大学计算机网络技术及实训-张蒲生-大学教学资料课件PPT
收藏
资源目录
压缩包内文档预览:
编号:21836018
类型:共享资源
大小:16.02MB
格式:ZIP
上传时间:2019-09-06
上传人:QQ24****1780
认证信息
个人认证
王**(实名认证)
浙江
IP属地:浙江
25
积分
- 关 键 词:
-
大学计算机
网络技术
张蒲生
大学
教学
资料
课件
ppt
- 资源描述:
-
大学计算机网络技术及实训-张蒲生-大学教学资料课件PPT,大学计算机,网络技术,张蒲生,大学,教学,资料,课件,ppt
- 内容简介:
-
计算机网络技术及实训张蒲生 主编中国水利水电出版社第7章 网络操作系统 7.1 网络操作系统概述 7.2 Windows Server 2003的安装与配置 7.3 活动目录 7.4 用活动目录管理账户 7.5 访问控制与权限7.1 网络操作系统概述7.1.1 网络操作系统简介网络操作系统(Network Operating System,缩写为NOS)是使网络上各计算机能方便而有效地共享网络资源,为网络用户提供所需的各种服务的软件和有关规程的集合。这里,可共享的网络资源包括硬件(传输介质、服务器等)、软件(系统程序、实用程序、应用程序等)以及数据。7.1 网络操作系统概述常见的系统模型有:整体式、分层式、客户机/服务器结构。整体式操作系统:许多过程都被嵌入系统中,每个过程可以调用另外的过程,它们之间相互传递消息。分层系统:过程之间不能直接进行传送,数据的传送必须通过树形的层次结构,只能向更低层发送,不能向上传递。客户机/服务器模式的思想是:把操作系统分成若干进程,其中每个进程实现单个的一套服务。每个服务器运行在用户态,执行一个循环,检查是否有客户已请求该项服务。当客户发送一个消息给服务器来请求一项服务时,运行在核心态的操作系统内核把消息传递给服务器;该服务器执行操作;内核用另一种消息把结果返回给客户。7.1.2 主要的网络操作系统网络操作系统是用于网络的核心软件,目前流行网络操作系统有UNIX、Linux、NetWare、Windows NT/2000和Windows Server 2003等。1. UNIX操作系统UNIX出现于20世纪60年代末与70年代初之间,除主要作为网络操作系统外还可作为单机操作系统使用。UNIX作为一种开发平台和台式操作系统获得了广泛使用,目前主要用于工程应用、计算机辅助设计和科学计算等重要领域。7.1.2 主要的网络操作系统UNIX的主要特点:安全性高。可靠性高。网络功能强。强大的数据库支持功能。开放性好。UNIX也存在的不足。由于UNIX只能运行在较少数几家厂商制造的硬件平台上,所以在硬件的兼容性方面不够好。同时,UNIX的微内核公开后,虽然为UNIX带来了空前的繁荣,很多公司根据自身的特点和发展推出了自己的UNIX版本,但可惜的是这些不同的版本的UNIX之间并不兼容。7.1.2 主要的网络操作系统2. Linux操作系统Linux是一套免费使用和自由传播的类Unix操作系统,它主要用于基于Intel x86系列CPU的计算机上。其目的是建立不受任何商品化软件的版权制约的、全世界都能自由使用的Unix兼容产品。在Linux上构建网络服务器,是目前一个经济且实惠的选择。7.1.2 主要的网络操作系统主要的特点如下:(1)开放的源代码。 可以运行在多种硬件平台上。 支持大量的外部设备。 支持TCP/IP、SLIP和PPP。 支持的文件系统多达32种。Linux也存在的一些问题:最主要的是版本繁多。且不同版本之间存在大量的不兼容之处。7.1.2 主要的网络操作系统 3. Windows操作系统20世纪70年代,美国的Xerox公司成立了著名的Palo Alto研究中心(Palo Alto Research Center,PARC),该公司从事局域网、激光打印机、图形用户接口和面向对象技术等方面的研究。Apple Computer公司于1983年研制成功第一个GUI系统:Apple Lisa。不久,Apple又推出第2个GUI系统Apple Macintosh,这是世界上第一个成功的商用GUI系统。基于Intel X86微处理器芯片的IBM兼容机已渐露峥嵘。这样,就给Microsoft公司开发利用Windows提供了发展空间和市场。7.1.2 主要的网络操作系统Microsoft公司在1983年春季就宣布开始研究开发Windows,在1985年和1987年分别推出Windows 1.03版Windows 2.0版。1990年5月份推出Windows 3.0并一炮打响。这个里程碑式的操作系统一经面世,便在商业上取得惊人的成绩。一年之后推出的Windows 3.1对Window 3.0作了一些改进,引入TrueType字体技术。1995年推出新一代操作系统Windows 95,它可以独立运行,而且无需DOS支持。微软公司在93、94年还相继发布了Windows NT 3.1、3.5等系统版本,主要面向服务器市场。 7.1.2 主要的网络操作系统 1996年8月24日,微软公司宣布推出Windows NT 4.0。这在服务器版本的发展史上也是标志性的事件。 1998年6月25日Windows 98发布, 2000年9月14日Windows Me发布,集成了Internet Explorer 5.5和Windows Media Player 7,系统还原功能则是它的另一个亮点。 2000年12月19日Windows 2000(又称Windows NT 5.0)发布,它包括4个版本:Professional、Server、Advanced Server、Datacenter Server。2001年10月25日Windows XP发布,是目前操作系统使用率最高的一个系统。2003年4月底Windows Server 2003发布,是Windows 2000的一个升级。Windows Server 2003产品系列包含有4个32位的版本和两个64位的版本。 7.1.2 主要的网络操作系统 总体而言,相对于其前身Windows Server 2000,Windows Server 2003在可靠性和安全性上有很大的提高。在一些核心特性上做了重大修改,使得大多数的服务器升级、补丁安装或者安全补丁安装都不再要求系统重启。而且Windows Server 2003通过使用XML Web Service 和SOAP(Simple Object Access Protocol,简单对象访问协议),与一些不同的平台保持了一定级别的兼容,从而继续保持了微软公司产品系列的易用性优势。Windows Server 2003 标准版的启动画面。7.1.3 网络操作系统的基本功能1. 良好的系统服务2. 方便简单的设置方式和管理工具3. 良好的安全保密措施4. 良好的系统容错能力5. 对用户端的支持6. 丰富的应用程序7.2 Windows Server 2003的安装与配置 7.2.1 Windows Server 2003安装 表7-1列出了所需的硬件要求。7.2 Windows Server 2003的安装与配置2. 安装方式 光盘安装 网络安装3. 安装前的注意事项 选择升级或全新安装 升级 全新安装 选择许可证方式 “每客户”模式 “每服务器”模式 是否使用多重引导 文件系统的选择 硬盘分区的规划7.2 Windows Server 2003的安装与配置4. Windows Server 2003的安装过程 第一阶段为文本模式安装。主要是进行选择安装系统的磁盘分区、格式化和复制文件。这一过程基本上是自动的,无需人工干预。 第二次启动(第一阶段开始)时,用户需要按“Ctrl+Alt+Del”组合键,输入密码登录系统(安装过程中设置),进入系统之后,将自动弹出一个“管理您的服务器”窗口,如图所示。7.2 Windows Server 2003的安装与配置 单击“添加角色到您的服务器”右侧的“添加或删除角色”按钮。在此要确认安装所有调整解调器和网卡、连接好需要的电缆。单击“下一步”,弹出配置服务器角色向导,按图的内容可以配置服务器。7.2.2 Windows Server 2003的网络配置1. 计算机名的基本配置 单击“我的电脑”属性,出现“系统属性”对话框,单击“计算机名”选项卡,可以看到完整的计算机名称,如图7-12所示。单击“更改”可以对计算机名称更改,如图7-13所示。 图7-12 图7-137.2.2 Windows Server 2003的网络配置2. 网络协议、服务和客户基本配置 在Windows Server 2003企业版的安装过程中,安装向导会自动进行硬件检测工作,如果检测到用户的计算机上安装有网络适配器,安装向导会自动为该适配器添加驱动程序,以及进行中断号和输入输出地址等硬件配置,并让用户选择如何安装配置网络组件,选项包括:典型配置和自定义配置。右击“网上邻居”图标,从弹出的快捷菜单中选择“属性”命令,打开“网络和拨号连接”窗口,如图7-14所示。 图7-14 网络和拨号连接窗口7.2.2 Windows Server 2003的网络配置鼠标右键单击“本地连接”图标,从弹出的快捷菜单中选择“属性”项,打开“本地连接 属性”对话框,如图所示。7.2.2 Windows Server 2003的网络配置 “此连接使用下列选定的组件”列表框中列出了目前系统中已安装过的网络组件,单击“安装”按钮,打开“请选择网络组件类型”对话框,如图所示。7.2.2 Windows Server 2003的网络配置 在“单击要安装的网络组件类型”列表中选中“协议”选项,单击“添加”按钮,打开“选择网络协议”对话框,如图所示。 在“网络协议”对话框中的“网络协议”列表框中Windows Server 2003支持的网络协议,选中协议名称后,单击“确定”按钮,协议将会添加至“本地连接 属性”列表中。7.2.2 Windows Server 2003的网络配置 在图7-16“选择网络组件类型”对话框中选择“服务”选项,将打开如图所示选择网络服务对话框,安装Windows Server 2003提供的网络服务。 7.2.2 Windows Server 2003的网络配置 在“选择网络组件类型”列表中选中“客户”选项,然后单击“添加”按钮,出现如图所示对话框,选择想要安装的客户组件,系统会在Windows Server 2003的安装盘中寻找该组件的驱动程序。7.2.2 Windows Server 2003的网络配置 3. 添加网络组件 打开控制面板,运行“添加/删除程序”应用程序,出现添加/删除程序对话框。选择“添加/删除Windows组件”按钮,弹出图7-21。选择“组件”中安装的所需要的网络组件。7.2.2 Windows Server 2003的网络配置Windows组件向导对话框7.2.3 Windows Server 2003的网络组件1. 配置TCP/IP协议 网卡IP地址和子网掩码: 本地IP路由器的IP地址: 本计算机是否作为DHCP服务器; 本计算机是否是WINS代理执行者; 本计算机是否使用域名系统(DNS),如果使用的话,必须知道网络上可用的DNS服务器的IP地址,用户可以选择一个或多个DNS服务器; 如果网络中有一个可用的WINS服务器,还必须知道它的IP地址,和DNS一样,可以配置多个WINS服务器。2. TCP/IP协议常规设置手动配置IP地址及其他相关设置操作如下: 在桌面上鼠标右键单击“网上邻居”图标,从打开的快捷菜单中选择“属性”菜单项,打开“网上邻居”窗口。 右击“本地连接”图标,从打开的快捷菜单中选择“属性”菜单项,打开“本地连接属性”对话框。 在“这个连接使用下列选定的组件”列表框中选定“Internet 协议(TCP/IP)”组件。 单击“属性”按钮,打开“Internet(TCP/IP)属性”设置对话框,如图所示。7.2.3 Windows Server 2003的网络组件7.2.3 Windows Server 2003的网络组件7.2.3 Windows Server 2003的网络组件获取IP地址: 选定“自动获得IP地址”单选按钮或选择“使用下面的IP地址”单选按钮。 在“IP地址”文本框里输入IP地址。 在“子网掩码”文本框里输入子网掩码。 在“默认网关”文本框里输入本地路由器或网桥的IP地址,与本机同属一个网络地址段。 如果用户可以从所在网络的服务器那里获得一个DNS服务器地址,选择“自动获得DNS服务器地址”单选按钮。 如果用户需要手工设置DNS服务器的地址,选定“使用下面的DNS服务器地址”单选按钮。 在“首选DNS服务器”文本框中输入正确的IP地址。 在“备用DNS服务器”文本框中输入正确的备用DNS服务器地址,这样可以防止主首选DNS服务器无法正常工作时,代替主DNS服务器为客户机提供域名服务。 如果用户希望为选定的网络适配器指定附加的IP地址和子网掩码或添加附加的网关地址的话,单击“高级”按钮,打开“高级TCP/IP设置”选项卡,如图所示。7.2.3 Windows Server 2003的网络组件7.2.3 Windows Server 2003的网络组件7.2.3 Windows Server 2003的网络组件 添加新的IP地址和子网掩码,单击如图7-23所示“IP地址”选项区域中的“添加”按钮打开如图7-24所示的“TCP/IP地址”对话框。 在“IP地址”和“子网掩码”文本框中输入新的地址,然后单击“添加”按钮,附加的IP地址和子网掩码将被添加到“IP地址”列表框中。 如果用户希望对已经指定的IP地址和子网掩码进行编辑的话,单击“IP地址”选项区域中的“编辑”按钮打开“TCP/IP地址”对话框,如图所示。7.2.3 Windows Server 2003的网络组件 图7-24对话框中的“IP地址”和“子网掩码”文本框中将显示用户曾经配置的IP地址和子网掩码,而且IP地址还处于可编辑状态,用户可以对原有的IP地址和子网掩码进行任意编辑。然后单击“确定”按钮使修改生效。 在如图7-23对话框的“默认网关”选项区域中用户可以对已有的网关地址进行编辑和删除,或者添加新的网关地址。对于多个网关,还得指定每个网关的优先权 在图7-23对话框“IP设置”选项卡中的“接口越点数”文本框中用户可以输入或修改相应数值。该数值是用来设置网关的接口指标以实现网络连接的。7.2.3 Windows Server 2003的网络组件 在图7-23对话框“默认网关”列表框中,选定一个网关选项,单击“编辑”按钮,打开“TCP/IP网关地址”对话框,如图7-25所示。在该对话框中,用户可以同时对网关和接口越点数的数值进行修改,然后单击“确定”按钮以使修改生效。Windows Server 2003安装和配置1. 实训目标通过实训,学会Windows Server 2003网络操作系统的安装和基本配置的方法。2. 实训条件Windows Server 2003网络操作系统,虚拟机工作环境或者通过5类双绞线将服务器客户机连接到集线器(或交换机)上计算机局域网,有关驱动程序(网卡、显卡等)。3. 实训内容与步骤 工作组(Work Group)就是将不同的计算机按功能分别列入不同的组中,以方便管理。 工作组是将数量不多的计算机连成一个可互相共享资源的网络,在这种工作方式下,信息的安全保护只能靠给共享信息设置密码或将使用权限设置给特定用户来实现; 域则是采用域控制器来进行信息管理的,每个用户都有自己的账号和密码,并可根据不同的情况赋予不同的使用权限,这种方式不但使网络信息的安全得到了非常好的保障,同时很好地满足了大型网络的要求。7.3 活动目录7.3 活动目录7.3.1 活动目录服务介绍 简化管理文件夹服务采用集中管理的手段,便于管理员对网络资源进行一致的管理。 加强了安全性文件夹服务增加了网络管理员的控制能力,文件夹服务与操作系统提供的安全机制结合起来能够有效地保护网络资源。 标准化特性文件夹服务提供了一个基础平台,它不仅要考虑与其他系统模块之间的标准接口能力,还必须考虑与其他网络系统和网络应用的互操作能力,这就使得文件夹服务必须走向标准化。7.3.1 活动目录服务介绍1. 活动目录的逻辑结构 活动目录的逻辑结构非常灵活,它为活动目录提供了完全的树状层次结构视图,为用户和管理员查找、定位对象提供了极大的方便。活动目录中的逻辑单元包括:域、组织单元(Organizational Unit,简称OU)、域树、域林。 域。域是Windows网络系统的安全性边界,域管理员只能管理域的内部,除非其他的域显式地赋予他管理权限,他才能够访问或者管理其他的域。7.3.1 活动目录服务介绍 组织单元(OU)。OU是一个容器对象,我们可以把域中的对象组织成逻辑组,所以OU纯粹是一个逻辑概念,它可以帮助我们简化管理工作。 域树。域树由多个域组成,这些域共享同一个表结构和配置,形成一个连续的名字空间。树中的域通过信任关系连接起来。活动目录包含一个或多个域树。 域林。域林是指一个或多个没有形成连续名字空间的域树,缺省情况下,域林中第一个域树的名字也被当作域林的名字。但是域林中的每个域树相互信任,它们共享同一套配置、表结构以及全局文件夹,不同域树可以交叉引用其他域树中的对象。7.3.1 活动目录服务介绍活动目录完整的结构图7.3.1 活动目录服务介绍2. 活动目录的物理结构 站点。站点是指包括活动目录域服务器的一个网络位置,通常是一个或多个通过TCP/IP连接起来的子网构成。 域控制器。域控制器是指运行Windows Server 2003版本的服务器,它保存了活动目录信息的副本。域控制器管理文件夹信息的变化,并把这些变化复制到同一个域中的其他域控制器上。域控制器也负责用户的登录过程,以及其他与域有关的操作。一个域可以有多个域控制器。7.3.2 活动目录安装与配置在创建活动目录之前,我们必须要保证已经有一台机器安装了Windows Server 2003,至少有一个NTFS磁盘分区,而且已经为TCP/IP配置了DNS,并且DNS服务必须支持SRV记录和动态更新协议。1. 安装操作向导利用Dcpromo.exe工具启动“Active Directory安装向导”来安装。即通过“开始”“运行”,打开“运行”对话框,输入dcpromo命令,单击“确定”,打开如图7-27所示的对话框。 活动目录安装向导7.3.2 活动目录安装与配置7.3.2 活动目录安装与配置单击“下一步”,“Active Directory安装向导”会询问新建的域控制器的类型,如图7-28所示,我们选择“新域的域控制器”。7.3.2 活动目录安装与配置 单击“下一步”,打开如图7-29所示的“创建一个新域”对话框,如果所创建的域为单位的第一个域,或者希望所创建的新域独立于现有文件夹林,可选择“在新林中的域”。如果希望新的域成为现有域的子域,则选择“现有域中的子域”。如想创建一个与现有域树分开的、新的域树,则选择“在现有林中的域树”。这里我们选择“在新林中的域”。7.3.2 活动目录安装与配置 单击“下一步”,打开如图7-30所示的指定域名对话框,在“新域的DNS全名”文本框中输入新建域的DNS全名,例如。7.3.2 活动目录安装与配置 单击“下一步”,打开如图7-31所示的“NetBIOS域名”对话框,在“域NetBIOS名”文本框中输入NetBIOS域名,或者接受显示的名称。NetBIOS域名是供早期的Windows用户用来识别新域的。7.3.2 活动目录安装与配置 单击“下一步”,打开如图7-32所示的“数据库和日志文件文件夹”对话框,在“数据库文件夹”文本框中输入保存数据库的位置,或者单击“浏览”按钮选择路径,在“日志文件夹”文本框中输入保存日志的位置或单击“浏览”按钮选择路径。注意,基于最佳性和可恢复性的考虑,最好将活动目录的数据库和日志保存在不同的硬盘上。7.3.2 活动目录安装与配置单击“下一步”,打开如图7-33所示的“共享的系统卷”对话框,在Server 2003中,Sysvol文件夹存放域的公用文件的服务器副本,它的内容将被复制到域中的所有域控制器上。在“文件夹位置”文本框中输入Sysvol文件夹位置,例如对应文件夹为C:WINNTSYSVOL,或单击“浏览”按钮选择路径。7.3.2 活动目录安装与配置 单击“下一步”,会出现“Active Directory安装向导”的DNS注册诊断程序对话框,如图7-34所示。我们选择“在这台计算机上安装并配置DNS服务器,并将这台DNS服务器设为计算机的首选DNS服务器”。7.3.2 活动目录安装与配置 单击“下一步”,打开如图7-35所示的“权限”对话框,为用户和组选择默认权限,如果单位中还存在或将要用Windows 2000的以前版本,选择“与Windows 2000之前的服务器操作系统兼容的权限”。否则,选择“只与Windows 2000或Windows Server 2003操作系统兼容的权限”。7.3.2 活动目录安装与配置 单击“下一步”,打开“文件夹服务还原模式的管理员密码”对话框,如图7-36所示,输入并牢记该密码,以备将来文件夹服务还原模式下使用。7.3.2 活动目录安装与配置 单击“下一步”,打开“摘要”对话框,如图7-37所示。通过该对话框,用户可检查并确认设置的各个选项。7.3.2 活动目录安装与配置 单击“下一步”,系统开始配置活动目录,中间需要Windows Server 2003安装光盘。如果将2003光盘放入光驱,系统会自动完成对DNS服务器的配置。经过几分钟之后,配置完成。同时,打开“完成Active Directory安装向导”对话框,如图所示,单击“完成”,即完成活动目录的安装。7.3.2 活动目录安装与配置成员服务器是指安装到现有域中的附加域控制器;独立服务器是指在名称空间文件夹树中直接位于另一个域名之下的服务器。如果要删除活动目录的服务器不是域中的唯一的域控制器,则删除活动目录将使该服务器成为成员服务器;如果要删除活动目录的服务器是域中最后一个域控制器,则删除活动目录将使该服务器成为独立服务器。删除活动目录:打开“开始”选择“运行”,在“运行”对话框中输入dcpromo命令,单击“确定”,打开“Active Directory安装向导”对话框,并沿着向导进行删除。7.3.2 活动目录安装与配置2. 检验安装结果 检查DNS文件的SRV记录。用文本编辑器打开%SystemRoot%/system32/config/中的Netlogon.dns文件,察看LDAP服务记录,在本例中为_ldap._. 600 IN SRV 0 100 389 。 验证SRV记录在NSLOOKUP命令工具中运行是否正常。 在命令提示行下,输入NSLOOKUP; 输入set type=srv; 输入_ldap._。如果返回了服务器名和IP地址,说明SRV记录工作正常。7.3.2 活动目录安装与配置3. 活动目录的配置即创建站点,直接在活动目录站点管理程序中打开创建站点的对话框即可,如图7-39。每一个站点都与一个站点链接相联系。然后根据需要我们可以为该站点创建一个或多个子网。7.3.2 活动目录安装与配置 创建了站点之后,我们就可以把域控制器移动到相应的站点中,注意,域控制器与站点之间的关系必须由管理员手工指定,而客户机随着登录时候所分配的IP地址的不同而分配到相应的站点中。该对话框如图所示。7.3.3单元实训:活动目录的安装1. 实训目标通过实训,使学生理解活动目录概念及基本规则。并学会从FAT系统转换为NTFS系统的方法,掌握Windows Server 2003的活动目录安装,以及域控制器的创建方法。2. 实训条件虚拟机安装Windows Server 2003网络操作系统,Windows Server 2003安装光盘或者Windows Server 2003的ISO文件。3. 实训内容与步骤7.4 用活动目录管理账户Windows Server 2003中的“Active Directory用户和计算机”管理器是安装在域控制器上的文件夹管理工具,用户可通过它建立和编辑用户、计算机、组、组织单位、域、域控制器、安全策略,以及发布网络共享资源。7.4.1 用户账号与组1. 用户账号与计算机账号用户账号能够让用户以授权的身份登录到计算机和域中并访问其中资源。用户账号也可以作为某些软件的服务账号。 域用户账号域用户账号(Domain User Accounts)允许用户登录到域上,并访问网络上的任意位置的资源。域用户账号一般用于存在多个域的网络中,在只有一个域的小型网络中一般没有太大意义,所以用户也不必关心它。7.4.1 用户账号与组 本地用户账号本地用户账号(Local User Accounts)允许用户登录服务器上的相关资源。当本地账号登录网络时,服务器便在本地安全数据库中查询该账号名,并鉴别其对应的密码当正确后才能允许该账号登录服务器。 系统管理员(Administrator)Administrator作为系统管理员,拥有最高的权限,用户可以用它来管理系统资源和域的账号数据库。Administrator账号名称可以更改,但不能删除。 来宾(Guest)Guest是为没有专门设置账号的计算机访问域控制器时使用的一个临时账号,该账号可以访问网络中的部分资源。Guest账号的名称可以修改,但不能删除。 Internet Guest(IUSR-Computer Name)IUSR-Computer Name用来供Internet服务器的匿名访问者使用,在局域网中没有意义。 计算机账号每一个运行Windows Server 2003和其他Windows版本的计算机在加入到域时都需要一个计算机账号,就像用户账号一样,被用来验证和审核计算机的登录过程和访问域资源。7.4.1 用户账号与组7.4.1 用户账号与组2. 用户组 组的类型安全组用于将用户、计算机和其他组收集到可管理的单位中。为资源(文件共享、打印机等)指派权限时,管理员应将那些权限指派给安全组而非个别用户使用组而不是单独的用户可简化网络的维护和管理。通讯组只能用作电子邮件的通讯组,而不能用于筛选组策略设置。通讯组无安全功能。 组的作用域每个安全组和通讯组均具有作用域,该作用域标识组在域树或域林中所应用的范围。有3类不同的作用域,即通用、全局和本地域。 内置和预定义组在安装域控制器时,部分默认的组安装于“Active Directory用户和计算机”控制台的“内置”和“用户”文件夹中。这些组是安全组并且代表一些公用的权利和权限集合,可用于将某些角色、权利和权限授予用户放入默认组的账户和组中。7.4.1 用户账号与组7.4.1 用户账号与组 内置组放入“Active Directory用户和计算机”的“内置”文件夹中的默认组为:账户操作员、管理员、备份操作员、来宾、打印操作员、复制操作员、服务器操作员、用户。 预定义组放在“Active Directory用户和计算机”的“用户”文件夹中的预定义组有:组名称、证书发行者、域管理器、域计算机、域控制器、域来宾、域用户、企业管理员、组策略管理员、架构管理员。 特殊身份特殊组没有用户可修改的特别成员身份,但是它们能根据环境在不同时间代表不同用户。这3个特殊组如下所述。7.4.1 用户账号与组 每个人代表所有当前网络的用户,包括来自其他域的来宾和用户。无论用户何时登录到网络上,它们都将被自动添加到Domain Users组。 网络代表当前通过网络访问给定资源的用户(不是通过从本地登录到资源所在的计算机来访问资源的用户)。无论用户何时通过网络访问给定的资源,它们都将自动添加到网络组中。 交互代表当前登录到特定计算机上并且访问该计算机上给定资源的所有用户(不是通过网络访问资源的用户)。无论用户何时访问当前登录的计算机上所给的资源,它们都被自动添加到交互组中。7.4.1 用户账号与组 组对网络性能的影响 登录的影响 有通用作用域的组的复制 网络带宽7.4.2 用户与组的管理1. 添加用户账号 启动Active Directory用户和计算机管理器,单击User选项会看到在安装Active Directory时自动建立的用户账号; 单击“操作”“新建”“用户”,在“新建对象-用户”对话框中输入用户的姓名、登录名,其中的“用户登录名(Windows 2000以前版本)”是指当用户从运行Windows 2000以前版本操作系统的计算机登录网络所使用的用户名,在如图7-41所示的窗体中,单击“下一步”按钮;7.4.2 用户与组的管理新建对象-用户 在密码对话框中输入密码,选择“用户下次登录时须更改密码”选项,以便让用户在第一次登录时修改密码;7.4.2 用户与组的管理 在完成对话框中会显示以上设置的信息,单击“完成”按钮。这时用户会在管理器中看到新添加的用户,如图所示。7.4.2 用户与组的管理2. 管理用户账户 输入用户的信息在用户属性对话框中的常规标签中可以输入用户的相关信息。 用户环境的设置用户可以设置每一个用户的环境,如用户配置文件、登录脚本、宿主文件夹等,这些设置根据实际情况而定。7.4.2 用户与组的管理 设置用户登录时间在账户标签中单击“登录时间”按钮,出现如图所示的对话框,图中横轴每个方块代表一小时,纵轴每个方块代表一天,蓝色方块表示允许用户使用的时间,空白方块表示该时间不允许用户使用,默认为在所有时间均允许用户使用。在这个例子中用户设置允许用户在每星期的周一到周五的9:0018:00之间使用。其设置方法是在用户的登录时间对话框中,选择不允许登录的时间段单击“拒绝登录”按钮。7.4.2 用户与组的管理当用户在允许登录的时间段内登录到网络中,并且一直持续到超过允许登录的时间时,用户可以继续连接使用,但不允许作新的连接,如果用户注销后,则无法再次登录。限制用户由某台客户机登录7.4.2 用户与组的管理 限制用户由某台客户机登录在账户中单击“登录到”按钮,出现如图7-44所示的对话框,在默认情况下用户可以从所有的客户机登录,也可以设置让用户从某些工作站登录, 设置账户的有效期限在“账户”的下方,用户可以选择账户的使用期限。 管理用户账户在创建用户账号后,可以根据需要对账户进行密码重新设置、修改、重命名等操作。 重设密码:选择“账户”“操作”“重设密码”,在密码设置对话框中输入新的密码,如果要求用户在下次登录时修改密码,则选中“用户下次登录时须更改密码”选项。7.4.2 用户与组的管理 账户的移动:选择“账号”“操作”“移动”,在移动对话框中选择相应的内容或组织单位。 重命名:选择“账户”操作重命名,更改用户的名称,对内置的账户也可以更改(如更改系统管理员的账户名称,这样有利于提高系统的安全性),在更改名称后,由于该账户的安全标识SID并未被修改,所以,其账户的属性、权限等设置均未发生改变。 删除账户:选择“账户”“操作”“删除”,用户可以一次删除一个或多个账户,在删除账户后如再添加一个相同名称的账户,由于SID的不同,它无法继承已被删除账户的属性和权限。7.4.2 用户与组的管理 计算机账户的创建 首选启动Active Directry用户和计算机管理器,单击Computer“操作”“计算机”,则出现如图7-45所示的对话框。图7-45 新建对象-计算机 输入计算机名称,单击“下一步”“确定”按钮完成创建工作。7.4.2 用户与组的管理3. 用户组的管理为了简化授权,将访问权相同的用户加入到用户组,同一用户组的用户的权限设置相同。当对用户组设置了权限后,则组中所有的用户就具有了该权限,这样避免用户对每一个用户设置权限,从而减轻了工作量,简化了网络管理。 添加组 打开Active Directory用户和计算机。 在控制台树中,双击域节点。 单击要添加组的文件夹,指向“新建”,然后单击“组”按钮。7.4.2 用户与组的管理 键入新组的名称,在默认情况下,用户输入的名称还将作为Windows 2000以前版本的名称,如图所示。新建对象-组 单击“组作用域”中的“全局”单选钮。 单击“组类型”中的“安全组”单选钮。7.4.2 用户与组的管理 指定用户隶属的组设置方法是在组属性对话框中,单击“成员”标签,如图7-47所示。可以查看有哪些用户隶属于组,如果要将用户添加到组中,则单击“添加”按钮,出现“选择用户、联系人或计算机”的对话框,输入对象名称来选择,然后单击“确定”。如果需要将用户从他所隶属的组中删除,则在成员窗体中选择该用户,单击“删除”按钮。注意,用户账号至少隶属于一个组,该组被称为主要组,这个主要组必须是一个全局组且它不可删除。 7.4.2 用户与组的管理 管理组将组转换为另一种组类型,其步骤如下: 打开Active Directory用户和计算机; 在控制台树中,双击域节点; 单击包含该组的文件夹; 在详细信息窗格中,右键单击组,然后单击“属性”; 在“常规”选项卡的“组类型”中,单击“通讯组”或“安全组”。更改组作用域,其步骤如下: 打开Active Directory用户和计算机; 在控制台树中,双击域节点; 单击包含组的文件夹; 在详细信息窗格中,右键单击“组”按钮,然后单击“属性”按钮。 在“常规”选项卡的“组作用域”下,单击“本地域”、“全局”或“通用”按钮。7.4.2 用户与组的管理删除组,其步骤如下: 打开Active Directory用户和计算机; 在控制台树中,双击域节点; 单击包含组的文件夹; 在详细信息窗格中,右键单击“组”按钮,然后单击“删除”按钮。7.4.2 用户与组的管理7.4.3单元实训:用户与组的创建和管理1. 实训目标通过实训,使学生理解域用户与组的概念及基本规则,并学会在Windows Server 2003系统中,创建和管理用户与组的方法。2. 实训条件虚拟机安装Windows Server 2003网络操作系统,Windows Server 2003安装光盘或者Windows Server 2003的ISO文件。3. 实训内容与步骤7.5 访问控制与权限Windows Server 2003的访问控制策略是基于自主访问控制的,根据对用户进行授权,来决定用户可以访问哪些资源以及对这些资源的访问能力,以保证资源的合法、受控的使用。Windows Server 2003的网络安全性依赖于给用户或组授予的三种能力:权力、共享、权限。7.5.1 安全性元素1. 用户权力用户权力控制谁能在计算机上执行各类行为。在Windows域中,权力在域的级别上被授予或限制。若一个组在域中有一个权限,那么它的所有成员在域的主域和备份域控制器上都有此权限。2. 共享权限共享只适用于文件夹。3. 许可权限Windows Server 2003以用户和组账户为基础来实现文件系统的许可权限。文件访问许可权只能用于NTFS卷。7.5.1 安全性元素 NTFS文件权限的类型 读取 写入 读取及运行 修改完全控制7.5.1 安全性元素 设置安全的访问许可权 对服务器上的所有文件,实施强有力的基于许可的安全措施。 对中低安全性的安装,除系统卷和引导卷外,所有驱动器上均实施域用户(Domain User)管理,避免使用缺省的每个用户(Everyone)、完全控制(Full control)许可等安全措施。 对于高安全性安装,去掉所有Everyone、完全控制许可权。不要用缺省许可代替,只在特别需要的地方才增加许可。 以机构中的自然关系为基础建立组,按组分配文件许可权。 利用第三方的许可审计软件管理复杂环境中的许可权问题。 文件与文件夹的访问许可冲突随着网络环境下的共享文件和文件夹的创建,可能会出现资源许可权冲突。当某个用户是多个组的成员时,其中的某些组可能允许访问某种资源,而其他组的成员被拒绝访问它。另外,有时也可能出现重复的许可。Windows Server 2003按以下方式确定访问权。 权限的累加性。 对资源的拒绝权限会覆盖掉所有其他的权限。 文件权限会覆盖掉文件夹权限。7.5.1 安全性元素7.5.1 安全性元素4. 审核在特定动作执行或文件被访问时,可以指定将一个审核记录写入到一个安全事件的日志中。审计记录表明行为的执行、执行人以及执行的日期和时间。5. 事务记录修改文件或文件夹时,“日志文件服务”能够记录跟踪重做和取消修改的信息。6. 所有权文件和文件夹的所有者可以完全控制该文件和文件夹,包括有改变许可的能力。7.5.2 管理文件与文件夹的访问许可权1. 查看文件与文件夹的访问许可权如果用户需要查看文件或文件夹的属性,首先选定文件或文件夹,单击鼠标右键打开快捷菜单,然后选择“属性”命令。在打开的文件或文件夹的属性对话框中单击“安全”标签,如图7-48所示。在“组和用户名称”列表框中,列出了对选定的文件或文件夹具有访问许可权限的组和用户。当选定了某个组或用户后,该组或用户所具有的各种访问权限将显示在“权限”列表框中。这里我们选中的是gdqyjsj组,从图中可以看到,该组具有对文件夹pszhang的“读取及运行”、“列出文件夹目录”、“读取”权限。7.5.2 管理文件与文件夹的访问许可权2. 更改文件或文件夹的访问许可权 当用户需要更改文件或文件夹的权限时,必须具有对它的更改权限或拥有权。用户可以在如图7-48所示的对话框中,选择需要设置的用户或组,简单地选定或取消对应权限后面的复选框即可。7.5.3 添加与管理共享文件夹1. 添加共享文件夹在Windows Server 2003中,可以通过以下方法设置共享文件夹。 打开“开始”菜单,选择“程序管理工具计算机管理”命令后,打开“计算机管理”窗口,然后单击“共享文件夹共享”子节点,打开如图7-51所示窗口。7.5.3 添加与管理共享文件夹 在窗口的右边显示出了计算机中所有共享文件夹的信息。如果要 建立新的共享文件夹,可通过选择主菜单“操作”中的“新建共享”子菜单,或者在左侧窗口鼠标右击“共享”子节点,选择“新建共享”,打开“共享文件夹向导”,单击“下一步”,打开如图
- 温馨提示:
1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
2: 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
3.本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
人人文库网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
川公网安备: 51019002004831号