《望庐山瀑布》部编版

第6章基于服务器的网络应用6．1概述6.2网络操作系统的安装及访问6．3活动目录6．4客户机配置6．5用户帐户6．6组帐户6．7NTFS权限6．8共享文件夹

第6章基于服务器的网络应用6．1概述6．1概述

1.服务器

2．服务器操作系统OS3．WindowsServer2003操作系统

4．操作系统应用环境

返回6．1概述1.服务器1.服务器在基于服务器的网络中，配置一台专用的计算机，在这台计算机上运行着各种服务器程序，向网络提供各种服务，称这种计算机为服务器

返回1.服务器在基于服务器的网络中，配置一台专用的计算机，在这台2．服务器操作系统OS在基于服务器的网络中有两个明显的特点：第一，有一台专门提供网络服务的物理服务器，运行着各种服务程序；第二，在服务器上安装着网络操作系统。相对上一章讨论的操作系统，网络操作系统是一种网络专用的操作系统，主要用于网络的管理与控制，是一种功能强大的操作系统

返回2．服务器操作系统OS在基于服务器的网络中有两个明显的特点3．WindowsServer2003操作系统

WindowsServer2003是美国微软公司于2003年春天推出的网络操作系统。WindowsServer2003是WindowsNT系列网络操作系统的后续版本。1993年5月微软推出WindowsNT3.1是微软第一个基于图形用户界面的大型的网络操作系统之后，微软的网络操作系统的版本不断更新，十年内相继又推出了WindowsNT3.5、WindowsNT4.0、Windows2000Server和WindowsServer2003等

返回3．WindowsServer2003操作系统Wind4个系列版本WindowsServer2003在推出时一共推出了4个系列版本WindowsServer2003WEBEdition主要用于作为WEB服务器的操作系统。WindowsServer2003StandardEdition是标准版，用于组建中、小企业局域网，支持SMP4个CPU、4GB内存空间。WindowsServer2003EnterpriseEdition主要针对高端网络应用，支持SMP8个CPU，64GB内存空间。WindowsServer2003DatacenterEdition适合于组建大型企业网，支持SMP32个CPU、512GB内存空间

4个系列版本WindowsServer2003在推出时一4．操作系统应用环境

建立操作系统的应用环境是网络系统管理员的首要任务。主要包括操作系统的安装网络环境配置用户管理组管理文件资源管理文件资源发布打印机资源管理等返回4．操作系统应用环境建立操作系统的应用环境是网络系统管理员6.2网络操作系统的安装及访问

6．2．1 安装特点

6．2．2 安装规划

6．2．3安装的准备阶段

6．2．4安装过程

返回6.2网络操作系统的安装及访问6．2．1 安装特点6．2．1 安装特点

WindowsServer2003的安装过程则非常简单、方便。其安装的特点是系统收集信息少、重启动次数少。WindowsServer2003对系统硬件识别能力强，即插即用的功能强，所以在安装过程中基本上可以作到无人值守

另外WindowsServer2003把系统的安装与域控制器（活动目录）的安装分离开来可以把操作系统安装成一个独立服务器，独立服务器默认地安装成加入一个工作组如Workgroup待独立服务器安装完毕后，再安装域控制器，这种安排方式可以减少安装的难度返回6．2．1 安装特点WindowsServer20036．2．2 安装规划

1．关于硬件平台2．关于安装方法3．关于选用文件系统

返回6．2．2 安装规划1．关于硬件平台1．关于硬件平台

WindowsServer2003支持多种CPU平台，包括IntelCPU平台、PowerPC平台以及Alpha平台等

WindowsServer2003一般要求的硬件配置至少是奔腾133CPU、128M内存和2G硬盘剩余空间。低于这样的配置WindowsServer2003将拒绝安装。当然这只是最低的限制，作为一个网络操作系统，在一个PC服务器上安装时建议CPU应至少为PⅢ，内存至少为256MB。较高的配置才能充分发挥WindowsServer2003的性能

1．关于硬件平台WindowsServer2003支持2．关于安装方法

所谓安装方法指的是升级安装还是全新安装；是本地安装还是网络安装；是把发行盘复制到硬盘安装还是用光盘直接启动安装；是安装成单启动系统还是安装成多启动系统等

2．关于安装方法所谓安装方法指的是升级安装还是全新安装；3．关于选用文件系统

NT系列操作系统支持FAT、FAT32和NTFS格式的文件系统。NTFS文件系统具有非常优良的性能，尤其是在文件系统的安全性方面。NTFS支持文件加密，支持硬盘限额。NTFS使得只有取得合法权限的用户访问资源。NTFS不光可以对文件夹设置安全属性，还支持直接对文件设置安全属性。不只可以限制用户对文件资源的网络访问权限，还可以限制用户的本地访问权限。WindowsServer2003操作系统规定安装域控制器的前提是必须安装NTFS文件系统格式。所以只有独立服务器和成员服务器才有可能安装成FAT文件系统格式，域控制器不存在FAT文件系统格式

3．关于选用文件系统NT系列操作系统支持FAT、FAT326．2．3安装的准备阶段

用硬盘安装需要在硬盘建立一个文件夹，然后把发行盘的所有文件复制到文件夹。而对于光盘直接启动的安装方式则要设置CMOS使支持光盘启动。采取光盘直接启动的方法进行安装只需把WindowsServer2003启动盘放入光驱，重新启动系统就可以直接进入安装阶段。如果采取升级安装的方式，在NT4.0下把WindowsServer2003发行盘装入光驱

返回6．2．3安装的准备阶段用硬盘安装需要在硬盘建立一个文件夹6．2．4安装过程

基本上分两个阶段。第一阶段进行系统硬件检查并复制必要的文件。第二阶段收集系统安装过程中所需要掌握的必要信息，进行组件安装、网络组件安装、开始菜单安装和最后设置等返回

6．2．4安装过程基本上分两个阶段。1．第一阶段安装

先进行硬件系统检查，并进行必要的文件复制。当出现WindowsServer2003许可协议对话框时按F8继续然后出现磁盘分区设置的对话框并提供三种选择

1．第一阶段安装先进行硬件系统检查，并进行必要的文件复制。三种选择：Ÿ要在所选分区上安装WindowsServer2003，请按ENTER键Ÿ要在尚未划分的空间中创建磁盘分区，请按C键，然后输入磁盘分区的大小Ÿ删除所选分区请按D键，之后还要按照提示按L键或ENTER三种选择：Ÿ要在所选分区上安装WindowsServer选用哪种文件系统用NTFS文件系统格式化磁盘分区用FAT文件系统格式化磁盘分区保留原来的分区格式如果选择格式化分区，格式化完成后安装程序将文件复制到这个磁盘分区，复制完成后重新启动系统。选用哪种文件系统用NTFS文件系统格式化磁盘分区2．第二阶段

第二阶段继续收集有关信息。首先进行设备检查。进行区域设置时应选择中文（中国）。然后要求输入姓名、单位，紧跟着的对话框要求输入计算机名。计算机名是网上计算机帐户的唯一标识，不能与网上其它计算机重名。然后要求输入产品系列号接着出现“授权模式”对话框。授权模式包括两种选择：每服务器和每客户。所谓授权模式实际上是一个软件使用版权问题

2．第二阶段第二阶段继续收集有关信息。8个过程第二个阶段的安装很有规律性，一共进行8个过程，每个过程都出现一个安装进程指示。这些过程包括：△正在安装准备△正在安装网络△正在进行配置△正在完成安装△安装开始菜单项△注册组件△保存设置△删除任何用过的临时文件之后进入最后工作阶段，完成整个安装过程，此时系统重新启动

8个过程第二个阶段的安装很有规律性，一共进行8个过程，每个过3．访问服务器

把WindowsServer2003安装完成后，这台计算机就可以作为服务器向别的计算机提供服务了，例如可以作为一个文件服务器。在提供服务之前还应进行一些必要的环境建立的工作，包括用户管理、文件资源的权限管理等

3．访问服务器把WindowsServer2003安装独立服务器WindowsServer2003组成的网络可以以工作组模式或域模式两种模式工作。在上节安装过程中，已经按工作组模式进行了安装，这样的服务器称为独立服务器。独立服务器向网络只能提供本机的资源，又称为本地资源，资源访问的方便性受到了限制

独立服务器WindowsServer2003组成的网络可TCP/IP协议为了使网络上的客户机能够访问服务器，要对服务器的网络进行必要的配置。在安装过程中，已经默认安装了TCP/IP协议以及文件及打印机的服务功能。虽然安装了TCP/IP协议，但是并未对协议进行配置，所以，网络客户还不能访问这台服务器

TCP/IP协议为了使网络上的客户机能够访问服务器，要对服务帐户WindowsServer2003安装完成后，自动地建立两个帐户，一个是管理员帐户，即Administrator，对网络的所有资源具有完全的权限。另一个是guest来宾帐户，但这个帐户默认是不可以使用的。同时WindowsServer2003还建立了一些组帐户，其中有一个默认的组帐户是everyone，所有的用户帐户都默认加入这个组，包括guest帐户

帐户WindowsServer2003安装完成后，自动地资源的访问权限以administrator帐户登录，可以设置资源的访问权限。设置资源的访问权限可以通过资源管理器进行。除了Administrator以外，其它用户对文件资源默认的访问权限为只读，这是由everyone组的权限所规定的，除非进行重新配置（设置过程略）资源的访问权限以administrator帐户登录，可以设置建立新的用户和组除了系统默认的组及用户以外，管理员还可以建立新的用户和组。对这些用户及组设置了访问权限以后就可以对文件等资源进行访问。在独立服务器上建立的用户及组称本地用户及本地组。相应地，以后还要介绍域用户及组。以新建立的用户登录，即可以在本机（服务器）或客户机通过网络访问服务器的资源。不同的用户由于权限设置不同，对资源的访问具有不同的权限。这一点是与Windows98组成的对等网不同的，在Windows98中，对某文件夹的权限，所有用户都是相同的（设置过程略）建立新的用户和组除了系统默认的组及用户以外，管理员还可以建立6．3活动目录

6．3．1 域的基本概念

6．3．2域的组成

6．3．3域的结构

6．3．4 域控制器

6．3．5 安装活动目录

6．3．6 活动目录管理单元的界面

返回6．3活动目录6．3．1 域的基本概念6．3．1 域的基本概念

我们可以通过域把若干计算机组织起来构成一个计算机信息网络系统。域成员中的计算机有域控制器、域成员服务器和域成员计算机

通过活动目录，用户访问网络的任何资源可以一次性登录，即一次登录可以访问网络上的任何服务器、计算机、打印机以及文件等资源

活动目录中的组织单位可以以公司组织结构的形式建立和管理，这样就把网络的管理系统建立在了公司组织结构的基础之上，并且很完善地结合起来

返回6．3．1 域的基本概念我们可以通过域把若干计算机组织起来6．3．2域的组成

为了更深刻地理解域的概念，分析一下域的组成。首先看一下工作组即对等网的组成。如图6-7 所示

返回6．3．2域的组成为了更深刻地理解域的概念，分析一下域的组本地安全数据库

本地安全数据库

本地安全数据库

本地安全数据库

图6-7工作组的组成本地安全数据库本地安全数据库本地安全数据库本地安全数据工作组在工作组中，各个计算机以对等的地位出现，一台计算机在作为客户机共享网上资源的同时还可以向网络提供资源。网上的计算机除了上一章介绍的Windows3.X、Windows95、Windows98、WindowsMe等以外，还可以是WindowsNTServer4.0、WindowsNTWorkstation4.0、Windows2000professional、Windows2000Server和WindowsServer2003Server等

工作组在工作组中，各个计算机以对等的地位出现，一台计算机在作单域的组成一个单域的组成如图6-8所示。单域的组成与工作组不同。首先在域中的计算机运行的操作系统只能是WindowsNT4.0Server、WindowsNT4.0Workstation、Windows2000Professional、Windows2000Server、WindowsServer2003以及WindowsXP。Windows个人机操作系统，包括Windows95/98等，虽然可以访问域，但不能加入域。另外只有Windows的Server版可以作为域控制器，客户版不可以作为域控制器。当然并不是说所有的服务器都必须安装成域控制器

单域的组成一个单域的组成如图6-8所示。单域的组成与工作组不域控制器ActiveDirectory

ActiveDirectory

域控制器客户机客户机图6-8域的构成域控制器ActiveDirectoryActive域加入域的WindowsServer2003称为成员服务器。不加入域的WindowsServer2003称独立服务器，这样的服务器没有什么意义。域与工作组除了成员略有不同外最主要的不同之处是：域具有集中安全管理功能，安全管理的数据库集中存放在域控制器上，具体体现就是在域控制器上安装活动目录

域加入域的WindowsServer2003称为成员服两种模式在一个域中，如果没有Windows操作系统的早期版本，如NT4.0等，只有Windows2000和WindowsServer2003等操作系统，这样的组网模式称为本机模式，否则称为混合模式

两种模式在一个域中，如果没有Windows操作系统的早期版本6．3．3域的结构

在WindowsServer2003中采用单域和多域模式多域之间具有一定的逻辑结构，即树型的结构形式。域之间有主域与子域之分。其次，如果是一个大型的多域网络，还可以把树型域的范围扩大到域森林，从而使得域的结构更加合理。另外域之间的任何关系是可以自动传递的

返回6．3．3域的结构在WindowsServer2003容错一般中、小型的网络可以组成单域模式。出于安全考虑，在域中最好设置两个或多个域控制器小型的域当然只需要一个域控制器，较大的域或者出于容错和安全角度考虑的域结构则应该设置其它的域控制器。一个域中的域控制器没有主从之分。当一个域控制器出现问题不能对网络实施控制时，域中的另外一个域控制器可以立即单独完成域控制器的功能，达到容错与安全的目的

容错一般中、小型的网络可以组成单域模式。出于安全考虑，在域中命名体系WindowsServer2003域采用树型结构，DNS域也采用树型结构，这就使得WindowsServer2003域与DNS域具有了相同的命名体系，例如采用以“点”隔开的域名

但不能把WindowsServer2003域的概念与Internet域的概念混淆起来。WindowsServer2003的域是对网络中计算机进行管理的方法，Internet的域则是命名体系，与计算机的管理关系不大

命名体系WindowsServer2003域采用树型结构域目录树对于大型网络或出于公司管理结构需要的中小型网络可以考虑建立多域模式的网络。如图6-9所示这是一个域目录树

域目录树对于大型网络或出于公司管理结构需要的中小型网络可以考图6-9域树结构jsj.hl图6-10域林结构。图6-10所示为一个域目录林的例子

图6-10域林结构。图6．3．4 域控制器

如果你已经决定把你的网络结构设计成一个域模式结构，那么接下来还要考虑根据网络规模的大小以及企业的组织机构的形式，把网络设计成域树或者是域林

如果已经决定设计成一个单域的结构，接下来还应该考虑域的组成。所谓域的组成主要指在域中有几个域控制器。在WindowsServer2003的域中，域控制器没有主、从之分。推荐至少应该设置两个域控制器，多个域控制可以减少域控制器管理网络的负担并提高域的容错性能

域控制器就是一台服务器，在这台服务器上安装并配置了活动目录组件。稍后会看到，配置成域控制器后，在启动菜单的管理工具中增加了几个有关活动目录的管理工具。正是基于这些管理工具，域控制器才能使系统管理员对网络实施有效的管理与控制

返回6．3．4 域控制器如果你已经决定把你的网络结构设计成一个几点说明

1.对域控制器的相关操作只有系统管理员才具有权限。例如Administrator用户。2.安装相应的网络服务软件。3．配置IP地址。由于域需要与DNS相配合，而DNS服务器要求该计算机的IP地址应为静态的，所以在安装域控制器之前，应首先为此计算机设置IP地址。4，设计好域名。如果你的网络与Internet是连接的，那么，域名系统应该遵循Internet域的命名体系如果你的网络是一个与Internet不进行连接的内部网络，这时，可以自行设计域名体系，但建议应采用Internet的域名体系以便兼容

几点说明

1.对域控制器的相关操作只有系统管理员才具有权限。本书例子

第一个域控制器

安装WindowsServer2003操作系统

安装Windows2000Professional

安装Windows98操作系统本书例子 第一个域控制器6．3．5 安装活动目录

安装活动目录的实质是配置域控制器。按照域的结构，域控制器可以安装成第一个域控制器、额外域控制器和子域的域控制器任何网络，无论是单域、域树或域林，所安装的第一个域控制器称为第一个域控制器。一个域如果已经安装了一个域控制器，再安装的域控制器称额外域控制器。在一个域树的根域下再安装的域称为子域，子域的域控制器称子域域控制器。在网络中，无论是单域、域树还是域林，第一个域控制器非常重要，在其上运行着全局编录的数据库，以便在整个网络内实现互相访问。通过配置您的服务器向导，可以完成域控制器的配置，从而实现活动目录的安装（安装过程略）返回6．3．5 安装活动目录安装活动目录的实质是配置域控制器。6．3．6 活动目录管理单元的界面

ActiveDirectory用户与计算机是应用最广、应用最多，也是最常用的管理单元。网络或域的计算机、文件、打印机、用户、组等都是通过这个管理单元进行管理的。除此之外，通过ActiveDirectory用户与计算机组件还可以把共享文件夹、打印机等在域中进行发布和实施组策略等。因为域中的计算机（运行Windows2000或WindowsServer2003操作系统）在网上邻居→全体网络中都可以看到活动目录的图标——目录，这样域中的用户都可以非常方便地了解和利用活动目录来使用域资源

返回6．3．6 活动目录管理单元的界面ActiveDirec《望庐山瀑布》部编版界面窗口窗口分成两个子窗口左侧为控制台树，在树中的一组节点为管理单元，如图中的Users等。选中某一个单元，在右侧显示该单元的详细子项。可以看到MMC控制台的界面与Windows的资源管理器相仿。而且许多管理工具如DNS、DHCP、WINS、IIS等都采用相同的界面

界面窗口窗口分成两个子窗口2．活动目录中涉及到的几个概念

在ActiveDirectory用户与计算机管理单元中，经常涉及到一些概念，在下面予以介绍

2．活动目录中涉及到的几个概念在ActiveDirect（1）对象ActiveDirectory用户与计算机管理的计算机、用户、组、文件、打印机等称为对象。对象具有一些属性，例如用户对象具有登录名、口令、地址、电话、单位等等一些属性

（1）对象ActiveDirectory用户与计算机管理的（2）容器容器也是一种对象，但容器可以包含其它的对象与容器，也就是说容器是可以嵌套的。例如组织单位是一个对象，是一种容器对象在组织单位中可以包含其它的对象。很明显，容器是用于管理对象的，通过容器把对象按照相应的对象类别进行组织，使得活动目录按照阶梯型的结构进行层次管理

（2）容器容器也是一种对象，但容器可以包含其它的对象与容器，（3）组织单位组织单位是一种容器。组织单位也是为了便于对对象进行组织和管理而设置。组织单位是一种非常有特色的管理方法，使得网络的结构与公司的管理层次结构相对应，更便于对网络进行管理

（3）组织单位组织单位是一种容器。3．ActiveDirectory用户与计算机的界面

如图6-33所示,左侧的控制台树中，以为根，以对象为结点。这些结点都是一些容器结点。选中某一个容器，在右侧显示其中的详细项目。例如选择计算机组织单位，显示其中包含域的一些组及用户。

3．ActiveDirectory用户与计算机的界面如图Users其内包含域中的部分组及用户对象。Builtin其内包含域中由系统内置的一些本地域组，例如ServerOperators组是内置的组，其成员拥有管理域控制器的权限。Computers默认的域计算机组织单位。成员包括域中的客户机、成员服务器等。DomainControler域控制器所在的容器。Users其内包含域中的部分组及用户对象。Builtin6．4客户机配置

6．4．1 概述

6．4．2 Windows98客户机

6．4．3 WindowsXP客户机

6．4．4 Windows2000客户机

返回6．4客户机配置6．4．1 概述6．4．1 概述

在WindowsServer2003域中，可以使用多种客户机。包括

Windows95、Windows98、WindowsME、WindowsNT、Windows2000、UNIX、Linux以及Maciontosh等等。本书主要介绍Windows98、WindowsXP和Windows2000Professional作为客户机操作系统的配置

返回6．4．1 概述在WindowsServer2003域6．4．2 Windows98客户机

由于Windows98对计算机硬件资源要求比较低，是目前低档机操作系统的首选。但Windows98作为域的客户机并不理想，原因是WindowsServer2003对其支持不好。Windows98虽然可以访问域，但Windows98客户机并不能成为域成员，不能方便地使用域的资源，如目录等。同时也不能在ActiveDirectory用户与计算机管理单元对计算机进行管理等

VPN返回6．4．2 Windows98客户机由于Windows986．4．3 WindowsXP客户机

WindowsXPProfessional（简称XP）是2001年秋推出的32位操作系统。WindowsXP可以加入WindowsServer2003域，并可以真正成为域成员计算机。返回

6．4．3 WindowsXP客户机WindowsXP6．4．4 Windows2000客户机

WindowsServer2003对Windows2000作为客户机支持最好，可以说是天衣无缝。所以建议在以WindowsServer2003作为操作系统的网络中，客户机选用Windows2000，可以得到完全的网络服务。首先Windows2000可以作为域成员。另外Windows2000Professional能够被识别并自动把该计算机帐户加入Computer容器，在此容器中对该计算机进行管理。而且Windows2000Professional登录后，在网上邻居中将出现“目录”图标，使得客户机可以非常方便地访问域活动目录中的网络资源

返回6．4．4 Windows2000客户机Windows6．5用户帐户

6．5．1帐户的基本概念

6．5．2帐户的建立

6．5．3用户帐户的管理

返回6．5用户帐户6．5．1帐户的基本概念6．5．1帐户的基本概念

WindowsServer2003有两类帐户。一类是本地帐户一类是域帐户

返回6．5．1帐户的基本概念WindowsServer20本地帐户本地帐户是在成员服务器、独立服务器计算机中可以建立的一种帐户，可以访问这些计算机中的资源。本地帐户只可以访问计算机本地资源，而不能访问域网络资源。本地帐户建立在本地计算机的用户数据库中，由本地计算机的超级用户进行管理。但本地帐户的用户不能访问域网络的资源。在域网络中，不提倡使用本地用户帐户。本地帐户可以通过“计算机管理”工具进行设置

本地帐户本地帐户是在成员服务器、独立服务器计算机中可以建立的域用户帐户另一类是域用户帐户，本节主要介绍的概念都是针对这种用户。域用户在有限的权限内可以访问域中的资源，由域网络管理员对域用户实施有效的管理。域用户的建立以及所有的管理工作基本上可以在管理工具ActiveDirectory用户与计算机中进行。域用户的资料信息存放在域安全数据库中。当设计好活动目录及组织单位后，可以把用户帐户建立在某个组织单位中。当然，也可以建立在默认的Users组织单位中。一般还可以把用户帐户划归到某个组中以便管理和访问资源

域用户帐户另一类是域用户帐户，本节主要介绍的概念都是针对这种网络上的用户有两种网络上的用户有两种。一种是普通用户帐户；还有一种是管理员帐户，又称为超级用户帐户这两种帐户的区分主要是指访问网络资源的权限的大小。如果一个用户的权力足以大到与管理员权力等同时那他就是一个超级用户。普通用户只可以访问网络、使用网络资源。超级用户具有至高无上的权限，可以负责对普通用户帐户的所有管理工作。最重要的是，系统管理员可以管理整个域网络，包括网络的安装、规划、设备与资源的管理与使用等

网络上的用户有两种网络上的用户有两种。一种是普通用户帐户；还默认的两个帐户网络安装好以后，默认地建立两个帐户。一个是普通用户帐户Guest；一个是网络管理员帐户Administrator。Guest又称来宾帐户，这是为临时访问网络的用户提供的。由于存在不安全性，WindowsServer2003在安装后默认设置其为不可用

在安装网络时安装向导曾提问要求输入一个管理员帐户的密码，就是为这个帐户建立的。所以安装WindowsServer2003的人自然就是系统管理员，具有管理整个网络的权力。这个帐户的名字不能更改，帐户也不能删除，具有特殊的属性。默认的两个帐户网络安装好以后，默认地建立两个帐户。一个是普通6．5．2帐户的建立

通过“ActiveDirectory用户与计算机”可以进行用户帐户的建立和管理。基本上可以通过三个操作建立一个用户的帐户。一是关于用户帐户的名字；一是关于帐户的口令；还有就是设置用户帐户的属性。（过程略）返回6．5．2帐户的建立通过“ActiveDirectory6．5．3用户帐户的管理

实际上建立帐户和根据属性查找用户等都包含在管理用户帐户的操作范围内除此之外，还包括为用户重命名、改变口令、限制用户登录等这些操作都可以使用该用户快捷菜单中的相关命令进行

返回6．5．3用户帐户的管理 实际上建立帐户和根据属性查找用户（1）用户登录时间的设置

登录时间的限制具有某种安全的意义。例如限制用户只能在每周的工作日及工作时间内进行登录，其它时段拒绝用户登录

（1）用户登录时间的设置用户登录工作站的设置

一个合法的用户帐户，默认为可以在任何客户机上登录。这样为用户使用域网络资源提供了方便，但也存在某些不安全因素的存在，可以通过对用户帐户登录站点的限制解决

用户登录工作站的设置一个合法的用户帐户，默认为可以在任何客3．用户快捷菜单上的其它命令

△停用/启用帐户 可用于设置停用和启用用户帐户。△重命名可以为用户重新设置一个新的名字。如果一个职工离开了企业，建议不要删除该帐户，可以设置为“停用”帐户。等新职工调进来接替其工作后再启用该帐户。重命名一个用户帐户后，其原来的所有权限和组关系等都不变。这是由于系统对用户的识别是用该用户的安全标识符（SID），而非用户的名字。赋予用户的权限等也使用标识符。△重设密码如果用户密码到期或者忘记了密码，可以用该命令重新为用户设置一个新的密码。除此之外，还有两个常用的命令，“将成员添加到组…”可以把一个用户添加到某个组中。“移动”则可以使用户帐户在不同的组织单位内移动，以便于选择一个新的组织单位。

3．用户快捷菜单上的其它命令△停用/启用帐户 可用于设置停 6．6组帐户

6．6．1组的概念

6．6．2组的类型

6．6．3内置组

返回 6．6组帐户6．6．1组的概念 6．6．1组的概念

设立组的目的是为了对用户帐户加强管理。这里所说的管理主要是指设置用户访问资源的权限问题。建立了用户帐户后，就要对用户访问资源的权限进行设置。一个小规模的具有几十个以下用户帐户的网络，对每个用户分别设置相应的权限应该是不成什么问题。但是对于一个具有成千上万个用户的大规模的网络，如果用户帐户的管理是无序、无组织的，对每个用户都要分别设置对资源访问的权限，无疑其管理的工作量将是非常巨大的，而且还可能会出现信息安全方面的漏洞及隐患。设立了组帐户，就可以把具有同等责任、同样权限或公司中同一组织构成的用户组成一个组，然后再对这个组分配访问资源的权限。返回 6．6．1组的概念 设立组的目的是为了对用户帐户加强管理续

在一个组织单位中建立了用户及组帐户后，就可以通过组帐户的属性把用户加到相应的组中来，也可以把某些组加入到规定的另外的组中。这些工作可以通过活动目录由系统管理员或其它具有管理员权限的用户进行操作

除了由管理员建立的组以外，同用户帐户一样，在安装了系统之后系统还将内置一些组帐户

同用户帐户一样，组帐户也区分域的组帐户和本地组帐户。只有成员服务器、独立服务器和Windows2000Professional计算机才可以设置本地组帐户，以便对本地用户帐户进行管理。对于域控制器计算机不能设置本地组帐户。与用户帐户一样，本地组帐户的设置没有实际意义

续 在一个组织单位中建立了用户及组帐户后，就可以通过组帐户的 6．6．2组的类型

1．分类方法

2．分类的意义

3．把用户加入组

4．组的建立返回 6．6．2组的类型1．分类方法1．分类方法

如果按照安全性来分类把组分为两类：一类是安全组，即具有访问权限设置功能的组，一般建立的都属于安全组。另一类是分布组

如果按照组的成员及组的作用范围来分类可以把组分为三类：一类是全局组；一类是通用组；还有一类是本地域组。单域的结构只具有全局组和本地域组，多域结构才增加通用组。另外，只有本机模式下才可以建立通用组

1．分类方法 如果按照安全性来分类把组分为两类：一类是安全组 2．分类的意义

把组分为全局组、通用组和本地域组是从两个方面考虑的。一个是从组的成员角度考虑；一个是从访问资源的角度考虑

从组成员角度考虑针对的是全局组和通用组。从资源角度考虑针对的是本地域组

2．分类的意义把组分为全局组、通用组和本地域组是从两个方全局组和通用组我们知道，域中的用户帐户就是指人，组是对人的分组（包括全局组和通用组）。一般的企业、公司都具有组织机构，人在不同的组织机构中，例如销售组、财务组等。那么通过组就可以按一定的组织机构把用户帐户组织起来。所以可以认为组是对用户帐户的分类，例如把销售部的用户用一个全局组组织起来

全局组和通用组我们知道，域中的用户帐户就是指人，组是对人的分本地域组

访问网络的资源，例如文件、文件夹和打印机等，需要具备访问权限。建立一个组并设置这个组对资源访问具有某些权限，这样的组称本地域组。可见本地域组是针对资源的，是对资源访问的权限进行分类的。当某些用户或全局组的用户成员需要具备对该资源的访问权限时可使其加入这个组

本地域组 访问网络的资源，例如文件、文件夹和打印机等，需要具 3．把用户加入组

先把用户帐户加入到全局组然后再把全局组根据对资源的访问权限加入到不同的本地域组中去当然在此之前应该已经设置了某个本地域组对某个资源的访问权限

3．把用户加入组先把用户帐户加入到全局组4．组的建立

通过ActiveDirectory用户与计算机的管理工具建立组（略）4．组的建立通过ActiveDirectory用户与计算6．6．3内置组

内置组是WindowsServer2003安装了活动目录之后自动建成的组。内置组主要分为三类，即内置本地域组、内置全局组和系统组

返回6．6．3内置组内置组是WindowsServer201．内置本地域组

与建立的本地域组一样，内置的本地域组也是针对权限访问而设立的，这些组本身已经被赋予了一些权力和权限。本地域组一般都建在builtin容器中。△Administrators这个组的成员都具有系统管理员的权限可以管理整个域。系统内置的Administrator帐户就是这个组的成员。其成员还包括了几个内置的全局组。

△SeverOperators这个组的成员可以管理域控制器计算机。例如可以在域控制器计算机上登录并对文件夹及文件进行管理等。

△AccountOperators这个组的成员拥有管理域控制器的权利，可以对域中的用户及组帐户进行操作，例如建立和管理这些帐户等

1．内置本地域组

与建立的本地域组一样，内置的本地域组也是 2．内置全局组

内置全局组也是用于对用户帐户进行组织和管理的。主要有DomainAdmins全局组、Domainusers全局组、DomainGuest全局组和EnterpriseAdmins全局组等。系统默认自动把DomainAdmins加入到Administrators本地域组中。可见此全局组中的成员权力是非常大的，必须格外谨慎。此组默认的成员是Administrator。

2．内置全局组内置全局组也是用于对用户帐户进行组织和管理 3．内置系统组

内置的系统组在ActiveDirectory用户与计算机的管理工具中是不可见的。只有在进行资源访问权限设置时才可以看到。例如我们经常看到的Everyone就是一个系统组。任何一个访问计算机的用户都默认是这个组的成员，且无法更改

3．内置系统组 内置的系统组在ActiveDirect 6．7NTFS权限

6．7．1NTFS权限的基本概念

6．7．2NTFS权限的类型

6．7．3 NTFS权限设置

6．7．4 有效权限

6．7．5 复制和移动后的权限返回 6．7NTFS权限6．7．1NTFS权限的基本概念6．7．1NTFS权限的基本概念

NTFS文件系统具备完善的文件系统资源访问控制的功能,在网络上可以进行文件夹级的保护。在本地既可以对文件夹级进行保护，也可以进行文件级的保护

对于一个网络管理员，在规划网络环境时的重要任务就是规划网络资源的应用环境，设置网络资源的访问权限。设置文件及文件夹的NTFS权限是建立网络应用环境的基础工作。首先应建立若干本地域组，然后设置不同的本地域组对文件资源的相应权限。再建立若干全局组，把全局组或某些个别用户帐户加入到本地域组中以便获取相应的资源。返回6．7．1NTFS权限的基本概念NTFS文件系统具备完善6．7．2NTFS权限的类型

NTFS权限包括文件夹的权限和文件的权限。文件夹的权限与文件的权限不同。有时即使权限名相同，其含义也不一定完全相同

返回6．7．2NTFS权限的类型NTFS权限包括文件夹的权限和1．文件夹权限类型

△读取（Read）显示文件夹中的文件及子文件夹；显示文件夹的属性、权限分配的情况和文件夹的所有者

△写入（Write）在文件夹中建立文件和子文件夹；改变文件夹的属性；显示文件夹的所有者和权限分配情况。

△列出文件夹目录（ListFolderContents）显示文件夹中的文件和子文件夹的名字，又称作遍历。

△读取和运行（ReadExecute）此权限与“列出文件夹目录”的权限基本相同，唯一不同之处是权限的继承性。“列出文件夹目录”的权限只是由文件夹继承，而“读取及运行”可以由文件夹与文件同时继承。

△修改（Modify）修改文件夹的名字和删除文件夹并具有“写入”、“读取和执行”权限。

△完全控制（FullControl）拥有所有NTFS文件夹的权限。可以修改权限和取得文件夹的所有权。1．文件夹权限类型

△读取（Read）显示文件夹中的文件2．文件权限类型

△读取显示文件内容；显示文件的属性、所有者和权限分配情况。

△写入可以将文件覆盖、改变文件的属性、查看文件的所有者和权限等。拥有此权限只能将整个文件覆盖掉但不能改写文件内的数据。

△读取与运行拥有读取文件的权限并具有运行应用程序的权限。

△修改可以更改文件内的数据、删除文件、重命名文件，同时拥有“写入”和“读取及运行”的权限。

△完全控制 拥有所有NTFS权限，拥有“修改权限”与“取得所有权”的权限。文件和文件夹还可以设置特殊属性，是在列表以外的属性，可以通过单击安全属性设置对话框中的“高级”按钮进行进一步的设置。

2．文件权限类型

△读取显示文件内容；显示文件的属性、 6．7．3 NTFS权限设置

在进行NTFS权限设置时，可以对文件夹及文件进行属性设置、权限设置、继承权设置、特殊权限设置以及所有权更改等。这些设置都是在“我的电脑”或“资源管理器”中进行。（略）返回 6．7．3 NTFS权限设置在