金牌網(wǎng)管師初級中小型企業(yè)網(wǎng)絡(luò)組建配置與管理筆記整理

1、第1章 中小企業(yè)網(wǎng)絡(luò)特點(diǎn)為和管理技能要求網(wǎng)絡(luò)基礎(chǔ)知識：計(jì)算機(jī)網(wǎng)絡(luò)的概念、基本組成和主要應(yīng)用主要以太局域網(wǎng)拓?fù)浣Y(jié)構(gòu)類型及各自的主要優(yōu)缺點(diǎn)OSI/RM分層結(jié)構(gòu)、各層的主要功能和工作原理LAN/R帕層結(jié)構(gòu)、各層的主要功能和工作原理主要以太網(wǎng)標(biāo)準(zhǔn)特性及各自的物理層、MAC?層結(jié)構(gòu)和幀格式主要WLANS準(zhǔn)及幀格式CSMA CSMA/CD CSMA/CA勺工作原理和應(yīng)用數(shù)據(jù)通信基本模型主要數(shù)據(jù)傳輸技術(shù)和原理主要數(shù)制類型和相互轉(zhuǎn)換方法主要數(shù)字編碼方式和計(jì)算IPV4和IPV6協(xié)議的主要功能、數(shù)據(jù)包格式IPV4和IPV6的地址類型及配置方法IPV4協(xié)議子網(wǎng)劃分與聚合計(jì)算方法TCP協(xié)議的主要特點(diǎn)和分段格式TCP協(xié)

2、議的主要特點(diǎn)和分段格式TCP連接的建立與釋放原理UDP HTTP ARP PPP等覺通信協(xié)議的基本工作原理和包（幀）格式交換機(jī)、路由器和防火墻技術(shù)VLAN STR RSTP MST VTP等設(shè)備的技術(shù)原理和應(yīng)用其他網(wǎng)絡(luò)基礎(chǔ)知識需求第2章 雙絞網(wǎng)絡(luò)和信息模塊的制作在6類和6a類的連接器也是RJ-45,與5類和5e （超5類）類的差別：一是除了 主體的拔插接頭外，還有一個(gè)分線器的附件，用于固定8根芯線的位置；二是6類和6a類雙絞線的RJ-45連接器的銅片更粗、更光滑，用于提高接觸性能。千兆以太網(wǎng)排線順序可以任意，但是兩端得一樣國際影響力的三家綜合布線標(biāo)準(zhǔn)發(fā)布組織是：ANSI （American N

3、ational Standard Institute,美國國家標(biāo)準(zhǔn)化組織）TIA （Telecommunication Industry Association,電信工業(yè)協(xié)會(huì)）EIA （Electronic Industries Alliance,電信工業(yè)協(xié)會(huì)）EIA/TIA-568A的排列序列：白綠、綠、白橙、藍(lán)、白藍(lán)、橙、白棕、棕EIA/TIA-568B的排列序列：白橙、橙、白綠、藍(lán)、白藍(lán)、綠、白棕、棕實(shí)際用到的只有4根傳輸，即1、2、3、6雙絞線分為直通網(wǎng)線和交叉網(wǎng)線，直通網(wǎng)絡(luò)即水晶頭兩端排列順序一樣直通線連接不同網(wǎng)絡(luò)設(shè)備間的連接，交叉線用于同種設(shè)備的連接如果是直通雙絞線網(wǎng)絡(luò)的測試，正常

4、情況下，測試儀的4個(gè)指示燈為綠色并從上至下依次閃過。如果有提示燈為黃色或紅色，則證明相應(yīng)引腳的網(wǎng)線制作不良第3章有線工作網(wǎng)絡(luò)組建與配置網(wǎng)絡(luò)工作組的主要特點(diǎn)：工作組主機(jī)間是平等的管理和安全邊界為各成員計(jì)算機(jī)采用NetBIOS名稱解析在一個(gè)工作組網(wǎng)絡(luò)中可以有多個(gè)工作組不同工作組是可以相互訪問的工作組優(yōu)缺點(diǎn)安全管理簡單（優(yōu)點(diǎn)）網(wǎng)絡(luò)性能比較高（優(yōu)點(diǎn)）網(wǎng)絡(luò)管理不方便（缺點(diǎn)）網(wǎng)絡(luò)公共應(yīng)用配置比較煩瑣（缺點(diǎn)）域是一種基于對象（用戶、組、計(jì)算機(jī)等賬戶都是對象）和安全策略的分布式數(shù)據(jù)庫系統(tǒng)域網(wǎng)絡(luò)最大的特點(diǎn)就是可以實(shí)現(xiàn)用戶、計(jì)算機(jī)等對象賬戶，以及網(wǎng)絡(luò)安全策略的集中管理和部署活動(dòng)目錄數(shù)據(jù)庫中包括了 3個(gè)表格：sch

5、ema表（包含了所有可以在活動(dòng)目錄中創(chuàng)建的對象信息以及他們之間的相互關(guān)系，包括各種類型對象的可選及不可選的各種屬性）、link表（包含所有屬性的關(guān)聯(lián)，包括活動(dòng)目錄中所有對象的屬性的值）、data表（活動(dòng)目錄中用戶、組、應(yīng)用程序的特殊數(shù)據(jù)和其他的數(shù)據(jù)全部保存在DATA表）域網(wǎng)絡(luò)的主要特點(diǎn)：集中管理多級賬戶和安全策略組策略的應(yīng)用順序是：本地組策略-站點(diǎn)組策略-域組策略-組織單位（OU組策略-了 OU組策略默認(rèn)信任集中存儲單點(diǎn)登錄采用DNS軍析協(xié)議支持漫游配置域網(wǎng)絡(luò)的主要優(yōu)缺點(diǎn)：管理更方便（優(yōu)點(diǎn)）安全性更高（優(yōu)點(diǎn)） 網(wǎng)絡(luò)訪問更方便（優(yōu)點(diǎn)）需要專門的高性能服務(wù)器（缺點(diǎn)）安全配置更復(fù)雜（缺點(diǎn)）網(wǎng)絡(luò)性能較

6、低（缺點(diǎn)）工作組與域的先把主要考慮以下幾個(gè)方面：安全策略的復(fù)雜性有無全局、集中管理需求有無基于活動(dòng)目錄的應(yīng)用與管理需求首要考慮netsh工具配置 windows系統(tǒng)的TCP/IP協(xié)議netsh interface ip set /?查看該命令的主要參數(shù)及對應(yīng)功能的幫助說明配置IP地址。設(shè)置接口 IP地址的命令格式如下：Netsh interface ip set address name=InterfaceName source=dhcp | staticaddr=ipaddress mask=subnetmaskgateway=none|defaultgatewaygwmetric=gate

7、waymetric下面是各命令參數(shù)的說明name=InterfaceName為必需配置項(xiàng)，指定要配置其地址和網(wǎng)關(guān)信息的接口名稱。InterfaceName參數(shù)必0K與圖3-1所示“網(wǎng)絡(luò)連接”窗口中對應(yīng)的接口名稱匹配。如果InterfaceName 含有空格，則請將文本置于引號之中（例如“InterfaceName 1 ”）source=dhcp | static addr=ipaddress mask=subnetmaskgateway=none|defaultgatewaygwmetric=auto|gatewaymetric為必需配置項(xiàng)，指定是通過DHCFW務(wù)器配置IP地址，還是使用靜態(tài)I

8、P地址。如果使用靜態(tài)地址，那么IPAddress將指定要配置的地址，而 subnetmask將指定所配置 IP地址的子網(wǎng)掩碼。如果使用靜態(tài)地址，那么還必須同時(shí)指定是保留當(dāng)前默認(rèn)的網(wǎng) 關(guān)（如果有），還是為該地址配置一個(gè)網(wǎng)關(guān)。如果配置默認(rèn)網(wǎng)關(guān)，則利用 DefaultGateway 變量指定要配置的默認(rèn)網(wǎng)關(guān)的IP地址，而gatewaymetric 指定要配置的默認(rèn)網(wǎng)關(guān)的躍點(diǎn)數(shù)（通常都是 0,指的是網(wǎng)關(guān)與接口處于同一網(wǎng)段），也可以先 把自動(dòng)獲得方式；如果不配置網(wǎng)關(guān)，則選擇 none選項(xiàng)。如要為“本地連接”配置采 用DHCP艮務(wù)器分配的IP地址，則鍵入以下命令： Netsh interface ipse

9、t address name=本地連接 sourcd=dhcp如果為“本地連接”N注：如果是靜態(tài)IP地址配置，則必須要同時(shí)為addr、mask、gateway和gwmetric關(guān)鍵字指定設(shè)置，不能遺漏，否則會(huì)不能成功配置。接口名，如果中間沒有空格，則可以不用引號括住（當(dāng)然也可以用引號括?。绻Q中包括了空格，則一定要用引號括住。另外，在命令格式中，等號（ =）兩端不要留空格，而在各關(guān)鍵詞前 面要有空格。DNSI艮務(wù)器地址的命令格式為：Netsh interface ip set dns name=InterfaceNamesource=dhcp | static addr=dnsaddr

10、ess|noneregister=none|primary|bothname=InterfaceName 為必需配置項(xiàng)，指定要設(shè)置其DNS言息的接口的名稱。InterfaceName參數(shù)必0K與圖3-1所示“網(wǎng)絡(luò)連接”窗口中指定的的接口名稱匹配。如果InterfaceName 含有空格，則請將文本置于引號之中 （例如“ InterfaceName 1”） source=dhcp | static addr=dnsaddress |none為必需配置項(xiàng)，指定 DNS服務(wù)器的IP地址是通過DHCPE置的還是為靜態(tài)地址。如果是靜態(tài)IP地址，則用DNSaddress變量指定要配置的 DNS服務(wù)器的IP

11、地址，如果先把none選項(xiàng)，則指定 刪除的DNSffi置。register=none|primary|both為可選配置項(xiàng)，指定計(jì)算機(jī)注冊方式。如果選擇none選項(xiàng)，則表示該計(jì)算機(jī)禁用動(dòng)態(tài) DNSft冊完整的計(jì)算機(jī)名；如果選擇 primary 選項(xiàng)，則指定只在主 DNS服務(wù)器后綴下注冊完整的計(jì)算機(jī)名；如果選擇 both選項(xiàng)， 則同時(shí)在主DNSffi其他指定DNS服務(wù)器后綴下注冊完整的計(jì)算機(jī)名。自動(dòng)獲得 DNS入的命令：netsh interface ip set dns name4地連接 source=dhcp 為接口配置多個(gè)IP地址：Netsh interface ip add addres

12、s name=InterfaceName addr=ipaddress mask=subnetmask gateway=defaultgatewaygwmetric=gatewaymetricN刪除IP地址Netsh interface ip delete address name=InterfaceName addr=ipaddress gateway=defaultgateway|allAll選項(xiàng)表示刪除所有默認(rèn)網(wǎng)關(guān)，只想刪除一個(gè)默認(rèn)網(wǎng)關(guān)，則 Defaultgateway變量 將指定要?jiǎng)h除的默認(rèn)網(wǎng)關(guān)的IP地址N添加DNS服務(wù)器地址Netsh interface ip add dns nam

13、e=InterfaceName addr=dnsaddressindex=dnsindexDnsindex是用來指定添加的DNS1務(wù)器地址接口中的 DNS服務(wù)器列表的位置。N刪除DNS服務(wù)器地址：Netsh interface ip delete dns name=InterfaceName addr=dnsaddress|allAll表示用來刪除所有DNS服務(wù)器地址利用netsh工具導(dǎo)出/導(dǎo)入IP配置導(dǎo)出格式：netsh - c interface ip dump腳本文件路徑和文件名導(dǎo)入格式：netsh - f設(shè)置腳本文件工作組名稱是NetBIOS名稱，最多只能是15個(gè)數(shù)字、字符，或者 7個(gè)

14、純漢字。強(qiáng)制某臺機(jī)器為主瀏覽器的方法：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesbrowserparameters注冊表位置上將isdonainmaster 鍵值改為True如果想讓某臺機(jī)器永遠(yuǎn)不能成為主瀏覽器：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesbrowserparameters 注冊表位置上將maintainserverlist鍵值改為no ,止匕時(shí)COMPUTER BROWSER也將無法啟動(dòng)網(wǎng)上鄰居正常工作的必要條件：客戶機(jī)要配置了用于名稱解析的NetBIOS協(xié)議。一般情

15、況下 TCP/IP協(xié)議就內(nèi)置并且啟動(dòng)了 NetBIOS協(xié)議客戶端啟用了 “ microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享”服務(wù)網(wǎng)絡(luò)中至少有一臺機(jī)器啟動(dòng)了計(jì)算機(jī)瀏覽( Computer Browser)服務(wù)。要看 網(wǎng)絡(luò)中是否有瀏覽器主機(jī)，nbtstat -a連接網(wǎng)絡(luò)的網(wǎng)卡IP地址命令實(shí)現(xiàn)，主瀏 覽器的標(biāo)識是含有_msbrowse_這樣的標(biāo)識啟動(dòng)workstation 或server月艮務(wù)造成“網(wǎng)上鄰居”訪問不成功的原因?qū)Ψ接?jì)算機(jī)上的防火墻阻止了。137端口在局域網(wǎng)中提供計(jì)算機(jī)的名字或IP地址查詢服務(wù)，一般安裝了NETBIO附議后，該端口會(huì)自動(dòng)處于開放狀態(tài)。138端口是為NETBIOS datagra

16、m Service(netbios數(shù)據(jù)報(bào)服務(wù))提供的，主要作用就是提供netbios環(huán)境下計(jì)算機(jī)名瀏覽功能，也就是 browser服務(wù)有關(guān)。139端口是為 netbios session service（netbios會(huì)話月艮務(wù)）提供的， 主要用于提供 windows文件和打印機(jī)共享以及 unix中的samba服務(wù)。445端口，也是提花局域網(wǎng)中文件 或打印機(jī)共享服務(wù)組策略限制了。IP安全策略中主要看是否限制了上面介紹的這些網(wǎng)上鄰居訪問端口的通信。經(jīng)典訪問模式中，需要訪問者在對方計(jì)算機(jī)上有合法的用戶賬戶才能訪問對方的共享資源，需要經(jīng)過明確的身份驗(yàn)證；而來賓模式則用戶訪問時(shí)是以 來來賓guest賬

17、戶進(jìn)行身份驗(yàn)證，澡需要輸入賬戶和密碼（前提是啟用來賓用戶）。如果把windows XP或以后 版本系統(tǒng)中的guest賬戶也像以前系統(tǒng)那樣放進(jìn) everyone組中，享受同樣的權(quán)限，那就是組策略中的“讓每個(gè)人的權(quán)限應(yīng)用 于匿名用戶”策略。空密碼賬戶的訪問限制-使用空白密碼的用戶只允許進(jìn)行控制臺登錄。從網(wǎng)絡(luò)上訪問此計(jì)算機(jī)，拒絕從網(wǎng)絡(luò)上訪問此計(jì)算機(jī)用戶的共享文件夾權(quán)限和 NTFSt件訪問權(quán)限限制了工作組網(wǎng)絡(luò)用戶訪問域網(wǎng)絡(luò)用戶。工作組網(wǎng)絡(luò)用戶無法訪問域網(wǎng)絡(luò)中的計(jì)算機(jī)。反過來域網(wǎng)絡(luò)用戶訪問工作組網(wǎng)絡(luò)用戶則可以桌面或者“開始”菜單上沒有“網(wǎng)上鄰居”快捷項(xiàng)要在桌面上顯示“網(wǎng)上鄰居”，只需要在桌面的空白處右擊

18、，選屬性一桌面一自定義桌面開始菜單中顯示“網(wǎng)上鄰居”快捷鍵，只需在狀態(tài)欄的空白處右擊，屬性一一【開始】菜單一一自定義一一高級一一網(wǎng)上鄰居復(fù)選框一一確定在“網(wǎng)上鄰居”中沒有“整個(gè)網(wǎng)絡(luò)”1）HKEY_CURRENT_USERSSoftwareMicrosoftWindowsCurrentVersionPolicies Network位置，查看是否有一個(gè)名為 noentirenetwork 的dword鍵項(xiàng)，如果有將其值設(shè)為0,沒有就新建2）HKEY_CURRENT_USERSSoftwareMicrosoftWindowsCurrentVersionPoliciesexplores 位置看一下是否

19、有 noentirenetwork 的DWORD項(xiàng)，值改為03）HKEY_CURRENT_USERSSoftwareMicrosoftWindowsCurrentVersionPolicies explores 位置下新建一個(gè)nonethood的dword鍵項(xiàng)，將其值設(shè)為0即可取消“網(wǎng) 上鄰居”在桌面和菜單中的顯示。以上是針對當(dāng)前用戶的設(shè)備，如果想要使計(jì)算 機(jī)上的所有用戶都采用以上設(shè)置，則需要在 hey_users.defaultsoftwaremicrosoftwindowscurrentversionpolicies network(或explorer) 位置查看地是否有 noentire

20、network 鍵項(xiàng)，如果沒有則新 建 network( 或 explorer) 主鍵，然后再新建 noentirenetwork 雙字節(jié)鍵項(xiàng)，并將 其設(shè)置為0.網(wǎng)上鄰居中可以看到自己，卻看不到其他聯(lián)網(wǎng)的計(jì)算機(jī)從以下幾個(gè)方面找原因查看網(wǎng)絡(luò)中是否只有這一臺計(jì)算機(jī)存在這種問題：如果只有個(gè)別計(jì)算機(jī)存在這種問題，則可以肯定的是與其他計(jì)算機(jī)無關(guān)，只與本機(jī)軟件配置和相連接網(wǎng)卡、網(wǎng)線、集線器等設(shè)備端口有關(guān)確定屬于本機(jī)或與有關(guān)的硬件故障有關(guān)后，先排除自身的軟件配置問題。在此還要特別提醒各位以下幾點(diǎn)：查看所有計(jì)算機(jī)IP地址是否都配置在同一網(wǎng)段上在網(wǎng)絡(luò)組件中是否安裝了 “網(wǎng)絡(luò)客戶”選項(xiàng)在“服務(wù)”控制臺中檢查計(jì)算機(jī)

21、是否已啟動(dòng)了computer browser service 服務(wù)如果軟件配置沒問題，則需要進(jìn)一確認(rèn)硬件部分所存在的問題了。用ping.exe命令Ping其它主機(jī)的IP地址，檢查其他計(jì)算機(jī)連接速度是否正檢查網(wǎng)卡狀態(tài)指示燈是否閃爍檢查集線器上的端口和其他計(jì)算機(jī)端口的指示燈是否正常如果還懷疑其它計(jì)算機(jī)有軟件配置或硬件故障，則可進(jìn)一步檢查在網(wǎng)上鄰居中可以看到其它機(jī)器，卻看不到自己沒有正常啟動(dòng) server（服務(wù)器）服務(wù)，還要檢查下 computer browser , net logon服 務(wù)當(dāng)雙擊訪問“網(wǎng)上鄰居”中的“整個(gè)網(wǎng)絡(luò)”時(shí)彈出如下錯(cuò)誤提示“無法瀏覽網(wǎng)絡(luò)。網(wǎng)絡(luò)末連接或啟動(dòng)”，這是因?yàn)閣ork

22、station 服務(wù)沒有啟動(dòng)，相關(guān)聯(lián)是 computer browser service 、net 10gom已啟用guest賬戶，仍不能訪問“網(wǎng)上鄰居”中的其他計(jì)算機(jī)如果要使用guest用戶訪問windows XP系統(tǒng)，則要進(jìn)行上面的3個(gè)設(shè)置：啟用guest 賬戶；修改安全策略允許 guest從網(wǎng)絡(luò)訪問（在本地組策略中的“用戶權(quán)利指派” 項(xiàng)下的“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”選項(xiàng)中添加guest賬戶，但一定不要在“拒絕從網(wǎng)絡(luò)訪問這臺計(jì)算機(jī)”選項(xiàng)中有 guest賬戶；在“網(wǎng)絡(luò)安全”項(xiàng)下啟用是“讓每個(gè)人 權(quán)限應(yīng)用于匿名用戶”選項(xiàng)），禁用“安全選項(xiàng)”中的“賬戶：使用空密碼用戶只能 進(jìn)行控制臺登錄”安全策略，

23、或者給 guest加個(gè)密碼網(wǎng)絡(luò)訪問windows xp系統(tǒng)主機(jī)的時(shí)候，總是出現(xiàn)輸入用戶名進(jìn)行身份驗(yàn)證的對話杠，或者登錄圣誕在框中的用戶是灰的，始終以 guest用戶訪問，不能輸入別的 用戶賬號，為什么本地安全策略中的“安全選項(xiàng)”項(xiàng)下的“網(wǎng)絡(luò)訪問：本地賬戶的共享和安全模式” 中，如果是“僅來賓模式，這樣就固定為 guest賬戶，如果是經(jīng)典模式，就要輸入 用戶名與密碼最簡單的解決辦法就是：不用啟用 guest賬戶，僅修改上面安全策略為“經(jīng)典”模式即可，別的系統(tǒng)訪問 xp時(shí)只需要輸入有效的本地賬戶即可，這樣更安全，但有時(shí)顯示比較麻煩第4章WLANE線網(wǎng)絡(luò)連接配置在 WLAN3,有兩種連接方式，采用

24、DCFDistributedcoordination function,分布式協(xié)調(diào)功能）機(jī)制無中心控制設(shè)備的點(diǎn)對點(diǎn) Ad Hoc（是一種拉丁語）結(jié)構(gòu)WLAN 網(wǎng)絡(luò)和采用 PCF （point coordination function, 點(diǎn)調(diào)功能）機(jī)制有中心控制設(shè)備（如 WLAN AP的點(diǎn)對多點(diǎn)infrastructure 結(jié)構(gòu)wlan網(wǎng)絡(luò)AD hoc WLAN網(wǎng)絡(luò)中，只需在計(jì)算機(jī)上的 WLA啊上中進(jìn)行 WLANE線連接和用戶訪問身份驗(yàn)證配置，基本配置如下：SSID（Service set identifier,服務(wù)集合標(biāo)識符）安全訪問微分驗(yàn)證方式WLA啊絡(luò)類型通常采用1、6、11, 2, 7

25、、12, 3、8、13這3個(gè)信道組合，否則就會(huì)有重疊。注意不能與同一無線網(wǎng)絡(luò)中的其他AP所設(shè)置的信道重復(fù)。第5章共享上網(wǎng)方案與配置最簡單上網(wǎng)方案就是利用微軟 windows2000以后版本系統(tǒng)中推出的ICS （internet connection sharing,internet連接共享）方式，但在部署 ICS共享上網(wǎng)之前需要注意以下幾點(diǎn)：如果網(wǎng)絡(luò)中已有DHCPI艮務(wù)器，而且已采用該 DHCP艮務(wù)器自動(dòng)分配IP地址，則要禁 用該DHCPR務(wù)器。因?yàn)榘惭bICS后，也會(huì)提供DHCPI艮務(wù)，而且網(wǎng)絡(luò)中的ICS客戶 機(jī)均必須采用ICS自帶的DHCPE務(wù)獲得IP地址，否則就會(huì)發(fā)生沖突如果網(wǎng)絡(luò)中已安裝了

26、其他共享上網(wǎng)應(yīng)用軟件，如sygate/wingate/ccproxy 等，則要卸載它們，因?yàn)檫@些應(yīng)用程序安裝后會(huì)控制計(jì)算機(jī)上安裝的網(wǎng)卡，而在安裝ICS后也要控制你的計(jì)算機(jī)網(wǎng)上，不卸載那些應(yīng)用軟件，就會(huì)發(fā)生網(wǎng)上控制沖突問題如果公司是采用ADS此類需要安裝接入終端設(shè)備的互聯(lián)網(wǎng)接入方式，則采用ICS共 享上網(wǎng)時(shí)，在ICS服務(wù)器端要安裝兩塊網(wǎng)卡ICS共享上網(wǎng)方式性能也不是很好，一般公用于20臺機(jī)器以內(nèi)的網(wǎng)絡(luò)先把使用，畢竟采用的是軟件 NAT技術(shù)。一個(gè)最大的優(yōu)點(diǎn)：配置簡單，配置成功后不會(huì)對任何應(yīng)用進(jìn)行限制，所有互聯(lián)網(wǎng)應(yīng)用直接應(yīng)用即可，無須任何特別配置。ICS共享上網(wǎng)的設(shè)置通常不單獨(dú)手動(dòng)設(shè)置，而是通過運(yùn)行

27、“設(shè)置家庭或小型辦公網(wǎng)絡(luò)”向?qū)Вㄍǔ０阉Q為“ ICS設(shè)置向?qū)А保﹣磉M(jìn)行。（只適合小型網(wǎng)絡(luò)，一般僅用于 20 臺機(jī)器以內(nèi)）啟用ICS共享后自動(dòng)配置的項(xiàng)目自動(dòng)配置的項(xiàng)目項(xiàng)目操作說明自動(dòng)撥號功能已啟用靜態(tài)默認(rèn)IP路由建立撥號連接時(shí)創(chuàng)建Internet連接共享服務(wù)已啟動(dòng)DHC的配程序DNS弋理已啟用5、“設(shè)置家庭或小型辦公網(wǎng)絡(luò)”向?qū)гO(shè)置法需要分別在網(wǎng)絡(luò)中的每臺計(jì)算機(jī)上運(yùn)行。6、如果采用的是網(wǎng)絡(luò)安裝磁盤向?qū)н\(yùn)行方式，則可以直接雙擊網(wǎng)絡(luò)安裝磁盤（或者已復(fù)制 到硬盤中的）netsetup.exe 程序。7、如果先把電信的E家ADS電帶方案，則不能采用路由共享方式上網(wǎng)。 破解方式：像sniffer 之類的抓

28、包工具，在進(jìn)行 PPPoEB議包，sniffer 就會(huì)把加密前后的密碼都呈現(xiàn)在你面前， 這樣就可以獲得這個(gè)加密后的密碼了。8、一般半徑為50米以內(nèi)的區(qū)域中，只請?jiān)试S我有3個(gè)無線AP9、“開放系統(tǒng)”是指用戶端無須輸入密鑰，直接與無線網(wǎng)絡(luò)連接的方式，這種方式在較大的安全隱患，在企業(yè)網(wǎng)絡(luò)中通常不采用?！肮蚕砻荑€”方式則需要用戶端在進(jìn)行無線連接時(shí)輸入接入點(diǎn)預(yù)設(shè)的密鑰，只有正確輸入密鑰的用戶才能與無線接入點(diǎn)連接，確保了用戶的 合法性?！白詣?dòng)選擇”方式則是由路由器自動(dòng)為無線客戶端分配密鑰，出于安全考慮不宜先 把，特別是在企業(yè)網(wǎng)絡(luò)中10、代理服務(wù)器共享上網(wǎng)方式也要分別對服務(wù)器端和客戶端進(jìn)行配置11、中小型企

29、業(yè)網(wǎng)絡(luò)通常是對等網(wǎng)，所以不選擇NT服務(wù)，這樣就不會(huì)把這項(xiàng)代理服務(wù)當(dāng)作NT域中的一項(xiàng)服務(wù)，不會(huì)隨系統(tǒng)自動(dòng)啟動(dòng)、自動(dòng)運(yùn)行。對等網(wǎng)絡(luò)中通常也不需要DNS進(jìn)行名稱解析，所以也不要選擇“ DNS復(fù)選項(xiàng)。12、CCProxy默認(rèn)采用的 HTT的議端口為808 第6章域控制器的安裝、配置與管理如果是新安裝的 Windows Server 2003系統(tǒng)，而且沒做其他任務(wù)配置，則可直接安 裝第一臺服務(wù)器，否則需要滿足以下條件才能進(jìn)行：該計(jì)算機(jī)上運(yùn)行的不是 Windows Server 2003 Datacenter Edition 或 Windows Server2003 WEB Edition 版本系統(tǒng)已安裝

30、并配置網(wǎng)卡的 TCP/IP協(xié)議，并且要分配靜態(tài)IP地址計(jì)算機(jī)上必須至少有一個(gè) NTFS分區(qū)該計(jì)算機(jī)沒有加入到其他域中，當(dāng)然該計(jì)算機(jī)更不能已經(jīng)配置為域控制器在該計(jì)算機(jī)上沒有啟動(dòng)過“ Active Directory安裝向?qū)А?，沒有運(yùn)行“路由和遠(yuǎn)程訪問”服務(wù)，但配置域控制器后可重新配置和運(yùn)行“路由和遠(yuǎn)程訪問”服務(wù)該計(jì)算機(jī)上沒有證書頒發(fā)機(jī)構(gòu)（CA）,如果安裝了，要先卸載“證書服務(wù)”組件，但配置域控制后可以重新安裝“證書服務(wù)”組件，并配置成證書頒發(fā)機(jī)構(gòu)該計(jì)算機(jī)沒有配置為DN哪務(wù)器或DHCPI艮務(wù)器2.額外域控制器的作用提供服務(wù)器容錯(cuò)為現(xiàn)有域控制器提供負(fù)載均衡更易于用戶的連接和訪問額外域控制器的安裝有兩

31、種方式：在線安裝方式和離線安裝方式要進(jìn)行在線額外域控制器安裝，首先要把該臺成員服務(wù)器的DNq旨向當(dāng)前域網(wǎng)絡(luò)中的DNS!務(wù)器，當(dāng)然還得連接在域網(wǎng)絡(luò)中（但可以不事先加入域）安裝離線額外域控制器的兩大步驟：NTBACKUP.ex丈具從現(xiàn)有域控制器上獲得活動(dòng)目錄配置信息文件利用活動(dòng)目錄配置信息文件，通過高級Active Directory 安裝向?qū)瓿深~外域控制器的安裝Active Directory 配置信息文件是備份工具中System state（系統(tǒng)狀態(tài)）的一部分，整個(gè)System state 的內(nèi)容分為5部分：Active Directory（ 活動(dòng)目錄，主要是包括了 NTDS 這個(gè)數(shù)據(jù)庫文件

32、夾）、Boot Files（引導(dǎo)文件）、COM+Class Registration Database（ 組件類注冊數(shù)據(jù)庫）、Registry（注冊表）和SYSVOL系統(tǒng)卷）。離線方式安裝額外域控制器 時(shí)只需要 Active Directory 、Registry 和 SYSVOLE部分離線安裝額外域控制器：安裝、配置好DNS務(wù)器后，現(xiàn)在就可以使用dcpromo/adv 這個(gè)帶有高級參數(shù)的活動(dòng)目錄運(yùn)行向?qū)戆惭b額外域控制器了。重命名域控制器有一個(gè)前提條件，即該域的域功能級別設(shè)置必須為windows server2003重命名域名前的準(zhǔn)備：域控制器、域、林功能提升到windows server

33、2003重命名域的工具是Rendom.etx,操作系統(tǒng)安裝光盤上：Valueadd/Msft/Mgmt/domren 目錄上，網(wǎng)上下載的名稱為domainrename.exe （網(wǎng)上安裝后產(chǎn)生一個(gè)組策略修改工具gpfixup.exe ）重命名域方法如下：(1)先找到rendom.exe程序文件(2)在主域控制器、額外域控制器或者任意一臺成員服務(wù)器的命令提示符下輸入 rendom /list 命令，然后按回車。運(yùn)行成功后，會(huì)在該工具所在的文件夾下 產(chǎn)生一個(gè)名為domainlist.xml 文件，用記事本打開，進(jìn)行修改(3)輸入rendom /upload 命令。同時(shí)會(huì)產(chǎn)生一個(gè) dclist.xm

34、l 文件(4)輸入rendom /prepare命令。檢驗(yàn)是否已全部準(zhǔn)備好(如果出錯(cuò)可用rendom/end結(jié)束)(5) 輸入 rendom /execute 命令(6)到了這里有一些細(xì)節(jié)需要處理。(7)進(jìn)一步消除Active Directory 中的舊域名。在命令提示符下進(jìn)入rendom文件所在的目錄，輸入rendom/clean命令，按回車。最后修改域組策略(工具 gpfixup ) 0(8)在命令提示進(jìn)入這個(gè)目錄，鍵入 gpfixup /?命令，查看該命令格式和可用參 數(shù)(9) 具體的命令： gpfixup /olddns:lycb.local /newdns:lycb_gz.local

35、/oldnb:lycb /newnb:lycb_gz /dc:lycb-dc1.lycb_gz.local無法正常刪除，還是強(qiáng)制刪除，當(dāng)域控制器上安裝了 “證書”服務(wù)時(shí)，不能刪除域控制器，必須先卸載證書服務(wù)組件。另外 ，如果域控制器是某個(gè)服務(wù)器群集的節(jié)點(diǎn)之 一，也不能刪除域控制器，得先通過群集管理器把該服務(wù)器從群集中退出。也不能成功 退出，則可使用以下命令從群集中清除該服務(wù)器節(jié)點(diǎn)：cluster node節(jié)點(diǎn)服務(wù)器名稱/forcecleanup配置全局控制器為全局編錄角色的方法是在：Active Directory 站點(diǎn)和服務(wù)”管理單元控制臺中 Default-First-Site 下面的se

36、rver節(jié)點(diǎn)下單擊選擇相應(yīng)的域控制器， 然后在右側(cè)窗格中的 NTDS Settings項(xiàng)上右擊，在“常規(guī)”選項(xiàng)卡中選擇“全局編錄”復(fù)選項(xiàng)強(qiáng)制刪除方式包括兩個(gè)主要步驟：一是利用dcpromo /forceremoval強(qiáng)制刪除命令強(qiáng)制刪除域控制器上的活動(dòng)目錄；二是利用ntdsutil工具命令清除域網(wǎng)絡(luò)中這臺已被刪除的域控制器的相關(guān)信息具體清除Active Directory元數(shù)據(jù)的步驟如下：1、命令符下輸入ntdsutil命令，然后在ntdsutil提示符下輸入”，用來 清理Active Directory元數(shù)據(jù)的子命令是 metadata cleanup2、在 metadata cleanup

37、命令，按回車進(jìn)入 metadata cleanup 命令執(zhí)行環(huán)境， 準(zhǔn)備清除已強(qiáng)制刪除的域控制器上不再使用的Active Directory 數(shù)據(jù)3、metadata cleanup提示符下輸入“？ ”，首先用到的是 connections 子命令， 連接到要清除元數(shù)據(jù)的對象4、metadata cleanup 提示符下輸入 connections 命令，按回車進(jìn)入 connections 命令執(zhí)行環(huán)境。然后再在server connections 提示符下輸入”5、在 server connections 提示符下輸入 connect to server lycb-dc2 命令， 綁定連接到

38、要清除元數(shù)據(jù)的那臺降級了的域控制器6、再在server connections提示符下輸入 quit ,退回到上級的 metadatacleanup命令環(huán)境，正式對lycb-dc2服務(wù)器上的元數(shù)據(jù)進(jìn)行清除工作。注意：對 象的定位是遵循從大到小規(guī)則的，先查找清理對象所在的站點(diǎn)，再在站點(diǎn)中找到 對應(yīng)的域，最終在域中找到對應(yīng)的服務(wù)器7、在 metadata cleanup 提示符下輸入 Select operation target 命令，進(jìn)入 Select operation target命令操作環(huán)境。8、在Select operation target 中輸入list sites 命令，查看當(dāng)前

39、網(wǎng)絡(luò)中的 所有站點(diǎn)，看要清理的對象在哪個(gè)站點(diǎn)上9、在 Select operation target 輸入 listdomain in site 命令，查看各站點(diǎn)中所有的域10、在 Select operation target提示符下輸入 select domain 0 命令，鎖定對應(yīng)的域11、在 Select operation target輸入 list server for domain insite 命令，查看上次鎖定的域中的所有控制器序號12、在 Select operation target提示符下輸入 select server 1 命令，鎖定要清理的服務(wù)器13、在 Selec

40、t operation target提示符下輸入 quit 命令，退出 Selectoperation target定位命令環(huán)境，因?yàn)橐謇碓獢?shù)據(jù)的服務(wù)器已最終鎖定14、在 metadata cleanup 提示符下輸入 remove selected server 命令，對鎖 定的服務(wù)器執(zhí)行正式的元數(shù)據(jù)清理工作。15、在“Active Directory用戶和計(jì)算機(jī)”管理單元控制臺的 DomainControllers 容器下刪除該域控制器。在SP2版本中，這里的刪除不是那么簡單， 不能像以前版本那樣直接刪除。在彈出框中要選擇：“這臺域控制器永遠(yuǎn)為脫機(jī)并且不能再用Active Directo

41、ry安裝向?qū)В―CPROMO等其降級”單選項(xiàng)。第7章DNS和DHC用艮務(wù)器安裝、配置與管理存根區(qū)域與輔助區(qū)域不同同時(shí)創(chuàng)建相同的區(qū)域名顧要區(qū)域和輔助區(qū)域有類似之處，都要從對應(yīng)區(qū)域的主要區(qū)域的DNSI艮務(wù)器上復(fù)制數(shù)據(jù)。不同之處在于，輔助區(qū)域復(fù)制區(qū)域中的所有記錄，但存根區(qū)域只復(fù)制區(qū)域的SOA（起始授權(quán)機(jī)構(gòu)）記錄、NS （名稱服務(wù)器）記錄和解析 NS記錄的A記錄（主機(jī)地址記錄）區(qū)域創(chuàng)建原則可以劃分主DNSI艮務(wù)器和輔助DNS服務(wù)器，也可以不劃分，全部作為主DNSI艮務(wù)器（但不可能全部是輔助 DNS1務(wù)器）。每臺DNSI艮務(wù)器一開始都是把自己當(dāng)作主DNS服務(wù)器的，直到創(chuàng)建了輔助區(qū)域?qū)τ谀硞€(gè)特定的區(qū)域（如

42、正向查找區(qū)域和反射查找區(qū)域）來說，主DNS!務(wù)器上通常只要?jiǎng)?chuàng)建主要區(qū)域，而不創(chuàng)建輔助區(qū)域，除非所創(chuàng)建的輔助區(qū)域要從另一臺主DNS服務(wù)器上復(fù)制數(shù)據(jù)，否則主、輔DNS!務(wù)器和主、輔區(qū)域都在同一臺機(jī)器上就沒有意義了。在輔助DNS!務(wù)器上，不要?jiǎng)?chuàng)建主要區(qū)域，否則就不是輔助DNS服務(wù)器而是主DNS服務(wù)器了雖然在同一臺DNS 服務(wù)器的正向查找區(qū)域和反射查找區(qū)域中可以創(chuàng)建不同類型的區(qū)域（如主要區(qū)域、輔助區(qū)域、存根區(qū)域），但是通常是在一臺 DNS!務(wù)器上只創(chuàng)建同 一類區(qū)域。這樣更容易劃分主 DNS服務(wù)器和輔助DNS!務(wù)器在正、反向查找區(qū)域中都可以分別創(chuàng)建主要區(qū)域或輔助區(qū)域（要根據(jù)以上服務(wù)器角色原則來創(chuàng)建），也

43、就是說，可以同時(shí)在正向查找區(qū)域和反射查找區(qū)域創(chuàng)建主要區(qū)域 或輔助區(qū)域不能在同一臺計(jì)算機(jī)上同時(shí)創(chuàng)建相同區(qū)域的輔助區(qū)域和存根區(qū)域，但存根區(qū)域同樣可以在正向查找和反射查找區(qū)域中分別創(chuàng)建每個(gè)區(qū)域名只能有一條正向或反向查找區(qū)域，不能有相同 區(qū)域的多個(gè)同類型的查找區(qū)域。但是在區(qū)域下面還可以創(chuàng)建子區(qū)域（也就是子域）的各類區(qū)域。當(dāng)DNS務(wù)器與域控制器在同一臺機(jī)器上時(shí)，要選：Active Directory 中存儲區(qū)域“只允許安全動(dòng)態(tài)更新的方式”只有在選擇了，Active Directory 中存儲區(qū)域復(fù)選項(xiàng)后才支持的，對于不是在域控制器上的 DNS服務(wù)器是不可選該項(xiàng)動(dòng)態(tài)更 新方式的；允許非安全的動(dòng)態(tài)更新，存在

44、安全風(fēng)險(xiǎn)，特別是在廣域網(wǎng)中。如果在 這種公開網(wǎng)絡(luò)環(huán)境下，通常選擇不允許動(dòng)態(tài)更新。 但在局域網(wǎng)中，如果DNS!務(wù) 器不是安裝在域控制器之上，則只能選擇第二種同時(shí)支持非安全和安全動(dòng)態(tài)更新 方式。 內(nèi)網(wǎng)的DNS!務(wù)器地址旋轉(zhuǎn)在“轉(zhuǎn)發(fā)器：選項(xiàng)卡中。常見的DN砥源記錄如下：主貢（A）記錄：用于將計(jì)算機(jī)的完整 DNS名映射到計(jì)算機(jī)所使用的IP 地址。是一種正向解析記錄。別名（CNAME記錄：用于將計(jì)算機(jī)的 DNS名映射到一個(gè)看似無關(guān)的別 名（相當(dāng)于每個(gè)人的“小名”）。一是簡化名稱輸入，二是起到屏蔽真實(shí)名稱， 增加安全性的作用郵件交換器（MX記錄：用于將計(jì)算機(jī)的 DN洞名映射為交換或轉(zhuǎn)發(fā)郵 件的計(jì)算機(jī)（郵件

45、服務(wù)器）的名稱。名稱服務(wù)器（NS服務(wù)：用于指示區(qū)域中有哪些 DNS!務(wù)器指針（PTR）記錄：用于將計(jì)算機(jī)的IP地址映射到計(jì)算機(jī)的 DNSS名。 是一種反射解析記錄起始授權(quán)機(jī)構(gòu)（SOA記錄：指示區(qū)域中是主 DNS服務(wù)器服務(wù)位置（SRV記錄：用于將計(jì)算機(jī)的 DNS名映射至ij指定的 DNSi機(jī) 列表，該DNS主機(jī)提供諸如Active Directory域名控制器之類的特定服務(wù)在DNS,旗表當(dāng)前區(qū)域第8單 域網(wǎng)絡(luò)加入和域用戶管理1）域網(wǎng)絡(luò)加入典型故障排除1) 在客記機(jī)加入域時(shí)找不到網(wǎng)絡(luò)路徑或者活動(dòng)目錄缺少DNSE錄引起此原因有如下幾點(diǎn)：客戶機(jī)的TCP/IP協(xié)議配置中沒有把主要 DNS服務(wù)器IP地址指

46、向域網(wǎng)絡(luò) DNS 服務(wù)器的IP地址域網(wǎng)絡(luò)中沒有工作正常的 DNSE務(wù)器。可以在DNSE務(wù)器上運(yùn)行netdiag/fix 命令（需要事先安裝系統(tǒng)支持工具程序包SUPTOOLS.MSI在源程序光盤中）修復(fù)一下DNS服務(wù)器上沒有域控制器的SRVE錄，或者是錯(cuò)誤的。查看DNS!務(wù)器上有沒有這個(gè)記錄。Active Directory在下列文件夾下創(chuàng)建其 SRVE錄：_msdcs/dc/_sites/default-first-site-name/_tcp _msdcs/dc_tcp客戶機(jī)上沒有啟用 TCP/IP NetBIOS Helper 服務(wù)2) 加入域時(shí)出現(xiàn)找不到域控制器的錯(cuò)誤原因：計(jì)算機(jī)中的防火

47、墻，特別是Windows防火墻阻止通信DNS服務(wù)器配置不正確在DC中運(yùn)行netdiag/fix后再測試這個(gè)問題是否存在。完成以下兩個(gè)方面的目標(biāo)：DNSM試。Netdiag命令可以驗(yàn)證netlogon.dns 文件來確定它們是否含 有正確的所有DNSM,如果有問題更新相應(yīng)條目域控制器測試。如果主域上緩存在本地計(jì)算機(jī)中的域GUID不同于域控制器上保存的域GUID,Netdiag將嘗試更新本地計(jì)算機(jī)上的域GUIQ輸入的是域的NetBIOS名稱，而在客戶機(jī)上沒有啟動(dòng)前面說到的TCP/IPNetBIOS Helper服務(wù)，也可能出現(xiàn)這種故障如果網(wǎng)絡(luò)中安裝了像ISA之類的防火墻，而在沒安裝ISA之前加入域

48、是沒問 題的，則是因?yàn)樵贗SA中沒有配置網(wǎng)絡(luò)規(guī)則。最好是先安裝 ISA然后再配置 域3) 加入域時(shí)提示“依存服務(wù)不存在，或已被標(biāo)記為刪除”服務(wù)Net Logon服務(wù)沒有開啟，到Hkey_local_MACHINESYSTEMCurrentControlSetNetlogon 下查看設(shè)置Net Logon服務(wù)依存服務(wù)的鍵項(xiàng) DependOnService （這里除了 Workstaion 外應(yīng)該無其它項(xiàng)） 2）Windows安全系統(tǒng)按照以下原理使用SID：在“安全描述” （security descriptor ）部分標(biāo)識了對象和主要組的擁有者在“訪問控制條目（Access control en

49、trie ）部分標(biāo)識了誰被允許訪問、誰被禁止訪問、誰的訪問將被審計(jì)這樣的信任樹在“訪問令牌 （Access token ）部分標(biāo)識了用戶和用戶所隸屬的組3）whoami命令查看當(dāng)前用戶的 SID信息格式：Whoami/upn|/fqdn|/logonid:這是用來查看當(dāng)前用戶的UPN （userprincipal,用戶主體名稱）、FQDN（fully qualified,完全合格的域名）或LOGONID登錄ID）,不是本節(jié)所要查詢的SIDWhoami/user|/groups|/priv/fo format:這是我們所需要的，可用來 查看當(dāng)前用戶或當(dāng)前用戶所屬組的SID、安全屬性、組類型信息W

50、hoami/all /fo format:這也可以用來查看用戶和組的SID,因?yàn)檫@種語法格式可以查看當(dāng)前用戶名、所屬組，以及它們的SID和當(dāng)前用戶訪問信息的特權(quán)等所有信息 參數(shù)說明：/user:查看當(dāng)前用戶賬戶信息和 SID/groups:查看當(dāng)前用戶賬戶所屬賬戶類型、屬性和 SID/all :查看當(dāng)前用戶名、所屬組、SID,以及當(dāng)前用戶訪問令牌的特權(quán)/fo format:指定要顯示的輸出格式，有 table（表格）、list （列表）、csv（類似execl的表格）。4. PSTOOLS：具包后，解壓后釋放到系統(tǒng)安裝目錄下的system32目錄下。語法格式: psgetsidcomputer

51、1 ,computer2, |file-u username -p passwordaccount|SID4）acctinfo.dll鏈接庫文件，雙擊 ALTools.exe文件，然后把它安裝到windows系統(tǒng)的system32目錄下然后通過運(yùn)行 regsvr32 acctinfo.dll 命令注 冊表中注冊，此方法不支持組賬戶和計(jì)算機(jī)賬戶SID的查看5）默認(rèn)域用戶賬戶6 .默認(rèn)域組賬戶默認(rèn)用戶賬戶描述Administrator賬戶Administrator賬戶具后對域的元全控制權(quán)，可在必要時(shí)為域用戶指派用戶權(quán)利和訪問控制權(quán)限。該賬戶只用于需要管理憑據(jù)的任務(wù)。推薦為此賬戶設(shè)置強(qiáng)密碼Admin

52、istrator 賬戶是 Active Directory 中Administrators 、 Domain Admins、 Enterprise Admins 、 Group Policy Creator Owners和 Schema Admins 組默認(rèn)成員。雖然無法從 Administrator 組中刪除 Administrator 賬戶，但是可以重命名或禁用些賬戶。但當(dāng)Administrator賬戶被禁用時(shí)，仍然可以在安全模式下訪問域控制器。眾 所周知，Windows的許多版本都包括 Administrator 賬戶， 所以重命名或禁用些賬戶會(huì)使惡意用戶獲得訪問它的權(quán)限 變得更加困難G

53、uest賬戶Guest賬戶由該域中的臨時(shí)用戶使用，如賬戶被禁用（但末被刪除）的用戶也可以使用 Guest用戶。Guest賬戶默認(rèn)是沒有密碼的，但可以為它設(shè)置密碼，以降低安全風(fēng)險(xiǎn)。一般現(xiàn)在都是禁用該賬戶，也可以像設(shè)置任意用戶賬戶一樣來設(shè)置Guest賬戶的權(quán)利和權(quán)限。在默認(rèn)情況卜， Guest賬戶設(shè)置是內(nèi)置 Guest組和Domain Guest全局組的成員，它允許用戶登錄到域HelpAssistant賬戶（同“遠(yuǎn)程協(xié)助”會(huì)評卷安裝）該賬戶可用于建立“遠(yuǎn)程協(xié)助”會(huì)話，只具有對計(jì)算機(jī)的 受限訪問權(quán)限。當(dāng)請求“遠(yuǎn)程協(xié)助”會(huì)話時(shí)，系統(tǒng)將自動(dòng) 創(chuàng)建該賬戶，在沒有遠(yuǎn)程協(xié)助請求等待響應(yīng)時(shí)，系統(tǒng)又將 自動(dòng)刪除該

54、賬戶7 .主要默認(rèn)域組賬戶Builtin容器中的主要默認(rèn)域組賬戶及其應(yīng)用說明組描述應(yīng)用說明Account Operators該組默認(rèn)沒有成員，加入該組成員可以創(chuàng)建、修改和刪除位于Users或computers容器中的用戶、組和計(jì)算機(jī)的賬戶以及該域中除domain controllers 夕卜的組織單位。但該組的成員無權(quán)修改administrators 或 domain admins 組，也無權(quán)修改這些組的成員 賬戶。該組的成員可本地登錄到該域的域控制可以把委派非管理員組 成員賬戶，非域控制器 OU創(chuàng)建、修改和刪除等 管理工作的用戶或組賬 戶加入到該組中，減輕 管理員的管理負(fù)擔(dān)，同 時(shí)又提供了最

55、終的安全 保障器中，并可將其關(guān)閉AdministratorsDomain admins 組、enterprise admins 組 和 administrator 用戶 賬戶是該組的成員。該 組成員具有對域中所有 域控制器的完全控制權(quán) 限，包括修改文件夾和文件的所有者權(quán)限可以擔(dān)當(dāng)域網(wǎng)絡(luò)中的一 切管理工作，但通常是 把一些基礎(chǔ)性的管理工 作委派給其他非管理用 戶，如上面的account operators 組成員Backup operators該組默認(rèn)沒有成員，加 入該組的成員可備份和 還原該域控制器上的所 有義件，不論其各自對 這些文件的權(quán)限如何。Backup operators 還可 以本地登錄到域控制器 并關(guān)閉域控制器把擔(dān)當(dāng)公司網(wǎng)絡(luò)備份與 恢復(fù)兼職管理員加入到 此組中，使他（她）們 具有備份與還原域控制 器的權(quán)利，減輕管理員 的工作負(fù)擔(dān)GuestsDomain guests 組，用于匿名訪問iis的內(nèi)置賬戶iusr賬戶和匿名訪問 windows mediaservices 的內(nèi)置賬戶wmu既戶，guest賬戶默認(rèn)都是該