教學(xué)課件-計(jì)算機(jī)網(wǎng)絡(luò)配置、管理與應(yīng)用(第3版)-吳怡

網(wǎng)絡(luò)管理基礎(chǔ)

第1章網(wǎng)絡(luò)管理概述

網(wǎng)絡(luò)管理在計(jì)算機(jī)網(wǎng)絡(luò)的正常工作中，扮演著越來越重要的角色。網(wǎng)絡(luò)管理的目的就是通過某種方式對(duì)網(wǎng)絡(luò)狀態(tài)進(jìn)行調(diào)整，使網(wǎng)絡(luò)能正常、高效地運(yùn)行，使網(wǎng)絡(luò)中的各種資源得到更加高效的利用。當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時(shí)，能及時(shí)做出報(bào)告和處理，協(xié)調(diào)并確保網(wǎng)絡(luò)的高效運(yùn)行。本章主要內(nèi)容網(wǎng)絡(luò)管理的概念、網(wǎng)絡(luò)管理的功能及網(wǎng)絡(luò)管理的標(biāo)準(zhǔn)網(wǎng)絡(luò)管理員的主要工作職責(zé)網(wǎng)絡(luò)操作系統(tǒng)的概念及主要功能1.1網(wǎng)絡(luò)管理的概念和定義網(wǎng)絡(luò)管理就是對(duì)網(wǎng)絡(luò)的運(yùn)行狀態(tài)進(jìn)行監(jiān)測(cè)和控制，使其能夠有效、可靠、安全、經(jīng)濟(jì)的運(yùn)行并提供服務(wù)。SO/IEC7498-4中定義并描述了OSI管理的術(shù)語(yǔ)和概念OSImanagement是指這樣一些功能，它們控制、協(xié)調(diào)、監(jiān)視OSI環(huán)境下的一些資源，這些資源保證OSI環(huán)境下的通信。通常對(duì)一個(gè)網(wǎng)絡(luò)管理系統(tǒng)需要定義以下內(nèi)容系統(tǒng)的功能網(wǎng)絡(luò)資源的表示網(wǎng)絡(luò)管理信息的表示系統(tǒng)的結(jié)構(gòu)1.2網(wǎng)絡(luò)管理的功能和標(biāo)準(zhǔn)

1.2.1網(wǎng)絡(luò)管理的功能ISO在ISO/IEC7498-4文檔中定義了網(wǎng)絡(luò)管理的五大功能故障管理是指檢測(cè)、定位和排除網(wǎng)絡(luò)硬件和軟件中的故障。計(jì)費(fèi)管理用于記錄網(wǎng)絡(luò)資源的使用情況，目的是控制和監(jiān)測(cè)網(wǎng)絡(luò)操作的費(fèi)用和代價(jià)，這對(duì)一些公共商業(yè)網(wǎng)絡(luò)尤為重要。配置管理是指初始化網(wǎng)絡(luò)、配置網(wǎng)絡(luò)，使其提供網(wǎng)絡(luò)服務(wù)。性能管理用來估價(jià)系統(tǒng)資源的運(yùn)行狀況及通信效率等系統(tǒng)性能。主要功能包括監(jiān)視和分析網(wǎng)絡(luò)及其所提供服務(wù)的性能機(jī)制。1.2.1網(wǎng)絡(luò)管理的功能（續(xù)）安全管理的主要功能是保護(hù)網(wǎng)絡(luò)資源的安全。管理目標(biāo)是防止用戶對(duì)資源的非法訪問，確保網(wǎng)絡(luò)資源和網(wǎng)絡(luò)用戶的安全。1.2.2網(wǎng)絡(luò)管理標(biāo)準(zhǔn)SNMP（簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議）CMIS/CMIP（公共管理信息服務(wù)和公共管理信息協(xié)議）CMOT（公共管理信息服務(wù)與協(xié)議）LMMP（局域網(wǎng)個(gè)人管理協(xié)議）1.3網(wǎng)絡(luò)管理系統(tǒng)結(jié)構(gòu)1.3.1網(wǎng)絡(luò)管理系統(tǒng)的一般模型現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)的網(wǎng)絡(luò)管理系統(tǒng)基本上由四部分組成：多個(gè)代理、至少一個(gè)網(wǎng)絡(luò)管理器或稱管理工作站、一種通用的網(wǎng)絡(luò)管理協(xié)議和一個(gè)或多個(gè)管理信息庫(kù)。被管對(duì)象是經(jīng)過抽象的網(wǎng)絡(luò)元素，對(duì)應(yīng)于網(wǎng)絡(luò)中具體可以操作的數(shù)據(jù)，如記錄設(shè)備或設(shè)施工作狀態(tài)變量、設(shè)備內(nèi)部的工作參數(shù)、設(shè)備內(nèi)部用來表示性能的統(tǒng)計(jì)參數(shù)等。任何一個(gè)網(wǎng)絡(luò)管理域至少應(yīng)該有一個(gè)網(wǎng)絡(luò)管理工作站，駐留在網(wǎng)絡(luò)管理工作站上的網(wǎng)絡(luò)管理進(jìn)程負(fù)責(zé)網(wǎng)絡(luò)管理的全部監(jiān)視和控制工作。代理與網(wǎng)絡(luò)管理進(jìn)程之間信息交互的動(dòng)作規(guī)則和數(shù)據(jù)格式等則由網(wǎng)絡(luò)管理協(xié)議來規(guī)定。管理信息庫(kù)中的管理信息描述了所有被管對(duì)象及其屬性值。1.3.2網(wǎng)絡(luò)管理系統(tǒng)的體系結(jié)構(gòu)網(wǎng)絡(luò)管理平臺(tái)可采用多種體系結(jié)構(gòu)來提供功能，最廣為人知的三種網(wǎng)絡(luò)管理體系結(jié)構(gòu)是：集中式體系結(jié)構(gòu)、分層式體系結(jié)構(gòu)和分布式體系結(jié)構(gòu)。1．集中式體系結(jié)構(gòu)集中式體系結(jié)構(gòu)的網(wǎng)絡(luò)管理平臺(tái)建立在一個(gè)計(jì)算機(jī)系統(tǒng)上，該計(jì)算機(jī)系統(tǒng)負(fù)責(zé)所有網(wǎng)絡(luò)管理任務(wù)。2．分層體系結(jié)構(gòu)分層體系結(jié)構(gòu)使用多個(gè)系統(tǒng)，其中一個(gè)系統(tǒng)作為中央服務(wù)器系統(tǒng)，其他系統(tǒng)作為客戶系統(tǒng)。3．分布式體系結(jié)構(gòu)分布式體系結(jié)構(gòu)結(jié)合了集中式和層次式這兩種方案的特點(diǎn)。1.4網(wǎng)絡(luò)管理員的職責(zé)網(wǎng)絡(luò)管理員主要職責(zé)有以下幾個(gè)方面：1.基礎(chǔ)設(shè)施管理2．操作系統(tǒng)管理3．應(yīng)用系統(tǒng)管理4．用戶服務(wù)與管理5．安全保密管理6．信息存儲(chǔ)備份管理7．機(jī)房管理1.5網(wǎng)絡(luò)操作系統(tǒng)網(wǎng)絡(luò)操作系統(tǒng)（NetworkOperatingSystem，NOS）是能夠控制和管理網(wǎng)絡(luò)資源的特殊的操作系統(tǒng)。它實(shí)際上是一些程序的組合，是網(wǎng)絡(luò)環(huán)境下用戶與網(wǎng)絡(luò)資源之間的接口，它通過網(wǎng)絡(luò)，向網(wǎng)絡(luò)上的計(jì)算機(jī)和外部設(shè)備提供各種網(wǎng)絡(luò)服務(wù)。因此，網(wǎng)絡(luò)操作系統(tǒng)的水平代表了網(wǎng)絡(luò)的性能及所能提供的服務(wù)水平。網(wǎng)絡(luò)操作系統(tǒng)的合理選擇至關(guān)重要。1.5.1網(wǎng)絡(luò)操作系統(tǒng)的定義網(wǎng)絡(luò)操作系統(tǒng)是使網(wǎng)絡(luò)中各計(jì)算機(jī)能方便而有效地共享網(wǎng)絡(luò)資源，為網(wǎng)絡(luò)用戶提供所需的各種服務(wù)的軟件和有關(guān)規(guī)則的集合。1.5.2網(wǎng)絡(luò)操作系統(tǒng)的功能網(wǎng)絡(luò)操作系統(tǒng)除了具有通常操作系統(tǒng)的處理機(jī)管理、存儲(chǔ)器管理、設(shè)備管理及文件管理的基本功能以外，還具有網(wǎng)絡(luò)管理方面的功能，主要包括：（1）協(xié)調(diào)用戶，對(duì)系統(tǒng)資源進(jìn)行合理分配和調(diào)度。（2）提供網(wǎng)絡(luò)通信服務(wù)。（3）控制用戶訪問?？蓪?duì)用戶進(jìn)行訪問權(quán)限的設(shè)置，保證系統(tǒng)的安全性和提供可靠的保密方式。（4）管理文件。在網(wǎng)絡(luò)系統(tǒng)中，各種文件可達(dá)上萬個(gè)，通常是把它們存放在系統(tǒng)中的一個(gè)專用設(shè)備里，快速、準(zhǔn)確、安全可靠的對(duì)文件進(jìn)行管理是一件非常重要的任務(wù)。（5）系統(tǒng)管理。跟蹤網(wǎng)絡(luò)活動(dòng)，建立和修改網(wǎng)絡(luò)的服務(wù)，管理網(wǎng)絡(luò)的應(yīng)用環(huán)境。1.5.3常用網(wǎng)絡(luò)操作系統(tǒng)1．Windows操作系統(tǒng)

Windows系列操作系統(tǒng)是Microsoft開發(fā)的一種界面友好操作簡(jiǎn)便的網(wǎng)絡(luò)操作系統(tǒng)。2．UNIX操作系統(tǒng)

UNIX操作系統(tǒng)是麻省理工學(xué)院開發(fā)一種時(shí)分操作系統(tǒng)的基礎(chǔ)上發(fā)展起來的網(wǎng)絡(luò)操作系統(tǒng)。UNIX是一個(gè)多用戶、多任務(wù)的實(shí)時(shí)操作系統(tǒng)。3．Linux操作系統(tǒng)

Linux是芬蘭赫爾辛基大學(xué)的學(xué)生LinuxTorvalds開發(fā)的具有UNIX操作系統(tǒng)特征的新一代的開源網(wǎng)絡(luò)操作系統(tǒng)。4．NetWare網(wǎng)絡(luò)操作系統(tǒng)

NetWare服務(wù)器對(duì)無盤站和游戲的支持較好，常用于教學(xué)網(wǎng)和游戲廳。1.6本章小結(jié)本章學(xué)習(xí)了網(wǎng)絡(luò)管理的基本知識(shí)，通過本章的學(xué)習(xí)，讀者掌握了網(wǎng)絡(luò)管理的概念，了解了網(wǎng)絡(luò)管理的主要功能，學(xué)習(xí)了做為網(wǎng)絡(luò)管理員應(yīng)該承擔(dān)的主要職責(zé)。掌握了網(wǎng)絡(luò)操作系統(tǒng)除了操作系統(tǒng)的基本功能外還應(yīng)該具有的網(wǎng)絡(luò)管理方面的功能有哪些。在本書的后續(xù)篇章中將進(jìn)一步學(xué)習(xí)網(wǎng)絡(luò)操作系統(tǒng)在網(wǎng)絡(luò)配置與管理方面的功能與應(yīng)用。第2章WindowsServer2012系統(tǒng)的安裝

WindowsServer2012在2012年8月1日完成編譯RTM版，并且在2012年9月4日正式發(fā)售。作為微軟服務(wù)器系統(tǒng)WindowsServer2008R2的繼任者，同時(shí)也是Windows8的服務(wù)器版本，在許多細(xì)節(jié)做了改進(jìn)，給用戶帶來了全新的體驗(yàn)。本章主要內(nèi)容安裝系統(tǒng)需注意的事項(xiàng)安裝WindowsServer2012WindowsServer2012的簡(jiǎn)單安裝2.1安裝系統(tǒng)需注意的事項(xiàng)2.1.1硬件要求處理器：1.4GHz、64位處理器RAM：512MB磁盤空間：32GB其他要求DVD驅(qū)動(dòng)器超級(jí)VGA(800*600)或更高分辨率的顯示器鍵盤和鼠標(biāo)（或其他兼容的輸入設(shè)備）能連接到Internet2.1.2準(zhǔn)備工作若要順利安裝WindowsServer2012，請(qǐng)執(zhí)行以下步驟來準(zhǔn)備安裝：斷開UPS設(shè)備備份服務(wù)器建議關(guān)閉病毒防護(hù)軟件運(yùn)行Windows內(nèi)存診斷工具提供大容量存儲(chǔ)驅(qū)動(dòng)程序注意，默認(rèn)情況下啟用Windows防火墻。2.2安裝WindowsServer2012安裝方法：用WindowsServer2012DVD光盤安裝用U盤安裝系統(tǒng)：將電腦的BIOS設(shè)定為優(yōu)先從USB來啟動(dòng)電腦，將WindowsServer2012ISO安裝包存入U(xiǎn)盤，利用U盤來安裝系統(tǒng)升級(jí)WindowsServer版本：先啟動(dòng)原來64位的WindowsServer操作系統(tǒng)，然后將系統(tǒng)預(yù)設(shè)成自動(dòng)執(zhí)行DVD內(nèi)的安裝程序，用WindowsServer2012DVD來安裝WindowsServer2012版本W(wǎng)indowsServer2012Essentials：面向中小企業(yè)，用戶限定在25位以內(nèi)，該版本簡(jiǎn)化了界面，預(yù)先配置云服務(wù)連接，不支持虛擬化WindowsServer2012Standard：提供完整的WindowsServer功能，限制使用兩臺(tái)虛擬主機(jī)WindowsServer2012Datacenter：提供完整的WindowsServer功能，不限制虛擬主機(jī)數(shù)量WindowsServer2012Foundation版本：僅提供給OEM廠商，限定用戶15位，提供通用服務(wù)器功能，不支持虛擬化2.安裝過程（從光盤直接安裝）（1）設(shè)置光驅(qū)為第一優(yōu)先啟動(dòng)的設(shè)備，插入WindowsServer2012的安裝光盤，重啟計(jì)算機(jī)（以安裝Datacenter版為例）圖2.2.1開始安裝圖2.2.2正在啟動(dòng)（2）在“要安裝的語(yǔ)言”下拉菜單中選擇安裝“簡(jiǎn)體中文”的版本圖2.2.3選擇安裝版本的語(yǔ)言（3）單擊“現(xiàn)在安裝”圖2.2.4選擇安裝（4）進(jìn)入如圖2.2.5所示對(duì)話框，選擇要安裝的操作系統(tǒng)。當(dāng)安裝WindowsServer2012時(shí)，我們可以在“帶有GUI的服務(wù)器”和“服務(wù)器核心安裝”之間任選其一。

帶有GUI的服務(wù)器：安裝完成后的系統(tǒng)為用戶提供較為友好的界面和圖形化管理工具。服務(wù)器核心安裝：提供了較為安全的環(huán)境，減少所需的磁盤空間，也降低了維護(hù)與管理的要求，但只能用命令來完成服務(wù)器角色的安裝，安裝完系統(tǒng)后，用戶可以通過添加或者安裝服務(wù)器圖形Shell等相關(guān)組件，實(shí)現(xiàn)在這兩種環(huán)境中切換。（4）選中“WindowsServer2012DatacenterEvaluation(帶GUI的服務(wù)器)”，單擊“下一步”圖2.2.5選擇安裝的操作系統(tǒng)（5）出現(xiàn)“許可條款”窗口，選中“我接受許可條款”，點(diǎn)擊“下一步”圖2.2.6許可條款（6）選擇安裝類型如果是舊版本升級(jí)到WindowsServer2012則選擇“升級(jí)”

圖2.2.7選擇安裝類型（7）選擇WindowsServer2012需要安裝的磁盤，用戶可單擊“驅(qū)動(dòng)器選項(xiàng)”將磁盤分割或進(jìn)行磁盤格式化。注意：WindowsServer2012操作系統(tǒng)只能安裝到NTFS格式的磁盤內(nèi)，其他格式的磁盤只能用來存儲(chǔ)資料。新的磁盤分割區(qū)只有被格式化成適當(dāng)?shù)奈募到y(tǒng)后才能安裝系統(tǒng)或是作為存儲(chǔ)材料。

WindowsServer2012除了支持exFAT、FAT32、FAT以及NFTS外，增加了最新的ReFS文件系統(tǒng)圖2.2.8選擇安裝系統(tǒng)到磁盤（8）出現(xiàn)程序安裝進(jìn)度的窗口（安裝完成）圖2.2.9安裝的進(jìn)度2.3WindowsServer2012的簡(jiǎn)單使用（1）系統(tǒng)安裝完成后，服務(wù)器自動(dòng)重啟，啟動(dòng)WindowsServer2012操作系統(tǒng)。首次進(jìn)入WindowsServer2012操作系統(tǒng)時(shí)需要設(shè)置管理員密碼。圖2.3.1設(shè)置管理員密碼2.3.1啟動(dòng)與登錄默認(rèn)的密碼設(shè)置的最低要求為：不能包含用戶的帳戶名，不能包含用戶姓名中超過兩個(gè)連續(xù)字符的部分；至少有六個(gè)字符長(zhǎng)，包含以下四類字符中的三類字符：英文大寫字母(A到Z)，英文小寫字母(a到z)，10個(gè)基本數(shù)字(0到9)，非字母字

符(例如!、$、#、%)。

如輸入密碼太簡(jiǎn)單將出

現(xiàn)右圖所示的情況。

因此建議將密碼設(shè)為大

小寫與數(shù)字的組合。圖2.3.2設(shè)置密碼過于簡(jiǎn)單正確設(shè)置密碼后點(diǎn)擊“完成”就可進(jìn)入鎖定界面。（2）按“Ctrl+Alt+Delete”組合鍵，輸入正確的用戶名及密碼即可登陸，如圖2.3.4所示。圖2.3.3未登錄時(shí)的鎖定界面圖2.3.4正在登錄的界面（3）登錄后會(huì)出現(xiàn)“服務(wù)器管理器”界面，若該窗口被關(guān)閉，可以點(diǎn)擊任務(wù)欄左下角的標(biāo)簽重新啟動(dòng)。圖2.3.5“服務(wù)器管理器”2.3.2注銷與關(guān)機(jī)（1）在暫時(shí)不需要用電腦又不希望關(guān)機(jī)的情況下，可以按以下步驟來操作：將鼠標(biāo)劃到屏幕左下角，或是按視窗鍵都可以切換到“開始”的窗口，然后用戶可以單擊右上方的Administrator，此時(shí)出現(xiàn)“鎖定”和“注銷”兩個(gè)選擇圖2.3.6“開始”窗口注銷：用戶所有正在運(yùn)行的程序會(huì)被結(jié)束，若要繼續(xù)使用該電腦需要重新登錄鎖定：所有的應(yīng)用程序依然運(yùn)行，解鎖需要再次輸入密碼（2）如果要將電腦關(guān)機(jī)或是重啟電腦的話可以按照以下的操作進(jìn)行：將鼠標(biāo)劃到屏幕的右上角或是按“Windows鍵+C鍵”圖2.3.7快速鍵窗口單擊設(shè)置

圖2.3.8選擇關(guān)機(jī)或重啟單擊電源即可選擇關(guān)機(jī)或是重啟電腦

用戶也可以直接按Ctrl+Alt+Delete，然后選擇鎖定、切換用戶、注銷等，也可以直接按右下角的關(guān)機(jī)圖標(biāo)關(guān)機(jī)圖2.3.9選擇鎖定、注銷、關(guān)閉計(jì)算機(jī)2.5本章小結(jié)本章為后續(xù)章節(jié)打下堅(jiān)實(shí)基礎(chǔ)，通過本章學(xué)習(xí)，可知WindowsServer2012的安裝非常簡(jiǎn)單，而且它也提供了非常強(qiáng)大的部署安裝的功能，讀者應(yīng)該了解安裝WindowsServer2012的相關(guān)知識(shí)，注意事項(xiàng)、相關(guān)安裝步驟以及如何登錄、注銷計(jì)算機(jī)等簡(jiǎn)單操作。第3章配置與管理WindowsServer2012工作組網(wǎng)絡(luò)

通過前一章的學(xué)習(xí)，我們已經(jīng)成功地在計(jì)算機(jī)上安裝了WindowsServer2012，本章接著介紹如何將多臺(tái)計(jì)算機(jī)組成工作組網(wǎng)絡(luò)。本章主要內(nèi)容工作組網(wǎng)絡(luò)的定義與特點(diǎn)WindowsServer2012硬件設(shè)備管理、網(wǎng)絡(luò)組件的安裝與配置工作組網(wǎng)絡(luò)的用戶與組賬戶的創(chuàng)建與管理網(wǎng)絡(luò)中共享資源的設(shè)置3.1WindowsServer2012工作組網(wǎng)絡(luò)概述3.1.1工作組的定義工作組是一組由網(wǎng)絡(luò)連接而成的計(jì)算機(jī)群組，并由本機(jī)管理員分散管理賬戶和資源的小型網(wǎng)絡(luò)。在工作組網(wǎng)絡(luò)中，每臺(tái)計(jì)算機(jī)上都有一個(gè)由本地管理員管理的本地用戶的安全數(shù)據(jù)庫(kù)，每臺(tái)計(jì)算機(jī)都可以通過共享的方式將自己的本地資源提供給他人。作組中的成員數(shù)目一般不超過10臺(tái)計(jì)算機(jī)。3.1.2本地安全數(shù)據(jù)庫(kù)本地安全數(shù)據(jù)庫(kù)用來存儲(chǔ)在本地計(jì)算機(jī)中創(chuàng)建的用戶賬戶、組賬戶和其他安全信息。3.1.3工作組的工作模式當(dāng)其他計(jì)算機(jī)上的用戶需要訪問某臺(tái)計(jì)算機(jī)的資源時(shí)，必須在該計(jì)算機(jī)上為這個(gè)用戶建立賬戶存放在本地安全數(shù)據(jù)庫(kù)中。當(dāng)該用戶訪問這臺(tái)計(jì)算機(jī)的資源時(shí)，由資源主機(jī)的本地安全數(shù)據(jù)庫(kù)進(jìn)行身份和權(quán)限的驗(yàn)證，以實(shí)現(xiàn)資源的安全共享。3.1.4WindowsServer2012工作組網(wǎng)絡(luò)的特點(diǎn)平等關(guān)系：工作組中的所有計(jì)算機(jī)之間是一種平等的關(guān)系，沒有主從之分。分散管理：每臺(tái)計(jì)算機(jī)上的管理員對(duì)自己計(jì)算機(jī)上的資源與賬戶進(jìn)行管理。本地安全數(shù)據(jù)庫(kù)：由該計(jì)算機(jī)上的安全數(shù)據(jù)庫(kù)對(duì)其進(jìn)行身份驗(yàn)證。資源訪問：利用其他計(jì)算機(jī)上創(chuàng)建的本地用戶賬戶登錄訪問該計(jì)算機(jī)上的資源。工作組網(wǎng)絡(luò)系統(tǒng)軟件：WindowsServer2012工作組網(wǎng)絡(luò)，可以由安裝了WindowsServer2012及其他版本的操作系統(tǒng)的計(jì)算機(jī)組成，但Windows98中沒有本地安全數(shù)據(jù)庫(kù)。3.1.5網(wǎng)絡(luò)配置的基本流程檢查網(wǎng)絡(luò)硬件（交換機(jī)、集線器、網(wǎng)卡和網(wǎng)線）是否連接好。確認(rèn)網(wǎng)絡(luò)中各計(jì)算機(jī)的操作系統(tǒng)能夠正常運(yùn)行。正確配置網(wǎng)卡驅(qū)動(dòng)程序。安裝和配置網(wǎng)絡(luò)組件，保證網(wǎng)絡(luò)通信。配置計(jì)算機(jī)名稱、工作組名稱，將網(wǎng)絡(luò)中的計(jì)算機(jī)加入工作組。設(shè)置工作組網(wǎng)絡(luò)中的共享資源，包括確認(rèn)共享資源、設(shè)置共享資源的訪問控制權(quán)限，實(shí)現(xiàn)網(wǎng)絡(luò)資源的互訪等。3.2配置和管理WindowsServer2012上的硬件3.2.1設(shè)備管理器確定計(jì)算機(jī)上的硬件設(shè)備是否工作正常確定設(shè)備沖突并手工配置資源設(shè)置修改硬件設(shè)備配置選項(xiàng)及針對(duì)各種設(shè)備的高級(jí)選項(xiàng)與屬性識(shí)別針對(duì)各種設(shè)備所裝載的設(shè)備驅(qū)動(dòng)程序并獲取每種設(shè)備驅(qū)動(dòng)程序的相關(guān)信息，并且可以打印計(jì)算機(jī)上所安裝的設(shè)備摘要信息安裝和更新驅(qū)動(dòng)程序禁用、啟用或卸載設(shè)備重新安裝原先版本的驅(qū)動(dòng)程序。1.通過本地設(shè)備管理器檢查網(wǎng)卡工作狀態(tài)右擊“我的電腦”，在出現(xiàn)的快捷菜單中選管理；或者選擇桌面任務(wù)欄左端“服務(wù)器管理器”圖標(biāo)，在打開“儀表板”的菜單欄“工具”中選擇“計(jì)算機(jī)管理”2.訪問遠(yuǎn)程設(shè)備管理器

(1)按Windows徽標(biāo)鍵進(jìn)入“開始”菜單，從中選擇“WindowsPowerShell”，輸入“mmc”，打開Microsoft管理控制臺(tái)。(2)在控制臺(tái)中單擊“文件”，選擇“添加/刪除管理單元”，彈出“添加或刪除管理單元”對(duì)話框。(3)在該對(duì)話框中選擇“可用管理單元”中的“設(shè)備管理器”，并單擊“添加”按鈕，則會(huì)出現(xiàn)“設(shè)備管理器”對(duì)話框。選中“另一臺(tái)計(jì)算機(jī)”并單擊“瀏覽”按鈕選擇計(jì)算機(jī)或者直接輸入待管理的遠(yuǎn)程計(jì)算機(jī)IP地址0。單擊“完成”并逐步確認(rèn)退出后即可在管理控制臺(tái)上查看此遠(yuǎn)程計(jì)算機(jī)的硬件配置情況。添加/刪除控制單元——添加設(shè)備管理器3.3安裝網(wǎng)絡(luò)協(xié)議運(yùn)行WindowsServer2012操作系統(tǒng)的計(jì)算機(jī)要與網(wǎng)絡(luò)中其他計(jì)算機(jī)進(jìn)行通信，實(shí)現(xiàn)資源共享和信息傳遞，管理員必須為其安裝和配置相應(yīng)的網(wǎng)絡(luò)組件。3.3.1安裝網(wǎng)絡(luò)協(xié)議協(xié)議是網(wǎng)絡(luò)中計(jì)算機(jī)相互通信時(shí)必須遵守的一組規(guī)則和約定的集合，它由語(yǔ)法、語(yǔ)義和定時(shí)三部分組成。在WindowsServer2012中常用的協(xié)議和功能如下：Hyper-V可擴(kuò)展的虛擬交換機(jī)、LLDP協(xié)議、TCP/IP協(xié)議、AppleTalk協(xié)議、MicrosoftTCP/IP版本6、可靠的多播協(xié)議、網(wǎng)絡(luò)監(jiān)視器驅(qū)動(dòng)程序等。網(wǎng)絡(luò)協(xié)議的安裝步驟：打開“本地連接屬性”窗口。在“選擇網(wǎng)絡(luò)協(xié)議”窗口選擇需要安裝的網(wǎng)絡(luò)協(xié)議3.3.2安裝網(wǎng)絡(luò)客戶端網(wǎng)絡(luò)中的“客戶端”組件提供了網(wǎng)絡(luò)資源訪問的條件。網(wǎng)絡(luò)客戶端的安裝步驟：在“選擇網(wǎng)絡(luò)組件類型”對(duì)話框中選擇“客戶端”，然后單擊“添加”按鈕。在“選擇網(wǎng)絡(luò)客戶端”窗口列表框中選中所要安裝的客戶端后單擊“確定”按鈕。3.3.3安裝網(wǎng)絡(luò)服務(wù)網(wǎng)絡(luò)中的“服務(wù)”組件是網(wǎng)絡(luò)中可以提供給用戶的各種網(wǎng)絡(luò)功能。在WindowsServer2012中，提供了以下2種基本的服務(wù)類型。MicrosoftFailoverClusterVirtualAdapterPerformanceFilteMicrosoft網(wǎng)絡(luò)虛擬化篩選器驅(qū)動(dòng)程序要讓網(wǎng)絡(luò)能夠使用用戶和計(jì)算機(jī)提供的文件共享和打印機(jī)共享等功能，就必須為計(jì)算機(jī)安裝相應(yīng)的網(wǎng)絡(luò)服務(wù)。3.4配置TCP/IP協(xié)議3.4.1TCP/IP協(xié)議簡(jiǎn)介

TCP/IP協(xié)議是網(wǎng)絡(luò)中使用的基于軟件的標(biāo)準(zhǔn)通信協(xié)議，該協(xié)議可使不同環(huán)境下不同節(jié)點(diǎn)之間進(jìn)行彼此通信，是接入Internet的所有計(jì)算機(jī)在網(wǎng)絡(luò)上進(jìn)行各種信息交換和傳輸所必須采用的協(xié)議。它包括的主要內(nèi)容有：IP協(xié)議、文件傳輸協(xié)議（FTP）、簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)、

TCP/IP網(wǎng)絡(luò)打印服務(wù)、動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)、域命名服務(wù)(DNS)、TCP/IP實(shí)用程序1．TCP/IP協(xié)議分層2．IP地址類型與子網(wǎng)掩碼TCP/IP協(xié)議中采用兩種地址：物理地址和網(wǎng)際地址

IP地址即網(wǎng)際地址，它是一種層次型地址，攜帶關(guān)于對(duì)象位置的信息。TCP/IP協(xié)議用32位地址標(biāo)識(shí)主機(jī)所在網(wǎng)絡(luò)中的位置。IP地址包括網(wǎng)絡(luò)地址和主機(jī)地址兩部分。

5種IP地址結(jié)構(gòu)0181631A類B類C類D類E類0網(wǎng)絡(luò)地址(7位)主機(jī)地址(24位)10網(wǎng)絡(luò)地址(14位)主機(jī)地址(16位)110網(wǎng)絡(luò)地址(21位)主機(jī)地址(8位)1110多目地址11110留待備用子網(wǎng)掩碼每一個(gè)使用子網(wǎng)的網(wǎng)點(diǎn)都選擇一個(gè)除IP地址外的32位的位模式。位模式中的某位置為1，則對(duì)應(yīng)IP地址中的某位為網(wǎng)絡(luò)地址中的一位；位模式中的某位置為0，則對(duì)應(yīng)IP地址中的某位為主機(jī)地址中的一位。這種位模式稱作子網(wǎng)掩碼。

子網(wǎng)掩碼一方面可以用來判斷兩個(gè)IP地址是否屬于同一子網(wǎng)，另一方面也可以用來找出子網(wǎng)的地址。

子網(wǎng)掩碼的作用例如，假設(shè)有兩個(gè)IP地址和，其子網(wǎng)掩碼為。要判斷這兩個(gè)IP地址是否為同一子網(wǎng)，可以將每個(gè)四地址與子網(wǎng)掩碼進(jìn)行按位與，如果所得的結(jié)果相同，則表示兩個(gè)IP地址屬于同一子網(wǎng)，否則表示兩個(gè)IP地址屬于不同子網(wǎng)。

如果信宿IP地址和子網(wǎng)掩碼相對(duì)應(yīng)，就把數(shù)據(jù)報(bào)發(fā)送到本地網(wǎng)絡(luò)上。如果信宿IP地址和子網(wǎng)掩碼不對(duì)應(yīng)，就把數(shù)據(jù)報(bào)發(fā)送到和信宿IP地址相應(yīng)的網(wǎng)關(guān)上。

3．TCP/IP域名服務(wù)

DNS的一般格式為：本地主機(jī)名·組名·網(wǎng)點(diǎn)名

3.4.2配置TCP/IP協(xié)議WindowsServer2012操作系統(tǒng)提供兩種方式為客戶機(jī)分配IP地址：一種是基于DHCP服務(wù)器IP地址的動(dòng)態(tài)分配；另一種方式是管理員手工為客戶機(jī)指定IP地址的靜態(tài)分配。1.配置TCP/IP地址用戶在WindowsServer2012計(jì)算機(jī)上配置TCP/IP之前，需要知道以下信息：本地IP路由器的IP地址是否有DHCP服務(wù)器連接到網(wǎng)絡(luò)上本計(jì)算機(jī)是否是WINS代理執(zhí)行者本計(jì)算機(jī)是否使用域名服務(wù)(DNS)。

配置TCP/IP協(xié)議的步驟如下：

（1）控制面板→查看網(wǎng)絡(luò)狀態(tài)和任務(wù)→更改適配器設(shè)置→屬性→此連接使用下列項(xiàng)目→Internet協(xié)議版本4（TCP/IPv4→屬性對(duì)話框的“常規(guī)”選項(xiàng)卡（2）用戶需要根據(jù)本地計(jì)算機(jī)所在網(wǎng)絡(luò)的具體情況決定是否用網(wǎng)絡(luò)中的DHCP服務(wù)器提供IP地址和子網(wǎng)掩碼。（3）如果不想通過DHCP服務(wù)器分配一個(gè)IP地址的話，則選定“使用下面的IP地址”單選按鈕進(jìn)行手動(dòng)配置。TCP/IP協(xié)議配置——手動(dòng)配置輸入一個(gè)12位數(shù)字的IP地址本地路由器或網(wǎng)橋的IP地址無法從本地網(wǎng)絡(luò)中獲得DNS服務(wù)器地址，可進(jìn)行手動(dòng)配置高級(jí)TCP/IP設(shè)置——IP設(shè)置2、配置DNS選項(xiàng)調(diào)整DNS服務(wù)器使用的順序通過附加主DNS后綴和每個(gè)連接的DNS后綴來解析不合格的名稱用于從已配置的后綴列表中附加后綴來解析不合格的名稱修改DNS動(dòng)態(tài)更新行為3.5創(chuàng)建WindowsServer2012工作組網(wǎng)絡(luò)3.5.1加入工作組網(wǎng)絡(luò)計(jì)算機(jī)加入工作組網(wǎng)絡(luò)，其主要的工作是設(shè)置工作組網(wǎng)絡(luò)中的計(jì)算機(jī)名稱和工作組名稱等常規(guī)信息。案例：將多臺(tái)計(jì)算機(jī)組成WindowsServer2012工作組網(wǎng)絡(luò)，工作名稱為“POETWG”，計(jì)算機(jī)名稱分別設(shè)置為“user2012001”、“user2012002”以及其他自定義的計(jì)算機(jī)名。（1）單擊任務(wù)欄圖標(biāo)或從“開始”選擇“服務(wù)器管理器”，打開“服務(wù)器管理器”窗口，選擇“本地服務(wù)器”（2）單擊“計(jì)算機(jī)名”打開“系統(tǒng)屬性”窗口，單擊“更改”按鈕

（3）在“計(jì)算機(jī)名/域更改”對(duì)話框中設(shè)置計(jì)算機(jī)名與工作組名稱，然后單擊“確定”按鈕。3.5.2查看工作組網(wǎng)絡(luò)中的計(jì)算機(jī)完成組網(wǎng)的計(jì)算機(jī)的網(wǎng)絡(luò)信息配置后，在WindowsServer2012網(wǎng)絡(luò)各計(jì)算機(jī)中打開“計(jì)算機(jī)”選擇“網(wǎng)絡(luò)”就可以查看工作組網(wǎng)絡(luò)中的各個(gè)工作站。如果沒有工作站，則表示網(wǎng)絡(luò)連通性可能出現(xiàn)問題，需要依次檢查網(wǎng)卡、網(wǎng)卡驅(qū)動(dòng)程序、網(wǎng)絡(luò)組件、TCP/IP協(xié)議配置等內(nèi)容。例如，用ping命令檢測(cè)TCP/IP協(xié)議的安裝及網(wǎng)絡(luò)連通性3.6WindowsServer2012工作組網(wǎng)絡(luò)資源管理1.用戶賬戶簡(jiǎn)介用戶賬戶可為用戶提供登錄到網(wǎng)絡(luò)以訪問網(wǎng)絡(luò)資源，或登錄到計(jì)算機(jī)以訪問該機(jī)資源的能力。WindowsServer2012提供兩種主要類型的用戶賬戶：本地用戶賬戶（LocalUserAccount）和域用戶賬戶（DomainUserAccount）。除此之外，WindowsServer2012系統(tǒng)中還有內(nèi)置的用戶賬戶。本地用戶賬號(hào)（LocalUserAccount）本地用戶賬號(hào)只能登錄到賬號(hào)所在計(jì)算機(jī)并獲得對(duì)該資源的訪問。當(dāng)創(chuàng)建本地用戶賬號(hào)后，WindowsServer2012將在該機(jī)的本地安全性數(shù)據(jù)庫(kù)中創(chuàng)建該賬號(hào)，本地賬號(hào)信息仍為本地，不會(huì)被復(fù)制到其他計(jì)算機(jī)或域控制器。當(dāng)創(chuàng)建一個(gè)本地用戶賬號(hào)后，計(jì)算機(jī)使用本地安全性數(shù)據(jù)庫(kù)驗(yàn)證本地用戶賬號(hào)，以便讓用戶登錄到該計(jì)算機(jī)。

注意不要在需要訪問域資源的計(jì)算機(jī)上創(chuàng)建本地用戶賬號(hào)，因?yàn)橛虿荒茏R(shí)別本地用戶賬號(hào)，也不允許本地用戶訪問域資源。

內(nèi)置用戶賬號(hào)（Built-inUserAccount）WindowsServer2012自動(dòng)創(chuàng)建若干個(gè)用戶賬號(hào)，并且賦予了相應(yīng)的權(quán)限，稱為內(nèi)置賬號(hào)。內(nèi)置用戶賬號(hào)不允許被刪除。

最常用的兩個(gè)內(nèi)置賬號(hào)是Administrator和Guest。使用內(nèi)置Administrator（管理員）賬號(hào)管理計(jì)算機(jī)和域配置。Guest（來客）賬號(hào)一般被用于在域中或計(jì)算機(jī)中沒有固定賬號(hào)的用戶臨時(shí)訪問域或計(jì)算機(jī)時(shí)使用的。

2．創(chuàng)建本地用戶賬戶

“服務(wù)器管理器”—“工具”

—“計(jì)算機(jī)管理”添加用戶：

單擊“本地用戶和組”前面的加號(hào)，展開出現(xiàn)“用戶”圖標(biāo)，右擊“用戶”，在彈出的快捷菜單中單擊“新用戶”。單擊“創(chuàng)建”按鈕，在“計(jì)算機(jī)管理窗口中就可以看到新創(chuàng)建的用戶賬戶。

單擊“創(chuàng)建”按鈕，在“計(jì)算機(jī)管理”窗口中就可以看到新創(chuàng)建的用戶賬戶。

3.組簡(jiǎn)介

組是用戶或計(jì)算機(jī)賬號(hào)的集合。通過使用組可以將權(quán)限分配給一組用戶而不是單個(gè)用戶賬號(hào)。當(dāng)將權(quán)限分配給組時(shí)，組的所有成員都將繼承那些權(quán)限，這樣可以簡(jiǎn)化網(wǎng)絡(luò)管理。WindowsServer2012允許在本地計(jì)算機(jī)安全賬戶數(shù)據(jù)庫(kù)和ActiveDirectory服務(wù)中創(chuàng)建組。本地組用來專門管理單個(gè)計(jì)算機(jī)的資源，而使用ActiveDirectory組可允許用戶訪問網(wǎng)絡(luò)資源。本地組有兩種類型：本地組（LocalGroups）和內(nèi)置本地組（Built-inGroups）。本地組（LocalGroups）本地組可以在任何一臺(tái)基于WindowsServer2012的非域控制器計(jì)算機(jī)上創(chuàng)建，通過將用戶加入到相應(yīng)的本地組賦予相應(yīng)的權(quán)限，就可以控制用戶對(duì)本地計(jì)算機(jī)上資源的訪問。本地賬戶信息是放置在創(chuàng)建該組的計(jì)算機(jī)內(nèi)的數(shù)據(jù)庫(kù)中，因此其作用范圍只限于在創(chuàng)建該本地組的計(jì)算機(jī)上。內(nèi)置組（Built-inGroups）在安裝運(yùn)行

WindowsServer2012的獨(dú)立服務(wù)器或成員服務(wù)器時(shí)，會(huì)自動(dòng)創(chuàng)建內(nèi)置組。內(nèi)置組具有一些特定的事先賦予的權(quán)力，用以完成某些特定的系統(tǒng)任務(wù)。內(nèi)置組不能被刪除，其作用范圍也僅限于其存在的計(jì)算機(jī)上。4.創(chuàng)建本地組

用本地計(jì)算機(jī)的Administrator組或AccountOperators組的成員身份登錄，打開“計(jì)算機(jī)管理”右擊“組”，在彈出的快捷菜單中選擇“新建組”計(jì)算機(jī)管理窗口中可以看到新創(chuàng)建的組5.實(shí)現(xiàn)本地組策略將組、用戶、資源及權(quán)限組合在一起而實(shí)現(xiàn)對(duì)資源訪問的管理稱之為組策略。本地組策略就是先將具有相同屬性的用戶賬號(hào)加入到一個(gè)本地組當(dāng)中去，再針對(duì)某些資源賦予這個(gè)本地組相應(yīng)的訪問權(quán)限，這樣就可以達(dá)到一次操作而為多個(gè)用戶賦予訪問資源的權(quán)限。

3.6.2工作組網(wǎng)絡(luò)的資源共享在WindowsServer2012工作組網(wǎng)絡(luò)中，可以通過創(chuàng)建本機(jī)共享文件夾或打印機(jī)共享等方式，使用戶通過遠(yuǎn)程網(wǎng)絡(luò)位置訪問其他計(jì)算機(jī)上的資源。WindowsServer2012操作系統(tǒng)只允許共享文件夾，不能共享單獨(dú)的文件。共享文件夾可以包含應(yīng)用程序、數(shù)據(jù)和用戶個(gè)人數(shù)據(jù)等信息。創(chuàng)建共享文件夾必須滿足下列條件：（1）安裝“Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享”網(wǎng)絡(luò)服務(wù)；（2）默認(rèn)情況下，只有Administrators組、PowerUsers組和ServerOperators組成員能夠創(chuàng)建共享文件夾。（3）如果用戶共享的是某個(gè)NTFS分區(qū)下的文件夾，那么用戶還必須對(duì)該文件夾擁有完全控制的NTFS權(quán)限。1．創(chuàng)建共享文件夾在“software”文件夾的屬性對(duì)話框的“共享”選項(xiàng)卡下，選擇“共享該文件夾”。在文件夾的“權(quán)限”對(duì)話框的“組或用戶名稱”窗口中“添加”可訪問此文件夾的對(duì)象，在“權(quán)限”窗口中設(shè)置相關(guān)用戶或組對(duì)該共享文件夾的訪問權(quán)限。WindowsServer2012有三個(gè)級(jí)別的共享權(quán)限：讀取、更改和完全控制，分別介紹如下：讀取：用戶可通過網(wǎng)絡(luò)讀取該共享文件夾下文件的屬性、內(nèi)容和權(quán)限，運(yùn)行共享文件夾下的應(yīng)用程序，但用戶不能修改共享文件夾下文件的屬性和內(nèi)容。更改：用戶可通過網(wǎng)絡(luò)完成讀取權(quán)限所能夠執(zhí)行的所有操作，并且能夠通過網(wǎng)絡(luò)創(chuàng)建和刪除文件和子文件夾，修改文件和子文件夾的內(nèi)容和屬性。完全控制：用戶可通過網(wǎng)絡(luò)修改文件權(quán)限，獲得文件所有權(quán)，執(zhí)行“修改”和“讀取”權(quán)限能夠執(zhí)行的所有操作。默認(rèn)情況下，系統(tǒng)自動(dòng)為共享文件夾賦予Everyone組讀取的共享權(quán)限。2.刪除、停止、修改文件夾共享文件夾共享多次后會(huì)在文件夾的“屬性”頁(yè)的“共享”選項(xiàng)卡出現(xiàn)“刪除共享”按鈕。單擊“刪除共享”按鈕即可刪除指定的文件夾共享。刪除共享是刪除文件夾多次共享中的某個(gè)指定共享，如果想徹底不再共享某個(gè)文件夾，可選擇“不共享該文件夾”選項(xiàng)。3．隱藏共享文件夾WindowsServer2012操作系統(tǒng)為便于管理員執(zhí)行日常管理任務(wù)，在安裝操作系統(tǒng)的過程中自動(dòng)隱藏共享了某些文件夾。WindowsServer2012默認(rèn)的共享文件夾有：（1）C$：WindowsServer2012默認(rèn)共享每個(gè)分區(qū)的根目錄，共享名稱為驅(qū)動(dòng)器盤符加$符號(hào)。默認(rèn)情況下，只有Administrator組成員對(duì)該共享文件夾有完全控制的共享權(quán)限。（2）Admin$：WindowsServer2012默認(rèn)共享系統(tǒng)根目錄。默認(rèn)情況下，只有Administrator組成員對(duì)該共享文件夾有完全控制的共享權(quán)限。（3）IPC$：管理員可根據(jù)需要?jiǎng)?chuàng)建隱藏共享文件夾，在創(chuàng)建隱藏共享文件夾時(shí)只需將共享文件夾名稱后加上$符號(hào)，則該文件夾就自動(dòng)隱藏共享。注意：管理員可根據(jù)需要?jiǎng)?chuàng)建隱藏共享文件夾，在創(chuàng)建隱藏共享文件夾時(shí)只需將共享文件夾名稱后加上$符號(hào)，則該文件夾就自動(dòng)隱藏共享。4．連接到共享文件夾WindowsServer2012為方便用戶訪問網(wǎng)絡(luò)中的共享文件夾，提供了多種連接到共享文件夾的方式：（1）通過“網(wǎng)絡(luò)”連接到共享文件夾（2）通過“UNC”路徑連接到共享文件夾

UNC路徑的標(biāo)準(zhǔn)格式為：\\服務(wù)器名稱\共享名或者\(yùn)\服務(wù)器IP地址\共享名

（3）通過“網(wǎng)絡(luò)驅(qū)動(dòng)器映射”連接到共享文件夾網(wǎng)絡(luò)驅(qū)動(dòng)器映射可以將某個(gè)共享文件夾作為系統(tǒng)的一個(gè)驅(qū)動(dòng)器進(jìn)行管理和訪問，用戶可通過“計(jì)算機(jī)”或“資源管理器”方便地訪問共享文件夾。通過“網(wǎng)絡(luò)驅(qū)動(dòng)器映射”連接到共享文件夾5.監(jiān)測(cè)與管理共享文件夾在“計(jì)算機(jī)管理”窗口中打開“共享文件夾”選項(xiàng)，可以看到“共享”、“會(huì)話”和“打開文件”選項(xiàng)?！肮蚕怼边x項(xiàng)顯示出本機(jī)所有共享文件夾的列表，并且可確定當(dāng)前共享文件夾的并發(fā)連接數(shù)?！皶?huì)話”選項(xiàng)可查看目前正在訪問共享文件夾的用戶，以及用戶登錄的遠(yuǎn)程計(jì)算機(jī)的名稱?！按蜷_文件”選項(xiàng)可監(jiān)視用戶目前正在訪問的共享文件夾下的文件，以及訪問共享文件的用戶，用戶對(duì)文件所執(zhí)行的操作類型。管理員在“打開文件”窗口中右擊相應(yīng)的文件，再單擊“將打開的文件關(guān)閉”即可斷開用戶到文件的連接。3.7本章小結(jié)通過本章的學(xué)習(xí)內(nèi)容，學(xué)習(xí)了工作組網(wǎng)絡(luò)的定義與特點(diǎn)、工作組網(wǎng)絡(luò)的構(gòu)建流程，并按照工作組網(wǎng)絡(luò)的組建流程，學(xué)習(xí)了組建WindowsServer2012網(wǎng)絡(luò)的一些基本操作。包括：如何通過設(shè)備管理器管理WindowsServer2012上的硬件以保證構(gòu)建工作組網(wǎng)絡(luò)的硬件要求；學(xué)習(xí)如何安裝與配置網(wǎng)絡(luò)組件（網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)客戶端及網(wǎng)絡(luò)服務(wù)），并詳細(xì)介紹了TCP/IP協(xié)議內(nèi)容及配置步驟；學(xué)習(xí)了如何創(chuàng)建工作組并將多臺(tái)計(jì)算機(jī)加入到工作組；學(xué)習(xí)了如何創(chuàng)建與管理工作組網(wǎng)絡(luò)中的用戶和組賬戶；學(xué)習(xí)了如何配置與管理工作組網(wǎng)絡(luò)中的共享資源。通過這些內(nèi)容的學(xué)習(xí)，使用戶可以輕松地組建家庭或工作場(chǎng)所的小型網(wǎng)絡(luò)。第4章配置與管理WindowsServer2012域模式網(wǎng)絡(luò)

當(dāng)網(wǎng)絡(luò)中組網(wǎng)的計(jì)算機(jī)數(shù)量超過10臺(tái)，或者網(wǎng)絡(luò)規(guī)模在未來會(huì)進(jìn)行擴(kuò)展時(shí)，就需要將網(wǎng)絡(luò)中的計(jì)算機(jī)組成域模式網(wǎng)絡(luò)。本章主要內(nèi)容WindowsServer2012域模式網(wǎng)絡(luò)的基本概念A(yù)ctiveDirectory的基本概念與特性域的創(chuàng)建與管理、域用戶賬戶及域組的創(chuàng)建與管理運(yùn)用組策略管理WindowsServer2012域網(wǎng)絡(luò)中的服務(wù)器和客戶端計(jì)算機(jī)4.1WindowsServer2012域模式網(wǎng)絡(luò)概述

域是計(jì)算機(jī)和用戶的邏輯組合，是相對(duì)獨(dú)立的管理單元。在WindowsServer2012域模式網(wǎng)絡(luò)中，網(wǎng)絡(luò)中的計(jì)算機(jī)的地位是不平等的，在每一個(gè)WindowsServer2012域中都至少有一臺(tái)（或多臺(tái)）域控制器（DomainController，DC）充當(dāng)網(wǎng)絡(luò)的管理者，維護(hù)屬于本域的ActiveDirectory對(duì)象，管理網(wǎng)絡(luò)中的資源和進(jìn)行用戶登錄的身份驗(yàn)證。在典型WindowsServer2012域模式網(wǎng)絡(luò)中，有下列類型的計(jì)算機(jī)：運(yùn)行WindowsServer2012的域控制器：每個(gè)域控制器都存諸和維護(hù)一個(gè)目錄的副本。運(yùn)行WindowsServer2012的成員服務(wù)器：成員服務(wù)器是沒有配置成域控制器的服務(wù)器。成員服務(wù)器不存儲(chǔ)目錄信息，并且不能驗(yàn)證用戶的身份。成員服務(wù)器提供諸如共享文件夾或打印機(jī)的共享資源。運(yùn)行WindowsServer2012或其他操作系統(tǒng)的客戶機(jī)：客戶機(jī)運(yùn)行用戶桌面環(huán)境，并且允許用戶訪問域中的資源。4.2ActiveDirectory的概念目錄服務(wù)是由兩部分組成的：目錄和服務(wù)。目錄服務(wù)就是一種幫助人們查找目錄的服務(wù)，它可以使得我們節(jié)約大量的用于查找目錄的時(shí)間，并且可以進(jìn)行更加有效和準(zhǔn)確的查詢。計(jì)算機(jī)網(wǎng)絡(luò)中的目錄條目是各種各樣的資源（如用戶、計(jì)算機(jī)、文件、文件夾等），當(dāng)用戶或應(yīng)用程序需要訪問某種資源的時(shí)候，目錄服務(wù)便提供查詢服務(wù)。WindowsServer2012的目錄服務(wù)——ActiveDirectory（活動(dòng)目錄）中可以包含數(shù)以百萬計(jì)的對(duì)象，并且對(duì)其進(jìn)行有效的查詢，這足以滿足任何規(guī)模網(wǎng)絡(luò)的需求。目錄服務(wù)的規(guī)劃

在AD中所有的對(duì)象被組織在一個(gè)樹狀的層疊結(jié)構(gòu)當(dāng)中，這個(gè)樹狀結(jié)構(gòu)包括有組織單元（OU，OrganizationUnit）、域（Domain）、域樹（DomainTree）和域森林（DomainForest）。1. 對(duì)象對(duì)象是代表網(wǎng)絡(luò)資源的明確命名的一組屬性的集合。對(duì)象屬性（Attribute）是目錄中對(duì)象的特征。2.組織單元

組織單元是在域內(nèi)進(jìn)行層次化劃分的最小單位。經(jīng)理部(OU)市場(chǎng)部(OU)零售部(OU)財(cái)務(wù)部(OU)批發(fā)部(OU)DOMAINWindowsServer2012中域和組織單元

3.域

域構(gòu)成了AD樹狀結(jié)構(gòu)的主干，是域中最基本也是最重要的部分。AD可以看作是由一個(gè)或多個(gè)域組成的集合體。當(dāng)AD是由一個(gè)域組成的時(shí)候，AD和域的規(guī)模是一樣的；當(dāng)AD是由多個(gè)域組成的時(shí)候，每個(gè)域都包含AD的一部分內(nèi)容（即屬于本域的AD對(duì)象），最終形成整個(gè)AD。4.域樹

域樹是由多個(gè)域組成的,域之間是通過信任關(guān)系，以層次化的方式組織起來。ZOO.COMCAT.ZOO.COMDOG.ZOO.COMWHITECAT.CAT.ZOO.COMBLACKCAT.CAT.ZOO.COMBIGDOG.DOG.ZOO.COM5.域森林

當(dāng)需要將多個(gè)域樹組織在一起形成AD時(shí)就需要域森林。域森林是通過信任關(guān)系將多個(gè)域樹的根結(jié)合在一起而形成的集合體。ZOO.COMDOG.ZOO.COMFOOD.COMHAM.FOOD.COM6.信任關(guān)系

樹中的域通過雙向的Kerberos傳遞信任關(guān)系以透明的方式連接在一起。信任關(guān)系是至少兩個(gè)域間的一個(gè)鏈接，信任域承認(rèn)受信域的登錄身份驗(yàn)證。在受信域中定義的用戶賬戶和組能在信任域中授予權(quán)力和資源權(quán)限，即使那些賬戶在信任域的目錄數(shù)據(jù)庫(kù)中不存在。

4.3ActiveDirectory的特點(diǎn)目錄或架構(gòu)的可擴(kuò)展性

可調(diào)整性易用性

信息安全性基于策略的管理信息復(fù)制與DNS的集成與其他目錄的互操作4.4創(chuàng)建WindowsServer2012域創(chuàng)建WindowsServer2012域，首先需要在一臺(tái)裝有WindowsServer2012的計(jì)算機(jī)上安裝ActiveDirectory，安裝了ActiveDirectory的計(jì)算機(jī)即成為所建域中的域控制器，管理整個(gè)域中的資源。具體安裝步驟如下：(1)啟動(dòng)WindowsServer2012系統(tǒng)，以Administrator權(quán)限登錄。(2)服務(wù)器管理器的儀表板→單擊添加角色和功能→添加角色和功能向?qū)?3)在開始之前頁(yè)面單擊下一步→選擇基于角色或基于功能的安裝(4)單擊下一步進(jìn)入服務(wù)器選擇→選擇服務(wù)器池中選擇服務(wù)器→選擇要安裝角色和功能的服務(wù)器(5)進(jìn)入選擇服務(wù)器角色→選擇ActiveDirectory域服務(wù)→選擇添加功能→單擊下一步

(6)進(jìn)入選擇功能→選擇安裝.NETFramework4.5功能→單擊下一步→在ADDS中點(diǎn)擊下一步→在“確認(rèn)”中單擊安裝→安裝成功單擊關(guān)閉按鈕(7)運(yùn)行ActiveDirectory域服務(wù)安裝向?qū)?。ActiveDirectory域服務(wù)配置向?qū)?/p>

(8)域控制器選項(xiàng)進(jìn)入DNS選項(xiàng)，再點(diǎn)擊下一步進(jìn)入其他選項(xiàng)，確認(rèn)NetBIOS域名為POET，或者在必要時(shí)更改該名稱，然后單擊下一步。（9）選擇數(shù)據(jù)庫(kù)文件夾、日志文件文件夾和SYSVOL文件夾位置數(shù)據(jù)庫(kù)文件夾：用來存儲(chǔ)ActiveDirectory數(shù)據(jù)庫(kù)日志文件文件夾：用來存儲(chǔ)ActiveDirectory的更改日志，此日志文件可用來修復(fù)ActiveDirectory。SYSVOL文件夾：用來存儲(chǔ)共享文件，必須位于NTFS文件系統(tǒng)的磁盤內(nèi)。(10)單擊“下一步”查看已設(shè)置的選項(xiàng)，再單擊“下一步”進(jìn)行先決條件檢查，當(dāng)所有先決條件檢查都成功通過，單擊“安裝”開始安裝。完成后提示需要重新啟動(dòng)系統(tǒng)。至此，完成了ActiveDirectory的安裝過程，同時(shí)也完成了創(chuàng)建新域的操作。4.5將計(jì)算機(jī)加入WindowsServer2012域方法一：在安裝WindowsServer2012時(shí)，有一步是選擇計(jì)算機(jī)的安裝角色，可以選擇作為工作組或域的一部分?？梢院?jiǎn)單地成為一個(gè)工作組的一員，也可以將它配置成域控制器作為域成員的普通WindowsServer2012計(jì)算機(jī)。如果選擇加入域，那么必須輸入域管理員的賬號(hào)和密碼。這樣可以防止非域管理員非法將WindowsServer2012計(jì)算機(jī)加入到域中。(2)在加入域之前，首先檢查客戶機(jī)的網(wǎng)絡(luò)配置，確保網(wǎng)絡(luò)物理上連通，配置IP地址及首選DNS服務(wù)器。首選DNS服務(wù)器通常配置為第一臺(tái)DC的IP。(3)在桌面上右擊“計(jì)算機(jī)”，選擇“屬性”，在“計(jì)算機(jī)名稱、域和工作組設(shè)置”單擊“更改設(shè)置”打開“系統(tǒng)屬性”，在“計(jì)算機(jī)名”選項(xiàng)卡中單擊“更改”打開“計(jì)算機(jī)名/域更改”對(duì)話框，在“隸屬于”的“域”中輸入“NetBIOS域名”后單擊“確認(rèn)”按鈕。在彈出的對(duì)話框中輸入該域的管理員賬戶與密碼，然后單擊“確認(rèn)”，出現(xiàn)成功加入域提示，單擊“確定”，根據(jù)提示重啟計(jì)算機(jī)。

4．6更改WindowsServer2012域中服務(wù)器角色4.6.1降級(jí)域控制器為普通的成員服務(wù)器打開刪除角色和功能向?qū)?，單擊“將此域控制器降?jí)”（1）在“ActiveDirectory域服務(wù)配置向?qū)А贝翱谥校瑘?zhí)行刪除域控制器憑據(jù)

刪除域控制器警告刪除角色和功能向?qū)е械膭h除選項(xiàng)(2)在新管理員密碼的對(duì)話框中輸入管理員密碼并單擊下一步。(3)進(jìn)入查看選項(xiàng)，單擊降級(jí)。等待降級(jí)過程完成以及計(jì)算機(jī)重啟。

4.6.2啟用或禁用全局編錄服務(wù)器全局編錄服務(wù)器全局編錄在森林中最初的一臺(tái)域控制器上自動(dòng)創(chuàng)建。可以為任何一臺(tái)域控制器添加全局編錄功能。全局編錄服務(wù)器存儲(chǔ)了它所在域的所有目錄對(duì)象的完整副本，以及森林中其它域中所有目錄對(duì)象的部分副本，全局編錄實(shí)現(xiàn)了兩個(gè)關(guān)鍵的功能：通過給域控制器提供通用的組隸屬關(guān)系信息，來提供對(duì)任意域的網(wǎng)絡(luò)登錄。提供搜索目錄信息的能力，不管目錄林中哪個(gè)域包含數(shù)據(jù)。全局編錄擔(dān)當(dāng)了以下目錄角色：（1）查找對(duì)象（2）提供了根據(jù)用戶主名的身份驗(yàn)證（3）在多域環(huán)境下提供通用組的成員身份信息如果在用戶登錄到運(yùn)行在Windows8本機(jī)或者更高級(jí)別的域的時(shí)候，某個(gè)全局編錄不可用并且用戶先前曾經(jīng)登錄到該域，計(jì)算機(jī)將使用緩存下來的憑據(jù)讓用戶登錄。如果用戶以前沒有在該域登錄過，用戶將僅僅能夠登錄到本地計(jì)算機(jī)。說明：即便全局編錄不可用，“DomainAdministrators”（域管理員）組的成員也可以登錄到網(wǎng)絡(luò)中。使用“ActiveDirectory站點(diǎn)和服務(wù)”工具來啟用或禁用域控制器的全局編錄服務(wù)：（1）以Administrator身份登錄。（2）選擇“服務(wù)器管理器”→“工具”→“ActiveDirectory站點(diǎn)和服務(wù)”，出現(xiàn)“ActiveDirectory站點(diǎn)和服務(wù)”窗口。（3）單擊“Sites”展開文件夾，可以看到站點(diǎn)名。（4）右擊需要啟用或禁用的全局編錄服務(wù)器的NTDSSettings，選中“屬性”，出現(xiàn)“NTDSSettings屬性”對(duì)話框。ActiveDirectory站點(diǎn)和服務(wù)NTDSSettings屬性（5）“常規(guī)”選項(xiàng)卡中有一個(gè)“全局編錄”復(fù)選框。修改之后，單擊“確定”按鈕。選中該復(fù)選框，全局編錄將被保存在這臺(tái)服務(wù)器上。反之，全局編錄就會(huì)從該服務(wù)器中被刪除。4.6.3更改域名和計(jì)算機(jī)名網(wǎng)絡(luò)上的域名必須是惟一的。此外，在一個(gè)特定的域上，計(jì)算機(jī)名也應(yīng)該是惟一的。一般情況下，在選擇了域名后，通常就無需更改域名了，除非它與網(wǎng)絡(luò)上以前所選擇的域名沖突，當(dāng)網(wǎng)絡(luò)上發(fā)生域名沖突的現(xiàn)象時(shí)，就必須在域控制器上更改域名，而且還要更改域中所有其他域控制器的域名。

在目前的WindowsServer2012版本中，更改域名并不是件容易的事情。更改域中的計(jì)算機(jī)名相對(duì)要容易多了，可按照以下步驟完成：“計(jì)算機(jī)名/域更改”警告的對(duì)話框，提示對(duì)域控制器重命名的后果。計(jì)算機(jī)名稱更改

注意：不能直接修改域控制器的計(jì)算機(jī)名，如果此計(jì)算機(jī)是域控制器，那么“隸屬于”框會(huì)變灰。只有先撤銷計(jì)算機(jī)的域控制器身份，使其成為域中普通的成員服務(wù)器，然后才能更改計(jì)算機(jī)名。

4.7管理WindowsServer2012域用戶賬戶域用戶賬號(hào)（DomainUserAccount）域用戶賬號(hào)可讓用戶登錄到域并獲得對(duì)網(wǎng)絡(luò)上其他地方資源的訪問。域用戶賬號(hào)是在域控制器上建立的，作為AD的一個(gè)對(duì)象保存在域的AD數(shù)據(jù)庫(kù)中。用戶在從域中的任何一臺(tái)計(jì)算機(jī)登錄到域中的時(shí)候必須提供一個(gè)合法的域用戶賬號(hào)，該賬號(hào)將被域的域控制器所驗(yàn)證。當(dāng)在一個(gè)域控制器上新建一個(gè)用戶賬號(hào)后，該用戶賬號(hào)被復(fù)制到域中所有其他計(jì)算機(jī)上，復(fù)制過程完成后，域樹中的所有域控制器就都可以在登錄過程中對(duì)用戶進(jìn)行身份驗(yàn)證。1.創(chuàng)建域用戶賬戶“服務(wù)器管理器”——“ActiveDirectory用戶和計(jì)算機(jī)”

新建對(duì)象——用戶輸入密碼單擊“下一步”按鈕，在接著的對(duì)話框中單擊“完成”按鈕，結(jié)束添加域用戶賬戶的操作。2.設(shè)置用戶賬戶屬性創(chuàng)建的每一個(gè)用戶對(duì)象都有一套默認(rèn)屬性。創(chuàng)建了用戶賬戶后，可以設(shè)置個(gè)人屬性和賬戶屬性、登錄選項(xiàng)和撥號(hào)設(shè)置?？墒褂脼橛蛴脩糍~戶定義的屬性在目錄中搜索用戶，或用于其他應(yīng)用程序。因此，創(chuàng)建每一個(gè)域用戶賬戶時(shí)都應(yīng)當(dāng)提供詳細(xì)的定義信息。屬性對(duì)話框中的選項(xiàng)卡包含有關(guān)每個(gè)用戶賬戶的信息。用戶對(duì)象的默認(rèn)屬性對(duì)話框中每個(gè)選項(xiàng)卡的主要內(nèi)容和作用如下表所示。選項(xiàng)卡作用常規(guī)記錄用戶的姓、名、顯示名、說明、辦公地點(diǎn)、電話號(hào)碼、電子郵件地址、主頁(yè)及附加Web頁(yè)面地址記錄用戶的街道地址、郵政信箱、城市、州或省、郵政編碼、國(guó)家或地區(qū)賬戶記錄用戶的賬戶屬性，包括：用戶登錄名、登錄時(shí)間、允許登錄的計(jì)算機(jī)、賬戶選項(xiàng)和賬戶有效期組織記錄用戶的頭銜、部門、公司、管理人和直接領(lǐng)導(dǎo)電話記錄用戶的家庭電話、傳呼、手機(jī)、傳真、IP電話號(hào)碼，并包含填寫備注的空間配置文件設(shè)置配置文件路徑、登錄腳本路徑、主文件夾和共享文檔文件夾隸屬于記錄用戶所屬的組撥入記錄用戶的撥號(hào)屬性環(huán)境記錄用戶登錄系統(tǒng)時(shí)運(yùn)行的應(yīng)用程序和啟用的設(shè)備會(huì)話設(shè)置遠(yuǎn)程桌面服務(wù)超時(shí)和重新連接設(shè)置遠(yuǎn)程控制配置遠(yuǎn)程桌面服務(wù)遠(yuǎn)程控制設(shè)置遠(yuǎn)程桌面服務(wù)配置文件配置遠(yuǎn)程桌面服務(wù)用戶配置文件，其設(shè)置適用于遠(yuǎn)程桌面服務(wù)。COM+選擇用戶所屬的COM+分區(qū)集（1）設(shè)置個(gè)人屬性用戶對(duì)象屬性對(duì)話框中有4個(gè)選項(xiàng)卡包含有關(guān)用戶賬戶的個(gè)人信息。這些選項(xiàng)卡是“常規(guī)”、“地址”、“電話”和“組織”。這些選項(xiàng)卡中的屬性與用戶對(duì)象或ActiveDirectory的操作沒有直接關(guān)系；只提供用戶的背景信息。在這些選項(xiàng)卡中輸入信息可讓您通過使用已掌握的用戶信息輕松查找所需域用戶賬戶。（2）設(shè)置賬號(hào)屬性更改登錄名設(shè)置一個(gè)過期時(shí)間，默認(rèn)情況下，賬戶是永久有效的，除非被刪除。（3）設(shè)置登錄時(shí)間

（4）設(shè)置用戶可登錄的計(jì)算機(jī)

3.維護(hù)用戶賬戶（1）禁用、啟用、重命名和刪除用戶賬號(hào)

（2）重設(shè)密碼和解除用戶賬戶鎖定只有擁有對(duì)用戶賬戶所在對(duì)象管理權(quán)限的人才能執(zhí)行這樣的任務(wù)。1）重設(shè)密碼管理員或用戶設(shè)置了用戶賬戶密碼后，密碼對(duì)任何人都不可見，包括管理員。但在某些特殊情況下需要重置密碼時(shí)，擁有管理員權(quán)限的用戶就可以重設(shè)密碼，無需知道當(dāng)前密碼或過期密碼。2）解除用戶賬戶鎖定許多網(wǎng)絡(luò)使用WindowsServer2012組策略強(qiáng)制實(shí)施密碼限制，如限制所許可的用戶賬戶失敗登錄嘗試次數(shù)。當(dāng)用戶（授權(quán)或非授權(quán)）輸入用戶賬戶錯(cuò)誤次數(shù)過多，WindowsServer2012將鎖定賬戶，防止再次進(jìn)行嘗試。策略配置有在規(guī)定時(shí)間內(nèi)鎖定賬戶，或永久鎖定，直到管理員解除鎖定。4.7.2創(chuàng)建用戶配置文件用戶配置文件定義了用戶使用WindowsServer2012的工作環(huán)境。1.用戶配置文件的類型

本地用戶配置文件：如果某個(gè)用戶配置文件僅限于本機(jī)使用，則稱為本地用戶配置文件。漫游用戶配置文件：漫游用戶配置文件是保存在網(wǎng)絡(luò)服務(wù)器上的用戶配置文件。強(qiáng)制用戶配置文件：強(qiáng)制用戶配置文件也屬于漫游用戶配置文件，不過它具有只讀屬性，其內(nèi)容由系統(tǒng)管理員事先設(shè)置，用戶無法更改，每次登錄時(shí)都要使用固定的工作配置。2.使用本地配置文件

在運(yùn)行WindowsServer2012的計(jì)算機(jī)上使用本地用戶配置文件對(duì)于普通用戶是完全不可見的。操作系統(tǒng)自動(dòng)為首次登錄的每位用戶創(chuàng)建用戶配置文件。當(dāng)該用戶再次登錄時(shí)，WindowsServer2012從正確的配置文件中加載設(shè)置。用戶只需更改桌面設(shè)置就可更改他們的本地用戶配置文件。WindowsServer2012會(huì)在用戶下一次注銷時(shí)將更改合并入存儲(chǔ)在計(jì)算機(jī)上的用戶配置文件。因此，用戶登錄到運(yùn)行WindowsServer2012的計(jì)算機(jī)上時(shí)，將始終接收到與他們前一次會(huì)話結(jié)束時(shí)相同的桌面設(shè)置。當(dāng)多個(gè)用戶共享一臺(tái)計(jì)算機(jī)時(shí)，每個(gè)用戶都將維護(hù)和接收到一個(gè)單獨(dú)的配置文件。3.使用漫游配置文件

（1）在需要存儲(chǔ)配置文件的服務(wù)器上，創(chuàng)建一個(gè)文件夾并共享它，給用戶提供他們所需的讀寫權(quán)限。（2）打開“ActiveDirectory用戶和計(jì)算機(jī)”窗口，找到zhangwei用戶對(duì)象，右擊，從彈出的菜單上選擇“屬性”打開其屬性對(duì)話框，單擊“配置文件”選項(xiàng)卡。（3）在配置文件選項(xiàng)卡中輸入配置文件放置的路徑。配置文件放置的路徑的形式為“\\Server_name\Shared_folder_name\%User_name%”，其中%User_name%為一個(gè)變量，系統(tǒng)會(huì)按照用戶的登錄名自動(dòng)創(chuàng)建該文件夾。（4）當(dāng)該用戶在網(wǎng)絡(luò)中登錄的時(shí)候，系統(tǒng)會(huì)自動(dòng)在服務(wù)器（server1）上保存漫游用戶配置文件的共享文件夾（profiles）中，創(chuàng)建一個(gè)與用戶登錄名同名的文件夾來保存用戶配置文件，并且以后用戶對(duì)工作環(huán)境所做的一切修改都將被保存到該文件夾中。4.使用強(qiáng)制性漫游用戶配置文件

為了將漫游用戶文件改成強(qiáng)制性的，只須在保存漫游用戶配置文件的共享文件夾下將ntuser.dat文件更名為ntuser.man即可。Ntuser.dat文件包括應(yīng)用于個(gè)人用戶賬號(hào)的windowsserver2012系統(tǒng)注冊(cè)表設(shè)置和用戶環(huán)境設(shè)置（桌面顯示）。用.man擴(kuò)展名命名后，該文件成為只讀文件，這樣可以防止WindowsServer2012在用戶注銷時(shí)將更改寫入配置文件。

4.8管理WindowsServer2012域模式中的組4.8.1域模式組類型1.通訊組可以使用通訊組創(chuàng)建電子郵件通訊組列表，只有在電子郵件應(yīng)用程序（如

Exchange）中，才能使用通訊組將電子郵件發(fā)送給一組用戶。2.安全組

使用安全組給共享資源指派權(quán)限?？梢裕簩⒂脩魴?quán)限分配到ActiveDirectory中的安全組給安全組指派對(duì)資源的權(quán)限

用戶權(quán)利與用戶權(quán)限的區(qū)別：

權(quán)限（permission）控制用戶對(duì)資源（如文件、文件夾或打印機(jī)）所做的操作。當(dāng)分配權(quán)限時(shí)，就給了用戶訪問資源的權(quán)利并定義了他們的訪問類型。權(quán)利（right）是指可以讓用戶執(zhí)行的系統(tǒng)任務(wù)，如更改計(jì)算機(jī)上的時(shí)間、備份、恢復(fù)文件或本地登錄等。

3.安全組和通訊組之間的轉(zhuǎn)換組都可以從安全組轉(zhuǎn)換為通訊組，反之亦然。

4.8.2域模式中組的作用域作用域用來確定在域樹或林中該組的應(yīng)用范圍。有三類不同的組作用域：全局組作用域、本地域組作用域和通用組作用域。全局組（Globalgroup）全局組的成員是對(duì)網(wǎng)絡(luò)具有相同訪問權(quán)限的用戶；全局組的作用范圍是整個(gè)域樹

可以加到本域或其它域的本地域組、通用組中；可以加到本域的全局組中（僅限在本機(jī)模式中有效）。域本地組（Domainlocalgroup）混合模式下，可包括域任何域的用戶賬號(hào)和全局組；本機(jī)模式下，還包括通用組?；旌夏Ｊ较拢荒芗拥狡渌魏谓M中。本機(jī)模式下，可以加入到本域的域本地組中。本機(jī)模式是指域中的所有域控制器都是基于Windows8或WindowsServer2012時(shí)，該模式支持所有的組類型?；旌夏Ｊ绞侵赣蛑械挠蚩刂破靼荳indows8和WindowsServer2012的計(jì)算機(jī)。在該模式下不可創(chuàng)建通用組通用組（Universalgroup）在混合模式下不可用，只在本機(jī)模式下可用；為多個(gè)域中的相關(guān)資源授權(quán)；開放的成員關(guān)系：可以包含所有的用戶和組（不含本地組）；可加入任何域中的域本地組或通用組。4.8.3規(guī)劃全局組和域本地組1.何時(shí)使用具有本地域作用域的組具有本地域作用域的組可幫助定義和管理對(duì)單個(gè)域內(nèi)資源的訪問。本地域組的成員可以是：具有全局作用域的組、具有通用作用域的組、具有本地域作用域的其他組的賬號(hào)、上述任何組或帳號(hào)的混合體。2.何時(shí)使用具有全局作用域的組使用具有全局作用域的組管理那些需要每天維護(hù)的目錄對(duì)象，如用戶和計(jì)算機(jī)帳號(hào)。因?yàn)橛腥肿饔糜虻慕M不在自身的域之外復(fù)制，所以具有全局作用域的組中的帳號(hào)可以頻繁更改，而不需要對(duì)全局編錄進(jìn)行復(fù)制以免增加額外通信量。3.何時(shí)使用具有通用作用域的組使用具有通用作用域的組來合并跨越不同域的組。為此，請(qǐng)將帳號(hào)添加到具有全局作用域的組并且將這些組嵌套在具有通用作用域的組內(nèi)。使用該策略，對(duì)具有全局作用域的組中的任何成員身份的更改都不影響具有通用作用域的組。4.8.4更改組作用域創(chuàng)建新組時(shí)，在默認(rèn)情況下，新組配置為具有全局作用域的安全組，而與當(dāng)前域功能級(jí)別無關(guān)。全局到通用：只有當(dāng)要更改的組不是另一個(gè)全局作用域組的成員時(shí)，允許進(jìn)行該轉(zhuǎn)換。本地域到通用：只有當(dāng)要更改的組沒有另一個(gè)本地域組作為其成員時(shí)，允許進(jìn)行該轉(zhuǎn)換。通用到全局：只有當(dāng)要更改的組沒有另一個(gè)通用組作為其成員時(shí)，允許進(jìn)行該轉(zhuǎn)換。通用到本地域：該操作沒有限制。

4.8.5創(chuàng)建域模式中的組

用Administrators組或AccountOperators組的成員身份登錄。“服務(wù)器管理器”→“ActiveDirectory用戶和計(jì)算機(jī)”，打開“ActiveDirectory用戶和計(jì)算機(jī)”窗口新建對(duì)象——組右擊Users圖標(biāo)，在彈出的菜單中選擇“新建”

→“組”

單擊“確定”按鈕4.8.6管理組（1）在“ActiveDirectory用戶和計(jì)算機(jī)”窗口中右擊需要添加成員的組，在彈出的菜單中選擇“屬性”，打開屬性對(duì)話框，單擊“成員”選項(xiàng)卡。（2）在“成員”選項(xiàng)卡中單擊“添加”按鈕，打開“選擇用戶、聯(lián)系人、計(jì)算機(jī)服務(wù)賬戶或組”對(duì)話框。在“輸入對(duì)象名稱來選擇”框中輸入要加入該組的用戶名稱，也可以通過點(diǎn)擊“高級(jí)”按鈕，打開高級(jí)選項(xiàng)對(duì)話框，選擇要添加的用戶。（3）單擊“確定”，即可完成向組中添加成員。2．刪除組在ActiveDirectory服務(wù)中創(chuàng)建的每個(gè)組對(duì)象都有一個(gè)惟一的、不可重復(fù)使用的標(biāo)識(shí)符，稱為securityidentifier（SID，安全標(biāo)識(shí)符）。WindowsServer2012使用SID來標(biāo)識(shí)分配給它的組和權(quán)限。當(dāng)刪除一個(gè)組時(shí)，WindowsServer2012將不再為該組使用相同的SID，即便創(chuàng)建一個(gè)與所刪除組名稱相同的新組。因此，不能通過重新創(chuàng)建組對(duì)象來恢復(fù)對(duì)資源的訪問。當(dāng)刪除一個(gè)組時(shí)，只刪除了該組和與該組相關(guān)的權(quán)限。刪除一個(gè)組并不刪除作為組成員的對(duì)象。

4.8.7“以管理員身份”運(yùn)行程序?yàn)楂@得最優(yōu)安全性，不要將網(wǎng)絡(luò)管理員每天訪問使用的用戶對(duì)象添加為Administrators組成員。若要運(yùn)行需要以Administrator身份登錄的程序，可以使用“以管理員身份運(yùn)行”程序。

找到需要用管理員身份打開的程序或其快捷方式、MMC控制臺(tái)或控制面板工具。通過右鍵點(diǎn)擊程序選擇“以管理員身份運(yùn)行”即可實(shí)現(xiàn)。4.8.8默認(rèn)組默認(rèn)組是當(dāng)創(chuàng)建ActiveDirectory域時(shí)自動(dòng)創(chuàng)建的安全組。可以使用這些預(yù)定義的組來幫助控制對(duì)共享資源的訪問，并委派特定的域范圍的管理角色。

許多默認(rèn)組被自動(dòng)指派一組用戶權(quán)利，授權(quán)組中的成員執(zhí)行域中的特定操作。例如，BackupOperators組的成員有權(quán)對(duì)域中的所有域控制器執(zhí)行備份操作。默認(rèn)組位于Builtin容器和Users容器中。Builtin容器包含用本地域作用域定義的組。Users容器包含通過全局作用域定義的組和通過本地域作用域定義的組。4.9用組策略管理WindowsServer2012域中的

服務(wù)器和客戶端計(jì)算機(jī)

組策略提供進(jìn)一步控制和集中管理用戶桌面環(huán)境的功能。

用戶不需要設(shè)置組策略，而是由組策略管理員配置和管理。4.9.1組策略簡(jiǎn)介組策略是一組配置設(shè)置，組策略管理員應(yīng)用于活動(dòng)目錄存儲(chǔ)中的一個(gè)或多個(gè)對(duì)象。組策略管理員利用組策略控制域中用戶的工作環(huán)境。組策略也可以控制在指定OU位置上的用戶的工作環(huán)境。組策略還授予用戶和組權(quán)力。1.組策略優(yōu)點(diǎn)

（1）保護(hù)用戶環(huán)境（2）增強(qiáng)用戶環(huán)境

自動(dòng)安裝應(yīng)用程序到用戶的“開始”菜單。啟動(dòng)應(yīng)用程序分發(fā)，方便用戶在網(wǎng)絡(luò)上找到并安裝相應(yīng)應(yīng)用程序。安裝文件或快捷方式到網(wǎng)絡(luò)上相應(yīng)位置或用戶計(jì)算機(jī)上的特定文件夾。當(dāng)用戶登錄或注銷、計(jì)算機(jī)啟動(dòng)或關(guān)閉時(shí)自動(dòng)執(zhí)行任務(wù)或應(yīng)用程序。重定向文件夾到網(wǎng)絡(luò)位置增強(qiáng)數(shù)據(jù)可靠性。2.組策略類型

軟件設(shè)置：影響用戶可以訪問的應(yīng)用程序。應(yīng)用程序自動(dòng)安裝的策略有兩種方法實(shí)現(xiàn)：指派應(yīng)用程序，組策略直接在用戶計(jì)算機(jī)上安裝或升級(jí)應(yīng)用程序，或?yàn)橛脩籼峁?yīng)用程序的連接，指派的應(yīng)用程序用戶無法刪除；發(fā)布應(yīng)用程序，組策略管理員通過活動(dòng)目錄服務(wù)發(fā)布應(yīng)用程序。應(yīng)用程序出現(xiàn)在用戶的控制面板的“添加/刪除程序”的安裝組件列表中。用戶可以卸載這些應(yīng)用程序。腳本：組策略管理員可以設(shè)定腳本和批處理文件在指定時(shí)間運(yùn)行。腳本可以自動(dòng)執(zhí)行重復(fù)性任務(wù)。安全設(shè)置：組策略管理員可以限制用戶訪問文件和文件夾。管理模板：包括基于注冊(cè)表的組策略，可以利用它來強(qiáng)制注冊(cè)表設(shè)置，控制桌面的外觀和狀態(tài)，包括操作系統(tǒng)組件和應(yīng)用程序。

遠(yuǎn)程安裝服務(wù)（RIS）：當(dāng)運(yùn)行用戶安裝向?qū)r(shí)，控制顯示給用戶的RIS安裝選項(xiàng)。

文件夾重定向：可以重定向WindowsServer2003指定的文件夾從用戶配置文件缺省位置到另一個(gè)網(wǎng)絡(luò)位置，從而對(duì)這些件夾集中管理

。

4.9.2組策略結(jié)構(gòu)組策略是應(yīng)用到活動(dòng)目錄存儲(chǔ)中的一個(gè)或多個(gè)對(duì)象的配置設(shè)置的集合。這些設(shè)置包含在組策略對(duì)象（GPO）中。組策略對(duì)象在兩個(gè)位置存儲(chǔ)組策略的信息：容器和模板。1.組策略對(duì)象（GPO）GPO中包含作用于站點(diǎn)、域和OU的組策略設(shè)置。

一個(gè)或多個(gè)GPO可以應(yīng)用于站點(diǎn)、域或OU。存儲(chǔ)在GPC中的組策略數(shù)據(jù)很少并且不經(jīng)常改變，而存儲(chǔ)在GFT中的組策略數(shù)據(jù)很多并經(jīng)常改變。2.組策略容器

組策略容器（GPC）是存儲(chǔ)GPO屬性并包含計(jì)算機(jī)和用戶組策略信息子容器的活動(dòng)目錄對(duì)象。GPC中包含信息的版本來確保GPC中的信息同GPT中的信息同步。GPC還包含用于識(shí)別GPO是否啟動(dòng)的狀態(tài)信息。GPC存儲(chǔ)用于配置應(yīng)用程序的WindowsServer2012類存儲(chǔ)信息。類存儲(chǔ)是一個(gè)作用于應(yīng)用程序、接口和API的基于服務(wù)器的存儲(chǔ)庫(kù)，提供應(yīng)用程序指派和發(fā)布功能。

3.組策略模板

組策略模板（GPT）是包含在域控制器的%systemroot%\SYSVOL\sysvol\<domain_name>\Policies文件夾下的文件夾結(jié)構(gòu)。

GPT是存儲(chǔ)管理模板、安全設(shè)置、腳本文件和軟件設(shè)置的組策略設(shè)置信息的容器。4.9.3應(yīng)用組策略創(chuàng)建GPO

“服務(wù)器管理器”中單擊“工具”，選擇“組策略管”，顯示“組策略管理”窗口。2.使用組策略管理器

組策略編輯器包括計(jì)算機(jī)配置節(jié)點(diǎn)和用戶配置節(jié)點(diǎn)，每個(gè)節(jié)點(diǎn)下包括：軟件配置、Windows設(shè)置和管理模板。

計(jì)算機(jī)配置：計(jì)算機(jī)配置包括所有與計(jì)算機(jī)相關(guān)的策略設(shè)置，它們用來指定操作系統(tǒng)行為、桌面行為、安全設(shè)置、計(jì)算機(jī)開機(jī)與關(guān)機(jī)腳本、指定的計(jì)算機(jī)應(yīng)用選項(xiàng)以及應(yīng)用設(shè)置。用戶配置：用戶配置包括所有與用戶相關(guān)的策略設(shè)置，它們用來指定操作系統(tǒng)行為、桌面設(shè)置、安全設(shè)置、指定和發(fā)布的應(yīng)用選項(xiàng)、應(yīng)用設(shè)置、文件夾重定向選項(xiàng)、用戶登錄與注銷腳本等。3.GPO權(quán)限

安全組缺省設(shè)置AuthenticatedUsers讀和應(yīng)用組策略

CreatorOwner為GPO中的子對(duì)象和屬性分配SpecialObject和Attribute權(quán)限

DomainAdmins讀、寫、創(chuàng)建所有子對(duì)象、刪除所有子對(duì)象

EnterpriseAdmin讀、寫、創(chuàng)建所有子對(duì)象、刪除所有子對(duì)象

System讀、寫、創(chuàng)建所有子對(duì)象、刪除所有子對(duì)象

創(chuàng)建一個(gè)GPO，一組安全組會(huì)添加到這個(gè)對(duì)象并且每個(gè)安全組被配置一組屬性。

修改GPO權(quán)限

打開包含相應(yīng)的GPO的站點(diǎn)、域或OU的屬性對(duì)話框，選擇“組策略”，右擊“新建組策略對(duì)象”，選擇“屬性”，并選擇“安全”選項(xiàng)卡。組策略的繼承性通常情況下，組策略從父容器向子容器向下繼承。如果在高層的父容器上設(shè)定組策略，這個(gè)組策略將作用于父容器下面的所有子容器，包括每一個(gè)容器中的用戶和計(jì)算機(jī)對(duì)象。但是，如果明確在子容器指定組策略設(shè)置，子容器的組策略設(shè)置覆蓋父容器的組策略設(shè)置。

4.9.4管理組策略的方法1.管理軟件設(shè)置

使用組策略可以集中管理軟件分發(fā)?？梢詾橐唤M用戶或計(jì)算機(jī)安裝、指派、發(fā)布、升級(jí)、修復(fù)和卸載軟件。

在使用組策略管理器配置軟件之前，要求應(yīng)用程序具有MicrosoftWindowsInstaller(.msi)軟件包。

可以為計(jì)算機(jī)和用戶指派應(yīng)用程序，也可以為用戶發(fā)布應(yīng)用程序。指派應(yīng)用程序在指派應(yīng)用程序到用戶時(shí)，應(yīng)用程序向下次登錄到工作