320 likes | 472 Views
Windows 2000 网络环境管理课程内容. 第一章: Microsoft Windows 2000 网络环境管理概述 第二章: Microsoft Active Directory 目录服务 第三章:共享网络资源管理 第四章:委派管理控制 第五章: DNS 管理 第六章: Active Directory 复制 第七章:实现组策略 第八章:使用组策略管理桌面环境 第九章: 网络安全管理 第十章:管理 Web 服务 第十一章:配置远程访问 第十二章: DHCP 实施和管理 第十三章:实现名称解析 第十四章:启动和登录疑难解答.
E N D
Windows 2000 网络环境管理课程内容 • 第一章:Microsoft Windows 2000 网络环境管理概述 • 第二章:Microsoft Active Directory 目录服务 • 第三章:共享网络资源管理 • 第四章:委派管理控制 • 第五章:DNS 管理 • 第六章:Active Directory 复制 • 第七章:实现组策略 • 第八章:使用组策略管理桌面环境 • 第九章:网络安全管理 • 第十章:管理 Web 服务 • 第十一章:配置远程访问 • 第十二章:DHCP 实施和管理 • 第十三章:实现名称解析 • 第十四章:启动和登录疑难解答
第四章 委派管理控制 • 委派管理控制简介 • 控制对 Active Directory 对象的访问 • 委派 Active Directory 对象的管理控制 • 计算机账户 • 自定义 MMC 控制台 • 建立任务板 • 最佳实践
委派管理控制简介 域 OU1 管理员1 OU2 管理员2 OU3 管理员3 4.1 委派管理控制简介 • 分散管理 • 为组织单位分配权限 • 委派以下类型的权限: • 分配某个组织单位的所有权限 • 分配某个特定属性的修改权限
第四章 委派管理控制 • 委派管理控制简介 • 控制对 Active Directory 对象的访问 • 委派 Active Directory 对象的管理控制 • 计算机账户 • 自定义 MMC 控制台 • 建立任务板 • 最佳实践
控制对 Active Directory对象的访问权 4.2 控制对 Active Directory 对象的访问权 • Active Directory 权限 • 需要决定哪些权限是必需的,还有这些权限将被用于哪些对象,以及哪些用户和用户组需要这些权限 • 控制权限的继承 • Active Directory 的权限继承功能允许容器内的对象自动继承该容器的权限 • 设置 Active Directory 权限 • Windows 2000 通过检查用户对某个对象的权限来决定用户使用该对象的权限
Active Directory权限 4.2.1 Active Directory 权限 权限: • 允许权限和拒绝权限 • 显式权限和隐式权限 • 标准权限和特殊权限
控制权限的继承 OU 完全控制 OU 完全控制 OU 完全控制 OU 完全控制 OU 只读 OU 只读 4.2.2 控制权限的继承 • 将权限应用于子对象 • 阻止子对象继承权限 • 把以前继承的权限复制给对象 • 删除对象以前继承的权限
设置Active Directory 权限 Users 属性 安全 常规 对象 名称 添加... Everyone Administrators (domain_name\Acct... 删除 Authenticated Users 允许 拒绝 完全控制 读取 写入 创建所有子对象 删除所有子对象 高级(V)... 允许将来自父系的可继承权限传播给该对象 (H) 确定 取消 应用 4.2.3 设置 Active Directory 权限 标准权限 特殊权限
第四章 委派管理控制 • 委派管理控制简介 • 控制对 Active Directory 对象的访问 • 委派 Active Directory 对象的管理控制 • 计算机账户 • 自定义 MMC 控制台 • 建立任务板 • 最佳实践
委派Active Directory 对象的管理控制 4.3 委派 Active Directory 对象的管理控制 • 委派管理控制概述 • 使用委派控制向导 • 委派管理控制的指导原则
委派管理控制概述 • 可以从三个方面定义管理权的委派: • 在一个特定容器内改变属性 • 在一个组织单位内创建或删除某种类型的对象 • 在一个组织单位内更改某种类型对象的某些属性 域 OU1 管理员1 OU2 管理员2 OU3 管理员3 4.3.1 委派管理控制概述
使用委派控制向导 委派权限的步骤 启动委派控制向导 1 选择要委派控制的用户或组 2 分配要委派的任务 3 选择某个Active Directory 对象类型 4 对用户和组委派权限 5 4.3.2 委派管理控制向导
委派管理控制的指导原则 在组织单位的层次上分配控制 使用委派控制向导 跟踪权限的分配 面向组委派控制 4.3 .3 委派管理控制的指导原则
第四章 委派管理控制 • 委派管理控制简介 • 控制对 Active Directory 对象的访问 • 委派 Active Directory 对象的管理控制 • 计算机账户 • 自定义 MMC 控制台 • 建立任务板 • 最佳实践
计算机账户 4.4 计算机账户 • 计算机账户概述 • 保护系统安全 • 发布这台计算机所提供的服务信息 • 管理计算机账户
计算机账户概述 计算机 contoso.msft 信息 Accounting Builtin Computers 安全性 Domain Controllers Human Resources Sales 4.4.1 计算机账户概述 • 计算机账户的功能 • 计算机账户密码
管理计算机账户 4.4.2 管理计算机账户 • 重设计算机账户 • 预先建立计算机账户 • 用户创建计算机账户的权限
第四章 委派管理控制 • 委派管理控制简介 • 控制对 Active Directory 对象的访问 • 委派 Active Directory 对象的管理控制 • 计算机账户 • 自定义 MMC 控制台 • 建立任务板 • 最佳实践
自定义MMC 控制台 4.5 自定义 MMC 控制台 • 创建自定义MMC控制台 • 发布自定义MMC控制台 • 安装Windows 2000管理单元
创建自定义MMC控制台 创建自定义控制台的步骤 打开MMC 1 添加需要的管理单元和扩展单元 2 选择 MMC控制台模式 3 配置MMC 的视图 4 保存MMC控制台 5 不要把NTFS “写入”权限分配给控制台文件,以防控制台被修改 4.5.1 创建自定义 MMC 控制台
发布自定义MMC控制台 E-Mail 共享 文件夹 组策略 4.5.2 发布自定义 MMC 控制台 要使用已发布的MMC 控制台: • 管理员至少要有“读取”该控制台文件的权限 • 必须在管理员使用的计算机上安装该控制台所需的所有管理单元
安装Windows 2000管理单元 安装 管理员 Windows 2000 管理工具(Adminpak.msi) Windows 2000 Professional 4.5.3 安装 Windows 2000 管理单元 管理单元: • 包含在 Windows 2000 管理工具中 • 使运行Windows 2000 Professional 版本的远程客户端计算机可以进行远程管理
第四章 委派管理控制 • 委派管理控制简介 • 控制对 Active Directory 对象的访问 • 委派 Active Directory 对象的管理控制 • 计算机账户 • 自定义 MMC 控制台 • 建立任务板 • 最佳实践
建立任务板 4.6 建立任务板 • 什么是任务板? • 创建并配置任务板 • 在任务板上添加任务
什么是任务板? 4.6.1 什么是任务板 任务板: • 自定义的管理工具 • 包含 MMC管理单元上某个管理任务或命令的快捷方式 • 创建任务板的好处: • 使得新用户能更方便地执行管理任务 • 使得复杂的任务简单化
创建并配置任务板 创建任务板的步骤: 创建一个自定义的MMC控制台 1 创建一个任务板 2 配置任务板上的任务 3 自定义任务板视图 4 4.6.2 创建并配置任务板
在任务板上添加任务 按下某个命令的快捷方式 新用户 禁用账号 与控制台树中的某一项相关联 与详细窗格中的某一项相关联 contoso.msft Manila Accounting Kim Yoshida Builtin Computers Luis Bonifaz Domain Controllers Human Resources Sales 4.6.3 在任务板上添加任务 • 每个任务都是 MMC 控制台上一条命令的快捷方式
第四章 委派管理控制 • 委派管理控制简介 • 控制对 Active Directory 对象的访问 • 委派 Active Directory 对象的管理控制 • 计算机账户 • 自定义 MMC 控制台 • 建立任务板 • 最佳实践
最佳实践 在容器的层次上委派权限 尽可能在高级别上委派权限 对组委派权限 提供用户培训 4.7 最佳实践
回顾 • 描述委派管理控制的关键性概念 • 控制对 Active Directory 对象的访问 • 委派对 Active Directory 对象的管理控制 • 管理计算机账户 • 创建和部署自定义控制台 • 使用和配置任务板