收藏
下载资源

专题之二NT基本概念及安装

上传人:mg****2 文档编号:122044045 上传时间:2020-02-29 格式:DOC 页数:27 大小:387KB
返回 下载 相关 举报
专题之二NT基本概念及安装_第1页
第1页 / 共27页
专题之二NT基本概念及安装_第2页
第2页 / 共27页
专题之二NT基本概念及安装_第3页
第3页 / 共27页
专题之二NT基本概念及安装_第4页
第4页 / 共27页
专题之二NT基本概念及安装_第5页
第5页 / 共27页
点击查看更多>>
资源描述

《专题之二NT基本概念及安装》由会员分享,可在线阅读,更多相关《专题之二NT基本概念及安装(27页珍藏版)》请在金锄头文库上搜索。

1、.专题之二 NT基本概念及安装第一章NT基本概念本章将介绍Widows NT的基本概念,例如域(domain)的定义、域的模式(Domain Model)、委托关系、用户帐号与组、权限的设置、主域控制器PDC和备份域控制器等。 1.1什么是NTDS与域现代的网络操作系统大都利用一个称为Dirctory(目录)的数据库,以便保存用户、组、安全设置等。在NT的目录服务NTDS环境中,域是其安全性与集中管理的最基本单位。一个域中包含一个或多个NT服务器,一个NT的网络可以由多个域组成。 图11一个WindowsNT的网络中可包含多个域NTDS具备以下的特点:(1) 目录数据库 Directory D

2、atabase, NTDS是建立在一个安全的目录数据库下,此数据库中保存着用户ID、密码、访问权限等数据。(2) 分散式的结构 你可以设置自动地将NTDS的目录数据库备份至其他的计算机中,此举既可平衡系统的负载,也可降低网络的负荷。(3) 单一登录 不论网上有多少台服务器,用户只能登录一次,就可以访问网上所有被赋予访问权限的资源,即使用户是由远程拨号请求登录,或通过Internet登录也是如此。(4)可在网络上任何一个地方管理网络 网络系统管理员可在网络上的任何一个地方,利用NIDS的功能管理网络,例如新增用户帐号、设置使用权限等。(5) 与异质网络的通信 通过Directory Servic

3、e Manager for NetWare (DSMN), NTDS也可以管理在NetWare2.x与3x 服务器上的帐号; NIDS也可以在UNIX_based的主机上运行。 按域为方式组织的wlndows NT网络,其所有用户、组帐号以及安全设置等数据都集中保存在一台称为“主域控制器”(PDC)的计算机目录数据库(DircctOry Database)中,并且不论域上有多少台服务器,用户只需要一个帐号与密码即可。同时网络系统管理员可在任何一个地方管理整个网络。 1.2 什么是工作组模式与域模式NT-based的计算机既可在工作组,也可在域中操作。 工作组是一组由网络连接在一起的计算机,但是

4、它们的资源与管理是分散在网络各计算机上的,而不是像域一样的集中式管理。 工作组:是计算机和用户的逻缉组。在工作组中,每个计算机管理自己的资源和用户帐户,工作组适合于小型群组工作,其中只有少量用户需要访问其它计算机上的资源。 域:与工作组类似,域也是计算机和用户的逻缉组,但在域中, 所有计算机都共享一个集中的目录数据库(存贮安全策略和用户帐户信息),目录 DBF 由一或多个NT Server域控制器来管理。(1) The Workgroup Model 工作组模式的管理是分散的,其主要的优点和缺点如下: 优点 缺点 不需NT Server域控制器 不能集中管理帐户 设计与实现简单 不适合大型组

5、适合于小型组 有限的集中控制(2) The Domain Model 在一个域中,运行NT Sever的计算机不是单独的服务器就是域控制器。每个域维护其自己的目录数据库。一个域必须有一个PDC( primary Domain Controller) ,可有多个BDC( Backup Domain controller)域控制器. 管理员只需在PDC的目录数据库中创建一个用户帐户一次。当用户登录到一个域中时, 域控制器通过目录数据库验证登录的合法性。当共享NT计算机上的资源时, 可以对域用户安排其使用的权限。 优点 缺点 对整个网络能进行集中的帐户和安全性管理 至少需一个PDC 域用户登录后,

6、可访问网络资源(多台计算机) 需先计划好再配 置安装网络 13什么是用户帐号(User Account) 每一个要登录到网络的用户,都必须被授予一个帐号名称,我们称之为“用户帐号”。帐号中包含着用户的名称、密码、用户权力(Rights)、访问权限(Permissions)等数据。用户帐号分为全局帐号(Global Account)与局域帐号(本地帐号,Local Account)的两种。一般我们所使用的是全局帐号,如果你添加一个用户帐号,则Windows NT缺省将其设为全局局帐号。全局帐号(域用户帐号):是在PDC的目录数据库中建立的。局域(本地)帐号只使用在特殊用途上,它是在这个计算机的本

7、地目录DBF中使用的用户帐号,该帐号只能访问那台计算机的资源。 WIN NT中提供两个内置的全局帐号,分别是: (1)administrator 它是用来管理整个域的内置帐号,也就是“系统管理员”。 (2)GUEST 供来宾访问域资源的内置帐号,例如临时想登录域,但是却没有帐号的用户,可暂时使用此帐号。 1.4什么是组(Group) 当我们新增用户帐号后,必须先设置该用户的权力与访问权限等,然后该用户才能访问其所想要的资源。为了便于管理,可以利用组(GrOup)的方式,将相同性质的用户归到同一个组中,就可帮我们减少管理上的困扰。组分为全局组、本地组及特殊组。(1) 全局组 可以通行所有域的组。

8、如果这个组可以被其他的域所引用,例如组内的组员可以到其他的域登录(即使其在这些域中没有帐号)、被其他域的系统管理员设置此组对该域的访问权限、加入到其他域的本地组中等,那么这个组就称为“全局组”。 只有域控制器才有全局组。全局组中只可包含该组所属域内的用户,不可包含其他域中的用户,也不可以包含其他的本地或全局组。(2) 本地组 域的本地组则可以包含所有域中的所有用户与所有全局组,但是不可包含其他的本 地组。也就是说,域上的本地组中可包含以下的组员: 本域中的用户帐号 本域中的全局组帐号 其他受托域中的用户帐号 其他受托域中的全局组帐号 本地计算机中的用户帐号图1.2 全局与本地组的范例 域中的本

9、地组,其所能够访问的资源范围,只取决于该域中的域控制器(PDC或BDC)。也就是说,如果你将资源的访问权限设置给域内的本地组,则此资源只可以是域控制器内的资源。同理,windows NT workstation、 windiws NT Server(非域控制器)计算机中的本地组(非域上的本地组),其资源访问范围也只限于该计算机。1.5 委托关系 委托关系是用来建立域与域之间的连接关系,它可以执行跨域的通行审核(Pass一Through Authentication)操作。 域之间经过委托后,用户只要在某一个域内有一个用户帐号,就可以访问整个网络中其他经过委托的域内的资源(即使用户在其他的域内没

10、有帐号),如图24所示。 可以称委托者为“信任域(Trusting Domain)”或“Resource 域”,称受委托者为“受托域(Trusted Donlain)”或“Account域”。当建立好委托关系后,信任域即可辨认受托域中所有的用户与全局组帐号,这些帐号可以在信任域中使用,例如 a. 在信任域中登录,但在登录时必须指明他是哪一个受托域中的用户。 b. 被加入到信任域中的本地组。 c. 在信任域中被设置其对该信任域的使用权力、访问权限。 d.访问信任域中的资源,如文件、打印机等。 委托关系可以是单向或双向的。(1) 单向的委托关系 图1.3所示为单方向的委托关系,也就是制造部域委托业

11、务部域,使业务部中的帐号可以在制造部中使用(例如到制造部域登录等),但是制造部中的帐号却不可以在业务部中使 图1.3经过委托与设置权限后,就可使用跨域的资源图1.4 双向委托的范例(2) 双向的委托关系 图14所示为双向的委托关系范例,制造部与业务部域相互委托。(3) 委托关系不具转移牲 委托关系是不具转移性质的,也就是虽然甲委托乙、乙委托丙,但甲与丙之间并不会有委托关系存在,如图1.5 所示。 图1.5 委托关系是无法转移的 1.6 域的成员组成一个域最基本的需求,是要有一台执行w1ndows NT Server的服务器,并且此服务器必须是“主域控制器(Primary,Domain Cont

12、roller, PDC)”。此服务器保存域内用户与组数据库的主要备份(Master Copy)。 除此之外,域内还可有其他的服务器与工作站,如图16所示: 图16域的成员a. 执行windows NT Server的服务器,并且是当作“备份域控制器(BDC)”b.执行windows NT Server的独立服务器(Standalone Server或Member Server)它既非PDC,也非BDCc.Lan Manager2.X serverd. windows NT Workstation client(中英文版)e. MS-DOS clientf.Windows 95 client(中

13、英文版)g.Windows 3x client(中英文版)h.其他的OS/2,Macintosh、 UNIX等client 以下几小节将对域成员中,属于Microsoft的产品做一简要的说明。(1) 主域控制器(PDC) 主域控制器必须是一台运行Windows NT Server的计算机,你也可以将它当作是文件、打印或应用软件服务器,但是一个域必须有、也只能够有一个“主域控制器”。 域上所有的用户帐号、组以及安全设置等数据都是保存在“主域控制器”的Directory中。当你建造域方式的NT网络时,域内的第一台计算机通常必须是“主域控制器”,也就是第一次安装Windows NT Server 4.0 中文版时,通常都必须将第一个安装的服务器设为“主域控制器”。 “主域控制器”也同时负责审核(Authenticate)登录(Logon)者的身份,例如检查是否为合法的用户等。(2)备份域控制器(BDC) “备份域控制器(Backup Domain Controller,BDC)”也必须是一台执行Windows NT Server的计算机,你也可以将它当作是文件、打印或应用软件服务器。 主域控制器

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 教学/培训

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号