活动目录(精选十篇)
活动目录 篇1
随着Windows Server 2000/2003活动目录在企业和校园网中的广泛应用, 活动目录的可靠性就显得尤为重要, 而活动目录复制技术为活动目录的可靠性提供了强有力的技术支持。然而, 当前对活动目录复制技术的研究比较少且不够全面, 为此, 本文详细地介绍了活动目录复制技术的一些概念, 并对部分概念和技术使用了UML的状态图和顺序图进行描述, 与之同时, 对站点内与站点间如何复制给出了实施策略。通过活动目录复制技术的研究, 必将对于部署和规划一个性能良好的网络拓扑起到积极的作用。
1 复制的相关概念
1.1 复制模型
在Windows NT网络中, 一个域只能有一个PDC (Primary Domain controller) , 所有站账户数据库的修改都要在PDC上进行, 当安全账户数据库发生改变时, 更新安全账户管理器 (Security Accounts Manager) 就会将更新请求发送给PDC并执行更新, 然后PDC提醒BDC (Backup Domain controller) 进行更新。BDC将下载更新, 并使用这些下载的信息更新安全账户管理器自身的拷贝。BDC协助PDC完成用户确认, 以减轻PDC的负担。这种复制模型称为单主复制。
活动目录所使用的复制模型是多主机集中松散一致性模型。所谓多主机是指森林中的所有域控制器均可以接受改变, 所有的域控制器都是平等的。所谓松散一致性是指在任意特定域控制器上的数据库拷贝不能保证同时与其他域控制器一致。所谓集中是指对目录的改变将通过全部拷贝逐步传递, 最终全部集中统一为相同的值。多主机集中松散一致性模型的优点是避免了单主复制模型中主域控制器失效后需要手工恢复的不便, 具有高性能、可扩展和较强容错能力等优点。而缺点是由于多主域控制器都是可读可写的, 容易引发活动目录复制冲突, 另外, 由于更新是实时的, 因而会消耗一定的网络资源。
1.2 复制触发
只要对活动目录数据做出改变, 活动目录就触发一个更新操作。当以任何一种方式 (创建、删除或移动) 修改对象时, 或者对象的任何一个属性发生变化时, 就发生一次改变, 改变作为一个事务发生在对象级, 而复制发生在属性级。这样做的好处是减少了不必要的冗余数据、提高网络通信量, 同时也使得复制冲突大大减少。
更改操作会引发对活动目录的更新请求。活动目录数据库变化的结果所发出的请求称为初始更新, 初始更新被立即复制;在不引起更新的域控制器上执行的更新是复制更新。当对一个目录对象做出改变时, 如果在局域网中, 做出改变的域控制器在TCP/IP上使用远程过程调用 (RPC) 通知站点内的其他域控制器, 然后站点内的其他域控制器依次向最初的域控制器发出更新请求;如果在广域网中, 做出改变的域控制器使用SMTP通知站点内的其他域控制器, 然后站点内的其他域控制器发出更新请求, 这种复制方法称为复制更新, 依赖域控制器彼此之间进行询问更改。用状态图来表示活动目录复制触发的状态变化, 如图1所示。
1.3 复制类型
在更新复制中, 根据对复制要求的不同复制可分为紧急复制和延时复制两种类型。活动目录中涉及到安全性的重要改变如账号锁定或对LSA密码的修改或对RID管理器的修改等, 将立即通知并复制到伙伴上, 不需要等待时间, 这种立即通告称为紧急复制;延时复制是需要等待时间的, 在一个域控制器上的变化到达站点内所有域控制器的时间, 默认的延迟时间是15s, 当没有变化通告时, 默认情况下在站点内域控制器之间每隔1小时复制一次, 而在站点间域控制器之间每隔3小时复制一次, 由于性能要求的不同可能需要的等待时间也有所差异。
1.4 复制冲突
冲突是指在同一时间, 在多部域控制器上变更位于活动目录域上相同项目的一种操作动作。在一个多主复制系统中, 同一个属性更新两个或多个不同的拷贝是可能的, 当第二个拷贝的改变在第一个拷贝的改变完全传播之前进行时, 复制冲突就发生了。要检测并解决发生在同一对象上的同一个属性内的冲突, 活动目录采用属性版本号的方法来完成冲突的检测与解决。与更新序列数 (USN) 是服务器确定值不同, 属性版本号是由活动目录对象的属性确定的。在活动目录对象的属性第一次写入时, 就进行版本号的初始化。一个对象上的属性的属性版本号并非由域控制器来定义的, 对象属性版本号会一直记载在对象的属性上, 除非此对象的属性被其他的用户删除掉了, 否则对象的属性版本号都会一直附在对象属性上。
源写入 (Originating writes) 可以更新版本号。源写入是一个在系统初始化改变时向属性进行的写过程。由复制引起的属性写过程不是源写入因而不更新版本号。
在一个复制过程中, 接收到的属性版本号与本地存储的属性版本号相对应, 如果二者不同, 那么在接收到通过该复制引起的改变时, 就检测到了冲突。当这一过程发生时, 接收系统会采用具有较迟时间标志的更新。这是在复制过程中惟一采用时间的情况。当接收到的版本号比本地存储的版本号低时, 就意味着这个更新是过时的而且可以放弃了。当接收到的版本号比本地存储的版本号高时, 更新就被接受了。
1.5 复制内容
活动目录数据库按逻辑划分成目录分区, 每个目录分区都是一个复制单元, 而且每个分区都有自己的复制拓扑。活动目录复制的信息内容有架构分区、配置分区和域分区。每个目录林中只有一个架构分区和配置分区, 而域分区可以有多个, 但每个域中只有一个域分区。架构分区中保存了所有对象及其属性的定义以及激励和控制的规则;配置分区包含了活动目录结构的信息;域分区用来存储指定域的信息, 比如用户、组、计算机和组织单元。
2 站点内与站点间的复制
一个或多个通过高速连接的IP子网构成了站点。创建站点是为了优化复制流量和允许用户更好地访问域控制器 (包括身份认证和资源的访问) 。站点在概念上不同于域, 因为一个站点可以跨越多个域, 而一个域也可以跨越多个站点。站点并不属于域名称空间的一部分。站点控制域信息的复制, 并可以帮助确定资源位置的远近。
2.1 站点内复制
站点内复制是在同一站点的不同域控制器之间发生的。当域控制器的对象发生了变化时, 就会产生一个变化通告 (Change notification) 进程, 缺省等5分钟 (对于紧急复制不需要等待时间) 后发送消息给复制伙伴。而且复制流量是未压缩的, 这样做得好处是减轻域控制器的处理负担。
2.1.1 站点内复制拓扑
活动目录域通过KCC (Knowledge Consistency Checker) 会自动在站点内的每一部域控制器与域控制器间, 自动产生环状路径的目录复制拓扑结构。K C C是域控制器的内建进程, 它创建连接以保持复制拓扑的完整性。需要注意的是, KCC不能看到物理网络。活动目录复制系统允许复制拓扑的循环 (拓扑环以3个为宜) 。尽管如此, 在任意时刻, 如果某一站点内的复制无法进行或出现单点故障, KCC将会介入并新建所需数量的连接对象以继续进行活动目录复制。除此之外, 活动目录域也会定期地分析一个站点里的目录数据更新复制路径, 以确保这条目录数据复制路径是有效率的。
复制拓扑建立完成后, 如果复制拓扑中某一域控制器上的目录数据发生了改变, 那么该域控制器就会根据复制请求将复制帧沿着复制拓扑路径一直流动到站点里的每一部域控制器上, 直到站点内所有的域控制器都已接收到这份域目录数据帧的内容为止。因为环状拓扑结构可以确保任何一部域控制器到另外一部域控制器至少有两条复制路径的存在, 以避免如果当一部域控制器暂时性的离线或死机, 域目录数据更新的复制程序将不至于中断, 会继续将域目录更新数据传播到位于站点内其他的域控制器上。一个站点内的三个域控制器的复制拓扑图如图2所示。
2.1.2 站点内复制过程
KCC采用传播衰减来避免改变的无限传播及对已更新拷贝的冗余传送。KCC采用最新向量来衰减传播。最新向量是在每个服务器中存储的server-USN (更新序列数, USN是一个64位数, 由每个活动目录服务器保持) 列表。在每个服务器中的最新向量表征了从server-USN中的服务器得到的定向写过程的最高USN。在给定地址列表中的服务器的最新向量所有该位置的其他服务器。
当一个复制周期开始时, 请求服务器将它的最新向量发送给传送服务器。传送服务器采用最新向量来过滤发送给请求服务器的改变。如果一个给定定向写过程的USN大于等于某一特定更新的定向写过程的USN, 那么传送服务器就不需要传送改变;请求服务器相对于定向写过程已经是最新的了。
当一个给定的同伴通知目录服务器需要复制时, 服务器对所有比最近一次收到数值高的USN发出请求。这是一个非常简单的途径而且不依赖于精确的时间标志。由于接收每次更新时表中存储的USN是自动更新的, 所以失败后的恢复也是很简单的。要重新启动复制, 服务器只需对其同伴表中比最近一次有效登录值高的USN发出请求。由于当改变有效时表是自动更新的, 被打断的复制周期通常可以从它打断的位置重新进行, 而不失去任何复制的更新。
假设DC1和DC2是一个站点内的复制伙伴, DC1进行了初始更新, 则DC2更新的顺序图如图3所示。其过程是, 首先DC1向DC2发出变化通告, 当DC2收到变化通告后, 把DC1的更新序列数 (USN) 与自己的更新序列数进行比较, 如果接受到的更新序列数比自己的高, 则向DC1发出复制请求, 其后DC1向DC2发送复制帧, 更新开始并完成。当DC1和DC2同时对同一对象的同一属性进行了更新且发生冲突时, 由于两个域控制器的更新序列数相同, 所以冲突只能靠时间戳的先后解决, 即用“最后更新取胜 (most recent change wins) ”的策略来解决冲突。若DC1的时间戳比DC2的时间戳早, 则DC2废弃DC1的复制通告;若DC1的时间戳比DC2的时间戳早, 则DC1废弃DC2的复制通告, 时间迟的改变覆盖时间早的改变。冲突解决之后, 复制过程开始。
2.2 站点间复制
在不同站点间进行复制, 默认情况下KCC是不知道复制拓扑的。这时就要求在两个站点间创建一个站点链接, KCC把这个站点链接作为站点间复制的逻辑路径。可以把两个或两个以上的站点链接通过站点链接桥连接起来, 以规范网络的路由选择, 需要注意的是一定要确保站点链接桥所连接的不同站点链接中有相同的站点。
若两个站点间的所有域控制器均参与复制, 会浪费很多的广域网带宽, 而且也不需要这样做。一个很好的解决办法是在每个站点中指定一台桥头堡服务器, 然后再与本站点内的域控制器进行同步。默认情况下, KCC自动在一个站点内指定桥头堡服务器, 当该桥头堡服务器不能正常工作时, KCC自动指定其他服务器作为桥头堡服务器。
在站点间也存在复制拓扑, 站点间的复制拓扑是由站点间拓扑产生器 (Intersize topology Generator, ISTG) 建立和维护的。每个站点都会自动指定一台域控制器作为ISTG, 默认情况下在每个站点中的第一台域控制器充当ISTG的角色, 不能手工指定ISTG角色。ISTG服务器可以在站点中自动选择一台或多台域控制器成为桥头堡服务器, 来执行站点间的复制。
图4展示了站点A和站点B间的复制拓扑结构。在站点A和站点B间的复制流量是被压缩的, 压缩比大约为10%-15%。复制采用的协议是RPC over IP或SMTP, 但SMTP只能用于不同域的域控制器之间的复制, 大多数情况下, 采用RPC over IP, 仅当网络链接不支持RPC协议或作为一个备份的传输协议时才使用SMTP协议。
3 结束语
活动目录的应用使得网络更易于部署和管理、更加安全和更加可靠, 而活动目录复制技术是活动目录的关键技术之一。通过本文的介绍和讨论, 必将为规划和设计运行良好的网络环境奠定坚实的基础。
参考文献
[1]颜逸品.Windows2000Server企业网络建构实务--Active Directory篇[M].北京:中国铁道出版社.2001.2.
[2]商宏图.Windows Server2003活动目录[M].北京:机械工业出版社.2005.8.
活动目录 篇2
(一)活动目录数据的修改过程:(具体修改过程如下图所示)
在C:windows tds(如果系统装在C盘)目录下有几个文件,数据库ntds.dit,日志文件edb.log, 这个文件最大是10M,当不够时会生成 edb00001.log等文件,当创建或删除用户时会写入此文件,(其实 首先写出缓存)然后再写入edb.log和ntds.dit,并把该操作记入 edb.chk文件,当C盘空间不够时,系统 会删除res1.log和res2.log两个文件,这样又有了20M空间可用。
(二)AD数据库的优化:
1.移动AD数据库(进入AD的恢复模式,开机F8,选目录还原模式)
应用场合:当C盘空间不够了,可以实现。
ntdsutil
files
info 查看当前数据库等信息存放的情况。
move db to d: 该操作适宜场合:原来C盘的空间不够了,或为了提高性能,把数据库和日志文件 分开存放。
只移动的是:ntds.dit和edb.chk
move log to d: 这是移动日志文件,一般情况下可把日志文件和DB分开存放。
2.压缩AD数据库
有两种压缩方式:一种是在线整理(由DC自动完成),一种是离线整理(手动进行)
a.在线整理:DC会每隔12小时自动运行所谓的“垃圾收集程序”来整理AD库,它只是将资 料有效率的重新整理、排列。不会减小空间。此时AD在线。
b.离线整理:在目录还原模式内手动进行,会压缩空间,AD离线。
操作方式:进入目录还原模式后,
运行ntdsutil
file
compact to d: emp 压缩后的文件一般会变小,文件名还是ntds.dit
然后手动复制到原来的位置,你会发现数据库变小了,而且AD的性能会变好。
Integrity 检查AD数据库文件是否有损坏,
(三)AD数据库备份和还原:
1.备份:对于AD的备份,不能单独备份,可以通过备份“系统状态”来实现。
操作:运行ntbackup,高级模式,备份,系统状态,然后选择备份位置和文件名即可,大约需要10几 分钟左右时间,要看你AD的大小了。
2.还原:(只能还原60内的备份数据)分主还原、正常还原、授权还原。
a.主还原:AD和操作系统都坏掉了。
操作:当域内所有的DC都坏掉了,可以在第一台DC上进行主还原,然后再在其它DC上依次进行标准还 原(正常还原),这样其它DC会从第一台DC上的数据来同步。
**主还原和正常还原一样,只不过在进行还原时,单击高级后,选择“当还原复制的数据集时, 将还原的数据作为所有副本的主要数据”一项,即可结束。
b.正常还原:AD坏但操作系统好(F8进入目录恢复还原模式,运行ntbackup,还原,选择备份文件还 原即可)不用演示了吧~~~~
c.授权还原:一般对某个用户的删除进行恢复。
如果有多个DC,之间进行多主控复制,但当你删除了一个对象,想还原之,其它DC的AD中还会有这个 用户。但如果你使用正常还原,即原来备份的AD数据库来还原的话,由于原备份的对象的ID号肯定会比现 存的小,所以即使你还原了,过一段时间又会消失了,怎么办呢?最好采用这里的授权还原。它可以把还 原的对象的ID号每隔一天增加10万次。
具体操作如下:(还原AD后,不要重启,运行ntdsutil,进行相应的操作,如下所示:)
ntdsutil
authoritative restore
restore object cn=bob,cn=users,dc=nwtraders,dc=com 如果删除的是bob这个用户。
Restore subtree u=sails,dc=hp,dc=com 针对hp.com内的sails的OU实施强制性还原。
Restore database 授权还原整个数据库
注:你要注意,你所删除的用户或OU必须在备份文件中!!!
授权还原后,进入正常模式,运行 Repadmin /showmeta. cn=test,cn=users,dc=hp,dc=com 可以 查看版本号的变化情况。
活动目录 篇3
摘要:随着各行业信息系统日益增长,如何实现统一的用户管理越来越受到业界的关注,鉴于此,本文通过对微软公司活动目录技术的分析,提出了通过活动目录技术解决统一邮件系统的设计思想。
关键词:活动目录 邮件系统
1 概述
活动目录可以实现用户管理,提供对用户、应用程序和设备的单一、一致性的管理点;加强终端安全性。并且向用户提供单一的网络资源登录,为管理员提供强大、一致性的工具以使他们能够管理为内部计算机用户、远程拨号用户以及外部客户提供的安全服务。活动域管理是实施服务器管理、终端管理的基础,也为财务、人事、电子邮件、企业信息门户、办公自动化、防病毒系统等各种应用系统提供支持,是安全体系建设的基础。
活动目录(Active Directory)主要提供以下功能:①基础网络服务:包括DNS、WINS、DHCP、证书服务等。②服务器及客户端计算机管理:管理服务器及客户端计算机账户,所有服务器及客户端计算机加入域管理并实施组策略。③用户服务:管理用户域账户、用户信息、企业通讯录(与电子邮件系统集成)、用户组管理、用户身份认证、用户授权管理等,按省实施组管理策略。④资源管理:管理打印机、文件共享服务等网络资源。⑤桌面配置:系统管理员可以集中的配置各种桌面配置策略,如:界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。⑥应用系统支撑:支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。
2活动目录设计
由于Microsoft Windows Server和Microsoft Exchange都依赖 Active Directory 实现目录服务,因此必须确定如何将Exchange集成到Active Directory 结构中。要部署Exchange,需要从一个已建立的、处于稳定工作状态的Active Directory基础结构开始。下面简要介绍在统一邮件项目中活动目录的设计。
2.1 邮件系统与活动目录的关系 Exchange Server邮件系统与活动目录紧密集成,并且依赖活动目录完成其目录操作。活动目录可以为邮件系统提供邮箱信息、地址列表服务以及其他跟收件人相关的信息,同时邮件系统的配置信息也存储在活动目录中。通过活动目录的复制功能,可以将这些收件人相关信息和配置信息复制到各个活动目录域和站点中的域服务器,以供邮件系统就近访问。
可以说活动目录是邮件系统的安全系统,活动目录的安全机制保证了只有认证通过的用户可以访问邮箱,并且只有认证通过的管理员才能更改邮件系统中的配置信息。
邮件系统内置活动目录访问模块,用于和活动目录通讯(LDAP请求)以及缓存活动目录的信息,通过共享访问和缓存机制,可以减少活动目录域控制器以及全局编目服务器的负载。邮件系统可以发现活动目录拓扑,确认域控制器和全局编目服务器,并且维持可用的域服务器列表。
地址簿信息存储在活动目录中,邮件系统也对Outlook客户端地址簿访问提供支持。包括活动目录请求转发和活动目录请求代理两种方式。
在消息传输过程中,邮件系统的SMTP Categorizer(SMTP分捡器)将根据消息头中包含的信息去查询活动目录,并且决定消息路由,即消息如何传递以及消息将被传递到何处。另外SMTP Categorizer通过查询活动目录,解析发件人、收件人,以及邮件组,并且将每个收件人和每个发件人的限制应用于消息。
2.2 活动目录域建设方案 活动目录提供用户信息存储和用户身份认证,是统一邮件系统的基础。根据信息化统一战略,在DCN安全建设完成后,将实现按域划分管理模式,即采用一个森林根域,多个子账号域的模式,域间自动信任的访问方式,简化了域间关系,并考虑到域内自行管理账号的灵活性,保障网通统一的应用可访问性与安全性。
2.3 DNS设计 由于Exchange依赖DNS进行名称解析来进行邮件的传递,因此DNS的设计在邮件系统的设计中起到了至关重要的作用。
在邮件系统中,SMTP依赖DNS来确定其下一个内部或外部目标服务器的IP地址。通常,内部DNS可以帮助邮件服务器实现内部邮件服务器的查找,但是内部DNS名称不在Internet上发布。因此,SMTP必须能够联系到可以解析外部DNS名称以发送Internet 邮件的DNS服务器,以及可以解析内部DNS名称以实现组织内传递的DNS服务器。
2.4 DNS在邮件系统中的作用 DNS有以下三方面的作用:①DNS在发送和接收内部邮件时的作用②DNS在接收Internet 邮件时的作用③DNS在发送Internet 邮件时的作用。
2.5 DNS设计举例 基于以上要求,对DNS进行如下设计:
2.5.1 入站Internet 邮件:邮件以下列方式流入Exchange 组织:①来自Internet的邮件使用Internet IP地址向china.com域中的收件人发送邮件。②虚拟服务器2监视此Internet IP地址以侦听邮件,由于未配置虚拟服务器2中继邮件,因此它拒绝目标地址非公司域的邮件。③当虚拟服务器2收到从Internet发往本地域内部的主机的邮件时,通过内部NIC与Active Directory服务联系,以确定邮件要发往的目的地。④虽然虚拟服务器2监视外部IP地址以侦听传入的邮件,但是它基于路由表中的条目来使用适于路由邮件的任意IP地址。虚拟服务器2仅使用内部DNS服务来进行名称解析。虚拟服务器2未配置外部DNS 服务器列表,因此不解析外部地址。它拒绝发往公司域以外的域的所有邮件。
2.5.2 出站Internet邮件:邮件以下列方式流出Exchange组织:①用户向外部收件人发送邮件。②由于此邮件是出站邮件,因此它使用驻留在虚拟服务器1上的SMTP连接器。③当虚拟服务器 1 收到发往远程域的邮件时,使用外部DNS服务器列表来查找邮件收件人的IP地址,然后使用外部NIC来传递外部邮件。④虽然将虚拟服务器1配置为监视Intranet IP地址,但是它对外部邮件使用 Internet NIC。
3结论
3.1 目录服务技术是解决信息系统中用户资料统一的有效手段
3.2 微软的活动目录技术及其群件系统结合能够提供完整的邮件解决方案。
参考文献:
[1]Abraham Silberschatz,Henry E Korth,S.Sudarshan.Database System Concepts,Fourth Edition McGraw-Hill 2003.
活动目录 篇4
关键词:Windows,活动目录迁移,服务器
1 迁移的必要性
微软服务器产品不断的推出, 这意味着在服务器领域中不断的有新技术的实现, 对域控制器来说, 很有必要进行迁移。
在Windows server 2003中域控制器新增功能如下:
1.1 更强的灵活性
活动目录引入的重要新特性确保了它成为今天的市场中最具灵活性的目录架构之一。由于与目录集成的应用变得更为普遍, 因此组织能利用活动目录处理最为复杂的企业网络环境。从Internet数据中心到拥有大量分支机构的企业, 由Windows Server 2003所提供的改善可以大大简化管理并且提高性能和效率, 使它成为一个应用十分广泛的解决方案
1.2 对域的部署管理
Windows Server 2003增强了管理员的能力以使其即使在包含多个森林、域及站点的大企业中也能有效的配置和管理活动目录。改进的迁移和管理工具连同重命名域的功能, 使得部署活动目录任务明显简化。工具也提供了更加人性化的拖曳、多对象的选择以及保存和重用查询的功能。另外对组策略进行了改进以使其能够被更加简单和有效地在活动目录环境中对大量用户和计算机进行管理。
1.3 重命名域
支持对当前森林中域的DNS名称与Net BIOS名称的更改, 并且保证了森林仍然是“结构良好”的。管理员在活动目录部署后调整结构时有了更大的灵活性。可以对最初的设计进行修正, 这使得企业在发生合并或重组时更容易改变现有的目录结构。
1.4 架构 (Schema) 重定义
活动目录的灵活性得到了增强, 可以在活动目录架构中禁用定义的属性和类。这样, 在初始的定义中出现了错误时, 属性和类可以被重新定义。
1.5 组策略的改进
微软在Windows Server 2003中推出一个新的组策略的管理工具, 作为统一的组策略管理解决方案。微软的组策略管理控制台 (GPMC) 提供了一个管理所有与组策略相关任务的工具。GPMC使得管理员可以在一个森林中的多个站点或域中来管理组策略, 所有这些操作都通过一个支持拖曳功能的简化的用户界面进行。它包括一些新的功能比如对于活动目录对象的备份、恢复、导入、复制和报告。这些操作是完全脚本化的, 从而使管理员可以实现自定义和自动的管理。这些特性也可以使组策略更加易用, 帮助你更加经济高效地管理企业。
1.6 更加安全
额外的安全特性使得管理多森林和跨域信任关系更加容易。跨森林的信任关系是有别于现有Windows信任关系的新类型, 它可以管理两个森林间的安全关系——大大简化了跨森林的安全管理以及验证。用户可以在不用牺牲单一登录功能的情况下, 访问其他森林的资源, 并且由于只需在用户所在的森林中维护它的用户ID和口令, 因此管理也被大大的简化了。
1.7 软件限制策略
软件限制策略用来规范未知和不被信任的软件的使用。使用软件限制策略, 你可以通过指定哪些软件可以运行来保护当前的计算机应用环境不被非信任的软件影响。
1.8 改进的性能与可靠性
Windows Server 2003能够更加有效的管理活动目录的复制与同步。不管是在域内还是在域间管理员都可以更好地控制需要在域控制器间进行同步的信息类型。此外, 活动目录提供了许多技术可以智能地选择只将那些发生了更改的信息进行复制, 而不是机械地复制整个目录数据库。
1.9 可靠性的改善
活动目录包括了几个新特性来增强可靠性, 比如健康监视器, 这个功能允许管理员检验域控制器间的复制, 全局编录的复制也被改进了, 并且与Windows 2000相比, 一个更新的站间复制拓扑发生器 (ISTG) 可以在拥有大量站点的森林中提供支持, 从而增强了扩展性。
2 迁移过程
2.1 原Windows 2000 Server域控制器为SRV-AD01;准备迁移到的Windows Server 2003为SRV-AD02;域名为test.com。
2.2 操作步骤
在SRV-AD01上执行ntbackup, 对C盘进行全盘备份, 为迁移过程中出错后恢复做好准备。
在SRV-AD01上插入Windows Server 2003光盘 (假设光盘盘符为G) , 在CMD中依次执行以下命令:
在SRV-AD02的CMD中运行“dcpromo”, 将SRV-AD02作为SRV-AD01的额外域控制器, 在“Active Directory安装向导”中输入SRV-AD01的域管理员账号和密码, 域中输入“test.com”;在下一个窗口的“域名”中还输入“test.com”, 等待完成后在SRV-AD02上依次执行以下命令:
将SRV-AD01关机, 测试客户机是否能正常登陆域, 如果正常的话在SRV-AD01上运行“dcpromo”, 对SRV-AD01进行降级, 完成域的迁移工作。
3 迁移过程中的注意事项
在上一节中对迁移过程进行了说明, 按照步骤进行操作可以完成对域控制器的迁移, 但是在迁移前需要注意以下几个方面:
1) 确保新服务器有足够的可用磁盘空间;
2) 将新服务器所有补丁更新到最新;
3) 对旧服务器进行完整备份;
4) 升级前禁用新、旧服务器的防病毒软件。
师德师风活动目录(范文) 篇5
1.师德师风先进个人材料(曹)
2.师德师风先进个人材料(董)
3.曹*荣誉证书
4.董*荣誉证书
5.师德师风问题治理活动会议记录
6.师德师风问题问卷调查表(样本)
7.集中学习讲课材料
8.教育政策法规学习心得(单独存放)
9.教育政策法规学习笔记(单独存放)
10.师德师风问题自我剖析材料(单独存放)
11.师德师风责任状(单独存放)
12.教师廉洁从教承诺书(单独存放)
13.师德师风问题治理问卷调查表(单独存放)
被忽略的目录 篇6
“目录”指按一定次序开列出来供查考的事物名目。如:图书目录,产品目录,文章目录等。
课本中的文章目录大多被我们老师忽视了,师生除了用来查找有关课文页码的依据外,就被闲置起来了。其实,只要我们精心准备,仔细琢磨,上好目录,对我们新学期的学习是有着不可估量的作用的。
一、利用好目录,有利于整体了解把握教学内容
当一本新书发到同学们手中后,同学们总喜欢东翻翻,西看看,或是看某些插图,或是读某篇课文,总有些爱不释手。如果新学期一开始,第一天上课,老师便按部就班从第一篇文章教起,学生的兴趣也许会大打折扣,一则学生的心思还未全回到教室,二则是学生的兴趣在整本书中,在他喜欢的文章里。老师在讲,而学生呢?总会有人在读自己喜欢的文章。因此,近十年来,我的开学的第一课,都是从目录开始的,感觉还有些效果。这学期也是如此,我说:“又是一个新学期开始了,我们每个同学的手中都拿到了一本新书。翻开书,一股淡淡的墨香味会扑鼻而来,现在请大家闻一闻,看是否果真如此。同学们立刻双手捧着书,翻开后,凑上鼻子,闻了起来,有同学兴奋地说:“耶,真的耶,我闻到了一股清新的墨香味。”然后,我再请大家说说:“你拿到一本新书后,是怎样开始读的?”有的说:“我先读第一课。”有的说:“我先翻翻看看,这里读读,那里看看。”有的说:“我是从目录开始读的,再读自己喜欢的文章。”我说:“是啊!读书的方法多种多样,不拘一格。可以随便读,也可以从目录读起,先读喜欢的,感兴趣的,再读其他的。目录是一本书的索引,是一本书的“司令部”,读书从目录读起,你会对整本书的内容有个全面的了解,宏观的把握,是不错的读书方法。以后我们可以这样来读书。那这节课,我们就一起来读一读目录。”学生先自由读,再大家一起朗读,然后交流:你从目录中了解了哪些知识?毛宁说:“我知道这本书一共有32课。”申福元说:“我知道这册书有八个单元,有8个语文乐园,每个单元都有一篇课文配有一幅插图。”高贵川说:“我知道这册书有生字表,一共有150页。”毛艺霖说:“我知道这册书有哪些文章。”……这样,学生不就对整册书的内容有了一个整体的了解了吗?有了良好的开始,只要坚持下去,就不怕没有好的结果。
二、学目录,能体现学生的个性阅读
人的兴趣爱好往往由于阅历的不同而不同。兴趣是学习最好的老师。为了激发学生的阅读兴趣,千万不要忽视每一个教学环节,哪怕是小小的目录阅读。我们教师也要充分尊重每一个学生的阅读选择。我在目录的学习中,组织学生交流:“从目录看,你喜欢哪篇文章?为什么?”龙丽竹说:“我喜欢《秋的原野》。因为秋天是丰收的季节,原野是一片金色的稻子,还因为这篇文章的语言很美,是我们积累好词佳句的好文章,也是学习写作的范例。”毛艺霖说:“我喜欢《心愿》。文章写了一位捡垃圾的老爷爷资助一个小学生完成了学业。老爷爷的爱心让我佩服,值得我们学习。”周琪琪说:“我喜欢《比金钱更重要》。因为在人与人的交往中,有比金钱更重要的东西,那就是诚实和信任。我被文中那个人的故事所感动了。我也要像他一样,做一个诚实、守信的人。”李俊谕说:“我喜欢《神圣的路程》。因为文中的菲迪皮茨带着伤,跑了两天两夜,寻求援兵支助,没有搬到救兵,后来,孤军奋战,取得胜利,然后又坚持跑到雅典城,把胜利的喜讯告诉老百姓,他的这种坚持不懈的精神,让我震撼。”……
三、在目录的学习中,展示了阅读的快乐
让学生在愉快、轻松的环境中学习,让学生健康、快乐地成长,是我们教师所追求的教育目的。在目录的学习中,我满足学生的喜好,让学生展示朗读自己喜欢的课文。没有教师的约束,没有繁琐的讲解,学生自由选择,可以一人单独朗读,也可跟他人合作。胆小的可以跟着别人读。这样,学生就能尽显自己的能力,一个个都读得很认真,挺卖力,情趣高涨。连最不爱读书的王文亚也给大家做了展示,他读的是《父爱深深》,虽然读错了许多字,某些地方的停顿也没有读好,但是,他却敢大声的当众朗读了,这也是一个不小的进步。还有几个同学的朗读,迎得了同学们一阵阵热烈的掌声。整节课,学生的学习积极性都很高,学生也感觉到了读书的快乐。
目录,这看似不起眼的知识,这个被无数老师忽略的角落,我们应该把它重视起来。上好目录,不仅能帮助学生了解本学期的学习任务,还能让学生学到读书的方法。这非常普通的地方,短小的知识,只要我们老师好好去琢磨,这个小小的内容也能上出乐趣来的。你不防也试试吧!
活动目录 篇7
关键词:油田企业,工程设计,活动目录,信息化
一、活动目录架构设计
考虑油田工程设计企业网络系统特点, 为集中管理账户和系统目录资源并降低系统复杂度, 活动目录系统设计为单森林/单域结构。为提高部署速度并节约建设成本, DNS架构保持现有体系, 并将Windows 2008 R2活动目录集成的DNS与WINS服务器提供给加入域的客户端。
在核心服务器设计方面, 部署冗余基础结构服务器, 用于活动目录跨服务器运行, 避免单点故障引起平台运行中断。在主辅结构域控制器设计方面, 部署两台基础结构服务器, 作为“主域控制器 (PDC) ”和“额外域控制器 (BDC) ”。
为实现操作系统远程分发、Office及SQL Server等软件补丁升级, 提高企业客户端管理效率, 启用DHCP服务并采用WSUS。
二、活动目录架构实施
2.1建立活动目录架构。服务器:HP Proliant DL580G5;主域控制器:1台Windows Server 2008 R2;额外域控制器:1台Windows Server 2008 R2。
2.2创建组织单元 (OU) 及添加账户 (Account)
2.2.1按部门名称批量创建组织单元及组
创建组织单元:for/f"tokens=1-4 delims=, "%a in (d:部门名称.csv) do dsadd ou ou=%a, ou=doe, dc=doe, dc=com, dc=cn-desc%b
创建组:
for/f"tokens=1-4 delims=, "%a in (d:部门名称.csv) do dsadd group cn=%b, ou=%a, ou=doe, dc=doe, dc=com, dc=cn-desc%a
2.2.2收集整理各部门用户账户信息表
2.2.3建立账户名命名规则, 即按中石油邮箱名称命名登录名
2.2.4账户创建, 即通过用户账户信息表批处理方式创建账户并加入所在组
创建账户:for/f"tokens=1-4 delims=, "%a in (d:部门人员信息.csv) do dsadd user cn=%a, ou=部门名称, ou=doe, dc=doe, dc=com, dc=cn-samid%b-disabled no-pwd P@ssw0rd-upn%b@doe.com.cn-display%a-memberof cn=doe, ou=doe, dc=doe, dc=com, dc=cn cn=部门所在组, ou=部门名称, ou=doe, dc=doe, dc=com, dc=cn
2.3成员服务器加入域。所有成员服务器分别加入域, 以便正确地对其实施安全保护和身份验证。
2.4成员客户端加入域。配置客户端的IP地址、子网掩码、网关及DNS, 更改计算机名, 登录计算机使之隶属于doe.com.cn域。
三、油田工程设计企业活动目录应用效果
3.1实现人的身份管理。企业活动目录集中管理架构为油田工程设计业务系统、客户端及用户提供统一管理和认证服务。
3.2实现设备的管理。企业活动目录集中管理架构实现客户端打印机管理、软件和操作系统分发、委托管理及远程桌面协助等, 提升了主营业务系统运行效率。
3.3实现专业软件增值。通过企业活动目录与展示层虚拟化结合应用, 大幅提升油田工程设计专业计算软件价值, 单套软件即实现增值N-1倍 (N=用户数) 。
3.4提升系统安全管理水平。作为统一安全管理中心, 企业活动目录利用安全组策略技术进行服务器和客户端安全控制, 提升了企业网络系统安全管理水平。
四、结束语
活动目录 篇8
关键词:活动目录,域,组策略,高效管理
随着企业规模的日益扩大, IT管理上的许多弊病逐渐暴露出来。企业活动目录 (AD) 架构是一个企业目录管理服务平台。它是在Windows域环境下提供了一个逻辑的、有层次的目录信息组织结构。AD与组策略的完美结合, 实现企业网的高效管理。
1 活动目录与组策略
1.1 活动目录
活动目录[1]是用于Windows的目录服务。它存储网络对象, 并以结构化数据存储作为目录信息供管理员和用户方便地查找和使用。活动目录是一个分布式的目录服务, 信息可以分散在多态不同的计算机上, 保证用户能够快速访问。既提高了管理效率, 又使网络应用更加方便。
1.2 组策略简介
组策略[2]是Windows中的一套系统更改和配置管理工具的集合。简单说, 组策略就是修改注册表中的配置。组策略可以设置各种软件、计算机和用户策略。组策略配置存储在组策略对象[3] (GPO) 中。GPO是包含多种组策略设置的集合, 存储在组策略容器GPC和组策略模板[4]GPT两个位置。
要充分发挥GPO的功能, 需要AD域架构的支持, 利用AD可以定义一个集中的策略, 所有的Windows服务器和工作站都可采用它。基于AD的GPO存储在某个域中, 并且复制到该域的所有域控制器上。在创建GPO时, 是对存储在域控制器中的系统SYSVOL共享文件夹的GPT的各项进行设置, 创建一个GPO就在Windows中创建了相应的GPT。
2 企业活动目录及组策略的应用设计与实现
2.1 实验所需的环境及活动目录设计方案
部署一台装有Windows Server 2003服务器做主域控和加入域的Windows XP做客户端。以及AD平台、OU控制台、GPMC软件等。DC网络属性IP和DNS的基本配置。
在部署主域控前, 首先制定好AD域命名和DNS的规划。在server 2003上安装AD, 输入“dcpromo”, 通过向导安装。设计的企业AD域架构拓扑如图3-1所示。
2.2 利用组策略实现软件限制
(1) 实现思想
软件限制可以防止计算机环境中安装运行未知的或不信任的软件。管理员根据需要在软件限制策略中添加配置若干类型的附加规则, 限制某个特定版本程序的运行。程序文件经哈希规则处理后将形成一个加密的密文, 无论文件名称和位置如何变化次密文都保持不变。
(2) 实现过程
对与工作无关的应用程序的运行限制, 通在“计算机设置—Windows设置—安全设置—软件限制策略”下有“安全级别”项包括“不允许的”和“不受限的”规则, 默认是不限制任何软件。另外通过“其他规则”项右击选择“新建哈希规则”来限制一些娱乐程序以及明确限制的某些程序。
2.3 利用组策略实现软件分发
(1) 实现思想[5]
大规模部署软件时, 采用C/S网络分发模式, 并能对软件的安装及版本更新做到一定的控制, 在“软件安装”中对软件可以指派或发行。指派可将程序分配到用户或计算机, 指派后, 用户第一次登录到计算机时安装此程序。在该用户第一次运行此程序时, 安装过程完成。发行针对用户, 当用户登录后可在“添加/删除程序”中安装程序。
(2) 实现过程
先创建分发点。在发布的服务器上创建共享网络文件夹, 并对其设置允许访问的权限, 将MSI程序包复制到分发点。
随后指派程序包。给员工分发办公必须软件, 操作:在“计算机设置—软件设置”右击“软件安装”, 选择“新建—程序包”, 指定程序包的网络路径。
2.4 利用组策略禁用U盘
(1) 实现思想
该策略主要控制安装USB驱动, 通过对usbstor.pnf和usbstor.inf的文件设置权限实现禁用USB设备。但此方法只对未在计算机上使用过USB设备有效, 并且磁盘分区必须为NTFS格式。而且该策略只是针对计算机对象。
(2) 实现流程
初次使用检测到设备时, 验证是否设置“组策略限制”, 若设置了则启用该策略禁止安装设备。当然必须使用U盘设备的, 可以提供管理员用户和密码来安装;若未设置, 则允许安装。
具体操作:首先制作禁用usb.adm模板, 然后将它拷贝到C:WINDOWSinf目录下, 打开“组策略管理”, 右击“禁用USB策略”编辑, 在计算机配置下, 右击“管理模板—添加删除模板”, 选择“usb.adm”。此时在“管理模板—Custom Policy Settings”右击Restrict Drives, 打开“查看—筛选”, 取消“只显示能完全管理的策略设置”前面的勾号, 设置后点击Restrict Drives下有软驱、光驱、USB等。对相应驱动USB启用“Disabled”策略。
2.5 AD备份与恢复
利用Windows 2003自带的备份工具。点击“开始-运行”, 输入“Ntbackup”回车, 也可以点击“开始-程序-附件-备份/还原”, 通过备份向导来完成。
AD恢复一种从域的其他域控制器DC上恢复数据, 损坏的DC修好后重新安装并加入到它原来的域时, DC之间会自动进行数据复制, AD也会随之恢复;另一种就是从备份介质恢复, 有授权还原和非授权还原。
非授权还原, 首先重启按F8进入目录服务还原模式, 使用具有管理员权限的账户登录, 通过还原向导完成后重启;授权还原, 必须先实现非授权。然后使用“开始-运行”输入“ntdsutil”命令实现授权还原, 先删除第一台DC的AD所有信息, 可以用“?”的方法来调用使用说明, 随后把FSMO五种角色强行夺取过来。
3 结束语
网络管理、安全是一个综合性的课题, 涉及技术、管理、使用等许多方面。本文利用组策略实现Windows域管理。实现了软件分发、禁用U盘等功能, 提高了工作效率。使得企业网中软件管理、维护更加方便, 提升了信息化管理水平。
参考文献
[1]戴有炜.Windows Server 2003用户管理指南[M].北京:清华大学出版社, 2004.
[2]戴有炜.Windows Server 2008 Active Directory配置指南[M].北京:清华大学出版社, 2009.
[3]吴怡.计算机网络配置、管理与应用[M].北京:高等教育出版社, 2005.
[4]唐灯平.应用组策略部署和管理软件[J].计算机安全, 2010 (4) :42-44.
活动目录 篇9
受公司规模、经营范围、人员构成等方面的限制, 各企业计算机配置方式和使用方式也有着很大的不同。有些公司会采取单独购置专门管理软件的方式对计算机进行管理, 其功能与网吧类似, 可以安排专人进行管理。这种管理方式适用于计算机数量较少, 而公司计算机数量较多而且有多种外围设备 (如:打印机扫描仪等) 如果购买管理软件, 性价比比较低, 网络管理人员工作量大。如果没有管理软件的话, 大量的计算机和用户管理就成了一个巨大的问题。
1 用户、计算机分散式管理
一般地, 微软系统在对计算机进行管理时, 主要通过域模型和工作组模型两种方式对其进行有效控制。而在计算机操作系统完成的情况下, 系统会自动默认其管理模式为工作组管理。在工作组环境下, 用户和计算机是相互独立的, 用户要想使用计算机资源, 必须先建立本地账户, 这是一种分散式的管理方式。
1.1 分散式管理中存在的一些问题
在这种分散式管理方式下, 用户和计算机相互分离, 计算机设备管理不集中, 无法安排专人看管。这就使员工在使用计算机过程中, 容易因管理不善而出现种种问题, 具体来说, 主要包括以下几个方面:
1.1.1 员工任意使用计算机, 给公司网络安全带来隐患
据有关调查数据显示, 约有51.7%以上的员工在上班时间没有遵守公司制度, 任意使用计算机做与工作无关的事情, 如玩游戏、看视频、聊天或浏览不健康网页, 这不仅造成公司网络信息资源的极大浪费, 还会影响那些正常查找资料或使用资源的员工。同时, 计算机的任意使用还会给公司的网络安全带来隐患, 影响公司的正常运行。
1.1.2 系统软件遭到破坏, 影响其正常使用
在日常使用中, 一些员工常会任意下载一些与工作无关的软件, 或任意操作软件系统, 改变其运行设置和条件, 这就对公司的系统软件造成了一定程度的破坏, 影响其正常运行, 严重的甚至会造成系统崩溃, 从而大大增加了企业的网络维修与维护成本, 不利于企业的长远发展。由于公司计算机都存有个人数据, 无法安装还原软件。因此系统软件容易遭到破坏。
1.1.3 关机不当造成系统和设备损伤
公司内的计算机很多都不是员工下班使用完成之后就关机了, 计算机长期处于运行状态影响计算机使用寿命。如果强行断电关机又会对设备和软件造成损伤, 但要对每个员工电脑进行关机检查的话也是个很大的工作量。
1.2 工作组模型管理事例分析
在计算机网络中, 工作组就是相同名称的多台计算机的组合总称, 其中同在一个工作组中的计算机可以实现自身硬件资源和软件资源的共享, 同时每台计算机的地位都是平等的。分析工作组模型属性可知, 工作组模型只是一个逻辑上的集合, 同一工作组中的计算机相互独立, 各自管理, 每个计算机都有自己单独的用户账号。因此, 工作组模型管理方式较为分散, 不适用于大型网络, 只适合小型局域网。
为进一步寻求工作组适用于大型网络系统的可能性, 并检验分散式管理的效果, 我们可以通过以下事例进行验证分析:
假设当前工作组内一计算机Y采用分散式方式进行管理, 它需要将服务器Q中的资源进行分配, 并及时传送给员工A, 而这些资源可能是共享文件、共享打印机、电子邮件以及数据资料等。要想设置这些资源的访问权限, 限定仅有员工A一人可以访问和使用, 就必须在服务器上创建一个仅限A一人使用的账户, 并设定密码, 接下来就在员工A的计算机Y上访问服务器上的共享文件夹路径, 服务器会提出身份验证请求, 员工A输入了自己的用户名和口令。当用户名和口令验证通过后, 员工A才可以访问并使用目标资源, 从事相关任务活动。
以上操作在小型网络中是非常容易的, 管理人员只需按照上述程序即可达到预期目标, 而一旦将其扩展至大型网络, 就会出现一系列问题。首先, 大型网络中拥有众多服务器, 假设公司现有100台服务器, 而要想将这些服务器上的特定资源都分配给员工A将是一个庞大的工作量, 网络资源管理成本过高。因此, 工作组管理仅适用于一些小型网络, 而无法适应高效率的大中型网络。
2 用户计算机集中式管理
2.1 活动目录域服务 (AD DS) 的概念
域模型是针对大型网络的管理需求设计的, 域 (Domain) 的真正含义是指的是服务器控制网络上的计算机能否加入的计算机组合。域服务器对域中的计算机和用户实行严格的管理, 这对于网络安全是非常必要的。在对等的网络模式下, 任何一台计算机只要接入网络, 其他机器都可以访问共享资源, 如共享文件、打印机等。不过在域模式下, 至少有一台服务器负责每一台接入网络的计算机和用户的验证工作, 成为域控制器 (Domin Controller, 简写为DC) , 而活动目录 (Active Directory, 简称AD) 就是用来存储这个域中的用户账户、密码、属于这个域的计算机信息的数据库。
2.2 域的架构
如图所示, 域模型是由最基本的组织单位 (OU) 构成, 主域又被成为父域是权限最高的域, 其下可以有数个子域, 子域与父域之间存在相互信任关系可以相互访问。如某公司主域为book.com, 其下又设有子域:Beijing.book..com、Shanghai.book.com等子域。父域和子域的架构合称为域树, 多个域树之间可以手动建立信任关系形成域林从而构成了域的架构。
2.3 域控制器的优点
通过分析域的基本定义与内容, 我们可以得知, 域模型在设计之初就充分研究和考虑到了一系列资源共享问题, 在域控制器内创建了一个统一的用户账号, 这样员工通过共享即可使用, 从而有效地避免了账户多次创建的麻烦, 极大地提高了企业办公效率。
通过域控制器, 公司网络管理人员可以实现对整个计算机系统和账号用户的有效管理, 在此网络环境下, 员工只能访问和浏览那些政策允许的网站, 从而有效地保证了系统的使用安全。
3 Windows server2008活动目录域服务 (AD DS) 的应用
通过安装Windows server2008的活动目录域服务 (AD DS) , 建立了一个可以集中话管理的网络环境。通过域服务中的一些应用可以帮助管理员解决大批量的任务, 减轻管理员负担。
3.1 活动目录 (AD) 用户管理
域服务安装完成后会自动生成活动目录 (AD) 数据库, 我们可以通过AD管理工具进行用户和组织单位 (OU) 的创建、删除、移动等操作。经过上面介绍大家应该知道组成域的基本单位是组织单位 (OU) , 组织单位的划分非常灵活, 可以根据公司情况定制, 如财务部, 销售部等。使用AD管理工具可以分别给个组织单位分配不同的文件共享权限。只要将用户放到相应的OU中用户即可获得该OU中的文件访问权限。管理非常方便。活动目录 (AD) 架构如图2所示。
3.2 域控制器的组策略管理
所谓组策略, 就是通过采用一些有效的技术方式, 对活动目录进行优化重组, 从而使其应用发挥至最大化, 简化管理程序, 推动计算机管理朝着自动化。简单化。智能化方向发展, 极大地影响着整个域内的管理环境。在设置时, 管理员只需依据相关要求进行一次设置就可以完成对所有域内用户的设置, 减轻了其工作负担。组策略的应用范围极广, 除用户账户设置外, 还可用于桌面外观管理、应用程序管理、安全配置、脚本指令等方面。同时, 组策略还可以对本地资源进行重新分配管理, 通过设置指令和权限的方式防止用户任意添加和更改软件, 保障了系统的平稳运行。
4 结束语
综上所述, 域控制器对计算机设备管理是一种高效的管理模式, 它通过对设备的严格管理与限制, 有效地保障了计算机的使用安全, 同时还极大地提升了计算机的管理性能。目前, 域控制器被广泛地应用于我国大中型企业, 大大提升了企业的办公效率。同时, 域控制器的管理范围进一步扩大, 除企业办公外, 还被广泛应用至学校机房管理和图书馆计算机管理等。
摘要:本文主要讲述在企业用户和计算机分散式管理与集中管理的对比, 使用windows server2008 R2服务器域控功能实现企业用户计算机的统一管理、计算机日常维护、用户权限与功能分配等方面的应用。
关键词:域控制器,分散式管理,企业计算机管理,windows server 2008 R2
参考文献
[1]朱泽青.企业计算机管理升级问题的考量[J].科技信息, 2012 (06) .
[2]王永, 王峰.活动目录 (Active Directory) 安装与配置.计算机网络管理与配置项目化教程[M].清华大学出版社, 2012.
[3] (美) 斯坦尼克著, 微软技术丛书之精通Windows Server 2008[M].刘晖, 欧阳译.清华大学出版社, 2009.
活动目录 篇10
掌握活动目录技术是规划、实现和管理Windows网络系统必须具备的核心专业技能, 本课程旨在培养学生具备能够根据企业实际需求为企业设计、规划、部署和管理活动目录架构以及解决相关疑难问题的专业核心能力。对学生职业能力培养和职业素质养成起支撑和促进作用。
以工作过程为导向, 校企合作进行课程开发
根据教育部相关文件的具体要求, 即开展基于岗位能力与工作过程为导向的课程体系改革, 通过与行业企业合作对相关岗位任职要求进行分析、归纳, 将工作任务分解为知识、能力、素质, 同时参照职业标准进行课程模块设计, 制定课程考核标准, 以此为基础组织课程教学资源, 进行实训条件与教学团队建设, 并组织实施校企合作完成对学生的评价。基于工作过程课程开发的思路如图1所示。
以职业能力培养为重点, 优化课程内容体系
根据行业企业发展需要和完成职业岗位实际工作任务所需要的知识、能力、素质, 选取教学内容, 并为学生可持续发展奠定良好的基础。“工作的过程是学习, 学习的内容是工作”, 教学的内容必须针对工作的过程, 同时学习的内容也必须适合学生的认知特点。选取教学内容必须考虑的因素如图2所示。
依据由浅入深、由易到难、由部分到整体的认知规律, 本课程的教学内容分成两个阶段。第一阶段:通过分析工作岗位中典型的工作任务及工作中必备的技能, 提炼浓缩成11个工作必备的知识模块, 对应着11个实践操作任务, 设计转换成8个教学情境, 以企业网络项目——罗斯文公司网络为载体, 融合序化教学过程。第二阶段:为使学生能够深刻理解工作过程多层次的需求, 熟悉工作过程中真实操作需求和操作流程, 完成企业所需要的相关系统任务, 课程以一个真实的案例——“尚志通信公司之网络服务器设计”为载体, 学生严格遵循企业项目开发过程, 从系统评估到设计实施到最后测试。第一阶段是由合到分, 是从整体到部分;第二阶段是合, 是由部分到整体。本课程教学内容以两个项目为载体 (见图3) , 教学内容紧密围绕职业能力培养, 以行业企业发展需要和完成实际工作任务所需要的知识、能力和素质要求为目标, 并兼顾可持续性发展能力需求。教学内容的展开贯穿以实际工作任务为主线, 激发学生的学习兴趣, 并且对课程内容的训练具有很强的操作性, 使学生能够体验到学习和工作的一致性。通过学习掌握工作技能, 教学过程体现了教学做一体化。
遵循学生认知规律, 以行动导向创新教学模式
重视学生在校学习与实际工作的一致性, 有针对性地采取工学交替、任务驱动、项目导向、课堂与实习地点一体化等行动导向的教学模式。基于“学习的内容是工作, 通过工作实现学习”的教学思想, 以多媒体教室、项目实训室、虚拟企业实习基地为基础, 以“教学做工学结合五步行”作为教学设计的总体指导思想 (见图4) 。
采用多元教学方法, 提升学生自主性学习与创新能力
制定教学方法需考虑以下因素:活动目录的规划、实现和管理课程, 强调对资源对象的综合平衡应用与管理, 管理遵循“木桶原理”, 强调管理中的安全意识;新技术和新应用的层出不穷, 要求加强工作者终身学习和责任意识的培养;职业技术人才的培养本着学以致用、工学结合的思想。因此, 在教学方法选取上应充分考虑以上因素, 确定以学生为主体、基于工作过程的思路来设计教学。宏观上采用项目为导向, 微观上采用“启、思、演、练、结”五字教学法 (见图5) , 并灵活融入多种教学方法——任务驱动, 案例教学, 分组讨论, 角色扮演等等。
以测评职业能力与素养为依据, 形成过程化考核评价机制
过程性评价主要对学生学习的方法、情感、态度和价值观, 学习自信心、独立思考习惯、合作交流意识、认知发展水平等方面做出客观的评价。美国教育评价专家斯塔弗尔比姆认为“评价最重要的意图不是为了证明, 而是为了改进”, 主要目标在于促进学生全面和谐发展, 改善学生的学习策略, 提高自我评价能力, 培养学生终身学习的能力。
过程性考核机制:通过教师评价、企业实习评价、学生自我评价、小组评价, 更好地实现对学生多角度、全方位的评价与激励, 努力使每一个学生都能得到成功的体验, 有效地促进学生的发展, 这种评价方式可以帮助学生反思自己的学习过程。
引入教考分离机制:学习完本课程后, 组织学生参加微软的认证考试。分过程性评价与终结性测试互补, 注重对学生学习质量进行评价, 注重对学习过程的评价。
《活动目录的规划、实现和管理》课程本着以就业为导向, 以职业能力培养为重点, 与行业企业合作进行基于工作过程的课程开发与设计;根据行业企业发展需要和完成职业岗位实际工作任务所需要的知识、能力、素质, 选取教学内容, 并为学生可持续发展奠定良好的基础;遵循学生职业能力培养的基本规律, 以真实工作任务及其工作过程为依据整合、序化教学内容, 设计学习性工作任务, 教、学、做结合, 理论与实践一体化, 实训、实习等教学环节设计合理;以企业真实项目为载体, 以企业相应岗位真实工作任务为驱动, 按照“教学做工学结合五步行”展开教学。同时, 恰当运用虚拟机和多媒体等现代教学技术、方法和手段。通过几年的探索, 教学效果显著。
摘要:高职教育强调以“工学结合”模式进行改革, 其核心是以工作过程为导向的课程开发和以行动为导向的教学模式改革。本文主要阐述《活动目录的规划、实现和管理》课程教学改革的课程开发理念与思路、教学内容与教学模式的创新、教学方法以及教学考核评价机制的改革。
关键词:高职教育,活动目录的规划、实现和管理,工学结合,教学改革
参考文献
[1]范路桥, 朱小平, 等.实施课程转换, 高效培养软件银领人才[J].中国职业技术教育, 2005, (3) .
[2]范路桥, 朱小平, 等.基于ACCP课程置换的教学改革实践与探索[J].职业教育研究, 2008, (1) .
[3]赵志群.职业教育工学结合一体化课程开发指南[M].北京:清华大学出版社, 2009.
[4]刘福军, 成文章.高等职业教育人才培养模式[M].北京:科学出版社, 2007.
【活动目录】相关文章:
学生活动阵地目录表05-15
windows 活动目录之应用篇05-18
八年级物理实验活动参考目录07-05
少先队活动室档案目录05-12
你的任务应该被自动化:活动目录05-27
乡镇卫生院管理年活动验收迎检资料目录05-18
WIN技巧:域控制器活动目录之备份与恢复三(组图)08-17
统计当前目录下多少文件、多少子目录、列出目录结构的shellWindows系统07-17
归档文件目录范本doc归档文件目录05-11