《域用户帐号与管理》PPT课件.ppt

《《域用户帐号与管理》PPT课件.ppt》由会员分享，可在线阅读，更多相关《《域用户帐号与管理》PPT课件.ppt（14页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、委托关系对于由多个域组成的网络，一个域中的用户需要访问另一个域中的资源时，需要在两个域中建立委托关系委托关系现称委托者为“信任域”，接受委托者为“受托域”。当建立起委托关系后，信任域即可辨认受托域中的用户帐号，允许这些帐号在信任域内使用。例如：在信任域中登陆，但在登陆时必须指明用户属于哪一个受托域在信任域中被设置其对信任域内资源的使用权限与访问权限访问信任域中的资源委托关系可以是单向的或双向的。委托关系可以是单向的或双向的。委托关系不具有转移性委托关系不具有转移性域的模式1.单域模式2.单主域模式3.多主域模式单域模式单主域模式由于所有的用户帐号都建立在主域中，所以其他域必须委托主域，以便主域

2、的帐号能够使用所有域中的资源。单域所有用户帐号信息中心域所有用户帐号电子系域所有用户帐号机械系域所有用户帐号管理系域所有用户帐号多主域模式网络中含有多个主域，所有的用户帐号都建立在这几个主域内，且每一个用户在整个网络中只需要一个帐号，不需要在每一个主域中都建立一个帐号。信息中心域1所有用户帐号信息中心域2所有用户帐号信息中心域3所有用户帐号电子系域所有用户帐号机械系域所有用户帐号管理系域所有用户帐号域的成员在Windows 2003 Server网络的一个域中，必须有一台安装并运行Windows 2003 Server Server的服务器，并且此服务器必须是主域控制器（PDC），此服务器内保

3、存着域内用户与组数据库的主备份。此外，域内还可以存在其他服务器。如下图：pdcbdcStand-alone Server运行不同操作系统的工作站网络设备主域控制器是一台运行Windows 2003 Server 的计算机，一个域必须有且只能有一个主域控制器。域中所有帐号、组以及安全设置等数据都集中保存在主域控制器的目录数据库中，因此帐号的增加与修改都是在主域控制器的目录数据库中进行的。主域控制器也可以做文件、打印或应用软件服务器。同时负责审核登陆者的身份。备份域控制器是一台运行Windows 2003 Server的计算机，但在安装时被设置为备份域控制器。主域控制器会定期将目录数据库备份到备份

4、域控制器中。功能和主域控制器类似；但备份域控制器不是必须的。可分担审核负荷，或在PDC无法使用时提升为PDC，保证正常运行独立服务器没有被赋予特殊的名称；可以是文件、打印或应用软件服务器中的一种或多种。已经添加到域中的独立服务器，具有以下特点：没有备份域目录数据库功能。没有审核域登陆者身份的功能（只能审核本机登陆者身份）。可以使用所属域内的帐号。可以使用受托域内的帐号。安装域控制器（通过Active Directory安装向导配置）步骤：1.开始-管理工具-配置服务器，在打开的相应对话框内，单击”Active Directory安装向导“。（或者“开始”-“运行”-“dcpromo”启动向导。

5、）2.启动向导，点击”下一步“按钮。3.设置域控制器类型。4.创建目录树或子域。5.创建或加入目录林6.新的域名。如：7.NetBIOS域名。如：jsjxy8.指定Active Directory数据库和日志文件的位置。当域控制器安装完成后，即可进行活动目录的管理，资源发布及客户机的域内资源的访问。在控制面板中的管理工具窗口中，可见增加了三个图标：Active Directory用户和计算机：用于域控制器的配置和管理、活动目录的资源发布等。Active Directory域和信任关系：用于设置域和域之间的信任关系。Active Directory站点和服务：用于配置各域控制器之间的性能优化。域

6、用户帐号与管理在Windows 2003 Server中，域用户管理器是用于建立和管理域中用户帐号、组、安全规则的主要工具。Windows 2003 Server提供两个内置的全局帐号，分别为1.Administrator:用于对整个域进行管理，即系统管理用于对整个域进行管理，即系统管理员帐号。员帐号。2.Guest:供临时访问者访问域中资源的帐号供临时访问者访问域中资源的帐号以上两个帐号名称可以被用户修改，但是不能删除。以上两个帐号名称可以被用户修改，但是不能删除。当用户比较多时，利用组对其管理。常见组类型为全局组、本地组全局组：经过适当设置，可以在任意域中使用的组。只有域控制器才有全局组。

7、在全局组中，只能包含该组所在域内的用户，不能包含域内的用户，也不能包含其他的本地组或全局组。本地组：经过适当设置，本地组可以包含所有域中的用户和所有全局组，但是不能包括其他本地组。对域控制器上的本地组而言，只能设置其对计算机上资源的访问权限。NT服务器NT服务器工作站物理系域NT服务器NT服务器工作站机械系域本地组L1全局组G1不能设置机械系域内的本地组L1对物理系内资源的访问权限物理系域委托机械系域可以设置机械系域内的全局组G1对物理系内资源的访问权限用户帐号及建立方法。用户名、用户全称、用户密码、隶属组、用户环境配置文件、可在那些时间登陆、从那些工作站登陆、帐号有效日期、登陆命令文件、主目

8、录、拨入等信息。添加一个用户帐号后，系统自动为其生成一个安全标示码（SID），此号码是唯一的，系统利用该号码来决定用户权限。一个帐号被删除后，即使再添加一个与其同名的帐号，新帐号也不能具有与原来帐号相同的权限设置。具体操作为：选择“开始”程序管理工具-域用户管理器，在其窗口里面选择不同菜单，打开相应对话框进行设置。用户帐号管理对用户帐号进行复制、修改、删除。安全规则及其设置在域用户管理器中，可以设置3种安全规则：1.帐号规则：用来管理所有与用户帐号、密码有关的事项，例如密码的期限、登陆错误几次后就将被帐号锁定等。2.用户权限规则：用来为用户和组指派权限，例如：那些用户可以通过网络登陆、那些用户

9、可以从本机直接登陆等。3.审核规则：用来设置是否对某些事件进行记录。例如：可以设定将登陆、注销的成功、失败状况等记录到安全日志中。用户帐号和组每个要登陆到域的用户都需要一个用户帐号，帐号包含用户名称、密码、用户权限、访问权限等信息。用户帐号分为：全局帐号和本地帐号，添加到域中的帐号默认为全局帐号。Windows 2003 Server提供两个内置的全局帐号，分别为1.Administrator:用于对整个域进行管理，即系统管理员帐号。用于对整个域进行管理，即系统管理员帐号。2.Guest:供临时访问者访问域中资源的帐号供临时访问者访问域中资源的帐号以上两个帐号名称可以被用户修改，但是不能删除。以上两个帐号名称可以被用户修改，但是不能删除。为提高用户管理效率，允许将域中的帐号按照其性质划分为组组，组中帐号能够自动继承组的权限与访问权限。