1、计算机网络技术基础实训报告专业班级 姓 名 学 号 课程名称 实验项目 域控制器的部署指导教师 日 期 成 绩 项目15实训:域控制器的部署一、实训目的1、了解域模式网络的功能2、掌握域控制器的安装方法3、掌握域模式网络中用户账户和计算机账户的管理方法二、实训环境每人一台Windows 7/8/10 物理机,并且在该物理机安装了1台Windows Server 2016 虚拟机,1台Windows 7/8/10 虚拟机。三、实训内容1、安装域控制器“Active Directory 域服务”安装完成后,需要对域控制器进行部署。单击“服务器管理器-仪表板”标题栏上的小旗子(通知),随后点击“将此
2、服务器提升为域控制器”,如图15-5所示。图15-5 提升为域控制器在图15-6中需要选择域控制器的类型:“将域控制器添加到现有域”、“将新域添加到现有林”和“添加新林”,它们的区别就在于如果安装的是域中的第一台域控制器,则选择“添加新林”;如果为了保证在任何时刻都有域控制器对网络用户进行验证,保证网络的正常工作,需要在网络中安装多个域控制器时,这时域中如果已经存在一个域控制器,就需要选择“将域控制器添加到现有域”。如果要将新的域控制器加入到已有的林中,则选择“将新域添加到现有林”。我们因为要部署一个全新的网络,在这里选择“添加新林”,并为新域指定一个根域的名称,“”,完毕后,单击“下一步”。
3、图15-6 选择域控制器类型在图15-7中设置目录服务还原模式密码(要求满足密码复杂度要求),单击“下一步”。图15-7 域控制器选项在随后的DNS选项中,如果当前网络中没有安装DNS服务器或者未启动DNS服务,可以不勾选“创建DNS委派”,将来在配置DNS服务器时进行。单击“下一步”。为新域指定一个NetBIOS名,NetBIOS名是为了网络中的DOS、Windows 9X、Windows Me等客户机加入域而使用的。如图15-8所示。图15-8 NetBIOS域名指定Active Directory数据库和日志文件保存的位置,为了安全起见,最好将Active数据库和日志文件分别保存到不同的
4、硬盘或计算机上。如图15-9所示,完成设定后,单击“下一步”。图15-9 数据库、日志文件和SYSVOL的位置系统会进行先决条件检查,以便保证域控制器的正常安装,出现的警告信息可以不予理会。单击“安装”即可。安装完毕后,系统会自动重新启动,重新启动完成后,代表计算机已经成为域控制器了。重新启动计算机的时间有点长,请耐心等待。2、用户和组的管理Active Directory 用户和计算机账号代表物理实体,诸如计算机或人。用户账号或计算机账号(以及组)称为安全主体。安全主体是自动分配安全标识符的目录对象。带安全标识符的对象可登录到网络并访问域资源。用户或计算机账号用于:验证用户或计算机的身份、授
5、权或拒绝访问域资源、管理其他安全主体、审计使用用户或计算机账号执行的操作。我们以下设置账号的工作都是在采用活动目录的环境中进行。1)建立用户账号前的准备工作在一个网络中,用户和计算机都是网络的主体,两者缺一不可。拥有计算机账号是计算机接入 Windows Server 2016 网络的基础,拥有用户账号是用户登录到网络并使用网络资源的基础,因此用户和计算机账号管理是 Windows Server 2016 网络管理中最必要且最经常的工作。一个有经验的网络管理员一定要注重对用户账号的统一规划。在网络中,每一个用户可能具有不同的职能,为了保证网上用户的相互识别和独立性,每一个用户都应有一个唯一的用
6、户账号,在这个用户账号中包含有用户名称、登录密码以及登录方法等各项信息。但是,这些具有不同职能的用户,其使用网络资源的权限有些可能相同,有些可能不同,所以,我们利用“组”(即:用户组)来分类管理这些用户账号,将具有相同资源权限的用户纳入同一个组来管理。正像每个用户有唯一的“用户账号”一样,每个组也有唯一的“组账号”。只要给某一个组进行了权限设置,这个组的所有成员就具有与组相同的属性,即可通过“组账号”间接地给“用户账号”赋予权限,这比对用户账号逐一赋予权限要方便得多,同时避免了管理上的混乱,同时也大大减轻了管理员的负担。因此,当组建规模较大(用户数较多)的网络时,很有必要对需要登录服务器的用户
7、账号进行分类管理和规划。建议先制作一个表格,将用户根据其在网络中享有权限的不同来分类归档,然后运用组的功能,分别管理这些用户账号。在Windows Server 2016网络中,如果采用活动目录,那么可以直接在域的“users”组织单位中设置全域的用户账号。但为了管理和查找的方便,最好首先建立域的其他组织单位(如“电子与通信系”、“软件与大数据系”等),然后在对应的组织单位中再去建立用户账号和计算机账号。以便于将来对用户账号和计算机账号的各种操作。2)新建用户账号当有新的用户需使用网络上的资源时,作为网络管理员必须在域控制器中为其添加一个相应的用户账号,否则该用户无法访问域中的资源。另一方面,
8、当有新的客户计算机要加入到域中时,作为管理员的用户必须在域控制器中为其创建一个计算机账号,以便它有资格成为域成员。当成功创建一个用户账号后,Windows Server 2016 Server会随机自动分配一个SID(Security Identifier,安全识别码)给该用户账号。用户账号的SID同时具有唯一性和永久性。即在同一网络中,SID不可能重复,即使用户账号已被删除,其SID仍然会被永久保留;如果账号删除后又建立了一个同名账户,由于SID的不同,新建的账户也不可能拥有与以前同名账户的权限。以下将分步介绍用户账号的建立过程。(1)选择“开始”“Windows 管理工具”“Active
9、Directory管理中心”,打开“Active Directory管理中心”窗口,如图15-10所示。图15-10 Active Directory 管理中心(2)为了便于管理,我们先建立一个“电子与通信系”的组织单位,在图15-10中右单击“SDCIT(本地)”,选择“新建”“组织单位”,如图开图15-11所示。图15-11 创建组织单位打开新创建的组织单位“电子与通信系”,在右部的空白处单击鼠标的右键,选择“新建”“用户”(或单击右部的“新建”“用户”),将出现图15-12所示的对话框。在该对话框中,你可以按照提示输入新建账号的有关信息,包括用户的姓、名、英文缩写、姓名、用户UPN登录、
10、用户的注释信息等。注意:用户UPN登录不能超过20个字节(10个汉字),而且不能包含/:;|=,+?等字符。图15-12 用户属性在图15-12的对话框中设置的密码不要超过14个字符,原则上密码可以使用任意字符,不过不建议使用汉字。而且在使用英文字母做密码时,应注意Windows网络对密码的验证处理是大小写敏感的。这一点一定要注意,否则从客户机登录时,会出现密码不正确的提示。在Windows Server 2016 中,为了保证网络的安全性,强制用户在设置密码时必须满足密码复杂度的要求:不能包含用户的账户名,不能包含用户姓名中超过两个连续字符的部分;至少有六个字符长;包含以下四类字符中的三类字
11、符:英文大写字母(A 到 Z);英文小写字母(a 到 z);10 个基本数字(0 到 9);非字母字符(例如:!、$、#、%);如果选择了“用户下次登录时须更改密码”项,系统将会强迫用户在第一次登录时更改密码,否则无法登录。针对很多安全意识不强而使用缺省密码的用户,这是保证用户账号安全的必要措施。如果是创建供多人使用的公用账号,应选择“用户不能更改密码”项,否则任何一个用户更改了密码后,都将会使其他用户无法使用该账号登录。当“密码永不过期”一项被选定后,密码将永久有效。如用户账号暂时不用,可选择“账户已禁用”一项,以防止其他用户利用此账号登录。设置完毕后,单击“确定”,返回“Active Di
12、rectory管理中心”,即可创建了一个用户账号。3)管理用户账号(1)限制用户登录的时间凭借新建成的账号的缺省设置,用户可以在任何时间访问Windows Server 2016服务器。但在实际的应用中,有时需对用户访问网络服务器的时间进行限制。例如,许多单位为了禁止用户在下班后访问服务器,对用户账号设置了登录时间限制。这样,在下班后,用户(当然更主要针对盗用别人账号的非法用户)将无法登录,这有利于网络系统的安全管理。具体设置方法是:1、在图15-10中右单击已经创建的用户账号,选择“属性”(或选中已有账号,在右部单击“属性”)。在图15-12中点击“登录小时.”。2、在创建新用户的图15-1
13、2中点击“登录小时.”。出现图15-13所示的“登录时段”对话框。对话框中蓝色的方格表示允许该用户使用的时间,该方格表示以小时为单位,一个方格代表一小时。蓝色表示允许登录,白色表示不允许登录。在缺省状况下,所有方块均为蓝色,即全天24小时都可登录到Windows Server 2016服务器。如要设置在某一时间段内不允许用户访问服务器时,只要用鼠标选中要限制的时段(按住鼠标左键,从起始时间格拖至结束时间格),再单击“拒绝登录”按钮(此时所选时段应全部变为白色),即可限制该用户账号在该时段内不能登录;若选择某时间段后,单击“允许登录”按钮,则该时间段允许用户登录。在下图中表示的是用户wangli
14、zheng能够登录网络的时间是周一到周五的8:00到18:00,在其他时间段被禁止登录网络。需要特别指出的是,用户账号登录时段的改变要在该用户下次登录时才生效,并不能实时地终止已登录到Windows Server 2016服务器用户的网络连接。因此网络系统管理员应该在用户当日用户第一次登录之前,完成对其账号登录时段的修改。图15-13 登录小时数(2)限制用户的登录地点一个新用户建成后,系统默许他可以在任何一台工作站上登录,但是为了保证网络以及资源的安全性,必要时你可以设置让其从指定的工作站登录。例如银行的柜台终端,由于其操作员位置一般不允许随意移动,因此将其锁定到只能从特定终端登录就显得非常
15、重要;而像部门主管之类的对业务拥有较高权限、工作地点范围又相对固定的用户,可以将其登录地点分别设置到该部门主管所辖的电脑终端上,为各部门主管协同工作提供便利;而系统管理员(Administrator)由于其工作的特殊性,要求他必须能在任何时候、从任何位置对整个网络进行访问、管理,因此,限制系统管理员登录地点的设置是不明智的。用户登录地点的设置方法与设置用户登录时间的方法类似,在图15-12“用户账户属性”对话框中的单击“登录到”按钮,此时出现图15-14所示的“登录到”对话框。这两行提示信息意义为“所有计算机”登录和“下列计算机”登录。当选择了用户从指定的计算机登录时,只要将代表该计算机的计算
16、机名称(可以是计算机的NetBIOS名称或DNS名称)输入后单击“添加”即可(切记计算机名称前不能出现斜杠符“”),每输入一个计算机名称后单击“添加”按钮,全部完成后单击“确定”按钮。如果禁止用户从某台计算机登录网络,选中该计算机,单击“删除”即可。图15-14 登录到(3)设置用户账号信息在图15-12中可以对所选定的用户账号进行有效期限和账号类型等信息的设置。对话框中“账户过期”下方的“从不”一项,表示该用户账号除非被网络管理员删除,否则可被无限期使用;“账号过期”下面的“结束日期”并输入了限定时间后,该账号只在期限所规定的时间内有效,过了时间,该账号就自动失效。一般用于对一些临时账户的处
17、理,例如,学生在校期间可以正常使用校园网中的账户,学生毕业后账户就失效,这也是保障安全性的一种措施。为了保证安全性,用户不应该使用默认密码,所以密码选项为设置“用户下次登录时须更改密码”。对于公共账户,密码选项应该设置为“密码永不过期”“用户不能更改密码”以防任何一个人修改了密码,导致其他网络用户无法登录网络的情况。(4)修改用户账号在用户账号的使用中,可根据不同时间或不同环境的需要,对账号的属性进行必要的修改,Windows Server 2016 Server允许你一次修改一个或多个用户账号的属性。一次修改一个账号的属性。在图15-12中双击要修改账号的用户名,执行类似新建用户账号的操作,
18、修改有关账号的属性。(5)用户账号的删除当某些账号不再使用时,出于对系统安全的考虑,应及时将其从域中删除。操作中可右单击选中的账户,对所选定的一个或多个账号进行删除。一个用户账号被删除后,如果再建立一个同名的账号,该账号不会继承前一个被删除账号的属性和权限,这是因为Windows Server 2016会给不同时期建立的每一个账号分配一个固定的SID。4)创建计算机账号每个加入Windows Server 2016域的Windows Server 2016 和其他计算机都具有计算机账号,否者无法进行域连接,实现域资源的访问。与用户账号类似,计算机账号也提供验证和审核计算机登录到网络以及访问域资
19、源的方法。不过,一个计算机系统要加入到域中,只能使用一个计算机账号,而一个用户可拥有多个用户账号,且可在不同的计算机(指已经连接到域中的计算机)上使用自己的用户账号进行网络登录。在图15-10 Active Directory 管理中心的“Computers”上单击鼠标的右键,选择“新建”“计算机”,将出现图15-15所示的对话框。图15-15 计算机账户在图15-15中输入计算机的名称然后单击“确定”即可。需要注意的是,建立的计算机账号在整个域中必须是惟一的。关于计算机账号的删除、更名等操作,与用户账号的操作相同。5)组与组织单位组是Windows Server 2016从Windows N
20、T系统继承下来的安全管理形式,它是指活动目录或本地计算机对象,包含用户、联系人、计算机和其他组等。在Windows Server 2016网络中,组可以用来管理用户和计算机对网络资源的访问,例如活动目录对象及其属性、网络共享、文件、目录、打印机队列。使用组,主要是为了方便管理访问目的和权限相同的一系列用户和计算机账号。网络管理员在赋予用户或计算机账号权限时,如果它们的权限各不相同,必须分别为它们设置;但是,如果它们的权限相同,还要分别进行设置,就多做了许多重复性工作。有了组的概念之后,就可以将这些具有相同权限的用户或计算机划归到一个组中,使这些用户成为该组的成员,然后通过赋予该组权限来使这些用
21、户或计算机都具有了相同的权限,这就大大减轻了作为管理员的用户的账号管理工作。组织单位(Organizational Unit,简称OU)是域中包含的一类目录对象,它包括域中一些用户、计算机和组、文件与打印机等资源。不过,组织单位不能包含其他域中的对象。由于目录服务可以把域详细地划分成多个组织单位,且组织单位中还可以再划分下级组织单位,因此组织单位的分层结构主要用来建立域的分层结构模型,使网络结构看起来更清晰。组织单位具有继承性,子组织单位能够继承父组织单位的访问许可权。网络管理员可使用组织单位来创建管理模型。而且,网络管理员可授予用户对域中所有组织单位或单个组织单位的管理权限。注意:组和组织单
22、位有很大的不同。组主要用于权限设置,而组织单位则主要用于网络结构的管理;另外,组织单位只表示单个域中的对象集合(可包括组对象),而组可以包含用户、计算机、本地服务器上的共享资源。虽然系统提供了许多内置组用于权限和安全设置,但是它们并不能满足特殊安全和灵活性的需要。所以,要想很好的管理用户账号和计算机账号,必须根据网络情况创建一些新组。新组创建之后,就可以像使用内置组一样使用它们,赋予权限和进行组成员的添加。另外,在域中合理地添加和安排组织单位,不但方便了管理员对域中账号和组的管理,而且还有利于网络的扩展。要创建新组,在控制台目录树中,展开域节点。右单击要进行组创建的组织单位或容器,从弹出的快捷
23、菜单中选择“新建”“组”,打开如图15-16所示的“创建 组:”对话框,在“组名”文本框中输入要创建的组名。在“组范围”选项区域中,通过单选按钮来选择组的作用域;在“组类型”选项区域中,通过选择单选按钮来选择新组的类型。单击“确定”按钮即完成组的创建。图15-16 创建组一个新组被创建好之后,系统并没有设置该组常规属性和权限,也没有为其指定组成员,该组几乎不发挥任何作用。如果要充分发挥组对用户和计算机账号的管理作用,用户必须设置该组的属性。要设置组属性,可参照下面的步骤。(1)右单击要添加成员的组,从弹出的快捷菜单中选择“属性”或双击需要添加成员的组,打开该组的属性对话框。(2)为了便于管理,
24、在“描述”和“注释”文本框中分别输入有关该组的描述和注释;如果要修改组名称,输入新的组名称;为了便于组管理员同组成员交换信息,在“电子邮件”文本框中输入组管理员的电子邮件地址。(3)在“成员”选项单击“添加”,如图15-17所示。要添加成员,单击“添加”按钮,打开“选择用户联系人或计算机”对话框选择要添加的成员。要删除组成员,在“成员”列表框中选择要删除的组成员,然后单击“删除”按钮即可。图15-17 添加组成员(4)因为用户主要是通过向新组添加内置组来设置新组的权限的,所以要设置组权限,在图15-18组属性对话框的“扩展”部分中单击“添加”按钮,打开“选择组”对话框,为自己创建的组选择内置组
25、。要删除某个组权限,在“成员属于”列表框中选择该组,然后单击“删除”按钮即可。关于内置组的权限设置,只需要勾选“允许”或“拒绝”相关权限即可。图15-18 组属性(5)要设置组的管理者,在“管理者”部分单击“编辑”按钮,打开“选择用户或联系人”对话框为该组选择管理者;如果要清除管理人对组的管理,单击“清除”按钮即可。(6)属性设置完毕,单击“确定”按钮保存设置并关闭属性对话框。一个组可以加入另外的组,方法是:右单击要组名,选择“添加到其他组”,然后加入到目标组中即可。另外,当一个用户组不再有使用价值时,可将其从域中删除。要删除一个失效的组,右单击要删除的组名,然后选择“删除”便可完成。不过请放
26、心,当一个组被删除以后,仅仅是把这个组从域中取消了,而组中的所有用户账号和其他的组并不受影响。要创建组织单位,在控制台目录树中,展开域节点。右单击域节点或者可添加组织单位的节点,从弹出的快捷菜单中选择“组织单位”命令,打开“创建组织单位”对话框,在“名称”文本框中输入新创建组织单位的名称,然后单击“确定”按钮即完成组织单位的创建。当用户的活动目录中的组和组织单位因太多而影响了对用户和计算机账号的管理时,网络管理员可对创建的组和组织单位进行清理。例如,当目录中有长期不使用的组或者是不符合网络安全的组,可将其删除。当域中的某个组织单位中所包含的用户、计算机、联系人和组织单位等已经被删除或因为其他原因而不再发挥作用时,也可将其删除。不过,管理员只能删除自己创建的组和组织单位,而不能删除由系统提供的内置组和组织单位。要删除组和组织单位,在“Active Directory管理中心”中,打开域节点。右单击要删除的组或组织单位所在的组织单位,使详细资料窗格中列出该组织单位的内容。从弹出的快捷菜单中选择“删除”命令,这时系统会打开信息确认框,单击“是”按钮即可完成组或组织单位的删除。五、实训总结总结的内容为:你在本实训中遇到了哪些问题,你是如何解决这些问题的。第10页