WinServer系统管理

一、本地用户与组管理

本地用户：用户本地创建、本地存储、本地登录且只能登录本地一台计算机。

认识用户帐户：
1. Windows帐户有帐户名、有密码、用户安全标识（SID）
  - SID安全标识符（身份证号），每个用户的SID唯一
  whoami /user查看用户SID
  
  whoami /user查看用户SID
2. 打开本地用户和组
  - 运行 → lusrmgr.msc
  - 右击此电脑 → 管理 → 工具 → 计算机管理 → 本地用户和组 → 用户
3. 常见内置用户
  - administrator:管理员，权限最大
  - guest:来宾，权限小，默认禁用
  内置用户可以改名、可以禁用、不可以删除
本地帐户管理
1. 创建用户
  - 打开本地用户和组-用户
    
    右击-新用户
    
    用户名：
    
    全名：
    
    描述：
    
    密码：
  取消勾选下次登录时须更改密码
  
  右击开始菜单 → 关机或注销 → 注销选择登录
  
  登录后通过whoami /user查看用户SID
2. 帐户属性
  - 右击用户帐户名 → 属性
  - 用户下次登录时须更改密码（每个员工创建不同帐户）
  - 用户不能更改密码（用于公用帐户）
  - 用户不能更改密码（用于公用帐户）
  - 密码永不过期（默认42天）
  - 帐户已禁用
3. 更改用户密码
  - 管理员重设置
  - 用户自己改（用户注销登录按ctrl+alt+del）
  验证勾选用户不能更改密码，普通用户注销登录更改密码验证提示。
4. 帐户重命名
  
  适用新老员工的工作交接(右击重命名、选重F2、单击再单击)
5. 删除用户
  
  删除用户后，创建同名同密用户也不具有以前用户的权限
本地组管理
1. 作用：用来对多个用户批量授权
2. 创建本地组：
  
  打开本地用户和组 → 组
  
  右击 → 新建组 → 输入组名 → 确定
3. 用户加入组
  - 双击本地组添加 → 输入用户名 → 确定 → 确定
  - 右击用户名 → 属性 → 隶属于 → 输入组名 → 确定 → 确定
4. 常见内置组及权限
  - Administrators:管理员组
  - Guests:来宾组
  - Backup Operators：具有备份和还原的权限
  - Remote Desktop Users：此组内用户可以从远程计算机使用远程桌面来连接
  - Print Operators：具有管理打印机的权限
  - NetworkConfiguration Operators：具有管理网络功能，例如更改IP地址
  - Users:新用户默认组
  - Everyone:任何用户都属此组
5. 内置组实验验证
  1. 普通用户注销登录，验证更改IP地址，提示输入administrator密码
  2. Administrator注销登录，将普通用户加入Network Configuration Operators组
  3. 普通用户注销登录，再次验证更改IP地址

二、文件权限管理

NTFS权限
1. 文件系统：数据在磁盘上的排列方式
2. NTFS特点
  - 高读写
  - 磁盘空间利用率高
  - 安全性高（支加密、NTFS权限的配置）
  - AD需要NTFS支持
3. 如何取NTFS文件系统的分区：
  - 格式化磁盘分区时可以选择文件系统的类型
  右击此电脑-管理 → 工具 → 计算机管理 → 磁盘管理 → 右击未分配 → 新建简单卷 → 下一步 →
  
  输入102400MB → 下一步 → 选择盘符 → 下一步 → 文件系统默认选择NTFS → 下一步 → 完成
NTFS权限配置
1. 文件夹的NTFS权限
  - 完全控制：修改文件，给其他用户分配权限
  - 修改：读、写、删、打开程序
  - 读取和执行：读、打开程序
  - 列出文件夹内容：读取文件夹内容
  - 读：读取内容
  - 写入：写入内容
  - 特殊权限
2. 文件的NTFS权限
  
  文件的NTFS权限与文件夹的NTFS权限对比少了一个列出文件夹内容的权限
3. 配置文件的NTFS权限
  - Administrator用户创建文件夹E:\NTD，在NTD的文件夹中创建01.txt，在01.txt的文件中输入“11111”
    
    → 普通用户注销登录双击E:\NTD\01.txt可以打开此文件，不能更改文件内容
  - Administrator注销登录-右击01.txt-属性-安全-编辑-添加普通用户-勾选写入
    
    → 普通用户注销登录双击E:\NTD\01.txt可以打开此文件，能更改文件内容

NTFS权限的配置规则

权限的累加性
- Administrator用户在NTD的文件夹中创建02.txt，在02.txt的文件中输入“22222”右击02.txt
  
  属性 → 安全 → 编辑 → 添加普通用户 → 勾选读取权限 → 添加用户所属组 → 仅勾选写入权限
  
  普通用户登录双击02.txt可以打开此文件，可以更改文件内容。
用户与用户所属组权限不冲突，权限累加，eg：

用户 → 读

用户所属组 → 写

用户权限 → 读+写

用户所属组1 → 读

用户所属组2 → 写

用户权限 → 读+写

权限的拒绝（拒绝大于一切、拒绝优先）

Administrator用户在NTD的文件夹中创建03.txt，在03.txt的文件中输入“33333”，右击03.txt
1. 属性 → 安全 → 编辑 → 添加普通用户 → 勾选允许读取权限 → 添加用户所属组 → 勾选拒绝读取权限
  
  普通用户登录双击03.txt拒绝访问
2. 属性 → 安全 → 编辑 → 添加普通用户 → 勾选拒绝读取权限 → 添加用户所属组 → 勾选允许读取权限
  
  普通用户登录双击03.txt拒绝访问

组1	组2	组3
用户 → 读用户所属组 → 拒绝读	用户 → 拒绝读用户所属组 → 读	用户所属组1 → 读用户所属组2 → 读 …… 用户所属组99 → 读用户所属组100 → 拒绝读
用户权限 → 拒绝读	用户权限 → 拒绝读	用户权限 → 拒绝读

权限继承
1. 继承
  - 默认下级继承上级目录的权限
  Administrator用户创建文件夹tedu → 右击tedu的文件夹 → 属性 → 安全 → 编辑 → 添加普通用户完全控制权限
  
  在tedu的目录中创建01.txt，右击01.txt → 属性 → 安全 → 查看是否有普通用户的完全控制权限
2. 取消继承
  
  右击01.txt → 属性 → 安全 → 高级 → 禁用继承 → 在弹出的提示中选择第一个-确定
  
  → 编辑 → 选择普通用户 → 取消完全控制的勾选仅留读权限 → 确定
3. 强制继承
  - 右击tedu的目录 → 属性 → 安全-高级 → 勾选禁用继承下的复选框 → 是 → 确定
  下级取消继承后上级目录可以强制继承，上级目录强制继承后下级目录还可以再次取消继承

三、安全基线

为了满足安全规范要求，服务器必须要达到的最低安全标准
参考《GBT22239-2019信息安全技术网络安全等级保护基本要求》
操作系统安全基线

作用
- 设置口令复杂策略，防止暴力破解密码
- 控制用户的文件权限，减少被攻击后的影响
- 最小化安装操作系统，防止不必要的服务带来的安全问题
安全配置
- 用户管理
- 密码策略
- 共享管理
- 文件权限管理
- 用户权限管理
- 日志审核管理
- 远程管理

四、本地安全策略

本地安全策略：为保护计算机资源而配置的规则
打开本地安全策略
- 开始菜单 → windows管理工具 → 本地安全策略
- 控制面板 → 管理工具 → 本地安全策略
- 运行 → secpol.msc
本地安全策略主要包含
1. 帐户策略
  - 密码策略
  - 帐户锁定策略
2. 本地策略
  - 审核策略
  - 用户权限分配
  - 安全选项
密码策略
- 密码必须符合复杂性要求：复杂密码满足条件，英文小写、大写、数字、特殊符号，四个条件取其三。
- 密码长度最小值：取值范围0-20，0表示长度无限
- 密码最长使用期限：默认42天，取值范围0-999，0表示永不过期
- 密码最短使用期限：取值范围0-998，默认0表示无限制，随时可更改密码
- 强制密码历史：默认0表示历史曾经用过的密码可以随便使用，取值范围0-24
https://www.security.org/how-secure-is-my-password/
帐户锁定策略
1. 帐户锁定阈值：配置用户输入错误密码的次数，取值范围0-999，默认0表示不锁定帐户
2. 帐户锁定时间：帐户锁定多长时间自动解锁，单位分钟，取值范围0-99999，0表示管理员手动解锁
3. 重置帐户锁定计数器：清除所输入的错误密码的次数（用户输入错误密码开始计时，当该时间超时，计数器重置为0）
审核策略
1. 启用审核策略=安监控
2. 事件查看器=监控服务器存数据
  
  清除日志：控制面板 → 管理工具 → 事件查看器 → windows日志 → 右击安全 → 清除日志
3. 启用审核帐户管理
  
  本地安策略 → 本地策略 → 审核策略 → 双击审核帐户管理 → 勾选成功与失败
4. Administrator修改普通用户名
  
  控制面板-管理工具-事件查看器-windows日志-安全-查看钥匙图标的事件内容
用户权限分配
1. 更改系统时间
  
  普通用户注销登录更改系统时间提示输入administrator密码
  
  本地安全策略 → 本地策略 → 用户权限分配 → 双击更改系统时间添加普通用户
2. 关闭系统
  
  本地安全策略 → 本地策略 → 用户权限分配 → 双击关闭系统 → 添加普用户
3. 允许本地登录
  - 验证：
  允许本地登录删除users
  
  本地安全策略 → 本地策略 → 用户权限分配
  
  双击允许本地登录-删除users
  
  注销验证普通用户本地登录
  
  验证允许普通用户本地登录
  
  拒绝本地登录
  
  拒绝从网络访问这台计算机
4. 安全选项
  - 交互式登录：试图登录的用户消息标题
  - 交互式登录：试图登录的用户消息文本
  - 交互式登录：无须按ctrl+alt+delete
  - 交互式登录：不显示上次登录
  - 交互式登录：提示用户过期之前更改密码（默认5天）
  - 帐户：使用空密码的本地帐户仅允许控制台登录
  - 关机：允许系统在未登录的情况下关闭

五、Windows帐户加固

Windows帐户的加固方法
- 定期检查可疑帐户，尤其是administrators成员
- Administrator改名，设置复杂密码
- Administrator禁用，新建用户加入管理员组
- 不显示上次登录（本地安全策略 → 本地策略 → 安全选项）
查看windows用户
1. 命令行查看用户net user
2. 注册表查看用户
  - 运行- regedit（打开注册表）
    
    HKEY_LOCAL_MACHINE\SAM\SAM右击SAM-权限-添加administrator完全控制权限，F5刷新。
    
    HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names查看用户名

六、配置共享文件夹

基础信息
1. 作用：实现文件通过网络访问
2. 优点：方便、快捷；不易受文件大小限制；共享访问权限控制
准备共享环境
1. 配置win2019服务器IP地址：192.168.1.20/24
2. 配置win10客户端主机IP地址：192.168.1.10/24
3. Win10主机ping 192.168.1.20
4. Win2019服务器创建普通用户并配置密码，用户属性勾选用户不能更改密码
5. 创建新磁盘分区
  
  Win2019服务器 → 运行 → diskmgmt.msc → 打开磁盘管理 → 右击未分配400G → 新建简单卷 → 下一步 → 输入102400MB → 三个下一步 → 完成
创建共享文件夹

E盘创建“E:\笔记”，在“笔记”的目录中创建DAY01.txt，DAY02.txt

右击“笔记” → 属性 → 共享 → 共享 → 用户选择everyone → 添加 → 共享 → 完成

everyone默认共享权限为读取
客户端访问共享

Win10主机 → 运行 → \\192.168.1.20 → 根据提示输入用户名及密码 → 确定
- UNC路径访问共享的格式：
  - \\服务器的IP地址
  - \\服务器名计算机名
  - \\服务器的IP地址\共享名
  - \\服务器名计算机名\共享名
通过映射网络驱动器访问共享
- Win10客户端主机 → 运行 → cmd
  
  net use h: \\192.168.1.20\笔记
- 常见错误：
  - C:\Users\amw>net use h:\\192.168.1.20\笔记
    
    报错：发生系统错误 67。找不到网络名。
    
    错误原因：无空格
  - C:\Users\amw>net use h: \\192.168.1.20\
    
    报错：发生系统错误 67。找不到网络名。
    
    错误原因：无共享名
  - C:\Users\amw>net use d: \\192.168.1.20\笔记
    
    报错：发生系统错误 85。本地设备名已在使用中。
    
    错误原因：和本地已有盘符冲突
  - 其他错误双斜杠方向错误、命令错误net use 不是net user
创建隐藏共享

右击将要共享的文件夹 → 属性 → 共享 → 高级共享 → 勾选共享此文件夹 → 输入共享名$ → 确定

客户端访问隐藏共享： 运行-\\服务器IP\共享名$
配置共享名

Win2019服务器创建“新建文件夹”并配置为共享，共享名为“mp5”
共享管理

计算机管理 → 共享文件夹：
- 共享：快速查看本机所有共享（查看、创建、删除）
- 会话：查看访问共享的用户（查看、关闭）
- 打开的文件：查看访问的共享文件（查看、关闭）
- 管理型共享：系统默认自动创建的共享
  
  例如:admin$、盘符$、IPC$（只有administrator才能访问）

七、FTP服务

什么是FTP

FTP (file transfer protocol )文件传输协议
FTP的作用

在网络上进行文件传输的协议，可实现文件的上传与下载
FTP协议的端口

FTP协议默认端口21
FTP服务组件

IIS（互联网信息服务）包含FTP服务的组件
部署FTP服务
1. Win2019安装FTP组件
  
  右击此电脑 → 管理 → 管理添加角色和功能 → 三个下一步 → 勾选 Web服务器（IIS） → 添加功能 → 三个下一步到角色服务
  
  → 下拉滚动条勾选FTP服务器 → 下一步 → 安装
2. 准备FTP站点根目录
  
  Win2019服务器 → 运行 → diskmgmt.msc → 打开磁盘管理 → 右击未分配400G → 新建简单卷 → 下一步 → 输入102400MB → 三个下一步 → 完成
  
  E盘创建“E:\ftp”，在“ftp”的目录中创建DAY01.txt，DAY02.txt
3. 添加FTP站点
  
  右击此电脑 → 管理 → 工具 → IIS管理器
  
  → 右击网站 → 添加FTP站点 → 站点名输入ftp → 物理路径选择E:\ftp → 下一步 → 选择无SSL
  
  → 下一步 → 身份验证选择匿名 → 允许访问选择匿名用户 → 权限勾选读取 → 完成
4. 客户端访问FTP服务
  
  Win10客户端主机打开资源管理器 → 资源管理器地址栏输入ftp://192.168.1.20
5. 部署基本身份验证访问FTP服务
  1. 创建系统用户
  2. 添加FTP站点
    
    右击此电脑 → 管理 → 工具 → IIS管理器 → 右击ftp → 删除
    
    右击网站 → 添加FTP站点 → 站点名输入ftp → 物理路径选择E:\ftp → 下一步 → 选择无SSL
    
    → 下一步 → 身份验证选择基本 → 允许访问选择所有用户 → 权限勾选读取、写入 → 完成
6. 配置通过客户端程序访问FTP服务
  
  Xshell、FileZilla、PuTTY、SecureCRT、MobaXterm

八、域服务

什么是域

将来自于网络中的多台计算机，以逻辑的方式组织到一起，实现了集中管理的环境，这种环境称为域
域控制器（DC）

每个域至少有一台域控制器
活动目录（简称AD）

集中管理、便捷的网络资源访问、扩展性
升级域控的条件
- 具有本地administrator管理员权限
- 具有足够的磁盘空间
- TCP/IP的配置（IP地址、子网掩码）
- 需DNS服务器支持
- 本地磁盘至少有一个NTFS文件系统的分区
- 操作系统版本必须为Windows Server版
实现域环境
1. 配置Win2019网络地址
  - IP：192.168.1.20/24
  - 首选DNS:127.0.0.1
2. 安装AD活动目录
  
  管理 → 添加角色和功能 → 三个下一步 → Active Directory域服务 → 添加功能 → 三个下一步 → 安装
3. 将此服务器提升为域控制器
  
  左侧点击AD DS → 右上角点击更多 → 将此服务器提升为域控制器
4. ActiveDirectory域服务配置向导
  
  添加新林 → 根域名输入ntd.com → 下一步 → 输入目录服务还原模式的密码 → 一路下一步 → 安装
5. 检查系统环境
  
  重启 → 登录系统 → 右击此电脑 → 属性 → 查看为域环境 → 关机创建快照
6. win10客户机加入域
  
  Win10主机ping 192.168.1.20
  
  Win10主机nslookup ntd.com
  
  Win10主机右击桌面此电脑 → 属性 → 高级系统设置 → 计算机名 → 更改 → 域 → 输入域名ntd.com →
  
  → 确定 → 输入win2019服务上的用户名administrator及密码 → 确定 → 确定 → 重启
域用户管理

域是集中管理的方式：（集权）用户、计算机

默认普通域用户可以登录域中所有除DC之外的电脑
1. 打开活动目录
  
  工具 → Active Directory用户和计算机
  
  运行 → dsa.msc
2. 创建域用户
  
  ntd.com → users → 右侧空白处右击 → 新建用户
  
  验证新建的域用户在win10客户端主机登录
3. 配置域用户属性
  - 登录时间:右击用户名 → 属性 → 帐户 → 登录时间
  - 登录到:右击域用户名 → 属性 → 帐户 → 登录到（配置域用户允许登录的主机）
  - 配置域用户1登录到的计算机名为PC1
  - 配置域用户2登录到的计算机名为PC2
  - 验证结果域用户1在PC1可成功登录，域用户2在PC1不允许登录
  - 帐户过期：右击域用户名 → 属性 → 帐户 → 帐户过期
4. 组织单位（OU）
  1. 容器：有效组织活动目录中的对象
  2. OU的设计方式
    1. 基于部门的OU
      
      基于地理位置的OU
      
      基于对象的OU
      
      基于混合的OU
    2. 验证创建与删除OU
      
      先创建OU
      
      然后删除OU查看提示
      
      查看 → 高级功能
      
      右击将要删除的OU → 属性 → 对象 → 取消防止意外删除的勾选
      
      右击将要删除的OU → 删除
5. 域环境组策略的配置
  1. 组策略（一组策略的集和）
    
    可以统一修改系统、设置程序
    
    调整桌面环境、安全设置、自动执行脚本、软件分发
    - 验证1：禁止域用户更改桌面背景
      
      工具 → 组策略管理
      
      右击Default DomainPolicy → 编辑 → 用户配置 → 策略 → 管理模板 → 控制面板 → 个性化 → 双击阻止更改桌面背景 → 启用
      
      域用户在win10客户端主机登录，验证能否更改桌面背景

九、练习

配置FTP服务

配置IP：192.168.1.20、安装IIS并勾选FTP服务

运行 → diskmgmt.msc打开磁盘管理 → 创建新分区、在分区中创建：e:\ftp\DAY01.txt、e:\ftp\DAY02.txt

安装IIS-FTP服务

打开IIS管理 → 创建匿名访问ftp、配置仅读取

关闭win2019防火墙、配置win10主机IP：192.168.1.10、Ping 1921.68.1.20

Win10主机ftp://192.168.1.20验证文件下载与上传

修改身份验证为基本：

双击FTP身份验证 → 禁用匿名身份验证 → 启用基本身份验证

双击FTP授权规则 → 双击允许所有用户-勾选读、写

创建普通用户

Win10主机ftp://192.168.1.20验证文件下载与上传
配置远程桌面连接

WIN2019右击此电脑 → 属性 → 高级系统设置 → 远程 → 允许远程 WIN10开始菜单 → windows附件 → 远程桌面连接 → 输入远程服务器IP地址 → 输入administrator用户名及密码运行 → mstsc(发起远程桌面连接) 实现普通用户远程桌面登录 Windows远程桌面协议 RDP，端口3389

22 KiB Raw Blame History Unescape Escape

WinServer系统管理

一、本地用户与组管理

认识用户帐户：

本地帐户管理

本地组管理

二、文件权限管理

NTFS权限

NTFS权限配置

NTFS权限的配置规则

三、安全基线

四、本地安全策略

五、Windows帐户加固

六、配置共享文件夹

七、FTP服务

八、域服务

九、练习

22 KiB

Raw Blame History