第3章WindowsServer2003的安装与配置本章学习目标:了解WindowsServer2003的服务器角色、优点;掌握4个版本掌握WindowsServer2003的安装;了解其启动过程掌握活动目录的概念、域控制器的安装和配置、活动目录中的用户、计算机账号与组的管理掌握WindowsServer2003磁盘管理、资源共享3.1概述3.1.1WindowsServer2003的简介1.WindowsServer2003的服务器角色文件和打印服务器Web服务器和Web应用程序服务器邮件服务器终端服务器远程访问/虚拟专用网络(VPN)服务器目录服务器域名系统(DNS)动态主机配置协议(DHCP)服务器WindowsInternet命名服务(WINS)流媒体服务器3.1概述3.1.1WindowsServer2003的简介2.WindowsServer2003的优点(1)可靠性(2)高效性(3)联网(4)最经济(5)可用性(6)可伸缩性(7)安全性3.1概述3.1.2WindowsServer2003的版本WindowsServer2003标准版(StandardEdition)WindowsServer2003企业版(EnterpriseEdition)WindowsServer2003数据中心版(DatacenterEdition)WindowsServer2003Web版(WebEdition)3.2WindowsServer2003的安装与启动3.2.1安装前的准备1.备份文件2.检查计算机硬件和软件的兼容性3.硬件配置要求4.选择磁盘分区5.选择文件系统6.确定安装方式3.2WindowsServer2003的安装与启动3.2.2安装WindowsServer2003服务器WindowsServer2003服务器可使用多种方式进行安装:包括全新安装、升级安装和网络安装等。各种安装方式过程相似,大体包括以下三个阶段:预复制阶段文本模式阶段图形用户界面模式阶段3.2WindowsServer2003的安装与启动3.2.3WindowsServer2003的启动WindowsServer2003的启动过程大致分为5个步骤:预启动启动(NTLDR、Ntdetect.com)装载内核(Ntoskrnl.exe)初始化内核用户登录(Winlogon.exe)3.3系统管理与配置3.3.1活动目录概述1.活动目录活动目录(ActiveDirectory)是WindowsServer2003操作系统提供的一种新的目录服务。所谓目录服务其实是提供了一种按层次结构组织的信息,然后按名称关系检索信息的服务方式。这种服务提供了一个存储在目录中的各种资源的统一管理视图,从而减轻了企业的管理负担。目录服务由两部分内容构成,一部分是目录:一部分是服务。目录是Windows操作系统中用于存储用户感兴趣对象的信息资源。服务(Service)是对提出要求的正确响应,活动目录的最终目的是方便用户使用其上的内容,目录是放置存储信息,服务是按要求来提取信息。3.3系统管理与配置3.3.1活动目录概述2.活动目录的逻辑结构WindowsServer2003的活动目录是由对象(Object)、域(Domain)、组织单元(OrganizationalUnits)、树(Trees)和森林(Forest)构成的层次结构。(1)对象(Object)是对某具体事物即某种物理对象的命名,如用户、组、打印机、共享文件夹、数据库系统、应用程序等,每个对象都表示网络中的某个实体。一个用户对象的属性可能包含用户的Name、Email和Phone等。(2)域(Domain)是WindowsServer2003活动目录的核心单元,是共享一活动目录的一组计算机集合。活动目录可以由一个或者多个域组成,其中每个域都拥有其独立的安全策略以及与其他域之间的安全关系。特点:安全的边界、复制的单元3.3系统管理与配置3.3.1活动目录概述2.活动目录的逻辑结构(3)组织单元(OU)是组织、管理一个域内对象的容器,它能包容用户账号、用户组、计算机、打印机和其他的组织单元。域可以被分割成几个更加易于管理的单元,其中每个单元都是域中一种目录对象的集合,称之为组织单元。(4)树(Trees),又称为域树,用来描述对象及容器的分层结构关系。域树是由若干个具有共同的模式、配置的域构成的,形成了一个临近的名字空间(5)森林(Forest)又称为域林、树林。域树的集合称为域林,域林中可能有多棵域树的存在,域林中不会有一个共享的连续命名为空间,域林是将不连续命名空间的域树组合在一起。域林的最大特点就是不连续的命名空间。在域、域树和域林中,域和域林都有管理员,而域树没有。3.3系统管理与配置3.3.2安装和配置域控制器1.域控制器在WindowsServer2003中,域中所有的域控制器之间都是平等的关系,不再区分主域控制器和备份域控制器,统一称作域控制器或域服务器,活动目录的全部内容存放在域控制器上,它负责活动目录数据库的维护、用户身份的验证和活动目录的安全性。域控制器(域服务器)与普通服务器的区别是在计算机上是否存放了活动目录的数据库文件。3.3系统管理与配置3.3.2安装和配置域控制器2.安装域控制器3.安装设置其他的域控制器3.3系统管理与配置3.3.3管理活动目录中的用户和计算机账号1.用户账号的类型(1)内置用户账号(Built-InAccounts)(2)域用户账号(DomainUserAccounts)(3)本地用户账号(LocalUserAccounts)系统管理员(Administrator)来宾(Guest)远程协助(HelpAssistant)3.3系统管理与配置3.3.3管理活动目录中的用户和计算机账号2.用户账号的命名策略(1)账号名称的命名原则1)每一个用户的账号名称在ActiveDirectory中是唯一的,不同的用户使用不同的账号名称。2)WindowsServer2003中用户登录名的前缀没有限制。3)登录名可以是除了下列字符以外的所有Unicode字符:前导空格;尾随空格以及“#”、“,”、“””、“\”、“”、“”、“:”。4)当一个网络中的用户数较多时,账号名称应该便于记忆和区分。3.3系统管理与配置3.3.3管理活动目录中的用户和计算机账号(2)账号的密码要求(强密码)密码至少有6个字符长,它不包含用户账号的全部或部分,并至少包含以下四类字符中的三类:大写字母、小写字母、基本的10个数字以及键盘上的符号(例如!、@、#)。通过要求强密码并实行账号锁定策略,有助于防卸攻击者对域的攻击。强密码减少了对密码的智能猜测以及词典攻击的风险。(3)账号选项登录时间允许用户登录的计算机账号的使用时限等3.3系统管理与配置3.3.3管理活动目录中的用户和计算机账号3.管理活动目录中的用户账号(1)用户账号的添加(2)用户账号的删除(3)用户账号的移动(4)用户账号的重命名(5)用户账号的启用与停用(6)更改用户账号和密码(7)设置用户账号属性(8)更改用户后缀3.3系统管理与配置3.3.3管理活动目录中的用户和计算机账号4.管理活动目录中的计算机账号(1)添加计算机账号(2)设置计算机账号的属性(3)管理远程客户计算机3.3系统管理与配置3.3.4管理活动目录中的组1.组的分类(1)组的类型(安全组和分布式组)(2)组的作用范围(通用组、全局组和域内本地组)(3)系统内置组2.活动目录中组的管理(1)管理组时应注意的问题1)一个用户可以是多个组的成员。2)一个组也可以是另一个组的成员中,可以将一个组添加到其他组中,实现组的嵌套。当给上层组设置权限时,嵌套在该组中的下层组将自动继承其权限,而不需要对多个组单独进行设置,减少了设置权限的次数。3.3系统管理与配置3.3.4管理活动目录中的组2.活动目录中组的管理(2)组的创建(3)组的删除(4)组的重命名(5)组成员的添加(6)组成员的删除3.4系统访问控制3.4.1利用NTFS实现文件系统的安全1.WindowsServer2003支持的文件系统类型(1)FAT文件系统(FAT16和FAT32)(2)NTFS简介1)NTFS文件系统的优点2)NTFS的安全特性3.4系统访问控制3.4.1利用NTFS实现文件系统的安全2.管理文件和文件夹的访问许可权(1)NTFS文件权限的类型读取:此权限允许用户读取文件内的数据、查看文件的属性、查看文件的所有者、查看文件的权限。写入:此权限包括覆盖文件、改变文件的属性、查看文件的所有者、查看文件的权限等。读取及运行:除了具有“读取”的所有权限,还具有运行应用程序的权限。修改:此权限除了拥有“写入”、“读取及运行”的所有的权限外,还能够更改文件内的数据、删除文件、改变文件名等。完全控制:拥有所有的NTFS文件的权限,也就是拥有上面所提到的所有权限,此外,还拥有“修改权限”和“取得所有”权限。3.4系统访问控制3.4.1利用NTFS实现文件系统的安全2.管理文件和文件夹的访问许可权(2)设置安全的访问许可权对服务器上的所有文件,实施强有力的基于许可的安全措施。对中低安全性的安装,除系统卷和引导卷外,所有驱动器上均实施域用户(DomainUser)管理,避免使用缺省的每个用户(Everyone)、完全控制(Fullcontrol)许可等安全措施。对于高安全性安装,去掉所有Everyone、完全控制许可权。不要用缺省许可代替,只在特别需要的地方才增加许可。以机构中的自然关系为基础建立组,按组分配文件许可权。利用第三方的许可审计软件管理复杂环境中的许可权问题。3.4系统访问控制3.4.1利用NTFS实现文件系统的安全2.管理文件和文件夹的访问许可权(3)文件与文件夹的访问许可冲突随着网络环境下的共享文件和文件夹的创建,可能会出现资源许可权冲突。当某个用户是多个组的成员时,其中的某些组可能允许访问某种资源,而其他组的成员被拒绝访问它。另外,有时也可能出现重复的许可。权限的累加性。用户对每个资源的有效权限是其所有权限的总和,即权限相加,把所有的权限加在一起为该用户的权限。对资源的拒绝权限会覆盖掉所有其他的权限。例如,当用户对某一个资源的权限被设为拒绝访问,则用户的最后权限是无法访问该资源,其他的权限不再起作用。文件权限会覆盖掉文件夹权限。当用户或组对某个文件夹以及该文件夹下的文件有不同的访问权限时,用户对文件的最终权限是用户被赋予访问该文件的权限。例如,共享文件夹允许完全控制而文件允许只读,则该文件为只读。3.4系统访问控制3.4.1利用NTFS实现文件系统的安全2.管理文件和文件夹的访问许可权(4)查看文件与文件夹的访问许可权(5)更改文件或文件夹的访问许可权3.4系统访问控制3.4.2WindowsServer2003磁盘管理磁盘管理的新功能和新特征主要包括:简化任务和直观的用户界面。基本和动态磁盘存储本地和网络驱动器管理从命令行(DISKPART)管理磁盘“磁盘管理”MMC控制台可以完成以下功能:创建和删除磁盘分区。创建和删除扩展分区中的逻辑驱动器。读取磁盘状态信息,如分区大小。读取WindowsServer2003卷的状态信息,如驱动器名的指定、卷标、文件类型、大小及可用空间。指定或更改磁盘驱动器及CD-ROM设备的驱动器名和路径。创建和删除卷和卷集。创建和删除包含或者不包含奇偶校验的带区集。建立或拆除磁盘镜像集。保存或还原磁盘配置。3.4系统访问控制3.4.2WindowsServer2003磁盘管理1.基本磁盘管理基本磁盘主要包含主磁盘分区、扩展磁盘分区或逻辑驱动器的物理磁盘,它们都是以分区方式组织和管理磁盘空间。基本磁盘可包含最多4个主磁盘分区,或者3个主磁盘分区附加1个扩展磁盘分区,而在扩展分区中可包含多个逻辑驱动器。主磁盘分区是物理磁盘的一部分,它像物理上独立的磁盘那