组策略磁盘管理和网络测试

1、组策略磁盘管理和网络测试本地与非本地组策略 存储在域控制器中的非本地组策略对象只能在Active Directory环境下使用。它们适用于组策略对象所关联的站点、域或组织单位中的用户和计算机。本地组策略对象存储在各个本地计算机上。一台计算机上只存储一个本地组策略对象，而且它有一个在非本地组策略对象中可用的设置子集。如果二者的设置发生冲突，非本地组策略对象的设置能覆盖本地组策略对象的设置。如果不冲突，则都可以应用。使用组策略，我们可以对用户工作环境状态只定义一次，然后靠系统实施管理员定义的策略，对用户和计算机进行管理。一、组策略安全概述组策略包括应用于域或计算机组的大量安全权限配置文件。一个组策

2、略对象可以应用到局域网内的所有计算机。单个计算机启动时，组策略得以应用，如果作出改动时没有重新启动计算机，组策略会得到定期刷新。1、组策略工作原理组策略与Active Directory用户中的域和文件夹以及MMC管理单元相关联。组策略授予的权限应用到存储于该文件夹中的计算机上。使用Active Directory站点和服务管理单元还可将组策略应用到站点。子文件夹从父文件夹继承组策略，子文件夹也可能依次有自己的组策略对象。指派给一个文件夹的组策略可能不止一个。 组策略是安全组的补充，可以将单一安全配置文件应用到多台计算机上。它加强了一致性并易于管理。组策略对象包含实现多种类型安全策略的权限和参

3、数。 总之，组策略可由父站点传递到子站点和局域网。如果将一个特定组策略指派给高级的父站点，这个组策略会应用到父等级以下所有站点，包括每个容器中的用户和计算机对象。2、组策略的安全设置位于组策略对象“安全设置”节点的容器包括：账户策略、本地策略、事件日志、受限组、系统服务、注册表、文件系统、公钥策略、Active Directory中的网际协议安全策略等。有些策略只应用于域的范围，也就是说，策略设置是在域范围内进行的。例如账户策略一律应用于域内的所有用户账户。不能为同一域内的不同部门定义不同账户策略。至于安全策略范围，账户策略和公钥策略都具有域范围。所有其它策略范围都可在部门等级设定。3、安全模

4、板Windows 2000为在网络环境设置中的使用提供了一套安全模板。“安全模板”是Windows 2000域控制器、服务器或客户计算机上适合某一特定安全等级的安全设置配置文件。例如，hisecdc模板包括适合高安全性域控制器的设置。可以把安全配置文件导入组策略对象并把它应用到一个等级的计算机上。把安全配置文件导入个人数据库用来检查和配置本地计算机的安全策略。二、实施组策略安全管理在Windows 2000局域网中实施安全管理应分别从服务器和工作站两方面进行。首先应在服务器上安装活动目录服务，然后在域上实施组策略；其次应将工作站置于服务器所管理的域中。1、启动活动目录服务在“程序管理工具配置服

5、务器”选项中，选定左边的“Active Directory”，启动活动目录安装向导。 设置过程中关键是要将服务器设置为第一个域目录树，DNS域名输入ISP提供的域名，若不连接国际互联网，也可任意设定。2、打开组策略控制台启动“Active Directory目录和用户”项，在右面对象容器树中的根目录上单击右键，然后单击“属性”项，在新打开的窗口中单击“组策略”选项卡，即可打开组策略控制台。3、设置组策略Windows 2000组策略有100多个与安全有关的设置和450多个基于注册表的设置，为管理用户计算机环境提供了众多的选项，某一选项一旦被设置将会作用于登录到域上的所有用户和工作站。这里将几个

6、常用策略的设置步骤作介绍，作为策略设置的参考：（1）、启用“登录屏幕”上不显示上次登录的用户名这一选项可以保护用户账号的安全，阻止账号盗用行为的发生。该选项所处位置按照“计算机配置安全设置本地策略安全选项”的顺序查找，双击该选项，选择“启用”。当用户下次登录域时，该项策略将被应用在用户操作的工作站上。（2）、启动“活动桌面墙纸”使用此选项，局域网上登录域的所有计算机将使用同一桌面墙纸，并且不能被更改。因此，可以通过这一项策略的设置，防止临时用户随意更换桌面墙纸，使局域网中的工作站具有相同的界面。该选项所处的位置是“用户配置管理模板桌面活动桌面”。总结： 综合应用Windows 2000的账号安

7、全、组策略安全和文件夹权限等安全属性，可以很好地保护局域网中各工作站的安全。同时，使用账号安全属性对系统文件进行保护，还可对病毒的破坏起到防范作用。第二讲 RAID介绍 RAID，为Redundant Arrays of Independent Disks的简称，中文为廉价的磁盘冗余阵列，或简称磁盘阵列。 简单的说，RAID是一种把多块独立的硬盘（物理硬盘）按不同的方式组合起来形成一个硬盘组（逻辑硬盘），从而提供比单个硬盘更高的存储性能和提供数据备份技术。组成磁盘阵列的不同方式成为RAID级别（RAID Levels）。数据备份的功能是在用户数据一旦发生损坏后，利用备份信息可以使损坏数据得以恢

8、复，从而保障了用户数据的安全性。在用户看起来，组成的磁盘组就像是一个硬盘，用户可以对它进行分区，格式化等等。总之，对磁盘阵列的操作与单个硬盘一模一样。不同的是，磁盘阵列的存储速度要比单个硬盘高很多，而且可以提供自动数据备份。RAID技术的发展 RAID技术的两大特点：一是速度、二是安全，由于这两项优点，RAID技术早期被应用于高级服务器中的SCSI接口的硬盘系统中，随着近年计算机技术的发展，机的CPU的速度已进入GHz 时代。IDE接口的硬盘也不甘落后，相继推出了ATA66和ATA100硬盘。这就使得RAID技术被应用于中低档甚至个人机上成为可能。RAID通常是由在硬盘阵列塔中的RAID控制器

9、或电脑中的RAID卡来实现的。 RAID技术经过不断的发展，现在已拥有了从 RAID 0 到 6 七种基本的RAID 级别。另外，还有一些基本RAID级别的组合形式，如RAID 10（RAID 0与RAID 1的组合），RAID 50（RAID 0与RAID 5的组合）等。不同RAID 级别代表着不同的存储性能、数据安全性和存储成本。但我们最为常用的是下面的几种RAID形式。 (1) RAID 0 RAID 0又称为Stripe（条带化）或Striping，它代表了所有RAID级别中最高的存储性能。RAID 0提高存储性能的原理是把连续的数据分散到多个磁盘上存取，这样，系统有数据请求就可以被多

10、个磁盘并行的执行，每个磁盘执行属于它自己的那部分数据请求。这种数据上的并行操作可以充分利用总线的带宽，显著提高磁盘整体存取性能。RAID 0从理论上讲，上图中三块硬盘的并行操作使同一时间内磁盘读写速度提升了3倍。 但由于总线带宽等多种因素的影响，实际的提升速率肯定会低于理论值，但是，大量数据并行传输与串行传输比较，提速效果显著显然毋庸置疑。RAID 0的缺点是不提供数据冗余，因此一旦用户数据损坏，损坏的数据将无法得到恢复。RAID 0具有的特点，使其特别适用于对性能要求较高，而对数据安全不太在乎的领域，如图形工作站等。对于个人用户，RAID 0也是提高硬盘存储性能的绝佳选择。 (2) RAID

11、 1 RAID 1又称为Mirror或Mirroring（镜像），它的宗旨是最大限度的保证用户数据的可用性和可修复性。 RAID 1的操作方式是把用户写入硬盘的数据百分之百地自动复制到另外一个硬盘上。 RAID1 如上图所示：当读取数据时，系统先从RAID 0的源盘读取数据，如果读取数据成功，则系统不去管备份盘上的数据；如果读取源盘数据失败，则系统自动转而读取备份盘上的数据，不会造成用户工作任务的中断。当然，我们应当及时地更换损坏的硬盘并利用备份数据重新建立Mirror，避免备份盘在发生损坏时，造成不可挽回的数据损失。 由于对存储的数据进行百分之百的备份，在所有RAID级别中，RAID 1提供

12、最高的数据安全保障。同样，由于数据的百分之百备份，备份数据占了总存储空间的一半，因而Mirror(镜像)的磁盘空间利用率低，存储成本高。 Mirror虽不能提高存储性能，但由于其具有的高数据安全性，使其尤其适用于存放重要数据，如服务器和数据库存储等领域. (3) RAID 0+1正如其名字一样RAID 0+1是RAID 0和RAID 1的组合形式，也称为RAID 10。 RAID 0+1 由于RAID 0+1也通过数据的100%备份功能提供数据安全保障，因此RAID 0+1的磁盘空间利用率与RAID 1相同，存储成本高。 RAID 0+1的特点使其特别适用于既有大量数据需要存取，同时又对数据安

13、全性要求严格的领域，如银行、金融、商业超市、仓储库房、各种档案管理等。(4) RAID 3 RAID 3是把数据分成多个“块”，按照一定的容错算法，存放在N+1个硬盘上，实际数据占用的有效空间为N个硬盘的空间总和，而第N+1个硬盘上存储的数据是校验容错信息，当这N+1个硬盘中的其中一个硬盘出现故障时，从其它N个硬盘中的数据也可以恢复原始数据，这样，仅使用这N个硬盘也可以带伤继续工作（如采集和回放素材），当更换一个新硬盘后，系统可以重新恢复完整的校验容错信息。由于在一个硬盘阵列中，多于一个硬盘同时出现故障率的几率很小，所以一般情况下，使用RAID3，安全性是可以得到保障的。与RAID0相比，RA

14、ID3在读写速度方面相对较慢。使用的容错算法和分块大小决定RAID使用的应用场合，在通常情况下，RAID3比较适合大文件类型且安全性要求较高的应用，如视频编辑、硬盘播出机、大型数据库等. (5) RAID 5RAID 5 是一种存储性能、数据安全和存储成本兼顾的存储解决方案。 以四个硬盘组成的RAID 5为例，其数据存储方式如图4所示：图中，P0为D0，D1和D2的奇偶校验信息，其它以此类推。由图中可以看出，RAID 5不对存储的数据进行备份，而是把数据和相对应的奇偶校验信息存储到组成RAID5的各个磁盘上，并且奇偶校验信息和相对应的数据分别存储于不同的磁盘上。当RAID5的一个磁盘数据发生损

15、坏后，利用剩下的数据和相应的奇偶校验信息去恢复被损坏的数据。RAID5RAID 5可以理解为是RAID 0和RAID 1的折衷方案。RAID 5可以为系统提供数据安全保障，但保障程度要比Mirror低而磁盘空间利用率要比Mirror高。RAID 5具有和RAID 0相近似的数据读取速度，只是多了一个奇偶校验信息，写入数据的速度比对单个磁盘进行写入操作稍慢。同时由于多个数据对应一个奇偶校验信息，RAID 5的磁盘空间利用率要比RAID 1高，存储成本相对较低。 RAID级别的选择有三个主要因素：可用性（数据冗余）、性能和成本。如果不要求可用性，选择RAID0以获得最佳性能。如果可用性和性能是重要

16、的而成本不是一个主要因素，则根据硬盘数量选择RAID 1。如果可用性、成本和性能都同样重要，则根据一般的数据传输和硬盘的数量选择RAID、RAID。IP网络测试的内容1 建立测试文档2 网络吞吐量测试 3 网络负载能力测试4 网络流量分析 5 网络安全性能检查 6 网络设备（硬件）测试 7 网络故障诊断服务8 网络协议分析 常用的网络测试命令：一、Ping命令Ping是测试网络联接状况以及信息包发送和接收状况非常有用的工具，是网络测试最常用的命令。Ping向目标主机(地址)发送一个回送请求数据包，要求目标主机收到请求后给予答复，从而判断网络的响应时间和本机是否与目标主机(地址)联通。如果执行P

17、ing不成功，则可以预测故障出现在以下几个方面：网线故障，网络适配器配置不正确，IP地址不正确。如果执行Ping成功而网络仍无法使用，那么问题很可能出在网络系统的软件配置方面，Ping成功只能保证本机与目标主机间存在一条连通的物理路径。ping命令格式：ping IP地址或主机名 -t -a -n count -l size 参数含义： -t 不停地向目标主机发送数据；-a 以IP地址格式来显示目标主机的网络地址 ；-n count 指定要Ping多少次，具体次数由count来指定 ；-l size 指定发送到目标主机的数据包的大小。例如当不能访问Internet时，首先想确认是否是本地局域网

18、的故障。假定局域网的代理服务器IP地址为202.168.0.1，就可以使用Ping 202.168.0.1命令查看本机是否和代理服务器联通。又如，测试本机的网卡是否正确安装的常用命令是ping 127.0.0.1。Tracert命令三、Netstat命令 Netstat命令可以帮助网络管理员了解网络的整体使用情况。它可以显示当前正在活动的网络连接的详细信息，例如显示网络连接、路由表和网络接口信息，可以统计目前总共有哪些网络连接正在运行。 利用命令参数，命令可以显示所有协议的使用状态，这些协议包括TCP协议、UDP协议以及IP协议等，另外还可以选择特定的协议并查看其具体信息，还能显示所有主机的端口号以及当前主机的详细路由信息。 Netstat命令格式：netstat -r -s -n -a 参数含义：-r 显示本机路由表的内容；-s 显示每个协议的使用状态(包括TCP协议、UDP协议、IP协议)；-n 以数字表格形式显示地址和端口；-a 显示所有主机的端口号。Netstat命令四、Wi