Windows 2008R2+IIS7.5+PHP+Mysql+Wincache+Memcache+URL伪静态环境搭建教程
安装需求前言:
由于种种原因,服务器一直都用Windows 2003,之前有感于Processed in一直都高于
2.0,于是不得已痛下决心,预计花费一天时间等待机房技术帮安装Windows 2008操作
系统,中途还是比较周折,刚开始由于没有说明机房技术安装的是Windows 2008 32位的。一想这怎么行呢,有64位不用我干嘛整那32位的呢,于是在一小阵子纠结后果断又安排机房技术重新给安装Windows 2008 R2,顺便说一下,Windows 2008 R2没有32位的,只有64位一个版本。以后别傻了,要记住教训,若不是机房技术人品好,恐怕来回让你折腾烦了,给你一拖再拖,网站瘫痪在那时间一久伤不起啊。
下面还是进入正题吧,首先我们来讲一下我们看完此教程后需要完成的目标:
Windows 2008R2+IIS7.5+PHP+Mysql+Wincache+Memcache+URL伪静态环境搭建+并做适当的Discuz优化
注:此教程适合新手或没有搭建成功人士,高手算了,人生苦短就飞过吧!本人水平有限,难免有不足地方,如有错误地方请指正,尊重原创,转载请注明!本文原文地址:https://www.doczj.com/doc/6f6056679.html,/thread-70329-1-1.html
整个环境的搭建与测试大致可以分为十部分来
第一步:我们需要安装好一个Windows 2008 R2 操作系统,这一步我想不是我们这个阶段所要考虑的事情,因为很多东西需要机房的技术来配合你来完成。你想做也无法做,所以此步略过!
第二步:安装IIS7.5与FastCGI,因为Windows 2008R2自带环境了IIS7.5与FastCGI,这一点与IIS6.0区别很大,IIS6.0需要自己安装FastCGI.而IIS7.5 自带已集成了FastCGI 模块,所以只要安装时只要勾选上CGI模块后,即可装上FastCGI.
第三步:安装MySql 5.5.29,这个不用说了,开源的数据库软件系统,Discuz必不可少。如何配置MySql请看分节教程!
第四步:选择正确的PHP版本,并下载。
如何选择正确的PHP版本
因为本教程会采用MemCache来优化系统,然后一直无法找到与高版本PHP5.4和低版本PHP5.2要匹配的php_memcache.dll 版本,只找到php_memcache.dll for PHP5.3X的版本,因此教程采用PHP 5.3.21版本,这个版本是2013年1月16号刚才出来的,很新哦!试一下吧!
现在的PHP5.3 For Windows64位一共给了四个版本:VC9 x86 Non Thread Safe、VC9 x86 Thread Safe、VC6 x86 Non Thread Safe、VC6 x86 Thread Safe,参考PHP官网提供下载的地方左边的英文来看看这几个版本有什么区别。
1)、如何选择PHP5.3的VC9版本和VC6版本
VC6版本是使用Visual Studio 6编译器编译的,如果你的PHP是用Apache来架设的,那你就选择VC6版本。
VC9版本是使用Visual Studio 2008编译器编译的,如果你的PHP是用IIS来架设的,那你就选择VC9版本。
2)、如何选择PHP5.3的Thread Safe和Non Thread Safe版本
先从字面意思上理解,Thread Safe是线程安全,执行时会进行线程(Thread)安全检查,以防止有新要求就启动新线程的CGI执行方式而耗尽系统资源。Non Thread Safe是非线程安全,在执行时不进行线程(Thread)安全检查。
再来看PHP的两种执行方式:ISAPI和FastCGI。
ISAPI执行方式是以DLL动态库的形式使用,可以在被用户请求后执行,在处理完一个用户请求后不会马上消失,所以需要进行线程安全检查,这样来提高程序的执行效率,所以如果是以ISAPI来执行PHP,建议选择Thread Safe版本;
而FastCGI执行方式是以单一线程来执行操作,所以不需要进行线程的安全检查,除去线程安全检查的防护反而可以提高执行效率,所以,如果是以FastCGI来执行PHP,建议选择Non Thread Safe版本。
选择以下这些版本需要注意的是MYSQL在2008R2下可以选择64位的,PHP的VC9是针对IIS的,VC6针对apache的,线程安全和非安全版本本次选择的是线程安全版本, PHP线程安全版本无法加载wincache,所以我们用Xcache作为替代,如果想用wincache 就选用非线程安全版本,
综上所述我们根据官方最新发布的版本,我们还是选择最适用于我们的版本:
PHP 5.3 (5.3.21) VC9 x86 Non Thread Safe (2013-Jan-16 21:42:34)
第五步:安装V isual C++ 2008 X64运行库,很多人安装PHP环境时,经常不成功。很纳闷,为什么按照网上教程来一步一步操作就是不成功,原因就出在此,明明正确配置好了php.ini 确无法运行php环境,但是如果你打开应用程序日志就可以发现php-cgi.exe这个文件报错,就不难理解了,因为PHP5.3版本是以V isual C++ 2008环境下编译的,所以如果要正确运行PHP5.3以上版本,就必须安装此运行库.
第六步:PHP辅助管理软件:PHPManager的安装与配置,PHPManager是一神器,虽然程序不大,却十分神奇,省去了很多新手配置php.ini配置文件的烦恼,不仅可以省去手工配置php.ini文件的过程,而且可以图形化管理每个php功能模块,更重要的是配置完这一切后不用重启WEB服务即可即时生效.
第七步:安装Discuz X2.5并配置URL伪静态.URL静态化是一个有利于搜索引擎的设置,通过URL静态化,达到原来是动态的PHP页面转换为静态化的HTML页面,可以提高搜索引擎抓取,自然提高搜索引擎的搜索量。所以此模块是你优化网站一步必不可少的一块。
第八步:WinCache加速器安装与配置,Wincache1.1.0 for5.3,这个大家可以去微软IIS 官方下载,他将极大地提高您的PHP系统运行效率!如果您的服务器运行的都是开源程序,不需要zend,强烈建议您使用这个配置!
第九步:Memcache是一个高性能的分布式的内存对象缓存系统,通过在内存里维护一个统一的巨大的hash表,它能够用来存储各种格式的数据,包括图像、视频、文件以及数据库检索的结果等。简单的说就是将数据调用到内存中,然后从内存中读取,从而大大提高读取速度。
第十步:优化Discuz访问速度,开启GZIP压缩模块,如何设置IIS7.5的404,并做301重定向!
软件环境准备:
说明:下载地址为官方下载链接,软件有更新可能不适合本文。附件提供下载包。
1.操作系统: Windows 2008 R2
2.WEB环境: IIS 7.5+FastCgi
3.数据库:MySql 5.5.29
下载地址:https://www.doczj.com/doc/6f6056679.html,/downloads/mysql/
4.PHP版本: PHP
5.3.21
下载地址:https://www.doczj.com/doc/6f6056679.html,/download/
5.Visual C++ 2008 X64
下载地址:https://www.doczj.com/doc/6f6056679.html,/zh-cn/download/details.aspx?id=29
6.PHP辅助管理软件:PHPManager
下载地址:https://www.doczj.com/doc/6f6056679.html,/releases/view/69115
7.安装discuz X2.5,并配置URL Rewrite Module2.0伪静态模块
下载地址:https://www.doczj.com/doc/6f6056679.html,/download/URLRewrite
8.PHP加速器:WinCache
下载地址:https://www.doczj.com/doc/6f6056679.html,/downloads/microsoft/wincache-extension
9.高性能缓存系统: MemCache
下载地址:https://www.doczj.com/doc/6f6056679.html,/pierre
10.Discuz访问速度优化,301重定向设置,404错误页设置,Gzip网页压缩设置
注:由于本文图片格式均为1024X768较大,有些图片设置说明可能看不清楚,你可以点击
IIS7的安装图文教程,以及fastcgi模式下配置PHP,现在网上很多IIS7下配置PHP的教程还停顿在IIS6的配置阶段,还在用isapi模式,如果是这样,还是直接用IIS6好了,不然IIS7再好,也是浪费。
1、右键“计算机”,点击“管理”(或者点击“开始”--“程序”--“管理工具”--“服务器管理”,或者在“运行”中输入命令:servermanager.msc 命令打“服务器管理”程序.)
2、添加角色
3、添加角色服务
如果你的程序在IIS7下出错,记得选择服务的时候添加IIS6兼容模块,如果无问题,这个可以不用选择;
4、单击“关闭”按钮。
在默认配置下有一个网站在运行了,在浏览器中输入http://localhost或http://127.0.0.1就
可以打开IIS7默认页面了
Windows 2008 R2下如何安装MySql教程
如何在Windows 2008R2下安装Mysql,我需要首先下载Mysql数据库软件,Mysql就不用介绍了吧,度娘会告诉人这是一款免费的开源数据库软件,安装Discuz X2.5必备,用过的人都说好。。。
下面我们以官方最新下载地址为演示,请输入以下网址打开Mysql官网下载你所需要的Mysql数据库版本,这里我们以2013年1月19号的最新Mysql版本:MySQL Community Server 5.5.29为例。
https://www.doczj.com/doc/6f6056679.html,/downloads/mysql/
因我们的Windows 2008 R2是64位操作系统,为了最大限度发挥64位操作系统性,这里我们选择Windows (x86, 64-bit), MSI Installer并Download它吧
选择中间的Custom,进行自定义安装
按如图所示,这两项用不上可以不选,然后再选择Browse...,选择Mysql所要安装到的位置,为了防止系统重装或系统崩溃,建议选择安装到除C盘以上的盘符,身为菜鸟的你或
许应该懂的。
选择MySQL运行模式:Server Machine
要外连MySQL的时候勾选上,也就是说给防火墙加个出入站的策略
同于Mysql默认的数据库存储的是放在“C:/programDate/Mysql/MySQL Server 5.5/Data”这个位置下的,这样对于数据存储来说非常不安全,所在我们在这里需要更改一下,数据库存放
的位置。
选到服务里面去停上,Mysql服务,一切为菜鸟着想,就不输入命令了。
将“C:/programDate/Mysql/MySQL Server 5.5/”下的Data文件夹复制到"D:\Server\" 下
然后我们再更改,Mysql配置的路径你懂的:"D:/Server/Data"
最后我们再重新启动Mysql服务,一切正常,Mysql顺利完成安装,此节教程完毕! Windows 2008 R2 下安装Visual C++ 2008运行库
此节我们要来安装Visual C++ 2008 X64运行库,很多人安装PHP环境时,经常不成功。很纳闷,为什么按照网上教程来一步一步操作就是不成功,原因就出在此,明明正确配置好了php.ini 确无法运行php环境,但是如果你打开应用程序日志就可以发现php-cgi.exe这个文件报错,就不难理解了,因为PHP5.3版本是以V isual C++ 2008环境下编译的,所以如果要正确运行PHP5.3以上版本,就必须安装此运行库.
打开以下网址,下载Visual C++ 2008运行库,并进行安装
https://www.doczj.com/doc/6f6056679.html,/zh-cn/download/details.aspx?id=29
下载完在后,就开始安装吧,安装很简单,只要一直下一步,就可以了,没什么技术含量。。。Windws 2008 R2下PHP 5.3.21如何配置
如何选择正确的PHP版本
因为本教程会采用MemCache来优化系统,然后一直无法找到与高版本PHP5.4和低版本PHP5.2要匹配的php_memcache.dll 版本,只找到php_memcache.dll for PHP5.3X 的版本,因此教程采用PHP 5.3.21版本,这个版本是2013年1月16号刚才出来的,很新哦!试一下吧!
现在的PHP5.3 For Windows64位一共给了四个版本:VC9 x86 Non Thread Safe、VC9 x86 Thread Safe、VC6 x86 Non Thread Safe、VC6 x86 Thread Safe,参考PHP官网提供下载的地方左边的英文来看看这几个版本有什么区别。
1)、如何选择PHP5.3的VC9版本和VC6版本
VC6版本是使用Visual Studio 6编译器编译的,如果你的PHP是用Apache来架设的,那你就选择VC6版本。
VC9版本是使用Visual Studio 2008编译器编译的,如果你的PHP是用IIS来架设的,那你
就选择VC9版本。
2)、如何选择PHP5.3的Thread Safe和Non Thread Safe版本
先从字面意思上理解,Thread Safe是线程安全,执行时会进行线程(Thread)安全检查,以防止有新要求就启动新线程的CGI执行方式而耗尽系统资源。Non Thread Safe是非线程安全,在执行时不进行线程(Thread)安全检查。
再来看PHP的两种执行方式:ISAPI和FastCGI。
ISAPI执行方式是以DLL动态库的形式使用,可以在被用户请求后执行,在处理完一个用户请求后不会马上消失,所以需要进行线程安全检查,这样来提高程序的执行效率,所以如果是以ISAPI来执行PHP,建议选择Thread Safe版本;
而FastCGI执行方式是以单一线程来执行操作,所以不需要进行线程的安全检查,除去线程安全检查的防护反而可以提高执行效率,所以,如果是以FastCGI来执行PHP,建议选择Non Thread Safe版本。
选择以下这些版本需要注意的是MYSQL在2008R2下可以选择64位的,PHP的VC9是针对IIS的,VC6针对apache的,线程安全和非安全版本本次选择的是线程安全版本, PHP 线程安全版本无法加载wincache,所以我们用Xcache作为替代,如果想用wincache就选用非线程安全版本,
综上所述我们根据官方最新发布的版本,我们还是选择最适用于我们的版本:
PHP 5.3 (5.3.21) VC9 x86 Non Thread Safe (2013-Jan-16 21:42:34)
打开以下网址,下载PHP 5.3 (5.3.21) VC9 x86 Non Thread Safe (2013-Jan-16 21:42:34),并进行如下操作
https://www.doczj.com/doc/6f6056679.html,/download/
把刚才下载后的 "php-5.3.21-nts-Win32-VC9-x86.zip" ,文件解压后,改我这php,并复制到 D:\Server 目录下,前面我们说过,为了统一部署,方便管理,我们把所有的WEB 服务器
环境所需要的软件都安装到D:\Server 目录下
然后我们再D:\Server\php 目录下,再新建一个Temp 文件夹,用于PHP的缓存存放,然后为减少出错几率,最好再增加以下图示的用户权限,不然报错都不知道是怎么回事。
至此我们这节的教程也完毕了,你可能会说,这样PHP环境就算配置完成了吗,怎么这么简单啊。。。。
非也,非也,以前在windows 2003 配置时候,对于新手来说,是件非常苦恼的事情,需要一步一步,细心又仔细地去配置php.ini这个文件,而到了windows 2008下面,我们可以有最懒的方式,也是最简单的方法来配置php.ini 而且全程都是图形画管理哦,对于屌丝来说,绝对算得上一个神器啊。。。。哈哈,小白最喜欢啦,欲知如何,且看下节教程。。。。
Windows 2008 R2下如何利用PHPManager对PHP进行配置
PHP辅助管理软件:PHPManager的安装与配置,PHPManager是一神器,虽然程序不大,却十分神奇,省去了很多新手配置php.ini配置文件的烦恼,不仅可以省去手工配置php.ini 文件的过程,而且可以图形化管理每个php功能模块,更重要的是配置完这一切后不用重启WEB服务即可即时生效.
PHP Manager功能丰富,自动安装并生成php.ini。
php.ini参数配置可视化编辑,监视php.ini改动无需重起IIS服务。
PHPManager下载地址:https://www.doczj.com/doc/6f6056679.html,/releases/view/69115
PHP的安装非常简单,下载后,一直下一步,直到安装完比为止就可以了,有多简单呢,请参考Windows 2008 R2 下安装Visual C++ 2008运行库,为节省时间,在此不再熬述,敬请见谅!
同样,为方便操作,我们需要把IIS管理器给拉出来,方便以后操作。
打开IIS管理器后,点击计算机,就可以看到右边PHPManager 静静地躺在那儿了,双击PHPManager后我们就可以开始对PHP进行配置了。
统一身份认证权限管理系统 使用说明
目录 第1章统一身份认证权限管理系统 (3) 1.1 软件开发现状分析 (3) 1.2 功能定位、建设目标 (3) 1.3 系统优点 (4) 1.4 系统架构大局观 (4) 1.5物理结构图 (5) 1.6逻辑结构图 (5) 1.7 系统运行环境配置 (6) 第2章登录后台管理系统 (10) 2.1 请用"登录"不要"登陆" (10) 2.2 系统登录 (10) 第3章用户(账户)管理 (11) 3.1 申请用户(账户) (12) 3.2 用户(账户)审核 (14) 3.3 用户(账户)管理 (16) 3.4 分布式管理 (18) 第4章组织机构(部门)管理 (25) 4.1 大型业务系统 (26) 4.2 中小型业务系统 (27) 4.3 微型的业务系统 (28) 4.4 内外部组织机构 (29) 第5章角色(用户组)管理 (30) 第6章职员(员工)管理 (34) 6.1 职员(员工)管理 (34) 6.2 职员(员工)的排序顺序 (34) 6.3 职员(员工)与用户(账户)的关系 (35) 6.4 职员(员工)导出数据 (36) 6.5 职员(员工)离职处理 (37) 第7章内部通讯录 (39) 7.1 我的联系方式 (39) 7.2 内部通讯录 (40) 第8章即时通讯 (41) 8.1 发送消息 (41) 8.2 即时通讯 (43) 第9章数据字典(选项)管理 (1) 9.1 数据字典(选项)管理 (1) 9.2 数据字典(选项)明细管理 (3) 第10章系统日志管理 (4) 10.1 用户(账户)访问情况 (5) 10.2 按用户(账户)查询 (5) 10.3 按模块(菜单)查询 (6) 10.4 按日期查询 (7) 第11章模块(菜单)管理 (1) 第12章操作权限项管理 (1) 第13章用户权限管理 (4) 第14章序号(流水号)管理 (5) 第15章系统异常情况记录 (7) 第16章修改密码 (1) 第17章重新登录 (1) 第18章退出系统 (3)
深入了解Windows安全状况 Windows不像类UNIX系统一样开源,而且Microsoft也不可能公布基于Windows的源代码.所以,对于早期的Windows版本来讲,企业很难满足。 作者简介:涂俊雄Microsoft MVP 熟悉微软产品,现为"技术中国"编辑,也是"https://www.doczj.com/doc/6f6056679.html,"的论坛版主。有部署大型网络和处理突发事件的经验,曾担任过多家网站的管理员与安全顾问,有丰富的管理站点的经验,熟悉多种站点系统,并能很好的应用,现在在对无线网络进行研究,并且熟悉黑客技术,能很好的处理攻击事件,写过一些基于WINDOWS 下的配置和安全管理的文章,翻译过一些优秀的技术文章。 概述 Windows不像类UNIX系统一样开源,而且Microsoft也不可能公布基于Windows的源代码。所以,对于早期的Windows版本来讲,企业很难满足。Windows的安全现状,因为他们不能根据自己的企业来制定满主自己的解决方案。但是,不断完善的Windows给我们带来的越来越好的安全性,以及Windows的高部署性给越来越多的企业带来的惊喜,越来越多的企业选择了Windows,也越来越多的人开始研究Windows。包括Windows 在企业的部署以及Windows的安全性和可扩展性。从Widows NT以来,Microsoft在Windows的安全方面做了很多,最典型的就包括NTFS文件系统。而且结合Microsoft ISA Server可以让企业的安全性大大提升。本文就Windows现有的安全状况加以分析,让更多的从事Windows管理的专业人员提供更深入的对Windows 的安全了解。 操作系统安全定义 无论任何操作系统(OS),都有一套规范的、可扩展的安全定义。从计算机的访问到用户策略等。操作系统的安全定义包括5大类,分别为:身份认证、访问控制、数据保密性、数据完整性以及不可否认性。 身份认证 最基本的安全机制。当用户登陆到计算机操作系统时,要求身份认证,最常见的就是使用帐号以及密钥确认身份。但由于该方法的局限性,所以当计算机出现漏洞或密钥泄漏时,可能会出现安全问题。其他的身份认证还有:生物测定(compaq的鼠标认证)指纹、视网模等。这几种方式提供高机密性,保护用户的身份验证。采用唯一的方式,例如指纹,那么,恶意的人就很难获得除自己之外在有获得访问权限。 访问控制 在WINDOWS NT之后的WINDOWS版本,访问控制带来的更加安全的访问方法。该机制包括很多内容,包括磁盘的使用权限,文件夹的权限以及文件权限继承等。最常见的访问控制可以属WINDOWS的NTFS文件系统了。
Windows XP系统的安全配置方案 1.关闭常见危险端口 (1)135端口 主要用于使用RPC(Remote Procedure Call,远程过程调用)协议并提供DCOM(分布式组件对象模型)服务。 关闭135端口: 1. 单击“开始”——“运行”,输入“dcomcnfg”,单击“确定”,打开组件服务。 2. 在弹出的“组件服务”对话框中,选择“计算机”选项。 3. 在“计算机”选项右边,右键单击“我的电脑”,选择“属性”。 4. 在出现的“我的电脑属性”对话框“默认属性”选项卡中,去掉“在此计算机上启用分布式COM”前的勾。 5. 选择“默认协议”选项卡,选中“面向连接的TCP/IP”,单击“删除”按钮。 6. 单击“确定”按钮,设置完成,重新启动后即可关闭135端口。 (2) 139端口 IPC$漏洞使用的是139,445端口。IPC$漏洞其实就是指微软为了方便管理员而安置的后门-空会话。 关闭139端口: 本地连接—>Internet协议(TCP/IP)—>右击—>属性—>选择“TCP/IP”,单击“高级”—>在“WINS”选项卡中选择禁用“TCP/IP的NetBLOS”。 (3) 445端口 和139端口一起是IPC$入侵的主要通道。有了它就可以在局域网中轻松访问各种共享文件夹或共享打印机。黑客们能通过该端口共享硬盘,甚至硬盘格式化。 关闭445端口: 运行-> regedit -> HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\NetBT\Parameters 建一个名为SMBDeviceEnabled 的REG-DWORD类型的子键,键值为0。 (4) 3389端口 远程桌面的服务端口,可以通过这个端口,用“远程桌面”等连接工具来连接到远程的服务器。 关闭445端口: 我的电脑—>右击—>属性—>去掉“远程协助”和“远程桌面”前的勾。 2. 删除IPC$空连接 运行—>regedit—>HKEY-LOCAL_MACHINE\ SYSTEM\CurrentControSet\Control\LSA 将数值名称RestrictAnonymous的数值数据由0改为1。 3. 账号密码的安全原则 禁用guest账号,将系统内置的Administrator账号改名(越复杂越好,最好是中文的),设置密码最好为8位以上的字母+数字+符号的组合。 4. 删除共享
一、背景描述 随着信息化的迅猛发展,政府、企业、机构等不断增加基于Internet/Intranet 的业务系统,如各类网上申报系统,网上审批系统,OA 系统等。系统的业务性质,一般都要求实现用户管理、身份认证、授权等必不可少的安全措施,而新系统的涌现,在与已有系统的集成或融合上,特别是针对相同的用户群,会带来以下的问题: 1、每个系统都开发各自的身份认证系统,这将造成资源的浪费,消耗开 发成本,并延缓开发进度; 2、多个身份认证系统会增加系统的管理工作成本; 3、用户需要记忆多个帐户和口令,使用极为不便,同时由于用户口令遗 忘而导致的支持费用不断上涨; 4、无法实现统一认证和授权,多个身份认证系统使安全策略必须逐个在 不同的系统内进行设置,因而造成修改策略的进度可能跟不上策略的变化; 5、无法统一分析用户的应用行为 因此,对于拥有多个业务系统应用需求的政府、企业或机构等,需要配置一套统一的身份认证系统,以实现集中统一的身份认证,并减少信息化系统的成本。单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证,实现“一点登录、多点漫游、即插即用、应用无关”的目标,方便用户使用。 二、CAS简介 CAS(Central Authentication Service),是耶鲁大学开发的单点登录系统(SSO,single sign-on),应用广泛,具有独立于平台的,易于理解,支持代理功能。CAS系统在各个大学如耶鲁大学、加州大学、剑桥大学、香港科技大学等得到应用。Spring Framework的Acegi安全系统支持CAS,并提供了易于使用的方案。Acegi安全系统,是一个用于Spring Framework的安全框架,能够和目前流行的Web容器无缝集成。它使用了Spring的方式提供了安全和认证安全服务,包括使用Bean Context,拦截器和面向接口的编程方式。因此,Acegi 安全系统能够轻松地适用于复杂的安全需求。Acegi安全系统在国内外得到了广
Windows操作系统安全
实验报告全框架。 使用仪器实验环境使用仪器及实验环境:一台装有Windows2000或者XP操作系统的计算机、磁盘格式配置为NTFS。 实验内容在Windows2000或者XP操作系统中,相关安全设置会稍有不同,但大同小异,所有的设置均以管理员(Administrator)身份登录系统。 任务一:账户和口令的安全设置 任务二:文件系统安全设置 任务三:用加密软件EPS加密硬盘数据 任务四:启用审核与日志查看 任务五:启用安全策略与安全模块 实验步骤: 任务一账户和口令的安全设置 、删除不再使用的账户,禁用guest账户 (1)检查和删除不必要的账户。 右击“开始”按钮,打开“资源管理器”,选择“控制面板”中的“用户和密码”项; 在弹出的对话框中选择从列出的用户里删除不需要的账户。 (2)guest账户的禁用。 右键单击guest用户,选择“属性”,在弹出的对话框中“账户已停用”一栏前打勾; 确定后,guest前的图标上会出现一个红色的叉,此时账户被禁用。
其中,符合复杂性要求的密码是具有相当长度、同时含有数字、大小写字母和特殊字符的序列。双击其中每一项,可按照需要改变密码特殊的设置。 (1)双击“密码密码必须符合复杂性要求”,选择“启用”。 打开“控制面板”中“用户和密码”项,在弹出的对话框中选择一个用户后,单击“设置密码”按钮。 在出现的设置密码窗口中输入密码。此时密码符合设置的密码要求。 (2)双击上图中的“密码长度最小值”;在弹出的对话框中可设置可被系统接纳的账户
、禁止枚举帐户名 为了便于远程用户共享本地文件,Windows默认设置远程用户可以通过空连接枚举出所有本地帐户名,这给了攻击者可乘之机。 要禁用枚举账户名,执行下列操作: 打开“本地安全策略”项,选择“本地策略”中的“安全选项”,选择“对匿名连接的额
Windows操作系统安全配置方案 一、物理安全 服务器应当放置在安装了监视器的隔离房间内,并且监视器应当保留15天以内的录像记录。另外,机箱、键盘、抽屉等要上锁,以保证旁人即使在无人值守时也无法使用此计算机,钥匙要放在安全的地方。 二、停止Guest帐号 在[计算机管理]中将Guest帐号停止掉,任何时候不允许Guest帐号登录系统。为了保险起见,最好给Guest帐号加上一个复杂的密码,并且修改Guest帐号属性,设置拒绝远程访问。 三、限制用户数量 去掉所有的测试帐户、共享帐号和普通部门帐号,等等。用户组策略设置相应权限、并且经常检查系统的帐号,删除已经不适用的帐号。 很多帐号不利于管理员管理,而黑客在帐号多的系统中可利用的帐号也就更多,所以合理规划系统中的帐号分配。 四、多个管理员帐号 管理员不应该经常使用管理者帐号登录系统,这样有可能被一些能够察看Winlogon进程中密码的软件所窥探到,应该为自己建立普通帐号来进行日常工作。 同时,为了防止管理员帐号一旦被入侵者得到,管理员拥有备份的管理员帐号还可以有机会得到系统管理员权限,不过因此也带来了多个帐号的潜在安全问题。 五、管理员帐号改名 在Windows 2000系统中管理员Administrator帐号是不能被停用的,这意味着攻击者可以一再尝试猜测此帐户的密码。把管理员帐户改名可以有效防止这一点。 不要将名称改为类似Admin之类,而是尽量将其伪装为普通用户。 六、陷阱帐号 和第五点类似、在更改了管理员的名称后,可以建立一个Administrator的普通用户,将其权限设置为最低,并且加上一个10位以上的复杂密码,借此花费入侵者的大量时间,并且发现其入侵企图。
智慧海事一期统一身份认证系统 技术方案
目录 目录...................................................................................................................................................... I 1.总体设计 (2) 1.1设计原则 (2) 1.2设计目标 (3) 1.3设计实现 (3) 1.4系统部署 (4) 2.方案产品介绍 (6) 2.1统一认证管理系统 (6) 2.1.1系统详细架构设计 (6) 2.1.2身份认证服务设计 (7) 2.1.3授权管理服务设计 (10) 2.1.4单点登录服务设计 (13) 2.1.5身份信息共享与同步设计 (15) 2.1.6后台管理设计 (19) 2.1.7安全审计设计 (21) 2.1.8业务系统接入设计 (23) 2.2数字证书认证系统 (23) 2.2.1产品介绍 (23) 2.2.2系统框架 (24) 2.2.3软件功能清单 (25) 2.2.4技术标准 (26) 3.数字证书运行服务方案 (28) 3.1运行服务体系 (28) 3.2证书服务方案 (29) 3.2.1证书服务方案概述 (29) 3.2.2服务交付方案 (30) 3.2.3服务支持方案 (36) 3.3CA基础设施运维方案 (38) 3.3.1运维方案概述 (38) 3.3.2CA系统运行管理 (38) 3.3.3CA系统访问管理 (39) 3.3.4业务可持续性管理 (39) 3.3.5CA审计 (39)
甘肃海丰信息科技有限公司Windows系统安全加固技术指导书 ◆版 本◆密级【绝密】 ◆发布甘肃海丰科技◆编号GSHF-0005-OPM- ?2006-2020 HIGHFLYER INFORMATION TECHNOLOGY ,INC.
目录 文档信息................................................................. 错误!未定义书签。前言.................................................................... 错误!未定义书签。 一、编制说明............................................................ 错误!未定义书签。 二、参照标准文件........................................................ 错误!未定义书签。 三、加固原则............................................................ 错误!未定义书签。 1.业务主导原则..................................................... 错误!未定义书签。 2.业务影响最小化原则............................................... 错误!未定义书签。 3.实施风险控制..................................................... 错误!未定义书签。 (一)主机系统............................................................. 错误!未定义书签。 (二)数据库或其他应用 ..................................................... 错误!未定义书签。 4.保护重点......................................................... 错误!未定义书签。 5.灵活实施......................................................... 错误!未定义书签。 6.周期性的安全评估................................................. 错误!未定义书签。 四、安全加固流程........................................................ 错误!未定义书签。 1.主机分析安全加固................................................. 错误!未定义书签。 2.业务系统安全加固................................................. 错误!未定义书签。 五、W INDOWS 2003操作系统加固指南......................................... 错误!未定义书签。 1.系统信息......................................................... 错误!未定义书签。 2.补丁管理......................................................... 错误!未定义书签。 (一)补丁安装............................................................. 错误!未定义书签。 3.账号口令......................................................... 错误!未定义书签。 (一)优化账号............................................................. 错误!未定义书签。 (二)口令策略............................................................. 错误!未定义书签。 4.网络服务......................................................... 错误!未定义书签。 (三)优化服务............................................................. 错误!未定义书签。 (四)关闭共享............................................................. 错误!未定义书签。 (五)网络限制............................................................. 错误!未定义书签。
Windows2008系统安全设置 编写:技术支持李岩伟 1、密码设置复杂一些,例如:******** 2、更改administrator账户名称,例如:南关区社管服务器administrator更改为 *******,更改方法: 开始—运行:gpedit.msc---计算机配置--- Windows设置--安全设置---本地策略---安全选项---帐户:重命名系统管理员---右键---属性---更改名称;
3、更改guest账户名称,例如更改为********,更改方法: 开始—运行:gpedit.msc---计算机配置--- Windows设置--安全设置---本地策略---安全选项---帐户:重命名来宾帐户---右键---属性---更改名称; 4、新建一无任何权限的假Administrator账户 管理工具→计算机管理→系统工具→本地用户和组→用户 新建一个Administrator帐户作为陷阱帐户,设置超长密码(例如:*********),并去掉所有用户组 更改描述:管理计算机(域)的内置帐户 5、更改远程桌面端口: 开始—运行:regedit,单击“确定”按钮后,打开注册表编辑窗口; 找到: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] 双击右边PortNumber——点十进制——更改值为:XXX(例如22)——点确定。 然后找到: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] 双击右边PortNumber——点十进制——更改值为:XXX(例如22)——点确定。 6、设置不显示最后的用户名,设置方法: 开始—运行:gpedit.msc---计算机配置--- Windows设置--安全设置---本地策略---安全选项---交互式登录:不显示最后的用户名---右键---属性---已启用---应用
身份认证系统常见问题解答
目录 一、申请证书的问题1 1.如何申请证书 (1) 2.何时需要重新申请自己的数字证书? (6) 3.如何重新申请证书? (6) 4.如何在本机查看已经申请的数字证书? (8) 二、进行“数据报送”时的问题9 1.为什么点击“数据报送”时未弹出“客户身份验证”窗口,直接提示“该页无 法显示”? (9) 2.在弹出的“客户身份验证”框中点击本企业的用户证书名并确定后,出现 “该页无法显示”? (12) 3.进行数据报送时,选择证书提交后系统提示“证书已过期”或“您的证书即 将到期”,怎么办? (13) 4.进行数据报送时,弹出的“客户身份验证”窗口没有证书,怎么办? .. 13
5.选择证书后,提示“该证书与用户名不匹配”,怎么办? (13) 6.为什么弹出的认证窗口与常见的不同? (13) 三、废除证书时的问题14 1.什么情况下需要废除证书? (14) 2.如何废除证书? (14) 四、其它问题15 1.如果我想更换我的PC机,是否还能连到直报系统? (15) 2.如何从浏览器中导入、导出个人证书? (16) 3.请确认您使用的计算机操作系统时间是当前时间 (16)
1.如何申请证书 进入证书在线服务系统的用户,将会看到如图1的界面,请首先阅读注意事项和证书申请步骤。 图1 初次登录系统报送数据的用户,请根据“用户证书申请步骤”进行证书的安装。 第一步安装配置工具 点击图1页面上的“根证书及配置工具”,如图2:
图2 弹出“文件下载”确认对话框,弹出“文件下载”提示,如图3。 图3 点击“保存”按钮后,将“根证书及客户端配置工具”保存到本地计算机桌面,如图4
Windows 操作系统安全防护 强制性要求 二〇一四年五月
目录 1.系统用户口令及策略加固1 1.1.系统用户口令策略加固 1 1.2.用户权限设置 1 1.3.禁用Guest(来宾)帐户 2 1.4.禁止使用超级管理员帐号 3 1.5.删除多余的账号 4 2.日志审核策略配置4 2.1.设置主机审核策略 4 2.2.调整事件日志的大小及覆盖策略 5 2.3.启用系统失败日志记录功能 5 3.安全选项策略配置6 3.1.设置挂起会话的空闲时间 6 3.2.禁止发送未加密的密码到第三方SMB 服务器
6 3.3.禁用对所有驱动器和文件夹进行软盘复制和访问 7 3.4.禁止故障恢复控制台自动登录 7 3.5.关机时清除虚拟内存页面文件 7 3.6.禁止系统在未登录前关机 8 3.7.不显示上次登录的用户名 8 3.8.登录时需要按CTRL+ALT+DEL 8 3.9.可被缓存的前次登录个数 9 3.10. 不允许SAM 帐户和共享的匿名枚举 (9) 3.11.不允许为网络身份验证储存凭证或.NET Passports 9 3.12. 如果无法记录安全审核则立即关闭系统 (10) 3.13. 禁止从本机发送远程协助邀请 (10) 3.14. 关闭故障恢复自动重新启动 (11) 4.用户权限策略配置11 4.1.禁止用户组通过终端服务登录 11 4.2.只允许管理组通过终端服务登录 11
4.3.限制从网络访问此计算机 12 5.用户权限策略配置12 5.1.禁止自动登录 12 5.2.禁止光驱自动运行 12 5.3.启用源路由欺骗保护 13 5.4.删除IPC 共享 13 6.网络与服务加固14 6.1.卸载、禁用、停止不需要的服务 14 6.2.禁用不必要进程,防止病毒程序运行 15 6.3.关闭不必要启动项,防止病毒程序开机启动 24 6.4.检查是否开启不必要的端口 34 6.5.修改默认的远程桌面端口 34 6.6.启用客户端自带防火墙 35 6.7.检测DDOS 攻击保护设置
统一身份认证平台设计方案 1)系统总体设计 为了加强对业务系统和办公室系统的安全控管,提高信息化安全管理水平,我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。 1.1.设计思想 为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要,我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案: 内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。 提供现有统一门户系统,通过集成单点登录模块和调用统一身份认证平台服务,实现针对不同的用户登录,可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。 建立统一身份认证服务平台,通过使用唯一身份标识的数字证书即可登录所有应用系统,具有良好的扩展性和可集成性。 提供基于LDAP目录服务的统一账户管理平台,通过LDAP中主、从账户的映射关系,进行应用系统级的访问控制和用户生命周期维护
管理功能。 用户证书保存在USB KEY中,保证证书和私钥的安全,并满足移动办公的安全需求。 1.2.平台介绍 以PKI/CA技术为核心,结合国内外先进的产品架构设计,实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。 如图所示,统一信任管理平台各组件之间是松耦合关系,相互支撑又相互独立,具体功能如下: a)集中用户管理系统:完成各系统的用户信息整合,实现用户生 命周期的集中统一管理,并建立与各应用系统的同步机制,简 化用户及其账号的管理复杂度,降低系统管理的安全风险。
windows系统权限管理分析 1权限 windows中,权限指的是不同账户对文件,文件夹,注册表等的访问能力。 在Windows系统中,用户名和密码对系统安全的影响毫无疑问是最重要。通过一定方式获得计算机用户名,然后再通过一定的方法获取用户名的密码,已经成为许多黑客的重要攻击方式。即使现在许多防火墙软件不端涌现,功能也逐步加强,但是通过获取用户名和密码的攻击方式仍然时有发生。而通过加固Windows系统用户的权限,在一定程度上对安全有着很大的帮助。 Windows是一个支持多用户、多任务的操作系统,不同的用户在访问这台计算机时,将会有不同的权限。 "权限"(Permission)是针对资源而言的。也就是说,设置权限只能是以资源为对象,即"设置某个文件夹有哪些用户可以拥有相应的权限",而不能是以用户为主。这就意味着"权限"必须针对"资源"而言,脱离了资源去谈权限毫无意义──在提到权限的具体实施时,"某个资源"是必须存在的。 利用权限可以控制资源被访问的方式,如User组的成员对某个资源拥有"读取"操作权限、Administrators组成员拥有"读取+写入+删除"操作权限等。 值得一提的是,有一些Windows用户往往会将"权利"与"权限"两个非常相似的概念搞混淆,这里做一下简单解释:“权利"(Right)主要是针对用户而言的。"权力"通常包含"登录权力" (Logon Right)和"特权"(Privilege)两种。登录权力决定了用户如何登录到计算机,如是否采用本地交互式登录、是否为网络登录等。特权则是一系列权力的总称,这些权力主要用于帮助用户对系统进行管理,如是否允许用户安装或加载驱动程序等。显然,权力与权限有本质上的区别。 2六大用户组 Windows是一个支持多用户、多任务的操作系统,不同的用户在访问这台计算机时,将会有不同的权限。同时,对用户权限的设置也是是基于用户和进程而言的,Windows 里,用户被分成许多组,组和组之间都有不同的权限,并且一个组的用户和用户之间也可以有不同的权限。以下就是常见的用户组。
福建省公安公众服务平台 统一身份认证及单点登录系统建设方案 福建公安公众服务平台建设是我省公安机关“三大战役”社会管理创新的重点项目之一;目前平台目前已经涵盖了公安厅公安门户网 站及网站群、涵盖了5+N服务大厅、政民互动等子系统;按照规划,平台还必须进一步拓展便民服务大厅增加服务项目,电子监察、微博监管等系统功能,实现集信息公开、网上办事、互动交流、监督评议 功能为一体的全省公安机关新型公众服务平台。平台涵盖的子系统众多,如每个子系统都用自己的身份认证模块,将给用户带来极大的不便;为了使平台更加方便易用,解决各子系统彼此孤立的问题,平台 必须增加统一身份认证、统一权限管理及单点登录功能。 一、建设目标 通过系统的建设解决平台用户在访问各子系统时账户、密码不统一的问题,为用户提供平台的统一入口及功能菜单;使平台更加简便易用,实现“一处登录、全网漫游”。同时,加强平台的用户资料、授权控制、安全审计方面的管理,确保用户实名注册使用,避免给群 众带来安全风险;实现平台各子系统之间资源共享、业务协同、互联 互通、上下联动;达到全省公安机关在线服务集成化、专业化的目标。 二、规划建议 统一身份认证及单点登录系统是福建公安公众服务平台的核心 基础系统;它将统一平台的以下服务功能:统一用户管理、统一身份 认证、统一授权、统一注册、统一登录、统一安全审计等功能。系统 将通过标准接口(WebService接口或客户端jar包或dll动态链接库)向各子系统提供上述各类服务;各业务子系统只要参照说明文档,做适当集成改造,即可与系统对接,实现统一身份认证及单点登录, 实现用户资源的共享,简化用户的操作。
统一身份认证平台讲解-共38页
统一身份认证平台设计方案 1)系统总体设计 为了加强对业务系统和办公室系统的安全控管,提高信息化安全管理水平,我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。 1.1.设计思想 为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要,我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案: 内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。 提供现有统一门户系统,通过集成单点登录模块和调用统一身份认证平台服务,实现针对不同的用户登录,可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。 建立统一身份认证服务平台,通过使用唯一身份标识的数字证书即可登录所有应用系统,具有良好的扩展性和可集成性。
提供基于LDAP目录服务的统一账户管理平台,通过LDAP中主、从账户的映射关系,进行应用系统级的访问控制和用户生命周期维护管理功能。 用户证书保存在USB KEY中,保证证书和私钥的安全,并满足移动办公的安全需求。 1.2.平台介绍 以PKI/CA技术为核心,结合国内外先进的产品架构设计,实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。 如图所示,统一信任管理平台各组件之间是松耦合关系,相互支撑又相互独立,具体功能如下:
《Windows系统管理》单科结业试题 考试说明:考试形式为选择题、实验题。其中选择题有一个或多个答案,全部选对才得分,错选、多选和少选均不得分,共15道题,每题3分,共计45分;实验题1道,计 55分。整张试卷满分100分,为闭卷考试,考试时间为90分钟。请将选择题的答案写在 答题纸上,实验题以电子形式提交实验报告。 一、选择题,单选或多选(共15题,每题3分,共45分) 1)以下对Windows 2008企业版硬件要求的描述中,错误的是()。(选择1项) a)CPU速度最低1GHz(x86)和(x64),推荐大于2GHz b)内存最低512MB,推荐不少于2GB c)硬盘可用空间不少于4GB,推荐40GB以上 d)硬盘可用空间不少于10GB,推荐40GB以上 2)在Windows 2008中,添加或删除服务器“功能”(例如telnet)的工具是()。(选 择1项) a)功能与程序 b)管理您的服务器 c)服务器管理器 d)添加或删除程序 3)在一台安装了Windows 2008操作系统的计算机上,如果想让用户具有创建共享文件 夹的权限,可以把该用户加入()。(选择1项) a)Administrators b)Power Users c)Backup Operators d)Print Operators 4)在Windows Server 2008中,可以通过二种方式来共享文件:通过公用文件夹共享文 件和通过任何文件夹共享文件。对于通过公用文件夹共享文件的说法错误的是()。 (选择1项) a)无法控制某个用户对于公用文件夹的访问权限 b)如果关闭共享,登录这台计算机的用户也不能访问公用文件夹 c)启用公用文件夹共享,则能访问网络的任何人都可以打开公用文件夹中文件 d)启用公用文件夹共享,默认Administrators组成员通过网络可以删除公用文 件夹中的文件 5)一台系统为Windows Server 2008的域控制器,()能将其活动目录数据库备份到本 地磁盘E盘。(选择2项) a)通过Windows Server Backup备份系统状态到E盘 b)在命令行模式下输入命令:wbadmin start systemstatebackup –backuptarget: e: c)复制C:\Windows文件夹到E盘 d)利用NTbackup备份系统状态到E盘
` 统一身份认证权限管理系统 使用说明
目录 第1章统一身份认证权限管理系统 (3) 1.1 软件开发现状分析 (3) 1.2 功能定位、建设目标 (3) 1.3 系统优点 (4) 1.4 系统架构大局观 (4) 1.5物理结构图 (5) 1.6逻辑结构图 (5) 1.7 系统运行环境配置 (6) 第2章登录后台管理系统 (10) 2.1 请用"登录"不要"登陆" (10) 2.2 系统登录 (10) 第3章用户(账户)管理 (11) 3.1 申请用户(账户) (12) 3.2 用户(账户)审核 (14) 3.3 用户(账户)管理 (15) 3.4 分布式管理 (18) 第4章组织机构(部门)管理 (25) 4.1 大型业务系统 (26) 4.2 中小型业务系统 (26) 4.3 微型的业务系统 (27) 4.4 外部组织机构 (28) 第5章角色(用户组)管理 (29) 第6章职员(员工)管理 (32) 6.1 职员(员工)管理 (32) 6.2 职员(员工)的排序顺序 (32) 6.3 职员(员工)与用户(账户)的关系 (33) 6.4 职员(员工)导出数据 (34) 6.5 职员(员工)离职处理 (35) 第7章部通讯录 (37) 7.1 我的联系方式 (37) 7.2 部通讯录 (38) 第8章即时通讯 (39) 8.1 发送消息 (39) 8.2 即时通讯 (41) 第9章数据字典(选项)管理 (1) 9.1 数据字典(选项)管理 (1) 9.2 数据字典(选项)明细管理 (3) 第10章系统日志管理 (4) 10.1 用户(账户)访问情况 (4) 10.2 按用户(账户)查询 (5) 10.3 按模块(菜单)查询 (6) 10.4 按日期查询 (7) 第11章模块(菜单)管理 (1) 第12章操作权限项管理 (1) 第13章用户权限管理 (4) 第14章序号(流水号)管理 (5) 第15章系统异常情况记录 (7) 第16章修改密码 (1) 第17章重新登录 (1) 第18章退出系统 (3)
产品名称:BENET 3.0 科目:Windows系统管理 单科结业——问卷 1.有一台Windows server2008服务器,管理员需要在服务器上创建一个共享文件夹,并且在其它计算机上无法通过“网络”浏览到该共享文件夹,可以使用(c )作为共享名。(选择一项) a) data b) Sdata c) data$ d) data* 2.在安装Windows server 2008的过程中显示器突然蓝屏,最可能是以下(d )原因导致的。选择一项) a)硬盘空间不足 b) 版本差异 c) 用户权限不够 d)硬件兼容性 3.你是一台Windows Server2008计算机的系统管理员,你正为—个NTFS分区上的文件夹aptech设置NTFS权限。用户帐号steven同时属于sales组和supports组,sales组对文件夹aptech有“读取和运行、列出文件夹目录、读取”权限,supports组对文件夹apte ch的权限为对应权限的拒绝权限。则当用户“even从本地访问文仵夹aptech时的权限是(d )。(选择一项) a) 读取 b) 读取和运行 c) 列出文件夹日录 d) 拒绝访问 d) 配置用户访问规则 4.公司网络采用Windows单域结构,域用户账户usera的登录时间属性如下图所示,以下说法正确的是(b )。 (选择二项)
a)作为域用户usera可以在任意时间登录域 b) usera如果在星期日(sunday)登录域会被拒绝 c)usera如果在星期六(Saturday)登录域会被拒绝 d) usera如果在星期四(Thursday)登录域会被允许 5.在Windows sever 2008系统中,卸载活动目录的命令是(c )。(选择一项) a) dcpromote b) promote c) dcpromo d) undcpromo 6.有一台处于工作组中的Windows server2008服务器,要配置该服务器上的本地用户帐户密码的长度不能小于8位,可以通过(d )工具进行配置。 (选择一项) a)计算机管理 b)域安全策略 c)域控制器安全策略 d)本地安全策略 7.在Windowsserver 2008支持的动态磁盘卷中,以下(c )的磁盘读写性能最高。(选择一项) a)跨区卷 b) 简单卷 c) 带区卷 d) 镜像卷 8.在WindowsServer 2008域中,在“销售部”OU上委派了普通域用户Iiqiang“重设用户密码并强制在下次登录时更改密码”的任务,关于此情况以下说法正确的是( d)。(选择一项) a)用户liqiang具有了更改所有域用户帐户密码的权限
身份认证管理系统(IDM)设计 身份认证管理系统(IdentityManager,简称 IDM)将分散、重复的用户数字身份进行整合,提供标准身份信息读取和查询方式, 统一化管理数字身份的生命周期,统一企业内部身份安全策略管理和权限管理, 为应用系统与此基础平台提供标准的接口, 实现统一、安全、灵活、稳定和可扩展的企业级用户身份认证管理系统。 1 系统运行平台 1.1 体系架构 系统平台的搭建采用分层的架构模式,将系统在横向维度上切分成几个部分,每个部分负责相对比较单一的职责,然后通过上层对下层的依赖和调用组成一个完整的系统。通过统一用户身份认证管理系统平台的定义,为其他子系统提供统一的用户管理、机构管理、身份认证、权限管理、用户工作平台等功能,其他子系统将没有私有的用户群、权限管理等。系统提供的功能包括:用户管理、组织机构管理、单点登录、权限管理(用户权限、数据权限)、对外接口、数据备份、用户工作平台等。 2 系统建设目标 通过本系统的建设,主要达到以下的目标:系统提供统一的用户管理、组织机构管理、身份认证、权限管理及用户工作台功能;统一的用户系统进行统一帐号创建、修改和删除,这使快速推出新的业务成为可能。公司将拥有一个提供用户全面集中管理的管理层,而不为每
个新的应用程序或服务建立分布的用户管理层。 公司各应用的用户通过一个全局唯一的用户标识及存储于服务器中的静态口令或其他方式,到认证服务器进行验证,如验证通过即可登录到公司信息门户中访问集成的各种应用;可以在系统中维护用户信息;能够根据其在公司的组织机构中的身份定制角色,根据角色分配不同的权限。 3 系统主要模块 本系统主要包含以下 5 大功能模块。① 系统设置模块:提供用户管理和组织架构管理功能。② 安全域模块:提供安全域管理和安全策略管理功能。③系统管理模块:提供资源类型定义、模块定义、角色管理、角色约束定义、用户权限管理、单次授权等功能。④ 系统工具:提供异常用户查询、导入导出工具、用户工作台、用户个人信息修改、用户注册审批、职能委托等功能。⑤ 系统日志模块:提供历史日志删除、当前登录用户、历史登录情况、用户操作日志等功能。 3.1 系统设置模块 ① 用户管理:主要用来记录用户相关信息,如:用户名、密码等,权限等是被分离出去的。提供用户的基本信息的生命周期管理,包括创建、修改、删除、冻结、激活等功能。系统增加或者删除一个用户则相应地增加或者删除一个用户的账户,每新增一个人员账户,赋予该账户一个初始化密码。要求存储用户数据时不仅支持 Oracle 数据库存储,同时支持 LDAP存储。以应对不同子系统的不同用户认证方式。