当前位置：文档库 › Windows 2000 安全性技术概述

Windows 2000 安全性技术概述

操作系统

白皮书

摘要

Microsoft? Windows? 2000 Server 操作系统的分布式安全服务能让组织识别网络用户并控制他们对资源的访问。操作系统的安全模型使用信任域控制器身份验证、服务之间的信任委派以及基于对象的访问控制。其核心功能包括了与Windows 2000 Active Directory? 服务的集成、支持 Kerberos 版本 5 身份验证协议（用于验证 Windows 2000 用户的身份）、验证外部用户的身份时使用公钥证书、保护本地数据的加密文件系统 (EFS)，及使用 Internet 协议安全性 (IPSec) 来支持公共网络上的安全通讯。此外，开发人员可在自定义应用程序中使用 Windows 2000 安全性元素，且组织可以将 Windows 2000 安全设置与其他使用基于 Kerberos 安全设置的操作系统集成在一起。

引言

Microsoft? Windows? 2000 Server 操作系统不仅通过新的网络技术来协助组织扩展其操作，也通过增强的安性服务来协助组织保护其信息及网络资源。

Windows 2000 分布式安全服务针对主要业务需求，其中包括：

?让用户登录一次即可访问所有企业资源的能力。

?强大的用户身份验证及授权能力。

?内部和外部资源间的安全通讯。

?设置及管理必要安全性策略的能力。

?自动化的安全性审核。

?与其他操作系统和安全协议的互操作性。

?支持使用Windows 2000 安全设置功能进行应用程序开发的可扩展架构。

这些功能是整体 Windows 2000 安全设置架构的重要元素。Windows 2000 安全性基于简单的身份验证和授权模型。身份验证在用户登录时识别用户并将网络连接到服务。经过识别后，用户就会有权按照权限对一组特定的网络资源进行访问。授权是通过访问控制机制来进行的，使用存储在Active Directory? 中的数据项以及访问控制列表 (ACL)，后者定义对象（包括打印机、文件、网络文件、及打印共享）的权限。

此安全模型让经过授权的用户在扩展的网络上工作时更为容易，同时也提供强大的保护以对抗攻击。Windows 2000 分布式安全模型基于信任域控制器身份验证、服务之间的信任委派以及基于对象的访问控制。

首先，域中的每台客户机都通过安全地对域控制器验证身份来创建直接信任路径。其次，客户端不可能直接访问网络资源；相反，网络服务创建客户端访问令牌并使用客户端的凭据来执行请求的操作以模拟客户端。最后，Windows 操作系统核心在访问令牌中使用安全性标识符来验证用户是否被授予所需的对目标对象的访问权限。

本白皮书描述 Windows 2000 分布式安全服务支持此模型的主要元素；包括 Active Directory、身份验证和授权、以及有关 Kerberos 身份验证协议的介绍。并对 Windows 2000 如何使用公钥基本结构以及操作系统如何支持证书服务进行概述。另外还介绍用来保护硬盘上数据的加密文件系统 (EFS)。最后，它描述应用程序开发人员如何获得 Windows 2000 安全服务以及这些安全服务如何与其他操作系统提供的服务进行互操作。

注意本白皮书的每个主题在 Windows 2000 Web 站点技术库https://www.wendangku.net/doc/ac4335511.html,/windows2000/library中都有更详细的说明。在那里可以找每项主要技术的白皮书、操作系统联机文档及资源工具箱。

Active Directory的角色

Windows 2000 Active Directory 服务在网络安全性中扮演重要角色。Windows 2000 Server 和 Windows 2000 Professional 都有安全性功能保护存储在个别 PC 上的信息。但对于控制网络资源访问的广泛的、基于策略的安全，组织应该同时使用 Windows 2000 Server 和Professional 才可利用 Active Directory 所提供的分布式安全性功能的优势。

Active Directory 提供一个中央位置来存储关于用户、硬件、应用程序和网络上数据的信息，这样用户就可以找到他们所需要的信息。它也保存了必要的授权及身份验证信息以确保只有适当的用户才可访问每一网络资源。

此外，Active Directory 与 Windows 2000 安全服务（如 Kerberos 身份验证协议、公钥基本结构、加密文件系统 (EFS)、安全性配置管理器、组策略以及委派管理等）紧密集成。此集成允许 Windows 应用程序利用现有安全性架构，这项功能在本白皮书中的稍后部分有说明。

Active Directory基础

由于两者密不可分的关系，若要了解安全服务在 Windows 2000 中的工作方式，就需要对 Active Directory 架构有个基本了解。若您不熟悉 Active Directory，本部分提供了简要概述。

注意有关 Active Directory 的详细信息，请浏览 Windows 2000 技术库中的资源。

与用在Windows NT? Server 操作系统中的平面文件目录不同，Windows 2000 Active Directory 在以表示您的业务结构的逻辑层次结构中存储信息。这种方式允许更大的增长空间及简化的管理。为了创建层次结构，Active Directory 使用域、组织单元 (OU) 及对象来让您以更类似于在 Windows 中使用文件夹和文件来组织您 PC 上信息的方式来组织网络资源。

如果您的浏览器不支持内嵌框，请单击此处在单独的页中查看。

图 1 Active Directory服务的层次结构

域是网络对象（包括组织单元、用户帐户、组和计算机，他们都共享与安全性有关的公用目录数据库）的集合。域形成 Active Diectory 内逻辑体系结构的核心单元，因此在安全性中扮演重要角色。如果将对象分组到一个或多个域中，您的网络就可反映您公司的组织方式。

较大型的组织可以含有多个域，这种情况下的域层次结构就称为域目录树。第一个创建的域是根域，它是在其下创建的域的父域，其下的域称为子域。若要支持非常大型的组织，可将域目录树链接在一起，形成一种称为目录林的排列。（在使用多个域控制器的情况下，Active Directory 会按固定时间间隔复制到域中的每个域控制器上，以使数据库永远同步。）

域可标识一个安全机构，并使用一致的内部策略及与其它域间的明确安全性关系形成一个安全边界。特定域的管理员只在本域中有设置策略的权限。这对大型企业的帮助很大，因为不同的管理员可以创建并管理组织中不同的域。此管理含义在下面的“管理委派”部分有进一步的探讨。

站点是在学习有关 Active Directory 的知识时会碰到的另一个术语。域通常会反映一个组织的商业结构，而站点则通常被用来定义与地理分布有关的 Active Directory 服务器组。这些计算机通常都以高速链接来连接，但它们彼此之间可以有也可以没有逻辑关系。例如，若您有一个大型建筑物供一些相对无关的组织活动使用，如视频产品设备、备办食物、文件存储等，则这栋建筑物中的 Active Directory 服务器可以被当作一个站点（即使在该服务器上所完成的处理是不相关的）。

所谓组织单元(OU)，是指一个容器，可用它将对象组织成域中的逻辑管理组。OU 可包含对象，如：用户帐户、组、计算机、打印机、应用程序、文件共享和其他的 OU。

对象包含关于个别项目（如特定用户、计算机或硬件）等的信息（称为属性）。例如，用户对象的属性可能包含姓和名、电话号码和管理器名称。计算机的对象可能包含计算机的位置及访问控制列表 (ACL)，列表中会指定对该计算机拥有访问权限的组和个人。

通过将信息分组到域和 OU 中，可以管理对象集合（如用户组和计算机组）的安全性，而不是逐个管理每个用户和对象。此概念将在下面的“使用组策略来管理安全性”部分作进一步描述。首先，还有另一个对了解安全性如何使用 Active Directory 极为重要的概念：信任。

域间的信任关系

为了让用户登录网络一次就可以使用网络上所有资源（通常称为单一登录能力），Windows 2000 支持域间的信任关系。所谓信任关系，是指一种逻辑关系，这种逻辑关系在域之间建立，用来支持直接传递身份验证，让用户和计算机可以在目录林的任何域中接受身份验证。这让用户或计算机仅需登录网络一次就可以对任何他们有适当权限的资源进行访问。这种穿越许多域的能力说明了传递信任这个术语，它是指跨越一连串信任关系的身份验证。

基于 Windows NT 的网络使用单向、非传递的信任关系。相反，当基于 Windows 2000 的域被组织成目录树时（如上面的图 1 所示），域间会创建隐含信任关系。这使在中型和大型组织中建立域间的信任关系更为容易。属于域目录树的域定义与目录树中的父域的双向信任关系，而所有域都隐含地信任目录树中的其他域。（如果有不应该有双向信任的特定域，您应该定义明确的单向信任关系。）对于具有多个域的组织，使用 Windows 2000 比使用 Windows NT 4.0，明确的单向信任关系总数显著减少，这种改变将大大简化域的管理。传递信任在默认情况下建立于目录树中，这样做之所以有意义是因为通常是由单个管理员来管理一个目录树。但因为目录林不太可能被单个管理员控制，因此目录林的目录树间的传递信任关系必须特别创建。

有关信任关系工作方式的说明，请再次参考上面的图 1。Windows 2000 自动于根域 (https://www.wendangku.net/doc/ac4335511.html,) 及其两个子域

（https://www.wendangku.net/doc/ac4335511.html, 和 https://www.wendangku.net/doc/ac4335511.html,）间建立双向信任关系。此外，因为 https://www.wendangku.net/doc/ac4335511.html, 信任这两个子域，因此信任关系也在 FarEast 和 Europe 域间传递性地建立。这些关系在基于 Windows 2000 的域间自动建立。在有基于 Windows 2000 和基于Windows NT 域的网络中，管理员可以创建用在基于 Windows NT 的网络中明确的单向信任关系。

为了向后兼容性，在 Windows 2000 中，信任关系通过使用 Kerberos V5 协议及 NTLM 身份验证（描述如下）支持跨域的身份验证。这一点很重要，因为许多组织的基于 Windows NT 的企业域模型非常复杂，具有多个主域和许多资源域，而这些组织发现管理资源域和其主帐户域间的信任关系既花费成本又非常复杂。因为基于 Windows 2000 的域目录树支持传递信任目录树，它简化了较大型组织的网络域集成及管理。不过请注意，对于 ACL 不同意授予某些权限的人，传递信任不会自动将这些权限指派给他（或她）。传递信任让管理员更容易定义和配置访问权限。

使用组策略管理安全性

组策略设置是配置设置，管理者可用此设置来控制 Actove Directory 中对象的各种行为。“组策略”是 Active Directory 一项显著的功能，它让您以相同的方式将所有类型的策略应用到众多计算机上。例如，可以使用“组策略”来配置安全性选项，管理应用程序，管理桌面外观，指派脚本，以及将文件夹从本地计算机重新定向到网络位置。系统将“组策略”设置在计算机激活时应用于计算机，在用户登录时应用于用户。

可以将“组策略”配置设置与三个 Active Directory 容器相关联：组织单元 (OU)、域或站点。与给定的容器相关的“组策略”设置不是影响该容器中所有的用户或计算机，就是影响该容器中特定的对象集合。

可以使用“组策略”来定义广泛的安全性策略。域级策略应用于域中的所有用户并包含如帐户策略等的信息 - 例如，最短密码长度或用户多久该更改密码一次。可以指定在较低级别是否可改写这些设置。

在使用“组策略”功能来应用广泛的策略后，可以进一步细化个别 PC 上的安全性设置。本地计算机安全性设置控制您想要授予特定用户或计算机的权限和特权。例如可以指定谁可在服务器上进行备份和还原、或希望审核桌上型计算机的数据访问量。

特定计算机的设置是从域到 OU 所有策略设置的组合。例如，在上面的图 1 中，https://www.wendangku.net/doc/ac4335511.html, 域中用户的设置是

https://www.wendangku.net/doc/ac4335511.html, 域、https://www.wendangku.net/doc/ac4335511.html, 域及域中所有 OU 上设置的所有策略的集合。

身份验证和访问控制

身份验证是系统安全性的基本方面。身份验证是用来确认任何试图登录到域或访问网络资源的用户的身份。Windows 2000 身份验证过程是使单一登录可访问所有网络资源的过程的一部分。使用单一登录，用户可以用单一密码或智能卡登录到域中一次，并可对域中任何计算机进行身份验证。

在基于 Windows 2000 的计算环境中，成功的用户身份验证是由两个单独的过程组成的：互动式登录，这会向域帐户或本地计算机确认用户的身份；以及网络身份验证，这会向用户试图访问的任何网络服务确认用户的身份。

一旦用户帐户经过身份验证并可访问对象时，要么是分配至该用户的权力要么就是附加于对象的许可来决定所授予的访问权限的类型。至于域中的对象，该对象类型的对象管理器会实施访问控制。例如，注册表会对注册表项实施访问控制。

本节后面会更为详尽地描述 Windows 2000 身份验证过程及访问控制规定。

身份验证

用户在 Active Directory 中必须有一个 Windows 2000 用户帐户，以登录到计算机或域中。此帐户会为用户创建一个身份，然后操作系统会使用此身份验证用户的身份并授予访问特定域资源的权限。

用户帐户还可用作一些应用程序的服务帐户。也就是说，服务可被配置成以用户帐户登录（身份验证），然后通过该用户帐户授予对特定网络资源的访问权限。

就像用户帐户一样，Windows 2000 计算机帐户提供一种方法来进行身份验证以及审核计算机对网络的访问权限以及对域资源的访问权限。每一台您想要授予访问资源权限的基于 Windows 2000 计算机都必须有一个唯一的计算机帐户。

注意运行 Windows 98 和 Windows 95 的计算机没有那些运行 Windows 2000 和 Windows NT 的计算机所拥有的高级安全功能，并且在基于 Windows 2000 的域中不能被指派计算机帐户。不过，您可以登录网络并在 Active Directory 域中使用基于 Windows 98 和Windows 95 的计算机。

Windows 2000 支持多重身份验证机制以供用户在进入网络时证明自己的身份。在使用 Extranet 和电子商务应用程序来延伸您的网络到公司外的用户时，这个机制就非常重要。

当用户进入网络时，用户必须提供身份验证信息以便安全系统身份验证其身份，之后再决定要允许该用户以什么权限（如果有的话）访问网络资源。Kerberos 身份验证协议（描述如下）用来验证您公司中的 Windows 2000 用户的身份。当将系统延伸到合作伙伴、供货商和 Internet 上的客户时，您必须支持多种方法让您公司以外的用户证明他们的身份。

为了帮助您满足这种需求，Windows 2000 支持数种产业标准身份验证机制，包括 X.509 证书、智能卡和 Kerberos 协议。此外，Windows 2000 还支持在 Windows 中使用多年的 NTLM 协议，并为开发生物身份验证机制的厂商提供接口。

在 Active Directory 中使用“组策略”，可以根据用户的角色和您的安全需要为个别用户或用户组指派特定身份验证机制。例如，您可能需要执行人员仅使用智能卡来验证其身份，以便在证明其身份时提供额外的安全元素；对于 Internet 客户，您可能需要以 X.509 证书（可与任何浏览器并用）进行身份验证；对于内部职员，您可以继续使用 NTLM 用户名称/密码身份验证。无论用什么方法来证明身份，Windows 2000 总是使用 Active Directory 来查阅身份验证机制所呈现的身份。

若身份验证成功，可以根据身份验证机制所提供的身份找到用户帐户，Windows 2000 会为用户提供一组凭据，该凭据可用来访问整个网络上的资源。

访问控制

Windows 2000 通过让管理员给对象指派安全性描述符，如文件、打印机和服务等来执行访问控制。对象的安全性描述符包括访问控制列表 (ACL)，该列表是用来定义哪一用户（依照个人或组）有权限对该对象执行特定操作。对象的安全性描述符还指定该对象待审核的各种访问事件，如所有写入到安全文件的活动。通过管理对象的属性，管理员可以设置使用权限，指派拥有权，并监视用户的访问。

管理者不仅可控制对特定对象的访问，也可控制对该对象的特定属性的访问。例如，通过对象的安全性描述符的适当配置，可允许用户访问信息子集，如职员姓氏、名字和电话号码，但不包括他们的家庭住址。

使用对象的 ACL，Windows 2000 会比较关于客户端和关于对象的信息来决定用户对该对象（例如，文件）是否具有所需的访问权（例如，读取/写入权限）。访问检查是在 Windows 2000 的安全性子系统内的核心模式中完成的。服务会根据此比较的结果来响应客户端，要么对对象提供服务，要么返回一个访问遭拒绝的失败。

精密的访问控制

为了给管理者较大的弹性来指派安全性设置，Active Directory 提供对目录中对象的精密访问控制。目录中的项可以有丰富的架构：用户或组可以有数百种属性，如电话号码、办公室号码、管理器以及成员所属的组等。可以对该用户帐户的所选属性授予权限，但不授予对所有属性的完整读取/写入权限。也可以依照属性来审核客户端帐户的更改或其他 Active Directory 记录的更改。

管理委派

Active Directory 让管理者在域的目录林中委派管理任务子集，这样组织就可以将域管理的责任分发给数个职员。可以通过创建包含您想委派控制的对象的组织单元来对域目录树的任何级别委派管理控制，然后把这些组织单元的管理控制委派给特定用户或组。

在组织单元级别，管理员可授予特定操作权限，如谁可以创建组，谁可以控制那些组的成员资格列表，或谁可以向域中添加计算机帐户等。“组策略”设置和用户组允许管理员精确定义委派的授权单位。例如，修订用户记录的授权就可以委派给特定用户组，如“会计支持小组”，而该组的授权又可以限于所选用户子集，如会计工资单职员。

另外，因为精密的访问控制（上述），管理员可严密地定义委派任务的范围。例如，不需给支持组完整的用户帐户记录权限，管理者可给支持组以重设用户密码的能力，但不给予更改用户地址的能力。

注意有关 Active Directory 与安全性之间的关系的详细信息，请参阅 Windows 2000 服务器技术库中的“Active Directory Users, Computers, and Groups”白皮书。

Kerberos身份验证协议

Windows 2000 使用 Internet 标准 Kerberos V5 协议 (RFC 1510) 作为验证用户身份的主要方法。Kerberos 协议提供在客户机和服务器两者之间的网络连接打开前交互身份验证的机制。此方法对包含开放通讯（如那些已经在 Internet 上实现的）的网络来说是非常理想的。

Kerberos 身份验证是根据票据。当客户端登录到基于 Windows 2000 的域时，会收到一张票据，这张票据是用来向所访问网络资源验证客户端，以及向客户端验证网络资源。为此，Kerberos 协议依靠身份验证技术，这个技术叫做共享机密身份验证。这个方法的前提很简单：若仅有两个人知道秘密，那么两人中的任何一个人都可以通过确认另一个人是否知道这个秘密来确认对方的身份。

使用 Kerberos 协议，客户机和服务器都会向 Kerberos 身份验证服务器注册。使用 Kerberos 身份验证的客户端将由用户密码派生的加密信息发送到 Kerberos 服务器，该服务器使用它来验证用户的身份。同样地，服务器将信息发送到客户端的 Kerberos 软件，该软件就可验证服务器的身份。此交互身份验证过程（下面有较详尽的描述）可同时避免客户机和服务器被恶意的用户冒充。

此方法是对 Windows NT 4.0 身份验证过程（称为 NTLM）的一种改进，后者需要对用户所访问的每个网络资源进行单独的客户端身份验证。Kerberos 替换 NTLM 成为访问基于 Windows 2000 Server 的域内或域间的资源的主要安全协议。（为确保向后兼容性，仍支持 NTLM。）完整的 Kerberos 协议支持提供对基于 Windows 2000 Server 的资源以及支持此协议的其它环境进行快速、单一的登录。

Kerberos身份验证过程

用最简单的说法，Kerberos 身份验证过程就是在客户机和服务器之间检查和发送凭据。以下是它运作的方式：当用户登录到基于 Windows 2000 的域时，Windows 2000 会找到 Active Directory 服务器和 Kerberos 身份验证服务，并将客户端凭据发送给 Kerberos 服务。客户端是由用来取得密钥的密码来验证身份，这个密钥可由服务器验证，或（在使用智能卡登录的情况下）由使用私钥加密的信息来验证身份，此私钥的公开部分是在 Active Directory 中注册的。在检查客户端身份验证信息后，Kerberos 服务，称为“密钥发行服

务”(KDC)，为用户签发授予票据的票据 (TGT)，当客户端要求后续 Kerberos 票据以登录到网络资源时，这个票据就会用来标识客户端。（使用 TGT 减少 KDC 必须查阅客户端信息的次数。）虽然这是一个复杂的过程，但用户唯一要做的就是输入自己的密码来登录。

图 2 显示了客户机、KDC 和使用 Kerberos 身份验证协议的应用程序服务器三者之间的关系。

如果您的浏览器不支持内嵌框，请单击此处在单独的页中查看。

图 2 Kerberos身份验证过程。

Kerberos 和Active Directory

每个基于 Windows 2000 的域控制器将 Active Directory 实现为其目录并集成 KDC。这允许所有用户帐户信息存储在单个目录中。若您的组织是中型或大型的，您可能有多个域控制器来给组织提供可用性和容量。这不会影响您使用 Kerberos 身份验证的能力，因为只要有 Active Directory 的副本，就会有 Kerberos 身份验证服务的副本。

身份验证委派

此讨论已经说明了客户端访问单个服务器的情况。然而，对应用程序而言，使用几个服务器来执行任务是很平常的。例如，基于 Web 的应用程序可能既使用 Web 服务器，又使用一个数据库服务器，以此为基于浏览器的客户端提供信息。不用让客户端通过其所使用的每个服务器的个别身份验证过程，Windows 2000 提供跨多层应用程序（也称为三层应用程序）的安全措施。

如先前所述，基于 Windows 2000 的域间的传递信任关系极大地扩展了运行 Windows 2000 或 Windows NT 工作站的客户端在登录到基于 Windows 2000 的域后可访问的资源范围，不需许多不同密码来访问不同服务器和资源。访问范围（称为单一登录）是通过结合 Windows 2000 信任机制和 Kerberos 协议使用 Active Directory 来处理客户端身份验证的方法而达成。

操作系统提供单一安全模型及基本结构以定义用户帐户及管理访问权限。这表示您可以在 Active Directory 中一次性定义设置，然后将他们用于您组织中的所有应用程序服务器。这种用来支持三层模型的方法就叫做身份验证委派。

如果您的浏览器不支持嵌入框架，请单击此处在单独的页中查看。

图 3 身份验证委派。

如上面的图 3 所示，这种模型允许客户端身份验证交给应用程序涉及的服务器。此服务器会模拟客户端，并代表客户端来执行访问请求。这表示所有身份验证凭据和票据的传递并不需要用户输入。虽然服务器会模拟客户端，但对原始客户端的审核记录会被保存。当服务器处理一个由另一个服务器转送过来的请求时，其记录会显示客户机的名称，而非中介服务器的名称。

此模型是 Windows 2000 的一个重要元素，因为它支持单一登录并简化（不影响）安全性。今天的许多应用程序需要为安全性准备单独的帐户数据库。但是使用 Active Directory 集中存储安全信息的应用程序有助于创建更易于管理和伸缩的网络。

注意有关 Kerberos 身份验证的详细信息，请参阅 Windows 2000 技术库中的“Windows 2000 Kerberos Authentication”和“Windows 2000 Kerberos Interoperability”白皮书，网址是https://www.wendangku.net/doc/ac4335511.html,/windows2000/library。

公钥基本结构

公钥加密技术用于保护开放网络上活动的安全，如在 Internet 上。它允许您加密数据、签名、并通过使用证书来验证客户机和服务器的身份。此技术的挑战在于跟踪证书。公钥基本结构(PKI) 提供使用、管理、及查找公钥证书的能力。本节内容详尽描述 PKI 并解释Windows 2000 PKI 运作的方式。

PKI 是数字证书、证书颁发机构 (CA) 和其他检查并验证参与电子交易各方合法身份的注册机构的一种行业标准系统。可以使用您的公钥基本结构来支持广泛的网络和信息安全性需求。例如，在您的网络上没有 Windows 2000 帐户的用户（如业务伙伴）需要另一种方法证明其身份以便您可以控制它们对信息的访问。这些用户的身份可以通过使用 PKI 来验证。

公钥证书是用来验证身份并发送用来加密和解密数据的密钥。有两种用于公钥加密技术的密钥类型，一种是公钥￡?另一种是私钥。公钥在证书中很容易取得，但通过公钥加密后的数据只可以使用私钥来解密。一笔受到保护的交易需要公钥和私钥两种密钥来对包含于交易中的数据进行加密和解密。

Windows 2000 PKI 提供服务架构、技术、协议和允许您部署并管理强大的信息安全性系统（该系统基于公钥技术）的标准。Windows 2000 中的 PKI 支持公钥加密技术，应用程序和用户轻易可以找到并使用证书，而无须了解它们存放的地方和运作的方式。此外，Windows 2000 PKI 与 Active Directory 和操作系统的分布式安全服务完全集成在一起。

如果您的浏览器不支持内嵌框，请单击此处在单独的页中查看。

图 4 Windows 2000公钥基本结构组件。

PKI证书支持

基本上，证书是一个由颁发机构签发的数字声明，它可担保私钥持有者的身份。证书将公钥与持有相应私钥的人员、计算机或服务等身份连接到一起。

基于 Windows 2000 证书的过程所使用的标准证书格式是 X.509v3。X.509 证书包含关于证书接收方的人或实体的信息、证书的信息、还有签发证书的颁发机构的可选信息。

证书服务

为使您可以实现 PKI 而不需依靠外部 CA，Windows 2000 包含一个称为“证书服务”的组件，用来创建并管理 CA。“证书服务”与Active Directory 和分布式安全服务集成，如上面的图 4 所示。

CA 负责创建并担保证书持有人的身份。CA 也可以撤消证书（如果证书不再被视为有效），并发布证书撤消列表 (CRL) 供证书确认方使用。最简单的 PKI 设计仅有一个根 CA。然而，实际上，大多数部署 PKI 的组织会使用许多 CA，这些 CA 组织成信任组（称为证书层次结构）。

“证书服务”有一个独立的组件是 CA Web 登记页。默认情况下，这些 Web 页在您设置 CA 并允许证书请求者具有用网页浏览器提交证书请求的能力时就安装好了。此外，CA Web 页可以安装在未安装证书颁发机构的基于 Windows 2000 的服务器上。这种情况下，Web 页用于将证书请求定向到 CA，因为无论出于什么原因，您都不会希望请求者直接进行访问。若您选择为您的组织创建自定义 Web 页来访问 CA，则可将 Windows 2000 中所提供的 Web 页当作示例使用。<0}

为使部署公钥安全措施变成一项简单的工作，在 Windows 2000 内实现了计算机所用证书登记步骤的自动化。因为使用了 Active Directory，服务器会知道他们可以取得证书，而且会在需要时自动取得。这表示服务器管理员不需要到每一个服务器上手动执行所有步骤来登记服务器证书。

公钥策略

使用 Windows 2000 中的“组策略”不仅可以自动将证书分发给计算机，建立证书信任列表及信任证书颁发机构的列表，而且可以管理加密文件系统的恢复策略。

CryptoAPI

除“证书服务”外，Windows 2000 PKI 还依靠 Microsoft CryptoAPI 版本 2 来进行安全的密码操作及私钥管理。CryptoAPI 是 Windows 2000 应用程序编程接口 (API)，为 Windows 和 Windows 应用程序提供密码服务。它提供一组功能，以允许应用程序加密数据或以数字方式灵活地签发数据，而同时又提供对私钥的保护。实际的密码功能由被称为密码服务提供程序 (CSP) 的独立模块实现。

开发人员可以使用 CryptoAPI 将“证书服务”与现有数据库及第三方目录服务集成到一起。CryptoAPI 的常规用途包括支持自定义过程来保护电子文档。

使用证书来验证外部用户的身份

在某些情况下，您可能希望为外部用户提供一些对某 Web 站点上发行的特定数据的安全访问权（通常公众无法访问该站点）。典型的情况有：合作伙伴需要 Extranet 访问权；某一部门需要访问另一部门的 Intranet 网页；或您希望对部分公众提供选择性访问权。

为此，Windows 2000 提供一种方法可安全地为用户授予访问权限，即使用 PKI 和 Active Directory 来验证用户的身份。这里是它的运作方式的一般概述：您是通过在 Active Directory 中创建用户帐户并指派给外部用户来提供访问权的。此帐户对外部用户可在您的网络上使用的资源具有访问权。每个外部用户都需要有证书来验证其身份。该证书必须由证书颁发机构签发，这些机构列在 Active Directory 站点、域或组织单元（您已在其中创建了用户帐户的）的证书信任列表中。当用户登录时，系统会将用户的证书映射到帐户，然后决定用户可以使用您内部 Web 站点的哪些部分。身份验证过程对外部用户来说是透明的。

PKI 用于Windows 2000的情况

除了上述的供外部用户验证其身份的方法外，还有其他一些情况也需要仰仗 PKI。使用公钥技术的常规安全功能有：

?使用安全/多重目的Internet 邮件扩展(S/MIME) 来保护电子邮件通讯的安全。

?为进行安全交易而创建数字签名。

?使用Secure Sockets Layer (SSL) 或Transport Layer Security (TLS) 来保护Web 上的通讯安全。

?签署可执行代码以便在公用网络上传递。

?支持本地网络登录或远程网络登录。

?为不使用Kerberos 协议的客户端，或为IPSec 通讯的共享机密密码提供Internet 协议安全性(IPSec) 身份验证。

?使用Windows 2000 EFS 对文件进行加密。

?使用智能卡保护登录凭据的安全。

这些情况中的某些情况（包括 EFS、IPSec、和智能卡等）在本白皮书中的其他地方有相应的描述。

注意有关 PKI 在 Windows 2000 中运作方法的详细说明，请参阅《Microsoft Windows 2000 公钥基本结构》白皮书，网址是：

https://www.wendangku.net/doc/ac4335511.html,/windows2000/library/planning/security/pki.asp。有关 PKI 在 Windows 2000 中其他用途的信息，请参阅“技术库”，网址是：https://www.wendangku.net/doc/ac4335511.html,/windows2000/library。

智能卡

各公司正在加紧寻求增加其网络资源安全性的方法。近来比较盛行的一种方法是使用智能卡。若要使未经授权的人更难取得访问网络的权限，智能卡是相对简单的一种方法。因此，Windows 2000 中包含对智能卡安全性的内置支持。

智能卡通常和信用卡大小一样，它所提供的抗篡改存储能够保护用户的证书和私钥。因此，智能卡提供了一种十分安全的用于用户身份验证、交互式登录、代码签名以及安全电子邮件的方法。智能卡包含一个芯片，用于存储用户私钥、登录信息和具有多种用途（如数字签名和数据加密）的公钥证书。

由于以下几种原因，智能卡要比密码安全一些：

?验证用户身份时需要实体对象，即智能卡。

?智能卡必须与个人标识号码(PIN) 一起使用，以确保专人用专卡。

?入侵者使用偷来的凭据这一风险被有效地排除了，因为要从卡中抽取密钥实际上是不可能的。

?没有此卡，入侵者就无法访问智能卡所保护的资源。

?没有任何密码形式或任何可重复使用的信息是通过网络传的。

智能卡增强了仅针对软件的身份验证，方法是在让用户访问资源前先要求用户提供实际对象（智能卡）并需要知道卡片的 PIN 码。这种既要展示卡片又要展示 PIN 的需求称为两项因素身份验证。在额外安全性很重要的情况下使用智能卡验证用户身份是理想之选，如在提供访问您的工资单软件的权限时。

用户不是输入密码，而是将卡片插入附于 PC 上的读取器，然后输入卡的 PIN。Windows 2000 使用私钥和存储在卡片上的证书以对在Windows 2000 域控制器上的 KDC 验证用户身份。验证用户身份后，KDC 会返回授予票据的票据。自此，用户在此会话期间所进行的其它连接也都会使用上述的 Kerberos 身份验证。

加密文件系统

至此，本白皮书已经描述了用来保护存储在集中式网络上的资源的技术。但是除简单的密码保护之外，怎样保护桌上型或膝上型计算机上存储的数据呢？

Windows 2000 加密文件系统 (EFS) 正涉及到这个问题。为使本地存储的数据多一些保护措施，EFS 允许您对本地计算机上指定的文件或文件夹进行加密，这样未经授权的人就无法读取这些文件。EFS 对保护可能被偷窃的计算机（如膝上型计算机）上的数据特别有用。可在膝上型计算机上配置 EFS 以确保用户的文档文件夹中的所有商业信息均被加密。

当您对 NTFS 文件系统 (NTFS) 卷上的文件或文件夹启用 EFS 时，操作系统会使用公钥和通过 CryptoAPI 取得的对称加密算法来加密文件。虽然基本机制很复杂，但管理员和用户只需在“高级属性”对话框（通过“文件属性”对话框访问）中选中一个复选框就可以利用额外安全性。

EFS 在保存文件时自动对其进行加密，并且在用户再次打开文件时解密。除了加密文件的人和具有 EFS 文件恢复证书（请参阅以下说明）的管理员以外，没有人可以读取这些文件。由于加密机制已经内置于文件系统中，因此它的操作对用户是透明的而且很难侵犯。

EFS 使用对每个文件都各不相同的对称加密密钥对文件进行加密。然后它还要使用来自文件拥有者的 EFS 证书的公钥对加密密钥进行加密。由于文件拥有者是唯一能够访问私钥的人，因此他是唯一能为密钥、从而为文件解密的人。

即使有人想绕过 EFS 并使用低阶磁盘实用程序尝试读取信息，加密功能还是可以保护文件。即使文件在网络上或实体上被偷，如果不先以适当的用户身份登录到网络，也无法解密文件。既然文件不能被读取，它也不可能被暗中修改。

在发生紧急事件时，或职员离开您的单位时，EFS 包含允许您恢复公司信息的恢复机制。使用 EFS 时，会创建单独的恢复密钥。系统会自动完成这项任务，即用管理员的 EFS 文件恢复证书的公钥对原始加密密钥进行加密。管理员可以使用该证书中的私钥来恢复文件（若有此需要）。

安全配置模板

为使组织的网络的安全性设置的管理及设置更容易一些，Windows 2000 Server 中包含了“安全模板”工具。Microsoft Management Console (MMC) 管理单元允许管理员定义标准模板并将它以同样的方式应用于多个计算机或用户。

安全模板是安全配置的实际体现；换句话说，它是一个可以存储一组安全设置的文件。Windows 2000 包含一组标准安全模板，每个模板分别适合一台计算机的角色：模板适用的范围从低安全性域客户端的安全性设置到高安全性域控制器的安全性设置皆可。这些模板可以用于提供、修改，也可以被当作创建自定义安全模板的基础。

“安全配置”和“分析”工具是“安全模板”管理单元所附带的。它用于将定义在安全模板中的限制应用到实际系统中。它还可用于分析系统的安全性并与计算机上已经部署好的设置进行比较以确保它们符合公司标准。

使用IPSec 确保网络安全性

至此，本白皮书已经涉及了有关用户访问基于 Windows 2000 的网络以及保护本地磁盘上存储的信息的安全性问题。网络安全性的另一特殊问题是数据在网络间发送时的保护。为解决此问题，Windows 2000 合并了 Internet 协议安全措施 (IPSec)。

IPSec 是一套 Internet 标准协议，允许两台计算机在不安全的网络上进行安全的、加密的通讯。加密应用于 IP 网络层，亦即它对大部分使用特定网络协议的应用程序都是透明的。此外，IPSec 提供端对端的安全性，意味着 IP 包由发送计算机加密，在途中不可读取，只能由收件计算机解密。为了更加安全，此过程使用加密算法来产生用于连接两端的单一加密密钥，因此密钥不需通过网络发送。

可以配置 IPSec 使其执行下列安全功能中的一个或多个：

?根据Kerberos 身份验证、数字证书或共享机密密钥（密码）来验证IP 数据包发送者身份

?确保在网络上传送的IP 数据包的完整性

?按照绝密等级对所有在网络上传送的数据进行加密。

?隐藏起始的IP 地址（当它们在途中时）

这些功能允许您确保网络交通是安全的，数据在途中不会被修订也不会被未经授权的一方截取、查看或复制。

至于其他安全策略，您可以在本地级别或域级别应用 IPSec 策略。

注意有关 IPSec 的详细信息，请参阅 Windows 2000 技术库的“安全服务”部分，网址是：

https://www.wendangku.net/doc/ac4335511.html,/windows2000/library/technologies/security/default.asp。

扩展的体系结构

为了提供与现有客户端的兼容性并利用专门的安全机制，Windows 2000 支持多种安全协议。提供此支持的操作系统的结构元素称为“安全性支持提供程序接口”(SSPI)。应用程序和系统服务（如 Microsoft Internet Explorer 和 Internet Information Services）要使用 Windows 32 API，才能在不让应用程序看到网络身份验证安全协议的复杂性的情况下利用安全机制。此外，使用 SSPI 可确保在基于Windows 的环境中实现一致的安全性。下面的图 5 说明 SSPI 位于特定安全机制间的方式以及使用他们的过程。

如果您的浏览器不支持内嵌框，请单击此处在单独的页中查看。

图 5 SSPI将应用程序协议链接到安全协议。

应用程序开发人员可以利用 SSPI 来创建使用 Windows 2000 安全协议的应用程序。简单地说，SSPI 提供一个应用程序接口，该接口可以创建已验证过身份的连接。SSPI 充当中层过程，即应用程序看不见用于身份验证的特定方法，因此管理员可以从多种安全性支持提供程序 (SSP) 中选择，而不需考虑兼容性。例如，Kerberos 身份验证和 NTLM 在 Windows 2000 中是作为 SSP 实现的，因此写入 SSPI 的应用程序可以使用 NTLM 或 Kerberos 身份验证，到底用哪一个要视客户机和服务器的配置而定。

互操作性

如您所见，Windows 2000 运用标准 Kerberos 网络身份验证协议来改善安全性和互操作性。因为 Kerberos 协议已经运用在许多操作系统平台上，所以要将 Windows 2000 中的 Kerberosru 技术与其他 Kerberos 实现混合及匹配是可能的。这允许您集成 Windows 2000 网络安全性与其他操作系统的安全性基本结构。例如，您可以让基于 UNIX 的客户端登录到基于 Windows 2000 的服务器，反之亦然。（Microsoft 已经展现了与主要第三方 Kerberos 实现间的互操作性。有关详细信息，请参阅以下的白皮书的引述的〈Windows 2000 Kerberos 互操作性〉。）

安全性元素的混合和匹配牵涉到三个主要变量：

?用来对Kerberos 服务验证用户身份的Kerberos 客户端

?为一个领域（在Kerberos 协议中，领域就等价于基于Windows 2000 的域）提供身份验证服务的Kerberos KDC

?要进行身份验证的访问方法和网络资源

有了 Windows 2000 Kerberos 支持，您就可以对任何支持 Kerberos V5 的系统进行身份验证。也可以设置基于 UNIX 的领域和基于Windows 2000 的域之间的信任关系。

注意有关 Kerberos 互操作性的特定信息，请参阅《Windows 2000 Kerberos 互操作性》白皮书，网址是

https://www.wendangku.net/doc/ac4335511.html,/windows2000/library/howitworks/security/kerbint.asp。

审核

一旦您设置了安全性基本结构，就必须确保它能正常运作。也就是说，为什么创建审核记录对安全性而言是一个重要的部分。监控对象的创建或修改可让您有办法跟踪可能的安全性问题，帮助您确保用户帐户的能力，并提供安全性受侵害事件的证明。

为了帮助您完成这项工作，Windows 2000 包含了安全性审核功能，允许您监视与安全性相关的事件（如失败的登录尝试），因此您可以检测到入侵者和试图危害系统上数据的事件。Windows 2000 审核功能提供比在 Windows NT 4.0 上可用的相关功能更为详细的信息。

在要审核的事件类型中，最常见的有：

?访问对象（如文件和文件夹）

?用户帐户和组帐户的管理

?当用户登录到系统和注销系统时

除了审核与安全性相关的事件外，Windows 2000 还产生安全性日志并提供一个方法让您查看记录中所报告的安全性事件。

摘要

Windows 2000 中的安全性基本结构合并了强大的网络资源安全性与高级管理基本结构的效能。有关这种集成是如何影响常规组织的最佳示例是支持单一登录。单一登录允许 Windows 2000 和 Windows NT 用户在提供密码一次或插入智能卡一次后，就可以访问所有网络上的资源。

Windows 2000 安全措施将 Active Directory 所提供的集中式信息存储及基于策略的控制与用于客户机和服务器间的跨平台、安全连接的行业标准协议集成到一起。

此外，Windows 2000 包含集成的公钥基本结构组件，以支持高级安全功能（如智能卡）来进行两项因素身份验证，以及支持 EFS 来保护磁盘上的数据存储。

若要扩展使用 Windows 2000 的组织的能力，应用程序开发人员可使用 SSPI 来利用 Windows 2000 安全性基本结构，这样开发人员便可在自定义应用程序中使用 Windows 2000 安全性基本结构。此外，操作系统对标准 Kerberos V5 协议的使用让组织可以集成 Windows 2000 安全性与其他与 Kerberos 兼容的操作系统所提供的安全性。

为管理 Windows 2000 中的安全性，操作系统包含了可以简化设置任务并应用安全性设置的模板。最后，审核功能还可帮助管理员确认安全性系统能否正常运作。

其它信息

有关 Windows 2000 Server 的最新信息，请查阅 Microsoft TechNet 和我们的 Web 站点https://www.wendangku.net/doc/ac4335511.html,/windows2000以及“Windows 2000/Windows NT 论坛”https://www.wendangku.net/doc/ac4335511.html,/topics/windowsnt。

本文档包含的信息代表了自发布之日，Microsoft Corporation 对所讨论问题的当前看法。因为 Microsoft 必须顺应不断变化的市场条件，故本文档不应理解为 Microsoft 一方的承诺，Microsoft 并不保证所给的信息在发布之日以后的准确性。

本白皮书仅供参考。在本文档中，Microsoft 不做任何明示的或默示的保证。

遵守所有适用的版权法律是用户的责任。在不对版权法所规定的权利加以限制的情况下，未经 Microsoft Corporation 书面许可，不得为任何目的而使用任何形式或方法（电子、机械、影印、复印等）复制、保存在数据捕获系统或发送本文件的任何部分。

正文可能涉及 Microsoft 的专利、专利申请、商标、版权及其它知识财产权。除非在 Microsoft 的任何书面许可协议中明确表述，否则获得本文档不代表您将同时获得这些专利、商标、版权或其它知识产权的许可证。

此处提及的其它产品和公司名称可能是其各自所有者的商标。

Microsoft Corporation One Microsoft Way Redmond, WA 98052-6399 USA

Win2000系统引导过程详解

Win 2000系统引导过程详解引言本文旨在以Windows 2000为例讨论其系统的引导过程，以期较为深入的揭示引导过程中各种相关故障的原因并提出快捷有效的解决途径。一、基于PC的Windows 2000引导过程个人电脑上Windows 2000的引导过程是分好几个阶段进行的，通过了解Windows 2000引导过程中的各个阶段以及每个阶段使用到的文件，有助于我们之后更有效的分析和处理各种问题。Windows 2000的引导过程分为预引导、引导、内核加载、内核初始化和系统登陆五个阶段，如图一所示，图一表一则列出了在系统引导的不同阶段所引用的文件。

表一在这里，我们暂不讨论Windows 2000操作系统的内部工作机制，以下通过图文结合的方式，简要给大家说明在这五个阶段，操作系统都在干些什么，那些程序发挥了作用。第一步，预引导阶段，过程如图二所示，首先包括了系统加电自检，这个过程完成硬件设备的枚举和配置。其次计算机BIOS确定引导设备的位置，加载并运行Master Boot Record(MBR)主引导区内容（如lilo等）。然后扫描分区表，定位活动分区，并将活动分区上的引导扇区内容加载到内存中执行。最后加载系统盘根目录中的Ntldr文件，这也就是Windows 2000操作系统的加载程序。图二第二步，引导阶段，过程如图三所示，首先是初始化引导加载程序，这时Ntldr完成处理器模式切换和文件系统（FAT或NTFS）驱动的加载，如果使用了SCSI设备，Ntldr将Ntbootdd.sys加载到内存中运行。其次Ntldr读取系统盘根目录下的Boot.ini文件，屏幕显示Boot Loader Operating System菜单，等待用户选择要加载的操作系统，关于Boot.ini 文件的设置我们后面还会详细讨论，如果此时Ntldr没有找到Boot.ini文件，就默认从第一个磁盘的第一个分区的\Winnt位置加载系统，如果在所限时间内用户没有做出选择，则启动默认的选项。开始加载Windows 2000操作系统之后，Ntldr读取并运行程序https://www.wendangku.net/doc/ac4335511.html, 以完成硬件的检测,如果安装了多操作系统，而且用户选择启动了Windows98或WindowsMe那么Ntldr就会加载并运行Bootsect.dos启动所选的操作系统。最后在Ntldr 加载了Windows 2000并收集了硬件信息后，紧跟着就根据用户选择调用系统的硬件配置文件，如果只有单一的硬件配置文件则直接作为默认配置调用，强烈建议用户自己在系统安装好了之后备份一份原始硬件配置文件。

Windows操作系统发展史

Windows操作系统发展史 1、windows1.0诞生背景微软公司刚开始开发的时候，这个软件还不叫Windows，而是叫做：“Interface Manager（界面管理员）”；是时为1981年的9月。当时微软公司正在与IBM公司合作开发OS/2，大家认为这个才是MS-DOS的正统继任者。不过比尔盖茨不这么想，从一开始他就留了一手，因此自己的图形界面操作系统一直就是比尔盖茨的秘密武器。当然，Windows 1.0的能力还很弱的，例如在层叠窗体的时候，太多了就比较困难了，另外也没有改变层叠的可选项。微软公司公开宣布Windows开发计划的消息是在1983年，可是直至1985年九月才正式发布了第一版的Windows 1.0，这个版本的Windows基于MS-DOS 2.0的，由于当时的硬件限制，与MS-DOS 2.0功能限制，Windows 1.0不应该拿来与之后的Windows 3.1来比较；不管怎样，这是一个非常好的开端，目标用户是IBM兼容机的高端 2、windows95诞生背景 Windows 95是一个混合的16位/32位Windows系统，其版本号为4.0，开发代号为Chicago。1995年8月24日发行。Windows 95是微软之前独立的操作系统MS-DOS和Microsoft Windows的直接后续版本。第一次抛弃了对前一代16位x86的支持，因此它要求英特尔的80386处理器或者在保护模式下运行于一个兼容的速度更快的处理器。它以对图形用户界面的重要的改进和底层工作（underlying workings）为特征。同时也是第一个特别捆绑了一个版本的DOS的视窗版本（MS-DOS 7.0）。这样，微软就可以保持由Windows 3.x创建起来的GUI市场的统治地位，同时使得没有非微软的产品可以提供对系统的底层操作服务。也就是说，Windows 95具有双重的角色。它带来了更强大的、更稳定、更实用的桌面图形用户界面，同时也结束了桌面操作系统间的竞争。在市场上，Windows 95绝对是成功的：在它发行的一两年内，它成为有史以来最成功的操作系统。 3、windows98介绍，有哪些重要版本 Windows 98全面集成了Internet标准，以Internet技术统一并简化桌面，使用户能够更快捷简易地查找及浏览存储在个人电脑及网上的信息；其次，速度更快，稳定性更佳。通过提供全新自我维护和更新功能，Windows98可以免去用户的许多系统管理工作，使用户专注于工作或游戏。 Windows 98相对于Windows 95有较大的改进。 1.安装简便：安装Windows 98时，系统会自动引导你完成安装过程，自动检测所有常用硬件，如调制解调器、CD－ROM驱动器、声卡和打印机等。 2.与现有软硬件配合得更协调：Windows 98为1900多种现有硬件设备提供内部支持，并通过了与3500多种当前流行软件兼容性的测试。内部支持包括为当前提供32位的设备驱动程序，这意味着被支持的硬件在Windows 98环境下将运行得更快，效率更高。 3．具有“即插即用”功能：当你在计算机上使用“即插即用”设备时，Windows 98会自动对它进行设置并启用该设备。 4．改进了用户界面：Windows 98中的桌面，可以帮助你把注意力集中在手头的任务上。它只将少数几个图形对象放在桌面上，显示得比以前更简洁。“开始”按钮引导你开始在计算机上做大多数日常工作。如果你希望能快速启用一个常用的程序或文档，只须将其拖到“开始”按钮上即可。它将与其它功能（如启动程序、打开文档、获取帮助、更改系统设置、查找文件等）一起位于“开始”菜单中。“我的电脑”使得浏览计算机上的内容（各种文件、文件夹以及程序）更方便。“网上邻居”使得查看和使用网络更简单。“回收站”为你提供放

windows 域概述

为什么要组建局域网呢？就是要实现资源的共享，既然资源要共享，资源就不会太少。如何管理这些在不同机器上的资源呢？域和工作组就是在这样的环境中产生的两种不同的网络资源管理模式。那么究竟什么是域，什么是工作组呢？它们的区别又是什么呢？域------公司域控制器------公司制度(更形象的是公司大门的门禁系统）计算机------每个人工作组 -------没有门禁系统的公司 “自由”的工作组工作组（Work Group）就是将不同的电脑按功能分别列入不同的组中，以方便管理。比如在一个网络内，可能有成百上千台工作电脑，如果这些电脑不进行分组，都列在“网上邻居”内，可想而知会有多么乱（恐怕网络邻居也会显示“下一页”吧）。为了解决这一问题，Windows 9x/NT/2000才引用了“工作组”这个概念，比如一所高校，会分为诸如数学系、中文系之类的，然后数学系的电脑全都列入数学系的工作组中，中文系的电脑全部都列入到中文系的工作组中……如果你要访问某个系别的资源，就在“网上邻居”里找到那个系的工作组名，双击就可以看到那个系别的电脑了。那么怎么样才能加入到工作组中呢？其实方法很简单，只需要右击Windows桌面上的“网上邻居”，在弹出的菜单出选择“属性”，点击“标识”，在“计算机名”一栏中添入你想好的名字，在“工作组”一栏中添入你想加入的工作组名称。如果你输入的工作组名称是一个不存在的工作组，那么就相当于新建一个工作组，当然也只有你自己的电脑在里面。不过要注意，计算机名和工作组的长度都不能超过15个英文字符，可以输入汉字，但是也不能超过7个汉字。“计算机说明”是附加信息，不填也可以，但是最好填上一些这台电脑主人的信息，如“数学系主机”等。单击“确定”按钮后，Windows 98提示需要重新启动，按要求重新启动之后，再进入“网上邻居”，就可以看到你所在工作组的成员了。相对而言，所处在同一个工作组内部成员相互交换信息的频率最高，所以你一进入“网上邻居”，首先看到的是你所在工作组的成员。如果要访问其他工作组的成员，需要双击“整个网络”，然后你才会看到网络上其他的工作组，双击其他工作组的名称，这样你才可以看到里面的成员，与之实现资源交换。除此之外，你也可以退出某个工作组，方法也很简单，只要将工作组名称改变一下即可。不过这样在网上别人照样可以访问你的共享资源，只不过换了一个工作组而已。也就是说，你可以随便加入同一网络上的任何工作组，也可以随时离开一个工作组。“工作组”就像一个自由加入和退出的俱乐部一样。它本身的作用仅仅是提供一个“房间”，以方便网上计算机共享资源的浏览。域的管理和设置

第二章 Windows2000操作系统习题及答案

第二章Windows2000操作系统 1、Windows2000是一个( C )。 A)多用户多任务操作系统 B)单用户单任务操作系统 C)单用户多任务操作系统 D)多用户分时操作系统 2、在树状目录下，绝对路径是指从（ C ）开始查找的路径。 A）当前目录 B）子目录 C）根目录 D）DOS目录 3、下列不属于附件的有（ D ）。 A）煤体播放机 B）录音机 C）CD播放机 D）控制面板中的“多媒体” 4．Windows98操作系统是一个真正32位系统，它能对（ D ）内存实施动态管理。 A）32MB B）64MB C）1GB D）4GB 5．在Winds2000中,指定用记事本打开SN.NO后,如果用鼠标左键双击资源管理器中以.NO 为扩展名的文件,则Windows2000启动（A ）。 A）记事本 B）写字板 C）Word D)画图 6．下列叙述中，正确的一条是（ D ）。 A）“开始”菜单只能用鼠标单击“开始”按钮才能打开 B）Windows 的任务栏的大小是不能改变的 C）“开始”菜单是系统生成的，用户不能在设置它 D）Windows的任务栏可以放在桌面的4个边的任意边上 7．在Windows2000“资源管理器”窗口右部，若已经选定了所有文件，如果要取消几个文件的选定，应进行的操作是（ B ）。 A）用鼠标左键单击各个要取消选定的文件 B）按住Crtl键，再用鼠标左键依次单击各个要取消选定的文件 C）单击各个要取消选定的文件 D）用鼠标右键单击各个要取消选定的文件 8．在Windows2000中，用鼠标左键在不同驱动器之间拖动某一对象，结果（ B ）。 A）移动该对象 B）复制该对象 C）删除该对象 D）无任何结果 9． Windows2000支持长文件名，一个文件名的最大长度可达（C ）个字符。 A）225 B）256 C）255 D）128 10．当鼠标光标变成“沙漏”状时，通常情况是表示（ C ）。 A）正在选择 B）后台运行 C）系统忙 D）选定文字 11．按住（ A ）键配合鼠标可以在“资源管理器”中选择连续的文件或文件夹。 A）Shift B)Ctrl C)Alt D)Tad 12．下列文件名中，（ C ）是非法的Windows2000 文件名。 A）This is my file B) 关于改进服务的报告 C）*帮助信息* C）student,dbf 13.在同一时刻，Windows2000文件名。(D ) A）前台窗口和后台窗口各一个 B）255个 C）任意多个，只要内存足够 D）唯一一个 14．如果不小心删除桌面上的某应用程序图标，那么（ C）。 A）该应用程序再也不能运行 B）再也找不到该应用程序图标

Windows 2000操作系统简介

第二章 Windows 2000操作系统简介一、项目目标：通过这一章的学习，学生会更进一步了解和认识Windows 2000操作系统的知识。二、教学目标： 1、专业能力：（1）知道Windows 2000 产品家族推出的四个版本；（2）了解Windows 2000操作系统所具有的功能；（3）认识到Windows 2000与Windows XP的区别。 2、方法能力：通过教师讲解，让学生进一步了解和认识Windows 2000操作系统的知识，正确认识Windows 2000操作系统。 3、社会能力：尽可能掌握一种技能，为就业铺好道路。提高计算机网络的理论基础。三、组织形式：全班共同实施（教师讲解、学生按教师的要求完成相关任务）。四、时间安排：本项目共2课时。五、过程设计：（一）设计内容与要求教学环境的准备：教师在课前已检查教学用机安装的是Windows 2000操作系统，学生应已掌握Windows的基本操作。安全要求：遵守实验室相关章程工作过程： Windows 2000操作系统是微软公司开发的迄今为止世界上最大的软件开发项目。 Windows 2000 是一个操作系统系列，集成了对客户/服务器模式和对等模式网络的支持。 Windows 2000 产品家族的设计目的在于提高产品的可靠

Windows 2000 产品家族的设计目的在于提高产品的可靠性，提供高层次的可用性及从小型网络到大型企业网的可扩展性。 Windows2000 通过集成，优化当前先进的网络、应用程序及WEB技术。 Windows2000是一个具有高可靠性和高安全性的操作平台。针对不同的用户和环境，Windows 2000 产品家族推出了四个版本： 1、Windows 2000 Professional：针对商业和个人用户。 2、Windows 2000 Server：针对工作组级的服务器用户。 Windows 2000 Server 最重要的改进是在“活动目录”目录服务技术的基础上，建立了一套全面的、分布式的底层服务。 3、Windows 2000 Advanced Server：针对企业级的高级服务器用户， 4、Windows 2000 DataCenter Server：针对大型数据仓库的数据中心服务器用户。下面分别介绍Windows 2000操作系统所具有的功能。 2.1 对多任务、大内存、多处理器的支持 1、Windows 2000操作系统是一个抢占式的多任务操作系统。 2、Windows 2000操作系统对于大内存的支持： 3、Professional（个人）版最大支持2GB的内存， 4、Server（服务器）版最大支持4GB的内存， 5、Advanced Server（高级服务器）版最大支持8GB的内存， 6、DataCenter（数据中心）版对内存的支持最大可以达到知道了解了解

安装Windows 2000 Server服务器的步骤

安装Windows 2000 Server服务器的步骤如下： 1) 启动计算机进入E: \Windows 2000 Server目录，然后双击Setup.exe文件的图标，系统将自动运行安装向导。 (2) 安装向导提示用户所要安装的Windows比用户现在使用的版本新，询问是否要将现在的系统升级到Windows 2000 Server，这里单击“否”按钮。 (3) 单击“安装Windows 2000”选项，打开“Windows 2000安装程序”对话框。安装程序向导警告用户“Windows 2000安装程序”不支持从 Microsoft Windows 98到Microsoft Windows 2000 Server的升级。 (4) 单击“确定”按钮，打开“欢迎使用Windows 2000安装向导”对话框。在该对话框中的“请选择安装方式”选项组中包含两个单选按钮。“升级到Windows 2000”单选按钮为系统推荐的安装方式，升级会替换当前的操作系统，但不会更改现有设置和已安装的程序。 “安装新的Windows 2000”单选按钮为全新安装，选择此安装方式需要指定新的设置并重新安装现有软件，并且计算机上可以同时有数个操作系统。 (5) 选择“安装新的Windows 2000(全新安装)”单选按钮，单击“下一步”按钮，打开“许可协议”对话框。 (6) 选择“我接受这个协议”单选按钮，再单击“下一步”按钮打开“选择特殊选项”对话框。用户可分别单击其中的按钮来打开相应的对话框进行设置。需要注意的是，在单击“高级选项”按钮打开的“高级选项”对话框中，用户必须启用“安装过程中选择安装磁盘分区”复选框，以便在安装过程中可以指定安装路径的盘符(如D盘)。 (7) 单击“下一步”按钮打开“正在复制安装文件”对话框。安装向导将自动将一些安装文件复制到计算机中。 (8) 完成复制文件的工作后，安装向导将自动打开“正在重新启动计算机”对话框。该

操作系统windows 2000实验报告

《操作系统》实验报告专业：年级：学号：提交日期：_______________________

实验一：操作系统环境 1.1 Windows 2000 系统管理 (实验估计时间：60分钟) 实验内容与步骤 1、计算机管理 2、事件查看器 3、性能监视 4、服务 5、数据库(ODBC) 为了帮助用户管理和监视系统，Windows 2000提供了多种系统管理工具，其中最主要的有计算机管理、事件查看器和性能监视等。步骤1：登录进入Windows 2000 Professional。步骤2：在“开始”菜单中单击“设置”-“控制面板”命令，双击“管理工具”图标。在本地计算机“管理工具”组中，有哪些系统管理工具，基本功能是什么： 1.本地安全策略：查看和修改本地安全策略，诸如用户权限和审计策略。 2.服务：启动和停止由Windows系统提供的各项服务。 3.计算机管理：管理磁盘以及使用其他系统工具来管理本地或远程计算机。 4.事件查看器：显示来自于Window和其他程序的监视与排错信息。例如，在“系统日志”中包含各种系统组件记录的事件，如使用驱动器失败或加载其他系统组件；“安全日志”中包含有效与无效的登录尝试及与资源使用有关的事件，如删除文件或修改设置等，本地计算机上的安全日志只有本机用户才能查看；“应用程序日志”中包括由应用程序记录的事件等等。 5.数据源（ODBC）：即开放数据库连接。添加、删除以及配置ODBC数据源和驱动程序，通过ODBC可以访问来自多种数据库管理系统的数据。 6.性能：显示系统性能图表以及配置数据日志和警报。 7.组建服务：配置并管理COM+ 应用程序。 1. 计算机管理使用“计算机管理”可通过一个合并的桌面工具来管理本地或远程计算机，它将几个Windows 2000管理实用程序合并到一个控制台目录树中，使管理员可以轻松地访问特定计算机的管理属性和工具。步骤3：在“管理工具”窗口中，双击“计算机管理”图标。 “计算机管理”使用的窗口与“Windows资源管理器”相似。在用于导航和工具选择的

实验2-1windows2000 系统管理

实验 2 操作系统环境 2.1 Windows 2000 系统管理 (实验估计时间：60分钟) 背景知识实验目的工具/准备工作实验内容与步骤背景知识 Windows 2000 Professional 的“管理工具”中集成了许多系统管理工具，利用这些工具，管理员可以方便地实现各种系统维护和管理功能。这些工具都集中在“控制面板”的“管理工具”选项下，用户和管理员可以很容易地对它们操作和使用。在默认情况下，只有一些常用工具——如服务、计算机管理、事件查看器、数据源 (ODBC) 、性能和组件服务等——随Windows 2000系统的安装而安装。 1) 服务启动和停止由Windows 系统提供的各项服务。 2) 计算机管理器管理磁盘以及使用其他系统工具来管理本地或远程计算机。 3) 事件查看器显示来自于Window 和其他程序的监视与排错信息。例如，在“系统日志”中包含各种系统组件记录的事件，如使用驱动器失败或加载其他系统组件；“安全日志”中包含有效与无效的登录尝试及与资源使用有关的事件，如删除文件或修改设置等，本地计算机上的安全日志只有本机用户才能查看；“应用程序日志”中包括由应用程序记录的事件等等。 4) 数据源 (ODBC) 添加、删除以及配置ODBC 数据源和驱动程序。 5) 性能显示系统性能图表以及配置数据日志和警报。 6) 组件服务配置并管理COM+ 应用程序。另一些工具则随系统服务的安装而添加到系统中，例如： 1) Telnet 服务器管理查看以及修改Telnet 服务器设置和连接。 2) Internet 服务管理器管理IIS 、Internet 和Intranet Web 站点的Web 服务器。 3) 本地安全策略查看和修改本地安全策略，诸如用户权限和审计策略。

Windows Server2000 序列号大全

WIN2003序列号 JB94R-RDRMF-BR67T-Q8RX6-2MDHM 有效 JCBP6-9D7HT-HGBGB-HMB39-4QGBB 有效 JCGTT-VF8FF-4DQCX-KVBBH-2QKVM 有效 JCDGV-2JM2W-FB7WY-YTWJ6-RR8YB 有效 JB74G-FC8KR-B66C2-V82YF-Q3GBB 有效 JB9R8-TFRJC-7KH2B-X2RFP-CRXVM 有效 JCCR9-KFWPK-2GTR9-GQTXW-XDWYB 有效 JCD2V-D2X43-637B7-GRTY3-3FMQY 有效 JB8QF-K8K9G-YRR29-HHGFR-RKCMB 有效 XXXXX-640-4593923-45101 JCC9Q-K34Q3-6GX8X-QPYQV-CBT7M 有效 XXXXX-640-1761931-45184 JB9M2-HTRYC-49FH2-M7RDK-733HM 有效 XXXXX-640-4789232-45263 JCBVQ-749J8-CJ43K-XBY66-GJWYB 有效 XXXXX-641-0457595-45342 JB86D-M9G38-XXMV3-GY6WF-62QHM 有效 XXXXX-640-5462263-45422 JCD8X-XM9RX-VD3QT-VY8R8-P9MQY 有效 XXXXX-640-1233552-45522 JB86C-88C4Y-VKYHC-QQ77P-C9MQY 有效 XXXXX-640-9792431-45602 JB9F7-V7HQB-D3G62-TY2YC-W98YB 有效 XXXXX-640-3843361-45677 JCDWX-7RGFR-DWR89-3TKJB-B2V3Y 有效 XXXXX-640-1437427-45779 JB749-DFK7Y-6B88J-X332W-VQBQY 有效 XXXXX-641-0421833-45866 JCF76-8FH33-72X4C-3P8FT-HHFDY 有效 XXXXX-641-0409564-45968 JCDYH-HB4W4-7DHFQ-9K9K3-TTT7M 有效 XXXXX-640-7581446-45044 JB768-4XV48-WVGTB-WX6FW-39TBB 有效 XXXXX-640-2750806-45122 JCF67-WVF2V-CW3H7-KJVYW-TKCMB 有效 XXXXX-640-5086664-45200 JCC96-G3MFQ-Q2KTR-QH8JF-2CJYB 有效 XXXXX-641-0303224-45281 JB9XR-VBMP7-QJK8D-RQ7QP-BWKVM 有效 XXXXX-640-6166702-45362 JCCWC-DPMT9-6PG6J-9JTKH-KD73Y 有效 XXXXX-640-9086543-45437 JB8VH-HM6R2-8JJRV-WDB8G-X3KVM 有效 XXXXX-640-9760794-45513 JCGX6-22TTM-4WX4P-G86D7-GJBQY 有效 XXXXX-640-5873462-45599 JCFP8-PWPK7-4DX4R-K6BW2-MDGBB 有效 XXXXX-640-2215065-45681 JCGPR-F82WD-X3HX8-F8MTR-BPJYB 有效 XXXXX-640-0609652-45759

计算机文化基础(第二章Windows 2000 操作系统)

第二章Windows 2000 操作系统 1. 打开“资源管理器”的方法不能是____ A．右击“开始”按钮B．选择“开始”、“程序”菜单 C．从“我的电脑”的快捷菜单D．从“控制面板”中选择 2. 在“资源管理器”中选定多个文件的方法不能是____ A．逐个双击要选定的文件 B．在客户区按住鼠标左键选下文件所在的区域 C．按住Ctrl键逐个单击被选定的文件 D．按住Shift键单击首尾文件图标 3. 修改任务栏的属性可以通过____ A．桌面的快捷菜单B．“开始”菜单的设置菜单 C．控制面板中的任务栏 D．“我的电脑”中的任务栏选择项 4. 在任务栏的属性窗口不能进行的设置是____ A．任务栏是否自动隐藏B．“开始”菜单上图标的大小 C．任务栏在桌面上的位置D．任务栏上是否显示时钟图标 5. 以下对桌面图标的解释正确的是____ A．指向应用程序或系统组件的链接 B．是Windows操作系统的超级链接 C．是为了使桌面不至于太单调 D．增加桌面图标必须在“桌面属性”中设置 6. 对于DOS操作系统，以下说法不正确的是____ A．DOS是微型计算机上使用最早的操作系统 B．DOS操作系统是基于字符命令的操作系统C．DOS是一种单用户多任务操作系统 D．DOS目前仍然有不少的应用 7. 在“区域选项”中无法设置的是____ A．系统使用国别B．中文输入法C．字符集D．日期时间格式 8. 对于多媒体数据，以下正确的说法是____ A．一种集图像、声音和动画于一体的数据 B．多种媒体信息的集合 C．可以在多种媒体上发布或播放的数据 D．通过MPEG标准压缩而成的数据 9. 一般说来，计算机多媒体特性不包括____ A．交互性B．集成性C．多样性D．实时性 10. 在安装了Windows 2000的计算机中使用DOS命令，不可以____ A．从“附件”中选择“命令提示符” B．用装有DOS系统的软盘启动计算机 C．从“运行”对话框输入DOS命令后单击“运行”按钮 D．从“程序”菜单选择“MS-DOS状态” 11. 以下不属于应用程序的是____ A．任务管理器B．我的文档C．超级解霸D．IE浏览器 12. Windows 2000是一个____操作系统A．分时B．批处理C．单用户D．实时控制 13. Windows组件“网上邻居”的主要功能是____ A．登录网上用户 B．实现网上通信和资源共亨C．局域网管理D．查找网上计算机 14. 对多媒体计算机以下正确的解释是____ A．具有多媒体数据处理与输出能力的计算机 B．配置了多媒体设备的计算机 C．加装了多媒体处理软件的计算机 D．与多媒体家电实现互联的计算机 15. 在“输入法区域设置”中，无法进行的工作是____ A．添加或删除一种输入法B．设置输入法启动的热键 C．设置输入法是否光标跟随D．启动“输入法生成器” 16. 在控制面板中不能进行的工作是____ A．查看系统的硬件配置B．增加或删除程序 C．任务栏在桌面上的位置D．更换新的网络协议 17. 从“我的电脑”的“文件”菜单不可以____ A．新建注册类型的文件B．将当前选定的文件复制到剪贴板 C．查看文件的属性D．可以将选定的文件发送到软盘上 18. Windows操作系统中没有直接定义的鼠标操作是____ A．左键双击B．右键单击C．中键拖动D．左键拖动 19. 打开“打开方式”对话框，不能采用的方法是____ A．按住Shift键单击右键然后从快捷菜单中选择“打开方式”B．双击一个未知类型的文件C．从“文件”菜单中选择“未知类型” D．右击一未知类型的文件然后从快捷菜单中选择“打开方式” 20. 在显示属性窗口中可以进行的设置是____ A．设置屏幕分辨率B．设置屏幕的亮度和对比度 C．设置屏幕是彩色显示还是黑白显示D．更新显卡的驱动程序 21. Windows应用程序窗口中一般不存在的组件是____ A．菜单栏B．工具栏C．标题栏D．预览栏 22. 在中文输入和英文输入之间切换所使用的键盘命令是____ A．Alt+Space B．Ctrl+Space C．Ctrl+Shift D．Shift+Space 23. 对Windows 2000，以下说法正确的是____ A．Windows 2000是一个桌面操作系统B．Windows 2000是一个服务器操作系统C．Windows 2000 实现网络连接必须另外安装网络软件D．Windows 2000不能与其他操作系统同时安装在一台计算机中 24. 在音频文件格式中，MIDI格式和W A V格式的根本不同之处在于____ A．前者必须通过专门的设备播放，而后者不需要专门的播放设备 B．前者的音频文件较小，后者的音频文件较大

第2章 Windows 2000操作系统试题(课本外)

第2章Windows 2000操作系统试题(课本外)一．单项选择题 1．在Windows 2000的四个安装阶段，（ A ）阶段把一个最小版本的Wi ndows 2000复制到计算机中。 A．运行安装程序B．运行安装向导C．安装网络组件D．完全安装2．单击应用程序窗口右上角的最小化按钮后（ D ）。 A．窗口最小化，结束应用程序的运行B．窗口在上缩成快捷方式小图标 C．窗口消失，任务栏被取消D．窗口落入任务栏，变成任务按钮3．在资源管理器的文件栏中，文件夹是按照（ B ）关系来组织的。 A．图形B．树形C．时间D．名称 4．下列说法正确的是（ A ）。 A．画图程序可将图形存为位图文件B．通过“开始”→“程序”→“画图”打开画图程序 C．画图程序只能绘制黑白图形D．画图程序中绘制的图形不能打印5．在Windows 2000“系统属性”对话框中，通过“常规”标签不能够了解的信息是（ D ）。 A．操作系统版本号B．CPU类型C．用户登记ID号D．硬盘的型号 6．Windows 2000可以支持（ A ）种自然语言。 A．17 B．1 C．20 D．85 7．Windows 2000 professional操作系统属于（ D ）操作系统。A．单用户单任务B．多用户单任务C．多用户多任务D．单用户多

任务 8．在Windows中，用键盘关闭一个运行的应用程序，可用组合键（ A ）。A．Alt+F4 B．Esc+F4 C．Ctrl+空格键D．Ctrl+F4 9．在下列关于窗口与对话框的论述中，正确的是（ C ）。 A．所有的窗口与对话框都有菜单栏B．对话框既不能移动位置也不能改变大小 C．所有的窗口与对话框都可以移动位置D．所有的窗口与对话框都不可以改变大小 10．下列操作中，（ A ）直接删除文件或文件夹而不送入回收站。 A．按下Shift键拖动文件或文件夹到回收站B．选定文件或文件夹后，按Del键 C．选定文件或文件夹后，使用“文件”中的“删除”D．选定文件或文件夹后，按Alt 键 12．通过控制面板中的（ C ）可以对多媒体设备进行一些相关设置。A．显示B．管理工具C．声音和多媒体D．系统 13．在Windows 2000中，为了弹出“显示属性”对话框以进行显示器的设置，下列操作中正确的是（ D ）。 A．用鼠标右键单击“我的电脑”窗口空白处，在弹出的快捷菜单中选择“属性”项 B．用鼠标右键单击“资源管理器”窗口空白处，在弹出的快捷菜单中选择“属性”项 C．用鼠标右键单击“任务栏”窗口空白处，在弹出的快捷菜单中选择“属性”项D．用鼠标右键单击桌面空白处，在弹出的快捷菜单中选择“属性”项14．Windows中用于在中文输入法和英文输入法之间切换的快捷键是（ A ）。A．Ctrl+Shift B．Ctrl+Space C．Alt+Shift D．Alt+Space

Windows2000操作系统习题

Windows2000操作系统习题一、单项选择题 1、Windows2000操作系统是。 A．单用户单任务系统 B．单用户多任务系统 C．多用户多任务系统 D．多用户单任务系统 2、为了正常退出Windows2000，用户的操作是。 A．在任何时刻关掉计算机的电源 B．选择系统菜单中的“关闭系统”并进行人机对话 C．在没有任何程序正在执行的情况下关掉计算机的电源 D．在没有任何程序正在执行的情况下按Alt-Ctrl-Del键 3、在Windows2000环境中，整个显示屏幕称为。 A．窗口 B．桌面 C．图标 D．资源管理器 4、在Windows2000环境中，鼠标是重要的输入工具，而键盘。 A．无法起作用 B．仅能配合鼠标，在输入中起辅助作用（如输入字符） C．也能完成几乎所有操作 D．仅能在菜单操作中运用，不能在窗口中操作 5、在下拉菜单里的各个操作命令项中，有一类被选中执行时会弹出子菜单，这类命令项的特点是。 A．命令项的右面标有一个实心三角 B．命令项的右面标有省略号（…） C．命令项本身以浅灰色显示 D．命令项位于一条横线以上 6、在Windows2000的“桌面”上，用鼠标单击左下角的“开始”按钮，将。 A．执行开始程序 B．执行一个程序，程序名称在弹出的对话框中指定 C．打开一个窗口 D．弹出包含有使用Windows2000所需全部命令的“系统”菜单 7、用键盘打开系统菜单，需要。 A．同时按下Ctrl和ESC键 B．同时按下Ctrl和Z键 C．同时按下Ctrl和空格键 D．同时按下Ctrl和Shift键 8、在Windows2000环境中，屏幕上可以同时打开若干个窗口，它们的排列方式是。 A．既可以平铺也可以层叠，由用户选择 B．只能由系统决定，用户无法改变 C．只能平铺 D．只能层叠 9、在Windows2000环境下，。 A．不能再进入DOS方式工作 B．能再进入DOS方式工作，并能再返回Windows2000方式 C．能再进入DOS方式工作，但不能再返回Windows2000方式 D．能再进入DOS方式工作，但必须先退出Windows2000方式 10、Windows2000的文件夹组织结构是一种。 A．表格结构 B．树形结构 C．网状结构 D．线性结构 11、Windows2000启动后，正确关机的操作命令是。 A．关电源 B．Alt + Ctrl + Del C．开始à关闭à关闭计算机 D．开始à程序àMSàDOSà关闭 12、用键盘退出Windows2000操作系统，应按键。 A．Esc B．Alt+F4 C．Quit D．F10 13、在Windows2000中间按键可得到帮助信息。

Windows应用程序概述

第1章 Windows应用程序概述 (2) 1.1 Windows应用程序基本概念 (2) 1.1.1 Windows应用程序界面 (2) 1.1.2 Windows应用程序与API函数 (2) 1.1.3 Windows应用程序的句柄 (3) 1.1.4 Windows应用程序的数据类型 (4) 1.2 Windows程序设计平台开发环境 (5) 1.2.1 Visual C++简介 (5) 1.2.2创建Win 32 Console应用程序 (5) 1.2.3创建Win 32应用程序 (6) 1.2.4创建MFC Windows应用程序 (7) 1.3 消息映射 (12) 1.3.1 事件与消息 (12) 1.3.2消息映射 (13) 1.3.3 消息处理 (14) 1.4 消息处理实例 (14) 1.4.1 鼠标消息处理的实例 (14) 1.4.2 键盘消息处理的实例 (16) 习题1 (19) 实验1 高级Windows应用程序开发基础 (21)

第1章 Windows应用程序概述 Windows是一种应用于计算机的操作系统，它为应用程序提供的多任务环境中具有一致图形化窗口和菜单。在Windows操作系统上运行的应用程序叫做Windows应用程序。本章主要介绍如下内容： ●Windows应用程序的基本概念； ●Windows应用程序的建立； ●消息的概念； ●消息处理函数。 1.1 Windows应用程序基本概念 1.1.1 Windows应用程序界面 Windows是微软公司开发的一种操作系统，以Windows作为平台运行的应用程序就叫做Windows应用程序。Windows应用程序的一个显著特点是它有一个美观的图形用户界面（GUI），参见图1-1。通过鼠标、键盘配合操作图形用户界面，大大方便了用户对Windows 应用程序的控制。仔细观察这个图形用户界面，它是由许多不同的图形元素组成的，例如图标、标题栏、菜单栏、工具栏、状态栏、窗口边界、滚动条、控制按钮等组成。其中某些图形元素在接受了用户的某个动作后，可以使Windows程序执行某种相应的操作。例如：在图1-1中，用户通过鼠标点击菜单栏中的某个菜单项，Windows应用程序会产生一个下拉菜单。用户通过鼠标点击工具栏中文件打开图标的按钮时，Windows应用程序弹出打开对话框。显然，这个图形用户界面是Windows应用程序与用户之间交换信息的一个“窗口”，简单的Windows应用程序只有一个窗口，复杂的Windows应用程序有多个窗口。设计一个或一组满足要求的窗口，是Windows应用程序设计中的一项必不可少的任务。 1.1.2 Windows应用程序与API函数 Windows提供了大量可以在应用程序中调用的，用C语言编写的函数。这些由操作系统提供的，用户可以使用的函数就叫做应用编程接口（application programming interface，API）函数。根据Windows API函数的功能，可以把它们分为以下三大类型。（1）窗口管理函数：实现窗口创建、移动和修改等功能。（2）图形设备函数：实现图形的绘制及操作功能，这类函数的集合又叫做图形设备接口。（3）系统服务函数：实现与操作系统有关的一些功能。

Windows_2000系统安装全程图解 (1)

Windows 2000系统安装全程图解一、准备工作: 1.准备好Windows 2000 server简体中文版安装光盘,并检查光驱是否支持自启动。 2.可能的情况下，在运行安装程序前用磁盘扫描程序扫描所有硬盘检查硬盘错误并进行修复，否则安装程序运行时如检查到有硬盘错误即会很麻烦。 3.用纸张记录安装文件的产品密匙(安装序列号)。 4.可能的情况下，用驱动程序备份工具(如:驱动精灵)将原Windows 2000下的所有驱动程序备份到硬盘上(如∶F:\Drive)。最好能记下主板、网卡、显卡等主要硬件的型号及生产厂家，预先下载驱动程序备用。 5.如果你想在安装过程中格式化C盘或D盘(建议安装过程中格式化C盘)，请备份C盘或D盘有用的数据。：（二）安装过程Ⅰ二、用光盘启动系统: (如果你已经知道方法请转到下一步),将2000安装光盘放入光驱,重新启动系统并把光驱设为第一启动盘，此过程在Windows XP和安装步骤详解（在下一篇）,保存设置并重启,如无意外即可见到安装界面: 三、安装Windows 2000 server 光盘自启动后,如无意外即可见到安装界面,将出现如下图所示。

这一步有三个选项“1.要开始安装Windows 2000，请按ENTER；2.要修复Windows 2000中文版的安装，请按R3。要停止安装Windows 2000并退出安装程序，请按F3”在这里我们选第一项按“Enter”键回车，出现下图所示。许可协议,这里没有选择的余地，按“F8”。这里用“向下或向上”箭头键选择安装系统所用的分区，选择好分区后按“Enter”键回车，安装程序将检查所选分区,如果这个分区己经安装了另一个系统会出现下图。

计算机windows2000系统试题

高一对口计算机windows2000系统试题考试时间：60分钟，满分：100分。温馨提示一.选择题（本大题共25小题，每小题2分，共50分） 1.操作系统的主要功能是( B ) A.实现软、硬件转换 B.管理系统所有的软、硬件资源 C.把源程序转换为目标程序 D.进行数据处理 2.微型计算机硬件系统中最核心的部件是（）。 A. 主板 B.CPU C.内存储器 D. I/O设备 3.在windows 2000中打开一个文档一般就是能同时打开相应的应用程序,因为（） A.文档就是应用程序 B.必须通过这个方法来打开应用程序 C.文档与应用程序进行了关联 D.文档是应用程序的附属 4. 在windows 2000中，屏幕保护程序开始运行是在（）。 A.用户停止操作时B计算机系统处于等待时 C.用户停止操作，并延迟5分钟 D.用户停止操作，并延迟一定时间 5.下列操作中，( C )直接删除文件而不把被删除文件送入回收站。 A.选定文件后，按Del键 B.选定文件后，按Shift键，再按Del键 C.选定文件后，按Shift+Del键 D.选定文件后，按Ctrl+Del键 6.在Windows 2000中，操作具有( B )的特点。 A.先选择操作命令，再选择操作对象 B.先选择操作对象，再选择操作命令 C.需同时选择操作命令和操作对象 D.允许用户任意选择 7.在Windows2000操作中，若鼠标指针变成“I”形状，则表示( D )。 A.当前系统正在访问磁盘 B.可以改变窗口的大小 C.可以改变窗口的位置 D.鼠标指针出现处可以接收键盘的输入 8.输入/输出设备和外接的辅助存储器，统称为( D )。 A.CPU B.存储器 C.操作系统 D.外部设备 9.在树形目录结构中，文件的绝对路径是从( D )开始表示的。 A.父目录 B.子目录 C.当前目录 D.根目录

WINDOWS 2000序列号大全

Windows2000序列号大全 2007-07-2714:23Windows2000Professional中文版－－SN：PQHKR-G4JFW-VTY3P-G4WQ2-88CTW Windows2000Professional英文正式版－－s/n:RBDC9-VTRC8-D7972-J97JY-PRVMG Windows2000Server简体中文完全正式版－－S/N:XF7DK-7X2WM-2QRCT-Y9R23-4BHDG Windows2000Server－－CD-KEY:H6TWQ-TQQM8-HXJYG-D69F7-R84VM Windows2000Professional中文版－－SN：PQHKR-G4JFW-VTY3P-G4WQ2-88CTW Windows2000Server简体中文版－－S/N:XF7DK-7X2WM-2QRCT-Y9R23-4BHDG Windows2000Professional中文版－－SN：PQHKR-G4JFW-VTY3P-G4WQ2-88CTW Windows2000Professional英文正式版－－s/n:RBDC9-VTRC8-D7972-J97JY-PRVMG Windows2000Server简体中文完全正式版－－S/N:XF7DK-7X2WM-2QRCT-Y9R23-4BHDG Windows2000Server－－CD-KEY:H6TWQ-TQQM8-HXJYG-D69F7-R84VM Windows98SE标准正式版－－s/n:HMTWJ-VPPWP-9BXP8-WD73Y-GGT6M Windows98序列号－－K4HVD-Q9TJ9-6CRX9-C9G68-RQ2D3 Microsoft FrontPage2000SR-1A V9.0X中文(简体)完整正式版S/N：GC6J3-GTQ62-FP876-94FBR-D3DX8 Microsoft FrontPage2000SR-1A V9.0X中文完整正式版S/N：GC6J3-GTQ62-FP876-94FBR-D3DX8 Microsoft Office2000DEVELOPER V9.0SR1(A)中文旗舰程式开发完整正式版S/N：GC6J3-GTQ62-FP876-94FBR-D3DX8 Microsoft Office2000Premium V9.0SR-1日文完整企业正式版S/N：GC6J3-GTQ62-FP876-94FBR-D3DX8OFFICE2000Server Extension S/N:4678-0000502 Microsoft Office2000S/N：gc6j3-gtq62-fp876-94fbr-d3dx8 Microsoft Office2000Server Extension S/N：4678-0000502 Microsoft Office2000Sr1中文企业版5CD S/N：KY7XV-6PF6K-FQDGJ-4PYQY-QDFYM s/n：Q3PX2-T7Y8Q-8X2VR-PQCTP-YQCYQ S/N：H3X78-Q23HJ-TGT6Q-DK2H4-T2BQ8 Microsoft Office2000STANDARD V9.0SR-1日文完整标准正式版S/N：GC6J3-GTQ62-FP876-94FBR-D3DX8 Microsoft Office2000STANDARD V9.0SR1(A)S/N：GC6J3-GTQ62-FP876-94FBR-D3DX8 Microsoft Office2000中文企业版S/N：GC6J3-GTQ62-FP876-94FBR-D3DX8 Microsoft Office2000简体版系列S/N：GJ627-VB478-VJX8D-CFQGK-JHPG8 Microsoft Office2000【3片装】S/N：GJV8J-DRRCG-MVTRJ-G33HM-8BCVM Microsoft Office2001for Mac Japanese日文光碟完整正式版S/N：545-465-4655 Microsoft Office2001For Mac完整正式版S/N：545-465-4655 Microsoft Office97日文版S/N：2601-6686117 Microsoft Outlook2000V9.0SR-1A中文完整正式版S/N：GC6J3-GTQ62-FP876-94FBR-D3DX8 Microsoft PhotoDraw2000中文正式版S/N：111-1111111