isa server 2004
优点: 1、基本的firewall功能
2、更加智能化的cache service
3、更加灵活的网络组件
4、更加标准的德vpn srv应用
5、加强了应用层的控制和过滤
6、多层次级别的保护
7、自带firewall和vpn srv
8、多种网络
9、应用层过滤
更易于使用:
1、更加有效的管理工具
2、默认的模版
3、集成更多的产品
4、易于使用client:web client
snat client
Firewall client
增强的性能
isa 2004 的两个版本
1、企业版本:优点:企业策略
nlb
cache负载
缺点:部署复杂,增加管理和维护成本
价格高
信息存储在配置存储服务器上,5秒钟同步一次,加密通讯
2、安装前的准备:存储cache的分区必须是ntfs分区
单双网卡不影响安装,单网卡isa srv自动安装为cache-only
如果打算安装消息过滤器,则必须安装iis6 的smtp service
3、如果企业已经存在isa server,是否可以简单、平滑升级:可以实现,但是最好的选择
是重新安装
关于委派权限
如何才能通过委派控制来实现如下目标:某账户可以在域内所有计算机账户上登录,并且具
有管理员的权限,可以对客户计算机进行管理。可以添加工作站到域,可以对域用户进行操
作。但是不能登陆到dc上,不能直接修改活动目录的信息。
2006年4月
关于证书等
安装证书服务
申请证书模版库中找到代码签名证书模版,管理工具单击ca。
mmc中填加证书插件,利用申请想到申请代码申请代码签名证书。
导出证书
利用工具对程序签名,
在安全选项中启用相应规则
登陆事件:交互式的访问server
帐户登陆事件:一个用户登录到域,由dc处理该请求
对象访问:对象是文件夹和打印机,注册表。但默认情况下审核对象(系统访问控制列表sacl)
为空,没有任何用户和对象,必须手动添加监控对象。
wsus
使用wsus,web site必须允许你名访问。
如果客户机加入到域,将使用域策略。
如果客户机没有加入到域,将使用本地策略。
关于证书
1、设置模版权限
2、批准kramoban
3、颁发kra给用户
4、配置ca允许kra
5、建立新的模版并设置为允许存档私钥
6、在ca中发布和建立新的模版
7、使用winodws 2003resource kit工具中的krt命令
8、在ca的批准申请中找到该用户的申请证书,找到该证书的序列号
efs实现
以另外一个用户登录---cmd---cipher /R:产生两个文件*.cer(公钥)*.pfx(私钥)
打开default security ploicy 打开公钥侧略---机密文件系统---右击机密文件系统,单击
增加dra加载*.cer文件
---打开mmc添加证书插件,把*.pfx文件倒入到各人证书目录。
第二单元 证书安装配置和管理
一、简介pki
1、加密目的: 机密性
完整性
不可否认性
2、分类: 对称加密 速度快
不对称加密 速度慢,安全
hash算法 利用hash函数产生
一个不可逆数值
二、CA的种类: 独立ca 企业ca
使用场合 脱机 联机
是否需要ad 否 是
申请方式 web申请 web或申请向导
是否推荐 否 是
ca中保存相应的密钥
第三节 windows 2003信息的保密和存储
1、密码存储:srv 独立服务器:lsa(sam文件)
ad 控制器: ntds.dit
2、
第二节 建立信任关系
1、目的:实现资源的授权访问
2、windows 2000信任关系: 父子新人,默认建立,不可删除,双向可传递
森林间信任:单/双向,不可传递
windows 2003信任关系:纯模式下,单双向,在森林内可传递。
非纯模式下与2000相同
3、森林间的信任,单双向可决定是否传递,只有2003纯模式才可以实现
信任关系不能在森林之间传递,只能在森林内部传递。
windows 2003安全课程 第一单元 计划配置验证和授权策略
第一节 组及组策略
1、建立组的目的:账户集合
授权
2、组类型:安全组
通讯组:无sid
3、组的作用范围:全局组
域本地组
通用组
4、验证ad:dcdiag /v 〉diag.txt
验证gc: nltest domainname /gc
验证操作主机:netdom query fsmo
维护AD
AD DB默认存在 %systemroot%\ntds
db文件:
1、 ntds.dit data文件
2、 edb.log log文件
3、 edb.chk 检查点文件
4、 res1.log 保留日至文件
5、 temp.edb db临时交换空间
移动即碎片整理ad db:
1、备份系统状态数据
2、重启动进入目录恢复模式
3、执行:ntdsutil --?file ----?move
restore ad
安装系统,安装sp,恢复system state data,重新启动计算机。
清理ad中的垃圾对象
ntdsutil: metadata cleanup
connections
connect to server xx.xx.xx
quit
select operation target
list sites
list domains
select domain
list sever in site
select server
quit
remove select server
remove select domain
管理操作主机
schema master:维护ad 森林的schema
存在于ad forest 根域中,forest唯一
默认是为第一台dc
根域的schema admins成员可以修改schema信息。
管理工具:ad schema 管理差插件
domain name master:维护ad forest 逻辑架构
infrastructure master:维护ad域内或者域间移动对象时命名及组成员关系更新,域内为
一,域内第一台dc。
转移操作主机:
1、备份dc信息
2、指派dc2作为gc,同步所有dc
3、转移所有操作主机。工具:ad schema
ad domains and trusts
ad users and computers
时钟服务器:改变pdc emulator即可改变同步的时钟基准
操作主机的恢复:
操作主机宕机,无法恢复,应改如何操作:
1、指派第二台gc,等待gc同步以及dns中srv纪录的的生成
2、夺取五个操作主机:ntdsutil--〉roles--〉server
ad复制
ad之间的复制,森林不同的域之间,共享向同的信息:schema、configuration、 global
catalog
ad的分区: schema 森林内
configuration 森林内
domain 域内的信息向同
application 可配置复制方式
ad同步: 自动建立复制拓扑:自动建立复制拓扑:双向复制,闭环、最大跳步为3
站点内部dc同步: 同过自动或者手工建立、高速同步
复制潜伏期<5分钟
菲压缩流量、支持紧急复制
dc间最大潜伏期15分钟
每一小时dc之间进行内容比较
site 间的同步:需要使用站点链接,同过站点链接控制站点之间dc同步
1、创建site link,指定协议类型:smtp、rpc over ip(推荐)
2、interval 复制间隔时间
cost:选择最佳复制路径,与带宽相关,
site link bridge:ip全路由网络中site link可传递,无需site
link bridge
非ip全路由网络中需要建立site
bridge link 使site link支持传递
管理ad schema 管理工具
执行regsvr32 schmmgt.dll,然后使用mmc进行管理
universal 组成员关系缓存
校验 gpo
gpmodeling 模拟策略
gpresult 实际效果检验
软件分发,必须使用网络路径
打包工具:adminstudio、windows installer
逐鹿中原之实现用户、组、计算机账号
1、计算机账号:nt架构的计算机才有帐号。
2、批量实现帐号管理
逐鹿中原之实现OU
1、创建和管理ou: mmc: ad users and computers
命令行:dsadd/dsmod/dsm
ldifde.exe /csvde.exe
windows script host: vbstript
2、ou的授权管理:提升管理效率
实现方法:ou授权向导,修改ou的安全属性
3、domain local :可包含本域及信任域的user、global group、universial group 、本
域domain local
global group:可包含本域user 、本域global user|用于组织帐号
universal group:本域及信任域的user、golabl user、universal 仅用于多域环境
的用户帐号组织
domain local 只能在 本域授权
global group 在本域及信任域皆可授权
universal group 在本域及信任域皆可授权
ad逻辑架构的实现
1、添加子域:设置ip地址-->dns srv 指向自己--安装dns--建立子域,启用动态更新---
在父域中为子域建立委派:a纪录
委派纪录---指向刚建立的a纪录
子域dc上建立主域的secondary zone或者stub zone
提升dc
2、域的功能级别: windows 2000 mixed 级别 nt4 2000 2003
2000 native 2000 2003
2003 server 2003
2003 intermin nt4 2003
域功能级别提升是单向的
3、forest功能级别: windows 2000 native default
windows 2003 所有domain都提升以后才可以提升到该级别。
4、创建信任关系: 1、父子信任关系:同一森林内部,自动创建、双向传递
2、树根信任:tree root 特性同上
3、快捷信任:forest 内部的信任、手工创建的、单向可传递
4、外部信任
5、森林间的信任:提升到2003模式,然后手工建立森林间的
信任
逐鹿中原之AD物理架构
1、物理架构: | site
| subnet
< sitelink
| dc
| gc
| operation master
2、复制种类: 多主复制:用于一般的信息复制
单主复制:用于核心信息的修改,只能在某一台dc上完成,然后复制
五种操作主机:schema、domain naming、pdc emulator、rid、infrastator
3、站点: site1 -----subnet 1
subnet 2
site2 subnet 3
subnet 4
4、站点链接参数:调度、间隔、cost
5、gc:每个站点一个gc
DNS与AD的关系
dns对ad提供名称解析的支持
命名规范:dns
用户登录首先查找dns服务器
sysvol:存放组测略和登录脚本
逐鹿中原之活动目录架构介绍
1、AD:企业目录林服务,用于组织管理控制企业网络资源
安全身份:user、group、computer
2、schema:class、attributes
3、AD对象命名:GUID:全局唯一标志符号,32位16进制数字,在ad中唯一
LDAP DISTINGISHED NAME(DN),在整个AD中唯一
CN=TIANWAY,OU=SALE,DC=CONOTOSO,DC=COM
4、RDN:相对区别名:对梯度的搜索
5、SID:安全标志符:仅对如下对象生效:user、computer、group
6、domain:是一个安全边界,也是一个复制边界,是实现ad分布式管理的形式
7、信任关系: 同一树内的domain自动建立trust双向关系。
tree:父子之间是双向的可传递信任关系。共享连续的命名空间。
forest:共享树根间的双向可传递信任,其中的所有域共享相同的schema、
全局配置信息,包括逻辑的和物理的。global catalog
8、global catalog:全局编录,整个ad中对象的属性子集。
9、ou:组织对象,授权管理,组策略应用
逐鹿中原之IAS
RADIUS:集中式身份验证
实现radius服务
在ras中设置radius服务器
使用网络访问的检疫机制:
逐鹿中原之远程访问策略
多条策略如何应用:ras连接惠依次检查每条策略的condition部分,直到找到满足的策
略。只有一条策略会生效。
应用顺序:condition -->dial-in属性--->permission--->frofile
逐鹿中原之IPSEC
1、ipsec简介:用来加密网络通讯。
工作在传输层
对应用程序透明
不影响网络通讯
2、功能: 通讯前的认证功能
数据加密
数据完整性
防止重放攻击
3、工作过程:
ipsec策略的定义及应用----->通信前进行安全协商--安全ip通讯
ipsec的协议:AH协议,用于身份认证,和完整性的验证esp协议,
拥有全部的AH功能,加密功能
4、ipsec策略:
过滤器:选择ip流量
filter action:对所选的流量决定安全通信的方式
认证方法:相互认证对方计算机合法:kerberos v5、证书、共享字串
通道模式
5、默认策略:
client 默认以安全方式和对方通讯,亦可以非安全方式通讯
server 默认以安全方式和对方通讯,亦可以非安全方式通讯
secure server 只能以安全方式通讯
6、使用环境: 包过滤
点对点的主机通讯
保护server的通讯安全
vpn通讯:l2tp/ipsec
站点通道模式
7、规划ipsec: 通过ad 策略实现、本地策略
逐鹿中原之RRAS配置routing
1、路由器用来分割网段
2、广域网技术:同步串行,异步串行、FDDI、ATM、FRAME Relay
3、路由:数据包从源到目标的过程。
直接路由:直接发到目标
间接路由:通过中转到目标
4、route add 1.1.1.1 mask 255.255.255.0 2.2.2.2 -p 增加路由,静态的
route delete 1.1.1.1 删除路由
5、配置w2k3 srv作为网络路由器:
应用场景:
6、rip:每个路由器向每个接口广播当前的路由表信息。
每个路由器从所连接的接口获取其它路由器的路由表信息,从而更新自己的路由
表,默认三十分钟进行一次。
逐鹿中原之wins解析
wins服务
1、wins工作过程:
名称注册:wins client 开机时或使用nbtstat -RR向srv注册。
名称解析:wins client --chaxun--〉wins srv
名称刷新:1/2TTL wins client 时刷新wins srv
名称释放:wins client ---名称释放----〉netbois名称TTL=0,当计算
机正常关机的时候。
2、实现wins srv、wins client
srv: windows srv
静态ip地址
安装wins服务
client:只有windows 才可以支持
指定wins srv 地址
启用netbois协议
3、管理:注册:自动注册
手工添加(静态)
4、wins 复制:建立多台wins srv,各个服务器之间进行同步复制实现负载均衡和容错。
5、配置wins复制:push 触发条件 wins db修改的记录数。pull时间间隔
6、back up db
恢复db
删除 wins record:简单删除 从本机删除tombstone 同步到其他服务器,标记删除
7、压缩数据库:compact
逐鹿中原之在dns中实现子域
各子网的dns client 指向本地dns
总部dns建立委派:首先添加一条a纪录指向子dns服务器
abc.com对子域的委派,指向上一条a纪录。
实现AD集成dns
标准zone:以文件存储管理 %systemroot%\system32\dns
存放在AD数据库中:AD集成的zone
可以实现 标准primary
......secondary 三者之间相互转化
AD集成的zone
特点: 标准zone是primar一---〉secondary 单向复制
AD集成的dns双向传输复制
规划dns策略
1、规划dns srv
容量规划:zone数量
记录的数量
dns client 数量
规划dns srv 系统要求:硬件
系统平台:windows srv 2003
2、dns的数量:最少两个,进行容错
wan架构,每个lan至少一个
3、dns角色:cache only
非递归srv-----internet
条件转发
转发srv
4、安全级别:高
中
低
5、规划域名空间 域名选择 公共域名
内部域名
6、选择zone的类型:标准primary
标准secondary
AD集成
stube zone
7、zone 委派:父域和子域之间只能同过delegation进行关 2154
连 。
8、排错: nslookup:
测试正向解析
测试反向解析
更换dns srv
列出指定域名记录 ls -d tianway.net
逐鹿中原之名称解析
server 标志号 00h
workstation 20h
messenger 03h
2、hosts文件
位于:%systemroot%\system32\drivers\etc\hosts
文本文件
包含主机名和ip地址映射记录,行分隔
用于为本机提供主机名解析
静态解析,手工设置,可以做为dns辅助工具
3、lmhosts
位置:与hosts文件相同
文本文件 netbios名称与I的对应
静态设置
4、主机名称解析:host 文件---dns--netbois cache---wins--广播--lmhosts
netbios名称解析:
node type B 0X1 CACHE --BROADCAST --LMHOSTS
P 0X2 CACHE---WINS
M 0X4 CACHE--BROADCAST--LMHOSTS---WINS
H 0X8 CACHE--WINS--BROADCAST--LMHOSTS
================HOSTS DNS
5、dns
dns是一个分布式的数据库,用于主机名称的解析。
dns查询:递归查询
迭代查询
配置dns: dns zone 存储名称解析记录的db
{ 正向查询zone
{反向查询zone
命名方式:以域名命名
zone type: primary zone
secondary zone
host(A) 主机记录
CName(Alias) 别名记录
MX 邮件交换记录
ptr: 指针记录
动态更新:ipconfig/registerdns 手动注册
也可以实现自动更新
dns轮询:A记录ttl设置为0,添加第二条A记录ttl为0,ip地址设为不同的ip,设置
round-robin选项。
dns迭代 不完整的信息返回
dns递归 解析的结果返回
逐鹿中原之网络服务
关于dhcp
1、dhcp的作用:
动态主机配置协议
简化配置ip属性的工作量,提高工作的效率,减少出错的几率。
2、工作原理:ip地址动态分配,按时间租用
dhcp client --->require an ip ---->dhcp server 源ip:0.0.0.0
标ip:255.255.255.255,
附带mac信息。
dhcp client <---provide an ip <----dhcp server 源ip:dhcp srv
ip 目标:
255.255.255.255 附带地址租期,目标mac地址。
dhcp client --->ip choice notify---->dhcp server
dhcp client <---ip confirm <----dhcp server 提供ip地址并获
取各种相关信息
3、dhcp relay agent:
启用rras
启用dhcp relay agent
添加interface
指定dhcp server
使用路由交换机作为relay agent
启用RFC1542功能
4、dhcp管理
备份:手工备份或者自动备份
db:%system%\system32\dhcp
数据库损坏以后可以自动恢复(自动备份)
server失败以后手工进行恢复
dhcp数据:数据库(DB)详细信息
注册表:汇总信息
出错之后对该信息进行一至性检查即可恢复正常
dhcp授权只能由enterprise admins来进行
dhcp的管理可以由domain administrators、dhcp administrators来
完成。
dhcp users 可以查看dhcp的属性信息。
5、规划dhcp
dhcp的物理位置
选择dhcp的架构
定义保留地址
配置选项
2006年2月
管理数据存储以及灾难恢复
1、恢复代理:工作组状态,本机管理员是默认的恢复代理
Ad环境中,域内管理员是默认的恢复代理
2、备份恢复代理证书:登陆第一台dc---证书插件---导出证书。
3、自动系统恢复:使用光盘启-----F2---启动ASR恢复向导----系统恢复
4、卷影复制:对系统所更改的数据进行记录,从而被分所需要的空间很小
可以进行先前版本的文件恢复,对正在打开的文件进行备份
5、灾难恢复:备份数据及系统状态----
重新安装系统---目录恢复模式----授权恢复--重新启动
我厂广大职工对windows 2003服务器的期待
第一章 准备管理一个服务器
管理人员分类:administrators
Backup operators
Account operators
Server operators
Print operators
连接到远程计算机:连接到—浏览—计算机名称---管理行为
Mmc:管理工具控制台---添加插件---管理远程计算机
4、配置实现远程桌面来实现远程管理计算机
终端服务 RDP协议
第二章准备和监视windows服务器性能
1、监视服务器的意义:挖掘服务器性能潜力
优化服务器的负载
预测服务器性能的趋势
解决系统的瓶颈
2、性能基准:内存
硬盘
网络
处理器
使用性能监视器进行计数器监测----数据收集---瓶颈分析
3、实时监视与日志记录监视
实时监视:当前行能数据采样 任务管理器、系统监视器
日志监视:performance 使用性能监视器、警报功能来实现对系统的监控。
2006年2月
中华人民共和国打印机行政管理许可法
1、windows 2003支持的客户端:microsoft、netware、apple、unix/linux。
2、网络打印机:通过网络连接的打印机称为网络打印机。打印设备连接的电脑称为打印服务
器。要求打印服务器有足够的内存和磁盘空间。
3、打印机共享名遵守8.3规则,即最长不能11个字符。计算机可以在ad中进行发布。
4、打印服务器上事先应安装所有的版本的驱动程序,然后同过网络来安装网络的打印机的时
候就可以不用安装驱动程序了。
5、技术支持网站:support.micorosfot.com、technet网站。
6、同过打印机的共享权限设置来实现对用户打印的限制。
7、提高打印缓冲区的性能,服务器磁盘上存放的客户端提交的打印文档的空间。
该空间的位置默认为:%system%\system32\spool\PRINTERS,如果访问量很大,则建议
将该空间存放在一格单独的分区中。
8、打印机优先级,针对同一打印设备设置多个打印机,分别赋予不同的优先级,然后分别设
置不同的权以此来实现对不同的用不同的优先级。
9、同一个打印机可以连接多台不同的打印设备,在网络上可以实现一个打印设备之间的负载
均衡。 要求:所有的打印设备型号品牌相同,驱动程序完全一致。
关于共享权限和NTFS权限的暂行规定
在网上共享某一个文件夹的时候,网络用户的权限是共享权限和ntfs权限的交集。
ntfs权限和文件本身一起保存,对文件进行备份时ntfs权限会被同时备份,共享权
限无法进行备份。
对文件设置共享的时候建议使用如下权限设置:共享权限设为full control、使用ntfs
权限对用户进行设置。
对象移动时的权限变化情况:
同一文件分区 不同文件分区 非ntfs分区
copy 继承目标文件夹的权限 继承目标文件夹的权限 权限丢失
move 权限不发生变化 继承目标文件夹的权限 权限丢失
不同的分区之间复制文件及文件夹如何使ntfs权限不变:
xcopy file paht /O: 该命令可以连同权限一起复制。但与共享权限无关。
2006年2月
关于微软文件权限的若干历史遗留问题的暂行规定
文件夹及文件的权限设置: 否优先,如无明确的指示那么用户无权对该文件进行读写。
子对象及子容器继承上一级的安全属性,默认所有的权限
设置都是继承的。一个用户对某对象的权限是其各种权限
的集合,但是否优先,如果有明确的拒绝,则该用户对该
对象无权限。
take ownership: 夺取权限。使用管理员的权限可以强制性的更改文件及文
件夹的ownership权限。
管理2003之关于ad中各种组的历世遗留问题的若干意见
关于ad中各种组的历世遗留问题的若干意见
域用户组可以分为: 安全组
分发组 没有sid不能用户和安全有关的人和操作。
用户组生效范围: domain local 只在本地域内生效,成员可以是整个森林的
用户或者组,用来设置权限。
global 整个森林内生效,在混和模式下不能嵌套。
用户可以包含本域用户以及global 组 用
于组织帐号。能包含信任域的GOLBAL?
universal 整个森林内生效,用于实现dl和gl的关联。
可以包含所有的用户及组。
域的功能级别: windows 2000 混合模式 可以存在nt4的BDC、默认的域级别
windows 2000 本机模式
windows 2003 本机模式
*不要把用户加入universal组,否则会带来很大的复制流量。推荐:A->G->D->P
命名规则:企业组织结构 管理作用 组的作用范围。koda_it_user_dl
用户类型转化:security可以和distribution组进行转化。但是s-d会丢失sid
gl-dl必须使用un来进行中转。
power users:不能进行注册表的修改
帐号操作员组:用来对帐号进行操作的组,用于创建及修改帐号和密码,但不能修改系统自
带的组
服务器操作员组:对服务器本身进行操作,例如添加删除硬件。
备份操作员组:只能对系统进行备份。不能做其它操作。
print operators:只能设置打印机。
文件安全属性:可以设置各种针对文件或者文件夹的安全属性,赋予不同的用户或者用户组
各种不同的权限。从而提高文件的安全性。
读取:可以察看该文件的内容及其属性,不能进行更改
更改:可以更该文件的内容,但是不能添加新的内容到原来的文件。
写 :可以向文件添加新的内容,但不可以更该原来的内容,一旦保存就不能对
原来的文件进行更改。
列出文件夹的内容: 此属性系文件所特有的安全属性
第二部分 中共广东省委关于管理和维护windows 2003的几点意见
管理和维护用户及计算机帐号
1、创建用户帐号
用户帐号:系统为用户定义的一系列属性的组合。
用户权限:用户创建完毕之后立即拥有相应级别的系统权限。
计算机帐号:系统为域中的计算机定义的一系列的属性的集合。
使用域用户帐号可以在域中的每一台计算机上登录。
2、当用户的属性设置为用户必须更改密码时,该用户不能进行身份验证。
当用户的密码过期时,也不能进行正常的身份验证。
3、强制密码历史:记住n个密码,即更改n次之后才能使用相同的密码
密码最小生效时间:经过多长时间以后才能修改密码。
4、组策略默认生效时间最短5分钟,要是组策略立即生效使用该命令:
gpupdate /force
secedit /refreshpolicy machine_policy
secedit /refreshpolicy user_policy
5、用户的批量导出:csvde -f 导出ad中所有的对象。
用户的批量倒入:csvde -i -f 在ad中创建新的对象。
6、使用csvde批量倒入的用户密码为空,用户下次登录时必须更改密码。
7、锁定帐号只能通过组策略来实现。
8、计算机帐号:提供对于计算机的验证、审计,计算机加入域的系统自动生成域中的计算机
帐号。
手动创建计算机帐号,用于指定即将加入到域的ou。
9、计算机和网络段开超过一段时间以后必须重新加入到域。
管理和维护windows 2003环境
提供服务:file server、web server、ftp server、dns、active directory
版本划分:web 版本 仅仅只能用于提供web服务 有并发连接数量的限制(none web
service)
standard 版本 can't provide cluster service,it can provide other
services.
enterprise edition it can provide all of service of windows.support 8 dot
cluster.
datacenter edition it can support strong hardware,and can provide all
services。
目录服务: directory service
一个特殊的数据库,用于存储网络对象及各种信息,用来给用户及各种应用
提供检索服务,即目录服务。例如提供对象定位服务,也就是目录服务,
活动目录: 微软自身特有的目录体系。该服务自windows 2000/2003开始提供。
优点: DNS: 为ad 提供定位基础,可以和ad进行集成,可好玩啦,不信你看
看高可用性,可以容纳大量的对象,你丫怎么都用不完。可以实现权限委
派,把网络的管理权限分配给不同的用户,分散管理任务,减少管理员的
工作量。
Active Directory 架构:树形结构
域: 用来提供集中的身份验证过程,所有的用户通过服务器进行身份验证,从
而可以实现网络中的单点登陆。域中的所有信息都集中存储在DC上。其实
质是提供一个安全的网络边界,是一个逻辑上的结构。
工作组: 即常说的对等网络,其特征是用户的身份验证是通过本地来进行,所有的
用户都只能存放在本地的安全数据库中。
域信息复制:本域的信息仅在本域的各dc之间进行复制。
OU:域中的一种对象,可以对OU实现组策略,从而简化管理。
tree:由多个共享连续的命名空间的域组成,这些域都有部分名称相同。
forest:多棵树所组成的网络。树是该架构中最大的一个概念。
*域中的服务器必须使用固定的ip地址。
管理工具: remote desktop:安全性不够高,并发连接有数量限制,效率低下。
终端服务:效率较高,有并发连接的限制,有安全隐患。
域管理工具:通过mmc管理控制台,使用各种域管理工具。
我厂广大职工对windows 2003服务器的期待
第一章 准备管理一个服务器
管理人员分类:administrators
Backup operators
Account operators
Server operators
Print operators
连接到远程计算机:连接到—浏览—计算机名称---管理行为
Mmc:管理工具控制台---添加插件---管理远程计算机
4、配置实现远程桌面来实现远程管理计算机
cluster大小
格式化硬盘的时候,如何才能使cluster的大小为64k?
1、还原点
开始--〉程序--〉附件——〉系统工具
还原内容:仅仅能监视某些特定的系统文件和应用程序。如:.exe .dll
自动创建还原点:当系统发生重大变化的时候,系统会自动创建还原点。
手动创建还原点:用户自行创建还原点
2、ASR还原
运行:ntbackup-->系统还原--创建ASR备份
3、关于密码,能够还原
*当GP发生冲突时,近者生效(原因:注册表修改先后顺序)。
**解决方法:AD Users and Computers?右击域?属性?组策略?选项,选择No Override,则
当其与子容器上的GP发生冲突时,禁止任何修改。
**在子容器的属性?组策略中可以选择Block Policy inheritance来阻止上级容器的GP生效。
***当上级No Override与子容器的Block inheritance发生冲突时,No Override生效。
*帐号策略在容器中设置无效,必须域内统一。
修复默认的组策略
Dcgpofix:把Default Domain Policy和Default Domain Controller Policy恢复到初始状态,但
对其它策略无影响。
安装光盘下的Support\Tools\Support Tools,然后运行
dcdiag /v > dcdiag.txt:可以检测AD运行状态并导出至dcdiag.txt中;
nltest /dsgetdc:DOMAIN NAME /gc:检测DC和GC状态;
netdom /query:查看DC在AD中担当的角色(如操作主等)。
