|
|
MSI(Microsoft Software Installer,微软软件安装器)文件是能够实现网络发布的文件类型之一,假设现在要为每台域成员计算机均安装“微软拼音输入法2003”,则用户要把“微软拼音输入法2003”的MSI安装文件MSPY.msi放入域中的共享文件夹“分发软件”中,并保证所有域用户均有访问该文件夹的权限。
发布MSI软件包的步骤如下所述。
第1步,打开“Active Directory 用户和计算机”控制台窗口。用鼠标右键单击域名,选择“属性”命令,如图20100414248所示。
 图20100414248 单击“属性”命令第2步,在打开的Jinshouzhi.com.cn属性对话框中单击“组策略”选项卡,然后在“组策略”选项卡中单击“新建”按钮新建一条组策略MSPY2003,如图20100414249所示。
 图20100414249 新建组策略第3步,保持MSPY2003策略的选中状态,单击“编辑”按钮打开“组策略编辑器”控制台窗口。在左窗格中依次展开“计算机设置”→“软件设置”目录,然后右键单击“软件安装”选项,在弹出的快捷菜单中选择“新建”→“程序包”命令,如图20100414250所示。
 图20100414250 创建一个新软件安装包小提示:在“计算机配置”和“用户配置”里都有“软件安装”选项,均用于在域内部署软件。如果软件要部署到域中的计算机中,就在“计算机配置”里定义;如果软件要部署给域中的用户,则应该在“用户配置”里定义。
第4步,在“打开”对话框中通过“网上邻居”找到事先存储在域共享文件夹中的MSI安装文件MSPY.MSI,并单击“打开”按钮,如图20100414251所示。
 图20100414251 选中MSI文件第5步,打开“部署软件”对话框,选中“已发布”单选钮,并单击“确定”按钮,如图20100414252所示。
 图20100414252 单击“已发布”单选钮小提示:Windows Installer提供“发布”和“指派”两种软件部署方式。“发布”方式不会自动为域内客户安装软件,而是把安装选项放到客户机的“添加或删除程序”中,供用户在需要的时候自主选择安装;“指派”方式则直接把软件安装到域用户的开始菜单程序组中。
第6步,返回“组策略编辑器”窗口,可以在右窗格中看到已经发布的软件名称,如图20100414253所示。
 图20100414253 成功发布软件 |
朋友公司的网线早在几年前装修时就已经布好了,布线也相当规范,每个房间都拉了两根线,以作备份,所有的线都由机柜引出来,在机柜中接在配线架上,房间中则全部做在模块里,现在是只差一台交换机,所有计算机就可以联网了(在这之前,只有某个安全部门实现了几台机器联网),但由于一些原因,直到现在才准备使用,于是我叫他提出要求,然后我再根据要求进行网络设计及具体实施。他的要求是:
1, 调度室的一台计算机需要24小时都能上网,而上网服务器只在每天的上午8点到下午6点开机;
2, 可以根据用户、IP等限制客户端上网;
3, 原网络(以后就叫安全网)的某些计算机能够访问新网络(以后就叫办公网)的某些计算机,而办公网不能访问安全网;
4, 网上邻居中大家都能看到;
网络规划于是我根据他的要求和网络的实际情况,作出了如图1所示的网络规划,划分了三个子网,下面先大致解释一下是怎样处理上面提到的要求的,具体实现后面将详细讲述。
1, 为了满足第一个要求,我把ADSL猫先接在一台小交换机上,然后调度室的计算机和上网服务器的外网卡再接在这台交换机上,这样当上网服务器关机后,调度机就可自行拨号上网,而当上网服务器开机后,调度机就断线让它拨号上网,然后再通过上网服务器访问因特网,具体配置后面将讲到。
2, 为了更好控制上网行为,这里将使用ISA Server 2004标准版作上网服务器和防火墙,为了方便管理和以后能够在用户级控制上网,这台ISA服务器也将是一台域控制器,当然不建议大家把ISA装在DC上,这里是没有办法的办法,因为没有多余的计算机;
3, 为了物理隔离安全网与办公网,这里使用了支持VLAN的交换机,原安全网不作变动,直接连接到VLAN交换机的一个端口上,并把这个端口单独定义成一个VLAN,其他的端口属于另一个VLAN,不过这里的网络环境有个特殊情况,由于每个房间只布了两根网线,而这里在ISA的房间中只有一根网线能够接在ISA的机器上,这就有了一个问题,因为这里要划分两个VLAN,那么按传统方法,ISA就必须准备两张网卡,然后分别与各自的VLAN相连,但这里却只有一根网线可用,那一个好的办法就是把ISA这个内网卡所连接的端口划分在两个VLAN中,即说这个端口属于两个VLAN,是两个VLAN的公共通道,这还需要交换机的支持,还好这里的交换机支持,不过这也需要在ISA的内网卡配置两个IP,以对应不同的VLAN,这个windows是支持的,所以不成问题,具体配置后面讲到。安全网与办公网之间如果互访则通过ISA的访问规则进行控制。
4, 因为安全网是另外一个域,也属于另外一个子网,网上邻居需要NetBios的支持,而NetBios的名称解析如果使用广播是不能跨越子网的,所以我们需要架设WINS服务器,这样网上邻居中才能看到两个子网的计算机。
具体实施(一)安装与配置域控制器
为了方便管理,新网络(办公网)192.168.6.0/24将以一个域网络的形式出现,这里首先要做的就是安装一台域控制器,并且这台域控制器也将作为ISA服务器,再次强调一下,不建议你将ISA安装在域控制器上,这里是因为计算机不够用才走的下策。安装的具体步骤我想就必细说了,这里大致提一下(假设已经安装好了windows server 2003):
1,配置网卡
ISA外网卡(请与图1对照):
IP:192.168.5.1/24
网关:无
DNS:无
禁用“TCP/IP上的NetBIOS”,如图2,
ISA内网卡:
第一IP:192.168.6.1/24
第二IP:192.168.0.222/24(如图3)
网关:无
DNS:192.168.6.1
WINS: 192.168.6.1
2,在运行框中输入Dcpromo命令把这台服务器提升为域控制器,在提升过程中的“DNS注册诊断”窗口选择第二项“在这台计算机上安装并配置DNS服务器,并将这台DNS服务器设为计算机的首选DNS服务器”,如图4,大家一定要注意,DNS是域的重要组成部分,没有正确配置的DNS你的域将会出现很多问题!
3,安装完成后打开DNS管理控制台,右击服务器图标,进入其属性窗口,然后切换到转发器标签,添加要转发到的DNS服务器,这里也就是ISP提供的DNS服务器,如图5。这样配置之后客户端进行内部访问(如域登录)时就使用内部的DNS服务,访问因特网时就由此DNS进行转发解析。
4,域控制器安装完成后请将这台服务器也安装成WINS服务器,可以从“添加/删除程序”下“添加删除WINDOWS组件”中选择“网络服务”下的WINS安装。
(二)划分VLAN
要把安全网与办公网从物理上隔开就需要划分VLAN,当你划分了VLAN之后,即使用户把自己的IP改成另一个VLAN子网内的IP,它也是无法访问那个子网内的计算机的。这里把端口24单独设置成一个VLAN,即安全网所连接的端口,其余端口划分为一个VLAN,这里的关键是要把ISA内网卡连接的端口划在两个VLAN中,这里ISA内网卡连接的端口是Port 4,从图6可以看出,我把它划在了两个VLAN中,内网卡第一IP 192.168.6.1对应办公网,第二IP 192.168.0.222对应原来的安全网。
(三)在域控制器上安装ISA Server 2004标准版
ISA Server 2004标准版的安装很简单,《在线技术》以前的文章也已经详细讲过,所以这里只提一下需要注意的地方,就是在进入“内部网络”配置窗口时,请点击添加按钮,在弹出窗口中点击“选择网卡”按钮,然后在新窗口中清除上面一个复选框,选中“基于windows路由表添加地址范围”,在下面的网卡中选择内网卡,也就是你这里配置的内网应该包括192.168.6.0/24和192.168.0.0/24这两个子网,不然后面的通讯会有问题,在ISA server 2004中,不管一块网卡有多少个IP,它们都只能属于一个相同的网络,切记!
(四)配置ISA服务器
默认情况下,当ISA server安装好后,它会阻断所有经过它的网络通信。要让网络之间进行通讯,需要创建相应的规则:网络规则和访问规则,二者缺一不可。
1, 配置拨号首选项
由于这里使用的是ADSL连接,首先需要在ISA管理窗口中为它配置拨号首选项,进入ISA管理窗口,定位到configuration/General下,然后点击右窗格中的specify Dial-up Preferences项,在弹出的窗口中选择allow automatic dialing to this network,然后选择External项,并选中下面的configure this dial-up conncetion as the default gateway,接着在Dial-up connection中选择你创建好的ADSL连接(需要你预先在系统的“网络连接”窗口中使用“新建连接向导”创建好),选择之后在下面的dial-up account栏设置好你ADSL拨号使用的帐户和密码,以便ISA自动拨号,如图7。
2, 配置办公网访问ISA上的域服务(包括WINS服务)
由于ISA服务器同时又是域控制器,所以需要创建相应的访问规则办公网的客户端才能登录域。各项参数如下:
Rule Action:Allow
Protocols:(ISA中的名字)
DNS
kerberos-sec(TCP)
kerberos-sec(UDP)
LDAP
LDAP(UDP)
LDAP(Global catalog)
Microsoft CIFS(TCP)
Netbios Datagram
Netbios Name Service
Netbios Session
NTP(UDP)
RPC(all interfaces)
Access Rule Sources:新建一个subnet,IP范围为192.168.6.0/24,如图8;
Access Rule Destinations:Local Host
User set:All Users
3, 配置办公网上网进行WEB浏览
配置办公网上网与上面一样,只是协议和目标需要改变一下,由于上面已经允许了DNS,所以协议就只需要HTTP和HTTPS协议,Access Rule Destinations变为External即可。
4, 配置安全网访问办公网的文件共享
安全网访问办公网是通过ISA路由的,虽然对ISA来说它们都被定义在一个内网中,但它们之间的通讯仍然要通过ISA(因为有VLAN隔离),所以也要创建相应的访问规则,具体参数如下:
Rule Action:Allow
Protocol: Microsoft CIFS(TCP)
Netbios Datagram
Netbios Name Service
Netbios Session
Access Rule Source:新建一个subnet,IP范围是192.168.0.0/24
Access Rule Destinations:subnet 192.168.6.0/24
user set: All Users
5, 配置调度机上网
从图1可以看出,调度机位于子网192.168.5.0/24中,它不属于内网,它是与ISA外网卡相关联的网络,要让调度机上网,我们需要先创建相应的网络和网络规则,步骤如下:
(1)调度机的IP配置(不加入域)
IP:192.168.5.3/24
网关:192.168.5.1
DNS:221.5.203.98
(2)在ISA上创建调度机所在的网络,方法是右击configuration/networks,选择新建/Network,各项参数如下:
Network type:External network
Network Addresses:192.168.5.0/24
(3)创建此网络与External网络的网络规则,关系为NAT,要访问内网的话,还要创建与内网的网络规则为Route,与本地主机的网络规则默认就为路由,不能再创建。
(4)创建访问规则,各项参数如下:
Rule Action:Allow
Protocols: DNS、HTTP、HTTPS
Access Rule Sources:新建一个computer,IP为192.168.5.3
Access Rule Destinations:External
User set:All Users
(五)配置ISA自动开机和自动关机
配置ISA服务器自动开机,这很简单,因为BIOS支持在某个时间自动开机,比如是每天早上8:00开机,在BIOS中作相应配置就行,BIOS可以设置自动开机,但可惜不能配置自动关机,比如需要每天下午6:00钟自动关机,这时可以下载一个专门的关机软件来实现,比如我这里就是使用的阿达自动关机,它可以配置每天在指定的时间自动关机,具体使用大家一看就知道,这里不再细说。
(六)配置调度机自动拨号和自动断线
ISA的自动拨号前面已经介绍了,现在来看看调度机(192.168.5.3)怎样实现自动拨号和自动断线,我们理想的情况是当ISA关机后调度机就自动拨号上网,而每天早上8点在ISA开机后它又应该自动断开连接,以让ISA拨号,这个我们可以通过系统的内置功能实现,也就是由任务计划和系统的rasdial命令一起来实现,实现自动拨号的步骤如下:
1, 在调度机上运行“任务计划向导”,然后在程序中选择windowssystem32系统目录下的rasdial.exe程序;
2, 然后在下一步定义好运行时间,比如18:01,
3, 接下来输入运行此程序的用户名和密码,通常就是当前登录用户,在最后的完成窗口中选中“在单击完成时,打开此任务的高级属性”,然后我们需要在弹出窗口的运行栏中rasdial.exe命令后加入adsl user password参数,其中的ADSL是你为ADSL连接创建的拨号名,如果不清楚,可以到“开始/设置/网络连接”中找到,user是你ADSL的帐户名,Password就是拨号的密码了,如图9。
与上面实现自动拨号相似,要实现早上8:00钟自动断开连接也可以使用任务计划加rasdial,只是图中rasdial后参数变成adsl /disconnect就行了,这里就不再多说了,自己变动一下即可。
(七)客户端配置
办公网的IP范围是192.168.6.0/24,客户端全部加入ISA所在域CJGG.COM,DNS、网关和Wins都指向ISA的内网卡192.168.6.1。
安全网的IP范围是192.168.0.0/24,属于另外一个域CYCW.COM,所以DNS要指向此域的DNS服务器,然后在这个域的DNS服务器上启用转发,而网关指向192.168.0.222,WINS指向192.168.6.1。这里注意要将此域的域控制器的网关也指向192.168.0.222,WINS也要指向192.168.6.1,这样可以在网上邻居中看到两个子网的计算机列表,不过也只是能够看到列表,要想在网上邻居中访问另一个子网中的计算机,还需要像上面第四部分第4节一样配置相应的访问规则才行。
另外现在朋友的网络都是基于IP地址来限制访问的,还没有基于用户限制,所以客户端现在也没有安装防火墙客户端,而且如果要基于用户来限制的话,由于安全网属于另外一个域(非同一个森林),所以还需要手动建立两个域之间的信任关系才能实现基于用户限制,这又是另外一篇文章的内容了,如果可能,下次再谈吧。
1.WINS实现的是IP地址和计算机名称的映射,DNS实现的是IP地址和域名的映射。
2.WINS作用的范围是某个内部网络,DNS的范围是整个互联网。
简单说明一下:
WINS实现的是IP地址和计算机名称的映射。它集中管理计算机名称和IP地址。通常这些计算机名称都是在某个单位内部有效。比如在一个局域网内你可以通过使用计算机名就访问另一台计算机,它有一个查询IP地址的过程,就是通过WINS服务来实现的。
DNS实现的是IP地址和域名的映射。这个接触的就比较多了 ,它通过全球各地分布的各级DNS服务器来解析域名和IP地址的关系,实现域名上网。
Cisco使用的操作系统称为IOS——Internetworking Operating System,存储在Cisco设备的Flash存储器上,除了IOS外,还有一个重要的文件:设备配置文件。为了方便管理,我们可以把IOS系统及设备配置文件备份在本地计算机上,当出故障时,我们可以把IOS系统或配置文件恢复到Cisco设备上,本文的操作以Cisco 3550为例。
⑴pwd命令,显示当前路径。
SW3550#pwd
flash:
SW3550#pwd
flash:/c3550-ipservices-mz.122-25.SEE/
⑵cd命令,切换目录命令
SW3550#cd c3550-ipservices-mz.122-25.SEE
⑶dir,显示当前路径下的文件
SW3550#dir
Directory of flash:/
2 -rwx 616 Mar 1 1993 01:25:31 +00:00 vlan.dat
4 drwx 128 Mar 1 1993 01:17:39 +00:00 c3550-ipservices-mz.122-25.SEE
3 -rwx 3977 Mar 1 1993 02:20:42 +00:00 config.old
371 -rwx 2356 Mar 1 1993 03:08:11 +00:00 config.text
15998976 bytes total (8002560 bytes free)
SW3550#
show flash命令也可以显示flash闪存中存储的文件:
SW3550#show flash
Directory of flash:/
2 -rwx 616 Mar 1 1993 01:25:31 +00:00 vlan.dat
4 drwx 128 Mar 1 1993 01:17:39 +00:00 c3550-ipservices-mz.122-25.SEE
3 -rwx 3977 Mar 1 1993 02:20:42 +00:00 config.old
371 -rwx 2356 Mar 1 1993 03:08:11 +00:00 config.text
15998976 bytes total (8002560 bytes free)
SW3550#
dir all用来显示当前路径下所有的文件
SW3550#dir all
Directory of flash:/
2 -rwx 616 Mar 1 1993 01:25:31 +00:00 vlan.dat
4 drwx 128 Mar 1 1993 01:17:39 +00:00 c3550-ipservices-mz.122-25
.SEE
3 -rwx 3977 Mar 1 1993 02:20:42 +00:00 config.old
371 -rwx 2356 Mar 1 1993 03:08:11 +00:00 config.text
15998976 bytes total (8002560 bytes free)
Directory of zflash:/
2 -rwx 616 Mar 1 1993 01:25:31 +00:00 vlan.dat
4 drwx 128 Mar 1 1993 01:17:39 +00:00 c3550-ipservices-mz.122-25
.SEE
3 -rwx 3977 Mar 1 1993 02:20:42 +00:00 config.old
371 -rwx 2356 Mar 1 1993 03:08:11 +00:00 config.text
15998976 bytes total (8002560 bytes free)
Directory of system:/
3 dr-x 0 <no date> memory
1 -rw- 2376 <no date> running-config
2 dr-x 0 <no date> vfiles
No space information available
Directory of nvram:/
380 -rw- 2356 <no date> startup-config
381 ---- 0 <no date> private-config
393216 bytes total (390808 bytes free)
Cisco 3550的IOS文件扩展名是.bin,全名是:c3550-ipservices-mz.122-25.SEE.bin,存储在flash下的c3550-ipservices-mz.122-25.SEE目录下。
SW3550#cd c3550-ipservices-mz.122-25.SEE
SW3550#dir
Directory of flash:/c3550-ipservices-mz.122-25.SEE/
5 -rwx 6410981 Mar 1 1993 01:17:39 +00:00 c3550-ipservices-mz.122-25
.SEE.bin
6 drwx 4160 Mar 1 1993 01:17:59 +00:00 html
15998976 bytes total (8002560 bytes free)
⑷copy命令备份IOS及配置文件
首先使用Cisco TFTP server架设一台TFTP服务器:
图一 Cisco TFTP Server
使用copty flash tftp命令把flash存储器内的IOS文件备份到TFTP Server上。
SW3550#copy flash tftp
Source filename [/c3550-ipservices-mz.122-25.SEE/c3550-ipservices-mz.122-25]? c3
550-ipservices-mz.122-25.SEE.bin //输入IOS的路径及文件
Address or name of remote host []? 192.168.1.107 //输入TFTP Server的IP地址
Destination filename [c3550-ipservices-mz.122-25.SEE.bin]? //输入备份的目的址,也可以使用默认的名称。
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
6410981 bytes copied in 53.516 secs (119796 bytes/sec)
使用copy startup-config tftp命令把配置文件备份到TFTP Server上。
SW3550#copy startup-config tftp
Address or name of remote host []? 192.168.1.107
Destination filename [sw3550-confg]? sw3550startupBack
!!
2356 bytes copied in 0.044 secs (53545 bytes/sec)
SW3550#
使用copty tftp startup-config把TFTP上存储的配置文件备文件恢复到交换机上:
SW3550#copy tftp startup-config
Address or name of remote host []? 192.168.1.107
Source filename []? sw3550startupBack
Destination filename [startup-config]?
Accessing tftp://192.168.1.107/sw3550startupBack...
Loading sw3550startupBack from 192.168.1.107 (via Vlan1): !
[OK - 2356 bytes]
[OK]
2356 bytes copied in 9.196 secs (256 bytes/sec)
⑸erase命令删除配置文件,慎用该命令!
SW3550#erase startup-config
Erasing the nvram filesystem will remove all configuration files! Continue? [con
firm]y[OK]
Erase of nvram: complete
SW3550#
02:01:36: %SYS-7-NV_BLOCK_INIT: Initalized the geometry of nvram
删除了startup-config文件后,查看NVRAM(非易失内存),可以看到startup-config文件大小为0byte。
Directory of nvram:/
382 -rw- 0 <no date> startup-config
383 ---- 0 <no date> private-config
393216 bytes total (393164 bytes free)
恢复完配置文件后,再查看NVRAM:
Directory of nvram:/
380 -rw- 2356 <no date> startup-config
381 ---- 0 <no date> private-config
393216 bytes total (390808 bytes free)
本文只是简单地介绍了dir、cd、copy、erase等命令的使用,可以完成一些重要的管理工具。
谁,吻我之眸,遮我半世流离;
谁,抚我之面,慰我半世哀伤;
谁,携我之心,融我半世冰霜;
谁,扶我之肩,驱我一世沉寂。
谁,唤我之心,掩我一生凌轹。
谁,弃我而去,留我一世独殇;
谁,可明我意,使我此生无憾;
谁,可助我臂,纵横万载无双;
谁,可倾我心,寸土恰似虚弥;
谁,可葬吾怆,笑天地虚妄,吾心狂。
伊,覆我之唇,祛我前世流离;
伊,揽我之怀,除我前世轻浮。
执子之手,陪你痴狂千生;
深吻子眸,伴你万世轮回。
执子之手,共你一世风霜;
吻子之眸,赠你一世深情。
我, 牵尔玉手, 收你此生所有;
我, 抚尔秀颈, 挡你此生风雨。
予,挽子青丝,挽子一世情思;
予,执子之手,共赴一世情长;
曾,以父之名,免你一生哀愁;
曾,怜子之情,祝你一生平安!
12.2.2 域和林的管理
面试题12:创建域和删除域的命令是( )。
A. dcpromote B. dcpromo C. promote D. promo
解析:
这道题也很简单,只要是通过命令方式安装和删除域的都知道,那就是dcpromo命令。不过,现在大多数都不是通过命令方式来创建和删除域的,而是直接通过“配置您的服务器向导”进行。
答案:B。
面试题13:在Windows Server 2003域网络中,父域和子域的默认信任关系是( )。
A. 双向可传递 B. 双向不可传递
C. 单向可传递 D. 单向不可传递
解析:
这道题考的是域信息关系方面的知识。
信任是在域之间建立的关系,它可使一个域中的用户由处在另一个域中的域控制器来进行验证。Windows NT中的信任关系与Windows 2000和Windows Server 2003操作系统中的信任关系不同。
在Windows NT 4.0及其以前版本中,信任仅限于两个域之间,而且信任关系是单向且不可传递的。在Windows 2000和Windows Server 2003林中的所有信任都是可传递的双向信任。因此,只要创建了信任,信任关系中的两个域就都是受信任的。从“双向信任”这一特点我们就可以排除C和D两个选项,从“可传递”这一特点又可以排除选项B。事实上也是这样的,默认的父、子域之间具有双向可传递的信任关系,林中各域树的树根也将是默认双向可传递的信任关系。
答案:A。
面试题14:只有( )组的成员,才有权对林的架构做出修改,并影响到林中所有的域。
A. Administrators B. Domain Admins
C. Enterprise Admins D. Schema Admins
解析:
这道题其实考的是应试者对几类域管理员组账户权限的理解。在Windows Server 2003域网络中,有几种管理员权限的组账户,它们是域控制器管理员组Administrators、本地域管理员组Domain Admins、林管理员组Enterprise Admins和林架构管理员组Schema Admins。但要注意的是,它们之间并没有我们通常所误认为的权限包含关系,而是各具特定的权限。也就是说,它们的权限分工是不一样的。
Administrators具有域中所有域控制器的完全控制权限,是本地内置作用域类型的安全组。在默认情况下,Domain Admins和Enterprise Admins组是Administrators组的成员。
Domain Admins具有对本地域管理的完全控制权限,是全局作用域类型的安全组。在默认情况下,该组是加入到该域中的所有域控制器、所有域工作站和所有域成员服务器上的Administrators组的成员。在默认情况下,Administrator账户也是该组的成员。
Enterprise Admins组的成员具有对林中所有域的完全控制作用,是通用作用域类型的安全组。默认情况下,该组是林中所有域控制器上Administrators组的成员。在默认情况下,Administrator账户也是该组的成员。
Schema Admins组的成员可修改Active Directory架构,也是通用作用域类型的安全组。在默认情况下,Administrator账户也是该组的成员。
答案:D。
面试题15:下面关于域和林关系的说法正确的是( )。
A. 一个域可以属于多个林之中
B. 一个林中可以有多个域
C. 一个域中的多个子域可以有连续的名称空间
D. 一个林中的多个域树可以有连续的名称空间
解析:
在Active Directory中,域树是由一个或多个Windows 2000或Windows Server 2003域通过传递、双向信任,共享公用架构、配置和全局分类连接起来的。域树中域的分层结构形成了连续的名称空间,可以将多个域树连接起来形成林。域树中的第一个域称为根域。在相同域树中的其他域为子域。相同域树中直接在另一个域上层的域称为子域的父。如,child.root.com为root.com的子域及grandchild.child.root.com的父域,而root.com域为child.root.com的父域,同时它也是该域树的根域。
林包括多个域树。林中的域树不形成邻接的名称空间。例如,虽然microsoft.com和microsoftasia.com两个域树都是support的子域,而子域的DNS名称却分别为support.microsoft.com和support.microsoftasia.com,它们之间没有共享的名称空间。
答案:B C。
面试题16:某大学用Windows Server 2003系统创建了一个林。甲机是xinhua.com域的DC,乙机是network.xinhuan.com域的DC。而丙机完整的计算机名为Cindy.network.xinhua.com,则下列说法正确的是( )。
A. 若A用户属于xinhua.com域,则可以在network.xinhua.com域内的任一计算机上登录xinhua.com域。
B. 若A用户属于xinhua.com域,则可以在xinhua.com域内的任一计算机上登录xinhua.com域。
C. 由于xinhua.com域是整个目录林的根域,所以丙机Cindy.network.xinhua.com的详细资料都保存在甲机上。
D. 由于丙机Cindy.network.xinhua.com属于network.xinhuan.com域,所以丙机的详细资料都保存在乙机上。
解析:
对于这类题只能对各个选项进行一一分析和排除。
因为在Windows Server 2003域网络中,父域和子域之间默认是双向信任的,所以A选项是正确的。
B选项肯定是正确的,因为域用户本来就可以在域中任何计算机上进行域登录。
C和D选项也是正确的,因为域根和相应域的DC上都保存了整个域树中各计算机对象的详细资料。
答案:A B C D。
面试题17:甲域内的A用户要想访问乙域内的共享资源,则( )。
A. 乙域必须针对甲域有信任关系。
B. 甲域必须针对乙域有信任关系。
C. A用户必须从甲域的DC上获取访问该共享资源的访问授权。
D. A用户必须从乙域的DC上获取访问该共享资源的访问授权。
解析:
这是考查域之间的信任关系的题。当A域信任B域时,则B域中的用户就可以访问A域中的资源。所以A选项是正确的。同时,可以得出B选项是错误的,信任关系反了。
C选项明显是错误的,因为所要访问的共享资源不是甲域的,也就没办法从甲域上获得所需访问的共享资源的访问权限。同时可以得出D选项是正确的。
答案:A D。
面试题18:一台计算机已经加入了某个域,但此时该计算机的本地管理员在该计算机上进行了本地登录,则对于该域的域管理员来说,( )。
A. 可以同时管理该计算机与该计算机的本地管理员用户
B. 无法管理该计算机,也无法管理该计算机的本地管理员用户
C. 可以管理该计算机,但不可以管理该计算机的本地管理员用户
D. 可以管理该计算机的本地管理员用户,但不可以管理该计算机
解析:
这道题考的是本机管理员和域管理员之间的关系。本地管理员只能在本地计算机和用户账户拥有完全控制权限,而域管理员只对域网络中的计算机账户实行管理权限,而没有对域网络中计算机的本地用户账户具有管理权限。
答案:C。
1、本地域组:多域用户访问单域资源(访问同一个域)
本地域组的成员可包括Windows Server2003、Windows 2000或WindowsNT域中的其他组和账户,而且只能在其所在域内指派权限。
2、全局组: 单域用户访问多域资源(必须是一个域里面的用户)
全局组的成员可包括其所在域中的其他组和账户,而且可在林中的任何域中指派权限;
3、通用组: 多域用户访问多域资源
通用组的成员可包括域树或林中任何域的其他组和账户,而且可在该域树或林中的任何域中指派权限;
当域功能级别设置为Windows2000混合模式时,不能创建具有通用组的安全组。
本地域组: 可以从任何域添加用户账户、通用组和全局组。域本地组不能嵌套于其他组中。它主要是用于授予位于本域资源的访问权限。
全局组: 只能在创建该全局组的域上进行添加用户账户和全局组,但全局组可以嵌套在其他组中。
可以将某个全局组添加到同一个域上的另一个全局组中,或添加到其他域的通用组和域本地组中(注意这里不能它加入到不同域的全局组中,全局组只能在创建它的域中添加用户和组)。虽然可以利用全局组授予访问任何域上的资源的权限,但一般不直接用它来进行权限管理。
通用组:通用组是集合了上面两种组的优点,即可以从任何域中添加用户和组,可以嵌套于其他域组中。
比如: 有两个域,A和B,A中的5个财务人员和B中的3个财务人员都需要访问B中的“FINA”文件夹。这时,可以在B中建一个DL,因为DL的成员可以来自所有的域,然后把这8个人都加入这个DL,并把FINA的访问权赋给DL。这样做的坏处是什么呢?因为DL是在B域中,所以管理权也在B域,如果A域中的5个人变成6个人,那只能A域管理员通知B域管理员,将DL的成员做一下修改,B域的管理员太累了。
这时候,我们改变一下,在A和B域中都各建立一个全局组(G),然后在B域中建立一个DL,把这两个G都加入B域中的DL中,然后把FINA的访问权赋给DL。哈哈,这下两个G组都有权访问FINA文件夹了,是吗?组嵌套造成权限继承嘛!这时候,两个G分布在A和B域中,也就是A和B的管理员都可以自己管理自己的G啦,只要把那5个人和3个人加入G中,就可以了!以后有任何修改,都可以自己做了,不用麻烦B域的管理员!这就是A-G-DL-P。
注:A表示用户账号,G表示全局组,U表示通用组,DL表示域本地组,P表示资源权限。A-G-DL-P策略是将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。
本地域组的成员可以来自所有域的用户和组,但其作用域只能是当前域。全局组的成员只能来自当前域的用户和组,而作用域可以是所有的域。
本地域组的权利是自身的,全局域的权利是来自其属于的本地域组的。
打个比方,现在有两个域domainA,domainB,用户UseA,UseB. 在DomainA上有一个文件夹Resource.UseB属于domainB,他想访问Resource.
这个时候就应该先在domainB上建一个全局组GlobalB,然后将UseB加入GlobalB,然后到Domain域中建立一个域本地组LocalA,将全局组GlobalB加入域本地组LocalA,再针对域本地组LocalA授权对Resource的访问权限。
---------------------------------------------------
外一篇:
从组的使用范围来分,可以分为三种:全局组、本地域组和通用组。
全局组主要是用来组织用户的。全局组内可以包含同一个域的用户账户与全局组,可以访问任何一个域内的资源。本地域组具有所属域的访问权限,以便访问本域的资源。本地域组的成员可以是同一个域的本地域组,也可以是任何域内的账户、全局组和通用组,他们能访问的资源只是该本地域组所在域的资源。通用组可以访问任何一个域内的资源,通用组可以包含所有域内的用户账户、全局组和通用组。当然上面所说的访问权限是要经过设定的。
安装域控制器时,系统会自动生成一些组,称为内置组。这些组都定义了一些常用权限,通过将用户加入到这些内置组中,可使用户获得相应的权限。“Active Directory用户和计算机”控制台的“Builtin”和“Users”组织单元中就是内置组。内置的本地域组在“Builtin”组织单元中,内置的全局组在“Users”组织单元中。
1.内建组:
在“Active Directory用户及计算机”的管理工具中,点树状目录下的“Builtin”文件夹,Windows2000建立了内建组。
Account Operators(账户操作员):该组的成员能操作用户管理员所属域的账号和组,并可设置其权限。但是该组成员无法修改Administrators及Operators组及权限。
Administrators(管理员):该组的成员可以完全不受限制地存取计算机/域的资源,是最具权力的一个组。通常,Administrators账户与Domain Admins组都是它的成员。
Backup Operators:该组的成员可使用Windows备份工具来进行备份/还原工作。
Guests:该组的成员只能享有管理员授与的权限以及存取指定权限的资源。通常,Guest账户与Domain Guest都是该组的成员。
Printer Operators:该组的成员可以管理网络打印机,包括建立、管理以及删除网络打印机。
Replicator:该组的成员支持域中的文件复写,可启动目录复制程序进行目录复制。
Server Operators:该组的成员可以管理域服务器,包括:建立/管理/删除任何服务器的共享目录、管理网络打印机、备份任何服务器的文件、格式化服务器硬盘、锁定服务器以及变更服务器的系统时间等权限。
Users:该组的成员只可以执行得到授权的应用程序,而且不可执行大部分的继承应用程序。
2.通用组:
在“Active Directory用户及计算机”的管理工具中,点树状目录下的“Users”文件夹,Windows2000建立了内建的通用组来组织不同状态的用户账户(一般用户、Administrators以及Guests)。
Domain Admins:该组可以代表具有操作域权力的用户,通常,Domain Admins会属于Administrators组,因此该组的成员可以在域中执行管理工作。Windows2000 Server不会将任何我们所建立的账户放到Domain Admins 组中,而内建的Administrator账户是其唯一的成员。因此,如果您希望某一用户成为域系统管理器,则我们建议您将该用户加至Domain Admins组中,而不要直接加至Administrators组中。
Domain Guests:所有域来宾,Windows2000会自动将Guest用户账户加至该组,并将该组加至内建域Guests组中。
Domain Users:所有域的成员,在预设的情况下,任何我们所建立的用户账户都会是Domain Users组的成员,而任何所建立的计算机账户都会是Domain Computers组成员。因此如果我们想要让所有的账户都具有某种资源存取权限,则可以将该权限指定给Domain Users组或让Domain Users组属于具有该权限的组。Domain Users组在预设的情况下上内建域局域Users组的成员。
|
|
|
|
转其他论坛贴:(作者:tonybb)
上课了,这节课讲,域本地组(DL)和全局组(G)。
请记好:
域本地组:
成员范围:所有的域
使用范围:自己所在的域
全局组:
成员范围:自己所在的域
使用范围:所有的域
假设,你有两个域,A和B,A中的5个财务人员和B中的3个财务人员都需要访问B中的“FINA”文件夹,这时,你可以在B中建一个DL,因为DL的成员可以来自所有的域,然后把这8个人都加入这个DL,并把FINA的访问权赋给DL。这样做的坏处是什么呢?因为DL是在B域中,所以管理权也在B域,如果A域中的5个人变成6个人,那只能A域管理员通知B域管理员,将DL的成员做一下修改,B域的管理员太累了。
这时候,我们改变一下,在A和B域中都各建立一个全局组(G),然后在B域中建立一个DL,把这两个G都加入B域中的DL中,然后把FINA的访问权赋给DL。哈哈,这下两个G组都有权访问FINA文件夹了,是吗?组嵌套造成权限继承嘛!这时候,两个G分布在A和B域中,也就是A和B的管理员都可以自己管理自己的G啦,只要把那5个人和3个人加入G中,就可以了!以后有任何修改,都可以自己做了,不用麻烦B域的管理员啦!
这就是AGDLP。
下课了!
|
|
|
|
□ 组的类型
1、安全组:安全组主要是用来设置权限用的。
2、分布式组:是用在与安全无关的任务上。可以将email发到某个分布 式组,但不能设置分布组的基本权限。分布式组只能用在活动目录中。
□ 组的使用领域
组的使用领域,win2000server域内的组分为以下三个组。
a、全局组
b、本地域组
c、通用组
全局组:
1、全局组的含义:是用来组织用户,也就是可以将多个权限想念的用户帐户加入到
同一个全局内。
2、全局组的特征:
a、全局组的成员,只能够包含该组所属的域内的用户与全局组。
b。全局组可以访问任何一个域内的资源。
本地域组:
1、本地域组的含义:
本地域组,主要是被用来指派其所在域内的访问权限。以便可以访问该域内的资源
2、本地域组的特征:
a、成员:包含任何一个域内用户帐户、通用组、全局组,可以包含同一个域内的本
地域组,但不包含其他域内的本地域组。
b、本地域组只能访问同一个域内的资源。
通用组:
1、通用组的含义:是被用来指派在所有域内的访问权限,以便可以访问每一个域内
资源。
2、通用组的特点:
a、成员:能够包含任何一个域内的用户帐户、通用组、全局组,但不能任何一个域
内本地域组。
b、通用组可以访问任何一个域内的资源。
注:只有本机模式才有通用组的存在;另外也只有在本机模式下,全局组内的成员
才可以饮食另一个全局组。
□ 更改域的模式
win2000域模式分为混合模式与本机模式两种。
混合模式:
1、含义:win2000域被默认为混合模式,域控制器可以包括winnt计算机。
2、混合模式的特征:a、不支持通用性。b、只有本地域组可以包含全局组,而且是
单一层次的嵌套;不支持其他嵌套。
二、本地域组:
1、含义:所有的域控制都必须是win2000的计算机。winnt可以是成员服务器。
2、特征:a、支持所有的组。b、支持所有的组的嵌套功能。而且是支持多层嵌套功
能。
三、更改域的模式:
1、开始——程序——管理工具——活动目录用户和计算机——单击域名——鼠标右
键)——属性。
2、“常规”选项卡——更改模式。
3、单击“是”来执行更改操作。注:一旦更改为本机模式,就无法再更改回混合模
式。
□ 组的使用准则
为了更容易管理网络,利用组来管理网络资源时,建议采用以下两种最常用的使用
准则。
全局组与本地域组的使用:
1、建立一个全局组,然后将具备相同权限的用户帐户加入到此组内。
2、建立一个本地域组,而你即将设置让此组对某些资源具备适当的权限。
3、将所有即将拥有权限访问此资源的全局组加入到本地域组内。
4、指定适当的权限给本地域组。
另外两种使用组的方法,不过与上述方法使用会有一点缺点:
1、方法一:将用户增加到本地域内。然后直接设置此组对某些资源的权限。缺点是:
无法设置其他域内设置本地域组的权限。
2、方法二:将用户帐户加入到全局域内,然后直接设置此对某资源的权限。它的缺
点:如果网络内包含多个域,而每个域内都有一些全局组需要对些资源具备相同的
权限的话,则必须分别替每个全局组设置权限。浪费时间。
全局组与通用组的配合使用:
1、在每个域内建立一个全局组,然后将具备相同权限的用户帐户加入到该域的全局
组内。
2、在某域内建立一个通用组。而你即将设置让此组拥有对某些资源具备适当的权限
3、将所有即将拥有权限访问此资源的全局组加入到此通用组内。
4、指定适当的权限给此通用组。
□ 域组的建立
组的添加、删除与更名
1、组的建立:
a、活动目录用户和计算机——域名——user组织单位——鼠标右键——新建——组
——输入域组名——是。
2、域组的更名:组帐户——鼠标右键——重命名。
3、组帐户的删除:组帐户——鼠标右键——删除。
添加组成员:
开始——程序——管理工具——活动目录用户和计算机——users组织单位——域组
帐户——鼠标右键——属性——成员——添加——确定。
□ 本地组的建立
本地组是建立在win2000独立服务器、成员服务器或win2000pro的本地安全数据库。
而不是在域控制内,本地组只能够访问此组所在计算机内的资源。
本地组内的成员按是否加入域的形式分两类:
1、未加入域的本地组成员:只包含本地计算机的用户帐户。
2、已加入域的本地组成员:本地计算机的用户帐户、所属域的域用户帐户、所属域
的全局组、通用组;所信任域的域用户帐户;所信任域内的全局组,通用组。
增加本地组的步骤:
开始——设置——控制面板——管理工具——计算机管理——系统工具——本地用
户和组——组——鼠标右键——添加——确定。
□ 内置的组
win2000域内含多个内置的组:本地域组、全局组、系统组,而win2000成员服务器,
独立服务器及win2000pro内则饮食了一些内置的本地组与系统组。
内置的本地域组:
administrators、server operators、account operators、printer operators、
backup operators、users、guests。
内置的全局组:
domain admins、domain admins、domain guests、enterprise guests。
内置的本地组:
administrators、backup operators、users、power users
everyone、authenticated users、interactve、network、creater owner、 anonymouns logon、dialup。
|
|
|
|
|
全局组、域本地组、通用组到底有什么区别?它们之间的关系如何?
问:全局组、域本地组、通用组到底有什么区别?它们之间的关系如何?
答:很多初级网管员对全局组、域本地组、通用组之间区别、关系比较模糊。对于这个问题我们首先要明确全局组、域本地组、通用组的的作用范围。
全局组:可以全局使用。即:可在本域和有信任关系的其它域中使用,体现的是全局性。MS建议的规则:基于组织结构、行政结构规划。
域本地组:只能在本域的域控制器DC上使用。MS建议的规则:基于资源(夹、打印机……)规划。
在域的混合模式下,只能把全局组加入到域本地组,即AGDLP原则。
注意:2000/03域的默认模式为:混合模式。则域本地组:只能在本域的域控制器DC上使用。若域功能级别转成本机模式(或称2000纯模式),甚至03模式,域本地组可在全域范围内使用。
说明:全局组和域本地组的关系,非常类似于域用户帐号和本地帐号的关系。域用户帐号,可以全局使用,即在本域和其它关系的其它域中都可以使用,而本地帐号只能在本地机上使用。下面我来举两个例子来进一步说明(以混合模式下为例):
例1:将用户张三(域帐号Z3)加入到域本地组administrators中,并不能使Z3对非DC的域成员计算机有任何特权,但若加入到全局组Domain Admins中,张三就是域管理员了,可以在全局使用,对域成员计算机是有特权的。
例2:只有在域的DC上,对资源(如:文件/夹)设置权限,你可以指派域本地组administrators;但在非DC的域成员计算机上,你是无法设置域本地组administrators的权限的。因为它是域本地组,只能在DC上使用。
通用组:组的成员情况,记录在全局目录GC中,非常适于林中跨域访问使用。集成了全局组和域本地组的长处。
AGDLP
A (account):用户帐户
G (Global group):全局组
DL (Domain local group):域本地组
P (Permission):许可
按照AGDLP的原则对用户进行组织和管理起来更容易
在AGDLP形成以后当给一个用户某一个权限的时候,只要把这个用户加入到某一个本地域组就可以了
组是可包含用户、计算机和其他组的活动目录或本机对象。使用组可以控制和管理用户和计算机对活动目录对象及其属性、网络共享位置、文件、目录、打印机等共享资源的访问,还可以向一组用户发送电子邮件。
在Windows 2000域中,组根据其类型可以分为安全组(Securiy Group)和分布组(Distribution),根据其范围又可以分为全局组(Global Group)、域本地组(Domain Local Group)和通用组(Universal Group)。组的类型决定组可以管理哪些类型的任务,组的范围决定组可以作用的范围。
1. 组的类型
(1)分布组:分布组一般用于组织用户。使用分布组可以向一组用户发送电子邮件,由于它不能用于与安全有关的功能,不能列于资源和对象权限的选择性访问控制表(DACL)中。因此,只有在电子邮件应用程序(如Exchange)中才用到分布组。
(2)安全组:安全组一般用于与安全性有关的授权功能。使用安全组可以定义资源和对象权限的选择性访问控制表(DACL),控制和管理用户和计算机对活动目录对象及其属性、网络共享位置、文件、目录和打印机等资源和对象的访问。安全组中的成员会自动继承其所属安全组的所有权限。
安全组具有分布组的全部功能,也可用作电子邮件实体。当向安全组发送电子邮件时,会将邮件发给安全组的所有成员。
2. 组的范围
(1)全局组:全局组的成员关系和范围如表1。
表1 全局组的成员关系和范围
混合模式 本机模式
可包含的成员 本域中的用户账号
可加入的组 域本地组
作用范围 在本域和所有的信任域中都是可见的
权限范围 森林中所有的域
(2)域本地组:域本地组的成员关系和范围如表2。
表2 域本地组的成员关系和范围
混合模式 本机模式
可包含的成员 任何域中的用户账户和全局组 森林中任何域中的用户账户、全局组和通用组
以及本域中的域本地组
可加入的组 不能是任何组的成员 本域中的域本地组
作用范围 只在其自己的域中可见
权限范围 域本地组所在的域
(3)通用组:域本地组的成员关系和范围见表3。
表3 域本地组的成员关系和范围
混合模式 本机模式
可包含的成员 不能创建通用组 森林中任何域中的用户账户、全局组和其他的通用组
可加入的组 不能创建通用组 任何域中的域本地组和通用组
作用范围 在森林中的所有域中都是可见的
权限范围 目录林中的所有域
如果要在域目录林中实现对于资源(可以是文件夹或打印机)的访问授权,推荐使用 “AGDLP”规则。即首先把用户账户(Account)加入到全局组(Global group),然后把全局组加入到域本地组(Domain Local group,可以是本域或其他域的域本地组),最后,对于域本地组进行授权(Permissions)。
到了现在,你可能在想“为什么我要用其它组类型,而不用通用组?它给了我要的一切!”答案是,因为通用组和它的成员被列在全局编目里 (GC)。
每次GC在你的森林的域之间复制时,都包括通用组的成员。与通用组类似,全局组和域本地组也被列在GC里,但是,它们的成员并不列在GC中。通过在合适的位置使用全局组和域本地组,你能够减小你的AD DC的尺寸,这样就会明显地降低保持GC最新所产生的复制流量。
在选择组范围时,应当仔细选择。在你的域运行在混合模式下时,你不能改变组的范围。如果你运行在纯(Native)模式,就允许你把全局组转变通用组,前题是全局组不是另外一个全局的成员,也可以把域本地组转变成通用组,前提是域本地组中不包括另一个域本地组作为它的成员。
现在知道了组的范围,再让我们简略地谈谈建立新组最简单的部分-组的名称。在你为组起名时,全局组和域本地组在你创建它们的域里必须是唯一的。而通用组,则必须在整个森林里是唯一的。 特别注意的是,由于GC中不仅包含通用组,还包含有通用组的成员信息,因此每次对通用的修改(成员增加/删除),都会引发GC复制流量。所以,通用组的成员不要经常频繁的发生变化。否则会带来大量的复制流量。另外,WIN2000在登录时系统需要向GC查询用户的通用组成员身份,以生成访问令牌,所以在GC不可用时,WIN2000用户有可能不能正常访问网络资源。
|
|
|
|
|
|
(转)Windows 2000 域环境中的组(正式版) http://bbs.techtarget.com.cn/viewthread.php?tid=2292蒙蒙虫 QQ:1724940 E-mail: wejxing@371.net ----------------------------------------------------------------- 前言 Native Mode(本地模式)和Mixed Mode(混合模式)之区别 本地模式和混合模式是两种域的操作模式,默认新建的域为混合模式。如果你不清楚可以在 Active Directory 域和信任关系中查到当前域的操作模式。本地模式要求所有的域控制器是Windows 2000,注意,是域控制器,也就是安装了Active Directory的服务器,并非成员服务器(没有装AD)。成员服务器和客户机依然可以运行Windows NT ,Windows 9X 系列。混合模式下域控制器中还可以有Windows NT Server,所以微软在说明混合模式主要用于域迁移过程中,如从NT4 Domain 升级到 2000 Domain。 [俺的补充]域模式的提升是不可逆的,一旦提升至本级模式将不能返回混合模式,俺这里没有其它域控制器,域直接创建成本机模式 正文 A.OU(组织单元)与Group(组)之对比 首先我们要明确OU与Group是完全不同的概念,OU的主要是为进行管理上层次组织以及组策略的实施而设立的容器。简单的说,你不能为一个OU设置权限,但是,你可以为一个OU指定组策略,并且,你可以为一个OU将权力委派控制(在2000中是这么说的,但说成是“下放”也不为过)给特定的用户,组,或计算机(有点儿象人事部?),让他(她,它)们对OU内的成员有额外的权利。 Group相比起OU,分类更为复杂一些。但你可以为组分配权力和权限,这一点OU是做不到的。微软对组的作用的解释是: 1.管理用户和计算机对资源(网络共享、文件、目录、打印机,以及AD内对象的属性)的访问。 2.建立 E-Mail 发送列表。 3.过滤(或筛选)组策略 总而言之,一句经典的话可以概括OU与Group的不同 -------------------------------------------- OU定义的是谁可以管理我 组定义的是我可以管理谁 -------------------------------------------- B.现在我们明确了Group和OU的区别,下面我们来说一下组作用域和组类型的问题。 1.组作用域 组作用域分为三类:Domain Local Group(本地域),Global Group(全局),Universal(通用)。这三类之间的区别,又要分为两种域模式Native Mode(本地模式)和Mixed Mode(混合模式)的不同来区别对待。 通用作用域 ----------------- 在本机模式域中,可将其成员作为来自任何域的帐户、来自任何域的全局组和来自任何域的通用组。 在本机模式域中,不能创建有通用作用域的安全组。 组可被放入其他组(当域处于本机模式时)并且在任何域中指派权限。 不能转换为任何其他组作用域。 全局作用域 ----------------- 在本机模式域中,可将其成员作为来自相同域的帐户和来自相同域的全局组。 在本机模式域中,可将其成员作为来自相同域的帐户。 组可被放入其他组并且在任何域中指派权限。 只要它不是有全局作用域的任何其他组的成员,则可以转换为通用作用域。 域本地作用域 ---------------- 在本机模式域中,可将其成员作为来自任何域的帐户、全局组和通用组,以及来自相同域的域本地组。 在本机模式域中,可将其成员作为来自任何域的帐户和全局组。 组可被放入其他域本地组并且仅在相同域中指派权限。 只要它不把具有域本地作用域的其他组作为其成员,则可转换为通用作用域。 [俺的补充]微软的定义: http://www.microsoft.com/technet ... f804e.mspx?mfr=true以上表从微软Windows 2000帮助中摘来,可以看到在本机模式下组的功能有多么强大,而在混合模式中,你仅仅可以做到以下:将全局组加入域内本地组。微软推荐这样的一套管理策略:A G DL P 也就是说: a.根据管理需要建立全局组(Global Group),同时将用户加入全局组内 b.建立域本地组(Domain Local Group),将全局组加入不同的域本地组内 c.将资源的权限给予域本地组。 事实上,对处于混合模式的域来说,这样的管理出现以下的危机:你只能将本地(域控制器上)文件夹的权限以域本地组,而对成员服务器(没有装AD的服务器)而言,个人在AD中建立的域本地组是不可见的。这样的话,只能在DC上给域本地组指派权限,而无法在成员服务器上给域本地组指派权限,这样新建的域本地组岂不是根本没用。 2.组类型 Windows 2000 的域拥有两种组类型,安全组(Security Groups)与分布组(Distribution Groups)。然而,事实上操作系统用到的只有安全组,你可以给安全组赋权,默认情况下我们建立的也是安全组。 你不能把对象的权限给予分布组,分布组主要是为某些应用程序准备的,而且此应用程序不能用做安全用途。当你需要给同一组的人发送邮件时可能会用到它,这时当然不会涉及到安全问题。 [俺的补充]Windows 2003中分布组叫做通讯组 可以组合使用全局组、域本地组和通用组,以控制对网络资源的访问。全局组的基本用途是把用户组织到代表其相应域的管理容器之中。通用组可以用于包括来自各种域的全局组,进而在授予权限时进一步管理域层次结构。可以全局组添加到通用组中,然后给资源在物理上所在域本地组分配权限。使用这些方法创建组,管理员就可以在每个域的全局组中添加或删除用户,对整个企业资源的访问进行控制,而无需在多个位置进行更改。 再抄一个过来,这个解释的通俗些 全局组、域本地组、通用组到底有什么区别?它们之间的关系如何? [ 2006-6-28 11:25:49 | By: zaqzxc ] 很多初级网管员对全局组、域本地组、通用组之间区别、关系比较模糊。对于这个问题我们首先要明确全局组、域本地组、通用组的的作用范围。 全局组:可以全局使用。即:可在本域和有信任关系的其它域中使用,体现的是全局性。MS建议的规则:基于组织结构、行政结构规划。 域本地组:只能在本域的域控制器DC上使用。MS建议的规则:基于资源(夹、打印机……)规划。 在域的混合模式下,只能把全局组加入到域本地组,即AGDLP原则。 注意:2000/03域的默认模式为:混合模式。则域本地组:只能在本域的域控制器DC上使用。若域功能级别转成本机模式(或称2000纯模式),甚至03模式,域本地组可在全域范围内使用。 说明:全局组和域本地组的关系,非常类似于域用户帐号和本地帐号的关系。域用户帐号,可以全局使用,即在本域和其它关系的其它域中都可以使用,而本地帐号只能在本地机上使用。下面我来举两个例子来进一步说明(以混合模式下为例): 例1:将用户张三(域帐号Z3)加入到域本地组administrators中,并不能使Z3对非DC的域成员计算机有任何特权,但若加入到全局组Domain Admins中,张三就是域管理员了,可以在全局使用,对域成员计算机是有特权的。 例2:只有在域的DC上,对资源(如:文件/夹)设置权限,你可以指派域本地组administrators;但在非DC的域成员计算机上,你是无法设置域本地组administrators的权限的。因为它是域本地组,只能在DC上使用。 通用组:组的成员情况,记录在全局目录GC中,非常适于林中跨域访问使用。集成了全局组和域本地组的长处。 AGDLP A (account):用户帐户 G (Global group):全局组 DL (Domain local group):域本地组 P (Permission):许可 按照AGDLP的原则对用户进行组织和管理起来更容易 在AGDLP形成以后当给一个用户某一个权限的时候,只要把这个用户加入到某一个本地域组就可以了 域本地组 生效范围 域本地组所属的域。 全局组 本域和所有被信任的域。 通用组 森林中所有的域。 域模式不同,可成为的成员不同。 域本地组成员的生效范围是本域,主要用于权限访问的ALP策略。 单域环境下直接把用户账号加入全局组,给全局组赋予权限就可以了。 作用域 可见性 可包含 域本地 域 用户、域本地、全局或通用组 全局 林 用户或全局组 通用 林 用户、全局或通用组 组是可包含用户、计算机和其他组的活动目录或本机对象。使用组可以控制和管理用户和计算机对活动目录对象及其属性、网络共享位置、文件、目录、打印机等共享资源的访问,还可以向一组用户发送电子邮件。 在Windows 2000域中,组根据其类型可以分为安全组(Securiy Group)和分布组(Distribution),根据其范围又可以分为全局组(Global Group)、域本地组(Domain Local Group)和通用组(Universal Group)。组的类型决定组可以管理哪些类型的任务,组的范围决定组可以作用的范围。 1. 组的类型 (1)分布组:分布组一般用于组织用户。使用分布组可以向一组用户发送电子邮件,由于它不能用于与安全有关的功能,不能列于资源和对象权限的选择性访问控制表(DACL)中。因此,只有在电子邮件应用程序(如Exchange)中才用到分布组。 (2)安全组:安全组一般用于与安全性有关的授权功能。使用安全组可以定义资源和对象权限的选择性访问控制表(DACL),控制和管理用户和计算机对活动目录对象及其属性、网络共享位置、文件、目录和打印机等资源和对象的访问。安全组中的成员会自动继承其所属安全组的所有权限。 安全组具有分布组的全部功能,也可用作电子邮件实体。当向安全组发送电子邮件时,会将邮件发给安全组的所有成员。 2. 组的范围 (1)全局组:全局组的成员关系和范围如表1。 表1 全局组的成员关系和范围 混合模式 本机模式 可包含的成员 本域中的用户账号 可加入的组 域本地组 作用范围 在本域和所有的信任域中都是可见的 权限范围 森林中所有的域 (2)域本地组:域本地组的成员关系和范围如表2。 表2 域本地组的成员关系和范围 混合模式 本机模式 可包含的成员 任何域中的用户账户和全局组 森林中任何域中的用户账户、全局组和通用组 以及本域中的域本地组 可加入的组 不能是任何组的成员 本域中的域本地组 作用范围 只在其自己的域中可见 权限范围 域本地组所在的域 (3)通用组:域本地组的成员关系和范围见表3。 表3 域本地组的成员关系和范围 混合模式 本机模式 可包含的成员 不能创建通用组 森林中任何域中的用户账户、全局组和其他的通用组 可加入的组 不能创建通用组 任何域中的域本地组和通用组 作用范围 在森林中的所有域中都是可见的 权限范围 目录林中的所有域 如果要在域目录林中实现对于资源(可以是文件夹或打印机)的访问授权,推荐使用 “AGDLP”规则。即首先把用户账户(Account)加入到全局组(Global group),然后把全局组加入到域本地组(Domain Local group,可以是本域或其他域的域本地组),最后,对于域本地组进行授权(Permissions)。 到了现在,你可能在想“为什么我要用其它组类型,而不用通用组?它给了我要的一切!”答案是,因为通用组和它的成员被列在全局编目里 (GC)。 每次GC在你的森林的域之间复制时,都包括通用组的成员。与通用组类似,全局组和域本地组也被列在GC里,但是,它们的成员并不列在GC中。通过在合适的位置使用全局组和域本地组,你能够减小你的AD DC的尺寸,这样就会明显地降低保持GC最新所产生的复制流量。 在选择组范围时,应当仔细选择。在你的域运行在混合模式下时,你不能改变组的范围。如果你运行在纯(Native)模式,就允许你把全局组转变通用组,前题是全局组不是另外一个全局的成员,也可以把域本地组转变成通用组,前提是域本地组中不包括另一个域本地组作为它的成员。 现在知道了组的范围,再让我们简略地谈谈建立新组最简单的部分-组的名称。在你为组起名时,全局组和域本地组在你创建它们的域里必须是唯一的。而通用组,则必须在整个森林里是唯一的。 特别注意的是,由于GC中不仅包含通用组,还包含有通用组的成员信息,因此每次对通用的修改(成员增加/删除),都会引发GC复制流量。所以,通用组的成员不要经常频繁的发生变化。否则会带来大量的复制流量。另外,WIN2000在登录时系统需要向GC查询用户的通用组成员身份,以生成访问令牌,所以在GC不可用时,WIN2000用户有可能不能正常访问网络资源。 |
某公司有三个部门,财务部、销售部以及市场部。搭建网络时候的要求是:财务部能够访问另外两个部门;另外两个部门能够互访但是不能访问财务部;实现所有的内部机器上网。公司现在有一台2621路由器、一台交换机、若干集线器。
第一步 实现三个部门互访
路由器的配置
1.配置外网ip
R1(config)#in s1/0
R1(config-if)#ip add 202.88.88.88 255.255.255.0
R1(config-if)#no shut
%LINK-3-UPDOWN: Interface Serial1/0, changed state to up
R1(config-if)#exi
%LINK-3-UPDOWN: Interface Serial1/0, changed state to down
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to down
2.启用f0/0端口,启用3个子接口
R1(config)#in f0/0
R1(config-if)#no ip add
R1(config-if)#no shut
%LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up
R1(config-if)#exi
R1(config)#in f0/0.1
R1(config-subif)#ip add 192.168.1.1 255.255.255.0
R1(config-subif)#encapsulation dot1q 10
R1(config-subif)#no shut
R1(config-subif)#exi
R1(config)#in f0/0.2
R1(config-subif)#ip add 192.168.2.1 255.255.255.0
R1(config-subif)#encapsulation dot1q 20
R1(config-subif)#no shut
R1(config-subif)#exi
R1(config)#in f0/0.3
R1(config-subif)#ip add 192.168.3.1 255.255.255.0
R1(config-subif)#encapsulation dot1q 30
R1(config-subif)#no shut
R1(config-subif)#exi
交换机的配置
1.在与路由器连接的f0/12口开启trunk
Switch#
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#in f0/12
Switch(config-if)#switchport mode trunk
Switch(config-if)#exi
Switch(config)#exi
Switch#sh run
!
interface FastEthernet0/12
switchport mode trunk
backup interface
no fair-queue
!
2.划分vlan
Switch#vlan database
Switch(vlan)#vlan 10 name shichangbu
VLAN 10 added:
Name:shichangbu
Switch(vlan)#vlan 20 name xiaoshoubu
VLAN 20 added:
Name:xiaoshoubu
Switch(vlan)#vlan 30 name caiwubu
VLAN 30 added:
Name:caiwubu
Switch(vlan)#exi
APPLY completed.
Exiting....
3.将端口加入vlan
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#in range f0/1 - 3
Switch(config-range)#switchport mode access
Switch(config-range)#switchport access vlan 10
Switch(config-range)#exi
Switch(config)#in range f0/4 - 6
Switch(config-range)#switchport mode access
Switch(config-range)#switchport access vlan 20
Switch(config-range)#exi
Switch(config)#in range f0/7 - 9
Switch(config-range)#switchport mode access
Switch(config-range)#switchport access vlan 30
Switch(config-range)#exi
将各部门的计算机的ip和网关设置好以后,便可以互访了。
第二步 做ACL拒绝市场部和销售部访问财务部
R1(config)#access-list 101 deny ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255
R1(config)#access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
R1(config)#access-list 101 permit ip any any
R1(config)#in f0/0.3
R1(config-subif)#ip access-group 101 in
R1(config-subif)#exi
R1(config)#exi
第三步 利用NAT的PAT技术让内部计算机上网
R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255
R1(config)#access-list 1 permit 192.168.2.0 0.0.0.255
R1(config)#access-list 1 permit 192.168.3.0 0.0.0.255
R1(config)#ip nat inside source list 1 interface s1/0 overload
R1(config)#in f0/0
R1(config-if)#ip nat inside
R1(config-if)#exi
R1(config)#in s1/0
R1(config-if)#ip nat outside
R1(config-if)#exi
R1(config)#exi
-----摘自网络
股东持有的股票与股市流通的股票有什么区别
RT、有什么区别呢?没有区别的话、我是否可以通过购股成为股东呢?购买股市流通股达到一定比例是否可以成为股东参与到股东大会、进入董事会、监事会呢?在独资企业里、这个企业的法人代表就是我们通常所说的老板,那要是在国有企业或股份制公司呢?在国有企业或股份制公司怎么决定法人代表的呢?法人代表需要付法律责任、在国有企业和股份制公司是那法人代表不是老板的时候能获得什么权利和利益呀?要不傻呀、获得不了利益出了事情却要付法律责任?!
你真聪明啊,还以为一个问题给这么多分,原来,后面还有这么多问题。没关系,帮人帮到底,送佛送到西!
1、一家上市公司的股票分为流通股与非流通股,顾名思义,流通股就是可以在二级市场上进行买卖的股份,非流通股就是一些特别的机构(可以包括控股股东)对他们所持的股份承诺不在二级市场上进行买卖的股份,但是,当他们的承诺期到期之后,他们的股票就可以在二级市场中进行买卖了,也就是全流通。现在的上市公司中,大部分公司已经实现了全流通,还有部分公司,特别是新上市的公司,由于还在承诺期内,因此,部分股份限制在市场中流通,就是非流通股份。
2、你说的“股东持有的股票”的意思比较模糊,可能你对股东这个词的内含还不太清楚,你所指的股东应当是那些控股股东以及持股较大可以参与公司内部事务的股东,对吧?其实,你只要持有公司一股股票,就算是公司的一个股东。那么,“股东持有股票”,就难以区分了,而是包括所有的股票了。因为,所有的股票都是股东持有啊。那么,如果根据你的理解,你的意思应该是:控股股东以及大股东所持有的股票与流通股有什么区别?对吧?
3、根据我在上面第一点所说的,你应该清楚流通股与非流通股的区别了。那么,就要看控股股东及其大股东手上所持的股票是属于哪一种性质了,如果他们持有的股票可以在二级市场上买卖,那就是流通股,如果不可以,那就是非流通股。我前面讲了,现在,经过股改之后,大部分企业的股票实现了全流通,也就是说,大部分企业的股票,不管是控股股东,大股东,还是只有一股的小股东,他们所持有股票均已经可以在市场中买卖了,已经是流通股了。
4、因此,可以说,控股股东及其大股东所持有的股票与流通股在本质上是没什么区别的,应该说,这两者之间是什么关系,对不对?如果一家公司的股票是全流通了,那么,所有股东持有的股票都是流通股,如果不是全流通,那就要分情况,可能有些大股东的股票是流通股,而有些大股东的股票是非流通股。
5、上面几点的解说,我想你应该能够明白了你所说的“区别”,下面接着讲讲你的其他问题。
前面我已经说过,只要有一股股票,就算是公司股东。
同样,只要你是股东,不管有多少股份,都可以参加股东大会,不过,会议的表决权则不是以股东人数决定的,而是以所占股份比列大小决定的,所以,一般情况下,小股东觉得没必要参加,除非那些大股东发生了矛盾,而大股东之间的股份数又彼此相当,那就有必要拉小股股一起表决了,这就好像搞选举一样,哪一方的实力强一点,那肯定就能够左右股东大会的决议了。
至于进入董事会那就需要由股份数说了算了,一般情况下,排名前十的股东,有机会参与董事会。董事会由股东大会选举产生,当然,股东大会也可重组董事会,或者进行改选。不过,董事会需由董事长召集然后召开。
监事会则需要另外选举,一般由股东大会选举决议产生,组成的人也不是由股份多少说了算,而是由股东大会根据实际情况选出,组成监事会的人可以是股东,也可以是公司职员,还可以是公司以外的相关方面的专业人员等。监事会的作用就是为了监督公司的业务及财务运作的。所以,公司的董事长、副董事长、董事、总经理、经理等不得参与监事会。
关于法定代表人,首先要明白它的概念,法定代表人,指的是公司相关业务、事务的负责人,比如,你去到一个公司了,要找他们的总负责人,那就是指法定代表人了,一般情况下,法定代表人由公司董事长担认,不过,也可以由其它人担认,比如厂长、总裁等,当然,如果所有的股东都信任一个司机去管理公司,那也可以由这个司机做法定代表人,就是这么回事。所以,法定代表人对于企业的责任是有限的,他只对他自身在企业中的所作所为负责,而对于企业向外应当承担的责任,则由企业来承担,那么,企业承担责任的最大范围就是以公司所有资产为对象,如果公司所有的资产都无法承担相关责任,比如债务,那么,这个企业就只得宣布破产,以所有的资产清算之后,用来偿还。
所以,你说的国有企业的法定代表人的问题,其实际情况也是一样的,只不过,谁做法定代表人是由国家说了算,因此,最后承担责任的,自然也是国家,也就是国库,间接地就是——纳税人的钱。谁是纳税人?当然是老百姓。然后,这个国家的法定代表人犯了错误,当然也由国家说了算,国家说他犯了渎职罪,他就是渎职罪,说了犯了贪污罪,他就是贪污罪,那么,犯罪自然是要坐牢或者偿命的。这就是古人常说的,伴君如伴虎啊。
至于你说的利益嘛,当然是有很大的好处了,国有资产的法定代表人,那就是当官啊,当官好不好,你说?对不对?所以,你既然享受了人民赋予你的权利,就得承担相应的义务,是吧?要不然,古人都讲,当官不为民做主,不如回家种红薯,是吧?!
好了,朋友,不知以上这些解说能否让你心中释然,如果你觉得有所收获,那就不负我“殚精竭虑”的心愿啦!呵呵!
其他答案
股东持有的股票是按照公司规定5年或者10年不能卖 购买的多就成收购那家公司了 可以直接到他公司入股 流通的股票是不受限制的可以随意买进和卖出
在全流通的情况下,持有股票就是股东,只是根据持有数量的多少分成大小股东而已。原则上持有股票就可以参加股东大会,要进入董事会恐怕就要持有相当数量的股票才可以。
没有区别,你可以通过购买流通股进入董事会,但比较麻烦,超过5%就要举牌公示,详细的去看下公司法,再说你一举牌,股东和股民都知道了,他们一买可想而知那股价,你要控股的成本就大了去了,仔细想想有人想夺你的公司你会怎么对付。呵呵。