WindowsServer服务器配置和管理Word格式.docx
《WindowsServer服务器配置和管理Word格式.docx》由会员分享,可在线阅读,更多相关《WindowsServer服务器配置和管理Word格式.docx(22页珍藏版)》请在冰豆网上搜索。
2)Ping:
检查网络的联通性的命令
格式为Ping目的IP如Ping192.168.1.1
如果计算机启用的防火墙设置,会阻止ICMP通信,即使网络正常也会返回Requesttimedout。
若出现Destinationhostunreachable表示主机不可达。
(有可能原因是没有配置网关)
Ping–t一直不停Ping目的地,要中断按Ctrl+C。
Ping-1SIZE指定发送数据包的大小。
例:
Ping-1256192.168.1.1
Ping命令测试网络联通时,先Ping127.0.0.1,再Ping本地IP地址,再Ping同网段计算机的IP地址,最后Ping网站
3)Tracert:
可以跟踪IP数据包到达目的地经过的路由。
格式命令是:
tracert目的IP。
4)RoutePrint:
用于显示本机路由表。
1.0网络路由。
1.10本机路由。
1.255广播路由
6.MMC:
(微软管理)控制台
MMC的优点是集中管理,方便快捷。
●控制台的4种工作模式:
①作者模式:
拥有MMC的所有功能。
②用户模式-完全访问:
和作者模式相同,只是无法添加删除管理单元。
③用户模式-受限访问,多窗口:
可以查看多个窗口,可以创建窗口,但是不能关闭任何现有的窗口。
④用户模式-受限访问,单窗口:
同上,但用户不能创建窗口。
第3章
工作组环境的应用
●工作组:
一种简单的计算机分组模型,适用于家庭和小型商业网络。
工作组有以下特性:
①每台计算机独立维护自己的资源,不能集中管理所有的网络资源。
②每一台计算机都在本地存储用户的账户。
③一个账户只能登陆到一台计算机。
④工作组的计算机的地位都是平等的,对于其他计算机来说既是服务器,也是客户机。
⑤工作组的网络规模一般少于10台计算机。
●本地用户账户:
本地用户账户(本地账户)都存储在本地的SAM(SecurityAccountsManagement安全账户管理)数据库里,每一台(Windows2000后的)计算机都有一个本地SAM数据库,SAM存放了本地计算机上的组账户和用户账户的信息。
系统默认用户账户:
当以默认设置安装完WindowsServer2003后,系统会自动创建若干个用户账户,称做系统默认用户账户。
●本地账户的特点:
①本地账户存储在本地计算机上的SAM中
②本地账户只能登录到本地计算机
③本地账户主要用于工作组环境中
●创建本地用户账户的时机:
①允许用户以交互式(在本地)登录到计算机,然后做一些基本的上网或文字处理工作,而又不希望该用户具有关机或者格式化硬盘的权限
②若干用户通过网络访问本地计算机的资源,而这些用户对这些资源又需要拥有不同的访问权限。
用户名:
用户登录时所用的名字。
全名描述:
此信息为可选项,可以输入一些员工的个人信息和公司信息,如姓名和部门等。
密码和确认密码:
输入用户将来登录时所用的密码,输入两次而且必须相同。
用户下次登录时必须更改密码:
一般情况下都是管理員为其他用戶建立账户,但這時管理员就会知道用戶账户和密码。
用戶不能更改密码:
默认情況下每个用戶都可以更改自己的密码,但有時多个用戶使用同一个账户,如果其中一个人更改了密码,就会造成其他用戶无法登录。
密码永久不过期:
默认情况下设置的密码会在42天后过期,选中此项后后密码将永不过期。
账户禁用:
当某用户出差或者暂时离开几个月时,可以将此用户禁用,禁用后此账户将不能登录。
●利用命令行创建删除本地用户账户:
创建用户:
netuser用户名密码/add
修改密码:
netuser用户名新密码
删除用户:
netuser用户名/del
创建组:
netlocalgroup组名/add
删除组:
netlocalgroup组名/del
添加用户到组:
netlocalgroup组名用户名/add
从组中删除用户:
netlocalgroup组名用户名/del
●克隆账户注册表路径:
HKEY_LOCAL_MACHINE→SAM→SAM(给予管理员修改权限后按F5刷新)→Domains→Accounts→Users→用户账户
●设置账户属性:
常规——在常规信息中可以修改用户账户的基本信息,包括全名、描述、密码相关操作以及账户禁用和锁定信息。
隶属于——隶属于是指用户账户所属的组,通过“隶属于”选项卡可以将用户添加到组中,也可以将用户从组中删除。
配置文件——配置文件用于保存用户工作时使用的环境信息,如桌面、我的文档、收藏夹等。
终端服务相关配置——和终端服务相关的有4个选项卡,包括环境、会话、远程控制和终端服务配置文件。
重命名和删除用户的区别:
当用户账户永远不再使用时,就可以将用户账户删除,删除以后即使再建立一个同名账户,也不能保留以前的权限。
当一个用户不再使用时,就可以将次用户名重命名,但原用户的权限将保留下来。
本地组的特点:
①组是账户的集合。
②方便管理(例如赋予权限)。
③当一个用户加入到一个组后,该用户会继承该组所拥有的权限。
④一个用户账户可以同时加入到多个组。
●默认本地组(系统内置组):
WindowsServer2003安装完成后,会自动建立一些有各种用途的内置组(可以称为“默认本地组”)
默认本地组都具有特殊的功能,其中Administrators组是内置的管理员组,该组成员拥有本地计算机最大的管理权限。
Administrators组可以被重新命名,但不能够被删除。
PowderUsers组的权限是仅次于Administrators的一个组,他可以对计算机进行大多数的日常管理。
●常用的默认本地组列表及简要说明:
组名
描述信息
Administrators
该组成员具有对服务器的完全控制权限。
并且可以向其他用户分配用户权利和访问控制权限。
Administrator就是这个组的默认成员。
BackupOperators
加入该组的成员可以备份和还原服务器上的所有文件,而不管这些文件是否设有权限
Guests
成员拥有一个在登录是创建的临时配置文件,在注销时,该配置文件将被删除。
Guests账户(默认情况下已禁用)也是该组的默认成员
NetworkConfigurationOperators
该组的成员可以更改TCP/IP设置并更新和发布TCP/IP地址
PowersUsers
有创建用户账户和组账户的权利,可以在PowerUser组、Users组和Guests组中添加删除用户,但不能管理管理员组成员。
可以创建管理共享资源
PrintOperators
该组的成员可以管理打印机
Users
该组成员可以执行一些常见的任务,例如运行应用后程序、使用本地和网络打印机以及锁定服务器。
用户不能共享目录或创建本地打印机
●添加/删除组成员:
本地组的成员通常是用户账户,可以根据实际的需求进行添加和删除。
将用户账户加入到组的方法有两种:
将多个用户加入到组,或者将一个用户加入到多个组。
ALP:
是用户账户(Account)、本地组(Localgroup)和权限(Permission)的英文简称。
第4章
创建Windows域
●域:
将网络中计算机逻辑上组织到一起,进行集中管理的一个种逻辑环境。
●域的特点:
集中管理网络资源、便捷的网络资源访问(用户对所查询的资源要有权限)、可扩展性强(可以将小型网络环境发展成大型网络环境)
●域控制器:
存储域中的资源信息。
为网络用户和计算机提供了ActiveDirectory目录服务,该服务可存储和复制目录数据并管理用户和域的交互操作,包括用户登录过程、身份验证以及目录搜索。
每个域至少必须包含一个域控制器。
●域安装条件:
①安装者必须具有本地管理员权限
②操作系统版本必须满足条件(WindowsServer2003Web除外)
③本地硬盘至少要有一个分区是NTFS文件系统(以存储共享系统卷SYSVOL目录)
④有TCP/IP设置(IP地址、子网掩码等)
⑤有相应的DNS服务器支持,
⑥有足够的可用空间
◎Windows2000以前版本的操作系统与Windows2003的域不兼容。
●安装ActiveDirectory
打开ActiveDirectory安装向导:
[管理工具]—[管理您的服务器]—[添加/删除角色]—[配置您的服务器向导]
或运行[dcpromo]打开(同时也可用该命令将域控制器降级为普通的服务器)
●计算机加入域的条件:
①确保网络物理连通
②设置IP地址
③检查客户机到服务顺是否连通
④配置客户机的首选DNS服务器(通常为第一台DC的IP)
●将计算机加入域:
在计算机的系统属性中[计算机名]中单击[更改],然后输入正确的域名。
最后输入具有加入域权限的用户账户名和密码即可。
(如果要从域中退出就打客户机加入某个工作组即可)
●DNS在域中的作用:
域名的命名采用DNS标准、为客户机定位DC的位置。
如果DNS的SRV资源记录没有或者不全,在定位DC时可能性会出现以下问题:
①在将计算机加入域时找不到域②添加子域时找不到上级域③建立信任关系时打不到信任域或者被信任域
●域用户账户:
在访问活动目录网络中的资源的合法用户账户。
域用户的创建
①命名(登录名在域中是唯一的。
显示名在其所在的组织单位OU中必须是唯一的。
)
②密码(密码强弱是一个用户账户安全的体现)
③用户账户属性
●用户配置文件:
当用户第一次登录到计算机的时候,系统为每个独立用户创建一个用户配置文件。
●用户配置文件类型:
①本地用户配置文件—对本地用户配置文件所做的任何更改都只是针对用户所在的计算机。
②漫游用户配置文件—配置文件保存在域服务器上,每次登录到网络上的任何一台计算机时,都可以使用该配置文件。
对漫游用户配置文件所做的更改将在服务器上更新。
③强制用户配置文件—配置文件保存在域服务器上,用户可以更改工作环境的配置,但用户对配置文件做的更改不会保存。
④临时用户配置文件—为避免系统故障导致用户配置文件无法加载,系统可为用户建立一份临时配置文件。
当用户注销时,用户对配置文件所做的更改不会保存。
●用户主文件夹:
用户可将私人文件存放在服务器上为用户配置的用户主文件夹内。
●域本地组:
成员可以是任何一个域内的用户,通用组与全局组,也可以是同一个域内的域本地组,但无法是其他域内的域本地组
●域本地组只能访问同一个域内的资源,无法访问其他不同域内的资源。
换句话说,当在某台计算机上设置权限时,可以设置同一个域内的域本地组的权限,但无法设置其他域内的域本地组的权限。
●通用组:
其成员能够包含整个林中任何一个域内的用户,通用组与全局组,但无法包含任何一个域内的域本地组。
●可访问任何一个域内的资源,也就是可以在任何一个域内设置通用组的权限。
●全局组:
成员只能包含所属域内的用户与全局组,即只能将同一个域内的用户或其他全局组加入到全局组内。
●可访问任何一个域内的资源,即可以在任何一个域内设置全局组的使用权限。
●组的作用域:
它用来确定组的使用范围
分类
成员
使用范围
作用
本地域组
本域
本域
ADLP规则
全局组
整个林以及信任域
AGDLP规则
通用组
林域
方便查询、查询快
●组织单位OU:
采用逻辑的等级结构来组织域中的所有对象,方便管理。
●常见的OU设计方式:
①基于部门的OU②基于地理的OU③基于对象类型的OU
●OU委派管理:
管理员可以为适当的用户和组指派一定范围的管理任务,从而减轻管理员的负担。
注:
需要在受委派用户的客户机上安装[管理工具]软件包。
(在AGDLP规则,在客户机上赋于其个文件的权限时必须先将域功能提升,否则不能看到本地域组)
第5章
NTFS权限
●文件系统:
当用户向磁盘中存储文件时候,文件都是按照某种格式存储到磁盘上的,这种格式就是文件系统。
文件系统:
FATFAT32NTFS3种,区别在于安全性、效率、容量这几个方面。
FAT支持:
DOS、98\ME、NT、2000、XP、2003。
FAT32支持:
98\ME、2000、XP、2003。
NTFS支持:
NT(有时需要补丁才能支持)、2000、XP、2003。
●NTFS的特点:
◎可以对单个文件或者文件夹设置权限。
◎支持更大的磁盘容量,当容量变大时性能不降低,同等情况下FAT性能会降低。
◎压缩功能,可压缩驱动器、文件夹和特定文件。
◎文件加密功能,增强了系统安全性。
◎活动目录要求系统具有NTFS分区。
◎磁盘配额,可监控和控制单个用户的磁盘容量。
●NTFS格式的获得方法:
格式化磁盘,选择NTFS文件系统。
使用命令Convert/fs:
ntfs将分区转换为NTFS。
分区文件格式转换为NTFS格式,如PQmagic。
●NTFS权限:
完全控制——对文件或者文件夹可执行所有操作。
修改——可以修改、删除文件和文件夹。
读取运行——可以读取内容,并且可以执行应用程序。
列出文件夹目录——可以列出文件夹的内容,此权限只针对文件夹的存在。
读取——可以读取问价或者文件夹的内容。
特别权限——读取权限、更改权限、取得所有权。
●取得文件和文件夹的所有权:
由于继承的原因,所有新建的文件或者文件夹管理员都具有完全控制权限。
如果设置了拒绝其他所有用户的权限。
管理无法进入,这时就可以用取得所有权。
(在属性-安全-高级-替换子容器及所有者)
NTFS权限的应用规则
●权限的组合:
累加,如果一个用户对文件有读取权限,而用户所在的组有写入权限,那用户的权限就是读取+写入。
●权限的拒绝:
拒绝最大….它是老大!
其他人靠边
●权限的继承:
新建文件或者文件夹会自动继承上一级目录或磁盘分区的NTFS权限。
(如果不想继承可以[高级]-勾去[允许父项的继承权限传播到该对象和所有的子对象])
移动
复制
在同一分区内
保留原来的权限
继承目的地文件夹的权限
在不同分区之间
●AGDLP规则:
将用户加入全局组---将全局组加如本地域组---给本地组附权
第6章
安全策略
●本地安全策略:
是本地计算机的安全设置,用户登录到本地计算机后即受到此台计算机的安全策略影响。
●未加入域的计算机本地安全策略打开方法:
管理工具——本地安全策略。
账户策略、本地策略。
●账户策略分为两部分:
密码策略、账户锁定策略。
①密码必须符合复杂性要求最少三种字符。
②密码长度最小值默认7位,0表示不需要密码。
③密码最长使用期限默认42天,0表示永不过期。
④密码最短使用期限默认0天,代表可以更改密码。
⑤强制密码历史默认为0,代表可使用以前的密码。
●账户锁定策略:
账户锁定阈值默认0,代表不锁定账户。
●账户锁定时间:
解除锁定的时间。
0代表必须管理员解除锁定。
复位账户锁定计数器
◎账户锁定策略对管理员无效。
●本地策略分为三部分:
审核策略、用户权限分配和安全选项。
域控制器安全策略>域安全策略>成员计算机安全策略
●审核策略:
审核事件——账户登录事件、登录事件、对象访问、账户管理、目录服务访问、系统事件。
●审核文件及文件夹:
首先启用审核策略中的审核对象访问策略,然后在需要审核的文件或文件夹属性中的[安全]选项卡[高级]按钮中切换到[审核]选项卡,制定具体审核对象。
◎只有NFTS分区的文件或文件夹才能使用审核功能。
●事件查看器:
默认的三种日志:
应用程序日志、安全性日志、系统日志。
添加域后:
目录服务、文件复制服务、DNS服务器日志。
第7章
灾难恢复
NTBackup启动方式:
命令行和程序菜单。
●备份类型:
类型
检查备份标记
清除备份标记
适用情况
常规备份
不
是
增量备份
新增数据量较大
差异备份
新增数据量较小
副本备份
每日备份
恢复多个备份时,先恢复常规备份,再恢复增量备份或差异备份。
●系统状态:
①注册表。
②启动文件。
③COM+类注册数据库。
④域控制器:
活动目录、系统卷。
●有系统备份权限的本地组:
Administrators、BackupOperators。
●有系统备份权限的域组:
Administrators、ServerOperators、BackupOperators。
●安全模式启动选项:
安全模式——使用基本文件和驱动程序,用于软件安装出错。
VGA模式——使用最低显示分辨率和刷新率,用于显卡设定超过显示器的规格。
最后一次正确的配置——上一次系统关闭时保存的配置,用于硬件驱动冲突。
目录服务还原模式——恢复域控制器AD目录和系统卷,用于恢复系统卷。
●任务计划包含:
①运行的程序(脚本)、运行时间、用户名和密码。
②备份任务的文件名是.bkf。
③要使用计划任务,系统的TaskSchedules服务必须启动。
④新建的任务计划,都存储在Windows\Tasks目录中
第8章
组策略
●组策略:
一组策略的集合。
加强了管理员管理站点、域和组织单位中计算机和用户配置的能力。
●组策略的作用:
①域内的组策略影响整个域的工作环境,OU内的组策略影响OU下的工作环境。
②降低布置计算机和用户的费用,减少用户不正确配置的可能性。
③便于推行公司制定的桌面环境和安全策略等计算机规范。
◎组策略只适用于Windows2000以后的操作系统。
组策略的具体设置数据保存在组策略对象GPO中,GPO可以和活动目录容器连接起来,影响容器中的计算机和用户,通过管理组策略对象来管理组策略。
◎要看到[组策略]选项卡,需要启用[查看]-[高级功能]。
●站点:
是物理结构,有一个或几个通过高速连接在一起的IP子网组成。
一个站点可以有多个域,一个域可以有多个站点。
◎创建站点的两个原因:
优化复制、使用户能够使用可靠、高速的连接登录到域控制器上。
●默认GPO有两个:
DefaultDomainControllerPolicy默认域控制器策略,DefaultDomainPolicy默认域策略。
默认域策略影响域中所有计算机和用户,默认域控制器策略影响组织单位DomainController中的所有计算机和用户。
●GPO的组件存储在两个位置:
GPC和GPT。
◎计算机配置要重启计算机才能生效,用户配置要用户重新登录就可生效。
◎如果下层容器的相关项目没有设置,则该项目继承上层容器的设置,且该项目的设置和自身其他项目的设置累加起来。
◎如果下层容器的设置与上层容器的设置相冲突,则不会继承上层容器的相关设置,而是执行自身的设置。
如果策略之间发生冲突,则后应用的策略生效。
◎GPC内有多个链接对象时,先应用下面的策略,再应用上面的策略,上面的策略覆盖下面的策略最终生效。
◎子容器可通过设置[阻止策略继承],阻止继承上层容器的组策略。
◎管理员可对上层容器的策略设置[禁止替代],使上层容器的组策略强制生效。
◎系统默认先处理计算机的配置,再处理用户配置。
如二者冲突,则按计算机配置来应用。
◎密码策略例外,以域安全策略为准。
●筛选功能:
可设置OU子容器的某一特定成员不执行本部门的用户设置。
●筛选方法:
将该用户在GPO[安全属性]里的权限设置为拒绝读取和应用组策略。
●利用GPO实现软件配置:
①获取Windows安装程序软件包,一般包含.msi文件和相关安装文件。
②将软件安装文件存放在服务器上的一个共享文件夹,作为软件分发点。
③创建或修改GPO,对软件安装进行相应设置。
在设置GPO时,软件分发点应采用“\\服务器名\共享文件夹”的方式来设置。
●软件分发:
指派可以针对用户或者计算机,而发布只针对用户。
指派给用户——软件在用户登录到计算机的时候就会安装,在用户第一次运行软件的时候完成安装。
指派给计算机——软件在计算机启动进入系统后就会安装,在用户第一次运行软件的时候完成安装。
发布给用户——软件安装在[控制面板]的[添加/删除程序]中,需要使用软件时执行安装的操作即可。
注意,将软件发布给用户时,用户需要有安装该软件的相关权限才能对软件进行正常安装。
●修复软件:
用户的软件发生文件丢失或损坏时,用户端系统可以自动检测到错误,并从原来的软件分发点重新复制安装文件来修复受损软件。
如果原来的软件分发点上的安装文件发生丢失或损坏,则必须先在服务器上修复该软件的源安装文件,再将它重新部署一次。
当客户端不能修复该软件时,管理员应重新复制一份正常的安装文件到原来的分发点,并打开[组策略编辑器]窗口,选择更新后的源文件程序安装包,执行[重新部署应用程序]命令。
●删除软件:
用户或计算机不需要分发软件时,可以在GPO中删除软件设置。
右击要删除的程序包,选
升级会员 