WINDOWS总结.docx
《WINDOWS总结.docx》由会员分享,可在线阅读,更多相关《WINDOWS总结.docx(30页珍藏版)》请在冰豆网上搜索。
WINDOWS总结
第一章安装和配置WindowsServer2003
1网络组成
计算机、连接设备、操作系统、资源
2网络管理方式
对等网模型(PeertoPeer)、客户机/服务器模型(Client/Server)
3客户机/服务器模型的特点
客户机:
一般用户使用的计算机,采用Windows98、WindowsMe、Windows2000Professional、WindowsXP系统等。
服务器:
完成某一特定的功能。
用户通过客户机上的应用程序向服务器发送服务请求,服务器根据请求的内容,完成相应的工作,然后将工作结果传给客户机。
采用WindowsNT、Windows200Server、WindowsServer2003系统等。
4WindowsServer2003的4个版本
WindowsServer2003Web版、WindowsServer2003标准版、WindowsServer2003企业版、WindowsServer2003Datacenter版
5安装WindowsServer2003时的授权模式
每服务器模式:
将访问许可证(CAL)放在服务器上,超过授权数量的连接将被拒绝。
每设备或每用户模式:
将访问许可证放在客户机上,适合于大多数客户端连接到多台服务器的情形。
6工作组模型和域模型的区别
工作组中,每台计算机的地位是平等的,没有管理和被管理的关系,这种网络模型管理分散,安全性不高,适合于小型的网络环境。
域中,计算机的地位是不平等的,有一种被称为域控制器的计算机,它负责管理域中其他的计算机,这种网络模型管理集中,安全性高,适合于大型的网络环境。
7安装WindowsServer2003时的注意事项
Ø最好不要在正在使用的服务器上安装新的操作系统
Ø做好备份
Ø注意多系统共存
8设备管理器中的一些特殊符号
黄色的问号:
代表有冲突或者是没有安装驱动程序
红色的惊叹号:
代表驱动程序安装错误
9查看系统信息的命令
Msinfo32
10安装Windows组件的方法
Ø管理您的服务器
ØWindows组件向导
Ø使用命令行
11部署多台Windows客户机的方法
使用sysprep.exe和setupcl.exe两个程序去除Windows的SID标识,然后使用Ghost工具制作镜像文件
12WindowsServer2003默认的安装位置
C:
\Windows
第二章配置WindowsServer2003网络
1Windows网络组件(即将使用WindowsServer2003的计算机接入网络)包括
网络适配器、协议、网络服务和客户端
2计算机的命名规则
在同一个网络内,计算机名称不能重复,而且计算机的名称不能全是数字,最长使用15个字符,计算机的NetBIOS名称第16个字符代表服务。
3查看本机的NetBIOS名称使用的命令
Nbtstat–n或者使用hostname命令
4查看网络中某个IP的NetBIOS名称使用的命令
Nbtstat–a某计算机的IP
5IP地址的分类以及使用上的区别
IP地址分为静态IP地址和动态IP地址,一般,服务器建议采用静态IP地址,客户机采用动态IP地址。
配置静态IP地址访问同一个网段的计算机时必须配置IP地址和子网掩码,访问不同网段的计算机时还需要配置默认网关和首选DNS服务器。
6设置静态IP地址的缺点
Ø增加管理员的工作量
Ø可能会输入错误
Ø可能会引起IP地址冲突
Ø当网络更改IP地址段时,需要重新配置每台计算机的IP
Ø当计算机在多个网段间移动时,需要重新配置IP
7动态IP的缺点
动态IP的分配要依赖于DHCP服务器,当网络中存在多台DHCP服务器时,容易出现IP混乱。
8备用配置
在计算机于使用动态和静态的网络中频繁切换的场合中,配置动态IP时会多出一个备用配置的项,在一个使用静态IP地址的网络中系统会自动启用备用配置。
9Windows网络测试工具
ØIpconfig(/all)用于查看计算机IP地址配置信息
ØPing(-a/–t/–l)用于测试网络是否联通
ØTracert用于跟踪IP数据包到达目的地经过的路由
ØPathping也可以实现简单的路由跟踪功能,还有简单统计功能
ØRoutePrint用于显示本机路由表
10MMC的优点
MMC(MicrosoftManagementConsole)的中文名称为微软管理控制台,利用它可以将不同网络服务和组件的管理工具组合在一个控制台中来统一维护和管理。
保存后的扩展名是msc
11控制台的工作模式
Ø作者模式
Ø用户模式-完全访问
Ø用户模式-受限访问,多窗口
Ø用户模式-受限访问,单窗口
12远程桌面管理的注意事项
Ø远程桌面用户的密码不能为空,否则会提示“由于账户限制,无法登录”
Ø远程桌面登录时所使用的用户账户必须在远程桌面用户组中,否则会提示“此系统的本地策略不允许您交互登录”
第三章工作组环境下的应用
1什么时候使用工作组模型,以及工作组的特点
工作组通常用于家庭和小规模的商业网络,该模型下,计算机直接互相通信,不需要服务器来管理网络资源。
工作组模型有以下特征:
Ø每一台计算机都独立维护自己的资源,不能集中管理所有的网络资源
Ø每一台计算机都在本地存储用户的账户
Ø一个账户只能登录到一台计算机
Ø工作组中的计算机的地位都是平等的,对其它计算机来说既是服务器也是客户机
Ø工作组的网络规模一般少于10台计算机
备注:
工作组中的计算机不必都采用相同的操作系统
2将计算机加入工作组时的注意事项
工作组名一定不能和计算机名相同,工作组名可以有15个字符,必须以管理员的身份登录才能完成该过程
3本地账户的特点
Ø本地帐户存储在本地计算机的SAM中
Ø本地账户只能登录到本地计算机
Ø本地账户主要用于工作组环境中
4本地账户中系统默认的用户帐户有
Administrator是默认的内置管理员账户,此账户对计算机拥有最大的权限
Guest账户是用于临时访问的账户,默认的权限很少,默认下是被禁用的
5创建本地用户账户的命令
NetuserUserNamePassword/add
6创建新用户时需要注意的问题
用户名最长为20字符,不区分大小写,不能与当前系统里其他用户帐户或者组账户重名
默认情况下,设置的密码会在42天后过期。
为了兼容Windows9x系统,密码长度最好不要超过14位
7Administrator被禁用时如何解决
重新启动后按功能键F8,进入安全模式,然后把此帐户已禁用前面的复选给去掉
8改名和删除后建立同名账户对权限的影响
改名后原账户所有权限将全部保留下来,SID号不变。
删除后建立同名账户不能保留原账户的权限,SID号发生改变
9查看SID号的命令
Whoami/user用于查看当前用户的SID号
Whoami/groups用于查看本机内置安全主体的SID号
10组的特点
Ø组是账户的集合
Ø方便管理
Ø当一个用户加入到一个组以后,该用户会继承该组所拥有的权限
Ø一个用户同时加入到多个组
11创建本地组的命令
NetlocalgroupGroupName/add
12内置组的概念以及常见的默认本地组
WindowsServer2003安装完成后,会自动建立一些有各种用途的内置组
每一个默认本地组都有其特殊功能。
Administrators组可以被重新命名,但不能被删除。
PowerUsers组的权限仅次于Administrators组,可以对计算机进行大多数的日常管理,但不具有更改IP地址和格式化硬盘等权限
13常用的默认本地组列表及简要说明
组名
描述信息
Administrators
该组的成员具有对服务器的完全控制权限,并且可以向其他用户分配权利和访问控制权限,管理员帐户Administrator就是这个组的默认成员
BackupOperators
加入该组的成员可以备份和还原服务器上的所有文件,而不管这些文件是否设有权限
Guests
该组的成员拥有一个在登录时创建的临时配置文件,在注销时该配置文件也就被删除了。
Guest默认是禁用的
NetworkConfigurationOperators
该组的成员可以更改TCP/IP设置并更新和发布TCP/IP地址
Powerusers
该组具有创建用户帐户和组的权利,可以在Powerusers、Users组和Guests组中添加或删除用户,但是不能管理Administrators的成员。
可以创建和管理共享资源
PrintOperators
该组的成员可以管理打印机
Users
该组可以执行一些常见的任务,如运行应用程序、使用本地和网络打印机以及锁定服务器。
用户不能共享目录或创建本地打印机
14本地组的成员包括哪些
本地组的成员不能是其他的本地组,只能是用户或者内置安全主体
15ALP规则
ALP是用户账户(Accounts)、本地组(Localgroup)和权限(Permission)的简称。
就是将用户帐户加入本地组,然后为本地组分配权限,这样本地组的所有用户帐户都会有相应的访问权限。
第四章创建Windows域
1域的概念
将网络中的多台计算机逻辑上组织到一起,进行集中管理,这种区别于工作组的逻辑环境叫做域。
域是组织与存储资源的核心管理单元。
2活动目录的特点
活动目录提供了存储网络上对象信息并使网络用户访问该数据的方法。
有以下特点:
Ø集中管理
Ø便捷的网络资源访问
Ø可扩展性
3升级为域控制器的条件
Ø安装者必须具有本地管理员权限
Ø操作系统版本必须满足条件(网络版操作系统,WindowsServer2003除了Web版外都满足)
Ø本地磁盘至少有一个分区是NTFS文件系统
Ø有TCP/IP设置
Ø有相应的DNS服务器支持
Ø有足够的可用空间
4安装活动目录的步骤
Ø打开“ActiveDirectory安装向导”(直接在运行里输入“dcpromo”)
Ø是否创建新域
Ø新域的DNS全名
Ø新域的NetBIOS名
Ø数据库和日志文件文件夹
Ø共享的系统卷
ØDNS注册诊断
Ø域兼容性
Ø还原模式密码
配置完成后,系统会安装所需要的文件并提示重新启动计算机。
将域控制器降级为普通的服务器的命令和升级的命令相同,均为“dcpromo”
5将计算机加入域的过程
在加入域之前,首先检查客户机的网络配置:
Ø确保网络物理上联通
Ø设置IP地址
Ø检查客户机到服务器是否连通
Ø配置客户机的首选DNS服务器(通常为第一台DC的IP)
然后使用域中的合法用户帐户来完成将计算机加入域的操作。
6DNS在域中的作用
域名的命名采用DNS标准、定位DC
7创建域用户帐户时需注意
Ø域用户帐户的用户登录名在域中必须是唯一的,域用户帐户的显示名在其所在的组织单位(OU)中必须是唯一的。
Ø域用户登录名最长可以包含20个字符。
Ø可以通过配置域用户帐户属性中的“登录时间”和“登录到”限制用户使用域中计算机。
8用户配置文件的类型
本地用户配置文件、漫游用户配置文件、强制用户配置文件、临时用户配置文件
9用户主文件夹的概念
用户主文件夹也称为用户主目录,可以位于文件服务器上或存储在本地计算机上。
配置了用户主文件夹后,当域账户在客户机登录后,就会发现在本机上多了一个网络驱动器
10WindowsServer2003ActiveDirectory中组的类型包括
通讯组和安全组
11组的作用域
Ø本地域组:
使用范围是本域
Ø全局组:
使用范围是整个林以及信任域
Ø通用组:
使用范围是整个林以及信任域
12通用组和全局组的区别
Ø通用组的创建,在Windows2000混合模式不能创建通用组
Ø通用组的成员在全局编录中
13域功能级别包括
Windows2000混合模式、Windows2000纯模式和WindowsServer2003模式
14OU的概念以及设计方法
OU采用逻辑的等级结构来组织域中所有的对象,方便了管理。
OU的设计方法:
Ø基于部门的OU
Ø基于地理位置的OU
Ø基于对象类型的OU
Ø基于以上混合的OU
第五章NTFS权限
1NTFS文件系统的特点
Ø可以对单个文件或者文件夹设置权限
Ø支持更大的磁盘容量
Ø压缩功能
Ø文件加密
Ø活动目录需要使用NTFS
Ø磁盘配额
2获得NTFS文件系统的方法
Ø格式化磁盘,格式化时使用NTFS文件系统
Ø将FAT文件系统转换为NTFS文件系统,并保留原有的数据,使用convert命令
Ø使用第三方软件转换
3NTFS分区中的ACL和ACE
ACL(AccessControlList)访问控制列表,列出的是和当前文件或文件夹权限有关的用户和组
ACE(AccessControlEntry)访问控制项,列出的是和该选定用户和组相关的权限
4常用的NTFS权限有
Ø完全控制
Ø修改
Ø读取和运行
Ø列出文件夹目录(文件夹有而文件没有)
Ø读取
Ø写入
Ø特别的权限
5特别的权限包括哪些权限
Ø读取权限
Ø更改权限
Ø取得所有权
6取得文件和文件夹所有权的方法
打开高级安全设置对话框,在所有者中选定Administrator后,选择“替换字容器及对象的所有者”,Administrator用户即取得了文件和文件夹的所有权,并且将以前具有权限的用户给替换掉了,可以重新配置权限
7NTFS权限的应用规则
ØNTFS权限的组合:
用户对资源的有效权限是分配给用户帐户的权限和用户所属的各个组的累加权限,前提是没有拒绝权限
Ø权限的继承:
新建的文件或文件夹会自动继承上一级目录或磁盘分区的NTFS权限
Ø拒绝权限:
拒绝权限可以覆盖所有其他权限
8复制和移动操作对权限的影响
在相同NTFS分区或者在不同NTFS分区之间复制文件夹或文件时,将继承目的地文件夹的权限;在相同NTFS分区移动文件夹或文件时,将保留原有的权限,在不同NTFS分区移动文件夹或文件时,将继承目的地文件夹的权限。
如果文件夹或者文件从NTFS分区复制或移动到FAT/FAT32分区,则NTFS权限丢失
9AGDLP规则
1)将用户帐户加入全局组
2)将全局组加入本地域组
3)给本地域组赋权限
10应用AGDLP规则的优点
AGDLP规则提供较强的逻辑性和灵活性,同时又降低了分配权限的复杂性,当有多个域的用户帐户需要访问某个域的资源时,更能体现其优越性
113种文件系统的兼容性
FAT
FAT32
NTFS
DOS
支持
不支持
不支持
Windows98/Me
支持
支持
不支持
WindowsNT
支持
不支持
安装补丁后支持
Windows2000
支持
支持
支持
WindowsXP
支持
支持
支持
WindowsServer2003
支持
支持
支持
12WindowsNT和NTFS文件系统的描述
WindowsNT通过安装补丁后才能支持Windows2000和WindowsServer2003中的文件系统,WindowsNT和Windows2000又称NT5.0,WindowsServer2003又称NT5.2
第六章安全策略
1本地安全策略包含的内容
Ø帐户策略
1.密码策略
2.帐户锁定策略
Ø本地策略
1.审核策略
2.用户权限分配
3.安全选项
要使本地安全策略生效,需要运行gpupdate命令刷新组策略或者重新启动计算机
2密码策略包括的策略
Ø密码必须符合复杂性要求,必须包含大写字母、小写字母、数字、特殊符号之中的3个字符
Ø密码长度最小值,将字符数设置为0时表示不需要密码
Ø密码最长使用期限,设置为0天后代表密码永不过期,默认密码42天后过期
Ø密码最短使用期限,设置为0时表示密码永不过期
Ø强制密码历史,默认为0代表可以随意使用过去使用的密码
Ø用可还原的加密来存储密码
3帐户锁定策略包括的策略
Ø帐户锁定阈值,指用户输入几次错误的密码后,将用户帐户锁定
Ø帐户锁定时间,设置为0代表必须有管理员手动解锁
Ø复位账户锁定计时器,该复位时间必须小于或等于帐户锁定时间
注:
帐户锁定策略对域管理员帐户Administrator无效
4审核策略中常用的策略
设置审核可以确定是否将计算机中关于安全的事件记录到安全日志里,可以通过事件查看器察看记录的事件信息,只能对NTFS分区中的文件及文件夹才能使用审核功能
Ø审核对象访问
Ø审核登录事件
Ø审核系统事件
Ø审核帐户管理
5用户权限分配中常用的策略
通过用户权限分配,可以为某些用户和组授予或拒绝一些特殊的权限
Ø从网络(/拒绝从网络)访问此计算机
Ø允许在(/拒绝)本地登录,默认情况下,本地Users组中的用户可以在本地登录,域Users组中的用户不可以在域控制器上登录
Ø关闭系统
Ø更改系统时间
6安全选项中常用的策略
通过安全选项,可以控制一些和操作系统安全相关的设置
Ø关机:
允许系统在未登录前关机
Ø交互式登录:
用户试图登录时消息文字(/消息标题)
Ø交互式登录:
不显示上次的登录名
Ø交互式登录:
不需要按CTRL+ALT+DEL
7域控制器安全策略与本地安全策略、域安全策略的区别
将一台计算机升级为域控制器,本地安全策略就升级为域控制器安全策略。
域控制器安全策略对域的安全设置有影响。
在域控制器安全策略的帐户策略中,多了Kerberos策略,它主要与域用户帐户的登录有关。
域安全策略可以影响整个域中的计算机的安全设置
83种安全策略的关系
成员计算机和域的设置项冲突时,域安全策略生效
域控制器和域的设置项冲突时,域控制器安全策略生效
9事件查看器中可以查看到的日志类型
Ø应用程序日志
Ø安全性日志
Ø系统日志
如果安装了活动目录则会有目录服务日志和文件复制服务日志;如果安装了DNS服务还有DNS服务器日志
10事件查看器中的一些特殊符号
红色的X表示审核错误
黄色△中的!
表示警告
白色的i表示信息
钥匙表示审核成功
锁表示审核失败
第七章灾难恢复
1备份工具以及工作模式
WindowsServer2003提供了一个备份工具ntbackup.exe,使用该工具可以备份和还原用户数据和系统数据,并能够利用任务计划创建自动定时备份。
它有两种工作模式:
向导模式和高级模式
2备份标记
当文件进行备份时,是根据文件的备份标记的状态进行的。
备份标记是文件的一个属性,又称存档属性。
它有两种状态:
已备份(A)和未备份。
备份文件的扩展名为.bkf
3WindowsServer2003可以实现的备份类型
Ø常规备份(正常备份),通常用作首次备份,不检查备份标记,备份后清除备份标记
Ø增量备份,备份自上次备份以后创建或更改的内容,备份时检查备份标记,备份后清除备份标记
Ø差异备份,备份自上次常规或增量备份以来所有创建或更改的内容,备份时检查备份标记,备份后不清除备份标记
Ø副本备份,备份所有选定的文件,用于长远备份的需要。
备份时不检查备份标记,备份后不清除备份标记
Ø每日备份,备份当天创建或更改过的所有选定的文件,备份时不检查备份标记也不清除备份标记
4备份时常用的备份策略
常规+增量备份
常规+差异备份
5WindowsServer2003中的系统状态数据(SystemState)包括
Ø注册表(Registry)
ØCOM+类注册数据库
Ø启动文件(BootFiles)
在域控制器中,还包括以下系统状态数据
Ø活动目录(ActiveDirectory)
Ø系统卷(SYSVOL)
由于系统状态组件间的依存关系,不能选择备份或还原系统状态数据的单独组件
6任务计划包含的要素
Ø运行的程序,包括可运行的程序或者脚本
Ø运行时间
Ø用户名及密码
此外,在新建任务计划的时候,还必须指定作业名,而且系统的任务计划服务还必须是启动的
7Windows的安全模式中常用到的模式
开机时按功能键F8进入Windows高级选项菜单
Ø安全模式,通常用于系统安装某个软件或驱动程序后不能正常启动的情形
Ø最后一次正确的配置,通常用于系统安装某个硬件驱动或修改注册表后不能正常启动的情形
Ø启用VGA模式,通常用于计算机更改刷新频率失败或调整分辨率失败后出现黑屏
Ø目录服务还原模式,在域控制器上还原系统状态时,利用还原模式密码进入该模式
8应用Msconfig程序
Msconfig.exe是系统自带的系统配置实用程序,可以利用此工具判断和诊断操作系统的配置问题,其中包括“一般”、“SYSTEM.INI”、“WIN.INI”、“BOOT.INI”、“服务”和“启动”选项卡
第八章组策略
1组策略的作用
组策略是一组策略的集合,利用组策略,管理员可以很方便地管理活动目录中的计算机和用户的工作环境
Ø对域设置组策略影响整个域的工作环境,对OU设置组策略影响本OU下的工作环境
Ø降低布置用户和计算机环境的总费用
Ø推行公司使用计算机规范,包括桌面环境规范以及安全策略等内容
注:
组策略不适用于早期的Windows操作系统,如Windows9x/NT,DOS
组策略的具体设置数据保存在GPO(组策略对象)中,是AD中的一种特殊的对象
2WindowsServer2003域刚建好时,默认的GPO有
DefaultDomainPolicy(默认域策略)
DefaultDomainControllerPolicy(默认域控制器策略)
3活动目录的容器包括
SDOU(Site、Domain、OrganizationalUnit),容器中包含的用户和计算机这两种活动目录对象,受组策略的控制
4站点和域的对应关系
一个站点中可以有多个域;一个域中也可以有多个站点
创建站点的2个基本原因是:
Ø优化复制
Ø使用户能够使用可靠、高速的连接登录到域控制器上
5GPO组件存储的位置
ØGPC(组策略容器),包含GPO属性和版本信息的活动目录对象
ØGPT(组策略模版),在域控制器的共享系统卷中,是一种文件夹的层次结构
6组策略中的配置包括
Ø计算机配置,对容器中的计算机起作用,主要影响注册表中的“HKEY_LOCAL_MACHINE”的设置,包括软件设置、Windows设置和管理模板
Ø用户配置,对容器中的用户起作用,主要影响注册表中的“HKEY_CURRENT_USER”的设置,包含软件设置、Windows设置和管理模板
7组策略的应用规则