大学计算机网络技术实用教程-张怀中-大学教学资料课件PPT
收藏
资源目录
压缩包内文档预览:(预览前20页/共45页)
编号:21836136
类型:共享资源
大小:20.86MB
格式:ZIP
上传时间:2019-09-06
上传人:QQ24****1780
认证信息
个人认证
王**(实名认证)
浙江
IP属地:浙江
25
积分
- 关 键 词:
-
大学计算机
网络技术
实用教程
张怀中
大学
教学
资料
课件
ppt
- 资源描述:
-
大学计算机网络技术实用教程-张怀中-大学教学资料课件PPT,大学计算机,网络技术,实用教程,张怀中,大学,教学,资料,课件,ppt
- 内容简介:
-
第5章 Windows 2000 Server组网技术,本章学习目标,本章主要讲解Windows 2000 server组网的相关知识。通过本章的学习,读者应掌握以下内容: 了解Windows 2000 Server的特性 掌握Windows 2000 Server中的域与工作组网络 掌握安装活动目录的方法 掌握Windows 2000 Server中的账户及组管理 掌握Windows 2000 Server的应用服务DNS、Web、FTP、DHCP,5.1 Windows 2000 Server概述,Windows 2000操作系统平台采用Windows NT的技术,并在其基础上做了大量的改进,使得Windows 2000操作系统平台比此前的Windows操作系统平台更加可靠、更易扩展、更易部署、更易管理、更易使用。,5.1.1 Windows 2000产品介绍,Windows 2000家族有两大类平台共四种操作系统。第一类平台是工作站平台,Windows 2000家族的工作站平台是Windows 2000 Professional。在商业环境中该产品作为Windows 2000的客户端操作系统替代了Windows 95、,Windows 98、Windows NT Workstation。第二类平台是服务器平台,Windows 2000家族的服务器平台有三种,它们是Windows 2000 Server、Windows 2000 Advanced Server、Windows 2000 Datacenter Server。Windows 2000 Server除了包含有Windows 2000 Professional的所有特性,还能提供简单的网络管理服务,比较适于在一般网络 环境下做文件和打印服务器、Web服务器。Windows 2000 Advanced Server除了包含Windows 2000 Server的所有特性之外,还提供了更好的可扩展性和有效性,支持更多的内存和处理器以及群集,比较适合于在大型企业网络和对数据库要求比较高的网络环境中应用。Windows 2000 Datacenter Server包含所有的Windows 2000 Advanced Server的特性,,此外还提供更多的对内存和处理器的支持,适用于大型数据仓库、在线事务处理等重要应用中。 下面看一下各种版本的用途和功能。 1Windows 2000 Professional(Windows 2000专业版) Windows 2000 Professional其实是Windows NT Workstation(Windows NT工作站)的最新版本,是专为各种桌面计算机和便携机开发的新一代操作系统。它继承了Windows NT的先进技术,提供了高层次的安全性、稳定性和系统性能。同时,它帮助用户更加容易地使用计算机、 安装和配置系统、脱机工作和使用Internet等。对于电脑和网络系统的管理员而言,Windows 2000 Professional是一套更具有可管理性的桌面系统,无论是部署、管理还是为它提供技术支持都更加容易,这意味着更低的总体拥有成本。,2Windows 2000 Server(Windows 2000服务器版) Windows 2000 Server是在Windows NT Server 4.0(Windows NT服务器4.0版)的基础上开发出来的,按照人们一贯的思维,将它命名为Windows NT Server 5.0更合适。Windows 2000 Server是为服务器开发的多用途操作系统,可为部门工作小组或中小型公司用户提供文件打印、软件应用、Web功能和通信等各种服务。它是一个性能更好、工作更加稳定、更容易管理的平台。Windows 2000 Server最重要的改进是在“活动目录”目录服务技术的基础上,建立了一套全面的、分布式的底层服务。“活动目录”是集成在系统中的,采用了Internet的标准技术,具有扩展性的多用途目录服务技术。它能有效地简化对网络用户及资源的管理,并使用户更容易找到企业网为他们提供的资源。,Windows 2000 Server支持2路对称多处理器(SMP)系统,是中小型企业应用程序开发、Web服务器、工作组和分支部门的理想操作系统。 3Windows 2000 Advanced Server(Windows 2000高级服务器版) 该版本最初的名称是Windows NT Server 5.0 Enterprise Edition(Windows NT服务器企业版)。Windows 2000 Advanced Server除具有Windows 2000 Server的所有功能和特性外,还提供了比其更强的特性和功能。 1)更强的SMP扩能力。Windows 2000 Advanced Server提供了更强的对称多处理器支持,支持数达到4路。 2)更强大的群集功能。例如,把两台基于Intel结构的服务器组成一个群集,可以获得很高的可用性和可管理性。,3)更高的稳定性,可为核心业务提供更高的稳定性,在多种一般错误发生后一分钟内自动重启应用软件。 4)网络负载平衡,为网络服务和应用程序提供高可用性和扩展能力,例如TCP/IP和Web服务。 5)组件负载平衡,为COM+组件提供高可用性和扩展能力。,6)高性能排序功能,Windows 2000 Advanced Server优化了大型数据集的排序功能。这些功能和特性使Windows 2000 Advanced Server比Windows 2000 Server具有更高的扩展性、互操作性和可管理性,可应用于拥有多种操作系统和提供Internet服务的部门和应用程序服务器。,4Windows 2000 Datacenter Server(Windows 2000数据中心服务器版) 微软推出的这个全新版本是功能最为强大的服务器操作系统,它支持16路对称多处理器系统以及高达64GB的物理内存。与Windows 2000 Advanced Server一样,它将群集和负载平衡服务作为标准的特性。另外,它还为大型的数据仓库、经济分析、科学和工程模拟、联机交易服务等应用进行了专门的优化。 5.1.2 Windows 2000 Server的新特点 Windows 2000 Server是为服务器开发的多用途操作系统,为用户提供文件和打印、应用软件、Web和通信等各种服务。下面介绍一下它的新功能。,(1)可扩展性。提供终端服务、增强ASP性能、IIS支持的多站点容留,支持高吞吐率和有效带宽利用。 (2)可靠性。支持内核方式写保护、Windows文件保护、驱动程序证书,以及IIS应用程序保护。并提供备份、磁盘整理等工具。 (3)可用性。支持作业对象API、应用程序证书与DLL保护、多主复制(活动目录副本的相互复制性)、分布式文件系统、磁盘限额、分级存储管理等。 (4)安全性。支持最新安全标准、活动目录集成、Kerberos身份验证、公钥基础架构(PKI)、智能卡、文件系统加密、安全的网络通信、路由选择和远程访问服务、虚拟专用网络(VPN)。,(5)可操作性。支持动态卷管理、磁盘碎片整理、安全模式引导、备份与恢复。 (6)Web特性。提供增强IIS 5.0、ASP编程环境、分布式Internet应用体系结构、组件对象模型COM+、多媒体平台、具有目录功能的应用程序、Web文件夹、Internet打印等。 (7)管理性。基于活动目录(Active Directory)的资源管理、Microsoft管理控制台、智能镜像、远程安装等。 Windows 2000 Server的功能主要体现在网络资源管理上,局域网上的资源需要管理,“域”和“工作组”就是两种不同的网络资源管理模式。那么二者有何区别呢?,5.2 Windows 2000 Server中的域与工作组网络,5.2.1 工作组Work Group 在一个网络中,可能有成百上千台电脑,如果不对这些电脑进行分组,都列在“网上邻居”中,可想而知会有多么乱。为了解决这一问题,Windows 9x/NT/2000引用了“工作组”这个概念,将不同的电脑一般按功能分别列入不同的组中,如财务部的电脑都列入“财务部”工作组中,人事部的电脑都列入“人事部”工作组中。要访问某个部门的资源,就在“网上邻居”里找到那个部门的工作组名,双击就可以看到那个部门的电脑了。 那么怎么加入工作组呢?其实很简单,只需要右击Windows桌面上的“网上邻居”图标,在弹出的菜单中选择“属性”,在弹出的对话框中单击“标识”标签,在“计算机名”一栏中填入想好的计算机名字,在“工作组”一栏中填入想加入的工作组名称即可。,如果你输入的工作组名称以前没有,那么相当于新建一个工作组,当然只有你的电脑在里面。计算机名和工作组的长度不能超过15个英文字符,可以输入汉字,但是不能超过7个。“计算机说明”是附加信息,不填也可以,但是最好填上一些这台电脑主人的信息,如“技术部主管”等。单击“确定”按钮后,Windows提示需要重新启动,按要求重新启动之后,再进入“网上邻居”,就可以看到你所在工作组的成员了。 一般来说,同一个工作组内部成员相互交换信息的频率最高,所以你一进入“网上邻居”,首先看到的是你所在工作组的成员。如果要访问其他工作组的成员,需要双击“整个网络”,这时会看到网络上所有的工作组,双击工作组名称,就会看到里面的成员。 也可以退出某个工作组,只要改变工作组名称即可。不过这样在网上,5.2.2 域 Domain 与工作组的“松散会员制”有所不同,“域”是一个相对严格的组织。“域”指的是由服务器控制网络上的计算机能否加入的计算机组合。 实行严格的管理对网络安全是非常必要的。在对等网模式下,任何一台计算机只要接入网络就可以访问共享资源,如共享ISDN上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据是非常不安全的。 在“域”模式下,至少有一台服务器负责每一台联入网络的计算机和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。“域控制器”中包含了由这个域的账户、密码和属于这个域的计算机等信息构成的数据库。当计算机,联入网络时,域控制器首先要鉴别这台计算机是否是属于这个域的,用户使用的登录账号 是否存在、密码是否正确。如果以上信息不正确,域控制器就拒绝这个用户从这台计算机登录。不能登录,用户就不能访问服务器上有权限保护的资源,只能以对等网用户的方式访问Windows共享出来的资源,这样就一定程度上保护了网络上的资源。 想把一台计算机加入域,仅仅使它和服务器在“网上邻居”能够相互看到是远远不够的,必须要由网络管理员进行把这台计算机加入域的相关操作。,5.2.3 域与工作组的区别 工作组和域都是一种组织。但两者是有区别的:工作组式的网络结构是分布式的管理模式,工作组中的任何一台计算机只负责管理本地的资源,主机可以任意地加入或退出某一工作组(workgroup为默认组);域模式的网络结构是集中式的管理模式,网络中的任何一台计算机都可以加入一个域,但必须经过一个域的域管理员的批准,属于网络的资源统一由域控制器来负责管理。 工作组模式适合小型、分散型的网络,域模式适合较大型的、集中的网络。,5.3 Windows 2000 Server活动目录,5.3.1 活动目录简介 Windows 2000系统最大的突破性和成功之一就在于它全新引入的“活动目录(Active Directory)服务”,使得Windows 2000系统与Internet上的各项服务和协议的联系更加紧密。因为它对目录的命名方式与对域名的命名方式一致,然后通过DNS进行解析,使得与在Internet上通过WINS解析取得一致的效果。活动目录也说明Microsoft在网络结构方面的策略转移,虽然在以前NT时代也有部分产品(如Exchange Server、IIS等)提供过类似于活动目录的服务,然而活动目录作为一个全新的综合服务方式是在Windows 2000诞生后随之而来的。活动目录的身影似乎在整个Windows 2000系统中无处不在。,然而要真正了解“活动目录”的方方面面并不容易,下面就想通过一些通俗的讲解对活动目录的各主要方面作一详尽的分析,希望能给那些对Windows 2000的活动目录还存有畏惧心理的新手一个对其全面认识的机会。 5.3.2 活动目录的由来 谈到活动目录最使人容易想起的是DOS下的“目录”、“路径”和Windows 9x/Me下“文件夹”,那个时候的“目录”或“文件夹”仅代表一个文件在磁盘上的存储位置和层次关系,一个文件生成之后相对来说这个文件的所在目录也就固定了(当然可以删除、转移等,现在不考虑这些),也就是说它的属性也就相对固定了,是静态的。这个目录所能代表的仅是这个目录下所有文件的存放位置和所有文件总的大小,,并不能得出其他有关信息,这样就影响了整体使用目录的效率,也就是影响了系统的整体效率,使系统的整个管理变得复杂。因为没有相互关联,所以在不同应用程序中同一对象要进行多次配置,管理起来相当繁锁,影响了系统资源的使用效率。为了改变这种效率低下的关系和加强与Internet上有关协议的关联,Microsoft公司决定在Windows 2000中全面改革,也就是引入活动目录的概念。理解活动目录的关键就在于“活动”两个字,千万不要将“活动”两个字去掉而仅仅从“目录”两个字去理解,那样还是不能脱离原来DOS下的目录或Windows 9x下的文件夹。正因为这个目录是活动的,所以它是动态的,它是一种包含服务功能的目录,它可以做到“由此及彼”的联想、映射,如找,到了一个用户名,就可联想到它的账号、出生信息、E-mail、电话等所有基本信息,虽然组成这些信息的文件可能不在一块。同时不同应用程序之间还可以对这些信息进行共享,减少了系统开发资源的浪费,提高了系统资源的利用效率。 活动目录包括两个方面:目录和与目录相关的服务。目录是存储各种对象的一个物理上的容器,从静态的角度来理解活动目录与以前所结识的“目录”和“文件夹”没有本质区别,仅仅是一个对象,是一实体;而目录服务是使目录中所有信息和资源发挥作用的服务,活动目录服务是一个分布式的目录服务,信息可以分散在多台不同的计算机上,保证用户能够快速访问,因为多台机上有相同的信息,所以在信息冗余方面具有很强的控制能力,正因为如此,不管用户从何处访问信息或信息处在何处,都对用户提供统一的视图。,5.3.3 相关名词术语 虽然活动目录中用到的许多技术在其他软件产品中也已经出现过,但作为全面的整体网络方案还是首次亮相,其中有许多名词或术语或许是闻所未闻的,所以有必要详细了解一下与活动目录有关的名词或术语。 (1)活动目录(Active Directory)。活动目录是一种目录服务,它存储有关网络对象(如用户、组、计算机、共享资源、打印机和联系人等)的信息,并使管理员和用户可以方便地查找和使用这些网络信息。 (2)域。域是Windows 2000网络系统的安全性边界。一个计算机网络最基本的单元就是“域”,这一点不是Windows 2000所独有的,但活动目录可以贯穿一个或多个域。在独立的计算机上,域指计算机本身,一个域可以分布在多个物理位置上,同时一个物理位置又可以划分不同网段为不同的域,每个域都有自己的安全策略以及它与其他域的信任关系。,当多个域通过信任关系连接起来之后,活动目录可以被多个域信任。 (3)名字空间。从本质上讲,活动目录就是一个名字空间,可以把名字空间理解为任何给定名字的解析边界,这个边界就是指这个名字所能提供或关联、映射的所有信息范围。通俗地说就是在服务器上通过查找一个对象可以查到的所有关联信息的总和,如一个用户,如果在 服务器上已经给这个用户定义了如用户名、用户密码、工作单位、联系电话、家庭住址等信息,上面所说的总和广义上理解就是“用户”这个名字的名字空间,因为只需输入一个用户名即可找到上面所列的一切信息。名字解析是把一个名字翻译成该名字所代表的对象或者信息的处理过程。举例来说,在一个电话目录形成名字空间中,每一个电话户头的名字可以解析到相应的电话号码,而不是像,现在一样名字是名字,号码归号码,根本不能横向联系。Windows 操作系统的文件系统也形成了一个名字空间,每一个文件名都可以解析到文件本身(包含它应有的所有信息)。 (4)对象。对象是活动目录中的信息实体,也即通常所说的“属性”,但它是一组属性的集合,往往代表有形的实体,比如用户账户、文件名等。对象通过属性描述它的基本特征,比如,一个用户账号的属性中可能包括用户姓名、电话号码、电子邮件地址和家庭住址等。 (5)容器。容器是活动目录名字空间的一部分,与目录对象一样,它也有属性,但与目录对象不同的是,它不代表有形的实体,而是代表存放对象的空间,因为它仅代表存放一个对象的空间,,所以它比名字空间小。比如一个用户,它是一个对象,但这个对象的容器就仅限于从这个对象本身所能提供的信息空间,如它仅能提供用户名、用户密码。其他的如工作单位、联系电话、家庭住址等就不属于这个对象的容器范围了。 (6)目录树。在任何一个名字空间中,目录树是指由容器和对象构成的层次结构。树的叶子、节点往往是对象,树的非叶子节点是容器。目录树表达了对象的连接方式,也显示了从一个对象到另一个对象的路径。在活动目录中,目录树是基本的结构,从每一个容器作为起点,层层深入,都可以构成一棵子树。一个简单的目录可以构成一棵树,一个计算机网络或者一个域也可以构成一棵树。这也很容易理解,我们最初学电脑时就是在全面理解DOS下的路径概念基础之上开始的,其实“目录树”也就是一种“路径关系”。,(7)组织单元。包含在域中特别有用的目录对象类型就是组织单元。组织单元可将用户、组、计算机和其他单元放入活动目录的容器中,组织单元不能包括来自其他域的对象。组织单元是可以指派组策略设置或委派管理权限的最小作用单位。使用组织单元,可在组织单元中代表逻辑层次结构的域中创建容器,这样就可以根据组织模型管理账户、资源的配置和使用,可使用组织单元创建可缩放到任意规模的管理模型。可授予用户对域中所有组织单元或对单个组织单元的管理权限,组织单元的管理员不需要具有域中任何其他组织单元的管理权,从管理权限上来讲组织单元有点像在NT时代的工作组。 (8)域树。域树由多个域组成,这些域共享同一表的结构和配置,,形成一个连续的名字空间。树中的域通过信任关系连接起来,活动目录包含一个或多个域树。域树中的域层次越深级别越低,一个“.”代表一个层次,如域child.M 就比 M这个域的级别低,因为它有两个层次关系,而M只有一个层次。而域Grandchild.Child. M又比Child.M级别低,道理一样。 域树中的域是通过双向可传递信任关系连接在一起的。由于这些信任关系是双向的而且是可传递的,因此在域树或树林中新创建的域可以立即与域树或树林中的其他的域建立信任关系,这些信任关系允许单一登录过程。在域树或树林中的所有域上都要对用户进行身份验证,但这不一定意味着经过身份验证的用户在域树的所有域中都拥有相同的权利和权限。因为域是安全界限,所以必须在每个域的基础上为用户指派相应的权利和权限。,(9)域林。域林是由一个或多个没有形成连续名字空间的域树组成的,它与上面所讲的域树最明显的区别就在于这些域树之间没有形成连续的名字空间,而域树则是由一些具有连续名字空间的域组成的。但域林中的所有域树仍共享同一个表结构、配置和全局目录。域林中的所有域树通过Kerberos 信任关系建立起来,所以每个域树都知道Kerberos信任关系,不同域树可以交叉引用其他域树中的对象。域林都有根域,域林的根域是域林中创建的第一个域,域林中所有域树的根域与域林的根域可以建立可传递的信任关系。 (10)站点。站点是指包括活动目录域服务器的一个网络位置,通常是一个或多个通过TCP/IP连接起来的子网。站点内部的子网通过可靠、快速的网络连接起来。站点的划分使得管理员可以很方便地配置,活动目录的复杂结构,更好地利用物理网络特性,使网络通信处于最优状态。当用户登录到网络时,活动 目录客户机在同一个站点内找到活动目录域服务器,由于同一个站点内的网络通信是可靠、快速和高效的,所以对于用户来说,他可以在最快的时间内登录到网络系统中。因为站点是以子网为边界的,所以活动目录在登录时很容易找到用户所在的站点,进而找到活动目录域服务器完成登录工作。 (11)域控制器。域控制器是使用活动目录安装向导配置的Windows 2000 Server的计算机。活动目录安装向导安装和配置为网络用户和计算机提供活动目录服务的组件供用户选择使用。域控制器存储目录数据并管理用户域的交互关系,其中包括用户登录过程、身份验证和,目录搜索,一个域可有一个或多个域控制器。为了获得高可用性和容错能力,使用单个局域网 (LAN)的小单位可能只需要一个具有两个域控制器的域,而具有多个网络位置的大公司在每个位置都需要一个或多个域控制器以提供高可用性和容错能力。 Windows 2000 Server域控制器扩展了Windows NT Server 4.0的域控制器所提供的能力和特性,Windows 2000 Server多宿主复制使每个域控制器上的目录数据同步,以确保随着时间的推移这些信息仍能保持一致,也就是说是动态的,这就是活动目录的作用。多宿主复制是 Windows NT Server 4.0 中使用的主域控制器和备份域控制器模型的发展,在Windows NT Server 4.0中只有一个服务器,即主域控制器,拥有该目录的可读写副本。,5.4 用户账号与组的管理,5.4.1 用户账号的管理 在一个网络中,用户和计算机都是网络的主体,两者缺一不可。拥有计算机账号是计算机接入Windows网络的基础,拥有用户账号是用户登录到网络并使用网络资源的基础,因此用户和计算机账号管理是Windows网络管理中最必要且最经常的工作。 活动目录用户和计算机账号表示诸如计算机或个人等物理实体。账号为用户或计算机提供安全凭据,以便用户和计算机能够登录到网络并访问域资源。活动目录的账号主要用于:验证用户或计算机的身份;授权对域资源的访问;审核用户或计算机账号所执行的操作等。 1用户账号 用户账号用来记录用户的用户名和口令、隶属的组、可以访问的网络,资源,以及用户的个人文件和设置。每个用户都应在域控制器中有一个用户账号,才能访问服务器,使用网络上的资源。 2计算机账号 每个加入域的Windows 2000和Windows NT计算机都应具有计算机账号,否则无法进行域连接,实现域资源的访问。 5.4.2 组的建立和管理 本地用户与域这两个名词很容易在Windows 2000,尤其是在Windows 2000 Professional Server中混淆,因此,首先说明这两者的区别。 Windows 2000是一种多用户运行多任务的系统,不论是Windows 2000 Professional还是Server 版本,都能提供网络服务。因此,当其他工作站要与Windows 2000的计算机连接时,就形成了主从关系。这样,这台工作站必须是Windows 2000计算机的本地用户。,1组的概念 在域中最基本的单位是“个人”,即用户,它是单机系统中的主体。在多台计算机所组成的域中,用户是独立分散的。为了分清层次,方便管理,就要把相同性质的个人变为团体。有了团体,就要分“组”。所以,每位“域用户”必定属于某“组”或某些“组”。这样,就导致具备相同性质的单一“域用户”属于同一“组”。 本地用户也可以是域用户。当局域网中有一台安装有Windows 2000 Server版本的服务器,同时还安装有Active Directory功能时,这种情况下就必须设置域。设置域之后,所有安装有不同版本的Windows 的工作站都可以在服务器上设置成域用户,使用到服务器所能提供的资源。 设成域用户还有一项好处就是当多台不同域的服务器达成“信任关系”,后,在各自域中的工作站可以按其在原先域中的权限来访问其他服务器上的资源,而无须再指派账号与权限。 “组”代表可取得某程度的权限。将域用户划归组后可简化具有同构型的个人加入组的权力指派手续。因此,在规划本地局域网之前,要先了解Windows 2000提供多少有关组方面的功能。 在Windows 2000 Server中可任意对组进行命名。 2组作用域 (1)本地域(Domain Local Groups)。如果设置的组仅适用于本身所在域中的域主控器、成员服务器以及域工作站,而不能跨域,将此组的组作用域设为本地域。 (2)全局(Global Groups)。如果设置的组适用于本身所在域的主控制器、成员服务器和域工作站,以及其他的信任关系域,就将此组的组作用域设为全局。,(3)通用(Universal Groups)。如果设置的组在所连接的任何域树中都有效,就将此组作用域设为通用。 3组的性质 组的性质就是上述两原则的组合。例如,可以定义某组具有“全局”的组作用域和“安全式”的组类型。 虽然可以自行创建组,但是在Windows 2000 Server中提供了一些已经创建好的组,这些组是在域管理中非常有用的组定义。如果您是初次设置,不妨先试着了解这组的用途。如果适合,就请使用这些现成的组,以免创建重复的组。 (1)内置组。内置组的组作用域属于本地域(Domain Local Groups),主要用于将内置的使用权指派给用户,使这些用户直接具有该域的全部或部分的系统管理控制权。内置组的组名及其意义如表5-1所示。,表5-1 内置组的组名及其意义,(2)预定义组。用户可行根据自身需要,对组的权限进行预定义。有些组的作用域属于全局(Global Groups)。因此用户可以利用此领域的组将跨域的不同类型用户账户(如用户、系统管理员或来宾)归纳到此类型中。 默认状况下,域中的Domain Users组是属于同一个域中的Users组。同理,域中的Domain Admins组属于同一个域中的Administrators组,当然,Domain Guests组默认也会是同一域内的Guests组成员,同时还自动将域的默认Guest用户账户视为其成员。 5.4.3 组织单元的管理 组是Windows 2000从Windows NT系统继承下来的安全管理形式,它是指活动目录或本地计算机对象,包含用户、联系人、计算机和,其他组等。在Windows 2000中,组可以用来管理用户和计算机对网络资源的访问,例如活动目录对象及其属性、网络共享、文件、目录、打印机队列,还可以筛选组策略。使用组,主要是为了方便管理访问目的和权限相同的一系列用户和计算机账户。 作为管理员的用户在赋予用户或计算机账户权限时,如果他们的权限各不相同,必须分别设置;但是,如果他们的权限相同,还要分别进行设置,就多做了许多重复性的工作。有了组的概念之后,就可以将这些具有相同权限的用户或计算机划归到一个组中,使这些用户成为该组的成员,然后通过赋予该组权限来使这些用户或计算机具有相同的权限,这就大大减轻了管理员的用户账户管理工作。,组织单元(Organizational Unit,简称OU)是域中包含的一类目录对象,它包括域中的用户、计算机和组、文件与打印机等资源。不过,组织单元不能包含其他域中的对象。由于动态目录服务把域又详细地划分为组织单元,且组织单元中还可以再划分下级组织单元,因此组织单元的分层结构可用来建立域的分层结构模型,进而可使用户把网络所需的域的数量减至最小。 组织单元具有继承性,子单元能够继承父单元的访问许可权。域管理员可使用组织单元来创建管理模型,该模型可调整为任何尺寸。而且,域管理员可授予用户对域中所有组织单元或单个组织单元的管理权限。,组和组织单元有很大的不同。组主要用于权限设置,而组织单元主要用于网络构建;另外,组织单元只表示单个域中的对象集合(可包括组对象),而组可以包含用户、计算机、本地服务器上的共享资源、单个域、域目录树或目录林。 虽然系统提供了许多内置组用于权限和安全设置,但是它们不能满足特殊安全和灵活性的需要。所以,用户要想很好地管理用户和计算机账户,就必须根据网络情况创建一些新组。新组创建之后,就可以像使用内置组一样使用它们,赋予权限和进行组成员的添加。另外,在域中合理地添加和安排组织单元,不但会方便管理员对域中账户和组的管理,而且还有利于网络的扩展。,5.5 TCP/IP网络与DNS、DHCP,5.5.1 TCP/IP网络 传输控制协议TCP是TCP/IP协议栈中的传输层协议,它通过序列确认以及包重发机制,提供可靠的数据流发送和到应用程序的虚拟连接服务。与 IP 协议相结合,TCP 组成了因特网协议的核心。 由于大多数网络应用程序都在同一台机器上运行,计算机必须能够确保目的地机器上的软件程序能从源地址机器处获得数据包,并且源计算机能收到正确的回复。这是通过使用 TCP 的“端口号”完成的。网络 IP 地址和端口号结合成为惟一的标识,称之为“套接字”或“端点”。TCP 在端点间建立连接或虚拟电路进行可靠通信。 TCP 服务提供了数据流传输、可靠性、有效流控制、全双工操作和多路复用技术等。,关于流数据传输,TCP 交付一个由序列号定义的无结构的字节流。这个服务对应用程序有利,因为在送出到 TCP 之前应用程序不需要将数据划分成块,TCP 可以将字节整合成字段,然后传给IP 进行发送。 TCP 通过面向连接的、端到端的可靠数据报发送来保证可靠性。TCP 在字节上加上一个递进的确认序列号来告诉接收者发送者期望收到的下一个字节。发送者如果在规定时间内没有收到关于这个包的确认响应,就重新发送此包。TCP 的可靠机制允许设备处理丢失、延时、重复及读错的包。超时机制允许设备监测丢失的包并请求重发。 TCP 提供了有效流控制。为了控制数据流,当接收进TCP进程向发送者返回确认响
- 温馨提示:
1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
2: 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
3.本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
人人文库网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
川公网安备: 51019002004831号