现代操作系统专题7.pdf

1现代操作系统专题之七现代操作系统专题之七网络管理网络管理电子科技大学计算机学院罗 蕾电子科技大学计算机学院罗 蕾概述概述?现代操作系统一般具备强大的网络管理功能现代操作系统一般具备强大的网络管理功能?支持许多不同的网络通讯协议支持许多不同的网络通讯协议TCP/IP IPV4/IPV6TCP/IP IPV4/IPV6IPX/SPX 通讯协议IPX/SPX 通讯协议AppleTalk 通讯协议AppleTalk 通讯协议PPP,SLIP等串口通讯协议PPP,SLIP等串口通讯协议广域网络(WAN)通讯协议:X.25,Frame-relay,.广域网络(WAN)通讯协议:X.25,Frame-relay,.概述概述?支持Internet/Intranet 所提供的服务支持Internet/Intranet 所提供的服务电子邮件服务电子邮件服务网页(Web)服务器网页(Web)服务器网页(Web)浏览程序网页(Web)浏览程序FTP 服务器与用户端程序FTP 服务器与用户端程序网络新闻(News)服务网络新闻(News)服务名字解析服务：DNS等名字解析服务：DNS等DHCP,bootp 等DHCP,bootp 等概述概述?对网络互连的支持对网络互连的支持路由选择功能路由选择功能以太网络桥接器(ethernet bridge)支持以太网络桥接器(ethernet bridge)支持网络流量控制(Traffic Shaping)功能网络流量控制(Traffic Shaping)功能防火墙(Firewall)功能防火墙(Firewall)功能代理服务器(Proxy Server)代理服务器(Proxy Server)?对网络管理的支持：目录服务、SNMP等对网络管理的支持：目录服务、SNMP等W2K目录服务目录服务?现代的网络操作系统大都利用一个称为现代的网络操作系统大都利用一个称为Directory（目录）的数据库，保存用户、组、资源的属性（安全设置等）。（目录）的数据库，保存用户、组、资源的属性（安全设置等）。?目录和目录服务是指公用和专用网络中的目录目录和目录服务是指公用和专用网络中的目录?目录是可以用多种不同方式引用的网络对象数据库，它存储与网络资源有关的信息以有利于定位和管理这些资源。目录是可以用多种不同方式引用的网络对象数据库，它存储与网络资源有关的信息以有利于定位和管理这些资源。?目录服务与目录不同是因为前者既是目录信息源又是使用户可以利用信息的服务目录服务与目录不同是因为前者既是目录信息源又是使用户可以利用信息的服务W2K目录服务目录服务?目录服务提供方法以组织和简化对网络计算机系统资源的访问，这使得根据对象的一个或多个属性来查找对象成为可能。目录服务提供方法以组织和简化对网络计算机系统资源的访问，这使得根据对象的一个或多个属性来查找对象成为可能。?例如，例如，?可能不知道对象的确切名称，但是他们碰巧知道该对象的一个或多个属性。可能不知道对象的确切名称，但是他们碰巧知道该对象的一个或多个属性。?使用目录服务，就可以查询目录以得到与所知属性相匹配的对象的列表。使用目录服务，就可以查询目录以得到与所知属性相匹配的对象的列表。2W2K目录服务目录服务?使用目录服务可以执行很多功能：使用目录服务可以执行很多功能：?提高安全性以保护其数据库内的对象不受外部入侵者的侵犯或不受没有访问权限的内部用户的侵犯。提高安全性以保护其数据库内的对象不受外部入侵者的侵犯或不受没有访问权限的内部用户的侵犯。?将目录复制到网络内的其他计算机以使更多用户可以利用它并使它免于发生故障。将目录复制到网络内的其他计算机以使更多用户可以利用它并使它免于发生故障。?将目录划分成多个存储区，而这些存储区位于网络上不同的计算机内。这使总体上目录有更多可用空间并允许存储大量对象。将目录划分成多个存储区，而这些存储区位于网络上不同的计算机内。这使总体上目录有更多可用空间并允许存储大量对象。?目录服务既是管理工具也是最终用户工具目录服务既是管理工具也是最终用户工具。网络越大，要管理的资源就越多。随着网络中资源对象的数目不断增长，目录服务变得更加必要。网络越大，要管理的资源就越多。随着网络中资源对象的数目不断增长，目录服务变得更加必要。W2K目录服务目录服务?微软在微软在NT4.0中就已贯彻了目录服务的思想，建立了中就已贯彻了目录服务的思想，建立了NTDS环境。环境。?NT的的“域（域（Domain）”的概念是目录服务的基本单元。的概念是目录服务的基本单元。?域是其安全性与集中管理的最基本单位。一个域中包含一个或多个域是其安全性与集中管理的最基本单位。一个域中包含一个或多个NT服务器，一个服务器，一个NT的网络可以由多个域组成。的网络可以由多个域组成。一个一个WindowsNT的网络中可包含多个域的网络中可包含多个域W2K目录服务目录服务?NTDS具备以下的特点：NTDS具备以下的特点：?(1)目录数据库Directory Database，NTDS是建立在一个安全的目录数据库下，此数据库中保存着用户ID、密码、访问权限等数据。目录数据库Directory Database，NTDS是建立在一个安全的目录数据库下，此数据库中保存着用户ID、密码、访问权限等数据。?(2)分散式的结构你可以设置自动地将NTDS的目录数据库备份至其他的计算机中，此举既可平衡系统的负载，也可降低网络的负荷。分散式的结构你可以设置自动地将NTDS的目录数据库备份至其他的计算机中，此举既可平衡系统的负载，也可降低网络的负荷。W2K目录服务目录服务?(3)单一登录不论网上有多少台服务器，用户只能登录一次，就可以访问网上所有被赋予访问权限的资源，即使用户是由远程拨号请求登录，或通过Internet登录也是如此。单一登录不论网上有多少台服务器，用户只能登录一次，就可以访问网上所有被赋予访问权限的资源，即使用户是由远程拨号请求登录，或通过Internet登录也是如此。?(4)可在网络上任何一个地方管理网络网络系统管理员可在网络上的任何一个地方，利用NIDS的功能管理网络，例如新增用户帐号、设置使用权限等。(4)可在网络上任何一个地方管理网络网络系统管理员可在网络上的任何一个地方，利用NIDS的功能管理网络，例如新增用户帐号、设置使用权限等。W2K目录服务目录服务?(5)与异质网络的通信通 过 DSMN，NTDS 也 可 以 管 理 在NetWare2.x与3x 服务器上的帐号。(5)与异质网络的通信通 过 DSMN，NTDS 也 可 以 管 理 在NetWare2.x与3x 服务器上的帐号。?按域为方式组织的按域为方式组织的NT网络，其所有用户、组帐号以及安全设置等数据都集中保存在一台称为网络，其所有用户、组帐号以及安全设置等数据都集中保存在一台称为“主域控制器主域控制器”（PDC）的计算机目录数据库中，并且不论域上有多少台服务器，用户只需要一个帐号与密码即可。）的计算机目录数据库中，并且不论域上有多少台服务器，用户只需要一个帐号与密码即可。?同时网络系统管理员可在任何一个地方管理整个网络。同时网络系统管理员可在任何一个地方管理整个网络。3W2K目录服务目录服务?W2K在在NTDS的基础上，进一步发展，提出活动目录服务（的基础上，进一步发展，提出活动目录服务（Active Directory Service）?ADS把把NTDS发展成完全可伸缩、可扩展的目录服务。发展成完全可伸缩、可扩展的目录服务。?ADS与与DNS有机的结合起来，既能满足商业有机的结合起来，既能满足商业ISP的需要，又能满足企业内互联网得需要。的需要，又能满足企业内互联网得需要。W2K工作组和域工作组和域?为有利于访问网络资源，为有利于访问网络资源，W2K支持支持2种类型的网络：工作组和域种类型的网络：工作组和域?工作组：工作组：是共享资源（如文件和打印机）的网络计算机的逻辑分组。是共享资源（如文件和打印机）的网络计算机的逻辑分组。?域：域：是共享中央目录数据库的网络计算机的逻辑分组，而中央目录数据库包含该域的用户帐户和安全信息。是共享中央目录数据库的网络计算机的逻辑分组，而中央目录数据库包含该域的用户帐户和安全信息。?工作组有时是指对等网络，在工作组内的所有计算机无需专用的服务器即可以平等地共享资源工作组有时是指对等网络，在工作组内的所有计算机无需专用的服务器即可以平等地共享资源W2K工作组和域工作组和域?工作组中的每台工作组中的每台W2K Server计算机和计算机和W2K Professional计算机都维护包含该计算机用户帐户和资源安全性信息列表的本地安全数据库，用户帐户和资源安全性的管理被分散了。计算机都维护包含该计算机用户帐户和资源安全性信息列表的本地安全数据库，用户帐户和资源安全性的管理被分散了。?用户必须在每台需要访问的计算机上都有用户帐户。用户必须在每台需要访问的计算机上都有用户帐户。?对用户帐户的变更比较麻烦，需要在不同的机器上完成。对用户帐户的变更比较麻烦，需要在不同的机器上完成。?在工作组中，运行的在工作组中，运行的W2K Server的计算机称为独立服务器（的计算机称为独立服务器（Standard Alone Server）W2K工作组和域工作组和域?工作组有以下的优点：工作组有以下的优点：?工作组不要求运行工作组不要求运行W2K Server的计算机保存集中的安全信息的计算机保存集中的安全信息?易于设计和实现，它不要求域所要求的大量计划和管理工作易于设计和实现，它不要求域所要求的大量计划和管理工作?虽然对于位置靠近且数量有限的计算机使用工作组很方便，但在超过虽然对于位置靠近且数量有限的计算机使用工作组很方便，但在超过10台计算机的环境中工作组不切实际。台计算机的环境中工作组不切实际。?工作组适用于不要求集中管理的小型技术用户组。工作组适用于不要求集中管理的小型技术用户组。W2K工作组和域工作组和域?在在W2K域中，目录驻留在配置为域控制器的计算机上。域中，目录驻留在配置为域控制器的计算机上。?域控制器是管理所有与安全有关的用户域控制器是管理所有与安全有关的用户/域交互操作并集中管理的服务器。域交互操作并集中管理的服务器。?W2K每个域都包括一个或对个域控制器，域中只有一种域控制器，所有的域控制器都对等。每个域都包括一个或对个域控制器，域中只有一种域控制器，所有的域控制器都对等。?对域中任何域控制器的更改，都会复制到域内所有其他域控制器上。对域中任何域控制器的更改，都会复制到域内所有其他域控制器上。W2K工作组和域工作组和域?W2K域的优点：域的优点：?提供集中管理，所有用户信息都是集中存储提供集中管理，所有用户信息都是集中存储?为用户提供单个登录进程以获得对他们具有访问权限的网络资源的访问。只要用户对资源有适当的权限，就可以登录到一台计算机上并访问网络中另一台计算机上的资源。为用户提供单个登录进程以获得对他们具有访问权限的网络资源的访问。只要用户对资源有适当的权限，就可以登录到一台计算机上并访问网络中另一台计算机上的资源。?提供可扩展性以便创建非常大的网络提供可扩展性以便创建非常大的网络4W2K活动目录服务活动目录服务?活动目录服务提供单点网络管理，可轻松地添加、删除和重新定位用户和资源。活动目录服务提供单点网络管理，可轻松地添加、删除和重新定位用户和资源。?活动目录服务包括目录（存储有关网络资源地信息）和使信息可用和有用地服务。活动目录服务包括目录（存储有关网络资源地信息）和使信息可用和有用地服务。?存储在目录内的资源，如用户数据、打印机、服务器、数据库、组、计算机和安全策略，都称为对象。存储在目录内的资源，如用户数据、打印机、服务器、数据库、组、计算机和安全策略，都称为对象。?活动目录服务在域内有层次地组织资源。活动目录服务在域内有层次地组织资源。W2K活动目录服务活动目录服务?活动目录功能活动目录功能?可伸缩性可伸缩性?在活动目录服务中，目录使用分区来存储信息。在活动目录服务中，目录使用分区来存储信息。?分区是将目录组织为节并允许存储大量对象的逻辑分配器。目录可安装几百个到几百万个对象。分区是将目录组织为节并允许存储大量对象的逻辑分配器。目录可安装几百个到几百万个对象。W2K活动目录服务活动目录服务?开放标准支持开放标准支持?活动目录服务结合了活动目录服务结合了Internet的的DNS概念和概念和NTDS，以统一并管理存在于企业网络的各类软件和硬件环境中的多个名字空间。，以统一并管理存在于企业网络的各类软件和硬件环境中的多个名字空间。?使用使用DNS作为它的命名系统作为它的命名系统?支持支持LDAP（轻量级目录访问协议）（轻量级目录访问协议）2和和3。?LDAP是用于访问目录服务的是用于访问目录服务的Internet标准（标准（RFC1777），它是作为），它是作为X.500目录访问协议（目录访问协议（DAP）更简单的替代品而开发的。）更简单的替代品而开发的。W2K活动目录服务活动目录服务?活 动 目 录 所 支 持 的 标 准 协 议活 动 目 录 所 支 持 的 标 准 协 议协 议协 议用 途用 途DHCP网 络 地 址 管 理网 络 地 址 管 理动 态动 态DNS 更 新更 新机 器 名 字 管 理机 器 名 字 管 理SNTP分 布 式 网 络 时 间 管 理分 布 式 网 络 时 间 管 理LDAP目 录 访 问目 录 访 问LDIF目 录 同 步目 录 同 步Kerberos身 份 鉴 定身 份 鉴 定X.509身 份 鉴 定身 份 鉴 定TCP/IP网 络 传 输网 络 传 输W2K活动目录服务活动目录服务?域名系统（域名系统（DNS）?活动目录服务使用活动目录服务使用DNS作为它的域命名和位置服务，作为它的域命名和位置服务，W2K域名也是域名也是DNS名。名。?W2K Server使用动态使用动态DNS（RFC2136、RFC2137），它使有动态指派地址的客户计算机可以用），它使有动态指派地址的客户计算机可以用DNS服务器直接注册并动态地更新服务器直接注册并动态地更新DNS表。表。W2K活动目录服务活动目录服务?DNS域和活动目录域的区别域和活动目录域的区别?DNS域和活动目录域对不同的名字空间使用同一样的域名。域和活动目录域对不同的名字空间使用同一样的域名。?它们各自存储不同的数据，管理不同的对象。它们各自存储不同的数据，管理不同的对象。?DNS存储它的区域和资源记录；活动目录存储域和域中的对象。存储它的区域和资源记录；活动目录存储域和域中的对象。5W2K活动目录服务活动目录服务?DNS和活动目录使用各自不同的数据库解析名字：和活动目录使用各自不同的数据库解析名字：?DNS是一种名字解析服务：是一种名字解析服务：DNS是通过是通过DNS服务器接受请求，查询服务器接受请求，查询DNS数据库来把域或计算机解析为数据库来把域或计算机解析为IP地址的。地址的。?DNS客户发送客户发送DNS名字查询到它们设定的名字查询到它们设定的DNS服务器，服务器，DNS服务器接受请求后或通过本地服务器接受请求后或通过本地DNS数据库解析名字，或查询因特网上别的数据库解析名字，或查询因特网上别的DNS数据库。数据库。DNS不需要活动目录就可以起作用。不需要活动目录就可以起作用。W2K活动目录服务活动目录服务?活动目录是一种目录服务：活动目录通过域控制器接受请求查询活动，目录数据库把域对象名字解析为对象记录。活动目录是一种目录服务：活动目录通过域控制器接受请求查询活动，目录数据库把域对象名字解析为对象记录。?活动目录用户通过活动目录用户通过LDAP协议向活动目录服务器发送请求，为了定位活动目录数据库，需要借助于协议向活动目录服务器发送请求，为了定位活动目录数据库，需要借助于DNS，也就是说，活动目录把，也就是说，活动目录把DNS作为定位服务，把活动目录服务器解析为作为定位服务，把活动目录服务器解析为IP地址。活动目录要发挥作用，离不开地址。活动目录要发挥作用，离不开DNS。?DNS可以独立于活动目录，但是活动目录必须有可以独立于活动目录，但是活动目录必须有DNS的帮助才能工作。的帮助才能工作。W2K活动目录服务活动目录服务?活动目录只能够容纳一个活动目录只能够容纳一个DNS根名字。根名字。W2K活动目录服务活动目录服务?支持标准名称格式支持标准名称格式?活动目录服务支持几个常见名称格式。活动目录服务支持几个常见名称格式。?用户和应用程序可以通过使用他们最熟悉的格式访问活动目录服务。用户和应用程序可以通过使用他们最熟悉的格式访问活动目录服务。?活动目录服务支持的一些标准名称格式：活动目录服务支持的一些标准名称格式：?RFC822：是：是usernamedomainname格式，是格式，是Email地址格式地址格式W2K活动目录服务活动目录服务?活动目录服务支持的一些标准名称格式：活动目录服务支持的一些标准名称格式：?LDAP URL和和x.500:LDAP名称使用名称使用X.500的属性命名。的属性命名。LDAP URL指定特有活动目录服务和对象属性名的服务器。指定特有活动目录服务和对象属性名的服务器。?通用命名规则（通用命名规则（UNC）：支持在基于）：支持在基于W2K的网络中使用的的网络中使用的UNC，以表示共享卷、打印机和文件，如：，以表示共享卷、打印机和文件，如：xlbudget.xlsW2K活动目录服务活动目录服务?活动目录结构活动目录结构?活动目录服务将网络分成两种结构：逻辑结构和物理结构。活动目录服务将网络分成两种结构：逻辑结构和物理结构。?逻辑结构：逻辑结构：?在活动目录服务中，以逻辑结构组织资源。在活动目录服务中，以逻辑结构组织资源。?这样就可通过资源的名称而不是物理位置找到资源。这样就可通过资源的名称而不是物理位置找到资源。6W2K活动目录服务活动目录服务?对象：对象：?有时也称为目录对象。对象是活动目录中的信息实体，它也是一组属性的集合，往往代表了有形的实体，比如用户账户、文件等。有时也称为目录对象。对象是活动目录中的信息实体，它也是一组属性的集合，往往代表了有形的实体，比如用户账户、文件等。?对象通过属性描述它的基本特征，比如，用户的属性可能包括姓名、电话号码、电子邮件地址等对象通过属性描述它的基本特征，比如，用户的属性可能包括姓名、电话号码、电子邮件地址等W2K活动目录服务活动目录服务?容器：容器：?容器是活动目录名字空间的一部分容器是活动目录名字空间的一部分?与目录对象一样，它也有属性，但与目录对象不同的是，它不代表有形的实体，而是其他目录对象或者容器的容器。与目录对象一样，它也有属性，但与目录对象不同的是，它不代表有形的实体，而是其他目录对象或者容器的容器。?目录树：目录树：?在任何一个名字空间中，目录树是指由容器和对象构成的层次结构。树的叶子节点往往是对象，树的非叶子节点是容器。在任何一个名字空间中，目录树是指由容器和对象构成的层次结构。树的叶子节点往往是对象，树的非叶子节点是容器。W2K活动目录服务活动目录服务?目录树：目录树：?目录树表达了对象的连接方式，也显示了从一个对象到另一个对象的路径。目录树表达了对象的连接方式，也显示了从一个对象到另一个对象的路径。?在活动目录中，目录树是基本的结构，从每一个容器作为起点，层层深入，都可以构成一棵子树。在活动目录中，目录树是基本的结构，从每一个容器作为起点，层层深入，都可以构成一棵子树。?一个简单的目录可以构成一棵树，一个计算机网络或者一个域也可以构成一棵树。一个简单的目录可以构成一棵树，一个计算机网络或者一个域也可以构成一棵树。W2K活动目录服务活动目录服务?域：是活动目录服务中逻辑结构的核心域：是活动目录服务中逻辑结构的核心?所有的网络对象都存在域中，每个域只存储有关它所包含对象的信息。所有的网络对象都存在域中，每个域只存储有关它所包含对象的信息。?理论上域目录可包含多达理论上域目录可包含多达1千万个对象，实际每个域千万个对象，实际每个域1百万个对象是所支持的范围。百万个对象是所支持的范围。?域被称为活动目录服务的分区。域被称为活动目录服务的分区。?域是域是Windows 2000网络系统的安全性边界。网络系统的安全性边界。?活动目录由一个或多个域组成。活动目录由一个或多个域组成。W2K活动目录服务活动目录服务?域：是活动目录服务中逻辑结构的核心域：是活动目录服务中逻辑结构的核心?一个域可以分布在多个物理位置上。每个域都有自己的安全策略以及它与其他域的信任关系。一个域可以分布在多个物理位置上。每个域都有自己的安全策略以及它与其他域的信任关系。?当多个域通过信任关系连接起来之后，所有的域共享公共的表结构当多个域通过信任关系连接起来之后，所有的域共享公共的表结构(schema)、配置和全局目录、配置和全局目录(global catalog)，从而形成域树多个域树连接在一起形成域林。，从而形成域树多个域树连接在一起形成域林。W2K活动目录服务活动目录服务?一个典型的域具有下列类型的计算机一个典型的域具有下列类型的计算机?运行运行W2K Server的域控制器：每个域控制器都存储并维护目录的副本。的域控制器：每个域控制器都存储并维护目录的副本。?运行运行W2K Server的成员服务器：不存储目录信息，不能验证用户。提供共享资源，如共享文件夹或打印机。的成员服务器：不存储目录信息，不能验证用户。提供共享资源，如共享文件夹或打印机。?运行运行W2K Professional的客户计算机：运行用户的桌面环境并使用户得以获得对域中资源的访问权限。的客户计算机：运行用户的桌面环境并使用户得以获得对域中资源的访问权限。7W2K活动目录服务活动目录服务?域树：域树：?域树由多个域组成，这些域共享同一个表结构和配置，形成一个连续的名字空间。域树由多个域组成，这些域共享同一个表结构和配置，形成一个连续的名字空间。?树中的域通过信任关系连接起来。活动目录包含一个或多个域树。树中的域通过信任关系连接起来。活动目录包含一个或多个域树。?可以从两个完全不同的角度来查看一个域树。可以从两个完全不同的角度来查看一个域树。?第一：可以从信任关系的角度来检查域树中的域与域之间的关系。在第一：可以从信任关系的角度来检查域树中的域与域之间的关系。在Windows 2000 中，域之间的信任关系基于中，域之间的信任关系基于Kerberos安全协议。安全协议。W2K活动目录服务活动目录服务?因为因为Kerberos信任关系是可传递的，所以域树可以通过信任关系建立层次结构。如图所示，域信任关系是可传递的，所以域树可以通过信任关系建立层次结构。如图所示，域A与域与域B以及域以及域B与域与域C之间有显式的信任关系，所以域之间有显式的信任关系，所以域A与域与域C之间形成了隐式的信任关系。之间形成了隐式的信任关系。W2K活动目录服务活动目录服务?第 二，从名字空间来看待域树的结构关系。第 二，从名字空间来看待域树的结构关系。?域树中的域可以按照父子关系形成层次结构，并进一步形成一个完整的域树名字空间。域树中的域可以按照父子关系形成层次结构，并进一步形成一个完整的域树名字空间。?这样的结构视图非常适合于把逻辑上分散的对象组织到一致的逻辑结构中。这样的结构视图非常适合于把逻辑上分散的对象组织到一致的逻辑结构中。?如图所示，域如图所示，域A、B1、B2 和和C形成了一个简单的层次结构，这些域可以在同一个名字空间中被命名。形成了一个简单的层次结构，这些域可以在同一个名字空间中被命名。W2K活动目录服务活动目录服务?域 林：域 林：?域林是指一个或多个没有形成连续名字空间的域树。域林是指一个或多个没有形成连续名字空间的域树。?域林中的所有域树共享同一个表结构、配置和全局目录。域林中的所有域树共享同一个表结构、配置和全局目录。?域林中的所有域树通过Kerberos信任关系建立起来，所以每个域树都知道Kerberos信任关系，不同域树可以交叉引用其他域树中的对象。域林中的所有域树通过Kerberos信任关系建立起来，所以每个域树都知道Kerberos信任关系，不同域树可以交叉引用其他域树中的对象。W2K活动目录服务活动目录服务?物理结构：活动目录服务的物理结构影响域控制器之间的复制效率。物理结构：活动目录服务的物理结构影响域控制器之间的复制效率。?站点：站点：?站点是指包括活动目录域控制器的一个网络位置，通常是一个或多个通过TCP/IP连接起来的子网。站点是指包括活动目录域控制器的一个网络位置，通常是一个或多个通过TCP/IP连接起来的子网。?站点内部的子网通过可靠、快速的网络连接起来。站点内部的子网通过可靠、快速的网络连接起来。W2K活动目录服务活动目录服务8?站点的划分使得管理员可以很方便地配置活动目录的复杂拓扑结构，更好地利用物理网络特性，使网络通信处于最优状态。站点的划分使得管理员可以很方便地配置活动目录的复杂拓扑结构，更好地利用物理网络特性，使网络通信处于最优状态。?当用户登录到网络时，活动目录客户机在同一个站点内找到域控制器，由于同一个站点内的网络通信是可靠、快速和高效的，所以对于用户来说，可以在最快的时间内登录到网络系统中。当用户登录到网络时，活动目录客户机在同一个站点内找到域控制器，由于同一个站点内的网络通信是可靠、快速和高效的，所以对于用户来说，可以在最快的时间内登录到网络系统中。W2K活动目录服务活动目录服务本地用户和组本地用户和组?用户帐户用户帐户User Accounts?组组Groups?用户权力用户权力User Rights?许可许可Permissions用户帐户用户帐户Account?人在社会中有名字，在网络中有用户帐号人在社会中有名字，在网络中有用户帐号?用户帐户是用户在网络上的标示，每个用户都有自己的用户帐户，并被赋予使用相应资源的权限及许可用户帐户是用户在网络上的标示，每个用户都有自己的用户帐户，并被赋予使用相应资源的权限及许可?用户在登录用户在登录Logon时输入用户名及密码时输入用户名及密码?用户帐号的管理由管理员完成的用户帐号的管理由管理员完成的帐号的管理，对资源的访问权限的管理帐号的管理，对资源的访问权限的管理管理员也是一计算机的用户，用有管理权限的用户帐户访问计算机管理员也是一计算机的用户，用有管理权限的用户帐户访问计算机用户帐户的类型用户帐户的类型?本地用户帐户本地用户帐户Local User Accounts访问本地计算机访问本地计算机存在于本地帐户数据库中存在于本地帐户数据库中?域用户帐户域用户帐户Domain User Accounts用于访问网络资源用于访问网络资源存在于活动目录中存在于活动目录中本地用户帐户本地用户帐户?存在于本地的帐户数据库中存在于本地的帐户数据库中SAMSecurity Account Manager?在本地进行身份验证在本地进行身份验证?只能用于访问本地的资源只能用于访问本地的资源?存在于存在于Stand-AloneServer和和Professional上上?域控制器上没有域控制器上没有用户名用户名 User Name?最长最长20字符字符?本地帐户本地帐户User Name不能重不能重?域用户域用户Full Name不能重不能重?特殊字符特殊字符“/:;|=,+*?不可用不可用常用的特殊字符常用的特殊字符 _使特殊帐户，位于显示的最上面使特殊帐户，位于显示的最上面Naming Convention9密码密码 Password?保护用户帐户不被非法使用保护用户帐户不被非法使用?最长最长128位位User Must Change Password at Next LogonUser Cannot Change PasswordPassword Never Expire?保护密码保护密码最短密码长度最短密码长度英文单词，纯数字等不好英文单词，纯数字等不好Built-in User Accounts?系统内建的本地帐户系统内建的本地帐户?Administrator系统内建的管理员帐户系统内建的管理员帐户对本地计算机进行管理工作对本地计算机进行管理工作可以赋予自己任何权限可以赋予自己任何权限妥善保护，设置密码妥善保护，设置密码?Guest某些资源，需要让所有人都能访问某些资源，需要让所有人都能访问当客户身份不能被验证（当客户身份不能被验证（authentication）时，自动被赋予此帐户的访问权限）时，自动被赋予此帐户的访问权限缺省被缺省被Disable工作组工作组Workgroup方式时很有效方式时很有效?Built-in Account可以改名，不能被删除可以改名，不能被删除Built-in User Accounts用户的权力和许可用户的权力和许可?Right为用户设置的为用户设置的存储在系统中存储在系统中在用户登录系统时生效在用户登录系统时生效?Permission许可是对资源设置许可是对资源设置存储在资源的访问控制列表中存储在资源的访问控制列表中ACL不需要用户重新登录，就会生效不需要用户重新登录，就会生效组组 Group?组是用户帐户的集合组是用户帐户的集合?组会被赋予对资源的访问权限及许可组会被赋予对资源的访问权限及许可?组内的用户帐户，会获得组的被赋予的所有权限及许可组内的用户帐户，会获得组的被赋予的所有权限及许可?用户可以同时属于多个组用户可以同时属于多个组组的类型组的类型?本地组本地组 Local Group存在于本地的安全帐户数据库存在于本地的安全帐户数据库可被赋予对本地资源的访问许可可被赋予对本地资源的访问许可域控制器上没有本地组域控制器上没有本地组?域上的组域上的组存在于活动目录中存在于活动目录中可用于赋予对网上资源的访问权限可用于赋予对网上资源的访问权限10本地组的成员本地组的成员?Local Group的成员的成员本地用户帐户能成为本地组的成员本地用户帐户能成为本地组的成员本地组不能成为其它本地组的成员本地组不能成为其它本地组的成员?有创建本地组权限的人有创建本地组权限的人AdministratorsAccount Operators?删除组后组内的成员不被删除删除组后组内的成员不被删除系统内建的本地组系统内建的本地组?Build-in Local Group被赋予了进行系统管理工作的权力被赋予了进行系统管理工作的权力备份，管理等备份，管理等AdministratorsPower UsersUsersGuestsBackup Operators系统内建的本地组系统内建的本地组?Special identities(Special Group)原原NT中的系统组中的系统组System Group组成员不能被修改组成员不能被修改成员随机器的运行自动修改成员随机器的运行自动修改EveryoneAuthenticated users不包含不包含GuestInteractiveAuthenticated Users?Authenticated Users象原先象原先NT4中的中的Everyone在在2000 Professional中是以下组的成员中是以下组的成员Power UsersUsers在在2000 Server中是以下组的成员中是以下组的成员Users一般的用户权力一般的用户权力?Windows2000为系统内建的组为系统内建的组Build-in Group赋了权限赋了权限Log on locallyChange the system timeShut down the systemAccess this computer form a networkAdministrators组的权力组的权力?所有的所有的Windows2000上都有的组上都有的组?唯一的一个被赋予了所有内建权力的组唯一的一个被赋予了所有内建权力的组?它可以给自己赋予所有自己没有的权力它可以给自己赋予所有自己没有的权力?可添加系统组件，升级系统可添加系统组件，升级系统?配置系统重要参数，如注册表的修改等配置系统重要参数，如注册表的修改等?配置安全信息配置安全信息11Power Users组的权力组的权力?在非域控制器上在非域控制器上?可以进行基本的系统管理工作可以进行基本的系统管理工作共享本地文件夹共享本地文件夹服务的管理，打印机的管理服务的管理，打印机的管理本地用户的管理本地用户的管理安装不修改注册表的软件安装不修改注册表的软件?不能修改的组不能修改的组Administrators和和Backup Operators?不能备份恢复文件不能备份恢复文件Backup Operators组的权力组的权力?所有所有Windows2000上都有的组上都有的组?可以忽略文件系统的权力进行备份和恢复可以忽略文件系统的权力进行备份和恢复?可以登录机器和可以登录机器和Shutdown系统系统?推荐在组策略中设置让他只可运行备份程序推荐在组策略中设置让他只可运行备份程序Users组的权力组的权力?一般用户所在的组，对系统使用的基本权力一般用户所在的组，对系统使用的基本权力?可运行程序、使用网络等可运行程序、使用网络等?可以可以Shutdown Professional,NOT Server?不能创建共享目录，不能创建本地打印机不能创建共享目录，不能创建本地打印机?不能安装能让其他人使用的软件不能安装能让其他人使用的软件Prevent Trojan horse programs?当发生老软件不能使用时当发生老软件不能使用时将用户加入将用户加入Power Users组组用用security template修改修改Users组的安全设置组的安全设置Right vs.Permission?Right修改用户或组的权限之后，必须重新登录后新权限才会生效修改用户或组的权限之后，必须重新登录后新权限才会生效?Permission对资源的访问许可的修改，会立即生效对资源的访问许可的修改，会立即生效删除帐户、组删除帐户、组?删除后再创建相同名字的用户或组删除后再创建相同名字的用户或组SID(Security Identifier)已经改变已经改变系统以系统以SID记录权限和许可记录权限和许可赋予原用户的赋予原用户的Right和和Permission都丢失都丢失?W2K支持下列网络通信协议：W2K支持下列网络通信协议：?TCP/IP?网际数据包交换网际数据包交换/顺序数据包交换（顺序数据包交换（IPX/SPX）?NetBIOS扩展用户接口（扩展用户接口（NetBEUI）?AppleTalk?DLC(Data Link Control)?红外数据协议（红外数据协议（IrDA）W2K网络通信协议网络通信协议12W2K TCP/IP?MS TCP/IP核心协议提供了一套计算机通信和网络互连的标准。MS TCP/IP核心协议提供了一套计算机通信和网络互连的标准。TCP/IP层次模型物理硬件与各种网络的接口RARP ARPICMPTCP,UDP各种应用协议网络接口层,物理层不是TCP/IP的一部分TCP/IPTELNET,FTP,SMTP1 物理层2 网络接口层3 网络层（Internet层）4 运输层应用层IP?（1）网络接口模型的底层是网络接口层。这一层负责数据帧的发送和接收，帧是独立的网络信息传输单元。网络接口层将帧放至网上，或从网上取下帧。（1）网络接口模型的底层是网络接口层。这一层负责数据帧的发送和接收，帧是独立的网络信息传输单元。网络接口层将帧放至网上，或从网上取下帧。?（2）互联层（2）互联层?互联协议将数据包封装成internet数据报，并运行必要的路由算法。互联协议将数据包封装成internet数据报，并运行必要的路由算法。?四个互联协议是：网际协议（IP）、地址解析协议（ARP）、网际控制消息协议（ICMP）和互联组管理协议（IGMP）。四个互联协议是：网际协议（IP）、地址解析协议（ARP）、网际控制消息协议（ICMP）和互联组管理协议（IGMP）。W2K TCP/IP?IP主要负责在主机和网络之间寻址和路由数据包主要负责在主机和网络之间寻