Windows Server 系统管理知识点.docx
《Windows Server 系统管理知识点.docx》由会员分享,可在线阅读,更多相关《Windows Server 系统管理知识点.docx(18页珍藏版)》请在冰豆网上搜索。
WindowsServer系统管理知识点
安装和配置Windows2003
1.客户机与服务器
对等网模式:
对等网中所有计算机地位相同,不超过10台计算机。
C/S(Client/Server)客户机/服务器模式:
客户机称为工作站。
服务器是专门为客户机提供服务的计算机。
2.Windows产品介绍
常用的用户操作系统:
Windows98、WindowsMe、Windows2000Professional、WindowsXP。
常用的服务器操作系统:
WindowsNT、Windows2000Server、WindowsServer2003。
Win2003有4个版本:
WEB版、标准版、企业版、数据中心版。
Win2000的4个版本:
专业版、服务器版、高级服务器版、数据中心版。
Windows版本对应表:
4.9=Me;5.0=2000;5.1=XP;5.2=2003;6.0=Vista/2008
3.虚拟机:
虚拟机是建立在操作系统上的软件,它可以在操作系统上独立安装很多其他新的操作系统。
虚拟技术:
①硬件虚拟模式②逻辑分区模式③软件虚拟模式④应用虚拟模式
虚拟机的好处:
①费用减少②利用空闲系统资源
虚拟机快捷键:
①鼠标脱离虚拟机界面Ctrl+Alt②虚拟机切换全屏Ctrl+Alt+Enter③虚拟机内任务管理器Ctrl+Alt+Insert
4.安装注意事项:
1.不要在正在运行的服务器上安装2.安装前做好备份3.注意多系统共存
XP不可以升级到2003,2000可以升级到2003,在DOS下安装WIN2003,需要执行I386\Winnt.exe。
安装WindowsServer2003企业版的最低系统要求:
处理器733Mhz,内存128M,支持最多8颗处理器。
安装时C盘分区不小于2G,选用NTFS分区,第一次登陆的用户是Administrator。
5.安装2003系统时的CAL模式选择:
每服务器模式:
当网络中只有一台服务器时,选择每服务器模式。
每设备或每用户模式:
当网络中多于一台服务器,用每用户模式。
例1:
某公司有20个员工,1台服务器。
这时的访问模式应该选择每服务器模式,20×1=20只需要买20个授权即可。
例2:
某公司有20个员工,5台服务器。
这时的访问模式应该是每用户模式,20×1=20只需要买20个授权即可,若选择每服务器模式就要买20×5=100,这样就不划算了。
6.部署多台Windows客户机:
安装好Windows后,使用NewSID更换系统SID信息,重启后用带有Ghost工具的光盘引导,制作Gho镜像文件。
配置WindowsServer2003网络
Windows网络的条件:
1.网络适配器:
就是网卡,分10Mbps、100Mbps、1000Mbps,又分为双绞线网卡、光纤网卡、无线网卡。
2.协议:
协议是计算机与计算机之间、计算机与网络设备之间的通讯语言,两者之间需要使用相同的协议才能直接通讯和访问。
Win2003默认安装的通讯协议是TCP/IP。
3.网络服务和客户端:
只有安装相应的网络服务组件,才能为其他客户端提供相应的服务。
计算机名称:
计算机名称就像人的名字,又称NetBIOS名。
NetBIOS用于标识网络上的NetBIOS资源的16字节地址,计算机名称只能15个字节,后面的字节表示服务。
若计算机名不足15个字节,系统将自动补上空格,它在网络中是唯一的。
4.静态IP地址:
一般情况下,网络中的服务器都是使用静态IP。
IP地址、子网掩码(必须输入),还有默认网关和DNS服务器。
一个网卡可设置多个IP地址。
静态IP的缺点:
①增加管理员的工作量②可能会引起输入错误③可能会引起IP地址冲突④当网络更改IP地址段时需要重新配备每台计算机的IP地址⑤当计算机在多个网段中移动时,需要重新配置IP
5.动态IP地址
①在大中型网络中,最好使用动态IP地址。
可以弥补静态IP的不足,让计算机自动获得IP地址。
②动态IP分配需要在网络中安装DHCP服务器。
③设置备用的IP地址:
当计算机移接入到使用静态IP地址的网络中,如果申请不到IP时,则启用备用配置中的IP地址。
6.网络测试工具
1)Ipconfig:
检查IP配制是否生效,查看IP地址基本信息最常用的命令。
Ipconfig/all:
查看详细信息。
HostName主机名
PrimaryDnsEnabled主要DNS后缀名
Ethernetadapter网卡类型和名称
Connection-specificDNSSuffix连接指定DNS后缀
Description网卡的物理地址(MAC地址)
DHCPEnabled是否启用DHCP功能
IPAddressIP地址
SubnetMask子网掩码
DefaultGateway默认网关
DNSServersDNS服务器
2)Ping:
检查网络的联通性的命令
格式为Ping目的IP如Ping192.168.1.1
如果计算机启用的防火墙设置,会阻止ICMP通信,即使网络正常也会返回Requesttimedout。
若出现Destinationhostunreachable表示主机不可达。
(有可能原因是没有配置网关)
Ping–t一直不停Ping目的地,要中断按Ctrl+C。
Ping-1SIZE指定发送数据包的大小。
例:
Ping-1256192.168.1.1
Ping命令测试网络联通时,先Ping127.0.0.1,再Ping本地IP地址,再Ping同网段计算机的IP地址,最后Ping网站
3)Tracert:
可以跟踪IP数据包到达目的地经过的路由。
格式命令是:
tracert目的IP。
4)RoutePrint:
用于显示本机路由表。
1.0网络路由。
1.10本机路由。
1.255广播路由
6.MMC:
(微软管理)控制台
MMC的优点是集中管理,方便快捷。
●控制台的4种工作模式:
①作者模式:
拥有MMC的所有功能。
②用户模式-完全访问:
和作者模式相同,只是无法添加删除管理单元。
③用户模式-受限访问,多窗口:
可以查看多个窗口,可以创建窗口,但是不能关闭任何现有的窗口。
④用户模式-受限访问,单窗口:
同上,但用户不能创建窗口。
工作组环境的应用
●工作组:
一种简单的计算机分组模型,适用于家庭和小型商业网络。
工作组有以下特性:
①每台计算机独立维护自己的资源,不能集中管理所有的网络资源。
②每一台计算机都在本地存储用户的账户。
③一个账户只能登陆到一台计算机。
④工作组的计算机的地位都是平等的,对于其他计算机来说既是服务器,也是客户机。
⑤工作组的网络规模一般少于10台计算机。
●本地用户账户:
本地用户账户(本地账户)都存储在本地的SAM(SecurityAccountsManagement安全账户管理)数据库里,每一台(Windows2000后的)计算机都有一个本地SAM数据库,SAM存放了本地计算机上的组账户和用户账户的信息。
系统默认用户账户:
当以默认设置安装完WindowsServer2003后,系统会自动创建若干个用户账户,称做系统默认用户账户。
●本地账户的特点:
①本地账户存储在本地计算机上的SAM中
②本地账户只能登录到本地计算机
③本地账户主要用于工作组环境中
●创建本地用户账户的时机:
1允许用户以交互式(在本地)登录到计算机,然后做一些基本的上网或文字处理工作,而又不希望该用户具有关机或者格式化硬盘的权限
2若干用户通过网络访问本地计算机的资源,而这些用户对这些资源又需要拥有不同的访问权限。
用户名:
用户登录时所用的名字。
全名描述:
此信息为可选项,可以输入一些员工的个人信息和公司信息,如姓名和部门等。
密码和确认密码:
输入用户将来登录时所用的密码,输入两次而且必须相同。
用户下次登录时必须更改密码:
一般情况下都是管理員为其他用戶建立账户,但這時管理员就会知道用戶账户和密码。
用戶不能更改密码:
默认情況下每个用戶都可以更改自己的密码,但有時多个用戶使用同一个账户,如果其中一个人更改了密码,就会造成其他用戶无法登录。
密码永久不过期:
默认情况下设置的密码会在42天后过期,选中此项后后密码将永不过期。
账户禁用:
当某用户出差或者暂时离开几个月时,可以将此用户禁用,禁用后此账户将不能登录。
●利用命令行创建删除本地用户账户:
创建用户:
netuser用户名密码/add
修改密码:
netuser用户名新密码
删除用户:
netuser用户名/del
创建组:
netlocalgroup组名/add
删除组:
netlocalgroup组名/del
添加用户到组:
netlocalgroup组名用户名/add
从组中删除用户:
netlocalgroup组名用户名/del
●克隆账户注册表路径:
HKEY_LOCAL_MACHINE→SAM→SAM(给予管理员修改权限后按F5刷新)→Domains→Accounts→Users→用户账户
●设置账户属性:
常规——在常规信息中可以修改用户账户的基本信息,包括全名、描述、密码相关操作以及账户禁用和锁定信息。
隶属于——隶属于是指用户账户所属的组,通过“隶属于”选项卡可以将用户添加到组中,也可以将用户从组中删除。
配置文件——配置文件用于保存用户工作时使用的环境信息,如桌面、我的文档、收藏夹等。
终端服务相关配置——和终端服务相关的有4个选项卡,包括环境、会话、远程控制和终端服务配置文件。
重命名和删除用户的区别:
当用户账户永远不再使用时,就可以将用户账户删除,删除以后即使再建立一个同名账户,也不能保留以前的权限。
当一个用户不再使用时,就可以将次用户名重命名,但原用户的权限将保留下来。
本地组的特点:
①组是账户的集合。
②方便管理(例如赋予权限)。
③当一个用户加入到一个组后,该用户会继承该组所拥有的权限。
④一个用户账户可以同时加入到多个组。
●默认本地组(系统内置组):
WindowsServer2003安装完成后,会自动建立一些有各种用途的内置组(可以称为“默认本地组”)
默认本地组都具有特殊的功能,其中Administrators组是内置的管理员组,该组成员拥有本地计算机最大的管理权限。
Administrators组可以被重新命名,但不能够被删除。
PowderUsers组的权限是仅次于Administrators的一个组,他可以对计算机进行大多数的日常管理。
●常用的默认本地组列表及简要说明:
组名
描述信息
Administrators
该组成员具有对服务器的完全控制权限。
并且可以向其他用户分配用户权利和访问控制权限。
Administrator就是这个组的默认成员。
BackupOperators
加入该组的成员可以备份和还原服务器上的所有文件,而不管这些文件是否设有权限
Guests
成员拥有一个在登录是创建的临时配置文件,在注销时,该配置文件将被删除。
Guests账户(默认情况下已禁用)也是该组的默认成员
NetworkConfigurationOperators
该组的成员可以更改TCP/IP设置并更新和发布TCP/IP地址
PowersUsers
有创建用户账户和组账户的权利,可以在PowerUser组、Users组和Guests组中添加删除用户,但不能管理管理员组成员。
可以创建管理共享资源
PrintOperators
该组的成员可以管理打印机
Users
该组成员可以执行一些常见的任务,例如运行应用后程序、使用本地和网络打印机以及锁定服务器。
用户不能共享目录或创建本地打印机
●添加/删除组成员:
本地组的成员通常是用户账户,可以根据实际的需求进行添加和删除。
将用户账户加入到组的方法有两种:
将多个用户加入到组,或者将一个用户加入到多个组。
ALP:
是用户账户(Account)、本地组(Localgroup)和权限(Permission)的英文简称。
ALP规则:
就是将用户账户加入到本地组,然后为本地组分配权限,这样,本地组的所有用户账户就会有相应的访问权限。
一般情况下,为多个用户账户分配权限时,可以应用ALP规则。
创建Windows域
●域:
将网络中计算机逻辑上组织到一起,进行集中管理的一个种逻辑环境。
●域的特点:
集中管理网络资源、便捷的网络资源访问(用户对所查询的资源要有权限)、可扩展性强(可以将小型网络环境发展成大型网络环境)
●域控制器:
存储域中的资源信息。
为网络用户和计算机提供了ActiveDirectory目录服务,该服务可存储和复制目录数据并管理用户和域的交互操作,包括用户登录过程、身份验证以及目录搜索。
每个域至少必须包含一个域控制器。
●域安装条件:
①安装者必须具有本地管理员权限
②操作系统版本必须满足条件(WindowsServer2003Web除外)
③本地硬盘至少要有一个分区是NTFS文件系统(以存储共享系统卷SYSVOL目录)
④有TCP/IP设置(IP地址、子网掩码等)
⑤有相应的DNS服务器支持,
⑥有足够的可用空间
◎Windows2000以前版本的操作系统与Windows2003的域不兼容。
●安装ActiveDirectory
打开ActiveDirectory安装向导:
[管理工具]—[管理您的服务器]—[添加/删除角色]—[配置您的服务器向导]
或运行[dcpromo]打开(同时也可用该命令将域控制器降级为普通的服务器)
●计算机加入域的条件:
①确保网络物理连通
②设置IP地址
③检查客户机到服务顺是否连通
④配置客户机的首选DNS服务器(通常为第一台DC的IP)
●将计算机加入域:
在计算机的系统属性中[计算机名]中单击[更改],然后输入正确的域名。
最后输入具有加入域权限的用户账户名和密码即可。
(如果要从域中退出就打客户机加入某个工作组即可)
●DNS在域中的作用:
域名的命名采用DNS标准、为客户机定位DC的位置。
如果DNS的SRV资源记录没有或者不全,在定位DC时可能性会出现以下问题:
①在将计算机加入域时找不到域②添加子域时找不到上级域③建立信任关系时打不到信任域或者被信任域
●域用户账户:
在访问活动目录网络中的资源的合法用户账户。
域用户的创建
①命名(登录名在域中是唯一的。
显示名在其所在的组织单位OU中必须是唯一的。
)
②密码(密码强弱是一个用户账户安全的体现)
③用户账户属性
●用户配置文件:
当用户第一次登录到计算机的时候,系统为每个独立用户创建一个用户配置文件。
●用户配置文件类型:
①本地用户配置文件—对本地用户配置文件所做的任何更改都只是针对用户所在的计算机。
②漫游用户配置文件—配置文件保存在域服务器上,每次登录到网络上的任何一台计算机时,都可以使用该配置文件。
对漫游用户配置文件所做的更改将在服务器上更新。
③强制用户配置文件—配置文件保存在域服务器上,用户可以更改工作环境的配置,但用户对配置文件做的更改不会保存。
④临时用户配置文件—为避免系统故障导致用户配置文件无法加载,系统可为用户建立一份临时配置文件。
当用户注销时,用户对配置文件所做的更改不会保存。
●用户主文件夹:
用户可将私人文件存放在服务器上为用户配置的用户主文件夹内。
●域本地组:
成员可以是任何一个域内的用户,通用组与全局组,也可以是同一个域内的域本地组,但无法是其他域内的域本地组
●域本地组只能访问同一个域内的资源,无法访问其他不同域内的资源。
换句话说,当在某台计算机上设置权限时,可以设置同一个域内的域本地组的权限,但无法设置其他域内的域本地组的权限。
●通用组:
其成员能够包含整个林中任何一个域内的用户,通用组与全局组,但无法包含任何一个域内的域本地组。
●可访问任何一个域内的资源,也就是可以在任何一个域内设置通用组的权限。
●全局组:
成员只能包含所属域内的用户与全局组,即只能将同一个域内的用户或其他全局组加入到全局组内。
●可访问任何一个域内的资源,即可以在任何一个域内设置全局组的使用权限。
●组的作用域:
它用来确定组的使用范围
分类
成员
使用范围
作用
本地域组
任何域
本域
ADLP规则
全局组
同域
整个林以及信任域
AGDLP规则
通用组
任何域
整个林以及信任域
方便查询、查询快
●组织单位OU:
采用逻辑的等级结构来组织域中的所有对象,方便管理。
●常见的OU设计方式:
①基于部门的OU②基于地理的OU③基于对象类型的OU
●OU委派管理:
管理员可以为适当的用户和组指派一定范围的管理任务,从而减轻管理员的负担。
注:
需要在受委派用户的客户机上安装[管理工具]软件包。
(在AGDLP规则,在客户机上赋于其个文件的权限时必须先将域功能提升,否则不能看到本地域组)
NTFS权限
●文件系统:
当用户向磁盘中存储文件时候,文件都是按照某种格式存储到磁盘上的,这种格式就是文件系统。
文件系统:
FATFAT32NTFS3种,区别在于安全性、效率、容量这几个方面。
FAT支持:
DOS、98\ME、NT、2000、XP、2003。
FAT32支持:
98\ME、2000、XP、2003。
NTFS支持:
NT(有时需要补丁才能支持)、2000、XP、2003。
●NTFS的特点:
◎可以对单个文件或者文件夹设置权限。
◎支持更大的磁盘容量,当容量变大时性能不降低,同等情况下FAT性能会降低。
◎压缩功能,可压缩驱动器、文件夹和特定文件。
◎文件加密功能,增强了系统安全性。
◎活动目录要求系统具有NTFS分区。
◎磁盘配额,可监控和控制单个用户的磁盘容量。
●NTFS格式的获得方法:
格式化磁盘,选择NTFS文件系统。
使用命令Convert/fs:
ntfs将分区转换为NTFS。
分区文件格式转换为NTFS格式,如PQmagic。
●NTFS权限:
完全控制——对文件或者文件夹可执行所有操作。
修改——可以修改、删除文件和文件夹。
读取运行——可以读取内容,并且可以执行应用程序。
列出文件夹目录——可以列出文件夹的内容,此权限只针对文件夹的存在。
读取——可以读取问价或者文件夹的内容。
特别权限——读取权限、更改权限、取得所有权。
●取得文件和文件夹的所有权:
由于继承的原因,所有新建的文件或者文件夹管理员都具有完全控制权限。
如果设置了拒绝其他所有用户的权限。
管理无法进入,这时就可以用取得所有权。
(在属性-安全-高级-替换子容器及所有者)
●NTFS权限的应用规则
●权限的组合:
累加,如果一个用户对文件有读取权限,而用户所在的组有写入权限,那用户的权限就是读取+写入。
●权限的拒绝:
拒绝最大….它是老大!
其他人靠边
●权限的继承:
新建文件或者文件夹会自动继承上一级目录或磁盘分区的NTFS权限。
(如果不想继承可以[高级]-勾去[允许父项的继承权限传播到该对象和所有的子对象])
移动
复制
在同一分区内
保留原来的权限
继承目的地文件夹的权限
在不同分区之间
继承目的地文件夹的权限
继承目的地文件夹的权限
●AGDLP规则:
将用户加入全局组---将全局组加如本地域组---给本地组附权
安全策略
●本地安全策略:
是本地计算机的安全设置,用户登录到本地计算机后即受到此台计算机的安全策略影响。
●未加入域的计算机本地安全策略打开方法:
管理工具——本地安全策略。
●本地安全策略:
账户策略、本地策略。
●账户策略分为两部分:
密码策略、账户锁定策略。
①密码必须符合复杂性要求 最少三种字符。
②密码长度最小值 默认7位,0表示不需要密码。
③密码最长使用期限 默认42天,0表示永不过期。
④密码最短使用期限 默认0天,代表可以更改密码。
⑤强制密码历史 默认为0,代表可使用以前的密码。
●账户锁定策略:
账户锁定阈值 默认0,代表不锁定账户。
●账户锁定时间:
解除锁定的时间。
0代表必须管理员解除锁定。
复位账户锁定计数器
◎账户锁定策略对管理员无效。
●本地策略分为三部分:
审核策略、用户权限分配和安全选项。
域控制器安全策略>域安全策略>成员计算机安全策略
●审核策略:
审核事件——账户登录事件、登录事件、对象访问、账户管理、目录服务访问、系统事件。
●审核文件及文件夹:
首先启用审核策略中的审核对象访问策略,然后在需要审核的文件或文件夹属性中的[安全]选项卡[高级]按钮中切换到[审核]选项卡,制定具体审核对象。
◎只有NFTS分区的文件或文件夹才能使用审核功能。
●事件查看器:
默认的三种日志:
应用程序日志、安全性日志、系统日志。
添加域后:
目录服务、文件复制服务、DNS服务器日志。
文件服务器
●共享文件夹:
为了让网络上其他用户可以访问,对本地计算机上的指定文件夹进行共享操作后,该文件夹就成为共享文件夹。
设置共享文件夹:
①共享名——共享文件夹在网络中所显示的名称,可以与文件夹名称相同或不同,允许中英文名称,但同一台计算机上的共享名称不能重复。
②描述——对此文件夹的简单描述,可以让网络用户快速了解该文件夹的内容。
③用户数限制——以限制同时访问该共享文件夹的用户人数。
●可创建共享文件夹的本地组:
Administrators、PowerUsers。
●可创建共享文件夹的域组:
Administrators、ServerOperators。
●访问共享文件夹的方式:
①网上邻居②UNC路径③网络驱动器映射。
UNC路径格式——[\\文件服务器名\共享文件夹名],或[\\文件服务器IP\共享文件夹名]。
●共享权限:
用来控制用户通过网络访问共享文件夹时的行为,仅在用户通过网络访问时才生效。
●三种共享权限:
①读取——查看/读取文件、运行程序文件。
②更改——添加/删除文件和子文件夹、更改文件数据。
③完全控制——更改+读取+更改权限
●共享权限与NTFS权限的关系:
在NTFS分区,对共享文件夹的访问权限为共享权限和NTFS权限的组合,且生效的权限是两者之间最严格的权限。
用户在本地访问本机的共享文件夹时,不受共享权限的限制,只受NTFS权限的约束。
●在活动目录中发布共享文件夹(便于用户查找):
建立以指定共享文件夹名为名称的OU,并设置路径[\\文件服务器名\共享文件夹],在属性中设置描述文字和关键字。
用户可通过[网上邻居]来查找该共享文件夹。
在活动目录中查找已经发布过共享文件夹,可通过:
共享文件夹名,网络路径、描述和关键字。
●创建隐藏的共享文件夹:
在共享文件夹名后加“$”。
●访问隐藏的共享文件夹:
用UNC路径或网络驱动器映射。
●可以访问隐藏的驱动器根目录的域组:
Administrators、ServerOperators、BackupOperators。
●管理共享文件夹:
[计算机管理]-[共享文件夹],停止共享、查看[会话]、[打开文件]。
●DFS分布式文件系统:
以透明方式链接文件服务器和共享文件夹将其映射到单个树状结构,从而在一个位置对其进行访问分布在不同位置的数据。
一个域中可以有多个DFS根目录。
●创建DFS
升级会员 