17.1网络操作系统概述功能特征安全性分层常见系统27.1.1网络操作系统功能除单机操作系统功能(进程管理,存储管理,文件系统,设备管理)外,主要网络功能:网络通信通信双方无差错、透明的数据传输主要由传输层、网络层、数据链路层实现资源共享及管理统一管理软、硬件资源实现远程访问资源的透明性37.1.1网络操作系统功能网络管理(核心:数据安全保障)“存取控制”“容错技术”网络服务…互操作不同网络之间的互联互通网络接口统一的取得网络服务的接口47.1.2网络操作系统的特征并发、资源共享、虚拟与异步性开放性ISO—OSI-RM参考模型一致性通过OSI-RM模型中的接口实现透明性各种网络服务实现细节的不可见57.1.3NOS的安全性用户帐户的安全性密码加密时间限制访问的时间间隔限制站点限制创建安全的访问区域磁盘空间管理磁盘配额传输介质的安全性加密审核67.1.4NOS与OSI/RM网络驱动程序介于网卡(NIC)与网络协议之间物理层、链路层网络协议软件数据传送实现2~7层应用程序接口软件(API)实现应用软件与网络协议软件的通信77.1.5常见的NOSUNIXWINDOWSLINUX8(1)WindowsServer2003特性多任务大内存最大512G多处理器最多64个即插即用群集多机备份文件系统压缩、加密、磁盘配额9服务质量—WMS9较好的通讯带宽远程管理—在异地进行服务器管理远程安装—一次性为多台计算机安装系统活动目录—数据库,存储整个网络的资源、配置组策略—用户行为控制邮件服务—系统内置IPv6支持—128位地址无线网络—不需安装第三方软件Microsoft.NET—微软新标准10(2)LinuxGNU成员,遵循GPL及开放源代码原则。GNU是“GNU'sNotUnix”的递归缩写GNU计划,又称革奴计划GPL:GNU通用公共许可证“反版权”Linux是一种新型的网络操作系统,最大的特点是开放源代码,并可得到许多免费应用程序。目前有中文版本的Linux,如RedHat(红帽子),红旗Linux等,其安全性和稳定性较好,在国内得到了用户的充分肯定。与Unix有许多类似之处,主要用于中、高档服务器中。117.2网络操作系统基本配置127.2.1Server2003用户与组什么是用户账户存在于windows2000、XP、2003系统中的一种对象包含多种属性:用户名、密码不同用户账户配置环境不同不同用户账户的用户名和密码不同不同用户账户的SID不同13SID:SecurityIdentifiersSID也就是安全标识符(SecurityIdentifiers),是标识用户、组和计算机帐户的唯一的号码。在第一次创建该帐户时,将给网络上的每一个帐户发布一个唯一的SID。Windows2000中的内部进程将引用帐户的SID而不是帐户的用户或组名。如果创建帐户,再删除帐户,然后使用相同的用户名创建另一个帐户,则新帐户将不具有授权给前一个帐户的权力或权限,原因是该帐户具有不同的SID号。安全标识符也被称为安全ID或SID。*管理员的SID结尾是1F4,转换为十进制就是50014用户帐号种类域用户帐号可以访问网络域中的共享资源存储在ActiveDirectory本地用户帐号可以访问本地计算机的资源存储在SAM文件中内置帐号Administror:内置管理员帐号Guest:方便来宾临时访问共享资源不能删除AdministratorandGuest15用户账户的类型:本地用户账户使用“本地用户和组”创建存储在SAM数据库中(system32\config\sam),一部分信息存储在注册表中HKEY_LOCAL_MACHINE\SAM\Domains\Users)登陆时进行本地身份验证域用户账户使用“AD用户和计算机”创建存储在ActiveDirectory数据库中(windows\NTDS\ntds.dit)登陆时进行网络身份验证16创建用户账户:本地用户账户“本地用户和组”——lusrmgr.mscNetuser:netuserabc123/addnetuserabc456netuserabc/del脚本域用户账户“AD用户和计算机”——dsa.mscUseradd脚本17创建和管理组组一组相关账号的集合。在管理网络时,可按照不同用户的操作需求和资源访问需求来创建不通的组,以实现对多个用户的统一配置和管理。创建方法:运行MMC添加“本地用户和组”组件18创建和管理组组的类型工作组中的组(本地组)创建于非域控制器计算机,控制对本机资源的访问。域中的组创建于域控制器,控制对域资源的访问。server2003的内置组AdministratorPowerUsers(域控制器上为ServerOperators)BackupOperatorsGutstsUsers(不用来授权,只表明是否属于该域)19使用组的规则本地在管理网络时,管理员可按以下规则使用组(1)将用户加入组(2)给组授权207.2.2活动目录和域域与活动目录活动目录AD是windows网络中的目录服务AD是一个大型数据库AD是一种服务21ActiveDirectory(活动目录)?活动目录功能组织管理控制资源集中管理单点管理-----管理员单点登录-----普通用户22域与活动目录域与域控制器域:windows环境种组建C/S网络的实现方式由网络管理员定义的一组计算机的集合域控制器:存储网络用户账号及目录数据库,即AD管理员通过修改AD的配置来实现对网络的管理和控制23Domains域域是一个安全边界域的管理员只能在本域内实施管理权限域是一个复制单元每台域控制器DC保存域内全部数据的一个副本Windows2000DomainReplication24域与活动目录组织单元OU是AD中的一个子对象,也成为容器。创建组织单元的目的是对活动目录对象进行分类。25组织单元OUOrganizationalStructureSalesVancouverRepairUsersSalesComputersNetworkAdministrativeModel使用OU将域划分为合理的逻辑管理层次在OU上可以委派管理权限在OU上可以实现单独的策略26使用活动目录来集中化管理OU1DomainComputersUsersOU2UsersPrintersComputer1User1Printer1User2DomainOU2OU1User1Computer1Printer1User2SearchActiveDirectory:使管理员集中管理网络资源更容易的定位信息以OU的方式管理资源使用组策略管理网络中计算机27域与活动目录域目录树具有连续的域名空间的多个域组成域目录树xx.comau.xx.comasia.xx.comTreeTwo-WayTransitiveTrusts28域与活动目录信任关系是网络中不同域之间的一种内在联系只有在两个域之间创建了信任关系,这两个域才可以互相访问。单向信任关系双向信任关系可传递信任关系不可传递信任关系29TreesandForests(树与森林)contoso.msftau.contoso.msftasia.contoso.msftTreeTwo-WayTransitiveTrustsau.nwtraders.msftasia.nwtraders.msftnwtraders.msftForestTreeTwo-WayTransitiveTrust多域的环境30四种基本的域结构:单一域模型主域模型多主域模型完全信任模型不同的域结构适用与不同的网络规模、地理分布以及其他资源条件。在一个域模型中不允许包括多个主域控制器。31真题例:在Windows网络操作系统通过域模型实现网络安全管理策略。下列除(1)以外都是基于域的网络模型。在一个域模型中不允许包括(2)。(1)A.单域模型B.主域模型C.从域模型D.多主域模型(2)A.多个主域控制器B.多个备份域控制器C.多个主域D.多个服务器32创建WindowsServer2003域创建域的条件1.版本不能是web版。2.域控制器计算机中至少有一个NTFS分区,用于存储活动目录的SYSVOL文件夹。3.有合法的DNS域名及DNS服务器。server2003采用DNS命名规则为解析域名,必须有DNS服务器4.必须有管理员权限,普通用户不能安装域控制器。33创建WindowsServer2003域创建域的步骤1.安装域控制器(dcpromo命令)2.检查域控制器的配置3.待客户机加入域34创建WindowsServer2003域排除常见的故障1.网络不通2.输入的域名错误3.输入的用户名密码错误或没有权限加入4.客户机DNS未正确指向357.2.3Server2003文件服务器文件服务器提供并管理对文件的访问安装:管理您的服务器-添加删除角色功能:为用户设置默认的磁盘配额设置共享文件夹367.2.4Server2003终端服务远程桌面允许管理员登录到一台计算机,并像在本地一样管理计算机。终端服务一方面允许管理员远程管理计算机。一方面也允许多个用户同时运行终端服务器中的程序。37终端服务如何工作MyDocumentsMyComputerMyNetworkPlacesInternetExplorerRecycleBinStart12:00PMRDPTCP/IPTerminalServerClient387.2.5Server2003远程管理MMC远程桌面连接终端服务远程协助Telnet……397.2.6Linux网络配置网络配置文件大多位于/etc目录下配置文件提供IP地址、主机名、域名脚本实现网络接口的初始化运行时修改立即生效40网络中计算机名称的类型主机名也称域名最多255个字符,由多部分组成,中间用“.”隔开如NetBIOS名常说的计算机名最多15个字符:如Server1,computer1主要用于局域网内部411、/etc/sysconfig/network文件指定服务器上的网络配置信息netowrk=yes/no表示网络是否配置hostname=hotname服务器主机名gateway网关IP地址forward_IPV4=yes/no是否开启IP转发gatewaydev=gw-dev网关设备名字hostname=hostname主机的全限定域名NISDOMAIN=dom-nameNIS域422、/etc/hostname文件Linux主机名称192.168.0.9sever.domain.com主机名称,启动时从/etc/sysconfig/network的hostname中得到。用于启动时设置主机名。433、/etc/hosts文件包括IP地址与主机名之间的映射配置后重启网络/etc/rc.d/init.d/networkrestart444、/etc/host.conf指定如何解析主机名,默认内容orderhosts,bind#order:指定主机名查询顺序multion指定是否/etc/hosts文件中指定的主机可以有多个地址mospoofoff指定是否允许对该服务器进行IP地址欺骗,recorderoff是否所有的查询将被重新排序,ON表示可以,即在同一子网中的主机首先被选中455、/etc/resolv.confDNS域名解析配置文件,包含主机的域名搜索顺序和DNS服务器的地址,每行以