配置Active Directory域基础结构(1)
本模块内容
本模块介绍了将组策略应用于Windows Server 2003和Windows 2000 Server 域中的Windows XP Professional 客户端所需的概念。组策略是Microsoft Active Directory 目录服务的一个功能,它使管理员可以更改用户和计算机设置以及管理配置,但是,在将组策略应用于环境中的Windows XP Professional 客户端之前,需要在域中执行某些基本步骤。
组策略是确保Windows XP 安全的重要工具。本模块提供有关如何使用组策略从中心位置在整个网络中应用和维护一致安全策略的详细信息。
本指南为企业环境和高安全级环境提供选项。对于台式计算机和便携式计算机客户端,本模块中建议的设置是相同的。
目标
使用本模块可以实现下列目标:
描述Active Directory 如何应用组策略对象
设计组织单位结构以支持安全管理
设计组策略对象以支持安全管理
对安全模板进行管理
对管理模板进行管理
使用组策略实现有效的密码策略
使用组策略实现有效的帐户锁定策略
确定哪些用户可以向域中添加工作站
确保在允许的登录时间结束时注销用户
使用组策略管理工具来更新策略和查看组策略应用的结果
适用范围
本模块适用于下列产品和技术:
Windows Server 2003 域中的Windows XP Professional 客户端
Windows 2000 域中的Windows XP Professional 客户端
如何使用本模块
本模块提供了一种方法,并描述了使用组策略在Windows Server 2003 或Windows 2000 Active Directory 域中确保Windows XP Professional 客户端的安全所需的步骤。
为了充分理解本模块内容,请阅读“Windows XP 安全指南简介”。该模块定义了在此模
块中引用的企业客户端环境和高安全级环境。
使用检查表。本指南的“检查表”部分中的检查表“配置Active Directory 域基础结构”提供了可打印的作业指导,以供快速参考。使用基于任务的检查表可以快速评估需要哪些步骤并帮助您逐步完成各个步骤。
使用随本指南提供的“Windows XP 安全指南设置”电子表格。它可以帮助您将环境中所做的设置编制为文档。
使用附带的解决方法。本指南引用下列指导文章(均为英文):
“How To:Prevent Users from Changing a Password Except When Required in Windows Server 2003”
“How To:Prevent Users from Changing a Password Except When Required in Windows 2000”
组策略
组策略是Microsoft? Active Directory? 目录服务的一个功能,可用来更改用户和计算机设置,以及Microsoft Windows Server 2003? 和Microsoft Windows? 2000 Server 域中的配置管理。但是,在将组策略应用于环境中的Microsoft Windows XP Professional 客户端之前,需要在域中执行某些基本步骤。
组策略设置存储在环境中域控制器上的组策略对象(GPO) 中。GPO 链接到容器,这些容器包括Active Directory 站点、域和组织单位(OU)。由于组策略与Active Directory 紧密集成,在实现组策略之前有必要对Active Directory 结构和在其中配置不同设计选项的安全含义进行基本的了解。有关Active Directory 设计的详细信息,请参阅“Windows Server 2003 Security Guide”的模块2“Configuring the Domain Infrastructure”(英文)。
表 2.1:基准安全模板
支持安全管理的OU 设计
OU 是Active Directory 域中的容器。OU 可以包含用户、组、计算机和其他组织单位,它们都称为子OU。可以将GPO 链接到OU,它是Active Directory 层次结构中的最低容器。还可以将管理权限委派给OU。OU 提供了对用户、计算机和其他安全主体进行分组的简便方法,还提供了划分管理边界的有效方法。将用户和计算机分配给单独的OU,因为某些设置只适用于用户,而某些则只适用于计算机。
可以使用委派向导来委派对一个组或单个OU 的控制,委派向导可以作为Active Directory 用户和计算机Microsoft 管理控制台(MMC) 管理单元工具的一部分获得。有关
委派权限的文档的链接,请参阅本模块结尾的“其他信息”部分。
为任何环境设计OU 结构的一个主要目标是,为创建覆盖Active Directory 中驻留的所有工作站的无缝组策略实现提供基础,同时确保它们符合组织的安全标准。设计OU 结构的另一个目标是,为组织中特定类型的用户提供适当的安全设置。例如,可以允许开发人员对工作站进行一般用户无权进行的操作。便携式计算机用户与台式计算机用户相比,安全要求也可以略有不同。下图说明了足以用来讨论本模块中的组策略的简单OU 结构。此OU 的结构可能与您的环境的组织要求不同。
图 2.1 Windows XP 计算机的OU 结构
部门OU
由于组织内的安全要求经常变化,很有必要在环境中创建部门OU。部门安全设置可以通过GPO 应用于各自部门OU 中的计算机和用户。
安全的XP 用户OU
此OU 包含同时参与企业客户端环境和高安全级环境的用户的帐户。模块4“Windows XP 管理模板”中的“用户配置”部分中讨论了对此OU 应用的设置。
Windows XP OU
此OU 包含环境中每种Windows XP 客户端的子OU。在这里,包含了用于台式计算机和便携式计算机客户端的指南。出于此原因,已经创建了台式计算机OU 和便携式计算机OU。
台式计算机OU:此OU 包含始终连接到公司网络的台式计算机。模块3“Windows XP 客户端安全设置”和模块4“Windows XP 管理模板”中详细讨论了对此OU 应用的设置。
便携式计算机OU:此OU 包含不始终连接到公司网络的移动用户的便携式计算机。模块3“Windows XP 客户端安全设置”和模块4“Windows XP 管理模板”中详细讨论了对此OU 应用的设置。
支持安全管理的GPO 设计
使用GPO 确保特定设置、用户权限和行为应用于OU 中的所有工作站或用户。通过使用组策略(而不是使用手动步骤),可以很方便地更新大量将来需要额外更改的工作站或用户。使用GPO 应用这些设置的替代方法是派出一名技术人员在每个客户端上手动配置这些设置。
图 2.2 GPO 应用顺序
上图显示了对作为子OU 成员的计算机应用GPO 的顺序。首先从每个Windows XP 工作站的本地策略应用组策略。应用本地策略后,依次在站点级别和域级别应用任何GPO。
对于几个OU 层中嵌套的Windows XP 客户端,在层次结构中按从最高OU 级别到最低级别的顺序应用GPO。从包含客户端计算机的OU 应用最后的GPO。此GPO 处理顺序(本地策略、站点、域、父OU 和子OU)非常重要,因为此过程中稍后应用的GPO 将会替代先前应用的GPO。用户GPO 的应用方式相同,唯一区别是用户帐户没有本地安全策略。
当设计组策略时请记住下列注意事项。
管理员必须设置将多个GPO 链接到一个OU 的顺序,否则,默认情况下,将按以前链接到此OU 的顺序应用策略。如果在多个策略中指定了相同的顺序,容器的策略列表中的最高策略享有最高优先级。
可以使用“禁止替代”选项来配置GPO。选择此选项后,其他GPO 不能替代为此策略配置的设置。
可以使用“阻止策略继承”选项来配置Active Directory、站点、域或OU。此选项阻止来自Active Directory 层次结构中更高的GPO 的GPO 设置,除非它们选择了“禁止替代”选项。
组策略设置根据Active Directory 中用户或计算机对象所在的位置应用于用户和计算机。在某些情况下,可能需要根据计算机对象的位置(而不是用户对象的位置)对用户对象应用策略。组策略环回功能使管理员能够根据用户登录的计算机应用用户组策略设置。有关环回支持的详细信息,请参阅本模块的“其他信息”部分中列出的组策略白皮书。
下图展开了基本OU 结构,以显示如何对运行Windows XP 且属于便携式计算机OU 和台式计算机OU 的客户端应用GPO。
图 2.3 展开的OU 结构,包含运行Windows XP 的台式计算机和便携式计算机的安全
GPO
在上例中,便携式计算机是便携式计算机OU 的成员。应用的第一个策略是运行
Windows XP 的便携式计算机上的本地安全策略。由于此例中只有一个站点,所以站点级别上未应用GPO,将域GPO 作为下一个要应用的策略。最后,应用便携式计算机GPO。
注意:台式计算机策略未应用于任何便携式计算机,因为它未链接到包含便携式计算机OU 的层次结构中的任何OU。另外,安全的XP 用户OU 没有对应的安全模块(.inf 文件),因为它只包括来自管理模块的设置。
作为GPO 之间优先级如何起作用的示例,假设“通过终端服务允许登录”的Windows XP OU 策略设置被设置为“Administrators”组。“通过终端服务允许登录”的便携式计算机GPO 设置被设置为“Power Users”和“Administrators”组。在此情况下,帐户位于“Power Users”组中的用户可以使用终端服务登录到便携式计算机。这是因为便携式计算机OU 是Windows XP OU 的子级。如果在Windows XP GPO 中启用了“禁止替代”策略选项,只允许那些帐户位于“Administrators”组中的用户使用终端服务登录到客户端。
安全模板
组策略模板是基于文本的文件。可以使用MMC 的安全模板管理单元,或使用文本编辑器(如记事本),来更改这些文件。模板文件的某些章节包含由安全描述符定义语言(SDDL) 定义的特定访问控制列表(ACL)。有关编辑安全模板和SDDL 的详细信息,请参阅本模块中的“其他信息”部分。
安全模板的管理
将生产环境中使用的安全模板存储在基础结构中的安全位置是非常重要的。安全模板的访问权只应该授予负责实现组策略的管理员。默认情况下,安全模板存储在所有运行Windows XP 和Windows Server 2003 的计算机的%SystemRoot%\security\templates 文件
夹中。
此文件夹不是跨多个域控制器复制的。因此,您需要选择一个域控制器来保存安全模板的主副本,以避免遇到与模板有关的版本控制问题。此最佳操作确保您始终修改模板的同一副本。
导入安全模板
使用下列过程导入安全模板。
将安全模板导入GPO:
1.导航到组策略对象编辑器中的“Windows 设置”文件夹。
2.展开“Windows 设置”文件夹,然后选择“安全设置”。
3.右键单击“安全设置”文件夹,然后单击“导入策略...”。
4.选择要导入的安全模板,然后单击“打开”。文件中的设置将导入到GPO 中。
管理模板
在称为管理模板的基于Unicode 的文件中,可以获得其他安全设置。管理模板是包含影响Windows XP 及其组件以及其他应用程序(如Microsoft Office XP)的注册表设置的文件。管理模板可以包括计算机设置和用户设置。计算机设置存储在
HKEY_LOCAL_MACHINE 注册表配置单元中。用户设置存储在HKEY_CURRENT_USER 注册表配置单元中。
管理模板的管理
像上面的用于存储安全模板的最佳操作一样,将生产环境中使用的管理模板存储在基础结构中的安全位置是非常重要的。只有负责实现组策略的管理员才能有此位置的访问权限。
Windows XP 和Windows 2003 Server 附带的管理模板存储在%systemroot%\inf 目录中。“Office XP Resource Kit”附带了用于Office XP 的其他模板。这些模板在发布Service Pack 时会进行更改,所以不能编辑。
向策略添加管理模板
除了Windows XP 附带的管理模板外,还要将Office XP 模板应用于要在其中配置Office XP 设置的GPO。使用下列过程向GPO 添加其他模板。
向GPO 添加管理模板:
1.导航到组策略对象编辑器中的“管理模板”文件夹。
2.右键单击“管理模板”文件夹,然后单击“添加/删除模板”。
3.在“添加/删除模板”对话框中,单击“添加”。
4.导航到包含管理模板文件的文件夹。
5.选择要添加的模板,单击“打开”,然后单击“关闭”。
域级别组策略
域级别组策略包括对域中所有计算机和用户应用的设置。位于
https://www.doczj.com/doc/ec2232588.html,/fwlink/?LinkId=14845 的“Windows Server 2003 Security Guide”的模块2“Configuring the Domain Infrastructure”(英文)中详细介绍了域级别安全。
经常更改的复杂密码减少了密码攻击成功的可能性。密码策略设置控制密码的复杂性和使用期限。本节讨论用于企业客户端环境和高安全级环境的每个密码策略设置。
在组策略对象编辑器中的以下位置的域组策略中配置下列值:
计算机配置\Windows 设置\安全设置\帐户策略\密码策略
下表包含对本指南中定义的两种安全环境的密码策略建议。
强制密码历史
表 2.2:设置
“强制密码历史”设置确定在重用旧密码之前必须与用户帐户相关的唯一新密码的数量。此设置的值必须在0 到24 个记住的密码之间。Windows XP 的默认值是0 个密码,但是域中的默认设置是24 个记住的密码。要维护密码历史的有效性,请使用“密码最短使用期限”设置,以阻止用户不断更改密码来避开“强制密码历史”设置。
对于本指南中定义的两个安全环境,将“强制密码历史”设置配置为“24 个记住的密码”。通过确保用户无法轻易重用密码(无论意外或故意),最大设置值增强了密码的安全性。它还可以帮助确保攻击者窃得的密码在可以用于解开用户帐户之前失效。将此值设置为最大数量不会产生已知问题。
密码最长使用期限
表 2.3:设置
此设置的值的范围为 1 到999 天。为了指定从不过期的密码,还可以将此值设置为0。此设置定义了解开密码的攻击者在密码过期之前使用密码访问网络上的计算机的期限。此设置的默认值为42 天。
对于本指南中定义的两个安全环境,将“密码最长使用期限”设置配置为值“42 天”。大多数密码都可以解开,因此,密码改动越频繁,攻击者使用解开的密码的机会越少。但是,此值设置越低,帮助台支持的呼叫增多的可能性越大。将“密码最长使用期限”设置为值42 可以确保密码周期性循环,从而增加了密码安全性。
密码最短使用期限
表 2.4:设置
“密码最短使用期限”设置确定了用户可以更改密码之前必须使用密码的天数。此设置的值的范围是 1 到998 天,也可以将此设置的值设置为0 以允许立即更改密码。此设置的默认值为0 天。
“密码最短使用期限”设置的值必须小于为“密码最长使用期限”设置指定的值,除非“密码最长使用期限”设置的值配置为0(导致密码永不过期)。如果“密码最长使用期限”设置的值配置为0,“密码最短使用期限”设置的值可以配置为从0 到999 之间的任何值。
如果希望“强制密码历史”设置生效,请将此值配置为
帐户锁定策略
帐户锁定策略是一项Active Directory 安全功能,它在一个指定时间段内多次登录尝试失败后锁定用户帐户。允许的尝试次数和时间段基于为安全策略锁定设置配置的值。用户不能登录到锁定的帐户。域控制器跟踪登录尝试,而且服务器软件可以配置为通过在预设时间段禁用帐户来响应此类潜在攻击。
在Active Directory 域中配置帐户锁定策略时,管理员可以为尝试和时间段变量设置任何值。但是,如果“复位帐户锁定计数器”设置的值大于“帐户锁定时间”设置的值,则域控制器自动将“帐户锁定时间”设置的值调整为与“复位帐户锁定计数器”设置相同的值。
另外,如果“帐户锁定时间”设置的值比为“复位帐户锁定计数器”设置配置的值低,则域控制器自动将“复位帐户锁定计数器”的值调整为与“帐户锁定时间”设置相同的值。因此,如果定义了“帐户锁定时间”设置的值,则“复位帐户锁定计数器”设置的值必须小于或等于为“帐户锁定时间”设置所配置的值。
域控制器执行此操作,以避免与安全策略中的设置值冲突。如果管理员将“复位帐户锁定计数器”设置的值配置为比“帐户锁定时间”设置的值大,则为“帐户锁定时间”设置配置的值的实施将首先过期,因此用户可以登录回网络上。但是,“复位帐户锁定计数器”设置将继续计数。因此“帐户锁定阈值”设置将保留最大值( 3 次无效登录),用户将无法登录。
为了避免此情况,域控制器将“复位帐户锁定计数器”设置的值自动重置为与“帐户锁定时间”设置的值相等。
这些安全策略设置有助于防止攻击者猜测用户密码,并且会降低对网络环境的攻击成功的可能性。可以在组策略对象编辑器中以下位置的域组策略中配置下表中的值:
计算机配置\Windows 设置\安全设置\帐户策略\帐户锁定策略
下表包含对本指南中定义的两种安全环境的帐户锁定策略建议。
帐户锁定时间
表 2.8:设置
“帐户锁定时间”设置确定在未锁定帐户且用户可以尝试再次登录之前所必须经历的时间长度。此设置通过指定锁定帐户保持不可用的分钟数来执行此操作。如果“帐户锁定时间”设置的值配置为0,则锁定的帐户将保持锁定,直到管理员将它们解锁。此设置的Windows XP 默认值为“没有定义”。
为了减少帮助台支持呼叫的次数,同时提供安全的基础结构,对于本指南中定义的两种环境,将“帐户锁定时间”设置的值配置为“30 分钟”。
将此设置的值配置为永不自动解锁似乎是一个好主意,但这样做会增加组织中的帮助台为了解锁不小心锁定的帐户而收到的呼叫的次数。对于每个锁定级别,将此设置的值配置为30 分钟可以减少“拒绝服务(DoS)”攻击的机会。此设置值还使用户在帐户锁定时有机会在30 分钟内再次登录,这是在无需求助于帮助台的情况下他们最可能接受的时间段。
帐户锁定阈值
表 2.9:设置
“帐户锁定阈值”设置确定用户在帐户锁定之前可以尝试登录帐户的次数。
授权用户将自己锁定在帐户外的原因可能有:输错密码或记错密码,或者在计算机上更改了密码而又登录到其他计算机。带有错误密码的计算机连续尝试对用户进行身份验证,由于它用于身份验证的密码不正确,导致用户帐户最终锁定。对于只使用运行Windows Server 2003 或更早版本的域控制器的组织,不存在此问题。为了避免锁定授权用户,请将帐户锁定阈值设置为较高的数字。此设置的默认值为“0 次无效登录”。
对于本指南中定义的两种环境,将“帐户锁定阈值”的值配置为“50 次无效登录”。
由于无论是否配置此设置的值都会存在漏洞,所以,为这些可能性中的每种可能性定义了独特措施。您的组织应该根据识别的威胁和正在尝试降低的风险来在两者之间做出平衡。有两个选项可用于此设置。
将“帐户锁定阈值”的值配置为“0”可以确保帐户不会锁定。此设置值将避免旨在锁定组织中的帐户的DoS 攻击。它还可以减少帮助台呼叫次数,因为用户不会将自己意外地锁定在帐户外。由于此设置不能避免强力攻击,所以,只有当明确符合下列两个条件时才将它配置为比0 大的值
密码策略强制所有用户使用由8 个或更多字符组成的复杂密码。
强健的审核机制已经就位,以便当组织环境中发生一系列帐户锁定时提醒管理员。例如,审核解决方案应该监视安全事件539(此事件为登录失败)。此事件意味着当尝试登录时锁定帐户。
如果不符合上述条件,则第二个选项为:
将“帐户锁定阈值”设置配置为足够高的值,以便让用户可以意外输错密码若干次而不会将自己锁定在帐户外,同时确保强力密码攻击仍会锁定帐户。在这种情况下,将此设置的值配置为一定次数(例如 3 到 5 次)的无效登录可以确保适当的安全性和可接受的可用性。此设置值将避免意外的帐户锁定和减少帮助台呼叫次数,但不能如上所述避免DoS 攻击。
复位帐户锁定计数器
表 2.10:设置
“复位帐户锁定计数器”设置确定“帐户锁定阈值”重置为零之前的时间长度。此设置的默认值为“没有定义”。如果定义了“帐户锁定阈值”,则此重置时间必须小于或等于“帐户锁定
时间”设置的值。
对于本指南中定义的两种环境,将“复位帐户锁定计数器”设置配置为“30 分钟之后”。
将此设置保留为其默认值,或者以很长的间隔配置此值,都会使环境面临DoS 攻击的威胁。攻击者对组织中的所有用户恶意地进行大量失败登录,如上所述锁定他们的帐户。如果没有确定策略来重置帐户锁定,则管理员必须手动解锁所有帐户。反过来,如果为此设置配置了合理的时间值,在所有帐户自动解锁之前用户只锁定一段已设置的时间。因此,建议的设置值30 分钟定义了用户在无需求助于帮助台的情况下最可能接受的时间段。
用户权限分配
模块3“Windows XP 客户端安全设置”中详细介绍了用户权限分配。但是,应该对所有域控制器设置“域中添加工作站”用户权限,本模块中讨论了其原因。“Windows 2003 Server Security Guide”(英文)的模块 3 和4 中介绍了有关成员服务器和域控制器设置的其他信息。
域中添加工作站
表 2.11:设置
“域中添加工作站”用户权限允许用户向特定域中添加计算机。为了使此权限生效,必须将它作为域的默认域控制器策略的一部分分配给用户。授予了此权限的用户可以向域中最多添加10 个工作站。授予了Active Directory 中OU 或计算机容器的“创建计算机对象”权限的用户还可以将计算机加入域。授予了此权限的用户可以向域中添加不限数量的计算机,无论他们是否已被分配“域中添加工作站”用户权限。
默认情况下,“Authenticated Users”组中的所有用户能够向Active Directory 域中最多添加10 个计算机帐户。这些新计算机帐户是在计算机容器中创建的。
在Active Directory 域中,每个计算机帐户是一个完整的安全主体,它能够对域资源进行身份验证和访问。某些组织想要限制Active Directory 环境中的计算机数量,以便他们可以始终跟踪、生成和管理它们。
允许用户向域中添加工作站会妨碍此努力。它还为用户提供了执行更难跟踪的活动的途径,因为他们可以创建其他未授权的域计算机。
出于这些原因,在本指南中定义的两种环境中,“域中添加工作站”用户权限只授予给“Administrators”组。
安全设置
帐户策略必须在默认域策略中定义,且必须由组成域的域控制器强制执行。域控制器始终从默认域策略GPO 获取帐户策略,即使存在对包含域控制器的OU 应用的其他帐户策
略。
在安全选项中有两个策略,它们也像域级别要考虑的帐户策略那样发挥作用。可以在组策略对象编辑器中的以下位置配置下表中的域组策略值:
计算机配置\Windows 设置\安全设置\本地策略\安全选项
Microsoft 网络服务器:当登录时间用完时自动注销用户
表 2.12:设置
“Microsoft 网络服务器:当登录时间用完时自动注销用户”设置确定在超过用户帐户的有效登录时间后,是否断开连接到本地计算机的用户。此设置影响服务器消息块(SMB) 组件。启用此策略后,它使客户端与SMB 服务的会话在超过客户端登录时间后强制断开。如果禁用此策略,则允许已建立的客户端会话在超过客户端登录时间后继续进行。启用此设置可以确保也启用了“网络安全:在超过登录时间后强制注销”设置。
如果组织已经为用户配置了登录时间,则很有必要启用此策略。否则,已假设无法在超出登录时间后访问网络资源的用户,实际上可以通过在允许的时间中建立的会话继续使用这些资源。
如果在组织中未使用登录时间,则启用此设置将没有影响。如果使用了登录时间,则当超过现有用户的登录时间后将强制终止现有用户会话。
网络访问:允许匿名SID/名称转换
Active Directory Sizer的作用
Active Directory Sizer能帮助用户估计并规划支持活动目录所需的域控制器的数量、磁盘空间、RAM需求,服务器CPU的要求,以及带宽的需求等。这个工具提供的所有评估都是基于用户提供的信息,如当前的用户数量,每个域控制器所需的CPU利用率,以及在高峰期每秒钟平均的登录数。
安装和运行
从Microsoft 站点可下载Active Directory Sizer。在Windows 2000 和Windows XP 系统中执行Setup.exe文件进行安装。安装时,只需简单的运行这个执行文件并接受默认选择。
点击开始|程序|Active Directory Sizer|Active Directory Sizer,运行这个工具。(如果用户在XP中使用的是Luna界面,则点击开始|所有程序| Active Directory Sizer| Active Directory Sizer)
从Active Directory Sizer工具中得到有用的信息
GIGO(垃圾进、垃圾出)是IT业内使用数据库工作时常用到的一句短语,同时它也真实地反映在Active Directory Sizer工具中。当信息输入这个应用工具时,它会将最好的评估
信息反馈给用户,从而使用户利用这个工具得到有用的信息。
在启动这个工具后,选择:文件| 始新的活动目录向导。接下来的六个步骤将在下面的例子中逐一演示。
第一步很简单:操作向导要求一个域名。下面举例中使用https://www.doczj.com/doc/ec2232588.html, 。第二步集合了用户帐户信息和操作向导的两个屏幕。第一个屏如图A ,表A解释其选项。
点击"下一步"进入第二个用户帐户窗口,询问关于组织的策略和更详细的资料(图B)。下表解释其选项。
第三个步骤中,需要了解用户的域中计算机
操作向导的第四个步骤将询问你,在特定的时间期限内,估计有多少对象你需要添加,删除和更改。如图E所示,计划每天添加350个帐号,删除275个,更改200个。
运行Microsoft Exchange 2000时,由于Microsoft Exchange 2000和活动目录两者紧密结合,因此能对域控制器添加附加的要求。操作向导的第一步就是收集有关的Exchange 2000的信息资料,其中的所有询问都是自我说明的。
操作向导需要知道,每个用户每天平均发送多少消息?有多少收件人?你拥有多少Exchange 2000服务器和邮件路由组?举例说明,估计https://www.doczj.com/doc/ec2232588.html,的消息流量是每天35个消息,平均每个消息有7个接收人,有10个Exchange服务器和两个邮件路由组。如图F所示。
操作向导的最后一个步骤是关于服务,询问有关的Windows 2000 DNS服务,以及是否在活动目录的所有范围内使用这些服务。在这一步骤中,需要详细说明有多少使用拨号登录的用户加入这个域,DHCP的最后期限是多长,以及DNS的使用信息。举例说明https://www.doczj.com/doc/ec2232588.html, 域中,有250个拨号登录的用户,DHCP的终止期限是三天之后,DNS老化信息设缺省值为7。如图G所示。
如果有其它的应用软件使用活动目录,例如其它活动目录连接器,或Directory同步软件,服务步骤的第二屏会允许估计使用这些应用软件延伸的工作量(如图H所示)。举例说明,https://www.doczj.com/doc/ec2232588.html,中则没有任何这些服务。
结果
在举例说明中运用数量众多的用户,目的是为了展示需要36台基础服务器支持https://www.doczj.com/doc/ec2232588.html,日复一日作业的结果(图I)。
点击域控制器选项,显示每13个建议的域控制器推荐采用的配置,包括RAM,磁盘空间要求,以及最大限度执行的RAID标准。(图J)
总结
作为强大的活动目录展示的媒介,Active Directory Sizer为支持你的组织确定必需的服务器数量,提供了一个很好的出发点。此外,利用评估输入和Microsoft规则,这些数据就可被完全的估计确定。紧记Microsoft是销售服务许可的商业,因此在购买许可前需要谨慎分析
在windows 2003下设置IIS及DNS
很多朋友在用IIS6架网站的时候遇到不少问题,而这些问题有些在过去的IIS5里面就遇到过,有些是新出来的,俺忙活了一下午,做了很多次试验,结合以前的排错经验,做出了这个总结,希望能给大家帮上忙:)
问题1:未启用父路径
症状举例:
Server.MapPath() 错误ASP 0175 : 80004005
不允许的Path 字符
/0709/dqyllhsub/news/OpenDatabase.asp,行 4
在MapPath 的Path 参数中不允许字符..。
原因分析:
许多Web页面里要用到诸如../格式的语句(即回到上一层的页面,也就是父路径),而IIS6.0出于安全考虑,这一选项默认是关闭的。
解决方法:
在IIS中属性->主目录->配置->选项中。把”启用父路径“前面打上勾。确认刷新。
问题2:ASP的Web扩展配置不当(同样适用于https://www.doczj.com/doc/ec2232588.html,、CGI)
症状举例:
HTTP 错误404 - 文件或目录未找到。
原因分析:
在IIS6.0中新增了web程序扩展这一选项,你可以在其中对ASP、https://www.doczj.com/doc/ec2232588.html,、CGI、IDC 等程序进行允许或禁止,默认情况下ASP等程序是禁止的。
解决方法:
在IIS中的Web服务扩展中选中Active Server Pages,点击“允许”。
问题3:身份认证配置不当
主域控制器 https://www.doczj.com/doc/ec2232588.html,+DNS 操作系统:Microsoft Windows Server 2003 网卡信息:IP:192.168.1.10/24 首选DNS:192.168.1.10 备用DNS:192.168.1.11 额外域控制器 https://www.doczj.com/doc/ec2232588.html,+DNS 操作系统:Microsoft Windows Server 2003 网卡信息:IP:192.168.1.11/24 首选DNS:192.168.1.11 备用DNS:192.168.1.10 安装步骤: 1 安装前,额外域控制器的DNS指向主域控 2 安装DNS服务但不设置 3 安装额外域控,如果主域控中dns和AD集成,额外域控制器会在安装ad后自动同步dns 记录. 4 安装后修改额外域控制器的DNS指向本机(可选)。 一、额外域控制器安装及相关设置 在做额外域控的机器上运行DCPROMO,安装额外域控制器。 安装完毕后,重启。 1、在dcserver主域控器DNS管理界面里 1)选中正向区域的“_https://www.doczj.com/doc/ec2232588.html,“,点右键属性,确认区域类型: “Active Director 集成区域”;更改区域复制范围为“至Active Directory域中的所有域控制器”确认动态更新为“安全” 2)再“名称服务器”标签中,将额外域控制器全域名及IP添加进来 3)在“区域复制”标签中,将“允许区域复制”打勾,并点选“只有在“名称服务器”选项卡中列出的服务器”这项。 4)依次在“https://www.doczj.com/doc/ec2232588.html,”和反向查找区域“192.168.1.x. subnet”做以上各步履,在主域DNS服务器设置完成。 2、在额外域控制器上安装DNS服务(升级额外域控时未配置DNS服务)安装完毕,打开DNS管理器界面(相关设定应该自动复制完毕),再将各区域设置为“允许区域复制”。 3、将主域控及额外域控主DNS设为本机IP,备用DNS地址互指。 4、将额外域控制器dcbak本身设为“全局编录” 打开“Active Directory站点和服务”,点选DCBAK ->NTDS右击属性,将“全局编录”打勾,点确定退出。 5、客户端还需要将主备dns地址填上主域控及额外域控的地址(可通过组策略中登陆脚本实现客户端DNS地址添加) 至此,主域控与额外域控可负载均衡(应该是这么叫吧),若一个域控损坏,客户端登陆不受影响。 二、主域控制器FSMO角色的迁移
WINDOWS SERVER 2008 R2 域控制器安装过程 有人将是从第一台DC开始的。的确,AD的起点是从安装第一台DC开始的。但是,可能很少有人会意识到在安装第一台DC时,实际上是在部署AD的第一个域——根域,第一棵域树,乃至实现一个单域的域林。只不过这个林中只有一棵域树,这棵域树中只有一个域,而且域中就只有这一台计算机——第一个DC。 由此可见,在企业中即使是在部署安装第一台DC之前,所考虑的并不仅仅是怎样去安装一台域控制器那么简单,而是要考虑好整个域林、域树的规划,以及相关服务,如:DNS服务等的规划的部署。并且要考虑清楚,每一个服务实现的位置,每一个步骤实现的做法。只有这样走下来,所部属的AD才能更大的满足现在和以后的需要。在此,由安装域林中第一台DC的过程,可以了解到在部署前需要考虑的一系列基本问题。 一、DC网络属性的基本配置 对于将要安装成为DC的服务器来讲,其系统配置以及基本的磁盘规划在此就不在累述了,但是关键的网络连接属性是必须要注意的。可以通过打开本地连接的属性来进行配置其IP属性。作为服务器DC的IP地址一定要是静态的IP地址,虽然不一定需要配置默认网关,但是DNS服务器指向一定要配置正确,因为AD的工作是紧密依赖于DNS服务的。本实例中整个微软网络环
境都是白手起家的,考虑让这第一台DC同时充当企业网络中的DNS服务器,故需要将其首选DNS服务器地址配置为本台计算机的IP地址(如图1)。 图1 由于WIN08R2默认防火墙配置是根据连接网络类型来实施过滤的,所以,最好通过“网络和共享中心”将其网络类型有默认识别为的“公用网络”更改为“专用网络”(如图2)。
《数字电子技术》课程标准 一、课程简介 (一)课程性质 《数字电子技术》基础课程是电气工程及其自动化专业本科生在电子技术方面入门性质的技术基础课,具有自身的体系和很强的实践性。本课程通过对常用电子器件、数字电路及其系统的分析和设计的学习,使学生获得数字电子技术方面的基本知识、基本理论和基本技能,为深入学习数字电子技术及其在专业中的应用打好基础。本课程在第三学期开设,其前导课程是《高等数学》、《电路原理》、《模拟电子技术》,后续课程是《单片机接口技术》、《电气控制与PLC》等。 (二)课程任务 本课程的主要任务是使学生掌握数字电路与系统的工作原理和分析设计方法;学会使用标准的集成电路和高密度可编程逻辑器件,掌握数字系统的基本设计方法,为进一步学习各种超大规模集成电路的系统设计打下基础。 二、课程目标和能力培养 (一)总体目标
使学生掌握数字电子技术的基本原理、基本理论、基本知识,具有较强的实验技能,对学生进行电子设计能力训练,为学习后续专业课程准备必要的知识,并为今后从事有关实际工作奠定必要的基础。在学习中认识电子技术对现代科学技术重大影响和各种应用,了解并适当涉及正在发展的学科前沿。 (二)具体目标 1.知识目标 掌握常用计数进制和常用BCD码; 掌握逻辑函数及其化简; 掌握TTL门电路、CMOS门电路的特点和常用参数; 理解常用组合逻辑电路的原理,掌握其功能; 理解JK触发器和D触发器的工作原理,掌握其逻辑功能; 理解常用时序逻辑电路的原理,掌握其功能; 掌握555集成定时器的工作原理和逻辑功能。 2.能力目标 能正确使用各种类型的集成门电路,并能利用集成门电路制作 成一定功能的组合逻辑电路; 能正确使用常用的中规模组合逻辑电路; 会使用触发器、寄存器、移位寄存器和常用的中规模集成计数 器; 能借助于仪器仪表,对小型数字系统的故障进行检测和维修; 3.素质目标
精品课程 课程标准
《数字电路》课程标准 一、课程名称 数字电路 二、适用对象 三年制中职电子技术应用专业学生 三、课时 72 四、学分 4 五、课程性质 本课程是中等职业学校电子技术应用专业的一门专业基础教学与训练项目课程。其任务是:使学生掌握后续学校和工作中必须的数字电路知识,培养学生解决数字电路实际问题的能力,为学生从事相关职业岗位工作打下专业技能基础;对学生进行职业意识培养和职业道德教育,提高学生的综合素质与职业能力,增强学生适应职业变化的能力,为学生职业生涯的发展奠定基础。 六、设计思路 该课程重点是培养学生的实际分析和设计能力,着重对学生分析问题能力的塑造。课程实施的主要依据是根据后续工作和学习来进行教学过程设计;“以职业能力为重点”进行教学目标确定。其总体设计思路是让学生在实验过程中推导新知识,并构建相关理论知识,发展职业能力。课程内容突出对学生基础能力的训练,以巩固和强化为主。
七、课程目标 本课程培养学生对于数字电路的基本理论和基本知识的掌握;理解组合逻辑电路的基本原理和电路的设计;掌握简单组合逻辑电路、集成逻辑门电路、触发器、时序逻辑电路、脉冲波形的产生电路。在分析设计过程中,可以对电路仿真,同时可培养学生的实用技能软件使用能力,电工焊接等技能,提高学生的理论和实践能力,为以后的实验、实训课程打下坚实的基础。 根据课程性质和任务,本课程突出以下知识和态度的培养: 1.知识目标 (1)掌握数制的相互转换和常用编码; (2)熟悉基本的逻辑门电路和集成逻辑门电路的应用; (3)熟悉组合逻辑电路的应用; (4)掌握基本RS触发器和常用集成触发器的应用和工作特点; (5)熟悉计数器和寄存器的结构,工作特点和应用; (6)熟悉555集成块的机构特点和工作过程,了解施密特触发器、多谐振荡器、单稳态触发器的特点。 (7)能够根据要求对数字应用电路进行设计和软件仿真。 2.素质目标 (1)严格遵守行业职业道德; (2)具有艰苦奋斗,自主创业、开拓创新精神; (3)掌握数字电子技术基础知识; (4)具有较强的学习能力、信息处理能力和应变能力; (5)树立良好的安全文明生产意识和爱护设备设施的责任意识; (6)培养学生爱岗敬业,认真负责,精益求精的职业道德情操; (7)具有发现问题、分析问题和归纳总结问题的能力,运用各种多媒体进行自学,发现和获取新知识的能力,能针对具体情况提出独到的见解。
把一台成员服务器提升为域控制器(一) 目前很多公司的网络中的PC数量均超过10台:按照微软的说法,一般网络中的PC数目低于10台,则建议采对等网的工作模式,而如果超过10台,则建议采用域的管理模式,因为域可以提供一种集中式的管理,这相比于对等网的分散管理有非常多的好处,那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003,客户端则采用Windows XP。 首先,当然是在成员服务器上安装上Windows Server 2003,安装成功后进入系统, 我们要做的第一件事就是给这台成员服务器指定一个固定的IP,在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的,所以我们需要手动去添加,添加方法如下:“开始—设置—控制面板—添加删除程序”,然后再点击“添加/删除Windows组件”,则可以看到如下画面: 向下搬运右边的滚动条,找到“网络服务”,选中:
默认情况下所有的网络服务都会被添加,可以点击下面的“详细信息”进行自定义安装,由于在这里只需要DNS,所以把其它的全都去掉了,以后需要的时候再安装: 然后就是点“确定”,一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中,否则会出现找不到文件的提示,那就需要手动定位了。
用户环境描述: 用户现有Windows2003域控制器两台,两台域控制器上分别安装有DNS服务器,共同维护现有活动目录集成区域。 现在存在的问题和要求: 问题:用户主域控制器前段时间因为感染病毒和其他软件问题导致主域控制器运行很不稳定,现在需要对主域控制器进行重新安装系统以解决这个问题。 要求:因为域控制器上存储有大量用户帐号信息,所以在对域控制器进行系统安装的时候要求不能造成用户帐户信息丢失。同时在对域控制器系统进行重新安装后对网络客户端访问网络资源和认证不能产 生影响。 解决方案: 主要步骤: 1.备份现有主域控制器和备份域控制器系统 2.检查和配置活动目录集成的DNS区域 3.把GC(全局编录)移置到额外域控制器上 4.转移域里的5种角色 5.在主域控制器上运行DCPROMO删除AD,额外域控制器被提升为主域控制器 6.删除AD成功后,重新安装Windows2003,再运行DCPROMO安装AD,将该计算机配置成为本域中的额外域控制器。 7.在新安装的服务器上安装并配置DNS服务器
8.测试系统 详细步骤: 1.备份现有主域控制器和备份域控制器操作系统 1)准备一张包含GHOST8.3程序的可引导光盘 2)进入服务器BIOS更改服务器引导顺序,将光盘放在启动设备的第一位。 3)启动电脑到DOS状态 4)启动ghost,如下图,依次点击local\Partition\ToImage 5)下面是选择要备份的分区,保存的位置和文件名 选择镜像文件保存的位置 6)选择压缩压缩方式(如下图): 2.检查和配置活动目录集成的DNS区域 1)检查主域控制器DNS配置 首选DNS应该设置为辅助域控制器安装的DNS服务器 点击开始---程序-----管理工具---DNS---右键相关正向区域----选择“属性”查看主域控制器的DNS服务器如下所示: 类型:应该为“ActiveDirectory集成区域” 复制:应该为“ActiveDirectory域中的所有域控制器” 动态更新为:安全 2)检查辅助域控制器DNS配置 首选DNS应该设置为主域控制器安装的DNS服务器
目前很多公司的网络中的PC数量均超过10台:按照微软的说法,一般网络中的PC数目低于10台,则建议建议采对等网的工作模式,而如果超过10台,则建议采用域的管理模式,因为域可以提供一种集中式的管理,这相比于对等网的分散管理有非常多的好处,那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003,客户端则采用Windows XP。 首先,当然是在成员服务器上安装上Windows Server 2003,安装成功后进入系统, 我们要做的第一件事就是给这台成员服务器指定一个固定的IP,在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的,所以我们需要手动去添加,添加方法如下:“开始—设置—控制面板—添加删除程序”,然后再点击“添加/删除Windows组件”,则可以看到如下画面:
向下搬运右边的滚动条,找到“网络服务”,选中: 默认情况下所有的网络服务都会被添加,可以点击下面的“详细信息”进行自定义安装,由于在这里只需要DNS,所以把其它的全都去掉了,以后需要的时候再安装:
然后就是点“确定”,一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中,否则会出现找不到文件的提示,那就需要手动定位了。 安装完DNS以后,就可以进行提升操作了,先点击“开始—运行”,输入“Dcpromo”,然后回车就可以看到“Active Directory安装向导” 在这里直接点击“下一步”:
win2003额外域控制器升级为主域控制器 2010-03-19 23:46:46 标签:控制器 win2003额外域控制器升级为主域控制器 公司https://www.doczj.com/doc/ec2232588.html,(虚拟)有一台主域控制器https://www.doczj.com/doc/ec2232588.html,,还有一台额外域控制器https://www.doczj.com/doc/ec2232588.html,。现主域控制器(https://www.doczj.com/doc/ec2232588.html,)由于硬件故障突然损坏,事先又没有https://www.doczj.com/doc/ec2232588.html,的系统状态备份,没办法通过备份修复主域控制器(https://www.doczj.com/doc/ec2232588.html,),我们怎么让额外域控制器(https://www.doczj.com/doc/ec2232588.html,)替代主域控制器,使Activate Directory 继续正常运行,并在损坏的主域控制器硬件修理好之后,如何使损坏的主域控制器恢复。 如果你的第一台DC坏了,还有额外域控制器正常,需要在一台额外域控制器上夺取这五种FMSO,并需要把额外域控制器设置为GC。 --------------------------------------------------------------- 一、从AD中清除主域控制器https://www.doczj.com/doc/ec2232588.html,对象 3.1在额外域控制器(https://www.doczj.com/doc/ec2232588.html,)上通过ntdsutil.exe工具把主域控制器 (https://www.doczj.com/doc/ec2232588.html,)从AD中删除; c:>ntdsutil ntdsutil: metadata cleanup metadata cleanup: select operation target select operation target: connections server connections: connect to Domain https://www.doczj.com/doc/ec2232588.html, server connections: quit select operation target: list sites Found 1 site(s) 0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com select operation target: select site 0 Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com No current domain No current server No current Naming Context select operation target: List domains in site Found 1 domain(s) 0 - DC=test,DC=com Found 1 domain(s) 0 - DC=test,DC=com select operation target: select domain 0 Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com Domain - DC=test,DC=com No current server No current Naming Context select operation target: List servers for domain in site Found 2 server(s)
《数字电子技术实验》课程简介 一、课程基本信息 课程代码:0807234002 课程名称:数字电子技术实验 英文名称:Experiment of Digital Electronic Technique 学分:1 总学时:1周 讲课学时:0 实验学时:0 上机学时:0 课外学时:0 适用对象:电气工程及其自动化、自动化、测控技术与仪器、机械电子工程、建筑电气与智能化、能源与动力工程、车辆工程等专业 先修课程:电路原理、数字电子技术 开课单位:工业中心 二、课程内容与教学目标 《数字电子技术实验》课程的主要实验内容为:门电路逻辑功能测试及其EDA软件;一位大小比较器、全加器的设计;数据选择器和译码器的应用;集成计数器的设计及EDA 实现;集成移位寄存器译码显示综合设计;脉冲产生、计数、显示综合电路。通过本课程应达到以下基本要求: 要求学生熟练地使用数字电路中的各种测量仪器仪表和实验设备,掌握数字电路中常用集成芯片的测试方法及实验数据数据分析方法,加深和巩固对所学理论知识的认识和理解,熟悉仿真软件的使用。 在基本技能具备的前提下,完成数字电路的设计性实验。学生自己根据所学知识及设计性实验要求,根据实验室现有元器件确定实验方案,设计实验线路,选择实验方法和步骤,选用仪器设备,提出实验预案,独立操作完成设计性实验。设计性实验主要培养学生查阅文献、确定实验方法、选择仪器设备等方面的能力。 三、对教学方式、实践环节、学生自主学习的基本要求 《数字电子技术实验》课程采用教师讲解、演示和现场指导等方式进行实验教学。 学生自主学习时数应不少于10学时,基本要求: 1、认真阅读实验指导书,做好预习。 2、掌握常用实验仪器设备、仪表的操作方法。 3、掌握实验原理、步骤和方法。
安装部署域控制器 本软件系统的主要技术实现手段是通过网络把远端服务器上的映像文件完全仿真成本地磁盘。在这个仿真的“本地磁盘”上同样可以引导和启动操作系统以及运行其他软件,并保持原貌不做任何的更改。虚拟硬盘的加载与真实硬盘处于同一层面,因而不存在任何兼容性问题。若客户端系统使用的是微软支持域功能的桌面操作系统,则同样可以完成加域操作,并和有盘系统一样接受活动目录(ActiveDirectory)的管理以及进行其他相关应用。 1.ActiveDirectory相关 a)什么是活动目录(ActiveDirectory)? 活动目录是一种目录服务,目录服务包括三方面的功能:组织网络中的资源,提供对资源的管理,对资源的访问控制。活动目录服务通过将网络中各种资源的信息保存到一个数据库中来为网络中的用户和管理员提供对这些资源的访问,管理和控制,这个数据库叫做活动目录数据库。 b)关于目录与目录服务 要想理解什么是活动目录(ActiveDirectory),必须先理解什么是目录(Directory)和目录服务(DirectoryService)。在计算机中使用的“目录”和现实生活中使用的“目录”很相似,都是存储以某种方式相关联的信息集。如通讯录存储用户名称和相应的电话号码,还可能包括关于该用户的的地址或其他信息。 目录服务就是用户通过其提供的服务来使用目录中的信息。用于识别网络中的各种资源,使用户和应用程序能够访问这些资源,并将这些资源集中存储,使用和管理这些资源的全部信息,因而简化了查找和管理这些资源的过程。 c)如何实现活动目录服务? 域是活动目录的一种实现形式,也是活动目录最核心的管理单位和复制单位。一个域由域控制器和成员计算机及用户组成。域控制器(DomainControler)就是安装了活动目录服务的一台计算机,简称DC。在域控制器上,每一个成员计算机都有一个计算机账号,每一个域用户都有一个域用户账号。域管理员可以在域控制器上实现对域用户账号和计算机账号及其他资源的管理。 域还是一种复制单位,我们在域中可以安装多台域控制器,域管理员可以在任何一台域控制器上创建和修改活动目录对象。域控制器之间可以自动的同步,或者复制这样一种更新。 2.创建活动目录服务——部署域控制器 域控制器,DomainController,是实现ActiveDirectory的载体和控制单位。要良好的进行活动目录服务,域控的安装部署以及管理至关重要。 部署网络中的第一台域控制器 实验环境
数字电子技术基础课程教学大纲 英文名称:Digital Electronic Technology Fundamentals 课程编码:04119630 学时:64/12 学分:4 课程性质:专业基础课课程类别:理论课 先修课程:高等数学、普通物理、电路理论、模拟电子技术基础 开课学期:第4学期 适用专业:自动化、电气工程及其自动化、工业自动化仪表 一、课程教学目标 通过本课程的理论教学和实验训练,能够运用数字电子技术的基本概念、基本理论与分析方法和设计方法,解决较复杂的数字电路系统相关的工程问题,使学生具备下列能力: 1、使用逻辑代数解决逻辑问题; 2、正确使用数字集成电路; 3、分析和设计数字逻辑电路; 4、正确使用数字逻辑电路系统的辅助电路。 二、课程教学目标与毕业要求的对应关系 三、课程的基本内容 3.1 理论教学 1、数字逻辑基础(支撑教学目标1) 教学目标:使学生掌握逻辑代数的三种基本运算、三项基本定理、基本公式和常用公式。了解二进制的算术运算与逻辑运算的不同之处。掌握逻辑函数的四种表示方法(真值表法、逻辑式法、卡诺图法及逻辑图法)及其相互之间的转换。理解最小项的概念及其在逻辑函数表示中的应用。掌握逻辑函数的公式化简法和图形化简法。掌握约束项的概念及其在逻辑函数化简中的应用。
本章主要内容: (1)数字信号与数字电路 (2)逻辑代数 (3)逻辑函数及其表示方法 (4)逻辑函数的化简 2、逻辑门电路(支撑教学目标2) 教学目标:使学生了解门电路的定义及分类方法。二极管、三极管的开关特性,及分立元件组成的与、或、非门的工作原理。理解TTL反相器的工作原理,掌握其静态特性,了解动态特性。了解其它类型TTL门的工作原理及TTL集成门的系列分类。 本章主要内容: (1)半导体二极管门电路 (2)半导体三极管门电路 (3)TTL集成门电路 3、组合逻辑电路(支撑教学目标3) 教学目标:使学生掌握组合逻辑电路的设计与分析方法。理解常用组合逻辑电路,即编码器、译码器和数据选择器的基本概念、工作原理及应用。掌握译码器和数据选择器在组合电路设计中的应用。 本章主要内容: (1)概述 (2)组合逻辑电路的分析与设计 (3)常用组合逻辑电路 (4)用中规模集成电路设计组合逻辑电路 4、触发器(支撑教学目标3) 教学目标:使学生理解触发器的定义。掌握基本SR触发器、同步触发器、主从触发器、边沿触发的触发器的动作特点。掌握触发器的各种逻辑功能(DFF,JKFF,SRFF,TFF,T’FF)。掌握触发器逻辑功能与触发方式的区别。掌握画触发器工作波形的方法。 本章主要内容: (1)概述 (2)基本SR触发器(SR锁存器)和同步触发器(电平触发) (3)主从触发器(脉冲触发)和边沿触发器(边沿触发) (4)触发器的逻辑功能及描述方法 5、时序逻辑电路(支撑教学目标3) 教学目标:使学生掌握时序逻辑电路的定义及同步时序电路的分析与设计方法。了解异步时序电路的概念。理解时序电路各方程组(输出方程组、驱动方程组、状态方程组),状态转换表、状态转换图及时序图在分析和设计时序电路中的重要作用。了解常用时序电路(计数器、移位寄存器)的组成及工作原理及其应用。 本章主要内容: (1)时序电路的基本概念
域服务器的配置与实现(Windows Server2003) 法一: 1、dns服务器设置 a)开始—程序—管理工具—管理服务器角色—添加删除角色—域控制器(默认) 2、域控制器设置 法二: 一、域服务器的配置: 1.步骤: 1.0:计算机必须安装TCP/IP协议且IP地址最好为静态IP地址, 配置DNS服务器地址为网络中维护该区域DNS服务器的IP地址, 如下图:
1.1:点击开始?运行cmd,输入dcpromo命令,运行,出现【Acrive Directory安装向导】对话框; 1.2:安装配置Active Directory 【Acrive Directory安装向导】对话框: 1.2.1域控制类型:
选中【新域的域控制器】,下一步。 1.2.2创建一个新域: 选中【在新林中的域】,下一步。
1.2.3新的域名: 指定新域的DNS名称,一般应为公用的DNS域名,也可是部网使用的专用域名。 例如:hd.rjxy.。下一步。 1.2.4NetBI O S域名-默认 指定新域的NetBIOS名称。这是为了兼容以前版本Windows用户。该名默认为DNS名称最左
侧的名称,也可指定不同的名称。下一步。 1.2.5志文件文件夹:默认 指定这两种文件的文件夹位置,保留默认值即可。下一步。 1.2.6共享的系统卷:默认
指定存储域公用文件的文件夹,保持默认即可。下一步。 1.2.7DNS注册诊断 提示建立DNS服务器。 因为我们此前没有安装配置过DNS,所以诊断失败。这不是问题,我们让它自动安 装配置。 选中第2个,下一步。 1.2.8权限:默认
数字电子技术课程教学大纲(试行) 课程名称:数字电子技术 英文名称:Digital Electronic Technique 学时数:45 其中实验学时数:15 课外学时数:14 适用专业:2006级电气自动化技术 1.大纲制定参考依据 (1)教高[2006]16号关于全面提高高等职业教育教学质量的若干意见。 (2)科技学院《2006级电气自动化技术专业教学计划说明》。 (3)2006年科技学院关于编制与修订高职课程教学大纲的要求。 2. 课程的性质、目的和任务 数字电子技术是电气自动化技术专业的重要专业技术基础课。是培养硬件应用能力的工程类课程,是电气技术训练的基本入门课程,构建学生电子技术的基本理论、基本技能和培养学生应用与创新能力。一方面为后续专业知识技术的学习奠定基础,另一方面培养训练学生电子技术方面的实践技能。它直接涉及学生的专业培养质量和职业能力。既是学生在今后较长时间赖以吸收新知识和自我完善发展及接受终身教育的专业基础课程。又是培养技术技能型人才的专业技术基础课程。
在教学过程中要注重理论联系实际,加强实践环节,重视工程观点,着重于电子元器件和基本电子电路的实际应用能力训练。将理论教学与实践教学有机融为一体。改变传统的“一支粉笔,一本书,一块黑板,一讲到底”的理论教学模式。改革教学模式、教学方法,以培养学生能力为核心、为主线。处理好近期的专业“必需够用”和将来的发展“迁移可用”的关系, 通过本课程的教学,使学生获得必要的数字电子技术方面的基本理论、基本知识和基本技能。培养学生分析问题和解决问题的能力。锻炼学生的工程实践能力。 3. 课程教学容与知、技、能点及教学基本要求 针对专业需要优化整合教学容,建立“能力包”化的教学容模块。本课程体系按照能力模块划分为六个模块。
AD 域DNS 分离+额外域控制器安装 及主域控制器损坏解决方法 对于域控制器的安装,我们已经知道如何同DNS 集成安装,而且集成安装的方法好处有:使DNS 也得到AD 的安全保护,DNS 的区域复制也更安全,并且集成DNS 只广播修改的部分,相信更多情况下大家选择集成安装的方式是因为更简洁方便。当然你也许会遇到这样的情况:客户的局域网络内已经存在一个DNS 服务器,并且即将安装的DC 控制器负载预计会很重,如果觉得DC 本身的负担太重,可把DNS 另放在一台服务器上以分担单台服务器的负载。 这里我们设计的环境是一台DNS 服务器(DNS-srv )+主域控制器(AD-zhu )+额外域控制器(AD-fu 点击查看额外控制器的作用),另外为了检验控制器安装成功与否,是否以担负其作用,我们再安排一台客户端(client-0)用来检测。(其中由于服务器特性需要指定AD-zhu 、AD-fu 、DNS-srv 为静态地址) huanjing.png 对于DC 和DNS 分离安装,安装顺序没有严格要求,这里我测试的环境是先安装DNS 。先安装DC 在安装DNS 的话,需要注意的就是DC 安装完后在安装DNS 需要重启DC 以使DNS 得到DC 向DNS 注册的SRV 记录,Cname 记录,NS 记录。那么我们就以先安装DNS 为例,对于实现这个环境需要三个大步骤: 1.DNS 服务器的安装; 2.DC 主控制器的安装; 3.DC 额外控制器的安装。 接下来我们分步实现······ 为了更加了解DC 和DNS 的关系,安装前请先参阅:(v=ws.10) 安装 Active Directory 的 DNS 要求 在成员服务器上安装 Active Directory 时,可将成员服务器升级为域控制器。Active https://www.doczj.com/doc/ec2232588.html, AD-zhu DC 192.168.23.20 Client-0 客户端 192.168.23.40 DNS-srv DNS 192.168.23.10 AD-fu 额外DC 192.168.23.30
主域控制器系统安装及配置 一、W2K Server安装(请参考《Windwos 2000 Advanced Server安装手册》) 注意事项: 1、将W2K Ad Server安装盘放入光驱,安装光盘自动检测运行。 2、创建C盘,空间建议在10G左右,用NTFS格式(如果已装过系统,建议重新分区) 3、每服务器同时连接数字,建议输入999,(或者根据网络站点情况输入相应站点) 4、输入规划的计算机名:DBSERVER 5、在选择安装程序组件中,去掉IIS 6、正常安装系统 7、系统安装完毕后,启动进入系统,放入服务器导航盘安装驱动,把有问号的设备全部重 新安装驱动程序,详见下图
8、进入W2K Server 界面,装SP4,装完重启 9、配置IP地址,第一个域控不用设DNS,默认为127.0.0.1,以后配置的域控DNS指向第 一个域控 二、服务器配置 在服务器配置选项中,选择“网络中已有一个或多个服务器在运行”,见下图
三、Active Directory和 DNS安装 确定操作系统安装完全、网卡驱动安装正确、IP设置正确、网络已有连接后,才可以开始Active Directory和 DNS安装 在服务器配置中,点击Active Directory,选择启动,见下图 DBSERVER作为全网第一个域控,因此采用如下方法进行配置:
1、选择新的域控制器 2、创建一个新的域目录树 3、创建一个新的域目录林
4、输入新域的DNS全名,如 https://www.doczj.com/doc/ec2232588.html, 5、输入新域的NetBIOS名,如 sztv 6、数据库与日志位置,选择默认 7、sysvol文件夹位置,选择默认
《数字电子技术基础》课程教学大纲 一、课程基本信息 二、课程的性质与和教学目的 数字电子技术基础课程是计算机科学与技术专业非常重要的专业基础课,具有自身的体系和很强的实践性,在专业教学计划中具有举足轻重的地位。对于网络工程专业的新生在入学伊始全面了解计算机的专业领域知识,了解计算机在各方面最新发展及应用会有很大的帮助。本课程的任务是:通过对常用电子器件、数字电路及其系统的分析和设计的学习,使学生获得数字电子技术方面的基本知识、基本理论和基本技能,为深入学习测控技术及其在专业中的应用打下基础。通过这门课程的学习,可以使计算机科学与技术专业的学生一进入大学就能够对自己今后要学习的主要知识、专业方向有一个基本了解,为后续课程构建一个基本知识框架,使学生对以后的专业学习能够做到心中有数,为以后学习和掌握专业知识提供必要的专业指导。 三、教学内容和基本要求 主要本课程包括:逻辑代数的基础知识、门电路、组合逻辑电路、触发器、时序逻辑电路、脉冲产生与整形电路、A/D与D/A转换电路等。 第一章绪论 1)了解数字电路及其常用芯片、对电子设计自动化技术进行简介。 2)了解数字电子技术基础课程。 第二章数制和码制 1)掌握二进制、十六进制数及其与十进制数的相互转换。 2)掌握8421编码,了解其他常用编码。 第三章逻辑代数基础 1)掌握逻辑代数中的基本定律和定理。 2)掌握逻辑关系的描述方法及其相互转换。 3)掌握逻辑函数的卡诺图化简方法。 第四章门电路 1)了解半导体二极管、晶体管和MOS管的开关特性。 2)了解TTL、CMOS门电路的组成和工作原理。 3)掌握典型TTL、CMOS门电路的逻辑功能、特性、主要参数和使用方法。 4)了解ECL等其它逻辑门电路的特点。 第五章组合逻辑电路
域控制服务器教程 把一台成员服务器提升为域控制器(一) 目前很多公司的网络中的PC数量均超过10台:按照微软的说法,一般网络中的PC数目低于10台,则建议建议采对等网的工作模式,而如果超过10台,则建议采用域的管理模式,因为域可以提供一种集中式的管理,这相比于对等网的分散管理有非常多的好处,那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003,客户端则采用Windows XP。 首先,当然是在成员服务器上安装上Windows Server 2003,安装成功后进入系统, 我们要做的第一件事就是给这台成员服务器指定一个固定的IP,在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的,所以我们需要手动去添加,添加方法如下:“开始—设置—控制面板—添加删除程序”,然后再点击“添加/删除Windows组件”,则可以看到如下画面: 向下搬运右边的滚动条,找到“网络服务”,选中:
默认情况下所有的网络服务都会被添加,可以点击下面的“详细信息”进行自定义安装,由于在这里只需要DNS,所以把其它的全都去掉了,以后需要的时候再安装: 然后就是点“确定”,一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中,否则会出现找不到文件的提示,那就需要手动定位了。
原文地址:如何将本地用户配置文件更改为域用户漫游作者:kevin 1.先讲讲直接新建域用户,在DC中设置用户漫游; 2.再讲,如果原来用户是本地用户,如何将原有的本地用户的配置文件让她成为漫游用户,配置文件也漫游; 3.跟大家讲讲如何让本地用户配置文件迁移为域用户配置文件,即本来有一用户abc为本地用户,现在该电脑加入了域,域中有一用户abc,然后电脑要用abc 用户登陆到域,而用户配置文件使用本地的abc配置文件; 一,在DC中设置用户漫游 实验环境使用VMW虚拟机,客户端为Windows XP SP2,服务器端为Windows Server 2003 SP2企业版。 首先将服务器端安装好活动目录,无需任何设置,默认安装即可,并将客户端加入到域。 下面开始具体操作 1、首先在服务器端用Active Directory用户和计算机管理工具建立一个User,我这里以“小五”为用户名,如下图 2、在服务器端建立保存用户配置文件的共享文件夹,本文在c盘建立了一个user文件夹,用来保存所有用户配置文件,然后再user文件夹下建立一个“小五”文件夹,用来保存“小五”用户的配置文件。这里面一定要注意权限的设置,在共享文件夹中的权限去掉everyone,然后找到我们域中的用户“小五”,给他所有权限。
3、进一步权限设置,如图
这样权限方面问题已经设置完成 4、在Active Directory用户和计算机管理工具中为“小五”用户设置用户配置文件漫游,如图
192.168.1.201为我们的服务器,后面所接的“user/小五”为保存用户配置文件的共享文件夹 主文件夹相当于用户的“我的文档”,这里面映射到服务器上,更能保证用户文件安全性与可靠性。 现在配置基本完成,我们从客户端登录一下试试看 初次登陆之后,我们注销,这样,本地的配置文件,就会自动保存到服务器上对应的文件夹。 回到服务器上我们会看到生成好多文件,刚才这里面还是空的
金航数码科技有限责任公司 Windows Server 2008 R2 AD活动目录 域控制器安装配置手册 2012年10月25日
Windows Server 2008 R2 AD活动目录域控制器安装配置手册 目 录 安装部署活动目录条件: (3) 硬件需求 (3) 软件需求 (3) 安装活动目录具体步骤: (4) 1.首先是“开始>运行”打开运行窗口 (4) 2.运行当中输入“dcpromo”开始安装活动目录 (5) 3.进入安装界面 (5) 4.新建域控制器 (6) 5.设置域控制器的域名 (7) 6.设置林功能级别 (8) 7.安装DNS服务器和全局服务 (9) 8.设置保存数据库、日志文件和SYSVOL的位置 (10) 9.设置目录还原模式的Administrator密码 (11) 10.安装完成自动重启 (12) 11.安装完成后的登陆界面 (13) 12.查看安装AD后的相关的服务,AD活动目录安装完成 (14)
安装部署活动目录条件: 硬件需求 硬件 需求 处理器 最低:1.4 GHz(x64处理器) 注意:Windows Server 2008 for Itanium-Based Systems 版本需要Intel Itanium 2处理器。 内存 最低:512 MB RAM 最大:8 GB(基础版)或32 GB(标准版)或2 TB(企业版、数据中心版及 Itanium-Based Systems 版) 可用磁盘空间 最低:32 GB或以上 基础版:10 GB或以上 注意:配备16 GB以上RAM的计算机将需要更多的磁盘空间,以进行分页处理、休眠及转储文件。 显示器 VGA(800 × 600)或更高分辨率的显示器 其他 DVD驱动器、键盘和Microsoft鼠标(或兼容的指针设备) 软件需求 软件 需求 安装权限 安装着必须具有本地管理员权限 操作系统 操作系统必须满足条件(除web版以外) 文件系统 本地磁盘至少有一个分区是NTFS文件系统 IP设置 有TCP/IP设置 DNS设置 有DNS服务器的支持 磁盘空间 有足够的可用磁盘空间
关于域控制器和证书服务器分离的部署策略 配置过程如下: 一.域控制器的配置 1.安装DNS服务器。首先,在服务器上安装WIN 2003 企业版(如果不是企业版,则V2模板有些不能使用)。安装好WIN 2003系统以后,点击“配置你的服务器向导”,选择“自定义配置”,点中“DNS服务器”,安装DNS服务器,根据提示可以很容易的自行安装。在此不再赘述。 2.配置AD。安装好DNS后,再点击“配置你的服务器向导”,选择“自定义配置“,点中“域控制器”,点击“下一步“,等一下,会出现如下界面: 选择“新域的域控制器“,点击”下一步”,出现如下界面:
选择“在新林中的域”,点击“下一步”,出现如下界面 输入新域的域名(例如“https://www.doczj.com/doc/ec2232588.html,”,特别提示,一定要有后缀”.com”且不能和计算机重名)。然后点击“下一步”,其他页面选择默认或自行更改,出现输入还原密码页面,如下:
输入还原模式密码,。点击“下一步”,剩下的就是等win 自动安装完成就可以了。 然后安装KEY的CSP程序 小结:域控制服务器的配制顺序:先安装DNS,然后配置AD。 二.证书服务器的配制 1.把另外一台服务器安装WIN2003 企业版,然后加入到按上述方法配制成的域中,即https://www.doczj.com/doc/ec2232588.html,中。 2.安装IIS。点击“配置你的服务器向导”,安装IIS 服务器。以上两步皆为常规配制,在此不再赘述。 3.安装域控制器,点击“配置你的服务器向导”,点中“域控制服务器”,当出现下图时,
选择“现有域的额外域控制器“,点击”下一步“,出现如下界面: 输入用户名(例如,administrator,该用户必须是Domain admins组的成员),密码,域名,点击“下一步“,出现下图:
安装步骤: 1 安装前,额外域控制器的DNS指向主域控 2 安装DNS服务但不设置 3 安装额外域控,如果主域控中dns和AD集成,额外域控制器会在安装ad后自动同步dns 记录. 4 安装后修改额外域控制器的DNS指向本机(可选)。 一、额外域控制器安装及相关设置 在做额外域控的机器上运行DCPROMO,安装额外域控制器。 安装完毕后,重启。 1、在dcserver主域控器DNS管理界面里 1)选中正向区域的“_https://www.doczj.com/doc/ec2232588.html,“,点右键属性,确认区域类型: “Active Director 集成区域”;更改区域复制范围为“至Active Directory域中的所有域控制器”确认动态更新为“安全” 2)再“名称服务器”标签中,将额外域控制器全域名及IP添加进来 3)在“区域复制”标签中,将“允许区域复制”打勾,并点选“只有在“名称服务器”选项卡中列出的服务器”这项。 4)依次在“https://www.doczj.com/doc/ec2232588.html,”和反向查找区域“192.168.1.x. subnet”做以上各步履,在主域DNS服务器设置完成。 2、在额外域控制器上安装DNS服务(升级额外域控时未配置DNS服务)安装完毕,打开DNS管理器界面(相关设定应该自动复制完毕),再将各区域设置为“允许区域复制”。 3、将主域控及额外域控主DNS设为本机IP,备用DNS地址互指。 4、将额外域控制器dcbak本身设为“全局编录” 打开“Active Directory站点和服务”,点选DCBAK ->NTDS右击属性,将“全局编录”打勾,点确定退出。 5、客户端还需要将主备dns地址填上主域控及额外域控的地址(可通过组策略中登陆脚本实现客户端DNS地址添加) 至此,主域控与额外域控可负载均衡(应该是这么叫吧),若一个域控损坏,客户端登陆不受影响。 二、主域控制器FSMO角色的迁移 目的:若当前主域控制器在线,且因性能不佳或需更换硬件,为了不影响exchange server 正常使用,需要将主域控制器FSMO迁移至额外域控制器. 1、Active Directory 定义了5 种FSMO 角色:架构主机、域主机、RID 主机、PDC 模拟器和结构主机。架构主机和域命名主机是每个目录林都具有的角色。其余三种角色(RID 主机、PDC 模拟器和结构主机)是每个域都具有的角色。 查询FSMO角色所属域控制器方法: a. 安装netdom工具,在windows 2003安装盘-〉support目录->tools目录下,安装完毕重启机器。 b.在命令行中输入netdom query fsmo,查询当前5种fsmo所属域控制器: chema owner https://www.doczj.com/doc/ec2232588.html, Domain role owner https://www.doczj.com/doc/ec2232588.html, PDC role https://www.doczj.com/doc/ec2232588.html, RID pool manager https://www.doczj.com/doc/ec2232588.html, Infrastructure owner https://www.doczj.com/doc/ec2232588.html,