域服务器的配置与应用
很早前收藏的一个东西送给新手学习,来源于网络
部署Active Directory目录服务
Active Directory存储了网络对象大量的相关信息,网络用户和应用程序可根据不同的授权使用在Active Directory中发布的有关用户、计算机、文件和打印机等信息。Active Directory支持LDAP v2和LDAP v3,能够与其他供应商的目录服务互操作。Active Directory实际上是一种用于组织、管理和定位网络资源的企业级工具。对于Windows网络来说,规模越大,需要管理的资源越多,建立Active Directory目录服务也就越有必要。
Active Directory基础
1.Active Directory的功能
Active Directory提供了一种组织方式并简化了计算机网络系统中资源的访问。作为一种增强性目录服务,它具有下列功能。
l 数据存储,也称为目录,它存储着与Active Directory对象有关的信息。这些对象包括共享资源,如服务器、文件、打印机、网络用户和计算机账户。
l 包含目录中每个对象信息的全局编录。允许用户和管理员查找目录信息,而与目录中实际包含数据的域无关。
l 查询和索引机制的建立,可以使网络用户或应用程序发布并查找这些对象及其属性。
l 通过网络分发目录数据的复制服务。对目录数据所做的任何更改都被复制到域中的所有域控制器。
l 与网络安全登录过程的安全子系统的集成,以及对目录数据查询和数据修改的访问控制。
l 提供安全策略的存储和应用范围,支持组策略来实现网络用户和计算机的集中配置和管理。
2.Active Directory对象
与其他目录服务器一样,Active Directory以对象为基本单位,采用层次结构来组织管理对象。这些对象包括网络中的各项资源,如用户、计算机、打印机和应用程序等。AD对象以层次结构组织,可分为两种类型。一类是容器对象,即可以包含下层对象的对象;另一类是非容器对象,即不能包含下层对象的对象。每个对象均有一组属性,用来记录该对象的特性。对象与属性的关系相当于数据库中的记录和字段之间的关系。每个对象都可通过多种不同的名称引用。Active Directory根据对象创建或修改时提供的信息,为每个对象创建RDN和规范名称。例如,在abc.com域、unit1组织单位中名为mycomputer的计算机的DN是“CN=mycomputer, OU=unit1, DC=abc, DC=com”。如果采用规范名称(DN的另一种表示方法),则表示为“abc.com/unit/1mycomputer”。除此之外,用户账户还具有一个称为UPN(用户主体名称)的名称。UPN是一个友好的名称,比DN短并且容易记忆。UPN包括一个用户登录名称和该用户所属域的DNS名称,如[email protected],该名称不依赖于DN。
3.Active Directory架构
Active Directory中的每个对象都是在架构中定义的类的实例。AD架构包含目录中所有对象的定义。架构的英文名称为Schema,也可译为模式,实际上就是对象类。在LDAP目录服务中,Schema一般以文本方式来存储,在Active Directory中却将其作为一种特殊的对象。架构对象由对象类和属性组成,是用来定义对象的对象。
4.Active Directory结构
AD目录服务建立在域的基础上,由域控制器对网络中的资源实行集中管理和控制,目录信息存储在域控制器上的Active Directory数据库中。Active Directory以域为基础,具有伸缩性,包含一个或多个域,每个域具有一个或多个域控制器,可调整目录的规模以满足任何网络的需要。多个域可合并为域树,多个域树可合并为林。Active Directory是一个典型的树状结构,按自上而下的顺序,依次为林→树→域→组织单位。而在实际应用中,通常是按自下而上的方法来设计Active Directory结构的。
l 域:Active Directory的基本单位和核心单元,是Active Directory的分区单位,Active Directory中必须至少有一个域。共享同一个AD数据库的计算机组成一个域。一个典型的域包括域控制器、成员服务器和工作站等类型的计算机。
l 组织单位:将域再进一步划分成多个组织单位(简称OU)以便于管理。组织单位是可将用户、组、计算机和其他组织单位放入其中的Active Directory容器。每个域的组织单位层次都是独立的,组织单位不能包括来自其他域的对象。组织单位相当于域的子域,本身也具有层次结构。
l 域树:可将多个域组合成为一个域树。
l 林:一个或多个域树的集合。
5.Active Directory站点
Active Directory站点可以看作是一个或多个IP子网中的一组计算机定义。同一站点中的计算机需要很好地连接,尤其是子网内的计算机。如果站点包括多个子网,由于相同原因那些子网也必须具有良好的网络连接。站点与域不同,站点反映网络的物理结构,而域通常反映整个单位的逻辑结构。逻辑结构和物理结构相互独立,可能相互交叉。Active Directory允许单个站点中有多个域,单个域中有多个站点。Active Directory站点的主要作用是使Active Directory适应复杂的网络连接环境,一般只有在有多种网络连接的网络环境(如广域网)中才规划站点。
6.Active Directory目录复制
复制目录提供了信息可用性、容错、负载平衡和性能优势。通过复制,AD目录服务在多个域控制器上保留目录数据的副本,从而确保所有用户的目录可用性和性能。Active Directory使用一种多主机复制模型,允许在任何域控制器上(而不只是委派的主域控制器上)更改目录。
7.Active Directory与DNS集成
Active Directory与DNS集成并且共享相同的名称空间结构,两者的集成体现在以下3个方面。
l Active Directory和DNS有相同的层次结构。
l DNS区域可存储在Active Directory中。
l Active Directory将DNS作为定位服务使用。要登录到Active Directory域,Active Directory客户端应向配置的DNS服务器查询在指定域的域控制器上运行的LDAP服务的IP地址。DNS用于将AD域、站点和服务名称解析成IP地址。
DNS是一种名称解析服务,为DNS客户端提供DNS名称解析,不需要Active Directory也能运行。Active Directory是一种目录服务,提供信息储存库并让用户和应用程序访问信息的服务。为了定位域控制器,Active Directory客户端需查询DNS,Active Directory需要DNS才能工作。
8.Active Directory管理工具
Active Directory管理工具简化了目录服务的管理。可使用标准工具或使用Microsoft管理控制台(MMC)来创建专门执行单项管理任务的自定义工具。在Windows Server 2003域控制器上可直接使用的管理工具有3种:
l Active Directory 用户和计算机;
l Active Directory 域和信任;
l Active Directory 站点和服务。
安装Active Directory
部署Active Directory目录服务的关键是安装和配置域控制器,前提是做好Active Directory的规划。
1.规划Active Directory
主要是规划DNS名称空间和域结构,必要时还要规划组织单位或AD站点。
选择域结构的总的原则是应尽可能减少域的数量,微软建议企业网应尽可能使用单一域结构,以简化管理工作。组织单位的规划很重要,在域内可依据多种标准划分组织单位。如果各个分支机构或部门有大量的对象,或者分支机构或部门相对分散独立,或者企业网络分成几个独立部分,就可以考虑创建多个域。对于多域的情况,又有两种选择:域树或林。一般来说,分支机构或部门使用相同的顶层DNS名称空间,层次结构清晰,可创建域树来包含多个域;如果使用不同的顶层DNS名称空间,可创建林来包括多个域树和域。
Active Directory需要先规划名称空间。Active Directory域使用DNS名称来命名。选择DNS名称用于Active Directory域时通常使用现有域名,以企业保留在Internet上使用的已注册DNS域名后缀开始,并将该名称和企业中使用的地理名称或部门名称结合起来,组成Active Directory域的全名。企业可将内部名称空间与外部名称空间保持一样。微软公司建议将两者分离,对DNS域名进行分组,如内部DNS名称使用诸如“internal.abc.com”的名称,外部DNS名称使用诸如“external.abc.com”的名称。
适当建立站点可以优化复制效率并减少网络的管理开销。站点的数量取决于网络的物理设计和网络连接带宽。多数情况下只需一个AD站点,如一个包含单个子网的局域网,或者以高速主干线连接的多个子网。如果网络分布在多个地理位置并通过广域网连接,应当为每个地理位置建立单独的站点。
2.安装域控制器
域中的服务器要么充当域控制器,要么充当成员服务器。使用Active Directory安装向导,可以在独立服务器上安装域控制器,或者将成员服务器升级至域控制器,也可以将域控制器降级为成员服务器。Windows Server 2003或Windows 2000 Server服务器在Active Directory环境中可分为域控制器、成员服务器和独立服务器3种角色。
使用Active Directory安装向导可安装和配置域控制器。在使用Active Directory安装向导之前,应考虑DNS配置。默认情况下,该安装向导从其已配置的DNS服务器列表中定位新域的权威DNS服务器,该列表将接受服务(SRV)资源记录的动态更新。如果找到可接受动态更新的DNS服务器,则在重新启动域控制器时,所有域控制器的相应记录都自动在DNS服务器上注册。
如果网络上没有DNS服务器,可在安装Active Directory时选择自动安装和配置本地DNS服务器。DNS 服务器将安装在运行Active Directory安装向导的服务器上,该服务器的首选DNS服务器设置将自动配置为使用新的本地DNS服务器。
使用“配置您的服务器向导”工具,根据提示将服务器角色选定为“域控制器(Active Directory)”,可启动Active Directory安装向导,根据提示进行安装操作即可。也可通过运行dcpromo命令直接启动Active Directory安装向导。具体步骤不再赘述。
3.将计算机添加到域
Active Directory客户端通过LDAP协议向域控制器发送查询,为了定位域控制器,Active Directory客户端查询DNS,Active Directory需要DNS才能工作。域控制器就是一个Active Directory服务器,可由Windows 2000 Server和Windows Server 2003服务器充当,它存储目录数据并管理用户域的交互,其中包括用户登录过程、身份验证和目录搜索。Windows 2000/XP/2003计算机都可作为Active Directory客户端,Windows 2000以前版本的计算机,需要安装Active Directory客户端,才能部分支持Active Directory客户功能。运行Windows 95、Windows 98的计算机可连接到域,在安装附加的Active Directory客户端软件后,可以使用域功能,但是不能加入到域,不能作为计算机账户添加到Active Directory。运行Windows NT 4.0的计算机无需任何更改就可登录到域,只能使用NTLM认证方法。
Windows 2000/XP/2003计算机需要加入到域,才能享用Active Directory的好处。有两种情况,一种是将独立服务器加入到域,另一种是将工作站添加到域。加入到域的计算机可统称为域成员计算机。在安装Windows 2000/XP/2003操作系统时,可以选择加入到域中,或保留在工作组中。也可以将现有的Windows 2000/XP/2003计算机添加到AD域中。这里以Windows Server 2003服务器加入到域为例。
将服务器添加到域
① 以本机系统管理员身份登录到服务器,确认能够连通Active Directory域控制器计算机。
② 将DNS服务器设置为能够解析Active Directory域控制器域名的DNS服务器IP地址。在单域网络中,通常就是域控制器本身。具体的IP设置这里就不介绍了。
③ 右键单击控制面板中的“系统”图标,或右键单击“我的电脑”图标,在快捷菜单中选择【属性】命令,打开【系统属性】对话框。
④ 切换到【计算机名】选项卡,单击【更改】按钮。
⑤ 打开如图7.2所示的对话框,在【隶属于】区域选中【域】选项,在下面的文本框中输入域名(可以是域的DNS域名,也可是域NetBIOS名称),单击【确定】按钮。
⑥ 出现【计算机名更改】对话框,根据提示输入具有将计算机加入域权限的用户账户的名称和密码,单击【确定】按钮。
⑦ 如无异常情况,将出现欢迎加入某域的提示,单击【确定】按钮。
⑧ 将出现重新启动计算机的提示,单击【确定】按钮。
⑨ 回到【计算机名】对话框,DNS后缀已加入完整的计算机名称。再单击【确定】按钮。
重新启动计算机,使上述更改生效。
此时在域控制器上打开“Active Directory用户和计算机”控制台,展开相应的域,单击【Computers】节点,如图7.3所示,将发现新加入域的计算机,说明已自动指派相应计算机账户。
图7.2 设置域名 图7.3 查看计算机账户
如果要退出Active Directory域,只需将域成员计算机重新加入工作组即可。
至于Windows 2000、Windows XP计算机作为工作站加入到域的操作步骤与独立服务器基本相同,只是操作界面有点差别。
4.域成员计算机登录到域
启动域成员计算机(服务器或工作站),按〖Ctrl〗+〖Alt〗+〖Delete〗组合键,以UPN用户名“用户名@域名”和密码登录到域,也可以SAM账户名称和密码登录到域。
注释:SAM是安全账户管理的意思,这种账户是为了与Windows NT域兼容,域内的每个用户都有一个惟一的SAM账户名称。以SAM账户登录时,可在登录界面中单击【选项】按钮展开,在【登录到】框中设置要登录的域名(域NetBIOS名称),在【用户名】框中输入用于Windows 2000以前版本的用户登录名。
登录到域后,可通过“网上邻居”窗口来查看网络中的域及其中的计算机。
管理和使用Active Directory对象
在Active Directory中应对各类Active Directory对象进行合理的组织和管理。
1.Active Directory对象类别
主要的Active Directory对象类别如下。
l 用户(User):作为安全主体,被授予安全权限,可登录到域中。
l 计算机(Computer):表示网络中的计算机实体,加入到域的Windows NT/2000/XP/2003计算机都可创建相应的计算机账户。
l 联系人(Contact):一种个人信息记录。联系人没有任何安全权限,不能登录网络,主要用于通过电子邮件联系的外部用户。
l 组(Group):某些用户、联系人、计算机的分组,用于简化大量对象的管理。
l 组织单位(Organization Unit):将域细分的Active Directory容器。
l 打印机(Printer):在Active Directory中发布的打印机。
l 共享文件夹(Shared Folder):在Active Directory中发布的共享文件夹。
l InterOrgPersion:标准的用户对象类,对于Windows Server 2003域功能级别来说,可以作为安全主体。
这些对象主要是通过“Active Directory用户和计算机”控制台来管理的。如图7.4所示,默认情况下,展开域节点时,控制台树中将显示以下容器。
l Builtin:用来存放默认内置组(如Account Operators或Administrators)对象。
l Computers:包含Windows 2000、Windows XP和Windows Server 2003计算机对象。
l Domain Controllers:运行Windows 2000或Windows Server 2003的域控制器的计算机对象。
l ForeignSecurityPrincipals:存储有信任关系的域的对象。
l Users:包含域内用户账户和组。
选中【查看】菜单上的【高级功能】命令时,还将显示LostAndFound和System两个文件夹。LostAndFound包含在创建对象的同时,其容器被删除的对象。System包含各种系统服务容器和对象的内置系统设置。
2.管理Active Directory用户账户
Active Directory用户账户用于验证用户身份,指派用户的访问权限。用户必须使用用户账户登录到特定的计算机和域。登录到网络的每个用户应有自己的惟一账户和密码。用户账户也可用作某些应用程序的服务账户。
在域控制器上建立的是域用户账户,账户数据存储在AD中,用来登录域、访问域内的资源。非域控制器的计算机上还有本地账户。本地账户数据存储在本机中,不会发布到AD中,只能用来登录账户所在计算机,访问该计算机上的资源。本地账户主要用于工作组环境,对于加入域的计算机来说,一般不再建立和管理本地账户,除非要以本地账户登录。
Windows Server 2003提供了两个内置域用户账户:Administrator和Guest。Administrator是系统管理员账户,对域拥有最高权限,为安全起见,可将其重命名。Guest是来宾账户,主要供没有账户的用户使用,访问一些公开资源,为安全起见,系统默认禁用此账户。默认情况下,用户账户一般位于Users容器中,域控制器计算机上的原本地账户自动转入该容器。
为获得用户验证和授权的安全性,应为加入网络的每个用户创建单独的用户账户。每个用户账户又可添加到组以控制指派给账户的权限。
添加用户账户
① 在“Active Directory用户和计算机”控制台树中,右键单击要添加用户的域、组织单位或其他容器(通常是Users),从快捷菜单中选择【新建】>【用户】命令。
② 打开【新建对象―用户】对话框,如图7.5所示,设置账户基本信息。
③ 输入用户的姓名信息。
④ 在【用户登录名】框中输入用户用于登录域的名称,从下拉列表中选择要附加到用户登录名称的UPN后缀(后面跟@号,决定要登录的域)。
⑤ 如果用户使用不同的名称从运行Windows NT、Windows 98、Windows 95的计算机登录,则把显示在“用户登录名(Windows 2000以前版本)”中的用户登录名称改为不同的名称。
在Active Directory中,每个用户账户都有一个用户登录名、一个Windows 2000以前版本的用户登录名(安全账户管理器的账户名)和一个用户主要名称后缀。在创建用户账户时,管理员输入其登录名并选择用户主要名称。微软建议Windows 2000以前版本的用户登录名使用此用户登录名的前20个字节。管理员可以随时更改Windows 2000以前版本的登录名。
⑥ 单击【下一步】按钮,设置密码以及其他账户选项。注意密码必须符合用户账户命名策略,请参见后面关于组策略的内容。
⑦ 单击【下一步】按钮,完成用户账户创建。
如果要进一步设置用户账户,应在控制台中双击相应的用户账户,打开如图7.6所示的对话框,进一步设置用户账户属性,这里提供很多选项卡,可根据需要设置。
可同时配置多个用户账户。同时选取多个账户,再打开属性对话框,可设置地址、账户、单位和配置文件等许多共同属性。
管理员还可执行用户账户管理,如删除、禁用、复制、重命名、重设密码、移动账户、发送邮件和打开主页等操作。右键单击账户,从弹出的快捷菜单中选择相应的命令即可。
3.管理Active Directory计算机账户
在Active Directory中,每个运行Windows NT、Windows 2000、Windows XP或Windows Server 2003的计算机都有一个计算机账户。与用户账户类似,计算机账户提供了一种验证和审核计算机访问网络以及域资源的方法。连接到网络上的每一台计算机都应有自己的惟一计算机账户。使用“Active Directory用户和计算机”控制台来创建和管理计算机账户。运行Windows 95和 Windows 98的计算机没有高级安全功能,不能被指派计算机账户。
图7.5 新建用户对象 图7.6 设置用户账户属性
当将计算机加入到域时,该计算机相应的计算机账户自动添加。也可在域控制器上创建计算机账户,然后再将计算机添加到现有账户。两种方法的差别在于:前者总是在Computers容器中创建计算机账户,后者可以在任何组织单位中创建计算机账户,新加入域的计算机自动查找并使用该账户(必须使用相同的NetBIOS名称)。
在“Active Directory用户和计算机”控制台树中,右键单击要添加计算机账户的容器(域或组织单位),从快捷菜单中选择【新建】>【计算机】命令,打开相应的对话框,如图7.7所示,根据提示设置即可。
除了添加计算机账户外,还可执行禁用、重设和删除计算机账户等操作,其快捷菜单如图7.8所示。
图7.7 新建计算机对象 图7.8 管理计算机账户的快捷菜单
4.管理Active Directory组
在Active Directory中,组可包含用户、联系人、计算机和其他组的Active Directory对象或本机对象。使用组可以简化Active Directory对象的管理。
组作为一种特殊的对象,具有以下特性。
l 组可跨越组织单位或域,将不同域、不同组织单位的对象归到一个组。
l 组可作为安全主体,与用户、计算机一样被授予权限。
l 组为非容器对象,组成员与组之间没有从属关系,而且一个对象可以属于多个不同的组。删除组不会删除组成员。
每个组均具有作用域,该作用域确定组在域树或树林中所应用的范围。有3类不同的作用域:通用、全局和本地域。
l 具有通用作用域的组可称为通用组,其成员可以是任何域的用户账户、全局组或通用组。其权限范围是整个林。
l 具有全局作用域的组可称为全局组,其成员可以是同域的用户账户或其他全局组。其权限范围是整个林。
l 具有本地域作用域的组可称为本地域组,它可以是任何域的用户账户、全局组,但是其权限范围仅限于同域(建立组的域)的资源,只能将同域的资源指派给本地域组。本地域组不能访问其他域的资源。
有两种类型的组:安全组(Security)和通讯组(Distribute)。安全组用于将用户、计算机和其他组收集到可管理的单位中。为资源(文件共享、打印机等)指派权限时,管理员应将那些权限指派给安全组而非个别用户。权限可一次分配给这个组,而不是多次分配给单独的用户。添加到组的每个账户接受为该组定义的权利和权限。使用组而不是单独的用户可简化网络的维护和管理。而通讯组只能用作电子邮件的通讯组,不能用于筛选组策略设置,不具备安全功能。
创建Active Directory域时自动创建的安全组称为默认组。许多默认组被自动指派一组用户权利,授权组中的成员执行域中的特定操作。默认组位于“Builtin”容器和“Users”容器中。“Builtin”容器包含用本地域作用域定义的组。“Users”容器包含通过全局作用域定义的组和通过本地域作用域定义的组。可将这些容器中的组移动到域中的其他组或组织单位,但不能将它们移动到其他域。
提示:在安装运行Windows Server 2003的独立服务器或成员服务器时,自动创建默认本地组。本地组不同于域本地组,必须在本机上独立管理,只能用于本机。可向本地组添加本地用户账户、域用户账户、计算机账户以及组账户;但不能向域组账户添加本地用户账户和本地组账户。
要创建新的组,在“Active Directory用户和计算机”控制台树中右键单击要添加组的容器(域或组织单位),从快捷菜单中选择【新建】>【组】命令,打开如图7.9所示的对话框,设置组的名称,选择组作用域和组类型。如果目前创建的组所属的域处于混合模式,则只能选择具有本地域或全局作用域的安全组。
要将成员添加到组中,有两种方法。一种是打开组的属性对话框,如图7.10所示,切换到【成员】选项卡,然后单击【添加】按钮,从【查找位置】下拉列表中选择对象所属的域,从列表中选择对象(如用户账户、联系人、其他组),单击【添加】按钮。
另一种方法是打开用户账户的属性对话框,切换到【隶属于】选项卡,然后单击【添加】按钮,打开【选择组】对话框,选择要添加到的组对象。或右键单击用户对象,在快捷菜单中选择【添加到组】命令。
也可将一个组添加到另一个组。
图7.9 新建组对象 图7.10 添加组成员
5.管理组织单位
与组不同,组织单位用于在单个域中创建对象集,但是不授予成员身份。组织单位及其所包含对象的管理可委派给单独的管理员或组。组织单位是可指派组策略设置或委派管理权限的最小作用域或单位。组织单位可包含用户、组、计算机、打印机、共享文件夹以及其他组织单位。组织单位是目录容器对象,在“Active Directory 用户和计算机”控制台中,以一种文件夹的形式出现。组织单位简化了域中目录对象的视图以及这些对象的管理。可将每个组织单位的管理控制权委派给特定的用户。
不要将组与组织单位混淆。一个用户可隶属于多个组,但只能隶属于一个组织单位;组织单位可包含组,但是组不能将组织单位作为成员;组可作为安全主体,被授予权限,而组织单位不行。
要创建新的组织单位,在“Active Directory用户和计算机”控制台树中,右键单击要添加组织单位的域(或组织单位),从快捷菜单中选择【新建】>【组织单位】命令,出现【新建对象-组织单位】对话框,输入组织单位的名称即可。
对现有组织单位可执行重命名、移动或删除操作。与组对象不同,一旦删除组织单位,其中的成员对象也将被删除。
组织单位的成员对象管理与域类似,可以像域一样管理用户、计算机等对象。
在Active Directory中发布资源
从资源共享的角度看,还需在Active Directory中发布资源,供用户搜索和使用。可发布的资源包括用户、计算机、打印机、共享文件夹和网络服务。当创建对象时,在默认情况下会自动发布一些常用的目录信息,如用户账户或计算机名称。其他目录信息,如共享文件夹、打印机等则必须手动发布。当然可通过设置访问控制权限,控制特定的用户和组能够搜索和查看发布的目录信息。例如,用户和计算机账户只有账户名称等常用信息可供一般用户访问,而账户安全信息则只有管理员才能看到。
1.发布共享文件夹
首先要在某台域成员计算机上创建共享文件夹,然后在域控制器上打开“Active Directory用户和计算机”控制台,右键单击要添加共享文件夹的域(或组织单位),在快捷菜单中选择【新建】>【共享文件夹】命令,在【新建对象-共享文件夹】对话框中设置共享文件夹名称和网络路径(UNC名称),如图7.11所示,最后根据需要为该共享文件夹设置用户访问权限,可以针对域用户来设置权限,默认本地Users组包括域Users组。
配置完毕,访问共享文件夹进行测试。
2.发布共享打印机
在Active Directory中发布共享打印机信息有两种情况。
由Windows Server 2003或Windows 2000域成员计算机提供的共享打印机,在创建共享打印机时将自动发布到目录中。管理员可根据需要决定是否将共享打印机发布到目录中。在打印服务器上打开共享打印机属性对话框,切换到【共享】选项卡,如图7.12所示。如果选中【列入目录】复选框,该打印机就会在目录中发布;如果清除该复选框,则不在目录中发布。
由Windows 2000以前版本(如Windows NT)计算机提供的共享打印机,需要使用“Active Directory 用户和计算机”控制台手动发布,右键单击要在其中发布打印机的容器对象文件夹,从快捷菜单中选择【新建】>【打印机】命令,在【新建对象-打印机】对话框中设置共享打印机的网络路径(UNC名称)。
3.发布服务
服务是指能使网络用户使用数据和操作的应用程序。在Active Directory中发布服务能使用户或管理员从网络以机器为中心的视图移动到以服务为中心的视图。通过发布服务而不是计算机或服务器,管理员可专注于管理服务,而不用考虑是哪台计算机在提供服务或计算机位于何处。某些服务(如证书服务)在安装时自动发布到Active Directory中。其他服务可使用编程接口发布到目录中。管理员可以使用“Active Directory站点和服务”控制台管理已发布的服务。
图7.11 发布共享文件夹 图7.12 发布共享打印机
查询和访问Active Directory对象
Active Directory存储了网络对象大量的相关信息,可供网络用户查询和访问。网络用户可使用在Active Directory中发布的有关用户、计算机、文件和打印机的目录信息,只是其可用性受控于查看信息的安全权限。有多种目录搜索工具和多种查询AD对象的方法。
1.使用“Active Directory用户和计算机”控制台查询AD对象
在域控制器上可直接使用“Active Directory用户和计算机”控制台,在其他域成员计算机上需要通过MMC来调用该控制台。这种方式可查找几乎所有的AD对象。通常以普通域用户身份登录到域执行AD对象查询任务。
在“Active Directory用户和计算机”控制台树中,如果要搜索整个域,可右键单击域节点,从快捷菜单中选择【查找】命令(如果要搜索某个组织单位,可右键单击该组织单位节点,从快捷菜单中选择【查找】命令),打开如图7.13所示的对话框,在【名称】框中键入要查找的用户名称,单击【开始查找】按钮。可使用部分搜索条件进行搜索。
可进一步限制查找对象和范围。如图7.14所示,从【查找】下拉列表中选择要查询的对象类型,从【范围】下拉列表中选择要查询的范围(整个目录、某域)。还可使用【高级】选项卡执行功能更强大的搜索。
图7.13 使用AD用户和计算机控制台查询AD对象 图7.14 限制查找的AD对象和范围
2.通过“网上邻居”搜索AD对象
在Windows XP或Windows 2000域成员计算机上,可通过“网上邻居”来搜索AD中的用户、联系人、组、计算机、共享文件夹、打印机和组织单位等对象。
在Windows XP域成员计算机上打开“网上邻居”窗口,单击【网络任务】区域下面的【搜索Active Directory】链接,打开相应的对话框,如图7.15所示。可直接搜索用户、联系人和组。从【查找】下拉列表中选择要查询的对象类型,从【范围】下拉列表中选择要查询的范围(整个目录、某个特定域),如图7.16所示。还可切换到【高级】选项卡,设置更为复杂的搜索条件。
图7.15 在Windows XP中通过“网上邻居”查询AD对象 图7.16 限制查找的AD对象和范围
在Windows 2000域成员计算机上打开“网上邻居”窗口,双击【整个网络】图标,再双击【目录】图标,显示整个Active Directory目录,例中只有一个域,如图7.17所示,右键单击该域,从快捷菜单中选择【查找】命令,可打开【查找用户、联系人及组】对话框,执行AD对象查询,与Windows XP类似。如果直接双击该域,将展开该域的所有对象,如图7.18所示,该文件夹标题以“ntds://”打头,可根据需要双击要访问的Active Directory对象。
图7.17 通过“网上邻居”查询AD对象 图7.18 展开和浏览域对象
3.通过全局编录查找用户或打印机
全局编录(简称GC)是存储林中所有Active Directory对象的副本的域控制器。全局编录存储林中主持域的目录中所有对象的完全副本,以及林中所有其他域中所有对象的部分副本。在全局编录中存储所有域对象的最常搜索的属性,可以为用户提供高效的搜索。在林中的初始域控制器上,会自动创建全局编录。可以向其他域控制器添加全局编录功能,或者将全局编录的默认位置更改到另一个域控制器上。全局编录提供以下功能。
l 查找对象:允许用户在林中的所有域中搜索目录信息。
l 提供UPN验证:当执行验证的域控制器没有账户信息时,全局编录将解析用户UPN。
l 在多域环境中提供通用组成员身份信息。
l 验证林内的对象引用:域控制器使用全局编录验证对林内其他域的对象的引用。
全局编录允许用户在林中的所有域中搜索目录信息。最常用的就是从“开始”菜单中搜索用户或打印机。在Windows 2000域成员计算机(或安装了目录服务客户端的Windows 95/98/NT计算机)中,从【开始】>【搜索】菜单中选择【用户】或【打印机】命令,可打开相应的对话框(分别如图7.19和图7.20所示),查找用户或计算机目录信息。
图7.19 通过全局编录查找用户 图7.20 通过全局编录查找打印机
在Windows XP或Windows Server 2003域成员计算机中,从【开始】>【搜索】菜单打开【搜索】对话框,再单击【其他搜索选项】链接,再单击【打印机、计算机和用户】链接,最后选择【网络上的一个打印机】或【通讯簿中的用户】链接,打开相应的对话框,查找用户和计算机。
设置Active Directory对象访问控制权限
使用访问控制权限,可控制哪些用户和组能够访问AD对象以及访问对象的权限。每个AD对象都有一个访问控制列表(ACL),记录安全主体(用户、组、计算机)对对象的读取、写入和审核等访问权限。当然,不同的对象类型提供的访问权限项目也不一样。
提示:在Active Directory诸多对象中,只有安全主体能够被授予权限。安全主体是被自动指派了安全标识符(SID,可用于访问域资源)的目录对象,安全主体只包括用户账户、计算机账户以及组。用户账户或计算机账户的主要用途:① 验证用户或计算机的身份;② 授权或拒绝访问域资源;③ 管理其他安全主体;④ 审计使用用户或计算机账户执行的操作。
在Active Directory中,访问控制是通过为对象设置不同的访问级别或权限(如“完全访问”、“写入”、“读取”或“拒绝访问”),在对象级别进行管理的。Active Directory中的访问控制定义了不同的用户使用Active Directory对象的权限。默认情况下Active Directory 中对象的权限被设置为最安全的设置。管理员可根据需要为Active Directory对象设置访问权限。
设置Active Directory对象访问控制权限
① 打开“Active Directory用户和计算机”控制台,从【查看】菜单中选中【高级功能】选项。
② 右键单击要设置权限的对象,从快捷菜单中选择【属性】命令,打开相应的对话框。
③ 切换到【安全】选项卡,列出当前的权限设置,单击【高级】按钮查看可用于该对象的所有权限项目,如图7.21所示。
④ 要给对象添加新权限,可单击【添加】按钮打开相应的对话框,指定要添加的组、计算机或用户的名称,然后单击【确定】按钮。
⑤ 如图7.22所示,在【对象】和【属性】选项卡中根据需要选中或清除【允许】或【拒绝】复选框。
要更改对象的现有权限,可单击某个权限项目,单击【编辑】按钮,在【对象】和【属性】选项卡上,相应地选中或清除【允许】或【拒绝】复选框。
要删除对象或属性的现有权限,应单击某个权限项目,然后单击【删除】按钮。
图7.21 查看对象的所有权限项目 图7.22 设置对象的权限
注意:应尽量避免为对象的某个属性分配权限,一般保持默认值即可。如果操作不当,可能造成无法访问AD对象的问题。
通过组策略集中控制和管理Windows网络
组策略(Group Policy)是基于Active Directory的一种系统管理技术,用来定义自动应用到网络中特定用户和计算机的默认设置,这些设置包括安全选项、软件安装、脚本文件设置、桌面外观和用户文件管理等。在基于Active Directory的Windows网络中,可通过组策略来实现用户和计算机的集中配置和管理。例如,管理员可为特定的域用户或计算机设置统一的安全策略;可在域中的每台计算机上自动安装某个软件,可为某个组织单位中的用户账户设置统一界面。
1.理解组策略
组策略设置存储在域控制器中,只能在Active Directory环境下使用,适用于组策略对象所作用的站点、域或组织单位中的用户和计算机。与AD组策略相对应的是本地组策略。本地组策略设置存储在所有运行Windows 2000/XP/2003的计算机上。一个本地组策略对象只能存在于一台计算机上,只能作用于该计算机及本地用户。如果与AD组策略的设置发生冲突,Active Directory组策略对象的设置将覆盖本地组策略对象的设置。如果不冲突,则两者都可以应用。
可以站点、域或组织单位为作用范围来定义不同层次的组策略对象,一旦定义了组策略对象,则该对象包含的规则将应用到相应作用范围的用户和计算机的设置。组策略对象的作用范围是由组策略对象链接(GPO Link)来设置的。任何组策略对象要想生效,必须链接到某个Active Directory对象(站点、域或组织单位)。
组策略既可以应用于用户,也可以应用于计算机。用户和计算机是接收策略的惟一Active Directory对象类型。组策略可提供针对用户和计算机的配置,相应地称为用户策略和计算机策略。对于用户配置来说,无论用户登录到哪台计算机,组策略中的用户配置设置都将应用于相应的用户。用户在登录计算机时获得用户策略。对于计算机配置来说,无论哪个用户登录到计算机,组策略中的计算机配置设置都将应用于相应的计算机。计算机启动时获得计算机策略。组策略不适用于Windows 9x/NT计算机,也不会影响未加入域的计算机和用户。
在Windows 2000/XP/2003域成员计算机中,组策略的执行顺序为:本地组策略对象→Active Directory站点→Active Directory域→Active Directory组织单位。在Active Directory层次结构的每一级组织单位中,可以链接一个、多个或不链接组策略对象。如果一个组织单位链接了多个组策略,则按照管理员指定的顺序同步处理。这意味着首先处理本地组策略对象,最后处理链接到计算机或用户直接上属组织单位的组策略对象,覆盖以前的组策略对象。
组策略可以继承。子容器继承父容器组策略,并且组策略的处理按站点、域和组织单位的顺序进行。这意味着如果将特定组策略分配给一个高级父容器,那么这个组策略将应用于该父容器下的所有容器,包括每个容器中的用户和计算机对象。但是,如果明确将组策略指定给一个子容器,那么子容器的组策略将替代父容器的组策略。
2.配置组策略对象
可以使用“Active Directory用户和计算机”或“Active Directory站点和服务”控制台来配置组策略,前者适合域或组织单位的组策略设置,后者适合站点的组策略设置。也可使用组策略对象编辑器MMC管理单元来配置组策略对象,这种方法适合编辑特定的组策略对象。这里以常用的“Active Directory用户和计算机”控制台为例讲解如何配置组策略对象。
编辑组策略对象
① 在“Active Directory用户和计算机”控制台树中,右键单击要设置组策略的域或组织单位(这里以域为例),从快捷菜单中选择【属性】命令,打开属性设置对话框。
② 切换到如图7.23所示的【组策略】选项卡,在组策略对象链接列表中已有一个默认的组策略对象。选中该对象,单击【编辑】按钮,打开要编辑的组策略对象。
③ 如图7.24所示,每个组策略对象包括计算机配置和用户配置两个部分,分别对应所谓的计算机策略和用户策略。设置相应的选项。例中设置账户策略。
提示:无论是计算机配置,还是用户配置,通常包括软件设置、Windows设置和管理模板这3个子项(由于组策略可向它添加或删除管理单元扩展组件,因此子项的确切数目可能不同)。其中位于【计算机配置】>【Windows设置】节点下面的【安全设置】节点是经常要设置的选项,它允许管理员手动配置指派到组策略对象的安全级别,设置系统安全性。
④ 设置相应的组策略对象后,返回到【组策略】选项卡,再单击【确定】按钮。
图7.23 【组策略】选项卡 图7.24 编辑组策略
新建和编辑组策略对象后,还要添加组策略对象链接,即将当前容器(域或组织单位)链接到已有的组策略对象。在【组策略】选项卡中单击【添加】按钮打开如图7.25所示的对话框,从现存于站点、域或组织单位的组策略对象中选择。
3.应用组策略
在计算机启动和用户登录时,组策略中的计算机策略和用户策略按下列顺序应用到计算机和用户。
(1)网络启动。
(2)获得组策略对象的有序列表。该列表可能取决于下列因素:
l 该计算机是否为域成员,并且是否因此通过Active Directory受组策略的控制;
l 计算机在Active Directory中的位置;
l 如果组策略对象列表没有更改,则不进行处理,可以使用策略设置更改该行为。
(3)计算机策略已得到应用。这些都是收集的列表中“计算机配置”下的设置。默认情况下这些操作将同步进行,顺序为本地、站点、域、组织单位、子组织单位等。处理计算机策略时不显示用户界面。
(4)启动脚本开始运行。在默认情况下这是隐藏的而且是同步进行的。每个脚本在下一个脚本开始执行之前要么必须完成,要么做超时处理。默认超时时间为600秒。用户可以使用多种策略设置更改该行为。
(5)用户按〖Ctrl〗+〖Alt〗+〖Del〗键登录。
(6)用户验证身份之后,将加载由当前生效的策略设置控制的用户配置文件。
(7)用户可获得组策略对象的有序列表。该列表可能取决于下列因素:
l 用户是否为域用户,而且是否因此通过Active Directory受组策略的控制;
l 用户在Active Directory中的位置;
l 如果要应用的组策略对象的列表没有更改,则不进行处理,可以使用策略设置更改该行为。
(8)用户策略已被应用。这些都是收集的列表中“用户配置”下的设置。默认情况下这些操作将同步进行,顺序为本地、站点、域、组织单位、子组织单位等。处理用户策略时不显示用户界面。
(9)登录脚本开始运行。与Windows NT 4.0脚本不同,基于组策略的登录脚本在默认情况下是隐藏并且异步运行的。用户对象脚本(在Windows NT 4.0中以正常窗口运行)最后运行。
(10)显示由组策略预定义的操作系统用户界面。
限于篇幅,这里再举一个使用“管理模板”组策略的简单例子。要禁止域中所有用户在IE浏览器中更改主页设置。打开组策略编辑器,依次展开【计算机配置】>【管理模板】>【系统】>【Windows组件】>【Internet Explorer】节点(如图7.26所示,),双击“禁用更改主页设置”图标,打开如图7.27所示的对话框。选中【已启用】选项以启用该策略,然后单击【确定】按钮。
图7.26 展开组策略节点 图7.27 启用“禁用更改主页设置”策略