Windows NT的網(wǎng)絡(luò)功能及基本概念

WindowsNT的網(wǎng)絡(luò)功能及基本概念要想更好地學(xué)習(xí)、使用WindowsNTServer,并管理好WindowsNT網(wǎng)絡(luò)，必須掌握WindowsNTServer的基本概念。在此，僅介紹常用的基本概念，如：域的概念、工作組、委托關(guān)系、用戶賬號與組、權(quán)限、主域控制器、備份域控制器、目錄服務(wù)等。1、目錄服務(wù)（NTDS）目錄服務(wù)是WindowsNTServer提供的服務(wù)之一。NTDS是WindowsNT用于保存用戶、組、安全設(shè)置等信息的目錄服務(wù)數(shù)據(jù)庫，完成對網(wǎng)絡(luò)用戶的管理。用戶登錄時，網(wǎng)絡(luò)將登錄信息交給目錄服務(wù)檢查、驗證，合法的用戶就可以訪問網(wǎng)絡(luò)授權(quán)的資源。目錄服務(wù)的特點是：向用戶提供單一的用戶名和密碼，已有用戶名和密碼的用戶可以訪問網(wǎng)絡(luò)資源，網(wǎng)絡(luò)管理員可以從網(wǎng)絡(luò)上的任一臺計算機上管理用戶與資源等。在目錄服務(wù)環(huán)境中。涉及到域的概念。2、域（Domain）在WindowsNTServer的目錄環(huán)境中，域是共享公共安全和用戶賬號信息的計算機用戶的邏輯分組，是安全與集中管理的最基本單位。換句話說，域是由許多網(wǎng)絡(luò)服務(wù)器和工作站連接起來的計算機的集合，該集合中的成員可以共享資源和使用相同的系統(tǒng)設(shè)置與賬號系統(tǒng)等。在同一個域中，不論以什么樣的連接方式,工作站或服務(wù)器之間彼此之間都是關(guān)聯(lián)的“伙伴”。一個WindowsNT網(wǎng)絡(luò)中，可以由多個域組成，而一個域中可以包含一個或多個WindowsNT服務(wù)器。3、主域控制器（PDC）一個WindowsNT網(wǎng)絡(luò)中有且只能有一個主域控制器（PDC），域中所有的用戶、組賬號及安全設(shè)置等信息都存儲在主域控制器的主目錄數(shù)據(jù)庫中。不論用戶在域中的什么位置登錄，也不論有多少個WindowsNT服務(wù)器，只要擁有一個合法的用戶名和密碼，都會獲得主域控制器的認(rèn)可。當(dāng)然，對用戶賬號的增加和修改都是在主域控制器的認(rèn)可。當(dāng)然，對用戶賬號的增加和修改都是在主域控制器的目錄數(shù)據(jù)庫中進(jìn)行。在以域模式組建的WindowsNT網(wǎng)絡(luò)時，必須先建立主域控制器。一個WindowsNT網(wǎng)絡(luò)中，除有一個主域控制器外，可以有多個備份服務(wù)器和工作站。4、備份域控制器（BDC）備份域控制器也是一臺運行WindowsNTServer的計算機，可以作為文件、打印或應(yīng)用程序服務(wù)器。備份域控制器維護(hù)備份目錄數(shù)據(jù)庫。為了保持?jǐn)?shù)據(jù)的統(tǒng)一，主域控制器定期（缺省是5分鐘）把目錄數(shù)據(jù)庫復(fù)制到備份域控制器中。備份域控制器的作用是：BDC在PDC脫機時可以提升為PDC,BDC可以分擔(dān)審核登錄者身份的負(fù)荷。在以域模式組建WindowsNT網(wǎng)絡(luò)時，對小型的網(wǎng)絡(luò)一般不需要備份域控制器（如在一個教室中組建網(wǎng)絡(luò)，當(dāng)然，也得根據(jù)應(yīng)用來決定），對于大型的網(wǎng)絡(luò)。至少應(yīng)有一個備份域控制器。在安裝時，先安裝主域控制器，在網(wǎng)絡(luò)正常時再安裝備份域控制器。5、成員服務(wù)器成員服務(wù)器也是一臺運行WindowsNTServer的計算機，不維護(hù)目錄數(shù)據(jù)庫。主要用于運行程序或存儲數(shù)據(jù)，也稱為應(yīng)用服務(wù)器。PDC和BDC也可以作為應(yīng)用服務(wù)器使用。6、工作組（Workgroup）上面介紹的域是WindowsNT網(wǎng)絡(luò)的一種工作模式（稱為域模式），而工作組是WindowsNT網(wǎng)絡(luò)的另一種工作模式（稱為工作組模式）。工作組是一組由網(wǎng)絡(luò)連接起來的計算機，工作組中的任何一臺計算機都同時擔(dān)任著工作站和服務(wù)器的職能，它們維護(hù)自己的用戶賬號。經(jīng)過適當(dāng)?shù)臋?quán)限設(shè)置，一臺計算機既可以訪問其他計算機提供的資源，也可以把資源提供給其他計算機，它們平等地共享網(wǎng)絡(luò)資源。在工作組中的資源與管理是分散在網(wǎng)絡(luò)中的各個計算機上，不像域那樣集中管理。在這種模式中，由于資源分散，所以就要求用戶必須同時維護(hù)擁有自己賬號的每臺計算機上的本地目錄數(shù)據(jù)庫。以工作組模式組織WindowsNT網(wǎng)絡(luò)較簡單，在安裝WindowsNTServer4.0時，選擇Workgroup方式即可。由于Windows98/95具有對等網(wǎng)絡(luò)功能，所以在實際組網(wǎng)時，很少用WindowsNTServer來組建工作站模式的網(wǎng)絡(luò)。域模式與工作組模式的區(qū)別是：在域中，所有控制都包含一個公共目錄數(shù)據(jù)庫，因此，每一個具有合法身份的用戶都能從該域中的任何一臺幾算計上登陸。在工作組中，每一臺計算機都包含自己的目錄數(shù)據(jù)庫，因此，每一個用戶在每一臺計算機中都必須有自己獨立的用戶賬號。7、單域中的目錄服務(wù)如前所述，域是安全與集中管理的最基本單位。在目錄服務(wù)環(huán)境中，包括單域目錄服務(wù)和多域目錄服務(wù)。單域目錄服務(wù)中，通常由主域控制器、備份域控制器、成員服務(wù)器和工作站構(gòu)成。在單域目錄服務(wù)中，由于域中計算機都維護(hù)同一個目錄數(shù)據(jù)庫，用戶登錄時，登錄的信息送到主域控制器進(jìn)行驗證，只要合法，用戶就可以訪問整個網(wǎng)絡(luò)的資源。8、多域中的目錄服務(wù)在組建WindowsNT網(wǎng)絡(luò)時，如果用戶很多(達(dá)幾千)，可以在中創(chuàng)建多個域。域與域通過委托關(guān)系來鏈接。即，一個域中的用戶通過委托關(guān)系來訪問其他域中的資源。委托關(guān)系把域鏈接起來成為一個管理單元。委托關(guān)系分為單向委托關(guān)系和雙向委托關(guān)系。單向委托關(guān)系：一個域委托另一個域訪問它的資源，受委托域的用戶可以訪問委托域中的資源，但是委托域中的用戶不能訪問受委托域中的資源。雙向委托關(guān)系：是兩個單向委托關(guān)系，委托雙方都委托對方訪問自己域中的資源。兩個域中的用戶可以相互訪問對方域中的資源。需要說明的是：WindowsNT的委托關(guān)系不具有轉(zhuǎn)移性，即甲委托乙，乙委托丙，但是甲和丙之間不存在委托關(guān)系。9、用戶賬號與用戶組用戶賬號是用戶的身份，每個登錄到網(wǎng)絡(luò)的用戶，都必須有一個用戶賬號，包括用戶名稱、密碼、用戶權(quán)限等數(shù)據(jù)。用戶賬號分為全局賬號和局域賬號，一般情況下，使用全局賬號，WindowsNT的缺省設(shè)置是全局賬號。WindowsNT內(nèi)置兩個全局賬號：administrator(系統(tǒng)管理員)和guest(來賓賬號)，用戶臨時登錄WindowsNT可以使用guest賬號。普通的用戶賬號是由用戶或系統(tǒng)管理員建立的，一般分配給計算機或網(wǎng)絡(luò)中相對固定的用戶。使用普通賬號的用戶能登錄到本地計算機上，并允許以適當(dāng)?shù)臋?quán)限訪問網(wǎng)絡(luò)資源。由于每一個網(wǎng)絡(luò)用戶都有自己的賬號和權(quán)限，在大型網(wǎng)絡(luò)中必然帶來管理上的不便。因此，要把具有相同性質(zhì)的用戶劃分到同一組中，便于管理和統(tǒng)一進(jìn)行權(quán)限分配。組也分為全局組(GlobalGroup)、本地組(LocalGroup)和特殊組(SpecialGroup)o全局組可以在所有域中使用，本地組可以包括域中所有用戶和全局組，但是不包括其他本地組。本地組能訪問的資源范圍取決于主域控制器，如果資源訪問權(quán)限設(shè)置給域中的本地組，則資源只能是域控制器內(nèi)的資源。在WindowsNT域中有AccountOperators，Administrators，BackupOperators，DomainAdmins，DomainUsers，DomainGuests，PrintOperators，PowerUsers，Replicators，ServerOperators和Users等缺省的用戶組。其中DomainAdmins，