Windows-Server操作系统维护与管理项目教程全书全套教学教程电子教案.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第2章本地用户和组的管理,第1章系统安装与基本管理,教学重点,利用虚拟机工具软件安装Windows Server2016操作系统 应用Microsoft管理控制台和服务器管理器 配置Windows Server 2016操作系统基本环境,1.1Windows Server 2016 操作系统概述,1.Window Server 2016,主要新增功能,(1),身份标识和访问权限,(2),系统管理性能,(3),系统网络管理,(4)系统数据存储,(5)Web,应用程序开发,1.1Windows Server 2016 操作系统概述,2.Windows Server 2016,版本种类,Windows Server 2016 Essentials Edition（即基本版）,(2)Windows Server 2012 Standard Edition（即标准版）,(3)Windows Server 2016 Datacenter Edition（即数据中心版）,(4)Windows Server 2016的其他特殊功能服务器版本,1.2,利用虚拟机工具软件安装Windows Server 2016系统,1.2.1,任务1 创建虚拟计算机系统并配置管理,1.,虚拟机简介,虚拟机(Virtual Machine)是虚拟出来的、拥有独立操作系统,并仿真模拟各种计算机功能的计算机。虚拟机如真正的物理计算机一样进行工作,如安装操作系统、安装应用程序、服务网络资源等。,首先介绍在虚拟机系统中常用的重要术语,主要有:,物理计算机(Physical Computer):运行虚拟机软件(如VMware Workstation、Virtual PC等)的物理计算机硬件系统,又称为宿主机。,虚拟机(Virtual Machine):指提供软件模拟的、具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。,主机操作系统(Host OS):在物理计算机(宿主机)上运行的操作系统,在它之上运行虚拟机软件(如VMware Workstation和Virtual PC),客户操作系统(Guest OS):运行在虚拟机中的操作系统。,虚拟硬件(Virtual Hardware):虚拟机通过软件模拟出来的硬件系统,如CPU、HDD、RAM等。,1.2,利用虚拟机工具软件安装Windows Server 2016系统,1.2.1,创建虚拟计算机系统并配置管理,2.,使用“VMware Workstation”创建、配置虚拟机,(1),在VMware Workstation主界面的“创建新的虚拟机”功能，开始创建新的虚拟计算机,如图1-2所示。,(2),选择图1-2中何种虚拟机创建方式:典型、自定义。典型方式可以使用较为通用的设备创建、配置选项,创建新虚拟计算机;自定义方式可以使创建者以更多选择项,定制地创建新虚拟计算机。这里,选择典型方式。当单击“下一步”，出现安装客户机操作系统对话窗，可以在这里配置要安装操作系统的来源。这里，选择稍后安装操作系统。,(3),选择客户机操作系统的类型和版本,这里选择“Microsoft Windows”,在下拉列表中选择“Windows Server 2016”,如图1-3所示,单击“下一步”。,(4),如图1-4所示,可以对即将新建的虚拟计算机进行命名,并指定该虚拟机文件在主操作系统上的存储位置,然后单击“下一步”按钮。,(5),如图1-5所示,指定虚拟硬盘的容量,并选择将虚拟磁盘存储为单个文件单击“下一步”按钮。出现如图1-6所示，将要创建虚拟机的信息汇总。,1.2.2,任务2：安装Windows Server 2016,步骤1:准备好 Windows Server 2016 的ISO安装文件,把该ISO文件刻录成安装光盘,使用光驱进行全新安装;也可直接在虚拟机中,加载该镜像文件并读取其中内容进行安装。,1.2.2,任务2：安装Windows Server 2016,步骤2:启动新建的虚拟计算机,在虚拟计算机区域选择“开启此虚拟机”选项(该操作类似打开硬件电源启动计算机),开始装载安装文件进行操作系统的安装。,步骤3:单击“现在安装”选项后,出现输入产品序列号窗口。输入序列号后,单击“下一步”按钮,出现图1-12所示的“选择要安装的操作系统版本类型”窗口。这里单击选择要安装的“Windows Server 2016 Datacenter(带GUI服务器)”,然后单击“下一步”按钮。,1.2.2,任务2：安装Windows Server 2016,步骤4:在图1-13所示的“软件许可条款”窗口,选中“我接受许可条款”单选项,然后单击“下一步”按钮。,步骤5:如图1-14所示,在“选择安装系统位置”窗口中,选择将操作系统安装在硬盘的位置(注意,硬盘要有足够的安装空间,并将自动格式化为NTFS类型文件系统)。如果直接单击“下一步”按钮,安装程序将整个硬盘创建成一个分区,用来安装操作系统。如果单击“新建”按钮,则创建磁盘分区,选择安装系统位置。,1.2.3,任务3：系统安装完成后的初始化,用户首次登录刚安装完的Windows Server 2016系统时,必须更改密码(即设置系统管理员用户“Administrator”的密码),进入图1-16示的设置“Administrator”密码的窗口。,1.3,MMC和服务器管理器操作应用,1.3.1,任务1：使用MMC,MMC(Microsoft,管理控制台,Microsoft Management Console),它提供了管理Windows系统的网络、计算机、服务器,以及其他系统组件的管理平台。,MMC,不是执行具体管理功能的程序,只是一个集成管理平台工具。MMC集成了一些被称为管理单元的管理性程序,这些管理单元亦就是MMC提供的用于创建、保存和打开管理管理工具的标准方法。,1.3,MMC和服务器管理器操作应用,1.3.1,任务1：使用MMC,1.,启动Microsoft管理控制台,Windows Server 2016,系统使用的管理控制台是MMC 3.0版本,可以通过命令行启动MMC。单击“Windows PowerShell”，在命令提示符输入“mmc”,然后按回车键,如图1-18所示;,1.3,MMC和服务器管理器操作应用,1.3.1,任务1：使用MMC,2.,添加或删除管理单元,添加或删除管理单元的主窗口如图1-19所示,其主要操作步骤如下:,1.3,MMC和服务器管理器操作应用,1.3.1,任务1：使用MMC,2.,添加或删除管理单元,添加或删除管理单元的主窗口如图1-19所示,其主要操作步骤如下:,步骤1:在打开的 MMC控制台的“文件”菜单上,单击“添加/删除管理单元”。,步骤2:在“可用的管理单元”列表中突出显示需要添加的管理单元,然后单击“添加”将该管理单元添加到“选定管理单元”列表中。,步骤3:通过单击管理单元,然后阅读对话框底部“描述”框中的内容来查看任一列表中管理单元的简短描述(某些管理单元可能没有提供描述)。,步骤4:通过在“选定管理单元”列表中单击“管理单元”,然后单击“上移”或“下移”来更改管理单元控制台中管理单元的顺序。,步骤5:通过在“选定管理单元”列表中单击管理单元,然后单击“删除”来删除管理单元。,步骤6:完成添加或删除管理单元之后,单击“确定”按钮。,要保存创建的MMC控制台,单击“文件|保存”命令,控制台文件以.msc为扩展名进行存储。,1.3,MMC和服务器管理器操作应用,1.3.2,任务2：初识服务器管理器,服务管理器是Windows Server 2016中的管理控制台，用来帮助IT专业人员从其他桌面配置和管理基于Windows的本地和远程服务器。服务器管理器是Windows Server 2016扩展的Microsoft管理控制台(MMC),允许查看和管理影响服务器工作效率的主要信息,用于管理服务器的标识和系统信息、显示服务器状态、通过服务器角色配置来识别问题,以及管理服务器上已安装的所有角色。通过服务器管理器控制台缓解了企业对多个服务器角色进行管理和安全保护的任务压力。,1.4,Windows Server 2016系统环境基本配置,1.4.1,任务1：网络配置-计算机名与TCP/IP地址,计算机名与TCP/IP的IP地址都是计算机的识别信息，是网络中计算机之间相互通信所需的设置。,1.,设置计算机名和工作组名,步骤1：在“服务器管理器”界面中，选择“本地服务器”，如图1-21所示。,步骤2：选择窗口中的计算机名，出现“系统属性”对话窗，如图1-22所示，进行计算机名与工作组的设置，完成后按照提示重新启动计算机这些更改才会生效。,2.TCP/IP,的设置与测试如果一台计算机加入网络，并与其他计算机通信，那么必须有适当的TCP/IP设置值，即正确的IP地址。设置IP地址的操作步骤如下。,步骤1：在“服务器管理器”中，如图1-23所示，选择以太网（Ethernet0）。,步骤2：选中“Internet协议版本(TCP/IPv4)”，如图1-24所示手动配置静态IP地址。静态IP地址,是系统管理员指定的固定计算机IP地址。在网络规模不大,且网络中的计算机较为固定时,可使用静态IP网络地址。如果是服务器计算机，那么是必须手动配置静态IP地址，以为网络中其他计算机提供稳定的网络服务功能。,1.4.2,任务2：更改用户、系统环境变量,系统环境变量是操作系统或应用程序所使用的数据,通过环境变量可以使操作系统或应用程序获得该运行平台的重要信息。系统环境变量的值对于登录到系统中的不同用户来讲都是相同的;而用户环境变量则定义了每个登录用户的不同信息,当用户使用不同的账户名登录操作系统时,用户环境变量值是不同的。,步骤1:鼠标右键单击“开始”，在“系统”界面中，选择“高级系统设置”,打开“系统属性”对话窗；,步骤2:在如图1-25所示对话框中,单击“环境变量”按钮；,步骤3:如图1-26所示“环境变量”对话框,其中上部区域是系统中已有的用户环境变量编辑窗口,下部区域为系统环境变量的编辑窗口。,1.4.3,任务3：应用“系统配置”功能排除系统故障,“,系统配置”是一种高级工具,用来帮助系统管理员查找Windows操作系统非正常启动的问题;在禁用常用服务等启动程序情况下,启动操作系统,然后再逐一启动所需服务程序。,启动系统配置工具,在命令提示符输入“msconfig”,即可打开图1-27所示的系统配置工具主界面。,教学重点,本地用户账户管理,本地组账户管理,本地用户相关安全管理的操作,2.1,管理本地用户账户,2.1.1,任务1：理解用户账户管理原理,用户账户是计算机操作系统实现其安全机制的一种重要技术手段,操作系统通过用户账户来辨别用户身份,让具有一定有使用权限的人登录计算机,访问本地计算机资源或从网络访问这台计算机的共享资源。系统管理员根据不同用户的具体工作情景,指派不同用户的不同应用权限,从而使用户执行并完成不同功能的管理任务。,2.1,管理本地用户账户,2.1.1,任务1：理解用户账户管理原理,Windows Server 2016,支持两种用户账户:本地用户账户和域用户账户。,本地用户账户是指安装了Windows Server 2016的计算机在本地安全目录数据库中建立的账户。使用本地账户只能登录到建立该账户的计算机,并访问该计算机的系统资源。此类账户通常在工作组网络中使用,其显著特点是基于本机的。,域用户账户是建立在域控制器的活动目录数据库中的账户。此类账户具有全局性,可以登录到域网络环境模式中的任何一台计算机,并获得访问该网络的权限。这需要系统管理员在域控制器中,为每个登录到域的用户创建一个用户账户。本章主要介绍本地用户和组的管理。,2.1,管理本地用户账户,2.1.1,任务1：理解用户账户管理原理,另外,Windows Server 2016还提供内置用户账户(即系统用户账户),用于执行特定的管理任务或使用户能够访问网络资源。Windows Server 2016系统的最常用的两个内置账户是Administrator和Guest。,Administrator,即系统管理员,拥有最高的使用资源权限,可以对该计算机或域配置进行管理,如创建修改用户账户和组、管理安全策略、创建打印机、分配允许用户访问资源的权限等。Administrator账户是在安装Windows Server 2016过程创建的,系统默认的名称是Administrator,用户无法删除它。,Guest,即为临时访问计算机的用户而提供的账户。Guest账户也是在系统安装中自动添加的,并且不能删除。在默认情况下,为了保证系统的安全,Guest账户是禁用的,但在安全性要求不高的网络环境中,可以使用该账户。,2.1,管理本地用户账户,2.1.2,任务2：创建用户账户,1.,用户账户创建前的规划,在系统中操作创建之前,先制定一个创建账户所遵循的规则或约定,这样可以方便、统一账户的管理,提供高效、稳定的系统应用环境。,(1),用户账户命名规则。,用户账户命名注意事项。,用户账户命名推荐策略。,(2),用户账户密码的规则。,用户密码设置注意事项。,用户密码设置推荐策略。,2.1,管理本地用户账户,2.1.2,任务2：创建用户账户,2.,创建本地用户账户,创建本地用户账户的操作用户必须拥有管理员权限,才可以执行。可以通过使用“计算机管理”中的“本地用户和组”管理单元来创建本地用户账户,创建的步骤如下:,步骤1:在“开始”桌面选择“Windows管理工具”图标，然后选择“计算机管理”功能，打开图2-1所示的“计算机管理”窗口。,2.1,管理本地用户账户,2.1.2,任务2：创建用户账户,步骤2:在“计算机管理”窗口中,展开“本地用户和组”结点,在“用户”文件夹上单击鼠标右键。选择“新用户”命令,打开图2-2所示的“新用户”对话框。,2.1,管理本地用户账户,2.1.2,任务2：创建用户账户,(3),打开“新用户”对话框后,输入用户名、全名和用户描述信息和用户密码。指定用户密码选项,单击“创建”按钮新增用户账户。创建完用户后,单击“关闭”按钮返回到“计算机管理”控制台。,选项,说明,用户下次登录时须更改密码,选择该项,用户第一次登录系统会弹出修改密码的对话框,要求用户更改密码,用户不能更改密码,选择该项,系统不允许用户修改密码,只有管理员能够修改用户密码。通常用于多个用户共用一个用户账户,如Guest等,密码永不过期,默认情况下,Windows Server 2012操作系统用户账户密码最长可以使用42天,选择该项用户密码可以突破限制继续使用。通常用于Windows Server 2012的服务账户或应用程序所使用的用户账户,账户已禁用,禁用用户账户,使用户账户不能再登录,用户账户要登录必须清楚对该项的选择,2.1,管理本地用户账户,2.1.3,任务3：设置用户账户属性,为了管理和使用的方便,一个用户账户不仅包括用户名和密码,还包括一些属性,如用户隶属的用户组、用户配置文件、用户的拨入权限、终端用户设置等。可以根据需要对账户的属性进行设置。在“本地用户和组”窗口的右侧栏中,双击一个用户,将显示该用户的“用户属性”对话框。,1.,“,常规”选项卡,在常规选项卡中,设置与账户有关的一些描述信息,包括全名、描述、账户及密码选项等。管理员可以设置密码选项、禁用账户,如果账户已经被系统锁定,管理员可以解除锁定。,2.,“,隶属于”选项卡,在“隶属于”选项卡中,设置该账户和组之间的隶属关系,把账户加入到合适的本地组中,或者将用户从组中删除,2.1,管理本地用户账户,2.1.3,任务3：设置用户账户属性,3.,“,配置文件”选项卡,在“配置文件”选项卡中,可以设置用户账户的配置文件路径、登录脚本和主文件夹路径。用户配置文件是存储当前桌面环境、应用程序设置以及个人数据的文件夹和数据的集合,还包括所有登录到计算机上所建立的网络连接。由于用户配置文件提供的桌面环境与用户最近一次登录到该计算机上所用的桌面相同,因此就保持了用户桌面环境及其他设置的一致性。当用户第一次登录到计算机时,Windows Server 2016自动创建一个用户配置文件并将其保存。本地用户账户的配置文件都是保存在本地磁盘%userprofile%文件夹中。,2.1,管理本地用户账户,2.1.4,任务4：删除本地用户账户,对于不再需要的账户可以将其删除,但在执行删除操作之前应确认其必要性,因为删除用户账户会导致与该账户有关的所有信息丢失。从前面的学习我们知道,每个用户都有一个名称之外的唯一的标符SID号,SID号在新增账户时由系统自动产生,不同账户的SID不会相同。由于系统在设置用户的权限、访问控制列表中的资源访问能力等信息时,内部都使用SID号,所以一旦用户账户被删除,这些信息也就跟着消失了。即使重新创建一个名称相同的用户账户,也不能获得原先用户账户的权限。系统内置账户如Administrator、Guest等是无法删除的。,2.2,项目二：管理组账户,2.2.1,任务1：理解组账户含义,组是多个用户、计算机账号、联系人和其他组的集合,也是操作系统实现其安全管理机制的重要技术手段。属于特定组的用户或计算机称为组的成员。使用组可以同时为多个用户账户或计算机账户指派一组公共的资源访问权限和系统管理权利,而不必单独为每个账户指派权限和权利,从而简化管理,提高效率。,2.2,项目二：管理组账户,2.2.2,任务2：创建本地用户组的操作,在本地计算机上创建本地组的步骤如下:,步骤1:在Windows Server 2016的“管理工具”中,选择“计算机管理”工具。,步骤2:从“计算机管理”控制台中展开“本地用户和组”,在“组”文件夹上单击鼠标右键,选择“新建组”命令,如图2-11所示。,步骤3:在“新建组”窗口中输入组名和描述.然后单击“创建”按钮即可完成创建。,可以在创建用户组的同时向组中添加用户。在图2-11所示窗口中,单击“添加”按钮,显示“选择用户”对话框,如图2-12所示。在字段中输入成员名称,或者使用“高级”按钮查找用户,然后单击“确定”按钮。,2.2,项目二：管理组账户,2.2.3,任务3：删除、重命名本地组及修改本地组成员,对于系统不再需要的本地组,系统管理员可以将其删除。但是管理员只能删除自己创建的组,而不能删除系统提供的内置组。当管理员删除系统内置组时,将被系统拒绝。,删除本地组的方法:在“计算机管理”控制台中选择要删除的组账户,鼠标右键单击该组,然后选择“删除”,弹出图2-13所示的对话框,单击“是”即可。,每个组都拥有一个唯一的安全标识符(SID),所以一旦删除了用户组,就不能重新恢复,即使新建一个与被删除组有相同名字和成员的组,也不会与被删除组有相同的特性和特权。,重命名组的操作与删除组的操作类似,只需要在弹出的菜单中选择“重命名”,输入相应的名称即可。,2.3,项目三：与本地用户相关的安全管理操作,Windows Server 2016,的安全设置在“管理工具”提供的“本地安全策略”单元控制台中进行,此控制台可以集中管理本地计算机的安全设置原则。使用管理员账户登录到本地计算机,即可打开“本地安全策略”控制台,如图2-14所示。,2.3,项目三：与本地用户相关的安全管理操作,1.,密码安全设置,(1),密码必须符合复杂性要求。要使本地计算机启用密码复杂性要求,只要在“本地安全策略”中选择“账户策略|密码策略”,双击右边子窗口的“密码必须符合复杂性要求”,选择“已启用”,单击“确定”按钮即可,如图2-15所示。配置其他策略时,在右边选择相应的选项即可。配置“密码必须符合复杂性要求”选项,确定密码是否符合复杂性要求,启用该策略,则密码必须符合以下最低要求:,不包含全部或部分的用户账户名。,长度至少为六个字符。,包含来自以下四个类别中三个的字符:英文大写字母(AZ);英文小写字母(az);10个基本数字(09);非字母字符(如!、#、$、%)。,2.3,项目三：与本地用户相关的安全管理操作,1.,密码安全设置,(2),密码长度最小值。该安全设置确定用户账户的密码可以包含的最少字符个数。可以设置为114个字符之间的某个值,或者通过将字符数设置为0,可设置不需要密码。在工作组环境的服务器上,默认值是0,对于域环境的系统,默认值是7。为了系统的安全,最好设置最小密码长度为6或更长的字符,如图2-16所示设置的密码最小长度为8个字符。,2.3,项目三：与本地用户相关的安全管理操作,1.,密码安全设置,(3),密码使用期限。密码使用期限有密码最长使用期限和密码最短使用期限。密码最长使用期限确定系统要求用户更改密码之前可以使用该密码的时间(单位为天)。密码最短使用期限确定用户可以更改密码之前必须使用该密码的时间(单位为天),可设置1998之间的某个值。如果设置为0,则表明允许立即修改密码。密码最短使用期限设置的值必须小于密码最长使用期限设置的值。如果密码最长使用期限设置为0,则密码最短使用期限可以是1998之间的任何值。默认密码最长有效期设置为42天,默认密码最短有效期为0天。,(4),强制密码历史。例如,将强制密码历史设置为4,即系统会记住最后4个用户设置过的密码,当用户修改密码时,如果为最后4个密码之一,系统将拒绝用户的要求。该值必须为024之间的一个数。该策略通过确保旧密码不能在某段时间内重复使用,使用户账户更安全。强制密码历史设置如图2-17所示,默认强制密码历史为0个。,2.3,项目三：与本地用户相关的安全管理操作,2.,账户锁定策略管理,账户锁定策略指用户设置什么时候及多长时间内账户将在系统中被锁定不能使用。Windows Sever 2016 在默认情况下,没有对账户锁定进行设定,为了保证系统的安全,最好设置账户锁定策略。账户锁定原则包括如下设置:账户锁定时间、账户锁定阈值和复位账户锁定计数器。,账户锁定时间设置,确定锁定的账户在自动解锁前保持锁定状态的分钟数。有效范围是099 999分钟。如果将账户锁定时间设置为0,那么在管理员明确将其解锁前,该账户将被锁定。如果定义了账户锁定阈值,则账户锁定时间必须大于或等于重置时间。默认值:无。账户锁定阈值设置,确定造成用户账户被锁定的登录失败尝试的次数。登录尝试失败的范围为0999。如果将此值设为0,则将无法锁定账户。对于使用Ctrl+Alt+Delete组合键或带有密码的屏幕保护程序锁定的工作站或成员服务器,失败的密码尝试将计入失败的登录尝试次数中,默认值为0。可以设置为5次或更多的次数以确保系统安全,如图218所示。,第3章文件系统管理,教学重点,文件系统管理基础,NTFS文件系统主要管理,3.1,文件系统概述,所谓文件系统,是操作系统在存储设备上按照一定原则组织、管理数据所用的结构和机制。文件系统规定了计算机对文件和文件夹进行操作处理的各种标准和机制,用户对于所有的文件和文件夹的操作都是通过文件系统来完成的。,1.FAT/FAT32,文件系统,FAT(File Allocation Table),是“文件分配表”的意思,就是用来记录文件所在位置的表格。FAT文件系统最初用于小型磁盘和简单文件结构的简单文件系统。FAT文件系统得名于它的组织方式:放置在分区起始位置的文件分配表。为确保正确装卸启动系统所必须的文件，文件分配表和根目录必须存放在磁盘分区的固定位置。,3.1,文件系统概述,1.FAT/FAT32,文件系统,FAT32,使用32位空间来表示每个扇区(Sector)的配置文件。利用FAT32所能使用的单个分区,最大可达到2TB(2048GB),而且各种大小的分区所能用到的簇的大小也恰如其分,这些优点使FAT32的系统在硬盘使用上有更高的效率。例如,两个分区容量都为2GB,一个分区采用了FAT文件系统,另一个分区采用了FAT32文件系统。采用FAT分区的簇大小为32KB,而FAT32分区的簇只有4KB。那么FAT32就比FAT的存储效率要高很多,通常情况下可以提高15%。,3.1,文件系统概述,2.NTFS,文件系统,NTFS(New Technology File System),是Windows Server 2016推荐使用的高性能文件系统,支持许多新的文件安全、存储和容错功能,而这些功能正是FAT/FAT32所缺少的,它支持文件系统大容量的存储媒体、长文件名。NTFS文件系统的设计目标是在容量大的硬盘上能够快速执行,如读/写、搜索文件等标准操作。NTFS还支持文件系统恢复高级操作。,NTFS,文件系统不仅支持企业环境中文件服务器和高端个人计算机所需的安全特性,还支持对于关键数据完整性十分重要的数据访问控制和私有权限。除了赋予Windows Server 2016计算机中的共享文件夹特定权限外,NTFS文件和文件夹无论共享与否都可以赋予权限。,3.1,文件系统概述,2.NTFS,文件系统,NTFS,的特点主要体现在以下几个方面:,(1)NTFS,是一个日志文件系统,这意味着除了向磁盘中写入信息,该文件系统还会为所发生的所有改变保留一份日志。,(2),良好的安全性是NTFS另一个引人注目的特点,这也是NTFS成为Windows网络中最常用的文件系统的主要的原因。,(3)NTFS,支持对卷、文件夹和文件的压缩。,(4),在Windows Server 2016的NTFS文件系统中可以进行磁盘配额管理。,(5),对大容量的驱动器有良好的扩展性。,3.2,NTFS文件系统管理,3.2.1,任务1：理解NTFS权限,Windows Server 2016,在NTFS类型卷上提供了NTFS权限,允许为每个用户或者组指定NTFS权限,以保护文件和文件夹资源的安全。通过允许、禁止或是限制访问某些文件和文件夹,NTFS权限提供了对资源的保护。不论用户是访问本地计算机上的文件、文件夹资源,还是通过网络来访问,NTFS权限都是有效的。,NTFS,权限可以实现高度的本地安全性,通过对用户赋予NTFS权限,可以有效地控制用户对文件和文件夹的访问。NTFS卷上的每一个文件和文件夹都有一个列表,称为访问控制列表(ACL,Access Control List),该列表记录了每一用户和组对该资源的访问权限。当用户要访问某一文件资源时,ACL必须包含该用户账户或组的入口,只有入口允许的访问类型与请求的访问类型一致时,才允许用户访问该文件资源。如果在ACL中没有一个合适的入口,那么该用户就无法访问该文件资源。,Windows Server 2016,的NTFS许可权限包括了普通权限和特殊权限。,3.2,NTFS文件系统管理,3.2.2,任务2：设置NTFS权限,进行NTFS权限设置实际上就是设置“谁”有“什么”权限,在图3-1所示的选项卡上端的窗口和按钮用于选取用户和组账户,解决“谁”的问题;下端的窗口和按钮则为已选中的用户或组设置相应的权限,解决“什么”的问题。,3.2,NTFS文件系统管理,3.2.2,任务2：设置NTFS权限,1.,添加/删除用户和组,若要添加权限用户,单击“编辑|添加”按钮,出现如图3-2所示的对话框,在这个对话框中可以直接在文本框中输入用户、账户名称。,3.2,NTFS文件系统管理,3.2.2,任务2：设置NTFS权限,以选取的方式添加用户和组账户名称的方法是:单击“高级”按钮,在图3-3所示的对话框中单击“对象类型”按钮缩小搜索账户类型的范围,然后单击“位置”按钮搜索账户的位置,然后单击“立即查找”按钮。搜索完成后在“搜索结果”窗口中,用鼠标选取需要的账户,可以按住Shift键连续选取或者按住Ctrl键间隔选取多个账户,最后单击“确定”按钮,返回再次单击“确定”按钮完成账户选取操作。此时,在“属性”对话框的“安全”选项卡上端的窗口中已经可以看到新添加的用户和组,如图3-4所示。若要删除权限用户,在图3-4的组或用户名称列表中选择这个用户,单击“删除”按钮即可。,3.2,NTFS文件系统管理,3.2.2,任务2：设置NTFS权限,2.,为用户和组设置权限,若要设置一个账户的NTFS权限,则在图3-4所示的对话框上端选取该账户,就可以在下端的窗口中对其设置相应的NTFS权限。在该对话框中显示的是NTFS标准权限,对于每一种标准权限,对勾表示“允许”,没有对勾表示“拒绝”,已经用灰色的对勾选中的权限表示这种默认的权限设置是从父对象继承的,选项继承了该用户(或组)对该文件或文件夹所在上一级文件夹的NTFS权限。,如果需要进一步设置NTFS权限,可以单击“高级”按钮,在如图3-5所示的对话框中进行设置。,3.2,NTFS文件系统管理,3.2.2,任务2：设置NTFS权限,3.NTFS,权限的应用规则,管理员可以根据需要赋予用户访问NTFS文件或文件夹的权限,同时管理员也可以赋予用户所属组访问NTFS文件或文件夹的权限。用户访问NTFS文件或文件夹时,其有效权限必须通过相应的应用原则来确定。NTFS权限应用遵循以下几个原则:,(1)NTFS,权限是累积的,(2),文件权限超越文件夹权限,(3),拒绝权限优先于其他权限,(4),文件权限的继承,(5),复制或移动文件或文件夹时权限的变化,3.2,NTFS文件系统管理,3.2.2,任务2：设置NTFS权限,4.NTFS,权限与共享权限的组合权限,NTFS,权限与共享权限都会影响用户获取网上资源的能力。共享权限只对共享文件夹的安全性做控制,即只控制来自网络的访问,但也适合于FAT和FAT32文件系统。NTFS权限则对所有文件和文件夹做安全控制(无论访问来自本地主机还是网络),但只适用于NTFS文件系统。当共享权限和NTFS权限冲突时,以两者中最严格的权限设定为准。需要强调的是在Windows XP、Windows Server 2008及后续的Windows版本中,系统所默认的共享权限都是只读,这样通过网络访问NTFS卷所能获得的权限受到了限制。,3.2,NTFS文件系统管理,3.2.2,任务2：设置NTFS权限,5.NTFS,所有权,在Windows Server 2016的NTFS卷上,每个文件和文件夹都有其“所有者”,我们称之为“NTFS所有权”,系统默认创建文件或文件夹的用户是该文件或文件夹的所有者。NTFS所有权即NTFS文件和文件夹所有权,当用户对某个文件或文件夹具有所有权时,就具备了更改该文件或文件夹权限设置的能力。,3.2,NTFS文件系统管理,3.2.3,任务3：NTFS的压缩与加密属性,1.NTFS,文件系统的压缩属性,优化磁盘空间管理的一种方法是使用压缩技术,即压缩文件(或文件夹)减少其大小,同时减少它们在驱动器或可移动存储设备上所占用的空间。Windows Server 2016的数据压缩功能是NTFS文件系统的内置功能,该功能可以对单个文件、整个目录或卷。,2.NTFS,文件系统的加密属性,NTFS,文件系统的加密属性是通过加密文件系统(EFS,Encrypting File System)技术实现的,EFS提供的是一种核心文件加密技术。EFS仅能用于NTFS卷上的文件和文件夹加密。EFS加密对用户是完全透明的,当用户访问加密文件时,系统自动解密文件,当用户保存加密文件时,系统会自动加密该文件,不需要用户任何手工交互动作。EFS是Windows 2000、Windows XP Professional(Windows XP Home不支持EFS)、Windows Server 2003/2008/2012/2016 NTFS文件系统的一个组件。EFS采用高级的标准加密算法实现透明的文件加密和解密,任何没有合适密钥的个人或者程序都不能读取加密数据。即便是物理上拥有驻留加密文件的计算机,加密文件仍然受到保护,甚至是有权访问计算机及其文件系统的用户,也无法读取这些数据。,第4章系统磁盘管理,教学重点,磁盘管理的类型,动态磁盘管理设置,4.1,Windows Server 2016磁盘管理分类,Windows Server 2016,根据磁盘分区的方式不同将磁盘分为两种类型:基本磁盘和动态磁盘。,4.1.1,基本磁盘类型,基本磁盘是Windows Server 2016操作系统支持的默认磁盘类型,与其他操作系统兼容,是采用传统的磁盘分区方式进行分区的一种磁盘类型。运行Windows Server 2016操作系统的基本磁盘支持主分区和扩展分区两种磁盘分区格式。系统管理员在一个基本磁盘上最多可以创建四个磁盘分区,四个分区中最多只能包含一个扩展分区,系统管理员可以根据需要在扩展分区内创建多个逻辑驱动器。磁盘管理的操作界面如图4-1所示。,4.1,Windows Server 2016磁盘管理分类,4.1.1,基本磁盘类型,1.,主磁盘分区,在一个基本磁盘上最多可以创建四个主分区。进行存储数据之前,首先需要通过格式化操作,并为各分区指定驱动器号。主磁盘分区是用来启动操作系统的分区,也就是操作系统引导文件所在物理磁盘分区的一部分,物理上像独立的磁盘一样工作。通常计算机在检查系统配置之后,会自动在物理硬盘上按照设置找到主分区,然后在这个主分区中寻找用来启动操作系统的引导文件。,2.,扩展磁盘分区,在一个基本磁盘上最多可以创建一个扩展分区,不能直接格式化扩展分区,也不能为扩展分区指定驱动器字符,必须在扩展分区上创建逻辑驱动器并且格式化之后才能使用,理论上在扩展分区中创建的逻辑驱动器的数目不受限制。,扩展磁盘分区是相对于主磁盘分区而言的一种分区类型。一个硬盘可将除主磁盘区外的所有磁盘空间划为扩展磁盘分区。扩展分区不能用来启动操作系统。,3.,逻辑驱动器,逻辑驱动器是在扩展分区上创建,从理论上讲没有数目的限制,可以直接格式化和指派驱动器字符。,4.1,Windows Server 2016磁盘管理分类,4.1.2,动态磁盘管理类型,下面简单介绍一下这5种类型卷:,1.,简单卷：简单卷是必须建立在同一块硬盘上的连续空间,创建好以后也可扩展至硬盘的非连续空间。,2.,跨区卷：跨区卷由两块或两块以上的硬盘存储空间组成,每块硬盘所提供的磁盘空间可以不相同。例如,硬盘A提供20G的空间,硬盘B提供30G的空间,所组合起来的跨区卷就有50G的空间。,3.,带区卷：带区卷由两块或两块以上的硬盘存储空间组成,但是每块硬盘的空间大小必须相同。当将文件存放到带区卷时,系统会将数据分散存于等量磁盘位于各块硬盘的空间。,4.,镜像卷：镜像卷的构成同带区卷相似,只是带区卷未提供容错功能。若带区卷中的任一块硬盘发生故障,就不能读出磁盘中的数据。镜像卷利用两块硬盘中大小相同的磁盘空间所组成,存放数据则在两块硬盘上各存一份。,5.RAID-5,卷：,RAID-5,卷是具有容错功能的磁盘阵列,至少需要3块硬盘才能建立,并且每块硬盘必须提供相同的磁盘空间。使用RAID-5卷时,数据会分散写入各块硬盘中,同时建立一份奇偶校验数据信息,保存在不同的硬盘上。例如,以4块硬盘建立RAID-5卷,那么第一组数据可能分散地存放于第1、2、3块硬盘上,校验数据则写入到第4块硬盘中;下一组数据就有可能存于第1、2、4块硬盘中,校验数据写入到第3块硬盘。当有一块硬盘出现故障,其他硬盘数据将结合校验数据信息计算出该硬盘上原有数据,使系统正常工作。,4.2,基本磁盘管理设置,4.2.1,任务1：虚拟计算机中如何增加磁盘设备,步骤1:启动VMware Workstation软件工具,如图4-3所示。,4.2,基本磁盘管理设置,4.2.1,任务1：虚拟计算机中如何增加磁盘设备,步骤2:在“命令”区域,选择“编辑虚拟机设置”,打开图4-4所示对话框,在“硬件”选项卡中,可看到当前虚拟机中的所有“物理设备”信息,单击“添加”按钮。,4.2,基本磁盘管理设置,4.2.1,任务1：虚拟计算机中如何增加磁盘设备,步骤3:打开“添加硬件向导”增加物理设备对话框,选择“硬盘”,然后单击“下一步”按钮,打开图4-5所示的对话框,选择