1 网络管理与运维

东华大学计算机科学与技术学院-1-网络管理与运维潘乔东华大学计算机学院245室Tel：67792291Email：panqiao@dhu.edu.cn东华大学计算机科学与技术学院-2-教学计划安排开课周次：（9－16周）周一：3-4节周三：3-4节上课地点：1号学院楼242机房东华大学计算机科学与技术学院-3-考试成绩计算平时考勤占10%上机实验＋报告占60%期终（大实验）占30%东华大学计算机科学与技术学院-4-参考资料：网络理论基础《计算机网络(第四版)》AndrewS.Tanenbaum，清华大学出版社《计算机网络(第五版)》谢希仁，电子工业出版社网络实践参考全国信息技术高级人才水平考试----网络网站工程师MCSE、HCSE认证非常网管---企业网络安全实战指南网络资源！－－－了解最新的信息东华大学计算机科学与技术学院-5-教学内容一.网络管理与维护本地用户和组的管理文件系统管理磁盘管理域和AD配置主要网络应用服务器DNSDHCPE-mail服务器SNMP二.企业网管理实践企业网络安全管理东华大学计算机科学与技术学院-6-Windows操作系统客户端服务器serverWin3.XWin95Win98Win2000professionalWinXPWinVistaWinNTWin2000serverWin2000adv.serverWinserver2003Winserver2008单用户操作系统多用户操作系统Win7东华大学计算机科学与技术学院-7-本地用户和组的管理1、本地用户的管理2、组的管理3、账户的安全管理东华大学计算机科学与技术学院-8-概述网络管理员要管理的对象是什么？各种资源（如计算机、文件、打印机等）使用这些资源的人（即用户和组）如何管理用户和组？东华大学计算机科学与技术学院-9-在Windows网络操作系统里，当一台计算机连入网络中，我们一般将其配置成工作组模式和域模式中的一种工作模式。工作组模式：每台计算机自己管理自己，如果用户要访问和使用工作组模式下的任何一台计算机需要输入该计算机的本地账户。域模式：网络中的计算机受到域控制器的集中管理，和工作组模式不同的是，访问和使用域中的任何一台计算机只需要一个域账户就可以了账户用户练习：如何查看自己的计算机的工作模式？东华大学计算机科学与技术学院-10-因此，用户和组的管理也被分为：本地用户和组域用户和组工作组模式域模式每个用户都需要有一个账户，以便登录到域访问该域中的资源或登录到某台计算机访问该机上的资源。本地账户用来登录到某台计算机；域账户用来登录网络，组是用户账户的集合，管理员通常通过组来对用户的权限进行设置从而简化了管理。东华大学计算机科学与技术学院-11-本地用户和组的管理1、本地用户的管理2、组的管理3、账户的安全管理东华大学计算机科学与技术学院-12-1、本地用户的管理账户由一个账户名和一个密码组成，二者都需要用户在登录时键入。账户名是用户的文本标签，密码则是用户的身份验证字符串。这些都存储在计算机中，是WindowsServer2003网络上的个人唯一标识。安全标识符SID（SecurityID）每个账户在创建的时候都会有一个SID，Windows不是根据账户名来识别用户，而是根据SID来识别用户的访问权限等。SID是在创建账户是随机产生的。如果SID不一样，就算账户名和密码都设置成一样，Windows仍认为是不同的账户，其访问权限是不同的。思考：如果将一个已有的账户删除，在重新创建一个一样的账户，其访问权限和原来那个账户一样吗？1.1基本概念东华大学计算机科学与技术学院-13-账户名的命名规则账户名必须唯一，且不分大小写。用户的名最多可包含20个大小写字符和数字，输入时可超过20个字符，但只识别前20个字符。不能使用保留字符：”/\[]:;|＝,＋*？用户名可以是字符和数字的组合。用户名不能与组名相同。东华大学计算机科学与技术学院-14-密码设置规则必须为Administrator账户分配密码，防止未经授权就使用管理员账户。明确是管理员还是用户管理密码，最好用户管理自己的密码。密码的长度在8～128之间。存储在SAM数据库中。使用不易猜出的字母组合。例如不要使用用户的名字，生日，家庭成员的名字。密码可以使用大小写字母、数字和其他合法的字符。空密码的安全性东华大学计算机科学与技术学院-15-东华大学计算机科学与技术学院-16-小结：本地账户的特点1.本地创建2.本地存储一般存储在％systemroot％/system32/config/SAM里注：％systemroot％代表的是系统根目录，即windows2003中C:\windows3.本地使用东华大学计算机科学与技术学院-17-1、本地用户的管理新建/删除账户更改账户名和密码禁用/激活账户1.2本地用户的管理东华大学计算机科学与技术学院-18-工作案例1：公司的一台电脑是由小王使用管理，但有时同事小张也会用他的电脑，小王不想让小张和他一样对计算机进行诸如安装/删除软件、格式化磁盘等操作。于是小王可以在自己的计算机上为小张新建一个普通帐户，并设置相应的权限，当小张要登录计算机时，就必须用他自己的账户登陆，并只能完成允许的操作。如何新建一个账户东华大学计算机科学与技术学院-19-操作方法：开始菜单－－控制面板－－管理工具－－计算机管理－－本地用户和组如何新建一个账户东华大学计算机科学与技术学院-20-内置账户当系统安装完毕后，系统会在服务器上自动创建一些内置账户，系统经常使用的内置账户有Administrator和Guest等。东华大学计算机科学与技术学院-21-在“用户”上右击，选择“新用户”东华大学计算机科学与技术学院-22-弹出“新用户”的对话框，设置用户信息东华大学计算机科学与技术学院-23-在命令行模式下：netuser可以完成用户名的添加或删除等功能东华大学计算机科学与技术学院-24-注：必须具有本地计算机管理员的权限，才可以创建新账户。练习：使用刚刚建立的用户账户登陆，看能否创建新账户东华大学计算机科学与技术学院-25-工作案例2：小张不再在公司任职了，为了防止其他人使用该账户，应该删除该账户。如何删除一个账户东华大学计算机科学与技术学院-26-在帐户上点右键，菜单中选“删除”注：帐户删除后，不可能再恢复。东华大学计算机科学与技术学院-27-1、本地用户的管理新建/删除账户更改账户名和密码禁用/激活账户1.2本地用户的管理提示：只有管理员才有权限更改其他用户的账户名和密码东华大学计算机科学与技术学院-28-更改账户名右击该账户，选择“重命名”选项，输入新名字东华大学计算机科学与技术学院-29-工作案例3：用户小张不小心忘记了自己账户的密码，不能登陆系统了。于是，他请管理员小王为他更改密码。如何更改密码东华大学计算机科学与技术学院-30-东华大学计算机科学与技术学院-31-工作案例4：因为意外的原因，系统管理员密码被他人知道了，这个时候需要进行更改密码的操作。有两种方法更改密码方法一、管理员修改东华大学计算机科学与技术学院-32-方法二、用户自己修改如果用户在知道密码的情况下想更改密码，登录后按Ctrl+Alt+Del键，输入正确的旧密码，然后输入新密码即可。东华大学计算机科学与技术学院-33-何时需要重置用户密码当用户忘记密码or密码外泄重置密码后，用户将不能再访问以下类型的信息：使用用户公钥加密的E-mail在本地计算机上保存的Internet密码用户加密的文件东华大学计算机科学与技术学院-34-1、本地用户的管理新建/删除账户更改账户名和密码禁用/激活账户1.2本地用户的管理东华大学计算机科学与技术学院-35-工作案例5：小张要出差一个月，在这期间他用来登录系统的帐户应该停止使用，以免有其他人盗用。此时可以禁用该帐户，当他回来后，再重新激活。如何禁用/激活账户东华大学计算机科学与技术学院-36-右击帐户，点选属性－－在对话框中选中“账户已禁用”复选框，如图所示，单击“确定”按钮，该账户即被禁用。如果要重新启用某账户，只要取消选中“账户已禁用”复选框即可。东华大学计算机科学与技术学院-37-右击帐户，点选属性－－在对话框中选中“账户已禁用”复选框，如图所示，单击“确定”按钮，该账户即被禁用。如果要重新启用某账户，只要取消选中“账户已禁用”复选框即可。东华大学计算机科学与技术学院-38-本地用户和组的管理1、本地用户的管理2、组的管理3、账户的安全管理东华大学计算机科学与技术学院-39-2、组的管理1.什么是组“组”是为了方便管理大量用户的权限而设计的。当我们要给一批用户分配同一个权限时，就可以将这些用户都归到一个组中，只要给这个组分配此权限，组内的用户就都会拥有此权限。2.1基本概念例如，财务处的员工可以需要访问网络中所有与财务相关的资源。这时不用逐个向该部门的员工授予对这些资源的访问权限，而是可以建立一个财务组，让这些员工的帐户都成为财务组的成员，使这些用户自动获得财务组的权限。如果某个用户日后调往另一部门，只需将该用户从财务组中删除，加入到另一部门的用户组中即可。东华大学计算机科学与技术学院-40-2、组的管理2.1基本概念东华大学计算机科学与技术学院-41-2、组的管理WindowsServer2003也使用唯一安全标识符SID来跟踪组。权限的设置都是通过SID设置的，不是利用组名。2.1基本概念东华大学计算机科学与技术学院-42-与用户账户一样，根据WindowsServer2003服务器的工作组模式和域模式，组分为本地组和域组。本地组：创建在本地的组账户。可以在WindowsServer2003／2000／NT独立服务器或成员服务器、WindowsXP、WindowsNTWorkstation等非域控制器的计算机上创建本地组。这些组账户的信息被存储在本地安全账户数据库（SAM）内。本地组只能在本地机使用，它有两种类型：用户创建的组和系统内置的组域组：该账户创建在WindowsServer2003的域控制器上，组账户的信息被存储在ActiveDirectory数据库中，这些组能够被使用在整个域中的计算机上。2．组的类型东华大学计算机科学与技术学院-43-系统内置的组安装WindowsServer2003操作系统时，系统自动建立的用户组东华大学计算机科学与技术学院-44-Administrators组：在系统内有最高权限，拥有赋予权限，添加系统组件，升级系统，配置系统参数（如注册表的修改），配置安全信息等权限。内置的系统管理员账户是Administrators组的成员BackupOperators组：它是所有WindowsServer2003都有的组，可以忽略文件系统权限进行备份和恢复，可以登录系统和关闭系统，可以备份加密文件。Guests组：内置的Guest账户是该组的成员。PowerUsers组：存在于非域控制器上，可进行基本的系统管理，如共享本地文件夹、管理系统访问和打印机、管理本地普通用户；但是它不能修改Administrators组、BackupOperators组，不能备份／恢复文件，不能修改注册表。内置组的权限东华大学计算机科学与技术学院-45-RemoteDesktopUsers组：该组的成员可以通过网络远程登录。Users组：是一般用户所在的组，新建的用户都会自动加入该组对系统有基本的权力，如运行程序，使用网络，不能关闭WindowsServer2003，不能创建共享目录和本地打印机。如果这台机加入到域，则域的域用户自动被加入到该组的Users组。NetworkConfigurationOperators组：该组内的用户可在客户端执行一般的网络配置，例如更改IP，但不能添加/删除程序，也不能执行网络服务器的配置工作。东华大学计算机科学与技术学院-46-提示：⑴新创建用户，默认属于“Users”组。⑵出于安全考虑，服务器管理员平时不建议使用“Administrator”帐户登录；而应该新建一