240 likes | 403 Views
网络与信息技术. 第三章 WIN2000 网络规划、安装与管理. 中国地质大学网络教育学院 杨强根. 内容提要. 3.1 Windows2000 的主要术语 3.2 Windows2000 的网络模型 单域模型、单主域模型、多主域模型、完全委托域模型 3.3 Windows2000 的规划 3.4 Windows2000 的安装 3.5 Windows2000 的管理 配置 WIN2000 网络 用户帐号及组管理 共享资源管理 3.6 WIN2000 的高级应用服务 IIS FTP. 3.1 Windows2000 的主要术语.
E N D
网络与信息技术 第三章 WIN2000网络规划、安装与管理 中国地质大学网络教育学院 杨强根
内容提要 • 3.1 Windows2000的主要术语 • 3.2 Windows2000的网络模型 • 单域模型、单主域模型、多主域模型、完全委托域模型 • 3.3 Windows2000的规划 • 3.4 Windows2000的安装 • 3.5 Windows2000的管理 • 配置WIN2000网络 • 用户帐号及组管理 • 共享资源管理 • 3.6 WIN2000的高级应用服务 • IIS • FTP 中国地质大学网络教育学院 杨强根
3.1 Windows2000的主要术语 • 目录数据库:一个存在于网络域控制器中用于存放所有安全机制和用户帐号信息的数据库。 • 域:域是网络中服务器和其它计算机的逻辑分组。 • 组:部分用户帐号的集合。也是一个帐号。 • 用户帐号:包括用户名、口令、用户权利和访问权限等数据信息。 • 域控制器:域控制器是运行WIN2000 SERVER、管理域用户和域之间进行交互的所有方面的计算机,他利用目录数据库中的安全信息和用户帐号信息对登录到域中的用户身份进行验证。一个域拥有一个主域控制器(PDC)和多个备份域控制器(BDC)。 • 主域控制器:验证登录者的身份并维护域的目录数据库。PDC跟踪域中所有用户帐号的改动。是唯一直接接收目录数据库更改的服务器。每个域中只有一个PDC。 • 备份域控制器:负责域的目录数据库、用户帐号和安全信息的备份。 • 成员服务器:提供其他的网络服务,如文件、打印等服务。成员服务器也叫做独立服务器。 • 委托关系:也叫信任关系,是一条将两个域组合到一个管理单元的链路,该管理单元可以授权一个域中的用户访问每个域中的资源。委托关系包括两种:单向委托关系和双向委托关系。用户所在的域是受托域,资源所在的域是委托域。 • 单向委托关系:其中一个域(委托域,也叫资源域)可以委托其他域(受托域,也叫用户域)的用户使用其(委托域)中的资源。 • 双向委托关系 中国地质大学网络教育学院 杨强根
3.2 Windows2000的网络模型 • 域模型是由一个或多个域组成的组,在这些域之间有管理和通信链(委托关系)。这种安排有利于管理用户帐号和资源。通过对网上域进行适当的规划和组织,可以简化网络管理工作,保证网上所有用户都可以通过网络连接到可用资源。 • 单域模型 • 单主域模型 • 多主域模型 • 完全委托域模型 • 工作组模型 中国地质大学网络教育学院 杨强根
单域模型 • 网络中只存在一个域,不存在委托关系。单域可以有一个PDC、一个或多个BDC。 • 主域控制器支持2500个用户帐号,并验证它们的身份。单域模型适用于网络用户和组数量少,且要求能对用户帐号进行集中管理,管理工作要简要的单位。 中国地质大学网络教育学院 杨强根
单主域模型 • 单主域模型要根据工作需要分为多个域,但用于用户和组数量少的情况下。在该模型中,所有用户帐号均以主帐号为主心,用户按主域上的帐号进行登录,且所有资源均安装在资源域中。每个资源域与主域为单向委托关系,使得主域中有帐号的用户可以使用其它域中的资源。使用该域模型,主域成为用户和组帐号的中心管理单元。 中国地质大学网络教育学院 杨强根
多主域模型 • 此模型包含两个或两个以上的主域。主域用作帐号域,用于创建和维护用户帐号。其它域为资源域,不存储和管理用户帐号,但提供共享文件服务器和打印机等网络资源。 • 该模型中,主域之间建立多向委托,每个资源域通过单向委托关系委托每个主域。由于每个用户帐号存在于某个主域中,且每个资源域又委托每个主域,所以在每个主域中均可以使用任一个帐号。 中国地质大学网络教育学院 杨强根
完全委托域模型 • 完全委托域中每个域都有帐号和资源,该模型适用于要把用户帐号和资源的管理分散到不同部门中,而不是进行集中化管理的情况。 • 在此模型中,网络中的每一个域都委托其他任何域,每个域都不管理其他的域。 中国地质大学网络教育学院 杨强根
工作组模型 • 工作组是以资源共享为目的而建立的一组计算机的逻辑连接。在形式上,工作组是将若干台计算机连接起来构成的一个小型网络。 • 特点:工作组中的每个计算机拥有自己管理的帐号数据库,每个工作组有唯一的标识名称,无登录检验,用户数量有限,管理分散。 中国地质大学网络教育学院 杨强根
3.3 Windows2000的规划 • 网络规划是指在网络安装之前,对网络的方方面面的工作进行策划,以保证所建网络的科学性、有效性和安全性。进行细致的网络规划,也有利于在网络的安装过程中,能够从容地进行各种网络参数的设置。 • 网络规划只要包括下列工作:认真细致的学习、了解Windows 2000所需要的硬件环境,确定自己网络服务器的硬件配置、计算机名字的规划、帐号的规划、组的规划、安全性规划、域的规划、文件系统的选择、网络协议的选择、记录网络规划信息等。 • 所需硬件环境 • 帐号和组的规划 • 域的规划 • 安全性规划 • 选择文件系统 • 选择网络协议 • 记录规划信息和网络硬件信息 • 选择安装组件 中国地质大学网络教育学院 杨强根
3.4 WIN2000的安装 • 3.5.1 windows环境下的安装; • 3.5.2 DOS环境下的安装; • 启动WIN2000安装盘I386目录下的WINNT.EXE开始安装过程; • WINNT.EXE可附加的参数及说明: • /B:不需要制作安装盘; • /OX:指制作安装盘; • /S:sourcefile:指明系统文件i386在哪里; • /T:tempfile:制定保存临时文件的磁盘; • /C:制作安装盘时无需检查磁盘空间是否足够; • /L:设置当将文件复制到临时目录中($WIN_NT$.~LS)时,如果有错误,都将其记录到$WINNT.LIG文件中。 中国地质大学网络教育学院 杨强根
3.5 Windows2000的管理 • 配置WIN2000网络 • 用户帐号及组管理 • 共享资源管理 中国地质大学网络教育学院 杨强根
3.5.1 WIN2000的网络组件 • WIN2000依靠4个主要的组件实现网络的连接:协议(PROTOCOLS)、网络服务(NETWORK SERVICES)、网卡(Network Adapters)和绑定(Bindings)。 • 协议:是一种规范,运行相同协议的操作系统或设备可以相互通信;win2000将TCP/IP协议作为默认协议; • 网络服务:网络服务为使用网络的客户、应用程序或计算机提供某种应用。 • 网卡:物理器件,有唯一的物理地址(MAC地址),连接计算机和网线;实现向网络中发送数据和访问网络的功能;并行的数据在网卡上被转化为串行的比特流,并以电信信号的形式发送到连接介质中。同时网卡也负责将从网络上监听到的发给本计算机的电信号转化为并行的数据流,送到本地计算机的数据总线上。 • 绑定:绑定是将应用程序、协议、网络服务和网卡相连接的一种方法。可以将绑定看成是将各种网络组件相连接的一种软件接口。绑定提供了网络组件之间的一种关联。 中国地质大学网络教育学院 杨强根
3.5.2 使用TCP/IP进行网络互连 • TCP/IP协议是WINDOWS 2000的默认协议,也是WINDOWS 2000正常运行、实现所有网络功能所必需的协议。一般情况下,TCP/IP协议是WINDOWS2000安装的默认协议,如果因为某种原因在安装WINDOWS2000时没有安装TCP/IP协议,还可以在安装好WINDOWS2000之后再安装TCP/IP协议。 • 为了TCP/IP协议正常工作,需要为TCP/IP协议配置一些列参数,其中主要参数包括IP地址、子网掩码和默认网关。另外大规模的网络中也可以用DHCP服务(Dynamic Host Configuration Protocol,动态主机配置协议)来简化TCP/IP参数的配置。 中国地质大学网络教育学院 杨强根
3.5.3 配置客户机成为DHCP客户机 • DHCP所提供的功能就是减轻网络管理的过重的负担。其工作过程为:DHCP工作站启动时将自动地与DHCP服务器进行通信,在取得联系时,服务器会把IP地址提供给工作站,服务器给工作站提供IP地址的方式有两种:自动分配和动态分配。 • 自动分配:指DHCP工作站第一次从服务器得到IP地址后,该地址就永远归该工作站所有。 • 动态分配:当DHCP工作站第一次向服务区租借到IP地址后,并不能永远的拥有此地址,而只是有一个租借期限。在该期限内,工作站可以使用该地址,超出该期限后,服务器则收回该地址,并可以将该地址租借给别的工作站。 中国地质大学网络教育学院 杨强根
3.5.4 检查TCP/IP协议的安装和配置 • 1)在WIN2000命令提示符下运行IPCONFIG命令,该命令将检查本机上TCP/IP协议栈是否被正确安装,并将检查到的TCP/IP参数显示出来。 • 2)在命令提示符下运行“PING 127.0.0.1” ,该命令检查本机的TCP/IP协议栈配置是否正确。若如下图显示,则表示本机TCP/IP协议配置正确。 • 3)使用PING命令PING本子网中的另一台主机使用的IP地址。这一步将检查本机是否能与同一子网中的其他主机通信。若显示如上图类似则表示可以通信,若显示TIMEOUT则表示无法通信,应检查IP地址和子网掩码是否正确。 • 4)用PING命令检查一个远程子网能否到达。如果返回信息与第二步骤PING返回的界面相似,则表示本机的默认网关配置正确。如果显示为“Destination host unreachable”则表示网关配置有误,也有可能网关的路由表配置出现故障,或者网关主机故障。 中国地质大学网络教育学院 杨强根
3.5.5 本地用户帐号及组管理--WIN2000网络中帐号的种类 • 1、域用户帐号:Domain User Accounts • 是用户访问域的唯一凭证,在域中唯一。保存域用户帐号的数据库叫做安全帐号管理器(SAM,Security Accounts Manager),SAM数据库位于主域控制器服务器上的\%systemroot%\NTDS\NTDS.DIT文件中。为保证帐号在域中的唯一性,每一个帐号都被WIN2000分配了一个唯一的SID(Security Identifier,安全标识符),SID不可修改。 • 2、本地用户帐号:Local User Accounts • 只能建立在WIN2000独立服务器上、WIN2000成员服务器、WIN2000 PROFESSIONAL的计算机中。该帐号的作用范围仅局限于在创建该帐号的计算机上,以控制用户对该计算机资源的访问。本地帐号存放在本地计算机的SAM数据库中,也有本地唯一的SID标识号。 • 3、内置的用户帐号:Built-in User Accounts • WIN2000自带的帐号。WIN2000利用这些帐号来完成特定的工作。WIN2000常见的内置帐号有Administrator和Guest帐号。这些帐号不允许被删除和屏蔽,但可以更名。 • Administrator帐号:被设计用于对本地计算机或域进行管理,具有创建其他用户帐号、创建组、实施安全策略、管理打印机以及分配用户资源的访问权限。 • Guest帐号:一半用于在域中或计算机中没有固定帐号的用户临时访问域或计算机时使用。 中国地质大学网络教育学院 杨强根
3.5.6 WIN2000帐号的约定 • 帐号命名约定: • 域用户帐号的用户登录名在AD(Active Directory)中必须为一; • 域用户帐号的完全名称在创建该用户帐号的域中必须唯一; • 本地用户帐号在创建该帐号的计算机上必须唯一; • 对于临时雇员应该做出特殊的命名,以便标识出来; • 用户帐号的登录名最多可以包含20个大小写字符和数字,不能使用系统保留字符" ' / \ [ ] : ; | = , + * ? < > • 帐号密码约定: • 尽量避免带有明显意义的字符或数字的组合,采用大小写和数字的无意义混合; • 在不同安全要求下,规定最小的密码长度; • 对于不同安全要求,确定用户的帐号密码是由管理员控制还是由帐号的拥有者控制; • 定期更改密码,尽量使用不同的密码。 中国地质大学网络教育学院 杨强根
3.5.7 创建本地用户帐号 • 本地用户帐号只能建立在WIN2000独立服务器上、WIN2000成员服务器、WIN2000 PROFESSIONAL的计算机中。该帐号的作用范围仅局限于在创建该帐号的计算机上,以控制用户对该计算机资源的访问。本地帐号存放在本地计算机的SAM数据库中,也有本地唯一的SID标识,记录帐号的权限和组的隶属关系。 中国地质大学网络教育学院 杨强根
3.5.8 本地组的创建与管理 • 本地组的作用范围只限于创建该组的计算机上,组帐号存储在创建该帐号的计算机上的本地安全帐号管理器(SAM)中。使用本地组,需要在每台计算机上都创建组,并通过组授予对资源的访问权限。 • 本地组中有两种主要的组类型:本地组和内置组。 • 本地组(Local Groups) • 对于域中的计算机(非DC)中的本地组而言,组中的成员可以是本地计算机内的本地用户帐号、育种的域用户帐号、域中的全局组和通用组帐号、信任域中的域用户帐号以及信任域中的全局组和通用组。 • 内置组(Built-in Groups) • win2000自动创建,具有一些特定的事先赋予的权力,用以完成某些特定的系统任务。内置组不能被删除,其作用范围也仅限于其存在的计算机上。 • 内置组包括两种主要类型的组:内置本地组和特殊身份组。 • 内置本地组(Built-in Local Groups):完成各种类型的系统任务,如备份和恢复数据、更改系统时间以及管理系统资源等。 • 特殊身份组(Special Groups):针对系统的用途或活动而自动组织的用户,管理员不能分配和管理组的成员。并且其组织用户的规则是统一而不能更改的。 • 实现本地组组策略 • 如何将组、用户、资源以及权限组合在一起而实现对资源的管理称之为组策略。使用本地组的组策略被称为ALP(Accounts Localgroup Permission)策略。ALP策略的意思就是先将具有相同属性的用户帐号加到一个本地组当中去,再针对某些资源赋予这个本地组相应的访问权限。 • 创建本地组的操作由本地计算机的Administrators组或Account Operators组的成员来进行。 中国地质大学网络教育学院 杨强根
3.5.9 共享资源管理 • Windows2000作为一个网络操作系统除了具有良好的网络连接功能以外,网络中的资源可以被更好的使用。共享网络资源要做的第一件事情就是在网络中设置共享文件夹,利用共享文件夹将数据发布到网络中让其他用户访问。设置共享文件夹无论是在工作组模式中还是在域模式中都是在网络中共享文件资源的唯一方法,因为文件不能被直接共享到网络中,必须通过共享文件夹发布出来。 • 为了创建共享文件夹,操作者必须具有相应的权限,在域中共享文件夹必须是Administrators组或Server Operators组的成员(如果是在Windows2000域中的成员服务器上创建共享文件夹,则还可以是Power User组的成员),如果在工作组模式中则必须是该共享文件夹所在的计算机上的Administrators组或Power Users组的成员。 中国地质大学网络教育学院 杨强根
3.5.10 设置共享文件夹的权限 • 利用共享文件夹可以将文件资源发布到网络中,对该共享文件夹的控制可以通过共享文件夹权限来实现。与NTFS权限不同的是共享文件夹权限将只能控制对文件夹一级的访问,即不能设置用户对文件的访问权限。 • 共享文件夹权限只有“完全控制”、“更改”和“读”三种。 • 从网络中访问共享文件夹的用户可能属于不同的组,而这些不同的组可能被授予访问该共享文件夹不同的权限,用户最终的权限将由一些烈的规则来确定。 • 权限最大法则:当用户属于不同的组,而这些不同的组被授予访问该文件夹不同的权限时,最终的权限将是用户所在组中被授予的最宽松的权限起作用,即加权限; • “拒绝”权限超越其他权限:如果用户被授予了对某共享文件夹“拒绝”的权限,则最终该权限为用户访问共享文件夹的权限,而不管用户在所属的其他组中是被授予何种权限; • 共享文件夹权限和NTFS权限取最严格的权限:当共享文件夹同时被授予共享文件夹权限和NTFS权限时,最终的权限将是这两种权限中最严格的权限。 中国地质大学网络教育学院 杨强根
3.5.11 从网络上访问共享文件夹 • 当设置好共享文件夹之后,网络上的用户就可以通过网络访问该共享文件夹。有三种方法从网络上访问一个共享文件夹。 • 通过“网上邻居” • 通过“映射网络驱动器” • 通过使用“运行”命令 中国地质大学网络教育学院 杨强根
3.6 WIN2000高级应用服务IIS • IIS 5.0以上版本提供两种不同的服务: • HTTP/WWW服务:提供在Internet上显示和传输HTML文件的功能; • FTP服务:允许远程客户上载或下载文件。 • IIS目前支持的服务包括: • 支持使用HTTP协议的WWW服务,包括支持HTTP1.1版本; • 对于使用FTP协议的文件传输服务的全面支持; • 功能强大的安全特性,集成到WINDOWS 2000的安全体系中; • 可编写WEB标准的CGI程序,以及ISAPI应用程序和ASP脚本; • 全文本和对象索引,由Microsoft Index Server来完成; • 集成Microsoft目录服务,即Active Directory。 • IIS 5.0 包括以下组件: • Internet服务: WWW、FTP服务; • Internet服务管理器: 管理Internet服务的工具; • Internet数据库连接器: 向数据库发送查询的组件; • 密钥管理器: 安装安全套接字层(Secure Sockets Layer, SSL)密钥的工具; 中国地质大学网络教育学院 杨强根