基于服务器的网络应用.ppt-道客多多

资源描述

1、1,第6章基于服务器的网络应用,61 概述 6.2 网络操作系统的安装及访问 63活动目录 64 客户机配置 65用户帐户 66组帐户 67 NTFS权限 68共享文件夹,2,61 概述,1.服务器 2服务器操作系统OS 3Windows Server 2003操作系统 4操作系统应用环境返回,3,1.服务器,在基于服务器的网络中，配置一台专用的计算机，在这台计算机上运行着各种服务器程序，向网络提供各种服务，称这种计算机为服务器返回,4,2服务器操作系统OS,在基于服务器的网络中有两个明显的特点：第一，有一台专门提供网络服务的物理服务器，运行着各种服务程序；第二，在服务器上安装着网络

2、操作系统。相对上一章讨论的操作系统，网络操作系统是一种网络专用的操作系统，主要用于网络的管理与控制，是一种功能强大的操作系统返回,5,3Windows Server 2003操作系统,Windows Server2003是美国微软公司于2003年春天推出的网络操作系统。 Windows Server2003是Windows NT系列网络操作系统的后续版本。 1993年5月微软推出WindowsNT3.1是微软第一个基于图形用户界面的大型的网络操作系统之后，微软的网络操作系统的版本不断更新，十年内相继又推出了WindowsNT3.5、WindowsNT4.0、Windows 2000 Se

3、rver和Windows Server 2003等返回,6,4个系列版本,Windows Server 2003在推出时一共推出了4个系列版本 Windows Server 2003 WEB Edition 主要用于作为WEB服务器的操作系统。 Windows Server 2003 Standard Edition 是标准版，用于组建中、小企业局域网，支持SMP4个CPU、4GB内存空间。 Windows Server 2003 Enterprise Edition 主要针对高端网络应用，支持SMP8个CPU，64GB内存空间。 Windows Server 2003 Datacenter

4、 Edition适合于组建大型企业网，支持SMP32个CPU、512GB内存空间,7,4操作系统应用环境,建立操作系统的应用环境是网络系统管理员的首要任务。主要包括操作系统的安装网络环境配置用户管理组管理文件资源管理文件资源发布打印机资源管理等返回,8,6.2 网络操作系统的安装及访问,621 安装特点 622 安装规划 623安装的准备阶段 624安装过程返回,9,621 安装特点,Windows Server 2003的安装过程则非常简单、方便。其安装的特点是系统收集信息少、重启动次数少。 Windows Server 2003对系统硬件识别能力强，即插即用的功能强，所

5、以在安装过程中基本上可以作到无人值守另外Windows Server 2003把系统的安装与域控制器（活动目录）的安装分离开来可以把操作系统安装成一个独立服务器，独立服务器默认地安装成加入一个工作组如Workgroup 待独立服务器安装完毕后，再安装域控制器，这种安排方式可以减少安装的难度返回,10,622 安装规划,1关于硬件平台 2关于安装方法 3关于选用文件系统返回,11,1关于硬件平台,Windows Server 2003支持多种CPU平台，包括Intel CPU平台、Power PC平台以及Alpha平台等 Windows Server 2003一般要求的硬件配置至少是奔腾

6、133 CPU、128M内存和2G硬盘剩余空间。低于这样的配置Windows Server 2003将拒绝安装。当然这只是最低的限制，作为一个网络操作系统，在一个PC服务器上安装时建议CPU应至少为P，内存至少为256MB。较高的配置才能充分发挥Windows Server 2003的性能,12,2关于安装方法,所谓安装方法指的是升级安装还是全新安装；是本地安装还是网络安装；是把发行盘复制到硬盘安装还是用光盘直接启动安装；是安装成单启动系统还是安装成多启动系统等,13,3关于选用文件系统,NT系列操作系统支持FAT、FAT32和NTFS格式的文件系统。NTFS文件系统具有非常优良的性能

7、，尤其是在文件系统的安全性方面。 NTFS支持文件加密，支持硬盘限额。NTFS使得只有取得合法权限的用户访问资源。 NTFS不光可以对文件夹设置安全属性，还支持直接对文件设置安全属性。不只可以限制用户对文件资源的网络访问权限，还可以限制用户的本地访问权限。 Windows Server 2003操作系统规定安装域控制器的前提是必须安装NTFS文件系统格式。所以只有独立服务器和成员服务器才有可能安装成FAT文件系统格式，域控制器不存在FAT文件系统格式,14,623安装的准备阶段,用硬盘安装需要在硬盘建立一个文件夹，然后把发行盘的所有文件复制到文件夹。而对于光盘直接启动的安装方式则要设置C

8、MOS使支持光盘启动。采取光盘直接启动的方法进行安装只需把Windows Server 2003启动盘放入光驱，重新启动系统就可以直接进入安装阶段。如果采取升级安装的方式，在NT4.0下把Windows Server 2003发行盘装入光驱返回,15,624安装过程,基本上分两个阶段。第一阶段进行系统硬件检查并复制必要的文件。第二阶段收集系统安装过程中所需要掌握的必要信息，进行组件安装、网络组件安装、开始菜单安装和最后设置等返回,16,1第一阶段安装,先进行硬件系统检查，并进行必要的文件复制。当出现Windows Server 2003许可协议对话框时按F8继续然后出现磁盘分区设置

9、的对话框并提供三种选择,17,三种选择：,要在所选分区上安装Windows Server 2003，请按ENTER键要在尚未划分的空间中创建磁盘分区，请按C键，然后输入磁盘分区的大小删除所选分区请按D键，之后还要按照提示按L键或ENTER,18,选用哪种文件系统,用NTFS文件系统格式化磁盘分区用FAT文件系统格式化磁盘分区保留原来的分区格式如果选择格式化分区，格式化完成后安装程序将文件复制到这个磁盘分区，复制完成后重新启动系统。,19,2第二阶段,第二阶段继续收集有关信息。首先进行设备检查。进行区域设置时应选择中文（中国）。然后要求输入姓名、单位，紧跟着的对话框要求输入计算机

10、名。计算机名是网上计算机帐户的唯一标识，不能与网上其它计算机重名。然后要求输入产品系列号接着出现“授权模式”对话框。授权模式包括两种选择：每服务器和每客户。所谓授权模式实际上是一个软件使用版权问题,20,8个过程,第二个阶段的安装很有规律性，一共进行8个过程，每个过程都出现一个安装进程指示。这些过程包括：正在安装准备正在安装网络正在进行配置正在完成安装安装开始菜单项注册组件保存设置删除任何用过的临时文件之后进入最后工作阶段，完成整个安装过程，此时系统重新启动,21,3访问服务器,把Windows Server 2003安装完成后，这台计算机就可以作为服务器向别的计算机提

11、供服务了，例如可以作为一个文件服务器。在提供服务之前还应进行一些必要的环境建立的工作，包括用户管理、文件资源的权限管理等,22,独立服务器,Windows Server 2003组成的网络可以以工作组模式或域模式两种模式工作。在上节安装过程中，已经按工作组模式进行了安装，这样的服务器称为独立服务器。独立服务器向网络只能提供本机的资源，又称为本地资源，资源访问的方便性受到了限制,23,TCP/IP协议,为了使网络上的客户机能够访问服务器，要对服务器的网络进行必要的配置。在安装过程中，已经默认安装了TCP/IP协议以及文件及打印机的服务功能。虽然安装了TCP/IP协议，但是并未对协议进行配

12、置，所以，网络客户还不能访问这台服务器,24,帐户,Windows Server 2003安装完成后，自动地建立两个帐户，一个是管理员帐户，即Administrator，对网络的所有资源具有完全的权限。另一个是guest来宾帐户，但这个帐户默认是不可以使用的。同时Windows Server 2003还建立了一些组帐户，其中有一个默认的组帐户是everyone，所有的用户帐户都默认加入这个组，包括guest帐户,25,资源的访问权限,以administrator帐户登录，可以设置资源的访问权限。设置资源的访问权限可以通过资源管理器进行。除了Administrator以外，其它用户对文件

13、资源默认的访问权限为只读，这是由everyone组的权限所规定的，除非进行重新配置（设置过程略）,26,建立新的用户和组,除了系统默认的组及用户以外，管理员还可以建立新的用户和组。对这些用户及组设置了访问权限以后就可以对文件等资源进行访问。在独立服务器上建立的用户及组称本地用户及本地组。相应地，以后还要介绍域用户及组。以新建立的用户登录，即可以在本机（服务器）或客户机通过网络访问服务器的资源。不同的用户由于权限设置不同，对资源的访问具有不同的权限。这一点是与Windows98组成的对等网不同的，在Windows98中，对某文件夹的权限，所有用户都是相同的（设置过程略）,27,63

14、活动目录,631 域的基本概念 632域的组成 633域的结构 634 域控制器 635 安装活动目录 636 活动目录管理单元的界面返回,28,631 域的基本概念,我们可以通过域把若干计算机组织起来构成一个计算机信息网络系统。域成员中的计算机有域控制器、域成员服务器和域成员计算机通过活动目录，用户访问网络的任何资源可以一次性登录，即一次登录可以访问网络上的任何服务器、计算机、打印机以及文件等资源活动目录中的组织单位可以以公司组织结构的形式建立和管理，这样就把网络的管理系统建立在了公司组织结构的基础之上，并且很完善地结合起来返回,29,632域的组成,为了更深刻地理解域的概念，分析一

15、下域的组成。首先看一下工作组即对等网的组成。如图6-7 所示返回,30,31,工作组,在工作组中，各个计算机以对等的地位出现，一台计算机在作为客户机共享网上资源的同时还可以向网络提供资源。网上的计算机除了上一章介绍的Windows3.X、Windows95、Windows98、Windows Me等以外，还可以是Windows NT Server4.0、Windows NT Workstation4.0、Windows 2000 professional 、Windows 2000 Server和Windows Server 2003 Server等,32,单域的组成,一个单域的组成如图6

16、-8所示。单域的组成与工作组不同。首先在域中的计算机运行的操作系统只能是Windows NT4.0 Server、Windows NT4.0 Workstation、Windows 2000 Professional、Windows 2000 Server、Windows Server 2003以及Windows XP。 Windows个人机操作系统，包括Windows95/98等，虽然可以访问域，但不能加入域。另外只有Windows 的Server版可以作为域控制器，客户版不可以作为域控制器。当然并不是说所有的服务器都必须安装成域控制器,33,34,域,加入域的Windows Serv

17、er 2003 称为成员服务器。不加入域的Windows Server 2003 称独立服务器，这样的服务器没有什么意义。域与工作组除了成员略有不同外最主要的不同之处是：域具有集中安全管理功能，安全管理的数据库集中存放在域控制器上，具体体现就是在域控制器上安装活动目录,35,两种模式,在一个域中，如果没有Windows操作系统的早期版本，如NT4.0等，只有Windows 2000和Windows Server 2003等操作系统，这样的组网模式称为本机模式，否则称为混合模式,36,633域的结构,在Windows Server 2003中采用单域和多域模式多域之间具有一定的逻辑结构，即

18、树型的结构形式。域之间有主域与子域之分。其次，如果是一个大型的多域网络，还可以把树型域的范围扩大到域森林，从而使得域的结构更加合理。另外域之间的任何关系是可以自动传递的返回,37,容错,一般中、小型的网络可以组成单域模式。出于安全考虑，在域中最好设置两个或多个域控制器小型的域当然只需要一个域控制器，较大的域或者出于容错和安全角度考虑的域结构则应该设置其它的域控制器。一个域中的域控制器没有主从之分。当一个域控制器出现问题不能对网络实施控制时，域中的另外一个域控制器可以立即单独完成域控制器的功能，达到容错与安全的目的,38,命名体系,Windows Server 2003域采用树型结构

19、，DNS域也采用树型结构，这就使得Windows Server 2003域与DNS域具有了相同的命名体系，例如采用以“点”隔开的域名但不能把Windows Server 2003域的概念与Internet域的概念混淆起来。Windows Server 2003的域是对网络中计算机进行管理的方法，Internet的域则是命名体系，与计算机的管理关系不大,39,域目录树,对于大型网络或出于公司管理结构需要的中小型网络可以考虑建立多域模式的网络。如图6-9所示这是一个域目录树,40,41,。图6-10所示为一个域目录林的例子,42,634 域控制器,如果你已经决定把你的网络结构设计成一个域模式结构

20、，那么接下来还要考虑根据网络规模的大小以及企业的组织机构的形式，把网络设计成域树或者是域林如果已经决定设计成一个单域的结构，接下来还应该考虑域的组成。所谓域的组成主要指在域中有几个域控制器。在Windows Server 2003的域中，域控制器没有主、从之分。推荐至少应该设置两个域控制器，多个域控制可以减少域控制器管理网络的负担并提高域的容错性能域控制器就是一台服务器，在这台服务器上安装并配置了活动目录组件。稍后会看到，配置成域控制器后，在启动菜单的管理工具中增加了几个有关活动目录的管理工具。正是基于这些管理工具，域控制器才能使系统管理员对网络实施有效的管理与控制返回,43,几点说明

21、,1.对域控制器的相关操作只有系统管理员才具有权限。例如Administrator用户。 2.安装相应的网络服务软件。 3配置IP地址。由于域需要与DNS相配合，而DNS服务器要求该计算机的IP地址应为静态的，所以在安装域控制器之前，应首先为此计算机设置IP地址。 4，设计好域名。如果你的网络与Internet是连接的，那么，域名系统应该遵循Internet域的命名体系如果你的网络是一个与Internet不进行连接的内部网络，这时，可以自行设计域名体系，但建议应采用Internet的域名体系以便兼容,44,本书例子,hhy.hljitc.edu 第一个域控制器 hhy1.hljitc.edu

22、安装Windows Server 2003操作系统 hhy2.hljitc.edu 安装Windows 2000 Professional hhy3.hljitc.edu 安装Windows 98 操作系统,45,635 安装活动目录,安装活动目录的实质是配置域控制器。按照域的结构，域控制器可以安装成第一个域控制器、额外域控制器和子域的域控制器任何网络，无论是单域、域树或域林，所安装的第一个域控制器称为第一个域控制器。一个域如果已经安装了一个域控制器，再安装的域控制器称额外域控制器。在一个域树的根域下再安装的域称为子域，子域的域控制器称子域域控制器。在网络中，无论是单域、域树还是域林

23、，第一个域控制器非常重要，在其上运行着全局编录的数据库，以便在整个网络内实现互相访问。通过配置您的服务器向导，可以完成域控制器的配置，从而实现活动目录的安装（安装过程略）返回,46,636 活动目录管理单元的界面,Active Directory用户与计算机是应用最广、应用最多，也是最常用的管理单元。网络或域的计算机、文件、打印机、用户、组等都是通过这个管理单元进行管理的。除此之外，通过Active Directory用户与计算机组件还可以把共享文件夹、打印机等在域中进行发布和实施组策略等。因为域中的计算机（运行Windows 2000或Windows Server 2003操作系统）

24、在网上邻居全体网络中都可以看到活动目录的图标目录，这样域中的用户都可以非常方便地了解和利用活动目录来使用域资源返回,47,48,界面窗口,窗口分成两个子窗口左侧为控制台树，在树中的一组节点为管理单元，如图中的Users等。选中某一个单元，在右侧显示该单元的详细子项。可以看到MMC控制台的界面与Windows的资源管理器相仿。而且许多管理工具如DNS、DHCP、WINS、IIS等都采用相同的界面,49,2活动目录中涉及到的几个概念,在Active Directory用户与计算机管理单元中，经常涉及到一些概念，在下面予以介绍,50,（1）对象,Active Directory用户与计算机管理

25、的计算机、用户、组、文件、打印机等称为对象。对象具有一些属性，例如用户对象具有登录名、口令、地址、电话、单位等等一些属性,51,（2）容器,容器也是一种对象，但容器可以包含其它的对象与容器，也就是说容器是可以嵌套的。例如组织单位是一个对象，是一种容器对象在组织单位中可以包含其它的对象。很明显，容器是用于管理对象的，通过容器把对象按照相应的对象类别进行组织，使得活动目录按照阶梯型的结构进行层次管理,52,（3）组织单位,组织单位是一种容器。组织单位也是为了便于对对象进行组织和管理而设置。组织单位是一种非常有特色的管理方法，使得网络的结构与公司的管理层次结构相对应，更便于对网络进行管理

26、,53,3Active Directory用户与计算机的界面,如图6-33所示,左侧的控制台树中，以hljitc.edu为根，以对象为结点。这些结点都是一些容器结点。选中某一个容器，在右侧显示其中的详细项目。例如选择计算机组织单位，显示其中包含域的一些组及用户。,54,Users 其内包含域中的部分组及用户对象。,Builtin 其内包含域中由系统内置的一些本地域组，例如Server Operators组是内置的组，其成员拥有管理域控制器的权限。 Computers 默认的域计算机组织单位。成员包括域中的客户机、成员服务器等。 Domain Controler 域控制器所在的容器。,55

27、,64 客户机配置,641 概述 642 Windows98客户机 643 Windows XP客户机 644 Windows 2000客户机返回,56,641 概述,在Windows Server 2003域中，可以使用多种客户机。包括 Windows95、Windows98、Windows ME、Windows NT、Windows 2000、UNIX、Linux以及Maciontosh等等。本书主要介绍Windows98、Windows XP和Windows 2000 Professional作为客户机操作系统的配置返回,57,642 Windows98客户机,由于Windows

28、98对计算机硬件资源要求比较低，是目前低档机操作系统的首选。但Windows98作为域的客户机并不理想，原因是Windows Server 2003对其支持不好。 Windows98虽然可以访问域，但Windows98客户机并不能成为域成员，不能方便地使用域的资源，如目录等。同时也不能在Active Directory用户与计算机管理单元对计算机进行管理等 VPN http:/ 返回,58,643 Windows XP客户机,Windows XP Professional（简称XP）是2001年秋推出的32位操作系统。Windows XP可以加入Windows Server 2003域，并

29、可以真正成为域成员计算机。返回,59,644 Windows 2000客户机,Windows Server 2003对Windows 2000作为客户机支持最好，可以说是天衣无缝。所以建议在以Windows Server 2003 作为操作系统的网络中，客户机选用Windows 2000 ，可以得到完全的网络服务。首先Windows 2000可以作为域成员。另外Windows 2000 Professional能够被识别并自动把该计算机帐户加入Computer容器，在此容器中对该计算机进行管理。而且Windows 2000 Professional登录后，在网上邻居中将出现“目录”图标

30、，使得客户机可以非常方便地访问域活动目录中的网络资源返回,60,65用户帐户,651帐户的基本概念 652帐户的建立 653用户帐户的管理返回,61,651帐户的基本概念,Windows Server 2003有两类帐户。一类是本地帐户一类是域帐户返回,62,本地帐户,本地帐户是在成员服务器、独立服务器计算机中可以建立的一种帐户，可以访问这些计算机中的资源。本地帐户只可以访问计算机本地资源，而不能访问域网络资源。本地帐户建立在本地计算机的用户数据库中，由本地计算机的超级用户进行管理。但本地帐户的用户不能访问域网络的资源。在域网络中，不提倡使用本地用户帐户。本地帐户可以通过“

31、计算机管理”工具进行设置,63,域用户帐户,另一类是域用户帐户，本节主要介绍的概念都是针对这种用户。域用户在有限的权限内可以访问域中的资源，由域网络管理员对域用户实施有效的管理。域用户的建立以及所有的管理工作基本上可以在管理工具Active Directory用户与计算机中进行。域用户的资料信息存放在域安全数据库中。当设计好活动目录及组织单位后，可以把用户帐户建立在某个组织单位中。当然，也可以建立在默认的Users组织单位中。一般还可以把用户帐户划归到某个组中以便管理和访问资源,64,网络上的用户有两种,网络上的用户有两种。一种是普通用户帐户；还有一种是管理员帐户，又称为超级用户帐

32、户这两种帐户的区分主要是指访问网络资源的权限的大小。如果一个用户的权力足以大到与管理员权力等同时那他就是一个超级用户。普通用户只可以访问网络、使用网络资源。超级用户具有至高无上的权限，可以负责对普通用户帐户的所有管理工作。最重要的是，系统管理员可以管理整个域网络，包括网络的安装、规划、设备与资源的管理与使用等,65,默认的两个帐户,网络安装好以后，默认地建立两个帐户。一个是普通用户帐户Guest；一个是网络管理员帐户Administrator。 Guest又称来宾帐户，这是为临时访问网络的用户提供的。由于存在不安全性，Windows Server 2003在安装后默认设置其为不可用在

33、安装网络时安装向导曾提问要求输入一个管理员帐户的密码，就是为这个帐户建立的。所以安装Windows Server 2003的人自然就是系统管理员，具有管理整个网络的权力。这个帐户的名字不能更改，帐户也不能删除，具有特殊的属性。,66,652帐户的建立,通过“Active Directory用户与计算机”可以进行用户帐户的建立和管理。基本上可以通过三个操作建立一个用户的帐户。一是关于用户帐户的名字；一是关于帐户的口令；还有就是设置用户帐户的属性。（过程略）返回,67,653用户帐户的管理,实际上建立帐户和根据属性查找用户等都包含在管理用户帐户的操作范围内除此之外，还包括为用户重命名、

34、改变口令、限制用户登录等这些操作都可以使用该用户快捷菜单中的相关命令进行返回,68,（1）用户登录时间的设置,登录时间的限制具有某种安全的意义。例如限制用户只能在每周的工作日及工作时间内进行登录，其它时段拒绝用户登录,69,用户登录工作站的设置,一个合法的用户帐户，默认为可以在任何客户机上登录。这样为用户使用域网络资源提供了方便，但也存在某些不安全因素的存在，可以通过对用户帐户登录站点的限制解决,70,3用户快捷菜单上的其它命令,停用/启用帐户可用于设置停用和启用用户帐户。重命名可以为用户重新设置一个新的名字。如果一个职工离开了企业，建议不要删除该帐户，可以设置为“停用”帐户。等新职

35、工调进来接替其工作后再启用该帐户。重命名一个用户帐户后，其原来的所有权限和组关系等都不变。这是由于系统对用户的识别是用该用户的安全标识符（SID），而非用户的名字。赋予用户的权限等也使用标识符。重设密码如果用户密码到期或者忘记了密码，可以用该命令重新为用户设置一个新的密码。除此之外，还有两个常用的命令，“将成员添加到组”可以把一个用户添加到某个组中。“移动”则可以使用户帐户在不同的组织单位内移动，以便于选择一个新的组织单位。,71,66组帐户,661组的概念 662组的类型 663内置组返回,72,661组的概念,设立组的目的是为了对用户帐户加强管理。这里所说的管理主要是指设置用户访问资

36、源的权限问题。建立了用户帐户后，就要对用户访问资源的权限进行设置。一个小规模的具有几十个以下用户帐户的网络，对每个用户分别设置相应的权限应该是不成什么问题。但是对于一个具有成千上万个用户的大规模的网络，如果用户帐户的管理是无序、无组织的，对每个用户都要分别设置对资源访问的权限，无疑其管理的工作量将是非常巨大的，而且还可能会出现信息安全方面的漏洞及隐患。设立了组帐户，就可以把具有同等责任、同样权限或公司中同一组织构成的用户组成一个组，然后再对这个组分配访问资源的权限。返回,73,续,在一个组织单位中建立了用户及组帐户后，就可以通过组帐户的属性把用户加到相应的组中来，也可以把某些组加入到规定

37、的另外的组中。这些工作可以通过活动目录由系统管理员或其它具有管理员权限的用户进行操作除了由管理员建立的组以外，同用户帐户一样，在安装了系统之后系统还将内置一些组帐户同用户帐户一样，组帐户也区分域的组帐户和本地组帐户。只有成员服务器、独立服务器和Windows 2000 Professional计算机才可以设置本地组帐户，以便对本地用户帐户进行管理。对于域控制器计算机不能设置本地组帐户。与用户帐户一样，本地组帐户的设置没有实际意义,74,662组的类型,1分类方法 2分类的意义 3把用户加入组 4组的建立返回,75,1分类方法,如果按照安全性来分类把组分为两类：一类是安全组，即具有访问权限设

38、置功能的组，一般建立的都属于安全组。另一类是分布组如果按照组的成员及组的作用范围来分类可以把组分为三类：一类是全局组；一类是通用组；还有一类是本地域组。单域的结构只具有全局组和本地域组，多域结构才增加通用组。另外，只有本机模式下才可以建立通用组,76,2分类的意义,把组分为全局组、通用组和本地域组是从两个方面考虑的。一个是从组的成员角度考虑；一个是从访问资源的角度考虑从组成员角度考虑针对的是全局组和通用组。从资源角度考虑针对的是本地域组,77,全局组和通用组,我们知道，域中的用户帐户就是指人，组是对人的分组（包括全局组和通用组）。一般的企业、公司都具有组织机构，人在不同的组织机构中

39、，例如销售组、财务组等。那么通过组就可以按一定的组织机构把用户帐户组织起来。所以可以认为组是对用户帐户的分类，例如把销售部的用户用一个全局组组织起来,78,本地域组,访问网络的资源，例如文件、文件夹和打印机等，需要具备访问权限。建立一个组并设置这个组对资源访问具有某些权限，这样的组称本地域组。可见本地域组是针对资源的，是对资源访问的权限进行分类的。当某些用户或全局组的用户成员需要具备对该资源的访问权限时可使其加入这个组,79,3把用户加入组,先把用户帐户加入到全局组然后再把全局组根据对资源的访问权限加入到不同的本地域组中去当然在此之前应该已经设置了某个本地域组对某个资源的访问权限

40、,80,4组的建立,通过Active Directory用户与计算机的管理工具建立组（略）,81,663内置组,内置组是Windows Server 2003安装了活动目录之后自动建成的组。内置组主要分为三类，即内置本地域组、内置全局组和系统组返回,82,1内置本地域组,与建立的本地域组一样，内置的本地域组也是针对权限访问而设立的，这些组本身已经被赋予了一些权力和权限。本地域组一般都建在builtin容器中。 Administrators 这个组的成员都具有系统管理员的权限可以管理整个域。系统内置的Administrator帐户就是这个组的成员。其成员还包括了几个内置的全局组。Sever

41、 Operators 这个组的成员可以管理域控制器计算机。例如可以在域控制器计算机上登录并对文件夹及文件进行管理等。Account Operators 这个组的成员拥有管理域控制器的权利，可以对域中的用户及组帐户进行操作，例如建立和管理这些帐户等,83,2内置全局组,内置全局组也是用于对用户帐户进行组织和管理的。主要有Domain Admins全局组、Domain users全局组、Domain Guest全局组和Enterprise Admins全局组等。系统默认自动把Domain Admins加入到Administrators本地域组中。可见此全局组中的成员权力是非常大的，必须格外谨

42、慎。此组默认的成员是Administrator。,84,3内置系统组,内置的系统组在Active Directory用户与计算机的管理工具中是不可见的。只有在进行资源访问权限设置时才可以看到。例如我们经常看到的Everyone就是一个系统组。任何一个访问计算机的用户都默认是这个组的成员，且无法更改,85,67 NTFS权限,671 NTFS权限的基本概念 672NTFS权限的类型 673 NTFS权限设置 674 有效权限 675 复制和移动后的权限返回,86,671 NTFS权限的基本概念,NTFS文件系统具备完善的文件系统资源访问控制的功能,在网络上可以进行文件夹级的保护。在本地既

43、可以对文件夹级进行保护，也可以进行文件级的保护对于一个网络管理员，在规划网络环境时的重要任务就是规划网络资源的应用环境，设置网络资源的访问权限。设置文件及文件夹的NTFS权限是建立网络应用环境的基础工作。首先应建立若干本地域组，然后设置不同的本地域组对文件资源的相应权限。再建立若干全局组，把全局组或某些个别用户帐户加入到本地域组中以便获取相应的资源。返回,87,672NTFS权限的类型,NTFS权限包括文件夹的权限和文件的权限。文件夹的权限与文件的权限不同。有时即使权限名相同，其含义也不一定完全相同返回,88,1文件夹权限类型,读取（Read）显示文件夹中的文件及子文件夹；显示文

44、件夹的属性、权限分配的情况和文件夹的所有者写入（Write）在文件夹中建立文件和子文件夹；改变文件夹的属性；显示文件夹的所有者和权限分配情况。列出文件夹目录（List Folder Contents）显示文件夹中的文件和子文件夹的名字，又称作遍历。读取和运行（Read Execute）此权限与“列出文件夹目录”的权限基本相同，唯一不同之处是权限的继承性。“列出文件夹目录”的权限只是由文件夹继承，而“读取及运行”可以由文件夹与文件同时继承。修改（Modify）修改文件夹的名字和删除文件夹并具有“写入”、“读取和执行”权限。完全控制（Full Control）拥有所有NTFS文件夹的权限。

45、可以修改权限和取得文件夹的所有权。,89,2文件权限类型,读取显示文件内容；显示文件的属性、所有者和权限分配情况。写入可以将文件覆盖、改变文件的属性、查看文件的所有者和权限等。拥有此权限只能将整个文件覆盖掉但不能改写文件内的数据。读取与运行拥有读取文件的权限并具有运行应用程序的权限。修改可以更改文件内的数据、删除文件、重命名文件，同时拥有“写入”和“读取及运行”的权限。完全控制拥有所有NTFS权限，拥有“修改权限”与“取得所有权”的权限。文件和文件夹还可以设置特殊属性，是在列表以外的属性，可以通过单击安全属性设置对话框中的“高级”按钮进行进一步的设置。,90,673 NTFS权限设

46、置,在进行NTFS权限设置时，可以对文件夹及文件进行属性设置、权限设置、继承权设置、特殊权限设置以及所有权更改等。这些设置都是在“我的电脑”或“资源管理器”中进行。（略）返回,91,674 有效权限,在NTFS权限设置中，一个用户的有效权限是累加的。当一个用户属于不同的组时，所具有的最终权限是在不同组的权限累加的结果返回,92,675 复制和移动后的权限,文件与文件夹如果被复制或移动以后，原来的权限将可能发生变化。视复制和移动操作不同，又视源与目标不同。复制和移动文件时操作能否进行，还与对被操作的文件以及目标文件夹是否具有相应的操作权限有关返回,93,68共享文件夹,681文件共享 68

47、2设置共享文件夹 683访问共享文件夹 684发布共享文件夹返回,94,681文件共享,作为服务器的计算机可以把共享文件夹设置为共享，作为客户机的用户可以通过网上邻居访问共享文件夹从而获得网上的文件资源顾名思义，共享文件夹只能对文件夹进行文件资源的访问限制，而不能对文件进行网络访问的限制。对于NTFS系统，本地用户还可以通过NTFS权限进行文件资源访问的限制，可以配合使用。对于FAT系统，这是唯一的对文件资源进行限制的方法共享文件夹权限设置与NTFS权限设置具有一定的关系。在NTFS分区上的文件夹既可以设置用户的共享文件夹的权限，也可以设置NTFS权限返回,95,共享文件夹的权限类型包

48、括：,读取可以查看文件夹内的文件名称、子文件夹名称，查看文件内的数据，运行程序，遍历文件夹等。修改除上述权限外，还可以向共享文件夹添加文件、子文件夹，修改文件夹内的数据。完全控制除上述所有权限外，还可以删除文件与子文件夹。对于NTFS分区的文件及文件夹，还可以修改权限和取得所有权。与NTFS权限不同，因为共享文件夹是在网络上进行访问，因此还涉及如何在网络上访问的问题。稍后将详细介绍，可以通过网上邻居，映射网络驱动器以及在活动目录上发布等各种方法。,96,682设置共享文件夹,以超级用户帐户登录，进入“资源管理器”或“我的电脑”，选择某一个文件夹右键单击，选择属性菜单命令或“共享和安

49、全”，都可以进入如图6-80所示的共享文件夹的权限设置对话框（略）返回,97,683访问共享文件夹,访问共享文件夹可以通过三种方法：通过网上邻居访问通过映射网络驱动器访问通过活动目录访问。通过网上邻居和通过映射网络驱动器这两种方法与对等网共享文件夹的访问方法一样，尤其是用Windows98作客户机时返回,98,684发布共享文件夹,所谓发布共享文件夹就是把共享文件夹发布到Active Directory，客户通过活动目录可以访问共享文件夹。只要能够访问活动目录的客户机都可以使用这种访问方式。这种访问方式的优点非常明显。客户机在访问服务器时，通过活动目录就可以看到这些共享文件夹，而无需进入域控制器。也就是说无需知道共享文件夹在哪台计算机就可以访问文件夹返回,99,发布共享文件夹步骤如下：,首先把要发布的文件夹如hhy计算机上的JC设置为共享文件夹。然后进入Active Directory用户与计算机管理工具，建立一个组织单位如“计算机”。右键单击，选择新建共享文件夹，出现如图6-84所示对话框,

展开阅读全文