項(xiàng)目3windowsserver2008基本管理

1、3 windows server 2008基本管理1項(xiàng)目說明 作為一名網(wǎng)絡(luò)管理人員，必須熟練掌握服務(wù)器配置的基礎(chǔ)知識，本項(xiàng)目要求網(wǎng)絡(luò)人員熟練掌握服務(wù)器的基本安全管理，包括本地管理以及本地安全策略的設(shè)置等，并可以通過遠(yuǎn)程桌面功能，實(shí)現(xiàn)對服務(wù)器的遠(yuǎn)程管理。通過管理，構(gòu)建一個安全的本地服務(wù)器環(huán)境，為搭建各種服務(wù)器打下良好基礎(chǔ)。2項(xiàng)目說明 在如圖所示的網(wǎng)絡(luò)環(huán)境中，項(xiàng)目包含任務(wù)要求如下： 1、本地管理：對win08(server)服務(wù)器進(jìn)行用戶管理、安全策略管理等。 2、遠(yuǎn)程管理：為win08(server)創(chuàng)建遠(yuǎn)程登錄設(shè)置，并在客戶機(jī)上登錄進(jìn)行遠(yuǎn)程桌面連接，以實(shí)現(xiàn)遠(yuǎn)程管理服務(wù)器。 3、設(shè)置服務(wù)器本地安

2、全策略，確保系統(tǒng)的安全性。并設(shè)置遠(yuǎn)程訪問用戶非法登錄自動報警功能。3項(xiàng)目要求（1）掌握用戶與組的管理及其應(yīng)用。（2）掌握磁盤管理及其應(yīng)用。（3）掌握本地安全策略的設(shè)置及應(yīng)用。4項(xiàng)目實(shí)施一、用戶與用戶組管理（1）用戶賬戶 在計(jì)算機(jī)網(wǎng)絡(luò)中，計(jì)算機(jī)的服務(wù)對象是用戶，用戶通過賬戶訪問計(jì)算機(jī)資源，所以用戶也就是賬戶。所謂用戶的管理也就是賬戶的管理。每個用戶都需要有一個賬戶，以便登錄到域訪問網(wǎng)絡(luò)資源或登錄到某臺計(jì)算機(jī)訪問該機(jī)上的資源。組是用戶賬戶的集合，管理員通常通過組來對用戶的權(quán)限進(jìn)行設(shè)置從而簡化了管理。 用戶賬戶由一個賬戶名和一個密碼來標(biāo)識，二者都需要用戶在登錄時鍵入。賬戶名是用戶的文本標(biāo)簽，密碼則是

3、用戶的身份驗(yàn)證字符串，是在Windows Server 2008網(wǎng)絡(luò)上的個人唯一標(biāo)識。用戶賬戶通過驗(yàn)證后登錄到工作組或是域內(nèi)的計(jì)算機(jī)上，通過授權(quán)訪問相關(guān)的資源，它也可以作為某些應(yīng)用程序的服務(wù)賬戶。5項(xiàng)目實(shí)施一、用戶與用戶組管理（2）賬戶名賬戶名的命名規(guī)則如下：賬戶名必須唯一，且不分大小寫。最多包含20個大小寫字符和數(shù)字，輸入時可超過20個字符，但只識別前20個字符。不能使用保留字字符：” ：；，？可以是字符和數(shù)字的組合。不能與組名相同。6項(xiàng)目實(shí)施一、用戶與用戶組管理（3）密碼 為了維護(hù)計(jì)算機(jī)的安全，每個賬戶必須有密碼，設(shè)立密碼應(yīng)遵循以下規(guī)則： 必須為Administrator賬戶分配密碼，防止

4、未經(jīng)授權(quán)就使用。 明確是管理員還是用戶管理密碼，最好用戶管理自己的密碼。 密碼的長度在8127之間。如果網(wǎng)絡(luò)包含運(yùn)行Windows 95或Windows 98的計(jì)算機(jī)，應(yīng)考慮使用不超過14個字符的密碼。如果密碼超過14個字符，則可能無法從運(yùn)行Windows 95或Windows 98的計(jì)算機(jī)登錄到網(wǎng)絡(luò)。 使用不易猜出的字母組合，例如不要使用自己的名字、生日以及家庭成員的名字等。 密碼可以使用大小寫字母、數(shù)字和其它合法的字符。7項(xiàng)目實(shí)施一、用戶與用戶組管理（4）服務(wù)器工作模式 Windows Server 2008服務(wù)器有兩種工作模式：工作組模式和域模式。域和工作組之間的區(qū)別可以歸結(jié)為以下幾點(diǎn)：

5、 創(chuàng)建方式不同：工作組可以由任何一個計(jì)算機(jī)的管理員來創(chuàng)建，用戶在系統(tǒng)的“計(jì)算機(jī)名稱更改”對話框中輸入新的組名，重新啟動計(jì)算機(jī)后就創(chuàng)建了一個新組，每一臺計(jì)算機(jī)都有權(quán)利創(chuàng)建一個組；而域只能由域控制器來創(chuàng)建，然后才允許其它的計(jì)算機(jī)加入這個域。 安全機(jī)制不同：在域中有可以登錄該域的賬戶，這些由域管理員來建立；在工作組中不存在工作組的賬戶，只有本機(jī)上的賬戶和密碼。 登錄方式不同：在工作組方式下，計(jì)算機(jī)啟動后自動就在工作組中；登錄域時要提交域用戶名和密碼，只到用戶登錄成功之后，才被賦予相應(yīng)的權(quán)限。8項(xiàng)目實(shí)施一、用戶與用戶組管理（5）用戶賬戶類型 Windows Server 2008針對這兩種工作模式提供

6、了三種不同類型的用戶賬戶，分別是本地用戶賬戶、域用戶賬戶和內(nèi)置用戶賬戶。9項(xiàng)目實(shí)施二、用戶組及其作用（1）用戶組 有了用戶之后，為了簡化網(wǎng)絡(luò)的管理工作，Windows Server 2008中提供了用戶組的概念。用戶組就是指具有相同或者相似特性的用戶集合，我們可以把組看作一個班級，用戶便是班級里的學(xué)生。當(dāng)要給一批用戶分配同一個權(quán)限時，就可以將這些用戶都?xì)w到一個組中，只要給這個組分配此權(quán)限，組內(nèi)的用戶就都會擁有此權(quán)限。10項(xiàng)目實(shí)施二、用戶組及其作用（2）用戶組的作用 一般組用于以下三個方面：（1）管理用戶和計(jì)算機(jī)對于共享資源的訪問，如網(wǎng)絡(luò)各項(xiàng)文件、目錄和打印隊(duì)列等；（2）篩選組策略；（3）創(chuàng)建電

7、子郵件分配列表等。11項(xiàng)目實(shí)施三、用戶組的分類（1）按作用域分組的用戶組 按作用域?qū)τ脩艚M進(jìn)行分類，分別為本地組賬戶和域中創(chuàng)建組賬戶。 創(chuàng)建在本地的組賬戶：可以在Windows Server 2008/2003/2000/NT獨(dú)立服務(wù)器或成員服務(wù)器、Windows XP、Windows NT Workstation等非域控制器的計(jì)算機(jī)上創(chuàng)建本地組。這些組賬戶的信息被存儲在本地安全賬戶數(shù)據(jù)庫（SAM）內(nèi)。本地組只能在本地機(jī)使用，它有兩種類型：用戶創(chuàng)建的組和系統(tǒng)內(nèi)置的組（后面將詳細(xì)介紹Windows Server 2008的內(nèi)置組）。 創(chuàng)建在域的組賬戶：該賬戶創(chuàng)建在Windows Server 2

8、008的域控制器上，組賬戶的信息被存儲在Active Directory數(shù)據(jù)庫中，這些組能夠被使用在整個域中的計(jì)算機(jī)上。12項(xiàng)目實(shí)施三、用戶組的分類（2）按權(quán)限分類的用戶組 組分類方法有很多，根據(jù)權(quán)限不同，組可以分為安全組和分布式組。 安全組：被用來設(shè)置權(quán)限，例如可以設(shè)置安全組對某個文件有讀取的權(quán)限。 分布式組：用在與安全（與權(quán)限無關(guān)）無關(guān)的任務(wù)上，例如可以將電子郵件發(fā)送給分布式組。系統(tǒng)管理員無法設(shè)置分布式組的權(quán)限。13項(xiàng)目實(shí)施三、用戶組的分類（3）按作用范圍分類的用戶組 根據(jù)組的作用范圍，Windows Server 2008域內(nèi)的組又分為通用組、全局組和本地域組， 通用組：可以指派所有域中

9、的訪問權(quán)限，以便訪問每個域內(nèi)的資源。具有：可以訪問任何一個域內(nèi)的資源；成員能夠包含整個域目錄林中任何一個域內(nèi)的用戶、通用組、全局組，但無法包含任何一個域內(nèi)的本地域組等特性。 全局組：主要用來組織用戶，即可以將多個即將被賦予相同權(quán)限的用戶賬戶加入到同一個全局組中。具有：可以訪問任何一個域內(nèi)的資源；成員只能包含與該組相同域中的用戶和其他全局組等特性。 本地域組：主要被用來指派在其所屬域內(nèi)的訪問權(quán)限，以便可以訪問該域內(nèi)的資源，具有：只能訪問同一域內(nèi)的資源，無法訪問其他不同域內(nèi)的資源；成員能夠包含任何一個域內(nèi)的用戶、通用組、全局組以及同一個域內(nèi)的域本地組，但無法包含其他域內(nèi)的域本地組等特性。14項(xiàng)目實(shí)

10、施四、創(chuàng)建和管理本地用戶（1）啟動“本地用戶和組”管理 本地賬戶是工作在本地機(jī)的，只有系統(tǒng)管理員才能在本地創(chuàng)建用戶。啟動本地用戶和組的三個基本方法是： 在“開始”“運(yùn)行”窗口中填入lusrmgr.msc命令，可以直接啟動本地用戶和組窗口， 從“開始”“管理工具”“配置”“本地用戶和組” 。 選擇菜單“開始”“管理工具”“計(jì)算機(jī)管理”“本地用戶和組”，也可以啟動“本地用戶和組”的管理界面。15項(xiàng)目實(shí)施四、創(chuàng)建和管理本地用戶（2）創(chuàng)建本地用戶（3）查看與設(shè)置本地用戶屬性 新建用戶賬戶后，管理員要對賬戶做進(jìn)一步的設(shè)置，通過設(shè)置賬戶屬性來完成的。本地用戶“屬性”包括常規(guī)、隸屬于、配置文件、環(huán)境、會話、

11、遠(yuǎn)程控制、終端服務(wù)配置文件與接入等9項(xiàng)。（4）刪除賬戶 如果某用戶離開公司，為防止其它用戶使用該用戶賬戶登錄，就要刪除該用戶的賬戶。16項(xiàng)目實(shí)施五、創(chuàng)建和管理本地組賬戶 創(chuàng)建本地組賬戶的用戶必須是Administrators組或Account Operators組的成員，才有權(quán)限建立本地組賬戶并在本地組中添加成員。17項(xiàng)目實(shí)施六、將用戶賬戶加入到組 如果讓用戶擁有其它組的權(quán)限，可以將該用戶加入到其它組中。18項(xiàng)目實(shí)施七、遠(yuǎn)程桌面 “遠(yuǎn)程桌面”本質(zhì)上是一個單用戶的終端服務(wù)會話，它使用RDP協(xié)議與運(yùn)行“Windows Server2008”的主機(jī)進(jìn)行通訊，遠(yuǎn)程用戶訪問的應(yīng)用程序在這個主機(jī)系統(tǒng)上運(yùn)行

12、，只有鍵盤和鼠標(biāo)的輸入信號及視頻的輸出信號在主機(jī)系統(tǒng)之間進(jìn)行傳遞。由于“遠(yuǎn)程桌面”會話傳遞的數(shù)據(jù)量非常有限，所以它可以有效地利用網(wǎng)絡(luò)帶寬并應(yīng)用于各類網(wǎng)絡(luò)環(huán)境，包括撥號連接和廣域網(wǎng)連接。使用“遠(yuǎn)程桌面連接”，可以很容易地連接到網(wǎng)絡(luò)服務(wù)器或其他運(yùn)行遠(yuǎn)程桌面的計(jì)算機(jī)，操作遠(yuǎn)程的電腦為你收發(fā)郵件、查看報表、傳送文件、安裝及刪除軟件、進(jìn)行用戶管理、系統(tǒng)維護(hù)更新等等，就像實(shí)際操作自己面前那臺計(jì)算機(jī)一樣，可以大大提高工作的效率。19項(xiàng)目實(shí)施七、遠(yuǎn)程桌面的實(shí)現(xiàn) Windows server 2008遠(yuǎn)程桌面的組成有兩大部份，一是服務(wù)器端，一是客戶端。在服務(wù)器端，網(wǎng)絡(luò)管理員要對網(wǎng)絡(luò)中的服務(wù)器進(jìn)行遠(yuǎn)程管理的控制，

13、必須在服務(wù)器端啟用“遠(yuǎn)程桌面”功能。在客戶端通過“遠(yuǎn)程桌面連接”來登錄網(wǎng)絡(luò)服務(wù)器。實(shí)現(xiàn)遠(yuǎn)程管理。以下是遠(yuǎn)程桌面的實(shí)現(xiàn)過程： 一、服務(wù)器端設(shè)置 其安裝配置過程如下： 1、啟用遠(yuǎn)程桌面。 2、設(shè)置遠(yuǎn)程桌面 3、設(shè)置用戶權(quán)限20項(xiàng)目實(shí)施七、遠(yuǎn)程桌面的實(shí)現(xiàn)（續(xù)） 二、客戶端設(shè)置要實(shí)現(xiàn)遠(yuǎn)程管理網(wǎng)絡(luò)主機(jī)，客戶端必須運(yùn)行“遠(yuǎn)程桌面連接”程序，以登錄到服務(wù)器，對服務(wù)器進(jìn)行管理和控制。Windows XPWindows Server 2003Windows Server2008系統(tǒng)集成有遠(yuǎn)程桌面連接工具，其它Windows平臺(Windows 2000、Windows Me、Windows NT及Windows

14、 9X等)可以通過運(yùn)行“遠(yuǎn)程桌面”的客戶端軟件“遠(yuǎn)程桌面連接”(mstscexe)來實(shí)現(xiàn)遠(yuǎn)程管理網(wǎng)絡(luò)服務(wù)器。 在客戶機(jī)上單擊“開始”“所有程序”“附件”“遠(yuǎn)程桌面連接”（注：不同的windows操作系統(tǒng)打開方式稍有不同），輸入遠(yuǎn)程連接的計(jì)算機(jī)名或IP地址、進(jìn)行遠(yuǎn)程連接的用戶賬戶、密碼和所在域。注意所輸入的用戶賬戶一定是前面已配置具有遠(yuǎn)程連接權(quán)限的。設(shè)置連接的其他屬性，單擊“確定”即可進(jìn)行遠(yuǎn)程連接。21項(xiàng)目實(shí)施八、本地安全策略 在創(chuàng)建用戶帳戶的過程中，我們使用了本地安全策略，配置了帳戶密碼的復(fù)雜度。本地安全策略是windows server 2008中的系統(tǒng)安全管理工具。 1、本地安全策略的打開

15、 單擊“開始”“管理工具”“本地安全策略”選項(xiàng)，即可打開“本地安全策略”對話框。 也可以通過命令方式打開，單擊“開始”“運(yùn)行”，在彈出的運(yùn)行對話框中鍵入“secpol.msc”命令，也可以打開“本地安全策略”對話框。22項(xiàng)目實(shí)施八、本地安全策略（續(xù)） 在創(chuàng)建用戶帳戶的過程中，我們使用了本地安全策略，配置了帳戶密碼的復(fù)雜度。本地安全策略是windows server 2008中的系統(tǒng)安全管理工具。 2、本地安全策略的組成 本地安全策略由以下項(xiàng)目組成：帳戶策略、本地策略、高級安全WINDOWS防火墻、公鑰策略、應(yīng)用程序控制策略等。每一策略中又包含許多子項(xiàng)目。23項(xiàng)目實(shí)施八、本地安全策略（續(xù)） 3、

16、本地安全策略的應(yīng)用 (1)、去掉帳戶密碼復(fù)雜性限制 (2)、免除登錄時按Ctrl+Alt+Del的限制 (3)、帳戶鎖定策略24項(xiàng)目實(shí)訓(xùn)1. 實(shí)訓(xùn)目標(biāo) （1）掌握windows server 2008用戶管理的相關(guān)配置。 （2）掌握并應(yīng)用遠(yuǎn)程桌面實(shí)現(xiàn)遠(yuǎn)程管理。 （3）理解并掌握設(shè)置安全的遠(yuǎn)程管理的方法。 （4）熟練掌握VirtualBox配置與使用虛擬機(jī)。25項(xiàng)目實(shí)訓(xùn)2. 實(shí)訓(xùn)環(huán)境 （1）硬件要求 計(jì)算機(jī)配置：處理器CPU工作頻率2GHz或以上，雙核，內(nèi)存2GB RAM以上，硬盤空間80GB 以上，光盤驅(qū)動器 DVD-ROM，標(biāo)準(zhǔn)鍵盤、鼠標(biāo)。 （2）網(wǎng)絡(luò)環(huán)境：100M或1000M以太網(wǎng)絡(luò)，包含

17、交換機(jī)（或集線器）、超五類網(wǎng)絡(luò)線等網(wǎng)絡(luò)設(shè)備、附屬設(shè)施。 （3）軟件準(zhǔn)備：基于Windows XP或Windows 7操作系統(tǒng)平臺、VirtualBox軟件（for Windows）、WinISO工具軟件、windows server 2003操作系統(tǒng)安裝光盤。26項(xiàng)目實(shí)訓(xùn)3. 任務(wù)要求 本實(shí)戰(zhàn)項(xiàng)目要求搭建出如圖所示的網(wǎng)絡(luò)拓樸圖所對應(yīng)的網(wǎng)絡(luò)環(huán)境。27項(xiàng)目實(shí)訓(xùn)3. 任務(wù)要求（續(xù)） 此網(wǎng)絡(luò)環(huán)境的詳細(xì)配置清單如下： （1）為win08(server)的虛擬主機(jī)創(chuàng)建用戶帳戶，名稱分別為zhangsan、lisi。密碼分別為1234、abcd。 （2）設(shè)置系統(tǒng)的安全策略“帳戶鎖定閾值”為2次，并分別使用zhangsan、lisi這兩個帳戶測試登錄系統(tǒng)。 （3）為win08(server)虛擬主機(jī)設(shè)置遠(yuǎn)程桌面，要求使用“安全的登錄”方式，登錄用戶zhangsan可