DHCPDNSWEBFTP.docx
《DHCPDNSWEBFTP.docx》由会员分享,可在线阅读,更多相关《DHCPDNSWEBFTP.docx(80页珍藏版)》请在冰豆网上搜索。
DHCPDNSWEBFTP
3.5.2基本的NTFS许可
Windows2000中的NTFS文件权限极大的提高了系统的安全性。
它使得只有授权的用户才能访问特定的资源。
NTFS权限不仅在用户访问本地计算机的硬盘上的资源时受到限制,而且当在用户通过网络来访问资源的时候同样起作用。
这样一来,就使得重要的资源更加的安全。
注意,共享文件夹权限只能限制通过网络访问资源的情况,它不能限制用户访问他所使用的本地计算机上的资源,而且共享文件夹权限只能对文件夹赋予权限,不能对文件赋予权限。
在Windows2000中,每个用户在使用计算机之前必须进行登录。
登录过程要求用户提供合法的、经过授权的用户名和密码,每个用户的用户名是不一样的,登录的目的就是要确认用户的身份,也就是你是谁。
为了保护计算机上的资源,系统管理员必须给文件和文件夹分配相应的NTFS权限,而且还必须为用户分配访问权限。
如果没有给用户分配合适的权限,用户将无法访问任何资源。
1.NTFS权限的特点:
NTFS权限是分配给资源的,而不是分配给用户的。
也就是说,你可以对一个文件进行设置,允许或拒绝某用户访问这个文件;但不能对一个用户设置,使得这个用户可以访问某某文件。
NTFS权限又是针对用户的。
这一点区别于共享级的共享文件夹权限。
例如,在Windows98中,当我们访问网络中其它计算机上的共享文件夹的时候,会被提示输入访问密码。
访问密码有两种:
只读密码和完全访问密码。
根据我们输入的不同密码可以被赋予不同的访问权限。
注意,这里只是涉及到了访问密码,并没有涉及到用户名。
而在Windows2000中,由于用户在使用计算机之前必须输入用户名和密码,所以不管用户访问的是本地计算机资源还是网络资源,Windows2000都会查询系统的“访问控制列表(ACLAccessControlList)”并自动赋予用户相应的权限。
也就是说,资源不再是根据不同的访问密码来分配权限,而是根据不同的访问者来分配权限。
2.访问控制列表(ACLAccessControlList)
NTFS在每一个文件夹或文件上,都附有一个访问控制列表(ACL),ACL中记录着所有被分配了访问权限的用户、组和计算机的名称以及他们被分配的权限的类型。
如果一个用户想访问一个文件夹或文件,那么相应的ACL中必须包含一个纪录,这个记录叫做“访问控制项(ACEAccessControlEntry)”。
ACE中明确的记录着访问者对这个文件夹或文件的访问权限。
如果ACL中没有相应的ACE存在,那么Windows2000将拒绝用户对资源的访问。
3.基本许可
NTFS对文件夹和文件的权限是不一样的。
它们的各种权限见表3-2
表3-2NTFS文件夹权限和文件权限对照表
NTFS文件夹权限
NTFS文件权限
读取(READ)
显示此文件夹中的文件和子文件夹,显示此文件夹的属性、所有者和权限分配情况。
阅读此文件;显示此文件的属性、所有者和权限分配情况。
写入(Write)
在此文件夹中建立新的文件和子文件夹;改变文件夹的属性;显示此文件夹的所有者和权限分配情况。
改写此文件;改变文件的属性;显示此文件的所有者和权限分配情况。
列出目录(ListFolderContents)
显示此文件夹中的文件和子文件夹的名字。
文件权限不存在此项。
读取和运行(Read&Execute)
遍历此文件夹并具有“读取”权限和“列出文件夹目录”权限。
运行应用程序并具有“读取”权限。
修改(Modify)
删除此文件夹并具有“写入”权限和“读取和执行”权限。
修改和删除此文件并具有“写入”权限和“读取和执行”权限。
完全控制(FullControl)
改变权限设置;取得所有权;删除此文件夹中的文件和子文件夹并具有以上所述的所有权限。
改变权限设置;取得所有权并具有以上所述的所有权限。
图3-17权限设置界面
特别需要注意的就是这个文件和文件夹权限的区分。
例如,当我们为某个文件设定了“Read”的权限,则表示能够“阅读此文件;显示此文件的属性、所有者和权限分配情况”。
而如果是对某个文件夹设定了“Read”的权限,这个表示能够对这个文件夹有“显示此文件中的文件和子文件夹,显示此文件夹的属性、所有者和权限分配情况”的权限,此时如果在这个文件夹中新建了一个文件,则这个文件会从文件夹继承“Read”的权限,此时这个“Read”就是表示对文件的“Read”了,注意,当一个新的分区用NTFS格式化之后,Windows2000会自动将根目录的完全控制权限分配给Everyone组。
也就是说,缺省情况下,Everyone组将具有在此根目录上建立所有文件夹和文件的完全控制属性。
所以,为了限制未授权用户的访问,必须修改缺省权。
4.许可配置
只有管理员Administrator、被赋予了“完全控制”权限的用户、文件或文件夹的所有者才能给文件或文件夹分配NTFS权限。
所谓文件的所有者就是说这个文件是由这个用户建立的,所以这个文件属于这个用户。
在下一节中我们会看到,文件或文件夹的所有权是可以被文件或文件夹的建立者获得的。
在Windows2000中设置NTFS权限的界面如图3-19所示
权限的设置方法如下;
(1)右键单击要设置权限的文件和文件夹,单击“属性”,打开属性对话框,打开“安全”选项卡。
(2)若要设置新的用户或组的权限,单击“添加”,弹出选择用户对话框,双击要设置权限的组或用户的名称,单击“确定”关闭对话框。
若要从权限列表中删除组或用户,先在“名称”窗口中单击该组或用户的名称,然后单击“删除”。
注意,如果当前文件夹或文件同父文件夹之间有继承关系,那么将不能删除用户或组,必须取消继承关系才能进行删除工作。
(3)若要修改现有的组或用户的权限,先在“名称”窗口中单击该组或用户,然后在“权限”窗口中设置相应的权限。
缺省情况下,权限的继承是被选定的。
也就是父文件夹的权限会继承给子文件夹和文件。
但是你有可能会不希望这种继承关系存在。
例如,在一个文件夹Sales中存放着销售部的文档资料,所有的销售部的职员对此文件夹都有写入的权限。
但是销售部的经理希望他所写的一些文件不能被员工改写。
这时你可以为这些文件设置单独的权限,使得它们对普通职员只有“读取”的权限。
若要做到这一点,首先必须取消权限的继承。
取消继承的方法:
(1)用右键单击要设置权限的文件夹或文件,单击“属性”打开“安全”选项卡。
如果权限窗口中的复选框是灰色的,说明它已经继承了父文件夹的权限。
请注意窗口底部有一个复选框,这就是权限继承关系的设置选项。
缺省情况下它是被选定的,也就是允许权限继承。
单击这个复选框后会弹出一个提示对话框,它有三个按钮:
“复制”:
将从父文件夹继承过来的权限复制给当前文件夹或文件,而且当父文件夹的权限设置发生变化的时候不会影响到该文件夹或文件。
“删除”:
将从父文件夹继承过来的权限删除掉,而且当父文件夹的权限设置发生变化的时候不会影响到该文件夹或文件。
“取消”:
取消当前操作。
5.高级的NTFS许可
当一个用户属于不同的组,而这些组对同一个文件夹或文件具有不同的权限的时候,这个用户就拥有了多重NTFS权限,这个用户对该文件夹或文件的有效权限遵循下列原则:
(1)用户对一个资源的有效权限是它所被分配的所有权限的组合。
例如,User对文件夹A中的文件的权限是“读取”;User又属于组B,组B对文件夹A中的文件的权限是“写入”;所以,User对文件夹A中的文件的有效权限就是“读取”和“写入”的叠加。
(2)拒绝权限会覆盖其它所有权限。
当用户所具有的多重权限中有拒绝某一项权限的时候(例如拒绝“读取”或拒绝“写入”等等),这个权限将覆盖掉他所具有的相应的权限。
例如User属于组A和组B,User本身对File1有完全控制的权限,组A对File1有“写入”权限,组B对File1有拒绝“写入”权限,那么User对File1的有效权限就是拒绝“写入”。
3.5.3所有者
取得所有权的权限在管理用户对文件夹或文件访问的时候特别有用。
当一个文件夹或文件被建立之后,它的建立者就是它的所有者。
但是所有者并不是固定不变的;如果一个用户对一个文件夹或文件有“取得所有权”的权限,那么这个用户就有能力取得此文件夹或文件的所有权并成为该文件夹或文件的所有者。
成为所有者的好处是:
无论一个文件夹或文件对某个用户有多么严格的访问权限设置,一旦这个用户取得了该文件夹或文件的所有权后,他就可以更改权限设置了。
注意,一个文件夹或文件的所有者可以在没有“更改权限”权限的情况下更改文件夹或文件的权限。
如果想取得一个文件夹或文件的所有权,就必须拥有“取得所有权”的权限。
管理员组的成员拥有取得任何文件夹或文件所有权的能力。
即使在对文件夹或文件没有任何访问权限的情况下,管理员组的成员也能取得所有权。
例如,一个职员被调出了公司。
他在离开公司之前将他自己建立的一个文件夹的权限设置成了除了他自己的任何人都是无法访问的。
在这种情况下,包括管理员在内的任何人都不能对这个文件夹进行比如更名、删除等操作,甚至没有人可以打开这个文件夹。
但是因为管理员有取得任何文件夹所有权的能力,所以它可以先取得这个文件夹的所有权,然后再更改它的权限使得这个文件夹可以被访问。
取得文件夹所有权的界面如图3-18所示.取得文件夹所有权的具体方法如下:
图3-18所有者选项卡
(1)右键单击要设置权限的文件和文件夹。
单击“属性”打开属性窗口,打开“安全”选项卡。
这时你会发现“名称”窗口中没有任何用户或组存在。
(2)单击“高级”按钮。
然后单击“所有者”选项。
(3)在“将所有者更改为”窗口中单击管理员组Administrators,选中“替换子容器及对象的所有者”然后单击“确定”。
(4)单击“确定”关闭属性窗口。
经过了以上操作后,当再次打开安全属性窗口的时候,你会发现“名称”窗口中出现了用户和组的列表,而且也可以进行权限设置了。
3.5.4文件的拷贝和移动时的许可变化
当一个文件或文件夹被复制或移动的时候,它们的权限会根据被复制或移动的位置而发生改变。
1.复制文件夹或文件将遵循以下规律:
(1)在NTFS分区内部或两个NTFS分区之间复制文件夹或文件,此文件夹或文件将继承目标文件夹的权限属性。
(2)把文件夹或文件从NTFS分区复制到非NTFS分区上,此文件夹或文件将丢失所有NTFS属性。
因为非NTFS分区不支持NTFS属性。
注意,无论在NTFS分区内部或两个NTFS分区之间,要想进行文件复制工作,必须拥有对源文件夹的“读取”权限和对目标文件夹的“写入”权限。
2.移动文件夹或文件将遵循以下规律:
(1)在NTFS分区内部移动文件夹或文件,此文件夹或文件将保留它原来的权限属性。
(2)在两个NTFS分区之间移动文件夹或文件,此文件夹或文件将继承目标文件夹的权限属性。
实际上,在两个NTFS分区之间进行移动的操作就是先进行复制,然后再将其从源文件夹中删除。
(3)把文件夹或文件从NTFS分区移动到非NTFS分区上,此文件夹或文件将丢失所有NTFS属性。
因为非NTFS分区不支持NTFS属性。
注意,无论在NTFS分区内部或两个NTFS分区之间,要想进行文件移动工作,必须拥有对源文件夹的“写入”和“修改”权限以及对目标文件夹的“写入”权限。
对源文件夹的“修改”权限是必需的,因为删除文件必须拥有“修改”权限。
3.9几种系统测试程序和功能和应用
为了便于对网络的管理,Windows2000Server及Windows95/98/NT/XP等操作系统,都集成了一些常用的系统测试程序,如果能够掌握并熟练地使用这些工具,可以解决网络管理中的许多问题。
3.9.1PING工具程序
Ping无疑是网络中使用最频繁的小工具,主要用于确定网络的连通性问题。
1.使用Ping工具进行检查
Ping程序使用ICMP协议来简单地发送一个网络包并请求应答,接收请求的目的主机再次使用ICMP发回同所接收的数据一样的数据,于是Ping便可对每个包的发送和接收报告往返时间,并报告无响应包的百分比,这在确定网络是否正确连接,以及网络连接的状况(包丢失率)十分有用。
Ping是Windows操作系统集成的TCP/IP应用程序之一,可以在“运行”中直接执行。
2.Ping工具的命令格式和参数说明
Ping命令的格式为:
ping[-t][-a][-ncount][-l][-flength][-Ittl] [-vtos][-rcount][-scount][-jcomputer-list][-kcomputer-list][-wtimeout]destination-list
主要参数如下。
-tPing指定的计算机直到中断。
-a将地址解析为计算机名。
-ncount发送count指定的ECHO数据包数,默认值为4。
-1length发送包含由length指定的数据量的ECHO数据包。
默认为32字节;最大值是65,527。
-f在数据包中发送“不要分段”标志。
数据包就不会被路由上的网关分段。
-ittl将“生存时间”字段设置为ttl指定的值。
-vtos将“服务类型”字段设置为tos指定的值。
-rcount在“记录路由”字段中记录传出和返回数据包的路由;count指定最少1台,最多9台计算机。
-s count指定count指定的跃点数的时间戳。
-jcomputer—list利用computer--list指定的计算机列表路由数据包。
连续计算机可以被中间网关分隔(路由稀疏源),IP允许的最大数量为9。
-kcomputer--list利用computer-list指定的计算机列表路由数据包。
连续计算机不能被中间网关分隔(路由严格源),IP允许的最大数量为9。
-w timeout指定超时间隔,单位为μs。
destination-list指定要Ping的远程计算机。
3.用Ping工具测试本台计算机上TCP/IP协议的工作情况
可以使用Ping工具测试本台计算机上TCP/IP协议的配置和工作情况,方法是Ping本机的IP地址,如Pingl92.168.0.3,如果本机的TCP/IP协议工作正常,则会出现如
下所示的信息。
Pinging221.14.183.248with32bytesofdata:
Replyfrom221.14.183.248:
bytes=32time<10msTTL=64
Replyfrom221.14.183.248:
bytes=32time<10msTTL=64
Replyfrom221.14.183.248:
bytes=32time<10msTTL=64
Replyfrom221.14.183.248:
bytes=32time<10msTTL=64
Pingstatisticsfor221.14.183.248:
Packets:
Sent=4,Received=4,Lost=0(0%loss),
Approximateroundtriptimesinmilli-seconds:
Minimum=0ms,Maximum=0ms,Average=0ms
以上返回了4个测试数据包(Replyfrom……),其中bytes=32表示测试中发送的数据包大小是32个字节,time<10ms表示数据包在本机与对方主机之间往返一次所用的时间小于10ms,TTL=64表示当前测试使用的TTL(Time to Live)值为64。
若本机的TCP/IP协议设置错误,则返回如下所示的响应失败信息。
Pinging221.14.183.247with32bytesofdata:
Requesttimedout.
Requesttimedout.
Requesttimedout.
Requesttimedout.
Pingstatisticsfor221.14.183.247:
Packets:
Sent=4,Received=0,Lost=4(100%loss),
Approximateroundtriptimesinmilli-seconds:
Minimum=0ms,Maximum=0ms,Average=0ms
4.用Ping工具检查与远程计算机的连接情况
Ping工具不仅在局域网中广泛使用,在Internet中也经常使用它来探测网络的远程连接情况。
在平时的网络使用中,如果遇到以下两种情况时,就需要利用Ping工具对网络的连通性进行测试。
当某一网站的网页无法访问时,可使用Ping命令进行检测。
例如无法访问新浪网的网址时,可使用“ping”命令进行测试,如果返回类似于“Pinging[202.106.120.67]with32bytesOfdata:
……”的信息,说明对方主机已打开,否则在网络连接的某个环节可能出现了故障,或对方的主机未打开。
3.9.2IPConfig工具程序
利用IPConfig工具可以查看和修改网络中的TCP/IP协议的有关配置,例如IP地址、网关、子网掩码等。
在Windows95/98/Me中除IPConfig外,还有一个功能与之相同的工具程序Winipcfg。
只是IPConfig是以DOS的字符形式显示,而Winipcfg采用图形界面显示。
IPConfig也是内置于Windows的TCP/IP应用程序之一,用于显示本地计算机的IP地址配置信息和网卡的MAC地址。
运行IPConfig命令
运行IPConfig命令,可显示本地计算机所有网卡的IP地址配置信息,从而便于校验IP地址的设置是否正确。
如下面所示,从中也可以看到主机名(HostName)、DNS服务器地址等信息。
Windows2000IPConfiguration
HostName............:
sun-office
PrimaryDNSSuffix.......:
NodeType............:
Hybrid
IPRoutingEnabled........:
Yes
WINSProxyEnabled........:
No
DNSSuffixSearchList......:
EthernetadapterInternet:
Connection-specificDNSSuffix.:
Description...........:
RealtekRTL8139(A)PCIFastEthernet
Adapter
PhysicalAddress.........:
00-E0-4C-A0-74-23
DHCPEnabled...........:
No
IPAddress............:
221.14.183.248
SubnetMask...........:
255.255.254.0
DefaultGateway.........:
221.14.182.1
DNSServers...........:
202.102.224.68
该诊断命令显示所有当前的TCP/IP网络配置值。
该命令允许用户决定DHCP配置的TCP/IP值。
IPConfig[/all][/Renew[adapter][/release[adapter]
参数:
/all完整显示。
在没有该开关的情况下IPconfig只显示IP地址、子网掩码和每个网卡的默认网关值。
/renew[adapted]更新DHCP配置参数。
该选项只在运行DHCP客户端服务的系统上可用。
要指定适配器名称,可键入使用不带参数的IPConfig命令显示的适配器名称。
/release[adapter]发布当前的DHCP配置。
该选项禁用本地系统上的TCP/IP,并只在DHCP客户端上可用。
要指定适配器名称,键入使用不带参数的IPConfig命令显示的适配器名称。
如果没有参数,那么IPConfig将向用户提供所有当前的TCP/IP配置值,包括IP地址和子网掩码。
该应用程序在运行DHCP的系统上特别有用,允许用户决定由DHCP配置的值。
IPConfig是一个非常有用的工具,尤其当网络设置的是DHCP(动态IP地址配置协议)时,利用IPConfig可以让用户很方便地了解到IP地址的实际配置情况。
如果在IP地址为192.168.0.1的计算机上运行“iconic/all/batchwq.txt”后,可以将运行结果保存在wq.txt文件中(该文件名自定)中。
打开该文本文件将会显示相关的结果。
3.9.3网络路由跟踪工具程序Tracert
网络路由跟踪程序Tracert是一个基于TCP/IP协议的网络测试工具,利用该工具可以查看从本地主机到目标主机所经过的全部路由。
无论在局域网中,还是在广域网或Internet中,通过Tracert所显示的信息,既可以掌握一个数据包信息从本地计算机到达目标计算机所经过的路由,还可以了解网络堵塞发生在哪一个环节,为网络管理和系统性能分析及优化提供了非常有价值的依据。
1.跟踪路由
如果要跟踪本机到163网站之间所经过的路由,可以直接在操作系统的DOS提示符下输入“tracertwww.163.com”命令,将显示如下的信息。
Tracingrouteto[202.106.185.77]
Overamaximumof30hops:
13ms3ms3s61.159.62.1
234ms33ms32ms61.159.63.129
334ms41ms43ms202.99.164.169
……………………………………………………………
1048ms54ms44ms[202.106.185.77]
Tracecomplete
从以上信息可以看出,这条线路中一共经过了10个路由器。
通过查看每个路由的延时长短,可以判断每一段网络连接的质量好坏。
2.用Traced命令解决问题
使用Tracert命令可确定数据包在网络上的停止位置。
在下面的例子中,默认网关确定192.168.10.99主机没有有效路径。
这可能是路由器配置的问题,或者是192.168.10.0网络不存在(错误的IP地址)。
C:
\WINDOWS>tracert192.168.10.99
Tracingrouteto192.168.10.99overmaximumof30hops
110.0.0.1reports:
Destinationnetunreachable.
Tracertcomplete.
3.命令详解
命令格式:
Tracert[-d][—hmaximurnhops]
升级会员 