域服务器的配置与应用
在Active Directory中发布资源

从资源共享的角度看,还需在Active Directory中发布资源,供用户搜索和使用。可发布的资源包括用户、计算机、打印机、共享文件夹和网络服务。当创建对象时,在默认情况下会自动发布一些常用的目录信息,如用户账户或计算机名称。其他目录信息,如共享文件夹、打印机等则必须手动发布。当然可通过设置访问控制权限,控制特定的用户和组能够搜索和查看发布的目录信息。例如,用户和计算机账户只有账户名称等常用信息可供一般用户访问,而账户安全信息则只有管理员才能看到。
1.发布共享文件夹
首先要在某台域成员计算机上创建共享文件夹,然后在域控制器上打开“Active Directory用户和计算机”控制台,右键单击要添加共享文件夹的域(或组织单位),在快捷菜单中选择【新建】>【共享文件夹】命令,在【新建对象-共享文件夹】对话框中设置共享文件夹名称和网络路径(UNC名称),如图7.11所示,最后根据需要为该共享文件夹设置用户访问权限,可以针对域用户来设置权限,默认本地Users组包括域Users组。
配置完毕,访问共享文件夹进行测试。
2.发布共享打印机
在Active Directory中发布共享打印机信息有两种情况。
由Windows Server 2003或Windows 2000域成员计算机提供的共享打印机,在创建共享打印机时将自动发布到目录中。管理员可根据需要决定是否将共享打印机发布到目录中。在打印服务器上打开共享打印机属性对话框,切换到【共享】选项卡,如图7.12所示。如果选中【列入目录】复选框,该打印机就会在目录中发布;如果清除该复选框,则不在目录中发布。
由Windows 2000以前版本(如Windows NT)计算机提供的共享打印机,需要使用“Active Directory 用户和计算机”控制台手动发布,右键单击要在其中发布打印机的容器对象文件夹,从快捷菜单中选择【新建】>【打印机】命令,在【新建对象-打印机】对话框中设置共享打印机的网络路径(UNC名称)。
3.发布服务
服务是指能使网络用户使用数据和操作的应用程序。在Active Directory中发布服务能使用户或管理员从网络以机器为中心的视图移动到以服务为中心的视图。通过发布服务而不是计算机或服务器,管理员可专注于管理服务,而不用考虑是哪台计算机在提供服务或计算机位于何处。某些服务(如证书服务)在安装时自动发布到Active Directory中。其他服务可使用编程接口发布到目录中。管理员可以使用“Active Directory站点和服务”控制台管理已发布的服务。
域服务器的配置和应用(二_职场 域服务器的配置和应用(二_域 服务器 配置_02
图7.11  发布共享文件夹 图7.12  发布共享打印机
查询和访问Active Directory对象
Active Directory存储了网络对象大量的相关信息,可供网络用户查询和访问。网络用户可使用在Active Directory中发布的有关用户、计算机、文件和打印机的目录信息,只是其可用性受控于查看信息的安全权限。有多种目录搜索工具和多种查询AD对象的方法。
1.使用“Active Directory用户和计算机”控制台查询AD对象
在域控制器上可直接使用“Active Directory用户和计算机”控制台,在其他域成员计算机上需要通过MMC来调用该控制台。这种方式可查找几乎所有的AD对象。通常以普通域用户身份登录到域执行AD对象查询任务。
在“Active Directory用户和计算机”控制台树中,如果要搜索整个域,可右键单击域节点,从快捷菜单中选择【查找】命令(如果要搜索某个组织单位,可右键单击该组织单位节点,从快捷菜单中选择【查找】命令),打开如图7.13所示的对话框,在【名称】框中键入要查找的用户名称,单击【开始查找】按钮。可使用部分搜索条件进行搜索。
可进一步限制查找对象和范围。如图7.14所示,从【查找】下拉列表中选择要查询的对象类型,从【范围】下拉列表中选择要查询的范围(整个目录、某域)。还可使用【高级】选项卡执行功能更强大的搜索。
域服务器的配置和应用(二_职场_03 域服务器的配置和应用(二_休闲_04
图7.13  使用AD用户和计算机控制台查询AD对象 图7.14  限制查找的AD对象和范围
2.通过“网上邻居”搜索AD对象
在Windows XP或Windows 2000域成员计算机上,可通过“网上邻居”来搜索AD中的用户、联系人、组、计算机、共享文件夹、打印机和组织单位等对象。
在Windows XP域成员计算机上打开“网上邻居”窗口,单击【网络任务】区域下面的【搜索Active Directory】链接,打开相应的对话框,如图7.15所示。可直接搜索用户、联系人和组。从【查找】下拉列表中选择要查询的对象类型,从【范围】下拉列表中选择要查询的范围(整个目录、某个特定域),如图7.16所示。还可切换到【高级】选项卡,设置更为复杂的搜索条件。
域服务器的配置和应用(二_职场_05 域服务器的配置和应用(二_域 服务器 配置_06
图7.15  在Windows XP中通过“网上邻居”查询AD对象 图7.16  限制查找的AD对象和范围
在Windows 2000域成员计算机上打开“网上邻居”窗口,双击【整个网络】图标,再双击【目录】图标,显示整个Active Directory目录,例中只有一个域,如图7.17所示,右键单击该域,从快捷菜单中选择【查找】命令,可打开【查找用户、联系人及组】对话框,执行AD对象查询,与Windows XP类似。如果直接双击该域,将展开该域的所有对象,如图7.18所示,该文件夹标题以“ntds://”打头,可根据需要双击要访问的Active Directory对象。
域服务器的配置和应用(二_域 服务器 配置_07 域服务器的配置和应用(二_职场_08
图7.17  通过“网上邻居”查询AD对象 图7.18  展开和浏览域对象
3.通过全局编录查找用户或打印机
全局编录(简称GC)是存储林中所有Active Directory对象的副本的域控制器。全局编录存储林中主持域的目录中所有对象的完全副本,以及林中所有其他域中所有对象的部分副本。在全局编录中存储所有域对象的最常搜索的属性,可以为用户提供高效的搜索。在林中的初始域控制器上,会自动创建全局编录。可以向其他域控制器添加全局编录功能,或者将全局编录的默认位置更改到另一个域控制器上。全局编录提供以下功能。
l     查找对象:允许用户在林中的所有域中搜索目录信息。
l     提供UPN验证:当执行验证的域控制器没有账户信息时,全局编录将解析用户UPN。
l     在多域环境中提供通用组成员身份信息。
l     验证林内的对象引用:域控制器使用全局编录验证对林内其他域的对象的引用。
全局编录允许用户在林中的所有域中搜索目录信息。最常用的就是从“开始”菜单中搜索用户或打印机。在Windows 2000域成员计算机(或安装了目录服务客户端的Windows 95/98/NT计算机)中,从【开始】>【搜索】菜单中选择【用户】或【打印机】命令,可打开相应的对话框(分别如图7.19和图7.20所示),查找用户或计算机目录信息。
域服务器的配置和应用(二_域 服务器 配置_09 域服务器的配置和应用(二_职场_10
图7.19  通过全局编录查找用户 图7.20  通过全局编录查找打印机
在Windows XP或Windows Server 2003域成员计算机中,从【开始】>【搜索】菜单打开【搜索】对话框,再单击【其他搜索选项】链接,再单击【打印机、计算机和用户】链接,最后选择【网络上的一个打印机】或【通讯簿中的用户】链接,打开相应的对话框,查找用户和计算机。
设置Active Directory对象访问控制权限
使用访问控制权限,可控制哪些用户和组能够访问AD对象以及访问对象的权限。每个AD对象都有一个访问控制列表(ACL),记录安全主体(用户、组、计算机)对对象的读取、写入和审核等访问权限。当然,不同的对象类型提供的访问权限项目也不一样。
域服务器的配置和应用(二_域 服务器 配置_11 提示:在Active Directory诸多对象中,只有安全主体能够被授予权限。安全主体是被自动指派了安全标识符(SID,可用于访问域资源)的目录对象,安全主体只包括用户账户、计算机账户以及组。用户账户或计算机账户的主要用途:① 验证用户或计算机的身份;② 授权或拒绝访问域资源;③ 管理其他安全主体;④ 审计使用用户或计算机账户执行的操作。
在Active Directory中,访问控制是通过为对象设置不同的访问级别或权限(如“完全访问”、“写入”、“读取”或“拒绝访问”),在对象级别进行管理的。Active Directory中的访问控制定义了不同的用户使用Active Directory对象的权限。默认情况下Active Directory 中对象的权限被设置为最安全的设置。管理员可根据需要为Active Directory对象设置访问权限。
域服务器的配置和应用(二_职场_12设置Active Directory对象访问控制权限
① 打开“Active Directory用户和计算机”控制台,从【查看】菜单中选中【高级功能】选项。
② 右键单击要设置权限的对象,从快捷菜单中选择【属性】命令,打开相应的对话框。
③ 切换到【安全】选项卡,列出当前的权限设置,单击【高级】按钮查看可用于该对象的所有权限项目,如图7.21所示。
④ 要给对象添加新权限,可单击【添加】按钮打开相应的对话框,指定要添加的组、计算机或用户的名称,然后单击【确定】按钮。
⑤ 如图7.22所示,在【对象】和【属性】选项卡中根据需要选中或清除【允许】或【拒绝】复选框。
要更改对象的现有权限,可单击某个权限项目,单击【编辑】按钮,在【对象】和【属性】选项卡上,相应地选中或清除【允许】或【拒绝】复选框。
要删除对象或属性的现有权限,应单击某个权限项目,然后单击【删除】按钮。
域服务器的配置和应用(二_域 服务器 配置_13 域服务器的配置和应用(二_域 服务器 配置_14
图7.21  查看对象的所有权限项目 图7.22  设置对象的权限
域服务器的配置和应用(二_域 服务器 配置_15 注意:应尽量避免为对象的某个属性分配权限,一般保持默认值即可。如果操作不当,可能造成无法访问AD对象的问题。
通过组策略集中控制和管理Windows网络
组策略(Group Policy)是基于Active Directory的一种系统管理技术,用来定义自动应用到网络中特定用户和计算机的默认设置,这些设置包括安全选项、软件安装、脚本文件设置、桌面外观和用户文件管理等。在基于Active Directory的Windows网络中,可通过组策略来实现用户和计算机的集中配置和管理。例如,管理员可为特定的域用户或计算机设置统一的安全策略;可在域中的每台计算机上自动安装某个软件,可为某个组织单位中的用户账户设置统一界面。
1.理解组策略
组策略设置存储在域控制器中,只能在Active Directory环境下使用,适用于组策略对象所作用的站点、域或组织单位中的用户和计算机。与AD组策略相对应的是本地组策略。本地组策略设置存储在所有运行Windows 2000/XP/2003的计算机上。一个本地组策略对象只能存在于一台计算机上,只能作用于该计算机及本地用户。如果与AD组策略的设置发生冲突,Active Directory组策略对象的设置将覆盖本地组策略对象的设置。如果不冲突,则两者都可以应用。
可以站点、域或组织单位为作用范围来定义不同层次的组策略对象,一旦定义了组策略对象,则该对象包含的规则将应用到相应作用范围的用户和计算机的设置。组策略对象的作用范围是由组策略对象链接(GPO Link)来设置的。任何组策略对象要想生效,必须链接到某个Active Directory对象(站点、域或组织单位)。
组策略既可以应用于用户,也可以应用于计算机。用户和计算机是接收策略的惟一Active Directory对象类型。组策略可提供针对用户和计算机的配置,相应地称为用户策略和计算机策略。对于用户配置来说,无论用户登录到哪台计算机,组策略中的用户配置设置都将应用于相应的用户。用户在登录计算机时获得用户策略。对于计算机配置来说,无论哪个用户登录到计算机,组策略中的计算机配置设置都将应用于相应的计算机。计算机启动时获得计算机策略。组策略不适用于Windows 9x/NT计算机,也不会影响未加入域的计算机和用户。
在Windows 2000/XP/2003域成员计算机中,组策略的执行顺序为:本地组策略对象→Active Directory站点→Active Directory域→Active Directory组织单位。在Active Directory层次结构的每一级组织单位中,可以链接一个、多个或不链接组策略对象。如果一个组织单位链接了多个组策略,则按照管理员指定的顺序同步处理。这意味着首先处理本地组策略对象,最后处理链接到计算机或用户直接上属组织单位的组策略对象,覆盖以前的组策略对象。
组策略可以继承。子容器继承父容器组策略,并且组策略的处理按站点、域和组织单位的顺序进行。这意味着如果将特定组策略分配给一个高级父容器,那么这个组策略将应用于该父容器下的所有容器,包括每个容器中的用户和计算机对象。但是,如果明确将组策略指定给一个子容器,那么子容器的组策略将替代父容器的组策略。
2.配置组策略对象
可以使用“Active Directory用户和计算机”或“Active Directory站点和服务”控制台来配置组策略,前者适合域或组织单位的组策略设置,后者适合站点的组策略设置。也可使用组策略对象编辑器MMC管理单元来配置组策略对象,这种方法适合编辑特定的组策略对象。这里以常用的“Active Directory用户和计算机”控制台为例讲解如何配置组策略对象。
域服务器的配置和应用(二_域 服务器 配置_16域服务器的配置和应用(二_职场_17编辑组策略对象
① 在“Active Directory用户和计算机”控制台树中,右键单击要设置组策略的域或组织单位(这里以域为例),从快捷菜单中选择【属性】命令,打开属性设置对话框。
② 切换到如图7.23所示的【组策略】选项卡,在组策略对象链接列表中已有一个默认的组策略对象。选中该对象,单击【编辑】按钮,打开要编辑的组策略对象。
③ 如图7.24所示,每个组策略对象包括计算机配置和用户配置两个部分,分别对应所谓的计算机策略和用户策略。设置相应的选项。例中设置账户策略。
域服务器的配置和应用(二_休闲_18 提示:无论是计算机配置,还是用户配置,通常包括软件设置、Windows设置和管理模板这3个子项(由于组策略可向它添加或删除管理单元扩展组件,因此子项的确切数目可能不同)。其中位于【计算机配置】>【Windows设置】节点下面的【安全设置】节点是经常要设置的选项,它允许管理员手动配置指派到组策略对象的安全级别,设置系统安全性。
④ 设置相应的组策略对象后,返回到【组策略】选项卡,再单击【确定】按钮。
域服务器的配置和应用(二_休闲_19 域服务器的配置和应用(二_职场_20
图7.23  【组策略】选项卡 图7.24  编辑组策略
新建和编辑组策略对象后,还要添加组策略对象链接,即将当前容器(域或组织单位)链接到已有的组策略对象。在【组策略】选项卡中单击【添加】按钮打开如图7.25所示的对话框,从现存于站点、域或组织单位的组策略对象中选择。
3.应用组策略
在计算机启动和用户登录时,组策略中的计算机策略和用户策略按下列顺序应用到计算机和用户。
(1)网络启动。
(2)获得组策略对象的有序列表。该列表可能取决于下列因素:
l     该计算机是否为域成员,并且是否因此通过Active Directory受组策略的控制;
l     计算机在Active Directory中的位置;
l     如果组策略对象列表没有更改,则不进行处理,可以使用策略设置更改该行为。
(3)计算机策略已得到应用。这些都是收集的列表中“计算机配置”下的设置。默认情况下这些操作将同步进行,顺序为本地、站点、域、组织单位、子组织单位等。处理计算机策略时不显示用户界面。
(4)启动脚本开始运行。在默认情况下这是隐藏的而且是同步进行的。每个脚本在下一个脚本开始执行之前要么必须完成,要么做超时处理。默认超时时间为600秒。用户可以使用多种策略设置更改该行为。
(5)用户按〖Ctrl〗+〖Alt〗+〖Del〗键登录。
(6)用户验证身份之后,将加载由当前生效的策略设置控制的用户配置文件。
(7)用户可获得组策略对象的有序列表。该列表可能取决于下列因素:
l     用户是否为域用户,而且是否因此通过Active Directory受组策略的控制;
l     用户在Active Directory中的位置;
l     如果要应用的组策略对象的列表没有更改,则不进行处理,可以使用策略设置更改该行为。
(8)用户策略已被应用。这些都是收集的列表中“用户配置”下的设置。默认情况下这些操作将同步进行,顺序为本地、站点、域、组织单位、子组织单位等。处理用户策略时不显示用户界面。
(9)登录脚本开始运行。与Windows NT 4.0脚本不同,基于组策略的登录脚本在默认情况下是隐藏并且异步运行的。用户对象脚本(在Windows NT 4.0中以正常窗口运行)最后运行。
(10)显示由组策略预定义的操作系统用户界面。
限于篇幅,这里再举一个使用“管理模板”组策略的简单例子。要禁止域中所有用户在IE浏览器中更改主页设置。打开组策略编辑器,依次展开【计算机配置】>【管理模板】>【系统】>【Windows组件】>【Internet Explorer】节点(如图7.26所示,),双击“禁用更改主页设置”图标,打开如图7.27所示的对话框。选中【已启用】选项以启用该策略,然后单击【确定】按钮。
域服务器的配置和应用(二_职场_21 域服务器的配置和应用(二_域 服务器 配置_22
图7.26  展开组策略节点 图7.27  启用“禁用更改主页设置”策略