《域管理》教程一些基礎(chǔ)知識教案資料

1、Good is good, but better carries it.精益求精，善益求善。域管理教程一些基礎(chǔ)知識-SKIPIF10基本概念介紹域和工作組域和工作組是針對網(wǎng)絡(luò)環(huán)境中的兩種不同的網(wǎng)絡(luò)資源管理模式。在一個網(wǎng)絡(luò)內(nèi)，可能有成百上千臺電腦，如果這些電腦不進(jìn)行分組，都列在“網(wǎng)上鄰居”內(nèi)，可想而知會有多么亂。為了解決這一問題，Windows9x/NT/2000就引用了“工作組”這個概念，將不同的電腦一般按功能分別列入不同的組中，如財務(wù)部的電腦都列入“財務(wù)部”工作組中，人事部的電腦都列入“人事部”工作組中。你要訪問某個部門的資源，就在“網(wǎng)上鄰居”里找到那個部門的工作組名，雙擊就可以看到那個部門

2、的電腦了。在對等網(wǎng)模式（PEER-TO-PEER）下，任何一臺電腦只要接入網(wǎng)絡(luò)，就可以訪問共享資源，如共享打印機、文件、ISDN上網(wǎng)等。盡管對等網(wǎng)絡(luò)上的共享文件可以加訪問密碼，但是非常容易被破解。在由Windows9x構(gòu)成的對等網(wǎng)中，數(shù)據(jù)是非常不安全的。一般來說，同一個工作組內(nèi)部成員相互交換信息的頻率最高，所以你一進(jìn)入“網(wǎng)上鄰居”，首先看到的是你所在工作組的成員。如果要訪問其他工作組的成員，需要雙擊“整個網(wǎng)絡(luò)”，就會看到網(wǎng)絡(luò)上所有的工作組，雙擊工作組名稱，就會看到里面的成員。你也可以退出某個工作組，只要將工作組名稱改動即可。不過這樣在網(wǎng)上別人照樣可以訪問你的共享資源，只不過換了一個工作組而已。

3、你可以隨便加入同一網(wǎng)絡(luò)上的任何工作組，也可以離開一個工作組?！肮ぷ鹘M”就像一個自由加入和退出的俱樂部一樣，它本身的作用僅僅是提供一個“房間”，以方便網(wǎng)絡(luò)上計算機共享資源的瀏覽。與工作組的“松散會員制”有所不同，“域”是一個相對嚴(yán)格的組織。“域”指的是服務(wù)器控制網(wǎng)絡(luò)上的計算機能否加入的計算機組合。實行嚴(yán)格的管理對網(wǎng)絡(luò)安全是非常必要的。在“域”模式下，至少有一臺服務(wù)器負(fù)責(zé)每一臺聯(lián)入網(wǎng)絡(luò)的電腦和用戶的驗證工作，相當(dāng)于一個單位的門衛(wèi)一樣，稱為“域控制器(DomainController，簡寫為DC)”。“域控制器”中包含了由這個域的賬戶、密碼、屬于這個域的計算機等信息構(gòu)成的數(shù)據(jù)庫。當(dāng)電腦聯(lián)入網(wǎng)絡(luò)時，域

4、控制器首先要鑒別這臺電腦是否是屬于這個域的，用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息不正確，域控制器就拒絕這個用戶從這臺電腦登錄。不能登錄，用戶就不能訪問服務(wù)器上有權(quán)限保護(hù)的資源，只能以對等網(wǎng)用戶的方式訪問Windows共享出來的資源，這樣就一定程度上保護(hù)了網(wǎng)絡(luò)上的資源。域其實就是一個安全的邊界。它的存在主要是便于管理大型的網(wǎng)絡(luò)的，可以進(jìn)行統(tǒng)一的管理，如統(tǒng)一發(fā)布組策略，統(tǒng)一安裝某種應(yīng)用軟件等等，并且域中的用戶在登陸的時候，身份驗證的過程是在域控制器上完成的。而工作組只適應(yīng)于小型的網(wǎng)絡(luò)。如果電腦比較多的話，那么工作組管理起來就極為不方便。因為每臺電腦上面都有自己的安全賬戶數(shù)據(jù)庫，所

5、以身份驗證過程必須在本地進(jìn)行，如果你要是想登陸工作組中其他的電腦上面，你必須在那臺電腦上面有你的用戶賬戶才行?；顒幽夸浕顒幽夸洶▋煞矫妫耗夸浐湍夸浵嚓P(guān)的服務(wù)。目錄是存儲各種對象的一個物理上的容器，包含了有關(guān)各種對象如用戶、用戶組、計算機、域、文件、打印機、組織單位（OU）以及安全策略等資源的信息。這些信息可以被發(fā)布出來，以供用戶和管理員的使用。而目錄服務(wù)是使目錄中所有信息和資源發(fā)揮作用的服務(wù)，如用戶和資源管理、基于目錄的網(wǎng)絡(luò)服務(wù)、基于網(wǎng)絡(luò)的應(yīng)用管理。活動目錄提供了一種管理組成網(wǎng)絡(luò)環(huán)境的各種對象的標(biāo)志和關(guān)系的方法。目錄存儲在被稱為域控制器的服務(wù)器上，并且可以被網(wǎng)絡(luò)應(yīng)用程序或者服務(wù)所訪問。一個域

6、可能擁有一臺以上的域控制器。每一臺域控制器都擁有它所在域的目錄的一個可寫副本。對目錄的任何修改都可以從源域控制器復(fù)制到域、域樹或者森林中的其它域控制器上。由于目錄可以被復(fù)制，而且所有的域控制器都擁有目錄的一個可寫副本，所以用戶和管理員便可以在域的任何位置方便地獲得所需的目錄信息。普遍用戶和系統(tǒng)通過活動目錄查找網(wǎng)絡(luò)資源，管理人員通過活動目錄創(chuàng)建和發(fā)布資源信息及實施網(wǎng)絡(luò)管理。通過活動目錄可實施網(wǎng)絡(luò)的集中管理、控制用戶的工作環(huán)境、或委派管理控制，實行分散管理?；顒幽夸泴ο髮ο笫腔顒幽夸浿械男畔嶓w，也即我們通常所見的“屬性”，但它是一組屬性的集合，往往代表了有形的實體，比如用戶賬戶、文件名等。對象通

7、過屬性描述它的基本特征，比如，一個用戶賬號的屬性中可能包括用戶姓名、電話號碼、電子郵件地址和家庭住址等。容器（Container）容器是活動目錄名字空間的一部分，與目錄對象一樣，它也有屬性，但與目錄對象不同的是，它不代表有形的實體，而是代表存放對象的空間，因為它僅代表存放一個對象的空間，所以它比名字空間小。比如一個用戶，它是一個對象，但這個對象的容器就僅限于從這個對象本身所能提供的信息空間，如它僅能提供用戶名、用戶密碼。其它的如：工作單位、聯(lián)系電話、家庭住址等就不屬于這個對象的容器范圍了。目錄樹（DirectoryTree）在任何一個名字空間中，目錄樹是指由容器和對象構(gòu)成的層次結(jié)構(gòu)。樹的葉子、

8、節(jié)點往往是對象，樹的非葉子節(jié)點是容器。目錄樹表達(dá)了對象的連接方式，也顯示了從一個對象到另一個對象的路徑。在活動目錄中，目錄樹是基本的結(jié)構(gòu)，從每一個容器作為起點，層層深入，都可以構(gòu)成一棵子樹。一個簡單的目錄可以構(gòu)成一棵樹，一個計算機網(wǎng)絡(luò)或者一個域也可以構(gòu)成一棵樹。域（Domain）域是Windows網(wǎng)絡(luò)系統(tǒng)的安全性邊界。我們知道一個計算機網(wǎng)最基本的單元就是“域”，這一點不是Windows所獨有的，但活動目錄可以貫穿一個或多個域。在獨立的計算機上，域即指計算機本身，一個域可以分布在多個物理位置上，同時一個物理位置又可以劃分不同網(wǎng)段為不同的域，每個域都有自己的安全策略以及它與其他域的信任關(guān)系。當(dāng)多個

9、域通過信任關(guān)系連接起來之后，活動目錄可以被多個信任域共享。域是活動目錄邏輯結(jié)構(gòu)的核心單元，是一個計算機的集合，它們共享相同的目錄數(shù)據(jù)庫。在Windows的網(wǎng)絡(luò)里，域定義了安全界限。目錄包含一個或多個域，每個域均有自己的安全策略以及與其它域的信任關(guān)系。域的管理員有權(quán)限執(zhí)行域內(nèi)的管理。域也是復(fù)制的單元，所有域的控制器在域里都分擔(dān)了復(fù)制，包含了整個域的目錄信息的一個復(fù)制?；顒幽夸洸捎昧艘粋€多主機的復(fù)制模式，特定域中的所有域控制器均可接收更改內(nèi)容并將這些內(nèi)容復(fù)制到域中的所有其它域控制器中。最容易管理的域結(jié)構(gòu)就是單域。在企業(yè)里第一個產(chǎn)生的Windows2000域稱為根域（rootdomain），包含了整

10、個森林的配置和結(jié)構(gòu)信息。在作域規(guī)劃時，應(yīng)從單域開始，并且只有在單域模式不能滿足要求時，才增加其它的域。一個域可跨越多個站點并且包含數(shù)百萬個對象。站點結(jié)構(gòu)和域結(jié)構(gòu)互相獨立而且非常靈活。單域可跨越多個地理站點，并且單個站點可包含屬于多個域的用戶和計算機。如果只是反映公司的部門組織結(jié)構(gòu)，則不必創(chuàng)建獨立的域樹。在一個域中，可以使用組織單元來實現(xiàn)這個目標(biāo)。然后，可以指定組策略設(shè)置并將用戶、組和計算機放在組織單元中。在下面的原因可以考慮創(chuàng)建多個域：部門之間不同的安全要求大量的對象不同的Internet域名對復(fù)制進(jìn)行更多的控制分散的網(wǎng)絡(luò)管理組織單元（OrganizationUnit，簡稱OU）包含在域中特別

11、有用的目錄對象類型就是組織單元。組織單元也是一個邏輯層次的容器對象，用于管理域中的對象，如用戶、組、計算機、打印機和其他組織單元。組織單元是可以指派組策略設(shè)置或委派管理權(quán)限的最小作用單位。組織單元不能包括來自其他域的對象。使用組織單元，就可以根據(jù)組織模型管理帳戶、資源的配置和使用，可創(chuàng)建可縮放到任意規(guī)模的管理模型。使用Ou以組織企業(yè)的網(wǎng)絡(luò)資源。把網(wǎng)絡(luò)資源組織為邏輯的層次結(jié)構(gòu)以最好地滿足管理的需要。在組織單元上給用戶或組委派管理權(quán)限，以反映公司的管理和安全政策，并可減少網(wǎng)絡(luò)管理員的工作負(fù)擔(dān)和滿足實際情況。域控制器（DomainController，簡稱DC）域控制器是使用活動目錄安裝向?qū)渲玫腤

12、indowsServer的計算機。活動目錄安裝向?qū)О惭b和配置為網(wǎng)絡(luò)用戶和計算機提供活動目錄服務(wù)的組件供用戶選擇使用。域控制器存儲著目錄數(shù)據(jù)并管理用戶域的交互關(guān)系，其中包括用戶登錄過程、身份驗證和目錄搜索，一個域可有一個或多個域控制器。為了獲得高可用性和容錯能力，使用單個局域網(wǎng)(LAN)的小單位可能只需要一個具有兩個域控制器的域。具有多個網(wǎng)絡(luò)位置的大公司在每個位置都需要一個或多個域控制器以提供高可用性和容錯能力。SKIPIF10域管理工作的主要內(nèi)容計算機管理包括：把計算機添加到域、修改計算機名、從域中刪除計算機等工作用戶和組管理包括：介紹用戶登錄名的命名標(biāo)準(zhǔn)、創(chuàng)建用戶帳號、管理用戶帳號；創(chuàng)建組、

13、管理組的成員。文件管理包括：文件權(quán)限介紹，共享權(quán)限的設(shè)置、NTFS權(quán)限設(shè)置，網(wǎng)絡(luò)訪問。打印管理包括：打印機安裝、共享及訪問應(yīng)用程序管理域環(huán)境下常用軟件的管理。SKIPIF10域管理工作的工具在服務(wù)器上的管理工具Win2000Server或Win2003Server服務(wù)器操作系統(tǒng)安裝好后，通常都會自動安裝有“管理工具”，但如果該服務(wù)器已經(jīng)加入到域，出于安全考慮，普通用戶的訪問權(quán)限有可能受到限制，不能在這些服務(wù)器上做交互式登錄或遠(yuǎn)程登錄，因此無法使用服務(wù)器上的“管理工具”。在客戶端計算機上安裝管理工具可以在Win2000Pro或WinXP的客戶端計算機上安裝域服務(wù)器管理工具，安裝方法簡單，直接雙擊

14、ADMINPAK.MSI文件即可安裝。注意，對于Win2000客戶端，只能安裝Win2000Server安裝光盤的I386下的ADMINPAK.MSI文件，而對于WinXP客戶端，則要安裝Win2003Server安裝光盤的I386下的ADMINPAK.MSI文件。通過MMC自定義管理工具SKIPIF10計算機管理將計算機添加到域檢查網(wǎng)絡(luò)設(shè)置開始運行輸入“CMD”，按回車，進(jìn)入DOS命令提示符窗口。在DOS窗口狀態(tài)下，輸入“IPCONFIG/ALL”命令，查看計算機的IP地址、網(wǎng)關(guān)、DNS等設(shè)置是否正常。如果不正常，進(jìn)行檢查修改。在DOS窗口狀態(tài)下，輸入“HOSTNAME”命令，查看計算機的名

15、稱是否符合命名規(guī)范。如果不規(guī)范，需先修改計算機名。修改計算機名（如需要才做）右鍵點擊“我的電腦”“屬性”“計算機名”“更改”在計算機名輸入框內(nèi)，輸入標(biāo)準(zhǔn)規(guī)范的計算機名重新啟動計算機將計算機添加到域右鍵點擊“我的電腦”“屬性”“計算機名”“更改”在隸屬于域的輸入框內(nèi)，輸入域名按提示輸入有權(quán)限將計算機加入到域的域用戶名和密碼重新啟動計算機修改計算機名對于沒有加入到域的計算機，需要有計算機本地管理員的權(quán)限的用戶才能完成該工作。右鍵點擊“我的電腦”“屬性”“計算機名”“更改”在計算機名輸入框內(nèi)，輸入標(biāo)準(zhǔn)規(guī)范的計算機名重新啟動計算機。對于已經(jīng)加入到域的計算機，需要對計算機帳號所在OU具有“修改”以上管理

16、權(quán)限的域用戶才能完成該工作。右鍵點擊“我的電腦”“屬性”“計算機名”“更改”在計算機名輸入框內(nèi)，輸入標(biāo)準(zhǔn)規(guī)范的計算機名按提示輸入對計算機帳號所在OU具有“修改”以上管理權(quán)限的用戶的用戶名和密碼重新啟動計算機從域中刪除計算機對于已經(jīng)加入到域的計算機，需要對計算機帳號所在OU具有“修改”以上管理權(quán)限的域用戶才能完成該工作。右鍵點擊“我的電腦”“屬性”“計算機名”“更改”在隸屬于工作組的輸入框內(nèi)，輸入工作組名按提示輸入對計算機帳號所在OU具有“修改”管理權(quán)限的用戶的用戶名和密碼重新啟動計算機SKIPIF10用戶管理用戶帳號本地用戶帳號使用戶登錄和訪問賬號所在的計算機資源賬號建立在計算機的安全賬號數(shù)據(jù)

17、庫中(SAM)域用戶帳號使用戶登錄到域并訪問域的網(wǎng)絡(luò)資源賬號建立在活動目錄中(ActiveDirectory)內(nèi)置用戶帳號管理員賬號行使網(wǎng)絡(luò)全部管理權(quán)限，客戶賬號提供沒有賬號的用戶臨時訪問資源的需求內(nèi)置賬號可能建立在計算機的SAM數(shù)據(jù)庫中，也可能建立在ActiveDirectory用戶帳號命名標(biāo)準(zhǔn)（登錄名、顯示名）用戶賬號控制用戶登錄和對計算機或網(wǎng)絡(luò)資源的訪問。每個計算機用戶都必須在活動目錄中創(chuàng)建用戶賬號，并對賬號授予相應(yīng)的系統(tǒng)權(quán)力和資源權(quán)限，用戶在登錄時，提供正確賬號和口令，方能登錄和訪問。Windows2003把用戶賬號集成進(jìn)活動目錄，并提供了幾十個個人屬性，使用戶賬號也成為公司通訊簿。登

18、錄名顯示名創(chuàng)建用戶帳號使用管理工具“ActiveDirectory用戶和計算機”來完成。用戶帳號的屬性有關(guān)網(wǎng)絡(luò)登錄的屬性：有關(guān)用戶登錄的權(quán)利和限制局域網(wǎng)內(nèi)的登錄遠(yuǎn)程訪問登錄終端服務(wù)器的登錄有關(guān)用戶所屬組的信息有關(guān)個人的屬性：有關(guān)用戶各種聯(lián)系方式和數(shù)字證書（注意：域用戶賬號比本地用戶賬號屬性上多得多）用戶帳號屬性的修改使用管理工具“ActiveDirectory用戶和計算機”來完成。限制臨時計算機用戶的用戶帳號有效時間使用管理工具“ActiveDirectory用戶和計算機”來完成。限制用戶在指定計算機上登錄使用管理工具“ActiveDirectory用戶和計算機”來完成。限制用戶在指定時間內(nèi)登

19、錄使用管理工具“ActiveDirectory用戶和計算機”來完成。用戶帳號鎖定與解鎖使用管理工具“ActiveDirectory用戶和計算機”來完成。員工離職與用戶帳號禁用使用管理工具“ActiveDirectory用戶和計算機”來完成。SKIPIF10組的管理組全局組和域本地組用戶賬號、組和資源權(quán)限的關(guān)系正確使用組來管理資源權(quán)限的方法SKIPIF10文件管理NTFS文件系統(tǒng)與FAT、FAT32的比較NTFS比FAT或FAT32的功能更強大，它包括提供活動目錄（ActiveDirectory）所需的功能以及其他重要安全性功能。只有選擇NTFS作為文件系統(tǒng)才能使用諸如ActiveDirecto

20、ry和基于域的安全性等功能。支持文件加密，它極大地增強了安全性。要維護(hù)文件和文件夾訪問控制并支持有限個帳戶，必須使用NTFS。NTFS可以對單個文件設(shè)置權(quán)限，也可以對文件夾設(shè)置權(quán)限。而如果使用FAT32，所有用戶都將具有訪問權(quán)限。磁盤配額，可用來監(jiān)視和控制單個用戶使用的磁盤空間量。下表比較了每種文件系統(tǒng)支持的磁盤和文件大小。NTFSFATFAT32推薦的最小卷大小約為10MB，也可使用大于2TB的卷。無法在軟盤上使用。容量可從軟盤大小到4GB。不支持域。卷的容量從512MB到2TB。在WindowsXP中，只能格式化最大到32GB的FAT32卷。不支持域。文件大小只受卷的容量限制。最大文件大小

21、為2GB。最大文件大小為4GB。NTFS文件系統(tǒng)的轉(zhuǎn)換如果計算機必須有時運行較低版本W(wǎng)indows操作系統(tǒng)（如Win98或Winnt4.0），而其他時間運行WindowsXP，即在同一個計算機上安裝有多操作系統(tǒng)，則需要使用FAT或FAT32分區(qū)作為其硬盤上的主（或啟動）分區(qū)。其他情況下，仍然推薦使用NTFS文件系統(tǒng)。FAT或FAT32可以在任何時候轉(zhuǎn)換為NTFS格式，但一旦將驅(qū)動器或分區(qū)轉(zhuǎn)換為NTFS，則無法將其簡單地轉(zhuǎn)換回FAT或FAT32。需要重新格式化驅(qū)動器或分區(qū)，這樣將刪除該分區(qū)上包括應(yīng)用程序和個人文件在內(nèi)的所有數(shù)據(jù)。（備注：現(xiàn)在已經(jīng)有一些第三方的工具，可以將NTFS轉(zhuǎn)換為FAT或FA

22、T32，但微軟官方并不提供這樣的工具。）從命令提示符將FAT或FAT32轉(zhuǎn)換為NTFS打開DOS命令提示符窗口。在命令提示符窗口，請鍵入：convertdrive_letter:/fs:ntfs例如，鍵入convertD:/fs:ntfs將會以NTFS格式格式化D:NTFS權(quán)限NTFS文件和文件夾權(quán)限，包括HYPERLINKMS-ITS:aclui.chm:/acl_folder_permissions.htm完全控制，HYPERLINKMS-ITS:aclui.chm:/acl_folder_permissions.htm修改，HYPERLINKMS-ITS:aclui.chm:/acl_f

23、older_permissions.htm讀取和執(zhí)行，HYPERLINKMS-ITS:aclui.chm:/acl_folder_permissions.htm列出文件夾目錄，HYPERLINKMS-ITS:aclui.chm:/acl_folder_permissions.htm讀取，和HYPERLINKMS-ITS:aclui.chm:/acl_folder_permissions.htm寫入。這些權(quán)限中的每一個都是由一些定義的特殊權(quán)限所構(gòu)成的邏輯組組成。特殊權(quán)限完全控制修改讀取和執(zhí)行列出文件夾目錄（僅文件夾）閱讀順序?qū)懭胪ㄟ^文件夾/執(zhí)行文件xxxx列出文件夾/讀取數(shù)據(jù)xxxxx讀取屬性x

24、xxxx讀取擴展屬性xxxxx創(chuàng)建文件/寫入數(shù)據(jù)xxx創(chuàng)建文件夾/添加數(shù)據(jù)xxx寫入屬性xxx寫入擴展屬性xxx刪除子文件夾和文件x刪除xx讀取權(quán)限xxxxxx更改權(quán)限x取得所有權(quán)x同步xxxxxx無論有什么權(quán)限保護(hù)文件，被準(zhǔn)許對文件夾進(jìn)行“完全控制”的組或用戶都可以刪除該文件夾內(nèi)的任何文件。盡管“列出文件夾內(nèi)容”和“讀取和執(zhí)行”看起來有相同的特殊權(quán)限，但是這些權(quán)限在繼承時有所不同?！傲谐鑫募A內(nèi)容”可以被文件夾繼承而不能被文件繼承，并且它只在查看文件夾權(quán)限時才會顯示。“讀取和執(zhí)行”可以被文件和文件夾繼承，并在查看文件和文件夾權(quán)限時都會出現(xiàn)。訪問權(quán)限說明通過文件夾/執(zhí)行文件對于文件夾：“通過文

25、件夾”允許或拒絕通過文件夾來訪問其他文件或文件夾，即使用戶沒有所通過的文件夾（只適用于文件夾）的訪問權(quán)限。只有當(dāng)“組策略”管理單元中沒有授予組或用戶“忽略通過檢查”用戶權(quán)限時，“通過文件夾”才起作用。（默認(rèn)情況下，授予Everyone組“忽略通過檢查”用戶權(quán)限。對于文件：“執(zhí)行文件”允許或拒絕運行程序文件（僅適用于文件）。設(shè)置文件夾的“通過文件夾”權(quán)限不會自動設(shè)置該文件夾中所有文件的“執(zhí)行文件”權(quán)限。列出文件夾/讀取數(shù)據(jù)“列出文件夾”允許或者拒絕查看文件夾內(nèi)的文件名和子文件夾名?！傲谐鑫募A”只影響該文件夾的內(nèi)容，不影響是否列出正在設(shè)置其權(quán)限的文件夾。它只適用于文件夾?！白x取數(shù)據(jù)”允許或拒絕查

26、看文件（只適用于文件）中的數(shù)據(jù)。讀取屬性允許或拒絕查看文件或文件夾的屬性，例如只讀和隱藏。屬性由NTFS定義。讀取擴展屬性允許或拒絕查看文件或文件夾的擴展屬性。擴展屬性由程序定義，可能因程序而變化。創(chuàng)建文件/寫入數(shù)據(jù)“創(chuàng)建文件”允許或拒絕在文件夾（僅適用于文件夾）內(nèi)創(chuàng)建文件?！皩懭霐?shù)據(jù)”允許或拒絕更改文件和覆蓋已有的內(nèi)容（只適用于文件）。創(chuàng)建文件夾/添加數(shù)據(jù)“創(chuàng)建文件夾”允許或拒絕在文件夾內(nèi)創(chuàng)建文件夾（僅適用于文件夾）。“添加數(shù)據(jù)”允許或拒絕更改文件的末尾，但不限制更改、刪除或覆蓋已有的數(shù)據(jù)（僅適用于文件）。寫入屬性允許或拒絕更改文件或文件夾的屬性，例如只讀或隱藏。屬性由NTFS定義。“寫入屬

27、性”權(quán)限沒有表示可以創(chuàng)建或者刪除文件或文件夾，它只包括更改文件或文件夾屬性的權(quán)限。要允許（或者拒絕）創(chuàng)建或刪除操作，請參閱“創(chuàng)建文件/寫入數(shù)據(jù)”、“創(chuàng)建文件夾/追加數(shù)據(jù)”、“刪除子文件夾和文件”以及“刪除”。寫入擴展屬性允許或拒絕更改文件或文件夾的擴展屬性。擴展屬性由程序定義，可能因程序而變化?！皩懭霐U展屬性”權(quán)限不表示可以創(chuàng)建或者刪除文件或文件夾，它只包括更改文件或文件夾屬性的權(quán)限。要允許（或者拒絕）創(chuàng)建或刪除操作，請參閱“創(chuàng)建文件/寫入數(shù)據(jù)”、“創(chuàng)建文件夾/追加數(shù)據(jù)”，“刪除子文件夾和文件”以及“刪除”。刪除子文件夾和文件允許或拒絕刪除子文件夾和文件，即使尚未授予對子文件夾或文件的“刪除”

28、權(quán)限。（適用于文件夾）刪除允許或拒絕刪除文件或文件夾。如果您沒有對文件或文件夾的“刪除”權(quán)限，但是在父文件夾中已被授予“刪除子文件夾和文件”，那么您仍然可以刪除它。讀取權(quán)限允許或拒絕讀取文件或文件夾的權(quán)限，例如完全控制、讀取、寫入。更改權(quán)限允許或拒絕更改文件或文件夾的權(quán)限，例如完全控制、讀取、寫入。取得所有權(quán)允許或拒絕取得文件或文件夾的所有權(quán)。文件或文件夾的所有者始終可以更改其權(quán)限，無論存在任何保護(hù)該文件或文件夾的權(quán)限。同步允許或拒絕不同的線程在句柄上等待文件或文件夾，并與另一個可能向它發(fā)信號的線程同步。該權(quán)限只應(yīng)用于多線程、多進(jìn)程程序。權(quán)限的分配和繼承用戶可以被直接分配相應(yīng)的NTFS權(quán)限NT

29、FS權(quán)限可以分配給組，用戶作為組的成員可以從所屬的組中繼承到相應(yīng)的NTFS權(quán)限用戶本身被授予的權(quán)限和其繼承到的所有權(quán)限，進(jìn)行累加，所得到的最大權(quán)限便是該用戶對于網(wǎng)絡(luò)資源的最終NTFS權(quán)限。但有一個例外，即該用戶被分配或從其他組中繼承到“禁止訪問”權(quán)限，則該用用的有效NTFS權(quán)限均為“禁止訪問”。設(shè)置、查看、更改或刪除文件和文件夾權(quán)限打開Windows資源管理器，然后定位到您要設(shè)置權(quán)限的文件和文件夾。右鍵單擊該文件或文件夾，單擊“屬性”，然后單擊“安全”選項卡。執(zhí)行下列操作之一：要為沒有出現(xiàn)于“組或用戶名稱”框中的組或用戶設(shè)置權(quán)限，請單擊“添加”。鍵入想要為其設(shè)置權(quán)限的組或用戶的名稱，然后單擊“

30、確定”。要更改或刪除現(xiàn)有的組或用戶的權(quán)限，請單擊該組或用戶的名稱。執(zhí)行下列操作之一：要允許或拒絕某一權(quán)限，請在“用戶或者組的權(quán)限”框中，選中“允許”或“拒絕”復(fù)選框。要從“組或用戶名稱”框中刪除組或者用戶，請單擊“刪除”。共享和共享權(quán)限共享權(quán)限的分配和繼承用戶可以被直接分配相應(yīng)的共享權(quán)限共享權(quán)限可以分配給組，用戶作為組的成員可以從所屬的組中繼承到相應(yīng)的共享權(quán)限用戶本身被授予的共享權(quán)限和其繼承到的所有共享權(quán)限，進(jìn)行累加，所得到的最大權(quán)限便是該用戶對于網(wǎng)絡(luò)共享資源的最終共享權(quán)限。但有一個例外，即該用戶被分配或從其他組中繼承到“禁止訪問”的共享權(quán)限，則該用用的有效共享權(quán)限均為“禁止訪問”。有效權(quán)限當(dāng)

31、一個NTFS分區(qū)上的文件或文件夾，被共享在網(wǎng)絡(luò)上之后，網(wǎng)絡(luò)用戶對該資源既有NTFS訪問權(quán)限，又有共享訪問權(quán)限。兩者之間會有交叉，對于用戶來說，針對該網(wǎng)絡(luò)資源的最終有效權(quán)限為：NTFS最終權(quán)限與共享最終權(quán)限相比，以最嚴(yán)格的為準(zhǔn)。例：D：分區(qū)是一個NTFS分區(qū)，“ShareFolder”文件夾已經(jīng)共享，其中共享權(quán)限中Everyone組有“完全控制”的權(quán)限，NTFS分區(qū)中，G1為“讀取”、G2為“修改”，USER01是G1、G2兩個組的成員，那么，User01對“ShareFolder”文件夾的有效權(quán)限是（“修改”）。查看文件和文件夾的有效權(quán)限打開Windows資源管理器，然后找到要查看其有效權(quán)限的

32、文件或文件夾。右鍵單擊該文件或文件夾，單擊“屬性”，然后單擊“安全”選項卡。單擊“高級”，然后單擊“有效權(quán)限”選項卡。單擊“選擇”按鈕。在“名稱”框中鍵入用戶或組的名稱，然后單擊“確定”。選中的復(fù)選框表示用戶或組對該文件或文件夾的有效權(quán)限?！坝行?quán)限”選項卡顯示從現(xiàn)有權(quán)限項計算出來的信息。因此，該頁上所顯示的信息是只讀的，并且不支持通過選中或者清除權(quán)限復(fù)選框來更改用戶的權(quán)限。只能在格式化為使用NTFS的驅(qū)動器上設(shè)置權(quán)限。SKIPIF10打印管理打印基本概念打印服務(wù)器打印機打印隊列打印機共享打印機客戶端連接使用通用命名約定（UNC）來訪問。UNC名是指以兩個反斜線符號()開始的用于命名文件和其他資源的約定,指明該資源位于網(wǎng)絡(luò)計算機上