電大計(jì)算機(jī)培訓(xùn)中心

1、Windows 2000 電大計(jì)算機(jī)培訓(xùn)中心Windows 2000產(chǎn)品Windows 2000 Advanced ServerServersWorkstationWindows 2000ServerWindows 2000 Datacenter ServerWindows 2000ProfessionalWindows 2000 的各種版本W(wǎng)2000版本與NT4對應(yīng)SMPMemoryPerfessionalWorkstation2 CPU4GBServerServer4 CPU4GBAdvanced ServerEnterprise Server8 CPU8GBDatacenter Serv

2、er32 CPU64 GB 安裝windows 2000 安裝盤上的目錄BootdiskCientsI386PrintersSetuptxtSupportvalueadd安裝方法CDROMDOS 或者WINDOWS 文件服務(wù)器i386bootdiskMakeboot a:Professional Upgrade PathsWindows 95 and Windows 98Windows 2000 ProfessionalWindows NTWindows 2000 ProfessionalWindows for WorkgroupsWindows NTWindows 2000 Professi

3、onal98的兼容性測試98與2000注冊表結(jié)構(gòu)等有不同可進(jìn)行升級(jí)的兼容性測試Winnt32 /checkupgradeonly生成兼容性的測試報(bào)告Server Upgrade PathsDomain ControllersDomain ControllerWindows 2000PDC or BDCWindows NT 3.5.1 or 4.0Windows NT3.1 or 3.5Windows NT 3.1 or 3.5Windows NT 3.5.1 or 4.0Windows 2000 MemberServersMember ServerWindows NT 3.5.1 or 4.0

4、Member ServerWindows 2000Domain ControllerWindows 2000Optional選擇Licensing ModePer Seat LicensingEach Client Requires a CALCALCALPer Server LicensingEach Connection Requires a CALCALCAL備份關(guān)鍵數(shù)據(jù)及設(shè)置改正Event Viewer中的所有錯(cuò)誤備份所有的Driver上的數(shù)據(jù)備份注冊表RegistryRegback.exe in NT4 Resource Kit重新制作緊急修復(fù)盤ERD停掉方病毒程序，及第三方應(yīng)用軟件

5、斷掉與UPS之間的串口線其它的安裝方式無人值守安裝Disk Duplication 本地用戶和組用戶帳戶User Accounts組Groups用戶權(quán)力User Rights許可PermissionsW2K 基本管理用戶帳戶Account人在社會(huì)中有名字，在網(wǎng)絡(luò)中有用戶帳號(hào)用戶帳戶是用戶在網(wǎng)絡(luò)上的標(biāo)示，每個(gè)用戶都有自己的用戶帳戶，并被賦予使用相應(yīng)資源的權(quán)限及許可用戶在登錄Logon時(shí)輸入用戶名及密碼用戶帳號(hào)的管理由管理員完成的帳號(hào)的管理，對資源的訪問權(quán)限的管理管理員也是一計(jì)算機(jī)的用戶，用有管理權(quán)限的用戶帳戶訪問計(jì)算機(jī)用戶帳戶的類型本地用戶帳戶Local User Accounts訪問本地計(jì)算機(jī)

6、存在于本地帳戶數(shù)據(jù)庫中SAM域用戶帳戶Domain User Accounts用于訪問網(wǎng)絡(luò)資源存在于AD中本地用戶帳戶存在于本地的帳戶數(shù)據(jù)庫中SAMSecurity Account Manager在本地進(jìn)行身份驗(yàn)證只能用于訪問本地的資源存在于Stand-Alone Server和Professional上域控制器上沒有用戶名 User Name最長20字符本地帳戶User Name不能重域用戶Full Name不能重特殊字符“ / : ; | = , + * ? 不可用常用的特殊字符 _使特殊帳戶，位于顯示的最上面Naming Convention密碼 Password保護(hù)用戶帳戶不被非法使用

7、最長128位User Must Change Password at Next LogonUser Cannot Change PasswordPassword Never Expire保護(hù)密碼最短密碼長度英文單詞，純數(shù)字等不好管理本地帳戶的工具Local Users and Groups Utility創(chuàng)建刪除用戶帳戶修改用戶帳戶的屬性如密碼、組、描述等重置用戶的Password禁用帳戶 DisableMy Computer，ManageAdministrative Tools，Computer ManagementMMC，Add Snap-in其它選項(xiàng)Dial-inLogon Script

8、Home Folder本地帳戶沒有以下選項(xiàng)登錄時(shí)間 Logon Hours登錄機(jī)器帳戶過期 Account ExpireBuilt-in User Accounts系統(tǒng)內(nèi)建的本地帳戶Administrator系統(tǒng)內(nèi)建的管理員帳戶對本地計(jì)算機(jī)進(jìn)行管理工作可以賦予自己任何權(quán)限妥善保護(hù)，設(shè)置密碼Built-in User AccountsGuest某些資源，需要讓所有人都能訪問當(dāng)客戶身份不能被驗(yàn)證authentication時(shí)，自動(dòng)被賦予此帳戶的訪問權(quán)限缺省被Disable工作組Workgroup方式時(shí)很有效Built-in Account可以改名，不能被刪除用戶的權(quán)力和許可Right為用戶設(shè)置的存

9、儲(chǔ)在系統(tǒng)中在用戶登錄系統(tǒng)時(shí)生效Permission許可是對資源設(shè)置存儲(chǔ)在資源的訪問控制列表中ACL不需要用戶重新登錄，就會(huì)生效Lab創(chuàng)建本地帳戶登錄后試著創(chuàng)建一新帳戶用/run as創(chuàng)建新帳戶賦予權(quán)限Change System TimeShut down the System用戶對資源有訪問權(quán)限不是計(jì)算機(jī)對資源有權(quán)限組 Group組是用戶帳戶的集合組會(huì)被賦予對資源的訪問權(quán)限及許可組內(nèi)的用戶帳戶，會(huì)獲得組的被賦予的所有權(quán)限及許可用戶可以同時(shí)屬于多個(gè)組組的類型本地組 Local Group存在于本地的安全帳戶數(shù)據(jù)庫可被賦予對本地資源的訪問許可域控制器上沒有本地組域上的組存在于AD中可用于賦予對網(wǎng)上

10、資源的訪問權(quán)限本地組的成員Local Group的成員本地用戶帳戶能成為本地組的成員本地組不能成為其它本地組的成員有創(chuàng)建本地組權(quán)限的人AdministratorsAccount Operators與NT4中不一樣刪除組后組內(nèi)的成員不被刪除系統(tǒng)內(nèi)建的本地組Build-in Local Group被賦予了進(jìn)行系統(tǒng)管理工作的權(quán)力備份，管理等AdministratorsPower UsersUsersGuestsBackup Operators系統(tǒng)內(nèi)建的本地組Special identities ( Special Group )原NT中的系統(tǒng)組System Group組成員不能被修改成員隨機(jī)器的運(yùn)行

11、自動(dòng)修改EveryoneAuthenticated users不包含GuestInteractiveAuthenticated UsersAuthenticated Users象原先NT4中的Everyone在2000 Professional中是以下組的成員Power UsersUsers在2000 Server中是以下組的成員Users一般的用戶權(quán)力Windows2000為系統(tǒng)內(nèi)建的組Build-in Group賦了權(quán)限Log on locallyChange the system timeShut down the systemAccess this computer form a ne

12、tworkAdministrators組的權(quán)力所有的Windows2000上都有的組唯一的一個(gè)被賦予了所有內(nèi)建權(quán)力的組它可以給自己賦予所有自己沒有的權(quán)力可添加系統(tǒng)組件，升級(jí)系統(tǒng)配置系統(tǒng)重要參數(shù)，如注冊表的修改等配置安全信息Power Users組的權(quán)力在非域控制器上可以進(jìn)行基本的系統(tǒng)管理工作共享本地文件夾服務(wù)的管理，打印機(jī)的管理本地用戶的管理安裝不修改注冊表的軟件不能修改的組Administrators和Backup Operators不能備份恢復(fù)文件Backup Operators組的權(quán)力所有Windows2000上都有的組可以忽略文件系統(tǒng)的權(quán)力進(jìn)行備份和恢復(fù)可以登錄機(jī)器和Shutdown系

13、統(tǒng)推薦在組策略中設(shè)置讓他只可運(yùn)行備份程序Users組的權(quán)力一般用戶所在的組，對系統(tǒng)使用的基本權(quán)力可運(yùn)行程序、使用網(wǎng)絡(luò)等可以Shutdown Professional, NOT Server不能創(chuàng)建共享目錄，不能創(chuàng)建本地打印機(jī)不能安裝能讓其他人使用的軟件Prevent Trojan horse programs當(dāng)發(fā)生老軟件不能使用時(shí)將用戶加入Power Users組用security template修改Users組的安全設(shè)置Right vs. PermissionRight修改用戶或組的權(quán)限之后，必須重新登錄后新權(quán)限才會(huì)生效Permission對資源的訪問許可的修改，會(huì)立即生效刪除帳戶、組刪除

14、后再創(chuàng)建相同名字的用戶或組SID ( Security Identifier )已經(jīng)改變系統(tǒng)以SID記錄權(quán)限和許可賦予原用戶的Right和Permission都丟失Lab熟悉系統(tǒng)內(nèi)建本地組創(chuàng)建新本地組修改本地組的成員賦予本的組權(quán)限及許可熟悉系統(tǒng)組W2K 文件系統(tǒng)NTFS特性支持Active Directory 安全性管理文件加密Encryption可以對單個(gè)文件設(shè)置權(quán)限稀疏文件Sparse files. 磁盤配額Disk quotas大分區(qū)支持FAT FAT32 NTFS支持操作系統(tǒng) 廣泛 有限 有限 系統(tǒng)開銷 小 大大分區(qū)大小 256M 50M安全性 共享權(quán)限 共享權(quán)限 好文件系統(tǒng)的種類和對

15、比文件系統(tǒng)的轉(zhuǎn)換FAT到NTFS: CONVERTNTFS到FAT: FORMAT 文件安全性管理 許可許可的基本類型高級(jí)配置文件夾許可壓縮加密文件系統(tǒng)許可 PermissionsNTFS File PermissionNTFS Folder PermissionShared Folder PermissionPrinter PermissionPermissions簡單的說許可是對資源設(shè)置的，定義了誰可以訪問，如何訪問資源常被設(shè)置許可的Object有FileFolderShared FolderPrinterActive Directory ObjectsRegister KeysNTFS許

16、可NTFS(NT File System)可以設(shè)置用戶對文件的訪問許可NTFS文件許可NTFS文件夾許可NTFS文件許可檢查分區(qū)類型選中文件=右鍵=Property=SecurityNTFS文件許可的標(biāo)準(zhǔn)許可ReadWriteRead & ExecuteModifyFull ControlNTFS文件夾許可選中文件夾=右鍵=Property=SecurityNTFS文件夾基本許可ReadWriteList Folder ContentsRead & ExecuteModifyFull Control Administrator同樣要受許可的限制NTFS PermissionWrite可以修改、

17、創(chuàng)建文件Modify可以刪除文件Full Control可以修改文件的許可缺省NTFS許可根目錄Everyone Full Control新建的文件或目錄繼承上層目錄的許可不設(shè)許可= No Access特殊的NTFS許可Change Permission可修改權(quán)限Take Ownership可成為所有者(Owner)Full Control既是有P和OOwner可以Change PermissionACL & ACEAccess Control ListAccess Control Entry2000中實(shí)現(xiàn)訪問控制的基本方法存儲(chǔ)在資源上添加用戶的訪問許可選擇用戶帳戶或組設(shè)置訪問許可添加ACE到

18、ACLNTFS Permission InheritanceInheritance 繼承父目錄的許可，會(huì)被的子目錄繼承Propagated 繁殖顯示explicitly設(shè)定的許可優(yōu)先阻止繼承此目錄會(huì)成為新的父目錄Multiple NTFS PermissionsNTFS Permission are Cumulative多個(gè)組被賦予的不同的許可是累加的File Override Folder Permission文件的許可占先于目錄的許可Deny Override Other Permission拒絕訪問許可優(yōu)先ACE的查詢過程Copy & Move文件或目錄的拷貝和不同盤間的移動(dòng)繼承目標(biāo)文件

19、夾的許可同盤內(nèi)的移動(dòng)許可不變同盤指邏輯盤：Partition同盤內(nèi)移動(dòng)不會(huì)創(chuàng)建新文件，許可不變移動(dòng)文件時(shí)需要Modify許可拷貝或移動(dòng)到FAT分區(qū)許可丟失LabWrite，Modify，F(xiàn)ull Control的區(qū)別多個(gè)組被賦予的不同的許可時(shí)文件的許可占先于目錄的許可拒絕Deny訪問許可優(yōu)先Copy，Move時(shí)許可的變化NTFS文件壓縮 CompressNTFS文件系統(tǒng)支持文件的壓縮Property = General = Advanced Compress contents to save disk space是否壓縮子目錄查看壓縮后占用的硬盤空間設(shè)置顯示顏色Folder Options =

20、 ViewDisplay compressed files and folders with alternate colorNTFS Compress可壓縮單個(gè)文件或目錄系統(tǒng)自動(dòng)完成寫文件時(shí)壓縮讀文件時(shí)解壓縮Copy文件時(shí)，先解壓縮，再壓縮Space Allocation按文件沒壓縮時(shí)的大小，申請硬盤空間拷貝時(shí)可能會(huì) No enough disk spaceNote加密的文件不能壓縮同分區(qū)內(nèi)移動(dòng)壓縮屬性不變，否則繼承目標(biāo)文件夾的壓縮屬性壓縮容易被壓縮的文件如 *.bmp不要壓縮已經(jīng)壓縮的文件如 *.mp3Disk Quotes磁盤配額Disk Property = Quota超過配額后是否允許

21、繼續(xù)使用硬盤NTFS分區(qū)才有Quota限制用戶對分區(qū)空間的占用基于文件的所有者Owner設(shè)定的不檢查文件的壓縮狀態(tài)用戶的Free Space會(huì)隨Quota的值變動(dòng)加密文件系統(tǒng) EFSEFS Encrypting File System為NTFS文件提供文件級(jí)別加密Property = General = Advanced Encrypt Contents to Secure Data加密后可以訪問文件的人加密的人恢復(fù)代理Recovery Agent缺省為administratorNote多用戶間不能共享加密文件拷貝到FAT后加密屬性丟失系統(tǒng)文件和壓縮文件不能被加密加密文件在網(wǎng)絡(luò)傳輸過程中是解密

22、的其它用戶仍可看見文件名并訪問目錄加密的文件可被有Delete許可的人刪除Windows2000會(huì)自動(dòng)升級(jí)NTFS支持加密給用戶的建議加密My Documents文件夾加密Temp文件夾加密文件夾而不是單個(gè)文件保護(hù)臨時(shí)文件將Recovery Agent的Private Key導(dǎo)出，并存放在安全的地方Lab文件的壓縮磁盤配額文件的加密不要用/run as作加密文件系統(tǒng)的實(shí)驗(yàn) 共享文件夾共享文件夾共享權(quán)限脫機(jī)文件夾 Off-Line Folder分布時(shí)文件系統(tǒng) DFS共享文件夾 Shared Folder可以使多個(gè)用戶可以通過網(wǎng)絡(luò)同時(shí)訪問一個(gè)文件夾只能共享文件夾，文件不能共享連接一共項(xiàng)文件夾機(jī)器名

23、共享名使用其它用戶連接net use x: ServerShare共享操作進(jìn)行共享操作的組AdministratorsServer OperatorsPower Users所需的NTFS許可Read不能共享No Access的文件夾共享文件夾許可Right-click Folder=Property=Sharing共享文件夾許可ReadChangeFull Control文件夾被拷貝后，共享不被拷貝文件夾被移動(dòng)后，共享丟失沖突的解決共享與共享沖突疊加(取大)NTFS與NTFS沖突取大共享與NTFS沖突取小 其它以$結(jié)尾的共享名為隱含共享C$, D$, E$Admin$Print$ 準(zhǔn)備一個(gè)新硬

24、盤Basic Disk & Dynamic Disk磁盤管理文件系統(tǒng)文件系統(tǒng)的種類和對比格式化文件系統(tǒng)的轉(zhuǎn)換Windows 2000中的磁盤類型Basic DisksDynamic DisksBasic Disks與老系統(tǒng)兼容，可進(jìn)行多重引導(dǎo)2000中缺省磁盤類型最多4個(gè)分區(qū)不能創(chuàng)建磁盤陣列可以轉(zhuǎn)到Dynamic DiskBasic DisksExtendedPartition withLogical DrivesH:G:F:E:D:C:F:E:D:C:-or-PrimaryPartitionsBasic DisksBasic Disks上的分區(qū)PartitionPrimary Partiti

25、onExtended PartitionLogical DriveWindows 2000中Basic Disk上作分區(qū)修改,不用重新啟動(dòng)計(jì)算機(jī)保留1M剩余空間，可轉(zhuǎn)到Dynamic DiskDynamic DisksWindows2000新的硬盤類型只能在Dynamic Disk上創(chuàng)建卷Volume可用不連續(xù)的空間對卷進(jìn)行擴(kuò)展，可不同盤每個(gè)Disk上Volume的數(shù)量沒有限制卷的配置信息存在Dynamic Disk上2000會(huì)復(fù)制Disk Configuration到各個(gè)Disk單塊硬盤損壞不會(huì)影響其它的盤Removable Storage上只有Primary Partition, 不能創(chuàng)建

26、VolumeUpgrading to Dynamic DiskDynamicSimple volumesSimple volumesSpanned volumeStriped volumeMirrored volumeRAID-5 volumeDynamicBasicSystem and boot partitionsPrimary and extended partitions, and logical drivesVolume set (NT 4.0)Stripe set (NT 4.0)Mirror set (NT 4.0)Stripe set with parity (NT 4.0)B

27、asicVolume conversionTo Revert to a Basic Disk, All Data and Volumes Must be RemovedSimple Volumes由Dynamic Disk上的Free Space創(chuàng)建Volume大小沒有限制可用FAT，F(xiàn)AT32，NTFS文件系統(tǒng)可建立鏡像Mirror脫機(jī)文件夾 Off-Line Folder使用戶可以在網(wǎng)絡(luò)不通時(shí)使用網(wǎng)絡(luò)筆記本用戶修改文件或得到最新版本工作過程設(shè)置使用脫機(jī)文件夾脫機(jī)文件夾的內(nèi)容，會(huì)被拷貝到本地的緩存Cache中，用戶直接使用Cache當(dāng)網(wǎng)絡(luò)斷開時(shí)會(huì)有提示，用戶仍可繼續(xù)使用脫機(jī)文件夾的內(nèi)容網(wǎng)絡(luò)接

28、通后，系統(tǒng)會(huì)自動(dòng)同步兩邊的內(nèi)容操作設(shè)置計(jì)算機(jī)使用脫機(jī)文件夾My Computer = Tools = Folder Options使用脫機(jī)文件夾Share = Right Click = Make Available Offline停止使用脫機(jī)文件夾操作相同同步管理My Computer = Tools = SynchronizeAccessories = SyncronizeW2000中的特殊設(shè)置Manual Caching for Documents客戶端設(shè)置是否脫機(jī)普通的公用目錄Automatic Caching for Documents自動(dòng)Cache打開的文件客戶的文檔Automat

29、ic Caching for Programs自動(dòng)Cache所有的不被修改Read-Only的文件減少網(wǎng)絡(luò)流量客戶端的修改不被同步到服務(wù)器上NoteMicrosoft Network上的所有Folders都可被脫機(jī)使用，SMB( Server Message Block)文件許可再Off-Line時(shí)不變Cache缺省在硬盤根目錄When Shortcut Off-Line文件 Off-Line文件夾不Off-LineLab共享文件夾連接一共享文件夾My Network PlaceFull Control和Change的區(qū)別多個(gè)組的共享許可共享許可和NTFS許可結(jié)合隱含共享脫機(jī)文件夾Off-Li

30、ne FolderDFSDistribute File SystemDemoStand-Alone Dfs Root每個(gè)Server只能有一個(gè)DFS Root第二章 動(dòng)態(tài)IP地址的分配（DHCP）一、IP地址分配手動(dòng) TCP/IP 配置自動(dòng) TCP/IP 配置缺點(diǎn)需要在每一臺(tái)客戶機(jī)手動(dòng)輸入IP 地址可能輸入錯(cuò)誤或不合法的IP 地址不正確的配置可能導(dǎo)致通訊和網(wǎng)絡(luò)問題計(jì)算機(jī)在網(wǎng)絡(luò)上頻繁的移動(dòng)將產(chǎn)生管理開銷優(yōu)點(diǎn)IP 地址自動(dòng)提供給客戶機(jī)確?？蛻魴C(jī)始終使用正確的配置信息排除了產(chǎn)生常見網(wǎng)絡(luò)問題的來源客戶機(jī)自動(dòng)更新配置反映網(wǎng)絡(luò)結(jié)構(gòu)的改變二、DHCP原理IP Address1IP Address2IP Ad

31、dress3DHCPDatabaseIP Address2IP Address1DHCP Client:IP configuration fromDHCP serverDHCP ServerNon-DHCP Client:static IP configurationDHCP Client:IP configuration from DHCP server1、DHCP操作2、DHCP租借產(chǎn)生過程、IP lease request DHCP DISCOVER 、IP lease offer DHCP OFFER 、IP lease selection DHCP REQUEST 、IP lease

32、 acknowledgement DHCP ACK 3、DHCP續(xù)租過程A、自動(dòng)續(xù)租B、手動(dòng)續(xù)租三、安裝配置DHCP1、DHCP Server 和 Client 的要求 DHCP Server Requirements (Windows 2000 Server) DHCP service Static IP address, subnet mask, default gateway Range of valid IP addresses DHCP Clients（Module 2 P9）2、DHCP Server 的授權(quán)功能：為防止未授權(quán)的DHCP Server提供潛在的非法IP 地址給客戶端

33、。If unauthorized, the service logs an error and will notrespond to clientsIf authorized, the service starts properlyDHCP Service Checks For AuthorizationClientsDHCP ServerDomain Controller/DHCP serverDHCP Server3、創(chuàng)建和配置DHCP Scope（作用域）A、Scope：在一個(gè)特定網(wǎng)段上租借或分配給客戶端計(jì)算機(jī) 的合法的IP地址范圍。ScopeIP Addresses Available

34、 for Lease to Client ComputersDHCP ServerB、Scope配置內(nèi)容 配置作用域參數(shù) 改變默認(rèn)的租期 激活作用域C、DHCP支持的作用域選項(xiàng) IP Address of a Router（003） IP Address of a DNS Server（006） DNS Domain Name（015） IP Address of a WINS Server（044） Type of NetBIOS over TCP/IP Name Resolution （046）（Module 4 P8）D、定制作用域選項(xiàng)（滿足管理上多樣性的需求） Server Level

35、 所有從這臺(tái)DHCP Server獲得IP的客戶端 Scope Level 所有從這個(gè)作用域獲得IP的客戶端 Class Level 屬于特定類別的客戶端 Reserved Client LevelE、為客戶端計(jì)算機(jī)保留IP地址 目的：使客戶端計(jì)算機(jī)每次申請都獲得相同的IP地址New ReservationProvide information for a reserved client.Reservation name:IP address:MAC address:Description:Supported typesBothDHCP onlyBOOTP onlyAddCloseStuttg

36、art Server192 . 168 . 1 . 201DHCP Reservation for Server00a024e2b01a1、定制DHCP功能三、 DHCP高級(jí)配置功能：通過為指定的客戶組自動(dòng)配置Option以及在一個(gè)路由 的網(wǎng)絡(luò)環(huán)境中創(chuàng)建有效數(shù)量的DHCP Servers來減少管 理開銷。A、使用Option Classes目的：為配置網(wǎng)絡(luò)上的 DHCP 客戶機(jī)方面賦予更大的靈 活性。 類別：、Vendor-defined classes DHCP客戶端的操作系統(tǒng)供應(yīng)商類別和配置 、User-defined classes 有相似配置的客戶類別B、使用Superscopes功能

37、：將多個(gè)作用域組合為單個(gè)管理實(shí)體。應(yīng)用條件： 當(dāng)前活動(dòng)作用域的可用地址不能滿足客戶端主機(jī)數(shù) 量的遞增。 用新的地址范圍代替已存在的地址范圍。 新?lián)碛械腎P地址與原有的IP地址不在連續(xù)范圍內(nèi)。C、使用Multicast Scope目的：給網(wǎng)絡(luò)中客戶端分配一個(gè)D類的Multicast地址 （ 55)應(yīng)用：用于象Microsoft Windows Media這樣的實(shí)時(shí)視頻 或音頻網(wǎng)絡(luò)協(xié)作應(yīng)用程序。注意：Multicast Address 與Unicast Address的區(qū)別在于Multicast Address是一組 TCP/IP 主機(jī)共用，而Unica

38、st Address 是單獨(dú)分配給某一臺(tái)TCP/IP 主機(jī)。D、配置在路由網(wǎng)絡(luò)中的DHCP方法：由于DHCP一項(xiàng)基于廣播的網(wǎng)絡(luò)服務(wù)的特殊性 1、在每一個(gè)子網(wǎng)單獨(dú)配一臺(tái)DHCP服務(wù)器 2、配置一臺(tái)RFC-1542兼容的路由器轉(zhuǎn)發(fā)DHCP數(shù)據(jù)包 3、在每一個(gè)網(wǎng)段配置一臺(tái)DHCP relay agent轉(zhuǎn)發(fā)DHCP 數(shù)據(jù)包四、支持DHCP1、監(jiān)視DHCP Server Service 方法：Module 2 P502、維護(hù)及排錯(cuò)DHCP數(shù)據(jù)庫問題 方法：利用jetpack程序修復(fù)數(shù)據(jù)庫（Module 2 P51）3、從DHCP服務(wù)器上刪除DHCP Service步驟：A、為客戶端設(shè)置短的租借期間 B

39、、確?？蛻舳四艿玫叫碌淖饨?C、記錄一些已作保留的地址 D、確保新的DHCP Server上有足夠的IP地址池 E、將已分配的IP地址轉(zhuǎn)移到新的作用域 域名系統(tǒng)（DNS）一、DNS（Domain Name System）概述定義：DNS是一種分布式數(shù)據(jù)庫，被用于在IP網(wǎng)絡(luò)中將計(jì)算 機(jī)名翻譯或解析成IP地址，在Win2000中DNS是首要 的解析方法。二、DNS中的幾個(gè)概念3、域（Domain）定義：在DNS命名空間中任何一個(gè)樹 或子樹稱為域4、區(qū)域（Zone）定義：在DNS數(shù)據(jù)庫中Zone是域命名空間的相鄰部分，被 DNS服務(wù)器用于解析DNS查詢。1、FQDN（fully qualified

40、domain name） （插圖） 2、Namespace定義：域名樹的層次結(jié)構(gòu)。例如： 三、安裝配置DNS DNS Server Requirements (Windows 2000 Server) DNS Services Static IP address, Subnet mask, Default gateway DNS Clients Requirements1、DNS Server 和 Client 的要求2、DNS 動(dòng)態(tài)更新Zone 類型標(biāo)準(zhǔn)區(qū)域標(biāo)準(zhǔn)區(qū)域輔助區(qū)域Change區(qū)域復(fù)制Active Directory 集成的區(qū)域ChangeChangeChange區(qū)域復(fù)制Zone文件

41、在區(qū)域文件中的資源記錄能包含一臺(tái)計(jì)算機(jī)的FQDNIP addressAliasZoneDNS ServerZoneDatabaseFile NS casablanca.africa1.nwtraders.msft.casablanca A marrakech CNAME casablanca.africa1. . PTR casablanca.africa1.nwtraders.msft.Record資源記錄格式 Owner TTL Class Type RDATA 所有者 生存期 協(xié)議 記

42、錄的類型 數(shù)據(jù) 資源記錄類型 SOA Start of Authority 記錄這個(gè)Zone的主服務(wù)器 NS Name Server Zone中的其他服務(wù)器 A Address 主機(jī)記錄 PTR Pointer 反向查詢記錄 CNAME Canonical Name 別名 MX Mail Exchange Exchange服務(wù)器 SRV Service 服務(wù) 資源記錄Zone Transfer完全區(qū)傳遞增量區(qū)傳遞DNS通知配置Zone的傳遞Zone的傳遞發(fā)生在以下兩種情況A master server sends notification of zone changes to the seco

43、ndary server or serversThe secondary server queries a master server for changes to the zone database fileZone 1NameServer(Master)nwtraderstrainingsupportPrimary ZoneDatabase FileSecondary ZoneDatabase FileNameServerConfiguring Zone TransfersZone Transfer InitiationZone Transfer TypesFull zone transf

44、er (AXFR)Incremental zone transfer (IXFR)Configuring Zone Transfer PropertiesSerial number:2Increment15minutes10minutes1daysRefresh interval:Retry interval:Expires after:0 :1 :0 :0Minimum (default) TTL:DNS 查詢過程Local Name ServerDNSResolver. Name Server Name Serveratec Name ServerDNS atec DNS ServerDN

45、SDNSDNS1234Query Types （插圖） 迭代查詢在沒有其它服務(wù)器的幫助下， DNS server 返回最佳答案遞歸查詢DNS server 返回一個(gè)完整的答案給查詢，而不是指向其它的服務(wù)器Lookup Types正向查詢要求名字到地址的解析反向查詢要求地址到名字的解析DNS 查詢統(tǒng)一的管理一、目錄服務(wù)1、什么是目錄服務(wù)?2、為什么需要目錄服務(wù)?二、什么是AD（Active Directory）1、AD的功能：目錄服務(wù)功能組織管理控制資源集中管理單點(diǎn)管理用戶登錄一次即能對整個(gè)目錄的資源進(jìn)行完全訪問2、AD的特點(diǎn)：D、partitioned：將目錄劃分成多個(gè)存儲(chǔ)允許存放數(shù)量很 多的

46、對象（可伸縮性）A、secure：管理員可以定義安全性避免入侵B、distributed：整個(gè)目錄跨越在網(wǎng)絡(luò)中的多臺(tái)計(jì)算機(jī)上C、replicated：通過目錄復(fù)制以確保對多個(gè)用戶的可 用性以及避免單點(diǎn)失效可靠性3、AD支持的技術(shù)Internet標(biāo)準(zhǔn)的技術(shù) TCP/IP（DHCP、DNS） 、Kerberos LDAP、LDIF、SNTP三、AD的邏輯結(jié)構(gòu)功能：用于組織網(wǎng)絡(luò)資源1、邏輯結(jié)構(gòu)組件 Domains 域 DomainDomainDomainTreeDomainDomainDomainTreeForestDomainOUOUOU Trees 樹 Forests 森林 Organizati

47、onal Units 組織單元 Global Catalog 全局編錄2、各個(gè)邏輯組件的介紹 Domains 域 定義：由管理員定義的共享一個(gè)相同目錄數(shù)據(jù)庫計(jì)算機(jī) 的集合，它是AD邏輯結(jié)構(gòu)的核心單元。 在AD中是一個(gè)安全的邊界 同時(shí)也是一個(gè)復(fù)制的邊界 用一個(gè)三角形來表示特點(diǎn)： Trees 樹定義： win2000域的層次布局，共享一個(gè)相鄰命名空間 域之間有雙向可傳遞的信任關(guān)系 域樹中的所有的域形成一個(gè)相鄰的命名空間 共享Schema 通過 Kerberos 進(jìn)行安全驗(yàn)證 用戶可以搜索整個(gè)域樹內(nèi)的信息特點(diǎn)：定義：共享相同schema、 Configuration和Global catalog 的

48、一個(gè)或多個(gè)win2000域的集合 Forests 森林特點(diǎn)： 共享 Schema、Configuration和Global Catalog 通過Kerberos進(jìn)行安全驗(yàn)證 命名空間不是連續(xù)的,例如 Organizational units 組織單元定義：用于組織域中對象的容器對象特點(diǎn)： 容器 AD中在域的下層 組織對象以便管理 可以被嵌套,沒有層數(shù)要求 Global catalog 全局編錄定義：包含有AD中所有對象屬性子集的信息特點(diǎn)： 提高在AD中查找對象的響應(yīng)速度什么是域服務(wù)器DC和Server的區(qū)別安裝AD檢查安裝結(jié)果 建立域服務(wù)器1. 什么是域控制器Domain Controller

49、DomainDomain ControllerUser1User2User1User2Replication2. DC和Server的區(qū)別討論 3. 安裝AD準(zhǔn)備工作建立根域往現(xiàn)有的域中添加域控制器創(chuàng)建子域在現(xiàn)有的森林中創(chuàng)建樹準(zhǔn)備安裝Active DirectoryActive Directory安裝要求1、Windows 2000 Server2、安裝TCP/IP并配置使用DNS3、分區(qū)使用NTFS文件系統(tǒng)4、至少有200MB磁盤空間用于存放AD，50MB存 放日志文件orDomain Controller for New DomainAdditional Domain Controller

50、New Domain TreeChild DomainNew ForestExisting Forestoror啟動(dòng)安裝向?qū)нx擇域控制器和域類型指明要求信息Domain, DNS, and NetBIOS namesDatabase, log, and shared system volume locationsSelect to weaken permissions 安裝Active Directory計(jì)算機(jī)是域控制器增加Active Directory Tools建立根域在已存在的域中添加域控制器啟動(dòng)安裝向?qū)нx擇域控制類型指明要求信息Network credentialsDNS name

51、of domain to joinDatabase, log, and shared system volume locations安裝Active Directory創(chuàng)建一個(gè)子域啟動(dòng)安裝向?qū)нx擇域控制類型指明要求信息Network credentialsDNS names of parent and child domainsDatabase, log, and shared system volume locationsSelect to weaken permissions 安裝Active Directory在已存在的樹林中創(chuàng)建樹啟動(dòng)安裝向?qū)нx擇域控制類型指明要求信息Network c

52、redentialsDNS names of new treeDatabase, log, and shared system volume locationsSelect to weaken permissions 安裝Active Directory4. 檢查安裝結(jié)果驗(yàn)證SRV資源記錄驗(yàn)證服務(wù)器提升檢驗(yàn)服務(wù)器提升DatabaseShared System VolumeDefault First Site NameGlobal Catalog ServerRoot DomainDefault ContainersDefault Domain Controllers OU域中的對象 組織域中的

53、對象1. 域中的對象及創(chuàng)建創(chuàng)建用戶賬戶創(chuàng)建計(jì)算機(jī)賬戶移動(dòng)和定位對象創(chuàng)建OU一、 Win2000中帳戶的類型及創(chuàng)建的目的1、用戶帳戶：讓用戶登錄到域中訪問網(wǎng)絡(luò)資源；登錄到本機(jī)訪問 本地資源2、組帳戶：簡化對用戶帳戶的管理，實(shí)現(xiàn)對多個(gè)用戶同時(shí)賦于相 同的權(quán)限3、計(jì)算機(jī)帳戶：管理計(jì)算機(jī)二、Win2000中的用戶和組的分類1、用戶帳戶： 本地用戶帳戶 域用戶帳戶討論：1、本地用戶帳戶和域用戶帳戶的區(qū)別 2、幾個(gè)比較容易混淆的Name和唯一性規(guī)則2、組帳戶： A、組類型（Group Type） 安全組（Security groups） 用于分配或拒絕權(quán)力或權(quán)限 分配組（Distribution grou

54、ps） 用于發(fā)送e-mail信息B、組作用域（Group Scope）Universal Group成員來自樹林中的任何一個(gè)域用于訪問任何一個(gè)域中的資源Domain Local Group成員來自樹林中的任何一個(gè)域用戶可以訪問一個(gè)域中的資源Global Group成員來自己的域用于訪問任何一個(gè)域中的資源3、創(chuàng)建和修改組（實(shí)驗(yàn)） 三、組織用戶的原則分配用戶 到全局組分配全局組 到域本地組然后分配權(quán)限 AGDLPG AGDLP小 結(jié)：1、Win2000中帳戶的類型及創(chuàng)建的目的2、Win2000中的用戶和組的分類3、如何創(chuàng)建修改不同的組作用域4、組織用戶的原則AGDLPMixed ModeNativ

55、e ModeDomain controllers (Windows 2000 only)andDomain controller (Windows 2000)Domain controller (Windows NT 4.0)移動(dòng)和定位對象移動(dòng)對象對象的權(quán)限隨著對象移動(dòng)繼承的權(quán)限不會(huì)移動(dòng)你可以移動(dòng)多個(gè)對象定位對象管理員可以使用“Find”在“Active Directory Users and Computers”中查找對象用戶使用查找在Start菜單, 在Windows Explorer, 以及在My Network Places創(chuàng)建OU組織OUOU的作用2. 用OU來組織一個(gè)域Creati

56、ng Organizational UnitsInformationServicesCustomerSupportDevelopmentTechnicalSupportCreating Organizational Units安排OU根據(jù):在OU級(jí)別上委派管理控制OUs允許單域模型Organizational Units 組織結(jié)構(gòu)SalesParisRepairUsersSalesComputers 網(wǎng)絡(luò)管理模型3. OU和文件夾的比較討論4. 內(nèi)置的容器和OU內(nèi)置的容器USERSCOMPUTERSBUILDINEtcOUDomain Controller 管理域中的對象安全組件Windows

57、 2000對資源訪問的控制控制對AD對象的訪問委派控制1. 安全組件 安全主體（ Security Principals ） 用戶, 安全組, 服務(wù), 和計(jì)算機(jī) 用唯一的ID識(shí)別 安全標(biāo)識(shí)符（SIDs） 由安全主體唯一標(biāo)識(shí) 不可重用 安全描述符（Security Descriptors） 與一個(gè)對象相關(guān)聯(lián)的安全信息 包含DACLs和SACLs DACL：指定對資源的訪問權(quán)限 SACL：指定被審核的用戶和組2. Windows 2000對資源訪問的控制UserApplication Sends Read RequestDACLSecurity SubsystemAccess FileRead A

58、llowedSecurity Subsystem Checks Appropriate ACE in DACL for FileACE FoundDomainOU1OU2SID UserSID GroupACE Access AllowedUser 1Read3. 控制對AD對象的訪問Active Directory PermissionsUsing Permissions InheritanceGranting Active Directory PermissionsChanging Object OwnershipActive Directory PermissionsPermission

59、s Authorize Access每一個(gè)對象有自由訪問控制列表（discretionary access control list）對象的類型決定了可用的權(quán)限多個(gè)權(quán)限允許和拒絕權(quán)限Standard and Special PermissionsFull ControlReadWriteCreate all Child ObjectsDelete all Child ObjectsUsing Permissions Inheritance應(yīng)用權(quán)限到子對象防止權(quán)限繼承Apply onto:This object onlyThis object and all child objectsChild

60、 objects onlycertificationAuthority objectsComputer objectsConnection objectsContact objectsGroup objectsgroupPolicyContainer objectsSecurityYou are preventing any inheritable permissions from propagating to this object. What do you want to do?-To copy previously inherited permissions to this object