第 4 章 实现用户、组及计算机账户
DESCRIPTION
第 4 章 实现用户、组及计算机账户. 活动目录的规划、实现和管理 —— 以 Windows Server 2003 为例. 第 1 章 Active Directory 结构简介 第 2 章 实现 Active Directory 林和域结构 第 3 章 实现组织单位结构 第 4 章 实现用户、组及计算机账户 第 5 章 组策略的实现 第 6 章 使用组策略部署和管理软件 第 7 章 使用组策略管理安全 第 8 章 实现站点以管理 Active Directory 复制 - PowerPoint PPT PresentationTRANSCRIPT
第 4 章 实现用户、组及计算机账户
活动目录的规划、实现和管理—— 以 Windows Server 2003 为例
第 1 章 Active Directory 结构简介第 2 章 实现 Active Directory 林和域结构第 3 章 实现组织单位结构第 4 章 实现用户、组及计算机账户第 5 章 组策略的实现第 6 章 使用组策略部署和管理软件第 7 章 使用组策略管理安全 第 8 章 实现站点以管理 Active Directory 复制第 9 章 实现域控制器的布置第 10 章 操作主机的管理第 11 章 维护 Active Directory
第 4 章 实现用户、组及计算机账户账户简介创建和管理多个账户用户主体名称后缀的实现在 Active Directory 中移动对象制定用户、组和计算机账户策略制定 Active Directory 审核策略
账户简介账户类型组类型域本地组 全局组通用组
4.1 账户简介
账户类型用户账户
允许用户“单点登录”提供对资源访问的身份认证
计算机账户验证和审核计算机对网络和对域资源访问
组账户 帮助简化管理
4.1.1 账户类型
组类型通讯组
仅仅用于电子邮件程序没有启用安全特性
安全组用来向用户组和计算机委派权利和权限 “ 嵌套 ”是最有效的使用方法
域功能级别决定可以创建的组的类型
4.1.2 组类型
域本地组
安全和通讯组能够包含:
通用组、全局组、来自于自身域的其他本地域组来自于林中任何域的账户
4.1.3 域本地组
全局组是一个安全组或通讯组,其中可以包含来自于自身域的用户、组和计算机作为成员
4.1.4 全局组
通用组是安全组或通讯组,成员可以是来自于自身林中任何域的用户、组和计算机
4.1.5 通用组
第 4 章 实现用户、组及计算机账户账户简介创建和管理多个账户用户主体名称后缀的实现在 Active Directory 中移动对象用户、组和计算机账户策略制定 Active Directory 审核策略
创建和管理多个账户创建和管理多个账户的工具使用 Csvde 工具创建账户使用 Ldifde 工具创建和管理账户 用 Windows 脚本宿主创建和管理账户实验 4-1 :创建用户账户
4.2 创建和管理多个账户
Active Directory 用户和计算机 目录服务工具DsaddDsmodDsrm
Csvde 和 Ldifde 工具 Windows 脚本宿主
4.2.1 创建和管理多个账户的工具创建和管理多个账户的工具
演示:使用 Csvde 命令行工具
4.2.2 使用 Csvde 工具创建账户使用 Csvde 工具创建账户
演示:使用 Ldifde 命令行工具演示账户管理
4.2.3 使用 Ldifde 工具创建和管理账户使用 Ldifde 工具创建和管理账户
演示:使用 Windows 脚本宿主创建和管理账户
4.2.4 用 Windows 脚本宿主创建和管理账户用 Windows 脚本宿主创建和管理账户
实验 4-1 :创建用户账户目的:练习脚本文件创建和运行包含命令的脚本文件来创建用户账户
4.2.5 实验 4-1 :创建用户账户
第 4 章 实现用户、组及计算机账户账户简介创建和管理多个账户的工具用户主体名称后缀的实现在 Active Directory 中移动对象用户、组和计算机账户策略制定 Active Directory 审核策略
用户主体名称多媒体:名称后缀路由的工作原理 检测和解决名称后缀冲突创建和删除 UPN 后缀 在林信任中启用和禁用名称后缀路由实验 4-2 :创建 UPN 后缀
4.3 用户主体名称后缀的实现用户主体名称后缀的实现
用户主体名称“用户主体名称”是仅用于登录到 Windows Server 2003 网络的登录名称 A
优点 在 Active Directory 林中是唯一的 与用户 E-mail 地址相同的名称
4.3.1 用户主体名称
检测和解决名称后缀冲突冲突检测:
相同的域名系统( DNS , Domain Name System )名称已经在使用 相同的 NetBIOS 名称已经在使用 域安全 ID ( SID )与其他名称后缀 SID 冲突
名称后缀冲突时,将拒绝来自于林外对此域的访问
4.3.2 检测和解决名称后缀冲突
创建和删除 UPN 后缀
演示:掌握如何创建和删除 UPN 后缀
4.3.3 创建和删除 UPN 后缀
演示:掌握如何在林信任中启用和禁用名称后缀路由
4.3.4 在林信任中启用和禁用名称后缀路由在林信任中启用和禁用名称后缀路由
实验 4-2 :创建 UPN 后缀目的:为二级域创建名称后缀后,在两个林间启用名称后缀路由
4.3.5 实验 4-2 :创建 UPN 后缀
第 4 章 实现用户、组及计算机账户账户简介创建和管理多个账户的工具用户主体名称后缀的实现在 Active Directory 中移动对象用户、组和计算机账户策略制定 Active Directory 审核策略
SID 历史记录移动对象涉及的问题在域中移动对象 在域间移动对象使用 LDP 工具查看已移动对象的属性实验 4-3 :移动对象
4.4 在 Active Directory 中移动对象在 Active Directory 中移动对象
SID 历史记录SID 历史记录存储了用户指派的所有 SID 的一个列表提供已迁移用户提供对资源的连续性访问
4.4.1 SID 历史记录
移动对象涉及的问题域内
对 SID 或 GUID 不改变林内
新 SID SID 历史 相同 GUID
跨林 新 SID SID 历史 新 GUID
4.4.2 移动对象涉及的问题
在域中移动对象
演示:掌握如何在域中移动对象
4.4.3 在域中移动对象
在域间移动对象
演示:掌握如何在域间移动对象
4.4.4 在域间移动对象
演示:掌握如何使用 LDP 工具查看已移动对象的属性
4.4.5 使用 LDP 工具查看已移动对象的属性使用 LDP 工具查看已移动对象的属性
实验 4-3 :移动对象目的:使用 Ldp.exe 工具:
检验用户对象的 SID 、 SID 历史和 GUID
移动用户对象到同一域中其他组织 修改用户对象的 SID 、 SID 历史和
GUID
4.4.6 实验 4-3 :移动对象
第 4 章 实现用户、组及计算机账户账户简介创建和管理多个账户的工具用户主体名称后缀的实现在 Active Directory 中移动对象用户、组和计算机账户策略制定 Active Directory 审核策略
命名账户的原则设置密码策略的原则身份认证、授权和管理账户的原则 制定组策略的原则实验 4-4 :规划账户策略
4.5 制定用户、组和计算机账户策略制定用户、组和计算机账户策略
命名账户的原则
账户(用户、计算机、组)命名规则:标识具体用户账户类型需要标识计算机的所有者、位置和账户类型标识组的类型、位置和组的用途
4.5.1 命名账户的原则
设置密码策略的原则定义“强制密码历史”策略设置,记住至少 24 个先前密码定义“密码最长期限”策略设置为不超过 42 天定义“密码最短存留期”至少为 2 天
定义“最短密码长度”策略设置,至少 8 个字符启用“密码必须符合复杂性要求”策略设置
4.5.2 设置密码策略的原则
将“账户锁定阈值”策略设置设定为较大的值保护管理员账户使用多因素身份验证使用基于角色的安全模式来分配权限禁用“ Administrator” 账户,向用户和管理员委派执行其工作任务所需的最小特权
4.5.3 身份认证、授权和管理账户的原则身份验证、授权和管理账户的原则
制定组策略的原则将负有常规工作职责的用户指派到全局组为共享资源创建本地域组添加需要访问资源的全局组到本地域组中使用通用组来授予对多个域中资源的访问权限当成员身份为静态时,使用通用组
4.5.4 制定组策略的原则
实验 4-4 :规划账户策略
目的: 配置:
账户命名策略密码策略身份验证、授权和管理策略为林确定组的策略
4.5.5 实验 4-4 :规划账户策略
第 4 章 实现用户、组及计算机账户账户简介创建和管理多个账户的工具用户主体名称后缀的实现在 Active Directory 中移动对象用户、组和计算机账户策略制定 Active Directory 审核策略
审核 Active Directory 访问的重要性监视 Active Directory 更改的原则实验 4-5 :规划审核策略实验 4-6 :实现账户和审核策略
4.6 制定 Active Directory 审核策略制定 Active Directory 审核策略
记录所有成功的 Active Directory更改跟踪对某个资源的访问 检测和记录失败的访问尝试
4.6.1 审核 Active Directory 访问的重要性审核 Active Directory 访问的重要性
下列情况下启用:启用账户管理事件启用策略更改的成功审核启用系统事件的失败审核必要时才启用策略更改事件和账户管理事件的失败审核
4.6.2 监视 Active Directory更改的原则监视 Active Directory 更改的原则
目的:决定启用哪些审核策略
4.6.3 实验 4-5 :规划审核策略实验 4-5 :规划审核策略
规划账户和审核策略 使用 Csvde 工具创建用户 创建名称后缀移动组中的用户
4.6.4 实验 4-6 :实现账户和审核策略实验 4-6 :实现账户和审核策略
回顾总结经过本章的学习,我们了解了下列的知识和内容:掌握 Active Directory 账户和组的类型创建多个用户和计算机账户实现 UPN 后缀在林中的域内和域间移动对象为用户、计算机和组账户规划策略规划 Active Directory 审核策略
在下一章中,我们将学习如何组策略的实现。
随堂练习 1
你是 shixun 的网络管理员。网络由一个叫做 shixun.com 的单一活动目录域组成。Shixun 和一家叫做 Acme 的公司合并。你需要为 Acme 公司的所有雇员创建新用户帐户。Acme 公司的所有用户的 e-mail 地址格式是 [email protected] 。在合并后用户需要继续使用他们的 e-mail 地址。为了降低混乱,在登录公司网络时,这些用户需要能够使用他们的 e-mail 地址作为他们的登录名称。你需要确认新用户使用他们的 e-mail 地址作为登录名称时可以登录到网络中。你想通过最小的花费和最少的管理精力来达到这个目的。你该怎么做?
随堂练习 1 (续)A.在 shixun.com 林中创建一个叫做 acme.com 的域树 . 为 acme.com 域中的所有用户创建用户帐户B.创建一个叫做 acme.com 的林 为 acme.com 域中的所有用户创建用户帐户 为两个林之间配置林信任关系C.为 shixun.com 域中的所有新用户创建用户帐户 把 acme 所有用户的 e-mail 地址配置为 [email protected] D.配置 acme.com 作为 shixun.com 林的一个附加的用户主体名称( UPN )后缀 配置每个用户帐户,使得可以使用 acme.com UPN 后缀
随堂练习 2
你是 shixun 有限公司的网络管理员。网络由一个叫做 shixun.internal 的单一 Windows 2003 活动目录域组成。网络包括 20 个运行 Windows 2003 Server 的服务器, 700 个运行 Windows 2000 Professional 的客户端计算机。所有服务器属于默认计算机组。所有客户端计算机属于称作 clients 的组织单元( OU )。所有域控制器属于默认域控制器 OU 。名称解决和 IP 地址由 DNS , WINS , DHCP 控制。你需要确认每个客户端计算机的系统属性的 DNS 后缀被置为 shixun.com。你该怎么做?
随堂练习 2 (续)
A.创建一个新的组策略对象,并把它连接到客户端 把主 DNS 后缀配置为 shixun.comB.修改默认域策略 把主 DNS 后缀配置为 shixun.comC.在 DHCP 范围选项中,把 DNS 域名定义为 shixun.internalD.在 DHCP 范围选项中,把 NIS 域名定义为 shixun.internal
随堂练习 3
你是 shixun.com 的网络管理员。网络由一个单一活动目录林组成。林由 19 个活动目录域组成。其中有 15 个域包含 Windows Server 2003 域控制器。所有域的功能级别是 Windows 2000 本机。网络由一个单一 Microsoft Exchange 2000 Server 组织组成。你需要创建仅被用来通过 shixun 给用户帐户发送 e-mail 消息的组。你想使用最少的复制途径和最小的活动目录数据库来实现这个目标。你需要为 shixun 创建 e-mail 组而制定一个规划。你该怎么做?
随堂练习 3 (续)
A. 为每个域创建全局分布组。从相同域中的全局分布组的每个域成员中选出合适的用户。创建通用分布组。为通用分布组的每个域成员分配全局分布组B. 为每个域创建全局安全组。从相同域中的安全组的每个域成员中选出合适的用户。创建通用安全组。为通用安全组的每个域成员分配全局安全组C. 创建通用分布组。从通用分布组的每个域成员中选出合适的用户D. 创建通用安全组。从通用安全组的每个域成员中选出合适的用户
随堂练习 4
你是 shixun.com 的网络管理员。网络由一个叫做 shixun.com 的单一活动目录域组成。域的功能级别是 Windows 2000 本机。所有服务器运行 Windows Server 2003 。Shixun 目前正在新增 15 个服务器,来运行一个新的应用软件。 Shixun 同时也新增了一台叫做 application 的组织单元( OU )来支持服务器和应用软件所需资源。服务器访问组需要能够对服务器授予不同类型的访问权限。服务器访问组没必要执行服务器上的其他工作。你需要在没有授予不必要权限的基础上,允许服务器访问组对应用服务器授予权限。你该怎么做?
随堂练习 4 (续)A.创建一个受限制的 Groups 组策略对象( GPO),使得服务器访问组成为每个应用服务器上的 Power Users 组的一个成员。连接 GPO 和应用 OU
B.授予服务器访问组修改 application OU 中计算机对象的权限C.使得服务器访问组成为服务器 Operators 组的一个成员D.创建一个域本地安全组,使得它可以对服务器授予适当的访问权限。授予服务器访问组修改域本地安全组的成员的权限
随堂练习 5
.你是 shixun.com 的网络管理员。网络由一个叫做 shixun.com 的单一活动目录域组成。域的功能级别是 Windows Server 2003 。你为一个新的应用软件增加了 8 个服务器。你创建了一个叫做 application 的组织单元( OU )来为此应用软件保存服务器和其他资源。域中的用户和组需要应用服务器上的各种各样的权限。一个称作 Server Access Team 的全局组的成员需要能够授予对服务器的访问权限。 Server Access Team 组不必执行服务器上的任何其他任务。你需要在没有授予 Server Access Team 组不必要的权限的情况下,允许 Server Access Team 组对应用服务器授予访问权限。你该怎么做?
随堂练习 5 (续)A.为受限制的组创建一个组策略对象( GPO )。配置 GPO ,使得 Server Access Team 组成为每个应用服务器上的 Power Users 组的一个成员。 连接 GPO 和 应用 OU。B.授予 Server Access Team 组修改应用 OU 中的计算机对象的权限。C.把 Server Access Team 组对象移到应用 OU 中。D.创建域本地组,并授予对应用服务器的访问权限。 授予 Server Access Team 组权限,使得它可以修改域本地组的成员