項(xiàng)目4管理用戶賬戶和組當(dāng)安裝完操作系統(tǒng)，并完成操作系統(tǒng)的環(huán)境配置后，管理員應(yīng)規(guī)劃一個(gè)安全的網(wǎng)絡(luò)環(huán)境，為用戶提供有效的資源訪問(wèn)服務(wù)。WindowsServer通過(guò)建立賬戶并賦予賬戶合適的權(quán)限，保證使用網(wǎng)絡(luò)和計(jì)算機(jī)資源的合法性，以確保數(shù)據(jù)訪問(wèn)、存儲(chǔ)和交換服從安全需要。2項(xiàng)目背景如果是單純的工作組模式的網(wǎng)絡(luò)，則需要使用“計(jì)算機(jī)管理”工具來(lái)管理本地用戶和組；如果是域模式的網(wǎng)絡(luò)，則需要通過(guò)“ActiveDirectory管理中心”和“ActiveDirectory用戶和計(jì)算機(jī)”工具管理整個(gè)域環(huán)境中的用戶和組。3項(xiàng)目背景學(xué)習(xí)要點(diǎn) 理解管理用戶賬戶的方法。 掌握管理本地用戶賬戶和組的方法。 掌握一次添加多個(gè)用戶賬戶的方法。 掌握管理域組賬戶的方法。 掌握組的使用原則。學(xué)習(xí)要點(diǎn)素質(zhì)要點(diǎn)了解中國(guó)國(guó)家頂級(jí)域名“CN”，了解中國(guó)互聯(lián)網(wǎng)發(fā)展中的大事，激發(fā)學(xué)生的自豪感?！肮胖⒋笫抡撸晃┯谐乐?，亦必有堅(jiān)忍不拔之志?！北薏邔W(xué)生努力學(xué)習(xí)。素質(zhì)要點(diǎn)01.項(xiàng)目基礎(chǔ)知識(shí)contents目錄02.項(xiàng)目設(shè)計(jì)及準(zhǔn)備03.項(xiàng)目實(shí)施04.習(xí)題與實(shí)訓(xùn)項(xiàng)目基礎(chǔ)知識(shí)古之立大事者，不惟有超世之才，亦必有堅(jiān)忍不拔之志。4.101.規(guī)劃新的用戶賬戶contents目錄02.本地用戶賬戶03.本地組04.創(chuàng)建組織單位與域用戶賬戶05.用戶登錄賬戶06.創(chuàng)建UPN的后綴規(guī)劃新的用戶賬戶古之立大事者，不惟有超世之才，亦必有堅(jiān)忍不拔之志。4.1.1用戶賬戶和組為每個(gè)用戶帳號(hào)創(chuàng)建一個(gè)唯一的登錄名用批處理為新用戶在活動(dòng)目錄創(chuàng)建多個(gè)用戶帳號(hào)將用戶分組，用以管理網(wǎng)絡(luò)上的共享資源當(dāng)為一個(gè)分層結(jié)構(gòu)創(chuàng)建一個(gè)模型時(shí)，將組嵌入別的組中以減少管理任務(wù)規(guī)劃新的用戶賬戶UsersSharedResourcesPermissionsGroup域用戶賬戶和本地用戶賬戶WindowsServer支持兩種用戶賬戶：域用戶賬戶和本地用戶賬戶。域用戶賬戶可以登錄到域上，并獲得訪問(wèn)該網(wǎng)絡(luò)中資源的權(quán)限；本地用戶賬戶只能登錄到一臺(tái)特定的計(jì)算機(jī)上，并訪問(wèn)其資源。規(guī)劃新的用戶賬戶命名約定賬戶名必須唯一，即本地賬戶在本地計(jì)算機(jī)上必須是唯一的。賬戶名不能包含以下字符：*、;、?、/、\、[、]、:、|、=、,、+、<、>、"。賬戶名最長(zhǎng)不能超過(guò)20個(gè)字符。規(guī)劃新的用戶賬戶密碼原則一定要給Administrator賬戶指定一個(gè)密碼，以防止他人隨便使用該賬戶。確定是管理員還是用戶擁有密碼的控制權(quán)。一般情況下，用戶應(yīng)可以控制自己的密碼。密碼不能設(shè)置得太簡(jiǎn)單，不能讓他人隨意猜出。密碼最多可由128個(gè)字符組成，推薦最小長(zhǎng)度為8個(gè)字符。密碼應(yīng)由大小寫(xiě)字母、數(shù)字，以及合法的非字母、非數(shù)字的字符混合組成。規(guī)劃新的用戶賬戶本地用戶賬戶盛年不重來(lái)，一日難再晨。及時(shí)當(dāng)勉勵(lì)，歲月不待人。4.1.2本地用戶賬戶本地用戶賬戶僅允許用戶登錄并訪問(wèn)創(chuàng)建該賬戶的計(jì)算機(jī)。當(dāng)創(chuàng)建本地用戶賬戶時(shí)，僅在%Systemroot%\System32\config文件夾下的安全賬戶管理器（SecurityAccountManager，SAM）數(shù)據(jù)庫(kù)中創(chuàng)建相應(yīng)賬戶，如C:\Windows\System32\config\sam。本地用戶賬戶本地用戶賬戶WindowsServer默認(rèn)只有Administrator賬戶和Guest賬戶。WindowsServer為每個(gè)賬戶提供了名稱(chēng)，如Administrator、Guest等，這些名稱(chēng)是為了方便用戶記憶、輸入和使用提供的。本地用戶賬戶本地用戶賬戶本地計(jì)算機(jī)中的用戶賬戶是不允許重復(fù)的。系統(tǒng)內(nèi)部使用安全標(biāo)識(shí)符（SecurityIdentifiers，SID）來(lái)識(shí)別用戶身份，每個(gè)用戶賬戶都對(duì)應(yīng)一個(gè)唯一的SID，這個(gè)SID在用戶創(chuàng)建時(shí)由系統(tǒng)自動(dòng)產(chǎn)生。用戶登錄后，可以在命令提示符窗口中輸入“whoami/logonid”命令查詢(xún)當(dāng)前用戶賬戶的SID。本地用戶賬戶本地組幸福和美好未來(lái)不會(huì)自己出現(xiàn)，成功屬于勇毅而篤行的人。4.1.3本地組對(duì)用戶進(jìn)行分組管理，可以更加有效、靈活地分配設(shè)置權(quán)限，以方便管理員對(duì)WindowsServer進(jìn)行具體的管理。如果將特定角色添加到計(jì)算機(jī)中，則將創(chuàng)建額外的組，用戶可以執(zhí)行與該組角色相對(duì)應(yīng)的任務(wù)。本地組本地組可以在“服務(wù)器管理器”→“工具”→“計(jì)算機(jī)管理”→“本地用戶和組”→“組”文件夾中查看默認(rèn)組。常用的默認(rèn)組包括以下幾種：Administrators、BackupOperators、Guests、PowerUsers、PrintOperators、RemoteDesktopUsers、Users。一些特殊組：AnonymousLogon、Everyone、Network、Interactive。本地組創(chuàng)建組織單位與域用戶賬戶功崇惟志，業(yè)廣惟勤。4.1.4創(chuàng)建組織單位與域用戶賬戶可以將用戶賬戶創(chuàng)建到任何一個(gè)容器或組織單位內(nèi)。下面先創(chuàng)建名稱(chēng)為“網(wǎng)絡(luò)部”的組織單位，再在其內(nèi)建立域用戶賬戶Rose、Jhon、Mike、Bob、Alice。創(chuàng)建組織單位與域用戶賬戶創(chuàng)建“網(wǎng)絡(luò)部”組織單位的方法創(chuàng)建組織單位與域用戶賬戶建立用戶賬戶Jhon的方法創(chuàng)建組織單位與域用戶賬戶用戶登錄賬戶櫪驥不忘千里志，病鴻終有赤霄心。4.1.5用戶登錄賬戶域用戶可以在域成員計(jì)算機(jī)（域控制器除外）上利用兩種賬戶登錄方式來(lái)登錄域，它們分別是UPN登錄與用戶SamAccountName登錄。一般的域用戶默認(rèn)是無(wú)法在域控制器上登錄的。用戶登錄賬戶UPN登錄用戶登錄賬戶用戶SamAccountName登錄用戶登錄賬戶創(chuàng)建UPN的后綴知之愈明，則行之愈篤；行之愈篤，則知之益明?！祆?宋)4.1.6創(chuàng)建UPN的后綴用戶賬戶的UPN后綴默認(rèn)是賬戶所在域的域名。在下面這些情況下，用戶可能希望能夠改用其他后綴。用戶可希望其UPN與電子郵件賬戶相同。若域目錄樹(shù)內(nèi)有多層子域，則域名會(huì)太長(zhǎng)，如，UPN后綴也會(huì)過(guò)長(zhǎng)，這將造成用戶在登錄時(shí)的不便。創(chuàng)建UPN的后綴創(chuàng)建UPN的后綴創(chuàng)建UPN的后綴域用戶賬戶的一般管理功崇惟志，業(yè)廣惟勤。4.1.7域用戶賬戶的一般管理一般管理是指重置密碼、禁用（啟用）賬戶、刪除賬戶、移動(dòng)賬戶、重命名與解除鎖定等。域用戶賬戶的一般管理解除鎖定域用戶賬戶的一般管理設(shè)置賬戶策略步驟域用戶賬戶的一般管理在“組策略管理”窗口中選擇“DefaultDomainPolicy”選項(xiàng)并單擊鼠標(biāo)右鍵在彈出的快捷菜單中選擇“編輯”→“計(jì)算機(jī)配置”→“策略”→“Windows設(shè)置”→“安全設(shè)置”→“賬戶策略”→“賬戶鎖定策略”選項(xiàng)。設(shè)置域用戶賬戶的屬性古之立大事者，不惟有超世之才，亦必有堅(jiān)忍不拔之志。4.1.8設(shè)置域用戶賬戶的屬性每一個(gè)域用戶賬戶內(nèi)都有一些相關(guān)的屬性信息，如地址、電話號(hào)碼與電子郵件地址等，域用戶可以通過(guò)這些屬性來(lái)查找ActiveDirectory域服務(wù)數(shù)據(jù)庫(kù)內(nèi)的用戶。設(shè)置域用戶賬戶的屬性設(shè)置組織信息組織信息是指：顯示名稱(chēng)、職務(wù)、辦公室部門(mén)、電子郵件、網(wǎng)頁(yè)、電話號(hào)碼、地址等，如圖所示設(shè)置域用戶賬戶的屬性設(shè)置賬戶過(guò)期在“賬戶”內(nèi)的“賬戶過(guò)期”中設(shè)置賬戶過(guò)期，默認(rèn)為“從不”，輸入格式為yyyy/mm/dd，如圖所示。設(shè)置域用戶賬戶的屬性設(shè)置登錄時(shí)段登錄時(shí)段用來(lái)指定用戶可以登錄到域的時(shí)間段，默認(rèn)任何時(shí)間段都可以登錄域，若要改變?cè)O(shè)置，則可單擊“登錄小時(shí)”鏈接，并在“登錄小時(shí)數(shù)”對(duì)話框中進(jìn)行設(shè)置。設(shè)置域用戶賬戶的屬性限制用戶只能夠通過(guò)某些計(jì)算機(jī)登錄一般域用戶默認(rèn)可以利用任何一臺(tái)域成員計(jì)算機(jī)（域控制器除外）來(lái)登錄域。不過(guò)也可以通過(guò)下面的方法來(lái)限制用戶只可以利用某些特定計(jì)算機(jī)來(lái)登錄域設(shè)置域用戶賬戶的屬性域組賬戶盛年不重來(lái)，一日難再晨。及時(shí)當(dāng)勉勵(lì)，歲月不待人。4.1.9域組賬戶如果能夠使用組（Group）來(lái)管理用戶賬戶，則必定能夠減輕許多網(wǎng)絡(luò)管理的負(fù)擔(dān)。例如，針對(duì)網(wǎng)絡(luò)組設(shè)置權(quán)限后，此組內(nèi)的所有用戶都會(huì)自動(dòng)擁有相應(yīng)權(quán)限，不需要為每一個(gè)用戶進(jìn)行設(shè)置。域組賬戶也有唯一的SID。域組賬戶域內(nèi)的組類(lèi)型安全組（SecurityGroup）分發(fā)組（DistributionGroup）域組賬戶組的使用范圍從組的使用范圍來(lái)看，域內(nèi)的組分為本地域組、全局組和通用組3種域組賬戶特性本地域組全局組通用組可包含的成員所有域內(nèi)的用戶、全局組、通用組；相同域內(nèi)的本地域組相同域內(nèi)的用戶與全局組所有域內(nèi)的用戶、全局組、通用組可以在哪一個(gè)域內(nèi)被分配權(quán)限同一個(gè)域所有域所有域組轉(zhuǎn)換可以被轉(zhuǎn)換成通用組（只要原組內(nèi)的成員不包含本地域組即可）可以轉(zhuǎn)換成通用組（只要原組不隸屬于任何一個(gè)全局組即可）可以轉(zhuǎn)換成本地域組；可以轉(zhuǎn)換成全局組（只要原組內(nèi)的成員不包含通用組即可）本地域組本地域組主要用來(lái)分配其所屬域內(nèi)的訪問(wèn)權(quán)限，以便訪問(wèn)該域內(nèi)的資源。域組賬戶全局組全局組主要用來(lái)組織用戶，也就是可以將多個(gè)即將被賦予相同權(quán)限的用戶賬戶加入同一個(gè)全局組內(nèi)。域組賬戶通用組通用組可以在所有域內(nèi)為通用組分配訪問(wèn)權(quán)限，以便訪問(wèn)所有域內(nèi)的資源。域組賬戶建立與管理域組賬戶幸福和美好未來(lái)不會(huì)自己出現(xiàn)，成功屬于勇毅而篤行的人。4.1.101．組的新建、刪除建立與管理域組賬戶2．添加組的成員建立與管理域組賬戶3．ActiveDirectory域服務(wù)內(nèi)置的組ActiveDirectory域服務(wù)有許多內(nèi)置的組，它們分別隸屬于本地域組、全局組、通用組與特殊組。建立與管理域組賬戶（1）內(nèi)置的本地域組內(nèi)置的本地域組本身已被賦予一些權(quán)限，以便具備管理ActiveDirectory域服務(wù)的能力。只要將用戶或組賬戶加入這些組，這些賬戶就會(huì)自動(dòng)具備相同的權(quán)限。AccountOperatorsAdministratorsBackupOperatorsGuests建立與管理域組賬戶掌握組的使用原則櫪驥不忘千里志，病鴻終有赤霄心。4.1.111．A、G、DL、P原則掌握組的使用原則2．A、G、G、DL、P原則掌握組的使用原則3．A、G、U、DL、P原則掌握組的使用原則項(xiàng)目設(shè)計(jì)及準(zhǔn)備盛年不重來(lái)，一日難再晨。及時(shí)當(dāng)勉勵(lì)，歲月不待人。4.2項(xiàng)目設(shè)計(jì)功能與特性本項(xiàng)目所有實(shí)例部署在同一個(gè)網(wǎng)絡(luò)環(huán)境下，Server1、Server2是2臺(tái)不同角色的域控制器、操作系統(tǒng)是WindowsServer2022。MS1是成員服務(wù)器，操作系統(tǒng)為Windowsserver2022項(xiàng)目準(zhǔn)備將Server1升級(jí)為域控制器并建立域（網(wǎng)絡(luò)主DC）在Server2中建立子域?qū)S1升級(jí)成員服務(wù)器（添加成員）項(xiàng)目實(shí)施幸福和美好未來(lái)不會(huì)自己出現(xiàn)，成功屬于勇毅而篤行的人。4.3項(xiàng)目實(shí)施任務(wù)3客戶0201管理本地賬戶和組任務(wù)1AGUDLP原則管理域組任務(wù)2任務(wù)1管理本地賬戶和組添加用戶mike進(jìn)組添加本地組成員新建student1用戶賬戶設(shè)置本地賬戶新建common組創(chuàng)建本地組配置student1用戶賬戶設(shè)置用戶賬戶的屬性0403010201-設(shè)置本地賬戶01-設(shè)置本地賬戶使用命令行創(chuàng)建用戶例如，要建立一個(gè)名為mike，密碼為P@ssw0rd的用戶，可以使用以下命令。netusermikeP@ssw0rd/add例如，將用戶mike的密碼設(shè)置為P@ssw0rd3（必須符合密碼復(fù)雜度要求），可以運(yùn)行以下命令。netusermikeP@ssw0rd302-設(shè)置用戶賬戶的屬性02-設(shè)置用戶賬戶的屬性03-創(chuàng)建本地組04-添加本地組成員將成員mike添加到本地組common，可以執(zhí)行以下操作。打開(kāi)組的“屬性”對(duì)話框。單擊“添加”按鈕，選擇要加入的用戶mike即可。使用命令行的話，可以使用如下命令：netlocalgroupadministratorsmike/add任務(wù)2使用AGUDLP原則管理域組域用戶賬戶關(guān)系任務(wù)背景域用戶賬戶組權(quán)限任務(wù)分析0102管理域用戶任務(wù)實(shí)施0301-任務(wù)背景02-任務(wù)分析④在總公司Server1（林根）上創(chuàng)建通用組project_long_Us，并將總公司和分公司的工程部全局組配置為成員。⑤在子公司Server2上創(chuàng)建本地域組project_china_DLs，并將通用組project_long_Us加入本地域組。⑥創(chuàng)建共享目錄projects_share，配置本地域組權(quán)限為讀寫(xiě)權(quán)限。①在總公司Server1和分公司Server2上創(chuàng)建相應(yīng)工程部員工用戶。②在總公司Server1上創(chuàng)建全局組project_long_Gs，并將總公司工程部用戶加入該全局組；③在分公司上創(chuàng)建全局組project_china_Gs，并將分公司工程部用戶加入該全局組。02-任務(wù)分析①總公司工程部員工新增或減少。總公司管理員直接對(duì)工程部用戶進(jìn)行project_long_Gs全局組的加入與退出。②分公司工程部員工新增或減少。分公司管理員直接對(duì)工程部用戶進(jìn)行project_china_Gs全局組的加入與退出。域組調(diào)整后的影響03-任務(wù)實(shí)施03-任務(wù)實(shí)施03-任務(wù)實(shí)施03-任務(wù)實(shí)施03-任務(wù)實(shí)施03-任務(wù)實(shí)施在客戶機(jī)MS1上（DNS服務(wù)器的IP地址一定要設(shè)為和），用鼠標(biāo)右鍵單擊“開(kāi)始”菜單，在彈出的快捷菜單中選擇“運(yùn)行”命令，輸入U(xiǎn)NC路徑\\S\Projects_share，在彈出的憑據(jù)對(duì)話框中輸入總公司域用戶名Project_userA@及密碼，能夠成功讀取和寫(xiě)入文件。

正常訪問(wèn)共享目錄提示沒(méi)有訪問(wèn)權(quán)限中國(guó)國(guó)家頂級(jí)域名“CN”知之愈明，則行之愈篤；行之愈篤，則知之益明?！祆?宋)拓展閱讀中國(guó)國(guó)家頂級(jí)域名“CN”1994年4月20日，一條64kbit/s的國(guó)際專(zhuān)線從中國(guó)科學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)信息中心通過(guò)美國(guó)Sprint公司連入Internet，實(shí)現(xiàn)了中國(guó)與Internet的全功能連接。從此我國(guó)被國(guó)際上正式承認(rèn)為真正擁有全功能互聯(lián)網(wǎng)的國(guó)家。1994年5月21日，中國(guó)科學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)信息中心完成了中國(guó)國(guó)家頂級(jí)域名服務(wù)器的設(shè)置，改變了我國(guó)的頂級(jí)域名服務(wù)器一直放在國(guó)外的歷史。錢(qián)天白、錢(qián)華林分別擔(dān)任我國(guó)頂級(jí)域名的行政聯(lián)絡(luò)員和技術(shù)聯(lián)絡(luò)員。中國(guó)國(guó)家頂級(jí)域名“CN”習(xí)題與實(shí)訓(xùn)功崇惟志，業(yè)廣惟勤。4.4行業(yè)PPT模板/hangye/Severe1域控制器和MS1成員服務(wù)器上分別進(jìn)行域用戶/組的管理和本地用戶/組的管理。項(xiàng)目實(shí)訓(xùn)：管理用戶賬戶和組賬戶理論知識(shí)：用戶和組的相關(guān)基本概念；組織單位；UPN；組的使用原則技能知識(shí)：掌握本地賬戶和組的管理；掌握一次同時(shí)添加多個(gè)用戶賬戶；掌握管理域組賬戶；掌握組的使用原則。項(xiàng)目小結(jié)

感謝觀看項(xiàng)目5管理文件系統(tǒng)與共享資源網(wǎng)絡(luò)中最重要的是安全，安全中最重要的是權(quán)限。權(quán)限決定著用戶可以訪問(wèn)的數(shù)據(jù)、資源，也決定著用戶享受的服務(wù)。更甚者，權(quán)限決定著用戶擁有什么樣的桌面。理解NTFS和它的能力，對(duì)于高效地在WindowsServer2022中實(shí)現(xiàn)這種功能來(lái)說(shuō)是非常重要的。87項(xiàng)目背景學(xué)習(xí)要點(diǎn)掌握設(shè)置共享資源和訪問(wèn)共享資源的方法。掌握卷影副本的使用方法。掌握使用NTFS控制資源訪問(wèn)的方法。 掌握使用文件系統(tǒng)加密文件的方法。掌握壓縮文件的方法。學(xué)習(xí)要點(diǎn)素質(zhì)要點(diǎn)了解圖靈獎(jiǎng)，激發(fā)學(xué)生的求知欲，從而激發(fā)學(xué)生的潛能?！坝^眾器者為良匠，觀眾病者為良醫(yī)?！薄盀閷W(xué)日益，為道日損?！睂W(xué)生要多動(dòng)腦、多動(dòng)手，只有多實(shí)踐、多積累，才能提高技藝，也才能成為優(yōu)秀的“工匠”。素質(zhì)要點(diǎn)01.項(xiàng)目基礎(chǔ)知識(shí)contents目錄02.項(xiàng)目設(shè)計(jì)及準(zhǔn)備03.項(xiàng)目實(shí)施04.習(xí)題與實(shí)訓(xùn)項(xiàng)目基礎(chǔ)知識(shí)為學(xué)日益，為道日損。5.1文件、文件夾和文件系統(tǒng)文件和文件夾是計(jì)算機(jī)系統(tǒng)組織數(shù)據(jù)的集合單位。WindowsServer提供了強(qiáng)大的文件管理功能，其N(xiāo)TFS具有高安全性能，用戶可以十分方便地在計(jì)算機(jī)或網(wǎng)絡(luò)中處理、使用、組織、共享和保護(hù)文件及文件夾。文件系統(tǒng)是指文件命名、存儲(chǔ)和組織的總體結(jié)構(gòu)，運(yùn)行WindowsServer的計(jì)算機(jī)的磁盤(pán)分區(qū)可以使用3種類(lèi)型的文件系統(tǒng)：FAT16、FAT32和NTFS。FAT文件系統(tǒng)01.FAT文件系統(tǒng)

contents目錄02.NTFS文件系統(tǒng)03.管理訪問(wèn)概述04.拓展閱讀圖靈獎(jiǎng)FAT文件系統(tǒng)功崇惟志，業(yè)廣惟勤。5.1.1FAT文件系統(tǒng)FAT文件系統(tǒng)，全稱(chēng)FileAllocationTable（文件配置表），是一種由微軟發(fā)明并擁有部分專(zhuān)利的文件系統(tǒng)。FAT包括FAT16和FAT32兩種。FAT是一種適合小卷集、對(duì)系統(tǒng)安全性要求不高、需要雙重引導(dǎo)的用戶應(yīng)選擇使用的文件系統(tǒng)。這種文件系統(tǒng)最初是為了MS-DOS設(shè)計(jì)的，并且也是所有非NT核心的微軟窗口操作系統(tǒng)（如Windows95、98、ME等）所使用的文件系統(tǒng)。FAT文件系統(tǒng)因其簡(jiǎn)單性而被廣泛支持。

FAT文件系統(tǒng)FAT16文件系統(tǒng)FAT16支持的最大分區(qū)是216（即65536）個(gè)簇，每個(gè)簇有64個(gè)扇區(qū)，每個(gè)扇區(qū)為512字節(jié)，所以支持的最大分區(qū)為2GB。FAT16最大的缺點(diǎn)就是簇的大小和分區(qū)有關(guān)，這樣當(dāng)外存中存放較多小文件時(shí)，會(huì)浪費(fèi)大量的空間。FAT文件系統(tǒng)FAT16文件系統(tǒng)FAT32是FAT16的派生文件系統(tǒng)，支持最大2TB（2048GB）的磁盤(pán)分區(qū)。它使用的簇比FAT16的要小，從而有效地節(jié)約了磁盤(pán)空間。FAT文件系統(tǒng)FAT文件系統(tǒng)FAT是一種最初用于小型磁盤(pán)和簡(jiǎn)單文件夾結(jié)構(gòu)的簡(jiǎn)單文件系統(tǒng)。它向后兼容，最大的優(yōu)點(diǎn)是適用于所有的Windows操作系統(tǒng)。另外，F(xiàn)AT在容量較小的卷上使用效果比較好，因?yàn)镕AT啟動(dòng)只使用非常小的開(kāi)銷(xiāo)。FAT在容量低于512MB的卷上工作效果最好，當(dāng)卷的容量超過(guò)1.024GB時(shí)，F(xiàn)AT的工作效率就很低。對(duì)于400～500MB的卷，F(xiàn)AT相對(duì)于NTFS來(lái)說(shuō)是一個(gè)比較好的選擇；但對(duì)于使用WindowsServer2022的用戶來(lái)說(shuō)，F(xiàn)AT無(wú)法滿足系統(tǒng)的要求。FAT文件系統(tǒng)NTFS文件系統(tǒng)古之立大事者，不惟有超世之才，亦必有堅(jiān)忍不拔之志。5.1.2NTFS文件系統(tǒng)NTFS（NewTechnologyFileSystem）是Windows操作系統(tǒng)中使用的一種文件系統(tǒng)，其設(shè)計(jì)目標(biāo)是提供更高的性能、可靠性和安全性，以適應(yīng)大型存儲(chǔ)設(shè)備和復(fù)雜的操作環(huán)境。NTFS是WindowsNT以及后續(xù)Windows版本（如Windows2000、WindowsXP、WindowsServer2003、WindowsServer2008、WindowsVista、Windows7及更高版本）的標(biāo)準(zhǔn)文件系統(tǒng)。NTFS取代了早期的文件分配表（FAT）文件系統(tǒng)，為Microsoft的Windows系列操作系統(tǒng)提供文件系統(tǒng)支持。NTFS文件系統(tǒng)NTFS主要特點(diǎn)--安全性高NTFS對(duì)用戶權(quán)限做出了非常嚴(yán)格的限制，具有更高的安全性。支持隨機(jī)訪問(wèn)控制和擁有權(quán)，對(duì)共享文件夾無(wú)論采用FAT還是NTFS文件系統(tǒng)都可以指定權(quán)限，以免受到本地訪問(wèn)或遠(yuǎn)程訪問(wèn)的影響。每個(gè)文件和文件夾都有一個(gè)安全描述符，包含了訪問(wèn)控制列表（ACL）和訪問(wèn)策略等信息，可以設(shè)置哪些用戶或組對(duì)文件有何種操作權(quán)限。NTFS文件系統(tǒng)NTFS主要特點(diǎn)--性能與可靠性好使用高級(jí)數(shù)據(jù)結(jié)構(gòu)，如MasterFileTable（MFT），來(lái)存儲(chǔ)文件和文件夾的元數(shù)據(jù)信息，改善了性能。支持文件壓縮，可以減少磁盤(pán)空間的使用，同時(shí)保持文件的訪問(wèn)速度。使用事務(wù)日志自動(dòng)記錄所有文件夾和文件更新，系統(tǒng)能重做或恢復(fù)未成功的操作，從而保護(hù)了系統(tǒng)的安全性。NTFS文件系統(tǒng)NTFS主要特點(diǎn)--磁盤(pán)空間利用率高對(duì)于超過(guò)4GB以上的硬盤(pán)，使用NTFS分區(qū)可以減少磁盤(pán)碎片的數(shù)量，大大提高硬盤(pán)的利用率。支持的文件大小可以達(dá)到64GB，遠(yuǎn)遠(yuǎn)大于FAT32下的4GB。NTFS文件系統(tǒng)NTFS主要特點(diǎn)--支持長(zhǎng)文件名與UnicodeNTFS文件系統(tǒng)支持長(zhǎng)文件名，文件名可以包含空格和特殊字符。支持Unicode字符集，可以存儲(chǔ)使用多種語(yǔ)言的文件名。FAT與NTFS文件系統(tǒng)轉(zhuǎn)換如果安裝WindowsServer時(shí)采用了FAT，則用戶可以在安裝完畢使用convert命令將FAT分區(qū)轉(zhuǎn)換為NTFS分區(qū)。命令如下：convertD:/FS:NTFSNTFS文件系統(tǒng)管理訪問(wèn)概述盛年不重來(lái)，一日難再晨。及時(shí)當(dāng)勉勵(lì)，歲月不待人。5.1.3安全主體管理訪問(wèn)概述--安全主體安全主體-可用于身份驗(yàn)證和分配資源訪問(wèn)權(quán)的用戶、組或計(jì)算機(jī)對(duì)象。相對(duì)ID(RID)-安全I(xiàn)D(SID)的一部分，在域中惟一標(biāo)識(shí)的賬戶或組。安全I(xiàn)D(SID)-在創(chuàng)建用戶、計(jì)算機(jī)或安全組時(shí)分配的惟一值。Windows中的內(nèi)部過(guò)程引用賬戶的SID，而不是賬戶的用戶名或組名。安全主體S-1-5-21-1454471165-1004336348-1606980848-5555SIDRID安全主體管理訪問(wèn)概述--安全主體用戶的訪問(wèn)令牌主體其他訪問(wèn)權(quán)信息用戶權(quán)利列表組SID用戶SID權(quán)限管理訪問(wèn)概述--權(quán)限分配權(quán)限的方式

“允許”或“拒絕”權(quán)限可分配到資源（文件夾、打印機(jī)、文件）權(quán)限：是授予或拒絕對(duì)象訪問(wèn)權(quán)的規(guī)則用于控制訪問(wèn)權(quán)限可分配到本地計(jì)算機(jī)中的賬戶或ADDS中的賬戶可以顯式應(yīng)用權(quán)限、繼承權(quán)限或隱式應(yīng)用權(quán)限訪問(wèn)控制的工作方式管理訪問(wèn)概述--訪問(wèn)控制的工作方式隨機(jī)訪問(wèn)控制列表(DACL)DACL包含用戶和組的列表，這些用戶和組可以訪問(wèn)資源或者被拒絕而無(wú)法訪問(wèn)資源NTFS卷上的每一個(gè)文件和文件夾都有關(guān)聯(lián)的DACL系統(tǒng)訪問(wèn)控制列表(SACL)SACL控制審核對(duì)資源的訪問(wèn)訪問(wèn)控制條目(ACE)定義DACL或SACL中的每一個(gè)條目指定一組要允許、拒絕或?qū)徍说腟ID如果在DACL中未指定任何ACE，那么將拒絕訪問(wèn)資源項(xiàng)目設(shè)計(jì)及準(zhǔn)備盛年不重來(lái)，一日難再晨。及時(shí)當(dāng)勉勵(lì)，歲月不待人。5.2項(xiàng)目設(shè)計(jì)功能與特性本項(xiàng)目所有實(shí)例部署在同一個(gè)網(wǎng)絡(luò)環(huán)境下，Server1、Server2是2臺(tái)不同角色的域控制器，操作系統(tǒng)是WindowsServer2022。MS1是成員服務(wù)器，操作系統(tǒng)是WindowsServer2022。項(xiàng)目準(zhǔn)備Server1、Server2和MS1是3臺(tái)虛擬機(jī)。在Server1與MS1上可以測(cè)試資源共享情況，而資源訪問(wèn)權(quán)限的控制、加密文件系統(tǒng)與壓縮、分布式文件系統(tǒng)等需在MS1上實(shí)施并測(cè)試。項(xiàng)目實(shí)施觀眾器者為良匠，觀眾病者為良醫(yī)。5.3項(xiàng)目實(shí)施任務(wù)1第一臺(tái)C任務(wù)6復(fù)制移動(dòng)任務(wù)4NTFS基礎(chǔ)任務(wù)5繼承&阻止任務(wù)2訪問(wèn)共享任務(wù)7標(biāo)準(zhǔn)與特殊NTFS任務(wù)8壓縮任務(wù)1設(shè)置共享任務(wù)3卷影副本任務(wù)9加密任務(wù)1設(shè)置資源共享C:\share1

文件夾共享設(shè)置共享資源系統(tǒng)自動(dòng)創(chuàng)建的共享特殊共享010201-設(shè)置共享資源01-設(shè)置共享資源02-特殊共享driveletter$：為存儲(chǔ)設(shè)備的根目錄創(chuàng)建的一種共享資源。例如：D$ADMIN$：在遠(yuǎn)程管理計(jì)算機(jī)的過(guò)程中系統(tǒng)使用的資源。IPC$：共享命名管道的資源，它對(duì)程序之間的通信非常重要。PRINT$：在遠(yuǎn)程管理打印機(jī)的過(guò)程中使用的資源任務(wù)2訪問(wèn)網(wǎng)絡(luò)共享資源利用系統(tǒng)網(wǎng)絡(luò)發(fā)現(xiàn)功能網(wǎng)絡(luò)發(fā)現(xiàn)通用命名規(guī)則UNC010201-網(wǎng)絡(luò)發(fā)現(xiàn)必須確保Server1、Server2和MS1開(kāi)啟了網(wǎng)絡(luò)發(fā)現(xiàn)功能，并且運(yùn)行了FunctionDiscoveryResourcePublication服務(wù)（自動(dòng)、啟動(dòng)）?！熬W(wǎng)絡(luò)”窗口

“Windows安全”對(duì)話框01-網(wǎng)絡(luò)發(fā)現(xiàn)02-UNC通用命名標(biāo)準(zhǔn)（UniversalNamimgConversion，UNC）是用于命名文件和其他資源的一種約定，以?xún)蓚€(gè)反斜杠“\”開(kāi)頭，指明該資源位于網(wǎng)絡(luò)計(jì)算機(jī)上。例如：\\\share1或者\(yùn)\Server1\share1任務(wù)3使用卷影副本“卷影副本”客戶端訪問(wèn)“卷影副本”啟用“共享文件夾的卷影副本”03010201-“卷影副本”02-啟用“共享文件夾的卷影副本”02-啟用“共享文件夾的卷影副本”任務(wù)4認(rèn)識(shí)NTFS權(quán)限NTFS文件夾權(quán)限允許訪問(wèn)類(lèi)型讀?。≧ead）查看文件夾中的文件和子文件夾，查看文件夾屬性、擁有人和權(quán)限寫(xiě)入（Write）在文件夾內(nèi)創(chuàng)建新的文件和子文件夾，修改文件夾屬性，查看文件夾的擁有人和權(quán)限列出文件夾內(nèi)容（ListFolderContents）查看文件夾中的文件和子文件夾的名稱(chēng)讀取和運(yùn)行（Read&Execute）遍歷文件夾，執(zhí)行允許“讀取”權(quán)限和“列出文件夾內(nèi)容”權(quán)限的動(dòng)作修改（Modify）刪除文件夾，執(zhí)行“寫(xiě)入”權(quán)限和“讀取和運(yùn)行”權(quán)限的動(dòng)作完全控制（FullControl）改變權(quán)限，成為擁有人，刪除子文件夾和文件，以及執(zhí)行允許所有其他NTFS文件夾權(quán)限進(jìn)行的動(dòng)作標(biāo)準(zhǔn)NTFS文件夾權(quán)限列表任務(wù)4認(rèn)識(shí)NTFS權(quán)限多重NTFS權(quán)限（1）權(quán)限是累積的（2）文件權(quán)限超越文件夾權(quán)限（3）拒絕權(quán)限超越其他權(quán)限任務(wù)4認(rèn)識(shí)NTFS權(quán)限共享文件夾權(quán)限與NTFS文件系統(tǒng)權(quán)限的組合“share1屬性”對(duì)話框權(quán)

限允許用戶完成的操作讀取顯示文件夾名稱(chēng)、文件名稱(chēng)、文件數(shù)據(jù)和屬性，運(yùn)行應(yīng)用程序文件，改變共享文件夾內(nèi)的文件夾修改創(chuàng)建文件夾，向文件夾中添加文件，修改文件中的數(shù)據(jù)，向文件中追加數(shù)據(jù)，修改文件屬性，刪除文件夾和文件，執(zhí)行“讀取”權(quán)限所允許的操作完全控制修改文件權(quán)限，獲得文件的所有權(quán)執(zhí)行“修改”和“讀取”權(quán)限所允許的所有任務(wù)默認(rèn)情況下，Everyone組具有該權(quán)限任務(wù)5繼承與阻止NTFS權(quán)限使用權(quán)限的繼承性默認(rèn)情況下，授予父文件夾的任何權(quán)限也將應(yīng)用于包含在該文件夾中的子文件夾和文件。當(dāng)授予訪問(wèn)某個(gè)文件夾的NTFS權(quán)限時(shí)，就將授予該文件夾的NTFS權(quán)限授予了該文件夾中任何現(xiàn)有的文件和子文件夾，以及在該文件夾中創(chuàng)建的任何新文件和新的子文件夾。如果想讓文件夾或者文件具有不同于它們父文件夾的權(quán)限，必須阻止權(quán)限的繼承性。任務(wù)5繼承與阻止NTFS權(quán)限阻止權(quán)限的繼承性

阻止權(quán)限的繼承，也就是阻止子文件夾和文件從父文件夾繼承權(quán)限。(為了阻止權(quán)限的繼承，要?jiǎng)h除繼承來(lái)的權(quán)限，只保留被明確授予的權(quán)限。)被阻止從父文件夾繼承權(quán)限的子文件夾現(xiàn)在就成為新的父文件夾。包含在這一新的父文件夾中的子文件夾和文件將繼承授予它們父文件夾的權(quán)限。任務(wù)5繼承與阻止NTFS權(quán)限阻止權(quán)限的繼承性test2的高級(jí)安全設(shè)置任務(wù)6