的地位，特別是域控制器，它的故障可能會(huì)引起整個(gè)網(wǎng)絡(luò)無法正常運(yùn)行。而在大規(guī)模的組織結(jié)構(gòu)中，Windows 2000提供了層次化的管理方式即組織單元。域信任關(guān)系的管理可以進(jìn)一步簡(jiǎn)化大規(guī)模的網(wǎng)絡(luò)管理與控制。因此創(chuàng)建域信任關(guān)系，對(duì)域控制器進(jìn)行管理，創(chuàng)建組織單元、對(duì)組織單元進(jìn)行管理、委派不同層次用戶執(zhí)行不同的管理

2、任務(wù)，都將是網(wǎng)絡(luò)管理的重要內(nèi)容。,教學(xué)目標(biāo)：本章介紹了Windows 2000下的域模式及其轉(zhuǎn)換、域控制器管理、域信任關(guān)系管理、組織單元?jiǎng)?chuàng)建和控制委派等概念及其操作，由于這些內(nèi)容在實(shí)際網(wǎng)絡(luò)管理中經(jīng)常遇到，通過本章的學(xué)習(xí)，需要熟練掌握域和組織單元的相關(guān)操作。,4.1 Windows 2000的域模式,4.1.1 Windows 2000中的域4.1.2 域模式,4.1.1 Windows 2000中的域,1. 工作組和域

3、 Windows 2000中網(wǎng)絡(luò)內(nèi)的服務(wù)器可以安裝成工作組模式和域模式。,2. 域中計(jì)算機(jī)類型在一個(gè)域中，計(jì)算機(jī)分成以下3種類型。(1) 域控制器 作為域控制器的只能是安裝了Windows 2000 Server的計(jì)算機(jī)，域控制器在一個(gè)網(wǎng)絡(luò)中可以有多個(gè)。(2) 成員服務(wù)器 在一個(gè)域中，一臺(tái)Windows 2000 Server服務(wù)器如果不是域控制器，就是成員服務(wù)器，如果不加入域就是獨(dú)立服務(wù)器。(3) 其他

4、計(jì)算機(jī) 其他未安裝Windows 2000 Server的計(jì)算機(jī)，他們可以共享其他計(jì)算機(jī)提供的資源。,返回,4.1.2 域模式,1. 混合模式2. 本機(jī)模式3. 域模式轉(zhuǎn)換,返回,1. 混合模式,之所以叫混合模式，是因?yàn)樵试S運(yùn)行Windows 2000及其以前的版本，如Windows NT的域控制器同時(shí)存在于一個(gè)域中。在混合模式下，以前版本的Windows NT中的域特性仍然有效，但是一些Windows 2000的特性

5、在這種環(huán)境中是無效的。Windows 2000 Server 域控制器的默認(rèn)安裝模式是混合模式。在混合模式下，域中可能已經(jīng)存在Windows NT 4.0域控制器，混合模式下不支持組嵌套。,返回,2. 本機(jī)模式,在本機(jī)模式中，域中的所有域控制器都運(yùn)行Windows 2000 Server。在本機(jī)模式中可以利用通用組、嵌套組成員身份和域內(nèi)用戶移動(dòng)等Windows 2000 Server的新功能。其中通用組是用戶賬戶的集合，可以包含來自目錄

6、林中任何Active Directory域的成員，可以給通用組指派權(quán)限，以便使他們能夠訪問目錄林中任一成員計(jì)算機(jī)上的資源。通用組只在本機(jī)模式中才有效。,返回,3. 域模式轉(zhuǎn)換,域在第一次安裝時(shí)的模式是混合模式。域模式可以從混合模式更改為本機(jī)模式，但不能把本機(jī)模式更改成混合模式。只有域中的所有域控制器都運(yùn)行Windows 2000 Server的情況下，才能將運(yùn)行Windows 2000 Server的域控制器，并且最好是所有運(yùn)行Wind

7、ows 2000 Server的域控制器，更改到本機(jī)模式。,返回,4.2 域控制器的管理,4.2.1 域控制器與全局目錄4.2.2 設(shè)置域控制器屬性4.2.3 連接到其他域4.2.4 更改域控制器,4.2.1 域控制器與全局目錄,1. 域控制器 域是活動(dòng)目錄的分區(qū)，域區(qū)分安全邊界，在沒經(jīng)授權(quán)的情況下，不允許其他域中的用戶訪問本域中的資源?；顒?dòng)目錄可以由一個(gè)或多個(gè)域組成，每個(gè)域可以存儲(chǔ)多個(gè)對(duì)象，域之間有層

8、次關(guān)系，可以建立域目錄樹和域目錄林進(jìn)行域擴(kuò)展?；顒?dòng)目錄結(jié)構(gòu)中目錄存儲(chǔ)的惟一形式是域控制器。2. 全局目錄 盡管活動(dòng)目錄支持多主機(jī)復(fù)制方案，然而由于復(fù)制引起的通信流量以及網(wǎng)絡(luò)潛在的沖突，目錄信息變化的傳播并不一定能夠順利進(jìn)行。因此在域控制器中使用全局目錄服務(wù)器來減少流量和沖突。全局目錄是一個(gè)信息倉(cāng)庫(kù)，包含活動(dòng)目錄中所有對(duì)象的部分屬性，這些屬性往往是查詢過程中訪問最為頻繁的屬性。,返回,4.2.2 設(shè)置域控制器屬性,域

9、控制器常常是網(wǎng)絡(luò)正常運(yùn)行的中心，因此，用戶必須根據(jù)網(wǎng)絡(luò)運(yùn)行情況合理地設(shè)置域控制器的屬性。通過設(shè)置域控制器屬性，不但可以確定域控制器的位置、操作系統(tǒng)和常規(guī)屬性，而且還可以設(shè)置域控制器的組和管理人。,返回,4.2.3 連接到其他域,在規(guī)模較大的網(wǎng)絡(luò)中 ， 往往存在多個(gè)域 ， 用戶常常需要將當(dāng)前域連接到其他域，以使當(dāng)前域中的用戶和計(jì)算機(jī)能訪問其他域中的資源，同時(shí)將當(dāng)前域控制器的部分操作主機(jī)功能傳送給其他域控制器，或?qū)?dāng)前域控制器更改為其他域

10、中的域控制器。,返回,4.2.4 更改域控制器,當(dāng)域控制器出現(xiàn)故障 ，不能正常運(yùn)行時(shí) ，往往會(huì)導(dǎo)致有域網(wǎng)絡(luò)不能正常運(yùn)行，這時(shí)可以通過更改域控制器來保證網(wǎng)絡(luò)正常運(yùn)行。由于Windows 2000 中的域控制器不再區(qū)分為主域控制器和輔助域控制器，且每個(gè)域控制器保存著相同的活動(dòng)目錄的所有信息 ， 因此更改域控制器只須建立當(dāng)前域與其他任何可寫的域控制器連接即可。,返回,4.3 域信任關(guān)系管理,4.3.1 域信任關(guān)系概述4.3.2 單向

11、域信任關(guān)系及其建立4.3.3 雙向可傳遞域信任關(guān)系的建立,4.3.1 域信任關(guān)系概述,域不僅是安全邊界，而且還是復(fù)制與管理的邊界。根域管理員組、域管理員組和企業(yè)管理員組的成員可以輕易地訪問域目錄林中的任何機(jī)器。將資源真正隔離的惟一辦法就是將它們放入分離的域林中?；顒?dòng)目錄通過提供域間的信任關(guān)系來實(shí)現(xiàn)跨域的安全。當(dāng)域間有信任關(guān)系時(shí)，每個(gè)域的認(rèn)證機(jī)構(gòu)都信任所有它信任的域的認(rèn)證機(jī)構(gòu)，也信任該認(rèn)證機(jī)構(gòu)認(rèn)可的用戶和計(jì)算機(jī)以及資源。相反的，一個(gè)

12、域上的域用戶在該域的信任域上也是有效的用戶，能夠訪問信任域上的資源。同一目錄林中的Windows 2000 域相互之間存在可傳遞的信任關(guān)系。在Windows 2000 目錄林中 ，每個(gè)樹中的根域之間存在隱式的可傳遞信任關(guān)系 。 單個(gè)樹中所有相鄰的域之間還存在雙向的隱式可傳遞信任關(guān)系。,返回,4.3.2 單向域信任關(guān)系及其建立,在域管理的過程中，除了有雙向的隱式信任關(guān)系外，也可能需要在域

13、之間建立顯式的信任關(guān)系。Windows NT 4.0 域和 Windows 2000 域之間就必須建立顯式的信任關(guān)系，因?yàn)?Windows NT 4.0不能加入與Windows 2000 域的可傳遞信任關(guān)系。另外也可能需要在不同目錄林中實(shí)現(xiàn)域的彼此信任，也需要顯式加入雙向信任關(guān)系。 Windows 2000允許在域之間建立單向可傳遞信任關(guān)系。如果想在目錄林之外的一個(gè)目錄林中運(yùn)行 Microsoft Proxy Serve

14、r 2.0或Microsoft Internet Security and Acceleration (ISA)Server 2000，單向可傳遞信任關(guān)系特別有用。從防火墻域到內(nèi)部域的單向信任使得內(nèi)部域中的賬戶受外部域的信任，但不允許內(nèi)部域信任外部域中的。這是一種不可傳遞的單向信任關(guān)系。,返回,4.3.3 雙向可傳遞域信任關(guān)系的建立,建立雙向信任關(guān)系的步驟與過程同建立單向信任關(guān)系的過程相同，同4.3.2節(jié)所敘述的步驟。但上述步驟建立的

15、是第二個(gè)域到第一個(gè)域的單向信任關(guān)系，要建立雙向信任關(guān)系，還必須完成第一個(gè)域到第二個(gè)域的單向信任關(guān)系。把4.3.2節(jié)中在第一個(gè)域上實(shí)現(xiàn)的操作在第二個(gè)域上再次操作，而在第二個(gè)域上執(zhí)行的操作在第一個(gè)域上再次操作，并注意更換信任域和受信任域的名字，就建立了第一個(gè)域到第二個(gè)域的單向信任關(guān)系。這樣兩個(gè)域就完成了雙向信任關(guān)系的建立。這里對(duì)建立第一個(gè)域到第二個(gè)域的單向信任關(guān)系的步驟不再詳細(xì)敘述，讀者可按照4.3.2節(jié)的步驟自行操作完成。,返回,4.4

16、 組織單元的管理,4.4.1 創(chuàng)建組織單元及組織單元對(duì)象4.4.2 管理組織單元4.4.3 委派管理權(quán)限,組織單元是活動(dòng)目錄的邏輯結(jié)構(gòu)之一，可向組織單元容器中添加各種活動(dòng)目錄對(duì)象，如計(jì)算機(jī)、用戶、組、共享文件、打印機(jī)、組織單元等。組織單元可以嵌套，即一個(gè)組織單元下面可以再建立組織單元，并且沒有層數(shù)限制。組織單元是域?qū)ο笾?，只能存在于域中，而域不能存在于組織單元中。,4.4.2 管理組織單元,組織單元的管理包括對(duì)組織單元本身

17、屬性的設(shè)置和移動(dòng)組織單元中的對(duì)象 。在實(shí)際應(yīng)用中 ， 組織單元往往對(duì)應(yīng)于一個(gè)公司的幾個(gè)部門，則人員、打印機(jī)等在不同部門之間可能需要經(jīng)常流動(dòng)，組織單元提供了對(duì)象根據(jù)需要進(jìn)行移動(dòng)的管理。,返回,4.4.3 委派管理權(quán)限,在大型應(yīng)用環(huán)境中，由中心的網(wǎng)絡(luò)管理員來管理全部網(wǎng)絡(luò)、用戶及其授權(quán)是不現(xiàn)實(shí)的，因此常常需要把集中的權(quán)限根據(jù)組織單元的劃分分配到不同的部門或機(jī)構(gòu)中，來實(shí)現(xiàn)不同層次的網(wǎng)絡(luò)管理。因?yàn)榻M織單元往往與實(shí)際應(yīng)用中的組織單元或部門相對(duì)應(yīng)，

18、所以委派權(quán)限經(jīng)常通過組織單元來實(shí)施。 在委派實(shí)施過程中先選擇委派的用戶，然后選擇委派的任務(wù)，確定委派的范圍，最后是委派的權(quán)限。委派管理權(quán)限使用控制委派向?qū)瓿伞?返回,4.5 上 機(jī) 指 導(dǎo),4.5.1 更改域模式4.5.2 建立雙向域信任關(guān)系 這一實(shí)驗(yàn)需要兩臺(tái)計(jì)算機(jī)相互配合，并且先要對(duì)兩個(gè)域的DNS進(jìn)行配置，兩個(gè)域的域名都要在同一DNS中進(jìn)行解析，兩個(gè)域之間能夠通過域名互相訪問。在這里我們假設(shè)一