专题之二NT基本概念及安装

专题之二NT基本概念及安装第一章NT基本概念本章将介绍WidowsNT的基本概念，例如域（domain）的定义、域的模式（DomainModel）、委托关系、用户帐号与组、权限的设置、主域控制器PDC和备份域控制器等。1.1什么是NTDS与域现代的网络操作系统大都利用一个称为Dirctory（目录）的数据库，以便保存用户、组、安全设置等。在NT的目录服务NTDS环境中，域是其安全性与集中管理的最基本单位。一个域中包含一个或多个NT服务器，一个NT的网络可以由多个域组成。图1．1一个WindowsNT的网络中可包含多个域NTDS具备以下的特点：(1)目录数据库DirectoryDatabase，NTDS是建立在一个安全的目录数据库下，此数据库中保存着用户ID、密码、访问权限等数据。(2)分散式的结构你可以设置自动地将NTDS的目录数据库备份至其他的计算机中，此举既可平衡系统的负载，也可降低网络的负荷。(3)单一登录不论网上有多少台服务器，用户只能登录一次，就可以访问网上所有被赋予访问权限的资源，即使用户是由远程拨号请求登录，或通过Internet登录也是如此。(4)可在网络上任何一个地方管理网络网络系统管理员可在网络上的任何一个地方，利用NIDS的功能管理网络，例如新增用户帐号、设置使用权限等。(5)与异质网络的通信通过DirectoryServiceManagerforNetWare（DSMN），NTDS也可以管理在NetWare2.x与3x服务器上的帐号；NIDS也可以在UNIX_based的主机上运行。按域为方式组织的wlndowsNT网络，其所有用户、组帐号以及安全设置等数据都集中保存在一台称为“主域控制器”（PDC）的计算机目录数据库（DircctOryDatabase）中，并且不论域上有多少台服务器，用户只需要一个帐号与密码即可。同时网络系统管理员可在任何一个地方管理整个网络。1.2什么是工作组模式与域模式NT-based的计算机既可在工作组,也可在域中操作。工作组是一组由网络连接在一起的计算机，但是它们的资源与管理是分散在网络各计算机上的，而不是像域一样的集中式管理。工作组：是计算机和用户的逻缉组。在工作组中，每个计算机管理自己的资源和用户帐户，工作组适合于小型群组工作,其中只有少量用户需要访问其它计算机上的资源。域：与工作组类似，域也是计算机和用户的逻缉组，但在域中,所有计算机都共享一个集中的目录数据库(存贮安全策略和用户帐户信息)，目录DBF由一或多个NTServer域控制器来管理。(1)TheWorkgroupModel工作组模式的管理是分散的，其主要的优点和缺点如下：优点缺点·不需NTServer域控制器·不能集中管理帐户·设计与实现简单·不适合大型组·适合于小型组·有限的集中控制(2)TheDomainModel在一个域中，运行NTSever的计算机不是单独的服务器就是域控制器。每个域维护其自己的目录数据库。一个域必须有一个PDC(primaryDomainController),可有多个BDC(BackupDomaincontroller)域控制器.管理员只需在PDC的目录数据库中创建一个用户帐户一次。当用户登录到一个域中时,域控制器通过目录数据库验证登录的合法性。当共享NT计算机上的资源时,可以对域用户安排其使用的权限。优点缺点·对整个网络能进行集中的帐户和安全性管理·至少需一个PDC·域用户登录后,可访问网络资源(多台计算机)·需先计划好再配置安装网络1．3什么是用户帐号（UserAccount）每一个要登录到网络的用户，都必须被授予一个帐号名称，我们称之为“用户帐号”。帐号中包含着用户的名称、密码、用户权力（Rights）、访问权限（Permissions）等数据。用户帐号分为全局帐号（GlobalAccount）与局域帐号（本地帐号，LocalAccount）的两种。一般我们所使用的是全局帐号，如果你添加一个用户帐号，则WindowsNT缺省将其设为全局局帐号。全局帐号（域用户帐号）：是在PDC的目录数据库中建立的。局域（本地）帐号只使用在特殊用途上，它是在这个计算机的本地目录DBF中使用的用户帐号，该帐号只能访问那台计算机的资源。WINNT中提供两个内置的全局帐号，分别是：（1）administrator它是用来管理整个域的内置帐号，也就是“系统管理员”。（2）GUEST供来宾访问域资源的内置帐号，例如临时想登录域，但是却没有帐号的用户，可暂时使用此帐号。1.4什么是组（Group）当我们新增用户帐号后，必须先设置该用户的权力与访问权限等，然后该用户才能访问其所想要的资源。为了便于管理，可以利用组（GrOup）的方式，将相同性质的用户归到同一个组中，就可帮我们减少管理上的困扰。组分为全局组、本地组及特殊组。（1）全局组可以通行所有域的组。如果这个组可以被其他的域所引用，例如组内的组员可以到其他的域登录（即使其在这些域中没有帐号）、被其他域的系统管理员设置此组对该域的访问权限、加入到其他域的本地组中等，那么这个组就称为“全局组”。只有域控制器才有全局组。全局组中只可包含该组所属域内的用户，不可包含其他域中的用户，也不可以包含其他的本地或全局组。（2）本地组域的本地组则可以包含所有域中的所有用户与所有全局组，但是不可包含其他的本地组。也就是说，域上的本地组中可包含以下的组员：．本域中的用户帐号．本域中的全局组帐号．其他受托域中的用户帐号．其他受托域中的全局组帐号．本地计算机中的用户帐号图1.2全局与本地组的范例域中的本地组，其所能够访问的资源范围，只取决于该域中的域控制器（PDC或BDC）。也就是说，如果你将资源的访问权限设置给域内的本地组，则此资源只可以是域控制器内的资源。同理，windowsNTworkstation、windiwsNTServer（非域控制器）计算机中的本地组（非域上的本地组），其资源访问范围也只限于该计算机。1.5委托关系委托关系是用来建立域与域之间的连接关系，它可以执行跨域的通行审核（Pass一ThroughAuthentication）操作。域之间经过委托后，用户只要在某一个域内有一个用户帐号，就可以访问整个网络中其他经过委托的域内的资源（即使用户在其他的域内没有帐号），如图2．4所示。可以称委托者为“信任域（TrustingDomain）”或“Resource域”，称受委托者为“受托域（TrustedDonlain）”或“Account域”。当建立好委托关系后，信任域即可辨认受托域中所有的用户与全局组帐号，这些帐号可以在信任域中使用，例如a.在信任域中登录，但在登录时必须指明他是哪一个受托域中的用户。b.被加入到信任域中的本地组。c.在信任域中被设置其对该信任域的使用权力、访问权限。d.访问信任域中的资源，如文件、打印机等。委托关系可以是单向或双向的。(1)单向的委托关系图1.3所示为单方向的委托关系，也就是制造部域委托业务部域，使业务部中的帐号可以在制造部中使用（例如到制造部域登录等），但是制造部中的帐号却不可以在业务部中使图1.3经过委托与设置权限后，就可使用跨域的资源(2)双向的委托关系图1．4所示为双向的委托关系范例，制造部与业务部域相互委托。(3)委托关系不具转移牲委托关系是不具转移性质的，也就是虽然甲委托乙、乙委托丙，但甲与丙之间并不会有委托关系存在，如图1.5所示。图1.4双向委托的范例图1.5委托关系是无法转移的1.6域的成员组成一个域最基本的需求，是要有一台执行w1ndowsNTServer的服务器，并且此服务器必须是“主域控制器（Primary，DomainController，PDC）”。此服务器保存域内用户与组数据库的主要备份（MasterCopy）。除此之外，域内还可有其他的服务器与工作站，如图1．6所示：图1．6域的成员a.执行windowsNTServer的服务器，并且是当作“备份域控制器（BDC）”b.执行windowsNTServer的独立服务器（StandaloneServer或MemberServer）它既非PDC，也非BDCc.LanManager2.Xserverd.windowsNTWorkstationclient（中英文版）e.MS-DOSclientf.Windows95client(中英文版）g.Windows3．xclient（中英文版）h.其他的OS/2,Macintosh、UNIX等client以下几小节将对域成员中，属于Microsoft的产品做一简要的说明。(1)主域控制器（PDC）主域控制器必须是一台运行WindowsNTServer的计算机，你也可以将它当作是文件、打印或应用软件服务器，但是一个域必须有、也只能够有一个“主域控制器”。域上所有的用户帐号、组以及安全设置等数据都是保存在“主域控制器”的Directory中。当你建造域方式的NT网络时，域内的第一台计算机通常必须是“主域控制器”，也就是第一次安装WindowsNTServer4.0中文版时，通常都必须将第一个安装的服务器设为“主域控制器”。“主域控制器”也同时负责审核（Authenticate）登录（Logon）者的身份，例如检查是否为合法的用户等。（2）备份域控制器（BDC）“备份域控制器（BackupDomainController，BDC）”也必须是一台执行WindowsNTServer的计算机，你也可以将它当作是文件、打印或应用软件服务器。主域控制器会定期地（缺省为5分钟）将其中DirectoryDatabase（目录数据库）复制一份到“备份域控制器”中。除了“主域控制器”外，“备份域控制器”也会负责审核（Authenticate）登录者的身份。域内并不一定要有“备份域控制器、，但是建议一个域最少有一台“备份域控制器”。尤其是大型的网络，更需要多台“备份域控制器”，因为它有下列的优点：a.可分担审核登录者身份的负荷.b.当“主域控制器”因故障或其他原因，造成无法使用时，可将“备份域控制器”提升为“主域控制器”，让整个域仍然可以正常运行（当然此时原“主域控制器”内的资源己无法访问）。(3)独立的服务器（StandaloneServer）除了“主域控制器”与“备份域控制器”外，另外还有一种执行WindowsNTServer的计算机，但是它并没有被赋予特殊的名称，只是简单地被称为“独立的服务器”。你也可以将它当作是文件、打印或应用软件服务器。你可以决定是否将“独立服务器”加入域内。如果不将此“独立服务器”加入域内，那么它便具有下列的特性：a.完全独立的服务器b.拥有自己的用户帐号数据库c.自动审核登录到此服务器的用户身份d.无法使用任何域内的用户帐号如果将它加入域内，那么它便具有下列的特性：a.它并未备份一份域目录数据库b.不具有审核域登录者身份的功能（但仍然具有审核本机登录者身份的功能）c.可以使用所属域内的用户帐号d.可以使用受托域内的用户帐号下列情况，可能是你会将wlndowsNTServY设为“独立的服务器”，而不设为“备份域控制器”的原因：a.如果此服务器的任务，是执行某些特殊重要并且时间紧迫的工作，而你不希望此服务器浪费时间在审核登录者身份等操作上。b.如果此服务器未来可能会被移到其他地方，因为此“独立的服务器”拥有自己的用户数据库与SID（Securityidentifier），与其他的服务器无太多的关联。因此你可以很容易将其移到另一个域中，而不需要重新安装。（4）NTworkstation你可以将WlndowsNTWorkstation计算机加入到域中，并且由此计算机登录到WindowsNT域。在wlndowsNTWorkstation中并没有备份一份域的DirectoryDatabase（目录数据库）。虽然如此，它仍然可以使用域上的用户帐号，例如将域上的用户帐号与全局组，加入到NTWorkstation的本地组中，设置域上的用户帐号与全局组的访问权限，由此计算机利用域中的帐号登录WindowsNT域等。加