第四章网络操作系统的资源共享

域本地组、全局组、通用组

域本地组：用户来自于全林，权限适用 于本域。 全局组：用户来自于本域，权限适用于 全林。 通用组：用户来自于全林，权限适用于 全林。 只有域本地组专用于在本地赋予权限， 所以，一般域本地组总是最后被应用。
树或域树、林



共享同样表结构和配置的一些“域”， 形成一个连续的名字空间称为“树”或 “域树”。 “树”中的“域”通过信任关系连接在 一起。 多个相关的“域树”可以组成一个 “林”。
用户的权限


用户的权限是有高低的，有高权限的用 户可以对低权限的用户进行操作，但除 了系统管理员或超级用户之外，其他组 的用户不能访问文件卷上的其他用户资 料，除非他们获得了这些用户的授权， 低权限的用户无法对高权限的用户进行 任何操作。
超级管理员用户



管理员或超级用户可以做任何事情 一般情况下会将这个拥有超级权限的用户更 改其账户名称并将其进行隐藏，或使用强密 码保护。 强密码是指组合了数字和字符，大小写混杂 的有一定长度的难以破译的密码。 Windows操作系统的管理员账户不能删除， 但可以更名；unix操作系统的超级用户名不 能更改。
– 操作系统限制 – 身份认知 – 共享资源的访问控制
文件映射


共享大量数据的方法：文件映射和共享内存 文件映射就是将文件的内容复制到进程虚拟 地址空间中，文件映射能使进程把文件内容 作为进程地址区间的一块内存来对待，不需 要使用文件的输入、输出操作，进程可以使 用简单的指针操作检查和修改文件的内容。 文件映射一般通过系统调用的方式实现。 文件映射只可以用于本地计算机上的进程之 间，不能用于网络上。
全局组


全局组成员来自于同一个域的用户账户 或其他全局组，也就是说能够添加到全 局组的成员可以使本域的成员或者其他 全局组。全局组也是权限管理。 全局组可以嵌套
通用组


通用组成员来自任何可信任的域中的用 户账户、全局组合其他的通用组，但通 用组的成员不是保存在各自的域控制器 上，而是保存在全局编录中，所以也可 以作为用户管理，当发生变化时能够全 局复制。 通用组可以嵌套
域的概念



域是一组计算机构成的逻辑组织单元， 管理员通过它对网络上的计算机系统进 行安全管理。 域成员中的计算机有域控制器，域成员 服务器和域成员计算机三种。 存放了包含域的所有信息的域数据库的 服务器称为域控制器。
用户账号和用户组



在网络系统中，用户的身份是完全通过账号 （用户名）来体现的，用户名表示网络系统 上的用户的身份；权限用于授权用户在网络 系统上进行特定的任务；许可则允许用户使 用特定对象。 用户组就是具有相同特征的用户的集合体， 它只有一些管理的权限和许可。用户基于用 户组获得必要的资源访问许可和权限。 当希望某些用户共享一些资源的时候，可以 采用组来管理。用户组中的成员（即用户） 享有相似的权限。
访问共享目录


在网络操作系统环境下，对每一个文件可以 设置共享权限。对同一组的每一个文件均设 置权限工作量会很大，所以，可以将该组文 件放置在一个目录下，将这个目录设置成共 享，并且可以隐含着该目录下的所有子目录 也可以共享。 不同的操作系统对共享目录的管理也不同， UNIX系统一般将软硬件设备对象以文件或目 录的形式表示；而windows系统在根目录上 一般是以盘符表示，称为文件卷。
密码保护


对用户的登录，或者对受限文件的访问， 最简单的方式是采用密码保护。 Linux系统将密码存放在/etc/passwd/中， 为避免泄密，一般做成影子文件 /ect/shadow
共享访问的限制


网络操作系统对共享访问的限制是通过 用户权限和文件访问控制列表（ACL） 来实现的。 共享访问一般要经过三重限制
共享的安全性


权限设置 密码保护 共享访问的限制
权限设置



网络系统中要保证一台服务器的安全，一般 要对用户进行权限分配 能够进行权限分配的网络操作系统一定是一 个支持多用户、多任务的系统，这是权限设 置的基础。 一切权限设置都是基于用户和进程而言的， 不同的用户在访问计算机时，将会有不同的 权限。 网络操作系统中，一个用户组的不同用户可 以有不同的权限。


共享打印机的功能



支持多个用户同时打印 建立连接和拆除连接 连接多台打印机作为共享打印机 提供多种多样的打印方式
– 专用服务器方式 – 分布方式
网络文件和数据的共享



网络文件系统时在普通文件系统基础上，添加网络通 信协议而构成的。网络文件系统通过挂载和远程过程 调用实现。 挂载是获取远程机器上的不同文件系统结构并返回要 访问的文件系统的基本参数的过程，这些参数是以后 对该远程文件系统进行操作的基础。 网络文件系统的底层是由SUN公司研制的UNIX表示 层协议，在应用上是基于UDP/IP协议，拥有指定的 端口2049。其实现主要是采用远程过程调用（RPC） 机制，RPC提供了一组与机器、操作系统以及底层传 输协议无关的存取远程文件的操作。
Windows系统中七种权限



完全控制 修改 读取和运行 列出文件夹目录 读取 写入 特别的权限
完全控制权限


就是对此卷或目录拥有不受限制的完全 访问，地位就像管理员在所有组中的地 位一样。 选中了“完全控制”，下面的五项（修 改、读取和运行、列出文件夹目录、读 取、写入）属性将被自动被选中。
第四章 网络操纵系统的资源共享
重点是要求理解网络资源的含义，网络 资源的范围，掌握网络资源共享的基本 方法。
考核内容



资源管理概念 硬件资源共享 网络文件和数据的共享 其他网络资源共享 共享的安全性 文件映射方法
识记考核知识点


网络软、硬件资源的概念，文件映射的 概念 安全的概念：权限设置，密码保护 内存共享的概念
本地组



本地组只供一个结点主机的管理和使用， 也就是联接到本地计算机的用户组。 本地组的成员可以来自本地计算机或者 所有的可信任域。 信任域是指来自该域的用户和用户组是 可以允许被加入到本域的。
本地组和域本地组

本地组存储在本地计算机中，操作对象是本 机。 域本地组存储在域控制器上，操作对象是域。 本地组是用户管理，域本地组是权限管理， 本地组的管理更为严格，权限也更多。 当使用域账号登录域中任意一台计算机后， 默认情况下是普通的users组权限，如果要提 升成管理员权限，需要把这个域账号添加到 本地计算机的Administrators组中。也就是说， 要成为管理员权限，则一定要严格要求加入 到本地组中。
域和工作组


域一般是指一个物理的实体，是享有共 同安全措施的某些计算机。 工作组是网络上集合在一个组内的计算 机，这些计算机之间可以方便地查找、 访问和共享资源。
用户和用户组之间的关系




一对一，某个用户可以是某个组的唯一 成员 多对一，多个用户可以是某个组的成语， 不归属其他用户组。 一对多，某个用户可以是多个组的成员。 多对多，多个用户对应多个组， 并且 几个用户可以归属相同的组。
修改权限

选中了“修改”，下面的四项（读取和 运行、列出文件夹目录、读取、写入） 属性将被自动被选中。其中任何一项没 被选中，“修改”条件将不成立。
读取和运行权限




就是允许读取和运行在这个卷或目录下 的任何文件，“列出文件夹目录”和 “读取”是“读取和运行”的必要条件。 “列出文件夹目录”是指只能浏览该卷 或目录下的子目录，不能读取，不能运 行。 “读取”是能够读取该卷或目录下的数 据。 “写入”就是能往该卷或目录下写入数
共享资源管理


Windows是通过活动目录（Active Directory） 来对共享资源进行管理的。 共享资源一般有以下几种：
– 硬件资源 – 文件和目录

硬盘作为存储的主要载体，一般不将硬盘作 为一个设备单独拿出来共享，而是以文件卷 的形式出现，或者只以文件夹的形式出现。
硬件资源共享
同一个资源可以被多个用户使用， 因此称为资源共享。硬件资源共享主要 是指计算机中的各种硬件设备的共享。 以虚拟设备方式实现硬件资源共享 以文件服务方式实现硬件资源共享 打印机共享
用户权限的设置


不同用户的权限，Windows系统下是通 过对目录的共享设置来实现的。 Windows操作系统只有在NTFS文件卷 下可以设置目录权限。 UNIX采用一种更为简单的方式，通过 一个位示图表，分别许可文件或目录的 拥有者、同组成员或其他人员的读取 （R）、写入（W）和运行（X）权限。
共享文件的属性


操作系统可以通过对目录的共享设置实 现对文件的共享限制，也可以通过直接 对文件的共享属性设置来控制对其的访 问。 文件共享属性（文件拥有者、同组成员、 其他人）
– 读（R）、写（W）、运行（X）
共享的基本原理

Windows下文件和数据的共享大多数是 通过NetBIOS和windows2000下的445 号端口实现的，而在UNIX NFS中是通 过2049端口实现的。这些服务允许文件 通过网络共享，计算机拥有者和管理员 使用这些服务来使他们的文件系统具有 可读性和可写性，以此来提高数据访问 的便携性。
Windows中权限管理

在windows系统中，对用户权限和许可 的控制是在文件或文件夹的安全选项卡 中设定的。在“组或用户名称”中可以 添加对此文件夹享有权限的用户或者组。
文件夹授权的方法


第一种在安全属性页中一个一个添加用 户并配置相应的权限。 第二种在域控制器中创建相应的组，在 安全属性页中添加创建的组。
内置组


为了管理方便，网络操作系统会预先设 置好一部分用户组，并分配好这些组特 定的权限和许可，这样管理员无需授予 用户管理特权就可以委派其某些任务。 这样的用户组称为内置组。 内置组及权限（见P126表4-1）
System组


拥有比Administrators还高的权限，但 不允许任何用户的加入，在查看用户组 的时候，它不被显示出来，系统和系统 级的服务正常运行所需要的权限都是靠 它赋予的。该组只有一个用户SYSTEM。 如果这台计算机已加入域，则域的 Domain Admins会自动地加入到该计算 机的Administrators组内。
网络文件和数据的共享方式


在网络环境下，可以采用数据移动和计 算移动两种方式实现文件和数据的共享。 当计算机相对简单，而计算需要的数据 量较大，且计算过程和数据分处异地时， 采用计算移动相对简单些。
网络资源共享



网络工作站上配置了所需要的服务、协议和 网络适配器，就可以利用集成在网络操作系 统中的命令和工具在网络上共享资源。 为了实现网络上的资源共享，合法的用户资 源是必须的。 在一个工作组的环境中，注册的结点主机根 据本地安全文件验证用户和密码，在域环境 中，用户名和密码验证是域控制器处理的。 当用户成功登录到工作组和域以后，用户通 过网络接口访问共享资源，也可以在命令行 提示下发出命令或者在命令行环境下运行批 处理命令来访问所需要的网络资源。
领会考核知识点



网络用户账号、用户组账号以及他们的关系 域、域树、林以及它们的关系 共享资源的管理方法 硬件资源共享：虚拟设备方法、文件服务方 法 网络文件系统的实现方法 网络文件和数据的共享方式 网络资源共享的实现 共享访问的限制 网络的安全性的实现
应用考核知识点


Fra Baidu bibliotek
用户和用户组权限的配置 硬件资源共享的方法 文件服务共享的实现 打印机共享的实现方法 数据移动和计算机移动的实现方法
4.1 资源管理的概念




在一个网络系统中，网络操作系统需要知道系 统中有哪些可用资源，根据用户进程的需要， 分配网络资源给用户进程。 资源共享是网络操作系统的重要特征之一。 共享的资源可以是外部设备、处理机，也可以 是代码和数据以及系统中的文件、文件夹等。 网络操作系统在对网络资源管理时，是通过用 户的个人账户和附加在账户上的属性来体现的。 通过划定用户组（或域）并赋予用户组（或域） 权限，使得某个用户（或域）的成员通过网络 能够共享他们计算机上的资源。