文件权限管理及共享、文件压缩及加密、FSRM、DFS

第02部分

文件权限管理及共享文件权限管理及共享、文件压缩及加密、FSRM、DFS本章重点关于文件共享的基础知识共享公用文件夹共享任意文件夹根据账户名称赋予不同的权限将共享文件夹发布到AD数据库管理共享资源与高级共享标准NTFS文件权限的种类读取(Read)写入(Write)读取及执行(Read&Execute)修改(Modify)完全控制(FullControl)标准NTFS文件夹权限的种类读取(Read)写入(Write)清单文件夹内容(ListFolderContents)读取及执行(Read&Execute)修改(Modify)完全控制(FullControl)使用者的有效权限NTFS权限有继承性NTFS权限有累加性的(cumulative)「拒绝(deny)」权限会覆盖所有其他的权限文件权限会覆盖文件夹的权限文件与文件夹的拥有权建立文件或文件夹的使用者，就是该文件或文件夹的拥有者文件夹或文件的拥有者，具备有变更此文件夹或文件权限的能力使用者若具备以下的条件之一，便可以取得拥有权对该文件或文件夹拥有“取得拥有权(takeownership)”的特别权限。系统管理员，也就是隶属于administrators群组的使用者。无论他对文件或文件夹拥有何种权限，他永远具备有“取得拥有权”的权限。具备“取得文件或其它对象的所有权”权利的使用者。共享文件与文件夹建立网络的一个主要目的就是共享文件,历经数十年的发展,如今各操作系统在这方面都有长足的进步。WindowsServer2008不但改进了操作界面,让使用者能轻松完成设定；更有充分的权限控管机制,在便利与安全之间取得适当的平衡。关于文件共享的基础知识从WindowsServer2003到WindowsServer2008,在共享文件方面的改变大致如下：可以共享单一文件：每位本机账户使用者都有权在『用户配置文件』所在的文件夹（亦即%SystemDrive%\Users\%Username%）,设定共享单一文件或文件夹。举例来说,即使John只是一位标准使用者,仍可以将%SystemDrive%\Users\John文件夹的『年度旅游计划.doc』设为共享,但是在其它文件夹就无法设定任何共享。关于文件共享的基础知识这种新的文件共享方式称为『In-profileSharing』（在配置文件文件夹的共享）。不过虽然设定了In-profileSharing,但是从其它计算机透过网络(WindowsVista)或网络上的邻居

(WindowsXP)来读取时,不会直接看到文件。而是看到Users资料夹,双按此文件夹之后看到John资料夹,再进入John文件夹之后,才会看到『年度旅游计划.doc』文件。关于文件共享的基础知识内建公用文件夹公用文件夹是一个由系统自动建立、『专为共享而设计』的资料夹,虽然显示的是中文名称,但是实际所对应的是%SystemDrive%\Users\Public文件夹。对于本机账户使用者而言,无论账户类型是标准使用者或系统管理员,都能读取公用文件夹的内容。关于文件共享的基础知识没权限就看不到共享的文件在2003搭配XP的年代,只要是共享到网络上的数据夹,所有的网络用户都看得到。虽然可能是『看得到名称、读不到内容』,却已经被有心人士知道了共享文件夹的名称,等于提供了一条破解的线索。因此从Vista和2008开始,必须对共享文件夹有至少『读取』权限的使用者,浏览网络时才能看到该数据夹,这种功能称为ABE（Access-BasedEnumeration）。关于文件共享的基础知识启动网络探索才能看到网络资源网络探索（NetworkDiscovery）是从WindowsVista才出现的功能,系为了解决在XP时代设定了共享之后,其它计算机却无法立即看得到该共享资源的问题。倘若网络上的计算机都支持并启动网络探索功能,当其中一部新增了共享文件夹或共享印表机,便会主动广播相关讯息,让其它的计算机知道这些新增的网络资源。关于文件共享的基础知识在WindowsServer2008,预设关闭网络探索功能,所以执行『开始/网络』命令时看不到其它计算机；其它计算机的用户执行同样命令时,也看不到WindowsServer2008计算机。用户对共享目录的有效权限共享权限有累加性的(cumulative)「拒绝(deny)」权限会覆盖所有其他的权限最后有效权限是Min(共享有效权限,NTFS有效权限)文件拷贝或移动后权限的变化Demo设置共享文件夹读取公用文件夹将WindowsServer2008的公用文件夹设为了共享之后,使用者在WindowsVista计算机可用以下的任一种方式来读取该文件夹：1.按开始钮（若在WindowsXP则执行『开始/执行』命令）,输入"\\服务器的IP地址\Public"或"\\服务器的计算机名称\Public"。例如：『\\192.168.0.141\Public』或『\\2008SVR1\Public』,按Enter键。读取公用文件夹2.若是在命令提示字符视窗,输入"Start\\服务器的IP地址\Public"或"Start\\服务器的计算机名称\Public"。例如：『Start\\192.168.0.141\Public』或『Start\\2008SVR1\Public』,按Enter键。3.若本机和服务器都启动了网络探索,我们执行『开始\网络』命令后,便会看到网络上所有已设定共享的电脑,双按服务器的计算机名称,即可看到public文件夹。读取公用文件夹以上的『\\计算机名称或IP地址\文件夹的共享名』称为UNC（UniversalNamingConvention）名称,广泛应用于读取网络上的共享资源。对于尚未登入域的使用者,读取上述的公用文件夹时,会遇到要求输入用户名称和密码的交谈窗,如下图：读取公用文件夹对于已经登入域的使用者,因为在登入时已经输入域使用者名称和密码,所以会直接看到公用文件夹的内容,无须再次输入名称与密码。将指定的文件夹设为共享此时我们有读取装置、参与者和共同拥有者3种权限层级可供选择,它们所代表的意义如下：将指定的文件夹设为共享简单地说,读取装置只能读、不能改；参与者能有限度地读与改,但不能自己扩大权限；共同拥有者则有最大权限,可执行任何动作。通常我们共享给所有使用者时,只会赋予读取装置层级的权限。读取共享出来的任意文件夹如同先前读取公用文件夹一般,读取共享出来的任意数据夹,也是利用开始/网路命令或UNC名称。假设要从Tony-vista计算机读取SVR2008-05计算机的『工具程序』资料夹,有以下方式：1.在Tony-vista计算机执行『开始/网络』命令若双方都启动了『网络探索』功能,那么执行『开始/网络』命令后,网路窗口就会出现SVR2008-05电脑,双按该计算机即可见到共享文件夹。读取共享出来的任意文件夹2.在Tony-vista计算机输入共享文件夹的UNC名称当SVR2008-05或Tony-vista其中一方关闭了『网络探索』功能,那么在Tonyvista的网路窗口就不会出现SVR2008-05计算机。此时请按开始钮、输入"\\SVR2008-05\工具程序"、按Enter键,即可检视该文件夹的内容：隐藏共享文件夹脱机文件脱机时仍然可以存取网络文件脱机文件(续)

维持文件的一致性:重新联机时若用户变更过缓存文件的内容，但是网络文件的内容并没有被变更过，则系统会将缓存文件复制到网络计算机，并覆盖掉网络文件若用户并未变更缓存文件的内容，但是网络文件的内容被变更过，则系统会将网络文件复制到本机计算机，并覆盖掉缓存文件若网络文件与缓存文件都有被变更过，则系统会让用户选择要保留哪一个文件，或者将两个文件都保留网络计算机端的脱机文件设定开始

计算机

对着共享文件夹右键单击

内容

点击共用标签下的进阶共用钮

按缓存钮】客户端的使用者

如何脱机使用文件客户端的使用者如何脱机使用文件启用脱机文件设定可脱机使用的文件同步处理启用脱机文件WindowsVista客户端计算机默认已经启用了脱机文件功能WindowsServer2008客户端必须另外启用开始

控制面板

脱机文件

按启用脱机文件钮

依照指示重新启动计算机同步处理在网络联机正常时，您所存取的文件仍然是网络计算机内的文件。系统会自动同步您的脱机文件，当网络文件内容有变更时，它会被复制到您的计算机的快取区内，反之亦然若您有需要立刻同步的话，可手动同步对着脱机文件右键单击

同步或是点击前面图上方菜单中的同步处理同步处理(续)若您计算机与网络计算机正常联机中，但是链接速度却很慢，影响到您编辑网络文件的话，此时只要点击前面图上方的脱机工作就可以编辑本机快取区内的文件副本等文件编辑完成后，点擊在线工作来执行同步工作，以便将较新版的本机文件副本复制到网络计算机内同步中心可以通过同步中心来进一步的管理同步工作开始

控制面板

同步中心还可以通过【开始

控制面板

脱机文件】来开启同步中心。也可以通过它来浏览脱机文件测试脱机文件是否正常运作脱机时所看到的画面若您变更脱机文件的内容，则当您将计算机重新联机后，通过同步动作就可以将这个新文件复制到网络计算机，并覆盖掉网络文件同步文件冲突如果网络文件与缓存文件都有被变更过，则系统会通过右下角的同步中心图示来提醒您，此时请点击此同步中心图示来查看有冲突的文件然后可以【点选文件

按解析钮】来选择要保留哪一个文件，或者将两个都保留(其中一个会被更改档名)巻影副本还原旧文件若使用者将共享文件夹内的文件误删或误改文件内容后，却后悔想要救回调案或还原文件内容的话，他可以通过巻影副本储存區内的备份文件来达到目的共享文件夹的巻影副本(ShadowCopiesofSharedFolders)巻影副本(续)

启用网络计算机「共享文件夹的巻影副本」功能开始

计算机

对着欲启用巻影副本的磁盘右键单击

内容

巻影副本标签预设为星期一到星期五的上午7:00与下午12:00两个时间点各自动新增一個巻影副本每一个磁盘最多只可有64个巻影副本客户端如何存取「巻影副本」内的文件

链接到共享文件夹后对着文件右键单击

还原旧版链接到共享文件夹后对着文件列表画面中的空白区域右键单击

内容第02部分

文件压缩及加密文件权限管理及共享、文件压缩及加密、FSRM、DFS本章重点数据加密允许他人解密数据加密恢复代理数据压缩数据加密与压缩数据加密WindowsServer2008对文件夹与文件的加密功能称为

EFS（EncryptingFileSystem,加密文件系统）。启用此功能后,EFS在存档时会先将数据加密后再写入；而读取加密过的文件时,也会自动先解密。换言之,加密与解密动作都是由系统在幕后自动执行,使用者在操作上无须做任何改变。EFS的使用时机一般而言,加密大多是应用在透过公开媒体传递讯息的情况,例如：透过因特网传递重要的信件、进行电子商务交易等等。既然如此,为何需要对储存在硬盘的文件夹与文件加密呢？只要设定适当的存取权限,限制未获授权的使用者不得存取文件,不就可以保障个人资料的隐私吗？EFS的使用时机透过访问权限来保护文件夹与文件,虽然在大多数的情况下都很安全,但仍有其无法避免的漏洞。举例而言,若有人偷走整部主机或整部硬盘,然后将硬盘安装到其它的WindowsServer2008系统,此时原先所设定的访问权限保护就会失去作用,对方就能存取该硬盘里的数据。然而若事先将文件加密,那么他便无法看到真正的内容。EFS的使用时机虽然在理论上,对方仍可用破解的方式将加密的数据还原,但实际上此种作法需拥有运算能力强大的电脑,再加上足够长的运算时间,这样高的门坎已经不是一般黑客族所能跨越。所以EFS已经可以为多数人的资料提供足够的保护能力。

明文密文

密文明文加密密钥解密密钥加密解密对称密钥加密标准

对称密钥加密是指在对信息的加密和解密过程中使用相同的密钥。或者，加密和解密的密钥虽然不同，但可以由其中一个推导出另一个。也称为私钥加密法。常用标准：数据加密标准DES（DataEncryptionStandard），此标准由IBM公司开发，现在已成为国际标准。国际数据加密算法（IDEA），它比DES的加密性好，而且需要的计算机功能也不那么强。对称密钥加密过程特点优点：加密算法比较简便高效，密钥简短，破译极其困难，加密速度快，适合大数据量加密。缺点：密钥难于安全传递密钥量太大，难以进行管理无法满足互不相识的人进行私人谈话时的保密性要求。难以解决数字签名验证的问题。公开密钥加密标准

公开密钥加密是指在加密和解密过程中，分别由两个密钥来实现，并使得由加密密钥推导出解密密钥（或由解密密钥推导出加密密钥）在计算上是不可行的。采用公开密钥加密的每一个用户都有一对选定的密钥，其中加密密钥不同于解密密钥，加密密钥公之于众，谁都可以用，称为“公开密钥”（public-key）；解密密钥只有解密人自己知道，称为“私密密钥”（private-key），公开密钥加密也称为不对称密钥加密。RSA算法公开密钥加密方法的典型代表是RSA算法。RSA算法是1978年由RonRivest，AdiShamir和LeonardAdleman三人发明的，所以该算法以三个发明者名字的首字母命名为RSA。RSA是第一个既能用于数据加密也能用于数字签名的算法。但RSA的安全性一直未能得到理论上的证明。简言之，找两个很大的质数，一个作为“公钥”公开，一个作为“私钥”不告诉任何人。这两个密钥是互补的，即用公钥加密的密文可以用私钥解密，反过来也可以。RSA加解密过程

特点优点密钥分配简单。可以通过各种公开渠道传递“公开密钥”。密钥的保存量少。发信人只需保存自己的解密密钥，N个人只需产生N对密钥，便于密钥管理。可以满足互不相识的人之间进行私人谈话时的保密性要求。

可以完成数字签名和数字鉴别。发信人使用只有自己知道的密钥进行签名，收信人利用公开密钥进行检查，既方便又安全。缺点加密速度慢，不适合大数据量加密。两种加密方式的比较比较项目代表标准密钥关系密钥传递数字签名加密速度主要用途对称密钥加密DES加密密钥与解密密钥相同必要困难快数据加密公开密钥加密RSA加密密钥与解密密钥不同不必要容易慢数字签名、密钥分配加密1EFS概述－工作原理当用户初次加密文件时，EFS会在本地证书存储区内寻找供EFS使用的证书

然后EFS取出用户证书中指定与EFS一起使用的公钥，并使用基于公钥的RSA加密算法加密FEK

EFS取出用户证书中指定与EFS一起使用的公钥

EFS将FEK存储在正被加密的文件的头中的数据解密字段（DDF，DataDecryptionField）中12341EFS概述－EFS加密原理使用EFS时的注意事项使用加密功能时要注意以下3点：1.不能对于具有『系统』属性的文件加密,也不能对%systemroot%（预设是C:\Windows）文件夹加密。2.对于同一文件或数据夹,不能既加密又压缩,只能择一使用。3.不能对整部磁盘驱动器加密。启用文件夹加密如果要加密的数据量很大,加密的时间会久一点。完成后,在右下角的通知区域会出现以下的讯息：启用文件加密倘若复选多个文件一次加密,而且在上图未曾勾选永远只加密文件多选钮,则上述的加密警告交谈窗会针对每个文件逐一询问。利用上述方式,便可以在未加密的文件夹中,将特定的文件加密。不过还是建议系统管理员避免对个别的文件加密,以方便管理。备份加密密钥当我们初次启用加密功能时,系统会提醒要备份加密密钥。其主要的目的是考虑到自己的账户被误删或帐户数据库损毁,都会导致再也无法将加密档予以解密,这些加密文件便成为『孤儿文件』－－因为无人能解读其内容！即使系统管理员重建一个相同名称的帐户,由于会重新产生公钥与私钥,必定与先前加密时所用的不同,因此仍无法对原先的加密档解密。备份加密密钥要解决这个问题,有以下三种方案：1.加密者自行备份加密密钥。2.由加密者设定让其它人也能解密。3.由系统管理员设定『数据加密恢复代理人』。其中以第一个方案最单纯,因为不涉及他人,完全由自己掌控,所以先介绍,后两个方案则留在后文。搬移或复制对加密数据的影响由于『加密』是存在于NTFS文件系统的一种属性,所以若将加密的文件搬移到非NTFS文件系统的储存媒体,该文件就会自动被解密。例如：磁盘片、光盘、磁带和USB随身碟等等。同理,复制到FAT/FAT32文件系统的硬磁时,复制过去的文件也是未加密。当文件要以非加密状态储存时,系统会显示以下的交谈窗提醒使用者。允许他人解密如果文件需要加密,却又得提供给非加密者读取,该怎么办呢？以企业来说,两位副总经理互为职务代理人,因此必须能互相读取对方加密过的文件。此时加密者本人即可指定让谁也能解开特定的文件,换言之,等于是设定谁能与自己『共享加密文件』。数据加密恢复代理虽然EFS提高了文件的保密性,但是却可能衍生出问题,例如：删除了某个离职员工的账户后,才发现还有重要的文件是以该账户加密。或者因为硬盘损坏,导致遗失某些账户的私钥,这些情形都会产生无人能解开的『孤儿文件』。所幸EFS还有留一扇『后门』,这扇后门便是恢复代理(RecoveryAgent)机制。数据加密恢复代理利用此机制,系统管理员可指定以特定账户为修复代理人,而恢复代理人可将任何使用者加密的文件解密,如此就能避免因删除帐户,而无法解密的情形了。以恢复代理人身份解密按照上述方式使大雄成为恢复代理人之后,理论上他可以解开任何使用者加密的文件。可是,实际上却不然。因为EFS需要大雄的私钥才能解开被加密的FEK,而大雄的私钥在哪里？答案是：在.Pfx文件里！因此,还必须导入大雄的私钥（.Pfx文件）,才能使大雄真正有解密的能力。以恢复代理人身份解密最后别忘了将大雄自Administrators群组移除,恢复他原有的权限。尔后大雄登入域后,便能解读他人加密的文件了。然而文件若是在大雄成为恢复代理人之前便加密,则大雄仍旧无法解密。数据压缩WindowsServer2008可以针对NTFS文件系统的磁盘驱动器、文件夹或文件启用压缩功能,一旦启用后,存盘时系统会先将数据压缩后再写入；而读取压缩过的文件时,系统也会自动先解压缩。由于压缩和解压缩的动作都是由系统在幕后处理,因此使用者在操作上会觉得和一般文件无异。搬移或复制对压缩数据的影响基本上,『压缩』是存在于NTFS文件系统的一种属性,所以若将压缩的文件搬移到非NTFS文件系统的储存媒体。例如：磁盘片、光盘、磁带和USB随身碟等等,该文件就会自动被解压缩。同理,复制到FAT/FAT32文件系统的硬磁时,复制过去的文件也是未压缩。搬移或复制对压缩数据的影响此外,『复制』或『搬移』到NTFS文件夹也会影响该文件能否保有压缩属性,下表列出不同动作与目的地的所造成的结果：第02部分

文件服务器资源管理器（FSRM）文件权限管理及共享、文件压缩及加密、FSRM、DFS本章重点链接磁盘利用FSRM管理磁盘配额利用FSRM建立文件检测链接磁盘与FSRM本章将介绍链接磁盘与FSRM,前者可解决一大堆磁盘驱动器代号,让人眼花撩乱的问题；后者则可有效管制磁盘空间的使用,都是系统管理员应妥善利用的好工具。至于常见的『检查磁盘』和『碎片整理』等功能,因为与WindowsServer2003R2、WindowsVista版本的操作方式相同,因此不再赘述。链接磁盘在Unix和Linux系统中,每个磁盘分区都是挂载（Mount）在目录下,因此使用者只会看到一堆目录,没有所谓的『磁盘驱动器』存在,是一种『目录\文件』的两层式架构。而Windows系统则是采用『磁盘驱动器\目录\文件』的3层式架构,用户必须先选磁盘驱动器、再选目录（文件夹）,以存取所要的文件。这两种架构的优劣可说是见仁见智,其实只要习惯了就好。链接磁盘WindowsServer2008提供了类似Unix/Linux的挂载功能,称为链接磁盘或链接点（JunctionPoint）,可将一个磁盘区或磁盘分区直接链接到一个文件夹。用户存取该文件夹便是存取磁盘区或磁盘分割,再也无须驱动器号。链接磁盘这个磁盘区或磁盘分区可以采用FAT、FAT32或NTFS等三种文件系统。但是用来链接的文件夹必须是空的NTFS资料夹,亦即,不但采用NTFS文件统,而且不能存在任何子文件夹或文件。建立链接磁盘建立链接磁盘的时机可区分为以下两种：将新增的磁盘区链接到NTFS文件夹。将现有的磁盘驱动器链接到NTFS文件夹。将新增的磁盘区链接到NTFS文件夹假设要使X磁盘驱动器的储存空间增加30GB,可是该磁盘的剩余空间却已不足,而且并非动态磁盘,因此不能扩充到另一部磁盘的储存空间。此时可在另一部硬盘新增一个30GB的磁盘区,并链接到X磁盘驱动器的某个空的NTFS文件夹（假设为X:\Extra）。利用FSRM管理磁盘配额FSRM（FileServerResourceManager,文件服务器资源管理员）是从WindowsServer2003R2新增的功能,它具有以下两项主要特色：管理磁盘配额其实从WiondowsXP时代就已经具备磁盘配额(DiskQuota)功能（以下姑且称为『一般磁盘配额』）,只是它的管制能力不够强大。利用FSRM管理磁盘配额利用FSRM管理磁盘配额它的主要功能是限制用户不能或只能储存指定类型的文件,例如：不能存放AVI文件和MP3文件、只能存放DOC文件等等,这部分则会留待下一节说明。由于这两项功能已经超越了『一般磁盘配额』所能做的工作,所以我们强烈建议放弃『一般磁盘配额』、改用FSRM,以拥有更具威力的管理能力！Demo实验2-1WindowsServer2008文件服务器资源管理器（FSRM）第02部分

分布式文件系统（DFS）文件权限管理及共享、文件压缩及加密、FSRM、DFS本章重点DFS简介安装DFS组件DFS实例应用DFS复制85分布式文件系统『分布式文件系统』（DistributedFileSystem,以下简称为DFS）在Windows2000Server、WindowsServer2003与2003SP1算是第一代的产品。而WindowsServer2003R2和WindowsServer2008的DFS则属于第二代的产品。第二代的DFS有新的接口与设定方式,甚至连所用的名词都不同了。本章将说明WindowsServer2008DFS的架构与应用。86DFS简介DFS的用途DFS的专有名词DFS命名空间的类型三种命名空间的特性87DFS的用途DFS是用来集中管理网络上分散各处的共享数据夹,让用户不必记一大堆的计算机名称与文件夹名称。举例来说,假设公司内各部门提供以下的共享数据夹,供同仁存取文件：88DFS的用途由于大家对于计算机名称和共享文件夹的命名方式都不相同,因此要利用WindowsVista的网路或WindowsXP的网络上的芳邻存取这些文件夹时,必须先选对计算机、再选对共享文件夹。万一不知道所需的文件在哪一部电脑,可就得一部、一部地寻找,相当没效率。由此可知,光是提供共享文件夹还不够方便,因为使用者还是要记住一大堆的计算机名称。89DFS的用途有鉴于此,DFS便将这些共享文件夹重新组织,组成一个新的、逻辑的树状架构（『逻辑的』意味着没改变实体的储存位置）。在此架构里,我们可以为共享文件夹另外取一个更易记易懂的名称。例如将『\\RD01\Driver4Test』命名为『研发部的驱动程序』,使用者点选『研发部的驱动程序』就可以存取\\RD01\Driver4Test文件夹的内容。90DFS的用途利用这种方式,我们便能将原本分散、多层次的公用数据夹,重新描绘出一张浅显易记的架构图：91DFS的用途所以简单地说,DFS是为网络的共享数据夹,画一张以树状目录呈现的『导览图』。当使用者要存取共享文件夹时,无须记得服务器名称和文件夹的共享名称,只要记得这张导览图的起始点,从起始点开始找,就能找到所要的数据。此外,DFS机制并不支持Windows98/SE/Me等系统,所以若客户端若使用前述系统,就看不到DFS所画的『导览图』。92DFS的专有名词DFS使用了一套专有名词来说明它的架构,虽然有些是一般常用的名词,却有不同的定义。因此必须先弄懂这些名词的意义,才能学好DFS。假设旗旗公司的DFS架构如下图。93DFS的专有名词94DFS的专有名词DFS命名空间（DFSNamespace）先前提过,DFS的功用是为整个网络共享文件夹画出一张方便好用的导览图,而这份以树状目录所呈现的导览图称为『DFS命名空间』（经常简称为『命名空间』）。命名空间根目录（NamespaceRoot）所谓的『命名空间根目录』就是导览图的起始点,或称为进入点（EntryPoint）,如同Windows文件系统里的根目录。由于它也代表这张导览图的名称,所以又称为『命名空间名称』。95DFS的专有名词命名空间服务器（NamespaceServer）『导览图』（亦即DFS命名空间）所在的服务器便称为『命名空间服务器』。命名空间服务器必须包含至少一个NTFS磁盘区,才能储存DFS命名空间的相关信息。安装WindowsServer2003R2或WindowsServer2008的成员服务器或域控制站,都可以担任命名空间服务器。96DFS的专有名词资料夹与文件夹目标在DFS里所谓的文件夹（Folder）其实只是一个『指标』（Pointer）,指向某个实体的公用数据夹,而被指到的这个公用文件夹称为文件夹目标（FolderTarget）。所以在DFS架构中,文件其实不是储存在资料夹,而是在文件夹目标。一个文件夹可以指向多个文件夹目标；或不指向任何文件夹目标。97DFS的专有名词若指向多个文件夹目标,目的是在于容错（FaultTolerance）,万一无法存取其中一个文件夹目标,系统会自动转向另一个文件夹目标存取文件；若不指向文件夹目标的目的,表示该文件夹只是用在分类。请参考下图：98DFS的专有名词『研发部』文件夹下层有『研发一部』和『研发二部』两个资料夹,这两个文件夹分别指到各自的文件夹目标。但是研发部自己并未指向任何文件夹目标,只是用来将研发一部和研发二部归类而已。99DFS命名空间的类型DFS命名空间分为以下两种：域命名空间（Domain-basedNamespace）独立命名空间（Stand-aloneNamespace）100域命名空间顾名思义,必须在有AD域的环境,才能建立域命名空间。它又区分为『WindowsServer2008』和『Windows2000Server』两种模式,虽然采用前者可以得到比较好的效能与稳定度,也是微软的优先建议,但是必须符合以下两个条件：所有的命名空间服务器必须都执行WindowsServer2008。101域命名空间该域必须采用『WindowsServer2008』域功能等级。Windows2000Server模式的域命名空间最多只能包括5,000个文件夹（没对应到文件夹目标者不列入计算）,但是WindowsServer2008模式的域命名空间则无此限制。102域命名空间采用域命名空间的一大优点为：可以利用同域的多部『命名空间服务器』来记录一个命名空间。这样即使其中一部服务器当机,其它服务器仍可以继续提供DFS服务,等于有容错功能。103独立命名空间无论是否有AD域,都可以建立独立DFS命名空间,每个独立命名空间最多可包括50,000个文件夹（没对应到文件夹目标者不列入计算）。由于独立DFS命名空间只允许由一部命名空间服务器来管理,所以一旦该服务器当机,就无DFS服务可用。若要有容错功能,必须另行建立『服务器群集』（Ser