Windows Server 2003 一天之初步学习心得

第一章 Windows Server 2003 初步
1.文件服务
Win2003能够对文件或文件夹设置压缩或加密属性。

2.终端服务 Terminal Services
终端服务即是：通过网络传送来源计算机的输入单元（如键盘和鼠标）的控制信号，到远方终端机上执行程序，并将其执行结果通过网络，返回来源计算机的输出单元。

3.迁移工具 ADMT - Active Directory Migration Tool

4.企业 UDDI 服务 - Enterprise Universal Description, Discovery and Intergration Services



第二章 安装 Windows Server 2003

NTFS - New Technology File System

win98虽然无法访问本机上的NTFS系统, 但是如果是通过网络访问,则不必担心此问题.只要设置适当的文件共享和访问权限,win98计算机就可以自由访问Windows2000/2003中系统的文件.

多重开机系统所一般使用的系统:
NTLDR: Windows系列使用.
LILO: Linux操作系统的核心加载程序.
BootMagic: PartitionMagic中的操作系统加载程序.

Windows Server 2003的授权分类: (CAL - Client Access License)
1.每一台服务器: 同时连接的数目(Per Server):授权可同时连接到此服务器的客户端数量,对客户端不作要求.
2.每一设备或每个用户: Per Device or Per User: 此种方式是直接购买客户端的授权,拥有客户端授权的客户可以登入任何的哪一台服务器.




第三章 目录服务

目录是用来记载一组对象的相关信息.对象可以是: 用户帐户,用户组,计算机,打印机,共享文件等等.

目录的特性:
1.查询性能高.
2.层次式结构.
3.能够维持对象的唯一性.

层次式树状结构: Directory Tree
1.容器对象: Container Object
2.非容器对象: Non-container Object

对象的命名方式:
1.为各对象赋予 RDN (Relative Distinguished Name) 相对识别名称.
2.在目录树中各对象容许相同的 RDN ,但在同一容器中的对象,则其 RDN 不能相同.
3.将对象本身的 RDN ,合并所有上层对象的RDN,即形成对象的 DN (Distinguished Name) 识别名称-目录中独一无二的名称.
RDN 通常以 "对象类别名称=对象名称"的方式来表示.

目录服务的主流标准: LDAP (Lightweight Directory Access Protocol).
他是DAP的精简版.




第四章 Active Directory 目录服务

AD中的对象,都具有下面两项特性:
1.GUID (Globally Unique Identifier) 全域唯一识别单元.
对象的GUID永远不会改变, 因此不论对象的名称或属性如何更改, 应用程序仍可通过GUID找到对象.

2.ACL (Access Control List) 访问控制列表.
记载安全性主体(例如:用户,组,计算机)对对象的写入,读取,审核等访问权限.与之相关的 安全策略(即访问的主体对象,如用户,计算机) (Security Principal), 虽然翻译为安全策略, 但实际上它不是策略, 而是安全性主体, 即主体对象.

每个对象都具有多重属性, AD中的用户对象默认的有多达200多个属性.

AD Schema: 对象类别和对象属性的定义统称为 AD Schema. (AD结构)

域可以划分成更小的单位: OU (Organization Unit).域与组织单位是构成AD层次式机构的两大要素.

委派控制: 是指系统管理员可将某组织单位的管理工作(例如帐号管理)委托给指定的用户或组.

组策略: 组策略可以控制计算机和用户的环境, 包括安全策略,桌面设置等.
组策略能够被应用于站点,域和组织单位,但偏偏不能够应用于组,请注意!

AD 对象名称:
1.安全标识 SID (Security ID).
安全性主体(Security Principal)其中包含用户帐户,计算机帐户和组三种对象. Windows Server 2003 会赋予每个安全性主体独一无二的SID.操作系统在处理这些安全性主体对象时,实际上是用SID来识别这些对象.
例如: 当系统管理员删除某帐户后，再重新建立同名的帐户，则新用户帐户不具有原先帐户的权限。这并不是因为删除帐户的同时删除了权限设置，而是因为新旧帐户有着不同的SID，而权限设置则通过SID来判断身份。

2. LDAP 名称。
DN 与 RDN： 前面已经介绍了。
CN (Common Name)：对象名称。
OU (Organization Unit)：组织单位名称。
DC (Domain Component)：域的DNS名称。

标准名称： 以简化形式表示LDAP的DN.
如对象的DN为：CN=FRANKIE KE, OU=SECT1, OU=PRODUCT, DC=FLAG, DC=COM, DC=TW
那么AD中此对象的名称为：FLAG.COM.TW/PRODUCT/SECT1/FRANKIE KE

3.登录名称：
用户在登录 Windows Server 2003 时可使用以下两种名称：

UPN (User Principle Name):
在AD中，用户和组都可以有个UPN。UPN格式与惯用的E-mail地址格式相同。
用户可以利用UPN来登录域。

SAM (Security Account Manager):
此帐户名称是为了兼容 Windows NT 域。

下面是同一对象的各种名称：
SID : S-1-5-21-1801674531-1580
LDAP RDN : CN=FRANKIE KE
LDAP DN : CN=FRANKIE KE, OU=SECT1, OU=PRODUCT, DC=FLAG, DC= COM, DC=TW
标准名称 : FLAG.COM.TW/PRODUCT/SECT1/FRANKIE KE
UPN : [email protected]
SAM : frankie

组：组在AD中具有如下特性：
1.组可跨越组织单位。
2.组和AD集成，提供更佳的管理弹性。系统管理员可以将隶属不同组织单位的用户加入一个组，然后再依组来设置权限。
3.组为安全性主体。
Windows Server 2003 包含用户，组，计算机三种安全性主体。换言之，AD对象只能够针对用户，组和计算机来设置权限，而无法针对组织单位来设置。
组为非容器对象。那么组如何包含用户，计算机或其他组对象？组之所以包含用户对象，是因为组有一项特别的属性 member，此属性记录了某个用户对象（或另一个组对象）的DN时，就代表该用户是这个组的成员。




第五章 Active Directory 与域

在 Windows Server 2003 网络环境中，域是最重要的独立核心管理单位，是形成整个AD结构的主干，是AD的逻辑分区单位，也可视为AD中一组对象的集合。
AD是由至少一个域构成的域集合。因此AD数据库可包含单一域的对象，也可包含多个域对象。多个域可以通过建立彼此的信任关系，形成整体的AD。

Windows Server 2003 域的特性：形成独立的管理单位，组策略与委派控制的应用单位，可跨越地域限制。

多重域可形成域树状目录（Domain Tree）或林（Domain Forest）。前者用于规划各域具有连续性命名空间；后者用来规划含有不同命名空间的域的网络环境。

各域至少由一台域控制器 （DC - Domain Controller），提供AD服务。域内各DC的地位皆平等，并彼此根据域内DC的数量，选定至少两个复制伙伴（Replication Partner），以回路或者网状的顺序，进行更改数据的复制工作，以维持AD数据库的一致性。

AD站点是指：“存在于高速网络且彼此连接良好的一组计算机”。其功能在于：增进AD数据复制更新的频率，加速验证功能，加速AD服务性能。

全局编录 （GC - Global Catalog），默认为各林的第一台DC。其存放的信息为：所在域中所有对象的完整信息和其他域中的所有对象的部分信息。GC的功能为加速林内AD数据的查询，及提供用户身份验证时的必要信息。

对于加入域树状目录或林的域，系统会自动为该域与其上层域建立双向，可传递的信任关系。