利用组策略和DFS建立安全的文件服务器

概述：

Dfs是微软在Win2000时就已经推出的一项功能，全称是Distributed File System（分布式文件系统），微软推出Dfs的目的为了统一管理网络中的共享文件资源，避免多个共享资源杂乱无序的分布在多个服务器中，方便维护管理和用户统一定位，同时也提供了网络负载平衡和容错的功能。

本文以作者工作环境中实际案例为基础，详细阐述了在Win2003 R2中如何使用Dfs 建立分布式文件服务器，结合AD细致控制用户权限，保证数据安全，并利用组策略将分布式文件服务器路径映射网络盘，进一步方便终端用户使用Dfs文件系统，同时利用R2的文件服务器资源管理器功能对文件服务器存储的文件数据进行有效的管理。

本文涉及的议题有：

一：安装与配置Dfs。

二：配置文件服务器访问权限。

三：利用组策略将文件服务器UNC路径映射为网络驱动器。

四：文件服务器资源管理器管理Dfs文件服务器。

五：关于Dfs文件服务器个人体会!

但不涉及Dfs复制相关知识!

为方便大家更好理解本篇文章，首先将本次实验的模拟场景进行一次简单描述：

某公司有两台服务器(Server1,Server2)上都有共享文件夹供日常办公使用，为方便管理，现希望通过Dfs方式实现简单方便的访问，同时保证合理的用户访问权限，实现除了公共资料文件夹外，不同的部门员工只能访问本部门内部的资料，公共资料夹全公司员工都有权利访问，部门文件夹中除了部门公共文件夹外，不同用户只能访问个人文件夹，不允许访问其他用户文件夹。

企业已部署Active Directory，针对不同部门建立了各自的用户帐号和安全组。见图一：

一：安装与配置Dfs

1:安装分布式文件系统组件

安装分布式文件系统组件的过程非常简单，当前提条件是需要有R2安装盘。

一个方法是选择控制面板中的添加或删除程序，然后单击添加/删除Windows 组件，

然后勾选分布式文件系统（在分布式文件系统中包含有DFS复制服务、DFS复制诊断和配置工具、DFS管理三个子组件，你可以根据需要来选择），然后点击下一步，最后单击完成即可。你需要在每一台具有相应功能的服务器上安装对应的组件。

也可以利用“管理工具”->“配置您的服务器向导”来选择“文件服务器”角色来安装分布式文件系统组件。

推荐使用“配置您的服务器向导”来安装，这样可以将文件服务器资源管理器组件也一起安装。如果使用第一种方式安装了分布式文件系统组件，之后也可以安装文件服务器资源管理器组件，安装文件服务器资源管理器组件方法见图二：

安装完分布式文件系统组件和文件服务器资源管理器组件后，你可以在管理工具中看到相应的组件工具(图三)：

2:配置分布式文件服务器

配置分布式文件服务器的过程也很简单，你可以使用"DFS管理"组件来配置，也可以使用"分布式文件系统"组件。,

我习惯于使用“分布式文件系统”组件，下面就以“分布式文件系统”组件说明如何配置分布式文件服务器。

主要分为两步，第一步配置Dfs根，第二步建立Dfs链接!

配置Dfs根：

Dfs为共享文件夹定义了一个层次结构，类似于标准的目录结构，只是构成该目录

结构的不是文件夹，而是多个共享点。

Dfs根就可以理解为目录结构的根目录，包含Dfs根目录的服务器也称为根服务器，同时根服务器会有一个分区信息表(PKI)

包含着指向Dfs目录结构的指针以及它们所代表的共享名称。

在Win2003中有两种类型的Dfs根，分别是独立根和域根。

独立根的PKI信息存储在根服务器的注册表信息中，如果独立根服务器不可用，会导致Dfs不可用。

域根的PKI信息存储的AD中，并复制到当前域中所有DC，以实现容错性，当根服务器不可用时，其它服务器仍可向客户端传送Dfs信息。

显然，域根是更加安全的方案，但需要AD域支持。本文以域根为例子!

打开分布式文件系统，在“分布式文件系统”菜单，右键新建DFS根目录(图四)

在根目录类型中，选择“域根目录”(图五)

选择当前的域名，在主服务器中，可以直接输入根服务器的NetBios名称，也可以通过浏览方式，选择指定的主服务器(图六)：

在根目录名称界面，输入相应的信息(图七)：

在根目录共享中，选择你指定的共享路径，如果文件不存在，向导会自动创建对应的文件(图八)。

根目录建立完成后，分布式文件系统中会相应生成Dfs根目录(图九)

建立Dfs链接

建立好Dfs根目录后，为了能让Dfs正常运行，我们还需要建立Dfs链接才能完成整个Dfs的建立。方法就是在Dfs根上点右键，新建Dfs链接，为链接起个名字并指向适当的的共享资源就可以了。

这里我建立了两个Dfs链接，分别模拟场景中对应的两台服务器共享文件夹,每个文件夹下面都已经建立好三个子文件夹。(图十)

远程文件服务器建立过程略过。

建好Dfs链接后，分布式文件系统结构如下(图十一)：

二：配置文件服务器访问权限

1：正确配置用户工作文件夹

首先看一下场景中对应文件夹安全的实现目标,其中LocalFileServer文件夹对应着Dfs 链接中的本地文件服务器：

公司级别文件夹权限要求：

部门内部文件夹权限要求：

明确了安全目标，接下来以IT Depart文件夹为例，说明如何配置安全的共享文件夹访问权限，其它两个文件夹配置办法类似。

选中"IT Depart"文件夹，右键选择"共享与案例",在"安全"选项卡,选"高级",在“高级安全设置”中，

取消“允许父项的继承权限传播到该对象和所有子对象。。。”。勾，在弹出的窗口中，选择“删除”

删除继承后，再添加”IT Depart“安全组到”安全“选项卡中。

注意：IT Depart安全组是在AD中建立，成员包括：ITTrainer,RogerWang,见图一.

为方便管理，建议将Domain Admins用户组也加入到该文件夹,并赋给“安全控制”权限。

其它文件夹权限设置思路大同小异，请参考IT Depart文件夹上述步骤，过程略!

2：设置好工作文件夹权限后，接下来步骤是正确配置Dfs共享文件夹访问权限首先检查一下默认的文件服务器对应的共享文件夹访问权限。

1)：根目录共享文件夹

共享用户是Everyone,权限是只读

安全选项卡中，用户和权限是直接继承自上级目录,对于Superlan\Users只有读取权限

2)：Dfs链接对应的共享文件夹，默认的访问权限与根目录共享文件夹访问权限一致,在此略过!

3：通过客户端访问Dfs服务器，测试当前的用户权限。

客户端以域帐号ITTrainer登录后，通过运行UNC访问路径“\\https://www.wendangku.net/doc/0d9915541.html,\文件服务器”，

可以正常访问到Dfs文件服务器，但此时只能浏览，在任一级目录没有写权限。

3：对共享文件夹赋给域用户正确权限

1)：根目录共享文件夹,权限不变

2)：Dfs链接共享文件夹

在共享选项卡中，给Everyone用户权限添加“更改”权限

在“安全”选项卡中，给Users(Superlan\Users)添加"拒绝"写入权限。

添加”拒绝写入“权限的目的是防止用户在与"IT Depart"同级目录中新增文件夹!

至此,文件服务器安全访问权限已经配置完成，可以通过客户端登录到Dfs服务器进行相应测试!

三：利用组策略将文件服务器UNC路径映射为网络驱动器

通过上面步骤，客户机已经可以通过UNC路径访问Dfs文件服务器，进行正常的文件访问，貌似已经比较完美。

但在实际工作中我们发现，在企业常常会有一些用户，连上述UNC路径(\\https://www.wendangku.net/doc/0d9915541.html,\文件服务器)都不懂使用，希望有更加方便简捷的途径使用文件服务器。没办法，企业内IT人员永远是为用户服务，既然有此需求，只能想办法实现。

下面给出利用组策略实现将UNC名映射成网络盘的基本思路。

1：编写用户登录脚本，实现UNC到网络驱动器的映射。

用户登录脚本如下,文件名：NetDisk.VBS

On error resume Next

strRemotePath = "\\https://www.wendangku.net/doc/0d9915541.html,\文件服务器"

strNewName = "文件服务器"

Set objNetwork = CreateObject("https://www.wendangku.net/doc/0d9915541.html,work")

Set colDrives = objNetwork.EnumNetworkDrives

'Wscript.Echo colDrives.Count

if colDrives.Count = 0 then

strDriveLetter="X:"

else

strDriveLetter = Chr(Asc(Left(colDrives.Item(0),1))-1) & ":"

end if

' Section to map the network drive

Set objNetwork = CreateObject("https://www.wendangku.net/doc/0d9915541.html,work")

objNetwork.MapNetworkDrive strDriveLetter, strRemotePath

' Section which actually (re)names the Mapped Drive

Set objShell = CreateObject("Shell.Application")

https://www.wendangku.net/doc/0d9915541.html,Space(strDriveLetter)https://www.wendangku.net/doc/0d9915541.html, = strNewName

2：使用老朋友GPMC，在AD中建立一个用于分发Dfs文件服务器的组策略,在用户配置->Windows设置->脚本(登录/注销)->登录，

选择上述的NetDisk.VBS脚本。实现在用户登录时执行映射网络驱动器动作!

注意，一定要将上述脚本存放到该组策略对应的Logon目录下,该组策略才能生效!

3：链接该组策略到具体的OU，请注意要链接到用户OU中，不要链接到计算机OU中。

4：启动客户机测试组策略结果,检测是否可以正确映射网络驱动器。

四：使用文件服务器资源管理器管理Dfs文件服务器

文件服务器部署成功，在实际环境中正式使用后，如何有效的进行文件服务器，比如每个用户文件夹大小，文件类型，以及存储情况呢？

微软的Win2003 R2中提供了一个强大的文件服务器资源管理器组件，可以方便网络管理员更好地监视、控制和管理存储在公司服务器上的数据的类型和数量。

本文只介绍一些简单的使用方法，详细使用请参见微软文档([url]https://www.wendangku.net/doc/0d9915541.html,/china/technet/itsolutions/msit/valuecard/msfsrmvc.mspx[/url]) 或风间子的文件服务器资源管理使用文档([url]https://www.wendangku.net/doc/0d9915541.html,/info/info.php?sessid=&infoid=48[/url])

1：创建配额监视文件服务器使用情况

在FSRM管理控制台中展开配额管理，右击配额，选择创建配额。

在弹出的创建配额对话框上，首先选择配额路径，默认选项为在路径上创建配额。

如果你想监视该目录下完整使用情况，可以选择第二个。

然后选择从此配额模板派生属性（推荐选项）并选择对应的模板，如果你需要创建自定义的配额则选择定义自定义配额属性。

最后点击创建即可，完成后如下图所示

这时就可以看到相应的文件夹以及子文件夹使用情况。

2：使用文件屏蔽管理，拒绝用户存放某些类型文件。

在FSRM管理控制台中展开文件屏蔽管理，右击文件屏蔽，选择创建文件屏蔽，然后在弹出的创建文件屏蔽对话框上输入路径，选择对应的模板，如果需要则可以选择定义自定义文件屏蔽属性进行自定义，然后点击创建。

3：使用存储报告管理，实时了解文件服务器资源状况

在FSRM中，提供了非常详尽的存储报告功能，通过此功能，可以很清楚的了解到服务器上所存储的资源状况。也可以创建计划报告任务来定期创建报告，也可以立即生成报告。

五：对Dfs文件服务器个人体会

1：通过Dfs文件服务器，我们可以实现将存在网络多个不同位置的共享文件夹统一位置来访问，但在实际环境中如有条件，强烈建议只使用一台独立服务器做专职的文件服务器!

2：对于Dfs来说，虽然只要求Dfs根必须在NTFS卷上，但从安全性方面考虑，强烈建议Dfs链接文件夹也建立在NTFS卷中。

3：理论上Dfs可以无限包含子文件夹，但实际上Dfs路径长度不能超过260字节，建议在建立文件夹时使用简洁的命名方案。

4：同一个Dfs根不能从现有的链接中再创建子链接，基本的Dfs命名空间只有一级深度。

文件服务器搭建规划

文件服务器搭建规划?
一．现状分析。?
公司目前各部门、 同事之间如需资源共享基本上都通过 U 盘传输，
或者采取局域网共享方式实现，以上两种资源共享方式不但繁琐，且 对于一些机要文件来说，还存在一定的安全隐患。 技术人员编制的技术资料均存储于本地磁盘， 一旦本地磁盘发生 故障，将浪费大量的人力物力进行重新编制，再者公司个人办公电脑 缺乏相应的安全防护措施，一些技术资料、科研成果一旦泄露出去， 将对公司带来巨大的损失。 二．需求分析。 1.取缔现有的 U 盘、网络共享等文件传输方式，整合需要共享的 信息资源。 2.将共享文件按部门、类别进行分类整理归档。 3.根据访问人员的部门、职位情况设定对应权限。 三．目的。 1.使各类信息资源得到最大化合理利用，提高工作效率。 2.提高各类信息资源文件的安全性。 四．规划。 1.根据目前公司架构，搭建文件服务器的简易拓扑图如下：

OA 服务器 病毒服务器 财务服务器 文件服务器
注释：?
1> 现有的 OA 服务器，为实现公司无 纸化办公需求； 2> 公司病毒服务器，作为各服务器及 公司网络内 PC 端提供病毒库更新 源，为公司网络安全保驾护航； 3> 财务服务器，存放财务数据，现有 用友 U8 系统服务器端；
UPS?
服务器
?
` ` ` `
4> 新架设的公司文件服务器，存放公
司各类文件，提供良好的共享支持 服务。?
PC
2．文件服务器文件夹设定及权限分配。 根据公司组织架构，分别设置总经理、财务总监、总工程师文件 夹各一个，部门文件夹 7 个，部门文件下设部门临时文件夹及员工文 件夹，另设公司共享资源文件夹。各文件夹权限分配如下： 1> 总经理文件夹只允许总经理完全控制，其他任何人包括系统 管理员都无权进入，拒绝访问。另总经理对各子部门所有文 件夹具有读取，目录查看的权限。 2> 财务总监文件夹只允许财务总监完全控制，除总经理外，其 他任何人包括管理员都无权进入，拒绝访问。另财务总监对 财务部、IT 部所有文件夹具有读取，目录查看的权限。

系统安全策略

教你怎么设置安全的SOLARIS系统 一、帐号和口令安全策略 1.1更改口令文件、影像文件、组文件的权限 /etc/passwd 必须所有用户都可读，root用户可写?rw-r?r? /etc/shadow 只有root可读?r-------- /etc/group 必须所有用户都可读，root用户可写?rw-r?r? 1.2修改不必要的系统帐号 移去或锁定那些系统帐号，比如sys、uucp、nuucp、listen、lp、adm等等，简单的办法是在/etc/shadow的password域中放上NP字符。还能考虑将/etc/passwd文件中的shell 域设置成/bin/false 1.3修改口令策略 修改/etc/default/passwd文件 MAXWEEKS=4 口令至少每隔4星期更改一次 MINWEEKS=1 口令至多每隔1星期更改一次 WARNWEEKS=3 修改口令后第三个星期会收到快要修改口令的信息 PASSLENGTH=6 用户口令长度不少于6个字符 二、用户授权安全策略 2.1移去组及其他用户对/etc的写权限。 执行命令#chmod -R go-w /etc 2.2禁止root远程登录 在/etc/default/login中设置 CONSOLE=/dev/concle 2.3setuid和setgid特别权限。 Setuid是指设置程式的有效执行用户身份(uid)为该文件的属主,而不是调用该程式进程的用户身份。Setgid和之类似。Setuid和setgid用1s -1显示出来为s权限,存在于主人和属组的执行权限的位置上。系统设置特别权限，使用户执行某些命令时,具有root的执行权限, 命令执行完成, root身份也随之消失。因此特别权限关系系统的安全，可执行命令#find / -perm -4000 -print 寻找系统中具有setuid权限的文件，存为列表文件，定时检查有没有这之外的文件被设置了setuid权限。 2.4审计并日志所有以root身份的登陆情况 添加或编辑/etc/default/login文件如下： SYSLOG= YES syslog记录root的登陆失败，成功的情况。 2.5设置远程登陆会话超时时间 添加或编辑/etc/default/login文件如下： TIMEOUT= 300

使用windows组策略对计算机进行安全配置.

综合性实验项目名称：使用windows组策略对计算机进行安全配置 一、实验目的及要求： 1.组策略是管理员为用户和计算机定义并控制程序，网络资源及操作系统行为的主要工具, 通过使用组策略可以设置各种软件，计算机和用户策略。 2.我们通过实验,学会使用组策略对计算机进行安全配置。 二、实验基本原理： 组策略是管理员为用户和计算机定义并控制程序，网络资源及操作系统行为的主要工具通过使用组策略可以设置各种软件，计算机和用户策略。 三、主要仪器设备及实验耗材： PC机一台,Windows2000系统，具有管理员权限账户登录 四、注意事项 必须以管理员或管理员组成员的身份登录win2000系统 计算机配置中设置的组策略级别要高于用户配置中的级别策略 五、实验内容与步骤 1.在”开始”菜单中,单击”运行”命令项,输入gpedit.msc并确定，即可运行程序。 依次进行以下实验： (1)隐藏驱动器 平时我们隐藏文件夹后，别人只需在文件夹选项里显示所有文件，就可以看见了，我们可以在组策略里删除这个选项。 1.使用策略前,查看”我的电脑”的驱动器,如图6-1所示 图6-1 使用策略前,“我的电脑” 2.选择“用户配置—>管理模板—>windows组件—>windows资源管理器”,如图6-2所示。

图6-2 隐藏驱动器 3.使用策略后,查看”我的电脑”的驱动器,如图6-3所示 图6-3 使用策略后,“我的电脑” (2).禁止来宾账户本机登录 使用电脑时，我们有时要离开座位一段时间，如果有很多正在打开的文档还没有处理完成或者正在使用隐私内容时，为了避免有人动用电脑，我们一般会把电脑锁定。但是在局域网中，为了方便网络登录，我们有时候会建立一些来宾账户，如果对方利用这些账户来注销当前账户并登录到别的账户，就会给正常工作带来影响。我们可以通过“组策略”来禁止一些账户在本机上的登录，让对方只能通过网络登录。 在“组策略”窗口中依次打开“计算机配置—>windows设置—>安全设置—>本地策略—>用户权限分配”，然后双击右侧窗格的”拒绝本地登录”项，在弹出的窗口中添加要禁止的用户或组即可实现,如图6-4所示

用组策略从十大方面保护Windows安全

用组策略从十大方面保护Windows安全 Windows操作系统中组策略的应用无处不在，如何让系统更安全，也是一个常论不休的话题，下面就让我们一起来看看通过组策略如何给Windows系统练就一身金钟罩。 一、给我们的IP添加安全策略? 在“计算机配置”→“Windows设置”→“安全设置”→“IP 安全策略，在本地计算机”下与有与网络有关的几个设置项目(如图1)。如果大家对Internet较为熟悉，那也可以通过它来添加或修改更多的网络安全设置，这样在Windows上运行网络程序或者畅游Internet时将会更加安全。? 图 1 小提示由于此项较为专业，其间会涉及到很多的专业概念，一般用户用不到，在这里只是给网络管理员们提个醒，因此在此略过。 二、隐藏驱动器 平时我们隐藏文件夹后，别人只需在文件夹选项里显示所有文件，就可以看见了，我们可以在组策略里删除这个选项：选择“用户配置→管理模板→Windows组件→Windows 资源管理器”（如图2）。

图 2 三、禁用指定的文件类型 在“组策略”中，我们可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件类型，而且不影响系统的正常运行。这里假设我们要禁用注册表的REG文件，不让系统运行 REG文件，具体操作方法如下： 1.打开组策略，点击“计算机配置→Windows设置→安全设置→软件限制策略”，在弹出的右键菜单上选择“创建软件限制策略”，即生成“安全级别”、“其他规则”及“强制”、“指

派的文件类型”、“受信任的出版商”项(图3)。 图 3 2.双击“指派的文件类型”打开“指派的文件类型属性”窗口，只留下REG文件类型，将其他的文件全部删除，如果还有其他的文件类型要禁用，可以再次打开这个窗口，在“文件扩展名”空白栏里输入要禁用的文件类型，将它添加上去。 3.双击“安全级别→不允许的”项，点击“设为默认”按钮。然后注销系统或者重新启动系统，此策略即生效，运行REG文件时，会提示“由于一个软件限制策略的阻止，Windows 无法打开此程序”。 4.要取消此软件限制策略的话，双击“安全级别→不受限的”，打开“不受限的?属性”窗口，按“设为默认值”即可。 如果你鼠标右键点击“计算机配置→Windows设置→安全设置→软件限制策略→其他规则”，你会看到它可以建立哈希规则、Internet?区域规则、路径规则等策略，利用这些规则我们可以让系统更加安全，比如利用“路径规则”可以为电子邮件程序用来运行附件的

组策略设置系列篇之“安全选项”2

组策略设置系列篇之“安全选项”-2 选项, 设置 交互式登录：不显示上次的用户名 此策略设置确定“登录到Windows”对话框是否显示上次登录到该计算机的用户的名称。如果启用此策略设置，不显示上次成功登录的用户的名称。如果禁用此策略设置，则显示上次登录的用户的名称。 “交互式登录：不显示上次的用户名”设置的可能值为： ? 已启用 ? 已禁用 ? 没有定义 漏洞：能够访问控制台的攻击者（例如，能够物理访问的人或者能够通过终端服务连接到服务器的人）可以查看上次登录到服务器的用户的名称。攻击者随后可能尝试猜测密码，使用字典或者依靠强力攻击以试图登录。 对策：将“不显示上次的用户名”设置配置为“已启用”。 潜在影响：用户在登录服务器时，必须始终键入其用户名。 交互式登录：不需要按CTRL+ALT+DEL 此策略设置确定用户在登录前是否必须按Ctrl+Alt+Del。如果启用此策略设置，用户登录时无需按此组合键。如果禁用此策略设置，用户在登录到Windows 之前必须按Ctrl+Alt+Del，除非他们使用智能卡进行Windows 登录。智能卡是一种用来存储安全信息的防篡改设备。 “交互式登录：不需要按CTRL+ALT+DEL”设置的可能值为： ? 已启用 ? 已禁用 ? 没有定义 漏洞：Microsoft 之所以开发此功能，是为了更便于身体有某种残疾的用户登录到运行Windows 的计算机。如果不要求用户按Ctrl+Alt+Del，他们容易受到尝试截获其密码的攻击。如果要求用户在登录之前按Ctrl+Alt+Del，用户密码则会通过受信任路径进行通信。 攻击者可能会安装看似标准Windows 登录对话框的特洛伊木马程序，并捕获用户的密码。攻击者随后将能够使用该用户具有的特权级别登录到被侵入的帐户。 对策：将“不需要按CTRL+ALT+DEL”设置配置为“已禁用”。

信息安全策略模板

信息安全策略

变更履历

*变化状态：C——创建，A——增加，M——修改，D——删除

目录 1. 目的和范围......................... 错误!未指定书签。 2. 术语和定义......................... 错误!未指定书签。 3. 引用文件........................... 错误!未指定书签。 4. 职责和权限......................... 错误!未指定书签。 5. 信息安全策略....................... 错误!未指定书签。 5.1. 信息系统安全组织............. 错误!未指定书签。 5.2. 资产管理..................... 错误!未指定书签。 5.3. 人员信息安全管理............. 错误!未指定书签。 5.4. 物理和环境安全............... 错误!未指定书签。 5.5. 通信和操作管理............... 错误!未指定书签。 5.6. 信息系统访问控制............. 错误!未指定书签。 5.7. 信息系统的获取、开发和维护安全错误!未指定书签。 5.8. 信息安全事故处理............. 错误!未指定书签。 5.9. 业务连续性管理............... 错误!未指定书签。 5.10. 符合性要求.................. 错误!未指定书签。1附件............................... 错误!未指定书签。

公司文件服务器的搭建与管理

北京****公司网络改造工程 一、需求分析 客户需求： 公司原来使用中所有数据是通过U盘交换，由于这样导致此工作十分不便，现需要改变这种状况。总经理说“这次网络更改希望能够加强企业信息的安全，只有自已能够修改和读取全公司文档，各部门经理可以阅读本部门所有文件，公司员工只能读取和修改自已的文档，一定要注意不宜公开的文件安全性。”市场部文件允许读取和修改，禁止删除。 完成数据备份，并模拟数据丢失进行还原。完成数据备份，并模拟数据丢失进行还原。 分析 用window sever2008建立一个公司的文件服务器，Windows sever 易操作，易管理。配合使用NTFS文件系统实现文件袋的访问限制，能解决公司的数据交换问题并增强数据的交换安全，文件访问限制。 建立公司的局域网络，用网络能交换数据的特性来代替以前U盘拷贝传输数据的方式。二、规划 根据客户提供的信息，总经理下属有财务部、人事部、市场部和技术部四个部门，各部门设有经理并有下属员工共计24人。 需要配有24台PC 机，文件服务器1台，交换机4台。 1、建立用户和组 （1、各部门名单，如下： 总经理：巫江 财务部：张静李媛（部门经理） 人事部：吴建忠陈奇法（部门经理） 市场部：冯爱军齐彬陆明陆明张辉贾继蛇刘立徐春廖国才尹强沈洪张巍 （部门经理） 技术部：刘京陈奕张萌金淮刘万军宋敏华朱悦明杨秀仁（部门经理）

为了实现公司每个员工使用独立的用户名和密码登录服务器，需要为每个员工创建独立的账户和登录密码。 （2、目录结构 （3、网络配置 本网络在192.168.0.X网段工作，网关地址为192.168.16.1 255.255.255.0。 内网地址规划如下： 财务部：192.168.16.3-----192.168.16.4 人事部：192.168.16.5-----192.168.16.6 市场部：192.168.16.7-----192.168.16.17 技术部：192.168.16.0-----192.168.16.23 总经理：192.168.16.2 文件服务器：192.168.16.1 (4、人员权限设置

操作系统的安全策略基本配置原则(正式)

编订：__________________ 单位：__________________ 时间：__________________ 操作系统的安全策略基本配置原则(正式) Standardize The Management Mechanism To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑

文件编号：KG-AO-8263-70 操作系统的安全策略基本配置原则 (正式) 使用备注：本文档可用在日常工作场景，通过对管理机制、管理原则、管理方法以及管理机构进行设置固定的规范，从而使得组织内人员按照既定标准、规范的要求进行操作，使日常工作或活动达到预期的水平。下载后就可自由编辑。 安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务 (3)关闭不必要的端口, (4)开启审核策略(5)开启密码策略, (6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1 操作系统安全策略 利用Windows 2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认

的情况下,这些策略都是没有开启的. 2 关闭不必要的服务 Windows 2000的Terminal Services(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞.为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务. 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务.要留意服务器上开启的所有服务并每天检查.Windows2000可禁用的服务服务名说明Computer Browser维护网络上计算机的最新列表以及提供这个列表Task scheduler允许程序在指定时间运行Routing and Remote Access在局域网以及广域网环境中为企业提供路由服务Removable storage管理可移动媒体,驱动程序和库Remote Registry Service允许远程注册表操作Print Spooler将文件加载到内存中以便以后打印.要用打印机的用户不能禁用这项服务IPSEC Policy Agent管

组策略安全选项对应注册表项汇总

组策略安全选项对应注册表项汇总 在组策略中的位置:计算机设置->Windows设置->安全设置->本地策略->安全选项 详细列表: [MACHINE\System\CurrentControlSet\Control\Lsa] : : ::值名:含义:类型:数据:值名:含义:类型:数 据:0=停用1=启用值名:含义:类型:数据:值 名:RestrictAnonymous含义:对匿名连接的额外限制(通常用于限制IPC$空连接)类型:REG_DWORD数据:0=无.依赖于默认许可权限1=不允许枚举SAM账号和共享2=没有显式匿名权限就无法访问值名ubmitControl含义:允许服务器操作员计划任务(仅用于域控制器)类型:REG_DWORD数据:0=停用1=启用[MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers]值名:AddPrinterDrivers含义:防止用户安装打印机驱动程序类型:REG_DWORD数据:0=停用1=启用 [MACHINE\System\CurrentControlSet\Control\Session Manager\Memory Management]值名:ClearPageFileAtShutdown含义:在关机时清理虚拟内存页面交换文件类型:REG_DWORD数据:0=停用1=启用 [MACHINE\System\CurrentControlSet\Control\Session Manager]值名

rotectionMode含义:增强全局系统对象的默认权限(例如Symbolic Links) 类型:REG_DWORD数据:0=停用1=启用 [MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters]值 名:EnableSecuritySignature含义:对服务器通讯进行数字签名(如果可能)类型:REG_DWORD数据:0=停用1=启用值名:RequireSecuritySignature 含义:对服务器通讯进行数字签名(总是)类型:REG_DWORD数据:0=停用 1=启用值名:EnableForcedLogOff含义:当登录时间用完时自动注销用户 (本地)类型:REG_DWORD数据:0=停用1=启用值名:AutoDisconnect 含义:在断开会话产所需要的空闲时间类型:REG_DWORD数据:分钟数[MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters]值 名:EnableSecuritySignature含义:对客户端通讯进行数字签名(如果可能)类型:REG_DWORD数据:0=停用1=启用值名:RequireSecuritySignature 含义:对客户端通讯进行数字签名(总是)类型:REG_DWORD数据:0=停用 1=启用值名:EnablePlainTextPassword含义:发送未加密的密码以连接到第三方SMB服务器类型:REG_DWORD数据:0=停用1=启用 [MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters]值名isablePasswordChange含义:防止计算机帐户密码的系统维护类型:REG_DWORD 数据:0=停用1=启用值名ignSecureChannel含义:安全通道: 对安全通道数据进行数字签名(如果可能)类型:REG_DWORD数据:0=停用 1=启用值名ealSecureChannel含义:安全通道: 对安全通道数据进行数字加密(如果可能)类型:REG_DWORD数据:0=停用1=启用值 名:RequireSignOrSeal含义:安全通道: 对安全通道数据进行数字加密或签名(总是)类型:REG_DWORD数据:0=停用1=启用值名:RequireStrongKey 含义:安全通道: 需要强(Windows 2000 或以上版本)会话密钥类 型:REG_DWORD数据:0=停用1=启用[MACHINE\Software\[M$]\Driver Signing]值名olicy含义:未签名驱动程序的安装操作类型:REG_BINARY数据:0=默认安装1=允许安装但发出警告2=禁止安装 [MACHINE\Software\[M$]\Non-Driver Signing]值名olicy含义:未签名非驱动程序的安装操作类型:REG_BINARY 数据:0=默认安装1=允许安装但发出警告2=禁止安装 [MACHINE\Software\[M$]\Windows\CurrentVersion\Policies\System]值名isableCAD 含义:禁用按CTRL ALT DEL进行登录的设置类型:REG_DWORD数据:0=停用1=启用值名ontDisplayLastUserName含义:登录屏幕上不要显示上次登录的用户名类型:REG_DWORD数据:0=停用1=启用值名:LegalNoticeCaption含义:用户试图登录时消息标题类型:REG_SZ数据:标题文本值名:LegalNoticeText含义:用户试图登录时消息文字类型:REG_SZ数据:消息文字值名hutdownWithoutLogon含义:登录屏幕上不要显示上次登录的用户名类型:REG_DWORD数据:0=停用1=启用 [MACHINE\Software\[M$]\Windows NT\CurrentVersion\Setup\RecoveryConsole] 值名ecurityLevel含义:故障恢复控制台:允许自动系统管理级登录类 型:REG_DWORD数据:0=停用1=启用值名etCommand含义:故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问类型:REG_DWORD 数据:0=停用1=启用[MACHINE\Software\[M$]\Windows NT\CurrentVersion\Winlogon]值名:AllocateCDRoms含义:只有本地登录的用户才能访

组策略与安全设置

组策略与安全设置 系统管理员可以通过组策略的强大功能，来充分管理网络用户与计算机的工作环境，从而减轻网络管理的负担。 组策略概述 组策略是一个能够让系统管理员充分管理用户工作环境的功能，通过它来确保用户拥有应有的工作环境，也通过他来限制用户。因此，不但可以让用户拥有适当的环境，也可以减轻系统管理员的管理负担。 组策略包含计算机配置与用户配置两部分。计算机配置仅对计算机环境产生影响，而用户设置只对用户环境有影响。可以通过以下两个方法来设置组策略。 ●本地计算机策略:可以用来设置单一计算机的策略，这个策略内的计算机配置只会背 应用到这台计算机，而用户设置会被应用到在此计算机登陆的所有用户。 ●域的组策略:在域内可以针对站点，域或组织单位来设置组策略，其中，域组策略内 的设置会被应用到域内的所有计算机与用户，而组织单位的组策略会被应用到该组织单位内的所有计算机与用户。 对添加域的计算机来说，如果其本地计算机策略的设置与域或组织单位的组策略设置发生冲突，则以域或组织单位组策略的设置优先，也就是此时本地计算机策略的设置值无效。 本地计算机策略实例演示 以下利用未加入域的计算机来练习本地计算机策略，以免受到域策略的干扰，造成本地计算机策略的设置无效，因而影响到验证实验结果。 计算机配置实例演示 当我们要将Windows Server2012计算机关机时，系统会要求我们提供关机的理由，以下实例完成后，系统就不会在要求你说明关机理由了。

开始运行中输入gpedit.msc-计算机配置-管理模板-系统-显示“关闭事件跟踪程序“-单击已禁用 以后关机或重启计算机时，系统都不会再询问了。 注：请不要随意更改计算机配置，以免更改可能影响系统正常运行的设置值。 用户配置实例演示 以下通过本地计算机策略来限制用户工作环境：删除客户端浏览器IE内Internet选项的安全和连接标签。也就是经过以下设置后，浏览器内的安全和连接标签消失了。 用户配置-管理模板-windows组件-IE-ie控制面板-禁用连接页和禁用安全页设置为启用，此设置会立即应用到所有用户。

组策略对windows7的安全性设置(陈琪) - 修改

组策略对windows7的安全性设置 陈琪 （重庆市商务学校重庆市大渡口区400080） 【摘要】：现在Win7系统已成为电脑市场的主流，大量企业和家庭个人都选择使用Win7系统，主要是Win7系统设计具有人性化、操作非常的简单，更重要的是Win7安全性非常高。同时针对Win7的安全性设置方法也层出不穷，用户往往是通过第三方软件来实现，但是这些方法往往不具有个性化的设置，而且这些方法效果到底如何也无从知晓。其实利用Win7的系统组策略功能，就可以简单轻松的实现Win7的系统的安全性设置。 【关键词】：组策略点击用户配置驱动器木马权限哈希值【引言】：在我们使用电脑的过程中系统、用户的数据都是保存在电脑的驱动器中的。因此，限制驱动器的使用可以有效防止重要和机密的信息外泄。而且现在的电脑大多数时间都是联网的，有效的阻击病毒和木马的入侵是确保电脑安全稳定运行的必要措施。 【正文】： 1.驱动器访问权限的设置 驱动器主要包括硬盘、光驱和移动设备等。驱动器不同限制方法也不同，而且同一种驱动器也有不同的限制级别。就说硬盘吧，一般有隐藏和禁止访问两种级别。隐藏级别比较初级，只是让驱动器不可见，一般用于防范小孩和初级用户，而禁止访问则可彻底阻止驱动器的访问。对于移动设备，可以选择设置读、写和执行权限，不过病毒和木马一般通过执行恶意程序来传播，因此禁止执行权限才最有效。

1.1隐藏驱动器 那么我们首先来实现如何让初级普通用户看不到驱动器：点击“开始”，在搜索框中输入“gpedit.msc”，确认后即打开了组策略编辑器，依次展开“用户配置→管理模板→Windows组件→Windows资源管理器”，在右边设置窗口中，进入“隐藏‘我的电脑’中这些指定的驱动器”，选择“已启用”，在下面的下拉列表中选择需要隐藏的驱动器，然后确定。再进入“计算机”，刚才选择的驱动器图标就不见了。提示：这个方法只是隐藏驱动器图标，用户仍可使用其他方法访问驱动器的内容，如在地址栏中直接键入驱动器上的目录路径。 1.2移动存储设备读写权限的设置 移动设备（例如闪存、移动硬盘等）已经成为不少用户的标准配置，使用也最为广泛。正因如此，它也成了病毒和木马传播的主要途径。而普通的限制读写权限并不能阻止病毒和木马入侵，因为病毒传播都是通过执行病毒和木马程序来实现的，因此禁用执行权限就能切断病毒传播途径。依次展开“计算机配置→管理模板→系统→可移动存储访问”，进入“可移动磁盘：拒绝执行权限”，选择“已启用”，确定后设置生效。移动设备上的可执行文件将不能执行，计算机也就不会再被病毒感染。而如果需要执行，只需要拷贝到硬盘当中即可。 2.网络安全性设置 电脑最重要的用途之一就是上网，可是说实话，现在上网一点也不省心，病毒、木马和流氓软件横行，连不少大网站都会被挂一些别有用心的软件，用户真是防不胜防。所以网络安全性的设置相当重要。

局域网文件共享服务器搭建初稿方案

局域网文件共享服务器搭建初稿方案 一．需求分析 1.公司有7个大部门，分别为：综合部、技术部、质量部、生产部、采购物流部、商务部、财务部。 2. 各部门的文件夹只允许本部门员工有权访问；各部门之间交流性质的文件放到公用文件夹中。 3. 每个部门都有一个管理本部门文件夹的管理员账号和一个只能新建和查看文件的普通用户权限的账号。 4. 公用文件夹中分为存放共享各部门的文件夹和工具软件文件夹。 5. 对于各部门自己的文件夹，各部门管理员具有完全控制权限，而各部门普通用户可以在该部门文件夹下新建文件及文件夹，并且对于自己新建的文件及文件夹有完全控制权限，对于管理员新建及上传的文件和文件夹只能访问，不能更改和删除。不是本部门用户不能访问本部门文件夹。 6. 对于公用文件夹中的各部门共享文件夹，各部门管理员具有完全控制权限，而各部门普通用户可以对文件夹进行访问查看，但不能更改和删除。本部门用户（包括管理员和普通用户）在访问其他部门公共共享文件夹时，只能查看不能修改、删除、新建。对于存放工具软件的文件夹，只有管理员有权限，其他用户只能访问。 二．规划 根据公司需求情况，现做出如下规划： 1. 在系统分区时单独分一个Company的区，在该区下有以下几个文件夹：综合部、技术部、质量部、生产部、采购物流部、商务部、财务部、公共文件。在“公共文件”下又有以下几个文件夹：综合部、技术部、质量部、生产部、采购物流部、商务部、财务部、工具软件。 2. 各部门对应的文件夹由各部门自己管理，工具软件文件夹由管理员维护。 3. 账号角色划分为超级管理员组、部门管理员组、普通用户组。 3.1超级管理员组用户账号: superadmin; 3.2部门管理员组包含用户 3.2.1综合部管理员账号：zhbadmin；密码： 3.2.2技术部管理员账号：jsbadmin；密码： 3.2.3质量部管理员账号：zlbadmin；密码： 3.2.4生产部管理员账号：scbadmin；密码： 3.2.5采购物流部管理员账号：cgbadmin；密码： 3.2.6商务部管理员账号：swbadmin；密码： 3.2.7财务部管理员账号：cwbadmin；密码： 3.3普通用户组分为:zhbuser;jsbuser;zlbuser;scbuser;cgbuser;swbuser;cwbuser 密码：和各普通用户名对应的一样。 文件夹之间的关系请见下图：

提升Windows系统安全性的组策略设置

升Win d o w s 系统安全性的组策略设置 有人将组策略比作深藏在系统中的“大内高手”，笔者觉得这个比喻的非常恰当的。组策略确实有其他第三方安全软件所无法比拟的优势，这不仅是其与Win dows系统的密切 “关系”，更在于它强大的安全功能。除了可通过其进行系统配置，而且可对系统中几乎所有的软硬件实施管理，全方位地提升系统安全。到目前为止，似乎没有任何一款第三方软件可提供如果多的配置项。何况随着Win dows系统的更新换代，组策略也是越来越强大了，比如在Windows 7中就增加了许多Vista没有的安全项。本文就以当前主流的Vista系统为例，就Windows组策略的安全特性进行一番比较深入的解析。 为了便于说明，笔者依据组策略的安全配置功能将其划分为三部分：系统核心安全配置、应用程序和设备限制、In ternet Explorer(IE)安全。下面就以此为线索，分别谈谈组策略的安全特性。 1、系统核心安全配置 与系统核心安全相关的组策略设置项主要在“计算机配置f Win dows配置—安全配置”节点下。 (1) .账户策略 对于组策略的这一部分大家应该非常熟悉，因为在这里可以设置密码和账户的锁定策略。例如，在这部分组策略中，我们可以设置密码最小长度或者密码需要包含复杂字符。如果在链接到域(如默认域策略)的组策略对象(GPO冲定义这些策略，域中的所有域控制器(DC)都会处理密码策略，并且组策略对象会控制域用户账户的密码策略。当在链接到域的组策略对象中定义密码策略时，域中的所有工作站和成员服务器也会进行处理, 并为这些系统中定义的本地账户设置账户策略。(图1) 图1安全设置账户策略 大家知道，通过组策略只能定义一个域密码策略，不过，WindowsServer 2008支持一套新的密码策略对象，这些在活动目录(AD)中定义的密码策略对象为单一域提供了更加细化的密码策略控制。 (2) .本地策略 “本地策略”下有三个安全策略项，通过配置可以实现Windows系统的各种安全需求。例如，其中的“审计策略”用于配置服务器的Windows安全事件日志收集哪些事件；“用户权限分配”用于配置哪些用户能通过“远程桌面”访问指定的服务器或工作站;使用“安全选项”配置以确定是否激活指定系统上的“管理员”账户以及重命名“管理员”账户。

组策略的管理(账户锁定策略)

组策略的管理（账户锁定策略） 2. 账户锁定策略 账户锁定策略用于域账户或本地用户账户，用来确定某个账户被系统锁定的情况和时间长短。要设置“账户锁定策略”，可打开组策略控制台，依次展开“计算机配置”→“Windows设置”→“安全设置”→“账户策略”→“账户锁定策略”。 （1）账户锁定阈值 该安全设置确定造成用户账户被锁定的登录失败尝试的次数。无法使用锁定的账户，除非管理员进行了重新设置或该账户的锁定时间已过期。登录尝试失败的范围可设置为0~999之间。如果将此值设为0，则将无法锁定账户。 对于使用Ctrl+Alt+Delete或带有密码保护的屏幕保护程序锁定的计算机上，失败的密码尝试计入失败的登录尝试次数中。 在组策略窗口中，双击“账户锁定阈值”选项，显示“账户锁定阈值属性”对话框，选中“定义这个策略设置”复选框，在“账户不锁定”文本框中输入无效登录的次数，例如3，则表示3次无效登录后，锁定登录所使用的账户。 建议启用该策略，并设置为至少3次，以避免非法用户登录。 （2）账户锁定时间 该安全设置确定锁定的账户在自动解锁前保持锁定状态的分钟数。有效范围从0~ 99 999分钟。如果将账户锁定时间设置为0，那么在管理员明确将其解锁前，该账户将被锁定。

如果定义了账户锁定阈值，则账户锁定时间必须大于或等于重置时间。 打开“账户锁定时间”的属性对话框，选中“定义这个策略设置”复选框，在“账户锁定时间”文本框中输入账户锁定时间，例如30，则表示账户被锁定的时间为30分钟，30分钟后方可使用再次使用被锁定的账户。 默认值为无，因为只有当指定了账户锁定阈值时，该策略设置才有意义。 （3）复位账户锁定计数器 该安全设置确定在登录尝试失败计数器被复位为0（即0次失败登录尝试）之前，尝试登录失败之后所需的分钟数，有效范围为1~99 999分钟之间。 如果定义了账户锁定阈值，则该复位时间必须小于或等于账户锁定时间。 打开“复位账户锁定计数器”的属性对话框，选中“定义这个策略设置”复选框，在“复位账户锁定计数器”文本框中输入账户锁定复位的时间，例如30，表示30分钟后复位被锁定的账户。 只有当指定了账户锁定阈值时，该策略设置才有意义。

wnowserver文件服务器搭建完整版

w n o w s e r v e r文件服务 器搭建 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】

W i n2008----文件服务器一．项目概况 小明是一家从事信息技术的台资企业的网管，公司有总经理办公室，人事部，财务部，技术部等部门，共计员工150位，所用客户机均为xp系统，为方便公司电子办公，提高效率，公司需要搭建一台文件服务器，用于上传和下载公司部门资料。 二．实施任务描述 注意：接下来做的全部在域环境下的。由于没有强烈要求。所以在这里我就直接在域环境下做了。 1）建立各部门相对应的用户组。建立各部门用户组，为各部门用户建立相应的账号（每个部门至少两个账号：一名经 理与一名普通话员工）并添加到所在的部门组。 在ad用户和计算机里面创建ou。为总经理。 部门创建好了，接下来在ou里面创建两个用户和本地域组。 这里为什么选择本地域组呢？因为有些权限本地域才可以达到。 本地域组创建好后，把经理和普通用户加入到本地域组。 组和用户都已经创建好。 两个用户已经被添加到本地域组了。建立其它部门的用户和组在这里我就不截图了。步骤同上。 2）密码至少6位及为复杂密码。 开始---管理工具—组策略管理---找到相应的域。 打开组策略编辑器。

密码策略更改好了。需要刷新下策略。Gpupdate。 3）实现所有用户的工作环境与管理员相同。这里需要首先在文件服务器里面打开c盘，用户下面，到对话框的上面点 查看,工具，文件夹选项。显示隐藏文件夹。会出现一个 default文件夹。把里面的文件全部删除。这时候把用户 下面的administrator文件夹里面的文件全部复制到 default文件夹里（注意：这时候肯定复制不了。因为 administrator里面的配置文件正在被管理员使用，这时 我们得把部门里面的用户加入到到本地管理员组里面，让 他有权限复制和登录。 这是用于进去要复制东西。不然就不用加入管理员组。直接可以在组策略里设置允许交互式登录。（这是在域环境下。如果在工作组下面就不用这么麻烦了。） 用jingli用户登录。把c盘用户下的administrator里的文件全部复制到default里面。（首先要把default里的文件删除掉。意思就是把原先的配置文件删掉。把管理员的配置文件复制进来。 现在就是已经把管理员里的文件全部复制到default里面了。接下来用别的用户登录。就可以实现和管理员在同一环境了。 拓展：允许交互式登录方法 在这里也需要把管理员组添加进来。不然不可以操作。 现在我们就用人事部经理来登陆下。看登录是不是和管理员环境一样。（但是为了效果明显，还是把用户加入到管理员组。）

操作系统的安全策略基本配置原则

操作系统的安全策略基 本配置原则 集团企业公司编码：（LL3698-KKI1269-TM2483-LUI12689-ITT289-

操作系统的安全策略基本配置原则安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务(3)关闭不必要的端口,(4)开启审核策略(5)开启密码策略,(6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1操作系统安全策略 利用Windows2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认的情况下,这些策略都是没有开启的. 2关闭不必要的服务 Windows2000的TerminalServices(终端服务)和IIS(Internet信息服务)等都可能给系统带来安全漏洞.为了能够在远程方便的管理服务器,

很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务. 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务.要留意服务器上开启的所有服务并每天检查.Windows2000可禁用的服务服务名说明 ComputerBrowser维护网络上计算机的最新列表以及提供这个列表Taskscheduler允许程序在指定时间运行RoutingandRemoteAccess在局域网以及广域网环境中为企业提供路由服务Removablestorage管理可移动媒体,驱动程序和库RemoteRegistryService允许远程注册表操作PrintSpooler将文件加载到内存中以便以后打印.要用打印机的用户不能禁用这项服务IPSECPolicyAgent管理IP安全策略以及启动 ISAKMP/Oakley(IKE)和IP安全驱动程序DistributedLinkTrackingClient当文件在网络域的NTFS卷中移动时发送通知Com+EventSystem提供事件的自动发布到订阅COM组件。 3关闭不必要的端口 关闭端口意味着减少功能,如果服务器安装在防火墙的后面,被入侵的机会就会少一些,但是不可以认为高枕无忧了.用端口扫描器扫描系统

文件服务器搭建

文件系统管理 在文件系统管理中，Windows Server 2003 R2提供了丰富而且非常重要的各种管理功能，如文件夹共享及共享权限、NTFS安全访问权限、DFS（分布式文件系统）和EFS（加密文件系统）等。文件夹共享权限和NTFS文件访问权限不仅关系到用户对象的实际文件操作权限，还关系到整个网络系统的安全，特别是NTFS文件访问权限，它涉及到了Windows Server 2003域管理的各个方面。它是本章的重点与难点。 另外，在Windows Server 2003中，文件资源的管理通常是通过文件服务器管理器来集中管理的。本章也将介绍文件服务器的安装与使用。 DFS为网络中文件资源的共享和管理提供了极大的便利，在一些较大的企业域网络中应用非常广泛。这也是本章的重点之一。 因为EFS技术和应用已在本系列丛书《网管员必读——网络安全》（第2版）一书中有详细介绍，故在此不再赘述。 本章重点 文件服务器的主要功能与安装 共享文件夹的创建与权限配置 在文件服务器上管理共享文件夹、共享会话和打开的共享文件 NTFS文件和文件夹访问权限及配置 DFS的主要特性 DFS配置与管理（包括DFS根目录、DFS根目标、DFS链接、DFS目标） 5.1.1 文件服务器的主要功能 5.1 文件服务器的配置 在Windows Server 2003系统的文件系统中，引入了许多新的或改进特性，如DFS（分布式文件系统）、EFS（加密文件系统）、共享文件夹的卷影副本、远程文档共享、SAN技术支持等。具体参见本书的第1章相关内容。 5.1.1 文件服务器的主要功能 在企业网络中，为了有效地进行各项文件管理功能，通常是把一台运行Windows Server 2003系统的成员服务器配置成"文件服务器"（并非一定是域控制器）。文件服务器提供网络上的中心位置，可供存储文件并通过网络与用户共享文件。当用户需要重要文件（如项目计划）时，他们可以访问文件服务器上的文件，而不必在各自独立的计算机之间传送文件。如果网络用户需要对相同文件和可通过网络访问的应用程序访问权限，就要将该计算机配置为文件服务器。 默认情况下，文件服务器角色安装有下列功能。 1．文件服务器管理 文件服务器管理控制台为管理文件服务器提供集中的工具。使用文件服务器管理，可以创建和管理共享，设置配额限制，创建存储利用情况报告，将数据复制到文件服务器和从文件服务器中复制数据，管理存储区域网络（SAN），以及与UNIX和Macintosh系统共享文件。 2．存储报告 使用存储报告，可以分析服务器上的磁盘空间是如何使用的。例如，可以生成识别重复文件的按需或计划报告。然后删除这些复制文件以便回收磁盘空间。 3．配额和文件屏蔽 使用配额，可以限制卷或文件夹子树大小。可以将Windows配置为在达到配额限制时通知您。使用文件屏蔽，可以防止某些类型的文件被保存到文件夹或卷。文件屏蔽有助于确保用户不在服务器上保存某些可能导致用户违反知识产权法的非关键性数据和文件。 4．DFS管理