《网络基础学习资料AD域服务器和LDAP-[重点掌握] (1).doc》由会员分享,可在线阅读,更多相关《网络基础学习资料AD域服务器和LDAP-[重点掌握] (1).doc(46页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、 新员工必备知识点SANGFOR_新员工必备知识点_AD域服务器和LDAP深信服科技有限公司目录1 介绍31.1 总体说明31.2 文档目的32 Active Directory的配置与应用32.1 Active directory的概论32.1.1 Active directory 的几个基本概念32.2 windows server 2003域的建立42.3 域用户与组的管理112.4 Active directory的组策略212.4.1 组策略的具体配置212.4.2 组策略的继承和处理的方法252.5 常用命令282.5.1 Gpresult 或者 gpresult /r 获取组策略
2、结果282.5.2 Gpupdate /force 强制更新组策略292.5.3 Gpmc.msc Server 2008组策略管理292.5.4 echo %logonserver% 显示客户端加入的域服务器312.5.5 Eventvwr 事件管理器312.5.6 Rsop.msc 客户端PC获取的策略结果集322.5.7 WMI 测试器wbemtest333 LDAP介绍和应用353.1 名词概念353.2 基本结构363.3 LDAP Browser383.4 认证过程451 介绍1.1 总体说明介绍和掌握Active Directory的创建和管理,LDAP的基本概念和认证过程。1.
3、2 文档目的域用户登录注销日志的查看、域用户和组织单元(OU)、安全组概念和建立;域认证通信端口、客户机加入和退出域、域对象各属性的的意义和标记方法。域组策略的配置和作用2 Active Directory的配置与应用2.1 Active directory的概论2.1.1 Active directory 的几个基本概念目录(directory):它就象我们日常用的电话本,本子上记录着家人朋友的姓名、电话、住址、生日等等,这就是“电话目录”。我们说的Active directory是在windows Server 2003域内负责提供目录服务的组件。命名空间(Namespace):就是一个界
4、定好的区域,在这块区域内我们可以利用某个名称来找到与这个名称有关的信息。一个电话本好象是一个“命名空间”。对象(object):在windows server 2003 域内 用户、计算机、打印机、应用程序等都是对象。属性(attribute):属性就是用来描述对象特征的。对象本身就是一些“属性”的集合。容器(container):它和对象相似,也是一些属性的集合。容器内可以包含其他对象,比如“用户” “计算机”等对象,还可以包含其他容器。组织单元(OU):实际就是一个特殊点的容器,可以包含其他容器与OU,还有“组策略”的功能。域树(domain tree) :架设一个多域的网络,则网络可以设
5、置成“域树”的架构,这些域是以倒置树状结构存在。树的最上层是这棵域树的根域,根域之下会有很多会有很多子域。信任(trust):要想让两个域可以访问对方域内的资源,必须让两个域建立“信任关系”。任何一个windows server 2003域被加入域树后,这个域都会自动信任前一层的父域,同时父域也会自动信任此新域,这个信任的功能是通过Kerberos安全协议来完成的,也被称做kerberos信任。如果A域和B域双向信任,B域和C域也互相信任,那么A域和C域也会自动双向信任,这也叫隐性信任。林(forest):如果一个网络有多个域树则可以将这些域树组合成为一个“林”。一个林可以包括一个或多个域树,
6、每一个域树都有自己唯一的命名空间。所建的第一个域树的根域就是整个林的根域。在建立林时,会自动建立根域之间具有双向传递性的信任关系。2.2 windows server 2003域的建立执行“开始”“运行”输入“dcpromo”命令,启动“Active directory安装向导”出现“欢迎使用Active directory安装向导”单击“下一步”出现“操作系统兼容性”如图2.1图2.1单击“下一步”出现“域控制器的类型”因为我们是网络中的第一个域控制器所以我们选择“新域的域控制器”如图2.2图2.2“下一步”创建新域如图2.3图2.3我们选择“在新林中的域”下一步如图2.4图2.4输入新域的
7、DNS全名(我们在DNS服务器里已经做好了准备)点击“下一步”少等片刻出现域的NetBIOS如图2.5图2.5点击“下一步”出现“数据库文件夹”和“日志文件夹”的安装路径,都安默认的就行。如图2.6图2.6点击“下一步”出现SYSVOL文件夹的安装路径,安默认路径如图2.7图2.7点击“下一步”出现DNS的诊断结果如图2.8图2.8提示已经检测到DNS服务器并且DNS的配置符合要求,点击“下一步”如图2.9图2.9因为我们现在用的系统基本都是windows2000以上的版本,所以我们选择第二个,点击“下一步”如图2.10图2.10输入还原模式密码,它是用来启动该服务器目录服务还原模式用的,点击
8、“下一步”如图2.11图2.11它列出了选定的选项请我们复查,如果没错,点击“下一步”开始安装Active directory如图2.12 2.13图2.12图2.13重启计算机!Active directory安装完毕!2.3 域用户与组的管理打开“开始”“程序”“管理工具”“Active directory用户与计算机”如图2.22图2.22右击新建组织单元如图2.23图2.23选“组织单元”后弹出对话框输入这个“组织单元”名称,点击“确定”,组织单元建好如图2.24图2.24我们可以在域或下建立用户和组。建立组或用户可以右击或组织单元如图2.25图2.25如建立用户如图2.26 2.27
9、图2.26图2.27点击“下一步”完成后如图2.28图2.28右击zhangsan用户出现如图000图2.29“添加到组”:点击此可以选择要加入的组。添加用户也可到那个组去添加。禁用帐户:如果某个用户有段时期无法工作,为了安全起见我们要把帐户禁用。禁用后这个用户是无法使用这个帐号的,并且头像图标上会带一个叉号。当用户回来工作时,启用帐号即可。(用户被禁用后原来选择“禁用帐户”的位置会变成“启用帐户”)重命名:用户改名以后,他的权限不会改变。以为当系统建立一个用户的时候,同时也会建立一个相对应SID,系统分配权限的时候系统是把权限分配给了SID,并没有分配给用户名。删除:确定这个帐户确实不用了,
10、则可以删除这个帐户。(注意没有用的帐户一定要记着删除,这不仅可提高安全性还可以避免占用Active directory数据库的空间。但删除后再建立一个原来的帐户,因为他们的SID不同了,所以它们的权限也会不同。)重设密码:当用户忘记密码或密码使用期限到期时,系统管理员可以重新替用户设定一个新的密码。解除被锁定的帐户:域的“帐户策略”默认设定,如果用户输入密码失败多次,将会帐号锁定。帐号被锁后,管理员可以通过:右击用户帐号“属性”“帐户”去掉“帐号已锁定”前面的勾即可。移动帐户:如果要将帐户移动到同一个域内的其他OU内,则执行此命令,也可按住此帐户,将其拖放到新目的。我们有时需要为一个某个用户增
11、加一些详细的信息和配置以便以后的管理及查询。右击zhangsan用户选择“属性”如图2.29 2.30 2.31 2.32图2.29图2.30图2.31图2.32根据需要可以在用户登入系统是执行某些脚本等等,都可以在此属性里设置!建立组。当为某一个组设定权限以后,这个组内的所有用户都拥有此权限。故通过组来管理用户帐户,则能够减轻许多网络管理的负担。Windows server 2003域内的组可分为三类:A 通用组:它可以设定所有域的访问权限,以便访问每一个域内的资源。B 全局组:它主要用来组织用户,即可以将多个被赋予相同权限的用户加入到同一个全局组内。C 域本地组:域本地组主要用来指派在其域
12、内的访问权限,以便访问该域内的资源。建立组图2.33 2.34图2.33图2.34组的建立完成。下面我们看它的“属性”右击“技术一部”点“属性”如图2.35。图2.35在“常规”里我们可以我们可以对这个组进行说明描述。在“成员”里我们可以往此组里点击“添加”来添加用户。在“隶属于”里可以指明这个组隶属于哪一个Active directory文件夹。在“管理者”里我们可以描述这个组属于那个用户管理并说明这个用户的资料信息。2.4 Active directory的组策略什么是组策略组策略是一个管理用户工作环境的技术,通过策略可以确保用户拥有所需的工作环境,也可以限制用户,这样它不仅让用户拥有了适
13、当的工作环境,也减轻了系统管理员的管理负担。什么是组策略对象组策略是通过“组策略对象(GPO)”来设定的,只要将GPO连接到指定的站点、域或OU、该GPO内的设定值就会影响到该站点,域或OU内的所有用户于计算机。组策略有哪些用处帐户策略的设定:例如设定用户密码的长度、复杂度、使用的期限,帐号锁定策略等。本地策略的设定:例如审核策略的设定、用户权限的指派、安全性的设定。脚本设定:例如登陆/注销、启动/关机的脚本设定。用户工作环境的设定:例如设定用户的桌面,删除“开始”菜单中“运行”/“搜索”/“关机”等功能。软件的安装与删除:用户登陆或计算机启动时,自动的为用户安装应用软件、自动修复应用软件或自
14、动删除应用软件。限制软件的运行:通过各种不同软件限制的规则,来限制域用户只能运行某些软件。组策略中包含“计算机配置”与“用户配置”计算机配置:当启动计算机时,系统就会根据“计算机配置”的内容来配置计算机的环境。如针对域配置了组策略,那么此组策略内的“计算机配置”就会被应用到此域内的所有计算机。用户配置:当用户登陆时,系统会根据“用户配置”的内容来配置用户的工作环境。如针对“技术部”OU设定了组策略,那么此组策略内的“用户配置”就会被应用到此OU内的所有用户。2.4.1 组策略的具体配置计算机的配置下面我们针对域内的所有计算机做一个组策略,关闭“显示关闭事件跟踪程序”步骤如下:右击“”选择“属性
15、”选择“组策略”选项卡如图2.36图2.36选中“degault domain policy”点击“编辑”如图2.37 2.38图2.37图2.38计算机的配置已完成效果如图2.39图2.39下面我们针对域内的所有用户做一个组策略,删除“开始”里面的“帮助和支持”步骤如下右击“”选择“属性”选择“组策略”选项卡,如前图2.36所示。选中“degault domain policy”点击“编辑”如图2.40 2.41图2.40图2.41用户配置已经完毕,效果如图2.42图2.422.4.2 组策略的继承和处理的方法呵呵、在实际的工作中组策略的分发是有一定的方法和规律的。下面我们讨论一下的组策略的
16、继承和处理的方法。组策略的配置具有继承性,继承的规律如下:1、 当父容器的某个策略被配置,但它的子容器的策略没有被配置时,子容器的这个策略将继承父容器的配置值。2、 当子容器内的某个策略被配置时,此策略值就会覆盖由其父容器所传递下来的配置值。也就是系统处理GPO的顺序是站点GPO、域GPO、OU的GPO。3、 组策略的配置是累加的,如果在“技术部”OU内建立了GPO,同时在域也有GPO,则域与OU内的所有GPO配置值都会被累加起来,作为“技术部”的最后GPO有效配置。4、 当多个GPO链接到同一个OU时,所有GPO的配置将被累加起来,当这些GPO有冲突的时候,将以排在前面的GPO配置为优先。如
17、图2.43图2.43GPO”123”将优先于GPO”abc”5、 系统最先处理“计算机配置”,再处理“用户配置”,当两者的配置相冲突时,系统以“计算机配置”优先。6、 如果任何配置不想继承父容器的配置可以如图2.44图2.44勾选“组织策略继承”即可。7、 如果某个策略很重要,不想被子容器配置覆盖掉,我们可以通过父容器的GPO的“禁止替代”来强制必须继承。无论子容器是否设置了“阻止策略继承”。如图2.45图2.458、 默认位于容器内的用户与计算机,都对该容器的GPO有“读取”和“应用组策略”的权限。假如现在有这样的需求:技术部经理lisi不需要应用该容器的某个GPO。解决方法为选择GPO单击
18、“属性”“安全”选项卡,此时可看到一个Aauthenticated Users 表示所有经过身份确认的用户与计算机。单击“添加”,添入lisi 然后将lisi的“读取”和“应用组策略”设为“拒绝”就行,如图2.46图2.462.5 常用命令2.5.1 Gpresult 或者 gpresult /r 获取组策略结果适用场景:检查客户端电脑是是否加入域,加入了域以后获取的组策略结果。2.5.2 Gpupdate /force 强制更新组策略适用场景:每次在域服务器上面修改了组策略以后,如果需要策略立即生效的话,需要在域服务器上面和客户端电脑上面都执行上述命令。2.5.3 Gpmc.msc Serv
19、er 2008组策略管理适用场景:打开Server 2008组策略管理器,配置组策略。2.5.4 echo %logonserver% 显示客户端加入的域服务器适用场景:内网有多台域服务器,为了确定客户端电脑是加入了哪台域服务器,可以用下面的命名打印出域服务器的计算机名字,然后PING测试出来以后就知道是哪台服务器了。2.5.5 Eventvwr 事件管理器适用场景:打开时间管理器,查看系统日志。2.5.6 Rsop.msc 客户端PC获取的策略结果集适用场景:用于查看客户端PC获取的组策略的结果集,判断组策略是否下发、是否执行成功。2.5.7 WMI 测试器wbemtest适用场景:用户测试
20、客户提供的账号密码是否拥有通过WMI接口读取系统日志的权限。1、 开始运行cmdwbemtest2、 WMI测试工具3、 点击连接,输入域管理员的账号密码。4、 连接,此时若提示RPC服务器不可用,则关闭对应PC的防火墙,重试一次。5、 查询3 LDAP介绍和应用3.1 名词概念辨别名 (DN) :活动目录中的每一个对象都有一个唯一的辨别名,他标示了一个对象存在的路径,一个域中不存在两个完全相同的DN。域控制器(DC):在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。 组织单
21、元(OU):局域围网的域中,一个组织单元OU是把对象组织成逻辑管理组的容器,其中包括一个或多个对象,如用户账号、组、计算机、打印机、应用、文件共享或其他OU等。CN/UID:一个对象的名称3.2 基本结构3.3 LDAP Browser第二步:New-New Profile并填写Profile:Test第三步:填写好名称后第四步:填写Host和Base DN第五步:填写域账号和密码第六步:现在打开建立好的profile 我要找adidas中国上海公司的所有账号信息展开Test OU=CN OU=SHA 账号信息如下:第七步:展开后下面都是账号列表按地区展示的,可以按名称查看,右边显示电话,邮箱,职位等信息。3.4 认证过程深信服公司版权所有 第46页,共46页
黑公网安备:91230400333293403D