Windows Server 2012 R2
- 歷史上的Server有2003 server, 2008 server, 2012 server
- windows server 2012 r2對計算機的消耗比圖形化的Linux要大, 但是筆記本上使用VMware使用也沒有問題
windows操作系統的基本配置
- 配置ip地址:
- 右鍵右下角的電腦圖標, 點擊打開網絡和共享中心, 再點擊ethernet, 點擊屬性, 禁用ipv6, 點擊ipv4進行ip的配置
服務器管理程序操作
- 禁止開啟自動啟動服務器管理程序: 管理-->服務器管理器屬性-->勾選登錄時不自動啟動
- IE瀏覽器的安全增強關閉: 本地服務器-->找到ie安全增強
驅動程序下載
- 官網下載.exe
- 官網下載.inf, 接着在win + r中鍵入devmgmt中找到有感嘆號的設備右鍵安裝
windows用戶管理
-
在win 98時代, 沒有身份認證的概念, 如果其實你輸入密碼, 點擊取消也可以進入
-
windows中用戶默認的期限為42天
-
win + r: gpedit.msc(該應用程序非常重要, 里面可以設置策略) --> 進入組管理程序 --> 點擊windows --> 安全策略 --> 密碼設置 --> 修改密碼的策略 $修改密碼策略
-
win + r: lusrmgr.msc --> 進入用戶管理界面
-
使用cmd也可以
- net uesr tom tom /add
- net user tom /del
- net user tom /active:no
- net user tom /active:yes
-
windows分辨用戶是通過SID的
- whoami /user
-
組的操作
- win + r: lusrmgr.msc
- 右鍵用戶屬性
- 隸屬於(默認是在Users組中)
- 添加
- 高級
- 立即查找
- 案例:
- 添加Tom用戶到network組中
- 這樣Tom就可以修改ip地址了, 效果如果Linux中的sudo輸入當前用戶的密碼一樣, 在Linux中的文本操作就是在/etc/hosts文件中使用%指定一個組, 為他們符一些命令的權限
-
cmd操作
- net localgroup business /add
- net localgroup business tom /del
- net localgroup business /del
-
windows中的內置組
- everyone
-
本地用戶在Users中可以本地登錄, 不在則不能, 就算在下圖中設置也不行
windows密碼
- window PE破解密碼(大白菜, 裝載U盤中)
NTFS文件系統(比Linux要復雜)
基礎
-
磁道: 一圈
-
扇區: 512字節
-
簇: 1024, 2048, 4096
-
FAT文件系統沒有權限的概念, 所以將一個分區格式為一個FAT的文件系統時, 右鍵里面的文件的屬性, 是沒有安全的選項的(那個用戶讀寫執行)
-
文件系統的格式化:
- 從FAT到NTFS:
- 右鍵盤符, 選中快速格式化, 點擊格式化, 但是此為有損格式化
- 使用cmd命令進行無損格式化, convert d: /fs:ntfs --> 但是ntfs回不到fat了
- 從FAT到NTFS:
-
如果D:盤的格式為FAT, C:盤的格式為NTFS, 將D:盤中的test.txt文件拷貝到C:盤中, 該文件的格式會自動從FAT轉為NTFS, 反之亦然
-
磁盤創建分區可以使用cmd的diskmgmt.mscGUI程序
-
右鍵文件屬性 --> 點擊安全 --> 編輯權限 --> 對於讀取(讀取屬性, 讀取數據, 讀取擴展屬性, 讀取權限(可以看到有哪些人對指定該文件有哪些權限)), 還可以細分 --> 退回, 點擊高級 --> 點擊用戶 --> 顯示高級權限, 如果取消了讀取擴展屬性, 那么文件就打不開了, 這要修改, 那么就會多出來特殊權限
-
注意: 要想讀取一個文件需要兩個權限: 1. 該文件有讀取權限; 2. 打開該文件的程序有運行權限(如果沒有會彈出紅色警告)
-
注意: 刪除一個文件的條件: 1. 要么該文件所在的文件夾需要對子文件有修改權限; 2. 要么該文件有個修改權限
-
注意: 以上, 對於管理員來說, 不管有沒有任何權限, 都可以設置獲取所有的權限, 修改文件的所有者, 可以對文件進行完全控制, 管理員不是該文件的屬主也可以, 類似於root用戶, 但是又有一些區別, Linux中的root用戶遇到權限不匹配時不需要進行任何的修改就有了rwx, 而在windows中, 就算是管理員, 可以無視那些權限的障礙, 但是這是需要一些設置的, 要對那個需要打開的文件的一些設置
-
注意: 一般來說一個文件有了寫入權限, 應該也要有讀取, 這樣才能修改, 因為如果有寫入而沒有讀取是打不開文件的, 但是這個使用可以在其他地方創建一個同名的文件, 里面隨便寫一個東西, 復制到那個文件所在的目錄中進行替換時可以的
基礎(二)
-
NTFS的繼承性:
- 父目錄下的文件的權限與父目錄一樣, 完全繼承, 默認無法修改, 如果要修改則需要禁止繼承, 右鍵屬性高級禁用繼承
- 如果一個目錄下的文件的權限五花八門, 通過右鍵父目錄的屬性高級, 在啟用繼承的下面有一個選項選中應用即可, 讓父目錄的權限強制繼承給子文件
-
累加性:
- 一個用戶在多個組中, 對一個文件由於組的不同有了不同的權限, 將他們加起來就是該用戶對該文件的權限
-
拒絕優先:
- 如果一個用戶所在的組對該文件有一個拒絕權限, 則不管在哪個組中有對應的權限就都是拒絕的
-
移動文件時:
- 權限會和移動到的文件夾一樣
基礎(三)
-
透明性(壓縮, 注意: FAT不支持透明壓縮):
- 右鍵屬性, 常規, 高級, 勾選壓縮, 應用即可 --> 效果: 文件的名稱為藍色, 在硬盤上的占用空間小了, 但是顯示出來的還是不變的, 打開時解壓(加載到內存時解壓)
-
加密(EFS, 不能對分區加密, 如果要對分區加密需要使用bitlocker):
-
對用戶透明
- 右鍵屬性, 常規, 高級, 勾選加密, 應用即可 --> 會有密鑰(登錄時自動生效, 其他用戶沒有密鑰就打不開)
- 如果B用戶對A.txt可讀, 那么不可讀admin加密的文件
- 如果B用戶對A.txt可寫, 那么雖然不可讀, 但是可以刪除
-
A要允許B訪問加密的文件
- A在加密的文件, 右鍵屬性, 常規, 高級, 詳細信息, 添加, 添加B用戶的證書(只使用戶加密的文件比較少的, 批量操作比較大)
- A導出自己的私有, 這樣B主要找到該文件導入一下就可以了, 記住要選擇導出私鑰(certmgr.msc)
-
基礎(四)
-
磁盤配額:
-
bitlocker(啟動盤加密):
-
安裝:
-
啟動bitlocker服務
-
共享
-
右鍵屬性高級共享(net share)
-
還要啟動網絡共享
-
還要注意策略中的允許網絡訪問計算機和拒絕從網絡訪問此計算機
-
B訪問A
- 經典和來賓設置
- 經典:
- 如果雙方用戶名的密碼一樣則直接登錄
- 如果不同, 則提示輸入
- 僅來賓:
- 來賓的密碼為空, 卻不能進入, 因為guest賬號默認是禁用的, net user guest /active:yes
-
訪問:
- UNC(\192.168.1.72)
- 映射網絡驅動器, 右鍵目錄
-
設置默認共享: 在共享名之后加上$
-
刪除共享: net share c$ /del --> 這樣就關閉了c:盤共享, 但是設置在內存中的, 下次啟動就沒了, 需要寫一個ps1或者bat, 讓開機自動讀取, 在啟動目錄中startup; 或者修改注冊表
-
注意權限
-
NTFS與共享文件夾的權限的制約
脫機文件夾
- 是為客戶端主機准備的
- 右鍵共享的文件, 右鍵高級共享, 緩存配置一下(默認就好)
- 客戶端選中文件右鍵屬性脫機
卷影副本
- 右鍵driver找到卷影副本
- 這樣在共享文件夾中的文件在修改之后, 右鍵屬性, 點擊一起版本
打印機
-
控制面板中的打印機, 適應的前提是啟動的printer服務
-
進入界面在上方找到添加打印機, 按步驟安裝驅動程序即可, 如果本機是一台打印機服務器的話, 共享打印機, 開啟網絡發現gpedit.msc
-
配置打印機池--> 一個驅動程序對應多個端口, 每一個端口有一個打印機設備
- 右鍵打印機屬性-->選中端口-->左下角的應用打印機池-->勾選多個端口-->應用
-
打印機有優先級:
- 右鍵打印機屬性-->高級
-
打印機也可以設置權限
磁盤管理
- 在win7+無法基於圖形界面創建擴展分區, 但是可以使用cmd
- 命令使用如下:
- diskpart
- select disk 0
- list disk
- detial disk
- create partition primary size=5000
- create partition extended
- create partition logic size=5000
動態磁盤
- 右鍵磁盤轉為動態磁盤
- 接着就可以鍵里RAID了
- bootrec /fixmbr --> 通過光盤引導使用命令修復mbr
- bootrec /fixboot --> 修復pbr: partition boot record, 每一個分區都要pbr
系統
- boot loader: bootmgr
- attrib -s -h: 去掉系統級別的隱藏
- attrib +s +h: 添加系統級別的隱藏
啟動流程
- mbr --> dpt --> bootmgr(可以認為是一個半吊子的grub, 為什么?, 因為windows將grub的功能分為了bootmgr和winload, BCD) --> bcd(和grub一樣顯示菜單) --> winload
- mbr --> grub1 --> grub2.5 --> grub2
- linux中grub可以通過/boot/grub/grub.conf修改
- win7之前通過boot.ini, 而win7+通過bcdedit命令修改
- windows和linux有一樣的開機等級類似於init 0,1,2,3,5,6的, 在windows啟動時按住F8即可, 常用安全模式
系統備份
- ghost: 第三方
- windows自帶的, 首先安裝windows server backup, 在開始菜單中有
- 單擊本地備份, 一次性備份
系統性能監控
- eventvmr.msc: 事件監控
- 去管理工具中找
密碼重置盤
活動目錄
- 域控制器, 成員服務器, 個人電腦
- 域控制器(有sysvol[共享目錄], 還有log日志文件用於恢復活動目錄)是存儲域內用戶信息的數據庫服務器, 還有計算機的信息等, 如果有多個則進行同步復制HA
- 成員服務器就是服務器
- 第一個域控制器創建時會將本地的用戶添加到該域中, 而第二個域控制器則會清空本地的用戶賬號
- 所有的工具都在管理工具中
- 不能直接使用除了管理員之外登錄域控制器, 如果要的話, 域控制服務器需要打開組策略工具的安全設置出現了允許本地登錄添加指定用戶即可
- 為域添加組織和用戶, 右鍵跟着向導即可
域
- 用的最多的工具為Active Directory 用戶與計算機, 組策略
- 域內的用戶在活動目錄數據庫中, 我們可以在用戶與計算機中的添加一個部門, 在該部門中右鍵添加用戶, 在局域網中的計算機作為客戶端可以通過修改工作組為域並輸入該域中存在的一個用戶的密碼管理起來, 那么該計算機就會被加到用戶與計算機中的computers(OU)部門中
- 統一部署需要使用組策略管理工具, 首先右鍵添加策略, 設定好策略名, 接着右鍵策略編輯策略, 統一安裝軟件, 該軟件包需要局域網內的計算機可以訪問到, 如果局域網的ip不夠, 就是用路由服務器進行路由讓其可以訪問到, 新建的策略在客戶端中需要使用gpupdate /force更新策略再重啟, 再重啟在出現請稍等界面時就會安裝軟件
- 圖片案例
-
-
-
-
-
在添加安裝包時, 要將其共享出去, 在路徑中也要添加UNC, 如果是微軟的產品, 需要添加序列號, 我們可以找到Setup程序, 在cmd中鍵入setup.exe /a重新打包
-
域架構
- DC: 域控制器, 保存了當前域所有對象的所有屬性
- PC: 客戶機
- 域架構局域DNS服務器的
- GC: 默認是第一台DC, GC保存了整個林的所有對象的部分屬性
- DC與GC都可以用戶查詢用戶, 也可以根據指定的字段查找, 查詢的范圍可以是整個目錄(需要GC), 或者某個域, 如果基於整個目錄進行查找的話, 則可能根據一些字段找不到, 因為GC的定義
- 站點: 在DC的上一級, DC的同步就是在同一站點, 站點之間的同步需要通過站點管理器的IP設置, 站點的划分是根據subnets
林級別/域級別
- 控制添加到該域的域控制器的操作系統版本
- 域是復制的單元, 是安全的邊界
- 添加一個域控制器的建議步驟
- 先修改該windows server的工作組為執行的根域(bux.org)
- 修改完成重啟
- 進入服務器管理器, 添加角色或功能
- 選擇活動目錄功能, 升級為域控制器, 現在有兩個選擇, 添加到林, 或者是子域, 如果是子域則就是域控制器的HA(這樣該計算機就會從根域跑到了buxs.org), 如果是林的, 之后還要在根域添加DNS的條件轉發器
- 這樣在bux.org中的controller computers中就有了該計算機
- 在活動目錄中, 用戶和計算機應該是分離的, 一開始加入域的計算機要求輸入用戶和密碼, 那么表示該域只接受該計算機, 該計算機如果要等於該域需要該域中的用戶名和密碼