《组建中小型办公局域网(共47页).doc》由会员分享,可在线阅读,更多相关《组建中小型办公局域网(共47页).doc(47页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选优质文档-倾情为你奉上项目三:组建中小型办公局域网3.1背景描述随着办公自动化的广泛应用,人们已不再满足于原来各自为政的办公方式,以网络为核心的办公自动化成为热门技术。本章将主要介绍中小型办公网的组建3.2 需求分析3.2.1中小型办公局域网简介组建中小型办公局域网,可以使单位的所有计算机和其他硬件设备,如打印机、扫描仪等设备实现共享,同时还可以通过各种应用服务器,在网内统一为用户提供服务,从而节省软、硬件资源,节省资金投入,提高设备的利用率。3.2.2中小型办公局域网的特点实现各种资源的共享是中小型办公局域网最基本的特点,此外,还应具有以下一些特点。1数据的安全、集中管理网络最重要的是资
2、源共享,而资源共享就可以实现对数据的统一管理。一些重要的数据可以存放在专门的计算机,如网络服务器中,只需要对这一台计算机采取安全管理措施,就可以保证重要数据的安全,防止数据的丢失。同时,也可以对重要数据设置访问权限,不同的用户根据不同的权限使用数据,避免单机操作带来的不安全。2网络远程访问网络还应具备远程访问的功能,其他单位的计算机可以通过电话线、互联网等方式进行远程访问,形成一个规模更大的网络。例如,当某个员工出差在外时,可通过远程访问功能登录到单位的网络,从网络上调用所需要的资料,或将重要的资料反馈给公司。通过远程访问,还可以对一些重要内容与公司其他人员进行“面对面”的交流。3协同操作一些
3、部门经常需要对某一事务进行突击处理。例如,上级单位可能要求把本单位中有关的人事档案进行分类汇总,并迅速上报。此时,需要大家一起对这项工作进行协同处理,在短时间内尽可能多地解决问题。而通过计算机网络,就能方便地对同一事务进行协同操作,应付诸如此类突击性的工作。3.2.3中小型办公局域网的技术要点一般说来,办公网以主从式结构为主,以服务器为核心,用若干网络设备把客户机与服务器连接起来,以实现资源的共享。从技术角度来看,在组建中小型办公局域网过程中,有4个技术要点。1服务器的安装配置这里的服务器指的是安装在作为服务器的计算机上的服务器软件,随着Windows Server 2003的推广普及,目前新
4、组建的办公网一般都以Windows Server 2003作为服务器软件,组建办公网的一个重点就是配置好Windows Server 2003,让它充分发挥核心作用。2资源与权限的分配资源共享是组网的目的,资源既包括硬件资源,也包括软件资源。通过组建办公网,要让这些资源充分发挥作用,让每个员工都能得到合理的资源分配。但作为办公网来说,安全更是首要的,因此,如何分配员工的权限,也是组网中的一个重要问题。3远程接入的实现通过远程接入技术,可以让员工无论身处何地,只要能够连接到互联网上,就能随时与公司的办公网进行通信。远程接入一般通过VPN技术来实现,这也是组建办公网的一个重点。4虚拟局域网技术虚拟
5、局域网VLAN是近几年流行的一门新兴技术,VLAN技术能够对不同职能部门的管理、安全和整体网络的稳定运行起到不可估量的作用,它既有利于网络安全,又可以提高网络运行的效率,解决一些难以解决的问题。因此,VLAN技术也是组建办公网的重点技术之一。3.2.4常见的中小型办公网结构类型常见的中小型办公网结构类型有:10Base-2总线型结构网络、10Base-T星型结构网络、100Base-T星型结构网络、交换式以太网等。110Base-2总线型结构网络10Base-2总线型结构网络也就是平时所用的细缆结构,这种网络的组建简单,造价低,适用于用户较少和网络范围不大的情况下使用。因为网络中所有的数据都要
6、通过总线进行传输,网络的速度将受到极大的限制,无力胜任传输大量的语音、视频信息的要求,目前已很少使用。210Base-T星型结构网络10Base-T星型结构可使用集线器,根据所使用的集线器的类型分为共享式和交换式两种。10M共享以太网是早期应用最为广泛的网络类型,网络中工作站的变动基本上不会影响网络的正常工作,网络工作站组合灵活方便,提高了网络的可靠性,易于维护和扩充,目前仍在早期建网的许多单位中发挥着重要的作用。这类网络的缺点是所有的网络站点完全共享10Mbit/s带宽,在网络数据流量较大的情况下,由于碰撞增加而大大降低网络使用效率。这种类型的网络适合于单服务器应用,站点数目一般不超过30个
7、。网络应用以文件、打印和共享为主。3100Base-T星型结构网络100Base-T的网络结构与10Base-T网络结构基本相同,不同的只是速度上的差异。为了支持百兆传输速率,除了要使用支持百兆传输速率的网卡、双绞线、集线器等网络设备外,还要采用标准化布线,以确保网络传输的效率和稳定性。在这种网络中,一般网卡选用10/100M自适应全双工网卡,这种网卡可以根据对方的速度自动调整工作速度。集线器可根据网络的具体需要选择100M或是10/100M自适应集线器,当用户数多时可使用堆叠式集线器。4交换式以太网前面的10Base-T和100Base-T网络结构中是利用集线器作为中心节点设备,都是共享式的
8、网络,当网络的平均利用率较高并且发送的信息量较大时,共享式网络的带宽被传输碰撞和发送重试大量占用,将使网络的速度明显下降。而交换式以太网则可以根据所传输的信息包的目的将包从源端口直接发送到目的端口,避免了和网络上其他端口发生碰撞。因此,当不同的源端口向不同的目的端口发送信息包时,交换式以太网可以同时传输这些信息,大大提高了网络的速度。交换式以太网组网时,只需要在原有的共享网络的基础上增设交换机,而网络的结构则无需调整。从理论上讲,同样10Mbit/s或100Mbit/s的网络,交换式结构的速度要比共享式快,但实际上当所有工作站同时只访问一台服务器时,交换式网络的速度并不比共享式高,因此,为了提
9、高网络的速度,建议给服务器增加网卡,从而对工作站进行分段管理。目前,交换式以太网主要用于可同时访问多台服务器的网络中,如一些具有多职能部门的单位,各职能部门的源数据相对独立,一般需要单独使用一台服务器。此外,在快速传输多媒体信息时,交换式以太网能够发挥其固有的优势3.3解决方案3.3.1中小型办公局域网的组建方案随着网络设备价格的下降,同时也为了管理的方便,目前新组建的局域网一般都采取交换式以太网。对于大型网络(几百甚至上千台计算机构成的局域网)来说,可以在网络逻辑结构上分为核心层、分布层和接入层,3个层次的关系如图6-1所示。对于中小型网络(一般只有几十台计算机构成的局域网),可以将核心层与
10、分布层合并,分为主干层和分支层,如图6-2所示。图6-1 大型局域网结构示意图图6-2 中小型局域网结构示意图一般说来,中小型办公网的规模不是很大,只有几十台计算机;地理范围在一个办公楼或一个园区内,最大通信距离较近;网络中的数据传输速率也不是很大。对于这样的网络,读者通过学习,是完全能够组建成功的。而要组建那些拥有几百甚至上千台计算机、而且有着各种复杂要求的大型办公网络,没有对网络软、硬件的系统学习是根本不可能组建成功的,那通常是网络工程师要做的事情。下面给出一个比较典型的中小型办公网的结构示意图,如图6-3所示。交换机采用可网管的10/100M自适应交换机,服务器上配置VPN,员工可以在家
11、中通过互联网与办公网交换数据。图6-3 典型的中小型办公网示意图3.4组建中小型办公局域网3.4.1中小型办公局域网规划3.4.1.1中小型办公局域网所需的设备组建中小型办公网所需的设备主要有如下几类。1网络连接介质组网方案确定之后,网络连接介质也就确定下来了。一般在中小型办公网中使用双绞线进行连接,因此足够数量的高品质双绞线是组网的必备之物。建议购买5类以上的高品质名牌双绞线,以避免劣质产品造成的网络不稳定。2服务器办公网是以服务器为核心的,服务器的好坏直接关系到网络的运行状态。因此,推荐购买高品质的服务器,而不要用普通PC机来代替。关于服务器的选择,读者可以参考第2章的相关内容。3网络设备
12、如果办公网要划分VLAN,在选购交换机时必须选择可网管的、支持VLAN划分的交换机。至于交换机的速度,目前常见的交换机基本上都是10/100Mbit/s自适应速率的,都能够胜任。路由器根据实际需要进行选购即可,如能否根据接入互联网等,但现在流行的家用宽带路由器由于接入能力较低,无法满足办公的需要,因此要选择专业路由器。4其他设备根据布线的需要,还要选购其他设备,如穿线的线管和线槽等。3.4.1.2中小型办公局域网的IP规划与其他局域网一样,中小型办公网一般也使用私有IP地址,这里建议使用C类私有IP地址。确定了所用的IP地址范围之后,首先要对各计算机的IP地址进行规划,如服务器的IP地址、路由
13、器的IP地址等。一旦规划确定之后,要详细记录,同时在组网和后期的维护过程中,必须严格按照规划的IP地址进行设置。3.4.2安装配置Windows Server 2003服务器在本例中,整个办公网的IP地址段为“192.168.1.1192.168.1.254”,域控制器的IP地址为“192.168.1.17”,办公网通过路由器连接到互联网中,路由器的IP地址为“192.168.1.1”。3.4.2.1安装Windows Server 2003对于新服务器来说,硬盘上面没有可保存的资料,因此只需直接安装操作系统即可。如果是旧服务器升级,则必须把原有数据进行备份,确保万无一失才能安装新操作系统。安
14、装Windows Server 2003的主要步骤如下。在启动计算机的时候进入CMOS设置,把系统启动选项改为光盘启动,保存配置后放入系统光盘,重新启动计算机,让计算机用系统光盘启动。重新启动计算机,并把Windows Server 2003的光盘插入光驱,系统首先要读取必需的启动文件,如图6-4所示。接下来询问用户是否安装此操作系统,按回车键确定安装。图6-4 确定安装Windows Serve 2003接下来出现软件的授权协议,按F8键同意协议才能继续进行。然后搜索系统中已安装的操作系统,并询问用户将操作系统安装到系统的哪个分区中,如果是第一次安装,那么用光标定位于需要安装的分区,如图6-
15、5所示。图6-5 选择安装的分区选定分区后,系统会询问用户把分区格式化成哪种格式,建议格式化为NTFS格式。对于已经格式化的磁盘,会询问用户是保持现有的分区还是重新将分区修改为NTFS或FAT格式,同样建议修改为NTFS格式分区。选定后按回车,系统将从光盘复制安装文件到硬盘上。当安装文件复制完毕后,重新启动计算机。系统重新启动后,即进入对话框界面,如图6-6所示,开始正式安装。在安装过程中,由于系统要检测硬件设备,所以屏幕会抖动几次,这是正常的。图6-6 进入图形界面在安装过程中,有几步需要用户参与。第一是系统语言、用户信息的配置,如图6-7所示,一般说来,只要使用默认设置即可,直接单击“下一
16、步”按钮继续。图6-7 设置语言输入用户的姓名和单位名称,如图6-8所示,输入完毕后单击“下一步”按钮继续。图6-8 输入用户信息接下来输入软件的序列号,在光盘的封套或者说明书中找到这个序列号,输入到图6-9所示的“产品密钥”输入框中,单击“下一步”继续。图6-9 输入序列号需要选择授权模式,如图6-10所示,这里选择“每服务器,同时连接数”,然后根据网内的客户端计算机数据合理配置连接数,然后单击“下一步”继续。图6-10 设置授权模式Windows Server 2003支持两种授权模式:每客户和每服务器。如果选择了每客户模式,每台访问Windows 2003服务器的计算机都要求有自己的客户
17、端访问许可证(CAL),使用一个CAL,一个特定的客户端计算机可以连接到任意数量的Windows Server 2003服务器上。对于拥有超过一台Windows Server 2003服务器的公司来说,这是最常用的授权方法。而每服务器授权是指每一个与服务器的并发连接都需要一个单独的CAL。这意味着在任何时候,这台服务器都可以支持固定数量的连接。例如,选择了每服务器客户端授权模式和50个并发连接,表明这个Windows Server 2003服务器可以同时被50台客户端计算机连接,这些计算机将不需要任何其他许可证。只有一台Windows Server 2003服务器的中小办公网通常选择每服务器授
18、权模式。如果无法确定使用哪种模式,也可以选择每服务器模式,因为以后无需花任何费用,即可从每服务器模式更改为每客户模式。设置计算机的名称和本机系统管理员的密码,如图6-11所示,计算机的名称不能与局域网内其他计算机的名称相同,管理员的密码设置要安全,最好是数字、大写字母、小写字母、特殊字符相结合,然后单击“下一步”继续。图6-11 设置管理员密码下面是关于网络的设置,如图6-12所示,在这里可以选择“典型设置”,以便安装完毕后再进行调整。图6-12 网络设置 设置工作组或计算机域的时候,如图6-13所示,选择第一项“不,此计算机不在网络上,或者在没有域的网络上。把此计算机作为下面工作组的一个成员
19、”,然后单击“下一步”按钮。图6-13 设置工作组设置完毕后,系统将安装开始菜单项、对组件进行注册等,这些都无需用户参与,所有的设置完毕并保存后,Windows Server 2003安装完毕。重新启动计算机后,首先要设置服务器的IP地址,操作步骤如下。单击“开始设置网络连接”,打开网络连接对话框。右键单击“本地连接”,选择“属性”命令,打开本地连接的设置对话框。在“常规”选项卡中,选中“Internet 协议(TCP/IP)”,如图6-14所示,单击“属性”按钮。图6-14 本地连接属性 如图6-15所示,选中“使用下面的IP地址”,并把IP地址设置为已规划好的“192.168.1.17”,
20、子网掩码自动设置为“255.255.255.0”。把默认网关设置为“192.168.1.1”,首选DNS服务器设置为“192.168.1.1”,备用DNS服务器地址设置为ISP提供的DNS服务器,单击“确定”按钮。图6-15 设置IP地址3.4.2.2把Windows Server 2003升级成域控制器活动目录即Active Directory,它包括两方面内容,目录和目录相关的服务。目录是存储各种对象的一个物理上的容器,目录管理的基本对象是用户、计算机、文件以及打印机等资源。目录服务是使目录中所有信息和资源发挥作用的服务,如用户和资源管理、基于目录的网络服务、基于网络的应用管理等。活动目录
21、是Windows Server 2003网络体系结构中必不可少的、不可分割的重要组件。具体说来,Windows Server 2003的活动目录是由组织单位、域、域树、树林构成的层次结构。活动目录为每个域建立一个目录数据库的副本,这个副本只存储用于这个域的对象。如果多个域之间有相互关系,它们可以构成一个域树。在每个域树中,每个域都拥有自己的目录数据库副本,用以存储自己的对象,并且可以查找域树中其他目录数据库的副本。多个域树构成了树林。所以,Windows Server 2003的活动目录使网络具有很强的扩展性,便于组织管理以及目录定位。域是活动目录的核心单元,是计算机、用户等对象的容器,一个域
22、的管理权限只限于该域,通过向域委派管理权限,可以使系统不再需要大量的具有广泛管理权利的管理员,并能更好地为不同的用户提供服务。每个域至少包括一个域控制器。域控制器为网络用户和计算机提供活动目录服务、存储目录数据并管理用户和域之间的交互。在域中,所有的域控制器都是平等的。域控制器就是运行Windows Server 2003服务器的计算机。域控制器解释起来比较复杂,实际的配置过程其实比较简单,步骤如下。单击“开始程序管理工具管理您的服务器向导”,启动管理服务器向导,如图6-16所示。图6-16 “管理您的服务器”界面单击“添加或删除角色”,系统在检测完网络设备之后,出现一个列表,如图6-17所示
23、,要求用户选择配置哪种服务器。这里选择“域控制器”然后单击“下一步”按钮。图6-17 选择配置哪种服务器系统要求用户确定所要进行的操作,如图6-18所示,单击“下一步”继续。图6-18 确定用户的操作在弹出的“Active Directory安装向导”中单击“下一步”按钮,如图6-19所示。图6-19 Active Directory安装向导系统告知用户操作系统的兼容性,运行Windows 95或Windows NT 4.0 SP3系统之前的计算机将无法登录域控制器或访问域资源,如图6-20所示,单击“下一步”按钮继续。图6-20 操作系统兼容性报告选择此服务器担任的角色,如图6-21所示,这
24、里选择“新域的域控制器”,然后单击“下一步”按钮。图6-21 表明服务器担当的角色 选择所创建域的类型,如图6-22所示,选中“在新林中的域”,然后单击“下一步”按钮。图6-22 创建域的类型设置新域的名称,这里输入“mydomain”,如图6-23所示,单击“下一步”按钮后,系统会给出一个提示,直接单击“确定”即可。图6-23 设置新域的名称设置NetBIOS域名,一般默认与新域名相同,如图6-24所示,这里使用默认设置即可。图6-24 设置NetBIOS域名下面要求设置数据库和日志文件文件夹,如图6-25所示,使用默认设置即可,单击“下一步”按钮。图6-25 设置数据库和日志文件夹设置共享
25、的系统卷,比如指定“SYSVOL”所在的文件夹,如图6-26所示,使用默认设置即可,单击“下一步”按钮。图6-26 设置SYSVOL文件夹系统会有一个诊断过程,然后告知用户无法更新DNS区域授权,这里选中“我将在以后通过手动配置DNS来更正这个问题”,然后单击“下一步”按钮,如图6-27所示。图6-27 诊断结果选择用户和组对象的默认权限,如图6-28所示,这里选择“只与Windows 2000或Windows Server 2003操作系统兼容的权限”,然后单击“下一步”按钮。图6-28 设置默认权限设置目录服务还原模式的管理员密码,如图6-29所示,输入密码后单击“下一步”按钮。图6-29
26、 设置还原模式密码在要求用户复查并确认选定的选项后,如图6-30所示,单击“下一步”按钮。图6-30 显示摘要系统将开始配置活动目录,配置完成后告知用户活动目录配置完成,如图6-31所示,单击“完成”按钮将重新启动计算机。图6-31 完成安装3.4.3设置NTFS磁盘权限3.4.3.1NTFS及用户权限的基础知识在微软的Windows系列操作系统中,主要有两种磁盘分区格式,一种是FAT,另一种是NTFS。FAT全称为“File Allocation Table”,早在1982年就被应用于MS-DOS中。最初是FAT12,后来升级到FAT16。在FAT中,文件命名采取8.3格式,即主文件名不超过
27、8个字符、扩展文件名不超过3个字符。这种命名规则被使用了十多年。随着Windows 95的出现,长文件名的问题被提了出来,于是FAT16被扩展为VFAT(即扩展FAT),它支持长至255个英文字符的文件名,不过VFAT仍保留有扩展名,并且新增了支持文件日期和时间的属性。随着硬盘技术的高速发展,FAT16无法有效地管理主流硬盘,于是出现了FAT32。FAT32的出现只是为了支持更大的硬盘容量,在技术上与FAT16没什么大的区别,它主要应用于Windows 95 OSR2(也就是通常所说的Windows 97)及所有后续Windows系统中。NTFS全称为“New Technology File
28、System”,是微软为服务器操作系统开发的磁盘文件格式。NTFS的发展也经历了几个版本,最初是应用于Windows NT 3.1的1.1版,然后是对应Windows NT 3.51/4.0的1.2版,接下来是Windows 2000中的SP3版以及Windows XP、Windows Server 2003中的3.1版。这些是内部版本命名,一般人们通常把1.X版统称为4.0版,把3.0版和3.1版称为5.0版和5.1版。更新的版本只是添加了额外的特性,基本的组织结构并没有变化。它与FAT文件系统最主要的区别是NTFS支持元数据(Metadata),可利用先进的数据结构提供更好的性能、稳定性和
29、磁盘利用率。NTFS是随着Windows NT操作系统而产生的,并随着Windows NT4跨入主力分区格式的行列,它的优点是安全性和稳定性很好,在使用中不易产生文件碎片。NTFS分区对用户权限作出了非常严格的限制,每个用户都只能按着系统赋予的权限进行操作,任何试图越权的操作都将被系统禁止。同时NTF提供了容错结构日志,可以将用户的操作全部记录下来,从而保护了系统的安全。Windows Server 2003提供了完善的NTFS分区格式的支持。与FAT文件系统相比,NTFS文件系统最大的特点是安全。可以为NTFS分区或文件夹指定权限,来避免受到本地或远程的非法访问。也可以对位于NTFS分区中的
30、文件单独设置权限,避免本地或远程用户的非法使用。同时,NTFS使用事务日志自动记录所有文件夹和文件更新,当出现系统损坏和电源故障等问题而引起操作失败后,系统能利用日志文件重做或恢复未成功的操作。此外,对于超过4GB以上的硬盘,使用NTFS分区可以减少磁盘碎片的数量,大大提高硬盘的利用率;NTFS可以支持的文件大小可以达到64GB,远远大于FAT32下的4GB。1Windows Server 2003中用户的权限在Windows Server 2003中,用户被分成许多组,组和组之间都有不同的权限,常见的用户组如下。Users:即普通用户组,这个组的用户对系统无法进行有意或无意的改动。该组中的用
31、户可以运行经过验证的应用程序。Users组是最安全的组,因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。Users组提供了一个最安全的程序运行环境。在经过NTFS格式化的卷上,默认安全设置能禁止该组的成员危及操作系统和已安装程序的完整性。用户不能修改系统注册表设置、操作系统文件或程序文件。Users 可以创建本地组,但只能修改自己创建的本地组。Users可以关闭工作站,但不能关闭服务器。Power Users:即高级用户组。Power Users可以执行除了为Administrators组保留的任务外的其他任何操作系统任务。分配给Power Users组的默认权限允许Power
32、 Users组的成员修改整个计算机的设置。但Power Users不具有将自己添加到Administrators组的权限。在权限设置中,这个组的权限是仅次于Administrators的。Administrators:即管理员组。默认情况下,Administrators中的用户对计算机或域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。一般来说,应该把系统管理员或者与其有着同样权限的用户设置为该组的成员。Guests:即来宾组。来宾组跟普通Users组的成员有同等访问权,但来宾账户的限制更多。Everyone:即所有的用户,这个计算机上的所有用户都属于这个组。SYSTE
33、M:即系统组,这个组拥有和Administrators一样甚至更高的权限,在查看用户组的时候它不会被显示出来,也不允许任何用户的加入。这个组主要是保证系统服务的正常运行,赋予系统及系统服务的权限。2NTFS文件系统的权限对于使用了NTFS文件系统的分区,系统允许为分区上的文件、文件夹和整个分区设置相应的权限。当然,这个权限是分配给Windows Server 2003用户或用户组的。打开“我的电脑”,在使用了NTFS文件系统的分区上单击右键,选择“属性”命令后,可以看到有一个“安全”选项卡,如图6-60所示,其中可看到各个用户组对该分区的权限,右键单击NTFS分区中的某个文件,选择“属性”命令
34、,在其“安全”选项卡中也可以看到用户对该文件的权限。图6-60 F盘的权限图6-61 某文件的权限在NTFS文件系统中,文件和文件夹的权限稍有不同。对于文件来说,有读取、写入、读取和运行、修改以及完全控制5项。其中“读取”表示可以读取文件内的数据,查看文件的属性;“写入”表示可以将文件覆盖,改变文件的属性;“读取和运行”表示除了“读取”的权限外,还可以执行此应用程序;“修改”表示除了“写入”和“读取与运行”权限外,还有更改文件数据、删除文件和改变文件名等权限;“完全控制”表示指定的用户拥有所有的权限。对于文件夹来说,权限分为读取、写入、列出文件夹目录、读取与运行、修改、完全控制6项。其中,“读
35、取”表示可以查看文件夹内的文件名称、子文件夹的属性等;“写入”表示可以在文件夹里写入文件与文件夹,更改文件的属性;“列出文件目录”表示除了“读取”权限外,即使指定用户对此文件夹没有访问权限,也能列出子文件夹目录;“读取与运行”的权限与“列出文件夹目录”几乎相同,只是权限的继承有所不同,“读取与运行”是文件与文件夹同时继承,而“列出文件夹目录”只有文件夹继承此权限;“修改”是指除了具有“写入”和“读取与继承”的权限外,还有删除、重命名子文件夹的权限;“完全控制”则拥有所有的权限。3权限之间的关系通过前面的介绍可以看出,用户可以只隶属于某个用户组,也可以隶属于不同的用户组;用户与用户组之间的权限不
36、一定相同;NTFS分区中的文件和文件夹可以对不同的用户设置不同的权限,但在共享某个文件夹时又可以针对同一个用户设置不同的权限,那么这些权限之间的关系如何呢?这就是多重NTFS权限的问题。一般说来,权限之间存在着继承、累加、优先和交叉的关系。这里所讲的“继承”与民法中的“财产继承”有着异曲同工之处。通常情况下,文件夹中的文件和子文件夹继承父文件夹权限。需要说明的是,在分区内复制目录或文件的时候,复制过去的目录和文件将拥有它现在所处位置的上一级目录权限设置,但在分区内移动目录或文件的时候,移动的目录和文件将拥有它原先的权限设置。权限的累加,是指用户对资源的有效权限是分配给该个人用户账户和用户所属的
37、组的所有权限的总和。例如,用户User1对文件具有“读取”权限,而User1所属的Group1组拥有对该文件的“写入”权限,那么用户User1就对该文件同时具有“读取”和“写入”的权限。再如,Group1组中有两个用户User1和User2,用户User1对文件A的访问权限为“读取”,User2对文件A的访问权限为“写入”,那么Group1组对文件A的权限则为“读取”加“写入”,这就是权限的累加。优先包括两层含义:其一是文件的访问权限优先于目录的访问权限,也就是说文件权限可以越过目录的权限,而不管上一级文件夹是怎样设置的。例如,用户User1对文件夹Folder没有访问权限,但能够有权访问Fo
38、lder文件夹下的文件A。其二是“拒绝”权限优先于其他权限,也就是说“拒绝”权限可以越过所有其他权限,一旦选择了“拒绝”权限,则其他权限也就不能起任何作用,相当于没有设置。例如,用户User1有访问文件A的权限,但是User1所在的用户组Group1拒绝访问文件A,那么User1也无法访问文件A。再如,用户User1同时隶属于Group1和Group2两个用户组,Group1对文件A有写入权限,而Group2对文件A拒绝写入,那么用户User1对文件A的实际权限是“拒绝写入“,这就是“拒绝”权限优先。交叉是指当同一文件夹在为某一用户设置了共享权限的同时又为用户设置了该文件夹的访问权限,且所设权
39、限不一致时,它的取舍原则是取两个权限的交集,也就是最小的那种权限。例如文件夹Folder为用户User1设置的共享权限为“只读”,同时文件夹Folder为用户User1设置的访问权限为“完全控制”,那用户USER1的最终访问权限为“只读”。3.4.3.2设置磁盘分区的权限首先声明,对NTFS分区进行权限设置是比较危险的,如果设置不当,会造成系统不能正常运行,尤其是系统盘所在的分区以及系统所用的虚拟内存所在的分区。对这两个分区最好保持默认权限。只有NTFS格式的磁盘分区才可以设置权限,那么如果在安装系统对磁盘分区时使用FAT格式,该如何处理呢?处理办法很简单,例如要对F盘进行转换,可以进行如下操
40、作。单击“开始程序附件命令提示符”,启动命令提示符对话框。在命令提示符对话框中输入“covert F:/FS:NTFS”,然后按下回车键。这样就可简单地转换分区格式为NTFS了。这个方法只能把FAT32分区转换为NTFS分区格式,而不能将NTFS转为FAT32。对NTFS分区进行权限设置的操作比较简单,下面对F盘进行分区,要求有两点,一是只有Windows Server 2003中的用户能够查看磁盘内容,Guests用户无法查看磁盘内容;二是只允许每个用户建立各自的文件夹,但无法访问其他用户建立的文件夹。要达到这个目的,需要在设置中实现3点:一是不允许Guests账户访问该分区,这就要求在设置
41、时删除“Everyone”用户组;二是允许用户建立自己的文件夹,这里假设Windows Server 2003建立的用户都属于Users组,那么就要允许Users组拥有完全控制的权限;三是不允许Users组中的用户相互访问各自的文件夹,那么就只能允许Users组只对根目录拥有完全控制权限,在各个用户建立各自的文件夹时,Users组的完全控制权限不能被继承。以系统管理员的身份登录后,进行如下操作。在“我的电脑”中右键单击F分区,选择“属性”命令,打开“属性”对话框。单击“安全”选项卡,如图6-62所示。如图6-64所示,把“应用到”选择为“只有该文件夹”,单击“确定”按钮。图6-63 高级安全设
42、置对话框在高级安全设置对话框中,选中“CREATOR OWNER”,单击“编码”按钮,把“应用”设置为“该文件夹,子文件夹及文件”,然后单击“确定”按钮,依次退出。图6-64 设置对象的权限在本例中,实现了把Users组的权限仅设置在根目录中,但把CREATOR OWNER组的权限设置为所有目录的完全控制。实际上,CREATOR OWNER组代表的是建立文件夹的那个用户,也就是说,哪个用户建立文件夹,哪个用户才能有完全控制的权限。通过授予CREATOR OWNER完全控制的权限而限制其他组的权限以达到目的。通过本例,希望读者能够举一反三,用NTFS权限合理配置自己的每一个磁盘分区。3.4.3.
43、3设置文件夹的权限设置文件夹的权限与设置分区的权限基本相同,但其危险性要小很多,只要系统及应用软件所在的目录设置正常,就不会发生出错的情况。下面通过一个例子来说明如何设置文件夹的权限。假设系统中所有用户都隶属于Users组,要求在F盘上建立一个目录Share,然后把此目录共享,每个用户都能进入Share目录,能够建立各自的文件夹并在文件夹内放置自己的文件,但每个用户,包括系统管理员都不能查看别人的文件。用系统管理员身份登录后,具体操作步骤如下。在F分区新建文件夹,命名为“Share”。右键单击“Share”,选择“属性”命令,打开文件夹属性对话框。在文件夹属性对话框中单击“安全”选项卡,如图6
44、-65所示。图6-65 “安全”选项卡选中Users,将其权限设置为“完全控制”。单击“高级”按钮,将弹出“高级安全设置”对话框。如图6-66所示,取消“允许父项的继承权限传播到该对象和所有子对象,包括那些在此明确定义的项目”。图6-66 高级安全设置如图6-67所示,系统提示用户如何处理子对象与父项的权限关系,单击“复制”按钮。在“高级安全设置”对话框中选中“Adinistrator”,单击“编辑”按钮,在权限项目对话框中把“应用到”设置为“只有该文件夹”,如图6-68所示,单击“确定”按钮,回到“高级安全设置”对话框。在“高级安全设置”对话框中选中“SYSTEM”,单击“编辑”按钮,在权限
45、项目对话框中把“应用到”设置为“只有该文件夹”,单击“确定”按钮,回到“高级安全设置”对话框。在“高级安全设置”对话框中选中“CREATOR OWNER”,单击“编辑”按钮,在权限项目对话框中把“应用到”设置为“该文件夹,子文件夹及文件”,单击“确定”按钮,回到高级安全设置对话框。在“高级安全设置”对话框中选中“Users”,单击“编辑”按钮,在权限项目对话框中把“应用到”设置为“只有该文件夹”,单击“确定”按钮,回到“高级安全设置”对话框,最终的设置结果如图6-69所示。图6-69 最终设置结果单击“确定”按钮回到文件夹属性对话框,单击“确定”按钮使之生效。本例中,仍然是通过把“CREATO
46、R OWNER”组的权限设置为完全控制,而缩小其他用户组的权限和权限涉及的范围的方法来达到目的,方法并不复杂,希望读者能够通过这个简单的例子深入理解各种权限的设置。3.4.3.4启用磁盘配额所谓磁盘配额,就是每个用户的可用空间。例如,在磁盘分区F上,为用户User1设置的磁盘配额为100MB,那么该用户只能使用100MB的磁盘空间,如果用户使用的空间达到了100MB,即使F分区上还有空间也不允许用户User1使用。Windows Server 2003支持磁盘配额功能,当然这也需要NTFS分区格式的支持。磁盘配额对于普通用户并不重要,但对整个网络的系统管理员来说,这项功能却非常重要。因为如果网
47、络中拥有大量客户机并且频繁访问服务器资源,不论服务器的运算能力多强,网络所能承受的通信量多大,都难以满足所有用户的要求。因此,系统管理员必须对网络中的客户机进行磁盘配额的设置。设置磁盘配额时,可以设置两个值:磁盘配额限制和磁盘配额警告等级。配额限制指定了用户可以使用的磁盘空间数量,警告等级指定了用户接近配额限制的点。例如,设置用户磁盘配额限制是60MB,磁盘配额警戒等级设置为40MB。在此情况下,用户在磁盘中存储的文件总量不能超过60MB,如果用户在磁盘中存储的文件超过40MB,磁盘配额系统会记录一个系统事件。在Windows Server 2003中,系统管理员能够使用全部的磁盘空间,对其他类型的用户可以限制其磁盘使用,即进行磁盘配额设置。磁盘配置设置比较灵活,既可以为全部用户指定相同大小的磁盘配额空间,也可以单独为某个用户指定与众不同的磁盘配额。1为所有的用户指定相同的磁盘配额本例中,将对F盘进行磁盘配额分配,每个用户所能使用的磁盘空间为20MB,警告等级为10MB,具体操作步骤如下。在“我的电脑”中右键单击F分区,选择“属性”命令,打开磁盘属性对话框。单击“配额”选项卡,选中“启用配额管理”和“拒绝将磁盘空间给超过配额限制的用户”,同时选中“将磁盘空间限制为”,并把后面的数值设置为2