電大計算機培訓中心_第1頁
電大計算機培訓中心_第2頁
電大計算機培訓中心_第3頁
電大計算機培訓中心_第4頁
電大計算機培訓中心_第5頁
已閱讀5頁,還剩155頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

1、Windows 2000 電大計算機培訓中心Windows 2000產(chǎn)品Windows 2000 Advanced ServerServersWorkstationWindows 2000ServerWindows 2000 Datacenter ServerWindows 2000ProfessionalWindows 2000 的各種版本W(wǎng)2000版本與NT4對應SMPMemoryPerfessionalWorkstation2 CPU4GBServerServer4 CPU4GBAdvanced ServerEnterprise Server8 CPU8GBDatacenter Serv

2、er32 CPU64 GB 安裝windows 2000 安裝盤上的目錄BootdiskCientsI386PrintersSetuptxtSupportvalueadd安裝方法CDROMDOS 或者WINDOWS 文件服務器i386bootdiskMakeboot a:Professional Upgrade PathsWindows 95 and Windows 98Windows 2000 ProfessionalWindows NTWindows 2000 ProfessionalWindows for WorkgroupsWindows NTWindows 2000 Professi

3、onal98的兼容性測試98與2000注冊表結構等有不同可進行升級的兼容性測試Winnt32 /checkupgradeonly生成兼容性的測試報告Server Upgrade PathsDomain ControllersDomain ControllerWindows 2000PDC or BDCWindows NT 3.5.1 or 4.0Windows NT3.1 or 3.5Windows NT 3.1 or 3.5Windows NT 3.5.1 or 4.0Windows 2000 MemberServersMember ServerWindows NT 3.5.1 or 4.0

4、Member ServerWindows 2000Domain ControllerWindows 2000Optional選擇Licensing ModePer Seat LicensingEach Client Requires a CALCALCALPer Server LicensingEach Connection Requires a CALCALCAL備份關鍵數(shù)據(jù)及設置改正Event Viewer中的所有錯誤備份所有的Driver上的數(shù)據(jù)備份注冊表RegistryRegback.exe in NT4 Resource Kit重新制作緊急修復盤ERD停掉方病毒程序,及第三方應用軟件

5、斷掉與UPS之間的串口線其它的安裝方式無人值守安裝Disk Duplication 本地用戶和組用戶帳戶User Accounts組Groups用戶權力User Rights許可PermissionsW2K 基本管理用戶帳戶Account人在社會中有名字,在網(wǎng)絡中有用戶帳號用戶帳戶是用戶在網(wǎng)絡上的標示,每個用戶都有自己的用戶帳戶,并被賦予使用相應資源的權限及許可用戶在登錄Logon時輸入用戶名及密碼用戶帳號的管理由管理員完成的帳號的管理,對資源的訪問權限的管理管理員也是一計算機的用戶,用有管理權限的用戶帳戶訪問計算機用戶帳戶的類型本地用戶帳戶Local User Accounts訪問本地計算機

6、存在于本地帳戶數(shù)據(jù)庫中SAM域用戶帳戶Domain User Accounts用于訪問網(wǎng)絡資源存在于AD中本地用戶帳戶存在于本地的帳戶數(shù)據(jù)庫中SAMSecurity Account Manager在本地進行身份驗證只能用于訪問本地的資源存在于Stand-Alone Server和Professional上域控制器上沒有用戶名 User Name最長20字符本地帳戶User Name不能重域用戶Full Name不能重特殊字符“ / : ; | = , + * ? 不可用常用的特殊字符 _使特殊帳戶,位于顯示的最上面Naming Convention密碼 Password保護用戶帳戶不被非法使用

7、最長128位User Must Change Password at Next LogonUser Cannot Change PasswordPassword Never Expire保護密碼最短密碼長度英文單詞,純數(shù)字等不好管理本地帳戶的工具Local Users and Groups Utility創(chuàng)建刪除用戶帳戶修改用戶帳戶的屬性如密碼、組、描述等重置用戶的Password禁用帳戶 DisableMy Computer,ManageAdministrative Tools,Computer ManagementMMC,Add Snap-in其它選項Dial-inLogon Script

8、Home Folder本地帳戶沒有以下選項登錄時間 Logon Hours登錄機器帳戶過期 Account ExpireBuilt-in User Accounts系統(tǒng)內(nèi)建的本地帳戶Administrator系統(tǒng)內(nèi)建的管理員帳戶對本地計算機進行管理工作可以賦予自己任何權限妥善保護,設置密碼Built-in User AccountsGuest某些資源,需要讓所有人都能訪問當客戶身份不能被驗證authentication時,自動被賦予此帳戶的訪問權限缺省被Disable工作組Workgroup方式時很有效Built-in Account可以改名,不能被刪除用戶的權力和許可Right為用戶設置的存

9、儲在系統(tǒng)中在用戶登錄系統(tǒng)時生效Permission許可是對資源設置存儲在資源的訪問控制列表中ACL不需要用戶重新登錄,就會生效Lab創(chuàng)建本地帳戶登錄后試著創(chuàng)建一新帳戶用/run as創(chuàng)建新帳戶賦予權限Change System TimeShut down the System用戶對資源有訪問權限不是計算機對資源有權限組 Group組是用戶帳戶的集合組會被賦予對資源的訪問權限及許可組內(nèi)的用戶帳戶,會獲得組的被賦予的所有權限及許可用戶可以同時屬于多個組組的類型本地組 Local Group存在于本地的安全帳戶數(shù)據(jù)庫可被賦予對本地資源的訪問許可域控制器上沒有本地組域上的組存在于AD中可用于賦予對網(wǎng)上

10、資源的訪問權限本地組的成員Local Group的成員本地用戶帳戶能成為本地組的成員本地組不能成為其它本地組的成員有創(chuàng)建本地組權限的人AdministratorsAccount Operators與NT4中不一樣刪除組后組內(nèi)的成員不被刪除系統(tǒng)內(nèi)建的本地組Build-in Local Group被賦予了進行系統(tǒng)管理工作的權力備份,管理等AdministratorsPower UsersUsersGuestsBackup Operators系統(tǒng)內(nèi)建的本地組Special identities ( Special Group )原NT中的系統(tǒng)組System Group組成員不能被修改成員隨機器的運行

11、自動修改EveryoneAuthenticated users不包含GuestInteractiveAuthenticated UsersAuthenticated Users象原先NT4中的Everyone在2000 Professional中是以下組的成員Power UsersUsers在2000 Server中是以下組的成員Users一般的用戶權力Windows2000為系統(tǒng)內(nèi)建的組Build-in Group賦了權限Log on locallyChange the system timeShut down the systemAccess this computer form a ne

12、tworkAdministrators組的權力所有的Windows2000上都有的組唯一的一個被賦予了所有內(nèi)建權力的組它可以給自己賦予所有自己沒有的權力可添加系統(tǒng)組件,升級系統(tǒng)配置系統(tǒng)重要參數(shù),如注冊表的修改等配置安全信息Power Users組的權力在非域控制器上可以進行基本的系統(tǒng)管理工作共享本地文件夾服務的管理,打印機的管理本地用戶的管理安裝不修改注冊表的軟件不能修改的組Administrators和Backup Operators不能備份恢復文件Backup Operators組的權力所有Windows2000上都有的組可以忽略文件系統(tǒng)的權力進行備份和恢復可以登錄機器和Shutdown系

13、統(tǒng)推薦在組策略中設置讓他只可運行備份程序Users組的權力一般用戶所在的組,對系統(tǒng)使用的基本權力可運行程序、使用網(wǎng)絡等可以Shutdown Professional, NOT Server不能創(chuàng)建共享目錄,不能創(chuàng)建本地打印機不能安裝能讓其他人使用的軟件Prevent Trojan horse programs當發(fā)生老軟件不能使用時將用戶加入Power Users組用security template修改Users組的安全設置Right vs. PermissionRight修改用戶或組的權限之后,必須重新登錄后新權限才會生效Permission對資源的訪問許可的修改,會立即生效刪除帳戶、組刪除

14、后再創(chuàng)建相同名字的用戶或組SID ( Security Identifier )已經(jīng)改變系統(tǒng)以SID記錄權限和許可賦予原用戶的Right和Permission都丟失Lab熟悉系統(tǒng)內(nèi)建本地組創(chuàng)建新本地組修改本地組的成員賦予本的組權限及許可熟悉系統(tǒng)組W2K 文件系統(tǒng)NTFS特性支持Active Directory 安全性管理文件加密Encryption可以對單個文件設置權限稀疏文件Sparse files. 磁盤配額Disk quotas大分區(qū)支持FAT FAT32 NTFS支持操作系統(tǒng) 廣泛 有限 有限 系統(tǒng)開銷 小 大大分區(qū)大小 256M 50M安全性 共享權限 共享權限 好文件系統(tǒng)的種類和對

15、比文件系統(tǒng)的轉換FAT到NTFS: CONVERTNTFS到FAT: FORMAT 文件安全性管理 許可許可的基本類型高級配置文件夾許可壓縮加密文件系統(tǒng)許可 PermissionsNTFS File PermissionNTFS Folder PermissionShared Folder PermissionPrinter PermissionPermissions簡單的說許可是對資源設置的,定義了誰可以訪問,如何訪問資源常被設置許可的Object有FileFolderShared FolderPrinterActive Directory ObjectsRegister KeysNTFS許

16、可NTFS(NT File System)可以設置用戶對文件的訪問許可NTFS文件許可NTFS文件夾許可NTFS文件許可檢查分區(qū)類型選中文件=右鍵=Property=SecurityNTFS文件許可的標準許可ReadWriteRead & ExecuteModifyFull ControlNTFS文件夾許可選中文件夾=右鍵=Property=SecurityNTFS文件夾基本許可ReadWriteList Folder ContentsRead & ExecuteModifyFull Control Administrator同樣要受許可的限制NTFS PermissionWrite可以修改、

17、創(chuàng)建文件Modify可以刪除文件Full Control可以修改文件的許可缺省NTFS許可根目錄Everyone Full Control新建的文件或目錄繼承上層目錄的許可不設許可= No Access特殊的NTFS許可Change Permission可修改權限Take Ownership可成為所有者(Owner)Full Control既是有P和OOwner可以Change PermissionACL & ACEAccess Control ListAccess Control Entry2000中實現(xiàn)訪問控制的基本方法存儲在資源上添加用戶的訪問許可選擇用戶帳戶或組設置訪問許可添加ACE到

18、ACLNTFS Permission InheritanceInheritance 繼承父目錄的許可,會被的子目錄繼承Propagated 繁殖顯示explicitly設定的許可優(yōu)先阻止繼承此目錄會成為新的父目錄Multiple NTFS PermissionsNTFS Permission are Cumulative多個組被賦予的不同的許可是累加的File Override Folder Permission文件的許可占先于目錄的許可Deny Override Other Permission拒絕訪問許可優(yōu)先ACE的查詢過程Copy & Move文件或目錄的拷貝和不同盤間的移動繼承目標文件

19、夾的許可同盤內(nèi)的移動許可不變同盤指邏輯盤:Partition同盤內(nèi)移動不會創(chuàng)建新文件,許可不變移動文件時需要Modify許可拷貝或移動到FAT分區(qū)許可丟失LabWrite,Modify,F(xiàn)ull Control的區(qū)別多個組被賦予的不同的許可時文件的許可占先于目錄的許可拒絕Deny訪問許可優(yōu)先Copy,Move時許可的變化NTFS文件壓縮 CompressNTFS文件系統(tǒng)支持文件的壓縮Property = General = Advanced Compress contents to save disk space是否壓縮子目錄查看壓縮后占用的硬盤空間設置顯示顏色Folder Options =

20、 ViewDisplay compressed files and folders with alternate colorNTFS Compress可壓縮單個文件或目錄系統(tǒng)自動完成寫文件時壓縮讀文件時解壓縮Copy文件時,先解壓縮,再壓縮Space Allocation按文件沒壓縮時的大小,申請硬盤空間拷貝時可能會 No enough disk spaceNote加密的文件不能壓縮同分區(qū)內(nèi)移動壓縮屬性不變,否則繼承目標文件夾的壓縮屬性壓縮容易被壓縮的文件如 *.bmp不要壓縮已經(jīng)壓縮的文件如 *.mp3Disk Quotes磁盤配額Disk Property = Quota超過配額后是否允許

21、繼續(xù)使用硬盤NTFS分區(qū)才有Quota限制用戶對分區(qū)空間的占用基于文件的所有者Owner設定的不檢查文件的壓縮狀態(tài)用戶的Free Space會隨Quota的值變動加密文件系統(tǒng) EFSEFS Encrypting File System為NTFS文件提供文件級別加密Property = General = Advanced Encrypt Contents to Secure Data加密后可以訪問文件的人加密的人恢復代理Recovery Agent缺省為administratorNote多用戶間不能共享加密文件拷貝到FAT后加密屬性丟失系統(tǒng)文件和壓縮文件不能被加密加密文件在網(wǎng)絡傳輸過程中是解密

22、的其它用戶仍可看見文件名并訪問目錄加密的文件可被有Delete許可的人刪除Windows2000會自動升級NTFS支持加密給用戶的建議加密My Documents文件夾加密Temp文件夾加密文件夾而不是單個文件保護臨時文件將Recovery Agent的Private Key導出,并存放在安全的地方Lab文件的壓縮磁盤配額文件的加密不要用/run as作加密文件系統(tǒng)的實驗 共享文件夾共享文件夾共享權限脫機文件夾 Off-Line Folder分布時文件系統(tǒng) DFS共享文件夾 Shared Folder可以使多個用戶可以通過網(wǎng)絡同時訪問一個文件夾只能共享文件夾,文件不能共享連接一共項文件夾機器名

23、共享名使用其它用戶連接net use x: ServerShare共享操作進行共享操作的組AdministratorsServer OperatorsPower Users所需的NTFS許可Read不能共享No Access的文件夾共享文件夾許可Right-click Folder=Property=Sharing共享文件夾許可ReadChangeFull Control文件夾被拷貝后,共享不被拷貝文件夾被移動后,共享丟失沖突的解決共享與共享沖突疊加(取大)NTFS與NTFS沖突取大共享與NTFS沖突取小 其它以$結尾的共享名為隱含共享C$, D$, E$Admin$Print$ 準備一個新硬

24、盤Basic Disk & Dynamic Disk磁盤管理文件系統(tǒng)文件系統(tǒng)的種類和對比格式化文件系統(tǒng)的轉換Windows 2000中的磁盤類型Basic DisksDynamic DisksBasic Disks與老系統(tǒng)兼容,可進行多重引導2000中缺省磁盤類型最多4個分區(qū)不能創(chuàng)建磁盤陣列可以轉到Dynamic DiskBasic DisksExtendedPartition withLogical DrivesH:G:F:E:D:C:F:E:D:C:-or-PrimaryPartitionsBasic DisksBasic Disks上的分區(qū)PartitionPrimary Partiti

25、onExtended PartitionLogical DriveWindows 2000中Basic Disk上作分區(qū)修改,不用重新啟動計算機保留1M剩余空間,可轉到Dynamic DiskDynamic DisksWindows2000新的硬盤類型只能在Dynamic Disk上創(chuàng)建卷Volume可用不連續(xù)的空間對卷進行擴展,可不同盤每個Disk上Volume的數(shù)量沒有限制卷的配置信息存在Dynamic Disk上2000會復制Disk Configuration到各個Disk單塊硬盤損壞不會影響其它的盤Removable Storage上只有Primary Partition, 不能創(chuàng)建

26、VolumeUpgrading to Dynamic DiskDynamicSimple volumesSimple volumesSpanned volumeStriped volumeMirrored volumeRAID-5 volumeDynamicBasicSystem and boot partitionsPrimary and extended partitions, and logical drivesVolume set (NT 4.0)Stripe set (NT 4.0)Mirror set (NT 4.0)Stripe set with parity (NT 4.0)B

27、asicVolume conversionTo Revert to a Basic Disk, All Data and Volumes Must be RemovedSimple Volumes由Dynamic Disk上的Free Space創(chuàng)建Volume大小沒有限制可用FAT,F(xiàn)AT32,NTFS文件系統(tǒng)可建立鏡像Mirror脫機文件夾 Off-Line Folder使用戶可以在網(wǎng)絡不通時使用網(wǎng)絡筆記本用戶修改文件或得到最新版本工作過程設置使用脫機文件夾脫機文件夾的內(nèi)容,會被拷貝到本地的緩存Cache中,用戶直接使用Cache當網(wǎng)絡斷開時會有提示,用戶仍可繼續(xù)使用脫機文件夾的內(nèi)容網(wǎng)絡接

28、通后,系統(tǒng)會自動同步兩邊的內(nèi)容操作設置計算機使用脫機文件夾My Computer = Tools = Folder Options使用脫機文件夾Share = Right Click = Make Available Offline停止使用脫機文件夾操作相同同步管理My Computer = Tools = SynchronizeAccessories = SyncronizeW2000中的特殊設置Manual Caching for Documents客戶端設置是否脫機普通的公用目錄Automatic Caching for Documents自動Cache打開的文件客戶的文檔Automat

29、ic Caching for Programs自動Cache所有的不被修改Read-Only的文件減少網(wǎng)絡流量客戶端的修改不被同步到服務器上NoteMicrosoft Network上的所有Folders都可被脫機使用,SMB( Server Message Block)文件許可再Off-Line時不變Cache缺省在硬盤根目錄When Shortcut Off-Line文件 Off-Line文件夾不Off-LineLab共享文件夾連接一共享文件夾My Network PlaceFull Control和Change的區(qū)別多個組的共享許可共享許可和NTFS許可結合隱含共享脫機文件夾Off-Li

30、ne FolderDFSDistribute File SystemDemoStand-Alone Dfs Root每個Server只能有一個DFS Root第二章 動態(tài)IP地址的分配(DHCP)一、IP地址分配手動 TCP/IP 配置自動 TCP/IP 配置缺點需要在每一臺客戶機手動輸入IP 地址可能輸入錯誤或不合法的IP 地址不正確的配置可能導致通訊和網(wǎng)絡問題計算機在網(wǎng)絡上頻繁的移動將產(chǎn)生管理開銷優(yōu)點IP 地址自動提供給客戶機確保客戶機始終使用正確的配置信息排除了產(chǎn)生常見網(wǎng)絡問題的來源客戶機自動更新配置反映網(wǎng)絡結構的改變二、DHCP原理IP Address1IP Address2IP Ad

31、dress3DHCPDatabaseIP Address2IP Address1DHCP Client:IP configuration fromDHCP serverDHCP ServerNon-DHCP Client:static IP configurationDHCP Client:IP configuration from DHCP server1、DHCP操作2、DHCP租借產(chǎn)生過程、IP lease request DHCP DISCOVER 、IP lease offer DHCP OFFER 、IP lease selection DHCP REQUEST 、IP lease

32、 acknowledgement DHCP ACK 3、DHCP續(xù)租過程A、自動續(xù)租B、手動續(xù)租三、安裝配置DHCP1、DHCP Server 和 Client 的要求 DHCP Server Requirements (Windows 2000 Server) DHCP service Static IP address, subnet mask, default gateway Range of valid IP addresses DHCP Clients(Module 2 P9)2、DHCP Server 的授權功能:為防止未授權的DHCP Server提供潛在的非法IP 地址給客戶端

33、。If unauthorized, the service logs an error and will notrespond to clientsIf authorized, the service starts properlyDHCP Service Checks For AuthorizationClientsDHCP ServerDomain Controller/DHCP serverDHCP Server3、創(chuàng)建和配置DHCP Scope(作用域)A、Scope:在一個特定網(wǎng)段上租借或分配給客戶端計算機 的合法的IP地址范圍。ScopeIP Addresses Available

34、 for Lease to Client ComputersDHCP ServerB、Scope配置內(nèi)容 配置作用域參數(shù) 改變默認的租期 激活作用域C、DHCP支持的作用域選項 IP Address of a Router(003) IP Address of a DNS Server(006) DNS Domain Name(015) IP Address of a WINS Server(044) Type of NetBIOS over TCP/IP Name Resolution (046)(Module 4 P8)D、定制作用域選項(滿足管理上多樣性的需求) Server Level

35、 所有從這臺DHCP Server獲得IP的客戶端 Scope Level 所有從這個作用域獲得IP的客戶端 Class Level 屬于特定類別的客戶端 Reserved Client LevelE、為客戶端計算機保留IP地址 目的:使客戶端計算機每次申請都獲得相同的IP地址New ReservationProvide information for a reserved client.Reservation name:IP address:MAC address:Description:Supported typesBothDHCP onlyBOOTP onlyAddCloseStuttg

36、art Server192 . 168 . 1 . 201DHCP Reservation for Server00a024e2b01a1、定制DHCP功能三、 DHCP高級配置功能:通過為指定的客戶組自動配置Option以及在一個路由 的網(wǎng)絡環(huán)境中創(chuàng)建有效數(shù)量的DHCP Servers來減少管 理開銷。A、使用Option Classes目的:為配置網(wǎng)絡上的 DHCP 客戶機方面賦予更大的靈 活性。 類別:、Vendor-defined classes DHCP客戶端的操作系統(tǒng)供應商類別和配置 、User-defined classes 有相似配置的客戶類別B、使用Superscopes功能

37、:將多個作用域組合為單個管理實體。應用條件: 當前活動作用域的可用地址不能滿足客戶端主機數(shù) 量的遞增。 用新的地址范圍代替已存在的地址范圍。 新?lián)碛械腎P地址與原有的IP地址不在連續(xù)范圍內(nèi)。C、使用Multicast Scope目的:給網(wǎng)絡中客戶端分配一個D類的Multicast地址 ( 55)應用:用于象Microsoft Windows Media這樣的實時視頻 或音頻網(wǎng)絡協(xié)作應用程序。注意:Multicast Address 與Unicast Address的區(qū)別在于Multicast Address是一組 TCP/IP 主機共用,而Unica

38、st Address 是單獨分配給某一臺TCP/IP 主機。D、配置在路由網(wǎng)絡中的DHCP方法:由于DHCP一項基于廣播的網(wǎng)絡服務的特殊性 1、在每一個子網(wǎng)單獨配一臺DHCP服務器 2、配置一臺RFC-1542兼容的路由器轉發(fā)DHCP數(shù)據(jù)包 3、在每一個網(wǎng)段配置一臺DHCP relay agent轉發(fā)DHCP 數(shù)據(jù)包四、支持DHCP1、監(jiān)視DHCP Server Service 方法:Module 2 P502、維護及排錯DHCP數(shù)據(jù)庫問題 方法:利用jetpack程序修復數(shù)據(jù)庫(Module 2 P51)3、從DHCP服務器上刪除DHCP Service步驟:A、為客戶端設置短的租借期間 B

39、、確保客戶端能得到新的租借 C、記錄一些已作保留的地址 D、確保新的DHCP Server上有足夠的IP地址池 E、將已分配的IP地址轉移到新的作用域 域名系統(tǒng)(DNS)一、DNS(Domain Name System)概述定義:DNS是一種分布式數(shù)據(jù)庫,被用于在IP網(wǎng)絡中將計算 機名翻譯或解析成IP地址,在Win2000中DNS是首要 的解析方法。二、DNS中的幾個概念3、域(Domain)定義:在DNS命名空間中任何一個樹 或子樹稱為域4、區(qū)域(Zone)定義:在DNS數(shù)據(jù)庫中Zone是域命名空間的相鄰部分,被 DNS服務器用于解析DNS查詢。1、FQDN(fully qualified

40、domain name) (插圖) 2、Namespace定義:域名樹的層次結構。例如: 三、安裝配置DNS DNS Server Requirements (Windows 2000 Server) DNS Services Static IP address, Subnet mask, Default gateway DNS Clients Requirements1、DNS Server 和 Client 的要求2、DNS 動態(tài)更新Zone 類型標準區(qū)域標準區(qū)域輔助區(qū)域Change區(qū)域復制Active Directory 集成的區(qū)域ChangeChangeChange區(qū)域復制Zone文件

41、在區(qū)域文件中的資源記錄能包含一臺計算機的FQDNIP addressAliasZoneDNS ServerZoneDatabaseFile NS casablanca.africa1.nwtraders.msft.casablanca A marrakech CNAME casablanca.africa1. . PTR casablanca.africa1.nwtraders.msft.Record資源記錄格式 Owner TTL Class Type RDATA 所有者 生存期 協(xié)議 記

42、錄的類型 數(shù)據(jù) 資源記錄類型 SOA Start of Authority 記錄這個Zone的主服務器 NS Name Server Zone中的其他服務器 A Address 主機記錄 PTR Pointer 反向查詢記錄 CNAME Canonical Name 別名 MX Mail Exchange Exchange服務器 SRV Service 服務 資源記錄Zone Transfer完全區(qū)傳遞增量區(qū)傳遞DNS通知配置Zone的傳遞Zone的傳遞發(fā)生在以下兩種情況A master server sends notification of zone changes to the seco

43、ndary server or serversThe secondary server queries a master server for changes to the zone database fileZone 1NameServer(Master)nwtraderstrainingsupportPrimary ZoneDatabase FileSecondary ZoneDatabase FileNameServerConfiguring Zone TransfersZone Transfer InitiationZone Transfer TypesFull zone transf

44、er (AXFR)Incremental zone transfer (IXFR)Configuring Zone Transfer PropertiesSerial number:2Increment15minutes10minutes1daysRefresh interval:Retry interval:Expires after:0 :1 :0 :0Minimum (default) TTL:DNS 查詢過程Local Name ServerDNSResolver. Name Server Name Serveratec Name ServerDNS atec DNS ServerDN

45、SDNSDNS1234Query Types (插圖) 迭代查詢在沒有其它服務器的幫助下, DNS server 返回最佳答案遞歸查詢DNS server 返回一個完整的答案給查詢,而不是指向其它的服務器Lookup Types正向查詢要求名字到地址的解析反向查詢要求地址到名字的解析DNS 查詢統(tǒng)一的管理一、目錄服務1、什么是目錄服務?2、為什么需要目錄服務?二、什么是AD(Active Directory)1、AD的功能:目錄服務功能組織管理控制資源集中管理單點管理用戶登錄一次即能對整個目錄的資源進行完全訪問2、AD的特點:D、partitioned:將目錄劃分成多個存儲允許存放數(shù)量很 多的

46、對象(可伸縮性)A、secure:管理員可以定義安全性避免入侵B、distributed:整個目錄跨越在網(wǎng)絡中的多臺計算機上C、replicated:通過目錄復制以確保對多個用戶的可 用性以及避免單點失效可靠性3、AD支持的技術Internet標準的技術 TCP/IP(DHCP、DNS) 、Kerberos LDAP、LDIF、SNTP三、AD的邏輯結構功能:用于組織網(wǎng)絡資源1、邏輯結構組件 Domains 域 DomainDomainDomainTreeDomainDomainDomainTreeForestDomainOUOUOU Trees 樹 Forests 森林 Organizati

47、onal Units 組織單元 Global Catalog 全局編錄2、各個邏輯組件的介紹 Domains 域 定義:由管理員定義的共享一個相同目錄數(shù)據(jù)庫計算機 的集合,它是AD邏輯結構的核心單元。 在AD中是一個安全的邊界 同時也是一個復制的邊界 用一個三角形來表示特點: Trees 樹定義: win2000域的層次布局,共享一個相鄰命名空間 域之間有雙向可傳遞的信任關系 域樹中的所有的域形成一個相鄰的命名空間 共享Schema 通過 Kerberos 進行安全驗證 用戶可以搜索整個域樹內(nèi)的信息特點:定義:共享相同schema、 Configuration和Global catalog 的

48、一個或多個win2000域的集合 Forests 森林特點: 共享 Schema、Configuration和Global Catalog 通過Kerberos進行安全驗證 命名空間不是連續(xù)的,例如 Organizational units 組織單元定義:用于組織域中對象的容器對象特點: 容器 AD中在域的下層 組織對象以便管理 可以被嵌套,沒有層數(shù)要求 Global catalog 全局編錄定義:包含有AD中所有對象屬性子集的信息特點: 提高在AD中查找對象的響應速度什么是域服務器DC和Server的區(qū)別安裝AD檢查安裝結果 建立域服務器1. 什么是域控制器Domain Controller

49、DomainDomain ControllerUser1User2User1User2Replication2. DC和Server的區(qū)別討論 3. 安裝AD準備工作建立根域往現(xiàn)有的域中添加域控制器創(chuàng)建子域在現(xiàn)有的森林中創(chuàng)建樹準備安裝Active DirectoryActive Directory安裝要求1、Windows 2000 Server2、安裝TCP/IP并配置使用DNS3、分區(qū)使用NTFS文件系統(tǒng)4、至少有200MB磁盤空間用于存放AD,50MB存 放日志文件orDomain Controller for New DomainAdditional Domain Controller

50、New Domain TreeChild DomainNew ForestExisting Forestoror啟動安裝向導選擇域控制器和域類型指明要求信息Domain, DNS, and NetBIOS namesDatabase, log, and shared system volume locationsSelect to weaken permissions 安裝Active Directory計算機是域控制器增加Active Directory Tools建立根域在已存在的域中添加域控制器啟動安裝向導選擇域控制類型指明要求信息Network credentialsDNS name

51、of domain to joinDatabase, log, and shared system volume locations安裝Active Directory創(chuàng)建一個子域啟動安裝向導選擇域控制類型指明要求信息Network credentialsDNS names of parent and child domainsDatabase, log, and shared system volume locationsSelect to weaken permissions 安裝Active Directory在已存在的樹林中創(chuàng)建樹啟動安裝向導選擇域控制類型指明要求信息Network c

52、redentialsDNS names of new treeDatabase, log, and shared system volume locationsSelect to weaken permissions 安裝Active Directory4. 檢查安裝結果驗證SRV資源記錄驗證服務器提升檢驗服務器提升DatabaseShared System VolumeDefault First Site NameGlobal Catalog ServerRoot DomainDefault ContainersDefault Domain Controllers OU域中的對象 組織域中的

53、對象1. 域中的對象及創(chuàng)建創(chuàng)建用戶賬戶創(chuàng)建計算機賬戶移動和定位對象創(chuàng)建OU一、 Win2000中帳戶的類型及創(chuàng)建的目的1、用戶帳戶:讓用戶登錄到域中訪問網(wǎng)絡資源;登錄到本機訪問 本地資源2、組帳戶:簡化對用戶帳戶的管理,實現(xiàn)對多個用戶同時賦于相 同的權限3、計算機帳戶:管理計算機二、Win2000中的用戶和組的分類1、用戶帳戶: 本地用戶帳戶 域用戶帳戶討論:1、本地用戶帳戶和域用戶帳戶的區(qū)別 2、幾個比較容易混淆的Name和唯一性規(guī)則2、組帳戶: A、組類型(Group Type) 安全組(Security groups) 用于分配或拒絕權力或權限 分配組(Distribution grou

54、ps) 用于發(fā)送e-mail信息B、組作用域(Group Scope)Universal Group成員來自樹林中的任何一個域用于訪問任何一個域中的資源Domain Local Group成員來自樹林中的任何一個域用戶可以訪問一個域中的資源Global Group成員來自己的域用于訪問任何一個域中的資源3、創(chuàng)建和修改組(實驗) 三、組織用戶的原則分配用戶 到全局組分配全局組 到域本地組然后分配權限 AGDLPG AGDLP小 結:1、Win2000中帳戶的類型及創(chuàng)建的目的2、Win2000中的用戶和組的分類3、如何創(chuàng)建修改不同的組作用域4、組織用戶的原則AGDLPMixed ModeNativ

55、e ModeDomain controllers (Windows 2000 only)andDomain controller (Windows 2000)Domain controller (Windows NT 4.0)移動和定位對象移動對象對象的權限隨著對象移動繼承的權限不會移動你可以移動多個對象定位對象管理員可以使用“Find”在“Active Directory Users and Computers”中查找對象用戶使用查找在Start菜單, 在Windows Explorer, 以及在My Network Places創(chuàng)建OU組織OUOU的作用2. 用OU來組織一個域Creati

56、ng Organizational UnitsInformationServicesCustomerSupportDevelopmentTechnicalSupportCreating Organizational Units安排OU根據(jù):在OU級別上委派管理控制OUs允許單域模型Organizational Units 組織結構SalesParisRepairUsersSalesComputers 網(wǎng)絡管理模型3. OU和文件夾的比較討論4. 內(nèi)置的容器和OU內(nèi)置的容器USERSCOMPUTERSBUILDINEtcOUDomain Controller 管理域中的對象安全組件Windows

57、 2000對資源訪問的控制控制對AD對象的訪問委派控制1. 安全組件 安全主體( Security Principals ) 用戶, 安全組, 服務, 和計算機 用唯一的ID識別 安全標識符(SIDs) 由安全主體唯一標識 不可重用 安全描述符(Security Descriptors) 與一個對象相關聯(lián)的安全信息 包含DACLs和SACLs DACL:指定對資源的訪問權限 SACL:指定被審核的用戶和組2. Windows 2000對資源訪問的控制UserApplication Sends Read RequestDACLSecurity SubsystemAccess FileRead A

58、llowedSecurity Subsystem Checks Appropriate ACE in DACL for FileACE FoundDomainOU1OU2SID UserSID GroupACE Access AllowedUser 1Read3. 控制對AD對象的訪問Active Directory PermissionsUsing Permissions InheritanceGranting Active Directory PermissionsChanging Object OwnershipActive Directory PermissionsPermission

59、s Authorize Access每一個對象有自由訪問控制列表(discretionary access control list)對象的類型決定了可用的權限多個權限允許和拒絕權限Standard and Special PermissionsFull ControlReadWriteCreate all Child ObjectsDelete all Child ObjectsUsing Permissions Inheritance應用權限到子對象防止權限繼承Apply onto:This object onlyThis object and all child objectsChild

60、 objects onlycertificationAuthority objectsComputer objectsConnection objectsContact objectsGroup objectsgroupPolicyContainer objectsSecurityYou are preventing any inheritable permissions from propagating to this object. What do you want to do?-To copy previously inherited permissions to this object

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論