WindowsServer服务器配置和管理Word格式.docx

WindowsServer服务器配置和管理Word格式.docx

《WindowsServer服务器配置和管理Word格式.docx》由会员分享，可在线阅读，更多相关《WindowsServer服务器配置和管理Word格式.docx（22页珍藏版）》请在冰豆网上搜索。

2）Ping：

检查网络的联通性的命令

格式为Ping目的IP如Ping192.168.1.1

如果计算机启用的防火墙设置，会阻止ICMP通信，即使网络正常也会返回Requesttimedout。

若出现Destinationhostunreachable表示主机不可达。

（有可能原因是没有配置网关）

Ping–t一直不停Ping目的地，要中断按Ctrl+C。

Ping-1SIZE指定发送数据包的大小。

例：

Ping-1256192.168.1.1

Ping命令测试网络联通时，先Ping127.0.0.1，再Ping本地IP地址，再Ping同网段计算机的IP地址，最后Ping网站

3）Tracert：

可以跟踪IP数据包到达目的地经过的路由。

格式命令是：

tracert目的IP。

4）RoutePrint：

用于显示本机路由表。

1.0网络路由。

1.10本机路由。

1.255广播路由

6．MMC：

（微软管理）控制台

MMC的优点是集中管理，方便快捷。

●控制台的4种工作模式：

①作者模式：

拥有MMC的所有功能。

②用户模式－完全访问：

和作者模式相同，只是无法添加删除管理单元。

③用户模式－受限访问，多窗口：

可以查看多个窗口，可以创建窗口，但是不能关闭任何现有的窗口。

④用户模式－受限访问，单窗口：

同上，但用户不能创建窗口。

第3章 

工作组环境的应用

●工作组：

一种简单的计算机分组模型，适用于家庭和小型商业网络。

工作组有以下特性：

①每台计算机独立维护自己的资源，不能集中管理所有的网络资源。

②每一台计算机都在本地存储用户的账户。

③一个账户只能登陆到一台计算机。

④工作组的计算机的地位都是平等的，对于其他计算机来说既是服务器，也是客户机。

⑤工作组的网络规模一般少于10台计算机。

●本地用户账户：

本地用户账户（本地账户）都存储在本地的SAM（SecurityAccountsManagement安全账户管理）数据库里，每一台（Windows2000后的）计算机都有一个本地SAM数据库，SAM存放了本地计算机上的组账户和用户账户的信息。

系统默认用户账户：

当以默认设置安装完WindowsServer2003后，系统会自动创建若干个用户账户，称做系统默认用户账户。

●本地账户的特点：

①本地账户存储在本地计算机上的SAM中

②本地账户只能登录到本地计算机

③本地账户主要用于工作组环境中

●创建本地用户账户的时机：

①允许用户以交互式（在本地）登录到计算机，然后做一些基本的上网或文字处理工作，而又不希望该用户具有关机或者格式化硬盘的权限

②若干用户通过网络访问本地计算机的资源，而这些用户对这些资源又需要拥有不同的访问权限。

用户名：

用户登录时所用的名字。

全名描述：

此信息为可选项，可以输入一些员工的个人信息和公司信息，如姓名和部门等。

密码和确认密码：

输入用户将来登录时所用的密码，输入两次而且必须相同。

用户下次登录时必须更改密码：

一般情况下都是管理員为其他用戶建立账户，但這時管理员就会知道用戶账户和密码。

用戶不能更改密码：

默认情況下每个用戶都可以更改自己的密码，但有時多个用戶使用同一个账户，如果其中一个人更改了密码，就会造成其他用戶无法登录。

密码永久不过期：

默认情况下设置的密码会在42天后过期，选中此项后后密码将永不过期。

账户禁用：

当某用户出差或者暂时离开几个月时，可以将此用户禁用，禁用后此账户将不能登录。

●利用命令行创建删除本地用户账户：

创建用户：

netuser用户名密码/add

修改密码：

netuser用户名新密码

删除用户：

netuser用户名/del

创建组：

netlocalgroup组名/add

删除组：

netlocalgroup组名/del

添加用户到组：

netlocalgroup组名用户名/add

从组中删除用户：

netlocalgroup组名用户名/del

●克隆账户注册表路径：

HKEY_LOCAL_MACHINE→SAM→SAM（给予管理员修改权限后按F5刷新）→Domains→Accounts→Users→用户账户

●设置账户属性：

常规——在常规信息中可以修改用户账户的基本信息，包括全名、描述、密码相关操作以及账户禁用和锁定信息。

隶属于——隶属于是指用户账户所属的组，通过“隶属于”选项卡可以将用户添加到组中，也可以将用户从组中删除。

配置文件——配置文件用于保存用户工作时使用的环境信息，如桌面、我的文档、收藏夹等。

终端服务相关配置——和终端服务相关的有4个选项卡，包括环境、会话、远程控制和终端服务配置文件。

重命名和删除用户的区别：

当用户账户永远不再使用时，就可以将用户账户删除，删除以后即使再建立一个同名账户，也不能保留以前的权限。

当一个用户不再使用时，就可以将次用户名重命名，但原用户的权限将保留下来。

本地组的特点：

①组是账户的集合。

②方便管理（例如赋予权限）。

③当一个用户加入到一个组后，该用户会继承该组所拥有的权限。

④一个用户账户可以同时加入到多个组。

●默认本地组（系统内置组）：

WindowsServer2003安装完成后，会自动建立一些有各种用途的内置组（可以称为“默认本地组”）

默认本地组都具有特殊的功能，其中Administrators组是内置的管理员组，该组成员拥有本地计算机最大的管理权限。

Administrators组可以被重新命名，但不能够被删除。

PowderUsers组的权限是仅次于Administrators的一个组，他可以对计算机进行大多数的日常管理。

●常用的默认本地组列表及简要说明：

组名

描述信息

Administrators

该组成员具有对服务器的完全控制权限。

并且可以向其他用户分配用户权利和访问控制权限。

Administrator就是这个组的默认成员。

BackupOperators

加入该组的成员可以备份和还原服务器上的所有文件，而不管这些文件是否设有权限

Guests

成员拥有一个在登录是创建的临时配置文件，在注销时，该配置文件将被删除。

Guests账户（默认情况下已禁用）也是该组的默认成员

NetworkConfigurationOperators

该组的成员可以更改TCP/IP设置并更新和发布TCP/IP地址

PowersUsers

有创建用户账户和组账户的权利，可以在PowerUser组、Users组和Guests组中添加删除用户，但不能管理管理员组成员。

可以创建管理共享资源

PrintOperators

该组的成员可以管理打印机

Users

该组成员可以执行一些常见的任务，例如运行应用后程序、使用本地和网络打印机以及锁定服务器。

用户不能共享目录或创建本地打印机

●添加/删除组成员：

本地组的成员通常是用户账户，可以根据实际的需求进行添加和删除。

将用户账户加入到组的方法有两种：

将多个用户加入到组，或者将一个用户加入到多个组。

ALP：

是用户账户（Account）、本地组（Localgroup）和权限（Permission）的英文简称。

第4章 

创建Windows域

●域：

将网络中计算机逻辑上组织到一起，进行集中管理的一个种逻辑环境。

●域的特点：

集中管理网络资源、便捷的网络资源访问（用户对所查询的资源要有权限）、可扩展性强（可以将小型网络环境发展成大型网络环境）

●域控制器：

存储域中的资源信息。

为网络用户和计算机提供了ActiveDirectory目录服务，该服务可存储和复制目录数据并管理用户和域的交互操作，包括用户登录过程、身份验证以及目录搜索。

每个域至少必须包含一个域控制器。

●域安装条件：

①安装者必须具有本地管理员权限

②操作系统版本必须满足条件（WindowsServer2003Web除外）

③本地硬盘至少要有一个分区是NTFS文件系统（以存储共享系统卷SYSVOL目录）

④有TCP/IP设置（IP地址、子网掩码等）

⑤有相应的DNS服务器支持，

⑥有足够的可用空间

◎Windows2000以前版本的操作系统与Windows2003的域不兼容。

●安装ActiveDirectory

打开ActiveDirectory安装向导：

[管理工具]—[管理您的服务器]—[添加/删除角色]—[配置您的服务器向导]

或运行[dcpromo]打开（同时也可用该命令将域控制器降级为普通的服务器）

●计算机加入域的条件：

①确保网络物理连通

②设置IP地址

③检查客户机到服务顺是否连通

④配置客户机的首选DNS服务器（通常为第一台DC的IP）

●将计算机加入域：

在计算机的系统属性中[计算机名]中单击[更改]，然后输入正确的域名。

最后输入具有加入域权限的用户账户名和密码即可。

（如果要从域中退出就打客户机加入某个工作组即可）

●DNS在域中的作用：

域名的命名采用DNS标准、为客户机定位DC的位置。

如果DNS的SRV资源记录没有或者不全，在定位DC时可能性会出现以下问题：

①在将计算机加入域时找不到域②添加子域时找不到上级域③建立信任关系时打不到信任域或者被信任域

●域用户账户：

在访问活动目录网络中的资源的合法用户账户。

域用户的创建

①命名（登录名在域中是唯一的。

显示名在其所在的组织单位OU中必须是唯一的。

）

②密码（密码强弱是一个用户账户安全的体现）

③用户账户属性

●用户配置文件：

当用户第一次登录到计算机的时候，系统为每个独立用户创建一个用户配置文件。

●用户配置文件类型：

①本地用户配置文件—对本地用户配置文件所做的任何更改都只是针对用户所在的计算机。

②漫游用户配置文件—配置文件保存在域服务器上，每次登录到网络上的任何一台计算机时，都可以使用该配置文件。

对漫游用户配置文件所做的更改将在服务器上更新。

③强制用户配置文件—配置文件保存在域服务器上，用户可以更改工作环境的配置，但用户对配置文件做的更改不会保存。

④临时用户配置文件—为避免系统故障导致用户配置文件无法加载，系统可为用户建立一份临时配置文件。

当用户注销时，用户对配置文件所做的更改不会保存。

●用户主文件夹：

用户可将私人文件存放在服务器上为用户配置的用户主文件夹内。

●域本地组：

成员可以是任何一个域内的用户，通用组与全局组，也可以是同一个域内的域本地组，但无法是其他域内的域本地组

●域本地组只能访问同一个域内的资源，无法访问其他不同域内的资源。

换句话说，当在某台计算机上设置权限时，可以设置同一个域内的域本地组的权限，但无法设置其他域内的域本地组的权限。

●通用组：

其成员能够包含整个林中任何一个域内的用户，通用组与全局组，但无法包含任何一个域内的域本地组。

●可访问任何一个域内的资源，也就是可以在任何一个域内设置通用组的权限。

●全局组：

成员只能包含所属域内的用户与全局组，即只能将同一个域内的用户或其他全局组加入到全局组内。

●可访问任何一个域内的资源，即可以在任何一个域内设置全局组的使用权限。

●组的作用域：

它用来确定组的使用范围

分类

成员

使用范围

作用

本地域组

本域

本域

ADLP规则

全局组

整个林以及信任域

AGDLP规则

通用组

林域

方便查询、查询快

●组织单位OU：

采用逻辑的等级结构来组织域中的所有对象，方便管理。

●常见的OU设计方式：

①基于部门的OU②基于地理的OU③基于对象类型的OU

●OU委派管理：

管理员可以为适当的用户和组指派一定范围的管理任务，从而减轻管理员的负担。

注：

需要在受委派用户的客户机上安装[管理工具]软件包。

（在AGDLP规则，在客户机上赋于其个文件的权限时必须先将域功能提升，否则不能看到本地域组）

第5章 

NTFS权限

●文件系统：

当用户向磁盘中存储文件时候，文件都是按照某种格式存储到磁盘上的，这种格式就是文件系统。

文件系统：

FATFAT32NTFS3种，区别在于安全性、效率、容量这几个方面。

FAT支持：

DOS、98\ME、NT、2000、XP、2003。

FAT32支持：

98\ME、2000、XP、2003。

NTFS支持：

NT（有时需要补丁才能支持）、2000、XP、2003。

●NTFS的特点：

◎可以对单个文件或者文件夹设置权限。

◎支持更大的磁盘容量，当容量变大时性能不降低，同等情况下FAT性能会降低。

◎压缩功能，可压缩驱动器、文件夹和特定文件。

◎文件加密功能，增强了系统安全性。

◎活动目录要求系统具有NTFS分区。

◎磁盘配额，可监控和控制单个用户的磁盘容量。

●NTFS格式的获得方法：

格式化磁盘，选择NTFS文件系统。

使用命令Convert/fs:

ntfs将分区转换为NTFS。

分区文件格式转换为NTFS格式，如PQmagic。

●NTFS权限：

完全控制——对文件或者文件夹可执行所有操作。

修改——可以修改、删除文件和文件夹。

读取运行——可以读取内容，并且可以执行应用程序。

列出文件夹目录——可以列出文件夹的内容，此权限只针对文件夹的存在。

读取——可以读取问价或者文件夹的内容。

特别权限——读取权限、更改权限、取得所有权。

●取得文件和文件夹的所有权：

由于继承的原因，所有新建的文件或者文件夹管理员都具有完全控制权限。

如果设置了拒绝其他所有用户的权限。

管理无法进入，这时就可以用取得所有权。

（在属性-安全-高级-替换子容器及所有者）

NTFS权限的应用规则

●权限的组合：

累加，如果一个用户对文件有读取权限，而用户所在的组有写入权限，那用户的权限就是读取+写入。

●权限的拒绝：

拒绝最大….它是老大!

其他人靠边

●权限的继承：

新建文件或者文件夹会自动继承上一级目录或磁盘分区的NTFS权限。

（如果不想继承可以[高级]－勾去[允许父项的继承权限传播到该对象和所有的子对象]）

移动

复制

在同一分区内

保留原来的权限

继承目的地文件夹的权限

在不同分区之间

●AGDLP规则：

将用户加入全局组---将全局组加如本地域组---给本地组附权

第6章 

安全策略

●本地安全策略：

是本地计算机的安全设置，用户登录到本地计算机后即受到此台计算机的安全策略影响。

●未加入域的计算机本地安全策略打开方法：

管理工具——本地安全策略。

账户策略、本地策略。

●账户策略分为两部分：

密码策略、账户锁定策略。

①密码必须符合复杂性要求最少三种字符。

②密码长度最小值默认7位，0表示不需要密码。

③密码最长使用期限默认42天，0表示永不过期。

④密码最短使用期限默认0天，代表可以更改密码。

⑤强制密码历史默认为0，代表可使用以前的密码。

●账户锁定策略：

账户锁定阈值默认0，代表不锁定账户。

●账户锁定时间：

解除锁定的时间。

0代表必须管理员解除锁定。

复位账户锁定计数器

◎账户锁定策略对管理员无效。

●本地策略分为三部分：

审核策略、用户权限分配和安全选项。

域控制器安全策略＞域安全策略＞成员计算机安全策略

●审核策略：

审核事件——账户登录事件、登录事件、对象访问、账户管理、目录服务访问、系统事件。

●审核文件及文件夹：

首先启用审核策略中的审核对象访问策略，然后在需要审核的文件或文件夹属性中的[安全]选项卡[高级]按钮中切换到[审核]选项卡，制定具体审核对象。

◎只有NFTS分区的文件或文件夹才能使用审核功能。

●事件查看器：

默认的三种日志：

应用程序日志、安全性日志、系统日志。

添加域后：

目录服务、文件复制服务、DNS服务器日志。

第7章 

灾难恢复

NTBackup启动方式：

命令行和程序菜单。

●备份类型：

类型

检查备份标记

清除备份标记

适用情况

常规备份

不

是

增量备份

新增数据量较大

差异备份

新增数据量较小

副本备份

每日备份

恢复多个备份时，先恢复常规备份，再恢复增量备份或差异备份。

●系统状态：

①注册表。

②启动文件。

③COM+类注册数据库。

④域控制器：

活动目录、系统卷。

●有系统备份权限的本地组：

Administrators、BackupOperators。

●有系统备份权限的域组：

Administrators、ServerOperators、BackupOperators。

●安全模式启动选项：

安全模式——使用基本文件和驱动程序，用于软件安装出错。

VGA模式——使用最低显示分辨率和刷新率，用于显卡设定超过显示器的规格。

最后一次正确的配置——上一次系统关闭时保存的配置，用于硬件驱动冲突。

目录服务还原模式——恢复域控制器AD目录和系统卷，用于恢复系统卷。

●任务计划包含：

①运行的程序（脚本）、运行时间、用户名和密码。

②备份任务的文件名是.bkf。

③要使用计划任务，系统的TaskSchedules服务必须启动。

④新建的任务计划，都存储在Windows\Tasks目录中

第8章 

组策略

●组策略：

一组策略的集合。

加强了管理员管理站点、域和组织单位中计算机和用户配置的能力。

●组策略的作用：

①域内的组策略影响整个域的工作环境，OU内的组策略影响OU下的工作环境。

②降低布置计算机和用户的费用，减少用户不正确配置的可能性。

③便于推行公司制定的桌面环境和安全策略等计算机规范。

◎组策略只适用于Windows2000以后的操作系统。

组策略的具体设置数据保存在组策略对象GPO中，GPO可以和活动目录容器连接起来，影响容器中的计算机和用户，通过管理组策略对象来管理组策略。

◎要看到[组策略]选项卡，需要启用[查看]－[高级功能]。

●站点：

是物理结构，有一个或几个通过高速连接在一起的IP子网组成。

一个站点可以有多个域，一个域可以有多个站点。

◎创建站点的两个原因：

优化复制、使用户能够使用可靠、高速的连接登录到域控制器上。

●默认GPO有两个：

DefaultDomainControllerPolicy默认域控制器策略，DefaultDomainPolicy默认域策略。

默认域策略影响域中所有计算机和用户，默认域控制器策略影响组织单位DomainController中的所有计算机和用户。

●GPO的组件存储在两个位置：

GPC和GPT。

◎计算机配置要重启计算机才能生效，用户配置要用户重新登录就可生效。

◎如果下层容器的相关项目没有设置，则该项目继承上层容器的设置，且该项目的设置和自身其他项目的设置累加起来。

◎如果下层容器的设置与上层容器的设置相冲突，则不会继承上层容器的相关设置，而是执行自身的设置。

如果策略之间发生冲突，则后应用的策略生效。

◎GPC内有多个链接对象时，先应用下面的策略，再应用上面的策略，上面的策略覆盖下面的策略最终生效。

◎子容器可通过设置[阻止策略继承]，阻止继承上层容器的组策略。

◎管理员可对上层容器的策略设置[禁止替代]，使上层容器的组策略强制生效。

◎系统默认先处理计算机的配置，再处理用户配置。

如二者冲突，则按计算机配置来应用。

◎密码策略例外，以域安全策略为准。

●筛选功能：

可设置OU子容器的某一特定成员不执行本部门的用户设置。

●筛选方法：

将该用户在GPO[安全属性]里的权限设置为拒绝读取和应用组策略。

●利用GPO实现软件配置：

①获取Windows安装程序软件包，一般包含.msi文件和相关安装文件。

②将软件安装文件存放在服务器上的一个共享文件夹，作为软件分发点。

③创建或修改GPO，对软件安装进行相应设置。

在设置GPO时，软件分发点应采用“\\服务器名\共享文件夹”的方式来设置。

●软件分发：

指派可以针对用户或者计算机，而发布只针对用户。

指派给用户——软件在用户登录到计算机的时候就会安装，在用户第一次运行软件的时候完成安装。

指派给计算机——软件在计算机启动进入系统后就会安装，在用户第一次运行软件的时候完成安装。

发布给用户——软件安装在[控制面板]的[添加/删除程序]中，需要使用软件时执行安装的操作即可。

注意，将软件发布给用户时，用户需要有安装该软件的相关权限才能对软件进行正常安装。

●修复软件：

用户的软件发生文件丢失或损坏时，用户端系统可以自动检测到错误，并从原来的软件分发点重新复制安装文件来修复受损软件。

如果原来的软件分发点上的安装文件发生丢失或损坏，则必须先在服务器上修复该软件的源安装文件，再将它重新部署一次。

当客户端不能修复该软件时，管理员应重新复制一份正常的安装文件到原来的分发点，并打开[组策略编辑器]窗口，选择更新后的源文件程序安装包，执行[重新部署应用程序]命令。

●删除软件：

用户或计算机不需要分发软件时，可以在GPO中删除软件设置。

右击要删除的程序包，选