windows学习笔记.docx
《windows学习笔记.docx》由会员分享,可在线阅读,更多相关《windows学习笔记.docx(23页珍藏版)》请在冰豆网上搜索。
windows学习笔记
北大青鸟BENET2.0
Windows系统管理
1.安装和配置WindowsServer2003
网络是由计算机,连接设备。
操作系统以及资源组成。
网络管理模式可分为两种:
对等网模式和客户机/服务器模式(C/S)。
对等网中的主机的地位完全相同,没有客户机和服务器之分。
C/S模式中客户机是通过客户机上的应用程序向服务器发送服务请求,服务器根据请求的内容,完成相应的工作,然后将工作的结果传送给客户机。
客户机(Client)是通过网卡、通讯介质以及通讯设备连接到网络服务器。
服务器(Server)是指在网络中为客户机提供各种特殊各种服务的特殊的计算机。
在网络中服务器承担数据的存储、转发、发布等关键任务,是基于C/S模式中不可缺少的重要组成部分。
Windows操作系统主要分为服务器操作系统和客户机操作系统。
服务器操作系统:
WindowsNT、Windows2000Server、Windows2003Server等
客户机操作系统:
Windows95、Windows98、WindowsME、Windows2000Professional、WindowsXP、Vista、Windows7等.
Windows2003Server家族有4个成员组成,Windows2003ServerWEB版、Windows2003Server标准版、Windows2003Server企业版、Windows2003Server数据中心版。
Windows2003ServerWEB版是单纯目的的WEB服务器,专为需要以经济的方式建立及配置WEB页、WEB站点及WEB服务的机构设计。
Windows2003Server标准版是为小心企业个部门设计的,他提供的功能包括:
只能文件和打印机共享、安全Internet连接、集中式的桌面应用程序部署以及连接职员、合作伙伴和顾客的WEB解决方案等,并提高较高的可靠性、可伸缩性和安全性。
Windows2003Server企业版是针对大中型企业而设计的。
该系统包括联网、信息传递、数据库、电子商务WEB站点等。
Windows2003Server数据中心版主要是针对要求最高级别的可伸缩性、可用性和可靠性的企业而设计,可谓数据库,企业资源规划软件、大容量实时事务处理以及服务器合并提供解决方案。
服务器类型
硬件要求
软件要求
Windows2003ServerWEB版
2G内存,2个CPU
不支持活动目录
Windows2003Server标准版
4G内存,4个CPU
不支持集群,支持活动目录
Windows2003Server企业版
64G内存,8个CPU
支持集群,支持活动目录
Windows2003Server数据中心版
更大内存,32个CPU
支持集群,支持活动目录
安装系统的注意事项:
1.不要在正在使用的服务器上安装新的操作系统。
可导致原系统出现系列问题。
2.系统应该做好备份,以便出问题后及时恢复。
3.注意多系统的共存。
多系统的安全性具有木桶效应。
服务器的故障排除:
1.系统磁盘的剩余空间。
2.安装过程出现问题,应考虑光盘介质的问题。
3.硬件兼容问题,如安装过程中蓝屏,应拔出或更换后继续尝试安装。
4.用户权限问题,进行升级时必须使用超级管理员权限的用户执行升级安装命令。
5.版本差异,升级时必须使用正确的升级版本。
设备管理器是Windows中最常用的硬件管理工具,设备管理器有以下功能。
1.判断计算机中的硬件是否工作正常,通过颜色和图标来判断。
2.查看硬件设备使用驱动文件及版本信息。
3.安装更新驱动信息或升级驱动版本。
4.禁用、启用、卸载设备。
5.返回驱动的前一个版本。
2.配置WindowsServer2003网络
Windows网络组件是由网络适配器、协议、网络服务和客户端组成。
网络适配器可按速率分为10Mbps、100Mbps、1000Mbps以及自适应网卡。
也可按介质分为双绞线网卡、光纤网卡、无线网卡等。
协议是计算机与计算机之间、计算机与网络之间的通讯语言,两者之间只有使用了相同的语言才能直接通讯跟访问。
网络服务端和客户端只有安装相应的网络服务组件才能为其他客户端提供相应的服务。
计算机名称(NetBIOS)是用来表示计算机在网络上的BIOS资源的16字节地址,其中前15字节代表计算机名,第16字节用于表示服务,不足15会补上相应的空格,在网络上他是唯一的。
查看NetBIOS名使用nbtstat-n命令。
为计算机分配IP的方法有两种:
静态配置IP,动态IP配置。
网络服务器中一般使用静态IP。
如打印服务器,文件服务器。
配置方法就是指定IP。
动态IP一般都使用动态IP。
使其自动获得IP地址。
使用备用配置一般在2个环境下。
如公司使用静态IP,家里使用动态就可使用备用配置。
当计算机在当前环境下不能自动获得IP地址时自动启动备用配置。
Windows网络测试工具有以下命令:
Ipconfig用于查询当前计算机的网络配置。
/all用于查询计算机的全部网络配置。
Ping检查网络的连通性。
-T循环检查网络。
-L是PING包大小。
-N是PING包数量。
Tracert用于跟踪IP数据包所经过的路由。
RoutePrint用于查询本机的路由表。
MMC控制台能集合所有网络组件和管理工具来维护和管理计算机。
它本身不具备管理功能。
MMC控制台有4种模式:
作者模式:
拥有对MMC控制台的所有功能。
如添加、删除。
用户模式-完全访问:
与作者模式一样,但无法添加或删除管理单元。
用户模式-受限访问,多窗口:
仅提供对保存控制台文件时控制台树中可见部分的访问权限,但不能关闭任何现有窗口。
用户模式-受限访问,单窗口:
仅提供对保存控制台文件时控制台树中可见部分的访问权限,用户不能创建新的窗口。
远程用户:
1.打开服务、2.配置用户密码、3,在客户机上验证登陆。
3.工作组环境下的应用
工作组的概念:
工作组是一种简单的计算机分组模型。
通常用于家庭和小规模的商业网络,该模型中,计算机能直接互访,不需要服务器来管理网络资源。
用于小于10台计算机的网络规模。
工作组的特点:
1.每一台计算机都独立维护自己的资源,不能集中管理所有的网络资源。
采用的是分散式管理。
2.每一台计算机都在本地存储用户的帐户。
使用本地帐户登录计算机。
3.一个帐户只能登录到一台计算机。
4.工作组中的电脑的地位都是平等的。
采用对等网。
5.工作组的规模小,一般少于10台计算机。
计算机的帐户和密码被正确创建后保存在c:
\windows\system32\config\sam文件下。
Sam文件采用加密技术加密。
一般是无法查看。
在计算机的c:
\windows\repair\sam文件是备份的帐户文件,可用此文件进行恢复密码。
管理员创建组用户的基本要求:
1.用户名。
就是用户登录所使用的名字,最长20字符。
2.全名描述,此信息可选填。
3.密码和确认密码。
用户登录是所需要的密码。
最长长度可达到127位。
4.用户下次登录是必须更改密码。
5.用户不能更改密码。
禁止用户自行更改密码。
6.密码永不过期,默认情况下密码42天后过期。
7.帐户以禁用,当某个用户暂时离开一段时间可将此用户禁用。
设置帐户的属性:
常规:
在常规信息中可修改用户的基本信息。
全名,密码,描述等。
隶属于:
是指用户所在的工作组。
通过隶属于能设置帐户的权限。
配置文件:
用于保存用户工作时使用的环境信息。
如桌面,我的文档,收藏夹等。
终端服务相关配置:
包括环境、会话、远程控制、和终端服务配置文件等。
利用终端服务能远程管理终端服务器。
更改密码的方法有两种:
1.在本地用户和组的管理工具里右键重设密码和帐户。
2.用户登录后使用Ctrl+Alt+Delete组合键,更改密码。
当用户帐户永远不使用时,方可以将用户帐户删除,删除后即使在新建一个同名的帐户,也不能保留以前的权限。
本地组的特点:
管理员自己创建的工作组。
(只能登录到本地)
组是帐户的集合。
方便管理
当一个用户加入到一个组后,该用户会继承该组所拥有的权限。
一个帐户可同时加入多个组。
内置组:
系统自动创建的用户组。
该组成员具有一些特殊的权限。
将用户帐户加入到组有两种方法:
1.适用于将多个用户加入到一个组。
2.将一个用户加入到多个组。
内置组可以成为本地组的成员。
本地组不能成为本地组的成员。
组和用户都有自己独立的SID号。
电脑是通过SID号来识别用户和组
重设密码会更改SID号(管理员修改),更改密码不会更改SID号(用户自行更改)。
ALP规则:
A:
用户帐户(Accout)L:
本地组(Localgroup)P:
权限(Permission)
规则就是将本地用户帐户加入到本地组,在给本地组赋予权限。
命令提示符下建立用户和组的命令:
netuser列出所有用户
netuser用户名密码/add创建新用户并加密
netuser用户名/del删除用户
netlocalgroup组名/add创建一个新工作组
netlocalgroup组名用户名/add把用户加入到组
netlocalgroup组名查看工作组成员
4.创建Windows域
域:
将网络中多台电脑逻辑上组织在一起,进行集中管理。
域是组织与存储核心管理单元。
域的特点:
1.集中管理。
活动目录集中组织和管理网络中的资源。
2.便捷的网络资源的访问。
活动目录允许用户一次登录网络就可以访问网络中的所有用户的共享资源。
网络资源包括用户帐户,组,共享文件夹,打印机等。
3.可扩展性。
活动目录具有很强大的可扩展性。
要创建域环境,首先就得安装一台域控制器(DC),DC上存储着域中的资源消息。
创建域环境必须具备的条件:
1.安装者必须具有本地管理员的权限。
2.操作系统版本必须满足条件。
3.本地磁盘上至少有一个分区是NTFS文件系统。
4.有TCP/IP设置。
(IP、子网掩码)
5.有相应的DNS服务器的支持。
6.有足够的空间。
安装域方法、命令提示符下输入Dcpromo按照提示进行。
域控制器有两种:
新域的控制器,现有域的额外域控制器。
现有域的额外域控制器:
代表已经存在一个域,当前计算机要成为这个域的额外域控制器。
在新林中的域:
此项将创建一个全新的林。
现有域树中的在子域:
让新域成为现有域的子域。
在现有的林中的域树:
已经存在林和域树,要创建一个与域独立但却同属于一个林的域树。
将计算机加入域的首要条件:
1,确保网络的连通性。
2,设置IP。
3,检查客户机跟服务器是否连通。
4,配置客户机的首选DNS服务器。
DNS在域中的作用:
域名采用DNS标准,定位DC。
客户机是如何定位DC的:
1.客户机发送DNS查询请求给DNS服务器。
2.DNS服务器查询匹配的SRV资源资料。
3.DNS服务器返回相应DC的IP地址列表给客户机。
4.客户机联系DC
5.DC响应客户机的请求。
域用户创建的规则:
1.唯一的用户登录名。
2.登录名最长20字符。
3。
不能使用特殊符号命名。
设置用户密码的规则:
1.Administrator帐户必须设置复杂的口令。
2.避免使用简单的数字组合。
3.密码强度要高,设置要在7位以上
4.应该有一定的复杂性。
包含大小写,数字,特殊符号的组合。
用户的配置文件:
每个用户都会有一个独立的桌面环境,包括桌面,开始菜单,我的文档等,通常储存在C盘。
本地用户配置文件:
第一次登录到计算机是,将创建本地用户配置文件,并存储在计算机的本地硬盘上。
漫游用户配置文件:
将用户的配置文件存储在网络服务器上,每次用户登录时,有服务器复制一份配置文件到本地并配置用户环境。
创建方法:
1、服务器上新建文件夹,更改用户NTFS权限完全控制。
2、路径设置格式--\\192.168.1.100(服务器地址)\GAME(共享文件夹名)\%username%
强制用户配置文件:
是一种特殊的漫游配置文件,允许用户更改工作环境那个的配置,但所有的更改不保存。
临时用户配置文件:
由于系统故障加载用户配置文件失败,会使用临时配置文件。
用户主文件夹也称用户主目录。
(跟网络映射磁盘差不多,区别就是主文件夹有他自己独立的权限,别的用户是无法打开的。
)
主文件夹的作用:
方便集中管理、方便备份、安全管理。
在Win2003中组的主要功能就是为用户和嵌套在里面的组等单元提供对网络资源的访问权限。
在Windows2003域中组分为两种类型:
通讯组和安全组。
安全组用来设置用户权限,也可以用于电子邮件通讯。
通讯组仅仅用于电子邮件通讯。
组的作用域能分为3种:
本地域组、全局组、通用组。
本地域组的作用的范围是本域。
通常针对本域的资源创建本地域或组。
本地域组的成员除了是用户账户也可以是全局组、通用组等。
作用域
作用范围
作用成员
本地域组
只在本域可见
来自整个森林
全局组
在整个森林可见
来自本域
通用组
在整个森林可见
来自整个森林
全局组具有全局作用域的组适用范围是整个林及信任域。
通常使用全局组来管理那些具有相同管理任务或者访问权限的用户账户。
通用组是具有通用作用域的组,使用范围是整个林和信任域。
通用组在域功能级别在2000混合模式下不能使用。
需要提升域功能级别才能启用通用组
OU组织管理单元,他采用逻辑的等级的结构来组织域中所有对象,方便管理。
可以设置安全策略。
OU的几种常见的设计方式:
1、基于部门的OU可以为每个不同的部门建立一个OU。
2、基于地理位置的OU可以为每个地理位置创建一个OU。
3、基于对象类型的OU在活动目录中,将各种对象分类,每一类对象创建一个OU。
OU的委派控制管理是指管理员可以为适当的用户和组指派一定范围的管理任务,从而减轻管理员的工作负担。
如:
AA账户可以协助更改用户密码、BB账户可以整理一些共享文件等。
委派的创建:
1、在域中委派AA账户协助管理员更改密码。
2、在客户机上安装管理工具。
(从服务器的C:
\\windows\system32\adminpak.msi安装这个可执行文件)3、用AA账户在客户机上验证能否为用户更改密码。
(安装adminpak.msi时需要使用管理员账户去安装,其他账户没用足够的权限安装。
)
显示名在OU中唯一、登录名在域中唯一。
5.NTFS权限
NTFS的特点:
1、可设置权限。
2、支持更大硬盘
3、支持压缩
4、支持加密
5、磁盘配额
6、活动目录需要一个NTFS分区
NTFS支持2000以上的系统。
获得NTFS权限有3中途径:
1:
通过对磁盘的格式化。
(格式化后文件丢失)
2:
通过命令行来转换磁盘格式。
Convert盘符:
/fs:
ntfs(格式转换文件不丢失)
3:
通过第3方软件来实现对分区格式的转换。
NTFS针对用户和组,设置的是文件夹的安全。
NTFS的几种权限:
1、完全控制。
对文件或者文件夹可执行所有操作。
2、修改。
可以修改、删除文件或文件夹。
3、读取和运行。
可以读取内容,并且可以执行相应的程序。
4、列出文件夹目录。
可以列出文件夹的内容。
5、读取。
可以读取文件或文件夹的内容。
6、写入。
可以创建文件夹或文件。
7、特别的权限。
用来管理权限的权限。
NTFS权限的规则:
1、权限的组合。
(累加)组跟用户的权限累加。
2、权限的拒绝。
(优先)拒绝权限能覆盖所有权限。
3、文件的权限优于文件夹的权限。
文件夹受限制可以通过路径来直接访问文件。
4、权限是继承的。
权限是向上取消向下继承。
文件在同一分区移动权限不变,移动到其他分区后继承目标文件的权限。
AGDLP:
A:
账户G:
本地组DL:
本地域组P:
权限
将账户加入到本地组,将本地组加入到本地域组,给本地域组赋予权限。
6.安全策略
安全策略可分为本地安全策略、域安全策略、域控制器安全策略。
3中策略的关系:
1、作用范围。
本地策略作用于本机;域安全策略作用于域中的所有用户;用控制器安全策略作用于所有DC。
2、成员计算机和域的设置起冲突时,域中的安全策略生效;域控制器和域设置冲突时,域控制器安全策略生效。
本地安全策略可分为帐户策略和本地策略。
帐户策略可分为密码策略和帐户锁定策略。
密码策略:
密码必须符合复杂性要求;密码长度最小值;密码最长使用期限(42天);密码最短使用期限;强制密码历史;可还原的加密来存储密码。
帐户锁定策略:
当用户输入的密码达到一定的次数,帐户主动锁定。
帐户锁定阈值;帐户锁定时间;复位帐户锁定计时器。
密码策略和帐户锁定策略在域控制器上设置不生效。
本地策略可分为审核策略;用户权限分配和安全选项。
审核策略,可以将计算机中的安全事件记录到计算机中。
用户权限分配:
可为某些用户和组授权或拒绝一些权限。
安全选项:
可以控制一些和错做系统安全相关的设置。
如果一台独立的计算机或成员机升级成域控制器,那么本地安全策略就自动升级为域控制器安全策略。
域控制器的安全要求比普通域成员计算机的安全要求高。
审核策略:
审核策略在域安全策略→本地策略→设和策略
具体设置:
1、首先启用此计算机本地安全策略或域安全策略的审核策略中的审核对象访问策略。
2、添加需要审核的用户和组或用户,在指定具体的审核项。
事件查看器:
用来查看计算机中产生的日志包含3中日志。
应用程序日志:
包含由应用程序或系统程序记录的事件。
安全性日志:
记录有效或无效的登录尝试事件以及记录与资源使用相关的事件
系统日志:
包含Windows系统组建记录的事件。
7.灾难恢复
备份是指将系统中的数据的副本按一定策略存储到安全的地方。
备份的目的是在系统故障或误操作后,利用备份信息来还原数据尽可能的减小损失。
Ntbackup可以将数据备份到各种媒体。
Ntbackup备份工具有两种模式,向导模式和高级模式。
备份标记是文件的一个属性也叫存档属性。
有两种状态:
已备份和为备份。
备份可分为一下集中类型:
常规备份:
将备份所有选定的文件,并将文件标记为已备份状态。
增量备份:
只备份上次正常或增量备份以来创建或更改的文件。
差异备份:
只备份上次正常或增量备份以来创建或更改的文件。
副本备份和每日备份是穿插在以上三种备份的中间。
非DC系统备份的数据是启动文件、注册表、COM+注册类数据库
DC备份的数据是启动文件、注册表、COM+注册类数据库、活动目录、系统卷。
常见的备份方案:
常规+增量+副本;常规+差异+副本+每日等
备份类型
执行的操作
备份前是否检查标记
备份前是否清除标记
常规备份
备份所有选定的文件
否
是
增量备份
只备份上次正常或增量备份以来创建或更改的文件
是
是
差异备份
只备份上次正常或增量备份以来创建或更改的文件
是
是
副本备份
备份所有选定的文件
否
否
每日备份
每天创建或更改过的所有选定文件
否
否
任务计划可以安排任何、程序、脚本、文档在最方便的时候运行。
任务计划必须包含以下因素:
1、运行程序;2、运行时间3、用户名和密码。
5、TaskScheduler服务必须打开。
可以通过Ntbackup来设置任务计划让电脑在规定时间自动备份。
备份域控制器之后恢复必须在目录服务还原模式下还原。
8.组策略
组策略是一组策略的集合。
加强了管理员通过活动目录数据库在站点、域、或组织单位中配置用户计算机和计算机的能力。
通过使用组策略的设置,预设置影响整个域的工作环境,对OU设置影响本OU下的工作环境;降低布置用户和计算机环境的总费用,减少不正确配置环境的可能性;推行公司使用计算机规范,包括桌面环境规范以及安全策略等内容。
组策略实用于2000以上的操作系统。
保存在GPO(组策略对象).链接对象是SDOU。
S:
站点D:
域OU:
组织单元
站点是为了优化复制,由一个或几个连续高速运行的子网组成。
GPO的组建存储在GPC和GPT中。
GPC包含GPO属性和版本星系的活动目录对象。
GPT在域控制器的共享卷中是一种文件夹层次结构。
计算机配置包含软件设置、Windows设置和管理模板。
软件设置包含软件安装;Windows设置包括脚本和安全设置;管理模板包括Widows组件、系统、网络和打印机4部分。
用户配置包含软件设置、Windows设置和管理模板
软件设置包含软件安装;Windows设置包括远程安装服务、脚本、安全设置、文件夹重定向和IE浏览器的维护、管理模板包括Widows组件、任务栏和开始菜单、桌面、控制面板、共享文件夹、网络、系统。
计算机配置重启计算机配置后才会生效;用户配置重新登录后生效。
组策略的应用规则:
继承与阻止继承、累加、应用顺序(LSDOU)、强制生效、筛选。
发布软件是利用GPO给容器下的计算机或者用户发布软件。
(软件必须后缀名是msi)
指派和发布的特点:
1、发布只针对用户配置,不针对计算机配置。
2、指派可指派给计算机也可指派给用户。
3、发布是非强制性的,指派是强制性的
4、发布不能自动安装,指派是全自动安装。
9.文件服务器
文件服务器的优点是不受大小和数量的限制,方便、快捷。
在域控制器上Admianistrators组、ServerOperators组的成员有创建共享文件夹的权限;在成员服务器上或者独立服务器上Administrators组的成员有创建共享文件夹的权限。
通过设置共享名可以让一个文件夹在网络上有多个文件夹名。
访问共享文件夹有3种方式:
1、浏览器访问2、UNC路径;3、映射网络驱动器。
共享权限是通过网络才受限制;NTFS权限对本地和网络中的用户都有效。
共享权限
NTFS权限
有效权限
完全控制
完全控制
完全控制
修改
修改
读取
读取
拒绝访问
拒绝访问
更改
完全控制
修改
修改
修改
读取
读取
拒绝访问
拒绝访问
读取
完全控制
读取
修改
读取
读取
读取
拒绝访问
拒绝访问
拒绝访问
完全控制
拒绝访问
修改
拒绝访问
读取
拒绝访问
拒绝访问
拒绝访问
在DC上发布共享的优点:
统一管理;快速搜索。
隐藏共享文件夹有两大类型:
系统自动创建;用户自行创建。
系统创建的隐藏共享文件夹有:
1、Drivelettr$.允许管理员链接到驱动器根目录下的共享资源。
2、ADMIN$.计算机远程管理期间使用的资源。
3、NETLOGON.域控制器上使用的所需资源。
SYSVOL,域控制器上使用的所需资源。
IPC$.共享的命名管道的资源。
用户自行创建隐藏共享只需在共享名后加上“$”。
访问隐藏共乡文件夹是只有在UNC路径后面的文件名加上$。
使用文件夹管理工具可以实现以下的功能:
1、新建文件夹共享
2、停止文件夹的共享
3、设置文件夹的权限
4、设置共享文件夹的同时连接用户数量
5、发布共享文件夹到活动目录
6、见识共享文件夹的网络访问
7、监视网络用户打开的文件
DFS:
即分布式文件系统,利用DFS实现单点访问共享文件夹。
DFS根:
DFS名称空间的开始点根映射到一个或多个根目标,每个根目标对应服务器上的一个共
升级会员 