WINDOWS葵花宝典.docx

1、WINDOWS葵花宝典WINDOWS葵花宝典安装和配置windows server2003：安装管理工具：安装光盘的i386adminpak.msi或者操作系统目录下的%system32%system32adminpak.msi 安全帐户管理数据库本地SAM 位置%system32%system32configsam域中SAM 位置windowsNTDSntds.dit用户配置文件漫游配置文件 (在域中使用) 新建文件夹将其共享，更改共享文件夹权限和安全权限使所有人完全控制 用户属性-配置文件-UNC路径 例：serversharename%username%强制配置文件 （用该帐户登陆去访问

2、服务器上的共享配置文件夹） 将配置文件夹中的ntuser.dat改为ntuser.man 临时配置文件 在不能登陆的情况下自动配置用户和组在本地组中不能加入本地组，但可以加入系统组，本地组中增加成员时只能添加本地用户和内置安全主体。工作组 为本地组分配权限时可以使用ALP策略 (本地安全策略-用户权限分配) 为组分配权限域环境 默认情况下域中的Account Operators(帐户管理员) Domain Admins (域) Enterprise Admins(企业)有管理用户的权限文件夹审核本地安全-起用对象审核打开审核的文件夹属性-高级-加入需要审核的用户和组-审核的具体内容-用事件查看

3、器查看Active Directory 的安装（NTFS分区系统，DNS 服务支持）运行-dcpromo命令注：安装备份域控制器时，机算机中所有本地用户和组将全部消失，加密的文件也无法打开恢复控制台的安装e:i386winnt32 /cmdcons （假设e为光盘所在的目录 /cmdcons 为存放控制台的目录）FAT转换为NTFS文件系统运行-convert e: /fs:ntfs 注e为要转换的盘符卷影副本客户端软件服务器安装目录下system32clientswclient 其中amd64 ia64是为64位CPU准备的普通用户安装x86下的twcli32.msi打印机打印机端口重定向有

4、两台打印机HP1和HP2，当HP1发生故障时，可以通过下列方法重定向端口到HP2单击HP1打印机属性中的-端口选项卡-添加新端口-选择local port-新端口-输入HP2打印机的UNC路径打印机优先级对一台物理打印机添加两台罗辑打印机（客户机上）分别设置它们的优先级为1或99，99具有高优先级 (属性-高级)在活动目录中发布打印机默认情况下共享的打印机以经发布到了活动目录中，如果看不到，在Active Directory中点查看-用户组和计算机做为容器.如果不想在活动目录中显示共享打印机，将打印机属性-共享中的-列入活动目录去掉通过web管理打印机 http:/服务器名/printers

5、(要有iis的支持)dhcp服务器dhcp数据库 %Systemroot%system32Dhcp数据库压缩 对于1000台以上的大型网络至少一月进行一次脱机压缩，小型网络数月一次压缩命令 进入数据库目录 cd %Systemroot%system32Dhcp 停止dhcp服务 net stop dhcpserve 压缩dhcp数据库 jetpack DHCP.MDB TMP.MDB(tmp.mdb为用户自已定义) 开启dhcp服务 net start dhcpserver客户机请求 dhcpdiscover S- 0.0.0.0 D- 255.255.255.255服务器响应 dhcpoff

6、er S-服务器id D- 255.255.255.255 掩码 提供给客户机的ID客户机选择 dhcprequest S- 0.0.0.0 D- 255.255.255.255 选择的id服务器确认 dhcpack S-服务器id D- 255.255.255.255 ip租约的更新 当服务器重新起动或租期达50%时，客机真接向原服务器发送请求dhcprequest,如果服务器没有响，当租期达到87.5%时，客户机向所有的服务器发送dhcpdiscover以更新现有租约。否则无法使用现有租约。超级作用域 将多个作用域加入超级作用域,可以实现为同一网段不同子网分配ip地址。(启用LAN路由)服

7、务器属性配置003路由器 默认网关地址006DNS服务器 DNS服务器的IP地址015NDS或名 用于解析的DNS域名044WINS/NBNS 用于客户机的WINS服务器名046WINS/NBT WINS节点类型DHCP地址类别建立用户类别 服务器-定义用户地址类别-添加-输入类别名-输入ASCII码(类别名)配置用户类别属性 服务器选项-高级-用户类别选项-选择已定义的类别-配置属性 客户端设置定义用户类别 运行-ipconfig/setclassid 本地连接 类别名查看用户类别 运行-ipconfig/showclassid 本地连接 DNS服务器FQDN完全合格域名 例：根域-顶级域-

8、二级域-主机名 名称空间结构顶级域又分为-组织域（3个字符）-地理域（2个字符）-反向域（in-addr.arpa)gov 政府部门 com商业部门 edu教育部门 org民间团体 net网络服务 mil军事部门dns查询过程 递规查询 迭代查询 正向查询 反向查询(查找1.2.2.2的fqdn 就查2.2.2.1.in-addr.arpa)建立dns静态映射的目录 windowssystem32driversetchosts资源记录表资源记录 说明 SOA（起始授权机构） 定义了该区域中授权的服务器 NS（名称服务器） 该区域的授权服务器和指定的主服务器和备份服务器 A（主机） 域名到IP的

9、映射 PTR（指针） IP映射到域名 SRV（服务位置） 列出了那些服务器正在提供特定的服务 相关命令nslookup 测试dns服务器ipconfig/displaydns 显示dns客户机域名解析缓存中的内容ipconfig/flushdns 清楚dns缓存net logon服务 用来更新dns服务windows服务启用windows代理 local-machisesystemcurrantcontrolsetservicesnetbtparanters 将enablelmhosts值0改为1windows服务节点类型B节点只使用广播方法。该类型的节点在本地子网上使用广播消息来发现位于同一

10、子网中的计算机。 P节点只和名字服务器使用点对点通信。该类型的节点使用服务（如WINS服务器）来进行查询以获取要解析的地址。 M节点先使用广播，再点对点通信。该类型的节点在LAN上发送广播消息来查找另一台电脑，如果没有回应或查找失败，就转为使用P点节方式继续查询。它向名称解析服务器注册自己的名称时也是用的广播消息。 H节点先使用点对点通信，然后使用广播。该类型的节点使用 NetBIOS 名称解析服务来进行注册或解析，如果无法连接到名称解析服务器(如WINS服务器)则再转为使用B节点方式继续查询。节点类型与二进制的关系 B-1 P-2 M-4 H-8（通过DHCP向下分发）收缩数据库参照DHCP

11、windows远程访问服务器远程式访问协议PPP LSIP Microsoft RAS LAN协议 点到协议 串行线路网际协议 windows客户机远程访问协议 tcp/ip ipx appletalk netbeul VPN协议PPTP 不支持隧道验证 只支持IP互连网络 不支持报头压缩 8字节 MPPE加密 L2TP 支持隧道验证 X。25 ATM 帧中继等 支持报头压缩 14字节 IPsec加密 ppp多链路协议BAP 动态地为多链路连接添加或者删除多余的链接 BACP 同时出现两个ppp实体添加或者删除链接时选择其中的一个连接 常用身份验证的方法PAP 口令验证协议（名文传输） CHA

12、P 询问响应类型的验证协议 用HASH加密 比PAP与SPAP更安全 MS-CHAP2 提供比CHAP更强大的安全访问连接访问机制 不兼容老版本 但更安全 MS-CHAP 向下兼容windows98 windowsNT等老版本 EAP 可扩展验证协议 指纹、智能卡等 SPAP 密码身份验证协议 是Shiva公司使用的一种可逆加密机制 MPPE（Microsoft点到点加密）使用带有40，56，128位加密密码。在WINDOWS系统中得到了基于拨号与PPTP方试的VPN客户端服务器的支持，MPPE密钥将在MS-CHAP、MS-CHAP v2、或EAP/TLS用户身份验证过程中生成。注：在域浑合模

13、式下不能使用远程访问控制策略，要想使用得把域提升为2000纯模式或2003纯模式IAS服务器-RADIUS安装-网络服务-INTENET验证服务 ( 将VPN服务器变为RADIUS服务器)IAS服务器-对VPN服务器做统一管理,身份验证,计帐等.IAS=RADIUS服务器 将VPN服务器配置成为RADIUS客户端相关命令netsh ras ip show config 查看IP远程访问的配置NAT网络地址转换静态NAT 将内网每个主机永久映射为合法公有IP 地址转换原理out数据包,NAT将源IP地址和源端口号转换为公有IP和可能改变的端口号in数据包,NAT将目的IP地址和端口号转换为私有I

14、P和最初的端口号 NAT池 采用动态分配的方式映射到内部网络 PAT 采用端口多路复用技术 PKI公钥基础结构PKI-是一种支持密钥的基础结构,目得是通过自动管理密钥和证书,可以为客户建立起一个安全可靠的运营环境,使用户可以在多种应用环境下方便的使用加密和数字簦名技术,从而保证网络上数据的完整性,机密性和有效性;数字签名-提供身份验证和数据完整性验证,使得接收方能够确认发送方的身份标识,确保数据在传输过程中没有被篡改.CA-是一个可信任的实体,它根据CA策略负责发布,更新和吊销证书.RA-负责将用户的有关申请信息存档备案,并存储在数据库中,并将审核通过的的证书请求发给证书颁发机构.RA分担了

15、CA的部分工作.管理更方便.AIA-证书分发点CRL-证书吊销列表加密类型加密类型 加密算法 密钥长度 性能对比 对称加密 DES, 3DES, IDEA 64位,128位 64位为一组对数据加密,速度快适用于大数据块加密度,管理不灵活. 非对称加密 RSA,膨胀椭圆曲线 公钥,私钥 在实际应用中时间长,速度慢,适用于小数据块的加密, 管理灵活 对称加密与非对称加密的混合使用 (数据加密) 发送方用对称加密的方法,将文件加密后传给接收方. 发送方在将(发送方和接收方共同拥有的密钥)通过非对称加密的方法加密后传给接收方 接收方用私钥解密得到对称密钥 然后用对称密钥去解读对称加密的文件PGP (p

16、retty good privacy)邮件加密软件 (具体用法见windows 管理上146页)有一种RSA和传统加密的杂合算法,传输前不需要保密通道来传输密钥,用于数字簦名和文摘算法,加密前压缩等.HASH算法HASH算法 是一个简单而不可逆的过程.确保文件的完整性和可靠性.常用的HASH算法有SHA MD5等. 公钥加密应用数据加密-公钥加密,以用户私钥作为解密密钥,则可实现多个用户加密的信息只能由一个子用户解读.可能以数据加密.数字签名-反之可用于数字签名. 证书的发放过程证书申请RA确认用户证书策略处理RA提交用户早请信息到CACA为用户生成密钥对，并对用户ID进行签名，生成电子证书，

17、然后CA 将用户的数字证书和公用密钥发布到目录中CA将电子证书传给RARA将电子证书传给用户用户验证CA颁发的证书证书的主要用途信息的保密性交易身分的确定性不可否认性不可修改性通过WEB注册申请证书http:/服务器名 或 http:/IP地址/certsrv 影响证书有效期的注册表键值HKEY-LOCAL-MACHINESystemcurrentControlsetServicesCertsvcConfigurationvalidityperiodvalidityperiodunits非建康证书状态 私钥弃失 证书不在有效期内 证书路径有问题-即根CA和下级CA在本地不受信任 ftp服务隔离

18、用户的设置在ftp根目录下建立一个叫LocalUser的文件夹，在localuser目录下建立要隔离的用户名（用户名要在服务器和活动目录中存在）也可以建匿名访问目录pubic,这样就可以实现不同的用户访问不的文件夹中的内容。FTP常用命令FTP的命令行格式为：ftp -v -d -i -n -g 主机名，其中-v显示远程服务器的所有响应信息；-n限制ftp的自动登录，即不使用；.n etrc文件；-d使用调试方式；-g取消全局文件名。ftpopen 主机ip地址 登陆ftp注：根据提示输入用户名和密码，如果是匿名用户则输入anonymous passworddir remote-directo

19、ry local-file 显示目录注：remote-directory 指定要查看的目录，如果没有指定则显示当前目录local-file 指定要输出到本地的文件名，如果没有指定则输出到屏幕ls remote-directory local-file 显示目录get remote-file local-file 下载文件mget remote-file 多文件下载注：一次可下载多个文件，后面用空格隔开 例如 ftpmget *.txtmdelete 成批删除远程计算机上的文件mkdir directory 创建远程目录rmdir directory 删除远程目录put local-file 将

20、本地文件上传到远程计算机上pwd 显示当前路径rename filename newfilename 重命名远程文件help command 帮助bye 退出web方式访问ftpftp:/用户名：密码ip地址ftp客户端软件crte FTP XP leap FTP leach FTP flash FTP smart FTP absolute FTP FTP voyager turbo FTPFTP服务器软件Wu-FTP Pro FTP 在Unix、linux中常用,其中pro ftp最为常用功能更强server-u 在windors 中常用server-u功能如下支持多用户接入支持匿名用户，可

21、随时限制用户登录数量可对每个用户进行单独管理，也可使用组进行管理。可对用户的下载或上传速度进行限制可对目录和文件实现安全管理支持虚拟目录可对ip地址禁止和允许访问目录服的高级应用安装活动目录的各种情况新森林-第一次建域新域树-在原有域的情况下建立一独立的树 不共享域名新子域-共享原来的域名安装额外DC-实现负载和安全安装DC的准备工作足够大的用户权限Active Directory的逻辑结构活动目录为每个域建立一个目录数据库的副本，这个副本只存贮用于这个域的对象。在域中，所有的域控制器都是平等的。活动目录以多主复制模型在域控制器间实现复制，另外域是一个安全边界，在域中设置的安全策略只在本域起落

22、架作用。活动目录的物理结构站点和域控制器逻辑结构侧重于网络资源的管理，物理结构侧重于网络的配置和优化。例如，一个多物理位置组成的域，如果没有站点，用户登录时可能会通过慢速的wan连接，连接到另一个位置的dc上，利用站点可以让用户登陆到本地的dc上，从而优化了性能。全局编录存贮了森林中所有active driectory对象的一个副本的域控制器查找对象提供了根据用户主名的身分验证在多域环境下提供通用组的身分验证信息通用组的成员应该是全局组，而不应该是用户账号，因为通用组成员的变化会在森林中产生较大的复制量。修改全局编录服务器的属性 打开站点与服务-default -first-site-name

23、 -serves-NTDS-属性-常规AD Schema 活动目录架构Schema包括了两种类型的定义：类和属性Schema的扩展是全局性的于系统有关的Schema类不能修改对Schema的修改不能辙消LDAP轻量目录访问协议LDAP是TCP/IP网络上使用的一种协议，它定义了目录服务客户端如何访问目录服务器，以及客户端如何进行目录操作和共享目录数据。LDAP路径写法 从后往前cn=bill,ou=it,dc=b,dc=a操作主机森林范围内的操作主机架构主机 默认为森林中的第一台dc域命名主机 默认为森林中的第一台dc配置构架主机运行-regsvr32 schmmgmt.dll打开MMC控制台

24、-添加active derictory构架-属性-操作主机配置域铭主机打开域和信任关系-属性-操作主机域范围内的操作主机RID主机 任何时候林中的每个域中只能有一个域控制器作为rid主机PDC主机 负责同步整个域内域控制器上的时间，同步账号锁定密码修改结构主机 负责更新从它所在域中的对象到其它域中的对象的引用。除非域中只有一个域控制器，否则不应将GC和结构主机指派结同一台DC.域范围内的操作主机配置用户和计算机-所属域属性-操作主机委派管理删除对用户的任务委派点查看-勾选高级-被委派用户属性-安全-高级-删除不想要的权限目录服务的复制站点、子网、站点链接、站点链接桥和桥头服务器构成了目录服务的

25、复制拓扑，站点链接桥-有两个和多个链接组成，链接桥用来把两个和多个“站点链接”连起来。在新建站点连接以后一定要修改默认站点，保证每个站点之间只复制一次。域信任关系单项信任双项信任可传递信任不可传递信任快捷方式传递可提高效率外部信任一般为不可传递信任,在2003模式下可构建森林这间的信任关系。并且是可传递信任。要在china.nwtraders.msft与contoso.msft之间建立快捷方式传递首先在china.nwtraders.msft所在在dns中添加转发器，指向contoso.msft的dns服务器，或者添加辅助区域，指向contoso.msft其次在建立信任时，要在双方同时添加，且

26、不需要输入用户名和密码。要在china.nwtraders.msft与之间建信任在双方的DNS区域都要设置对方的标准辅助区域以便于复制。或者一方设置辅助区域一方设置转发。在站点与信任中同时设置对方为信任域组策略组策略按照从下到上的顺序逐条执行，当策略设置发生冲突时，较后应用的策略会替代先应用的策略。当计算机设置和用户设置冲突时计算机设置会替代用户设置 当上层的设置与下层的设置不同时，组策略的效果可以累加若对同一个项做不同的设置，则先应的策略会被后应用的策略所替代阻止策略继承禁止替代 就是不允许阻止策略继承 组策略-选项中设置其它常用命令gpedit.msc 打开组策略 adsiedit.msc

27、 查看授权服务器gpupdate 刷新策略 ntbackup.exe 打开备份和还原工具diskpart 磁盘管理工具 ?号查看相关命令diskmgmt 打开磁盘管理工具msconfig 系统配置实用程序sysocmgr /i:sysoc.inf 打开windows添加删除组件注册表应用实例禁止cd-rom自动运行HKEY-LOCAL-USER-MACHINESYSTEMCurrentControlsetservicescdrom 设置autorun值为0加速菜单显示速度HKEY-CURRENT-USERControl paneldesktop 将menushowdelay的值由400改为10

28、0锁定桌面Hkey-UsersSofwareMicrosoftWindowsCurentversionpolioiesexplores 双击no save setting 将值0改为1设置自动登陆HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindows NtCurrentVersionWinlogon新建字符串AutoAdminlogn 新建字符串Default Password删除管理任务HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionexploresremotecomreuternamespace将

29、值删除 windows server2003网络测试工具：1.ping命令用ping命令用于查看网络上的主机是否在工作，它向该主机发送ICMP ECHO_REQUEST包。有时我们想从网络上的某台主机上下载文件，可是又不知道那台主机是否开着，就需要使用ping命令查看。该命令的一般格式为：ping 选项 主机名/IP地址命令中各选项的含义如下-c 数目 在发送指定数目的包后停止-d 设定SO_DEBUG的选项。-f 大量且快速地送网络封包给一台机器，看它的回应。-I 秒数 设定间隔几秒送一个网络封包给一台机器，预设值是一秒送一次-l 次数 在指定次数内，以最快的方式送封包数据到指定机器（只有超级用户可以使用此选项）。-q 不显示任何传送封包的信息，只显示最后的结果。-r 不经由网关而直接送封包到一台机器，通常是查看本机的网络接口是否有问题。-s 字节数 指定发送的数据字节数，预设值是56，加上8字节的ICMP头，一共是64ICMP数据字节例：ping 192.168.0.8 t ，参数t是等待用户去中断测试 2.查看DNS、IP、Mac等 A.Win98：winipcfg B.Win2000以上：Ipconfig/