《域管理》教程一些基礎(chǔ)知識(shí)教案資料

1、Good is good, but better carries it.精益求精，善益求善。域管理教程一些基礎(chǔ)知識(shí)-SKIPIF10基本概念介紹域和工作組域和工作組是針對(duì)網(wǎng)絡(luò)環(huán)境中的兩種不同的網(wǎng)絡(luò)資源管理模式。在一個(gè)網(wǎng)絡(luò)內(nèi)，可能有成百上千臺(tái)電腦，如果這些電腦不進(jìn)行分組，都列在“網(wǎng)上鄰居”內(nèi)，可想而知會(huì)有多么亂。為了解決這一問(wèn)題，Windows9x/NT/2000就引用了“工作組”這個(gè)概念，將不同的電腦一般按功能分別列入不同的組中，如財(cái)務(wù)部的電腦都列入“財(cái)務(wù)部”工作組中，人事部的電腦都列入“人事部”工作組中。你要訪問(wèn)某個(gè)部門的資源，就在“網(wǎng)上鄰居”里找到那個(gè)部門的工作組名，雙擊就可以看到那個(gè)部門

2、的電腦了。在對(duì)等網(wǎng)模式（PEER-TO-PEER）下，任何一臺(tái)電腦只要接入網(wǎng)絡(luò)，就可以訪問(wèn)共享資源，如共享打印機(jī)、文件、ISDN上網(wǎng)等。盡管對(duì)等網(wǎng)絡(luò)上的共享文件可以加訪問(wèn)密碼，但是非常容易被破解。在由Windows9x構(gòu)成的對(duì)等網(wǎng)中，數(shù)據(jù)是非常不安全的。一般來(lái)說(shuō)，同一個(gè)工作組內(nèi)部成員相互交換信息的頻率最高，所以你一進(jìn)入“網(wǎng)上鄰居”，首先看到的是你所在工作組的成員。如果要訪問(wèn)其他工作組的成員，需要雙擊“整個(gè)網(wǎng)絡(luò)”，就會(huì)看到網(wǎng)絡(luò)上所有的工作組，雙擊工作組名稱，就會(huì)看到里面的成員。你也可以退出某個(gè)工作組，只要將工作組名稱改動(dòng)即可。不過(guò)這樣在網(wǎng)上別人照樣可以訪問(wèn)你的共享資源，只不過(guò)換了一個(gè)工作組而已。

3、你可以隨便加入同一網(wǎng)絡(luò)上的任何工作組，也可以離開(kāi)一個(gè)工作組?！肮ぷ鹘M”就像一個(gè)自由加入和退出的俱樂(lè)部一樣，它本身的作用僅僅是提供一個(gè)“房間”，以方便網(wǎng)絡(luò)上計(jì)算機(jī)共享資源的瀏覽。與工作組的“松散會(huì)員制”有所不同，“域”是一個(gè)相對(duì)嚴(yán)格的組織?！坝颉敝傅氖欠?wù)器控制網(wǎng)絡(luò)上的計(jì)算機(jī)能否加入的計(jì)算機(jī)組合。實(shí)行嚴(yán)格的管理對(duì)網(wǎng)絡(luò)安全是非常必要的。在“域”模式下，至少有一臺(tái)服務(wù)器負(fù)責(zé)每一臺(tái)聯(lián)入網(wǎng)絡(luò)的電腦和用戶的驗(yàn)證工作，相當(dāng)于一個(gè)單位的門衛(wèi)一樣，稱為“域控制器(DomainController，簡(jiǎn)寫為DC)”?！坝蚩刂破鳌敝邪擞蛇@個(gè)域的賬戶、密碼、屬于這個(gè)域的計(jì)算機(jī)等信息構(gòu)成的數(shù)據(jù)庫(kù)。當(dāng)電腦聯(lián)入網(wǎng)絡(luò)時(shí)，域

4、控制器首先要鑒別這臺(tái)電腦是否是屬于這個(gè)域的，用戶使用的登錄賬號(hào)是否存在、密碼是否正確。如果以上信息不正確，域控制器就拒絕這個(gè)用戶從這臺(tái)電腦登錄。不能登錄，用戶就不能訪問(wèn)服務(wù)器上有權(quán)限保護(hù)的資源，只能以對(duì)等網(wǎng)用戶的方式訪問(wèn)Windows共享出來(lái)的資源，這樣就一定程度上保護(hù)了網(wǎng)絡(luò)上的資源。域其實(shí)就是一個(gè)安全的邊界。它的存在主要是便于管理大型的網(wǎng)絡(luò)的，可以進(jìn)行統(tǒng)一的管理，如統(tǒng)一發(fā)布組策略，統(tǒng)一安裝某種應(yīng)用軟件等等，并且域中的用戶在登陸的時(shí)候，身份驗(yàn)證的過(guò)程是在域控制器上完成的。而工作組只適應(yīng)于小型的網(wǎng)絡(luò)。如果電腦比較多的話，那么工作組管理起來(lái)就極為不方便。因?yàn)槊颗_(tái)電腦上面都有自己的安全賬戶數(shù)據(jù)庫(kù)，所

5、以身份驗(yàn)證過(guò)程必須在本地進(jìn)行，如果你要是想登陸工作組中其他的電腦上面，你必須在那臺(tái)電腦上面有你的用戶賬戶才行?；顒?dòng)目錄活動(dòng)目錄包括兩方面：目錄和目錄相關(guān)的服務(wù)。目錄是存儲(chǔ)各種對(duì)象的一個(gè)物理上的容器，包含了有關(guān)各種對(duì)象如用戶、用戶組、計(jì)算機(jī)、域、文件、打印機(jī)、組織單位（OU）以及安全策略等資源的信息。這些信息可以被發(fā)布出來(lái)，以供用戶和管理員的使用。而目錄服務(wù)是使目錄中所有信息和資源發(fā)揮作用的服務(wù)，如用戶和資源管理、基于目錄的網(wǎng)絡(luò)服務(wù)、基于網(wǎng)絡(luò)的應(yīng)用管理。活動(dòng)目錄提供了一種管理組成網(wǎng)絡(luò)環(huán)境的各種對(duì)象的標(biāo)志和關(guān)系的方法。目錄存儲(chǔ)在被稱為域控制器的服務(wù)器上，并且可以被網(wǎng)絡(luò)應(yīng)用程序或者服務(wù)所訪問(wèn)。一個(gè)域

6、可能擁有一臺(tái)以上的域控制器。每一臺(tái)域控制器都擁有它所在域的目錄的一個(gè)可寫副本。對(duì)目錄的任何修改都可以從源域控制器復(fù)制到域、域樹(shù)或者森林中的其它域控制器上。由于目錄可以被復(fù)制，而且所有的域控制器都擁有目錄的一個(gè)可寫副本，所以用戶和管理員便可以在域的任何位置方便地獲得所需的目錄信息。普遍用戶和系統(tǒng)通過(guò)活動(dòng)目錄查找網(wǎng)絡(luò)資源，管理人員通過(guò)活動(dòng)目錄創(chuàng)建和發(fā)布資源信息及實(shí)施網(wǎng)絡(luò)管理。通過(guò)活動(dòng)目錄可實(shí)施網(wǎng)絡(luò)的集中管理、控制用戶的工作環(huán)境、或委派管理控制，實(shí)行分散管理?；顒?dòng)目錄對(duì)象對(duì)象是活動(dòng)目錄中的信息實(shí)體，也即我們通常所見(jiàn)的“屬性”，但它是一組屬性的集合，往往代表了有形的實(shí)體，比如用戶賬戶、文件名等。對(duì)象通

7、過(guò)屬性描述它的基本特征，比如，一個(gè)用戶賬號(hào)的屬性中可能包括用戶姓名、電話號(hào)碼、電子郵件地址和家庭住址等。容器（Container）容器是活動(dòng)目錄名字空間的一部分，與目錄對(duì)象一樣，它也有屬性，但與目錄對(duì)象不同的是，它不代表有形的實(shí)體，而是代表存放對(duì)象的空間，因?yàn)樗鼉H代表存放一個(gè)對(duì)象的空間，所以它比名字空間小。比如一個(gè)用戶，它是一個(gè)對(duì)象，但這個(gè)對(duì)象的容器就僅限于從這個(gè)對(duì)象本身所能提供的信息空間，如它僅能提供用戶名、用戶密碼。其它的如：工作單位、聯(lián)系電話、家庭住址等就不屬于這個(gè)對(duì)象的容器范圍了。目錄樹(shù)（DirectoryTree）在任何一個(gè)名字空間中，目錄樹(shù)是指由容器和對(duì)象構(gòu)成的層次結(jié)構(gòu)。樹(shù)的葉子、

8、節(jié)點(diǎn)往往是對(duì)象，樹(shù)的非葉子節(jié)點(diǎn)是容器。目錄樹(shù)表達(dá)了對(duì)象的連接方式，也顯示了從一個(gè)對(duì)象到另一個(gè)對(duì)象的路徑。在活動(dòng)目錄中，目錄樹(shù)是基本的結(jié)構(gòu)，從每一個(gè)容器作為起點(diǎn)，層層深入，都可以構(gòu)成一棵子樹(shù)。一個(gè)簡(jiǎn)單的目錄可以構(gòu)成一棵樹(shù)，一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)或者一個(gè)域也可以構(gòu)成一棵樹(shù)。域（Domain）域是Windows網(wǎng)絡(luò)系統(tǒng)的安全性邊界。我們知道一個(gè)計(jì)算機(jī)網(wǎng)最基本的單元就是“域”，這一點(diǎn)不是Windows所獨(dú)有的，但活動(dòng)目錄可以貫穿一個(gè)或多個(gè)域。在獨(dú)立的計(jì)算機(jī)上，域即指計(jì)算機(jī)本身，一個(gè)域可以分布在多個(gè)物理位置上，同時(shí)一個(gè)物理位置又可以劃分不同網(wǎng)段為不同的域，每個(gè)域都有自己的安全策略以及它與其他域的信任關(guān)系。當(dāng)多個(gè)

9、域通過(guò)信任關(guān)系連接起來(lái)之后，活動(dòng)目錄可以被多個(gè)信任域共享。域是活動(dòng)目錄邏輯結(jié)構(gòu)的核心單元，是一個(gè)計(jì)算機(jī)的集合，它們共享相同的目錄數(shù)據(jù)庫(kù)。在Windows的網(wǎng)絡(luò)里，域定義了安全界限。目錄包含一個(gè)或多個(gè)域，每個(gè)域均有自己的安全策略以及與其它域的信任關(guān)系。域的管理員有權(quán)限執(zhí)行域內(nèi)的管理。域也是復(fù)制的單元，所有域的控制器在域里都分擔(dān)了復(fù)制，包含了整個(gè)域的目錄信息的一個(gè)復(fù)制?；顒?dòng)目錄采用了一個(gè)多主機(jī)的復(fù)制模式，特定域中的所有域控制器均可接收更改內(nèi)容并將這些內(nèi)容復(fù)制到域中的所有其它域控制器中。最容易管理的域結(jié)構(gòu)就是單域。在企業(yè)里第一個(gè)產(chǎn)生的Windows2000域稱為根域（rootdomain），包含了整

10、個(gè)森林的配置和結(jié)構(gòu)信息。在作域規(guī)劃時(shí)，應(yīng)從單域開(kāi)始，并且只有在單域模式不能滿足要求時(shí)，才增加其它的域。一個(gè)域可跨越多個(gè)站點(diǎn)并且包含數(shù)百萬(wàn)個(gè)對(duì)象。站點(diǎn)結(jié)構(gòu)和域結(jié)構(gòu)互相獨(dú)立而且非常靈活。單域可跨越多個(gè)地理站點(diǎn)，并且單個(gè)站點(diǎn)可包含屬于多個(gè)域的用戶和計(jì)算機(jī)。如果只是反映公司的部門組織結(jié)構(gòu)，則不必創(chuàng)建獨(dú)立的域樹(shù)。在一個(gè)域中，可以使用組織單元來(lái)實(shí)現(xiàn)這個(gè)目標(biāo)。然后，可以指定組策略設(shè)置并將用戶、組和計(jì)算機(jī)放在組織單元中。在下面的原因可以考慮創(chuàng)建多個(gè)域：部門之間不同的安全要求大量的對(duì)象不同的Internet域名對(duì)復(fù)制進(jìn)行更多的控制分散的網(wǎng)絡(luò)管理組織單元（OrganizationUnit，簡(jiǎn)稱OU）包含在域中特別

11、有用的目錄對(duì)象類型就是組織單元。組織單元也是一個(gè)邏輯層次的容器對(duì)象，用于管理域中的對(duì)象，如用戶、組、計(jì)算機(jī)、打印機(jī)和其他組織單元。組織單元是可以指派組策略設(shè)置或委派管理權(quán)限的最小作用單位。組織單元不能包括來(lái)自其他域的對(duì)象。使用組織單元，就可以根據(jù)組織模型管理帳戶、資源的配置和使用，可創(chuàng)建可縮放到任意規(guī)模的管理模型。使用Ou以組織企業(yè)的網(wǎng)絡(luò)資源。把網(wǎng)絡(luò)資源組織為邏輯的層次結(jié)構(gòu)以最好地滿足管理的需要。在組織單元上給用戶或組委派管理權(quán)限，以反映公司的管理和安全政策，并可減少網(wǎng)絡(luò)管理員的工作負(fù)擔(dān)和滿足實(shí)際情況。域控制器（DomainController，簡(jiǎn)稱DC）域控制器是使用活動(dòng)目錄安裝向?qū)渲玫腤

12、indowsServer的計(jì)算機(jī)?；顒?dòng)目錄安裝向?qū)О惭b和配置為網(wǎng)絡(luò)用戶和計(jì)算機(jī)提供活動(dòng)目錄服務(wù)的組件供用戶選擇使用。域控制器存儲(chǔ)著目錄數(shù)據(jù)并管理用戶域的交互關(guān)系，其中包括用戶登錄過(guò)程、身份驗(yàn)證和目錄搜索，一個(gè)域可有一個(gè)或多個(gè)域控制器。為了獲得高可用性和容錯(cuò)能力，使用單個(gè)局域網(wǎng)(LAN)的小單位可能只需要一個(gè)具有兩個(gè)域控制器的域。具有多個(gè)網(wǎng)絡(luò)位置的大公司在每個(gè)位置都需要一個(gè)或多個(gè)域控制器以提供高可用性和容錯(cuò)能力。SKIPIF10域管理工作的主要內(nèi)容計(jì)算機(jī)管理包括：把計(jì)算機(jī)添加到域、修改計(jì)算機(jī)名、從域中刪除計(jì)算機(jī)等工作用戶和組管理包括：介紹用戶登錄名的命名標(biāo)準(zhǔn)、創(chuàng)建用戶帳號(hào)、管理用戶帳號(hào)；創(chuàng)建組、

13、管理組的成員。文件管理包括：文件權(quán)限介紹，共享權(quán)限的設(shè)置、NTFS權(quán)限設(shè)置，網(wǎng)絡(luò)訪問(wèn)。打印管理包括：打印機(jī)安裝、共享及訪問(wèn)應(yīng)用程序管理域環(huán)境下常用軟件的管理。SKIPIF10域管理工作的工具在服務(wù)器上的管理工具Win2000Server或Win2003Server服務(wù)器操作系統(tǒng)安裝好后，通常都會(huì)自動(dòng)安裝有“管理工具”，但如果該服務(wù)器已經(jīng)加入到域，出于安全考慮，普通用戶的訪問(wèn)權(quán)限有可能受到限制，不能在這些服務(wù)器上做交互式登錄或遠(yuǎn)程登錄，因此無(wú)法使用服務(wù)器上的“管理工具”。在客戶端計(jì)算機(jī)上安裝管理工具可以在Win2000Pro或WinXP的客戶端計(jì)算機(jī)上安裝域服務(wù)器管理工具，安裝方法簡(jiǎn)單，直接雙擊

14、ADMINPAK.MSI文件即可安裝。注意，對(duì)于Win2000客戶端，只能安裝Win2000Server安裝光盤的I386下的ADMINPAK.MSI文件，而對(duì)于WinXP客戶端，則要安裝Win2003Server安裝光盤的I386下的ADMINPAK.MSI文件。通過(guò)MMC自定義管理工具SKIPIF10計(jì)算機(jī)管理將計(jì)算機(jī)添加到域檢查網(wǎng)絡(luò)設(shè)置開(kāi)始運(yùn)行輸入“CMD”，按回車，進(jìn)入DOS命令提示符窗口。在DOS窗口狀態(tài)下，輸入“IPCONFIG/ALL”命令，查看計(jì)算機(jī)的IP地址、網(wǎng)關(guān)、DNS等設(shè)置是否正常。如果不正常，進(jìn)行檢查修改。在DOS窗口狀態(tài)下，輸入“HOSTNAME”命令，查看計(jì)算機(jī)的名

15、稱是否符合命名規(guī)范。如果不規(guī)范，需先修改計(jì)算機(jī)名。修改計(jì)算機(jī)名（如需要才做）右鍵點(diǎn)擊“我的電腦”“屬性”“計(jì)算機(jī)名”“更改”在計(jì)算機(jī)名輸入框內(nèi)，輸入標(biāo)準(zhǔn)規(guī)范的計(jì)算機(jī)名重新啟動(dòng)計(jì)算機(jī)將計(jì)算機(jī)添加到域右鍵點(diǎn)擊“我的電腦”“屬性”“計(jì)算機(jī)名”“更改”在隸屬于域的輸入框內(nèi)，輸入域名按提示輸入有權(quán)限將計(jì)算機(jī)加入到域的域用戶名和密碼重新啟動(dòng)計(jì)算機(jī)修改計(jì)算機(jī)名對(duì)于沒(méi)有加入到域的計(jì)算機(jī)，需要有計(jì)算機(jī)本地管理員的權(quán)限的用戶才能完成該工作。右鍵點(diǎn)擊“我的電腦”“屬性”“計(jì)算機(jī)名”“更改”在計(jì)算機(jī)名輸入框內(nèi)，輸入標(biāo)準(zhǔn)規(guī)范的計(jì)算機(jī)名重新啟動(dòng)計(jì)算機(jī)。對(duì)于已經(jīng)加入到域的計(jì)算機(jī)，需要對(duì)計(jì)算機(jī)帳號(hào)所在OU具有“修改”以上管理

16、權(quán)限的域用戶才能完成該工作。右鍵點(diǎn)擊“我的電腦”“屬性”“計(jì)算機(jī)名”“更改”在計(jì)算機(jī)名輸入框內(nèi)，輸入標(biāo)準(zhǔn)規(guī)范的計(jì)算機(jī)名按提示輸入對(duì)計(jì)算機(jī)帳號(hào)所在OU具有“修改”以上管理權(quán)限的用戶的用戶名和密碼重新啟動(dòng)計(jì)算機(jī)從域中刪除計(jì)算機(jī)對(duì)于已經(jīng)加入到域的計(jì)算機(jī)，需要對(duì)計(jì)算機(jī)帳號(hào)所在OU具有“修改”以上管理權(quán)限的域用戶才能完成該工作。右鍵點(diǎn)擊“我的電腦”“屬性”“計(jì)算機(jī)名”“更改”在隸屬于工作組的輸入框內(nèi)，輸入工作組名按提示輸入對(duì)計(jì)算機(jī)帳號(hào)所在OU具有“修改”管理權(quán)限的用戶的用戶名和密碼重新啟動(dòng)計(jì)算機(jī)SKIPIF10用戶管理用戶帳號(hào)本地用戶帳號(hào)使用戶登錄和訪問(wèn)賬號(hào)所在的計(jì)算機(jī)資源賬號(hào)建立在計(jì)算機(jī)的安全賬號(hào)數(shù)據(jù)

17、庫(kù)中(SAM)域用戶帳號(hào)使用戶登錄到域并訪問(wèn)域的網(wǎng)絡(luò)資源賬號(hào)建立在活動(dòng)目錄中(ActiveDirectory)內(nèi)置用戶帳號(hào)管理員賬號(hào)行使網(wǎng)絡(luò)全部管理權(quán)限，客戶賬號(hào)提供沒(méi)有賬號(hào)的用戶臨時(shí)訪問(wèn)資源的需求內(nèi)置賬號(hào)可能建立在計(jì)算機(jī)的SAM數(shù)據(jù)庫(kù)中，也可能建立在ActiveDirectory用戶帳號(hào)命名標(biāo)準(zhǔn)（登錄名、顯示名）用戶賬號(hào)控制用戶登錄和對(duì)計(jì)算機(jī)或網(wǎng)絡(luò)資源的訪問(wèn)。每個(gè)計(jì)算機(jī)用戶都必須在活動(dòng)目錄中創(chuàng)建用戶賬號(hào)，并對(duì)賬號(hào)授予相應(yīng)的系統(tǒng)權(quán)力和資源權(quán)限，用戶在登錄時(shí)，提供正確賬號(hào)和口令，方能登錄和訪問(wèn)。Windows2003把用戶賬號(hào)集成進(jìn)活動(dòng)目錄，并提供了幾十個(gè)個(gè)人屬性，使用戶賬號(hào)也成為公司通訊簿。登

18、錄名顯示名創(chuàng)建用戶帳號(hào)使用管理工具“ActiveDirectory用戶和計(jì)算機(jī)”來(lái)完成。用戶帳號(hào)的屬性有關(guān)網(wǎng)絡(luò)登錄的屬性：有關(guān)用戶登錄的權(quán)利和限制局域網(wǎng)內(nèi)的登錄遠(yuǎn)程訪問(wèn)登錄終端服務(wù)器的登錄有關(guān)用戶所屬組的信息有關(guān)個(gè)人的屬性：有關(guān)用戶各種聯(lián)系方式和數(shù)字證書（注意：域用戶賬號(hào)比本地用戶賬號(hào)屬性上多得多）用戶帳號(hào)屬性的修改使用管理工具“ActiveDirectory用戶和計(jì)算機(jī)”來(lái)完成。限制臨時(shí)計(jì)算機(jī)用戶的用戶帳號(hào)有效時(shí)間使用管理工具“ActiveDirectory用戶和計(jì)算機(jī)”來(lái)完成。限制用戶在指定計(jì)算機(jī)上登錄使用管理工具“ActiveDirectory用戶和計(jì)算機(jī)”來(lái)完成。限制用戶在指定時(shí)間內(nèi)登

19、錄使用管理工具“ActiveDirectory用戶和計(jì)算機(jī)”來(lái)完成。用戶帳號(hào)鎖定與解鎖使用管理工具“ActiveDirectory用戶和計(jì)算機(jī)”來(lái)完成。員工離職與用戶帳號(hào)禁用使用管理工具“ActiveDirectory用戶和計(jì)算機(jī)”來(lái)完成。SKIPIF10組的管理組全局組和域本地組用戶賬號(hào)、組和資源權(quán)限的關(guān)系正確使用組來(lái)管理資源權(quán)限的方法SKIPIF10文件管理NTFS文件系統(tǒng)與FAT、FAT32的比較NTFS比FAT或FAT32的功能更強(qiáng)大，它包括提供活動(dòng)目錄（ActiveDirectory）所需的功能以及其他重要安全性功能。只有選擇NTFS作為文件系統(tǒng)才能使用諸如ActiveDirecto

20、ry和基于域的安全性等功能。支持文件加密，它極大地增強(qiáng)了安全性。要維護(hù)文件和文件夾訪問(wèn)控制并支持有限個(gè)帳戶，必須使用NTFS。NTFS可以對(duì)單個(gè)文件設(shè)置權(quán)限，也可以對(duì)文件夾設(shè)置權(quán)限。而如果使用FAT32，所有用戶都將具有訪問(wèn)權(quán)限。磁盤配額，可用來(lái)監(jiān)視和控制單個(gè)用戶使用的磁盤空間量。下表比較了每種文件系統(tǒng)支持的磁盤和文件大小。NTFSFATFAT32推薦的最小卷大小約為10MB，也可使用大于2TB的卷。無(wú)法在軟盤上使用。容量可從軟盤大小到4GB。不支持域。卷的容量從512MB到2TB。在WindowsXP中，只能格式化最大到32GB的FAT32卷。不支持域。文件大小只受卷的容量限制。最大文件大小

21、為2GB。最大文件大小為4GB。NTFS文件系統(tǒng)的轉(zhuǎn)換如果計(jì)算機(jī)必須有時(shí)運(yùn)行較低版本W(wǎng)indows操作系統(tǒng)（如Win98或Winnt4.0），而其他時(shí)間運(yùn)行WindowsXP，即在同一個(gè)計(jì)算機(jī)上安裝有多操作系統(tǒng)，則需要使用FAT或FAT32分區(qū)作為其硬盤上的主（或啟動(dòng)）分區(qū)。其他情況下，仍然推薦使用NTFS文件系統(tǒng)。FAT或FAT32可以在任何時(shí)候轉(zhuǎn)換為NTFS格式，但一旦將驅(qū)動(dòng)器或分區(qū)轉(zhuǎn)換為NTFS，則無(wú)法將其簡(jiǎn)單地轉(zhuǎn)換回FAT或FAT32。需要重新格式化驅(qū)動(dòng)器或分區(qū)，這樣將刪除該分區(qū)上包括應(yīng)用程序和個(gè)人文件在內(nèi)的所有數(shù)據(jù)。（備注：現(xiàn)在已經(jīng)有一些第三方的工具，可以將NTFS轉(zhuǎn)換為FAT或FA

22、T32，但微軟官方并不提供這樣的工具。）從命令提示符將FAT或FAT32轉(zhuǎn)換為NTFS打開(kāi)DOS命令提示符窗口。在命令提示符窗口，請(qǐng)鍵入：convertdrive_letter:/fs:ntfs例如，鍵入convertD:/fs:ntfs將會(huì)以NTFS格式格式化D:NTFS權(quán)限NTFS文件和文件夾權(quán)限，包括HYPERLINKMS-ITS:aclui.chm:/acl_folder_permissions.htm完全控制，HYPERLINKMS-ITS:aclui.chm:/acl_folder_permissions.htm修改，HYPERLINKMS-ITS:aclui.chm:/acl_f

23、older_permissions.htm讀取和執(zhí)行，HYPERLINKMS-ITS:aclui.chm:/acl_folder_permissions.htm列出文件夾目錄，HYPERLINKMS-ITS:aclui.chm:/acl_folder_permissions.htm讀取，和HYPERLINKMS-ITS:aclui.chm:/acl_folder_permissions.htm寫入。這些權(quán)限中的每一個(gè)都是由一些定義的特殊權(quán)限所構(gòu)成的邏輯組組成。特殊權(quán)限完全控制修改讀取和執(zhí)行列出文件夾目錄（僅文件夾）閱讀順序?qū)懭胪ㄟ^(guò)文件夾/執(zhí)行文件xxxx列出文件夾/讀取數(shù)據(jù)xxxxx讀取屬性x

24、xxxx讀取擴(kuò)展屬性xxxxx創(chuàng)建文件/寫入數(shù)據(jù)xxx創(chuàng)建文件夾/添加數(shù)據(jù)xxx寫入屬性xxx寫入擴(kuò)展屬性xxx刪除子文件夾和文件x刪除xx讀取權(quán)限xxxxxx更改權(quán)限x取得所有權(quán)x同步xxxxxx無(wú)論有什么權(quán)限保護(hù)文件，被準(zhǔn)許對(duì)文件夾進(jìn)行“完全控制”的組或用戶都可以刪除該文件夾內(nèi)的任何文件。盡管“列出文件夾內(nèi)容”和“讀取和執(zhí)行”看起來(lái)有相同的特殊權(quán)限，但是這些權(quán)限在繼承時(shí)有所不同?！傲谐鑫募A內(nèi)容”可以被文件夾繼承而不能被文件繼承，并且它只在查看文件夾權(quán)限時(shí)才會(huì)顯示?！白x取和執(zhí)行”可以被文件和文件夾繼承，并在查看文件和文件夾權(quán)限時(shí)都會(huì)出現(xiàn)。訪問(wèn)權(quán)限說(shuō)明通過(guò)文件夾/執(zhí)行文件對(duì)于文件夾：“通過(guò)文

25、件夾”允許或拒絕通過(guò)文件夾來(lái)訪問(wèn)其他文件或文件夾，即使用戶沒(méi)有所通過(guò)的文件夾（只適用于文件夾）的訪問(wèn)權(quán)限。只有當(dāng)“組策略”管理單元中沒(méi)有授予組或用戶“忽略通過(guò)檢查”用戶權(quán)限時(shí)，“通過(guò)文件夾”才起作用。（默認(rèn)情況下，授予Everyone組“忽略通過(guò)檢查”用戶權(quán)限。對(duì)于文件：“執(zhí)行文件”允許或拒絕運(yùn)行程序文件（僅適用于文件）。設(shè)置文件夾的“通過(guò)文件夾”權(quán)限不會(huì)自動(dòng)設(shè)置該文件夾中所有文件的“執(zhí)行文件”權(quán)限。列出文件夾/讀取數(shù)據(jù)“列出文件夾”允許或者拒絕查看文件夾內(nèi)的文件名和子文件夾名?！傲谐鑫募A”只影響該文件夾的內(nèi)容，不影響是否列出正在設(shè)置其權(quán)限的文件夾。它只適用于文件夾。“讀取數(shù)據(jù)”允許或拒絕查

26、看文件（只適用于文件）中的數(shù)據(jù)。讀取屬性允許或拒絕查看文件或文件夾的屬性，例如只讀和隱藏。屬性由NTFS定義。讀取擴(kuò)展屬性允許或拒絕查看文件或文件夾的擴(kuò)展屬性。擴(kuò)展屬性由程序定義，可能因程序而變化。創(chuàng)建文件/寫入數(shù)據(jù)“創(chuàng)建文件”允許或拒絕在文件夾（僅適用于文件夾）內(nèi)創(chuàng)建文件。“寫入數(shù)據(jù)”允許或拒絕更改文件和覆蓋已有的內(nèi)容（只適用于文件）。創(chuàng)建文件夾/添加數(shù)據(jù)“創(chuàng)建文件夾”允許或拒絕在文件夾內(nèi)創(chuàng)建文件夾（僅適用于文件夾）?！疤砑訑?shù)據(jù)”允許或拒絕更改文件的末尾，但不限制更改、刪除或覆蓋已有的數(shù)據(jù)（僅適用于文件）。寫入屬性允許或拒絕更改文件或文件夾的屬性，例如只讀或隱藏。屬性由NTFS定義。“寫入屬

27、性”權(quán)限沒(méi)有表示可以創(chuàng)建或者刪除文件或文件夾，它只包括更改文件或文件夾屬性的權(quán)限。要允許（或者拒絕）創(chuàng)建或刪除操作，請(qǐng)參閱“創(chuàng)建文件/寫入數(shù)據(jù)”、“創(chuàng)建文件夾/追加數(shù)據(jù)”、“刪除子文件夾和文件”以及“刪除”。寫入擴(kuò)展屬性允許或拒絕更改文件或文件夾的擴(kuò)展屬性。擴(kuò)展屬性由程序定義，可能因程序而變化?！皩懭霐U(kuò)展屬性”權(quán)限不表示可以創(chuàng)建或者刪除文件或文件夾，它只包括更改文件或文件夾屬性的權(quán)限。要允許（或者拒絕）創(chuàng)建或刪除操作，請(qǐng)參閱“創(chuàng)建文件/寫入數(shù)據(jù)”、“創(chuàng)建文件夾/追加數(shù)據(jù)”，“刪除子文件夾和文件”以及“刪除”。刪除子文件夾和文件允許或拒絕刪除子文件夾和文件，即使尚未授予對(duì)子文件夾或文件的“刪除”

28、權(quán)限。（適用于文件夾）刪除允許或拒絕刪除文件或文件夾。如果您沒(méi)有對(duì)文件或文件夾的“刪除”權(quán)限，但是在父文件夾中已被授予“刪除子文件夾和文件”，那么您仍然可以刪除它。讀取權(quán)限允許或拒絕讀取文件或文件夾的權(quán)限，例如完全控制、讀取、寫入。更改權(quán)限允許或拒絕更改文件或文件夾的權(quán)限，例如完全控制、讀取、寫入。取得所有權(quán)允許或拒絕取得文件或文件夾的所有權(quán)。文件或文件夾的所有者始終可以更改其權(quán)限，無(wú)論存在任何保護(hù)該文件或文件夾的權(quán)限。同步允許或拒絕不同的線程在句柄上等待文件或文件夾，并與另一個(gè)可能向它發(fā)信號(hào)的線程同步。該權(quán)限只應(yīng)用于多線程、多進(jìn)程程序。權(quán)限的分配和繼承用戶可以被直接分配相應(yīng)的NTFS權(quán)限NT

29、FS權(quán)限可以分配給組，用戶作為組的成員可以從所屬的組中繼承到相應(yīng)的NTFS權(quán)限用戶本身被授予的權(quán)限和其繼承到的所有權(quán)限，進(jìn)行累加，所得到的最大權(quán)限便是該用戶對(duì)于網(wǎng)絡(luò)資源的最終NTFS權(quán)限。但有一個(gè)例外，即該用戶被分配或從其他組中繼承到“禁止訪問(wèn)”權(quán)限，則該用用的有效NTFS權(quán)限均為“禁止訪問(wèn)”。設(shè)置、查看、更改或刪除文件和文件夾權(quán)限打開(kāi)Windows資源管理器，然后定位到您要設(shè)置權(quán)限的文件和文件夾。右鍵單擊該文件或文件夾，單擊“屬性”，然后單擊“安全”選項(xiàng)卡。執(zhí)行下列操作之一：要為沒(méi)有出現(xiàn)于“組或用戶名稱”框中的組或用戶設(shè)置權(quán)限，請(qǐng)單擊“添加”。鍵入想要為其設(shè)置權(quán)限的組或用戶的名稱，然后單擊“

30、確定”。要更改或刪除現(xiàn)有的組或用戶的權(quán)限，請(qǐng)單擊該組或用戶的名稱。執(zhí)行下列操作之一：要允許或拒絕某一權(quán)限，請(qǐng)?jiān)凇坝脩艋蛘呓M的權(quán)限”框中，選中“允許”或“拒絕”復(fù)選框。要從“組或用戶名稱”框中刪除組或者用戶，請(qǐng)單擊“刪除”。共享和共享權(quán)限共享權(quán)限的分配和繼承用戶可以被直接分配相應(yīng)的共享權(quán)限共享權(quán)限可以分配給組，用戶作為組的成員可以從所屬的組中繼承到相應(yīng)的共享權(quán)限用戶本身被授予的共享權(quán)限和其繼承到的所有共享權(quán)限，進(jìn)行累加，所得到的最大權(quán)限便是該用戶對(duì)于網(wǎng)絡(luò)共享資源的最終共享權(quán)限。但有一個(gè)例外，即該用戶被分配或從其他組中繼承到“禁止訪問(wèn)”的共享權(quán)限，則該用用的有效共享權(quán)限均為“禁止訪問(wèn)”。有效權(quán)限當(dāng)

31、一個(gè)NTFS分區(qū)上的文件或文件夾，被共享在網(wǎng)絡(luò)上之后，網(wǎng)絡(luò)用戶對(duì)該資源既有NTFS訪問(wèn)權(quán)限，又有共享訪問(wèn)權(quán)限。兩者之間會(huì)有交叉，對(duì)于用戶來(lái)說(shuō)，針對(duì)該網(wǎng)絡(luò)資源的最終有效權(quán)限為：NTFS最終權(quán)限與共享最終權(quán)限相比，以最嚴(yán)格的為準(zhǔn)。例：D：分區(qū)是一個(gè)NTFS分區(qū)，“ShareFolder”文件夾已經(jīng)共享，其中共享權(quán)限中Everyone組有“完全控制”的權(quán)限，NTFS分區(qū)中，G1為“讀取”、G2為“修改”，USER01是G1、G2兩個(gè)組的成員，那么，User01對(duì)“ShareFolder”文件夾的有效權(quán)限是（“修改”）。查看文件和文件夾的有效權(quán)限打開(kāi)Windows資源管理器，然后找到要查看其有效權(quán)限的

32、文件或文件夾。右鍵單擊該文件或文件夾，單擊“屬性”，然后單擊“安全”選項(xiàng)卡。單擊“高級(jí)”，然后單擊“有效權(quán)限”選項(xiàng)卡。單擊“選擇”按鈕。在“名稱”框中鍵入用戶或組的名稱，然后單擊“確定”。選中的復(fù)選框表示用戶或組對(duì)該文件或文件夾的有效權(quán)限?！坝行?quán)限”選項(xiàng)卡顯示從現(xiàn)有權(quán)限項(xiàng)計(jì)算出來(lái)的信息。因此，該頁(yè)上所顯示的信息是只讀的，并且不支持通過(guò)選中或者清除權(quán)限復(fù)選框來(lái)更改用戶的權(quán)限。只能在格式化為使用NTFS的驅(qū)動(dòng)器上設(shè)置權(quán)限。SKIPIF10打印管理打印基本概念打印服務(wù)器打印機(jī)打印隊(duì)列打印機(jī)共享打印機(jī)客戶端連接使用通用命名約定（UNC）來(lái)訪問(wèn)。UNC名是指以兩個(gè)反斜線符號(hào)()開(kāi)始的用于命名文件和其他資源的約定,指明該資源位于網(wǎng)絡(luò)計(jì)算機(jī)上