2022年《域管理》教程 .pdf-淘文阁

资源描述

《2022年《域管理》教程 .pdf》由会员分享，可在线阅读，更多相关《2022年《域管理》教程 .pdf（21页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、域管理系统3- 1 基本概念介绍域工作组活动目录活动目录对象用户和组计算机打印机组织单元基本概念介绍域和工作组域和工作组是针对网络环境中的两种不同的网络资源管理模式。在一个网络内，可能有成百上千台电脑，如果这些电脑不进行分组，都列在 “ 网上邻居 ”内，可想而知会有多么乱。为了解决这一问题，Windows 9x/NT/2000就引用了 “ 工作组 ” 这个概念，将不同的电脑一般按功能分别列入不同的组中，如财务部的电脑都列入“ 财务部 ”工作组中，人事部的电脑都列入“ 人事部 ” 工作组中。你要访问某个部门的资源，就在“ 网上邻居 ” 里找到那

2、个部门的工作组名，双击就可以看到那个部门的电脑了。在对等网模式（PEER-TO-PEER）下，任何一台电脑只要接入网络，就可以访问共享资源，如共享打印机、文件、ISDN 上网等。尽管对等网络上的共享文件可以加访问密码，但是非常容易被破解。在由Windows 9x 构成的对等网中，数据是非常不安全的。一般来说，同一个工作组内部成员相互交换信息的频率最高，所以你一进入 “ 网上邻居 ” ，首先看到的是你所在工作组的成员。如果要访问其他工作组的成员，需要双击 “ 整个网络 ” ，就会看到网络上所有的工作组，双击工作组名称，就会看到里面的成员。你也可以退出某个工作组，只要将工作组名称改动即可。不过这样

3、在网上别人照样可以访问你的共享资源，只不过换了一个工作组而已。你可以随便加入同一网络上的任何工作组，也可以离开一个工作组。“ 工作组 ” 就像一个自由加入和退出的俱乐部一样，它本身的作用仅仅是提供一个 “ 房间 ” ，以方便网络上计算机共享资源的浏览。与工作组的 “ 松散会员制 ” 有所不同， “ 域” 是一个相对严格的组织。“ 域” 指的是服务器控制网络上的计算机能否加入的计算机组合。实行严格的管理对网络安全是非常必要的。在“ 域” 模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“ 域控制器 (Domain Controller ，简写为

4、DC)”。“ 域控制器 ” 中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息不正确，域控制器就拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，只能以对等网用户的方式访问Windows 共享出来名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 21 页 - - - - - - - - - 域管理系统3- 2

5、的资源，这样就一定程度上保护了网络上的资源。域其实就是一个安全的边界。它的存在主要是便于管理大型的网络的，可以进行统一的管理，如统一发布组策略，统一安装某种应用软件等等，并且域中的用户在登陆的时候，身份验证的过程是在域控制器上完成的。而工作组只适应于小型的网络。如果电脑比较多的话，那么工作组管理起来就极为不方便。因为每台电脑上面都有自己的安全账户数据库，所以身份验证过程必须在本地进行，如果你要是想登陆工作组中其他的电脑上面，你必须在那台电脑上面有你的用户账户才行。活动目录活动目录包括两方面：目录和目录相关的服务。目录是存储各种对象的一个物理上的容器，包含了有关各种对象如用户、用户组、计算机

6、、域、文件、打印机、组织单位（OU）以及安全策略等资源的信息。这些信息可以被发布出来，以供用户和管理员的使用。而目录服务是使目录中所有信息和资源发挥作用的服务，如用户和资源管理、基于目录的网络服务、基于网络的应用管理。活动目录提供了一种管理组成网络环境的各种对象的标志和关系的方法。目录存储在被称为域控制器的服务器上，并且可以被网络应用程序或者服务所访问。一个域可能拥有一台以上的域控制器。每一台域控制器都拥有它所在域的目录的一个可写副本。对目录的任何修改都可以从源域控制器复制到域、域树或者森林中的其它域控制器上。由于目录可以被复制，而且所有的域控制器都拥有目录的一个可写副本，所以用户和管理员

7、便可以在域的任何位置方便地获得所需的目录信息。普遍用户和系统通过活动目录查找网络资源，管理人员通过活动目录创建和发布资源信息及实施网络管理。通过活动目录可实施网络的集中管理、控制用户的工作环境、或委派管理控制，实行分散管理。活动目录对象对象是活动目录中的信息实体，也即我们通常所见的“属性”，但它是一组属性的集合，往往代表了有形的实体，比如用户账户、文件名等。对象通过属性描述它的基本特征，比如，一个用户账号的属性中可能包括用户姓名、电话号码、电子邮件地址和家庭住址等。容器（Container）容器是活动目录名字空间的一部分，与目录对象一样，它也有属性，但与目录对象不同的是，它不代表有形的实体，

8、而是代表存放对象的空间，因为它仅代表存放一个对象的空间，所以它比名字空间小。比如一个用户，它是一个对象，但这个对象的容器就仅限于从这个对象本身所能提供的信息空间，如它仅能提供用户名、用户密码。其它的如：工作单位、联系电话、家庭住址等就不属于这个对象的容器范围了。目录树（Directory Tree ）在任何一个名字空间中，目录树是指由容器和对象构成的层次结构。树的叶子、节点往往是对象，树的非叶子节点是容器。目录树表达了对象的连接方式，也显示了从一个对象到另一个对象的路径。在活动目录中，目录树是基本的结构，从每一个容器作为起点，层层深入，都可以构成一棵子树。一个简单的目录可以构成一棵树

9、，一个计算机网络或者一个域名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 21 页 - - - - - - - - - 域管理系统3- 3 也可以构成一棵树。域（ Domain）域是 Windows 网络系统的安全性边界。我们知道一个计算机网最基本的单元就是“域”，这一点不是Windows 所独有的，但活动目录可以贯穿一个或多个域。在独立的计算机上，域即指计算机本身，一个域可以分布在多个物理位置上，同时一个物理位置又可以划分不同网段为不同的域，每个域都有自己的安全策略以

10、及它与其他域的信任关系。当多个域通过信任关系连接起来之后，活动目录可以被多个信任域共享。域是活动目录逻辑结构的核心单元，是一个计算机的集合，它们共享相同的目录数据库。在 Windows 的网络里，域定义了安全界限。目录包含一个或多个域，每个域均有自己的安全策略以及与其它域的信任关系。域的管理员有权限执行域内的管理。域也是复制的单元，所有域的控制器在域里都分担了复制，包含了整个域的目录信息的一个复制。活动目录采用了一个多主机的复制模式，特定域中的所有域控制器均可接收更改内容并将这些内容复制到域中的所有其它域控制器中。最容易管理的域结构就是单域。在企业里第一个产生的Windows 2000 域称

11、为根域（root domain），包含了整个森林的配置和结构信息。在作域规划时，应从单域开始，并且只有在单域模式不能满足要求时，才增加其它的域。一个域可跨越多个站点并且包含数百万个对象。站点结构和域结构互相独立而且非常灵活。单域可跨越多个地理站点，并且单个站点可包含属于多个域的用户和计算机。如果只是反映公司的部门组织结构，则不必创建独立的域树。在一个域中，可以使用组织单元来实现这个目标。然后，可以指定组策略设置并将用户、组和计算机放在组织单元中。在下面的原因可以考虑创建多个域：部门之间不同的安全要求大量的对象不同的Internet 域名对复制进行更多的控制分散的网络管理组织单元（Or

12、ganization Unit ，简称 OU）包含在域中特别有用的目录对象类型就是组织单元。组织单元也是一个逻辑层次的容器对象，用于管理域中的对象，如用户、组、计算机、打印机和其他组织单元。组织单元是可以指派组策略设置或委派管理权限的最小作用单位。组织单元不能包括来自其他域的对象。使用组织单元，就可以根据组织模型管理帐户、资源的配置和使用，可创建可缩放到任意规模的管理模型。1.使用 Ou 以组织企业的网络资源。把网络资源组织为逻辑的层次结构以最好地满足管理的需要。2.在组织单元上给用户或组委派管理权限，以反映公司的管理和安全政策，并可减少网络管理员的工作负担和满足实际情况。域控制器（Doma

13、in Controller ，简称 DC）域控制器是使用活动目录安装向导配置的Windows Server 的计算机。活动目录安装向导安装和配置为网络用户和计算机提供活动目录服务的组件供用户选择使用。域控制器存储着目录数据并管理用户域的交互关系，其中包括用户登录过程、身份验证和目录搜索，一个域可有一个或多个域控制器。为了获得高可用性和容错能力，使用单个局域网(LAN) 的小单位可能只需要一个具有两个域控制器的域。具有多个网络位置的大公司在每个位置都需要一个或多个域控制器以提供高可用性和容错能力。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - -

14、 - - - 名师精心整理 - - - - - - - 第 3 页，共 21 页 - - - - - - - - - 域管理系统3- 4 域管理工作的主要内容计算机管理用户和组管理文件管理打印管理应用程序管理域管理工作的主要内容计算机管理包括：把计算机添加到域、修改计算机名、从域中删除计算机等工作用户和组管理包括：介绍用户登录名的命名标准、创建用户帐号、管理用户帐号；创建组、管理组的成员。文件管理包括：文件权限介绍，共享权限的设置、NTFS 权限设置，网络访问。打印管理包括：打印机安装、共享及访问应用程序管理域环境下常用软件的管理。名师

15、资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 21 页 - - - - - - - - - 域管理系统3- 5 域管理工作的工具在域服务器上的管理工具在客户端计算机上安装管理工具通过 M M C 自定义管理工具域管理工作的工具在服务器上的管理工具Win2000 Server 或 Win2003 Server 服务器操作系统安装好后，通常都会自动安装有“管理工具”，但如果该服务器已经加入到域，出于安全考

16、虑，普通用户的访问权限有可能受到限制，不能在这些服务器上做交互式登录或远程登录，因此无法使用服务器上的“管理工具”。在客户端计算机上安装管理工具可以在 Win2000 Pro 或 WinXP 的客户端计算机上安装域服务器管理工具，安装方法简单，直接双击ADMINPAK.MSI文件即可安装。注意，对于Win2000 客户端，只能安装Win2000 Server 安装光盘的I386 下的ADMINPAK.MSI文件，而对于WinXP 客户端，则要安装Win2003 Server 安装光盘的I386下的 ADMINPAK.MSI文件。通过 MMC 自定义管理工具名师资料总结 - - -

17、精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 21 页 - - - - - - - - - 域管理系统3- 6 计算机管理把计算机添加到域修改计算机名从域中删除计算机计算机管理将计算机添加到域检查网络设置1.开始运行输入“ CMD ” ，按回车，进入DOS 命令提示符窗口。2.在 DOS 窗口状态下，输入“IPCONFIG /ALL ”命令，查看计算机的IP 地址、网关、 DNS 等设置是否正常。如果不正常，进行检查修改。3.在 DOS 窗口状态

18、下，输入 “HOSTNAME ”命令，查看计算机的名称是否符合命名规范。如果不规范，需先修改计算机名。修改计算机名（如需要才做）右键点击“我的电脑”“属性”“计算机名”“更改”在计算机名输入框内，输入标准规范的计算机名重新启动计算机将计算机添加到域右键点击“我的电脑”“属性”“计算机名”“更改”在隶属于域的输入框内，输入域名按提示输入有权限将计算机加入到域的域用户名和密码重新启动计算机修改计算机名对于没有加入到域的计算机，需要有计算机本地管理员的权限的用户才能完成该工作。右键点击“我的电脑”“属性”“计算机名”“更改”在计算机名输入框内，输入标准规范的计算机名重新启动计算机。对于已经加入到域的

19、计算机，需要对计算机帐号所在OU 具有“修改” 以上管理权限的域用户才能完成该工作。右键点击“我的电脑”“属性”“计算机名”“更改”在计算机名输入框内，名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 21 页 - - - - - - - - - 域管理系统3- 7 输入标准规范的计算机名按提示输入对计算机帐号所在OU 具有“修改”以上管理权限的用户的用户名和密码重新启动计算机从域中删除计算机对于已经加入到域的计算机，需要对计算机帐号所在OU 具有“修改” 以上管理权限的域

20、用户才能完成该工作。右键点击“我的电脑”“属性”“计算机名”“更改”在隶属于工作组的输入框内，输入工作组名按提示输入对计算机帐号所在OU 具有“修改” 管理权限的用户的用户名和密码重新启动计算机名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 21 页 - - - - - - - - - 域管理系统3- 8 用户管理用户帐号命名标准（登录名、显示名）创建用户帐号修改用户帐号属性限制临时计算机用户

21、的用户帐号有效时间限制用户在指定计算机上登录限制用户在指定时间内登录用户帐号锁定与解锁员工离职与用户帐号禁用用户管理用户帐号本地用户帐号1.使用户登录和访问账号所在的计算机资源2.账号建立在计算机的安全账号数据库中(SAM) 域用户帐号1.使用户登录到域并访问域的网络资源2.账号建立在活动目录中(Active Directory) 内置用户帐号1.管理员账号行使网络全部管理权限，客户账号提供没有账号的用户临时访问资源的需求2.内置账号可能建立在计算机的SAM 数据库中，也可能建立在Active

22、 Directory 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 21 页 - - - - - - - - - 域管理系统3- 9 用户帐号命名标准（登录名、显示名）用户账号控制用户登录和对计算机或网络资源的访问。每个计算机用户都必须在活动目录中创建用户账号，并对账号授予相应的系统权力和资源权限，用户在登录时，提供正确账号和口令，方能登录和访问。Windows 2003 把用户账号集成进活动目录，并提供了几十个个人属性，使用户账号也成为公司通讯簿。登录名显示名创建用

23、户帐号使用管理工具“Active Directory 用户和计算机”来完成。用户帐号的属性有关网络登录的属性：有关用户登录的权利和限制1.局域网内的登录2.远程访问登录3.终端服务器的登录有关用户所属组的信息有关个人的属性：有关用户各种联系方式和数字证书（注意：域用户账号比本地用户账号属性上多得多）用户帐号属性的修改使用管理工具“Active Directory 用户和计算机”来完成。限制临时计算机用户的用户帐号有效时间使用管理工具“Active Directory 用户和计算机”来完成。限制用户在指定计算机上登录使用管理工具“Active Directory 用户和计算机”来完成。限制用户在

24、指定时间内登录使用管理工具“Active Directory 用户和计算机”来完成。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 21 页 - - - - - - - - - 域管理系统3- 10 用户帐号锁定与解锁使用管理工具“Active Directory 用户和计算机”来完成。员工离职与用户帐号禁用使用管理工具“Active Directory 用户和计算机”来完成。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - -

25、 - - - - 名师精心整理 - - - - - - - 第 10 页，共 21 页 - - - - - - - - - 域管理系统3- 11 组的管理组全局组和域本地组用户账号、组和资源权限的关系正确使用组来管理资源权限的方法组的管理组全局组和域本地组名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 21 页 - - - - - - - - - 域管理系统3- 12 用户账号、组和资源权限的关系

26、正确使用组来管理资源权限的方法名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 21 页 - - - - - - - - - 域管理系统3- 13 文件管理N TF S 文件系统FA T 或FA T3 2 转换为 NTF SN TF S 权限设置、查看、更改或删除文件和文件夹权限共享和共享权限有效权限查看文件和文件夹的有效权限文件管理NTFS 文件系统与 FAT、FAT32 的

27、比较NTFS 比 FA T 或 FAT32 的功能更强大，它包括提供活动目录（Active Directory ）所需的功能以及其他重要安全性功能。只有选择NTFS 作为文件系统才能使用诸如Active Directory 和基于域的安全性等功能。支持文件加密，它极大地增强了安全性。要维护文件和文件夹访问控制并支持有限个帐户，必须使用NTFS。NTFS 可以对单个文件设置权限，也可以对文件夹设置权限。而如果使用FAT32，所有用户都将具有访问权限。磁盘配额，可用来监视和控制单个用户使用的磁盘空间量。下表比较了每种文件系统支持的磁盘和文件大小。NTFS FAT FAT32 推荐的最小卷大小约为1

28、0 MB，也可使用大于 2 TB 的卷。无法在软盘上使用。容量可从软盘大小到4 GB 。不支持域。卷的容量从 512 MB 到 2 TB。在 Windows XP 中，只能格式化最大到 32 GB 的FAT32 卷。不支持域。文件大小只受卷的容量限制。最大文件大小为 2 GB 。最大文件大小为 4 GB 。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 21 页 - - - - - - - - - 域管理系统3- 14 NTFS 文件系统的转换如果计算机必须

29、有时运行较低版本Windows 操作系统（如 Win98 或 Winnt4.0），而其他时间运行Windows XP ，即在同一个计算机上安装有多操作系统，则需要使用FAT 或FA T32 分区作为其硬盘上的主（或启动）分区。其他情况下，仍然推荐使用NTFS 文件系统。FAT 或FAT32可以在任何时候转换为NTFS 格式，但一旦将驱动器或分区转换为NTFS，则无法将其简单地转换回FAT 或 FAT32。需要重新格式化驱动器或分区，这样将删除该分区上包括应用程序和个人文件在内的所有数据。（备注：现在已经有一些第三方的工具，可以将NTFS 转换为 FAT 或 FAT32，但微软官方并不提供这

30、样的工具。）从命令提示符将FA T 或 FAT32 转换为NTFS 1.打开 DOS 命令提示符窗口。2.在命令提示符窗口，请键入：convert drive_letter:/fs:ntfs 例如，键入convert D:/fs:ntfs 将会以NTFS 格式格式化D: NTFS 权限NTFS 文件和文件夹权限，包括完全控制，修改，读取和执行，列出文件夹目录，读取，和写入。这些权限中的每一个都是由一些定义的特殊权限所构成的逻辑组组成。特殊权限完全控制修改读取和执行列出文件夹目录（仅文件夹）阅读顺序写入通过文件夹 /执行文件xxxx列出文件夹 /读取数据xxxxx读取属性xxxxx读取扩展属性

31、xxxxx创建文件 /写入数据xxx创建文件夹 /添加数据xxx写入属性xxx写入扩展属性xxx删除子文件夹和文件x删除xx读取权限xxxxxx更改权限x取得所有权x同步xxxxxx名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页，共 21 页 - - - - - - - - - 域管理系统3- 15 无论有什么权限保护文件，被准许对文件夹进行“ 完全控制 ” 的组或用户都可以删除该文件夹内的任何文件。尽管 “ 列出文件夹内容” 和“ 读取和执行 ” 看起来有相同的特殊权限，

32、但是这些权限在继承时有所不同。“ 列出文件夹内容” 可以被文件夹继承而不能被文件继承，并且它只在查看文件夹权限时才会显示。“ 读取和执行 ” 可以被文件和文件夹继承，并在查看文件和文件夹权限时都会出现。访问权限说明通过文件夹 /执行文件对于文件夹：“通过文件夹”允许或拒绝通过文件夹来访问其他文件或文件夹，即使用户没有所通过的文件夹（只适用于文件夹）的访问权限。只有当“组策略”管理单元中没有授予组或用户“忽略通过检查”用户权限时，“通过文件夹”才起作用。（默认情况下，授予Everyone 组“忽略通过检查”用户权限。对于文件： “执行文件”允许或拒绝运行程序文件（仅适用于文件）。设置文件夹的“通

33、过文件夹”权限不会自动设置该文件夹中所有文件的“执行文件”权限。列出文件夹 /读取数据“列出文件夹”允许或者拒绝查看文件夹内的文件名和子文件夹名。“列出文件夹”只影响该文件夹的内容，不影响是否列出正在设置其权限的文件夹。它只适用于文件夹。“读取数据”允许或拒绝查看文件（只适用于文件）中的数据。读取属性允许或拒绝查看文件或文件夹的属性，例如只读和隐藏。属性由 NTFS 定义。读取扩展属性允许或拒绝查看文件或文件夹的扩展属性。扩展属性由程序定义，可能因程序而变化。创建文件 / 写入数据“创建文件”允许或拒绝在文件夹（仅适用于文件夹）内创建文件。“写入数据”允许或拒绝更改文件和覆盖已有的内容（只适用

34、于文件）。创建文件夹 /添加数据“创建文件夹”允许或拒绝在文件夹内创建文件夹（仅适用于文件夹）。“添加数据”允许或拒绝更改文件的末尾，但不限制更改、删除或覆盖已有的数据（仅适用于文件）。写入属性允许或拒绝更改文件或文件夹的属性，例如只读或隐藏。属性由 NTFS 定义。“写入属性”权限没有表示可以创建或者删除文件或文件夹，它只包括更改文件或文件夹属性的权限。要允许（或者拒绝）创建或删除操作，请参阅“创建文件/ 写入数据”、 “创建文件夹 / 追加数据”、 “删除子文件夹和文件”以及“删除”。写入扩展属性允许或拒绝更改文件或文件夹的扩展属性。扩展属性由程序定义，可能因程序而变化。名师资料总结 -

35、- -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页，共 21 页 - - - - - - - - - 域管理系统3- 16 “写入扩展属性”权限不表示可以创建或者删除文件或文件夹，它只包括更改文件或文件夹属性的权限。要允许（或者拒绝）创建或删除操作，请参阅“创建文件/ 写入数据”、“创建文件夹/ 追加数据”，“删除子文件夹和文件”以及“删除”。删除子文件夹和文件允许或拒绝删除子文件夹和文件，即使尚未授予对子文件夹或文件的“删除”权限。（适用于文件夹）删除允许或拒绝删除文件或文件夹。如果您没有对文

36、件或文件夹的“删除”权限，但是在父文件夹中已被授予“删除子文件夹和文件”，那么您仍然可以删除它。读取权限允许或拒绝读取文件或文件夹的权限，例如完全控制、读取、写入。更改权限允许或拒绝更改文件或文件夹的权限，例如完全控制、读取、写入。取得所有权允许或拒绝取得文件或文件夹的所有权。文件或文件夹的所有者始终可以更改其权限，无论存在任何保护该文件或文件夹的权限。同步允许或拒绝不同的线程在句柄上等待文件或文件夹，并与另一个可能向它发信号的线程同步。该权限只应用于多线程、多进程程序。权限的分配和继承1.用户可以被直接分配相应的NTFS 权限2.NTFS 权限可以分配给组，用户作为组的成员可以从所属的组中继

37、承到相应的NTFS 权限3.用户本身被授予的权限和其继承到的所有权限，进行累加，所得到的最大权限便是该用户对于网络资源的最终NTFS 权限。但有一个例外，即该用户被分配或从其他组中继承到“禁止访问”权限，则该用用的有效NTFS 权限均为“禁止访问” 。设置、查看、更改或删除文件和文件夹权限1.打开Windows 资源管理器，然后定位到您要设置权限的文件和文件夹。2.右键单击该文件或文件夹，单击“属性”，然后单击“安全”选项卡。3.执行下列操作之一：要为没有出现于 “组或用户名称”框中的组或用户设置权限，请单击 “添加” 。键入想要为其设置权限的组或用户的名称，然后单击“确定”。要更改或删

38、除现有的组或用户的权限，请单击该组或用户的名称。4.执行下列操作之一：要允许或拒绝某一权限，请在“用户或者组的权限”框中，选中“允许”或“拒绝”复选框。要从“组或用户名称”框中删除组或者用户，请单击“删除”。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页，共 21 页 - - - - - - - - - 域管理系统3- 17 共享和共享权限共享权限的分配和继承1.用户可以被直接分配相应的共享权限2.共享权限可以分配给组，用户作为组的成员可以从所属的组中继承到相应的共享权限3

39、.用户本身被授予的共享权限和其继承到的所有共享权限，进行累加，所得到的最大权限便是该用户对于网络共享资源的最终共享权限。但有一个例外，即该用户被分配或从其他组中继承到“禁止访问”的共享权限，则该用用的有效共享权限均为“禁止访问” 。有效权限当一个NTFS 分区上的文件或文件夹，被共享在网络上之后，网络用户对该资源既有NTFS 访问权限，又有共享访问权限。两者之间会有交叉，对于用户来说，针对该网络资源的最终有效权限为：NTFS 最终权限与共享最终权限相比，以最严格的为准。例： D：分区是一个NTFS 分区， “ShareFolder” 文件夹已经共享，其中共享权限中Everyone组有“

40、完全控制”的权限，NTFS 分区中， G1为“读取”、G2 为“修改”，USER01 是 G1、G2 两个组的成员，那么，User01 对“ ShareFolder”文件夹的有效权限是（ “修改”）。查看文件和文件夹的有效权限1.打开 Windows 资源管理器，然后找到要查看其有效权限的文件或文件夹。2.右键单击该文件或文件夹，单击“属性”，然后单击“安全”选项卡。3.单击“高级” ，然后单击“有效权限”选项卡。4.单击“选择”按钮。5.在“名称”框中键入用户或组的名称，然后单击“确定”。选中的复选框表示用户或组对该文件或文件夹的有效权限。6.“有效权限”选项卡显示从现有权限项计算出来的信

41、息。因此，该页上所显示的信息是只读的，并且不支持通过选中或者清除权限复选框来更改用户的权限。7.只能在格式化为使用NTFS 的驱动器上设置权限。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页，共 21 页 - - - - - - - - - 域管理系统3- 18 打印管理打印基本概念打印机共享打印机客户端连接打印管理打印基本概念打印服务器打印机打印队列打印机共享打印机客户端连接使用通用命名约定（UNC）来访问。 UNC 名是指以两个反斜

42、线符号() 开始的用于命名文件和其他资源的约定 , 指明该资源位于网络计算机上。 UNC 名称符合SERVERNAMESHARENAME 语法，其中， SERVERNAME 是服务器的名称，而SHARENAME 是共享资源的名称。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 18 页，共 21 页 - - - - - - - - - 域管理系统常用办公软件的设置金山词霸 2005招商银行网上银行个人专业版

43、招商银行网上企业银行工商银行网上企业银行新OA系统常用办公软件的设置很多软件在以管理员权限登录的环境下运行正常，但域用户登陆到工作站后，只继承到本地 User组的权限，这有可能导致很多软件启动的时候会由于权限不足，而导致无法正常运行。下面介绍常用的几个软件的安装设置方法，使之可以在域环境下运行。金山词霸 2005 金山词霸2002以前的版本在域环境下能够正常运行，但金山词霸2003之后的版本就存在这个问题，以管理员登录软件运行正常，但以普通域用户登陆后，无法显示词库。经过分析，是因为普通域用户对注册表中softwarekingsoft无更改权限，因此赋予domain user有所需权限即

44、可解决。方法如下：1、以管理员权限的域用户登录，验证金山词霸软件运行是否正常。2、运行 Regedit.exe 3、找到HKEY_LOCAL_MACHINESOFTWAREKingsoft项。右键点击，选择“权限”。（如下图）名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 19 页，共 21 页 - - - - - - - - - 域管理系统3- 20 4、分本地Users组分配“完全控制”权限。选择右下角“高级”按钮进入高级设置，选中“用在此显示的可以应用到子对象的项目替代所有子对

45、象的权限项目”复选框，点击“应用”后退出。（如下图）5、以普通用户登录，验证金山词霸软件运行是否正常。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 20 页，共 21 页 - - - - - - - - - 域管理系统3- 21 “招商银行网上银行个人专业版”招商银行网上银行个人专业版在域环境下普通域用户也可以正常运行，但是个人用证书需要重新安装或恢复。“招商银行网上企业银行”“招商银行网上企业银行”一般在财务部使用。计算机添加到域后，无需重新安装该软件。但需按以下步骤操作才能使普

46、通用户在域环境下也可以正常运行。1、以管理员权限的域用户登录计算机，正常运行一次 “招商银行网上企业银行”软件，注册相应键值。2、以普通域用户登录计算机，正常运行“招商银行网上企业银行”软件，一般都能正常运行“工商银行网上企业银行”1、以管理员权限的域用户登录计算机2、重新安装GemPlus读卡器驱动程序，重启计算机。3、重新安装金邦达NetPass证书工具软件NetPass 4、运行一次“工商银行网上企业银行”软件。5、以普通域用户登录到域，验证软件是否正常运行。“新 OA 系统”新 OA 系统需要下载插件，需按以下步骤操作才能使普通用户在域环境下也可以正常运行。以普通域用户登录计算机“控制面板”“添加 /删除程序”“添加新程序”选中“ OA 控件 iWebOffice2003”后按其旁边的“添加”按钮进入新 OA 系统，尝试打开一个带Word或 Excel 附件的邮件或流程，确认是否工作正常。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 21 页，共 21 页 - - - - - - - - -

展开阅读全文