Day21-MS sever 複習：Ch6 Ch10 預習：Ch7 Ch17 Ch8 Ch9

●NTFS權限 檔案及目錄copy到不同磁區(partition)或磁碟(disk)上，都是以繼承目地父系屬性及權限的方式。

●NTFS權限 檔案及目錄只有再移動(剪下貼上)到同磁區(partition)，會保留原屬性及權限，2008則是保留+繼承。

●移動(剪下貼上)的原理 1.不同磁區及磁碟是用copy的方式再製，刪除(指改變原檔案的filetable標示為可用)。2.同磁區則是直接改變該檔案的filetable路徑。

●預設有3個目錄是沒有繼承根目錄的父系權限
1.C:\Documents and Settiongs (Server 2008 則是users使用者目錄)
2.C:\WINDOWS
3.C:\Program Files

●Windows Server 2008 已取消zip檔的加密功能，但仍可與先前版本相容。

●efs……未完

Day20-TCPIP、NET

上午 TCPIP
 錄音檔連結
https://drive.google.com/?tab=wo&authuser=0#folders/0B2-SA0EPxS2wTmMzc2NELXhPUEU

下午 NET
錄音檔連結
https://drive.google.com/?tab=wo&authuser=0#folders/0B2-SA0EPxS2wUFlEeE5xNHhZQUk
考試重點於第2個檔

Day19-MS Server 複習：Ch5 Ch6 預習：Ch10 Ch7 Ch17

●AD有 5大角色，而此架構一直延用至今 (Server 2008 R2)

FSMO (Flexible Single Master Operations) 五大角色分別為：

架構主機 (Schema Master) 負責更新目錄架構。

網域命名主機 (Domain Naming Master) 負責變更樹系網域目錄名稱空間。

基礎結構主機 (Infrastructure Master) 跨網域物件參照中，負責更新物件 SID 與辨別名稱。

RID 集區管理員 (RID Master) 負責處理 RID (Relative ID) 集區中來自給定的網域的所有 DC 要求。

PDC (PDC Emulator) 對舊版的工作站、成員伺服器與網域控制站宣稱自己為主要網域控制站 (PDC)。

角色移轉參考連結如下

http://blog.miniasp.com/post/2011/02/10/How-to-add-Windows-Server-2008-R2-Domain-Controller-into-Win2k8-Domain.aspx

http://blog.miniasp.com/post/2012/07/16/How-to-transfer-Active-Directory-FSMO-to-another-Domain-Controller.aspx

●群組原則 GPO

●群組原則GPO上層如與下層衝途，則會以下一層的原則為主。

●群組原則 GPO 套用，是可以停止、部份停止、刪除連結。

●自動套用時間 DC 每5分鐘、非DC每90~120分鐘、ALL PC 16小時。

●更新 群組原則 可以用指令gpupdate或gpupdate /force(全部套用)

●要查詢套用的 群組原則 可以用指令gpresult再2008要加 /r 參數。

●AD網域內如有多台網域控制站，則會先寫入預設的 PDC主機。

●喜好設定通常用於預設值，而原則設定會優於喜好設定。

●喜好設定功能是nt6以後版本才有，而vista有也不完整，需要更新。

●XP、Server 2003、Vasta 需安裝CSE才有有喜好設定影響。

●NTFS 權限是可以被繼承的，而安全性權限具有累加性，但拒絕優先權較高。

●NTFS 進階安全性設定，取消勾選父項繼承權限，選「復製」(2008為新增)是保留繼承來的權限，之後可以做修改、刪除，選「移除」的話則是移除繼承來的權限且保留先前自行新增的權限。

●NTFS 預設的權限表

Day18-MS Server 複習/預習：Ch5 Ch11 Ch6 C10

●新增 Domain Users 時一般來說會基本最少要有 全名(full name)、登入名稱(Domain)、登入名稱(UPN)，而使用者全名再同一個容器中是不可以重覆的，而 UPN 是再整個樹系中是不可以重覆的。

●Server 2008 R2 才有AD管理中心，再此新增的使用者，可以沒有 UPN。

●UPN可以再樹系裡各網域中登入，但並非是一定要的。

●Administrator 帳戶永不過期，也不會因嚐試密碼多次而鎖定，而且登入時數及特定電腦限制無用。

●Server 2003 再尋找 整個目錄是有 bug 的存在，所以請選需要搜尋的網域。

●提升網域控制享的樹系和網域時，會以該樹系及網域最低的網域控制站為限，而且所有的DC都要在線，如直接提到樹系則會連帶一起提高網域。

●當網域內所有的DC都是離線時，網域成員要登入主機時，如無登入過則無法登入，如曾登入過則會利用登入快取憑證(Cached Credential)來登入，但無法使用網域資源。而且 xp 即使dc有在線，要登入時會仍會有1-2次會使用登入快取憑證(Cached Credential)來登入。

●AD 環境下 Server2003 DNS管理無法連線 2008 的 DNS 是因為 2008 的版為 6.X 而 2003 的版本為 5.X 比較舊所以無法連線。

Day17-MS Server 複習/預習：Ch5 Ch11 Ch6

●VBox 遠瑞顯示選項如有勾選，則會自動開啟3389埠(或自行指定的埠)，操作方式是同步操控，而防火牆如有開啟則會擋。

●成員伺服器要升級為網域控制站，可以執行DCPromo 。

●升級網域控制站如有時空間障礙，可以先將DC備份再到目的伺服器還原，還原時需注意先還原到其它目錄，再將其匯入。

●AD DC一般使用者是無法登入，需提升使用者權限，只能登入 PC工作站。

●加入網域的工作站及伺服器，其群組原則會以網域為主，脫離網城不會刪除網域帳戶。

●脫離網域需注意sid的問題，脫離網域時會要求輸入網域的使用者帳戶，請輸入有權限的使用者帳戶。不輸入也可以脫離但要再加入就會產生問題，而網域也會判定此電腦尚未脫離。

●AD 容區(Container)是預設的無法新增跟刪除，而組織單位(OU)是特殊的容器。

●Server 2003 作為成員伺服器，要管理 ad dc 可以安裝 Adminpak.msi 再第1片光碟的\i386\windows\system32\裡可以找到，而如果「網域控制站」安裝了Adminpak.msi，則在系統管理工具中的網域安全性原則、網域控制站安全性原則會被刪除。

●XP本身無 adminpak ，但仍可以安裝 。

●WIN7 要管理 AD DC 須要先安裝 Remote Server Administration Tools 。

Day16-TCPIP、NET

20130620 上午 TCPIP 錄音檔
https://drive.google.com/folderview?id=0B2-SA0EPxS2wR0tYb1FLRHNHVWs&usp=sharing

20130620 下午 NET 錄音檔
https://drive.google.com/folderview?id=0B2-SA0EPxS2wLXBQVkg1MDNwdlE&usp=sharing

電腦玩了很久…但今日才稍微的了解網路 iso osi 4/7層用再實際網路上運作的原理大慨是什麼鬼了……

Day15-MS Server 複習/預習：Ch5 Ch11 Ch6

遠瑞桌面連線
●再nt6之後才有支援 NLA (網路層級驗証)

●遠瑞桌面連線使用者需具備權限才可以連線，如沒有權限即時帳密對也無法連入

開放使用者權限
Server 2003
1.提升者用者權利，將使用者加入 Remote Desktop Users 或 Administrators 的群組。
例：
電腦右鍵管理→本機使用者和群組→群組→Remote Desktop Users 新增 使用者 或 群組
電腦右鍵內容→遠端→選取遠端使用者→新增 使用者 或 群組
2.修改本機安全性原則
例：
開始→系統管理工具→本機安全性設定→本機原則→使用者權利指派→右列的允許透過終端機服務登入→新增 使用者 或 群組。

Server 2008
電腦右鍵內容→遠端設定→遠端→選取使用者→新增
伺服器管理員→設定→本機使用者和群組→群組→Remote Desktop Users 新增 使用者 或 群組

●開啟 Server 2008 工作階段(Session)
gpedit.msc 電腦設定→系統管理範本→Windows 元件→終端機服務→終端機伺服器→連線→限制終端機服務的使用者只能使用一個遠端工作階段→將該項目設定為停用

●遠瑞桌面連可對外連線多台 (經測試很耗系統資源勿開太多台)

●Server 的終端機服務管理員很不好用，但是可以在此程式查詢誰登入你的電腦，並查看他使用哪些程式。

開始→系統管理工具→終端機服務管理員。

●微軟作業系統都有一個唯一的識別id，再網芳的使用環境下不會有什麼問題，但要再網域裡要部署大量電腦就要變更sid，而微軟本身有附，另外也有 newsid  可用，但 newsid 目前再server2008r2上使用會有問題
範例請參考下列網址
sysprep xp 
http://www.synnex.com.tw/asp/fae_qaDetail.asp?from_prg=&topic=FAE&group=&parent=&classifyid=01997&seqno=17627
newsid vista
http://blog.xuite.net/mosbbs/itman/25594621-Vista%E8%AE%8A%E6%9B%B4SID%E7%9A%84%E6%96%B9%E6%B3%95

●VBox Snapshot (快照) 可以做為 Guest OS 的完整存檔，用於 lab 實驗非常的好用，而且還可以多重記錄，其原理跟windwos還原不同，執行快照後再預設的系統目錄中會產生一個shapshot的目錄，目錄裡會產生.vdi的硬碟檔，快照後所做的變動及修改都會存再這，類似VBox硬碟再製裡選的連結的再製。使用時機，可於要做系統變更或試驗時先使用快照記錄，並最好是在變更前或後的關機時做，較為理想。

●將Server 升級為網域控制站DC，可以使用 dcpromo指令或使用角色新增功能。

●要加入網域的pc及工作站和伺服器需將dns的ip指向ad內的dns server ip，以及需有dc的使用者id及密碼。