资源描述:
《《建立与管理帐户》PPT课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、建立網域Windows2000系統實務Ch07建立網域-1微軟的企業網路架構裡,最重要的角色即是『網域』。許多Windows2000的重要功能,都建立在『網域』上。AD服務就是建立在網域的基礎之上並非Windows2000網路一定只能採取網域的架構建立網域-2規劃Windows2000網路環境時,可以有『工作群組(Workgroup)』和『網域(Domain)』兩種選擇。工作群組適合用於小型的網路,而網域因擁有較優越的管理能力,適合用於中、大型的網路。各自為政的網路架構-工作群組-1工作群組是泛指一群以網路相連的電腦,彼此分享對方的資源(如檔案或印表機)每台電腦的地位皆是平等,所以也有人
2、把它稱為『對等式』(PeertoPeer)網路以Windows2K所組成的工作群組為例,不管是伺服器或工作站,都擁有本機的帳戶資料庫,唯有登記在資料庫內的使用者,才能合法使用該電腦上的資源圖7-2各自為政的網路架構-工作群組-2從網路管理的角度來看,這樣的架構有2個明顯的缺點:帳戶管理較麻煩假設網路上有5部伺服器和30名使用者,總共要建立150(5*30)筆帳戶資料,才能讓所有使用者取用每部伺服器的資源。而且,如果有任何一筆資料需要異動,得做5次修改才行。只能個別對電腦做安全性設定例如:系統管理員希望限制使用者的登入時段,這就必須到每一部伺服器前設定。中央集權的網路架構-網域『網域』的基
3、本觀念為,在網路中挑一部電腦當作『安全控管』伺服器(在Windows2000稱為網域控制站),由它專門負責網域的帳戶與安全管理。所有加入網域的電腦,都以網域控制站的帳戶和安全性設定為準。拿前面的例子來說,只要在伺服器中擇一擔任網域控制站,再將其它的電腦和所有使用者統統加入網域。系統管理員只需維護35(30+5)筆帳戶資料(包括電腦及使用者),即可讓所有使用者使用全部電腦上的資源。圖7-4Windows95/98能否加入網域?嚴格來說,WindowsNT/2000之外的機器(例如Windows95/98),不算『加入』網域,而只是能『連接』到網域。換言之,雖然使用者能夠利用網域帳戶,從Wi
4、ndows95/98的電腦登入到網域裡存取資源,可是這些機器並未受到網域的管轄,而且在網域控制站上也不會有這些機器的帳戶資料網域中的電腦角色網域中的電腦依其功能,區分為以下3種角色:網域控制站成員伺服器工作站網域控制站-1安裝了Windows2000Server,而且啟用AD服務的電腦,即為網域控制站。網域控制站在網域中扮演運作核心的地位,除了特定的網管人員之外,應限制其它使用者都不允許登入網域控制站,以防止AD資料遭到破壞。網域控制站-2網域控制站主要負責的工作如下:提供AD服務。儲存與複製AD資料庫。管理網域中的活動,包括『使用者登入』、『身分驗證』、與『目錄查詢』等等。成員伺服器-
5、1安裝了Windows2000Server,但是不啟用AD服務的電腦;或者是安裝WindowsNT4.0Server的電腦,都算是成員伺服器成員伺服器依其提供服務的不同,可能會被冠上不同的名稱,例如檔案伺服器、應用程式伺服器、或資料庫伺服器等等。不過它們在網域中的角色都是一樣的,都需接受網域控制站的控管成員伺服器-2由於這些伺服器同屬網域的成員,所以審核使用者身份的工作,都交由網域控制站執行,只要通過網域控制站的驗證,即允許使用者登入。成員伺服器的本機帳戶成員伺服器上仍保留有本機的帳戶資料庫,因此使用者也可以利用這些本機帳戶,登入該伺服器。對網域的安全管理而言,成員資料庫上的本機帳戶,無
6、疑是安全性上的一個漏洞。所以最好是關閉所有成員伺服器上的本機帳戶,僅允許使用者以網域的帳戶登入,才有最佳保障工作站-1所有安裝Windows2KProfessional或WindowsNT4.0Workstation,而且加入網域的電腦,都歸類為工作站工作站可以存取網域中的資源、執行應用程式等。但是,Windows2K許多新增的功能,例如AD服務、群組原則、軟體發布、DNS名稱動態更新等,必須配合Windows2000Professional工作站才能發揮功效。而WindowsNT工作站雖然能加入網域,不過無法享受Windows2000的新增功能工作站-2加入網域的工作站,同樣是由網域控
7、制站負責使用者身分驗證,並接受網域方面的管理。譬如,網域系統管理員可以限制誰何時才允許登入該工作站,而未加入網域的工作站,雖然也能用來連接網域存取資源,卻得不到網域的保護與管理工作站上也保留了本機帳戶的資料庫,使用者如果利用本機帳戶登入工作站,即有辦法存取本機上的資源,但仍無法存取網域裡的資源網域外的電腦角色-1網路上沒有加入網域的電腦,即以工作群組的模式運作使用者可以利用這些電腦連接網域,只要提供合法的網域帳戶即可,不過這樣做有一