網(wǎng)絡(luò)操作系統(tǒng)管理

1、l第第1章章 賬戶和資源管理介紹賬戶和資源管理介紹l第第2章章 管理服務(wù)器管理服務(wù)器l第第3章章 管理用戶和計(jì)算機(jī)賬管理用戶和計(jì)算機(jī)賬 戶戶l第第4章章 管理組管理組l第第5章章 組織單位對象的訪問組織單位對象的訪問 管理管理l第第6章章 實(shí)現(xiàn)組策略實(shí)現(xiàn)組策略l第第7章章 使用組策略管理用戶使用組策略管理用戶 環(huán)境環(huán)境l第第8章章 應(yīng)用管理模板和審核應(yīng)用管理模板和審核 策略策略l第第9章章 使用軟件更新服務(wù)使用軟件更新服務(wù) 管理軟件管理軟件第第10章章 服務(wù)器性能監(jiān)視的服務(wù)器性能監(jiān)視的 準(zhǔn)備準(zhǔn)備第第11章章 監(jiān)視服務(wù)器性能監(jiān)視服務(wù)器性能第第12章章 維護(hù)設(shè)備驅(qū)動程序維護(hù)設(shè)備驅(qū)動程序第第13章章

2、 資源訪問管理資源訪問管理第第14章章 實(shí)現(xiàn)打印實(shí)現(xiàn)打印第第15章章 打印管理打印管理第第16章章 磁盤管理磁盤管理第第17章章 數(shù)據(jù)存儲管理數(shù)據(jù)存儲管理第第18章章 故障恢復(fù)的管理故障恢復(fù)的管理網(wǎng)絡(luò)操作系統(tǒng)管理網(wǎng)絡(luò)操作系統(tǒng)管理windows server 2003的管理的管理 第第8章章 應(yīng)用管理模板和審核策略應(yīng)用管理模板和審核策略lwindows server 2003 安全概述安全概述l使用安全模板保護(hù)計(jì)算機(jī)使用安全模板保護(hù)計(jì)算機(jī)l測試計(jì)算機(jī)安全策略測試計(jì)算機(jī)安全策略l配置審核配置審核l安全日志管理安全日志管理windows server 2003 安全概述安全概述 l用戶權(quán)利用戶權(quán)利l

3、用戶權(quán)利與權(quán)限用戶權(quán)利與權(quán)限l分配給內(nèi)置組的用戶權(quán)利分配給內(nèi)置組的用戶權(quán)利l分配用戶權(quán)利分配用戶權(quán)利l課堂練習(xí)課堂練習(xí) 分配用戶權(quán)利分配用戶權(quán)利8.1 windows server 2003 安全概述安全概述用戶權(quán)利用戶權(quán)利用戶權(quán)限的范例用戶權(quán)限的范例8.1.1 用戶權(quán)利用戶權(quán)利用戶權(quán)利與權(quán)限用戶權(quán)利與權(quán)限用戶權(quán)利：用戶權(quán)利：系統(tǒng)上的行為系統(tǒng)上的行為權(quán)限：權(quán)限：對象上的行為對象上的行為備份備份8.1.2 用戶權(quán)利與權(quán)限用戶權(quán)利與權(quán)限分配給內(nèi)置組的用戶權(quán)利分配給內(nèi)置組的用戶權(quán)利內(nèi)置本地組：內(nèi)置本地組：administratorsbackup operatorspower usersremote

4、desktop usersusers內(nèi)置容器中的組：內(nèi)置容器中的組：account operatorsadministratorsbackup operatorspre-windows 2000 compatible accessprint operatorsserver operators用戶容器中的組：用戶容器中的組：domain adminsenterprise admins8.1.3 分配給內(nèi)置組的用戶權(quán)利分配給內(nèi)置組的用戶權(quán)利分配用戶權(quán)利分配用戶權(quán)利演示：演示：如何手工分配用戶權(quán)限如何手工分配用戶權(quán)限8.1.4 分配用戶權(quán)利分配用戶權(quán)利課堂練習(xí)課堂練習(xí) 分配用戶權(quán)利分配用戶權(quán)利目的：

5、目的： 移除用戶權(quán)利，然后測試是否移除成功 添加用戶權(quán)利，然后測試是否添加成功8.1.5 課堂練習(xí)課堂練習(xí) 分配用戶權(quán)利分配用戶權(quán)利第第8章章 應(yīng)用管理模板和審核策略應(yīng)用管理模板和審核策略lwindows server 2003 安全概述安全概述l使用安全模板保護(hù)計(jì)算機(jī)使用安全模板保護(hù)計(jì)算機(jī)l測試計(jì)算機(jī)安全策略測試計(jì)算機(jī)安全策略l配置審核配置審核l安全日志管理安全日志管理使用安全模板保護(hù)計(jì)算機(jī)使用安全模板保護(hù)計(jì)算機(jī)l安全策略安全策略l安全模板安全模板l安全模板設(shè)置安全模板設(shè)置l創(chuàng)建自定義安全模板創(chuàng)建自定義安全模板l導(dǎo)入安全模板導(dǎo)入安全模板l課堂練習(xí)課堂練習(xí) 使用安全模使用安全模板保護(hù)計(jì)算機(jī)板保

6、護(hù)計(jì)算機(jī)8.2 使用安全模板保護(hù)計(jì)算機(jī)使用安全模板保護(hù)計(jì)算機(jī)安全策略安全策略8.2.1 安全策略安全策略安全模板安全模板模板模板描述描述默認(rèn)安全設(shè)置默認(rèn)安全設(shè)置 (setup security.inf)指定缺省安全設(shè)置域控制器默認(rèn)安全設(shè)置域控制器默認(rèn)安全設(shè)置 (dc security.inf)針對域控制器指定缺省安全設(shè)置從默認(rèn)安全設(shè)置更新（security.inf）兼容兼容 (compatws.inf)針對用戶組啟用最大應(yīng)用程序兼容性來修改權(quán)限和注冊表設(shè)置安全安全 (securedc.inf 和和 securews.inf)加強(qiáng)安全設(shè)置（定義了至少可能影響應(yīng)用程序兼容性的增強(qiáng)安全設(shè)置）高級安全

7、高級安全 (hisecdc.inf 和和 hisecws.inf)在安全設(shè)置中增加了限制8.2.2 安全模板安全模板安全模板設(shè)置安全模板設(shè)置安全模板：安全模板： 設(shè)置安全設(shè)置安全設(shè)置范例設(shè)置范例8.2.3 安全模板設(shè)置安全模板設(shè)置創(chuàng)建自定義安全模板創(chuàng)建自定義安全模板演示：演示：自定義安全模板自定義安全模板創(chuàng)建新的安全模板創(chuàng)建新的安全模板8.2.4 創(chuàng)建自定義安全模板創(chuàng)建自定義安全模板導(dǎo)入安全模板導(dǎo)入安全模板演示：演示：導(dǎo)入安全模板到本地計(jì)算機(jī)導(dǎo)入安全模板到本地計(jì)算機(jī)導(dǎo)入安全模板到組策略對象導(dǎo)入安全模板到組策略對象8.2.5 導(dǎo)入安全模板導(dǎo)入安全模板課堂練習(xí)課堂練習(xí) 使用安全模板保護(hù)計(jì)算機(jī)使用安

8、全模板保護(hù)計(jì)算機(jī)目的：目的： 創(chuàng)建安全模板 導(dǎo)入安全模板到組策略對象8.2.6 課堂練習(xí)課堂練習(xí) 使用安全模板保護(hù)計(jì)算機(jī)使用安全模板保護(hù)計(jì)算機(jī) 第第8章章 應(yīng)用管理模板和審核策略應(yīng)用管理模板和審核策略lwindows server 2003 安全概述安全概述l使用安全模板保護(hù)計(jì)算機(jī)使用安全模板保護(hù)計(jì)算機(jī)l測試計(jì)算機(jī)安全策略測試計(jì)算機(jī)安全策略l配置審核配置審核l安全日志管理安全日志管理測試計(jì)算機(jī)安全策略測試計(jì)算機(jī)安全策略l“安全配置和分析安全配置和分析”工具工具l測試計(jì)算機(jī)安全測試計(jì)算機(jī)安全l課堂練習(xí)課堂練習(xí) 測試計(jì)算機(jī)安全測試計(jì)算機(jī)安全8.3 測試計(jì)算機(jī)安全策略測試計(jì)算機(jī)安全策略“安全配置和分

9、析安全配置和分析”工具工具模板設(shè)置模板設(shè)置實(shí)際設(shè)置實(shí)際設(shè)置與模板不匹配的設(shè)置與模板不匹配的設(shè)置8.3.1 “安全配置和分析安全配置和分析”工具工具測試計(jì)算機(jī)安全測試計(jì)算機(jī)安全 演示：演示：演示使用安全配置工具來分析計(jì)算機(jī)安全演示使用安全配置工具來分析計(jì)算機(jī)安全8.3.2 測試計(jì)算機(jī)安全測試計(jì)算機(jī)安全課堂練習(xí)課堂練習(xí) 測試計(jì)算機(jī)安全測試計(jì)算機(jī)安全目的：目的： 創(chuàng)建自定義安全模板 利用自定義安全模板分析計(jì)算機(jī)上的安全設(shè)置8.3.3 課堂練習(xí)課堂練習(xí) 測試計(jì)算機(jī)安全測試計(jì)算機(jī)安全第第8章章 應(yīng)用管理模板和審核策略應(yīng)用管理模板和審核策略lwindows server 2003 安全概述安全概述l使用安

10、全模板保護(hù)計(jì)算機(jī)使用安全模板保護(hù)計(jì)算機(jī)l測試計(jì)算機(jī)安全策略測試計(jì)算機(jī)安全策略l配置審核配置審核l安全日志管理安全日志管理配置審核配置審核l審核審核l審核策略審核策略l需要審核的事件類型需要審核的事件類型l制定審核策略的原則制定審核策略的原則l啟用審核策略啟用審核策略l啟用文件和文件夾審核啟用文件和文件夾審核l課堂練習(xí)課堂練習(xí) 啟用文件和文件夾審核啟用文件和文件夾審核l啟用啟用 active directory 對象審核對象審核l課堂練習(xí)課堂練習(xí) 啟用組織單位審核啟用組織單位審核l配置審核的最佳實(shí)踐配置審核的最佳實(shí)踐8.4 配置審核配置審核審核審核l審核通過記錄服務(wù)器或工作站上安全日志中的事件審

11、核通過記錄服務(wù)器或工作站上安全日志中的事件的選擇類型，來跟蹤用戶和操作系統(tǒng)的行為的選擇類型，來跟蹤用戶和操作系統(tǒng)的行為l審核啟用審核啟用創(chuàng)建基線判斷威脅和攻擊判斷危險(xiǎn)防范將來的危險(xiǎn)l審核對象訪問、賬戶管理、用戶登錄和注銷審核對象訪問、賬戶管理、用戶登錄和注銷內(nèi)容內(nèi)容? ?時(shí)間？時(shí)間？人物？人物？審核結(jié)果審核結(jié)果? ?8.4.1 審核審核審核策略審核策略l審核策略判斷安全事件并報(bào)告給網(wǎng)絡(luò)管理員審核策略判斷安全事件并報(bào)告給網(wǎng)絡(luò)管理員l設(shè)置審核策略設(shè)置審核策略跟蹤成功或失敗事件最小化對資源未授權(quán)的訪問維護(hù)記錄活動l事件存儲在安全日志中事件存儲在安全日志中 8.4.2 審核策略審核策略需要審核的事件類

12、型需要審核的事件類型l賬戶登錄賬戶登錄l賬戶管理賬戶管理l目錄服務(wù)訪問目錄服務(wù)訪問l登錄登錄l對象訪問對象訪問l策略改變策略改變l權(quán)限使用權(quán)限使用l過程跟蹤過程跟蹤l系統(tǒng)事件系統(tǒng)事件8.4.3 需要審核的事件類型需要審核的事件類型制定審核策略的原則制定審核策略的原則決定計(jì)算機(jī)安全審核是否開啟決定計(jì)算機(jī)安全審核是否開啟決定哪些事件需要審核決定哪些事件需要審核決定審核成功或失敗事件決定審核成功或失敗事件決定是否需要跟蹤決定是否需要跟蹤經(jīng)常查看安全日志經(jīng)常查看安全日志8.4.4 制定審核策略的原則制定審核策略的原則啟用審核策略啟用審核策略演示：演示：在本地計(jì)算機(jī)上配置審核策略在本地計(jì)算機(jī)上配置審核策

13、略在域或組織單位配置審核策略在域或組織單位配置審核策略8.4.5 啟用審核策略啟用審核策略啟用文件和文件夾審核啟用文件和文件夾審核演示：演示：啟用文件和文件夾審核啟用文件和文件夾審核8.4.6 啟用文件和文件夾審核啟用文件和文件夾審核課堂練習(xí)課堂練習(xí) 啟用文件和文件夾審核啟用文件和文件夾審核目的：目的：啟用文件和文件夾審核8.4.7 課堂練習(xí)課堂練習(xí) 啟用文件和文件夾審核啟用文件和文件夾審核啟用啟用 active directory 對象審核對象審核演示：演示：委派一個(gè)賬戶來審核委派一個(gè)賬戶來審核針對組織單位啟用審核針對組織單位啟用審核8.4.8 啟用啟用 active directory 對

14、象審核對象審核課堂練習(xí)課堂練習(xí) 啟用組織單位審核啟用組織單位審核目的：目的：在組織單位上啟用審核8.4.9 課堂練習(xí)課堂練習(xí) 啟用組織單位審核啟用組織單位審核配置審核的最佳實(shí)踐配置審核的最佳實(shí)踐審核目錄服務(wù)訪問類別成功事件審核目錄服務(wù)訪問類別成功事件審核對象訪問目錄類別成功事件審核對象訪問目錄類別成功事件審核系統(tǒng)類別成功和失敗事件審核系統(tǒng)類別成功和失敗事件審核在域控制器上策略改變類別成功或失敗事件審核在域控制器上策略改變類別成功或失敗事件審核賬戶管理類別成功和失敗事件審核賬戶管理類別成功和失敗事件審核登錄類別成功事件審核登錄類別成功事件審核域控制器上賬戶登錄類別的成功事件審核域控制器上賬戶登錄

15、類別的成功事件設(shè)置合適的安全日志大小設(shè)置合適的安全日志大小8.4.10 配置審核的最佳實(shí)踐配置審核的最佳實(shí)踐第第8章章 應(yīng)用管理模板和審核策略應(yīng)用管理模板和審核策略lwindows server 2003 安全概述安全概述l使用安全模板保護(hù)計(jì)算機(jī)使用安全模板保護(hù)計(jì)算機(jī)l測試計(jì)算機(jī)安全策略測試計(jì)算機(jī)安全策略l配置審核配置審核l安全日志管理安全日志管理安全日志管理安全日志管理l日志文件日志文件l常見安全事件常見安全事件l管理安全日志文件管理安全日志文件l管理安全日志文件信息管理安全日志文件信息l查看安全日志事件查看安全日志事件l課堂練習(xí)課堂練習(xí) 管理日志文件信息管理日志文件信息8.5 安全日志管理

16、安全日志管理日志文件日志文件l應(yīng)用程序應(yīng)用程序l安全安全l系統(tǒng)系統(tǒng)l目錄服務(wù)目錄服務(wù)l文件復(fù)制服務(wù)文件復(fù)制服務(wù)事件查看器日志類型：事件查看器日志類型：8.5.1 日志文件日志文件常見安全事件常見安全事件登錄登錄事件描述事件描述event id 528成功登錄event id 529不成功登錄的嘗試event id 539嘗試登錄鎖定的賬戶文件擁有關(guān)系文件擁有關(guān)系事件描述事件描述event id 578擁有者的改變安全日志安全日志事件描述事件描述event id 517安全日志被清除關(guān)閉關(guān)閉事件描述事件描述event id 513系統(tǒng)關(guān)閉8.5.2 常見安全事件常見安全事件管理安全日志文件管理安

17、全日志文件8.5.3 管理安全日志文件管理安全日志文件停止：停止：c0000244 審核失敗審核失敗 未能生成安全審核問題未能生成安全審核問題解決解決l原因：l設(shè)置了如果無法記錄安全審核則立即關(guān)閉系統(tǒng)l如果啟用該安全設(shè)置，則無論什么原因，只要系統(tǒng)無法記錄安全審核，就會終止系統(tǒng)l如果安全日志已滿并且無法改寫現(xiàn)有條目，同時(shí)還啟用了該安全選項(xiàng)，則會顯示標(biāo)題出現(xiàn)的問題l問題解決： 以管理員身份登錄 將日志存檔（可選） 清除日志 重新設(shè)置該安全設(shè)置8.5.3 管理安全日志文件管理安全日志文件管理安全日志文件信息管理安全日志文件信息 演示：演示：通過使用通過使用“計(jì)算機(jī)管理計(jì)算機(jī)管理”管理安全日志文件管理

18、安全日志文件通過組策略管理安全日志文件通過組策略管理安全日志文件8.5.4 管理安全日志文件信息管理安全日志文件信息查看安全日志事件查看安全日志事件演示：演示：安全日志文件篩選安全日志文件篩選安全日志文件查看安全日志文件查看8.5.5 查看安全日志事件查看安全日志事件課堂練習(xí)課堂練習(xí) 管理日志文件信息管理日志文件信息目的：目的： 配置安全日志屬性 驗(yàn)證事件被記錄到安全日志文件8.5.6 課堂練習(xí)課堂練習(xí) 管理日志文件信息管理日志文件信息實(shí)驗(yàn)實(shí)驗(yàn) 管理安全設(shè)置管理安全設(shè)置目的：目的： 創(chuàng)建自定義安全模板 測試計(jì)算機(jī)配置與自定義安全模板不相符的內(nèi)容 通過組策略部署自定義安全模板 組織單位上審核策略

19、配置回顧回顧學(xué)習(xí)完本章后，將能夠：學(xué)習(xí)完本章后，將能夠：l能夠進(jìn)行審核策略設(shè)置能夠進(jìn)行審核策略設(shè)置l能夠熟練配置日志相關(guān)選項(xiàng)能夠熟練配置日志相關(guān)選項(xiàng)l能夠查看安全日志能夠查看安全日志l能夠排除日志設(shè)置中常見問題能夠排除日志設(shè)置中常見問題隨堂練習(xí)隨堂練習(xí)1 你是公司的網(wǎng)絡(luò)管理員。網(wǎng)絡(luò)包含兩個(gè)屬于一個(gè)林的兩個(gè)你是公司的網(wǎng)絡(luò)管理員。網(wǎng)絡(luò)包含兩個(gè)屬于一個(gè)林的兩個(gè)活動目錄域構(gòu)成。每個(gè)域的功能級別為活動目錄域構(gòu)成。每個(gè)域的功能級別為windows 2000 混合混合。你的工程部有。你的工程部有3000名員工。工程人員用戶是不同全局組名員工。工程人員用戶是不同全局組的成員。公司計(jì)劃開設(shè)一個(gè)新的辦公室讓工程人

20、員測試產(chǎn)的成員。公司計(jì)劃開設(shè)一個(gè)新的辦公室讓工程人員測試產(chǎn)品。新辦公室需要連接到公司的網(wǎng)絡(luò)。你要確保工程部的品。新辦公室需要連接到公司的網(wǎng)絡(luò)。你要確保工程部的新用戶賬戶具有使用遠(yuǎn)程訪問訪問網(wǎng)絡(luò)的權(quán)限。你要使管新用戶賬戶具有使用遠(yuǎn)程訪問訪問網(wǎng)絡(luò)的權(quán)限。你要使管理花費(fèi)最少。首先你創(chuàng)建了工程部用戶的模板賬戶。你還理花費(fèi)最少。首先你創(chuàng)建了工程部用戶的模板賬戶。你還需要哪兩步操作？需要哪兩步操作？a.修改設(shè)計(jì)架構(gòu)，選中office和street的“索引活動目錄中的屬性”復(fù)選框b.修改設(shè)計(jì)架構(gòu)，選中組屬性的“索引活動目錄中的屬性”復(fù)選框c.手動在每個(gè)新創(chuàng)建的用戶賬戶中添加允許“遠(yuǎn)程訪問”權(quán)限d.手動添加新

21、創(chuàng)建的用戶賬戶的組關(guān)系e.將組關(guān)系信息添加到模板賬戶中f.在模板賬戶中添加允許“遠(yuǎn)程訪問”權(quán)限隨堂練習(xí)隨堂練習(xí)2 你是活動目錄域你是活動目錄域的管理員。網(wǎng)絡(luò)中只有一個(gè)的管理員。網(wǎng)絡(luò)中只有一個(gè)域，所有服務(wù)器安裝域，所有服務(wù)器安裝windows server 2003系統(tǒng)。你安系統(tǒng)。你安裝了一臺新的服務(wù)器裝了一臺新的服務(wù)器server6。你在。你在server6上安裝應(yīng)上安裝應(yīng)用程序。由于用程序。由于server6的的ntfs權(quán)限控制過于嚴(yán)格，程權(quán)限控制過于嚴(yán)格，程序無法啟動。你使用應(yīng)用程序生產(chǎn)商提供模板修改序無法啟動。你使用應(yīng)用程序生產(chǎn)商提供模板修改ntfs權(quán)限。但在安裝了一個(gè)更新后。該應(yīng)用程序

22、再權(quán)限。但在安裝了一個(gè)更新后。該應(yīng)用程序再次不能使用。你要恢復(fù)到原來的系統(tǒng)安全級別。你次不能使用。你要恢復(fù)到原來的系統(tǒng)安全級別。你應(yīng)當(dāng)將哪個(gè)模板導(dǎo)入應(yīng)當(dāng)將哪個(gè)模板導(dǎo)入server6的本地安全策略？的本地安全策略？a. syssetup.inf 模板模板. b. profsec.inf 模板模板. c. defltsv.inf 模板模板. d. netserv.inf 模板模板隨堂練習(xí)隨堂練習(xí)3 你是活動目錄域你是活動目錄域的管理員。網(wǎng)絡(luò)中只有一的管理員。網(wǎng)絡(luò)中只有一個(gè)域，所有服務(wù)器安裝個(gè)域，所有服務(wù)器安裝windows server 2003系統(tǒng)。系統(tǒng)。所有的客戶計(jì)算機(jī)安裝所有的客戶計(jì)算機(jī)安裝

23、windows xp professional。一個(gè)員工的計(jì)算機(jī)的一個(gè)分區(qū)使用一個(gè)員工的計(jì)算機(jī)的一個(gè)分區(qū)使用ntfs分區(qū)。他分區(qū)。他在計(jì)算機(jī)上創(chuàng)建了在計(jì)算機(jī)上創(chuàng)建了data.doc文件。他想要共享該文文件。他想要共享該文件。他分配給域用戶安全組該文件的讀權(quán)限。他件。他分配給域用戶安全組該文件的讀權(quán)限。他將文件移動到共享文件夾將文件移動到共享文件夾file1 中。中。file1的權(quán)限為的權(quán)限為users組組-讀權(quán)限，讀權(quán)限，managers組組-修改權(quán)限。另一位經(jīng)修改權(quán)限。另一位經(jīng)理試圖編輯文件時(shí)，提示錯誤信息。你應(yīng)當(dāng)如何理試圖編輯文件時(shí)，提示錯誤信息。你應(yīng)當(dāng)如何做？做？a.選擇文件夾file1

24、的“replace permission entries on all child objects with entries shown here that apply to child objects”選項(xiàng)b.選擇文件夾file1的“inherit from parent the permission entries that apply to child objects. include these with entries explicitly defined here”選項(xiàng)。c.使用secedit.exe導(dǎo)入模板rootsec.infd.使用secedit.exe導(dǎo)入模板hisecws.inf隨堂練習(xí)隨堂練習(xí)4 你是活動目錄域你是活動目錄域的管理員。網(wǎng)絡(luò)中只有一個(gè)的管理員。網(wǎng)絡(luò)中只有一個(gè)域，所有服務(wù)器安裝域，所有服務(wù)器安裝windows server 2003系統(tǒng)。所有系統(tǒng)。所有的客戶計(jì)算機(jī)安裝的客戶計(jì)算機(jī)安裝windows xp professional。你在一。你在一臺名為臺名為server2的的windows server 2003計(jì)算機(jī)上安裝了計(jì)算機(jī)上安裝了軟件更新服務(wù)（軟件更新服務(wù)（sus）。你想要所有的客戶計(jì)算機(jī)）。你想要所有的客戶計(jì)算機(jī)從從se