计算机网络技术考证(中级)第七章.docx

计算机网络技术考证（中级）第七章 CH7 管理 Windows 域 §1 活动目录的规划与建设 一、准备 随着公司不断壮大，人员和计算机的数量不断增多，各部门对计算机的使用要求、安全要求不尽相同，这样现有的网络管理方式（非域）和安全模式已不再满足实际需要，必须要将其升级到 Windows 域模式。1、域模式 域模式是一种集中地存储、访问网络上资源的模式 域（Domain）：域是网络中各计算机资源的逻辑管理单位，整个网络可以组织成一个单独的域，也可根据需要划分成多个域，域模式的最大优点是它的单一网络登录能力，由域可以构成域树，由多个域树又可构成域林。 活动目录（Active Directory）：网络中各种资源以对象的形式存储在 AD 中，并提供管理和查找功能。 这些资源包括文件、打印机、应用程序、服务器、域、用户帐户等。 域控制器（Domain Controller）：是域中特殊的服务器，它安装了AD（活动目录）。一个域内可以有 多台 DC，它们都存储着相同的 AD。2、AD 的结构 用户帐户：是域中最基本的对象，每个用户必须有一个用户帐户才能登录到域中，并享有相应的访问权限。 用户组 ：是域中用于授权管理或归类的一个重要工具。其主要类型有： A、作用范围：通用组、全局组或域本地组 B、授权与否：安全组、通讯组。安全组可以赋预其访问资源的权限，所有的内置组都是安全组；通讯组的主要作用是作为联系人，不能赋予其访问资源的权限。 组织单位（OU）：是域中的一个特殊容器，它是用于组织和分类域中的各种资源用，如用户、组、计 算机、其他 OU 等。 3、域中对象的管理内容 用户和组的管理 组策略设置 A、设置内容：计算机配置、用户配置 B、主要功能：密码策略、帐户锁定策略设置、审核策略、用户权利指派、安全性设置等。3）共享文件夹和打印机管理 二、实训 1、帐户管理 基本操作 开始→管理工具→Active Directory 用户和计算机 A、建立组织单位B、建立用户帐户 C、建立用户组，并将用户帐户加入到组中D、用户帐户属性设置 E、组织单位委派控制 实训 A、建立一个组织单位名为财务部 B、在 OU 财务部创建用户帐户，帐户名分别为张经理、王会计、李出纳，密码为 123456。其中要求“张 经理”下次登录时修改密码，而李出纳则不能修改密码。 C、在 OU财务部创建用户组 account，并将王会计、李出纳的用户帐户加入此组中。D、将用户帐户“张经理”加入到组 domain admins 中 E、将 OU财务部委派控制给张经理，并适当给予其管理任务2、安全策略设置 基本操作： gpedit.msc（设置本地安全策略） A、设置“帐户策略”：计算机配置→Windows 设置→安全设置→帐户策略，包括密码策略、帐户锁定策略等项。 B、设置“本地策略”：计算机配置→Windows 设置→安全设置→本地策略，包括审核策略、用户权利分配 和安全选项等项。 C、设置用户“管理模板”：用户配置→管理模板，包括任务栏和[开始]菜单、桌面、控制面板、网络、共享文件夹和系统等项。 实训 A、设置密码策略：启用“密码必须符合复杂性要求”，密码长度最小值为 6，密码最长使用期限设为 30 天， 强制密码历史设为 3 个记信的密码。 B、设置账户锁定策略：“账户锁定阈值”设为 3，锁定时间设为 30min。 C、设置审核策略，要求为审核登录事件：成功，失败；审核帐户登录事件：成功；审核帐户管理：成功、失败 D、设置管理模板策略 任务栏和[开始]菜单：删除到“Windows Update”的访问和链接； 退出时清除最近打开的文档记录 “桌面”设置：删除桌面上的“我的文档”图标；禁止用户更改“我的文档”路径“控制面板”设置：删除“添加或删除程序”；禁用 TCP/IP 高级配置 §2 搭建与管理文件服务器 一、准备 1、NTFS 权限 1）基本概念：用于设置用户对文件及文件夹的使用权限，使得对用户访问权限控制变得更加细致。NTFS 权限只适用于 NTFS 分区。2）标准权限类型 A、文件 NTFS 权限 文件 NTFS 权限读取 写入 读取及运行修改 完全控制 B、文件夹 NTFS 权限 允许的操作 读取文件内的数据；查看文件属性、所有者和权限信息 修改或覆盖文件的内容，修改文件属性；查看文件的所有者和权限等 拥有“读取”的所有权限；具有运行应用程序的权限写入+读取+运行；修改和删除文件 拥有上面所有权限；更改权限和取得所有权 文件夹 文件夹 NTFS 权限 允许的操作 读取 读取 写入 查看文件夹中的文件和子文件夹名称；查看文件夹属性、 所有者和权限信息 在文件夹下创建文件和目录，更改文件夹属性；查看文件夹所有者和权限 列出文件夹目录 拥有“读取”的所有权限；具有