《windows 2000網(wǎng)絡(luò)基礎(chǔ)教程與上機指導(dǎo)》第4章windows 2000域和組織單元管理

1、第4章 Windows 2000域和組織單元管理,教學(xué)提示：域和組織單元作為活動目錄邏輯結(jié)構(gòu)中的重要組成部分，在網(wǎng)絡(luò)管理中占有很重要的地位，特別是域控制器，它的故障可能會引起整個網(wǎng)絡(luò)無法正常運行。而在大規(guī)模的組織結(jié)構(gòu)中，Windows 2000提供了層次化的管理方式即組織單元。域信任關(guān)系的管理可以進一步簡化大規(guī)模的網(wǎng)絡(luò)管理與控制。因此創(chuàng)建域信任關(guān)系，對域控制器進行管理，創(chuàng)建組織單元、對組織單元進行管理、委派不同層次用戶執(zhí)行不同的管理

2、任務(wù)，都將是網(wǎng)絡(luò)管理的重要內(nèi)容。,教學(xué)目標(biāo)：本章介紹了Windows 2000下的域模式及其轉(zhuǎn)換、域控制器管理、域信任關(guān)系管理、組織單元創(chuàng)建和控制委派等概念及其操作，由于這些內(nèi)容在實際網(wǎng)絡(luò)管理中經(jīng)常遇到，通過本章的學(xué)習(xí)，需要熟練掌握域和組織單元的相關(guān)操作。,4.1 Windows 2000的域模式,4.1.1 Windows 2000中的域4.1.2 域模式,4.1.1 Windows 2000中的域,1. 工作組和域

3、 Windows 2000中網(wǎng)絡(luò)內(nèi)的服務(wù)器可以安裝成工作組模式和域模式。,2. 域中計算機類型在一個域中，計算機分成以下3種類型。(1) 域控制器 作為域控制器的只能是安裝了Windows 2000 Server的計算機，域控制器在一個網(wǎng)絡(luò)中可以有多個。(2) 成員服務(wù)器 在一個域中，一臺Windows 2000 Server服務(wù)器如果不是域控制器，就是成員服務(wù)器，如果不加入域就是獨立服務(wù)器。(3) 其他

4、計算機 其他未安裝Windows 2000 Server的計算機，他們可以共享其他計算機提供的資源。,返回,4.1.2 域模式,1. 混合模式2. 本機模式3. 域模式轉(zhuǎn)換,返回,1. 混合模式,之所以叫混合模式，是因為允許運行Windows 2000及其以前的版本，如Windows NT的域控制器同時存在于一個域中。在混合模式下，以前版本的Windows NT中的域特性仍然有效，但是一些Windows 2000的特性

5、在這種環(huán)境中是無效的。Windows 2000 Server 域控制器的默認安裝模式是混合模式。在混合模式下，域中可能已經(jīng)存在Windows NT 4.0域控制器，混合模式下不支持組嵌套。,返回,2. 本機模式,在本機模式中，域中的所有域控制器都運行Windows 2000 Server。在本機模式中可以利用通用組、嵌套組成員身份和域內(nèi)用戶移動等Windows 2000 Server的新功能。其中通用組是用戶賬戶的集合，可以包含來自目錄

6、林中任何Active Directory域的成員，可以給通用組指派權(quán)限，以便使他們能夠訪問目錄林中任一成員計算機上的資源。通用組只在本機模式中才有效。,返回,3. 域模式轉(zhuǎn)換,域在第一次安裝時的模式是混合模式。域模式可以從混合模式更改為本機模式，但不能把本機模式更改成混合模式。只有域中的所有域控制器都運行Windows 2000 Server的情況下，才能將運行Windows 2000 Server的域控制器，并且最好是所有運行Wind

7、ows 2000 Server的域控制器，更改到本機模式。,返回,4.2 域控制器的管理,4.2.1 域控制器與全局目錄4.2.2 設(shè)置域控制器屬性4.2.3 連接到其他域4.2.4 更改域控制器,4.2.1 域控制器與全局目錄,1. 域控制器 域是活動目錄的分區(qū)，域區(qū)分安全邊界，在沒經(jīng)授權(quán)的情況下，不允許其他域中的用戶訪問本域中的資源。活動目錄可以由一個或多個域組成，每個域可以存儲多個對象，域之間有層

8、次關(guān)系，可以建立域目錄樹和域目錄林進行域擴展?；顒幽夸浗Y(jié)構(gòu)中目錄存儲的惟一形式是域控制器。2. 全局目錄 盡管活動目錄支持多主機復(fù)制方案，然而由于復(fù)制引起的通信流量以及網(wǎng)絡(luò)潛在的沖突，目錄信息變化的傳播并不一定能夠順利進行。因此在域控制器中使用全局目錄服務(wù)器來減少流量和沖突。全局目錄是一個信息倉庫，包含活動目錄中所有對象的部分屬性，這些屬性往往是查詢過程中訪問最為頻繁的屬性。,返回,4.2.2 設(shè)置域控制器屬性,域

9、控制器常常是網(wǎng)絡(luò)正常運行的中心，因此，用戶必須根據(jù)網(wǎng)絡(luò)運行情況合理地設(shè)置域控制器的屬性。通過設(shè)置域控制器屬性，不但可以確定域控制器的位置、操作系統(tǒng)和常規(guī)屬性，而且還可以設(shè)置域控制器的組和管理人。,返回,4.2.3 連接到其他域,在規(guī)模較大的網(wǎng)絡(luò)中 ， 往往存在多個域 ， 用戶常常需要將當(dāng)前域連接到其他域，以使當(dāng)前域中的用戶和計算機能訪問其他域中的資源，同時將當(dāng)前域控制器的部分操作主機功能傳送給其他域控制器，或?qū)?dāng)前域控制器更改為其他域

10、中的域控制器。,返回,4.2.4 更改域控制器,當(dāng)域控制器出現(xiàn)故障 ，不能正常運行時 ，往往會導(dǎo)致有域網(wǎng)絡(luò)不能正常運行，這時可以通過更改域控制器來保證網(wǎng)絡(luò)正常運行。由于Windows 2000 中的域控制器不再區(qū)分為主域控制器和輔助域控制器，且每個域控制器保存著相同的活動目錄的所有信息 ， 因此更改域控制器只須建立當(dāng)前域與其他任何可寫的域控制器連接即可。,返回,4.3 域信任關(guān)系管理,4.3.1 域信任關(guān)系概述4.3.2 單向

11、域信任關(guān)系及其建立4.3.3 雙向可傳遞域信任關(guān)系的建立,4.3.1 域信任關(guān)系概述,域不僅是安全邊界，而且還是復(fù)制與管理的邊界。根域管理員組、域管理員組和企業(yè)管理員組的成員可以輕易地訪問域目錄林中的任何機器。將資源真正隔離的惟一辦法就是將它們放入分離的域林中。活動目錄通過提供域間的信任關(guān)系來實現(xiàn)跨域的安全。當(dāng)域間有信任關(guān)系時，每個域的認證機構(gòu)都信任所有它信任的域的認證機構(gòu)，也信任該認證機構(gòu)認可的用戶和計算機以及資源。相反的，一個

12、域上的域用戶在該域的信任域上也是有效的用戶，能夠訪問信任域上的資源。同一目錄林中的Windows 2000 域相互之間存在可傳遞的信任關(guān)系。在Windows 2000 目錄林中 ，每個樹中的根域之間存在隱式的可傳遞信任關(guān)系 。 單個樹中所有相鄰的域之間還存在雙向的隱式可傳遞信任關(guān)系。,返回,4.3.2 單向域信任關(guān)系及其建立,在域管理的過程中，除了有雙向的隱式信任關(guān)系外，也可能需要在域

13、之間建立顯式的信任關(guān)系。Windows NT 4.0 域和 Windows 2000 域之間就必須建立顯式的信任關(guān)系，因為 Windows NT 4.0不能加入與Windows 2000 域的可傳遞信任關(guān)系。另外也可能需要在不同目錄林中實現(xiàn)域的彼此信任，也需要顯式加入雙向信任關(guān)系。 Windows 2000允許在域之間建立單向可傳遞信任關(guān)系。如果想在目錄林之外的一個目錄林中運行 Microsoft Proxy Serve

14、r 2.0或Microsoft Internet Security and Acceleration (ISA)Server 2000，單向可傳遞信任關(guān)系特別有用。從防火墻域到內(nèi)部域的單向信任使得內(nèi)部域中的賬戶受外部域的信任，但不允許內(nèi)部域信任外部域中的。這是一種不可傳遞的單向信任關(guān)系。,返回,4.3.3 雙向可傳遞域信任關(guān)系的建立,建立雙向信任關(guān)系的步驟與過程同建立單向信任關(guān)系的過程相同，同4.3.2節(jié)所敘述的步驟。但上述步驟建立的

15、是第二個域到第一個域的單向信任關(guān)系，要建立雙向信任關(guān)系，還必須完成第一個域到第二個域的單向信任關(guān)系。把4.3.2節(jié)中在第一個域上實現(xiàn)的操作在第二個域上再次操作，而在第二個域上執(zhí)行的操作在第一個域上再次操作，并注意更換信任域和受信任域的名字，就建立了第一個域到第二個域的單向信任關(guān)系。這樣兩個域就完成了雙向信任關(guān)系的建立。這里對建立第一個域到第二個域的單向信任關(guān)系的步驟不再詳細敘述，讀者可按照4.3.2節(jié)的步驟自行操作完成。,返回,4.4

16、 組織單元的管理,4.4.1 創(chuàng)建組織單元及組織單元對象4.4.2 管理組織單元4.4.3 委派管理權(quán)限,組織單元是活動目錄的邏輯結(jié)構(gòu)之一，可向組織單元容器中添加各種活動目錄對象，如計算機、用戶、組、共享文件、打印機、組織單元等。組織單元可以嵌套，即一個組織單元下面可以再建立組織單元，并且沒有層數(shù)限制。組織單元是域?qū)ο笾?，只能存在于域中，而域不能存在于組織單元中。,4.4.2 管理組織單元,組織單元的管理包括對組織單元本身

17、屬性的設(shè)置和移動組織單元中的對象 。在實際應(yīng)用中 ， 組織單元往往對應(yīng)于一個公司的幾個部門，則人員、打印機等在不同部門之間可能需要經(jīng)常流動，組織單元提供了對象根據(jù)需要進行移動的管理。,返回,4.4.3 委派管理權(quán)限,在大型應(yīng)用環(huán)境中，由中心的網(wǎng)絡(luò)管理員來管理全部網(wǎng)絡(luò)、用戶及其授權(quán)是不現(xiàn)實的，因此常常需要把集中的權(quán)限根據(jù)組織單元的劃分分配到不同的部門或機構(gòu)中，來實現(xiàn)不同層次的網(wǎng)絡(luò)管理。因為組織單元往往與實際應(yīng)用中的組織單元或部門相對應(yīng)，

18、所以委派權(quán)限經(jīng)常通過組織單元來實施。 在委派實施過程中先選擇委派的用戶，然后選擇委派的任務(wù)，確定委派的范圍，最后是委派的權(quán)限。委派管理權(quán)限使用控制委派向?qū)瓿伞?返回,4.5 上 機 指 導(dǎo),4.5.1 更改域模式4.5.2 建立雙向域信任關(guān)系 這一實驗需要兩臺計算機相互配合，并且先要對兩個域的DNS進行配置，兩個域的域名都要在同一DNS中進行解析，兩個域之間能夠通過域名互相訪問。在這里我們假設(shè)一