第15章 實(shí)戰(zhàn)MMC網(wǎng)絡(luò)管理平臺(tái).ppt

1、第15章 實(shí)戰(zhàn)MMC 網(wǎng)絡(luò)管理平臺(tái),計(jì)算機(jī)網(wǎng)絡(luò)維護(hù)與故障排除案例精選,設(shè)置和使用MMC網(wǎng)絡(luò)管理平臺(tái) 委派控制管理 管理授權(quán)管理器 從MMC中管理Active Directory,計(jì)算機(jī)網(wǎng)絡(luò)維護(hù)與故障排除案例精選,本章重點(diǎn),案例目標(biāo),通過(guò)本章的學(xué)習(xí)，用戶(hù)不但可以了解到MMC是一款本身并不具備管理功能，卻能聚集許多功能強(qiáng)大的網(wǎng)絡(luò)管理工具，而且利用MMC網(wǎng)絡(luò)管理平臺(tái)，可以實(shí)現(xiàn)許多重要的網(wǎng)絡(luò)管理功能，進(jìn)一步實(shí)現(xiàn)網(wǎng)絡(luò)的多方管理，確保自己的網(wǎng)絡(luò)安全。,15.1 準(zhǔn)備工作 15.2 設(shè)置和使用MMC網(wǎng)絡(luò)管理平臺(tái) 15.3 如何進(jìn)行委派管理 15.4 從MMC中管理Active Directory 15.5

2、可能出現(xiàn)的問(wèn)題與解決 15.6 總結(jié)與經(jīng)驗(yàn)積累,計(jì)算機(jī)網(wǎng)絡(luò)維護(hù)與故障排除案例精選,15.1 準(zhǔn)備工作,材料準(zhǔn)備,計(jì)算機(jī)網(wǎng)絡(luò)維護(hù)與故障排除案例精選,（1）Windows Server 2003系統(tǒng)安裝光盤(pán)。 （2）Microsoft Windows Server 2003家族光盤(pán)。 （3）本地和遠(yuǎn)程計(jì)算機(jī)。,知識(shí)準(zhǔn)備,在網(wǎng)絡(luò)規(guī)模日益增大的今天，如果仍然沿用古老的單機(jī)分別管理模式，將是遠(yuǎn)遠(yuǎn)不能實(shí)現(xiàn)目前網(wǎng)絡(luò)管理需求的。 為了最大限度地提高網(wǎng)絡(luò)的管理和維護(hù)效率，大多網(wǎng)絡(luò)管理人員都使用了遠(yuǎn)程控制軟件，以實(shí)現(xiàn)對(duì)局域網(wǎng)或服務(wù)器進(jìn)行隨時(shí)隨地的管理。然而，當(dāng)選用pcAnyWhere遠(yuǎn)程控制軟件或通過(guò)遠(yuǎn)程桌面連接

3、功能，來(lái)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，也同時(shí)開(kāi)啟了一個(gè)危險(xiǎn)之門(mén)，常常會(huì)給某些非法攻擊者的遠(yuǎn)程入侵帶來(lái)便利。 但使用MMC控制臺(tái)的計(jì)算機(jī)管理功能，不但可以有效地管理本地或遠(yuǎn)程的服務(wù)器，而且還能有效避開(kāi)遠(yuǎn)程桌面連接所帶來(lái)的安全漏洞。因此，借助MMC系統(tǒng)控制臺(tái)，用戶(hù)不但十分便捷地對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理，并且還能阻止黑客對(duì)服務(wù)器進(jìn)行惡意攻擊。,15.2 設(shè)置和使用MMC網(wǎng)絡(luò)管理平臺(tái),計(jì)算機(jī)網(wǎng)絡(luò)維護(hù)與故障排除案例精選,Microsoft Management Console（MMC）是集成了用來(lái)管理網(wǎng)絡(luò)、計(jì)算機(jī)、服務(wù)及其他系統(tǒng)組件的管理工具?？梢詣?chuàng)建、保存或打開(kāi)MMC控制臺(tái)來(lái)管理硬件、軟件和Windows系統(tǒng)的

4、網(wǎng)絡(luò)組件。 在MMC中，用戶(hù)可以添加到控制臺(tái)的主要工具類(lèi)型稱(chēng)為管理單元，其他可以添加的項(xiàng)目包括ActiveX控件、指向Web面頁(yè)的連接、文件夾、任務(wù)板視圖和任務(wù)等。,15.2 設(shè)置和使用MMC網(wǎng)絡(luò)管理平臺(tái),15.2.1 runas命令的使用,計(jì)算機(jī)網(wǎng)絡(luò)維護(hù)與故障排除案例精選,管理員可以使用一個(gè)權(quán)限受限制的賬戶(hù)執(zhí)行日常、非管理性的任務(wù)。只有在執(zhí)行特定管理任務(wù)時(shí)，才使用一個(gè)權(quán)限更大的賬戶(hù)，經(jīng)過(guò)注銷(xiāo)再重新登錄之后，就可以完成這樣的任務(wù)了。此時(shí)，用戶(hù)即可使用一般賬戶(hù)登錄，然后使用runnas命令來(lái)運(yùn)行能行使更大權(quán)限的工具。 runas命令允許運(yùn)行.exe程序、保存的MMC控制臺(tái)程序和保存的MMC控制臺(tái)

5、的快捷方式及“控制面板”項(xiàng)，作為另一組的成員登錄到計(jì)算機(jī)時(shí)，可以管理員的身份運(yùn)行此命令。 用戶(hù)還可以使用runas命令來(lái)啟動(dòng)任何.exe程序、MMC控制器或“控制面板”項(xiàng)，只要提供適當(dāng)?shù)挠脩?hù)賬號(hào)和密碼信息，用戶(hù)賬號(hào)就具有登錄計(jì)算機(jī)的能力，并且.exe程序、MMC控制臺(tái)和“控制面板”項(xiàng)在系統(tǒng)中對(duì)該用戶(hù)賬戶(hù)均可用。,15.2 設(shè)置和使用MMC網(wǎng)絡(luò)管理平臺(tái),15.2.2 設(shè)置MMC中的組策略,只有管理員才可以使用組策略來(lái)限制或允許訪(fǎng)問(wèn)特定的管理單元，或者限制用戶(hù)或組在MMC中使用作者模式的能力，這適用于已配置組策略的網(wǎng)絡(luò)。 要設(shè)置特定計(jì)算機(jī)的用戶(hù)策略，必須是該計(jì)算機(jī)的管理員或有相等權(quán)利的用戶(hù)。不能使

6、用MMC創(chuàng)建計(jì)算機(jī)策略，只能創(chuàng)建用戶(hù)策略。 設(shè)置MMC策略方法有多種，而且還要根據(jù)當(dāng)前服務(wù)器的角色選用不同的配置方法，其實(shí)這里的MMC組策略設(shè)置實(shí)際上就是組策略的幾種打開(kāi)方式。但卻可以不用理會(huì)當(dāng)前服務(wù)器的角色，直接利用控制臺(tái)添加“組策略編輯器”管理單元來(lái)配置組策略即可。,計(jì)算機(jī)網(wǎng)絡(luò)維護(hù)與故障排除案例精選,15.2 設(shè)置和使用MMC網(wǎng)絡(luò)管理平臺(tái),15.2.3 創(chuàng)建和使用MMC控制臺(tái),計(jì)算機(jī)網(wǎng)絡(luò)維護(hù)與故障排除案例精選,在創(chuàng)建控制臺(tái)之前，必須要考慮該控制臺(tái)將要實(shí)施的任務(wù)、要管理的組件，以及執(zhí)行任務(wù)所必須的管理單元和控件。還需要考慮是否創(chuàng)建任務(wù)板視圖和任務(wù)。只有在合理的計(jì)劃確定之后，才有可能合理地創(chuàng)建

7、和使用MMC控制臺(tái)。 下面首先看一下怎樣創(chuàng)建MMC控制臺(tái)。 在控制臺(tái)樹(shù)中添加任務(wù) 添加任務(wù)板視圖,15.2 設(shè)置和使用MMC網(wǎng)絡(luò)管理平臺(tái),如何使用MMC控制臺(tái)進(jìn)行本地計(jì)算機(jī)和遠(yuǎn)程計(jì)算機(jī)的管理操作。 本地計(jì)算機(jī)的管理 要使用MMC控制臺(tái)管理本地計(jì)算機(jī)，必須先在控制臺(tái)中添加相應(yīng)的管理單元。 遠(yuǎn)程計(jì)算機(jī)的管理 如果要實(shí)現(xiàn)對(duì)遠(yuǎn)程計(jì)算機(jī)進(jìn)行管理，首先需要將管理單元項(xiàng)目添加到遠(yuǎn)程計(jì)算機(jī)的新MMC控制臺(tái)中。,計(jì)算機(jī)網(wǎng)絡(luò)維護(hù)與故障排除案例精選,15.2.3 創(chuàng)建和使用MMC控制臺(tái),15.3 如何進(jìn)行委派管理,計(jì)算機(jī)網(wǎng)絡(luò)維護(hù)與故障排除案例精選,委派管理是指特定管理任務(wù)的管理責(zé)任從更高的授權(quán)機(jī)構(gòu)到更低的授權(quán)機(jī)構(gòu)的

8、一種轉(zhuǎn)移。通過(guò)委派管理，可以為適當(dāng)?shù)挠脩?hù)和組指派一些特定的管理任務(wù)，為普通用戶(hù)和組織指定基本的管理任務(wù)，而讓Domain Admins和Enterprise Admins組的成員，執(zhí)行域范圍和林范圍的管理?？梢允菇M織內(nèi)的組更多地控制本地網(wǎng)絡(luò)資源。還可以通過(guò)限制管理組的成員，保護(hù)網(wǎng)絡(luò)不受意外或惡意的損傷。 通過(guò)在域中創(chuàng)建組織單位并將特定組織單位的管理控制權(quán)委派給特定用戶(hù)和組，可將管理控制權(quán)委派給域樹(shù)的任何級(jí)別。 Active Directory 服務(wù)和數(shù)據(jù)所有者定義了特定的權(quán)限和用戶(hù)權(quán)利，并可用于委派或限制管理控制權(quán)。從而使得單位中的某一角色合適的完成為其分配的責(zé)任。 委派管理提供了如下好處：

9、使得能夠在多個(gè)管理組之間分布管理責(zé)任，每個(gè)組都具有已定義的權(quán)限范圍和已定義的責(zé)任；支持分散管理權(quán)限，可以特別明確注重安全分布的管理責(zé)任。另外，通過(guò)委派管理，組織可以有效地管理基礎(chǔ)結(jié)構(gòu)，強(qiáng)制執(zhí)行安全防范措施。,15.3 如何進(jìn)行委派管理,計(jì)算機(jī)網(wǎng)絡(luò)維護(hù)與故障排除案例精選,15.3.1 委派控制管理,委派控制管理是在“Active Directory用戶(hù)和計(jì)算機(jī)”管理單元中進(jìn)行的。,15.3.2 管理授權(quán)管理器,授權(quán)管理器提供了可將角色訪(fǎng)問(wèn)控制轉(zhuǎn)嫁到應(yīng)用程序的靈活框架，為使用這些應(yīng)用程序的管理員，提供與這些作業(yè)功能相關(guān)的已分配用戶(hù)角色進(jìn)行訪(fǎng)問(wèn)的權(quán)限。授權(quán)管理器應(yīng)用程序可以將授權(quán)策略存儲(chǔ)為授權(quán)存儲(chǔ)的

10、形式，而且可在運(yùn)行時(shí)應(yīng)用授權(quán)策略。,15.4 從MMC中管理Active Directory,15.4.1 Active Directory管理工具簡(jiǎn)介,計(jì)算機(jī)網(wǎng)絡(luò)維護(hù)與故障排除案例精選,Active Directory管理工具只能在某個(gè)域的計(jì)算機(jī)中使用。其中【管理工具】菜單提供了下列Active Directory管理工具： Active Directory用戶(hù)和計(jì)算機(jī) Active Directory域和信任關(guān)系 Active Directory站點(diǎn)和服務(wù) Active Directory可以實(shí)現(xiàn)遠(yuǎn)程管理，但必須安裝Windows Server 2003管理工具包。Microsoft Wi

11、ndows Server 2003管理工具包提供平臺(tái)的遠(yuǎn)程管理服務(wù)器的工具。這些工具打包在Microsoft Windows Server 2003光盤(pán)上的adminpak.msi文件中，支持32位和64位服務(wù)器操作系統(tǒng)。,15.4 從MMC中管理Active Directory,15.4.1 Active Directory管理工具簡(jiǎn)介,Active Directory MMC控制臺(tái)可以通過(guò)命令方式啟動(dòng)。Active Directory MMC控制臺(tái)包括“Active Directory 用戶(hù)和計(jì)算機(jī)”、“Active Directory 域和信任關(guān)系”和“Active Directory

12、站點(diǎn)和服務(wù)”，即提供了允許啟動(dòng)針對(duì)域或域控制器的控制臺(tái)的命令行選項(xiàng)。 這些命令即支持完全合格的域名，也支持NetBIOS名稱(chēng)?？梢允褂眠@些命令行選項(xiàng)直接從命令行運(yùn)行Active Directory MMC控制臺(tái)，也可以創(chuàng)建快捷方式啟動(dòng)控制臺(tái)，并將相應(yīng)的命令行選項(xiàng)添加到快捷方式中去。,計(jì)算機(jī)網(wǎng)絡(luò)維護(hù)與故障排除案例精選,15.4 從MMC中管理Active Directory,15.4.2 從MMC管理Active Directory架構(gòu),計(jì)算機(jī)網(wǎng)絡(luò)維護(hù)與故障排除案例精選,“Active Directory架構(gòu)”管理單元是用于管理結(jié)構(gòu)的Microsoft管理控制臺(tái)管理工具，只能在可訪(fǎng)問(wèn)域中使用。在

13、默認(rèn)情況下，【管理工具】菜單中無(wú)“Active Directory架構(gòu)”管理單元，下面就具體講述一下如何安裝Active Directory架構(gòu)管理單元。,15.5 可能出現(xiàn)的問(wèn)題與解決,當(dāng)本地計(jì)算機(jī)和遠(yuǎn)程服務(wù)器安裝的是兩種不同操作系統(tǒng)時(shí)，就必須先在本地計(jì)算機(jī)中安裝好與遠(yuǎn)程服務(wù)器相對(duì)應(yīng)的MMC管理插件。 例如：要是本地計(jì)算機(jī)中使用的是Windows 2000服務(wù)器系統(tǒng)，而遠(yuǎn)程服務(wù)器使用的是Windows 2003服務(wù)器系統(tǒng)，則就必須在本地計(jì)算機(jī)中先安裝好Windows 2003服務(wù)器的相關(guān)管理工具。 具體安裝方法是： （1）將Windows 2003服務(wù)器系統(tǒng)的安裝光盤(pán)先放入到光驅(qū)中，打開(kāi)其中的“i386”文件夾窗口。 （2）雙擊該窗口中的“adminpak.msi”文件圖標(biāo)，在隨后屏幕上將彈出Windows 2003服務(wù)器的管理工具安裝向?qū)Т翱?，按照屏幕向?qū)崾就瓿珊冒惭b任務(wù)。 （3）此時(shí)將打開(kāi)MMC管理控制臺(tái)，將Windows 2003服務(wù)器有關(guān)的管理工具全部加入其中即可。這樣，就可以實(shí)現(xiàn)Window