項目2工作組模式下的用戶、組和文件管理任務目標（1）學會在Windows2003Server中創建用戶帳戶；（2）學會在Windows2003Server中創建組帳戶；（3）掌握在Windows2003Server中為用戶帳戶分配權限；（4）掌握在Windows2003Server中創建共享并使用共享。有一小型公司，組建了單位的局域網，采用了WindowsServer2003操作系統，現需要根據公司人員身份的不同創建不同的用戶帳戶，這些帳戶根據身份不同可使用的計算機不同，可訪問的文件及文件夾的權限不同。項目任務

2.2.1WindowsServer2003的工作模式

根據網絡中計算機的配置和訪問信息的方式，網絡可分為兩種類型，對等式網絡（peer-to-peer）和客戶/服務器型網絡(Client/Server)。2.2相關知識2.2.2用戶帳戶的管理用戶可利用自己的帳戶登錄到域，然后訪問網絡資源，或者利用這個帳戶登錄到某臺計算機，然后訪問該計算機內的資源1.帳戶的命名用戶通過帳戶名和密碼來標識。（1）命名約定帳戶名必須唯一：本地帳戶必須在本地計算機上唯一。帳戶名不能包含以下字符：*/\[]=,+<>”。帳戶名最長不能超過20個字符，由數字和字符組成，輸入時可超過20個字符，但只識別前20個字符。不能與用戶組的組名相同。（2）密碼原則①一定要給每一個用戶帳戶指定一個密碼，尤其是administrator帳戶，以防止它人隨便使用該帳戶。②請勿包含使用者賬戶名稱的全部或任何部分。③包含下列四種字符中的三種：英文大寫字符(A到Z)。英文小寫字符(a到z)。10進位數字(0到9)。非英文字母字符(例如!、$、#、%)、擴充型ASCII、符號或語音字符。④密碼最多可由128個字符組成，推薦最小長度為8個字符。2、用戶帳戶的類型WindowsServer2003所支持的用戶分為以下三種類型1）、域用戶帳戶存儲在AD數據庫內。用戶可以利用域用戶帳戶登錄域，并利用它訪問網絡上的資源，例如，訪問域中其他計算機內的文件、打印機等資源。該賬戶信息會被復制到同一個域內的其他所有域控制器內，因此，當用戶登錄時，該域內的所有域控制器都可以檢查用戶輸入的賬戶名稱和密碼是否正確。2）、本地用戶帳戶是創建在“本地安全帳戶數據庫”內，用戶可以利用本地用戶帳戶登錄該賬戶所在計算機，但是這個賬戶只能夠訪問這臺計算機內的資源，無法訪問網絡上的資源。本地賬戶信息不會被復制到其它計算機內，只存在于創建的計算機內。3）、內置的用戶賬戶當WindowsServer2003安裝完畢后，系統會自動創建一些內置的賬戶，其中比較常見的兩個為：

（1）、Administrator（系統管理員）,它擁有最高的權限，可以用它管理計算機內或域內的設置，例如創建/更改/刪除用戶與組賬戶、設置安全策略、用戶權限等。如果不想使用這個名稱，那么可以將其改名，但是無法刪除這個賬戶。（2）、Gust（客戶）是供用戶臨時使用的賬戶，這個賬戶只有少部分的權限。用戶可以更改該賬戶的名稱，但是無法將其刪除。該賬戶默認是不開放的。如果一臺計算機連接到自己計算機時，系統會自動利用該用戶在登錄自己計算機時所輸入的賬戶名稱與密碼進行連接，此時：、內置的用戶賬戶如果已經在自己的計算機內替該用戶創建相同名稱的用戶賬戶，則：如果密碼相同，則該用戶將自動利用該賬戶成功的建立連接，否則系統會提示重新輸入用戶名和密碼。如果沒有替該用戶創建用戶賬戶，則系統會自動讓該用戶利用Guest的身份連接。如果計算機內的Guest賬戶被停用，則系統會要求用戶重新輸入用戶名和密碼2.2.3組帳戶WindowsServer2003獨立服務器上的組又稱為本地組。WindowsServer2003內置本地組主要包括Administrators、Backupoperators、Guests、Powerusers、Printoperators、Remotedesktopusers、Users等。打開“計算機管理”控制臺，在“本地用戶和組”樹中的“組”目錄里，可以查看本地內置的所有組帳戶。內置的組系統內置了一些本地組，這些組已經被賦一些權限，以便讓其具備管理本地計算機的能力。只要將本地帳戶加入到這些本地組內，這些用戶帳戶也將具備有相同的權限。常用的本地組有：一、內置的本地組Administrator：屬于該組的用戶，都具備系統管理員的權限，它們擁有對這臺計算機最大的控制權，可以執行整臺計算機的管理任務。內置的系統管理員帳戶就是該組的成員，而且無法將它從該組內刪除。BackupOperators組可以通過系統工具/備份的途徑，備份與還原計算機內的文件與文件夾。Guests組：提供沒有用戶帳戶，但是需要訪問本地計算機內資源的用戶使用。還有很多組，可以查閱計算機管理中的“用戶和組”列表WindowsServer2003支持的文件系統

文件和文件夾是計算機組織數據的集合單位，運行WindowsServer2003的計算機的磁盤分區可以使用三種類型的文件系統:FAT,FAT32和NTFS文件系統。下面對這三種系統作一個比較。FAT文件系統FAT（FileAllocationTable）指的是文件分配表，包括FAT和FAT32兩種。FAT是一種適合小卷集、對系統安全性要求不高、需要雙重引導的用戶應選擇使用的文件系統。全名硬盤是否支持雙重系統是否支持加密FATFileAllocationTable2GB是否

FAT322TB是否NTFSNewTechnologyFileSystem2TB否是1．FAT文件系統簡介

FAT16是用戶早期使用的DOS、Windows95使用的文件系統，現在常用的Windows98/2000/XP等系統均支持FAT16文件系統。它最大可以管理2GB的磁盤分區。

FAT32是FAT16的增強版，隨著大容量硬盤的出現，從Windows98開始流行，它可以支持大到2TB（2048G）的磁盤分區。

2.2.4NTFS文件系統及NTFS權限1.NTFS文件系統NTFS（NewTechnologyFileSystem）文件系統是一個基于安全性的文件系統，它是建立在保護文件和目錄數據基礎上，同時照顧節省存儲資源、減少磁盤占用量的一種先進的文件系統。WindowsServer2003采用的NTFS文件系統是NTFS5.0。2．NTFS文件系統的優點（1）更為安全的文件保障，提供文件加密，能夠大大提高信息的安全性。（2）更好的磁盤壓縮功能；（3）支持最大達2TB的大硬盤;（4）可以賦予單個文件和文件夾權限；（5）NTFS文件系統中設計的恢復能力無需用戶在NTFS卷中運行磁盤修復程序；（6）NTFS文件夾的B-Tree結構使得用戶在訪問較大文件夾中的文件時，速度甚至較訪問卷中較小文件夾中的文件還快；（7）可以在NTFS卷中壓縮單個文件和文件夾；（8）支持活動目錄和域；（9）支持稀疏文件；（10）支持磁盤配額。3．NTFS的安全特性（1）許可權（2）審計（3）擁有權（4）可靠的文件清除（5）上次訪問時間標記（6）自動緩寫功能（7）熱修復功能（8）磁盤鏡像功能（9）有校驗的磁盤條帶化（10）文件加密FAT32和NTFS磁盤中文件的屬性對話框管理文件與文件夾的訪問許可權

WindowsServer2003以用戶和組賬戶為基礎來實現文件系統的許可權。每個文件、文件夾都有一個稱作訪問控制清單（accesscontrollist）的許可清單，該清單列舉出哪些用戶或組對該資源有哪種類型的訪問權限。訪問控制清單中的各項稱為訪問控制項。文件訪問許可權只能用于NTFS卷。（1）文件夾的NTFS權限選擇一個文件夾，右擊選擇“屬性”命令，再選擇“安全”選項卡，如圖2.3所示完全控制：用戶可以修改、增加、移動或者刪除文件、及其屬性和目錄。用戶能夠修改所有文件和子目錄的權限設置。修改：用戶可以查看并修改文件或者文件屬性，包括在目錄下增加或刪除文件，以及修改文件屬性。讀取和執行：用戶可以運行可執行文件，包括腳本。列出文件夾目錄：可以瀏覽文件夾與其子文件夾的目錄內容，但不具有在該文件夾內建立子文件夾的權利。讀取：用戶可以查看文件和文件屬性。圖2.4特殊權限選擇寫入：用戶可以對一個文件進行寫操作。（2）文件的NTFS權限應用在文件上的NTFS權限，用來控制用戶對文件的訪問。下面列出了文件所具有的NTFS權限類型。讀取：允許查看文件內容、所有者、屬性和權限。寫入：改寫文件、更改文件屬性及查看所有權和權限。讀取和運行：具有“讀取”權限，并可以運行應用程序。修改：包括“寫入”以及“讀取和運行”權限，允許修改、刪除文件。完全控制：運行全部的權限，可以獲得文件的所有權。3.NTFS權限的設置NTFS權限設置就是指定特定用戶和組對某個文件或文件夾的訪問權限。只有文件或文件夾的所有者、系統管理員或者完全控制權限的用戶才可以設置文件或文件夾的NTFS權限。4.對象的所有權Windows中任何一個對象都有所有者，所有者與其他權限是徹底分開的。默認情況下，創建文件和文件夾的用戶是該文件和文件夾的所有者，擁有對象的所有權。除了用戶自行新建的對象外，WindowsServer2003中其他對象的所有者都是本地Administrator組的成員。Administrator組的成員可以取得系統中任意對象的所有權，這是操作系統為了管理的需要，而給予管理員組成員的特權。5.NTFS權限的規則（1）NTFS權限的繼承規則（2）文件權限優先于文件夾權限規則（3）拒絕權限優先于允許權限規則（4）NTFS權限的應用規則①同級權限的組合②不同級權限的組合（5）移動和復制操作對權限操作的影響①在同一個分區內移動文件或文件夾時，此文件和文件夾會保留在原位置的一切NTFS權限；在不同的NTFS分區之間移動文件或文件夾時，文件或文件夾會繼承目的分區中文件夾的權限。②在同一個分區內復制文件或文件夾時，文件和文件夾會繼承目的位置中的文件夾的NTFS權限；在不同的NTFS分區之間復制文件或文件夾時，文件或文件夾將繼承目的位置中文件夾的權限。③當從NTFS分區向FAT分區中復制或移動文件和文件夾都將導致文件和文件夾的權限丟失。2.2.5WindowsServer2003資源共享1.共享權限2.共享文件夾的訪問權限(1)復制和移動對共享權限的影響(2)共享權限和NTFS權限2.3方案設計2.3.1設計

為了完成項目任務，設計一小型網絡，擁有3臺計算機，這3臺計算機組成一個基于工作組的小型網絡，現在需要對這些計算機進行配置，一滿足下列要求：1.公司內有5位員工，需要使用這些計算機，每位用戶的部門，用戶帳戶初始密碼等信息建表2-2所示。部門用戶帳戶名稱用戶全名描述初始密碼銷售部Xiaosbjl張三銷售部經理Xiaosbjl銷售部Xiaosbyg1李四銷售部員工Xiaosbyg1財務部Caiwbj王五財務部經理Caiwbjl財務部Caiwbyg1馬六財務部員工Caiwbyg1銷售部Xiaosbygl1趙七銷售部員工（臨時）Xiaosbygl12.3.1設計2.銷售部有一臺計算機，由銷售部的3位員工共用，財務部有兩臺計算機，由財務部的兩位員工各自使用。每臺計算機都有本部門的共享目錄，設置合適的目錄訪問權限，見表2-3所示。計算機使用人文件夾名共享目錄名文件夾權限共享權限銷售部1銷售部全體員工xiaoswdxswd全體員工擁有讀寫權限Xiaosht銷售部經理擁有讀寫權限，其他員工不可訪問不共享財務部1王五Cwwd1Cwwd1財務部員工擁有讀權限財務部2馬六Cwwd2Cwwd2財務部員工擁有讀寫權限銷售部員工擁有讀權限Cwwd3Cwwd3部門經理擁有完全權限全體員工擁有讀權限但臨時工沒有任何權限項目方案設計銷售部財務部1財務部2張三李四趙七王五馬六2.3.2材料清單

為了搭建圖2.5