活动目录--系统管理的核心 简化身份管理.

Presentation on theme: "活动目录--系统管理的核心 简化身份管理."— Presentation transcript:

1 活动目录--系统管理的核心 简化身份管理

2 理解域的概念 会安装域控制器 会管理AD账户和组 会管理OU 会管理NTFS权限 会管理共享文件夹权限
教员介绍本章的技能目标，让学员明确通过本章的学习可以掌握哪些具体技能，以激发其学习本章的兴趣。

3 域和活动目录的概念 域 域控制器 将网络中多台计算机逻辑上组织到一起，进行集中管理，这种区别于工作组的逻辑环境叫做域
域是组织与存储资源的核心管理单元 域控制器 在域中，至少有一台域控制器 域控制器中保存着整个域的用户帐号和安全数据库 引入：在小型网络中，管理员通常独立管理每一台计算机，如最为常用的用户管理。但当网络规模扩大到一定程度后，如超过 10 台计算机，而每台计算机上有 10 个用户，那么管理员就要创建100个以上的用户账户，相同的工作就要重复很多遍。→此时可以将网络中的多台计算机逻辑上组织到一起，进行集中管理，这种区别于工作组的逻辑环境叫做域（domain）。将域比喻成一个国家，那么域控制器就是国家的首脑，管理域内的成员计算机。 工作组 Work Group 　　在一个网络内，可能有成百上千台电脑，如果这些电脑不进行分组，都列在“网上邻居”内，可想而知会有多么乱。为了解决这一问题，Windows 9x/NT/2000就引用了“工作组”这个概念，将不同的电脑一般按功能分别列入不同的组中，如财务部的电脑都列入“财务部”工作组中，人事部的电脑都列入“人事部”工作组中。你要访问某个部门的资源，就在“网上邻居”里找到那个部门的工作组名，双击就可以看到那个部门的电脑了。 域 Domain 　　与工作组的“松散会员制”有所不同，“域”是一个相对严格的组织。“域”指的是服务器控制网络上的计算机能否加入的计算机组合。 在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller，简写为DC）”。“域控制器”中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息不正确，域控制器就拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，只能以对等网用户的方式访问Windows共享出来的资源，这样就一定程度上保护了网络上的资源。 注意：域是逻辑分组，与网络的物理拓扑无关

4 域和活动目录的概念 活动目录 活动目录特点 活动目录是Windows网络中的目录服务
活动目录提供了存储网络对象信息并使网络用户使用这些数据的方法 活动目录特点 集中管理 便捷的网络资源访问 用户一次登录就可访问整个网络资源 网络资源主要包含用户账户、组、共享文件夹、打印机等 可扩展性 什么是目录？ 为对象生成索引目录，便于快速的查找、定位所需要对象 如书本上目录、Bing提供的搜索服务其实都是一种目录服务 快照---联想成照相 引入：要创建Windows 域，首先必须理解活动目录的概念，因为域与活动目录是密不可分的。 在一台计算机上安装活动目录使其成为域控制器。 DC通过活动目录来提供目录服务，如负责维护AD数据库，审核用户的账户和密码是否正确等。 DC是物理上的一台计算机，而活动目录是运行在DC上的一种服务。 活动目录地相关概念 活动目录是微软目录服务的一种机制，它是用来存储网络上的用户账户、计算机、打印机等资源信息，方便用户的查找和使用。 活动目录指的是用户在使用资源时不需要了解该资源存放在哪台计算机上和哪台计算机上有哪些资源！ 活动目录又是什么？ 一种动态的目录服务，存储的对象会根据对象的变化而变化，提供实时的对象定位 活动目录的商业价值? 是一种目录服务，可以提供对象的存储、快速查找与定位，并且能够统一、集中、安全的管理计算机资源

5 域和活动目录的概念 域树 林 具有连续的域名空间的多个域 林由一个或多个域树组成 活动目录的域名遵循DNS域名的命名规则。
DNS（域名系统：Domain Name System），包域名空间采用分层结构括：根域、顶级域、二级域和主机名。域名空间的层次结构类似一棵倒置的树，其中根作为最高级别，大树枝处于下一级级别，树叶则处于最低级别。DNS服务的主要作用就是将域名解析为IP地址，有关DNS的详细配置和应用将在后继的课程中讲解。

6 安装域控制器的条件 安装者必须具有本地管理员权限 操作系统版本必须满足条件（Windows Server 2008 除Web版外都满足）
本地磁盘至少有一个分区是NTFS文件系统 有TCP/IP设置（IP地址、子网掩码等） 有相应的DNS服务器支持 有足够的可用空间 提示：在AD域环境中，所有参与实验的计算机（虚拟机）都必须先清除SID 1.使用newsid.exe 推荐 2.采用sysprep.exe 系统封装工具 建议该干净的系统清除了SID，并且做好你所喜欢的配置后，直接做复制备份！！！ 注意：一定不要在域环境下使用newsid.exe程序，否则将导致无法修复的故障!该工具仅用于工作组环境

7 安装活动目录 推荐步骤 运行dcpromo命令 在新林中新建域 设置域名 DNS服务器 目录服务还原模式的Administrator密码
演示活动目录的安装，并在安装过程中讲解每个选项的作用。注意： ◆ 林功能级别和域功能级别不作为重点，了解每种功能级别下支持的DC的操作系统即可，下一页是域功能级别列表。 ◆ 让学员注意目录服务还原模式的Administrator密码的设置，后继的学习过程中还会使用该密码。 扩展： 安装新域，可以使用以下三种方法（我们讲解第一种方法，如果学员对另外两种方法感兴趣，可以自行查阅相关资料）： 1、使用Windows界面安装 2、使用命令行安装 3、使用应答文件安装

8 域功能级别 域功能级别 支持的域控制器 Windows 2000纯模式 Windows 2000 Window Server 2003
域功能激活只影响整个域和该域的功能。Windows Server 20008功能级别支持五功能级别，一下分别介绍五功能级别及其功能级别所支持的域控制器 1：Windows 2000 混合模式（默认）其网络配置使用Windows 2000和Windows NT 的任意组合系统。Windows 2000 域控制器和Windows NT 4.0 备份域控制器可以在同一个域中无缝共存而不会出现任何问题。当然Windwos 2003域控制器也支持此模式。激活的功能包括本地与全局组并支持全局编录 2：Windows 2000本机模式。域中所有域控制器都可以运行Windows2000或Windwos2003.激活的功能包括组嵌套、通用组、Sidhistory、安全组与通讯组之间的转换、 3：Windows Server 2003临时模式。允许Windows 2003域控和Windows NT 4 域控制器的混合使用。但不能与Windows2000域控制器混合使用。显见支持的域控为Windows 2003和Windows NT4.此级别内没有域范围的激活功能。该模式只在将NT4的域控升级到Windows2003域控时使用 4：Windows Server 2003模式。域中所有域控制器只能是Windows 2003和Windows2008。支持的功能包括：     Netdom.exe提供的域控制器重命名功能、更新登录时间戳。将使用用户或计算机的上次登录时间来更新属性。可以在域内复制该属性。     在 inetOrgPerson 和用户对象上将 userPassword 属性设置为有效密码的功能。     授权管理器能够将其授权策略存储在 Active Directory 域服务 (AD DS) 中。     包含受限制的委派，以便使应用程序可通过 Kerberos 身份验证协议充分利用用户凭据的安全委派。可以将委派配置为仅允许特定的目标服务。     支持选择性的身份验证，通过它可以从受信任林指定允许对信任林中资源服务进行身份验证的用户和组。 5：Windows Server 2008模式。目前位置所有域功能级别中最高级别，支持所有Windows 2003域功能级别，之外还支持一下功能     SYSVOL 的分布式文件系统复制支持，可提供 SYSVOL 内容的更稳健更详细的复制。     Kerberos 协议的高级加密服务（AES 128 和 256）支持。 域功能级别的评估     1：Windows 2000混合级别     对于没有完全淘汰Windows NT域控制器的企业最为合适，但我想现在NT应该以很难寻觅。     2：Windows 2000本机域级别     如果已经部署了从Windows NT到Windows 2000的AD迁移，那么这个功能级别显然最合适，而且这种模式也仅仅适合从NT域环境升级到Windows2000     3：Windows Server 2003 过度级别     为那些直接从Windows NT域控升级到Windows2003 的用户准备。但是此种模式不支持Windows 2000。     4：Windows Server 2003域级别     如果打算转换林之前将域级别提升到Windows 2003功能级别，此种模式为最好的选择。要求域中所有域控为windows 2003 或windows2008     5：Windows Server 2008域级别     目前最高级别，要求所有域控都是Windows Server 2008.

9 删除活动目录 将域控制器降级为普通的服务器 运行dcpromo命令 设置当前域控制器是否为此域的最后一台域控制器
设置降级为普通服务器的管理员账户的密码 林的功能级别     主要分为三种     1：Windows 2000     支持所有默认的 Active Directory 功能。     2：Windows Server 2003     所有默认的 Active Directory 功能及以下功能：     林信任。     域重命名。     链接值复制（组成员身份中的更改为各个成员存储并复制值，而不是作为单个单位复制整个成员身份）。在不同域控制器中同时添加或删除不同成员时，这种更改可在复制期间占用更少的网络带宽并降低处理器使用率，同时消除丢失更新可能性。     部署运行 Windows Server 2008 的只读域控制器 (RODC) 的功能。     改进的知识一致性检查器 (KCC) 的算法和可伸缩性。站点间拓扑生成器 (ISTG) 使用改进的算法，可缩放以支持具有远远大于在 Windows 2000 林功能级别上所支持站点的数量的林。改进的 ISTG 选择算法是一种在 Windows 2000 林功能级别选择 ISTG 的入侵性较小的机制。     改进的 ISTG 算法（更好的缩放 ISTG 用于连接林中所有站点的算法）。     在域目录分区中创建动态辅助类（称为 dynamicObject）的实例的功能。     将 inetOrgPerson 对象实例转换为 User 对象实例的功能，反之亦然。     创建新组（称为应用程序基本组和轻型目录访问协议 (LDAP) 查询组）类型的实例以支持基于角色的身份验证的功能。     在架构中停用并重新定义属性和类别。     3：Windows 2008     该功能级别提供 Windows Server 2003 林功能级别上可用的所有功能，但不提供任何其他功能。但在默认情况下，随后添加到林的所有域，将在 Windows Server 2008 域功能级别进行操作。

10 将计算机加入域 配置客户机的IP地址和首选DNS 将客户机加入域 教员演示将客户机加入域，并在演示过程中强调注意事项：
◆ 客户机与DC的网络是否联通 ◆ 客户机是否正确设置了DNS地址 ◆ DNS服务器是否有正确的SRV记录 ◆ 加域使用的账户应该是域账户

11 DNS在域中的作用 域名的命名采用DNS标准 客户机定位DC 域的DNS区域维护 1）客户机发送DNS查询请求给DNS服务器
2）DNS服务器查询匹配的SRV资源记录 3）DNS服务器返回相关DC的IP地址列表给客户机 4）客户机联系到DC 5）DC响应客户机的请求 域的DNS区域维护 SRV资源记录可以定位DC 此处，SRV资源记录只做了解内容，详细内容将在后继课程《Windows网络服务》中介绍。

12 小结 请思考: 简述域、树、林的概念。 安装DC有哪些必备条件？ 安装活动目录的命令是什么？
以提问的形式检验并巩固前面的学习效果，同时可使学员集中精力。 答案要点： 1、◆ 将网络中多台计算机逻辑上组织到一起，进行集中管理，这种区别于工作组的逻辑环境叫做域；域是组织与存储资源的核心管理单元 ◆ 域树：具有连续的域名空间的多个域 ◆ 林：林由一个或多个域树组成 2、◆ 安装者必须具有本地管理员权限 ◆ 操作系统版本必须满足条件（Windows Server 2008 除Web版外都满足） ◆ 本地磁盘至少有一个分区是NTFS文件系统 ◆ 有TCP/IP设置（IP地址、子网掩码等） ◆ 有相应的DNS服务器支持 ◆ 有足够的可用空间 3、dcpromo

13 应用系统用户目录举例 “一对多”管理模式

14 创建域用户账户2-1 域用户账户存储在活动目录数据库中 创建域用户的方法 “Active Directory用户和计算机”工具
注意：DC上原来的本地用户升级为域用户。 域用户账户是用户访问域的唯一凭证，因此在域中必须是唯一的。 创建域用户账户是在活动目录数据库中添加记录，所以一般是在域控制器中进行的，当然也可以使用相应的管理工具或命令通过网络在其他计算机上操作，但都需要有创建账户的权限。

15 创建域用户账户2-2 显示名 用户登录名 密码设置 组织单位（OU）中唯一 域中惟一 最长20字符 密码设置注意事项 密码选项的作用 说明：
2、教员演示创建域用户，关于密码的几个选项在工作组时就已经讲解，在此处可以提问学员什么情况下勾选什么选项。

16 配置域用户账户属性 登录时间 登录到 账户过期
讲解域用户账户的常用属性，教员也可以根据班级实际情况增加其它属性的介绍，如“拨入”属性和“配置文件”属性。 ◆ 登录时间：用来限制用户登录到域的时间。 ◆ 登录到：定义了账户可以登录的计算机范围列表。 讲解完属性的设置后，可以演示一下相应的属性设置是否生效，如登录时间、可以登录到的计算机。

17 组的类型 组的类型 说明 安全组 用于设置用户权限，也可用于电子邮件通讯 通讯组 只用于电子邮件通讯
与工作组一样，在域环境中，也用组进行管理。 本页只需简单介绍两种组的类型，并说明在一般情况下，管理Active Directory时使用的都是安全组。 教员可以在本页顺便讲解常见的域组：domain admins、 domain users等。

18 组的作用域 本地域组 全局组 通用组 本页主要让学员了解组的作用域共有哪几种，稍后会逐个讲解每种作用域的特点。
　　全局组： 只能在创建该全局组的域上进行添加用户账户和全局组，而且全局组可以嵌套在其他组中。可以将某个全局组添加到同一个域上的另一个全局组中，或添加到其他域的通用组和域本地组中(注意这里不能它加入到不同域的全局组中，全局组只能在创建它的域中添加用户和组)。虽然可以利用全局组授予访问任何域上的资源的权限，但一般不直接用它来进行权限管理。 　　本地域组： 可以从任何域添加用户账户、通用组和全局组。域本地组不能嵌套于其他组中。它主要是用于授予位于本域资源的访问权限。 　　通用组：通用组是集合了上面两种组的优点，即可以从任何域中添加用户和组，可以嵌套于其他域组中。但是只能在域处于本机模式的时候使用，也就是说所有域控都必须是2000以上系统。 18

19 本地域组 使用范围是本域 针对本域的资源创建本地域组 成员： 用户账户 本地域组 全局组 通用组
应用场合：要使10个用户读取本域中特定的文件夹，可以创建一个本地域组并将这10个用户账户加入该组，然后为该组指派读取权限 。 教员首先说明本地域组的特点，然后演示本地域组的创建过程。 着重让学员记住本地域组的使用范围和可以包含的成员。 本地域组的成员可以来自所有域的用户和组，但其作用域只能是当前域 本地域组的权利是自身的，全局域的权利是来自其属于的本地域组的 本地域组： 可以从任何域添加用户账户、通用组和全局组。域本地组不能嵌套于其他组中。它主要是用于授予位于本域资源的访问权限。 19

20 全局组 使用范围是整个林及信任域 按逻辑关系创建全局组 可以按AGDLP规则来使用全局组 具有相同管理任务或者访问权限的用户 如，按部门创建
教员首先说明全局组的特点然后演示全局组的创建过程（与创建本地域组类似）。 着重让学员记住全局组可以使用的范围和可以包含的成员。 在实际应用中，可以先将部门中的用户账户加入全局组，再将全局组加入本地域组，最后给本地域组赋权限。 AGDLP因涉及到多域的内容，所以本章如果学员不能理解的话，降低要求，只要求学员记住每种组的作用域可以使用的范围与可以包括的成员。 全局组的成员只能来自当前域的用户和组，而作用域可以是所有的域 全局组： 只能在创建该全局组的域上进行添加用户账户和全局组，而且全局组可以嵌套在其他组中。可以将某个全局组添加到同一个域上的另一个全局组中，或添加到其他域的通用组和域本地组中(注意这里不能它加入到不同域的全局组中，全局组只能在创建它的域中添加用户和组)。虽然可以利用全局组授予访问任何域上的资源的权限，但一般不直接用它来进行权限管理。 20

21 通用组 使用范围是整个林及信任域 全局组和通用组的区别 通用组的成员身份在全局编录中 全局组的成员身份在每个域中
多域环境下通用组成员登录或者查询速度较快 全局组的成员身份在每个域中 简单介绍全局编录的概念，重点让学员体会通用组和全局组的区别。 全局编录中包含所有活动目录对象常用的属性，其主要目的是加快活动目录查询速度。 通用组：通用组是集合了上面两种组的优点，即可以从任何域中添加用户和组，可以嵌套于其他域组中。但是只能在域处于本机模式的时候使用，也就是说所有域控都必须是2000以上系统。 　　本地域组的成员可以来自所有域的用户和组，但其作用域只能是当前域 　　全局组的成员只能来自当前域的用户和组，而作用域可以是所有的域 　　本地域组的权利是自身的，全局域的权利是来自其属于的本地域组的 21

22 组织单位（OU）的管理 概念 设计方式 创建方法 容器：有效地组织活动目录对象 委派控制 组策略 基于部门的OU 基于地理位置的OU
新建→组织单位 在讲解OU时，让学员体会OU与组的区别： 组和OU都可以按部门来创建，但是目的不一样，组主要用于赋权限、而OU用于管理员对用户和计算机进行管理。 教员演示OU的创建过程。 注意：在新建OU时，默认勾选了“防止容器被意外删除”，这样在删除OU时就会报错而无法删除。此时应先启用“Active Directory用户和计算机”→“查看”→“高级功能”（高级功能前面有勾表示已启用高级功能），然后右击OU打开属性窗口中的“对象”标签，取消“防止对象被意外删除”，再次执行删除操作就不会报错了。 组织单位 (OU) 是域中特别有用的目录对象类型。OU 是一些 Active Directory 容器，可以在其中放置用户、组、计算机和其他 OU。OU 不能包含来自其他域中的对象。 OU 是可以向其分配组策略设置或委派管理权力的最小作用域或单位。使用 OU 可以在域中创建表示组织中的层次结构、逻辑结构的容器。然后可以根据组织模型管理帐户和资源的配置和使用。 OU 可以包含其他 OU。可以根据需要将 OU 的层次结构扩展为模拟域中组织的层次结构。使用 OU 有助于最大限度地减少网络所需的域数目。 可以使用 OU 创建能够缩放到任意大小的管理模型。用户可以对域中的所有 OU 或单个 OU 具有管理权力。一个 OU 的管理员不一定对域中的任何其他 OU 具有管理权力。 22

23 OU的委派 为什么需要委派 实现方法 管理员为适当的用户和组指派一定范围的管理任务，从而减轻管理员的工作负担
打开【Active Directory用户和计算机】，右击OU→委派控制 添加要委派任务的账户或组 选择要委派的任务 首先讲解在什么情况下需要进行OU的委派。 教员演示：委派UserA重设本部门账户的密码。 ◆ 准备工作：创建OU:销售部Sales_OU，在其中创建三个用户账户UserA、UserB、UserC ◆ 演示：委派的过程。 ◆ 验证：以UserA登录，去重新设置UserB的密码。 关于OU委派，Windows 2008没有做出什么改动，仍然后Windows 2003一样能对用户和组进行委派。 在这里，请先确认一下您建立的管理组是安全组而不是通讯组。 如果数据管理员需要创建和修改用户、组和计算机对象，可将帐户 OU 结构委派给数据管理员。帐户 OU 结构是必须独立控制的每个帐户类型的 OU 的子树。例如，OU 所有者可以将特定控制委派给帐户 OU 中用户、计算机、组和服务帐户的子 OU 上的各种数据管理员。 将计算机帐户放置在资源 OU 中将为 OU 所有者提供对帐户对象的控制权限，但不会使 OU 所有者成为计算机的管理员。在 Active Directory 域中，默认情况下 Domain Admins 组放置在所有计算机上的本地 Administrators 组中。也就是说，服务管理员具有对这些计算机的控制权限。如果资源 OU 所有者需要对其 OU 中计算机的管理控制权限，则林所有者可以应用受限制的组组策略，以使资源 OU 所有者成为该 OU 中计算机上 Administrators 组的成员。 23

24 删除委派 要取消委派时可以删除委派任务 删除方法 教员演示删除刚刚委派的任务并验证结果→UserA无权重设本部门人员的密码。
删除委派的方法：先启用“Active Directory用户和计算机”→“查看”→“高级功能”（高级功能前面有勾表示已启用高级功能），右击指定的OU/“属性”→“安全”→“高级”→“权限” ，选中委派了任务的账户条目，单击“删除”按钮。

25 发布共享文件夹 为什么要发布共享文件夹 实现思路： 统一管理，方便查找 创建共享文件夹 创建OU 右击OU→新建→共享文件夹，输入名称和路径
设置发布文件夹的属性信息 共享文件夹在前面章节已经学习，因此本页内容只需要让学员理解发布的好处以及如何进行操作。 教员演示：发布共享文件夹software。 ◆ 准备工作：创建共享文件夹、OU ◆ 演示：发布共享文件夹software 。 ◆ 验证环节在下一页PPT中进行。 25

26 查找共享文件夹 搜索Active Directory 输入搜索条件 引入：如何搜索已经发布的共享文件夹呢？
验证：在活动目录中搜索刚刚发布的共享文件夹software ，让学员进一步体会发布的好处。 26

27 实验案例2：OU的管理 学员练习： 创建OU 创建用户 委派权限 在客户机添加“Active Directory域服务工具”功能
在客户机上使用被委派用户验证委派 阶段二：练习子阶段 1、在实验过程中，教员应全场巡视，应及时帮助学员解决实验中遇到的问题。 2、对于常见的、典型的问题，教师应该向所有学员强调，并说明如何避免、如何解决，应及时总结学员遇到的问题。 3、为提高实验效率，教师也可以让先作完的学员辅导没有完成的学员。教师也可以重点辅导基础差的学员。 4、在实验完成后，教员必须对实验中出现的共性问题进行总结，提示学员注意。 27

28 桌面数据安全管理-NTFS权限

29 ×代表不支持√代表支持√×代表有时需要安装微软提供的补丁才能够更好的支持
NTFS概述 3种文件系统的兼容性 FAT16 FAT32 NTFS DOS √ × WINDOWS 95 WINDOWS 97/98/ME WINDOWS NT √ × WINDOWS 2000 WINDOWS XP WINDOWS VISTA WINDOWS 7 WINDOWS SERVER 2003 WINDOWS SERVER 2008 ×代表不支持√代表支持√×代表有时需要安装微软提供的补丁才能够更好的支持

30 NTFS概述 NTFS特点 可以设置权限 支持更大的磁盘容量 压缩功能 文件加密 AD需要使用 NTFS
磁盘配额，可用来监视和控制单个用户使用的磁盘空间量

31 如何获得NTFS 格式化磁盘，在格式化时选择NTFS文件系统 将FAT文件系统转换为NTFS文件系统 使用第三方软件转换，如PQmagic等
convert e: /fs:ntfs 使用第三方软件转换，如PQmagic等

32 NTFS权限含义 NTFS文件系统可以针对不同用户和组设置各种访问权限 只有被授予权限的用户或组才能访问
安全选项卡 NTFS文件系统可以针对不同用户和组设置各种访问权限 只有被授予权限的用户或组才能访问 文件或文件夹的属性中有【安全】选项卡 访问控制列表(ACL) 访问控制项(ACE)

33 文件夹的NTFS权限 完全控制:可执行所有操作 修改:可以修改、删除 读取和运行:可以读取内容，并且可以执行应用程序
列出文件夹目录:可以列出文件夹的内容 读取:可以读取内容 写入:可以创建文件夹或者文件 特别的权限:与文件和文件夹的数据无关，与【安全】选项卡读取、更改相关 文件夹权 限列表

34 文件的NTFS权限 完全控制 修改 读取和运行 读取 写入 特别的权限

35 特别的权限 和文件或文件夹数据本身没有关系 和【安全】选项卡相关 读取权限 更改权限 取得所有权 特别的权限

36 取得文件或文件夹的所有权 管理员可以取得其所有权 如何取得所有权 管理员没有所有权 管理员取得所有权 【安全】|【高级】|【所有者】
不能修改权限 管理员取得所有权 可以修改权限

37 NTFS权限的应用规则 权限的组合 权限的继承 权限的拒绝 移动和复制操作对权限的影响 AGDLP规则

38 权限的组合 用户对资源的有效权限是分配给用户帐户的权限和用户所属各个组的累加权限 例如user属于组group1和group2

39 权限的拒绝 拒绝权限可以覆盖所有其他权限 可以设置拒绝用户帐户也可以拒绝组 例如user属于组group1和group2

40 权限的继承2-1 新建的的子文件夹和文件会继承上一级目录的权限 根目录下的文件夹或文件继承磁盘分区的权限 继承于 灰色为继 承权限

41 权限的继承2-2 可以拒绝继承上级权限 可以强制下级继承权限 从上继承 向下继承

42 复制和移动操作对权限的影响 NTFS分区 移动 复制 相同 保留原来的权限 继承目的地文件夹的权限 不同

43 复制的影响

44 移动的影响

45 端到端安全性管理-文件共享

46 什么是共享文件夹 什么是共享文件夹 共享文件夹的优点是什么 共享前后图标有什么变化
和其它存储介质（软盘、光盘、移动硬盘）相比，不受文件数量和大小限制 方便、快捷 共享后的文件夹 共享前后图标有什么变化

47 创建共享文件夹的权限 哪些用户组有创建共享文件夹的权限 如果在DC上共享 如果在成员服务器或独立服务器共享 Administrators 组
Server Operators 组 如果在成员服务器或独立服务器共享 Power Users 组 有创建共享文件夹权限 没有创建共享文件夹权限

48 创建共享文件夹 创建共享文件夹 通过鼠标右键菜单 共享选项卡 共享后的文件夹 启用共享 共享名 注释信息 连接用户数 权限

49 删除共享文件夹 删除文件夹共享 删除时警告信息

50 访问共享文件夹3-1 网上邻居 通过浏览方式，速度较慢

51 访问共享文件夹3-2 UNC访问共享文件夹 UNC路径组成 在哪里输入UNC路径 通过UNC路径可以快速访问共享文件夹 \\服务器名
\\服务器名\共享名 \\ip地址 \\ip地址\共享名 在哪里输入UNC路径 【开始】|【运行】对话框 资源管理器的【地址】栏 IE的【地址】栏 通过UNC路径可以快速访问共享文件夹 UNC访问共享文件夹

52 访问共享文件夹3-3 映射网络驱动器 如何映射网络驱动器 对于经常使用的共享文件夹可以将其映射成网络驱动器 在客户端上
右击共享的文件夹|【映射网络驱动器】 右击【网上邻居】| 【映射网络驱动器】 右击【我的电脑】| 【映射网络驱动器】 net use X: \\计算机名\共享名

53 共享权限 共享权限 网络用户可以 读取(Read) 查看文件内容和属性 (默认权限, 被分配给 Everyone 组)
查看文件名称和子文件夹名称 运行程序 更改(Change) (包括 Read 权限) 创建文件和子文件夹 修改文件内容 删除文件和文件夹 完全控制(Full Control) 包括 Read 和 Change 权限 允许修改文件和文件夹的NTFS权限

54 共享权限 配置共享权限 默认为Everyone读取 可以添加其他用户和组 共享权限通过网络访问时有效

55 共享权限与NTFS权限2-1 共享权限只对通过网络访问的用户有效 NTFS权限对本地用户和网络用户都有效
网络访问取两种权限中最严格的权限有效

56 共享权限与NTFS权限2-2 共享权限 NTFS权限 网络访问有效权限 完全控制 修改 更改 读取 拒绝访问

57 管理型共享文件夹 管理型共享文件夹 主要类别 是操作系统自动建立的用于特殊目的的共享文件夹 drive letter$ ADMIN$
NETLOGON SYSVOL IPC$

58 隐藏的共享文件夹 为什么需要隐藏的共享文件夹 如何创建隐藏的共享文件夹 共享文件夹不显示在网上邻居
在共享名后加上特殊符号“$”就变成隐藏共享

59 访问隐藏的共享文件夹 访问隐藏共享文件夹的方式 UNC路径 映射网络驱动器

60 管理共享文件夹 共享文件夹管理工具 “共享”中的功能 “会话”中的功能 “打开文件”中的功能 计算机管理工具 新建共享文件夹
停止文件夹的共享 设置共享文件夹权限 设置共享文件夹的同时连接用户数量 发布共享文件夹到活动目录 “会话”中的功能 监视共享文件夹的网络访问 “打开文件”中的功能 监视网络用户打开的文件