建立與管理帳戶課件

1、建立網(wǎng)域 Windows 2000 系統(tǒng)實務(wù)Ch07建立網(wǎng)域 -1微軟的企業(yè)網(wǎng)路架構(gòu)裡, 最重要的角色即是網(wǎng)域。 許多 Windows 2000的重要功能, 都建立在網(wǎng)域上。 AD 服務(wù)就是建立在網(wǎng)域的基礎(chǔ)之上 並非 Windows 2000 網(wǎng)路一定只能採取網(wǎng)域的架構(gòu) 建立網(wǎng)域 -2規(guī)劃 Windows 2000 網(wǎng)路環(huán)境時, 可以有工作群組（Workgroup）和網(wǎng)域（Domain）兩種選擇。工作群組適合用於小型的網(wǎng)路, 而網(wǎng)域因擁有較優(yōu)越的管理能力, 適合用於中、大型的網(wǎng)路。 各自為政的網(wǎng)路架構(gòu)工作群組 -1工作群組是泛指一群以網(wǎng)路相連的電腦, 彼此分享對方的資源（如檔案或印表機(jī)） 每臺

2、電腦的地位皆是平等, 所以也有人把它稱為對等式（Peer to Peer）網(wǎng)路 以 Windows 2K所組成的工作群組為例, 不管是伺服器或工作站, 都擁有本機(jī)的帳戶資料庫, 唯有登記在資料庫內(nèi)的使用者, 才能合法使用該電腦上的資源 圖7-2各自為政的網(wǎng)路架構(gòu)工作群組 -2從網(wǎng)路管理的角度來看, 這樣的架構(gòu)有 2 個明顯的缺點(diǎn)： 帳戶管理較麻煩 假設(shè)網(wǎng)路上有 5 部伺服器和30 名使用者, 總共要建立 150 （5 * 30）筆帳戶資料, 才能讓所有使用者取用每部伺服器的資源。而且, 如果有任何一筆資料需要異動, 得做 5 次修改才行。 只能個別對電腦做安全性設(shè)定例如：系統(tǒng)管理員希望限制使用

3、者的登入時段, 這就必須到每一部伺服器前設(shè)定。 中央集權(quán)的網(wǎng)路架構(gòu)網(wǎng)域 網(wǎng)域的基本觀念為, 在網(wǎng)路中挑一部電腦當(dāng)作安全控管伺服器（在 Windows 2000 稱為網(wǎng)域控制站）, 由它專門負(fù)責(zé)網(wǎng)域的帳戶與安全管理。所有加入網(wǎng)域的電腦, 都以網(wǎng)域控制站的帳戶和安全性設(shè)定為準(zhǔn)。 拿前面的例子來說, 只要在伺服器中擇一擔(dān)任網(wǎng)域控制站, 再將其它的電腦和所有使用者統(tǒng)統(tǒng)加入網(wǎng)域。系統(tǒng)管理員只需維護(hù) 35 （30+5）筆帳戶資料（包括電腦及使用者）, 即可讓所有使用者使用全部電腦上的資源。圖7-4 Windows 95/98 能否加入網(wǎng)域？ 嚴(yán)格來說, Windows NT/2000 之外的機(jī)器（例如 W

4、indows 95/98）, 不算加入網(wǎng)域, 而只是能連接到網(wǎng)域。換言之, 雖然使用者能夠利用網(wǎng)域帳戶, 從 Windows 95/98 的電腦登入到網(wǎng)域裡存取資源, 可是這些機(jī)器並未受到網(wǎng)域的管轄, 而且在網(wǎng)域控制站上也不會有這些機(jī)器的帳戶資料 網(wǎng)域中的電腦角色 網(wǎng)域中的電腦依其功能, 區(qū)分為以下 3 種角色： 網(wǎng)域控制站 成員伺服器 工作站 網(wǎng)域控制站 -1安裝了 Windows 2000 Server, 而且啟用 AD 服務(wù)的電腦, 即為網(wǎng)域控制站。 網(wǎng)域控制站在網(wǎng)域中扮演運(yùn)作核心的地位, 除了特定的網(wǎng)管人員之外, 應(yīng)限制其它使用者都不允許登入網(wǎng)域控制站, 以防止 AD 資料遭到破壞。

5、網(wǎng)域控制站 -2網(wǎng)域控制站主要負(fù)責(zé)的工作如下： 提供 AD 服務(wù)。 儲存與複製 AD 資料庫。 管理網(wǎng)域中的活動, 包括使用者登入、身分驗證、與目錄查詢等等。 成員伺服器 -1安裝了 Windows 2000 Server, 但是不啟用 AD 服務(wù)的電腦；或者是安裝 Windows NT 4.0 Server 的電腦, 都算是成員伺服器 成員伺服器依其提供服務(wù)的不同, 可能會被冠上不同的名稱, 例如檔案伺服器、應(yīng)用程式伺服器、或資料庫伺服器等等。不過它們在網(wǎng)域中的角色都是一樣的, 都需接受網(wǎng)域控制站的控管 成員伺服器 -2由於這些伺服器同屬網(wǎng)域的成員, 所以審核使用者身份的工作, 都交由網(wǎng)域控

6、制站執(zhí)行, 只要通過網(wǎng)域控制站的驗證, 即允許使用者登入。成員伺服器的本機(jī)帳戶 成員伺服器上仍保留有本機(jī)的帳戶資料庫, 因此使用者也可以利用這些本機(jī)帳戶, 登入該伺服器。對網(wǎng)域的安全管理而言, 成員資料庫上的本機(jī)帳戶, 無疑是安全性上的一個漏洞。所以最好是關(guān)閉所有成員伺服器上的本機(jī)帳戶, 僅允許使用者以網(wǎng)域的帳戶登入, 才有最佳保障 工作站 -1所有安裝 Windows 2K Professional 或 Windows NT 4.0 Workstation, 而且加入網(wǎng)域的電腦, 都?xì)w類為工作站 工作站可以存取網(wǎng)域中的資源、執(zhí)行應(yīng)用程式等。但是, Windows 2K許多新增的功能, 例如

7、AD 服務(wù)、群組原則、軟體發(fā)布、DNS 名稱動態(tài)更新等, 必須配合 Windows 2000 Professional 工作站才能發(fā)揮功效。而 Windows NT 工作站雖然能加入網(wǎng)域, 不過無法享受 Windows 2000 的新增功能 工作站 -2加入網(wǎng)域的工作站, 同樣是由網(wǎng)域控制站負(fù)責(zé)使用者身分驗證, 並接受網(wǎng)域方面的管理。譬如, 網(wǎng)域系統(tǒng)管理員可以限制誰何時才允許登入該工作站, 而未加入網(wǎng)域的工作站, 雖然也能用來連接網(wǎng)域存取資源, 卻得不到網(wǎng)域的保護(hù)與管理 工作站上也保留了本機(jī)帳戶的資料庫, 使用者如果利用本機(jī)帳戶登入工作站, 即有辦法存取本機(jī)上的資源, 但仍無法存取網(wǎng)域裡的資源

8、 網(wǎng)域外的電腦角色 -1網(wǎng)路上沒有加入網(wǎng)域的電腦, 即以工作群組的模式運(yùn)作使用者可以利用這些電腦連接網(wǎng)域, 只要提供合法的網(wǎng)域帳戶即可, 不過這樣做有一個缺點(diǎn)：每次存取不同電腦上的資源時, 都要輸入網(wǎng)域的帳戶名稱與密碼。網(wǎng)域外的電腦角色 -2網(wǎng)域外的電腦也可概略區(qū)分為兩種角色： 獨(dú)立伺服器 安裝了 Windows 2000 Server 或 Windows NT Server, 但是未加入網(wǎng)域的電腦, 均視為獨(dú)立伺服器。獨(dú)立伺服器一旦加入網(wǎng)域後, 角色即轉(zhuǎn)換為成員伺服器。相反地, 成員伺服器如果退出網(wǎng)域, 則又會回到獨(dú)立伺服器的角色。如果在獨(dú)立伺服器上安裝 AD 服務(wù), 則升級為網(wǎng)域控制站。

9、網(wǎng)域外的電腦角色 -3其它電腦 無論是執(zhí)行何種作業(yè)系統(tǒng), 只要未加入網(wǎng)域, 而且不是獨(dú)立伺服器的電腦, 都可以歸為此類。使用者或許可利用這些電腦連接網(wǎng)域, 唯前提是必須擁有網(wǎng)域帳戶 建立第 1 個網(wǎng)域 建立網(wǎng)域的第一步即建立網(wǎng)域控制站, 而建立網(wǎng)域控制站的第一個動作就是安裝 AD 服務(wù)。 安裝 AD 服務(wù)的準(zhǔn)備事項 在安裝 AD 服務(wù)之前, 請先確定您的電腦與網(wǎng)路符合以下要求 至少需要一個格式化為NTFS 5.0的磁碟分割（Partition） 保留 1 GB 以上（建議值）的可用磁碟空間 以 TCP/IP 為預(yù)設(shè)的通訊協(xié)定, 並使用 DNS 提供名稱解析服務(wù) 安裝 AD 服務(wù)的流程 安裝 A

10、D 服務(wù)的流程, 大致上可分為以下兩階段 (圖7-9)以下要建立的網(wǎng)域, 即是整個網(wǎng)路的第一個網(wǎng)域, 這種網(wǎng)域又稱為根網(wǎng)域（Root Domain） 安裝 AD 服務(wù)的步驟 -1 安裝 Windows 2000 Server 後, 第一次開機(jī)時會自動開啟設(shè)定伺服器視窗, 我們將介紹如何利用它來建立第 1 部網(wǎng)域控制站 安裝 AD 服務(wù)的步驟 -2重新啟動後, 開始/程式集/系統(tǒng)管理工具裡會新增 3 個 AD 管理工具：Active Directory 使用者及電腦、Active Directory 站臺及服務(wù)、和Active Directory 網(wǎng)域及信任。此外, 還多了DHCP、DNS和 3

11、 個有關(guān)安全性原則的項目 將獨(dú)立伺服器加入網(wǎng)域 建立了網(wǎng)域控制站之後, 網(wǎng)域即開始運(yùn)作, 此時可優(yōu)先將網(wǎng)路上的獨(dú)立伺服器加入網(wǎng)域, 令其接受網(wǎng)域的集中管理 設(shè)定 DNS 要順利加入網(wǎng)域, 先決條件是要能夠連結(jié)到該網(wǎng)域的網(wǎng)域控制站, 而要連上正確的網(wǎng)域控制站, 就必須先在電腦上設(shè)定正確的 DNS 伺服器的位址 應(yīng)該將獨(dú)立伺服器上的慣用的 DNS 伺服器欄位, 設(shè)為網(wǎng)域控制站的IP 位址 加入網(wǎng)域 -1 加入網(wǎng)域 -2加入網(wǎng)域後的電腦, 其電腦名稱預(yù)設(shè)會出現(xiàn)在Active Directory 使用者及電腦視窗的Computers容器下 電腦角色的變換 在 Windows 2000 網(wǎng)域中, 可以將

12、獨(dú)立伺服器或成員伺服器升級為網(wǎng)域控制站；也可以將網(wǎng)域控制站還原回成員伺服器 利用加入和退出網(wǎng)域的動作, 還可以變換獨(dú)立伺服器和成員伺服器間的身分 圖 7-30網(wǎng)域控制站降級為成員伺服器 以系統(tǒng)管理員身分登入網(wǎng)域 重新指定本機(jī)系統(tǒng)管理員的密碼：當(dāng)初升級為網(wǎng)域控制站後, 本機(jī)上的所有帳戶資料都會被刪除。所以降級時, 成員伺服器會另外重建一份本機(jī)的帳戶資料（包括預(yù)設(shè)的帳戶和群組）, 因此必須重新指定本機(jī)系統(tǒng)管理員的密碼 成員伺服器轉(zhuǎn)為獨(dú)立伺服器 原始模式與混合模式 Windows 2000 提供兩種網(wǎng)域運(yùn)作模式：原始模式（Native mode）與混合模式（Mixed mode） 在不同的模式下,

13、所能執(zhí)行的功能有頗大的差異 何謂原始模式 欲採用原始模式, 必須符合唯一的條件：所有的網(wǎng)域控制站都必須執(zhí)行 Windows 2000 Server 至於非網(wǎng)域控制站, 則無論是執(zhí)行 Windows 2000 Professional 或 Windows NT 都沒有關(guān)係 原始模式的特性 除了網(wǎng)域區(qū)域群組（Domain local group）和通用群組（Global group）外, 另外多了萬用群組（Universal group） 支援更複雜, 且更多層次的群組巢接（Group nesting）功能。例如：網(wǎng)域區(qū)域群組可以包含同網(wǎng)域的網(wǎng)域區(qū)域群組或同樹系的通用群組和萬用群組 何謂混合模式 只要不採用原始模式, 就一定是混合模式 網(wǎng)域中包含 Windows 2000 網(wǎng)域控制站和 Windows NT 4.0 的備份網(wǎng)域控制站（Backup Domain Controller, BDC） 所有的網(wǎng)域控制站都是 Windows 2000 Server, 但是尚未變更模式 Windows 2000 網(wǎng)域預(yù)設(shè)是採用混合模式 兩種模式的比較 -1網(wǎng)域規(guī)模 混合模式的網(wǎng)域規(guī)模, 仍限制於 40,000 個物件以下, 但在原始模式下則無此限制。根據(jù)微軟的說法, 原始模式的網(wǎng)域有容納一百萬個物件的能力（理論值是一千萬個物件）