網(wǎng)絡(luò)工程師實(shí)驗(yàn)

1、本地用戶和組一、本地用戶 （一）相關(guān)知識(shí) 1本地用戶的含義 用戶分為本地用戶和全局用戶。“本地”指的是平時(shí)直接使用的計(jì)算機(jī)，本地用戶對(duì)應(yīng)著對(duì)等網(wǎng)工作組模式，用戶驗(yàn)證都在各自的本地計(jì)算機(jī)上執(zhí)行。全局用戶對(duì)應(yīng)客戶機(jī)/服務(wù)器(域)工作模式，用戶驗(yàn)證在域控制器上進(jìn)行。 本地用戶只能建立在Windows Server 2003獨(dú)立服務(wù)器、Windows Server 2003成員服務(wù)器或基于Windows xp的計(jì)算機(jī)上，這種用戶的作用范圍僅限于在創(chuàng)建該用戶的計(jì)算機(jī)上，以控制用戶對(duì)該計(jì)算機(jī)上資源的訪問(wèn)。也就是說(shuō)，如果一個(gè)用戶需要訪問(wèn)多臺(tái)計(jì)算機(jī)上的資源，而這些計(jì)算機(jī)不屬于某個(gè)域，則用戶要在每一臺(tái)需要訪問(wèn)的

2、計(jì)算機(jī)上擁有本地用戶帳號(hào)，在登錄某臺(tái)計(jì)算機(jī)時(shí)由該計(jì)算機(jī)進(jìn)行驗(yàn)證。 2用戶名命名規(guī)定 (1)用戶名可以使用字母和數(shù)字的組合； (2)用戶名在計(jì)算機(jī)時(shí)必須唯一，且不區(qū)分大小寫(xiě)； (3)用戶登錄名最多包括20個(gè)字符，輸入時(shí)可超過(guò)20個(gè)字符，但只識(shí)別前20個(gè)； (4)用戶名不能使用的字符“，”，/，：，；，|，=，+，*，?，。 3系統(tǒng)內(nèi)置用戶 系統(tǒng)內(nèi)置用戶是Windows Server 2003操作系統(tǒng)自帶的，在安裝好Windows Server 2003之后這些用戶就已經(jīng)存在，并已經(jīng)賦予了相應(yīng)的權(quán)限。Windows Server 2003利用這些用戶完成某些特定的工作。 Windows Serve

3、r 2003中常見(jiàn)的內(nèi)置用戶有系統(tǒng)管理員用戶Administrator和來(lái)賓用戶Guest(默認(rèn)禁用)。系統(tǒng)內(nèi)置用戶和組都不允許被刪除，并且Administrator帳號(hào)也不允許被禁用，但內(nèi)置用戶帳號(hào)允許更名。 沒(méi)有通過(guò)系統(tǒng)驗(yàn)證的用戶，都自動(dòng)轉(zhuǎn)為Guest用戶訪問(wèn)系統(tǒng)。因此，從安全性角度考慮，Guest用戶不要輕易啟用。 （二）實(shí)驗(yàn)步驟 (1)以系統(tǒng)管理員的身份登錄，通過(guò)“開(kāi)始/程序/管理工具/計(jì)算機(jī)管理”菜單命令，打開(kāi)“計(jì)算機(jī)管理”控制臺(tái)。 (2)單擊“本地用戶和組”前面的加號(hào)，展開(kāi)出現(xiàn)“用戶”圖標(biāo)，在“用戶”圖標(biāo)上右擊鼠標(biāo)，在彈出的快捷菜單中，單擊“新用戶”。 (3)打開(kāi)“新用戶”對(duì)話框，

4、在“用戶名”文本框中輸入用戶帳號(hào)的登錄名稱，如輸入“user1”；在“全名”文本框中輸入用戶的全名；在“描述”文本框中輸入帳號(hào)的簡(jiǎn)單描述，如所在部門(mén)、地點(diǎn)等，以方便日后的管理工作；在“密碼”和“確認(rèn)密碼”文本框中輸入相同的密碼。 在“新用戶”對(duì)話框中，“全名”的內(nèi)容只起說(shuō)明作用，可以不同于“用戶名”的內(nèi)容，在創(chuàng)建一個(gè)用戶帳號(hào)后，在“計(jì)算機(jī)管理”控制臺(tái)中可以看到用戶“全名” 的內(nèi)容，但在登錄本計(jì)算機(jī)時(shí)，必須使用“用戶名”中的名字。 (4)單擊“創(chuàng)建”按鈕后，該用戶帳號(hào)就被創(chuàng)建了，但“新用戶”對(duì)話框不消逝，可以繼續(xù)創(chuàng)建下一個(gè)用戶帳號(hào)。全部創(chuàng)建完后，單擊“關(guān)閉”按鈕，結(jié)束新用戶的創(chuàng)建。此時(shí)，在“計(jì)算

5、機(jī)管理”控制臺(tái)的右側(cè)窗口中可以看見(jiàn)新創(chuàng)建的帳號(hào)。二、本地組 （一）相關(guān)知識(shí) 組是Windows Server 2003網(wǎng)絡(luò)環(huán)境中的一個(gè)非常重要的概念，是用戶帳戶的集合，當(dāng)用戶較多時(shí)，要采用組來(lái)管理用戶帳戶。通常將具有相同身份和屬性的用戶組合到一個(gè)邏輯的集合(組)中，一次賦予該組訪問(wèn)資源的權(quán)限而不是單獨(dú)給用戶賦予權(quán)限，從而簡(jiǎn)化了管理。 一個(gè)用戶帳戶可以屬于多個(gè)組。用戶登錄后，如果又修改了權(quán)力權(quán)限，要再次登錄時(shí)才能生效。 本地組是在一個(gè)基于Windows Server 2003的計(jì)算機(jī)上創(chuàng)建的，這些計(jì)算機(jī)包括基于Windows Server 2003的獨(dú)立服務(wù)器或成員服務(wù)器。本地組的作用范圍只限于

6、創(chuàng)建該組的計(jì)算機(jī)上。組帳號(hào)存儲(chǔ)在創(chuàng)建該帳號(hào)的計(jì)算機(jī)上的本地安全帳號(hào)管理器中。使用本地組，需要在每臺(tái)計(jì)算機(jī)上都創(chuàng)建組，并向該組授予對(duì)資源的訪問(wèn)權(quán)限。本地組中有兩個(gè)重要的組類型：系統(tǒng)內(nèi)置組和用戶創(chuàng)建的本地組。我們這里列出通常用到的系統(tǒng)內(nèi)置組： 1Administrators組 Administrators組具有如下特點(diǎn)： (1)是所有Windows Server 2003上都有的唯一的一個(gè)被賦予了所有內(nèi)建權(quán)力的組； (2)可以給自己賦予所有自己沒(méi)有的權(quán)力； (3)可以添加系統(tǒng)組件，升級(jí)系統(tǒng)； (4)可以配置系統(tǒng)重要參數(shù)，如注冊(cè)表的修改； (5)可以配置安全信息。 一個(gè)用戶只要加入Administr

7、ators組，他就擁有了和系統(tǒng)管理員(Administrator)同樣的權(quán)力。 2Power users組 Power users組具有如下特點(diǎn)： (1)存在于非域控制器上； (2)可以進(jìn)行基本的系統(tǒng)管理工作：如共享文件夾、管理系統(tǒng)服務(wù)和打印機(jī)、管理本地普通用戶、安裝不修改注冊(cè)表的軟件； (3)不能修改Administrators組和Backup Operators組； (4)不能備份/恢復(fù)文件； (5)不能修改注冊(cè)表。 3Backup Operators組 Backup Operators組具有如下特點(diǎn)： (1)是所有的Windows Server 2003上都有的組； (2)可以忽略文件系

8、統(tǒng)的權(quán)限進(jìn)行備份和恢復(fù)； (3)可以登錄系統(tǒng)和關(guān)閉系統(tǒng)； (4)對(duì)加密文件也可以備份。 4Users組 Users組具有如下特點(diǎn)： (1)是一般用戶所在的組，對(duì)系統(tǒng)可使用基本的權(quán)力； (2)可以運(yùn)行，使用網(wǎng)絡(luò)； (3)可以關(guān)閉Windows xp，但不能關(guān)閉Windows Server 2003； (4)不能創(chuàng)建共享目錄和本地打印機(jī)。 5系統(tǒng)內(nèi)建的特殊組 以下特殊組的成員是隨機(jī)器運(yùn)行時(shí)由系統(tǒng)自動(dòng)修改的。 (1)Everyone組：包含所有的用戶，包括guest。 (2)Authenticated Users：包括所有被身份驗(yàn)證成功的用戶，但不包括guest。 Authenticated Use

9、rs組的成員在Windows xp中是Power Users組和Users組的成員，在Windows Server 2003 中是Users組的成員。 (3)Interactive組：包含所有交互式登錄的用戶。 在本地安全策略中，可以查看和修改用戶和組的權(quán)力。 （二）實(shí)驗(yàn)步驟 創(chuàng)建本地組的操作要由本地計(jì)算機(jī)的Administrators組成員進(jìn)行。 (1)在桌面的“我的電腦”處右擊，在彈出的快捷菜單中選擇“管理”，打開(kāi)“計(jì)算機(jī)管理”窗口，展開(kāi)左側(cè)子窗口中的“本地用戶和組”，在“組”選項(xiàng)上右擊鼠標(biāo)，在彈出的快捷菜單中選擇“新建組”。 (2)在打開(kāi)的“新建組”對(duì)話框的“組名”文本框中輸入該組的名稱

10、(如group1)，在“描述”文本框中簡(jiǎn)單地輸入該組的用途(可以不填，但為了管理方便，建議做簡(jiǎn)單描述)?？梢酝ㄟ^(guò)“添加”按鈕在“成員”列表框中加入組的成員(現(xiàn)在現(xiàn)不添加)。 (3)單擊“創(chuàng)建”按鈕，創(chuàng)建組成功。單擊“關(guān)閉”按鈕，返回到“計(jì)算機(jī)管理”窗口中。這時(shí)在右側(cè)的子窗口中可以看到新建的組。 (4)在新建組的圖標(biāo)上雙擊，打開(kāi)組屬性(group1屬性)對(duì)話框。 (5)單擊“添加”按鈕，打開(kāi)“選擇用戶或組”對(duì)話框，在“名稱”列表中選擇要添加的用戶帳戶，單擊“添加”按鈕將用戶加入到組中。 (6)單擊“確定”按鈕，返回到“group1屬性”對(duì)話框。在“成員”列表中會(huì)看到剛才添加的用戶。 (7)單擊“

11、確定”按鈕結(jié)束操作。共享與安全一、共享文件夾 （一）相關(guān)知識(shí) 1共享概述 Windows Server 2003作為一個(gè)網(wǎng)絡(luò)操作系統(tǒng)除具有良好的為了連接功能外，網(wǎng)絡(luò)中的資源可以被更好地使用。共享網(wǎng)絡(luò)資源要做的第一件事就是在網(wǎng)絡(luò)中設(shè)置共享文件夾，利用共享文件夾將數(shù)據(jù)發(fā)布到網(wǎng)絡(luò)中讓其他用戶訪問(wèn)。由于文件不能被直接共享到網(wǎng)絡(luò)中，必須通過(guò)共享文件夾發(fā)布出來(lái)，因此設(shè)置共享文件夾，無(wú)論是在工作組模式還是在域模式中，都是在網(wǎng)絡(luò)中共享文件資源的唯一方法。一個(gè)文件夾可以被多次共享。 在Windows Server 2003中，共享文件夾允許同時(shí)訪問(wèn)的用戶數(shù)目取決于安裝時(shí)設(shè)置的用戶許可數(shù)。 共享文件夾需要滿足以下

12、條件： (1)計(jì)算機(jī)必須在有網(wǎng)絡(luò)的情況下，才能進(jìn)行設(shè)置共享文件夾的操作，否則不能設(shè)置共享。 (2)必須有足夠大的權(quán)力，才能進(jìn)行共享操作，即登錄的用戶必須是Administrators組、Server Operators組或Power Users組成員才能進(jìn)行共享操作。 (3)當(dāng)“Server”服務(wù)沒(méi)有啟動(dòng)時(shí)，不能進(jìn)行共享操作。 2共享權(quán)限和NTFS權(quán)限 利用共享文件夾可以將文件資源發(fā)布到網(wǎng)絡(luò)中，對(duì)共享文件夾的控制可以通過(guò)共享文件夾權(quán)限實(shí)現(xiàn)。 Windows Server 2003支持FAT/FAT32和NTFS文件系統(tǒng)，對(duì)于FAT/FAT32文件系統(tǒng)磁盤(pán)上的文件夾，只能設(shè)置共享權(quán)限。共享權(quán)限只

13、能控制對(duì)文件夾一級(jí)的訪問(wèn)，即不能對(duì)文件設(shè)置訪問(wèn)權(quán)限。另外，共享文件夾權(quán)限只對(duì)從網(wǎng)絡(luò)只訪問(wèn)過(guò)來(lái)(如通過(guò)“網(wǎng)上鄰居”訪問(wèn))的用戶起作用，如果用戶從共享文件夾所在的計(jì)算機(jī)上本地登錄，通過(guò)“Windows資源管理器”訪問(wèn)共享文件夾，共享權(quán)限并不限制用戶對(duì)資源的訪問(wèn)。 對(duì)于NTFS文件系統(tǒng)上的文件夾，既可以設(shè)置共享權(quán)限，又可以設(shè)置NTFS權(quán)限來(lái)限制用戶的訪問(wèn)。NTFS權(quán)限既可以對(duì)文件夾進(jìn)行權(quán)限設(shè)置，又可以單獨(dú)對(duì)文件進(jìn)行訪問(wèn)權(quán)限的設(shè)置。NTFS權(quán)限對(duì)從網(wǎng)絡(luò)只訪問(wèn)過(guò)來(lái)(如通過(guò)“網(wǎng)上鄰居”訪問(wèn))的用戶和從本機(jī)登錄通過(guò)“Windows資源管理器”訪問(wèn)資源的用戶都起作用，即NTFS文件系統(tǒng)具有本地安全性。 在“W

14、indows資源管理器”中，通過(guò)查看磁盤(pán)的屬性，可以知道磁盤(pán)的文件系統(tǒng)類型，通過(guò)查看文件夾/文件的屬性，可以查看或設(shè)置共享權(quán)限和NTFS權(quán)限(屏幕提示為安全權(quán)限)的設(shè)置。 3各種共享權(quán)限的區(qū)別 默認(rèn)情況下，當(dāng)把一個(gè)文件夾共享出來(lái)之后，系統(tǒng)會(huì)自動(dòng)將該文件夾對(duì)Everyone組授予“完全控制”的訪問(wèn)權(quán)限，這樣的授權(quán)顯然太大了，因此，為了安全，一般要重新設(shè)置訪問(wèn)權(quán)限。 共享權(quán)限有三種：完全控制、更改、讀取 讀取權(quán)限，即只能讀文件夾中的文件。 更改權(quán)限，可以對(duì)文件夾中的文件進(jìn)行讀寫(xiě)、修改、刪除等操作。 完全控制權(quán)限，即對(duì)文件夾具有一切權(quán)限，包括可以修改共享文件夾的權(quán)限。 注意：一個(gè)共享文件夾被復(fù)制到某

15、個(gè)位置時(shí)，原位置的文件夾保持共享，新位置的文件夾不保持共享。當(dāng)移動(dòng)共享文件夾時(shí)，該文件夾就不再保持共享了。 （二）實(shí)驗(yàn)步驟 (1)以系統(tǒng)管理員的身份登錄，通過(guò)“開(kāi)始/程序/附件/Windows資源管理器”菜單命令，打開(kāi)“Windows資源管理器”，選中要共享的文件夾所在的盤(pán)符，右擊鼠標(biāo)，在彈出的快捷菜單中選擇“屬性”，查看磁盤(pán)的文件系統(tǒng)類型。 (2)選中要共享的文件夾，如選擇了C盤(pán)的TEMP文件夾，在文件夾名處右擊鼠標(biāo)，在彈出的快捷菜單中選擇“共享”。 (3)在打開(kāi)的文件夾“屬性”對(duì)話框中選擇“共享”選項(xiàng)卡，選擇“共享該文件夾”單選鈕(刪除共享時(shí)只需再單擊“不共享該文件夾”單選鈕即可)。 在“

16、共享名”文本框中輸入該文件夾的共享名，共享名將顯示給所有從“網(wǎng)上鄰居”訪問(wèn)該文件夾的用戶，默認(rèn)的共享名與文件夾的名稱一致，可以修改。 在“用戶數(shù)限制”中默認(rèn)選中的是“最多用戶”，即不限制對(duì)該文件夾訪問(wèn)的用戶數(shù)(只依賴于服務(wù)器的連接性能)；如果選擇“允許個(gè)用戶”，則可以限制同時(shí)訪問(wèn)該文件夾的用戶數(shù)，這里的用戶數(shù)應(yīng)該不超過(guò)所購(gòu)買(mǎi)的Windows Server 2003許可的數(shù)量。 (4)單擊“權(quán)限”按鈕，打開(kāi)文件夾的共享權(quán)限設(shè)置對(duì)話框，如果不想將該文件夾給所有用戶共享，為了安全，在“名稱”列表中選中“Everyone”組，單擊“刪除”按鈕，將對(duì)Everyone的授權(quán)刪除。 (5)單擊“添加”按鈕，

17、打開(kāi)“選擇用戶、計(jì)算機(jī)或組”對(duì)話框，在列表框中選擇要賦予權(quán)限的用戶/組，如選擇group1組，再單擊“添加”按鈕，將該用戶/組添加到對(duì)話框下半部分的列表中。 (6)單擊“確定”按鈕，回到共享權(quán)限設(shè)置對(duì)話框，并設(shè)置好共享權(quán)限。如，將group1組設(shè)置成“完全控制”。 (7)單擊“確定”按鈕，回到“Windows資源管理器”，這時(shí)，被共享的文件夾的圖標(biāo)下會(huì)出現(xiàn)一個(gè)“手”標(biāo)志，表示該文件夾已被共享。二、隱含共享 （一）相關(guān)知識(shí) 隱含的共享文件夾有兩種，一種是操作系統(tǒng)自動(dòng)創(chuàng)建的管理共享，這是我實(shí)現(xiàn)管理的目的而設(shè)置的。在Windows Server 2003中，自動(dòng)提供的供管理員使用的隱含共享有C$、D

18、$等，還有Admin$(系統(tǒng)安裝目錄，如C:WINNT)，Print$(打印驅(qū)動(dòng)程序，如C:WINNTsystem2spooldrivers)，因此用戶無(wú)需也不應(yīng)該更改它們；另一種隱含的共享文件夾是用戶出于某種目的而不愿意在網(wǎng)絡(luò)中讓其它用戶知道，但又必須讓特定的用戶共享而創(chuàng)建的。 這兩類共享文件夾都是在共享文件夾的共享名后面加上$符合，系統(tǒng)就會(huì)自動(dòng)隱藏這些文件夾而不在網(wǎng)絡(luò)中顯示。用戶可以通過(guò)“機(jī)器名隱含共享名$”的方式訪問(wèn)隱含共享。 在權(quán)限方面，用戶不可修改管理用隱含共享(如G$)的共享權(quán)限，但可以修改修改其NTFS權(quán)限。 （二）實(shí)驗(yàn)步驟 (1)以系統(tǒng)管理員的身份登錄，打開(kāi)“Windows資源

19、管理器”，右擊要?jiǎng)?chuàng)建共享的文件夾名，在彈出的快捷菜單中選擇“共享”，在打開(kāi)的“屬性”對(duì)話框中的“共享”選項(xiàng)卡中選擇“共享該文件夾”選項(xiàng)，在共享名后面加一個(gè)$符號(hào)。 (2)打開(kāi)“網(wǎng)上鄰居”窗口，將看不到該共享名(即隱含共享)。 (3)如果知道隱含共享名$及其網(wǎng)絡(luò)路徑，則可以通過(guò)映射網(wǎng)絡(luò)驅(qū)動(dòng)器或使用“運(yùn)行”命令來(lái)訪問(wèn)隱含共享。通過(guò)“開(kāi)始/運(yùn)行”菜單命令打開(kāi)“運(yùn)行”對(duì)話框，在“打開(kāi)”文本框中輸入“機(jī)器名隱含共享名$”。 (4)單擊“確定”按鈕，將看到隱含的共享文件夾的內(nèi)容。三、文件系統(tǒng)的轉(zhuǎn)換 （一）相關(guān)知識(shí) 文件系統(tǒng)就是在磁盤(pán)上存儲(chǔ)信息的格式。在所有的計(jì)算機(jī)系統(tǒng)中，都存在一種相應(yīng)的文件系統(tǒng)。它規(guī)定了

20、計(jì)算機(jī)對(duì)文件和文件夾進(jìn)行操作處理的各種標(biāo)準(zhǔn)和機(jī)制。因此，用戶對(duì)所有的文件和文件夾的操作都是通過(guò)文件系統(tǒng)來(lái)完成的。 1FAT文件系統(tǒng) FAT文件系統(tǒng)最初用于小型磁盤(pán)和簡(jiǎn)單文件結(jié)構(gòu)的簡(jiǎn)單文件系統(tǒng)。FAT文件系統(tǒng)得名于它的組織方法：放置在卷起始位置的文件分配表。為了保護(hù)卷，使用了兩份拷貝，確保即使一份損壞了也能正常工作。為了確保正確裝卸啟動(dòng)系統(tǒng)所必須的文件，文件分配表和根文件夾必須存放在固定的位置。 Windows 95/98、MS-DOS和Windows 95以前的版本都使用FAT文件系統(tǒng)。 2FAT32文件系統(tǒng) FAT32文件系統(tǒng)提供了比FAT文件系統(tǒng)更為先進(jìn)的文件管理特性，例如，支持高達(dá)32G

21、B的卷以及通過(guò)使用更小的簇來(lái)更有效率地使用磁盤(pán)空間。 Windows Server 2003、Windows 2000、Windows 98和Windows 95 OEM Release 2版能夠訪問(wèn)FAT32卷。MS-DOS、Windows NT 4.0及其更早的版本都不能識(shí)別FAT32卷，同時(shí)也不能從FAT32上啟動(dòng)。 FAT和FAT32可以與Windows Server 2003之外的其它操作系統(tǒng)兼容。如果設(shè)置了雙重啟動(dòng)配置，很可能需要FAT和FAT32文件系統(tǒng)。 如果用戶正在對(duì)Windows Server 2003和另外一個(gè)操作系統(tǒng)進(jìn)行雙重啟動(dòng)配置，選擇一個(gè)適用于后者的文件系統(tǒng)做為主分

22、區(qū)(啟動(dòng)分區(qū))。 若安裝分區(qū)小于2GB，或者雙重啟動(dòng)配置為Windows Server 2003和MS-DOS、Windows NT較早的版本，可將安裝分區(qū)格式化為FAT。 若大于或等于2GB的分區(qū)上使用FAT32文件系統(tǒng)，如果在Windows Server 2003安裝程序中，選擇使用FAT格式化，并且安裝分區(qū)大于2GB，安裝程序自動(dòng)按FAT32格式化。 若不需要雙重啟動(dòng)配置，或?qū)τ诖笥?2GB的卷，建議使用NTFS格式的文件系統(tǒng)。 3NTFS文件系統(tǒng) Windows Server 2003、Windows 2000推薦使用的NTFS文件系統(tǒng)提供了FAT和FAT32文件系統(tǒng)所沒(méi)有的性能、可靠

23、性和兼容性。NTFS文件系統(tǒng)的設(shè)計(jì)目標(biāo)就是在很大的硬盤(pán)上能夠很快地執(zhí)行諸如讀、寫(xiě)和搜索這樣的標(biāo)準(zhǔn)文件操作，甚至包括像文件系統(tǒng)恢復(fù)這樣的高級(jí)操作。 NTFS文件系統(tǒng)包括了公司環(huán)境中文件服務(wù)器和高端個(gè)人計(jì)算機(jī)所需的安全特性。NTFS文件系統(tǒng)還支持對(duì)于關(guān)鍵數(shù)據(jù)完整性十分重要的數(shù)據(jù)訪問(wèn)控制和私有權(quán)限。除了可以賦予Windows Server 2003計(jì)算機(jī)中共享文件夾特定權(quán)限外，NTFS文件和文件夾無(wú)論共享與否都可以賦予權(quán)限。NTFS是Windows Server 2003中唯一允許為單個(gè)文件指定權(quán)限的文件系統(tǒng)。當(dāng)然，當(dāng)用戶從NTFS卷移動(dòng)或復(fù)制文件到FAT卷時(shí)，NTFS文件系統(tǒng)權(quán)限和其它屬性將會(huì)丟失

24、。 Windows Server 2003包括一個(gè)新版本的NTFS(NTFS 5.0)，該文件系統(tǒng)在原有的靈活的安全特性(如域和用戶帳戶數(shù)據(jù)庫(kù))之上又加入了新的特性，如活動(dòng)目錄。Windows Server 2003中使用的NTFS文件系統(tǒng)支持以下特性：活動(dòng)目錄、域、文件加密、其它的數(shù)據(jù)存儲(chǔ)模式、磁盤(pán)活動(dòng)的恢復(fù)日志、磁盤(pán)配額、對(duì)于大容量驅(qū)動(dòng)器的良好擴(kuò)展性。 NTFS可支持的最大磁盤(pán)容量為2TB。 需要把整個(gè)磁盤(pán)或某個(gè)磁盤(pán)驅(qū)動(dòng)器做成NTFS文件系統(tǒng)的用戶，可在安裝Windows Server 2003時(shí)，在安裝向?qū)У膸椭峦瓿伤胁僮?。安裝程序可以很輕松地把分區(qū)轉(zhuǎn)化為NTFS文件系統(tǒng)。用戶也可以

25、在安裝完畢后使用Convert.exe命令把FAT或FAT32的分區(qū)轉(zhuǎn)化為NTFS分區(qū)。 （二）實(shí)驗(yàn)步驟 (1)通過(guò)“開(kāi)始/程序/附件/命令提示符”菜單命令，打開(kāi)“命令提示符”窗口。 (2)在“命令提示符”窗口中輸入CONVERT D: /FS:NTFS命令，即可將D:盤(pán)的FAT文件系統(tǒng)轉(zhuǎn)換為NTFS文件系統(tǒng)。命令的通用格式是： CONVERT volume /FS:NTFS 此命令只提供從FAT文件系統(tǒng)向NTFS文件系統(tǒng)的轉(zhuǎn)換，反之則不行。四、NTFS權(quán)限 （一）相關(guān)知識(shí) 1NTFS文件夾權(quán)限 NTFS文件夾權(quán)限定義了用戶對(duì)文件夾及其內(nèi)容的訪問(wèn)方式，其權(quán)限有6種標(biāo)準(zhǔn)組合：讀取、寫(xiě)入、列出文件

26、夾目錄、讀取及運(yùn)行、修改、完全控制。 2NTFS文件權(quán)限 NTFS文件權(quán)限適合于文件夾中的單個(gè)文件，它可以比對(duì)文件夾所設(shè)置的權(quán)限更加嚴(yán)格，也可以更加寬松，其權(quán)限有5種標(biāo)準(zhǔn)組合：讀取、寫(xiě)入、讀取及寫(xiě)入、修改、完全控制。 3權(quán)限的繼承 Windows Server 2003默認(rèn)子文件夾及文件繼承父文件夾的權(quán)限。權(quán)限的繼承簡(jiǎn)化了資源的權(quán)限分配。 在實(shí)際工作中，應(yīng)盡量對(duì)組授權(quán)，而不是對(duì)用戶授權(quán)；盡量對(duì)一級(jí)文件夾進(jìn)行權(quán)限的設(shè)置，而不必對(duì)下一文件夾進(jìn)行權(quán)限設(shè)置，這樣可以大大簡(jiǎn)化管理工作的。 4NTFS文件權(quán)限的區(qū)別 (1)“寫(xiě)入”權(quán)限可以修改文件內(nèi)容，可創(chuàng)建新文件。 (2)“修改”權(quán)限除了包含“寫(xiě)入”權(quán)限

27、外還有刪除權(quán)限。 (3)“完全控制”權(quán)限是具有“取得所有權(quán)”和“更改權(quán)限”的權(quán)限?！叭〉盟袡?quán)”權(quán)限可將文件所有者變成當(dāng)前用戶。登錄用戶創(chuàng)建的文件，其所有者就是該用戶。文件的所有者對(duì)文件可以無(wú)條件地更改權(quán)限。Administrators組擁有對(duì)任何文件“取得所有權(quán)”權(quán)限。 如對(duì)某個(gè)文件夾有“完全控制”權(quán)限時(shí)，不管該文件夾下的文件有什么權(quán)限(包括拒絕刪除權(quán)限)，都可以將這些文件刪除。而對(duì)某些文件夾有“修改”權(quán)限時(shí)，若該文件夾下的文件有拒絕刪除權(quán)限，則這些文件無(wú)法刪除。 （二）實(shí)驗(yàn)步驟 (1)以系統(tǒng)管理員的身份登錄，打開(kāi)“Windows資源管理器”，在NTFS文件系統(tǒng)的磁盤(pán)盤(pán)符上(如D盤(pán))右擊鼠標(biāo)

28、，在彈出的快捷菜單中選擇“屬性”，在磁盤(pán)的“屬性”對(duì)話框中選擇“安全”選項(xiàng)卡，查看系統(tǒng)默認(rèn)給磁盤(pán)根文件夾的NTFS權(quán)限設(shè)置?？梢钥吹较到y(tǒng)默認(rèn)為Everyone組對(duì)磁盤(pán)根文件夾賦予了“完全控制”的權(quán)限。單擊“確定”退出磁盤(pán)屬性對(duì)話框。 (2)右擊要設(shè)置權(quán)限的文件夾或文件(如temp1文件夾)，在彈出的快捷菜單中選擇“屬性”，打開(kāi)文件夾“屬性”對(duì)話框，選擇“安全”選項(xiàng)卡。在該對(duì)話框中可以看到Everyone組對(duì)文件夾有“完全控制”的權(quán)限，而且權(quán)限的設(shè)置都不能修改，因?yàn)橄到y(tǒng)默認(rèn)為Everyone組對(duì)磁盤(pán)的根文件夾有“完全控制”權(quán)限，而這個(gè)權(quán)限會(huì)向下繼承，因此Everyone組對(duì)該磁盤(pán)下所有文件和文件

29、夾都賦予了“完全控制”的權(quán)限。 (3)如果要修改或刪除對(duì)Everyone組的權(quán)限設(shè)置，可取消“允許將來(lái)自父系的可繼承權(quán)限傳播給該對(duì)象”選項(xiàng)，系統(tǒng)將彈出“安全”對(duì)話框。單擊“復(fù)制”按鈕，可將上級(jí)文件夾的權(quán)限復(fù)制過(guò)來(lái)，并使權(quán)限可以重新修改；單擊“刪除”按鈕，可刪除對(duì)Everyone在的授權(quán)。在此單擊“復(fù)制”按鈕。 (4)在“安全”選項(xiàng)卡中，單擊“添加”按鈕，打開(kāi)“選擇用戶、計(jì)算機(jī)或組”對(duì)話框，選擇要賦予權(quán)限的用戶/組，在此選擇group1組。 (5)單擊“確定”按鈕回到“安全”選項(xiàng)卡中，會(huì)看到剛剛添加的用戶/組在“名稱”列表中，并且系統(tǒng)已經(jīng)為該用戶/組賦予了默認(rèn)的權(quán)限，而且權(quán)限可以修改。 (6)在

30、“安全”選項(xiàng)卡中看到的權(quán)限都是NTFS標(biāo)準(zhǔn)權(quán)限，如果想賦予用戶NTFS特殊權(quán)限可以單擊“高級(jí)”按鈕，打開(kāi)文件夾的“訪問(wèn)控制設(shè)置”對(duì)話框。 (7)在“權(quán)限項(xiàng)目”列表框中選擇要賦予特殊NTFS權(quán)限的用戶/組，單擊“查看/編輯”按鈕，打開(kāi)文件夾的“權(quán)限項(xiàng)目”對(duì)話框，在此可以進(jìn)一步設(shè)置有關(guān)權(quán)限，如選擇“創(chuàng)建文件/寫(xiě)入數(shù)據(jù)”權(quán)限。 (8)單擊“確定”按鈕，回到“訪問(wèn)控制設(shè)置”對(duì)話框下，可以看到被設(shè)置的用戶/組的“權(quán)限”欄中的權(quán)限為“特殊”，表明用戶被授予了特殊的NTFS權(quán)限。 (9)選中“訪問(wèn)控制設(shè)置”對(duì)話框底部的“允許將來(lái)自父系的可繼承權(quán)限傳遞給該對(duì)象”選項(xiàng)，意味著這個(gè)文件夾可以繼承來(lái)自其上一級(jí)文件夾

31、的權(quán)限設(shè)置；選中“重置所有子對(duì)象的權(quán)限并允許傳播可繼承權(quán)限”選項(xiàng)，意味著將該文件夾下的所有子文件夾和文件的權(quán)限取消，并重新設(shè)置成與其父文件夾一致的權(quán)限(即強(qiáng)制用父文件夾的權(quán)限替換子文件夾和文件的權(quán)限)。在此都不作選擇。 (10)如果希望讓某個(gè)用戶獲得該文件夾的所有權(quán)，則選擇“所有者”選項(xiàng)卡。該選項(xiàng)卡的“目前該項(xiàng)目的所有者”中顯示出了目前該文件夾的所有者，在“將所有者改為”列表框中單擊要獲得所有權(quán)的用戶，單擊“應(yīng)用”按鈕，則可以將該文件夾的所有者替換成選定的用戶。 (11)單擊“確定”按鈕，結(jié)束操作。五、共享權(quán)限之間沖突或NTFS權(quán)限之間沖突的解決 （一）相關(guān)知識(shí) 1權(quán)限的累加 如果一個(gè)用戶同時(shí)

32、屬于多個(gè)組，而這些不同的組對(duì)同一個(gè)資源又賦予了不同的權(quán)限，此時(shí)，用戶最終擁有的權(quán)限是所屬各組權(quán)限的累加。 例如，如果一個(gè)用戶user2同時(shí)屬于group1組和group2組，group1對(duì)某文件或文件夾的訪問(wèn)權(quán)限為“讀取”，而group2對(duì)這個(gè)文件或文件夾的訪問(wèn)權(quán)限為“完全控制”，則用戶user2對(duì)該文件或文件夾的訪問(wèn)權(quán)限為兩個(gè)組權(quán)限的累加，即： 讀取完全控制完全控制 2權(quán)限的優(yōu)先性 權(quán)限的優(yōu)先性表現(xiàn)在兩個(gè)方面： (1)文件權(quán)限優(yōu)先文件夾權(quán)限。文件的權(quán)限可以超越文件夾的權(quán)限，不顧上一級(jí)文件夾的設(shè)置。 例如，如果一用戶user1對(duì)文件夾temp2的訪問(wèn)權(quán)限為“讀取”，在這個(gè)文件夾下面有一個(gè)c1文

33、件，user1對(duì)c1文件的設(shè)置為“完全控制”，則user1對(duì)c1文件具有完全控制的權(quán)限，而不管它的上一級(jí)文件夾temp2的權(quán)限設(shè)置情況。 注意：只有NTFS文件系統(tǒng)的磁盤(pán)上才能對(duì)單個(gè)文件進(jìn)行NTFS權(quán)限設(shè)置。 (2)“拒絕”權(quán)限優(yōu)先于其它權(quán)限?！熬芙^”權(quán)限可以超越其它所有權(quán)限，一旦選擇了“拒絕”權(quán)限，則其它相關(guān)權(quán)限都不起作用，相當(dāng)于沒(méi)有設(shè)置。 如果用戶被授予了對(duì)某個(gè)共享文件夾“拒絕讀取”的權(quán)限，則該權(quán)限為用戶訪問(wèn)共享文件夾的最終權(quán)限，而不管用戶所屬的其它組中被授予的任何權(quán)限。在Windows Server 2003中，拒絕總是優(yōu)先，包括權(quán)限和權(quán)力。 例如，如果一個(gè)用戶user2同屬于group

34、1組和group2組，其中g(shù)roup1對(duì)一個(gè)文件夾temp1的訪問(wèn)權(quán)限為“完全控制”，而group2對(duì)temp1的訪問(wèn)權(quán)限設(shè)置了某一種“拒絕訪問(wèn)”，則user2對(duì)文件夾temp1的該種訪問(wèn)權(quán)限為“拒絕訪問(wèn)”類型，而不管group1對(duì)這個(gè)文件夾設(shè)置了什么權(quán)限。 （二）實(shí)驗(yàn)步驟 1權(quán)限具有累加性 (1)以系統(tǒng)管理員的身份登錄，通過(guò)“開(kāi)始/程序/附件/Windows資源管理器”菜單命令。打開(kāi)“Windows資源管理器”，繼續(xù)實(shí)驗(yàn)六的內(nèi)容，添加group2組對(duì)C盤(pán)的共享文件夾TEMP的共享訪問(wèn)權(quán)，并將共享權(quán)限設(shè)置為“讀取”。 (2)由于user2已經(jīng)同屬于group1組和group2組，注銷當(dāng)前用戶，

35、以u(píng)ser2用戶登錄，打開(kāi)“網(wǎng)上鄰居”，打開(kāi)共享文件夾TEMP，刪除或創(chuàng)建文件，成功。證明user2對(duì)TEMP有完全控制權(quán)限。 可以試著以用戶user1和user3登錄，進(jìn)行類似操作，看結(jié)果如何。 2文件權(quán)限優(yōu)于文件夾權(quán)限 注意：對(duì)文件權(quán)限的設(shè)置只能在NTFS文件系統(tǒng)的磁盤(pán)上才能進(jìn)行。 (1)以系統(tǒng)管理員的身份登錄，在“Windows資源管理器”中用右鍵點(diǎn)擊某一個(gè)磁盤(pán)的盤(pán)符，在彈出的快捷菜單中選擇“屬性”，查看磁盤(pán)的文件系統(tǒng)類型。 (2)在NTFS文件系統(tǒng)的磁盤(pán)上選擇一個(gè)文件夾(如temp2)中的某個(gè)文件(如c1)，右擊鼠標(biāo)，在彈出的快捷菜單中選擇“屬性”。 (3)在文件的“屬性”對(duì)話框中選擇

36、“安全”選項(xiàng)卡。 (4)取消“允許將來(lái)自父系的可繼承權(quán)限傳播給該對(duì)象”選項(xiàng)，系統(tǒng)彈出“安全”對(duì)話框，單擊“刪除”按鈕，刪除對(duì)Everyone的授權(quán)。 (5)回到文件屬性對(duì)話框，單擊“添加”按鈕，設(shè)置group1組對(duì)文件的權(quán)限為“完全控制”。 (6)單擊“確定”按鈕，退出對(duì)文件的設(shè)置。 (7)選擇該文件所在的文件夾(如temp2)，右擊鼠標(biāo)，在彈出的快捷菜單中選擇“屬性”。 (8)在文件夾的“屬性”對(duì)話框中選擇“安全”選項(xiàng)卡，在“安全”選項(xiàng)卡中取消“允許將來(lái)自父系的可繼承權(quán)限傳播給該對(duì)象”選項(xiàng)，系統(tǒng)彈出“安全”對(duì)話框，單擊“刪除”按鈕，刪除對(duì)Everyone的授權(quán)。 (9)回到文件屬性對(duì)話框，單

37、擊“添加”按鈕，設(shè)置group1組對(duì)文件夾的權(quán)限為“讀取”。 (10)單擊“確定”按鈕，退出對(duì)文件夾的設(shè)置。 (11)注銷當(dāng)前登錄用戶，以group1的組成員user1登錄，打開(kāi)“Windows資源管理器”，對(duì)temp2文件夾下的文件c1進(jìn)行修改操作，成功，對(duì)temp2文件夾下其它文件進(jìn)行修改操作，失敗。這就證明了單獨(dú)對(duì)文件c1的授權(quán)已經(jīng)超過(guò)了所在文件夾的授權(quán)，而其它文件則繼承了文件夾的權(quán)限。 3“拒絕”權(quán)限優(yōu)先其它權(quán)限 (1)以系統(tǒng)管理員的身份登錄，通過(guò)“開(kāi)始/程序/附件/Windows資源管理器”菜單命令。打開(kāi)“Windows資源管理器”，承接以前的實(shí)驗(yàn)內(nèi)容，設(shè)置group1組對(duì)C盤(pán)的共享

38、文件TEMP的共享訪問(wèn)權(quán)，并將共享權(quán)限設(shè)置為“完全控制”，設(shè)置group2組對(duì)文件夾TEMP的共享訪問(wèn)權(quán)限為“拒絕更改”。 (2)設(shè)置“拒絕更改”后，單擊“確定”按鈕時(shí)，會(huì)彈出一個(gè)提示拒絕項(xiàng)的“安全”對(duì)話框，單擊“是”按鈕。 (3)單擊“確定”按鈕，退出共享權(quán)限設(shè)置。 (4)注銷當(dāng)前登錄用戶，以兩個(gè)組的公共用戶user2登錄，然后打開(kāi)“網(wǎng)上鄰居”，打開(kāi)共享文件夾TEMP，刪除、修改或創(chuàng)建文件，均失敗。這就證明user2對(duì)TEMP沒(méi)有“更改”權(quán)，拒絕更改優(yōu)先于完全控制權(quán)。六、共享權(quán)限和NTFS權(quán)限之間沖突的解決 （一）相關(guān)知識(shí) 當(dāng)共享文件夾同時(shí)被授予共享權(quán)限和NTFS權(quán)限時(shí)，最終的權(quán)限是取兩個(gè)權(quán)

39、限中限制最應(yīng)該、最小的那種權(quán)限。 例如，文件夾temp1為用戶user1設(shè)置的共享權(quán)限為“讀取”，同時(shí)文件夾temp1為用戶user1設(shè)置的NTFS權(quán)限為“完全控制”，那么，用戶user1對(duì)文件夾temp1的最終訪問(wèn)權(quán)限為“讀取”。 建議：對(duì)NTFS文件夾，不管默認(rèn)的共享權(quán)限，只設(shè)置NTFS權(quán)限即可。 （二）實(shí)驗(yàn)步驟 (1)以系統(tǒng)管理員的身份登錄，打開(kāi)“Windows資源管理器”，右擊文件夾temp1，在彈出的快捷菜單中選擇“共享”命令，打開(kāi)“共享”選項(xiàng)卡，設(shè)置該文件夾的共享，并單擊“權(quán)限”按鈕，查看默認(rèn)的共享權(quán)限為Everyone在有“完全控制”權(quán)限。單擊“確定”按鈕，返回“共享”選項(xiàng)卡。

40、(2)選擇“安全”選項(xiàng)卡，將Everyone組對(duì)該文件夾的NTFS權(quán)限設(shè)置為沒(méi)有修改權(quán)。單擊“確定”按鈕，結(jié)束權(quán)限設(shè)置。 (3)以“Windows資源管理器”或“網(wǎng)上鄰居”訪問(wèn)該文件夾，并試著在該文件夾進(jìn)行刪除文件的操作，失敗。證明了Everyone在最終對(duì)該文件夾的訪問(wèn)權(quán)限為沒(méi)有修改權(quán)。七、文件的復(fù)制和移動(dòng)對(duì)權(quán)限的影響 （一）相關(guān)知識(shí) NTFS文件夾權(quán)限具有繼承性。 權(quán)限的繼承性就是下級(jí)文件夾的權(quán)限設(shè)置在未重設(shè)之前是繼承了其上一級(jí)文件夾的權(quán)限設(shè)置。即，如果一個(gè)用戶對(duì)某一文件夾具有“讀取”權(quán)限，那該用戶對(duì)這個(gè)文件夾的下級(jí)文件夾同樣具有“讀取”的權(quán)限。除非打斷這種繼承關(guān)系，重新設(shè)置。這些只適用于

41、靜態(tài)的文件夾權(quán)限，在同一個(gè)NTFS分區(qū)內(nèi)或不同的NTFS分區(qū)之間復(fù)制或移動(dòng)一個(gè)文件或文件夾是該文件或文件夾的NTFS權(quán)限會(huì)發(fā)生不同的變化。 1在同一NTFS分區(qū)內(nèi)復(fù)制或移動(dòng) 在同一NTFS分區(qū)間將文件復(fù)制到不同的文件夾，它的訪問(wèn)權(quán)限和原文件夾的訪問(wèn)權(quán)限不一樣，它將繼承目標(biāo)(新)文件夾的訪問(wèn)權(quán)限。 在同一NTFS分區(qū)內(nèi)移動(dòng)文件時(shí)，其訪問(wèn)權(quán)限保持不變，繼承原先未移動(dòng)前的訪問(wèn)權(quán)限。 2在不同NTFS分區(qū)間復(fù)制或移動(dòng) 在不同NTFS分區(qū)間復(fù)制文件時(shí)，其訪問(wèn)權(quán)限會(huì)隨之改變，復(fù)制的文件不是繼承原權(quán)限，而是繼承目標(biāo)(新)文件夾的訪問(wèn)權(quán)限。 在不同NTFS分區(qū)間移動(dòng)文件，其訪問(wèn)權(quán)限也會(huì)隨著移動(dòng)而改變，也是繼承

42、目標(biāo)(新)文件夾的訪問(wèn)權(quán)限。 結(jié)論：同分區(qū)內(nèi)移動(dòng)文件，文件的訪問(wèn)權(quán)限保持不變，其它方式的文件移動(dòng)或復(fù)制，文件繼承其目標(biāo)文件夾的權(quán)限。 3從NTFS分區(qū)復(fù)制或移動(dòng)到FAT分區(qū) 由于FAT分區(qū)中的文件或文件夾沒(méi)有NTFS權(quán)限設(shè)置，因此，文件或文件夾也就沒(méi)有NTFS權(quán)限了。 （二）實(shí)驗(yàn)步驟 1在同一NTFS分區(qū)內(nèi)復(fù)制文件對(duì)NTFS權(quán)限的影響 (1)在“Windows資源管理器”中，用鼠標(biāo)右鍵單擊D盤(pán)上的文件夾temp3，選中“屬性”菜單命令，打開(kāi)“屬性”對(duì)話框，選擇“安全”選項(xiàng)卡，設(shè)置Everyone組的NTFS權(quán)限為“完全控制”。 (2)選擇文件夾temp3下的某一文件(如d1)，用鼠標(biāo)右擊該文件

43、名，選擇“屬性”菜單命令，打開(kāi)“屬性”對(duì)話框，選擇“安全”選項(xiàng)卡，查看繼承的NTFS權(quán)限為“完全控制”。 (3)用鼠標(biāo)右鍵單擊D盤(pán)上的文件夾temp1，選中“屬性”菜單命令，打開(kāi)“屬性”對(duì)話框，選擇“安全”選項(xiàng)卡，設(shè)置Everyone組的NTFS權(quán)限沒(méi)為“完全控制”權(quán)。 (4)選擇文件夾temp1下的某一文件(如b1)，用鼠標(biāo)右擊該文件名，選擇“屬性”菜單命令，打開(kāi)“屬性”對(duì)話框，選擇“安全”選項(xiàng)卡，查看繼承的NTFS權(quán)限為沒(méi)有“完全控制”。 (5)在“Windows資源管理器”中，將文件夾temp3中的文件d1復(fù)制到文件夾temp1中，用鼠標(biāo)右擊d1，選擇“屬性”菜單命令，打開(kāi)“屬性”對(duì)話框

44、，選擇“安全”選項(xiàng)卡，可以看到文件d1的訪問(wèn)權(quán)限發(fā)生了變化，已經(jīng)繼承了文件夾temp1的訪問(wèn)權(quán)限了。 2在同一NTFS分區(qū)內(nèi)移動(dòng)文件對(duì)NTFS權(quán)限的影響 在“Windows資源管理器”中，將文件夾temp3中的文件d2移動(dòng)到文件夾temp1中，用鼠標(biāo)右擊d2，選擇“屬性”菜單命令，打開(kāi)“屬性”對(duì)話框，選擇“安全”選項(xiàng)卡，可以看到文件d1的訪問(wèn)權(quán)限沒(méi)有發(fā)生變化，還是繼承了原來(lái)所在文件夾temp3的訪問(wèn)權(quán)限。 參照類似的實(shí)驗(yàn)方法，可以測(cè)試不同NTFS分區(qū)間復(fù)制或移動(dòng)文件對(duì)NTFS權(quán)限的影響。八、NTFS文件的壓縮和加密 （一）相關(guān)知識(shí)文件壓縮是NTFS文件系統(tǒng)的內(nèi)置功能，安裝好Windows Se

45、rver 2003并應(yīng)用NTFS文件系統(tǒng)后就可以使用。NTFS文件系統(tǒng)的壓縮和解壓縮過(guò)程對(duì)于用戶而言是完全透明的，用戶只要將數(shù)據(jù)應(yīng)用壓縮功能即可。當(dāng)用戶或應(yīng)用程序使用壓縮過(guò)的數(shù)據(jù)時(shí)，操作系統(tǒng)會(huì)自動(dòng)在后臺(tái)對(duì)數(shù)據(jù)進(jìn)行解壓縮，無(wú)需用戶干預(yù)。利用這項(xiàng)功能，可以節(jié)省大量的硬盤(pán)空間。 1文件壓縮的特點(diǎn) (1)當(dāng)壓縮文件復(fù)制時(shí)，它在目標(biāo)盤(pán)上是按照沒(méi)有壓縮時(shí)的大小申請(qǐng)磁盤(pán)空間的。 (2)壓縮文件復(fù)制時(shí)，系統(tǒng)先將文件解壓縮，然后將未壓縮的文件進(jìn)行復(fù)制，復(fù)制后再進(jìn)行壓縮。 (3)如果某個(gè)文件或文件夾是加密的，就不能對(duì)它進(jìn)行壓縮。 (4)同分區(qū)內(nèi)移動(dòng)文件，文件的壓縮屬性不變；其它類型的文件移動(dòng)或復(fù)制，文件將繼承目標(biāo)

46、文件夾的壓縮屬性。這與NTFS權(quán)限類似。 2文件加密的特點(diǎn) (1)文件加密只有在NTFS文件系統(tǒng)中實(shí)現(xiàn) (2)文件加密技術(shù)基于公共密鑰系統(tǒng)，即公鑰加密，私鑰解密，這種加密不需要密碼。它與壓縮文件的設(shè)置方法基本類似。加密后，文件加密密鑰存儲(chǔ)在文件頭中。 (3)管理員可以指定一個(gè)恢復(fù)代理，用以恢復(fù)加密的文件。恢復(fù)代理在默認(rèn)情況下就是系統(tǒng)管理員。 (4)可以使用命令行命令“Cipher”進(jìn)行加密/解密。 (5)多個(gè)用戶之間不能共享加密文件。 (6)加密文件復(fù)制到FAT分區(qū)后，加密屬性會(huì)丟失。 (7)加密文件在網(wǎng)上傳輸時(shí)，是以解密狀態(tài)進(jìn)行的，所以，文件加密只是存儲(chǔ)加密?？梢岳肐psec和VPN進(jìn)行傳

47、輸加密。 (8)文件的加密和壓縮是互斥的，即加密和壓縮只能選一種。 (9)用戶加密文件后，自己可以任意復(fù)制、移動(dòng)，即只有進(jìn)行加密的用戶才能透明地使用，其它用戶無(wú)法對(duì)文件進(jìn)行復(fù)制、移動(dòng)、解密，但可以刪除、重命名。 （二）實(shí)驗(yàn)步驟 1文件的壓縮 (1)打開(kāi)“Windows資源管理器”，選中NTFS文件系統(tǒng)磁盤(pán)上要壓縮的文件或文件夾(如D盤(pán)的temp4)，在選定的文件或文件夾上右擊，在彈出的快捷菜單中選擇“屬性”命令，打開(kāi)“屬性”對(duì)話框。從圖中可以看到，目前文件夾temp4中文件的總?cè)萘亢蛯?shí)際占用空間。 (2)單擊“高級(jí)”按鈕，打開(kāi)“高級(jí)屬性”對(duì)話框，再選擇“壓縮內(nèi)容以便節(jié)省磁盤(pán)空間”復(fù)選框。單擊“

48、確定”按鈕，返回文件夾屬性對(duì)話框。 (3)在文件夾屬性對(duì)話框中，單擊“應(yīng)用”按鈕，彈出“確認(rèn)屬性更改”對(duì)話框。若選擇“僅將更改應(yīng)用于該文件夾”，則將只壓縮選擇的文件夾以及這一文件夾下的文件和數(shù)據(jù)；若選擇“將更改應(yīng)用于該文件夾、子文件夾和文件”，則將壓縮這個(gè)文件夾下的所有文件和文件夾以及子文件夾下的數(shù)據(jù)，在此選擇該項(xiàng)。單擊“確定”按鈕，返回文件夾屬性對(duì)話框。 (4)從文件夾屬性對(duì)話框中可以看到，現(xiàn)在文件temp4中文件的總?cè)萘繘](méi)有變，而實(shí)際占用空間減少了。 (5)單擊“確定”按鈕，結(jié)束操作。 2文件的加密 (1)打開(kāi)“Windows資源管理器”，選中NTFS文件系統(tǒng)磁盤(pán)上要加密的文件或文件夾(如

49、D盤(pán)的temp4)，在選定的文件或文件夾上右擊，在彈出的快捷菜單中選擇“屬性”命令，打開(kāi)“屬性”對(duì)話框。 (2)單擊“高級(jí)”按鈕，打開(kāi)“高級(jí)屬性”對(duì)話框，再選擇“加密內(nèi)容以便保護(hù)數(shù)據(jù)”復(fù)選框。單擊“確定”按鈕，返回文件夾屬性對(duì)話框。 (3)在文件夾屬性對(duì)話框中，單擊“應(yīng)用”按鈕，彈出“確認(rèn)屬性更改”對(duì)話框。若選擇“僅將更改應(yīng)用于該文件夾”，則將只加密選擇的文件夾以及這一文件夾下的文件和數(shù)據(jù)；若選擇“將更改應(yīng)用于該文件夾、子文件夾和文件”，則將加密這個(gè)文件夾下的所有文件和文件夾以及子文件夾下的數(shù)據(jù)，在此選擇該項(xiàng)。單擊“確定”按鈕，返回文件夾屬性對(duì)話框。 (4)單擊“確定”按鈕，結(jié)束操作。 對(duì)加密

50、文件夾中的文件進(jìn)行讀取、修改、復(fù)制等操作，一切正常。 注銷當(dāng)前用戶，以其它用戶登錄，對(duì)該文件夾進(jìn)行讀取和復(fù)制操作，均遭拒絕。一、活動(dòng)目錄服務(wù) （一）相關(guān)知識(shí) 活動(dòng)目錄(Active Directory，簡(jiǎn)稱AD)的目錄服務(wù)用于組織、管理和控制網(wǎng)絡(luò)資源的結(jié)構(gòu)和功能，便于用戶查找、管理和使用網(wǎng)絡(luò)資源。 因?yàn)榇笮途W(wǎng)絡(luò)中難以確定資源位置、名稱，所以需要命令服務(wù)，使得用戶能透明、高效地快速定位資源，而不需要知道資源的物理位置、如何連接。有了活動(dòng)目錄，可以實(shí)現(xiàn)單點(diǎn)管理，用戶只需登錄一次，就可以訪問(wèn)整個(gè)活動(dòng)目錄的資源。 Windows Server 2003將DNS和活動(dòng)目錄進(jìn)行了集成，它們使用相同的分層命

51、名結(jié)構(gòu)。DNS主機(jī)名與活動(dòng)目錄中計(jì)算機(jī)帳號(hào)是相同的，計(jì)算機(jī)名可認(rèn)為是特殊的域名。 域、計(jì)算機(jī)可成為活動(dòng)目錄的對(duì)象/DNS資源記錄，客戶機(jī)通過(guò)查詢DNS找到域控制器(或其它對(duì)象)。DNS主區(qū)域結(jié)構(gòu)可存儲(chǔ)活動(dòng)目錄，并隨活動(dòng)目錄復(fù)制。 1域 2域樹(shù) 3樹(shù)林 4信任關(guān)系 域信任關(guān)系是建立兩個(gè)域之間的關(guān)系，它使一個(gè)域的用戶由另一個(gè)域中的域控制器進(jìn)行驗(yàn)證。驗(yàn)證通過(guò)后，便使得一個(gè)域中的用戶可以訪問(wèn)另一個(gè)域中的資源。 同一個(gè)樹(shù)林中的Windows Server 2003域之間會(huì)自動(dòng)建立可傳遞的信任關(guān)系。 非傳遞的信任關(guān)系主要存在于以下域之間： Windows 2000/2003域和Windows NT域之間。

52、 兩個(gè)樹(shù)林中的Windows 2000/2003域之間。 這些域之間的信任關(guān)系需要用戶手工建立。 5活動(dòng)目錄安裝前的準(zhǔn)備 (1)計(jì)算機(jī)上運(yùn)行的必須是Windows Server 2003。 (2)活動(dòng)目錄數(shù)據(jù)庫(kù)至少需要200MB，活動(dòng)目錄數(shù)據(jù)庫(kù)的事務(wù)日志文件另需50MB，若為全局編錄服務(wù)器，還需一定的空間。 (3)系統(tǒng)卷(SYSVOL)文件夾必須在NTFS分區(qū)。 (4)安裝并配置了TCP/IP。 (5)若在現(xiàn)存的Windows Server 2003網(wǎng)絡(luò)上創(chuàng)建域，那么還需要?jiǎng)?chuàng)建域所需的管理特權(quán)。 （二）實(shí)驗(yàn)步驟 1活動(dòng)目錄的安裝 活動(dòng)目錄的安裝使計(jì)算機(jī)轉(zhuǎn)換為域控制器。 安裝活動(dòng)目錄要啟動(dòng)活動(dòng)目

53、錄安裝向?qū)?，下面兩種方法都可以啟動(dòng)活動(dòng)目錄安裝向?qū)А?方法1：通過(guò)“開(kāi)始/程序/管理工具/配置服務(wù)器/Active Directory/啟動(dòng)”菜單命令，啟動(dòng)Active Directory安裝向?qū)А?方法2：通過(guò)“開(kāi)始/運(yùn)行/鍵入Dcpromo.exe”菜單命令，啟動(dòng)Active Directory安裝向?qū)А?下面以方法1為例，介紹活動(dòng)目錄的安裝。 (1)執(zhí)行“開(kāi)始/程序/管理工具/配置服務(wù)器”菜單命令，打開(kāi)“配置服務(wù)器”窗口，單擊窗口左側(cè)的“Active Directory”選項(xiàng)。 (2)單擊“配置服務(wù)器”窗口下面的“啟動(dòng)”，啟動(dòng)Active Directory安裝。 (3)單擊“下一步”按

54、鈕，打開(kāi)“域控制器類型”選擇對(duì)話框。如果是創(chuàng)建一個(gè)新域的第一臺(tái)域控制器，則選擇“新域的域控制器”選項(xiàng)；如果創(chuàng)建的不是一個(gè)域中第一臺(tái)域控制器，則選擇“現(xiàn)有域的額外域控制器”選項(xiàng)。 (4)在此選擇“新域的域控制器”選項(xiàng)，單擊“下一步”按鈕，打開(kāi)“創(chuàng)建目錄樹(shù)或子域”對(duì)話框。如果是創(chuàng)建一個(gè)新域樹(shù)的第一個(gè)域，則選擇“創(chuàng)建一個(gè)新的域目錄樹(shù)”選項(xiàng)；如果是創(chuàng)建一個(gè)已有域樹(shù)的一個(gè)子域，則選擇“在現(xiàn)有域目錄樹(shù)中創(chuàng)建一個(gè)新的子域”選項(xiàng)。 (5)在此選擇“創(chuàng)建一個(gè)新的域目錄樹(shù)”選項(xiàng)，單擊“下一步”按鈕，打開(kāi)“創(chuàng)建或加入目錄林”對(duì)話框。如果是創(chuàng)建一個(gè)新樹(shù)林，則選擇“創(chuàng)建新的目錄林”選項(xiàng)；如果是將一個(gè)域樹(shù)加入到已有的樹(shù)林

55、中，則選擇“將這個(gè)新的域目錄樹(shù)放入現(xiàn)有的目錄林中”選項(xiàng)。 (6)在此選擇“創(chuàng)建新的目錄林”選項(xiàng)，單擊“下一步”按鈕，打開(kāi)“新的域名”設(shè)置對(duì)話框，在“新域的DNS全名”欄中按照DNS的格式輸入域的全名。 (7)單擊“下一步”按鈕，打開(kāi)“NetBIOS域名”對(duì)話框。NetBIOS域名主要是為早期Windows版本(如Windows98/NT)的用戶登錄域時(shí)使用的域名，默認(rèn)情況下，系統(tǒng)將新域DNS全名的最左邊一段設(shè)置成NetBIOS域名。 (8)單擊“下一步”按鈕，打開(kāi)“數(shù)據(jù)庫(kù)和日志文件位置”對(duì)話框。默認(rèn)情況下，系統(tǒng)已經(jīng)設(shè)置了目錄位置，用戶可以不改變。 (9)單擊“下一步”按鈕，打開(kāi)“共享的系統(tǒng)卷”

56、位置設(shè)置對(duì)話框。共享的系統(tǒng)卷名為SYSVOL，是一個(gè)文件夾，用于存放域的公用文件的服務(wù)器副本，供系統(tǒng)管理員所用，其內(nèi)容和維護(hù)由系統(tǒng)自動(dòng)進(jìn)行。每一個(gè)域控制器都會(huì)有一個(gè)共享的系統(tǒng)卷，而且，每一個(gè)域控制器共享系統(tǒng)卷內(nèi)的內(nèi)容均相同，因?yàn)樗鼈儠?huì)自動(dòng)復(fù)制。默認(rèn)情況下，系統(tǒng)已經(jīng)設(shè)置了一個(gè)共享系統(tǒng)卷的文件夾位置，用戶可以不改變。 (10)單擊“下一步”按鈕，系統(tǒng)會(huì)彈出一個(gè)確認(rèn)DNS設(shè)置的對(duì)話框。 (11)單擊“確定”按鈕，打開(kāi)“配置DNS”對(duì)話框。如果以前沒(méi)有配置過(guò)DNS，可以選擇“是，在這臺(tái)計(jì)算機(jī)上安裝和配置DNS(推薦)”選項(xiàng)；如果以前已經(jīng)配置過(guò)DNS，則可以選擇“否，我將自己安裝并配置DNS”選項(xiàng)。 (

57、12)選擇“是，在這臺(tái)計(jì)算機(jī)上安裝和配置DNS(推薦)”選項(xiàng)，單擊“下一步”按鈕，打開(kāi)“權(quán)限”模式設(shè)置對(duì)話框。 如果網(wǎng)絡(luò)中除了有Windows Server 2003的計(jì)算機(jī)外，還有以前版本W(wǎng)indows系統(tǒng)，為了使它們能協(xié)同工作，可選擇“與Windows Server 2003服務(wù)器之前的版本相兼容的權(quán)限”選項(xiàng)，這個(gè)模式又叫“混合模式”；如果網(wǎng)絡(luò)中只有Windows Server 2003的計(jì)算機(jī)，可選擇“只與Windows Server 2003服務(wù)器相兼容的權(quán)限”選項(xiàng)，這個(gè)模式又叫“本機(jī)模式”或“私有模式”。 (13)在此選擇“與Windows Server 2003服務(wù)器之前的版本相兼

58、容的權(quán)限”選項(xiàng)，單擊“下一步”按鈕，打開(kāi)“目錄服務(wù)恢復(fù)模式的管理員密碼”對(duì)話框。注意：這不是系統(tǒng)登錄密碼，而是在進(jìn)行活動(dòng)目錄恢復(fù)時(shí)所需要的密碼。 (14)單擊“下一步”按鈕，打開(kāi)“摘要”對(duì)話框。這里是對(duì)前面各項(xiàng)設(shè)置的匯總顯示，用戶可進(jìn)一步確認(rèn)。 (15)如果沒(méi)有要改動(dòng)的，單擊“下一步”按鈕，系統(tǒng)開(kāi)始進(jìn)行活動(dòng)目錄的配置。配置完成后彈出“完成Active Directory安裝向?qū)А睂?duì)話框。 (16)單擊“完成”按鈕，系統(tǒng)提示重新啟動(dòng)計(jì)算機(jī)。重新啟動(dòng)計(jì)算機(jī)后，以系統(tǒng)管理員的用戶名administrator登錄。 2服務(wù)器的角色轉(zhuǎn)換 運(yùn)行Windows Server 2003的計(jì)算機(jī)能夠按照域控制器

59、、成員服務(wù)器和獨(dú)立服務(wù)器三種角色運(yùn)行，利用Dcpromo.exe命令可以在各種角色之間更改Windows Server 2003，以適應(yīng)所在單位的需要。 域控制器是使用Active Dirctory安裝向?qū)渲玫倪\(yùn)行Windows Server 2003的計(jì)算機(jī)。域控制器存儲(chǔ)著目錄數(shù)據(jù)并管理用戶域的交互，其中包括用戶登錄過(guò)程、身份驗(yàn)證和目錄搜索。 成員服務(wù)器運(yùn)行的是Windows Server 2003，是域的成員但不是域控制器的計(jì)算機(jī)。成員服務(wù)器不處理用戶登錄過(guò)程，不參與活動(dòng)目錄復(fù)制，不存儲(chǔ)域安全策略信息。成員服務(wù)器一般用做文件服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、Web服務(wù)器、證書(shū)服務(wù)器、防火

60、墻以及遠(yuǎn)程訪問(wèn)服務(wù)器等。由于成員服務(wù)器是域的成員，工作時(shí)也必須登錄到域控制器上，所以它不能脫離域控制器工作。 獨(dú)立服務(wù)器是運(yùn)行Windows Server 2003的計(jì)算機(jī)，但它不是域的成員。如果Windows Server 2003作為工作組成員安裝，則該服務(wù)器是獨(dú)立服務(wù)器。獨(dú)立服務(wù)器可與網(wǎng)絡(luò)上其它計(jì)算機(jī)共享資源，但沒(méi)有活動(dòng)目錄所具有的任何特點(diǎn)。 服務(wù)器角色轉(zhuǎn)換的步驟： (1)活動(dòng)目錄安裝完成后，通過(guò)“開(kāi)始/運(yùn)行”菜單命令，打開(kāi)“運(yùn)行”窗口，鍵入“dcpromo.exe”。 (2)再次啟動(dòng)活動(dòng)目錄安裝向?qū)Ш?，可以將域控制器降?jí)為成員服務(wù)器，或刪除活動(dòng)目錄，將域控制器降級(jí)為獨(dú)立服務(wù)器。 (3)