Windows 2000 Server操作系统

1、oWindows 2000的简介的简介oWindows 2000的特点的特点oWindows 2000的网络类型的网络类型oWindows 2000的安装的安装1 Windows 2000的简介的简介 oWindows 2000系列平台软件针对不同的应用系列平台软件针对不同的应用场合，分为四个版本：场合，分为四个版本：oWindows 2000 Professional： oWindows 2000 Server： oWindows 2000 Advanced Server： Windows 2000 Datacenter Server： 返回本章首页返回本章首页2 Windows 2000的

2、特点的特点 o（1）操作简单，功能强大）操作简单，功能强大 o（2）强大的硬件兼容性）强大的硬件兼容性 o（3）全面的软件兼容性）全面的软件兼容性 o（4）系统更加健壮）系统更加健壮 o（5）NTFS 文件系统文件系统 o（6）全面支持活动目录）全面支持活动目录 返回本章首页返回本章首页o（7）远程安装操作系统）远程安装操作系统 o（8）永远完整可用的软件）永远完整可用的软件 o（9）增强的网络打印管理）增强的网络打印管理 o（10）磁盘配额）磁盘配额 o（11）支持终端服务）支持终端服务 o（12）公用密钥体系）公用密钥体系 3 Windows 2000的网络类型的网络类型 o可以利用可以利

3、用Windows 2000将网络设置成工作组的结构。将网络设置成工作组的结构。工作组由若干以网络连接在一起的计算机组成，它工作组由若干以网络连接在一起的计算机组成，它们将计算机内的资源（例如，文件夹与打印机）共们将计算机内的资源（例如，文件夹与打印机）共享给网络上其他用户访问。享给网络上其他用户访问。o网络上每台计算机的地位都是平等的，它们的资源网络上每台计算机的地位都是平等的，它们的资源与管理分散在网络内的各个计算机上。这种工作组与管理分散在网络内的各个计算机上。这种工作组网络也被称为网络也被称为“对等式对等式”网络网络。 返回本章首页返回本章首页 o利用利用Windows 2000将网络设

4、置为将网络设置为域结构域结构。域。域由若干以网络连接在一起的计算机组成，它们由若干以网络连接在一起的计算机组成，它们将计算机内的资源（例如，文件夹与打印机）将计算机内的资源（例如，文件夹与打印机）共享给网络上的其他用户访问。共享给网络上的其他用户访问。 o域结构的域结构的Windows 2000网络内可以存在如下网络内可以存在如下的计算机：（的计算机：（1）域控制器）域控制器 ；（；（2）成员服务器）成员服务器 ；（3）其他的计算机）其他的计算机 返回本节返回本节4 Windows 2000的安装的安装 o安装安装Windows 2000的硬件准备的硬件准备oWindows 2000的安装的安

5、装 返回本章首页返回本章首页安装安装Windows 2000的硬件准备的硬件准备CPU： Pentium l66MHz或更高级的处理器；或更高级的处理器；RAM：至少至少64MB；HardDisk：建议至少建议至少1GB，不过为了提高系统的效率，不过为了提高系统的效率，当然是越大越好；当然是越大越好；网卡：一块以上的网卡；网卡：一块以上的网卡；显示接口：显示接口：VGA显示卡与显示器；显示卡与显示器；光驱：光驱：16倍速以上的光驱；倍速以上的光驱；其他设备：其他设备：软驱、键盘和鼠标；软驱、键盘和鼠标；硬件兼容性清单硬件兼容性清单o硬件兼容列表（Hardware Compatibility L

6、ist，HCL）内列出了Windows 2000支持的所有硬件设备，在Windows 2000内提供了这些设备的驱动程序，它们都经过兼容性测试并且可以在Windows 2000内正常运转。 o计算机内的硬盘，可以被设置为一个或多个计算机内的硬盘，可以被设置为一个或多个磁盘分区，在安装磁盘分区，在安装Windows 2000时，就是要时，就是要将其安装到磁盘分区内，不过这些磁盘分区将其安装到磁盘分区内，不过这些磁盘分区必须先经过格式化。在格式化之前，必须先必须先经过格式化。在格式化之前，必须先选定要将其格式化为哪一种文件系统。选定要将其格式化为哪一种文件系统。Windows 2000支持以下两种

7、文件系统：支持以下两种文件系统：o（1）FAT/FAT32 o（2）NTFS 返回本节返回本节Windows 2000的安装的安装 o开始安装开始安装 o搜集与该计算机有关的设置搜集与该计算机有关的设置 o安装网络组件安装网络组件 o登录测试登录测试 图图1 登录登录Windows 2000返回本节返回本节二、二、使用和管理使用和管理Windows 2000活动目录活动目录 o活动目录活动目录o组织单位的管理组织单位的管理 o用户账户的管理用户账户的管理 o组的建立组的建立 1 活动目录 o活动目录简介活动目录简介 o活动目录的优点活动目录的优点o安装活动目录安装活动目录 o活动目录用户和计算

8、机控制台的使用活动目录用户和计算机控制台的使用 返回本章首页返回本章首页活动目录简介活动目录简介 o活动目录是一种目录服务，它存储有关网络对象的活动目录是一种目录服务，它存储有关网络对象的信息信息，例如，用户、组和计算机账户、共享资源和，例如，用户、组和计算机账户、共享资源和打印机等，并使管理员和用户可以方便地查找和使打印机等，并使管理员和用户可以方便地查找和使用网络信息。活动目录的应用起源于用网络信息。活动目录的应用起源于Windows NT 4.0，在，在Windows 2000 Server中得到进一步的应用中得到进一步的应用和发展，具有可扩展性和可调整性，并将结构化数和发展，具有可扩展

9、性和可调整性，并将结构化数据存储作为目录信息逻辑和分层组织的基础。据存储作为目录信息逻辑和分层组织的基础。o域模式的最大好处就是它的单一网络登录能力，任域模式的最大好处就是它的单一网络登录能力，任何用户只要在域内有一个账户，就可以漫游网络。何用户只要在域内有一个账户，就可以漫游网络。 o在在Windows 2000中，中，域中的所有域控制器之间都域中的所有域控制器之间都是平等关系是平等关系，不再区分主域控制器和备份域控制，不再区分主域控制器和备份域控制器，这是因为器，这是因为Windows 2000采用了动态活动目录采用了动态活动目录服务，在进行目录复制时不是沿用一般目录服务服务，在进行目录复

10、制时不是沿用一般目录服务的主从方式，而是采用多主复制方式。的主从方式，而是采用多主复制方式。 oWindows 2000活动目录服务的另一大特点是与活动目录服务的另一大特点是与Internet融合，它把融合，它把DNS作为其定位服务。为了作为其定位服务。为了克服克服DNS管理困难的缺点，管理困难的缺点，Windows 2000将将DNS与其特有的与其特有的DHCP和和WINS紧密配合起来，从而紧密配合起来，从而使使DNS管理变得易于操作。管理变得易于操作。 返回本节返回本节活动目录简介活动目录简介 活动目录的优点活动目录的优点o基于策略的管理 o扩展性 o可调整性 o信息复制 o与DNS的集成

11、 o灵活的查询 o信息安全性 返回本节返回本节图图2 启动启动Active Directory安装向导安装向导图图3 选择域控制类型选择域控制类型图图4 创建目录树或子域创建目录树或子域 图图5 创建或加入目录林创建或加入目录林 图图6 指定新域名指定新域名 图图7 输入输入NetBIOS域名域名 图图8 指定数据库和日志文件的位置指定数据库和日志文件的位置 图图9 指定系统卷共享的文件夹的位置指定系统卷共享的文件夹的位置 图图10 选择安装与配置选择安装与配置DNS 图图11 为用户和组对象选择默认权限为用户和组对象选择默认权限 图图12 设置目录服务恢复模设置目录服务恢复模式的管理员密码式

12、的管理员密码 图图13 “摘要摘要”对话框对话框 图图14 “正在配置正在配置Active Directory”窗口窗口返回本节返回本节o活动目录用户和计算机控制台，用于增加、修改、删活动目录用户和计算机控制台，用于增加、修改、删除、管理除、管理Windows 2000用户和计算机账户、组和用户和计算机账户、组和组织单位等对象，并可在目录上发布和管理资源。组织单位等对象，并可在目录上发布和管理资源。图图15 “Active Directory用户和计算机用户和计算机”控制台控制台改变用户和计算机显示方式改变用户和计算机显示方式 o打开打开“活动目录用户和计算机活动目录用户和计算机”控制台，可以

13、展开控制台，可以展开域节点，在窗口左边的控制台树中显示一些文件夹，域节点，在窗口左边的控制台树中显示一些文件夹，如果是新安装的域控制器，文件夹缺省显示是：如果是新安装的域控制器，文件夹缺省显示是：Builtin（预定义本地组预定义本地组）；）；Computers（计算机计算机）Domain Contro1s（域控制器域控制器）；）；Users（预定义全局组预定义全局组）；）；ForeignSecurityPricapal（外部安全负责人外部安全负责人）。）。图图16 “筛选器选项筛选器选项”对话框对话框预定义的组预定义的组 o当用户安装了一个域控制器后，在当用户安装了一个域控制器后，在Buil

14、tin和和Users文件夹下可以看到系统预定义的组，这些组都是安文件夹下可以看到系统预定义的组，这些组都是安全组，代表不同的权限和权利。全组，代表不同的权限和权利。 图图17 预定义的本地组预定义的本地组图图18 预定义的全局组预定义的全局组返回本节返回本节返回本章首页返回本章首页添加组织单位添加组织单位 o在域中合理地添加和设置组织单位，不仅方便了管理员对域中用户和组的管理，而且还有利于网络的扩展。要添加组织单位，如图19所示。 图图19 创建组织单位创建组织单位返回本节返回本节删除组织单位删除组织单位 o当域中的某个组织单位不再发挥作用时，当域中的某个组织单位不再发挥作用时，管理员可将其删

15、除，以免影响对其他组织管理员可将其删除，以免影响对其他组织单位的管理。要删除不再需要的组织单位，单位的管理。要删除不再需要的组织单位，可以依次选择可以依次选择“开始开始” “程序程序”“管管理工具理工具”“Active Directory用户和计算用户和计算机机”选项，打开选项，打开“Active Directory用户和用户和计算机计算机”窗口。窗口。 返回本节返回本节设置组织单位属性设置组织单位属性 o组织单位被添加之后，如果不根据需要设置组织单位被添加之后，如果不根据需要设置其属性，就很难发挥其管理的方便性和安全其属性，就很难发挥其管理的方便性和安全性。通过设置组织单位的属性，不但可以指

16、性。通过设置组织单位的属性，不但可以指定组织单位的管理人和常规属性，也可为组定组织单位的管理人和常规属性，也可为组织单位创建组策略。要设置组织单位的属性，织单位创建组策略。要设置组织单位的属性，可参照下面的步骤：可参照下面的步骤：o如图如图20至至23所示所示 图图20 “常规常规”选项卡选项卡 图图21 “管理者管理者”选项卡选项卡 图图22 “组策略组策略”选项卡选项卡 图图23 “组策略组策略”对话框对话框返回本节返回本节返回本章首页返回本章首页用户账户的类型用户账户的类型 （1）域用户账户）域用户账户n域用户账户建立在域控制器的域用户账户建立在域控制器的Active Directory

17、数据库内。用数据库内。用户可以利用域用户账户来登录域，并利用它来访问网络上的户可以利用域用户账户来登录域，并利用它来访问网络上的资源，例如访问其他计算机内的文件、打印机等资源。资源，例如访问其他计算机内的文件、打印机等资源。 （2）本地用户账户）本地用户账户n本地用户账户建立在本地用户账户建立在Windows 2000独立服务器、独立服务器、Windows 2000成员服务器或成员服务器或Windows 2000 Professional的本地安全数的本地安全数据库内，而不是域控制器内。用户可以利用本地用户账户来据库内，而不是域控制器内。用户可以利用本地用户账户来登录此计算机，但是只能够访问这

18、台计算机内的资源，无法登录此计算机，但是只能够访问这台计算机内的资源，无法访问网络上的资源。访问网络上的资源。返回本节返回本节内置的用户账户内置的用户账户 （1）Administrator（系统管理员系统管理员） oAdministrator拥有最高的权限，可以用它来管拥有最高的权限，可以用它来管理计算机与域内的设置，例如建立、更改、删除用理计算机与域内的设置，例如建立、更改、删除用户与组账户、设置安全策略、设置用户帐户的权限户与组账户、设置安全策略、设置用户帐户的权限等。等。 （2）Guest（客户客户） oGuest是供临时用户使用的账户，例如提供偶尔是供临时用户使用的账户，例如提供偶尔需

19、要登录、或者仅登录一次的用户使用，以便访问需要登录、或者仅登录一次的用户使用，以便访问网络上的资源。网络上的资源。 返回本节返回本节建立域用户账户建立域用户账户 o必须使用必须使用“Active Directory用户和计算机用户和计算机”管理单管理单元来建立域用户账户。当使用这个管理单元来建立账户元来建立域用户账户。当使用这个管理单元来建立账户时，这个账户会被建立在时，这个账户会被建立在MMC控制台所找到的第一台域控制台所找到的第一台域控制器内，以后该账户会被自动复制到此域内的所有域控制器内，以后该账户会被自动复制到此域内的所有域控制器内。控制器内。o在每个用户账户添加完成后，活动目录都会为

20、其建立一在每个用户账户添加完成后，活动目录都会为其建立一个惟一的安全识别码（个惟一的安全识别码（Security Identifier，SID），），Windows 2000系统内部是利用这个系统内部是利用这个SID来代表该用户，来代表该用户，有关的权限设置等都是通过有关的权限设置等都是通过SID来设置的，而不是利用用来设置的，而不是利用用户的账户名称。户的账户名称。 图图24 “新建对象新建对象-用户用户”对话框对话框 图图25 设置密码设置密码返回本节返回本节域用户账户的属性设置域用户账户的属性设置 (1)用户个人信息的用户个人信息的设置设置o所谓所谓“用户个人信用户个人信息息”，就是指姓

21、名、，就是指姓名、地址、电话、传真、地址、电话、传真、移动电话、公司、部移动电话、公司、部门、职称、电子邮件、门、职称、电子邮件、Web页等。如图页等。如图26所示所示 图图26 “属性属性”对话框对话框 (2)账户信息的设置账户信息的设置o选择选择“账户账户”选项卡，选项卡，如图如图27所示。所示。 o（1）账户过期）账户过期 o（2）登录时间的设置）登录时间的设置 o（3）限制用户只能够限制用户只能够从某些工作站登录从某些工作站登录 图图27 “账户账户”选项卡选项卡图图28 “登录时段登录时段”窗口窗口图图29 设置允许登录的工作站设置允许登录的工作站返回本节返回本节管理域用户账户管理域

22、用户账户 o依 次 选 择依 次 选 择 “ 开 始开 始 ” “ 程 序程 序 ” “ 管 理 工管 理 工具具”“Active Directory用户和计算机用户和计算机”选项，打开选项，打开“活动目录用户和计算机活动目录用户和计算机”对话框，选定用户账户并右对话框，选定用户账户并右击，打开如图击，打开如图30所示的快捷菜单，然后选择相应的命令所示的快捷菜单，然后选择相应的命令来管理域用户账户。来管理域用户账户。o（1）复制。）复制。 （2）停用账户）停用账户/启用账户。启用账户。o（3）重命名。）重命名。 （4）删除账户。）删除账户。 o（5）重设密码。）重设密码。 （6）解除被锁定的账

23、户。）解除被锁定的账户。 图图30 管理域用户账户管理域用户账户返回本节返回本节建立本地用户账户建立本地用户账户 o本地用户账户是建立在本地用户账户是建立在Windows 2000 Professional、Windows 2000独立独立服务器或成员服务器的本地安全数据库内，服务器或成员服务器的本地安全数据库内，而不是域控制器内的账户。用户可以利用本而不是域控制器内的账户。用户可以利用本地用户账户登录此账户所在的计算机，但是地用户账户登录此账户所在的计算机，但是无法登录域，同时只能够访问这台计算机内无法登录域，同时只能够访问这台计算机内的资源，无法访问网络上的资源。的资源，无法访问网络上的资

24、源。返回本节返回本节4 组的建立组的建立 o组的类型组的类型 o组的作用域组的作用域 o域组的管理域组的管理 o本地组的建立本地组的建立 o内置的组内置的组 返回本章首页返回本章首页组的类型 oWindows 2000所支持的组分为以下两种类型：安全式和分布式。o安全组：安全组可以用来设置权限，简化网络的维护和管理。 o分布式组：分布式组只能用在与安全（权限的设置等）无关的任务上，例如，可以将电子邮件发送给某个分布式组。分布式组不能进行权限设置。 返回本节返回本节组的作用域 1全局组o全局组主要是用来组织用户，可以将多个权限相似的用户账户加入到同一个全局组内。 2本地域组o本地域组主要用来指派

25、其在所属域内的访问权限，以便可以访问该域内的资源。 3通用组o通用组主要用来指派在所有域内的访问权限，以便可以访问每一个域内的资源。 返回本节返回本节域组的管理 o可以依次选择“开始”“程序”“管理工具”“Active Directory用户和计算机”选项，打开“Active Directory用户和计算机”对话框，来添加、删除与管理域组。o1域组的添加、删除与更名 o2添加域组的成员 图图31 “新建对象新建对象-组组”对话框对话框 图图32 “选择用户、联系人或选择用户、联系人或计算机计算机”对话框对话框 返回本节返回本节本地组的建立 o本地组是建立在Windows 2000 Profes

26、sional、Windows2000独立服务器或成员服务器的本地安全数据库内，而不是域控制器内。本地组只能够访问此组所在计算机内的资源，无法访问网络上的资源。o建议只在未加入域的计算机内建立本地组账户，而不要在加入域的计算机内建立本地组账户，因为无法通过域内其他任何一台计算机来访问这些账户、设置这些账户的权限，因此这些账户无法访问域上的资源，同时域系统管理员也无法管理这些本地组账户。返回本节返回本节内置的组 oWindows 2000域内含多个内置的组，包括本地域组、全局组与系统组。而Windows 2000独立服务器、Windows 2000成员服务器、Windows 2000 Profes

27、sional内则包含了一些内置的本地组与系统组。这些组本身己被赋予了一些权利与权限，以便让其具备管理域控制器与活动目录的能力。只要将用户或全局组等账户加入到这些内置的本地域组内，这些账户也将具有相同的权利与权限。返回本节返回本节三、三、 Windows 2000的网络互连的网络互连1 网络通信协议返回本章首页返回本章首页2 TCP/IP协议的安装与设置oIP地址地址o子网掩码子网掩码o默认网关默认网关o安装与测试安装与测试TCP/IPoPrivate IP的使用的使用返回本章首页返回本章首页IP地址o为了适合各种不同大小规模的网络需求，IP地址被分为A、B、C、D、E五大类，其中A、B、C类是

28、可供Internet网络上的主机使用的IP地址，而D、E类是供特殊用途的IP地址。 A类：A类的IP地址适合于超大型的网络 B类：B类的IP地址适合于大、中型网络 C类：C类的IP地址适合于小型网络 D类：D类的Network ID用于多点播送 E类：这是一个用于将来扩展用的Network ID 返回本节返回本节子网掩码1利用子网掩码获得IP地址的Network ID和Host IDo当TCP/IP网络上的主机相互通信时，可以利用子网掩码得知这些主机是否处在相同的网络区段内，即Network ID是否相同。 2利用子网掩码切割子网o子网掩码的另一个作用就是将一个网络切割为几个以IP路由器连接的

29、子网，如果单位有多个分散的网络，则每个网络都需要有一个单独的Network ID。 表表1 IP地址第四个字节地址第四个字节表表2 IP地址与子网掩码地址与子网掩码返回本节返回本节默认网关o在同一个网络区域（Network ID相同）内的主机，可以直接相互通信，而不同网络区域（Network ID不同）内的主机，则无法直接相互沟通，必须通过IP路由器进行中转。下图通过路由器沟通甲网络乙网络主机A主机B主机CRouter XRouter X主机F主机E202.197

30、.0.3主机D返回本节返回本节安装与测试TCP/IPo可以通过如下步骤来安装可以通过如下步骤来安装TCP/IP通信协议，首先依次通信协议，首先依次选择选择“开始开始”“设置设置”“网络和拨号连接网络和拨号连接”选项，选项，在弹出的对话框中用鼠标右键单击在弹出的对话框中用鼠标右键单击“本地连接本地连接”，并从，并从弹出的快捷菜单中选择弹出的快捷菜单中选择“属性属性”命令，并单击命令，并单击“安安装装”“协议协议”“添加添加”“Internet协议协议（TCP/IP）”，然后设置然后设置IP地址、子网掩码、默认网关地址、子网掩码、默认网关等，如图所示。等，如图所示。 o在设置

31、在设置IP地址时，可以有两个选择：地址时，可以有两个选择： v自动获得自动获得IP地址地址 v使用下面的使用下面的IP地址地址 “ipconfig”的结果的结果“ping ”的结果的结果“ping主机自己的主机自己的IP地址地址”的结果的结果返回本节返回本节Private IP的使用o如果单位所申请的IP地址数不够使用，那么如何让公司内部网络所有的计算机都能够使用TCP/IP协议来沟通，并连接到Internet并访问Internet上的资源呢？或者因为安全性的考虑，不让某些主机直接与外界沟通。利用Private IP地址是一个较好的方法。o在前面所介绍的IP属于公用IP地址，

32、这些地址可以直接用来连接Internet，但是专用IP（参见表8-3）是不能直接对外的IP地址，只能够在公司内部的Intranet（企业内部网）中使用。 表表3 专用专用IP返回本节返回本节3 从从Windows 9x工作站登录网络工作站登录网络返回本章首页返回本章首页安装网卡驱动程安装网卡驱动程o从Windows 9x工作站启动，依次选择“开始”“设置”“控制面板”“网络”“配置”选项，打开如图所示的对话框。其步骤如所示。图图 “配置配置”选项卡选项卡图图 “请选择网络组件类型请选择网络组件类型”对话框对话框图图 “选择网络适配器选择网络适配器”对话框对话框图图 “资源资源”选项卡选项卡返回

33、本节返回本节设置网络通讯协议图图 “选择网络协议选择网络协议”对话框对话框返回本节返回本节设置登录Windows 2000域图图 添加添加“Microsoft网络客户网络客户”协议协议图图 “Microsoft网络用户协议网络用户协议”对话框对话框图图 登录登录Windows 2000网络网络返回本节返回本节4 从从Windows 2000 Professional登录网络登录网络o独立服务器或者Windows 2000 Professional计算机在加入域后，便可以登录网络并参予域的运行，以下说明安装完成后再加入域的方法。（1）在Windows 2000独立服务器或Windows 2000

34、 Professional计算机上，添加NetBEUI和TCP/IP协议，并设置IP地址、DNS和网关。o（2）用鼠标右键单击“我的电脑”图标，并从弹出的快捷菜单中选择“属性”命令，然后从弹出的“系统属性”中选择对话框“网络标识”“属性”选项。出现图所示的对话框时，输入要加入的域名，然后单击“确定”按钮。返回本章首页返回本章首页o（3）在“网络使用者名称及密码”对话框中输入一个用户账户与密码，该用户账户必须具备“在域中添加工作站”的权利，如administrator。完成后单击“确定”按钮。o（4）若成功加入域，则会出现“欢迎加入网域”的提示，请单击“确定”按钮o（5）重新启动。一旦加入域后，

35、该计算机的完整计算机名称就会改变，也就是其末尾会附加上域的名称，。图图 “标识更改标识更改”对话框对话框返回本节返回本节返回本章首页返回本章首页Internet连接共享图图 “网络和拨号连接网络和拨号连接”对话框对话框图图 设置共享连接设置共享连接图图 外部连接的外部连接的TCP/IP设置设置图图 内部连接的内部连接的TCP/IP设置设置返回本节返回本节网络地址转换 o网络地址转换器（Network Address Translator，NAT）的功能比较强，例如它有部分类似防火墙的安全措施、对外可以使用一个以上的公共IP地址以提高效率、而且可以弹性的设置其选项等。设置如下：o（1）在服务器端

36、以Administrator的账户登录。o（2）依次选择“开始”“程序”“管理工具”“路由和远程访问”，然后用鼠标右键单击远程访问服务器，并从弹出的快捷菜单中选择“配置并启用路由和远程访问”。o（3）出现“欢迎使用路由和远程访问服务器安装向导”窗口，单击“下一步”按钮。o（4）选择“Internet连接服务器”，单击“下一步”按钮。o（5）选择“设置有网络地址转换（NAT）路由协议的路由器”。单击“下一步”按钮。 o（6）选择一个用来连接Internet的网络接口，图中的“外部连接”。单击“下一步”按钮。o（7）单击“完成”按钮完成Internet共享端设置。o（8）其他要共享此Interne

37、t连接的客户机，可以通过依次选择“开始”“设置”“网络和拨号连接”“本地连接”“属性”“Internet协议（TCP/IP）”“属性”来设置。 图图 选择公用配置选择公用配置 图图 Internet连接服务器设置连接服务器设置图图 选择选择Internet连接连接返回本节返回本节四、目录与文件权限的管理1 共享文件夹共享文件夹o共享文件夹权限的类型共享文件夹权限的类型o建立和管理共享文件夹建立和管理共享文件夹返回本章首页返回本章首页共享文件夹权限的类型共享文件夹权限的类型o将计算机内的文件夹设为“共享文件夹”后，用户就可以通过网络来访问该文件夹内的文件、子文件夹等，不过用户还必须要有适当的权限

38、。“共享文件夹”权限的类型有三种：读取、修改和完全控制。返回本节返回本节建立和管理共享文件夹 o要添加共享文件夹，首先利用要添加共享文件夹，首先利用Administrators账户登录，然后双击桌面上的账户登录，然后双击桌面上的“我的电脑我的电脑”，要添加共享文件夹的驱动器，打开该驱动器，要添加共享文件夹的驱动器，打开该驱动器，并用鼠标右键单击要被共享的文件夹，从弹并用鼠标右键单击要被共享的文件夹，从弹出的快捷菜单中选择出的快捷菜单中选择“共享共享”命令，将出现命令，将出现如图如图9-1所示对话框。所示对话框。o （1）共享名：输入该共享文件夹的共享名。）共享名：输入该共享文件夹的共享名。o

39、（2）备注：可输入一些说明性的文字。）备注：可输入一些说明性的文字。o （3）用户数限制：设置同时与该共享文件夹）用户数限制：设置同时与该共享文件夹连接的最多用户个数。连接的最多用户个数。o （4）权限：设置该共享文件夹的权限。）权限：设置该共享文件夹的权限。o （5）缓存：设置让用户在脱机时访问该共享）缓存：设置让用户在脱机时访问该共享文件夹。文件夹。 图图 “共享共享”选项卡选项卡 图图 共享访问的权限设置共享访问的权限设置图图 “添加用户、计算机或组添加用户、计算机或组”对话框对话框返回本节返回本节2 文件和文件夹的文件和文件夹的NTFS权限权限o标准标准NTFS权限的类型权限的类型oN

40、TFS权限的设置权限的设置返回本章首页返回本章首页标准标准NTFS权限的类型权限的类型o（1） 读取o（2） 写入o（3） 读取及运行o（4） 列出文件夹目录o（5） 修改 o（6） 完全控制 返回本节返回本节NTFS权限的设置o1指派文件与文件夹的权限o 要给用户指派文件与文件夹的NTFS权限，双击“我的电脑”图标，并双击文件或文件夹所在的磁盘，选定文件或文件夹并单击鼠标右键从弹出的快捷菜单中选择“属性”“安全”命令，打开图所示的对话框。o2特殊权限的指派o 要设置文件夹的特殊权限时，请在如图所示的对话框中单击“高级”按钮，将出现如图所示的对话框。若要设置特殊权限，选定“权限项目”列表中的用

41、户或组账号，单击“查看/编辑” ，将出现如图所示的对话框。图图 “安全安全”选项卡选项卡 图图 特殊权限的设置特殊权限的设置图图 特殊权限的设置特殊权限的设置返回本节返回本节3 用户的有效权限用户的有效权限o权限的累加性o“拒绝”权限将屏蔽所有其他的权限o文件权限会覆盖文件夹的权限o共享文件夹与NTFS权限的配合返回本章首页返回本章首页表表 权限的累加性权限的累加性表表 “拒绝拒绝”权限将屏蔽所有其他的权限权限将屏蔽所有其他的权限返回本节返回本节4 从工作站连接共享文件夹o可以通过以下途径来映射网络驱动器：依次单 击 “ 开 始 ” “ 程 序 ” “ 附件”“Windows资源管理器”“工具

42、”“映射网络驱动器”。驱动器、文件夹、登录时重新连接。 o在单击“完成”按钮后，就可以通过此驱动器代号来访问共享文件夹内的数据。返回本章首页返回本章首页图图 映射网络驱动器映射网络驱动器返回本节返回本节 5 将共享文件夹发布到将共享文件夹发布到Active Directoryo（1）先将文件夹设为共享文件夹。o（2）选择“ “程序”“管理工具”“Active Directory用户和计算机”选项中的zxxy组织单位选择“新建”“共享文件夹”命令，单击“确定”出现图9-8、9-9所示的对话框。o（3）单击桌面上的“网上邻居” 选择“整个网络”“全部内容”“目录”，从中选定域名后单击组织单位，出现

43、图9-10所示的窗口。 返回本章首页返回本章首页 图图9-8 发布共享文件夹到活动目录发布共享文件夹到活动目录 图图9-9 发布共享文件夹的结果发布共享文件夹的结果图图9-10 访问共享文件夹访问共享文件夹返回本节返回本节五、用户工作环境的管理o用户配置文件用户配置文件o登录脚本登录脚本o主文件夹主文件夹o环境变量的管理环境变量的管理o磁盘配额磁盘配额1 用户配置文件o本地用户配置文件o漫游用户配置文件o强制用户配置文件返回本章首页返回本章首页oWindows2000所提供的用户配置文件主要分为以下四种： o默认用户配置文件： o本地用户配置文件： o漫游用户配置文件： 强制用户配置文件： 本

44、地用户配置文件o在一台计算机上可以有多个本地用户配置文件，当用户第一次在某台Windows 2000计算机登录时，系统就会自动为这个用户在此台计算机上新建一个本地用户配置文件，事实上，该本地用户配置文件是由默认用户配置文件复制而来的。o系 统 管 理 员 可 以 依 次 选 择 “ 开 始 ” “ 设置”“控制面板”“系统”“用户配置文件”选项，并从弹出的对话框上查看这台计算机内的用户配置文件，如图10-1所示。 图图10-1 用户配置文件清单用户配置文件清单 返回本节返回本节漫游用户配置文件o1设置漫游用户配置文件o2复制、指定漫游用户配置文件o3慢速连接1设置漫游用户配置文件o（1）利用A

45、dministrator在服务器端登录。o（2）新建一个文件夹，并将其设为共享文件夹，共享名为“profiles”，设置everyone对该共享文件夹有“完全控制”的权限。o（3）依次选择“开始”“程序”“管理工具”“Active Directory 用户和计算机”选项，打开“Active Directory 用户和计算机”对话框。o（4）双击要设置的用户账户（例如域），选择Users组织单位内的用户ljj。o（5）在“属性”窗口中选择“配置文件”标签。o（6）出现图10-2所示的对话框时，请在“配置文件路径”处指定要存储该用户配置文件的UNC路径（syzxljjprofilesljj），完成

46、后，单击“确定”按钮。 图图10-2 指定账户的配置文件路径指定账户的配置文件路径2复制、指定漫游用户配置文件o（1）利用）利用administrator在服务器上登录。在服务器上登录。o（ 2 ） 依 次 选 择） 依 次 选 择 “ 开 始开 始 ” “ 设 置设 置 ” “ 控 制 面控 制 面板板”“系统系统”“用户配置文件用户配置文件”选项，出现图选项，出现图10-1所示的对话框选定一个用户配置文件，然后单击所示的对话框选定一个用户配置文件，然后单击“复制复制到到”按钮。按钮。o（3）出现图）出现图10-3所示的对话框，其设置如图所示。所示的对话框，其设置如图所示。o（4）返回）返回

47、“用户配置文件用户配置文件”对话框，单击对话框，单击“确定确定”按钮按钮即可。即可。o（5）在如图所示的对话框中，指定用户使用此漫游用户）在如图所示的对话框中，指定用户使用此漫游用户配置文件。配置文件。图图10-3 复制用户配置文件复制用户配置文件3慢速连接o用户可以通过用鼠标右键单击“我的电脑”图标，然后依次选择“属性”“用户配置文件”选项，从弹出的对话框中选定其用户配置文件，单击“更改类型”按钮，选定“本地配置文件”选项进行设置，就可以让用户在以后登录时，直接读取本地用户配置文件，但是以后用户所做的环境更改，只会存储到本地用户配置文件内，并不会存储到服务器上的漫游用户配置文件内。返回本节返

48、回本节强制用户配置文件o强制用户配置文件也是属于漫游用户配置文件，只不过用户无法更改此用户配置文件。因此，若要限制用户的桌面设置时，就可以利用强制用户配置文件。o建立强制用户配置文件的方法与指定漫游用户配置文件的方法一样，不过在完成后，还必须要 将 该 漫 游 用 户 配 置 文 件 的 文 件 夹 内 的Ntuser.dat文件名改为Ntuser.man，该漫游用户配置文件就变成了强制用户配置文件。返回本节返回本节2 登录脚本o域用户账户的登录脚本o本地用户账户的登录脚本返回本章首页返回本章首页登录脚本o所谓登录脚本，就是当用户从Windows 2000或Windows NT计算机登录时，就

49、会自动执行的程序，类似于DOS中的自动批处理命令（Autoexec.bat）。登录脚本可以是：扩展名为.BAT或.CMD的批处理文件、扩展名为.EXE或.COM的可执行文件以及利用VB或JScript编写的Windows脚本。o在批处理文件内也可以使用如表10-1所示的变量名称。 表表10-1 批处理中可使用的变量批处理中可使用的变量域用户账户的登录脚本o将登录脚本指派给域用户账户的步骤如下：o（1）请先创建好登录脚本。 o（2）指定用户使用此登录脚本，可以通过以下途径：依次选择“开始”“程序”“管理工具”“Active Directory用户和计算机”，从弹出的对话框中选定用户账户所在的组织

50、单位（例如Users） 双击要设置的用户账户“配置文件”。出现如图10-4所示的对话框时，请在“登录脚本”处输入登录脚本的文件名（不可输入完整的路径）。o（3）单击“确定”按钮完成设置，以后该用户登录时，就会从负责审核用户登录身份的域控制器处读取该登录脚本，并执行。图图10-4 设置登录脚本的路径设置登录脚本的路径返回本节返回本节本地用户账户的登录脚本o将登录脚本指派给本地用户账户的步骤如下：o（ 1 ） 先 创 建 好 登 录 脚 本 。 然 后 将 其 复 制 到 本 地 的%systemroot%system32replimport scripts文件夹内（若该文件夹不存在，则请自行手动

51、建立）。o（2）指定用户使用此登录脚本，可以通过以下途径：依次选择 “ 开 始 ” “ 程 序 ” “ 管 理 工 具 ” “ 计 算 机 管理”“系统工具”“本地用户和组”“用户”，然后双击要设置的用户账户并单击“配置文件”。出现类似图10-4的对话框，请在“登录脚本”处输入登录脚本的文件名。o（3）单击“确定”按钮完成设置，以后该用户登录时，就会从负责审核用户登录身份的计算机处读取登录脚本，并执行它。返回本节返回本节3 主文件夹o除了“我的文档”外，Windows 2000还提供一个可以让用户存储私人信息的文件夹，那就是“主文件夹”，只有该用户与administrator才有权限访问该文件

52、夹。主文件夹并不包含在用户配置文件内。o域用户与本地用户都可以指定主文件夹，主文件夹可以被设置在本地计算机内、也可以设置到网络上某台计算机的共享文件夹内。通过类似于“10.2登录脚本”中的途径，打开类似于图10-5所示的对话框。返回本章首页返回本章首页图图10-5 设置主文件夹设置主文件夹返回本节返回本节4 环境变量的管理o在Windows2000内的环境变量分为以下两类:ol 系统变量：系统变量适用于所有从此台计 算 机 登 录 的 用 户 ， 只 有 具 备administrator权限的用户，才可以添加或更改系统变量。ol 用户变量：每个用户也可以自定义用户变量，这个变量只对该用户有效，

53、不会影响到其他的用户。返回本章首页返回本章首页图图10-6 环境变量环境变量返回本节返回本节5 磁盘配额o磁盘配额的设置o查看每个用户的磁盘配额使用情况返回本章首页返回本章首页o磁盘配额的特性如下：o磁盘配额是针对单一用户账户来控制和跟踪的。o只有Windows 2000的NTFS 5.0磁盘分区才支持磁盘配额的功能。o磁盘配额是以文件与文件夹的所有权来计算的。o磁盘配额的计算不考虑文件压缩的因素。 o每个NTFS磁盘分区的磁盘配额是独立计算的，不论这几个NTFS磁盘分区是否在同一个硬盘内。 默认情况下系统管理员不受到磁盘配额的限制。磁盘配额的设置图图10-7 “计算机管理计算机管理”对话框对

54、话框图图10-8 设置磁盘配额设置磁盘配额图图10-9 拒绝将磁盘空间给超过磁盘配额的用户拒绝将磁盘空间给超过磁盘配额的用户返回本节返回本节查看每个用户的磁盘配额使用情况 o在如图10-8所示的对话框中，单击“配额项”按钮，如图10-10所示，可以查看每个用户的磁盘使用情况，也可以通过它来查看用户的磁盘配额使用情况以及单独设置每个用户可使用的磁盘配额空间。o如果要更改其中某一个用户的磁盘配额设置，只要双击该用户，然后在出现图10-11所示的对话框中更改其磁盘配额设置。图图10-10 磁盘使用情况列表磁盘使用情况列表图图10-11 设置某用户账户的磁盘配额设置某用户账户的磁盘配额返回本节返回本节

55、六、 组策略o组策略概述组策略概述o管理模板策略的设置管理模板策略的设置oWindows 设置策略的管理设置策略的管理o通过软件设置策略部署应用程序通过软件设置策略部署应用程序1 组策略概述o组策略对象o组策略的应用顺序与规则返回本章首页返回本章首页组策略包括：计算机配置、用户配置其组策略包含以下内容： 1）管理模板：包括Windows组件、网络、桌以及任务栏和开始菜单等相关的策略。 2）Windows设置：包括脚本、安全设置（户策略和本地策略）等相关的策略。 3）软件设置：包括软件安装策略，可以进应用程序的指派与发布。组策略对象图11-1 “组策略”选项卡1更改组策略（1）选择“开始”“程序

56、”“管理工具”“Active Directory用户和计算机”选项，选择“属性”“组策略”命令。（2）选定“Default Domain Controllers Policy”，然后单击“编辑”按钮。（3）打开如图11-2所示的“组策略”窗口后，然后双击窗口右侧的“在本地登录”。（4）出现如图11-3所示的对话框时，单击“添加”按钮，选择Domain Users组以便让所有的域用户都具备“在本地登录”的权利。完成后单击“确定”按钮关闭此对话框。（5）返回“组策略”窗口时，请关闭此窗口。（6）返回“Domain Controllers属性”对话框，单击“确定”。 图11-2 组策略窗口图11-3

57、 有“在本地登录”权限的用户和组 2验证更改组策略的有效性（1）在服务器端，以administrator账户登录。（2）依次选择“开始”“程序”“管理工具”“Active Directory用户和计算”选项，从中选择“新建”“用户”命令添加一个一般的用户账户。（3）完成后，注销administrator，然后等待此组策略生效。（4）重新登录时，请用刚建立的域用户登录，此时应该可以正常登录成功。返回本节返回本节组策略的应用顺序与规则（1）如果是在高层容器内建立了组策略，则低层容器会继承在高层容器内所建立的组策略。（2）如果在低层的容器内建立了组策略，则此组策略内的设置默认会替代由其高层的父容器所

58、传递下来的组略。 （3）如果在父容器的某个策略被设为“未被配置”，则子容器并不会继承这个策略。 （4）如果在父容器的组策略内的某个设为“启用”或“禁用”，则子容器会继承这个设置。（5）直接以子容器的组策略为其设置。（6）在父容器的组策略内，通过“禁止替代” 子容器必须继承由父容器传递的组策略设置。返回本节返回本节2 管理模板策略的设置o设置管理模板策略o设置组策略的替代功能返回本章首页返回本章首页图11-4 组策略示例返回本节返回本节设置管理模板策略（1）在“Active Directory中，选择“属性”“组策略”“新建”命令，添加一个GPO，命名为“xuexiao Policy”。（2）在

59、如图11-5所示的对话框中，单击“编辑”。（3）在如图11-6所示的“组策略”窗口中，选择“用户配置”“管理模板”“任务栏和开始菜单”选项。（ 4 ） 在 如 图 1 1 - 6 所 示 选 择 “ 用 户 配置”“管理模板”“桌面”。（5）完成后，关闭“组策略”窗口。（6）单击“关闭”按钮，结束组策略设置。图11-5 添加新的组策略图11-6 设置组策略 图11-7 设置策略的是否启用返回本节返回本节设置组策略的替代功能（1）在“Active Directory用户和计算” 选择“属性”“组策略”“新建”选项，添加一个GPO，命名为“9901 Poliicy”，单击“编辑”按钮。（ 2 ）

60、在 “ 组 策 略 ” 中 选 择 “ 用 户 配置”“管理模板”“任务栏和开始菜单”，选择“禁用”，单击“确定” 。（ 3 ） 在 “ 组 策 略 ” 中 选 择 “ 用 户 配置”“管理模板”“桌面”。选择“禁用”，单击“确定”。关闭“组策略”窗口。单击“关闭”结束组策略设置。返回本节返回本节3 Windows 设置策略的管理设置策略的管理o账户策略的设置o本地策略的设置o登录/注销、启动/关闭脚本返回本章首页返回本章首页图11-8 账户策略的设置账户策略的设置1密码策略的设置（1） 密码最长存留期 （2）密码最短存留期（3） 密码长度最小值（4）强制密码历史2账户锁定策略的设置o 账户锁