Windows Server網絡操作系統項目教程 課件 第3、4章 用戶賬戶和組管理、文件系統與磁盤配置管理

WindowsServer網絡操作系統項目教程（WindowsServer2019）（微課版）第3章用戶賬戶和組管理重點AKEY知識用戶賬戶和組的基礎知識安全策略服務管理的相關內容配置用戶賬戶的方法配置用戶組的方法動手能力、解決實際工作問題的能力用戶賬戶和組基礎知識技能實踐安全策略服務管理3.1用戶賬戶和組基礎知識在一個網絡中，用戶賬戶和計算機都是網絡的主體，兩者缺一不可。擁有用戶賬戶是用戶登錄到網絡并使用網絡資源的基礎，因此用戶賬戶管理和計算機管理是Windows網絡管理中必要且經常做的工作。域系統管理員需要為每一個域用戶分別建立一個用戶賬戶，使其可以利用這個賬戶來登錄域、訪問域中的資源。域系統管理員同時需要了解如何有效利用組，以便高效地管理資源的訪問。3.1用戶賬戶和組基礎知識在服務器升級為域控制器之前，位于本地安全數據庫中的本地賬戶會在服務器升級為域控制器后被轉移到ADDS數據庫中，且是被放置到Users容器中的，可以通過“ActiveDirectory用戶和計算機”窗口來查看本地賬戶的變化情況，如圖所示也可以通過“ActiveDirectory管理中心”窗口來查看本地賬戶的變化情況，如圖所示。3.1.1本地用戶賬戶管理本地賬戶域賬戶AB本地賬戶只能登錄到一臺特定的計算機，并訪問其中的資源僅允許用戶登錄并訪問創(chuàng)建該賬戶的計算機內核模式層有權訪問系統數據和硬件，能直接訪問內存，并在被保護的內存區(qū)域中執(zhí)行WindowsServer2019默認有Administrator和Guest兩個賬。Administrator賬戶可以執(zhí)行計算機管理的所有操作而Guest賬戶是為臨時訪問用戶設置的，默認是禁用的3.1.1本地用戶賬戶管理用戶賬戶用來記錄用戶的用戶名和口令、隸屬的組、可以訪問的網絡資源，以及用戶的個人文件和設置等相關信息。WindowsServer2019為每個賬戶都提供了名稱，如Administrator、Guest等，這些名稱的作用是方便用戶記憶、輸入和使用。本地計算機中的用戶賬戶是不允許相同的，而系統內部使用SID來識別用戶身份，每個用戶賬戶都對應一個唯一的SID，這個SID在用戶創(chuàng)建時由系統自動產生。系統指派權限、授予資源訪問權限等都需要使用SID。每當創(chuàng)建一個賬戶或一個組的時候，系統會分配給該賬戶或組一個唯一的SID，WindowsNT中的內部進程將引用賬戶的SID3.1.1本地用戶賬戶管理一個完整的SID包括用戶和組的安全描述、48位的IDauthority、修訂版本、可變的驗證值（VariableSub-AuthorityValue）。可以使用Windows內置的命令whoami查看賬戶的SID等相關信息，如圖所示。3.1.1本地用戶賬戶管理在SID列的屬性值中，前面幾項是標識域的。01OPTION02OPTION03OPTION04OPTION第一項：S表示該字符串是SID第二項：SID的版本號，對于WindowsNT來說，版本號是1第三項：是標識符的頒發(fā)機構（IdentifierAuthority），對于WindowsNT內的賬戶來說，頒發(fā)機構就是NT，其值是5第四項：表示子頒發(fā)機構代碼，這里的值為21；中間的30位數據由計算機名、當前時間、當前用戶線程的CPU耗時的總和這3個參數決定，以保證SID的唯一性05OPTION第五項：標識域內的賬戶和組，稱為相對標識符（RelativeIdentifier，RID）。RID為500的SID是系統內置的Administrator賬戶，即使重命名，其RID也保持為500不變，因此可以通過RID找到真正的系統內置Administrator賬戶3.1.1本地用戶賬戶管理在WindowsServer2019操作系統桌面上選擇“此電腦”圖標并單擊鼠標右鍵，在彈出的快捷菜單中選擇“管理”命令，打開“服務器管理器”窗口，選擇“工具”→“計算機管理”→“本地用戶和組”→“用戶”命令，查看默認用戶賬戶情況，如圖所示。Administrator：管理計算機（域）的內置賬戶。DefaultAccount：系統管理的用戶賬戶。Guest：供來賓訪問計算機或訪問域的內置賬戶。WDAGUtilityAccount：系統為WindowsDefender應用程序防護方案管理和使用的用戶賬戶。3.1.2本地組管理如果WindowsServer2019計算機被安裝為成員服務器（而不是域控制器），那么它將自動創(chuàng)建一些本地組。如果將特定角色添加到計算機中，則將創(chuàng)建額外的組，用戶可以執(zhí)行與該組角色對應的任務。在WindowsServer2019操作系統桌面上選擇“此電腦”圖標并單擊鼠標右鍵，在彈出的快捷菜單中選擇“管理”命令，打開“服務器管理器”窗口，選擇“工具”→“計算機管理”→“本地用戶和組”→“組”命令，查看默認組情況，如圖所示。3.1.3域用戶賬戶管理在WindowsServer2019中，在“開始”菜單中選擇“Windows管理工具”→“ActiveDirectory用戶和計算機”命令，可以進行相關的域用戶賬戶管理操作。Builtin容器中包含的是工作組模式下的所有本地組，為文件賦予權限的時候可能會用到，該容器的相關操作如圖所示。3.1.3域用戶賬戶管理Users是默認的可以放置活動目錄對象的容器，基本上除自建的組織單位之外，這個容器中的用戶和組都是使用得最廣泛的，包括域管理員賬戶、域管理員組、企業(yè)管理員組等，該容器的相關操作如圖所示。3.1.3域用戶賬戶管理1．域用戶賬戶的一般管理禁用賬戶重置密碼移動添加到組重命名刪除若公司的員工因故在一段時間內無法工作，則可以先將該員工的賬戶禁用，待該員工回來工作時再將其重新啟用當用戶忘記密碼或密碼使用期限到期時，系統管理員可以為用戶設置一個新的密碼賬戶可以被移動到同一個域內的其他組織單位或容器中可以將一個用戶賬戶添加到一個工作組中，該用戶將擁有對應組的訪問權限可以對用戶賬戶進行重新命名，重新命名后，該用戶賬戶原來所擁有的權限與組關系都不會受到影響。若某個用戶賬戶以后不會再使用，則可以將此賬戶刪除域用戶賬戶的一般管理3.1.3域用戶賬戶管理2．設置域用戶賬戶的屬性每一個域用戶賬戶內都有一些相關的屬性信息，如電話號碼、電子郵件、網頁等，域用戶可以通過這些屬性來查找ADDS數據庫內的用戶賬戶。通過“ActiveDirectory用戶和計算機”窗口來介紹用戶賬戶的部分屬性。雙擊要設置的用戶賬戶user-01，彈出“user-01屬性”對話框，如圖所示。3.1.3域用戶賬戶管理在用戶賬戶屬性對話框中，包含“環(huán)境”“會話”“遠程控制”“遠程桌面服務配置文件”“COM+”“常規(guī)”“地址”“賬戶”“配置文件”“電話”“組織”“隸屬于”“撥入”等選項卡，可以對用戶賬戶屬性進行相關設置。在“賬戶過期”選項組中，可以通過單擊“永不過期”或“在這之后”單選按鈕來設置賬戶的有效期限，如圖所示。3.1.4域組管理在WindowsServer2019中，在“開始”菜單中選擇“Windows管理工具”→“ActiveDirectory用戶和計算機”命令，打開“ActiveDirectory用戶和計算機”窗口，在左側窗格中選擇“Users”選項，在右側窗格中選擇想要管理的組（如DomainAdminis），進行域組管理相關操作，如圖所示。3.1.3域用戶賬戶管理1．域內的組類型使用組（Group）來管理用戶賬戶，能夠減輕許多網絡管理的負擔。針對組設置權限后，組內的所有用戶賬戶都會自動擁有對應權限，因此不需要分別設置各個用戶賬戶。域組賬戶也都有唯一的SID。3.1.3域用戶賬戶管理ADDS的域組分為安全組（SecurityGroup）和通信組（DistributionGroup）兩種類型，它們之間可以相互轉換。安全組通信組AB它可以被用來分配權限，可以指定安全組對文件具備讀取的權限；也可以用在與安全無關的工作中，可以給安全組發(fā)送電子郵件。它被用在與安全（權限設置等）無關的工作中，可以給通信組發(fā)送電子郵件，但是無法為通信組分配權限。3.1.3域用戶賬戶管理2．組作用域020103本地域組主要被用來分配其所屬域內的訪問權限，以便訪問該域內的資源。本地域組的成員可以包含任何一個域的用戶賬戶、全局組、通用組，也可以包含相同域內的本地域組，但無法包含其他域內的本地域組。本地域組只能訪問該域內的資源，無法訪問其他不同域內的資源。本地域組全局組主要用來組織用戶賬戶，也就是可以將多個即將被賦予相同權限的用戶賬戶加入同一個全局組內。全局組內的成員只可以包含相同域內的用戶賬戶與全局組。全局組可以訪問任何一個域內的資源全局組通用組可以在所有域內為通用組成員分配訪問權限，以便訪問所有域內的資源。通用組具備所有域的特性，其成員可以包含域林中任何一個域內的用戶、全局組、通用組，但是它無法包含任何一個域內的本地域組。通用組可以訪問任何一個域內的資源通用組用戶賬戶和組基礎知識技能實踐安全策略服務管理3.2.1用戶賬戶安全策略管理1．用戶賬戶命名規(guī)則01賬戶名必須唯一。本地賬戶名在本地計算機上必須是唯一的02賬戶名最長不能超過20個字符03賬戶名不能包含*、？、|、：、=、+、<、>、\、/、[、]等特殊符號3.2.1用戶賬戶安全策略管理2．強密碼原則操作系統一定要給Administrator賬戶指定一個強密碼，以防止他人隨意使用該賬戶。WindowsServer2019支持最多由128個字符組成的密碼，其中包括以下3類字符。英文大、小寫字母01阿拉伯數字0、1、2、3、4、5、6、7、8、902鍵盤上的符號。鍵盤上所有未定義為字母和數字的字符，但應為半角狀態(tài)。033.2.1用戶賬戶安全策略管理一般來說，強密碼應該遵循以下原則。1324

同時包含上述3種類型的字符不包含完整的字典詞匯不包含用戶名、真實姓名、生日或公司名稱等密碼應該不少于6個字符3.2.1用戶賬戶安全策略管理3．賬戶安全策略在WindowsServer2019中，在“開始”菜單中選擇“Windows管理工具”→“本地安全策略”命令，打開“本地安全策略”窗口，選擇“安全設置”→“賬戶策略”→“密碼策略”選項。桌面上選擇“此電腦”圖標并單擊鼠標右鍵，在彈出的快捷菜單中選擇“管理”命令，打開“服務器管理器”窗口，選擇“工具”→“本地安全策略”命令，打開“本地安全策略”窗口，選擇“安全設置”→“賬戶策略”→“密碼策略”選項。按“Win+R”組合鍵，彈出“運行”對話框，輸入secpol.msc命令，打開“本地安全策略”窗口，選擇“安全設置”→“賬戶策略”→“密碼策略”選項，如圖所示。3.2.1用戶賬戶安全策略管理在WindowsServer2019中，按“Win+R”組合鍵，彈出“運行”對話框，輸入gpedit.msc命令，打開“本地組策略編輯器”窗口，選擇“計算機配置”→“Windows設置”→“安全設置”→“賬戶策略”→“密碼策略”選項，如圖所示。3.2.1用戶賬戶安全策略管理針對不同的企業(yè)安全需求，微軟公司給出了設置建議，如表所示。策略本地設置密碼必須符合復雜性要求已啟用密碼長度最小值7個字符密碼最短使用期限1天密碼最長使用期限42天強制密碼歷史24個記住的密碼用可還原的加密來存儲密碼已禁用3.2.1用戶賬戶安全策略管理不能包含用戶的賬戶名，不能包含用戶姓名中超過兩個連續(xù)字符的部分。至少有6個字符。包含以下4類字符中的3類密碼必須符合復雜性要求可以設置為1～998，或者將該值設置為0，以允許立即更改密碼。密碼最短使用期限默認值：在域控制器上為24，在獨立服務器上為0。強制密碼歷史默認值：在域控制器上為7，在獨立服務器上為0。密碼長度最小值可以將密碼設置為在某些天數（1～999）后到期，或者將該值設置為0，以指定密碼永不過期密碼最長使用期限用于確定操作系統是否使用可還原的加密來存儲密碼。使用可還原的加密存儲密碼與存儲純文本密碼在本質上是相同的用可還原的加密來存儲密碼3.2.1用戶賬戶安全策略管理4．重新命名Administrator賬戶因為WindowsServer2019的默認管理員賬戶Administrator已眾所周知，所以該賬戶通常為攻擊者猜測密碼攻擊的對象。為了降低這種威脅，可以將Administrator重新命名。打開“服務器管理器”窗口，選擇“工具”→“計算機管理”命令，打開“計算機管理”窗口，選擇“Administrator”選項并單擊鼠標右鍵，在彈出的快捷菜單中選擇“重命名”命令，如圖所示，即可為該賬戶進行重命名。3.2.1用戶賬戶安全策略管理5．創(chuàng)建一個陷阱賬戶在設置完賬戶策略后，再創(chuàng)建一個名為Administrator的本地賬戶，為其設置最低的權限，并添加一個超過10位的復雜密碼，這樣可以進一步提高系統的安全性。6．禁用或刪除不必要的賬戶在“計算機管理”窗口中查看系統的活動賬戶列表，并禁用所有非活動賬戶，特別是Guest賬戶，刪除或者禁用不再需要的賬戶。3.2.2常用的系統進程與服務1．進程的概念進程是操作系統中基本且重要的概念。進程為應用程序的運行實例，是應用程序的一次動態(tài)執(zhí)行?？梢詫⑦M程理解為操作系統當前運行的程序。程序是指令的有序集合，本身沒有任何運行的含義，是一個靜態(tài)的概念。而進程是程序在處理器中的一次執(zhí)行過程，是一個動態(tài)的概念。進程可以簡單地理解為運行中的程序，需要占用內存、CPU時間等系統資源。WindowsNT支持多用戶、多任務，即支持并行運行多個程序。3.2.2常用的系統進程與服務2．系統的關鍵進程一般可通過WindowsNT的任務管理器窗口（按“Ctrl+Alt+Delete”組合鍵打開）來查看系統進程，其能夠提供很多信息，如現在系統中運行的進程、進程ID（ProcessIdentification，PID）、內存情況等，如圖所示。3.2.2常用的系統進程與服務3．系統的一般進程internat.exe：托盤區(qū)的拼音圖標。mstask.exe：允許程序在指定時間運行。winmgmt.exe：提供系統管理信息。lserver.exe：注冊客戶端許可證。ups.exe：管理連接到計算機的不間斷電源。dns.exe：應答對DNS名稱的查詢和更新請求。ntfrs.exe：在多個服務器間維護文件目錄內容的文件同步。dmadmin.exe：磁盤管理請求的系統管理服務。smlogsvc.exe：配置性能日志和警報。mnmsrvc.exe：允許有權限的用戶使用NetMeeting遠程訪問Windows桌面。3.2.2常用的系統進程與服務4．Windows系統服務對系統服務的操作可以通過服務管理器來實現，以管理員Administrator或Administrators組成員身份登錄?？梢允褂靡韵?種方式打開服務管理器。在WindowsServer2019中，在“開始”菜單中選擇“Windows管理工具”→“服務”命令，打開“服務”窗口。在操作系統桌面上選擇“此電腦”圖標并單擊鼠標右鍵，在彈出的快捷菜單中選擇“管理”命令，打開“服務器管理器”窗口，選擇“工具”→“服務”命令，打開“服務”窗口。按“Win+R”組合鍵，彈出“運行”對話框，輸入services.msc命令，打開“服務”窗口，如圖所示。3.2.2常用的系統進程與服務在WindowsServer2019操作系統桌面上選擇“此電腦”圖標并單擊鼠標右鍵，在彈出的快捷菜單中選擇“管理”命令，打開“服務器管理器”窗口，選擇“工具”→“計算機管理”命令，打開“計算機管理”窗口，選擇“服務和應用程序”→“服務”選項，如圖所示。在“服務管理器”窗口中雙擊任意一個服務，如CertificatePropagation，即可彈出該服務的屬性對話框，如圖所示。3.2.2常用的系統進程與服務Windows中有強大的MS-DOS命令，sc命令用于與服務管理器和服務進行通信，可以使用該命令來測試和調試服務程序，其語法格式如圖所示。scquery服務名：查詢服務的狀態(tài)（如果服務名中間有空格，則需要加引號）。scstart服務名：啟動服務。scstop服務名：向服務發(fā)送STOP請求。scqc服務名：查詢服務的配置信息。scpause服務名：向服務發(fā)送PAUSE控制請求。scconfigstart=disabled服務名：禁用服務。用戶賬戶和組基礎知識技能實踐安全策略服務管理3.3.1成員服務器上的本地用戶賬戶和組管理1．創(chuàng)建新用戶賬戶打開“服務器管理器”窗口，選擇“工具”→“計算機管理”命令，打開“計算機管理”窗口，在“計算機管理”窗口中，選擇“本地用戶和組”→“用戶”選項并單擊鼠標右鍵，在彈出的快捷菜單中選擇“新用戶”命令，如圖所示。彈出“新用戶”對話框，輸入用戶名、全名、描述和密碼，如圖所示。3.3.1成員服務器上的本地用戶賬戶和組管理2．設置本地用戶賬戶的屬性在“計算機管理”窗口的右側窗格中，雙擊剛建立的用戶賬戶xx_student01，彈出“xx_student01屬性”對話框，如圖所示。用戶賬戶不只包括用戶名和密碼等信息，為了管理和使用方便，一個用戶賬戶還包括其他屬性，如用戶賬戶隸屬于的用戶組、遠程控制、遠程桌面服務配置文件等。3.3.1成員服務器上的本地用戶賬戶和組管理01OPTION02OPTION“常規(guī)”選項卡：在“常規(guī)”選項卡中，可以設置與用戶賬戶有關的描述信息，如全名、描述、密碼選項等?！半`屬于”選項卡：“隸屬于”選項卡如圖所示，在其中可以設置將用戶賬戶加入其他本地組。為了管理方便，通常需要為用戶組分配與設置權限。3.3.1成員服務器上的本地用戶賬戶和組管理在“隸屬于”選項卡中，單擊“添加”按鈕，彈出“選擇組”對話框，如圖1所示。在“選擇組”對話框中，單擊“高級”按鈕，展開“一般性查詢”選項組，單擊“立即查找”按鈕，并在“搜索結果”列表框中選擇要查詢的組，如圖2所示。單擊“確定”按鈕，收起“一般性查詢”選項組，添加可用的組，如圖3所示，單擊“確定”按鈕，返回“xx_student01屬性”對話框。圖1圖2圖33.3.1成員服務器上的本地用戶賬戶和組管理03OPTION“配置文件”選項卡：在“配置文件”選項卡中可以設置用戶賬戶的配置文件路徑、登錄腳本和主文件夾路徑，如圖所示?！碍h(huán)境”選項卡：在“環(huán)境”選項卡中可以配置遠程桌面服務啟動環(huán)境，這些設置會代替客戶端所指定的設置，如圖所示。04OPTION3.3.1成員服務器上的本地用戶賬戶和組管理05OPTION“會話”選項卡：在“會話”選項卡中可以進行遠程桌面服務超時和重新連接設置，如圖所示。“遠程控制”選項卡：在“遠程控制”選項卡中可以進行遠程桌面服務遠程控制設置，如圖所示。06OPTION3.3.1成員服務器上的本地用戶賬戶和組管理07OPTION“遠程桌面服務配置文件”選項卡：在“遠程桌面服務配置文件”選項卡中可以配置遠程桌面服務用戶配置文件，此配置文件中的設置適用于遠程桌面服務，如圖所示?！皳苋搿边x項卡：在“撥入”選項卡中可以進行網絡訪問權限、回撥選項、分配靜態(tài)IP地址、應用靜態(tài)路由等相關設置，如圖所示。08OPTION3.3.1成員服務器上的本地用戶賬戶和組管理3．創(chuàng)建本地組打開“服務器管理器”窗口，選擇“工具”→“計算機管理”命令，打開“計算機管理”窗口，在“計算機管理”窗口中選擇“本地用戶和組”→“組”選項并單擊鼠標右鍵，在彈出的快捷菜單中選擇“新建組”命令，如圖所示。彈出“新建組”對話框，輸入組名、描述，如圖所示，單擊“創(chuàng)建”按鈕，完成組xx_group01的新建，單擊“關閉”按鈕，返回“計算機管理”窗口。3.3.1成員服務器上的本地用戶賬戶和組管理雙擊組“xx_group01”，彈出“xx_group01屬性”對話框，如圖所示。單擊“添加”按鈕，彈出“選擇用戶”對話框，單擊“高級”按鈕，展開“一般性查詢”選項組，單擊“立即查找”按鈕，在“搜索結果”列表框中選擇要添加的用戶賬戶xx_student01，如圖所示。3.3.1成員服務器上的本地用戶賬戶和組管理單擊“確定”按鈕，收起“一般性查詢”選項組，添加用戶賬戶xx_student01，如圖所示，單擊“確定”按鈕，返回“計算機管理”窗口。3.3.1成員服務器上的本地用戶賬戶和組管理4．刪除本地用戶賬戶和組當用戶賬戶和組不再需要時，可以將其刪除。因為刪除用戶賬戶和組會導致與對應用戶賬戶和組有關的所有信息遺失，所以在刪除之前最好確認刪除的必要性或者考慮使用其他方法，如禁用用戶賬戶。在“計算機管理”窗口中，選擇要刪除的用戶賬戶或組并單擊鼠標右鍵，就可以通過彈出的快捷菜單執(zhí)行刪除操作，但是系統內置的用戶賬戶是不能刪除的，如Administrator。3.3.1成員服務器上的本地用戶賬戶和組管理5．使用命令管理本地用戶賬戶和組以管理員身份登錄到成員服務器，按“Win+R”組合鍵，彈出“運行”對話框，輸入cmd命令，如圖所示。單擊“確定”按鈕，打開“命令提示符”窗口，在“命令提示符”窗口中，可以使用net命令來管理本地用戶賬戶和組，可以使用net/?命令來查看net命令的語法格式，如圖所示。3.3.1成員服務器上的本地用戶賬戶和組管理創(chuàng)建用戶賬戶user01，設置其密碼為Lncc@123（注意必須符合密碼復雜度要求），命令如下。命令執(zhí)行結果如圖所示。netuseruser01Lncc@123/add查看當前用戶賬戶列表，命令如下。命令執(zhí)行結果如圖所示。netuser3.3.1成員服務器上的本地用戶賬戶和組管理修改用戶賬戶user01的密碼，將密碼修改為Lncc@456（注意必須符合密碼復雜度要求），命令如下命令執(zhí)行結果如圖所示。netuseruser01Lncc@456創(chuàng)建本地組xx_localgroup01，命令如下。命令執(zhí)行結果如圖所示。netlocalgroupxx_localgroup01/add3.3.1成員服務器上的本地用戶賬戶和組管理查看當前本地組列表，命令如下。命令執(zhí)行結果如圖所示。netlocalgroup將用戶賬戶user01添加到組xx_localgroup01中，命令如下命令執(zhí)行結果如圖所示。netlocalgroupxx_localgroup01user01/add3.3.1成員服務器上的本地用戶賬戶和組管理查看組xx_localgroup01中的用戶賬戶信息，命令如下。命令執(zhí)行結果如圖所示。netlocalgroupxx_localgroup01刪除組xx_localgroup01中的用戶賬戶user01，命令如下。命令執(zhí)行結果如圖所示。netlocalgroupxx_localgroup01user01/del3.3.1成員服務器上的本地用戶賬戶和組管理刪除用戶賬戶user01，命令如下。命令執(zhí)行結果如圖所示。netuseruser01/del刪除組xx_localgroup01，命令如下。命令執(zhí)行結果如圖所示。netlocalgroupxx_localgroup01/del3.3.2域控制器上的用戶賬戶和組管理1．項目規(guī)劃某公司目前正在實施一個項目。該項目由總公司的項目部OU_project_A01和分公司的項目部OU_project_B01共同完成，需要創(chuàng)建一個共享目錄，總公司的項目部和分公司的項目部需要對共享目錄有寫入和刪除權限。公司決定在子域控制器上創(chuàng)建臨時共享目錄project_share01，網絡拓撲結構圖如圖所示。3.3.2域控制器上的用戶賬戶和組管理2．項目實施打開“ActiveDirectory用戶和計算機”窗口，選擇“”選項并單擊鼠標右鍵，在彈出的快捷菜單中選擇“新建”→“組織單位”命令，如圖所示。彈出“新建對象-組織單位”對話框，輸入組織單位名稱OU_project_B01，勾選“防止容器被意外刪除”復選框，如圖所示。3.3.2域控制器上的用戶賬戶和組管理單擊“確定”按鈕，返回“ActiveDirectory用戶和計算機”窗口，選擇剛創(chuàng)建的組織單位OU_project_B01并單擊鼠標右鍵，在彈出的快捷菜單中選擇“新建”→“用戶”命令，如圖所示彈出“新建對象-用戶”對話框，如圖所示，創(chuàng)建用戶賬戶project_userB01、project_userB02。3.3.2域控制器上的用戶賬戶和組管理在“新建對象-用戶”對話框中，單擊“下一步”按鈕，進入密碼設置界面，如圖所示。輸入密碼，單擊“下一步”按鈕，進入用戶創(chuàng)建完成界面，如圖所示。3.3.2域控制器上的用戶賬戶和組管理創(chuàng)建全局組project_groupB01。選擇剛創(chuàng)建的組織單位OU_project_B01并單擊鼠標右鍵，在彈出的快捷菜單中選擇“新建”→“組”命令，彈出“新建對象-組”對話框，如圖所示，輸入組名project_groupB01，在“組作用域”選項組中單擊“全局”單選按鈕，創(chuàng)建全局組project_groupB01。單擊“確定”按鈕，返回“ActiveDirectory用戶和計算機”窗口，雙擊剛創(chuàng)建的全局組project_groupB01，彈出“project_groupB01屬性”對話框，如圖所示。3.3.2域控制器上的用戶賬戶和組管理在“project_groupB01屬性”對話框中，單擊“添加”按鈕，彈出“選擇用戶、聯系人、計算機、服務賬戶或組”對話框，如圖所示。單擊“高級”按鈕，展開“一般性查詢”選項組，單擊“立即查找”按鈕，在“搜索結果”列表框中選擇要添加的用戶賬戶，如圖所示。3.3.2域控制器上的用戶賬戶和組管理單擊“確定”按鈕，收起“一般性查詢”選項組，添加用戶賬戶，如圖所示。單擊“確定”按鈕，返回“project_groupB01屬性”對話框，可發(fā)現用戶賬戶已加入組project_groupB01，如圖所示，單擊“確定”按鈕，返回“ActiveDirectory用戶和計算機”窗口。3.3.2域控制器上的用戶賬戶和組管理選擇組織單位OU_project_B01并單擊鼠標右鍵，在彈出的快捷菜單中選擇“新建”→“組”命令，彈出“新建對象-組”對話框，輸入組名project_localgroupB01，如圖所示。在“組作用域”選項組中單擊“本地域”單選按鈕，單擊“確定”按鈕，返回“ActiveDirectory用戶和計算機”窗口，雙擊剛創(chuàng)建的本地域組project_localgroupB01，彈出“選擇用戶、聯系人、計算機、服務賬戶或組”對話框，在此選擇要添加的全局組project_groupB01，如圖所示。3.3.2域控制器上的用戶賬戶和組管理單擊“確定”按鈕，如圖所示。單擊“確定”按鈕，返回“project_localgroupB01屬性”對話框，可發(fā)現全局組已加入本地域組project_localgroupB01，如圖所示。3.3.2域控制器上的用戶賬戶和組管理在“project_localgroupB01屬性”對話框中，單擊“確定”按鈕，返回“ActiveDirectory用戶和計算機”窗口，組織單位OU_project_B01中的內容如圖所示。在父域控制器server-01上創(chuàng)建組織單位OU_project_A01；創(chuàng)建總公司項目部用戶賬戶project_userA01、project_userA02；創(chuàng)建全局組project_groupA01；將總公司項目部用戶賬戶project_userA01、project_userA02加入全局組project_groupA01。3.3.2域控制器上的用戶賬戶和組管理在子域控制器DC1.上創(chuàng)建共享目錄project_share01，選擇該目錄并單擊鼠標右鍵，在彈出的快捷菜單中選擇“屬性”命令，彈出“project_share01屬性”對話框，選擇“共享”選項卡，如圖所示。在“網絡文件和文件夾共享”選項組中單擊“共享”按鈕，彈出“網絡訪問”對話框，如圖所示。3.3.2域控制器上的用戶賬戶和組管理在“網絡訪問”對話框的下拉列表中選擇“查找個人”選項，找到本地域組project_localgroupB01并添加，將讀寫的權限賦予該本地域組，如圖所示。單擊“共享”按鈕，進入“你的文件夾已共享?！苯缑?，如圖所示，單擊“完成”按鈕，完成共享目錄的設置。3.3.2域控制器上的用戶賬戶和組管理在Windows10客戶端上（DNS服務器的IP地址必須要設置為00和01），如圖所示。按“Win+R”組合鍵，彈出“運行”對話框，如圖所示。輸入\\DC1.\project_share01，單擊“確定”按鈕，彈出“Windows安全中心”對話框，如圖所示。3.3.2域控制器上的用戶賬戶和組管理使用分公司域用戶賬戶project_userB01@和總公司域用戶賬戶project_userA01@分別訪問\\DC1.\project_share01共享目錄，如圖所示。注銷Windows10客戶端，重新登錄后，使用總公司域用戶賬戶userA03@訪問\\DC1.\project_share01共享目錄，提示沒有訪問權限，因為userA03用戶賬戶不是總公司項目部的用戶，如圖所示。THANKSWindowsServer網絡操作系統項目教程（WindowsServer2019）（微課版）第4章文件系統與磁盤配置管理重點AKEY知識文件系統基礎知識磁盤管理基礎知識RAID磁盤管理技術壓縮文件和加密文件系統基本磁盤分區(qū)管理、碎片整理及優(yōu)化驅動器文件系統基礎知識技能實踐磁盤管理基礎知識4.1.1文件系統概述FAT是一種適合小卷集、對系統安全性要求不高、需要雙重引導的用戶選擇使用的文件系統。FAT文件系統是一種最初用于小型磁盤和簡單文件夾結構的簡單文件系統。它向后兼容，最大的優(yōu)點是適用于所有的Windows操作系統。FAT文件系統在容量較小的卷上使用比較好，因為FAT文件系統啟動的開銷非常少。FAT文件系統在容量低于512MB的卷上工作最好，當卷容量超過1.024GB時，其效率就顯得很低。FAT文件系統不能滿足WindowsServer2019的要求。1．FAT文件系統4.1.1文件系統概述2．NTFSWindowsNT內核的系列操作系統支持的，一種特別為網絡和磁盤配額、文件加密等管理安全特性設計的文件系統支持長文件名，提供數據保護和恢復功能，能通過目錄和文件許可保障安全性，并支持跨越分區(qū)WindowsServer2019推薦使用的高性能文件系統設計簡單但功能強大，從本質上講，卷中的一切都是文件，文件中的一切都是屬性是一個日志文件系統，這意味著除向磁盤中寫入信息外，該文件系統還會為發(fā)生的所有改變保留一份日志能充分有效地利用磁盤空間；支持文件級壓縮，具備更好的文件安全性；支持的最大分區(qū)為2TB，單個最大文件為2TB；支持元數據，且使用了高級數據結構，以便于提升磁盤可靠性和磁盤空間利用率NTFS4.1.1文件系統概述NTFS的功能在NTFS分區(qū)中，如果主文件表（MasterFileTable，MFT）所在的磁盤扇區(qū)恰好被損壞，NTFS會比較智能地將MFT換到磁盤的其他扇區(qū)，既保證了文件系統的正常使用，又保證了系統的正常運行01錯誤預警功能NTFS可以對磁盤上的邏輯錯誤和物理錯誤進行自動檢測和修復。在每次讀寫時，它都會檢查扇區(qū)正確與否。當讀取數據時發(fā)現錯誤后，NTFS會報告對應錯誤；當向磁盤寫文件發(fā)現錯誤后，NTFS會換一個完好的位置存儲數據02磁盤自我修復功能在NTFS中，任何操作都可以被看作一個事件。事件日志一直監(jiān)督著整個操作，當它在目標地發(fā)現了完整文件后，就會標記“已完成”03日志功能4.1.1文件系統概述NTFS的特點NTFS安全性01容錯性02穩(wěn)定性03向下可兼容性04長文件名07可靠性05大容量064.1.1文件系統概述NTFS的結構1234文件屬性NTFS的文件屬性一般可以分為兩種：常駐屬性和非常駐屬性。如果屬性值是存儲在文件記錄中的，那么這些屬性稱作常駐屬性；如果屬性值存儲在文件記錄之外，則這些屬性稱作非常駐屬性。數據存儲結構在NTFS中，對文件的存取都是按照簇進行的，而每個簇都是物理扇區(qū)的整數倍，且簇大小是物理扇區(qū)的2的整數次方，但簇的大小由格式化程序根據卷的大小自動分配MFTMFT在NTFS中處于最核心、最重要的地位，通過MFT可以確定所有文件在磁盤中的詳細存儲位置。MFT僅供系統自身構架、組織文件系統使用，被稱作元數據引導扇區(qū)操作系統在建立文件系統時，生成的參數記錄著NTFS中的很多重要信息，包含了每簇扇區(qū)數、分區(qū)的扇區(qū)總數、MFT的起始邏輯簇號、文件系統標識等信息。4.1.1文件系統概述NTFS的優(yōu)點NTFS中的所有文件都是以key-value的形式存儲和組織的，能夠迅速地通過文件屬性key來尋找和定位任意文件的value，提高了操作系統對文件數據的處理效率NTFS會為系統文件或重要文件建立安全描述符，凡是通過操作系統或應用程序接口對文件進行修改和破壞的行為，都受到文件系統的屏蔽NTFS不綁定某個硬件磁盤扇區(qū)，當發(fā)現磁盤受到破壞或無法從中讀取數據時，將通過操作系統相關機制對扇區(qū)或卷進行復位NTFS具有可擴容的卷空間4.1.1文件系統概述3．FAT文件系統與NTFS的對比FAT文件系統NTFS兼容性具備普遍兼容性的FAT文件系統可以滿足這種要求WindowsNT能夠支持NTFS分區(qū)卷容量最大支持2GB的分區(qū)容量NTFS本身所需耗費的資源多于FAT文件系統。如果所使用的分區(qū)容量小于200MB，則應當選擇FAT文件系統以避免NTFS自身占用過多的磁盤空間，NTFS分區(qū)的最大容量為16EB容錯性NTFS可在不顯示錯誤消息的情況下自動修復硬盤錯誤FAT文件系統未提供任何安全保護特性，所采取的保護措施便是同時維護文件分配表的兩個副本，如果其中一個副本遭到破壞，則它將自動使用另一個副本對其進行修復安全性NTFS擁有一套內建安全機制，可以為目錄或單個文件設置不同權限如果正在使用FAT文件系統，那么安全特性將通過共享權限實現系統分區(qū)一種較為理想的解決方案是將系統分區(qū)格式化為FAT文件系統如果對系統安全性的要求不高，則為系統分區(qū)指定較小的分區(qū)容量并且不在該分區(qū)中存放除Windows系統文件以外的任何內容4.1.2認識NTFS權限NTFS文件權限：可以通過授予NTFS文件權限控制對文件的訪問。1．NTFS權限的類型NTFS文件權限允許訪問類型讀取讀取文件，查看文件屬性、擁有人和權限寫入覆蓋寫入文件，修改文件屬性，查看文件擁有人和權限修改修改和刪除文件，執(zhí)行由“寫入”權限和“讀取和運行”權限進行的動作讀取和運行運行應用程序，執(zhí)行由“讀取”權限進行的動作完全控制改變權限，成為擁有人，執(zhí)行允許所有其他NTFS文件權限進行的動作特殊權限進行特殊權限設置4.1.2認識NTFS權限NTFS文件夾權限：可以通過授予NTFS文件夾權限控制對文件夾的訪問NTFS文件夾權限允許訪問類型讀取讀取文件夾中的文件和子文件夾，查看文件夾屬性、擁有人和權限寫入在文件夾中創(chuàng)建新的文件和子文件夾，查看文件夾屬性、擁有人和權限修改修改和刪除文件夾，執(zhí)行由“寫入”權限和“讀取和運行”權限進行的動作讀取和運行遍歷文件夾，執(zhí)行由“讀取”和“列出文件夾內容”權限進行的動作完全控制改變權限，成為擁有人，執(zhí)行允許所有其他NTFS文件夾權限進行的動作列出文件夾內容查看文件夾中的文件和子文件夾的內容特殊權限進行特殊權限設置4.1.2認識NTFS權限2．多重NTFS權限權限是累積的一個用戶賬戶對某個資源的有效權限是授予這一用戶賬戶的NTFS權限與授予該用戶賬戶所屬組的NTFS權限的組合文件權限超越文件夾權限NTFS的文件權限超越NTFS的文件夾權限拒絕權限超越其他權限可以拒絕某用戶賬戶或組對特定文件或者文件夾的訪問。對此，將“拒絕”權限授予該用戶賬戶或者組即可4.1.2認識NTFS權限3．繼承與阻止繼承NTFS權限當授予用戶賬戶或組訪問某個文件夾的NTFS權限時，就將授予該用戶賬戶或組訪問該文件夾中任何現有的文件和子文件夾，以及在該文件夾中創(chuàng)建的任何新文件和子文件夾的NTFS權限。如果想讓文件夾或者文件具有不同于它們父文件夾的權限，則必須阻止權限的繼承。阻止權限的繼承也就是阻止子文件夾和文件從父文件夾繼承權限。為了阻止權限的繼承，要刪除繼承來的權限，只保留被明確授予的權限。被阻止從父文件夾繼承權限的子文件夾就成為新的父文件夾，包含在這一新的父文件夾中的子文件夾和文件繼承授予它們父文件夾的權限。4.1.2認識NTFS權限4．共享文件夾權限與NTFS權限的組合選擇共享文件夾share01并單擊鼠標右鍵，在彈出的快捷菜單中選擇“屬性”命令，彈出“share01屬性”對話框，如圖所示。單擊“高級共享”→“權限”按鈕，彈出“share01的權限”對話框，如圖所示。4.1.2認識NTFS權限共享文件夾權限具有以下特點020103默認的共享文件夾權限是“讀取”，并被授予Everyone組共享文件夾權限只適用于文件夾，不適用于單獨的文件，并且只能為整個共享文件夾設置共享權限，而不能對共享文件夾中的文件或子文件夾進行設置共享文件夾權限并不對直接登錄到計算機上的用戶賬戶起作用，只適用于通過網絡連接該文件夾的用戶賬戶，即共享權限對直接登錄到該服務器上的用戶是無效的4.1.2認識NTFS權限當在NTFS分區(qū)卷上為共享文件夾授予權限時，應該遵循以下規(guī)則01必須分配NTFS權限。默認Everyone組具有“完全控制”權限02可以對共享文件夾中的文件和子文件夾應用NTFS權限?？梢詫蚕砦募A中包含的文件和子文件夾應用不同的NTFS權限03除共享文件夾權限外，用戶必須具有該共享文件夾的文件和文件夾的NTFS權限才能訪問那些文件和子文件夾4.1.2認識NTFS權限5．復制和移動文件及文件夾當將文件或文件夾復制到非NTFS磁盤分區(qū)（如FAT磁盤分區(qū)）中時，因為非NTFS磁盤分區(qū)不支持NTFS權限，所以這些文件或文件夾就丟失了它們的NTFS權限當在單個NTFS磁盤分區(qū)內或在不同的NTFS磁盤分區(qū)之間復制文件或文件夾時，文件或文件夾的復件將繼承目的地文件夾的權限文件系統基礎知識技能實踐磁盤管理基礎知識4.2.1MBR磁盤與GPT磁盤MBR磁盤指的是采用MBR啟動的物理磁盤，其中MBR分區(qū)表的大小是固定的，只能容納4個主磁盤分區(qū)信息。MBR磁盤最多能創(chuàng)建4個主磁盤分區(qū)（或者創(chuàng)建3個主磁盤分區(qū)+1個擴展磁盤分區(qū)），MBR限制了分區(qū)，為了創(chuàng)建更多的分區(qū)，引入擴展磁盤分區(qū)和邏輯驅動器，可以在擴展磁盤分區(qū)中創(chuàng)建多個邏輯驅動器。MBR磁盤采用MBR分區(qū)表，其磁盤分區(qū)表存儲在MBR內。1．MBR磁盤4.2.1MBR磁盤與GPT磁盤GPT是一種新的磁盤分區(qū)表格式，GPT磁盤的分區(qū)表存儲在GPT內，位于磁盤的前端，而且有主磁盤分區(qū)表和備份分區(qū)表，可提供容錯功能。GPT磁盤使用統一可擴展固件接口（UnifiedExtensibleFirmwareInterface，UEFI），其BIOS會先讀取GPT，并將控制權交給GPT內的程序代碼，再由此程序代碼來繼續(xù)完成后續(xù)的啟動工作。2．GPT磁盤4.2.2認識基本磁盤基本磁盤動態(tài)磁盤AB舊式的傳統磁盤系統，新安裝的硬盤默認是基本磁盤動態(tài)磁盤支持多種特殊的磁盤分區(qū)，其中有的可以提高系統訪問效率，有的可以提供容錯功能，還有的可以擴大磁盤的使用空間4.2.2認識基本磁盤1．基本磁盤主磁盤分區(qū)可以用來啟動操作系統，在劃分磁盤的第1個分區(qū)時，會指定其為主磁盤分區(qū)，主要用來存放操作系統的啟動文件或引導程序主磁盤分區(qū)擴展磁盤分區(qū)擴展磁盤分區(qū)只能用于存儲文件，無法用來啟動操作系統，也就是說，MBR或GPT內的程序代碼不會到擴展磁盤分區(qū)內讀取與執(zhí)行啟動程序代碼4.2.2認識基本磁盤對新購置的物理磁盤，不管是用于Windows還是用于Linux，都要進行如下操作分區(qū)可以是一個分區(qū)或多個分區(qū)格式化分區(qū)必須經過格式化才能創(chuàng)建文件系統掛載被格式化的磁盤分區(qū)必須掛載到操作系統相應的文件目錄下4.2.2認識基本磁盤為什么要將一個磁盤劃分成多個分區(qū)，而不是直接使用整個磁盤呢？主要有如下幾個原因。1234方便管理和控制便于備份和恢復提高系統的效率使用磁盤配額的功能限制用戶使用的磁盤量4.2.2認識基本磁盤2．動態(tài)磁盤簡單卷01跨區(qū)卷02帶區(qū)卷03鏡像卷04RAID-5卷054.2.3RAID磁盤管理技術1．RAID中的關鍵概念和技術鏡像是一種冗余技術，為磁盤提供了保護功能，以防止磁盤發(fā)生故障而造成數據丟失。鏡像技術可以從多個副本并發(fā)讀取數據，提供了更高的讀取性能，但不能并行寫入數據，寫入多個副本時會導致一定的I/O性能降低01鏡像磁盤存儲的性能瓶頸在于磁頭尋道定位，它是一種慢速機械運動，無法與高速的CPU匹配。此外，單個磁盤驅動器的性能存在物理極限，I/O性能非常有限。RAID由多塊磁盤組成，數據條帶技術將數據以塊的方式分布存儲在多個磁盤中，從而可以對數據進行并發(fā)處理02數據條帶采用數據校驗時，RAID要在寫入數據的同時進行校驗計算，并將得到的校驗數據存儲在RAID成員磁盤中。校驗數據可以集中保存在某個磁盤或分散存儲在多個磁盤中，校驗數據也可以分塊，不同RAID等級的實現不相同03數據校驗4.2.3RAID磁盤管理技術2．常見的RAID類型類型優(yōu)點缺點RAID0充分利用I/O總線性能，使其帶寬翻倍，讀寫速度翻倍；充分利用磁盤空間，利用率為100%不提供數據冗余；無數據校驗，無法保證數據的正確性；存在單點故障RAID1提供了數據冗余，數據雙倍存儲；提供了良好的讀取性能無數據校驗；磁盤利用率低，成本高RAID5讀寫性能高；有校驗機制；磁盤空間利用率高磁盤越多；安全性能越差RAID01提供了較高的I/O性能；有數據冗余；無單點故障成本稍高；安全性能比RAID10差RAID10讀取性能優(yōu)于RAID01，提供了較高的I/O性能；有數據冗余；無單點故障；安全性高成本稍高RAID50最少需要6個磁盤，其適用于高可靠性存儲、高讀取速度、高數據傳輸性能的應用場景，包括事務處理和有許多用戶存取小文件的辦公應用程序文件系統基礎知識技能實踐磁盤管理基礎知識4.3.1壓縮文件對NTFS磁盤內的文件進行壓縮，以D盤下的test01文件夾為例，選擇test01文件夾并單擊鼠標右鍵，在彈出的快捷菜單中選擇“屬性”命令，彈出“test01屬性”對話框，如圖所示在“test01屬性”對話框中，單擊“高級”按鈕，彈出“高級屬性”對話框，如圖所示。1．NTFS壓縮4.3.1壓縮文件勾選“壓縮內容以便節(jié)省磁盤空間”復選框，單擊“確定”按鈕，返回“test01屬性”對話框，單擊“應用”按鈕，彈出“確認屬性更改”對話框，如圖所示。單擊“將更改應用于此文件夾、子文件夾和文件”單選按鈕，單擊“確定”按鈕，返回“本地磁盤（D:）”窗口，如圖所示，可以看到test01文件夾圖標已經帶有壓縮圖標標記。4.3.1壓縮文件可以將壓縮或加密的NTFS文件以彩色顯示出來。打開文件資源管理器窗口，如圖所示選擇“查看”選項卡，單擊“選項”按鈕，彈出“文件夾選項”對話框，選擇“查看”選項卡，勾選“用彩色顯示加密或壓縮的NTFS文件”復選框，如圖所示。4.3.1壓縮文件可以針對整個磁盤進行壓縮。選擇磁盤（如D盤）并單擊鼠標右鍵，在彈出的快捷菜單中選擇“屬性”命令，彈出“本地磁盤（D：）屬性”對話框，勾選“壓縮此驅動器以節(jié)約磁盤空間”復選框，如圖所示。4.3.1壓縮文件打開文件資源管理器窗口，以D盤下的test02文件夾為例進行說明，選擇test02文件夾并單擊鼠標右鍵，在彈出的快捷菜單中選擇“發(fā)送到”→“壓縮（zipped）文件夾”命令，如圖所示2．壓縮（zipped）文件夾也可以在文件資源管理器右側窗格空白處單擊鼠標右鍵，在彈出的快捷菜單中選擇“新建”→“壓縮（zipped）文件夾”命令，如圖所示，設置壓縮文件的名稱為test-zipped01.zip4.3.1壓縮文件系統默認會隱藏文件的擴展名，如果要顯示文件的擴展名，則可打開文件資源管理器窗口，選擇“查看”選項卡，勾選“文件擴展名”復選框，如圖所示。4.3.2加密文件系統選擇要加密的文件或文件夾并單擊鼠標右鍵，在彈出的快捷菜單中選擇“屬性”命令，在彈出的屬性對話框中單擊“高級”按鈕，在彈出的“高級屬性”對話框中，勾選“加密內容以便保護數據”復選框，如圖所示單擊“確定”按鈕，返回屬性對話框，單擊“應用”按鈕，彈出“確認屬性更改”對話框，單擊“將更改應用于此文件夾、子文件夾和文件”單選按鈕，如圖所示4.3.3基本磁盤分區(qū)管理啟動虛擬機，選擇要添加硬盤的操作系統（WindowsServer2019）并單擊鼠標右鍵，在彈出的快捷菜單中選擇“設置”命令，如圖所示1．添加新硬盤彈出“虛擬機設置”對話框，如圖所示4.3.3基本磁盤分區(qū)管理單擊“添加”按鈕，彈出“添加硬件向導”對話框，如圖所示。選擇“硬盤”選項，單擊“下一步”按鈕，進入“選擇磁盤類型”界面，單擊“SCSI（S）（推薦）”單選按鈕，如圖所示。4.3.3基本磁盤分區(qū)管理單擊“下一步”按鈕，進入“選擇磁盤”界面，如圖所示。單擊“創(chuàng)建新虛擬磁盤”單選按鈕，單擊“下一步”按鈕，進入“指定磁盤容量”界面，如圖所示。4.3.3基本磁盤分區(qū)管理設置最大磁盤大小，單擊“下一步”按鈕，進入“指定磁盤文件”界面，如圖所示。單擊“完成”按鈕，返回“虛擬機設置”對話框。以相同的方法添加硬盤3～硬盤5，如圖所示。4.3.3基本磁盤分區(qū)管理以管理員身份登錄WindowsServer2019，打開“服務器管理器”窗口，選擇“工具”→“計算機管理”命令，打開“計算機管理”窗口，選擇“磁盤管理”選項，進行磁盤相關操作管理。2．使用磁盤管理工具以管理員身份登錄WindowsServer2019，按“Win+R”組合鍵，彈出“運行”對話框，輸入diskmgmt.msc命令，打開“磁盤管理”窗口，如圖所示。選擇剛剛添加的磁盤并單擊鼠標右鍵，在彈出的快捷菜單中選擇“聯機”命令，如圖所示。4.3.3基本磁盤分區(qū)管理選擇對應磁盤并單擊鼠標右鍵，在彈出的快捷菜單中選擇“初始化磁盤”命令，彈出“初始化磁盤”對話框，單擊“GPT（GUID分區(qū)表）”單選按鈕，如圖所示，單擊“確定”按鈕，完成磁盤初始化工作。因為GPT磁盤可以有多達128個主磁盤分區(qū)，不需要擴展磁盤分區(qū)，所以將GPT磁盤轉換為MBR磁盤是創(chuàng)建擴展磁盤分區(qū)的前提。在磁盤5上單擊鼠標右鍵，在彈出的快捷菜單中選擇“轉換成MBR磁盤”命令，如圖所示，可以將GPT磁盤轉換成MBR磁盤。4.3.3基本磁盤分區(qū)管理創(chuàng)建主磁盤分區(qū)3．新建基本卷打開“磁盤管理”窗口，在右側窗格中選擇“磁盤5”的未分配空間并單擊鼠標右鍵，在彈出的快捷菜單中選擇“新建簡單卷”命令，如圖所示彈出“新建簡單卷向導”對話框，如圖所示。4.3.3基本磁盤分區(qū)管理單擊“下一步”按鈕，進入“指定卷大小”界面，輸入簡單卷大小，如圖所示。單擊“下一步”按鈕，進入“分配驅動器號和路徑”界面，單擊“分配以下驅動器號”單選按鈕，如圖所示。4.3.3基本磁盤分區(qū)管理單擊“下一步”按鈕，進入“格式化分區(qū)”界面，如圖所示。單擊“按下列設置格式化這個卷”單選按鈕，單擊“下一步”按鈕，進入“正在完成新建簡單卷向導”界面，如圖所示。4.3.3基本磁盤分區(qū)管理創(chuàng)建擴展磁盤分區(qū)在磁盤5上再創(chuàng)建兩個主磁盤分區(qū)，完成3個主磁盤分區(qū)的創(chuàng)建。創(chuàng)建擴展磁盤分區(qū)的過程與創(chuàng)建主磁盤分區(qū)的相似，這里不贅述。不同的是當創(chuàng)建完成，顯示“狀態(tài)良好”的分區(qū)信息后，系統會自動將剛才創(chuàng)建的分區(qū)設置為擴展磁盤分區(qū)的一個邏輯驅動器，創(chuàng)建兩個邏輯驅動器（I:、J:），如圖所示。4.3.3基本磁盤分區(qū)管理4．指定活動的磁盤分區(qū)在安裝WindowsServer2019時，安裝程序會自動建立兩個磁盤分區(qū)，用作系統的保留分區(qū)，即原始設備制造商（OriginalEquipmentManufacturer，OEM）分區(qū)和可擴展固件接口（Extensibl