服务器权限管理和域环境的实现

null服务器权限管理和域环境的实现服务器权限管理和域环境的实现——基于Windows Server 2003服务器权限管理和域环境的实现服务器权限管理和域环境的实现【实验目的】 掌握Windows Server 2003用户的权限管理 掌握Windows Server 2003活动目录的安装与部署。 掌握域中用户的管理方法。 【实验环境】 Windows Server 2003服务器一台，Windows XP客户端一台。 【实验内容】一、服务器权限管理一、服务器权限管理1、用户和用户组管理 Windows Server 2003是一个多用户的操作系统，用户的管理对于服务器的安全来说尤为重要。 用户 组：为简化用户管理而存在的。 2、文件夹管理 NTFS分区的权限设置 为了确保用户能够按照所希望的进行操作，并减少破坏行为的发生，NTFS的权限设置至关重要。NTFS分区是Windows Server 2003推荐的系统分区格式，它比FAT32分区有更好的性能和更高的安全性。null图1 文件和文件夹的“安全”选项卡 完全控制：指用户对该对象具有所有的权限，包括下面列出的所有权限和夺取该文件夹所有者的权限。 修改：具有“完全控制”中除夺取所有权以外的权限。 读取及运行：能查看该文件以及子文件夹下的内容，能执行文件，如EXE文件等。此权限也包括了“列出文件夹目录”和“读取”权限。null 列出文件夹目录：只能浏览该文件夹以及子文件夹下的内容，但不能查看文件具体内容，当然也无法复制。 读取：能查看文件内容。 写入：能新建文件或文件夹，如果只具有此权限，其结果是用户可以在此文件下添加内容，但无法浏览此文件夹下的内容，更无法查看文件的具体内容。 相关问题 （1）本机管理员属于“Users”组，如果清除“Users”组的“读取和运行”权限，管理员还能否读取和运行该文件夹中的文件？ （2）取消或拒绝“Users”组的允许“读取和运行”权限，两者有何区别？ null上机操作 在虚拟机1中新添加一个用户friend，新建一个文件夹（C:\test），并熟悉如何限制该用户对此文件夹的操作权限。 思考： 如果别人要临时借用自己的计算机，可计算机上有一些重要资料担心被删除，有些隐私文件担心被看见，但又不得不借，有什么两全其美的方法？ null3、配置共享 默认情况下所有用户都能读取共享文件夹，如果限制一些用户从网络上访问该文件夹或者允许一部分人有更高的权限，则需要额外设置。 设置共享 设置权限 上机操作 把test文件夹设为共享，并将此文件夹权限设置为：只有管理员组的用户能完全控制该共享文件夹，除friend以外的用户都可以读取此共享文件夹。 测试1：在虚拟机2上，单击“开始”→“运行”命令，输入“\\IP地址\test”，提示输入用户名和密码，以friend账号登录，能否查看共享文件？为什么？null测试2： 在虚拟机1中建立一个普通账号，如“user1”。 在虚拟机2的DOS窗口中输入“net use * /delete”删除测试1中建立的连接。再单击“开始”→“运行”命令，输入“\\IP地址\test”，提示输入用户名和密码，以虚拟机上的user1登录，是否查看共享资源？如果能打开共享文件夹，右键选择“新建”——“文件夹”，能否创建成功？为什么？ 测试3： 删除测试2中的建立的连接，用administrator账号登陆，再次尝试新建文件夹，这时能否成功创建？二、实现WINDOWS SERVER 2003域环境二、实现WINDOWS SERVER 2003域环境1、活动目录的安装与部署 活动目录概述 目录是存储网络上对象信息的层次结构，活动目录存储了有关用户账户的信息，如名称、密码和电话号码等，并允许相同网络上的其他已经授权的用户访问该信息。 Active Directory目录服务可以安装在运行Windows Server 2003系统的服务器上。活动目录存储有关网络上的对象信息，并使管理员和用户方便的查找和使用这种信息。null通过登录验证及目录中对象的访问控制，可将安全性集成到活动目录中。通过一次网络登录，管理员可管理整个网络中的目录数据和单位，而且获得授权的网络用户可以访问网络上任何地方的资源。 在域环境中服务器的角色 在域环境中用作服务器的计算机可以是成员服务器或域控制器，而在不同域环境中的服务器是独立服务器。 活动目录的逻辑结构 活动目录的逻辑结构非常灵活，它为活动目录提供了完全的树状层次结构视图，如图6所示。逻辑结构和名称空间有直接的关系。逻辑结构为用户和管理员的查找、定位对象提供了极大的方便。活动目录中的逻辑单元包括域、组织单元（OU）、域树和域森林。 nullnull（1）域 域既是Windows网络系统的逻辑组织单元，也是Internet的逻辑组织单元；在Windows Server 2003系统中，域是安全边界。域管理员只能管理域的内部，除非其他域显式的赋予其管理员权限，才能够访问或管理其他的域。每个域都有其安全策略及与其他域的安全信任关系。 （2）组织单元（OU） OU是一个容器对象，可以把域中的对象组织成逻辑组，所有（OU）纯粹是一个逻辑概念，可以帮助简化管理工作。OU可以包括各种对象，如用户账户、用户组、计算机和打印机，甚至可以包括其他OU，如图所示。 nullnull（3）树 当多个域通过信任关系连接起来之后，所有的域共享公共的架构、配置和全局目录，从而形成域树。域树由多个域组成，这些域共享同一个结构和配置，形成一个连续的名字空间；树中的域通过信任关系相互连接，如图所示。活动目录包括一个或者多个树。null（4）森林 域森林是指一个或多个没有形成连续名字空间的域树。nullDNS在活动目录中的应用 活动目录中最基本的单位是域，通过父域和子域的模式将域组织起来形成树，其组织结构同DNS系统相类似。那么在活动目录中，依赖于DNS作为定位服务，实现将名称解析为IP地址。 安装DNS服务 安装活动目录 上机操作：将客户机加入到域环境中 在虚拟机1（域控制器、DNS服务器）上完成DNS服务和活动目录的安装 以本地管理员账户登录到虚拟机2（客户机）上，将其“首选DNS服务器”设置为DNS服务器的IP地址。 null右键“我的电脑”，单击“属性”，在“计算机名”选项卡中，可看到该计算机目前是加入到工作组“WORKGROUP”中的。单击“更改”，在“隶属于”区域中选择“域”选项，输入需要加入的域名。 出现“计算机名称更改”对话框，验证是否有权限加入该域，这时可使用域管理员账户和密码通过身份验证。 身份验证成功后，显示该计算机已经加入到该域中。 2、在活动目录中应用组策略 组策略简介 组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。null使用组策略可以为用户或计算机组定义自动的配置，包括许多基于注册表的设置、软件安装选项、登录和注销脚本、文件夹重定向、远程安装服务、Internet浏览器维护，以及很多的安全设置。 组策略配置选项 （1）计算机配置 GPO的这个部分包括针对相关Active Driectory容器中的计算机的设置。这些设置影响到计算机上的所有用户。 软件设置：该结点包含了安装软件，其中还包含了应用到计算机的软件设置，而不论是哪个用户登录到该计算机都会应用相同的设置。该文件夹中可能还会包含部署组策略过程中软件包的设置。 nullWindows设置：计算机配置的“windows设置”是针对目标计算机的所有用户。该结点有两个扩展：“安全设置”和“脚本”。 管理模板：可以集中配置客户端的注册表。该扩展是组策略中基于注册表的管理模板，可以获得大约700个不同的设置。 （2）用户配置 GPO这部分包括针对相关Active Driectory容器中的用户的设置。用户配置中每个可以配置的项多数与“计算机配置”相似。 null上机操作：Active Driectory中软件的分发 准备安装文件 使用组策略部署软件分发的第一步是获取ZAP或MSI为扩展名的安装文件包。MSI安装文件包是微软专门为软件部署而开发的。有些软件程序直接提供这两个文件，有些不提供。 分发软件 （1）建立分发点。要发布或指派计算机程序，必须在发布服务器上创建一个分发点。把安装文件所在的文件夹创建为一个共享网络文件夹，并对该共享设置权限以允许特定的OU才能访问此分发程序。 null（2）编辑组策略。在“Active Driectory用户和计算机”管理单元中，右键单击“xingjian.com”，在快捷菜单中选择属性，单击“组策略”选项卡，单击“编辑”按钮，打开组策略编辑窗口。 （3）指派/分发程序包。右键单击“软件安装”，在快捷菜单中选择“新建”→“程序包”，如图1所示。打开OICQ2008Spring.msi文件，这里一定填入网络路径，因为分发的用户要能从网络路径访问到这个文件。 （4）客户端软件安装。开启虚拟机2，屏幕提示正在安装经过管理的软件OICQ2008Spring。 null使用软件限制策略 假设有多个人同时使用一台计算机，如何控制指定用户不能运行特定的应用程序？