網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行與維護(hù)教案8

鄭州鐵路職業(yè)技術(shù)學(xué)院教案首頁序號(hào)：8授課班級(jí)信息安全22A1信息安全22A2授課日期3.183.29出勤情況全勤全勤課程名稱網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行與維護(hù)教學(xué)類型實(shí)驗(yàn)復(fù)習(xí)舊課引入新課復(fù)習(xí)舊課：Windows系統(tǒng)活動(dòng)目錄的相關(guān)知識(shí)在理解和掌握了活動(dòng)目錄的基礎(chǔ)上，我們就要開始安裝活動(dòng)目錄，并在不同的計(jì)算機(jī)上配置一個(gè)林域引入新課：安裝與配置Windows系統(tǒng)活動(dòng)目錄教學(xué)目標(biāo)要求學(xué)生通過該能力模塊的學(xué)習(xí),能夠熟練掌握活動(dòng)目錄的安裝和配置過程講授要點(diǎn)教學(xué)設(shè)計(jì)講授要點(diǎn)：安裝和配置活動(dòng)目錄教學(xué)設(shè)計(jì)：復(fù)習(xí)上節(jié)內(nèi)容回顧上節(jié)內(nèi)容，活動(dòng)目錄的概念和作用任務(wù)引入學(xué)習(xí)活動(dòng)目錄，重在如何配置和使用它，本節(jié)課就要學(xué)習(xí)如何進(jìn)行安裝和配置實(shí)驗(yàn)操作通過理論講授和實(shí)驗(yàn)演示法，講解本節(jié)重要知識(shí)點(diǎn)實(shí)驗(yàn)總結(jié)總結(jié)實(shí)驗(yàn)過程和操作重點(diǎn)難點(diǎn)解決方法重點(diǎn)：安裝和配置活動(dòng)目錄難點(diǎn)：安裝和配置活動(dòng)目錄解決方法：案例講解+上機(jī)實(shí)驗(yàn)課后作業(yè)總結(jié)安裝和配置活動(dòng)目錄的過程課后總結(jié)安裝和配置活動(dòng)目錄只能通過使用管理員賬號(hào)在命令提示符進(jìn)行操作，這也顯示了該操作的不可逆性和重要性。鄭州鐵路職業(yè)技術(shù)學(xué)院教師教案第8-PAGE7頁Windows系統(tǒng)活動(dòng)目錄安裝與配置教學(xué)過程步驟主要內(nèi)容教學(xué)組織復(fù)習(xí)事件查看器的查看掌握新建警報(bào)并配置警報(bào)類型通過系統(tǒng)監(jiān)視器監(jiān)控系統(tǒng)運(yùn)行狀態(tài)5分鐘復(fù)習(xí)上節(jié)內(nèi)容任務(wù)引入通過模塊一的設(shè)置，計(jì)算機(jī)已經(jīng)達(dá)到了一定的安全，但是只是針對(duì)單機(jī)的設(shè)置。針對(duì)于企業(yè)網(wǎng)絡(luò)來說，還可以將計(jì)算機(jī)聯(lián)合到一起，提高整體的安全性，使用ActiveDirectory實(shí)現(xiàn)對(duì)主機(jī)進(jìn)行安全和統(tǒng)一管理是很好的方法。5分鐘教師講授知識(shí)講授一、ActiveDirectoryActiveDirectory的安全信息ActiveDirectory?使用內(nèi)置登錄身份驗(yàn)證和用戶授權(quán)為某單位提供了安全的目錄環(huán)境，這是本地安全機(jī)構(gòu)(LSA)的核心功能。登錄身份驗(yàn)證和用戶授權(quán)在默認(rèn)情況下可用，可以對(duì)網(wǎng)絡(luò)訪問和網(wǎng)絡(luò)資源提供即時(shí)保護(hù)。ActiveDirectory要求在確認(rèn)用戶的標(biāo)識(shí)之后，才允許訪問網(wǎng)絡(luò)，此過程稱為身份驗(yàn)證。用戶只需要提供對(duì)域（或受信任域）的單一登錄即可訪問網(wǎng)絡(luò)。當(dāng)ActiveDirectory確認(rèn)用戶的身份之后，進(jìn)行身份驗(yàn)證的域控制器上的LSA將生成一個(gè)訪問令牌，確定用戶可以對(duì)網(wǎng)絡(luò)資源進(jìn)行哪個(gè)級(jí)別的訪問。ActiveDirectory支持許多安全的Internet標(biāo)準(zhǔn)協(xié)議和身份驗(yàn)證機(jī)制，用于在登錄時(shí)證明身份，其中包括KerberosV5、X.509v3證書、智能卡、公鑰基礎(chǔ)結(jié)構(gòu)(PKI)和使用安全套接字層(SSL)的輕型目錄訪問協(xié)議(LDAP)。域和域之間的身份驗(yàn)證是通過信任進(jìn)行的。信任是建立在兩個(gè)或多個(gè)域之間的關(guān)系，它使一個(gè)域中的用戶由另一域中的域控制器驗(yàn)證。信任關(guān)系可以是可傳遞或非傳遞的，但必須始終存在，以便一個(gè)域中的用戶訪問另一個(gè)域中的共享資源。除了通過身份驗(yàn)證保護(hù)網(wǎng)絡(luò)訪問之外，ActiveDirectory還可通過簡化用戶的授權(quán)來保護(hù)共享資源。當(dāng)ActiveDirectory驗(yàn)證用戶登錄之后，通過安全組指派給該用戶的用戶權(quán)利以及對(duì)共享資源指派的權(quán)限將決定該用戶是否被授權(quán)訪問該資源。此授權(quán)過程可保護(hù)共享資源不接受未授權(quán)的訪問，只允許授權(quán)用戶或組進(jìn)行訪問。二、活動(dòng)目錄1、名字空間：從本質(zhì)上講，活動(dòng)目錄就是一個(gè)名字空間，我們可以把名字空間理解為任何給定名字的解析邊界，這個(gè)邊界就是指這個(gè)名字所能提供或關(guān)聯(lián)、映射的所有信息范圍。通俗地說就是我們?cè)诜?wù)器上通過查找一個(gè)對(duì)象可以查到的所有關(guān)聯(lián)信息總和，如一個(gè)用戶，如果我們?cè)诜?wù)器已給這個(gè)用戶定義了講如：用戶名、用戶密碼、工作單位、聯(lián)系電話、家庭住址等，那上面所說的總和廣義上理解就是“用戶”這個(gè)名字的名字空間，因?yàn)槲覀冎惠斎胍粋€(gè)用戶名即可找到上面我所列的一切信息。名字解析是把一個(gè)名字翻譯成該名字所代表的對(duì)象或者信息的處理過程。舉例來說，在一個(gè)電話目錄形成一個(gè)名字空間中，我們可以從每一個(gè)電話戶頭的名字可以被解析到相應(yīng)的電話號(hào)碼，而不是象現(xiàn)在一樣名字是名字，號(hào)碼歸號(hào)碼，根本不能橫向聯(lián)系。Windows操作系統(tǒng)的文件系統(tǒng)也形成了一個(gè)名字空間，每一個(gè)文件名都可以被解析到文件本身（包含它應(yīng)有的所有信息）。2、對(duì)象：對(duì)象是活動(dòng)目錄中的信息實(shí)體，也即我們通常所見的“屬性”，但它是一組屬性的集合，往往代表了有形的實(shí)體，比如用戶賬戶、文件名等。對(duì)象通過屬性描述它的基本特征，比如，一個(gè)用戶賬號(hào)的屬性中可能包括用戶姓名、電話號(hào)碼、電子郵件地址和家庭住址等。3、容器：容器是活動(dòng)目錄名字空間的一部分，與目錄對(duì)象一樣，它也有屬性，但與目錄對(duì)象不同的是，它不代表有形的實(shí)體，而是代表存放對(duì)象的空間，因?yàn)樗鼉H代表存放一個(gè)對(duì)象的空間，所以它比名字空間小。比如一個(gè)用戶，它是一個(gè)對(duì)象，但這個(gè)對(duì)象的容器就僅限于從這個(gè)對(duì)象本身所能提供的信息空間，如它僅能提供用戶名、用戶密碼。其它的如：工作單位、聯(lián)系電話、家庭住址等就不屬于這個(gè)對(duì)象的容器范圍了。4、目錄樹：在任何一個(gè)名字空間中，目錄樹是指由容器和對(duì)象構(gòu)成的層次結(jié)構(gòu)。樹的葉子、節(jié)點(diǎn)往往是對(duì)象，樹的非葉子節(jié)點(diǎn)是容器。目錄樹表達(dá)了對(duì)象的連接方式，也顯示了從一個(gè)對(duì)象到另一個(gè)對(duì)象的路徑。在活動(dòng)目錄中，目錄樹是基本的結(jié)構(gòu)，從每一個(gè)容器作為起點(diǎn)，層層深入，都可以構(gòu)成一棵子樹。一個(gè)簡單的目錄可以構(gòu)成一棵樹，一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)或者一個(gè)域也可以構(gòu)成一棵樹。這也很容易理解，我們最初學(xué)電腦時(shí)不就是在全面理解DOS下的路徑概念基礎(chǔ)之上開始的嗎，其實(shí)這“目錄樹”也就是一種“路徑關(guān)系”，如果你理解了DOS下的“路徑”相信理解這“目錄樹”是沒什么問題的！5、域：域是WIN2K網(wǎng)絡(luò)系統(tǒng)的安全性邊界。我們知道一個(gè)計(jì)算機(jī)網(wǎng)最基本的單元就是“域”，這一點(diǎn)不是WIN2K所獨(dú)有的，但活動(dòng)目錄可以貫穿一個(gè)或多個(gè)域。在獨(dú)立的計(jì)算機(jī)上，域即指計(jì)算機(jī)本身，一個(gè)域可以分布在多個(gè)物理位置上，同時(shí)一個(gè)物理位置又可以劃分不同網(wǎng)段為不同的域，每個(gè)域都有自己的安全策略以及它與其他域的信任關(guān)系。當(dāng)多個(gè)域通過信任關(guān)系連接起來之后，活動(dòng)目錄可以被多個(gè)信任域域共享6、組織單元：包含在域中特別有用的目錄對(duì)象類型就是組織單元。組織單元是可將用戶、組、計(jì)算機(jī)和其他單元放入活動(dòng)目錄的容器中，組織單元不能包括來自其他域的對(duì)象。組織單元是可以指派組策略設(shè)置或委派管理權(quán)限的最小作用單位。使用組織單元，您可在組織單元中代表邏輯層次結(jié)構(gòu)的域中創(chuàng)建容器，這樣您就可以根據(jù)您的組織模型管理帳戶、資源的配置和使用，可使用組織單元?jiǎng)?chuàng)建可縮放到任意規(guī)模的管理模型?？墒谟栌脩魧?duì)域中所有組織單元或?qū)蝹€(gè)組織單元的管理權(quán)限，組織單元的管理員不需要具有域中任何其他組織單元的管理權(quán)，組織單元有點(diǎn)象我們?cè)贜T時(shí)代的工作組，我們從管理權(quán)限上來講可以這么理解。7、域樹：域樹由多個(gè)域組成，這些域共享同一表結(jié)構(gòu)和配置，形成一個(gè)連續(xù)的名字空間。樹中的域通過信任關(guān)系連接起來，活動(dòng)目錄包含一個(gè)或多個(gè)域樹。域樹中的域?qū)哟卧缴罴?jí)別越低，一個(gè)“.”代表一個(gè)層次，如域child.M就比M這個(gè)域級(jí)別低，因?yàn)樗袃蓚€(gè)層次關(guān)系，而M只有一個(gè)層次。而域Grandchild.Child.M比Child.M級(jí)別低，道理一樣。域樹中的域是通過雙向可傳遞信任關(guān)系連接在一起。由于這些信任關(guān)系是雙向的而且是可傳遞的，因此在域樹或樹林中新創(chuàng)建的域可以立即與域樹或樹林中每個(gè)其他的域建立信任關(guān)系。這些信任關(guān)系允許單一登錄過程，在域樹或樹林中的所有域上對(duì)用戶進(jìn)行身份驗(yàn)證，但這不一定意味著經(jīng)過身份驗(yàn)證的用戶在域樹的所有域中都擁有相同的權(quán)利和權(quán)限。因?yàn)橛蚴前踩缦蓿员仨氃诿總€(gè)域的基礎(chǔ)上為用戶指派相應(yīng)的權(quán)利和權(quán)限。8、域林：域林是指由一個(gè)或多個(gè)沒有形成連續(xù)名字空間的域樹組成，它與上面所講的域樹最明顯的區(qū)別就在于這些域樹之間沒有形成連續(xù)的名字空間，而域樹則是由一些具有連續(xù)名字空間的域組成。但域林中的所有域樹仍共享同一個(gè)表結(jié)構(gòu)、配置和全局目錄。域林中的所有域樹通過Kerberos信任關(guān)系建立起來，所以每個(gè)域樹都知道Kerberos信任關(guān)系，不同域樹可以交叉引用其他域樹中的對(duì)象。域林都有根域，域林的根域是域林中創(chuàng)建的第一個(gè)域，域林中所有域樹的根域與域林的根域建立可傳遞的信任關(guān)系。9、站點(diǎn)：站點(diǎn)是指包括活動(dòng)目錄域服務(wù)器的一個(gè)網(wǎng)絡(luò)位置，通常是一個(gè)或多個(gè)通過TCP/IP連接起來的子網(wǎng)。站點(diǎn)內(nèi)部的子網(wǎng)通過可靠、快速的網(wǎng)絡(luò)連接起來。站點(diǎn)的劃分使得管理員可以很方便地配置活動(dòng)目錄的復(fù)雜結(jié)構(gòu)，更好地利用物理網(wǎng)絡(luò)特性，使網(wǎng)絡(luò)通信處于最優(yōu)狀態(tài)。當(dāng)用戶登錄到網(wǎng)絡(luò)時(shí)，活動(dòng)目錄客戶機(jī)在同一個(gè)站點(diǎn)內(nèi)找到活動(dòng)目錄域服務(wù)器，由于同一個(gè)站點(diǎn)內(nèi)的網(wǎng)絡(luò)通信是可靠、快速和高效的，所以對(duì)于用戶來說，他可以在最快的時(shí)間內(nèi)登錄到網(wǎng)絡(luò)系統(tǒng)中。因?yàn)檎军c(diǎn)是以子網(wǎng)為邊界的，所以活動(dòng)目錄在登錄時(shí)很容易找到用戶所在的站點(diǎn)，進(jìn)而找到活動(dòng)目錄域服務(wù)器完成登錄工作。10、域控制器：域控制器是使用活動(dòng)目錄安裝向?qū)渲玫腤IN2KServer的計(jì)算機(jī)?；顒?dòng)目錄安裝向?qū)О惭b和配置為網(wǎng)絡(luò)用戶和計(jì)算機(jī)提供活動(dòng)目錄服務(wù)的組件供用戶選擇使用。域控制器存儲(chǔ)著目錄數(shù)據(jù)并管理用戶域的交互關(guān)系，其中包括用戶登錄過程、身份驗(yàn)證和目錄搜索，一個(gè)域可有一個(gè)或多個(gè)域控制器。為了獲得高可用性和容錯(cuò)能力，使用單個(gè)局域網(wǎng)(LAN)的小單位可能只需要一個(gè)具有兩個(gè)域控制器的域。具有多個(gè)網(wǎng)絡(luò)位置的大公司在每個(gè)位置都需要一個(gè)或多個(gè)域控制器以提供高可用性和容錯(cuò)能力。三、Windows多域間的訪問域樹：公用連續(xù)域名空間的windows域。具有相同的域名后綴。域樹的第一個(gè)域是域樹的根域。單個(gè)域構(gòu)成單個(gè)域的樹。向域中添加的任何新域稱為子域。由本身的名字和父域域名結(jié)合成DNS名。單個(gè)域樹或者多個(gè)域樹構(gòu)成林。林中不同的域樹不共用連續(xù)的域名空間。林中的所有域公用相同的配置架構(gòu)和全局編錄。在林中創(chuàng)建的第一個(gè)域?yàn)榱值母?。存在Enterpriseadmins和schemaadmins組。Enterpriseadmins企業(yè)管理員組成員，可以對(duì)活動(dòng)目錄中的整個(gè)林做修改。例如添加子域。Schemaadmins架構(gòu)管理員組成員，可對(duì)活動(dòng)目錄中整個(gè)林做架構(gòu)修改。安裝活動(dòng)目錄的條件：1、擁有本地管理員權(quán)限2、操作系統(tǒng)版本（WEB版本除外）3、本地磁盤至少有一個(gè)NTFS分區(qū)4、TCP/IP設(shè)定。（固定IP）5、相應(yīng)的DNS支持6、足夠的空間創(chuàng)建子域時(shí)，管理權(quán)限：Enterpriseadmins、domainadmins成員。在一個(gè)林中創(chuàng)建多域的原因：1、部門（或分公司）之間有不同的安全策略要求，可以針對(duì)部門或分公司創(chuàng)建域。2、有大量的活動(dòng)目錄對(duì)象，可以分解成多個(gè)域，使每個(gè)域活動(dòng)目錄對(duì)象較少。3、分散網(wǎng)絡(luò)管理，而不是有一個(gè)域管理員管理，多個(gè)域多個(gè)域管理員。4、對(duì)復(fù)制進(jìn)行更多的控制。域之間建立信任關(guān)系資源域（信任域）：資源所在的域。賬戶域（被信任的域）：信任賬戶所在的域。林中默認(rèn)的信任關(guān)系：父子信任、樹根信任，不可刪除的。信任關(guān)系特點(diǎn)：1、自動(dòng)建立。在創(chuàng)建子域或域樹時(shí)自動(dòng)建立。2、傳遞信任（可傳遞的）。A信任B，B信任C，則A信任C。3、雙向信任。兩個(gè)域兩個(gè)方向上的兩條信任路徑。林中跨域訪問：AGDLP原則跨域訪問的兩種方式:1、用戶試用本域的計(jì)算機(jī)通過網(wǎng)絡(luò)方式訪問資源。2、用戶使用資源域的計(jì)算機(jī)訪問資源。林之間的信任：外部信任、林信任外部信任：在不同的域之間創(chuàng)建的不可傳遞的信任。林信任：windowsserver2003林特有的信任。Windowsserver2003林根域之間建立的信任，提供單向或雙向可傳遞的信任關(guān)系。信任方向：雙向：本地域信任指定域，同時(shí)指定域信任本地域。單向（外傳）：本地域信任指定域。單向（內(nèi)傳）：指定域信任本地域。由于信任關(guān)系是在兩個(gè)域之間建立的，如果域A（本地域）建立一個(gè)單向：外傳信任，則需要域B（指定域）必須建立一個(gè)單向：內(nèi)傳信任。選擇“這個(gè)域和指定的域”，就會(huì)在指定域自動(dòng)建立一個(gè)單向：內(nèi)傳信任。林間外部信任的特點(diǎn)：1、手動(dòng)建立2、信任關(guān)系不可傳遞3、信任方向有單向和雙向兩種。林信任：前提條件：林的功能級(jí)別設(shè)置為：windowsserver2003。升級(jí)林功能級(jí)別之前，需要將林中所有域的域功能級(jí)別設(shè)置為windows2000純模式或windowsserver2003模式。域的功能級(jí)別：支持的域控Windows2000混合模式windowsNT4.0windows2000serverwindowsserver2003Windows2000本機(jī)（純模式）windows2000serverwindowsserver2003家族Windowsserver2003模式windowsserver2003家族林的功能級(jí)別：支持的域控Windows2000windowsNT4.0windows2000window