一、用户与组介绍

1.1、用户账户

    Windows的用户帐户是对计算机用户身份的识别，且本地用户帐户和密码信息是存储在本地计算机上的（即由：安全账户管理器【Security Accounts Manager】负责SAM数据库的控制和维护；SAM数据库则是位于注册表的【计算机\HKEY_LOCAL_MACHINE\SAM\SAM】下，受到ACL保护），SAM文件在【C:\Windows\System32\config】路径下。SAM对应的进程：lsass.exe 。通过本地用户和组，可以为用户和组分配权利和权限，从而限制用户和组执行某些操作的能力。 不同的用户身份拥有不同的权限 每个用户包含一个名称和一个密码，用户帐户拥有唯一的安全标识符(Security Identifier，SID)。

如果我们去进程管理里面杀死 lsass.exe 进程时，windows会提示遇到错误，然后关机。

1.2、组账户

    组账户是一些用户的集合；且组内的用户自动拥有组所设置的权限。

①组账户是用户账户的集合，用于组织用户账户；

②为一个组授予权限后，则该组内的所有成员用户自动获得改组的权限；

③一个用户账户可以隶属于多个组，而这个用户的权限就是所有组的权限的合并集。

二、用户账户与组账户

2.1、用户账户

用户账户分为两种类型：【本地用户账号】和【全局用户账号(也叫：域用户账号)】

    ①本地用户账号是创建于本地计算机（它的作用范围：仅仅限于创建它的计算机，控制用户对本地计算机上的资源访问）。

    ②全局用户账号创建于域服务器，可以在网络中的任意计算机上加入域后使用，使用范围是整个域网络。

2.1.1、Windows 默认用户账户

    Windows的默认用户账户用于特殊用途，一般不用更修改其权限。

拥有的权限大小：System > Administrator > User > Guest

2.1.2、用户账户的查看、创建和提升权限 

2.2、组账户

2.2.1、Windows内置的组账户

    动态包含成员内置组的成员由Windows程序“自动添加” ，Windows会根据用户的状态来决定用户所属的组 ，组内的成员也随之动态变化，无法修改 。

2.2.2、组的查看、创建和删除

 三、访问控制

    Windows的访问控制列表(Access Control List)：访问权限决定着某个用户可以访问的文件和目录 对于每一个文件和文件夹，由安全描述符(SD)规定了安全数据、安全描述符决定安全设置是否对当前目录有效，或者它可以被传递给其他文件和目录。

    当一个用户试图访问一个文件或者文件夹的时候，NTFS 文件系统会检查用户使用的帐户或者账户所属的组是否在此文件或文件夹的访问控制列表（ACL）中。如果存在，则进一步检查访问控制项 ACE，然后根据控制项中的权限来判断用户最终的权限。

3.1、Windows的访问控制 

  3.2、可以使用命令查看账号的SID

//查看系统当前用户的SID
whoami  /user
//查看所有用户的SID     
wmic useraccount get name,sid      

3.3、用户账户控制（UAC）

    用户帐户控制（User Account Control，简称：UAC)是微软公司在其Windows Vista及更高版本操作系统中采用的一种控制机制。原理是：通知用户是否对应用程序使用硬盘驱动器和系统文件授权，以达到帮助阻止恶意程序（有时也称为“恶意软件”）损坏系统的效果。 UAC要求用户在执行可能影响计算机运行的操作或执行更改影响其他用户的设置的操作之前，提供一个确认的对话框窗口，使用户可以在执行之前对其进行验证，UAC可以帮助防止恶意软件和间谍软件在未经许可的情况下在计算机上进行安装或对计算机进行更改。

3.4、Windows访问控制的其他详细资料 

Windows访问控制 - Windows Access Control 【其他的详细资料】https://rootclay.gitbook.io/windows-access-control/

​祝大家（Dan Shen Gou）七夕情人节快乐（Chi Gou Liang）~

🍉学习背景

在平时开发及运维的过程中，通常多多少少都需要做了一些Linux运维相关的工作，其中用户组以及用户管理比较常用，单独抽出来整理了一下，方便复习和查看，也希望能帮到一些有需要的朋友，特别是刚进入职场的小伙伴~

☀️一、用户组管理

😀1.1 用户组查看

命令： cat /etc/group

显示格式： 组名: x : 组标识号(GUID) : 附加用户
前面很多组都是系统自带的，新加或者修改的用户组在最后面。

也可以查看指定用户组信息 cat /etc/group|grep 指定用户名

示例：cat /etc/group|grep tomcat

–说明： 表示查看tomcat用户组在/etc/group中的信息~

🍈1.2 用户组添加

命令： groupadd 选项 用户组名

–常用选项

🍌1.2.1 直接添加用户组

命令： groupadd 选项 用户组名

示例： groupadd grouptest1
–说明： 表示创建grouptest1用户组，无选项时，组标识号默认为当前组标识号最大值+1，假设当前组最大标识号为1000，则groupadd grouptest1后grouptest1的组标识号为1001

🍊1.2.2 指定GID值添加用户组

命令： groupadd -g 用户组名

示例： groupadd -g 1002 grouptest2
–说明： 表示创建grouptest2用户组，并且指GID值=1002，且不允许GID重复，否则提示
groupadd: GID ‘1002’ already exists

示例： groupadd -o -g 1003 grouptest3
–说明： 表示创建grouptest3用户组，并指定GID值=1003，允许GID值重复。

🍋1.3 用户组修改

命令： groupmod 选项 用户组名

–常用选项

示例： groupmod -n grouptest1 gtest1
–说明： 表示修改用户组名grouptest1为gtest1用户组名；

示例： groupmod -g 1001 grouptest3
–说明： 表示修改用户组grouptest3的GID=1001，且不允许GID重复，重复则提示
groupmod: GID ‘1001’ already exists

示例： groupmod -o -g 1002 grouptest3
–说明： 表示修改用户组grouptest3的GID=1002，指定-o说明允许GID重复。

🍌1.4 用户组删除

命令： groupdel 用户组名
示例： groupdel gtest1
–说明： 表示删除用户组gtest1，如果用户组下，用户不为空，则不允许删除，强制删除会提示
groupdel: cannot remove the primary group of user 该用户组下存在的用户名

此时，可以根据上述中的错误提示产出该用户组下存在的用户名 ，删除用户命令userdel 该用户组下存在的用户名

如果删除用户提示 userdel: user 用户名 is currently used by process 16234
表明用户正在使用占，因此有进程占用，需要强制杀掉该用户占用的进程kill -9 16234
再重新删除用户 userdel 用户名
删除gtest1用户组下所有用户后，最后再删除用户组 groupdel gtest1

🍊1.5 用户组密码

命令： gpasswd 用户组名

示例： gpasswd gtest
会提示如下：
Changing the password for group gtest
New Password:
Re-enter new password:
输入新密码，再次确认新密码即可~

🍌1.6 用户组切换

命令： newgrp 要切换的用户组名
当非root用户切换到非当前用户所在的组（主组或附加组）时，需要输入所切换的用户组密码确认~
示例： newgrp gtest1
Password:
表示切换到gtest1用户组，需要输入密码确认~
查看是用户组切换是否成功 groups

☀️1.7 管理用户组用户

命令： gpasswd 选项 用户组名
–常用选项

示例： gpasswd -a test1 gtest
–说明： 表示，将用户test1，添加到用户组gtest
加入成功会提示Adding user test1 to group gtest

示例： gpasswd -d test1 gtest
–说明： 表示将用户test1用户组gtest中删除，删除成功会提示Removing user test1 from group gtest

🍉1.8 查看用户组下所有用户

Linux可以通过命令groups 用户名查看指定用户归属哪个用户组~
但是一般无法直接查看到指定用户组下所有的用户，可以通过awk指令来实现~
第一步： 首先查询用户组GID值 cat /etc/group|grep 用户组名

第二步： 再通过用户组GID值查询用户组下所有用户

awk -F ":" '{print $1"\t"$4}' /etc/passwd | grep '用户组GID值'

–awk参数说明：
上述awk表达式的意思就是按分号 :对/etc/passwd用户文件中的内容进行读取，并且只读取$1（第1列是用户名）和$4（第4列用户组GID值），grep后的关键字则表示只展示包含该关键字的这行信息~

🏳️‍🌈二、用户管理

🍌2.1 用户查看

😀2.1.1 查看所有用户

命令： cat /etc/passwd

–内容显示格式说明：
用户名: x :用户号:主用户组GID值:用户主目录:用户登录的Shell文件

🏳️‍🌈2.1.2 查看活跃用户

命令： w

🍊2.1.3 当前用户所在组

命令： groups

😀2.1.4 指定用户及所在组

命令： groups 用户名

🍉2.1.5 查看当前登录的用户名

命令： whoami

🍋2.2 用户添加

❤️2.2.1 直接添加用户

命令： adduser 用户名
示例： adduser temp
–说明： 表示创建用户名为temp的用户，其中默认参数为

查看刚添加的用户 cat /etc/passwd|grep temp

☀️2.2.2 指定选项添加用户

命令： useradd 选项 用户名
–常用选项：

示例： adduser -u 10010 utemp -m -d /home/utemp -g gtemp
–说明： 表示添加utemp用户，设置用户号为10010，设置主目录为/home/utemp，不存在该则目录则自动创建，并且设置归属用户组为gtemp

如果-g指定的用户组不存在会报错，adduser: group ‘gtemp’ does not exist

此时需要先创建好用户组 groupadd gtemp

😀2.3 用户修改

命令： usermod 选项 用户

–常用选项

示例： usermod -l newusername oldusername
–说明： 表示修改用户名oldusername为newusername

🍇2.4 用户删除

🍈2.4.1 直接删除用户

命令： userdel 用户名
示例： userdel test1
–说明： 表示直接删除test1用户及对应的用户组，同时会删除/etc/passwd中的用户记录，但不会删除掉用户的主目录/home/test1，并且如果用户test1不是它所在组的最后一个用户，删除它并不会删它在/etc/group中的用户组~

🍉2.4.2 彻底删除用户

命令： userdel 选项 用户名
示例： userdel -r test1
–说明： 表示会删除test1用户，同时会删除/etc/passwd中的用户记录，也会删除用户test1的主目录/home/test1，同样如果用户test1不是它所在组的最后一个用户，删除它并不会删它在/etc/group中的用户组~

原创不易，觉得有用的小伙伴来个一键三连（点赞+收藏+评论 ）走起~

如果一个人走在正确的道路上，有目标并努力着，且思想没有问题、态度端正，相信总有一天能达到成功的彼岸；因为人生就像一场马拉松长跑,，它并不在乎你比别人先跑一步，或者晚跑一步。

我是艺博东 ，一个正在努力学IT的码农；好了，话不多说，我们直接进入正文。

什么是组播MAC地址？MAC的第8bit为1是组播MAC地址，01005E只是组播MAC地址的子集而已。01005E专门为ipv4组播提供二层的封装服务

一、三层地址和二层地址之间的关系

1、常见的永久组播地址

224.0.0.1 所有节点
224.0.0.2 所有路由器
224.0.0.5 OSPF设备
224.0.0.6 OSPF DR
224.0.0.9 RIP
224.0.0.13 PIM
224.0.0.18 VRRP
224.0.0.22 IGMPV3

永久组播地址：224.0.0.0-224.0.0.0.255
ASM：224.0.1.0-231.255.255.255
233.0.0.0-238.255.255.255
SSM：232.0.0.0.0-232.255.255.255
本地组播：239.0.0.0-239.255.255.255

IPV4MAC-01005E0+23
IPV6MAC-3333+32位

ISIS通信用的二层MAC地址，广播接口改成PPP之后，09002b000005

2、生成过程是通过IP地址和MAC地址的映射形成：

a）加上MAC地址固定前缀（24bit）为：01-00-5E；
b）后面24bit由IP地址的后23bit构成；
C）第25 bit位固定为0；

举个栗子：

IP为238.128.128.129

1000 0000 1000 0000 1000 0001

然后MAC为0100 5E00 8081

二、组播的服务模型有哪几种

接收者主机接收数据时可以对源进行选择，因此产生了ASM（Any-SourceMulticast）和SSM（Source-Specific Multicast）两种服务模型。
这两种服务模型默认使用不同的组播组地址范围。

1、ASM：任意源模式，接收者主机加入组播组以后可以接收到任意源发送到该组的数据。

判断条件：最后一跳路由器生成组播路由条目为（ * ，G）

缺点：可能会收到重复的组播流量；如果有两种不同的应用程序使用了同一个ASM组地址发送数据，它们的接收者会同时收到来自两个源的数据。这样一方面会导致网络流量拥塞，另一方面也会给接收者主机造成困扰。

2、SSM：指定源模式，接收者主机在加入组播组时，可以指定只接收哪些源的数据或指定拒绝接收来自哪些源的数据。
加入组播组以后，主机只会收到指定源发送到该组的数据。

判断条件：最后一跳路由器生成组播路由条目为（S，G）

优点：不同的源之间可以使用相同的组地址，因为SSM模型中针对每一个（源，组）信息都会生成表项。这样一方面节省了组播组地址，另一方面也不会造成网络拥塞。

三、IGMP

作用：IGMP通过在接收者主机和组播路由器之间交互IGMP报文实现组成员管理功能，IGMP报文封装在IP报文之上，协议号为2。

有三个版本：IGMPv1，IGMPv2（华为默认版本），IGMPv3；

应用场景：只要是网络中存在组播接收者的场景，都需要在路由器上开
启IGMP

IGMPv3的报文类型

通用组查询报文
指定组查询报文
特定源组查询报文
成员报告报文,没有离组报文。

取消成员报文抑制机制。

PIMv2与协议无关的组播路由协议，对单播网络路由协议不做任何要求，网络使用静态路由，RIP，EIGRP，ISIS , MP-BGP都可以运行PIM协议。

四、PIM

1、报文

Assert 断言
Join/Prune 加入/剪枝
Graft 嫁接
Bootstrap消息，参与BSR竞选

2、PIMv2有3种工作模式

（1）密集模式DM
（2）稀疏模式SM
DM,SM用于支持ASM的组播网络。
（3）指定源组播模式SSM
SSM用于支持sSM的组播网络

3、组播分发树（MDT）

（1）源树 SPT

a.组播分发树的一种
b.以组播源为根，组播组成员为叶子的组播分发树称为SPT

（2）共享树 RPT

a.组播分发树的一种
b.以RP为根，组播组成员为叶子的组播分发树

4、单向PIM协议

PIM组播路由表使用(S，G)描述SPT树，S代表组播源的地址，G代表组播组的地址。
(S，G）表项
1、有且只有一个上游接口，也称为RPF接口（反向路径检测接口)，用于接收该（S，G）的组播流量。
2、可以有一个、多个或者没有下游接口，用于发送该(S，G）的组播流量。
3、下游接口不可能成为上游接口。

PIM组播路由表使用 ( * ，G) 描述RPT树，* 代表任意组播源地址，G代表组播组的地址。
( * ，G) 表项
1、有且只有一个上游接口，也称为RPF接口（反向路径检测接口)，用于接收该 ( * ，G) 的组播流量。
2、可以有一个、多个或者没有下游接口，用于发送该 ( * ，G) 的组播流量。
3、下游接口不可能成为上游接口。

(S，G）组播转发路径最优，需要维护所有已知的(S，G)表项，比较占用设备资源，流量路径比较多，不利于运维和故障定位以及排除。( * ，G） 组播转发路由非最优，但无需维护所有的(S，G)表项，设备开销较小，组播流量路径明确，有控制点，方便故障定位和排除。

五、RPF 检查是什么

RPF 检查是什么？作用是什么？

1、RPF检查：接收组播数据流之前或者接收组播协议报文时（例如BSR消息）必须执行RPF检查，检查通过接收组播流或者报文，检查不通过丢弃组播流或者报文。

RPF：反向路径转发检查（作用）

a.避免组播流环路
b.避免重复组播流
c.避免组播报文环路

六、拓扑

七、基础配置

[AR-1]multicast routing-enable // 开启此设备的组播转发功能
 
[AR-1]interface g0/0/1
 
[AR-1-GigabitEthernet0/0/1]pim sm //选择此接口的PIM模式为sm
 
[AR-1-GigabitEthernet0/0/1]quit

[AR-1]interface g0/0/0
 
[AR-1-GigabitEthernet0/0/0]pim sm //选择此接口的PIM模式为sm

其他设备配置类似

注意：只有开启了multicast routing-table的路由器才会接收组播报文，否则收到组播报文都是直接丢弃；

[AR-1]dis pim neighbor

八、BSR RP

BSR：负责收集以及通告RP的信息，网络中可以存在多台C-BSR
RP：为一个或者多个组提供RP服务，网络中可以存在多台C-RP

工作流程

（1）网络中所有的C-BSR都会以自己为BSR向所有的PIM邻居发出BSR报文（组播发送）；

（2）PIM路由器收到C-BSR消息之后会选出最优的一台作为BSR；选举规则：

a）比较BSR的优先级（默认为0，越大越优先）；
b）比较BSR的IP地址，越大越优；

（3）网络中选出最优的BSR之后，BSR会周期性每60s泛洪BSR消息。所有的C-RP会向BSR单播发送RP的通告报文。RP通告包含（RP服务的组范围，RP的优先级，RP的IP地址）;

（4）当BSR收到所有RP的通告报文之后，汇总成RP-set发送给所有的PIM邻居；

（5）PIM路由器根据收到的BSR报文中的RP-SET信息，选出最优的RP, 选举规则如下：

a) RP服务组范围的精确度，范围越精确越优；
b) RP的优先级，越小越优,RP优先级默认为0；
c) 如果优先级相同，则执行Hash函数，计算结果较大者获胜；
d) 如果以上都相同，则C-RP地址较大者获胜。

九、IPv6组播地址

（1）用来标识一组接口，发往组播地址的数据将被转发给侦听该地址的多个设备。
（2）地址范围：FF00::/8。

好了这期就到这里了，如果你喜欢这篇文章的话，请点赞评论分享收藏，如果你还能点击关注，那真的是对我最大的鼓励。谢谢大家，下期见！