win7的安装.doc

硬盘安装 将 boot 文件夹 和 bootmgr 和sourse 目录下的boot.wim 拷入硬盘在cmd 下执行Bootsect /nt60 c:把系统的启动文件改为6.0版本 内部版本号将loading 一个pe的画面,win7的安装画面切到命令提示符 shift+F10 运行光盘里的setup.exe进行安装C盘会预留100M用于以后的加密U盘安装 把三个文件拷到U盘上 网络安装搭建WDS+AD+DNS+DHCP 环境2008支持多播传输 可以同时给多台机器安装2003+sp2(单播)服务器管理器安装影象 install.wim 启动影象 boot.vim 微软的虚拟机 桌面的 服务器的 VPC 放在VHD 文件里将物理机的文件拷入到虚机 直接拖动 、利用网络拷贝、 利用虚机本身的功能 （打开虚机）通过挂接 不开虚机的情况下 磁盘管理器 附加VHD 可以象管理硬盘一样拷入拷完后再分离不进物理机 直接进虚机 通过VHD 1、 创建VHD文件 2、 灌入系统 使用imagex 制作 wim 文件 waik 包中有这个文件Cmd 下 imagex /capture c.wim 也可以追加Imagex /append gg c.wim 看影象Imagex /info c.wim还原影象Imagex /apply c.wim 1 c:test还原其中的第一个影象到test目录下VHD 文件的系统只能是win7 08固定大小 性能好一般是30个g还原影象分离3、 多系统的选单 修改启动文件Bcdedit /copy 网络安装 xp找一台样机，安装xp ，把c盘文件利用imagex 制作wim 分发下去把样机的驱动卸载 后 再弄成 wim 把winpe做到U盘上 imagex 也拷到U盘上，把样机的C盘全抓成wimWin7 剔除驱动 sysprep.exe选择不同的网络决定系统的安全级别家庭网络 工作网络 公用网络2、 数据安全七个层次 数据应用程序主机内部网络 周边网络物理安全策略 过程和意识 （最重要）数据安全的解决方案NTFS的权限 最大硬盘 簇 扇区NTFS 2TB 权限 压缩 加密 审核 卷影副本FAt32 32gFat16 2g 可以使用convert 转换读取写入 可以完全控制自己的东西 对别人的只是写入修改完全控制不要分配拒绝的权限 直接拒绝 不点是隐性拒绝尽量给组授权 代替给用户授权把用户添加到组 给组授权权限的继承继承的Whoami /all只删不写 权限 利用权限的累计 属于两个组 分修改 、拒绝写特别的权限权利 与系统有关 权限与对象有关修改与完全控制不同 针对子文件夹 同一个ntfs分区 不同的ntfs 分区 fat移 动 权限不变 变化 继承目标文件夹的权限 丢失复制 变化 继承目标文件夹的权限 变化 继承目标文件夹的权限 丢失使用系统工具 备份 还原备用位置 还原到目标盘 权限不会改变拒绝权限优于任何权限共享权限 NTFS 权限 取交集起用基于访问权限的枚举 有权限的能看到 没有权限的看不到删除存储的帐户的密码 在控制面板里增量备份 卷影副本 03 只备份共享文件夹里面的数据 以前的快照 以网络登陆自己 有一个以前的版本08 可以备份整个分区2008角色与功能文件服务 用户的配额 跟踪用户 看用户的配额资源管理器的配额硬和软 硬到限制 就不能用 软 到限制 还能用 但是会触发一个事件文件屏蔽文件服务器资源管理器不同的组 不能访问数据 压缩 统一分区 不同分区 fat移动 不变 继承 丢失复制 不变 继承 丢失 可执行的程序 不要压缩加密对称式 效率高 安全性差 管理复杂非对称式 安全性高 效率差 相互交换公钥 用对方的公钥进行加密 可以用对称式加密文件 用非对称 对密钥进行加密进行传输 两者结合用户的配置文件里放自己的公 私 系统第一次加密时 系统自动生成公 私 公 放在文件头 用自己的公解开文件的公 再用私读取 如果丢失 永远看不到在安全 证书里导入了别人的证书 系统不会再为自己产生证书 只能给他自己也有证书的用户授权自己的加密如果导入了别人的证书 在ie中删除后 需要重新启动机器 才能真正删除 才能产生自己的密钥如果对文件夹加密 其下的文件均被加密 文件夹还可以浏览 文件是使用当前用户的密钥进行了加密Xp home 版不能加密导不出私钥 导入的 导不出数据恢复代理 DRACipher /R: c:输入密码 产生两个文件 恢复代理的 公和私打开本地安全策略 公钥策略 被动修改用户的密码 (用户密码忘记) 会影响用户加密的文件 打不开主动修改用户的密码 不影响复杂密码 三种字符 6个强 四种字符 7个弱 空长度是7的倍数 最强 因为系统对密码是每7位进行加密 所以8位6位 和7位一样阀门帐户锁定阈值审核审核资源的访问记录资源被谁访问过 做过什么操作File system auditor 审核日志记录器应用层ftp 20 21 pop3 110https 443dns 53http 80telnet 23Smtp 25网络层 ip icmp igmp请求响应 arp 地址解析协议 获取对方的mac地址传输层 tcp 三次握手 面向连接 可靠的 让对方一定能收到Ping trceert 用Icmp 协议Netmon 03自带的抓包工具添加管理与监视工具 控制面板 安装时需要光盘Sniffer oapDhcp 自动tcp/ip 配置Non-dhcp 租 地址 客户端发出请求 租地址在同一个网络中使用 不能过路由 通过广播的方式查找dhcp如果找不到 则自己 配一个 备用配置 自动专用网址169.254 段每隔五分钟 再继续找 dhcp更新 租约缺省是8天客户端未关机 租约到达50%的时候发单播request 续约 不成功 继续用87。5% 广播 发request 未成功 100% 释放地址 开始新一轮的租借 重启了 马上发 广播发request 更新 不成功 再看客户端的网关能否ping 通 不能则释放地址 能则继续使用服务器重启与客户端没有关系手动Ipconfig renew 更新Ipconfig release 释放在不发包的情况下 才能释放在拔掉网线前 执行release 别人才能用这个地址Dhcpdiscave 请求Dhcpoffer 提供dhcpRequst 请求Ack 响应换网络的时候 会使用用户配置授权 域环境下 被授权 dhcp服务器才能起作用组环境下 不需要授权 DHCP服务器安装给服务器分配一个静态地址安装角色安装过程禁用ipv6桌面虚拟化 vpc服务器虚拟化 hyper-V 服务器安装08 安装hyper-v 管理创建一个样机作为母盘 再做一个差异磁盘 再创建虚拟机为客户端保留地址 一般是随机的 如果预留给谁 通过网卡的服务器级别 作用域级别主机客户端级别配置选项不同 影响的范围不一样配置相同的选项有冲突时 以高级别为准在作用域 配置 最合适作用峪 里 有 用户类Ipconfig /setclassid lan 123Lan 是连接的名字123 是用户类的标识这样获取不同的配置中继代理分8步在交换机 路由器上进行配置使用 中继Ipconfig /display查看缓存迭代查询 查询的次数多 得到的答案 是三种递归查询 得到的结果是两种 搭建 dns 环境服务器端 安装 dns web 角色联系不上首选的 再联系备用的中继代理设置第一4 表示 整个网络不能超过4个路由第个4 表示 4秒后响应Nslookup 测试dns 的指针记录IpSmtp 发Pop3 收 只与自己的用户有关Smtp 与smtp 联系邮件服务器的配置安装pop3服务同一个网络在一个邮件服务器上新建一个域 在这个域上新建两个邮箱 两个邮箱可以进行通讯在同一个邮件服务器上新建两个不同的域 在outlook上直接配地址 两个邮箱可以直接通讯如果不直接配地址 配域名 需要在DNS服务器上配置域名不同的网络上两个邮件服务器 通讯可以分别在对方的DNS上配上对方的邮件服务器的域名配上域名后 需要新建邮件交换器 在画面上点击 浏览 找到配置的对方的邮件服务器域名文件 就可以通讯了也可以不配置对方的邮件服务器域名 在本地的DNS 上 配置转发器 编辑 输 入对方的 dns 地址 这样自己的dns 识别不到的域名 就转给对方的dns 进行解析(但是如果域名貌似本地的子域 则可能解析不出来)还需要再配置一下 smtp 服务器 才能进行邮件的发送 方法 :在本地的邮件服务器上 进入 iis 点击 默认smtp 的属性 点击 访问 中继 点击 仅以下列表除外 就可以发出去了Pkr 数字签名 不加密数据 只是确保信息的真实性和来源性CA 证明 公钥 私钥的真实性 起到一个担保的作用 08 下 安装ca服务 添加角色 active directive 证书服务 选前两项vpnPptp 协议 只验证用户帐号L2pp 协议 验证端 服务器 用户帐号 使用网络连接的 ipsect 设置 传输的数据是加密的客户工作组与域 都是逻辑上的概念设置帐户的强密码比较安全 工作组域搭建 初始的情况下就是工作组 扩展性差 安装软件需要分别各个操作 域控制器 DC 利用server 版的操作系统搭建 只有web 版可以做 AD 活动目录2008+AD=DC域中所有的资源都在AD 里存储 至少两台DC 和客户端 组成一个域环境安全性差控制权由用户自己掌握使用自己的帐号高所有的用户帐号存储在 活动目录中 使用AD 给的帐号 可以拿着自己的帐号在任何位置登陆管理模式分散集中 平台环境父域与 子之间存在双向的可连接的信任关系子 继承 父 的内存空间信任的好处 资源的访问 单点登陆 兄弟也是信任的 因为都继承了父的树根与森林的根存在继承关系树跟与树跟存在信任关系一个森林只有一个根 这个跟上的管理员可以管理林里的任何域 其他的父也管理不了自己的子只和本域有关的不复制 与林有关的复制基于组织机构 、地理位置 常用不常用 对象 等进行搭建域使用 命令 Dcpromo 创建 辅助DC组策略gpedit.mmc不要删除 修改系统自带的默认组策略组策略管理 用户帐号和计算机帐号对于计算机组策略可以连接 一个域 （组策略5分钟起作用） 一个站点 一个组织单元 90-120分钟计算机一旦启动就会拿到组策略手工 gpupdate