第七章 Windows.docx
- 文档编号:6187726
- 上传时间:2023-01-04
- 格式:DOCX
- 页数:78
- 大小:2.65MB
第七章 Windows.docx
《第七章 Windows.docx》由会员分享,可在线阅读,更多相关《第七章 Windows.docx(78页珍藏版)》请在冰豆网上搜索。
第七章Windows
第七章Windows服务配置与应用
7.1熟悉windowsserver2003的各种服务
【案例描述】
小张所供职的是一家网络集成公司,其中也包含为客户构建windows服务以及安全配置。
为了向客户展现技术实力,公司派小张去演示利用VMware虚拟化演示windowsserver各种服务的安装与配置。
【知识点】
1、VMwareworkstation7.0的安装与使用
2、WindowsServer2003的安装与使用
3、2003内各种服务,dns、ftp、dhcp、web、e-mail的安装与配置
【解决方案】
在真实机中安装VMware7.0,利用VMware7.0进行WindowsServer2003的安装与配置,各种服务通过插入光盘,在“开始→设置→控制面板→添加删除程序→添加删除Windows组件”进行各种服务的安装,在此不一一叙述,后面若涉及,将进行更详细的描述。
【实施步骤】
1、安装VMwareworkstation7.0
下载VMwareworkstation7.0,按照要求提示安装你所需要的虚拟机组件,如图7-1,在这里,我们选择typical(典型)。
图7-1典型安装虚拟机
我们选择安装目录,如果不想安装在默认下,可以选择Change更改目录,在这里,我们采用默认的目录,如图7-2。
图7-2选择安装路径
如图7-3所示,按照个人喜好选择是否添加快速启动方式。
在这里,建议采用默认配置。
图7-3安装附件
下一步后,当确认之前配置无误后,点击continue继续,系统将根据先前选择进行配置。
随后,将进行注册信息的填写,如图7-4
图7-4注册信息
信息填写完成后,按照系统提示,重启系统。
若感觉英文版用不习惯的,也可以安装个汉化包进行汉化。
打开虚拟机,同意协议后,我们会看到如图7-5所示界面。
图7-5虚拟机主界面
在图7-5中,我们发现,整个界面被分成了3个部分。
最上面的是菜单栏和工具栏;左边是收藏夹和快捷栏,可以快速定位创建好的虚拟机;右下是主要框体,在框体中操作虚拟机;其中,“新建虚拟机”可以利用光盘或ISO映像创建一个新的虚拟机,“新建分组”可以创建一个新的组,“打开已存在的虚拟机或分组”可以打开被关闭的已存在的虚拟机。
在任务栏中,我们可以对虚拟机进行“停止、暂停、开启、重启、新建快照、回到快照、管理快照”等等。
对虚拟机硬件配置可以在菜单栏中的“虚拟机”中找到各种配置,如图7-6
图7-6虚拟机设置
2.Windowsserver2003的安装与配置,详见《操作系统》一书。
3.2003内各种服务,dns、ftp、dhcp、web、e-mail的安装与配置,详见《操作系统》一书;后面涉及时将详细指出。
【总结】
该项目案例主要是让大家熟悉VMware7.0的安装与使用,Windows2003的安装,熟悉五大服务的安装以及配置,并且了解其中的关系。
熟练掌握并应用服务虚拟化技术,利用虚拟化技术低成本实现复杂设置。
7.2熟悉Windows架构域环境与组策略
【案例描述】
客户对小张的表现感觉满意,对该公司的实力充满了信心。
客户决定让小张配置一个小型的域环境,并且进行策略配置,目的是达到最好、最安全的使用效果,并且使娱乐软件尽量少的用,为了让员工专心工作。
【知识点】
1、Windows2003的安装
2、配置IP地址
3、配置dns、dhcp服务器
4、配置域控制器
5、了解组策略
【解决方案】
利用VMware7.0的虚拟机进行安装Windows2003,并在虚拟机中配置并调试Windows2003,达到完美构建一个Windows域环境的要求,并呈现给客户。
先安装dns和dhcp,再安装域控制器。
随后,对域环境下的组策略进行控制,要求,设置用户密码复杂度,密码最长使用期限为7天,最短使用期限是1天,长度定为9个字符。
并且账户锁定阈值为5次。
另外,要求禁用WindowsMediaPlayer。
【实施步骤】
1、Windows2003的安装
具体安装过程,详见《操作系统》一书,在此不一一列举。
2、配置IP地址
对“网上邻居”右键点击,选择“属性”选项,结果如图7-7所示
图7-7网络连接
发现,“本地连接”属性有惊叹号。
对“本地连接”右键点击,选择“属性”选项,结果如图7-8所示。
图7-8网卡属性
在图7-8中,我们能看到很多项目,诸如“Microsoft网络客户端”“Internet协议(TCP/IP)”等,在这里,我们为了配置IP地址,需要选择的是“Internet协议(TCP/IP)”。
点击“Internet协议(TCP/IP)”,然后选择属性(双击可以直接选择属性),结果如图7-9所示。
图7-9TCP/IP属性(配置前)
在图7-9中,我们发现,Windows默认的IP地址是自动获取IP与DNS。
为了配置域控制器,我们必须要手动配置IP地址和DNS地址。
所以点击“使用下面的IP地址”,发现,原先为灰色的选项都激活了,可以填写信息进去。
为了实验需要,我们填写一个私有地址192.168.1.2/24作为测试。
结果如图7-10所示。
图7-10TCP/IP属性(配置后)
在图7-10中,我们发现,“IP地址”填写的是192.168.1.0/24网段的第二个可用的IP,那是因为第一个IP一般情况下都会作为网关地址(有时候也会用网段最后一个可用IP作为网关,因情况而定)。
域控制器一般与DNS在一台服务器上,所以首选DNS是自己本身。
点击确定后,我们的IP地址已经配置完成,回到了图7-8的界面。
为了以后便于查看,我们一般会勾选“连接后在通知区域显示图标”复选框,如图7-11所示。
图7-11勾选连接后显示图标
到此,IP地址已经配置完成,点击“关闭”后,系统就会生效当前配置。
3、配置DNS和DHCP服务器
在架构域控制器之前,我们得做一系列的准备活动,DNS与DHCP是不可或缺的。
必须在安装域控制器之前安装并配置DNS和DHCP。
点击“开始”→“设置”→“控制面板”→“添加或删除程序”→“添加/删除Windows组件”,结果如图7-12所示。
图7-12Windows组件向导
在图7-12中,会发现组件选项框中有很多选项,我们需要下拉菜单选择“网络服务”,点击“详细信息”,然后勾选里面的“动态主机配置协议(DHCP)”和“域名系统(DNS)”,然后点击确定。
“网络服务”详细信息如图7-13所示。
图7-13安装DNS与DHCP
在图7-13中,当我们选择了如图所示的选项后,我们确定即可,然后“下一步”就可安装完成。
注:
这一步安装的时候需要有Windows2003安装光盘或者相应的I386文件,否则不能继续。
安装完成后,点击“开始”→“程序”→“管理工具”,选择DNS和DHCP后,会出现如图7-14所示,说明DNS和DHCP安装完成。
图7-14DNS(左)和DHCP(右)配置界面
对DNS进行配置,选择“正向查找区域”右键选择“新建区域”。
按照提示,一步步进行下去。
如图7-15所示,我们选择符合我们需要的“主要区域”,然后下一步。
图7-15创建正向查找主要区域
为了本次试验,所以我们可随意配一个区域名称,例如。
继续下一步。
如图7-16所示。
图7-16区域名
一般来说,区域文件采用默认的即可,继续下一步。
如图7-17所示。
图7-17创建区域文件
如图7-18所示,一个能动态更新的DNS比手动更新要方便快捷很多,由于目前域控制器还没有架构起来,所以我们采用“允许非安全和安全动态更新”,继续下一步即可完成DNS正向区域的配置。
图7-18允许动态更新
继续配置DNS,选择“反向查找区域”右键选择“新建区域”,按照提示一步步进行下去。
同正向查找区域一样,我们继续采用主要区域,下一步,我们需要输入一个网络ID来识别什么样的IP才能被反向查找区域所识别,如图7-19,我们现在使用的是192.168.1.0//24网段。
图7-19反向区域名
同正向查找区域一样,需要创建一个区域文件,采用默认的。
继续下一步,关于动态更新,仍然使用“允许非安全和安全动态更新”。
下一步,然后完成配置反向查找区域。
到此,我们架构域控制器前的准备工作已经全部完成。
注:
架构域控制器之前,请检查计算机名,作为域控制器,采用“DC”作为完整的计算机名称会比较好。
4、搭建域控制器
点击“开始”→“运行”,输入“dcpromo”出现如图7-20所示界面。
图7-20域创建向导
因为我们之前没有过域控制器,这将是第一台域控制器,所以在域控制器类型中,我们选择“新域的域控制器”,如图7-21所示。
图7-21创建新的域控制器
紧接着,我们因为之前没有域,所以我们现在必须要创建一个新的域,所以我们在“创建一个新域”的类型中选择“在新林中的域”,而不是“在现有域树中的子域”或者“在现有的林中的域树”如图7-22所示。
图7-22新林中的域
这一步,需要我们为新域键入一个DNS全名,我们输入我们之前创建的DNS正向区域中的名字:
。
如图7-23所示。
图7-23DNS全名
随后,我们会发现,我们的域控制器需要一个NetBIOS名,在这里,我们采用默认的即可。
同样,对于数据库和日志文件夹以及随后的SYSOL文件夹我们同样采用默认配置。
继续下一步,我们会发现系统自动进行DNS注册诊断,我们选择“在这台计算机上安装并配置DNS服务器”如图7-24所示。
图7-24安装并配置DNS
对权限操作,我们需要与Windows2000或Windows2003兼容的权限,如图7-25所示。
图7-25设置于2003兼容
下一步,我们需要设置一个还原密码。
随自己设置,但是要符合密码复杂度要求。
继续默认配置,则系统开始架构域环境,搭建域控制器。
到此,域控制器配置完成,我们需要重启计算机。
随后,我们右键“我的电脑”选择“属性”,在“计算机名”中,我们能看见,完整的计算机名称是“”域是“”如图7-26所示。
图7-26查看域信息
我们还可以检查下DNS,在“开始”→“程序”→“管理工具”→“DNS”中,出现如图7-27所示选项。
图7-27查看DNS
5、组策略的应用
在域环境下,可以统一的配置用户策略,密码策略等。
使管理员能够方便管理。
以配置密码策略为例。
若给整个域所有用户配置密码策略,则打开“ActiveDirectory用户和计算机”,对右键选择“属性”,点击“组策略”,如图7-28所示。
图7-28组策略
对象连接表示当前应用的组策略(可以新建也可以采用默认设置,需要注意,位置越向上,优先级越高)。
采用默认策略,点“编辑”。
弹出窗口后依次展开到“密码策略”,如图7-29所示。
图7-29密码策略选项
在其中,配置启用复杂度,长度最小值9个字符,最长使用期限7天,阈值5次。
组策略选项中,选择“用户配置”→“管理模板”→“系统”,找到“不要运行指定的Windows应用程序”。
如图7-30所示。
图7-30禁止windows应用程序
双击打开“不要运行指定的Windows应用程序”,选择“已启用”并点击“显示”,添加wmplayer.exe进入显示内容,如图7-31所示。
图7-31添加禁止应用程序
随后进行确定,则WindowsMediaPlayer已被禁用。
验证密码策略,则,新建用户(具体方法后面涉及时会讲解,在此略过)。
使用密码123456789或者smxy.123;都不行。
如图7-32所示
图7-32不符合密码复杂度
当打开MediaPlayer时,提示如图7-33所示,显示限制。
则,MediaPlayer被禁用(用这种方式,我们其实可以禁用很多的应用程序,包括QQ等)。
图7-33限制使用
注:
由于组策略的响应时间比较长,有时候为了立即应用,可以用命令gpupdate/force强制刷新。
【总结】
该项目案例主要是为了让大家了解域控制器的创建,以及配置域控制器时所关联的其他服务。
了解服务之间的联系关系。
以及策略的应用。
7.3域环境下远程配置桌面和文件共享以及磁盘映射
【案例描述】
客户看了小张展现的能力,感觉非常满意,同意小张他们公司来做这个项目。
现在,客户对小张的公司提出了一个要求:
客户的公司是一个规模不小的集团,分为4个部门生产部(production)、销售部(sales)、行政部(administeration)、经理办公室(manager),要求给这四个部门分别配置文件共享以及磁盘映射。
【知识点】
1、搭建域
2、能添加域用户和组以及OU
3、可以文件共享,并按照权限对共享文件进行限制,设置磁盘配额;
4、对用户进行漫游桌面配置,进行磁盘映射
【解决方案】
在创建好的域控制器下,创建4个OU,以部门名为名,每个用户都在自身所在部门的OU下,在磁盘内,新建4个文件夹,以部门命名,分配权限,使本部门能修改共享文件,其他部门能读取共享文件,经理具有完全控制权限。
并且为了方便本部门的人使用,对本部门的共享文件夹设置磁盘映射
【实施步骤】
1、创建OU,即组织单元,对“”右键,选择“新建”、“组织单元”。
以production为例,其他3个部门方法相同,如图7-34
图7-34新建OU
按照此步骤,再创建sales、administeration、manager3个OU得出结果如图7-35所示
图7-35建好的OU
同样的方法,我们创建用户和组,在这里就不一一展示了。
用户和组添加好后,我们打开磁盘,创建4个与OU同名的共享文件夹,如图7-36
图7-36共享文件夹
2、分别对4个文件夹右键点击,选择共享和安全,点击“共享此文件夹”如图7-37
图7-37设置共享
选择“权限”,我们为了达到本部门可以上传,其他部门可以浏览,经理可以完全控制(每个OU中1个组3个用户,1个经理2个部门人士,manager是总经理),我们创建如图7-所示的安全规则。
以production为例:
图7-38权限设置
注:
sales组、manager组与administeration组设置相同;其他3个文件夹,以production为例,进行配置。
3、配置磁盘配额。
我们对共享文件夹所在的磁盘点击右键“属性”,选择“配额”。
我们启用配额管理,如图7-39所示
图7-39开启磁盘配额
为了对每个用户都进行更详细的配置,我们需要点击“配额项”,选择“配额”、“新建配额项”,我们先对部门员工进行配额管理,如图7-40
图7-40配额管理
部门经理配置方法与员工一样,但磁盘空间限制为500MB,警告等级为300MB,总经理不限制。
5、为了方便本部门用户使用共享文件,对文件采用磁盘映射功能,以administeration组中用户为例。
“管理工具”中打开“ActiveDirectory用户和计算机”选中3个用户右键“属性”点击“配置文件”如图7-41
图7-41磁盘映射
在连接到后面输入\\192.168.1.2\administeration\%username%
我们用adm用户登录客户机查看配置情况,如图7-42
图7-42查看磁盘映射
其他员工和经理与此相同。
6、为了方便用户移动,使用其他的计算机,可以配置漫游桌面。
先创建一个共享文件夹,让everyone完全控制,方法如上。
然后打开“ActiveDirectory用户和计算机”,指定需要漫游桌面的用户,右键“属性”,选择“配置文件”,在配置文件路径中输入\\192.168.1.2\manyou\%username%如图7-43
图7-43漫游路径
到此,漫游桌面已配置完成。
配置漫游墙纸方法与此不同,若有兴趣,请查阅资料。
【总结】
熟练掌握域的应用,文件共享的应用。
通过磁盘配额,NTFS权限控制,达到合理利用资源,分配人力的作用。
通过对配置文件的应用,使计算机基础薄弱的人也能简单的使用文件共享等。
漫游设置使用户方便的进行移动而不用担心数据问题,与实际相贴切。
让人掌握域的简单应用。
7.4域环境下集成AD模式隔离用户FTP
【案例描述】
客户需要小张创建一个FTP,问小张那种最好。
小张回答说,基于活动目录下AD隔离用户模式下的FTP最好,最安全最快捷。
客户当即要小张组建AD模式隔离用户的FTP。
【知识点】
1、FTP的安装与配置
2、活动目录下对用户进行配置
3、与环境下的委派控制
【解决方案】
基于AD隔离用户模式的FTP构建与普通的模式不一样,需要配置IISFTP,安装支持工具suptools.msi。
【实施步骤】
1、安装FTP服务
具体过程详见《操作系统》一书。
2、配置委派
在Users中新建管理用户ftpadmin,具体方法详见7.3节创建用户的具体步骤。
对7.3节中创建的4个OU都设置委派,这里以sales为例。
对sales右键点选委派控制如图7-44所示。
图7-44设置委派
出现如图7-45所示界面,添加用户和组。
图7-45委派用户
下一步后,我们对用户进行委派操作,给此用户委派“读取所有用户信息”如图7-46所示。
图7-46委派任务
到此,委派成功。
我们对其他的OU进行同样的操作。
3、配置用户FTP路径。
进入FTP服务器,在命令行模式下输入iisftp回车后提示“此脚本不能与WScript工作”不管它,点确定进入下一个提示whouldyouliketo………….forVBscript点击“是”下一提示“成功注册了WScript”如图7-47所示。
图7-47开启iisftp
安装支持工具suptools.msi(光盘中SUPPORT\TOOLS同时需要SUPPORT.CAB文件下)。
随后在运行中输入adsiedit.msc打开ADSIEdit,如图7-48所示
图7-48编辑adsi
在这里,可以查看到我们7.3节中建立的OU。
以sales为例,展开OUsales,选择用户sale(不用选择组sales)右键打开属性,找到msIIS-FTPDir和msIIS-FTPRoot,如图7-49所示。
图7-49设置FTPDir和FTPRoot
注:
FTPDir为ftp目录,FTPRoot为ftp目录所在的根目录,2个连在一起则为FTP的完整路径,不能搞混。
如图,FTPDir为sales,FTPRoot为e:
\ftproot。
和在一起则为e:
\ftproot\sales,这个路径是sale用户的完整FTP路径。
如此,按照这种方式,给所有的用户配置路径(路径必须真实存在)。
4、创建AD模式隔离用户的FTP
打开IIS,新建FTP站点,如图7-50所示,
图7-50新建FTP站点
给FTP站点命名,为了方便举例,用“AD模式隔离用户的FTP”作为站点名。
如图7-51所示。
图7-51FTP站点名
下一步,配置FTP站点的IP和端口,如图7-52
图7-52FTP端口和IP
到这一步,选择用AD隔离用户,符合我们的定义。
如图7-53
图7-53AD隔离用户的FTP
下一步,会提示我们输入一个可以访问域用户信息的用户,我们输入之前委派的用户ftpadmin即可。
如图7-54所示。
图7-54调用用户
下一步后,会提示我们重新输入账户密码。
继续下一步,提示我们FTP是否读写。
再下一步即可完成。
到此,AD模式隔离用户的FTP搭建完成,我们可以登录测试访问。
如图7-55所示,输入账号密码
图7-55FTP用户登录
进入后,即可看见先前放入FTP的文本文档,说明,FTP搭建成功。
【总结】
熟练域的应用。
对FTP的3种模式熟练掌握,学会利用域构建基于AD隔离模式的FTP站点。
利用iisftp熟练对用户路径的定义。
7.5子域、额外域控制器、及其功能级别
【案例描述】
经过一段时间的发展,公司规模进行了扩张,分公司需要自己创建个子域。
同时,与一家公司产生了合作关系,使双方用户能互访资源。
【知识点】
1、子域的创建
2、额外域控制器的创建
3、提升域的功能级别
【解决方案】
先在分公司添加服务器进入父域中,再将服务器制作成子域。
提升子域功能级别。
随后,在父域中新添加台服务器,使作为额外的域控制器,目的是为了防止主域控制器down下来的情况。
【实施步骤】
1、创建子域时,首先要确保服务器在父域中。
将计算机添加进域,“我的电脑”右键“属性”选择“计算机名”,在此,可以看见完整的计算机名和所属的工作组信息,如图7-所示
图7-56查看工作组
点击图7-56中的“更改”,则会弹出计算机名更改窗口,按照需要,我们进行如下配置,如图7-57所示,填写进相应的域名称后确定,弹出具有添加计算进进入域的权限的账户,填写完毕
图7-57加入域和域管理员用户
点击确定后,按照需求重启,然后这台计算机就成功添加进域了。
重启后,我们需要输入域用户信息,以及所登录的域,点击确定后,登录进入。
如图7-58
图7-58登录到域
2、子域的添加方法,与创建域的方法有所不同,但是大体一致,过程可参考前面创建域控制器。
前面还是进入命令行输入“dcpromo”,下一步后,在域控制器类型中,和创建域控制器相同,点击“新域的域控制器”;下一步,出现创建一个新域选项,在这里,我们得选择“在现有的域树中的子域”项,如图7-59所示
图7-59添加子域
下一步后,需要我们填写一个具有足够权限的父域账户信息,如图7-60所示
图7-60父域信息
如此,我们进入了子域安装的界面,在这里,我们只需要填写子域选项,其他的采用默认值就好,如图7-61所示,我们填写名为“china”的子域
图7-61子域名
下一步,需要我们填写NetBIOS名,默认下一步,数据库和日志文件夹以及共享文件夹SYSVOL文件夹存放位置。
进行DNS诊断后,下一步开始配置,在权限选项中,与域控制器相同,选择与2003兼容的权限,下一步输入还原密码后(密码要符合复杂度要求),开始安装子域的域控制器。
配置好后,安装完成要求重启计算机,在登录界面如图7-62所示,点击登录到后我们可以看见出现了2个选项,一个是父域smxy,一个是子域china。
到此,我们配置完成。
图7-62登录进子域
3、配置额外的域控制器
额外的域控制器的添加,与域控制器和子域的方式又有所不同,按照添加子域的方法中描述的,先将服务器添加进父域。
具体步骤详见前面添加子域控制器。
将域控制器在父域中登录,在命令行输入“dcpromo”,进入活动目录安装向导(前面几步方法都是一样的),在域控制器类型窗口中,我们需要选择“现有域的额外域控制器”,而不是之前的“新域的域控制器”,这是与之前的不一样的。
如图7-63
图7-63使用额外的域控
然后会弹出个名为“网络凭据”的窗口,在这里,我们需要输入父域中具有足够权限的管理员账户,如图7
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 第七章 Windows 第七