Windows域与802.1X协议统一认证解决方案--1
2010-08-21 10:45
Windows域与802.1X协议统一认证解决方案
【课程星级】★★★★★
【实验名称】Windows域与802.1X协议统一认证解决方案
【实验目的】使管理人员了解Windows域与802.1X协议结合进行统一认证的配置方法。
【背景描述】
随着局域网的迅速发展,办公用户的网络安全问题日益突出。目前,各企业面临的安全威胁之一就是外围设备非法接入到内部网络后的破坏性攻击行为。在许多企业的IT 管理过程中,往往注重对来自因特网的外部威胁防御,忽略了来自内部
的非法访问威胁。
这种威胁在大中型企业的IT 环境中影响尤其明显。因此,建立内部网络接入防御体系势在必行。很多企事业单位已经建立了基于Windows域的信息管理系统,通过Windows域管理用户访问权限和应用执行权限。然而,基于Windows的权限控制只能作用到应用层,而无法实现对用户的物理访问权限的控制,比如对网络接入权限的控制,非法用户可随意接入用户网络,这就给企业网的网络和应用安全带来很多隐患。为了更加有效地控制和管理网络资源,提高网络接入的安全性,很多政府和企业网络的管理者希望通过802.1x认证实现对接入用户的身份识别和权限控制。
通过802.1x 协议和活动目录技术相结合的方案,来实现设备接入的合法验证和管理。只有通过了内部域用户验证的计算机才能正常进行网络通讯,否则其接入端口数据将被阻隔。
下面我们就来看一下Windows域与802.1X协议统一认证解决方案的实现过程。【实验拓扑】
实验环境说明:本实验需要用到Windows 2003 Server,并且在Windows 2003 Server安装DNS、AD、DHCP、CA、IAS等组件,并且要求交换机支持802.1X协议与Guest VLAN功能。
本文详细地记录了配置Windows 2003 Server和交换机每一个步骤的实现过程,并力求层次清晰。但还是希望没有接触过Windows 2003 Server的读者了解Windows 2003 ServerDNS、 AD、DHCP、CA和IAS的相关知识,请参考相关书籍和网站。
拓扑说明:Windows 2003 Server IP:192.168.0.254
交换机IP:192.168.0.250
路由器LAN接口IP:192.168.0.1
橘红色端口所属的VLAN为Guest VLAN,名称为V10, VID为10
蓝色端口所属的VLAN名称为V20, VID 为20
绿色端口为需要进行802.1X认证的端口
测试计算机的IP为从Windows 2003 Server 自动获取
根据上面的拓扑环境,测试PC通过了windows域的认证以后,自动在交换机端口上进行802.1X认证,认证通过以后,PC被交换机自动分配到了V20里面,从而可以接入到互联网中。若PC没有通过802.1X认证,则只能访问Guest VLAN 里面的资源。
【实验设备】Windows 2003 Server 1台,DES-3526 1台,路由器1台,测试PC1台,网线若干。
【实验步骤】
一.配置Windows 2003 Server
1. 安装Windows 2003 Server AD(活动目录)
在Windows 2003 Server上,点击“开始”----“运行”,输入“dcpromo”,点“确定”,启动“活动目录安装向导”。如下图:
此处选择“新域的域控制器”,使此计算机作为此域的域控制器(DC)。
此处选择“在新林中的域”。
输入“https://www.doczj.com/doc/cc17973747.html,”作为新建域的域名。
设置NetBIOS域名,此处使用默认的“TEST”。
设置数据库和日志文件的保存路径,此处选择默认设置。
设置共享的系统卷,此处使用默认设置。
DNS注册诊断,由于此服务器还没有安装DNS服务器组件,因此显示诊断失败,这里选择“在这台计算机安装并配置DNS服务器,并将这台DNS服务器设为计算机的首选DNS服务器”。
设置用户和组对象的默认权限,此处选择默认设置。
设置目录还原模式的管理员密码。
开始安装和配置活动目录。
活动目录安装完毕。
点击“立即重新启动”,重启windows 2003 server。
2. 安装并配置windows 2003 server DHCP服务器
进入控制面板界面。
选择“添加或删除程序”。
选择“添加/删除windows组件”。
选中“网络服务”,点击“详细信息”。
选择“动态主机配置协议(DHCP)”。
进行DHCP组件的安装。
完成安装。
在windows 2003 server 管理工具中选择DHCP。
这台DHCP服务器未经授权,不能为网络中的计算机提供服务,因此要对此DHCP 服务器进行授权。
右键点击“DHCP”,选择“管理授权的服务器”。
输入DHCP的IP地址。
确认授权。
重新启动DHCP服务以后,DHCP服务器附带的状态标识由红色的向下的箭头转换为绿色的向上的箭头,说明DHCP服务器已经成功授权。
右键单击DHCP服务器,选择“新建作用域”。
输入作用域名称。
输入各项参数。
在使用windows7过程中,常常会再出现没有管理员权限而不能正常运行软件(有的软件直接就是打不开,有的软件不能正常运行(比如如果没有管理员权限,keil就不能注册成功))....也许你会说,我的电脑里只有一个用户,这个用户应该就是管理员啊!不.如果你在安装windows7系统的时候,在那个输入用户信息的地方输入了一个用户名,那么你就新建了一个个人用户,但这个用户并不是管理员.真正的管理员是Administrator.有下面两种方法可以得到windows7的管理员权限. 方法一: 在桌面建一个文本文档(也就是.txt文件).双击打开.把下面的代码复制进去.再把这个文本文件改名为windows7管理员权限.reg(一般电脑已知后缀是隐藏起来的,也就是说你新建的文本文件名字是"新建文本文档"而不是"新建文本文档.txt"如果是这样,你就要先打开"计算机",左上角有个"组织",点开后有个"文件夹和搜索选项",然后"查看"然后下面有个"显示隐藏的文件,文件夹和驱动器"把这个选上再"确定一下"那个文本文件名字就是"新建文本文档.txt"了.再把它的名字改成windows7管理员权限.reg )如果改完后提示后缀改变,那就说明改对了.双击打开改好的文件,提示写入注册表,后你就有全部管理员权限了. 复制以下代码: Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\*\shell\runas] @="管理员取得所有权" "NoWorkingDirectory"="" [HKEY_CLASSES_ROOT\*\shell\runas\command] @="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F" "IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F" [HKEY_CLASSES_ROOT\exefile\shell\runas2] @="管理员取得所有权" "NoWorkingDirectory"="" [HKEY_CLASSES_ROOT\exefile\shell\runas2\command] @="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F" "IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F" [HKEY_CLASSES_ROOT\Directory\shell\runas] @="管理员取得所有权" "NoWorkingDirectory"="" [HKEY_CLASSES_ROOT\Directory\shell\runas\command] @="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t" "IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \
域控制器安装入门图解教程 目前很多公司的网络中的PC数量均超过10台:按照微软的说法,一般网络中的PC数目低于10台, 则建议建议采对等网的工作模式,而如果超过10台,则建议采用域的管理模式,因为域可以提供一种集 中式的管理,这相比于对等网的分散管理有非常多的好处,那么如何把一台成员服务器提升为域控?我们 现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003,客户端则采用Windows XP。 首先,当然是在成员服务器上安装上Windows Server 2003,安装成功后进入系统, 我们要做的第一件事就是给这台成员服务器指定一个固定的IP,在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的,所以我们需要手动去添加,添加 方法如下:“开始—设置—控制面板—添加删除程序”,然后再点击“添加/删除Windows组件”,则可以看到 如下画面:
向下搬运右边的滚动条,找到“网络服务”,选中: 默认情况下所有的网络服务都会被添加,可以点击下面的“详细信息”进行自定义安装,由于在这里只 需要DNS,所以把其它的全都去掉了,以后需要的时候再安装:
Server 2003安装光盘位于光驱中,否则会出现找不到文件的提示,那就需要手动定位了。 安装完DNS以后,就可以进行提升操作了,先点击“开始—运行”,输入“Dcpromo”,然后回车就可以 看到“Active Directory安装向导” 在这里直接点击“下一步”:
通过上面的案例,我们发现:目前国内信息化项目此起彼伏,而企业内部网络的安全规划则是我们的重中之重。 而我们却习惯性的认为安全就要靠防火墙,安全就要靠杀毒软件。殊不知这些都是解决表面问题的手段。 一个真正意义上安全的网络首先是需要一个安全强壮的网络拓扑结构,其次是基于强壮骨架之上的服务。而我们所面对的安全问题从应用层去解决的方法其实就在我们所熟知的micsoft产品中---windows域。 在基于域环境的计算机管理手段中策略正式我们强行管理企业内部网络的钢铁法则。域环境之所以强大,之所以安全也正是域的管理模式是基于法则的。 一个社会之所以安定,是要一部不断健全的法律来支持的。而我们windows 域环境正是以这样的结构和方式去对域中的计算机、帐户等资源进行统一集中管理的。今天抛砖引玉,以这样的方案提出了域的概念,而对域更深层次的理解以及更详细的应用,请见下篇:《深入理解域概念之开国篇》 要创建windows域,就要弄明白什么是windows域,windows域可以解决什么问题。要弄明白什么是windows域,就要先来一起回顾一下工作组: 首先,工作组中,每一台计算机都独立维护自己的资源,不能集中管理所有网络资源 其次,每一台计算机都在本地存储用户的帐户 第三,一个账户只能登陆到一台计算机 第四,工作组中计算机都是平等的,对于其他计算机来说即是服务器,也是客户机
第五,工作组的网络规模一般少于10台计算机. 成都有条很有名的步行街,里面有个派出所,早期的时候8台计算机,工作组管理模式。网络配置很轻松,几乎不用管理.哪台机器有问题就去哪来机器上解决.工作强度也不是很大. 不到3个月时间.随着信息化的深入,公司的计算机台数增加到了50台.网管员采用同样的管理方式. 每天都很忙碌,从早上到公司到晚上离开,一直在解决网络中用户的计算机故障问题,病毒\IE首页篡改\甚至出现了公司内部恶意攻击的事件,经常晚上加班,通宵达旦的工作.但问题总是解决不了。 一个月后,他被辞退了。 为什么会这样呢?有没有更简单方便的管理方式呢? 下面我们来看这么个例子: 如果我们把工作组看成是原始社会,各服务器(人)各自为政 再想想刚刚的例子,小张公司的8台电脑最开始都是各自为政的, 所以就不存在管理的概念, 小张只能充当一个哪里出问题就去哪解决的故障排除机器般的被动角色. 那么在网络日益应用广泛,结构越来越复杂的今天,我们可不可以,让我们的计算 机网络世界也进化一下呢? 比如在计算机中通过网络成立一个国家,在公司的一定范围内实现集中管理,中央集权!!
windows系统权限管理分析 1权限 windows中,权限指的是不同账户对文件,文件夹,注册表等的访问能力。 在Windows系统中,用户名和密码对系统安全的影响毫无疑问是最重要。通过一定方式获得计算机用户名,然后再通过一定的方法获取用户名的密码,已经成为许多黑客的重要攻击方式。即使现在许多防火墙软件不端涌现,功能也逐步加强,但是通过获取用户名和密码的攻击方式仍然时有发生。而通过加固Windows系统用户的权限,在一定程度上对安全有着很大的帮助。 Windows是一个支持多用户、多任务的操作系统,不同的用户在访问这台计算机时,将会有不同的权限。 "权限"(Permission)是针对资源而言的。也就是说,设置权限只能是以资源为对象,即"设置某个文件夹有哪些用户可以拥有相应的权限",而不能是以用户为主。这就意味着"权限"必须针对"资源"而言,脱离了资源去谈权限毫无意义──在提到权限的具体实施时,"某个资源"是必须存在的。 利用权限可以控制资源被访问的方式,如User组的成员对某个资源拥有"读取"操作权限、Administrators组成员拥有"读取+写入+删除"操作权限等。 值得一提的是,有一些Windows用户往往会将"权利"与"权限"两个非常相似的概念搞混淆,这里做一下简单解释:“权利"(Right)主要是针对用户而言的。"权力"通常包含"登录权力" (Logon Right)和"特权"(Privilege)两种。登录权力决定了用户如何登录到计算机,如是否采用本地交互式登录、是否为网络登录等。特权则是一系列权力的总称,这些权力主要用于帮助用户对系统进行管理,如是否允许用户安装或加载驱动程序等。显然,权力与权限有本质上的区别。 2六大用户组 Windows是一个支持多用户、多任务的操作系统,不同的用户在访问这台计算机时,将会有不同的权限。同时,对用户权限的设置也是是基于用户和进程而言的,Windows 里,用户被分成许多组,组和组之间都有不同的权限,并且一个组的用户和用户之间也可以有不同的权限。以下就是常见的用户组。
Windows域信任关系建立全攻略 操作环境:windows 2000的两个独立域https://www.doczj.com/doc/cc17973747.html, 与https://www.doczj.com/doc/cc17973747.html,。https://www.doczj.com/doc/cc17973747.html,的网段为192.168.0.x,https://www.doczj.com/doc/cc17973747.html, 域管理所在的IP为192.168.0.1,机器名为aa。 https://www.doczj.com/doc/cc17973747.html,的网段为192.168.3.x,https://www.doczj.com/doc/cc17973747.html,域管理所在的IP为192.168.3.1,机器名为bb。 两个域用VPN建立好连接,可互相ping通。
操作目的:建立互相信任的关系。 操作过程: 1、建立DNS。DNS必须使用的,而不能使用公网的,因为要对域进行解析。由于在https://www.doczj.com/doc/cc17973747.html,和https://www.doczj.com/doc/cc17973747.html, 上的步骤相同,故只以https://www.doczj.com/doc/cc17973747.html,为例。 在192.168.0.1上打开管理工具- DNS- 连接到计算机- 这台计算机。在其正向搜索区域里新建区域- Active Directory集成的区域,输入https://www.doczj.com/doc/cc17973747.html,,区域
文件就叫https://www.doczj.com/doc/cc17973747.html,.dns好了,然后完成。 右击新建的https://www.doczj.com/doc/cc17973747.html,,选择属性- 常规,把允许动态更新改变为是。 然后在正向搜索区域里新建区域- 标准辅助区域,输入https://www.doczj.com/doc/cc17973747.html,,IP地址输入192.168.3.1,然后完成。 右击新建的https://www.doczj.com/doc/cc17973747.html,,选择从主传输。 在反向搜索区域里新建区域- Directory集成的区
域,输入网络ID192.168.0,然后完成。 右击新建的192.168.0.x Subnet,选择属性- 常规,把允许动态更新改变为是。 现在https://www.doczj.com/doc/cc17973747.html,的DNS已经建立好了,https://www.doczj.com/doc/cc17973747.html,的也按此建立。 在192.168.0.1上进行测试,注意:DNS的传输可能需要一定的时间,最好在半个小时到一个小时后进行测试。
实训二配置额外域控制器 一、知识点: 额外域控制器:如果域中只有一台域控制器,一旦出现物理故障,我们时可以备份还原AD。部署额外域控制器,指的是在域中部署第二个甚至更多的域控制器,每个域控制器都拥有一个Active Directory数据库。 只读域控制器:RODC只能单向的从其他可读写域控制器请求信息,而不会把任何修改传送给其他可写域控制器,这样做不仅可以降低主域服务器的工作负载及监控负载的工作量,还可以提高分支机构网络的安全性,同时便于管理。 二、动手实验: 实验目的: 利用windows server 2008搭建辅助域环境,了解辅助域控制器的作用,不仅学会安装辅助域控制器,而且还应学会如何配置辅助域,并实现辅助域在域环境中的作用。 实验内容: 1、配置域环境中额外域控制器 2、配置域环境中的只读域控制器(RODC) 3、测试辅助控制器是否搭建成功 实验要求: 1、完成实训内容,并做成实验报告。 实验步骤: 第一步配置域环境中额外域控制器 (1)部署环境 设置网络环境
(2)与主域的IP地址要互Ping的通 (3)根据拓扑图要求,将额外控制器的名称改为“BDC1”
输入域https://www.doczj.com/doc/cc17973747.html, 点击确定 (4)安装额外域控制器 开始------运行---输入dcpromo
输入dcpromo 点击确定 之后会弹出如下向导对话框,点击下一步 在弹出“部署配置”对话框勾选“现有林---向现有于添加域控制器”
下一步,输入主域名“https://www.doczj.com/doc/cc17973747.html,” 点击“设置”
输入“用户名和密码”点击“确定” 点击“下一步”选择域“https://www.doczj.com/doc/cc17973747.html,”
山东神达化工windows_ad域配置方案和操作手册 2015年01月14日
目录 1.背景 (3) 2.为什么要用域 (4) 2.1.一个演示实例说明 (4) 2.2域的概念 (7) 3.如何部署一个域 (7) 3.1.DNS前期准备 (8) 3.1.1.创建区域并允许动态更新 (9) 3.1.2.检查NS和SOA记录 (12) 3.2.创建域控制器 (14) 3.3.创建计算机账号 (23) 3.4.创建用户账号 (26) 4.用备份进行域的灾难重建 (30) 4.1.如何备份 (30) 4.2.如何还原 (34) 5.部署额外域控制器 (39) 6.ACTIVE DIRECTORY的授权还原 (48) 7.ACTIVE DIRECTORY的脱机碎片整理 (57) 8.针对神达化工的具体方案 (62) 8.1.用户管理 (62) 8.2.灾备和重建 (63) 8.3.桌面恢复 (63) 8.4.域用户集成本地管理员 (63) 8.5如何限制域用户脱离域后登陆 (68)
1.背景 山东神达化工有限公司(以下简称:神达化工)目前实施的HONEYWELL PHD 实时数据库需要且必须运行在windows的ad域中,目前项目进展顺利。 神达化工实施HONEYWELL PHD 实时数据库的网络拓扑如图1所示: 图1 ?一台域控制器:负责域用户的维护 ?一台数据库服务器:运行HONEYWELL所依赖的数据库 ?一台web服务器:对外访问,所有终端通过这台机器获取浏览信息。 神达化工在以往的信息化建设中并未使用过windows的ad域,借助HONEYWELL PHD 实时数据库项目,希望将域引入并通过域对公司内部的计算机进行管控。在项目建设过程中,针对windows的ad域,神达化工还有如下疑虑: 1、什么是域,为什么要实施域。
windows 7系统文件夹管理员权限的获取方法 windows 7系统不仅在界面上下了很多功夫,而且在安全方面也做了很多工作。但是这也给很多win7系统用户带来了麻烦----在win7下替换、修改或删除系统中某个文件夹往往都需要取得管理员权限,特别是系统盘(C盘)下的文件夹。这里教大家如何获得win7文件夹权限,并给大家提供一个修改win7注册表的reg,运行之后右键选择"获得权限"即可获得win7下整个文件夹的管理权限。 Win 7下管理员权限修改方法原理 我们以系统盘下的zh-CN文件夹为例 1、在zh-CN文件夹图标上面点击鼠标右键,再点击属性,如图1: 2、打开文件夹属性选项卡,按顺序单击:安全》高级》所有者》编辑,选中Administrators用户组(或者你的用户所在的组),同时勾选下面的"替换子容器及对象的所有者"。确定并关闭属性对话框即获取该文件的所有权。如图2:
3、再次单击鼠标右键打开属性对话框,依次单击:安全》高级,选中下面的两个勾,然后点击编辑,选中并双击Administrators(或者你的用户所在的组>; 单击"完全控制",按确定依次退出即可,如图3:
4、OK,至此你已经拥有这个文件夹的管理权限,可以进行下一步的修改和替换了。 Win 7下管理员权限获得注册表reg修改方法 以下为引用的内容: Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT*shellrunas] @="管理员取得所有权" "NoWorkingDirectory"="" [HKEY_CLASSES_ROOT*shellrunascommand] @="cmd.exe /c takeown /f "%1" & icacls "%1" /grant administrators:F" "IsolatedCommand"="cmd.exe /c takeown /f "%1" & icacls "%1" /grant administrators:F" [HKEY_CLASSES_ROOTexefileshellrunas2] @="管理员取得所有权" "NoWorkingDirectory"="" [HKEY_CLASSES_ROOTexefileshellrunas2command] @="cmd.exe /c takeown /f "%1" & icacls "%1" /grant administrators:F" "IsolatedCommand"="cmd.exe /c takeown /f "%1" & icacls "%1" /grant administrators:F" [HKEY_CLASSES_ROOTDirectoryshellrunas] @="管理员取得所有权" "NoWorkingDirectory"="" [HKEY_CLASSES_ROOTDirectoryshellrunascommand] @="cmd.exe /c takeown /f "%1" /r /d y & icacls "%1" /grant administrators:F /t"
大学生计算机基础 一、判断: 1、第一台计算机是1946年美国研制成功的全自动电子数字式计算机ENIAC 2、美籍匈牙利数学家冯·诺依曼在1946年首先提出了‘存储程序’的概念 3、将十进制数97转换成二进制数等于(1100001) 4、常用应用软件有各种信息管理软件办公自动化系统各种文字处理软件各种辅助设 计软件以及辅助教学软件各种软件包,如数值计算程序库、图形软件包 5、操作系统的分类: 多道批处理操作系统 分时操作系统 实时操作系统 通用操作系统 优良的操作环境---多窗口系统 二、选择: 1、世界上发明的第一台电子数学计算机是A、ENIAC 2、在计算机内部,一切信息(包括数值、字符、指挥计算机动作的指令等)的存储、处 理与传送均采用二进制形式。 3、将十进制数97转换成二进制数等于(1100001) 4、在计算机内部,一切信息的存取、处理和传送的形式是C二进制 三、名词解释 1、什么是ASCII码? 目前国际通用的是美国标准信息交换码,简称ASCII码 2、什么叫裸机? 没有装备任何软件的计算机叫做裸机 3、什么叫做主机? CPU与内存合在一起一般称作主机 4、什么叫做字长? 字长是指CPU可以同时处理的二进制数据的位数 5、什么是系统软件? 系统软件是指管理、监控、和维护计算机资源‘包括硬件和软件’的软件 6、什么是工具软件? 工具软件有时又称为服务软件,它是开发和研制各种软件的工具 7、什么是文件? 文件是存储在外部介质上的数据的集合 8、什么事计算机病毒? 计算机病毒是一种人为的特制小程序,具有自我复制能力,通过非授权入侵而隐藏在可执行程序和数据文件中,影响和破坏正常程序的执行和数据安全,具有相当大的破坏性9、什么叫媒体? 多媒体技术中的媒体主要是指信息的表示形式 10、什么叫多媒体技术? 多媒体技术是指利用计算机技术把文字。声音,图形和图像等多种媒体综合一体化,使它们建立起逻辑联系,并能进行加工处理的技术
域服务器的配置与实现(Windows Server2003) 法一: 1、dns服务器设置 a)开始—程序—管理工具—管理服务器角色—添加删除角色—域控制器(默认) 2、域控制器设置 法二: 一、域服务器的配置: 1.步骤: 1.0:计算机必须安装TCP/IP协议且IP地址最好为静态IP地址, 配置DNS服务器地址为网络中维护该区域DNS服务器的IP地址, 如下图:
1.1:点击开始?运行cmd,输入dcpromo命令,运行,出现【Acrive Directory安装向导】对话框; 1.2:安装配置Active Directory 【Acrive Directory安装向导】对话框: 1.2.1域控制类型:
选中【新域的域控制器】,下一步。 1.2.2创建一个新域: 选中【在新林中的域】,下一步。
1.2.3新的域名: 指定新域的DNS名称,一般应为公用的DNS域名,也可是部网使用的专用域名。 例如:hd.rjxy.。下一步。 1.2.4NetBI O S域名-默认 指定新域的NetBIOS名称。这是为了兼容以前版本Windows用户。该名默认为DNS名称最左
侧的名称,也可指定不同的名称。下一步。 1.2.5志文件文件夹:默认 指定这两种文件的文件夹位置,保留默认值即可。下一步。 1.2.6共享的系统卷:默认
指定存储域公用文件的文件夹,保持默认即可。下一步。 1.2.7DNS注册诊断 提示建立DNS服务器。 因为我们此前没有安装配置过DNS,所以诊断失败。这不是问题,我们让它自动安 装配置。 选中第2个,下一步。 1.2.8权限:默认
w i n d o w s s e r v e r无域配置故障转移群集帮助集团标准化工作小组 [Q8QX9QT-X8QQB8Q8-NQ8QJ8-M8QMN]
准备工作软件准备 (1)?SQL?Server?2016 (2)?Windows?Server?2016??DataCenter???64位 (3)?VMware-workstation?12 Pro 操作系统:都是Windows?Server?2016??DataCenter(只有 Windows?Server?2016?才能无域配置集群) 计算机名 node1:WIN-VF232HI2UR6 node2:WIN-1MCR65603IJ IP规划
第一步:安装故障转移集(所有节点均需要此操作) 第二步:添加DNS后缀(所有节点均需要此操作,且后缀需一致) 第三步:所有节点上以管理员方式运行Powershell,然后执行以下命令 new-itemproperty -path HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System -Name LocalAccountTokenFilterPolicy -Value 1 或者也可以手动添加此注册表项(项名:LocalAccountTokenFilterPolicy,DWEORD(32位)值,值为1) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
第四步:添加用户名,名称、密码均要一致,且隶属于Administrators 第五步:添加节点映射(注意要把集群名以及虚拟IP加上) C:\Windows\System32\drivers\etc\host
域控制服务器教程 把一台成员服务器提升为域控制器(一) 目前很多公司的网络中的PC数量均超过10台:按照微软的说法,一般网络中的PC数目低于10台,则建议建议采对等网的工作模式,而如果超过10台,则建议采用域的管理模式,因为域可以提供一种集中式的管理,这相比于对等网的分散管理有非常多的好处,那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003,客户端则采用Windows XP。 首先,当然是在成员服务器上安装上Windows Server 2003,安装成功后进入系统, 我们要做的第一件事就是给这台成员服务器指定一个固定的IP,在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的,所以我们需要手动去添加,添加方法如下:“开始—设置—控制面板—添加删除程序”,然后再点击“添加/删除Windows组件”,则可以看到如下画面: 向下搬运右边的滚动条,找到“网络服务”,选中:
默认情况下所有的网络服务都会被添加,可以点击下面的“详细信息”进行自定义安装,由于在这里只需要DNS,所以把其它的全都去掉了,以后需要的时候再安装: 然后就是点“确定”,一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中,否则会出现找不到文件的提示,那就需要手动定位了。
windows网络服务与应用-实训报告 实践教学环节任务书 一、题目:某企业网网络基础服务与应用 案例背景: 某企业总部设在北京,在上海和深圳各有一个分公司。每个地方都有员工500人以上,这些员工分布在办公室、销售部、财务部、信息技术部共四个部门里,每个分公司的人员由分公司单独管理。组织结构如图1所示: 图1. 组织结构图 公司在三地都组建的有独立的局域网。 现在公司决定对现有网络进行如下改造: 1、为能使数据共享,将分公司和总部的局域网连接起来以便可以互访。 2、为方便管理和发布资源,在整个公司网络上部署活动目录。 3、为方便员工了解公司内部信息,在总部搭建一台Web服务器,首页用于显示公司信息, 而各个总部和两个分公司也都有自己的二级页面,用于显示部门的信息(一个分公司整体算一个部门),各部门的信息由各部门负责上传。 二、目的与要求
1、目的 (1)熟悉在Windows Server 2008上配置DNS、IIS、VPN等常用的服务和应用; (2)能够使用活动目录来管理网络和发布资源; (3)熟悉Windows网络环境的管理; (4)初步领会网络工程的思想。 2、要求 1、利用Windows组件实现所有功能; 2、IP规划:为三个局域网设计IP地址分配方案; 3、网络互连:利用VPN将三个局域网连接起来; 4、活动目录:设计合理的活动目录部署方案(包含域的结构、DC的位置和数量,DNS的位置和数量、设置组织单位的策略、管理委派的策略); 5、发布共享资源:在总部和各分公司分别建立两个个共享文件夹和共享打印机,并在活动目录中发布,实现打印机定位和共享文件夹的关键字搜索; 6、权限设置:设置分公司的指定用户只能访问总部的一个共享文件夹和一个共享打印机; 7、组织单位:设计一个合适的组织单位策略。 8、Web服务器:实现Web服务器的搭建和发布资源的功能; 9、按照后面的要求撰写文档。 创新要求: 在基本要求达到后,可进行创新设计,在文档中可以单独列出。 三、需求分析 需求分析过程中非常关键的阶段,需求分析里要明确地定义用户的需求,这也是网络设计要达到的目标,根据第一、二两项写出需求分析。 四、网络总体设计 根据第三项的需求分析,进行网络总体设计,即准备采取何种技术来实现所需的服务和功能。对于IP地址的规划和活动目录的逻辑结构等可以采用图表的形式。 五、解决方案 第四步的总体设计中每一项内容具体实施过程的技术细节。要求步骤和配置要清楚详细,关键配置要有截图。(对于只需点击“下一步”的无需截图) 六、功能测试 本案例不要求建立大量用户,但关键用户必须创建,并且要分配正确的权限。例如:香港分公司的一个用户,具有向Web站点上传网页的权限,和访问总部的一个共享文件夹和一
Windows域认证配置帮助文档1.域认证配置的选择 此节讲述域认证配置的场景及配置的选择。 1.1.域认证配置的场景 ●微软网上邻居应用(SMB/SMB2)会话启用了签名。 ●微软exchange邮件应用使用了加密的MAPI协议。 1.2.配置的选择
1.3.多域场景的支持 WOC支持windows多域的场景,如父子信任域、林信任域、树根信任域等。此时,WOC 需加入其中一个域,且此域与用户所在域、服务器所在域为双向信任。 2.WOC配置策略 2.1.自动协商模式的配置步骤 ●WOC服务端加入域 ●WOC服务端应用代理启用签名(Exchange解密已启用无需再启用) ●WOC服务端应用代理选择自动协商模式 ●WOC重启加速 2.2.委派模式配置步骤 ●WOC服务端加入域 ●域控制器(DC)上新建用户,并添加委派所需的权限 ●WOC服务端配置上一步所添加的用户 ●设置WOC服务端的时间与域控制器时间一致 ●WOC服务端应用代理启用签名(Exchange解密已启用无需启用) ●WOC服务端应用代理选择委派模式 ●WOC重启加速 2.3.启用NTLMv2配置步骤 ●WOC服务端应用代理启用NTLMv2 提示: ●WOC服务端是靠近服务器端的WOC设备 ●启用NTLMv2为Exchange代理仅有的选择,使用委派模式时,可以选择。开启此功能, 将引入风险,Outlook客户端无法保存用户名密码。此风险发生条件:(1)使用NTLM/NTLM认证;(2)登录客户端PC与登录OutLook的用户不一致。 ●SMB2只能使用委派模式
3.详细配置步骤 3.1.WOC加入域 3.1.1.配置DNS 在WOC服务端网关,选择系统->部署设置–>DNS ,设置首选DNS为域所在DNS服务器IP地址。例如:那么域名为https://www.doczj.com/doc/cc17973747.html,,输入https://www.doczj.com/doc/cc17973747.html,的DNS服务器IP即可。设置后,选择保存并生效, 系统提示“修改后将重启服务,确定吗?”,选择确定。 3.1.2.加入域 服务端网关,系统->部署设置->windows域。
《Windows服务器配置与管理》课程标准
《Windows服务器配置与管理》课程标准 一、概述 (一)课程性质(课程性质和价值) 随着计算机网络与通讯技术的发展,Internet 在人们的生活、学习和工作中的位置越来越重要,服务器已经在各行各业中有了广泛的应用。因此,熟练掌握服务器的配置与管理已成为网络管理中的一种必须技能。 同时随着服务器管理技术的不断发展,过去纯静态的windowsNT系列的服务器管理已经远远不能满足人们的需要,而windows2003/2008 server 服务器几乎已经成为未来中小型服务器管理的发展趋势。 本课程是学年课程,将全面介绍windows2003/2008常用网络管理和常见服务器的管理技术和方法,使学习者能够熟练配置windows2003/2008常见服务器,以适应现代网络社会的需要。 (二)课程基本理念 按照“以能力为本位、以职业实践为主线、以
项目课程为主体的模块化专业课程体系”的总体设计要求,该门课程以满足一下要求为基本理念 (1)、体系性要求:所设计的模块课程,要求能够既能自成体系,又能独立使用。所谓自成体系是指单个模块课程要涵盖该模块所涉及的所有内容领域,不能有遗漏;所谓能够独立使用,是指该模块课程的设计,要以每一任务为单位,对每一节课甚至每个知识点,要设计出适合教学需要的任务课程,它可以独立用于教学。 (2)、功能性要求:所设计模块课程在教学过程中,要在如下五个方面起重要作用:一是用于辅助教师教学,重点在于向学生演示和表达知识,突破重点和难点,辅助教师进行知识的传授;二是辅助学生学习,重点帮助学生巩固知识,诱导学生积极思考,帮
windows中,权限指的是不同账户对文件,文件夹,注册表等的访问能力在windows中,为不同的账户设置权限很重要,可以防止重要文件被其他人所修改,使系统崩溃 我们可以在控制面板中设置账户时设置权限 作为微软第一个稳定且安全的操作系统,Windows XP经过几年的磨合过渡期,终于以超过Windows系列操作系统50%的用户占有量成为目前用户使用最多的操作系统。在慢慢熟悉了Windows XP后,人们逐渐开始不满足基本的系统应用了,他们更加渴望学习一些较深入且实用的知识,以便能让系统充分发挥出Windows XP 的高级性能。 因此本文以Windows XP Professional版本为平台,引领大家感受一下Windo ws XP在"权限"方面的设计魅力! 一、什么是权限 Windows XP提供了非常细致的权限控制项,能够精确定制用户对资源的访问控制能力,大多数的权限从其名称上就可以基本了解其所能实现的内容。 " 权限"(Permission)是针对资源而言的。也就是说,设置权限只能是以资源为对象,即"设置某个文件夹有哪些用户可以拥有相应的权限",而不能是以用户为主,即"设置某个用户可以对哪些资源拥有权限"。这就意味着"权限"必须针对"资源"而言,脱离了资源去谈权限毫无意义──在提到权限的具体实施时,"某个资源"是必须存在的。 利用权限可以控制资源被访问的方式,如User组的成员对某个资源拥有"读取"操作权限、Administrators组成员拥有"读取+写入+删除"操作权限等。 值得一提的是,有一些Windows用户往往会将"权力"与"权限"两个非常相似的概念搞混淆,这里做一下简单解释:"权力"(Right)主要是针对用户而言的。"权力"通常包含"登录权力" (Logon Right)和"特权"(Privilege)两种。登录权力决定了用户如何登录到计算机,如是否采用本地交互式登录、是否为网络登录等。特权则是一系列权力的总称,这些权力主要用于帮助用户对系统进行管理,如是否允许用户安装或加载驱动程序等。显然,权力与权限有本质上的区别。 二、安全标识符、访问控制列表、安全主体 说到Windows XP的权限,就不能不说说"安全标识符"(Security Identifier, SI D)、"访问控制列表"(Access Control List,ACL)和安全主体(Security Principal)这三个与其息息相关的设计了。 1.安全标识符 安全标识符在Windows XP中,系统是通过SID对用户进行识别的,而不是很多用户认为的"用户名称"。SID可以应用于系统内的所有用户、组、服务或计算机,因为SID是一个具有惟一性、绝对不会重复产生的数值,所以,在删除了一个账户(如
Oracle 在windows 域中安装会出现启动后无法使用的问题。 说明:假定数据库实例名为oracletest;域为https://www.doczj.com/doc/cc17973747.html, 可以采用两种办法解决: 一.修改windows 中的参数;(未经正式库测试,仅 在测试库上通过) 二.安装Oracle公司的OFS(Oracle Fail Safe); 下面详细介绍两种办法: 一.将windows服务中的实例服务(比如 OracleServiceoracletest)的登陆方式从“本地 系统帐户”改为“此帐户”,并且帐户名改为域用 户名格式采用“\”方式,不要采用“@”方式(比 如使用HNSZYY\oracletest ,不使用 oracletest@https://www.doczj.com/doc/cc17973747.html,) 二.安装Oracle公司的OFS OFS的具体安装过程参见点我 以下为OFS在各机器上的安装顺序及注意事项 1.结点1 主域服务器 2.结点2 备份域服务器 3.在每个上安装操作系统 4.安装群集 5.结点切换测试 6.打开结点1,结点2,结点1拥有磁盘阵列控制权 7.在结点1上安装oracle程序,重新启动结点1 说明:选择ENTPRIS****,再选择自定义安装,安装路径选择为本地系统盘安装过程中选择不创建数据库,注意一定不要创建数据库,因为Oracle 8.1.6不像Oracle 9创建数据库时会问你是否选择路径,如果选择了创建数据库则创建的数据库会和Oracle 应用服务一样放在了本地系统盘这样在使用FAILSAFE将数据库加入GROUP的过程中会出错的; 8.在结点2上安装oracle程序,重新启动结点2 9.在结点1上安装oracle实例,重新启动 说明:在节点一上创建要添加到集群中的数据库,点击Oraclehome81中的database configuration assistant来创建新数据库,安装路径选择为D盘(共享磁盘),先不要配置Net8,即不要配置listener.ora 和tnsnames.ora 文件。注意Control 文件、redo log files 和data files 必须创建在磁盘柜的共享分区上; 10.结点2已拥有磁盘阵列控制权,将共享磁盘格式 化,在结点2上安装oracle实例,重新启动 11.在结点1上安装OFS,安装时当需要输入域特权 用户时按照“域名\用户名”格式输入(不要按用 户名@域名的格式输入),重启。 12.在结点2上安装OFS,安装时当需要输入域特权 用户时按照“域名\用户名”格式输入(不要按用 户名@域名的格式输入),重启
目录 第一章虚拟场景 (2) 1、公司简介 (2) 2、公司现有IT状况 (2) 第二章实验设计 (3) 1、域规划 (3) 2、计算机规划 (3) 第三章具体实施 (4) 1、建立根域 (4) 1.1准备 (4) 1.2 安装 (4) 2、建立子域 (10) 3、额外域控制器建立 (13) 4、站点的建立与连接 (19) 4.1 创建站点 (19) 4.2 定义站点子网 (20) 4.3 定位服务器 (20) 4.4 配置站点连接器 (21) 5角色迁移 (22) 第四章实验中的问题 (26)
第一章虚拟场景 1、公司简介 某公司通过合理的运营和管理,发展迅速,员工人数已有200人左右,现在该公司总部设在长春,两个子公司分部在大连和沈阳,为了满足公司未来的发展和企业运营的需求,公司决定重新部署企业网络。公司决定部署一个由200台计算机组成的局域网。用于完成企业数据通信和资源共享。 公司内部有:人力资源部、行政部、财务部、工程部、销售部、总经理办公室 2、公司现有IT状况 公司已有一个局域网,运行200台计算机,服务器操作系统是windows server 2008,客户机的操作系统是windows xp,工作在工作组模式下,员工一人一机办公。公司从ISP申请2M专线用于与各个子公司相连,实现各公司间资源交换与共享。由于计算机比较多,管理上缺乏层次,公司希望能够利用windows域环境管理所有网络资源,提高办公效率,加强内部网络安全,规范计算机使用。
第二章实验设计 1、域规划 一改以往的工作组模式,组建域,使管理更方便,工作的环境更安全,用户可以在任意一台域内的计算机登录,共享网络资源。 在总公司长春建立根域https://www.doczj.com/doc/cc17973747.html,内部子网172.16.18.0/24 大连分部建立子域https://www.doczj.com/doc/cc17973747.html,内部子网10.10.10.0/24 沈阳分部建立子域https://www.doczj.com/doc/cc17973747.html,内部子网192.168.80.0/24 2、计算机规划 DC情况如下表: 地区DC计算机名IP 子网掩码DNS 长春Mywingc 172.16.18.51 255.255.255.0 172.16.18.51 Mywinsu 172.16.18.216 255.255.255.0 172.16.18.51 大连Hanwin01 10.10.10.1 255.255.255.0 172.16.18.51 Hanwin02 10.10..10.216 255.255.255.0 172.16.18.51 沈阳Tbwin01 192.168.80.173 255.255.255.0 172.16.18.51 Shiwin02 192.168.80.215 255.255.255.0 172.16.18.51 2M
WINDOWS 用户权限怎么设置 二O一一年月日製作 首先申明我的系統是香港的繁體正版的 在開始運行里輸入cont rol userp asswo rds2 (權限管理) 按確定 輸入密碼: 注明:一般電腦沒有多個用戶密碼是空的 有多個用戶沒有設定Adm inis trat ou密碼的直
接確定就可以了 電腦使用者帳戶: 下面就是設置用戶權限的: 選擇下面用戶 A d minis tr a to rs, A d min yt A d mi nis tr a to rs管理员组
Gue s t Gue s ts:来宾组 Mrp2P o we r Us e rs,高级用户组 選擇內容
選擇群組成員資格設定改用戶的權限: 下面是你所選擇用戶分配的權限:
Windows NT里,用户被分成许多组,组和组之间都有不同的权限,当然,一个组的用户和用户之间也可以有不同的权限。下面我们来谈谈NT中常见的用户组。 Administrators,管理员组,默认情况下,Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以,只有受信任的人员才可成为该组的成员。 Power Users,高级用户组,Power Users 可以执行除了为Administrators 组保留的任务外的其他任何操作系统任务。分配给Power Users 组的默认权限允许Power Users 组的成员修改整个计算机的设置。但Power Users 不具有将自己添加到Administrators 组的权限。在权限设置中,这个组的权限是仅次于Administrators的。 Users:普通用户组,这个组的用户无法进行有意或无意的改动。因此,用户可以运行经过验证的应用程序,但不可以运行大多数旧版应用程序。Users 组是最安全的组,因为分配给该组的默认权限不允许
域控制器的安装及相关配置 这节课我们一起来学习Win2003域的安装配置,用户管理、委派管理、辅助域控建立、子域建立及域管理介绍及域信任。 在Windows中AD(活动目录)是用来存储用户帐户、组、打印机、共享文件夹等对象目录的,它负责目录数据库的保存、新建、删除、修改及查询等服务。 域部署过程如下: 1、利用Windows2003安装域控制器; 2、在Active Directory中创建OU,用户帐户及组; 3、将客户机Windows XP或Windows2000 professional加入域; 4、辅助域控建立; 5、子域建立; 6、域信任关系; 7、从Win2000到Win2003 一、安装第一台域控制器(管理员密码设置一个简单的123456) 在安装域控制器之前要决定你是AD中的林根还是树或是子域,以及是域中的第一个DC还是第一台之后的DC,如果是AD中第一就好办啦. 安装DC之前要注意把你的DC上的DNS指向自己,域有域名所以需要DNS做域名解析,所以建议大家在安装的域控制器的时候就把DNS指向自己,然后在安装DC的时候选择在DC上安装DNS。(如果你对DNS比较熟的话可以将DNS安装在其它的DNS上)。 安装之前有几点要注意的: 1、需要固定IP,指向DNS为自己; 2、需要有NTFS分区存放sysvol文件夹 3、Windows 2003 Web Edition无法安装为DC 在运行中输入“Dcpromo”打开安装向导, 在这里直接点击“下一步”,
这里是一个兼容性的要求,Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器,我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。然后点击“下一步”, 在这里由于这是第一台域控制器,所以选择第一项:“新域的域控制器”,然后点“下一步”,