網絡操作系統(tǒng)管理

1、l第第1章章 賬戶和資源管理介紹賬戶和資源管理介紹l第第2章章 管理服務器管理服務器l第第3章章 管理用戶和計算機賬管理用戶和計算機賬 戶戶l第第4章章 管理組管理組l第第5章章 組織單位對象的訪問組織單位對象的訪問 管理管理l第第6章章 實現組策略實現組策略l第第7章章 使用組策略管理用戶使用組策略管理用戶 環(huán)境環(huán)境l第第8章章 應用管理模板和審核應用管理模板和審核 策略策略l第第9章章 使用軟件更新服務使用軟件更新服務 管理軟件管理軟件第第10章章 服務器性能監(jiān)視的服務器性能監(jiān)視的 準備準備第第11章章 監(jiān)視服務器性能監(jiān)視服務器性能第第12章章 維護設備驅動程序維護設備驅動程序第第13章章

2、 資源訪問管理資源訪問管理第第14章章 實現打印實現打印第第15章章 打印管理打印管理第第16章章 磁盤管理磁盤管理第第17章章 數據存儲管理數據存儲管理第第18章章 故障恢復的管理故障恢復的管理網絡操作系統(tǒng)管理網絡操作系統(tǒng)管理windows server 2003的管理的管理 第第8章章 應用管理模板和審核策略應用管理模板和審核策略lwindows server 2003 安全概述安全概述l使用安全模板保護計算機使用安全模板保護計算機l測試計算機安全策略測試計算機安全策略l配置審核配置審核l安全日志管理安全日志管理windows server 2003 安全概述安全概述 l用戶權利用戶權利l

3、用戶權利與權限用戶權利與權限l分配給內置組的用戶權利分配給內置組的用戶權利l分配用戶權利分配用戶權利l課堂練習課堂練習 分配用戶權利分配用戶權利8.1 windows server 2003 安全概述安全概述用戶權利用戶權利用戶權限的范例用戶權限的范例8.1.1 用戶權利用戶權利用戶權利與權限用戶權利與權限用戶權利：用戶權利：系統(tǒng)上的行為系統(tǒng)上的行為權限：權限：對象上的行為對象上的行為備份備份8.1.2 用戶權利與權限用戶權利與權限分配給內置組的用戶權利分配給內置組的用戶權利內置本地組：內置本地組：administratorsbackup operatorspower usersremote

4、desktop usersusers內置容器中的組：內置容器中的組：account operatorsadministratorsbackup operatorspre-windows 2000 compatible accessprint operatorsserver operators用戶容器中的組：用戶容器中的組：domain adminsenterprise admins8.1.3 分配給內置組的用戶權利分配給內置組的用戶權利分配用戶權利分配用戶權利演示：演示：如何手工分配用戶權限如何手工分配用戶權限8.1.4 分配用戶權利分配用戶權利課堂練習課堂練習 分配用戶權利分配用戶權利目的：

5、目的： 移除用戶權利，然后測試是否移除成功 添加用戶權利，然后測試是否添加成功8.1.5 課堂練習課堂練習 分配用戶權利分配用戶權利第第8章章 應用管理模板和審核策略應用管理模板和審核策略lwindows server 2003 安全概述安全概述l使用安全模板保護計算機使用安全模板保護計算機l測試計算機安全策略測試計算機安全策略l配置審核配置審核l安全日志管理安全日志管理使用安全模板保護計算機使用安全模板保護計算機l安全策略安全策略l安全模板安全模板l安全模板設置安全模板設置l創(chuàng)建自定義安全模板創(chuàng)建自定義安全模板l導入安全模板導入安全模板l課堂練習課堂練習 使用安全模使用安全模板保護計算機板保

6、護計算機8.2 使用安全模板保護計算機使用安全模板保護計算機安全策略安全策略8.2.1 安全策略安全策略安全模板安全模板模板模板描述描述默認安全設置默認安全設置 (setup security.inf)指定缺省安全設置域控制器默認安全設置域控制器默認安全設置 (dc security.inf)針對域控制器指定缺省安全設置從默認安全設置更新（security.inf）兼容兼容 (compatws.inf)針對用戶組啟用最大應用程序兼容性來修改權限和注冊表設置安全安全 (securedc.inf 和和 securews.inf)加強安全設置（定義了至少可能影響應用程序兼容性的增強安全設置）高級安全

7、高級安全 (hisecdc.inf 和和 hisecws.inf)在安全設置中增加了限制8.2.2 安全模板安全模板安全模板設置安全模板設置安全模板：安全模板： 設置安全設置安全設置范例設置范例8.2.3 安全模板設置安全模板設置創(chuàng)建自定義安全模板創(chuàng)建自定義安全模板演示：演示：自定義安全模板自定義安全模板創(chuàng)建新的安全模板創(chuàng)建新的安全模板8.2.4 創(chuàng)建自定義安全模板創(chuàng)建自定義安全模板導入安全模板導入安全模板演示：演示：導入安全模板到本地計算機導入安全模板到本地計算機導入安全模板到組策略對象導入安全模板到組策略對象8.2.5 導入安全模板導入安全模板課堂練習課堂練習 使用安全模板保護計算機使用安

8、全模板保護計算機目的：目的： 創(chuàng)建安全模板 導入安全模板到組策略對象8.2.6 課堂練習課堂練習 使用安全模板保護計算機使用安全模板保護計算機 第第8章章 應用管理模板和審核策略應用管理模板和審核策略lwindows server 2003 安全概述安全概述l使用安全模板保護計算機使用安全模板保護計算機l測試計算機安全策略測試計算機安全策略l配置審核配置審核l安全日志管理安全日志管理測試計算機安全策略測試計算機安全策略l“安全配置和分析安全配置和分析”工具工具l測試計算機安全測試計算機安全l課堂練習課堂練習 測試計算機安全測試計算機安全8.3 測試計算機安全策略測試計算機安全策略“安全配置和分

9、析安全配置和分析”工具工具模板設置模板設置實際設置實際設置與模板不匹配的設置與模板不匹配的設置8.3.1 “安全配置和分析安全配置和分析”工具工具測試計算機安全測試計算機安全 演示：演示：演示使用安全配置工具來分析計算機安全演示使用安全配置工具來分析計算機安全8.3.2 測試計算機安全測試計算機安全課堂練習課堂練習 測試計算機安全測試計算機安全目的：目的： 創(chuàng)建自定義安全模板 利用自定義安全模板分析計算機上的安全設置8.3.3 課堂練習課堂練習 測試計算機安全測試計算機安全第第8章章 應用管理模板和審核策略應用管理模板和審核策略lwindows server 2003 安全概述安全概述l使用安

10、全模板保護計算機使用安全模板保護計算機l測試計算機安全策略測試計算機安全策略l配置審核配置審核l安全日志管理安全日志管理配置審核配置審核l審核審核l審核策略審核策略l需要審核的事件類型需要審核的事件類型l制定審核策略的原則制定審核策略的原則l啟用審核策略啟用審核策略l啟用文件和文件夾審核啟用文件和文件夾審核l課堂練習課堂練習 啟用文件和文件夾審核啟用文件和文件夾審核l啟用啟用 active directory 對象審核對象審核l課堂練習課堂練習 啟用組織單位審核啟用組織單位審核l配置審核的最佳實踐配置審核的最佳實踐8.4 配置審核配置審核審核審核l審核通過記錄服務器或工作站上安全日志中的事件審

11、核通過記錄服務器或工作站上安全日志中的事件的選擇類型，來跟蹤用戶和操作系統(tǒng)的行為的選擇類型，來跟蹤用戶和操作系統(tǒng)的行為l審核啟用審核啟用創(chuàng)建基線判斷威脅和攻擊判斷危險防范將來的危險l審核對象訪問、賬戶管理、用戶登錄和注銷審核對象訪問、賬戶管理、用戶登錄和注銷內容內容? ?時間？時間？人物？人物？審核結果審核結果? ?8.4.1 審核審核審核策略審核策略l審核策略判斷安全事件并報告給網絡管理員審核策略判斷安全事件并報告給網絡管理員l設置審核策略設置審核策略跟蹤成功或失敗事件最小化對資源未授權的訪問維護記錄活動l事件存儲在安全日志中事件存儲在安全日志中 8.4.2 審核策略審核策略需要審核的事件類

12、型需要審核的事件類型l賬戶登錄賬戶登錄l賬戶管理賬戶管理l目錄服務訪問目錄服務訪問l登錄登錄l對象訪問對象訪問l策略改變策略改變l權限使用權限使用l過程跟蹤過程跟蹤l系統(tǒng)事件系統(tǒng)事件8.4.3 需要審核的事件類型需要審核的事件類型制定審核策略的原則制定審核策略的原則決定計算機安全審核是否開啟決定計算機安全審核是否開啟決定哪些事件需要審核決定哪些事件需要審核決定審核成功或失敗事件決定審核成功或失敗事件決定是否需要跟蹤決定是否需要跟蹤經常查看安全日志經常查看安全日志8.4.4 制定審核策略的原則制定審核策略的原則啟用審核策略啟用審核策略演示：演示：在本地計算機上配置審核策略在本地計算機上配置審核策

13、略在域或組織單位配置審核策略在域或組織單位配置審核策略8.4.5 啟用審核策略啟用審核策略啟用文件和文件夾審核啟用文件和文件夾審核演示：演示：啟用文件和文件夾審核啟用文件和文件夾審核8.4.6 啟用文件和文件夾審核啟用文件和文件夾審核課堂練習課堂練習 啟用文件和文件夾審核啟用文件和文件夾審核目的：目的：啟用文件和文件夾審核8.4.7 課堂練習課堂練習 啟用文件和文件夾審核啟用文件和文件夾審核啟用啟用 active directory 對象審核對象審核演示：演示：委派一個賬戶來審核委派一個賬戶來審核針對組織單位啟用審核針對組織單位啟用審核8.4.8 啟用啟用 active directory 對

14、象審核對象審核課堂練習課堂練習 啟用組織單位審核啟用組織單位審核目的：目的：在組織單位上啟用審核8.4.9 課堂練習課堂練習 啟用組織單位審核啟用組織單位審核配置審核的最佳實踐配置審核的最佳實踐審核目錄服務訪問類別成功事件審核目錄服務訪問類別成功事件審核對象訪問目錄類別成功事件審核對象訪問目錄類別成功事件審核系統(tǒng)類別成功和失敗事件審核系統(tǒng)類別成功和失敗事件審核在域控制器上策略改變類別成功或失敗事件審核在域控制器上策略改變類別成功或失敗事件審核賬戶管理類別成功和失敗事件審核賬戶管理類別成功和失敗事件審核登錄類別成功事件審核登錄類別成功事件審核域控制器上賬戶登錄類別的成功事件審核域控制器上賬戶登錄

15、類別的成功事件設置合適的安全日志大小設置合適的安全日志大小8.4.10 配置審核的最佳實踐配置審核的最佳實踐第第8章章 應用管理模板和審核策略應用管理模板和審核策略lwindows server 2003 安全概述安全概述l使用安全模板保護計算機使用安全模板保護計算機l測試計算機安全策略測試計算機安全策略l配置審核配置審核l安全日志管理安全日志管理安全日志管理安全日志管理l日志文件日志文件l常見安全事件常見安全事件l管理安全日志文件管理安全日志文件l管理安全日志文件信息管理安全日志文件信息l查看安全日志事件查看安全日志事件l課堂練習課堂練習 管理日志文件信息管理日志文件信息8.5 安全日志管理

16、安全日志管理日志文件日志文件l應用程序應用程序l安全安全l系統(tǒng)系統(tǒng)l目錄服務目錄服務l文件復制服務文件復制服務事件查看器日志類型：事件查看器日志類型：8.5.1 日志文件日志文件常見安全事件常見安全事件登錄登錄事件描述事件描述event id 528成功登錄event id 529不成功登錄的嘗試event id 539嘗試登錄鎖定的賬戶文件擁有關系文件擁有關系事件描述事件描述event id 578擁有者的改變安全日志安全日志事件描述事件描述event id 517安全日志被清除關閉關閉事件描述事件描述event id 513系統(tǒng)關閉8.5.2 常見安全事件常見安全事件管理安全日志文件管理安

17、全日志文件8.5.3 管理安全日志文件管理安全日志文件停止：停止：c0000244 審核失敗審核失敗 未能生成安全審核問題未能生成安全審核問題解決解決l原因：l設置了如果無法記錄安全審核則立即關閉系統(tǒng)l如果啟用該安全設置，則無論什么原因，只要系統(tǒng)無法記錄安全審核，就會終止系統(tǒng)l如果安全日志已滿并且無法改寫現有條目，同時還啟用了該安全選項，則會顯示標題出現的問題l問題解決： 以管理員身份登錄 將日志存檔（可選） 清除日志 重新設置該安全設置8.5.3 管理安全日志文件管理安全日志文件管理安全日志文件信息管理安全日志文件信息 演示：演示：通過使用通過使用“計算機管理計算機管理”管理安全日志文件管理

18、安全日志文件通過組策略管理安全日志文件通過組策略管理安全日志文件8.5.4 管理安全日志文件信息管理安全日志文件信息查看安全日志事件查看安全日志事件演示：演示：安全日志文件篩選安全日志文件篩選安全日志文件查看安全日志文件查看8.5.5 查看安全日志事件查看安全日志事件課堂練習課堂練習 管理日志文件信息管理日志文件信息目的：目的： 配置安全日志屬性 驗證事件被記錄到安全日志文件8.5.6 課堂練習課堂練習 管理日志文件信息管理日志文件信息實驗實驗 管理安全設置管理安全設置目的：目的： 創(chuàng)建自定義安全模板 測試計算機配置與自定義安全模板不相符的內容 通過組策略部署自定義安全模板 組織單位上審核策略

19、配置回顧回顧學習完本章后，將能夠：學習完本章后，將能夠：l能夠進行審核策略設置能夠進行審核策略設置l能夠熟練配置日志相關選項能夠熟練配置日志相關選項l能夠查看安全日志能夠查看安全日志l能夠排除日志設置中常見問題能夠排除日志設置中常見問題隨堂練習隨堂練習1 你是公司的網絡管理員。網絡包含兩個屬于一個林的兩個你是公司的網絡管理員。網絡包含兩個屬于一個林的兩個活動目錄域構成。每個域的功能級別為活動目錄域構成。每個域的功能級別為windows 2000 混合混合。你的工程部有。你的工程部有3000名員工。工程人員用戶是不同全局組名員工。工程人員用戶是不同全局組的成員。公司計劃開設一個新的辦公室讓工程人

20、員測試產的成員。公司計劃開設一個新的辦公室讓工程人員測試產品。新辦公室需要連接到公司的網絡。你要確保工程部的品。新辦公室需要連接到公司的網絡。你要確保工程部的新用戶賬戶具有使用遠程訪問訪問網絡的權限。你要使管新用戶賬戶具有使用遠程訪問訪問網絡的權限。你要使管理花費最少。首先你創(chuàng)建了工程部用戶的模板賬戶。你還理花費最少。首先你創(chuàng)建了工程部用戶的模板賬戶。你還需要哪兩步操作？需要哪兩步操作？a.修改設計架構，選中office和street的“索引活動目錄中的屬性”復選框b.修改設計架構，選中組屬性的“索引活動目錄中的屬性”復選框c.手動在每個新創(chuàng)建的用戶賬戶中添加允許“遠程訪問”權限d.手動添加新

21、創(chuàng)建的用戶賬戶的組關系e.將組關系信息添加到模板賬戶中f.在模板賬戶中添加允許“遠程訪問”權限隨堂練習隨堂練習2 你是活動目錄域你是活動目錄域的管理員。網絡中只有一個的管理員。網絡中只有一個域，所有服務器安裝域，所有服務器安裝windows server 2003系統(tǒng)。你安系統(tǒng)。你安裝了一臺新的服務器裝了一臺新的服務器server6。你在。你在server6上安裝應上安裝應用程序。由于用程序。由于server6的的ntfs權限控制過于嚴格，程權限控制過于嚴格，程序無法啟動。你使用應用程序生產商提供模板修改序無法啟動。你使用應用程序生產商提供模板修改ntfs權限。但在安裝了一個更新后。該應用程序

22、再權限。但在安裝了一個更新后。該應用程序再次不能使用。你要恢復到原來的系統(tǒng)安全級別。你次不能使用。你要恢復到原來的系統(tǒng)安全級別。你應當將哪個模板導入應當將哪個模板導入server6的本地安全策略？的本地安全策略？a. syssetup.inf 模板模板. b. profsec.inf 模板模板. c. defltsv.inf 模板模板. d. netserv.inf 模板模板隨堂練習隨堂練習3 你是活動目錄域你是活動目錄域的管理員。網絡中只有一的管理員。網絡中只有一個域，所有服務器安裝個域，所有服務器安裝windows server 2003系統(tǒng)。系統(tǒng)。所有的客戶計算機安裝所有的客戶計算機安裝

23、windows xp professional。一個員工的計算機的一個分區(qū)使用一個員工的計算機的一個分區(qū)使用ntfs分區(qū)。他分區(qū)。他在計算機上創(chuàng)建了在計算機上創(chuàng)建了data.doc文件。他想要共享該文文件。他想要共享該文件。他分配給域用戶安全組該文件的讀權限。他件。他分配給域用戶安全組該文件的讀權限。他將文件移動到共享文件夾將文件移動到共享文件夾file1 中。中。file1的權限為的權限為users組組-讀權限，讀權限，managers組組-修改權限。另一位經修改權限。另一位經理試圖編輯文件時，提示錯誤信息。你應當如何理試圖編輯文件時，提示錯誤信息。你應當如何做？做？a.選擇文件夾file1

24、的“replace permission entries on all child objects with entries shown here that apply to child objects”選項b.選擇文件夾file1的“inherit from parent the permission entries that apply to child objects. include these with entries explicitly defined here”選項。c.使用secedit.exe導入模板rootsec.infd.使用secedit.exe導入模板hisecws.inf隨堂練習隨堂練習4 你是活動目錄域你是活動目錄域的管理員。網絡中只有一個的管理員。網絡中只有一個域，所有服務器安裝域，所有服務器安裝windows server 2003系統(tǒng)。所有系統(tǒng)。所有的客戶計算機安裝的客戶計算機安裝windows xp professional。你在一。你在一臺名為臺名為server2的的windows server 2003計算機上安裝了計算機上安裝了軟件更新服務（軟件更新服務（sus）。你想要所有的客戶計算機）。你想要所有的客戶計算機從從se