《计算机网络 普通高等教育“十一五”国家级规划教材 教学课件 ppt 作者 周炎涛 胡均平 第6章》由会员分享,可在线阅读,更多相关《计算机网络 普通高等教育“十一五”国家级规划教材 教学课件 ppt 作者 周炎涛 胡均平 第6章(52页珍藏版)》请在金锄头文库上搜索。
1、第6章 Windows 网络技术,Windows Server 2003依据.Net架构对NT技术作了重要发展和实质性改进,并部分实现了.Net战略,或者说构筑了.Net战略中最基础的一环。,6.1 基本概念,Windows将其网络功能内置到了操作系统内部,而有些其他操作系统则是将网络功能附加到操作系统中去的; Windows操作系统在分布式网络环境或者在对等网络的环境中都可以同时作为客户端和服务器端存在。,6.1.1 Windows Server 2003,6.1.2 2003网络体系结构,6.1.3 Server 2003网络模式,1. 工作组模式 每台计算机既可以作服务器又作为客户机,它
2、们拥有自己的帐户和资源管理安全机制,计算机之间的资源共享无需特定的集中的服务器来管理,由各台计算机自行处理; 属于“对等式”(Peer-to-Peer)的结构,即网络中的计算机都是平等的地位,它们可以使用对方的数据,也让对方来使用自己的数据; 是一种分散式的管理。,2. 域模式,域内所有的计算机共享一个集中式的目录数据库,它包含着整个域内的用户账户与安全数据。 在 Server 2003内负责目录服务的组件为活动目录(Active Directory),它负责目录数据库的添加、删除、更改、查询等任务。,Server 2003 WeEdition不能作为域控制器; Windows XP Prof
3、essional、Windows XP Home、Windows 2000 Professional等用户端的计算机也不能作为域控制器。 一个网络内可以有多个域,并且能够将这些域构建成“域目录树(域树)”,3域中的计算机类型,(1)域控制器 一个域内可以有多台域控制器,而在大部分情况下,每台域控制器的地位都是平等的,它们各自存储着一份相同的活动目录。当在任何一台域控制器内添加了一个用户账户后,该账户被创建在这台域控制器的活动目录内,以后这份数据会自动复制到其他域控制器的活动目录内。该复制操作可以确保所有域控制器内的活动目录数据都能够同步,也就是拥有相同的数据。 安装多台域控制器还可以提供容错的
4、功能,还可以改善用户登录的效率,因为多台的域控制器可以分担审核用户登录身份(账户名称与密码)的负担。,(2)成员服务器,成员服务器包括Windows Server 2003、Windows 2000 Server或Windows NT Server。 上述服务器级的计算机并没有加入域,则被称为“独立服务器”;然而加入域后,就被称为“成员服务器”。,(3)其他计算机,要让用户在计算机上利用活动目录内的账户登录,则必须将这些计算机加入到域。 Windows Server 2003、Windows 2000 Server、Windows NT Server、Windows XP Profession
5、al、Windows 2000 Professional或Windows NT Workstation等计算机必须加入域,用户才能够在这些计算机上利用活动目录域的账户登录,否则只能够利用“本地安全账户数据库”内的账户登录。 在Server 2003环境下,可以将Server 2003、 Server 2000独立服务器或成员服务器升级为域控制器,也可以将域控制器降级为独立服务器或成员服务器。,6.2 活动目录与目录服务,功能是将网络中各种对象组织起来进行管理,方便了网络对象的查找,加强了网络的安全性,有利于用户对网络的管理。,6.2.1 活动目录基本概念,是存储以某种方式相关联的对象的信息集。
6、 活动目录的服务将网络中的各种资源的信息保存到一个数据库中,来为网络中的用户和管理员提供对这些资源的访问、管理和控制,这个数据库叫活动目录数据库。,6.2.2 活动目录结构,活动目录是一个分布式的目录服务,它是以阶梯式的结构,将对象、容器、组织单位(OU)等组合在一起,并将其存储到活动目录数据库内。,1. 活动目录逻辑结构,目录树由同一名字空间上的目录组成,域由不同的目录树组成,域树由不同的域组成,域林由多个域树组成; 域是Windows网络系统的安全性边界,既是Windows网络系统的逻辑组织单元,也是Internet的逻辑组织单元。每一个域中可以存储许多对象,域中存储的对象包括打印机、文档
7、、电子邮件地址等; 域树包含一个或若干个域,用户还可以在已有的域下建立若干个子域; 域林由一个或多个没有形成连续名字空间的域树组成。,活动目录的组织单元,2活动目录的物理结构,逻辑结构侧重于网络资源的管理,而物理结构则侧重于网络的配置和优化。 活动目录的物理结构主要着眼于活动目录信息的复制和用户登录网络时的性能优化。,(1)站点(Site),站点是指包括活动目录域服务器的一个网络位置,通常是一个或多个通过TCP/IP连接起来的子网。站点内部的子网通过可靠、快速的网络连接起来。 站点的划分使得管理员可以很方便地配置活动目录的复杂结构,更好地利用物理网络特性,使网络通信处于最优状态。,(2)域控制
8、器,域控制器是使用活动目录安装向导配置的计算机,活动目录的目录数据库存储在域控制器内。 有两种功能级别,即域的功能级别和森林的功能级别。,6.2.3 活动目录服务,活动目录不是一个独立的服务,它在结合以前的一些协议和服务之后才得以成功实现。,1DNS在活动目录中的应用,活动目录的一个最大的特点就是把DNS和活动目录紧密结合在一起。活动目录使用域名服务DNS 作为它的定位服务,同时对标准的DNS作了扩充。,2站点(Site)在活动目录中应用,通过合理地规划活动目录上的Site,可以有效地控制活动目录中DC的同步,优化网络带宽,提高网络性能。,网络中,用户和计算机都是网络的主体,2者缺一不可。 用
9、户必须要有一个账户,以便利用这个账户登录到域,然后访问网络上的资源,或者利用这个账户登录到某台计算机,然后访问该计算机内的资源。 组是用户和用户账户、联系人以及其他可作为单个单元管理的集合,而能够用组管理用户账户,就一定可以减轻网络管理的负担。,6.3 账户和组的管理,6.3.1 用户账户管理,Window每次登录时必须输入用户名,每一个登录到Server上的用户,必须有一个账户,称之为用户账户(User Account)。用户账户包含用户名、密码、用户的说明、用户权限等信息。,1用户账户类型,(1)域用户账户:存储在域控制器的Active Directory数据库内。用户可以利用域用户账户登
10、录域,并利用它访问网络上的资源, (2)本地用户账户:创建在非域控制器的“本地安全账户数据库”内,而不是域控制器的Active Directory数据库内。,2内置用户账户,Server 2003安装完毕后,它会自动创建一些内置的账户,其中比较常见的有如下两个。 (1)Administrator(系统管理员) (2)Guest(用户) 由于当前内置的账户中,只有Administrator才具有添加、更改、删除等管理账户的权限,因此一般先利用Administrator账户登录。,3本地用户账户,本地用户账户的作用范围仅限于在创建该账户的计算机上,以控制用户对该计算机上的资源的访问。所以当需要访问
11、在“工作组”模式下的计算机时,必须在每一个需要访问的计算机上都有其本地账户。,4域用户账户,域用户账户是用户访问域的唯一凭证,因此在域中必须是唯一的。域用户账户保存在AD(活动目录)数据库中; 为了保证账户在域中的唯一性,每一个账户都被Windows Server 2003授予一个唯一的安全识别符(Security Identifier,SID)。SID将成为一个账户的属性,不随账户的修改、更名而改动,并且一旦账户被删除,则SID也将不复存在,即便重新创建一个一模一样的账户,其SID也不会和原有的SID一样; 一台服务器安装AD成为域控制器后,其本地组和本地账户就被禁用了,6.3.2 组账户管
12、理,用户必须加入组后才具有特定的权利; 将具有相同性质的用户归结在一起,统一授权,这就是用户组(Group)。,1本地组与域组,本地组账户 域组账户,2组的类型,(1)安全组(Security Groups) (2)分布式组(Distribution Groups),3组的作用域,(1)通用组的成员可包括域树或域林中任何域中的其他组和账户,而且可在该域树或域林中的任何域中指派权限。 (2)全局组的成员可包括只在其中定义该组的域中的其他组和账户,而且可在域林中的任何域中指派权限。 (3)本地域组的成员可包括Windows Server NT/2000/2003域中的其他组和账户,而且只能在域内指
13、派权限。,不同组作用域的行为,4内置组,(1)内置本地组 (2)内置域组,*请按实际需求进行介绍,5本地组管理 6域模式下组管理,6.3.3 组织单位管理,1创建组织单位 2组织单位中添加组织单位、用户和组,6.4 NTFS的安全性,Server 2003文件系统在NTFS分区上可以利用NTFS权限和文件加密提高数据安全性和数据存储有效性,利用数据压缩和磁盘配额提高磁盘空间的利用率。,AGDLP策略,6.4.1 通过设置NTFS文件系统权限提高安全,Server 2003中NTFS权限只适用于NTFS分区,不能用于FAT和FAT32分区。 NTFS分区上的每一个文件和文件夹都有一个列表,被称为
14、访问控制列表(Access Control List,ACL),该列表记录了每一用户和组对该资源的访问权限。 Server 2003NTFS权限作用下,用户必须获得明确的授权才能访问相应的文件和文件夹。,1NTFS权限类型,分为特殊NTFS权限和标准NTFS权限2大类 标准NTFS权限可以说是特殊NTFS权限的特定组合。 Server 2003为了简化管理将一些常用的特殊NTFS权限组合起来并内置到操作系统中形成标准NTFS权限,当需要分配权限时可以通过分配一个标准NTFS权限而达到一次分配多个特殊NTFS权限的目的。,标准NTFS权限,特殊NTFS权限,2NTFS权限的继承性,(1)NTFS
15、权限继承性 (2)NTFS权限在移动和复制文件时继承性 (3)NTFS权限使用法则,3设置NTFS文件系统权限提高安全性,可以给文件和文件夹设置NTFS权限从而对文件和文件夹进行保护 (1)设置文件夹NTFS权限 (2)设置特殊的NTFS权限,6.4.2 通过NTFS文件加密提高安全,对要保护文件的访问可以通过使用用户权利及权限来限制 1加密文件 2解密用EFS加密的文件和文件夹,6.5 网络安全策略,(1) 帐号规则 用户可以对用户的密码进行设置,例如密码的有效期、密码长度、密码的唯一性、密码的修改周期等;用户还可以限制用户的登录次数,在超过规定次数后锁定帐号,设置帐号锁定的时间。,(2)用
16、户权限规则,NT中,“权限(Rights)”与“访问权限(Permission)”的定义是不一样的; 权限适应于整个系统,访问权限只针对某个对象,如目录、文件、打印机等。权限的优先级是超越访问权限的。 决定哪个用户或组被授予特定的系统权力,向用户授予或收回对网络中某些资源对象访问权。NT中正是通过给组授予相应的权限,从而直接影响到用户对网络资源的访问和使用; 用户权限分为两种:基本权限和高级用户权限,而它的预定义组中的成员则分配了特定的权限; 我们可以对域用户管理器选择“规则”下的“用户权限”来更改“用户权限规则”对话框的参数。,(3)审核规则,定义要记录的安全事件的类型,以便跟踪用户对系统各部分的访问; NT中利用系统日志、应用程序日志和安全日志对系统中的事件进行安全审核。,(4)信任关系规则,可传递信任 ; 单向信任 ; 交叉链接信任。,6.6 分布式文件系统,通过Server 2003 R2(Windows Server 2003的功能增强版本)的“分布式文件系统(DFS)”将相同的文件同时存储到网络上的数台服务器内,以便
