Windows Server 2008 R2安装与管理
- Windows Server 2008 R2安装与管理
- 《Windows Server 2008 R2安装与管理》
- 1. Windows Server 2008 R2 基本概念
- 2.安裝Windows Server 2008 R2
- 3. Windows Server 2008 R2 基本环境设置
- 4.本地用户与组账户的管理
- 5. 创建Active Directory域
- 命名空间
- 对象与属性
- 容器与组织单位
- 域树
- 信任关系
- 林
- 架构
- 轻型目录访问协议LDAP
- 全局编录
- 站点
- 域功能级别和林功能级别
- 目录分区
- 创建网络中的第一台域控制器
- 创建更多的域控制器
- 将Windows计算机加入或脱离域
- 利用已加入域的计算机登录
- 脱离域
- 管理Active Directory内的域用户账户
- 域控制器内置的Active Directory管理工具
- 其他成员计算机内的Active Directory管理工具
- 新建组织单位与域用户账户
- 利用新用户账户到域控制器登录测试
- 域用户个人数据的设置
- 管理Active Directory内的域组账户
- 提高域与林功能级别
- 删除域控制器与域
- 域升级与现在域环境中安装域控制器
- 第6章:NTFS磁盘的安全与管理
- 第7章:访问网络文件
- 第13章:远程桌面连接
Windows Server 2008 R2安装与管理
《Windows Server 2008 R2安装与管理》 《Windows Server 2008 R2網絡管理與架站》 《Windows Server 2008 R2 Active Directory配置指南》 三本书的作者,戴有炜; 出版社,北京:清华大学出版社,2011.1 碁(qi)峯(feng):碁峯資訊
《Windows Server 2008 R2安装与管理》
1. Windows Server 2008 R2 基本概念
Windows的網絡架構
Windows的網絡架構大致可以分爲以下幾種:
- 工作組(Workgroup)架構:分佈式管理模式。對等網絡(每臺計算機地位相等),可以不需要服務器級別的計算機,每臺計算機都有一臺本地安全賬戶管理器(SAM)數據庫,要想登錄此計算機,則必須在此計算機的SAM數據庫中創建有相關賬戶。這裏的服務器叫做獨立服務器,或工作組服務器。
- 域(Domain)架構:集中式的管理模式。域內所有計算機共享一個集中的目錄數據庫(Directory Database),提供目錄服務(Directory Service)的組件爲Active Directory域服務,它負責該數據庫的增刪改查。該數據庫存儲在域控制器(Domain Controller)中,只有服務器級別的計算機才可以作爲域控制器。域中計算機類別,域控制器、成員服務器、其它常用Windows計算機。
- 工作組與域混合架構
虚拟机与Server 2008共享文件之后,需要在Server 2008的网络和共享中心,设置网络位置为“专用网络”【网络共享中心;查看活动网络;公用网络;选择家庭网络或工作网络】,再【更改高级共享设置;家庭或工作;启用文件和打印机共享】 然后在资源管理器中,点击“网络” … 选择计算机 …
IP地址
網絡ID + 主機ID 構成。
如果網絡需要與外界通信,可能需要爲此網絡申請一個網絡ID,整個網絡內所有主機都在使用這個相同的網絡ID。
如果此網絡并未與外界因特網連接在一起,則可以自行選擇任何一個可用的網絡ID,不用申請。
可供一般主機使用的IP地址有 A類、B類、C類。
| 類 | 網絡ID | 主機ID | W值可爲 |
|---|---|---|---|
| A | W | X.Y.Z | 1~126 |
| B | W.X | Y.Z | 128~191 |
| C | W.X.Y | Z | 192~223 |
127.0.0.1用於回送測試(loopback test)。
每個網絡的第一個IP地址代表網絡本身、最後一個IP代表廣播地址。
子網掩碼
子網掩碼,用於兩臺主機相互通信時,用子網掩碼來得知雙方網絡ID,進而得知彼此是否在相同的網絡內。它與IP地址進行AND邏輯操作。
如果在同一個網絡內,則可以直接通信,不需要借住路由器
子網掩碼中的1用來指出網絡ID,0用來定出主機ID。子網掩碼類似: 255.255.255.0
一般用類似, 192.168.1.0/24 來代表此網絡,其中24代表子網掩碼中值爲1的個數。
默認網關
要與不同子網內的主機通信,需要將數據發送給路由器進行轉發。一般主機需要通過路由器來傳輸數據的話,只要提前將其默認網關指定爲路由器的IP地址即可。
私有IP的使用
A類、B類、C類IP地址中,有一些被歸類爲私有IP,各公司可以自行選擇合適的私有IP。
私有IP無法與外界通信,如果使用私有IP的計算機要對外上網等,則需要通過具有NAT功能的設備。
| 網絡ID | 子網掩碼 | IP地址範圍 |
|---|---|---|
| 10.0.0.0 | 255.0.0.0 | 10.0.0.1~10.255.255.254 |
| 172.16.0.0 | 255.240.0.0 | 172.16.0.1~172.31.255.254 |
| 192.168.0.0 | 255.255.0.0 | 192.168.0.1~192.168.255.254 |
公共IP 公共IP的計算機可以直接對外通信。
如果Windows Server 2008 R2的主機的IP地址是採用自動獲取的方式,但是如果因故無法獲取IP地址,該計算機會通過,Automatic Private IP Addressing (APIPA)的機制來爲自己設置一個網絡ID爲169.254.x.x的臨時IP地址,例如: 169.254.49.31,但是它只能用來與同一個網絡內的IP地址(169.254.x.x)的計算機進行通信。
2.安裝Windows Server 2008 R2
驅動程序需經過簽名
在Windows Server 2008 R2中安裝的所有內核模式驅動程序都需經過簽名。如果安裝未經簽名的驅動程序,系統會顯示警告信息,且不會加載驅動程序。
如有必要可以禁用驅動程序簽名強制:
- 重啓計算機,按 F8
- 選擇禁用驅動程序簽名強制
注消、登錄與關機
注消: 會結束你當前正在運行的應用程序。此後若要繼續使用此計算機,必須重新登錄。 鎖定:鎖定期間,所有的應用程序仍然繼續運行。
3. Windows Server 2008 R2 基本环境设置
屏幕的顯示設置
屏幕上的字符是由一個一個的點組成,這些點被稱爲像素。
你可以調整水平與垂直的顯示點數,如1024*768,此時我們稱其爲“分辨率”。
而一張圖像的顯示效果應該與該圖自身的因素也有關係。
每個像素能鉤顯示的顏色多少,要看用多少位(bit)數來顯示1個像素。 分爲高彩(2^16=65536種)、全彩(2^32種)。
屏幕刷新率
如果屏幕刷新率太低,顯示器可能會閃爍,造成眼睛疲勞。應該選擇75Hz以上的刷新頻率。
TCP IP 設置
IP地址的獲取:
- 自動獲取(向網絡中的DHCP服務器租用),如果找不到或出現重複則會用到APIPA機制(169.254.x.x)。
- 手動分配
用ping命令排錯:
見書本 P37頁, PDF的P52頁
- 回送測試…
- ping同一網段內其它計算機的ip。如果防火牆開啓,則數據包可能會被防火牆阻止。
- ping默認網關的IP地址。(能與其它網絡內的計算機通信的前提)
- ping位於其它網絡內的遠程計算機。
- ping,如果IP地址與其它計算機衝突,等情況的解決,見書。
啓用或禁用Internet Explorer增強的安全配置
Internet Explorer增強的安全配置(IE ESC)。一般不建議使用服務器來進行上網等操作,如果需要,則需禁用IE ESC。
禁用IE ESC:
- 服務器管理器
- 配置IE ESC
激活Windows Server 2008 R2
延長試用期
在試用期即將到期前使用命令: slmgr-rearm
最多可以延長3次,也就是共可以試用120天。
過期後,系統可以正常運行,但桌面背景變成黑色,僅會安裝重要更新,而且持續提示激活。
防火牆配置
若想允許對計算機進行ping測試,需在防火牆的高級設置的入站規則中的"文件和打印機共享(回顯請求-ICMPv4-In)"來啓用ICMP Echo Request數據包
設置“文件和打印機共享”和“遠程桌面”;防火牆 – 允許程序或功能通過Windows防火牆,來解除對則兩項的封鎖。
如果要開放的服務或應用程序沒有位於列表中,此時可以通過新建規則的方式來開放,比如,通過新建規則來新建一個開放端口號爲80的規則,來開放其它其它用戶連接此網站。
硬件設備的管理
Plug and Play (PnP,即插即用),只要系統支持該設備的驅動程序,系統就會自動安裝此驅動程序。
如果硬件設備無法被系統自動檢測到,此時可以嘗試通過添加設備的方式來添加。
設備管理器:禁用、卸載與掃描新設備。
更新驅動程序後,還可選擇通過回滾驅動程序,來回滾到之前的驅動。
更改默認的啓動系統與修復設置
在多系統時,可以更改操作系統列表文字等操作。
可以通過修改BCD (Boot Configuration Data,啓動設置數據),來更改這些文字說明;可使用BCDEIT.exe (BCD Editor)來進行更改。
- 先運行: bcdedit /v 命令,進行查看
- 再運行: bcdedit /set {識別碼} description "說明文字"
環境變量
設置,除PATH變量,用戶變量覆蓋系統變量; PATH變量,用戶變量追加到系統變量。
使用 %xxx%
計算機關機方式和電源計劃
計算機關機方式
休眠(Hibernate):將在內存中打開的文件與程序寫入到硬盤的休眠文件內,然後關機和關閉電源。需使用命令 powercfg -h on 命令來打開休眠功能。
睡眠:使用非常小的電量來維持內存內打開的文件與程序,然後關閉計算機。需要計算機硬件支持,或需要設置BIOS。
混合睡眠:同時具備休眠和睡眠的特性。
桌面體驗
Windows Server 2008 R2默認用來扮演服務器角色,因此並沒有一些Windows 7所擁有的一些功能,但可以通過安裝桌面體驗來擁有這些組件與功能。
“服務器管理器” – “添加功能” 中添加。
微软管理控制台
管理工具是通过微软管理控制台(MMC)窗口来提供服务的。例如,在“开始” – “管理工具”中的工具都是以MMC窗口的形式存在。
用户也可以自定义更适合使用的MMC控制台来管理网络或计算机。 比如,自定义一个包含服务器管理器与任务计划程序的控制台,操作如下:
Win + R | 输入 MMC (进入到控制台1) | 文件 | 添加/删除管理单元 | 选择“任务计划程序” | 点击“添加” | 选择“本地计算机”(有权限也可选择另一台计算机)| "确定" |
添加“服务器管理器”类似。
回到MMC主窗体,“文件” | “保存” | 将此MMC控制台保存起来,默认文件名为“控制台1.msc”,而且保存到用户个人的管理工具文件夹内,可以通过“开始” | “管理工具” 来使用。
虚拟内存
当RAM不够用时,会使用虚拟内存。 系统是通过新建一个名为 pagefile.sys 的文件来当作虚拟内存的存储空间,此文件又被称为分页文件。
系统默认会自动管理所有的磁盘的分页为文件,并将其放在安装系统的磁盘根目录。分页文件有初始大小与最大值。可以自行设置,并可将分页文件同时新建在多个物理磁盘内,以提高分页文件的运行效率。
双屏幕显示
双屏幕显示(Dualview),显示端口有: 传统模拟VGA显示端口,数字DVI显示端口。
主显示器(1号显示器,系统登录时显示在上面),次显示器
单击识别按钮可以显示当前显示器是是哪一台。
4.本地用户与组账户的管理
内置的本地账户
本地安全账户管理器(SAM)
内置了如下两个用户账户:
Administrator: 它拥有最高的权限。你无法将此账户删除,不过为了安全起见,建议将其改名。
Guest: 你可以更改其名称,但是无法将它删除。此账户默认是禁用的(disabled)。
内置的本地组账户:
内置的本地组有很多,它们都已经被赋予了一些权利与权限。你只要将用户账户加入到这个本地组内,这些用户账户也将具备该组所拥有的权利与权限。
Administrators 组, Backup Operators Guests Network Configuration Operators Power Users Remote Desktop Users: 此组内的用户可以从远程计算机使用远程桌面服务来登录。 Users: 具有基本权限,但它们不能将文件夹共享给网络上其它的用户、不能将计算机关机等。所有添加的本地用户账户都会自动归属于此组。 …
特殊组账户: 内置。你无法更改这些组的成员。
Everyone: 包括Guest等所有用户。但Guest账户本身默认是禁用的。 Authenticated Users: 任何使用有效用户来登录此计算机的用户,都属于此组。 Interactive: 任何在本地登录(按Ctrl + Alt + Del登录)的用户,都属于此组。 Network: 任何通过网络来登录此计算机的用户,都属于此组。 …
本地用户账户的管理
创建本地用户和组: 开始 | 管理工具 | 计算机管理 | 用户 | 右击| 新用户 | 创建 |
被禁用的账户前面会有一个向下的箭头。
删除、重命名: 你所添加的每一个用户账户,系统都会为其创建一个唯一的安全标识符(SID)。在系统内会利用SID来代表该用户,同时权限也都会通过SID来记录,而不是用户账户名称。
当你将用户删除后,即使再添加一个名称相同的账户,此时因为系统会分配给这个新账户一个新SID,与原账户的SID不同。因此该新账户不会拥有原账户的权限。
然而重命名后,由于SID不会改变,因此用户账户原来所拥有权限都不会受到影响。
例如,当某员工离职时,可以暂时先将其用户帐号禁用,等到新进员工来接替他的工作时,在将此用户账户改为新员工的名称,重新设置密码与相关的个人数据。 (为我添加扫描,通讯录时可能就是用到了这个方法)
密码的更改、备份与还原
制作密码重设盘。
密码重设盘制作完成后,无论更改过多少次密码,都不需要再重新制作密码重设盘。
没有制作密码重设盘的普通用户如果忘记密码的解决办法是什么?
可以联系系统管理员,通过【开始;管理工具;计算机管理;系统工具;本地用户和组;用户;右击;设置密码】,使用这种方法,有些受保护的数据通过此种方法将用户的密码改变后,用户就无法再访问这些数据,例如用户加密过的文件,使用用户的密钥,加密过的电子邮件;因此建议制作密码重设盘。
没有制作密码重设盘的系统管理员如果忘记密码的解决办法是什么?
此时应该联系另外一位系统管理员用户来登录与更改Administrator的密码。应该事先创建再创建一个具备系统管理员权限的用户账户,以备不时之需。
本地组账户的管理
【开始;管理工具;计算机管理;系统工具;本地用户和组;组;右击;新建组】
5. 创建Active Directory域
目录(Directory) 目录服务(Directory Service)
Active Directory域 内的 Directory 用来存储用户账户、计算机账户、打印机与共享文件夹等对象。 (它是域)
我们把这些对象的存储位置称为目录数据库(Directory Database)。
Active Directory域内负责提供目录服务的组件就是Active Directory域服务(Active Directory Domain Services, AD DS)
(它是服务)
Active Directory 的适用范围非常广泛,可以是一台计算机 到 几个广域网的结合。它包含此范围中所有的对象。 (它是 Directory,是命名空间)
命名空间
命名空间是一块划分好的区域。(Server 2008中的文件系统就是一个命名空间)
命名空间作用: 通过对象名称来找到这个对象有关的所有信息。
Active Directory域服务(AD DS)内,Active Directory就是一个命名空间。
AD DS也与DNS紧密的集成在一起,他的域名空间也是采用DNS架构,因此域名是采用DNS格式来命名。
与可以将Active Directory的域名命名为 sayms.com
对象与属性
Active Directory域内的对象是以对象的形式存在;如用户、计算机、打印机都是对象。
而对象是通过属性来描述其特征,对象本身就是一些属性的集合。
容器与组织单位
容器:容器可以包含其它对象,还可以包含其它容器。
组织单位(Organization Units, OU) 是比较特殊的容器,其中除了可以包含其它对象与组织单位外,还有组策略(Group Policy)的功能。
比如业务部的组织单位,其中可以包含多个对象,两个为计算机对象,两个为用户对象,两个组织单位的对象。
AD DS是以层级式架构,将对象、容器与组织单位等组合在一起。并将其存储到Active Directory数据库中。
域树
包含几个域的网络,以域树(Domain Tree)的形式存在。最上层的域名为此域树的根域。
sayms.com
/ \
sales.syms.com mkt.sayms.com
/ \
...
域树符合DNS域名空间的命名策略。
信任关系
林
架构
轻型目录访问协议LDAP
LDAP是一种通信协议(负责查询的)
LDAP名称路径:表示对象在Active Directory内的位置。
可分辨名称DN: CN = 林小样; OU = 业务一组; OU = 业务部; DC = sayms; DC = com
| | |
用户账户 组织 域中组件
全局唯一标识符: GUID –> 对象
用户主体名称 UPN : 登录时所输入的账户名称可以是 UPN,无论该用户账户被移动到哪个域,都不会改变他的UPN。 UPN的一个示例 bob@sayms.com
全局编录
全局编录服务器。 作用之一:当利用UPN登录时,它可为其提供该用户属于哪一个域。
站点
一个或多个IP网组成,可以将一个LAN规划为一个站点。
域是逻辑的分组,而站点是物理的分组; 并且两者之间的对应关系是 多对多 的关系。
域功能级别和林功能级别
目录分区
Active Directory数据库被逻辑分为几个目录分区:
- 架构目录分区
- 设置目录分区
- 域目录分区:存储,与该域有关的对象
- 应用程序目录分区
创建网络中的第一台域控制器
添加步骤:
- 先设置该服务器的计算机名称为你想要的名称,并设置IP地址。当加入域后,其计算机名称自动会被改为带有域名后缀的形式。
安装中的一个策略会影响到Samba等非Microsoft的SMB客户端与NAS存储设备。
设置目录服务器还原模式的管理员密码。(密码与登录密码相同)
目录服务还原模式是一个安全模式,进入此模式可以修复Active Drectory数据库。可以在系统启动时按F8键来选择此模式。
应答文件:
在“Active Directory 域服务安装向导”的“摘要”页上,可以单击“导出设置”将在该向导中指定的设置保存到答案文件。然后,可以使用答案文件自动执行 Active Directory 域服务 (AD DS) 的后续安装。
答案文件是包含 [DCInstall] 标题的纯文本文件。答案文件提供了对 Active Directory 域服务安装向导所提问题的解答。使用该答案文件时,管理员无需与该向导进行交互。Active Directory 域服务安装向导会向该答案文件中添加文本,说明如何使用该文件,例如,说明如何使用 dcpromo 命令来调用该文件以及必须更新哪些设置才能使用该文件。 进行无人参与的操作期间,返回代码会指明操作是否已成功。有关返回代码的信息,请参阅无人参与安装返回代码。
若要使用答案文件来安装 AD DS,请在命令提示符下键入以下命令,然后按 Enter:
dcpromo /answer[:filename]
其中 filename 为答案文件的名称。
详见该安装的帮助文件。
创建更多的域控制器
这里是添加多个域控制器,而非添加成员服务器。
向现有林,向现有域添加域控制器: 在弹出的网络凭据对话框中
网络凭据: 指定将在其上执行安装的林的名称,以及具有执行安装所需的足够权限的账户凭据。 在“键入位于计划安装此域控制器的林中任何域的名称” | 这里输入 “sayms.com”
只有Enterprise Admins或Domain Admins内的用户有权限创建其它域控制器,如果你现在所登录的账户没有权限在此域中创建其它域控制器(如本地的Administrator),这需要在备用凭据按钮处另外指定有权限的用户账户。
Enterprise Admin:企业的指定系统管理员 Domain Admins:指定的域管理员 单个人的图像代表单个用户;两个人的图标代表组或容器(或组织单位)。「用户是对象,组是容器」
将Windows计算机加入或脱离域
Windows计算机加入域后,就可以访问Active Directory数据库与其它域资源;例如,用户可以在这些计算机上利用域用户账户来登录域,并利用此域用户账户来访问域内其它计算机内的资源。
注意: 这里指的是计算机而非用户。那么我可以用自己的账户在唐耀的电脑上进行登录吗?
将Windows计算机加入域:
- 更改计算机名称,设置IPv4地址等设置
- 更改计算机时,由于本地系统默认启用了用户账户控制所以不是本地系统管理员的话,此时会要求输入本地系统管理员的密码。
- 在更改计算机名时;选中“域”输入域名,比如"sayms.com"单击确定,会弹出对话框需输入域内任一用户账户与密码(此账户需要属于Domain Users组)【这一步就是加入域了】
- 如出现错误警告对话框,请检查首选DNS服务器是否设置到正确的地址。
- 重启计算机即可。
计算机成功加入域,也就是此计算机的计算机账户已经被新建在Active Directory数据库内。
如果出现错误,请检查输入的账户与密码是否正确。注意,不一定需要域系统管理员账户,你也可以输入Active Directory内任何一个用户账户与密码将计算机加入域,不过他们只能在Active Directory内新建最多10个计算机账户。
将Windows计算机加入域,与将成员服务器加入域的操作类似。差别可能就是最好事先将成员服务器更改为一个容易分辨的名字;便于区别普通Windows计算机。
利用已加入域的计算机登录
利用本地用户账户登录: 当用本地系统管理员Administrator的身份登录时,系统是利用本地安全数据库来检查用户账户与密码的。不过,无法访问域内其他计算机的资源,除非在连接其它计算机时再输入有权限的用户名与密码。
这也就是为什么在用本地管理员账户进行登录后,访问公司其它电脑的共享文件时需要输入有权限的用户名和密码。
利用域用户账户登录:
如果要改用域系统管理员Administrator的身份登录的话;输入如下系统个管理员的账户(sayms\administrator)与密码来登录。
注意,账户名称前面需要附加域名sayms.com\或sayms\,例如sayms.com\Administrator,sayms\Administrator;此时,账户与密码会被发送到域控制器,并利用Active Directory数据库来检查账户与密码是否正确。并且可以直接连接域内任何一台计算机与访问其中的资源(若有权限的话),不要再手动输入用户名与密码(在已经登录进去的情况)。
脱离域
脱离域的方法与加入域的方法大同小异。【开始;计算机;属性;更改设置;选中工作组;输入工作组名称;确定;重启】
只有Enterprise Admins或Domain Admins的成员或本地管理员才有权将此计算机脱离域。
管理Active Directory内的域用户账户
域控制器内置的Active Directory管理工具
- Active Directory用户和计算机(旧工具)
- Active Directory管理中心
这两个工具默认只有Windows Server 2008 R2域控制器上提供。
对于创建域内的第一台域控制器,原本位于本地安全数据库内的本地账户,会在升级后转移到Active Directory数据库内,而且是被放置到Users容器内。 另外,这台服务器的计算机账户会被放置到Domain Controllers组织单位内。 其他加入域的计算机账户默认会被放置到Computers容器内。
而其它域控制器的本地账户会被删除。
其他成员计算机内的Active Directory管理工具
成员服务器和Windows 7等计算机,这些计算机必须自行安装,才会有这些工具。
成员服务器: 【服务器管理;功能;添加功能;远程服务器管理工具;角色管理工具;勾选,AD DS管理单元和命令行工具,与Active Directory管理中心】
Windows 7: 需要下载安装Remote Server Administration Tools for Windows 7(Windows 7的远程服务器管理工具) 安装完成后选择【开始;控制面板;程序;打开或关闭Windows功能;远程服务器管理工具;Active Directory管理中心与AD DS管理单元和命令行工具】
在开始菜单中添加管理工具的快捷方式。【右键开始按钮;属性;自定义;系统管理工具;在所有程序菜单和开始菜单上显示】
新建组织单位与域用户账户
你可以将用户账户新建到任何一个容器或组织单位(OU)内。
【Active Directory管理中心,右击“sayms(本地)”;新建;组织单位(命名为业务部)】
【右键业务部;新建;用户】 填写用户全名;用户 SamAccountName 登录: (形如:sayms\qiaozhi.wang);密码;可选的用户UPN登录。 点击登录小时,可以设置允许登录的时间段;点击登录到,可以设置用户可以登录到的计算机。 另有一个选项“敏感账户,不能被委派”不知是何意? 用户过期选项,一个选项是从不,另一个是指定一个过期时间。
(其中SAYMS为NetBIOS域名)。UPN为用户主体名称(User Principal Name),整个林中,此名称必须唯一。
密码强度有相关设置,如果要更改限制见: 11章:组策略与安全设置
放置被意外删除: 选择此项后,该账户将无法被删除。
除了域Administrators组内的成员之外。一般用户账户默认是无法在域控制器上登录,除非另外开放。
以上操作可以在安装了Active Directory管理中心的Windows 7上进行操作吗?
利用新用户账户到域控制器登录测试
赋予用户在域控制器上具备“允许本地登录”的权限: 一般用户必须在域控制器上拥有允许本地登录的权限,才可以在域控制器上登录。此权限可以通过组策略进行开放:请到任何一台域控制器上通过【开始;管理工具;组策略管理;展开林;sayms.com;展开域;展开sayms.com;展开Domain Controllers;右键Default Domain Controllers Policy;选择编辑】 接着在弹出的组策略管理编辑器中【双击计算机配置处的策略;Windows设置;安全设置;本地策略;用户权限分配;允许本地登录;单击添加用户或组按钮;添加用户或组到列表内】
设置完成后,还必须等待设置值被应用到域控制器后才有效,而应用的方法有一下3种:
- 将域控制器重启
- 等域控制器自动应用此新策略设置,可能要等5分钟
- 手动应用:在域控制器上执行 gpupdate 或 gpupdate /force
多台控制器的情况:
略,见书。 直接在 Active Directory管理中心 更改域控制器。
域用户个人数据的设置
每个域用户内都有一些相关的属性数据。域用户可以通过这些属性来查找Active Directory内的用户。
管理Active Directory内的域组账户
域内的组类型
Active Directory域内的组分为以下两种类型:
- 安全组: 安全组可以用来设置权限
- 发布组:无法设置权限,用在与权限无关的工作上
组的使用范围
以组的使用范围来看,域内的组分为以下3种:
- 本地域组(Domain Local Group)
- 全局组(Global Group)
- 通用组(Universal Group)
域组的创建与管理
Active Directory域内置的组
提高域与林功能级别
提高域功能级别
提高林功能级别
删除域控制器与域
域升级与现在域环境中安装域控制器
第6章:NTFS磁盘的安全与管理
NTFS权限的种类
标准权限与特殊权限。其中有分为文件和文件夹。
标准NTFS文件权限的种类
- 读取:读取文件内容,查看文件属性与权限
- 写入:修改文件内容,文件属性等。用户必须同时具有读取和写入权限才可修改文件内容。
- 读取和执行:除了能够读取,还能运行程序。
- 修改:除了读取,写入,读取和执行权限外;还可以删除文件
- 完全控制:拥有所有NTFS文件权限。除了上述权限,还拥有更改权限与取得所有权的特殊权限。
标准NTFS文件夹权限的种类
- 读取:查看文件夹内的文件名,子文件夹名,查看文件属性与权限
- 写入:新建文件(夹),修改文件夹属性等
- 列出文件夹内容:包括读取权限;还有遍历文件夹权限,即可以打开和关闭此文件夹。该权限只会被文件夹继承。
- 读取和执行:包括列出文件夹内容几乎相同的权限。该权限会同时被文件和文件夹继承
- 修改:拥有前面所有的权限;并且可以删除此文件夹。
- 完全控制:前面所有权限;还拥有更改权限与取得所有权的特殊权限。
用户的有效权限
NTFS权限是可以被继承的
设置文件夹权限时,除了可以让子文件夹与文件都继承权限之外,也可只单独让子文件夹或文件继承;或不继承。也可以控制它是否继承父文件夹的权限。
NTFS权限是有累加性的
例如:如果用户同时属于多个组,而且该用户与这些组分别对某个文件(夹)拥有不同的权限设置时。… 最后结果为累加值。
拒绝权限的优先级较高
虽然可以累加;但是只要其中有一个权限来源被设置为拒绝的话,则用户将不会拥有此权限。
NTFS权限的设置
一个新的NTFS磁盘,系统会自动设置其默认的权限值。如查看C:盘的默认属性;其中部分权限会被它的子文件(夹)继承。
分配文件权限
【文件右击;属性;安全】
灰色对勾表示该权限是继承而来。(允许和拒绝的那两列有勾)
只有Administrators组内的成员、文件/文件夹的所有者(Owner)、具有完全控制权限的用户,才有权限来分配这个文件(夹)的NTFS权限。 要查看文件所有者,可通过【文件右击;属性;安全;高级】来查看,或者更改文件拥有者。
【文件右击;属性;安全;编辑】
继承而来的权限无法直接去除,但可以勾选其相反项并利用存在的优先级来改变权限。
不继承父文件夹的权限
如果不希望继承父项权限。则 【右击文件;属性;安全;高级;更改权限;取消“包括可以从对象的父项继承的权限”复选框(在Win10中为"禁用继承");在之后的对话框中选择“删除继承的权限”或“将已继承的权限转换为此对象的显示权限”】
分配特殊权限
你还可以利用特殊权限来更细致的分配权限。
【右击文件;属性;安全;高级;编辑】 (有关特殊权限或高级设置,请单击高级)
标准权限就是这些特殊权限的组合。 例如:标准权限读取就是特殊权限列出文件夹/读取数据、读取属性、读取扩展属性、读取权限等4个特殊权限的组合。
略:
用户的最终有效权限
【右击文件;属性;安全;高级;有效权限;选择按钮来选择用户】来查看。
但不会将某些特殊组的权限计算进来。如特殊组NetWork和Interactive等组。
文件所有者
默认所有者是创建文件的用户。所有者可以更改其所拥有的文件或文件夹的权限,无论其当前是否具有访问此文件或文件夹的权限。
更改所有者。用户必须具备一下的3个条件之一,才可以获取所有权:
- …
文件复制或移动后权限的变化
文件的压缩
NTFS压缩
该压缩仅支持NTFS磁盘。
【右击文件(夹);属性;高级;压缩内容以便节省磁盘空间】
也可针对整个磁盘进行压缩。
当用户要读取压缩文件时,系统会将文件由磁盘内读出、自动解压缩后再提供给用户;然而存储在磁盘内的文件仍然处于压缩状态。 当用户要将文件写入磁盘时,它们也会被自动压缩后再写入磁盘。
系统默认会以蓝色来显示被压缩磁盘、文件、文件夹;若想更改此设置,可以选择【资源管理器;按Alt;工具;文件夹选项;查看;用彩色显示加密或压缩NTFS文件】
已加密的文件与文件夹无法压缩。
你也可以利用compact.exe程序来压缩文件。
压缩文件夹
压缩(zipped)文件夹。
在使用资源管理器创建压缩文件夹后,以后被复制到此文件夹的文件都会被自动压缩。
你可以在不需要自行解压缩的情况下,直接读取压缩文件夹内的文件,甚至可以直接运行里面的程序。
压缩文件夹的名称的扩展名为 zip; 它可以被WinZip等文件压缩工具程序来解压。
加密文件系统
加密文件系统(Encrypting File System, EFS)提供的文件加密功能。只有NTFS磁盘内的文件、文件夹可以 可以被加密。如果将文件复制到非NTFS磁盘,此新文件会被解密。
文件压缩与加密无法并存。
将文件与文件夹加密
【右击文件;属性;高级;选择加密内容以便保护数据】
EFS加密文件的自动加密和解密的过程与压缩文件类似。如用户读取加密文件时的行为。
只有存储在硬盘内才会被加密,当通过网络发送时是没有加密的。
你所加密的文件只有本人才可以读取。
授权其它用户可以读取加密的文件
也可以授权其它用户来读取加密文件。
【右击文件;属性;高级;详细信息;添加;选择用户】
- 用户必须具有EFS证书才可以被授权。一般用户在第一次执行加密操作后,它就会被自动赋予EFS证书,也就可以被授权了。
- 就有修复证书的用户也可以访问被加密的文件。默认只有域Administrator拥有修复证书。
分配修复证书: 【开始;管理工具;本地安全策略;公钥策略;右击加密文件系统;添加数据恢复代理程序】
备份EFS证书:
【开始;运行;certmgr.msc;展开个人;证书;预期目的;加密文件系统;右击;所有任务;导出;下一步;是,导出私钥;导出文件格式;下一步;密码;设置密码】
BitLocker驱动器加密与BitLocker To Go
BitLocker驱动器加密(BitLocker Drive Encryption)可以将Windows操作系统的磁盘加密,以确保其中文件的安全性。如果磁盘丢失,并不需要担心其中数据外泄,因为它无法被拿到另一台计算机启动或读取文件。
Windows 新建了BitLocker To Go功能来将可移动磁盘加密。
BitLocker的硬件需求
计算机必须具备一下硬件设备之一:
- 可信任安全平台模组(TPM);TPM是一个微芯片,有些支持高级安全功能的新型计算机拥有此芯片,BitLocker会将解密密钥存储到此芯片内。请确认BIOS设置有启动对TPM的支持。
- U盘;如果计算机不支持TPM,也可以使用U盘,密钥会存储在U盘内,因此每次启动计算机时都需要将U盘插入到USB插槽。
你的硬盘至少需要两个NTFS磁盘分区才能使用BitLocker:
- 一个用来安装Windows系统的分区,一把是C盘,BitLocker会将此磁盘加密。
- 一个用来启动计算机的磁盘分区(容量至少需要1.5GB),它必须被设置为活动(Active),而且它不会被加密。
如果硬盘还有其它磁盘分区,也可以加密它们。
BitLocker实例演练
在一块未分区的磁盘上安装Windows系统时,安装程序会自动创建两个磁盘分区,其中一个被设置为用来启动计算机(及系统保留的磁盘分区,大小约100M)
如果没有创建这两个磁盘分区,则可以到微软网站下载BitLocker磁盘准备工具,此程序会将硬盘重新划分为两个符合BitLocker要求的磁盘分区,并保留现存的Windows操作系统。
略: 。。。
安装BitLocker驱动器加密: 【单击服务器管理器;功能;添加功能;BitLocker驱动器加密;下一步;安装;重启计算机; …】
打开以U盘的方式来支持BitLocker: 系统默认只支持TPM方式的BitLocker。要让BitLocker支持将密钥存储到U盘的话,
【开始;运行;gpedit.msc;计算机配置;Windows组件;BitLocker驱动器加密;操作系统驱动器;启动时需要附加身份验证;启动时需要附加身份证;…】
启用BitLocker驱动器加密: 【开始;控制面板;系统和安全;BitLocker驱动器加密;启用BitLocker;…;每次启动时要求启动密钥;保存启动密钥;插入U盘;选择可移动磁盘;单击保存;接着提示保存修复密钥(建议将修复密钥保存在另一个U盘,以避免解密密钥和修复密钥同时丢失);也可选择保存在文件夹中】
解密密钥和修复密钥的作用见书。一定要保存好。
如果U盘丢失,则必须输入修复密钥。
对于使用TPM的计算机,如果计算机的启动环境发送改变,如BIOS被更新,磁盘有误、其它组件有更改等。BitLocker就不会解密操作系统磁盘,此时必须提供修复密钥。
挂起、关闭BitLocker与密钥管理: 挂起BitLocker后,不需要插入U盘就可以启动系统。
“挂起保护” “恢复保护”
如果要更新计算机BIOS、更新启动文件或系统升级的话,请先挂起BitLocker。等更新或升级完成后,在重新启动BitLocker。
关闭BitLocker: …
如果要复制修复密钥或解密密钥的话,通过“BitLocker驱动器加密”窗口中的“管理BitLocker”
碎片整理与检查磁盘错误
定期检查和修复磁盘的错误。
磁盘配额
用户可以利用磁盘配额(Disk Quota)功能来限制用户在NTFS磁盘内的存储空间,还可跟踪每个用户的NTFS磁盘空间使用情况。通过磁盘配额的限制,可以避免用户不小心将大量文件复制到服务器的硬盘中。
有几种磁盘配额管理方法。
磁盘配额的特性:
- …
- 每个磁盘的磁盘配额是独立计算的。(比如C:与D:盘可以有不同的磁盘配额)
- …
第7章:访问网络文件
本章讲解;通过公用文件夹(Public Folder)与共享文件夹(Shared Folder)将文件资源共享给网络上的其它用户。
公用文件夹
第13章:远程桌面连接
远程桌面连接概述
远程桌面协议(Remote Desktop Protocol) 远程桌面连接(Remote Desktop Connection)
另外Windows Server 2008 R2也支持远程桌面服务网页访问(Remote Desktop Web Access),它让用户可以通过浏览器与远程桌面网页连接(Remote Desktop Web Connection)来连接远程计算机。
远程桌面连接实例演练
远程计算机的设置
你必须在远程计算机上启用远程桌面连接,并且赋予用户远程桌面连接的权限,用户才可以通过远程桌面连接来连接。
启用远程桌面连接:
请到远程计算机Server1上选择【开始;控制面板;系统和安全;系统;高级系统设置;远程;通过远程桌面来选择】
远程协助与远程桌面的区别: 远程协助的发起者向他人发出协助要求,在获得对方同意后,即可进行远程协助,远程协助中被协助方的计算机将暂时受协助方的控制,协助方可以向被协助者演示某些操作。使用“远程协助”进行远程控制实现起来非常简单,但它必须由主控双方协同才能够进行。主控双方还可以在“远程协助”对话框中键入消息、交谈和发送文件,就如同在MSN Messenger中一样。被控方如果想终止控制,可按Esc键或单击“终止控制”按钮,即可以取回对计算机的控制权。
远程桌面:利用“远程桌面”,你可以在远离办公室的地方通过网络对计算机进行远程控制,即使主机处在无人状况,“远程桌面”仍然可以顺利进行。 有人说进行远程桌面时,此时您的电脑会黑屏,无法看到对方的操作行为.直至对方退出登录,界面又会跳出来.
参考:远程协助
- 允许允许任意版本远程桌面的计算机连接(较不安全): 无论用户使用的远程桌面连接版本是什么,都可以连接。
- 只允许来自运行带网络级身份验证的远程桌面的计算机连接: 用户的远程桌面连接需要支持网络级别身份验证(Network Level Authentication, NLA),才可以进行连接,NLA是一种新的验证方法;它可以避免黑客或恶意软件的攻击。Windows 7等远程桌面连接都是使用NLA。
在选择上面两项之一时,系统会弹出对话框提示系统会在Windows防火墙内启用远程桌面协议,单击确定。(Win 10并没有弹出,但是在防火墙中查看时已经自动为其添加例外了)
另外还可以选择允许哪些用户可以连接到这台计算机。管理员组中的任何成员都可以进行连接,即使没有列出。
可以通过【开始;控制面板;Windows防火墙;允许程序或功能通过Windows防火墙】来查看是否被例外启用远程桌面
授予用户通过“远程桌面”连入的权限:
要让用户可以使用远程桌面连接连接远程计算机的话,该用户必须在远程计算机拥有允许通过远程桌面服务登录的权限,而非域控制器的计算机已经启用此权限给Administrators与Remote Desktop Users组。可以通过以下方式来查看【开始;管理工具;本地安全策略;本地策略;用户权限分配】
如果是域控制器的话,此权限默认授予启用给Administrators组
如果要让其他用户可以使用远程桌面连接连接此远程计算机,只要在此计算机上通过上述窗口中,右击(或双击)“允许通过远程桌面服务登录”项的属性,然后点击“添加用户或组”进行添加。或通过【开始;控制面板;系统和安全;系统;高级系统设置;远程;添加用户】的方式。 你也可以将用户或组加入到远程计算机的Remote Desktop Users组的方式。
组居然可以加入另一个组中