第七章网络管理与网络安全第七章网络管理与网络安全本章知识要点网络管理网络安全技术7.1网络管理1.网络用户管理(1)本地用户和用户组的管理打开“开始→程序→管理工具→计算机管理”菜单,出现“计算机管理”窗口,如图所示。7.1网络管理1.网络用户管理(1)本地用户和用户组的管理在左侧窗格单击“系统工具→本地用户和组”,在右侧窗格的空白区域单击鼠标右键,从快捷菜单中选择“新用户”。打开“新用户”对话框,如图所示。在“新用户”对话框中,输入“用户名”、“密码”及“确认密码”,单击“创建”按钮。“新用户”对话框下方有四个选项:“用户下次登陆时须更改密码”,选中此项该用户下次登陆时,系统会提示用户更改密码;“用户不能更改密码”,选中此项用户一直使用初次设置的密码,不能更改密码;“密码永不过期”,选中此项,该帐号的密码永久有效;“账号已禁用”,选取此项,该帐号不能再登陆系统。7.1网络管理1.网络用户管理(1)本地用户和用户组的管理对已存在的用户帐号,有时需修改该帐号属性。修改用户帐号属性,可打开“计算机管理”窗口,在左侧窗格单击“系统工具→本地用户和组”。在右侧的窗格中选择要修改属性的帐号名称,单击鼠标右键,在出现的快捷菜单中选择“属性”命令,打开该帐号“属性”对话框,如图所示。7.1网络管理1.网络用户管理(1)本地用户和用户组的管理“常规”、“隶属于”、“配置文件”、“拨入”是普通用户属性。“远程控制”、“终端配置文件”、“环境”、“会话”属性,只有安装了终端服务后才会出现,是终端服务的用户属性。在“常规”选项卡中,有个“帐号已锁定”选项。这一选项在用户被锁定时,可在此进行解除锁定。在“隶属于”选项卡中,列出了当前用户所属的用户组。通常对用户组进行权限分配与设置,用户“隶属于”哪个用户组,就具有哪个用户组的权限。新创建帐户的默认用户组是“user”,可以通过“添加”按钮将用户添加到某一个或几个用户组中。要将某个帐号从某个用户组删除,可在选取了该用户之后单击“删除”按钮。7.1网络管理1.网络用户管理(1)本地用户和用户组的管理用户帐号管理的另一个重要功能就是修改用户名和密码。打开“开始→程序→管理工具→计算机管理”菜单,出现“计算机管理”窗口。在左侧窗格单击“系统工具→本地用户和组”,在右侧窗格中选取要修改密码的用户名,单击鼠标右键,从快捷菜单中选取“设置密码”命令,出现“设置密码”提示信息,单击“继续”按钮,进入“设置密码”对话框,如图所示。在“新密码”、“确认密码”中输入该帐户的新密码,单击“确定”按钮。7.1网络管理1.网络用户管理(1)本地用户和用户组的管理WindowsServer2003内置了一些本地用户组,用来管理常用的工作。打开“计算机管理”窗口,在左侧窗格中选择“计算机管理→系统工具→本地用户和组→组”,右侧窗格中将显示系统中所有默认的本地用户组名称,如图所示。7.1网络管理1.网络用户管理(1)本地用户和用户组的管理合理使用系统默认的用户组可以解决用户管理中的一些基本问题,默认的用户组权限如表7-1所示。7.1网络管理1.网络用户管理(1)本地用户和用户组的管理用户组名称描述Administrators该组成员具有对服务器的完全控制权限,具备系统管理员的权限,可以执行整台计算机的管理任务。内置的系统管理员帐号Administrator就是本地组的成员,而且无法将它从该组删除。如果这台计算机已加入域,域的DomainAdmins会自动加入到该计算机的Administrators组内,域上的系统管理员在这台计算机上也具备系统管理员的权限。由于该组可以完全控制服务器,所以向该组添加用户时须谨慎。BackupOPerators在该组内的成员,不论它们是否有权访问这台计算机中的文件夹或文件,都可以通过“开始→程序→附件→系统工具→备份”的途径,备份与还原这些文件夹与文件。Guests该组提供没有用户帐号,但是需要访问本地计算机内资源的用户使用,该组的成员无法永久地改变其桌面的工作环境。该组最常见的默认成员为用户帐号Guest。NetworkConfigurationOperators该组内的用户可以在客户端执行一般的网络设置任务,例如更改IP地址,但是不可以安装/删除驱动程序与服务,也不可以执行与网络服务器设置有关的任务,例如DNS服务器、DHCP服务器的设置。PowerUsers该组内的用户具备比Users组多的权利,但是比Administrators组拥有的权利少一些,例如可以创建、删除、更改本地用户帐号,创建、删除、管理本地计算机内的共享文件夹与共享打印机;自定义系统设置,例如更改计算机时间、关闭计算机等。该组的成员不可以更改Administrators与BackupOperators、无法取得文件的所有权、无法备份与还原文件、无法安装与删除设备驱动程序、无法管理安全与审核日志。RemoteDesktopUsers该组的成员可以通过远程计算机登录,例如,利用终端服务器从远程计算机登录。Users该组只拥有一些基本的权利,例如运行应用程序,但是不能修改操作系统的设置、不能更改其它用户的数据、不能关闭服务器级的计算机。所有添加的本地用户帐号自动属于该组。如果这台计算机已经加入域,则域的DomainUsers会自动地被加入到该计算机的Users组中。Everyone任何一个用户都属于这个组。注意,如果Guest帐号被启用时,则给Everyone这个组指派权限时必须小心,因为当一个没有帐号的用户连接计算机时,他被允许自动利用Guest帐号连接,但是因为Guest也是属于Everyone组,所以也具备Everyone所拥有的权限。AuthenticatedUsers任何一个利用有效的用户帐号连接的用户都属于这个组。建议在设置权限时,尽量针对AuthenticatedUsers组进行设置,而不要针对Everyone进行设置。Interactive任何在本地登录的用户都属于这个组。Network任何通过网络连接该计算机的用户都属于这个组。CreatorOwner文件夹、文件或打印文件等资源的创建者,就是该资源的CreatorOwner(创建所有者)。如果创建者是属于Administrators组内的成员,则其CreatorOwner为Administrators组。AnonymousLogon任何未利用有效的WindowsServer2003帐号连接的用户,都属于这个组。注意在windows2003内,Everyone组内并不包含“AnonymousLogon”组。向组中添加用户,是将一个或多个用户添加到某个已设置好的用户组中,可以通过以下步骤来向组中添加用户(以向Administrators用户组添加用户为例)。7.1网络管理1.网络用户管理(1)本地用户和用户组的管理打开“计算机管理”窗口,在左侧窗格中选择“计算机管理→系统工具→本地用户和组→组”,在右侧窗格中选择系统默认的Administrators用户组,单击鼠标右键,在弹出的快捷菜单中选择“属性”命令,打开“Administrators属性”对话框,如图所示。7.1网络管理1.网络用户管理(1)本地用户和用户组的管理单击“添加”按钮,进入“选择用户”对话框。单击“高级”按钮,打开“选择用户”高级功能设置对话框,单击“立即查找”按钮。在下方的窗格中,显示本地计算机上所有的用户,如图所示。7.1网络管理1.网络用户管理(1)本地用户和用户组的管理从下方窗格“搜索结果”中选择要添加到Administrators用户组的用户,单击“确定”按钮,返回到“选择用户”对话框。单击“确定”按钮,返回到“Administrators属性”对话框,设置结果如图所示。7.1网络管理1.网络用户管理(1)本地用户和用户组的管理从下方窗格“搜索结果”中选择要添加到Administrators用户组的用户,单击“确定”按钮,返回到“选择用户”对话框。单击“确定”按钮,返回到“Administrators属性”对话框,设置结果如图所示。7.1网络管理1.网络用户管理(1)本地用户和用户组的管理一般情况下,系统默认的用户组已经能够满足用户管理的需要,但在一些特定情况下,为了加强对用户的管理,还需要创建特定的用户组。创建用户组的步骤如下:打开“计算机管理”窗口,在左侧窗格中选择“计算机管理→系统工具→本地用户和组→组”,在右侧窗格中的空白处单击鼠标右键,弹出的快捷菜单中选择“新建组”命令,打开“新建组”对话框,如图所示。7.1网络管理1.网络用户管理(1)本地用户和用户组的管理分别在“组名”和“描述”文本框中输入要创建组的信息,单击“创建”按钮,完成新用户组的创建。向新创建的用户组添加用户的方法,和向Administrators用户组添加用户的方法一样。7.1网络管理1.网络用户管理(1)本地用户和用户组的管理将计算机升级到域控制器服务器之后,域控制器以“ActiveDirectory用户和计算机”来管理该域上的用户帐号和用户组。ActiveDirectory的用户可以在该域所属的整个网络或与该域建立了信任关系的网络中使用其帐号。7.1网络管理1.网络用户管理(2)域用户账号和用户组的管理WindowsServer2003支持连接到远程计算机,对其进行磁盘管理。要管理远程计算机上的磁盘,用户必须是远程计算机上的管理员或服务器操作组的成员,同时,用户账号和服务器计算机必须是相同域或信任域的成员。7.1网络管理2.网络磁盘管理(1)远程磁盘管理选择“开始→运行”菜单,在“运行”对话框中键入“mmc”命令,然后单击“确定”按钮,如图1所示。打开“控制台”窗口,单击“文件→添加/删除管理单元”菜单,如图2所示。7.1网络管理2.网络磁盘管理(1)远程磁盘管理图1图2打开“添加/删除管理单元”对话框后,选择“独立”选项卡,如图1所示,然后单击“添加”按钮,打开“添加独立管理单元”对话框,如图2所示。选择“计算机管理”,单击“添加”按钮。7.1网络管理2.网络磁盘管理(1)远程磁盘管理图1图2打开“计算机管理”对话框,选择“另一台计算机”单选按钮,输入远程计算机的IP地址,单击“完成”按钮,如图1所示。在“控制台”窗口中,依次选择“计算机管理→存储→磁盘管理”,如图2所示。用户可在“控制台”界面对远程计算机进行磁盘管理,操作同本地计算机磁盘管理一样。7.1网络管理2.网络磁盘管理(1)远程磁盘管理图1图2在计算机中添加新硬盘,把新硬盘转换为动态磁盘。动态磁盘支持多种特殊的卷,有的可以提高系统访问效率,有的可提供容错功能,有的可以扩大磁盘的使用空间。动态磁盘一般包括简单卷、跨区卷、镜像卷和RAID5卷等。7.1网络管理2.网络磁盘管理(2)镜像卷管理选择“开始→程序→管理工具→计算机管理”菜单,打开“计算机管理”窗口。在左侧的窗格中选择“计算机管理(本地)→存储→磁盘管理”,再依次选择“磁盘管理”右键“查看→顶端”,选中“磁盘列表”,出现如图1所示界面。可以在“磁盘管理”界面右上角的窗口中,看到新添加的硬盘“磁盘1”,选取“磁盘1”,单击鼠标右键,在出现的快捷菜单中选择“转换到动态磁盘”命令,如图2所示。7.1网络管理2.网络磁盘管理(2)镜像卷管理图1图2打开“转换为动态磁盘”对话框,选择要转换的基本磁盘“磁盘1”(磁盘0一般是系统盘,不要转换为动态磁盘,否则操作系统将被损坏,单击“确定”按钮。在“磁盘管理”窗口,可以看到该磁盘状态显示“未指派”,如图所示。7.1网络管理2.网络磁盘管理(2)镜像卷管理可以将两个动态磁盘中的未指派可用空间组合成一个镜像卷,分配一个驱动器号。对组成镜像卷的两个磁盘,每个磁盘中存储有完全相同的数据。当一个磁盘出现故障时,系统仍可以在另一个磁盘中读取数据,这就是镜像卷的容错功能。镜像卷有以下特征:7.1网络管理2.网络磁盘管理(2)镜像卷管理制作镜像卷需要两块动态磁盘。镜像卷使用的是RAID1技术。组成镜像卷的两个卷空间大小是相同的。选择“开始→