ad03发布对象 委派控制 信任关系.ppt

上节内容回顾 掌握域用户帐户的创建和基本管理。 掌握域组帐户的创建和基本管理。 能够提升域功能级别 了解组的使用规则，理解组的嵌套 本章内容 介绍发布资源 发布打印机 发布共享文件夹 委派管理 介绍发布资源 发布资源: 1、发布资源可以确定资源的位置，即使资源的物理位置发 生变化。 2、将很少改动的信息出版到AD中 3、用户经常访问的信息应出版到AD中 4、打印机，共享文件夹应出版到AD中 发布打印机 管理打印机发布 手工发布打印机 管理发布的打印机 发布共享文件夹 比较发布的对象与共享的资源 比较发布的对象与共享的资源 委派管理控制概述 活动目录对象安全 活动目录对象的访问控制 活动目录对象的委派管理控制 活动目录对象安全 活动目录安全组成 委派和系统访问控制列表 访问控制接口 继承 怎样授权访问资源 活动目录安全组成 委派和系统访问控制列表 Access Control Entries 继承 控制继承许可 设置 Active Directory许可 对象的所有者 改变对象的所有者 Ownership Changes When: 具有完全控制的人员，可以将修改所有权的权 限委派给其他用户。 管理组的成员都拥有对象所有权 委派活动目录对象的管理控制 委派管理控制概述 使用委派控制向导 委派管理控制 委派管理控制概述 授权管理意义： 改变特殊容器的属性 建立和删除OU中的具体对象 更新OU中具体对象的某种属性 使用委派控制向导 委派管理控制 Lab :委派管理控制 委派管理控制 1、建个OU1 2、建三个帐号，A1，A2，A3 3、分别以A1，A2，A3登录，查看他们有什么权限 3、将在OU1中创建，修改，删除帐号的权限授于A1 4、导向》直接选择就可以 5、将在整个域中修改密码的权限授予A2 6、导向》自定义》只用于这个文件夹》用户对 象》修改密码 本章目标 创建域树、域森林、额外域控制器 理解域之间的信任关系。单向，双向信任关系 理解信任域和被信任域的意义 熟悉跨域访问资源的流程 能够独立的建立快捷方式、林信任 了解外部信任和领域信任 掌握信任关系的管理和删除 创建子域 创建域林中的第二棵树 创建同一域中的第二台域控制器 信任关系基本概念 什么是“访问令牌”？ 当用户登录到某台计算机，在验证用户帐号和密码无误外系统会为该用户建立一个“访问令牌”(access token)，其包含该用户的SID和用户所属组的SID。用户拿到“访问令牌”后系统会根据令牌中的SID去决定用户对特定资源拥有哪些访问权限。 Windows server2003计算机内负责验证用户身份工作的服务是LSA(Local Security Authority) 验证用户身份的方法有 KerberosV5和NTLM NTLM NT?LAN?Manager的缩写。 在网络环境中，NTLM 用作身份验证协议以处理两台计算机（其中至少有一台计算机运行 Windows NT 4.0 或更早版本）之间的事务。具有此配置的网络称为“混合模式”，这是 Windows Server 2003 家族中的默认设置。 例如，以下配置将使用 NTLM 作为身份验证机制： Windows 2000 或 Windows?XP Professional 客户端向 Windows NT 4.0 的域控制器验证身份。 Windows NT 4.0 Workstation 客户端向 Windows 2000 或 Windows Server 2003 域控制器验证身份。 Windows NT 4.0 Workstation 客户端向 Windows NT 4.0 域控制器验证身份。 Windows NT 4.0 域中的用户向 Windows 2000 或运行 Windows Server 2003 家族的域验证身份。 运行向任何域控制器验证身份的 Windows 95、Windows 98 或 Windows Millennium Edition 的客户端。 另外，NTLM 是为没有加入到域中的计算机（如独立服务器和工作组）提供的身份验证协议。 Kerberos V5 希腊神话中守卫冥王大门的长有三头的看门狗。 Kerberos V5 中的一项重要服务是密钥分发中心 (KDC)。 KDC 作为 Active Directory 目录服务的一部分在每个域控制器上运行，它存储了所有客户端密码和其他帐户信息。 Kerberos V5 身份验证过程按如下方式工作： 1.客户端系统上的用户使用密码或智能卡向 KDC 进行身份验证。 2.KDC 向此客户端颁发一个特别的授权票证。客