【正文】 （ SRM） ? 負(fù)責(zé)檢查具有權(quán)限的用戶訪問對象和試圖執(zhí)行的任何操作。 ? SRM負(fù)責(zé)訪問控制和審查策略，由 LSA支持。提供客體（文件、目錄等）的存取權(quán)限，檢查主體（用戶賬戶等）的權(quán)限，產(chǎn)生必要的審查信息?？腕w的安全屬性由安全控制項（ ACE） 來描述，全部客體的 ACE組成訪問控制表（ ACL）。 沒有 ACL的客體意味著任何主題都可訪問。而有 ACL的客體則由 SRM檢查其中的每一項 ACE， 從而決定主體的訪問是否被允許。 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) 訪問控制 ? 允許或限制訪問的特征： – 用戶帳號 – 用戶權(quán)利 – 用戶組 – 主體和模仿 – 對象的安全信息（權(quán)限） 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) 一、用戶帳號 ? 在域中獨立用戶必須有一個用戶帳號，以進(jìn)行登錄和使用域的資源。 ? 管理員建立用戶帳號時，需要分配用戶名，指定用戶的標(biāo)識數(shù)據(jù)，并定義該用戶在系統(tǒng)中的權(quán)限。 ? 用戶帳號包含用戶信息、組成員關(guān)系和安全策略信息。 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) ? Windows NT Server給新帳號分配了一個唯一的 安全標(biāo)識符 SID。 每個 SID在任何時候都是唯一的。 ? 當(dāng)用戶登陸時， Windows NT 生成一個安全訪問標(biāo)記 。該標(biāo)記包含用戶的安全標(biāo)識符，以及該用戶所屬組的其他安全標(biāo)識符。同時包含該用戶名及所屬組的其他用戶名等信息。該用戶的每個進(jìn)程都會獲得該用戶的訪問標(biāo)記副本。 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) 二、用戶權(quán)利 ? 用戶權(quán)力決定用戶能執(zhí)行哪些操作。 ? 一般為一個組用戶定義用戶權(quán)利，某個用戶帳號加入這個組時自動享有指定用戶權(quán)利。 ? 可能需要改變的默認(rèn)用戶權(quán)力有本地登錄和關(guān)閉系統(tǒng)等。 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) 三、具有相近需求的組用戶 ? 管理員根據(jù)用戶在網(wǎng)絡(luò)上進(jìn)行分組，使同組具有相同的權(quán)利和權(quán)限。 ? 組賬號的兩種類型： – 全局組 – 本地組 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) 全局組 ? 由同一個域中的幾個用戶帳號組成，這些用戶帳號被分配在一個組賬號名下。 ? “ 全局 ” 表示該組具有實用多個域中資源的權(quán)利和權(quán)限。 ? 運(yùn)行 Windows NT Workstation的計算機(jī)或者作為成員服務(wù)器的計算機(jī)不能創(chuàng)建全局組。 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) 本地組 ? 由一個或多個域中的用戶帳號或者全局組構(gòu)成，用戶帳號和全局組被安排在同一個賬號名下。 ? “ 本地 ” 表示該組僅有使用本域中資源的權(quán)限和權(quán)利。 ? 本地組可以包含用戶和全局組，不能包含其他本地組。 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) 組的使用原則 ? 最好把權(quán)力和權(quán)限分配給本地組。通過使用全局組的方法把用戶添加到本地組中。將很多用戶添加到另一個域中的最佳方法是全局組。包含該全局組的本地組將必要的權(quán)利和權(quán)限提供給加入的全局組。 ? 將用戶加入本地組最有效的方法是全局組。 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) 四、主體與模仿 ? 主體（ Subject） 包含用戶的 訪問標(biāo)記 和按用戶意愿運(yùn)行的 程序 。 ? Windows NT使用主體跟蹤和管理用戶運(yùn)行程序所具有的權(quán)限。 ? Windows NT安全體系架構(gòu)中的兩類實體： – 簡單實體 ：對應(yīng)的用戶登錄時指定安全環(huán)境的進(jìn)程。 – 服務(wù)器主體 ：作為保護(hù)方式的服務(wù)器執(zhí)行的進(jìn)程，具有作為客戶機(jī)的其他主體。 ? Windows NT允許進(jìn)程通過一項稱為 “ 模仿 ”的技術(shù)獲取另一進(jìn)程的安全屬性。 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) 五、對象的安全信息（權(quán)限） ? 安全描述符描述對象的安全屬性，包含： – 安全標(biāo)識符（ Object Owner SID ） – 組安全標(biāo)識符（ Group SID ） – 自選訪問控制列表（ DACL ） – 系統(tǒng)訪問控制列表（ SACL ） 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) Windows NT Server域 ? 域是一個共享公共安全性和用戶帳號信息的網(wǎng)絡(luò)服務(wù)器和其它計算機(jī)的邏輯組。 ? 域結(jié)構(gòu)在維護(hù)安全的網(wǎng)絡(luò)方面具有優(yōu)勢： – 單一登錄進(jìn)程； – 全域資源訪問； – 集中化網(wǎng)絡(luò)管理。 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) 一、域控制器 ? 域控制器是運(yùn)行 Windows NT Server，并使用一個共享目錄存放整個域中的安全和用戶帳號信息的計算機(jī)。 ? 負(fù)責(zé)位域驗證用戶身份的服務(wù)器。 ? 有兩種域控制器： – 主控制器 PDC – 備份控制器 BDC 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) 二、成員服務(wù)器 ? 成員服務(wù)器不存儲目錄數(shù)據(jù)庫的副本。不能鑒別賬號，也不能接受同步產(chǎn)生的目錄數(shù)據(jù)庫的副本。 ? 用來執(zhí)行特定的任務(wù)，如打印或文件服務(wù)器。 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) 三、委托關(guān)系 ? 委托關(guān)系使多個域之間的安全得到保證。委托關(guān)系是能把兩域組合成為一個管理單元的連接，該管理單元有權(quán)訪問兩個域中的資源。 ? 兩種類型： – 單項委托關(guān)系 ：一個域 (委托域 )委托其他域中（受托域）的用戶使用其資源。 – 雙向委托關(guān)系 ：每個域都委托對方域中的用戶帳號。 – 使用任何一個域中的資源都要受限于資源有關(guān)權(quán)限 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) 四、域安全策略 ? 域的三種安全策略 – 賬號策略 ：控制用戶帳號如何使用密碼。 – 審計策略 ：控制安全日志需要記錄的事件類型。 – 委托關(guān)系策略 ：控制哪些是受托域，哪些是委托域。 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) 五、計算機(jī)賬號和安全通信通道 ? 計算機(jī)賬號 是域中每臺運(yùn)行 Windows NT Workstation和 Windows NT Server的計算機(jī)在目錄數(shù)據(jù)庫中的賬號。 ? 安全通信通道 是 Windows NT Workstation和 Windows NT Server的計算機(jī)登錄上網(wǎng)時，客戶機(jī)的 NetLogon服務(wù)程序和服務(wù)器上的NetLogon間建立的通信會話。 ? 兩者能使管理員遠(yuǎn)程管理工作站和成員服務(wù)器。 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) 六、混合操作系統(tǒng)環(huán)境的安全性 ? Windows NT Server有一個 開放 的網(wǎng)絡(luò)結(jié)構(gòu)，具有和其他網(wǎng)絡(luò)產(chǎn)品通信的靈活性。 – 工作組客戶機(jī) – Windows 95客戶機(jī) – MSDOS客戶機(jī) – Novell NetWare客戶機(jī) 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) 七、登錄和身份驗證過程 ? 可啟動登陸身份驗證的兩種登陸過程： – 交互式登陸 – 遠(yuǎn)程登錄身份驗證 ? 登陸方式 – 在運(yùn)行 Windows NT Workstation或 Windows NT Server的計算機(jī)上進(jìn)行成功遠(yuǎn)程登錄的步驟。 – 工作組計算機(jī)遠(yuǎn)程登錄到域中運(yùn)行 Windows NT計算機(jī)的步驟。 – 域計算機(jī)成功遠(yuǎn)程登錄到同一域中運(yùn)行 Windows NT 計算機(jī)的步驟。 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) 八、 NetLogon服務(wù) ? 僅給用戶提供對域中的 PDC和所有 BDC進(jìn)行訪問的單一訪問點。也使 PDC和所有域控制器上的目錄數(shù)據(jù)庫同步變化。 – 更改日志 – 部分與完全同步 – 用戶身份驗證 ? 發(fā)現(xiàn) ? 安全通信通道 ? 域間委托賬號 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) 計算機(jī)網(wǎng)絡(luò)的測試與維護(hù) 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) 網(wǎng)絡(luò)故障診斷概述 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) 一、網(wǎng)絡(luò)故障診斷的目的 ?確定網(wǎng)絡(luò)的故障點，恢復(fù)網(wǎng)絡(luò)的正常運(yùn)行； ?發(fā)現(xiàn)網(wǎng)絡(luò)規(guī)劃和配置中的問題，改善和優(yōu)化網(wǎng)絡(luò)的性能； ?觀察網(wǎng)絡(luò)的運(yùn)行狀況，及時預(yù)測網(wǎng)絡(luò)通信質(zhì)量 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) 二、產(chǎn)生網(wǎng)絡(luò)故障的原因 ? 物理層問題 ，由于物理設(shè)備相互連接失敗或者硬件及線路本身而引起的問題； ? 數(shù)據(jù)鏈路層問題 ，包括網(wǎng)絡(luò)設(shè)備接口的配置等問題； ? 網(wǎng)絡(luò)層問題 ，由于網(wǎng)絡(luò)協(xié)議配置或操作引起的錯誤； ? 傳輸層問題 ，由于性能或通信擁塞引起傳輸超時問題； ? 應(yīng)用層問題 ，包括網(wǎng)絡(luò)操作系統(tǒng)（ NOS）、 網(wǎng)絡(luò)應(yīng)用程序或網(wǎng)際操作系統(tǒng)（