《网络用户管理.ppt》由会员分享,可在线阅读,更多相关《网络用户管理.ppt(32页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、网络用户管理网络用户管理 1网络用户管理 目录服务和目录服务和LDAP单位里有大量的信息保存在不同的文件里,比如客户的联系信息可能会放在word里,也有可能放在excel里,也有可能放在Mail里,这就给我们造成了两个困难:同样的信息放在不同文件里,多次存储;访问不方便,用Word无法访问Mail里的数据。为了解决这两个困难,我们可以建立目录服务,将数据放在目录服务数据库里。Office、Mail,等应用程序使用轻量级目录访问协议LDAP可以访问目录服务数据库里的数据,另外IBM的Unix,Linux,等别的操作系统也支持LDAP,这意味着别的操作系统也能访问目录服务数据库里的数据。信息放在目
2、录服务里也便于查找,复制。LDAP 是设计用于在 TCP/IP 网络上使用的通讯协议。LDAP 定义目录客户如何访问目录服务器以及客户如何能进行目录操作并共享目录数据。LDAP 标准由 Internet 工程任务组(IETF)的工作组制定。2 LDAP 协议的特征协议的特征LDAP 协议具有如下特征:该协议直接通过 TCP 和 UDP 传送。大多数协议数据元素可以被编码成二进制字符串。可以将到其他服务器的索引返回客户端。SASL 机制可以与 LDAP 共同使用,以提供相关的安全服务。通过使用国际标准化组织(ISO)10646 字符集,可以使属性值和可分辨名称适用于在国际上使用。该协议可以扩展,
3、以支持新的操作,可以使用控制能力来扩展现有操作。架构通过供客户端使用的根对象上的属性来发布。3 Active Directory在Windows操作系统中目录服务的实现是Active Directory.Active Directory使用 LDAP,Active Directory提供一种构造复杂计算机网络的简单方法,用来存储公共文件夹、对象信息、打印机、服务等数据;Active Directory的适用范围很大,它可以用在小自一台计算机,一个计算机网络,大至数个广域网络(WAN)的结合。它可以包含这个范围中所有的对象:文件、打印机、应用程序、服务器、域,以及用户等等。Active Dire
4、ctory活动目录以分层树状结构排列成节点树,每个节点表示网络上的一个资源或服务,并且包含一组可检索和操作的属性。Active Directory 是提供复杂网络统一视图的 Windows目录服务,它减少了开发人员必须处理的目录和命名空间的数量。4 Active Directory 目录服务具有下列功能:数据存储,也称为目录,它存储着与 Active Directory 对象有关的信息。这些对象通常包括共享资源,如服务器、文件、打印机、网络用户和计算机帐户。一套规则,即架构,定义了包含在目录中的对象类和属性、这些对象实例的约束和限制及其名称的格式。包含目录中每个对象信息的全局编录。允许用户和管
5、理员查找目录信息,而与目录中实际包含数据的域无关。查询和索引机制的建立,可以使网络用户或应用程序发布并查找这些对象及其属性。通过网络分发目录数据的复制服务。域中的所有域控制器参与复制并包含它们所控制的域的所有目录信息的完整副本。对目录数据所做的任何更改都被复制到域中的所有域控制器。与网络安全登录过程的安全子系统的集成,以及对目录数据查询和数据修改的访问控制。为获得 Active Directory 的所有功能,通过网络访问 Active Directory 的计算机必须运行正确的客户软件。5 导入和导出导入和导出我们可以对Active Directory中的信息导入和导出,通过导入和导出,可以
6、将 Active Directory 数据导出至其他的应用程序或服务。作为替代方案,可使用从其他途径(如其他目录服务)获得的信息导入 Active Directory。Windows提供了两个命令行实用程序,以支持目录信息的导入和导出:LDIFDE 用于导出和导入 Active Directory 中的数据。CSVDE 用于导出和导入来自特定文件的数据 6 7(2)CSVDE数据可从以 CSV(逗号分隔的变量)格式存储数据的 Active Directory 文件导入和导出。象 Microsoft Excel 这样的应用程序都可读取或保存 CSV 格式的数据。另外,和其他许多第三方的工具一样,
7、Microsoft Exchange Server 管理工具也可导入和导出使用 CSV 格式的数据。CSV 格式包含一行或多行数据,每个值用逗号隔开。CSV 文件的第一行(有时指标题)必须包含每个属性的名称,其顺序与第一行之后的任何一行的数据顺序相同。例如:Cn,Firstname,Surname,Description1stuserlogonname,1stuserfirstname,1stusersurname,Manager2nduserlogonname,2nduserfirstname,2ndusersurname,President 8 9对目录服务编程 另外,为进一步简化程序方式
8、访问Active Directory,Microsoft专门提供了ADSI(Active Directory Service Interface)活动目录服务接口语言,更使得编程人员可以更轻松地访问Active Directory的所有功能!使用ADSI,可以创建执行常见管理任务的应用程序,这些任务包括备份数据库、访问打印机和管理用户帐户等。ADSI 使管理员能够相对方便地定位和管理网络上的资源。.Net架构对Active Directory提供了丰富的支持功能,其命名空间 System.DirectoryServices包含的DirctoryEntry、DirectoryEntries以及D
9、irectorySearcher等类库可与任何 Active Directory 服务提供程序(一种识别绑定协议并提供相关服务的程序,下面有专门阐述)一起使用,NET 框架的这些支持使得操作具有 DirectoryEntry 和 DirectorySearcher 等组件的 ADSI 功能非常容易。10 依赖于.Net架构类库的强大支持,使用ADSI使以下操作变得简单可行:一次登录可处理不同的目录。DirectoryEntry 组件类提供用户名和密码属性,可以在运行时输入这些属性并与绑定到的 Active Directory 对象进行通讯。通过给用户提供各种要使用的协议,使用单个应用程序编程接
10、口(API)即可在多个目录系统上执行任务。对目录系统执行多格式查询。ADSI 技术允许通过指定两种查询语言,即 SQL 和 LDAP,来搜索对象。通过访问 Active Directory 树,访问和使用用于管理和维护各种复杂网络配置的单个分层结构。将目录信息与数据库(如 SQL Server)进行集成。只要 DirectoryEntry 路径使用 LDAP 提供程序,就可以将它用作 ADO.NET 连接字符串。11 运用上面的知识,下面创建了一个Windows Forms程序实例,它可以列出本地计算机上的用户、组和服务。程序实现时,请拖放TreeView控件到窗体上,设置其名为viewPC(
11、它将在程序中提供三个顶级节点,各个节点分别用于用户User、组Group和服务Services。每个二级节点都将代表一个在您的计算机上注册的用户、组或服务。每个用户、组和服务都具有两个子节点,一个用于其 Active Directory 路径Path,另一个用于其属性Porperties);同时,请添加System.DirectoryServices.dll引用。并从组件中拖入 DirectoryEntry 组件,配置 DirectoryEntry 组件属性,设置其名Name 属性为 entryPC。将 DirectoryEntry 组件的 Path 属性设置为 WinNT:/ 主要源代码如下
12、:private void Form1_Load(object sender,System.EventArgs e)TreeNode users=new TreeNode(Users);TreeNode groups=new TreeNode(Groups);TreeNode services=new TreeNode(Services);viewPC.Nodes.AddRange(new TreeNodeusers,groups,services);foreach(DirectoryEntry child in entryPC.Children)TreeNode newNode=new Tr
13、eeNode(child.Name);switch(child.SchemaClassName)case User:users.Nodes.Add(newNode);break;case Group:groups.Nodes.Add(newNode);break;case Service:services.Nodes.Add(newNode);break;tryAddPathAndProperties(newNode,child);catch(Exception ex)MessageBox.Show(ex.Message);13/以下函数实现路径及属性的添加功能private void Add
14、PathAndProperties(TreeNode node,DirectoryEntry entry)node.Nodes.Add(new TreeNode(Path:+entry.Path);TreeNode propertyNode=new TreeNode(Properties);node.Nodes.Add(propertyNode);foreach(string propertyName in entry.Properties.PropertyNames)stringoneNode=propertyName+:+entry.PropertiespropertyName0.ToSt
15、ring();propertyNode.Nodes.Add(new TreeNode(oneNode);14 15用户访问管理 网络资源使用存在的问题网络资源使用存在的问题 由于网络的普及和上网的费用的降低,很多单位都局域网都接入了Internet,方便了员工上网查资料,提高了工作的效率,同时也带来了一些副作用,有的员工上班时间不专心做自己的工作,而是上网看新闻或聊天,有的员工上班时间大量下载MP3,电影,占用大量带宽.影响别人员工正常使用Internet。因些我们需要控制员工上网行为,要控制某些员工不能上网、某些员工在指定的时间内不能上网、还要控制员工上网所能访问的信息文件类型、控制员工上网不能访问某些不良站点。目前有很多软件可以实现控制员工上网行为.其中Microsoft Internet Security and Acceleration Server,简称ISA,功能比较强。当安装完ISA软件后,默认是不允许局域网内的电脑访问外网服务,我们要设置允许所用用户访问外网,操作步骤如下:16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32
限制150内