活动目录 --系统管理的核心 简化身份管理

2

理解域的概念会安装域控制器会管理 AD 账户和组会管理 OU会管理 NTFS 权限会管理共享文件夹权限

3

域和活动目录的概念域

将网络中多台计算机逻辑上组织到一起，进行集中管理，这种区别于工作组的逻辑环境叫做域域是组织与存储资源的核心管理单元域控制器

在域中，至少有一台域控制器域控制器中保存着整个域的用户帐号和安全数据库

4

域和活动目录的概念活动目录

活动目录是 Windows 网络中的目录服务活动目录提供了存储网络对象信息并使网络用户使用这些数据的方法活动目录特点集中管理 便捷的网络资源访问用户一次登录就可访问整个网络资源网络资源主要包含用户账户、组、共享文件夹、打印机等 可扩展性

5

域和活动目录的概念域树

具有连续的域名空间的多个域 林林由一个或多个域树组成

6

安装域控制器的条件安装者必须具有本地管理员权限操作系统版本必须满足条件（ Windows Server 2008 除 Web 版外都满足）本地磁盘至少有一个分区是 NTFS 文件系统有 TCP/IP 设置（ IP 地址、子网掩码等）有相应的 DNS 服务器支持有足够的可用空间

7

安装活动目录推荐步骤

运行 dcpromo 命令在新林中新建域设置域名DNS 服务器目录服务还原模式的 Administrator 密码

8

域功能级别域功能级别 支持的域控制器

Windows 2000 纯模式 Windows 2000Window Server 2003Window Server 2008

Window Server 2003 Window Server 2003Window Server 2008

Window Server 2008 Window Server 2008

9

删除活动目录将域控制器降级为普通的服务器

运行 dcpromo 命令设置当前域控制器是否为此域的最后一台域控制器设置降级为普通服务器的管理员账户的密码

10

将计算机加入域配置客户机的 IP 地址和首选 DNS将客户机加入域

11

DNS 在域中的作用域名的命名采用 DNS 标准 客户机定位 DC

1 ）客户机发送 DNS 查询请求给 DNS 服务器2 ） DNS 服务器查询匹配的 SRV 资源记录3 ） DNS 服务器返回相关 DC 的 IP 地址列表给客户机4 ）客户机联系到 DC5 ） DC 响应客户机的请求域的 DNS 区域维护SRV 资源记录可以定位 DC

12

小结请思考 :

简述域、树、林的概念。安装 DC 有哪些必备条件？安装活动目录的命令是什么？

应用系统用户目录举例“一对多”管理模式

14

创建域用户账户 2-1域用户账户存储在活动目录数据库中创建域用户的方法

“Active Directory 用户和计算机”工具

15

创建域用户账户 2-2显示名

组织单位（ OU ）中唯一用户登录名域中惟一最长 20 字符

密码设置密码设置注意事项密码选项的作用

16

配置域用户账户属性登录时间登录到账户过期

17

组的类型组的类型 说明

安全组 用于设置用户权限，也可用于电子邮件通讯通讯组 只用于电子邮件通讯

18

组的作用域 本地域组全局组通用组

19

本地域组使用范围是本域针对本域的资源创建本地域组成员：

用户账户本地域组全局组通用组

20

全局组使用范围是整个林及信任域按逻辑关系创建全局组

具有相同管理任务或者访问权限的用户 如，按部门创建可以按 AGDLP规则来使用全局组

21

通用组使用范围是整个林及信任域全局组和通用组的区别

通用组的成员身份在全局编录中 多域环境下通用组成员登录或者查询速度较快全局组的成员身份在每个域中

22

组织单位（ OU ）的管理概念容器：有效地组织活动目录对象委派控制组策略设计方式基于部门的 OU 基于地理位置的 OU 基于对象类型的 OU OU 的设计也可以是混合的创建方法新建→组织单位

23

OU 的委派为什么需要委派

管理员为适当的用户和组指派一定范围的管理任务，从而减轻管理员的工作负担实现方法打开【 Active Directory 用户和计算机】，右击OU→委派控制添加要委派任务的账户或组选择要委派的任务

24

删除委派要取消委派时可以删除委派任务删除方法

25

发布共享文件夹为什么要发布共享文件夹

统一管理，方便查找实现思路：创建共享文件夹创建 OU右击 OU→ 新建→共享文件夹，输入名称和路径设置发布文件夹的属性信息

26

查找共享文件夹搜索 Active Directory输入搜索条件

27

实验案例 2： OU 的管理学员练习：

创建 OU创建用户委派权限在客户机添加“ Active Directory 域服务工具”功能在客户机上使用被委派用户验证委派

桌面数据安全管理 -NTFS 权限

NTFS 概述FAT16 FAT32 NTFS

DOS √ × ×WINDOWS 95 √ × ×WINDOWS 97/98/ME √ √ ×WINDOWS NT √ × √ ×WINDOWS 2000 √ √ √WINDOWS XP √ √ √WINDOWS VISTA √ √ √WINDOWS 7 √ √ √WINDOWS SERVER 2003 √ √ √WINDOWS SERVER 2008 √ √ √

×代表不支持√代表支持√ ×代表有时需要安装微软提供的补丁才能够更好的支持

3种文件系统的兼容性

NTFS 概述

NTFS 特点可以设置权限支持更大的磁盘容量压缩功能文件加密AD需要使用 NTFS磁盘配额，可用来监视和控制单个用户使用的磁盘空间量

如何获得 NTFS

格式化磁盘，在格式化时选择NTFS 文件系统 将 FAT 文件系统转换为 NTFS文件系统

convert e: /fs:ntfs使用第三方软件转换，如PQmagic 等

NTFS 权限含义NTFS 文件系统可以针对不同用户和组设置各种访问权限 只有被授予权限的用户或组才能访问文件或文件夹的属性中有【安全】选项卡访问控制列表 (ACL)访问控制项 (ACE)

安全选项卡

文件夹的 NTFS 权限

完全控制 : 可执行所有操作修改 : 可以修改、删除读取和运行 : 可以读取内容，并且可以执行应用程序列出文件夹目录 : 可以列出文件夹的内容读取 : 可以读取内容写入 : 可以创建文件夹或者文件特别的权限 : 与文件和文件夹的数据无关，与【安全】选项卡读取、更改相关

文件夹权限列表

文件的 NTFS 权限

完全控制修改读取和运行读取写入特别的权限

特别的权限 和文件或文件夹数据本身没有关系和【安全】选项卡相关读取权限更改权限取得所有权 特别的权限

取得文件或文件夹的所有权 管理员可以取得其所有权如何取得所有权【安全】 |【高级】 |【所有者】 管理员没有所有权不能修改权限管理员取得所有权可以修改权限

NTFS 权限的应用规则 权限的组合 权限的继承权限的拒绝移动和复制操作对权限的影响AGDLP规则

权限的组合用户对资源的有效权限是分配给用户帐户的权限和用户所属各个组的累加权限

例如 user 属于组 group1 和 group2

权限的拒绝拒绝权限可以覆盖所有其他权限可以设置拒绝用户帐户也可以拒绝组

例如 user 属于组 group1 和 group2

权限的继承 2-1

新建的的子文件夹和文件会继承上一级目录的权限根目录下的文件夹或文件继承磁盘分区的权限 灰色为继承权限

继承于

权限的继承 2-2可以拒绝继承上级权限可以强制下级继承权限

从上继承向下继承

复制和移动操作对权限的影响 NTFS 分区 移动 复制

相同 保留原来的权限 继承目的地文件夹的权限

不同 继承目的地文件夹的权限

继承目的地文件夹的权限

复制的影响

移动的影响

端到端安全性管理 - 文件共享

什么是共享文件夹什么是共享文件夹共享文件夹的优点是什么

和其它存储介质（软盘、光盘、移动硬盘）相比，不受文件数量和大小限制方便、快捷 共享后的文件夹

共享前后图标有什么变化

创建共享文件夹的权限哪些用户组有创建共享文件夹的权限如果在 DC 上共享Administrators 组Server Operators 组如果在成员服务器或独立服务器共享Administrators 组Power Users 组

有创建共享文件夹权限 没有创建共享文件夹权限

创建共享文件夹创建共享文件夹

通过鼠标右键菜单共享选项卡共享后的文件夹 启用共享共享名注释信息

连接用户数权限

删除共享文件夹删除文件夹共享删除时警告信息

访问共享文件夹 3-1

网上邻居通过浏览方式，速度较慢

访问共享文件夹 3-2

UNC路径组成\\ 服务器名\\ 服务器名 \ 共享名\\ip 地址\\ip 地址 \ 共享名在哪里输入 UNC路径【开始】 |【运行】对话框资源管理器的【地址】栏IE 的【地址】栏通过 UNC路径可以快速访问共享文件夹 演示演示

UNC访问共享文件夹

访问共享文件夹 3-3映射网络驱动器

对于经常使用的共享文件夹可以将其映射成网络驱动器如何映射网络驱动器在客户端上右击共享的文件夹 |【映射网络驱动器】右击【网上邻居】 | 【映射网络驱动器】右击【我的电脑】 | 【映射网络驱动器】net use X: \\ 计算机名 \ 共享名

共享权限共享权限 网络用户可以

读取 (Read)(默认权限 , 被分配给 Everyone 组 )

查看文件内容和属性查看文件名称和子文件夹名称运行程序

更改 (Change)( 包括 Read 权限 )

创建文件和子文件夹修改文件内容删除文件和文件夹

完全控制 (Full Control)

包括 Read 和 Change 权限允许修改文件和文件夹的 NTFS 权限

共享权限配置共享权限默认为 Everyone读取可以添加其他用户和组共享权限通过网络访问时有效

共享权限与 NTFS 权限 2-1

共享权限只对通过网络访问的用户有效NTFS 权限对本地用户和网络用户都有效如果共享文件夹存储在 NTFS 文件系统上，还要考虑NTFS 权限网络访问取两种权限中最严格的权限有效

共享权限与 NTFS 权限 2-2共享权限 NTFS 权限 网络访问有效权限完全控制

完全控制 完全控制修改 更改读取 读取拒绝访问 拒绝访问

更改完全控制 更改修改 更改读取 读取拒绝访问 拒绝访问

读取完全控制 读取修改 读取读取 读取拒绝访问 拒绝访问

拒绝访问完全控制 拒绝访问修改 拒绝访问读取 拒绝访问拒绝访问 拒绝访问

管理型共享文件夹管理型共享文件夹

是操作系统自动建立的用于特殊目的的共享文件夹主要类别drive letter$ADMIN$NETLOGONSYSVOLIPC$

隐藏的共享文件夹为什么需要隐藏的共享文件夹

共享文件夹不显示在网上邻居如何创建隐藏的共享文件夹在共享名后加上特殊符号“ $” 就变成隐藏共享

访问隐藏共享文件夹的方式UNC路径映射网络驱动器

访问隐藏的共享文件夹

管理共享文件夹共享文件夹管理工具计算机管理工具 “ 共享”中的功能 新建共享文件夹停止文件夹的共享设置共享文件夹权限设置共享文件夹的同时连接用户数量发布共享文件夹到活动目录“ 会话”中的功能 监视共享文件夹的网络访问“ 打开文件”中的功能 监视网络用户打开的文件