组策略磁盘管理与网络测试(powerpoint 34页).pptx

在Windows 2000操作系统中，我们可以使用“组策略”为用户和计算机组定义用户和计算机的配置通过使用“组策略”，Microsoft管理控制台（MMC）可以为特定用户和计算机组创建个性化的配置 “组策略”配置包含在一个“组策略对象”(GPO, group policy object) 中，该对象又与选定的Active Directory服务容器如站点、域或组织单位(OU) 等相关联 组策略对象包括两种对象非本地和本地的组策略对象本地与非本地组策略 存储在域控制器中的非本地组策略对象只能在Active Directory环境下使用它们适用于组策略对象所关联的站点、域或组织单位中的用户和计算机本地组策略对象存储在各个本地计算机上一台计算机上只存储一个本地组策略对象，而且它有一个在非本地组策略对象中可用的设置子集如果二者的设置发生冲突，非本地组策略对象的设置能覆盖本地组策略对象的设置如果不冲突，则都可以应用使用组策略，我们可以对用户工作环境状态只定义一次，然后靠系统实施管理员定义的策略，对用户和计算机进行管理一、组策略安全概述组策略包括应用于域或计算机组的大量安全权限配置文件一个组策略对象可以应用到局域网内的所有计算机。

单个计算机启动时，组策略得以应用，如果作出改动时没有重新启动计算机，组策略会得到定期刷新1、组策略工作原理、组策略工作原理组策略与Active Directory用户中的域和文件夹以及MMC管理单元相关联组策略授予的权限应用到存储于该文件夹中的计算机上使用Active Directory站点和服务管理单元还可将组策略应用到站点子文件夹从父文件夹继承组策略，子文件夹也可能依次有自己的组策略对象指派给一个文件夹的组策略可能不止一个 组策略是安全组的补充，可以将单一安全配置文件应用到多台计算机上它加强了一致性并易于管理组策略对象包含实现多种类型安全策略的权限和参数 总之，组策略可由父站点传递到子站点和局域网如果将一个特定组策略指派给高级的父站点，这个组策略会应用到父等级以下所有站点，包括每个容器中的用户和计算机对象2、组策略的安全设置位于组策略对象“安全设置”节点的容器包括：账户策略、本地策略、事件日志、受限组、系统服务、注册表、文件系统、公钥策略、Active Directory中的网际协议安全策略等有些策略只应用于域的范围，也就是说，策略设置是在域范围内进行的例如账户策略一律应用于域内的所有用户账户。

不能为同一域内的不同部门定义不同账户策略至于安全策略范围，账户策略和公钥策略都具有域范围所有其它策略范围都可在部门等级设定3、安全模板Windows 2000为在网络环境设置中的使用提供了一套安全模板安全模板”是Windows 2000域控制器、服务器或客户计算机上适合某一特定安全等级的安全设置配置文件例如，hisecdc模板包括适合高安全性域控制器的设置可以把安全配置文件导入组策略对象并把它应用到一个等级的计算机上把安全配置文件导入个人数据库用来检查和配置本地计算机的安全策略二、实施组策略安全管理在Windows 2000局域网中实施安全管理应分别从服务器和工作站两方面进行首先应在服务器上安装活动目录服务，然后在域上实施组策略；其次应将工作站置于服务器所管理的域中1、启动活动目录服务在“程序管理工具配置服务器”选项中，选定左边的“Active Directory”，启动活动目录安装向导 设置过程中关键是要将服务器设置为第一个域目录树，DNS域名输入ISP提供的域名，若不连接国际互联网，也可任意设定2、打开组策略控制台启动“Active Directory目录和用户”项，在右面对象容器树中的根目录上单击右键，然后单击“属性”项，在新打开的窗口中单击“组策略”选项卡，即可打开组策略控制台。

3、设置组策略Windows 2000组策略有100多个与安全有关的设置和450多个基于注册表的设置，为管理用户计算机环境提供了众多的选项，某一选项一旦被设置将会作用于登录到域上的所有用户和工作站这里将几个常用策略的设置步骤作介绍，作为策略设置的参考：（1）、启用“登录屏幕”上不显示上次登录的用户名这一选项可以保护用户账号的安全，阻止账号盗用行为的发生该选项所处位置按照“计算机配置安全设置本地策略安全选项”的顺序查找，双击该选项，选择“启用”当用户下次登录域时，该项策略将被应用在用户操作的工作站上2）、启动“活动桌面墙纸”使用此选项，局域网上登录域的所有计算机将使用同一桌面墙纸，并且不能被更改因此，可以通过这一项策略的设置，防止临时用户随意更换桌面墙纸，使局域网中的工作站具有相同的界面该选项所处的位置是“用户配置管理模板桌面活动桌面”总结： 综合应用Windows 2000的账号安全、组策略安全和文件夹权限等安全属性，可以很好地保护局域网中各工作站的安全同时，使用账号安全属性对系统文件进行保护，还可对病毒的破坏起到防范作用第二讲第二讲 RAID介绍介绍 RAID，为Redundant Arrays of Independent Disks的简称，中文为廉价的磁盘冗余阵列，或简称磁盘阵列。

简单的说，RAID是一种把多块独立的硬盘（物理硬盘）按不同的方式组合起来形成一个硬盘组（逻辑硬盘），从而提供比单个硬盘更高的存储性能和提供数据备份技术组成磁盘阵列的不同方式成为RAID级别（RAID Levels）数据备份的功能是在用户数据一旦发生损坏后，利用备份信息可以使损坏数据得以恢复，从而保障了用户数据的安全性在用户看起来，组成的磁盘组就像是一个硬盘，用户可以对它进行分区，格式化等等总之，对磁盘阵列的操作与单个硬盘一模一样不同的是，磁盘阵列的存储速度要比单个硬盘高很多，而且可以提供自动数据备份RAID技术的发展 RAID技术的两大特点：一是速度、二是安全，由于这两项优点，RAID技术早期被应用于高级服务器中的SCSI接口的硬盘系统中，随着近年计算机技术的发展，机的CPU的速度已进入GHz 时代IDE接口的硬盘也不甘落后，相继推出了ATA66和ATA100硬盘这就使得RAID技术被应用于中低档甚至个人机上成为可能RAID通常是由在硬盘阵列塔中的RAID控制器或电脑中的RAID卡来实现的 RAID技术经过不断的发展，现在已拥有了从 RAID 0 到 6 七种基本的RAID 级别另外，还有一些基本RAID级别的组合形式，如RAID 10（RAID 0与RAID 1的组合），RAID 50（RAID 0与RAID 5的组合）等。

不同不同RAID 级别代表着不级别代表着不同的存储性能、数据安全性和存储成本同的存储性能、数据安全性和存储成本但我们最为常用的是下面的几种RAID形式 (1) RAID 0 RAID 0又称为Stripe（条带化）或Striping，它代表了所有RAID级别中最高的存储性能RAID 0提高存储性能的原理是把连续的数据分散到多个磁盘上存取，这样，系统有数据请求就可以被多个磁盘并行并行的执行，每个磁盘执行属于它自己的那部分数据请求这种数据上的并行操作可以充分利用总线的带宽，显著提高磁盘整体存取性能RAID 0从理论上讲，上图中三块硬盘的并行操作使同一时间内磁盘读写速度提升了3倍 但由于总线带宽等多种因素的影响，实际的提升速率肯定会低于理论值，但是，大量数据并行传输与串行传输比较，提速效果显著显然毋庸置疑RAID 0的缺点是不提供数据冗余，因此一旦用户数据损坏，损坏的数据将无法得到恢复RAID 0具有的特点，使其特别适用于对性能要求较高，而对性能要求较高，而对数据安全不太在乎的领域对数据安全不太在乎的领域，如图形工作站等对于个人用户，RAID 0也是提高硬盘存储性能的绝佳选择 (2) RAID 1 RAID 1又称为Mirror或Mirroring（镜像），它的宗旨是最大限度的保证用户数据的可用性和可修复性。

RAID 1的操作方式是把用户写入硬盘的数据百分之百地自动复制到另外一个硬盘上 RAID1 如上图所示：当读取数据时，系统先从RAID 0的源盘读取数据，如果读取数据成功，则系统不去管备份盘上的数据；如果读取源盘数据失败，则系统自动转而读取备份盘上的数据，不会造成用户工作任务的中断当然，我们应当及时地更换损坏的硬盘并利用备份数据重新建立Mirror，避免备份盘在发生损坏时，造成不可挽回的数据损失 由于对存储的数据进行百分之百的备份，在所有RAID级别中，RAID 1提供最高的数据安全保障同样，由于数据的百分之百备份，备份数据占了总存储空间的一半，因而Mirror(镜像)的磁盘空间利用率低，存储成本高 Mirror虽不能提高存储性能，但由于其具有的高数据安全性，使其尤其适用于存放重要数据，如服务器和数据库存储等领域. (3) RAID 0+1正如其名字一样RAID 0+1是RAID 0和RAID 1的组合形式，也称为RAID 10 RAID 0+1 由于RAID 0+1也通过数据的100%备份功能提供数据安全保障，因此RAID 0+1的磁盘空间利用率与RAID 1相同，存储成本高 RAID 0+1的特点使其特别适用于既有大量数据需要存取，同时又对数据安全性要求严格的领域，如银行、金融、商业超市、仓储库房、各种档案管理等。

4) RAID 3 RAID 3是把数据分成多个“块”，按照一定的容错算法，存放在N+1个硬盘上，实际数据占用的有效空间为N个硬盘的空间总和，而第N+1个硬盘上存储的数据是校验容错信息，当这N+1个硬盘中的其中一个硬盘出现故障时，从其它N个硬盘中的数据也可以恢复原始数据，这样，仅使用这N个硬盘也可以带伤继续工作（如采集和回放素材），当更换一个新硬盘后，系统可以重新恢复完整的校验容错信息由于在一个硬盘阵列中，多于一个硬盘同时出现故障率的几率很小，所以一般情况下，使用使用RAID3，安全性是可以得到保障的，安全性是可以得到保障的与RAID0相比，RAID3RAID3在读写速度方面相对较慢在读写速度方面相对较慢使用的容错算法和分块大小决定RAID使用的应用场合，在通常情况下，RAID3RAID3比较适合大文件类型且安全性要求较高的应用比较适合大文件类型且安全性要求较高的应用，如视频编辑、硬盘播出机、大型数据库等. (5) RAID 5RAID 5 是一种存储性能、数据安全和存储成本兼顾的存储解决方案 以四个硬盘组成的RAID 5为例，其数据存储方式如图4所示：图中，P0为D0，D1和D2的奇偶校验信息，其它以此类推。

由图中可以看出，RAID 5不对存储的数据进行备份，而是把数据和相对应的奇偶校验信息存储到组成RAID5的各个磁盘上，并且奇偶校验信息和相对应的数据分别存储于不同的磁盘上当RAID5的一个磁盘数据发生损坏后，利用剩下的数据和相应的奇偶校验信息去恢复被损坏的数据RAID5RAID 5可以理解为是RAID 0和RAID 1的折衷方案RAID 5可以为系统提供数据安全保障，但保障程度要比Mirror低而磁盘空间利用率要比Mirror高RAID 5具有和RAID 0相近似的数据读取速度，只是多了一个奇偶校验信息，写入数据的速度比对单个磁盘进行写入操作稍慢同时由于多个数据对应一个奇偶校验信息，RAID 5的磁盘空间利用率要比RAID 1高，存储成本相对较低 RAID级别的选择有三个主要因素：可用性（数据冗余）、性能和成本如果不要求可用性，选择RAID0以获得最佳性能如果可用性和性能是重要的而成本不是一个主要因素，则根据硬盘数量选择RAID 1如果可用性、成本和性能都同样重要，则根据一般的数据传输和硬盘的数量选择RAID、RAIDIP网络测试的内容网络测试的内容1 建立测试文档2 网络吞吐量测试 3 网络负载能力测试4 网络流量分析 5 网络安全性能检查 6 网络设备（硬件）测试 7 网络故障诊断服务8 网络协议分析 常用的。