《网络系统管理与维护(新版).ppt》由会员分享,可在线阅读,更多相关《网络系统管理与维护(新版).ppt(22页珍藏版)》请在三一办公上搜索。
1、网络系统管理与维护(新版),一、网络系统管理与维护概述,1、管理与维护的重要性1)当前网络系统现状A、规模大B、异构性高(如互连设备的差异、软件系统的差异)C、互连设备复杂(如品牌不同,标准差异)D、提供资源与服务多,2)网络管理员科学的使用网络管理软件和工具,对网络实现自动的监视、控制和管理,可以保证网络系统能够安全、可靠、稳定、持续地运行。合理分配资源、提高性能,保证网络服务质量。2、什么是网络管理 是指规划、监督、控制网络资源的使用和网络的各种活动,以使网络的性能达到最优。其包括故障管理、配置管理、性能管理、计费管理、安全管理。3、网络系统管理与维护的基本功能,1)故障管理出现故障-故障
2、位置与原因-正常运行,检测、诊断、隔离、纠正,需要故障管理技术科学地管理网络发生的故障,并记录。(即作好日志管理、并经常查看和分析),其主要功能:书,2)配置管理 检测、控制网络的配置状态,在网络建立、扩充、改造和运行的过程中,对网络拓补结构、资源配置、使用状态等信息进行定义、检测和修改。网络系统发生改变,也需要作出相应的改变。其主要功能:书3)性能管理 对网络系统资源的吞吐量、使用率、时延、拥塞等系统性能进行分析,实现网络性能的监控和优化。对出现瓶颈或潜在的,实施调整。其 主要功能:书4)计费管理 提供网络资源的使用情况,提出计费报告,为系统资源成本计算和收费提供依据。,5)安全管理A、网络
3、安全体系 a、社会的法律政策,企业的规章制度和网络安全教育。b、技术方面的措施:如防火墙 c、审计与管理措施B、ISO的网络安全体系结构 a、鉴别服务 b、访问控制服务 c、数据机密性服务 d、数据完整性服务 e、抗抵赖性服务 其中ISO 定义了8种安全机制,确保上述服务的实现。如加密机制、数字签名机制等。,C、网络安全技术 a、物理安全措施 b、数据传输安全技术(如加密、防抵赖等)c、内外网隔离技术(使用防火墙将内外网分开)d、入侵检测技术 e、访问控制技术(即对访问用户进行权限的分配)f、审计技术(记录使用计算机网络系统进行各种活动的过程、以及相应的事件)g、网络漏洞检测技术 h、病毒防范
4、技术 I、备份技术 j、终端安全技术,D、网络安全管理的主要功能 a、身份验证 b、密钥管理 c、安全控制 d、访问控制4、网络系统管理与维护的基本内容 a、用户工作环境的管理 b、病毒防范 c、防火墙与入侵检测 d、补丁管理 e、性能监视 f、系统容错与灾难恢复 g、网络故障诊断与排除,5、网络管理人员的工作职责 a、基础设施管理 b、操作系统管理 c、应用服务管理 d、用户服务与管理 e、安全保密管理 f、信息存储备份管理 g、机房管理,第二章 用户工作环境管理,一、活动目录和域,1、活动目录 1)英文名称:Active Directory AD,从Windows 2000开始集成于服务器
5、操作系统中。2)含义 a、目录的作用:通过它能清楚地知道所编排的内容以及相互关系。b、目录:一系列相关信息资源的有组织的集合体。c、在网络平台中,网络中的用户、计算机、文件、应用程序、打印机等信息资源,或其资源发生改变等,需要“活动目录”这样的工具来帮助管理员实现。d、活动目录的组织形式 a)数据库的形式保存信息资源 b)可以分散在网络中一些计算机上、或集中在一台计算机上。c)容量可以动态调整 d)结构也可以动态调整。,3)活动目录对象 用户帐户、组帐户、计算机帐户、域、域树等4)活动目录的特点 a、动态的组织形式 b、方便的资源查找 c、集中与分散管理相结合 d、资源访问的分级管理 通过目录
6、对象设置访问权限和身份验证,达到对目录中的资源信息进行管理。方便、高效,易维护。5)活动目录的好处 a、降低“总体拥有成本”(因为通过目录的管理能达到对整个网络的管理。)b、单一登录(即域中用户,只要提供一次正确登录信息,就能访问域中所有开放资源),2、域,1)含义 a、管理单元 b、是一个容器,即域中保存了活动目录中的资源对象 c、同一活动目录中可以有建立多个域(即对活动目录中资源可以达到分性质管理的目的)e、同一个域中对象具有相同的安全范围,并接受该域的管理员的管理。f、一个域中用户要访问另一个域中资源,则通过建立域与域之间的信任关系来达到。2)域中计算机的角色(即加入到域的计算机,是活动
7、目录中的资源)a、域控制器(安装服务器级的操作系统,一个域中可以有多台域控制器,具有相同的活动目录内容,其中一台发生改变,都会引起其他的改变)b、成员服务器(安装服务器级的操作系统,提供服务,如文件、邮件等服务)c、工作站(安装客户端windows操作系统,供用户使用),域控制器,成员服务器,卸载活动目录,安装活动目录,他们都安装了服务器级的操作系统、如windows server 2003等,在域中必须有域控制器,其他角色的计算机可以不用存在。,3)域用户帐户,a、该帐户由域管理员建立 b、该帐户保存在域控制器的某个域中、而不是工作站的某台计算机上 c、拥有该帐户的用户可以在域中任何一台计算
8、机上登录,并可以访问该域中资源信息,a、组织单位是 Active Directory 容器,可以将用户、组、计算机和其他组织单位放入其中。可以创建组织单位以反映贵单位的职能机构和业务机构。每个域都可以实现其自己的组织单位层次结构。如果贵单位有几个域,在每个域中创建的 组织单位结构可以与其他域中的结构相互独立。在指定组策略设置或委派管理权限时,组织单位是最小的作用域或单位。使用组织单位可以在一个域中创建能够反映贵单位的层次结构或逻辑结构的容器。这样做,您就可以根据贵单位的组织模型来管理帐户和资源的配置及使用。组织单位可以包含用户、组、计算机、打印机和共享文件夹,以及不限数量的其他组织单位,但不能
9、包含其他域中的对象。组织单位只能在域中创建,而且与一般容器(如,users)不同,除了可以容纳 对象以外,还可以在组织单位上施加管理策略。,3、组织单位,b、组织单位与组帐户的区别 a)都是活动目录对象,b)各自包含的对象不同:前者除了能包含用户帐户、组帐户以外,还包含如计算机帐户、打印机等活动目录对象。c)管理员创建的目的不同,后者为了给用户帐户分配资源访问权限,不能直接给组帐户指定管理策略;前者为了其指定管理策略(组策略)。d)删除各自时,前者包含的内容都被删除。后者则不会。c、活动目录中,一个域中组织单位与容器的区别 a)普通容器(如computers)只能将一些活动目录对象组织在一起;
10、而组织单位(如 domain controllers)则可以施加管理策略(组策略)和活动目录对象。b)普通容器是自动建立,管理员不能建立;而组织单位,管理员可以根据实际情况而建立不同结构的组织单位。,二、组策略,组策略是管理员对域中对象、组织单位实施管理的主要手段;是活动目录的基本内容。1、组策略概述 a、组策略是对计算机网络中的用户与计算机的行为所施加的各种约束与限制,确保计算机网络中各项活动的有序与安全。(如密码长度限制)b、组策略只对windows 2000以后的版本有效。在windows 2003中有上千条的组策略作用于用户帐户与计算机帐户。2、组策略分类 a)用户策略:应用于用户帐户
11、上的组策略。即该用户策略所施加的用户帐户无论在域中哪台计算机上登录,其看到的用户环境(如桌面)都是一样。b)计算机策略:应用于计算机帐户(与计算机的用户帐户是不同的概念)上的组策略。即无论在该计算机上使用的用户帐户是什么,都将按照计算机策略来配置该计算机的环境。,3、组策略对象(GPO)根据组织单位结构,制定不同的组策略时,管理员创建的组织策略对象,通常和组织单位保持一致。一个组策略对象包括计算机配置和用户配置(用户策略)4、配置组策略 1)组策略管理控制台 a、组策略管理工具group policy managenmet console(GPMC)b、该工具可以在微软网站下载 c、该工具只能
12、在域控制器上安装。d、管理员通过该平台进行组策略配置等工作。2)创建组策略对象 a、安装组策略管理控制台时系统自动建立两个GPO(组策略对象)default domain policy;default domain controller policy。,b、default domain policy 自动连接到了组织策略对象所在的域,作用于整个域中的所有用户和计算机。该组织策略中设置了很多默认值(如密码长度至少为7,所以有时建好一个域以后,其中的帐户不能登录,就是该原因。)c、default domain controller policy 自动连接到domain controller(组织单
13、位)上。d、创建组策略对象时,要以administrators中成员登录。3)组策略的应用方式 将组策略对象(GPO)链接到某个组织单位上(OU),这样组策略对象中计算机配置与用户配置分别作用该(OU)中的所有计算机和用户帐户。注意:在同一个域中的用户帐户,可以在域中不同的计算机上登录,而域中的用户帐户和计算机帐户都可能链接在不同的组策略对象(GPO)上,则最后用户工作环境还是由他们各自所在的组策略对象(GPO)来决定。即涉及到用户配置的,由用户帐户所在的组策略对象(GPO)决定,涉及计算机配置的,由计算机帐户所在的组策略对象(GPO)决定。,4)更新组策略的条件 链接到域或OU的GPO中的组
14、策略进行了设置后,需要更新以后才会生效。由于策略通常分为计算机策略和用户策略,所以生效也分为。a、更新计算机配置 a)开机 b)自动(域空制器5分钟,非为90-120分钟),无论是否变更设置,16小时自动更新 c)手动(gpuddate/target;computer/force)b、更新用户配置 a)用户重新登录 b)自动(90-120分钟),无论是否变更设置,16小时自动更新 c)手动(gpuddate/target;user/force),5)组策略的处理规则(1)处理GPO(组策略对象,已经连接到域或OU或子OU 上)的顺序为:当用户帐户登录后,按照先执行域上GPO;然后执行该用户帐户
15、所在父OU(若存在)上的GPO,依次类推,直到该用户帐户所在的子OU上的GPO。计算机帐户应用的GPO顺序也一样(2)组策略的继承 规则:当父容器的组策略设置与子容器的组策略设置没有冲突时,子容器会继承父容器的组策略设置。(3)组策略的冲突处理 规则:当父容器的组策略设置与子容器的组策略设置发生冲突时(即对相同的内容设置允许与禁止),子容器的组策略设置最终生效。(冲突则以子为准)(4)组策略的强制执行 规则:一旦对父容器的某个GPO设置了“强制”,那么,当父容器的这个GPO的组策略设置与子容器的GPO设置发生冲突时,父容器的这个GPO的组策略设置最终生效。,(5)组策略的阻止继承 规则:一旦对某个容器设置了“阻止继承”,那么他将不会继承由父容器传递下来的GPO设置,而是仅使用那些连接到本级容器的GPO设置(6)同一个容器上的多个GPO的处理规则 规则:同一个容器上可以同时连接多个GPO,这些GPO的策略设置将被累加在一起,作为最后的有效配置;若其设置有冲突,则以排在前面的GPO配置为优先。(7)计算机策略与用户策略的优先级 规则:如果计算机策略与用户策略发生冲突时,以计算机策略优先。,
