Windows Server 2012 R2
- 历史上的Server有2003 server, 2008 server, 2012 server
- windows server 2012 r2对计算机的消耗比图形化的Linux要大, 但是笔记本上使用VMware使用也没有问题
windows操作系统的基本配置
- 配置ip地址:
- 右键右下角的电脑图标, 点击打开网络和共享中心, 再点击ethernet, 点击属性, 禁用ipv6, 点击ipv4进行ip的配置
服务器管理程序操作
- 禁止开启自动启动服务器管理程序: 管理-->服务器管理器属性-->勾选登录时不自动启动
- IE浏览器的安全增强关闭: 本地服务器-->找到ie安全增强
驱动程序下载
- 官网下载.exe
- 官网下载.inf, 接着在win + r中键入devmgmt中找到有感叹号的设备右键安装
windows用户管理
- 在win 98时代, 没有身份认证的概念, 如果其实你输入密码, 点击取消也可以进入
- windows中用户默认的期限为42天
- win + r: gpedit.msc(该应用程序非常重要, 里面可以设置策略) --> 进入组管理程序 --> 点击windows --> 安全策略 --> 密码设置 --> 修改密码的策略 $修改密码策略
- win + r: lusrmgr.msc --> 进入用户管理界面
- 使用cmd也可以
- net uesr tom tom /add
- net user tom /del
- net user tom /active:no
- net user tom /active:yes
- windows分辨用户是通过SID的
- whoami /user
- 组的操作
- win + r: lusrmgr.msc
- 右键用户属性
- 隶属于(默认是在Users组中)
- 添加
- 高级
- 立即查找
- 案例:
- 添加Tom用户到network组中
- 这样Tom就可以修改ip地址了, 效果如果Linux中的sudo输入当前用户的密码一样, 在Linux中的文本操作就是在/etc/hosts文件中使用%指定一个组, 为他们符一些命令的权限
- cmd操作
- net localgroup business /add
- net localgroup business tom /del
- net localgroup business /del
- windows中的内置组
- everyone
- 本地用户在Users中可以本地登录, 不在则不能, 就算在下图中设置也不行
windows密码
- window PE破解密码(大白菜, 装载U盘中)
NTFS文件系统(比Linux要复杂)
基础
- 磁道: 一圈
- 扇区: 512字节
- 簇: 1024, 2048, 4096
- FAT文件系统没有权限的概念, 所以将一个分区格式为一个FAT的文件系统时, 右键里面的文件的属性, 是没有安全的选项的(那个用户读写执行)
- 文件系统的格式化:
- 从FAT到NTFS:
- 右键盘符, 选中快速格式化, 点击格式化, 但是此为有损格式化
- 使用cmd命令进行无损格式化, convert d: /fs:ntfs --> 但是ntfs回不到fat了
- 从FAT到NTFS:
- 如果D:盘的格式为FAT, C:盘的格式为NTFS, 将D:盘中的test.txt文件拷贝到C:盘中, 该文件的格式会自动从FAT转为NTFS, 反之亦然
- 磁盘创建分区可以使用cmd的diskmgmt.mscGUI程序
- 右键文件属性 --> 点击安全 --> 编辑权限 --> 对于读取(读取属性, 读取数据, 读取扩展属性, 读取权限(可以看到有哪些人对指定该文件有哪些权限)), 还可以细分 --> 退回, 点击高级 --> 点击用户 --> 显示高级权限, 如果取消了读取扩展属性, 那么文件就打不开了, 这要修改, 那么就会多出来特殊权限
- 注意: 要想读取一个文件需要两个权限: 1. 该文件有读取权限; 2. 打开该文件的程序有运行权限(如果没有会弹出红色警告)
- 注意: 删除一个文件的条件: 1. 要么该文件所在的文件夹需要对子文件有修改权限; 2. 要么该文件有个修改权限
- 注意: 以上, 对于管理员来说, 不管有没有任何权限, 都可以设置获取所有的权限, 修改文件的所有者, 可以对文件进行完全控制, 管理员不是该文件的属主也可以, 类似于root用户, 但是又有一些区别, Linux中的root用户遇到权限不匹配时不需要进行任何的修改就有了rwx, 而在windows中, 就算是管理员, 可以无视那些权限的障碍, 但是这是需要一些设置的, 要对那个需要打开的文件的一些设置
- 注意: 一般来说一个文件有了写入权限, 应该也要有读取, 这样才能修改, 因为如果有写入而没有读取是打不开文件的, 但是这个使用可以在其他地方创建一个同名的文件, 里面随便写一个东西, 复制到那个文件所在的目录中进行替换时可以的
基础(二)
- NTFS的继承性:
- 父目录下的文件的权限与父目录一样, 完全继承, 默认无法修改, 如果要修改则需要禁止继承, 右键属性高级禁用继承
- 如果一个目录下的文件的权限五花八门, 通过右键父目录的属性高级, 在启用继承的下面有一个选项选中应用即可, 让父目录的权限强制继承给子文件
- 累加性:
- 一个用户在多个组中, 对一个文件由于组的不同有了不同的权限, 将他们加起来就是该用户对该文件的权限
- 拒绝优先:
- 如果一个用户所在的组对该文件有一个拒绝权限, 则不管在哪个组中有对应的权限就都是拒绝的
- 移动文件时:
- 权限会和移动到的文件夹一样
基础(三)
- 透明性(压缩, 注意: FAT不支持透明压缩):
- 右键属性, 常规, 高级, 勾选压缩, 应用即可 --> 效果: 文件的名称为蓝色, 在硬盘上的占用空间小了, 但是显示出来的还是不变的, 打开时解压(加载到内存时解压)
- 加密(EFS, 不能对分区加密, 如果要对分区加密需要使用bitlocker):
- 对用户透明
- 右键属性, 常规, 高级, 勾选加密, 应用即可 --> 会有密钥(登录时自动生效, 其他用户没有密钥就打不开)
- 如果B用户对A.txt可读, 那么不可读admin加密的文件
- 如果B用户对A.txt可写, 那么虽然不可读, 但是可以删除
- A要允许B访问加密的文件
- A在加密的文件, 右键属性, 常规, 高级, 详细信息, 添加, 添加B用户的证书(只使用户加密的文件比较少的, 批量操作比较大)
- A导出自己的私有, 这样B主要找到该文件导入一下就可以了, 记住要选择导出私钥(certmgr.msc)
- 对用户透明
基础(四)
-
磁盘配额:
- bitlocker(启动盘加密):
-
安装:
启动bitlocker服务
-
共享
- 右键属性高级共享(net share)
- 还要启动网络共享
-
还要注意策略中的允许网络访问计算机和拒绝从网络访问此计算机
- B访问A
- 经典和来宾设置
- 经典:
- 如果双方用户名的密码一样则直接登录
- 如果不同, 则提示输入
- 仅来宾:
- 来宾的密码为空, 却不能进入, 因为guest账号默认是禁用的, net user guest /active:yes
- 访问:
- UNC(\192.168.1.72)
- 映射网络驱动器, 右键目录
- 设置默认共享: 在共享名之后加上$
- 删除共享: net share c$ /del --> 这样就关闭了c:盘共享, 但是设置在内存中的, 下次启动就没了, 需要写一个ps1或者bat, 让开机自动读取, 在启动目录中startup; 或者修改注册表
- 注意权限
NTFS与共享文件夹的权限的制约
脱机文件夹
- 是为客户端主机准备的
- 右键共享的文件, 右键高级共享, 缓存配置一下(默认就好)
- 客户端选中文件右键属性脱机
卷影副本
- 右键driver找到卷影副本
- 这样在共享文件夹中的文件在修改之后, 右键属性, 点击一起版本
打印机
- 控制面板中的打印机, 适应的前提是启动的printer服务
- 进入界面在上方找到添加打印机, 按步骤安装驱动程序即可, 如果本机是一台打印机服务器的话, 共享打印机, 开启网络发现gpedit.msc
- 配置打印机池--> 一个驱动程序对应多个端口, 每一个端口有一个打印机设备
- 右键打印机属性-->选中端口-->左下角的应用打印机池-->勾选多个端口-->应用
- 打印机有优先级:
- 右键打印机属性-->高级
- 打印机也可以设置权限
磁盘管理
- 在win7+无法基于图形界面创建扩展分区, 但是可以使用cmd
- 命令使用如下:
- diskpart
- select disk 0
- list disk
- detial disk
- create partition primary size=5000
- create partition extended
- create partition logic size=5000
动态磁盘
- 右键磁盘转为动态磁盘
- 接着就可以键里RAID了
- bootrec /fixmbr --> 通过光盘引导使用命令修复mbr
- bootrec /fixboot --> 修复pbr: partition boot record, 每一个分区都要pbr
系统
- boot loader: bootmgr
- attrib -s -h: 去掉系统级别的隐藏
- attrib +s +h: 添加系统级别的隐藏
启动流程
- mbr --> dpt --> bootmgr(可以认为是一个半吊子的grub, 为什么?, 因为windows将grub的功能分为了bootmgr和winload, BCD) --> bcd(和grub一样显示菜单) --> winload
- mbr --> grub1 --> grub2.5 --> grub2
- linux中grub可以通过/boot/grub/grub.conf修改
- win7之前通过boot.ini, 而win7+通过bcdedit命令修改
- windows和linux有一样的开机等级类似于init 0,1,2,3,5,6的, 在windows启动时按住F8即可, 常用安全模式
系统备份
- ghost: 第三方
- windows自带的, 首先安装windows server backup, 在开始菜单中有
- 单击本地备份, 一次性备份
系统性能监控
- eventvmr.msc: 事件监控
- 去管理工具中找
密码重置盘
活动目录
- 域控制器, 成员服务器, 个人电脑
- 域控制器(有sysvol[共享目录], 还有log日志文件用于恢复活动目录)是存储域内用户信息的数据库服务器, 还有计算机的信息等, 如果有多个则进行同步复制HA
- 成员服务器就是服务器
- 第一个域控制器创建时会将本地的用户添加到该域中, 而第二个域控制器则会清空本地的用户账号
- 所有的工具都在管理工具中
- 不能直接使用除了管理员之外登录域控制器, 如果要的话, 域控制服务器需要打开组策略工具的安全设置出现了允许本地登录添加指定用户即可
- 为域添加组织和用户, 右键跟着向导即可
域
- 用的最多的工具为Active Directory 用户与计算机, 组策略
- 域内的用户在活动目录数据库中, 我们可以在用户与计算机中的添加一个部门, 在该部门中右键添加用户, 在局域网中的计算机作为客户端可以通过修改工作组为域并输入该域中存在的一个用户的密码管理起来, 那么该计算机就会被加到用户与计算机中的computers(OU)部门中
- 统一部署需要使用组策略管理工具, 首先右键添加策略, 设定好策略名, 接着右键策略编辑策略, 统一安装软件, 该软件包需要局域网内的计算机可以访问到, 如果局域网的ip不够, 就是用路由服务器进行路由让其可以访问到, 新建的策略在客户端中需要使用gpupdate /force更新策略再重启, 再重启在出现请稍等界面时就会安装软件
- 图片案例
在添加安装包时, 要将其共享出去, 在路径中也要添加UNC, 如果是微软的产品, 需要添加序列号, 我们可以找到Setup程序, 在cmd中键入setup.exe /a重新打包
域架构
- DC: 域控制器, 保存了当前域所有对象的所有属性
- PC: 客户机
- 域架构局域DNS服务器的
- GC: 默认是第一台DC, GC保存了整个林的所有对象的部分属性
- DC与GC都可以用户查询用户, 也可以根据指定的字段查找, 查询的范围可以是整个目录(需要GC), 或者某个域, 如果基于整个目录进行查找的话, 则可能根据一些字段找不到, 因为GC的定义
- 站点: 在DC的上一级, DC的同步就是在同一站点, 站点之间的同步需要通过站点管理器的IP设置, 站点的划分是根据subnets
林级别/域级别
- 控制添加到该域的域控制器的操作系统版本
- 域是复制的单元, 是安全的边界
- 添加一个域控制器的建议步骤
- 先修改该windows server的工作组为执行的根域(bux.org)
- 修改完成重启
- 进入服务器管理器, 添加角色或功能
- 选择活动目录功能, 升级为域控制器, 现在有两个选择, 添加到林, 或者是子域, 如果是子域则就是域控制器的HA(这样该计算机就会从根域跑到了buxs.org), 如果是林的, 之后还要在根域添加DNS的条件转发器
- 这样在bux.org中的controller computers中就有了该计算机
- 在活动目录中, 用户和计算机应该是分离的, 一开始加入域的计算机要求输入用户和密码, 那么表示该域只接受该计算机, 该计算机如果要等于该域需要该域中的用户名和密码
