組策略磁盤管理和網(wǎng)絡(luò)測試

1、組策略磁盤管理和網(wǎng)絡(luò)測試本地與非本地組策略 存儲在域控制器中的非本地組策略對象只能在Active Directory環(huán)境下使用。它們適用于組策略對象所關(guān)聯(lián)的站點、域或組織單位中的用戶和計算機。本地組策略對象存儲在各個本地計算機上。一臺計算機上只存儲一個本地組策略對象，而且它有一個在非本地組策略對象中可用的設(shè)置子集。如果二者的設(shè)置發(fā)生沖突，非本地組策略對象的設(shè)置能覆蓋本地組策略對象的設(shè)置。如果不沖突，則都可以應(yīng)用。使用組策略，我們可以對用戶工作環(huán)境狀態(tài)只定義一次，然后靠系統(tǒng)實施管理員定義的策略，對用戶和計算機進行管理。一、組策略安全概述組策略包括應(yīng)用于域或計算機組的大量安全權(quán)限配置文件。一個組策

2、略對象可以應(yīng)用到局域網(wǎng)內(nèi)的所有計算機。單個計算機啟動時，組策略得以應(yīng)用，如果作出改動時沒有重新啟動計算機，組策略會得到定期刷新。1、組策略工作原理組策略與Active Directory用戶中的域和文件夾以及MMC管理單元相關(guān)聯(lián)。組策略授予的權(quán)限應(yīng)用到存儲于該文件夾中的計算機上。使用Active Directory站點和服務(wù)管理單元還可將組策略應(yīng)用到站點。子文件夾從父文件夾繼承組策略，子文件夾也可能依次有自己的組策略對象。指派給一個文件夾的組策略可能不止一個。 組策略是安全組的補充，可以將單一安全配置文件應(yīng)用到多臺計算機上。它加強了一致性并易于管理。組策略對象包含實現(xiàn)多種類型安全策略的權(quán)限和參

3、數(shù)。 總之，組策略可由父站點傳遞到子站點和局域網(wǎng)。如果將一個特定組策略指派給高級的父站點，這個組策略會應(yīng)用到父等級以下所有站點，包括每個容器中的用戶和計算機對象。2、組策略的安全設(shè)置位于組策略對象“安全設(shè)置”節(jié)點的容器包括：賬戶策略、本地策略、事件日志、受限組、系統(tǒng)服務(wù)、注冊表、文件系統(tǒng)、公鑰策略、Active Directory中的網(wǎng)際協(xié)議安全策略等。有些策略只應(yīng)用于域的范圍，也就是說，策略設(shè)置是在域范圍內(nèi)進行的。例如賬戶策略一律應(yīng)用于域內(nèi)的所有用戶賬戶。不能為同一域內(nèi)的不同部門定義不同賬戶策略。至于安全策略范圍，賬戶策略和公鑰策略都具有域范圍。所有其它策略范圍都可在部門等級設(shè)定。3、安全模

4、板Windows 2000為在網(wǎng)絡(luò)環(huán)境設(shè)置中的使用提供了一套安全模板?！鞍踩０濉笔荳indows 2000域控制器、服務(wù)器或客戶計算機上適合某一特定安全等級的安全設(shè)置配置文件。例如，hisecdc模板包括適合高安全性域控制器的設(shè)置。可以把安全配置文件導(dǎo)入組策略對象并把它應(yīng)用到一個等級的計算機上。把安全配置文件導(dǎo)入個人數(shù)據(jù)庫用來檢查和配置本地計算機的安全策略。二、實施組策略安全管理在Windows 2000局域網(wǎng)中實施安全管理應(yīng)分別從服務(wù)器和工作站兩方面進行。首先應(yīng)在服務(wù)器上安裝活動目錄服務(wù)，然后在域上實施組策略；其次應(yīng)將工作站置于服務(wù)器所管理的域中。1、啟動活動目錄服務(wù)在“程序管理工具配置服

5、務(wù)器”選項中，選定左邊的“Active Directory”，啟動活動目錄安裝向?qū)А?設(shè)置過程中關(guān)鍵是要將服務(wù)器設(shè)置為第一個域目錄樹，DNS域名輸入ISP提供的域名，若不連接國際互聯(lián)網(wǎng)，也可任意設(shè)定。2、打開組策略控制臺啟動“Active Directory目錄和用戶”項，在右面對象容器樹中的根目錄上單擊右鍵，然后單擊“屬性”項，在新打開的窗口中單擊“組策略”選項卡，即可打開組策略控制臺。3、設(shè)置組策略Windows 2000組策略有100多個與安全有關(guān)的設(shè)置和450多個基于注冊表的設(shè)置，為管理用戶計算機環(huán)境提供了眾多的選項，某一選項一旦被設(shè)置將會作用于登錄到域上的所有用戶和工作站。這里將幾個

6、常用策略的設(shè)置步驟作介紹，作為策略設(shè)置的參考：（1）、啟用“登錄屏幕”上不顯示上次登錄的用戶名這一選項可以保護用戶賬號的安全，阻止賬號盜用行為的發(fā)生。該選項所處位置按照“計算機配置安全設(shè)置本地策略安全選項”的順序查找，雙擊該選項，選擇“啟用”。當(dāng)用戶下次登錄域時，該項策略將被應(yīng)用在用戶操作的工作站上。（2）、啟動“活動桌面墻紙”使用此選項，局域網(wǎng)上登錄域的所有計算機將使用同一桌面墻紙，并且不能被更改。因此，可以通過這一項策略的設(shè)置，防止臨時用戶隨意更換桌面墻紙，使局域網(wǎng)中的工作站具有相同的界面。該選項所處的位置是“用戶配置管理模板桌面活動桌面”。總結(jié)： 綜合應(yīng)用Windows 2000的賬號安

7、全、組策略安全和文件夾權(quán)限等安全屬性，可以很好地保護局域網(wǎng)中各工作站的安全。同時，使用賬號安全屬性對系統(tǒng)文件進行保護，還可對病毒的破壞起到防范作用。第二講 RAID介紹 RAID，為Redundant Arrays of Independent Disks的簡稱，中文為廉價的磁盤冗余陣列，或簡稱磁盤陣列。 簡單的說，RAID是一種把多塊獨立的硬盤（物理硬盤）按不同的方式組合起來形成一個硬盤組（邏輯硬盤），從而提供比單個硬盤更高的存儲性能和提供數(shù)據(jù)備份技術(shù)。組成磁盤陣列的不同方式成為RAID級別（RAID Levels）。數(shù)據(jù)備份的功能是在用戶數(shù)據(jù)一旦發(fā)生損壞后，利用備份信息可以使損壞數(shù)據(jù)得以恢

8、復(fù)，從而保障了用戶數(shù)據(jù)的安全性。在用戶看起來，組成的磁盤組就像是一個硬盤，用戶可以對它進行分區(qū)，格式化等等?？傊?，對磁盤陣列的操作與單個硬盤一模一樣。不同的是，磁盤陣列的存儲速度要比單個硬盤高很多，而且可以提供自動數(shù)據(jù)備份。RAID技術(shù)的發(fā)展 RAID技術(shù)的兩大特點：一是速度、二是安全，由于這兩項優(yōu)點，RAID技術(shù)早期被應(yīng)用于高級服務(wù)器中的SCSI接口的硬盤系統(tǒng)中，隨著近年計算機技術(shù)的發(fā)展，機的CPU的速度已進入GHz 時代。IDE接口的硬盤也不甘落后，相繼推出了ATA66和ATA100硬盤。這就使得RAID技術(shù)被應(yīng)用于中低檔甚至個人機上成為可能。RAID通常是由在硬盤陣列塔中的RAID控制器

9、或電腦中的RAID卡來實現(xiàn)的。 RAID技術(shù)經(jīng)過不斷的發(fā)展，現(xiàn)在已擁有了從 RAID 0 到 6 七種基本的RAID 級別。另外，還有一些基本RAID級別的組合形式，如RAID 10（RAID 0與RAID 1的組合），RAID 50（RAID 0與RAID 5的組合）等。不同RAID 級別代表著不同的存儲性能、數(shù)據(jù)安全性和存儲成本。但我們最為常用的是下面的幾種RAID形式。 (1) RAID 0 RAID 0又稱為Stripe（條帶化）或Striping，它代表了所有RAID級別中最高的存儲性能。RAID 0提高存儲性能的原理是把連續(xù)的數(shù)據(jù)分散到多個磁盤上存取，這樣，系統(tǒng)有數(shù)據(jù)請求就可以被多

10、個磁盤并行的執(zhí)行，每個磁盤執(zhí)行屬于它自己的那部分數(shù)據(jù)請求。這種數(shù)據(jù)上的并行操作可以充分利用總線的帶寬，顯著提高磁盤整體存取性能。RAID 0從理論上講，上圖中三塊硬盤的并行操作使同一時間內(nèi)磁盤讀寫速度提升了3倍。 但由于總線帶寬等多種因素的影響，實際的提升速率肯定會低于理論值，但是，大量數(shù)據(jù)并行傳輸與串行傳輸比較，提速效果顯著顯然毋庸置疑。RAID 0的缺點是不提供數(shù)據(jù)冗余，因此一旦用戶數(shù)據(jù)損壞，損壞的數(shù)據(jù)將無法得到恢復(fù)。RAID 0具有的特點，使其特別適用于對性能要求較高，而對數(shù)據(jù)安全不太在乎的領(lǐng)域，如圖形工作站等。對于個人用戶，RAID 0也是提高硬盤存儲性能的絕佳選擇。 (2) RAID

11、 1 RAID 1又稱為Mirror或Mirroring（鏡像），它的宗旨是最大限度的保證用戶數(shù)據(jù)的可用性和可修復(fù)性。 RAID 1的操作方式是把用戶寫入硬盤的數(shù)據(jù)百分之百地自動復(fù)制到另外一個硬盤上。 RAID1 如上圖所示：當(dāng)讀取數(shù)據(jù)時，系統(tǒng)先從RAID 0的源盤讀取數(shù)據(jù)，如果讀取數(shù)據(jù)成功，則系統(tǒng)不去管備份盤上的數(shù)據(jù)；如果讀取源盤數(shù)據(jù)失敗，則系統(tǒng)自動轉(zhuǎn)而讀取備份盤上的數(shù)據(jù)，不會造成用戶工作任務(wù)的中斷。當(dāng)然，我們應(yīng)當(dāng)及時地更換損壞的硬盤并利用備份數(shù)據(jù)重新建立Mirror，避免備份盤在發(fā)生損壞時，造成不可挽回的數(shù)據(jù)損失。 由于對存儲的數(shù)據(jù)進行百分之百的備份，在所有RAID級別中，RAID 1提供

12、最高的數(shù)據(jù)安全保障。同樣，由于數(shù)據(jù)的百分之百備份，備份數(shù)據(jù)占了總存儲空間的一半，因而Mirror(鏡像)的磁盤空間利用率低，存儲成本高。 Mirror雖不能提高存儲性能，但由于其具有的高數(shù)據(jù)安全性，使其尤其適用于存放重要數(shù)據(jù)，如服務(wù)器和數(shù)據(jù)庫存儲等領(lǐng)域. (3) RAID 0+1正如其名字一樣RAID 0+1是RAID 0和RAID 1的組合形式，也稱為RAID 10。 RAID 0+1 由于RAID 0+1也通過數(shù)據(jù)的100%備份功能提供數(shù)據(jù)安全保障，因此RAID 0+1的磁盤空間利用率與RAID 1相同，存儲成本高。 RAID 0+1的特點使其特別適用于既有大量數(shù)據(jù)需要存取，同時又對數(shù)據(jù)安

13、全性要求嚴格的領(lǐng)域，如銀行、金融、商業(yè)超市、倉儲庫房、各種檔案管理等。(4) RAID 3 RAID 3是把數(shù)據(jù)分成多個“塊”，按照一定的容錯算法，存放在N+1個硬盤上，實際數(shù)據(jù)占用的有效空間為N個硬盤的空間總和，而第N+1個硬盤上存儲的數(shù)據(jù)是校驗容錯信息，當(dāng)這N+1個硬盤中的其中一個硬盤出現(xiàn)故障時，從其它N個硬盤中的數(shù)據(jù)也可以恢復(fù)原始數(shù)據(jù)，這樣，僅使用這N個硬盤也可以帶傷繼續(xù)工作（如采集和回放素材），當(dāng)更換一個新硬盤后，系統(tǒng)可以重新恢復(fù)完整的校驗容錯信息。由于在一個硬盤陣列中，多于一個硬盤同時出現(xiàn)故障率的幾率很小，所以一般情況下，使用RAID3，安全性是可以得到保障的。與RAID0相比，RA

14、ID3在讀寫速度方面相對較慢。使用的容錯算法和分塊大小決定RAID使用的應(yīng)用場合，在通常情況下，RAID3比較適合大文件類型且安全性要求較高的應(yīng)用，如視頻編輯、硬盤播出機、大型數(shù)據(jù)庫等. (5) RAID 5RAID 5 是一種存儲性能、數(shù)據(jù)安全和存儲成本兼顧的存儲解決方案。 以四個硬盤組成的RAID 5為例，其數(shù)據(jù)存儲方式如圖4所示：圖中，P0為D0，D1和D2的奇偶校驗信息，其它以此類推。由圖中可以看出，RAID 5不對存儲的數(shù)據(jù)進行備份，而是把數(shù)據(jù)和相對應(yīng)的奇偶校驗信息存儲到組成RAID5的各個磁盤上，并且奇偶校驗信息和相對應(yīng)的數(shù)據(jù)分別存儲于不同的磁盤上。當(dāng)RAID5的一個磁盤數(shù)據(jù)發(fā)生損

15、壞后，利用剩下的數(shù)據(jù)和相應(yīng)的奇偶校驗信息去恢復(fù)被損壞的數(shù)據(jù)。RAID5RAID 5可以理解為是RAID 0和RAID 1的折衷方案。RAID 5可以為系統(tǒng)提供數(shù)據(jù)安全保障，但保障程度要比Mirror低而磁盤空間利用率要比Mirror高。RAID 5具有和RAID 0相近似的數(shù)據(jù)讀取速度，只是多了一個奇偶校驗信息，寫入數(shù)據(jù)的速度比對單個磁盤進行寫入操作稍慢。同時由于多個數(shù)據(jù)對應(yīng)一個奇偶校驗信息，RAID 5的磁盤空間利用率要比RAID 1高，存儲成本相對較低。 RAID級別的選擇有三個主要因素：可用性（數(shù)據(jù)冗余）、性能和成本。如果不要求可用性，選擇RAID0以獲得最佳性能。如果可用性和性能是重要

16、的而成本不是一個主要因素，則根據(jù)硬盤數(shù)量選擇RAID 1。如果可用性、成本和性能都同樣重要，則根據(jù)一般的數(shù)據(jù)傳輸和硬盤的數(shù)量選擇RAID、RAID。IP網(wǎng)絡(luò)測試的內(nèi)容1 建立測試文檔2 網(wǎng)絡(luò)吞吐量測試 3 網(wǎng)絡(luò)負載能力測試4 網(wǎng)絡(luò)流量分析 5 網(wǎng)絡(luò)安全性能檢查 6 網(wǎng)絡(luò)設(shè)備（硬件）測試 7 網(wǎng)絡(luò)故障診斷服務(wù)8 網(wǎng)絡(luò)協(xié)議分析 常用的網(wǎng)絡(luò)測試命令：一、Ping命令Ping是測試網(wǎng)絡(luò)聯(lián)接狀況以及信息包發(fā)送和接收狀況非常有用的工具，是網(wǎng)絡(luò)測試最常用的命令。Ping向目標主機(地址)發(fā)送一個回送請求數(shù)據(jù)包，要求目標主機收到請求后給予答復(fù)，從而判斷網(wǎng)絡(luò)的響應(yīng)時間和本機是否與目標主機(地址)聯(lián)通。如果執(zhí)行P

17、ing不成功，則可以預(yù)測故障出現(xiàn)在以下幾個方面：網(wǎng)線故障，網(wǎng)絡(luò)適配器配置不正確，IP地址不正確。如果執(zhí)行Ping成功而網(wǎng)絡(luò)仍無法使用，那么問題很可能出在網(wǎng)絡(luò)系統(tǒng)的軟件配置方面，Ping成功只能保證本機與目標主機間存在一條連通的物理路徑。ping命令格式：ping IP地址或主機名 -t -a -n count -l size 參數(shù)含義： -t 不停地向目標主機發(fā)送數(shù)據(jù)；-a 以IP地址格式來顯示目標主機的網(wǎng)絡(luò)地址 ；-n count 指定要Ping多少次，具體次數(shù)由count來指定 ；-l size 指定發(fā)送到目標主機的數(shù)據(jù)包的大小。例如當(dāng)不能訪問Internet時，首先想確認是否是本地局域網(wǎng)

18、的故障。假定局域網(wǎng)的代理服務(wù)器IP地址為202.168.0.1，就可以使用Ping 202.168.0.1命令查看本機是否和代理服務(wù)器聯(lián)通。又如，測試本機的網(wǎng)卡是否正確安裝的常用命令是ping 127.0.0.1。Tracert命令三、Netstat命令 Netstat命令可以幫助網(wǎng)絡(luò)管理員了解網(wǎng)絡(luò)的整體使用情況。它可以顯示當(dāng)前正在活動的網(wǎng)絡(luò)連接的詳細信息，例如顯示網(wǎng)絡(luò)連接、路由表和網(wǎng)絡(luò)接口信息，可以統(tǒng)計目前總共有哪些網(wǎng)絡(luò)連接正在運行。 利用命令參數(shù)，命令可以顯示所有協(xié)議的使用狀態(tài)，這些協(xié)議包括TCP協(xié)議、UDP協(xié)議以及IP協(xié)議等，另外還可以選擇特定的協(xié)議并查看其具體信息，還能顯示所有主機的端口號以及當(dāng)前主機的詳細路由信息。 Netstat命令格式：netstat -r -s -n -a 參數(shù)含義：-r 顯示本機路由表的內(nèi)容；-s 顯示每個協(xié)議的使用狀態(tài)(包括TCP協(xié)議、UDP協(xié)議、IP協(xié)議)；-n 以數(shù)字表格形式顯示地址和端口；-a 顯示所有主機的端口號。Netstat命令四、Wi