《《windows網(wǎng)絡(luò)操作系統(tǒng)》第3章__域的創(chuàng)建與管理課件.ppt》由會(huì)員分享，可在線閱讀，更多相關(guān)《《windows網(wǎng)絡(luò)操作系統(tǒng)》第3章__域的創(chuàng)建與管理課件.ppt（40頁珍藏版）》請(qǐng)?jiān)趨R文網(wǎng)上搜索。

1、Windows Windows 網(wǎng)絡(luò)操作系統(tǒng)網(wǎng)絡(luò)操作系統(tǒng)2023/2/16第第1 頁頁l企業(yè)要構(gòu)建一個(gè)辦公網(wǎng)絡(luò)，考慮到業(yè)務(wù)發(fā)展的需要，企業(yè)要構(gòu)建一個(gè)辦公網(wǎng)絡(luò)，考慮到業(yè)務(wù)發(fā)展的需要，以及網(wǎng)絡(luò)的安全性，需要對(duì)重要的公共資源和計(jì)算以及網(wǎng)絡(luò)的安全性，需要對(duì)重要的公共資源和計(jì)算機(jī)使用人員的信息實(shí)現(xiàn)集中管理。機(jī)使用人員的信息實(shí)現(xiàn)集中管理。l為此需要將為此需要將原來基于工作組方式的網(wǎng)絡(luò)升級(jí)為基于原來基于工作組方式的網(wǎng)絡(luò)升級(jí)為基于域的網(wǎng)絡(luò)，現(xiàn)在需要將一臺(tái)或多臺(tái)計(jì)算機(jī)升級(jí)為域域的網(wǎng)絡(luò)，現(xiàn)在需要將一臺(tái)或多臺(tái)計(jì)算機(jī)升級(jí)為域控制器，并將其它所有計(jì)算機(jī)加入到域成為成員服控制器，并將其它所有計(jì)算機(jī)加入到域成為成員服務(wù)器或

2、工作站。務(wù)器或工作站。l同時(shí)對(duì)原來的本地用戶賬戶和組按不同部門歸類升同時(shí)對(duì)原來的本地用戶賬戶和組按不同部門歸類升級(jí)為域用戶和組進(jìn)行管理。級(jí)為域用戶和組進(jìn)行管理。項(xiàng)目背景項(xiàng)目背景第第3 3章章 域的創(chuàng)建與管理域的創(chuàng)建與管理Windows Windows 網(wǎng)絡(luò)操作系統(tǒng)網(wǎng)絡(luò)操作系統(tǒng)2023/2/16第第2 頁頁課程導(dǎo)入課程導(dǎo)入l l大、中型企業(yè)網(wǎng)絡(luò)有幾百到上千的用戶，資源也比較分散，這大、中型企業(yè)網(wǎng)絡(luò)有幾百到上千的用戶，資源也比較分散，這大、中型企業(yè)網(wǎng)絡(luò)有幾百到上千的用戶，資源也比較分散，這大、中型企業(yè)網(wǎng)絡(luò)有幾百到上千的用戶，資源也比較分散，這時(shí)候如何管理？時(shí)候如何管理？時(shí)候如何管理？時(shí)候如何管理？

3、l l“工作組工作組工作組工作組”和和和和“域域域域”是是是是WindowsWindows網(wǎng)絡(luò)的兩種管理方式。網(wǎng)絡(luò)的兩種管理方式。網(wǎng)絡(luò)的兩種管理方式。網(wǎng)絡(luò)的兩種管理方式。工作組工作組工作組工作組n每一臺(tái)計(jì)算機(jī)都獨(dú)立維護(hù)自己的資源，不能集中管理所有網(wǎng)絡(luò)資源每一臺(tái)計(jì)算機(jī)都獨(dú)立維護(hù)自己的資源，不能集中管理所有網(wǎng)絡(luò)資源n每一臺(tái)計(jì)算機(jī)都在本地存儲(chǔ)用戶的賬戶每一臺(tái)計(jì)算機(jī)都在本地存儲(chǔ)用戶的賬戶n一個(gè)賬戶只能登錄到一臺(tái)計(jì)算機(jī)一個(gè)賬戶只能登錄到一臺(tái)計(jì)算機(jī)n工作組中的計(jì)算機(jī)的地位都是平等的，對(duì)于其他計(jì)算機(jī)來說既是服工作組中的計(jì)算機(jī)的地位都是平等的，對(duì)于其他計(jì)算機(jī)來說既是服務(wù)器，也是客戶機(jī)務(wù)器，也是客戶機(jī) n工作組

4、的網(wǎng)絡(luò)規(guī)模一般少于工作組的網(wǎng)絡(luò)規(guī)模一般少于1010臺(tái)計(jì)算機(jī)臺(tái)計(jì)算機(jī)域域域域n將網(wǎng)絡(luò)中多臺(tái)計(jì)算機(jī)邏輯上組織到一起，進(jìn)行集中管理，這種區(qū)別將網(wǎng)絡(luò)中多臺(tái)計(jì)算機(jī)邏輯上組織到一起，進(jìn)行集中管理，這種區(qū)別于工作組的邏輯環(huán)境叫做域于工作組的邏輯環(huán)境叫做域n域是組織與存儲(chǔ)資源的核心管理單元域是組織與存儲(chǔ)資源的核心管理單元 活動(dòng)目錄活動(dòng)目錄活動(dòng)目錄活動(dòng)目錄n提供了存儲(chǔ)網(wǎng)絡(luò)上對(duì)象信息并使網(wǎng)絡(luò)用戶使用該數(shù)據(jù)的方法提供了存儲(chǔ)網(wǎng)絡(luò)上對(duì)象信息并使網(wǎng)絡(luò)用戶使用該數(shù)據(jù)的方法Windows Windows 網(wǎng)絡(luò)操作系統(tǒng)網(wǎng)絡(luò)操作系統(tǒng)2023/2/16第第3 頁頁課程導(dǎo)入課程導(dǎo)入工作組工作組域域SAMSAMSAMSAMSAMSAM

5、單用戶帳單用戶帳號(hào)號(hào)Active DirectoryWindows Windows 網(wǎng)絡(luò)操作系統(tǒng)網(wǎng)絡(luò)操作系統(tǒng)2023/2/16第第4 頁頁第第3 3章章 域的創(chuàng)建與管理域的創(chuàng)建與管理了解：了解：了解：了解：域的概念、特點(diǎn)，活動(dòng)目錄的結(jié)構(gòu)，域的概念、特點(diǎn)，活動(dòng)目錄的結(jié)構(gòu)，域的概念、特點(diǎn)，活動(dòng)目錄的結(jié)構(gòu)，域的概念、特點(diǎn)，活動(dòng)目錄的結(jié)構(gòu)，域用戶賬戶、域組賬戶和組織單位的概念、域用戶賬戶、域組賬戶和組織單位的概念、域用戶賬戶、域組賬戶和組織單位的概念、域用戶賬戶、域組賬戶和組織單位的概念、特點(diǎn)和用途特點(diǎn)和用途特點(diǎn)和用途特點(diǎn)和用途熟悉：熟悉：熟悉：熟悉：域控制器的條件，活動(dòng)目錄的管理與域控制器的條件，活

6、動(dòng)目錄的管理與域控制器的條件，活動(dòng)目錄的管理與域控制器的條件，活動(dòng)目錄的管理與維護(hù)，域組賬戶的使用原則維護(hù)，域組賬戶的使用原則維護(hù)，域組賬戶的使用原則維護(hù)，域組賬戶的使用原則掌握：掌握：掌握：掌握：創(chuàng)建域，將計(jì)算機(jī)加入或脫離域，將創(chuàng)建域，將計(jì)算機(jī)加入或脫離域，將創(chuàng)建域，將計(jì)算機(jī)加入或脫離域，將創(chuàng)建域，將計(jì)算機(jī)加入或脫離域，將域控制器降級(jí)為獨(dú)立服務(wù)器或成員服務(wù)器；域控制器降級(jí)為獨(dú)立服務(wù)器或成員服務(wù)器；域控制器降級(jí)為獨(dú)立服務(wù)器或成員服務(wù)器；域控制器降級(jí)為獨(dú)立服務(wù)器或成員服務(wù)器；域用戶賬戶、域組賬戶和組織單位的管理域用戶賬戶、域組賬戶和組織單位的管理域用戶賬戶、域組賬戶和組織單位的管理域用戶賬戶、域

7、組賬戶和組織單位的管理本章學(xué)習(xí)目的本章學(xué)習(xí)目的Windows Windows 網(wǎng)絡(luò)操作系統(tǒng)網(wǎng)絡(luò)操作系統(tǒng)2023/2/16第第5 頁頁3.1 3.1 域的有關(guān)概念域的有關(guān)概念l l活動(dòng)目錄活動(dòng)目錄活動(dòng)目錄活動(dòng)目錄是存儲(chǔ)網(wǎng)絡(luò)上對(duì)象的相關(guān)信息并使該信息可供用戶和網(wǎng)是存儲(chǔ)網(wǎng)絡(luò)上對(duì)象的相關(guān)信息并使該信息可供用戶和網(wǎng)是存儲(chǔ)網(wǎng)絡(luò)上對(duì)象的相關(guān)信息并使該信息可供用戶和網(wǎng)是存儲(chǔ)網(wǎng)絡(luò)上對(duì)象的相關(guān)信息并使該信息可供用戶和網(wǎng)絡(luò)管理員使用的目錄服務(wù)。絡(luò)管理員使用的目錄服務(wù)。絡(luò)管理員使用的目錄服務(wù)。絡(luò)管理員使用的目錄服務(wù)。l l目錄目錄目錄目錄是一個(gè)數(shù)據(jù)庫(kù)，用于保存與網(wǎng)絡(luò)資源相關(guān)的信息結(jié)構(gòu)、資源是一個(gè)數(shù)據(jù)庫(kù)，用于保存與網(wǎng)絡(luò)

8、資源相關(guān)的信息結(jié)構(gòu)、資源是一個(gè)數(shù)據(jù)庫(kù)，用于保存與網(wǎng)絡(luò)資源相關(guān)的信息結(jié)構(gòu)、資源是一個(gè)數(shù)據(jù)庫(kù)，用于保存與網(wǎng)絡(luò)資源相關(guān)的信息結(jié)構(gòu)、資源位置、安全信息及管理信息等。如：計(jì)算機(jī)、用戶、組、打印機(jī)位置、安全信息及管理信息等。如：計(jì)算機(jī)、用戶、組、打印機(jī)位置、安全信息及管理信息等。如：計(jì)算機(jī)、用戶、組、打印機(jī)位置、安全信息及管理信息等。如：計(jì)算機(jī)、用戶、組、打印機(jī)等的名稱、描述、地理位置、訪問權(quán)限等信息。等的名稱、描述、地理位置、訪問權(quán)限等信息。等的名稱、描述、地理位置、訪問權(quán)限等信息。等的名稱、描述、地理位置、訪問權(quán)限等信息。l l目錄服務(wù)目錄服務(wù)目錄服務(wù)目錄服務(wù)是使目錄中所有信息和資源發(fā)揮作用的服務(wù)。是

9、使目錄中所有信息和資源發(fā)揮作用的服務(wù)。是使目錄中所有信息和資源發(fā)揮作用的服務(wù)。是使目錄中所有信息和資源發(fā)揮作用的服務(wù)。服務(wù)的主要表現(xiàn)是：服務(wù)的主要表現(xiàn)是：服務(wù)的主要表現(xiàn)是：服務(wù)的主要表現(xiàn)是：n網(wǎng)絡(luò)中的所有用戶和應(yīng)用程序只需提供很少的信息就能準(zhǔn)網(wǎng)絡(luò)中的所有用戶和應(yīng)用程序只需提供很少的信息就能準(zhǔn)確定位到這些實(shí)體資源，保證用戶能夠快速訪問。確定位到這些實(shí)體資源，保證用戶能夠快速訪問。n目錄服務(wù)在網(wǎng)絡(luò)安全方面也扮演著中心授權(quán)機(jī)構(gòu)的角色，目錄服務(wù)在網(wǎng)絡(luò)安全方面也扮演著中心授權(quán)機(jī)構(gòu)的角色，從而使操作系統(tǒng)可以輕松地驗(yàn)證用戶身份并控制其對(duì)網(wǎng)絡(luò)從而使操作系統(tǒng)可以輕松地驗(yàn)證用戶身份并控制其對(duì)網(wǎng)絡(luò)資源的訪問。資源的

10、訪問。l域域域域（DomainDomain）是共用一個(gè)）是共用一個(gè)）是共用一個(gè)）是共用一個(gè)“目錄服務(wù)數(shù)據(jù)庫(kù)目錄服務(wù)數(shù)據(jù)庫(kù)目錄服務(wù)數(shù)據(jù)庫(kù)目錄服務(wù)數(shù)據(jù)庫(kù)”有安全邊界的計(jì)有安全邊界的計(jì)有安全邊界的計(jì)有安全邊界的計(jì)算機(jī)的集合。算機(jī)的集合。算機(jī)的集合。算機(jī)的集合。3.1.1 3.1.1 認(rèn)識(shí)認(rèn)識(shí)WindowsWindows的域的域Windows Windows 網(wǎng)絡(luò)操作系統(tǒng)網(wǎng)絡(luò)操作系統(tǒng)2023/2/16第第6 頁頁3.1 3.1 域的有關(guān)概念域的有關(guān)概念3.1.1 3.1.1 認(rèn)識(shí)認(rèn)識(shí)WindowsWindows的域的域教科書的目錄教科書的目錄教科書的目錄教科書的目錄網(wǎng)絡(luò)的（活動(dòng)）目錄網(wǎng)絡(luò)的（活動(dòng)）目錄

11、網(wǎng)絡(luò)的（活動(dòng)）目錄網(wǎng)絡(luò)的（活動(dòng)）目錄ADAD存儲(chǔ)存儲(chǔ)存儲(chǔ)存儲(chǔ)對(duì)象對(duì)象對(duì)象對(duì)象章、節(jié)的名稱；章、節(jié)的名稱；章、節(jié)的名稱；章、節(jié)的名稱；頁號(hào)頁號(hào)頁號(hào)頁號(hào)基本單元（對(duì)象）：基本單元（對(duì)象）：基本單元（對(duì)象）：基本單元（對(duì)象）：用戶、組、計(jì)算機(jī)、文件、打印用戶、組、計(jì)算機(jī)、文件、打印用戶、組、計(jì)算機(jī)、文件、打印用戶、組、計(jì)算機(jī)、文件、打印機(jī)、聯(lián)系人等；機(jī)、聯(lián)系人等；機(jī)、聯(lián)系人等；機(jī)、聯(lián)系人等；綜合單元：綜合單元：綜合單元：綜合單元：組織單元、域、域樹、域林等組織單元、域、域樹、域林等組織單元、域、域樹、域林等組織單元、域、域樹、域林等提供提供提供提供的的的的服務(wù)服務(wù)服務(wù)服務(wù)讓讀者快速查讓讀者快速查讓讀

12、者快速查讓讀者快速查找、定位書上找、定位書上找、定位書上找、定位書上的信息的信息的信息的信息對(duì)網(wǎng)上的各種資源實(shí)現(xiàn)集中統(tǒng)一的單點(diǎn)管理，讓管理對(duì)網(wǎng)上的各種資源實(shí)現(xiàn)集中統(tǒng)一的單點(diǎn)管理，讓管理對(duì)網(wǎng)上的各種資源實(shí)現(xiàn)集中統(tǒng)一的單點(diǎn)管理，讓管理對(duì)網(wǎng)上的各種資源實(shí)現(xiàn)集中統(tǒng)一的單點(diǎn)管理，讓管理員和用戶能夠便捷地查找、定位和管理網(wǎng)上各類對(duì)象員和用戶能夠便捷地查找、定位和管理網(wǎng)上各類對(duì)象員和用戶能夠便捷地查找、定位和管理網(wǎng)上各類對(duì)象員和用戶能夠便捷地查找、定位和管理網(wǎng)上各類對(duì)象的信息，進(jìn)兒使這些信息充分發(fā)揮作用?；顒?dòng)目錄也的信息，進(jìn)兒使這些信息充分發(fā)揮作用?；顒?dòng)目錄也的信息，進(jìn)兒使這些信息充分發(fā)揮作用?；顒?dòng)目錄也的

13、信息，進(jìn)兒使這些信息充分發(fā)揮作用。活動(dòng)目錄也作為網(wǎng)絡(luò)安全的集中管理機(jī)構(gòu)，使得操作系統(tǒng)可以驗(yàn)作為網(wǎng)絡(luò)安全的集中管理機(jī)構(gòu)，使得操作系統(tǒng)可以驗(yàn)作為網(wǎng)絡(luò)安全的集中管理機(jī)構(gòu)，使得操作系統(tǒng)可以驗(yàn)作為網(wǎng)絡(luò)安全的集中管理機(jī)構(gòu)，使得操作系統(tǒng)可以驗(yàn)證用戶的身分并控制用戶對(duì)網(wǎng)絡(luò)資源的訪問。證用戶的身分并控制用戶對(duì)網(wǎng)絡(luò)資源的訪問。證用戶的身分并控制用戶對(duì)網(wǎng)絡(luò)資源的訪問。證用戶的身分并控制用戶對(duì)網(wǎng)絡(luò)資源的訪問。存儲(chǔ)存儲(chǔ)存儲(chǔ)存儲(chǔ)結(jié)構(gòu)結(jié)構(gòu)結(jié)構(gòu)結(jié)構(gòu)書的前幾頁書的前幾頁書的前幾頁書的前幾頁域控制器域控制器域控制器域控制器DCDCDCDC，結(jié)構(gòu)化的數(shù)據(jù)倉(cāng)庫(kù)大型數(shù)據(jù)庫(kù)，結(jié)構(gòu)化的數(shù)據(jù)倉(cāng)庫(kù)大型數(shù)據(jù)庫(kù)，結(jié)構(gòu)化的數(shù)據(jù)倉(cāng)庫(kù)大型數(shù)據(jù)庫(kù)，結(jié)構(gòu)化

14、的數(shù)據(jù)倉(cāng)庫(kù)大型數(shù)據(jù)庫(kù)擴(kuò)展擴(kuò)展擴(kuò)展擴(kuò)展性性性性靜態(tài)靜態(tài)靜態(tài)靜態(tài)不能不能不能不能增加條目增加條目增加條目增加條目動(dòng)態(tài)活動(dòng)動(dòng)態(tài)活動(dòng)動(dòng)態(tài)活動(dòng)動(dòng)態(tài)活動(dòng)可以隨著網(wǎng)絡(luò)資源的增加而動(dòng)態(tài)地可以隨著網(wǎng)絡(luò)資源的增加而動(dòng)態(tài)地可以隨著網(wǎng)絡(luò)資源的增加而動(dòng)態(tài)地可以隨著網(wǎng)絡(luò)資源的增加而動(dòng)態(tài)地進(jìn)行擴(kuò)展；進(jìn)行擴(kuò)展；進(jìn)行擴(kuò)展；進(jìn)行擴(kuò)展；提供對(duì)網(wǎng)上資源實(shí)施系統(tǒng)管理、安全管提供對(duì)網(wǎng)上資源實(shí)施系統(tǒng)管理、安全管提供對(duì)網(wǎng)上資源實(shí)施系統(tǒng)管理、安全管提供對(duì)網(wǎng)上資源實(shí)施系統(tǒng)管理、安全管理和互操作性等功能服務(wù)。理和互操作性等功能服務(wù)。理和互操作性等功能服務(wù)。理和互操作性等功能服務(wù)。Windows Windows 網(wǎng)絡(luò)操作系統(tǒng)網(wǎng)絡(luò)操作系統(tǒng)2023/2

15、/16第第7 頁頁3.1 3.1 域的有關(guān)概念域的有關(guān)概念l域控制器域控制器在一個(gè)域中，活動(dòng)目錄數(shù)據(jù)庫(kù)必須存儲(chǔ)在域中特定的在一個(gè)域中，活動(dòng)目錄數(shù)據(jù)庫(kù)必須存儲(chǔ)在域中特定的在一個(gè)域中，活動(dòng)目錄數(shù)據(jù)庫(kù)必須存儲(chǔ)在域中特定的在一個(gè)域中，活動(dòng)目錄數(shù)據(jù)庫(kù)必須存儲(chǔ)在域中特定的計(jì)算機(jī)上，這樣的計(jì)算機(jī)被稱為域控制器（計(jì)算機(jī)上，這樣的計(jì)算機(jī)被稱為域控制器（計(jì)算機(jī)上，這樣的計(jì)算機(jī)被稱為域控制器（計(jì)算機(jī)上，這樣的計(jì)算機(jī)被稱為域控制器（Domain Domain ControllerController，簡(jiǎn)寫為，簡(jiǎn)寫為，簡(jiǎn)寫為，簡(jiǎn)寫為DCDC）。）。）。）。一個(gè)域可以有一個(gè)或多個(gè)域控制器，各域控制器是平一個(gè)域可以有一個(gè)或

16、多個(gè)域控制器，各域控制器是平一個(gè)域可以有一個(gè)或多個(gè)域控制器，各域控制器是平一個(gè)域可以有一個(gè)或多個(gè)域控制器，各域控制器是平等的。等的。等的。等的。l成員服務(wù)器成員服務(wù)器那些安裝了服務(wù)器版操作系統(tǒng)（如：那些安裝了服務(wù)器版操作系統(tǒng)（如：那些安裝了服務(wù)器版操作系統(tǒng)（如：那些安裝了服務(wù)器版操作系統(tǒng)（如：Windows Windows Server 2003Server 2003或或或或Windows 2000 ServerWindows 2000 Server），但未安裝），但未安裝），但未安裝），但未安裝ADAD服務(wù)且加入域的計(jì)算機(jī)服務(wù)且加入域的計(jì)算機(jī)服務(wù)且加入域的計(jì)算機(jī)服務(wù)且加入域的計(jì)算機(jī) 。l工作

17、站工作站所有安裝所有安裝所有安裝所有安裝Windows NT WorkstationWindows NT Workstation、Windows Windows 2000 Professional2000 Professional或或或或Windows XP ProfessionalWindows XP Professional系系系系統(tǒng)，且加入域的計(jì)算機(jī)統(tǒng)，且加入域的計(jì)算機(jī)統(tǒng)，且加入域的計(jì)算機(jī)統(tǒng)，且加入域的計(jì)算機(jī) 3.1.2 域中計(jì)算機(jī)的角色域中計(jì)算機(jī)的角色Windows Windows 網(wǎng)絡(luò)操作系統(tǒng)網(wǎng)絡(luò)操作系統(tǒng)2023/2/16第第8 頁頁3.1 3.1 域的有關(guān)概念域的有關(guān)概念l有許多計(jì)

18、算機(jī)并不屬于任何一個(gè)域，即以工作組有許多計(jì)算機(jī)并不屬于任何一個(gè)域，即以工作組模式運(yùn)行著，從功能上來講，也可將其分為兩種模式運(yùn)行著，從功能上來講，也可將其分為兩種角色：角色：獨(dú)立服務(wù)器獨(dú)立服務(wù)器n安裝了各種版本的安裝了各種版本的Windows ServerWindows Server，但未加入域。，但未加入域。它一旦加入域中，其角色便轉(zhuǎn)化為它一旦加入域中，其角色便轉(zhuǎn)化為“成員服務(wù)器成員服務(wù)器”。一般客戶端計(jì)算機(jī)一般客戶端計(jì)算機(jī)n無論執(zhí)行何種操作系統(tǒng)，只要未加入域，且不是無論執(zhí)行何種操作系統(tǒng)，只要未加入域，且不是獨(dú)立服務(wù)器的計(jì)算機(jī)，都?xì)w為此類。它一旦加入獨(dú)立服務(wù)器的計(jì)算機(jī)，都?xì)w為此類。它一旦加入域

19、中，其角色便是域中，其角色便是“工作站工作站”。3.1.2 域中計(jì)算機(jī)的角色域中計(jì)算機(jī)的角色Windows Windows 網(wǎng)絡(luò)操作系統(tǒng)網(wǎng)絡(luò)操作系統(tǒng)2023/2/16第第9 頁頁3.1 3.1 域的有關(guān)概念域的有關(guān)概念l集中管理：集中管理：集中管理：集中管理：域中所有計(jì)算機(jī)共享了一個(gè)活動(dòng)目錄數(shù)據(jù)域中所有計(jì)算機(jī)共享了一個(gè)活動(dòng)目錄數(shù)據(jù)域中所有計(jì)算機(jī)共享了一個(gè)活動(dòng)目錄數(shù)據(jù)域中所有計(jì)算機(jī)共享了一個(gè)活動(dòng)目錄數(shù)據(jù)庫(kù)，里面包含了整個(gè)域中的所有的資源信息、賬戶信庫(kù)，里面包含了整個(gè)域中的所有的資源信息、賬戶信庫(kù)，里面包含了整個(gè)域中的所有的資源信息、賬戶信庫(kù)，里面包含了整個(gè)域中的所有的資源信息、賬戶信息與安全信息

20、。息與安全信息。息與安全信息。息與安全信息。l安全級(jí)別較高：安全級(jí)別較高：安全級(jí)別較高：安全級(jí)別較高：由于域中所有安全信息都集中存儲(chǔ)在由于域中所有安全信息都集中存儲(chǔ)在由于域中所有安全信息都集中存儲(chǔ)在由于域中所有安全信息都集中存儲(chǔ)在活動(dòng)目錄數(shù)據(jù)庫(kù)中，所以管理員可以通過指定強(qiáng)有力活動(dòng)目錄數(shù)據(jù)庫(kù)中，所以管理員可以通過指定強(qiáng)有力活動(dòng)目錄數(shù)據(jù)庫(kù)中，所以管理員可以通過指定強(qiáng)有力活動(dòng)目錄數(shù)據(jù)庫(kù)中，所以管理員可以通過指定強(qiáng)有力的安全策略來保證整個(gè)域的安全。的安全策略來保證整個(gè)域的安全。的安全策略來保證整個(gè)域的安全。的安全策略來保證整個(gè)域的安全。l便于用戶訪問域中的資源：便于用戶訪問域中的資源：便于用戶訪問域中

21、的資源：便于用戶訪問域中的資源：在域的活動(dòng)目錄數(shù)據(jù)庫(kù)中，在域的活動(dòng)目錄數(shù)據(jù)庫(kù)中，在域的活動(dòng)目錄數(shù)據(jù)庫(kù)中，在域的活動(dòng)目錄數(shù)據(jù)庫(kù)中，管理員可以創(chuàng)建管理員可以創(chuàng)建管理員可以創(chuàng)建管理員可以創(chuàng)建“域用戶賬戶域用戶賬戶域用戶賬戶域用戶賬戶”。一個(gè)域中無論有多少臺(tái)計(jì)算機(jī)，用戶只要擁有域用戶賬戶，一個(gè)域中無論有多少臺(tái)計(jì)算機(jī)，用戶只要擁有域用戶賬戶，一個(gè)域中無論有多少臺(tái)計(jì)算機(jī)，用戶只要擁有域用戶賬戶，一個(gè)域中無論有多少臺(tái)計(jì)算機(jī)，用戶只要擁有域用戶賬戶，便可訪問域中所有計(jì)算機(jī)上允許訪問的資源，即域用戶賬便可訪問域中所有計(jì)算機(jī)上允許訪問的資源，即域用戶賬便可訪問域中所有計(jì)算機(jī)上允許訪問的資源，即域用戶賬便可訪問域中

22、所有計(jì)算機(jī)上允許訪問的資源，即域用戶賬戶對(duì)資源的訪問范圍可以是整個(gè)域，而非局限在一臺(tái)計(jì)算戶對(duì)資源的訪問范圍可以是整個(gè)域，而非局限在一臺(tái)計(jì)算戶對(duì)資源的訪問范圍可以是整個(gè)域，而非局限在一臺(tái)計(jì)算戶對(duì)資源的訪問范圍可以是整個(gè)域，而非局限在一臺(tái)計(jì)算機(jī)上。機(jī)上。機(jī)上。機(jī)上。域用戶賬戶可以在加入域的任何一臺(tái)計(jì)算機(jī)上登錄，從而域用戶賬戶可以在加入域的任何一臺(tái)計(jì)算機(jī)上登錄，從而域用戶賬戶可以在加入域的任何一臺(tái)計(jì)算機(jī)上登錄，從而域用戶賬戶可以在加入域的任何一臺(tái)計(jì)算機(jī)上登錄，從而使用、訪問該計(jì)算機(jī)上資源。使用、訪問該計(jì)算機(jī)上資源。使用、訪問該計(jì)算機(jī)上資源。使用、訪問該計(jì)算機(jī)上資源。3.1.3 域的特點(diǎn)域的特點(diǎn)Win

23、dows Windows 網(wǎng)絡(luò)操作系統(tǒng)網(wǎng)絡(luò)操作系統(tǒng)2023/2/16第第10 頁頁3.1 3.1 域的有關(guān)概念域的有關(guān)概念l組織單位組織單位組織單位組織單位（Organizational UnitOrganizational Unit，簡(jiǎn)稱，簡(jiǎn)稱，簡(jiǎn)稱，簡(jiǎn)稱OUOU）OUOU是組織、管理一個(gè)域內(nèi)的對(duì)象的容器，它能包是組織、管理一個(gè)域內(nèi)的對(duì)象的容器，它能包是組織、管理一個(gè)域內(nèi)的對(duì)象的容器，它能包是組織、管理一個(gè)域內(nèi)的對(duì)象的容器，它能包容用戶賬戶、用戶組、計(jì)算機(jī)、應(yīng)用程序、打印機(jī)容用戶賬戶、用戶組、計(jì)算機(jī)、應(yīng)用程序、打印機(jī)容用戶賬戶、用戶組、計(jì)算機(jī)、應(yīng)用程序、打印機(jī)容用戶賬戶、用戶組、計(jì)算機(jī)、應(yīng)用

24、程序、打印機(jī)和其它的和其它的和其它的和其它的OUOU。l域域域域(Domain)(Domain)域是活動(dòng)目錄的核心單元，是對(duì)象（如計(jì)算機(jī)、用域是活動(dòng)目錄的核心單元，是對(duì)象（如計(jì)算機(jī)、用域是活動(dòng)目錄的核心單元，是對(duì)象（如計(jì)算機(jī)、用域是活動(dòng)目錄的核心單元，是對(duì)象（如計(jì)算機(jī)、用戶、組織單位等）的容器，這些對(duì)象有相同的安全戶、組織單位等）的容器，這些對(duì)象有相同的安全戶、組織單位等）的容器，這些對(duì)象有相同的安全戶、組織單位等）的容器，這些對(duì)象有相同的安全需求、復(fù)制過程和管理。域管理員具有管理本域的需求、復(fù)制過程和管理。域管理員具有管理本域的需求、復(fù)制過程和管理。域管理員具有管理本域的需求、復(fù)制過程和管理

25、。域管理員具有管理本域的所有權(quán)利，如果其它的域顯式地賦予它管理權(quán)限，所有權(quán)利，如果其它的域顯式地賦予它管理權(quán)限，所有權(quán)利，如果其它的域顯式地賦予它管理權(quán)限，所有權(quán)利，如果其它的域顯式地賦予它管理權(quán)限，他還能夠訪問或管理其它的域。他還能夠訪問或管理其它的域。他還能夠訪問或管理其它的域。他還能夠訪問或管理其它的域。l域樹域樹域樹域樹(Tree)(Tree)3.1.4 活動(dòng)目錄的組織結(jié)構(gòu)活動(dòng)目錄的組織結(jié)構(gòu)Windows Windows 網(wǎng)絡(luò)操作系統(tǒng)網(wǎng)絡(luò)操作系統(tǒng)2023/2/16第第11 頁頁3.2 3.2 域的創(chuàng)建域的創(chuàng)建l計(jì)算機(jī)必須運(yùn)行計(jì)算機(jī)必須運(yùn)行計(jì)算機(jī)必須運(yùn)行計(jì)算機(jī)必須運(yùn)行Windows Se

26、rver 2003Windows Server 2003標(biāo)準(zhǔn)版、企標(biāo)準(zhǔn)版、企標(biāo)準(zhǔn)版、企標(biāo)準(zhǔn)版、企業(yè)版或數(shù)據(jù)中心版，業(yè)版或數(shù)據(jù)中心版，業(yè)版或數(shù)據(jù)中心版，業(yè)版或數(shù)據(jù)中心版，WebWeb版的計(jì)算機(jī)不能成為域控制版的計(jì)算機(jī)不能成為域控制版的計(jì)算機(jī)不能成為域控制版的計(jì)算機(jī)不能成為域控制器器器器l安裝者具有本地管理員權(quán)限安裝者具有本地管理員權(quán)限安裝者具有本地管理員權(quán)限安裝者具有本地管理員權(quán)限l至少具有至少具有至少具有至少具有250MB250MB的磁盤空間。其中，的磁盤空間。其中，的磁盤空間。其中，的磁盤空間。其中，200MB200MB的空間的空間的空間的空間用于存放活動(dòng)目錄數(shù)據(jù)庫(kù)，用于存放活動(dòng)目錄數(shù)據(jù)庫(kù)，

27、用于存放活動(dòng)目錄數(shù)據(jù)庫(kù)，用于存放活動(dòng)目錄數(shù)據(jù)庫(kù)，50MB50MB的空間用于存放活的空間用于存放活的空間用于存放活的空間用于存放活動(dòng)目錄數(shù)據(jù)庫(kù)的事務(wù)日志文件。動(dòng)目錄數(shù)據(jù)庫(kù)的事務(wù)日志文件。動(dòng)目錄數(shù)據(jù)庫(kù)的事務(wù)日志文件。動(dòng)目錄數(shù)據(jù)庫(kù)的事務(wù)日志文件。l安裝域控制器的服務(wù)器上至少要有一個(gè)安裝域控制器的服務(wù)器上至少要有一個(gè)安裝域控制器的服務(wù)器上至少要有一個(gè)安裝域控制器的服務(wù)器上至少要有一個(gè)NTFSNTFS分區(qū)。分區(qū)。分區(qū)。分區(qū)。l有有有有TCP/IPTCP/IP設(shè)置（設(shè)置（設(shè)置（設(shè)置（IPIP地址、子網(wǎng)掩碼、地址、子網(wǎng)掩碼、地址、子網(wǎng)掩碼、地址、子網(wǎng)掩碼、DNSDNS的的的的IPIP等）等）等）等）l域結(jié)構(gòu)

28、的網(wǎng)絡(luò)中必須有域結(jié)構(gòu)的網(wǎng)絡(luò)中必須有域結(jié)構(gòu)的網(wǎng)絡(luò)中必須有域結(jié)構(gòu)的網(wǎng)絡(luò)中必須有DNSDNS服務(wù)器與其相配合。服務(wù)器與其相配合。服務(wù)器與其相配合。服務(wù)器與其相配合。DNSDNS服務(wù)器的作用是定位域控制器的位置。服務(wù)器的作用是定位域控制器的位置。服務(wù)器的作用是定位域控制器的位置。服務(wù)器的作用是定位域控制器的位置。3.2.1 安裝域控制器的條件安裝域控制器的條件Windows Windows 網(wǎng)絡(luò)操作系統(tǒng)網(wǎng)絡(luò)操作系統(tǒng)2023/2/16第第12 頁頁3.2 3.2 域的創(chuàng)建域的創(chuàng)建l安裝過程演示：安裝過程演示：安裝過程演示：安裝過程演示：3.2.2 域控制器的安裝域控制器的安裝Windows Window

29、s 網(wǎng)絡(luò)操作系統(tǒng)網(wǎng)絡(luò)操作系統(tǒng)2023/2/16第第13 頁頁3.2 3.2 域的創(chuàng)建域的創(chuàng)建l計(jì)算機(jī)能加入域的先決條件是：計(jì)算機(jī)能加入域的先決條件是：計(jì)算機(jī)能加入域的先決條件是：計(jì)算機(jī)能加入域的先決條件是：該計(jì)算機(jī)與域控制器能連通該計(jì)算機(jī)與域控制器能連通該計(jì)算機(jī)與域控制器能連通該計(jì)算機(jī)與域控制器能連通在計(jì)算機(jī)上正確設(shè)置首選在計(jì)算機(jī)上正確設(shè)置首選在計(jì)算機(jī)上正確設(shè)置首選在計(jì)算機(jī)上正確設(shè)置首選DNSDNS服務(wù)器的服務(wù)器的服務(wù)器的服務(wù)器的IPIP地址地址地址地址(這里設(shè)為第一臺(tái)這里設(shè)為第一臺(tái)這里設(shè)為第一臺(tái)這里設(shè)為第一臺(tái)DCDC的的的的IP)IP)。3.2.3 計(jì)算機(jī)加入或脫離域計(jì)算機(jī)加入或脫離域客戶端

30、客戶端1（物理機(jī)）（物理機(jī)）客戶端客戶端2（虛擬機(jī)（虛擬機(jī)2）IPIP：172.16.172.16.220220.X+160/24.X+160/24DNSDNS：172.16.220.X+80/24172.16.220.X+80/24 IPIP：172.16.220.X/24172.16.220.X/24域控制器域控制器（虛擬機(jī)（虛擬機(jī)1）IPIP：172.16.172.16.220.220.X+80/24X+80/24DNSDNS：172.16.220.X+80/24172.16.220.X+80/24加入域加入域Windows Windows 網(wǎng)絡(luò)操作系統(tǒng)網(wǎng)絡(luò)操作系統(tǒng)2023/2/16第第

31、14 頁頁3.2 3.2 域的創(chuàng)建域的創(chuàng)建3.2.3 計(jì)算機(jī)加入或脫離域計(jì)算機(jī)加入或脫離域Windows Windows 網(wǎng)絡(luò)操作系統(tǒng)網(wǎng)絡(luò)操作系統(tǒng)2023/2/16第第15 頁頁3.3 3.3 域的管理域的管理l創(chuàng)建域用戶賬戶：創(chuàng)建域用戶賬戶：創(chuàng)建域用戶賬戶：創(chuàng)建域用戶賬戶：3.3.1 創(chuàng)建與管理域用戶賬戶創(chuàng)建與管理域用戶賬戶Windows Windows 網(wǎng)絡(luò)操作系統(tǒng)網(wǎng)絡(luò)操作系統(tǒng)2023/2/16第第16 頁頁3.3 3.3 域的管理域的管理l限制用戶登錄域的時(shí)間：限制用戶登錄域的時(shí)間：限制用戶登錄域的時(shí)間：限制用戶登錄域的時(shí)間：3.3.1 創(chuàng)建與管理域用戶賬戶創(chuàng)建與管理域用戶賬戶Windo

32、ws Windows 網(wǎng)絡(luò)操作系統(tǒng)網(wǎng)絡(luò)操作系統(tǒng)2023/2/16第第17 頁頁3.3 3.3 域的管理域的管理l限制域用戶賬戶只能從特定的計(jì)算機(jī)上登錄域限制域用戶賬戶只能從特定的計(jì)算機(jī)上登錄域限制域用戶賬戶只能從特定的計(jì)算機(jī)上登錄域限制域用戶賬戶只能從特定的計(jì)算機(jī)上登錄域3.3.1 創(chuàng)建與管理域用戶賬戶創(chuàng)建與管理域用戶賬戶Windows Windows 網(wǎng)絡(luò)操作系統(tǒng)網(wǎng)絡(luò)操作系統(tǒng)2023/2/16第第18 頁頁3.3 3.3 域的管理域的管理3.3.2 創(chuàng)建與管理域組賬戶創(chuàng)建與管理域組賬戶域組域組分類分類安全組安全組通訊組（分布式組）通訊組（分布式組）實(shí)現(xiàn)與安全性有關(guān)的工作和功能，實(shí)現(xiàn)與安全性有

33、關(guān)的工作和功能，可以通過給安全組賦予訪問資源的可以通過給安全組賦予訪問資源的權(quán)限來限制安全組的成員對(duì)域中資權(quán)限來限制安全組的成員對(duì)域中資源的訪問。如：可設(shè)置對(duì)某個(gè)文件源的訪問。如：可設(shè)置對(duì)某個(gè)文件有有“讀取讀取”或或“改寫改寫”的權(quán)限。的權(quán)限。也可用在與安全無關(guān)的任務(wù)上，如：也可用在與安全無關(guān)的任務(wù)上，如：可以通過電子郵件軟件將電子郵件可以通過電子郵件軟件將電子郵件發(fā)送給安全組。發(fā)送給安全組。用在與安全無關(guān)的任務(wù)上。不能被賦予訪用在與安全無關(guān)的任務(wù)上。不能被賦予訪問資源的權(quán)限。只能收發(fā)電子郵件，即分問資源的權(quán)限。只能收發(fā)電子郵件，即分發(fā)組可以組織其成員的發(fā)組可以組織其成員的E-MAILE-MAIL地址成為地址成為E-E-MAILMAIL列表。利用這個(gè)特性使基于列表。利用這個(gè)特性使基于ADAD的應(yīng)用的應(yīng)用程序就可以直接利用分發(fā)組來發(fā)程序就可以直接利用分發(fā)組來發(fā)E-MAILE-MAIL給給多個(gè)