第3章 Windows Server 2003 文件系统
windows服务器基本管理
NTFS文件夹权限
NTFS文件夹权限(6种)
• 读(READ)
查看文件夹中的文件和文件夹,查看文件夹属性、拥有人和权限。
• 写(WRITE)
在文件夹内创建新的文件和子文件夹、修改文件夹属性和查看文件夹 的拥有人和权限。
• 列出文件夹内容 (LIST FOLDER CONTENTS)
查看文件夹的文件和子文件夹的名称
了解Win2003安装的最小需求
• CPU:Intel Pentium133以上 • 内存:64MB • 硬盘:1GB
决定在何分区上安装Win2003
Create New Partition on Unpartitioned Hard Disk
Create New Partition on Partitioned Hard Disk
NTFS权限的Inheritance
• Inheritance 继承 – 父目录的许可,会被子目录继承 • 阻止继承 – 此目录会成为新的父目录
NTFS权限的继承性
默认情况下权限继承
读/写 可以访问文件1
文件夹A
文件1
阻止权限继承
读/写 不能访问文件1
文件夹A
文件1
阻止权限继承
Copy & Move
访问Windows 2003网络共享资源
• 通过“网上邻居” • 通过使用“运行”命令 • 通过“映射网络驱动器”
访问Windows 2003网络共享资源
通过“映射网络驱动器”
权限法则
共享权限
Data
读取 修改 完全控制
用户
共享权限也是累加的 拒绝权限优先 文件夹被拷贝后,共享不被拷贝
文件夹被移动后,共享丢失
Windows 2003 sever 数据备份与还原
数据备份与还原(下方涵盖实践案例)知识涵盖备份概念:数据的备份包括用户的一般资料、系统资料、Active Directory资料以及网络服务中的共享文件夹资料。
备份的目的地址可以是硬盘、可移动硬盘和可录制光盘。
正常备份:复制所有选中的文件,并将每个文件标记为已备份(即清除文件的“存档”属性)。
正常备份最费时间,但它却最快、最容易被还原。
因为所有备份的文件都是最新、最完整的文件,不必还原不同日期的多个备份任务。
第一次创建备份时,通常使用正常备份。
副本备份:复制所有选中的文件,但不将这些文件标记为已备份(即不清除文件的“存档”属性),它不影响其他备份操作,适合于临时备份数据。
增量备份:只备份上一次正常备份或增量备份以后新创建或被修变过的文件,并将文件标记为已备份(即清除文件的“存档”属性)。
差异备份:复制自上次正常或增量备份以来所创建或更改的文件,但不将这些文件标记为已备份(即不清除文件的“存档”属性),是否清除文档标记是增量备份与差异备份的不同。
每日备份:只备份选中的文件或文件夹在当天发生改变的部分,在备份过程中,不将这些文件标记为已备份(即不清除文件的“存档”属性)。
实践中推荐备份策略正常备份+差异备份:在星期一的时候进行一次正常备份,在星期二至星期五每天进行一次差异备份。
如果数据在星期五遭到破坏,那么只需使用星期一的正常备份和星期四的差异备份来进行还原即可。
这种策略在备份数据的时候会花较多的时间,在还原数据的时候花较少的时间。
正常备份+增量备份:在星期一的时候进行一次正常备份,在星期二至星期五每天进行一次增量备份。
如果数据在星期五遭到破坏,那么需要使用星期一的正常备份和星期二至星期四的增量备份来进行还原。
这种策略在备份数据的时候会花较少的时间,在还原数据的时候花较多的时间。
数据如何还原系统还原前的准备用户通常要采取一些安全措施,防止磁盘损坏或系统发生故障:设置系统备份、容错:通过备份工具将系统数据保存下来,或通过磁盘镜像设置数据冗余。
第3章本地用户和组
北京经济管理职业学院
ห้องสมุดไป่ตู้
第3章 本地用户和组 • Administrator(系统管理员)账户:
拥有最高的权限,管理着Windows Server 2003系统 和域,可以从事创建其他用户账户、创建组、实施安全策 略、管理打印机以及分配用户对资源的访问权限。系统管 理员的默认名字是Administrator,用户可以更改系统管理 员的名字,但不能删除该账户。同时该账户无法被禁止, 永远不会到期,不受登录时间和只能使用指定计算机登录 的限制。
北京经济管理职业学院
• Administrators组:在系统内有最高权限,例如拥有赋予权限, 添加系统组件,升级系统,配置系统参数(如注册表的修改),配置 安全信息等权限。内置的系统管理员账户是 Administrators组的 成员。如果这台计算机加入到域中,域管理员自动加人到该组。 • Backup Operators组:它是所有Windows Server 2003都有的组, 可以忽略文件系统权限进行备份和恢复,可以登录系统和关闭系统, 可以备份加密文件。 • Guests组:内置的Guest账户是该组的成员。
注意: 注意: 由于Administrator账户的特殊性,因此容易被黑客及不怀好意的用户利用, 成为攻击的首选对象。出于安全性的考虑,建议将该账户更名,以降低该账 户的安全风险 。
北京经济管理职业学院
第3章 本地用户和组
系统管理员可以在【计算机管理】控制台中完成创建 本地用户帐户的工作。(具体操作步骤参见教材)
北京经济管理职业学院
第3章 本地用户和组
3.1.3 管理本地用户账户
1.禁用用户账户 2.删除用户账户 3.更改用户账户名 4.重设账户密码 5.管理用户属性
Windows severe 2003本地帐户和组
实现Windows Server 2003 工作组
1/19
Version 1.0
内容回顾
Windows Server 2003网络 IP地址
静态IP地址 动态IP地址 IPCONFIG PING TRACERT WHOAMI
网络测试工具
MMC控制台 管理工具
2
本章目标
16
本地用户帐户的命名规则
必须唯一,且不区分大小写 不能够与现有的用户名和组名相 同 登录名最多20个字符 专用字符和字母、数字的组合 无效字符不能用在帐号中: / \ [ ] : , * ? < > ; | = + @ “
17
本地用户密码的命名规则
最长127个字符 存储在SAM数据库中或AD中 尽量使用大小写字母、数字和特殊符号 (!、@、#)组合,且大于7位字符长 的复杂密码。(默认是较弱的加密方法) 空密码问题 密码策略
可以登录机器和关闭系统 也可以对加密文件进行备份
51
3、Guests
该组是提供没有用户账户,但是需要访问本 地计算机内资源的用户使用,该组的成员无 法永久地改变其桌面的工作环境。该组最常 见的默认成员为用户账户 Guest。
如果这台计算机已加入域,则域的Domain Guests会自动地被加入到该计算机的 Guests组中。
56
7、Users
该Users本地组的组员,只拥有一些基本的权利 一般用户所在的组(默认创建的用户都属于该组) 该组成员可以运行程序、使用网络
不能修改操作系统的设置、 不能更改其他用户的数据、 不能关闭服务器级的计算机。 不能创建共享目录,不能创建打印机
第6章 Windows Server 2003操作系统安全
RFC2408:密钥管理功能规范
12
6.2 Windows Server 2003的安全机制
IP安全体系结构
(3)安全联系
IP的认证机制和机密性机制中都包含一个关键的概念,即安全联盟 (Security Association,SA),安全联系是一个发送者和接收者之间的单向的 连接关系,该连接为其上传输的数据提供了安全服务。如果需要维护一 个对等关系,为了保证双向的安全交换,就需要建立两个安全联系。
8
6.2 Windows Server 2003的安全机制
Kerberos Kerberos V4
Kerberos 的V4版本中使用DES算法,在协议中提供了认证服务,通过安全认证来确 保Windows Server 2003的安全,具体协议内容如书中表6-1所示。
Kerberos域和多重Kerberos
– – – – Kerberos; IPSec; PKI; NT局域网管理器(NT LAN Manager,NTLM)。这是一个遗留协 议,Microsoft在Windows Server 2003中保留它是为了支持过去 的Windows客户端和服务器。
6
6.2 Windows Server 2003的安全机制
9
6.2 Windows Server 2003的安全机制
IPSec
IP安全概述
在现有的网络攻击方式中,最严重的攻击类型包括IP欺骗和各种形式 的报文窃听攻击。 (1)IPSec的应用 IPSec提供了跨保障局域网、跨私有/公共广域网以及跨Internet的安全通 信的能力,有很广泛的应用范围,如通过Internet 进行的企业部门之间 的安全连接、通过Internet进行安全的远程访问、合作伙伴之间外网和 内网的连接以及安全的电子商务等。 IPSec之所以能够应用于许多不同的应用领域,主要是因为IPSec可以 加密和/或认证IP层的所有数据流。因此,所有的分布式应用,包括远 程登录、客户/服务器系统、电子邮件、文件传输、Web访问等,都可 以通过应用IPSec机制来增强安全性。
MCSE
安装和配置管理工具(纲要) 安装和配置管理工具(纲要)
1.3 安装和ห้องสมุดไป่ตู้置管理工具
管理工具概述 安装管理工具 Microsoft 管理控制台(MMC) 管理控制台( ) 创建自定义的 MMC 课堂练习 配置管理工具 解决安装和配置管理工具时出现的问题
管理工具概述
1.3.1 管理工具概述
经常使用的管理工具 Active Directory 用户和计算机 Active Directory 站点和服务 Active Directory 域和信任关系 计算机管理 DNS 远程桌面 安装和执行远程管理( 安装和执行远程管理(后)
安装管理工具
1.3.2 安装管理工具
安装 Windows Server 2003 管理工具包
…\i386\Adminpak.msi
Microsoft 管理控制台(MMC) 管理控制台( )
1.3.3 Microsoft 管理控制台(MMC) 管理控制台( )
Microsoft 管理控制台使用的工具叫管理单元, 管理控制台使用的工具叫管理单元, 用来执行管理任务
管理单元
创建自定义的 MMC
教师演示创建自定义的 MMC
1.3.4 创建自定义的 MMC
课堂练习 配置管理工具
1.3.5 课堂练习 配置管理工具
目的 创建自定义的 MMC,包含以下组件
• 计算机管理(本地) • 计算机管理 (Glasgow) • Active Directory 用户和计算机
保存 MMC 为 C:\MOC\CustomMMC.msc
1.1.1 计算机角色
DNS 服务器 包含 DNS 服务,可以配置作为一个 Windows Server 2003 DNS 服务器,完成域名解析的任务 应用程序服务器 包含全新设计的 IIS 6.0,提出了应用程序池等全 新概念,可实现分布式事务管理、通过 Message Queuing 实现的异步程序通信、分布式事务管理、 对 XML Web Services 更好的支持、可防止出现严重 错误的应用程序状况 终端服务器 通过 Windows Server 2003 实现终端服务,以便实现 远程管理和远程工作,提高工作效率且节省成本
Win2003Server域控制器安装设置及问题处理
Win2003配置域服务器服务器升级成域控制器后,还需要为企业的计算机使用者建立相应的域用户帐号,共享目录,权限等等。
笔者在这里以建立一个域控制帐号为“andy.wang”,并设置隐藏共享、对于公共目录根据用户组统一设置好网络访问权限安全。
对于网络用户私有文件夹,把它设为隐藏共享,避免服务器出现太多的共享文件夹。
在安全方面:把该文件设为该用户完全控制权限。
域用户建立步骤:通过单击“开始”按钮,指向“所有程序”,指向“管理工具”,然后单击“Active Directory用户和计算机”。
在出现的窗口就可以为每个使用者建立一个域用户帐号。
详细的操作步骤如下:1、右键单击窗口左栏“Users”,指向“新建”,然后单击“用户”。
2、键入“andy”作为“名”;键入“wang”作为“姓”。
(注意,在“姓名”框中将自动显示全名。
)3、键入“andy.wang”作为“用户登录名”。
窗口应与图7相似。
然后单击“下一步”。
4、在“密码”和“确认密码”中,键入“pass#word1”,然后单击“下一步”继续。
注意:默认情况下,Windows Server2003要求所有新创建的用户使用复杂密码。
可通过组策略禁用密码复杂性要求。
5、单击“完成”。
此时,andy.wang的域帐号用户就建立完成了。
设置共享目录与安全:在系统的数据盘建立共享目录。
在这里,笔者在d:User_Data目录下为所有的域用户建立相应的共享目录。
如下图所示,建立d:User_Dataandy.wang共享目录,并右键单击该文件夹,指向“共享与安全”单击打开文件共享设置。
第一步:在文件属性对话窗口选择“共享该文件夹”单选框,在下面共享名文本框输入对应域用户帐号+“$”,将共享名设为“andy.wang$”的隐藏共享。
第二步:点击“权限”按钮,进入共享目录权限设置对话框。
删除原有的everyone组,添加该域用户帐号权限,并勾选“完全控制”、“更改”、“读取”三个选项卡,设置完成后如下图所示:点击“确定”按钮回到文件属性窗口,再次点击“确定”按钮完成文件共享与网络访问权限设置。
第三章 本地用户和组的管理
第三章本地用户和组的管理〖教学目标〗理解什么是用户,什么是组;掌握创建账户和组的方法;掌握常用的本地账户和组的管理操作;熟悉MMC的操作;树立使用账户和组保护计算机和网络系统安全的意识;了解用户和组的管理中一些基本的原则和技巧。
〖教学重点〗账户和组的概念;Administrator和Administrators;账户和组的常用管理操作。
〖教学难点〗组的概念。
〖教学内容〗本章主要介绍用户和组的基本概念;账户和组的类型;本地账户的创建和常用管理操作;用户组的创建和常用管理操作。
3.1 概述怎么保护计算机系统和网络系统的安全?怎么限制用户对系统的访问?怎么保护你计算机中的信息不被人非法窃取?我们要为自己的系统加上一个海关检查站,而用户的账户就是进入海关的通行证。
使用用户账户和组,是保护系统安全和网络资源的基本方法。
计算机和网络系统通过账户把使用者区别和隔离开来,让用户可以定制自己的使用环境;防止用户破坏其他用户的数据等。
任何人访问你管理的系统,都应该由你给他们分配唯一的账户,这可以让你知道谁做了什么事,并且防止破坏其他用户的设置和非法获得其他人的文件等。
一个账户包括账户名、密码、权限等信息,这些信息存储在计算机中,是Windows Server 2003网络上的个人唯一标识;系统通过账户来确认用户的身份,并赋予用户对资源的访问权限。
SID:每一个账号在创建的时候都有一个Security ID(SID,安全标识符),当用户访问系统的资源时,系统根据其账户的SID,检查用户是否具有和具有哪些权利和权限,然后再让用户在其权利和权限范围内进行访问。
Windows不是根据用户名来识别用户的,而是根据这个SID来识别用户的,如果SID不一样,就算用户名等其它设置一模一样,Windows也会认为是不一样的两个账号。
这就像我们的户籍管理,只认你的身份证号是否正确,而不管你的名字是否相同是一个道理的。
而且SID是Windows在创建该账号的时候随机给的,所以说当删除了一个账号后,即使再次建立一个一模一样的账号,其SID和原来的那个是不一样,那么他的NTFS权限就必须重新设置。
第3章 文字处理软件 Word 2003
第3章
文字处理软件 Word 2003
3.1.3 中文word 2003 的启动与退出 1. 启动 Word 2003有多种启动方法,实质上都是运行winword.exe。下面介绍3 种实用的启动方法: (1)选择【开始】|【程序】| Microsoft Office| microsoft office word 2003命令。如图3-1所示。
第3章
文字处理软件 Word 2003
3.1 中文word 2003基础知识
3.1.1 文字处理办公软件的发展 1979年,microsoft软件公司研制的word star(简称WS),是一个 较早产生并且十分普及的文字处理软件。1983年1月1日,微软发布WORD FOR DOA 1.0.word技术在当时非常领先,从底层开始就是为图形界面设 计,是第一套可以在计算机屏幕上显示粗体、斜体以及特殊符号的文字 处理软件,并且还支持鼠标和激光打印机。1989年香港金山电脑公司推 出的WPS(word processing system)是完全针对汉字处理重新开发设计 的,在当时我国的软件市场上独占鳌头。
第3章
文字处理软件 Word 2003
2001年6月,office XP 的中文版在中国市场上推出,这个版本新增了 sharepoint功能,能让人们建立自己的私人网站来分享信息。2003年11月 13日,microsoft office 2003 正式发布,名为microsoft office system 。严格的说,office 2003 只是office system的核心部分,除此 之外还包括2003版本的visio,frontpage,publisher和project;两个全 新的程序microsoft office NoeNot和microsoft office infopat:以及四 个服务器产品,如office live communications server 2003和exchange server 2003等。其中,word 2003 是microsoft office 2003中文版(简 称中文office 2003)软件系统的一部分,是专门为中文文档编辑、排版及 打印处理而设计的软件,使用此软件可以编辑出形式丰富、图文并茂、生 动活泼的中文文档。
局域网组网技术 第3章
第 3章
局域网操作系统与网络协议源自NetBEUI协议 3.5.2 NetBEUI协议
NetBEUI协议(扩展用户接口)的全称是NetBIOS Extended User Interface,意思是网络基本输入/输出系统扩展用户接口。最初由IBM开发, 后来微软公司将NetBEUI协议进一步进行了扩充和完善,自1985开始将 NetBEUI协议作为其“客户机/服务器”模式的网络系统的基本通信协议, 应用在它的一系列产品,如DOS、LAN Manager、Windows 3.x和 Windows for Workgroup中。在Windows 95/98和Windows NT中, NetBEUI被作为缺省协议安装。
第 3章
局域网操作系统与网络协议
2008操作系统 3.2.5 Windows Server 2008操作系统
1.更强的控制能力 2.增强的保护 3.自修复NTFS文件系统 4.快速关机服务 5.SMB2网络文件系统 6.随机地址空间分布(ASLR) 7.Windows硬件错误架构(WHEA) 8.ServerCore 9.Win2008 IE安全 10.UAC
微软最早推出的专业网络操作系统是 Windows NT 3.51,后来升级为 Windows NT 3.0,取得了非常好的市场反应,并成为当时网络操作系统老大 Novel Netware的强有力竞争对手。
2000操作系统 3.2.2 Windows 2000操作系统
1.Windows 2000 Professional(Windows 2000专业版) 2.Windows 2000 Server(Windows 2000服务器版) 3.Windows 2000 Advanced Server(Windows 2000高级服务器版) 4.Windows 2000 Datacenter Server(Windows 2000数据中心服务器版)