網(wǎng)絡工程師培訓-第七章課件

7.1網(wǎng)絡操作系統(tǒng)概述功能特征安全性分層常見系統(tǒng)17.1網(wǎng)絡操作系統(tǒng)概述功能17.1.1網(wǎng)絡操作系統(tǒng)功能除單機操作系統(tǒng)功能（進程管理，存儲管理，文件系統(tǒng)，設備管理）外，主要網(wǎng)絡功能：網(wǎng)絡通信通信雙方無差錯、透明的數(shù)據(jù)傳輸主要由傳輸層、網(wǎng)絡層、數(shù)據(jù)鏈路層實現(xiàn)資源共享及管理統(tǒng)一管理軟、硬件資源實現(xiàn)遠程訪問資源的透明性27.1.1網(wǎng)絡操作系統(tǒng)功能除單機操作系統(tǒng)功能（進程管理，存7.1.1網(wǎng)絡操作系統(tǒng)功能37.1.1網(wǎng)絡操作系統(tǒng)功能37.1.2網(wǎng)絡操作系統(tǒng)的特征并發(fā)、資源共享、虛擬與異步性開放性ISO—OSI-RM參考模型一致性通過OSI-RM模型中的接口實現(xiàn)透明性各種網(wǎng)絡服務實現(xiàn)細節(jié)的不可見47.1.2網(wǎng)絡操作系統(tǒng)的特征并發(fā)、資源共享、虛擬與異步性47.1.3NOS的安全性用戶帳戶的安全性密碼加密時間限制訪問的時間間隔限制站點限制創(chuàng)建安全的訪問區(qū)域磁盤空間管理磁盤配額傳輸介質(zhì)的安全性加密審核57.1.3NOS的安全性用戶帳戶的安全性57.1.4NOS與OSI/RM網(wǎng)絡驅(qū)動程序介于網(wǎng)卡（NIC）與網(wǎng)絡協(xié)議之間物理層、鏈路層網(wǎng)絡協(xié)議軟件數(shù)據(jù)傳送實現(xiàn)2~7層應用程序接口軟件（API）實現(xiàn)應用軟件與網(wǎng)絡協(xié)議軟件的通信67.1.4NOS與OSI/RM網(wǎng)絡驅(qū)動程序67.1.5常見的NOSUNIXWINDOWSLINUX77.1.5常見的NOSUNIX7(1)WindowsServer2003特性多任務大內(nèi)存最大512G多處理器最多64個即插即用群集多機備份文件系統(tǒng)壓縮、加密、磁盤配額8(1)WindowsServer2003特性多任務8服務質(zhì)量—WMS9較好的通訊帶寬遠程管理—在異地進行服務器管理遠程安裝—一次性為多臺計算機安裝系統(tǒng)活動目錄—數(shù)據(jù)庫，存儲整個網(wǎng)絡的資源、配置組策略—用戶行為控制郵件服務—系統(tǒng)內(nèi)置IPv6支持—128位地址無線網(wǎng)絡—不需安裝第三方軟件Microsoft.NET—微軟新標準9服務質(zhì)量—WMS9較好的通訊帶寬9(2)LinuxGNU成員，遵循GPL及開放源代碼原則。GNU是“GNU'sNotUnix”的遞歸縮寫GNU計劃，又稱革奴計劃GPL：GNU通用公共許可證“反版權”Linux是一種新型的網(wǎng)絡操作系統(tǒng)，最大的特點是開放源代碼，并可得到許多免費應用程序。目前有中文版本的Linux，如RedHat（紅帽子），紅旗Linux等，其安全性和穩(wěn)定性較好，在國內(nèi)得到了用戶的充分肯定。與Unix有許多類似之處，主要用于中、高檔服務器中。10(2)LinuxGNU成員，遵循GPL及開放源代碼原則。17.2網(wǎng)絡操作系統(tǒng)基本配置117.2網(wǎng)絡操作系統(tǒng)基本配置117.2.1Server2003用戶與組什么是用戶賬戶存在于windows2000、XP、2003系統(tǒng)中的一種對象包含多種屬性：用戶名、密碼不同用戶賬戶配置環(huán)境不同不同用戶賬戶的用戶名和密碼不同不同用戶賬戶的SID不同127.2.1Server2003用戶與組什么是用戶賬戶1SID：SecurityIdentifiersSID也就是安全標識符（SecurityIdentifiers），是標識用戶、組和計算機帳戶的唯一的號碼。在第一次創(chuàng)建該帳戶時，將給網(wǎng)絡上的每一個帳戶發(fā)布一個唯一的SID。Windows2000中的內(nèi)部進程將引用帳戶的SID而不是帳戶的用戶或組名。如果創(chuàng)建帳戶，再刪除帳戶，然后使用相同的用戶名創(chuàng)建另一個帳戶，則新帳戶將不具有授權給前一個帳戶的權力或權限，原因是該帳戶具有不同的SID號。安全標識符也被稱為安全ID或SID。*管理員的SID結尾是1F4，轉換為十進制就是50013SID：SecurityIdentifiersSID也就是用戶帳號種類域用戶帳號可以訪問網(wǎng)絡域中的共享資源存儲在ActiveDirectory本地用戶帳號可以訪問本地計算機的資源存儲在SAM文件中內(nèi)置帳號Administror：內(nèi)置管理員帳號Guest：方便來賓臨時訪問共享資源不能刪除Administrator

andGuest14用戶帳號種類域用戶帳號可以訪問網(wǎng)絡域中的共享資源本地用戶帳號用戶賬戶的類型：本地用戶賬戶使用“本地用戶和組”創(chuàng)建存儲在SAM數(shù)據(jù)庫中（system32\config\sam）,一部分信息存儲在注冊表中HKEY_LOCAL_MACHINE\SAM\Domains\Users）登陸時進行本地身份驗證域用戶賬戶使用“AD用戶和計算機”創(chuàng)建存儲在ActiveDirectory數(shù)據(jù)庫中（windows\NTDS\ntds.dit）登陸時進行網(wǎng)絡身份驗證15用戶賬戶的類型：本地用戶賬戶15創(chuàng)建用戶賬戶：本地用戶賬戶“本地用戶和組”——lusrmgr.mscNetuser：netuserabc123/addnetuserabc456netuserabc/del腳本域用戶賬戶“AD用戶和計算機”——dsa.mscUseradd腳本16創(chuàng)建用戶賬戶：本地用戶賬戶16創(chuàng)建和管理組組一組相關賬號的集合。在管理網(wǎng)絡時，可按照不同用戶的操作需求和資源訪問需求來創(chuàng)建不通的組，以實現(xiàn)對多個用戶的統(tǒng)一配置和管理。創(chuàng)建方法：運行MMC添加“本地用戶和組”組件17創(chuàng)建和管理組組17創(chuàng)建和管理組組的類型工作組中的組（本地組）創(chuàng)建于非域控制器計算機，控制對本機資源的訪問。域中的組創(chuàng)建于域控制器，控制對域資源的訪問。server2003的內(nèi)置組AdministratorPowerUsers(域控制器上為ServerOperators)BackupOperatorsGutstsUsers(不用來授權，只表明是否屬于該域)18創(chuàng)建和管理組組的類型18使用組的規(guī)則本地在管理網(wǎng)絡時，管理員可按以下規(guī)則使用組（1）將用戶加入組（2）給組授權19使用組的規(guī)則本地在管理網(wǎng)絡時，管理員可按以下規(guī)則使用組197.2.2活動目錄和域域與活動目錄活動目錄AD是windows網(wǎng)絡中的目錄服務AD是一個大型數(shù)據(jù)庫AD是一種服務207.2.2活動目錄和域域與活動目錄20ActiveDirectory（活動目錄）?活動目錄功能組織管理控制資源集中管理單點管理管理員單點登錄普通用戶21ActiveDirectory（活動目錄）?活動目錄功能組域與活動目錄域與域控制器域：windows環(huán)境種組建C/S網(wǎng)絡的實現(xiàn)方式由網(wǎng)絡管理員定義的一組計算機的集合域控制器：存儲網(wǎng)絡用戶賬號及目錄數(shù)據(jù)庫，即AD管理員通過修改AD的配置來實現(xiàn)對網(wǎng)絡的管理和控制22域與活動目錄域與域控制器22Domains域域是一個安全邊界域的管理員只能在本域內(nèi)實施管理權限域是一個復制單元每臺域控制器DC保存域內(nèi)全部數(shù)據(jù)的一個副本W(wǎng)indows2000

DomainUser1User2User1User2Replication23Domains域域是一個安全邊界Windows2000

D域與活動目錄組織單元OU是AD中的一個子對象，也成為容器。創(chuàng)建組織單元的目的是對活動目錄對象進行分類。24域與活動目錄組織單元OU24組織單元OUOrganizationalStructureSalesVancouverRepairUsersSalesComputersNetworkAdministrativeModel使用OU將域劃分為合理的邏輯管理層次在OU上可以委派管理權限在OU上可以實現(xiàn)單獨的策略25組織單元OUOrganizationalStructure使用活動目錄來集中化管理OU1DomainComputersUsersOU2UsersPrintersComputer1User1Printer1User2DomainOU2OU1User1Computer1Printer1User2SearchActiveDirectory:使管理員集中管理網(wǎng)絡資源更容易的定位信息以OU的方式管理資源使用組策略管理網(wǎng)絡中計算機26使用活動目錄來集中化管理OU1DomainComputers域與活動目錄域目錄樹具有連續(xù)的域名空間的多個域組成域目錄樹(root)au.asia.TreeTwo-WayTransitiveTrusts27域與活動目錄域目錄樹(root)au.asia域與活動目錄信任關系是網(wǎng)絡中不同域之間的一種內(nèi)在聯(lián)系只有在兩個域之間創(chuàng)建了信任關系，這兩個域才可以互相訪問。單向信任關系雙向信任關系可傳遞信任關系不可傳遞信任關系28域與活動目錄信任關系28TreesandForests（樹與森林）contoso.msft(root)au.contoso.msftasia.contoso.msftTreeTwo-WayTransitiveTrustsau.nwtraders.msftasia.nwtraders.msftnwtraders.msftForestTreeTwo-WayTransitiveTrust多域的環(huán)境29TreesandForests（樹與森林）contoso四種基本的域結構：單一域模型主域模型多主域模型完全信任模型不同的域結構適用與不同的網(wǎng)絡規(guī)模、地理分布以及其他資源條件。在一個域模型中不允許包括多個主域控制器。30四種基本的域結構：30真題例：在Windows網(wǎng)絡操作系統(tǒng)通過域模型實現(xiàn)網(wǎng)絡安全管理策略。下列除（1）以外都是基于域的網(wǎng)絡模型。在一個域模型中不允許包括（2）。（1）A．單域模型B．主域模型C．從域模型D．多主域模型（2）A．多個主域控制器B．多個備份域控制器C．多個主域D．多個服務器31真題例：在Windows網(wǎng)絡操作系統(tǒng)通過域模型實現(xiàn)網(wǎng)絡安全創(chuàng)建WindowsServer2003域創(chuàng)建域的條件版本不能是web版。域控制器計算機中至少有一個NTFS分區(qū)，用于存儲活動目錄的SYSVOL文件夾。有合法的DNS域名及DNS服務器。server2003采用DNS命名規(guī)則為解析域名，必須有DNS服務器必須有管理員權限，普通用戶不能安裝域控制器。32創(chuàng)建WindowsServer2003域創(chuàng)建域的條件32創(chuàng)建WindowsServer2003域創(chuàng)建域的步驟安裝域控制器（dcpromo命令）檢查域控制器的配置待客戶機加入域33創(chuàng)建WindowsServer2003域創(chuàng)建域的步驟33創(chuàng)建WindowsServer2003域排除常見的故障網(wǎng)絡不通輸入的域名錯誤輸入的用戶名密碼錯誤或沒有權限加入客戶機DNS未正確指向34創(chuàng)建WindowsServer2003域排除常見的故障37.2.3Server2003文件服務器文件服務器提供并管理對文件的訪問安裝：管理您的服務器-添加刪除角色功能：為用戶設置默認的磁盤配額設置共享文件夾357.2.3Server2003文件服務器文件服務器提供7.2.4Server2003終端服務遠程桌面允許管理員登錄到一臺計算機，并像在本地一樣管理計算機。終端服務一方面允許管理員遠程管理計算機。一方面也允許多個用戶同時運行終端服務器中的程序。367.2.4Server2003終端服務遠程桌面36終端服務如何工作MyDocumentsMyComputerMyNetworkPlacesInternetExplorerRecycleBinStart12:00PMRDPTCP/IPTerminalServerClient37終端服務如何工作MyDocumentsMyCompute7.2.5Server2003遠程管理MMC遠程桌面連接終端服務遠程協(xié)助Telnet……387.2.5Server2003遠程管理MMC387.2.6Linux網(wǎng)絡配置網(wǎng)絡配置文件大多位于/etc目錄下配置文件提供IP地址、主機名、域名腳本實現(xiàn)網(wǎng)絡接口的初始化運行時修改立即生效397.2.6Linux網(wǎng)絡配置網(wǎng)絡配置文件3940401、/etc/sysconfig/network文件指定服務器上的網(wǎng)絡配置信息netowrk=yes/no表示網(wǎng)絡是否配置hostname=hotname服務器主機名gateway網(wǎng)關IP地址forward_IPV4=yes/no是否開啟IP轉發(fā)gatewaydev=gw-dev網(wǎng)關設備名字hostname=hostname主機的全限定域名NISDOMAIN=dom-nameNIS域411、/etc/sysconfig/network文件指定服務2、/etc/hostname文件Linux主機名稱

主機名稱，啟動時從/etc/sysconfig/network的hostname中得到。用于啟動時設置主機名。422、/etc/hostname文件Linux主機名稱423、/etc/hosts文件包括IP地址與主機名之間的映射配置后重啟網(wǎng)絡/etc/rc.d/init.d/networkrestart433、/etc/hosts文件包括IP地址與主機名之間的映射44、/etc/host.conf指定如何解析主機名，默認內(nèi)容orderhosts,bind#order:指定主機名查詢順序multion指定是否"/etc/hosts"文件中指定的主機可以有多個地址mospoofoff指定是否允許對該服務器進行IP地址欺騙，recorderoff是否所有的查詢將被重新排序，ON表示可以，即在同一子網(wǎng)中的主機首先被選中444、/etc/host.conf指定如何解析主機名，默認內(nèi)容5、/etc/resolv.conf455、/etc/resolv.conf456、/etc/rc.d/init.d/network文件可以通過編輯這個文件來進行網(wǎng)絡主機地址，子網(wǎng)掩碼和網(wǎng)關等參數(shù)的配置。466、/etc/rc.d/init.d/network文件可以7.2.6Linux網(wǎng)絡配置安裝網(wǎng)卡第一塊網(wǎng)卡：eth0網(wǎng)卡模式：設定為Jumpless(NE2000網(wǎng)卡）大部分為Pnp模式啟動時出現(xiàn)eth0:NE2000foundat0X300usingIRQ5啟動文件/ect/rc.d/rc.modules#/sbin/modprobeneio=0X300#NE2000at0X300477.2.6Linux網(wǎng)絡配置安裝網(wǎng)卡47編繹網(wǎng)卡適配器內(nèi)核進入/usr/src/linux目錄運行makemenuconfig，進行內(nèi)核配置菜單，找到networkdecivesupport，選擇EhterNet，再選擇相關芯片型號運行：makedepmakemakezlilo48編繹網(wǎng)卡適配器內(nèi)核進入/usr/src/linux目錄48網(wǎng)絡配置命令:ifconfig功能：設置、顯示TCP/IP網(wǎng)絡參數(shù)格式：ifconfiginterface-nameip-addressup|down例：ifconfigeth0netmaskupifconfigeth0downifconfigeth0upifconfig49網(wǎng)絡配置命令:ifconfig功能：49網(wǎng)絡配置命令:route功能：查看并編輯計算機的IP路由表格式：route[參數(shù)：adddel……]例：顯示IP路由表的全部內(nèi)容：routeprint添加帶有默認網(wǎng)關地址的默認路由：routeaddmask50網(wǎng)絡配置命令:route功能：50網(wǎng)絡配置命令:ping功能：網(wǎng)絡測試格式：ping[選項]-t（直到用戶中斷）-a（解析為主機名）-ncount(發(fā)送由COUNT指定的ECHO報文）-l（指定長度）-ittl生存時間51網(wǎng)絡配置命令:ping功能：51網(wǎng)絡查詢命令:netstat功能：顯示內(nèi)核路由表、活動網(wǎng)絡連接狀態(tài)、接口信息格式：netstat[選項]-a顯示所有socket，包括正在監(jiān)聽的。-c每隔1秒就重新顯示一遍，直到用戶中斷。-i顯示所有網(wǎng)絡接口的信息。-n以網(wǎng)絡IP地址代替名稱，顯示出網(wǎng)絡連接情形。-r顯示核心路由表，格式同“route-e”。52網(wǎng)絡查詢命令:netstat功能：52文件的概念計算機中的所有信息保存在文件中如：通知、程序、文本文件是： 數(shù)據(jù)集合 字符流，或稱為字節(jié)流 操作系統(tǒng)不對文件進行任何結構化在Linux系統(tǒng)中，文件是字節(jié)序列53文件的概念計算機中的所有信息保存在文件中537.2.7Linux文件和目錄管理EXT2，虛擬文件系統(tǒng)VFS每一個分區(qū)都是一個文件系統(tǒng)。使用索引結點來記錄文件信息，索引結點是一個數(shù)據(jù)結構，它包含一個文件的文件名、位置、大小、建立或修改時間、訪問權限、所屬關系等信息。一個文件對應一個唯一的索引節(jié)點號一個索引節(jié)點號可對應多個文件名547.2.7Linux文件和目錄管理EXT2，虛擬文件系統(tǒng)V7.2.7Linux文件和目錄管理Linux文件結構樹形層次結構將軟件、硬件都作為文件來處理多個磁盤分區(qū)只對應一個目錄樹557.2.7Linux文件和目錄管理Linux文件結構55Linux文件掛載掛載：將一個文件系統(tǒng)的頂層目錄掛到另一個文件系統(tǒng)的子目錄上，使他們成為一個整體，上一層文件系統(tǒng)的子目錄就稱為掛載點。掛載點必需是一個目錄而不能是一個文件。一個分區(qū)掛載在一個已存在的目錄上，這個目錄可以不為空，但掛載后這個目錄下以前的內(nèi)容將不可用。56Linux文件掛載掛載：56Linux文件類型和訪問權限文件名最長為255個字符五種類型：普通文件:文本數(shù)據(jù)或代碼數(shù)據(jù)目錄文件:將所有內(nèi)容組織成一個表鏈接文件：建立文件的鏈接設備文件:在/dev目錄中管道文件:在進程間傳遞文件，也稱FIFO文件文件和目錄訪問權限：-rwxrwx57Linux文件類型和訪問權限文件名最長為255個字符57ls顯示目錄中的各項格式：ls[dir_name]作用：顯示（列表list）目錄命令選項：-a，-R舉例：cd,ls（顯示用戶主目錄中的內(nèi)容）ls-a（顯示所有文件）文件名以.開頭的文件是隱藏文件ls-R（顯示所有子目錄的內(nèi)容）58ls顯示目錄中的各項格式：ls[dir_name]58列出目錄中文件的詳細信息(ls)格式：ls–l作用：列出目錄中的文件的詳細信息說明：字段1顯示是文件還是目錄；讀寫權限。字段2顯示了鏈接數(shù)字段3顯示了該文件的擁有者的名稱字段4顯示了用戶組權限所作用的用戶組的名稱。字段5顯示了該文件的字節(jié)數(shù)字段6顯示了該文件被最后修改的時間字段7顯示了該文件或目錄的名稱

59列出目錄中文件的詳細信息(ls)格式：ls–l59ls-ldatatotal28-rwxrw-r–1zhangstudent259Jul1118:23file1-rw-rw1zhangstudent76Sep0509:56file2drwxr-xr-x2zhangstudent48Sep0516:39hist文件類型-:普通d:目錄c:字符設備b:塊設備p:管道文件保護模式-:無權r:可讀w:可寫x:可執(zhí)行文件名最后修改時間大小所屬用戶組文件所有者文件鏈接數(shù)60ls-ldata-rwxrw-r–1zhangstuls命令的命令選項 -a列出所有文件，包括隱藏文件-C以多列的格式列表，按列排序-F如果是目錄，文件名后加/；如果是可執(zhí)行文件，加*表示-l按照長格式列表，顯示文件的詳細信息-m按頁寬列文件，以逗號分隔61ls命令的命令選項 -a61ls命令的命令選項

-p如果是目錄，文件名后加/-r以字母反序列表-R循環(huán)列出子目錄的內(nèi)容-s以文件塊為單位顯示文件大小-x以多列的格式列表，按行排序62ls命令的命令選項 -p62[說明]每個選項字母前需要加連字符。命令名和選項之間必須要有空格。加目錄的路徑名列出其他目錄的文件。一行命令中可以多于一個選項。63[說明]每個選項字母前需要加連字符。63文件和目錄操作命令cat顯示、創(chuàng)建或者合并文件more分屏顯示文本，空格繼續(xù)less分屏顯示文本，可向前(B)、向后(P)翻頁64文件和目錄操作命令cat64cp復制文件，對文件備分。用戶可把文件從某個目錄復制到另一個目錄格式：cpsourcetargetcpfile1file2...Target-dir

選項:-i:如果目標文件存在，請求確認-a:復制整個目錄65cp復制文件，對文件備分。用戶可把文件從某個目錄復制到另一個mv作用：文件移動，或更改文件、目錄的名字格式：move[-選項]sourcetarget-i:用戶交互，請求確認-f:禁止交互說明：source可以是一個文件，也可是多個文件。如果是多個文件，參數(shù)target必須是一個目錄。target可以是一個文件，也可以是一個目錄文件數(shù)量不變，只改變文件名或文件所處的目錄。66mv作用：文件移動，或更改文件、目錄的名字66rm作用：刪除文件或目錄格式：rm[-選項]fileName|directory-i:用戶交互，請求確認-f:禁止交互說明：文件一旦刪除，不可恢復67rm作用：67mkdir格式：mkdir[-選項]dir_name作用：創(chuàng)建一個子目錄，或一次創(chuàng)建多個子目錄。注意：創(chuàng)建的目錄應該不存在。可以在任何一級用mkdir，而不一定要在當前目錄下創(chuàng)建。68mkdir格式：68rmdir格式：rmdir[-選項]dir_name作用：除不需要的目錄。注意：dir_name參數(shù)必須有dir_name參數(shù)不能被指定為當前目錄（即：要在父目錄中刪除子目錄）69rmdir格式：69cd格式：cddir_name作用：從一個目錄改變到另一個目錄。注意：cd不帶任何參數(shù)時，回自己的用戶主目錄（即用戶登錄時自動進入的第一個目錄）cd..至當前目錄的父目錄中。70cd格式：70pwd格式：pwd作用：列出正在工作的目錄，用于顯示你當前所處的目錄名（完全路徑名）。71pwd格式：71路徑名

由斜杠/分隔的由目錄名組成的一個序列，它指示找到一個文件所必須經(jīng)歷的目錄。兩種類型：全路徑（絕對路徑）：由根目錄/開始相對路徑：由當前目錄開始72路徑名由斜杠/分隔的由目錄名組成的一個序列，它指示找到一個路徑名舉例.表示當前目錄；..表示上級（父）目錄例：當前目錄是/home/team01/home/team01/doc/mon_reportdoc/mon_report../team03/pgms/suba./test173路徑名舉例.表示當前目錄；73文件權限對任何類型的Linux文件，可以設置三種權限:讀(r)權限：可讀取文件的內(nèi)容寫(w)權限：可修改文件的內(nèi)容執(zhí)行(x)權限：對普通文件:文件內(nèi)容可被裝入內(nèi)存直接運行或逐條解釋執(zhí)行對目錄文件:可在分析路徑名的過程中檢索該目錄74文件權限對任何類型的Linux文件，可以設置三種權限:74文件保護/權限

rwxrwxrwx文件屬主用戶(u)

用戶組(g)

其它用戶(o)普通文件：r(read)是指能夠看文件的內(nèi)容w(write)是指能夠改變和刪除文件的內(nèi)容x(execute)是指能夠?qū)⑽募斪髅顖?zhí)行（需要同時具備r）75文件保護/權限r(nóng)wx目錄文件：

r是指能夠查看目錄中有哪些文件w是指能夠在目錄中創(chuàng)建或刪除文件x是指能夠進入到目錄之中（使用cd命令進入到目錄中，或者訪問目錄中的文件）當想要訪問目錄中的任何一個文件或者子目錄時，x權限都是必須的。如果想使w權限起作用，則它必須同時具備x權限。76目錄文件：76chmod格式：chmod[-選項]modefileName作用：改變文件或目錄的訪問權限。例：將檔案file1.txt設為所有人皆可讀取:chmodugo+rfile1.txtchmoda+rfile1.txt77chmod格式：777.2.8Linux用戶和組用戶和組管理用戶標識UID用戶主目錄登陸Shell用戶組/組群組標識UID787.2.8Linux用戶和組用戶和組管理78用戶管理配置文件/etc/passwd最重要，對所有用戶都是可讀的，有七個用“:”分開的域：用戶名加密的口令用戶ID組ID用戶名或描述登陸目錄登陸SHELL79用戶管理配置文件/etc/passwd最重要，對所有用戶都用戶管理配置文件/etc/shadow文件只有超級用戶能讀，每個用戶對應一行。用于存放加密后的用戶口令。80用戶管理配置文件/etc/shadow文件80用戶管理配置文件/etc/group文件用戶組名：加密后的口令：組ID：組成員列表例：sys:x:3:root,bin,adm81用戶管理配置文件/etc/group文件81用戶和組管理命令adduseruserdelsugroupaddgroupdel82用戶和組管理命令adduser827.3配置web服務器837.3配置web服務器83建立網(wǎng)站的方式虛擬主機購買別人的web空間，自己沒有服務器適合小型網(wǎng)站主機托管和主機租用購買自己的服務器，交予web運營商租用運營商的服務器適合中、大型網(wǎng)站完全自己建立必須有自己的專線和公用IP地址84建立網(wǎng)站的方式虛擬主機84概述IIS概述為IIS的安裝作準備安裝IIS配置Web站點管理IIS查找和解決IIS中的問題85概述IIS概述85IIS概述

~~~~~~~~~

~~~~~~~~~

~~~~~~~~~IntranetInternet86IIS概述~~~~~~~~~~~~~~~為IIS的安裝作準備配置靜態(tài)的IP地址33建立域名安裝TCP/IP配置NTFSNTFS87為IIS的安裝作準備配置靜態(tài)的IP地址192.168安裝IIS執(zhí)行安裝:把“internet服務管理器”添加到“管理工具”菜單中。建立“默認的web站點”和“默認的ftp站點“。88安裝IIS執(zhí)行安裝:88配置Web站點配置web站點的標識配置主目錄介紹身份驗證的方法選擇一種身份驗證方法配置身份驗證指派默認文檔89配置Web站點配置web站點的標識89配置web站點的標識DefaultWebSitePropertiesDirectorySecurityHTTPHeadersCustomErrorsWebSiteOperatorsPerformanceISAPIFiltersHomeDirectoryDocumentsServerExtensionsWebSiteIdentificationConnectionsEnableLoggingActivelogformat:W3CExtendedLogFileFormatProperties...OKCancelApplyHelpUnlimitedLimitedTo:1000connections900secondsConnectionTimeout:HTTPKeep-AlivesEnabledAdvanced...Description:IPAddress:TCPPort:80(AllUnassigned)DefaultWebSiteSSLPort:90配置web站點的標識DefaultWebSitePro配置主目錄DefaultWebSitePropertiesWebSiteOperatorsPerformanceISAPIFiltersHomeDirectoryDocumentsDirectorySecurityHTTPHeadersCustomErrorsWhenconnectingtothisresource,thecontentshouldcomefrom:AdirectorylocatedonthiscomputerAsharelocatedonanothercomputerAredirectiontoaURLScriptsourceaccessReadWriteDirectorybrowsingLocalPath:Browse...LogvisitsIndexthisresourceC:\inetpub\wwwrootApplicationname:ApplicationSettingsStartingpoint:ExecutePermissions:ApplicationProtection:DefaultApplication<DefaultWebSite>NoneRemoveConfiguration...UnloadOKCancelApplyHelpMedium(Pooled)ServerExtensionsDirectoryon

localcomputerSharedfolder91配置主目錄DefaultWebSiteProperti介紹身份驗證的方法匿名訪問基本身份驗證文摘身份驗證集成式Windows身份驗證92介紹身份驗證的方法匿名訪問92選擇一種身份驗證方法匿名訪問基本身份驗證1.如果你想允許用戶訪問你的web站點的公共區(qū)域。2.完全不提供任何身份驗證功能。你想對通過任何瀏覽器或代理服務器訪問你的web站點的用戶進行身份驗證。身分驗證的方法文摘身份驗證你向針對你的web站點實現(xiàn)可靠的身份驗證，而且你必須經(jīng)過代理服務器的時候。何時應用集成式Windows身份驗證你正在配置一個intranet，其中的用戶和web服務器在同一個域中，或在多個域中，但是這些域之間存在信任關系。93選擇一種身份驗證方法匿名訪問基本身份驗證1.如果你想允許用戶指派默認文檔DefaultWebSitePropertiesEnableDefaultDocumentDefault.htmAdd...RemoveDefault.aspiisstart.aspBrowse...EnableDocumentFolderWebSiteOperatorsPerformanceISAPIFiltersHomeDirectoryDocumentsDirectorySecurityHTTPHeadersCustomErrorsServerExtensionsWelcometoMicrosoft’sHomeMicrosoftInternetExplorerFileEditViewFavoritesToolsHelpBackForwardStopRefreshHomeSearchFavoritesHistoryMailPrintEdit/HomeHomeEvents&TrainingSubscribeAboutMicrosoftU.S.&InternationalAboutOurSiteSeepagecustomizedfor:AllProductFamiliesBusinessCustomersDevelopersEducationHomeUserIPProfessionalsPartners&ResellersAreYouReadytoTakeontheChessMaster?FindOutWhat’sHappeningatPCExpoinNewYorkRickRashid:TheSteadyHandBehindMicrosoftResearchEntertoWinaGatewayPCLoadedwithOffice2000DownloadOutlookUpdatesfortheE-mailAttachmentsVirus94指派默認文檔DefaultWebSitePropert在一臺服務器建立多個網(wǎng)站95在一臺服務器建立多個網(wǎng)站95管理IIS使用Internet服務管理器管理遠程web服務器使用系統(tǒng)監(jiān)視器監(jiān)控IIS性能96管理IIS使用Internet服務管理器管理遠程web服務7.5配置DNS服務器DNS服務器域名服務器是指保存有該網(wǎng)絡中所有主機的域名和對應IP地址，并具有將域名（主機名）轉換為IP地址功能的服務器。977.5配置DNS服務器DNS服務器97DNS域名系統(tǒng)(DomainNameSystem)由解析器和域名服務器組成。其中域名必須對應一個IP地址，而IP地址不一定有域名。域名系統(tǒng)采用類似目錄樹的等級結構。98DNS域名系統(tǒng)(DomainNameSystem)由子域二級域頂級域什么是域名空間？根域FQDN=

Host=Computer1·.99子域二級域頂級域什么是域名空間？根域FQDN=compuDNSClientDNSServerDNS的各種組件DNSServersontheInternetResourceRecordRoot

·.ResourceRecord100DNSClientDNSServerDNS的各種組件DNDNS的查詢過程查找類型正向查詢：要求進行“名稱到地址”的解析反向查詢：要求進行“地址到名稱”的解析查詢類型迭代查詢：DNS服務器在沒有其它服務器幫助的情況下返回它能提供的最佳答案遞歸查詢：DNS服務器為查詢返回一個完全的答案，而不僅僅是一個指向另一個服務器的指針101DNS的查詢過程查找類型101創(chuàng)建查找區(qū)域正向查找DNSServerIPaddressfornwtraders.msft?IPaddress=0反向查找DNSServerNamefor0?Name=nwtraders.msft102創(chuàng)建查找區(qū)域正向查找DNSServerIPaddressDNS的查詢方法遞歸查詢DNS客戶端直接要求得到完整的解析結果computer1本地DNSServerResourceRecord44103DNS的查詢方法遞歸查詢compu迭代（循環(huán)）查詢客戶端可能得到下一個DNS服務器的地址computer1本地DNSServerResourceRecord44Root

·.com查詢.com回答.com查詢回答查詢44123104迭代（循環(huán)）查詢computer1根服務器：目前互聯(lián)網(wǎng)上有13臺根提示（屬于迭代查詢中的一步）DNS服務器中保存著有關根服務器的記錄根提示不可用原因win2003既是域控制器又是DNS服務器時，會自動創(chuàng)建一個區(qū)域，叫做.域，因為.域的存在服務器會默認自己就是根域，所以根提示就不可用。如果在內(nèi)網(wǎng)部署一臺DNS服務器，想讓內(nèi)網(wǎng)計算機既可以訪問內(nèi)網(wǎng)計算機，又可以訪問外網(wǎng)服務，就需要在內(nèi)部的DNS服務器啟動根提示。105根服務器：目前互聯(lián)網(wǎng)上有13臺105名稱解析過程*EnterCommand1LocalHostName2HOSTSFIle3DNSServer4NetBIOSNamecache5WINSServer6Broadcast7LMHOSTSFIle8106名稱解析過程*EnterCommand1LocalHos名稱解析過程注：Hosts文件位于C:\windows\system32\drivers\etc下；如果將常用的網(wǎng)站網(wǎng)址與對應IP地址填寫到HOSTS文件中，可以提高網(wǎng)絡訪問速度；NetBIOSNameCache，存放到客戶端中，存放的是最近一段時間內(nèi)和我成功通訊的計算機與IP地址對應關系；WINS服務器，和DNS服務器功能相近，但解析的是NetBIOS名與IP地址對應關系；LMHosts文件與HOSTS文件存放位置相同。107名稱解析過程注：107配置DNS服務器配置本機為固定IP注意DNS服務器自身的DNS地址應指向自己安裝DNS服務添加windows組件-網(wǎng)絡服務-DNS創(chuàng)建DNS區(qū)域正向查找區(qū)域一般填入服務器的域名反向查找區(qū)域填入服務器IP的網(wǎng)絡地址部分108配置DNS服務器配置本機為固定IP108創(chuàng)建DNS區(qū)域區(qū)域（Zone）是DNS樹狀結構的一部分，它可將DNS的域名空間分為較小的區(qū)段，以方便管理。每個DNS區(qū)域都對應一個區(qū)域文件，用于保存DNS區(qū)域內(nèi)的資源記錄。這些區(qū)域文件可以文本形式存儲，也可以保存于活動目錄數(shù)據(jù)庫中。區(qū)域文件存儲該區(qū)域的資源記錄，即該區(qū)域的主機信息。109創(chuàng)建DNS區(qū)域區(qū)域（Zone）109根據(jù)DNS區(qū)域的用途，可將DNS區(qū)域分為：正向查找區(qū)域：負責將主機名解析為IP地址反向查找區(qū)域：負責將IP地址解析為主機名110根據(jù)DNS區(qū)域的用途，可將DNS區(qū)域分為：110DNS支持多種資源記錄類型A記錄主機名與IP地址的對應記錄，用于解析主機名到IP地址（存在于正向查找區(qū)域）PTR記錄IP地址與主機名的對應記錄，用于解析IP地址到主機名（存在于反向查找區(qū)域）SOA記錄又稱起始授權記錄，是任何DNS區(qū)域中的第一條記錄，該記錄保存了所在區(qū)域的初始設置。111DNS支持多種資源記錄類型A記錄111DNS支持多種資源記錄類型NS記錄指明所在區(qū)域的DNS服務器SRV記錄（服務器資源井）該記錄提供相應服務的服務器由系統(tǒng)自動創(chuàng)建MX記錄指明郵件服務器CNAME記錄負責將主機名解析為另一個主機名112DNS支持多種資源記錄類型NS記錄112創(chuàng)建資源記錄113創(chuàng)建資源記錄113創(chuàng)建輔助區(qū)域*當網(wǎng)絡中一臺DNS服務器過載，可在另一臺計算機中建立輔助區(qū)域，幫助主要區(qū)域所在的DNS服務器進行域名解析，以減輕主DNS服務器的負擔。輔助服務器將用于解析的記錄進行復制，但不能修改。創(chuàng)建方法：新建輔助區(qū)域區(qū)域?qū)傩?允許區(qū)域復制114創(chuàng)建輔助區(qū)域*當網(wǎng)絡中一臺DNS服務器過載，可在另一臺計算機配置轉發(fā)器（轉發(fā)服務器）*當DNS服務器不能解析客戶端發(fā)送的解析請求時，會向其它的DNS服務器詢問。DNS轉發(fā)可以讓本地DNS服務器將查詢請求轉發(fā)到其他DNS服務器條件轉發(fā)配置：DNS-主機-轉發(fā)器115配置轉發(fā)器（轉發(fā)服務器）*當DNS服務器不能解析客戶端發(fā)送的測試DNS服務器116測試DNS服務器116為客戶計算機配置名稱解析功能InternetProtocol(TCP/IP)PropertiesGeneralYoucangetIPsettingsassignedautomaticallyifyournetworksupportsthiscapability.Otherwise,youneedtoaskyournetworkadministratorfortheappropriateIPsettings.ObtainanIPaddressautomaticallyUsethefollowingIPaddress:IPaddress:Subnetmask:Defaultgateway:500UsethefollowingDNSserveraddresses:PreferredDNSserver:AlternateDNSserver:ObtainDNSserveraddressautomaticallyAdvanced...OKCancel客戶機可以由DHCP服務器提供IP地址，也可以人工配置IP地址117為客戶計算機配置名稱解析功能InternetProtoco關于AD和DNS的討論：若不是AD集成區(qū)域，DNS數(shù)據(jù)庫在system32\dns文件夾下，以dns為擴展名創(chuàng)建AD集成區(qū)域如果區(qū)域創(chuàng)建成AD集成區(qū)域，DNS數(shù)據(jù)庫會在活動目錄數(shù)據(jù)庫中；優(yōu)點：一個區(qū)域內(nèi)有多臺DC并且都是DNSserver時，DNS的復制會隨著DC的復制而自動完成，不需要人工的干預注：主輔區(qū)域同步時，所有操作需要在主區(qū)域上去做，會自動同步到輔助區(qū)域上；兩個區(qū)域服務器會公用一個DNS服務器數(shù)據(jù)庫118關于AD和DNS的討論：若不是AD集成區(qū)域，DNS數(shù)據(jù)庫在DNS和活動目錄的關系活動目錄依賴DNS客戶端登錄域網(wǎng)絡資源訪問DC間復制活動目錄......域要想正常工作，必須保證DNS是好的DNS中的SRV記錄解析DC地址119DNS和活動目錄的關系活動目錄依賴DNS119活動目錄中DNS的角色名字解析DNS將計算機名稱轉化為IP地址計算機使用DNS在網(wǎng)絡中互相查找WindowsServer2003域的命名協(xié)定WindowsServer2003使用DNS的域名命名標準DNS域和活動目錄域共享一個公共的分層命名結構查找活動目錄的物理成分DNS通過提供的服務來驗證域服務器計算機使用DNS來查找域控制器和全局目錄服務器120活動目錄中DNS的角色名字解析120DNS和活動目錄的域名空間sales.training.trainingmicrosoftDNSNamespaceActiveDirectoryNamespace=DNSnode(domainorcomputer)=ActiveDirectorydomainsalescomputer1(DNSrootdomain)“.”com.Internet121DNS和活動目錄的域名空間salDNS的主機名和Windows2000計算機名DNS主機記錄和活動目錄對象表示的是相同的物理主機DNS允許計算機在活動目錄中查找域控制器ActiveDirectoryBuiltinComputersComputer1Computer2DNS“.”com.salestrainingcomputer1microsoftFQDN=

Windows2000ComputerName=Computer1122DNS的主機名和Windows2000計算機名DNS計算機如何使用DNS來查找域控制器DNSServerZoneDatabaseSRV

Records客戶端連接域控制器6域控制器回應7LDAP服務運行在域控制器上LightweightDirectoryAccessProtocol8客戶端向域控制器發(fā)送申請登錄域，開始活動目錄的搜索1發(fā)送DNS查詢3網(wǎng)絡登錄收集客戶機信息2返回IP地址列表5DNS查詢匹配的服務記錄4Client123計算機如何使用DNS來查找域控制器DNSServerZon7.6配置DHCP服務器動態(tài)主機設置協(xié)議DynamicHostConfigurationProtocol,DHCP是一個局域網(wǎng)的網(wǎng)絡協(xié)議，使用UDP協(xié)議工作，主要有兩個用途：給內(nèi)部網(wǎng)絡或網(wǎng)絡服務供應商自動分配IP地址給用戶給內(nèi)部網(wǎng)絡管理員作為對所有計算機作中央管理的手段1247.6配置DHCP服務器動態(tài)主機設置協(xié)議124DHCP圖示IPAddress1IPAddress2IPAddress3DHCP

DatabaseIPAddress2IPAddress1DHCPClient:

IPconfiguration

from

DHCPserverDHCP

ServerNon-DHCPClient:

staticIP

configurationDHCPClient:

IPconfiguration

fromDHCPserver125DHCP圖示IPAddress1DHCP

DatabasDHCP租約生成過程1IP請求3IP選擇2IP提供4IP確認DHCPClient:DHCPServer:126DHCP租約生成過程1IP請求3IP選擇2IP提供4DHCP租約刷新過程DHCPREQUESTSourceIPAddress=7Dest.IPAddress=08RequestedIPAddress=7HardwareAddress=08004DHCPACKSourceIPAddress=08Dest.IPAddress=7OfferedIPAddress=7ClientHardwareAddress=08004...SubnetMask=LengthofLease=8daysServerIdentifier=08DHCPOption:Router=DHCPClientDHCPServer127DHCP租約刷新過程DHCPREQUESTSourceI配置DHCP服務器確保服務器為固定IP安裝DHCP服務添加win組件-網(wǎng)絡服務-DHCP為DHCP服務器授權防止用戶隨意配置DHCP服務器開始-程序-管理工具-DHCP創(chuàng)建并激活作用域128配置DHCP服務器確保服務器為固定IP128授權DHCP在有域的環(huán)境中沒有授權DHCP服務

不可以正常響應授權后DHCP服務

可以正常啟動DHCPServiceChecksForAuthorizationClientsDHCPServerDomainController/

DHCPserverDHCPServer129授權DHCP在有域的環(huán)境中沒有授權DHCP服務

客戶端驗證DHCP配置ipconfig/all客戶機是否獲得IP地址ipconfig/release釋放IPipconfig/renew重新申請IP130客戶端驗證DHCP配置ipconfig/all130配置DHCP選項默認情況下DHCP只分配IP地址，子網(wǎng)掩碼等參數(shù)可通過配置DHCP選項為客戶機提供其他TCP/IP參數(shù)默認網(wǎng)關地址（003）DNS服務器地址（006）注意區(qū)分：作用域選項服務器選項131配置DHCP選項默認情況下DHCP只分配IP地址，子網(wǎng)掩碼等為客戶機保留IP地址客戶機每次獲得同一個IP地址132為客戶機保留IP地址客戶機每次獲得同一個IP地址132配置DHCP中繼代理可使本子網(wǎng)中的計算機從其他子網(wǎng)中獲得IP地址BroadcastRouter子網(wǎng)1子網(wǎng)2DHCPClientDHCPRelayAgentDHCPServer133配置DHCP中繼代理可使本子網(wǎng)中的計算機從其他子網(wǎng)中獲得IP配置DHCP代理開始-程序-管理工具-路由和遠程訪問配置啟用路由和遠程訪問-自定義-LAN路由IP路由選擇-常規(guī)-新增路由協(xié)議-DHCP中繼代理協(xié)議DHCP中繼代理程序-屬性-填入代理服務器IP地址DHCP中繼代理程序-右擊-新增接口-選擇網(wǎng)卡134配置DHCP代理開始-程序-管理工具-路由和遠程訪問134DHCP服務器的維護DHCP數(shù)據(jù)庫文件默認位于X:\Windows\system32\dhcpdhcp.mdb數(shù)據(jù)庫文件可備份與恢復數(shù)據(jù)庫碎片整理netstopdhcpservercdX:\Windows\system32\dhcpjetpackdhcp.mdbtempnetstartdhcpserver135DHCP服務器的維護DHCP數(shù)據(jù)庫文件默認位于135演講完畢，謝謝觀看！演講完畢，謝謝觀看！7.1網(wǎng)絡操作系統(tǒng)概述功能特征安全性分層常見系統(tǒng)1377.1網(wǎng)絡操作系統(tǒng)概述功能17.1.1網(wǎng)絡操作系統(tǒng)功能除單機操作系統(tǒng)功能（進程管理，存儲管理，文件系統(tǒng)，設備管理）外，主要網(wǎng)絡功能：網(wǎng)絡通信通信雙方無差錯、透明的數(shù)據(jù)傳輸主要由傳輸層、網(wǎng)絡層、數(shù)據(jù)鏈路層實現(xiàn)資源共享及管理統(tǒng)一管理軟、硬件資源實現(xiàn)遠程訪問資源的透明性1387.1.1網(wǎng)絡操作系統(tǒng)功能除單機操作系統(tǒng)功能（進程管理，存7.1.1網(wǎng)絡操作系統(tǒng)功能1397.1.1網(wǎng)絡操作系統(tǒng)功能37.1.2網(wǎng)絡操作系統(tǒng)的特征并發(fā)、資源共享、虛擬與異步性開放性ISO—OSI-RM參考模型一致性通過OSI-RM模型中的接口實現(xiàn)透明性各種網(wǎng)絡服務實現(xiàn)細節(jié)的不可見1407.1.2網(wǎng)絡操作系統(tǒng)的特征并發(fā)、資源共享、虛擬與異步性47.1.3NOS的安全性用戶帳戶的安全性密碼加密時間限制訪問的時間間隔限制站點限制創(chuàng)建安全的訪問區(qū)域磁盤空間管理磁盤配額傳輸介質(zhì)的安全性加密審核1417.1.3NOS的安全性用戶帳戶的安全性57.1.4NOS與OSI/RM網(wǎng)絡驅(qū)動程序介于網(wǎng)卡（NIC）與網(wǎng)絡協(xié)議之間物理層、鏈路層網(wǎng)絡協(xié)議軟件數(shù)據(jù)傳送實現(xiàn)2~7層應用程序接口軟件（API）實現(xiàn)應用軟件與網(wǎng)絡協(xié)議軟件的通信1427.1.4NOS與OSI/RM網(wǎng)絡驅(qū)動程序67.1.5常見的NOSUNIXWINDOWSLINUX1437.1.5常見的NOSUNIX7(1)WindowsServer2003特性多任務大內(nèi)存最大512G多處理器最多64個即插即用群集多機備份文件系統(tǒng)壓縮、加密、磁盤配額144(1)WindowsServer2003特性多任務8服務質(zhì)量—WMS9較好的通訊帶寬遠程管理—在異地進行服務器管理遠程安裝—一次性為多臺計算機安裝系統(tǒng)活動目錄—數(shù)據(jù)庫，存儲整個網(wǎng)絡的資源、配置組策略—用戶行為控制郵件服務—系統(tǒng)內(nèi)置IPv6支持—128位地址無線網(wǎng)絡—不需安裝第三方軟件Microsoft.NET—微軟新標準145服務質(zhì)量—WMS9較好的通訊帶寬9(2)LinuxGNU成員，遵循GPL及開放源代碼原則。GNU是“GNU'sNotUnix”的遞歸縮寫GNU計劃，又稱革奴計劃GPL：GNU通用公共許可證“反版權”Linux是一種新型的網(wǎng)絡操作系統(tǒng)，最大的特點是開放源代碼，并可得到許多免費應用程序。目前有中文版本的Linux，如RedHat（紅帽子），紅旗Linux等，其安全性和穩(wěn)定性較好，在國內(nèi)得到了用戶的充分肯定。與Unix有許多類似之處，主要用于中、高檔服務器中。146(2)LinuxGNU成員，遵循GPL及開放源代碼原則。17.2網(wǎng)絡操作系統(tǒng)基本配置1477.2網(wǎng)絡操作系統(tǒng)基本配置117.2.1Server2003用戶與組什么是用戶賬戶存在于windows2000、XP、2003系統(tǒng)中的一種對象包含多種屬性：用戶名、密碼不同用戶賬戶配置環(huán)境不同不同用戶賬戶的用戶名和密碼不同不同用戶賬戶的SID不同1487.2.1Server2003用戶與組什么是用戶賬戶1SID：SecurityIdentifiersSID也就是安全標識符（SecurityIdentifiers），是標識用戶、組和計算機帳戶的唯一的號碼。在第一次創(chuàng)建該帳戶時，將給網(wǎng)絡上的每一個帳戶發(fā)布一個唯一的SID。Windows2000中的內(nèi)部進程將引用帳戶的SID而不是帳戶的用戶或組名。如果創(chuàng)建帳戶，再刪除帳戶，然后使用相同的用戶名創(chuàng)建另一個帳戶，則新帳戶將不具有授權給前一個帳戶的權力或權限，原因是該帳戶具有不同的SID號。安全標識符也被稱為安全ID或SID。*管理員的SID結尾是1F4，轉換為十進制就是500149SID：SecurityIdentifiersSID也就是用戶帳號種類域用戶帳號可以訪問網(wǎng)絡域中的共享資源存儲在ActiveDirectory本地用戶帳號可以訪問本地計算機的資源存儲在SAM文件中內(nèi)置帳號Administror：內(nèi)置管理員帳號Guest：方便來賓臨時訪問共享資源不能刪除Administrator

andGuest150用戶帳號種類域用戶帳號可以訪問網(wǎng)絡域中的共享資源本地用戶帳號用戶賬戶的類型：本地用戶賬戶使用“本地用戶和組”創(chuàng)建存儲在SAM數(shù)據(jù)庫中（system32\config\sam）,一部分信息存儲在注冊表中HKEY_LOCAL_MACHINE\SAM\Domains\Users）登陸時進行本地身份驗證域用戶賬戶使用“AD用戶和計算機”創(chuàng)建存儲在ActiveDirectory數(shù)據(jù)庫中（windows\NTDS\ntds.dit）登陸時進行網(wǎng)絡身份驗證151用戶賬戶的類型：本地用戶賬戶15創(chuàng)建用戶賬戶：本地用戶賬戶“本地用戶和組”——lusrmgr.mscNetuser：netuserabc123/addnetuserabc456netuserabc/del腳本域用戶賬戶“AD用戶和計算機”——dsa.mscUseradd腳本152創(chuàng)建用戶賬戶：本地用戶賬戶16創(chuàng)建和管理組組一組相關賬號的集合。在管理網(wǎng)絡時，可按照不同用戶的操作需求和資源訪問需求來創(chuàng)建不通的組，以實現(xiàn)對多個用戶的統(tǒng)一配置和管理。創(chuàng)建方法：運行MMC添加“本地用戶和組”組件153創(chuàng)建和管理組組17創(chuàng)建和管理組組的類型工作組中的組（本地組）創(chuàng)建于非域控制器計算機，控制對本機資源的訪問。域中的組創(chuàng)建于域控制器，控制對域資源的訪問。server2003的內(nèi)置組AdministratorPowerUsers(域控制器上為ServerOperators)BackupOperatorsGutstsUsers(不用來授權，只表明是否屬于該域)154創(chuàng)建和管理組組的類型18使用組的規(guī)則本地在管理網(wǎng)絡時，管理員可按以下規(guī)則使用組（1）將用戶加入組（2）給組授權155使用組的規(guī)則本地在管理網(wǎng)絡時，管理員可按以下規(guī)則使用組197.2.2活動目錄和域域與活動目錄活動目錄AD是windows網(wǎng)絡中的目錄服務AD是一個大型數(shù)據(jù)庫AD是一種服務1567.2.2活動目錄和域域與活動目錄20ActiveDirectory（活動目錄）?活動目錄功能組織管理控制資源集中管理單點管理管理員單點登錄普通用戶157ActiveDirectory（活動目錄）?活動目錄功能組域與活動目錄域與域控制器域：windows環(huán)境種組建C/S網(wǎng)絡的實現(xiàn)方式由網(wǎng)絡管理員定義的一組計算機的集合域控制器：存儲網(wǎng)絡用戶賬號及目錄數(shù)據(jù)庫，即AD管理員通過修改AD的配置來實現(xiàn)對網(wǎng)絡的管理和控制158域與活動目錄域與域控制器22Domains域域是一個安全邊界域的管理員只能在本域內(nèi)實施管理權限域是一個復制單元每臺域控制器DC保存域內(nèi)全部數(shù)據(jù)的一個副本W(wǎng)indows2000

DomainUser1User2User1User2Replication159Domains域域是一個安全邊界Windows2000

D域與活動目錄組織單元OU是AD中的一個子對象，也成為容器。創(chuàng)建組織單元的目的是對活動目錄對象進行分類。160域與活動目錄組織單元OU24組織單元OUOrganizationalStructureSalesVancouverRepairUsersSalesComputersNetworkAdministrativeModel使用OU將域劃分為合理的邏輯管理層次在OU上可以委派管理權限在OU上可以實現(xiàn)單獨的策略161組織單元OUOrganizationalStructure使用活動目錄來集中化管理OU1DomainComputersUsersOU2UsersPrintersComputer1User1Printer1User2DomainOU2OU1User1Computer1Printer1User2SearchActiveDirectory:使管理員集中管理網(wǎng)絡資源更容易的定位信息以OU的方式管理資源使用組策略管理網(wǎng)絡中計算機162使用活動目錄來集中化管理OU1DomainComputers域與活動目錄域目錄樹具有連續(xù)的域名空間的多個域組成域目錄樹(root)au.asia.TreeTwo-WayTransitiveTrusts163域與活動目錄域目錄樹(root)au.asia域與活動目錄信任關系是網(wǎng)絡中不同域之間的一種內(nèi)在聯(lián)系只有在兩個域之間創(chuàng)建了信任關系，這兩個域才可以互相訪問。單向信任關系雙向信任關系可傳遞信任關系不可傳遞信任關系164域與活動目錄信任關系28TreesandForests（樹與森林）contoso.msft(root)au.contoso.msftasia.contoso.msftTreeTwo-WayTransitiveTrustsau.nwtraders.msftasia.nwtraders.msftnwtraders.msftForestTreeTwo-WayTransitiveTrust多域的環(huán)境165TreesandForests（樹與森林）contoso四種基本的域結構：單一域模型主域模型多主域模型完全信任模型不同的域結構適用與不同的網(wǎng)絡規(guī)模、地理分布以及其他資源條件。在一個域模型中不允許包括多個主域控制器。166四種基本的域結構：30真題例：在Windows網(wǎng)絡操作系統(tǒng)通過域模型實現(xiàn)網(wǎng)絡安全管理策略。下列除（1）以外都是基于域的網(wǎng)絡模型。在一個域模型中不允許包括（2）。（1）A．單域模型B．主域模型C．從域模型D．多主域模型（2）A．多個主域控制器B．多個備份域控制器C．多個主域D．多個服務器167真題例：在Windows網(wǎng)絡操作系統(tǒng)通過域模型實現(xiàn)網(wǎng)絡安全創(chuàng)建WindowsServer2003域創(chuàng)建域的條件版本不能是web版。域控制器計算機中至少有一個NTFS分區(qū)，用于存儲活動目錄的SYSVOL文件夾。有合法的DNS域名及DNS服務器。server2003采用DNS命名規(guī)則為解析域名，必須有DNS服務器必須有管理員權限，普通用戶不能安裝域控制器。168創(chuàng)建WindowsServer2003域創(chuàng)建域的條件32創(chuàng)建WindowsServer2003域創(chuàng)建域的步驟安裝域控制器（dcpromo命令）檢查域控制器的配置待客戶機加入域169創(chuàng)建WindowsServer2003域創(chuàng)建域的步驟33創(chuàng)建WindowsServer2003域排除常見的故障網(wǎng)絡不通輸入的域名錯誤輸入的用戶名密碼錯誤或沒有權限加入客戶機DNS未正確指向170創(chuàng)建WindowsServer2003域排除常見的故障37.2.3Server2003文件服務器文件服務器提供并管理對文件的訪問安裝：管理您的服務器-添加刪除角色功能：為用戶設置默認的磁盤配額設置共享文件夾1717.2.3Server2003文件服務器文件服務器提供7.2.4Server2003終端服務遠程桌面允許管理員登錄到一臺計算機，并像在本地一樣管理計算機。終端服務一方面允許管理員遠程管理計算機。一方面也允許多個用戶同時運行終端服務器中的程序。1727.2.4Server2003終端服務遠程桌面36終端服務如何工作MyDocumentsMyComputerMyNetworkPlacesInternetExplorerRecycleBinStart12:00PMRDPTCP/IPTerminalServerClient173終端服務如何工作MyDocumentsMyCompute7.2.5Server2003遠程管理MMC遠程桌面連接終端服務遠程協(xié)助Telnet……1747.2.5Server2003遠程管理MMC387.2.6Linux網(wǎng)絡配置網(wǎng)絡配置文件大多位于/etc目錄下配置文件提供IP