1、第15章 實戰(zhàn)MMC 網(wǎng)絡管理平臺,計算機網(wǎng)絡維護與故障排除案例精選,設置和使用MMC網(wǎng)絡管理平臺 委派控制管理 管理授權(quán)管理器 從MMC中管理Active Directory,計算機網(wǎng)絡維護與故障排除案例精選,本章重點,案例目標,通過本章的學習，用戶不但可以了解到MMC是一款本身并不具備管理功能，卻能聚集許多功能強大的網(wǎng)絡管理工具，而且利用MMC網(wǎng)絡管理平臺，可以實現(xiàn)許多重要的網(wǎng)絡管理功能，進一步實現(xiàn)網(wǎng)絡的多方管理，確保自己的網(wǎng)絡安全。,15.1 準備工作 15.2 設置和使用MMC網(wǎng)絡管理平臺 15.3 如何進行委派管理 15.4 從MMC中管理Active Directory 15.5

2、可能出現(xiàn)的問題與解決 15.6 總結(jié)與經(jīng)驗積累,計算機網(wǎng)絡維護與故障排除案例精選,15.1 準備工作,材料準備,計算機網(wǎng)絡維護與故障排除案例精選,（1）Windows Server 2003系統(tǒng)安裝光盤。 （2）Microsoft Windows Server 2003家族光盤。 （3）本地和遠程計算機。,知識準備,在網(wǎng)絡規(guī)模日益增大的今天，如果仍然沿用古老的單機分別管理模式，將是遠遠不能實現(xiàn)目前網(wǎng)絡管理需求的。 為了最大限度地提高網(wǎng)絡的管理和維護效率，大多網(wǎng)絡管理人員都使用了遠程控制軟件，以實現(xiàn)對局域網(wǎng)或服務器進行隨時隨地的管理。然而，當選用pcAnyWhere遠程控制軟件或通過遠程桌面連接

3、功能，來對服務器進行遠程管理時，也同時開啟了一個危險之門，常常會給某些非法攻擊者的遠程入侵帶來便利。 但使用MMC控制臺的計算機管理功能，不但可以有效地管理本地或遠程的服務器，而且還能有效避開遠程桌面連接所帶來的安全漏洞。因此，借助MMC系統(tǒng)控制臺，用戶不但十分便捷地對服務器進行遠程管理，并且還能阻止黑客對服務器進行惡意攻擊。,15.2 設置和使用MMC網(wǎng)絡管理平臺,計算機網(wǎng)絡維護與故障排除案例精選,Microsoft Management Console（MMC）是集成了用來管理網(wǎng)絡、計算機、服務及其他系統(tǒng)組件的管理工具?？梢詣?chuàng)建、保存或打開MMC控制臺來管理硬件、軟件和Windows系統(tǒng)的

4、網(wǎng)絡組件。 在MMC中，用戶可以添加到控制臺的主要工具類型稱為管理單元，其他可以添加的項目包括ActiveX控件、指向Web面頁的連接、文件夾、任務板視圖和任務等。,15.2 設置和使用MMC網(wǎng)絡管理平臺,15.2.1 runas命令的使用,計算機網(wǎng)絡維護與故障排除案例精選,管理員可以使用一個權(quán)限受限制的賬戶執(zhí)行日常、非管理性的任務。只有在執(zhí)行特定管理任務時，才使用一個權(quán)限更大的賬戶，經(jīng)過注銷再重新登錄之后，就可以完成這樣的任務了。此時，用戶即可使用一般賬戶登錄，然后使用runnas命令來運行能行使更大權(quán)限的工具。 runas命令允許運行.exe程序、保存的MMC控制臺程序和保存的MMC控制臺

5、的快捷方式及“控制面板”項，作為另一組的成員登錄到計算機時，可以管理員的身份運行此命令。 用戶還可以使用runas命令來啟動任何.exe程序、MMC控制器或“控制面板”項，只要提供適當?shù)挠脩糍~號和密碼信息，用戶賬號就具有登錄計算機的能力，并且.exe程序、MMC控制臺和“控制面板”項在系統(tǒng)中對該用戶賬戶均可用。,15.2 設置和使用MMC網(wǎng)絡管理平臺,15.2.2 設置MMC中的組策略,只有管理員才可以使用組策略來限制或允許訪問特定的管理單元，或者限制用戶或組在MMC中使用作者模式的能力，這適用于已配置組策略的網(wǎng)絡。 要設置特定計算機的用戶策略，必須是該計算機的管理員或有相等權(quán)利的用戶。不能使

6、用MMC創(chuàng)建計算機策略，只能創(chuàng)建用戶策略。 設置MMC策略方法有多種，而且還要根據(jù)當前服務器的角色選用不同的配置方法，其實這里的MMC組策略設置實際上就是組策略的幾種打開方式。但卻可以不用理會當前服務器的角色，直接利用控制臺添加“組策略編輯器”管理單元來配置組策略即可。,計算機網(wǎng)絡維護與故障排除案例精選,15.2 設置和使用MMC網(wǎng)絡管理平臺,15.2.3 創(chuàng)建和使用MMC控制臺,計算機網(wǎng)絡維護與故障排除案例精選,在創(chuàng)建控制臺之前，必須要考慮該控制臺將要實施的任務、要管理的組件，以及執(zhí)行任務所必須的管理單元和控件。還需要考慮是否創(chuàng)建任務板視圖和任務。只有在合理的計劃確定之后，才有可能合理地創(chuàng)建

7、和使用MMC控制臺。 下面首先看一下怎樣創(chuàng)建MMC控制臺。 在控制臺樹中添加任務 添加任務板視圖,15.2 設置和使用MMC網(wǎng)絡管理平臺,如何使用MMC控制臺進行本地計算機和遠程計算機的管理操作。 本地計算機的管理 要使用MMC控制臺管理本地計算機，必須先在控制臺中添加相應的管理單元。 遠程計算機的管理 如果要實現(xiàn)對遠程計算機進行管理，首先需要將管理單元項目添加到遠程計算機的新MMC控制臺中。,計算機網(wǎng)絡維護與故障排除案例精選,15.2.3 創(chuàng)建和使用MMC控制臺,15.3 如何進行委派管理,計算機網(wǎng)絡維護與故障排除案例精選,委派管理是指特定管理任務的管理責任從更高的授權(quán)機構(gòu)到更低的授權(quán)機構(gòu)的

8、一種轉(zhuǎn)移。通過委派管理，可以為適當?shù)挠脩艉徒M指派一些特定的管理任務，為普通用戶和組織指定基本的管理任務，而讓Domain Admins和Enterprise Admins組的成員，執(zhí)行域范圍和林范圍的管理?？梢允菇M織內(nèi)的組更多地控制本地網(wǎng)絡資源。還可以通過限制管理組的成員，保護網(wǎng)絡不受意外或惡意的損傷。 通過在域中創(chuàng)建組織單位并將特定組織單位的管理控制權(quán)委派給特定用戶和組，可將管理控制權(quán)委派給域樹的任何級別。 Active Directory 服務和數(shù)據(jù)所有者定義了特定的權(quán)限和用戶權(quán)利，并可用于委派或限制管理控制權(quán)。從而使得單位中的某一角色合適的完成為其分配的責任。 委派管理提供了如下好處：

9、使得能夠在多個管理組之間分布管理責任，每個組都具有已定義的權(quán)限范圍和已定義的責任；支持分散管理權(quán)限，可以特別明確注重安全分布的管理責任。另外，通過委派管理，組織可以有效地管理基礎結(jié)構(gòu)，強制執(zhí)行安全防范措施。,15.3 如何進行委派管理,計算機網(wǎng)絡維護與故障排除案例精選,15.3.1 委派控制管理,委派控制管理是在“Active Directory用戶和計算機”管理單元中進行的。,15.3.2 管理授權(quán)管理器,授權(quán)管理器提供了可將角色訪問控制轉(zhuǎn)嫁到應用程序的靈活框架，為使用這些應用程序的管理員，提供與這些作業(yè)功能相關的已分配用戶角色進行訪問的權(quán)限。授權(quán)管理器應用程序可以將授權(quán)策略存儲為授權(quán)存儲的

10、形式，而且可在運行時應用授權(quán)策略。,15.4 從MMC中管理Active Directory,15.4.1 Active Directory管理工具簡介,計算機網(wǎng)絡維護與故障排除案例精選,Active Directory管理工具只能在某個域的計算機中使用。其中【管理工具】菜單提供了下列Active Directory管理工具： Active Directory用戶和計算機 Active Directory域和信任關系 Active Directory站點和服務 Active Directory可以實現(xiàn)遠程管理，但必須安裝Windows Server 2003管理工具包。Microsoft Wi

11、ndows Server 2003管理工具包提供平臺的遠程管理服務器的工具。這些工具打包在Microsoft Windows Server 2003光盤上的adminpak.msi文件中，支持32位和64位服務器操作系統(tǒng)。,15.4 從MMC中管理Active Directory,15.4.1 Active Directory管理工具簡介,Active Directory MMC控制臺可以通過命令方式啟動。Active Directory MMC控制臺包括“Active Directory 用戶和計算機”、“Active Directory 域和信任關系”和“Active Directory

12、站點和服務”，即提供了允許啟動針對域或域控制器的控制臺的命令行選項。 這些命令即支持完全合格的域名，也支持NetBIOS名稱。可以使用這些命令行選項直接從命令行運行Active Directory MMC控制臺，也可以創(chuàng)建快捷方式啟動控制臺，并將相應的命令行選項添加到快捷方式中去。,計算機網(wǎng)絡維護與故障排除案例精選,15.4 從MMC中管理Active Directory,15.4.2 從MMC管理Active Directory架構(gòu),計算機網(wǎng)絡維護與故障排除案例精選,“Active Directory架構(gòu)”管理單元是用于管理結(jié)構(gòu)的Microsoft管理控制臺管理工具，只能在可訪問域中使用。在

13、默認情況下，【管理工具】菜單中無“Active Directory架構(gòu)”管理單元，下面就具體講述一下如何安裝Active Directory架構(gòu)管理單元。,15.5 可能出現(xiàn)的問題與解決,當本地計算機和遠程服務器安裝的是兩種不同操作系統(tǒng)時，就必須先在本地計算機中安裝好與遠程服務器相對應的MMC管理插件。 例如：要是本地計算機中使用的是Windows 2000服務器系統(tǒng)，而遠程服務器使用的是Windows 2003服務器系統(tǒng)，則就必須在本地計算機中先安裝好Windows 2003服務器的相關管理工具。 具體安裝方法是： （1）將Windows 2003服務器系統(tǒng)的安裝光盤先放入到光驅(qū)中，打開其中的“i386”文件夾窗口。 （2）雙擊該窗口中的“adminpak.msi”文件圖標，在隨后屏幕上將彈出Windows 2003服務器的管理工具安裝向?qū)Т翱冢凑掌聊幌驅(qū)崾就瓿珊冒惭b任務。 （3）此時將打開MMC管理控制臺，將Windows 2003服務器有關的管理工具全部加入其中即可。這樣，就可以實現(xiàn)Window