1、第 9 章 共享网络资源课题:共享网络资源课型:理论课 课时:2 课时教学目的:1、了解发布对象和共享资源的比较;2、掌握发布共享文件夹的操作;3、掌握管理打印机发布的操作;4、掌握配置打印机定位的操作。重点难点:1、共享资源和发布资源的区别;2、管理打印机发布的操作;3、管理文件夹发布的操作。教学环境:1、多媒体教室;2、一台安装有虚拟机的电脑。教学方法:讲授法教学过程:Windows Server 2003 的 Active Directory 可以用来存储网络对象的信息,提供快速的信息检索,并提供安全机制来控制对 Active Directory 中的信息的访问。本次课程将介绍如何利用
2、Active Directory来进行共享网络资源的发布和管理,以及用户如何在网络上方便快速地查找这此资源。其中将重点介绍共享文件夹和打印机的发布。一、网络资源发布概述网络资源的发布是以 Active Directory 为基础,首先在 Active Directory 中创建一个要发布的资源对象,并设置及相应的属性,这样用户就可以通过 Active Directory 很方便地搜索这些资源。1、发布对象和共享资源的比较在发布对象(如文件共享文件夹和打印机)时,要理解在 Active Directory 中发布的对象和实际的共享资源是不同的,认识这些不同有助于解决用户在访问发布资源时出现的问题
3、。在 Active Directory 中发布的对象与它所代表的共享资源完全无关。当在 Active Directory 中发布打印机或共享文件夹时,存在两个完全不同的对象:共享的文件夹或打印机、发布的对象。发布的对象包含对共享资源位置的引用。当用户访问发布的对象时,Windows Server 2003 操作系统会自动将用户重定向到共享的资源位置。因为共享资源和引用此共享资源的发布对象是两个不同的对象,所以每个对象都有自己的自由访问控制列表(Discretionary Access Control List,DACL) 。下面来说明一下两者的不同。(1)用于共享资源上的 DACL对于共享资源
4、上的 DACL 是用来控制共享资源的访问的。例如,对共享打印机可以用 DACL 来控制打印机的打印权限和管理权限,如下图所示。其所有设置都是在共享打印机的属性中设置。(2)用于 Active Directory 中发布对象的 DACLActive Directory 中发布对象的 DACL 用来控制发布对象的属性权限,用户至少拥有对该对象的“读取”权限,才能够在网络上查看发布的对象,或者访问该对象对应的共享资源(由共享资源的 DACL 决定) ,如下图所示的打印机发布对象的属性。用户或许可以看到已经发布的对象(这个权限是由该对象的 DACL 控制) ,但不一定可以访问对应的共享资源(这取决于共
5、享资源上的 DACL) 。2、用组来管理对对象和资源的访问将资源访问需求相似的账户组合到一个用户组中,然后对整个用户组来进行授权,这种方式简化了对用户的授权和管理。常用的对象管理策略有两种形式:组计划策略和扩展组计划策略。(1)组计划策略将用户账户(A)添加到全局组(G)中,然后将全局组添加到本地域组(DL)中,再将发布对象或资源的权限(P)授予本地域组,即为 AGDLP。AGDLP 策略降低了访问授权的复杂性,同时提供了更好的设置灵活性。例如说明。(2)扩展组计划策略在本地模式环境中部署多个域时,当“组类型”为通讯组时,用户可以创建“通用”组作用域。这时可以使用通用组来扩展 AGDLP。将用
6、户账户(A)放入全局组(G)中,并将全局组添加到通用组(U)中,然后将通用组放入本地域组(DL)中,再对本地域组授权(P) 。这样的 AGUDLP 策略减少了本地域组中的账户数目。二、文件夹的共享与发布在 Active Directory 中可以发布的任何用 UNC(Universal Naming Convention,通用命名约定)名称的共享文件夹。运行 Windows 2000 以上版本的计算机可以在 Active Directory 中找到代表共享文件夹的对象,然后连接到该共享文件夹上。在发布共享文件夹之后,还可以为共享文件夹定义关键字和描述。如果有必要的话,还可将共享文件夹移动到组织
7、单位中。1、发布共享文件夹用户可以 Active Directory 中发布任何共享的网络文件夹。由于在 Active Directory 中创建共享文件夹对象时,并不自动共享该文件夹。因此在 Active Directory 中发布共享文件夹要分两个步骤:先共享文件夹,然后再进行发布。(1)添加共享文件夹。参考本教材的第 4 章内容。(2)打开“管理工具”中的“Active Directory 用户和计算机” 。(3)在控制台树中展开域节点,找到需要创建共享文件夹对象的容器。(4)鼠标右键单击该容器,在弹出的菜单中选择“新建”“共享文件夹” 。打开“新建对象共享文件夹”对话框,如图所示。(5
8、)在“名称”文本框中输入想指派给该共享文件夹对象的名称。在“网络路径”文本框中用 UNC 形式输入要在 Active Directory 中发布的共享文件夹的名称。注意:此处的网络路径一定要用“ 完全合格域名共享文件夹名”的形式填写。(6)单击“确定” ,在 Active Directory 中将出现新的共享文件夹对象。 2、 管理发布的共享文件夹在共享文件夹被发布之后,管理员可以根据客户需要改变对已发布的共享文件夹的设置。例如,为共享文件夹对象加入描述信息和关键字,以方便对共享文件夹的查找。对已发布的共享文件夹对象通常可以执行以下操作:添加关键字、打开共享文件夹和移动共享文件夹。(1)添加关
9、键字在发布共享文件夹之后,可以为共享文件夹对象添加描述和关键字以方便搜索。描述可以提供共享文件夹的详细信息,如它的内容描述。关键字是一串字符,可以用它来定义共享文件夹对象,也可以用来搜索共享文件夹。 (演示具体操作过程)(2)移动已发布的共享文件夹在共享文件夹发布以后,可以将发布的文件夹移动到其他容量和组织单位中。要移动已发布的共享文件夹对象,需要在 Active Directory 中移动包含共享文件夹信息或引用的共享文件夹对象。移动已发布的共享文件夹对象的位置不会影响共享文件夹的物理位置。(演示操作过程)(3)打开共享文件夹在“Active Directory 用户和计算机”中, 右击共享
10、文件夹对象,然后单击“打开” 。3、监视对共享文件夹的访问可以通过监视共享文件夹来确定当前有多少用户连接到这些文件夹,也可以通过监视打开的文件以确定哪些用户正在访问这些文件。同时可以根据需要断开一个或多个用户与打开文件的连接。(1)设置共享文件夹管理单元在 Windows Server 2003 中,可以使用“计算机管理”控制台来监视和管理本地及远程计算机上的共享资源。 “计算机管理”控制台还能用于查看共享资源的相关信息和执行管理任务,例如,修改共享资源的权限,确定当前正在访问共享资源的用户数等。在“计算机管理”控制台中有一个“共享文件夹”的管理单元,它使用户能够方便地对网络进行操作,包括对网
11、络资源的访问进行控制,对网络共享进行配置,以及对用户发送的消息进行监视。 “共享文件夹”作为“计算机管理”控制台的一个组成部分,也可以将其作为单独的管理单元来操作。(演示操作过程)(2)监视共享文件夹使用“共享文件夹”管理单元中的“共享”文件夹可以查看计算机上所有共享文件的列表,并可以用于确定每个文件夹有多少用户进行连接,另外还可以确定是否已经到达了允许访问共享文件夹的最大用户数。如果达到了最大连接用户数,将导致新的用户无法进行连接。用户也可以利用“共享”文件夹来启用和停止共享、设置共享文件夹的共享权限,以及是否在 Active directory 中发布。“共享”文件夹列表如图所示。选择共享
12、文件夹,单击鼠标右键,在弹出的菜单中用户可以选择“停止共享” ,停止当前共享的文件夹。也可以选择“属性”菜单,设置共享权限和确定是否在 Active directory 中发布。(3)监视用户会话管理员可以利用“会话”文件夹监视连接到服务器上的用户情况。在“会话”文件夹中,管理员可以了解哪些用户连接到服务器上,是从哪台计算机访问服务器的,打开了几个文件,以及连接到服务器多长时间等信息。管理员可以根据网络连接情况关闭会话。 “会话”情况信息如图所示。三、设置和管理已发布的打印机在 Windows Server 2003 网络环境中,在域控制器或域中的成员计算机安装了打印服务器后,如果同时共享此打
13、印机,则默认情况下都会自动在 Active Directory 中发布。在域中的成员可以利用打印机设置的属性,方便地在域中搜索不同位置的打印机。1、打印机发布介绍当在 Windows Server 2003 网络环境中创建打印机时,如果共享了该打印机,则系统会默认地将打印机集成到 Active Directory 中,并且在 Active Directory 中自动发布打印机。在 Active Directory 中的打印机对象也被称为打印队列。在 Active Directory 中可以方便地修改打印机的默认设置和属性。已经发布了的打印机具有以下属性: 在 Active Directory
14、中,任何拥有域账户并且运行 Windows 2000 Professional 以上操作系统的计算机,在安装了共享的后,共享打印机都会在 Active directory 中发布。要在 Active Directory 中发布打印机,管理员只要安装并共享该打印机即可。 网络中的打印服务器被删除,则在 Active Directory 中发布的打印机也将会被自动删除。这样可以避免用户访问网络上已不存在的打印机。 每个打印服务器负责在 Active Directory 中发布它自己的打印机。域控制器不会在网络上搜索需要发布的打印机。当共享打印机时,该共享打印机的服务器将联系域控制器并请求在 Act
15、ive Directory 中发布该打印机。在 Active Directory 中不对发布的打印机进行集中控制管理。 在配置或修改打印机属性时,Windows Server 2003 操作系统会自动在 Active Directory 中更新已发布的打印机对象的属性。2、管理打印机发布当在域中运行 Windows 2000 以上版本的计算机上安装和共享打印机时,Windows Server 2003 会自动地在 Active Directory 中发布该打印机。(1)实现打印机发布在域服务器或域中的成员计算机上安装并共享打印机时,演示操作过程,如图所示。(2)查看 Active Direct
16、ory 中的打印机对象打印机发布后,相应的打印机对象保存在 Active Directory 中的打印服务器所在的计算机对象中。可以在 Active Directory 中查看打印机对象。要查看已经发布的打印机对象,可以通过以下步骤实现:(演示操作过程)如图所示。(3)控制打印机发布在打印机属性的“共享”选项卡上,可以使用“列在目录中”复选框来控制打印机的自动发布。 “列在目录中”复选框默认是被选中的,因此用“添加打印机”向导添加打印机时,打印机会自动在 Active Directory 中发布。而在有些情况下,管理员或许不需要在 Active Directory 中自动地发布打印机,避免其他
17、用户查看或使用这些打印机。一般可以使用以下方法控制打印机的发布。(1)如果不想发布打印机,但在安装时选择了共享打印机,那么在安装后可以在打印机的属性对话框中的“共享”选项卡下,清除“列在目录中”复选框。如果清除了已发布打印机的“列在目录中”复选框,则该打印机不会在 Active Directory 中发布。(2)可以使用“组策略”来控制发布打印机的默认行为。打开“组策略”控制台,如图所示。展开“本地计算机策略”树,在“计算机配置”“管理模板”“打印机”的右边属性窗口中,禁用“自动在 Active Directory 上发布新的打印机”属性,则禁用打印机自动发布。(4)管理孤立打印机在默认情况下
18、,如果发布打印机的计算机不响应联系请求,域控制器上的修剪服务则从 Active Directory 中修剪打印机对象。发布打印机的计算机重新启动时,它会重新发布已被删除的打印机对象。然而在某些情况下,例如,打印服务器被重建或关闭时,虽然没有删除打印机,但该打印机同样不再可用。在这些情况下,Active Directory 必须删除这些孤立的打印机对象。Active Directory 用运行在每个域控制器上的打印机修剪服务来删除这些孤立打印机。3、管理已发布的打印机管理打印机包括移动打印机、连接网络上的打印机和修改打印机队列对象的属性等。在 Active Directory 中发布打印机后,用
19、户和企业的打印机需求也许会改变。这也就要求管理员能够配置打印机,使打印机适应企业的各种需求。要管理已发布的打印机,可以将安装在多台计算机上已发布的相关打印机移到一个组织单位中。通过将打印机移动到同一个组织单位中,管理员可以在该组织单位上对所有的打印机进行设置和管理。对一些常用的共同的属性在组织单位上设置即可,可以极大地减少管理员的工作量。(1)移动打印机对象(2)在 Active Directory 中定位打印机对象(3)管理打印机对象四、实现打印机定位在 Windows Server 2003 的网络环境中,使用打印机定位可以让用户了解打印机在网络中的具体位置,以方便用户使用打印机。1、打印
20、机定位的要求在实现打印机定位之前,Windows Server 2003 网络环境必须满足以下要求:(1)配置至少包含一个站点和一个相关 IP 子网的 Active Directory 网络。因为 IP 子网是用来识别打印机位置的。只有在同一个网络 IP 地址或 IP 子网中才能假定所有打印机都驻留在同一位置上。(2)具有一个与网络的地理布局相符合的 IP 寻址方式。使得驻留在相同 IP 子网上的计算机和打印机也驻留在相同的物理位置上。(3)每个站点都有一个子网对象。子网对象代表了 Active Directory 中的 IP 子网,它包含了搜索打印机时用到的“位置”属性。 “位置”的属性值用
21、来定位驻留于用户附近位置的打印机。(4)客户端计算机可以搜索 Active Directory。客户端计算机操作系统应为 Windows 2000 或更高版本,或者配置有 Active Directory 客户端的计算机用户,否则不能够在搜索打印机时使用打印机定位。2、定义位置名称要较好地实现打印机的定位,必须为打印机的位置定义一个符合网络拓扑结构的命名规则。之后可以使用这个命名规则来为子网对象和打印机对象确定“位置”属性的值。这些打印机位置名称必须与 IP 子网相符合。打印机的位置命名必须使用以下形式的格式来表示:name/name/name/每个名称(name)的最大长度为 32 个字符;
22、整个位置名称的最大长度为 260 字符。下面用一个实例来说明如何为打印机位置名称定义命名规则。国内某集团公司在北京、上海、南京都有办公室(与 Windows Server 2003 中的站点相对应) 。集团的IP 地址方案与办公室的地理位置以及大楼和楼层等位置都有联系。在北京、上海、南京的办公大楼每层都有自己的子网。每个站点都对应于 Active Directory 特定的子网对象。因此,本例可用如下命名规则: 顶层节点是城市名 下一层节点是楼层名 再下一层为房间号如果有必要还可以根据网络的复杂程度,提供更多的层次结构。下表给出了本例的位置名称和相应的IP 子网。位置名称和相应的 IP 子网关
23、系表站点 IP 子网(“Active Directory 站点和服务”中子网对象的名称)位置名称北京 192.168.1.0/24 Beijing/Floor10/Office1010上海 192.168.2.0/24 Shanghai/Floor8/Offfice8002南京 192.168.3.0/24 Nanjing/Floor15/Office1530在设置打印机位置属性的参数时,可以给“位置名称”添加更多的层次以进一步标识打印机的位置。3、配置打印机定位要实现打印机定位功能,需要执行以下操作:(1)使用“组策略”来启用打印机位置跟踪。在没有启用打印机位置跟踪时,用户在搜索打印机时,必
24、须手动输入打印机的位置或其它参数。例如,“名称” 、 “位置” 、 “型号”等。用户必须了解打印机的一些参数值,才能够在 Active Directory 中查找打印机,使用不是非常方便。 “查找打印机”的对话框如图所示。而当管理员设置并启用了打印机位置跟踪后,用户在 Active Directory 中搜索打印机时, “位置”文本框后面出现“浏览”按钮,用户可以使用“浏览”位置对话框,查找需要访问的打印机。此时的“查找打印机”对话框如图所示。要使用打印机位置跟踪,必须在“组策略”中启用打印机位置跟踪。启用方法是:打开“本地计算机组策略”控制台;展开“计算机配置”中的管理模板,打开“打印机”
25、;在右侧的设置窗口中双击“预设打印机搜索位置文本” ,选择“已启用” ,单击“确定” 。即可启用打印机位置跟踪功能。(2)在 Active Directory 中创建子网对象如果子网对象不存在,则要使用“Active Directory 站点和服务”创建站点和子网,子网名称的格式为“IP 地址/活动位” 。方法是在“Subnets”上单击鼠标右键,在弹出的菜单中选择“新建子网” ,在“新建对象子网”对话框中设置子网及为此子网选择站点对象。(3)为子网对象设置“位置”属性。使用为打印机定义的命名规则来设置此属性的值。若要为子网对象设置“位置”属性,可以使用以下方法:在“Active Direct
26、ory 站点和服务”窗口中右键单击子网对象,单击“属性” 。单击位置选项卡,输入与子网对象相对应的位置名称,如图所示。然后单击“确定”按钮,如果在已经启用了打印机位置跟踪,则可以使用“浏览”按钮浏览打印机位置,而不需要输入整个位置字符串。(4)为打印机设置“位置”属性处于某一个 IP 子网中的打印机,必须将“位置”属性添加到打印机属性中,并使打印机使用与子网对象相同的位置名称。为打印机设置“位置”属性,可以使用以下操作方法:在“Active Directory 用户和计算机”中,选择相应的打印机对象。右击打印机对象,选择“属性”对话框。在“常规”选项卡中的“位置”文本框中输入打印机位置名称,然
27、后单击“确定” ,如图 9.15 所示。在安装新的打印机时,可以用“添加打印机向导”来指定“位置”属性。(5)搜索打印机配置完成打印机定位之后,用户就可以非常方便地在网络中查找自己需要的打印机。具体操作方法如下:在“开始”菜单上单击“搜索” ,并选择“打印机” 。此时在“位置”文本框已经被预填充。选择需要搜索打印机的位置,单击“查找” 。在搜索结果窗口中列出了所有指定位置的打印机。用户可以根据需要选择相应的打印机,并可完成连接打印等操作。五、维护打印机资源为保证网络中的客户端都能够正常地使用打印机,管理员必须根据网络环境中客户端的情况,安装相应的打印机驱动程序。同时对打印机使用过程中出现的各种
28、问题,都要能够为用户提供一个好的解决方案。及时排除故障,保证打印工作的顺利完成。1、安装打印机驱动程序对于不同的打印机,在正常使用之前都必须安装驱动程序,而且对于在不同的操作系统上使用的打印机还需要安装相应版本的驱动程序。(1)运行 Windows 的客户端计算机Windows Server 2003 域控制器提供的打印机驱动程序支持 Windows 95、Windows98 及其以上的操作系统。但在 Active Directory 中发布的打印机默认只有 Windows 2000 以上的操作系统的驱动程序。其他驱动程序需要管理员手动添加,方法是在打印机的“属性”的“共享”选项卡中选择“其他
29、驱动程序” ,在其中选择所有选项,如图所示。这样在运行 Windows95 以上操作的 Microsoft 客户端搜索到打印机以后,只要单击鼠标右键,选择“连接” ,计算机将会自动从服务器上下载合适的打印机驱动程序并安装。(2)运行其他操作系统的客户端计算机如果客户端使用的是较早版本的 Microsoft 操作系统,那么用户在客户端必须手动安装打印机驱动程序。如果用户使用的是非 Microsoft 操作系统,则用户也必须手动安装打印机驱动程序。另外,还必须在打印服务器上安装打印服务。六、案例分析1某企业网络管理员根据部门的要求,在 Active Directory 中发布一个共享文件夹,并且在
30、共享文件夹的属性中的“安全”选项卡中设置 Users 的权限为“完全控制” 。但是用户在使用此共享文件夹时反映他们只能从共享文件夹读取文件,而不能修改和上传文件。这可能是什么原因?应该怎样处理?2办公室的工作人员反映有人正在非法修改其共享文件夹中的文件,希望你能找出是谁在访问共享文件夹,正在修改什么文件?同时尽快断开非法用户对共享文件夹的访问。3某企业在 Active Directory 中发布共享打印机。而网络环境中的客户端有得使用的是 Windows XP操作系统,有得用户使用的是 Windows 98 操作系统。当使用网络打印机时,使用 Windows 98 操作系统的客户端反映他们不能正确安装打印机驱动程序,因此,无法使用打印机。这是可能是什么原因?应该怎么处理?小结:对课堂教学内容和教学情况做一个小结。作业:(1)怎样在 Active Directory 中发布共享文件夹?(2)怎样在 Active Directory 中发布共享打印机?(3)组计划策略 AGDLP 表示什么含义?(4)怎样监视对共享文件夹的访问?(5)怎样给用户发送控制台消息?(6)怎样实现打印机的定位操作?
