windows servers 2003总结.docVIP

Windows Server 2003系统的用户及使用权限 Windows Server 早在ＮＴ系统开始引入了类似Unix的严格的用户权限管理概念。这一概念简单地可以分为几个层次理解： 一个顶级用户（系统默认安装完毕之后是administrator）拥有所有系统完整权限，可以进行所有的系统操作，安装任何组件，删除或者添加任何文件，管理其他任何用户，即可以使用系统设计出给用户使用的所有功能。 其他用户都是在这个顶级用户的基础上产生的。或者简单地说，就是由顶级用户登录系统之后建立的。他的所有权限都是由顶级管理员分配。 系统把运行某个软件、添加删除对外服务组件、在有个特定文件夹读取文件、删除文件、登录系统等各个用户动作都分别标识为一个操作，当某个用户尝试进行某个操作的时候，系统都是先查看他是否已经被顶级管理员赋予了进行这一操作的权利，如果没有就提示并直接禁止，严重的时候就直接把违规用户禁用并踢出系统。 系统把每个对外的服务都限定为一个虚拟用户的操作。例如，网站静态页面服务的默认用户是IUSR_TEST-server1(“-”后面是本主机计算机名)，然后管理员可以针对这个用户限定他对硬盘上文件的访问权限，也就限定了外部用户通过WEB页面访问本机网站服务能够查看或者改写文件的权限，从而严格保证了服务器的安全性。 用户权限管理中经常用到的文件权限管理一般指操作文件的权限，定义了一个普通用户对系统各个文件夹和文件的操作权限。例如，系统可以定义出一个用户只可以读取但不可以修改某些重要的文件，也可以定义某些文件夹对某些用户公开，其他用户不能读取这个文件夹。 为了方便顶级管理员的管理，系统可以建立群组的概念，就是把所有拥有同样权限的用户放置在一个组里，对这个组赋予权限，方便添加新用户和权限的统一管理。 系统通过严格的权限管理，既保护了各种用户对系统使用的需要，又限制了普通用户的错误动作，最大限制地保证了系统的安全使用。 Windows Server 2003的日志管理 一个系统的日常管理非常重要的一环就是日志管理。日志是系统和程序记录下来系统本身和各种组件运行状态的文件或者数据库文件。定期的日志管理有几大优点： 各种导致系统出现问题的情况，很大一部分是可以事先在日志中发现并提前解决的。 经常查看日志可以有效了解目前系统的运行情况。 出现问题后，针对服务器情况针对性地定制和分析日志，快速地找出问题的所在。 通过日志的分析可以发现有计划的恶性攻击，并在攻击奏效前解决问题。 各种组件和应用程序一般都有保存日志的配置选项，可以配置日志记录的内容和文件格式。而且可以配置日志的保存位置，重要日志通过网络同步保存到远程服务器。 设置Windows Server 2003系统的安全管理策略 Windows Server安全管理策略是用于配置计算机的安全设置、维护网络安全运行的一套完整规则。一旦制定之后，对所有用户和系统动作都产生约束作用，是在系统安全和对外服务配置完毕之后必须做的工作。只有在最大限制地保证了系统的安全之后，才可以把服务器对外提供服务。系统安全的首要任务就是给系统不断更新补丁，其次就是进行各种策略的修改和严格控制登录服务器端用户权限。在实际应用中，必须遵守的是服务器上使用来历不明的软件，除非必须，不开启任何多余的系统组件和端口。系统安全配置是一个非常繁杂，也是一个系统维护人员投入精力最多的地方。它的复杂性体现在多方面： 因为系统安全的环境不同，需要细致的分析和配置。 由于各个系统对外提供的，有的系统甚至同提供多个服务，需要统一进行安全配置。 现在由于网络的发达，系统的漏洞不断被发现并公开，针对这些病毒的自动攻击代码随之出现，各种原先安全运行的系统漏洞瞬间暴露出巨大的漏洞。 有时候安全和效率是矛盾的，抵御攻击和提供有效率的正常服务所做的配置正好相反，需要在其中寻找一个平衡点。 Windows Server 2003系统的安全配置技巧有很多，主要包括： 及时给系统打补丁。 修改注册表配置系统。 修改“本地安全策略”。 配置对外服务组件。 配置关键位置的用户和管理员权限。