网络操作系统管理

1、l第第1章章 账户和资源管理介绍账户和资源管理介绍l第第2章章 管理服务器管理服务器l第第3章章 管理用户和计算机账管理用户和计算机账 户户l第第4章章 管理组管理组l第第5章章 组织单位对象的访问组织单位对象的访问 管理管理l第第6章章 实现组策略实现组策略l第第7章章 使用组策略管理用户使用组策略管理用户 环境环境l第第8章章 应用管理模板和审核应用管理模板和审核 策略策略l第第9章章 使用软件更新服务使用软件更新服务 管理软件管理软件第第10章章 服务器性能监视的服务器性能监视的 准备准备第第11章章 监视服务器性能监视服务器性能第第12章章 维护设备驱动程序维护设备驱动程序第第13章章

2、 资源访问管理资源访问管理第第14章章 实现打印实现打印第第15章章 打印管理打印管理第第16章章 磁盘管理磁盘管理第第17章章 数据存储管理数据存储管理第第18章章 故障恢复的管理故障恢复的管理网络操作系统管理网络操作系统管理windows server 2003的管理的管理 第第8章章 应用管理模板和审核策略应用管理模板和审核策略lwindows server 2003 安全概述安全概述l使用安全模板保护计算机使用安全模板保护计算机l测试计算机安全策略测试计算机安全策略l配置审核配置审核l安全日志管理安全日志管理windows server 2003 安全概述安全概述 l用户权利用户权利l

3、用户权利与权限用户权利与权限l分配给内置组的用户权利分配给内置组的用户权利l分配用户权利分配用户权利l课堂练习课堂练习 分配用户权利分配用户权利8.1 windows server 2003 安全概述安全概述用户权利用户权利用户权限的范例用户权限的范例8.1.1 用户权利用户权利用户权利与权限用户权利与权限用户权利：用户权利：系统上的行为系统上的行为权限：权限：对象上的行为对象上的行为备份备份8.1.2 用户权利与权限用户权利与权限分配给内置组的用户权利分配给内置组的用户权利内置本地组：内置本地组：administratorsbackup operatorspower usersremote

4、desktop usersusers内置容器中的组：内置容器中的组：account operatorsadministratorsbackup operatorspre-windows 2000 compatible accessprint operatorsserver operators用户容器中的组：用户容器中的组：domain adminsenterprise admins8.1.3 分配给内置组的用户权利分配给内置组的用户权利分配用户权利分配用户权利演示：演示：如何手工分配用户权限如何手工分配用户权限8.1.4 分配用户权利分配用户权利课堂练习课堂练习 分配用户权利分配用户权利目的：

5、目的： 移除用户权利，然后测试是否移除成功 添加用户权利，然后测试是否添加成功8.1.5 课堂练习课堂练习 分配用户权利分配用户权利第第8章章 应用管理模板和审核策略应用管理模板和审核策略lwindows server 2003 安全概述安全概述l使用安全模板保护计算机使用安全模板保护计算机l测试计算机安全策略测试计算机安全策略l配置审核配置审核l安全日志管理安全日志管理使用安全模板保护计算机使用安全模板保护计算机l安全策略安全策略l安全模板安全模板l安全模板设置安全模板设置l创建自定义安全模板创建自定义安全模板l导入安全模板导入安全模板l课堂练习课堂练习 使用安全模使用安全模板保护计算机板保

6、护计算机8.2 使用安全模板保护计算机使用安全模板保护计算机安全策略安全策略8.2.1 安全策略安全策略安全模板安全模板模板模板描述描述默认安全设置默认安全设置 (setup security.inf)指定缺省安全设置域控制器默认安全设置域控制器默认安全设置 (dc security.inf)针对域控制器指定缺省安全设置从默认安全设置更新（security.inf）兼容兼容 (compatws.inf)针对用户组启用最大应用程序兼容性来修改权限和注册表设置安全安全 (securedc.inf 和和 securews.inf)加强安全设置（定义了至少可能影响应用程序兼容性的增强安全设置）高级安全

7、高级安全 (hisecdc.inf 和和 hisecws.inf)在安全设置中增加了限制8.2.2 安全模板安全模板安全模板设置安全模板设置安全模板：安全模板： 设置安全设置安全设置范例设置范例8.2.3 安全模板设置安全模板设置创建自定义安全模板创建自定义安全模板演示：演示：自定义安全模板自定义安全模板创建新的安全模板创建新的安全模板8.2.4 创建自定义安全模板创建自定义安全模板导入安全模板导入安全模板演示：演示：导入安全模板到本地计算机导入安全模板到本地计算机导入安全模板到组策略对象导入安全模板到组策略对象8.2.5 导入安全模板导入安全模板课堂练习课堂练习 使用安全模板保护计算机使用安

8、全模板保护计算机目的：目的： 创建安全模板 导入安全模板到组策略对象8.2.6 课堂练习课堂练习 使用安全模板保护计算机使用安全模板保护计算机 第第8章章 应用管理模板和审核策略应用管理模板和审核策略lwindows server 2003 安全概述安全概述l使用安全模板保护计算机使用安全模板保护计算机l测试计算机安全策略测试计算机安全策略l配置审核配置审核l安全日志管理安全日志管理测试计算机安全策略测试计算机安全策略l“安全配置和分析安全配置和分析”工具工具l测试计算机安全测试计算机安全l课堂练习课堂练习 测试计算机安全测试计算机安全8.3 测试计算机安全策略测试计算机安全策略“安全配置和分

9、析安全配置和分析”工具工具模板设置模板设置实际设置实际设置与模板不匹配的设置与模板不匹配的设置8.3.1 “安全配置和分析安全配置和分析”工具工具测试计算机安全测试计算机安全 演示：演示：演示使用安全配置工具来分析计算机安全演示使用安全配置工具来分析计算机安全8.3.2 测试计算机安全测试计算机安全课堂练习课堂练习 测试计算机安全测试计算机安全目的：目的： 创建自定义安全模板 利用自定义安全模板分析计算机上的安全设置8.3.3 课堂练习课堂练习 测试计算机安全测试计算机安全第第8章章 应用管理模板和审核策略应用管理模板和审核策略lwindows server 2003 安全概述安全概述l使用安

10、全模板保护计算机使用安全模板保护计算机l测试计算机安全策略测试计算机安全策略l配置审核配置审核l安全日志管理安全日志管理配置审核配置审核l审核审核l审核策略审核策略l需要审核的事件类型需要审核的事件类型l制定审核策略的原则制定审核策略的原则l启用审核策略启用审核策略l启用文件和文件夹审核启用文件和文件夹审核l课堂练习课堂练习 启用文件和文件夹审核启用文件和文件夹审核l启用启用 active directory 对象审核对象审核l课堂练习课堂练习 启用组织单位审核启用组织单位审核l配置审核的最佳实践配置审核的最佳实践8.4 配置审核配置审核审核审核l审核通过记录服务器或工作站上安全日志中的事件审

11、核通过记录服务器或工作站上安全日志中的事件的选择类型，来跟踪用户和操作系统的行为的选择类型，来跟踪用户和操作系统的行为l审核启用审核启用创建基线判断威胁和攻击判断危险防范将来的危险l审核对象访问、账户管理、用户登录和注销审核对象访问、账户管理、用户登录和注销内容内容? ?时间？时间？人物？人物？审核结果审核结果? ?8.4.1 审核审核审核策略审核策略l审核策略判断安全事件并报告给网络管理员审核策略判断安全事件并报告给网络管理员l设置审核策略设置审核策略跟踪成功或失败事件最小化对资源未授权的访问维护记录活动l事件存储在安全日志中事件存储在安全日志中 8.4.2 审核策略审核策略需要审核的事件类

12、型需要审核的事件类型l账户登录账户登录l账户管理账户管理l目录服务访问目录服务访问l登录登录l对象访问对象访问l策略改变策略改变l权限使用权限使用l过程跟踪过程跟踪l系统事件系统事件8.4.3 需要审核的事件类型需要审核的事件类型制定审核策略的原则制定审核策略的原则决定计算机安全审核是否开启决定计算机安全审核是否开启决定哪些事件需要审核决定哪些事件需要审核决定审核成功或失败事件决定审核成功或失败事件决定是否需要跟踪决定是否需要跟踪经常查看安全日志经常查看安全日志8.4.4 制定审核策略的原则制定审核策略的原则启用审核策略启用审核策略演示：演示：在本地计算机上配置审核策略在本地计算机上配置审核策

13、略在域或组织单位配置审核策略在域或组织单位配置审核策略8.4.5 启用审核策略启用审核策略启用文件和文件夹审核启用文件和文件夹审核演示：演示：启用文件和文件夹审核启用文件和文件夹审核8.4.6 启用文件和文件夹审核启用文件和文件夹审核课堂练习课堂练习 启用文件和文件夹审核启用文件和文件夹审核目的：目的：启用文件和文件夹审核8.4.7 课堂练习课堂练习 启用文件和文件夹审核启用文件和文件夹审核启用启用 active directory 对象审核对象审核演示：演示：委派一个账户来审核委派一个账户来审核针对组织单位启用审核针对组织单位启用审核8.4.8 启用启用 active directory 对

14、象审核对象审核课堂练习课堂练习 启用组织单位审核启用组织单位审核目的：目的：在组织单位上启用审核8.4.9 课堂练习课堂练习 启用组织单位审核启用组织单位审核配置审核的最佳实践配置审核的最佳实践审核目录服务访问类别成功事件审核目录服务访问类别成功事件审核对象访问目录类别成功事件审核对象访问目录类别成功事件审核系统类别成功和失败事件审核系统类别成功和失败事件审核在域控制器上策略改变类别成功或失败事件审核在域控制器上策略改变类别成功或失败事件审核账户管理类别成功和失败事件审核账户管理类别成功和失败事件审核登录类别成功事件审核登录类别成功事件审核域控制器上账户登录类别的成功事件审核域控制器上账户登录

15、类别的成功事件设置合适的安全日志大小设置合适的安全日志大小8.4.10 配置审核的最佳实践配置审核的最佳实践第第8章章 应用管理模板和审核策略应用管理模板和审核策略lwindows server 2003 安全概述安全概述l使用安全模板保护计算机使用安全模板保护计算机l测试计算机安全策略测试计算机安全策略l配置审核配置审核l安全日志管理安全日志管理安全日志管理安全日志管理l日志文件日志文件l常见安全事件常见安全事件l管理安全日志文件管理安全日志文件l管理安全日志文件信息管理安全日志文件信息l查看安全日志事件查看安全日志事件l课堂练习课堂练习 管理日志文件信息管理日志文件信息8.5 安全日志管理

16、安全日志管理日志文件日志文件l应用程序应用程序l安全安全l系统系统l目录服务目录服务l文件复制服务文件复制服务事件查看器日志类型：事件查看器日志类型：8.5.1 日志文件日志文件常见安全事件常见安全事件登录登录事件描述事件描述event id 528成功登录event id 529不成功登录的尝试event id 539尝试登录锁定的账户文件拥有关系文件拥有关系事件描述事件描述event id 578拥有者的改变安全日志安全日志事件描述事件描述event id 517安全日志被清除关闭关闭事件描述事件描述event id 513系统关闭8.5.2 常见安全事件常见安全事件管理安全日志文件管理安

17、全日志文件8.5.3 管理安全日志文件管理安全日志文件停止：停止：c0000244 审核失败审核失败 未能生成安全审核问题未能生成安全审核问题解决解决l原因：l设置了如果无法记录安全审核则立即关闭系统l如果启用该安全设置，则无论什么原因，只要系统无法记录安全审核，就会终止系统l如果安全日志已满并且无法改写现有条目，同时还启用了该安全选项，则会显示标题出现的问题l问题解决： 以管理员身份登录 将日志存档（可选） 清除日志 重新设置该安全设置8.5.3 管理安全日志文件管理安全日志文件管理安全日志文件信息管理安全日志文件信息 演示：演示：通过使用通过使用“计算机管理计算机管理”管理安全日志文件管理

18、安全日志文件通过组策略管理安全日志文件通过组策略管理安全日志文件8.5.4 管理安全日志文件信息管理安全日志文件信息查看安全日志事件查看安全日志事件演示：演示：安全日志文件筛选安全日志文件筛选安全日志文件查看安全日志文件查看8.5.5 查看安全日志事件查看安全日志事件课堂练习课堂练习 管理日志文件信息管理日志文件信息目的：目的： 配置安全日志属性 验证事件被记录到安全日志文件8.5.6 课堂练习课堂练习 管理日志文件信息管理日志文件信息实验实验 管理安全设置管理安全设置目的：目的： 创建自定义安全模板 测试计算机配置与自定义安全模板不相符的内容 通过组策略部署自定义安全模板 组织单位上审核策略

19、配置回顾回顾学习完本章后，将能够：学习完本章后，将能够：l能够进行审核策略设置能够进行审核策略设置l能够熟练配置日志相关选项能够熟练配置日志相关选项l能够查看安全日志能够查看安全日志l能够排除日志设置中常见问题能够排除日志设置中常见问题随堂练习随堂练习1 你是公司的网络管理员。网络包含两个属于一个林的两个你是公司的网络管理员。网络包含两个属于一个林的两个活动目录域构成。每个域的功能级别为活动目录域构成。每个域的功能级别为windows 2000 混合混合。你的工程部有。你的工程部有3000名员工。工程人员用户是不同全局组名员工。工程人员用户是不同全局组的成员。公司计划开设一个新的办公室让工程人

20、员测试产的成员。公司计划开设一个新的办公室让工程人员测试产品。新办公室需要连接到公司的网络。你要确保工程部的品。新办公室需要连接到公司的网络。你要确保工程部的新用户账户具有使用远程访问访问网络的权限。你要使管新用户账户具有使用远程访问访问网络的权限。你要使管理花费最少。首先你创建了工程部用户的模板账户。你还理花费最少。首先你创建了工程部用户的模板账户。你还需要哪两步操作？需要哪两步操作？a.修改设计架构，选中office和street的“索引活动目录中的属性”复选框b.修改设计架构，选中组属性的“索引活动目录中的属性”复选框c.手动在每个新创建的用户账户中添加允许“远程访问”权限d.手动添加新

21、创建的用户账户的组关系e.将组关系信息添加到模板账户中f.在模板账户中添加允许“远程访问”权限随堂练习随堂练习2 你是活动目录域你是活动目录域的管理员。网络中只有一个的管理员。网络中只有一个域，所有服务器安装域，所有服务器安装windows server 2003系统。你安系统。你安装了一台新的服务器装了一台新的服务器server6。你在。你在server6上安装应上安装应用程序。由于用程序。由于server6的的ntfs权限控制过于严格，程权限控制过于严格，程序无法启动。你使用应用程序生产商提供模板修改序无法启动。你使用应用程序生产商提供模板修改ntfs权限。但在安装了一个更新后。该应用程序

22、再权限。但在安装了一个更新后。该应用程序再次不能使用。你要恢复到原来的系统安全级别。你次不能使用。你要恢复到原来的系统安全级别。你应当将哪个模板导入应当将哪个模板导入server6的本地安全策略？的本地安全策略？a. syssetup.inf 模板模板. b. profsec.inf 模板模板. c. defltsv.inf 模板模板. d. netserv.inf 模板模板随堂练习随堂练习3 你是活动目录域你是活动目录域的管理员。网络中只有一的管理员。网络中只有一个域，所有服务器安装个域，所有服务器安装windows server 2003系统。系统。所有的客户计算机安装所有的客户计算机安装

23、windows xp professional。一个员工的计算机的一个分区使用一个员工的计算机的一个分区使用ntfs分区。他分区。他在计算机上创建了在计算机上创建了data.doc文件。他想要共享该文文件。他想要共享该文件。他分配给域用户安全组该文件的读权限。他件。他分配给域用户安全组该文件的读权限。他将文件移动到共享文件夹将文件移动到共享文件夹file1 中。中。file1的权限为的权限为users组组-读权限，读权限，managers组组-修改权限。另一位经修改权限。另一位经理试图编辑文件时，提示错误信息。你应当如何理试图编辑文件时，提示错误信息。你应当如何做？做？a.选择文件夹file1

24、的“replace permission entries on all child objects with entries shown here that apply to child objects”选项b.选择文件夹file1的“inherit from parent the permission entries that apply to child objects. include these with entries explicitly defined here”选项。c.使用secedit.exe导入模板rootsec.infd.使用secedit.exe导入模板hisecws.inf随堂练习随堂练习4 你是活动目录域你是活动目录域的管理员。网络中只有一个的管理员。网络中只有一个域，所有服务器安装域，所有服务器安装windows server 2003系统。所有系统。所有的客户计算机安装的客户计算机安装windows xp professional。你在一。你在一台名为台名为server2的的windows server 2003计算机上安装了计算机上安装了软件更新服务（软件更新服务（sus）。你想要所有的客户计算机）。你想要所有的客户计算机从从se