一.本地用户和组
Windows Server2008本地用户与组:
用户:就是包含用户名、密码、权限以及说明。
用户组:具有相同性质的用户归结在一起,统一授权,组成用户组。
用户组分类:全局组、本地组、特殊组。
各组名及其权限:
活动目录:
是指网络资源信息的目录,是一个数据库,如用户、计算机、进程、应用程序等。有了
活动目录,才能登陆域,进而访问网络资源。
网络中计算机逻辑组织的两种模式:
工作组模式:每台计算机都拥有自己的本地安全账户管理数据库SAM
域模式:用户信息存储在域控制器,可以在域中漫游,访问域中任意一台服务器上的资源
活动目录的结构:
活动目录的逻辑结构非常灵活,它为活动目录提供了完全的树状层次结构视图,逻辑结构为用户和管理员查找、定位对象提供了极大的方便。活动目录中的逻辑单元包括:域、组织单元(Organizational Unit,简称OU)、域树、域森林。
上图,各逻辑单元已经清晰明了,下面详细介绍一下:
1、域(Domain)
域既是Windows网络系统的逻辑组织单元,也是Internet的逻辑组织单元,在Windows 2000系统中,域是安全边界。域管理员只能管理域的内部,除非其他的域显式地赋予他管理权限,他才能够访问或者管理其他的域。每个域都有自己的安全策略,以及它与其他域的安全信任关系。
2、OU(Organizational Unit)
OU是一个容器对象,我们可以把域中的对象组织成逻辑组,所以OU纯粹是一个逻辑概念,它可以帮助我们简化管理工作。OU可以包含各种对象,比如用户账户、用户组、计算机、打印机,甚至可以包括其他的OU。所以我们可以利用OU把域中的对象形成一个完全逻辑上的层次结构,对于一个企业来讲,我们可以按部门把所有的用户和设备组成一个OU层次结构,也可以按地理位置形成层次结构,还可以按功能和权限分成多个OU层次结构。由于OU层次结构局限于域的内部,所以一个域中的OU层次结构与另一个域中的OU层次结构完全独立。
3、树
当多个域通过信任关系连接起来之后,所有的域共享公共的表结构(schema) 、配置和全局目录(global catalog),从而形成域树。域树由多个域组成,这些域共享同一个表结构和配置,形成一个连续的名字空间。树中的域通过信任关系连接起来。活动目录包含一个或多个域树。
4、森林
域森林是指一个或多个没有形成连续名字空间的域树。域林中的所有域树共享同一个表结构、配置和全局目录。域林中的所有域树通过Kerberos信任关系建立起来,所以每个域树都知道Kerberos信任关系,不同域树可以交叉引用其他域树中的对象。
活动目录的工作组:
1.全局组:来自本域,用于全林:单域用户访问多域资源(必须是一个域里面的用户)
全局组的成员可包括其所在域中的其他组和账户,而且可在林中的任何域中指派权限;
全局组只能在创建该全局组的域上进行添加用户账户和全局组,但全局组可以嵌套在其他中。可以将某个全局组添加到同一个域上的另一个全局组中,或添加到其他域的通用组和域本地组中(注意这里不能它加入到不同域的全局组中,全局组只能在创建它的域中添加用户和组)。虽然可以利用全局组授予访问任何域上的资源的权限,但一般不直接用它来进行权限管理。
2.域本地组:来自全林,用于本地:多域用户访问单域资源(访问同一个域)
域本地组的成员可包括Windows Server2003、Windows 2000或WindowsNT域中的其他组和账户,而且只能在其所在域内指派权限。
域本地组可以从任何域添加用户账户、通用组和全局组。域本地组不能嵌套于其他组中。它主要是用于授予位于本域资源的访问权限。
3.通用组:来自全林,用于全林: 多域用户访问多域资源
通用组的成员可包括域树或林中任何域的其他组和账户,而且可在该域树或林中的任何域中指派权限;当域功能级别设置为Windows2000混合模式时,不能创建具有通用组的安全组。
通用组是集合了上面两种组的优点,即可以从任何域中添加用户和组,可以嵌套于其他域组中。
注:本地域组的权利是自身的,全局域的权利是来自其属于的本地域组的。
打个比方,现在有两个域domainA,domainB,用户UseA,UseB. 在DomainA上有一个文件夹Resource.UseB属于domainB,UseB想访问Resource.
这个时候就应该先在domainB上建一个全局组GlobalB,然后将UseB加入GlobalB,然后到Domain域中建立一个域本地组LocalA,将全局组GlobalB加入域本地组LocalA,再针对域本地组LocalA授权对Resource的访问权限。
为了使一个用户可以访问其他域中的资源,可以使用下面的组策略:
●A-G-DL-P策略;
●A-G-G-DLP策略;
●A-G-U-DL-P策略;
这里,A 表示用户账号,G 表示全局组,U 表示通用组,DL 表示域本地组,P 表示资源访问权限(Permission)。这里着重介绍A-G-DL-P
A-G-DL-P
A-G-DL-P策略是将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。
比如: 有两个域,A和B,A中的5个财务人员和B中的3个财务人员都需要访问B中的“FINA”文件夹。这时,可以在B中建一个DL,因为DL的成员可以来自所有的域,然后把这8个人都加入这个DL,并把FINA的访问权赋给DL。这样做的坏处是什么呢?因为DL是在B域中,所以管理权也在B域,如果A域中的5个人变成6个人,那只能A域管理员通知B域管理员,将DL的成员做一下修改,B域的管理员太累了。
这时候,我们改变一下,在A和B域中都各建立一个全局组(G),然后在B域中建立一个DL,把这两个G都加入B域中的DL中,然后把FINA的访问权赋给DL。哈哈,这下两个G组都有权访问FINA文件夹了,是吗?组嵌套造成权限继承嘛!这时候,两个G分布在A和B域中,也就是A和B的管理员都可以自己管理自己的G啦,只要把那5个人和3个人加入G中,就可以了!以后有任何修改,都可以自己做了,不用麻烦B域的管理员!这就是A-G-DL-P。
活动目录必须安装在NTFS分区,同时必须安装DNS服务器
命令安装:开始一运行-dcpromo.exe命令,启动安装向导
图形化安装:管理服务器一添加服务器角色
远程桌面服务:
远程桌面协议 RDP,基于TCP 3389
windows默认可以使用远程桌面服务,但只能2人使用,必须为Administrators或RmoteDesktop users才能登陆,安装远程桌面服务,可以突破此限制
图形化远程桌面连接:开始-所有程序-附件-远程桌面连接 命令快捷键: mstsc
RD:远程桌面 有6个组件:
①远程桌面会话主机,RD的服务端。
②远程桌面Web访问,提供通过Web浏览器或者APP访问。
③远程桌面授权,给RD客户端颁发许可证。
④远程桌面网关,可以给RD客户机通过外网连接
⑤远程桌面连接代理,支持连接APP程序或虚抢机。
⑥远程桌面虚拟化主机,集成了Hyper-V。
微软管理控制台MMC:
它本身不执行管理功能,是用来处理各种管理工具的用户接口,但可以集成许多管理工具以方便管理。
•MMC管理控制台集成了用来管理网络、计算机、服务的管理工具
•可以用来管理硬件、软件和windows系统的网络组建
•MMC相当于一个工具箱,可以在里面自由放各类管理工具
例题:
在windows server 2003环境中有本地用户和域用户两种用户,其中本地用户信息存储在(46)
A.本地计算机SAM数据库 B本地计算机的活动目录
C.域控制器的活动目录 D.域控制器的SAM数据库中
答案:A
SAM(Security Accounts Manager安全帐户管理器) 存储本地用户信息
存储位置 C:\windows\system32\config
如果问域用户数据存储位置,选C
在windows系统中,系统权限最低的用户组是(40)
A. everyone B. administrators C. power users D. users
答案:A
权限顺序由高到低: administrator>power users>users>everyone
1050
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
