42 Windows nt的基本概念 本节将介绍 Windows nt中的一些基本概念,如域( Domain)、域模式( Domain Models)、委托关系( Trust Relationships)、用户帐号与组、主域控制器( Primary Domain controller,PDc)、备份域控制器( Backup Domain Controller,BDc)等 4.2.1NTDS与域 NTDS( NT Directory Service)是 Windows nt用于存放用户、组、安全设置等信息的数 据库,它提供了符合现代网络要求的目录服务功能,使网络的管理与使用更加简便。 在 Windows nt server40的目录服务( Directory Service)环境中,域是进行安全与集 中管理的最基本的单位。一个域中可以包含一个或多个 Windows nt服务器,而一个 Windows NT网络可由多个域组成。如图4-1所示 按域方式组织的 WindOws Nt网络,其所有用户、组帐号以及安全设置等数据都集中保存 在一台被称为“主域控制器(PDC)”的计算机的目录数据库中,不论域中有多少台服务器,用 户也只需要一个帐号与密码 利用NTDS与域的功能,网络系统管理员与用户可以很容易地管理和使用计算机,例如, 用户只需要记住一个用户名和密码,便可登录到域中并访间域中的资源,同时,网络系统管理 员可在域中的任何地方管理整个网络
4.2 Windows NT的基本概念 本节 将介绍Windows NT中 的 一些基 本概念, 如域( Domain) 、域模式( Domain Models) 、委托关 系( Trust Relationships ) 、 用户帐号与 组、主域 控制器( Primary Domain Controller,PDC)、备份域控制器(Backup Domain Controller,BDC)等。 4.2.1 NTDS与域 NTDS(NT Directory Service)是Windows NT用于存放用户、组、安全设置等信息的数 据库,它提供了符合现代网络要求的目录服务功能,使网络的管理与使用更加简便。 在Windows NT Server 4.0的目录服务(Directory Service)环境中,域是进行安全与集 中管理的最基本的单位。一个域中可以包含一个或多个Windows NT服务器,而一个Windows NT网络可由多个域组成。如图4-1所示。 按域方式组织的Windows NT网络,其所有用户、组帐号以及安全设置等数据都集中保存 在一台被称为“主域控制器(PDC ) ”的计算机的目录数据库中,不论域中有多少台服务器,用 户也只需要一个帐号与密码。 利用NTDS与域的功能,网络系统管理员与用户可以很容易地管理和使用计算机,例如, 用户只需要记住一个用户名和密码,便可登录到域中并访问域中的资源,同时,网络系统管理 员可在域中的任何地方管理整个网络
NT服务器 电子系域 工作站 NT服务器 NT服务器 NT服务器 管理系域 机械系域 NT服务器 工作站 工作站 NT服务器 图4-1 Windows n网络
NT服务器 电子系域 工作站 NT服务器 NT服务器 机械系域 工作站 NT服务器 NT服务器 管理系域 NT服务器 工作站 图4-1 Windows NT网络
4.22工作组( Workgroup) 可以将 Windows nt网络组织成工作组的方式。该方式相当于 Windows9X对等网络, 网络中的每一台计算机既可是客户机,又可以是服务器。在这种方式下,不能对资源进行集中 管理。所以在实际组网过程中,很少利用 Windows nt server来组建工作组网络 4.23用户帐号( User Account)与组( Workgroup) 每一个要登录( Logon)到域的用户,都必须拥有一个用户帐号,帐号中包含用户的名称、 密码、用户权限( Rights)、访问权限( Permissions)等信息。 用户帐号分为全局帐号(G1 obal Account)与本地帐号( Local account)两种,一般使用 全局帐号,添加到域中的帐号默认为全局帐号。 Windows nt提供了两个内置的全局帐号,它们分别是: Administrator:用于对整个域进行管理,即系统管理员帐号。 Guest:供临时访问者访问域中资源的帐号
4.2.2 工作组(Workgroup) 可以将Windows NT网络组织成工作组的方式。该方式相当于 Windows 9X对等网络, 网络中的每一台计算机既可是客户机,又可以是服务器。在这种方式下,不能对资源进行集中 管理。所以在实际组网过程中,很少利用Windows NT Server 来组建工作组网络。 4.2.3 用户帐号(User Account)与组(Workgroup) 每一个要登录(Logon)到域的用户,都必须拥有一个用户帐号,帐号中包含用户的名称、 密码、用户权限(Rights)、访问权限(Permissions)等信息。 用户帐号分为全局帐号(Global Account)与本地帐号(Local Account)两种,一般使用 全局帐号,添加到域中的帐号默认为全局帐号。 Windows NT提供了两个内置的全局帐号,它们分别是: Administrator:用于对整个域进行管理,即系统管理员帐号。 Guest:供临时访问者访问域中资源的帐号
新增用户帐号后,需要根据实际情况,设定帐号的权限与访问权限等。 为提高用户管理效率, Windows nt允许将域中的帐号按照其性质划分为组( Group),组 中的帐号能够自动继承组的权限与访问权限 424委托关系 Windows nt网络可以由多个域构成。A域中的用户如果需要访问B域中的资源,需要在两 个域之间建立委托关系。经过委托后,用户只要在一个域中拥有帐号,就可以访问网络中经过委 托的域内的资源 称委托者为“信任域”,接受委托者为“受托域”。当建立好委托关系后,信任域即可辨认 受托 域中的用户帐号,允许这些帐号在信任域内使用。 委托关系可以是单向的或双向的 单向委托关系 双向委托关系 3.委托关系不具转移性
新增用户帐号后,需要根据实际情况,设定帐号的权限与访问权限等。 为提高用户管理效率,Windows NT允许将域中的帐号按照其性质划分为组(Group),组 中的帐号能够自动继承组的权限与访问权限。 4.2.4 委托关系 Windows NT网络可以由多个域构成。A域中的用户如果需要访问B域中的资源,需要在两 个域之间建立委托关系。经过委托后,用户只要在一个域中拥有帐号,就可以访问网络中经过委 托的域内的资源。 称委托者为“信任域”,接受委托者为“受托域” 。当建立好委托关系后,信任域即可辨认 受托 域中的用户帐号,允许这些帐号在信任域内使用。 委托关系可以是单向的或双向的。 1.单向委托关系 2.双向委托关系 3.委托关系不具转移性
NT服务器 机械系域委托电子系域 NT服务器 机械系域 电子系域 工作站4 NT服务器 工作站 NT服务器 经过委托与权限设置后,电子系域中的 用户 User m可以访问机械系域中的资源 图42单向委托关系示意图
图4-2 单向委托关系示意图 NT服务器 电子系域 工作站 NT服务器 NT服务器 机械系域 工作站 NT服务器 机械系域委托电子系域 User_M 经过委托与权限设置后,电子系域中的 用户User_M可以访问机械系域中的资源