《网络操作系统管理》PPT课件

第1章账户和资源管理介绍第2章管理服务器第3章管理用户和计算机账户第4章管理组第5章组织单位对象的访问管理第6章实现组策略第7章使用组策略管理用户环境第8章应用管理模板和审核策略第9章使用软件更新服务管理软件 第10章服务器性能监视的准备第11章监视服务器性能第12章维护设备驱动程序第13章资源访问管理第14章实现打印第15章打印管理第16章磁盘管理第17章数据存储管理第18章故障恢复的管理 网络操作系统管理 WindowsServer2003的管理 第8章应用管理模板和审核策略 WindowsServer2003安全概述使用安全模板保护计算机测试计算机安全策略配置审核安全日志管理 WindowsServer2003安全概述 用户权利用户权利与权限分配给内置组的用户权利分配用户权利课堂练习分配用户权利 8 1WindowsServer2003安全概述 用户权利 用户权限的范例 8 1 1用户权利 用户权利与权限 用户权利 系统上的行为 权限 对象上的行为 备份 8 1 2用户权利与权限 分配给内置组的用户权利 内置本地组 AdministratorsBackupOperatorsPowerUsersRemoteDesktopUsersUsers 用户容器中的组 DomainAdminsEnterpriseAdmins 8 1 3分配给内置组的用户权利 分配用户权利 演示 如何手工分配用户权限 8 1 4分配用户权利 课堂练习分配用户权利 目的 移除用户权利 然后测试是否移除成功添加用户权利 然后测试是否添加成功 8 1 5课堂练习分配用户权利 第8章应用管理模板和审核策略 WindowsServer2003安全概述使用安全模板保护计算机测试计算机安全策略配置审核安全日志管理 使用安全模板保护计算机 安全策略安全模板安全模板设置创建自定义安全模板导入安全模板课堂练习使用安全模板保护计算机 8 2使用安全模板保护计算机 安全策略 8 2 1安全策略 安全模板 8 2 2安全模板 安全模板设置 安全模板 设置安全 设置范例 8 2 3安全模板设置 创建自定义安全模板 演示 自定义安全模板创建新的安全模板 8 2 4创建自定义安全模板 导入安全模板 演示 导入安全模板到本地计算机导入安全模板到组策略对象 8 2 5导入安全模板 课堂练习使用安全模板保护计算机 目的 创建安全模板导入安全模板到组策略对象 8 2 6课堂练习使用安全模板保护计算机 第8章应用管理模板和审核策略 WindowsServer2003安全概述使用安全模板保护计算机测试计算机安全策略配置审核安全日志管理 测试计算机安全策略 安全配置和分析 工具测试计算机安全课堂练习测试计算机安全 8 3测试计算机安全策略 安全配置和分析 工具 模板设置 实际设置 与模板不匹配的设置 8 3 1 安全配置和分析 工具 测试计算机安全 演示 演示使用安全配置工具来分析计算机安全 8 3 2测试计算机安全 课堂练习测试计算机安全 目的 创建自定义安全模板利用自定义安全模板分析计算机上的安全设置 8 3 3课堂练习测试计算机安全 第8章应用管理模板和审核策略 WindowsServer2003安全概述使用安全模板保护计算机测试计算机安全策略配置审核安全日志管理 配置审核 审核审核策略需要审核的事件类型制定审核策略的原则启用审核策略启用文件和文件夹审核课堂练习启用文件和文件夹审核启用ActiveDirectory对象审核课堂练习启用组织单位审核配置审核的最佳实践 8 4配置审核 审核 审核通过记录服务器或工作站上安全日志中的事件的选择类型 来跟踪用户和操作系统的行为 审核启用创建基线判断威胁和攻击 判断危险防范将来的危险 审核对象访问 账户管理 用户登录和注销 8 4 1审核 审核策略 审核策略判断安全事件并报告给网络管理员设置审核策略跟踪成功或失败事件最小化对资源未授权的访问维护记录活动事件存储在安全日志中 8 4 2审核策略 需要审核的事件类型 账户登录账户管理目录服务访问登录对象访问策略改变权限使用过程跟踪系统事件 8 4 3需要审核的事件类型 制定审核策略的原则 决定计算机安全审核是否开启 决定哪些事件需要审核 决定审核成功或失败事件 决定是否需要跟踪 经常查看安全日志 8 4 4制定审核策略的原则 启用审核策略 演示 在本地计算机上配置审核策略在域或组织单位配置审核策略 8 4 5启用审核策略 启用文件和文件夹审核 演示 启用文件和文件夹审核 8 4 6启用文件和文件夹审核 课堂练习启用文件和文件夹审核 目的 启用文件和文件夹审核 8 4 7课堂练习启用文件和文件夹审核 启用ActiveDirectory对象审核 演示 委派一个账户来审核针对组织单位启用审核 8 4 8启用ActiveDirectory对象审核 课堂练习启用组织单位审核 目的 在组织单位上启用审核 8 4 9课堂练习启用组织单位审核 配置审核的最佳实践 8 4 10配置审核的最佳实践 第8章应用管理模板和审核策略 WindowsServer2003安全概述使用安全模板保护计算机测试计算机安全策略配置审核安全日志管理 安全日志管理 日志文件常见安全事件管理安全日志文件管理安全日志文件信息查看安全日志事件课堂练习管理日志文件信息 8 5安全日志管理 日志文件 应用程序安全系统目录服务文件复制服务 事件查看器日志类型 8 5 1日志文件 常见安全事件 8 5 2常见安全事件 管理安全日志文件 8 5 3管理安全日志文件 停止 C0000244 审核失败 未能生成安全审核问题解决 原因 设置了如果无法记录安全审核则立即关闭系统如果启用该安全设置 则无论什么原因 只要系统无法记录安全审核 就会终止系统如果安全日志已满并且无法改写现有条目 同时还启用了该安全选项 则会显示标题出现的问题问题解决 以管理员身份登录将日志存档 可选 清除日志重新设置该安全设置 8 5 3管理安全日志文件 管理安全日志文件信息 演示 通过使用 计算机管理 管理安全日志文件通过组策略管理安全日志文件 8 5 4管理安全日志文件信息 查看安全日志事件 演示 安全日志文件筛选安全日志文件查看 8 5 5查看安全日志事件 课堂练习管理日志文件信息 目的 配置安全日志属性验证事件被记录到安全日志文件 8 5 6课堂练习管理日志文件信息 实验管理安全设置 目的 创建自定义安全模板测试计算机配置与自定义安全模板不相符的内容通过组策略部署自定义安全模板组织单位上审核策略配置 回顾 学习完本章后 将能够 能够进行审核策略设置能够熟练配置日志相关选项能够查看安全日志能够排除日志设置中常见问题 随堂练习1 你是公司的网络管理员 网络包含两个属于一个林的两个活动目录域构成 每个域的功能级别为Windows2000混合 你的工程部有3000名员工 工程人员用户是不同全局组的成员 公司计划开设一个新的办公室让工程人员测试产品 新办公室需要连接到公司的网络 你要确保工程部的新用户账户具有使用远程访问访问网络的权限 你要使管理花费最少 首先你创建了工程部用户的模板账户 你还需要哪两步操作 修改设计架构 选中office和street的 索引活动目录中的属性 复选框修改设计架构 选中组属性的 索引活动目录中的属性 复选框手动在每个新创建的用户账户中添加允许 远程访问 权限手动添加新创建的用户账户的组关系将组关系信息添加到模板账户中在模板账户中添加允许 远程访问 权限 随堂练习2 你是活动目录域的管理员 网络中只有一个域 所有服务器安装WindowsServer2003系统 你安装了一台新的服务器Server6 你在Server6上安装应用程序 由于Server6的NTFS权限控制过于严格 程序无法启动 你使用应用程序生产商提供模板修改NTFS权限 但在安装了一个更新后 该应用程序再次不能使用 你要恢复到原来的系统安全级别 你应当将哪个模板导入Server6的本地安全策略 A Syssetup inf模板 B Profsec inf模板 C Defltsv inf模板 D Netserv inf模板 随堂练习3 你是活动目录域的管理员 网络中只有一个域 所有服务器安装WindowsServer2003系统 所有的客户计算机安装WindowsXPProfessional 一个员工的计算机的一个分区使用NTFS分区 他在计算机上创建了Data doc文件 他想要共享该文件 他分配给域用户安全组该文件的读权限 他将文件移动到共享文件夹File1中 File1的权限为Users组 读权限 Managers组 修改权限 另一位经理试图编辑文件时 提示错误信息 你应当如何做 选择文件夹File1的 Replacepermissionentriesonallchildobjectswithentriesshownherethatapplytochildobjects 选项选择文件夹File1的 Inheritfromparentthepermissionentriesthatapplytochildobjects Includethesewithentriesexplicitlydefinedhere 选项 使用Secedit exe导入模板Rootsec inf使用Secedit exe导入模板Hisecws inf 随堂练习4 你是活动目录域的管理员 网络中只有一个域 所有服务器安装WindowsServer2003系统 所有的客户计算机安装WindowsXPProfessional 你在一台名为Server2的WindowsServer2003计算机上安装了软件更新服务 SUS 你想要所有的客户计算机从Server2下载更新 你决定修改默认域策略组组策略对象 GPO 设置Sever2作为所有计算机的SUS服务器 当你打开默认域策略组组策略对象发现没有WindowsUpdate设置 你需要导入哪一个管理模板 A conf admB GAL11 admC wuau admD inf11 adm 随堂练习5 你是活动目录域的管理员 网络中只有一个域 所有服务器安装WindowsServer2003系统 所有的客户计算机安装WindowsXPProfessional 所有的客户计算机对象存储在Client组织单位中 客户计算机从Microsoft的网站上下载安全补丁 你在一台名为Server1的WindowsServer2003计算机