在Windows NT Server 4.0中文版中,域用户管理器(User Manager for Domains)是用来建立与管理域中用户帐号,组,安全规则(security Policy)等事项的主要工具.因此本章主要在介绍如何使用域用户管理器.

内置的用户帐号

在开始说明"域用户管理器"的功能之前,先介绍内置帐号与使用"域用户管理器"的一些限制.

当Windows NT Server安装完毕后,其自动内置两个帐号:

(1) Administrator

它就是系统管理员,拥有最高的权限,你可以用它来管理windows NT Server的资源与域的帐号数据库.注意Administrator并不会自动具有windows NT Server上所有的目录与文件拥有访问权限.Administrator帐号名称可以更改,但是无法将它删除,例如你嫌Administrator字太长,可以将其改为Admin.

(2)Guest

Guest帐号是供来宾临时使用而设置的帐号,例如供偶尔使用或者仅使用一次的用户登录,它只有少部分的权限.你可以更改此帐号的名称,但是无法将它删除.此帐号缺省是未开放的(Disab1e),如果要使用,请将它开放(Enab1e).

如果你在安装Windows NT Server 4.0 中文版时,顺便安装了Internet Information Server(IIS),则会另外添加一个帐号IUSR-ComputerName,其中computerName为该计算机的名称,这个帐号是所谓的1nternet的Guest帐号.

并非所有的用户都可以使用"域用户管理器",而是有所限制的,如果你是:

(1) Administrator系统管理员或Administrators本地组的一员

(2) Account Operators

该帐号操作员可使用"域用户管理器"的大部分功能,但是在某些功能上有所限制,例如无法设置安全规则等.

(3)一般用户

那么,你除了可以添加本地组,管理你所建立的本地组外,无法做其他任何的修改.

1.2 管理用户帐号

添加用户帐号

NT server中,一个帐号中包含了用户的名称,密码,所属的组以及网络上资源的访问权限设置等数据,如下表所示.

当添加一个用户帐号后, NT Server自动给予一个安全标识码SID,这是一个唯一的号码,不会重复.事实上,在NT Server域内部,它是利用SID来决定用户的权限.

SID是不会被重复使用的,即使你将帐号删除,其SID仍然会被保留住.因此当你在删除一个帐号后,即使再添加一个与其相同名称的帐号,它也不会拥有原来该帐号的权限设置,因为它们的SID不同.对Windows NT而言,它们是不相同的帐号.

表 用户帐号中所含的部分数据

项 目 说 明

用户名(Username) 是用户用来登录域的名字

用户全称(Full Name) 用户的全称,例如用户名称为TAI,而全称为"David TAI"

用户密码(Password) 用户用来登录域的密码

隶属组(group) 用户属于哪一个组

用户环境配置文件(Profile) 设置与记录用户登录域时的工作配置文件,例如包含哪

些程序组,屏幕的颜色,网络的连接状况等设置

可在哪些时间登录(Logon Hours) 设置用户只有在允许的时间中,才可登录域

可从哪些工作站登录 限制用户只能够在某些工作站上登录域,

帐号有效日期(Expiration Date) 在有效日期过后,用户就无法登录域

登录命令文件(Logon Script) 设置用户在登录域时,自动运行的文件

主目录(Home Directory) 设置用户登录域后的起始工作目录

拨入(Dialin) 设置用户是否可以通过拨号的方式连上NT网络

a.添加用户帐号的步骤如下所示:

利用"开始一程序～管理工具一域用户管理器一用户一新用户"命令添加用户.

b. 用户帐号的类型

.全局帐号

全局帐号是缺省的设置,同时大都数的用户是全局帐号.这个帐号不但可以在其所属域中使用,也可以在被其信任的域中使用.

.本地帐号

如果你的网络中除了NT外,还有其他的网络操作系统,例如Novell 等,那么这些网络操作系统与NT server之间,可通过本地帐号作为通信的桥梁.

本地帐号只能在建立该帐号的域中使用,而不可以在其他的域中使用,即使它被其他的域所信任,也不可以在信任域中使用.此外,本地帐号也无法从本域中(建立此帐号的域)的计算机登录.除这些差异之外,本地帐号与全局帐号类似,例如可通过网络访问Windows NT的资源,可被包含在本地或全局组中,可被赋予文件的访问权限等.

复制,修改,删除

一旦新用户帐号建立后,你可以根据需要复制,修改或删除用户帐号.

1.3 利用组管理用户

(1)内置的组

Windows NT Server内含多个己建立好的组,包含本地组,全局组与一些特殊的组.内置的本地组包含以下数种:

.Administators

隶属于此Administrators本地组中的用户都是系统管理员,它们拥有对域或Windows NT计算机最大的控制权.内置的系统管理员Administrator就是该本地组的成员,而且无法将它删除.

· Server Operators

Server Operators只存在于执行 NT Server的PDC或BDC中.它拥有管理PC与BDC的权限.

·Account Operators

Account Operators本地组只存在于执行NT Server的PDC或BDC中,Windows NT workstation与一般的 NT服务器则无此组.

Account Operators的组员,可以利用"域用户管理器"添加用户帐号与组;修改或,删除大部分的用户帐号与组.它无法修改或删除Administrators,Domain Admin,Account Operators,Backup operators,Printer Operators或Server Operators等组;

也无法修改或删除隶属于Administrators组的用户帐号内容;无法管理安全规则(Security Policies).

.Printer Operators

Printer Operators只存在于执行 Server的PDC或BDC中.

此组的组员可以建立,停止或管理 NT server上的共享打印机(Printer Share).Printer Operators 也可以登录这些服务器,并将它关闭(shutdown).

.Backup Operators

Backup Operators本地组的组员,可以备份与还原服务器中的目录与文件.他们也可以登录这些服务器,并将它关闭(Shutdown).

.Users

Users本地组的组员,在NT server上只拥有最少的访问权限.而NT Workstation 的Users组员,则在NT workstation上享有稍多的权限.

.Guests

Guests本地组只是供临时登录所需,其组员仅被赋予非常少的权限.例如在 NT Server上没有任何权限,但是在个别的工作站上则享有某些权限.内置的用户帐号Guest就是隶属于Guests组.

.Replicator

此组的主要目的是在进行目录复制的操作.

(2)PDC与BDC的计算机中,缺省的全局组

.Domain Admins

Domain Admins全局组也是具有系统管理员权限的组,在Windows NT Server安装完成后,此组内只包含着Administrator帐号.Domain Admins也隶属于Administrators本地组.

如果你添加具有系统管理员权限的帐号时,为了以后管理方便起见,最好将其加入Domain Admins全局组,而不要直接将其加入Administrators本地组中.因为Domain Admins全局组还可以加入到其他的本地组中,而Administrators本地组则无法再被加入到其他组中.

.Domain Users

所有的域用户都是此Domain Users全局组的组员,此组也隶属于User本地组.

.Domain Guest

此组中包含着用户帐号Guest.

(3) 特殊组

缺省的特殊组如下所示:

.INTERACTIVE

任何在本机登录的用户(Anyone using the computer local1y).

.NETWORK

任何通过网络连接的用户.

.SYSTEM

指操作系统本身.

.CREATOR OWNER

目录,文件或打印工作的建立者/所有者.

.EVERYONE

任何使用计算机的人员.事实上, EVERYONE并不是一个组,在"域用户管理器" 的组列表中也没有它,但是你可以对它设置权限与访问权限.

1.4安全规则的管理

在"域用户管理器"中,系统管理员可以管理以下三种安全规则:帐号规则,用户权限规则及审核规则.

(1)帐号规则(Account Policy)

它是用来管理所有与用户帐号,密码有关的事项,例如密码的期限,登录错误几次后就将帐号锁定等.

(2)用户权限规则(User Rights Policy)

它是用来给用户与组指派权限,例如哪些用户可以通过网络登录,哪些用户可以直接登录本机等.

.从网络访问此计算机

允许用户通过网络访问此计算机.

.域中添加工作站

允许用户将windows NT计算机加入到域中.NT计算机必须加 Windows NT域后,才可访问域中的资源.

.备份文件和目录

允许用户备份文件和目录.此项权利的优先级高于文件和目录的访问权限.

.更改系统时间

允许用户设置计算机内部的系统时间.

.从远端系统强制关机

到目前为止,这项由远程遥控将本地NT计算机关闭(shutdown)的功能尚未设计完成,但是未来的版本将会支持此功能.

.装载和卸载设备驱动程序

允许用户灵活地装载和卸载设备驱动程序.

.在本机登录

允许用户利用这台计算机登录(1ogon 1ocal1y).请比较从网络访问此计算机"权限.

.管理审核和安全日志

允许用户指定要审核的事件,也允许用户查询与清除安全记录.

.还原文件和目录

允许用户还原所备份的文件和目录.此项权利的优先级高于文件和目录的访问权限.

.关闭系统

.取得文件或其他对象的所有权

(3)审核规则(Audit Policy)

设置是否对某些错误事项,进行审核记录的操作. NT共支持三种事件日志(Event Log)以追踪与记录系统,用户,应用程序的活动状况,它们是:"安全日志","系统日志"以及"应用程序日志",你可以利用"管理工具一事件查看器"查看这些日志.其中安全事件的审核设置,则是利用"审核规则"来完成.

文件系统的管理

介绍NT的文件系统, 以及如何有效地实现和管理运行.

NT支持不同的文件系统:

FAT(File Allocation table): NT ,Win95,MS-DOS, OS/2

NTFS(Windows NT File system): NT

CD-ROM File system: NT,Win95

2.1 FAT

FAT文件系统是MS-DOS文件系统的增强版本,Win95和MS-DOS都需要它,如果要MS- DOS,Win95,NT 同时存在,系统分区必须格式FAT 文件系统.

FAT命名约定

支持长文件名,在NT 中 FAT增强支持长文件,在FAT 分区上命名文件, 要遵守下列规则:

.名字长可达255个字符,包含全路径,但不包含xxx扩展名.

.名字的开头可以是字母或数字除了任何字符.

.名字不包含多个容格.

.名字不包含多个名号,最后一个句号的后向字符是作为扩展名.

.名字不区分大小写,但保留大小写.

FAT security

去保护FAT分区,不受本地文件或目录安全特点保护.

(3) FAT特点及选择时考虑

特点: 支持长文件名,可达255 选择时考虑

无本地安全性 FAT开销时,小于

文件和分区最大4GB 在400MB分区使用者文件多无效

2.2 Windows NT File system (NTFS)

支持长文件名:255 可大小写敏感

安全 可靠: 可恢复的文件系统 ,支持NT安全模式,可如配置文件和文件夹的权限NTFS文件和分区的大小:支持大分区和大文件,理论上可达16EB. 在通常硬件上最大的文件大小从4GB到64GB.

最大分区:2TB,推荐的最小分区50M

支持文件压缩:Text:减少50%,执行文件:减少40%.

2.3 NTFS 实现的考虑

NTFS中设计了恢复能力,不能在NTFS分区上运行磁盘恢复Utility.

NTFS提供文件和目录上的安全性,但没有提供文件加密.

NTFS为每个用户保存了一个分离回收 .

不能在软盘上格式化NTFS, NTFS开销大.

大大减少了碎片.

2.4 文件系统对比.

(1)FAT和NTFS的基本特征的对比

FAT NTFS

文件名和文件夹长度 255字符 255

文件大小 4GB 4GB-64GB(实际)

16EB (理论上)

分区大小 4GB 2TB (实际)

16EB(理论上)

属性 和隐含只读,档案系统 极大扩展

可访问的OS NT Win95 MS-DOS OS/2 NT

内置安全性 无 有

支持文件压缩 无 有

(2)FAT与NTFS优缺点

优点 缺点

FAT 低开销,适合400MB内分区 无文件,文件夹权限,

不适合大分区,性能下降

NTFS 安全可靠,适合大分区,大文件 开销大(1-125),不适合

小分区(400MB以下)

2.5 转换到 NTFS

可以将FAT转换成NTFS,使用convert.exe命令,

转换是单向的,转换与格式化不同

2.6 目录与文件权限的设置

(1)共享目录的概念

在NT Server所提供的服务中,如何让用户能够访问目录与文件,是其中相当重要的功能之一,而其最重要的概念就是所谓的—共享目录.当将Server上的目录设为共享目录后,用户就能够由工作站与此共享目录连接,并访问其中的文件与目录.

下面列出与共享目录有关的重要事项:

· 添加共享目录时,你必须给它一个"共享名称(sharename)",它可以与目录名称同名,也可以不同.网络上的用户可利用该名称访问共享目录,一般我们将共享目录简称为Share.

· 添加共享目录时,可以同时设置用户对此Share的使用权限,也就是Share Permission,缺省为所有用户对此共享目录都具有"完全控制"的权限,也就是拥有所有的权限.

·Share使用权限的设置只对通过网络访问的用户有效.如果用户从本机登录,则不受此权限的约束.

·如果共享目录位于NTFS文件系统的分区中,那么你还可以针对共享目录中的个别目录或文件设置其使用权限,也就是所谓的Local使用权限.但是如果为FAT文件系统,则无法个别设置目录与文件的使用权限.

·由以上两点可知,如果文件系统为FAT,因为:

..无法个别设置目录与文件的Local使用权限

..从本机登录(Logon Local1y)时,不受share使用权限的约束

因此用户从本机登录后,就不会受任何权限的限制.解决此问题的

方法,就是限制该用户登录本机(从本机登录).

· 用户对Share中的目录与文件的最终权限,是取Share与Local使用权限两者中最严格Most Restrictive)的设置.例如上图中,假设你先设置张三对Word目录具有完全控制的权限,然后添加share APP,并设置张三对此Share使用权限为只有读取的权限,则张三对Word只有读取的权限.

· 为了简化网络管理的工作,请将添加的Share使用权限设为"完全控制",因此用户最终的使用权限就是由Local使用权限来决定.

· 如果你未对share中的文件与子目录另外设置使用权限,则缺省情况下其具有与该share相同的权限.

· 除了可以设置用户与一般组的使用权限外,你还可以设置特殊组的使用权限,例如Everyone,SYSTEM,NETWORK,INTERACTIVE,CREATE OWNER.

· Share权限的设置是具有累加性的,例如:

·A组对Share App具有读取的权限

·特殊组Everyone对Share App具有运行的权限

·特殊组NETWORK对Share APP具有写入的权限

·用户甲对Share APP具有删除的权限

如果用户甲隶属于A组,同时甲是通过网络访问Share APP(也就是甲也隶属于NETWORK组),又因为每一个用户都隶属于Everyone,因此甲对此Share App同时具有读取,运行,写入以及删除的权限,也就是甲最终的权限是其拥有权限的总和.

(3)Share,目录与文件的使用权限

在Windows NT中,你可以设置以下三种使用权限:

· Share使用权限(share Permission)

也就是共享目录的使用权限,它可以在添加共享目录时设置.

· 目录的使用权限(Directory Permission)

你可以利用它设置共享目录中的子目录的使用权限.

· 文件的使用权限(File Permission)

你可以利用它设置共享目录中的文件的使用权限.

在设置Share的使用权限后,如果未再另外设置share中的目录,文件

的使用权限(也就是Local使用权限),则这些目录,文件的使用权限与Share的使用权限相同.

管理硬盘

3.1 硬盘的分区

在硬盘能被格式化成一种系统之前,必须先分区,分区是将硬盘划分成逻辑单元,每个可分别格式化使用,NT 支持几种分区包括:基本,扩展分区,卷集组及带区组(Volume sets和stripe sets).

3.2基本和扩展分区

分区是创建在空间的硬盘空间上的,空间可分为两种类型的分区:基本和扩展,多个基本分区和一个扩展分区能同时共存在一个硬盘上,一个硬盘上最多只有4个分区.

· 基本分区

基本分区是物理硬盘中的部分,它可以被标记为活动并且被系统用来启动计算机,每个盘上最多可有4个基本分区, 能再划分为子分区,多个基本分区可分离不同的OS数据型.

· 扩展分区

为了避免4个分区的限制,使一个物理硬盘配置为多于4个逻辑卷,可使用扩展分区的方法.扩展分区和基本分区一样,只是一物理盘中只能有一个扩展分区,可分成多个段segments每个段对应一个逻辑盘.

· 系统和引导分区(system and boot pations)

NT的system分区必须是基本分区, boot分区可是基本分区或扩展分区的逻辑盘.

3.3 Volume sets

卷是系统将其作为一个独立实体向的空间,有一个盘符与之对应.卷集可是一个分区或是不同盘上的空间的集合,它可使不同的小的空间会并成一个大空间它对应一个逻辑盘.

通过合并2-32 在一个或多个物理盘上的未格式的空间来,创建一个卷集,这些空间组成一个大的逻辑卷集,被作为一个分区对待.

volume sets 可被格式化成FAT和NTFS, NT的System和BOOT分区是不能放到Volume sets中的.Volume sets不提供住容错,因为没有数据冗余.

50M 80M

3.4 stripe sets 带区组

带区组与卷集类似,组合未格式化的自由空间到一个大的逻辑驱动器中,不同的是卷集可用单驱动器实现,而驱动器至少需要两个物理驱动器,到多可使用32个驱动器.

带区组与卷集的比较: 带区组 卷组

可在一个物理驱动器上创建 NO YES

可包含系统和旨导分区 NO NO

可组合最大区载数 32 32

可组合的区域划大小相同 YES NO

可组合不同类型驱动域如(SCS) YES YES

是否在装满一个驱动器展开 NO YES

始装入另一个物理驱动器

是否找 I/0性能 YES NO

3.5 使用 Disk Administer

Disk Administrator是管理硬盘的图形的工具,使用安全可以创建,格式化分区,创建,删除扩充卷集和第区组,当Disk Administrator (DM)第一次运行安就会显示信息,需要提供32位的标识不能DM管理,如果目标管理硬盘到什么地方都识到它格式化.

第四章 容错的管理

容错是计算机或OS在系统出现灾难性事件,如:掉电或硬件出错时系统能继续正常工作,不丢失数据.

Windows NT Server使用RAID(Redundant Arrays of Inexpensive Disks)来提供容错的功能,使数据能得到保护和恢复.

4.1 RAID Systems

RAID 通过数据冗余来实现容错,这里介绍NT支持的RAID级别,它分别提供不同的容错方法.

(1) RAID Levels (是标准的容错技术)

RAID容错分成五个级别,每个级别提供的性能,可靠性及开销都是不同的.NT sever RAID 级别1和5,2,3,4是RAID发展中形成的级别,NT不支持.

NT 采用软件的方式实现RAID

RAID容错即能通过软件也能通过硬件方法来实现,NT Server RAID是采用软件方法实现的,它通过Disk Administrator 来实现.

RAID的容错也能通过硬件来实现,一些制造商使用盘阵列控制卡直接在硬件上实现RAID5.这种方法是制造商专用的, 能提供更高的性能.此外,有些硬件还能干热插找替换,而不需关机.

使用硬件RAID费用高,并且要受硬件制造商的限制.

RAID1:盘镜像

RAID2:具有ECC(over-correction code)错误验证的盘带

RAID3:带奇偶校验证的ECC的盘带

RAID4:Disk striping large blocks parity stored on one drive

RAID5:Disk striping with parity distributed a cross multiple drives

4.2 RAID1:Disk mirroring

NT实现Disk镜像和双是和用NT 的容错driver(Fdisk.sys)为来实现的

(1) 磁盘镜像

是指服务器同一块控制卡上带有一对磁盘,这些磁盘上分区间实现数据双重备份.

(2) 磁盘双工

是指两块或多块控制卡分别有磁盘,这此磁盘分区间实现数据双重备份.

镜像或双工后,镜像对或者组构成单一逻辑分区,如果构成该逻辑分区的物理磁盘之一出现问题,则系统会自动存取没有故障的物理分区上的数据,而不会中断服务.如果两个盘都出现问题,就没有办法了.

(3) 磁盘镜像和双工不同之处

镜像是指两个或多个分区连到同一个磁盘通道上,它只能防止盘出错.

双工是指两个或多个分区连到不同的磁盘通道上,能防止盘和磁盘通道出错.

NT是支持双工的,只要硬件允许的话.(包括系统分区和引导分区都可镜像).

4.3 RAID5:Disk striping with parity

RAID5 是在一个带区组中增加了奇偶的信息,RAID5是当前最流行的容错方法.

带奇偶校证的带区组少要有3个盘,最多到32个硬盘.每个带区(每行)都有一个奇偶校验块,当硬盘出错时,使用它来重组数据,奇偶校验来重新生成数据.

读数据要比镜像快(出错时要慢,要奇偶校验)写操作要慢,除boot和system分区外,都可是带有奇偶校验的带区组.

4.4 RAID 1 VS RAID5

磁盘镜像 带奇偶校验的第区组

磁盘镜像 striping with parity

支持FAT和NTFS 支持FAT NTFS

能镜像系统或Boot引导分区 不能包含系统和引导分区

需两个硬盘 至少需3个硬盘

盘利用率只有50% 盘利用率高(4个盘)25%

具有需要少 需要较多的内存:用于计算机party

可支持到32个硬盘