2015年8月4日 星期二

網路工程班的冒險 week 6-7

上禮拜電腦壞了...
換了一顆1T硬碟!!


筆記筆記~~


 名稱
解釋
server
網路資源的提供者
client
網路資源的要求者
硬體資源

運算資源
EX: Server架設運算軟體讓客戶端連去算
server&client
同時間連線數量 (資源最大連線數)
S: 看買多少個 C: 最多十個

server&client之間有resoruce
資源分有硬體資源跟運算資源(提供運算平台)
volume licensing
大量授權
server core
  • 只需要少量的服務
  • 不太需要管理
  • 不太需要容量
  • 可以讓舊電腦跑起來
server core full version
08不能互轉     12可以
OS安裝的方式
  • 重新安裝
  • 升級
  • 遷移: 新舊版同時存在,舊版慢慢除役
update
更新
upgrade
升級
本機升級
1. 舊有設定保留
2. 新版的程式不用再安裝
更新了就不能變成舊版的了
所以要備份
升級路徑
版本之間可以直接升級的路線
不能直接升級就用兩階段升級法
遷移:
  1. 新舊同時存在,資料同步,新舊都可以連線
  2. 慢慢地只允許新的伺服器
  3. 舊的除役(關機)
  4. 搬到倉庫(離線)
  5. 刪除資料(機器作為別的用途或是報廢)
升級的限制
不能跨語系、硬體設備
遷移可以並行,就是要兩套設備
page file
實體RAM*1.5
虛擬記憶體:
APP超過RAM時,把開啟沒有執行的APP寫到分頁檔中,RAM東湊西湊空間執行
(但是寫入很慢,是因為硬碟讀取速度。設在非讀寫頭的硬碟比較好)
角色組成的服務=角色服務
很多相連的功能連結再一起
SMTP
只能收
service core
角色比較少
管理角色跟功能
  • server manager
  • DISM影像部屬工具、管理工具
執行DISM可以看到DISM的功能
EX: 安裝DNS伺服器
service
是一種在背景跑的程式
不與使用者互動(沒介面可以操作)
相依性:
需要別人先啟動才能啟動或是自己啟動別人才可以啟動
"自動掛號延遲啟動"
  1. 開機啟動為了更快(XP升級成VISTA)
  2. 開機的東西更多
  3. 所以該開的東西先開啟,使用者登入後再開啟也可以
"能不能開啟一個EXE"
1.身分驗證(登入)
2. 權限(管理員執行)
service account
開機時登入之前的"服務"也要遵守上面兩個規則
所以MS設計"service account"先執行service
常見的service除錯工具
  1. 安全模式
  2. 上次正確的設定
  3. 內建工具MSconfig
安全模式
  1. 只載入基本功能(好除錯)
  2. 進入安全模式的時機: 新增加的裝置讓電腦無法開機
上次的良好設定
特別的時機"顯示卡"(其他的硬體可以用安全模式解決)
registry
登入資料庫,OS中軟硬體的資訊

服務啟動帳號

local system
比管理員還大。駭客入侵取得完全控制
local service account
user群組權限相同,本身電腦的設定,使用unll session(空連線)才能連線道別台電腦,不能上網
network service
user群組權限相同,可以用網路功能
數位簽章
  • 增加安全
  • 減少救援成本
  • 更好的使用者體驗
  • 可以看出哪個開發公司
  • 不會被修改(安全性高)
psgetsid
可以查userRID
CMD的工具
SID
一個辦公室一個人的帳密存在於很多台電腦
但對電腦來說,只認SID
USER
computer SID+RID
CMD: SC
sc 是Service Control
in CMD

net group

net local group

net user

Bootsect.exe
會更新硬碟磁碟分割的主開機程式碼,可以使用此工具來還原電腦的開機磁區。

Administrative Tools

系統管理工具,伺服器遠端管理功能RSAT
MMC
管理介面。就是別台電腦的"電腦管理"

MS Management console

一開始是空的,調整好可以帶著走喔~機動性高
GPedit
找到管制的東西直接設定---快

WIN那些東西能用哪些東西不能用。針對PC與使用者


local user account
本機使用
domain user account
網域使用者 AD帳號

伺服器建立AD catagory 變成DC網域控制站別的PC就能加入網域
SAM
source account management(database)(只是一個檔案)

有DC的話SAM會存進DC的AD資料庫
  • PC登入帳號會進入DC比對---登入網域
  • PC只有自己----登入本機
DC
不需要知道密碼
使用者密碼的選項

下一次登入要改密碼

使用這不能改密碼

密碼永存
42天需要換密碼
帳號關閉

新增帳號的工具

RSAT

CMD: Dsadd
新增物件
CMD: NET user

批次處理CSVDE、LDIFDE
可搭配TXT跟EXEL輸出整理
powershell

密碼原則
gpedit---電腦設定---win set---安全設定---帳戶原則---密碼原則
砍帳號
所有相關的設定都會不見,因為電腦只認SID。員工離職盡量不要刪帳號,停用就好
ACL
檔案內容就能看到權限
群組的優點
能更快速的設定帳號"簡化管理",加速比對的效率

系統群組


又稱特殊群組

對於特殊需求對自動歸類到系統群組中
kb 243330
知識庫,定義特殊群組
Local Authority
本機授權
Everyone
群組包含所有的使用者,甚至匿名的使用者及來賓。成員資格是由作業系統所控制。
Console Logon
主控台登入
All Services
包含所有服務處理程序在系統上設定群組。成員資格是由作業系統所控制。
Service
其中包含有以服務身份登入的所有安全性主體。成員資格是由作業系統所控制。
Dialup
包括所有透過撥號連線登入的使用者群組。成員資格是由作業系統所控制。
Network
包括所有透過網路連線登入的使用者群組。成員資格是由作業系統所控制。
authenticated user
驗證成功才能使用
(特殊)系統群組是有OS控制
權限Permission
  • 電腦、使用者帳號
  • 群組

可以使用"資源"
權利Right
特定系統管理工作的執行權
使用者能對"電腦"做甚麼
使用預設群組
控制分享的資源

特定領域管理

要將一個使用這放入預設群組需要考慮,不然創造一個新的群組給他

為了安全考量,育社群組的成員需要用RUN AS




第五章

安全原則(security pricipals)
可以做為權限指定的對象必須要具有SID
"user、comupter、group"
permission
可以用在檔案、資料夾、影印機

可以指定到AD或是local computer
Windows File System Permission
"windows"'檔案系統權限
  • "讓OS不同作業系統的硬碟溝通"
  • 容量跟檔案的數量有差異
  • 演算法也不同(不同的演算法會在不同的時空背景被應用)
  • 硬碟格式種類:
    • FAT
    • FAT32
    • exFAT
    • NTFS
    • ReFS
    • CDFS (CD/DVD)
    • UDS (CD/DVD)
Share Permission
  • 只套用在網路存取資源的使用者
  • 共用權限
  • 檔案或資料夾共用的時候才可以設
NTFS Permission
  • 本機權限
  • 又稱local permission
  • 只能設定在NTFS分割區
  • 分類
    • File permission
      • stander permission
      • special permission
    • folder permission
      • stander permission
      • special permission
share folder
  • 有個手托住的圖案
  • 拷貝或是刪掉就不再分享
  • 以前分享就是完全控制--危險
  • 隱藏式的分享,檔名後面$
  • 可以用UNC路徑找到隱藏式分享的檔案或資料夾
隱藏分享
EX: 創一個資料夾"REPORT$"在別人連進去的時候看不到
需要知道完證路徑才能到
UNC連線: 執行---輸入 \\ip address\REPORT$

特殊的隱藏分享

C$、D$
"管理用的共用資料夾"--讓管理員遠端控制
ADMIN$
系統管理員"預設的共用名稱"
連到WIN的安裝目錄
可以遠端更新驅動喔~
很多人在公司安裝WIN所以有個共用的地方可以進入
IPC$
inter-process communication
網路上兩台不同的WIN OS互相溝通
Print$
至少有一台"共用的"印表機就會出現
功能: 分享印表機時別人的電腦會利用這個安裝驅動
\
路徑
\\
UNC
/
參數
AD operator group
網域資料戰的一個群組,分享AD的資料夾
Power user
2008之後安全規則變更變的紙更user一樣權限
共享資料夾權限

讀取
  • 看到資料
  • 看到名稱
  • 執行程式
變更
  • 新增檔案或資料夾
  • 變更檔案資料
  • 刪除資料夾或檔案
完全控制
  • 許可在NTFS中的檔案跟資料夾
  • 包括讀取跟控制的權限
  • 條件
    • 要在NTFS裡面(其他格式就不行)
                                      (FAT沒有安全性選項)
    • 對檔案跟資料夾要有完全控制權限
  • LAB: 不瞳電腦用同一個帳號密碼可以看東西但不能變更
LAB
一個使用者可以連很多台電腦,但不能用其他使用者了(連線的要先關閉)


要怎設定共享資料夾
  • A user 比everyone 安全太多
  • 給適當的權限就好
  • ACL用群組取代單獨(ACE減少)比對快速,尤其變更權限的時候
繼承權限 inheritance
資料夾權限會改變檔案權限,比較好管理
NTFS
new technology file system
  • 可靠
  • 針對檔案跟資料夾做安全性管理
  • 支援更大的檔案(EB,TB的上面)
  • 不同使用者不同權限
  • 功能:
    • 壓縮解壓縮
    • 加密解密
檔案格式轉換
FAT、FAT32轉NTFS: 內建工具可轉
使用其他工具:
  • exFAX1轉NTFS
  • NTFS轉回FAT、FAT32、exFAT
  • 有兩階段轉換
優先
檔案跟資料夾權限不同時以檔案的權限為主
檔案格式的選擇
  • 單一檔案最大的限制
  • partition內檔案數量的限制

格式化之前都要考慮清楚
LFC
list folder contents 列出資料夾清單
只有資料夾權限才有
安全性選項
上面那層是ACL裡面是ACE,下面那層是權限設定
檔案跟資料夾的權限設定又不一樣了
資料庫
cc732880 跟 cc787794 都是解釋檔案與資料夾權限
標準權限
組合幾個權限後可以一起設定,比較方便
檔案及資料夾使用權限
周遊資料夾/執行檔案
Traverse Folder/Execute File
如為資料夾:[周遊資料夾] 可允許或拒絕在資料間移動,以存取其它的檔案或資料夾,即便是使用者沒有 [周遊資料夾] 的使用權限時亦可使用。(只套用到資料夾)。只有當未在 [群組原則] 嵌入式管理單元中授予群組或使用者 [略過周遊檢查] 使用者權限時,[周遊資料夾] 才有效 (預設狀況下會授予 Everyone 群組 [略過周遊檢查] 使用者權限)。
如為檔案: [執行檔案] 允許或拒絕執行程式檔案。(只套用到檔案)。
設定資料夾的 [周遊資料夾] 使用權限並不會自動設定該資料夾中所有檔案的 [執行檔案] 使用權限。
刪除子資料夾及檔案
允許或拒絕刪除子資料夾及檔案,即使該檔案或子資料夾尚未取得 [刪除] 使用權限時亦可執行(套用到資料夾)。
刪除
允許或拒絕刪除檔案或資料夾。如果您沒有檔案或資料夾的 [刪除] 使用權限,但已在上層資料夾取得 [刪除子資料夾及檔案] 的權限,則您仍然可以執行刪除。
取得擁有權
允許或拒絕取得檔案或資料夾的擁有權。無論保護檔案或資料夾的使用權限為何,檔案或資料夾的擁有者都可以隨時變更其使用權限。
移動與複製後的權限
移動: 同一個partition權限不會變,不同的就會變
複製: 視為一個新的檔案,所以權限會改變
Deny權限優先
在權限合併時會覆蓋所有權限
ACE會自動賦予給子目錄
停止繼承會把下面的全部檔案資要夾都取消(或是另外設定)
  1. 轉換成在物件中的明確權限(ACE先繼承,不會再自動更新或改變)
  2. 從物件中移除所有的權限
複製工具 in CMD
  • robocopy
  • xcopy
搬移需要刪除的權限
先複製在刪掉原本的
取得擁有權
  • 怕別的user把admin的權限設為拒絕(擁有者可以設定)
  • admin可以隨時取得擁有權
    • 會留下LOG請小心使用
權限在NTFS上的作用
  • 權限是相加的,最大就是FC
  • 檔案權限會覆蓋資料夾權限
  • deny權限會覆蓋所有權限
  • 創新的資料夾時擁有者就是使用者
擁有者
擁有者具有FC
WIN server 2012有效存取權計算方式變更為共用存取權和NTFS權的總和比較後選擇較嚴格的(權限較小的)。之前只有NTFS權限而已
7/31

Delete
可以往上砍資料
Delete subfolder and file
子能本身目錄以下的


UAC
使用者帳戶控制
Vista 之後,帳戶分成兩種
  • 標準用戶
  • 管理員--因為有UAC機制,登入後會先變成標準用戶,如果需要使用系統管理權限的工作會跑出
            "您是否允許下列程式變更電腦?"

如果是在USER要去啟用管理選項,會跑出視窗去選有權限的帳號執行
UAC使用時機
  • 增加或刪除用戶帳戶
  • 改變用戶的帳戶類型
  • 改變UAC設定
  • 安裝ActiveX
  • 安裝或移除程式
  • 安裝裝置驅動程式
  • 設定家長監護
  • 將檔案移動或複製到Program Files或Windows目錄
  • 檢視其他用戶資料夾
netdom /?
看解釋
netdom /renamecomputer /newname [名字]

timedate.cpl
改時間
netsh interface
照著打~~
移除GUI

伺服器管理員

管理

移除功能

功能移除GUI

移除
1. win powershell ISE
2. GUI tool
3. server GUI

sc query

sc enumdepend service name
查看相依性
sc query state= all
沒有開啟的相依性也可以看到
in cmd

net group

net local group

net user

修改電腦密碼

lazesoft recovery

windows PE

沒有光碟就替換CMD

開始鍵右鍵---電腦管理---服務
服務當中沒有描述就是有問題
裝置管理員---硬體---詳細資料---硬體識別碼

cmd: whoami /user
看使用者
sc query
查詢服務的狀態,或列舉服務類型的狀態。
SC queryex
查詢服務延伸的狀態,或或列舉服務類型的狀態。
SC EnumDepend
列舉服務的依存性。
CMD : set
看所有使用者的環境變數(路徑)
%username%
列印
cmd RUNAS

/profile     
如果需要加載用戶的配置文件
/env    
要使用當前環境,而不是用戶的環境
dism /online /enable-feature
啟用或停用windows功能

對"作者"管制進入MMC
只有一個ADMIN又把他停用會怎樣?
進入safe MOD 或是 CMD更改密碼就會開啟了

或是 CMD: active
>net user admin… active
>net help user

gpedit: 電腦設定---WIN設定---指令碼(開/關)

自記寫BAT: net user admin… active:yes

net user /?
看解說
>net user u4 /active:no
關帳號
>net user u6 password
不加/ADD就是改密碼
>net user u5 /passowrdchg:no
不給使用者改密碼
群組---新增---進階---立即搜尋
變更群組
gpedit---win set---securtiy set---本機原則---
"使用者權限指派"
使用者權限的指派
>net use m:(創造網路硬碟)\\(IP)\d$(目標資料夾) /u:user1(用user1登入,又密碼就要打)
ACE---新增---改群組權限

gpedit--PC設定---WIN設定---安全性設定---本機---使用者權限指派
張貼者:
標籤:

沒有留言:

張貼留言

訂閱: 張貼留言 (Atom)