Windows 2000 Server简明管理手册
Windows 2000,原名Windows NT 5.0,它结合了Windows 98和Windows NT 4.0的优良性能。Windows 2000平台包括了Windows 2000 Professional 和Windows 2000 Server前后台的集成。
Windows 2000 Server是在Windows NT Server 4.0(Windows NT服务器4.0版)的基础上开发出来的,Windows 2000 Server是为服务器开发的多用途操作系统,可为部门工作组或中小型公司用户提供文件打印、软件应用、Web功能和通信等各种服务。它是一个性能更好、工作更加稳定、更容易管理的平台。Windows 2000 Server最重要的改进是在“活动目录”目录服务技术的基础上,建立了一套全面的、分布式的底层服务。“活动目录”是集成在系统中的,采用了Internet的标准技术,是一套具有扩展性的多用途目录服务技术。它能有效地简化网络用户及资源的管理,并使用户更容易地找到企业网为他们提供的资源。Windows 2000 Server支持两路对称多处理器(SMP)系统,是中小型企业应用程序开发、Web服务器、工作组和分支部门的理想操作系统。
#1 二、Windows 2000增加的新特性
1.活动目录(Active Directory ):目录被称作网络操作系统的灵魂。Windows 2000的目录服务由活动目录来完成。活动目录采用可扩展的对象存储方式存储了网络上所有对象的信息,并使得这些信息更容易被查找到。活动目录有灵活的目录结构,允许委派对目录安全的管理,提供更有效率的权限管理。此外,活动目录集成域名系统(DNS),包含有高级程序设计接口。开发人员可使用标准的接口方便地访问和修改活动目录中的信息。
2.微软管理控制台(MMC):微软管理控制台集中了管理员经常使用的管理工具。微软管理控制台提供使用管理工具的标准界面。管理控制台是完全可定制的,允许管理员创建仅包含有他们需要使用的管理工具的控制台。此外在微软管理控制台中非常容易实现远程管理。
3.组策略(Group policy):管理员可以通过修改活动目录中的组策略配置客户端的桌面环境、安装应用程序,控制计算机和用户的状态。组策略对象可以使你管理少量的策略而不是大量的用户和计算机。组策略减少了管理员直接访问每个计算机配置设置、安装应用程序的时间。
4.远程安装(Remote Install):使用远程安装服务,管理员不用物理地访问每一台客户机即可给客户机设置新的操作系统。
5.安全模板(Security Templates):安全模板是安全配置的物理表示方法,由Windows 2000支持的安全属性的文件(.inf)组成。它将所有现有的安全属性组织到一个位置以简化安全性管理。
6.集成Web服务:Microsoft Windows 2000 Server平台上提供Internet信息服务(IIS),该服务可提供在Intranet或Internet上共享文档和信息的功能。利用IIS,可以部署灵活可靠、基于Web的应用程序,并可将现有的数据和应用程序转移到Web上。
7.索引服务(Indexing Services):索引服务不仅可以对本地硬盘驱动器及共享网络驱动器上的文档的内容和属性编制索引,还可以控制索引中包括哪些信息。索引服务能够连续运行并且几乎不需要维护。利用索引服务可以使用户轻松、安全地搜索本地或网络上的信息,提高工作效率。
8.事务服务(Transaction Services):事务是一系列工作的集合,事务服务确保事务作为一个整体成功或失败。事务服务允许以部件的方法开发应用。一个事务典型地包含一个或多个部件,每个部件做事务的一部分工作。事务的执行由事务服务通过创建上下文对象来管理。
9.域名服务(DNS):Windows 2000中的域名服务支持动态更新、增量区域传送和服务记录。动态更新允许DNS客户机在发生改动后,自动到DNS服务器更新其资源记录。减少了管理员对区域记录进行手动管理的需要。增量区域传送提供在同一区域内传送每个数据库文件版本之间的增量资源记录变化,减少了数据库文件的传输流量。服务记录提供了和WINS服务器中存储的NetBIOS名第十六个字符相同的功能,用来识别网络资源。
10.加密文件系统(EFS):可以在NTFS文件系统格式化过的卷上通过对文件或文件夹加密保护文件。一旦加密了文件或文件夹,你就可以像使用其他文件和文件夹一样使用它们。对加密该文件的用户来说,加密是透明的;对其他用户则拒绝访问。使用EFS可以防止在未经授权的情况下获取对物理存储的敏感数据访问,以确保文档安全。
11.分布式文件系统(Distributed File System,DFS):管理员利用分布式文件系统把分布在网络上的资源信息虚拟地存放在一个逻辑位置下。这样用户不必到网络上的多个位置去查找他们需要的信息,只需要连接到这个逻辑位置上就可以找到这些资源。分布式文件系统使用户可以更容易地访问文件。
#1 三、安装Windows 2000 Server
#1 (一)安装的最低硬件需求
Windows 2000 Server的硬件配置要求在Windows 2000 Server硬件兼容性清单(HCL)上列出,硬件兼容性清单可在Windows 2000 Server安装光盘中的HCL.TXT中找到。如果你的硬件配置不在其中,那么在安装过程中可能会有一些麻烦。
^00100001a^表给出安装的最低硬件需求:
#1 (二)安装Windows 2000 Server
Windows 2000 Server的安装大致可分为两个部分:文字安装部分和Windows 2000 Server安装部分。首先将Windows 2000 Server的安装光盘放入光驱,将计算机设置成以光盘启动,启动计算机即开始进行安装。我们亦可以用系统软盘来引导计算机进入纯DOS状态,然后驱动光驱。将当前目录改为光驱中的\I386目录,键入Winnt,按回车键开始安装。
Windows 2000 Server的安装过程与Windows 95/98、Windows NT 4.0大致类似。此处不再一一详述,我们只对在安装过程中需要注意和应具有的背景知识进行讲述。
#1 (三)硬盘分区与文件系统
1.硬盘分区
在安装过程中将创建Windows 2000 Server分区,并且给定适合的空间大小。如果你的硬盘有几个分区,但是每个分区的空间都比较小,在安装的过程中,你可以删除它们,重新创建一个Windows 2000 Server分区。
2.文件系统
在创建新安装分区或者选择安装分区后,安装程序允许你格式化分区,你可以选择Windows 2000 Server支持的NTFS、FAT及FAT32文件系统来格式化分区。可根据具体情况进行选择。
NTFS具有强大的安全控制能力,支持长文件名和目录,而且基于其它操作系统上开发的应用程序在Windows 2000 Server上执行时,允许其访问NTFS。但是当从其它操作系统启动时,将无法访问NTFS分区上的文件。FAT是应用最广的文件系统,其它操作系统可以访问FAT格式的文件。但是如果没有附加的应用程序,FAT的安全性较差。
在具体选择中:如果存在未格式化的分区,为保持多操作系统之间的兼容性,可选用FAT文件系统。如果要发挥Windows 2000 Server的安全特性,选取NTFS文件系统;对于已存在的分区,一般应选择默认选项,保持原文件系统的完整性;若要转化原有的分区格式(如FAT),务必先备份已有文件,再进行转化。可以先备份已有的分区文件,重新格式化为NTFS文件系统。
#1 (四)许可模式
客户访问许可协议(CAL),给了计算机连接到运行Windows 2000 Server的计算机的权力,从而使得客户有共享服务器资源的权力。当你安装Windows 2000 Server的时候,必须选择一个许可模式:每客户或者每服务器。
1.每客户许可
每客户许可模式需要每一台用来访问Windows 2000 Server的客户计算机有一个单独的客户访问许可协议。一台客户计算机如果有许可协议,它就可以访问网络中任何一台运行Windows 2000 Server的计算机。对于大型的网络,如果有多台服务器,一般采用每客户许可模式。
2.每服务器许可
对于每服务器许可模式,客户访问许可协议是分配给某台特定的服务器的。每一个访问许可协议允许一台客户计算机与这台服务器建立连接。对于小型网络,如果只有一台计算机运行Windows 2000 Server,那么最适合采用每服务器许可模式。
在具体安装过程中我们选择“每服务器”的许可模式,根据实际需要选择“同时连接数”。
#1 (五)系统管理员用户帐号与密码
安装程序会自动创建一个称为Administrator(系统管理员)的用户帐号,Administrator帐号的用户是系统管理员,具有管理计算机的全部权力。在安装过程中我们要对Administrator(系统管理员)设置管理员密码,待安装结束重新启动时,你必须使用该密码才能登录计算机。
在实际安装过程中一定注意:密码是区分大小写的,即是说,Windows 2000 Server会把password与PassWord视为两个不同的密码。
#1 (六)域或工作组类型
当你安装Windows 2000 Server的时候,必须选择你的计算机要加入的网络安全组的类型:域或者工作组,并且填上相应的域名称或者工作组名称。
1.加入到一个域中:当你安装Windows 2000 Server的时候,如果你想把你的计算机加入到一个域中,成为一个成员服务器,你必须知道:域名称、一个计算机帐号、一台可以得到的域控制器、一台DNS服务器。
2.加入到一个工作组中:如果你是想安装一台单机服务器,并且加入到一个工作组中,你必须为你的计算机分配一个工作组名称。这个工作组名称可以是现有的,也可以是新创建的。
在安装的过程中我们选择工作组模式,同时填写上工作组的名称。在安装完成后,再升级为域。
#1 (七)配置Windows 2000 Server服务器
安装完Windows 2000 Server以后,第一次登录Windows 2000 Server时,同时按下Ctrl+Alt+Del进入登录界面,输入在安装过程中设置的Administrator帐户密码进入Windows 2000 Server。
第一次进入时,Windows 2000 Server将自动打开“Windows 2000配置服务器”窗口,请选择“这是网络中唯一的服务器”,然后单击下一步按钮,开始配置你的服务器。
1.确认是否继续。说明把服务器升级为域控制器,系统会自动将该服务器配置成为域控制器并将Active Directory、DHCP和DNS安装到服务器上,单击下一步按钮继续。
2.输入域名。在Windows 2000 Server中的域名与Internet上的域名称框中输入域名。填写结束,点击下一步按钮。
3.配置计算机。经过上面的设置后,点击按钮“下一步”,系统开始自动进行安装,安装完成,自动重新启动计算机。
4.在“网上邻居”图标上单击右键,在快捷菜单中选中“属性”,弹出“网络和拨号连接 属性”对话框。单击“本地连接”,在快捷菜单中选中“属性”,弹出“本地连接属性”对话框。
5.在“本地连接 属性”对话框中,选中“属性”,弹出“Internet 协议(TCP/IP)属性”对话框。
6.在“Internet协议(TCP/IP)属性”窗口中,填写上相应的IP地址与首选DNS服务器的IP地址,完成TCP/IP配置。
7.配置DHCP。单击“开始”、“程序”、“管理工具”、“DHCP”打开“DHCP”对话框,对DHCP服务进行授权。在“DHCP”窗口中展开树型结构,选中一个DHCP服务器。单击鼠标右键,在快捷菜单中选中“所有任务”、“授权”。DHCP授权结束,重新启动计算机,让设置生效,完成配置。
#1 四、Windows 2000 Server的活动目录管理
Windows 2000 Server带来的活动目录,是一个可伸缩的、符合标准的目录服务。它可以使Windows 2000 Server更加容易管理、更加安全、更易与已有系统进行互操作。它通过一个统一的界面集中管理基于Windows的客户,可以减少冗余和维护成本。它包含两个方面的内容:目录和目录服务。目录用来存储各种对象,这些对象有用户、计算机、文件以及打印机等软硬件资源。目录服务是让存储在目录中的所有对象发挥作用的服务,如用户、计算机、文件和打印机等的管理、基于目录的网络服务、基于网络的应用管理。活动目录中的对象可以分散在多台不同的计算机上,保证快速访问和容错;不管用户从何处访问或对象存储在何处,用户的访问方式都是一样,没有区别的。
#1 (一)活动目录的结构
Windows 2000的活动目录是由组织单位(OU)、域(Domain)、域树(Tree)、森林(Forest)构成的分层结构。组织单位是活动目录的基本构成单元,各个对象都是存储在组织单位中的,再由组织单位构成域,由多个相互有关系的域构成域树,在此基础上可以构成森林。Windows 2000活动目录的这种层次结构使得企业网络具有很强的扩展性,便于组织、管理以及目录定位。域是Windows 2000活动目录的核心单元,是对象的容器,这些对象有相同的安全需求、复制过程和管理要求。在域中,所有的域控制器都是平等的,没有谁可以控制谁,活动目录以多主复制模型在域控制器间实现目录复制,在域树中的任一个域中都有其它所有域的目录数据库的复制副本,用于目录查找定位。域树和森林都有一个根。域树中的第一个域是该域树的根,森林中的第一个域树是该森林的根树。这实际上是对树形目录结构的扩展。
Active Directory提供集中组织、管理和控制对网络资源访问的方法。
#1 (二)活动目录的管理
在Windows 2000中,活动目录的管理是通过“Active Directory用户和计算机”完成的。
1.创建对象
可以创建的对象有:组织单位、用户帐户、组、共享文件夹、打印机、计算机、联络人。
组织单位可以包含其它对象,也可以包含其它的组织单位,要创建其它对象必须首先创建组织单位,组织单位在域中创建,然后在组织单位中创建其它对象。
(1) 组织单位
a.单击“开始”、“程序”、“管理工具”、“Active Directory用户和计算机”。打开“Active Directory用户和计算机”管理窗口,展开 “Active Directory 用户和计算机”的树型结构,展开要操作的域。
b.单击“操作”、“新建”、“组织单位”。打开“创建新对象-(组织单位)”对话框,输入组织单位名称。
c.单击“确定”按钮,完成组织单位的创建。
(2) 共享文件夹
a.单击“开始”、“程序”、“管理工具”、“Active Directory用户和计算机”。打开“Active Directory用户和计算机”管理窗口,展开 “Active Directory 用户和计算机”的树型结构,展开要操作的域,展开刚才创建的组织单位。
b.单击“操作”、“新建”、“共享文件夹”。打开“创建新对象-(共享文件夹)”对话框,输入共享文件夹的名称和网络路径。
c.单击“确定”按钮,完成共享文件夹的创建。
(3) 计算机
a.单击“开始”、“程序”、“管理工具”、“Active Directory用户和计算机”。打开“Active Directory用户和计算机”管理窗口,展开 “Active Directory 用户和计算机”的树型结构,展开要操作的域,展开刚才创建的组织单位。
b.单击“操作”、“新建”、“计算机”。打开“创建新对象-(计算机)”对话框,输入计算机名和由谁把此计算机加入域,计算机名根据自己的情况填写。“此计算机可以加入域,通过:”项保持默认值不变。
c.单击“确定”按钮,完成计算机的创建。
(4) 联络人
a.单击“开始”、“程序”、“管理工具”、“ Active Directory用户和计算机”。打开“Active Directory用户和计算机”管理窗口,展开 “Active Directory 用户和计算机”的树型结构,展开要操作的域,展开刚才创建的组织单位。
b.单击“操作”、“新建”、“联络人”。打开“创建新对象-(联络人)”对话框。输入联络人信息。
注意:“全称”在建立这个联络人的组织单位中不能重复。
c.单击“确定”按钮,完成联络人的创建。
2.对象属性
在创建对象时,不能对对象的所有属性加以设置,需要在对象创建后加以设置,下面给出设置对话框的相应选项。
(1)组织单位如^00100001b^
(2)共享文件夹如^00100001c^
(3)计算机如^00100001d^
(4) 联络人如^00100001e^
3.对象删除
在对象完成它的使命后,就要把它从活动目录中删除,释放系统资源。所有的对象删除方法是相同的,在“Active Directory用户和计算机”窗口中找到要删除的对象,在右键快捷菜单中选择“删除”即可。
4.对象的权限
(1)标准权限如^00100001f^
(2)授权
在向对象授权时,可以允许权限,也可以否定权限,在这里否定权优先,也就是说如果你否定了某个用户对某个对象的访问权限,那么不管你使用任何其它方法授权,这个用户也不能访问这个对象。权限会随对象类型的不同而变化,不同的对象具有不同的权限。用户可以是多个组的成员,每个组可以具有不同的权限,提供对对象的不同层次的访问权限。当你给用户指定了一种权限,而那个用户同时又属于一个具有不同权限的组,用户的有效权限将是用户权限和组权限的综合。
授权可以在各个对象属性的“安全”选项卡中进行。权限是授予用户对象的,可以把这个对象的权限授予某个用户,也可以从某个用户取消权限;可以加入新的用户,也可以删除已有的用户。权限也是可以继承的,对每个对象指定权限的时候,同时它的子对象就可以继承它所拥有的权限了,当然权限也是可以禁止继承的。
5.对象移动和委托
对象移动就是指把对象从一个组织单位移动到另一个组织单位中去。移动时直接授权给那个对象的权限将会保持不变,对象将从新的OU获得继承权限,在原来的那个OU那里继承过来的权限将会失去。你可以同时移动多个对象。移动过程非常简单,在“Active Directory用户和计算机”窗口中把对象从一个OU拖动到另一个OU中即可。
对象委托就是指把对象的管理控制权授予某个用户,让他能够执行这个对象的管理任务。首先在“Active Directory用户和计算机”窗口中执行菜单命令“操作”、“控制委托”启动委托向导,在向导的提示下选择要委托的对象,选择委托给组或用户,确定委托权限就可以完成对象委托。对不同的对象可以委托的权限差别是比较大的,所有的对象都可以委托。
#1 五、用户帐户和组管理
#1 (一)简介
用户帐户让用户能够登录到一个域中,能够访问到网络资源;或者登录到一台计算机上,从而访问那台计算机上的资源。域中的用户至少要有一个帐户。组是用户帐户的一个集合。在一个组中,可以有多个用户帐户,也可以没有用户帐户,一个用户可以属于一个组,也可有属于多个组,也可以不属于任何一个组。在同一个组中的用户,一般具有相同的权限和工作环境。把用户加入组中,可以简化用户的管理,对组授予的权限,组内成员自动继承这些权限,而不用分别为每一个用户单独指定。
#1 (二)用户帐号和组的分类
如^00100001g^
#1 (三)用户帐号和组的建立
(1)用户帐户
a.单击“开始”、“程序”、“管理工具”、“Active Directory用户和计算机”。打开“Active Directory 用户和计算机”窗口,展开域,展开要建立用户帐户的组织单位。
b.单击“操作”、“新建”、“用户帐户”。打开“建立新对象-(用户帐户)”向导。输入用户帐户信息。
注意:在你所建立这个帐户的组织单位中,输入的用户名、用户登录名必须是唯一的;下层登录名是从低级客户(如Windows98)登录时所用的用户登录名。同用户登录命名一样。
c.设置密码。
密码是用来鉴别用户身份的识别信息,它区分大小写;用户下次登录时须更改密码可以用户使用自己知道的密码登录;用户不能更改密码使用户没有修改密码的权限,可以保证一个用户帐户供多人使用,只有管理员能控制密码;密码永不过期是指密码不用改变一直用下去;帐户已停用用于禁止使用这个帐户。
d.单击“完成”按钮。完成新用户创建。
(2)组
a.单击“开始”、“程序”、“管理工具”、“Active Directory用户和计算机”。打开“Active Directory 用户和计算机”窗口,展开域,展开要建立用户帐户的组织单位。
b.单击“操作”、“新建”、“组”。打开“建立新对象-(组)”向导。
c.输入新组的名称,这个名称在组所在的域中必须是唯一的;新组的下层名是新组的下层名称,默认值与新组名称一致;组领域可选全局组、本地域组、通用组之一;组类型可选安全式、分布式之一。
d.单击“完成”按钮。完成新用户创建。
#1 (四)用户帐号和组的管理
1.用户帐户
(1)属性如^00100001h^
(2)安全策略如^00100001i^
2.组
(1)属性如^00100001j^
(2)安全策略如^00100001k^
#1 (五)内置组
内置组是在Windows 2000 Server安装后由系统自动创建的组。它预先定义了用户权利和成员关系。
内置组的类型有:内置全局组、内置本地域组、内置本地组和内置系统组。下面是常用的内置组。(如^00100001l^)
#1 六、文件管理
1.文件存储与管理
Windows 2000 Server支持多种文件系统,包括FAT、FAT32、NTFS。文件可以保存在任何一种文件系统下,但在不同的文件系统下提供的存储服务是不同的,文件也可以保存在不同的计算机中分散存储。
Windows 2000 Server中更容易使用的存储管理体现在动态磁盘卷管理、磁盘碎片整理和自动系统恢复等方面。Windows 2000 Server中集成了动态磁盘卷管理,提供了在线的磁盘卷创建、扩展或镜像,甚至增加新的磁盘,也不需要重新启动机器。同时也提供了自我描述的磁盘、简化的任务和直观的用户界面。
Windows 2000 Server还设计通过层次性存储管理、支持新兴存储访问协议等方法来降低存储的成本。层次性存储管理是建立在远程存储服务(RSS)之上的,能够不增加磁盘就可以在服务器上增加新的自由空间。RSS自动地监测在本地硬盘上的剩余空间的大小,如果在一个本地主要硬盘上的自由空间下降到一个事先设定的水平,RSS自动把本地数据复制到远程存储空间上,以腾出空间。
2.文件存取权限
(1)文件权限
文件权限包括完全控制、修改、读取和执行、读取、写入。每个权限均由特殊权限逻辑组组成。如^00100001m^表列出了每个文件权限并指出了与该权限相关联的特殊权限。(“x”表示允许设置)
注意:无论用什么权限保护文件,拥有文件夹“完全控制”权限的组或用户都可以删除该文件夹内的任何文件。
(2)文件夹权限
文件夹权限包括完全控制、修改、读取和执行、列出文件夹内容、读取、写入。每个权限均由特殊权限逻辑组组成。如^00100001n^表列出了每个文件夹权限并指出了与该权限相关联的特殊权限。(“x”表示允许设置)
注意:尽管“列出文件夹内容”和“读取和执行”看起来有相同的特殊权限,但是这些权限在继承时不同。“列出文件夹内容”可以被文件夹继承而不能被文件继承,并且它只在查看文件夹权限时才会显示。“读取和执行”可以被文件和文件夹继承,并在查看文件和文件夹权限时都会出现。
(3)文件和文件夹的特殊权限
你可以在文件和文件夹上设置以下任意一个或所有特殊权限:
通过文件夹/执行文件:“通过文件夹”允许或拒绝通过文件夹来访问其他文件或文件夹,即使用户没有所通过的文件夹(只适用于文件夹)的访问权限。只有当“组策略”管理单元中没有授予组或用户“忽略通过检查”用户权限时,“通过文件夹”才起作用。“执行文件”允许或拒绝运行程序文件(仅适用于文件)。
注意:设置文件夹的“通过文件夹”权限不会自动设置该文件夹中所有文件的“执行文件”权限。
列出文件夹/读取数据:“列出文件夹”允许或拒绝查看文件夹(只适用于文件夹)中的文件名和子文件夹名。“读取数据”允许或拒绝查看文件(只适用于文件)中的数据。
读取属性:允许或拒绝查看文件或文件夹的属性,例如只读和隐藏。属性由 NTFS 定义。
读取扩展属性:允许或拒绝查看文件或文件夹的扩展属性。扩展属性由程序定义,可能因程序而变化。
建文件/写入数据:“创建文件”允许或拒绝在文件夹(仅适用于文件夹)内创建文件。“写入数据”允许或拒绝更改文件和覆盖已有的内容(只适用于文件)。
创建文件夹/添加数据:“创建文件夹”允许或拒绝在文件夹内创建文件夹(仅适用于文件夹)。“添加数据”允许或拒绝更改文件的末尾,但不限制更改、删除或覆盖已有的数据(仅适用于文件)。
写入属性:允许或拒绝更改文件或文件夹的属性,例如只读或隐藏。属性由 NTFS 定义。
写入扩展属性:允许或拒绝更改文件或文件夹的扩展属性。扩展属性由程序定义,可能因程序而变化。
删除子文件夹和文件:允许或拒绝删除子文件夹和文件,即使尚未授予对子文件夹或文件的“删除”权限。
删除:允许或拒绝删除文件或文件夹。如果你没有对文件或文件夹的“删除”权限,但是在父文件夹中已被授予“删除子文件夹和文件”,那么你仍然可以删除它。
读取权限:允许或拒绝读取文件或文件夹的权限,例如完全控制、读取、写入。
更改权限:允许或拒绝更改文件或文件夹的权限,例如完全控制、读取、写入。
取得所有权:允许或拒绝取得文件或文件夹的所有权。文件或文件夹的所有者始终可以更改其权限,无论存在任何保护该文件或文件夹的权限。
同步:允许或拒绝不同的线程在句柄上等待文件或文件夹,并与另一个可能向它发信号的线程同步。该权限只应用于多线程、多进程程序。
3.文件共享
文件共享是通过共享文件夹来进行的。可以使用“共享文件夹”管理单元来创建和管理共享文件夹,查看通过网络连接到共享文件夹的所有用户的列表,还可以断开其中的一个或全部用户,以及查看远程用户打开的文件的列表及关闭一个或全部打开的文件。你还可以更改远程计算机上共享文件夹的权限。在建立共享时,驱动器被当作一个特殊的文件夹看待。以下的操作都在控制台(MMC)中进行。
(1)建立共享文件夹
在控制台树中,单击“共享”、“操作”菜单,然后单击“新文件共享”,按照屏幕提示操作,系统将提示你选择驱动器、键入新的共享名、设置权限以及键入共享文件夹的说明。
(2)共享访问权限的类型
下列访问权限类型可应用于共享文件夹如^00100001o^。
注意:当文件夹共享时,默认情况是对 Everyone 组授予完全访问权限。
(3)设置、查看或删除共享文件夹的权限
方法:打开资源管理器,然后定位到要设置权限的共享文件夹,右键单击共享文件夹,然后单击“共享”,在“共享”选项卡上,单击“权限”。要设置共享文件夹权限,单击“添加”。键入要设置权限的组或用户的名称,然后单击“确定”关闭对话框。要删除权限,请在“名称”中选择组或用户,然后单击“删除”按钮。在“权限”中,如果需要,可以对每个权限单击“允许”或“拒绝”。
注意:要共享文件夹,必须以管理员、服务器操作员、有权限的用户或用户组的成员登录。
共享文件夹权限应用于该共享文件夹中的所有文件和子文件夹,并且仅当通过网络访问该文件夹或文件时才有效。当在本地打开该文件夹或文件时,共享文件夹权限不起保护作用。要保护本地计算机上的文件或文件夹,请使用 NTFS 权限,该权限包括共享文件夹权限以外的权限。无论驱动器格式化为使用 NTFS、FAT 还是 FAT32 文件系统,其上的文件夹都可以设置共享文件夹权限。我们不能更改根目录的权限。
(4)将用户或组添加到共享文件夹
方法:在控制台树中,单击“共享”,右键单击要向其添加用户或组的共享文件夹,然后单击“属性”,在“共享权限”选项卡上,单击“添加”,在“名称”列表中,单击要添加的组或用户的名称,单击“添加”,然后单击“确定”,在“共享权限”选项卡的“权限”中,选择允许或拒绝新用户或组的各种权限。
注意:要从其他工作组或域添加用户或组,请单击“查找范围”旁边的箭头,然后单击所需的工作组或域。
只有 Administrators 、Power Users 组或Server Operators 组方可使用“共享文件夹”。
(5)从共享文件夹删除用户或组
方法:在控制台树中,单击“共享”,右键单击要删除用户的共享文件夹,然后单击“属性”,在“共享权限”选项卡中,单击要删除的用户或组的名称,然后单击“删除”。
(6)限制共享文件夹的用户数
方法:在控制台树中,单击“共享”,右键单击要限制其用户数的共享文件夹,然后单击“属性”,在“用户数限制”下,单击“允许最多用户”或“允许”。如果单击“允许”,请在“个用户”框中指定一个最大值。
(7)查看共享、会话或已打开文件列表
方法:在控制台树中,单击“共享”、“会话”或“打开文件”即可。
(8)停止共享文件夹
方法:在控制台树中,单击“共享”,右键单击要停止共享的文件夹,然后单击“停止共享”。
或者打开资源管理器,然后定位到要停止共享的文件夹,右键单击该共享文件夹或驱动器,然后单击“共享”,在“共享”选项卡上,单击“不共享此文件夹”。
注意:如果停止共享用户连接的文件夹,则可能会丢失数据。因此,在停止共享文件夹之前最好警告已连接的用户。
(9)断开用户
方法:在控制台树中,单击“会话”,要断开某个用户,请右键单击该用户名,然后单击“关闭会话”,要断开与所有用户的连接,请单击“操作”,然后单击“终断全部的会话连接”。
#1 七、Windows 2000 Server中打印机的管理
在Windows 2000 Server网络中安装打印机,要求有一台计算机作为打印服务器,打印服务器与打印设备或网络打印接口相连接。各个客户将要打印的文档发送到打印服务器,然后由打印服务器安排打印。
在Windows 2000 Server的控制面板中,有一打印机项,在这里的打印机并非指实际的打印设备,而是一个逻辑打印设备,它定义了文档到实际打印设备的通道,它可以指向一个或多个打印设备。
#1 (一)安装与删除打印机
1.添加和共享本地打印机
(1)单击“开始”按钮,选择“设置”、“打印机”,弹出“打印机”窗口。双击选择“添加打印机”项。打开“添加打印机”向导,单击下一步按钮。
(2)向导让你选择安装本地打印机还是安装网络打印机,选择本地打印机,单击下一步按钮。
(3)选择打印机所使用的端口,如:LPT1上,单击下一步按钮。
(4)在列表中选择相应的制造商和打印机型号,单击下一步按钮。
(5)输入打印机的名称。单击下一步按钮,设置打印机的共享,输入共享名,单击下一步按钮。
(6)输入有关打印机的位置和描述,你可以输入有关该打印机更加详细的信息,客户浏览打印机时可以了解这些信息。单击下一步按钮。
(7)询问你是否打印测试页,你可以选择“是”打印测试页来了解打印机安装是否成功。单击下一步按钮,完成设置。单击“完成”按钮开始复制文件,完成安装。
2.添加和共享网络打印机
如果我们的打印机是连接在网络上或其它计算机上的,我们同样可以添加到我们的服务器中来。按如下方式进行:
(1)同样在“打印机”窗口中双击“添加打印机”选项,弹出安装向导,单击下一步按钮,选择“网络打印机”选项。单击下一步按钮。
(2)在这一步中你可通过在目录中查找、直接键入打印机名、在你的Internet上查找打印机,选择其中的一种方式,然后单击下一步继续,以后的步骤与添加和共享本地打印机类似,此处不再赘述。
3.删除打印机
当不再使用某一台打印机时,我们可以把它从系统中删除,其步骤是:打开“打印机”窗口。选中要删除的打印机,按Del键即可将选中的打印机删除。
#1 (二)如何配置网络打印机
在打印机的安装工作完成以后,为了满足网络打印的需要和打印资源的合理共享,我们还要对打印机进行一些配置。
1.打印机的常规设置
我们在安装完打印机后,仍然可以对在安装过程中输入的信息进行重新设置,如打印机名称、位置和和注释信息等。这些设置我们可以通过打印机的属性面板来完成,下面是一些常规设置:打开打印机窗口,在设置的打印机图标上单击鼠标右键,弹出右键菜单,选择属性命令,弹出“属性”对话框。“属性”对话框分为几选项卡,一些常规设置可以在这些选项卡中设置:
常规:可设置打印机名称、位置、注释等信息,单击“打印首选项”可以设置打印的布局等信息。
共享:可以设置是否共享及共享名,并可以设置将该打印机列在Active Directory中。
端口:可设置端口信息,更改打印机所使用的端口。
高级:设置打印优先级、后台打印、打印机在一天里能够打印的起止时间等信息,另外“分隔页”按钮能够使你从大量的打印文档中很容易找出自己的文档。
安全:用于设置管理权限。
设备设置:用于设置纸张大小、打印字体和超时等信息。
2.打印机优先级
在具体的打印中,有些文档是比较关键的,而有些文档则是非关键的,关键的文档可能要求很快打印出来,这个时候就需要设置打印机的优先级。要设置打印机之间的优先级,首先安装两个或两个以上的逻辑打印机,这些逻辑打印机都指向同一个打印设备。
下面步骤设置打印机的优先级:
(1)打开“打印机”文件夹,打开要设置的打印机的属性。单击“高级”选项卡。
(2)要改变默认文档的优先级,请在“优先级”框中输入优先级的数值,可以从1到99,高优先级的文档将在低优先级的文档前打印,数字越大,优先级越高。
3.安装打印机池
打印机池是由一组相同的打印设备组成,我们可以将多台相同的打印设备通过各个端口或网络接口连接到打印服务器上。
在打印量很大的情况下应该使用打印机池,使用打印机池,用户不需要知道哪一台打印设备可以使用,便可以打印文档,打印机池会自动分配一台空闲的打印机设备打印,这将大大提高了打印设备的使用率,同时由于通过一个逻辑打印机来管理多个打印设备,也大大方便了管理工作。其具体步骤是:
(1)打开“打印机”文件夹,打开要设置的打印机的属性。单击“端口”选项卡。
(2)选中“启动后台打印”,然后在端口列表中选中各台打印机所对应的端口,单击确定按钮。
#1 (三)在客户计算机上安装打印机
下面我们以在Windows 98中安装网络打印机为例讲述安装的过程:
(1)选择开始菜单中的设置打印机,打开打印机文件夹。双击“添加打印机”图标。
(2)弹出“添加打印机向导”,单击下一步按钮。选择打印机的连接方式,由于我们要安装网络打印机,单击选择“网络打印机”项。
(3)单击下一步按钮,输入打印机的网络路径或队列名,直接键入或单击浏览按钮,查看并选择可用的网络打印机,然后单击下一步按钮。
(4)在“打印机名”框中输入打印机名称,对该打印机命名,单击下一步按钮。
(5)选择是否需要打印测试页,单击完成按钮。Windows98开始复制文件。安装完成。
#1 (四)打印机的权限管理
在Windows 2000 Server中,打印机的管理权限分为三个等级:打印、管理打印机、管理文档。这三种等级的权限分别拥有不同的管理能力,而这三种权限可以赋给不同的用户或用户组。在这三种权限中,管理打印机包含打印的权限,也就是说,有管理打印机权限的必然有打印权限。
1.分配打印机管理权限
(1)双击打开“打印机”文件夹,打开需要设置的打印机的属性。单击“安全”选项。
(2)在该对话框中的上部列出了用户组或用户名,单击“添加”按钮可以添加要分配打印机权限的用户或用户组。
(3)选中要设置权限的用户或用户组,在权限框中相应的权限选择“允许”或“拒绝”。
2.使用管理权限
在上述三种打印管理权限中,管理打印机为最高权限,不仅可以打印文档、控制其它用的打印文档,还可以设置打印机的属性;打印权限为最低权限,仅能够打印和控制自己的文档;而管理文档权限可以打印和控制自己的文档,还可以控制其它用户的文档。
(1)打印权限
该权限为最低权限,在默认情况下,Windows 2000 Server给所有的用户分配该权限,也就是说允许所有的用户打印文档。该权限可以实现:打印文档、取消打印用户自己的文档、暂停打印用户自己的文档、继续打印用户自己的文档等功能。
(2)管理文档权限
该项权限允许你暂停、取消、继续和重新打印文档,另外该权限还允许你设置在文档打印完后通知用户,以及设置文档打印的优先级等。
下面我们示例设置在打印完毕后通知用户、改变文档打印的优先级。
a.我们在其它软件中(如:Word、WPS等)单击打印按钮,发出打印命令。
b.打开“打印机”文件夹。双击默认打印机,弹出打印机作业列表窗口,在窗口中显示已经送到打印机的文档,并列出准备打印的顺序。
c.选中要设置的文档,单击“文档”、“属性”命令,弹出文档的属性窗口。
在“通知”框中输入要通知的用户名,默认的是打印文档的用户,如果要通知其它用户,可以输入要通知的用户名;优先级用于改变文档的打印优先次序,如果某一份文档要优先打印,可以改变其相应的优先级;日程安排可以将某些文档安排在一定的时间打印。
(3)管理打印机权限
该权限的权力最大,不仅允许你拥有前面的所有权限,而且你还可以设置打印分隔页、重定向打印任务到其它打印机。所谓分隔页是指在两个打印文档之间包含打印命令的文件,它一般使用在两个方面,一是分隔打印的的文档,二是切换打印设备的不同模式。
#1 (五)打印文档
1.设置默认打印机
默认打印机是打印文档时系统默认的打印机,设置了默认打印机,用户就不用为每个打印任务设置打印机了。要设置默认打印机,按如下步骤:
打开“打印机”文件夹。选中要设为默认的打印机的图标,选取“文件”、“设为默认打印机”命令即可。
2.暂停或继续打印
你可以在文档打印的过程中暂停打印和继续打印。
打开“打印机”文件夹。双击打印作业所在的打印机的图标,打开打印作业窗口,选中要暂停或继续的打印作业,选取“文档”、“暂停”或“继续”命令即可。
3.取消打印文档
在文档已经发送到打印机后,如果你发现了文档中仍存在需要改正的地方,那么不用急,你仍然可以取消打印文档。按如下方法操作:
打开“打印机”文件夹。双击打印作业所在的打印机的图标,打开打印作业窗口,选中要要暂停或继续的打印作业,选取“文档”、“取消”命令即可。
4.重新开始打印文档
如果打印作业进行到一半时出现故障,如卡纸时,那么这时你并不必重新发送打印文档,因为重新开始打印功能可以让你重新打印该文档。按如下方法操作:
打开“打印机”文件夹。双击打印作业所在的打印机的图标,打开打印作业窗口,选中要要暂停或继续的打印作业,选取“文档”、“重新开始“命令即可。
#1 八、与Novell NetWare、Linux、Unix服务器的互连
Windows 2000 Server都对应着多个客户,其操作系统可能是Windows 95/98、Windows NT、Windows 2000 Professional、Linux、NetWare等,要让其它计算机或者其它操作系统的服务器连接到Windows 2000 Server,它们都必须安装必要的客户端软件,并且得进行正确的配置。关于Windows 95/98、Windows NT Windows 2000 Professional与Windows 2000 Server互连,在《电脑报1999年合订本》上册附录中已作了详尽的讲述,读者可以相互参阅。这里我们将对Windows 2000 Server与NetWare、Unix、Linux服务器互连作详尽讲述。
#1 (一)与Novell NetWare服务器互连
由于Novell NetWare使用的是IPX/SPX协议,在Windows 2000 Server访问NetWare资源就要通过协议转换。Windows 2000 Server服务器提供了GSNW网关服务,使DOS、Windows客户可以通过访问Windows 2000 Server服务器来间接访问NetWare资源。
1.Novell NetWare 服务器的配置
首先,在NetWare服务器上创建一个Ntgateway的用户组,并在你希望共享的目录上赋予该用户组一定的权限。然后,将被用作网关帐号的用户包含在该组中。可使用NetWare的Netadmin(DOS版本)或Nwadmin(Windows 版本)实用程序创建用户组和用户。
2.Windows 2000 Server服务器的配置
Windows 2000 Server服务器的GSNW服务需要Nwlinnk网络协议支持。所以,首先必需在Windows 2000 Server服务器上添加Nwlink协议。在Windows 2000 Server上运行控制面板中的NetWare程序,选择安装Nwlink协议即可。
注意:Nwlink所使用的帧类型应与将要访问的Novell NetWare服务器上使用的帧类型相匹配,一般可选用802.3。然后,安装GSNW服务,同样运行控制面板中的NetWare程序,选择安装GSNW服务即可。安装完成后,重启计算机,将有一个GSNW图标出现在控制面板中,用来选择默认的NetWare服务器和NetWare打印队列。通过控制面板的GSNW图标来激活NetWare网关服务程序,激活GSNW后,需在Default Tree和Contex选项中分别输入NetWare服务器的树名称和用户帐号(Ntgateway组中的用户帐号)信息。这样配置之后,Windows 2000 Server就可以共享NetWare资源,将NetWare资源映射到本地盘,Windows 2000 Server的客户端(DOS、Win95/98)便可通过访该盘来间接存取NetWare上的资源。
#1 (二)UNIX、Linux服务器与Windows 2000 Server服务器的互连
在Linux主机和UNIX主机使用的都是TCP/IP协议,Windows 2000 Server支持TCP/IP协议,所以Windows 2000 Server与Linux主机或者UNIX主机的信息交流,可以通过FTP或NFS。但是,FTP和NFS的操作并不够直观。为了便于与Linux及UNIX更方便地进行信息共享,我们可以通过Linux提供的Samba 服务程序来进行。
Samba是一组程序,可以使你的Linux具备理解SMB协议(server message block)的能力。SMB协议是一种在OS/2、Windows系列中广泛使用的协议,该协议主要用来实现文件和打印机共享。使你的Linux将会出现在“Network Neighborhood”(网络邻居)中如同其它Windows机器一样。Windows用户可以登录至你的Linux机器并且以你赋与他们的权限与UNIX文件系统进行双向的交流,还可以向Linux打印机提交作业。
1.Samba组成
一个samba服务器包含了两个服务器程序:smbd和nmbd。Smbd是samba的核心。它负责建立对话进程、验证用户身份、提供对文件系统和打印机的访问机制。Nmbd实现了“network browser”(网络浏览服务器)的功能。它的作用是对外发布samba服务器可以提供的服务。Nmbd可以使samba服务器出现在Windows 9X或Windows 2000 Server的“网络邻居”中可以使客户机浏览到可以访问的资源。完全可以不运行nmbd而起动samba服务器进程。
2.Samba配置
由于SMB是一个非常复杂的协议,所以配置samba是十分复杂的。在RedHat和Debian中Smb.conf文件缺省位置是在/etc/中,所有的samba程序都要参照这个配置文件。文件中的每一节都由一个被方括号括起来的标识开始。
每一个配置参数或是一个全局参数(影响或控制整个服务器),或是一个服务参数(影响或控制服务器提供的某项服务)。[global]节设置全局选项和一些缺省的服务选项。[home]节是用来动态的映射到每个用户的home目录下。[printers]节用来设置将按照系统printcap文件配置的打印机共享至指定用户。
3.一个简单的 smb.conf
[global]
netbios name=FRODO workgroup=UAB-TUCC server string=John Blair's Linux Box security=user printing=lprng
[homes]
comment=Home Directory browseable=no read only=no
在[global]节中设置了主机的netbios名,主机所在工作组的组名和将在browse list出现的提示字串。安全参数提示samba使用“user level”(用户级)安全级别。SMB有两种安全级别:share(共享级)和user level(用户级)。不过在大多数情况下,你使用的是用户级安全级别。由于没有指定特殊的加密方式,samba缺省使用标准的UNIX口令字验证方式即Plaintext口令字验证方式来验证每个连接。若你的linux使用PAM模块,那么你必须修改PAM配置使samba可以通过口令字数据库验证口令字。RadHat自动进行这些处理。
[homes]节中的设置用来控制每个用户home目录的共享情况。Comment parameter(注解参数)是在browse list中标示该条目的字串。browseable参数控制是否该项服务出现在browse list中。
下列的配置使每个可以登录至samba服务器的用户使用在系统Printcap文件中定义过的打印机。
[printers]
browseable=no guest ok=yes printable=yes
完成smb.conf文件的配置后,可以使用Testparm命令来快速检查smb.conf文件的语法错误。通过以上配置,在Linux主机上运行Samba服务程序:smbd和nmbd。Windows与Unix、Linux便可以很方便地进行进行数据交换。