智慧農(nóng)業(yè)-環(huán)境監(jiān)測系統(tǒng)服務(wù)器搭建與配置環(huán)境監(jiān)測系統(tǒng)服務(wù)器安全策略設(shè)置01、職業(yè)能力目標04、任務(wù)實施02、任務(wù)描述與要求05、任務(wù)小結(jié)03、知識儲備目錄職業(yè)能力目標Contents01成為最優(yōu)秀值得信賴的教育服務(wù)提供商職業(yè)能力目標能根據(jù)用戶管理的需要，完成服務(wù)器不同層級的用戶和用戶組設(shè)置能根據(jù)安全性和保密性的需要，完成服務(wù)器文件和文件夾權(quán)限設(shè)置能根據(jù)訪問安全的需要，完成服務(wù)器本地安全策略和防火墻設(shè)置任務(wù)描述與要求Contents02成為最優(yōu)秀值得信賴的教育服務(wù)提供商任務(wù)描述L公司的工程師LA完成服務(wù)器的操作系統(tǒng)安裝和運行環(huán)境配置后，項目部安排LA對N農(nóng)場的維護人員NA進行一次有關(guān)服務(wù)器安全管理的技能培訓。LA通過當前的服務(wù)器指導NA現(xiàn)場進行實踐指導。LANA歡迎您來指導工作，我們有哪些任務(wù)？我們現(xiàn)在要做的任務(wù)有：用戶和組的設(shè)置文件權(quán)限管理本地安全策略設(shè)置防火墻設(shè)置任務(wù)要求完成WindowsServer2019服務(wù)器用戶和用戶組的設(shè)置完成WindowsServer2019服務(wù)器文件及文件夾操作權(quán)限設(shè)置完成WindowsServer2019服務(wù)器本地安全策略設(shè)置完成WindowsServer2019服務(wù)器防火墻設(shè)置讓我們先學習以上任務(wù)的一下相關(guān)知識知識儲備Contents03成為最優(yōu)秀值得信賴的教育服務(wù)提供商用戶賬戶1組賬戶2文件及文件夾3本地安全策略4知識儲備防火墻5用戶賬戶用戶賬戶是對計算機用戶身份的標識，本地用戶賬戶、密碼存在本地計算機上，只對本機有效，存儲在本地安全賬戶數(shù)據(jù)庫SAM中。

特征不同的用戶賬戶可以擁有不同的權(quán)限每個用戶賬戶包含一個名稱和一個密碼每個用戶賬戶擁有一個唯一的SIDAdmin管理本計算機（域）的內(nèi)置賬戶Administrator系統(tǒng)管理的內(nèi)置賬戶DefaultAccount供來賓訪問計算機或域的內(nèi)置賬戶Guest系統(tǒng)為WindowsDefender應用程序防護方案管理和使用的帳戶

WDAGUtilityAcount系統(tǒng)內(nèi)置賬戶在WindowsServer2019標準版中，一共有以下四個系統(tǒng)內(nèi)置賬戶：思考Windows系統(tǒng)上可以設(shè)置多個賬戶，而且默認的用戶名都是Administrator，那在一個用戶刪除賬戶后，另一個用戶用此用戶名創(chuàng)建另一個賬戶，那么新賬戶會不會獲得原有賬戶的權(quán)限？NA用戶賬戶1組賬戶2文件及文件夾3本地安全策略4知識儲備防火墻5組賬戶Administrators組賬戶是一些用戶賬戶的集合組賬戶內(nèi)的用戶賬戶自動具備該組賬戶被賦予的權(quán)限在Windows系統(tǒng)中，一個用戶賬戶可以進入多個組，組和組之間可以設(shè)置不同的權(quán)限。賬戶1賬戶2賬戶3賬戶4賬戶5組賬戶1組賬戶2本地內(nèi)置組賬戶UsersPowerUsersAdministratorsGuests普通用戶組，這個組的用戶無法進行有意或無意的改動高級用戶組，PowerUsers可以執(zhí)行除了為Administrators組保留的任務(wù)外的其他任何操作系統(tǒng)任務(wù)管理員組，默認情況下，Administrators中的用戶對計算機/域有不受限制的完全訪問權(quán)來賓組，來賓組跟普通組Users的成員有同等訪問權(quán)，但來賓賬戶的限制更多BackupOperatorsPerformanceMonitorUsersRemoteDesktopUsersNetworkConfigurationOperators此組內(nèi)的用戶可以通過WindowsServerBackup工具來備份與還原計算機內(nèi)的文件，不論他們是否有權(quán)限訪問這些文件此組內(nèi)的用戶可監(jiān)視本地計算機的運行性能此組內(nèi)的用戶可以從遠程計算機利用遠程桌面服務(wù)登錄組內(nèi)的用戶可以執(zhí)行常規(guī)的網(wǎng)絡(luò)配置工作特殊組賬戶Everyone所有用戶都屬于這個組AuthenticatedUsers凡是利用有效用戶賬戶來登錄此計算機的用戶，都隸屬于此組Interactive凡是在本地登錄（通過按Ctrl+Alt+Del方式登錄）的用戶，都隸屬于此組Network凡是通過網(wǎng)絡(luò)來登錄此計算機的用戶，都隸屬于此組AnonymousLogon凡是未利用有效的普通用戶賬戶登錄的用戶（匿名用戶），都隸屬于此組。AnonymousLogon默認并不隸屬于Everyone組*特殊組的成員無法更改思考若Guest賬戶被啟用，如果某用戶在計算機內(nèi)沒有賬戶，通過網(wǎng)絡(luò)登錄計算機時，該用戶是否具備Everyone所擁有的權(quán)限？包括哪些權(quán)限？用戶賬戶1組賬戶2文件及文件夾3本地安全策略4知識儲備防火墻5用戶訪問服務(wù)器資源，需要對相應的文件或者文件夾具備適當權(quán)限。文件及文件夾權(quán)限基礎(chǔ)權(quán)限的種類讀取可以讀取文件內(nèi)容、查看文件屬性與權(quán)限等寫入可以修改文件內(nèi)容、在文件中追加數(shù)據(jù)與改變文件屬性等讀取和執(zhí)行除了具備讀取的所有權(quán)限外，還具備執(zhí)行應用程序的權(quán)限修改除了擁有前述的所有權(quán)限外，還可以刪除文件完全控制擁有前述所有權(quán)限，再加上更改權(quán)限與取得所有權(quán)的特殊權(quán)限基礎(chǔ)文件權(quán)限基礎(chǔ)權(quán)限的種類讀取可以查看文件夾內(nèi)的文件與子文件夾名稱、查看文件夾屬性與權(quán)限等寫入可以在文件夾內(nèi)新建文件與子文件夾、改變文件夾屬性等列出文件夾內(nèi)容除了擁有讀取的所有權(quán)限之外，還具備有遍歷文件夾的權(quán)限讀取和執(zhí)行與列出文件夾內(nèi)容相同。不過列出文件夾內(nèi)容權(quán)限只會被文件夾繼承，而讀取和執(zhí)行會同時被文件夾與文件繼承修改除了擁有前述的所有權(quán)限之外，還可以刪除該文件夾完全控制擁有前述的所有權(quán)限，再加上更改權(quán)限以及取得所有權(quán)的特殊權(quán)限基礎(chǔ)文件夾權(quán)限思考當用戶歸屬于不同的組，且每個組對每個文件或文件夾的權(quán)限不相同時，用戶最終的權(quán)限怎么判定？NA用戶最終有效權(quán)限權(quán)限繼承規(guī)則如下：權(quán)限繼承：文件夾權(quán)限默認被其子文件夾與文件繼承權(quán)限累加：用戶同時隸屬于多個組，且該用戶與這些組分別對某個文件（或文件夾）擁有不同的權(quán)限設(shè)置時，則該用戶對這個文件的最后有效權(quán)限是所有權(quán)限來源的總和“拒絕”權(quán)限優(yōu)先級更高：如果某個文件有權(quán)限被設(shè)置為拒絕，則用戶將不會擁有任何訪問權(quán)限用戶賬戶1組賬戶2文件及文件夾3本地安全策略4知識儲備防火墻5組策略本地安全策略目的：用于提升本地服務(wù)器的安全性*本地安全策略優(yōu)先級低于域組策略，即設(shè)置相關(guān)域組策略后，本地安全策略將失效。域組策略本地安全策略賬戶策略密碼策略賬戶鎖定策略本地策略用戶權(quán)限分配安全選項策略密碼策略163452密碼必須符合復雜性要求密碼長度最小值密碼最短使用期限密碼最長使用期限強制密碼歷史用可還原的加密來儲存密碼密碼策略可選項賬戶鎖定策略01Accountlockduration03Resettheaccountlockoutcounter02Accountlockthreshold賬戶鎖定時間賬戶鎖定閾值重置賬戶鎖定計數(shù)器用戶權(quán)限分配-常見的用戶權(quán)限序號常用的用戶權(quán)限權(quán)限作用1允許本地登錄允許用戶直接在計算機上登錄2拒絕本地登錄拒絕用戶直接在計算機上登錄，且此權(quán)限優(yōu)先于“允許本地登錄權(quán)限”3將工作站添加到域允許用戶將計算機加入域4關(guān)閉系統(tǒng)允許用戶對計算機進行關(guān)機操作5從網(wǎng)絡(luò)訪問此計算機允許用戶通過網(wǎng)絡(luò)訪問該計算機6拒絕從網(wǎng)絡(luò)訪問這臺計算機拒絕用戶通過網(wǎng)絡(luò)訪問該計算機，且此權(quán)限優(yōu)先于“從網(wǎng)絡(luò)訪問此計算機”7從遠程系統(tǒng)強制關(guān)機允許用戶通過遠程計算機來對該計算機進行關(guān)機操作8備份文件和目錄允許用戶進行文件和文件夾備用操作9還原文件和目錄允許用戶進行文件和文件夾還原操作10管理審核和安全日志允許用戶定義待審核的事件，以及用戶查詢、清除安全日志11更改系統(tǒng)時間允許用戶更改該計算機的系統(tǒng)日期和時間12加載和卸載設(shè)備驅(qū)動程序運行用戶加載或卸載設(shè)備的驅(qū)動程序13取得文件或其他對象的所有權(quán)允許用戶奪取其他用戶所擁有的文件或其他對象的所有權(quán)常用安全選項（1）交互式登錄：無須按Ctrl+Alt+Del（2）交互式登錄：不顯示最后的用戶名（3）交互式登錄：提示用戶在過期之前更改密碼（4）交互式登錄：之前登錄到緩存的次數(shù)（域控制器不可用時）

（域控制器不可用時用于驗證曾經(jīng)登錄且被本地記錄的賬戶，默認10個）（5）交互式登錄：試圖登錄的用戶的消息文本、試圖登錄的用戶的消息標題

（會彈出一個文本框，用于警告登陸者的操作行為帶來的后果）（6）關(guān)機：允許系統(tǒng)在未登錄的情況下關(guān)閉

（在登錄界面右下角會有一個關(guān)機圖標，即允許在不輸入密碼的情況下關(guān)機）passwordname用戶賬戶1組賬戶2文件及文件夾3本地安全策略4知識儲備防火墻5防火墻Firewall主要功能：及時發(fā)現(xiàn)計算機網(wǎng)絡(luò)運行時可能存在的安全風險數(shù)據(jù)傳輸問題對出現(xiàn)的問題采取相應的方案記錄和監(jiān)測對計算機網(wǎng)絡(luò)安全的各項操作任務(wù)實施Contents04成為最優(yōu)秀值得信賴的教育服務(wù)提供商任務(wù)實施-1.環(huán)境監(jiān)測系統(tǒng)用戶賬戶設(shè)置123用戶密碼自行修改本地用戶賬戶修改本地用戶賬戶創(chuàng)建(1)本地用戶賬戶創(chuàng)建點擊右下“開始”圖標選擇“Windows管理工具”雙擊“計算機管理”點擊“系統(tǒng)工具”，下拉選項中點擊“本地用戶和組”右鍵點擊“用戶”，選擇“新用戶”按要求完成用戶賬戶名稱、初始密碼及其他設(shè)置點擊“創(chuàng)建”任務(wù)實施-1.環(huán)境監(jiān)測系統(tǒng)用戶賬戶設(shè)置(2)本地用戶賬戶修改對新創(chuàng)建的“監(jiān)測01”賬戶進行修改，：密碼修改為“HJJC_02”進入本地用戶和組的界面在“本地用戶和組”下拉選項中，點擊“用戶”右鍵點擊“監(jiān)測01”賬戶點擊“設(shè)置密碼”在彈出的選項框中完成新密碼的設(shè)置任務(wù)實施-1.環(huán)境監(jiān)測系統(tǒng)用戶賬戶設(shè)置(3)用戶密碼自行修改假設(shè)“監(jiān)測01”賬戶用戶自己需要進行密碼更改更改為“a_12345678”相關(guān)步驟：監(jiān)測01賬戶使用原有密碼登陸熱鍵傳入：Ctrl+Alt+Del選擇“更改密碼”設(shè)置新密碼任務(wù)實施-1.環(huán)境監(jiān)測系統(tǒng)用戶賬戶設(shè)置任務(wù)實施-2.環(huán)境監(jiān)測系統(tǒng)組賬戶設(shè)置12組賬戶成員添加組賬戶創(chuàng)建(1)組賬戶創(chuàng)建進入本地用戶和組的界面右鍵點擊“組”彈出的選項中選擇“新建組”填寫組名點擊“創(chuàng)建”任務(wù)實施-2.環(huán)境監(jiān)測系統(tǒng)組賬戶設(shè)置(2)組賬戶成員添加添加“監(jiān)測01”賬戶進入“監(jiān)測”組：進入本地用戶和組的界面雙擊“組”中間組的清單中右鍵點擊“監(jiān)測”，選擇“添加到組”彈出的監(jiān)測屬性界面中點擊“添加”彈出的選擇用戶界面點擊“高級”對象類型選擇“用戶”點擊“立即查找”在搜索結(jié)果中選擇“監(jiān)測01”賬戶點擊“確定”任務(wù)實施-2.環(huán)境監(jiān)測系統(tǒng)組賬戶設(shè)置任務(wù)實施-3.環(huán)境監(jiān)測系統(tǒng)文件及文件夾權(quán)限設(shè)置12訪問對象權(quán)限設(shè)置文件夾添加訪問對象(1)文件夾添加訪問對象右鍵點擊該文件夾選擇“屬性”安全子界面上點擊“編輯”彈出的環(huán)境監(jiān)測系統(tǒng)的權(quán)限界面上點擊“添加”彈出的用戶或組界面上，采用類似組賬戶成員添加的操作添加“監(jiān)測”組點擊“確定”任務(wù)實施-3.環(huán)境監(jiān)測系統(tǒng)文件及文件夾權(quán)限設(shè)置(2)訪問對象權(quán)限設(shè)置在環(huán)境監(jiān)測系統(tǒng)的權(quán)限界面上，將修改、讀取和執(zhí)行、列出文件夾內(nèi)容3個權(quán)限勾選任務(wù)實施-3.環(huán)境監(jiān)測系統(tǒng)文件及文件夾權(quán)限設(shè)置任務(wù)實施-4.環(huán)境監(jiān)測系統(tǒng)本地安全策略設(shè)置123環(huán)境監(jiān)測系統(tǒng)用戶權(quán)限分配環(huán)境監(jiān)測系統(tǒng)賬戶鎖定策略設(shè)置環(huán)境監(jiān)測系統(tǒng)密碼策略設(shè)置4環(huán)境監(jiān)測系統(tǒng)安全選項(1)環(huán)境監(jiān)測系統(tǒng)密碼策略設(shè)置點擊“開始”圖標點選“Windows管理工具”雙擊“本地安全策略”在“賬戶策略”下拉的“密碼策略”中分別雙擊選項進行設(shè)置任務(wù)實施-4.環(huán)境監(jiān)測系統(tǒng)本地安全策略設(shè)置(2)環(huán)境監(jiān)測系統(tǒng)賬戶鎖定策略設(shè)置進入本地安全策略界面點選“賬戶鎖定策略”先修改“賬戶鎖定閾值”再修改“賬戶鎖定時間”任務(wù)實施-4.環(huán)境監(jiān)測系統(tǒng)本地安全策略設(shè)置(3)環(huán)境監(jiān)測系統(tǒng)用戶權(quán)限分配點選“用戶權(quán)限分配”“備份文件和目錄”添加“監(jiān)測”組“拒絕通過遠程桌面服務(wù)登錄”添加“監(jiān)測”組任務(wù)實施-4.環(huán)境監(jiān)測系統(tǒng)本地安全策略設(shè)置(4)環(huán)境監(jiān)測系統(tǒng)安全選項進入