Windows系统管理和网络服务笔记生涯 源于BENET2.0课程(S1)

 

Windows系统管理 (BENET2.0 S1)

第一章:安装和配置window server 2003

1.网络管理方式:

对等网模式:网络中的各个主机地位完全相同。

客户机/服务器模式:地位不同。

服务器的操作系统包括:windowNT,windows server2000,2003,2008等。

客户端的操作系统包括:window98,windowME,windows2000,xp ,vista,win7等。

2.Windows server 2003 4个版本:

  • WEB版:制作网站
  • 标准版:适应于小型企业和部门
  • 企业版:适应于大中型企业
  • 海量版:针对最高级别的可伸缩性,可用性和可靠性的企业

3.安装windows server 2003

  • 新建虚拟机(买一台电脑)
  • 放入光盘,并从光盘启动
  • 分区格式化,复制文件
  • 重启,从硬盘启动

4.安装硬件要求

  • 最大RAM:320GB
  • 多处理器支持:最多8个处理器
  • 磁盘空间:2GB到3GB
  • 操作系统的分区不应小于2GB
  • windows2000高级服务器版可以升级到windows server2003企业版,windows98不能直接升级到windows server 2003企业版

5.windows server2003硬件管理

  • 系统属性:软件信息和硬件信息,位置:右击我的电脑选择属性
  • 设备管理器:更新硬件设备的驱动程序等,位置:右击我的电脑选择属性在对话框中打开硬件单击设备管理器
  • 添加/卸载硬件:位置:开始--控制面板--添加硬件
  • 系统信息:服务器的详细信息,位置:开始--附近--系统工具--系统信息或者直接开始运行msinfo32

6.windows server 2003 软件管理

一.windows组件的安装:

  • 管理你的服务器:开始--管理工具--管理您的服务器
  • windows组件向导:开始--控制面板--添加或删除程序--添加或删除windows组件(可直接运行appwiz.cpl)
  • 命令提示符运行dcpromo

二.服务的管理:位置:开始--管理工具--服务

7.部署多台windows客户机

  • 安装一台windowsXP的操作系统作为模板
  • 做好备份,通过Ghost软件备份
  • 上传到windows server 2003系统里
  • 通过PXE软件传送操作系统

8.网卡的类型(虚拟机)

  • 桥接:实现与真机的通信
  • nat:可以通过交换机与另外的PC通信
  • host-only:在真机上建几台虚拟机,通过host-only实现内部几台虚拟机通信,把真机当做交换机。

9.部署多台windows客户机基本思路

对于操作系统的安装,采用奇东锐腾PXEGhost软件网络克隆操作系统,首先安装一台windows XP系统作为模板,并把所需用到的应用程序软件安装好,在通过Ghost软件做好系统备份并保存到另一块硬盘上。

如图所示:

 

 

 

 

 

 

 

接着将备份好系统的硬盘接在安装好windows server2003的系统上,设置客户端从网卡启动或者按shift+F10设置相应的网卡

 

如图所示:

 

 再在windows server2003系统中通过PXE软件传送操作系统,

 

 

 

 

 

如图所示:

 

 

 

 

然后就会看到获取到的客户端,在选择接受客户端即可。

第二章:配置Windows server 2003网络

 

1.网络配置:计算机接入网络,必须具备的条件:网卡,协议,服务。

            测试工具命令:ipconfig , ping , tracert ,route print

 

2.主机名(netbios)

  总共16字节,前15个字节表示计算机名称。第16个字节用于表示服务。

 

3.IP地址:查询某个IP的netbios名命令为:nbtstat -a IP地址

  • 静态:网络管理员手工配置。
  • 动态:通过DHCP服务器指派IP地址。

4.MMC(微软管理控制台)作用:集中管理windows组件和服务

  • 作者模式:拥有MMC控制台的所有功能
  • 用户模式-完全访问:用户无法添加或删除管理单元
  • 用户模式-受限访问,多窗口:可以创建新窗口,但是不能关闭现有
  • 用户模式-受限访问,单窗口:用户不能创建新窗口

第三章:工作组环境下的应用

 

1.工作组的特点

  • 每一台计算机都独立维护自己的资源
  • 每一台计算机都在本地存储用户的账户
  • 一个账户只能登录到一台计算机
  • 工作组的计算机的地位都是平等的
  • 工作组的网络规模一般少于10台计算机

2.本地用户账户

本地用户账户都存储在本地的SAM数据库里。

SAM文件路径:c:\windows\system32\config\sam(运行时不能删除)

                             c:\windows\repair\sam(作为模板)

3.本地账户有一下特点

  • 本地账户存储在本地计算机上的SAM中
  • 本地账户只能登录到本地计算机
  • 本地账户主要用于工作组环境中

用户名最长20个字符,密码的最长长度可以达到127位,默认情况下设置的密码会在42天后过期。

4.重设密码与更改密码的区别

  • 重设密码:不须要原密码
  • 更改密码:须要原密码

5.组的特点

  • 组是账户的集合
  • 方便管理
  • 当一个用户加入到一个组以后,改用户会继承改组的权限
  • 一个用户账户可以同时加入到多个组

6.ALP规则

  • 将用户账户加入本地组
  • 为本地组分配权限

7.破账户密码

  • 使用PE通用工具
  • 使用dos命令  思路:把windows\system32\config\sam   del(删除)
  •  并把\windows\repair\sam  copy(复制上去)

注销命令:net use /del * /y

命令行方式创建账户:net use username(用户名)  密码 /add

显示当前用户账户SID的方法:whoami /user

 

 

 

第四章:创建windows域

1.活动目录的特点:

  • 集中管理
  • 便捷的网络
  • 可扩展性

2.一台计算机要安装成DC,必须具备以下条件

有TCP/IP设置(IP地址,子网掩码等)

有相应的DNS服务器支持

3.安装活动目录(AD)

  • 开始---程序---管理工具---管理您的服务器---“添加/删除角色”--配置您的服务器向导
  • 开始--运行dcpromo

4.DNS在域中的作用

两个作用:域名的命名采用DNS标准,定位DC

注:DNS服务器查询匹配的SRV资源记录,要补全SRV资源记录,命令执行

net stop netlogon  和 net start  netlogon

5.域用户账户的命名规则

注:域用户帐户在组织单位OU中必须是唯一的,最长20字符(不区分大小写)

6.配置域用户账户属性

  • 登录时间:用来限制用户登录到域的时间
  • 登录到:定义了账户可以登录的计算机范围列表
  • 账户过期:规定了用户账户是否存在使用过期的限制

7.用户配置文件类型

一.本地用户配置文件:只是针对所在的计算机

二.漫游用户配置文件基本步骤(多用户漫游文件:\\ IP地址\文件名\%username%)

  • 新建文件夹,共享权限为everyone安全权限为everyone完全控制
  • 配置文件,找到域用户---配置文件格式:\\ serverIP地址\共享名\域用户
  • 在客户机上用域用户登,并查看是否为漫游,我的电脑--属性--高级--用户配置文件--设置

三.强制漫游

  • 与以上3步一样,并用域用户登录后在注销(注:注销时是上传配置文件)
  • 取得所有权,打开共享,找到域用户--属性--安全--高级--所有者--选择administrator--选择替换子容器及对象……打上“勾”确定
  • 能够看到配置文件
  • 分配权限:点击域用户--属性--安全--添加此域用户并完全控制,选择高级--点击域用户--选择在此显示可以……打上“勾”确定,点击所有者--添加域用户--输入此域名--选择替换--确定
  • 将DAT改为man后缀,选择此域用户,找到带DAT的后缀并改为后缀为man
  • 刷新策略:gpupdate /force

8.组的类型:通讯组和安全组

安全组:授权                            通讯组:电子邮件的通讯

组的作用域:本地域,全局和通用

范围:

本地域:本域

全局组:整个林以及信任域

通用组:整个林和信任域

全局组和通用组的差别:在创建和查询性能方面有差别

9.OU以及OU的委派的基本思路

  • 在域名中新建组织单元
  • 将用户加入到组织单元
  • 选择组织委派输入须要委派的域用户并授权
  • 在客户机上,首先用本地管理员登,将域用户加入到本地管理员组
  • 用域用户登录,放入安装光盘找到i386\adminpak.msi开始安装好
  • 找到开始--程序--管理工具--AD用户和计算机

10.主文件夹实验:作用:便于管理集中管理,备份,如公司的重要文件都可放在主文件夹里。

新建文件共享(域用户完全控制)--选择域用户--配置文件输入\\serverIP\sharename\username连接到--输入配置文件\\IP地址\域用户

11.关闭防火墙(在域控制器上)

点击域名--属性--组策略--编辑--管理模板--网络--网络连接--windows防火墙--域配置文件--保护所有网络连接--已禁用

第五章:NTFS权限

1.NTFS支持的版本:windows2000,windowsXP,windows server 2003,

windowsNT需要安装Micorsoft提供的补丁才能支持。

2.NTFS文件系统的特点:

  • 提供安全性
  • 支持大容量
  • 文件加密,压缩
  • 磁盘配额

3.获得NTFS文件系统

  • 直接格式化(数据丢失)
  • 命令:convert  盘符:/fs:ntfs 或 convert x:/fs:ntfs (fat32----->ntfs)数据不丢失
  • 使用第三方软件转换(PQ软件)(fat32<------>ntfs)数据不丢失

4.访问控制列表和访问控制项

  • ACL:访问控制列表中列出的是和当前文件或文件夹权限有关的用户和组
  • ACE:访问控制项中列出的是和改用户和组相关的权限

5.NTFS的权限

  • 完全控制
  • 修改
  • 读取和运行
  • 列出文件夹的目录
  • 读取
  • 写入
  • 特别的权限:读取权限,更改权限,取得所有权

6.取得文件和文件夹的所有权

  • 用管理员登录,找到该文件夹
  • 右击文件夹---属性---安全---高级---所有者
  • 选择administrator将“替换子容器及对象的所有者选中并打上勾”--确定,此时,添加和删除可以使用了

7.NTFS权限的应用规则

  • 如果用户对文件具有读取权限,所属的组具有写入的权限,那么,该用户就同时具有读取和写入的权限
  • 权限的拒绝可以覆盖所有其他权限

8.权限的继承

新建的文件夹或文件会自动继承上一级目录或磁盘分区的ntfs权限

9.同一个分区内:移动保留原来的权限,复制继承目的地文件夹的权限

   不同分区内:移动和复制都会继承目的地文件夹的权限

10.AGDLP规则

  • 将用户账户加入全局组
  • 将全局组加入本地域组
  • 给本地域组赋权限

AGDLP规则提供较强的逻辑性和灵活性,同时又降低了分配权限的复杂性。

 

第六章:安全策略

1.本地安全策略(范围:域成员机,非域成员机,工作组成员)

  • 账户策略:密码策略,账户锁定策略
  • 本地策略:审核策略,用户权限分配,安全选项

2.域安全策略:可以影响整个域中的计算机的安全设置(范围:整个域)

3.域控制器(范围:域控)

(3种安全策略的关系):

  • 域安全策略和本地安全策略主要不同之处是域安全策略中包含kerberos身份认证
  • 本地安全策略与域安全起冲突时,域安全起作用
  • 域控制与域安全起冲突时,域控制器起作用

4.密码策略包括:

  • 密码必须符合复杂性要求
  • 密码长度最小值
  • 密码最长使用期限
  • 密码最短使用期限
  • 强制密码历史
  • 用可以还原的加密来存储密码

5.账户锁定策略包括:

  • 账户锁定阈值
  • 账户锁定时间
  • 复位账户锁定计数器

6.用户权限分配常用的主要包括:

  • 从网络访问此计算机
  • 拒绝从网络访问这台计算机
  • 允许在本地登录
  • 拒绝本地登录
  • 关闭系统

7.安全选项常用:

  • 关机:允许系统在未登录前关机
  • 账户:使用空白密码的本地账户只允许进行控制台登录
  • 交互式登录:用户试图登录时消息文字
  • 交互式登录:用户试图登录时消息标题

8.审核文件及文件夹

  • 1步:在域安全策略上启用审核
  • 2步:审核对象如文件或系统事件
  • 3步:审核特定用户,组
  • 4步:事件查看器,注此文件在哪创建就在哪查看

事件查看器:应用程序,安全性日志,系统日志。

 

第七章:灾难恢复

1.Windows备份和还原

备份工具(ntbackup工具)

ntbackup两种工作模式:向导模式,高级模式

注:有存档为未备份状态

备份的类型:

  • 常规:备份前:不检查标记,备份后:清除标记
  • 增量:备份前:检查标记,    备份后:清除标记
  • 差异:备份前:检查标记,    备份后:不清除标记
  • 副本:备份前:不检查标记,备份后:不清除标记
  • 每日:备份前:不检查标记,备份后:不清除标记

按周为备份周期:采用常规+增量备份策略,或者采用常规+差异备份策略

(星期日采用常规,周一到周六采用差异)

2.还原

当恢复多个备份时,建议先恢复常规备份,后恢复增量备份或差异备份。

3.备份和还原系统状态

一.独立计算机包含的系统状态数据

  • 注册表
  • com+类注册数据库
  • 启动文件

二.域控制器包含的系统状态数据

  • 注册表
  • com+类注册数据库
  • 启动文件
  • 活动目录
  • 系统卷

4.任务计划

一个任务计划包含以下要素

  • 运行的程序:包含可运行的程序或者脚本
  • 运行时间:可以安排在每天,每星期,每月或特定时刻运行
  • 用户名及密码:必须是有权限的用户才能执行该任务

步骤:开始---程序---附件---系统工具---任务计划

5.windows安全模式

在启动计算机自检完成后进入图形界面之前,按F8键

  • 安全模式:只使用基本文件和驱动程序
  • 带网络连接的安全模式
  • 带命令提示的安全模式
  • 启用启动日志
  • 启用VGA模式:解决小的显示器会出现黑屏
  • 最后一次正确的配置:解决蓝屏
  • 目录服务还原模式:在DC上还原时,必须启用它
  • 调试模式

6.Msconfig程序

运行msconfig----可以缩短启动时的速度--服务--第三方软件(关闭系统启动时不加载的服务)

第8章:组策略

1.组策略是一组策略的集合,具体设置数据保存在GPO中

默认GPO包括:默认域策略,默认域控制器策略

2.阻止更改墙纸

  • 选择默认域策略---编辑---用户配置---管理模板---控制面板---显示---阻止更改墙纸启用
  • 选择墙纸,与以上一样找到管理模板---桌面--active task---UNC路径
  • 刷新组策略 gpupdate /force

3.计算机配置与用户配置

计算机:不管哪个用户在此计算机登录,策略都起作用。

用户:不管这个用户在哪台计算机登录,策略都起作用。

4.应用规则

  • 继承,阻止:下层容器会继承上层容器的GPO
  • 累加:多个组策略不发生冲突时,最终策略为总和
  • 强制:上级容器对下级强制生效
  • 筛选:如公司的经理和老板有更改墙纸的权限,只须找到组策略属性---安全---添加所对应的域用户---权限为拒绝读取和应用组策略

5.软件的分发基本步骤

  • 新建文件夹并共享,将后缀名为.msi的软件放在该文件夹中
  • 找到组策略---编辑---用户配置---软件设置--软件安装--属性--浏览找到软件的路径--确定--新建程序包--即可找到该软件--确定,右击该软件--属性--部署--在注销中运行此程序打上勾确定
  • 添加受限组,找到域安全策略--安全设置--受限制的组--添加administrators,添加用户为domain users 确定,刷新组策略。

windows系统挂掉只须干掉ntldr文件,一般为隐藏文件

打开工具--文件夹选项--查看--隐藏受保护的操作系统文件把勾去掉---确定

工作组如要访问打印机,须要密码,若不须要密码,只须在服务器上开启guest.

第九章:文件服务器

1.新建共享

在DC上:administrators组,server operators组的成员有创建共享文件夹得权限。

在成员机上或非DC上:administrators组,powers users组

2.共享权限,NTFS权限

注:在本地访问只考虑NTFS权限,从网络访问既要考虑共享权限,也要考虑NTFS权限,当通过从网络访问时,有效权限是两者最严格的权限。

3.访问共享文件夹

  • 网上邻居
  • UNC路径
  • 映射网络驱动器:一.新建一个共享文件夹,右击该共享文件夹“映射网络驱动器”选择盘符即可完成。二.右击我的电脑或网上邻居选择网络驱动器,三.命令提示符输入 net use x: \\ IP地址\共享名
  • 注:写此脚本方法:
  • 新建一个文本文档,将dos上输的这条命令复制下来,再到文本文档上粘贴,并复制多条,依次将盘符和共享名改掉。
  • 将文本文档后缀名改为“.bat”,并运行一下即可,若须成员机上也有此映射网络驱动器,可以通过组策略发布出去,选择对应的组策略--编辑--用户配置--脚本--注销--添加--将.bat的文件复制下来--粘贴--确定,最后刷新组策略。

4.发布共享(AD)

  • 打开AD创建一个OU名为“共享文件夹”,右击该共享文件夹--新建--共享文件夹--输入需发布的共享文件夹的名称和网络路径--确定
  • 查看通过网上邻居中的搜索AD来查找

5.创建隐藏的共享文件夹

注:只须在共享名的后面加上一个“$”符号,

访问隐藏的共享文件夹:利用UNC如\\ fileserver \共享名$,映射网络驱动器。

6.管理共享文件夹:右击我的电脑---管理---共享文件夹,或运行compmgmt.msc

7.DFS(分布式文件系统)

实现单点访问共享文件夹

创建DFS根目录步骤:

  • 在服务器上建一个共享文件夹为software
  • 开始---程序--分布式文件系统
  • 单击操作--新建根目录---域根目录---选择DC--输入software--确定
  • DFS链接,找到DFS根目录,右击选择新建链接--输入相应的链接名--目标路径--确定

第10章:打印服务器

1.打印机与打印设备的区别

  • 打印机是一种软件,而打印机设备是硬件设备
  • 打印机告诉打印设备怎么去工作

2.打印机安装

  • 本地打印机(须依赖一台PC)打开控制面板中的打印机和传真---添加打印机--下一步--选择“连接到这台计算机的本地打印机”--选择端口--选择打印机型号--输入打印机的名称--完成(注:若具有网卡接口的打印机,只须选择“创建新端口--然后选择standard TCP/IP Port ”)
  • 网络打印机 不同之处在于选择“网络打印机,或连接到另一台计算机的打印机---在目录中查找一个打印机”

3.打印机池的原理与作用

  • 一台逻辑打印机对多台物理打印机
  • 提高打印速度

4.重定向打印机端口

应用于:当前使用的打印设备损坏,可以将打印机的端口重新定向到另外一台打印机上。

5.配置打印机优先级

作用于:多台逻辑打印机指向同一种物理端口,设置步骤:找到所对应的打印机--属性--高级--优先级(注最低级为1,最高级为99)

6.打印机的权限

  • 打印权限:分配给everyone组
  • 管理文档权限:分配给creator owner组
  • 管理打印机权限:非DC,administrator组和power users组,DC上:administrator组,print operators组和server operators组

7.Web方式管理打印机步骤:

  • 打开控制面板---添加或删除程序---添加或删除windows组件--应用程序服务器--详细信息--Internet(IIS)--详细信息--Internet打印---确定
  • 打开IE浏览器输入http://打印服务器名或IP地址/printers

第11章 磁盘管理

1.基本磁盘(使用分区来表示)

磁盘分区可分为主分区,扩展分区,逻辑分区。

注:主分区一般放操作系统,扩展分区不能直接使用须在分为逻辑分区才能使用。

2.动态磁盘 (使用卷来表示)

磁盘卷有5种类型:简单卷,跨区卷,带区卷,镜像卷和RAID-5卷。

  • 简单卷(只是在一块硬盘上操作)没有容错功能可以由磁盘上的单个区域构成,也可以由同一磁盘上连续的或不连续的多个区域组成。
  • 跨区卷(2块以上硬盘)可以第一块硬盘扩展到第二块硬盘。
  • 带区卷又称raid0(2块以上硬盘,空间大小必须相同)提高文件的访问效率。
  • 镜像卷又称raid1(2块硬盘)空间利用率复制数据的容错卷,速度最慢,有容错功能。
  • RAID-5卷 廉价冗余磁盘阵列(3块硬盘)有容错功能,空间利用率为n-1/n,第1块为校验不可用,只有两块可用,注:一般在实际中采用硬件实现磁盘阵列。RAID-1通常用于安装操作系统,RAID-5用于存储数据。

3.挂载磁盘

  • 在NTFS文件系统的分区中新建一个空文件夹
  • 找到该磁盘右击--更改驱动器和路径--装入以空白NTFS文件夹---浏览找到此文件夹---确定

4.远程管理磁盘

用户必须是远程计算机上的Backup operators组或administrators.

步骤:打开“计算机管理”--操作--连接到另一台计算机。(注:此台计算机须关闭防火墙,找到控制面板--安全中心--关闭防火墙)

5.磁盘配额:(注:administrator组成员,不受限制)

一.启用磁盘配额,在这个文件夹所对应的分区上,如右击卷E---属性--配额--启用配额管理---设置空间大小和警告级---把所有选项打上钩(此设置将影响整个范围)

二.若须一个人磁盘空间大一些,只须选择配额项---点击新建用户---进行相关的设置即可。

6.事件查看器

管理员可以使用“事件查看器”跟踪用户使用磁盘空间的情况,开始--程序--管理工具--事件查看器--系统--属性--筛选器---事件来源选择ntfs,类别选择“磁盘”---确定。

各RAID级别最少需要的硬盘数量

Raid0=1    Raid1=2    Raid5=3    Raid10=4      Raid50=6

第12章:配置Internet访问

1.配置ICS(10台以下)须要有两个网卡

如图:

2.ccproxy(第三方软件)代理服务器,通过缓存提高访问速度

如图:

3.二级代理服务器

打开ccproxy---设置--高级--二级代理---代理地址为192.168.1.100,

如图:

 

 

 

 

本文出自 “李惟忠的技术博客” 博客,转载请与作者联系!

你可能感兴趣的:(系统工程师,落叶,系统管理员,fallenleaves,windows系统管理)