网络操作系统之Windows NT/2000/XP

Windows NT/2000/XP网络基本概念

1．工作组

工作组是一种将资源、管理和安全性都分布在整个网络里的网络方案。工作组中的所有计算机之间是一种平等的关系，没有从属之分，也没有主次之分。
工作组网络方式的优点是，对少量较集中的工作站很方便，且工作组中的所有计算机之间是一种平等的关系；管理员的维护工作少，实现简单。
工作组网络方式的缺点是，对工作站较多的网络管理方案不合适，无集中式的账号管理、资源管理、安全性策略，从而使得网络效率降低，管理混乱，网络资源的安全性难以保证。

2．Windows域

1) 域的概念
域也称为域模型，是网络管理和安全性策略都集中的网络方案。一个域可以包含一个或多个Server及工作站，而一个网络可以由多个域组成。域控制器主要管理域的登录信息及一些域的资源。
2) 域的组成
一个域由以下服务器和工作站组成：
(1) 主域控制器(PDC)：它必须是一台运行Windows NT Server的服务器，负责审核(Authenticate)登录者的身份。域上所有用户账号、组以及安全设置等数据都保存在“主域控制器”的目录数据库中。注意，一个域中只能够有一个主域控制器。
(2) 备份域控制器(BDC)：保存了域账户数据库的拷贝。所以，所有的备份域控制器以及主域控制器，均可处理来自域用户账户的登录请求。
3) 域模型
域模型主要分为以下几种：
(1) 单域模型：在这个模型中，网络只有一个域。由于网络中只有一个域，也不需要信任关系。
(2) 主域模型：网络中存在若干个域，但在这个模型中，只在一个域中创建网络中所有的用户，所有其他的域信任这个域。
(3) 多主域模型：在这个模型中，有小数目的主域。主域作为账户域，所有网络账户建立在其中一个主域上。每个主域信任所有其他的主域。
(4) 完全信任模型：在此模型中，网络中所有的域相互信任。

3．用户组

1) 用户
每一个登录到NT Server 上的用户，必须有一个账号，称之为用户账号(User Account)。用户账号包含用户名、密码、用户的说明、用户权限等信息。
2) 用户组
具有相同性质的用户归结在一起，统一授权，组成用户组(Group)。用户组可分成全局组、本地组和特殊组。
(1) 全局组：可以通行所有域的组。组内的成员可以到其他的域登录，它只能包含所属域内的用户，不可包含其他域内的用户或组。
(2) 本地组：可以包含本域中的用户、本域中的全局组用户、受托域的用户账号、受托域的全局组账号及本地计算机的用户账号。
(3) 特殊组：在系统安装完毕后，自动建立几个特殊组，如INTERACTIVE组(任何在本机登录的用户)、NETWORK组(任何通过网络连接的用户)、SYSTEM组(操作系统本身)、CREATOR OWNER组(目录、文件及打印工作的经理者/所有者)、EVERYONE组(任何使用计算机的人员)。

4．用户账号

使用网络，必须在网络的某个域中有用户账号。用户账号保存用户的信息，包括名字、密码以及用户权力、访问权限。用户账号分为两类：全局账号和本地账号。
NT Server 系统自动建立两个账号：Administrator与Guest。其中，Administrator是管理整个域的账号，不能删除，但可改名，称为“系统管理员”；Guest是供临时用户使用的，可以改名，也可以删除。

5. 支持的网络协议

1) NetBEUI协议
NetBEUI(NetBIOS Extended User Interface，NetBIOS扩展用户接口协议)是一种小型且快捷的协议，不能很好地运用于较大型的网络。
NetBEUI不是一种具有路由选择功能的协议，所以它实现起来很简单，但是较难扩展，也就是说无法建立广域网。
2) IPX/SPX协议
IPX/SPX是Novell Netware的协议，在NetWare的LAN上提供传输服务，支持中小型网络。IPX(Internetwork Packet Exchange)对应于OSI的网络层，负责从发送者向接收者传送消息包，这些包也包括路由包。
3) TCP/IP协议
TCP/IP由两种重要的协议组成：TCP(Transmission Control Protocol)即传输控制协议，对应OSI模型的传输层；IP(Internet Protocol)即网际协议，对应OSI模型的网络层。TCP/IP已成为一个标准的、可路由选择的、可靠的协议，并已成为广域网和Internet访问的标准。
TCP/IP网络中的每台机器都有一个IP地址，作为网络中的一个标识。常用的IP地址分为A、B、C三类，每类均规定了网络标识和主机标识在32位(4字节)中所占的位数。
4) DHCP
DHCP是BOOTP的扩展，它提供了一种动态指定IP地址和配置参数的机制，主要用于大型网络环境和配置比较困难的地方。
DHCP有两种工作方式：自动分配方式和动态分配方式。

6. 活动目录

1) 活动目录概述
Windows 2000放弃了Windows NT中的域管理方式，采用了目录管理技术——活动目录服务(Active Directory Service)，它是Windows 2000中的核心组件。活动目录采用基于LDAP(Light Directory Access Protocol，轻型目录访问协议)格式的系统设计，通过建立层次化的目录结构，对网络资源进行集中管理，大大提高了系统的可靠性和易用性。
活动目录包括两方面：目录和与目录相关的服务。目录(Directory)是存储有关网络上的对象信息的树状层次结构，如用户、计算机、文件和打印机等资源。目录服务(Directory Service)提供目录数据存储及网络用户和系统管理员访问目录数据的方法，使目录中所有的信息和资源发挥作用。
2) 活动目录的逻辑结构
活动目录以对象的形式存储关于网络元素的信息，提供了对象的完全树状层次结构视图。
(1) 对象。活动目录以对象的形式存储网络元素的信息，如计算机、用户等。
(2) 架构(Schema)。它是活动目录中的对象模型。通过建立对象模型来实现对LDAP的支持。
(3) 目录结构。在活动目录服务中，目录是指可以复制的数据存储区，它包含特定对象的一些相关信息，比如用户、组、计算机、组织单位和安全策略等。
(4) 逻辑单元。Windows 2000的活动目录逻辑单元包括域(Domain)、组织单元(OU)、域树(Tree)和域林(Forest)，它们构成了层次的结构。
(5) 域间的信任关系。在缺省情况下，一个在域A中的用户，其身份的有效性也只限于域A。
域间的信任关系总是涉及到两个域：施信域和受信域。
域间的信任关系分为单向信任、双向信任、可传递信任和不可传递信任。
单向信任：域A(施信域)信任域B(受信域)，但域B不信任域A。
双向信任：域A信任域B，域B信任域A。
可传递信任：延伸到一个域的信任关系也自动延伸到该域所信任的任何一个域上。
不可传递信任：信任关系只限于施信域和受信域两个域，并且缺省是单向信任，不能通过域之间上下传递。
3) 活动目录的物理结构
(1) 站点(Site)。活动目录中的站点与域是两个完全独立的概念。站点反映网络的物理结构，而域通常反映单位的逻辑结构。
(2) 域控制器。为运行Windows 2000 Server，并存放活动目录的计算机，域控制器可以有多个。
(3) 操作主机。操作主机是活动目录域中负责一个或多个功能的域控制器。
(4) 多主域复制。多主域复制是将数据从数据存储区或文件系统复制到多个计算机来同步数据的过程。
4) 活动目录与Internet
(1) 活动目录所支持的标准协议。活动目录广泛采用Internet标准，把众多的Internet服务集成在一起，提供了很高的使用价值。
(2) 活动目录与DNS。DNS是一种域名解析服务，它将域名解析为IP地址。DNS是建立在TCP/IP基础之上的标准协议。
5) 活动目录的优点
Windows 2000 Server集成的活动目录使网络管理员可以少花一点时间完成更多、更安全的管理任务，而且提高了互操作性。
活动目录主要有以下几个方面的优点：
可伸缩性；
活动目录对管理的简化；
灵活的查询；
安全性。

Windows NT/2000网络结构

1. Windows NT网络结构

Windows NT的网络结构包括I/O管理器组件、NDIS兼容的网卡驱动程序、NDIS 4．0、传输协议、传输驱动程序接口(TDI)及文件系统驱动程序。
Windows NT的网络功能有别于其他的操作系统，如MS-DOS，Windows 3.x，这些操作系统网络能力是单独安装的，而Windows NT的网络能力是内置的，这些网络功能使得Windows NT计算机能与其他计算机共享文件、打印机和应用程序。
1) I/O管理器组件
I/O管理器中的组件被组织为以下几个结构层次：
(1) NDIS 4.0兼容的网卡驱动程序：它通过在网卡传输协议之间起作用，将基于Windows NT的计算机连接到网络中。
(2) 传输协议：它使得计算机之间可靠的数据流传输成为可能。
(3) 文件系统驱动程序：它使应用程序能够访问本地和远程的系统资源。
2) NDIS兼容的网卡驱动程序
NDIS可兼容的网卡驱动程序在网卡和计算机的硬件、固件和软件之间协调通信。网卡是计算机和网络之间的物理接口。
3) NDIS 4.0
NDIS 4.0用于将Windows NT网络结构模块化，并且使得一个服务能从一个组件传到另一个组件。
Windows NT的网络结构包括两个接口，这将允许网络组件能通过这两个边界层来通信。
NDIS 4.0定义了协议用于和网卡驱动程序通信的软件接口。
NDIS 4.0为基于Windows NT的计算机提供了以下一些功能：
(1) 在网卡和网卡驱动程序之间建立通信连接。
(2) 允许传输协议和网卡驱动程序之间保持相互独立。
(3) 允许一台计算机中有多个网卡。
(4) 允许多种协议绑定到同一个网卡上。
4) 传输协议
位于NDIS 4.0接口之上的是传输协议，它控制在多台主机之间的通信。这些协议通过NDIS 4.0可兼容的网卡驱动程序同网卡通信。Windows NT支持多个协议同时绑定到一个或多个网卡上。Windows NT支持以下一些协议：
(1) TCP/IP协议是一个可路由的支持广域网的协议。它是Internet的基础。
(2) Nwlink IPX/SPX兼容协议是一个NDIS 4.0兼容协议，用户可以使用Nwlink和MS-DOS，OS/2，Windows或基于Windows NT的计算机进行通信。
(3) NetBEUI支持现存的LAN Manager，LAN Server，Windows 95和Windows for Workgroups。
(4) DLC用于SNA主机和网络打印机通信的接口，因此它不能用于和其他系统建立文件和打印机连接。
(5) 当Apple Macintosh客户连接到一台运行Windows NT Server的主机上时，Apple TALK用作Macintosh服务。
5) 传输驱动程序接口
传输驱动程序接口(TDI)提供了文件系统驱动程序，例如，Workstation服务(转发器)或Server服务(服务器)和各种协议之间通信的通用应用程序接口。TDI也是一种让Redirector和Server与协议保持独立的标准。
6) 文件系统驱动程序
文件系统驱动程序位于TDI上层，它允许用户模式的应用程序访问系统资源，例如，从I/O操作到NTFS分区的读调用，或使用Workstation服务对远程资源进行读操作。

2．Windows 2000网络结构

Windows 2000的网络构架的各类组件包含以下几方面：
(1) 网络API：为应用程序提供一种独立于协议的方式，用于网络通信。
(2) 传输的驱动程序接口(TDI)客户：是核心态的设备驱动程序，而设备驱动程序通常实现了网络API的核心态部分。
(3) TDI传送器(TDI Transport)：又称为传送器、NDIS协议驱动程序以及协议驱动程序，是工作在核心态的协议驱动程序。
(4) NDIS库(Ndis.sys)：为适配驱动程序提供了封装，隐藏了Windows 2000核心态环境下的具体细节。
(5) NDIS小端口驱动程序(NDIS Miniport Driver)：是工作在核心态的驱动程序，它负责将TDI传送器接入特定的网络适配器。
欢迎大家加我微信交流讨论（请备注csdn上添加）