win2003的安装与配置.ppt

,第3章WindowsServer2003的安装与配置,本章学习目标：了解WindowsServer2003的服务器角色、优点；掌握4个版本掌握WindowsServer2003的安装；了解其启动过程掌握活动目录的概念、域控制器的安装和配置、活动目录中的用户、计算机账号与组的管理掌握WindowsServer2003磁盘管理、资源共享,3.1概述,3.1.1WindowsServer2003的简介1WindowsServer2003的服务器角色,文件和打印服务器Web服务器和Web应用程序服务器邮件服务器终端服务器远程访问/虚拟专用网络（VPN）服务器目录服务器域名系统（DNS）动态主机配置协议（DHCP）服务器WindowsInternet命名服务（WINS）流媒体服务器,3.1概述,3.1.1WindowsServer2003的简介2WindowsServer2003的优点,可靠性高效性联网最经济可用性可伸缩性安全性,3.1概述,3.1.2WindowsServer2003的版本,WindowsServer2003标准版（StandardEdition）WindowsServer2003企业版（EnterpriseEdition）WindowsServer2003数据中心版（DatacenterEdition）WindowsServer2003Web版（WebEdition）,3.2WindowsServer2003的安装与启动,3.2.1安装前的准备,1备份文件2检查计算机硬件和软件的兼容性3硬件配置要求4选择磁盘分区5选择文件系统6确定安装方式,3.2WindowsServer2003的安装与启动,3.2.2安装WindowsServer2003服务器,WindowsServer2003服务器可使用多种方式进行安装：包括全新安装、升级安装和网络安装等。各种安装方式过程相似，大体包括以下三个阶段：预复制阶段文本模式阶段图形用户界面模式阶段,3.2WindowsServer2003的安装与启动,3.2.3WindowsServer2003的启动,WindowsServer2003的启动过程大致分为5个步骤：预启动启动（NTLDR、N）装载内核（Ntoskrnl.exe）初始化内核用户登录（Winlogon.exe）,3.3系统管理与配置,3.3.1活动目录概述,1活动目录活动目录(ActiveDirectory)是WindowsServer2003操作系统提供的一种新的目录服务。所谓目录服务其实是提供了一种按层次结构组织的信息，然后按名称关系检索信息的服务方式。这种服务提供了一个存储在目录中的各种资源的统一管理视图，从而减轻了企业的管理负担。目录服务由两部分内容构成，一部分是目录：一部分是服务。目录是Windows操作系统中用于存储用户感兴趣对象的信息资源。服务(Service)是对提出要求的正确响应，活动目录的最终目的是方便用户使用其上的内容，目录是放置存储信息，服务是按要求来提取信息。,3.3系统管理与配置,3.3.1活动目录概述,2活动目录的逻辑结构WindowsServer2003的活动目录是由对象(Object)、域(Domain)、组织单元(OrganizationalUnits)、树(Trees)和森林(Forest)构成的层次结构。(1)对象(Object)是对某具体事物即某种物理对象的命名，如用户、组、打印机、共享文件夹、数据库系统、应用程序等，每个对象都表示网络中的某个实体。一个用户对象的属性可能包含用户的Name、Email和Phone等。(2)域(Domain)是WindowsServer2003活动目录的核心单元，是共享一活动目录的一组计算机集合。活动目录可以由一个或者多个域组成，其中每个域都拥有其独立的安全策略以及与其他域之间的安全关系。特点：安全的边界、复制的单元,3.3系统管理与配置,3.3.1活动目录概述,2活动目录的逻辑结构(3)组织单元(OU)是组织、管理一个域内对象的容器，它能包容用户账号、用户组、计算机、打印机和其他的组织单元。域可以被分割成几个更加易于管理的单元，其中每个单元都是域中一种目录对象的集合，称之为组织单元。(4)树(Trees)，又称为域树，用来描述对象及容器的分层结构关系。域树是由若干个具有共同的模式、配置的域构成的，形成了一个临近的名字空间(5)森林(Forest)又称为域林、树林。域树的集合称为域林，域林中可能有多棵域树的存在，域林中不会有一个共享的连续命名为空间，域林是将不连续命名空间的域树组合在一起。域林的最大特点就是不连续的命名空间。在域、域树和域林中，域和域林都有管理员，而域树没有。,3.3系统管理与配置,3.3.2安装和配置域控制器,1域控制器在WindowsServer2003中，域中所有的域控制器之间都是平等的关系，不再区分主域控制器和备份域控制器，统一称作域控制器或域服务器，活动目录的全部内容存放在域控制器上，它负责活动目录数据库的维护、用户身份的验证和活动目录的安全性。域控制器（域服务器）与普通服务器的区别是在计算机上是否存放了活动目录的数据库文件。,3.3系统管理与配置,3.3.2安装和配置域控制器,2安装域控制器3安装设置其他的域控制器,3.3系统管理与配置,3.3.3管理活动目录中的用户和计算机账号,1用户账号的类型(1)内置用户账号(Built-InAccounts),(2)域用户账号(DomainUserAccounts)(3)本地用户账号(LocalUserAccounts),系统管理员(Administrator)来宾(Guest)远程协助(HelpAssistant),3.3系统管理与配置,3.3.3管理活动目录中的用户和计算机账号,2用户账号的命名策略(1)账号名称的命名原则,1)每一个用户的账号名称在ActiveDirectory中是唯一的，不同的用户使用不同的账号名称。2)WindowsServer2003中用户登录名的前缀没有限制。3)登录名可以是除了下列字符以外的所有Unicode字符：前导空格；尾随空格以及“#”、“，”、“”、“”、“”、“：”。4)当一个网络中的用户数较多时，账号名称应该便于记忆和区分。,3.3系统管理与配置,3.3.3管理活动目录中的用户和计算机账号,(2)账号的密码要求(强密码)密码至少有6个字符长，它不包含用户账号的全部或部分，并至少包含以下四类字符中的三类：大写字母、小写字母、基本的10个数字以及键盘上的符号（例如！、#）。通过要求强密码并实行账号锁定策略，有助于防卸攻击者对域的攻击。强密码减少了对密码的智能猜测以及词典攻击的风险。(3)账号选项,登录时间允许用户登录的计算机账号的使用时限等,3.3系统管理与配置,3.3.3管理活动目录中的用户和计算机账号,3管理活动目录中的用户账号,(1)用户账号的添加(2)用户账号的删除(3)用户账号的移动(4)用户账号的重命名(5)用户账号的启用与停用(6)更改用户账号和密码(7)设置用户账号属性(8)更改用户后缀,3.3系统管理与配置,3.3.3管理活动目录中的用户和计算机账号,4管理活动目录中的计算机账号,(1)添加计算机账号(2)设置计算机账号的属性(3)管理远程客户计算机,3.3系统管理与配置,3.3.4管理活动目录中的组,1组的分类,(1)组的类型(安全组和分布式组)(2)组的作用范围(通用组、全局组和域内本地组)(3)系统内置组,2活动目录中组的管理(1)管理组时应注意的问题,1)一个用户可以是多个组的成员。2)一个组也可以是另一个组的成员中，可以将一个组添加到其他组中，实现组的嵌套。当给上层组设置权限时，嵌套在该组中的下层组将自动继承其权限，而不需要对多个组单独进行设置，减少了设置权限的次数。,3.3系统管理与配置,3.3.4管理活动目录中的组,2活动目录中组的管理,(2)组的创建(3)组的删除(4)组的重命名(5)组成员的添加(6)组成员的删除,3.4系统访问控制,3.4.1利用NTFS实现文件系统的安全,1WindowsServer2003支持的文件系统类型,(1)FAT文件系统(FAT16和FAT32)(2)NTFS简介,1)NTFS文件系统的优点2)NTFS的安全特性,3.4系统访问控制,3.4.1利用NTFS实现文件系统的安全,2管理文件和文件夹的访问许可权,(1)NTFS文件权限的类型,读取：此权限允许用户读取文件内的数据、查看文件的属性、查看文件的所有者、查看文件的权限。写入：此权限包括覆盖文件、改变文件的属性、查看文件的所有者、查看文件的权限等。读取及运行：除了具有“读取”的所有权限，还具有运行应用程序的权限。修改：此权限除了拥有“写入”、“读取及运行”的所有的权限外，还能够更改文件内的数据、删除文件、改变文件名等。完全控制：拥有所有的NTFS文件的权限，也就是拥有上面所提到的所有权限，此外，还拥有“修改权限”和“取得所有”权限。,3.4系统访问控制,3.4.1利用NTFS实现文件系统的安全,2管理文件和文件夹的访问许可权,(2)设置安全的访问许可权,对服务器上的所有文件，实施强有力的基于许可的安全措施。对中低安全性的安装，除系统卷和引导卷外，所有驱动器上均实施域用户(DomainUser)管理，避免使用缺省的每个用户(Everyone)、完全控制(Fullcontrol)许可等安全措施。对于高安全性安装，去掉所有Everyone、完全控制许可权。不要用缺省许可代替，只在特别需要的地方才增加许可。以机构中的自然关系为基础建立组，按组分配文件许可权。利用第三方的许可审计软件管理复杂环境中的许可权问题。,3.4系统访问控制,3.4.1利用NTFS实现文件系统的安全,2管理文件和文件夹的访问许可权,(3)文件与文件夹的访问许可冲突,随着网络环境下的共享文件和文件夹的创建，可能会出现资源许可权冲突。当某个用户是多个组的成员时，其中的某些组可能允许访问某种资源，而其他组的成员被拒绝访问它。另外，有时也可能出现重复的许可。,权限的累加性。用户对每个资源的有效权限是其所有权限的总和，即权限相加，把所有的权限加在一起为该用户的权限。对资源的拒绝权限会覆盖掉所有其他的权限。例如，当用户对某一个资源的权限被设为拒绝访问，则用户的最后权限是无法访问该资源，其他的权限不再起作用。文件权限会覆盖掉文件夹权限。当用户或组对某个文件夹以及该文件夹下的文件有不同的访问权限时，用户对文件的最终权限是用户被赋予访问该文件的权限。例如，共享文件夹允许完全控制而文件允许只读，则该文件为只读。,3.4系统访问控制,3.4.1利用NTFS实现文件系统的安全,2管理文件和文件夹的访问许可权,(4)查看文件与文件夹的访问许可权(5)更改文件或文件夹的访问许可权,3.4系统访问控制,3.4.2WindowsServer2003磁盘管理,磁盘管理的新功能和新特征主要包括：,简化任务和直观的用户界面。基本和动态磁盘存储本地和网络驱动器管理从命令行（DISKPART）管理磁盘,“磁盘管理”MMC控制台可以完成以下功能：,创建和删除磁盘分区。创建和删除扩展分区中的逻辑驱动器。读取磁盘状态信息，如分区大小。读取WindowsServer2003卷的状态信息，如驱动器名的指定、卷标、文件类型、大小及可用空间。指定或更改磁盘驱动器及CD-ROM设备的驱动器名和路径。创建和删除卷和卷集。创建和删除包含或者不包含奇偶校验的带区集。建立或拆除磁盘镜像集。保存或还原磁盘配置。,3.4系统访问控制,3.4.2WindowsServer2003磁盘管理,1基本磁盘管理基本磁盘主要包含主磁盘分区、扩展磁盘分区或逻辑驱动器的物理磁盘，它们都是以分区方式组织和管理磁盘空间。基本磁盘可包含最多4个主磁盘分区，或者3个主磁盘分区附加1个扩展磁盘分区，而在扩展分区中可包含多个逻辑驱动器。主磁盘分区是物理磁盘的一部分，它像物理上独立的磁盘那样工作。主磁盘分区通常用于启动操作系统。可以在不同的主分区安装不同的操作系统，以实现多系统的引导。扩展磁盘分区是相对于主磁盘分区而言的一种分区类型。一个硬盘可将除主磁盘分区外的所有磁盘空间划为扩展磁盘分区。在扩展磁盘分区中可以创建一个或多个逻辑驱动器。逻辑驱动器类似于主磁盘分区，它可以被格式化并被指派驱动器号。,3.4系统访问控制,3.4.2WindowsServer2003磁盘管理,1基本磁盘管理基本磁盘管理的主要任务是查看分区情况，并根据实际需要添加、删除、格式化分区，指派、更改或删除驱动器号，将分区标记为活动分区等。,(1)创建分区(2)格式化分区(3)删除分区,3.4系统访问控制,3.4.2WindowsServer2003磁盘管理,2动态磁盘管理动态磁盘可以提供一些基本磁盘所不具备的功能，例如创建可跨越多个磁盘的卷（跨区卷和带区卷）和创建具有容错能力的卷（镜像卷和RAID-5卷）。所有动态磁盘上的卷都是动态卷。动态卷有五种类型：简单卷、跨区卷、带区卷、镜像卷和RAID-5卷。,(1)磁盘类型转换,1)基本磁盘升级到动态磁盘2)动态磁盘转换为基本磁盘,3.4系统访问控制,3.4.2WindowsServer2003磁盘管理,2动态磁盘管理(2)卷的类型卷，相当于基本磁盘的分区，是WindowsServer2003的数据存储单元。WindowsServer2003支持5种类型的动态卷。,简单卷是动态卷中的最基本单位，它的地位与基本磁盘中的主磁盘分区相当。跨区卷是几个（大于一个）位于不同物理磁盘的未指派空间组合成的一个逻辑卷。带区卷与跨区卷类似，带区卷也是几个(大于一个)分别位于不同磁盘的未指派空间所组合成的一个逻辑卷。不同的是，带区卷的每个成员的容量大小相同，并且数据写入是以64KB为单位平均写到每个磁盘内。单纯从速度方面考虑，带区卷是WindowsServer2003所有磁盘管理功能中，运行速度最快的卷。带区卷功能类似于磁盘阵列RAID0(条带化存储，存取速度快，但不具有容错能力)标准。带区卷不具有扩展容量的功能。,3.4系统访问控制,3.4.2WindowsServer2003磁盘管理,2动态磁盘管理(2)卷的类型,镜像卷的创建有两种形式，可以用一个简单卷与另一磁盘中的未指派空间组合，也可以由两个未指派的可用空间组合。这两个区域存储完全相同的数据，当一个磁盘出现故障时，系统仍然可以使用另一个磁盘内的数据，因此，它具备容错的功能。但它的磁盘利用率不高，只有50%。它可以包含系统卷和启动卷。镜像卷具有容错能力。RAID-5卷有一点类似于带区卷，也是由多个分别位于不同磁盘的未指派空间所组成的一个逻辑卷。具有一定的容错能力。其功能类似于磁盘阵列RAID-5标准。RAID-5卷至少要由3个磁盘组成，系统在写入数据时，以64KB为单位。RAID-5卷的磁盘空间有效利用率为(n-1)/n，其中n为磁盘的数目。,3.4系统访问控制,3.4.2WindowsServer2003磁盘管理,3高级磁盘管理功能,(1)磁盘配额的含义,在WindowsServer2003网络中，管理员在很多情况下都需要为客户端指定可以访问的磁盘空间配额，也就是限制用户可以访问服务器磁盘空间的容量。这样做的目的是避免个别用户滥用磁盘空间。磁盘配额除了限制内部网络用户能够访问服务器磁盘空间的容量以外，还有其他一些用途。例如，WindowsServer2003内置的电子邮件服务器无法设置用户邮箱的容量，那么可以通过限制每个用户可用的磁盘空间容量以限制用户邮箱的容量；WindowsServer2003内置的FTP服务器，无法设置用户可用的上传空间大小，也可以通过磁盘配额限制，限定用户能够上传到FTP的数据量；通过磁盘配额限制Web网站中个人网页可使用的磁盘空间。,3.4系统访问控制,3.4.2WindowsServer2003磁盘管理,3高级磁盘管理功能(2)启用磁盘配额在启用磁盘配额时系统管理