第 7章 构建 Windows NT网络
7.1 组建 Windows NT网络
7.2 Windows NT 4.0概述
7.3 Windows NT中的基本概念
7.4 文件系统选择
7.5 安装和配置 Windows NT网络
7.6 管理 Windows NT网络
7.7 恢复或者修复被损坏的 Windows NT-
SER系统
7.1 组建 Windows NT网络
7.1.1 组建 Windows NT网络涉及的四大基本技术
组建一个实用的 Intranet网络必须使用的四项
基本网络技术是:
① 拓扑结构 。
② 传输介质 。
③ 通讯协议 。
④ 接入技术 。
7.1.2 实用 Intranet网络实体的确定
1,Intranet网络的硬件实体
2,Intranet内部局域网 (内网 )的设计
(1) 拓扑结构
(2) 传输介质
7.2 Windows NT 4.0概述
7.2.1 Windows NT Server 4.0具有的主要用途
Windows NT Server 4.0的主要应用特点如下 。
① Windows NT Server 4.0是功能强大的网络
服务器操作系统, 它提供了强大的网络服务功能 。
NT在网络方面的功能一点也不逊色于 Unix或
NetWare。 它除了具有文件服务器, 远程访问服务
器和 DHCP等多种服务器外, 还强化和增加了 IIS
服务器和 Web Server的工具, 因此, 适合于中,
小型业务机构的实时, 分时数据处理 。
② Windows NT Server 4.0增强了多媒体, 网
络和 Internet功能, 使其更加适应当今时代网络技
术发展的需要 。
③ Windows NT Server 4.0具有较强的适应性和可伸缩
性,可以为大、中型企业、小型公司、或者是家庭中的两
台计算机等不同硬件环境的机构,提供优化的文件和打印
服务环境,并且不会因为硬件的限制,而影响它的使用效
率。
④ Windows NT Server 4.0具有友好的人机联系界面,
它与 Windows 95/98的使用界面极其相似。这一特点大大简
化了用户学习掌握 Windows NT的过程。因此即使是普通
的非计算机网络专业的用户,也可以轻而易举地将普通的
个人计算机安装成一个 Windows NT服务器,并组建属于
自己的 Windows NT网络。
7.2.2 Windows NT网络的功能特点
(1),抢先式, 多任务工作方式
(2) 硬件兼容性
(3) 容错性
(4) 网络服务
(5) 易用性
(6) 软件兼容性
(7) 实用的管理者向导 (Administrator Wizard)
(8) 网络管理工具
(9) 设置审核策略
(10) 内置 Internet/Intranet功能
(11) 用户工作环境的管理
7.3 Windows NT中的基本概念
7.3.1 目录数据库 (NTDB)和目录服务 (NTDS)
在目前流行的现代化网络操作系统中,大都利用一个
称为目录数据库的数据库来保存用户、组和安全设置等方
面的信息。 Windows NT系统中的目录数据库 (NTDB,NT
Directory data Base)包含了 NT中的用户账户 (ID)、密码、
访问权限、组账户等系统的安全策略设置信息。
Windows NT目录服务 (NTDS,NT Directory Service)是
Windows NT Server提供的基本服务之一,NT中的“目录
服务功能”使得网络的管理更加简单,NT中“目录服务”
的目标是“一个用户,一个账户” (One USER One
Account)。在 NT的域管理模式下,域和域之间经过信任关
系的设置,使域中的每一个用户可以使用同一个账户和密
码,在不同的域中登录,并使用其中的资源。
NT的目录服务 (NTDS)建立在一个安全
的目录数据库 (NTDB)下, 根据网络的组织方
式的不同, NT网络中有以下 2种数据库结构 。
1,在, 工作组, 模式下的目录服务功能
2,在, 域, 模式下的目录服务功能
7.3.2 NT网络中, 域, 的基本概念
1.,域, (Domain)的定义
在 Windows NT服务器的目录环境中,,域,
是一个共享目录数据库的计算机和用户的集合,
通过这个共享的目录数据库,可以对域中的账户
、优先权、安全性和网络资源等进行集中管理 。
一个“域”可以包含一个或多个 NT服务器,
而一个 NT网络可以由一个或多个“域”组成。每
个“域”都拥有一台称为主域控制器 (PDC)的计算
机,该计算机应是一台运行 Windows NT Server
4.0的服务器。
“域, 是由许多网络服务器与工作站连接而成
的计算机群组,这个群组的成员可以使用相同的软
硬件配置、系统设定、账户系统与共享资源。使用
域资源的用户,无须一台一台的为各计算机用户建
立账户,并登录到某一域中的某台计算机上,只要
登录到该, 域,,就可以共享该域中所有允许访问
的各种资源。因此,在同一, 域, 上的工作站或服
务器,不论是在近程的较小区域内 (通过传输介质
连接 ),还是在远程的范围内,只要被定义在相同的
域,彼此之间就是有关联的, 伙伴, 了。
2.,域”中计算机的分类
在域中安装 NT-SER的计算机有 3种类型,它们
之间是一种不平等关系。
(1) PDC(主域控制器 )
PDC是一个, 域, 中的主人, 它包括了一个
,域, 的用户和组的所有信息, 以及, 域, 的安全
策略设置, 是域中目录数据库的原始拷贝所在地 。
PDC主要用于创建域用户, 维护域的安全策略, 并
用于验证用户的登录 。 任何关于用户账户, 组账户
信息的改变, 以及安全策略的改变都应该反映到
PDC上才会生效 。 PDC是一个域中安装的第一台计
算机, 需要时, PDC可以降级为 BDC,同时也可提
升 BDC为 PDC。 但任何时刻域中都必须至少有一个
PDC。
(2) BDC(备份域控制器 )
BDC维护着一个, 域, 的用户和组的信息, 并且保存
有, 域, 的安全策略设置的拷贝 。 PDC定期地将目录
数据库的信息拷贝到 BDC上 。 BDC的作用主要是协助
PDC进行登录验证, 分担 PDC的工作, 减轻网络流量
。 当 PDC关机或出了故障时, BDC可以提升成为 PDC
。
(3) 成员服务器 (Member Server)
成员服务器即普通的服务器 。
3,采用, 域, 模式的特点
(1) 集中的账户管理
(2) 资源的集中管理
(3) Profile文件跟随用户而走动
(4) 资源访问非常方便
(5) 加入到一个“域”以后,将会发生 5个变化。
(5) 加入到一个, 域, 以后,将会发生 5个变化。
① 域管理员全局组加入到本地计算机的管理员本地
组,该变化使得域管理员能够远程管理该计算机。
② 域用户的全局组加入到本地计算机的用户本地组
中,使得任何一个合法的域用户能够在域中任何一台
计算机上登录。
③ 在登录对话框中加入了一个“域”选择栏目,使
得用户能选择是登录到域中还是登录到本地计算机中
。
④ 在该计算机上的,Netlogon”服务将会启动,使得
本地系统能通过该服务连接到“域”的 PDC上,查询
上面的目录数据库,并对域用户的身份进行验证。
⑤ 在 PDC上的服务器管理器将自动加入该计算机账
户,使得域管理员在 PDC一点上就能远程管理该计算
机。
7.3.3 NT网络中, 工作组, 的概念
1.,工作组, (Workgroup)的定义
工作组是一组由网络连接而成的计算机群
组。在 Windows NT中用户也可以将网络组织
成“工作组”的方式,它们的资源和管理分散
在网络中的各个计算机上,与域中的集中式管
理方式截然不同。
2,采用, 工作组, 模式的特点
① 工作组中的所有计算机之间是一种平等的关系,
没有主从之分。
② 工作组模式下资源和账户的管理是分散的。每个
计算机上的管理员能够完全实现对自己计算机上的资源与
账户的管理。
③,人机不分开”,每台计算机上都有一套目录数
据库,用以验证在自己计算机上所创建的本地用户,一个
用户只能在为他创建了账户的计算机上登录,并由该计算
机上的目录数据库来对他的身份进行验证。
④,配置 (Profile)文件不跟随用户走”,因此,工
作组模式下,计算机的管理员不能给用户分配一个基
于服务器的配置 (Profile)文件,而只能在该用户第一次
登录到系统时,给他分配一个用户缺省的配置文件,
该文件存储在本地计算机上,并对该用户的工作环境
进行配置。如果用户到另一台计算机上登录,则在该
计算机上生成一个新的本地配置 (profile)文件。因此,
不经用户的特殊设置,不会拥有相同的工作环境。
⑤ 在工作组模式下,可以通过以下途径实现资源
的互相访问。
工作组的模式的缺点是,当用户账户数量较大时,
管理工作量较大、管理不方便。并且不能进行资源和
账户的集中管理。
7.3.4 用户账户 (USER Account)
当某一用户需要登录上网时, 必须向管理员申
请一个用户的账户, 而后每次上网登录时, 须首先
键入账户, 再键入密码 (如果设置了的话 ),经验证
合格后, 才可以进入网络 。
7.3.5 用户权限 (USER Right)
在域系统中, 用户存取数据与使用共享资源必
须依据所拥有的权限来进行, 这样, 才能够保障系
统的安全性 。 每一个用户都必须获得域管理者授予
的操作权限, 才能以此权限存取数据或使用共享资
源 。
7.3.6 信任 (委托 )关系 (Trust Relationships)
① 用户应该知道什么是, 信任关系,,我们说的信任
关系指的是资源域 (所使用的资源范围 )和账户域的关系。
② 用户应了解如何在 NT的两个域中使用, 信任关系,,
并清楚建立信任关系之后对两个, 域, 所带来的影响 。
1,信任关系的基本概念
在 NT网络中,通过使用信任关系来建立两个, 域, 之
间的通信连接关系。这种连接建立后,其中一个, 域, 就赋
予另一个域中的用户以特权,同时允许他们对自己域中的资
源进行访问。如果设置正确,当网络中各, 域, 之间建立了
适当的信任关系之后,用户只要拥有一个账户名称,即可访
问整个网络。网络上的所有计算机都可识别这个用户账户。
用户登录时只需提供一个账户名称及相应的口令,就可以访
问网络上的所有计算机。
2,单向信任关系
3,双向信任关系
4,信任关系不具备转移性 (Non-Transitive)
5,信任关系中的传递验证
传递验证使得用户能够登录到网络中的那些
他不具备账户的计算机上或域中 。 用户通过传递
验证以及域和域之间建立的信任关系, 可以只在
某一个域中拥有一个账户就能访问整个网络 。
7.3.7,域, 的组织模式的选择与设计
1.,单域, 模型 (Single Domain Model)
(1) 适用范围
小型工作室, 小型企业, 小型单位以及学校计算机
实验室内的简单网络系统使用单位 。
(2),单域, 模型特点
Windows NT 目录服务, 单域, 模型将所有账户和
资源放在同一个管理单元中,使得, 一个用户,一个账
号, 的概念和目标得以实现。在, 单域, 模式下,所有
用户账户和全局组都在同一个域中,无需使用信任关系
,这种模型非常简单,对于那些用户数量不多 (一般可
支持 26000个用户账号,至于准确的数目应根据域中的
服务器数目和硬件配置的情况酌情而定 ),并且希望账
户和资源集中管理的公司,,单域, 模型是最佳选择。
2.,单主域, 模型 (Single Master Domain Model)
(1) 适用范围
,单主域, 模型适合于网络用户不多,但是由于组
织规划的原因,需将网络分割成多个域的场合。此模式
同时提供了账户的集中管理与组织的功能。
(2),单主域”模型特点
在, 单主域, 模式下,NT的目录数据库通过信任
关系来实现域之间的无缝连接,使得, 一个用户,一个
账号, 的目标在多个域环境下也能实现 。
在, 单主域, 模型中,至少有两个域,每个
域都有自己的域控制器。但所有的用户账户和全
局组的信息都保存在主域的域控制器上。, 主域
” 又叫做账户域,也是被信任域,所有其他的域
都信任主域。这是由于所有的用户账号都建立在
,主域, 中,因此其他域必须信任, 主域, 。其
他的域都叫做, 资源域, 。在此模型中,能够实
现账户的集中管理,但资源的管理却是分散的。
3.,多主域”模型 (Multiple Master Domain Model)
(1)适用范围
这种模式由多个“主域”组成,同时所有的
用户账号分别建立在这些“主域”之中,并且每
个用户在整个网络上只需要一个账号,不需要在
每个“主域”上都建立一个账号。
例如,大型企业、跨国公司以及国家部门
等使用单位。
(2),多主域”模型特点
“多主域”模型是“单主域”模型的一个扩展,如果信
任关系建立得当,用户也能通过传递验证,使用一个账号
和密码从任何一个域中登录。
在“多主域”模型中,每一个“主域”都通过双向信任
关系和其他“主域”建立连接。每一个资源域都信任“主
域”,但并不信任其他资源域。对一个要求有多个管理单
元的跨国大公司,“多主域”模型是最佳选择,在每个管
理单元中,管理员都能完全控制自己的账户。对于组账户
的管理,“多主域”模型和“单主域”模型完全相同,只
不过需要在每个“主域”上都创建全局组。
4,完全信任域模型
完全信任域模型是 NT目录服务结构中最复
杂的一种,因为它需要维护很多信任关系。在该
模型下,每一个“域”都信任其他“域”,并且
其他“域”也都信任该“域”。
因此,n个域组成的完全信任域,要管理 (n-
1)× n个信任关系。如果希望用户和资源的管理
是分散在每一个不同的部门而不是集中在一起的
,则采用完全信任域模型较好。
7.3.8 Windows NT如何识别域
网络用户是利用域的名称来访问域的 。 但是在 NT内部
却是用域的安全标识符 (Security Identifier,SID)来确定一个
域 。 域的 SID是在安装 PDC与 BDC的过程中产生的, 它是个
唯一的号码, 不会与其他域的 SID重复 。
在 PDC和 BDC中, 域名和域的 SID是不等价的 。 一个域的域
名可变, 但域的 SID不可变, 域名变化后, 新的域名将和原
有的 SID相结合 。 正是由于域 SID的唯一性, 因此, 不经重新
安装 PDC和 BDC,则不能改变其 SID,也就是说不能将一个
域的 PDC迁移到另一个域, 并取代那个域中的 PDC。 而普通
的 Server和 Workstation也拥有自己的 SID,这个, SID”是指
计算机的 SID,因此只用来标识一台计算机 。 所以, 它们可
以不必重新安装, 就从一个域迁移到另一个域中 。
7.4 文件系统选择
7.4.1 FAT和 NTFS文件系统
在传统的 DOS和 Windows 95操作系统中,目
录和文件的磁盘分区记录都是经过文件分配表
FAT(File Allocation Table)统一管理、分配和控制
的。因此,一般提到 FAT时,就是指 DOS的
FAT16文件系统格式。而 Windows 98操作系统采
用 FAT32文件系统格式。
Windows NT也是一种操作系统的软件,它
的文件系统格式为 NTFS(NT File System)格式。
① 在 NTFS文件系统中, 用来记录文件信息的
MFT(Master File Table)会自动存储备份 。 因此,
当磁盘发生故障时, 可以使用备份文件恢复文件的
配置信息 。
② 在 NT中无磁盘空间的限制为:使用 FAT时,
文件和分区的最大值为 232字节 (4GB);使用 NTFS
时, 文件和分区的最大理论值为 264字节 (16EB),
但是受到硬件和其他因素的限制, 实际中达不到上
述标准 。
③ 支持长文件名称 。
④ 支持文件级的权限设置 。
7.4.2 选择文件系统应当考虑的因素
1,从安全性考虑
① NTFS文件格式完全支持 Windows NT的安
全机制,因此,若希望对文件和目录进行权限管理
时应选择 NTFS文件格式,FAT不具备这种功能。
② 若希望只对文件和目录进行共享级的访问,
可选择 FAT文件格式。
2,从连通性考虑
① 若希望支持 Macintosh(苹果机 )服务, 可选择
NTFS文件格式 。
② 若希望支持 NetWare Server服务 (Novell),可
选择 NTFS文件格式 。
3,从访问文件的类型考虑
① 若希望只在 Windows NT启动时访问文件,可选
择 NTFS文件格式。
② 若希望访问 DOS,OS2或 Windows 95/98/Me文件
,可选择 FAT文件格式。
4,从硬件平台考虑
若是 RISC机型, 系统分区至少是 2GB的 FAT分区 。
5,从多引导和兼容性考虑
① NTFS文件系统仅能用于 Windows
NT/2000。当运行其他操作系统 (MS-DOS或
OS/2)时,该操作系统将无法访问同一计算机上
位于 NTFS分区上的文件。另外,NTFS系统无法
与 MS-DOS在同一分区上实现数据共享。
② 使用 FAT文件下则可以解决上述两个问
题。因此,若希望 NT与 DOS,Windows
95/98/Me等多引导,并保留原有的一些软件时,
则应使用 FAT分区作为系统分区。
6,文件压缩
① NTFS文件系统支持每个文件的灵活的压缩格
式。
② FAT文件系统不支持文件压缩。
7,从活动日志考虑
① NTFS文件系统中保留活动日志
② FAT文件系统中则不保留活动日志
7.5 安装和配置 Windows NT网络
7.5.1 Windows NT Server 与 Windows NT
Workstation的区别
Windows NT 4.0有两种版本, 一种是服务器
(Server),一种是工作站 (Workstation),这两种
版本都是 32位操作系统, 网络功能也都很完善 。
前者主要用于网络上的服务器, 其中包括文件服
务器, 打印服务器和 NT网络的主域控制器等;
而后者则主要服务于高级个人计算机操作系统,
或者是用来组建简单的对等网 。
7.5.2 选择 Windows NT Server的服务器和工
作站
1,局域网计算机硬件的基本要求
2,检查拟安装的 NT服务器和工作站的硬件
3,NT局域网常见工作站
7.5.3 网络适配器的连接和设置
1,安装网卡驱动程序
2,设置和检测网卡 (NIC)
(1) IRQ(Interrupt Request)硬件的中断请
求
不能和本机上的其他硬件使用的 IRQ冲突,否
则会引起网卡不能正常工作,网络不通。
(2) I/O地址 (I/O Address)
不能和本机上的其他硬件冲突, 否则会引起网卡
不能正常工作, 网络不通 。
(3) 网卡上的 BOOT ROM地址
请注意不要使用与其他设备相同的地址, 否则
BOOT ROM无法正常工作 。
(4) DMA(直接存取存储器 )
设置网卡上的 DMA CHANNEL,如果网卡上没
有用 DMA,则不需要设置。
7.5.4 Windows NT安装方式的选择及安装前的准备
1,NT网络的最低硬件要求
2,NT网络的安装方式
(1) 软盘 -光盘安装
(2) 硬盘 -光盘安装
(3) 硬盘直接安装
(4) 光盘 (CD-ROM)直接安装
(5) 网络安装
(6) 硬盘克隆安装
3,安装网络安装 NT前的准备工作
① 用户的姓名和所在公司名称 。
② 计算机名 (例如, ZDH01)。
③ 语言 (地区 )和时区 。
④ 选择网络适配器型号。
⑤ 网络适配器参数设定。
⑥ 选定网络协议。
⑦ 配置 TCP/IP协议。
⑧ 用户计算机在域中的作用 。
⑨ 域名。
⑩ 管理员的口令。
4,安装环境的选择
5,硬盘格式的选择
7.5.5 Windows NT安装的基本操作
7.5.5.1 Windows NT常用的安装命令, 方式和安装注
意事项
1,Windows NT安装方式
2,安装 Windows NT对硬盘分区的要求
3,安装 Windows NT过程中的注意事项
4,安装命令的选择
7.5.5.2 启动 Windows NT Server安装程序
7.5.5.3 Windows NT Server 4.0的安装过程
(1) 选择安装类型
(2) 键入如下计算机和用户信息
(3) 选择服务器类型
(4) 设置系统管理员密码
(5) 制作系统紧急恢复磁盘
(6) 选择安装网络组件
2,安装其他外部设备
① 显示卡 (如果驱动程序不支持用户的显示卡, 应根据
厂家提供的说明安装 )。
② CD-ROM,只读光盘驱动器和刻录光盘驱动器 。
③ 16或 32位声卡 。
④ MPEG II图像解压缩卡 (选择安装项 )。
⑤ 应对网卡和配置的协议进行检查和配置 。
⑥ 调制解调器 (选择安装项 )。
7.6 管理 Windows NT网络
7.6.1 Windows NT网络管理的具体内容
① 使用管理工具管理 Windows NT网络。
② (*)Windows NT网络用户的组织和管理。
③ (*)网络的配置管理。
④ 文件系统管理。
⑤ (*)数据保护和系统恢复。
⑥ 服务管理。
⑦ 安全管理。
⑧ 使用命令行进行管理。
⑨ (*)TCP/IP管理。
7.6.2 使用管理工具管理 Windows NT网络
7.6.2.1 管理工具的利器“管理向导”
1,启用, 管理向导, 工具
2.,管理向导, (Administrator Wizard)工具包括的
主要内容 )
3.,管理向导, 的典型应用, 添加用户账号,
7.6.6.2 管理工具“服务器管理器”
(1) 什么是“服务器管理器”
,服务器管理器, 是用来管理域和计算机的工具
窗口。
(2) 使用, 服务器管理器, 的对象
使用, 服务器管理器, 管理域及其服务器时, 必
须以该域的 Administrators,Domain Admins或
Server Operators 组 成 员 的 用 户 账 户 登 录 。
Account Operators组的成员也可以使用, 服务器
管理器,, 但是只有将计算机添加到域的权限,
没有其他权限 。
(3) 启动, 服务器管理器, 的步骤
7.6.3 Windows NT网络的组织与用户的优化管
理
1,进行网络需求调查确定网络中, 域, 的组织模
式
2,Windows NT网络中的访问权限
3,用户和组的基本概念
(1) 组 (group)的概念
“工作组”与“组”的概念不同,前者是指网络中
计算机的一种组织方式,而“组”是在中、大型网络中
为了方便管理,而引入的一种“域”或者“工作组”内
部的管理组织。每一个“域”可以划分为多个方便管理
的组,通常管理员将性质相同的用户分配到同一个组,
并通过对“组”设置权限而达到对用户赋权,从而方便
了系统管理。
利用, 组, 管理用户账号时,需要使用到, 组账号
” 的概念。所谓, 组账号, 就是包含组中所有成员用户
的账号 (即先创建某个, 组,,再添加该组的所有成员账
号 )。使用组账号可以方便和简化管理。赋予, 组, 的权
限和许可,对于组中的所有成员都会生效。
(2) 组的分类
NT中的, 组, 可以分为全局组, 本地组和特
殊组 。
① 全局组 (Global Group)是由本域的域用户
组成的, 它是面向域用户的 。 它之所以被称为全
局组, 是因为全局组不仅能够在创建它的计算机
上使用, 而且还能在域中的任何一台计算机上使
用, 并且还能在跨域中 (在信任域中 )使用 。 但应
注意, 全局组中不能包含其他任何的本地组和全
局组 。
② 本地组 (Local Group)的“本地”指的是
该组仅局限于所在的计算机和目录数据库,组中
的成员是在一个目录数据库中定义的,并且可以
赋予对其资源的访问许可。在一般的 NT工作站和
NT 服务器上创建的本地组仅能在这台计算机上
使用。而在 PDC和 BDC上创建的本地组,能在该
域中的所有域控制器上使用。
③ 特殊组 (Special Group),NT中还包含以下
4个特殊组,Network组,Interactive组、
Everyone组和 Greater Owner组。
(3) 用户、用户账号和用户账号的最小特权原则
① 用户。
② 用户账号和密码。
③ 建立账号的最小特权原则。
4,网络规划
(1) 域和信任关系的规划
(2),组, 和用户账号的规划
① 绘制 NT网络的管理目录, 树,
② 确定 NT网络的管理明细清单
(3) 系统目录权限的规划
7.7 恢复或者修复被损坏的 Windows NT-SER
系统
7.7.1 利用, 上一次的正确系统配置, 的环境恢复
NT系统
7.7.2 利用, 紧急修复磁盘, 修复被损坏的 NT系统
7.7.3 利用, NT启动磁盘, 修复被损坏的 NT系统
7.1 组建 Windows NT网络
7.2 Windows NT 4.0概述
7.3 Windows NT中的基本概念
7.4 文件系统选择
7.5 安装和配置 Windows NT网络
7.6 管理 Windows NT网络
7.7 恢复或者修复被损坏的 Windows NT-
SER系统
7.1 组建 Windows NT网络
7.1.1 组建 Windows NT网络涉及的四大基本技术
组建一个实用的 Intranet网络必须使用的四项
基本网络技术是:
① 拓扑结构 。
② 传输介质 。
③ 通讯协议 。
④ 接入技术 。
7.1.2 实用 Intranet网络实体的确定
1,Intranet网络的硬件实体
2,Intranet内部局域网 (内网 )的设计
(1) 拓扑结构
(2) 传输介质
7.2 Windows NT 4.0概述
7.2.1 Windows NT Server 4.0具有的主要用途
Windows NT Server 4.0的主要应用特点如下 。
① Windows NT Server 4.0是功能强大的网络
服务器操作系统, 它提供了强大的网络服务功能 。
NT在网络方面的功能一点也不逊色于 Unix或
NetWare。 它除了具有文件服务器, 远程访问服务
器和 DHCP等多种服务器外, 还强化和增加了 IIS
服务器和 Web Server的工具, 因此, 适合于中,
小型业务机构的实时, 分时数据处理 。
② Windows NT Server 4.0增强了多媒体, 网
络和 Internet功能, 使其更加适应当今时代网络技
术发展的需要 。
③ Windows NT Server 4.0具有较强的适应性和可伸缩
性,可以为大、中型企业、小型公司、或者是家庭中的两
台计算机等不同硬件环境的机构,提供优化的文件和打印
服务环境,并且不会因为硬件的限制,而影响它的使用效
率。
④ Windows NT Server 4.0具有友好的人机联系界面,
它与 Windows 95/98的使用界面极其相似。这一特点大大简
化了用户学习掌握 Windows NT的过程。因此即使是普通
的非计算机网络专业的用户,也可以轻而易举地将普通的
个人计算机安装成一个 Windows NT服务器,并组建属于
自己的 Windows NT网络。
7.2.2 Windows NT网络的功能特点
(1),抢先式, 多任务工作方式
(2) 硬件兼容性
(3) 容错性
(4) 网络服务
(5) 易用性
(6) 软件兼容性
(7) 实用的管理者向导 (Administrator Wizard)
(8) 网络管理工具
(9) 设置审核策略
(10) 内置 Internet/Intranet功能
(11) 用户工作环境的管理
7.3 Windows NT中的基本概念
7.3.1 目录数据库 (NTDB)和目录服务 (NTDS)
在目前流行的现代化网络操作系统中,大都利用一个
称为目录数据库的数据库来保存用户、组和安全设置等方
面的信息。 Windows NT系统中的目录数据库 (NTDB,NT
Directory data Base)包含了 NT中的用户账户 (ID)、密码、
访问权限、组账户等系统的安全策略设置信息。
Windows NT目录服务 (NTDS,NT Directory Service)是
Windows NT Server提供的基本服务之一,NT中的“目录
服务功能”使得网络的管理更加简单,NT中“目录服务”
的目标是“一个用户,一个账户” (One USER One
Account)。在 NT的域管理模式下,域和域之间经过信任关
系的设置,使域中的每一个用户可以使用同一个账户和密
码,在不同的域中登录,并使用其中的资源。
NT的目录服务 (NTDS)建立在一个安全
的目录数据库 (NTDB)下, 根据网络的组织方
式的不同, NT网络中有以下 2种数据库结构 。
1,在, 工作组, 模式下的目录服务功能
2,在, 域, 模式下的目录服务功能
7.3.2 NT网络中, 域, 的基本概念
1.,域, (Domain)的定义
在 Windows NT服务器的目录环境中,,域,
是一个共享目录数据库的计算机和用户的集合,
通过这个共享的目录数据库,可以对域中的账户
、优先权、安全性和网络资源等进行集中管理 。
一个“域”可以包含一个或多个 NT服务器,
而一个 NT网络可以由一个或多个“域”组成。每
个“域”都拥有一台称为主域控制器 (PDC)的计算
机,该计算机应是一台运行 Windows NT Server
4.0的服务器。
“域, 是由许多网络服务器与工作站连接而成
的计算机群组,这个群组的成员可以使用相同的软
硬件配置、系统设定、账户系统与共享资源。使用
域资源的用户,无须一台一台的为各计算机用户建
立账户,并登录到某一域中的某台计算机上,只要
登录到该, 域,,就可以共享该域中所有允许访问
的各种资源。因此,在同一, 域, 上的工作站或服
务器,不论是在近程的较小区域内 (通过传输介质
连接 ),还是在远程的范围内,只要被定义在相同的
域,彼此之间就是有关联的, 伙伴, 了。
2.,域”中计算机的分类
在域中安装 NT-SER的计算机有 3种类型,它们
之间是一种不平等关系。
(1) PDC(主域控制器 )
PDC是一个, 域, 中的主人, 它包括了一个
,域, 的用户和组的所有信息, 以及, 域, 的安全
策略设置, 是域中目录数据库的原始拷贝所在地 。
PDC主要用于创建域用户, 维护域的安全策略, 并
用于验证用户的登录 。 任何关于用户账户, 组账户
信息的改变, 以及安全策略的改变都应该反映到
PDC上才会生效 。 PDC是一个域中安装的第一台计
算机, 需要时, PDC可以降级为 BDC,同时也可提
升 BDC为 PDC。 但任何时刻域中都必须至少有一个
PDC。
(2) BDC(备份域控制器 )
BDC维护着一个, 域, 的用户和组的信息, 并且保存
有, 域, 的安全策略设置的拷贝 。 PDC定期地将目录
数据库的信息拷贝到 BDC上 。 BDC的作用主要是协助
PDC进行登录验证, 分担 PDC的工作, 减轻网络流量
。 当 PDC关机或出了故障时, BDC可以提升成为 PDC
。
(3) 成员服务器 (Member Server)
成员服务器即普通的服务器 。
3,采用, 域, 模式的特点
(1) 集中的账户管理
(2) 资源的集中管理
(3) Profile文件跟随用户而走动
(4) 资源访问非常方便
(5) 加入到一个“域”以后,将会发生 5个变化。
(5) 加入到一个, 域, 以后,将会发生 5个变化。
① 域管理员全局组加入到本地计算机的管理员本地
组,该变化使得域管理员能够远程管理该计算机。
② 域用户的全局组加入到本地计算机的用户本地组
中,使得任何一个合法的域用户能够在域中任何一台
计算机上登录。
③ 在登录对话框中加入了一个“域”选择栏目,使
得用户能选择是登录到域中还是登录到本地计算机中
。
④ 在该计算机上的,Netlogon”服务将会启动,使得
本地系统能通过该服务连接到“域”的 PDC上,查询
上面的目录数据库,并对域用户的身份进行验证。
⑤ 在 PDC上的服务器管理器将自动加入该计算机账
户,使得域管理员在 PDC一点上就能远程管理该计算
机。
7.3.3 NT网络中, 工作组, 的概念
1.,工作组, (Workgroup)的定义
工作组是一组由网络连接而成的计算机群
组。在 Windows NT中用户也可以将网络组织
成“工作组”的方式,它们的资源和管理分散
在网络中的各个计算机上,与域中的集中式管
理方式截然不同。
2,采用, 工作组, 模式的特点
① 工作组中的所有计算机之间是一种平等的关系,
没有主从之分。
② 工作组模式下资源和账户的管理是分散的。每个
计算机上的管理员能够完全实现对自己计算机上的资源与
账户的管理。
③,人机不分开”,每台计算机上都有一套目录数
据库,用以验证在自己计算机上所创建的本地用户,一个
用户只能在为他创建了账户的计算机上登录,并由该计算
机上的目录数据库来对他的身份进行验证。
④,配置 (Profile)文件不跟随用户走”,因此,工
作组模式下,计算机的管理员不能给用户分配一个基
于服务器的配置 (Profile)文件,而只能在该用户第一次
登录到系统时,给他分配一个用户缺省的配置文件,
该文件存储在本地计算机上,并对该用户的工作环境
进行配置。如果用户到另一台计算机上登录,则在该
计算机上生成一个新的本地配置 (profile)文件。因此,
不经用户的特殊设置,不会拥有相同的工作环境。
⑤ 在工作组模式下,可以通过以下途径实现资源
的互相访问。
工作组的模式的缺点是,当用户账户数量较大时,
管理工作量较大、管理不方便。并且不能进行资源和
账户的集中管理。
7.3.4 用户账户 (USER Account)
当某一用户需要登录上网时, 必须向管理员申
请一个用户的账户, 而后每次上网登录时, 须首先
键入账户, 再键入密码 (如果设置了的话 ),经验证
合格后, 才可以进入网络 。
7.3.5 用户权限 (USER Right)
在域系统中, 用户存取数据与使用共享资源必
须依据所拥有的权限来进行, 这样, 才能够保障系
统的安全性 。 每一个用户都必须获得域管理者授予
的操作权限, 才能以此权限存取数据或使用共享资
源 。
7.3.6 信任 (委托 )关系 (Trust Relationships)
① 用户应该知道什么是, 信任关系,,我们说的信任
关系指的是资源域 (所使用的资源范围 )和账户域的关系。
② 用户应了解如何在 NT的两个域中使用, 信任关系,,
并清楚建立信任关系之后对两个, 域, 所带来的影响 。
1,信任关系的基本概念
在 NT网络中,通过使用信任关系来建立两个, 域, 之
间的通信连接关系。这种连接建立后,其中一个, 域, 就赋
予另一个域中的用户以特权,同时允许他们对自己域中的资
源进行访问。如果设置正确,当网络中各, 域, 之间建立了
适当的信任关系之后,用户只要拥有一个账户名称,即可访
问整个网络。网络上的所有计算机都可识别这个用户账户。
用户登录时只需提供一个账户名称及相应的口令,就可以访
问网络上的所有计算机。
2,单向信任关系
3,双向信任关系
4,信任关系不具备转移性 (Non-Transitive)
5,信任关系中的传递验证
传递验证使得用户能够登录到网络中的那些
他不具备账户的计算机上或域中 。 用户通过传递
验证以及域和域之间建立的信任关系, 可以只在
某一个域中拥有一个账户就能访问整个网络 。
7.3.7,域, 的组织模式的选择与设计
1.,单域, 模型 (Single Domain Model)
(1) 适用范围
小型工作室, 小型企业, 小型单位以及学校计算机
实验室内的简单网络系统使用单位 。
(2),单域, 模型特点
Windows NT 目录服务, 单域, 模型将所有账户和
资源放在同一个管理单元中,使得, 一个用户,一个账
号, 的概念和目标得以实现。在, 单域, 模式下,所有
用户账户和全局组都在同一个域中,无需使用信任关系
,这种模型非常简单,对于那些用户数量不多 (一般可
支持 26000个用户账号,至于准确的数目应根据域中的
服务器数目和硬件配置的情况酌情而定 ),并且希望账
户和资源集中管理的公司,,单域, 模型是最佳选择。
2.,单主域, 模型 (Single Master Domain Model)
(1) 适用范围
,单主域, 模型适合于网络用户不多,但是由于组
织规划的原因,需将网络分割成多个域的场合。此模式
同时提供了账户的集中管理与组织的功能。
(2),单主域”模型特点
在, 单主域, 模式下,NT的目录数据库通过信任
关系来实现域之间的无缝连接,使得, 一个用户,一个
账号, 的目标在多个域环境下也能实现 。
在, 单主域, 模型中,至少有两个域,每个
域都有自己的域控制器。但所有的用户账户和全
局组的信息都保存在主域的域控制器上。, 主域
” 又叫做账户域,也是被信任域,所有其他的域
都信任主域。这是由于所有的用户账号都建立在
,主域, 中,因此其他域必须信任, 主域, 。其
他的域都叫做, 资源域, 。在此模型中,能够实
现账户的集中管理,但资源的管理却是分散的。
3.,多主域”模型 (Multiple Master Domain Model)
(1)适用范围
这种模式由多个“主域”组成,同时所有的
用户账号分别建立在这些“主域”之中,并且每
个用户在整个网络上只需要一个账号,不需要在
每个“主域”上都建立一个账号。
例如,大型企业、跨国公司以及国家部门
等使用单位。
(2),多主域”模型特点
“多主域”模型是“单主域”模型的一个扩展,如果信
任关系建立得当,用户也能通过传递验证,使用一个账号
和密码从任何一个域中登录。
在“多主域”模型中,每一个“主域”都通过双向信任
关系和其他“主域”建立连接。每一个资源域都信任“主
域”,但并不信任其他资源域。对一个要求有多个管理单
元的跨国大公司,“多主域”模型是最佳选择,在每个管
理单元中,管理员都能完全控制自己的账户。对于组账户
的管理,“多主域”模型和“单主域”模型完全相同,只
不过需要在每个“主域”上都创建全局组。
4,完全信任域模型
完全信任域模型是 NT目录服务结构中最复
杂的一种,因为它需要维护很多信任关系。在该
模型下,每一个“域”都信任其他“域”,并且
其他“域”也都信任该“域”。
因此,n个域组成的完全信任域,要管理 (n-
1)× n个信任关系。如果希望用户和资源的管理
是分散在每一个不同的部门而不是集中在一起的
,则采用完全信任域模型较好。
7.3.8 Windows NT如何识别域
网络用户是利用域的名称来访问域的 。 但是在 NT内部
却是用域的安全标识符 (Security Identifier,SID)来确定一个
域 。 域的 SID是在安装 PDC与 BDC的过程中产生的, 它是个
唯一的号码, 不会与其他域的 SID重复 。
在 PDC和 BDC中, 域名和域的 SID是不等价的 。 一个域的域
名可变, 但域的 SID不可变, 域名变化后, 新的域名将和原
有的 SID相结合 。 正是由于域 SID的唯一性, 因此, 不经重新
安装 PDC和 BDC,则不能改变其 SID,也就是说不能将一个
域的 PDC迁移到另一个域, 并取代那个域中的 PDC。 而普通
的 Server和 Workstation也拥有自己的 SID,这个, SID”是指
计算机的 SID,因此只用来标识一台计算机 。 所以, 它们可
以不必重新安装, 就从一个域迁移到另一个域中 。
7.4 文件系统选择
7.4.1 FAT和 NTFS文件系统
在传统的 DOS和 Windows 95操作系统中,目
录和文件的磁盘分区记录都是经过文件分配表
FAT(File Allocation Table)统一管理、分配和控制
的。因此,一般提到 FAT时,就是指 DOS的
FAT16文件系统格式。而 Windows 98操作系统采
用 FAT32文件系统格式。
Windows NT也是一种操作系统的软件,它
的文件系统格式为 NTFS(NT File System)格式。
① 在 NTFS文件系统中, 用来记录文件信息的
MFT(Master File Table)会自动存储备份 。 因此,
当磁盘发生故障时, 可以使用备份文件恢复文件的
配置信息 。
② 在 NT中无磁盘空间的限制为:使用 FAT时,
文件和分区的最大值为 232字节 (4GB);使用 NTFS
时, 文件和分区的最大理论值为 264字节 (16EB),
但是受到硬件和其他因素的限制, 实际中达不到上
述标准 。
③ 支持长文件名称 。
④ 支持文件级的权限设置 。
7.4.2 选择文件系统应当考虑的因素
1,从安全性考虑
① NTFS文件格式完全支持 Windows NT的安
全机制,因此,若希望对文件和目录进行权限管理
时应选择 NTFS文件格式,FAT不具备这种功能。
② 若希望只对文件和目录进行共享级的访问,
可选择 FAT文件格式。
2,从连通性考虑
① 若希望支持 Macintosh(苹果机 )服务, 可选择
NTFS文件格式 。
② 若希望支持 NetWare Server服务 (Novell),可
选择 NTFS文件格式 。
3,从访问文件的类型考虑
① 若希望只在 Windows NT启动时访问文件,可选
择 NTFS文件格式。
② 若希望访问 DOS,OS2或 Windows 95/98/Me文件
,可选择 FAT文件格式。
4,从硬件平台考虑
若是 RISC机型, 系统分区至少是 2GB的 FAT分区 。
5,从多引导和兼容性考虑
① NTFS文件系统仅能用于 Windows
NT/2000。当运行其他操作系统 (MS-DOS或
OS/2)时,该操作系统将无法访问同一计算机上
位于 NTFS分区上的文件。另外,NTFS系统无法
与 MS-DOS在同一分区上实现数据共享。
② 使用 FAT文件下则可以解决上述两个问
题。因此,若希望 NT与 DOS,Windows
95/98/Me等多引导,并保留原有的一些软件时,
则应使用 FAT分区作为系统分区。
6,文件压缩
① NTFS文件系统支持每个文件的灵活的压缩格
式。
② FAT文件系统不支持文件压缩。
7,从活动日志考虑
① NTFS文件系统中保留活动日志
② FAT文件系统中则不保留活动日志
7.5 安装和配置 Windows NT网络
7.5.1 Windows NT Server 与 Windows NT
Workstation的区别
Windows NT 4.0有两种版本, 一种是服务器
(Server),一种是工作站 (Workstation),这两种
版本都是 32位操作系统, 网络功能也都很完善 。
前者主要用于网络上的服务器, 其中包括文件服
务器, 打印服务器和 NT网络的主域控制器等;
而后者则主要服务于高级个人计算机操作系统,
或者是用来组建简单的对等网 。
7.5.2 选择 Windows NT Server的服务器和工
作站
1,局域网计算机硬件的基本要求
2,检查拟安装的 NT服务器和工作站的硬件
3,NT局域网常见工作站
7.5.3 网络适配器的连接和设置
1,安装网卡驱动程序
2,设置和检测网卡 (NIC)
(1) IRQ(Interrupt Request)硬件的中断请
求
不能和本机上的其他硬件使用的 IRQ冲突,否
则会引起网卡不能正常工作,网络不通。
(2) I/O地址 (I/O Address)
不能和本机上的其他硬件冲突, 否则会引起网卡
不能正常工作, 网络不通 。
(3) 网卡上的 BOOT ROM地址
请注意不要使用与其他设备相同的地址, 否则
BOOT ROM无法正常工作 。
(4) DMA(直接存取存储器 )
设置网卡上的 DMA CHANNEL,如果网卡上没
有用 DMA,则不需要设置。
7.5.4 Windows NT安装方式的选择及安装前的准备
1,NT网络的最低硬件要求
2,NT网络的安装方式
(1) 软盘 -光盘安装
(2) 硬盘 -光盘安装
(3) 硬盘直接安装
(4) 光盘 (CD-ROM)直接安装
(5) 网络安装
(6) 硬盘克隆安装
3,安装网络安装 NT前的准备工作
① 用户的姓名和所在公司名称 。
② 计算机名 (例如, ZDH01)。
③ 语言 (地区 )和时区 。
④ 选择网络适配器型号。
⑤ 网络适配器参数设定。
⑥ 选定网络协议。
⑦ 配置 TCP/IP协议。
⑧ 用户计算机在域中的作用 。
⑨ 域名。
⑩ 管理员的口令。
4,安装环境的选择
5,硬盘格式的选择
7.5.5 Windows NT安装的基本操作
7.5.5.1 Windows NT常用的安装命令, 方式和安装注
意事项
1,Windows NT安装方式
2,安装 Windows NT对硬盘分区的要求
3,安装 Windows NT过程中的注意事项
4,安装命令的选择
7.5.5.2 启动 Windows NT Server安装程序
7.5.5.3 Windows NT Server 4.0的安装过程
(1) 选择安装类型
(2) 键入如下计算机和用户信息
(3) 选择服务器类型
(4) 设置系统管理员密码
(5) 制作系统紧急恢复磁盘
(6) 选择安装网络组件
2,安装其他外部设备
① 显示卡 (如果驱动程序不支持用户的显示卡, 应根据
厂家提供的说明安装 )。
② CD-ROM,只读光盘驱动器和刻录光盘驱动器 。
③ 16或 32位声卡 。
④ MPEG II图像解压缩卡 (选择安装项 )。
⑤ 应对网卡和配置的协议进行检查和配置 。
⑥ 调制解调器 (选择安装项 )。
7.6 管理 Windows NT网络
7.6.1 Windows NT网络管理的具体内容
① 使用管理工具管理 Windows NT网络。
② (*)Windows NT网络用户的组织和管理。
③ (*)网络的配置管理。
④ 文件系统管理。
⑤ (*)数据保护和系统恢复。
⑥ 服务管理。
⑦ 安全管理。
⑧ 使用命令行进行管理。
⑨ (*)TCP/IP管理。
7.6.2 使用管理工具管理 Windows NT网络
7.6.2.1 管理工具的利器“管理向导”
1,启用, 管理向导, 工具
2.,管理向导, (Administrator Wizard)工具包括的
主要内容 )
3.,管理向导, 的典型应用, 添加用户账号,
7.6.6.2 管理工具“服务器管理器”
(1) 什么是“服务器管理器”
,服务器管理器, 是用来管理域和计算机的工具
窗口。
(2) 使用, 服务器管理器, 的对象
使用, 服务器管理器, 管理域及其服务器时, 必
须以该域的 Administrators,Domain Admins或
Server Operators 组 成 员 的 用 户 账 户 登 录 。
Account Operators组的成员也可以使用, 服务器
管理器,, 但是只有将计算机添加到域的权限,
没有其他权限 。
(3) 启动, 服务器管理器, 的步骤
7.6.3 Windows NT网络的组织与用户的优化管
理
1,进行网络需求调查确定网络中, 域, 的组织模
式
2,Windows NT网络中的访问权限
3,用户和组的基本概念
(1) 组 (group)的概念
“工作组”与“组”的概念不同,前者是指网络中
计算机的一种组织方式,而“组”是在中、大型网络中
为了方便管理,而引入的一种“域”或者“工作组”内
部的管理组织。每一个“域”可以划分为多个方便管理
的组,通常管理员将性质相同的用户分配到同一个组,
并通过对“组”设置权限而达到对用户赋权,从而方便
了系统管理。
利用, 组, 管理用户账号时,需要使用到, 组账号
” 的概念。所谓, 组账号, 就是包含组中所有成员用户
的账号 (即先创建某个, 组,,再添加该组的所有成员账
号 )。使用组账号可以方便和简化管理。赋予, 组, 的权
限和许可,对于组中的所有成员都会生效。
(2) 组的分类
NT中的, 组, 可以分为全局组, 本地组和特
殊组 。
① 全局组 (Global Group)是由本域的域用户
组成的, 它是面向域用户的 。 它之所以被称为全
局组, 是因为全局组不仅能够在创建它的计算机
上使用, 而且还能在域中的任何一台计算机上使
用, 并且还能在跨域中 (在信任域中 )使用 。 但应
注意, 全局组中不能包含其他任何的本地组和全
局组 。
② 本地组 (Local Group)的“本地”指的是
该组仅局限于所在的计算机和目录数据库,组中
的成员是在一个目录数据库中定义的,并且可以
赋予对其资源的访问许可。在一般的 NT工作站和
NT 服务器上创建的本地组仅能在这台计算机上
使用。而在 PDC和 BDC上创建的本地组,能在该
域中的所有域控制器上使用。
③ 特殊组 (Special Group),NT中还包含以下
4个特殊组,Network组,Interactive组、
Everyone组和 Greater Owner组。
(3) 用户、用户账号和用户账号的最小特权原则
① 用户。
② 用户账号和密码。
③ 建立账号的最小特权原则。
4,网络规划
(1) 域和信任关系的规划
(2),组, 和用户账号的规划
① 绘制 NT网络的管理目录, 树,
② 确定 NT网络的管理明细清单
(3) 系统目录权限的规划
7.7 恢复或者修复被损坏的 Windows NT-SER
系统
7.7.1 利用, 上一次的正确系统配置, 的环境恢复
NT系统
7.7.2 利用, 紧急修复磁盘, 修复被损坏的 NT系统
7.7.3 利用, NT启动磁盘, 修复被损坏的 NT系统