MCSE第二本书讲稿2.doc

MCSE第二本书讲稿2 第1单元安装或升级到Windows2000 一、准备安装安装前的准备工作可以避免安装过程和安装后出现问题。 1.确定使用那种操作系统Windows2000家族中所包含的各个操作系统的功能操作系统说明Professional替代了 95、 98、及商业环境中的Windows NTWorkstation Server提供各种服务，包括终端服务Advanced Server可用性，包括机群技术和服在平衡技术Datacenter Server能最强大的服务器操作系统应用示例适用于各种规模的商业环境文件及打印服务web服务用于大型企业网中的服务器提高了系统的可伸缩性和系统的支持更多的内存和更多的CPU功用于大型的数据仓库，在线事务处理大型的模拟操作，以及服务器合并计划2.确定系统需求条件组件Windows2000professional的需求条件奔133MHz或更高档次的CPU最多2个CPU Server的需求条件CPU Server支持4个CPU Advanced Server8个Datacenter16个最低256MB最多4GB Advanced最多8GB2GB,最低要有1GB的自由空间内存最低64MB,最多4GB硬盘空间2GB,最低要有1GB的自由空间显示器附件从CD安装从网络安装VGA分辨率，或更高分辨率的监视器键盘、鼠标如果不支持从光盘启动还需3.5英寸软盘需从98的计算机上创建启动盘（包括网卡驱动）安装以前要先确认硬件属于Windows2000的硬件兼容性列表（HCL）位于2000的安装光盘Support文件夹中，可从.microsoft./hcl获得最新的HCL3.确定磁盘分区选项只有从光盘安装2000，安装程序先考察硬盘情况，才具有磁盘分区选项在没有格式化的硬盘上创建新的磁盘分区进行安装。 在已有分区的硬盘上创建新的分区。 在已存在的磁盘分区上安装，覆盖该分区上的操作系统。 删除现有分区，重新创建更大的磁盘分区。 安装网系统后用Windows2000的磁盘管理功能对未分配空间进行分区。 4.确定选择那种文件系统双引导系统只能用FAT32文件系统，FAT文件系统不支持2GB的磁盘分区。 NTFS文件系统支持文件级和文件夹级的安全性，文件压缩，磁盘限额，文件加密5.确定要选择那种许可证模式在安装Advanced server时除了安装和运行Win2000所需要的许可证之外，还必须让连接到该服务器的每一客户机都具有客户访问许可证。 可选择per seat（每客户）许可证模式，per server(每服务器)许可证模式。 6.确定是否加入到某个工作组或者域工作组中的各个计算机都拥有他们自己的安全性数据库，域中只有一个目录数据库，域的特征，工作组的特征。 须域用户帐号把计算机加入到域。 7.完成安装前的核查表确定安装那种类型的2000操作系统确认所有硬件出现在HCL中最低限度的系统需求条件2GB的磁盘空间确定安装2000的文件系统。 确定Per seat还是per server，是否加入到域本地计算机的管理员密码 二、从光盘安装Windows2000Professional1.运行安装程序从光盘启动计算机，或从安装启动盘启动计算机。 安装盘bootdisk文件夹makeboot.exe创建启动盘。 选择安装2000的磁盘分区。 并指定文件系统。 2.完成安装向导修改区域设置，输入你的名字及单位的名称。 管理员账号的密码。 日期时间时区设置。 3.安装网络组件典型Microsoft网络客户端，Microsoft网络的文件和打印机共享，TCP/IP。 自定义创建自定义的网络连接，配置静态的IP地址，WINS以及其他的协议，提供一个工作组或域的名称。 重启计算机，配置网络ID 三、从光盘安装Windows2000Advanced Server1.运行安装程序2.完成安装向导3.须选择许可证模式，Windows2000的可选组件（可在安装完成后配置）4.安装网络组件5.配置服务器 四、升级到Windows2000Professional1.说明升级路径2.升级Windows9598到2000的professional3.升级前要比升级NT要进行更多的测试和计划，生成兼容性报告，向你提供有关不兼容的的功能和应用程序方面的信息，运行Winnt32/checkupgradeonly可在已安装好的计算机上运行Sigverif来查看那些驱动被签署。 4.从光盘启动计算机，选择升级，指定分区，可把该分区转化成NTFS分区。 5.复查升级报告，只有当不兼容的驱动程序影响用户操作计算机时才停止安装。 6.加入到某个域7.结束后将从 95、98的注册表中迁移尽可能多的信息。 五、升级到Windows2000Advanced Server1.确定服务器升级路径（前台不能升级成后台）2.备份至关重要的数据修复列在事件日志中的错误备份所有驱动程序、注册表信息，更新紧急修复盘（运行Rdisk.exe制作）删除任何病毒扫描程序断开UPS的串行电缆连接，因为2000AdvancedServer检测连接到串行端口的设备，可能会出现问题保留费即插即用的ISA设备的IRQ,设置BIOS系统，否则非即插即用设备可能不工作。 六、识别安装错误介质错误-换光盘不支持的CD-ROM驱动-使用网络安装磁盘空间不足-利用安装程序创建新的磁盘分区为能启动从属服务-回到“网络设置值”确认安装了正确的协议和网络适配器。 无法连接到域控制器-确认域名正确，IP地址正确，DNS和DC处于联机状态未能安装或者启动2000-确认硬件在HCL表中。 第2单元配置Windows2000环境 一、配置和管理硬件2000很容易安装硬件，自动监测新硬件安装任何必要的应用程序，并更新系统和分配资源，如果没有发现新硬件，可利用控制面板人工添加。 如果硬件出现在兼容性列表中（HCL），该硬件驱动已经过测试，有微软的数字签署，确保不会引起频繁重启，或死机。 该列表可更新。 1.安装硬件步骤关掉计算机，断掉电源。 （支持热插拔的设备不需重启）将设备连接到计算机，为该设备添加驱动。 （出现在HCL中的设备将会自动添加驱动）有必要的话，配置设备的属性和设置值。 2.检测设备配置中断请求（IRQ）线路编号，直接内存访问通道，输入输出端口地址，内存地址范围。 分配给设备的各种资源必须是专用的。 非即插即用设备Windows不能自动配置资源，必须在设备管理器中人工配制。 尽量少用人工配制，将导致系统分配资源的灵活性的降低。 过多的成为固定的，2000也许不能安装另外的即插即用设备3.更新驱动程序用户必须有相应的权利才能更新驱动。 （控制面板-系统-硬件-设备管理器-设备属性-更新）4.管理驱动程序的签署（我的电脑-属性-硬件-数字签署）可用组策略管理数字签署。 察看当前那些驱动没被签署RUNSigverif。 5.利用硬件配置文件利用硬件配置文件，指定计算机启动是装入那些设备和服务的配置及特征，利用硬件配置文件，你可以针对不同的环境优化计算机。 便携式计算机可可禁用网卡。 二、配置显示选项1.配置显示器颜色管理，分辨率和刷新率（这一选项只应用于高分辨驱动程序），没有驱动只能256色。 2.光盘演示引入多个监视器。 扩展2000的桌面。 2000最多支持10个监视器。 多监视器只支持PCI和AGP适配器。 3.配置多个监视器更改主监视器（即打开应用程序时，窗口出现在那个屏幕中），安排多个监视器。 上下移动，还是左右移动。 三、配置系统设置值2000包含专门的配置选项用来优化系统性能。 将影响所有登陆的用户。 1.修改环境变量2.用户环境变量，是各个用户配置文件的一部分，用户可修改自己的环境变量。 3.系统环境变量，只有管理员能够修改。 4.设置默认的环境变量，Autoexec.bat变量，系统环境变量，用户环境变量。 顺序后执行的修改以前的设置。 5.修改启动和故障恢复选项6.修改系统启动操作。 双引导。 7.配置恢复设置利用“故障恢复”区域的选项，确定在发生“停机错”事件时，计算机应该执行的动作。 将事件写入日至。 向管理员报警。 将系统内存的内容发送到某个文件中，支持工程师利用这一文件查错。 作为恢复的一部分重启计算机 四、配置桌面环境1.配置区域性设置控制面板中区域设置修改2000显示日期，时间，钱币数量，小数的格式。 （例如文本文件，插入日期，美国，中国时间格式不同）2.配置辅助选项利用辅助功能和?辅助工具向导?为那些有残疾的用户配置计算机。 使用粘滞键-可一个一个按下Alt CtrlDelete。 筛选键-调整键盘对同一字母的响应时间。 切换键-按加锁的键后发出声音可设置鼠标用数字键控制。 利用辅助工具向导可使配置保存为文件。 使配置自动化，可在其它计算机上打开该文件。 3.管理应用程序msi文件Windows可用安装光盘中WinInstall LE为应用程序创建打包文件。 添加/删除程序，可根据程序的大小，使用频度排序。 五、为客户机配置Inter选项1.更改主页2.高速缓存临时Inter文件3.配置代理服务器设置4.为web内容设置安全性级别。 低-大多数内容可被下载。 适用于可信站点。 所有活动内容都可运行。 不向用户发出提示。 中低-大多数内容可被下载，不提示。 不下载未经签署的ActiveX控件。 中-下在潜在的不安全的内容之前发出提示，不下载未经签署的ActiveX控件。 高-禁用cookies（是web服务器放在你硬盘驱动器上的小型文本文件）以及很多其他功能，某些web站点将不能正确工作。 也可自定义安全标准。 第3单元将基于Windows2000的客户计算机连接到网络 一、概述这一章讲学习将Windows2000的计算机连接到Microsoft网络和Novell网络，网络是由多个计算机组成，为实现这些计算机之间进行通信，必须采用公共规则和办法-协议。 二、Windows2000的连接性四个组件可以启动运行Windows2000的计算机与Windows网络和Novell NetWare网络之间的连接。 1.协议是一组规则和约定，用于在网络上发送信息。 这些规则管理在网络设备之间进行数据交换的内容，格式，时间，顺序和错误控制。 2.网络服务，通过网络服务，运行同种协议的计算机可以连接到共享的文件夹和其他资源和共享本地计算机上的资源。 可人工安装NetWare的网关和客户机服务。 （DNS，DHCP,WINS）3.网络适配器是硬件组件。 提供与网络物理接口。 4.绑定，可将多个协议绑定到网卡，根据使用频度，将按提供着顺序协议上下移动。 （打开网络和拨号连接?高级?高级设置） 三、连接到Microsoft网络Microsoft网络依赖于TCP/IP协议，在安装过程中自动安装1.Microsoft网络的客户机2.针对Microsoft网络的文件和打印机共享3.TCP/IP协议4.为实现Microsoft网络内的连接性而安装TCP/IP(演示)5.配置TCP/IP协议，以自动获得IP地址6.DHCP寻址技术，DHCP服务器必须配置使用正确的静态IP地址。 7.自动专用IP寻址技术（只提供IP地址和子网掩码169.254.0.0255.255.0.0）保证能和本网段的计算机通信。 8.配置TCP/IP协议，是指利用静态的IP地址9.如果出现重复的IP地址，在第一个和第二个计算机上出现错误报告。 并且第二个计算机禁用TCP/IP，用ipconfig察看0.0.0.00.0.0.0）10.确认和测试TCP/IP协议配置?IPconfig/allping127.0.0.1ping本机地址?ping默认网关ping远程主机11.连接到Windows2000网络资源?用IE浏览器RUNServer(IP)share映射网络驱动器网上邻居查找连接到Windows2000网络资源。 第4单元创建和管理用户账号 一、关于用户账号的初步介绍本地用户账号-允许用户登陆到计算机。 存储在本地SAM中。 域用户账号-允许用户登陆到网络。 存储在活动目录中。 内置的用户-Administrator和guest,98用户访问2000需启用guest账号。 二、关于创建用户账号的操作要点1.命名约定用户登陆名和完全名称必须唯一用户登陆名最多20个字符，可以包含专有字符和字母字符的组合。 包括空格，不去分大小写。 命名约定重复的雇员名称利用名称+姓的其他字母，标示临时职员T-Judy1。 2.密码操作要点（区分大小写，什么字符多可以）为管理员账号指定密码决定由谁控制密码告诉用户如何使用密码避免使用采用联想色彩的密码如姓氏电话号码采用长密码,最长128位。 采用大写字母和小写字母、数字可同时按下shift或alt ctrl的组合3.账号选项登陆时间段。 指定登陆到的计算机，提高安全性。 指定用户实效期。 三、创建本地用户账号给访问本地计算机上资源的用户创建本地账号，存储在本地SAM中，不能用来登陆到网络 四、创建和配置域用户账号用于用户账号用户可登陆到域，访问网络上任何资源，创建用户账号在活动目录中进行。 1.安装管理工具Server安装光盘的I386文件中Adminpak.msi安装管理工具，或Server WINNTSHIFT RUNAS实现二次登陆。 改变身份。 2.创建于用户账号显示名，登陆名，登陆主名3.设置密码需求条件密码用不失效，任何情况下不允许修改密码。 对于应用程序，或服务使用的域账号。 4.通过创建主文件夹管理用户数据把域用户的主文件夹存储在网络上的服务器，集中存储，备份恢复用户数据，需在网络上最好是NTFS分区上，创建共享文件夹，指定共权限，要有足够的空间。 五、为域用户账号设置属性1.设置个人属性便于查找2.设置账号属性(账号失效时间)3.指定登陆选项（登陆时间和计算机）4.复制域用户账号创建用户模板代表一类雇员，禁用。 配置文件和主文件夹%username%替代，权力不复制，新SID。 5.创建用户账号模板模板用非字母打头出现在顶端。 复制是指定账号名密码，并启用账号。 六、利用用户配置文件自定义用户设置2000中的用户工作环境保的设置值存在各个用户的配置文件中。 用户环境包括显示器，鼠标，区域设置，声音设置，打印机的连接，映射的网络驱动器。 用户登陆要用配置文件初始化用户环境1.用户配置文件的类型默认用户配置文件all user影响所有用户的环境本地用户配置文件漫游用户配置文件（由管理员创建保存在网络上的服务器上Servershare%username%强制性用户配置文件（可是本地用户，也可是漫游用户）把隐藏的文件Ntuser.dat改为Ntuser.man2.创建漫游的和强制性漫游的用户配置文件第5单元利用组管理对资源的访问 一、初步介绍Windows2000中的组管理，可用组来简化授权。 1.Windows2000中组的工作方式可以给用户授权，也可以给组授权。 可以把组添加到另一个组，可以把用户添加到几个组，可以把计算机添加到组。 用户拥有所在组的权利。 在登陆时确定身份。 2.工作组和域中的组本地计算机上的组，在不是域控制器的计算机上创建，其中的组只能在本地计算机上授权，存储在本地SAM中。 域中的组，在域控制器上创建，存储在活动目录中可在整个目录林中的计算机上授权。 二、在工作组中实现组1本地组在非DC的计算机上创建组为创建本地组必须是Administrators组的成员或者Aount Operators组的成员。 书上错误（本地组也能嵌套）2内置本地组安装2000时自动创建的具有预定权利的组，不能删除，只能向其中添加用户或组。 特殊身份的组。 特殊组不可见，针对系统用途自动组织用户。 管理员不能修改其成员。 3在工作组中使用本地组的策略A?L?P4创建本地组组的名称不能使用，最多256个字符。 太长的名称不能全部显示。 说明。 三、在域中实现组1组的类型和范围存储在活动目录中，安全组，分发组主要用来发送消息。 组的作用范围全局组，域本地组，通用组。 2域中的内置组和事先定义的组域中的内置组提供预定义的权利和权限。 不能删除。 特殊身份的组针对系统用途自动组织用户，不可见。 预定义的全局组，利用这些组可以更容易的控制域中的所有用户。 3在单个域中利用组的策略A?G?DL?P，统一域中全局组本地组可以嵌套。 在多域环境可使用通用组。 4关于创建于组的操作要点确定使用那种组。 组织用户创建全局组，为授予某种资源的权限使用本地组。 确定是否有创建组的权限。 管理员可委派用户创建组的权利。 确定组的名称。 创建和删除组向域组中添加成员 四、最佳实践根据用户的职责创建组。 在不是域成员的计算机上创建本地组。 把用户添加到最具限制的组尽量使用内置组，不要随便创建新组。 56第6单元利用NTFS管理数据 一、关于NTFS权限的初步介绍Windows2000只为NTFS分区使用NTFS权限。 访问控制列表ACE。 NTFS文件夹权限-读、写、列出文件夹内容、读和执行（运行应用程序）、修改（可删除改文件夹）、完全控制（改变权限成为拥有人）NTFS文件权限-读、写、读和执行、修改、完全控制。 默认Everyone完全控制。 二、Windows2000怎样应用NTFS权限1多个NTFS权限权限累加、文件权限超越文件夹权限、拒绝权限超越其他权限（应近少使用拒绝权限）。 2NTFS权限的继承在现有的文件夹中创建新文件或文件夹将继承权限。 其次还可拥有独自的权限。 可在上级重置下级权限，将删除下级的特有权限。 也可设置下级阻止继承。 4复制和移动文件和文件夹复制将继承上级权限，移动-同分区移动（权限不变）和不同分区的移动。 5课堂讨论应用NTFS权限 三、利用NTFS权限1授予NTFS权限管理员，文件的拥有者可控制文件的访问权限。 2设置权限的继承性删除，复制上级权限。 3关于授予NTFS权限的最佳实践尽量给组授权而不是用户。 简化管理将文件分组。 只授予用户所要求的访问权限。 按照对资源访问的方式创建组，然后授权。 对应用程序文件夹授权时应授予读和执行的权利，避免病毒和意外删除或损坏。 特殊情况使用拒绝。 四、利用Special权限1初步介绍特殊权限标准权限的进一步细化。 其中包括更改权限，获得所有权。 当前的拥有者和完全控制权限的任何用户可以将“获得所有权”授予其他用户。 管理员组的成员可以获得某个文件夹所有权，然后再授权自己能够访问。 2授予Special权限 五、在NTFS分区上压缩数据可把不常用的数据压缩，压缩对用户透明，有操作系统完成。 1关于压缩文件和文件夹的初步介绍对压缩的文件复制和移动NTFS将按非压缩大小为压缩后的文件分配空间。 使用第三方软件压缩。 压缩状态显示颜色。 对于压缩文件，应用程序读写数据有操作系统自动级压缩和压缩。 2压缩文件和文件夹只将修改应用于该文件夹。 将修改应用于这一文件夹、子文件夹和文件（以后添加的也压缩）。 改变显示颜色。 4复制和移动压缩的文件和文件夹压缩状态是否改变。 5关于压缩数据的最佳实践确定哪类数据被压缩，位图文件压缩比大。 不到原来大小的50%。 对已用压缩软件压缩的文件不要再次进行压缩。 使用不同颜色显示压缩的文件夹。 要压缩不频繁访问的数据。 六、配置NTFS分区上的磁盘限额利用磁盘限额控制用户所用的磁盘空间。 防止某一用户数据占满整个磁盘。 1利用磁盘限额磁盘限额基于文件的所有权控制。 获得所有权时，可能由于磁盘限额而失败。 磁盘限额不是用磁盘压缩计数。 可用使用的磁盘空间基于限额限度计算。 Windows2000独立于各个NTFS磁盘分区来跟踪磁盘限额。 2设置磁盘限额启用将超过限额磁盘空间分配给用户。 对所有用户强制执行磁盘用户。 对个别用户执行强制磁盘限额。 七、利用EFS保护数据EFS内置于2000中的NTFS文件系统。 数据以加密状态保存，又迷要1关于EFS的初步介绍在后台运行对用户和应用程序来说透明。 只有加密的用户能过打开，不管权限如何，有修改权能够删除，但不能打开，或管理员用恢复代理密钥恢复。 NTFS权限在其它系统中无效。 要求至少有一个恢复代理。 加密不能压缩2对文件或文件夹进行加密在加密时向系统申请密钥，在加密文件加重创建新的文件夹自动加密。 3对文件夹或者文件进行解密即使获得了所有权也会被拒绝。 4恢复加密的文件夹或者文件管理员有恢复代理密钥，恢复其他用户机密的文件。 第7单元通过网络访问文件资源 一、概述为了让用户访问网络上的资源，必须共享该资源。 如果用户的数据分布在不同的计算机上，可使用分布式文件系统DFS使用户容易的访问这些文件。 关于共享文件夹的初步介绍1共享文件必须安装Microsoft网络文件和打印机共享。 要想访问其他计算机上的资源必须安装Microsoft网络客户端。 2共享的文件夹可以集中存放应用程序，公共数据，用户的个人数据。 可以集中进行备份。 二、创建共享文件夹1共享文件夹的需求条件可以是域或工作组只有管理员，超级用户才能共享资源。 2共享某个文件夹（不能共享文件）可对某一文件进行多次共享，不同的名称，不同的权限。 隐含共享后加$。 权限-只有通过网络访问时才使用这些共享权限。 在本地访问用NTFS控制。 NTFS和FAT分区都可共享。 可创建用户用本地安全性策略禁止本地登陆。 只允许从网络访问。 3与共享文件夹有关的权限读，修改，完全控制。 权限累加，拒绝优先。 可做实验通过网络访问受共享权限控制。 三、授予权限和修改共享文件夹的设置重命名共享资源。 必须先停止共享，再次共享。 当删除共享的同时有用户正在连接，会提示。 四、连接到共享文件夹网上邻居映射网络驱动器，可配置程每次登陆建立连接。 （考题映射另一台计算机的磁盘，可用命令Net usef:Serverc$工作中要求输入密码）RUNServerSharename或10.0.0.1Sharename UNC路径不用指盘符路径，因为在每台计算机上不能有相同的共享名。 五、对NTFS权限和共享文件夹的权限进行组合最具限制的起作用。 六、使用日常管理型的共享文件夹3系统自动创建的隐含共享，用于管理员进行管理。 不能删除。 4用计算机管理可查看所有共享的C$D$Admin$都被默认隐含共享只有管理员有完全控制权，不能为其授共享权限。 可查看会话，和打开的文件。 第8单元在Windows2000中监测和优化性能 一、概述W2000包括监测系统资源工具，评估计算机的工作符合，“性能监视器”提供内存和处理器的使用情况。 “性能日志”和“警报”功能提供有关操作系统和计算机特定组件对资源使用情况的详细记录。 二、监测事件日志1初步介绍事件日志应用程序日志-包含其他应用程序记录的日志。 安全性日志-记录审核的安全性事件，由管理员指定审核策略。 系统日志-包含W2000系统组件记录的日志，如驱动程序失灵，服务启动失败。 系统组件记录的事件类型事先由w2000确定。 如果安装DC,DNS，DHCP还会有相应的扩展日志。 2系统事件和应用程序事件类型安全日志默认不激活，需人工用策略激活。 系统日志，应用程序日志自动启动。 Information信息-应用程序，驱动程序或者服务正常成功运转。 Warning警告-时间虽然不重要，但提示系统将来可能出现的问题。 Error出错-系统的操作出现了重要问题3查看事件日志在本地查看日志，查看事件的属性（双击）。 查找指定的事件。 通过事件日志的筛选搜索一组事件。 4限制日志文件的大小指定事件日志的大小，当达到指定大小后，采取的动作。 如果选择不改写，将提示日志满，除此之外，还可在安全选项配置日志满时关闭系统。 （考题）5管理事件日志?归档事件日志跟踪不同?时期的日志，?分析资源的使用情况。 归档安全性日志来确定发生过哪些形式的对资源的未经授权的访问。 银行或政府机构要跟据法律保存归档的日志。 a)选择文件格式.evt日志文件格式。 可用事件查看器查看归档的日志。 .txt文本文件格式。 可用文字处理的应用程序查看归档的日志。 .csv逗号定界符文件格式可用电子表格或数据库应用程序打开。 b)用人工的方式清除事件日志 三、利用“任务管理器”监测系统资源利用任务管理器可以查看当前计算机上的进程，内存，处理器的使用情况。 以及各个应用程序使用系统资源的情况。 1检测程序运行情况?可查看当前运行的所有应用程序，和各个程序的状态运行或没响应。 可结束没有响应的应用程序，可把程序转到进程。 ?启动的服务在进程，不算应用程序。 2检测进程的运行情况?查看进程的量度数据CPU各个进程当前占用时间的百分比。 CPU时间，该进程启动以来占用的总的处理器时间。 内存的占用，该进程所占用的主内存量。 ?可针对某一属性排序。 可按CPU使用情况排序，或内存使用情况排序。 查看某一应用程序使用CPU的情况。 可选择进程中显示的列。 3检测性能?显示核心内存总量-被内核模式使用的处理器时间百分比，运行操作系统占用的处理器资源，用来管理内存，文件和维护时间日期，启动应用程序。 ?句柄是特别变量，用于访问某个设备或对象，线程是进程的执行单位，应用程序有一个或多个进程组成。 每打开一个窗口就打开一个进程。 ?物理内存-RAM。 可用量是可分配给进程的物理内存量，系统高速缓存是分配给文件高速缓存的物理内存量。 ?认可用量-总数是被所有进程使用的虚拟内存总量。 限制是在不扩大叶面调度文件的分配给进程的虚拟内存量。 峰值是在特定会话阶段中使用的最大虚拟内存量?核心内存-是分配给操作系统的叶面和非叶面内存之和。 叶面文件又称交换文件，是存放在磁盘上的隐含文件，用来和内存交换数据。 四、利用“系统监视器”监测系统性能如果需要比“任务管理器”提供的还要详细的信息，可利用“系统监视器”获取网络上的任何计算机的更为全面的信息。 1对象、实例、计数器磁盘是对象，具体的是实例，计数器是对象的各个不同的方面的数据。 2添加计数器管理工具-?性能。 可查看各个计数器的说明。 3查看计数器数据可用直方图、报表、图表三种形式查看。 可用CTRL+H显示高量度。 ?可用保存为WEB叶。 用IE进行查看。 五、利用警报添加计数器，为各个计数器设置警报阀值，动作。 六、优化性能通过优化性能，使你的操作系统和应用程序更有效的使用系统资源。 性能“基线”是主观标准，是计算机完成日常工作，能过接受的性能。 1性能优化过程分析监测数据-表示不能接受的性能区域-采取校正动作2检测内存性能一般情况下，虚拟为物理内存的1.5倍。 如果计算机频繁的进行叶面调度，计算机出现了内存短缺的问题。 （考题进行磁盘碎片，加快应用程序响应）可查看叶面调度文件（page/sec计数器）和可利用字节数(available bytej计数器)叶面调度文件（pagefile.sys）指定到和操作系统不同的磁盘上能提高性能。 如果pagefile.sys大小接近设置的大小则应增大加虚拟内存。 3检测处理器性能计数器处理器（%processor Time）显示处理器执行线程时占用的时间%，如大于80%表明出现瓶颈。 系统（Processor QueueLength）显示当前处理队列中线程数目。 超过两个则出现瓶颈。 4检测磁盘性能空余空间（%free space）AvgDisk Bytes/Transfer量度I/O操作规模，传出数据的速度。 等等5检测网络性能用hub连接以太网利用率30-40%，交换机快。 第9单元在Window2000中实现安全性9.2概述这一单元将要学习在Windows的计算机上创建和配置安全性策略。 9.3利用安全性策略保护桌面和服务的安全安全性策略用于防止安全性事故，并对已发生的事故做出响应。 实现安全性策略有效的方式利用安全性模板，安全性模板时特殊的文件，包含安全性设置。 利用模板可以协调一致的配置多台计算机。 1实现安全性策略?通过本地系统策略实现单个计算机上的安全性，适合于小机构或工作组中的计算机。 ?在多台计算机中实现安全性，在起用了活动目录功能的网络上，用组策略部署安全性策略。 组策略将覆盖到域中计算机上的本地策略。 分有效设置和本地设置。 修改安全性设置?本地安全策略的组成账号策略（只有在域级别上设置才生效）、本地策略、公钥策略（可指定多个用户恢复代理证书）、IP安全性策略。 组策略中安全模般的组成附加事件日志，受限组(限制组的成员)，系统服务（配置服务启动设置自动，人工，禁用和安全性），注册表，文件系统（为指定的文件路径配置安全性）-安全模板中有这些设置。 ?可直接修改本地设置，也可把本地（有效）设置导出，可导入安全模板。 利用预定义的安全性模板?Basic基本基本级别模板是2000默认的安全级别。 Basicwk.inf Basicsv.inf Basicdc.inf Compatible兼容提供较高的安全性级别，但仍能保证标准的商业应用程序正常运行。 (考题:升级后不能运行word，应用兼容性模板)Compatws.inf Secure安全提供附加级别的安全性但不能保证标准的商业应程序正常运行。 Securews.inf Securedc.inf High高度安全创建自定义的模板?从正确配置的计算机上导出模板。 ?可用mmc控制台复制现有的模板，重新起名，进行。 创建的模板可以立即使用，也可把它输入GPO分析安全性?把安全性模板与当前计算机的配置进行比较，把比较结果保存在.sdb数据库中。 红色标志表示有矛盾的地方，绿色表示一致。 没有标志表明该设置没有配置在该数据库中。 ?演示分析和配置过程。 从命令行配置和分析安全性Secedit/refreshpolicy machine_policy/enforce Secedit/refreshpolicy user_policy/enforce强制刷新组策略Secedit.exe analyzeor/configure or/export分析、配置、输出。 Secedit.exe/Areas可以利用它配置或者输出特定区域的安全性设置值。 9.5审核对系统的访问利用w2000可以跟踪计算机上用户和操作系统的活动，启用审核功能，当一个审核事件发生时，W2000即在安全性日志中写入一个计事记录。 1、关于审核功能的初步介绍管理员利用审核功能监测跟踪用户计算机的活动。 演示安全日志中的记录内容包括已经执行的动作，用户，成功失败，2?3?456时间，动作企图发生在那个计算机上。 审核策略定义了W2000要记录那类事件。 审核成功的或失败的事件，以及对资源的未经授权的访问企图和成功访问。 查看安全性事件日志。 筛选事件日志。 2、选择要审核的事件账号登陆-登陆到域时由于控制器记录，登陆到本机，有本机记录。 账号管理-禁用，启用，重命名，改密码，添加删除。 访问目录服务-访问活动目录服务对象。 登陆-用户登陆到域或本机，注销，建立或取消到网络的连接。 访问对象-访问文件机文件夹，打印机。 策略的变化-对用户安全性选项，用户权利，或者审核策略的更改。 特权使用-用户实行用户权利如修改系统时间，管理员获取某个文件的所有权。 跟踪进程-应用程序执行某个动作。 系统-用户重启或关闭计算机，或发生了影响W2000的安全性或安全性日志的事件。 3、编制审核策略明确在那台计算机上审核哪类事件，是成功还是失败，或两者都。 决定是否需要跟踪趋势。 周期性的查看日志。 考题可在安全性选项上设置日志满后，关闭系统。 4、建立审核策略在单个计算机上和组策略中设置审核策略。 5、审核对资源的访问先制定审核策略。 再在具体NTFS文件设置审核。 以及对具体打印机的审核设置。 查看安全性事件日志。 9.6试验B配置审核功能第10单元配置打印功能10.2概述这一单元将要学习在Windows2000网络环境中安装和配置打印机。 10.3初步介绍Windows2000的打印功能利用Windows2000,管理员很容易在一个中心场所建立网络打印功能和配置打印资源,允许 95、 98、NT计算机从网络打印设备进行打印。 1Windows2000打印术语打印设备-硬件设备。 ?本地打印机-连接在打印服务器物理端口的打印设备。 ?网络接口打印机-指的是通过网络，而不是通过物理端口连接到打印服?务器，打印设备连接到集线器或交换机。 有自己的CPU内存网址。 打印机-操作系统和打印设备之间的软件接口。 打印机定义文档何时以及通过什么方式到达打印设备。 打印服务器-特定计算机，打印机和客户机驱动程序就在该计算机上接收和处理客户计算机的文档，打印机共享后其他计算机才能使用。 打印驱动程序-将打印命令转换为特定的打印机语言。 打印服务器上必须有相应的打印驱动程序。 配置网络打印机所必需条件?2000的Server许可证数量或professional只能同时连接10台客户机。 ?足够大的内存来处理文档?足够大的磁盘空间来存储打印队列。 可修改打印服务器属性，更改打印文档存储位置关于建立网络打印机的操作?公司打印需求条件-打印设备?的数目和类型?确定各个部门中用户的打印需求条件?确定公司打印服?务器数目?确定打印设备?位置，?便于用户去走打印出的文档?确定那些任务要求较高的优先级。 10.4添加打印机1.为本地打印设备添加和共享打印机通过物理端口连接到打印服务器的本地打印设备的数目，依赖于硬件配置情况。 演示添加本地打印机的过程。 共享名被截取到8.3字符。 如果超过，某些客户机也许不能连接。 域成员可以把打印机发布在活动目录中。 域用户可通过活动目录搜索打印机2.针对网络接口打印设备添加和共享打印机在较大的机构中，大多数打印机是网络接口打印设备。 网络连接传输速度要比打印机电缆连接快。 演示添加网络接口打印机，需安装TCP/IP协议。 5建立客户计算机?当 95、 98、或NT的客户计算机连接到共享的打印机时，这些客户机自动从打印服务器下载相应的驱动程序。 ?运行其他操作系统的客户计算机，必须人工方式在客户机安装打印机驱动程序，并在打印机服务器上安装专用服务。 MacintoshUNIX包含在2000中的服务中，默认不安装。 Netware没有包含在2000Server中。 10.5试验A在打印服务器上安装打印机10.6配置网络打印机 1、共享现已存在的打印机提供共享名，列在目录中，附加的驱动。 2、建立打印机缓冲池?同一个打印机同时指向多个打印设备的端口，不一定是同一种打印设备，但必须使用相同的驱动。 用户无需确定使用那个打印设备即可打印文档，打印机将检测出可用的端口。 ?演示启用打印池 3、设置打印机的优先级34多个打印机指向同一个打印设备端口。 可配置打印机的优先级。 最低优先级1最高99。 在打印机属性-高级-修改优先级。 为不同的打印机设置不同的权限。 指定打印机权限打印-可以连接，并管理自己的打印文档。 管理文档-可以连接，管理所有用户的文档。 管理打印机-可以连接，管理所有用户的文档，共享打印机，修改打印机属性，权限，删除打印机。 2.通过Inter连接到专用网络3.直接连接到另一台计算机指明“主机”还是“客户机”第12单元配置和管理磁盘12.2概述Windows2000提供了两种磁盘类型基本磁盘和动态磁盘。 基本磁盘用在MS-DOS和较早版本的Windows计算机，动态磁盘是Windows2000新增功能，动态磁盘采用了卷的概念，在多个硬盘的计算机上，采用卷比分去更有效的利用磁盘空间。 同时卷还提供数据冗余的选项。 12.3Windows2000磁盘类型 1、基本磁盘基本磁盘上包含主磁盘分区和带逻辑驱动器的扩展磁盘分区。 ?基本磁盘是windows2000默认的存储介质，最多可以包含4个磁盘分区，磁盘分区是硬盘驱动器上的逻辑单位，只能在基本磁盘上创建磁盘分区。 如果安装有多操作系统双引导时，就要利用基本磁盘。 只有2000能识别动态磁盘的操作系统。 ?基本磁盘的分区类型主磁盘分区-在磁盘上尚未分配的空间创建的可存储空间。 要指定驱动器字母。 能引导系统。 扩展磁盘分区-想在磁盘上创建多于四个存储空间时要创建扩展磁盘分区，不给扩展分区指定驱动器字母，在扩展分区创建逻辑驱动器时要指定字母。 （演示创建扩展磁盘分区）逻辑驱动器-在扩展分区内创建逻辑驱动器，并指定驱动器字母。 ?创建分区时应留出最少1M未分配空间。 以备向动态磁盘转化时使用。 2、动态磁盘在动态磁盘存储空间被划分为卷而不是磁盘分区。 可以把静态磁盘升级成动态磁盘。 动态磁盘的长处?卷可以扩展到包含非临接的空间。 ?这些磁盘空间可以是任何可用的磁盘。 ?对每个磁盘上创建的卷的数目没有限制。 7?2000将动态磁盘配置信息存储在磁盘上，而不是注册表或其他位置（这些位置的信息不能准确更新）。 2000将这些磁盘的配置信息复制到所有其它动态磁盘上。 ?动态磁盘的卷的类型1.简单卷。 包含的磁盘空间单个磁盘。 2.条带卷。 把两个或多个（最多32个硬盘）的控与空间组合成为一个卷。 ，向条带卷的写入数据时，数据被分割成64K块，均匀填充到卷的各个磁盘上。 可提高读写性能。 3.跨越卷。 当写入跨越卷时，第一个磁盘上的部分首先被填满。 并不提高读写性能。 4.镜像卷。 是简单卷的两个相同的复制件。 各存储在一个独立的硬盘中。 提供容错和读的性能，但写的性能将下降。 5.RAID-5卷。 具有提供容错能力的条带卷。 要求最低三块硬盘。 能提高读的性能。 12.4在基本磁盘上创建磁盘分区如果要求磁盘必须备Windows NT,95,98支持，应当创建磁盘分区而不是动态卷。 计算机管理-磁盘管理-右击为分配的空间-创建磁盘分区-主