網(wǎng)絡(luò)工程師實驗

1、本地用戶和組一、本地用戶 （一）相關(guān)知識 1本地用戶的含義 用戶分為本地用戶和全局用戶?！氨镜亍敝傅氖瞧綍r直接使用的計算機，本地用戶對應(yīng)著對等網(wǎng)工作組模式，用戶驗證都在各自的本地計算機上執(zhí)行。全局用戶對應(yīng)客戶機/服務(wù)器(域)工作模式，用戶驗證在域控制器上進行。 本地用戶只能建立在Windows Server 2003獨立服務(wù)器、Windows Server 2003成員服務(wù)器或基于Windows xp的計算機上，這種用戶的作用范圍僅限于在創(chuàng)建該用戶的計算機上，以控制用戶對該計算機上資源的訪問。也就是說，如果一個用戶需要訪問多臺計算機上的資源，而這些計算機不屬于某個域，則用戶要在每一臺需要訪問的

2、計算機上擁有本地用戶帳號，在登錄某臺計算機時由該計算機進行驗證。 2用戶名命名規(guī)定 (1)用戶名可以使用字母和數(shù)字的組合； (2)用戶名在計算機時必須唯一，且不區(qū)分大小寫； (3)用戶登錄名最多包括20個字符，輸入時可超過20個字符，但只識別前20個； (4)用戶名不能使用的字符“，”，/，：，；，|，=，+，*，?，。 3系統(tǒng)內(nèi)置用戶 系統(tǒng)內(nèi)置用戶是Windows Server 2003操作系統(tǒng)自帶的，在安裝好Windows Server 2003之后這些用戶就已經(jīng)存在，并已經(jīng)賦予了相應(yīng)的權(quán)限。Windows Server 2003利用這些用戶完成某些特定的工作。 Windows Serve

3、r 2003中常見的內(nèi)置用戶有系統(tǒng)管理員用戶Administrator和來賓用戶Guest(默認(rèn)禁用)。系統(tǒng)內(nèi)置用戶和組都不允許被刪除，并且Administrator帳號也不允許被禁用，但內(nèi)置用戶帳號允許更名。 沒有通過系統(tǒng)驗證的用戶，都自動轉(zhuǎn)為Guest用戶訪問系統(tǒng)。因此，從安全性角度考慮，Guest用戶不要輕易啟用。 （二）實驗步驟 (1)以系統(tǒng)管理員的身份登錄，通過“開始/程序/管理工具/計算機管理”菜單命令，打開“計算機管理”控制臺。 (2)單擊“本地用戶和組”前面的加號，展開出現(xiàn)“用戶”圖標(biāo)，在“用戶”圖標(biāo)上右擊鼠標(biāo)，在彈出的快捷菜單中，單擊“新用戶”。 (3)打開“新用戶”對話框，

4、在“用戶名”文本框中輸入用戶帳號的登錄名稱，如輸入“user1”；在“全名”文本框中輸入用戶的全名；在“描述”文本框中輸入帳號的簡單描述，如所在部門、地點等，以方便日后的管理工作；在“密碼”和“確認(rèn)密碼”文本框中輸入相同的密碼。 在“新用戶”對話框中，“全名”的內(nèi)容只起說明作用，可以不同于“用戶名”的內(nèi)容，在創(chuàng)建一個用戶帳號后，在“計算機管理”控制臺中可以看到用戶“全名” 的內(nèi)容，但在登錄本計算機時，必須使用“用戶名”中的名字。 (4)單擊“創(chuàng)建”按鈕后，該用戶帳號就被創(chuàng)建了，但“新用戶”對話框不消逝，可以繼續(xù)創(chuàng)建下一個用戶帳號。全部創(chuàng)建完后，單擊“關(guān)閉”按鈕，結(jié)束新用戶的創(chuàng)建。此時，在“計算

5、機管理”控制臺的右側(cè)窗口中可以看見新創(chuàng)建的帳號。二、本地組 （一）相關(guān)知識 組是Windows Server 2003網(wǎng)絡(luò)環(huán)境中的一個非常重要的概念，是用戶帳戶的集合，當(dāng)用戶較多時，要采用組來管理用戶帳戶。通常將具有相同身份和屬性的用戶組合到一個邏輯的集合(組)中，一次賦予該組訪問資源的權(quán)限而不是單獨給用戶賦予權(quán)限，從而簡化了管理。 一個用戶帳戶可以屬于多個組。用戶登錄后，如果又修改了權(quán)力權(quán)限，要再次登錄時才能生效。 本地組是在一個基于Windows Server 2003的計算機上創(chuàng)建的，這些計算機包括基于Windows Server 2003的獨立服務(wù)器或成員服務(wù)器。本地組的作用范圍只限于

6、創(chuàng)建該組的計算機上。組帳號存儲在創(chuàng)建該帳號的計算機上的本地安全帳號管理器中。使用本地組，需要在每臺計算機上都創(chuàng)建組，并向該組授予對資源的訪問權(quán)限。本地組中有兩個重要的組類型：系統(tǒng)內(nèi)置組和用戶創(chuàng)建的本地組。我們這里列出通常用到的系統(tǒng)內(nèi)置組： 1Administrators組 Administrators組具有如下特點： (1)是所有Windows Server 2003上都有的唯一的一個被賦予了所有內(nèi)建權(quán)力的組； (2)可以給自己賦予所有自己沒有的權(quán)力； (3)可以添加系統(tǒng)組件，升級系統(tǒng)； (4)可以配置系統(tǒng)重要參數(shù)，如注冊表的修改； (5)可以配置安全信息。 一個用戶只要加入Administr

7、ators組，他就擁有了和系統(tǒng)管理員(Administrator)同樣的權(quán)力。 2Power users組 Power users組具有如下特點： (1)存在于非域控制器上； (2)可以進行基本的系統(tǒng)管理工作：如共享文件夾、管理系統(tǒng)服務(wù)和打印機、管理本地普通用戶、安裝不修改注冊表的軟件； (3)不能修改Administrators組和Backup Operators組； (4)不能備份/恢復(fù)文件； (5)不能修改注冊表。 3Backup Operators組 Backup Operators組具有如下特點： (1)是所有的Windows Server 2003上都有的組； (2)可以忽略文件系

8、統(tǒng)的權(quán)限進行備份和恢復(fù)； (3)可以登錄系統(tǒng)和關(guān)閉系統(tǒng)； (4)對加密文件也可以備份。 4Users組 Users組具有如下特點： (1)是一般用戶所在的組，對系統(tǒng)可使用基本的權(quán)力； (2)可以運行，使用網(wǎng)絡(luò)； (3)可以關(guān)閉Windows xp，但不能關(guān)閉Windows Server 2003； (4)不能創(chuàng)建共享目錄和本地打印機。 5系統(tǒng)內(nèi)建的特殊組 以下特殊組的成員是隨機器運行時由系統(tǒng)自動修改的。 (1)Everyone組：包含所有的用戶，包括guest。 (2)Authenticated Users：包括所有被身份驗證成功的用戶，但不包括guest。 Authenticated Use

9、rs組的成員在Windows xp中是Power Users組和Users組的成員，在Windows Server 2003 中是Users組的成員。 (3)Interactive組：包含所有交互式登錄的用戶。 在本地安全策略中，可以查看和修改用戶和組的權(quán)力。 （二）實驗步驟 創(chuàng)建本地組的操作要由本地計算機的Administrators組成員進行。 (1)在桌面的“我的電腦”處右擊，在彈出的快捷菜單中選擇“管理”，打開“計算機管理”窗口，展開左側(cè)子窗口中的“本地用戶和組”，在“組”選項上右擊鼠標(biāo)，在彈出的快捷菜單中選擇“新建組”。 (2)在打開的“新建組”對話框的“組名”文本框中輸入該組的名稱

10、(如group1)，在“描述”文本框中簡單地輸入該組的用途(可以不填，但為了管理方便，建議做簡單描述)?？梢酝ㄟ^“添加”按鈕在“成員”列表框中加入組的成員(現(xiàn)在現(xiàn)不添加)。 (3)單擊“創(chuàng)建”按鈕，創(chuàng)建組成功。單擊“關(guān)閉”按鈕，返回到“計算機管理”窗口中。這時在右側(cè)的子窗口中可以看到新建的組。 (4)在新建組的圖標(biāo)上雙擊，打開組屬性(group1屬性)對話框。 (5)單擊“添加”按鈕，打開“選擇用戶或組”對話框，在“名稱”列表中選擇要添加的用戶帳戶，單擊“添加”按鈕將用戶加入到組中。 (6)單擊“確定”按鈕，返回到“group1屬性”對話框。在“成員”列表中會看到剛才添加的用戶。 (7)單擊“

11、確定”按鈕結(jié)束操作。共享與安全一、共享文件夾 （一）相關(guān)知識 1共享概述 Windows Server 2003作為一個網(wǎng)絡(luò)操作系統(tǒng)除具有良好的為了連接功能外，網(wǎng)絡(luò)中的資源可以被更好地使用。共享網(wǎng)絡(luò)資源要做的第一件事就是在網(wǎng)絡(luò)中設(shè)置共享文件夾，利用共享文件夾將數(shù)據(jù)發(fā)布到網(wǎng)絡(luò)中讓其他用戶訪問。由于文件不能被直接共享到網(wǎng)絡(luò)中，必須通過共享文件夾發(fā)布出來，因此設(shè)置共享文件夾，無論是在工作組模式還是在域模式中，都是在網(wǎng)絡(luò)中共享文件資源的唯一方法。一個文件夾可以被多次共享。 在Windows Server 2003中，共享文件夾允許同時訪問的用戶數(shù)目取決于安裝時設(shè)置的用戶許可數(shù)。 共享文件夾需要滿足以下

12、條件： (1)計算機必須在有網(wǎng)絡(luò)的情況下，才能進行設(shè)置共享文件夾的操作，否則不能設(shè)置共享。 (2)必須有足夠大的權(quán)力，才能進行共享操作，即登錄的用戶必須是Administrators組、Server Operators組或Power Users組成員才能進行共享操作。 (3)當(dāng)“Server”服務(wù)沒有啟動時，不能進行共享操作。 2共享權(quán)限和NTFS權(quán)限 利用共享文件夾可以將文件資源發(fā)布到網(wǎng)絡(luò)中，對共享文件夾的控制可以通過共享文件夾權(quán)限實現(xiàn)。 Windows Server 2003支持FAT/FAT32和NTFS文件系統(tǒng)，對于FAT/FAT32文件系統(tǒng)磁盤上的文件夾，只能設(shè)置共享權(quán)限。共享權(quán)限只

13、能控制對文件夾一級的訪問，即不能對文件設(shè)置訪問權(quán)限。另外，共享文件夾權(quán)限只對從網(wǎng)絡(luò)只訪問過來(如通過“網(wǎng)上鄰居”訪問)的用戶起作用，如果用戶從共享文件夾所在的計算機上本地登錄，通過“Windows資源管理器”訪問共享文件夾，共享權(quán)限并不限制用戶對資源的訪問。 對于NTFS文件系統(tǒng)上的文件夾，既可以設(shè)置共享權(quán)限，又可以設(shè)置NTFS權(quán)限來限制用戶的訪問。NTFS權(quán)限既可以對文件夾進行權(quán)限設(shè)置，又可以單獨對文件進行訪問權(quán)限的設(shè)置。NTFS權(quán)限對從網(wǎng)絡(luò)只訪問過來(如通過“網(wǎng)上鄰居”訪問)的用戶和從本機登錄通過“Windows資源管理器”訪問資源的用戶都起作用，即NTFS文件系統(tǒng)具有本地安全性。 在“W

14、indows資源管理器”中，通過查看磁盤的屬性，可以知道磁盤的文件系統(tǒng)類型，通過查看文件夾/文件的屬性，可以查看或設(shè)置共享權(quán)限和NTFS權(quán)限(屏幕提示為安全權(quán)限)的設(shè)置。 3各種共享權(quán)限的區(qū)別 默認(rèn)情況下，當(dāng)把一個文件夾共享出來之后，系統(tǒng)會自動將該文件夾對Everyone組授予“完全控制”的訪問權(quán)限，這樣的授權(quán)顯然太大了，因此，為了安全，一般要重新設(shè)置訪問權(quán)限。 共享權(quán)限有三種：完全控制、更改、讀取 讀取權(quán)限，即只能讀文件夾中的文件。 更改權(quán)限，可以對文件夾中的文件進行讀寫、修改、刪除等操作。 完全控制權(quán)限，即對文件夾具有一切權(quán)限，包括可以修改共享文件夾的權(quán)限。 注意：一個共享文件夾被復(fù)制到某

15、個位置時，原位置的文件夾保持共享，新位置的文件夾不保持共享。當(dāng)移動共享文件夾時，該文件夾就不再保持共享了。 （二）實驗步驟 (1)以系統(tǒng)管理員的身份登錄，通過“開始/程序/附件/Windows資源管理器”菜單命令，打開“Windows資源管理器”，選中要共享的文件夾所在的盤符，右擊鼠標(biāo)，在彈出的快捷菜單中選擇“屬性”，查看磁盤的文件系統(tǒng)類型。 (2)選中要共享的文件夾，如選擇了C盤的TEMP文件夾，在文件夾名處右擊鼠標(biāo)，在彈出的快捷菜單中選擇“共享”。 (3)在打開的文件夾“屬性”對話框中選擇“共享”選項卡，選擇“共享該文件夾”單選鈕(刪除共享時只需再單擊“不共享該文件夾”單選鈕即可)。 在“

16、共享名”文本框中輸入該文件夾的共享名，共享名將顯示給所有從“網(wǎng)上鄰居”訪問該文件夾的用戶，默認(rèn)的共享名與文件夾的名稱一致，可以修改。 在“用戶數(shù)限制”中默認(rèn)選中的是“最多用戶”，即不限制對該文件夾訪問的用戶數(shù)(只依賴于服務(wù)器的連接性能)；如果選擇“允許個用戶”，則可以限制同時訪問該文件夾的用戶數(shù)，這里的用戶數(shù)應(yīng)該不超過所購買的Windows Server 2003許可的數(shù)量。 (4)單擊“權(quán)限”按鈕，打開文件夾的共享權(quán)限設(shè)置對話框，如果不想將該文件夾給所有用戶共享，為了安全，在“名稱”列表中選中“Everyone”組，單擊“刪除”按鈕，將對Everyone的授權(quán)刪除。 (5)單擊“添加”按鈕，

17、打開“選擇用戶、計算機或組”對話框，在列表框中選擇要賦予權(quán)限的用戶/組，如選擇group1組，再單擊“添加”按鈕，將該用戶/組添加到對話框下半部分的列表中。 (6)單擊“確定”按鈕，回到共享權(quán)限設(shè)置對話框，并設(shè)置好共享權(quán)限。如，將group1組設(shè)置成“完全控制”。 (7)單擊“確定”按鈕，回到“Windows資源管理器”，這時，被共享的文件夾的圖標(biāo)下會出現(xiàn)一個“手”標(biāo)志，表示該文件夾已被共享。二、隱含共享 （一）相關(guān)知識 隱含的共享文件夾有兩種，一種是操作系統(tǒng)自動創(chuàng)建的管理共享，這是我實現(xiàn)管理的目的而設(shè)置的。在Windows Server 2003中，自動提供的供管理員使用的隱含共享有C$、D

18、$等，還有Admin$(系統(tǒng)安裝目錄，如C:WINNT)，Print$(打印驅(qū)動程序，如C:WINNTsystem2spooldrivers)，因此用戶無需也不應(yīng)該更改它們；另一種隱含的共享文件夾是用戶出于某種目的而不愿意在網(wǎng)絡(luò)中讓其它用戶知道，但又必須讓特定的用戶共享而創(chuàng)建的。 這兩類共享文件夾都是在共享文件夾的共享名后面加上$符合，系統(tǒng)就會自動隱藏這些文件夾而不在網(wǎng)絡(luò)中顯示。用戶可以通過“機器名隱含共享名$”的方式訪問隱含共享。 在權(quán)限方面，用戶不可修改管理用隱含共享(如G$)的共享權(quán)限，但可以修改修改其NTFS權(quán)限。 （二）實驗步驟 (1)以系統(tǒng)管理員的身份登錄，打開“Windows資源

19、管理器”，右擊要創(chuàng)建共享的文件夾名，在彈出的快捷菜單中選擇“共享”，在打開的“屬性”對話框中的“共享”選項卡中選擇“共享該文件夾”選項，在共享名后面加一個$符號。 (2)打開“網(wǎng)上鄰居”窗口，將看不到該共享名(即隱含共享)。 (3)如果知道隱含共享名$及其網(wǎng)絡(luò)路徑，則可以通過映射網(wǎng)絡(luò)驅(qū)動器或使用“運行”命令來訪問隱含共享。通過“開始/運行”菜單命令打開“運行”對話框，在“打開”文本框中輸入“機器名隱含共享名$”。 (4)單擊“確定”按鈕，將看到隱含的共享文件夾的內(nèi)容。三、文件系統(tǒng)的轉(zhuǎn)換 （一）相關(guān)知識 文件系統(tǒng)就是在磁盤上存儲信息的格式。在所有的計算機系統(tǒng)中，都存在一種相應(yīng)的文件系統(tǒng)。它規(guī)定了

20、計算機對文件和文件夾進行操作處理的各種標(biāo)準(zhǔn)和機制。因此，用戶對所有的文件和文件夾的操作都是通過文件系統(tǒng)來完成的。 1FAT文件系統(tǒng) FAT文件系統(tǒng)最初用于小型磁盤和簡單文件結(jié)構(gòu)的簡單文件系統(tǒng)。FAT文件系統(tǒng)得名于它的組織方法：放置在卷起始位置的文件分配表。為了保護卷，使用了兩份拷貝，確保即使一份損壞了也能正常工作。為了確保正確裝卸啟動系統(tǒng)所必須的文件，文件分配表和根文件夾必須存放在固定的位置。 Windows 95/98、MS-DOS和Windows 95以前的版本都使用FAT文件系統(tǒng)。 2FAT32文件系統(tǒng) FAT32文件系統(tǒng)提供了比FAT文件系統(tǒng)更為先進的文件管理特性，例如，支持高達(dá)32G

21、B的卷以及通過使用更小的簇來更有效率地使用磁盤空間。 Windows Server 2003、Windows 2000、Windows 98和Windows 95 OEM Release 2版能夠訪問FAT32卷。MS-DOS、Windows NT 4.0及其更早的版本都不能識別FAT32卷，同時也不能從FAT32上啟動。 FAT和FAT32可以與Windows Server 2003之外的其它操作系統(tǒng)兼容。如果設(shè)置了雙重啟動配置，很可能需要FAT和FAT32文件系統(tǒng)。 如果用戶正在對Windows Server 2003和另外一個操作系統(tǒng)進行雙重啟動配置，選擇一個適用于后者的文件系統(tǒng)做為主分

22、區(qū)(啟動分區(qū))。 若安裝分區(qū)小于2GB，或者雙重啟動配置為Windows Server 2003和MS-DOS、Windows NT較早的版本，可將安裝分區(qū)格式化為FAT。 若大于或等于2GB的分區(qū)上使用FAT32文件系統(tǒng)，如果在Windows Server 2003安裝程序中，選擇使用FAT格式化，并且安裝分區(qū)大于2GB，安裝程序自動按FAT32格式化。 若不需要雙重啟動配置，或?qū)τ诖笥?2GB的卷，建議使用NTFS格式的文件系統(tǒng)。 3NTFS文件系統(tǒng) Windows Server 2003、Windows 2000推薦使用的NTFS文件系統(tǒng)提供了FAT和FAT32文件系統(tǒng)所沒有的性能、可靠

23、性和兼容性。NTFS文件系統(tǒng)的設(shè)計目標(biāo)就是在很大的硬盤上能夠很快地執(zhí)行諸如讀、寫和搜索這樣的標(biāo)準(zhǔn)文件操作，甚至包括像文件系統(tǒng)恢復(fù)這樣的高級操作。 NTFS文件系統(tǒng)包括了公司環(huán)境中文件服務(wù)器和高端個人計算機所需的安全特性。NTFS文件系統(tǒng)還支持對于關(guān)鍵數(shù)據(jù)完整性十分重要的數(shù)據(jù)訪問控制和私有權(quán)限。除了可以賦予Windows Server 2003計算機中共享文件夾特定權(quán)限外，NTFS文件和文件夾無論共享與否都可以賦予權(quán)限。NTFS是Windows Server 2003中唯一允許為單個文件指定權(quán)限的文件系統(tǒng)。當(dāng)然，當(dāng)用戶從NTFS卷移動或復(fù)制文件到FAT卷時，NTFS文件系統(tǒng)權(quán)限和其它屬性將會丟失

24、。 Windows Server 2003包括一個新版本的NTFS(NTFS 5.0)，該文件系統(tǒng)在原有的靈活的安全特性(如域和用戶帳戶數(shù)據(jù)庫)之上又加入了新的特性，如活動目錄。Windows Server 2003中使用的NTFS文件系統(tǒng)支持以下特性：活動目錄、域、文件加密、其它的數(shù)據(jù)存儲模式、磁盤活動的恢復(fù)日志、磁盤配額、對于大容量驅(qū)動器的良好擴展性。 NTFS可支持的最大磁盤容量為2TB。 需要把整個磁盤或某個磁盤驅(qū)動器做成NTFS文件系統(tǒng)的用戶，可在安裝Windows Server 2003時，在安裝向?qū)У膸椭峦瓿伤胁僮?。安裝程序可以很輕松地把分區(qū)轉(zhuǎn)化為NTFS文件系統(tǒng)。用戶也可以

25、在安裝完畢后使用Convert.exe命令把FAT或FAT32的分區(qū)轉(zhuǎn)化為NTFS分區(qū)。 （二）實驗步驟 (1)通過“開始/程序/附件/命令提示符”菜單命令，打開“命令提示符”窗口。 (2)在“命令提示符”窗口中輸入CONVERT D: /FS:NTFS命令，即可將D:盤的FAT文件系統(tǒng)轉(zhuǎn)換為NTFS文件系統(tǒng)。命令的通用格式是： CONVERT volume /FS:NTFS 此命令只提供從FAT文件系統(tǒng)向NTFS文件系統(tǒng)的轉(zhuǎn)換，反之則不行。四、NTFS權(quán)限 （一）相關(guān)知識 1NTFS文件夾權(quán)限 NTFS文件夾權(quán)限定義了用戶對文件夾及其內(nèi)容的訪問方式，其權(quán)限有6種標(biāo)準(zhǔn)組合：讀取、寫入、列出文件

26、夾目錄、讀取及運行、修改、完全控制。 2NTFS文件權(quán)限 NTFS文件權(quán)限適合于文件夾中的單個文件，它可以比對文件夾所設(shè)置的權(quán)限更加嚴(yán)格，也可以更加寬松，其權(quán)限有5種標(biāo)準(zhǔn)組合：讀取、寫入、讀取及寫入、修改、完全控制。 3權(quán)限的繼承 Windows Server 2003默認(rèn)子文件夾及文件繼承父文件夾的權(quán)限。權(quán)限的繼承簡化了資源的權(quán)限分配。 在實際工作中，應(yīng)盡量對組授權(quán)，而不是對用戶授權(quán)；盡量對一級文件夾進行權(quán)限的設(shè)置，而不必對下一文件夾進行權(quán)限設(shè)置，這樣可以大大簡化管理工作的。 4NTFS文件權(quán)限的區(qū)別 (1)“寫入”權(quán)限可以修改文件內(nèi)容，可創(chuàng)建新文件。 (2)“修改”權(quán)限除了包含“寫入”權(quán)限

27、外還有刪除權(quán)限。 (3)“完全控制”權(quán)限是具有“取得所有權(quán)”和“更改權(quán)限”的權(quán)限?！叭〉盟袡?quán)”權(quán)限可將文件所有者變成當(dāng)前用戶。登錄用戶創(chuàng)建的文件，其所有者就是該用戶。文件的所有者對文件可以無條件地更改權(quán)限。Administrators組擁有對任何文件“取得所有權(quán)”權(quán)限。 如對某個文件夾有“完全控制”權(quán)限時，不管該文件夾下的文件有什么權(quán)限(包括拒絕刪除權(quán)限)，都可以將這些文件刪除。而對某些文件夾有“修改”權(quán)限時，若該文件夾下的文件有拒絕刪除權(quán)限，則這些文件無法刪除。 （二）實驗步驟 (1)以系統(tǒng)管理員的身份登錄，打開“Windows資源管理器”，在NTFS文件系統(tǒng)的磁盤盤符上(如D盤)右擊鼠標(biāo)

28、，在彈出的快捷菜單中選擇“屬性”，在磁盤的“屬性”對話框中選擇“安全”選項卡，查看系統(tǒng)默認(rèn)給磁盤根文件夾的NTFS權(quán)限設(shè)置。可以看到系統(tǒng)默認(rèn)為Everyone組對磁盤根文件夾賦予了“完全控制”的權(quán)限。單擊“確定”退出磁盤屬性對話框。 (2)右擊要設(shè)置權(quán)限的文件夾或文件(如temp1文件夾)，在彈出的快捷菜單中選擇“屬性”，打開文件夾“屬性”對話框，選擇“安全”選項卡。在該對話框中可以看到Everyone組對文件夾有“完全控制”的權(quán)限，而且權(quán)限的設(shè)置都不能修改，因為系統(tǒng)默認(rèn)為Everyone組對磁盤的根文件夾有“完全控制”權(quán)限，而這個權(quán)限會向下繼承，因此Everyone組對該磁盤下所有文件和文件

29、夾都賦予了“完全控制”的權(quán)限。 (3)如果要修改或刪除對Everyone組的權(quán)限設(shè)置，可取消“允許將來自父系的可繼承權(quán)限傳播給該對象”選項，系統(tǒng)將彈出“安全”對話框。單擊“復(fù)制”按鈕，可將上級文件夾的權(quán)限復(fù)制過來，并使權(quán)限可以重新修改；單擊“刪除”按鈕，可刪除對Everyone在的授權(quán)。在此單擊“復(fù)制”按鈕。 (4)在“安全”選項卡中，單擊“添加”按鈕，打開“選擇用戶、計算機或組”對話框，選擇要賦予權(quán)限的用戶/組，在此選擇group1組。 (5)單擊“確定”按鈕回到“安全”選項卡中，會看到剛剛添加的用戶/組在“名稱”列表中，并且系統(tǒng)已經(jīng)為該用戶/組賦予了默認(rèn)的權(quán)限，而且權(quán)限可以修改。 (6)在

30、“安全”選項卡中看到的權(quán)限都是NTFS標(biāo)準(zhǔn)權(quán)限，如果想賦予用戶NTFS特殊權(quán)限可以單擊“高級”按鈕，打開文件夾的“訪問控制設(shè)置”對話框。 (7)在“權(quán)限項目”列表框中選擇要賦予特殊NTFS權(quán)限的用戶/組，單擊“查看/編輯”按鈕，打開文件夾的“權(quán)限項目”對話框，在此可以進一步設(shè)置有關(guān)權(quán)限，如選擇“創(chuàng)建文件/寫入數(shù)據(jù)”權(quán)限。 (8)單擊“確定”按鈕，回到“訪問控制設(shè)置”對話框下，可以看到被設(shè)置的用戶/組的“權(quán)限”欄中的權(quán)限為“特殊”，表明用戶被授予了特殊的NTFS權(quán)限。 (9)選中“訪問控制設(shè)置”對話框底部的“允許將來自父系的可繼承權(quán)限傳遞給該對象”選項，意味著這個文件夾可以繼承來自其上一級文件夾

31、的權(quán)限設(shè)置；選中“重置所有子對象的權(quán)限并允許傳播可繼承權(quán)限”選項，意味著將該文件夾下的所有子文件夾和文件的權(quán)限取消，并重新設(shè)置成與其父文件夾一致的權(quán)限(即強制用父文件夾的權(quán)限替換子文件夾和文件的權(quán)限)。在此都不作選擇。 (10)如果希望讓某個用戶獲得該文件夾的所有權(quán)，則選擇“所有者”選項卡。該選項卡的“目前該項目的所有者”中顯示出了目前該文件夾的所有者，在“將所有者改為”列表框中單擊要獲得所有權(quán)的用戶，單擊“應(yīng)用”按鈕，則可以將該文件夾的所有者替換成選定的用戶。 (11)單擊“確定”按鈕，結(jié)束操作。五、共享權(quán)限之間沖突或NTFS權(quán)限之間沖突的解決 （一）相關(guān)知識 1權(quán)限的累加 如果一個用戶同時

32、屬于多個組，而這些不同的組對同一個資源又賦予了不同的權(quán)限，此時，用戶最終擁有的權(quán)限是所屬各組權(quán)限的累加。 例如，如果一個用戶user2同時屬于group1組和group2組，group1對某文件或文件夾的訪問權(quán)限為“讀取”，而group2對這個文件或文件夾的訪問權(quán)限為“完全控制”，則用戶user2對該文件或文件夾的訪問權(quán)限為兩個組權(quán)限的累加，即： 讀取完全控制完全控制 2權(quán)限的優(yōu)先性 權(quán)限的優(yōu)先性表現(xiàn)在兩個方面： (1)文件權(quán)限優(yōu)先文件夾權(quán)限。文件的權(quán)限可以超越文件夾的權(quán)限，不顧上一級文件夾的設(shè)置。 例如，如果一用戶user1對文件夾temp2的訪問權(quán)限為“讀取”，在這個文件夾下面有一個c1文

33、件，user1對c1文件的設(shè)置為“完全控制”，則user1對c1文件具有完全控制的權(quán)限，而不管它的上一級文件夾temp2的權(quán)限設(shè)置情況。 注意：只有NTFS文件系統(tǒng)的磁盤上才能對單個文件進行NTFS權(quán)限設(shè)置。 (2)“拒絕”權(quán)限優(yōu)先于其它權(quán)限?！熬芙^”權(quán)限可以超越其它所有權(quán)限，一旦選擇了“拒絕”權(quán)限，則其它相關(guān)權(quán)限都不起作用，相當(dāng)于沒有設(shè)置。 如果用戶被授予了對某個共享文件夾“拒絕讀取”的權(quán)限，則該權(quán)限為用戶訪問共享文件夾的最終權(quán)限，而不管用戶所屬的其它組中被授予的任何權(quán)限。在Windows Server 2003中，拒絕總是優(yōu)先，包括權(quán)限和權(quán)力。 例如，如果一個用戶user2同屬于group

34、1組和group2組，其中g(shù)roup1對一個文件夾temp1的訪問權(quán)限為“完全控制”，而group2對temp1的訪問權(quán)限設(shè)置了某一種“拒絕訪問”，則user2對文件夾temp1的該種訪問權(quán)限為“拒絕訪問”類型，而不管group1對這個文件夾設(shè)置了什么權(quán)限。 （二）實驗步驟 1權(quán)限具有累加性 (1)以系統(tǒng)管理員的身份登錄，通過“開始/程序/附件/Windows資源管理器”菜單命令。打開“Windows資源管理器”，繼續(xù)實驗六的內(nèi)容，添加group2組對C盤的共享文件夾TEMP的共享訪問權(quán)，并將共享權(quán)限設(shè)置為“讀取”。 (2)由于user2已經(jīng)同屬于group1組和group2組，注銷當(dāng)前用戶，

35、以user2用戶登錄，打開“網(wǎng)上鄰居”，打開共享文件夾TEMP，刪除或創(chuàng)建文件，成功。證明user2對TEMP有完全控制權(quán)限。 可以試著以用戶user1和user3登錄，進行類似操作，看結(jié)果如何。 2文件權(quán)限優(yōu)于文件夾權(quán)限 注意：對文件權(quán)限的設(shè)置只能在NTFS文件系統(tǒng)的磁盤上才能進行。 (1)以系統(tǒng)管理員的身份登錄，在“Windows資源管理器”中用右鍵點擊某一個磁盤的盤符，在彈出的快捷菜單中選擇“屬性”，查看磁盤的文件系統(tǒng)類型。 (2)在NTFS文件系統(tǒng)的磁盤上選擇一個文件夾(如temp2)中的某個文件(如c1)，右擊鼠標(biāo)，在彈出的快捷菜單中選擇“屬性”。 (3)在文件的“屬性”對話框中選擇

36、“安全”選項卡。 (4)取消“允許將來自父系的可繼承權(quán)限傳播給該對象”選項，系統(tǒng)彈出“安全”對話框，單擊“刪除”按鈕，刪除對Everyone的授權(quán)。 (5)回到文件屬性對話框，單擊“添加”按鈕，設(shè)置group1組對文件的權(quán)限為“完全控制”。 (6)單擊“確定”按鈕，退出對文件的設(shè)置。 (7)選擇該文件所在的文件夾(如temp2)，右擊鼠標(biāo)，在彈出的快捷菜單中選擇“屬性”。 (8)在文件夾的“屬性”對話框中選擇“安全”選項卡，在“安全”選項卡中取消“允許將來自父系的可繼承權(quán)限傳播給該對象”選項，系統(tǒng)彈出“安全”對話框，單擊“刪除”按鈕，刪除對Everyone的授權(quán)。 (9)回到文件屬性對話框，單

37、擊“添加”按鈕，設(shè)置group1組對文件夾的權(quán)限為“讀取”。 (10)單擊“確定”按鈕，退出對文件夾的設(shè)置。 (11)注銷當(dāng)前登錄用戶，以group1的組成員user1登錄，打開“Windows資源管理器”，對temp2文件夾下的文件c1進行修改操作，成功，對temp2文件夾下其它文件進行修改操作，失敗。這就證明了單獨對文件c1的授權(quán)已經(jīng)超過了所在文件夾的授權(quán)，而其它文件則繼承了文件夾的權(quán)限。 3“拒絕”權(quán)限優(yōu)先其它權(quán)限 (1)以系統(tǒng)管理員的身份登錄，通過“開始/程序/附件/Windows資源管理器”菜單命令。打開“Windows資源管理器”，承接以前的實驗內(nèi)容，設(shè)置group1組對C盤的共享

38、文件TEMP的共享訪問權(quán)，并將共享權(quán)限設(shè)置為“完全控制”，設(shè)置group2組對文件夾TEMP的共享訪問權(quán)限為“拒絕更改”。 (2)設(shè)置“拒絕更改”后，單擊“確定”按鈕時，會彈出一個提示拒絕項的“安全”對話框，單擊“是”按鈕。 (3)單擊“確定”按鈕，退出共享權(quán)限設(shè)置。 (4)注銷當(dāng)前登錄用戶，以兩個組的公共用戶user2登錄，然后打開“網(wǎng)上鄰居”，打開共享文件夾TEMP，刪除、修改或創(chuàng)建文件，均失敗。這就證明user2對TEMP沒有“更改”權(quán)，拒絕更改優(yōu)先于完全控制權(quán)。六、共享權(quán)限和NTFS權(quán)限之間沖突的解決 （一）相關(guān)知識 當(dāng)共享文件夾同時被授予共享權(quán)限和NTFS權(quán)限時，最終的權(quán)限是取兩個權(quán)

39、限中限制最應(yīng)該、最小的那種權(quán)限。 例如，文件夾temp1為用戶user1設(shè)置的共享權(quán)限為“讀取”，同時文件夾temp1為用戶user1設(shè)置的NTFS權(quán)限為“完全控制”，那么，用戶user1對文件夾temp1的最終訪問權(quán)限為“讀取”。 建議：對NTFS文件夾，不管默認(rèn)的共享權(quán)限，只設(shè)置NTFS權(quán)限即可。 （二）實驗步驟 (1)以系統(tǒng)管理員的身份登錄，打開“Windows資源管理器”，右擊文件夾temp1，在彈出的快捷菜單中選擇“共享”命令，打開“共享”選項卡，設(shè)置該文件夾的共享，并單擊“權(quán)限”按鈕，查看默認(rèn)的共享權(quán)限為Everyone在有“完全控制”權(quán)限。單擊“確定”按鈕，返回“共享”選項卡。

40、(2)選擇“安全”選項卡，將Everyone組對該文件夾的NTFS權(quán)限設(shè)置為沒有修改權(quán)。單擊“確定”按鈕，結(jié)束權(quán)限設(shè)置。 (3)以“Windows資源管理器”或“網(wǎng)上鄰居”訪問該文件夾，并試著在該文件夾進行刪除文件的操作，失敗。證明了Everyone在最終對該文件夾的訪問權(quán)限為沒有修改權(quán)。七、文件的復(fù)制和移動對權(quán)限的影響 （一）相關(guān)知識 NTFS文件夾權(quán)限具有繼承性。 權(quán)限的繼承性就是下級文件夾的權(quán)限設(shè)置在未重設(shè)之前是繼承了其上一級文件夾的權(quán)限設(shè)置。即，如果一個用戶對某一文件夾具有“讀取”權(quán)限，那該用戶對這個文件夾的下級文件夾同樣具有“讀取”的權(quán)限。除非打斷這種繼承關(guān)系，重新設(shè)置。這些只適用于

41、靜態(tài)的文件夾權(quán)限，在同一個NTFS分區(qū)內(nèi)或不同的NTFS分區(qū)之間復(fù)制或移動一個文件或文件夾是該文件或文件夾的NTFS權(quán)限會發(fā)生不同的變化。 1在同一NTFS分區(qū)內(nèi)復(fù)制或移動 在同一NTFS分區(qū)間將文件復(fù)制到不同的文件夾，它的訪問權(quán)限和原文件夾的訪問權(quán)限不一樣，它將繼承目標(biāo)(新)文件夾的訪問權(quán)限。 在同一NTFS分區(qū)內(nèi)移動文件時，其訪問權(quán)限保持不變，繼承原先未移動前的訪問權(quán)限。 2在不同NTFS分區(qū)間復(fù)制或移動 在不同NTFS分區(qū)間復(fù)制文件時，其訪問權(quán)限會隨之改變，復(fù)制的文件不是繼承原權(quán)限，而是繼承目標(biāo)(新)文件夾的訪問權(quán)限。 在不同NTFS分區(qū)間移動文件，其訪問權(quán)限也會隨著移動而改變，也是繼承

42、目標(biāo)(新)文件夾的訪問權(quán)限。 結(jié)論：同分區(qū)內(nèi)移動文件，文件的訪問權(quán)限保持不變，其它方式的文件移動或復(fù)制，文件繼承其目標(biāo)文件夾的權(quán)限。 3從NTFS分區(qū)復(fù)制或移動到FAT分區(qū) 由于FAT分區(qū)中的文件或文件夾沒有NTFS權(quán)限設(shè)置，因此，文件或文件夾也就沒有NTFS權(quán)限了。 （二）實驗步驟 1在同一NTFS分區(qū)內(nèi)復(fù)制文件對NTFS權(quán)限的影響 (1)在“Windows資源管理器”中，用鼠標(biāo)右鍵單擊D盤上的文件夾temp3，選中“屬性”菜單命令，打開“屬性”對話框，選擇“安全”選項卡，設(shè)置Everyone組的NTFS權(quán)限為“完全控制”。 (2)選擇文件夾temp3下的某一文件(如d1)，用鼠標(biāo)右擊該文件

43、名，選擇“屬性”菜單命令，打開“屬性”對話框，選擇“安全”選項卡，查看繼承的NTFS權(quán)限為“完全控制”。 (3)用鼠標(biāo)右鍵單擊D盤上的文件夾temp1，選中“屬性”菜單命令，打開“屬性”對話框，選擇“安全”選項卡，設(shè)置Everyone組的NTFS權(quán)限沒為“完全控制”權(quán)。 (4)選擇文件夾temp1下的某一文件(如b1)，用鼠標(biāo)右擊該文件名，選擇“屬性”菜單命令，打開“屬性”對話框，選擇“安全”選項卡，查看繼承的NTFS權(quán)限為沒有“完全控制”。 (5)在“Windows資源管理器”中，將文件夾temp3中的文件d1復(fù)制到文件夾temp1中，用鼠標(biāo)右擊d1，選擇“屬性”菜單命令，打開“屬性”對話框

44、，選擇“安全”選項卡，可以看到文件d1的訪問權(quán)限發(fā)生了變化，已經(jīng)繼承了文件夾temp1的訪問權(quán)限了。 2在同一NTFS分區(qū)內(nèi)移動文件對NTFS權(quán)限的影響 在“Windows資源管理器”中，將文件夾temp3中的文件d2移動到文件夾temp1中，用鼠標(biāo)右擊d2，選擇“屬性”菜單命令，打開“屬性”對話框，選擇“安全”選項卡，可以看到文件d1的訪問權(quán)限沒有發(fā)生變化，還是繼承了原來所在文件夾temp3的訪問權(quán)限。 參照類似的實驗方法，可以測試不同NTFS分區(qū)間復(fù)制或移動文件對NTFS權(quán)限的影響。八、NTFS文件的壓縮和加密 （一）相關(guān)知識文件壓縮是NTFS文件系統(tǒng)的內(nèi)置功能，安裝好Windows Se

45、rver 2003并應(yīng)用NTFS文件系統(tǒng)后就可以使用。NTFS文件系統(tǒng)的壓縮和解壓縮過程對于用戶而言是完全透明的，用戶只要將數(shù)據(jù)應(yīng)用壓縮功能即可。當(dāng)用戶或應(yīng)用程序使用壓縮過的數(shù)據(jù)時，操作系統(tǒng)會自動在后臺對數(shù)據(jù)進行解壓縮，無需用戶干預(yù)。利用這項功能，可以節(jié)省大量的硬盤空間。 1文件壓縮的特點 (1)當(dāng)壓縮文件復(fù)制時，它在目標(biāo)盤上是按照沒有壓縮時的大小申請磁盤空間的。 (2)壓縮文件復(fù)制時，系統(tǒng)先將文件解壓縮，然后將未壓縮的文件進行復(fù)制，復(fù)制后再進行壓縮。 (3)如果某個文件或文件夾是加密的，就不能對它進行壓縮。 (4)同分區(qū)內(nèi)移動文件，文件的壓縮屬性不變；其它類型的文件移動或復(fù)制，文件將繼承目標(biāo)

46、文件夾的壓縮屬性。這與NTFS權(quán)限類似。 2文件加密的特點 (1)文件加密只有在NTFS文件系統(tǒng)中實現(xiàn) (2)文件加密技術(shù)基于公共密鑰系統(tǒng)，即公鑰加密，私鑰解密，這種加密不需要密碼。它與壓縮文件的設(shè)置方法基本類似。加密后，文件加密密鑰存儲在文件頭中。 (3)管理員可以指定一個恢復(fù)代理，用以恢復(fù)加密的文件?；謴?fù)代理在默認(rèn)情況下就是系統(tǒng)管理員。 (4)可以使用命令行命令“Cipher”進行加密/解密。 (5)多個用戶之間不能共享加密文件。 (6)加密文件復(fù)制到FAT分區(qū)后，加密屬性會丟失。 (7)加密文件在網(wǎng)上傳輸時，是以解密狀態(tài)進行的，所以，文件加密只是存儲加密?？梢岳肐psec和VPN進行傳

47、輸加密。 (8)文件的加密和壓縮是互斥的，即加密和壓縮只能選一種。 (9)用戶加密文件后，自己可以任意復(fù)制、移動，即只有進行加密的用戶才能透明地使用，其它用戶無法對文件進行復(fù)制、移動、解密，但可以刪除、重命名。 （二）實驗步驟 1文件的壓縮 (1)打開“Windows資源管理器”，選中NTFS文件系統(tǒng)磁盤上要壓縮的文件或文件夾(如D盤的temp4)，在選定的文件或文件夾上右擊，在彈出的快捷菜單中選擇“屬性”命令，打開“屬性”對話框。從圖中可以看到，目前文件夾temp4中文件的總?cè)萘亢蛯嶋H占用空間。 (2)單擊“高級”按鈕，打開“高級屬性”對話框，再選擇“壓縮內(nèi)容以便節(jié)省磁盤空間”復(fù)選框。單擊“

48、確定”按鈕，返回文件夾屬性對話框。 (3)在文件夾屬性對話框中，單擊“應(yīng)用”按鈕，彈出“確認(rèn)屬性更改”對話框。若選擇“僅將更改應(yīng)用于該文件夾”，則將只壓縮選擇的文件夾以及這一文件夾下的文件和數(shù)據(jù)；若選擇“將更改應(yīng)用于該文件夾、子文件夾和文件”，則將壓縮這個文件夾下的所有文件和文件夾以及子文件夾下的數(shù)據(jù)，在此選擇該項。單擊“確定”按鈕，返回文件夾屬性對話框。 (4)從文件夾屬性對話框中可以看到，現(xiàn)在文件temp4中文件的總?cè)萘繘]有變，而實際占用空間減少了。 (5)單擊“確定”按鈕，結(jié)束操作。 2文件的加密 (1)打開“Windows資源管理器”，選中NTFS文件系統(tǒng)磁盤上要加密的文件或文件夾(如

49、D盤的temp4)，在選定的文件或文件夾上右擊，在彈出的快捷菜單中選擇“屬性”命令，打開“屬性”對話框。 (2)單擊“高級”按鈕，打開“高級屬性”對話框，再選擇“加密內(nèi)容以便保護數(shù)據(jù)”復(fù)選框。單擊“確定”按鈕，返回文件夾屬性對話框。 (3)在文件夾屬性對話框中，單擊“應(yīng)用”按鈕，彈出“確認(rèn)屬性更改”對話框。若選擇“僅將更改應(yīng)用于該文件夾”，則將只加密選擇的文件夾以及這一文件夾下的文件和數(shù)據(jù)；若選擇“將更改應(yīng)用于該文件夾、子文件夾和文件”，則將加密這個文件夾下的所有文件和文件夾以及子文件夾下的數(shù)據(jù)，在此選擇該項。單擊“確定”按鈕，返回文件夾屬性對話框。 (4)單擊“確定”按鈕，結(jié)束操作。 對加密

50、文件夾中的文件進行讀取、修改、復(fù)制等操作，一切正常。 注銷當(dāng)前用戶，以其它用戶登錄，對該文件夾進行讀取和復(fù)制操作，均遭拒絕。一、活動目錄服務(wù) （一）相關(guān)知識 活動目錄(Active Directory，簡稱AD)的目錄服務(wù)用于組織、管理和控制網(wǎng)絡(luò)資源的結(jié)構(gòu)和功能，便于用戶查找、管理和使用網(wǎng)絡(luò)資源。 因為大型網(wǎng)絡(luò)中難以確定資源位置、名稱，所以需要命令服務(wù)，使得用戶能透明、高效地快速定位資源，而不需要知道資源的物理位置、如何連接。有了活動目錄，可以實現(xiàn)單點管理，用戶只需登錄一次，就可以訪問整個活動目錄的資源。 Windows Server 2003將DNS和活動目錄進行了集成，它們使用相同的分層命

51、名結(jié)構(gòu)。DNS主機名與活動目錄中計算機帳號是相同的，計算機名可認(rèn)為是特殊的域名。 域、計算機可成為活動目錄的對象/DNS資源記錄，客戶機通過查詢DNS找到域控制器(或其它對象)。DNS主區(qū)域結(jié)構(gòu)可存儲活動目錄，并隨活動目錄復(fù)制。 1域 2域樹 3樹林 4信任關(guān)系 域信任關(guān)系是建立兩個域之間的關(guān)系，它使一個域的用戶由另一個域中的域控制器進行驗證。驗證通過后，便使得一個域中的用戶可以訪問另一個域中的資源。 同一個樹林中的Windows Server 2003域之間會自動建立可傳遞的信任關(guān)系。 非傳遞的信任關(guān)系主要存在于以下域之間： Windows 2000/2003域和Windows NT域之間。

52、 兩個樹林中的Windows 2000/2003域之間。 這些域之間的信任關(guān)系需要用戶手工建立。 5活動目錄安裝前的準(zhǔn)備 (1)計算機上運行的必須是Windows Server 2003。 (2)活動目錄數(shù)據(jù)庫至少需要200MB，活動目錄數(shù)據(jù)庫的事務(wù)日志文件另需50MB，若為全局編錄服務(wù)器，還需一定的空間。 (3)系統(tǒng)卷(SYSVOL)文件夾必須在NTFS分區(qū)。 (4)安裝并配置了TCP/IP。 (5)若在現(xiàn)存的Windows Server 2003網(wǎng)絡(luò)上創(chuàng)建域，那么還需要創(chuàng)建域所需的管理特權(quán)。 （二）實驗步驟 1活動目錄的安裝 活動目錄的安裝使計算機轉(zhuǎn)換為域控制器。 安裝活動目錄要啟動活動目

53、錄安裝向?qū)?，下面兩種方法都可以啟動活動目錄安裝向?qū)А?方法1：通過“開始/程序/管理工具/配置服務(wù)器/Active Directory/啟動”菜單命令，啟動Active Directory安裝向?qū)А?方法2：通過“開始/運行/鍵入Dcpromo.exe”菜單命令，啟動Active Directory安裝向?qū)А?下面以方法1為例，介紹活動目錄的安裝。 (1)執(zhí)行“開始/程序/管理工具/配置服務(wù)器”菜單命令，打開“配置服務(wù)器”窗口，單擊窗口左側(cè)的“Active Directory”選項。 (2)單擊“配置服務(wù)器”窗口下面的“啟動”，啟動Active Directory安裝。 (3)單擊“下一步”按

54、鈕，打開“域控制器類型”選擇對話框。如果是創(chuàng)建一個新域的第一臺域控制器，則選擇“新域的域控制器”選項；如果創(chuàng)建的不是一個域中第一臺域控制器，則選擇“現(xiàn)有域的額外域控制器”選項。 (4)在此選擇“新域的域控制器”選項，單擊“下一步”按鈕，打開“創(chuàng)建目錄樹或子域”對話框。如果是創(chuàng)建一個新域樹的第一個域，則選擇“創(chuàng)建一個新的域目錄樹”選項；如果是創(chuàng)建一個已有域樹的一個子域，則選擇“在現(xiàn)有域目錄樹中創(chuàng)建一個新的子域”選項。 (5)在此選擇“創(chuàng)建一個新的域目錄樹”選項，單擊“下一步”按鈕，打開“創(chuàng)建或加入目錄林”對話框。如果是創(chuàng)建一個新樹林，則選擇“創(chuàng)建新的目錄林”選項；如果是將一個域樹加入到已有的樹林

55、中，則選擇“將這個新的域目錄樹放入現(xiàn)有的目錄林中”選項。 (6)在此選擇“創(chuàng)建新的目錄林”選項，單擊“下一步”按鈕，打開“新的域名”設(shè)置對話框，在“新域的DNS全名”欄中按照DNS的格式輸入域的全名。 (7)單擊“下一步”按鈕，打開“NetBIOS域名”對話框。NetBIOS域名主要是為早期Windows版本(如Windows98/NT)的用戶登錄域時使用的域名，默認(rèn)情況下，系統(tǒng)將新域DNS全名的最左邊一段設(shè)置成NetBIOS域名。 (8)單擊“下一步”按鈕，打開“數(shù)據(jù)庫和日志文件位置”對話框。默認(rèn)情況下，系統(tǒng)已經(jīng)設(shè)置了目錄位置，用戶可以不改變。 (9)單擊“下一步”按鈕，打開“共享的系統(tǒng)卷”

56、位置設(shè)置對話框。共享的系統(tǒng)卷名為SYSVOL，是一個文件夾，用于存放域的公用文件的服務(wù)器副本，供系統(tǒng)管理員所用，其內(nèi)容和維護由系統(tǒng)自動進行。每一個域控制器都會有一個共享的系統(tǒng)卷，而且，每一個域控制器共享系統(tǒng)卷內(nèi)的內(nèi)容均相同，因為它們會自動復(fù)制。默認(rèn)情況下，系統(tǒng)已經(jīng)設(shè)置了一個共享系統(tǒng)卷的文件夾位置，用戶可以不改變。 (10)單擊“下一步”按鈕，系統(tǒng)會彈出一個確認(rèn)DNS設(shè)置的對話框。 (11)單擊“確定”按鈕，打開“配置DNS”對話框。如果以前沒有配置過DNS，可以選擇“是，在這臺計算機上安裝和配置DNS(推薦)”選項；如果以前已經(jīng)配置過DNS，則可以選擇“否，我將自己安裝并配置DNS”選項。 (

57、12)選擇“是，在這臺計算機上安裝和配置DNS(推薦)”選項，單擊“下一步”按鈕，打開“權(quán)限”模式設(shè)置對話框。 如果網(wǎng)絡(luò)中除了有Windows Server 2003的計算機外，還有以前版本W(wǎng)indows系統(tǒng)，為了使它們能協(xié)同工作，可選擇“與Windows Server 2003服務(wù)器之前的版本相兼容的權(quán)限”選項，這個模式又叫“混合模式”；如果網(wǎng)絡(luò)中只有Windows Server 2003的計算機，可選擇“只與Windows Server 2003服務(wù)器相兼容的權(quán)限”選項，這個模式又叫“本機模式”或“私有模式”。 (13)在此選擇“與Windows Server 2003服務(wù)器之前的版本相兼

58、容的權(quán)限”選項，單擊“下一步”按鈕，打開“目錄服務(wù)恢復(fù)模式的管理員密碼”對話框。注意：這不是系統(tǒng)登錄密碼，而是在進行活動目錄恢復(fù)時所需要的密碼。 (14)單擊“下一步”按鈕，打開“摘要”對話框。這里是對前面各項設(shè)置的匯總顯示，用戶可進一步確認(rèn)。 (15)如果沒有要改動的，單擊“下一步”按鈕，系統(tǒng)開始進行活動目錄的配置。配置完成后彈出“完成Active Directory安裝向?qū)А睂υ捒颉?(16)單擊“完成”按鈕，系統(tǒng)提示重新啟動計算機。重新啟動計算機后，以系統(tǒng)管理員的用戶名administrator登錄。 2服務(wù)器的角色轉(zhuǎn)換 運行Windows Server 2003的計算機能夠按照域控制器

59、、成員服務(wù)器和獨立服務(wù)器三種角色運行，利用Dcpromo.exe命令可以在各種角色之間更改Windows Server 2003，以適應(yīng)所在單位的需要。 域控制器是使用Active Dirctory安裝向?qū)渲玫倪\行Windows Server 2003的計算機。域控制器存儲著目錄數(shù)據(jù)并管理用戶域的交互，其中包括用戶登錄過程、身份驗證和目錄搜索。 成員服務(wù)器運行的是Windows Server 2003，是域的成員但不是域控制器的計算機。成員服務(wù)器不處理用戶登錄過程，不參與活動目錄復(fù)制，不存儲域安全策略信息。成員服務(wù)器一般用做文件服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、Web服務(wù)器、證書服務(wù)器、防火

60、墻以及遠(yuǎn)程訪問服務(wù)器等。由于成員服務(wù)器是域的成員，工作時也必須登錄到域控制器上，所以它不能脫離域控制器工作。 獨立服務(wù)器是運行Windows Server 2003的計算機，但它不是域的成員。如果Windows Server 2003作為工作組成員安裝，則該服務(wù)器是獨立服務(wù)器。獨立服務(wù)器可與網(wǎng)絡(luò)上其它計算機共享資源，但沒有活動目錄所具有的任何特點。 服務(wù)器角色轉(zhuǎn)換的步驟： (1)活動目錄安裝完成后，通過“開始/運行”菜單命令，打開“運行”窗口，鍵入“dcpromo.exe”。 (2)再次啟動活動目錄安裝向?qū)Ш?，可以將域控制器降級為成員服務(wù)器，或刪除活動目錄，將域控制器降級為獨立服務(wù)器。 (3)