2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
第 11章 Windows 2000 Server操作系统
本章基本要求:
? Windows 2000 Server的安装
? 活动目录的安装
? 用户账户与组账户的管理
? NTFS权限的设置
? 共享文件夹的管理
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
第 11章 Windows 2000 Server操作系统
11.1 Windows 2000 Server操作系统的安装
11.2 活动目录
11.3 客户机的配置
11.4 用户账号管理
11.5 组的管理
11.6 NTFS权限
11.7 共享文件夹
11.8 技能训练
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.1 Windows 2000 Server操作系统的安装
11.1.1 Windows 2000 Server简介
Windows 2000原名为 Windows NT 5.0。 Windows 2000包括 4
个版本。
1,Windows 2000 Professional
Windows 2000 Professional是为各种桌面计算机和便携机
开发的新一代操作系统。
2,Windows 2000 Server
Windows 2000 Server是为服务器开发的多用途操作系统,可
为部门工作组或中小型企业、公司用户提供文件、打印、应用
软件,Web和通信等各种服务,是一个性能更好、工作更加稳定、
更容易管理的网络操作系统平台。它最多支持 4个 CPU与 4 GB的
内存。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.1 Windows 2000 Server操作系统的安装
3,Windows 2000 Advance Server
Windows 2000 Advance Server除了具备 Windows 2000
Server的所有功能和特征外,还有一些专为大型的企业级
服务器所设计的特性,如集群、加载平衡和对称多处理器
支持等,特别适合于公司内部有重要数据库的网络。它最
多能支持 8个 CPU和 8 GB的内存。
4,Windows 2000 Data Center Server
Windows 2000 Data Center Server除了具备 Windows
2000 Advance Server的所有功能和特征外,还特别在处
理大量数据的功能上进行了最优化处理,因此适合于处理
大量数据的服务器使用。它最多能支持 32个 CPU和 64 GB的
内存。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.1 Windows 2000 Server操作系统的安装
11.1.2 规划管理
对网络的规划管理主要包括
1.命名
为了标识网络上的计算机和打印机,需要分别为它们起一个惟一的
名字
2.账户
网络上的每一个用户都必须有自己的账户,这个账户赋予用户一定
的权力。
3.安全性
实施安全性的重要措施之一是要求用户在每次登录到服务器时都必
须对用户名、用户口令进行双重验证,这样在网络规划时必须为网络
制定一个合理的账户安全策略,包括口令的惟一性、口令的使用期限、
口令的长短以及在账户被锁住之前允许错误登录的次数等。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.1 Windows 2000 Server操作系统的安装
4.规划许可协议
在 Windows 2000 Server中访问网络需要符合合法的许可协议,
Windows 2000 Server中有两种许可协议可供选择:“每客户”
和“每服务器”。
( 1)每服务器协议方式
每服务器协议方式( Per Server License),又称并发客户
服务器,是将一个客户许可证授予一个特定的服务器。每一个
Per Server的许可证,允许有一个到 Server上的并发连接去访
问该服务器上的网络资源,如文件、打印机、应用程序等。选
择“每服务器”方式时,必须将同时允许的连接( Connection)
数输入到本服务器。
( 2)每客户协议方式( Per Seat License)
每客户协议方式( Per Seat License)是将一个客户访问许
可证授予一个特定的工作站。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.1 Windows 2000 Server操作系统的安装
如果有多个服务器,并且所有服务器上的客户访问许可
证总数大于或等于网络上的计算机总数,则选择“每客
户”。对于所有其他的环境,请选择“每服务器”。由于
可以合法地免费进行一次从“每服务器”到“每客户”的
更改,所以,如果无法确定所使用的模式,则选择“每服
务器”方式。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.1 Windows 2000 Server操作系统的安装
5.选择网络协议
协议是能在计算机之间交换信息的软件。 Windows 2000
Server支持以下网络协议供用户选择。
( 1) TCP/IP协议:这套网络协议是通过互联网进行通信的。
在连入 Internet时必须选用 TCP/IP协议。默认情况下,只安装
TCP/IP协议。
( 2) NWLink IPX/SPX兼容传输协议:如果计算机连接到
NetWare网络,或要与 NetWare网络进行通信,则选择此选项。
( 3) NetBEUI协议,NetBEUI是非路由选择的基于广播的协议。
( 4) AppleTalk协议,AppleTalk是基于 Macintosh的协议,
它主要以点对点的方式运行,并且支持其他平台的能力相当有
限。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.1 Windows 2000 Server操作系统的安装
6.选择文件系统
Windows 2000 Server支持以下文件系统
( 1) NTFS
NTFS是一种磁盘分区格式,提供优于 FAT的文件系统。其他操作系
统不能访问 NTFS。 NTFS文件系统全面支持大硬盘,卷的尺寸为 10
MB?2 TB。文件最大尺寸仅受限于卷的大小,也就是说,一个文件可跨
越物理硬盘存储。
NTFS具有以下功能:设置文件和目录的访问权限;事务跟踪和恢复;
创建大的卷( Volume);支持长文件名,最多能够允许使用 256字符的
文件名。
在 Windows 2000 Server所支持的 3种文件系统中,只有 NTFS提供了
对文件的真正意义上的安全性管理。在 NTFS分区上,可提供对文件及
文件夹的访问权限设置管理和共享管理,而在其他分区,只提供对文
件及文件夹的共享管理。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.1 Windows 2000 Server操作系统的安装
( 2) FAT
Windows 9x,MS-DOS,OS/2使用 FAT文件系统。如果需
要由 Windows 2000和 MS-DOS或 Windows 9x双重引导,则需
选用 FAT文件系统。
( 3) FAT32
FAT32文件系统适用于较大的硬盘,卷尺寸为 512 MB?2
TB(在 Windows 2000中最大可以将 FAT32分区格式化到 32
GB),最大文件尺寸为 4 GB。该文件系统下的本地文件可
以由 Windows 9x和 Windows 2000访问。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.1 Windows 2000 Server操作系统的安装
11.1.3 Windows 2000 Server的安装
Windows 2000 Server可以用两种方法安装:光盘或网络。在本书
中简要介绍光盘安装 Windows 2000 Server。用网络安装时网络必须工
作正常。
Windows 2000 Server提供了两种方法的安装程序:升级到 Windows
2000和安装新的 Windows 2000。选择升级到 Windows 2000会替换当前
的操作系统,但不会改变现有设置和已安装的程序。选择安装新的
Windows 2000要进行全新的安装,必须指定新的设置并重新安装现有
软件。这时计算机上可以有数个操作系统。
Windows 2000 Server提供两个可执行的安装文件,Winnt.exe和
Winnt32.exe。
? Winnt.exe:在 MS-DOS或 Windows 3x环境中安装。
? Winnt32.exe:在 Windows 9x/NTdt 32位操作系统中安装。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.1 Windows 2000 Server操作系统的安装
1.开始安装
① 将计算机的 BIOS设置为从 CD-ROM启动。
② 将 Windows 2000 Server CD-ROM放入光驱中,启动计算
机。启动时,计算机会提示要求你必须在指定的时间内,按任
意键后才能从 CD-ROM启动。
③ 屏幕上出现,Setup is inspecting your computer’s
hardware configuration?” 信息时,表示安装程序正在检测
计算机内的硬件设备,例如 COM端口、键盘、鼠标、软驱等。
④ 当出现,Windows 2000 Setup” 的提示时,会将 Windows
2000核心程序、安装时所需的文件等信息加载到计算机的内存
中,然后检测计算机的大容量存储设备。所谓的大容量存储设
备,就是指光驱,SCSI接口或 IDE接口的硬盘等。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.1 Windows 2000 Server操作系统的安装
⑤ 当出现“欢迎使用安装程序”的对话框时,有以下 3
个选项:
? 要开始安装 Windows 2000,按 Enter键;
? 要修复 Windows 2000中文版的安装,按 R键;
? 要停止安装 Windows 2000,并退出安装程序,按 F3键。
在这里,按 Enter键,继续安装。
⑥ 当出现,Windows 2000许可协议”对话框时,可以
按 Page Down阅读协议的内容。如果同意,请按 F8键继续
安装。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.1 Windows 2000 Server操作系统的安装
⑦ 弹出“磁盘分区”对话框,有以下 3个选项:
? 要在所选分区上安装 Windows 2000,按 Enter键;
? 要在尚未划分的空间中创建磁盘分区,按 C键,然后
输入磁盘分区的大小;
? 删除所选磁盘分区,请按 D键,然后按提示再按 Enter
键和 L键。
划分与选定好要安装 Windows 2000的磁盘后,按 Enter
键以便将 Windows 2000安装到这个磁盘分区内(默认设置
是安装到该磁盘分区的 Winnt文件夹内)。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.1 Windows 2000 Server操作系统的安装
⑧ 接着安装程序会要求用户为上述磁盘分区选择文件系统的格
式,有以下两种选择:
? 用 NTFS文件系统格式化磁盘分区。如果要支持活动目录、数
据加密、用户的硬盘容量限制、设置域结构的网络,则必须选用
NTFS。
? 用 FAT文件系统格式化磁盘分区。如果此磁盘分区小于 2 GB,
则会自动将其格式化为 FAT;如果此磁盘分区等于或大于 2 GB,则
会自动将其格式化为 FAT32。
用 ↑↓ 键选择 NTFS后,按 Enter键开始格式化磁盘。
⑨ 格式化完成后,安装程序会将文件复制到此磁盘分区内,这
个操作将花费数分钟。一旦复制完成后,屏幕上出现一条红色的长
方形,并且开始倒数 15 s后自动重新启动。
⑩ 重新启动后,安装程序继续将剩余的文件复制到硬盘内,然
后启动安装向导。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.1 Windows 2000 Server操作系统的安装
2.搜集与该计算机有关的设置
① 出现“欢迎使用 Windows 2000安装向导”对话框时,
单击“下一步”按钮或稍等,让其自动开始搜集一些与该计
算机有关的信息。
② 出现“正在安装设备”对话框时,安装程序开始检测
和安装设备,例如,键盘和鼠标等。
③ 出现“区域设置”对话框时,可以为不同的区域和语
言自定义 Windows 2000,以便用它来决定如何显示数字、日
期、时间、货币等。默认的区域为“中文(中国)”。此对
话框也可以用来设置与输入法有关的选项,默认的输入法为
“中文(简体)”。完成后,单击“下一步”按钮。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.1 Windows 2000 Server操作系统的安装
④ 出现“自定义软件”对话框后,输入姓名以及公司
名或单位的名称,然后单击“下一步”按钮。
⑤ 出现“您的产品密钥”对话框,输入位于产品包装
盒背面的黄色不干胶纸上的产品密钥,然后单击“下一步”
按钮。
⑥ 出现“授权模式”对话框,选择希望使用的授权模
式。有“每服务器”和“每客户”两种。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.1 Windows 2000 Server操作系统的安装
⑦ 弹出“计算机名称和系统管理员密码”对话框。
?“计算机名称”文本框处为这台计算机输入一个计算
机名称,例如 Servercjl。注意,此名称必须是惟一的,
也就是不可以与网络上的其他计算机同名。
?“系统管理员密码”与“确认密码”文本框中重复输
入系统管理员的密码。
⑧ 弹出,Windows 2000组件”对话框时,可以直接单
击“下一步”按钮,以便只安装默认的组件,或者另外选
择想要安装的组件。
⑨ 弹出“日期和时间设置”对话框时,可以设置目前
的日期、时间与时区,然后单击“下一步”按钮。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.1 Windows 2000 Server操作系统的安装
3.安装网络组件
① 弹出“网络设置”对话框时,开始安装网络组件
(例如检测网卡),以便能够连接到其他计算机、网络与
Internet上。
② 弹出下一个“网络设置”对话框时,选择“自定义
设置”,以便自行设置网络的配置,然后单击“下一步”
按钮。也可以选择“典型设置”,让它自动设置网络配置,
若选择“典型设置”,则跳过步骤③,直接到步骤④。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.1 Windows 2000 Server操作系统的安装
③ 弹出“网络组件”对话框时,选择,Internet协议
( TCP/IP)” →,属性”选项。在,Internet协议( TCP/IP)属性”
的对话框中,选择“使用下面的 IP地址”选项,然后输入该计算机
的 IP地址和子网掩码。完成后,单击“确定”按钮回到“网络组件”
对话框,然后单击“下一步”按钮。
④ 弹出“工作组或计算机域”对话框时,询问是否要将这台计
算机加入域,此时可以选择:
? 不要加入域(也就是让其加入工作组):此时必须在下方的
“工作组或计算机域”文本框中输入工作组的名称,完成后单击
“下一步”按钮。
? 要加入域:此时必须在下方的“工作组或计算机域”文本框
中输入域的名称,单击“下一步”按钮,必须输入具有将计算机加
入域权限的用户账户与密码。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.1 Windows 2000 Server操作系统的安装
⑤ 弹出“正在安装组件”对话框时,开始安装与设置在前面步骤
中所选择的组件,之后弹出“正在执行最后任务”对话框,以便完成
最后阶段的工作。
⑥ 完成安装时会弹出“完成 Windows 2000安装向导”的对话框,
此时应将放在 CD-ROM中的 Windows 2000 CD取出,然后单击“完成”按
钮以便重新启动。
4.登录测试
① 重新启动后,当屏幕显示“请按 Ctrl+Alt+Del开始”时,请同
时按着 Ctrl与 Alt键不放,然后按 Delete键。
② 输入用户的账户名称与密码。
③ 开始登录。登录成功后,将出现“配置服务器”对话框,目前
只需选择“我将在以后配置这个服务器”,然后单击“下一步”按钮,
接着在下一个对话框中单击右上方的,X” 按钮,将对话框关闭即可。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
活动目录是域的安全管理数据库。活动目录是高度伸缩
的、分布式的、采用 Internet标准技术建立并在操作系统
级完全集成的企业级目录服务。它为运行在 Windows上的
应用程序提供全面的目录服务,同时它还被设计成一个统
一的合并点,用于隔离、迁移和集中管理企业拥有的目录
并减少目录的数目。这使得活动目录能在任何系统中正常
工作,支持从只有几百个对象、一台服务器的小系统到拥
有数百万个对象、上千台服务器的庞大系统,使其成为企
业信息共享和网络资源通用管理的理想平台。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
11.2.1 工作组模型
工作组( Workgroup)模型是 Windows 2000中最基本的概
念,它是资源和管理都分布在整个网络上的一种网络模式。
这种网络被称为“对等网”,即在工作组模型中,每台计算
机的地位都是平等的,每台计算机既可用做服务器,也可用
做工作站,每台计算机都有自己的账户和对象。
组( Group)是活动目录或者本地计算机对象,它包含用
户、联系人、计算机和其他组,用于分组管理用户和计算机
对共享资源的访问。通常可将用户或计算机分为若干个组,
授予每个组的权力和权限,也自动授予该组的成员,而不是
具体授予每个成员。这样可使管理员将许多用户、计算机当
做一个账户来管理。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
11.2.2 域的基本概念
域是一组计算机构成的逻辑组织单元,管理员通过它对网
络上的计算机系统进行安全管理。可以通过域把若干计算机
组织起来构成一个计算机信息网络系统,域成员中的计算机
有域控制器、域成员服务器和域成员计算机 3种。没有加入域
的计算机也可以像访问工作组一样访问域,但不能获得完全
的服务。
一台服务器之所以称为域控制器,是因为在域控制器上存
放着包含域的所有信息的域数据库,以数据库为基础对域进
行管理的组件称为活动目录,即 Active Directory(简称为
AD),AD在作为域控制器的服务器上运行。通过 AD的操作界
面,管理员可以对网络实施有效的组织与管理。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
11.2.3 域服务器类型
在域模型中有 3种不同的服务器类型:主域控制器、后
备域控制器和服务器。在 Windows 2000域中,运行
Windows 2000 Server并安装了活动目录的计算机就是一
个域控制器。域控制器存储目录数据,管理用户和域之间
的交互(包括用户登录、验证和目录搜索)。域控制器的
多少可以根据网络的规模决定,但是使用多个域控制器可
以提高域的可用性和容错性。
1.主域控制器( PDC,Primary Domain Controller)
每个域都需要有一个主域控制器,并且只能有一个主域
控制器,它是整个域的控制中心,
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
它为域保存主账户数据库和安全性政策,账户库中的所有改
动都必须在主域控制器上进行,同时它负责一个域中用户的合
法性检验。主域控制器是域命名的第一台 Windows 2000 Server
计算机。
2.后备域控制器( BDC,Backup Domain Controller)
后备域控制器是用于保持 PDC目录数据库副本的服务器,该
BDC周期性地、自动地与 PDC保持同步。 BDC也可以协助 PDC对用
户登录操作进行身份验证,分担 PDC的工作,减轻网络流量。同
时,当 PDC关机或出了故障时,BDC可以升级为 PDC,但如果一个
BDC升级为 PDC,则在最后一次从原来的 PDC拷贝目录数据库之后,
用户对目录数据库所进行的更改都将会丢失。一个域可以有多
个 BDC。
主域控制器、后备域控制器都可作为文件、打印和应用程序
的服务器。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
3.独立的服务器( Stand Alone Server)
在域中不作为主域控制器和后备域控制器的域服务器称
为服务器,它可以用做专用文件、打印和应用程序的服务
器。服务器保存自身的数据库,域中的账户可被授权访问
服务器上的资源。
11.2.4 委托关系
委托关系是 Windows 2000 Server两域间的一个链,此
链容许一个域识别另外一个域的用户账户,并且委托后者
对这些用户进行注册时的身份验证。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
1.单向委托关系
一个域委托其他域中的用户使用其资源。更准确地说,
一个域委托其他域中的域控制器来确认用户账户,以使用
户能使用其资源。这样,可用的资源被保存在委托域中,
而利用这些资源的账户却在受托域中。如果委托域中的用
户账户需要使用受托域中的资源,则需要双向委托关系。
2.双向委托关系
相当于两个单向委托关系,每个域都委托对方域中的用
户账户,用户可从任一个域的计算机登录到他们的域账户
中,每个域有自己的账户和资源。全局用户账户和全局组
可用来从任何一个域中得到授权来访问其中任何一个域中
的资源。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
在所有的委托关系中,一个域为受托域,另外一个域就
是委托域。
受托域:又称账户域,账户被放在受托域中。受托域的
用户和组允许在委托域中拥有用户权力、资源权限和本地
组员身份。
委托域:委托资源通常总放在委托域中,委托域允许其
他域(受托域)的用户访问其资源。
委托与受托的概念差别可以从资源的角度考虑。通过建
立恰当的委托关系和授予访问的权限,资源所在域可委托
另外一个域的用户,并允许他们使用这些资源。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
11.2.5 域模型
Windows 2000/NT Server的网络提供 4种基本模型来组
合各种配置,以满足用户的需求:单主域模型、主域模型、
多主域模型、完全委托域模型。
1.单主域模型
该模型由 1个域组成,有 1个主域控制器和 1个或多个后
备域控制器和服务器。单主域模型特别适应于少量用户和
资源的公司,它提供对用户账户的集中管理,不允许用户
按部门分组。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
2.主域模型
主域模型由至少 2个域组成,每个域有其自己的域控制
器,所有的用户账户信息保存在一个称为主域( Master
Domain)的域中,其他的域则称为资源域。资源域负责维
护文件、目录和打印机资源。资源域不需要维护用户账户,
它们用主域中的账户来分配用户对本地资源的访问。
3.多主域模型
多主域模型中有多个主域,每个主域作为一个账户域,
网络中的每个用户账户都是由这些主域之一创建。网络中
还有其他的一些域,这些域作为资源域。它们由各部门创
建,为主域提供资源。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
4.完全委托域模型
完全委托域模型由多个域组成,每个域执行自己的管理,
所有域在控制上都是平等的。完全委托域模型分布式地管
理不同部门的用户、组和域,在此模型中,网络中所有的
域相互委托,这样每个部门可以管理自己的域,定义自己
的用户和全局组,这些用户和全局组能在所有的域上使用。
这种模型适合于各部门管理自己的网络环境的公司。
11.2.6 Active Directory的结构
Active Directory用简单直观的“由下而上”的方法来
建置一个大型树形结构。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
Active Directory中的单一域就是一个完整的目录分割区。
为了便于管理,域被细分成一个个的组织单位( OU,
Organizational Units)。单一域可能很小,但可以包含非
常多的对象。如果需要更复杂的组织结构或需要存储大量对
象,可以把多种 Windows 2000 Server域结合成一棵树
( Tree)。如果再将域树结合,则可形成域林( Forest)。
域树中的第一个域称为根域( Root Domain)。同一域树中的
额外域为子域。同一域树中,紧接在域上面的域,是子域的
父系域。
域是 Active Directory中逻辑结构的核心。一般而言,域
适合大型组织的企业网络,因为可提供账户的管理与对等的
数据共享。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
在 Windows 2000中,所谓域是由一台以上的 Windows 2000 Server
所组成的组,其中有一台需规划为域控制站。该控制站可以对用户进
行认证,只有通过认证的用户才可以顺利登录域,登录域之后即可在
规定的权限内使用域上的资源。在 Windows 2000 Server的域结构中所
有域控制器的地位都是平等的,且域控制器之间会定期进行数据复制
以保持一致性。
由一个以上的 Windows 2000域组成层次式排列,但这些域需分享一
个连续的( Contiguous)名称空间。
由一个以上互不相连的( Disjointed)名称空间的域树组成层次式
排列。当建立域林时,每一个域树内的根域之间会自动建立双向可传
递的信任关系,因此每一个域内的使用者只要具备足够的权限就可以
存取其他域树内的资源。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
11.2.7 Active Directory的安装
首先请选择“开始” →,程序” →,管理工具” →,配
置服务器”选项以启动 Active Directory安装向导。弹出
Windows 2000配置服务器的画面,请单击左边窗口的
[Active Directory]选项。
① 单击“启动 Active Directory向导”连接,弹出
,Active Directory安装向导”对话框,单击“下一步”
按钮,弹出,Active Directory安装向导 → 域控制器类型”
对话框,如图 11.1所示。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
? 新域的域控制器:选
本项可以建立一个新域,而
该服务器也将成为新域的域
控制器。根据域结构的基本
模式,选本项可建立出一个
新的子域、域的域控制器或
者新目录林。
? 现有域中的额外域控
制器:选本项则在同一域内
建立一个平等的域控制器,
但会删除所有的本地账户。 图 11.1 选择, 域控制器, 对话框
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
图 11.2,创建目录树或子域, 对话框
② 单击“下一步”按钮,
弹出,Active Directory安
装向导 → 创建目录树或子域”
对话框,如图 11.2所示。
? 创建一个新的域目录树:
选本项会再建立另外一个新
的域目录树。
? 在现成的域目录树中创建
新的子域:将新建的域变成
现有域的子域。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
③ 单击“下
一步”按钮,此
时弹出,Active
Directory安装
向导 → 创建或加
入目录林”对话
框,如图 11.3所
示。
图 11.3“创建或加入目录林, 对话框
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
在此建立一个新
目录林。选择该选
项后,按“下一步”
按钮,此时会弹出
指定新域名的对话
框,如图 11.4所示。
图 11.4,新的域名, 对话框
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
④ 单击“下一步”按
钮,此时为了与旧版的
Windows兼容,系统会要
求提供在 NetBIOS上使用
的名称,预设为 DNS完整
名称的前面部分,如图
11.5所示。
图 11.5,NetBIOS域名, 对话框
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
⑤ 单击, 下一步, 按钮,以
规划系统数据库与日志文件
位置,如图 11.6所示。
数据库与日志文件存放在了
新域的目录内,为达到最佳
化的目的,建议将该文件放
置于独立的硬盘上。
⑥ 单击, 下一步, 按钮,设
置共享的系统文件夹,共享
的系统磁盘中存储了目前组
与企业有关的原则等对象。 图 11.6,数据库与日志文件位置, 对话框
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
⑦ 单击“下一步”按钮,此时由于在本服务器上找不
到 DNS服务器,因此会出现警告信息,如图 11.7所示。
图 11.7 找不到 DNS服务器的警告信息
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
⑧ 单击“确定”按钮,此时系统会询问是否要安装 DNS
服务器,系统建议现在安装 DNS。
⑨ 单击“下一步”按钮,选择使用权限,选择“只与
Windows 2000服务器相兼容的权限”选项。
⑩ 单击“下一步”按钮,弹出“指定系统管理员密码”
对话框。在对话框中设定管理员的密码。
⑾ 单击“下一步”,继续安装,再单击“下一步”按
钮,完成安装。重新启动计算机。重新开机后,双击桌面
上的“网上邻居” →,整个网络” →,全部内
容” →, Microsoft Windows Network”,在弹出的对话
框中,除了原先的,Grandlotus” 域外,还有新建的
,NTF” 域。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
11.2.8 Active Directory的删除
安装 Active Directory会把独立服务器或成员服务器提
升为域控制器。而如果删除了 Active Directory则会把域
控制器降级为独立服务器或成员服务器。要想移除 Active
Directory,可启动 Active Directory安装向导,该向导
会自动判断本机的服务器类型。如果是独立服务器或成员
服务器,则安装;如果是域控制器,则删除。启动 Active
Directory安装向导,也可以选择“开始” →,执行”选
项,然后在该对话框中输入,dcpromo”,再按“确定”
按钮就可启动 Active Directory安装向导。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
11.2.9 在域中加入新的域控制器
为提高域数据的安全,有时需要两台以上的域控制器,
本节将介绍如何在同一域中加入新的域控制器。
① 启动 Active Directory安装向导。
② 按“下一步”按钮,弹出如图 11.1所示的对话框。
勾选“现有域的额外域控制器”选项后,按“下一步”按
钮,弹出如图 11.8所示的“网络凭据”对话框。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
图 11.8“网络凭据, 对话框
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
③ 输入要加入的域以及具有权限的用户名称与密码
(该机器必须能与现成的域控制站取得联系,否则无法建
立),接着按“下一步”按钮,此时弹出输入完整域的画
面。如果不知道域名,可以按“浏览”按钮来寻找域,规
划好域名之后请按“下一步”按钮。如无错误,则成功;
如果此时出现了错误的信息,可能是 DNS的设置不正确,请
将本机的 DNS设置成域中的 DNS。
④ 接下来,依画面提示流程安装。重新启动计算机方
能使设置生效,并且可以在任何一台计算机的,Active
Directory用户及计算机”工具中看到域控制器。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
11.2.10 建立子域
① 启动 Active Directory安装向导。
② 按“下一步”按钮,弹出如图 11.1所示的对话框。
勾选“新域的域控制器”选项后,按“下一步”按钮,弹
出如图 11.2所示的对话框,勾选“在现有域目录树中创建
一个新的子域”选项。按“下一步”按钮,输入一组具备
新建子域权限的用户账户与密码,按“下一步”按钮,此
时如果找到父系域,则会弹出子域安装的画面。
③ 接下来,依画面提示流程安装。安装完后,可以在
,Active Directory域和信任关系”工具中看到子域成功
的画面。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
11.2.11 Active Directory管理单元的界面对象与建
立
1,Active Directory管理单元的界面
在 Windows 2000 Server中有许多管理工具用于网络的
管理与控制,又称管理单元,Active Directory是其中之
一。 Active Directory包含 3个管理单元,Active
Directory用户与计算机,Active Directory站点和服务,
Active Directory域与信任关系。其中后两个管理单元只
有在多域结构时才可以用到。安装完域控制器以后,在
“开始 ?程序 ?管理工具”命令中将出现 Active
Directory的有关命令,如图 11.9所示。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
图 11.9 Active Directory管理工具
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
Active Directory用户与计算机是应用最广、最多,也
是最常用的管理单元。网络或域的计算机、文件、打印机、
用户、组等都是通过这个管理单元进行管理的。例如建立
用户、组,对域中计算机进行管理等日常的管理工作都可
以在此进行。
另外,通过 Active Directory用户与计算机还可以把共
享文件夹、打印机等在域中进行发布和实施组策略等。因
为域中的计算机在“网上邻居 ?全体网络”中都可以看到
Active Directory的图标(即目录),这样域中的用户都
可以方便地了解和利用 Active Directory来使用域资源。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
Active Directory用户与计算机作为 Windows 2000
Server的一个管理单元,适用于大多数管理工具一致的界
面,如图 11.10所示。这个界面又称为 Windows 2000
Server的管理控制台( MMC),它提供了一个便于使用的、
一致的操作界面。
MMC窗口分成两个子窗口,左侧为控制台树,在树中的
一组结点为管理单元,如图 11.10中的 Users等。选中某一
单元,在右侧显示该单元的详细子项。可以看到,MMC控制
台的界面与 Windows资源管理器相仿。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
图 11.10 MMC界面
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
2,Active Directory基本概念
( 1)对象,Active Directory用户与计算机管理单元中的计算机、
用户、组、文件、打印机等称为对象。对象具有一些属性,例如用户
对象具有登录名、口令、地址、电话、单位等一些属性。属性的集合
称为对象的架构。根据属性可以对对象进行管理,例如在网络上查找
对象时可以根据给出的属性进行查找。
( 2)容器:容器也是一种对象,但容器可以包含其他的对象与容
器,也就是说容器是可以嵌套的。例如组织单位是一个对象,是一种
容器对象。
( 3)组织单位:组织单位是一种容器。使用组织单位的好处在于
在单一域中,可以使用组织单位的层次结构来组织用户账户与资源以
反映公司的结构,因此可以使用组织单位为基础建立多个管理层次。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
下面以建立一个叫,xxzx” 的组织单位为例,具体步骤
如下:
① 选择“开始” →,程序” →,管理工
具” →, Active Directory用户及计算机”选项,弹出
Active Directory管理对话框,左侧可以看到 Domain
Controllers项目,这个项目的类型就是组织单位。
② 选择想要建立的域名称,然后选主菜单上的“操
作” →,新建” →,组织单位”选项,弹出“新建对象 -组
织单位”对话框,如图 11.11所示。输入名称后,按“确定”
按钮,就可以成功建立组织单位,如图 11.12所示。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
图 11.11 新建 xxzx组织单位 图 11.12 将组建在 xzx组织单位
中
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
3,Active Directory用户与计算机的界面
如图 11.10所示,左侧的控制台树中以 xtvtc.edu.cn为根,以对象
为结点,这些结点都是一些容器结点。选中某一容器,在右侧显示其
中的详细项目。例如选择计算机组织单位,显示其中包含域的一些组
及用户。主要默认的容器如下。
? Users:包含域中的部分组及用户对象。
? Builtin:包含域中由系统内置的一些本地域组,例如 Server
Operators组,其成员拥有管理域控制器的权限。
? Computers:默认的域计算机组织单位,成员包括域中的客户
机、成员服务器等。
? Domain Controllers:域控制器所在的容器。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.3 客户机的配置
在 Windows 2000 Server域中,可以使用多种客户机,
如 Windows 95/98,Windows ME,Windows NT,Linux等,
本节主要介绍 Windows 98,Windows XP以及 Windows 2000
Professional等作为客户机操作系统的配置。
11.3.1 加入 Windows 95/98客户机
安装 Windows95/98的计算机想连接上 Windows 2000
Server。在连接之前,需要先设置网卡与通信协议,鼠标
右键单击“网上邻居”,在弹出的快捷菜单中选择“属性”
选项,弹出“网络”对话框。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.3 客户机的配置
选择,Microsoft网络用户”选项,并按“属性”按钮,
首先勾选“登录到 Windows NT域”选项,然后在
,Windows NT域”文本框中输入 Windows 2000 Server所
在的域。在系统启动后会出现与原先不同的登录对话框。
在域登录对话框中,需要输入在域控制器中已设置好的
用户账户与密码,并且在此处也可选择域。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.3 客户机的配置
11.3.2 加入 Windows XP客户机
Windows XP可以加入 Windows 2000 Server域,并可以真正成为域
成员计算机。鼠标右键单击“我的电脑”图标,选择“属性”命令,
单击“计算机名”标签。
单击“更改”按钮,单击“其他”按钮。输入 DNS后缀,单击“确
定”按钮。选择“隶属于”中的“域”选项,并输入域名,单击“确
定”按钮。此时系统要求输入具有此权限的用户名,输入后确定。稍
后,显示欢迎加入域的信息。
然后要求重新启动。在 Windows XP客户机中的用户账户有两种:一
种是本地用户,一种是域用户。登录时需选择本地计算机或域。登录
后,双击“网上邻居”,在左侧选择“整个网络”,出现网络中的域
及工作组图标,可进一步访问网络资源。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.3 客户机的配置
11.3.3 加入 Windows 2000独立服务器客户机
本节将说明如何将一个独立服务器加入到域中。用鼠标
右键单击独立服务器桌面上“我的电脑”,在弹出的快捷
菜单中选择“属性”选项,单击“网络标识”标签,弹出
如图 11.13所示的对话框。
在图 11.13中可以看出本机属于工作组,如果想要更改
计算机名称或域名,则按“属性”按钮,此时弹出如图
11.14所示的对话框。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.3 客户机的配置
图 11.13“系统特性, 对话框 图 11.14“标识更改, 对话框
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.3 客户机的配置
在图 11.14,标识更改”对话框中,可以更改计算机名
称与成员隶属关系,如果想要让本机加入某一域,请选择
“域”选项,然后填入域的名称。如果想要变更主要 DNS尾
码的原则,可按“其他”按钮进行设置。当单击“确定”
按钮之后系统会出现一个要求输入用户账户与密码的对话
框,请输入一个具有执行加入域动作权力的用户账户。单
击“确定”按钮以完成加入域的动作。
另外,也可以在,Active Directory用户及计算机”中
的,Computer” 看到加入该域的计算机。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.3 客户机的配置
11.3.4 加入 Windows 2000 Professional客户机
将一台安装 Windows 2000 Professional的计算机加入域中,采用
下列方法:
① 选择“开始” →,程序” →,管理工具” →, Active
Directory用户及计算机”选项 → 展开窗口左边的“树目录” ?鼠标右
键单击,Computers” 项目,在弹出式菜单的“新建” →, Computers”
选项中,弹出新建计算机名称的对话框。
② 填入后请单击“确定”按钮,此时可以看到新建的计算机。如
果想要查询计算机的数据,可以用鼠标右键单击该计算机快捷菜单中
的“属性”选项。在域控制器中设定完毕后,接着设置 Windows 2000
Professional计算机,用鼠标右键单击桌面上“我的电脑”,在弹出
的快捷菜单中选择“网络标识”标签,本机所属的工作组为,New”,
因此并不属于任何域。现在想要将它加入某一域中,按“网络 ID” 按
钮,弹出“网络标识向导”对话框,按“下一步”按钮。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.3 客户机的配置
③ 弹出连接网络的对话框,以计算机的用途来单击其
连接的方式。由于想将该计算机加入域,因此必须选择
“本机是商业网络的一部分,用它连接到其他工作者的计
算机”选项。
④ 按“下一步”按钮,在弹出“网络标识向导 ?正在
连接网络 ?您使用的是哪种网络”对话框中选择“公司使
用带有域的网络”选项,按“下一步”按钮,此时弹出将
本机加入域时所需数据的对话框。
⑤ 如果所有数据都齐全正确,则按“下一步”按钮,
弹出输入登录的账户、密码以及域的对话框。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.3 客户机的配置
⑥ 按“下一步”按钮,弹出找到计算机账户的信息。
如果输入的数据都正确,但无法找到计算机账户,则请查
DNS的设置。按“确定”按钮,弹出是否新建用户的对话框。
如果选择“新建下列用户”选项,则需要规划用户名称
与密码,而该用户账户的数据会加至 Windows 2000
Professional的本机用户数据中。
⑦ 按“下一步”按钮,弹出规划新建用户对于本机的
访问权限,在此可以规划各种不同等级的使用权限。完成
后只有重新启动计算机,刚才的设置才生效。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.3 客户机的配置
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
用户账户是用来记录用户的用户名和口令、隶属的组、
可以访问的网络资源以及用户的个人文件和设置。每个用户
都必须有一个账户,以便利用该账户来登录到域,并访问网
络上的资源;或利用该账户登录到某台计算机,并且访问该
计算机内的资源。
11.4.1 用户账户的类型
Windows 2000所支持的用户账户有以下两种类型:域用
户账户和本地用户账户。
1.域用户账户
域用户账户建立在域控制器的 Active Directory数据库
内。用户可以利用域用户账户来登录域,并利用它来访问网
络上的资源,例如访问其他计算机的文件、打印机等资源。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
2.本地用户账户
本地用户账户建立在 Windows 2000独立服务器,Windows
2000成员服务器或 Windows 2000 Professional的本地安全数据
库内,而不是域控制器内。用户可以利用本地用户账户来登录
此计算机,但是只能够访问这台计算机内的资源,无法访问网
络上的资源。
本地用户账户只存在于这台计算机内,Windows 2000不会将
其复制到域控制器的活动目录内。
在此建议用户最好不要在 Windows 2000成员服务器或已加入
域的 Windows 2000 Professional内建立本地用户账户,因为无
法访问域上的资源,同时域系统管理员也无法管理这些本地用
户账户。因此,域结构的网络中用户账户最好都建立在域控制
器的活动目录内。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
3.内建用户账户
在安装 Windows 2000时一并安装的用户账户称之为内建用户账户,
通常为 administrator和 guest。
( 1) administrator
该账户为初次安装 Windows 2000 Server系统后的预设系统管理员。
它可对整个域或计算机进行设置,例如:用户账户与组的建立、更改、
删除,建立打印机,设置安全策略,设置用户账户的权限,分配资源
等。该账户可以更名但无法删除,也无法设置为 Disable。因此,为了
安全起见,进入系统后应将 administrator账户更名。
( 2) guest
该账户用来提供给来宾作为临时账户使用。所谓来宾,就是偶尔要
求登录入网的用户。该账户具有一小部分的权限。 Guest账户可以被更
名,但无法删除它,要使用该账户时,首先要设置它为允许( Enable)
使用,默认设置为禁止( Disable)。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
11.4.2 用户账户的创建
必须使用,Active Directory用户和计算机”管理单元来建立
域用户账户。当使用这个管理单元来建立用户账户时,这个账户会
被自动建立在 MMC控制台所找到的第一台域控制器内,以后该账户
会被自动复制到此域内的所有域控制器内。
在每个用户账户添加完成后,活动目录都会为其建立一个惟一
的安全识别码( SID,Security Identifier),Windows 2000系统
利用这个 SID来代表该用户,有关的权限设置等都是通过 SID来设置
的,而不是利用用户的账户名称。
SID不会被重复使用,即使将某个账户删除后,再添加一个相同
名称的账户,它也不会拥有原来该账户的权限,因为它们的 SID不
同,对 Windows 2000系统而言,它们是不同的账户。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
① 依次选择“开始” →,程序” →,管理工具” →, Active
Directory用户和计算机”选项,并从弹出的对话框中双击“域
名( xtvtc.edu.cn)”,然后用鼠标右键单击,wlzx” 组织单
位,再从弹出的快捷菜单中依次选择“新建” →,用户”的命
令。在弹出如图 11.15所示的窗口时,进行如下的设置。
?“姓”与“名”:至少在这两个文本框之一输入信息。
?“姓名”:用户的全名,默认就是前面的姓与名两者的结
合。
?“用户登录名”:这是用户用来登录域所使用的名称。在
活动目录内,这个名称必须是惟一的。
?“用户登录名( Windows 2000以前版本)”:这个名称是
指使用 Windows 2000以前版本的用户。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
② 单击“下一步”按钮,弹出如图 11.16所示的对话框,
其设置如下。
?“密码”与“确认密码”:输入用户账户的密码。为了
避免在输入时被他人看到密码,因此在对话框中的密码只会
以星号( *)显示。需要再次输入密码来确认所输入的密码是
否正确。密码最多 128个字符,密码的大小写是有区别的。
?“用户下次登录时需更改密码”:强迫用户在下次登录
时必须更改密码。该项设置可以确保只有该用户知道该密码。
?“用户不能更改密码”:它可防止用户更改密码,如果
多人共享一个账户时(例如 guest),则选择此复选框,避免
发生被某个人更改密码后,造成其他人都无法登录的情况。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
图 11.15,新建用户, 对话框 图 11.16,设置密码, 对话框
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
一般用户若要自己更改账户密码,可以通过按
Alt+Ctrl+Del键的方式来设置。
?“密码永不过期”:若选择此复选框,则系统永远不
会要求该用户更改密码,即使在“账户策略”的“密码最
长存留期”中设置了所有用户必须定期更改密码,系统也
不会要求这个用户更改密码。若同时选择了“用户下次登
录时需更改密码”与“密码永不过期”复选框,则以“密
码永不过期”作为设置。
?“账户已停用”:禁止用户利用此账户登录。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
③ 单击“下一步”按钮后,提示用户账户的信息,最
后单击“完成”按钮,完成用户账户的创建。
所有新创建的域用户账户,可以在网络上从成员服务器
或 Windows 2000 Professional计算机登录,却无法直接
在域控制器登录,除非被赋予“本地登录”的权力。
11.4.3 域用户账户的属性设置
每个域用户都有一些相关的属性可供设置,例如,某地
址、电话、传真、电子邮件、账户有效期限等。将用户的
这些信息输入完毕后,就可以通过这些信息来查找活动目
录内的用户。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
要设置用户账户的属性时,依次选择“选择该用户” →,单击鼠
标右键” →,属性”选项,打开如图 11.17所示的对话框。
1.用户个人信息的设置
所谓“用户个人信息”,就是指姓名、地址、电话、传真、移动
电话、公司、部门、职称、电子邮件,Web页等,如图 11.18所示。
? 常规:用来设置姓、名、显示名称、描述、办公室、电话号码、
电子邮件和 Web页等信息。
? 地址:用来设置国家(地区)、省/自治区、县市、街道、邮
箱和邮政编码等信息。
? 电话:用来设置家庭电话、寻呼机、移动电话、传真,IP电话
等信息。
? 单位:用来设置职务、部门、公司、经理和直接下属等信息。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
图 11.17,属性, 对话框 图 11.18,账户, 选项卡
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
2.账户信息的设置
选择“账户”选项卡,如图 11.18所示。在这里介绍用
户账户的“登录时间”、“登录到”以及“账户过期”等
设置。
( 1)账户过期
设置账户的有效期限,默认为账户永不过期,也可以选
择“在这以后”单选框,并确定账户过期的时间。
( 2)登录时间的设置
“登录时间”用来设置允许用户登录到域的时段,默认
是用户可以在任何时段登录域。设置时,单击图 11.18中
“登录时间”按钮,弹出如图 11.19所示的对话框。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
图 11.19,登录时段”对话框
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
在图 11.19中,每一方块代表 1小时,纵轴每一方块代表 1天,填充
的方法表示允许此用户登录的时段,空格方块代表该时段不允许此用
户登录。
选择要设置的时段,若单击“允许登录”单选按钮,表示允许用户
在该时段内登录;若单击“拒绝登录”单选按钮,表示在所选的时段
内,不允许用户登录。
当用户在允许使用的时段内登录连接,并且一直连接到超过允许使
用的时段时,可能出现下面两种情况:
? 用户可以继续访问已经连接的资源,但是不允许再进行任何新
的连接,而且用户注销后,就无法再次登录。
? 强迫中断用户的连接。
至于发生哪一种情况,根据在“组策略” →,计算机配
置” →, Windows设置” →,安全设置” →,本地策略” →,安全选
项” →,当登录时间用完时自动注销用户”的设置而定。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
( 3)限制用户只能够从某些工作站登录
“登录到”用来设置允许用户登录到域的计算机,系统
默认为用户可从任何一台计算机登录域,也可以限制用户
只能从某些计算机登录域。
设置时单击图 11.18中的“登录到”按钮,弹出如图
11.20所示的对话框。若要限制用户只能够从某台计算机登
录,则选择“下列计算机”单选框,并在“计算机名”处
输入此计算机的名称后单击“添加”按钮,最后单击“确
定”按钮完成设置。
( 4)配置文件
单击图 11.17中“配置文件”标签,弹出如图 11.21所示
的对话框。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
图 11.20,设置允许登录, 对话框 图 11.21,配置文件, 对话框
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
配置文件的意义在于记录用户登录系统后的工作环境,例如,
网络打印机与网络磁盘的连接设置,控制器中彩色、鼠标、桌面以
及键盘的设置,命令提示符窗口中的设置等。这样才能确保用户在
登录后可以使用相同的环境而不会因为某些用户的更改而影响所有
的设置。
在 Windows 2000 Server中的配置文件可分为“本地配置文件”
与“服务器配置文件”两种,说明如下。
? 本地配置文件:适用于多人共用一台计算机的情况,因为该
类型的配置文件并不适用于其他的计算机。当设置了工作环境后,
如果有离开或注销的动作,则系统会自动更新本地配置文件。
? 服务器配置文件:当用户用不同的计算机登录服务器,多个
用户想共用一个配置文件,或者管理员想定义配置文件以限制用户
的行为时,都可以使用该类型的配置文件。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
11.4.4 管理域用户账户
依次选择“开始” →,程
序” →,管理工
具” →, Active Directory
用户和计算机”选项,打开
,Active Directory用户和
计算机”对话框,选定用户
账户并用鼠标右键单击,打
开如图 11.22所示的快捷菜单,
然后选择相应的命令来管理
域用户账户。 图 11.22,管理与用户账户”对话框
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
① 复制:可以复制具有相同属性的账户,简化管理员的工作。
② 停用账户/启用账户:若账户在某一时间内不使用,则可以将
其停用,待需要使用时,再将其重新启用即可。在图 11.22中看到的是
“停用账户”的命令,如果该账户已被停用,则此处的命令会变为
“启用账户”。
③ 重命名:可以将该账户改名,由于其安全识别码( SID)并没有
改变,因此其账户的属性、权限设置与组关系都不会受到影响。
④ 删除账户:可以将不再使用的账户删除,以免占用活动目录的
空间。
⑤ 重设密码:当用户忘记密码或密码使用期限到期时,可以利用
此命令重新替用户设置一个新的密码。
⑥ 解除被锁定的用户:在账户策略内可以设置用户输入密码失败
多次时将该账户锁定。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
11.4.5 建立本地用户账户
建议只在未加入域的计算机内建立本地用户账户,而不要在
Windows2000成员服务器或已加入域的 Windows 2000
Professional内建立本地用户账户。因为无法通过域内其他任
何一台计算机来访问这些账户,设置这些账户的权限,因此这
些账户无法访问域上的资源,同时域系统管理员也无法管理这
些本地用户账户。因此,要访问域资源的用户账户,应该建立
在域控制器的活动目录内。
建立本地账户可以依次选择“开始” →,设置” →,控制面
板” →,管理工具” →,计算机管理” →,系统管理” →,本
地用户和组” →,用户”,然后单击鼠标右键,并从弹出的快
捷菜单中选择“新用户”命令来完成,其属性的设置类似于域
用户账户的设置。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
11.4.6 一次新建大量用户
在 Windows 2000 Resource Kit中附有 Addusers.exe与
usrtogrp.exe程序,在“命令提示符”下以类似批处理的方式来一次
新建大量的用户账户。
1,Addusers.exe命令
Addusers.exe的语法结构为,Addusers
[\\computername]{/c[/p:{1|c|e|d}]|/d|/e} filename [/s:x][/?]。
其中,
\\computername:预加入账户的计算机名称,如未指定,则为本地
计算机。
/c:由 filename文件指定建立用户、本地域组或全局组。
/p:在该自变量后的 4个参数 1,c,e以及 d组合设置账户的选项。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
? 1:用户需在下次登录时变更密码。
? c:用户无法变更密码。
? e:密码永久有效。
? d:账户已停用。
/d:将整个用户账户、本地域组、全局组写至 filename
文件之中,但是不会将用户密码或有关安全的数据一并写
出。
/e:将 filename中所指定的用户账户予以删除,但无法
删除内建用户账户。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
filename:用来当做输入/输出的文件名称,而其输入的格式如下。
? [user]用户名称,全名,密码,描述,主磁盘机,主文件夹,
配置文件,指定文件。
? [Global]全局组名称,描述,用户 1,用户 2??
? [Local]本地域组名称,描述,用户 1,用户 2??
/s,x:规划文件中的分隔符号,若未指定,则为“,”。
/?:显示 Addusers.exe的语法结构。
2,usrtogrp.exe
usrtogrp.exe的语法结构,usrtogrp filename。其中 filename为
将用户加入组对应的文本文件,其格式如下:
Domain:域名
GlobalGroup|LocalGroup:组名称
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.5 组的管理
11.5.1 组的类型
Windows 2000 Server所支持的组分为以下两种类型:
安全式组和分布式组。
? 安全式组:安全式组可以用来设置权限,简化网络的
维护和管理。例如,可以设置某个安全组对某个文件具备
“读取”的权限。安全式组也可以用在与安全无关的任务
上,例如,将电子邮件发送给某个安全式组。
? 分布式组:分布式组只能用在与安全(权限的设置等)
无关的任务上,例如,可以将电子邮件发送给某个分布式
组。分布式组不能进行权限设置。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.5 组的管理
11.5.2 组的作用域
每个安全式组和分布式组均具有作用域,在 Windows 2000 Server
域内,有 3类不同的作用域:全局组、本地组和通用组。
1.全局组
全局组主要用来组织用户,可以将多个权限相似的用户账户加入到
同一全局组内。全局组的特点如下:
① 全局组内的成员,只能够包含该组所属的域内的用户账户与全
局组。也就是说,只能够将同一域内的用户账户与其他全局组加入到
全局组内。
② 全局组可以访问任何一个域内的资源,也就是说,可以在任何
一个域内设置某个全局组的使用权限,以便让此全局组具备权限来访
问该域内的资源。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.5 组的管理
2.本地域组
本地域组主要用来指派其在所属域内的访问权限,以便
可以访问该域内的资源。本地域的特点如下:
① 本地域组内的成员,能够包含任何一个域内的用户
账户、通用组、全局组,它也能够包含同一域内的本地域
组,但是无法包含其他域内的本地域组。
② 本地域组只能够访问同一域内的资源,无法访问其
他域内的资源。换句话说,在设置本地域组的权限时,只
可以设置同一域内的资源的权限,但是无法设置其他域内
的资源的权限。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.5 组的管理
3.通用组
通用组主要用来指派在所属域内的访问权限,以便可以
访问每一域内的资源。通用组的特点如下:
① 通用组内的成员,能够包含任何一个域内的用户账
户、通用组、全局组,但是它无法包含任何一个域内的本
地域组。
② 通用组可以访问任何一个域内的资源,也就是说,
可以在一个域内设置通用组的权限,以便让此通用组具备
权限来访问该域内的资源。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.5 组的管理
11.5.3 Windows 2000 Server的内建用户组
在安装完 Windows 2000 Server后,系统会建立一些用户组。通常
这些组为区分系统管理工作的权限所设立,不同的组有不同的资源存
取权限。在 Windows 2000 Server中拥有多种类别的内建组。
1.本地域组( Domain Local Group)
? Account Operators(账户操作员):
? Administrator
? Backup Operators
? Guests
? Pinter Operators
? Replicator
? Server Operator
? Users
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.5 组的管理
2.全局组( Global Group)
? Domain Admins
? Domain Guests
? Domain Users
? Enterprise Admins
3.本地组( Local Group)
? Administrators
? Backup Operators
? Guests
? Power users
? Replicator
? Users
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.5 组的管理
4.系统组( System Group)
? Everyone
? Authenticated Users
? Interactive
? Network
? Anonymous Logon。
? Dialup
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.5 组的管理
11.5.4 域组的管理
可以依次选择“开始” →,程序” →,管理工
具” →, Active Directory用户和计算机”选项,打开
,Active Directory用户和计算机”对话框,来添加、删
除与管理域组。
1.域组的添加、删除与更名
添加域组的步骤如下:
① 在,Active Directory用户和计算机”对话框选择
域名或某个组织单位,单击鼠标右键,从弹出的快捷菜单
中依次选择“新建对象” →,组”命令,打开如图 11.23所
示的对话框。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.5 组的管理
② 在“组名”文本框中输入域
组的名称,在“组名( Windows
2000以前版本)”文本框中输入供
旧操作系统访问的组名。
③ 在“组作用域”复选框中选
择组的使用领域:“本地域”、
“全局”或“通用”。
④ 在“组类型”复选框中选择
组的类型:“安全式”或“分布
式”。
⑤ 单击“确定”按钮,完成域
组的建立。图 11.23,新建对象 ?组, 对话框
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.5 组的管理
2.添加于组的成员
要将用户账户和组加入到域组中,可以在,Active
Directory用户和计算机”对话框中双击域名或某组织单
位,并在所选的域组上单击鼠标右键,并从弹出的快捷菜
单中选择“属性” →,成员” →,添加”命令,选定要被
加入的成员,例如用户账户或组等,然后单击“添加”按
钮,最后单击“确定”按钮,完成设置。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.5 组的管理
11.5.5 本地组的建立
本地组是建立在 Windows 2000 Professional,Windows
2000 Server独立服务器或成员服务器的本地安全数据库内,而
不是域控制器内。本地组只能访问此组所在计算机内的资源,
无法访问网络上的资源。
建议只在未加入域的计算机内建立本地账户,而不要在加入
域的计算机内建立本地组账户,因为无法通过域内其他任何一
台计算机来访问这些账户,设置这些账户的权限,因此这些账
户无法访问域上的资源,同时域系统管理员也无法管理这些本
地组账户。
本地组内的成员可以是所属域内或所信任域内的用户账户、
全局组、通用组以及本地用户账户。
建立本地账户方法和建立域组的方法类似。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.6 NTFS权限
11.6.1 NTFS权限的基本概念
NTFS文件系统则具备完善的文件系统资源访问控制的功能,在
网络上可以进行文件夹级的保护。在本地既可以对文件夹级进行保
护,也可以进行文件级的保护。
对于一个网络管理员,在规划网络环境时的重要任务就是规划
网络资源的应用环境,设置网络资源的访问权限。设置文件及文件
夹的 NTFS权限是建立网络应用环境的基础工作。首先应建立若干本
地域组,然后设置不同的本地域组对文件资源的相应权限。在建立
若干全局组时,把全局组或某些个别用户账户加入到本地域组以获
得相应的资源。
文件系统的权限具有继承性,即文件继承文件夹的权限,子文
件夹继承文件夹的权限。这种继承性可以通过设置进行屏蔽。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.6 NTFS权限
11.6.2 NTFS权限的类型
NTFS权限包括文件夹的权限和文件的权限。在文件夹与文件的权
限中,越靠后的权限类型权限越大。一般后面的类型其权限包含前面
类型的权限。另外,一般来说,文件的权限优先于文件夹的权限。
1.文件夹权限类型
? 完全控制:用户拥有所有 NTFS文件夹的权限,可以修改权限和
取得文件夹的所有权。
? 修改:用户可以在该文件夹下加入子文件夹、更改名称、删除
文件夹并具有“写入”、“读取及执行”权限。
? 读取及执行:此权限与“列出文件夹目录”的权限基本相同,
惟一不同之处是权限的继承性。“列出文件夹目录”的权限只是由文
件夹继承,而“读取及执行”可以由文件夹与文件同时继承。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.6 NTFS权限
? 列出文件夹目录:可以显示文件夹与其子文件夹中的内
容,但不具有在该文件夹内建立子文件夹的权力,又称遍历。
? 读取:用户可显示文件夹中的文件及子文件夹,显示文
件夹的属性、权限分配的情况和文件夹的所有者。
? 写入:用户可在文件夹中建立子文件夹和文件,改变文
件夹的属性;显示文件夹的所有者和权限分配情况。
2.文件权限类型
? 完全控制:用户拥有所有 NTFS的权限,可以修改权限和
取得文件的所有权。
? 修改:用户可以更改文件内的数据、删除文件、重命名
文件,同时拥有“写入”和“读取及执行”的权限。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.6 NTFS权限
? 读取及执行:拥有读取文件的权限并具有运行应用程
序的权限。
? 读取:用户可显示文件内容,显示文件属性、所有者
和权限分配情况。
? 写入:用户可以将文件覆盖、改变文件的属性、查看
文件的所有者和权限等。拥有此权限只能将整个文件覆盖
掉,但不能改写文件内的数据。
11.6.3 NTFS权限设置
在,Windows资源管理器”或“我的电脑”中对文件及
文件夹进行 NTFS权限设置,包括属性设置、权限设置、继
承权设置、特殊权限设置以及所有权变更等。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.6 NTFS权限
1.属性设置
在“我的电脑”中选择一个文件夹,单击鼠标右键选择“属性”命
令,弹出如图 11.24所示对话框。在“常规”标签下,可以了解这个文
件夹的一般情况,包括位置、大小、包含文件数量等信息。选中“只
读”或“隐藏”复选框,可以对属性进行设置。一般来说属性优先于
权限,也就是说对文件夹的访问是属性和权限相结合的结果。若某用
户具有写入权,但该文件夹具有只读属性,那么该用户不能完成写入
的操作。
? 只读:文件夹只能读文件夹中的子文件夹与文件。
? 隐藏:文件夹不显示。
单击“高级”按钮,弹出如图 11.25所示对话框,此时可以对文件
进行加密、压缩等高级文件属性的设置。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.6 NTFS权限
图 11.24,文件夹属性, 对话框 图 11.25,文件夹高级属性, 对话框
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.6 NTFS权限
2.权限设置
单击图 11.24文件夹属性对话框中的“安全”标签,弹
出如图 11.26所示对话框。此对话框用于权限设置,上面的
列表框显示了对该文件夹具有访问权的对象。选中一个对
象,下面的列表框显示该对象所具有的权限。在复选框中,
选中“允许”复选框表示具有该项权限,否则表示不具有
该项权限。当同时选中“允许”和“拒绝”复选框时,
“拒绝”权限优先于“允许”权限。
单击“添加”按钮,选择组或用户,用来添加一个组或
用户,结果回到如图 11.27所示的对话框,并对新添加的对
象进行权限的设置。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.6 NTFS权限
图 11.26,安全属性, 对话框 图 11.27 新对象设置权限
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.6 NTFS权限
3.继承权设置
在如图 11.24所示对话框中,单击“高级”按钮,弹出
如图 11.28所示对话框。该对话框中复选框“允许将来自父
系的可继承权限传播给该对象”或“重置所有子对象的权
限并允许传播可继承权限”可以对继承权进行屏蔽。默认
时前一个复选框被选中,表示选中的对象继承父系的权限。
此时“允许”选项是灰颜色的,不可操作。若去掉复选框
中的,?”号,则对父系的继承权被屏蔽掉,此时弹出如
图 11.29所示对话框。
若选择“复制”,则权限不变并继承父系权限,但此时
“允许”选项变得可操作。若选择“删除”,则父系的权
限被屏蔽掉,需重新设置该对象的权限。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.6 NTFS权限
图 11.28 高级安全设置
图 11.29 继承权限
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.6 NTFS权限
4.特殊权限设置
上述的权限称标准权
限,一般来说通过标准
权限的设置就可以满足
需要了。特殊权限设置
可以使设置进一步细化。
在“权限”标签中选中
一个对象后,单击“编
辑”按钮,弹出如图
11.30所示对话框,可以
对该对象进行细化的权
限设置。
图 11.30 特殊权限设置
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.6 NTFS权限
5.所有权设置
文件夹的建立自然对其拥有所有权。文件夹的所有权可以转让,
把所有权交给别的用户。但所有权不是由该用户主动交出的,而是
由别的用户掳夺过去的,掳夺了所有权以后,这个用户就成为这个
文件夹的拥有者。一个用户能够掳夺所有权必须具有对该文件夹的
完全控制权限。由于 Administrator用户可以对任何资源都具有完
全控制的权限,所以 Administrator用户可以随时获得对文件夹的
所有权。
在图 11.28中单击“所有者”标签,如图 11.31所示,列表框
“目前该项目的所有者”中列出了文件夹的所有者。下面的列表框
列出可以掳夺所有权的对象,选中一个对象后,就掳夺了文件夹的
所有权。这使原来具有所有权的用户对该文件夹已不再拥有所有权,
但别的权限并不改变。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.6 NTFS权限
图 11.31 所有权设置
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.6 NTFS权限
11.6.4 有效权限
在 NTFS权限设置中,一个用户的有效权限是累加的。当
一个用户属于不同的组时,所具有的最终权限是在不同组
中的权限累加的结果。例如一个用户在组 A中对某文件具有
“读取”权限,在组 B中对同一文件具有“写入”权限,则
这个用户对这个文件的有效权限为读取和写入。由于“拒
绝”权优先于“允许”权,所以,如果一个用户在某一组
中对一个文件具有“读取”或“写入”权限,但用户又在
另一个组中,这个组对该文件具有一项拒绝“写入”权,
那么这个用户就不具备“写入”的权限。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.6 NTFS权限
11.6.5 复制和移动后的权限
文件与文件夹如果被复制或移动后,原来的权限将可能
发生变化,这与复制或移动操作以及源与目标等有关。
1.复制文件
复制文件时相当于产生一个新的文件,复制文件后,新
文件的权限继承目标的权限。
2.移动文件
移动文件分两种情况。如果在一个分区的不同文件夹之
间移动文件并不产生新文件,所以目标文件权限不变,源
文件被删除。如果在不同的分区之间移动文件,则相当于
产生新的文件,这时新文件将继承目标文件夹的权限。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.7 共享文件夹
11.7.1 文件共享
在局域网上用户获得文件资源普遍使用且快速、方便的方法是
采用文件共享的方法:作为服务器的计算机可以把共享文件夹设置
为共享,作为客户机的用户可以通过网上邻居访问共享文件夹而获
得网上的文件资源。对等网,Windows 9x,Windows XP,Windows
2000/2003 Server都采用这种技术。共享文件夹是在网络上发布文
件资源以及客户从网络上获得文件资源的便捷途径,在局域网上得
到了广泛应用。
共享文件夹只能对文件夹进行文件资源的访问限制,而不能对
文件进行网络访问的限制。对于 NTFS系统,本地用户可以通过 NTFS
权限进行文件资源访问的限制,可以配合使用。对于 FAT系统,这
是惟一的对文件资源进行限制的方法。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.7 共享文件夹
1.有效权限
共享文件夹权限设置与 NTFS权限设置具有一定的关系。
在 NTFS分区上的文件夹既可以设置用户的共享文件夹的权
限,也可以设置 NTFS权限。在设置共享文件夹的权限时,
如果一个用户属于多个不同的组,这些组对文件夹又具有
不同的共享文件夹权限,这时用户有效权限也是累加的。
这个权限还不是最终的权限,最终的权限还要决定于用户
的 NTFS权限。系统规定,一个用户最终有效权限是在共享
文件夹的权限和 NTFS权限中最严格的权限。例如,如果一
个用户对某个文件夹的有效权限是“读取”和“写入”,
NTFS权限是“读取”,则用户对文件夹的最终有效权限是
“读取”。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.7 共享文件夹
2.复制和移动后的共享权限
一个文件夹设置了共享权限后,如果这个文件夹进行了
复制或移动等操作后,相应的共享权限可能要发生变动。
如果把共享文件夹复制到其他文件夹或其他磁盘分区内,
则复制后的新文件夹将不再被共享,原来的文件夹的共享
性不受影响。
如果把共享文件夹移动到其他文件夹或其他磁盘分区内,
这个文件夹将不再被共享。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.7 共享文件夹
3.共享文件夹的权限类型
共享文件夹的权限类型包括以下几种。
? 读取:可以查看文件夹内的文件名称、子文件夹名称,
查看文件内的数据,运行程序,遍历文件夹等。
? 修改:除上述权限外,还可以向共享文件夹添加文件、
子文件夹,修改文件夹内的数据。
? 完全控制:除上述权限外,还可以删除文件与子文件
夹。对于 NTFS分区的文件及子文件夹,还可以修改权限和
取得所有权。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.7 共享文件夹
11.7.2 设置共享文件夹
在对等网上,每台计算机都可以向网络发布文件资源。
在 Windows 2000 Server计算机中,Administrators组和
Power User组的成员可以设置共享文件夹。在域控制中,
Server Operators组的成员也可以设置共享文件夹。
可以从很多地方来新建文件夹共享,例如:“我的电
脑”、“资源管理器”或是“计算机管理”等都可以。在
此以资源管理器为例介绍,执行“开始” →,程
序” →,附件” →, Windows资源管理器”选项,在弹出
的资源管理器窗口中用鼠标右键单击一个文件夹,在快捷
菜单中选择“共享”命令或“属性 → 共享”标签,弹出如
图 11.32所示的建立共享文件夹的对话框。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.7 共享文件夹
选中“共享该文件夹”选项,然后规划“共享名称”
(预设名称为文件夹名称)。共享名称是网络上其他用户
对此文件夹的辨识,因此可以取一个较易辨别的名称。
“用户限制数”用于规定访问该文件夹的用户数。如果
选择“最多用户”,则访问共享文件夹的用户数不受限制。
若选择“允许 ?? 个用户”,则可以选择一个允许访问共
享文件夹的用户数。“缓存”按钮用于脱机访问该文件夹。
如果想要设置连接者对于共享文件夹的存取权限,则单
击“权限”按钮,弹出如图 11.33所示的对话框。当按下
“确定”按钮之后便完成了新建共享文件夹的设置,完成
后可以看到“手”的图示,以表示该共享文件夹被共享。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.7 共享文件夹
图 11.32 单击共享文件夹对话框 图 11.33 共享文件夹存取权限对话框
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.7 共享文件夹
在将一个文件夹设置为共享时,如果在共享名后加一个
,$” 符号,则表示这个文件夹设置共享后文件名不可见,
只有知道文件夹名的用户才可以访问。
设置完成后单击“应用”按钮,这时会在“缓存”按钮
下出现一个“新建共享”按钮,如图 11.34所示。“新建共
享”按钮用于给一个已设置共享的文件夹设置另外的共享
名,还可以设置另外的权限。单击“新建共享”按钮后弹
出如图 11.35所示对话框,设置共享名、用户数限制以及权
限。此时用不同的共享名访问的是同一个共享文件夹,不
同的共享名可以供具有不同权限的用户使用。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.7 共享文件夹
图 11.34 新建共享对话框 图 11.35 新共享名对话框
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.7 共享文件夹
11.7.3 停用共享文件夹
当不再想要把文件夹继续共享给网络上的用户时,可以
停止该文件夹的共享。想要停用共享文件夹,同样可以由
“我的电脑”、“资源管理器”或“计算机管理”来完成。
在如图 11.34的对话框中,勾选“不共享该文件夹”即可。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.7 共享文件夹
11.7.4 访问共享文件夹
访问共享文件夹可以通过 3种方法:通过网上邻居访问、通过映射
驱动器访问和通过活动目录访问。
1.通过网上邻居访问
双击“网上邻居”,可以找到要访问的计算机,再双击要访问的计
算机,可以看到这台计算机共享的文件夹,从而实现对文件资源的访
问。如果具备访问权限,一般都可以看到要访问的共享文件夹,再进
一步就可以进入文件夹内进行访问。
2.通过映射驱动器访问
把一个共享文件夹映射成本地客户机上的网络驱动器,这个网络驱
动器也有与本地驱动器类似的驱动器名。映射成功后,在客户机“我
的电脑”上可以看到一个驱动器图标。
映射网络驱动器可以在“网上邻居”和“我的电脑”窗口的“工具”
菜单中映射网络驱动器命令。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.7 共享文件夹
11.7.5 发布共享的文件夹
在 Windows 2000 Server的 Active Directory中,可以直接
寻找共享文件夹的信息,只要将共享文件夹的信息发布到
Active Directory上即可。
① 单击“开始 → 程序 → 管理工具 → Active Directory用户和
计算机”选项。
② 展开“树形目录”,用鼠标右键单击“服务器名称”弹出
式菜单中的“新建” →,共享文件夹”选项。弹出如图 11.36所
示的“新建对象 -Shared Folder” 对话框。
③ 按“确定”按钮,此时可以在,Active Directory用户和
计算机”工具中看到上述新建的“计算机网络技术实用教程”
数据,如图 11.37所示。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.7 共享文件夹
图 11.36 新建对象对话框 图 11.37 共享文件夹发布的对话框
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.7 共享文件夹
11.7.6 共享文件夹的监控
在 Windows 2000 Server中具有 Administrator与 Server
Operators身份的用户可以监控域中网络资源的存取。单
击“开始” →,程序” →,管理工具” →, Active
Directory用户和计算机”,展开“系统工具”项目,展
开“共享文件夹”,单击“共享”项目来查看有多少个用
户连接至哪些共享文件夹。
在图 11.38中的,#客户重定向”栏下,可以看出与共享
文件夹进行远程连接的用户端数据,如果想要确切知道哪
些文件被打开,则单击图 11.38窗口中左方树形目录下的
“打开文件”项目。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.7 共享文件夹
图 11.38 监视共享文件夹对话框
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.7 共享文件夹
如果想中断某一用户打开文件,则单击该文件然后单击
主菜单的“操作” →,关闭打开的文件”选项;如果想要
关闭所有用户所打开的文件,则单击树形目录下“打开文
件”,然后单击主菜单的“操作” →,中断全部打开文件”
选项,但此强制中断连接可能会造成客户端的数据流失,
请确定后再实行。单击“共享文件夹” →,会话”项目,
此时弹出计算机的用户清单。
如果想中断某一用户,则单击该用户,然后单击主菜单
的“执行” →,关闭会话”选项;如果想关闭所有用户的
连接,则单击主菜单的“执行” →,关闭全部的会话连接”
选项。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.8 技能训练
11.8.1 技能训练 1:安装 Windows 2000 Server和
Active Directory
在一台计算机上安装 Windows 2000 Server和 Active
Directory。
11.8.2 技能训练 2:用户账户和组账户管理
11.8.3 技能训练 3,NTFS权限的设置
11.8.4 技能训练 4:共享文件夹的设置
11.8.5 技能训练 5:共享权限与 NTFS权限的联合操作
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
习 题
1.什么是域?
2.在域模型中服务器类型有几种?
3.在 Windows 2000 Server中有几种域模型?
4.什么是活动目录?使用活动目录有哪些优点?
5.在 Windows 2000 Server域内,有哪几类用户账户?
6.如何一次新建大量用户账户?
7.在 Windows 2000 Server域内,有哪几类组?
8.在 Windows 2000 Server域中有哪些内建组?
9.文件夹的 NTFS权限有哪些?
10.文件的 NTFS权限有哪些?
11.共享文件夹的权限有几种类型?
第 11章 Windows 2000 Server操作系统
本章基本要求:
? Windows 2000 Server的安装
? 活动目录的安装
? 用户账户与组账户的管理
? NTFS权限的设置
? 共享文件夹的管理
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
第 11章 Windows 2000 Server操作系统
11.1 Windows 2000 Server操作系统的安装
11.2 活动目录
11.3 客户机的配置
11.4 用户账号管理
11.5 组的管理
11.6 NTFS权限
11.7 共享文件夹
11.8 技能训练
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.1 Windows 2000 Server操作系统的安装
11.1.1 Windows 2000 Server简介
Windows 2000原名为 Windows NT 5.0。 Windows 2000包括 4
个版本。
1,Windows 2000 Professional
Windows 2000 Professional是为各种桌面计算机和便携机
开发的新一代操作系统。
2,Windows 2000 Server
Windows 2000 Server是为服务器开发的多用途操作系统,可
为部门工作组或中小型企业、公司用户提供文件、打印、应用
软件,Web和通信等各种服务,是一个性能更好、工作更加稳定、
更容易管理的网络操作系统平台。它最多支持 4个 CPU与 4 GB的
内存。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.1 Windows 2000 Server操作系统的安装
3,Windows 2000 Advance Server
Windows 2000 Advance Server除了具备 Windows 2000
Server的所有功能和特征外,还有一些专为大型的企业级
服务器所设计的特性,如集群、加载平衡和对称多处理器
支持等,特别适合于公司内部有重要数据库的网络。它最
多能支持 8个 CPU和 8 GB的内存。
4,Windows 2000 Data Center Server
Windows 2000 Data Center Server除了具备 Windows
2000 Advance Server的所有功能和特征外,还特别在处
理大量数据的功能上进行了最优化处理,因此适合于处理
大量数据的服务器使用。它最多能支持 32个 CPU和 64 GB的
内存。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.1 Windows 2000 Server操作系统的安装
11.1.2 规划管理
对网络的规划管理主要包括
1.命名
为了标识网络上的计算机和打印机,需要分别为它们起一个惟一的
名字
2.账户
网络上的每一个用户都必须有自己的账户,这个账户赋予用户一定
的权力。
3.安全性
实施安全性的重要措施之一是要求用户在每次登录到服务器时都必
须对用户名、用户口令进行双重验证,这样在网络规划时必须为网络
制定一个合理的账户安全策略,包括口令的惟一性、口令的使用期限、
口令的长短以及在账户被锁住之前允许错误登录的次数等。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.1 Windows 2000 Server操作系统的安装
4.规划许可协议
在 Windows 2000 Server中访问网络需要符合合法的许可协议,
Windows 2000 Server中有两种许可协议可供选择:“每客户”
和“每服务器”。
( 1)每服务器协议方式
每服务器协议方式( Per Server License),又称并发客户
服务器,是将一个客户许可证授予一个特定的服务器。每一个
Per Server的许可证,允许有一个到 Server上的并发连接去访
问该服务器上的网络资源,如文件、打印机、应用程序等。选
择“每服务器”方式时,必须将同时允许的连接( Connection)
数输入到本服务器。
( 2)每客户协议方式( Per Seat License)
每客户协议方式( Per Seat License)是将一个客户访问许
可证授予一个特定的工作站。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.1 Windows 2000 Server操作系统的安装
如果有多个服务器,并且所有服务器上的客户访问许可
证总数大于或等于网络上的计算机总数,则选择“每客
户”。对于所有其他的环境,请选择“每服务器”。由于
可以合法地免费进行一次从“每服务器”到“每客户”的
更改,所以,如果无法确定所使用的模式,则选择“每服
务器”方式。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.1 Windows 2000 Server操作系统的安装
5.选择网络协议
协议是能在计算机之间交换信息的软件。 Windows 2000
Server支持以下网络协议供用户选择。
( 1) TCP/IP协议:这套网络协议是通过互联网进行通信的。
在连入 Internet时必须选用 TCP/IP协议。默认情况下,只安装
TCP/IP协议。
( 2) NWLink IPX/SPX兼容传输协议:如果计算机连接到
NetWare网络,或要与 NetWare网络进行通信,则选择此选项。
( 3) NetBEUI协议,NetBEUI是非路由选择的基于广播的协议。
( 4) AppleTalk协议,AppleTalk是基于 Macintosh的协议,
它主要以点对点的方式运行,并且支持其他平台的能力相当有
限。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.1 Windows 2000 Server操作系统的安装
6.选择文件系统
Windows 2000 Server支持以下文件系统
( 1) NTFS
NTFS是一种磁盘分区格式,提供优于 FAT的文件系统。其他操作系
统不能访问 NTFS。 NTFS文件系统全面支持大硬盘,卷的尺寸为 10
MB?2 TB。文件最大尺寸仅受限于卷的大小,也就是说,一个文件可跨
越物理硬盘存储。
NTFS具有以下功能:设置文件和目录的访问权限;事务跟踪和恢复;
创建大的卷( Volume);支持长文件名,最多能够允许使用 256字符的
文件名。
在 Windows 2000 Server所支持的 3种文件系统中,只有 NTFS提供了
对文件的真正意义上的安全性管理。在 NTFS分区上,可提供对文件及
文件夹的访问权限设置管理和共享管理,而在其他分区,只提供对文
件及文件夹的共享管理。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.1 Windows 2000 Server操作系统的安装
( 2) FAT
Windows 9x,MS-DOS,OS/2使用 FAT文件系统。如果需
要由 Windows 2000和 MS-DOS或 Windows 9x双重引导,则需
选用 FAT文件系统。
( 3) FAT32
FAT32文件系统适用于较大的硬盘,卷尺寸为 512 MB?2
TB(在 Windows 2000中最大可以将 FAT32分区格式化到 32
GB),最大文件尺寸为 4 GB。该文件系统下的本地文件可
以由 Windows 9x和 Windows 2000访问。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.1 Windows 2000 Server操作系统的安装
11.1.3 Windows 2000 Server的安装
Windows 2000 Server可以用两种方法安装:光盘或网络。在本书
中简要介绍光盘安装 Windows 2000 Server。用网络安装时网络必须工
作正常。
Windows 2000 Server提供了两种方法的安装程序:升级到 Windows
2000和安装新的 Windows 2000。选择升级到 Windows 2000会替换当前
的操作系统,但不会改变现有设置和已安装的程序。选择安装新的
Windows 2000要进行全新的安装,必须指定新的设置并重新安装现有
软件。这时计算机上可以有数个操作系统。
Windows 2000 Server提供两个可执行的安装文件,Winnt.exe和
Winnt32.exe。
? Winnt.exe:在 MS-DOS或 Windows 3x环境中安装。
? Winnt32.exe:在 Windows 9x/NTdt 32位操作系统中安装。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.1 Windows 2000 Server操作系统的安装
1.开始安装
① 将计算机的 BIOS设置为从 CD-ROM启动。
② 将 Windows 2000 Server CD-ROM放入光驱中,启动计算
机。启动时,计算机会提示要求你必须在指定的时间内,按任
意键后才能从 CD-ROM启动。
③ 屏幕上出现,Setup is inspecting your computer’s
hardware configuration?” 信息时,表示安装程序正在检测
计算机内的硬件设备,例如 COM端口、键盘、鼠标、软驱等。
④ 当出现,Windows 2000 Setup” 的提示时,会将 Windows
2000核心程序、安装时所需的文件等信息加载到计算机的内存
中,然后检测计算机的大容量存储设备。所谓的大容量存储设
备,就是指光驱,SCSI接口或 IDE接口的硬盘等。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.1 Windows 2000 Server操作系统的安装
⑤ 当出现“欢迎使用安装程序”的对话框时,有以下 3
个选项:
? 要开始安装 Windows 2000,按 Enter键;
? 要修复 Windows 2000中文版的安装,按 R键;
? 要停止安装 Windows 2000,并退出安装程序,按 F3键。
在这里,按 Enter键,继续安装。
⑥ 当出现,Windows 2000许可协议”对话框时,可以
按 Page Down阅读协议的内容。如果同意,请按 F8键继续
安装。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.1 Windows 2000 Server操作系统的安装
⑦ 弹出“磁盘分区”对话框,有以下 3个选项:
? 要在所选分区上安装 Windows 2000,按 Enter键;
? 要在尚未划分的空间中创建磁盘分区,按 C键,然后
输入磁盘分区的大小;
? 删除所选磁盘分区,请按 D键,然后按提示再按 Enter
键和 L键。
划分与选定好要安装 Windows 2000的磁盘后,按 Enter
键以便将 Windows 2000安装到这个磁盘分区内(默认设置
是安装到该磁盘分区的 Winnt文件夹内)。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.1 Windows 2000 Server操作系统的安装
⑧ 接着安装程序会要求用户为上述磁盘分区选择文件系统的格
式,有以下两种选择:
? 用 NTFS文件系统格式化磁盘分区。如果要支持活动目录、数
据加密、用户的硬盘容量限制、设置域结构的网络,则必须选用
NTFS。
? 用 FAT文件系统格式化磁盘分区。如果此磁盘分区小于 2 GB,
则会自动将其格式化为 FAT;如果此磁盘分区等于或大于 2 GB,则
会自动将其格式化为 FAT32。
用 ↑↓ 键选择 NTFS后,按 Enter键开始格式化磁盘。
⑨ 格式化完成后,安装程序会将文件复制到此磁盘分区内,这
个操作将花费数分钟。一旦复制完成后,屏幕上出现一条红色的长
方形,并且开始倒数 15 s后自动重新启动。
⑩ 重新启动后,安装程序继续将剩余的文件复制到硬盘内,然
后启动安装向导。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.1 Windows 2000 Server操作系统的安装
2.搜集与该计算机有关的设置
① 出现“欢迎使用 Windows 2000安装向导”对话框时,
单击“下一步”按钮或稍等,让其自动开始搜集一些与该计
算机有关的信息。
② 出现“正在安装设备”对话框时,安装程序开始检测
和安装设备,例如,键盘和鼠标等。
③ 出现“区域设置”对话框时,可以为不同的区域和语
言自定义 Windows 2000,以便用它来决定如何显示数字、日
期、时间、货币等。默认的区域为“中文(中国)”。此对
话框也可以用来设置与输入法有关的选项,默认的输入法为
“中文(简体)”。完成后,单击“下一步”按钮。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.1 Windows 2000 Server操作系统的安装
④ 出现“自定义软件”对话框后,输入姓名以及公司
名或单位的名称,然后单击“下一步”按钮。
⑤ 出现“您的产品密钥”对话框,输入位于产品包装
盒背面的黄色不干胶纸上的产品密钥,然后单击“下一步”
按钮。
⑥ 出现“授权模式”对话框,选择希望使用的授权模
式。有“每服务器”和“每客户”两种。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.1 Windows 2000 Server操作系统的安装
⑦ 弹出“计算机名称和系统管理员密码”对话框。
?“计算机名称”文本框处为这台计算机输入一个计算
机名称,例如 Servercjl。注意,此名称必须是惟一的,
也就是不可以与网络上的其他计算机同名。
?“系统管理员密码”与“确认密码”文本框中重复输
入系统管理员的密码。
⑧ 弹出,Windows 2000组件”对话框时,可以直接单
击“下一步”按钮,以便只安装默认的组件,或者另外选
择想要安装的组件。
⑨ 弹出“日期和时间设置”对话框时,可以设置目前
的日期、时间与时区,然后单击“下一步”按钮。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.1 Windows 2000 Server操作系统的安装
3.安装网络组件
① 弹出“网络设置”对话框时,开始安装网络组件
(例如检测网卡),以便能够连接到其他计算机、网络与
Internet上。
② 弹出下一个“网络设置”对话框时,选择“自定义
设置”,以便自行设置网络的配置,然后单击“下一步”
按钮。也可以选择“典型设置”,让它自动设置网络配置,
若选择“典型设置”,则跳过步骤③,直接到步骤④。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.1 Windows 2000 Server操作系统的安装
③ 弹出“网络组件”对话框时,选择,Internet协议
( TCP/IP)” →,属性”选项。在,Internet协议( TCP/IP)属性”
的对话框中,选择“使用下面的 IP地址”选项,然后输入该计算机
的 IP地址和子网掩码。完成后,单击“确定”按钮回到“网络组件”
对话框,然后单击“下一步”按钮。
④ 弹出“工作组或计算机域”对话框时,询问是否要将这台计
算机加入域,此时可以选择:
? 不要加入域(也就是让其加入工作组):此时必须在下方的
“工作组或计算机域”文本框中输入工作组的名称,完成后单击
“下一步”按钮。
? 要加入域:此时必须在下方的“工作组或计算机域”文本框
中输入域的名称,单击“下一步”按钮,必须输入具有将计算机加
入域权限的用户账户与密码。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.1 Windows 2000 Server操作系统的安装
⑤ 弹出“正在安装组件”对话框时,开始安装与设置在前面步骤
中所选择的组件,之后弹出“正在执行最后任务”对话框,以便完成
最后阶段的工作。
⑥ 完成安装时会弹出“完成 Windows 2000安装向导”的对话框,
此时应将放在 CD-ROM中的 Windows 2000 CD取出,然后单击“完成”按
钮以便重新启动。
4.登录测试
① 重新启动后,当屏幕显示“请按 Ctrl+Alt+Del开始”时,请同
时按着 Ctrl与 Alt键不放,然后按 Delete键。
② 输入用户的账户名称与密码。
③ 开始登录。登录成功后,将出现“配置服务器”对话框,目前
只需选择“我将在以后配置这个服务器”,然后单击“下一步”按钮,
接着在下一个对话框中单击右上方的,X” 按钮,将对话框关闭即可。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
活动目录是域的安全管理数据库。活动目录是高度伸缩
的、分布式的、采用 Internet标准技术建立并在操作系统
级完全集成的企业级目录服务。它为运行在 Windows上的
应用程序提供全面的目录服务,同时它还被设计成一个统
一的合并点,用于隔离、迁移和集中管理企业拥有的目录
并减少目录的数目。这使得活动目录能在任何系统中正常
工作,支持从只有几百个对象、一台服务器的小系统到拥
有数百万个对象、上千台服务器的庞大系统,使其成为企
业信息共享和网络资源通用管理的理想平台。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
11.2.1 工作组模型
工作组( Workgroup)模型是 Windows 2000中最基本的概
念,它是资源和管理都分布在整个网络上的一种网络模式。
这种网络被称为“对等网”,即在工作组模型中,每台计算
机的地位都是平等的,每台计算机既可用做服务器,也可用
做工作站,每台计算机都有自己的账户和对象。
组( Group)是活动目录或者本地计算机对象,它包含用
户、联系人、计算机和其他组,用于分组管理用户和计算机
对共享资源的访问。通常可将用户或计算机分为若干个组,
授予每个组的权力和权限,也自动授予该组的成员,而不是
具体授予每个成员。这样可使管理员将许多用户、计算机当
做一个账户来管理。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
11.2.2 域的基本概念
域是一组计算机构成的逻辑组织单元,管理员通过它对网
络上的计算机系统进行安全管理。可以通过域把若干计算机
组织起来构成一个计算机信息网络系统,域成员中的计算机
有域控制器、域成员服务器和域成员计算机 3种。没有加入域
的计算机也可以像访问工作组一样访问域,但不能获得完全
的服务。
一台服务器之所以称为域控制器,是因为在域控制器上存
放着包含域的所有信息的域数据库,以数据库为基础对域进
行管理的组件称为活动目录,即 Active Directory(简称为
AD),AD在作为域控制器的服务器上运行。通过 AD的操作界
面,管理员可以对网络实施有效的组织与管理。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
11.2.3 域服务器类型
在域模型中有 3种不同的服务器类型:主域控制器、后
备域控制器和服务器。在 Windows 2000域中,运行
Windows 2000 Server并安装了活动目录的计算机就是一
个域控制器。域控制器存储目录数据,管理用户和域之间
的交互(包括用户登录、验证和目录搜索)。域控制器的
多少可以根据网络的规模决定,但是使用多个域控制器可
以提高域的可用性和容错性。
1.主域控制器( PDC,Primary Domain Controller)
每个域都需要有一个主域控制器,并且只能有一个主域
控制器,它是整个域的控制中心,
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
它为域保存主账户数据库和安全性政策,账户库中的所有改
动都必须在主域控制器上进行,同时它负责一个域中用户的合
法性检验。主域控制器是域命名的第一台 Windows 2000 Server
计算机。
2.后备域控制器( BDC,Backup Domain Controller)
后备域控制器是用于保持 PDC目录数据库副本的服务器,该
BDC周期性地、自动地与 PDC保持同步。 BDC也可以协助 PDC对用
户登录操作进行身份验证,分担 PDC的工作,减轻网络流量。同
时,当 PDC关机或出了故障时,BDC可以升级为 PDC,但如果一个
BDC升级为 PDC,则在最后一次从原来的 PDC拷贝目录数据库之后,
用户对目录数据库所进行的更改都将会丢失。一个域可以有多
个 BDC。
主域控制器、后备域控制器都可作为文件、打印和应用程序
的服务器。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
3.独立的服务器( Stand Alone Server)
在域中不作为主域控制器和后备域控制器的域服务器称
为服务器,它可以用做专用文件、打印和应用程序的服务
器。服务器保存自身的数据库,域中的账户可被授权访问
服务器上的资源。
11.2.4 委托关系
委托关系是 Windows 2000 Server两域间的一个链,此
链容许一个域识别另外一个域的用户账户,并且委托后者
对这些用户进行注册时的身份验证。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
1.单向委托关系
一个域委托其他域中的用户使用其资源。更准确地说,
一个域委托其他域中的域控制器来确认用户账户,以使用
户能使用其资源。这样,可用的资源被保存在委托域中,
而利用这些资源的账户却在受托域中。如果委托域中的用
户账户需要使用受托域中的资源,则需要双向委托关系。
2.双向委托关系
相当于两个单向委托关系,每个域都委托对方域中的用
户账户,用户可从任一个域的计算机登录到他们的域账户
中,每个域有自己的账户和资源。全局用户账户和全局组
可用来从任何一个域中得到授权来访问其中任何一个域中
的资源。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
在所有的委托关系中,一个域为受托域,另外一个域就
是委托域。
受托域:又称账户域,账户被放在受托域中。受托域的
用户和组允许在委托域中拥有用户权力、资源权限和本地
组员身份。
委托域:委托资源通常总放在委托域中,委托域允许其
他域(受托域)的用户访问其资源。
委托与受托的概念差别可以从资源的角度考虑。通过建
立恰当的委托关系和授予访问的权限,资源所在域可委托
另外一个域的用户,并允许他们使用这些资源。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
11.2.5 域模型
Windows 2000/NT Server的网络提供 4种基本模型来组
合各种配置,以满足用户的需求:单主域模型、主域模型、
多主域模型、完全委托域模型。
1.单主域模型
该模型由 1个域组成,有 1个主域控制器和 1个或多个后
备域控制器和服务器。单主域模型特别适应于少量用户和
资源的公司,它提供对用户账户的集中管理,不允许用户
按部门分组。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
2.主域模型
主域模型由至少 2个域组成,每个域有其自己的域控制
器,所有的用户账户信息保存在一个称为主域( Master
Domain)的域中,其他的域则称为资源域。资源域负责维
护文件、目录和打印机资源。资源域不需要维护用户账户,
它们用主域中的账户来分配用户对本地资源的访问。
3.多主域模型
多主域模型中有多个主域,每个主域作为一个账户域,
网络中的每个用户账户都是由这些主域之一创建。网络中
还有其他的一些域,这些域作为资源域。它们由各部门创
建,为主域提供资源。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
4.完全委托域模型
完全委托域模型由多个域组成,每个域执行自己的管理,
所有域在控制上都是平等的。完全委托域模型分布式地管
理不同部门的用户、组和域,在此模型中,网络中所有的
域相互委托,这样每个部门可以管理自己的域,定义自己
的用户和全局组,这些用户和全局组能在所有的域上使用。
这种模型适合于各部门管理自己的网络环境的公司。
11.2.6 Active Directory的结构
Active Directory用简单直观的“由下而上”的方法来
建置一个大型树形结构。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
Active Directory中的单一域就是一个完整的目录分割区。
为了便于管理,域被细分成一个个的组织单位( OU,
Organizational Units)。单一域可能很小,但可以包含非
常多的对象。如果需要更复杂的组织结构或需要存储大量对
象,可以把多种 Windows 2000 Server域结合成一棵树
( Tree)。如果再将域树结合,则可形成域林( Forest)。
域树中的第一个域称为根域( Root Domain)。同一域树中的
额外域为子域。同一域树中,紧接在域上面的域,是子域的
父系域。
域是 Active Directory中逻辑结构的核心。一般而言,域
适合大型组织的企业网络,因为可提供账户的管理与对等的
数据共享。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
在 Windows 2000中,所谓域是由一台以上的 Windows 2000 Server
所组成的组,其中有一台需规划为域控制站。该控制站可以对用户进
行认证,只有通过认证的用户才可以顺利登录域,登录域之后即可在
规定的权限内使用域上的资源。在 Windows 2000 Server的域结构中所
有域控制器的地位都是平等的,且域控制器之间会定期进行数据复制
以保持一致性。
由一个以上的 Windows 2000域组成层次式排列,但这些域需分享一
个连续的( Contiguous)名称空间。
由一个以上互不相连的( Disjointed)名称空间的域树组成层次式
排列。当建立域林时,每一个域树内的根域之间会自动建立双向可传
递的信任关系,因此每一个域内的使用者只要具备足够的权限就可以
存取其他域树内的资源。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
11.2.7 Active Directory的安装
首先请选择“开始” →,程序” →,管理工具” →,配
置服务器”选项以启动 Active Directory安装向导。弹出
Windows 2000配置服务器的画面,请单击左边窗口的
[Active Directory]选项。
① 单击“启动 Active Directory向导”连接,弹出
,Active Directory安装向导”对话框,单击“下一步”
按钮,弹出,Active Directory安装向导 → 域控制器类型”
对话框,如图 11.1所示。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
? 新域的域控制器:选
本项可以建立一个新域,而
该服务器也将成为新域的域
控制器。根据域结构的基本
模式,选本项可建立出一个
新的子域、域的域控制器或
者新目录林。
? 现有域中的额外域控
制器:选本项则在同一域内
建立一个平等的域控制器,
但会删除所有的本地账户。 图 11.1 选择, 域控制器, 对话框
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
图 11.2,创建目录树或子域, 对话框
② 单击“下一步”按钮,
弹出,Active Directory安
装向导 → 创建目录树或子域”
对话框,如图 11.2所示。
? 创建一个新的域目录树:
选本项会再建立另外一个新
的域目录树。
? 在现成的域目录树中创建
新的子域:将新建的域变成
现有域的子域。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
③ 单击“下
一步”按钮,此
时弹出,Active
Directory安装
向导 → 创建或加
入目录林”对话
框,如图 11.3所
示。
图 11.3“创建或加入目录林, 对话框
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
在此建立一个新
目录林。选择该选
项后,按“下一步”
按钮,此时会弹出
指定新域名的对话
框,如图 11.4所示。
图 11.4,新的域名, 对话框
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
④ 单击“下一步”按
钮,此时为了与旧版的
Windows兼容,系统会要
求提供在 NetBIOS上使用
的名称,预设为 DNS完整
名称的前面部分,如图
11.5所示。
图 11.5,NetBIOS域名, 对话框
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
⑤ 单击, 下一步, 按钮,以
规划系统数据库与日志文件
位置,如图 11.6所示。
数据库与日志文件存放在了
新域的目录内,为达到最佳
化的目的,建议将该文件放
置于独立的硬盘上。
⑥ 单击, 下一步, 按钮,设
置共享的系统文件夹,共享
的系统磁盘中存储了目前组
与企业有关的原则等对象。 图 11.6,数据库与日志文件位置, 对话框
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
⑦ 单击“下一步”按钮,此时由于在本服务器上找不
到 DNS服务器,因此会出现警告信息,如图 11.7所示。
图 11.7 找不到 DNS服务器的警告信息
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
⑧ 单击“确定”按钮,此时系统会询问是否要安装 DNS
服务器,系统建议现在安装 DNS。
⑨ 单击“下一步”按钮,选择使用权限,选择“只与
Windows 2000服务器相兼容的权限”选项。
⑩ 单击“下一步”按钮,弹出“指定系统管理员密码”
对话框。在对话框中设定管理员的密码。
⑾ 单击“下一步”,继续安装,再单击“下一步”按
钮,完成安装。重新启动计算机。重新开机后,双击桌面
上的“网上邻居” →,整个网络” →,全部内
容” →, Microsoft Windows Network”,在弹出的对话
框中,除了原先的,Grandlotus” 域外,还有新建的
,NTF” 域。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
11.2.8 Active Directory的删除
安装 Active Directory会把独立服务器或成员服务器提
升为域控制器。而如果删除了 Active Directory则会把域
控制器降级为独立服务器或成员服务器。要想移除 Active
Directory,可启动 Active Directory安装向导,该向导
会自动判断本机的服务器类型。如果是独立服务器或成员
服务器,则安装;如果是域控制器,则删除。启动 Active
Directory安装向导,也可以选择“开始” →,执行”选
项,然后在该对话框中输入,dcpromo”,再按“确定”
按钮就可启动 Active Directory安装向导。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
11.2.9 在域中加入新的域控制器
为提高域数据的安全,有时需要两台以上的域控制器,
本节将介绍如何在同一域中加入新的域控制器。
① 启动 Active Directory安装向导。
② 按“下一步”按钮,弹出如图 11.1所示的对话框。
勾选“现有域的额外域控制器”选项后,按“下一步”按
钮,弹出如图 11.8所示的“网络凭据”对话框。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
图 11.8“网络凭据, 对话框
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
③ 输入要加入的域以及具有权限的用户名称与密码
(该机器必须能与现成的域控制站取得联系,否则无法建
立),接着按“下一步”按钮,此时弹出输入完整域的画
面。如果不知道域名,可以按“浏览”按钮来寻找域,规
划好域名之后请按“下一步”按钮。如无错误,则成功;
如果此时出现了错误的信息,可能是 DNS的设置不正确,请
将本机的 DNS设置成域中的 DNS。
④ 接下来,依画面提示流程安装。重新启动计算机方
能使设置生效,并且可以在任何一台计算机的,Active
Directory用户及计算机”工具中看到域控制器。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
11.2.10 建立子域
① 启动 Active Directory安装向导。
② 按“下一步”按钮,弹出如图 11.1所示的对话框。
勾选“新域的域控制器”选项后,按“下一步”按钮,弹
出如图 11.2所示的对话框,勾选“在现有域目录树中创建
一个新的子域”选项。按“下一步”按钮,输入一组具备
新建子域权限的用户账户与密码,按“下一步”按钮,此
时如果找到父系域,则会弹出子域安装的画面。
③ 接下来,依画面提示流程安装。安装完后,可以在
,Active Directory域和信任关系”工具中看到子域成功
的画面。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
11.2.11 Active Directory管理单元的界面对象与建
立
1,Active Directory管理单元的界面
在 Windows 2000 Server中有许多管理工具用于网络的
管理与控制,又称管理单元,Active Directory是其中之
一。 Active Directory包含 3个管理单元,Active
Directory用户与计算机,Active Directory站点和服务,
Active Directory域与信任关系。其中后两个管理单元只
有在多域结构时才可以用到。安装完域控制器以后,在
“开始 ?程序 ?管理工具”命令中将出现 Active
Directory的有关命令,如图 11.9所示。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
图 11.9 Active Directory管理工具
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
Active Directory用户与计算机是应用最广、最多,也
是最常用的管理单元。网络或域的计算机、文件、打印机、
用户、组等都是通过这个管理单元进行管理的。例如建立
用户、组,对域中计算机进行管理等日常的管理工作都可
以在此进行。
另外,通过 Active Directory用户与计算机还可以把共
享文件夹、打印机等在域中进行发布和实施组策略等。因
为域中的计算机在“网上邻居 ?全体网络”中都可以看到
Active Directory的图标(即目录),这样域中的用户都
可以方便地了解和利用 Active Directory来使用域资源。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
Active Directory用户与计算机作为 Windows 2000
Server的一个管理单元,适用于大多数管理工具一致的界
面,如图 11.10所示。这个界面又称为 Windows 2000
Server的管理控制台( MMC),它提供了一个便于使用的、
一致的操作界面。
MMC窗口分成两个子窗口,左侧为控制台树,在树中的
一组结点为管理单元,如图 11.10中的 Users等。选中某一
单元,在右侧显示该单元的详细子项。可以看到,MMC控制
台的界面与 Windows资源管理器相仿。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
图 11.10 MMC界面
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
2,Active Directory基本概念
( 1)对象,Active Directory用户与计算机管理单元中的计算机、
用户、组、文件、打印机等称为对象。对象具有一些属性,例如用户
对象具有登录名、口令、地址、电话、单位等一些属性。属性的集合
称为对象的架构。根据属性可以对对象进行管理,例如在网络上查找
对象时可以根据给出的属性进行查找。
( 2)容器:容器也是一种对象,但容器可以包含其他的对象与容
器,也就是说容器是可以嵌套的。例如组织单位是一个对象,是一种
容器对象。
( 3)组织单位:组织单位是一种容器。使用组织单位的好处在于
在单一域中,可以使用组织单位的层次结构来组织用户账户与资源以
反映公司的结构,因此可以使用组织单位为基础建立多个管理层次。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
下面以建立一个叫,xxzx” 的组织单位为例,具体步骤
如下:
① 选择“开始” →,程序” →,管理工
具” →, Active Directory用户及计算机”选项,弹出
Active Directory管理对话框,左侧可以看到 Domain
Controllers项目,这个项目的类型就是组织单位。
② 选择想要建立的域名称,然后选主菜单上的“操
作” →,新建” →,组织单位”选项,弹出“新建对象 -组
织单位”对话框,如图 11.11所示。输入名称后,按“确定”
按钮,就可以成功建立组织单位,如图 11.12所示。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
图 11.11 新建 xxzx组织单位 图 11.12 将组建在 xzx组织单位
中
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.2 活动目录
3,Active Directory用户与计算机的界面
如图 11.10所示,左侧的控制台树中以 xtvtc.edu.cn为根,以对象
为结点,这些结点都是一些容器结点。选中某一容器,在右侧显示其
中的详细项目。例如选择计算机组织单位,显示其中包含域的一些组
及用户。主要默认的容器如下。
? Users:包含域中的部分组及用户对象。
? Builtin:包含域中由系统内置的一些本地域组,例如 Server
Operators组,其成员拥有管理域控制器的权限。
? Computers:默认的域计算机组织单位,成员包括域中的客户
机、成员服务器等。
? Domain Controllers:域控制器所在的容器。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.3 客户机的配置
在 Windows 2000 Server域中,可以使用多种客户机,
如 Windows 95/98,Windows ME,Windows NT,Linux等,
本节主要介绍 Windows 98,Windows XP以及 Windows 2000
Professional等作为客户机操作系统的配置。
11.3.1 加入 Windows 95/98客户机
安装 Windows95/98的计算机想连接上 Windows 2000
Server。在连接之前,需要先设置网卡与通信协议,鼠标
右键单击“网上邻居”,在弹出的快捷菜单中选择“属性”
选项,弹出“网络”对话框。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.3 客户机的配置
选择,Microsoft网络用户”选项,并按“属性”按钮,
首先勾选“登录到 Windows NT域”选项,然后在
,Windows NT域”文本框中输入 Windows 2000 Server所
在的域。在系统启动后会出现与原先不同的登录对话框。
在域登录对话框中,需要输入在域控制器中已设置好的
用户账户与密码,并且在此处也可选择域。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.3 客户机的配置
11.3.2 加入 Windows XP客户机
Windows XP可以加入 Windows 2000 Server域,并可以真正成为域
成员计算机。鼠标右键单击“我的电脑”图标,选择“属性”命令,
单击“计算机名”标签。
单击“更改”按钮,单击“其他”按钮。输入 DNS后缀,单击“确
定”按钮。选择“隶属于”中的“域”选项,并输入域名,单击“确
定”按钮。此时系统要求输入具有此权限的用户名,输入后确定。稍
后,显示欢迎加入域的信息。
然后要求重新启动。在 Windows XP客户机中的用户账户有两种:一
种是本地用户,一种是域用户。登录时需选择本地计算机或域。登录
后,双击“网上邻居”,在左侧选择“整个网络”,出现网络中的域
及工作组图标,可进一步访问网络资源。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.3 客户机的配置
11.3.3 加入 Windows 2000独立服务器客户机
本节将说明如何将一个独立服务器加入到域中。用鼠标
右键单击独立服务器桌面上“我的电脑”,在弹出的快捷
菜单中选择“属性”选项,单击“网络标识”标签,弹出
如图 11.13所示的对话框。
在图 11.13中可以看出本机属于工作组,如果想要更改
计算机名称或域名,则按“属性”按钮,此时弹出如图
11.14所示的对话框。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.3 客户机的配置
图 11.13“系统特性, 对话框 图 11.14“标识更改, 对话框
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.3 客户机的配置
在图 11.14,标识更改”对话框中,可以更改计算机名
称与成员隶属关系,如果想要让本机加入某一域,请选择
“域”选项,然后填入域的名称。如果想要变更主要 DNS尾
码的原则,可按“其他”按钮进行设置。当单击“确定”
按钮之后系统会出现一个要求输入用户账户与密码的对话
框,请输入一个具有执行加入域动作权力的用户账户。单
击“确定”按钮以完成加入域的动作。
另外,也可以在,Active Directory用户及计算机”中
的,Computer” 看到加入该域的计算机。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.3 客户机的配置
11.3.4 加入 Windows 2000 Professional客户机
将一台安装 Windows 2000 Professional的计算机加入域中,采用
下列方法:
① 选择“开始” →,程序” →,管理工具” →, Active
Directory用户及计算机”选项 → 展开窗口左边的“树目录” ?鼠标右
键单击,Computers” 项目,在弹出式菜单的“新建” →, Computers”
选项中,弹出新建计算机名称的对话框。
② 填入后请单击“确定”按钮,此时可以看到新建的计算机。如
果想要查询计算机的数据,可以用鼠标右键单击该计算机快捷菜单中
的“属性”选项。在域控制器中设定完毕后,接着设置 Windows 2000
Professional计算机,用鼠标右键单击桌面上“我的电脑”,在弹出
的快捷菜单中选择“网络标识”标签,本机所属的工作组为,New”,
因此并不属于任何域。现在想要将它加入某一域中,按“网络 ID” 按
钮,弹出“网络标识向导”对话框,按“下一步”按钮。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.3 客户机的配置
③ 弹出连接网络的对话框,以计算机的用途来单击其
连接的方式。由于想将该计算机加入域,因此必须选择
“本机是商业网络的一部分,用它连接到其他工作者的计
算机”选项。
④ 按“下一步”按钮,在弹出“网络标识向导 ?正在
连接网络 ?您使用的是哪种网络”对话框中选择“公司使
用带有域的网络”选项,按“下一步”按钮,此时弹出将
本机加入域时所需数据的对话框。
⑤ 如果所有数据都齐全正确,则按“下一步”按钮,
弹出输入登录的账户、密码以及域的对话框。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.3 客户机的配置
⑥ 按“下一步”按钮,弹出找到计算机账户的信息。
如果输入的数据都正确,但无法找到计算机账户,则请查
DNS的设置。按“确定”按钮,弹出是否新建用户的对话框。
如果选择“新建下列用户”选项,则需要规划用户名称
与密码,而该用户账户的数据会加至 Windows 2000
Professional的本机用户数据中。
⑦ 按“下一步”按钮,弹出规划新建用户对于本机的
访问权限,在此可以规划各种不同等级的使用权限。完成
后只有重新启动计算机,刚才的设置才生效。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.3 客户机的配置
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
用户账户是用来记录用户的用户名和口令、隶属的组、
可以访问的网络资源以及用户的个人文件和设置。每个用户
都必须有一个账户,以便利用该账户来登录到域,并访问网
络上的资源;或利用该账户登录到某台计算机,并且访问该
计算机内的资源。
11.4.1 用户账户的类型
Windows 2000所支持的用户账户有以下两种类型:域用
户账户和本地用户账户。
1.域用户账户
域用户账户建立在域控制器的 Active Directory数据库
内。用户可以利用域用户账户来登录域,并利用它来访问网
络上的资源,例如访问其他计算机的文件、打印机等资源。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
2.本地用户账户
本地用户账户建立在 Windows 2000独立服务器,Windows
2000成员服务器或 Windows 2000 Professional的本地安全数据
库内,而不是域控制器内。用户可以利用本地用户账户来登录
此计算机,但是只能够访问这台计算机内的资源,无法访问网
络上的资源。
本地用户账户只存在于这台计算机内,Windows 2000不会将
其复制到域控制器的活动目录内。
在此建议用户最好不要在 Windows 2000成员服务器或已加入
域的 Windows 2000 Professional内建立本地用户账户,因为无
法访问域上的资源,同时域系统管理员也无法管理这些本地用
户账户。因此,域结构的网络中用户账户最好都建立在域控制
器的活动目录内。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
3.内建用户账户
在安装 Windows 2000时一并安装的用户账户称之为内建用户账户,
通常为 administrator和 guest。
( 1) administrator
该账户为初次安装 Windows 2000 Server系统后的预设系统管理员。
它可对整个域或计算机进行设置,例如:用户账户与组的建立、更改、
删除,建立打印机,设置安全策略,设置用户账户的权限,分配资源
等。该账户可以更名但无法删除,也无法设置为 Disable。因此,为了
安全起见,进入系统后应将 administrator账户更名。
( 2) guest
该账户用来提供给来宾作为临时账户使用。所谓来宾,就是偶尔要
求登录入网的用户。该账户具有一小部分的权限。 Guest账户可以被更
名,但无法删除它,要使用该账户时,首先要设置它为允许( Enable)
使用,默认设置为禁止( Disable)。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
11.4.2 用户账户的创建
必须使用,Active Directory用户和计算机”管理单元来建立
域用户账户。当使用这个管理单元来建立用户账户时,这个账户会
被自动建立在 MMC控制台所找到的第一台域控制器内,以后该账户
会被自动复制到此域内的所有域控制器内。
在每个用户账户添加完成后,活动目录都会为其建立一个惟一
的安全识别码( SID,Security Identifier),Windows 2000系统
利用这个 SID来代表该用户,有关的权限设置等都是通过 SID来设置
的,而不是利用用户的账户名称。
SID不会被重复使用,即使将某个账户删除后,再添加一个相同
名称的账户,它也不会拥有原来该账户的权限,因为它们的 SID不
同,对 Windows 2000系统而言,它们是不同的账户。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
① 依次选择“开始” →,程序” →,管理工具” →, Active
Directory用户和计算机”选项,并从弹出的对话框中双击“域
名( xtvtc.edu.cn)”,然后用鼠标右键单击,wlzx” 组织单
位,再从弹出的快捷菜单中依次选择“新建” →,用户”的命
令。在弹出如图 11.15所示的窗口时,进行如下的设置。
?“姓”与“名”:至少在这两个文本框之一输入信息。
?“姓名”:用户的全名,默认就是前面的姓与名两者的结
合。
?“用户登录名”:这是用户用来登录域所使用的名称。在
活动目录内,这个名称必须是惟一的。
?“用户登录名( Windows 2000以前版本)”:这个名称是
指使用 Windows 2000以前版本的用户。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
② 单击“下一步”按钮,弹出如图 11.16所示的对话框,
其设置如下。
?“密码”与“确认密码”:输入用户账户的密码。为了
避免在输入时被他人看到密码,因此在对话框中的密码只会
以星号( *)显示。需要再次输入密码来确认所输入的密码是
否正确。密码最多 128个字符,密码的大小写是有区别的。
?“用户下次登录时需更改密码”:强迫用户在下次登录
时必须更改密码。该项设置可以确保只有该用户知道该密码。
?“用户不能更改密码”:它可防止用户更改密码,如果
多人共享一个账户时(例如 guest),则选择此复选框,避免
发生被某个人更改密码后,造成其他人都无法登录的情况。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
图 11.15,新建用户, 对话框 图 11.16,设置密码, 对话框
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
一般用户若要自己更改账户密码,可以通过按
Alt+Ctrl+Del键的方式来设置。
?“密码永不过期”:若选择此复选框,则系统永远不
会要求该用户更改密码,即使在“账户策略”的“密码最
长存留期”中设置了所有用户必须定期更改密码,系统也
不会要求这个用户更改密码。若同时选择了“用户下次登
录时需更改密码”与“密码永不过期”复选框,则以“密
码永不过期”作为设置。
?“账户已停用”:禁止用户利用此账户登录。
2010年 5月 21日星期五 2时 16分 38秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
③ 单击“下一步”按钮后,提示用户账户的信息,最
后单击“完成”按钮,完成用户账户的创建。
所有新创建的域用户账户,可以在网络上从成员服务器
或 Windows 2000 Professional计算机登录,却无法直接
在域控制器登录,除非被赋予“本地登录”的权力。
11.4.3 域用户账户的属性设置
每个域用户都有一些相关的属性可供设置,例如,某地
址、电话、传真、电子邮件、账户有效期限等。将用户的
这些信息输入完毕后,就可以通过这些信息来查找活动目
录内的用户。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
要设置用户账户的属性时,依次选择“选择该用户” →,单击鼠
标右键” →,属性”选项,打开如图 11.17所示的对话框。
1.用户个人信息的设置
所谓“用户个人信息”,就是指姓名、地址、电话、传真、移动
电话、公司、部门、职称、电子邮件,Web页等,如图 11.18所示。
? 常规:用来设置姓、名、显示名称、描述、办公室、电话号码、
电子邮件和 Web页等信息。
? 地址:用来设置国家(地区)、省/自治区、县市、街道、邮
箱和邮政编码等信息。
? 电话:用来设置家庭电话、寻呼机、移动电话、传真,IP电话
等信息。
? 单位:用来设置职务、部门、公司、经理和直接下属等信息。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
图 11.17,属性, 对话框 图 11.18,账户, 选项卡
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
2.账户信息的设置
选择“账户”选项卡,如图 11.18所示。在这里介绍用
户账户的“登录时间”、“登录到”以及“账户过期”等
设置。
( 1)账户过期
设置账户的有效期限,默认为账户永不过期,也可以选
择“在这以后”单选框,并确定账户过期的时间。
( 2)登录时间的设置
“登录时间”用来设置允许用户登录到域的时段,默认
是用户可以在任何时段登录域。设置时,单击图 11.18中
“登录时间”按钮,弹出如图 11.19所示的对话框。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
图 11.19,登录时段”对话框
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
在图 11.19中,每一方块代表 1小时,纵轴每一方块代表 1天,填充
的方法表示允许此用户登录的时段,空格方块代表该时段不允许此用
户登录。
选择要设置的时段,若单击“允许登录”单选按钮,表示允许用户
在该时段内登录;若单击“拒绝登录”单选按钮,表示在所选的时段
内,不允许用户登录。
当用户在允许使用的时段内登录连接,并且一直连接到超过允许使
用的时段时,可能出现下面两种情况:
? 用户可以继续访问已经连接的资源,但是不允许再进行任何新
的连接,而且用户注销后,就无法再次登录。
? 强迫中断用户的连接。
至于发生哪一种情况,根据在“组策略” →,计算机配
置” →, Windows设置” →,安全设置” →,本地策略” →,安全选
项” →,当登录时间用完时自动注销用户”的设置而定。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
( 3)限制用户只能够从某些工作站登录
“登录到”用来设置允许用户登录到域的计算机,系统
默认为用户可从任何一台计算机登录域,也可以限制用户
只能从某些计算机登录域。
设置时单击图 11.18中的“登录到”按钮,弹出如图
11.20所示的对话框。若要限制用户只能够从某台计算机登
录,则选择“下列计算机”单选框,并在“计算机名”处
输入此计算机的名称后单击“添加”按钮,最后单击“确
定”按钮完成设置。
( 4)配置文件
单击图 11.17中“配置文件”标签,弹出如图 11.21所示
的对话框。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
图 11.20,设置允许登录, 对话框 图 11.21,配置文件, 对话框
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
配置文件的意义在于记录用户登录系统后的工作环境,例如,
网络打印机与网络磁盘的连接设置,控制器中彩色、鼠标、桌面以
及键盘的设置,命令提示符窗口中的设置等。这样才能确保用户在
登录后可以使用相同的环境而不会因为某些用户的更改而影响所有
的设置。
在 Windows 2000 Server中的配置文件可分为“本地配置文件”
与“服务器配置文件”两种,说明如下。
? 本地配置文件:适用于多人共用一台计算机的情况,因为该
类型的配置文件并不适用于其他的计算机。当设置了工作环境后,
如果有离开或注销的动作,则系统会自动更新本地配置文件。
? 服务器配置文件:当用户用不同的计算机登录服务器,多个
用户想共用一个配置文件,或者管理员想定义配置文件以限制用户
的行为时,都可以使用该类型的配置文件。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
11.4.4 管理域用户账户
依次选择“开始” →,程
序” →,管理工
具” →, Active Directory
用户和计算机”选项,打开
,Active Directory用户和
计算机”对话框,选定用户
账户并用鼠标右键单击,打
开如图 11.22所示的快捷菜单,
然后选择相应的命令来管理
域用户账户。 图 11.22,管理与用户账户”对话框
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
① 复制:可以复制具有相同属性的账户,简化管理员的工作。
② 停用账户/启用账户:若账户在某一时间内不使用,则可以将
其停用,待需要使用时,再将其重新启用即可。在图 11.22中看到的是
“停用账户”的命令,如果该账户已被停用,则此处的命令会变为
“启用账户”。
③ 重命名:可以将该账户改名,由于其安全识别码( SID)并没有
改变,因此其账户的属性、权限设置与组关系都不会受到影响。
④ 删除账户:可以将不再使用的账户删除,以免占用活动目录的
空间。
⑤ 重设密码:当用户忘记密码或密码使用期限到期时,可以利用
此命令重新替用户设置一个新的密码。
⑥ 解除被锁定的用户:在账户策略内可以设置用户输入密码失败
多次时将该账户锁定。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
11.4.5 建立本地用户账户
建议只在未加入域的计算机内建立本地用户账户,而不要在
Windows2000成员服务器或已加入域的 Windows 2000
Professional内建立本地用户账户。因为无法通过域内其他任
何一台计算机来访问这些账户,设置这些账户的权限,因此这
些账户无法访问域上的资源,同时域系统管理员也无法管理这
些本地用户账户。因此,要访问域资源的用户账户,应该建立
在域控制器的活动目录内。
建立本地账户可以依次选择“开始” →,设置” →,控制面
板” →,管理工具” →,计算机管理” →,系统管理” →,本
地用户和组” →,用户”,然后单击鼠标右键,并从弹出的快
捷菜单中选择“新用户”命令来完成,其属性的设置类似于域
用户账户的设置。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
11.4.6 一次新建大量用户
在 Windows 2000 Resource Kit中附有 Addusers.exe与
usrtogrp.exe程序,在“命令提示符”下以类似批处理的方式来一次
新建大量的用户账户。
1,Addusers.exe命令
Addusers.exe的语法结构为,Addusers
[\\computername]{/c[/p:{1|c|e|d}]|/d|/e} filename [/s:x][/?]。
其中,
\\computername:预加入账户的计算机名称,如未指定,则为本地
计算机。
/c:由 filename文件指定建立用户、本地域组或全局组。
/p:在该自变量后的 4个参数 1,c,e以及 d组合设置账户的选项。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
? 1:用户需在下次登录时变更密码。
? c:用户无法变更密码。
? e:密码永久有效。
? d:账户已停用。
/d:将整个用户账户、本地域组、全局组写至 filename
文件之中,但是不会将用户密码或有关安全的数据一并写
出。
/e:将 filename中所指定的用户账户予以删除,但无法
删除内建用户账户。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.4 用户账户管理
filename:用来当做输入/输出的文件名称,而其输入的格式如下。
? [user]用户名称,全名,密码,描述,主磁盘机,主文件夹,
配置文件,指定文件。
? [Global]全局组名称,描述,用户 1,用户 2??
? [Local]本地域组名称,描述,用户 1,用户 2??
/s,x:规划文件中的分隔符号,若未指定,则为“,”。
/?:显示 Addusers.exe的语法结构。
2,usrtogrp.exe
usrtogrp.exe的语法结构,usrtogrp filename。其中 filename为
将用户加入组对应的文本文件,其格式如下:
Domain:域名
GlobalGroup|LocalGroup:组名称
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.5 组的管理
11.5.1 组的类型
Windows 2000 Server所支持的组分为以下两种类型:
安全式组和分布式组。
? 安全式组:安全式组可以用来设置权限,简化网络的
维护和管理。例如,可以设置某个安全组对某个文件具备
“读取”的权限。安全式组也可以用在与安全无关的任务
上,例如,将电子邮件发送给某个安全式组。
? 分布式组:分布式组只能用在与安全(权限的设置等)
无关的任务上,例如,可以将电子邮件发送给某个分布式
组。分布式组不能进行权限设置。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.5 组的管理
11.5.2 组的作用域
每个安全式组和分布式组均具有作用域,在 Windows 2000 Server
域内,有 3类不同的作用域:全局组、本地组和通用组。
1.全局组
全局组主要用来组织用户,可以将多个权限相似的用户账户加入到
同一全局组内。全局组的特点如下:
① 全局组内的成员,只能够包含该组所属的域内的用户账户与全
局组。也就是说,只能够将同一域内的用户账户与其他全局组加入到
全局组内。
② 全局组可以访问任何一个域内的资源,也就是说,可以在任何
一个域内设置某个全局组的使用权限,以便让此全局组具备权限来访
问该域内的资源。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.5 组的管理
2.本地域组
本地域组主要用来指派其在所属域内的访问权限,以便
可以访问该域内的资源。本地域的特点如下:
① 本地域组内的成员,能够包含任何一个域内的用户
账户、通用组、全局组,它也能够包含同一域内的本地域
组,但是无法包含其他域内的本地域组。
② 本地域组只能够访问同一域内的资源,无法访问其
他域内的资源。换句话说,在设置本地域组的权限时,只
可以设置同一域内的资源的权限,但是无法设置其他域内
的资源的权限。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.5 组的管理
3.通用组
通用组主要用来指派在所属域内的访问权限,以便可以
访问每一域内的资源。通用组的特点如下:
① 通用组内的成员,能够包含任何一个域内的用户账
户、通用组、全局组,但是它无法包含任何一个域内的本
地域组。
② 通用组可以访问任何一个域内的资源,也就是说,
可以在一个域内设置通用组的权限,以便让此通用组具备
权限来访问该域内的资源。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.5 组的管理
11.5.3 Windows 2000 Server的内建用户组
在安装完 Windows 2000 Server后,系统会建立一些用户组。通常
这些组为区分系统管理工作的权限所设立,不同的组有不同的资源存
取权限。在 Windows 2000 Server中拥有多种类别的内建组。
1.本地域组( Domain Local Group)
? Account Operators(账户操作员):
? Administrator
? Backup Operators
? Guests
? Pinter Operators
? Replicator
? Server Operator
? Users
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.5 组的管理
2.全局组( Global Group)
? Domain Admins
? Domain Guests
? Domain Users
? Enterprise Admins
3.本地组( Local Group)
? Administrators
? Backup Operators
? Guests
? Power users
? Replicator
? Users
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.5 组的管理
4.系统组( System Group)
? Everyone
? Authenticated Users
? Interactive
? Network
? Anonymous Logon。
? Dialup
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.5 组的管理
11.5.4 域组的管理
可以依次选择“开始” →,程序” →,管理工
具” →, Active Directory用户和计算机”选项,打开
,Active Directory用户和计算机”对话框,来添加、删
除与管理域组。
1.域组的添加、删除与更名
添加域组的步骤如下:
① 在,Active Directory用户和计算机”对话框选择
域名或某个组织单位,单击鼠标右键,从弹出的快捷菜单
中依次选择“新建对象” →,组”命令,打开如图 11.23所
示的对话框。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.5 组的管理
② 在“组名”文本框中输入域
组的名称,在“组名( Windows
2000以前版本)”文本框中输入供
旧操作系统访问的组名。
③ 在“组作用域”复选框中选
择组的使用领域:“本地域”、
“全局”或“通用”。
④ 在“组类型”复选框中选择
组的类型:“安全式”或“分布
式”。
⑤ 单击“确定”按钮,完成域
组的建立。图 11.23,新建对象 ?组, 对话框
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.5 组的管理
2.添加于组的成员
要将用户账户和组加入到域组中,可以在,Active
Directory用户和计算机”对话框中双击域名或某组织单
位,并在所选的域组上单击鼠标右键,并从弹出的快捷菜
单中选择“属性” →,成员” →,添加”命令,选定要被
加入的成员,例如用户账户或组等,然后单击“添加”按
钮,最后单击“确定”按钮,完成设置。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.5 组的管理
11.5.5 本地组的建立
本地组是建立在 Windows 2000 Professional,Windows
2000 Server独立服务器或成员服务器的本地安全数据库内,而
不是域控制器内。本地组只能访问此组所在计算机内的资源,
无法访问网络上的资源。
建议只在未加入域的计算机内建立本地账户,而不要在加入
域的计算机内建立本地组账户,因为无法通过域内其他任何一
台计算机来访问这些账户,设置这些账户的权限,因此这些账
户无法访问域上的资源,同时域系统管理员也无法管理这些本
地组账户。
本地组内的成员可以是所属域内或所信任域内的用户账户、
全局组、通用组以及本地用户账户。
建立本地账户方法和建立域组的方法类似。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.6 NTFS权限
11.6.1 NTFS权限的基本概念
NTFS文件系统则具备完善的文件系统资源访问控制的功能,在
网络上可以进行文件夹级的保护。在本地既可以对文件夹级进行保
护,也可以进行文件级的保护。
对于一个网络管理员,在规划网络环境时的重要任务就是规划
网络资源的应用环境,设置网络资源的访问权限。设置文件及文件
夹的 NTFS权限是建立网络应用环境的基础工作。首先应建立若干本
地域组,然后设置不同的本地域组对文件资源的相应权限。在建立
若干全局组时,把全局组或某些个别用户账户加入到本地域组以获
得相应的资源。
文件系统的权限具有继承性,即文件继承文件夹的权限,子文
件夹继承文件夹的权限。这种继承性可以通过设置进行屏蔽。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.6 NTFS权限
11.6.2 NTFS权限的类型
NTFS权限包括文件夹的权限和文件的权限。在文件夹与文件的权
限中,越靠后的权限类型权限越大。一般后面的类型其权限包含前面
类型的权限。另外,一般来说,文件的权限优先于文件夹的权限。
1.文件夹权限类型
? 完全控制:用户拥有所有 NTFS文件夹的权限,可以修改权限和
取得文件夹的所有权。
? 修改:用户可以在该文件夹下加入子文件夹、更改名称、删除
文件夹并具有“写入”、“读取及执行”权限。
? 读取及执行:此权限与“列出文件夹目录”的权限基本相同,
惟一不同之处是权限的继承性。“列出文件夹目录”的权限只是由文
件夹继承,而“读取及执行”可以由文件夹与文件同时继承。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.6 NTFS权限
? 列出文件夹目录:可以显示文件夹与其子文件夹中的内
容,但不具有在该文件夹内建立子文件夹的权力,又称遍历。
? 读取:用户可显示文件夹中的文件及子文件夹,显示文
件夹的属性、权限分配的情况和文件夹的所有者。
? 写入:用户可在文件夹中建立子文件夹和文件,改变文
件夹的属性;显示文件夹的所有者和权限分配情况。
2.文件权限类型
? 完全控制:用户拥有所有 NTFS的权限,可以修改权限和
取得文件的所有权。
? 修改:用户可以更改文件内的数据、删除文件、重命名
文件,同时拥有“写入”和“读取及执行”的权限。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.6 NTFS权限
? 读取及执行:拥有读取文件的权限并具有运行应用程
序的权限。
? 读取:用户可显示文件内容,显示文件属性、所有者
和权限分配情况。
? 写入:用户可以将文件覆盖、改变文件的属性、查看
文件的所有者和权限等。拥有此权限只能将整个文件覆盖
掉,但不能改写文件内的数据。
11.6.3 NTFS权限设置
在,Windows资源管理器”或“我的电脑”中对文件及
文件夹进行 NTFS权限设置,包括属性设置、权限设置、继
承权设置、特殊权限设置以及所有权变更等。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.6 NTFS权限
1.属性设置
在“我的电脑”中选择一个文件夹,单击鼠标右键选择“属性”命
令,弹出如图 11.24所示对话框。在“常规”标签下,可以了解这个文
件夹的一般情况,包括位置、大小、包含文件数量等信息。选中“只
读”或“隐藏”复选框,可以对属性进行设置。一般来说属性优先于
权限,也就是说对文件夹的访问是属性和权限相结合的结果。若某用
户具有写入权,但该文件夹具有只读属性,那么该用户不能完成写入
的操作。
? 只读:文件夹只能读文件夹中的子文件夹与文件。
? 隐藏:文件夹不显示。
单击“高级”按钮,弹出如图 11.25所示对话框,此时可以对文件
进行加密、压缩等高级文件属性的设置。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.6 NTFS权限
图 11.24,文件夹属性, 对话框 图 11.25,文件夹高级属性, 对话框
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.6 NTFS权限
2.权限设置
单击图 11.24文件夹属性对话框中的“安全”标签,弹
出如图 11.26所示对话框。此对话框用于权限设置,上面的
列表框显示了对该文件夹具有访问权的对象。选中一个对
象,下面的列表框显示该对象所具有的权限。在复选框中,
选中“允许”复选框表示具有该项权限,否则表示不具有
该项权限。当同时选中“允许”和“拒绝”复选框时,
“拒绝”权限优先于“允许”权限。
单击“添加”按钮,选择组或用户,用来添加一个组或
用户,结果回到如图 11.27所示的对话框,并对新添加的对
象进行权限的设置。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.6 NTFS权限
图 11.26,安全属性, 对话框 图 11.27 新对象设置权限
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.6 NTFS权限
3.继承权设置
在如图 11.24所示对话框中,单击“高级”按钮,弹出
如图 11.28所示对话框。该对话框中复选框“允许将来自父
系的可继承权限传播给该对象”或“重置所有子对象的权
限并允许传播可继承权限”可以对继承权进行屏蔽。默认
时前一个复选框被选中,表示选中的对象继承父系的权限。
此时“允许”选项是灰颜色的,不可操作。若去掉复选框
中的,?”号,则对父系的继承权被屏蔽掉,此时弹出如
图 11.29所示对话框。
若选择“复制”,则权限不变并继承父系权限,但此时
“允许”选项变得可操作。若选择“删除”,则父系的权
限被屏蔽掉,需重新设置该对象的权限。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.6 NTFS权限
图 11.28 高级安全设置
图 11.29 继承权限
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.6 NTFS权限
4.特殊权限设置
上述的权限称标准权
限,一般来说通过标准
权限的设置就可以满足
需要了。特殊权限设置
可以使设置进一步细化。
在“权限”标签中选中
一个对象后,单击“编
辑”按钮,弹出如图
11.30所示对话框,可以
对该对象进行细化的权
限设置。
图 11.30 特殊权限设置
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.6 NTFS权限
5.所有权设置
文件夹的建立自然对其拥有所有权。文件夹的所有权可以转让,
把所有权交给别的用户。但所有权不是由该用户主动交出的,而是
由别的用户掳夺过去的,掳夺了所有权以后,这个用户就成为这个
文件夹的拥有者。一个用户能够掳夺所有权必须具有对该文件夹的
完全控制权限。由于 Administrator用户可以对任何资源都具有完
全控制的权限,所以 Administrator用户可以随时获得对文件夹的
所有权。
在图 11.28中单击“所有者”标签,如图 11.31所示,列表框
“目前该项目的所有者”中列出了文件夹的所有者。下面的列表框
列出可以掳夺所有权的对象,选中一个对象后,就掳夺了文件夹的
所有权。这使原来具有所有权的用户对该文件夹已不再拥有所有权,
但别的权限并不改变。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.6 NTFS权限
图 11.31 所有权设置
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.6 NTFS权限
11.6.4 有效权限
在 NTFS权限设置中,一个用户的有效权限是累加的。当
一个用户属于不同的组时,所具有的最终权限是在不同组
中的权限累加的结果。例如一个用户在组 A中对某文件具有
“读取”权限,在组 B中对同一文件具有“写入”权限,则
这个用户对这个文件的有效权限为读取和写入。由于“拒
绝”权优先于“允许”权,所以,如果一个用户在某一组
中对一个文件具有“读取”或“写入”权限,但用户又在
另一个组中,这个组对该文件具有一项拒绝“写入”权,
那么这个用户就不具备“写入”的权限。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.6 NTFS权限
11.6.5 复制和移动后的权限
文件与文件夹如果被复制或移动后,原来的权限将可能
发生变化,这与复制或移动操作以及源与目标等有关。
1.复制文件
复制文件时相当于产生一个新的文件,复制文件后,新
文件的权限继承目标的权限。
2.移动文件
移动文件分两种情况。如果在一个分区的不同文件夹之
间移动文件并不产生新文件,所以目标文件权限不变,源
文件被删除。如果在不同的分区之间移动文件,则相当于
产生新的文件,这时新文件将继承目标文件夹的权限。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.7 共享文件夹
11.7.1 文件共享
在局域网上用户获得文件资源普遍使用且快速、方便的方法是
采用文件共享的方法:作为服务器的计算机可以把共享文件夹设置
为共享,作为客户机的用户可以通过网上邻居访问共享文件夹而获
得网上的文件资源。对等网,Windows 9x,Windows XP,Windows
2000/2003 Server都采用这种技术。共享文件夹是在网络上发布文
件资源以及客户从网络上获得文件资源的便捷途径,在局域网上得
到了广泛应用。
共享文件夹只能对文件夹进行文件资源的访问限制,而不能对
文件进行网络访问的限制。对于 NTFS系统,本地用户可以通过 NTFS
权限进行文件资源访问的限制,可以配合使用。对于 FAT系统,这
是惟一的对文件资源进行限制的方法。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.7 共享文件夹
1.有效权限
共享文件夹权限设置与 NTFS权限设置具有一定的关系。
在 NTFS分区上的文件夹既可以设置用户的共享文件夹的权
限,也可以设置 NTFS权限。在设置共享文件夹的权限时,
如果一个用户属于多个不同的组,这些组对文件夹又具有
不同的共享文件夹权限,这时用户有效权限也是累加的。
这个权限还不是最终的权限,最终的权限还要决定于用户
的 NTFS权限。系统规定,一个用户最终有效权限是在共享
文件夹的权限和 NTFS权限中最严格的权限。例如,如果一
个用户对某个文件夹的有效权限是“读取”和“写入”,
NTFS权限是“读取”,则用户对文件夹的最终有效权限是
“读取”。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.7 共享文件夹
2.复制和移动后的共享权限
一个文件夹设置了共享权限后,如果这个文件夹进行了
复制或移动等操作后,相应的共享权限可能要发生变动。
如果把共享文件夹复制到其他文件夹或其他磁盘分区内,
则复制后的新文件夹将不再被共享,原来的文件夹的共享
性不受影响。
如果把共享文件夹移动到其他文件夹或其他磁盘分区内,
这个文件夹将不再被共享。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.7 共享文件夹
3.共享文件夹的权限类型
共享文件夹的权限类型包括以下几种。
? 读取:可以查看文件夹内的文件名称、子文件夹名称,
查看文件内的数据,运行程序,遍历文件夹等。
? 修改:除上述权限外,还可以向共享文件夹添加文件、
子文件夹,修改文件夹内的数据。
? 完全控制:除上述权限外,还可以删除文件与子文件
夹。对于 NTFS分区的文件及子文件夹,还可以修改权限和
取得所有权。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.7 共享文件夹
11.7.2 设置共享文件夹
在对等网上,每台计算机都可以向网络发布文件资源。
在 Windows 2000 Server计算机中,Administrators组和
Power User组的成员可以设置共享文件夹。在域控制中,
Server Operators组的成员也可以设置共享文件夹。
可以从很多地方来新建文件夹共享,例如:“我的电
脑”、“资源管理器”或是“计算机管理”等都可以。在
此以资源管理器为例介绍,执行“开始” →,程
序” →,附件” →, Windows资源管理器”选项,在弹出
的资源管理器窗口中用鼠标右键单击一个文件夹,在快捷
菜单中选择“共享”命令或“属性 → 共享”标签,弹出如
图 11.32所示的建立共享文件夹的对话框。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.7 共享文件夹
选中“共享该文件夹”选项,然后规划“共享名称”
(预设名称为文件夹名称)。共享名称是网络上其他用户
对此文件夹的辨识,因此可以取一个较易辨别的名称。
“用户限制数”用于规定访问该文件夹的用户数。如果
选择“最多用户”,则访问共享文件夹的用户数不受限制。
若选择“允许 ?? 个用户”,则可以选择一个允许访问共
享文件夹的用户数。“缓存”按钮用于脱机访问该文件夹。
如果想要设置连接者对于共享文件夹的存取权限,则单
击“权限”按钮,弹出如图 11.33所示的对话框。当按下
“确定”按钮之后便完成了新建共享文件夹的设置,完成
后可以看到“手”的图示,以表示该共享文件夹被共享。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.7 共享文件夹
图 11.32 单击共享文件夹对话框 图 11.33 共享文件夹存取权限对话框
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.7 共享文件夹
在将一个文件夹设置为共享时,如果在共享名后加一个
,$” 符号,则表示这个文件夹设置共享后文件名不可见,
只有知道文件夹名的用户才可以访问。
设置完成后单击“应用”按钮,这时会在“缓存”按钮
下出现一个“新建共享”按钮,如图 11.34所示。“新建共
享”按钮用于给一个已设置共享的文件夹设置另外的共享
名,还可以设置另外的权限。单击“新建共享”按钮后弹
出如图 11.35所示对话框,设置共享名、用户数限制以及权
限。此时用不同的共享名访问的是同一个共享文件夹,不
同的共享名可以供具有不同权限的用户使用。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.7 共享文件夹
图 11.34 新建共享对话框 图 11.35 新共享名对话框
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.7 共享文件夹
11.7.3 停用共享文件夹
当不再想要把文件夹继续共享给网络上的用户时,可以
停止该文件夹的共享。想要停用共享文件夹,同样可以由
“我的电脑”、“资源管理器”或“计算机管理”来完成。
在如图 11.34的对话框中,勾选“不共享该文件夹”即可。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.7 共享文件夹
11.7.4 访问共享文件夹
访问共享文件夹可以通过 3种方法:通过网上邻居访问、通过映射
驱动器访问和通过活动目录访问。
1.通过网上邻居访问
双击“网上邻居”,可以找到要访问的计算机,再双击要访问的计
算机,可以看到这台计算机共享的文件夹,从而实现对文件资源的访
问。如果具备访问权限,一般都可以看到要访问的共享文件夹,再进
一步就可以进入文件夹内进行访问。
2.通过映射驱动器访问
把一个共享文件夹映射成本地客户机上的网络驱动器,这个网络驱
动器也有与本地驱动器类似的驱动器名。映射成功后,在客户机“我
的电脑”上可以看到一个驱动器图标。
映射网络驱动器可以在“网上邻居”和“我的电脑”窗口的“工具”
菜单中映射网络驱动器命令。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.7 共享文件夹
11.7.5 发布共享的文件夹
在 Windows 2000 Server的 Active Directory中,可以直接
寻找共享文件夹的信息,只要将共享文件夹的信息发布到
Active Directory上即可。
① 单击“开始 → 程序 → 管理工具 → Active Directory用户和
计算机”选项。
② 展开“树形目录”,用鼠标右键单击“服务器名称”弹出
式菜单中的“新建” →,共享文件夹”选项。弹出如图 11.36所
示的“新建对象 -Shared Folder” 对话框。
③ 按“确定”按钮,此时可以在,Active Directory用户和
计算机”工具中看到上述新建的“计算机网络技术实用教程”
数据,如图 11.37所示。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.7 共享文件夹
图 11.36 新建对象对话框 图 11.37 共享文件夹发布的对话框
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.7 共享文件夹
11.7.6 共享文件夹的监控
在 Windows 2000 Server中具有 Administrator与 Server
Operators身份的用户可以监控域中网络资源的存取。单
击“开始” →,程序” →,管理工具” →, Active
Directory用户和计算机”,展开“系统工具”项目,展
开“共享文件夹”,单击“共享”项目来查看有多少个用
户连接至哪些共享文件夹。
在图 11.38中的,#客户重定向”栏下,可以看出与共享
文件夹进行远程连接的用户端数据,如果想要确切知道哪
些文件被打开,则单击图 11.38窗口中左方树形目录下的
“打开文件”项目。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.7 共享文件夹
图 11.38 监视共享文件夹对话框
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.7 共享文件夹
如果想中断某一用户打开文件,则单击该文件然后单击
主菜单的“操作” →,关闭打开的文件”选项;如果想要
关闭所有用户所打开的文件,则单击树形目录下“打开文
件”,然后单击主菜单的“操作” →,中断全部打开文件”
选项,但此强制中断连接可能会造成客户端的数据流失,
请确定后再实行。单击“共享文件夹” →,会话”项目,
此时弹出计算机的用户清单。
如果想中断某一用户,则单击该用户,然后单击主菜单
的“执行” →,关闭会话”选项;如果想关闭所有用户的
连接,则单击主菜单的“执行” →,关闭全部的会话连接”
选项。
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
11.8 技能训练
11.8.1 技能训练 1:安装 Windows 2000 Server和
Active Directory
在一台计算机上安装 Windows 2000 Server和 Active
Directory。
11.8.2 技能训练 2:用户账户和组账户管理
11.8.3 技能训练 3,NTFS权限的设置
11.8.4 技能训练 4:共享文件夹的设置
11.8.5 技能训练 5:共享权限与 NTFS权限的联合操作
2010年 5月 21日星期五 2时 16分 39秒 计算机网络技术实用教程 (第 3版 )
习 题
1.什么是域?
2.在域模型中服务器类型有几种?
3.在 Windows 2000 Server中有几种域模型?
4.什么是活动目录?使用活动目录有哪些优点?
5.在 Windows 2000 Server域内,有哪几类用户账户?
6.如何一次新建大量用户账户?
7.在 Windows 2000 Server域内,有哪几类组?
8.在 Windows 2000 Server域中有哪些内建组?
9.文件夹的 NTFS权限有哪些?
10.文件的 NTFS权限有哪些?
11.共享文件夹的权限有几种类型?