第十三章：IIS
IIS:Internet Information Server互连网信息服务器，可以通过IIS建立四种服务器，WWW万维网服务TCP80;FTP文件传输协议TCP21;SMTP简单邮件传输协议TCP25;NNTP网络新闻组协议TCP119
一如何建立WEB Server?
需求：
1IP地址：动态IP和静态IP，由于动态IP不稳定，所以建立WWW时，一般不采用动态IP，个人网站可以使用动态IP（ADSL拨号获得的IP），企业中一般使用静态IP建立WWW服务器，而且出于安全性考虑使用内网私有IP地址比较好（需要进行NAT或端口映射进行IP地址的转化）
2建立WEB服务的组件，IIS和Apache,IIS是Windows系统的WEB组件，Apache是linux的WEB组件，Apache也有在Windows下的版本
3网页，.html  .asp  .jsp  .php 在Windows IIS上可以支持.html 和.asp的网页。
目前比较流行的架站模块有Windows+IIS+ASP+SQL;Linux+Apache+Mysql+Php
通过Windows+IIS+Html建立简单的静态网页站点
当安装完IIS6.0后系统就会出现默认站点，可以通过http://127.0.0.1和http://localhost访问，默认站点的网页主目录C:\Inetpub\wwwroot，强烈推荐大家把默认主目录更换位置到非系统盘中
二建立简单的WEB Server
1利用计算机的IP地址192.168.1.x建立一个WEB服务器，服务器的主目录在E:\wwwroot\testweb中，主页名为default.htm
*&*注意：建立网站时的“全部未分配IP”表示当前计算机上所有的网卡上所有的IP地址，使用“全部未分配IP”表示是默认站点，主要应用在ADSL拨号中（ADSL拨号中IP地址经常改动，所以为了方便可以将站点IP设置为“全部未分配IP”）
2在一台服务器上通过多个IP地址建立WWW虚拟主机,更改端口建立WWW虚拟主机（在一台物理计算机上通过多个IP地址或其他的方式建立多个站点，客户端访问时认为是多个服务器建立的站点）
3建立真实目录的站点和虚拟目录的站点，所谓真实目录就是在WEB服务器的主目录中有其他的子目录，而且子目录中也存在网页，可以通过浏览器访问到该站点的子目录中的网页（例如：建立了一个站点，站点的主目录为E:\inetpub\wwwroot,而在此目录中还有一个file子目录，且E:\inetpub\wwwroot\file目录中有一个default.htm的网页，此时可以通过访问http://192.168.0.x看到原来的主目录中的网页，也可以通过访问http://192.168.0.x/file看到子目录中的网页）；虚拟目录是在建立站点时，将服务器中其他目录中的网页作为站点的下一层访问路径，访问方式和真实目录的方法一样，但是该目录的位置可以是任何位置，虚拟目录向访问的用户隐含了真实的路径，所以要比真实目录安全和方便
4HTTP下载：通常的下载方式为FTP，但是现在在网络中比较流行的一种下载就是http方式的下载，通过站点“浏览”权限的添加就可以实现此类下载。（如果文件格式可以通过浏览器直接打开则不弹出下载对话框，所以为了节省磁盘空间以及方便性考虑，将文件类型设置为.rar压缩格式比较好）
5URL重定向：当一个网站在维护或者不可用情况下，将当前网站的地址跳转到另外一个正常运行的网站（A跳转到B,B不要再跳转的A，这样就是死循环）
6动态站点需要将“WEB服务扩展”开启，比如说asp站点就需要允许asp访问
7客户端访问的安全性可以通过站点上的IP以及域名限制完成（站点的访问控制列表ACL）
8用户访问的安全性：站点的访问分为匿名用户访问和系统帐户访问，如果是匿名访问时，客户机使用服务器上IUSER_computername帐户进行访问，如果是系统帐户访问，则是采用操作系统上的用户帐户进行访问
实验：
建立一个站点http://192.168.1.x;只能允许计算机上的本地用户帐户访问，而不允许匿名访问，建立另一个站点http://192.168.1.y;允许匿名访问，同时http://192.168.1.y/china虚拟目录中只允许本地帐户administrator和jackal和tom进行访问可以看到网页内容
9WWW日志的使用，查看当前网站的访问量，以及客户机的Ip地址和进行的操作，“%systemroot%\system32\LogFiles"，文件名以年月日起名
10自定义错误：当客户访问网站时，如果因为错误没有访问到网页内容，应该返回客户消息，错误消息的返回通过http网页返回
11WWW的备份与还原:服务器全部网站配置的备份和单一站点配置的备份
12启用页脚文档：在网页的下部显示另外的一些信息，通常是另外的一个网页
FTP:文件传输协议
一建立FTP需求：
1IP地址（参考WWW建立需求IP地址）
2FTP服务，可以建立FTP的服务有很多，比较知名的有Windows系统上的IIS6.0，Serv-U，Linux系统上的wu-ftp,vs-ftp
3下载主目录（下载文件默认的目录位置）
FTP的类型：
1单端口FTP服务器(现在已经不使用)
2主动FTP服务器(PORT模式FTP)
3被动FTP服务器(Passive模式FTP)
所谓的主动与被动都是指FTP服务器在数据传输时是否是主动，主动FTP服务器采用的端口号为20和21，21端口是状态连接端口，20端口是数据传输端口，在数据传输过程中，数据传输端口永远为20，被动FTP服务器数据在传输过程中采用随机端口，所以它所使用的端口是21和大于1024的端口，21是状态连接端口，随机端口是数据传输端口，同时数据在传输过程中端口在不断变化。
FTP在IIS上也支持主动和被动两种模式，只是Windows系统中FTP客户端是否支持决定了数据在传输时的模式选择，当使用cmd命令行时，只支持主动模式传输，而在linux下的ftp客户端可以直接支持被动模式和主动模式转化，同时默认也是被动模式的，IE6.0也可以支持被动模式的FTP，需要在IE选项选定
设置FTP时，读取权限表示可以进行下载，写入权限表示可以进行上传
实验：
1.通过在2003的IIS上配置服务器，创建一个FTP服务器，访问的方式为ftp://192.168.0.x，通过访问此服务器用户可以下载服务器上C:\2k目录中的文件，但是不能上传.
2.FTP虚拟主机
1).通过在计算机上配置多个IP地址来实现FTP的虚拟主机，当用户访问ftp://192.168.0.x的时候可以下载服务器上C:\2k目录中的文件，当用户访问ftp://192.168.0.y的时候可以下载服务器上C:\net management中的文件，不能上传。
2).在不改变服务器IP和添加服务器IP地址的前提条件下通过更改服务器的端口号来进行配置FTP服务器，使用户访问ftp://192.168.0.x:2121的时候可以下载服务器上C:\TOOL中的文件，但是不能上传。
3.在计算机上通过配置虚拟目录的方式搭建FTP服务器，使用户访问ftp://192.168.0.x/china的时候可以下载服务器上C:\2k目录中的文件，但是任何用户不能够上传；访问ftp://192.168.0.x/china/dl的时候可以下载服务器上E:\documents and settings目录中的文件，也不能上传；用户访问ftp://192.168.0.x/china/dl/wnt的时候可以下载服务器f:\x的文件，也不能上传。
4通过配置服务器ftp://192.168.0.x，禁止匿名用户访问，只允许系统帐户访问，不允许用户上传，最大连接数量限制为2个连接，设置标题为“FTP Server”欢迎消息为“欢迎光临教学资料FTP 服务器下载，您的光临是我们最大的支持！”，设置最大连接数消息“您已经超过了最大的连接数量，现在服务器忙，请稍后再试，谢谢合作！！”，用户退出消息“谢谢惠顾，欢迎下次光临！！”，使用的FTP风格为UNIX的风格！
5配置服务器ftp://192.168.0.y,主目录为F:\ftproot,任何用户不能进行上传只能下载，ftp://192.168.0.y/dl，任何用户可以下载E:\ftp1目录中的文件，同时任何用户都可以进行上传文件，ftp://192.168.0.y/dl/shahekou，任何用户都可以下载服务器上F:\ftp2中的文件，同时用户Jackal可以进行上传文件，其他用户都不能上传文件，ftp://192.168.0.y/dl/shahekou/wanbo，任何用户都可以下载e:\ftp3中的文件，用户tom和jackal可以进行上传文件，并且用户tom可以上传3M文件，jackal用户可以上传5M的文件。
FTP的匿名帐户默认有两个，ftp和anonymous密码可以是空也可以是邮件地址
在命令行中如何访问改变端口的FTP服务器
ftp
open
192.168.1.234 2121
FTP的权限：FTP站点有权限，同时ftp主目录如果在NTFS文件夹中，那么ftp主目录也可能有权限，最终访问的权限取决于FTP站点权限和NTFS权限中最小的权限
IIS6.0FTP隔离用户
使用隔离用户可以设置用户访问FTP服务器时是否可以切换主目录
需要在下载主目录FTPROOT目录中创建一个localuser子目录，在子目录中再创建public和与用户名相同的同名子目录，比如d:\ftproot\localuser\administrator
d:\ftproot\localuser\jackal
d:\ftproot\localuser\public
public表示任何用户都可以访问的公用目录，administrator目录表示管理员使用的目录，jackal目录表示jackal用户的下载主目录
如果创建域中的隔离用户需要在FTP根目录创建与每个域同名的子目录比如在dl.net中创建FTP服务器,需要在主目录中ftp中创建\dl目录
e:\ftp\dl\jackal
e:\ftp\dl\tom
当用户访问时主动访问到目录
FTP服务器的备份与还原（参考WWW备份）
重新启动服务器，重启FTP服务ftp publishing service

 

 

DNS&WWW
1. 某公司的域名为wnt.com.
2. 公司只有两台服务器其中一台为DNS服务器，另一台为WWW服务器。
3. 需要在服务器上建立两个WEB站点：www.wnt.com和qqq.wnt.com
4. 在F:/Interpub/wwwroot文件夹中建立两站点的主目录分别为“www”和“qqq”。
5. 分别为两个站点创建不同的主页名称均为Default.html.
6. 通过适当的配置，实现在客户机IE浏览器中输入站点的DNS名称，对两个站点进行访问。

 

A       如果要求在一个WWW服务器上建立WEB站点，并且此服务器只能有一个IP地址的情况下，但是可以提供两个站点的访问，请问可以用什么方式建立站点？（两种方式）
B       如果可以在此服务器上有多个IP地址，那么怎么样建立虚拟服务器？
C       如果想让用户通过此HTTP的方式下载D:/Document And Settings目录下的内容，怎么样建立虚拟目录？通过主机头方式以http://www.wnt.com/download访问站点时用户可以下载F:\down目录中的所有文件
D       禁止来自202.96.69.0网络中的主机来访问站点www.wnt.com,只允许来自192.168.0.0的网络和来自192.168.1.2的主机来访问站点qqq.wnt.com
E       CERTSRV&WWW
1). DNS服务器同时为证书服务器，要求在WWW服务器，建立SSL安全通信
2). 客户机没有证书不能访问WWW站点
3). 只能通过HTTPS方式来访问

 

一.共享文件夹：
1创建共享文件夹：Administrators或Power Users组用户可以创建共享文件夹
2如何创建共享文件夹：图形化方式；字符界面下创建net share命令
3文件名和共享名是不同的，文件名是本地访问时用户所看到的文件的名称，共享名是网络上用户访问时看到的文件的名称，同时单一的文件是无法进行共享的，只能够将文件放置在共享文件夹中实现共享
4查看共享：图形化和字符查看（计算机管理控制台中可以查看或使用net share命令查看）
5net share命令的使用：创建共享net share 共享名=文件路径文件名;例如：net share xyz=f:\abc      删除共享 net share xyz /del
6共享查看时可以通过fsmgmt.msc和使用net share命令查看，以"$"结尾的共享表示隐含共享（当使用这种共享时，是无法在网络上查看到的，只能在本机上查看），默认情况下，系统上每个磁盘根目录都会自动被隐含共享C$等等，admin$为了管理目的创建的共享；IPC$进程间通信管理的共享；print$打印机驱动程序共享，用户可以通过将共享文件夹的共享名后加一个“$”实现隐含共享
7共享的权限：限制用户网络访问
共享权限可以支持FAT32和NTFS文件系统，当文件存在于FAT32文件系统上时，用户通过网络访问该文件夹，只会受到共享权限影响；如果文件存在于NTFS文件系统上时，此时用户访问文件所得到的权限是取决于用户的访问方式：如果用户在本地访问，只受到NTFS权限影响，NTFS权限决定本地用户的访问权限；如果用户通过网络访问，取决于NTFS权限和共享权限的最小权限
8共享的访问：
使用UNC路径\\IP\共享名（\\计算机名\共享名）
使用网络邻居访问
使用映射网络驱动器
9共享设置之后如果运行ICF,那么需要将“文件和打印机共享”开启之后才能让网络用户访问共享文件，或者开启四个端口TCP139和445，UDP137和138
二打印机
连网方式：本地打印机；网络打印机
打印方式：针式；喷墨；激光
接口方式：串并口；USB;RJ-45
打印服务器：连接打印机的计算机或可以配置打印机的计算机被称为是打印服务器
由于公司网络环境中可能客户机的操作系统有所不同，所以打印机的驱动程序也不同，需要的话可以在打印服务器上安装多种打印机的驱动以满足不同客户机的访问和使用
第六章：存储管理
基本存储和动态存储，基本存储使用基本磁盘动态存储使用动态磁盘
一基本存储：分区（主分区，扩展分区，逻辑分区），分区信息是记录在硬盘上的，被称为分区表（一种叫DPT磁盘分区表另一种叫GPT磁盘分区表）
主分区:比较单纯的分区,位于硬盘的最前面一块区域构成逻辑C盘,主分区中不允许创建其他逻辑磁盘，负责操作系统引导
扩展分区:主分区以外的分区都是扩展分区（不是实际的分区,仅仅是指向下一个分区的指针,这种指针结构形成了一个单向链表,在主引导扇区中除了主分区需要存储一个被称为扩展分区的分区,主要目的是为了找到下一个逻辑分区）
逻辑分区:由于DPT硬盘仅为分区表保留了64字节的存储分区信息空间,而每一个分区信息要占用16字节,所以引入了逻辑分区和扩展分区的概念
在一块DPT磁盘上最多能够划分4个主分区，或者三个主分区一个扩展分区,GPT磁盘上可以创建128个主分区（GPT磁盘只在2003_SP1的操作系统上支持）
磁盘的管理和分区的管理都可以通过"计算机管理控制台"完成，或者是diskmgmt.msc磁盘管理控制台完成
磁盘的属性：
磁盘的速度：转速4200转/分钟；5400转/分钟；15000转/分钟，转速越高速度越快
磁盘的接口类型：IDE(集成驱动设备)速度慢，SCSI(小型计算机接口)速度快，ESCSI(增强性SCSI)
磁盘的编号是从0开始作为第一块磁盘的，IDE的磁盘disk(0),SCSI的磁盘scsi(0:0)第一个SCSI接口卡上的第一个硬盘scsi(3:4)第四SCSI卡上的第五块硬盘
当在计算机添加一块新磁盘时，新磁盘需要被进行签名才能使用
*如何在虚拟计算机上添加磁盘
实验：
1在计算机上添加5块SCSI磁盘
2对添加的磁盘进行签名（初始化磁盘）
3在磁盘1上创建四个分区大小均为80M的主分区，X: Y: Z: F:同时X:的卷标为study,Y:卷标为BOOK
4查看是否还能进行分区创建？（不能）
5将刚才创建的四个主分区都删除掉
6将磁盘转化为GPT磁盘，再分区是否可以分5个主分区（可以）
二动态存储
使用动态存储可以将多个磁盘用一个字母驱动器号进行表示，可以进行磁盘数据的冗余和磁盘读写速度的增加
RAID独立冗余磁盘阵列（廉价冗余磁盘阵列）
RAID-0提高磁盘读写速度
RAID-1磁盘数据冗余
RAID-2 RAID-3 RAID-4在实际应用中比较少
RAID-5通过奇偶校验进行数据冗余备份
2003上支持五种动态卷
1简单卷：
只能由一块磁盘构成，当简单卷的文件系统是NTFS的时候可以动态的增加卷长,如果在一块磁盘增加卷长,简单卷类型仍然为简单卷,如果是跨磁盘增加卷长时,简单卷成为跨区卷.
2跨区卷：
由2----32块磁盘构成
数据顺序写入
跨区卷可以动态增加卷长,但是文件系统必须是NTFS
构成跨区卷的磁盘容量大小可以不一致
跨区卷没有冗余,奇偶校验,没有容错
磁盘的有效利用率是100%
3带区卷RAID-0
由2-----32块磁盘构成
每一块磁盘都被分成64K大小的带区
构成带区卷的磁盘容量相同
不能包含操作系统
数据按照带区的顺序写入
没有冗余,奇偶校验,不能容错
写数据的速度大大增快
磁盘的有效利用率为100%
4 镜像卷RAID-1
由2个容量相等磁盘构成
有冗余信息可以容错
其中一块为主盘另一块为辅盘,一个读操作只在主盘上产生,一个写操作会在两个磁盘上产生
可以包含操作系统和引导
磁盘有效利用率为50%
5 RAID-5卷
3----32块磁盘构成
将每一块磁盘划分为若干64K的带区
磁盘大小容量相同
含有奇偶校验可以容错
不能包含操作系统
磁盘的有效利用率大于66%准确的使用率为{(n-1)/n}
一块磁盘损坏可以修复RAID-5,数据可以恢复
写入数据需要计算奇偶校验浪费时间,效率不高
比较五种动态卷：能够容错的是镜像卷和RAID-5卷，浪费磁盘空间也是镜像卷和RAID-5卷，能够将多个磁盘容量聚集在一起的有跨区卷，带区卷，RAID-5
动态卷的数据恢复步骤：
1拔掉坏磁盘
2安装新磁盘
3重建动态卷（镜像卷和RAID-5）
我们所讲的叫软件RAID,而软件RAID性能不如硬件RAID，硬件RAID还可以支持很多RAID类型，RAID-10等等

 

 

 

 

 

 

 

第三章
打开控制面板:“运行”---control
查看计算机名：hostname
不间断电源供应系统：UPS
如何添加许可证：需要首先开启一个licence logging服务，之后再添加
MMC微软管理控制台：可以将很多的管理工具聚集在一起的容器，在系统上是一种扩展名为.msc的文件，打开控制台的命令为mmc
实验操作：
1创建一个new.msc的控制台，将“计算机管理控制台”和“分布式文件系统控制台”添加到new.msc控制台中
2在分布式文件系统控制台中添加一个扩展命令“打开CMD窗口”（%systemroot%\system32代表当前计算机系统盘中windows\system32目录）
MMC有两种模式：作者模式和用户模式
常用的微软控制台
计算机管理控制台compmgmt.msc
2服务管理控制台services.msc：是计算机中所有微软服务的控制和一些软件的服务
workstation服务：工作站服务，非常重要
server服务：文件服务器服务，非常重要
服务之间有相互依存关系，服务的停止不能随便改变，有可能影响到其他的服务的停止；开启服务可以使用net start 服务名；停止服务可以使用net stop 服务名
实验: 了解服务的重要性和作用
1通过更改服务使2003显示XP桌面风格：
打开计算机中的themes 服务，使这个服务自动启动，再将计算机桌面的主题更改为Windows XP
Windows注册表：记录了操作系统上几乎所有硬件和软件的信息，通过注册表的修改可以修改系统配置，是一个二进制文件，对注册表进行修改时需要使用注册表编辑器，（英文），是由五个配置单元组成，配置单元中包含“项”和“子项”和“值”
打开注册表的方法：
regedit.exe和regedt32,在2003系统上这两个命令的效果一样
第四章：本地用户和组
用户帐户包括了用户名和密码，一个计算机可以有多个用户，2003是支持多用户的，（如果两个计算机分别为PC1和PC2,此时PC1上的帐户表示方法：pc1\lily表示PC1上的lily帐户）
帐户分类：本地帐号和域帐号（本地帐号是在本地计算机上存在的，域帐号是存储在域控制器上,本地帐户只能登陆本地计算机，而域帐户可以登陆任何一台域中的计算机）
帐号的分辨是通过帐号的SID号（安全标识符）识别的，通过whoami /user可以查看当前登陆用户的SID
每个用户都有自己的用户配置文件，本地帐户默认的用户配置文件存储在c:\documents and settings中，配置文件的名与用户名相同
实验：用户的创建和用户配置文件的生成
1打开用户和组的管理控制台(lusrmgr.msc)创建一个用户zhang3密码123456Aa;查看用户配置是否已经创建（没有创建）
2以张三用户登陆计算机，发现用户的桌面配置与刚才使用的管理员桌面不同（说明不同的用户配置文件不同）
3以管理员再次登陆计算机，查看用户配置文件是否生成（已经生成，说明用户配置文件是用户登陆计算机后才能生成的）
4在“C:\Documents and Settings\Administrator\桌面”路径下，直接创建一个文件“file”,查看桌面上同步出现文件
5在“C:\Documents and Settings\zhang3\桌面”创建一个文件，会出现张三的桌面上
6All users表示所有用户的配置文件
本地计算机上的内置帐户
Administrator：具有计算机的完全控制权
Guest：允许没有用户名和口令的用户也能访问计算机
为匿名访问IIS和终端服务的用户提供的内置的帐户，如：IUSR_computer _name、IWAM_computer_name、TSInternetUser等
内置帐户不可以被删除但是可以重命名
用户名命名规则：
用户名应为1到20个字符
用户名不能与指定计算机上存放的所有其它用户名或组名相同
用户名不能包含下列字符：* ∧ [] ： ； | = , + * ? <> "
用户名不能只由句点和空格组成
用户的密码策略和用户的属性配置
1下次登陆修改密码
2密码长度策略：用户设置的密码必须符合多少个字符，主要是限制用户在设置密码时为了简单设置空密码或简单密码，从而不安全
3密码复杂性策略：要求用户密码中必须包含大写字母、小写字母、数字和标点符号中任意的三种字符，而且密码中不能包含用户名
4密码最短有效期：密码在设置后几天之内不允许修改
5密码最长有效期：密码最多可以用多少天
6密码历史：系统会记住你以前设过的几个密码，在修改密码时不能修改为曾经被记住的密码
7密码备份，创建密码软盘，当用户密码忘记时，可以通过密码软盘恢复登陆系统
8帐户锁定：防止其他用户猜测密码，当普通用户登陆时，密码输入错误的次数超过帐户锁定的设置，那么帐户就被停用了
本地用户帐户的密码长度最多为127位字符,Win2k3用户名不区分大小写但密码区分大小写
9用户权利指派：不同的用户对计算机操作权力是不同的，有些用户可以对计算机实现关闭计算机，有些用户则不能，总之用户之间的权力是不同的，权力比较低的用户要想实现某中特权就需要用用户权力指派
本地组：包含本地用户的一个集体
组的命名规则：
本地组名不能与被管理的计算机上的其他组名或用户名相同
组名最多 256 个大写或小写字符
组名不能包含下列字符：“ / [ ] : ; | = , + * ? < >
组名不能只由句点 (.) 或空格组成
系统中的内置组：
Administrators:具有对计算机的完全控制权
Backup Operators:备份和还原计算机的文件
Power Users:替代管理员进行计算机的管理工作
Users:可以执行大部分任务,不能修改计算机的配置
Guests:没有用户名的使用者临时使用计算机的组
Network configuration operators:网络配置组
Remote Desktop Users:远程桌面用户组
内置的特殊组
Interactive :任何使用本地计算机的用户
Network:通过网络和计算机相连的所有用户
Everyone:使用计算机和网络的每一个用户
本地组的特点：
1本地组不能添加到另一个本地组
2默认可以创建用户和组的内置组Administrators 和Power Users, Administrators组可以创建和删除内置组以外的组,Power Users只能删除Power Users创建的组
3默认创建的用户隶属于Users组
4一个用户可以同时隶属于多个组且此用户的权力是这两个组权限的叠加
5一个组被删除之后组中的成员不会被删除，无论删除用户还是组，以后再创建的用户和组都和以前删除的用户不同了，因为SID号不同，组也有SID
第五章：文件系统，打印机，共享
什么是文件系统：文件存储的一种格式，如何去管理或使用某种文件系统中存储的文件
常见的文件系统有：FAT,FAT32,NTFS,EXT2,EXT3,CDFS等等，在Windows系统上支持的有FAT,FAT32,NTFS
NTFS文件系统是2003推荐使用文件系统，在2000操作系统上的NTFS是NTFS 5.0;XP操作系统上的是NTFS5.1;2003操作系统上的是NTFS5.2
NTFS优点：
1有效利用磁盘空间：NTFS文件系统的簇最小（簇是文件在硬盘上存储的最小单位）
2NTFS具备压缩功能：利用NTFS文件系统自有的压缩功能，而不使用第三方软件（rar,winzip）,是一种自压缩自解压的功能，采用compact.exe工具进行压缩，如果是已经压缩的文件就不要再压缩了（.rar;.mp3;.zip;.jpeg）,当读取文件时解压缩，写入文件时进行压缩
3NTFS具备加密功能：利用NTFS文件系统自有的加密功能，采用cipher.exe工具进行加密，加密后的文件称为EFS(加密式文件系统)，加密式文件系统是识别用户SID号的（加密后的文件如果在系统重新安装之前应该解密，否则可能不能打开）
加密和压缩不能同时设置，二者只能同时设一种

 

 

 

 

2000 NT5.0.2195
XP   NT5.1.2600
2003 NT5.2.3790
查看版本命令winver
802.11X(无线支持)
802.1x（安全协议）
2003产品家族：
2003 Web server（专门做WWW的服务器）
2003 Stadard Server (标准版，最基本的服务器)
2003 Enterprise Server (企业版服务器)
2003 DataCenter Server (数据中心服务器)
SMP对称多处理器：（服务器上CPU的个数）
HCL硬件兼容列表
I386是Windows 系统的安装文件
虚拟内存也要占用系统磁盘空间，虚拟内存大小一般默认配置为物理内存的1.5-3倍
许可证添加：
http://www.xuniji.com
SID :安全标识符
如何打开声卡：
控制面板和dxdiag
gpedit.msc---计算机配置---管理模板---系统---关闭事件跟踪

在系统启动时完成屏幕菜单的装载、选择预引导选项，同时还包含影响启动的参数。
一个简单的boot.ini文件
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)＼WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)＼WINDOWS=“Microsoft Windows Server 2003，Enterprise” /fastdetect

.ini初始化文件
boot.ini启动初始化文件，只存在C:根目录下，不能在该文件中进行行中硬回车
timeout=30计算机在启动时等待用户的选择时间为30秒。
default=默认进入的操作系统
=multi(0)硬盘的接口类型为IDE接口
disk(0)磁盘编号为第一块磁盘，磁盘是从0开始算第一块
rdisk(0)启动计算机的磁盘编号
partition(1)分区编号为C:
windows表示系统的安装目录，xp,2003,winnt是2000的系统安装目录
这个路径也叫做ASR路径
[operating systems]当前计算机上安装的所有操作系统

 

一.Windows启动的步骤和顺序：
1任何硬件包括计算机和交换机还有路由器开机通电首先进行的操作是加电自检。
2自检后进行启动操作系统，通过ASR路径来寻找计算机的操作系统。
二.启动排错：
1启动计算机后蓝屏（白屏、红屏）问题，这样的问题主要是由两个方面的因素，其一就是在上次关机之前安装了某个软件导致蓝屏，解决方法就是卸载该软件，如果不能正常卸载那么请开机按F8进入安全模式，进行卸载，其二就是在这次开机之前安装了某个硬件，解决方法就是将该硬件卸载掉。
2启动时系统有“NTLDR is missing”,NTLDR（NT Loader）是Windows 操作系统的启动的引导方法，以一个文件的形式存在于C:\目录下，此文件丢失系统根本无法启动，解决方法是将其他Win2000计算机系统中的NTLDR拷贝到已经损坏的计算机C:\目录下。
3启动时系统提示“****.drv文件丢失”，解决方法就是从其他2000计算机的%systemroot%\system32\目录中拷贝文件到丢失该文件的计算机上。
三.Windows系统的启动过程，启动过程中用到了以下的几个文件：NTLDR、Boot.ini、AUTOEXEC.bat、config.sys,这几个文件都存在计算机的C:\目录下，而不论该计算机上安装有几个操作系统，如果需要进行修改此类文件可以使用sysedit.exe命令来调出窗口进行统一的修改.ini是初始化文件，.bat是批处理文件.sys是系统文件，不要轻易修改。

 

 

 

 

 

组策略如何在企业中应用：

在域中创建OU中国贸易总公司，和子OU北京贸易公司，大连贸易公司，上海贸易公司三个子OU。

1设置用户的使用工作环境

1>     配置用户登陆和注销脚本：将DLSrv域成员移动到上海贸易公司，并且在该OU中创建lily用户，在大连贸易公司的 OU中添加lucy帐户，对上海贸易公司OU进行用户登陆脚本策略的实现，使用lucy和lily分别登陆DLSrv计算机，发现只有 lily出现用户登陆脚本，而lucy并没有出现脚本，说明了用户登陆脚本是用户登陆时就生效，同时只对某个进行设置的组织单元生效，lily用户在域内任何计算机上登陆都会应用该脚本

2>     配置计算机启动、关机脚本：对上海贸易公司OU进行计算机开机脚本，发现计算机开机过程中任何用户登陆计算机都会使用该脚本，因为计算机脚本是在用户登陆计算机之前就已经生效的

2设置安全策略

1>     设置关机权限，zhang3用户可以关闭SHSrv计算机，（计算机策略中的用户权利指派），其他用户（包括管理员）登陆也不能关闭计算机，一般在这个策略中需要设置可以关闭计算机的组为domain users

2>     设置磁盘配额，设置OU中的计算机NTFS文件系统的磁盘启用磁盘配额和强制磁盘配额，（计算机策略中的管理模板中的磁盘配额）

3>     设置打印机共享，默认每个共享的打印机都会自动的发布到整个AD中，可以通过计算机策略中的管理模板—打印机中设置

4>     设置用户策略，不保存最近打开的文档记录和退出时清除最近的文档记录

5>     取消计算机时间跟踪

3文件夹重定向：使用户的文件集中进行管理以免丢失

4软件管理

1>     设置软件限制策略：控制软件在计算机中运行的能力，允许用户在多用户计算机上仅运行特定文件，对所有用户生效，也可以对某些用户生效，阻止任何文件在本地计算机站点或域组织单元中运行，不允许的：无论用户权限如何都无法运行该软件；不受限制的：允许登陆用户以完全权限运行软件

2>     哈希规则：使用哈希算法对软件进行哈希运算并生成哈希值，用户在打开软件时，系统会将该程序的哈希诃子与软件限制策略中已有的哈希值进行比较，然后采取软件规则中指定的动作 ，一个软件无论放置在计算机的任何位置上，哈希值一样。对OU销售部进行哈希规则的软件设置，首先在XP系统上创建一个a.vbs脚本文件，然后在DC上进行设置该OU的组策略，新建哈希规则，通过UNC路径找到该可执行文件的存放位置生成哈希，重新启动计算机看该文件是否还能运行，同时将文件位置进行改变，文件是否还能运行

3>     证书规则：证书规则是用哪个签名证书来标识软件，根据安全级别的设置决定是否允许软件运行

4>     路径规则：通过软件所在的路径进行标识，限制OU销售部的组策略规则，不允许XP计算机或者zhang3用户运行计算器工具（新建路径规则，C:\windows\system32\calc.exe）

5>     Internet 区域规则：只适用于Windows Installer软件包，区域规则可以标识那些来自Internet 指定区域的软件

6>     规则优先权：按照由上到下的顺序表示规则优先，哈希>证书>路径>Internet 区域规则如果同一个对象应用了两个路径规则，具体的规则优先，比如对C:\windows 目录进行路径规则设置为“不允许的”，而C:\Windows \System32设置为“不受限制的”那么最后软件在C:\Windows \System32中可以运行，如果设置了两个不同级别的规则，更加保守的规则将获得优先权，“不允许的”要优先于“不受限制的”

5软件分发和部署：

1>     软件准备：.msi格式；放置在共享文件夹中；赋予相应权限

2>     软件分发的方式：指派软件，计算机在重新启动时自动安装，对用户和计算机都可以进行设置指派；发布软件，需要使用控制面板中的添加删除程序进行添加和删除，只能对用户做发布，实验将GPMC指派到具有2003SP1的计算机上

3>     软件的删除：强制删除：立即从用户和计算机上卸载软件或者是选择删除；选择删除：允许用户继续使用软件但是禁止新的安装，该软件不会从计算机中删除，而且用户可以使用该软件但是不能对软件进行升级操作

 

本博客所有内容均为原创,作者为袁佶彪,如需要转载,请附上原作者和本博客连接网址,谢谢!

公司有域名sohu.com和google.com，公司的WEB服务器使用域名http://www.sohu.com访问，主页显示内容为“www.sohu.com”,公司的另一个WEB页为http://www.google.com,网页显示内容为“www.google.com”并且公司只有一个WEB服务器一个公网的IP地址，怎么去建立DNS和WEB服务器？
公司域名为sogo.com，公司有三个网站分别是 www.sogo.com,主页内容为“www.sogo.com”, aaa.sogo.com,主页内容为“aaa.sogo.com”, qqq.sogo.com,主页内容为“qqq.sogo.com”,怎么实现在一台服务器上创建三个站点？

 

AD活动目录
实验之前要保证网络中计算机的计算机名和IP地址唯一，DNS服务器（首选DNS）要指向域控制器
使用DCPROMO命令进行安装域控制器，安装后查看登陆界面有什么不同，计算机管理控制台有什么变化，DNS有什么变化，安装活动目录时设置的密码有什么用，管理工具中还有什么工具添加？
如果DNS中记录不完整可以通过两种方式进行记录的刷新：其一，重新启动DNS服务器，其二，重新启动netlogon服务
1． 在SHSrv服务器安装活动目录主域控制器（PDC），域名为YJB.COM，安装过程当中如果遇到问题可以查看AD安装日志%system%\degug\dcpromoui.log。
2． 将计算机DLSrv和BJSrv添加到该域中，成为域成员服务器。（域成员计算机名和IP也不能冲突，首选DNS要指向域控制器），当使用普通域帐户将计算机添加到域中的时候，该帐户只能添加10台电脑到域，而使用administrator进行添加时可以添加若干台计算机到域，域成员计算机可以选择登陆到域或登陆到本地计算机
3． 通过在域控制器上的管理工具实现对DLSrv和BJSrv的本地磁盘和本地用户的管理，在DLSrv上添加用户Lily。
4.在域控制器上以administrator登陆，选择管理BJSrv计算机，同时创建一个jackal 帐户，jackal帐户的登陆名BJSrv\jackal,代表添加了BJ，Srv计算机上的本地帐户，使用该帐户是无法登陆到域的。
5． 在域控制器上按照地理位置和部门的职能创建组织单元北京总公司和大连分公司，以及在大连分公司中创建财务部，销售部，后勤部和IT部的组织单元
6. 在IT部门中创建域帐户zhang3和li4两个帐户，并且通过在AD中进行用户的信息查询。
7. 管理帐户zhang3只能在BJSrv进行登陆并且强迫已经登陆的用户进行注销
8． 在域控制器上创建域组，IT,财务组，销售组，并且将帐户zhang3和li4添加到IT组中
6． 对帐户Jackal限制登录网络的时间为8：00-----16：00。
7． 对帐户Tom限制登录的计算机只能为BJSrv。
8.　    将一个全局组Caiwu 组添加到另一个域本地组xiaoshou 中。
9       创建组织单元和一个共享文件和打印机并且发布到活动目录中。

.ini初始化文件
boot.ini启动初始化文件，只存在C:根目录下，不能在该文件中进行行中硬回车
timeout=30计算机在启动时等待用户的选择时间为30秒。
default=默认进入的操作系统
=multi(0)硬盘的接口类型为IDE接口
disk(0)磁盘编号为第一块磁盘，磁盘是从0开始算第一块
rdisk(0)启动计算机的磁盘编号
partition(1)分区编号为C:
windows表示系统的安装目录，xp,2003,winnt是2000的系统安装目录
这个路径也叫做ASR路径
[operating systems]当前计算机上安装的所有操作系统

 

使用隔离用户可以设置用户访问FTP服务器时是否可以切换主目录
需要在下载主目录FTPROOT目录中创建一个localuser子目录，在子目录中再创建public和与用户名相同的同名子目录，比如d:\ftproot\localuser\administrator
d:\ftproot\localuser\jackal
d:\ftproot\localuser\public
如果创建域中的隔离用户需要在FTP根目录创建与每个域同名的子目录比如在dl.net中创建FTP服务器,需要在主目录中ftp中创建\dl目录
e:\ftp\dl\jackal
e:\ftp\dl\tom

 

有三台计算机shsrv , dlsrv , wnt-srv1,wnt-srv1是分布式文件系统的根服务器，dlsrv是链接共享。
1在dlsrv上创建共享文件夹“caiwu”,"xiaoshou";在wnt-srv1创建共享文件夹“dfsroot”,shsrv创建“caiwu backup”和"file backup"
2在wnt-srv1上创建分布式文件系统的根并且将根目录指向"dfsroot",将dlsrv的"caiwu"和"xiaoshou"链接到"dfsroot"
3在wnt-srv1上创建分布式文件系统根的目标到shsrv计算机的“file backup”中，创建"caiwu"的目标到shsrv计算机的"caiwu backup"中，发现在shsrv计算机共享文件夹中出现了文件，说明了文件已经被复制成功
4在wnt-srv1上将"dfsroot"发布到AD中

 

大家都知道在使用2000的时候可以通过控制面板中的授权来添加许可证,但是在2003中就无法直接添加,但是可以将本机上的许可证服务LICENSE LOGGING打开后添加许可证,保证超过5台客户机的并发连接继续访问网络资源

很多情况在2000的域中可能在中了病毒的情况下将默认的共享删除掉了,这样在访问网上邻居或进行域资源访问时所需要的IPC$不可用,只能够通过修改注册表的方法将其恢复,方法如下:

如何改动自动共享
a.  单击“开始”，单击“运行”，键入 regedit，然后按 Enter 键。
b.  找到并单击以下注册表子项：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
c.  如果 LanmanServer\Parameters 子项中的 AutoShareServer 和 AutoShareWks DWORD 值配置的数值数据为 0，则将该值更改为 1。

注意：如果这些值不存在，则不必创建它们，因为默认行为是自动创建管理共享。 
d.  退出注册表编辑器。 
 
2. 重新启动计算机。通常，运行 Windows Server 2003、Windows XP、Windows 2000 或 Windows NT 4.0 的计算机会在启动过程中自动创建管理共享。 
3. 在计算机重新启动后，请确认管理共享处于活动状态。要检查这些共享，请使用 net share 命令。为此，请按照下列步骤操作： a.  单击“开始”，单击“运行”，键入 cmd，然后按 Enter 键。 
b.  在命令提示符下，键入 net share，然后按 Enter 键。 
c.  在共享列表中查找是否存在 Admin$、C$ 和 IPC$ 管理共享。

 

 

1. 在任意工作站上以管理员身份登录。 
2. 运行中键入 regedt32。 
3. 选择 HKEY_USERS，但不要打开。 
4. 在“注册表”菜单上，加载配置单元。 
5. “加载配置单元”对话框出现。找到出错用户的 Ntuser.dat 文件。选择该 Ntuser.dat 并打开。您可以在“项名称”中输入TEST（可以随便输入）。 
6. 找到以下注册表项下的 Username 值：
HKEY_USERS\TEST\Network\Username
7. 删除 Username 的字符串（使它保留为空白就足够了）。 
8. 选择先前加载的 TEST 配置单元，单击注册表菜单，然后单击卸载配置单元。 
9. 退出注册表编辑器。

使用隔离用户可以设置用户访问FTP服务器时是否可以切换主目录
需要在下载主目录FTPROOT目录中创建一个localuser子目录，在子目录中再创建public和与用户名相同的同名子目录，比如d:\ftproot\localuser\administrator
d:\ftproot\localuser\jackal
d:\ftproot\localuser\public
如果创建域中的隔离用户需要在FTP根目录创建与每个域同名的子目录比如在dl.net中创建FTP服务器,需要在主目录中ftp中创建\dl目录
e:\ftp\yjb\jackal
e:\ftp\yjb\tom
当用户访问时主动访问到目录

 

12重命名域控制器
域的功能级别只能为.net纯模式时
1. 打开cmd。
netdom computername CurrentComputerName /add:NewComputerName
该命令将更新这台计算机的 Active Directory 中的服务主体名称 (SPN) 属性，并注册新计算机名的 DNS 资源记录。计算机帐户的 SPN 值必须复制到该域的所有域控制器，新计算机名的 DNS 资源记录必须分布到该域名的所有授权 DNS 服务器。如果在删除旧计算机名之前没有进行更新和注册，那么某些客户端可能无法使用新名或旧名找到该计算机。
3. 确保计算机帐户更新和 DNS 注册完成之后，键入：
netdom computername CurrentComputerName /makeprimary:NewComputerName
4. 重新启动计算机。
5. 在命令提示符下，键入：
netdom computername NewComputerName /remove:OldComputerName
例如：

C:\Documents and Settings\Administrator>netdom computername yjb-vm001.dlnit.com
/add:yjb-vm0001.dlnit.com
Successfully added yjb-vm0001.dlnit.com
as an alternate name for the computer.

The command completed successfully.

C:\Documents and Settings\Administrator>netdom computername yjb-vm001.dlnit.com
/makeprimary:yjb-vm0001.dlnit.com
Successfully made yjb-vm0001.dlnit.com
the primary name for the computer. The computer must be rebooted for this name
change to take effect. Until then this computer may not be able to authenticate
users and other computers, and may not be authenticated by other computers in
the forest. The specified new name was removed from the list of alternate
computer names. The primary computer name will be set to the specified new
name after the reboot.
The command completed successfully.
重新启动计算机
C:\Documents and Settings\Administrator>netdom computername yjb-vm0001 /remove:y
jb-vm001
Unable to remove yjb-vm001
as an alternamte name for the computer.
The error is:

Element not found.

The command failed to complete successfully.

C:\Documents and Settings\Administrator>netdom computername yjb-vm0001.dlnit.com
 /remove:yjb-vm001.dlnit.com
Successfully removed yjb-vm001.dlnit.com
as an alternamte name for the computer.

The command completed successfully.

 

我们可以通过在Windows NT、Windows 2000和Windows Server 2003三个系统中进行域更名操作来进行简单对比，找出Windows Server 2003域更名工具的优势所在。
Windows NT：需要建立不同名称的新域及域控制器，然后再重建旧域的账户数据库于新域中。
Windows 2000：需要建立不同名称的新域及域控制器，然后使用ADMT（AD数据库迁移工具）将旧域中的AD数据库迁移到新域中，相对Windows NT时代没有了重建数据库的繁琐操作。
Windows Server 2003：不必建立不同名称的新域，也不用重建或迁移AD数据库，只须使用域更名工具进行几个简单的操作即可完成.
Wiindows2003可以使用两个方发进行重命名域，一是将2003的安装光盘中的\VALUEADD\MSFT\MGMT\rendomain目录拷贝在C:根目录中，另一是下载renamedomain.exe进行安装（其实是一样的效果）
1.配置DNS服务器正向搜索区域，将即将使用的域名创建一个区域。
2.将域的模式更改为.net纯模式，林的模式也改为纯模式
3.Rendom /list
4.编辑生成的.xml文件，将出现的原域名都改为现在的新域名
5.rendom /upload
6.接着依次输入“Rendom /prepare”命令和“Rendom /execute”命令。
7.域中的计算机都需要重新启动两次才能将域改掉，
8.gpfixup /olddnsyjb.com /newd nsabc.net /oldnbYJB /newnbABC /dcabc.net