[计算机软件及应用]网络工程师实验.doc

本地用户和组一、本地用户 （一）相关知识 1本地用户的含义 用户分为本地用户和全局用户。“本地”指的是平时直接使用的计算机，本地用户对应着对等网工作组模式，用户验证都在各自的本地计算机上执行。全局用户对应客户机/服务器(域)工作模式，用户验证在域控制器上进行。 本地用户只能建立在Windows Server 2003独立服务器、Windows Server 2003成员服务器或基于Windows xp的计算机上，这种用户的作用范围仅限于在创建该用户的计算机上，以控制用户对该计算机上资源的访问。也就是说，如果一个用户需要访问多台计算机上的资源，而这些计算机不属于某个域，则用户要在每一台需要访问的计算机上拥有本地用户帐号，在登录某台计算机时由该计算机进行验证。 2用户名命名规定 (1)用户名可以使用字母和数字的组合； (2)用户名在计算机时必须唯一，且不区分大小写； (3)用户登录名最多包括20个字符，输入时可超过20个字符，但只识别前20个； (4)用户名不能使用的字符“，”，/，：，；，|，=，+，*，?，。 3系统内置用户 系统内置用户是Windows Server 2003操作系统自带的，在安装好Windows Server 2003之后这些用户就已经存在，并已经赋予了相应的权限。Windows Server 2003利用这些用户完成某些特定的工作。 Windows Server 2003中常见的内置用户有系统管理员用户Administrator和来宾用户Guest(默认禁用)。系统内置用户和组都不允许被删除，并且Administrator帐号也不允许被禁用，但内置用户帐号允许更名。 没有通过系统验证的用户，都自动转为Guest用户访问系统。因此，从安全性角度考虑，Guest用户不要轻易启用。 （二）实验步骤 (1)以系统管理员的身份登录，通过“开始/程序/管理工具/计算机管理”菜单命令，打开“计算机管理”控制台。 (2)单击“本地用户和组”前面的加号，展开出现“用户”图标，在“用户”图标上右击鼠标，在弹出的快捷菜单中，单击“新用户”。 (3)打开“新用户”对话框，在“用户名”文本框中输入用户帐号的登录名称，如输入“user1”；在“全名”文本框中输入用户的全名；在“描述”文本框中输入帐号的简单描述，如所在部门、地点等，以方便日后的管理工作；在“密码”和“确认密码”文本框中输入相同的密码。 在“新用户”对话框中，“全名”的内容只起说明作用，可以不同于“用户名”的内容，在创建一个用户帐号后，在“计算机管理”控制台中可以看到用户“全名” 的内容，但在登录本计算机时，必须使用“用户名”中的名字。 (4)单击“创建”按钮后，该用户帐号就被创建了，但“新用户”对话框不消逝，可以继续创建下一个用户帐号。全部创建完后，单击“关闭”按钮，结束新用户的创建。此时，在“计算机管理”控制台的右侧窗口中可以看见新创建的帐号。二、本地组 （一）相关知识 组是Windows Server 2003网络环境中的一个非常重要的概念，是用户帐户的集合，当用户较多时，要采用组来管理用户帐户。通常将具有相同身份和属性的用户组合到一个逻辑的集合(组)中，一次赋予该组访问资源的权限而不是单独给用户赋予权限，从而简化了管理。 一个用户帐户可以属于多个组。用户登录后，如果又修改了权力权限，要再次登录时才能生效。 本地组是在一个基于Windows Server 2003的计算机上创建的，这些计算机包括基于Windows Server 2003的独立服务器或成员服务器。本地组的作用范围只限于创建该组的计算机上。组帐号存储在创建该帐号的计算机上的本地安全帐号管理器中。使用本地组，需要在每台计算机上都创建组，并向该组授予对资源的访问权限。本地组中有两个重要的组类型：系统内置组和用户创建的本地组。我们这里列出通常用到的系统内置组： 1Administrators组 Administrators组具有如下特点： (1)是所有Windows Server 2003上都有的唯一的一个被赋予了所有内建权力的组； (2)可以给自己赋予所有自己没有的权力； (3)可以添加系统组件，升级系统； (4)可以配置系统重要参数，如注册表的修改； (5)可以配置安全信息。 一个用户只要加入Administrators组，他就拥有了和系统管理员(Administrator)同样的权力。 2Power users组 Power users组具有如下特点： (1)存在于非域控制器上； (2)可以进行基本的系统管理工作：如共享文件夹、管理系统服务和打印机、管理本地普通用户、安装不修改注册表的软件； (3)不能修改Administrators组和Backup Operators组； (4)不能备份/恢复文件； (5)不能修改注册表。 3Backup Operators组 Backup Operators组具有如下特点： (1)是所有的Windows Server 2003上都有的组； (2)可以忽略文件系统的权限进行备份和恢复； (3)可以登录系统和关闭系统； (4)对加密文件也可以备份。 4Users组 Users组具有如下特点： (1)是一般用户所在的组，对系统可使用基本的权力； (2)可以运行，使用网络； (3)可以关闭Windows xp，但不能关闭Windows Server 2003； (4)不能创建共享目录和本地打印机。 5系统内建的特殊组 以下特殊组的成员是随机器运行时由系统自动修改的。 (1)Everyone组：包含所有的用户，包括guest。 (2)Authenticated Users：包括所有被身份验证成功的用户，但不包括guest。 Authenticated Users组的成员在Windows xp中是Power Users组和Users组的成员，在Windows Server 2003 中是Users组的成员。 (3)Interactive组：包含所有交互式登录的用户。 在本地安全策略中，可以查看和修改用户和组的权力。 （二）实验步骤 创建本地组的操作要由本地计算机的Administrators组成员进行。 (1)在桌面的“我的电脑”处右击，在弹出的快捷菜单中选择“管理”，打开“计算机管理”窗口，展开左侧子窗口中的“本地用户和组”，在“组”选项上右击鼠标，在弹出的快捷菜单中选择“新建组”。 (2)在打开的“新建组”对话框的“组名”文本框中输入该组的名称(如group1)，在“描述”文本框中简单地输入该组的用途(可以不填，但为了管理方便，建议做简单描述)。可以通过“添加”按钮在“成员”列表框中加入组的成员(现在现不添加)。 (3)单击“创建”按钮，创建组成功。单击“关闭”按钮，返回到“计算机管理”窗口中。这时在右侧的子窗口中可以看到新建的组。 (4)在新建组的图标上双击，打开组属性(group1属性)对话框。 (5)单击“添加”按钮，打开“选择用户或组”对话框，在“名称”列表中选择要添加的用户帐户，单击“添加”按钮将用户加入到组中。 (6)单击“确定”按钮，返回到“group1属性”对话框。在“成员”列表中会看到刚才添加的用户。 (7)单击“确定”按钮结束操作。共享与安全一、共享文件夹 （一）相关知识 1共享概述 Windows Server 2003作为一个网络操作系统除具有良好的为了连接功能外，网络中的资源可以被更好地使用。共享网络资源要做的第一件事就是在网络中设置共享文件夹，利用共享文件夹将数据发布到网络中让其他用户访问。由于文件不能被直接共享到网络中，必须通过共享文件夹发布出来，因此设置共享文件夹，无论是在工作组模式还是在域模式中，都是在网络中共享文件资源的唯一方法。一个文件夹可以被多次共享。 在Windows Server 2003中，共享文件夹允许同时访问的用户数目取决于安装时设置的用户许可数。 共享文件夹需要满足以下条件： (1)计算机必须在有网络的情况下，才能进行设置共享文件夹的操作，否则不能设置共享。 (2)必须有足够大的权力，才能进行共享操作，即登录的用户必须是Administrators组、Server Operators组或Power Users组成员才能进行共享操作。 (3)当“Server”服务没有启动时，不能进行共享操作。 2共享权限和NTFS权限 利用共享文件夹可以将文件资源发布到网络中，对共享文件夹的控制可以通过共享文件夹权限实现。 Windows Server 2003支持FAT/FAT32和NTFS文件系统，对于FAT/FAT32文件系统磁盘上的文件夹，只能设置共享权限。共享权限只能控制对文件夹一级的访问，即不能对文件设置访问权限。另外，共享文件夹权限只对从网络只访问过来(如通过“网上邻居”访问)的用户起作用，如果用户从共享文件夹所在的计算机上本地登录，通过“Windows资源管理器”访问共享文件夹，共享权限并不限制用户对资源的访问。 对于NTFS文件系统上的文件夹，既可以设置共享权限，又可以设置NTFS权限来限制用户的访问。NTFS权限既可以对文件夹进行权限设置，又可以单独对文件进行访问权限的设置。NTFS权限对从网络只访问过来(如通过“网上邻居”访问)的用户和从本机登录通过“Windows资源管理器”访问资源的用户都起作用，即NTFS文件系统具有本地安全性。 在“Windows资源管理器”中，通过查看磁盘的属性，可以知道磁盘的文件系统类型，通过查看文件夹/文件的属性，可以查看或设置共享权限和NTFS权限(屏幕提示为安全权限)的设置。 3各种共享权限的区别 默认情况下，当把一个文件夹共享出来之后，系统会自动将该文件夹对Everyone组授予“完全控制”的访问权限，这样的授权显然太大了，因此，为了安全，一般要重新设置访问权限。 共享权限有三种：完全控制、更改、读取 读取权限，即只能读文件夹中的文件。 更改权限，可以对文件夹中的文件进行读写、修改、删除等操作。 完全控制权限，即对文件夹具有一切权限，包括可以修改共享文件夹的权限。 注意：一个共享文件夹被复制到某个位置时，原位置的文件夹保持共享，新位置的文件夹不保持共享。当移动共享文件夹时，该文件夹就不再保持共享了。 （二）实验步骤 (1)以系统管理员的身份登录，通过“开始/程序/附件/Windows资源管理器”菜单命令，打开“Windows资源管理器”，选中要共享的文件夹所在的盘符，右击鼠标，在弹出的快捷菜单中选择“属性”，查看磁盘的文件系统类型。 (2)选中要共享的文件夹，如选择了C盘的TEMP文件夹，在文件夹名处右击鼠标，在弹出的快捷菜单中选择“共享”。 (3)在打开的文件夹“属性”对话框中选择“共享”选项卡，选择“共享该文件夹”单选钮(删除共享时只需再单击“不共享该文件夹”单选钮即可)。 在“共享名”文本框中输入该文件夹的共享名，共享名将显示给所有从“网上邻居”访问该文件夹的用户，默认的共享名与文件夹的名称一致，可以修改。 在“用户数限制”中默认选中的是“最多用户”，即不限制对该文件夹访问的用户数(只依赖于服务器的连接性能)；如果选择“允许个用户”，则可以限制同时访问该文件夹的用户数，这里的用户数应该不超过所购买的Windows Server 2003许可的数量。 (4)单击“权限”按钮，打开文件夹的共享权限设置对话框，如果不想将该文件夹给所有用户共享，为了安全，在“名称”列表中选中“Everyone”组，单击“删除”按钮，将对Everyone的授权删除。 (5)单击“添加”按钮，打开“选择用户、计算机或组”对话框，在列表框中选择要赋予权限的用户/组，如选择group1组，再单击“添加”按钮，将该用户/组添加到对话框下半部分的列表中。 (6)单击“确定”按钮，回到共享权限设置对话框，并设置好共享权限。如，将group1组设置成“完全控制”。 (7)单击“确定”按钮，回到“Windows资源管理器”，这时，被共享的文件夹的图标下会出现一个“手”标志，表示该文件夹已被共享。二、隐含共享 （一）相关知识 隐含的共享文件夹有两种，一种是操作系统自动创建的管理共享，这是我实现管理的目的而设置的。在Windows Server 2003中，自动提供的供管理员使用的隐含共享有C$、D$等，还有Admin$(系统安装目录，如C:WINNT)，Print$(打印驱动程序，如C:WINNTsystem2spooldrivers)，因此用户无需也不应该更改它们；另一种隐含的共享文件夹是用户出于某种目的而不愿意在网络中让其它用户知道，但又必须让特定的用户共享而创建的。 这两类共享文件夹都是在共享文件夹的共享名后面加上$符合，系统就会自动隐藏这些文件夹而不在网络中显示。用户可以通过“机器名隐含共享名$”的方式访问隐含共享。 在权限方面，用户不可修改管理用隐含共享(如G$)的共享权限，但可以修改修改其NTFS权限。 （二）实验步骤 (1)以系统管理员的身份登录，打开“Windows资源管理器”，右击要创建共享的文件夹名，在弹出的快捷菜单中选择“共享”，在打开的“属性”对话框中的“共享”选项卡中选择“共享该文件夹”选项，在共享名后面加一个$符号。 (2)打开“网上邻居”窗口，将看不到该共享名(即隐含共享)。 (3)如果知道隐含共享名$及其网络路径，则可以通过映射网络驱动器或使用“运行”命令来访问隐含共享。通过“开始/运行”菜单命令打开“运行”对话框，在“打开”文本框中输入“机器名隐含共享名$”。 (4)单击“确定”按钮，将看到隐含的共享文件夹的内容。三、文件系统的转换 （一）相关知识 文件系统就是在磁盘上存储信息的格式。在所有的计算机系统中，都存在一种相应的文件系统。它规定了计算机对文件和文件夹进行操作处理的各种标准和机制。因此，用户对所有的文件和文件夹的操作都是通过文件系统来完成的。 1FAT文件系统 FAT文件系统最初用于小型磁盘和简单文件结构的简单文件系统。FAT文件系统得名于它的组织方法：放置在卷起始位置的文件分配表。为了保护卷，使用了两份拷贝，确保即使一份损坏了也能正常工作。为了确保正确装卸启动系统所必须的文件，文件分配表和根文件夹必须存放在固定的位置。 Windows 95/98、MS-DOS和Windows 95以前的版本都使用FAT文件系统。 2FAT32文件系统 FAT32文件系统提供了比FAT文件系统更为先进的文件管理特性，例如，支持高达32GB的卷以及通过使用更小的簇来更有效率地使用磁盘空间。 Windows Server 2003、Windows 2000、Windows 98和Windows 95 OEM Release 2版能够访问FAT32卷。MS-DOS、Windows NT 4.0及其更早的版本都不能识别FAT32卷，同时也不能从FAT32上启动。 FAT和FAT32可以与Windows Server 2003之外的其它操作系统兼容。如果设置了双重启动配置，很可能需要FAT和FAT32文件系统。 如果用户正在对Windows Server 2003和另外一个操作系统进行双重启动配置，选择一个适用于后者的文件系统做为主分区(启动分区)。 若安装分区小于2GB，或者双重启动配置为Windows Server 2003和MS-DOS、Windows NT较早的版本，可将安装分区格式化为FAT。 若大于或等于2GB的分区上使用FAT32文件系统，如果在Windows Server 2003安装程序中，选择使用FAT格式化，并且安装分区大于2GB，安装程序自动按FAT32格式化。 若不需要双重启动配置，或对于大于32GB的卷，建议使用NTFS格式的文件系统。 3NTFS文件系统 Windows Server 2003、Windows 2000推荐使用的NTFS文件系统提供了FAT和FAT32文件系统所没有的性能、可靠性和兼容性。NTFS文件系统的设计目标就是在很大的硬盘上能够很快地执行诸如读、写和搜索这样的标准文件操作，甚至包括像文件系统恢复这样的高级操作。 NTFS文件系统包括了公司环境中文件服务器和高端个人计算机所需的安全特性。NTFS文件系统还支持对于关键数据完整性十分重要的数据访问控制和私有权限。除了可以赋予Windows Server 2003计算机中共享文件夹特定权限外，NTFS文件和文件夹无论共享与否都可以赋予权限。NTFS是Windows Server 2003中唯一允许为单个文件指定权限的文件系统。当然，当用户从NTFS卷移动或复制文件到FAT卷时，NTFS文件系统权限和其它属性将会丢失。 Windows Server 2003包括一个新版本的NTFS(NTFS 5.0)，该文件系统在原有的灵活的安全特性(如域和用户帐户数据库)之上又加入了新的特性，如活动目录。Windows Server 2003中使用的NTFS文件系统支持以下特性：活动目录、域、文件加密、其它的数据存储模式、磁盘活动的恢复日志、磁盘配额、对于大容量驱动器的良好扩展性。 NTFS可支持的最大磁盘容量为2TB。 需要把整个磁盘或某个磁盘驱动器做成NTFS文件系统的用户，可在安装Windows Server 2003时，在安装向导的帮助下完成所有操作。安装程序可以很轻松地把分区转化为NTFS文件系统。用户也可以在安装完毕后使用Convert.exe命令把FAT或FAT32的分区转化为NTFS分区。 （二）实验步骤 (1)通过“开始/程序/附件/命令提示符”菜单命令，打开“命令提示符”窗口。 (2)在“命令提示符”窗口中输入CONVERT D: /FS:NTFS命令，即可将D:盘的FAT文件系统转换为NTFS文件系统。命令的通用格式是： CONVERT volume /FS:NTFS 此命令只提供从FAT文件系统向NTFS文件系统的转换，反之则不行。四、NTFS权限 （一）相关知识 1NTFS文件夹权限 NTFS文件夹权限定义了用户对文件夹及其内容的访问方式，其权限有6种标准组合：读取、写入、列出文件夹目录、读取及运行、修改、完全控制。 2NTFS文件权限 NTFS文件权限适合于文件夹中的单个文件，它可以比对文件夹所设置的权限更加严格，也可以更加宽松，其权限有5种标准组合：读取、写入、读取及写入、修改、完全控制。 3权限的继承 Windows Server 2003默认子文件夹及文件继承父文件夹的权限。权限的继承简化了资源的权限分配。 在实际工作中，应尽量对组授权，而不是对用户授权；尽量对一级文件夹进行权限的设置，而不必对下一文件夹进行权限设置，这样可以大大简化管理工作的。 4NTFS文件权限的区别 (1)“写入”权限可以修改文件内容，可创建新文件。 (2)“修改”权限除了包含“写入”权限外还有删除权限。 (3)“完全控制”权限是具有“取得所有权”和“更改权限”的权限。“取得所有权”权限可将文件所有者变成当前用户。登录用户创建的文件，其所有者就是该用户。文件的所有者对文件可以无条件地更改权限。Administrators组拥有对任何文件“取得所有权”权限。 如对某个文件夹有“完全控制”权限时，不管该文件夹下的文件有什么权限(包括拒绝删除权限)，都可以将这些文件删除。而对某些文件夹有“修改”权限时，若该文件夹下的文件有拒绝删除权限，则这些文件无法删除。 （二）实验步骤 (1)以系统管理员的身份登录，打开“Windows资源管理器”，在NTFS文件系统的磁盘盘符上(如D盘)右击鼠标，在弹出的快捷菜单中选择“属性”，在磁盘的“属性”对话框中选择“安全”选项卡，查看系统默认给磁盘根文件夹的NTFS权限设置。可以看到系统默认为Everyone组对磁盘根文件夹赋予了“完全控制”的权限。单击“确定”退出磁盘属性对话框。 (2)右击要设置权限的文件夹或文件(如temp1文件夹)，在弹出的快捷菜单中选择“属性”，打开文件夹“属性”对话框，选择“安全”选项卡。在该对话框中可以看到Everyone组对文件夹有“完全控制”的权限，而且权限的设置都不能修改，因为系统默认为Everyone组对磁盘的根文件夹有“完全控制”权限，而这个权限会向下继承，因此Everyone组对该磁盘下所有文件和文件夹都赋予了“完全控制”的权限。 (3)如果要修改或删除对Everyone组的权限设置，可取消“允许将来自父系的可继承权限传播给该对象”选项，系统将弹出“安全”对话框。单击“复制”按钮，可将上级文件夹的权限复制过来，并使权限可以重新修改；单击“删除”按钮，可删除对Everyone在的授权。在此单击“复制”按钮。 (4)在“安全”选项卡中，单击“添加”按钮，打开“选择用户、计算机或组”对话框，选择要赋予权限的用户/组，在此选择group1组。 (5)单击“确定”按钮回到“安全”选项卡中，会看到刚刚添加的用户/组在“名称”列表中，并且系统已经为该用户/组赋予了默认的权限，而且权限可以修改。 (6)在“安全”选项卡中看到的权限都是NTFS标准权限，如果想赋予用户NTFS特殊权限可以单击“高级”按钮，打开文件夹的“访问控制设置”对话框。 (7)在“权限项目”列表框中选择要赋予特殊NTFS权限的用户/组，单击“查看/编辑”按钮，打开文件夹的“权限项目”对话框，在此可以进一步设置有关权限，如选择“创建文件/写入数据”权限。 (8)单击“确定”按钮，回到“访问控制设置”对话框下，可以看到被设置的用户/组的“权限”栏中的权限为“特殊”，表明用户被授予了特殊的NTFS权限。 (9)选中“访问控制设置”对话框底部的“允许将来自父系的可继承权限传递给该对象”选项，意味着这个文件夹可以继承来自其上一级文件夹的权限设置；选中“重置所有子对象的权限并允许传播可继承权限”选项，意味着将该文件夹下的所有子文件夹和文件的权限取消，并重新设置成与其父文件夹一致的权限(即强制用父文件夹的权限替换子文件夹和文件的权限)。在此都不作选择。 (10)如果希望让某个用户获得该文件夹的所有权，则选择“所有者”选项卡。该选项卡的“目前该项目的所有者”中显示出了目前该文件夹的所有者，在“将所有者改为”列表框中单击要获得所有权的用户，单击“应用”按钮，则可以将该文件夹的所有者替换成选定的用户。 (11)单击“确定”按钮，结束操作。五、共享权限之间冲突或NTFS权限之间冲突的解决 （一）相关知识 1权限的累加 如果一个用户同时属于多个组，而这些不同的组对同一个资源又赋予了不同的权限，此时，用户最终拥有的权限是所属各组权限的累加。 例如，如果一个用户user2同时属于group1组和group2组，group1对某文件或文件夹的访问权限为“读取”，而group2对这个文件或文件夹的访问权限为“完全控制”，则用户user2对该文件或文件夹的访问权限为两个组权限的累加，即： 读取完全控制完全控制 2权限的优先性 权限的优先性表现在两个方面： (1)文件权限优先文件夹权限。文件的权限可以超越文件夹的权限，不顾上一级文件夹的设置。 例如，如果一用户user1对文件夹temp2的访问权限为“读取”，在这个文件夹下面有一个c1文件，user1对c1文件的设置为“完全控制”，则user1对c1文件具有完全控制的权限，而不管它的上一级文件夹temp2的权限设置情况。 注意：只有NTFS文件系统的磁盘上才能对单个文件进行NTFS权限设置。 (2)“拒绝”权限优先于其它权限。“拒绝”权限可以超越其它所有权限，一旦选择了“拒绝”权限，则其它相关权限都不起作用，相当于没有设置。 如果用户被授予了对某个共享文件夹“拒绝读取”的权限，则该权限为用户访问共享文件夹的最终权限，而不管用户所属的其它组中被授予的任何权限。在Windows Server 2003中，拒绝总是优先，包括权限和权力。 例如，如果一个用户user2同属于group1组和group2组，其中group1对一个文件夹temp1的访问权限为“完全控制”，而group2对temp1的访问权限设置了某一种“拒绝访问”，则user2对文件夹temp1的该种访问权限为“拒绝访问”类型，而不管group1对这个文件夹设置了什么权限。 （二）实验步骤 1权限具有累加性 (1)以系统管理员的身份登录，通过“开始/程序/附件/Windows资源管理器”菜单命令。打开“Windows资源管理器”，继续实验六的内容，添加group2组对C盘的共享文件夹TEMP的共享访问权，并将共享权限设置为“读取”。 (2)由于user2已经同属于group1组和group2组，注销当前用户，以user2用户登录，打开“网上邻居”，打开共享文件夹TEMP，删除或创建文件，成功。证明user2对TEMP有完全控制权限。 可以试着以用户user1和user3登录，进行类似操作，看结果如何。 2文件权限优于文件夹权限 注意：对文件权限的设置只能在NTFS文件系统的磁盘上才能进行。 (1)以系统管理员的身份登录，在“Windows资源管理器”中用右键点击某一个磁盘的盘符，在弹出的快捷菜单中选择“属性”，查看磁盘的文件系统类型。 (2)在NTFS文件系统的磁盘上选择一个文件夹(如temp2)中的某个文件(如c1)，右击鼠标，在弹出的快捷菜单中选择“属性”。 (3)在文件的“属性”对话框中选择“安全”选项卡。 (4)取消“允许将来自父系的可继承权限传播给该对象”选项，系统弹出“安全”对话框，单击“删除”按钮，删除对Everyone的授权。 (5)回到文件属性对话框，单击“添加”按钮，设置group1组对文件的权限为“完全控制”。 (6)单击“确定”按钮，退出对文件的设置。 (7)选择该文件所在的文件夹(如temp2)，右击鼠标，在弹出的快捷菜单中选择“属性”。 (8)在文件夹的“属性”对话框中选择“安全”选项卡，在“安全”选项卡中取消“允许将来自父系的可继承权限传播给该对象”选项，系统弹出“安全”对话框，单击“删除”按钮，删除对Everyone的授权。 (9)回到文件属性对话框，单击“添加”按钮，设置group1组对文件夹的权限为“读取”。 (10)单击“确定”按钮，退出对文件夹的设置。 (11)注销当前登录用户，以group1的组成员user1登录，打开“Windows资源管理器”，对temp2文件夹下的文件c1进行修改操作，成功，对temp2文件夹下其它文件进行修改操作，失败。这就证明了单独对文件c1的授权已经超过了所在文件夹的授权，而其它文件则继承了文件夹的权限。 3“拒绝”权限优先其它权限 (1)以系统管理员的身份登录，通过“开始/程序/附件/Windows资源管理器”菜单命令。打开“Windows资源管理器”，承接以前的实验内容，设置group1组对C盘的共享文件TEMP的共享访问权，并将共享权限设置为“完全控制”，设置group2组对文件夹TEMP的共享访问权限为“拒绝更改”。 (2)设置“拒绝更改”后，单击“确定”按钮时，会弹出一个提示拒绝项的“安全”对话框，单击“是”按钮。 (3)单击“确定”按钮，退出共享权限设置。 (4)注销当前登录用户，以两个组的公共用户user2登录，然后打开“网上邻居”，打开共享文件夹TEMP，删除、修改或创建文件，均失败。这就证明user2对TEMP没有“更改”权，拒绝更改优先于完全控制权。六、共享权限和NTFS权限之间冲突的解决 （一）相关知识 当共享文件夹同时被授予共享权限和NTFS权限时，最终的权限是取两个权限中限制最应该、最小的那种权限。 例如，文件夹temp1为用户user1设置的共享权限为“读取”，同时文件夹temp1为用户user1设置的NTFS权限为“完全控制”，那么，用户user1对文件夹temp1的最终访问权限为“读取”。 建议：对NTFS文件夹，不管默认的共享权限，只设置NTFS权限即可。 （二）实验步骤 (1)以系统管理员的身份登录，打开“Windows资源管理器”，右击文件夹temp1，在弹出的快捷菜单中选择“共享”命令，打开“共享”选项卡，设置该文件夹的共享，并单击“权限”按钮，查看默认的共享权限为Everyone在有“完全控制”权限。单击“确定”按钮，返回“共享”选项卡。 (2)选择“安全”选项卡，将Everyone组对该文件夹的NTFS权限设置为没有修改权。单击“确定”按钮，结束权限设置。 (3)以“Windows资源管理器”或“网上邻居”访问该文件夹，并试着在该文件夹进行删除文件的操作，失败。证明了Everyone在最终对该文件夹的访问权限为没有修改权。七、文件的复制和移动对权限的影响 （一）相关知识 NTFS文件夹权限具有继承性。 权限的继承性就是下级文件夹的权限设置在未重设之前是继承了其上一级文件夹的权限设置。即，如果一个用户对某一文件夹具有“读取”权限，那该用户对这个文件夹的下级文件夹同样具有“读取”的权限。除非打断这种继承关系，重新设置。这些只适用于静态的文件夹权限，在同一个NTFS分区内或不同的NTFS分区之间复制或移动一个文件或文件夹是该文件或文件夹的NTFS权限会发生不同的变化。 1在同一NTFS分区内复制或移动 在同一NTFS分区间将文件复制到不同的文件夹，它的访问权限和原文件夹的访问权限不一样，它将继承目标(新)文件夹的访问权限。 在同一NTFS分区内移动文件时，其访问权限保持不变，继承原先未移动前的访问权限。 2在不同NTFS分区间复制或移动 在不同NTFS分区间复制文件时，其访问权限会随之改变，复制的文件不是继承原权限，而是继承目标(新)文件夹的访问权限。 在不同NTFS分区间移动文件，其访问权限也会随着移动而改变，也是继承目标(新)文件夹的访问权限。 结论：同分区内移动文件，文件的访问权限保持不变，其它方式的文件移动或复制，文件继承其目标文件夹的权限。 3从NTFS分区复制或移动到FAT分区 由于FAT分区中的文件或文件夹没有NTFS权限设置，因此，文件或文件夹也就没有NTFS权限了。 （二）实验步骤 1在同一NTFS分区内复制文件对NTFS权限的影响 (1)在“Windows资源管理器”中，用鼠标右键单击D盘上的文件夹temp3，选中“属性”菜单命令，打开“属性”对话框，选择“安全”选项卡，设置Everyone组的NTFS权限为“完全控制”。 (2)选择文件夹temp3下的某一文件(如d1)，用鼠标右击该文件名，选择“属性”菜单命令，打开“属性”对话框，选择“安全”选项卡，查看继承的NTFS权限为“完全控制”。 (3)用鼠标右键单击D盘上的文件夹temp1，选中“属性”菜单命令，打开“属性”对话框，选择“安全”选项卡，设置Everyone组的NTFS权限没为“完全控制”权。 (4)选择文件夹temp1下的某一文件(如b1)，用鼠标右击该文件名，选择“属性”菜单命令，打开“属性”对话框，选择“安全”选项卡，查看继承的NTFS权限为没有“完全控制”。 (5)在“Windows资源管理器”中，将文件夹temp3中的文件d1复制到文件夹temp1中，用鼠标右击d1，选择“属性”菜单命令，打开“属性”对话框，选择“安全”选项卡，可以看到文件d1的访问权限发生了变化，已经继承了文件夹temp1的访问权限了。 2在同一NTFS分区内移动文件对NTFS权限的影响 在“Windows资源管理器”中，将文件夹temp3中的文件d2移动到文件夹temp1中，用鼠标右击d2，选择“属性”菜单命令，打开“属性”对话框，选择“安全”选项卡，可以看到文件d1的访问权限没有发生变化，还是继承了原来所在文件夹temp3的访问权限。 参照类似的实验方法，可以测试不同NTFS分区间复制或移动文件对NTFS权限的影响。八、NTFS文件的压缩和加密 （一）相关知识文件压缩是NTFS文件系统的内置功能，安装好Windows Server 2003并应用NTFS文件系统后就可以使用。NTFS文件系统的压缩和解压缩过程对于用户而言是完全透明的，用户只要将数据应用压缩功能即可。当用户或应用程序使用压缩过的数据时，操作系统会自动在后台对数据进行解压缩，无需用户干预。利用这项功能，可以节省大量的硬盘空间。 1文件压缩的特点 (1)当压缩文件复制时，它在目标盘上是按照没有压缩时的大小申请磁盘空间的。 (2)压缩文件复制时，系统先将文件解压缩，然后将未压缩的文件进行复制，复制后再进行压缩。 (3)如果某个文件或文件夹是加密的，就不能对它进行压缩。 (4)同分区内移动文件，文件的压缩属性不变；其它类型的文件移动或复制，文件将继承目标文件夹的压缩属性。这与NTFS权限类似。 2文件加密的特点 (1)文件加密只有在NTFS文件系统中实现 (2)文件加密技术基于公共密钥系统，即公钥加密，私钥解密，这种加密不需要密码。它与压缩文件的设置方法基本类似。加密后，文件加密密钥存储在文件头中。 (3)管理员可以指定一个恢复代理，用以恢复加密的文件。恢复代理在默认情况下就是系统管理员。 (4)可以使用命令行命令“Cipher”进行加密/解密。 (5)多个用户之间不能共享加密文件。 (6)加密文件复制到FAT分区后，加密属性会丢失。 (7)加密文件在网上传输时，是以解密状态进行的，所以，文件加密只是存储加密。可以利用Ipsec和VPN进行传输加密。 (8)文件的加密和压缩是互斥的，即加密和压缩只能选一种。 (9)用户加密文件后，自己可以任意复制、移动，即只有进行加密的用户才能透明地使用，其它用户无法对文件进行复制、移动、解密，但可以删除、重命名。 （二）实验步骤 1文件的压缩 (1)打开“Windows资源管理器”，选中NTFS文件系统磁盘上要压缩的文件或文件夹(如D盘的temp4)，在选定的文件或文件夹上右击，在弹出的快捷菜单中选择“属性”命令，打开“属性”对话框。从图中可以看到，目前文件夹temp4中文件的总容量和实际占用空间。 (2)单击“高级”按钮，打开“高级属性”对话框，再选择“压缩内容以便节省磁盘空间”复选框。单击“确定”按钮，返回文件夹属性对话框。 (3)在文件夹属性对话框中，单击“应用”按钮，弹出“确认属性更改”对话框。若选择“仅将更改应用于该文件夹”，则将只压缩选择的文件夹以及这一文件夹下的文件和数据；若选择“将更改应用于该文件夹、子文件夹和文件”，则将压缩这个文件夹下的所有文件和文件夹以及子文件夹下的数据，在此选择该项。单击“确定”按钮，返回文件夹属性对话框。 (4)从文件夹属性对话框中可以看到，现在文件temp4中文件的总容量没有变，而实际占用空间减少了。 (5)单击“确定”按钮，结束操作。 2文件的加密 (1)打开“Windows资源管理器”，选中NTFS文件系统磁盘上要加密的文件或文件夹(如D盘的temp4)，在选定的文件或文件夹上右击，在弹出的快捷菜单中选择“属性”命令，打开“属性”对话框。 (2)单击“高级”按钮，打开“高级属性”对话框，再选择“加密内容以便保护数据”复选框。单击“确定”按钮，返回文件夹属性对话框。 (3)在文件夹属性对话框中，单击“应用”按钮，弹出“确认属性更改”对话框。若选择“仅将更改应用于该文件夹”，则将只加密选择的文件夹以及这一文件夹下的文件和数据；若选择“将更改应用于该文件夹、子文件夹和文件”，则将加密这个文件夹下的所有文件和文件夹以及子文件夹下的数据，在此选择该项。单击“确定”按钮，返回文件夹属性对话框。 (4)单击“确定”按钮，结束操作。 对加密文件夹中的文件进行读取、修改、复制等操作，一切正常。 注销当前用户，以其它用户登录，对该文件夹进行读取和复制操作，均遭拒绝。一、活动目录服务 （一）相关知识 活动目录(Active Directory，简称AD)的目录服务用于组织、管理和控制网络资源的结构和功能，便于用户查找、管理和使用网络资源。 因为大型网络中难以确定资源位置、名称，所以需要命令服务，使得用户能透明、高效地快速定位资源，而不需要知道资源的物理位置、如何连接。有了活动目录，可以实现单点管理，用户只需登录一次，就可以访问整个活动目录的资源。 Windows Server 2003将DNS和活动目录进行了集成，它们使用相同的分层命名结构。DNS主机名与活动目录中计算机帐号是相同的，计算机名可认为是特殊的域名。 域、计算机可成为活动目录的对象/DNS资源记录，客户机通过查询DNS找到域控制器(或其它对象)。DNS主区域结构可存储活动目录，并随活动目录复制。 1域 2域树 3树林 4信任关系 域信任关系是建立两个域之间的关系，它使一个域的用户由另一个域中的域控制器进行验证。验证通过后，便使得一个域中的用户可以访问另一个域中的资源。 同一个树林中的Windows Server 2003域之间会自动建立可传递的信任关系。 非传递的信任关系主要存在于以下域之间：l Windows 2000/2003域和Windows NT域之间。 两个树林中的Windows 2000/2003域之间。l 这些域之间的信任关系需要用户手工建立。 5活动目录安装前的准备 (1)计算机上运行的必须是Windows Server 2003。 (2)活动目录数据库至少需要200MB，活动目录数据库的事务日志文件另需50MB，若为全局编录服务器，还需一定的空间。 (3)系统卷(SYSVOL)文件夹必须在NTFS分区。 (4)安装并配置了TCP/IP。 (5)若在现存的Windows Server 2003网络上创建域，那么还需要创建域所需的管理特权。 （二）实验步骤 1活动目录的安装 活动目录的安装使计算机转换为域控制器。 安装活动目录要启动活动目录安装向导，下面两种方法都可以启动活动目录安装向导。 方法1：通过“开始/程序/管理工具/配置服务器/Active Directory/启动”菜单命令，启动Active Directory安装向导。 方法2：通过“开始/运行/键入Dcpromo.exe”菜单命令，启动Active Directory安装向导。 下面以方法1为例，介绍活动目录的安装。 (1)执行“开始/程序/管理工具/配置服务器”菜单命令，打开“配置服务器”窗口，单击窗口左侧的“Active Directory”选项。 (2)单击“配置服务器”窗口下面的“启动”，启动Active Directory安装。 (3)单击“下一步”按钮，打开“域控制器类型”选择对话框。如果是创建一个新域的第一台域控制器，则选择“新域的域控制器”选项；如果创建的不是一个域中第一台域控制器，则选择“现有域的额外域控制器”选项。 (4)在此选择“新域的域控制器”选项，单击“下一步”按钮，打开“创建目录树或子域”对话框。如果是创建一个新域树的第一个域，则选择“创建一个新的域目录树”选项；如果是创建一个已有域树的一个子域，则选择“在现有域目录树中创建一个新的子域”选项。 (5)在此选择“创建一个新的域目录树”选项，单击“下一步”按钮，打开“创建或加入目录林”对话框。如果是创建一个新树林，则选择“创建新的目录林”选项；如果是将一个域树加入到已有的树林中，则选择“将这个新的域目录树放入现有的目录林中”选项。 (6)在此选择“创建新的目录林”选项，单击“下一步”按钮，打开“新的域名”设置对话框，在“新域的DNS全名”栏中按照DNS的格式输入域的全名。 (7)单击“下一步”按钮，打开“NetBIOS域名”对话框。NetBIOS域名主要是为早期Windows版本(如Windows98/NT)的用户登录域时使用的域名，默认情况下，系统将新域DNS全名的最左边一段设置成