項(xiàng)目windowsserver基本管理

項(xiàng)目3

windowsserver2008基本管理第一頁，共三十二頁。項(xiàng)目說明

作為一名網(wǎng)絡(luò)管理人員，必須熟練掌握服務(wù)器配置的基礎(chǔ)知識(shí)，本項(xiàng)目要求網(wǎng)絡(luò)人員熟練掌握服務(wù)器的基本安全管理，包括本地管理以及本地安全策略的設(shè)置等，并可以通過遠(yuǎn)程桌面功能，實(shí)現(xiàn)對(duì)服務(wù)器的遠(yuǎn)程管理。通過管理，構(gòu)建一個(gè)安全的本地服務(wù)器環(huán)境，為搭建各種服務(wù)器打下良好基礎(chǔ)。第二頁，共三十二頁。項(xiàng)目說明

在如圖所示的網(wǎng)絡(luò)環(huán)境中，項(xiàng)目包含任務(wù)要求如下：1、本地管理：對(duì)win08(server)服務(wù)器進(jìn)行用戶管理、安全策略管理等。2、遠(yuǎn)程管理：為win08(server)創(chuàng)建遠(yuǎn)程登錄設(shè)置，并在客戶機(jī)上登錄進(jìn)行遠(yuǎn)程桌面連接，以實(shí)現(xiàn)遠(yuǎn)程管理服務(wù)器。3、設(shè)置服務(wù)器本地安全策略，確保系統(tǒng)的安全性。并設(shè)置遠(yuǎn)程訪問用戶非法登錄自動(dòng)報(bào)警功能。第三頁，共三十二頁。項(xiàng)目要求（1）掌握用戶與組的管理及其應(yīng)用。（2）掌握磁盤管理及其應(yīng)用。（3）掌握本地安全策略的設(shè)置及應(yīng)用。第四頁，共三十二頁。項(xiàng)目實(shí)施一、用戶與用戶組管理（1）用戶賬戶

在計(jì)算機(jī)網(wǎng)絡(luò)中，計(jì)算機(jī)的服務(wù)對(duì)象是用戶，用戶通過賬戶訪問計(jì)算機(jī)資源，所以用戶也就是賬戶。所謂用戶的管理也就是賬戶的管理。每個(gè)用戶都需要有一個(gè)賬戶，以便登錄到域訪問網(wǎng)絡(luò)資源或登錄到某臺(tái)計(jì)算機(jī)訪問該機(jī)上的資源。組是用戶賬戶的集合，管理員通常通過組來對(duì)用戶的權(quán)限進(jìn)行設(shè)置從而簡化了管理。

用戶賬戶由一個(gè)賬戶名和一個(gè)密碼來標(biāo)識(shí)，二者都需要用戶在登錄時(shí)鍵入。賬戶名是用戶的文本標(biāo)簽，密碼則是用戶的身份驗(yàn)證字符串，是在WindowsServer2008網(wǎng)絡(luò)上的個(gè)人唯一標(biāo)識(shí)。用戶賬戶通過驗(yàn)證后登錄到工作組或是域內(nèi)的計(jì)算機(jī)上，通過授權(quán)訪問相關(guān)的資源，它也可以作為某些應(yīng)用程序的服務(wù)賬戶。第五頁，共三十二頁。項(xiàng)目實(shí)施一、用戶與用戶組管理（2）賬戶名賬戶名的命名規(guī)則如下：賬戶名必須唯一，且不分大小寫。最多包含20個(gè)大小寫字符和數(shù)字，輸入時(shí)可超過20個(gè)字符，但只識(shí)別前20個(gè)字符。不能使用保留字字符：”^[]：；｜＝，＋＊？＜＞可以是字符和數(shù)字的組合。不能與組名相同。第六頁，共三十二頁。項(xiàng)目實(shí)施一、用戶與用戶組管理（3）密碼

為了維護(hù)計(jì)算機(jī)的安全，每個(gè)賬戶必須有密碼，設(shè)立密碼應(yīng)遵循以下規(guī)則：

必須為Administrator賬戶分配密碼，防止未經(jīng)授權(quán)就使用。

明確是管理員還是用戶管理密碼，最好用戶管理自己的密碼。

密碼的長度在8～127之間。如果網(wǎng)絡(luò)包含運(yùn)行Windows95或Windows98的計(jì)算機(jī)，應(yīng)考慮使用不超過14個(gè)字符的密碼。如果密碼超過14個(gè)字符，則可能無法從運(yùn)行Windows95或Windows98的計(jì)算機(jī)登錄到網(wǎng)絡(luò)。

使用不易猜出的字母組合，例如不要使用自己的名字、生日以及家庭成員的名字等。

密碼可以使用大小寫字母、數(shù)字和其它合法的字符。第七頁，共三十二頁。項(xiàng)目實(shí)施一、用戶與用戶組管理（4）服務(wù)器工作模式WindowsServer2008服務(wù)器有兩種工作模式：工作組模式和域模式。域和工作組之間的區(qū)別可以歸結(jié)為以下幾點(diǎn)：

①創(chuàng)建方式不同：工作組可以由任何一個(gè)計(jì)算機(jī)的管理員來創(chuàng)建，用戶在系統(tǒng)的“計(jì)算機(jī)名稱更改”對(duì)話框中輸入新的組名，重新啟動(dòng)計(jì)算機(jī)后就創(chuàng)建了一個(gè)新組，每一臺(tái)計(jì)算機(jī)都有權(quán)利創(chuàng)建一個(gè)組；而域只能由域控制器來創(chuàng)建，然后才允許其它的計(jì)算機(jī)加入這個(gè)域。

②安全機(jī)制不同：在域中有可以登錄該域的賬戶，這些由域管理員來建立；在工作組中不存在工作組的賬戶，只有本機(jī)上的賬戶和密碼。

③登錄方式不同：在工作組方式下，計(jì)算機(jī)啟動(dòng)后自動(dòng)就在工作組中；登錄域時(shí)要提交域用戶名和密碼，只到用戶登錄成功之后，才被賦予相應(yīng)的權(quán)限。第八頁，共三十二頁。項(xiàng)目實(shí)施一、用戶與用戶組管理（5）用戶賬戶類型WindowsServer2008針對(duì)這兩種工作模式提供了三種不同類型的用戶賬戶，分別是本地用戶賬戶、域用戶賬戶和內(nèi)置用戶賬戶。第九頁，共三十二頁。項(xiàng)目實(shí)施二、用戶組及其作用（1）用戶組

有了用戶之后，為了簡化網(wǎng)絡(luò)的管理工作，WindowsServer2008中提供了用戶組的概念。用戶組就是指具有相同或者相似特性的用戶集合，我們可以把組看作一個(gè)班級(jí)，用戶便是班級(jí)里的學(xué)生。當(dāng)要給一批用戶分配同一個(gè)權(quán)限時(shí)，就可以將這些用戶都?xì)w到一個(gè)組中，只要給這個(gè)組分配此權(quán)限，組內(nèi)的用戶就都會(huì)擁有此權(quán)限。第十頁，共三十二頁。項(xiàng)目實(shí)施二、用戶組及其作用（2）用戶組的作用

一般組用于以下三個(gè)方面：（1）管理用戶和計(jì)算機(jī)對(duì)于共享資源的訪問，如網(wǎng)絡(luò)各項(xiàng)文件、目錄和打印隊(duì)列等；（2）篩選組策略；（3）創(chuàng)建電子郵件分配列表等。第十一頁，共三十二頁。項(xiàng)目實(shí)施三、用戶組的分類（1）按作用域分組的用戶組

按作用域?qū)τ脩艚M進(jìn)行分類，分別為本地組賬戶和域中創(chuàng)建組賬戶。

創(chuàng)建在本地的組賬戶：可以在WindowsServer2008/2003/2000/NT獨(dú)立服務(wù)器或成員服務(wù)器、WindowsXP、WindowsNTWorkstation等非域控制器的計(jì)算機(jī)上創(chuàng)建本地組。這些組賬戶的信息被存儲(chǔ)在本地安全賬戶數(shù)據(jù)庫（SAM）內(nèi)。本地組只能在本地機(jī)使用，它有兩種類型：用戶創(chuàng)建的組和系統(tǒng)內(nèi)置的組（后面將詳細(xì)介紹WindowsServer2008的內(nèi)置組）。

創(chuàng)建在域的組賬戶：該賬戶創(chuàng)建在WindowsServer2008的域控制器上，組賬戶的信息被存儲(chǔ)在ActiveDirectory數(shù)據(jù)庫中，這些組能夠被使用在整個(gè)域中的計(jì)算機(jī)上。第十二頁，共三十二頁。項(xiàng)目實(shí)施三、用戶組的分類（2）按權(quán)限分類的用戶組

組分類方法有很多，根據(jù)權(quán)限不同，組可以分為安全組和分布式組。

安全組：被用來設(shè)置權(quán)限，例如可以設(shè)置安全組對(duì)某個(gè)文件有讀取的權(quán)限。

分布式組：用在與安全（與權(quán)限無關(guān)）無關(guān)的任務(wù)上，例如可以將電子郵件發(fā)送給分布式組。系統(tǒng)管理員無法設(shè)置分布式組的權(quán)限。第十三頁，共三十二頁。項(xiàng)目實(shí)施三、用戶組的分類（3）按作用范圍分類的用戶組

根據(jù)組的作用范圍，WindowsServer2008域內(nèi)的組又分為通用組、全局組和本地域組，

①通用組：可以指派所有域中的訪問權(quán)限，以便訪問每個(gè)域內(nèi)的資源。具有：可以訪問任何一個(gè)域內(nèi)的資源；成員能夠包含整個(gè)域目錄林中任何一個(gè)域內(nèi)的用戶、通用組、全局組，但無法包含任何一個(gè)域內(nèi)的本地域組等特性。

②全局組：主要用來組織用戶，即可以將多個(gè)即將被賦予相同權(quán)限的用戶賬戶加入到同一個(gè)全局組中。具有：可以訪問任何一個(gè)域內(nèi)的資源；成員只能包含與該組相同域中的用戶和其他全局組等特性。

③本地域組：主要被用來指派在其所屬域內(nèi)的訪問權(quán)限，以便可以訪問該域內(nèi)的資源，具有：只能訪問同一域內(nèi)的資源，無法訪問其他不同域內(nèi)的資源；成員能夠包含任何一個(gè)域內(nèi)的用戶、通用組、全局組以及同一個(gè)域內(nèi)的域本地組，但無法包含其他域內(nèi)的域本地組等特性。第十四頁，共三十二頁。項(xiàng)目實(shí)施四、創(chuàng)建和管理本地用戶（1）啟動(dòng)“本地用戶和組”管理

本地賬戶是工作在本地機(jī)的，只有系統(tǒng)管理員才能在本地創(chuàng)建用戶。啟動(dòng)本地用戶和組的三個(gè)基本方法是：①在“開始”→“運(yùn)行”窗口中填入lusrmgr.msc命令，可以直接啟動(dòng)本地用戶和組窗口，

②從“開始”→“管理工具”→“配置”→“本地用戶和組”。

③選擇菜單“開始”→“管理工具”→“計(jì)算機(jī)管理”→“本地用戶和組”，也可以啟動(dòng)“本地用戶和組”的管理界面。第十五頁，共三十二頁。項(xiàng)目實(shí)施四、創(chuàng)建和管理本地用戶（2）創(chuàng)建本地用戶（3）查看與設(shè)置本地用戶屬性

新建用戶賬戶后，管理員要對(duì)賬戶做進(jìn)一步的設(shè)置，通過設(shè)置賬戶屬性來完成的。本地用戶“屬性”包括常規(guī)、隸屬于、配置文件、環(huán)境、會(huì)話、遠(yuǎn)程控制、終端服務(wù)配置文件與接入等9項(xiàng)。（4）刪除賬戶

如果某用戶離開公司，為防止其它用戶使用該用戶賬戶登錄，就要?jiǎng)h除該用戶的賬戶。第十六頁，共三十二頁。項(xiàng)目實(shí)施五、創(chuàng)建和管理本地組賬戶

創(chuàng)建本地組賬戶的用戶必須是Administrators組或AccountOperators組的成員，才有權(quán)限建立本地組賬戶并在本地組中添加成員。第十七頁，共三十二頁。項(xiàng)目實(shí)施六、將用戶賬戶加入到組

如果讓用戶擁有其它組的權(quán)限，可以將該用戶加入到其它組中。第十八頁，共三十二頁。項(xiàng)目實(shí)施七、遠(yuǎn)程桌面

“遠(yuǎn)程桌面”本質(zhì)上是一個(gè)單用戶的終端服務(wù)會(huì)話，它使用RDP協(xié)議與運(yùn)行“WindowsServer2008”的主機(jī)進(jìn)行通訊，遠(yuǎn)程用戶訪問的應(yīng)用程序在這個(gè)主機(jī)系統(tǒng)上運(yùn)行，只有鍵盤和鼠標(biāo)的輸入信號(hào)及視頻的輸出信號(hào)在主機(jī)系統(tǒng)之間進(jìn)行傳遞。由于“遠(yuǎn)程桌面”會(huì)話傳遞的數(shù)據(jù)量非常有限，所以它可以有效地利用網(wǎng)絡(luò)帶寬并應(yīng)用于各類網(wǎng)絡(luò)環(huán)境，包括撥號(hào)連接和廣域網(wǎng)連接。使用“遠(yuǎn)程桌面連接”，可以很容易地連接到網(wǎng)絡(luò)服務(wù)器或其他運(yùn)行遠(yuǎn)程桌面的計(jì)算機(jī)，操作遠(yuǎn)程的電腦為你收發(fā)郵件、查看報(bào)表、傳送文件、安裝及刪除軟件、進(jìn)行用戶管理、系統(tǒng)維護(hù)更新等等，就像實(shí)際操作自己面前那臺(tái)計(jì)算機(jī)一樣，可以大大提高工作的效率。第十九頁，共三十二頁。項(xiàng)目實(shí)施七、遠(yuǎn)程桌面的實(shí)現(xiàn)

Windowsserver2008遠(yuǎn)程桌面的組成有兩大部份，一是服務(wù)器端，一是客戶端。在服務(wù)器端，網(wǎng)絡(luò)管理員要對(duì)網(wǎng)絡(luò)中的服務(wù)器進(jìn)行遠(yuǎn)程管理的控制，必須在服務(wù)器端啟用“遠(yuǎn)程桌面”功能。在客戶端通過“遠(yuǎn)程桌面連接”來登錄網(wǎng)絡(luò)服務(wù)器。實(shí)現(xiàn)遠(yuǎn)程管理。以下是遠(yuǎn)程桌面的實(shí)現(xiàn)過程：

一、服務(wù)器端設(shè)置

其安裝配置過程如下：

1、啟用遠(yuǎn)程桌面。2、設(shè)置遠(yuǎn)程桌面3、設(shè)置用戶權(quán)限第二十頁，共三十二頁。項(xiàng)目實(shí)施七、遠(yuǎn)程桌面的實(shí)現(xiàn)（續(xù)）

二、客戶端設(shè)置

要實(shí)現(xiàn)遠(yuǎn)程管理網(wǎng)絡(luò)主機(jī)，客戶端必須運(yùn)行“遠(yuǎn)程桌面連接”程序，以登錄到服務(wù)器，對(duì)服務(wù)器進(jìn)行管理和控制。WindowsXP／WindowsServer2003／WindowsServer2008系統(tǒng)集成有遠(yuǎn)程桌面連接工具，其它Windows平臺(tái)(Windows2000、WindowsMe、WindowsNT及Windows9X等)可以通過運(yùn)行“遠(yuǎn)程桌面”的客戶端軟件——“遠(yuǎn)程桌面連接”(mstsc．exe)來實(shí)現(xiàn)遠(yuǎn)程管理網(wǎng)絡(luò)服務(wù)器。

在客戶機(jī)上單擊“開始”→“所有程序”→“附件”→“遠(yuǎn)程桌面連接”（注：不同的windows操作系統(tǒng)打開方式稍有不同），輸入遠(yuǎn)程連接的計(jì)算機(jī)名或IP地址、進(jìn)行遠(yuǎn)程連接的用戶賬戶、密碼和所在域。注意所輸入的用戶賬戶一定是前面已配置具有遠(yuǎn)程連接權(quán)限的。設(shè)置連接的其他屬性，單擊“確定”即可進(jìn)行遠(yuǎn)程連接。第二十一頁，共三十二頁。項(xiàng)目實(shí)施八、本地安全策略

在創(chuàng)建用戶帳戶的過程中，我們使用了本地安全策略，配置了帳戶密碼的復(fù)雜度。本地安全策略是windowsserver2008中的系統(tǒng)安全管理工具。

1、本地安全策略的打開

單擊“開始”→“管理工具”→“本地安全策略”選項(xiàng)，即可打開“本地安全策略”對(duì)話框。

也可以通過命令方式打開，單擊“開始”→“運(yùn)行”，在彈出的運(yùn)行對(duì)話框中鍵入“secpol.msc”命令，也可以打開“本地安全策略”對(duì)話框。第二十二頁，共三十二頁。項(xiàng)目實(shí)施八、本地安全策略（續(xù)）

在創(chuàng)建用戶帳戶的過程中，我們使用了本地安全策略，配置了帳戶密碼的復(fù)雜度。本地安全策略是windowsserver2008中的系統(tǒng)安全管理工具。

2、本地安全策略的組成

本地安全策略由以下項(xiàng)目組成：帳戶策略、本地策略、高級(jí)安全WINDOWS防火墻、公鑰策略、應(yīng)用程序控制策略等。每一策略中又包含許多子項(xiàng)目。第二十三頁，共三十二頁。項(xiàng)目實(shí)施八、本地安全策略（續(xù)）

3、本地安全策略的應(yīng)用(1)、去掉帳戶密碼復(fù)雜性限制(2)、免除登錄時(shí)按Ctrl+Alt+Del的限制(3)、帳戶鎖定策略第二十四頁，共三十二頁。項(xiàng)目實(shí)訓(xùn)1.實(shí)訓(xùn)目標(biāo)

（1）掌握windowsserver2008用戶管理的相關(guān)配置。

（2）掌握并應(yīng)用遠(yuǎn)程桌面實(shí)現(xiàn)遠(yuǎn)程管理。

（3）理解并掌握設(shè)置安全的遠(yuǎn)程管理的方法。

（4）熟練掌握VirtualBox配置與使用虛擬機(jī)。第二十五頁，共三十二頁。項(xiàng)目實(shí)訓(xùn)2.實(shí)訓(xùn)環(huán)境

（1）硬件要求

計(jì)算機(jī)配置：處理器CPU工作頻率2GHz或以上，雙核，內(nèi)存2GBRAM以上，硬盤空間80GB以上，光盤驅(qū)動(dòng)器DVD-ROM，標(biāo)準(zhǔn)鍵盤、鼠標(biāo)。

（2）網(wǎng)絡(luò)環(huán)境：100M或1000M以太網(wǎng)絡(luò)，包含交換機(jī)（或集線器）、超五類網(wǎng)絡(luò)線等網(wǎng)絡(luò)設(shè)備、附屬設(shè)施。

（3）軟件準(zhǔn)備：基于WindowsXP或Windows7操作系統(tǒng)平臺(tái)、VirtualBox軟件（forWindows）、WinISO工具軟件、windowsserver2003操作系統(tǒng)安裝光盤。第二十六頁，共三十二頁。項(xiàng)目實(shí)訓(xùn)3.任務(wù)要求

本實(shí)戰(zhàn)項(xiàng)目要求搭建出如圖所示的網(wǎng)絡(luò)拓樸圖所對(duì)應(yīng)的網(wǎng)絡(luò)環(huán)境。第二十七頁，共三十二頁。項(xiàng)目實(shí)訓(xùn)3.任務(wù)要求（續(xù)）

此網(wǎng)絡(luò)環(huán)境的詳細(xì)配置清單如下：

（1）為win08(server)的虛擬主機(jī)創(chuàng)建用戶帳戶，名稱分別為zhangsan、lisi。密碼分別為1234、abcd。

（2）設(shè)置系統(tǒng)的安全策略“帳戶鎖定閾值”為2次，并分別使用zhangsan、lisi這兩個(gè)帳戶測(cè)試登錄系統(tǒng)。

（3）為win08(server)虛擬主機(jī)設(shè)置遠(yuǎn)程桌面，要求使用“安全的登錄”方式，登錄用戶zh