1 / 47

网络操作系统应用

网络操作系统应用. 辽宁机电职业技术学院 · 信息系. 活动目录概述. 活动目录的结构. 活动目录的安装配置. 管理活动目录. 活动目录的访问控制. Windows Server2003 活动目录. 活动目录概述. 从 Windows 2000 开始,微软公司全新引入的 “ 活动目录 (Active Directory) 服务 ” ,使得 Windows 系统与 Internet 上的各项服务和协议更加联系紧密。 它对目录的命名 方式与 “ 域名 ” 的命名方式一致,然后通过 DNS 解析,与在 Internet 上通过 WINS 解析取得一致的效果。.

aderes
Download Presentation

网络操作系统应用

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 网络操作系统应用 辽宁机电职业技术学院·信息系

  2. 活动目录概述 活动目录的结构 活动目录的安装配置 管理活动目录 活动目录的访问控制 Windows Server2003 活动目录 辽宁机电职业技术学院

  3. 活动目录概述 从Windows 2000开始,微软公司全新引入的“活动目录 (Active Directory)服务”,使得Windows系统与Internet 上的各项服务和协议更加联系紧密。 它对目录的命名 方式与“域名”的命名方式一致,然后通过DNS解析,与在 Internet上通过WINS解析取得一致的效果。 活动目录(Active Directory)是用于域名命名方式相同的方 式命名目录,这种方式可以通过DNS进行解析,从而取得与 在Internet上通过WINS解析一致的效果。活动目录还起到数 据库的作用,存储了有关资源的各种信息,为查询服务提供 了方便。 活动目录(Active Directory)是一个数据库,在这个数据库 里存储了网络资源相关的信息,包括了资源的位置、管理等 信息。 活动目录服务是一种网络服务,目录服务标记管 理网络中的所有实体资源(比如计算机、用户、打印机、文件 、应用等)的管理信息,提供了命名、描述、查找、访问以及 保护这些实体信息的一致方法。 网络中的所有用户和应用 都能方便地访问资源。 活动目录(Active Directory)采用了Internet的标准协议, 它与操作系统紧密集成在一起。活动目录通过对象访问控 制列表以及用户凭据保护其存储的用户账户和组信息。网 络上的用户既可以获得身份验证,也可以获得访问系统资 源所需的权限。 活动目录允许管理员创建组账户,管 理员得以更加有效地管理系统的安全性。 辽宁机电职业技术学院

  4. Active Directory 的优点 • DNS 集成 • 可扩展性 • 资源识别 • 提供统一的表示方法: • 姓名 • 描述 • 位置 • 访问 • 管理 • 安全 • 集中管理 • 委派管理 活动目录概述 辽宁机电职业技术学院

  5. 活动目录概述 基于 Windows 的目录服务 1.Active Directory存储有关网络上对象的信息,并让用户和 网络管理员可以使用这些信息 2.Active Directory允许网络用户使用单点登录来访问网络中 任意位置的许可资源 3.Active Directory为网络管理员提供了直观的网络层次视图 和对所有网络对象的单点管理 辽宁机电职业技术学院

  6. 森林 域 林 1 林 2 树/根 信任 林 信任 父/子 信任 林 (根) fuzhou.org 林 (根)zhonging.com 域 D beijing.com nwtrader.msft 树 域 A mudan.zhongying.com 域 B 域 P 域 Q 域 E asia. nwtrader.msft au. nwtrader.msft 域中的 组织单位 域信任 外部 信任 领域 信任 域 F 域 C brisbane.au. nwtrader.msft Kerberos 领域 活动目录的结构 • 森林 • 1.包括多棵树,随林中的树不形成连续的空间 • 2.森林的根域是森林中创建的第一个域,森林的根域名不能再 • 更改 • 3.森林中的所有树的根域域森林的根域建立双向可传递的 • 信任关系。又由于树中的域也是通过双向可传递信任关系 • 链接在一起,因此 整个森林中的域都是互相信任; • 4.森林根域上的第一个DC存储着森林的公用配置信息、公用架 • 构和公用全局编录。 • 树 • 是共享一个连续命名空间的域的集合。可包含一个或多个域,而 • 域必须存在于一棵树中;树中的第一个域被称为树的根域,其他 • 域则称为子域;树中的Windows 2003域通过双向可传递信任关系 • 链接在一起,因此在树中新创建的Windows域可以立即与树中每 • 个其他的Windows域建立信任关系。 信任与被信任关系可以是单向的,也可以是双向的。域A与域B之 间可以是单方面的信任关系,也可以是双方面的信任关系。域中 传递信任关系不受关系中两个域的约束,是经父域向上传递给域 目录树中的下一个域。即如果域A信任域B,则域A也就信任域B下 面的子域B1、子域B1…默认情况下,域目录树或目录林中所有 Windows信任关系都是传递的。必须显式创建不传递信任关系。 域:既是Windows网络系统的逻辑组织单元,也是Internet逻辑组织单 元,在Windows Server 2003系统中,域是安全边界。域管理员只能管 理域的内部,除非其他域明确赋予他管理权限。在Windows域中所有的 域控制器都是平等。每个域都有自己的安全策略,以及它与其他域的安 全信任关系。域信任关系有两种:信任关系域和被信任关系域。信任关 系域就是域A信任域B,则域B中的用户可以通过域A中的域控制器进行身 份验证后访问域A中资源。 辽宁机电职业技术学院

  7. microsoft.com msn.com Domain.gov.cn 域 政府 采购部门组织单元 uk.msn.com uk.microsoft.com 域 采购部门 组织单元 其他部门 组织单元 域 uk.msn.com 域 uk.microsoft.com 管理员 文档 域 域 域 sls.uk.microsoft.com 客户 OU与域的关系图 活动目录的结构 • 组织单元(Organizational Unit,OU) • OU是一个容器对象,是一个逻辑概念,可以把域中的对象组成逻辑组, • 帮助管理员简化管理工作。管理员可以按部门把所有的用户和设备组 • 成一个OU层次机构,也可以按地理位置形成层次结构,还可以按功能 • 和权限分成多个OU层次结构。 • OU层次结构局限于域的内部,一个域的OU层次结构与另一个域的OU层 • 次结构没有任何关系。 • 组织单元(Organizational Unit,OU) 辽宁机电职业技术学院

  8. 3 规划好整个系统的域结构,活动目录可包含一个或多个域,选择根域最关键。 2 已经为TCP/IP配置了DNS协议,DNS服务支持SRV记录和动态更新协议; 1 安装活动目录前,保证已经一台计算机安装了Windows Server 2003并且至少有一个NTFS分区; 3.3 活动目录的安装配置 • 安装前的准备工作 辽宁机电职业技术学院

  9. 5 4 设置规划好域间的信任关系。Windows Server 2003通过基于Kerberos V5安全协议的双向、可传递信任关系启用域之间的账户验证。在域树创建域时,自动建立父子域的信任关系。 进行域和账户命名策划,目的是保证内、外部网络使用统一的目录服务,采用统一的命名方案; 3.3 活动目录的安装配置 • 安装前的准备工作 辽宁机电职业技术学院

  10. 3.3 活动目录的安装配置 Kerberos协议 Kerberos协议是80年代由MIT开发的一种协议。其命名是根据希腊神化中守 卫冥王大门的长有三头的看门狗作为命名来源。Kerberos协议是一个三路处 理方法,根据密钥分配中心(KDC)的第三方服务来验证计算机相互的身份, 并建立密钥以保证计算机之间的安全链接。 辽宁机电职业技术学院

  11. 用户名 TGT+时间戳 TGT+SA KAB KAB 3.3 活动目录的安装配置 KDC 用户 目标服务器 当 Kerberos 客户端需要访问同一域中的成员服务器上的资源时,它会联系 KDC。客户端将提供 TGT 和用已经与 KDC 共享的会话密钥加密的时间戳,接着,KDC 创建一对票证,一张给客户端,另一张给客户端需要访问的资源所在的服务器,KDC 获取服务器的票证,并使用服务器主密钥(KAB)加密它。然后 KDC 将服务器的票证嵌套在客户端的票证内,这样,客户端的票证也含有该 KAB 辽宁机电职业技术学院

  12. 用户密码的哈希 + Nonce 3 2 Nonce 4 4 用户密码的哈希 5 用户密码的哈希 + Nonce = 用户密码的哈希+Nonce 3.3 活动目录的安装配置 • NTLM身份验证的工作原理 域控制器 客户端 用户名, 域 1 安全账户数据库 辽宁机电职业技术学院

  13. 3.3 活动目录的安装配置 Active Directory服务的安装(关键步骤) 1) 单击“开始”->“管理工具”->“配置您的服务器向导”项;2) 按照界面提示单击“下一步”,分别进入“预备步骤”、 “配置选项”和后续默认选项;3) 进入“服务器角色”界面,选择安装域控制器选项;4) 第一次安装依次选择“新域的域控制器”和“在新林中的域”选项, 后续的路径选择按照默认设置,单击“下一步”按钮;5) 输入“目录服务还原模式的管理员密码”,密码可以与域管理员 密码不同,但要求为强密码格式。 辽宁机电职业技术学院

  14. 3.3 活动目录的安装配置 创建子域(关键步骤) 1) 启动“Active Directory安装向导”窗口;2) 同活动目录的安装前面步骤界面相同按照提示操作, 依次单击“下一步”按钮;3) 进入“创建一个新域”界面,选择“在现有域树中的子域” 选项, 单击“下一步”按钮;4) 进入“网络凭据”界面,选择并输入已在主控域中创建的用户 名、密码以及域名,密码依然要求为强密码格式。 辽宁机电职业技术学院

  15. 现象 原因 解决方案 不能安装 管理工具 权限不够 在本地计算机上拥有管理员权限 不正确的操作系统 只能在当前所支持的的操作系统上安装 Windows Server 2003 管理工具包 在帮助文件中存在无效的链接 服务器和客户端都需要帮助系统 在当前所支持的客户端操作系统上安装服务器端的帮助文件,才能共同使用Windows Server 2003 管理工具包的服务器端和客户端帮助文件 3.4 管理活动目录 辽宁机电职业技术学院

  16. 缺省情况下: Windows Server 2003 假定用户希望登录到这台计算机所属的域 3.4管理活动目录 • 登录到Windows Server 2003 选择用户账户所在的域 辽宁机电职业技术学院

  17. Builtin容器;该容器存储了域本地安全组的子对象,如账户管理员Administrator,惟一一个不能把对象移出的容器。Builtin容器;该容器存储了域本地安全组的子对象,如账户管理员Administrator,惟一一个不能把对象移出的容器。 计算机(Computers)容器:容器中存放所有域中计算机成员。 Domain Controllers容器:容器中为每个域控制器存放了一个计算机账户。 Foreign Security Principals容器:容器中存储了关联外部信任域的安全表示SIDS (Security Identifiers)。只有主子域或域间建立了信任关系后才会出现。 Users容器:容器中存放所有的用户账户和域里的全部安全组。 3.4管理活动目录 • 容器对象 辽宁机电职业技术学院

  18. 3.4管理活动目录 容器子对象 计算机(Computer);代表了网络上的计算机。 联系人(Contact) :这是一个没有任何安全权限的账户,不允许以 此身份登录到网络中,一般表示某外界用户。 组(group):代表容器对象,可以容纳用户或计算机。 组织单元(OU):该对象可以从逻辑上组织其他的活动目录对象和子 对象,类似于文件夹的功能。 InetOrgPerson账户:该对象在非微软目录服务中使用。 打印机:代表网络上的共享打印机。 用户(User) :代表活动目录重点安全主体,用户可以使用凭据登录 到网络,也可以基于这个对象分配访问权限。 共享文件夹:代表网络上的一个共享文件夹。 辽宁机电职业技术学院

  19. 3.4管理活动目录 LDAP协议 轻量级的目录访问协议(Lightweight Directory Access Protocol, LDAP)。基于X.500标准。LDAP支持TCP/IP,LDAP目录中可以存 储各种类型的数据:电子邮件地址、邮件路由信息、人力资源数据、 公用密钥、联系人列表等。通过把LDAP目录作为系统集成中的一个 重要环节俄,可以简化员工在企业内部查询信息的步骤,甚至主要 的数据源都可以放在任何地方。 辽宁机电职业技术学院

  20. 3.4管理活动目录 • 经常使用的管理工具 • Active Directory 用户和计算机 • Active Directory 站点和服务 • Active Directory 域和信任关系 • 计算机管理 • DNS • 远程桌面 • 安装和执行远程管理 辽宁机电职业技术学院

  21. 3.4管理活动目录 管理单元 辽宁机电职业技术学院

  22. 3.4管理活动目录 辽宁机电职业技术学院

  23. 基于混合型的示例 S • 功能 • 组织 M C • 位置 • 功能 基于组织 M • 组织 • 位置 M – 制造业 E – 工程师 R – 研究员 E R N F A 3.4管理活动目录 基于功能 S – 销售 C – 咨询 M – 市场 基于地理位置 N – 挪威 F – 法国 A – 美国 • 组织单位 辽宁机电职业技术学院

  24. 3.4管理活动目录 • 创建组织单位 辽宁机电职业技术学院

  25. 3.4管理活动目录 • 创建组织单位 辽宁机电职业技术学院

  26. 3.4管理活动目录 活动目录的备份 用户可以使用“备份”工具从域中的任何域控制器备份目录分区 数据和其他目录分区的数据。在域控制器上使用备份工具时, Windows将自动备份所有的系统组件和活动目录的所有分布式 服务。在域控制器上,系统状态数据包括系统启动文件、系 统注册表、COM+的类注册数据库、SYSVOL目录、“证书服务”数 据库、域名系统、群集和Active Directory。 辽宁机电职业技术学院

  27. 3.4管理活动目录 活动目录的备份过程 1) 单击“开始”-> “运行”,输入“ntbackup” ;2) 单击“高级模式”,选择“备份”标签;3) 选择“System State”项并选择“Active Directory”;4) 在左下角输入备份文件路径;5) 单击“开始备份”按钮。 辽宁机电职业技术学院

  28. 3.4管理活动目录 活动目录的恢复过程 1) 一般情况下都使用非授权方式恢复,这种方式从备份介质中恢复 以后域内其他的域控制器会在复制过程中使用新的数据覆盖备份 中的旧数据;2) 单击“开始”-> “运行”,输入“ntbackup” ; 3) 单击“高级模式”,选择“还原和管理媒体”标签;4) 选择“System State”项;5) 单击“开始还原”按钮。 辽宁机电职业技术学院

  29. 3.4管理活动目录 活动目录的恢复过程 1) 一般情况下都使用非授权方式恢复,这种方式从备份介质中恢复 以后域内其他的域控制器会在复制过程中使用新的数据覆盖备份 中的旧数据;2) 单击“开始”-> “运行”,输入“ntbackup” ; 3) 单击“高级模式”,选择“还原和管理媒体”标签;4) 选择“System State”项;5) 单击“开始还原”按钮。 辽宁机电职业技术学院

  30. 3.5 活动目录的访问控制 活动目录的安全性设置 活动目录的权限提供了资源的安全性设置,使用户可以控制谁能够访 问对象或对象的属性,访问对象的方式等。组织单元可以将具有同种 安全要求的活动目录对象放到一起,这样可以减少管理员的工作量。 辽宁机电职业技术学院

  31. 3.5 活动目录的访问控制 活动目录的安全性设置 辽宁机电职业技术学院

  32. 3.5 活动目录的访问控制 活动目录的安全性设置 辽宁机电职业技术学院

  33. 3.5 活动目录的访问控制 活动目录的安全性设置 Windows Server 2003采用了基于对象的安全模式实现对所有活动目 录对象的访问控制。每个活动目录对象都有一个安全性描述符,定义 谁有对这个对象的访问权限,允许以何种方式访问等。活动目录对象 上可以定义的访问控制权限的元素包括安全表述符、对象继承和用户 身份验证。 辽宁机电职业技术学院

  34. 3.5 活动目录的访问控制 安全描述符 安全描述符包含两个访问控制列表(ACL),用于指派和跟踪每个对象的 安全信息,适用于整个对象、对象属性组成或某个对象个别属性,分 为: 随机访问控制列表(DACL) 系统访问控制列表(SACL) 辽宁机电职业技术学院

  35. 3.5 活动目录的访问控制 随机访问控制列表(DACL) 它能赋予或拒绝特定用户和组对该对象的访问权。只有对象的所有者 才能更改在DACL中赋予或拒绝的权限,表示此对象的所有者可以自由 访问该对象。DACL标识已被指派或拒绝对某个对象的访问权限的用户 和组。如果 DACL未明确标识某个用户或用户所属的任何组,则该用 户将被拒绝访问此对象。一般DACL由对象的所有者或创建此对象的人 控制,它包含决定此对象的用户访问权的访问控制项。 辽宁机电职业技术学院

  36. 3.5 活动目录的访问控制 系统访问控制列表(SACL) SACL标识当其成功访问或未能访问某个对象时要审核的用户和组。 审核用来监视与系统或网络安全相关的事件、标识违反安全情况, 以及确定任何损害的范围和位置。 SACL由对象的所有者或创建此 对象的人控制,决定是否记录用户使用给定权限(例如“读取”)访问对 象时的成功或失败尝试。 辽宁机电职业技术学院

  37. 3.5 活动目录的访问控制 访问控制列表(ACL) 使用Active Directory用户和计算机管理控制台查看Active Directory 对象的DACL和SACL。 1) 打开“Active Directory用户和计算机” ;2) 在“查看”菜单,选择“高级功能”项;3) 右击需要修改安全属性的对象,选“属性”菜单;4) 访问“安全”标签;5) 在权限编辑框中可修改相应的权限。 辽宁机电职业技术学院

  38. 3.5 活动目录的访问控制 对象继承 继承可以使Active Directory中某个容器对象中定义的访问控制信息 应用到任何此对象(包括其他容器及其对象)的安全描述符。消除了每 次创建子对象时都要应用权限的需要。必要时可以更改继承的权限。 应避免更改Active Directory对象的默认权限或继承设置。 辽宁机电职业技术学院

  39. 3.5 活动目录的访问控制 用户身份验证 Active Directory验证和授权用户、组合计算机访问网络上的对象。 本地安全机构(LSA)负责本地计算机上所有交互式用户身份验证 和授权服务的安全子系统。处理在活动目录中通过Kerberos V5 协议或NTLM协议提出的身份验证请求。 辽宁机电职业技术学院

  40. 3.5 活动目录的访问控制 • 用户身份验证 • 本地密码由本地安全机构(LSA,Local Security Authority)存储 • 和维护。LSA 负责: • 管理本地安全策略 • 对用户进行身份验证 • 创建访问令牌 • 控制审核策略 • LSA 存储 • 信任关系密码 • 用户名 • 密码 • 服务账户密码 • 服务账户名称 • 利用syskey.exe程序保护LSA机密 辽宁机电职业技术学院

  41. 3.5 活动目录的访问控制 • 用户身份验证的工具 辽宁机电职业技术学院

  42. 3.5 活动目录的访问控制 访问令牌 当用户进行身份验证时,LSA为该用户创建一个安全访问令牌。并使某 个安全ID(SID)与该用户关联。访问令牌:包含用户的名称、用户所属 的组、用户的SID,以及用户的所属组的所有SID。如果在已发出用户存 取令牌之后将某个用户添加到组中,则用户必须注销并再次登陆之后才 能更新访问令牌。 辽宁机电职业技术学院

  43. 3.5 活动目录的访问控制 安全ID(SID) 称为安全码,Active Directory在创建SID时自动将其指派为安全主体 对象。安全主体是Active Directory的帐户,可为其指派权限,如计 算机、组或用户帐户。当SID颁发给经过身份验证的用户后,它就附加 在该用户的访问令牌上。 访问令牌中的信息用于确定用户在试图访问对象时的访问级别。 访问控制过程按SID而不是按名称标识用户帐户。 辽宁机电职业技术学院

  44. 3.5 活动目录的访问控制 • 管理安全组的工具 辽宁机电职业技术学院

  45. 上机指导 1. 安装域控制器 执行操作前首先确认用户是Active Directory中Domain Admins组或Enterprise Admins组的成员,或者已经改委派了适当的权限。 1) 选择[开始]|[运行]命令,在弹出的[运行] 对话框输入“dcpromo”,按回车键,运行[Active Directory安装向导],单击“下一步”按钮。2) 进入[操作系统兼容性]提示页面,确认后,单击“下一步”按钮。 3) 在打开的[域控制器类型]页面中选择[新域的域控制器]单选按钮,单击“下一步”按钮。4) 选择[新域的域控制器]单选按钮创建新的域及域控制器,单击“下一步”按钮。5) 在[创建一个新域]页面中选择 [在新域林中的域]单选按钮,单击“下一步”按钮。6) 在 [新的域名]页面中的[新域的DNS全名]文本框中输入符合DNS域名命名规范的域名,该名称应与此域中的DNS域名保持一致,单击“下一步”按钮。 辽宁机电职业技术学院

  46. 上机指导 1. 安装域控制器 7) 保持[NetBIOS域名]页面的默认值不变,单击“下一步”按钮。8) 在[数据库和日志文件文件夹]页面中,输入要安装数据库和日志文件文件夹的位置,这里使用默认设置,单击“下一步”按钮。9) 在[共享的系统卷]页面中使用Sysvol文件夹的默认安装位置,单击“下一步”按钮。10) 在 [DNS注册诊断]页面中选择[在这台计算机上安装和配置DNS服务器,并将这台DNS服务器设为这台计算机的首选DNS服务器]单选按钮,单击“下一步”按钮。11) 在 [权限]页面中选择[只与Windows2000或Windows Server 2003操作系统兼容的权限]单选按钮,单击“下一步”按钮。12) 检查[摘要]页面,单击“下一步”按钮。13) 安装完成后重新启动计算机,完成首台域控制器及根域的创建。 辽宁机电职业技术学院

  47. 辽宁机电职业技术学院·信息系 Thank You !

More Related