IMM管理口通过ActiveDirectory管理用户的配置(WindowsServer2003)
-------------WindowsServer 2003 ActiveDirectory的安装-----------------
第1步,在开始菜单中依次单击“管理工具”→“配置您的服务器向导”菜单项,打开“配置您的服务器向导”对话框。在欢迎对话框中单击依次单击“下一步”→“下一步”按钮。
第2步,配置向导检测网络设置和网络连接是否正常,如果没有发现问题则打开“服务器角色”对话框。在“服务器角色”列表中选中“域控制器(ActiveDirectory)”选项,并单击“下一步”按钮。
第3步,在打开的“选择总结”对话框中直接单击“下一步”按钮。如果在当前服务器中安装了终端服务,则会提示用户安装Active Directory将改变终端服务器的安全策略。单击“确定”按钮即可。
第4步,打开“Active Directory安装向导”对话框,在欢迎对话框中单击“下一步”按钮。
<小提示:用户也可以在“运行”对话框中输入Dcpromo命令并按回车键来打开Active Directory安装向导>
第5步,在打开的“操作系统兼容性”对话框中,提示用户运行旧版本Windows 系统的客户端将无法登录到Windows Server 2003(SP1)系统域中。
第6步,打开“域控制器类型”对话框,在该对话框中需要指定这台Windows Server 2003(SP1)系统服务器担任的角色。必须选中“新域的域控制器”单选框,并单击“下一步”按钮。
第7步,在打开的“创建一个新域”对话框中,选中“在新林中的域”单选框,并单击“下一步”按钮。
第8步,打开“新的域名”对话框,在“新域的DNS全名”编辑框中输入要使用的域名,并单击“下一步”按钮。
第9步,在打开的“NetBIOS域名”对话框中,需要为新域指定一个NetBIOS域名。因为在企业的局域网中可能运行着Windows 2000系统以前的版本(如Windows 9X系统),这些系统无法识别域名。因此AD域为这些系统准备了一个它们能够识别的域名,即“NetBIOS域名”。默认情况下,安装向导会将域名中分隔符最左边的部分作为NetBIOS域名。用户可以保留默认值,并单击“下一步”按钮
(小提示:如果默认设置的NetBIOS域名与网络中其他计算机的名称相同,会提示计算机名称冲突,并自动重新设置NetBIOS域名)
第10步,打开“数据库和日志文件文件夹”对话框,在这里需要设置两个文件夹的路径。保持默认路径,并单击“下一步”按钮。
第11步,在打开的“共享的系统卷”对话框中,保持默认路径并单击“下一步”按钮
第12步,稍等一段时间会打开“DNS注册诊断”对话框,在列出的诊断结果中可以看到出错提示。这是因为这台服务器未正确配置DNS服务,因此这里选中“在这台计算机上安装并配置DNS服务器,并将这台DNS服务器设为这台计算机的首选DNS服务器”单选框。单击“下一步”按钮。
第13步,在打开的“权限”对话框中,需要设定用户和组对象的默认权限。这里我们选与windows 2000之前的服务器操作系统兼容的权限,下一步。
第14步,打开“目录服务还原模式的管理员密码”对话框,设置一组还原密码。
第15步,单击“下一步”按钮开始安装AD。在安装过程中会打开“Windows安装程序”对话框安装DNS服务器,并要求插入Windows Server 2003(SP1)系统安装光盘或指定系统安装源文件。AD的安装过程较漫长,一般需要10~20分钟的时间.
第16步,安装结束后单击“完成”按钮,并根据提示重新启动计算机即可。
-------------------配置ActiveDirectory中的LDAP----------------------
第1步,开始-->运行-->输入regsvr32schmmgmt.dll adsiedit.dll,回车。
第2步,开始-->运行-->输入mmc,回车-->文件-->添加/删除管理单元-->添加-->这里我们添加三个:ActiveDirectory架构、ActiveDirectory用户和计算机、ADSI Edit-->关闭-->确定。
第3步,添加自定义属性,点开ActiveDirectory架构,属性右键-->创建属性-->继续-->按如下填写配置-->确定(此处的X500对象ID为唯一值)
第4步,点击ActiveDirectory架构下的类别,找到group,右键属性-->属性-->添加-->找到刚刚添加的UserAuthorityLevel-->确定-->应用-->确定,找到user,右键属性-->属性-->添加-->找到刚刚添加的UserAuthorityLevel-->确定-->应用-->确定。至此,自定义属性已添加完毕。UserAuthorityLevel属性为IBM服务器IMM口用于LDAP鉴权的属性。
第5步,添加用户和组,先添加用于连接IMM的bind用户,点开ActiveDirectory用户和计算机,找到自己创建的域名(maxbon.com),点开,点Users 右键-->新建-->用户-->填写如下信息-->下一步-->设置密码-->下一步-->完成:
第6步,添加用于监控和管理的用户,右键域名(maxbon.com),新建组织单位(此处我们取名maxbon)-->右键maxbon-->新建用户-->此处只需填写姓和用户登录名-->下一步-->设置密码-->完成,依次创建三个用户(A、B、C)。
第7步,添加用于设置鉴权的组,右键maxbon-->新建组-->组名manager,其他默认-->确定,同样的步骤再创建一个组名为monitor的组。
第8步,将用户加入组,单击maxbon这个组织单位,在右侧可以看到该组织下所有的用户与组,右键manager组-->属性-->成员-->添加-->输入用户名称A-->检查名称(检查是否存在于此计算机)-->确定,添加-->输入另一个用户B-->检查名称-->确定,这样便将A和B两个用户添加进了manage组,右键monitor组,按刚刚的步骤将C用户添加进来。
第9步,设置用户与组的权限,打开左侧的ADSI Edit,右键connect to,确定,等待10秒左右,然后我们可以看到整个LDAP目录树都刷新出来了,下面有OU=maxbon(即组织单位maxbon),点开,可以看到下面有组和用户,右键manager-->属性-->Attributes-->按如下配置:
此处EditAttribute填010000000000(IMM会识别为Supervisor权限)-->Set-->应用-->确定,即添加好了manager组的权限,按此方法添加其他用户及组的权限,Attribute值如下表:
Edit Attribute值 |
含义 |
010000000000 |
对IMM有Supervisor权限 |
001000000000 |
对IMM有readonly权限 |
010000000000 |
对IMM有Supervisor权限 |
010000000000 |
对IMM有Supervisor权限 |
001000000000 |
对IMM有readonly权限 |