活动 目录 -- 系统管理的核心 简化 身份管理

1. 活动目录--系统管理的核心 简化身份管理

2. 理解域的概念 • 会安装域控制器 • 会管理AD账户和组 • 会管理OU • 会管理NTFS权限 • 会管理共享文件夹权限

3. 域和活动目录的概念 • 域 • 将网络中多台计算机逻辑上组织到一起，进行集中管理，这种区别于工作组的逻辑环境叫做域 • 域是组织与存储资源的核心管理单元 • 域控制器 • 在域中，至少有一台域控制器 • 域控制器中保存着整个域的用户帐号和安全数据库

4. 域和活动目录的概念 • 活动目录 • 活动目录是Windows网络中的目录服务 • 活动目录提供了存储网络对象信息并使网络用户使用这些数据的方法 • 活动目录特点 • 集中管理 • 便捷的网络资源访问 • 用户一次登录就可访问整个网络资源 • 网络资源主要包含用户账户、组、共享文件夹、打印机等 • 可扩展性

5. 域和活动目录的概念 • 域树 • 具有连续的域名空间的多个域 • 林 • 林由一个或多个域树组成

6. 安装域控制器的条件 • 安装者必须具有本地管理员权限 • 操作系统版本必须满足条件（Windows Server 2008 除Web版外都满足） • 本地磁盘至少有一个分区是NTFS文件系统 • 有TCP/IP设置（IP地址、子网掩码等） • 有相应的DNS服务器支持 • 有足够的可用空间

7. 安装活动目录 • 推荐步骤 • 运行dcpromo命令 • 在新林中新建域 • 设置域名 • DNS服务器 • 目录服务还原模式的Administrator密码

8. 域功能级别

9. 删除活动目录 • 将域控制器降级为普通的服务器 • 运行dcpromo命令 • 设置当前域控制器是否为此域的最后一台域控制器 • 设置降级为普通服务器的管理员账户的密码

10. 将计算机加入域 • 配置客户机的IP地址和首选DNS • 将客户机加入域

11. DNS在域中的作用 • 域名的命名采用DNS标准 • 客户机定位DC • 1）客户机发送DNS查询请求给DNS服务器 • 2）DNS服务器查询匹配的SRV资源记录 • 3）DNS服务器返回相关DC的IP地址列表给客户机 • 4）客户机联系到DC • 5）DC响应客户机的请求 • 域的DNS区域维护 • SRV资源记录可以定位DC

12. 小结 • 请思考: • 简述域、树、林的概念。 • 安装DC有哪些必备条件？ • 安装活动目录的命令是什么？

13. 应用系统用户目录举例“一对多”管理模式

14. 创建域用户账户2-1 • 域用户账户存储在活动目录数据库中 • 创建域用户的方法 • “Active Directory用户和计算机”工具

15. 创建域用户账户2-2 • 密码设置 • 密码设置注意事项 • 密码选项的作用 • 显示名 • 组织单位（OU）中唯一 • 用户登录名 • 域中惟一 • 最长20字符

16. 配置域用户账户属性 • 登录时间 • 登录到 • 账户过期

17. 组的类型

18. 组的作用域 • 本地域组 • 全局组 • 通用组

19. 本地域组 使用范围是本域 针对本域的资源创建本地域组 成员： 用户账户 本地域组 全局组 通用组

20. 全局组 使用范围是整个林及信任域 按逻辑关系创建全局组 具有相同管理任务或者访问权限的用户 如，按部门创建 可以按AGDLP规则来使用全局组

21. 通用组 使用范围是整个林及信任域 全局组和通用组的区别 通用组的成员身份在全局编录中 多域环境下通用组成员登录或者查询速度较快 全局组的成员身份在每个域中

22. 组织单位（OU）的管理 概念 容器：有效地组织活动目录对象 委派控制 组策略 设计方式 基于部门的OU 基于地理位置的OU 基于对象类型的OU OU的设计也可以是混合的 创建方法 新建→组织单位

23. OU的委派 为什么需要委派 管理员为适当的用户和组指派一定范围的管理任务，从而减轻管理员的工作负担 实现方法 打开【Active Directory用户和计算机】，右击OU→委派控制 添加要委派任务的账户或组 选择要委派的任务

24. 删除委派 • 要取消委派时可以删除委派任务 • 删除方法

25. 发布共享文件夹 为什么要发布共享文件夹 统一管理，方便查找 实现思路： 创建共享文件夹 创建OU 右击OU→新建→共享文件夹，输入名称和路径 设置发布文件夹的属性信息

26. 查找共享文件夹 搜索Active Directory 输入搜索条件

27. 实验案例2：OU的管理 学员练习： 创建OU 创建用户 委派权限 在客户机添加“Active Directory域服务工具”功能 在客户机上使用被委派用户验证委派

28. 桌面数据安全管理-NTFS权限

29. NTFS概述 • 3种文件系统的兼容性 ×代表不支持√代表支持√×代表有时需要安装微软提供的补丁才能够更好的支持

30. NTFS概述 • NTFS特点 • 可以设置权限 • 支持更大的磁盘容量 • 压缩功能 • 文件加密 • AD需要使用 NTFS • 磁盘配额，可用来监视和控制单个用户使用的磁盘空间量

31. 如何获得NTFS • 格式化磁盘，在格式化时选择NTFS文件系统 • 将FAT文件系统转换为NTFS文件系统 • convert e:/fs:ntfs • 使用第三方软件转换，如PQmagic等

32. 安全选项卡 NTFS权限含义 • NTFS文件系统可以针对不同用户和组设置各种访问权限 • 只有被授予权限的用户或组才能访问 • 文件或文件夹的属性中有【安全】选项卡 • 访问控制列表(ACL) • 访问控制项(ACE)

33. 文件夹权 限列表 文件夹的NTFS权限 • 完全控制:可执行所有操作 • 修改:可以修改、删除 • 读取和运行:可以读取内容，并且可以执行应用程序 • 列出文件夹目录:可以列出文件夹的内容 • 读取:可以读取内容 • 写入:可以创建文件夹或者文件 • 特别的权限:与文件和文件夹的数据无关，与【安全】选项卡读取、更改相关

34. 文件的NTFS权限 • 完全控制 • 修改 • 读取和运行 • 读取 • 写入 • 特别的权限

35. 和文件或文件夹数据本身没有关系 和【安全】选项卡相关 读取权限 更改权限 取得所有权 特别的权限 特别的权限

36. 取得文件或文件夹的所有权 • 管理员可以取得其所有权 • 如何取得所有权 • 【安全】|【高级】|【所有者】 • 管理员没有所有权 • 不能修改权限 • 管理员取得所有权 • 可以修改权限

37. NTFS权限的应用规则 • 权限的组合 • 权限的继承 • 权限的拒绝 • 移动和复制操作对权限的影响 • AGDLP规则

38. 权限的组合 • 用户对资源的有效权限是分配给用户帐户的权限和用户所属各个组的累加权限 • 例如user属于组group1和group2

39. 权限的拒绝 • 拒绝权限可以覆盖所有其他权限 • 可以设置拒绝用户帐户也可以拒绝组 • 例如user属于组group1和group2

40. 继承于 灰色为继 承权限 权限的继承2-1 • 新建的的子文件夹和文件会继承上一级目录的权限 • 根目录下的文件夹或文件继承磁盘分区的权限

41. 从上继承 向下继承 权限的继承2-2 • 可以拒绝继承上级权限 • 可以强制下级继承权限

42. 复制和移动操作对权限的影响

43. 复制的影响

44. 移动的影响

45. 端到端安全性管理-文件共享

46. 共享后的文件夹 什么是共享文件夹 • 什么是共享文件夹 • 共享文件夹的优点是什么 • 和其它存储介质（软盘、光盘、移动硬盘）相比，不受文件数量和大小限制 • 方便、快捷 • 共享前后图标有什么变化

47. 有创建共享文件夹权限 没有创建共享文件夹权限 创建共享文件夹的权限 • 哪些用户组有创建共享文件夹的权限 • 如果在DC上共享 • Administrators 组 • Server Operators 组 • 如果在成员服务器或独立服务器共享 • Administrators 组 • Power Users 组

48. 启用共享 共享名 注释信息 连接用户数 权限 创建共享文件夹 • 创建共享文件夹 • 通过鼠标右键菜单 • 共享选项卡 • 共享后的文件夹

49. 删除共享文件夹 • 删除文件夹共享 • 删除时警告信息

50. 访问共享文件夹3-1 • 网上邻居 • 通过浏览方式，速度较慢