Post on 27-Jan-2016
description
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
第第 88 章 章 Windows 2000 Windows 2000 的使用 的使用
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
磁盘管理 8.18.1
活动目录 8.28.2
用户和组的管理 8.38.3
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
8.1 8.1 磁盘管理 磁盘管理 • 磁盘管理包括对磁盘进行配额,磁盘管理包括对磁盘进行配额,对磁盘进行整理、备份、还原和安排工对磁盘进行整理、备份、还原和安排工作计划等。 作计划等。
• 磁盘管理任务以一组磁盘管理磁盘管理任务以一组磁盘管理实用程序的形式提供给用户,这些实用实用程序的形式提供给用户,这些实用程序位于“计算机管理”控制台中 。程序位于“计算机管理”控制台中 。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
8.1.1 8.1.1 磁盘管理概述磁盘管理概述 11 .. Windows 2000 ServerWindows 2000 Server 磁盘管理的新磁盘管理的新
特性特性–(( 11 )动态存储。)动态存储。–(( 22 )本地和网络驱动器管理。)本地和网络驱动器管理。–(( 33 )简化任务和直觉的用户接口。)简化任务和直觉的用户接口。–(( 44 )驱动器路径。 )驱动器路径。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
Windows 2000 ServerWindows 2000 Server 的磁盘管理支的磁盘管理支持基本磁盘和动态磁盘。基本磁盘是包括持基本磁盘和动态磁盘。基本磁盘是包括主分区、扩展分区或逻辑驱动器的物理磁主分区、扩展分区或逻辑驱动器的物理磁盘,也包括使用盘,也包括使用 Windows NT 4.0Windows NT 4.0 或以前或以前版本创建的跨卷、镜像卷、带卷和版本创建的跨卷、镜像卷、带卷和 RAID-5RAID-5卷;可以用卷;可以用 MS-DOSMS-DOS 访问基本磁盘。访问基本磁盘。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
动态磁盘是含有用磁盘管理创建动态卷动态磁盘是含有用磁盘管理创建动态卷的物理磁盘。动态磁盘不能含有分区和逻的物理磁盘。动态磁盘不能含有分区和逻辑驱动器,也不能用辑驱动器,也不能用 MS-DOSMS-DOS 访问。访问。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
包含多个磁盘的卷必须用相同类型的包含多个磁盘的卷必须用相同类型的存储。安装存储。安装 Windows 2000Windows 2000 时,磁盘系统时,磁盘系统被初始化,用于基本存储。可用更新向导被初始化,用于基本存储。可用更新向导将其转变为动态存储。将其转变为动态存储。
在动态磁盘上,存储被分为卷。用户在动态磁盘上,存储被分为卷。用户可以在任何时候将基本存储更新为动态存可以在任何时候将基本存储更新为动态存储。更新为动态存储时,需要将现有的分储。更新为动态存储时,需要将现有的分区转化为卷,见表区转化为卷,见表 8-18-1 。。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
基本磁盘组织基本磁盘组织 动态磁盘组织动态磁盘组织分区分区 卷卷
系统和启动分区系统和启动分区 系统和启动卷系统和启动卷活动分区活动分区 活动卷活动卷
扩展分区扩展分区 卷和未分配空间卷和未分配空间逻辑驱动器逻辑驱动器 简单卷简单卷
卷设置卷设置 跨卷跨卷带设置带设置 带卷带卷
镜像设置镜像设置 镜像卷镜像卷
表表 8-18-1 分区转化为卷分区转化为卷
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
• 将磁盘的分区转化为卷后,可以将磁盘的分区转化为卷后,可以在需要时将基本磁盘更新到动态磁盘。在需要时将基本磁盘更新到动态磁盘。操作步骤。操作步骤。–(( 11 )在扩展分区中创建和删除逻辑)在扩展分区中创建和删除逻辑
驱动器。驱动器。–(( 22 )格式化分区并激活。)格式化分区并激活。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
–(( 33 )删除卷设置、带设置和带奇偶)删除卷设置、带设置和带奇偶校验的带设置。校验的带设置。
–(( 44 )从镜像设置中断开镜像。)从镜像设置中断开镜像。–(( 55 )修复镜像设置和带奇偶校验的)修复镜像设置和带奇偶校验的
带设置。带设置。• 某些遗留功能对基本存储不再有某些遗留功能对基本存储不再有用 。用 。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
22 .磁盘管理器的功能.磁盘管理器的功能• 一个强大的图形界面的磁盘管一个强大的图形界面的磁盘管理工具,可以完成几乎所有的磁盘管理理工具,可以完成几乎所有的磁盘管理工作。 工作。
• 具有以下功能。具有以下功能。–(( 11 )创建和删除磁盘分区。)创建和删除磁盘分区。–(( 22 )创建和删除扩展分区中的逻辑)创建和删除扩展分区中的逻辑
驱动器。 驱动器。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
–(( 33 )读取磁盘状态信息,例如分区)读取磁盘状态信息,例如分区大小等。大小等。
–(( 44 )读取)读取 Windows 2000Windows 2000 卷的状态卷的状态信息,例如驱动器名的指定、卷标、信息,例如驱动器名的指定、卷标、文件类型、大小以及可用空间。文件类型、大小以及可用空间。
–(( 55 )指定或更改磁盘驱动器、)指定或更改磁盘驱动器、 CD-CD-ROMROM 设备的驱动器名和路径。设备的驱动器名和路径。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
–(( 66 )创建和删除包含或者不包含奇)创建和删除包含或者不包含奇偶校验的带区集。偶校验的带区集。
–(( 77 )建立或拆除磁盘镜像集。)建立或拆除磁盘镜像集。–(( 88 )保存或还原磁盘配额。)保存或还原磁盘配额。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
33 .磁盘管理器的两个概念.磁盘管理器的两个概念• 卷是格化后由文件系统使用的卷是格化后由文件系统使用的分区或分区集合。分区或分区集合。
• 卷集是作为一个逻辑驱动器出卷集是作为一个逻辑驱动器出现的分区集合。现的分区集合。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
8.1.2 8.1.2 磁盘管理器的使用磁盘管理器的使用 11 .更改驱动器名和路径.更改驱动器名和路径
• 建议将系统安装到一个大于建议将系统安装到一个大于2GB2GB 的磁盘空间上。安装的磁盘空间上。安装 Windows Windows 2000 Server2000 Server 后,可以利用“磁盘管理后,可以利用“磁盘管理器”工具在硬盘上更改或创建新的分区。器”工具在硬盘上更改或创建新的分区。
• 例例 8-1 8-1 用“磁盘管理器”进行用“磁盘管理器”进行更改驱动器名称和路径的操作。更改驱动器名称和路径的操作。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
22 .转换磁盘分区类型.转换磁盘分区类型• 对已经分区并确定的驱动器类对已经分区并确定的驱动器类型,可以进行分区类型的转换。型,可以进行分区类型的转换。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
注意:先保存该磁盘上的重要文件;注意:先保存该磁盘上的重要文件;要关闭其他运行的程序文件;只能从要关闭其他运行的程序文件;只能从 FATFAT文件系统或文件系统或 FAT32FAT32 文件系统向文件系统向 NTFSNTFS 文件文件系统转换,不能从系统转换,不能从 NTFSNTFS 文件系统向文件系统向 FATFAT文件系统或文件系统或 FAT32FAT32 文件系统转换。文件系统转换。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
• 转换操作步骤如下。转换操作步骤如下。–(( 11 )先备份重要文件到其他磁盘。)先备份重要文件到其他磁盘。–(( 22 )关闭其他所有的运行程序。)关闭其他所有的运行程序。–(( 33 )在“开始”菜单中选择“运)在“开始”菜单中选择“运
行”选项,弹出“运行”对话框。行”选项,弹出“运行”对话框。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
–(( 44 )从)从 FAT32FAT32 文件系统向文件系统向 NTFSNTFS文件系统转换,在文本框中键文件系统转换,在文本框中键入“入“ covnert c:/fs:ntfs”covnert c:/fs:ntfs” 后,单击后,单击“确定”按钮,弹出提示窗口,显示“确定”按钮,弹出提示窗口,显示“让客户必须重新启动计算机后才可“让客户必须重新启动计算机后才可用转换”信息。键入“用转换”信息。键入“ Y”Y” 并按回车并按回车键。重新启动计算机。键。重新启动计算机。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
–(( 55 )再次启动后,将提示从)再次启动后,将提示从 FATFAT 或或FAT32FAT32 文件系统转换为文件系统转换为 NTFSNTFS ,再次,再次自动重新启动后,提示已经转换为自动重新启动后,提示已经转换为NTFSNTFS 格式。格式。
33 .重新格式化.重新格式化• 运行格式化程序前需要决定是否运行格式化程序前需要决定是否保留、转换现有分区。 保留、转换现有分区。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
8.1.3 8.1.3 磁盘的整理磁盘的整理 11 .扫描和修复文件系统.扫描和修复文件系统
• 可以用可以用 Windows 2000Windows 2000 命令提命令提示符程序示符程序 ChkdskChkdsk 扫描和修理扫描和修理 FATFAT 和和NTFSNTFS 卷,还可以用卷,还可以用 Windows 2000Windows 2000 中中的磁盘扫描和检查工具完成同样的工作。的磁盘扫描和检查工具完成同样的工作。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
–(( 11 )用)用 ChkdskChkdsk 命令进行扫描和修命令进行扫描和修复磁盘的操作复磁盘的操作
–(( 22 )用系统内置的系统工具进行错)用系统内置的系统工具进行错误检查误检查
22 .磁盘碎片的整理.磁盘碎片的整理• 应定期对磁盘碎片进行整理。应定期对磁盘碎片进行整理。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
整理磁盘碎片需要花费系统较长的时间。整理磁盘碎片需要花费系统较长的时间。决定时间长短的因素包括:磁盘空间的大决定时间长短的因素包括:磁盘空间的大小、磁盘中包含的文件数量、磁盘上碎片小、磁盘中包含的文件数量、磁盘上碎片的数量及可用的本地系统资源等。的数量及可用的本地系统资源等。
整理磁盘碎片前,可以用磁盘碎片整理整理磁盘碎片前,可以用磁盘碎片整理程序中的分析功能得到磁盘空间使用情况程序中的分析功能得到磁盘空间使用情况的信息。的信息。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
33 .清理磁盘的操作.清理磁盘的操作• 需要定期进行磁盘清理工作,需要定期进行磁盘清理工作,清除没有用的临时文件和残留的无用程清除没有用的临时文件和残留的无用程序,以便释放磁盘空间。 序,以便释放磁盘空间。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
8.1.4 8.1.4 配置磁盘配额配置磁盘配额 作为服务器操作系统时,需要为访问作为服务器操作系统时,需要为访问
服务器资源的用户设置磁盘配额,以限制服务器资源的用户设置磁盘配额,以限制其一次性访问服务器资源的卷空间数量,其一次性访问服务器资源的卷空间数量,防止某个用户过量占用服务器和网络资源,防止某个用户过量占用服务器和网络资源,导致其他用户无法访问服务器和使用网络。导致其他用户无法访问服务器和使用网络。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
11 .配置磁盘配额的必要性.配置磁盘配额的必要性• 磁盘配额按卷进行跟踪并控制磁磁盘配额按卷进行跟踪并控制磁盘空间的使用。盘空间的使用。
• 要针对某个用户设置配额,必须要针对某个用户设置配额,必须先在卷上打开配额,然后对每个用户分先在卷上打开配额,然后对每个用户分配一个配额警告和配额限制。除了简单配一个配额警告和配额限制。除了简单地设置配额警告外,还可以强制实施配地设置配额警告外,还可以强制实施配额限制。 额限制。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
22 .影响磁盘配额的因素.影响磁盘配额的因素–(( 11 )物理磁盘和文件夹对磁盘配额)物理磁盘和文件夹对磁盘配额
的影响的影响» ① ① 磁盘配额只适用于卷,与卷的磁盘配额只适用于卷,与卷的文件夹结构和物理磁盘的分布无关。文件夹结构和物理磁盘的分布无关。
» ② ② 如果单个物理磁盘含有多个卷,如果单个物理磁盘含有多个卷,可以给每个卷分配配额,每个卷配可以给每个卷分配配额,每个卷配额只适用于指定卷。额只适用于指定卷。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
» ③ ③ 如果卷跨越多个物理磁盘,卷如果卷跨越多个物理磁盘,卷的相同配额适用于该跨卷。的相同配额适用于该跨卷。
–(( 22 )用户活动对磁盘配额的影响)用户活动对磁盘配额的影响• 当用户复制或存储新文件到当用户复制或存储新文件到
NTFSNTFS 卷,获得卷,获得 NTFSNTFS 卷中文件的所有卷中文件的所有权时,将影响磁盘配额。权时,将影响磁盘配额。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
33 .使用磁盘配额的好处.使用磁盘配额的好处–(( 11 )保证登录到相同计算机的多个)保证登录到相同计算机的多个
用户不干扰其他用户的工作。用户不干扰其他用户的工作。–(( 22 )保证在公共服务器上的磁盘空)保证在公共服务器上的磁盘空
间不被一个或更多用户独占。间不被一个或更多用户独占。–(( 33 )保证用户不过分使用个人计算)保证用户不过分使用个人计算
机中共享文件夹上的磁盘空间。 机中共享文件夹上的磁盘空间。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
44 .设置磁盘配额的操作.设置磁盘配额的操作–(( 11 )以管理员身份登录。)以管理员身份登录。–(( 22 )打开“我的电脑”窗口。)打开“我的电脑”窗口。–(( 33 )选择要启用磁盘配额的卷,在)选择要启用磁盘配额的卷,在
弹出的快捷菜单中选择“属性”选项,弹出的快捷菜单中选择“属性”选项,弹出“本地磁盘(弹出“本地磁盘( CC :)属性”对话:)属性”对话框。框。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
–(( 44 )在“配额”选项卡选中“启用)在“配额”选项卡选中“启用配额管理”复选框,激活“配额”选配额管理”复选框,激活“配额”选项卡中所有配额设置选项。项卡中所有配额设置选项。
–(( 55 )若要设置强制配额,可选中)若要设置强制配额,可选中“拒绝将磁盘空间给超过配额限制的“拒绝将磁盘空间给超过配额限制的用户”复选框。若希望不限制客户机用户”复选框。若希望不限制客户机使用服务器的磁盘空间数量,可单击使用服务器的磁盘空间数量,可单击“不限制磁盘使用”单选按钮。“不限制磁盘使用”单选按钮。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
–(( 66 )若设置卷的默认磁盘配额,应)若设置卷的默认磁盘配额,应选中“将磁盘空间限制为”单选按钮,选中“将磁盘空间限制为”单选按钮,同时在“磁盘容量单位”下拉列表框同时在“磁盘容量单位”下拉列表框中选择磁盘容量单位(默认中选择磁盘容量单位(默认 KBKB )。)。在设置容量大小的文本框中输入适当在设置容量大小的文本框中输入适当的数值。的数值。
–(( 77 )在“将警告等级设置为”数值)在“将警告等级设置为”数值框中输入适当的数值,并在后面的下框中输入适当的数值,并在后面的下拉列表框中选择单位。 拉列表框中选择单位。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
–(( 88 )可以分别选定“用户超出配额)可以分别选定“用户超出配额限制时记录事件”复选框和“用户超限制时记录事件”复选框和“用户超过警告等级时记录事件”复选框。过警告等级时记录事件”复选框。
–(( 99 )单击“配额项”按钮,打开)单击“配额项”按钮,打开“本地磁盘的配额项目”窗口。“本地磁盘的配额项目”窗口。
–(( 1010 )可以在该窗口中新建配额项、)可以在该窗口中新建配额项、删除已经建立的配额项,或将已建立删除已经建立的配额项,或将已建立的配额项信息导出并存储为文件 。的配额项信息导出并存储为文件 。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
–(( 1111 )在“配额”菜单中选择“新建)在“配额”菜单中选择“新建配额项”选项,弹出“选择用户”对配额项”选项,弹出“选择用户”对话框。删除或选定要创建配额项的用话框。删除或选定要创建配额项的用户。户。
–(( 1212 )单击“添加”按钮,自动把选)单击“添加”按钮,自动把选定的用户添加到“选择了下列对象”定的用户添加到“选择了下列对象”列表框。列表框。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
–(( 1313 )单击“确定”按钮,选定用户)单击“确定”按钮,选定用户添加到“本地磁盘的配额项目”窗口添加到“本地磁盘的配额项目”窗口中。中。
–(( 1414 )需要设置某个用户时,用鼠标)需要设置某个用户时,用鼠标双击该用户名,弹出该用户的“配额双击该用户名,弹出该用户的“配额设置”对话框,分配该用户的配额数设置”对话框,分配该用户的配额数量。量。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
8.1.5 8.1.5 磁盘文件的备份与还原磁盘文件的备份与还原 11 .备份文件.备份文件
• 系统管理员可以用系统管理员可以用 Windows Windows 20002000 提供的备份工具将数据备份到各种提供的备份工具将数据备份到各种存储媒体上。存储媒体上。
22 .还原文件.还原文件• 可以用可以用 Windows 2000Windows 2000 提供的故提供的故障恢复工具还原以前备份的数据。障恢复工具还原以前备份的数据。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
33 .安排备份计划.安排备份计划• Windows 2000Windows 2000 为系统管理员提供为系统管理员提供了安排备份计划的工具,能使计算机按了安排备份计划的工具,能使计算机按照预先定制的时间自动执行备份数据。照预先定制的时间自动执行备份数据。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
8.2 8.2 活 动 目 录活 动 目 录• 通过目录服务,用户可以对用通过目录服务,用户可以对用户和计算机、域和信任关系以及站点和户和计算机、域和信任关系以及站点和服务进行管理。服务进行管理。
8.2.1 8.2.1 活动目录简介活动目录简介 活动目录是活动目录是 Windows 2000 ServerWindows 2000 Server 提提供的一种目录服务。通过活动目录存储有供的一种目录服务。通过活动目录存储有关网络对象的信息,例如用户、组、计算关网络对象的信息,例如用户、组、计算机、共享资源、打印机和联系人等,并使机、共享资源、打印机和联系人等,并使管理员和用户可以方便地查找和使用网络管理员和用户可以方便地查找和使用网络信息。信息。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
11 .域(.域( DomainDomain ))• 域是域是 Windows 2000Windows 2000 目录服务目录服务的基本管理单位。域在活动目录中定义的基本管理单位。域在活动目录中定义安全边界,域代表一个广义的局域网系安全边界,域代表一个广义的局域网系统,可以将一个计算机组扩展到一定区统,可以将一个计算机组扩展到一定区域的远方。域的远方。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
域是许多网络服务器与工作站连接而成域是许多网络服务器与工作站连接而成的群组,该群组内的所有成员均使用相同的群组,该群组内的所有成员均使用相同的软硬件系统设置、账户系统和其他共享的软硬件系统设置、账户系统和其他共享资源。用户只要登录一个域,就可以共享资源。用户只要登录一个域,就可以共享该域的各项资源 该域的各项资源
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
目录服务把域详细分为组织单元。组织目录服务把域详细分为组织单元。组织单元是一个逻辑单位,是域中一些用户和单元是一个逻辑单位,是域中一些用户和组、文件与打印机等资源对象的集合。组组、文件与打印机等资源对象的集合。组织单元还可以再划分下级组织单元,下级织单元还可以再划分下级组织单元,下级组织单元能够继承父组织单元的访问许可组织单元能够继承父组织单元的访问许可权。 权。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
每个组织单元可以有自己单独的管理员每个组织单元可以有自己单独的管理员并指定其管理权限,它们管理着不同的任并指定其管理权限,它们管理着不同的任务,从而实现对资源和用户的分级管理。务,从而实现对资源和用户的分级管理。动态目录服务通过这种域的组织单元树和动态目录服务通过这种域的组织单元树和域之间的可传递信任树来组织其信任对象,域之间的可传递信任树来组织其信任对象,实现颗粒式管理,为动态活动目录的管理实现颗粒式管理,为动态活动目录的管理和扩展带来了极大的方便。和扩展带来了极大的方便。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
Windows 2000Windows 2000 网络中采用了动态活网络中采用了动态活动目录服务,使一个域能够轻松地管理数动目录服务,使一个域能够轻松地管理数万个对象。域中的所有域控制器之间都是万个对象。域中的所有域控制器之间都是平等关系。进行目录复制时,而是采用多平等关系。进行目录复制时,而是采用多主复制方式。 主复制方式。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
在复制目录库时,对各个对象的修改在复制目录库时,对各个对象的修改顺序数进行大小比较,判断其被修改的先顺序数进行大小比较,判断其被修改的先后顺序,保留最新修改的对象属性,旧的后顺序,保留最新修改的对象属性,旧的属性被新的属性取代,保证每一个域控制属性被新的属性取代,保证每一个域控制器上的目录服务数据库都是最新的。任何器上的目录服务数据库都是最新的。任何一个域控制器上的目录库变更都会自动复一个域控制器上的目录库变更都会自动复制到其他域控制器上的副本中。制到其他域控制器上的副本中。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
不再划分全局组和本地组,组内可以包不再划分全局组和本地组,组内可以包含任何用户和其他组账户 。含任何用户和其他组账户 。
一个域可以有子域,父域和子域组成一个域可以有子域,父域和子域组成了域树,一棵或者多棵域树又可以组成域了域树,一棵或者多棵域树又可以组成域林。其中,父域和子域之间,域树和域林林。其中,父域和子域之间,域树和域林之间有双向、可传递的信任关系。目录树之间有双向、可传递的信任关系。目录树中的域通过双向、传递的信任关系连接在中的域通过双向、传递的信任关系连接在一起 一起
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
这些信任关系是双向和传递的,加入目这些信任关系是双向和传递的,加入目录树的域会立即与目录树中的每一个域建录树的域会立即与目录树中的每一个域建立信任关系。这些信任关系允许单个用户立信任关系。这些信任关系允许单个用户登录,以验证用户并授权验证用户访问整登录,以验证用户并授权验证用户访问整个网络。目录树所有其他域中具有适当凭个网络。目录树所有其他域中具有适当凭证的用户和计算机可以使用目录树中所有证的用户和计算机可以使用目录树中所有域的所有对象。域的所有对象。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
• 组织一个域有以下好处。组织一个域有以下好处。–(( 11 )将网络组织成域。)将网络组织成域。–(( 22 )便于发布公司或单位形式的资)便于发布公司或单位形式的资
源信息。源信息。–(( 33 )使用跨多个域的功能。)使用跨多个域的功能。–(( 44 )在域中应用“组策略”,可以)在域中应用“组策略”,可以合并域资源以及建立安全性管理。合并域资源以及建立安全性管理。
–(( 55 )与现有公司或单位“充分授权,)与现有公司或单位“充分授权,层层负责”的原则相对应。 层层负责”的原则相对应。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
22 .域树.域树• 由多台域控制器所组成的多层次由多台域控制器所组成的多层次的、树状结构的域,称为域树。第一个的、树状结构的域,称为域树。第一个域称为根域,其他域称为子域。在同一域称为根域,其他域称为子域。在同一棵域树中,紧邻的上下两个域形成父子棵域树中,紧邻的上下两个域形成父子关系,上层的域称为父域,下层的域称关系,上层的域称为父域,下层的域称为子域。 为子域。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
在一棵域树中,域的命名符合在一棵域树中,域的命名符合 DNSDNS 命命名规则。在同一棵域树中,域名是逐层继名规则。在同一棵域树中,域名是逐层继承、连续的。承、连续的。
一棵域树由许多域按层次构成,域之一棵域树由许多域按层次构成,域之间是双向的、可传递的信任关系。因此,间是双向的、可传递的信任关系。因此,两个同级域可以通过各自的父域传递建立两个同级域可以通过各自的父域传递建立信任关系。 信任关系。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
33 .域林.域林• 域林由一个或多个域树组成,域林由一个或多个域树组成,这些域树没有一个共同的根。同一域林这些域树没有一个共同的根。同一域林不同域树中的域名之间没有任何关系。不同域树中的域名之间没有任何关系。域林中第一棵域树的根域仍然称为域林域林中第一棵域树的根域仍然称为域林的林根。 的林根。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
在一个域林中,域树的根域之间也是可在一个域林中,域树的根域之间也是可传递的双信任关系。分属两棵域树的域可传递的双信任关系。分属两棵域树的域可以通过其各自的根域建立双向、可传递的以通过其各自的根域建立双向、可传递的信任关系。在域树、域林中,域之间的关信任关系。在域树、域林中,域之间的关系仅仅是命名继承或信任关系,域作为一系仅仅是命名继承或信任关系,域作为一个安全单位仍然是相互独立的。父域与子个安全单位仍然是相互独立的。父域与子域之间在安全上没有必然的联系,父域的域之间在安全上没有必然的联系,父域的管理员在其子域中可能没有任何权利和权管理员在其子域中可能没有任何权利和权限。限。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
44 .域的信任关系.域的信任关系• 建立信任关系的两个域中,一个建立信任关系的两个域中,一个称为信任域,另一个称为被信任域。信称为信任域,另一个称为被信任域。信任域把自己对用户等对象的验证委托给任域把自己对用户等对象的验证委托给被信任域,被信任域的用户身份有效性被信任域,被信任域的用户身份有效性验证结果得到信任域的认可。 验证结果得到信任域的认可。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
被信任域的用户和全局组可以获得使用被信任域的用户和全局组可以获得使用属于信任域资源的访问权限,该权限通过属于信任域资源的访问权限,该权限通过信任域访问被信任域的用户账号数据库实信任域访问被信任域的用户账号数据库实现。通过设置信任关系,可以不必在多个现。通过设置信任关系,可以不必在多个域中安装同一个用户账号,而且可以使网域中安装同一个用户账号,而且可以使网络中的用户账号管理更加方便。络中的用户账号管理更加方便。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
• 域的信任关系有以下域的信任关系有以下 44 种类型。种类型。–(( 11 )双向信任关系)双向信任关系
• 在同一个域林中,默认所有域的在同一个域林中,默认所有域的信任关系都是双向可传递的。 信任关系都是双向可传递的。 –(( 22 )单向信任关系)单向信任关系
• 两个域之间的信任关系是不可传两个域之间的信任关系是不可传递的,而且所有不可传递信任关系都是递的,而且所有不可传递信任关系都是单向的。单向的。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
–(( 33 )可传递的信任关系)可传递的信任关系• 默认同域林中所有域的信任关系都默认同域林中所有域的信任关系都可传递。 可传递。 –(( 44 )不可传递的信任关系)不可传递的信任关系
• 不可传递的信任关系受信任关系的不可传递的信任关系受信任关系的两个域的约束,不会牵扯到域林中的其他两个域的约束,不会牵扯到域林中的其他域。域。
• 一般来说,同一个域林中混合域一般来说,同一个域林中混合域之间建立的信任关系都是不可传递的。 之间建立的信任关系都是不可传递的。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
8.2.2 8.2.2 安装活动目录安装活动目录 11 .注意事项.注意事项
–(( 11 )在服务器上安装活动目录时,)在服务器上安装活动目录时,磁盘中必须有一个格式化为磁盘中必须有一个格式化为 NTFSNTFS 的的分区。分区。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
–(( 22 )可以利用系统提供的活动目录)可以利用系统提供的活动目录安装向导配置服务器。如果网络没有安装向导配置服务器。如果网络没有其他域控制器,可将服务器配置为域其他域控制器,可将服务器配置为域控制器,并新建子域、域目录树或目控制器,并新建子域、域目录树或目录林。如果网络中有其他域控制器,录林。如果网络中有其他域控制器,可将服务器设置为附加域控制器,加可将服务器设置为附加域控制器,加入旧域、旧目录树或目录林。入旧域、旧目录树或目录林。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
–(( 33 )活动目录安装后,服务器的开)活动目录安装后,服务器的开机和关机时间变长,且系统的执行速机和关机时间变长,且系统的执行速度变慢。度变慢。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
–(( 44 )独立服务器是指在名称空间目)独立服务器是指在名称空间目录树中直接位于另一个域名之下的服录树中直接位于另一个域名之下的服务器。如果要删除活动目录的服务器务器。如果要删除活动目录的服务器不是域中惟一的域控制器,删除活动不是域中惟一的域控制器,删除活动目录将使该服务器成为成员服务器;目录将使该服务器成为成员服务器;如果删除活动目录的服务器是域中最如果删除活动目录的服务器是域中最后一个域控制器,删除活动目录将使后一个域控制器,删除活动目录将使该服务器成为独立服务器。该服务器成为独立服务器。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
22 .安装活动目录的方法.安装活动目录的方法• 安装完安装完 Windows 2000 ServerWindows 2000 Server后,系统重新启动时,可以在屏幕显示后,系统重新启动时,可以在屏幕显示的“配置服务器”对话框中配置活动目的“配置服务器”对话框中配置活动目录,也可以在以后的使用中随时启动录,也可以在以后的使用中随时启动“配置服务器工具”完成活动目录的配“配置服务器工具”完成活动目录的配置工作。置工作。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
8.2.3 8.2.3 活动目录的管理工具活动目录的管理工具• 用户完成配置服务器后,可以用用户完成配置服务器后,可以用“管理工具”提供的活动目录工具进行“管理工具”提供的活动目录工具进行管理 。管理 。–11 .用户和计算机管理工具.用户和计算机管理工具
• 用户配置活动目录并指定域后,用户配置活动目录并指定域后,可以用“可以用“ Active DirectoryActive Directory 用户和计算用户和计算机”管理工具对网络上的用户和计算机机”管理工具对网络上的用户和计算机进行管理。进行管理。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
在域上创建用户、组、打印机、计算机、在域上创建用户、组、打印机、计算机、联络人、共享文件夹时,可以选择该选项。联络人、共享文件夹时,可以选择该选项。
“ “Active DirectoryActive Directory 用户和计算机”窗用户和计算机”窗口与口与 WindowsWindows 应用程序窗口类似 。应用程序窗口类似 。
一般情况下,一个域中包含一般情况下,一个域中包含BuiltinBuiltin 、、 ComputersComputers 、、 DomainDomain 、、 ConControllerstrollers 、、 ForeignSecurityPrincipalsForeignSecurityPrincipals 和和UsersUsers 等文件夹。等文件夹。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
–(( 11 )用户账户)用户账户• 可以使用户以经过验证和授权访可以使用户以经过验证和授权访问域资源的身份登录计算机和域。问域资源的身份登录计算机和域。–(( 22 )计算机账户)计算机账户
• 每个加入到域中的每个加入到域中的 Windows Windows 20002000 计算机都具有计算机账户。计算机计算机都具有计算机账户。计算机账户提供验证和审核计算机登录到网络账户提供验证和审核计算机登录到网络以及访问域资源过程的方式。以及访问域资源过程的方式。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
» ① ① 创建计算机账户创建计算机账户• 弹出“弹出“ Active DirectoryActive Directory 用户和用户和计算机”窗口 。计算机”窗口 。
• 在左窗格中右击要创建计算机账在左窗格中右击要创建计算机账户的域,快捷菜单中选择“新建户的域,快捷菜单中选择“新建→→计算计算机”选项, “新建对象机”选项, “新建对象——计算机”对话计算机”对话框。框。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
• 在“计算机名”文本框键入计在“计算机名”文本框键入计算机名,单击“确定”按钮 。算机名,单击“确定”按钮 。
» ② ② 添加计算机账号到组添加计算机账号到组• 用鼠标在“用鼠标在“ Active DirectoryActive Directory用户和计算机”窗口的右窗格中右击计用户和计算机”窗口的右窗格中右击计算机名,在快捷菜单中选择“属性”选算机名,在快捷菜单中选择“属性”选项,弹出“账户项,弹出“账户——属性”对话框 。属性”对话框 。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
• 在“成员属于”选项卡中单击在“成员属于”选项卡中单击“添加”按钮,双击欲在其中添加计算“添加”按钮,双击欲在其中添加计算机的组,单击“确定”按钮 。机的组,单击“确定”按钮 。
» ③ ③ 管理计算机账户管理计算机账户• 通过快捷菜单的选项,可以完通过快捷菜单的选项,可以完成计算机账户的管理任务。成计算机账户的管理任务。
» ④ ④ 管理计算机管理计算机• 在快捷菜单中选择“管理”选在快捷菜单中选择“管理”选项,打开“计算机管理”窗口 项,打开“计算机管理”窗口
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
该窗口可对计算机进行以下管理。该窗口可对计算机进行以下管理。 监视诸如登录次数和应用程序错误等系监视诸如登录次数和应用程序错误等系
统事件。统事件。 创建和管理共享。创建和管理共享。 浏览与本地或远程计算机相连的用户列浏览与本地或远程计算机相连的用户列
表。表。 启动和终止计划任务和线程。启动和终止计划任务和线程。 设置存储设备的属性。设置存储设备的属性。 查看设备配置和添加新设备驱动器。查看设备配置和添加新设备驱动器。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
22 .域和信任关系管理工具.域和信任关系管理工具• “ “Active DirectoryActive Directory 域和信任关系”域和信任关系”管理工具可以帮助系统管理员完成不同管理工具可以帮助系统管理员完成不同域之间信任关系的设置。域之间信任关系的设置。
• 例如,系统中安装两个域:例如,系统中安装两个域: hzjsjhzjsj域与域与 hzjwhzjw 域,两个域各有一台域,两个域各有一台 Active Active DirectoryDirectory 的域控制器,且两个域之间的的域控制器,且两个域之间的连接正常。 连接正常。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
–(( 11 )单向信任关系的建立)单向信任关系的建立 假设假设 hzjsjhzjsj 域需要使用域需要使用 hzjwhzjw 域中的资域中的资
源,则源,则 hzjsjhzjsj 域是“受信任端域”,而域是“受信任端域”,而hzjwhzjw 域是“信任端域”。首先,应在域是“信任端域”。首先,应在hzjwhzjw 域的域控制计算机上操作,然后到域的域控制计算机上操作,然后到hzjsjhzjsj 域的域控制器计算机上操作。操作步域的域控制器计算机上操作。操作步骤如下。骤如下。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
» ① ① hzjwhzjw 域的设置域的设置» ② ② hzjsjhzjsj 域的设置域的设置
(( 22 )双向信任关系的建立)双向信任关系的建立• 建立双向信任关系的操作与单建立双向信任关系的操作与单向信任关系的操作基本相同,只是在两向信任关系的操作基本相同,只是在两个域的“信任此域的域”和“受此域信个域的“信任此域的域”和“受此域信任的域”列表框中都出现对方的域名。任的域”列表框中都出现对方的域名。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
33 .站点和服务管理工具.站点和服务管理工具• “ “Active DirectoryActive Directory 站点和服务”工站点和服务”工具可以帮助系统管理员创建站点,管理具可以帮助系统管理员创建站点,管理活动目录信息的复制。活动目录信息的复制。–(( 11 )创建站点的优点)创建站点的优点
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
» ① ① 加速登录身份验证的效率。加速登录身份验证的效率。» ② ② 平衡更新目录信息和网络带宽限平衡更新目录信息和网络带宽限制。制。
» ③ ③ 使使 Active DirectoryActive Directory 的服务更加的服务更加优化。 优化。
–(( 22 )站点和)站点和 Active DirectoryActive Directory 的关的关系系
• 可以将站点看成是至少拥有一个可以将站点看成是至少拥有一个IPIP 地址的一组计算机,这组计算机构成一地址的一组计算机,这组计算机构成一个“子网”。个“子网”。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
• 站点与站点与 Active DirectoryActive Directory 之间之间有以下关系。有以下关系。
» ① ① 网络的物理结构与其域结构之网络的物理结构与其域结构之间没有必要的相关性。间没有必要的相关性。
» ② ② Active DirectoryActive Directory 允许单个域中允许单个域中有多个站点,单个站点中存在多个有多个站点,单个站点中存在多个域。域。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
–(( 33 )创建站点的时机)创建站点的时机» ① ① 创建单个站点的时机创建单个站点的时机
当局域网结构为单个局域网,且规划目当局域网结构为单个局域网,且规划目录复制时,由于单个局域网的连接状态快录复制时,由于单个局域网的连接状态快速可靠,整个局域网可以作为单个站点,速可靠,整个局域网可以作为单个站点,以后再根据带宽和连接效果添加新的站点。以后再根据带宽和连接效果添加新的站点。
希望某个特定用户登录到特定的控制器希望某个特定用户登录到特定的控制器时,只要定义域控制器与该客户端在相同时,只要定义域控制器与该客户端在相同的站点即可。的站点即可。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
» ② ② 创建多个站点的时机创建多个站点的时机 当域控制器反应速度开始变慢时。当域控制器反应速度开始变慢时。 当所有域控制器之间的复制必须同时进当所有域控制器之间的复制必须同时进
行时,最好将所有的域控制器指派到相同行时,最好将所有的域控制器指派到相同的站点。的站点。
当服务器和工作站点之间的连接情况良当服务器和工作站点之间的连接情况良好时,可以建立站点,并在每个站点中建好时,可以建立站点,并在每个站点中建立“桥头服务器”,以提供负载平衡。 立“桥头服务器”,以提供负载平衡。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
–(( 44 )设置站点)设置站点» ① ① 新建站点的操作新建站点的操作
打开“打开“ ADAD 站点和服务”窗口,如图站点和服务”窗口,如图8-348-34 所示。用鼠标右击所示。用鼠标右击 SitesSites 文件夹,在文件夹,在弹出的快捷菜单中选择“新建弹出的快捷菜单中选择“新建→→站点”选站点”选项,弹出“新建对象项,弹出“新建对象 -- 站点”对话框 。站点”对话框 。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
在“名称”文本框键入新创建的站点对在“名称”文本框键入新创建的站点对象名,并在下面列表框中选择一个链接对象名,并在下面列表框中选择一个链接对象,单击“确定”按钮,弹出显示系统提象,单击“确定”按钮,弹出显示系统提示信息对话框;单击“确定”按钮 。示信息对话框;单击“确定”按钮 。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
» ② ② 设置新建站点的部分选项设置新建站点的部分选项• 在控制台树中用鼠标右击新创建在控制台树中用鼠标右击新创建的站点,快捷菜单中选择“属性”选项,的站点,快捷菜单中选择“属性”选项,弹出站点的“属性”对话框。包括弹出站点的“属性”对话框。包括 55 个个选项卡 。选项卡 。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
“ “ 站点”选项卡。站点”选项卡。 “ “ 位置”选项卡。位置”选项卡。 “ “ 对象”选项卡。对象”选项卡。 “ “ 安全”选项卡。 安全”选项卡。 “ “ 组策略”选项卡。 组策略”选项卡。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
–③ ③ 建立站点的链接和链接桥建立站点的链接和链接桥• 通过“通过“ Inter-Site TransportsInter-Site Transports(站间传输容器)”文件夹(见图(站间传输容器)”文件夹(见图 8-28-299)下的“)下的“ IP”IP” 和“和“ SMTP”SMTP” 建立站点链建立站点链接。接。
• 也可以将两个站点链接新建为站也可以将两个站点链接新建为站点链接桥。 点链接桥。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
–④ ④ 创建子网创建子网• 将所有计算机放置在一个或多个将所有计算机放置在一个或多个连接良好的子网中,将加强站点中所有连接良好的子网中,将加强站点中所有计算机的连接状态。计算机的连接状态。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
创建子网的操作步骤为:在“创建子网的操作步骤为:在“ ADAD 站点站点和服务”窗口中用鼠标右击“和服务”窗口中用鼠标右击“ Shbnets”Shbnets”文件夹,快捷菜单中选择“新建文件夹,快捷菜单中选择“新建→→子网”子网”选项,弹出“新建对象选项,弹出“新建对象 -- 子网”对话框,子网”对话框,输入站点地址和子网掩码。输入站点地址和子网掩码。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
8.3 8.3 用户和组的管理用户和组的管理8.3.1 8.3.1 基本概念基本概念
11 .本地用户与域用户.本地用户与域用户–(( 11 )本地用户)本地用户
• 当其他工作站与使用当其他工作站与使用 Windows Windows 2000 Professional2000 Professional 或或 Windows 2000 Windows 2000 ServerServer 的计算机连接时,形成主从关系。的计算机连接时,形成主从关系。这台工作站必须是这台工作站必须是 Windows 2000Windows 2000 计算计算机的本地用户。机的本地用户。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
–(( 22 )域用户)域用户• 设置域后,所有安装了不同版设置域后,所有安装了不同版本本 WindowsWindows 的工作站,都可以在服务的工作站,都可以在服务器上被设置为域用户,使用服务器提供器上被设置为域用户,使用服务器提供的域资源。此时,本地用户也可以是域的域资源。此时,本地用户也可以是域用户。用户。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
22 .用户账号.用户账号• 运行运行 Windows 2000Windows 2000 必须有一个必须有一个用户账号,即一个特定的用户名和一个用户账号,即一个特定的用户名和一个口令。 口令。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
• Windows 2000 ServerWindows 2000 Server 成功安装后,成功安装后,系统自动内置以下两个账号。系统自动内置以下两个账号。–(( 11 )) AdministratorAdministrator
系统管理员账号,拥有最高权限的特殊系统管理员账号,拥有最高权限的特殊身份的用户,在系统安装时由安装者指定。身份的用户,在系统安装时由安装者指定。只有具备只有具备 AdministratorAdministrator 权利的用户可以权利的用户可以管理所有的资源,以及为本地计算机添加管理所有的资源,以及为本地计算机添加用户,并通过赋予账号用户名、指定用户用户,并通过赋予账号用户名、指定用户的标识数据、定义用户在系统上的权利来的标识数据、定义用户在系统上的权利来创建用户账号。创建用户账号。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
–(( 22 )) GuestGuest
• 为来宾临时访问计算机或域而设为来宾临时访问计算机或域而设置的账户。拥有少部分权限 。置的账户。拥有少部分权限 。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
33 .用户权利.用户权利 用户权利指用户的操作规则。用户权利用户权利指用户的操作规则。用户权利
决定了用户在工作站或服务器上可进行的决定了用户在工作站或服务器上可进行的操作。另外,用户权利还可以控制用户是操作。另外,用户权利还可以控制用户是直接登录到本地计算机还是通过网络访问直接登录到本地计算机还是通过网络访问共享资源,是将用户添加到工作站还是添共享资源,是将用户添加到工作站还是添加到工作组,以及删除用户等。指定用户加到工作组,以及删除用户等。指定用户权利时,这些权利将应用到所有运行权利时,这些权利将应用到所有运行Windows 2000Windows 2000 并相连接的计算机上。并相连接的计算机上。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
Windows 2000Windows 2000 为用户提供多个内置为用户提供多个内置组,每个组都具有自己的用户权利;管理组,每个组都具有自己的用户权利;管理员用户可以将用户账号添加到一个内置组员用户可以将用户账号添加到一个内置组中,使该用户拥有组中指定的用户权利。中,使该用户拥有组中指定的用户权利。此外,用户还可以用创建新组的方法指定此外,用户还可以用创建新组的方法指定用户权利。通过组控制用户权利有利于进用户权利。通过组控制用户权利有利于进行管理。行管理。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
44 .资源权限.资源权限• 资源权限针对可以共享的各种资资源权限针对可以共享的各种资源。资源权限不但指定了哪些用户和组源。资源权限不但指定了哪些用户和组可以访问共享资源,还可以指定资源的可以访问共享资源,还可以指定资源的访问方式,有利于进行资源的保护和管访问方式,有利于进行资源的保护和管理。理。
55 .组.组• Windows 2000Windows 2000 通过组对网络中的通过组对网络中的用户进行管理。 用户进行管理。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
–(( 11 )组的概念)组的概念• 组是指一种目录对象,也可以包组是指一种目录对象,也可以包含其他目录对象,例如用户、计算机、含其他目录对象,例如用户、计算机、联络地址以及其他组。组分为安全组与联络地址以及其他组。组分为安全组与通讯组。安全组定义了所属成员对资源通讯组。安全组定义了所属成员对资源的访问权限,并且可以在访问控制列表的访问权限,并且可以在访问控制列表中列出来。通讯组是为了便于通讯而创中列出来。通讯组是为了便于通讯而创建的。 建的。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
• 每个组都有特定的有效范围,按每个组都有特定的有效范围,按照组的有效范围,可以把组分为以下照组的有效范围,可以把组分为以下 33种。种。
» ① ① 通用组。可以包含当前域林中通用组。可以包含当前域林中任何任何 Windows 2000Windows 2000 域成员,并可域成员,并可以在当前域林的任何域获得权限。以在当前域林的任何域获得权限。
» ② ② 全局组。只能包含其所在域的全局组。只能包含其所在域的成员。 成员。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
» ③ ③ 域本地组。该组成员只能来自域本地组。该组成员只能来自其所在的域,并且只能从所在域获其所在的域,并且只能从所在域获得权限。得权限。
• 管理用户权限时,系统管理员应管理用户权限时,系统管理员应充分利用充分利用 Windows 2000Windows 2000 提供的本地组提供的本地组机制。 机制。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
–(( 22 )内置组)内置组• 内置组的组作用域属于本地域,内置组的组作用域属于本地域,主要用于将内置的使用权利指派给用户,主要用于将内置的使用权利指派给用户,使这些用户直接具有该域全部或部分的使这些用户直接具有该域全部或部分的系统管理控制权。系统管理控制权。
» ① ① 权限和能力权限和能力• 权限是指对系统和文件的使用;权限是指对系统和文件的使用;能力是指对计算机的管理和控制。能力是指对计算机的管理和控制。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
常见的权限有:在本机登录、更改系统常见的权限有:在本机登录、更改系统时间、创建和删除目录、删除和保存文件、时间、创建和删除目录、删除和保存文件、备份和还原文件目录、管理审核和安全日备份和还原文件目录、管理审核和安全日志、关闭系统。志、关闭系统。
常见的能力有:创建和管理用户账号、常见的能力有:创建和管理用户账号、创建和管理本地组、指定用户权限、共享创建和管理本地组、指定用户权限、共享和停止共享目录和打印机、格式化本机上和停止共享目录和打印机、格式化本机上的硬盘驱动器。的硬盘驱动器。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
» ② ② Windows 2000Windows 2000 的的 88 种内置组种内置组 AdminestratorsAdminestrators (管理员)(管理员)组。组。 Windows 2000Windows 2000 中功能最强的组,中功能最强的组,对系统内的所有权限和能力有完全的控对系统内的所有权限和能力有完全的控制。制。
Account OperatorsAccount Operators (账号操作(账号操作员)组。专门用来管理域用户与组账户员)组。专门用来管理域用户与组账户的用户组。 的用户组。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
Backup OperatorsBackup Operators (备份操作员)组。(备份操作员)组。该组成员可备份和还原系统中的文件和目该组成员可备份和还原系统中的文件和目录。录。
GuestsGuests (来宾)组。一个权限有限的(来宾)组。一个权限有限的组,成员只能在网络上访问本机系统。组,成员只能在网络上访问本机系统。
Server OperatorsServer Operators (服务器操作员)(服务器操作员)组。成员可以管理域中的服务器。组。成员可以管理域中的服务器。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
Print OperatorsPrint Operators (打印操作员)组。(打印操作员)组。成员可以管理域中的打印机。成员可以管理域中的打印机。
ReplicatorReplicator (文件复制)组。用来支持(文件复制)组。用来支持域中文件复制的组,成员应该是计算机中域中文件复制的组,成员应该是计算机中心的成员。心的成员。
UsersUsers(用户)组。成员可执行系统上(用户)组。成员可执行系统上较大的常用任务,包括登录和关闭系统,较大的常用任务,包括登录和关闭系统,创建和管理本地账号和组等。 创建和管理本地账号和组等。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
66 .组策略.组策略• 组策略用于规定和控制应用程组策略用于规定和控制应用程序、网络资源、操作系统以及用户和计序、网络资源、操作系统以及用户和计算机交互时的行为。规定控制的对象总算机交互时的行为。规定控制的对象总是计算机和用户。是计算机和用户。–(( 11 )组策略的主要内容)组策略的主要内容
• 系统管理员可以用策略来定义系统管理员可以用策略来定义和管理用户的桌面环境和各类组件。 和管理用户的桌面环境和各类组件。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
要为一组特殊用户创建特定的桌面配置,要为一组特殊用户创建特定的桌面配置,应使用组策略插件。被指定的组策略设置应使用组策略插件。被指定的组策略设置包含在组策略对象中,依次与选择的活动包含在组策略对象中,依次与选择的活动目录对象(包括站点、域或组织单位)相目录对象(包括站点、域或组织单位)相关联。关联。
组策略包括用户配置和计算机配置。组策略包括用户配置和计算机配置。 用户策略的设置通过位于组策略中的用用户策略的设置通过位于组策略中的用
户配置节点进行,用户登录到系统时获得户配置节点进行,用户登录到系统时获得用户策略。计算机策略的设置位于计算机用户策略。计算机策略的设置位于计算机配置下,在启动计算机时获得。配置下,在启动计算机时获得。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
• 管理和使用组策略包括以下工作。管理和使用组策略包括以下工作。» ① ① 通过管理模板管理基于注册表通过管理模板管理基于注册表的策略。的策略。
» ② ② 安全性设置。安全性设置。» ③ ③ 软件安装。软件安装。» ④ ④ 指定脚本(可以用指定脚本(可以用 VBScriptVBScript 、、
JScripJScrip 等创建)。 等创建)。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
» ⑤ ⑤ 文件夹重定向。文件夹重定向。 把组策略对象(系统自动把对象名把组策略对象(系统自动把对象名加上所在域名作为文件夹名)作为一个加上所在域名作为文件夹名)作为一个文件夹,该文件夹下有两个子文件夹:文件夹,该文件夹下有两个子文件夹:“计算机配置”和“用户配置”。“计算机配置”和“用户配置”。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
两个子文件夹分别包含“软件设置”、两个子文件夹分别包含“软件设置”、““ WindowsWindows 设置”和“管理模板”设置”和“管理模板” 33 个个下级子文件夹,再进一步划分“软件设下级子文件夹,再进一步划分“软件设置”、“置”、“ WindowsWindows 设置”和“管理模设置”和“管理模板”文件夹,直到可以修改到具体的取值板”文件夹,直到可以修改到具体的取值项目。项目。
–
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
–(( 22 )管理模板)管理模板• 指定组策略管理单元可以设置、指定组策略管理单元可以设置、修改的策略选项,包括操作系统级及其修改的策略选项,包括操作系统级及其组件和应用程序的策略选项。这些选项组件和应用程序的策略选项。这些选项保存在系统注册表中。保存在系统注册表中。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
管理模板文件是一个扩展名为管理模板文件是一个扩展名为 .adm .adm 的的文本文件,包括一个树状分类结构、每个文本文件,包括一个树状分类结构、每个项目在注册表中的存储位置及默认项目在注册表中的存储位置及默认值。值。 Windows 2000Windows 2000 包括两个模板文件:包括两个模板文件:System.admSystem.adm 和和 Inetres.admInetres.adm ,组策略管,组策略管理单元中,管理模板节点初始显示的内容理单元中,管理模板节点初始显示的内容包括在这两个模板文件中。包括在这两个模板文件中。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
–(( 33 )安全设置)安全设置• 通过活动目录对象的“属性”窗通过活动目录对象的“属性”窗口和计算机管理控制台的“本地用户”口和计算机管理控制台的“本地用户”和“组”,可以设置安全选项,安全设和“组”,可以设置安全选项,安全设置包括:账户策略、本地策略、事件日置包括:账户策略、本地策略、事件日志、受限期的组、系统服务、注册表、志、受限期的组、系统服务、注册表、文件系统等。文件系统等。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
–(( 44 )软件设置)软件设置• 可以集中地管理网络中软件的安可以集中地管理网络中软件的安装和使用。系统管理员可为一组用户指装和使用。系统管理员可为一组用户指定其所需的应用程序,使这些应用程序定其所需的应用程序,使这些应用程序的快捷方式自动放到这些用户的桌面上,的快捷方式自动放到这些用户的桌面上,并且在注册表中存储有关该应用程序的并且在注册表中存储有关该应用程序的信息。 信息。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
• 系统管理员也可以向一组用户发系统管理员也可以向一组用户发布应用程序。应用程序发布后,用户可布应用程序。应用程序发布后,用户可以确定是否安装被发布的应用程序。 以确定是否安装被发布的应用程序。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
• (( 55)脚本)脚本• 脚本用于指定计算机启动或关闭、脚本用于指定计算机启动或关闭、用户登录或注销时自动运行的命用户登录或注销时自动运行的命令。令。 Winkows 2000Winkows 2000 允许使用允许使用VBScript VBScript 和和 JScriptJScript 脚本。脚本的名字脚本。脚本的名字与命令行参数存储在扩展名为与命令行参数存储在扩展名为 .pol.pol 的注的注册文件中。册文件中。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
–(( 66 )文件夹重定向)文件夹重定向• 可以把系统默认创建的以下文件可以把系统默认创建的以下文件夹重定向到其他位置。夹重定向到其他位置。
» ① ① Application DataApplication Data (应用程序数(应用程序数据)。据)。
» ② ② DesktopDesktop (桌面)。(桌面)。» ③ ③ My DocumentsMy Documents (我的文档)。(我的文档)。» ④ ④ My PictureMy Picture (我的图片)。(我的图片)。» ⑤ ⑤ Start MenuStart Menu (启动菜单)。(启动菜单)。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
• 文件夹重定向具有以下好处。文件夹重定向具有以下好处。» ① ① 用户在网络中计算机之间漫游用户在网络中计算机之间漫游时,其文档始终跟随。时,其文档始终跟随。
» ② ② 减少登录、注销时间。减少登录、注销时间。» ③ ③ 把用户数据存储在网络上,而把用户数据存储在网络上,而不是本地计算机中,便于管理。不是本地计算机中,便于管理。
» ④ ④ 通过脱机文件技术,用户断开通过脱机文件技术,用户断开企业网络连接后仍然可以使用企业网络连接后仍然可以使用 My My DocumentsDocuments 。。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
8.3.2 8.3.2 管理用户和组管理用户和组 11 .规划用户与组的关系.规划用户与组的关系
• 创建用户和组前,需要先对域进创建用户和组前,需要先对域进行整体规划,划分用户和组,以减少重行整体规划,划分用户和组,以减少重复性的设置。 复性的设置。
22 .创建组.创建组• 操作步骤如下。操作步骤如下。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
• (( 11)打开“)打开“ Active DirectoryActive Directory 用户和用户和计算机”窗口。计算机”窗口。
• (( 22)用鼠标右击“)用鼠标右击“ Users”Users” 节点,在节点,在弹出的快捷菜单中选择“新建弹出的快捷菜单中选择“新建→→组”选项,组”选项,在弹出的快捷菜单中选择“新建在弹出的快捷菜单中选择“新建→→组”选组”选项,弹出“新建对象项,弹出“新建对象 -- 组”对话框 。组”对话框 。
• (( 33)在“组名”文本框键入组的名称,)在“组名”文本框键入组的名称,单击“确定”按钮 。单击“确定”按钮 。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
33 .创建用户.创建用户• 系统管理员可以为用户设置登录系统管理员可以为用户设置登录名称、密码、访问脚本。 名称、密码、访问脚本。
• 操作步骤如下。操作步骤如下。–(( 11 )在“)在“ Users”Users” 快捷菜单中选择快捷菜单中选择
“新建”“新建”→“→“用户”选项,弹出“新建用户”选项,弹出“新建对象对象 -- 用户”对话框。在对话框中输用户”对话框。在对话框中输入用户的基本信息。入用户的基本信息。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
–(( 22 )单击“下一步”按钮,弹出)单击“下一步”按钮,弹出“设置用户密码”对话框。设置用户“设置用户密码”对话框。设置用户密码。密码。
–(( 33 )单击“下一步”按钮,在弹出)单击“下一步”按钮,在弹出的用户提示信息对话框中单击“完的用户提示信息对话框中单击“完成”按钮 。成”按钮 。
44 .设置用户的属性.设置用户的属性• 在“在“ Active DirectoryActive Directory 用户和计用户和计算机”窗口右窗格中用鼠标双击选定的算机”窗口右窗格中用鼠标双击选定的用户图标,弹出用户属性对话框 。用户图标,弹出用户属性对话框 。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
–(( 11 )设置用户账户)设置用户账户• 在“账户”选项卡中可以设置用在“账户”选项卡中可以设置用户的以下信息。户的以下信息。
» ① ① 设置用户密码的使用限制设置用户密码的使用限制» ② ② 指定用户的登录时间指定用户的登录时间
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
–(( 22 )将新用户添加到指定的组内)将新用户添加到指定的组内• 在“成员属于”选项卡中单击在“成员属于”选项卡中单击“添加”按钮,打开“选择组”对话框。“添加”按钮,打开“选择组”对话框。在上面的列表框中双击组名,选中的组在上面的列表框中双击组名,选中的组名显示在下面的文本框中。单击“确名显示在下面的文本框中。单击“确定”按钮,新用户为指定组的成员。定”按钮,新用户为指定组的成员。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
–(( 33 )其他选项卡)其他选项卡• 可以输入用户的详细信息。可以输入用户的详细信息。
55 .设置组的属性.设置组的属性• 与创建用户类似。通过组的属性与创建用户类似。通过组的属性对话框可以向组添加成员、将该组隶属对话框可以向组添加成员、将该组隶属于另外一个组、设置组的管理员等。于另外一个组、设置组的管理员等。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
• 操作方法为:在“操作方法为:在“ Active Active DirectoryDirectory 用户和计算机”窗口右窗格中用户和计算机”窗口右窗格中双击选定的组(如双击选定的组(如 User1User1),弹出该组),弹出该组的“属性”对话框,对组进行属性设置。的“属性”对话框,对组进行属性设置。–(( 11 )在“常规”选项卡中可以输入)在“常规”选项卡中可以输入组名、描述、电子邮件地址、组作用组名、描述、电子邮件地址、组作用域、组类型等信息 。域、组类型等信息 。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
–(( 22 )通过“成员”选项卡可以向组)通过“成员”选项卡可以向组中添加用户。中添加用户。
–(( 33 )通过“成员属于”选项卡将指)通过“成员属于”选项卡将指定组成员添加到组中定组成员添加到组中
–(( 44 )在“管理者”选项卡中设置组)在“管理者”选项卡中设置组的管理员的管理员
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
8.3.3 8.3.3 账户策略的设置账户策略的设置• 通过账户策略的设置,可以使账通过账户策略的设置,可以使账户的安全更加有保障。户的安全更加有保障。
• 在“开始”菜单中选择“程在“开始”菜单中选择“程序”序”→“→“管理工具”管理工具”→“→“域安全策略”选项,域安全策略”选项,打开“域安全策略”窗口。 打开“域安全策略”窗口。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
• 在左窗格的“账户策略”节点在左窗格的“账户策略”节点上,包括“密码策略”、“账户锁定策上,包括“密码策略”、“账户锁定策略”和“略”和“ KerberosKerberos 策略”的设定。双策略”的设定。双击这些策略,就可以分别进行设定。击这些策略,就可以分别进行设定。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
8.3.4 8.3.4 文件夹的共享文件夹的共享• Windows 2000Windows 2000 能够有选择地决定能够有选择地决定哪些文件夹可以被网络访问,哪些文件哪些文件夹可以被网络访问,哪些文件夹拒绝访问。夹拒绝访问。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
11 .规划共享文件夹.规划共享文件夹 规划共享文件夹时,应该组织好目录结规划共享文件夹时,应该组织好目录结构,规划好共享名的约定。构,规划好共享名的约定。
共享一个目录时,目录下的所有文件和共享一个目录时,目录下的所有文件和文件夹都与其父目录有相同的权限共享。 文件夹都与其父目录有相同的权限共享。
在创建共享文件夹的同时,文件夹的在创建共享文件夹的同时,文件夹的命名应使访问者容易知道该文件夹下的资命名应使访问者容易知道该文件夹下的资源类型。源类型。
LOGO
www.ptpress.com.cnwww.ptpress.com.cn
22 .共享文件夹权限.共享文件夹权限• Windows 2000Windows 2000 可以授予访问共享可以授予访问共享文件夹的用户文件夹的用户 33 个不同级别的权限。可个不同级别的权限。可以根据需要将这些权限用于用户或组。以根据需要将这些权限用于用户或组。–(( 11 )完全控制权限。)完全控制权限。–(( 22 )更改权限。)更改权限。–(( 33 )读取权限。)读取权限。