《望廬山瀑布》部編版

第6章基于服務器的網(wǎng)絡應用6．1概述6.2網(wǎng)絡操作系統(tǒng)的安裝及訪問6．3活動目錄6．4客戶機配置6．5用戶帳戶6．6組帳戶6．7NTFS權(quán)限6．8共享文件夾

第6章基于服務器的網(wǎng)絡應用6．1概述6．1概述

1.服務器

2．服務器操作系統(tǒng)OS3．WindowsServer2003操作系統(tǒng)

4．操作系統(tǒng)應用環(huán)境

返回6．1概述1.服務器1.服務器在基于服務器的網(wǎng)絡中，配置一臺專用的計算機，在這臺計算機上運行著各種服務器程序，向網(wǎng)絡提供各種服務，稱這種計算機為服務器

返回1.服務器在基于服務器的網(wǎng)絡中，配置一臺專用的計算機，在這臺2．服務器操作系統(tǒng)OS在基于服務器的網(wǎng)絡中有兩個明顯的特點：第一，有一臺專門提供網(wǎng)絡服務的物理服務器，運行著各種服務程序；第二，在服務器上安裝著網(wǎng)絡操作系統(tǒng)。相對上一章討論的操作系統(tǒng)，網(wǎng)絡操作系統(tǒng)是一種網(wǎng)絡專用的操作系統(tǒng)，主要用于網(wǎng)絡的管理與控制，是一種功能強大的操作系統(tǒng)

返回2．服務器操作系統(tǒng)OS在基于服務器的網(wǎng)絡中有兩個明顯的特點3．WindowsServer2003操作系統(tǒng)

WindowsServer2003是美國微軟公司于2003年春天推出的網(wǎng)絡操作系統(tǒng)。WindowsServer2003是WindowsNT系列網(wǎng)絡操作系統(tǒng)的后續(xù)版本。1993年5月微軟推出WindowsNT3.1是微軟第一個基于圖形用戶界面的大型的網(wǎng)絡操作系統(tǒng)之后，微軟的網(wǎng)絡操作系統(tǒng)的版本不斷更新，十年內(nèi)相繼又推出了WindowsNT3.5、WindowsNT4.0、Windows2000Server和WindowsServer2003等

返回3．WindowsServer2003操作系統(tǒng)Wind4個系列版本W(wǎng)indowsServer2003在推出時一共推出了4個系列版本W(wǎng)indowsServer2003WEBEdition主要用于作為WEB服務器的操作系統(tǒng)。WindowsServer2003StandardEdition是標準版，用于組建中、小企業(yè)局域網(wǎng)，支持SMP4個CPU、4GB內(nèi)存空間。WindowsServer2003EnterpriseEdition主要針對高端網(wǎng)絡應用，支持SMP8個CPU，64GB內(nèi)存空間。WindowsServer2003DatacenterEdition適合于組建大型企業(yè)網(wǎng)，支持SMP32個CPU、512GB內(nèi)存空間

4個系列版本W(wǎng)indowsServer2003在推出時一4．操作系統(tǒng)應用環(huán)境

建立操作系統(tǒng)的應用環(huán)境是網(wǎng)絡系統(tǒng)管理員的首要任務。主要包括操作系統(tǒng)的安裝網(wǎng)絡環(huán)境配置用戶管理組管理文件資源管理文件資源發(fā)布打印機資源管理等返回4．操作系統(tǒng)應用環(huán)境建立操作系統(tǒng)的應用環(huán)境是網(wǎng)絡系統(tǒng)管理員6.2網(wǎng)絡操作系統(tǒng)的安裝及訪問

6．2．1 安裝特點

6．2．2 安裝規(guī)劃

6．2．3安裝的準備階段

6．2．4安裝過程

返回6.2網(wǎng)絡操作系統(tǒng)的安裝及訪問6．2．1 安裝特點6．2．1 安裝特點

WindowsServer2003的安裝過程則非常簡單、方便。其安裝的特點是系統(tǒng)收集信息少、重啟動次數(shù)少。WindowsServer2003對系統(tǒng)硬件識別能力強，即插即用的功能強，所以在安裝過程中基本上可以作到無人值守

另外WindowsServer2003把系統(tǒng)的安裝與域控制器（活動目錄）的安裝分離開來可以把操作系統(tǒng)安裝成一個獨立服務器，獨立服務器默認地安裝成加入一個工作組如Workgroup待獨立服務器安裝完畢后，再安裝域控制器，這種安排方式可以減少安裝的難度返回6．2．1 安裝特點WindowsServer20036．2．2 安裝規(guī)劃

1．關(guān)于硬件平臺2．關(guān)于安裝方法3．關(guān)于選用文件系統(tǒng)

返回6．2．2 安裝規(guī)劃1．關(guān)于硬件平臺1．關(guān)于硬件平臺

WindowsServer2003支持多種CPU平臺，包括IntelCPU平臺、PowerPC平臺以及Alpha平臺等

WindowsServer2003一般要求的硬件配置至少是奔騰133CPU、128M內(nèi)存和2G硬盤剩余空間。低于這樣的配置WindowsServer2003將拒絕安裝。當然這只是最低的限制，作為一個網(wǎng)絡操作系統(tǒng)，在一個PC服務器上安裝時建議CPU應至少為PⅢ，內(nèi)存至少為256MB。較高的配置才能充分發(fā)揮WindowsServer2003的性能

1．關(guān)于硬件平臺WindowsServer2003支持2．關(guān)于安裝方法

所謂安裝方法指的是升級安裝還是全新安裝；是本地安裝還是網(wǎng)絡安裝；是把發(fā)行盤復制到硬盤安裝還是用光盤直接啟動安裝；是安裝成單啟動系統(tǒng)還是安裝成多啟動系統(tǒng)等

2．關(guān)于安裝方法所謂安裝方法指的是升級安裝還是全新安裝；3．關(guān)于選用文件系統(tǒng)

NT系列操作系統(tǒng)支持FAT、FAT32和NTFS格式的文件系統(tǒng)。NTFS文件系統(tǒng)具有非常優(yōu)良的性能，尤其是在文件系統(tǒng)的安全性方面。NTFS支持文件加密，支持硬盤限額。NTFS使得只有取得合法權(quán)限的用戶訪問資源。NTFS不光可以對文件夾設(shè)置安全屬性，還支持直接對文件設(shè)置安全屬性。不只可以限制用戶對文件資源的網(wǎng)絡訪問權(quán)限，還可以限制用戶的本地訪問權(quán)限。WindowsServer2003操作系統(tǒng)規(guī)定安裝域控制器的前提是必須安裝NTFS文件系統(tǒng)格式。所以只有獨立服務器和成員服務器才有可能安裝成FAT文件系統(tǒng)格式，域控制器不存在FAT文件系統(tǒng)格式

3．關(guān)于選用文件系統(tǒng)NT系列操作系統(tǒng)支持FAT、FAT326．2．3安裝的準備階段

用硬盤安裝需要在硬盤建立一個文件夾，然后把發(fā)行盤的所有文件復制到文件夾。而對于光盤直接啟動的安裝方式則要設(shè)置CMOS使支持光盤啟動。采取光盤直接啟動的方法進行安裝只需把WindowsServer2003啟動盤放入光驅(qū)，重新啟動系統(tǒng)就可以直接進入安裝階段。如果采取升級安裝的方式，在NT4.0下把WindowsServer2003發(fā)行盤裝入光驅(qū)

返回6．2．3安裝的準備階段用硬盤安裝需要在硬盤建立一個文件夾6．2．4安裝過程

基本上分兩個階段。第一階段進行系統(tǒng)硬件檢查并復制必要的文件。第二階段收集系統(tǒng)安裝過程中所需要掌握的必要信息，進行組件安裝、網(wǎng)絡組件安裝、開始菜單安裝和最后設(shè)置等返回

6．2．4安裝過程基本上分兩個階段。1．第一階段安裝

先進行硬件系統(tǒng)檢查，并進行必要的文件復制。當出現(xiàn)WindowsServer2003許可協(xié)議對話框時按F8繼續(xù)然后出現(xiàn)磁盤分區(qū)設(shè)置的對話框并提供三種選擇

1．第一階段安裝先進行硬件系統(tǒng)檢查，并進行必要的文件復制。三種選擇：?要在所選分區(qū)上安裝WindowsServer2003，請按ENTER鍵?要在尚未劃分的空間中創(chuàng)建磁盤分區(qū)，請按C鍵，然后輸入磁盤分區(qū)的大小?刪除所選分區(qū)請按D鍵，之后還要按照提示按L鍵或ENTER三種選擇：?要在所選分區(qū)上安裝WindowsServer選用哪種文件系統(tǒng)用NTFS文件系統(tǒng)格式化磁盤分區(qū)用FAT文件系統(tǒng)格式化磁盤分區(qū)保留原來的分區(qū)格式如果選擇格式化分區(qū)，格式化完成后安裝程序?qū)⑽募椭频竭@個磁盤分區(qū)，復制完成后重新啟動系統(tǒng)。選用哪種文件系統(tǒng)用NTFS文件系統(tǒng)格式化磁盤分區(qū)2．第二階段

第二階段繼續(xù)收集有關(guān)信息。首先進行設(shè)備檢查。進行區(qū)域設(shè)置時應選擇中文（中國）。然后要求輸入姓名、單位，緊跟著的對話框要求輸入計算機名。計算機名是網(wǎng)上計算機帳戶的唯一標識，不能與網(wǎng)上其它計算機重名。然后要求輸入產(chǎn)品系列號接著出現(xiàn)“授權(quán)模式”對話框。授權(quán)模式包括兩種選擇：每服務器和每客戶。所謂授權(quán)模式實際上是一個軟件使用版權(quán)問題

2．第二階段第二階段繼續(xù)收集有關(guān)信息。8個過程第二個階段的安裝很有規(guī)律性，一共進行8個過程，每個過程都出現(xiàn)一個安裝進程指示。這些過程包括：△正在安裝準備△正在安裝網(wǎng)絡△正在進行配置△正在完成安裝△安裝開始菜單項△注冊組件△保存設(shè)置△刪除任何用過的臨時文件之后進入最后工作階段，完成整個安裝過程，此時系統(tǒng)重新啟動

8個過程第二個階段的安裝很有規(guī)律性，一共進行8個過程，每個過3．訪問服務器

把WindowsServer2003安裝完成后，這臺計算機就可以作為服務器向別的計算機提供服務了，例如可以作為一個文件服務器。在提供服務之前還應進行一些必要的環(huán)境建立的工作，包括用戶管理、文件資源的權(quán)限管理等

3．訪問服務器把WindowsServer2003安裝獨立服務器WindowsServer2003組成的網(wǎng)絡可以以工作組模式或域模式兩種模式工作。在上節(jié)安裝過程中，已經(jīng)按工作組模式進行了安裝，這樣的服務器稱為獨立服務器。獨立服務器向網(wǎng)絡只能提供本機的資源，又稱為本地資源，資源訪問的方便性受到了限制

獨立服務器WindowsServer2003組成的網(wǎng)絡可TCP/IP協(xié)議為了使網(wǎng)絡上的客戶機能夠訪問服務器，要對服務器的網(wǎng)絡進行必要的配置。在安裝過程中，已經(jīng)默認安裝了TCP/IP協(xié)議以及文件及打印機的服務功能。雖然安裝了TCP/IP協(xié)議，但是并未對協(xié)議進行配置，所以，網(wǎng)絡客戶還不能訪問這臺服務器

TCP/IP協(xié)議為了使網(wǎng)絡上的客戶機能夠訪問服務器，要對服務帳戶WindowsServer2003安裝完成后，自動地建立兩個帳戶，一個是管理員帳戶，即Administrator，對網(wǎng)絡的所有資源具有完全的權(quán)限。另一個是guest來賓帳戶，但這個帳戶默認是不可以使用的。同時WindowsServer2003還建立了一些組帳戶，其中有一個默認的組帳戶是everyone，所有的用戶帳戶都默認加入這個組，包括guest帳戶

帳戶WindowsServer2003安裝完成后，自動地資源的訪問權(quán)限以administrator帳戶登錄，可以設(shè)置資源的訪問權(quán)限。設(shè)置資源的訪問權(quán)限可以通過資源管理器進行。除了Administrator以外，其它用戶對文件資源默認的訪問權(quán)限為只讀，這是由everyone組的權(quán)限所規(guī)定的，除非進行重新配置（設(shè)置過程略）資源的訪問權(quán)限以administrator帳戶登錄，可以設(shè)置建立新的用戶和組除了系統(tǒng)默認的組及用戶以外，管理員還可以建立新的用戶和組。對這些用戶及組設(shè)置了訪問權(quán)限以后就可以對文件等資源進行訪問。在獨立服務器上建立的用戶及組稱本地用戶及本地組。相應地，以后還要介紹域用戶及組。以新建立的用戶登錄，即可以在本機（服務器）或客戶機通過網(wǎng)絡訪問服務器的資源。不同的用戶由于權(quán)限設(shè)置不同，對資源的訪問具有不同的權(quán)限。這一點是與Windows98組成的對等網(wǎng)不同的，在Windows98中，對某文件夾的權(quán)限，所有用戶都是相同的（設(shè)置過程略）建立新的用戶和組除了系統(tǒng)默認的組及用戶以外，管理員還可以建立6．3活動目錄

6．3．1 域的基本概念

6．3．2域的組成

6．3．3域的結(jié)構(gòu)

6．3．4 域控制器

6．3．5 安裝活動目錄

6．3．6 活動目錄管理單元的界面

返回6．3活動目錄6．3．1 域的基本概念6．3．1 域的基本概念

我們可以通過域把若干計算機組織起來構(gòu)成一個計算機信息網(wǎng)絡系統(tǒng)。域成員中的計算機有域控制器、域成員服務器和域成員計算機

通過活動目錄，用戶訪問網(wǎng)絡的任何資源可以一次性登錄，即一次登錄可以訪問網(wǎng)絡上的任何服務器、計算機、打印機以及文件等資源

活動目錄中的組織單位可以以公司組織結(jié)構(gòu)的形式建立和管理，這樣就把網(wǎng)絡的管理系統(tǒng)建立在了公司組織結(jié)構(gòu)的基礎(chǔ)之上，并且很完善地結(jié)合起來

返回6．3．1 域的基本概念我們可以通過域把若干計算機組織起來6．3．2域的組成

為了更深刻地理解域的概念，分析一下域的組成。首先看一下工作組即對等網(wǎng)的組成。如圖6-7 所示

返回6．3．2域的組成為了更深刻地理解域的概念，分析一下域的組本地安全數(shù)據(jù)庫

本地安全數(shù)據(jù)庫

本地安全數(shù)據(jù)庫

本地安全數(shù)據(jù)庫

圖6-7工作組的組成本地安全數(shù)據(jù)庫本地安全數(shù)據(jù)庫本地安全數(shù)據(jù)庫本地安全數(shù)據(jù)工作組在工作組中，各個計算機以對等的地位出現(xiàn)，一臺計算機在作為客戶機共享網(wǎng)上資源的同時還可以向網(wǎng)絡提供資源。網(wǎng)上的計算機除了上一章介紹的Windows3.X、Windows95、Windows98、WindowsMe等以外，還可以是WindowsNTServer4.0、WindowsNTWorkstation4.0、Windows2000professional、Windows2000Server和WindowsServer2003Server等

工作組在工作組中，各個計算機以對等的地位出現(xiàn)，一臺計算機在作單域的組成一個單域的組成如圖6-8所示。單域的組成與工作組不同。首先在域中的計算機運行的操作系統(tǒng)只能是WindowsNT4.0Server、WindowsNT4.0Workstation、Windows2000Professional、Windows2000Server、WindowsServer2003以及WindowsXP。Windows個人機操作系統(tǒng)，包括Windows95/98等，雖然可以訪問域，但不能加入域。另外只有Windows的Server版可以作為域控制器，客戶版不可以作為域控制器。當然并不是說所有的服務器都必須安裝成域控制器

單域的組成一個單域的組成如圖6-8所示。單域的組成與工作組不域控制器ActiveDirectory

ActiveDirectory

域控制器客戶機客戶機圖6-8域的構(gòu)成域控制器ActiveDirectoryActive域加入域的WindowsServer2003稱為成員服務器。不加入域的WindowsServer2003稱獨立服務器，這樣的服務器沒有什么意義。域與工作組除了成員略有不同外最主要的不同之處是：域具有集中安全管理功能，安全管理的數(shù)據(jù)庫集中存放在域控制器上，具體體現(xiàn)就是在域控制器上安裝活動目錄

域加入域的WindowsServer2003稱為成員服兩種模式在一個域中，如果沒有Windows操作系統(tǒng)的早期版本，如NT4.0等，只有Windows2000和WindowsServer2003等操作系統(tǒng)，這樣的組網(wǎng)模式稱為本機模式，否則稱為混合模式

兩種模式在一個域中，如果沒有Windows操作系統(tǒng)的早期版本6．3．3域的結(jié)構(gòu)

在WindowsServer2003中采用單域和多域模式多域之間具有一定的邏輯結(jié)構(gòu)，即樹型的結(jié)構(gòu)形式。域之間有主域與子域之分。其次，如果是一個大型的多域網(wǎng)絡，還可以把樹型域的范圍擴大到域森林，從而使得域的結(jié)構(gòu)更加合理。另外域之間的任何關(guān)系是可以自動傳遞的

返回6．3．3域的結(jié)構(gòu)在WindowsServer2003容錯一般中、小型的網(wǎng)絡可以組成單域模式。出于安全考慮，在域中最好設(shè)置兩個或多個域控制器小型的域當然只需要一個域控制器，較大的域或者出于容錯和安全角度考慮的域結(jié)構(gòu)則應該設(shè)置其它的域控制器。一個域中的域控制器沒有主從之分。當一個域控制器出現(xiàn)問題不能對網(wǎng)絡實施控制時，域中的另外一個域控制器可以立即單獨完成域控制器的功能，達到容錯與安全的目的

容錯一般中、小型的網(wǎng)絡可以組成單域模式。出于安全考慮，在域中命名體系WindowsServer2003域采用樹型結(jié)構(gòu)，DNS域也采用樹型結(jié)構(gòu)，這就使得WindowsServer2003域與DNS域具有了相同的命名體系，例如采用以“點”隔開的域名

但不能把WindowsServer2003域的概念與Internet域的概念混淆起來。WindowsServer2003的域是對網(wǎng)絡中計算機進行管理的方法，Internet的域則是命名體系，與計算機的管理關(guān)系不大

命名體系WindowsServer2003域采用樹型結(jié)構(gòu)域目錄樹對于大型網(wǎng)絡或出于公司管理結(jié)構(gòu)需要的中小型網(wǎng)絡可以考慮建立多域模式的網(wǎng)絡。如圖6-9所示這是一個域目錄樹

域目錄樹對于大型網(wǎng)絡或出于公司管理結(jié)構(gòu)需要的中小型網(wǎng)絡可以考圖6-9域樹結(jié)構(gòu)jsj.hl圖6-10域林結(jié)構(gòu)。圖6-10所示為一個域目錄林的例子

圖6-10域林結(jié)構(gòu)。圖6．3．4 域控制器

如果你已經(jīng)決定把你的網(wǎng)絡結(jié)構(gòu)設(shè)計成一個域模式結(jié)構(gòu)，那么接下來還要考慮根據(jù)網(wǎng)絡規(guī)模的大小以及企業(yè)的組織機構(gòu)的形式，把網(wǎng)絡設(shè)計成域樹或者是域林

如果已經(jīng)決定設(shè)計成一個單域的結(jié)構(gòu)，接下來還應該考慮域的組成。所謂域的組成主要指在域中有幾個域控制器。在WindowsServer2003的域中，域控制器沒有主、從之分。推薦至少應該設(shè)置兩個域控制器，多個域控制可以減少域控制器管理網(wǎng)絡的負擔并提高域的容錯性能

域控制器就是一臺服務器，在這臺服務器上安裝并配置了活動目錄組件。稍后會看到，配置成域控制器后，在啟動菜單的管理工具中增加了幾個有關(guān)活動目錄的管理工具。正是基于這些管理工具，域控制器才能使系統(tǒng)管理員對網(wǎng)絡實施有效的管理與控制

返回6．3．4 域控制器如果你已經(jīng)決定把你的網(wǎng)絡結(jié)構(gòu)設(shè)計成一個幾點說明

1.對域控制器的相關(guān)操作只有系統(tǒng)管理員才具有權(quán)限。例如Administrator用戶。2.安裝相應的網(wǎng)絡服務軟件。3．配置IP地址。由于域需要與DNS相配合，而DNS服務器要求該計算機的IP地址應為靜態(tài)的，所以在安裝域控制器之前，應首先為此計算機設(shè)置IP地址。4，設(shè)計好域名。如果你的網(wǎng)絡與Internet是連接的，那么，域名系統(tǒng)應該遵循Internet域的命名體系如果你的網(wǎng)絡是一個與Internet不進行連接的內(nèi)部網(wǎng)絡，這時，可以自行設(shè)計域名體系，但建議應采用Internet的域名體系以便兼容

幾點說明

1.對域控制器的相關(guān)操作只有系統(tǒng)管理員才具有權(quán)限。本書例子

第一個域控制器

安裝WindowsServer2003操作系統(tǒng)

安裝Windows2000Professional

安裝Windows98操作系統(tǒng)本書例子 第一個域控制器6．3．5 安裝活動目錄

安裝活動目錄的實質(zhì)是配置域控制器。按照域的結(jié)構(gòu)，域控制器可以安裝成第一個域控制器、額外域控制器和子域的域控制器任何網(wǎng)絡，無論是單域、域樹或域林，所安裝的第一個域控制器稱為第一個域控制器。一個域如果已經(jīng)安裝了一個域控制器，再安裝的域控制器稱額外域控制器。在一個域樹的根域下再安裝的域稱為子域，子域的域控制器稱子域域控制器。在網(wǎng)絡中，無論是單域、域樹還是域林，第一個域控制器非常重要，在其上運行著全局編錄的數(shù)據(jù)庫，以便在整個網(wǎng)絡內(nèi)實現(xiàn)互相訪問。通過配置您的服務器向?qū)?，可以完成域控制器的配置，從而實現(xiàn)活動目錄的安裝（安裝過程略）返回6．3．5 安裝活動目錄安裝活動目錄的實質(zhì)是配置域控制器。6．3．6 活動目錄管理單元的界面

ActiveDirectory用戶與計算機是應用最廣、應用最多，也是最常用的管理單元。網(wǎng)絡或域的計算機、文件、打印機、用戶、組等都是通過這個管理單元進行管理的。除此之外，通過ActiveDirectory用戶與計算機組件還可以把共享文件夾、打印機等在域中進行發(fā)布和實施組策略等。因為域中的計算機（運行Windows2000或WindowsServer2003操作系統(tǒng)）在網(wǎng)上鄰居→全體網(wǎng)絡中都可以看到活動目錄的圖標——目錄，這樣域中的用戶都可以非常方便地了解和利用活動目錄來使用域資源

返回6．3．6 活動目錄管理單元的界面ActiveDirec《望廬山瀑布》部編版界面窗口窗口分成兩個子窗口左側(cè)為控制臺樹，在樹中的一組節(jié)點為管理單元，如圖中的Users等。選中某一個單元，在右側(cè)顯示該單元的詳細子項。可以看到MMC控制臺的界面與Windows的資源管理器相仿。而且許多管理工具如DNS、DHCP、WINS、IIS等都采用相同的界面

界面窗口窗口分成兩個子窗口2．活動目錄中涉及到的幾個概念

在ActiveDirectory用戶與計算機管理單元中，經(jīng)常涉及到一些概念，在下面予以介紹

2．活動目錄中涉及到的幾個概念在ActiveDirect（1）對象ActiveDirectory用戶與計算機管理的計算機、用戶、組、文件、打印機等稱為對象。對象具有一些屬性，例如用戶對象具有登錄名、口令、地址、電話、單位等等一些屬性

（1）對象ActiveDirectory用戶與計算機管理的（2）容器容器也是一種對象，但容器可以包含其它的對象與容器，也就是說容器是可以嵌套的。例如組織單位是一個對象，是一種容器對象在組織單位中可以包含其它的對象。很明顯，容器是用于管理對象的，通過容器把對象按照相應的對象類別進行組織，使得活動目錄按照階梯型的結(jié)構(gòu)進行層次管理

（2）容器容器也是一種對象，但容器可以包含其它的對象與容器，（3）組織單位組織單位是一種容器。組織單位也是為了便于對對象進行組織和管理而設(shè)置。組織單位是一種非常有特色的管理方法，使得網(wǎng)絡的結(jié)構(gòu)與公司的管理層次結(jié)構(gòu)相對應，更便于對網(wǎng)絡進行管理

（3）組織單位組織單位是一種容器。3．ActiveDirectory用戶與計算機的界面

如圖6-33所示,左側(cè)的控制臺樹中，以為根，以對象為結(jié)點。這些結(jié)點都是一些容器結(jié)點。選中某一個容器，在右側(cè)顯示其中的詳細項目。例如選擇計算機組織單位，顯示其中包含域的一些組及用戶。

3．ActiveDirectory用戶與計算機的界面如圖Users其內(nèi)包含域中的部分組及用戶對象。Builtin其內(nèi)包含域中由系統(tǒng)內(nèi)置的一些本地域組，例如ServerOperators組是內(nèi)置的組，其成員擁有管理域控制器的權(quán)限。Computers默認的域計算機組織單位。成員包括域中的客戶機、成員服務器等。DomainControler域控制器所在的容器。Users其內(nèi)包含域中的部分組及用戶對象。Builtin6．4客戶機配置

6．4．1 概述

6．4．2 Windows98客戶機

6．4．3 WindowsXP客戶機

6．4．4 Windows2000客戶機

返回6．4客戶機配置6．4．1 概述6．4．1 概述

在WindowsServer2003域中，可以使用多種客戶機。包括

Windows95、Windows98、WindowsME、WindowsNT、Windows2000、UNIX、Linux以及Maciontosh等等。本書主要介紹Windows98、WindowsXP和Windows2000Professional作為客戶機操作系統(tǒng)的配置

返回6．4．1 概述在WindowsServer2003域6．4．2 Windows98客戶機

由于Windows98對計算機硬件資源要求比較低，是目前低檔機操作系統(tǒng)的首選。但Windows98作為域的客戶機并不理想，原因是WindowsServer2003對其支持不好。Windows98雖然可以訪問域，但Windows98客戶機并不能成為域成員，不能方便地使用域的資源，如目錄等。同時也不能在ActiveDirectory用戶與計算機管理單元對計算機進行管理等

VPN返回6．4．2 Windows98客戶機由于Windows986．4．3 WindowsXP客戶機

WindowsXPProfessional（簡稱XP）是2001年秋推出的32位操作系統(tǒng)。WindowsXP可以加入WindowsServer2003域，并可以真正成為域成員計算機。返回

6．4．3 WindowsXP客戶機WindowsXP6．4．4 Windows2000客戶機

WindowsServer2003對Windows2000作為客戶機支持最好，可以說是天衣無縫。所以建議在以WindowsServer2003作為操作系統(tǒng)的網(wǎng)絡中，客戶機選用Windows2000，可以得到完全的網(wǎng)絡服務。首先Windows2000可以作為域成員。另外Windows2000Professional能夠被識別并自動把該計算機帳戶加入Computer容器，在此容器中對該計算機進行管理。而且Windows2000Professional登錄后，在網(wǎng)上鄰居中將出現(xiàn)“目錄”圖標，使得客戶機可以非常方便地訪問域活動目錄中的網(wǎng)絡資源

返回6．4．4 Windows2000客戶機Windows6．5用戶帳戶

6．5．1帳戶的基本概念

6．5．2帳戶的建立

6．5．3用戶帳戶的管理

返回6．5用戶帳戶6．5．1帳戶的基本概念6．5．1帳戶的基本概念

WindowsServer2003有兩類帳戶。一類是本地帳戶一類是域帳戶

返回6．5．1帳戶的基本概念WindowsServer20本地帳戶本地帳戶是在成員服務器、獨立服務器計算機中可以建立的一種帳戶，可以訪問這些計算機中的資源。本地帳戶只可以訪問計算機本地資源，而不能訪問域網(wǎng)絡資源。本地帳戶建立在本地計算機的用戶數(shù)據(jù)庫中，由本地計算機的超級用戶進行管理。但本地帳戶的用戶不能訪問域網(wǎng)絡的資源。在域網(wǎng)絡中，不提倡使用本地用戶帳戶。本地帳戶可以通過“計算機管理”工具進行設(shè)置

本地帳戶本地帳戶是在成員服務器、獨立服務器計算機中可以建立的域用戶帳戶另一類是域用戶帳戶，本節(jié)主要介紹的概念都是針對這種用戶。域用戶在有限的權(quán)限內(nèi)可以訪問域中的資源，由域網(wǎng)絡管理員對域用戶實施有效的管理。域用戶的建立以及所有的管理工作基本上可以在管理工具ActiveDirectory用戶與計算機中進行。域用戶的資料信息存放在域安全數(shù)據(jù)庫中。當設(shè)計好活動目錄及組織單位后，可以把用戶帳戶建立在某個組織單位中。當然，也可以建立在默認的Users組織單位中。一般還可以把用戶帳戶劃歸到某個組中以便管理和訪問資源

域用戶帳戶另一類是域用戶帳戶，本節(jié)主要介紹的概念都是針對這種網(wǎng)絡上的用戶有兩種網(wǎng)絡上的用戶有兩種。一種是普通用戶帳戶；還有一種是管理員帳戶，又稱為超級用戶帳戶這兩種帳戶的區(qū)分主要是指訪問網(wǎng)絡資源的權(quán)限的大小。如果一個用戶的權(quán)力足以大到與管理員權(quán)力等同時那他就是一個超級用戶。普通用戶只可以訪問網(wǎng)絡、使用網(wǎng)絡資源。超級用戶具有至高無上的權(quán)限，可以負責對普通用戶帳戶的所有管理工作。最重要的是，系統(tǒng)管理員可以管理整個域網(wǎng)絡，包括網(wǎng)絡的安裝、規(guī)劃、設(shè)備與資源的管理與使用等

網(wǎng)絡上的用戶有兩種網(wǎng)絡上的用戶有兩種。一種是普通用戶帳戶；還默認的兩個帳戶網(wǎng)絡安裝好以后，默認地建立兩個帳戶。一個是普通用戶帳戶Guest；一個是網(wǎng)絡管理員帳戶Administrator。Guest又稱來賓帳戶，這是為臨時訪問網(wǎng)絡的用戶提供的。由于存在不安全性，WindowsServer2003在安裝后默認設(shè)置其為不可用

在安裝網(wǎng)絡時安裝向?qū)г釂栆筝斎胍粋€管理員帳戶的密碼，就是為這個帳戶建立的。所以安裝WindowsServer2003的人自然就是系統(tǒng)管理員，具有管理整個網(wǎng)絡的權(quán)力。這個帳戶的名字不能更改，帳戶也不能刪除，具有特殊的屬性。默認的兩個帳戶網(wǎng)絡安裝好以后，默認地建立兩個帳戶。一個是普通6．5．2帳戶的建立

通過“ActiveDirectory用戶與計算機”可以進行用戶帳戶的建立和管理?；旧峡梢酝ㄟ^三個操作建立一個用戶的帳戶。一是關(guān)于用戶帳戶的名字；一是關(guān)于帳戶的口令；還有就是設(shè)置用戶帳戶的屬性。（過程略）返回6．5．2帳戶的建立通過“ActiveDirectory6．5．3用戶帳戶的管理

實際上建立帳戶和根據(jù)屬性查找用戶等都包含在管理用戶帳戶的操作范圍內(nèi)除此之外，還包括為用戶重命名、改變口令、限制用戶登錄等這些操作都可以使用該用戶快捷菜單中的相關(guān)命令進行

返回6．5．3用戶帳戶的管理 實際上建立帳戶和根據(jù)屬性查找用戶（1）用戶登錄時間的設(shè)置

登錄時間的限制具有某種安全的意義。例如限制用戶只能在每周的工作日及工作時間內(nèi)進行登錄，其它時段拒絕用戶登錄

（1）用戶登錄時間的設(shè)置用戶登錄工作站的設(shè)置

一個合法的用戶帳戶，默認為可以在任何客戶機上登錄。這樣為用戶使用域網(wǎng)絡資源提供了方便，但也存在某些不安全因素的存在，可以通過對用戶帳戶登錄站點的限制解決

用戶登錄工作站的設(shè)置一個合法的用戶帳戶，默認為可以在任何客3．用戶快捷菜單上的其它命令

△停用/啟用帳戶 可用于設(shè)置停用和啟用用戶帳戶?！髦孛梢詾橛脩糁匦略O(shè)置一個新的名字。如果一個職工離開了企業(yè)，建議不要刪除該帳戶，可以設(shè)置為“停用”帳戶。等新職工調(diào)進來接替其工作后再啟用該帳戶。重命名一個用戶帳戶后，其原來的所有權(quán)限和組關(guān)系等都不變。這是由于系統(tǒng)對用戶的識別是用該用戶的安全標識符（SID），而非用戶的名字。賦予用戶的權(quán)限等也使用標識符?！髦卦O(shè)密碼如果用戶密碼到期或者忘記了密碼，可以用該命令重新為用戶設(shè)置一個新的密碼。除此之外，還有兩個常用的命令，“將成員添加到組…”可以把一個用戶添加到某個組中?！耙苿印眲t可以使用戶帳戶在不同的組織單位內(nèi)移動，以便于選擇一個新的組織單位。

3．用戶快捷菜單上的其它命令△停用/啟用帳戶 可用于設(shè)置停 6．6組帳戶

6．6．1組的概念

6．6．2組的類型

6．6．3內(nèi)置組

返回 6．6組帳戶6．6．1組的概念 6．6．1組的概念

設(shè)立組的目的是為了對用戶帳戶加強管理。這里所說的管理主要是指設(shè)置用戶訪問資源的權(quán)限問題。建立了用戶帳戶后，就要對用戶訪問資源的權(quán)限進行設(shè)置。一個小規(guī)模的具有幾十個以下用戶帳戶的網(wǎng)絡，對每個用戶分別設(shè)置相應的權(quán)限應該是不成什么問題。但是對于一個具有成千上萬個用戶的大規(guī)模的網(wǎng)絡，如果用戶帳戶的管理是無序、無組織的，對每個用戶都要分別設(shè)置對資源訪問的權(quán)限，無疑其管理的工作量將是非常巨大的，而且還可能會出現(xiàn)信息安全方面的漏洞及隱患。設(shè)立了組帳戶，就可以把具有同等責任、同樣權(quán)限或公司中同一組織構(gòu)成的用戶組成一個組，然后再對這個組分配訪問資源的權(quán)限。返回 6．6．1組的概念 設(shè)立組的目的是為了對用戶帳戶加強管理續(xù)

在一個組織單位中建立了用戶及組帳戶后，就可以通過組帳戶的屬性把用戶加到相應的組中來，也可以把某些組加入到規(guī)定的另外的組中。這些工作可以通過活動目錄由系統(tǒng)管理員或其它具有管理員權(quán)限的用戶進行操作

除了由管理員建立的組以外，同用戶帳戶一樣，在安裝了系統(tǒng)之后系統(tǒng)還將內(nèi)置一些組帳戶

同用戶帳戶一樣，組帳戶也區(qū)分域的組帳戶和本地組帳戶。只有成員服務器、獨立服務器和Windows2000Professional計算機才可以設(shè)置本地組帳戶，以便對本地用戶帳戶進行管理。對于域控制器計算機不能設(shè)置本地組帳戶。與用戶帳戶一樣，本地組帳戶的設(shè)置沒有實際意義

續(xù) 在一個組織單位中建立了用戶及組帳戶后，就可以通過組帳戶的 6．6．2組的類型

1．分類方法

2．分類的意義

3．把用戶加入組

4．組的建立返回 6．6．2組的類型1．分類方法1．分類方法

如果按照安全性來分類把組分為兩類：一類是安全組，即具有訪問權(quán)限設(shè)置功能的組，一般建立的都屬于安全組。另一類是分布組

如果按照組的成員及組的作用范圍來分類可以把組分為三類：一類是全局組；一類是通用組；還有一類是本地域組。單域的結(jié)構(gòu)只具有全局組和本地域組，多域結(jié)構(gòu)才增加通用組。另外，只有本機模式下才可以建立通用組

1．分類方法 如果按照安全性來分類把組分為兩類：一類是安全組 2．分類的意義

把組分為全局組、通用組和本地域組是從兩個方面考慮的。一個是從組的成員角度考慮；一個是從訪問資源的角度考慮

從組成員角度考慮針對的是全局組和通用組。從資源角度考慮針對的是本地域組

2．分類的意義把組分為全局組、通用組和本地域組是從兩個方全局組和通用組我們知道，域中的用戶帳戶就是指人，組是對人的分組（包括全局組和通用組）。一般的企業(yè)、公司都具有組織機構(gòu)，人在不同的組織機構(gòu)中，例如銷售組、財務組等。那么通過組就可以按一定的組織機構(gòu)把用戶帳戶組織起來。所以可以認為組是對用戶帳戶的分類，例如把銷售部的用戶用一個全局組組織起來

全局組和通用組我們知道，域中的用戶帳戶就是指人，組是對人的分本地域組

訪問網(wǎng)絡的資源，例如文件、文件夾和打印機等，需要具備訪問權(quán)限。建立一個組并設(shè)置這個組對資源訪問具有某些權(quán)限，這樣的組稱本地域組。可見本地域組是針對資源的，是對資源訪問的權(quán)限進行分類的。當某些用戶或全局組的用戶成員需要具備對該資源的訪問權(quán)限時可使其加入這個組

本地域組 訪問網(wǎng)絡的資源，例如文件、文件夾和打印機等，需要具 3．把用戶加入組

先把用戶帳戶加入到全局組然后再把全局組根據(jù)對資源的訪問權(quán)限加入到不同的本地域組中去當然在此之前應該已經(jīng)設(shè)置了某個本地域組對某個資源的訪問權(quán)限

3．把用戶加入組先把用戶帳戶加入到全局組4．組的建立

通過ActiveDirectory用戶與計算機的管理工具建立組（略）4．組的建立通過ActiveDirectory用戶與計算6．6．3內(nèi)置組

內(nèi)置組是WindowsServer2003安裝了活動目錄之后自動建成的組。內(nèi)置組主要分為三類，即內(nèi)置本地域組、內(nèi)置全局組和系統(tǒng)組

返回6．6．3內(nèi)置組內(nèi)置組是WindowsServer201．內(nèi)置本地域組

與建立的本地域組一樣，內(nèi)置的本地域組也是針對權(quán)限訪問而設(shè)立的，這些組本身已經(jīng)被賦予了一些權(quán)力和權(quán)限。本地域組一般都建在builtin容器中?！鰽dministrators這個組的成員都具有系統(tǒng)管理員的權(quán)限可以管理整個域。系統(tǒng)內(nèi)置的Administrator帳戶就是這個組的成員。其成員還包括了幾個內(nèi)置的全局組。

△SeverOperators這個組的成員可以管理域控制器計算機。例如可以在域控制器計算機上登錄并對文件夾及文件進行管理等。

△AccountOperators這個組的成員擁有管理域控制器的權(quán)利，可以對域中的用戶及組帳戶進行操作，例如建立和管理這些帳戶等

1．內(nèi)置本地域組

與建立的本地域組一樣，內(nèi)置的本地域組也是 2．內(nèi)置全局組

內(nèi)置全局組也是用于對用戶帳戶進行組織和管理的。主要有DomainAdmins全局組、Domainusers全局組、DomainGuest全局組和EnterpriseAdmins全局組等。系統(tǒng)默認自動把DomainAdmins加入到Administrators本地域組中?？梢姶巳纸M中的成員權(quán)力是非常大的，必須格外謹慎。此組默認的成員是Administrator。

2．內(nèi)置全局組內(nèi)置全局組也是用于對用戶帳戶進行組織和管理 3．內(nèi)置系統(tǒng)組

內(nèi)置的系統(tǒng)組在ActiveDirectory用戶與計算機的管理工具中是不可見的。只有在進行資源訪問權(quán)限設(shè)置時才可以看到。例如我們經(jīng)?？吹降腅veryone就是一個系統(tǒng)組。任何一個訪問計算機的用戶都默認是這個組的成員，且無法更改

3．內(nèi)置系統(tǒng)組 內(nèi)置的系統(tǒng)組在ActiveDirect 6．7NTFS權(quán)限

6．7．1NTFS權(quán)限的基本概念

6．7．2NTFS權(quán)限的類型

6．7．3 NTFS權(quán)限設(shè)置

6．7．4 有效權(quán)限

6．7．5 復制和移動后的權(quán)限返回 6．7NTFS權(quán)限6．7．1NTFS權(quán)限的基本概念6．7．1NTFS權(quán)限的基本概念

NTFS文件系統(tǒng)具備完善的文件系統(tǒng)資源訪問控制的功能,在網(wǎng)絡上可以進行文件夾級的保護。在本地既可以對文件夾級進行保護，也可以進行文件級的保護

對于一個網(wǎng)絡管理員，在規(guī)劃網(wǎng)絡環(huán)境時的重要任務就是規(guī)劃網(wǎng)絡資源的應用環(huán)境，設(shè)置網(wǎng)絡資源的訪問權(quán)限。設(shè)置文件及文件夾的NTFS權(quán)限是建立網(wǎng)絡應用環(huán)境的基礎(chǔ)工作。首先應建立若干本地域組，然后設(shè)置不同的本地域組對文件資源的相應權(quán)限。再建立若干全局組，把全局組或某些個別用戶帳戶加入到本地域組中以便獲取相應的資源。返回6．7．1NTFS權(quán)限的基本概念NTFS文件系統(tǒng)具備完善6．7．2NTFS權(quán)限的類型

NTFS權(quán)限包括文件夾的權(quán)限和文件的權(quán)限。文件夾的權(quán)限與文件的權(quán)限不同。有時即使權(quán)限名相同，其含義也不一定完全相同

返回6．7．2NTFS權(quán)限的類型NTFS權(quán)限包括文件夾的權(quán)限和1．文件夾權(quán)限類型

△讀取（Read）顯示文件夾中的文件及子文件夾；顯示文件夾的屬性、權(quán)限分配的情況和文件夾的所有者

△寫入（Write）在文件夾中建立文件和子文件夾；改變文件夾的屬性；顯示文件夾的所有者和權(quán)限分配情況。

△列出文件夾目錄（ListFolderContents）顯示文件夾中的文件和子文件夾的名字，又稱作遍歷。

△讀取和運行（ReadExecute）此權(quán)限與“列出文件夾目錄”的權(quán)限基本相同，唯一不同之處是權(quán)限的繼承性?！傲谐鑫募A目錄”的權(quán)限只是由文件夾繼承，而“讀取及運行”可以由文件夾與文件同時繼承。

△修改（Modify）修改文件夾的名字和刪除文件夾并具有“寫入”、“讀取和執(zhí)行”權(quán)限。

△完全控制（FullControl）擁有所有NTFS文件夾的權(quán)限。可以修改權(quán)限和取得文件夾的所有權(quán)。1．文件夾權(quán)限類型

△讀?。≧ead）顯示文件夾中的文件2．文件權(quán)限類型

△讀取顯示文件內(nèi)容；顯示文件的屬性、所有者和權(quán)限分配情況。

△寫入可以將文件覆蓋、改變文件的屬性、查看文件的所有者和權(quán)限等。擁有此權(quán)限只能將整個文件覆蓋掉但不能改寫文件內(nèi)的數(shù)據(jù)。

△讀取與運行擁有讀取文件的權(quán)限并具有運行應用程序的權(quán)限。

△修改可以更改文件內(nèi)的數(shù)據(jù)、刪除文件、重命名文件，同時擁有“寫入”和“讀取及運行”的權(quán)限。

△完全控制 擁有所有NTFS權(quán)限，擁有“修改權(quán)限”與“取得所有權(quán)”的權(quán)限。文件和文件夾還可以設(shè)置特殊屬性，是在列表以外的屬性，可以通過單擊安全屬性設(shè)置對話框中的“高級”按鈕進行進一步的設(shè)置。

2．文件權(quán)限類型

△讀取顯示文件內(nèi)容；顯示文件的屬性、 6．7．3 NTFS權(quán)限設(shè)置

在進行NTFS權(quán)限設(shè)置時，可以對文件夾及文件進行屬性設(shè)置、權(quán)限設(shè)置、繼承權(quán)設(shè)置、特殊權(quán)限設(shè)置以及所有權(quán)更改等。這些設(shè)置都是在“我的電腦”或“資源管理器”中進行。（略）返回 6．7．3 NTFS權(quán)限設(shè)置在