计算机网络（六）应用层

本地域组： 可以从任何域添加用户账户、通用组和全局组。域本地组不能嵌套于其他组中。

全局组： 只能在创建该全局组的域上进行添加用户账户和全局组，但全局组可以嵌套在其他组中。

通用组：通用组是集合了上面两种组的优点，即可以从任何域中添加用户和组，可以嵌套于其他域组中。

同域：全局可以加入全局，本地可以加入本地；全局可以加入本地， 本地不可以加入全局， 

跨越：全局可以加入本地，全局不可以加入全局，本地不可以加入全局， 本地不可以加入本地

定义： 组（Group）是用户帐号的集合。

作用： 通过向一组用户分配权限从而不必向每个用户分配权限，简化管理。就是为用户和嵌套在里面的组等单元提供对网络资源访问的权限。

1）安全组，管理员在日常工作中不必要去为单个用户帐号设置自己独特的访问权限，而是将用户帐号加入到相对应的安全组中。管理员通过给相对的安全组访问权 限就可以了，这样所有加入到安全组的用户帐号都将有同样的权限。使用安全组而不是单个的用户帐号可以方便，简化网络的维护和管理工作。

 2）通讯组，只能用在电子邮件通讯。

提示：在windows server 2000的域中，通讯组的名称是：“分布组”和通讯组功能想似。
本地组例如administrator组

能够添加到全局组的成员是本域的成员或者全局组（这样就构成了组的嵌套）。

如果在上海的域中创建了全局组A，那么能添加到A中的人只能是上海域中的对象或者是其他可信任域，如北京或大连的全局组。

 

通信子网是由用作信息交换的节点计算机NC和通信线路组成的独立的通信系统，它承担全网的数据传输、转接、加工和交换等通信处 理工作。其中：

子网：通常在谈到广域网时才有意义，它指由网络经营者拥有的路由器和通信线路的集合。

2、通信子网的功能是把信息从一台主机传输到另一台主机；资源子网是各种网络资源（硬件、软件、数据信息）的集合。

3、通信子网，在OSI体系中的位置是下三层。

DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）通常被应用在大型的局域网络环境中，主要作用是集中的管理、分配IP地址，使网络环境中的主机动态的获得IP地址、Gateway地址、DNS服务器地址等信息，并能够提升地址的使用率。 

DHCP协议采用客户端/服务器模型，主机地址的动态分配任务由网络主机驱动。当DHCP服务器接收到来自网络主机申请地址的信息时，才会向网络主机发送相关的地址配置等信息，以实现网络主机地址信息的动态配置。

第一，在无线局域网的适配器上，接收信号的强度往往会小于发送信号的强度，因此若要实现碰撞检测，那么在硬件上需要的花费就会过大。
第二、在无线局域网中，并非所有的站点都能够听见对方，而“所有站点都能听见对方”正是实现CSMA/CD协议所必须具备的基础。

活动目录（Active Directory）是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务。（Active Directory不能运行在Windows Web Server上，但是可以通过它对运行Windows Web Server的计算机进行管理。）Active Directory存储了有关网络对象的信息，并且让管理员和用户能够轻松地查找和使用这些信息。Active Directory使用了一种结构化的数据存储方式，并以此作为基础对目录信息进行合乎逻辑的分层组织。

NTFS权限是基于NTFS分区实现的，通过对用户或组授予NTFS权限可以有效地控制用户对文件和目录的访问。对于NTFS磁盘分区上的每一个文件和文件夹，NTFS都存储了一个访问控制列表（ACL，Access Control Lists）。

ACL中包含有那些被授权访问该文件或者文件夹的所有用户账号、组和计算机，还包含他们被授予的访问类型。为了让一个用户访问某个文件或文件夹，针对相应的用户账号、组，或者该用户所属的计算机，ACL中必须包含一个对应的入口，这样的入口叫做访问控制入口（ACE，Access Control Entries）。为了让用户能够访问文件或者文件夹，访问控制入口必须具有用户所请求的访问类型。如果ACL没有相应的ACE存在，Windows系统就拒绝该用户访问相应资源。

NTFS权限对从网络访问和本机登录的用户都起作用。

共享权限是基于文件夹的,也就是说你只能够在文件夹上设置共享权限,不可能在文件上设置共享权限;NTFS权限是基于文件的,你既可以在文件夹上设置也可以在文件上设置.

共享权限只有当用户通过网络访问共享文件夹时才起作用,如果用户是本地登录计算机则共享权限不起作用;NTFS权限无论用户是通过网络还是本地登录使用文件都会起作用,只不过当用户通过网络访问文件时它会与共享权限联合起作用,规则是取最严格的权限设置.

共享权限与文件操作系统无关,只要设置共享就能够应用共享权限;NTFS权限必须是NTFS文件系统,否则不起作用.

共享权限只有几种:读取,更改和完全控制;NTFS权限有许多种,如读,写,执行,改变,完全控制等....我们可以进行非常细致的设置.

权限遵循最小权限原则，要看用户的权限最小还是组的权限最小，哪个最小遵循哪个。

Linux读写执行：124，读写就是3

r 读权限read  4

w 写权限write 2

x 操作权限execute  1

标准访问控制列表：根据数据包的源IP地址来允许或拒绝数据包，标准访问控制列表的访问控制列表号是1-99。

扩展访问控制列表：根据数据包的源IP地址，目的IP地址，指定协议，端口和标志，来允许或拒绝数据包。扩展访问控制列表的访问控制列表号是100-199