WindowsServer2016系統(tǒng)管理與網(wǎng)絡(luò)管理PPT完整全套教學(xué)課件

WindowsServer2016系統(tǒng)管理與網(wǎng)絡(luò)管理內(nèi)容簡介《WindowsServer2016系統(tǒng)管理與網(wǎng)絡(luò)管理》課程是計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)及相關(guān)專業(yè)的一門專業(yè)課程，實(shí)踐性較強(qiáng)。本教材以實(shí)際應(yīng)用項(xiàng)目為載體，以任務(wù)驅(qū)動(dòng)的方式，對磁盤管理、NTFS權(quán)限、資源共享方法、活動(dòng)目錄與用戶賬戶管理、DNS、DHCP、IIS、PowerShell編程及路由器等內(nèi)容進(jìn)行學(xué)習(xí)，從而最終培養(yǎng)學(xué)生構(gòu)建與管理基于Windows的企業(yè)網(wǎng)絡(luò)的能力。章節(jié)目錄項(xiàng)目1WindowsServer2016的安裝項(xiàng)目2本地用戶和組項(xiàng)目3域環(huán)境的架設(shè)及賬號(hào)管理項(xiàng)目4文件系統(tǒng)管理及資源共享項(xiàng)目5磁盤管理章節(jié)目錄（續(xù)）項(xiàng)目6架設(shè)DNS服務(wù)器項(xiàng)目7架設(shè)DHCP服務(wù)器項(xiàng)目8架設(shè)Web和FTP服務(wù)器項(xiàng)目9架設(shè)VPN服務(wù)器項(xiàng)目10虛擬化服務(wù)2023年5月24日項(xiàng)目1WindowsServer2016的安裝項(xiàng)目1WindowsServer2016的安裝項(xiàng)目情境

嶺南信息技術(shù)有限公司是一家專業(yè)提供信息化建設(shè)的網(wǎng)絡(luò)技術(shù)服務(wù)公司，于?2008?年為嶺南中心醫(yī)院建設(shè)了內(nèi)部局域網(wǎng)絡(luò)，架設(shè)了一臺(tái)醫(yī)院信息管理系統(tǒng)服務(wù)器并為客戶進(jìn)行維護(hù)，該服務(wù)器使用的是WindowsServer2003操作系統(tǒng)。

在某天晚上的一次雷擊事故中，由于UPS出現(xiàn)故障，導(dǎo)致服務(wù)器系統(tǒng)崩潰，無法啟動(dòng)操作系統(tǒng)，作為技術(shù)人員，上門檢查后發(fā)現(xiàn)硬盤出現(xiàn)磁道損壞，需更換新的硬盤，同時(shí)，醫(yī)院的機(jī)房管理人員抱怨WindowsServer2003存在一些功能缺陷，難以滿足當(dāng)前工作需要，建議在更換硬盤的同時(shí)升級(jí)服務(wù)器的操作系統(tǒng)。那么，應(yīng)該如何進(jìn)行處理呢？項(xiàng)目1WindowsServer2016的安裝項(xiàng)目分析（1）可以將操作系統(tǒng)更換為WindowsServer2016，利用WindowsServer2016的新功能來彌補(bǔ)之前WindowsServer2003系統(tǒng)的功能缺陷。（2）在進(jìn)行WindowsServer2016系統(tǒng)安裝之前，應(yīng)該規(guī)劃系統(tǒng)的安裝方式，由于硬盤已經(jīng)被損壞，需要更換新的硬盤，因此，采用全新安裝WindowsServer2016的方式。項(xiàng)目1WindowsServer2016的安裝項(xiàng)目目標(biāo)（1）理解WindowsServer2016各個(gè)版本的特點(diǎn)及相關(guān)特性。（2）熟悉WindowsServer2016安裝的條件及注意事項(xiàng)。（3）掌握WindowsServer2016的安裝過程以及系統(tǒng)的啟動(dòng)和登錄。（4）掌握WindowsServer2016的基本工作環(huán)境配置方法。項(xiàng)目1WindowsServer2016的安裝項(xiàng)目任務(wù)任務(wù)1WindowsServer2016的安裝任務(wù)2WindowsServer2016的工作環(huán)境配置項(xiàng)目1WindowsServer2016的安裝任務(wù)1WindowsServer2016的安裝1任務(wù)1WindowsServer2016的安裝任務(wù)知識(shí)準(zhǔn)備1．WindowsServer2016概述WindowsServer2016是微軟公司于2008年3月發(fā)布的基于WindowsNT技術(shù)開發(fā)的新一代網(wǎng)絡(luò)操作系統(tǒng)。對于企業(yè)應(yīng)用，服務(wù)器操作系統(tǒng)的選擇對構(gòu)建網(wǎng)絡(luò)是非常重要的。面對復(fù)雜的網(wǎng)絡(luò)管理任務(wù)，選擇穩(wěn)定易用的操作系統(tǒng)無疑是至關(guān)重要的。WindowsServer2016作為微軟新一代的網(wǎng)絡(luò)操作系統(tǒng)，繼承了WindowsServer2003的穩(wěn)定性和WindowsXP的易用性，并且提供了更好的硬件支持和更強(qiáng)大的功能。

WindowsServer2016為企業(yè)提供更加高效的網(wǎng)絡(luò)傳輸和更加可靠的安全管理，從而減輕管理員部署的負(fù)擔(dān)，提高工作效率，降低成本。任務(wù)1WindowsServer2016的安裝1）WindowsServer2016的服務(wù)器角色WindowsServer2016作為一種網(wǎng)絡(luò)操作系統(tǒng)，能提供各種網(wǎng)絡(luò)服務(wù)，其中的一些服務(wù)器角色包括：（1）文件和打印服務(wù)器（2）Web服務(wù)器和Web應(yīng)用程序服務(wù)器（3）郵件服務(wù)器（4）終端服務(wù)器（5）遠(yuǎn)程訪問/虛擬專用網(wǎng)絡(luò)（VPN）服務(wù)器（6）目錄服務(wù)器（7）域名系統(tǒng)（DNS）（8）動(dòng)態(tài)主機(jī)配置協(xié)議（DHCP）服務(wù)器（9）證書服務(wù)（10）流媒體服務(wù)器任務(wù)1WindowsServer2016的安裝2）WindowsServer2016的新特性WindowsServer2016中增加的新功能主要有以下11個(gè)方面。（1）服務(wù)器核心（ServerCore）（2）WindowsPowerShell（3）IIS7.0（4）虛擬化（WSv）（5）網(wǎng)絡(luò)訪問保護(hù)（NAP）（6）只讀域控制器（RODC）（7）Windows防火墻高級(jí)安全功能（8）服務(wù)器管理器（9）增強(qiáng)的終端服務(wù)（10）下一代加密技術(shù)（CNG）（11）BitLocker驅(qū)動(dòng)器加密任務(wù)1WindowsServer2016的安裝3）WindowsServer2016的版本W(wǎng)indowsServer2016主要有以下6個(gè)不同的版本。（1）WindowsServer2016標(biāo)準(zhǔn)版（2）WindowsServer2016企業(yè)版（3）WindowsServer2016數(shù)據(jù)中心版（4）WindowsWebServer2016（5）WindowsServer2016安騰版（6）WindowsHPCServer2016

在以上6個(gè)版本中，使用較多的是標(biāo)準(zhǔn)版和企業(yè)版。由于WindowsServer2016標(biāo)準(zhǔn)版對硬件要求相對較低，本書將以WindowsServer2016中文標(biāo)準(zhǔn)版為藍(lán)本，介紹各種系統(tǒng)管理和網(wǎng)絡(luò)管理功能。任務(wù)1WindowsServer2016的安裝2．WindowsServer2016安裝前準(zhǔn)備在安裝WindowsServer2016之前，應(yīng)收集所有必要的信息，好的準(zhǔn)備工作有助于安裝過程的順利進(jìn)行。（1）系統(tǒng)需求

最低配置CPU為Pentium32位系統(tǒng)1GHz，內(nèi)存512MB，硬盤空間10GB。但為了使WindowsServer2016能達(dá)到合理的性能要求，建議使用如下配置要求以上的計(jì)算機(jī)。CPU：Pentium32位系統(tǒng)2GHz。

內(nèi)存：2GB。

硬盤：40GB剩余磁盤空間。任務(wù)1WindowsServer2016的安裝（2）選擇磁盤分區(qū)在安裝WindowsServer2016之前，還應(yīng)決定系統(tǒng)安裝的磁盤分區(qū)。如果磁盤沒有分區(qū)，則可以創(chuàng)建一個(gè)新的分區(qū)，然后將WindowsServer2016安裝在此磁盤分區(qū)中；如果磁盤已經(jīng)分區(qū)，則可以選擇某個(gè)有足夠空間的分區(qū)來安裝WindowsServer2016；如果欲安裝的分區(qū)已經(jīng)存在其他的操作系統(tǒng)，則可以選擇將其覆蓋或升級(jí)安裝WindowsServer2016。任務(wù)1WindowsServer2016的安裝（3）選擇文件系統(tǒng)任何一個(gè)新的磁盤分區(qū)都必須在被格式化為合適的文件系統(tǒng)后，才可以在其中安裝WindowsServer2016和存儲(chǔ)數(shù)據(jù)。在新建用來安裝WindowsServer2016的磁盤分區(qū)后，安裝程序就會(huì)要求用戶選擇文件系統(tǒng)，以便格式化該磁盤分區(qū)。WindowsServer2016支持FAT32和NTFS文件系統(tǒng)，其中NTFS文件系統(tǒng)具有較好的性能、系統(tǒng)恢復(fù)功能和安全性。建議采用NTFS文件系統(tǒng)安裝WindowsServer2016。任務(wù)1WindowsServer2016的安裝（4）備份數(shù)據(jù)在安裝WindowsServer2016之前，首先應(yīng)該備份要保留的文件。特別是升級(jí)安裝，為了防止升級(jí)的不成功而導(dǎo)致數(shù)據(jù)丟失，備份尤為重要。（5）斷開UPS服務(wù)如果計(jì)算機(jī)連接有UPS設(shè)備，那么在運(yùn)行安裝程序之前，應(yīng)該斷開與UPS相連的串行電纜。因?yàn)閃indowsServer2016的Setup程序?qū)⒆詣?dòng)檢測連接到串行端口的設(shè)備，不斷開串行電纜會(huì)導(dǎo)致檢測過程中的問題。任務(wù)1WindowsServer2016的安裝（6）檢查引導(dǎo)扇區(qū)的病毒引導(dǎo)扇區(qū)的病毒會(huì)導(dǎo)致WindowsServer2016安裝的失敗。為了證實(shí)引導(dǎo)扇區(qū)沒有感染病毒，可運(yùn)行相應(yīng)的防病毒軟件對引導(dǎo)扇區(qū)進(jìn)行病毒檢查。（7）斷開網(wǎng)絡(luò)如果計(jì)算機(jī)接入了Internet，建議在安裝WindowsServer2016之前斷開網(wǎng)絡(luò)，這樣可以確保在安裝防病毒軟件之前不會(huì)受到“沖擊波”、“振蕩波”及“ARP蠕蟲”等蠕蟲的感染。任務(wù)1WindowsServer2016的安裝3．WindowsServer2016安裝方式在X86的32位平臺(tái)計(jì)算機(jī)上安裝WindowsServer2016時(shí)，主要有以下四種安裝方法。（1）全新安裝（2）升級(jí)安裝（3）通過Windows部署服務(wù)遠(yuǎn)程安裝（4）安裝ServerCore任務(wù)1WindowsServer2016的安裝任務(wù)實(shí)施本任務(wù)將介紹從光盤引導(dǎo)全新安裝WindowsServer2016標(biāo)準(zhǔn)版的具體步驟。（1）在BIOS中將計(jì)算機(jī)設(shè)為從光盤引導(dǎo)，將WindowsServer2016光盤放入光驅(qū)，然后重新啟動(dòng)計(jì)算機(jī)，此時(shí)將從光盤啟動(dòng)安裝程序。一旦加載了部分驅(qū)動(dòng)程序，并初始化了WindowsServer2016執(zhí)行環(huán)境，就會(huì)出現(xiàn)如圖1.1所示的“安裝WindowsServer2016”界面。更改或選擇默認(rèn)的“要安裝的語言”、“時(shí)間和貨幣格式”及“鍵盤和輸入方法”后，直接單擊“下一步”按鈕開始安裝全新的WindowsServer2016。任務(wù)1WindowsServer2016的安裝圖1.1“安裝WindowsServer2016”界面任務(wù)1WindowsServer2016的安裝（2）在彈出的窗口中單擊“現(xiàn)在安裝”按鈕進(jìn)行安裝，如圖1.2所示。系統(tǒng)隨即顯示“選擇要安裝的操作系統(tǒng)”界面。在“操作系統(tǒng)”列表框中列出了可以安裝的操作系統(tǒng)版本。這里選擇“WindowsServer2016Standard（完全安裝）”選項(xiàng)，安裝WindowsServer2016標(biāo)準(zhǔn)版。任務(wù)1WindowsServer2016的安裝圖1.2單擊“現(xiàn)在安裝”按鈕任務(wù)1WindowsServer2016的安裝（3）單擊“下一步”按鈕，隨后出現(xiàn)WindowsServer2016“授權(quán)協(xié)議”屏幕。其中顯示了“Microsoft軟件許可條款”的正文。閱讀許可條款，并且必須接受許可條款方可繼續(xù)安裝。選中“我接受許可條款”復(fù)選框。（4）單擊“下一步”按鈕，打開如圖1.3所示的“您想進(jìn)行何種類型的安裝？”對話框。其中，“升級(jí)”選項(xiàng)用于從WindowsServer2003升級(jí)到WindowsServer2016，如果當(dāng)前計(jì)算機(jī)沒有安裝操作系統(tǒng)，該選項(xiàng)不可用；而“自定義（高級(jí)）”選項(xiàng)則用于全新的安裝。任務(wù)1WindowsServer2016的安裝圖1.3定義安裝類型任務(wù)1WindowsServer2016的安裝（5）選擇“自定義（高級(jí)）”選項(xiàng)，打開如圖1.4所示的“您想將Windows安裝在何處？”對話框，現(xiàn)在，該硬盤尚未分區(qū)。如果服務(wù)器上安裝有多塊硬盤，則會(huì)依次顯示為磁盤0、磁盤1、磁盤2等。單擊“驅(qū)動(dòng)器選項(xiàng)（高級(jí)）”鏈接，可以對磁盤進(jìn)行分區(qū)、格式化及刪除已有分區(qū)等操作。任務(wù)1WindowsServer2016的安裝圖1.4“您想將Windows安裝在何處？”對話框任務(wù)1WindowsServer2016的安裝（6）對磁盤進(jìn)行分區(qū)。單擊“新建”按鈕，在“大小”文本框中輸入第一個(gè)分區(qū)的大小，例如8000MB，如圖1.5所示。單擊“應(yīng)用”按鈕，第一個(gè)分區(qū)創(chuàng)建完成。然后選擇“磁盤0未分配空間”選項(xiàng)，并單擊“新建”按鈕，將剩余空間再劃分為其他分區(qū)。也可以將已劃分的分區(qū)再進(jìn)行分區(qū)、格式化等操作。需要注意的是，按照此方法劃分的分區(qū)，全部默認(rèn)為主分區(qū)。如果需要?jiǎng)?chuàng)建擴(kuò)展分區(qū)，可在安裝好WindowsServer2016后再劃分其他分區(qū)。任務(wù)1WindowsServer2016的安裝圖1.5為硬盤分區(qū)任務(wù)1WindowsServer2016的安裝（7）選擇第一個(gè)分區(qū)來安裝操作系統(tǒng)，單擊“下一步”按鈕，打開如圖1.6所示的“正在安裝Windows…”對話框，開始復(fù)制文件并安裝Windows系統(tǒng)。（8）在安裝過程中，系統(tǒng)會(huì)根據(jù)需要自動(dòng)重啟系統(tǒng)。完成安裝后，系統(tǒng)要求用戶在首次登錄之前必須更改密碼，單擊“確定”按鈕，打開如圖1.7所示的界面，在“新密碼”和“確認(rèn)密碼”文本框中輸入密碼，然后按Enter鍵，密碼更改成功。需要注意的是，在WindowsServer2016系統(tǒng)中，必須設(shè)置強(qiáng)密碼，否則系統(tǒng)將提示“無法更改密碼。為新密碼提供的值不符合字符域的長度、復(fù)雜性或歷史要求”。復(fù)雜密碼一般由大寫字母、小寫字母、數(shù)字、特殊符號(hào)等構(gòu)成，如密碼“abc123ABC”就符合要求。任務(wù)1WindowsServer2016的安裝圖1.6“正在安裝Windows…”對話框任務(wù)1WindowsServer2016的安裝圖1.7更改密碼界面任務(wù)1WindowsServer2016的安裝（9）單擊“確定”按鈕，需要用剛設(shè)置的密碼登錄系統(tǒng)。在“密碼”文本框中輸入密碼，按Enter鍵，即可登錄到WindowsServer2016系統(tǒng)桌面，并默認(rèn)啟動(dòng)“初始配置任務(wù)”窗口，如圖1.8所示。至此，WindowsServer2016操作系統(tǒng)安裝完成。任務(wù)1WindowsServer2016的安裝圖1.8“初始配置任務(wù)”窗口項(xiàng)目1WindowsServer2016的安裝任務(wù)2WindowsServer2016的工作環(huán)境配置

2任務(wù)2WindowsServer2016的工作環(huán)境配置

任務(wù)知識(shí)準(zhǔn)備安裝WindowsServer2016與WindowsServer2003最大的區(qū)別是，在安裝過程中無須設(shè)置計(jì)算機(jī)名、網(wǎng)絡(luò)連接等信息，所需時(shí)間也大大縮短。不過，在安裝完成后，就應(yīng)該設(shè)置計(jì)算機(jī)名、IP地址、配置Windows防火墻和自動(dòng)更新等。這些均可在“初始配置任務(wù)”窗口或“服務(wù)器管理器”窗口中完成。任務(wù)2WindowsServer2016的工作環(huán)境配置

任務(wù)實(shí)施1．更改計(jì)算機(jī)名WindowsServer2016系統(tǒng)在安裝過程中無須設(shè)置計(jì)算機(jī)名，而是使用由系統(tǒng)隨機(jī)配置的計(jì)算機(jī)名。但系統(tǒng)配置的計(jì)算機(jī)名不僅冗長，而且不便于標(biāo)記。因此，為了更好地標(biāo)識(shí)服務(wù)器，建議將服務(wù)器計(jì)算機(jī)名改為具有一定意義的名稱。操作方法如下。（1）執(zhí)行“開始”→“管理工具”→“服務(wù)器管理器”菜單命令，在打開的“服務(wù)器管理器”窗口的“計(jì)算機(jī)信息”區(qū)域中，單擊“更改系統(tǒng)屬性”鏈接，打開如圖1.9所示的“系統(tǒng)屬性”對話框。任務(wù)2WindowsServer2016的工作環(huán)境配置

圖1.9“系統(tǒng)屬性”對話框任務(wù)2WindowsServer2016的工作環(huán)境配置

（2）單擊“更改”按鈕，打開如圖1.10所示的“計(jì)算機(jī)名/域更改”對話框，在“計(jì)算機(jī)名”文本框中輸入一個(gè)新的計(jì)算機(jī)名，這里輸入“PUMA”。然后單擊“確定”按鈕，系統(tǒng)提示“您必須重新啟動(dòng)計(jì)算機(jī)才能應(yīng)用這些更改”，單擊“確定”按鈕后，可以選擇“立即重新啟動(dòng)”或“稍后重新啟動(dòng)”計(jì)算機(jī)。任務(wù)2WindowsServer2016的工作環(huán)境配置

圖1.10“計(jì)算機(jī)名/域更改”對話框任務(wù)2WindowsServer2016的工作環(huán)境配置

2．更改IP地址對于網(wǎng)絡(luò)中的計(jì)算機(jī)，都需要一個(gè)IP地址以便與其他計(jì)算機(jī)進(jìn)行通信。如果網(wǎng)絡(luò)中安裝有DHCP服務(wù)器，使用默認(rèn)的“自動(dòng)獲取IP地址”即可自行獲得IP地址，否則，需要手動(dòng)指定IP地址。（1）右鍵單擊桌面狀態(tài)欄托盤區(qū)域中的網(wǎng)絡(luò)連接圖標(biāo)，選擇快捷鍵菜單中的“網(wǎng)絡(luò)和共享中心”命令，打開如圖1.11所示的“網(wǎng)絡(luò)和共享中心”窗口，在這個(gè)窗口中顯示了網(wǎng)絡(luò)的連接狀態(tài)。任務(wù)2WindowsServer2016的工作環(huán)境配置

圖1.11“網(wǎng)絡(luò)和共享中心”窗口（2）在左側(cè)“任務(wù)”列表中單擊“管理網(wǎng)絡(luò)連接”項(xiàng)，打開如圖1.12所示的“網(wǎng)絡(luò)連接”窗口，在該窗口中雙擊“本地連接”圖標(biāo)，打開如圖1.13所示的“本地連接屬性”對話框。任務(wù)2WindowsServer2016的工作環(huán)境配置

圖1.12“網(wǎng)絡(luò)連接”窗口圖1.13“本地連接屬性”對話框任務(wù)2WindowsServer2016的工作環(huán)境配置

（3）在如圖1.13所示的對話框中，可以配置IPv4、IPv6等協(xié)議。這里配置的是IPv4的IP地址等相關(guān)信息，因此選擇“Internet協(xié)議版本4（TCP/IPv4）”選項(xiàng)，打開“Internet協(xié)議版本4（TCP/IPv4）屬性”對話框。如圖1.14所示。輸入完成后單擊“確定”按鈕，IP地址信息設(shè)置完成。任務(wù)2WindowsServer2016的工作環(huán)境配置

圖1.14“Internet協(xié)議版本4（TCP/IPv4）屬性”對話框任務(wù)2WindowsServer2016的工作環(huán)境配置

3．配置Windows防火墻WindowsServer2016自帶了Windows防火墻功能，可以有效地防止服務(wù)器上未經(jīng)允許的程序與網(wǎng)絡(luò)進(jìn)行通信，從而在一定程度上保護(hù)了服務(wù)器與網(wǎng)絡(luò)的安全。如果要允許某個(gè)程序與網(wǎng)絡(luò)通信，可以將其添加到Windows防火墻的“例外”中。默認(rèn)狀態(tài)下，安裝完WindowsServer2016系統(tǒng)以后，Windows防火墻處于開啟狀態(tài)。防火墻的基本配置方法如下。任務(wù)2WindowsServer2016的工作環(huán)境配置

（1）執(zhí)行“開始”→“控制面板”→“Windows防火墻”命令，打開如圖1.15所示的“Windows防火墻”窗口。在該窗口中可以看出，Windows防火墻已經(jīng)啟用?？梢酝ㄟ^“更改設(shè)置”來對防火墻進(jìn)行配置和修改。（2）在圖1.15中單擊“更改設(shè)置”，或者單擊“啟用或關(guān)閉Windows防火墻”鏈接，打開如圖1.16所示的對話框，系統(tǒng)默認(rèn)選擇“啟用”單選按鈕開啟防火墻，如果希望切斷所有的網(wǎng)絡(luò)連接，可以選中“阻止所有傳入連接”復(fù)選框。如果要關(guān)閉防火墻，則應(yīng)選擇“關(guān)閉”單選按鈕禁止防火墻。任務(wù)2WindowsServer2016的工作環(huán)境配置

圖1.15“Windows防火墻”窗口任務(wù)2WindowsServer2016的工作環(huán)境配置

圖1.16“Windows防火墻設(shè)置”對話框任務(wù)2WindowsServer2016的工作環(huán)境配置

（3）單擊如圖1.16所示的“例外”選項(xiàng)卡，出現(xiàn)如圖1.17所示的“例外”設(shè)置界面。列表框中選中的程序表示允許通過防火墻，如圖1.17所示的“ActiveDirectory域服務(wù)”、“DFS復(fù)制”、“DFS管理”等服務(wù)都能通過防火墻。任務(wù)2WindowsServer2016的工作環(huán)境配置

圖1.17“例外”設(shè)置界面任務(wù)2WindowsServer2016的工作環(huán)境配置

如果要允許的程序沒有顯示在列表框中，可以手動(dòng)添加。單擊“添加程序”按鈕，可以在打開的對話框中選擇允許的程序，也可以單擊“瀏覽”按鈕選擇。完成后單擊“確定”按鈕即可添加成功。如果要為系統(tǒng)啟用端口，允許某個(gè)特定的端口通過Windows防火墻，可以單擊“添加端口”按鈕，打開添加端口對話框，在彈出的窗口中的“名稱”和“端口號(hào)”文本框中分別輸入相應(yīng)的內(nèi)容，在“協(xié)議”選項(xiàng)區(qū)域中輸入該端口使用的協(xié)議，單擊“確定”按鈕即可添加端口。任務(wù)2WindowsServer2016的工作環(huán)境配置

4．配置自動(dòng)更新為了保護(hù)Windows系統(tǒng)的安全，微軟公司會(huì)及時(shí)發(fā)布各種更新程序和補(bǔ)丁程序，以修補(bǔ)系統(tǒng)漏洞，提高系統(tǒng)性能。因此，系統(tǒng)更新是Windows系統(tǒng)必不可少的功能。在WindowsServer2016服務(wù)器中，為了避免因漏洞而造成系統(tǒng)出問題，必須啟用自動(dòng)更新功能，并配置系統(tǒng)定時(shí)或自動(dòng)下載更新程序。以下是配置更新的方法。任務(wù)2WindowsServer2016的工作環(huán)境配置

（1）執(zhí)行“開始”→“控制面板”→“WindowsUpdate”命令，或者在“服務(wù)器管理器”窗口的“安全信息”區(qū)域中單擊“配置更新”鏈接，打開如圖1.18所示的“WindowsUpdate”對話框。在WindowsServer2016安裝完成后，系統(tǒng)默認(rèn)沒有啟用自動(dòng)更新功能。（2）單擊“更改設(shè)置”鏈接，可以在打開的窗口中選擇Windows安裝更新的方法。如果選中“從不檢查更新”單選按鈕，則禁用自動(dòng)更新功能。單擊“確定”按鈕保存設(shè)置。WindowsServer2016就會(huì)根據(jù)所做的配置自動(dòng)從WindowsUpdate網(wǎng)站檢查并下載更新。任務(wù)2WindowsServer2016的工作環(huán)境配置

圖1.18“WindowsUpdate”對話框任務(wù)2WindowsServer2016的工作環(huán)境配置

（3）如果網(wǎng)絡(luò)中配置有WSUS服務(wù)器（WindowsServerUpdateServices），那么WindowsServer2016就可以從WSUS服務(wù)器上下載更新，而不必連接微軟公司的更新服務(wù)器，這樣可以節(jié)省企業(yè)的Internet帶寬資源。要配置WSUS服務(wù)，應(yīng)該打開“開始”菜單，在“打開”文本框中輸入“gpedit.msc”命令，如圖1.19所示。單擊“確定”按鈕后打開“本地組策略編輯器”窗口，如圖1.20所示。（4）依次展開“計(jì)算機(jī)配置”→“管理模板”→“Windows組件→WindowsUpdate”選項(xiàng)，在如圖1.21所示的窗口中雙擊“配置自動(dòng)更新”選項(xiàng)，打開如圖1.22所示的“配置自動(dòng)更新屬性”對話框。任務(wù)2WindowsServer2016的工作環(huán)境配置

圖1.19輸入“gpedit.msc”命令圖1.20“本地組策略編輯器”窗口任務(wù)2WindowsServer2016的工作環(huán)境配置

圖1.21WindowsUpdate配置窗口任務(wù)2WindowsServer2016的工作環(huán)境配置

圖1.22“配置自動(dòng)更新屬性”對話框任務(wù)2WindowsServer2016的工作環(huán)境配置

（5）選擇“已啟用”單選按鈕，并在“配置自動(dòng)更新”下拉列表框中輸入下載更新的方式。如圖1.22所示為“3-自動(dòng)下載并通知安裝”。單擊“確定”按鈕保存配置。（6）雙擊圖1.21中的“指定IntranetMicrosoft更新服務(wù)位置”選項(xiàng)，打開如圖1.23所示的“指定IntranetMicrosoft更新服務(wù)位置屬性”對話框，在該對話框中選擇“已啟用”單選按鈕，并在“設(shè)置檢測更新的Intranet更新服務(wù)：”和“設(shè)置Intranet統(tǒng)計(jì)服務(wù)器”文本框中輸入WSUS服務(wù)器的地址，如圖1.23所示輸入為：，這是Windows更新服務(wù)器的地址。任務(wù)2WindowsServer2016的工作環(huán)境配置

圖1.23“指定IntranetMicrosoft更新服務(wù)位置屬性”對話框任務(wù)2WindowsServer2016的工作環(huán)境配置

5．添加與管理服務(wù)器角色在WindowsServer2016系統(tǒng)中，采用“服務(wù)器管理器”工具代替了WindowsServer2003中的“管理您的服務(wù)器”，而且對于早期Windows版本中的“添加/刪除Windows組件”和“配置您的服務(wù)器向?qū)А钡炔僮?，在WindowsServer2016中都可以在“服務(wù)器管理器”中完成。任務(wù)2WindowsServer2016的工作環(huán)境配置

1）添加服務(wù)器角色在WindowsServer2016中，默認(rèn)沒有安裝任何網(wǎng)絡(luò)服務(wù)器組件，只提供了一個(gè)用戶登錄的獨(dú)立網(wǎng)絡(luò)服務(wù)器，所有的角色都可以通過“服務(wù)器管理器”添加并操作。具體操作方法如下。（1）執(zhí)行“開始”→“管理工具”→“服務(wù)器管理器”命令，或者執(zhí)行“開始”→“服務(wù)器管理器”命令，打開如圖1.24所示的窗口。單擊左欄的“角色”，并在右欄“角色摘要”中單擊“添加角色”，出現(xiàn)如圖1.25所示的“添加角色向?qū)А睂υ捒颉Ｈ蝿?wù)2WindowsServer2016的工作環(huán)境配置

圖1.24“服務(wù)器管理器”窗口任務(wù)2WindowsServer2016的工作環(huán)境配置

圖1.25“添加角色向?qū)А睂υ捒蛉蝿?wù)2WindowsServer2016的工作環(huán)境配置

（2）單擊“下一步”按鈕，出現(xiàn)如圖1.26所示的“選擇服務(wù)器角色”對話框。在該對話框中選擇需要安裝的Windows服務(wù)器組件。在“角色”列表框中列出了所有可以安裝的網(wǎng)絡(luò)服務(wù)。如果要安裝哪種服務(wù)，只要選中相應(yīng)的復(fù)選框即可。例如，若要安裝Web服務(wù)器，則選中“Web服務(wù)器（IIS）”復(fù)選框。任務(wù)2WindowsServer2016的工作環(huán)境配置

圖1.26“選擇服務(wù)器角色”對話框任務(wù)2WindowsServer2016的工作環(huán)境配置

（3）單擊“下一步”按鈕，出現(xiàn)相應(yīng)網(wǎng)絡(luò)服務(wù)的簡介及幫助信息鏈接。直接單擊“下一步”按鈕，出現(xiàn)如圖1.27所示的“選擇角色服務(wù)”對話框，在這個(gè)對話框中選擇需要安裝的Web服務(wù)器（IIS）組件。選擇后，Windows系統(tǒng)會(huì)檢查組件之間的關(guān)聯(lián)性并自動(dòng)安裝相關(guān)聯(lián)的組件。任務(wù)2WindowsServer2016的工作環(huán)境配置

圖1.27Web服務(wù)器（IIS）組件任務(wù)2WindowsServer2016的工作環(huán)境配置

（4）單擊“下一步”按鈕，在出現(xiàn)的界面中單擊“安裝”按鈕，即可開始安裝所選擇的網(wǎng)絡(luò)服務(wù)。根據(jù)系統(tǒng)提示，在部分網(wǎng)絡(luò)服務(wù)安裝過程中可能要提供WindowsServer2016安裝光盤。有些網(wǎng)絡(luò)服務(wù)可能在安裝過程中需要調(diào)用配置向?qū)?，進(jìn)行一些簡單的服務(wù)配置，這些配置請讀者參考本書后面的章節(jié)。安裝完成后，系統(tǒng)出現(xiàn)如圖1.28所示的對話框。任務(wù)2WindowsServer2016的工作環(huán)境配置

圖1.28系統(tǒng)中安裝的服務(wù)器組件任務(wù)2WindowsServer2016的工作環(huán)境配置

2）刪除服務(wù)器角色服務(wù)器角色的模塊化管理是WindowsServer2016的一個(gè)突出特點(diǎn)。在組件（角色）安裝完成后，用戶也可以根據(jù)自己的需要再添加或刪除某些角色服務(wù)中的組件。服務(wù)器角色的刪除同樣可以在“服務(wù)器管理器”窗口中完成，不過建議在刪除角色之前先確認(rèn)是否有其他網(wǎng)絡(luò)服務(wù)或Windows功能需要調(diào)用當(dāng)前服務(wù)，以避免不必要的系統(tǒng)安全性和穩(wěn)定性問題。以下是刪除網(wǎng)絡(luò)服務(wù)角色的方法。任務(wù)2WindowsServer2016的工作環(huán)境配置

（1）在“服務(wù)器管理器”窗口中，選擇“角色”選項(xiàng)，即可顯示已經(jīng)安裝的服務(wù)角色。單擊窗口右欄的“刪除角色”鏈接，并單擊“下一步”按鈕，出現(xiàn)如圖1.29所示的對話框。（2）在如圖1.29所示的對話框中選中待刪除的服務(wù)器角色前面的復(fù)選框。如果有服務(wù)有依存關(guān)系，那么系統(tǒng)提示是否需要同時(shí)刪除依存角色服務(wù)，確認(rèn)后單擊“下一步”按鈕，并單擊“刪除”按鈕，即開始刪除相應(yīng)的網(wǎng)絡(luò)服務(wù)。任務(wù)2WindowsServer2016的工作環(huán)境配置

圖1.29選擇要?jiǎng)h除的服務(wù)器角色任務(wù)2WindowsServer2016的工作環(huán)境配置

3）添加功能除服務(wù)器角色外，WindowsServer2016操作系統(tǒng)還內(nèi)置了很多功能，如備份功能、Telnet服務(wù)器和客戶端功能、PowerShell功能等。有些功能可以單獨(dú)安裝，也有些會(huì)在安裝其他服務(wù)器時(shí)同時(shí)安裝，用戶可根據(jù)自己的需要進(jìn)行選擇。在“服務(wù)器管理器”窗口中，選擇左欄的“功能”選項(xiàng)，即可看到服務(wù)器當(dāng)前安裝的功能，如圖1.30所示。在此界面中也可以添加和刪除功能。任務(wù)2WindowsServer2016的工作環(huán)境配置

圖1.30添加和刪除功能任務(wù)2WindowsServer2016的工作環(huán)境配置

如果要添加某個(gè)功能，可以單擊“添加功能”鏈接，打開如圖1.31所示的“選擇功能”對話框，在功能列表中選中待安裝功能前面的復(fù)選框。如果有的功能包含有子組件，則可以將其展開并選擇。最后，單擊“安裝”按鈕即可以開始安裝，如圖1.32所示。任務(wù)2WindowsServer2016的工作環(huán)境配置

圖1.31“選擇功能”對話框任務(wù)2WindowsServer2016的工作環(huán)境配置

圖1.32待安裝的功能任務(wù)2WindowsServer2016的工作環(huán)境配置

與WindowsServer2003一樣，WindowsServer2016系統(tǒng)集成了管理控制臺(tái)MMC（MicrosoftManagementConsole）的功能，MMC不僅可以管理本地計(jì)算機(jī)上的服務(wù)，還可以管理遠(yuǎn)程計(jì)算機(jī)上的服務(wù)。而且，一個(gè)控制臺(tái)可以管理多個(gè)服務(wù)。關(guān)于控制臺(tái)的使用請讀者參考相關(guān)資料，這里不再詳細(xì)介紹。任務(wù)2WindowsServer2016的工作環(huán)境配置

實(shí)訓(xùn)1安裝WindowsServer2016實(shí)訓(xùn)1安裝WindowsServer20163實(shí)訓(xùn)1安裝WindowsServer2016實(shí)訓(xùn)目標(biāo)（1）了解WindowsServer2016各種不同的安裝方式，能根據(jù)不同的情況正確地選擇不同的方式來安裝WindowsServer2016操作系統(tǒng)。（2）掌握WindowsServer2016的安裝過程以及系統(tǒng)的啟動(dòng)和登錄。（3）掌握WindowsServer2016的基本工作環(huán)境配置方法。實(shí)訓(xùn)1安裝WindowsServer2016實(shí)訓(xùn)準(zhǔn)備（1）網(wǎng)絡(luò)環(huán)境：已建好100Mbit/s的以太網(wǎng)，包含交換機(jī)、超五類（或五類）UTP直通線若干、3臺(tái)以上數(shù)量的計(jì)算機(jī)（數(shù)量可以根據(jù)學(xué)生人數(shù)安排）。（2）計(jì)算機(jī)配置：CPU為IntelPentium4以上，內(nèi)存不小于1GB，硬盤剩余空間不小于20GB。（3）軟件：WindowsServer2016安裝光盤。（第2版）2023年5月24日項(xiàng)目2本地用戶和組項(xiàng)目2本地用戶和組項(xiàng)目情境在嶺南信息技術(shù)有限公司成立初期，信息系統(tǒng)應(yīng)用較少，主要有一臺(tái)安裝WindowsServer2008系統(tǒng)的服務(wù)器，服務(wù)器管理的資源和用戶數(shù)量都較少。公司管理層希望按用戶使用資源的應(yīng)用需求、權(quán)限和訪問資源的安全策略對用戶進(jìn)行設(shè)置、分類和管理。這樣既滿足員工工作的便利和效率，又能為服務(wù)器系統(tǒng)的安全提供保證。本項(xiàng)目以公司的財(cái)務(wù)部和銷售部為例，其中財(cái)務(wù)部主要的工作崗位有主管、會(huì)計(jì)和出納，銷售部主要的工作崗位有主管、銷售員、文員等。針對公司業(yè)務(wù)環(huán)境需要了解公司服務(wù)器的用戶有哪些應(yīng)用需求？哪些用戶具有對服務(wù)器的管理需求？用戶具有對服務(wù)器的哪些資源的訪問權(quán)限？如何對員工按工作需要進(jìn)行分類？如何有效配置本地計(jì)算機(jī)的安全環(huán)境？如何配置本地計(jì)算機(jī)的安全策略？項(xiàng)目2本地用戶和組項(xiàng)目分析（1）在服務(wù)器創(chuàng)建本地用戶及規(guī)則，按用戶應(yīng)用的需求配置賬戶屬性。（2）在服務(wù)器創(chuàng)建本地組，按用戶使用資源分類設(shè)置本地組。（3）通過設(shè)置本地安全策略，配置用戶訪問本地服務(wù)器的安全性，另外還可配置用戶賬戶對服務(wù)器管理與訪問的權(quán)限。項(xiàng)目2本地用戶和組項(xiàng)目目標(biāo)（1）理解本地用戶和組在企業(yè)的應(yīng)用需求。（2）學(xué)會(huì)創(chuàng)建用戶和組，學(xué)會(huì)按用戶工作需求配置用戶屬性和實(shí)現(xiàn)組的管理。（3）學(xué)會(huì)根據(jù)應(yīng)用需求配置本地計(jì)算機(jī)的安全環(huán)境和本地安全策略。項(xiàng)目2本地用戶和組項(xiàng)目任務(wù)任務(wù)1本地用戶賬戶創(chuàng)建與配置任務(wù)2本地組的創(chuàng)建與管理任務(wù)3設(shè)置本地安全策略項(xiàng)目2本地用戶和組任務(wù)1本地用戶賬戶創(chuàng)建與管理1任務(wù)1本地用戶賬戶創(chuàng)建與管理任務(wù)知識(shí)準(zhǔn)備安裝完操作系統(tǒng)并完成操作系統(tǒng)的環(huán)境配置后，管理員應(yīng)規(guī)劃一個(gè)安全的網(wǎng)絡(luò)環(huán)境，為用戶提供有效的資源訪問服務(wù)。WindowsServer2008通過建立賬戶（包括用戶賬戶和組賬戶）并賦予賬戶合適的權(quán)限來保證使用網(wǎng)絡(luò)和計(jì)算機(jī)資源的合法性，以確保數(shù)據(jù)訪問、存儲(chǔ)和交換服從安全需要。保證WindowsServer2008安全性的主要方法如下。（1）嚴(yán)格定義各種賬戶權(quán)限，阻止用戶可能進(jìn)行具有危害性的網(wǎng)絡(luò)操作。（2）使用組規(guī)劃用戶權(quán)限，簡化賬戶權(quán)限的管理。（3）禁止非法計(jì)算機(jī)接入網(wǎng)絡(luò)。（4）應(yīng)用本地安全策略和組策略制定更詳細(xì)的安全規(guī)則。任務(wù)1本地用戶賬戶創(chuàng)建與管理1．用戶賬戶的概述用戶賬戶是計(jì)算機(jī)的基本安全組件，計(jì)算機(jī)通過用戶賬戶來辨別用戶身份，讓有使用權(quán)限的人登錄計(jì)算機(jī)，訪問本地計(jì)算機(jī)資源或從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)的共享資源。指派不同用戶擁有不同的權(quán)限，可以讓用戶執(zhí)行不同的計(jì)算機(jī)管理任務(wù)。所以每臺(tái)運(yùn)行WindowsServer2008的計(jì)算機(jī)，都需要用戶賬戶才能登錄計(jì)算機(jī)。任務(wù)1本地用戶賬戶創(chuàng)建與管理WindowsServer2008支持兩種用戶賬戶：域賬戶和本地賬戶。域賬戶可以登錄到域上，并獲得訪問該網(wǎng)絡(luò)的權(quán)限；本地賬戶則只能登錄到一臺(tái)特定的計(jì)算機(jī)上，并訪問該計(jì)算機(jī)上的資源。WindowsServer2008還提供內(nèi)置用戶賬戶，它用于執(zhí)行特定的管理任務(wù)或使用戶能夠訪問網(wǎng)絡(luò)資源。注意：對于域環(huán)境的域用戶賬戶，將在項(xiàng)目3介紹。本項(xiàng)目主要介紹本地計(jì)算機(jī)的用戶和組的管理。任務(wù)1本地用戶賬戶創(chuàng)建與管理本地用戶賬戶僅允許用戶登錄并訪問創(chuàng)建該賬戶的計(jì)算機(jī)。當(dāng)創(chuàng)建本地用戶賬戶時(shí)，WindowsServer2008僅在計(jì)算機(jī)位于%Systemroot%\system32\config文件夾下的安全數(shù)據(jù)庫（SAM）中創(chuàng)建該賬戶。WindowsServer2008默認(rèn)只有Administrator賬戶和Guest賬戶。Administrator賬戶可以執(zhí)行計(jì)算機(jī)管理的所有操作；而Guest賬戶是為臨時(shí)訪問計(jì)算機(jī)的用戶而設(shè)置的，但默認(rèn)是禁用的。任務(wù)1本地用戶賬戶創(chuàng)建與管理WindowsServer2008為每個(gè)賬戶提供了名稱，如Administrator、Guest等，這些名稱是為了方便用戶記憶、輸入和使用的。在本地計(jì)算機(jī)中的用戶賬戶是不允許相同的。而系統(tǒng)內(nèi)部則使用安全標(biāo)識(shí)符（SecurityIdentifier，SID）來識(shí)別用戶身份，每個(gè)用戶賬戶都對應(yīng)一個(gè)唯一的安全標(biāo)識(shí)符，這個(gè)安全標(biāo)識(shí)符在用戶創(chuàng)建時(shí)由系統(tǒng)自動(dòng)產(chǎn)生。系統(tǒng)指派權(quán)利、授權(quán)資源訪問權(quán)限等都需要使用安全標(biāo)識(shí)符。當(dāng)刪除一個(gè)用戶賬戶后，重新創(chuàng)建名稱相同的賬戶并不能獲得先前賬戶的權(quán)利。用戶登錄后，可以在命令提示符狀態(tài)下輸入“whoami/logonid”命令查詢當(dāng)前用戶賬戶的安全標(biāo)識(shí)符，如圖2.1所示。任務(wù)1本地用戶賬戶創(chuàng)建與管理圖2.1查詢當(dāng)前賬戶的SID任務(wù)1本地用戶賬戶創(chuàng)建與管理系統(tǒng)的內(nèi)置Administrator和Guest賬戶的簡單介紹如下。（1）Administrator：使用內(nèi)置Administrator賬戶可以對整臺(tái)計(jì)算機(jī)或域配置進(jìn)行管理，如創(chuàng)建修改用戶賬戶和組、管理安全策略、創(chuàng)建打印機(jī)、分配允許用戶訪問資源的權(quán)限等。作為管理員，應(yīng)該創(chuàng)建一個(gè)普通用戶賬戶，在執(zhí)行非管理任務(wù)時(shí)使用該用戶賬戶，僅在執(zhí)行管理任務(wù)時(shí)才使用Administrator賬戶。Administrator賬戶可以更名，但不可以刪除。（2）Guest：一般的臨時(shí)用戶可以使用內(nèi)置Guest賬戶進(jìn)行登錄并訪問資源。在默認(rèn)情況下，為了保證系統(tǒng)的安全，Guest賬戶是禁用的，但在安全性要求不高的網(wǎng)絡(luò)環(huán)境中，可以使用該賬戶，且通常給它分配一個(gè)口令。任務(wù)1本地用戶賬戶創(chuàng)建與管理2．規(guī)劃新的用戶賬戶遵循以下的規(guī)則和約定可以簡化賬戶創(chuàng)建后的管理工作。（1）命名約定。①賬戶名必須唯一：本地賬戶名必須在本地計(jì)算機(jī)上是唯一的。②賬戶名不能包含以下字符：*/\[]::|=,+/<>“。③賬戶名最長不能超過20個(gè)字符。任務(wù)1本地用戶賬戶創(chuàng)建與管理（2）密碼原則。①一定要給Administrator賬戶指定一個(gè)密碼，以防止他人隨便使用該賬戶。②確定是管理員還是用戶擁有密碼的控制權(quán)。用戶可以給每個(gè)用戶賬戶指定一個(gè)唯一的密碼，并防止其他用戶對其進(jìn)行更改，也可以允許用戶在第一次登錄時(shí)輸入自己的密碼。一般情況下，用戶應(yīng)該可以控制自己的密碼。③密碼不能太簡單，應(yīng)該不容易讓他人猜出。④密碼最多可由128個(gè)字符組成，推薦最小長度為8個(gè)字符。⑤密碼應(yīng)由大小寫字母、數(shù)字以及合法的非字母數(shù)字的字符混合組成，如“P@ssw0rd”。任務(wù)1本地用戶賬戶創(chuàng)建與管理任務(wù)實(shí)施1．創(chuàng)建本地用戶賬戶用戶可以用“計(jì)算機(jī)管理”控制臺(tái)（如圖2.2所示）中的“本地用戶和組”管理單元來創(chuàng)建本地用戶賬戶，而且用戶必須擁有管理員權(quán)限。創(chuàng)建的步驟如下。（1）執(zhí)行“開始”→“管理工具”→“計(jì)算機(jī)管理”命令。（2）在“計(jì)算機(jī)管理”控制臺(tái)中，展開“本地用戶和組”，在“用戶”目錄上單擊鼠標(biāo)右鍵，選擇“新用戶”命令，如圖2.3所示。任務(wù)1本地用戶賬戶創(chuàng)建與管理圖2.2“計(jì)算機(jī)管理”控制臺(tái)任務(wù)1本地用戶賬戶創(chuàng)建與管理圖2.3選擇“新用戶”命令任務(wù)1本地用戶賬戶創(chuàng)建與管理（3）打開“新用戶”對話框后，輸入用戶名、全名和描述，并且輸入密碼，如圖2.4所示?？梢栽O(shè)置密碼選項(xiàng)，包括“用戶下次登錄時(shí)須更改密碼”、“用戶不能更改密碼”、“密碼永不過期”、“賬戶已禁用”等。設(shè)置完成后，單擊“創(chuàng)建”按鈕新增用戶賬戶。有關(guān)密碼的選項(xiàng)的描述如表2.1所示。創(chuàng)建完用戶后，單擊“關(guān)閉”按鈕返回到“計(jì)算機(jī)管理”控制臺(tái)。任務(wù)1本地用戶賬戶創(chuàng)建與管理圖2.4“新用戶”對話框任務(wù)1本地用戶賬戶創(chuàng)建與管理選項(xiàng)描述密碼

要求用戶輸入密碼，系統(tǒng)用“*”顯示確認(rèn)密碼要求用戶再次輸入密碼以確認(rèn)輸入正確用戶下次登錄時(shí)須更改密碼要求用戶下次登錄時(shí)須修改該密碼用戶不能更改密碼不允許用戶修改密碼，通常用于多個(gè)用戶合用一個(gè)用戶賬戶，如Guest等密碼永不過期密碼永久有效，通常用于WindowsServer2008的服務(wù)賬戶或應(yīng)用程序所使用的用戶賬戶賬戶已禁用禁用用戶賬戶任務(wù)1本地用戶賬戶創(chuàng)建與管理2．設(shè)置用戶賬戶的屬性用戶賬戶不僅包括用戶名和密碼等信息，為了方便管理和使用，一個(gè)用戶還包括其他的一些屬性，如用戶隸屬的用戶組、用戶配置文件、用戶的撥入權(quán)限、終端用戶設(shè)置等。在“本地用戶和組”的右側(cè)欄中，雙擊一個(gè)用戶，將出現(xiàn)“userl屬性”對話框，如圖2.5所示。任務(wù)1本地用戶賬戶創(chuàng)建與管理圖2.5“userl屬性”對話框任務(wù)1本地用戶賬戶創(chuàng)建與管理1）“常規(guī)”選項(xiàng)卡可以設(shè)置與賬戶有關(guān)的一些描述信息，包括全名、描述、賬戶選項(xiàng)等。管理員可以設(shè)置密碼選項(xiàng)或禁用賬戶，如果賬戶已經(jīng)被系統(tǒng)鎖定，管理員可以解除鎖定。2）“隸屬于”選項(xiàng)卡在“隸屬于”選項(xiàng)卡中，可以設(shè)置將該賬戶加入到其他的本地組中。為了管理的方便，通常都需要對用戶組進(jìn)行權(quán)限的分配與設(shè)置。用戶屬于哪個(gè)組，用戶就具有該用戶組的權(quán)限。新增的用戶賬戶默認(rèn)的是加入到Users組，Users組的用戶一般不具備一些特殊權(quán)限，如安裝應(yīng)用程序、修改系統(tǒng)設(shè)置等。所以當(dāng)要分配這個(gè)用戶一些權(quán)限時(shí)，可以將該用戶賬戶加入到其他的組，也可以單擊“刪除”按鈕將用戶從一個(gè)或幾個(gè)用戶組中刪除?！半`屬于”選項(xiàng)卡如圖2.6所示。例如，將“user1”添加到管理員組的操作步驟如下。任務(wù)1本地用戶賬戶創(chuàng)建與管理圖2.6“隸屬于”選項(xiàng)卡任務(wù)1本地用戶賬戶創(chuàng)建與管理單擊圖2.6中的“添加”按鈕，在如圖2.7所示的對話框中直接輸入組的名稱，例如管理員組的名稱“Administrators”、高級(jí)用戶組名稱“PowerUsers”。輸入組名稱后，如需要檢查名稱是否正確，則單擊“檢查名稱”按鈕，名稱會(huì)改變?yōu)椤癙UMA\Administrators”。前面部分表示本地計(jì)算機(jī)名稱，后面為組名稱。如果輸入了錯(cuò)誤的組名稱，檢查時(shí)，系統(tǒng)將提示找不到該名稱。任務(wù)1本地用戶賬戶創(chuàng)建與管理圖2.7“選擇組”對話框任務(wù)1本地用戶賬戶創(chuàng)建與管理如果不希望手動(dòng)輸入組名稱，也可以單擊“高級(jí)”按鈕，再單擊“立即查找”按鈕，從列表中選擇一個(gè)或多個(gè)組，如圖2.8所示。圖2.8查找可用的組任務(wù)1本地用戶賬戶創(chuàng)建與管理3）“配置文件”選項(xiàng)卡在“配置文件”選項(xiàng)卡中可以設(shè)置用戶賬戶的配置文件路徑、登錄腳本和主文件夾路徑。本地用戶賬戶的配置文件，都是保存在本地磁盤%userprofile%文件夾中?！芭渲梦募边x項(xiàng)卡如圖2.9所示。用戶配置文件是存儲(chǔ)當(dāng)前桌面環(huán)境、應(yīng)用程序設(shè)置以及個(gè)人數(shù)據(jù)的文件夾和數(shù)據(jù)的集合，還包括所有登錄到某臺(tái)計(jì)算機(jī)上所建立的網(wǎng)絡(luò)連接。由于用戶配置文件提供的桌面環(huán)境與用戶最近一次登錄到該計(jì)算機(jī)上所用的桌面相同，因此就保持了用戶桌面環(huán)境及其他設(shè)置的一致性。任務(wù)1本地用戶賬戶創(chuàng)建與管理圖2.9“配置文件”選項(xiàng)卡當(dāng)用戶第一次登錄到某臺(tái)計(jì)算機(jī)上時(shí)，WindowsServer2008自動(dòng)創(chuàng)建一個(gè)用戶配置文件并將其保存在該計(jì)算機(jī)上。任務(wù)1本地用戶賬戶創(chuàng)建與管理（1）用戶配置文件。用戶配置文件有以下幾種類型。①默認(rèn)用戶配置文件。默認(rèn)用戶配置文件是所有用戶配置文件的基礎(chǔ)。當(dāng)用戶第一次登錄到一臺(tái)運(yùn)行WindowsServer2008的計(jì)算機(jī)上時(shí)，WindowsServer2008會(huì)將本地默認(rèn)用戶配置文件夾復(fù)制到%Systemdrive%\DocumentsandSettings\%Username%中，以作為初始的本地用戶配置文件。②本地用戶配置文件。保存在本地計(jì)算機(jī)上的%Systemdrive%\DocumentsandSettings\%Username%文件夾中，所有對桌面設(shè)置的改動(dòng)都可以修改用戶配置文件。多個(gè)不同的本地用戶配置文件可保存在一臺(tái)計(jì)算機(jī)上。任務(wù)1本地用戶賬戶創(chuàng)建與管理③漫游用戶配置文件。為了支持在多臺(tái)計(jì)算機(jī)上工作的用戶，用戶可以設(shè)置漫游用戶配置文件。漫游用戶配置文件可以保存在某個(gè)網(wǎng)絡(luò)服務(wù)器上，且只能由系統(tǒng)管理員創(chuàng)建。用戶無論從哪臺(tái)計(jì)算機(jī)登錄，均可獲得這一配置文件。用戶登錄時(shí)，WindowsServer2008會(huì)將該漫游用戶配置文件從網(wǎng)絡(luò)服務(wù)器復(fù)制到該用戶當(dāng)前所用的WindowsServer2008機(jī)器上。因此，用戶總是能得到自己的桌面環(huán)境設(shè)置和網(wǎng)絡(luò)連接設(shè)置。漫游用戶配置文件只能在域環(huán)境下實(shí)現(xiàn)。任務(wù)1本地用戶賬戶創(chuàng)建與管理在第一次登錄時(shí)，WindowsServer2008將所有的文件都復(fù)制到本地計(jì)算機(jī)上。此后，當(dāng)用戶再次登錄時(shí)，WindowsServer2008只需比較本地儲(chǔ)存的用戶配置文件和漫游用戶配置文件。這時(shí)，系統(tǒng)只復(fù)制用戶最后一次登錄并使用這臺(tái)計(jì)算機(jī)時(shí)被修改的文件，因此縮短了登錄時(shí)間。當(dāng)用戶注銷時(shí)，WindowsServer2008會(huì)把對漫游用戶配置文件本地備份所做的修改復(fù)制到存儲(chǔ)該漫游配置文件的服務(wù)器上。

關(guān)于漫游用戶配置文件的創(chuàng)建過程，可參閱WindowsServer2008幫助文檔。④強(qiáng)制用戶配置文件。強(qiáng)制配置文件是一個(gè)只讀的用戶配置文件。當(dāng)用戶注銷時(shí)，WindowsServer2008不保存用戶在會(huì)話期內(nèi)所做的任何改變?？梢詾樾枰瑯幼烂姝h(huán)境的多個(gè)用戶定義一份強(qiáng)制用戶配置文件。

配置文件中，隱藏文件Ntuser.dat包含了應(yīng)用于單個(gè)用戶賬戶的WindowsServer2008的部分系統(tǒng)設(shè)置和用戶環(huán)境設(shè)置，管理員可以通過將其改名為Ntuser.man，從而把該文件變成只讀型，即創(chuàng)建了強(qiáng)制用戶配置文件。（2）用戶主文件夾。除了“MyDocuments”文件夾外，WindowsServer2008還為用戶提供了用于存放個(gè)人文檔的主文件夾。主文件夾可以保存在客戶機(jī)上，也可以保存在一個(gè)文件服務(wù)器的共享文件夾里。因?yàn)橹魑募A不屬于漫游配置文件的一部分，所以，它的大小并不影響登錄時(shí)網(wǎng)絡(luò)的通信量。用戶可以將所有的用戶主文件夾都定位在某個(gè)網(wǎng)絡(luò)服務(wù)器的中心位置上。

管理員在為用戶實(shí)現(xiàn)主文件夾時(shí)，應(yīng)考慮以下因素：用戶可以通過網(wǎng)絡(luò)中任意一臺(tái)聯(lián)網(wǎng)的計(jì)算機(jī)訪問其主文件夾。在實(shí)現(xiàn)對用戶文件的集中備份和管理時(shí)，基于安全性考慮，應(yīng)將用戶主文件夾存放在NTFS卷中，可以利用NTFS的權(quán)限來保護(hù)用戶文件（放在FAT卷中只能通過共享文件夾權(quán)限來限制用戶對主目錄的訪問）。任務(wù)1本地用戶賬戶創(chuàng)建與管理（3）登錄腳本。登錄腳本是希望用戶登錄計(jì)算機(jī)時(shí)自動(dòng)運(yùn)行的腳本文件，腳本文件的擴(kuò)展名可以是VBS、BAT或CMD。對用戶賬戶的其他選項(xiàng)卡（如“撥入”、“遠(yuǎn)程控制”選項(xiàng)卡）將在后面相關(guān)章節(jié)進(jìn)行介紹。任務(wù)1本地用戶賬戶創(chuàng)建與管理3．刪除本地用戶賬戶當(dāng)用戶不再需要使用某個(gè)用戶賬戶時(shí)，可以將其刪除。刪除用戶賬戶會(huì)導(dǎo)致與該賬戶有關(guān)的所有信息的遺失，所以在刪除之前，最好確認(rèn)其必要性或者考慮用其他的方法，例如禁用該賬戶。許多企業(yè)給臨時(shí)員工設(shè)置了Windows賬戶，當(dāng)臨時(shí)員工離開企業(yè)時(shí)，將賬戶禁用；當(dāng)新來的臨時(shí)員工需要用該賬戶時(shí)，只需改名即可。在“計(jì)算機(jī)管理”控制臺(tái)中，選擇要?jiǎng)h除的用戶賬戶執(zhí)行刪除功能，如圖2.10所示，但是系統(tǒng)內(nèi)置賬戶（如Administrator、Guest）等無法刪除。任務(wù)1本地用戶賬戶創(chuàng)建與管理圖2.10刪除用戶賬戶任務(wù)1本地用戶賬戶創(chuàng)建與管理在2.1.1節(jié)提到，每個(gè)用戶都有一個(gè)名稱之外的唯一標(biāo)識(shí)符（SID），SID在新增賬戶時(shí)由系統(tǒng)自動(dòng)產(chǎn)生，不同賬戶的SID不會(huì)相同。由于系統(tǒng)在設(shè)置用戶的權(quán)限、訪問控制列表中的資源訪問能力信息時(shí)，內(nèi)部都使用SID，所以一旦用戶賬戶被刪除，這些信息也就跟著消失了。重新創(chuàng)建一個(gè)名稱相同的用戶賬戶，也不能獲得原先用戶賬戶的權(quán)限。刪除用戶賬戶時(shí)會(huì)出現(xiàn)如圖2.11所示的對話框。任務(wù)1本地用戶賬戶創(chuàng)建與管理圖2.11刪除用戶賬戶時(shí)的對話框項(xiàng)目2本地用戶和組任務(wù)2本地組的創(chuàng)建與配置2任務(wù)2本地組的創(chuàng)建與配置任務(wù)知識(shí)準(zhǔn)備組賬戶是計(jì)算機(jī)的基本安全組件，是用戶賬戶的集合。但是，組賬戶并不能用于登錄計(jì)算機(jī)，但是可以用于組織用戶賬戶。通過使用組，管理員可以同時(shí)向一組用戶分配權(quán)限，故可簡化對用戶賬戶的管理。任務(wù)2本地組的創(chuàng)建與配置組可以用于組織用戶賬戶，讓用戶繼承組的權(quán)限。注意：同一個(gè)用戶賬戶可以同時(shí)為多個(gè)組的成員，這樣該用戶的權(quán)限就是所有組權(quán)限的合并。WindowsServer2008有幾個(gè)內(nèi)置組，在需要時(shí)，用戶還可以創(chuàng)建新組。例如，可以創(chuàng)建一個(gè)比Users更多的權(quán)限，但比PowersUsers較少權(quán)限的組。為了使某個(gè)組的成員有更多或更少的權(quán)限，用戶也可以定義組的權(quán)限和優(yōu)先級(jí)。當(dāng)重新定義組的權(quán)限時(shí)，這個(gè)組中的所有成員用戶將自動(dòng)更新以響應(yīng)這些改變。打開“計(jì)算機(jī)管理”控制臺(tái)，在“本地用戶和組”樹中的“組”目錄里，可以查看本地內(nèi)置的所有組賬戶，如圖2.12所示。任務(wù)2本地組的創(chuàng)建與配置圖2.12內(nèi)置組賬戶任務(wù)2本地組的創(chuàng)建與配置WindowsServer2008內(nèi)置組的權(quán)限如表2.2所示。組描述默認(rèn)用戶權(quán)利Administrators該組的成員具有對服務(wù)器的完全控制權(quán)限，并且可以根據(jù)需要向用戶指派用戶權(quán)利和權(quán)限。默認(rèn)成員有Administrator賬戶從網(wǎng)絡(luò)訪問此計(jì)算機(jī)；允許本地登錄；調(diào)整某個(gè)進(jìn)程的內(nèi)存配額；允許通過終端服務(wù)登錄；備份文件和目錄；更改系統(tǒng)時(shí)間；調(diào)試程序；從遠(yuǎn)程系統(tǒng)強(qiáng)制關(guān)機(jī)；加載和卸載設(shè)備驅(qū)動(dòng)程序；管理審核和安全日志；調(diào)整系統(tǒng)性能；關(guān)閉系統(tǒng)；取得文件或其他對象的所有權(quán)BackupOperators該組的成員可以備份和還原服務(wù)器上的文件，而不考慮保護(hù)這些文件的安全設(shè)置。這是因?yàn)閳?zhí)行備份的權(quán)限，優(yōu)先于所有文件的使用權(quán)限，但是不能更改文件的安全設(shè)置從網(wǎng)絡(luò)訪問此計(jì)算機(jī)；允許本地登錄；備份文件和目錄；忽略遍歷檢查；還原文件和目錄；關(guān)閉系統(tǒng)Guests該組成員擁有一個(gè)在登錄時(shí)創(chuàng)建的臨時(shí)配置文件，在注銷時(shí)，該配置文件將被刪除。來賓賬戶（默認(rèn)情況下禁用）也是該組的默認(rèn)成員沒有默認(rèn)用戶權(quán)利NetworkConfigurationOperators該組成員可以更改TCP/IP設(shè)置，并更新和發(fā)布TCP/IP地址。無默認(rèn)成員沒有默認(rèn)用戶權(quán)利PerformanceLogUsers該組成員可以從本地服務(wù)器和遠(yuǎn)程客戶端管理性能計(jì)數(shù)器、日志和警報(bào)，而不用成為Administrators組的成員沒有默認(rèn)用戶權(quán)利PerformanceMonitorUsers該組成員可以在本地服務(wù)器和遠(yuǎn)程客戶端查看性能計(jì)數(shù)器，并不需要是Administrators或PerformanceLogUsers組的成員沒有默認(rèn)用戶權(quán)利任務(wù)2本地組的創(chuàng)建與配置組描述默認(rèn)用戶權(quán)利PowerUsers該組成員可以創(chuàng)建用戶賬戶，然后修改并刪除所創(chuàng)建的賬戶?？梢詣?chuàng)建本地組，然后在已創(chuàng)建的本地組中添加或刪除用戶，還可以在PowerUsers組、Users組和Guests組中添加或刪除用戶此組成員可以創(chuàng)建共享資源并管理所創(chuàng)建的共享資源。但是，不能取得文件的所有權(quán)、備份或還原目錄、加載或卸載設(shè)備驅(qū)動(dòng)程序，或者管理安全性及日志從網(wǎng)絡(luò)訪問此計(jì)算機(jī)；允許本地登錄；忽略遍歷檢查；更改系統(tǒng)時(shí)間；調(diào)整單一進(jìn)程；關(guān)閉系統(tǒng)PrintOperators該組成員可以管理打印機(jī)及打印隊(duì)列沒有默認(rèn)用戶權(quán)利RemoteDesktopUsers該組成員可以遠(yuǎn)程登錄服務(wù)器允許通過終端服務(wù)登錄Users該組成員可以執(zhí)行一些常見任務(wù)，例如運(yùn)行應(yīng)用程序、使用本地和網(wǎng)絡(luò)打印機(jī)以及鎖定服務(wù)器等。用戶不能共享目錄或創(chuàng)建本地打印機(jī)。在本地創(chuàng)建的任何用戶賬戶，都可以成為本組的成員從網(wǎng)絡(luò)訪問此計(jì)算機(jī)；允許本地登錄；忽略遍歷檢查任務(wù)2本地組的創(chuàng)建與配置系統(tǒng)為這些本地組預(yù)先指派了權(quán)限，如Administrators組對計(jì)算機(jī)具有完全控制權(quán)，具有從網(wǎng)絡(luò)訪問此計(jì)算機(jī)，可以調(diào)整進(jìn)程的內(nèi)存配額，允許本地登錄等權(quán)限。BackupOperators組可以從網(wǎng)絡(luò)訪問此計(jì)算機(jī)，允許本地登錄、備份文件及目錄、備份和還原文件、關(guān)閉系統(tǒng)等。本地用戶組的權(quán)限設(shè)置將在本章后面進(jìn)行介紹。任務(wù)2本地組的創(chuàng)建與配置任務(wù)實(shí)施1．創(chuàng)建本地用戶組通常情況下，系統(tǒng)默認(rèn)的用戶組已經(jīng)能夠滿足需要，但是這些組常常不能滿足特殊安全和靈活性的需要，所以管理員必須根據(jù)需要新增一些組。這些組創(chuàng)建之后，就可以像內(nèi)置組一樣，賦予其權(quán)限和進(jìn)行組成員的增加。任務(wù)2本地組的創(chuàng)建與配置從“計(jì)算機(jī)管理”控制臺(tái)中展開“本地用戶和組”，使用鼠標(biāo)右鍵單擊“組”按鈕，選擇“新建組”命令，如圖2.13所示。在“新建組”窗口中輸入組名和描述信息，如圖2.14所示，然后單擊“創(chuàng)建”按鈕即可完成創(chuàng)建。在圖2.14中，在創(chuàng)建用戶組的同時(shí)向組中添加用戶，單擊“添加”按鈕，將顯示“選擇用戶”對話框。WindowsServer2008的本地組的成員，可以是用戶或是其他組，只要在“輸入對象名稱來選擇（示例）”中輸入成員名稱或單擊“高級(jí)”按鈕選擇用戶即可，如圖2.15所示。任務(wù)2本地組的創(chuàng)建與配置圖2.13選擇“新建組”命令任務(wù)2本地組的創(chuàng)建與配置圖2.14輸入組名和描述信息任務(wù)2本地組的創(chuàng)建與配置圖2.15為組選擇用戶任務(wù)2本地組的創(chuàng)建與配置2．刪除、重命名本地組及修改本地組成員當(dāng)不需要計(jì)算機(jī)中的組時(shí)，系統(tǒng)管理員可以對組執(zhí)行清除任務(wù)。每個(gè)組都擁有一個(gè)唯一的安全標(biāo)識(shí)符（SID），所以一旦刪除了用戶組，就不能重新恢復(fù)，即使新建一個(gè)與被刪除組有相同名字和成員的組，也不會(huì)與被刪除組有相同的特性和特權(quán)。在“計(jì)算機(jī)管理”控制臺(tái)中選擇要?jiǎng)h除的組賬戶，然后執(zhí)行“刪除”命令，如圖2.16所示，在彈出的對話框中選擇“是”即可。任務(wù)2本地組的創(chuàng)建與配置圖2.16選擇“刪除”命令任務(wù)2本地組的創(chuàng)建與配置但是，管理員只能刪除新增的組，不能刪除系統(tǒng)內(nèi)置的組。當(dāng)管理員刪除系統(tǒng)內(nèi)置組時(shí)，系統(tǒng)將拒絕刪除操作。若要?jiǎng)h除Administrators組，出現(xiàn)如圖2.17所示的對話框。重命名組的操作與刪除組的操作類似，只需要在彈出的菜單中選擇“重命名”命令，輸入相應(yīng)的名稱即可。要修改本地組成員，只要雙擊組名稱，彈出如圖2.18所示的對話框。在彈出的對話框中選擇成員后單擊“刪除”按鈕，即可以刪除組成員。如果要添加組成員，單擊“添加”按鈕，再選擇相應(yīng)用戶即可。任務(wù)2本地組的創(chuàng)建與配置圖2.17刪除Administrators組時(shí)的錯(cuò)誤信息圖2.18本地組屬性項(xiàng)目2本地用戶和組任務(wù)3設(shè)置本地安全策略3任務(wù)3設(shè)置本地安全策略任務(wù)知識(shí)準(zhǔn)備在WindowsServer2008中，為了確保計(jì)算機(jī)的安全，允許管理員對本地安全進(jìn)行設(shè)置，從而達(dá)到提高系統(tǒng)安全性的目的。WindowsServer2008對登錄到本地計(jì)算機(jī)的用戶都定義了一些安全設(shè)置。所謂本地計(jì)算機(jī)是指用戶登錄執(zhí)行WindowsServer2008的計(jì)算機(jī)，在沒有活動(dòng)目錄集中管理的情況下，本地管理員必須為計(jì)算機(jī)進(jìn)行設(shè)置以確保其安全。例如，限制用戶如何設(shè)置密碼、通過賬戶策略設(shè)置賬戶安全性、通過鎖定賬戶策略避免他人登錄計(jì)算機(jī)、指派用戶權(quán)限等。將這些安全設(shè)置分組管理，就組成了WindowsServer2008的本地安全策略。任務(wù)3設(shè)置本地安全策略系統(tǒng)管理員可以通過本地安全策略，確保執(zhí)行WindowsServer2008計(jì)算機(jī)的安全。例如，判斷賬戶的密碼長度的最小值是否應(yīng)該符合密碼復(fù)雜性要求，系統(tǒng)管理員可以設(shè)置哪些用戶允許登錄本地計(jì)算機(jī)，以及從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)的資源，進(jìn)而控制用戶對本地計(jì)算機(jī)資源和共享資源的訪問。任務(wù)3設(shè)置本地安全策略任務(wù)實(shí)施WindowsServer2008在“管理工具”菜單提供了“本地安全設(shè)置”控制臺(tái)，可以集中管理本地計(jì)算機(jī)的安全設(shè)置原則，使用管理員賬戶登錄到本地計(jì)算機(jī)，即可打開“本地安全設(shè)置”控制臺(tái)，如圖2.19所示。任務(wù)3設(shè)置本地安全策略圖2.19“本地安全設(shè)置”控制臺(tái)任務(wù)3設(shè)置本地安全策略1．密碼安全設(shè)置用戶密碼是保證計(jì)算機(jī)安全的第一道屏障，是計(jì)算機(jī)安全的基礎(chǔ)。如果對用戶賬戶特別是管理員賬戶沒有設(shè)置密碼，或者設(shè)置的密碼非常簡單，那么計(jì)算機(jī)將很容易被非授權(quán)用戶登錄，進(jìn)而訪問計(jì)算機(jī)資源或更改系統(tǒng)配置。目前，互聯(lián)網(wǎng)上的攻擊很多都是因?yàn)槊艽a設(shè)置過于簡單或根本沒有設(shè)置密碼造成的。因此，應(yīng)該設(shè)置合適的密碼和密碼設(shè)置原則，從而保證系統(tǒng)的安全。WindowsServer2008的密碼原則主要包括以下4項(xiàng)：密碼必須符合復(fù)雜性要求、密碼長度最小值、密碼最長使用期限和強(qiáng)制密碼歷史等。任務(wù)3設(shè)置本地安全策略1）密碼必須符合復(fù)雜性要求對于工作組環(huán)境的Windows系統(tǒng)，默認(rèn)密碼沒有設(shè)置復(fù)雜性要求，用戶可以使用空密碼或簡單密碼，如“123”、“abc”等，這樣黑客很容易通過一些掃描工具得到系統(tǒng)管理員的密碼。但是對于域環(huán)境的WindowsServer2008，默認(rèn)即啟用了密碼復(fù)雜性要求。要使本地計(jì)算機(jī)啟用密碼復(fù)雜性要求，只要在“本地安全設(shè)置”控制臺(tái)中選擇“賬戶策略”下的“密碼策略”，雙擊右邊的“密碼必須符合復(fù)雜性要求”，選擇“已啟用”單選按鈕即可，如圖2.20所示。任務(wù)3設(shè)置本地安全策略圖2.20啟用密碼復(fù)雜性要求任務(wù)3設(shè)置本地安全策略啟用密碼復(fù)雜性要求后，則所有用戶設(shè)置的密碼，必須包含字母、數(shù)字和標(biāo)點(diǎn)符號(hào)等才能符合要求。例如，密碼“ab%&3D59”符合要求，而密碼“kadfjks”不符合要求。2）密碼長度最小值默認(rèn)密碼長度最小值為0個(gè)字符。在設(shè)置密碼復(fù)雜性要求之前，系統(tǒng)允許用戶不設(shè)置密碼。但為了系統(tǒng)的安全，最好設(shè)置最小長度密碼值為6或更多的字符，如圖2.21所示設(shè)置的密碼長度最小值為8個(gè)字符。任務(wù)3設(shè)置本地安全策略圖2.21設(shè)置密碼長度最小值任務(wù)3設(shè)置本地安全策略3）密碼最長使用期限默認(rèn)密碼的最長有效期為42天，用戶賬戶的密碼必須在42天之后修改，也就是說密碼在42天之后會(huì)過期。默認(rèn)密碼的最短有效期為0天，即用戶賬戶的密碼可以立即修改。與前面類似可以修改默認(rèn)的密碼最長有效期和最短有效期。4）強(qiáng)制密碼歷史默認(rèn)強(qiáng)制密碼歷史為0個(gè)。如果將“保留密碼歷史”改為“3”個(gè)記住的密碼，即系統(tǒng)會(huì)記住最后3個(gè)用戶設(shè)置過的密碼，當(dāng)用戶修改密碼時(shí)，如果為最后3個(gè)密碼之一，系統(tǒng)將拒絕用戶的要求，這樣可以防止用戶重復(fù)使用相同的字符來組成密碼。強(qiáng)制密碼歷史的設(shè)置如圖2.22所示。任務(wù)3設(shè)置本地安全策略圖2.22設(shè)置強(qiáng)制密碼歷史為“3”任務(wù)3設(shè)置本地安全策略2．賬戶鎖定策略WindowsServer2008在默認(rèn)情況下，沒有對賬戶鎖定進(jìn)行設(shè)定，此時(shí)，對黑客的攻擊沒有任何限制。這樣，黑客可以通過自動(dòng)登錄工具和密碼猜解字典進(jìn)行攻擊，甚至可以進(jìn)行暴力模式的攻擊。因此，為了保證系統(tǒng)的安全，最好設(shè)置賬戶鎖定策略。賬戶鎖定原則包括如下設(shè)置：賬戶鎖定閾值、賬戶鎖定時(shí)間和復(fù)位賬戶鎖定計(jì)數(shù)器。默認(rèn)賬戶鎖定閾值為“0”次無效登錄，可以設(shè)置為5次或更多的次數(shù)以確保系統(tǒng)安全，如圖2.23所示。任務(wù)3設(shè)置本地安全策略圖2.23賬戶鎖定閾值任務(wù)3設(shè)置本地安全策略如果將賬戶鎖定閾值設(shè)置為0次，則不可以設(shè)置賬戶鎖定時(shí)間。在修改賬戶鎖定閾值后，可將賬戶鎖定時(shí)間設(shè)置為30分鐘。就是當(dāng)賬戶被系統(tǒng)鎖定后，在30分鐘之內(nèi)會(huì)自動(dòng)解鎖。這個(gè)值的設(shè)置可以延遲它們繼續(xù)嘗試登錄系統(tǒng)。如果將賬戶鎖定時(shí)間設(shè)定為0分鐘，則表示賬戶將被自動(dòng)鎖定，直到系統(tǒng)管理員解除鎖定。復(fù)位賬戶鎖定計(jì)數(shù)器設(shè)定在登錄嘗試失敗計(jì)數(shù)器被復(fù)位為0（0次失敗登錄嘗試）之前，嘗試登錄失敗之后所需的分鐘數(shù)。有效范圍為1～99999分鐘。如果定義了賬戶鎖定閾值，則該復(fù)位時(shí)間必須小于或等于賬戶鎖定時(shí)間。任務(wù)3設(shè)置本地安全策略3．用戶權(quán)限分配WindowsServer2008將計(jì)算機(jī)管理各項(xiàng)任務(wù)設(shè)定為默認(rèn)的權(quán)限，例如，允許在本地登錄系統(tǒng)、更改系統(tǒng)時(shí)間、從網(wǎng)絡(luò)訪問此計(jì)算機(jī)、關(guān)閉系統(tǒng)等。系統(tǒng)管理員在新增了用戶賬戶和組賬戶后，如果需要指派這些賬戶管理計(jì)算機(jī)的某項(xiàng)任務(wù)，可以將這些賬戶加入到內(nèi)置組，但這種方式不夠靈活。系統(tǒng)管理員可以單獨(dú)為用戶或組指派權(quán)限，這種方式提供了更好的靈活性。任務(wù)3設(shè)置本地安全策略用戶權(quán)限的分配在“本地安全設(shè)置”控制臺(tái)的“本地策略”下設(shè)置，如圖2.24所示。下面舉幾個(gè)例子來說明如何配置用戶權(quán)限。（1）從網(wǎng)絡(luò)訪問此計(jì)算機(jī)。從網(wǎng)絡(luò)訪問此計(jì)算機(jī)是指允許哪些用戶及組可以通過網(wǎng)絡(luò)連接到該計(jì)算機(jī)，如圖2.25所示。默認(rèn)為Administrators、BackupOperators、PowerUsers、Users和Everyone組。由于Everyone組允許通過網(wǎng)絡(luò)連接到此計(jì)算機(jī)，所以網(wǎng)絡(luò)中的所有用戶，默認(rèn)都可以訪問這臺(tái)計(jì)算機(jī)。從安全角度考慮，建議將Everyone組刪除，這樣網(wǎng)絡(luò)用戶連接到這臺(tái)計(jì)算機(jī)時(shí)，就會(huì)提示輸入用戶名和密碼，而不是直接連接并訪問此計(jì)算機(jī)。任務(wù)3設(shè)置本地安全策略圖2.24用戶