《组网技术》第5章 Windows 2000服务器的系统管理

第5章Windows2000服务器的系统管理5.1工作组和域5.2新建和管理用户帐号5.3共享文件及文件夹的设置5.4网络打印管理5.5文件、文件夹的备份及数据还原

本章主要介绍工作组和域的概念，创建新用户及组，在组中添加用户，通过不同用户登录系统，设置共享资源及用户权限，网络打印机的安装及使用以及系统文件夹的备份、还原。

5.1.1工作组

在Windows2000Server网络中，可以通过组对网络的多个对象进行管理。组(Workgroup)是活动目录(ActiveDirectory)或本地计算机对象，它可以包含用户、计算机以及其他组。组可以用来管理用户和计算机对共享资源的访问，例如，活动目录对象及其属性、网络共享设置、文件、目录、打印机队列等，还可以筛选组策略。5.1工 作 组 和 域可以将具有相同权限的用户规划到一个组中，使这些用户成为该组的成员，然后通过赋予该组的权限来使其中每一个成员都具有相应的权限；或者在添加用户时，只要将其加入组，则该用户就具有此组所拥有的权限，而不需要替每个用户分别进行设置，这简化了网络的管理。

1．组的类型

Windows2000Server所支持的组分为两种类型：安全式组和分布式组。

安全式组：安全式组可以用来设置权限，简化网络的维护和管理。例如，可以设置某个安全组对某个文件具备“读取”的权限。安全式组也可以用在与安全无关的任务上，例如，将电子邮件发送给某个安全式组。

分布式组：分布式组只能用在与安全(权限的设置等)无关的任务上，例如，可以将电子邮件发送给某个分布式组。分布式组不能进行权限设置。

2．组的作用域

每个安全式组和分布式组均具有作用域，在Windows2000Server域内，有3类不同的作用域：全局组、本地域组和通用组。

1)全局组

全局组主要用来组织用户，可以将多个权限相似的用户帐户加入到同一全局组内。全局组的特点如下：

(1)全局组内的成员只能够包含该组所属的域内的用户帐户与全局组。也就是说，只能够将同一域内的用户帐户与其他全局组加入到全局组内。

(2)全局组可以访问任何一个域内的资源，也就是说，可以在任何一个域内设置某个全局组的使用权限，以便让此全局组具备权限来访问该域内的资源。

2)本地域组

本地域组主要用来指派其在所属域内的访问权限，以便可以访问该域内的资源。本地域的特点如下：

(1)本地域组内的成员，能够包含任何一个域内的用户帐户、通用组、全局组，它也能够包含同一域内的本地域组，但是无法包含其他域内的本地域组。

(2)本地域组只能够访问同一域内的资源，无法访问其他域内的资源。换句话说，在设置本地域组的权限时，只可以设置同一域内的资源的权限，但是无法设置其他域内的资源的权限。

3)通用组

通用组主要用来指派在所属域内的访问权限，以便可以访问每一域内的资源。通用组的特点如下：

(1)通用组内的成员，能够包含任何一个域内的用户帐户、通用组、全局组，但是无法包含任何一个域内的本地域组。

(2)通用组可以访问任何一个域内的资源，也就是说，可以在一个域内设置通用组的权限，以便让此通用组具备权限来访问该域内的资源。在单一域的网络环境下，利用组来管理网络资源时，为了便于管理，建议采用以下的准则：建立一个全局组，然后将具备相同权限的用户帐户加入到该组内。例如，将计算机教研组所有教师的用户帐户加入到一个名为“compute”的全局组内。建立一个本地域组，让此组对某些资源具备适当的权限。例如，有一个激光打印机供某些用户来打印，则建立一个名为“Lprint”的本地域组，将所有需要该资源访问权限的全局组加入到本地域组内。例如，将“compute”全局组加入到“Lprint”本地域组内。指定适当的权限给本地域组。例如，让“Lprint”本地域组对激光打印机具备使用的权限。也就是将用户帐户加入到全局组内，再将此全局组加入到本地域组内，最后指派适当的权限给本地域组。经过这些步骤后，上述用户帐户就会具备相应的权限。5.1.2域

域(Domain)是一组计算机构成的逻辑组织单元，管理员通过它对网络上的计算机系统进行安全管理。可以通过域把若干计算机组织起来构成一个计算机信息网络系统，域成员中的计算机有域控制器、域成员服务器和域成员计算机三种。没有加入域的计算机也可以像访问工作组一样访问域，但不能获得完全的服务。

一台服务器之所以称为域控制器，是因为在域控制器上存放着包含域的所有信息的域数据库，以数据库为基础对域进行管理的组件称为活动目录，即ActiveDirectory(简称为AD)，AD在作为域控制器的服务器上运行。通过AD的操作界面，管理员可以对网络实施有效的组织与管理。

域是活动目录和企业安全的全部起点；工作组则仅限于家庭或小型办公室安装。

域是一组由服务器共享的用户帐号和用户帐号组。域的命名规则为：域名后面跟一个标识符(默认设置是.com)，该标识符用来区分使用域的机构类型。如常用的域名有：

.com商业公司

.org非盈利机构

.gov

政府部门

.edu

教育机构

在一个网络中，用户是网络的主体。拥有用户帐户是用户登录到网络并使用网络资源的基础，因此用户帐户管理是Windows网络管理中必须且最常做的工作。5.2新建和管理用户帐号5.2.1新建用户和组

用户指的是计算机的使用者。用户帐户包含用户唯一的身份标识。通过用户帐号，用户可以登录到特定的域，访问网络资源；或者登录到指定计算机，访问该计算机上的资源。对于登录到网络的用户，都必须被授予用户帐户。

Windows2000所支持的用户帐户有三种类型：域用户帐户、本地用户帐户和内建用户帐户。

1)域用户帐户

域用户帐户建立在域控制器的ActiveDirectory数据库内。用户可以利用域用户帐户来登录域，并利用它来访问网络上的资源，例如访问其他计算机的文件、打印机等资源。当用户利用域用户帐户进行登录时，由域控制器来检查用户所输入的帐户与密码是否正确。将用户帐户建立在某台域控制器内后，该帐户会自动复制到同一域内的其他所有域控制器中。因此，当该用户登录时，此域内的所有域控制器都可以负责审核用户的身份，也就是检查用户所输入的用户名与口令是否正确。

2)本地用户帐户

本地用户帐户建立在Windows2000独立服务器、Windows2000成员服务器或Windows2000Professional的本地安全数据库内，而不是域控制器内。用户可以利用本地用户帐户来登录此计算机，但是只能够访问这台计算机内的资源，无法访问网络上的资源。本地用户帐户只存在于这台计算机内，Windows2000不会将其复制到域控制器的活动目录内。当用户利用本地用户帐户登录时，这台计算机将根据本地安全数据库来检查帐户与密码是否正确。在此，建议用户最好不要在Windows2000成员服务器或已加入域的Windows2000Professional内建立本地用户帐户，因为无法访问域上的资源，同时域系统管理员也无法管理这些本地用户帐户。因此，域结构的网络中，用户帐户最好都建立在域控制器的活动目录内。

3)内建用户帐户

在安装Windows2000时一并安装的用户帐户称为内建用户帐户，通常为administrator和guest。

(1)

administrator。administrator帐户为初次安装Windows2000Server系统后的预设系统管理员，因此具有至高无上的权力。它可对整个域或计算机进行设置，例如：用户帐户与组的建立、更改、删除，建立打印机，设置安全策略，设置用户帐户的权限，分配资源等。该帐户可以更名但无法删除，也无法设置为禁止(Disable)。因此，为了安全起见，进入系统后应将administrator帐户更名。

(2)

guest。guest帐户用来提供给来宾作为临时帐户使用。所谓来宾，就是偶尔要求登录入网的用户。guest帐户具有一小部分的权限。guest帐户可以被更名，但无法删除它，要使用该帐户时，首先要设置它为允许(Enable)使用，默认设置为禁止(Disable)。

guest帐户用于在该计算机所在的域或者受该计算机所在域委托的任何域上都没有实际帐户的人。帐户禁用(但未被删除)的用户也能使用guest帐户。guest帐户不需要密码，而且有两种登录类型：本地来宾登录和网络来宾登录。你可以配置每个域和计算机，使其允许两种、一种或者不允许任何一种类型登录。在安装Windows2000Server后，默认情况下guest帐户被禁用，但可将其设置为有效。

1．创建本地用户帐户

操作步骤如下：

(1)单击“开始”/“程序”/“管理工具”/“计算机管理”，打开“计算机管理”窗口，选择“本地用户和组”，如图5-1所示。

(2)在该窗口中，单击左边窗格中的“用户”文件夹。单击“操作”菜单，选择“新用户”命令，打开“新用户”对话框，或者在打开“用户”文件夹后右窗格的空白处，点击鼠标右键，从快捷菜单中打开“新用户”对话框。

图5-1“计算机管理”窗口

(3)在“新用户”对话框中进行如下设置：在“用户名”文本框中输入所创建用户的名称，在“密码”和“确认密码”文本框中输入用户设置的密码。如果希望用户下次登录时更改密码，可选中“用户下次登录时须更改密码”复选框，否则选中“用户不能更改密码”复选框；如果希望密码永远不过期，可选中“密码永不过期”复选框；如果暂不启用该用户帐号，可选中“帐户已停用”复选框，如图5-2所示。

(4)单击“创建”按钮即完成创建。

图5-2创建“新用户”对话框

2．密码管理

用户密码是用户登录计算机时所采用的最重要的安全措施。当用户密码被别人盗用或者用户认为有必要修改自己的密码时，管理员用户可以通过Windows2000提供的修改密码工具对用户使用的旧密码进行重新设置。操作步骤如下：

(1)在“计算机管理”窗口中，选中所需修改的用户名，单击“操作”菜单中的“设置密码”命令。

(2)在打开的“设置密码”对话框中，在“新密码”和“确认密码”文本框中输入要设置的新密码，单击“确定”按钮，如图5-3所示。

图5-3“设置密码”对话框

3．创建工作组

组是用户帐户的集合。利用组可以管理用户对网络资源的访问，也可以将访问共享资源的权限一次赋予整个组，而不必多次赋予各个用户，这样将大大简化对用户帐户的管理。

1)组的工作方式

在工作组和域中，组的工作方式分为工作组中的组和域中的组。工作组中的组不是在域控制器的计算机上创建的，只有在创建该组的本地计算机上才可以进行授予访问资源的权限和执行系统任务的权力。域中的组是在域控制器计算机上创建的，利用他们授予的访问资源权限和执行系统任务的权力只适用于该域中的计算机。

2)工作组的实现

通常，在工作组中实现的组其实质就是本地组。利用本地组授予的访问资源的权限只适用于本地计算机。除了与用户帐户一样可以在本地计算机上创建组，Windows2000Server还提供了系统默认的内置本地组，包括Administrators组、BackupOperators组、Guests组、PowerUsers组、Replicator组和Users组，这些组具有在本地计算机上执行系统任务的特别权力。其权限分述如下：

(1)

Administrators组。管理员对计算机或域有不受限制的完全访问权。

(2)

BackupOperators组。备份操作员为了备份或还原文件可以替代安全限制。

(3)

Guests组。来宾同用户组的成员等同。

(4)

PowerUsers(超级用户)组。权限高的用户拥有最高的管理权限，但有所限制，不能修改管理员或备份操作员。

(5)

Replicator组。支持域中的文件复制。

(6)

Users组。即使用计算机的用户。

4．创建本地组

创建本地组的操作步骤如下：

(1)单击“开始”/“程序”/“管理工具”/“计算机管理”，在出现的“计算机管理”窗口中选择“本地用户和组，如图5-4所示。

(2)单击鼠标右键，在弹出的快捷菜单中选择“新建组”命令。

(3)在打开的“新建组”对话框中，在“组名”和“描述”文本框中输入创建组的名称和简单描述，如图5-5所示。

图5-4创建本地组

图5-5“新建组”对话框

(4)对于新创建的本地组，“成员”列表框中的成员数据为空。往组中添加新的成员时，单击“添加”按钮，打开“选择用户或组”对话框，如图5-6所示。

(5)从本地列表框中选择一个本地用户，单击“添加”按钮，则用户出现在“选择了下列对象”列表框中。如果需要再添加其他成员，只需重复以上的操作即可。

(6)单击“确定”按钮，返回“新建组”对话框，可以发现该用户已经在“成员”列表框中了。

(7)单击“创建”按钮，完成本地组的创建。

图5-6向组中添加用户5.2.2管理用户和组

1．管理用户

用户可以进行删除、重命名和修改等操作。

1)删除本地用户帐号

如果系统中的某一个用户帐户不再使用，可将该用户帐户从本地用户帐号中删除。操作步骤如下：

(1)在“计算机管理”窗口的右边窗格中选中需要删除的用户名，单击“操作”菜单中的“删除”命令，如图5-7所示。

(2)在出现信息确认框中单击“是”按钮，即可删除该用户。

图5-7删除用户

2)重命名本地用户帐号

当某一个用户帐号需要重新被命名时，在“计算机管理”窗口中选定需要重命名的用户名，单击“操作”菜单中的“重命名”命令，对该用户输入新的用户名称，按Enter键即可。

3)将用户加入已有用户组

选中用户，点击右键，在弹出的快捷菜单中选择“属性”命令，在用户属性对话框中选择“隶属于”选项卡，点击“添加”按钮，在弹出的选择组对话框中选择目标组，如图5-8所示。

图5-8将用户加入已有组

2．管理本地组

对本地组可以像对本地用户一样进行删除、重命名和修改操作。

1)删除本地组

在“计算机管理”窗口中，选择要删除的本地组，单击鼠标右键，在弹出的快捷菜单中选择“删除”命令，即可将该组删除。

2)重新命名组

在“计算机管理”窗口中，选择要重命名的本地组，单击鼠标右键，在弹出的快捷菜单中选择“重命名”命令，即可将该组重新命名。

3)修改本地组属性

在“计算机管理”窗口中，选择要修改的本地组，单击鼠标右键，在弹出的快捷菜单中选择“属性”命令，打开本地组属性对话框，修改后单击“确定”按钮，如图5-9所示。

图5-9在组中添加、删除用户

在各种网络资源中，文件和文件夹是用户最常访问的共享资源，因此对文件的管理是网络操作系统的基本功能之一。5.3共享文件及文件夹的设置5.3.1设置共享文件夹的使用权限

在Windows2000中可利用NTFS文件系统来保证数据管理的安全性。Windows2000Server对NTFS文件系统提供了NTFS权限。通过对文件或文件夹进行允许或禁止等设置，NTFS提供了对资源的保护。共享文件夹只能对文件夹进行文件资源的访问限制，而不能对文件进行网络访问的限制。对于NTFS系统，本地用户可以通过NTFS权限进行文件资源访问的限制。下面我们就着重讨论一下Windows2000中NTFS权限的使用。

1．NTFS文件和文件夹权限

访问控制是对访问网络上的用户和组进行身份验证的过程，并确定允许或拒绝用户和组对系统资源的访问请求。权限定义了授予用户和组对某个对象或对象属性的访问类型，因此可以利用NTFS权限进行访问控制。在Windows2000的NTFS磁盘分区上可以分别对文件或文件夹设置NTFS权限，其中对文件可以设置五种权限，分别是“完全控制”、“修改”、“读取及运行”、“读取”和“写入”。对文件夹可以设置六种权限，除上面五种权限外还有一个“列出文件夹目录”权限。选中文件夹或文件，打开其“属性”对话框中的“安全”选项卡，可以查看或修改文件夹和文件的安全属性，如图5-10和图5-11所示。

图5-10用户Guests的权限

图5-11Everyone的权限表5-l和表5-2分别列出了各种NTFS文件和文件夹的权限及其功能。表5-1NTFS文件权限

表5-2NTFS文件夹权限用户帐户可能会属于多个组，如果每个组对某个资源拥有不同的权限，那么该帐户对该资源拥有多重权限。

例如，如果某个用户是对一个文件夹具有读取权限的某个组中的成员，该用户还可以是对同一个文件夹具有写入权限的另外一个组中的成员。

Windows2000Server按照以下方式确定用户访问控制权：

(1)权限的累加。用户对每个资源的有效权限是其所有权限的总和，即将所有权限相加为该用户的权限。如果用户对文件具有“读取”权限，该用户所属的组又对该文件具有“写入”的权限，那么该用户就对该文件同时具有“读取”和“写入”的权限。例如，假设有一个文件叫FILE，用户USER1属于GROUP1组，USER1对文件FILE有“读取”权限，GROUP1对文件FILE有“写入”权限，那么USER1对FILE的权限为“读取”加“写入”。

(2)对资源的拒绝权限将覆盖所有其他的权限。例如，当用户对某个资源的权限被设为拒绝访问时，则用户的最后权限是无法访问该资源，其他的权限不再起作用。例如，假设有一个文件叫FILE，USER1用户属于GROUP1组，USER1对文件FILE有“读取”权限，用户组GROUP1对FILE有“拒绝”权限，那么USER1对FILE的权限将不再是读取加写入，而是无法访问文件FILE。

(3)文件权限覆盖文件夹权限。当用户或组对某个文件夹及该文件夹下的文件有不同的访问权限时，用户对文件的最终权限是用户被赋予访问该文件的权限。例如，假设一用户对文件夹FOLDER没有访问权限，但是该文件夹下的文件FILE.TXT没有继承FOLDER的权限，也就是说对FILE文件是有权限访问的，只不过无法用资源管理器之类的工具来打开FOLDER文件夹，无法看到文件FILE而已(因为该用户对文件夹FOLDER没有访问权限)，但是可以通过输入它的完整的路径来访问该文件。比如可以用C:\folder\file.txt来访问FILE文件(假设FILE文件在C盘)。

2．设置NTFS权限

使用了NTFS分区以后，必须为需要访问资源的每一个用户帐号授予NTFS权限，用户必须获得明确的授权才能访问经过设置的资源。如果没有权限，那么它将被拒绝访问该资源。

用NTFS格式化时，Everyone组将具有完全控制的权限，可以改变其权限以控制用户对资源的访问。管理员帐户是对文件和文件夹具有完全控制权限的拥有者，可以为用户帐户和组指定访问控制权限，具体操作步骤如下：

(1)在资源管理器窗口中，选择要设置NTFS权限的文件和文件夹。

(2)单击鼠标右键，在弹出的快捷菜单中选择“属性”命令，打开该文件“属性”对话框，单击“安全”选项卡。

(3)在“安全”选项卡中设置适当的选项。“安全”选项卡中各选项描述如下：

“名称”列表框——在该列表框中选择要设置权限的用户帐户或组。“权限”列表框——如果要允许某种权限，可在相应的权限后面选中“允许”复选框。

“添加”按钮——在打开的对话框中选择要添加到“名称”列表框中的用户帐户和组。

“删除”按钮——将选中的用户帐户或组清除，同时删除与它相关的、对文件和文件夹的权限。

默认情况下，子文件夹和文件会继承父文件夹的权限。如果要阻止子文件夹和文件继承父文件夹的权限，可以清除“允许将来自父系的可继承权限传播给该对象”复选框。下面通过实例来说明。假设有一个文件叫做FILE.txt，要求设置为只有USER1、USER2和USER3这三个用户才可以使用的文件，但是USER1用户可以随意操作该文件，USER2用户只能读取该文件，而不能进行如修改等其他操作，USER3可以读取，可以写入，但是不能删除该文件。具体操作方法如下：

(1)右键点击FILE，选择“属性”命令，在弹出的“属性”对话框中选择“安全”选项卡。

(2)将下面的“允许将来自父系的可继承权限传播给该对象”前面的钩去掉，再弹出一个对话框，在其中选择“删除”，也就是说把上面的Everyone等所有的帐号删除，如图5-12所示。

(3)点击“添加”按钮，弹出一个对话框，选中USER1，再点击“添加”、“确定”按钮。

(4)选中USER1，在“完全控制”后面的“允许”下面打上钩。

(5)依照前面的方法添加USER2。选中USER2，在“读取”后面的“允许”中打钩，其他的钩全部去掉，如图5-13所示。

图5-12修改安全权限

图5-13对User2修改安全权限

(6)依照上述方法添加USER3。

(7)选中USER3，在“修改”后面的“允许”中打钩，确认“完全控制”的钩去掉。选中“高级”，选中USER3，点击“查看/编辑”按钮，把“删除”后面“允许”的钩去掉，如图5-14所示。

图5-14删除权限属性这时，用USER1登录，那么可以完全控制该文件。用USER2登录，可以打开该文件，当保存的时候会出现“不能创建FILE，请确认路径和文件名是否正确”的提示框。这说明现在USER2无法保存该文件，当然也无法进行其他操作，只能读取该文件。用USER3登录，可以打开该文件，也可以保存。当删除该文件的时候会出现“无法删除FILE：拒绝访问。源文件可能正在使用”的提示框，说明无法删除该文件。

3．复制和移动文件夹的权限

对文件或文件夹进行复制和移动，文件和文件夹的权限将会随之改变，一般有以下两种情况：

(1)在单个NTFS分区上或者不同的NTFS分区间进行文件或文件夹的复制时，该文件或文件夹将继承目标文件夹的权限。

(2)将文件或文件夹从NTFS分区复制到非NTFS分区时，文件或文件夹将丢失NTFS权限。将文件从一个文件夹移动到另一个文件夹时，权限则根据移动文件或文件夹的目标位置而定，主要有以下3种情况：

(1)在单个NTFS分区内进行文件或文件夹的移动时，文件或文件夹将保持原有权限不变。

(2)在不同NTFS分区间进行文件或文件夹的移动时，文件或文件夹将继承目标文件夹的权限。

(3)文件或文件夹从NTFS分区移动到非NTFS分区时，文件或文件夹将丢失NTFS权限。5.3.2设置共享文件和文件夹的属性

资源共享是网络最重要的特性，共享文件夹是在网络上发布文件资源以及客户从网络上获得文件资源的便捷途径，其在局域网上得到广泛的应用。

1．添加共享文件夹

在Windows2000Server中，使用计算机管理窗口添加共享文件夹的操作步骤如下：

(1)单击“开始”/“程序”/“管理工具”/“计算机管理”。

(2)在“计算机管理(本地)”窗口中，鼠标右键单击“共享文件夹”，选择“共享”，在弹出的快捷菜单中选择“新文件共享”命令，如图5-15所示。

图5-15新文件共享

(3)打开“创建共享文件夹”对话框，如图5-16所示，单击“浏览”按钮选择要共享的文件夹，打开“浏览文件夹”对话框。

(4)在如图5-17所示的“浏览文件夹”对话框中，选择想要共享的文件夹或者创建一个新的文件夹，如文件夹abc。单击“确定”按钮，返回“创建共享文件夹”对话框。

(5)输入一个共享名和一个共享描述，单击“下一步”按钮。

(6)在“创建共享文件夹”权限选项对话框中选择相应的权限，如图5-18所示。

图5-16选择共享文件夹

图5-17创建共享文件夹

图5-18设置共享文件夹权限

(7)单击“完成”按钮，即完成共享文件夹的设置。

另外，用户也可以通过以下步骤设置共享文件夹：

(1)在资源管理器窗口中，右键单击要设置共享的文件夹，从弹出的快捷菜单中选择“共享”命令。

(2)在该文件夹的属性对话框中，选择“共享该文件夹”单选按钮，系统默认将文件夹的名字当作共享名，如图5-19所示。“最多用户”单选按钮应处于选中状态。如果希望限制能访问这个共享点的用户的最大数量，可以通过调整用户数来实现。

图5-19设置文件夹共享属性

(3)点击“权限”按钮，在弹出的共享权限对话框中设置赋予访问权限的用户或组以及被允许访问用户或组的具体权限。在默认的情况下，Everyone组对该文件夹具有完全控制访问权限，如图5-20所示。

(4)如果对访问用户有所选择，可以单击“删除”按钮，删除Everyone组，然后再单击“添加”按钮，打开如图5-21所示的“选择用户或组”窗口。

图5-20设置共享权限

图5-21选择用户或组

(5)单击“确定”按钮，关闭窗口返回其“属性”对话框。

(6)单击“应用”按钮，创建该共享。

2．映射网络驱动器

有时我们要为共享资源分配一个网络驱动器。将共享文件夹映射成驱动器，在使用时会显得非常方便。操作步骤如下：

(1)右键单击“我的电脑”图标，在弹出的快捷菜单中选择“映射网络驱动器”命令，打开“映射网络驱动器”对话框。在“驱动器”下拉列表中，选择一个本机没有使用的盘符作为共享文件夹的映射驱动器符号，如图5-22所示。

图5-22“映射网络驱动器”对话框

(2)单击“浏览”按钮，选择要映射的文件夹或输入要共享的文件夹名及路径。如果需要下次登录时自动建立与共享文件夹的连接，选中“登录时重新连接”复选框。

(3)单击“完成”按钮，即可完成共享文件夹到本机的映射。

3．共享文件夹权限

在网络环境中，用户通过共享文件夹访问文件资源，但要获得对文件的访问，则必须拥有访问共享文件夹的权限。当一个文件夹被共享时，用户可以通过网络连接到该文件夹并访问其中包含的文件，具体可以实现何种程度的访问形式，由指定共享文件夹的权限决定。

1)共享权限的基本类型

在共享文件夹管理中，控制用户对共享文件夹的访问是通过配置共享文件夹权限实现的。共享权限的基本类型有读、更改、完全控制等，所对应的访问方式和操作对象见表5-3。

表5-3共享权限的类型

2)

NTFS权限和共享文件夹的权限

共享文件夹是为了控制网络用户对网络资源的访问，给用户和组指定NTFS权限是为了控制对共享文件夹中文件和子文件的访问控制权。如果将共享文件夹权限与NTFS权限组合，将会具有更严格的权限。

(1)共享文件夹权限与NTFS权限的不同。共享文件夹权限只能用于整个文件夹，不能用于该文件夹中的单个文件或子文件夹，它提供了有限的安全保护；用NTFS权限控制对文件夹的访问则具有最大的灵活性。因此，NTFS权限可以提供比共享文件夹更高的安全性；共享文件夹权限对本地用户帐户不起作用，只用于通过网络连接文件夹的用户帐户；共享文件夹权限是保护FAT文件系统上网络资源的唯一方法；在系统默认的情况下，共享文件夹权限是完全控制并被默认设置到Everyone组中的。

(2)

NTFS权限和共享文件夹的权限组合。在NTFS文件系统上使用共享文件夹权限时，NTFS文件系统上必须要求NTFS权限，默认情况下，Everyone组具有“完全控制”权限。对共享文件夹中的各个文件夹，用户除具有该共享文件夹的权限之外，还具有相应的NTFS权限。当NTFS权限与共享文件夹的权限组合后产生的权限，或者是组合的NTFS权限，或者是组合的共享文件夹权限，哪种权限范围更小则取哪种权限。

3)复制和移动共享文件夹

在复制共享文件夹时，原文件夹仍是共享的，但副本不是共享的。移动共享文件夹时，其共享性消失。

Windows2000Server能够为许多计算机平台提供网络打印服务，不论网络中的计算机使用何种操作系统，都能够将打印作业从客户计算机传递给与Windows2000Server打印服务器相连接的打印机或者网络中的其他打印机。5.4网络打印管理5.4.1网络打印机的安装

共享打印机是网络操作系统提供的基本服务之一，网络中拥有本地打印机的用户可按要求提供不同位置的共享打印机。如果有专门的打印服务器，那么所有的打印任务就可以集中在打印服务器上进行打印和管理，这样既可以节约购买打印机的费用，也可有效地控制打印成本。

1．安装本地打印机

本地打印机是指打印机物理连接在本地计算机上。在Windows2000Server中添加打印机的操作步骤如下：

(1)单击“开始”/“设置”/“打印机”命令，利用“打印机”文件夹管理和设置现有的打印机及添加新的打印机。

(2)双击“添加打印机”图标，启动“添加打印机向导”对话框。

(3)在“添加打印机向导”对话框中，单击“下一步”按钮。

(4)打开本地或网络打印机对话框，选择“本地打印机”单选按钮，即可添加本地打印机，如图5-23所示。

图5-23添加打印机

(5)单击“下一步”按钮，打开“选择打印机端口”对话框，选择要添加的打印机所在的端口。如果要使用计算机的原有端口，可以选择“使用以下端口”单选按钮。一般情况下，用户的打印机都安装在计算机的LTPl打印机端口上。

(6)单击“下一步”按钮，打开“选择打印机型号”对话框，选择打印机的生产厂商和型号。其中，“制造商”列表框中列出了Windows2000支持的所有打印机的制造商。

如果在“打印机”列表框中没有列出所使用的打印机，说明Windows2000不支持该型号的打印机。一般情况下，打印机都附带支持Windows2000的打印驱动程序。此时，用户可以单击“从磁盘安装”按钮，即可安装打印驱动程序。

(7)单击“下一步”按钮，打开“命名打印机”对话框，在该对话框中输入打印机的名称。

(8)单击“下一步”按钮，打开“打印机共享”对话框，可以设置其他计算机是否可以共享该打印机。如果选择“不共享这台打印机”单选按钮，那么用户安装的打印机只能被本机使用，局域网上的其他用户就不能使用该打印机；如果希望其他用户使用该打印机，可以选择“共享为”单选按钮，并在后面的文本框中输入共享时该打印机的名称，这样该打印机就可以作为网络打印机使用，如图5-24所示。

图5-24设置共享打印机名

(9)单击“下一步”按钮，打开的窗口中要求用户提供打印机的位置和描述信息，可以在“位置”文本框中输入打印机所在的位置，以便其他用户查看。

(10)单击“下一步”按钮，在打开的对话框中用户可以选择是否对打印机进行测试，以便测试是否已经正确安装了打印机。

(11)单击“下一步”按钮，打开“正在完成添加打印机向导”对话框，其中显示了前面步骤中设置的所有信息。如果需要修改内容，单击“上一步”按钮可以回到相应的位置进行修改。

(12)如果确认设置无误，单击“完成”按钮，安装完毕。

2．安装网络打印机

在大型计算机环境中，网络打印机更常见一些。通常情况下，网络打印机的表现比本地打印机更好。设置网络打印机比设置本地打印机复杂一些，有多种类型的网络接口能够用于与打印机通信。设置安装和共享TCP/IP端口连接的网络打印机的操作步骤如下：

(1)打开“打印机”文件夹，双击“添加打印机”图标，打开“添加打印机向导”对话框。

(2)单击“下一步”按钮，打开“本地或网络打印机”对话框。选中“网络打印机”单选按钮，单击“下一步”按钮，如图5-25所示。

图5-25添加网络打印机

(3)打开“查找打印机”对话框，知道打印机名可在“键入打印机名，或者单击“下一步”，浏览打印机”的“名称”框中直接输入打印机的名称；若不知道打印机名，可直接单击“下一步”按钮，打开浏览打印机对话框，如图5-26和图5-27所示。

(4)单击“下一步”按钮，打开“正在完成添加打印机向导”对话框，显示了前面步骤中设置的所有信息。如果需要修改内容，单击“上一步”按钮可以回到相应的位置进行修改。

(5)如果确认设置无误，单击“完成”按钮，安装完毕。

图5-26输入打印机名

图5-27查找网络打印机5.4.2设置共享打印机

在打印文件之前，一般需要对打印机的属性进行设置。只有设置合适的打印机属性，才能获得需要的打印效果。一般可以在“打印”对话框中单击“属性”按钮，在其“属性”对话框中设置打印机属性，如图5-28所示。

图5-28打印机“属性”对话框

1．设置常规属性

打印机的“属性”对话框中的“常规”选项卡主要用于设置打印机纸张的方向、打印文件顺序和打印份数等属性。

(1)设置纸张方向。在“常规”选项卡中，单击“打印首选项”按钮，打开“打印首选项”对话框，选择“布局”选项卡，在“方向”选项组中，可以设置纸张的方向。

(2)设置纸张大小和打印份数。在“打印首选项”对话框中，点击“高级”按钮，打开“高级选项”对话框。在“纸张大小”和“份数”下拉列表框中，设置纸张大小和打印份数，默认情况下纸张大小为A4，打印份数为1份，如图5-29所示。

图5-29打印纸张和份数设置

2．设置共享属性

打印机的“属性”对话框中的“共享”选项卡主要用于设置共享打印机，以及其他版本的Windows共享该打印机时的驱动程序。设置的操作步骤如下：

(1)在打印机“属性”对话框中，选择“共享”选项卡。

(2)在“共享”选项卡中，选择“共享为”单选按钮，为打印机设置共享并输入该打印机的共享名。

(3)单击“其他驱动程序”按钮，打开“其他驱动程序”对话框。在该对话框中列出了各种版本的、能够在服务