Windows NT工作组与域及用户帐号 一、Windows NT工作组与域 (一)目录数据库 Windows NT提供目报务功能NDs(Windows NT Direct Service),它包含了用月 在Wo4gNT中有两种类型的4络配置:工作组和域 金号的条时 在模式下,Window5 NT Server的主域控制器上有一个全域集中的日录数据库,它包 数库进行验证。 (=)工作组(WorkGroup) 工作组模式的椅点: 米用分布式的管理方式,货源和用户帐分在各个计算机上 每个计算机上都有一套日录数据库,用以验证在该计算机上创建的本地用户: 由于每台计算机都有自己的目录数据库,这些目录数据车也必须各自分别管理
Windows NT 工作组与域及用户帐号 一、Windows NT 工作组与域 (一)目录数据库 Windows NT 提供目录服务功能 NTDS(Windows NT Directory Service),它包含了用户 帐号、密码、访问权限、组帐号等系统的安全策略设置信息,建立在一个安全的目录数据库 下,又称为帐号和安全策略数据库。 在 Windows NT 中有两种类型的网络配置:工作组和域。 在工作组模式下,Windows NT 的目录服务功能为本地的目录数据库。它仅包括本地计 算机上创建的帐号和组的信息,而且这些帐号和组也只能在本地使用,由本地的目录数据库 所验证。 在域模式下,Windows NT Server 的主域控制器上有一个全域集中的目录数据库,它包 含了所有的域用户帐号和组的信息,而且能被域中其他计算机使用。因此,只要是一个合法 的域用户,就可以在域中的任何一台计算机上登录,并由主域控制器或备份域控制器上的目 录数据库进行验证。 (二)工作组(WorkGroup) 工作组是以共享资源为主要目的的一组计算机和用户。在工作组模式下,网络中的每一 台计算机都可以扮演“NT 服务器”或“NT 工作站”的角色,属于对等式结构。 工作组模式的特点: 采用分布式的管理方式,资源和用户帐号分散在各个计算机上; 每个计算机上都有一套目录数据库,用以验证在该计算机上创建的本地用户; 用户只能在为他创建了帐号的计算机上登录,并由这台计算机上的目录数据库对他进行 身份验证; 由于每台计算机都有自己的目录数据库,这些目录数据库也必须各自分别管理
工作组对安全性没有任何特殊的要求,它的基本任务就是润览提供一个泛上的计算机 (三)(Doin) 在W山d0usNT中。共享目求数抵库的所有计算机的组合称为域 域由一个丰域挖制器、备份城控制墨、服务器和工作站组成。 定的肉念.指之秀丰价。心灯程务。我中老赛有-台计只无等中安 每个浅中可以包含一个或多个Wid 1、主域控制器:护城的目录数据库的服务器,荷称PDC(my Doain Con PDC主要用于创建域丹户、维护减的安全策略,并用于验正用户的登录。每个城中 之各线控新器:拔中其他行有目录最超库的服务器移为,简装B0C(p BDC持有目数库的彬见,找贝内容会定根据PDC的变化而吏新。PDC和BD 域式的特点 1、帐户的集中管理 2、爱源的集中管理 3、用户的配置文件(UrPle》随用户
工作组对安全性没有任何特殊的要求,它的基本任务就是浏览提供一个逻辑上的计算机 组。 (三)域(Domain) 在 Windows NT 中,共享目录数据库的所有计算机的组合称为域。 域由一个主域控制器、备份域控制器、服务器和工作站组成。 每个域中可以包含一个或多个 Windows NT 服务器,其中必须有一台计算机充当“中央 控制”的角色,称之为“主域控制器”(PDC)。 域中安装 Windows NT Server 的计算机有三类,分别为主域控制器(PDC)、备份域控制 器(BDC)和成员服务器。 1、主域控制器:维护域的目录数据库的服务器,简称 PDC(Primary Domain Controller)。 PDC 主要用于创建域用户、维护域的安全策略,并用于验证用户的登录。每个域中 只允许一个 PDC,任何关于用户、组帐号信息的改变及安全策略的改变都应反映到 PDC 上才能生效。 2、备份域控制器:域中其他存有目录数据库的服务器称为,简称 BDC(Backup Domain Controller)。 BDC 持有目录数据库的拷贝,拷贝内容会定期根据 PDC 的变化而更新。PDC 和 BDC 都能验证用户登录上网的要求,同一个域中可以有多个 BDC,一旦 PDC 出现故障,BDC 可以承担起 PDC 的责任继续工作。在 BDC 中不允许对目录数据库进行任何修改。 3、成员服务器不参与用户的管理工作,它们不持有目录数据库,不能验证域用户。成 员服务器只有重新安装 Windows NT Server,才能提升为 PDC 或 BDC。 域模式的特点: 1、帐户的集中管理。 2、资源的集中管理。 3、用户的配置文件(User Profile)能跟随用户
Windows NT网路的组织模式般选泽域模式,个Windows NT网络可以由~个减多 个域组成。 二,用户帐号与用户组 (一)用户帐号(UserAccount) 在Windows NT中,用户帐号中包含者用户的名称与密码、用户所属的组、用户的权利 和用户的权限等相关数据。 用户帐号分为全局帐号和本地帐号两种。 极使用的都是全局帐号,在Windows NT中添加的用户帐号的预设值是属于全局帐号。 安装Windows NT Server后,系统会自动建立两个全局怅号,·个是Administrator,另 一个是Gueg. Administrator: 系统管理员,负责整个域内的内建帐号,对网络系统操作及安全规则有 完全的控制权: G以:供米宾访问域中资源的内建帐号,任何人都可以通过这个帐号访问有限制的资源。 (二)短(Grop) 1、组和组的特点 将相同性质的帐号归类成一个组,Mco∞f建议不要将权限以予用户,而将权限赋予组。 使用组家管理帐号有下列优点: (1)组中的所有用户都拥有相同的权限: (2)只要对组帐号进行权限的设置,组帐号的权限自动应用于组内的每个用户帐号: (3)可以将添加的用户帐号加入到组巾,用户帐号如入到某个组后,就自动拥有这个 组帐号的权限: (4)可以随时将用户怅号从一个组中利除,这个用户帐号所拥有的这个组帐号的权限 随之取消
Windows NT 网络的组织模式一般选择域模式,一个 Windows NT 网络可以由一个或多 个域组成。 二、用户帐号与用户组 (一)用户帐号(UserAccount) 在 Windows NT 中,用户帐号中包含着用户的名称与密码、用户所属的组、用户的权利 和用户的权限等相关数据。 用户帐号分为全局帐号和本地帐号两种。 一般使用的都是全局帐号,在 Windows NT 中添加的用户帐号的预设值是属于全局帐号。 安装 Windows NT Server 后,系统会自动建立两个全局帐号,一个是 Administrator,另 一个是 Guest。 Administrator:系统管理员,负责整个域内的内建帐号,对网络系统操作及安全规则有 完全的控制权; Guest:供来宾访问域中资源的内建帐号,任何人都可以通过这个帐号访问有限制的资源。 (二)组(Group) 1、组和组的特点 将相同性质的帐号归类成一个组。Microsoft 建议不要将权限赋予用户,而将权限赋予组, 使用组来管理帐号有下列优点: (1)组中的所有用户都拥有相同的权限; (2)只要对组帐号进行权限的设置,组帐号的权限自动应用于组内的每个用户帐号; (3)可以将添加的用户帐号加入到组中,用户帐号加入到某个组后,就自动拥有这个 组帐号的权限; (4)可以随时将用户帐号从一个组中删除,这个用户帐号所拥有的这个组帐号的权限 随之取消
Windows NT支持许多标准用户组,每个用户组均被赋予特定的访问优先等级。这些用 户组分别是: administrators(管理员): power users(特权用户): uss(用户):: guc过s(客串用户): replicators(复制贞): hackup operalors(备份操作员). 除了上述标准用户组外,还有下列域用户组: domain admins(域管埋员),domain users(域用户)、入domain gues过s《域客串用户人,ccount operators(帐号操作员),入print operators(打印操作员),server operators(服务器操作员): 2、组的类型 在Windows NT中,组可以分为全局组、木地组和特殊组。 (1)全局组 全局组不仅可以使用本域的资源,还可以使用其他域中的资源, 全局组是由本域的域用户组成的,不能包含任何组,也不能包含其他域的用户,全局短 只能在域控削器(PDC或BDC)上创建: 利用全局组,系统管理员能有效地将用户按他们的需要进行分类。 所有加入本地组的全局组就自动拥有了该本地组的权限。 Windows NT提供了两类具有特定的许可权和权限的全局组,他们是: 域管理员组和域用户组. (2)本地组 木地组由本地计算机《工作站、Windows NT服务器)创建,组中的成员由所在计算机
Windows NT 支持许多标准用户组,每个用户组均被赋予特定的访问优先等级。这些用 户组分别是: administrators(管理员); power users(特权用户); users(用户):; guests(客串用户); replicators(复制员); backup operators(备份操作员)。 除了上述标准用户组外,还有下列域用户组: domain admins(域管理员)、domain users(域用户)、domain guests(域客串用户)、account operators(帐号操作员)、print operators(打印操作员)、server operators(服务器操作员)。 2、组的类型 在 Windows NT 中,组可以分为全局组、本地组和特殊组。 (1)全局组 全局组不仅可以使用本域的资源,还可以使用其他域中的资源。 全局组是由本域的域用户组成的,不能包含任何组,也不能包含其他域的用户,全局组 只能在域控制器(PDC 或 BDC)上创建。 利用全局组,系统管理员能有效地将用户按他们的需要进行分类。 所有加入本地组的全局组就自动拥有了该本地组的权限。 Windows NT 提供了两类具有特定的许可权和权限的全局组,他们是: 域管理员组和域用户组。 (2)本地组 本地组由本地计算机(工作站、Windows NT 服务器)创建,组中的成员由所在计算机
的目求数#库定义,井且可以赋予它所在计算机上的用户权限和对资谅的访问许可。 在本地系统级别上,本地组可以检用来管型他们所处系统的许可权及权限:在域级别上, 本地组可以被以来管理他门所处的减服务器中的许可权及权限。 木地组可以包含所有域中的所有用户和来自不可域的全局组,但不能包含其他木地组, Windows NT提供了几类具有特定的许可权和权限的本地组. 在本地系统级别中包括: 管理员组: 特别用户组: 用户组: 客串用户组: 备份操作员组 在城级别中包搭: 除了特别用户组以外的上述所有组: 服务器操作员组: 帐号操作员组: 打印操作员组: 复制员组。 (3)特殊组 特殊组是指一种表示包含任何用户帐号的内建特殊组,其作用不是在配置用户的权限, 而是在配置网络使用资源的使用权限时才会显示于窗口上供配置。 特殊组不能被浏览、修改,也不能通过用户管理器为它增加新成员,其成员是动态变化 的。 Windows NT中包含四个特珠组: Network知: Inleraclive组:
的目录数据库定义,并且可以赋予它所在计算机上的用户权限和对资源的访问许可。 在本地系统级别上,本地组可以被用来管理他们所处系统的许可权及权限;在域级别上, 本地组可以被以来管理他们所处的域服务器中的许可权及权限。 本地组可以包含所有域中的所有用户和来自不同域的全局组,但不能包含其他本地组。 Windows NT 提供了几类具有特定的许可权和权限的本地组。 在本地系统级别中包括: 管理员组; 特别用户组; 用户组; 客串用户组;。 备份操作员组。 在域级别中包括: 除了特别用户组以外的上述所有组; 服务器操作员组; 帐号操作员组; 打印操作员组; 复制员组。 (3)特殊组 特殊组是指一种表示包含任何用户帐号的内建特殊组,其作用不是在配置用户的权限, 而是在配置网络使用资源的使用权限时才会显示于窗口上供配置。 特殊组不能被浏览、修改,也不能通过用户管理器为它增加新成员,其成员是动态变化 的。 Windows NT 中包含四个特殊组: Network 组; Interactive 组;
Everyone组: Greater Owner组。 3、组使用的策略 组的使用策略归纳为以下几点: (1)在域控制器上创建全局组: (2)在域中的所有计算机上创建本地组: (3)在减中创建用户,并将其放到相应的全局组中: (4)将全局组放到本地组中: (5)给本地组授子相应的用户权限和资源许可。 三、用户帐号管理 (一)域用户管理器 在Windows NT Server中,用来管理用户帐号及安全权限的主要工具是“域用户管理器” (User Manager for Domaires),它是用于管理用户帐号和组帐号的图形界面工具,它还可用 于设置安全黄略和管理NT环境下的委托关系。 在NT Serve上,任何人都可以运行域用户倍理器,但只有管理员组(Administrators》 或帐号操作员组(Account Operators》成员的帐号操作才有效. (二)用户帐号管理 1、建立用户帐号 当建立或添加一个用户帐号时,NT系统会自动建立一个安全识别《Security Identi面cr), 简称SD SD被NT系统用米在域巾佛识身份,域中的用户帐号都拥有唯一的SD: 当用户帐号被利除时,SD码亦随之别除,即使又重新建立了一个与别除前相同名称的 用户餐号,其SD码也不会与原来相同,而且不难承老用户的任何权限、特权和文件等, 在NT系统中,一个用户帐号包含以下信息:
Everyone 组; Greater Owner 组。 3、组使用的策略 组的使用策略归纳为以下几点: (1)在域控制器上创建全局组; (2)在域中的所有计算机上创建本地组; (3)在域中创建用户,并将其放到相应的全局组中; (4)将全局组放到本地组中; (5)给本地组授予相应的用户权限和资源许可。 三、用户帐号管理 (一)域用户管理器 在 Windows NT Server 中,用来管理用户帐号及安全权限的主要工具是“域用户管理器” (User Manager for Domains),它是用于管理用户帐号和组帐号的图形界面工具,它还可用 于设置安全策略和管理 NT 环境下的委托关系。 在 NT Server 上,任何人都可以运行域用户管理器,但只有管理员组(Administrators) 或帐号操作员组(Account Operators)成员的帐号操作才有效。 (二)用户帐号管理 1、建立用户帐号 当建立或添加一个用户帐号时,NT 系统会自动建立一个安全识别码(Security Identifier), 简称 SID。 SID 被 NT 系统用来在域中辨识身份,域中的用户帐号都拥有唯一的 SID; 当用户帐号被删除时,SID 码亦随之删除,即使又重新建立了一个与删除前相同名称的 用户帐号,其 SID 码也不会与原来相同,而且不继承老用户的任何权限、特权和文件等。 在 NT 系统中,一个用户帐号包含以下信息:
用户名(UserName): 全称FullName): 描述(Description): 密码(Pwd: 组(Groups): 配置文件(Profile): 时数(Hours): 登求到(1 gon'To: 帐号(Account): 拔入(Dialin). 在建立或添加用户帐号时要对新用户的上述属性进行设置。可以按规划内容一次输入全 部有关信息:也可以只输入一些基本和必要的信息〔如用户名、密码、所属组等),其他内 容可根据需要,在日后进行补充或悠改。 2、用户帐号管理 用户帐号管理是指用户帐号建立后,可很据需要对用户帐号进行复制、修改、剧除等操 作。用户帐号管理问样必须由管理员组或帐号操作员组成员的帐号操作才有效。 (1)复制用户帐号 (2)制除用户帐号 (3)更改用户名 (4)修改用户帐号 3、利用组管理用户帐号 利用组管理用户帐号时,需要引入“组帐号”的概念。“组帐号”是指包含组中所有成 员的帐号。通过域用户普理器的“用户”菜单下的“新全局姐”或“新术地组”命令,创迹 全局组或本地组,将合适的用户沛如到该组帐号中即可。 根据前南所述,使用组帐号可以方便和简化管理,当赋予粗的权限和许可时,对于组中
用户名(UserName); 全称(FullName); 描述(Description); 密码(Password); 组(Groups); 配置文件(Profile); 时数(Hours); 登录到(LogonTo); 帐号(Account); 拨入(Dialin)。 在建立或添加用户帐号时要对新用户的上述属性进行设置。可以按规划内容一次输入全 部有关信息;也可以只输入一些基本和必要的信息(如用户名、密码、所属组等),其他内 容可根据需要,在日后进行补充或修改。 2、用户帐号管理 用户帐号管理是指用户帐号建立后,可根据需要对用户帐号进行复制、修改、删除等操 作。用户帐号管理同样必须由管理员组或帐号操作员组成员的帐号操作才有效。 (1)复制用户帐号 (2)删除用户帐号 (3)更改用户名 (4)修改用户帐号 3、利用组管理用户帐号 利用组管理用户帐号时,需要引入“组帐号”的概念。“组帐号”是指包含组中所有成 员的帐号。通过域用户管理器的“用户”菜单下的“新全局组”或“新本地组”命令,创建 全局组或本地组,将合适的用户添加到该组帐号中即可。 根据前面所述,使用组帐号可以方便和简化管理,当赋予组的权限和许可时,对于组中
的所有成员都会生效。 四、安全规则 在“域用户管理器”中,系统管理员所管理的安全规则有以三种:怅号规则、用户权限 规则和审核规则。 (一)帐号规则(AccountPolicy) 帐号规则是用来管理所有与用户帐号、密码有关的事项。 (二)用户权限规则(UserR1 htsPol1cg) 用户拥有一个合法的帐号并使用该帐号登录到系统中后,对系统执行的深作受到用户权 限的限制。用户权限规则就是管理投予组和用户帐号的权限。 用户权限(Rights》与使用权限(Pernission)的区别在于:用户权限适用于整个NT 域系统,是针对用户或组而言的,它用来验证某个用户是否能够在T系统内执行某些特定 的换作:而使用权限适用于指定对象,如打印机,目录、文件等,它是用米规范某些用户或 组对于打印机、目录、文件等系统资源所拥有的防句权,用户权限高于使用权限, 用户权限义分为基本权限和商级权限两种。 (三)审核规则(uditPolicy) 审核是指通过引入监视功能对用户及其行为负贵,通过审核安全性事件并且在安全日志 中保存数据,可以跟踪选定用户的话动。审核规则用来指定要记豪的安全性事件类型。 五、城之间的委托关系 (一)委托(信任)关系 委托是一种管理方法,它将两个域连接在一起并允许域里的用户互相访问,委托关系使 用户帐号和组能够在建立它们的域以外的域中使用, 在委托中,用户帐号所在的域称为受托域,也叫《号域,该域中包括用户帐号。受托域 在物理意义上可能只由单一机器组成,但可能有400D0名用户定义在其中,资源所在的域称 为委托域,也叫资源域,包括了用户要访问的货澎。 单向信任关系
的所有成员都会生效。 四、安全规则 在“域用户管理器”中,系统管理员所管理的安全规则有以三种:帐号规则、用户权限 规则和审核规则。 (一)帐号规则(AccountPolicy) 帐号规则是用来管理所有与用户帐号、密码有关的事项。 (二)用户权限规则(UserRightsPolicy) 用户拥有一个合法的帐号并使用该帐号登录到系统中后,对系统执行的操作受到用户权 限的限制。用户权限规则就是管理授予组和用户帐号的权限。 用户权限(Rights)与使用权限(Permission)的区别在于:用户权限适用于整个 NT 域系统,是针对用户或组而言的,它用来验证某个用户是否能够在 NT 系统内执行某些特定 的操作;而使用权限适用于指定对象,如打印机、目录、文件等,它是用来规范某些用户或 组对于打印机、目录、文件等系统资源所拥有的访问权。用户权限高于使用权限。 用户权限又分为基本权限和高级权限两种。 (三)审核规则(AuditPolicy) 审核是指通过引入监视功能对用户及其行为负责,通过审核安全性事件并且在安全日志 中保存数据,可以跟踪选定用户的活动。审核规则用来指定要记录的安全性事件类型。 五、域之间的委托关系 (一)委托(信任)关系 委托是一种管理方法,它将两个域连接在一起并允许域里的用户互相访问,委托关系使 用户帐号和组能够在建立它们的域以外的域中使用。 在委托中,用户帐号所在的域称为受托域,也叫帐号域,该域中包括用户帐号。受托域 在物理意义上可能只由单一机器组成,但可能有 40000 名用户定义在其中。资源所在的域称 为委托域,也叫资源域,包括了用户要访问的资源。 单向信任关系
双向信任关系 信任关弱不具备可传递恒 (二)委托的设量 委托的设置通过“域用户管埋器”进行,必须是使用Adma组的成员登采才可 以设置委托关系。 在建立单向信任关系时必须光设置受托域,再设置委托域。 建立双向信任关系的过程,实际上就是建这两个单向信任关系组合。 委托关系可以防时除。利除信仟关系同样分别要在两个境巾进行
双向信任关系 信任关系不具备可传递性 (二)委托的设置 委托的设置通过“域用户管理器”进行,必须是使用 Administrators 组的成员登录才可 以设置委托关系。 在建立单向信任关系时必须先设置受托域,再设置委托域。 建立双向信任关系的过程,实际上就是建立两个单向信任关系组合。 委托关系可以随时删除。删除信任关系同样分别要在两个域中进行