资源简介

(共39张PPT)
*
Windows Server 2022系统管理与服务器配置
项目6 部署与管理Active Directory域服务
*
知识目标
1.理解域和活动目录的概念。
2.理解域的结构。
3.理解域组策略的概念。
能力目标
1.能实现活动目录的安装与管理。
2.能将计算机加入域或脱离域。
3.能管理域用户账户、组、组织单位和域组策略。
素质目标
1.锻炼交流沟通的能力，提高合作精神，逐步养成清晰、有序的逻辑思维。
2.在管理用户账户、设置安全策略的过程中逐步建立网络安全意识。
3.增强信息系统安全和集中管理意识，能够利用Active Directory管理内部计算机资源。
项目6 部署与管理Active Directory域服务
*
本项目单词
项目6 部署与管理Active Directory域服务
*
项目描述
某公司是一家电子商务运营公司，该公司的网络管理员小王刚开始管理公司的 20 台计算机，用的是工作组管理模式，其网络配置很轻松，几乎不用管理，哪台计算机有问题，就去哪台计算机上解决，工作强度也不是很大。近年来公司发展快速，规模不断扩大，员工增加了几百人，在网络中计算机增加到 500 台。小王采用同样的管理方式，每天都很忙碌，从早到晚一直在解决网络中用户的计算机故障问题，经常晚上加班，但问题总是解决不了。这是因为传统的工作组管理模式采用分散管理的方式，只适合于小规模的网络管理，当网络中有上百台计算机时，就需要使用一种更加高效的网络管理方式。Windows Server 2022 服务器操作系统提供的域管理模式，不仅可以很好地实现集中管理计算机和用户账户，还可以解决其他网络资源的问题。
项目6 部署与管理Active Directory域服务
*
项目描述
网络管理员可以通过域管理模式很方便地实现对内网的所有计算机、用户账户、共享资源、安全策略的集中管理，从而实现更加高效的网络管理。在 Windows Server 2022 服务器操作系统中安装了活动目录服务的服务器，也被称为域控制器。域是活动目录服务的逻辑管理单位。活动目录（Active Directory，AD）是Windows Server 2022 服务器操作系统提供的一种目录服务，用于存储网络上各种对象的相关信息，以便系统管理员和用户对其进行查找与使用。
本项目主要介绍 Windows Server 2022 服务器操作系统中创建和配置域控制器，并将 Windows 计算机加入域，管理域用户、组和组织单位，以及管理域组策略。项目拓扑结构如图 6.0.1 所示。
项目6 部署与管理Active Directory域服务
*
项目6 部署与管理Active Directory域服务
*
任务6.1 创建和配置域控制器
项目6 部署与管理Active Directory域服务
任务描述
某公司的网络管理员小王刚开始管理全公司的 20 台计算机，因为他使用的是工作组管理模式，所以网络配置得很轻松，但公司近年发展快速，计算机增加到 500 台，因此需要将旧的工作组管理模式升级成集中控制、资源共享、方便灵活的域管理模式。
任务6.1 创建和配置域控制器
任务要求
当网络中有上百台计算机时，公司将网络变成域管理模式，使所有的计算机加入域，由一台或数台域控制器集中管理域中的其他计算机。Windows Server 2022 服务器操作系统提供的域管理模式，可以很好地实现此需求。域控制器的基本要求如表 6.1.1 所示。
任务6.1 创建和配置域控制器
任务实施
1．创建域控制器
2．添加额外域控制器
3. 域控制器降级
4. 客户计算机加入域
教师演示实现过程
任务6.1 创建和配置域控制器
知识链接
1.活动目录服务
目录在日常生活中经常用到，能够帮助人们容易且迅速地搜索到所需要的数据，如手机通讯录中存储的电话目录，以及计算机文件系统内记录文件名、大小、日期等数据的文件目录。活动目录服务是一种服务，这里所说的目录不是一个普通的文件目录，而是一个目录数据库，存储着整个Windows网络内的用户账号、组、打印机和共享文件夹等对象的相关信息。目录数据库可以集中存储整个Windows网络的配置信息，从而使管理员可以集中处理网络，提高管理效率。
任务6.1 创建和配置域控制器
知识链接
Active Directory是一种服务，目录数据库中存储的信息都是经过事先整理的有组织、结构化的数据信息，可以让用户非常方便、快速地找到所需数据，也可以让用户十分方便地对Active Directory中的数据执行添加、删除、修改、查询等操作。Active Directory具有以下特点。
1 ）集中管理
图书目录存放了图书馆的图书信息，以便对其进行管理，而活动目录集中组织和管理网络中的资源信息，类似图书馆的图书目录。用户只需通过活动目录，即可方便地管理各种网络资源。
任务6.1 创建和配置域控制器
知识链接
2）便捷的网络资源访问
Active Directory允许用户只登录一次网络就可以访问网络中的所有该用户账户有权限访问的资源，而且用户在访问网络资源时不必知道资源所在的物理位置，就可以快速找到资源。
3）可扩展性
Active Directory具有强大的可扩展性，可以随着公司或组织规模的增长而扩展，从一个网络对象较少的小型网络环境发展成大型网络环境。
任务6.1 创建和配置域控制器
知识链接
2.域和域控制器
域是活动目录的一种实现形式，也是活动目录最核心的管理单位。在域中可以将一组计算机作为一个管理单位，域管理员可以实现对整个域的管理和控制。例如，域管理员可以为用户创建域用户账号，使他们可以登录域并访问域资源，控制用户什么时间在什么地点登录，能否登录，登录后能够执行哪些操作等。
一个域由域控制器和成员计算机组成，域网络结构如图 。DC （ Domain Controller,域控制器）就是安装了活动目录服务的一台计算机。活动目录的数据都保存在 域控制器内，即活动目录数据库中。一个域可以有多台域控制器，每台域控制器都存储着一份完全相同的活动目录，并且会根据数据的变化同步更新。例如，在任意一台域控制器中添加了一个用户后，这个用户的相关数据就会被复制到其他域控制器的活动目录中，保持数据同步；当用户登录时，则由其中一台域控制器验证用户的身份。
任务6.1 创建和配置域控制器
知识链接
管理员可以通过修改活动目录数据库的配置来实现对整个域的管理和控制，域中的客户机要访问域的资源，必须先加入域，再通过管理员为其创建的域用户账户登录域，同时必须接受管理员的控制和管理。
3.活动目录和DNS
在 TCP/IP 网络中，DNS 是用来解决域名和 IP 地址的映射关系的。Windows Server 2022 的活动目录和 DNS 是紧密不可分的，可以使用 DNS 服务器来登记域控制器的 IP 地址、各种资源的定位等，因此在一个域林中至少要有一个 DNS 服务器存在。Windows Server 2022 中域的命名采用的是 DNS 的格式。
任务6.1 创建和配置域控制器
知识链接
4.域控制器、成员服务器与独立服务器
1）域控制器
域控制器是运行活动目录的 Windows Server 2022 服务器。在域控制器上，活动目录存储了所有的域范围内的账户和策略信息，如系统的安全策略、用户身份验证数据和目录搜索等。正是因为有活动目录的存在，所以域控制器不需要本地安全账户管理器（SAM）。
一个域可以有一个或多个域控制器。通常单个局域网的用户可能只需一个域就能满足要求。由于一个域比较简单，因此整个域也只要一个域控制器。为了获得较高的可用性和较强的容错能力，具有多个网络位置的大型网络或组织可能在每个部分都需要一个或多个域控制器。
任务6.1 创建和配置域控制器
知识链接
2）成员服务器
成员服务器是一台运行 Windows Server 2022 的域成员服务器，而不是域控制器，因此成员服务器不执行用户身份验证，并且不存储安全策略信息，从而使成员服务器可以直接处理网络中的其他服务。所以，在网络中通常使用成员服务器作为专用的文件服务器、应用服务器、数据库服务器或者Web服务器，专门用于为网络中的用户提供一种或几种服务。
3）独立服务器
独立服务器既不是域控制器，也不是某个域的成员。也就是说，它是一台具有独立安全边界的计算机，用于维护本机独立的用户账户信息，并服务于本机的身份验证。独立服务器以工作组的形式与其他计算机组建成对等网。服务器角色的转化如所示。
任务6.1 创建和配置域控制器
任务拓展
（1）分别将操作系统为Windows 10、Windows Server 2019的计算机加入Active Directory域环境的..cn域中，并以域管理员的身份登录。
（2）将操作系统为Windows 10的计算机退出.cn域。
任务6.1 创建和配置域控制器
*
任务6.2 管理域用户、组和组织单位
项目6 部署与管理Active Directory域服务
任务描述
某公司的网络管理员小王，根据需求已经完成 Active Directory 域的初步部署，即将财务部的 client 计算机，以及销售部的若干台计算机加入 .cn 域。小王要为这些部门的员工创建登录 .cn 域的用户账户并进行分组。
任务6.2 管理域用户、组和组织单位
任务要求
根据公司业务需求，我们需要在域控制器上添加域用户并按照部门进行逻辑划分。由
于考虑日后将要使用组策略对相应部门的计算机和用户进行管理，因此组织单位可以实现
对某个部门的用户、组、计算机等进行组策略设置。
本任务在 dc 域控制器上完成相关操作，采用由大到小的方式分别新建组织单位、组、
用户，并将用户、组、计算机划分到相应的组织单位中。组织结构转换为域的逻辑关系如
表 6.2.1 所示。
任务6.2 管理域用户、组和组织单位
任务实施
1. 新建组织单位
2．在组织单位中新建组
3. 在组织单位中新建用户
4. 将用户添加到组
5. 将成员计算机（对象）移动到组织单位
教师演示实现过程
任务6.2 管理域用户、组和组织单位
知识链接
Active Directory域用户账户代表物理实体，如人员。管理员可以将用户账户用作某些应用程序的专用服务账户。用户账户也被称为安全主体。安全主体是指自动为其分配安全标识符（SID）的目录对象，可用于访问域资源。用户账户的主要作用如下。
（1）验证用户的身份。用户可以使用能够通过域身份验证的身份登录计算机或域。每个登录到网络的用户都应该有自己唯一的账户和密码。为了最大限度地保证安全，需要避免多个用户共享同一个账户。
（2）授权或拒绝对域资源的访问。在验证用户身份之后，需要对该用户设置访问权限，即允许它能够访问哪些资源和拒绝它访问哪些资源。
任务6.2 管理域用户、组和组织单位
知识链接
1．默认域用户
Active Directory 用户和“计算机管理”窗口中的“用户”容器显示了两种内置用户账户：Administrator 和 Guest。这些内置用户账户是在创建域时自动创建的。
每个内置用户账户都有不同的权限组合。Administrator 账户在域内具有最大的权限，而 Guest 账户则具有有限的权限。
如果网络管理员没有修改或禁用内置用户账户的权限，恶意用户（或服务）就会使用这些权限通过 Administrator 账户或 Guest 账户来非法登录域。保护这些账户的一种较好的安全操作是重命名或禁用它们。由于重命名的用户账户会保留其 SID，因此也会保留其他所有属性，如说明、密码、组成员身份、用户配置文件、账户信息，以及任何已分配的权限和用户权利。
任务6.2 管理域用户、组和组织单位
知识链接
如果想要拥有用户身份验证和授权的安全优势，则可以通过“Active Directory用户和计算机”窗口为所有加入网络的用户创建单独的用户账户，并将各个用户账户（包括Administrator和Guest）添加到组，以控制分配给该账户的权限。若具有适合某个网络的用户账户和组，则要确保可以识别登录该网络的用户账户和只能访问允许资源的用户。
设置强密码和实施账户锁定策略，可以帮助域抵御攻击。强密码会减少攻击者对密码的智能密码猜测和字典攻击的危险。账户锁定策略会减少攻击者通过重复登录企图危及用户账户所在域的安全的可能性。账户锁定策略将确定用户在禁用之前尝试登录的失败次数。
任务6.2 管理域用户、组和组织单位
知识链接
2．域中组
组指用户与计算机账户、联系人，以及其他可以作为单个单位管理的组的集合。属于特定组的用户和计算机被称为组成员。
Active Directory域服务中的组都是驻留在域和组织单位容器对象中的目录对象。Active Directory域服务中自动安装了系统默认的内置组，也允许以后根据实际需要创建组。此外，管理员还可以灵活地控制域中的组和成员。通过对Active Directory域服务中的组进行管理，可以提供如下功能。
●资源权限的管理，即为组而不是个别用户账户指派资源权限，这样可以将相同的资源访问权限指派给该组的所有成员。
●用户账户集中的管理，可以创建一个应用组，指定组成员的操作权限，并向该组中添加需要拥有与该组相同权限的成员。
任务6.2 管理域用户、组和组织单位
知识链接
1）按照安全性质划分组
在Windows Server 2022中，按照安全性质可以将组划分为安全组和通信组两种类型。
（1）安全组。安全组主要用于控制和管理资源的安全性。使用安全组，可以在共享资源的“属性”窗口中，选择“共享”选项卡，并为该组的成员分配访问控制权限。例如，设置该组的成员对特定文件夹具有写入权限。
（2）通信组。通信组，又被称为分布式组，用来管理与安全性无关的任务。例如，将信息发送给某个分布式组。通信组不能为其设置资源权限，即不能在某个文件夹的“共享”选项卡中为该组的成员分配访问控制权限。
任务6.2 管理域用户、组和组织单位
知识链接
2）按照作用域划分组
组都有一个作用域，用来确定在域树或域林中该组的应用范围。按照作用域可以将组划分为3种类型，即全局组、本地域组和通用组。
（1）全局组。全局组主要用来组织用户账户，面向域用户账户，即全局组中只包含所属域的域用户账户。为了管理方便，管理员通常将多个具有相同权限的用户账户加入一个全局组。之所以被称为全局组，是因为它不仅能够在所创建的计算机上使用，而且能够在域中的任何一台计算机上使用。只有在 Windows Server 2016域控制器上能够创建全局组。
任务6.2 管理域用户、组和组织单位
知识链接
（2）本地域组。本地域组主要用来管理域的资源。通过本地域组，可以快速地为本地域、其他信任域的用户账户和全局组的成员指定访问本地资源的权限。本地域组由该组所属域的用户账户、通用组和全局组组成，不包含非本域的本地域组。为了管理方便，管理员通常在本域内建立本地域组，并根据资源访问的需要将适合的全局组和通用组加入该组，并为该组分配本地资源的访问控制权限。本地域组的成员仅限于访问本域内的资源，而无法访问其他域内的资源。
（3）通用组。通用组用来管理所有域内的资源，包含任何一个域内的用户账户、通用组和全局组，但不包含本地域组。一般在大型企业应用环境中，管理员会先建立通用组，再为该组的成员分配在各个域内的访问控制权限。通用组的成员可以使用所有域内的资源。
任务6.2 管理域用户、组和组织单位
知识链接
3．组织单位
域中包含的一种特别有用的目录对象类型是组织单位（OU）。 OU是一个Active Directory容器，用于放置用户账户、组、计算机和其他OU ，但不包含来自其他域中的对象。
OU是向其分配组策略设置或委派管理权利的最小作用域或单位。管理员使用OU可以在域中创建表示组织中的层次结构、逻辑结构的容器，并根据组织模型管理账户，以及配置和使用资源。
OU可以包含其他OU 。管理员可以根据需要将OU的层次结构扩展为模拟域中组织的层次结构。使用OU有助于最大限度地减少网络中所需的域数目。
管理员可以使用OU创建能够缩放到任意大小的管理模型，具有对域中的所有组织单位或单个OU的管理权利。一个OU的管理员不一定对域中的任何其他OU具有管理权利。
任务6.2 管理域用户、组和组织单位
知识链接
4．创建域用户账户、组和组织单位
如果要管理域用户，那么需要在Active Directory域服务中创建用户账户。若要执行此过程，则创建的用户账户必须是Active Directory域服务中Account Operators组、Domain Admins组或Enterprise Admins组的成员，或者必须被委派了适当的权限。
如果未分配密码，则用户在首次尝试登录时（使用空白密码）系统会弹出一条登录消息显示“您必须在第一次登录时更改密码”。更改密码后，登录过程将继续。如果用户账户的密码已更改，则必须重置使用该用户账户验证的服务。
如果要添加组，则可以单击要添加组的文件夹，并单击工具栏上的“新建组”图标完成此过程。最低需要使用Account Operators组、Domain Admins组、 Enterprise Admins组或类似组中的成员身份。
任务6.2 管理域用户、组和组织单位
任务拓展
上网查找域用户状态迁移工具（User State Migration Tool，简称USMT）的相关介绍，体验使用工具包内的scanstate命令备份域用户信息，使用loadstate命令导入域用户信息。
任务6.2 管理域用户、组和组织单位
*
任务6.3 管理域组策略
项目6 部署与管理Active Directory域服务
任务描述
某公司已经为各部门的员工通过 Active Directory 域创建了用户账户。网络管理员小
王发现，销售部的员工需要经常访问公司首页，他们希望登录系统后桌面能够自动建立一
个访问公司首页的快捷方式；而财务部员工在自行修改 Windows 中的注册表后产生了软
件故障。
任务6.3 管理域组策略
任务6.3 管理域组策略
针对公司的需求，网络管理员小王需要针对销售部和财务部设置域安全策略。域安全策略的基本要求如表6.3.1所示。
任务要求
任务6.3 管理域组策略
任务实施
配置组策略
更新组策略
4. 在成员计算机上验证组策略效果
教师演示实现过程
知识链接
任务6.3 管理域组策略
1．组策略
组策略略（Group Policy）就是对组的策略限制，用来限制指定组中的用户账户对系统设置的更改或资源的使用，介于控制面板和注册表中间的一种设置方式，这些设置最终保存在注册表中。
2．组策略对象
GPO（Group Policy Object，组策略对象）是定义了各种策略的设置集合，是Active Directory中的重要管理方式，可以管理用户账户和计算机对象。一般需要为不同组织单位设置不同的GPO，组织单位等容器可以链接（可以理解为调用，在容器中显示时会标记为快捷方式）多个GPO，一个GPO也可以被不同的容器链接。
知识链接
任务6.3 管理域组策略
3.组策略继承
组策略继承是指子容器将从父容器中继承策略设置。例如，本任务中的组织单位“财务部”如果没有单独设置策略，则它包含的用户或计算机会继承全域的安全策略，即会执行Default Domain Policy 的设置。
4.组策略执行顺序
组策略执行顺序是指多个组策略叠加在一起时的执行顺序。当子容器有自己的单独的GPO时，策略执行累加。例如，“财务部”策略为“已启动”状态，继承来的组策略是“未 定义”状态，则最终继承来的策略是“已启动”状态。当策略发生冲突时，以子容器策略为准。例如，某组织单位中将某一策略设置为“已启动”状态，而继承来的组策略是“已 禁用”状态，则最终是“已启动”状态。执行的先后顺序为组织单位-域控制器一域一站 点—（域内计算机的）本地安全策略。
任务拓展
在财务部的组织单位中建立并定义组策略，禁止员工使用可移动存储设备。
任务6.3 管理域组策略

展开更多......

收起↑