《完整windows_server_2003自学课件》由会员分享,可在线阅读,更多相关《完整windows_server_2003自学课件(256页珍藏版)》请在金锄头文库上搜索。
1、WINDOWS2003服务器操作系统http:/ Windows2003server系列产品简介Windows2003server各种产品安装的系统需求Windows2003server安装及常见问题的处理Windows2003server升级及常见问题的处理Windows2003server无人值守的安装及常见问题 的处理其他相关问题什么是用户帐户存在于WINDOWS2000,XP,2003中系统中的一种对象包含有多种属性,如用户名,密码等不同用户帐户的配置环境不同不同用户帐户的用户名和密码不同不同用户帐户的SID(安全标识符)不同本地用户帐户使用”本地用户和组”创建存储在SAM数据库中登录
2、时进行本地身份验证域用户帐户使用”AD用户和计算机”创建存储在Active Directory数据库中登录时进行网络身份验证本地用户帐户“本地用户和组”-lusrmgr.mscNet user脚本域用户帐户“AD用户和计算机”-dsa.mscUser add脚本一部分信息存储在注册表中克隆用户帐户提升用户帐户权限隐藏用户帐户最长127个字符存储在SAM数据库中或AD中默认较弱有加密方法(WINDOWS默认是对半开 加密,建议使用SYSKEY工具)空密码的问题密码策略什么是用户配置文件用户配置文件的类型本地漫游(桌面跟我走)强制漫游如何使多个用户使用同一个用户配置文件权限问题是很多站长容易模糊的
3、地方,调试网站莫名其妙地出现问题很多都是权限问题。 NTFS(NT file system)权限能够很好控制系统 上的资源。NTFS相对于fat32,只能在 windowsNT以上使用、访问。 许多经验丰富的管理员都熟悉应用于每个文件、文件夹、注册表项、打印机和活动目录(Active Directory)对象的新技术文件系统(NTFS)。 NTFS最初在Windows NT中推出,以替代文件 分配表(FAT)文件系统。这些年来,NTFS已 经历几次改变。Windows 2000、Windows Server 2003和Windows XP使用其当前版本 NTFS v5。 标准权限NTFS权限可
4、设定为允许(Allow)或拒绝(Deny)Windows Server 2003提供七种标准NTFS权限:完全控制权限、修 改权限、读取和执行权限、列出文件夹目录权限、读取权限、写入 权限和特别的权限。 完全控制(Full Control):用户可以修改、增加、移动和删除 文件,以及它们相关的属性和目录。另外,用户还能改变所有文件 和子目录的权限设置。修改(Modify):用户能够查看和修改文件和文件属性,包括 删除和添加目录文件或文件属性。读取与执行(Read & Execute):用户可以运行可执行文件, 包括脚本。读取(Read):用户能够查看文件和文件属性。写入(Write):用户能够
5、改写文件。权权 限限目目 的的读读读读取取该这该这该这该这 个个权权权权限是限是对对对对文件文件夹夹夹夹内容提供内容提供访问访问访问访问 的第一个的第一个权权权权 限。没有限。没有这这这这个个权权权权限,只能限,只能给给给给用用户户户户“ “拒拒绝访问绝访问绝访问绝访问 ” ”的消息。的消息。 这这这这个个权权权权限允限允许许许许用用户查户查户查户查 看所有看所有权权权权、权权权权限和文件属性。限和文件属性。写入写入该权该权该权该权 限允限允许许许许授授权权权权用用户创户创户创户创 建文件和子文件建文件和子文件夹夹夹夹。也能。也能 改改变变变变文件属性以及文件属性以及查查查查看所有看所有权权权
6、权和和权权权权限。限。列出文件列出文件夹夹夹夹目目 录录录录该权该权该权该权 限允限允许许许许用用户查户查户查户查 看看这这这这个文件个文件夹夹夹夹管理下的文件和管理下的文件和 子文件子文件夹夹夹夹。读读读读取及运行取及运行该权该权该权该权 限允限允许许许许授授权权权权用用户读户读户读户读 取取这这这这个文件个文件夹夹夹夹下的文件以下的文件以 及运行及运行应应应应用程序。用程序。修改修改该权该权该权该权 限限让让让让授授权权权权用用户户户户可以可以删删删删除管理下的文件除管理下的文件夹夹夹夹和所和所 有有权权权权限。限。完全控制完全控制该权该权该权该权 限允限允许许许许用用户获户获户获户获 得
7、所有得所有权权权权及及处处处处理上面理上面权权权权限的所限的所 有有动动动动作。作。 文件权限除了没有【列出文件夹目录】一 项外,与文件夹权限基本相同。 NTFS也允许分配刚才描述的权限的高级 版本,这些权限是一般权限的更详细版本,如下 图所示。也就是说,可以更精确的说明需要给用 户提供的访问级别,例如,对于基本权限的【读 取及运行】选项可以分为运行文件、读取数据。权限项目对话框 为设置这个高级权限,在属性对话框的【 安全】页上单击【高级】按钮,然后在出现的对 话框里单击【查看/编辑】按钮。 为了管理上的方便性与灵活性,应当把权 限赋予用户组,再将用户帐户加入相应的组中以 获得相应的访问权限。
8、而不要将访问权限直接赋 予某个特定用户。2、权限属性 为了文件夹和文件的更进一步的访问控制 ,需要理解权限的属性。权限有下列属性:n权限是累积的。一个用户的总体权限是所有准许用户 使用或访问一个对象的权限的总和。例如:如果一个 用户同时属于A、B两个组的成员,通过A组成员身份 获得了某文件的读取权限,同时通过B组成员身份获得 了该文件的运行权限,那么,用户的全部访问权限是 读取及运行。n拒绝权限选项将忽略在特定对象上准许用户的权限。 如果一个用户通过多个组的成员身份获得了完全控制 权限,只要在一个组中选择拒绝完全控制选项,这个 用户就完全被拒绝在所在文件或文件夹之外。3、继承 对给定文件夹分配
9、的权限能够默认传播给 子文件夹和文件,换句话说,如果某个组对一个 文件夹能够访问,其所有的子文件夹也允许该组 访问,对于文件也一样。 阻止或允许权限继承,只需在安全选项卡 上不选中或选中【允许将来自父系的可继承权限 传播给该对象】选项。每次不选中这个复选框, 就会提示拷贝或者删除被继承的权限。通过对一 个文件夹关闭继承,使这个文件夹变成父节点, 如果其子文件夹已经打开继承选项,它们会继承 父节点的权限。4、所有权 每个对象都有所有者。所有者控制如何设置对 象的权限以及将权限授予谁,如下图即为文件所 有者窗口。文件所有者对话框n nNTFS NTFS权限通过权限通过WindowsWindows资
10、源管理器资源管理器 采用。右键单击要控制访问的文件夹或文件采用。右键单击要控制访问的文件夹或文件 并从弹出的菜单中选择并从弹出的菜单中选择【属性属性】,打开文件,打开文件 夹或文件夹或文件【属性属性】对话框。对文件夹与文件对话框。对文件夹与文件 配置配置NTFSNTFS权限的过程是相同的,但权限的过程是相同的,但NTFSNTFS权权 限通常对文件夹采用。限通常对文件夹采用。 n n文件或文件夹文件或文件夹【属性属性】对话框中的标对话框中的标 签取决于计算机已经配置的选项。对签取决于计算机已经配置的选项。对NTFSNTFS 分区上的文件夹与文件,对话框中有个分区上的文件夹与文件,对话框中有个【安
11、安 全全】标签,如下图所示。标签,如下图所示。 对象一经创建,创建对象的人自动成为 其所有者。管理员将创建并拥有Active Directory 中和网络服务器上的多数对象。用户 将在其主目录中创建和拥有数据文件,及在网 络服务器上创建和拥有某些数据文件。所有权 可以用以下方式转换:n当前所有者可以授予其他用户【获得所有权】 权限,允许这些用户在任何时候取得所有权。n管理员可以获得其管理及控制下的任何对象的 所有权。例如,如果员工突然离开公司,管理 员可以控制员工的文件。 5、复制和移动后NTFS权限的变化 复制或移动NTFS文件时,这些文件设置 的权限可能改变。准则如下:n如果将文件从一个文
12、件夹移到同一卷中的另 一文件夹,则文件保持原有NTFS权限。n如果将文件从一个文件夹移到不同卷中的另 一文件夹,与目标文件夹有相同的权限。n如果将文件从一个文件夹复制到相同或不同 卷中的另一文件夹,则文件与目标文件夹有 相同的权限。n如果文件复制或移动到FAT分区,则不保留 任何NTFS权限。微软精细的安全权限(高级),以下内容:遍历文件夹/执行文件(Traverse Folder/Execute File):用户可以通过文件夹到达其它文件 或文件夹,即使这些文件夹没有遍历文件或文件夹的权限。只有在“组策略”管理单元中没有将“跳 过遍历检查”用户权限授予用户组或用户时,遍历文件夹才会生效。(默
13、认情况下,Everyone用 户组拥有“跳过遍历检查”用户权限。)列出文件夹/读取数据(List Folder/Read Data):用户可以查看一个文件的内容和数据文件 列表。读取属性(Read Attributes):用户可以查看一个文件或文件夹的属性,如只读和隐藏。( NTFS定义这些属性。)读取扩展属性(Read Extended Attributes):用户可以查看一个文件或文件夹的扩展属性 。(扩展属性由程序定义,可能各不相同。)建立文件/写入数据(Create File/Write Data):建立文件权限允许用户在文件夹内建立文件 。(这个权限只应用于文件夹。)写入数据权限允许
14、用户改写文件,覆盖现有内容。(这个权限 只应用于文件。)建立文件夹/附加数据(Create Folders/Append Data):建立文件夹权限允许用户在文件夹 内建立文件夹。(这个权限只应用于文件夹。)附加数据权限允许用户修改文件末尾部分,但他 们不能改变、删除或覆盖现有数据。(这个权限只应用于文件。)写入属性(Write Attributes):用户可以修改文件或文件夹的属性,如只读或隐藏。( NTFS定义这些属性。)写入扩展属性(Write Extended Attributes):用户可以修改一个文件或文件夹的扩展属性 。删除(Delete):用户可以删除文件或文件夹。(如果用户在
15、该文件或文件夹上没有删除权 限,但是在其父级的文件夹上有删除子文件及文件夹权限,那么就仍然可以删除它。)读取权限(Read Permissions):用户拥有文件或文件夹的读取权限,如完全控制、读取和 写入。变更权限(Change Permissions):用户拥有文件或文件夹的变更权限,如完全控制、读取 和写入。取得所有权(Take Ownership):用户可以取得文件或文件夹的所有权。文件的所有者总 能改变这个文件的权限,不管文件或文件夹受到何种权限的保护。继承和外来权限优先级。 一般认为拒绝的优先权最高,但事实并非如此。以下为权限等级:外来拒绝 外来允许 继承拒绝 继承允许当一名用户访问每个文件、文件夹、注册表项、打印机和活动 目录对象时,系统从上到下检查其权限。如果满足四个条件中的一 个,它准许或拒绝访问。这使得你可以设置一个对象的权限继承, 并对你的通用权限策略进行良好控制。总结: NTFS权限为系统资源提供许多控制选项。如果用户 在活动目录结构下无法访问所需数据或对象,查看这些权限的等级 ,你就能找出问题。 Convert e: /fs:ntfsConvert E: /FS:NTFS1、配置共享权限
