AD-03-发布对象-委派控制-信任关系课件

1、AD-03-发布对象-委派控制-信任关系,在活动目录发布对象,MCSE2003活动目录管理,第三章,AD-03-发布对象-委派控制-信任关系,上节内容回顾,掌握域用户帐户的创建和基本管理。 掌握域组帐户的创建和基本管理。 能够提升域功能级别 了解组的使用规则，理解组的嵌套,AD-03-发布对象-委派控制-信任关系,介绍发布资源 发布打印机 发布共享文件夹 委派管理,本章内容,AD-03-发布对象-委派控制-信任关系,介绍发布资源,发布资源: 1、发布资源可以确定资源的位置，即使资源的物理位置发 生变化。 2、将很少改动的信息出版到AD中 3、用户经常访问的信息应出版到AD中 4、打印机，共享文

2、件夹应出版到AD中,Server1,Active Directory,Publish to Active Directory,AD-03-发布对象-委派控制-信任关系,发布打印机,AD-03-发布对象-委派控制-信任关系,在活动目录中看打印机对象 控制打印机的出版 在打印机的共享属性上清除“列入目录”； 也可利用组策略（自动在AD上公布新的打印机),管理打印机发布,AD-03-发布对象-委派控制-信任关系,用活动目录和计算机工具，以共享文件夹的形式发布 使用 System32 文件夹中的 Pubprn.vbs 脚本，使更早版本操作系统的打印服务器来发布打印机 Cscript c:winntsy

3、stem32pubprn.vbs parameters Pubprn.vbs servernameprinter LDAP:/OU=print,DC=yinhe,DC=COM 必须是共享打印机，必须有目录服务管理权限才能发布打印机。 必须具有想共享或发布的打印机的“管理打印机”权限。,Printer,Publish,Install and Share,手工发布打印机,AD-03-发布对象-委派控制-信任关系,管理发布的打印机,移动相关打印机到一个OU中 执行其他管理任务,AD-03-发布对象-委派控制-信任关系,发布共享文件夹,AD-03-发布对象-委派控制-信任关系,发布到活动目录中的对象与

4、它所代表的共享资源是完 全分离的 删除文件夹共享时，发布仍在。 发布是两个对象，而共享是一个对象。发布的两个对象是一个是共享对象，另一个是AD中的发布对象，这个对象是对共享对象的引用希望访问发布对象时，必须拥有AD中发布对象和共享对象两者的权限,比较发布的对象与共享的资源,AD-03-发布对象-委派控制-信任关系,比较发布的对象与共享的资源,AD-03-发布对象-委派控制-信任关系,Lab :在活动目录中共享资源,AD-03-发布对象-委派控制-信任关系,委派管理控制概述,活动目录对象安全 活动目录对象的访问控制 活动目录对象的委派管理控制,AD-03-发布对象-委派控制-信任关系,活动目录安

5、全组成 委派和系统访问控制列表 访问控制接口 继承 怎样授权访问资源,活动目录对象安全,AD-03-发布对象-委派控制-信任关系,安全主体 能够对它分配权限的对象 如： 用户、安全组、和计算机 每一个安全主体都有一个唯一的安全标识符（SID）,安全标识符 安全标识符是用来标识一个安全主体，它在这个拥有者被 创建时产生，绝对不会重用,安全描述符 包含相关的安全信息的数据结构 如果你在一个对象上设置了权限，安全描述符中就会包含一个DACL 如果你还对这个对象设置了审核，安全述符中还会包含一个SACL,活动目录安全组成,AD-03-发布对象-委派控制-信任关系,Discretionary Acces

6、s Control List (DACL) 是否允许对某对象访问 System Access Control List (SACL） 控制对对象访问的审核,委派和系统访问控制列表,AD-03-发布对象-委派控制-信任关系,Access Control Entries,AD-03-发布对象-委派控制-信任关系,建立子对象时，不用人为的授权 确保应用于父节点的权限也同时作用于子节点 在改变权限时，只需改父节点上的权限 在AD的对象上，直接分配的ACE优先于继承的ACE,继承,AD-03-发布对象-委派控制-信任关系,权限继承可以减少 分派权限的次数,手工阻止权限的继承 复制 先前继承了对对象的许可

7、 移除 先前移除继承来自对象的许可,控制继承许可,AD-03-发布对象-委派控制-信任关系,特殊权限,标准权限,设置 Active Directory许可,AD-03-发布对象-委派控制-信任关系,活动目录中每一个对象都有所有者 建立对象的人员自动成为对象的所有者，即使没有 出现在DSAL中，默认具有对象的完全控制。 如果是管理组的成员创建的对象，那么它的所有者是管理组,而不是个人。,对象的所有者,AD-03-发布对象-委派控制-信任关系,Ownership Changes When: 具有完全控制的人员，可以将修改所有权的权 限委派给其他用户。 管理组的成员都拥有对象所有权,改变对象的所有者

8、,AD-03-发布对象-委派控制-信任关系,委派管理控制概述 使用委派控制向导 委派管理控制,委派活动目录对象的管理控制,AD-03-发布对象-委派控制-信任关系,授权管理意义： 改变特殊容器的属性 建立和删除OU中的具体对象 更新OU中具体对象的某种属性,委派管理控制概述,AD-03-发布对象-委派控制-信任关系,对用户和组进行委派控制,打开委派控制向导,选择进行委派控制的用户和组,指定委派的任务,选择Active Directory 对象类型,指定权限给用户和组,使用委派控制向导,AD-03-发布对象-委派控制-信任关系,委派管理控制,AD-03-发布对象-委派控制-信任关系,Lab :委

9、派管理控制,AD-03-发布对象-委派控制-信任关系,1、建个OU1 2、建三个帐号，A1，A2，A3 3、分别以A1，A2，A3登录，查看他们有什么权限 3、将在OU1中创建，修改，删除帐号的权限授于A1 4、导向直接选择就可以 5、将在整个域中修改密码的权限授予A2 6、导向自定义只用于这个文件夹用户对 象修改密码,委派管理控制,AD-03-发布对象-委派控制-信任关系,本章目标,创建域树、域森林、额外域控制器 理解域之间的信任关系。单向，双向信任关系 理解信任域和被信任域的意义 熟悉跨域访问资源的流程 能够独立的建立快捷方式、林信任 了解外部信任和领域信任 掌握信任关系的管理和删除,AD

10、-03-发布对象-委派控制-信任关系,创建域树和域森林,创建子域 创建域林中的第二棵树 创建同一域中的第二台域控制器,AD-03-发布对象-委派控制-信任关系,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,创建子域,AD-03-发布对象-委派控制-信任关系,1,2,3,4,5,6,7,8,9,10,下面的步骤和安装子域相同,创建域林中的第二棵树,AD-03-发布对象-委派控制-信任关系,前面步骤和安装子域相同,下面的步骤和安装子域相同,创建同一域中的第二台域控制器,AD-03-发布对象-委派控制-信任关系,信任关系基本概念,A域,DC1,B域,DC1,信任,工作

11、站：用户,服务器：资源,信任域,被信任域,AD-03-发布对象-委派控制-信任关系,什么是“访问令牌”？,当用户登录到某台计算机，在验证用户帐号和密码无误外系统会为该用户建立一个“访问令牌”(access token)，其包含该用户的SID和用户所属组的SID。用户拿到“访问令牌”后系统会根据令牌中的SID去决定用户对特定资源拥有哪些访问权限。 Windows server2003计算机内负责验证用户身份工作的服务是LSA(Local Security Authority) 验证用户身份的方法有 KerberosV5和NTLM,AD-03-发布对象-委派控制-信任关系,NTLM,NTLANMa

12、nager的缩写。 在网络环境中，NTLM 用作身份验证协议以处理两台计算机（其中至少有一台计算机运行 Windows NT 4.0 或更早版本）之间的事务。具有此配置的网络称为“混合模式”，这是 Windows Server 2003 家族中的默认设置。 例如，以下配置将使用 NTLM 作为身份验证机制： Windows 2000 或 WindowsXP Professional 客户端向 Windows NT 4.0 的域控制器验证身份。 Windows NT 4.0 Workstation 客户端向 Windows 2000 或 Windows Server 2003 域控制器验证身份。

13、 Windows NT 4.0 Workstation 客户端向 Windows NT 4.0 域控制器验证身份。 Windows NT 4.0 域中的用户向 Windows 2000 或运行 Windows Server 2003 家族的域验证身份。 运行向任何域控制器验证身份的 Windows 95、Windows 98 或 Windows Millennium Edition 的客户端。 另外，NTLM 是为没有加入到域中的计算机（如独立服务器和工作组）提供的身份验证协议。,AD-03-发布对象-委派控制-信任关系,Kerberos V5,希腊神话中守卫冥王大门的长有三头的看门狗。 Ke

14、rberos V5 中的一项重要服务是密钥分发中心 (KDC)。 KDC 作为 Active Directory 目录服务的一部分在每个域控制器上运行，它存储了所有客户端密码和其他帐户信息。 Kerberos V5 身份验证过程按如下方式工作： 1.客户端系统上的用户使用密码或智能卡向 KDC 进行身份验证。 2.KDC 向此客户端颁发一个特别的授权票证。客户端系统使用该票证访问授票服务 （TGS)，这是域控制器上的 Kerberos V5 身份验证机制的一部分。 3.TGS 接着向客户端颁发服务票证。 4.客户端向所请求的网络服务出示服务票证。服务票证向此服务证明用户的身份，同 时也向该用户

15、证明服务的身份。 注：Kerberos V5 服务安装在每个域控制器上，并且 Kerberos 客户端则安装在每个工 作站和服务器上。,AD-03-发布对象-委派控制-信任关系,用户1访问域内的文件服务器1,AD-03-发布对象-委派控制-信任关系,跨域访问的详细说明,1.User1 使用来自 域的凭据登录到 Workstation1。在此过程中，负责进行验证的域控制器将为 User1 颁发一张票证授予式票证 (TGT)。在进行资源访问身份验证时，需要提供此票证。此后，用户尝试访问 child2 域中文件服务器上的共享资源 (share)。 2.Workstation1 联系其所在域中的某个域

16、控制器 (ChildDC1) 上的密钥发行中心 (KDC)，并针对 的服务规则名(SPN) 申请服务票证。 3.ChildDC1 没有在自身域数据库中找到该 SPN，因而继续查询全局编录，看林中是否有任何域包含此 SPN。全局编录将所请求的信息发送回ChildDC1。 4.ChildDC1 将引用发送给 Workstation1。 5.Workstation1 联系 ForestRootDC1（它的父域）中的域控制器，以便获取访问 Child2 域中的域控制器 (ChildDC2) 时所需的引用。ForestRootDC1 将引用发送给 Workstation1。6.Workstation1

17、联系 ChildDC2 上的 KDC 并协商访问 时所需的票证。 7.现在 Workstation1 具备了服务票证。它将把服务票证发送，而 将读取用户的安全凭据并相应地建立访问令牌。,AD-03-发布对象-委派控制-信任关系,信任关系的类型,单向信任 双向信任 可传递信任 不可传递信任,AD-03-发布对象-委派控制-信任关系,信任的种类(图示),*父-子、树-根目录的信任关系是自动建立的 *A林信任B林，B林信任C林，在林信任关系里面此种情况A林并不会自动信任C林 *外部信任可用于2003域和NT域或是两个林之间的信任，不具备传递性 *领域信任是种跨平台信任，可以让Windows系统和非

18、Windows系统之间的 KerberosV5领域间建立信任关系，如:Windows2003和unix系统间的信任,AD-03-发布对象-委派控制-信任关系,目录树和目录林中的信任关系,Windows 2003中的传递信任 Windows 2003 中的非传递信任 验证和取消信任,AD-03-发布对象-委派控制-信任关系,Windows 2003中的传递信任,域间信任 自动创建（默认） 可传递 双向,W,Wuchang.wuhan. ,Tree Two,Tree One,目录林,目录林根域,AD-03-发布对象-委派控制-信任关系,Windows 2003 中的快捷信任,AD-03-发布对象-委派控制-信任关系,Windows 2003 中的非传递信任,AD-03-发布对象-委派控制-信任关系,1,2,3,4,5,父域和子域间的信任,AD-03-发布对象-委派控制-信任关系,建立信任关系前需注意,帐户权限：具有适当权限的用户，在信任关系双方建立传出和传入信任 信任方向：单向/双向信任。分别设置信任时需在两端输入相同的信任密码 查找方式：DNS名称或者NETBIOS名称，使用NETBIOS名称时要考虑双方是否在同一网络内。否则设置WINS指向,AD-03-发布对象-委派控制-信任关系,1,2,3,4,5,6,7,8,新建一个信任,AD-03-