中小网络管理维护一点通

东方人华 编著

清 华 大 学 出 版 社

(京)新登字 158 号

内 容 简 介

本书介绍了中小型企业网络建设与维护的内容。书中以 Windows 2000 的 Active Directory 服务为主线，

配合实际的操作方法，由浅入深地介绍了 Windows 2000 的功能与特性，使一个不懂网络管理的初学者通

过学习本书能成为一个网络管理的能手。本书主要内容包括 Windows 2000 的 Active Directory，对象的建

立与管理，组策略的设置，三种服务 DHCP、WINS 和 DNS 的创建与管理，文件服务的管理，磁盘管理

以及进行自动安装和远程安装的方法等。并用大量的实例向读者介绍网络管理的具体方法。

本书注重应用，引用了许多网络管理人员的实际经验，内容充实，讲解浅显易懂。适合于初学网络管

理的人员使用，对于已经成为网络管理的人员来说也有参考的价值。另外，本书对于大专院校相关专业的

学生了解网络，建立感性认识也是大有裨益的。

版权所有，翻印必究。

本书封面贴有清华大学出版社激光防伪标签，无标签者不得销售。

书 名： 中小网络管理维护一点通

作 者： 东方人华

责任编辑： 冯 涛 彭 欣

出 版 者： 清华大学出版社(北京清华大学学研大厦，邮编 100084)

http://www.tup.tsinghua.edu.cn

印 刷 者：

发 行 者： 新华书店总店北京发行所

开 本： 787×960 1/16 印张：18.75 字数：462 千字

版 次： 2002 年 9 月第 1 版 2002 年 9 月第 1 次印刷

书 号： ISBN 7-302-05835-01TP·3454

印 数： 0001~

定 价： 元

前 言

2000 年微 软公司 发布了 新一代 操作 系统 Windows 2000 。Windows 2000 分 为

Professional、Server、 Advance Server、Datacenter 四个不同的产品，它集 Windows NT 的

技术和 Windows 9X 的优点于一身，新增加了功能强大的 Active Directory(活动目录)服务，

使其强大的管理功能和稳定性达到了一个新的高度。

随着大多数公司企业的计算机都采用了以 Windows 2000 为主的操作系统。怎样充分发

挥其强大的管理功能和稳定性，提高企业的生产效率，增强企业的网络管理，已成为当前

一个迫在眉睫的工作任务。

我们根据中小企业网络管理的实际环境，将 Windows 2000 的网络管理知识和企业网络

管理的宝贵实际操作经验结合在一起，力求将知识和最实用的内容奉献给广大的读者。本

书既可以作为企业网络管理人员的实用操作参考书，又可以作为广大网络管理初学者的首

选自学书。

本书具备极高的实用性和指导性，内容涵盖了 Windows 2000 网络管理的各方面知识，

共分为 16 章：

第 1 章介绍了 Active Directory 结构、功能安装、以及建立的方法，重点介绍了 Windows

2000 域的建立，此外对 Active Directory 的安装、删除以及子域的建立也进行了详细地介绍，

使读者对 Active Directory 有一个比较全面的了解。

第 2 章介绍了用户和组账号的建立与管理，重点介绍了对用户账号及组账号的分类、

各类账号的功能及使用范围，从而能在建立用户账号及组账号时，根据不同用户的实际情

况为其建立所需的账号类型。最后还介绍了用户账号、组账号以及其他域中对象的创建及

管理方法。

第 3 章介绍了组策略在网络中的应用，重点介绍了组策略的应用对象，设置组策略的

继承权限，创建新的组策略并且进行管理，以及管理特殊的文件夹，组策略安全设置及管

理模板等。

第 4 章、第 5 章和第 6 章介绍了网络上重要的三种服务 DHCP、DNS、WINS，重点介

绍了如何创建和管理这三种服务的内容。

第 7 章介绍了文件的管理在网络中的应用，重点介绍了文件结构类型，文件的共享管

理、权限管理和安全管理，并结合实际介绍了对敏感文件进行监视，分布式文件系统在企

业网络当中的应用。

第 8 章介绍了对网络打印机的管理，重点介绍了服务器和客户端打印机的安装，还有

打印优先级的设置，对于如何管理好打印文档也做了详细介绍。

第 9 章介绍了路由与远程访问的内容，重点介绍了用户怎样配置 Windows 2000 Server，

使其实现路由器的功能，以及关于 IP 路由和网络地址转换的一些基本知识。

第 10 章介绍了在 Windows 2000 Server 下如何对磁盘进行管理的内容，重点介绍了对

中小网络管理维护一点通 II

磁盘基本卷和动态卷的创建和管理。最后还讲解了对磁盘空间配额的使用。

第 11 章介绍了对服务器中重要数据的备份与恢复，重点介绍了备份的分类与规划，以

及怎样创建备份、还原备份和对于灾难的防备与恢复措施。

第 12 章介绍了事件查看器的使用与管理，重点介绍了事件日志的种类，怎样查看详细

的事件及对事件日志的一些管理方法。

第 13 章介绍了终端服务的使用，重点介绍了如何安装终端服务，对终端服务客户端和

服务器端的使用。对于终端服务的配置也做了详细介绍。

第 14 章介绍了 Windows 2000 Server 自动安装功能，重点讲解了使用向导进行自动安

装的过程，以及怎样生成应答文件。

第 15 章介绍了远程安装的方法，重点介绍了利用 RIS 服务器进行远程安装，怎样从客

户端设置远程启动来安装 Windows 2000 Professional。

第 16 章介绍了软件安装和维护的内容，重点介绍了软件安装的具体方法和打包应用软

件的过程，以使用户的常用软件可以方便地进行安装。用户只要在域中的任何一台计算机

上登录，系统都会根据该用户的身份自动下载其所需的软件。

本书注重实践应用，图文并茂，讲解清晰，操作性强。以活动目录为主线，引导读者

一步步地学会怎样成为一名网络系统管理员，并且使初学者建立感性认识，进一步加深对

于理论的理解是有很大的帮助。因此本书不但适合于一般中小型企业网络管理的需要，对

于其他的网络管理员、网络工程师及大专院校的师生也有很大的参考价值。

本书的编写得到了许多有经验的网络管理员及网络工程师的大力支持，由于时间仓促，

错误和不妥之处在所难免，希望广大读者给予批评指正。

编者

2002 年 8 月

目 录

第 1 章 Active Directory 服务................ 1

1.1 Active Directory..................................... 1

1.1.1 Active Directory 简介 ............... 1

1.1.2 Active Directory 功能简介 ....... 4

1.2 创建域 ................................................... 4

1.2.1 安装 Active Directory ............... 5

1.2.2 把 Windows 2000 Professional

客户机加入到域中 ................. 11

1.2.3 把 Windows 98 客户机

加入到域中 ............................. 13

1.2.4 删除 Active Directory ............. 14

1.3 建立额外域控制器及子域控制器 ...... 15

1.3.1 在域中加入新的域控制器 ..... 16

1.3.2 建立子域 ................................. 17

第 2 章 创建和管理用户及用户组 .......... 18

2.1 在域中创建用户和用户组.................. 18

2.1.1 创建域用户账户 ..................... 18

2.1.2 创建组账号 ............................. 20

2.1.3 向组织单位中添加用户 ......... 21

2.2 用户的分类.......................................... 22

2.2.1 用户账户 ................................. 22

2.2.2 组账户 ..................................... 23

2.3 管理域中的用户.................................. 26

2.3.1 设置账户属性 ......................... 26

2.3.2 对用户账号的常用操作 ......... 29

2.3.3 管理组账号 ............................. 30

2.3.4 管理组织单位 ......................... 33

2.3.5 委派控制 ................................. 34

第 3 章 组策略 ............................................... 36

3.1 设置组策略.......................................... 36

3.1.1 设置 Windows 组件 ................ 36

3.1.2 设置任务栏和【开始】

菜单 ......................................... 39

3.1.3 设置桌面 ................................. 40

3.1.4 设置控制面板 ......................... 41

3.1.5 建立新的组策略 ..................... 42

3.2 管理组策略.......................................... 43

3.2.1 设置组策略的继承与禁止...... 43

3.2.2 添加组策略的链接 ................. 44

3.2.3 删除组策略 ............................. 45

3.2.4 设置策略权限 ......................... 45

3.3 重定向文件夹...................................... 46

3.4 设置组策略的安全 .............................. 48

3.5 组策略的应用机制和继承关系 .......... 50

3.5.1 组策略的应用机制 ................. 50

3.5.2 组策略的继承与阻止.............. 52

第 4 章 使用 DHCP 动态分配 IP 地址 ...... 54

4.1 安装 DHCP 服务器 ............................. 55

4.1.1 安装 DHCP 组件..................... 55

4.1.2 添加 DHCP 服务器................. 56

4.1.3 授权 DHCP 服务器................. 58

4.2 DHCP 作用域的创建 .......................... 58

4.2.1 建立普通 IP 作用域 ................ 59

4.2.2 建立超级作用域 ..................... 63

4.2.3 作用域的停用/激活/删除 ....... 64

4.3 管理 DHCP 作用域 ............................. 65

4.3.1 添加新的地址池排除范围...... 65

4.3.2 IP 地址的保留......................... 66

4.3.3 设置作用域选项 ..................... 67

4.4 配置 DHCP 客户端 ............................. 68

4.4.1 设置 DHCP 客户端................. 68

4.4.2 使用 Ipconfig 查看当前

TCP/IP 配置信息 .................... 69

中小网络管理维护一点通 IV

第 5 章 DNS 服务............................................ 72

5.1 DNS 服务的作用................................. 72

5.1.1 每个主机都有一个全球

惟一的 DNS 域名 ................... 72

5.1.2 DNS 完成域名和 IP 地址

的转换 ..................................... 73

5.2 设置 DNS 服务器................................ 74

5.2.1 安装 DNS 服务组件 ............... 74

5.2.2 新建一个 DNS 区域 ............... 76

5.2.3 使用 DHCP 服务自动填入

映射数据 ................................. 79

5.2.4 手动添加主机名称和 IP

地址映射数据 ......................... 80

5.2.5 新建一个主机别名 ................. 81

5.2.6 建立一个反向搜索区域 ......... 83

5.3 DNS 客户机的设置............................. 84

5.4 DNS 如何解析 Internet 上的地址....... 85

第 6 章 WINS 服务器的安装及管理 ......... 88

6.1 WINS 的运行机制 .............................. 88

6.2 安装 WINS 服务器 ............................. 89

6.3 让客户端使用 WINS 服务.................. 91

6.4 管理 WINS 数据库 ............................. 93

6.4.1 复制 WINS 数据库 ................. 93

6.4.2 备份 WINS 数据库 ................. 95

6.4.3 恢复 WINS 数据库 ................. 96

第 7 章 文件服务的管理............................. 97

7.1 认识文件结构...................................... 97

7.1.1 FAT 文件和 NTFS

文件结构 ................................. 97

7.1.2 FAT 向 NTFS 文件结构

的转换 ..................................... 98

7.2 管理共享文件.................................... 100

7.2.1 建立共享文件夹 ................... 100

7.2.2 建立 MAC 共享文件夹 ........ 103

7.2.3 查看共享文件夹 ................... 106

7.2.4 取消对文件夹的共享 ........... 108

7.3 文件权限的管理................................ 109

7.3.1 文件和文件夹的权限............ 109

7.3.2 设置文件和文件夹的权限.... 110

7.4 对文件安全的管理 ............................ 112

7.4.1 文件的加密 ........................... 112

7.4.2 文件的解密 ........................... 115

7.4.3 文件的压缩 ........................... 116

7.5 监视敏感文件.................................... 116

7.5.1 设置文件的审核策略............ 116

7.5.2 设置对文件的审核 ............... 118

7.6 分布式文件系统................................ 120

7.6.1 创建 Dfs 根目录.................... 120

7.6.2 创建 Dfs 链接........................ 123

7.6.3 创建 Dfs 链接副本................ 124

7.6.4 维护 Dfs ................................ 126

第 8 章 网络打印的管理 ........................... 128

8.1 安装打印服务器................................ 128

8.2 在用户端安装打印机 ........................ 133

8.2.1 在服务器上为用户端

安装打印驱动程序 ............... 133

8.2.2 在 Windows 98/NT 用户

端安装打印机 ....................... 134

8.2.3 在 Windows 2000 用户端

安装打印机 ........................... 137

8.3 分配用户使用打印机的权限 ............ 139

8.4 安排用户使用打印机的优先级 �和时间................................................ 142

8.4.1 为一台打印机安装

多个驱动程序 ....................... 142

8.4.2 设置优先级和使用时间........ 144

8.5 管理打印文档.................................... 145

8.5.1 打印文档的简单操作............ 146

8.5.2 将打印文档转移到其他

打印机上 ............................... 147

8.6 安装网络打印机................................ 148

8.6.1 在 Windows 98 上安装

网络打印机 ........................... 148

8.6.2 在 Windows 2000 上安装

网络打印机 ........................... 153

目录 V

第 9 章 磁盘管理......................................... 156

9.1 磁盘管理简介.................................... 156

9.1.1 基本磁盘和动态磁盘基础 ... 156

9.1.2 磁盘管理界面介绍 ............... 157

9.2 创建基本磁盘.................................... 158

9.2.1 创建主要磁盘分区 ............... 159

9.2.2 创建扩展磁盘分区 ............... 162

9.2.3 创建逻辑磁盘分区 ............... 163

9.3 管理基本磁盘.................................... 165

9.3.1 更改驱动器路径 ................... 165

9.3.2 删除基本磁盘分区和

逻辑驱动器 ........................... 166

9.4 创建动态磁盘.................................... 167

9.4.1 升级到动态磁盘 ................... 167

9.4.2 创建简单卷 ........................... 168

9.4.3 创建跨区卷 ........................... 169

9.4.4 创建带区卷和镜像卷 ........... 170

9.5 管理动态磁盘.................................... 171

9.6 磁盘整理工具的使用........................ 171

9.7 磁盘配额 ........................................... 173

第 10 章 将企业网连接到 Internet..... 176

10.1 路由和网络地址转换...................... 176

10.2 把 Windows 2000 Server 配置

为路由器 .......................................... 177

10.2.1 安装硬件 ............................. 178

10.2.2 IP 地址的设置..................... 178

10.2.3 配置并启用路由功能 ......... 180

10.2.4 安装和配置网络

地址转换 ............................. 181

10.3 架构虚拟专用网络.......................... 184

10.3.1 什么是虚拟专用网络 ......... 184

10.3.2 安装虚拟专用网络

服务器 ................................. 185

10.3.3 如何让一台电脑连接到

虚拟专用网络 ..................... 188

10.3.4 让虚拟专用网络中的

计算机可以浏览网页 ......... 191

10.3.5 让两个局域网建立 VPN 连接，

设置 VPN 请求

拨号接口 ............................. 193

第 11 章 重要数据的备份与恢复........... 197

11.1 备份的分类与规划 .......................... 197

11.2 备份数据.......................................... 200

11.3 备份向导的高级设置 ...................... 203

11.4 还原备份.......................................... 208

11.5 灾难的防备与恢复 .......................... 211

11.5.1 创建紧急修复磁盘 ............. 211

11.5.2 创建安装启动盘 ................. 212

11.5.3 以安全模式启动系统.......... 212

11.5.4 使用紧急修复磁盘

恢复系统 ............................. 213

11.5.5 使用“恢复控制台”

修复系统 ............................. 214

第 12 章 使用事件查看器......................... 216

12.1 认识事件查看器 .............................. 216

12.2 查看事件日志.................................. 217

12.2.1 查看事件的详细信息.......... 217

12.2.2 查看特定类型的事件.......... 218

12.2.3 查看远程计算机事件

日志 ..................................... 220

12.3 管理事件日志.................................. 221

12.3.1 新建和删除事件日志.......... 221

12.3.2 设置属性 ............................. 222

12.3.3 保存日志文件 ..................... 223

12.3.4 筛选事件日志记录 ............. 225

第 13 章 使用终端服务 ............................. 226

13.1 安装终端服务.................................. 226

13.1.1 什么是终端服务 ................. 226

13.1.2 安装终端服务组件 ............. 227

13.1.3 制作客户端 Terminal Server

的安装盘 ............................. 229

13.1.4 安装客户端软件 ................. 229

13.2 与终端服务器建立连接 .................. 232

中小网络管理维护一点通 VI

13.2.1 使用终端服务客户端建立

与服务器的连接 ................. 232

13.2.2 使用客户连接管理器建立

与服务器的连接 ................. 233

13.3 使用终端服务管理器...................... 236

13.4 使用终端服务配置.......................... 238

第 14 章 自动安装 Windows 2000 ......... 241

14.1 利用向导生成应答文件和

分发文件夹 ...................................... 241

14.1.1 找出向导文件 ..................... 241

14.1.2 运行向导文件 ..................... 243

14.1.3 检查生成的应答文件和

分发文件夹 ......................... 250

14.2 手动创建应答文件和分

发文件夹 ......................................... 251

14.2.1 手动创建应答文件 ............. 251

14.2.2 手动创建分发文件夹 ......... 253

14.3 执行自动安装.................................. 254

第 15 章 远程安装 ...................................... 255

15.1 远程安装综述.................................. 255

15.2 安装与配置 RIS .............................. 256

15.2.1 安装 RIS 服务器 ................. 256

15.2.2 检查 RIS 服务器 ................. 260

15.3 远程安装前的准备工作.................. 262

15.3.1 授权 RIS 服务器 ................. 262

15.3.2 设置用户委派控制 ............. 263

15.3.3 设置服务器的属性 ............. 264

15.3.4 添加客户端的安装映像...... 264

15.3.5 客户端安装选项设置.......... 266

15.4 执行远程安装.................................. 268

15.4.1 基于 PXE 引导的

远程安装 ............................. 268

15.4.2 使用 RIS 引导盘的

远程安装 ............................. 271

第 16 章 软件的安装与维护 .................... 273

16.1 认识软件安装.................................. 273

16.1.1 软件安装简介 ..................... 273

16.1.2 软件安装的条件 ................. 274

16.2 软件安装的准备工作 ...................... 274

16.2.1 建立软件分发点 ................. 275

16.2.2 建立软件部署所需的

组策略 ................................. 277

16.3 发行软件.......................................... 278

16.3.1 软件发行的建立 ................. 278

16.3.2 检验发行效果 ..................... 280

16.4 指派软件.......................................... 280

16.4.1 指派软件的分类 ................. 281

16.4.2 指派软件的建立 ................. 281

16.5 安装不是基于 Windows Installer

的应用程序...................................... 283

16.6 软件的修复与删除 .......................... 284

第 1 章 Active Directory 服务

本章概述：

网络的发展给人们的日常工作与学习带来了很多方便，企业通过组建局域网，实现了

企业内部数据与资源的共享。企业通过局域网与互联网的结合，获得更多的信息和资源。

随着网络规模的逐渐扩大，如何管理网络中庞大的资源也就成为急需解决的问题，因此

Active Directory 服务也就应运而生，它为集中管理分散在网络中的资源提供了方便。本章

首先对 Active Directory 的结构和功能进行简要的介绍，然后以建立 Windows 2000 域为主

线，对 Active Directory 的安装、删除以及子域的建立进行详细的阐述，使读者对 Active

Directory 有一个比较全面的了解。

学习目标：

�� Active Directory 的逻辑结构

�� 子网与站点

�� 域的建立

�� 额外域控制器的建立

1.1 Active Directory

随着网络资源的日益庞大，Active Directory 服务在 Windows 2000 中的地位也日益重

要。Windows 2000 中的许多重要功能都与 Active Directory 有关。本节将就 Active Directory

的定义、功能、结构及安装进行介绍。

1.1.1 Active Directory 简介

现实生活中经常用到各式各样的目录，例如电话簿。电话簿记载了某个地区中所有电

话用户的名字、地址和电话号码，它将这些信息集中起来，方便用户查询。

如果将电话簿视为目录，则查号台可视为一种目录服务。用户首先联系上查号台的服

务人员，然后告知要查询的用户姓名，服务人员利用此项信息在电话簿中查询，最后将查

询所得结果报告用户，完成服务过程。Active Directory 就是起到查号台的作用，它是存储

关于网络上对象的信息，并使这些信息可用于用户和网络管理员的目录服务。

使用 Active Directory 服务，则所有的对象信息都集中存放在同一目录中。应用程序需

要某种对象信息(例如，账户信息)时，只要通过 Active Directory 服务来访问即可。管理员

只需管理单个目录，不必再管理每个应用程序的对象信息，这样便简化了管理工作。如果

中小网络管理维护一点通 2

通过 Active Directory 服务来查询某个对象，用户可利用目录中该对象的相关信息来查询，

这样会使查询更具有弹性。

Active Directory 同时为网络组件提供逻辑结构和物理结构。其中 Active Directory 的

逻辑结构包括：

�� 组织单位：组织单位用来将域中的对象组织成逻辑管理组，通常是用来反映公司

业务结构或功能结构的域的子组。组织单位中的对象包括用户账号、计算机及打

印等，有关组织单位的详细介绍参见第 3 章。

�� 域：域是共享一个公用目录数据库的一组计算机，是 Active Directory 中逻辑结构

的核心。域与工作组都由一些计算机组成它们之间的区别在于：首先是创建方式

不同，工作组可以由任何一个计算机的所有者来创建，而域只能由服务器来创建；

其次是安全机制不同，在域中有可以登录该域的账号，这些账号由域管理员建立，

而在工作组中不存在组账号，只有本机上的账号和密码。用户要登录到域时，凭

借管理员分配给他的用户账号便可登录到域，并在规定的权限内使用域中的资源。

因此管理员只要在域控制器上对用户账号及其权限进行设置就可完成对用户的管

理。

�� 域目录树：域目录树是共享同一连续命名空间的一个或多个域。所谓名称空间指

可以解析名称的任何有界区域。域目录树中的第一个域称为根域，域下面的域是

子域。紧接在域上面的域是子域的父域。在同一域目录树中，子域的域名由子域

的 域 名 附 加 到 父 域 的 域 名 上 构 成 。 在 如 图 1.1 所 示 的 域 目 录 树 中 ，

Grade1.School.com.cn 是 School.com.cn 的子域，并且是 Class2.Grade.School.com.cn

的父域。而 School.com.cn 既是 Grade1.School.com.cn 与 Grade2.School.com.cn 的

父域也是此域目录树的根域。

图1.1 域目录树示意图

School.com.cn

Class2.Grade.School.com.cn

Grade1.School.com.cn

Grade2.School.com.cn

第 1 章 Active Directory 服务 3

�� 域目录林：域目录林指共享同一目录信息的一个或多个目录树。域目录林中的每

个域拥有不同的命名结构，但域目录林中的所有域共享一个公用的全局目录，结

构如图 1.2 所示。

图1.2 域目录林示意图

Active Directory 的物理结构包括：

�� 子网：子网可以看作一组网络地址，是具有特定 IP 地址范围和网络掩码的网络组。

�� 站点：站点包含一个或多个子网，常用来配置目录访问和复制。站点可用来映射

网络的物理结构。站点映射与逻辑结构相互独立，因此可以说网络结构中的物理

结构与它的逻辑结构之间没有必要的联系。在一个域中可以创建多个站点，也可

以创建一个站点服务于多个域，如图 1.3 与 1.4 所示。

图1.3 一个站点中包括多个域

Grade2.Schoo2.com.cn Grade1.Schoo2.com.cn Grade2.School.com.cn Grade1.School.com.cn

Class2.Grade.School.com.cn Class2.Grade.Schoo2.com.cn

Schoo2.com.cn School.com.cn

Study.com.cn

Work.com.cn

：站点

：域

中小网络管理维护一点通 4

图1.4 一个域中包含多个站点

1.1.2 Active Directory 功能简介

Active Directory 是以 LDAP(Lightweight Directory Access Protocol，轻量级目录访问协

议)为主要协议，并配合一套完整的应用程序编程(Application Programming Interface API)形

成的。它为企业提供了一个统一的管理多重命名空间。包括域中所有的资源：文件数据、

外部设备、主机关系、数据库、用户、服务以及网络资源等。Active Directory 采用了 Internet

标准的技术，具有高度的可扩展性。除了为 Windows 的应用程序提供范围广泛的 Active

Directory 之外，Active Directory 也被设计为隔离、转移、集中化管理以及减少公司目录数

量的组合。

Active Directory 服务提供了所有客户端所需要的层次式视图与可扩展性、可伸缩性和

分布式安全性。Active Directory 服务可以让管理员、开发人员和最终用户访问与 Internet

和内部网环境完美集成的 Active Directory。Active Directory 服务是分布式系统的重要部分，

它允许管理员和最终用户将这种 Active Directory 作为信息的来源和管理服务。

Active Directory 是提高计算机系统性能的一个很重要的组件。其功能如下：

�� 强化安全性让用户执行系统管理员定义的安全设置以杜绝非法入侵，保护信息。

�� 将目录分散到网络上的多个计算机。

�� 复制目录数据，以便为更多的用户提供服务并可防止数据丢失。

�� 将目录分区，使网络资源储存在多个不同的计算机上，这使得整体目录有更大的

储存空间。

1.2 创 建 域

Windows 2000 Server 为其他系统提供服务，可以作为域控制器，也可以作为成员服务

器。域控制器与成员服务器的区别在于在域控制器上要运行 Active Directory，而在成员服

北京站点

上海站点

：组织单位

：站点

：域

第 1 章 Active Directory 服务 5

务器上不运行 Active Directory。在成员服务器上安装 Active Directory 就可以将它升级为域

控制器，从域控制器卸载 Active Directory 就可以将它降级为成员服务器。在一个域中至少

要有一台域控制器，因此创建新域也就是创建域中的第一台域控制器。本节就介绍如何创

建域中的第一台域控制器。

1.2.1 安装 Active Directory

前面已经介绍当计算机完成 Windwos 2000 Server 的安装后，该计算机便成为域中的一

台成员服务器。要将该计算机提升为域控制器，安装 Active Directory 即可。安装 Active

Directory 的具体操作步骤如下：

(1) 单击【开始】|【程序】|【管理工具】|【配置服务器】命令，出现【Windwos 2000

配置您的服务器】窗口，单击左边窗口的 Active Directory 选项，弹出如图 1.5 所

示的窗口。

图1.5 Active Directory窗口

提示： 从图 1.5 所示的窗口中，可以看出如果想让成员服务器变成域控制器，就必

须安装 Active Directory，且其所要安装的硬盘分区必须格式化为 NTFS 才行，

因此如果安装 Windows 2000 Server 的分区不是 NTFS 格式，首先将其转化为

NTFS 格式。使用 Convert 命令可以将 FAT 格式转换成 NTFS 分区并保存原

有的数据,Convert 命令的语法为：

Convert drive:/ fs:ntfs(其中 drive 是要被转换为 NTFS 的驱动器盘符。)

注意： 从 FAT 到 NTFS 的转换是一个单向的过程，一旦分区转换成 NTFS 格式，就

不能再转换成 FAT 格式。另外在 Windows NT 以前的操作系统下，用户将不

能看到 NTFS 格式的磁盘。

(2) 单击图 1.5 中的【启动 Active Directory 向导】，然后单击【下一步】按钮，弹出

如图 1.6 所示的对话框。

中小网络管理维护一点通 6

图1.6 域控制器类型

(3) 选中【新域的域控制器】单选按钮，单击【下一步】按钮，打开如图 1.7 所示的

对话框。

图1.7 创建目录树或子域

(4) 选中【创建一个新的域目录树】单选按钮，然后单击【下一步】按钮，出现如图

1.8 所示的对话框。

(5) 选择【创建新的域目录林】单选按钮，然后单击【下一步】按钮，打开如图 1.9

所示的对话框。

(6) 在【新域的 DNS 全名】文本框中，输入新域的 DNS 名称，即新建域的名称(本例

中为 Server.com.cn)，单击【下一步】按钮。出现指定 NetBIOS 域名的对话框，如

图 1.10 所示。

第 1 章 Active Directory 服务 7

图1.8 创建或加入目录林

图1.9 指定新域名

图1.10 指定NetBIOS

中小网络管理维护一点通 8

(7) 为了与旧版的 Windows 兼容，系统会要求用户提供在 NetBIOS 上使用的名称，默

认为 DNS 完整名称的前面部分。在这一步中可以指定新的域 NetBIOS 名，也可

以使用默认的 NetBIOS 名(本例使用默认的 NetBIOS 名)。单击【下一步】按钮，

弹出用来指定 Active Directory数据库位置及其日志位置的对话框，如图 1.11 所示。

图1.11 指定Active Directory数据库及其日志的位置

(8) 该对话框显示的是 Active Directory 数据库及日志文件的默认位置。可以将这个默

认位置作为存放 Active Directory 数据库及其日志文件的位置，当然也可以更改这

一位置。要更改其默认位置单击【浏览】按钮。由于数据库与日志文件存放了新

域的目录，为了达到最佳化的目的，建议将该文件放在独立的硬盘上。完成后单

击【下一步】按钮，弹出用于指定系统共享卷位置的对话框，如图 1.12 所示。

图1.12 指定系统共享卷位置

(9) 此对话框给出了系统默认的共享卷的位置，如果要更改共享卷的默认位置，单击

【浏览】按钮，为共享卷选择一个位置，完成后单击【下一步】按钮。

第 1 章 Active Directory 服务 9

(10) 如果服务器上的 DNS 服务没有启动和配置，则会由于在本服务器上找不到 DNS

服务器，而出现警告信息对话框。单击其中的【确定】按钮，系统弹出是否要配

置 DNS 服务器的对话框，如图 1.13 所示。

图1.13 指定是否要配置DNS服务器

(11) 选中【是，在这台计算机上安装和配置 DNS】单选按钮，然后单击【下一步】按

钮，弹出选择使用权限的对话框。

(12) 用户可以根据自己的实际需要进行选择。在此选中【只与 Windows 2000 服务器

相兼容的权限】单选按钮，单击【下一步】按钮，弹出指定系统管理员密码的对

话框，如图 1.14 所示。

图1.14 指定系统管理员密码

(13) 在此对话框中需要输入该域的系统管理员密码，单击【下一步】按钮，弹出设置

Active Directory 的摘要画面，如图 1.15 所示。

注意： 一定要牢记这一密码，因为这一密码如果被忘记，您将无法以管理员身份登

录域，也就无法对域中的用户和域中的其他对象进行管理。

中小网络管理维护一点通 10

图1.15 Active Directory的摘要

(14) 在此对话框中，可以看到新目录林的名称、数据库及日志文件的位置等一些有关

新建的域的信息。单击【下一步】按钮，系统开始进行 Active Directory 配置，这

一步所需的时间比较长。设置完成后，系统将打开 Active Directory 安装的完成对

话框，如图 1.16 所示。

注意： Active Directory 配置开始后，千万不要中断，否则可能将会导致系统的崩溃。

图1.16 Active Directory配置后的完成画面

(15) 单击【完成】按钮，即完成了 Active Directory 的安装。

安装完成后，用户可以通过下面的操作来检验刚才的工作：双击桌面上的【网上邻居】

图标，打开【网上邻居】窗口。然后双击【整个网络】图标，单击窗口的【全部内容】图

标。再双击 Microsoft Windows Network 图标，打开 Microsoft Windows Network 窗口，如

图 1.17 所示。从图 1.17 中可以看到刚才添加的 server 域出现在窗口中，说明已经成功地完

成了 Active Directory 的安装。

第 1 章 Active Directory 服务 11

图1.17 Microsoft Windows 网络窗口

提示： 完成 Active Directory 的安装后，打开服务器上的共享文件可以看到与安装

Active Directory 前相比多了 NETLOGIN 与 SYSVOL 这两个共享文件。

1.2.2 把 Windows 2000 Professional 客户机加入到域中

在 Windows 2000 的域中，可以将 Windows 95/98、Windows NT、Windows 2000

Professional、Windows 2000 Server、Windows XP 等作为客户机加入到域中。下面介绍如何

将 Windows 2000 Professional 客户机加入到域中。

具体操作步骤如下：

(1) 在 Windows 2000 Professional 客户机的桌面上右击【我的电脑】图标，单击快捷

菜单中的【属性】命令，打开【系统特性】对话框。

(2) 在【系统特性】对话框中打开【网络标识】选项卡，如图 1.18 所示。

图1.18 【系统特性】对话框

中小网络管理维护一点通 12

(3) 单击【属性】按钮，打开【标识更改】对话框。

(4) 选中【域】单选按钮，把下面文本框中的域名改为“server.com.cn”，如图 1.19

所示。

图1.19 【标识更改】对话框

(5) 单击【确定】按钮，系统会弹出一个要求输入用户名和密码的对话框，如图 1.20

所示。

图1.20 【域用户名和密码】对话框

(6) 输入具有权限将客户机加入域的用户名和密码，单击【确定】按钮。片刻，系统

会弹出成功加入 server.com.cn 域的欢迎画面。

(7) 重新启动 Windows 2000 Professional，便出现如图 1.21 所示的用户登录界面。

图1.21 添加到域后的计算机的登录界面

第 1 章 Active Directory 服务 13

(8) 在【用户名】和【密码】文本框中分别输入域管理员分配给您的账号和密码，并

在【登录到】下拉列表中选择域名。

(9) 单击【确定】按钮即可登录到 server 域中。

1.2.3 把 Windows 98 客户机加入到域中

把 Windows 98 客户机加入到域中的步骤如下：

(1) 在 Windows 98 客户机的桌面上右击【网上邻居】图标，单击快捷菜单中的【属性】

命令，打开【网络】对话框，图 1.22 所示。

图1.22 【网络】对话框

(2) 在【已经安装了下列组件】列表框中选择【Microsoft 网络用户】选项，再单击【属

性】按钮，打开【Microsoft 网络用户 属性】对话框，如图 1.23 所示。

图1.23 【Microsoft 网络用户 属性】对话框

中小网络管理维护一点通 14

(3) 选中【登录到 Windows NT 域】复选框，并在【Windows NT 域】文本框中输入域

名，本例输入“server.com.cn”。单击【确定】按钮，返回到【网络】对话框。

(4) 打开【标识】选项卡，如图 1.24 所示。

图1.24 将Windows 98的客户机加入到域

(5) 在【工作组】文本框中输入“server.com.cn”，在【计算机说明】文本框中输入

该计算机的说明(如用户名)，单击【确定】按钮。

(6) 根据系统的要求重新启动计算机。

(7) 在用户登录对话框中分别输入有效的用户名和相应的密码，并且输入要登录的域

名，如图 1.25 所示。单击【确定】按钮即可登录到域中。

图1.25 用户登录对话框

1.2.4 删除 Active Directory

由于某种原因，有时需要删除 Active Directory，以将域中的一台域控制器变成成员服

务器，甚至删除域中的最后一台域控制器以删除当前域。这里需要注意的是要删除 Active

Directory，必须拥有具有该域域管理员权限的账号和密码。

删除域控制器操作步骤如下：

(1) 在安装了 Active Directory 的计算机上单击【开始】|【运行】命令。

第 1 章 Active Directory 服务 15

(2) 在【打开】文本框中输入“dcpromo”，然后单击【确定】按钮，就可启动 Active

Directory 安装向导。

(3) 在 Active Directory 安装向导对话框中单击【下一步】按钮，弹出警告提示对话框，

如图 1.26 所示。

-

图1.26 警告提示

(4) 单击【确定】按钮，弹出如图 1.27 所示的对话框。

图1.27 删除Active Directory对话框

(5) 如果您的服务器是最后一台域服务器，即该服务器所在的域中，只有这么一台域

控制器，则务必选中【这个服务器是域中的最后一个域控制器】复选框。单击【下

一步】按钮，依提示完成后面的步骤，即可删除 Active Directory。

提示： 当删除 Active Directory 之后该计算机由域控制器转变成成员服务器。如果这

是域中的最后一台域控制器，由该域控制器所维持的域也将被删除。

1.3 建立额外域控制器及子域控制器

在一个域中创建一台域控制器便可实现对域中计算机及用户的管理，但在需要保证网

络数据安全及网络资源的规划中，就需要在域中添加新的域控制器。同时随着网络规模的

扩大，我们需要建立子域乃至域目录树和域目录林以形成一个大型树型结构。本节就来介

绍如何建立额外域控制器和子域控制器。

中小网络管理维护一点通 16

1.3.1 在域中加入新的域控制器

为了保证域中数据的安全性，至少需要在域中加入一额外域控制器，这样才能保证域

中的一台域控制器出现故障时，由另一台服务器来担当域控制器的角色，向网络中的用户

进行身份验证等服务，而使网络不至于瘫痪。要向域中加入额外域控制器，首先必须保证

当前的计算机已成功地完成了 Windows 2000 Server 的安装并可以与现有的域控制器取得

联系，同时拥有具有管理员权限的账号和密码。万事具备后，按如下的操作步骤进行操作：

(1) 启动 Active Directory 的安装向导。单击【下一步】按钮，打开指定域控制器类型

对话框。

(2) 选中【现有域的额外域控制器】单选按钮，单击【下一步】按钮，打开如图 1.28

所示的对话框。

图1.28 网络凭据对话框

(3) 输入具有管理员权限的用户名和密码，单击【下一步】按钮，打开指定该服务器

所属域的域名的对话框。

(4) 单击【下一步】按钮，打开指定数据库和日志文件位置的对话框。

图1.29 复制服务器数据

(5) 指定数据库或日志文件位置(也可以取默认

的文件夹位置)后，单击【下一步】按钮，

打开【共享的系统卷】对话框。

(6) 在【共享的系统卷】对话框中指定共享系统

卷的文件夹位置，然后单击【下一步】按钮，

将打开指定管理员密码的对话框。

(7) 输入管理员密码后，单击【下一步】按钮打

开【摘要】对话框。

(8) 单击【下一步】按钮，系统开始进行 Active

Directory 的配置，如图 1.29 所示。

(9) 重新启动计算机，便成功地添加了新的域控制器。

第 1 章 Active Directory 服务 17

1.3.2 建立子域

当网络规模比较大时，为了便于管理和权限的分配，可以建立子域。比方说一个公司

由总公司和三个子公司组成。可以在总公司建立父域，然后为其他三个子公司分别建一个

子域。

建立子域的操作步骤如下：

(1) 启动 Active Directory 安装向导。在弹出的【欢迎使用 Active Directory 安装向导】

对话框中单击【下一步】按钮，打开【域控制类型】对话框。

(2) 选中【新建域控制器】单选按钮，单击【下一步】按钮，打开【创建目录树或子

域】对话框，如图 1.30 所示。

图1.30 创建目录树或子域

(3) 选中【在现有目录树中创建一个新的子域】单选按钮，单击【下一步】按钮，打

开【网络凭据】对话框。

(4) 向其中输入具有新建子域权限的用户账号和密码，单击【下一步】按钮，打开【子

域安装】对话框，如图 1.31 所示。

图1.31 子域安装

(5) 接下来的设置与第一个域控制器的建立及额外域控制器的建立方法相同，这里不

再详述。单击【下一步】按钮依提示完成后面的步骤。

第 2 章 创建和管理用户及用户组

本章概述：

域中的共享资源被许多用户共同使用，维护网络的安全是至关重要的。控制每个用户

的访问权限，并在必要条件下跟踪其所做的操作是每个管理员必须要做的事情。因此如何

为域中的用户、计算机及域中的其他对象分配合理的访问权限是网络管理中的重要一环。

而要为这些对象分配权限，首先要为其建立账号。本章重点对用户账号及组账号的创建、

分类及管理进行了介绍。并对用户数据、打印机、组织单位、组和联络人等作了简单介绍，

以便让管理员能对域中的各类用户有一个全面的了解。

学习目标：

�� 在域中创建用户和用户组

�� 用户的分类

�� 管理域中的用户

2.1 在域中创建用户和用户组

用户账号可以说是用户登录到计算机或域时所持的通行证，只有拥有有效的用户账号

用户才可以获得对计算机资源和网络共享资源的访问权。除此之外，在 Windows 2000 中系

统可以通过用户账号为每一个用户账号所对应的用户建立其个人设置，如界面的设置、鼠

标和键盘的设置、输入法的设置和网络连接等。这一节主要介绍在域中如何创建用户和用

户组。

2.1.1 创建域用户账户

作为网络管理员，为了管理和控制每个用户的访问权限，需要为访问网络资源的每个

用户创建域用户账户。创建域用户账户的步骤如下：

(1) 以管理员身份或具有创建域用户账户权限的用户账号登录到计算机。

(2) 单击【开始】|【程序】|【管理工具】|【Active Directory 用户和计算机】命令，

打开【Active Directory 用户和计算机】窗口，如图 2.1 所示。

提示： 创建用户账号或组账号时，需要以管理员或具有创建用户或组账号权限的用

户身份登录。默认情况下，管理员的账号为 Administrator，初始密码是用户

在安装 Windows 2000 Server 时所指定的密码。

第 2 章 创建和管理用户及用户组 19

图2.1 【Active Directory 用户和计算机】窗口

(3) 在希望放置用户账户的容器或组织单位(本例中选择容器 Users)上单击鼠标右键，

在弹出式菜单中单击【新建】|【用户】命令，打开【新建对象-用户】对话框，如

图 2.2 所示。

图2.2 【新建对象-用户】对话框

注意： 每个用户在域中的登录名必须是惟一的。

(4) 单击【下一步】按钮，弹出设置用户密码对话框，如图 2.3 所示。

(5) 【密码】和【确认密码】文本框用于为用户设定初始密码。密码可以任意设定，

但这两个文本框中输入的密码必须相同。对于【用户下次登录时须更改密码】这

一项非常有用，选中该复选框，可以强制用户在下次启动时更改密码，从而保证

只有用户本人知道自己的密码，从而加强了网络的安全。

提示： 一般情况下，都要求用户在第一次登录时修改口令，以保证只有用户本人知

用来存放域

中的对象

中小网络管理维护一点通 20

道自己的口令。为了提高网络的安全性，最初为新用户设置的口令最好由数

字和字母组成。

图2.3 设置用户密码

(6) 单击【下一步】按钮，并在弹出的完成对话框中单击【完成】按钮，便可完成对

新用户的创建。新建立的用户出现在 Users 容器中，如图 2.4 所示。

图2.4 添加新用户

2.1.2 创建组账号

组是用户账号的集合，用于给一组用户账号分配权限以简化对用户账号的管理。创建

组账号的步骤如下：

(1) 以管理员身份或具有创建组权限的用户账号登录到计算机。

(2) 在希望放置组账户的组织单位(例如：Users)上右击，并在其弹出的下拉菜单中单

击【新建】|【组】命令，打开【新建对象-组】对话框，如图 2.5 所示。

(3) 在【组名】文本框中输入组的名字，本例为 group1。在下面的两个单选区域中分

别选择组作用域和组类型，本例中分别选择【全局】和【安全式】单选按钮。

第 2 章 创建和管理用户及用户组 21

图2.5 【新建对象-组】对话框

提示： 对于【本地域组】与【全局组】前面已有介绍，请参考 2.1.2 节。【通用组】

常用于分配多个域中相关资源的访问权限。

(4) 完成后单击【确定】按钮，新建的组 group1 出现在 Users 容器中，如图 2.6 所示。

图2.6 添加组后的窗口

2.1.3 向组织单位中添加用户

组织单位是一种用户对象，它与普通的用户不同的是：它是一种容器，管理员可以将

域中的用户加入到组织单位中。在组织单位中可包含的用户有：用户账号、组、计算机、

应用程序、共享文件夹和其他组织单位。

通过使用组织单位可以为域中的某一局部资源指派组策略(有关组策略将在第 4 章中详

细介绍)，这样就可以在公司的不同层次使用不同的设置和组策略。另外利用组织单位还可

以实现委派授权，从而使对域中资源管理访问的控制更加容易。例如：可以将某一组织单

位的管理权授予用户 A，同时授予用户 B 对域中所有组织单位的管理权。默认情况下组织

单位会从父域和父组织单位继承安全策略，当然也可以根据需要扩展其安全级别以增加域

中网络资源的安全性。

前面介绍了组织单位的概念、作用及其设计原则。下面来介绍一下如何创建和管理组

织单位以及如何向组织单位中添加用户。

中小网络管理维护一点通 22

创建组织单位的方法与创建用户账号和组账号的方法相似，这里不再详述。但需要注

意的是在大部分的默认容器(如 Builtin 和 computer 等)中都不能创建组织单位。另外，要创

建组织单位必须拥有创建组织单位的权限。默认情况下，Administrator 组的成员拥有创建

组织单位的权限。创建完成后，新创建的组织单位将出现在【Active Directory 用户和计算

机】对话框中。

提示： 前面介绍了组、用户账号及组织单位的创建方法，其实 Active Directory 中的

其对象(如：计算机、联络人、打印机的共享文件夹等)的创建方法与组、用

户账号和组织单位的创建方法相同，在本书中不再一一介绍。

上面提到在组织单位中可以添加其他用户，接着再来介绍如何将用户添加到组织单位

中。要添加用户到组织单位中，必须有向组织单位添加用户的权限。默认情况下，

Administrator 组的成员都具有添加用户到组织单位的权限。要向组织单位中添加用户的操

作步骤如下：

(1) 与创建用户一样首先以管理员的身份登录到计算机。

(2) 单击【开始】|【程序】|【管理工具】|【Active Directory 用户和计算机】命令，打

开【Active Directory 用户和计算机】窗口。

(3) 右击要向其中加入用户的组织单位，在弹出的下拉菜单中选择【新建】|【对象名】。

可以向其中添加的对象有计算机、组、联络人、打印机、组织单位、用户和共享

文件夹。接下来的步骤与向 Active Directory 中添加用户的方法相同，请参考创建

用户或创建组的步骤。

2.2 用户的分类

用户账号和组账号是为了管理域中的用户而建立的。域管理员通过对用户账号和组账

号的属性设置，来指定具有该用户账号的用户对网络资源的使用权限与管理权限，例如：

可以访问域中的哪些资源、什么时间可以访问以及可以访问域中的哪些计算机等。从而达

到通过给用户账号和组账号分配权限来达到限制和管理用户行为的目的。

2.2.1 用户账户

Windows 2000 设置了 3 种类型的用户账号：本机用户账号、域用户账号和内置用户账

号。下面对这 3 种用户账号作一个简单介绍。

1. 本地用户账号

本地用户账号是用户登录到本地计算机时所需要的账号，它包含将用户定义到本地计

算机的信息，主要用来维护当前计算机的安全。建立本地用户账号后，计算机利用本地安

全数据库对要登录到本地计算机的用户进行身份验证以判定用户是否可以登录到计算机

上，并指定其所拥有的权限。

第 2 章 创建和管理用户及用户组 23

2. 域用户账号

域用户账号允许使用者登录到域中，并访问网络中的共享资源。它与本地用户账号不

同，使用本地用户账号用户只能访问特定的计算机中的资源，而使用域用户账号用户可以

登录到域中，并访问整个域中的共享资源。如果将域比作展览馆，把域中的每一台计算机

比作一个展厅，那么具有本地用户账号的用户只能参观某一个特定的展厅，而持有域用户

账号的用户可以参观展览馆中所有的展厅。当然系统也会根据用户提供的账号的密码来判

定用户所拥有的访问权限。

域用户账号创建于 Active Directory 数据库中，域控制器会把新用户账号的信息，复制

到域中所有的域控制器。这里需要注意的是由于将域用户账号的信息复制给所有的域控制

器，需要花几分钟的时间，因此使用刚刚创建的用户账号登录时，无法立即登录成功。

3. 内置用户账号

Windows 2000 Server 安装时，自动建立的账号被称为内置账号。用户经常要使用的内

置账号有两种：Administrator 账号和 Guest 账号。现对这两种账号作如下描述：

�� Administrator：内置 Administrator 账号用于管理整个计算机的资源及其配置。这

在 Windows 2000 刚刚安装成功时这是惟一可用的账号。Administrator 账号具有对

计算机软件和设置的完全控制权，拥有该账号的用户即为管理员。管理员可以创

建用户和组，并有权为他们分配权限。Administrator 账号不能被删除或禁用。从

而保证用户不会因所有的管理级账号被删除或失效而无法进入计算机工作。

�� Guest：内置 Guest 账号是给临时用户登录使用的账号。默认情况下，禁用 Guest

账号。

提示： 为了提高安全性，应该对内置账号 Administrator 进行重命名(有关重命名的详

细操作请参见 2.3.2 对用户账号的常用操作)，以让别人看不出这是一个

Administrator 账户。出于更安全的考虑还应创建一个名为 Administrator 的账

号，但该账号对于系统没有任何权限，这样就可阻止黑客盗用 Administrator

账号攻击该系统。

注意： 默认情况下，Guest 账号是禁用的，但在安全性较低的网络中，可以使用该

账号，不过最好为它分配一个口令。

2.2.2 组账户

组账户就是一组具有相似需求的用户账号的集合。通过为组设置权限来达到为该组中

每个账号设置权限的目的，从而简化域内及域树中对用户的管理。组账号分本地组、本地

域组和全局组 3 种，下面来对这 3 种组账号进行一一介绍。

1. 本地组

本地组是一台计算机上所有用户账号的集合，该计算机的管理员可以通过本地组来为

使用该计算机的用户分配权限。对于使用 Windows 的计算机，系统内都有内建的本地组。

中小网络管理维护一点通 24

要查看这些本地组请按如下步骤操作：单击【开始】|【程序】|【管理工具】|【计算机管理】

命令，打开【计算机管理】窗口。然后依次展开左方窗口的【系统工具】和【本地用户和

组】再单击【组】，此时的【计算机管理】窗口如图 2.7 所示。

图2.7 【计算机管理】窗口

右侧的窗格中显示了本地组的成员，下面对这些本地组成员作简单介绍：

�� Administrators：管理员组的成员，具有对计算机的完全控制权限，能够完成所有

的管理任务，具有对计算机全部的使用和管理权。在默认情况下 Administrator 用

户是 Administrators 组的成员。

�� Backup Operators：备份操作员组的成员，可以备份和还原计算机上的文件，而不

管保护这些文件的权限如何。他们也可以登录计算机和关闭计算机，但不能更改

安全设置。

�� Guests：来宾组，允许偶尔或临时用户登录工作站的内置来宾账户，并授予有限

的权力。来宾组的成员也可以关闭系统。

�� Power Users：超级用户组的成员，可以创建用户账户，但只能修改和删除他们所

创建的账户。超级用户可以创建本地组并从他们创建的本地组中删除用户，也可

以从超级用户、用户和来宾组中删除用户。他们不能修改管理员组或备份操作员

组，也不能拥有文件的所有权、备份或还原目录、加载或卸载设备驱动程序以及

管理安全日志和审核日志。

�� Replicator：复制器组，支持目录复制功能。它的惟一成员是域用户账户，用于登

录域控制器的复制器服务，不但能将实际用户账户添加到该组中。

�� Users：用户组的成员，可以执行大部分普通任务，如运行应用程序、使用本地和

网络打印机以及关闭和锁定工作站等。用户可以创建本地组，但只能修改自己创

建的本地组。用户不能共享目录或创建本地打印机。

提示： 当计算机被提升为域控制器后，该计算机的本地账号将被禁用。

2. 本地域组

本地域组用来指定在其所属域内的存取权限。本地域组账号与本地组账号的区别主要

第 2 章 创建和管理用户及用户组 25

是本地域组帐号用来指定域内资源的存取权限，而本地组账号是用来指定特定计算机的资

源存取权限。与本地组相似，本地域组也有内建的本地域组。现对本地域组中的各个内建

组分别说明如下：

�� Account Operators：该组的成员具有操作管理员所属域的账号与组的权限，但该组

成员无法修改 Administrator 组与任何的 Operators 组。

�� Administrators：该组的成员可以不受限制地存取计算机域的资源，是操作权限最

高的一组用户。默认情况下 Administrator 账号与 Domain Admins 组都是该组的

成员。

�� Backup Operators：该组的成员可使用 Windows 备份工具来进行备份/还原的工作，

但只能因为备份或还原文件的因素才能覆盖安全性限制。

�� Guests：该组的成员只能享有管理员授予的权限以及存取指定权限的资源。默认

情况下 Guest 账户与 Domain Guests 全局组都是该组的成员。

�� Printer Operators：该组的用户可以管理域打印机，包括建立、管理以及删除网络

打印机。

�� Replicator：该域的成员支持域中的文件拷贝，可启动目录复制程序进行目录复制。

�� Server Operators：该组的成员可以管理域服务器，包括：建立/删除/管理任何服务

器的共用目录、管理网络打印机、备份任何服务器的文件、格式化服务器硬盘、

锁定服务器以及变更服务器的系统时间等权限。

�� User：为了防止该组的成员无意或有意地对系统进行攻击，该组用户只可以执行

被授权的应用程序。

3. 全局组

全局组的用户可以访问分布在域树乃至域林中各域的共享资源。与本地域组的区别在

于，本地域组的用户只能访问本地域的资源而全局组的用户可以访问任何域的资源。例如

在第 2 章中的图 2.1 表示的域树中，域 Grade1.School.com.cn 中的本地域组的用户只能访问

Grade1.School.com.cn 域中的资源，而 Grade1.School.com.cn 域的全局组用户除了可以访问

Grade1.School.com.cn 域中的资源外，还可以访问 School.com.cn 域、Class2.Grade.School.

com.cn 域与 Grade2.School.com.cn 域的资源。

在 Windows 2000 中包括许多内置的本地域组和全局组。要查看其所包括的本地域组和

全局组请按如下步骤操作：单击【开始】|【程序】|【管理工具】|【Active Directory 用户和

计算机】命令，打开【Active Directory 用户和计算机】窗口，如图 2.8 所示。

下面是一些常用的全局组：

�� Domain Admins：该组可以代表具有操作域权力的用户，默认情况下，Domain

Admins 组隶属于 Administrators 本地组，因此该组的成员可以在域中执行管理

操作。

�� Domain Guests：代表所有域来宾的组，Windows 2000 会自动将 Guest 使用的账号

加入到该组，并将该组加至内置本地域 Guests 组中。

�� Domain Users：代表所有域成员的组，默认情况下，所建立的任何用户账号都是

该组的成员。同时该域又是内置本地域 User 的成员。

中小网络管理维护一点通 26

�� Enterprise Admins：该组的用户可以管理整个网络，因此要想让某个用户具有管理

整个网络的权力，将该用户账号加至 Enterprise Admins 组即可。

图2.8 【Active Directory用户和计算机】窗口

2.3 管理域中的用户

建立域中对象的目的就是为了合理地分配网络资源，管理用户使每个用户得到合理的

对网络资源的访问及管理权限，那么如何才能合理地进行对用户的访问控制呢，这就是本

节要介绍的内容：管理域中的用户。

2.3.1 设置账户属性

每个用户都可以利用分给他们的用户账户登录到域，但由于他们身份及工作性质的不

同，我们希望他们具有不同的访问权限。通过对用户账号的管理可以实现对每个用户可以

访问的资源，可以登录到域的时间和可以登录的工作站等进行控制。下面就来介绍一下如

何实现对用户账号的管理，具体操作步骤如下：

(1) 双击所要管理的用户账户(本例中选择“韩宏远”)，或右击所需要管理的用户账

户并在其弹出的下拉菜单中选择【属性】命令。弹出用户账户的【属性】对话框，

如图 2.9 所示。

(2) 在如图 2.9 所示的【常规】选项卡中，根据提示输入该用户的一些基本信息， 可

以不填。

(3) 单击【成员属于】标签，打开【成员属于】选项卡，如图 2.10 所示。在该选项卡

中管理员可以设置用户的身份，从而确定其访问权限。

第 2 章 创建和管理用户及用户组 27

图2.9 设置用户的基本信息

图2.10 设置用户的访问权限

提示： 添加一个新的用户账号后，该用户被默认为 Domain User 组的成员，拥有

Domain 组的权限。其中 Domain 组是 Windowss 2000 Server 的内建组，

Windows 2000 Server 有许多类似 Domain 组的内建组。这些内建组各自拥有

不同的权限，要了解它们各自的具体权限请参见 2.1.2 组账号一节。

(4) 单击【添加】按钮，此时出现【选择组】对话框，如图 2.11 所示。

(5) 选择要添加的组 Domain Admins，然后单击【添加】按钮，所要添加的组出现在

图 2.11 的下拉列表中。再单击【确定】按钮，被添加的组出现在【成员属于】选

项卡的列表框中，如图 2.12 所示。

中小网络管理维护一点通 28

图2.11 【选择组】对话框

图2.12 加入组后的对话框

提示： 要从图 2.12 所示的列表中删除一个或多个组。直接选中要删除的组，然后单

击【删除】按钮，并在弹出的对话框中单击【确定】按钮即可。

(6) 除了可以通过将用户加入不同的组来控制用户的访问权限以外，还可以设定用户

可以登录域的时间、可以登录到的工作站和登录时所要启动的文件等。单击【账

户】标签，打开用户账号属性的【账户】选项卡，如图 2.13 所示。

(7) 单击【添加】按钮，弹出用户的【登录时段】对话框，如图 2.14 所示。

(8) 在图 2.14 所示的对话框中，时段的限制以 1 小时为单位，蓝色区段表示允许登录，

白色区段表示拒绝登录。要想设置拒绝登录的时段，可先圈选要拒绝登录的时段

再选中【拒绝登录】单选按钮即可。如果要将拒绝登录的时段转变成允许登录的

时段，可先圈选要设置为允许登录的时段，然后选中【允许登录】单选按钮即可。

第 2 章 创建和管理用户及用户组 29

图2.13 【账户】选项卡

图2.14 【登录时段】对话框

(9) 完成后单击【确定】按钮返回【账户】选项卡，然后再单击【确定】按钮即可完

成账户的设置工作。

提示： 从上面的介绍中可以看出，为了实现对用户的管理需要对每个用户账号进行

大量的设置。有鉴于此，为了减少对每个用户的管理设置，在创建大量用户(例

如重新安装服务器后)时推荐使用下列的方法：先根据用户身份的不同创建几

个组，然后在每个组中创建一个用户并设置其权限。创建其他用户时，复制

已建好的且与其权限相同的那个用户，稍作修改即可。

2.3.2 对用户账号的常用操作

为了加强对用户账号的管理，管理员常会对用户账号进行停用、启用、重命名、删除

和重设密码的操作。

�� 停用和启用用户账号：当用户有较长的时间不需要登录域但还会再需要时，就需

要停用该用户账号。例如小李请了两个月假，在他度假期间就应当禁用他的账号，

中小网络管理维护一点通 30

而在他返回公司后就需要再启用账号。

�� 用户账号重命名：如果想保留用户账号的所有权利、权限及组成员关系，并重新

分配给不同的用户，此时就可以对用户账号进行重命名。例如，公司一名员工离

职后，一名新的员工接替了原先的位置，这时只要将账户的姓名和用户登录名改

变以后，就可以供新账户所有者使用。

�� 删除用户账号：在员工离职后，一般情况下这个账号不再使用，可以删除该账号

以保证 Active Directory 中的账户都是有用的。

�� 重设密码：有时可能在用户还没来得及修改密码，用户密码就过期了。或者是用

户忘记了密码，这种情况下就需要重设密码。

对用户账号的停用、启用、重命名和删除的操作都非常相似，下面来介绍一下操作步

骤：

(1) 单击【开始】|【程序】|【管理工具】|【Active Directory 用户和计算机】命令，打

开【Active Directory 用户和计算机】窗口。

(2) 展开树型结构直到看见想要操作的用户账户，再选中该用户账号。

(3) 打开【操作】菜单，然后单击想要进行操作的命令即可，如图 2.15 所示。

图2.15 对用户账号的操作

2.3.3 管理组账号

建立组的目的就是一次性地为一组用户设置权限。在前面对用户账号管理的介绍中大

家可能也发现，如果不用组管理员，就需要为每一个用户一一地去设置他们的权限。对于

一个用户比较多的网络来说是很困难的，这也是要建立组账号的原因。管理员只要设置一

个组账号的访问权限，然后将需要具有与该组相同权限的用户加入到该组中，便可实现对

所有这些用户的管理。要设置组账号的权限就需要对组账号的属性进行设置。具体的操作

步骤如下：

第 2 章 创建和管理用户及用户组 31

(1) 右击要进行属性设置的组(本例为 group1)，在弹出的下拉菜单中单击【属性】命

令，弹出【group1 属性】对话框，如图 2.16 所示。

图2.16 【group1 属性】对话框

(2) 如果希望某用户或某些用户具有该组账号中所设置的权限，需要将这些用户加入

到该组中。单击【成员】标签，打开【group1 属性】的【成员】选项卡，如图 2.17

所示。

图2.17 向组中添加成员

(3) 单击【添加】按钮，弹出【选择用户、联系人、计算机或组】对话框，如图 2.18

所示。

中小网络管理维护一点通 32

图2.18 【选择用户、联系人、计算机或组】对话框

(4) 在图 2.18 所示的对话框中，用户可以将用户账号、计算机账号和其他组作为该组

的成员加入到该组中。因此可以用来在组中添加组，从而形成组的嵌套。选择需

要添加的组成员，再单击【添加】按钮，所要添加的组成员出现在【选择用户、

联系人、计算机或组】对话框的下拉列表中。单击【确定】按钮，所添加的组成

员出现在【group1 属性】的【成员】选项卡中，如图 2.19 所示。

图2.19 添加组成员后的对话框

(5) 单击【成员属于】标签，弹出【成员属于】对话框，如图 2.20 所示。

(6) 单击【添加】按钮，此时出现【选择组】对话框，选择要添加的组。以后的操作

可参考 2.3.1 节，这里不再赘述。

提示： 【成员】选项卡对话框中加入的成员是想继承该组权限的人，即他们的权限

由组的权限决定。而在【成员属于】选项卡中加入的成员是指让该组继承权

限的人，因而他们的权限决定着该组的权限。

第 2 章 创建和管理用户及用户组 33

图2.20 【成员属于】选项卡

2.3.4 管理组织单位

通过对组织单位的管理可以来指定该组织单位的基本信息、管理员的信息以及对组织

单位的访问控制，为此需要对要进行管理的组织单位的属性进行设置。

具体的操作步骤如下：

(1) 右击要进行属性设置的组织单位(本例中为 org1)，在下拉菜单中选择【属性】命

令，弹出组织单位的【属性】对话框，如图 2.21 所示。

图2.21 组织单位的【属性】对话框

(2) 在【常规】选项卡中，记录的是组织单位的一些基本信息，在此对话框中用户可

以添加、更改或删除这些信息。

中小网络管理维护一点通 34

(3) 在【管理者】选项卡中记录的是组织单位管理员的一些信息：名称、办公室位置、

街道地址、城市、州或省、国家或地区、电话号码和传真号码等。在此对话框中

用户也可以对其中的信息进行添加、修改或删除。

(4) 在【对象】选项卡中记录的是该对象的名称、类别、创建和修改时间以及初始的

和当前的 USN 号码。

(5) 单击【安全】标签，打开【安全】选项卡，如图 2.22 所示。

图2.22 设置用户的权限

(6) 在此选项卡中，管理员可首先从【名称】列表框中选择一个用户，然后在权限列

表框中指定该用户对当前的组织单位所具有的访问权限。重复这一操作可以对域

中的每个用户对该组织单位的访问权限进行设置。设置完成后，单击【确定】按

钮。

(7) 在【组策略】选项卡中，可记录组织单位与组策略的链接情况，有关组策略的情

况会在第 4 章中详细介绍。

2.3.5 委派控制

委派控制是为了管理的方便而将一些权力分派给一个或多个特定的用户，让这些用户

也承担一部分的管理工作，以减轻管理员的工作。在本例中要在组织单位 new1 中创建、

删除和管理用户账号的权限委派给韩宏远和所有 Domain Users 组中的成员。

具体的操作步骤如下：

(1) 首先打开【Active Directory 用户和计算机】对话框。

(2) 展开树型结构直到可以看到欲进行委派控制的容器或域。

(3) 右击欲进行委派控制的域或容器(本例的容器为组织单位 new1)，如图 2.23 所示。

这时系统弹出控制委派向导的欢迎画面。

(4) 单击【下一步】按钮，打开【用户和组】对话框。

(5) 单击【添加】按钮，打开【选择用户、计算机或组】对话框。

第 2 章 创建和管理用户及用户组 35

图2.23 使用委派控制

(6) 选中要授权的对象，再单击【添加】按钮。所被添加的用户和组显示在下面的列

表框中。单击【确定】按钮返回到【用户和组】对话框，如图 2.24 所示。

图2.24 用户和组

(7) 单击【下一步】打开【要委派的任务】对话框。选中要委派的任务前面的复选框，

然后单击【下一步】出现【完成控制委派向导】对话框，如图 2.25 所示。

图2.25 完成控制委派向导

(8) 单击【完成】按钮，完成任务的委派。

第 3 章 组 策 略

本章概述：

Windows 2000 提供了一项全新的管理工具��组策略。组策略是指组策略管理员应用

在 Active Directory 中一个或多个对象的配置，通过这些配置，组策略管理员可以控制域中

的用户环境，例如，设定用户可用的程序、特定的桌面配置以及【开始】菜单的内容等。

本章首先介绍如何打开和新建组策略，然后介绍组策略的管理及其他操作，最后分析了组

策略的应用机制和继承关系。通过对本章学习，读者不仅能建立和管理组策略，同时对“组

策略”这一抽象概念也能深刻理解。

学习目标：

�� 设置组策略 �� 管理组策略 �� 重定向文件夹 �� 设置组策略的安全 �� 组策略的应用机制和继承关系

3.1 设置组策略

使用 Windows 2000 组策略管理模板可以设置组策略，例如：隐藏开始菜单命令、隐藏

桌面图标和停用光盘驱动器的自动播放等。所以，管理模板可以用来隐藏、停用或者限制

用户更改某些设置，以帮助系统管理员有效地管理整个域。 在图 3.1 所示的组策略窗口中，可以看到【计算机配置】和【用户配置】两个节点，

这两个节点的区别在于：【计算机配置】的设置会写入域中的所有计算机注册数据库的

HKEY＿LOCAL＿MACHINE 部分，而【用户配置】的设置会写入所有计算机注册数据库

的 HKEY＿CURRENT＿USER 部分。下面主要以【用户配置】为例给大家介绍管理模板中

的策略。由于涉及到的策略种类很多，不能一一进行介绍，所以这里只做一些概括性的介绍。

3.1.1 设置 Windows 组件

首先需要打开组策略窗口，然后在 Windows 组件节点中设置策略，可以对 NetMeeting、

Internet Explorer 和 Windows 资源管理器等做所有的限制。 具体操作步骤如下：

(1) 打开【开始】|【程序】|【管理工具】|【Active directory】控制台。

第 3 章 组策略 37

(2) 在【Active directory】控制台树中，在相应的域上右击，在弹出的子菜单中选择【属

性】命令，如图 3.2 所示。

图3.1 管理模板节点

图3.2 选择域的【属性】命令

(3) 弹出如图 3.3 所示域的属性对话框，在此对话框中单击【编辑】按钮。

(4) 弹出如图 3.4 所示的【组策略】窗口。在此可以看到两个主要的节点：【计算机

配置】和【用户配置】。【计算机配置】包含所有的与计算机有关的策略设置，

这些策略只能应用到计算机；【用户配置】包含所有与用户有关的策略设置，这

些策略只能应用到用户。

提示： 计算机配置和用户配置两个节点都包含【软件设置】、【Windows 设置】以

及【管理模板】3 个子节点：

�� 软件设置：用此节点可以管理域中的所有软件的安装、发行、指派、更

新、修复及删除等操作。

�� Windows 设置：用此节点系统管理员可以设置脚本文件、建立账户策略、

指派用户权利以及集中管理用户配置文件。

�� 管理模板：为操作系统、Windows 组件和程序设置策略。用此节点，所

中小网络管理维护一点通 38

有涉及到登录的策略都整合在这个子节点下。

图3.3 域的属性对话框

图3.4 【组策略】窗口

(5) 展开【用户配置】下面的【管理模板】子节点。

(6) 单击【Windows 组件】节点下的 Internet Explorer 子节点。在右边的窗口中选择【禁

用更改历史记录设置】策略，如图 3.5 所示的窗口。

图3.5 选择【禁用更改历史记录设置】策略

第 3 章 组策略 39

(7) 弹出如图 3.6 所示的【禁用更改历史记录设置属性】对话框，系统默认为未配置，

选中【启用】单选按钮，启用这项策略。

(8) 单击【确定】按钮，完成设置。

图3.6 【禁用更改历史记录设置属性】对话框

此策略设置完成后，当用户再次登录时浏览器中的历史记录设置显示为灰色，用户将

不能做任何更改，如图 3.7 所示。

图3.7 禁用更改历史记录

3.1.2 设置任务栏和【开始】菜单

选择此节点，可以设置开始菜单和工具栏的策略，例如：设置禁用和删除“关机”命

令。按如下的操作步骤：

(1) 打开如图 3.8 所示的组策略窗口。

禁用更改【历史

记录】中的设置

中小网络管理维护一点通 40

(2) 单击任务栏和【开始】菜单节点。

(3) 在右边的策略窗口中单击【禁用和删除“关机”命令】。

(4) 会弹出【禁用和删除“关机”命令属性】对话框，与上面的设置一样选中【启用】

单选按钮，完成设置。删除【关机】命令后的【开始菜单】如图 3.9 所示。

图3.8 选择【禁用和删除“关机”命令】策略 图3.9 开始菜单

3.1.3 设置桌面

选择桌面节点，用户可以限制桌面上所有功能，例如：隐藏桌面上的所有图标，隐藏

桌面上的“网上邻居”图标，退出时不保存设置等。具体操作步骤如下：

(1) 打开如图 3.10 所示的桌面节点。

(2) 在右边的策略窗口中选择设置的策略，这里单击【隐藏桌面上的所有图标】策略。

(3) 在弹出的【隐藏桌面上的所有图标属性】对话框中，选择【启用】策略。

(4) 单击【确定】按钮，完成设置。

图3.10 桌面节点

第 3 章 组策略 41

3.1.4 设置控制面板

控制面板节点主要包括“添加/删除程序”、“显示”、“打印机”以及“区域”选项

4 种策略，可以分别用来限制控制面板中相对应的功能，例如通过设置“添加/删除程序”

策略，可以防止用户从“添加/删除程序”中安装/删除软件；设置显示策略，可以防止用户

任意改变显示器的设置等。

可以通过以下的设置来禁止用户更改显示器设置的操作：

(1) 打开组策略窗口。

(2) 在左边的窗口中打开控制面板节点，选择【显示】节点，在右边展开的策略中，

选择第一项【禁用“控制面板”中的“显示”】策略。如图 3.11 所示。

图3.11 选择【禁用“控制面板”中的“显示”】策略

(3) 在弹出的【禁用“控制面板”中的“显示”属性】对话框中，选中【启用】单选按

钮，如图 3.12 所示。

(4) 单击【确定】按钮，保存更改。

图3.12 选用【启用】单选按钮

中小网络管理维护一点通 42

(5) 注销当前用户，在重新启动以后，如果用户要设置显示器，就会弹出如图 3.13 所

示的禁用对话框。

图3.13 禁用对话框

在对其他的节点设置策略时，可以用以上同样的操作方法，这里就不再介绍，用户可

以自己试一试。

3.1.5 建立新的组策略

如果要对企业所在的域及组织单位和用户应用组策略，那么首先要建立组策略，针对

用户所在的域及组织单位建立组策略，来达到管理用户的目的。可以先在域中创建一个新

的组织单位,例如 office，然后在这个组织单位中建立一些用户，再为这个组织单位建立组

策略。建立新的组策略的步骤如下：

(1) 单击【开始】|【程序】|【管理工具】|【Active Directory 用户和计算机】命令。

(2) 在新建的组织单位 office 上右击，在弹出的快捷菜单中单击【属性】命令，如图

3.14 所示。

图3.14 单击【属性】命令

(3) 弹出【office 属性】对话框，打开【组策略】选项卡，在该对话框中单击【新建】

命令，新建一个组策略，如图 3.15 所示。

第 3 章 组策略 43

图3.15 【office属性】对话框

完成以上的设置以后，将新建立的组策略链接到了组织单位 office 上了。但对这个新

建的组策略没有做任何设置，因此目前还没有任何的限制能力。

注意： Windows 2000 默认 Administrator 和 Group Policy Creator Owners 组能够建立

新的组策略。

3.2 管理组策略

对于建立好的组策略，还可以进行必要的删除和添加策略链接等工作。在图 3.8 所示

的对话框中，可以选择设置策略的继承与禁止、添加策略链接等一系列对组策略进行管理

的工作。

3.2.1 设置组策略的继承与禁止

组策略是由上层组织单位传到下层组织单位的，如果为上层组织单位指派了特定的�组

策略�，那么这个组策略只适用于这个上层组织单位以下的所有组织单位，包括每个组织单

位中的用户和计算机对象。但是，如果明确要为某个下层组织单位指定组策略设置，则下

层组织单位的组策略设置将覆盖上层组织单位的设置。 在上一节中，如果不希望“office”组织单位继承上层的组策略，就需要把这个组织单

位设置为【阻止策略继承】。如果不希望“office”组

织单位的策略应用到下层的组织单位时，被下层的组

织单位所取代，就可以将这个组策略设置为禁止替代。 设置组策略的继承与禁止的步骤如下： (1) 在图 3.15 所示对话框中，单击【选项】按钮。

(2) 弹出如图 3.16 所示的对话框。选中【禁止替图3.16 设置禁止替代对话框

中小网络管理维护一点通 44

代】复选框。如果选中【被禁用】则可以暂时禁止这个组策略与组织单位的链接。

(3) 设置完毕后，单击【确定】按钮。

3.2.2 添加组策略的链接

可以通过添加链接的操作，将已经建立的组策略与其他的计算机、组织单位、域或站

点建立关联，从而将其他的组策略应用到新建的对象上。这样就省去了再次建立组策略的

操作。

添加组策略链接的操作如下：

(1) 在图 3.15 所示的窗口中单击【添加】按钮。

(2) 打开如图 3.17 所示的【添加组策略对象链接】对话框。

(3) 在【查找范围】下拉列表框中选择域或组织单位，选择要应用的组策略。

(4) 单击【确定】按钮。

图3.17 【添加组策略对象链接】对话框

按上述操作完成后，所添加的组策略就会应用到所选择的组织单位上，如图 3.18 所示

的组策略 my policy 被添加到了组织单位 office 的列表中。

图3.18 添加的组策略my policy

第 3 章 组策略 45

3.2.3 删除组策略

如果不需要某个组策略，可以对其进行删除，操作如下：

(1) 在图 3.18 所示的对话框中，选择所要

删除的组策略。

(2) 单击【删除】按钮。

(3) 弹出如图 3.19 所示的【删除】对话框。

(4) 选中【移除链接并将组策略对象永久

删除】单选按钮，然后单击【确定】

按 钮 ， 即 可 将 组 策 略 从 Active

Directory 中删除。

提示： 如果选中【从列表中移除链接】单选按钮，则只能移除所有组织单位与这个

组策略的链接，但是不删除这个组策略。

3.2.4 设置策略权限

在站点、域或组织单位上应用组策略之后，系统默认所属的计算机和用户都会受到组

策略的约束。计算机和用户若要不受到组策略的约束，就不必拥有对该组策略的“读取”

和“采用组策略”这两项权限。

(1) 在图 3.18 所示的对话框上，选择一个组策略，单击【属性】按钮。

(2) 弹出组策略属性对话框。

(3) 打开【安全】选项卡。这时可以看到在权限列表中，已经有【读取】和【采用组

策略】两项权限的设置。如图 3.20 所示。

图3.20 组策略属性对话框

可以在【名称】列表中选择相应的组设置组策略，也可以单击【添加】按钮来选择组

和用户来设置组策略。

图3.19 【删除】对话框

中小网络管理维护一点通 46

注意： 设置时有【允许】和【拒绝】两个复选框，如果选取允许，表示将权限赋予

用户、计算机或组；如果选取拒绝，表示不赋予权限给用户、计算机或组；

如果两者都没有选取，则为拒绝。

3.3 重定向文件夹

通过组策略中的文件夹重定向，可以将本地用户配置文件中的 My Documents、

Application Data、桌面和“开始”菜单这几个文件夹重定向到网络位置上。重定向文件夹

到网络位置以后，用户就可以从域中任何一台计算机上访问到相同的桌面设置。对管理员

来说可以统一管理和维护用户的数据。

以“桌面”为例，设置重定向文件夹的操作如下：

(1) 打开【组策略】窗口，切换到【用户配置】|【Windows 设置】|【文件夹重定向】

中。如图 3.21 所示。

图3.21 选择文件夹重定向

(2) 选择【桌面】项，单击右键，在弹出的快捷菜单中单击【属性】命令。

(3) 弹出如图 3.22 所示【桌面属性】对话框。

图3.22 【桌面属性】对话框

第 3 章 组策略 47

(4) 单击【设置】旁边的下三角按钮，弹出下拉列表框，选择高级设置，然后单击【确

定】按钮，弹出如图 3.23 所示的对话框。

图3.23 选择高级设置

(5) 可以单击对话框中的【添加】按钮，选择安全组成员和文件夹的定向位置。

(6) 弹出如图 3.24 所示的【指定组和位置】对话框，在该对话框中，可以在【安全组

成员身份】文本框中输入组的成员，也可以单击【浏览】按钮，打开组对话框来

选择组。同样在【目标文件夹位置】文本框中，输入定向的路径位置，或单击【浏

览】按钮来选择文件位置。

(7) 单击【确定】按钮，所设置的结果显示在如图 3.25 所示的列表中，用户可以用同

样的步骤，自行将其他组中的“我的文档”文件夹定向到网络上。

图3.24 【指定组和位置】对话框 图3.25 列表中显示的组和路径位置

(8) 单击【确定】按钮，完成设置。

中小网络管理维护一点通 48

提示： 如果要对重定向的文件夹进行编辑或删除操作，可以选择图 3.18 所示的【编

辑】或【删除】按钮。【编辑】操作可以改变文件夹的定位方向，当用户要

重新定向文件夹时可以选择一个新建的共享目录。

设置完成以后，在用户退出时，就会发现计算机将出现一个提示信息窗口，这说明用

户在自己的计算机桌面上所进行的修改正在被计算机与网络上设置共享文件夹的计算机进

行数据同步工作。当用户到网络上的另外一台计算机上以自己的用户名登录时，就会发现

桌面的设置与在自己的计算机上的设置是相同的。如图 3.26 所示是在服务器上自动为用户

wangdong 所建立的文件夹，这就验证了前面的内容。用户 wangdong 对桌面的设置都会保

存在这个文件夹中。

图3.26 设置的用户wangdong的桌面文件夹

3.4 设置组策略的安全

为了保证用户的计算机不受其他外来因素的入侵，保护计算机上数据的安全性。安全

设置在组策略中是比较重要的内容，在组策略中可以设置与系统安全相关的内容。例如：

密码的长度最小值、账户锁定阈值、在本地登录、用户试图登录时消息文字和系统记录保

持天数等，这些内容都可以在组策略中进行设置。由于安全设置的内容较多，下面仅以账

户策略为例进行介绍。

(1) 单击【开始】|【程序】|【管理工具】|【Active Directory 用户和计算机】命令。

(2) 在域上右击，在弹出的快捷菜单中单击【属性】命令。

(3) 单击组策略属性标签，打开组策略窗口，然后切换到【计算机配置】|【Windows

设置】|【安全设置】节点，如图 3.27 所示。

可以看到【安全设置】节点下包含的多个节点。仅以【账户策略】为例进行介绍，单

击图 3.27 所示的【账户策略】节点，用户将会看到图 3.28 所示的【账户策略】节点下包括

的【密码策略】和【账户锁定策略】等节点。

第 3 章 组策略 49

图3.27 组策略窗口

图3.28 账户策略节点

注意： 这几种与账户有关的策略只有应用在域中时才会生效，并且它们不受阻止策

略继承的限制。

1. 密码策略

【密码策略】节点是用来控制账户的密码设置，如【密码的长度最小值】和【强制密

码历史】等。下面解释各节点的设置项含义如下：

�� 密码必须符合复杂性需求：启用此策略，则账户密码的设置必须符合密码过滤器

的规定。这些规定包括：指定密码大小写，密码必须使用字母或数字，以及密码

能否与账户名字相同等。

�� 密码长度最小值：启用此策略，可以设置密码最少使用几个字符。一般情况下设

置最少为 6 个字符。

�� 密码最长存留期：启用此策略，密码使用期限超过所设置的期限时，系统会要求

用户改变密码。

�� 密码最短存留期：启用此策略，密码最少必须使用多长时间后，用户才可以改变。

中小网络管理维护一点通 50

�� 强制密码历史：启用此策略，密码必须间隔多少次，不同的设置才能重复使用。

�� 为域中所有用户使用可还原的加密来存储密码：启用此策略，表示以可还原的加

密方式来保存密码。

2. 账户锁定策略

切换到账户锁定策略，打开如图 3.29 所示的账户锁定策略节点。其所属的节点各项含

义如下：

�� 账户锁定阈值：启用此策略，可以定义用户登录失败几次后，账户被锁定。

�� 复位账户锁定计数器：启用此策略，可以设置多长时间以后将登录失败次数归零。

例如设置账户锁定阈值为 3 次，而复位账户锁定计数器为 10 分钟，那么当用户输

入 2 次错误密码后，为避免再次错误，导致账户被锁定，可以等待 10 分钟，让计

数器重新归零。这样用户就会又有 3 次重新输入的机会。

�� 账户锁定时间：启用此策略，可以设置账户被锁定时间。如设置 30 分钟，表示账

户将被锁定 30 分钟，以后还可以继续用此账户登录。

图3.29 账户锁定策略节点

3.5 组策略的应用机制和继承关系

上面几节介绍了组策略的建立和管理以及组策略的安全等，其实关于组策略远不止这

些操作，另外还有许多组策略的知识，例如组策略的应用机制和继承关系等。只有理解了

这些相关的知识，才能更好更合理地创建和管理组策略。

3.5.1 组策略的应用机制

组策略影响的区域非常广泛，域内所有的用户和计算机都会受到它的约束。组策略本

身所保存的是策略的设置，在使用组策略的时候，必须再进一步指定组策略所链接的对象，

才能将组策略应用到指定的对象上。组策略只能应用到 Active Directory 的站点、域或组织

第 3 章 组策略 51

单位上。所以必须针对 Active Directory 的站点、域或组织单位来设定组策略。

组策略和 Active Directory 的站点、域或组织单位之间关系可以是一对一、一对多或多

对一的关系。例如：一个站点可以应用一个组策略；多个组织单位可以应用一个组策略；

一个组织单位可以应用几个不同的组策略。图 3.30 所示表示其对应的关系。

图3.30 组策略链接关系图

另外在应用组策略继承关系的时候，会遇到企业中存在的服务器版本的不同，例如：

有老版本的 Windows NT 和 Windows 2000 Server，当存在多个策略时，应用的顺序如下：

(1) Windows NT4.0 策略

(2) 本地组策略

(3) 站点组策略

(4) 域组策略

(5) 组织单位组策略

如下图 3.31 所示为策略的应用顺序：

图3.31 组策略的应用顺序

中小网络管理维护一点通 52

如果策略的设置中存在冲突，应用顺序靠后的策略设置具有优先权，覆盖先前的策略

设置，例如组织单位的优先权高于域组策略。

3.5.2 组策略的继承与阻止

组策略是由上层组织单位传到下层组织单位的，如果为上层组织单位指派了特定的“组

策略”，那么这个组策略只适用于这个上层组织单位以下的所有组织单位，包括每个组织

单位中的用户和计算机对象。但是，如果明确要为某个下层组织单位指定组策略设置，则

下层组织单位的组策略设置将覆盖上层组织单位的设置。图 3.32 所示为组策略继承图示。

图3.32 组策略继承图示

�� 如果上层组织单位具有没有配置的策略设置，则下层组织单位将不能继承这些策

略。禁用的策略设置继承后也是禁用的。如果为上层组织单位配置了一项策略，

而在其下层组织单位中没有配置相同的策略，那么下层组织单位将继承上层组织

单位的策略设置。

�� 如果上层策略和下层策略是兼容的，那么其下级可以继承上级策略，其子设置也

是可用的。只要策略兼容，它们就可以继承。如果为上层组织单位配置的策略和

下层组织单位配置的同一策略不兼容，下级将不能继承上级的策略设置。这时下

级中的设置是可用的。

�� 如果在下层组织单位上设置了阻止策略继承，则上层的策略会被阻止到下层组织

单位上来。这样下层的用户就不会受到上层组织单位中策略的制约，如图 3.33 所

示。

对于阻止策略继承还可以设置“强制策略继承”，“强制策略继承”在组策略上的设

置选项称为“禁止取代”。这样当下层的组织单位即使设置为“阻止策略继承”时，也会

被上层设置为“禁止取代”的组策略所取代，这就是说当下层组织单位与上层组织单位产

生冲突时会以设置为“禁止取代”的组策略为准。

第 3 章 组策略 53

图3.33 设置阻止策略继承

注意： “阻止策略继承”与“禁止取代”虽然都可以用来规划较有弹性的组策略，

但如果使用过度的话，会使得整个组策略的结构错综复杂，因此在使用的时

候尽可能不要滥用。

第 4 章 使用 DHCP 动态分配 IP 地址

本章概述：

随着网络规模的逐渐扩大，让管理员为所有计算机逐一指定 IP 地址变得越来越困难，

因此 IP 地址的分配及管理越来越成为一个急需解决的问题。本章以 DHCP 服务的实现及管

理为主线，对 DHCP 服务的使用进行了详细地介绍。在注重实用性的同时，对与之相关的

知识也作了详细地讲述。

学习目标：

�� DHCP 服务的组建过程

�� Ipconfig 命令的使用

�� 作用域的创建

�� 对作用域的管理

在使用静态 IP 地址时，如果要将一台电脑接入局域网，必须首先查清还有哪些可用的

IP 地址。否则，就有可能出现两台电脑被指定为同一个 IP 地址而导致网络出现问题。另外

还可以作一个假设：如果有 20 个可用的 IP 地址，而现在电脑却有 30 台，这样为每台计算

机指定一个固定的 IP 地址显然无法办到。如果要继续使用静态 IP 地址，那惟一的选择是

让其中的 10 台计算机不接入网络。

为了解决这些问题，人们引入了 DHCP 服务。DHCP 服务通过动态分配 IP 地址，集

中管理 TCP/IP 配置信息的分配和 DHCP 客户机的其他 TCP/IP 配置信息。通过使用 DHCP

服务，可以避免手工配置 TCP/IP 可能带来的诸多问题，并能有效地提高 IP 地址的利用率。

在本章中将以 DHCP 服务的功能、运行机制、安装、配置和管理为主线对 DHCP 服务进行

详细地讲述。

DHCP(Dynamic Host Configuration Protocol，动态主机地址配置协议 )是 BOOTP

(Bootstrap Protocol，引导协议)的扩展，是以用户数据报协议 /网际协议(UserDatagram

Protocol/Internet Protocol，UDP/IP)为基础，用来简化 IP 配置管理的 TCP/IP 协议标准。

DHCP 服务器可以自动指定 IP 地址给使用 DHCP 客户端的计算机，使网络管理人员能

够集中管理 IP 地址的发放，从而避免了手动设置 IP 地址可能遇到的诸多问题。这也正是

DHCP 出现并被广泛使用的原因。

具体来说，在网络中使用 DHCP 服务器有如下优点：

�� 管理员可以集中为整个互联网指定通用和特定子网的 TCP/IP 参数，并且为使用保

留地址的客户机定义参数。

�� 客户不需要手工配置 TCP/IP。客户机在子网移动时，计算机一旦启动，系统会自

动地从 DHCP 服务器中获得一个 IP 地址，并得到相应的配置信息。

第 4 章 使用 DHCP 动态分配 IP 地址 55

�� 大部分路由器可以转发 DHCP 配置请求，因此互联网的每个子网并不都需要

DHCP 服务器。

�� 能保证 TCP/IP 协议的正确配置，有效地避免将一个 IP 地址分配给两个不同的计

算机。

要动态分配 IP 地址给计算机，必须先在局域网中安装 DHCP 服务器，然后将客户端计

算机设置为向 DHCP 服务器自动获得 IP 地址，这样在 DHCP 客户端出现下列情况之一时，

客户机便会通过广播方式向 DHCP 服务器要求分配 IP 地址。

�� DHCP 客户机上的 TCP/IP 第一次初始化。

�� 客户机申请一个特定的 IP 地址并被拒绝，这可能是因为 DHCP 服务器取消租用

客户机以前曾租用过的一个 IP 地址，但又释放了这个 IP 地址，并要申请一个新的。

服务器在收到客户机的请求后，就会返回一个尚未使用的 IP 地址，并给出相关的信息

(包括：默认网关、子网掩码、DNS 或 WINS 服务器地址等)一并发送给发出请求的客户机。

4.1 安装 DHCP 服务器

前面介绍了 DHCP 服务的功能，而要实现这些功能首先就要安装 DHCP 组件，并对域

中的 DHCP 服务器授权。完成这两项工作 DHCP 服务器才能向客户端提供动态的 IP 地址。

4.1.1 安装 DHCP 组件

在安装 DHCP 组件之前，有两点必须注意：第一，作为 DHCP 服务器的计算机系统必

须是 Windows 2000 Server 或更高版本，且该计算机已经连接到域中；第二，DHCP 服务器

本身必须有固定的 IP 地址。

如果满足上面的两个条件，要使这台计算机充当 DHCP 服务器，只要完成 DHCP 组件

的安装即可。安装 DHCP 组件的步骤如下：

(1) 单击【开始】|【设置】|【控制面版】命令，打开控制面版。再双击【添加/删除

程序】图标，打开【添加/删除程序】对话框。

(2) 单击【添加/删除 Windows 组件】按钮，打开【Windows 组件向导】对话框，如

图 4.1 所示。

中小网络管理维护一点通 56

图4.1 【Windows组件向导】对话框

第 4 章 使用 DHCP 动态分配 IP 地址 57

(3) 选中【网络服务】复选框后，单击【详细信息】按钮，打开【网络服务】对话框。

在【网络服务】对话框中选中【动态主机配置协议(DHCP)】复选框，如图 4.2 所示。

图4.2 【网络服务】对话框

(4) 单击【确定】按钮，再次返回到图 4.1 所示的对话框中。后面的安装步骤，用户

可以根据提示完成，此处不再赘述。

4.1.2 添加 DHCP 服务器

前面介绍了 DHCP 组件的安装，这一小节再来介绍一下如何将 DHCP 服务器添加至

【DHCP】管理控制台。这一操作主要是为了便于对 DHCP 服务器的管理。添加 DHCP 服

务器到【DHCP】管理控制台的操作步骤如下：

(1) 单击【开始】|【程序】|【管理工具】|【DHCP】命令，打开【DHCP】管理控制

台，如图 4.3 所示。

图4.3 【DHCP】管理控制台

(2) 选中 DHCP 图标，然后单击【操作】|【新建服务器命令】，打开【添加服务器】

对话框，如图 4.4 所示。

中小网络管理维护一点通 58

(3) 选中【此服务器】单选按钮，然后单击【浏览】按钮，会打开如图 4.5 所示的【输

入网络密码】对话框。要求用户输入所在域的网络账号和密码。在该对话框中一

定要输入隶属于 Domain Admins 组的用户账号和密码，否则系统会弹出错误提示

信息。

图4.4 【添加服务器】对话框 图4.5 【输入网络密码】对话框

提示： 如果只希望管理已被授权的 DHCP 服务器，请选中【经过身份验证的 DHCP

服务器】单选按钮。这里需要注意的是只能管理处于信任域中的 DHCP 服务器。

(4) 在图 4.5 所示的对话框中，输入属于 Domain Admins 组的用户账号和密码后，单

击【确定】按钮，打开【选择计算机】对话框。

(5) 选择域中的一台计算机(本例中为 hanhy)，然后单击【确定】，再次返回到如图 4.4

所示的【添加服务器】对话框。单击【确定】按钮打开 DHCP 管理控制台，如图

4.6 所示。

图4.6 添加了DHCP服务器后的DHCP管理控制台

要添加多个 DHCP 服务器，重复上面的操作即可。

注意： 这里所说的添加服务器并不是普通意义上的添加，因为这里所说的添加只是

将已存在的 DHCP 服务器添加到管理控制台中，所以说这里的添加不是为了

新建一个服务器而是为了管理所存在的 DHCP 服务器。

新添加的 DHCP 服务器

第 4 章 使用 DHCP 动态分配 IP 地址 59

4.1.3 授权 DHCP 服务器

要让一个 DHCP 服务器能向客户机提供服务需要完成 DHCP 组件的安装并为其授权。

前面已介绍了 DHCP 组件的安装，下面来介绍如何为 DHCP 服务器授权。

在 Windows 2000 的域中，未经授权的 DHCP 服务器则会被视为不合法的服务器，系统

会强制其停止服务。因此 DHCP 服务器必须被授权后，才能向客户机提供服务。

要授权给 DHCP 服务器，必须以域管理员的身份登录，因为只有 Domain Admins 组的

用户才有执行授权 DHCP 服务器的权利。单击【开始】|【程序】|【管理工具】|【DHCP】

命令，打开 DHCP 管理控制台，如图 4.6 所示。

在服务器的图标上右击，并在弹出式菜单中执行【授权】命令，然后按 F5 键进行刷新，

结果如图 4.7 所示。

图4.7 授权后的DHCP管理控制台

可以发现图 4.6 中状态栏由“未连接”变成了图 4.7 中的“运行中”。这说明该 DHCP

服务器已经成功授权，表示该服务器可以为客户机提供服务。

4.2 DHCP 作用域的创建

在上一节中介绍了如何添加和授权一个 DHCP 服务器，接下来再为所添加的 DHCP 服

务器建立一个名为“IP 作用域”的作用域。作用域是租用给 DHCP 客户机的有效的 IP 地

址范围，当收到客户端的 IP 地址请求后，DHCP 服务器就会从这个作用域中，选择一个尚

未被分配的 IP 地址给客户端。

作用域指能够通过租用和保留分配给客户端的 IP 地址的地址池。在一个 DHCP 服务器

中可以建立多个作用域，作用域大致可分为以下三类。

普通作用域：用来为 A、B、C、D 类网络分配 IP 地址的地址池。网络分类如下：

�� A 类网络：IP 地址从 1.0.0.0 到 126.255.255.255

�� B 类网络：IP 地址从 128.0.0.0 到 191.255.255.255

�� C 类网络：IP 地址从 192.0.0.0 到 223.255.255.255

�� D 类网络：IP 地址从 224.0.0.0 到 239.255.255.255

中小网络管理维护一点通 60

超级作用域：作用域的容器，可以向其中添加其他作用域。创建超级作用域主要是为

了简化对多个作用域的管理。

多播作用域：为 D 类网络分配 IP 地址池，除了具有一个从 A、B 或 C 类网络分配的

标准 IP 地址外，计算机可用多播 IP 地址作为其辅助 IP 地址。

4.2.1 建立普通 IP 作用域

建立作用域的方法比较简单，在要建立作用域的服务器图标上单击鼠标右键，在弹出

的快捷菜单中选择【新建作用域】命令，然后按向导的提示安装即可。不过如果你是一个

初学者请参考下面的操作步骤：

(1) 右击要操作的服务器图标，在弹出式菜单中选择【新建作用域】命令，打开【新

建作用域向导】对话框。

(2) 单击【下一步】按钮，打开指定作用域名对话框，如图 4.8 所示。在该对话框中

需要输入一个作用域名称(在本例中为“作用域 1”)，同时也可以在说明文本框中

输入一些说明性的文字，为要建立的作用域提供一个描述，如：建立作用域以了

解建立作用域的方法。

图4.8 【新建作用域向导】对话框

(3) 然后单击【下一步】按钮打开【IP 地址作用域】对话框，如图 4.9 所示。在此对

话框中用户要在起始 IP 地址和结束 IP 地址中分别输入一个 IP 地址，以将这个连

续的地址段作为作用域的地址范围。在本例中分别输入“192.168.8.100”和

“192.168.8.200”。

(4) 单击【下一步】按钮打开【添加排除】对话框，如图 4.10 所示。在上面的对话框

中指定了一个连续的 IP 地址作用范围，如果想在作用域中除去一些 IP 地址或 IP

地址段，就可以在图 4.10 所示的对话框中实现。

第 4 章 使用 DHCP 动态分配 IP 地址 61

图4.9 指定作用域的IP 地址范围

图4.10 排除IP地址中的一部分作用域

(5) 单击【下一步】按钮，打开的对话框如图 4.11 所示。

图4.11 指定IP地址租约期限

中小网络管理维护一点通 62

在图 4.11 所示的对话框中，可以用来指定 IP 地址的租约期限，缩短租约期限可以

避免客户端长时间关机(或死机)却仍占用 IP 地址，而造成对 IP 地址的浪费。其默

认的租用期限为 8 天，不过用户可以根据自己以及企业的实际情况，通过单击图

4.11 中的各个微调按钮来设定合适的租约期限。

(6) 单击【下一步】按钮，打开【配置 DHCP 选项】对话框，如图 4.12 所示。

图4.12 打开【配置DHCP选项】对话框

如果希望将 DNS、WINS 服务器以及默认网关的设置一起传送到客户端，请在图

4.12 所示的对话框中选中【是，我想现在配置这些选项】单选按钮。反之，请选

中【否，我想稍后配置这些选项】单选按钮。

(7) 选中【是，我想现在配置这些选项】单选按钮，单击【下一步】按钮打开【新建

作用域向导】对话框，如图 4.13 所示。

图4.13 【新建作用域向导】对话框

在【新建作用域向导】对话框中，可以用来设定默认网关的 IP 地址。所谓网关就

是能够用于连接到多个物理 TCP/IP 网络的系统，并可以在它们之间进行选择或交

付 IP 数据包。利用网关可以在不同的传输协议或数据格式之间进行转换，而用户

第 4 章 使用 DHCP 动态分配 IP 地址 63

通常也正是为了利用它的转换能力而将其添加到网络中，因此说网关的 IP 地址也

就是提供这种转换服务的设备的 IP 地址。

(8) 将网关的 IP 地址输入到【IP 地址】文本框中，然后单击【添加】按钮，则所添加

的 IP 地址出现在下面的列表框中。重复这一操作，可设置多个默认网关 IP 地址，

如图 4.14 所示。在提供网关服务时较上者优先，因此可以通过改变这些默认网关

的 IP 地址的位置来改变它们的优先顺序。要调整网关的 IP 地址位置请单击【上

移】或【下移】按钮。

图4.14 提供多个默认IP地址

(9) 输入默认网关的 IP 地址后，单击【下一步】按钮，打开的对话框如图 4.15 所示。

图4.15 指定DNS服务器的IP地址

在【服务器名】文本框中输入指定给客户端使用的 DNS 服务器名称，单击【解析】

按钮，则 DNS 服务器的 IP 地址将出现在【IP 地址】文本框中，再单击【添加】

按钮，【IP 地址】文本框中的服务器 IP 地址加入到下面的清单中。

(10) 单击【下一步】按钮，打开 WINS 服务器对话框，如图 4.16 所示。

中小网络管理维护一点通 64

图4.16 指定WINS服务器的IP地址

(11) 与第 9 步的操作方法相似，将 WINS 服务器的 IP 地址也加入到下面的清单中。单

击【下一步】按钮打开【激活作用域】对话框。选中【是，我想现在激活此作用

域】单选按钮，打开新建作用域向导的完成画面，单击【完成】按钮完成作用域

的添加。

到此为止已完成作用域的添加，现在来检查一下添加的效果。单击【开始】|【程序】|

【管理工具】| DHCP 命令，再次打开 DHCP 管理控制台，如图 4.17 所示。

图4.17 建立作用域后的DHCP管理控制台

提示： 重复上面的步骤可以在一个 DHCP 服务器上建立多个作用域。

4.2.2 建立超级作用域

超级作用域是作用域的容器，可以向超级作用域中添加其他的作用域，而普通作用域

则不行，这也就是超级作用域与普通作用域的区别。超级作用域是作用域的容器，在这一

点上与 Active Directory 中的组织单位是其他对象的容器有些相似。超级作用域能够帮助管

理网络中可用的作用域。通过超级作用域，可以使用同一个操作来激活或禁止多个作用域，

或用来查看超级作用域中所有作用域的统计信息。

创建超级作用域的步骤如下：

新建的作用域

第 4 章 使用 DHCP 动态分配 IP 地址 65

(1) 在 DHCP 管理控制台中，右击要操作的服务器，在弹出式菜单中选中【新建超级

作用域】命令，打开【新建超级作用域向导】的欢迎画面。

(2) 单击【下一步】按钮，再在【名称】文本框中输入要建立的超级作用域名称，本

例中为 Super1。

(3) 单击【下一步】按钮，打开【可用作用域】对话框。在【可用作用域】列表中单

击相应的项目选择个别作用域。如果要同时选择多个作用域，可在单击的同时按

下 Shift 或 Ctrl 键。

(4) 单击【下一步】按钮打开新建立超级作用域的完成画面，如图 4.18 所示。

图4.18 新建超级作用域的完成画面

(5) 单击【完成】按钮，完成超级作用域的创建。

4.2.3 作用域的停用/激活/删除

要停用作用域，请在 DHCP 管理控制台中右击要进行操作的已激活的作用域，如图 4.19

所示。在弹出式菜单中单击【停用】命令即可。

图4.19 停用/启用/删除IP作用域

激活 IP 作用域的方法与停用作用域的方法相似，右击没有被激活的作用域，然后在弹

出式菜单中单击【停用】命令即可。

要删除 IP 作用域，可右击要删除的作用域，再在弹出式菜单中单击【删除】命令即可。

中小网络管理维护一点通 66

4.3 管理 DHCP 作用域

在上一节中介绍了 DHCP 作用域的创建，从图 4.24 可以看出在一个作用域中有地址池、

地址租约、保留、作用域选项 4 个文件夹，通过对这些文件夹的设置可以指定可分配的 IP

地址范围、IP 地址的租约期限等以满足用户的不同要求，并实现对作用域的管理。这一节

就来详细介绍如何管理 DHCP 作用域。

4.3.1 添加新的地址池排除范围

在创建 DHCP 作用域时，系统会提示输入这个作用域的起始 IP 地址。有时需要将一个

作用域中的一部分 IP 地址保留或由于其他原因而将其中的一部分 IP 地址排除在这一作用

域之外。要实现这一目标可通过新建一个新的 IP 地址排除范围来实现。新建一个排除范围

的操作步骤如下：

(1) 打开 DHCP 管理控制台并展开要进行操作的

作用域，然后右击【地址池】图标，在弹出

式菜单中选中【新建排除范围】命令，打开

【添加排除】对话框，如图 4.20 所示。

(2) 在【起始 IP 地址】和【结束 IP 地址】文本

框中输入一个起始 IP 地址和结束 IP 地址，

然后单击【添加】按钮。这样就会将起始 IP 地址与结束 IP 地址所构成的 IP 地址

范围排除到现有的作用域之外。

注意： 起始 IP 地址和结束 IP 地址所形成的地址范围必须是当前的作用域中所设置

的范围的一个子集，并且当前没有被正在使用。

(3) 重复上面的步骤可以添加多个排除范围，最后单击【关闭】按钮完成操作。结果

如图 4.21 所示。

图4.21 DHCP管理控制台

图4.20 【添加排除】对话框

第 4 章 使用 DHCP 动态分配 IP 地址 67

4.3.2 IP 地址的保留

对于 DNS 与 WINS 这类需要固定 IP 地址的服务器而言，除了手动设置它们的 IP 地址

(请务必保证这些 IP 地址在 IP 作用域的范围之外)之外，还可以利用 DHCP 的 IP 地址保留

功能，保留某些 IP 地址，专门分配给 DNS 与 WINS 服务器，当然为了某种特殊需要也可

以为普通的客户机保留固定的 IP 地址。保留 IP 地址的操作步骤如下：

(1) 在保留图标上单击鼠标右键，在弹出式菜单中选择【新建保留】命令，打开【新

建保留】对话框，如图 4.22 所示。

图4.22 【新建保留】对话框

(2) 在【保留名称】文本框中输入一个便于记忆的名称(在本例中输入“DNS 服务器专

用”)。在【IP 地址】文本框中输入要为目标计算机保留的 IP 地址(在本例中是要

为“DNS 服务器专用”的 IP 地址)：192.168.8.8。在【MAC 地址】文本框中输入

目标计算机的 MAC 地址，本例为 00-E0-4C-69-1F-46。查看计算机 MAC 地址的

方法请参见 4.4.2 节。

(3) 单击【添加】按钮，结果如图 4.23 所示。

图4.23 保留IP地址

新增加的保 留地址

中小网络管理维护一点通 68

重复上面的步骤，就可以为多个客户端保留固定的 IP 地址。

注意： DHCP 的保留功能不能够保留 IP 地址给 DHCP 服务器本身或其他的 DHCP

服务器，也就是说 DHCP 服务器的 IP 地址必须手动设置。

4.3.3 设置作用域选项

在介绍新建作用域时曾介绍过如何传送 IP 地址以及如何传送 DNS、WINS 服务器及默

认网关等设置的数据。如果客户端有对这些数据的请求，DHCP 服务器会将这些数据连同

IP 地址一起送出去。

这里再介绍一种设置这些数据的方法：配置作用域选项。配置作用域选项的具体操作

方法如下：

右击【作用域选项】图标，在弹出式菜单中选择【配置选项】命令，打开【作用域选

项】对话框，如图 4.24 所示。

图4.24 【作用域选项】对话框

从图 4.29 可以看出，在可用选项字段中列出了许多选项，但在实际应用中常用的只有

几项。表 4.1 给出了配置 DHCP 服务器和作用域常会用到的一些选项。

表4.1 常用作用域选项

选 项 说 明

003 路由器 路由器的 IP 地址，比如默认网关地址。在客户机上本地定义的默认网

关比 DHCP 优先。检查客户机的 Default Gateway 文本框是否是空的，

以确定路由信息是否被发送到客户机。

006DNS 服务器 DNS 服务器的 IP 地址，在客户机本地定义的 DNS 比 DHCP 选项优先。

确定客户机上的“自动获得 DNS 服务器 IP 地址”单选按钮已被选中。

015DNS 域名 客户机解析的 DNS 域名。

第 4 章 使用 DHCP 动态分配 IP 地址 69

续表

选 项 说 明

044WINS/NBNS 服务器 客户机的 WINS/NBNS 服务器的 IP 地址。如果客户机上的 WINS 服务

器地址是手工配置的，那么，此配置比 DHCP 选项的配置优先。

046WINS/NBNT 节点类型 客户机使用的 TCP/IP 命名解析的网络基本输入/输出系统(NetBIOS)类

型。选项值为 1=B 节点(广播)，2=P 节点(对等)，4=M 节点(混合型)，

8=H 节点(复合型)。

047NetBIOS 域 ID TCP/IP 的本地 NetBIOS 作用域 ID。TCP/IP 的 NetBIOS 只和使用同一

个作用域 ID 的其他 NetBIOS 主机通信。

通过表 4.1 可以知道各选项的作用，要启用这些选项，选中要使用项前面的复选框，

然后对其进行相应的设置即可。

4.4 配置 DHCP 客户端

在前面几节中完成了 DHCP 服务器的安装与管理，但要想让 DHCP 服务器能够服务于

客户端，还需要进行客户端的配置，这也正是本节要介绍的内容。

4.4.1 设置 DHCP 客户端

在前面的几个小节中介绍了 DHCP 组件的安装及一些常用操作，但如果想让客户端得

到这种服务必须对客户端进行设置。要配置 DHCP 客户端，请按下面的步骤进行：

图4.25 【本地连接 属性】对话框

(1) 右击桌面上的【网上邻居】图标，在弹出菜单

中选择【属性】命令，打开【网络和拔号连接】

对话框。在打开的【网络和拔号连接】对话框

中右击【本地连接】的图标，并执行【属性】

命令，打开【本地连接 属性】对话框，如图

4.25 所示。

选中【Internet 协议(TCP/IP)】复选框，然后单

击【属性】按钮，打开【Internet 协议(TCP/IP)

属性】对话框，如图 4.26 所示。

(2) 在图 4.26 所示的对话框中选中【自动获得 IP

地址】单选按钮，便可使本机成为 DHCP 客户

端(如果想成为 DHCP 客户端，请务必选中此

项)。如果要求服务器将 DNS 服务器的 IP 地址

一起传送过来，请将【自动获得 DNS 服务器

地址】单选按钮也选中。否则，选中【使用下面的 DNS 服务器地址】单选按钮，并在

下面的文本框中输入 DNS 服务器的 IP 地址。

中小网络管理维护一点通 70

图4.26 【Internet协议(TCP/IP)属性】对话框

4.4.2 使用 Ipconfig 查看当前 TCP/IP 配置信息

前面几节介绍了 DHCP 服务器端的安装与配置及 DHCP 客户端的设置。完成这些设置

后，DHCP 服务便可以正常工作了，那么如何来检验 DHCP 服务的运行情况呢？这就需要

用到 Ipconfig 命令。

Ipconfig 是进行网络测试及故障排除时常常要用到的一个命令，主要用来查看当前计算

机的配置信息。使用 Ipconfig 命令可以用来检查主机的 TCP/IP 配置情况以及主机的 IP 地

址、子网掩码和网关等信息。

要执行 Ipconfig 命令，请执行【开始】|【程序】|【附件】|【命令提示符】命令，打开

命令提示符对话框，在命令提示后直接键入 Ipconfig 命令即可。下面给出了一个如图 4.27

所示的执行 Ipconfig 命令的结果图。

图4.27 执行Ipconfig查看TCP/IP配置信息

如果要得到更详细的配置信息，例如 MAC 地址，可在 Ipconfig 命令后加上参数/all。

图 4.28 为使用“/all”参数的一个结果图。

IP 地址

子网掩码

默认网关

第 4 章 使用 DHCP 动态分配 IP 地址 71

图4.28 使用参数/all

除了参数“/all”之外还提供了许多其他参数以满足用户的不同查寻要求。要查看这些

参数及其功能，可使用 “Ipconfig/？”命令，其执行结果如图 4.29 所示。

图4.29 查询Ipconfig命令中参数的功能

从图 4.29 可以看出 Ipconfig 的参数除了 all 外，还有 release 和 renew 等。当要将一个

客户机从一个子网移到另一个子网，客户机不再需要以前的 IP 地址时，就可以使用

Ipconfig/release 释放当前的 IP 地址。并执行 Ipconfig/renew 命令以从 DHCP 服务器中获得

新的 IP 地址。

用户可以根据上图中给出的各参数的功能及所要查询的方面，来确定检查主机的

TCP/IP 配置情况时所要使用的参数。

上面介绍了 Ipconfig 命令的使用，但作为一名管理员，还应熟悉以下命令。下面就将

各命令及其功能简单地介绍如下：

�� ARJ：显示和管理 Windows 2000 在本地网络上发送数据所用的软件到硬件的地址

MAC 地址

DHCP 服务器 IP 地址

DNS 服务器 IP 地址

中小网络管理维护一点通 72

映射。

�� AT：自动运行调度程序。

�� FTP：启动内置 FTP 客户机。

�� HOSTNAME：显示本地系统中的计算机名称。

�� NBTSTAT：显示在 TCP/IP 上用于 NetBIOS 的统计信息和当前连接。

�� NET：显示一系列有用的网络命令。

�� NETSTAT：显示当前 TCP/IP 连接和协议统计信息。

�� NSLOOKUP：在使用 DNS 时检查主机状态和 IP 地址。

�� PING：测试网络的连通性。

�� ROUTE：管理系统中的路由表。

�� TRACERT：在测试过程中确定到远程主机的网络路径。

第 5 章 DNS 服务

本章概述：

DNS 是域名系统 (Domain Name System) 的缩写，它已经成为网络技术中统一的标准

化规范。在设置 TCP/IP 协议的时候常会看到 DNS 的字样，这个名字看起来好像很抽象，

但它完成的功能和使用的方法却十分简单。另外，要想在一个大的网络环境中让 DNS 服务

淋漓尽致地发挥效用，却是一项非常复杂的系统工程。在 Windows 2000 网络里，理论上每

个主机都有一个全球惟一的 DNS 域名，而计算机只能识别数字形式的 IP 地址。DNS 服务

就是用来完成域名——IP 地址转换的工具。

本章首先介绍 DNS 服务的工作原理，然后再详细介绍 DNS 服务安装和各项设置的方

法。

学习目标：

�� DNS 服务是用来做什么的

�� DNS 服务器端的各种设置

�� DNS 客户机端的设置

�� 如何连上 Internet

5.1 DNS 服务的作用

日常生活中人们习惯于说“去 www.253.net 看新闻”或者是“到公司内部的服务器 server

上安装一个软件”，这些字母形式的名称都代表着网络上的一台主机。但把这些工作交给

计算机去做时却有了一个问题，计算机只能处理数字信息，只能认识数字形式的 IP 地址。

这就需要一个转换工具来把各机器的字母名称转换成 IP 地址 (例如：www.edu.cn

��202.112.0.36)，这个转换工具就是 DNS。

5.1.1 每个主机都有一个全球惟一的 DNS 域名

只要细心观察就可以看到，每一台主机不论它是在局域网中还是在 Internet 中，都有一

个很长的主机名，如：zhangsh.legand.com.cn。它表示的含义就是“张士华、联想、公司、

中国”，这就是这台机器在全球范围内的惟一标识，它就是该主机的 DNS 域名。 只要全球的主机都按此规则命名，那就可以形成一张遍及全球、自上而下的树状网络，

可轻松地解决 Internet 上主机标识的难题。比如，“host-a.范例.microsoft.com”这台主机在

全球的 DNS 命名网络中的位置，就可以根据它的 DNS 域名在全球范围的 DNS 命名体系图

第 5 章 DNS 服务 73

中清晰地标识出来，如图 5.1 所示。

图5.1 全球范围的DNS命名体系

提示： 在 Windows 早期版本 NT 4.0 中，每台主机都有两个名称：一个是只在局域

网中使用的名称 NetBIOS，主要使用 WINS 服务来管理；一个是只在 Internet

中使用的 DNS 域名，主要使用 DNS 服务来管理。在 Internet 迅猛发展的背

景下，应该在互联网 Internet 和公司内部的 Intranet 局域网环境中保持命名的

一致。于是微软在推出 Windows 2000 时，把这两种命名合二而一，这也是

微软创建适用于 Internet 的网络操作系统思想的一种体现。

5.1.2 DNS 完成域名和 IP 地址的转换

记住每台主机的 IP 地址对大多数人来说几乎是一件不可能完成的任务，这样较为形象

的字母形式的 DNS 域名较易为人们接受。但计算机只能处理数字形式的 IP 地址，要想让

计算机能识别字母形式的 DNS 名称，就必须进行 DNS 域名——IP 地址的转换，这就是 DNS

服务，如图 5.2 所示。

早期的 Internet 规模较小，主机名称和 IP 地址之间的映射关系数据量很小，仅仅使用

一个文本来记录下就可以了。主机和 IP 地址的变化量也很少，只需采用专人定时手工更新

的方式即可。但随着 Internet 的发展，所需处理的主机名称和 IP 地址之间的映射关系数据

量呈爆炸式增长，采用这些传统的方式已经无能为力了。

在这种情况下，就要由计算功能强大的计算机代替人工来完成这部分功能，通常是采

用给计算机添加上 DNS 服务功能的方式来进行的。在大部分中小型企业中，网络中计算机

的数量较少，维护任务量较轻，只需将 DNS 服务作为企业中指定服务器的一项功能或者是

一个工作组件安装和运行即可。

中小网络管理维护一点通 74

图5.2 DNS服务工作原理

5.2 设置 DNS 服务器

在中小企业的网络环境中，一般不需要专用的服务器来提供 DNS 服务，可以将 DNS

服务和 DHCP 服务两个组件安装在同一台服务器上。DNS 服务器端的各种设置主要有 5 种

操作：安装 DNS、建立区域、建立主机名、建立别名和建立反向区域。

5.2.1 安装 DNS 服务组件

一般情况下，在安装 Windows 2000 操作系统时会默认安装上 DNS 服务器。要想知道

服务器是否安装有 DNS 服务组件，可通过查看【开始】|【程序】|【管理工具】菜单的方

法。如果没有 DNS 这一选项，说明本服务器没有安装 DNS 服务组件。使用【控制面板】

中的【添加/删除程序】就可以添加 DNS 服务组件，具体操作步骤如下：

(1) 打开【添加/删除程序】窗口，单击【添加/删除 Windows 组件】按钮，如图 5.3

所示。

图5.3 【添加/删除程序】窗口

Server. domain.com.cn

zhangsh.domain.com.cn

zhouwl.domain.com.cn

shigf.domain.com.cn

www.microsoft.com

192.168.0.1

192.168.0.99

192.168.0.58

192.168.9.33

177.187.166.111

D

N

S

服

务

第 5 章 DNS 服务 75

(2) 在新打开的【添加/删除 Windows 组件】窗口中，单击【组件】按钮，如图 5.4 所

示。

图5.4 【添加/删除程序】窗口

(3) 在【Windows 组件向导】对话框中，双击【网络服务】选项，如图 5.5 所示。

图5.5 【Windows组件向导】对话框

(4) 在【网络服务】对话框中，单击选中【域名服务系统 DNS】复选框，如图 5.6 所

示。

(5) 单击【下一步】按钮，系统开始文件复制。

提示： 在复制文件过程中，可能会弹出如图 5.7 所示的对话框。这是因为 DNS 服务

器必须有一个静态不变的 IP 地址，在【TCP/IP 属性】对话框中手动指定一

个 IP 地址后安装工作即可继续进行。

(6) 复制工作完成后，弹出【完成“Windows 组件向导”】对话框，单击【完成】按

中小网络管理维护一点通 76

钮，即可完成 DNS 服务组件的安装。单击【开始】|【程序】|【管理工具】命令，

可以看到新增加了一个 DNS 选项。

图5.6 【网络服务】对话框

图5.7 【可选网络组件】对话框

5.2.2 新建一个 DNS 区域

DNS 的数据是一个庞大的树状结构，举例来说：easthuman.com 域中可能包含 300 台

计算机与 2 个子域，为了管理方便起见，可以将整个 DNS 结构分割成几个较小的区域，例

如分为“product.easthuman.com 区域”和“compile.easthuman.com 区域”。可以将这两个

区域分别建立在不同的 DNS 服务器上，然后指定两个管理器负责维护 DNS 服务器，如此

一来便能够提升 DNS 查询的性能(因为由不同的 DNS 服务器处理客户端的查询要求)以及

降低管理器的负担。

新建一个 DNS 区域的具体操作步骤如下：

(1) 单击【开始】|【程序】|【管理工具】| DNS 命令，打开 DNS 管理控制台，如图

5.8 所示。

(2) 选择所需设置进行工作的服务器，在【正向搜索区域】选项上右击，在弹出的快

捷菜单中选择【新建区域】命令，如图 5.9 所示。

(3) 弹出【新建区域向导】对话框，提示开始进行新建区域操作，如图 5.10 所示。

(4) 在【区域类型】向导页面中单击选择一种创建的区域类别，这里选择【Active

Directory 集成的区域】，如图 5.11 所示。

第 5 章 DNS 服务 77

图5.8 DNS管理工具窗口

图5.9 DNS管理工具窗口

图5.10 【新建区域向导】对话框

提示： 可选的区域类型有 3 类，各自特点如下：

�� Active Directory 集成的区域：这种类型和标准区域的不同之处在于：它

中小网络管理维护一点通 78

是把新建的区域保存在 AD 活动目录中，这样能和 AD 有着更紧密的联

系，更好地发挥 AD 效用。

�� 标准主要区域：正如其名字中所传达的信息一样，这种区域保存的是各

台计算机资源记录的正本数据，主要区域的正本数据能够复写到其他

DNS 服务器上对应的辅助区域中；此外，任何计算机数据的改变，只会

更新到主要区域的正本数据中。

�� 标准辅助区域：它是“主要”区域的一个“辅助”，起着一个备份的 DNS

服务作用。

图5.11 区域类型向导页面

(5) 在【区域名】向导页面的【名称】文本框中，输入要建立的区域名称，如图 5.12

所示。

图5.12 区域名向导页面

第 5 章 DNS 服务 79

(6) 弹出【正在完成新建区域向导】页面，单击【完成】按钮即可完成区域的创建，

如图 5.13 所示。

图5.13 正在完成新建区域向导页面

提示： 区域名称也就是主机 DNS 域名中的长长的后缀，如 zhangsh.legand.com.cn 这

个主机名中.legand.com.cn 就是区域名称。如想建成在线企业网络或为企业以

后全面融入 Internet 作准备，企业就要专门从 Internet 管理机构申请一个全球

通用的合格域名，当然这需要一部分开支。但如果企业不需要企业外部的其

他主机通过 DNS 域名来找到企业内的主机(不少网站就没有全球通用的 DNS

域名，在 Internet 中只能采用 IP 地址进行标识)，大部分企业的局域网络不提

供各种在线服务甚至于根本没连上 Internet，那就可以随意命名。

5.2.3 使用 DHCP 服务自动填入映射数据

区域创建后，局域网中DNS 主机名和 IP 地址的映射数据如何添加到DNS服务器中呢？

最简便的操作方法是交给计算机来做。从第 5 章的 DHCP 服务中可知，局域网中的绝大部

分主机的 IP 地址都是由 DHCP 服务器来分发的。只要让 DNS 服务和 DHCP 服务结合起来，

在 DHCP 服务分配给各主机 IP 地址的同时，由 DHCP 服务器把这种映射数据直接写入 DNS

服务器即可。

进行 DNS 服务和 DHCP 服务之间配合工作的设置，主要有两个操作步骤。首先是在

DHCP 管理工具窗口，打开作用域【属性】对话框，在 DNS 选项卡中选中【总是更新 DNS】

单选按钮，如图 5.14 所示。

然后在 DNS 管理工具窗口，打开区域【属性】对话框，在【常规】选项卡中【允许动

态更新】下拉列表框中选择【是】选项，如图 5.15 所示。

进行完这两步设定后，在下次启动 DNS 管理工具窗口时，就可看到自动添加的各项包

括主机 DNS 域名和 IP 地址的映射数据。

中小网络管理维护一点通 80

图5.14 DHCP作用域【属性】对话框 图5.15 DNS区域【属性】对话框

5.2.4 手动添加主机名称和 IP 地址映射数据

使用 DHCP 服务自动填入映射数据的操作方法虽然很简单，但有时候还是满足不了一

些较为特殊的需求。这时就需要人工手动去添加一些映射数据，其具体操作步骤如下：

(1) 打开 DNS 管理工具窗口，在需手动添加映射的区域上右击，在弹出的快捷菜单中

选择【新建主机】命令，如图 5.16 所示。

图5.16 DNS管理工具窗口

(2) 弹出【新建主机】对话框，在【名称】文本框中输入主机名，在【IP 地址】文本

框中输入相应的 IP 地址，如图 5.17 所示。

提示： DNS 服务可以提供从主机名称到 IP 地址的转变，这样的一条映射关系称之

为客户主机(A)记录。同时 DNS 服务也可以提供从 IP 地址到主机名称的反向

转变，这样的一条映射关系称之为指针(PTR)记录。在【新建主机】对话框中

选中【创建相关的指针(PTR)记录】复选框，可以在新建主机记录的同时创建

反向的指针(PTR)记录。

第 5 章 DNS 服务 81

(3) 单击【添加主机】按钮，即弹出【成功地创建了主机记录】提示信息，如图 5.18

所示。

图5.17 【新建主机】对话框 图5.18 【成功地创建了主机记录】提示信息

(4) 在【新建主机】对话框中单击【完成】按钮，即可结束主机信息的添加。

提示： 可以手动添加一些不在本企业 DHCP 管辖范围之内主机的 IP 地址，如添加微

软公司的 IP 地址映射：www.microsoft.com��177.187.166.111。这样就免去

了向外部 DNS 服务器请求解析的过程。添加外部地址的映射可以采用先建立

一个区域，再添加主机信息的方法。

5.2.5 新建一个主机别名

有些情况下，一个 DNS 域名还不能够满足主机的需求。例如，可以给同一台主机同时

起两个名字：www.21dnn.com 和 www.beijingnews.com。通常把为主机所起的第二个和它以

后的主机名称称为主机别名。要想使主机别名能起到标识计算机的作用，就得在 DNS 中进

行专门的说明和标识，其具体操作步骤如下： (1) 打开 DNS 管理工具窗口，在要添加主机别名的区域上右击，在弹出的快捷菜单中

选择【新建别名】命令，如图 5.19 所示。

图5.19 DNS管理工具窗口

(2) 弹出【新建资源记录】对话框，在【别名】文本框中输入主机的别名，在【目标

中小网络管理维护一点通 82

主机的完全合格的名称】文本框中输入要建立别名的主机的完整的 DNS 域名，如

图 5.20 所示。

图5.20 【新建资源记录】对话框

(3) 单击【确定】按钮，即完成主机别名的添加，如图 5.21 所示。

图5.21 新添加的主机别名

主机别名建立后，这个别名能起到代替原主机名的作用，如图 5.22 所示。

图5.22 主机别名能起到代替原主机名的作用

第 5 章 DNS 服务 83

5.2.6 建立一个反向搜索区域

DNS 可以完成主机名到 IP 地址之间的双向转换，常用的把主机名转换成 IP 地址的这

种转换称为正向搜索，它所用到的数据集合也被称为正向搜索区域。反向搜索就是把 IP 地

址转换成主机名的过程，它所用到的数据集合也被称之为反向搜索区域。新建反向搜索区

域的具体操作步骤如下：

(1) 打开 DNS 管理工具窗口，在【反向搜索区域】选项上右击，在弹出的快捷菜单中

选择【新建区域】命令，如图 5.23 所示。

图5.23 DNS管理工具窗口

(2) 弹出【欢迎新建区域】向导页面，单击【下一步】按钮即可开始新建区域的操作。

(3) 弹出【选择区域类别】向导页面，选择一种区域类别，单击【下一步】按钮。

(4) 弹出【反向搜索区域】向导页面，在【网络 ID】文本框中直接输入该区域内主机

的 IP 地址前 3 段(也可以在【反向搜索区域名称】文本框中输入区域名称，这种

方法完成的功能一样但麻烦一些)，如图 5.24 所示。

图5.24 反向搜索区域

中小网络管理维护一点通 84

(5) 弹出【完成新建区域】向导页面，单击【完成】按钮，完成新区域的建立。

5.3 DNS 客户机的设置

企业里各种设备连上局域网后，如想使用 DNS 服务，首要的条件是这些设备必须知道

DNS 服务器的 IP 地址。客户机获得 DNS 服务器 IP 地址的方法有 2 种：一种是由 DHCP

服务器自动提供，另一种是由操作者手工静态指定。

第一种方法是由 DHCP 服务自动提供。这种方法即方便又好用，在客户端只要打开

TCP/IP 属性对话框，选中【自动获得 IP 地址】和【自动获得 DNS 服务器地址】两个单选

按钮即可，如图 5.25 所示。

图5.25 TCP/IP属性对话框

提示： 采用这种方法获得 DNS 服务器 IP 地址，需要在 DHCP 服务器上做下面的设

置：

�� 在【服务器选项】对话框中指派 DNS 服务器服务选项(选项 6)，并提

供一个经过配置的、由客户机配置使用的 DNS 服务器的有序 IP 地址构

成的列表。

�� 在【服务器选项】对话框中指派 DNS 域名选项(选项 15)，并为客户机提

供一个 DNS 后缀，以便附加在搜索条件中并在搜索时被使用，如图 5.26

所示。

第二种方法是手动静态指定 DNS 服务器地址。这种方法的操作很简单，只需打开

TCP/IP 属性对话框，直接在【首选 DNS 服务器】文本框中输入 DNS 服务器的 IP 地址即可，

如图 5.27 所示。

第 5 章 DNS 服务 85

图5.26 在DHCP 服务器上所作的设置

图5.27 TCP/IP属性对话框

5.4 DNS 如何解析 Internet 上的地址

Internet 上的主机成千上万，企业局域网中的用户在这个数据的大海里自由地冲浪，随

时都有可能选中一个主机地址交由企业内部的 DNS 服务器来解析。而企业内部的 DNS 服

务器要完成这样的任务，需要借助外部 DNS 服务器的力量，如何才能做到呢？要解决这个

问题，首先要了解一下 DNS 的整体解决方案。

在 Internet 中一两台 DNS 服务器是远远不够的，Internet 的管理机构在全球范围内组建

了一个 DNS 服务器网络。它的结构形式如同全球范围的 DNS 命名体系，表 5.1 列出了 DNS

名称中的一级域名及其含义。

中小网络管理维护一点通 86

表5.1 DNS一级域名含义表

域 名 �含 义

com �商业组织

edu �教育组织

org �政府机构

mil �军事团体

net �网络相关组织

org �其他组织

int �国际组织

通常使用 URL(以便一性资源标记)进行网络资源的定位。一般情况下，URL 具有固定

的形式，如：http://www.microsoft.com/windows/windows 2000，其中"http"是协议类型(如用

于 www 网站的 http 协议；用于 FTP 网站的 ftp 协议等)，"www.microsoft.com"是网站名称

即域名，"/windows/windows 2000"是资源在网站内部的具体位置。在实际的资源请求中，

将发生如下过程：首先用户在浏览器(例如 IE)的地址栏中输入上述 URL 地址，然后系统将

判断以何种协议进行通信，并通过某种方式将网站名称即域名解析为 IP 地址，最后利用得

到的 IP 地址，通过网络与目标网站所在的主机建立通信，并通过在 URL 中消息描述的资

源位置得到相应网络资源。

通常，解析 Internet 上的地址有 2 种解决方法：一种是转发器，一种是设置根域服务器

地址。采用根域服务器地址的方法是企业直接借助 Internet 里面的各种 DNS 服务器来帮助

自已完成地址的解析。例如：解析“example.microsoft.com”DNS 地址的工作过程如下：

(1) 企业的 DNS 服务器接收到客户机发送过来的一条地址解析请求。

(2) DNS 服务器首先辨别查询的名称在本机上有没有，如果有服务器则做出应答；如

果没有服务器则把请求信息转交给根域服务器。

提示： 根域服务器的设置在 DNS 管理工具的服务器的属性对话框中，右击 DNS 控

制台中的 DNS 服务器的标识，在弹出的快捷菜单中单击【属性】命令，打开

属性对话框。单击【根目录提示】标签，打开【根目录提示】选项卡，如

图 5.28 所示。

(3) 根服务器根据该 DNS 地址的一级域名把它交给相应的域名服务器。如本例中，根

服务器把“example.microsoft.com”地址的识别交给 com 服务器。

(4) 企业内部的 DNS 服务器从 example.microsoft.com 服务器得到 IP 地址后，把此 IP

地址送交给提出解析地址申请的 DNS 客户机，如图 5.29 所示。

除了上述方法外，使用转发器也可以解析 Internet 上的地址。DNS 服务器接受各种设

备向它发出请求解析的 DNS 域名地址。如果 DNS 服务器不认识这个 DNS 域名，也就是说

DNS 服务器没有这条请求的 DNS 域名的记录，那么它就把这些不认识的 DNS 域名统统转

发给另一台 DNS 服务器，由另一台 DNS 服务器来完成 DNS 域名地址的解析。作为转发器

的 DNS 服务器一般是企业里直接和 Internet 连线的服务器。

第 5 章 DNS 服务 87

图5.28 DNS服务器【属性】对话框

图5.29 DNS服务器使用根域服务器解析地址的步骤

使用转发器的设置方法是：在 DNS 控制台右击 DNS 服务器的标识，单击快捷菜单中

的【属性】命令，打开【属性】对话框。在【转发器】选项卡中输入要转发到的 DNS 服务

器的 IP 地址，如图 5.30 所示。完成后单击【确定】按钮即可。

图5.30 DNS服务器【属性】对话框

第 6 章 WINS 服务器的安装及管理

本章概述：

WINS 是 Windows Internet Name Service 的缩写形式，和 DNS 有些类似，它属于计算

机名称解析系统。WINS 扮演一个翻译的角色，主要从事计算机名称和 IP 地址之间的翻译

工作。在包含有 Windows NT、Windows 98、Windows 95 等操作系统的计算机网络中，安

装 WINS 服务器是很必要的。这一章介绍如何安装一台 WINS 服务器以及如何管理 WINS

数据库。

学习目标：

�� WINS 的运行机制

�� 安装 WINS 服务器

�� 让客户端使用 WINS 服务

�� 管理 WINS 数据库

6.1 WINS 的运行机制

在 TCP/IP 网络环境中，为了让用户容易记忆和管理计算机，需要为计算机取一个名字。

其中有 2 种名字：DNS 名称和 NetBIOS 名称。例如：“zhouwl.winge.com.cn”是 DNS 名

称，“zhouwl”是 NetBIOS 名称。无论哪种命名方式都只是方便了用户操作，而计算机之

间则是靠 IP 地址相互通信的，因此，从计算机名称到 IP 地址的切换工作，需要有一套名

称解析机制来完成。

Windows 2000 和 Linux 等系统采用 DNS 名称命名计算机，即主机名称+域名。计算机

之间的通信依赖 DNS 服务器进行名称解析来取得目标计算机的 IP 地址。Windows NT/98/95

等操作系统则是采用 NetBIOS 名称命名计算机，需要通过 WINS 服务器来进行名称解析，

获取目标计算机的 IP 地址。

在 Windows 2000 的计算机中，如果发出了带有 NetBIOS 名称的命令请求(例如：ping

zhouwl)，则系统首先将查询要求传送给 DNS 服务器，如果 DNS 服务器找不到目标计算机

的 IP 地址，Windows 2000 然后才询问 WINS 服务器。因此，如果网络中所有计算机都在

DNS 服务器中有相应的记录，Windows 2000 并不会用到 WINS 服务器。而在 Windows

NT/98/95 计算机上，如果执行了带有 NetBIOS 名称的命令，系统会首先询问 WINS 服务器，

当找不到目标计算机的 IP 地址时，才转而询问 DNS 服务器。

提示： 安装 WINS 服务器是为了兼容仍有 Windows NT/98/95 平台的网络环境。

第 6 章 WINS 服务器的安装及管理 89

WINS 服务就像是旅馆的旅客登记本一样，记录随时来登记住宿的旅客的姓名与房间

号码。当 WINS 客户端开机时，会将其 NetBIOS 名称和 IP 地址传送到 WINS 服务器的数

据库中。WINS 数据库中的每条记录都有保存期限，如果在期限内没有更新，则该记录将

会被删除。WINS 客户端会定期更新数据，并将新数据传送到 WINS 服务器中，不需要管

理员手动操作。当 WINS 客户端关机时，会通知 WINS 服务器，将其记录从数据库中删除。

对于 NetBIOS 名称，WINS 客户端通常执行以下步骤来解析计算机的名称：

(1) 检查需要搜寻的名称是否就是这台计算机本身的计算机名，如果不是则进行步骤

(2)。

(2) 检查本机的 NetBIOS 名称缓存。已解析过的计算机名字被放置在 NetBIOS 名称缓

存中，并保留 10 分钟。如果没有得到目标计算机的 IP 地址，则进行步骤(3)。

(3) 询问主要 WINS 服务器。如果主要 WINS 服务器没有回应(例如：当机、断线等)，

转向第(4)步。

(4) 询问辅助 WINS 服务器，如果没有回应，转向第(5)步。

提示： 最好建立辅助 WINS 服务器，当主要 WINS 服务器不能提供服务时，可以让查

询转向辅助服务器，使名称解析机制能有效地发挥作用。

(5) 在辅助 WINS 服务器都没有回应的情况下，客户端将会对整个子网络发送查询广

播。在同一个网络中，每台计算机都会收到客户端的查询广播，一旦发现自己的

名称符合客户端的要求，则返回其 IP 地址。

(6) 如果目标计算机不在同一个子网络中，客户端不能以广播方式得到 IP 地址，此时

客户端会转而检查 Lmhosts 文件中是否有所要的记录。

提示： Lmhosts 文件是一个纯文本文件，可以用记事本编辑，默认在 \WINNT\

system32\drivers\etc 目录中。将位于不同子网络的计算机记录添加到 Lmhosts

文件，可以解决广播方式不能跨越路由器的缺点。

6.2 安装 WINS 服务器

上一节介绍了 WINS 的运行机制后，接下来将介绍如何安装 WINS 服务器，其具体步

骤如下：

(1) 在光驱中放入 Windows 2000 安装光盘，在【控制面板】中双击【添加/删除程序】

图标，弹出如图 6.1 所示的【添加/删除程序】窗口。

(2) 单击【添加/删除 Windows 组件】按钮，然后单击【组件】按钮，将弹出【Windows

组件向导】对话框，如图 6.2 所示。

(3) 在【组件】列表框中选择【网络服务】项，单击【详细信息】按钮，弹出【网络

服务】对话框，如图 6.3 所示。

中小网络管理维护一点通 90

图6.1 【添加/删除程序】窗口

图6.2 【Windows组件向导】对话框

图6.3 【网络服务】对话框

(4) 选中【Windows Internet 命名服务(WINS)】复选，单击【确定】按钮，返回【Windows

组件向导】窗口。

(5) 在【Windows 组件向导】对话框中单击【下一步】按钮，此时安装程序开始配置

组件，将所需要的文件复制到硬盘上。

第 6 章 WINS 服务器的安装及管理 91

(6) 结束后将弹出【完成“Windows 组件向导”】对话框，单击【完成】按钮，便成

功地安装了 WINS 服务器。

完成 WINS 的安装后，需要重新启动该服务器，才能向网络提供 WINS 服务。另外，

在客户端也要指定所使用的 WINS 服务器，才能得到服务。

6.3 让客户端使用 WINS 服务

在客户端必须启用 WINS 解析和指定要使用的 WINS 服务器，所提出的解析要求才能

得到 WINS 服务器的响应。下面以 Windows 98 为例来说明如何让客户端使用 WINS 服务(至

于其他 Windows 系统的设置方法也都大同小异)，其具体方法如下：

(1) 在【控制面板】中双击【网络】图标，打开如图 6.4 所示的【网络】对话框。

图6.4 【网络】对话框

(2) 确保当前显示的为【配置】选项卡，在【已经安装了下列网络组件】列表框中选

择【TCP/IP】组件，然后单击【属性】按钮，打开【TCP/IP 属性】对话框。

(3) 打开【WINS 配置】选项卡，选中【启用 WINS 解析】单选按钮。在【WINS 服

务器搜索顺序】文本框中输入 WINS 服务器的 IP 地址，然后单击【添加】按钮，

该 IP 地址就被添加到下面的列表里了。如果 WINS 服务器不止一个，可以依照此

方法添加另一台 WINS 服务器的 IP 地址，如图 6.5 所示。

提示： 在列表框中选择一个 IP 地址，然后单击右侧的【删除】按钮，可以将其删除。

(4) 完成后单击【确定】按钮，返回【网络】对话框，然后再单击【确定】按钮。系

统复制文件完成后重新启动计算机即可。

这时 Windows 98 客户端就会自动将 NetBIOS 名称与 IP 地址传送到 WINS 服务器中。

在 WINS 服务器端单击【开始】|【程序】|【管理工具】|【WINS】命令，打开【WINS】

窗口。右击 WINS 服务器的【活动注册】项，从快捷菜单中选择【按名称寻找】命令，如

中小网络管理维护一点通 92

图 6.6 所示。在弹出如图 6.7 所示的【按名称查找】对话框中输入要查找的计算机名，例如

这台 Windows 98 计算机的名字为“zhouwl”。

图6.5 【WINS配置】选项卡

图6.6 【WINS】窗口 图6.7 【按名称查找】对话框

完成输入后单击【立即查找】按钮，系统便开始在 WINS 数据库中搜索“zhouwl”这

台计算机。从图 6.8 所示的搜索结果中可以看出：这台 Windows 98 计算机已经将其 NetBIOS

名称和 IP 地址传送到了 WINS 服务器中。

图6.8 按名称查找计算机的结果

第 6 章 WINS 服务器的安装及管理 93

6.4 管理 WINS 数据库

WINS 数据库中记录了 WINS 客户端的 NetBIOS 名称和 IP 地址，其中的数据一旦丢失

或错误，各客户端之间将不能正常通信。尤其在包含多个子网络的大型网络中，各子网络

的 WINS 数据库必须同步，一个子网络的计算机查询另一个子网络的计算机的请求才能够

得到正确的回应。因此还需要在各 WINS 服务器之间相互复制数据库。

6.4.1 复制 WINS 数据库

如果一个局域网包含多个子网络，每个子网络有其相应的 WINS 服务器，而一台 WINS

服务器负责本子网络中计算机的注册与查询，因此各子网络的 WINS 数据库是不相同的。

通过相互复制机制，能够使各 WINS 数据库保持同步，也能保证子网络之间相互沟通。

在复制 WINS 数据库时，有下面两个复制动作：

�� 推：按照一定的时间间隔，推入或通知其他 WINS 服务器来复制数据库。

�� 拉：按照一定的时间间隔，从其他 WINS 服务器那里拉出或请求已经更新的

WINS 数据库的副本。

通过“推”、“拉”复制动作，能使数据库具有同步性。就如同旅馆里的柜台告诉餐

厅要送几份餐点到客房(推复制)，而餐厅如果不清楚，则必须对柜台再询问一次(拉复制)。

通常情况下，主要 WINS 服务器对其他 WINS 服务器做“推”复制动作，称前者是后者的

“推伙伴”；而其他 WINS 服务器对主要 WINS 服务器做“拉”复制动作，称前者是后者

的“拉伙伴”。

注意： 若将 WINS A 设置为 WINS B 的推伙伴，则必须连带将 WINS B 设置为 WINS

A 的拉伙伴，否则 WINS B 不会复制 WINS A 的数据。因此，建议将 WINS 服

务器设置互为彼此的推伙伴及拉伙伴，这样可免除许多麻烦。

了解了推复制和拉复制的含义之后，下面就为 WINS 服务器建立复制伙伴，其具体步

骤如下：

(1) 在服务器【WINS】窗口中，右击 WINS 服务器的【复制伙伴】项，从快捷菜单

中选择【新建复制伙伴】命令，如图 6.9 所示。

(2) 在随后弹出的【新的复制伙伴】对话框中，输入要作为复制伙伴的服务器的名称

或 IP 地址，如图 6.10 所示。完成后单击【确定】按钮。

(3) 此时返回【WINS】窗口，在右侧的窗格中显示了新建立的复制伙伴，如图 6.11

所示。

右击新建的复制伙伴，从快捷菜单中选择【属性】命令。在【Server 属性】对话框中

打开【高级】选项卡，如图 6.12 所示。选项卡中的设置如下：

�� 【复制伙伴类型】：下拉列表框中有“推”、“拉”和“推/拉”3 种类型供选择，

建议保留默认设置。

�� 【开始时间】：输入每日开始进行复制的时间。

中小网络管理维护一点通 94

图6.9 【WINS】窗口 图6.10 【新的复制伙伴】对话框

图6.11 新建复制伙伴后的画面

�� 【复制间隔】：输入每间隔多长时间就复制 1 次。

�� 【在复制前版本 ID 改变的次数】：指出当 WINS 数据库做过多少次的变更后才开

始进行推复制。

�� 【为复制使用持续连接方式】：建议选中此项，让 WINS 服务器之间保持永久的

复制连接。因为每次完成复制后，WINS 服务器都会和其复制伙伴中断连接，所

以此功能可以帮助节省再次连接时所花费的时间。

图6.12 打开【高级】选项卡

第 6 章 WINS 服务器的安装及管理 95

提示： 除了设置复制时间，让系统自动复制数据库外，也可以手动马上开始复制：

右击 WINS 服务器的【复制伙伴】项，从快捷菜单中选择【马上复制】命令

即可。

6.4.2 备份 WINS 数据库

一些突发性事件可能会造成 WINS 服务器的数据流失，为了防范于未然，可以事先备

份 WINS 数据库，这样在数据丢失后，只需恢复备份即可。

备份 WINS 数据库的操作很简单，方法是：

(1) 在【WINS】窗口中，右击 WINS 服务器的名称，从快捷菜单中选择【备份数据

库】命令，如图 6.13 所示。

(2) 在弹出的对话框中选择一个存放备份数据的文件夹，单击【确定】按钮即可，如

图 6.14 所示。

图6.13 备份WINS数据库 图6.14 【浏览文件夹】对话框

除了这种手动备份 WINS 数据库外，还可以进行设置让系统自动备份。设置自动备份

WINS 数据库的具体步骤如下：

(1) 在【WINS】窗口中右击 WINS 服务器的名称，从快捷菜单中选择【属性】命令。

(2) 打开 WINS 服务器的【常规】选项卡，如图 6.15 所示。

图6.15 WINS 服务器的【常规】选项卡

中小网络管理维护一点通 96

(3) 单击【浏览】按钮，指定一个存放备份文件的文件夹。完成后单击【确定】按钮

即可。设置备份路径后，系统会每隔 3 小时自动将数据备份到选定的文件夹中。

提示： 选中【服务器关闭期间备份数据库】复选框时，则关机时系统会自动备份数

据库。

6.4.3 恢复 WINS 数据库

有数据库备份就会有恢复机制，图 6.13 中可以看到【备份数据库】命令的下面就是【恢

复数据库】命令。但该命令处于禁用状态，因为在恢复数据库之前，必须先停止 WINS 服

务。恢复数据库备份的具体操作步骤如下：

(1) 在【WINS】窗口中右击 WINS 服务器的名称，然后执行快捷菜单中的【所有任

务】|【停止】命令，WINS 服务就被停止了。

(2) 在【WINS】窗口中右击 WINS 服务器的名称，从快捷菜单中选择【恢复数据库】

命令，如图 6.16 所示。

(3) 在弹出的对话框中选择备份数据所在的文件夹，单击【确定】按钮即可。

图6.16 恢复数据库

提示： 恢复备份后，WINS 服务会自动启动，此时的 WINS 服务器便可以正常运

行了。

第 7 章 文件服务的管理

本章概述：

本章着重介绍了对文件的管理，首先从认识文件的结构开始，介绍了常用的文件结构

类型，接着分别对文件的共享管理、权限管理和安全管理进行了介绍，然后又结合实际，

介绍了怎样对敏感文件进行监视和分布式文件系统在企业网络当中的应用。通过学习用户

可以掌握文件服务管理所必需的知识，而且在实际应用中充分发挥 Windows 2000 文件服务

器的管理作用。

学习目标：

�� 认识文件结构

�� 对文件的共享管理

�� 对文件权限的管理

�� 对文件安全的管理

�� 对敏感文件的监视

�� 分布式文件系统

7.1 认识文件结构

在企业网络环境中，用户除了要对文件进行普通的操作以外，还需要实现某种形式的

共享，以便使资源得到最大的利用，同时处于安全的需要，还要对某些文件设置权限，以

便用户以特定的方式存取文件。

在现有的 Windows 2000 系统中，除了原有的 FAT 和 FAT32 文件系统以外，还增加了

NTFS 安全性更强的文件系统，利用 NTFS 文件系统可以对文件实现更多的管理，在这一章

里主要介绍文件共享、安全、加/解密的设置与管理。

在 Windows 2000 计算机上用户可以在 FAT、FAT32 和 NTFS3 种文件系统之间进行选

择，但这里推荐使用 NTFS 格式的文件系统。

7.1.1 FAT 文件和 NTFS 文件结构

与 FAT 和 FAT32 相比，NTFS 是最强大的文件系统。Windows 2000 Server 包括新版

本的 NTFS，它支持各种新功能(包括 ActiveDirectory)，而域、用户账户和其他重要的安全

特性都需要 Active Directory 功能。

表 7.1 中列出了 FAT 文件系统与 NTFS 文件系统所支持的文件系统，并且比较了每个文

中小网络管理维护一点通 98

件系统支持的磁盘和文件大小。

表7.1 FAT、FAT32、NTFS文件系统的比较

文件系统格式 支持的文件系统 支持的磁盘 文件大小

FAT 可以通过 MS-DOS、所有版本的

Windows、 Windows NT、 Windows

2000 和 OS/2 访问。

容量可从软盘大小到最大 4

GB。

不支持域。

最 大 文 件 大

小为 2 GB

FAT32 只 能 通 过 Windows 95 OSR2 、

Windows 98 和 Windows 2000 访

问。

容量从 512 MB 到 2 TB。在

Windows 2000 中，可以格式

化 一 个 不 超 过 32 GB 的

FAT32 卷。不支持域。

最 大 文 件 大

小为 4 GB。

NTFS 运行 Windows 2000 的计算机可以

访问 NTFS 分区上的文件。运行带

有 Service Pack 4 或更高版本的

Windows NT 4.0 计算机可能可以访

问某些文件。其他操作系统则无法

访问。

推荐最小的容量为 10 MB，推

荐实际最大的容量为 2 TB，

并可支持更大的容量。无法用

在软盘上。

文 件 大 小 只

受 卷 的 容 量

限制。

下面给用户详细列出了关于 NTFS 文件系统的新功能：

�� Active Directory：可用来方便地查看和控制网络资源。

�� 域：它是 Active Directory 的一部分，在简化管理的同时，依然可以使用域来调整

安全选项。域控制器需要 NTFS 文件系统。

�� 文件加密：它极大地增强了安全性。 可以对单个文件设置权限，而不仅仅是对文

件夹进行设置。

�� 稀疏文件：这些是由应用程序创建的非常大的文件，以这种方式创建的文件只受

磁盘空间的限制。也就是，NTFS 只为写入的文件部分分配磁盘空间。

�� 远程存储：通过使可移动媒体(如磁带)更易访问，从而扩展了硬盘空间。 磁盘活

动恢复记录：可帮助用户在断电或发生其他系统问题时，尽快地还原信息。

�� 磁盘配额：可用来监视和控制单个用户使用的磁盘空间量。 可更好地支持大驱动

器，NTFS 支持的最大驱动容量比 FAT 支持的容量大得多，但随着驱动器容量的

增大，NTFS 的性能并不随之降低，而 FAT 的性能却急速下降。

7.1.2 FAT 向 NTFS 文件结构的转换

可以利用 Windows 2000 Server 提供的工具对文件结构进行相互转换。这里给用户介绍

2 种方法。

1. 利用计算机管理控制台

操作的方法如下：

第 7 章 文件服务的管理 99

(1) 单击【开始】|【程序】|【管理工具】|【计算机管理】命令。

(2) 弹出【计算机管理】控制台窗口，在窗口中我们单击【磁盘管理】节点，如图 7.1

所示。

图7.1 【计算机管理】控制台窗口

(3) 选择需要格式化为 NTFS 格式的盘符，例如：将图中的 E 盘格式化为 NTFS 格式。

就在其上右击，在弹出的快捷菜单中，选择【格式化】命令。

(4) 弹出图 7.2 所示的【格式化】对话框，选择 NTFS 格式，单击【确定】按钮。如

果用户的磁盘上带有数据，可以先将其备份到其他磁盘上，否则数据会丢失。

提示： 如果要想快速格式化磁盘，可以选中【执行快速格式化】复选框。

图7.2 【格式化】对话框

2. 利用Convert.exe命令行工具

在 Windows 2000 Server 中提供了一个叫 Convert.exe 的命令行工具，用于将一个 FAT

文件系统转换为 NTFS 文件系统，使用这个工具可以用下面的格式：

Convert volume /FS：NTFS

其中 volumf 是驱动器盘符，后面跟着冒号、驱动器路径或者卷名。例如，如果希望将

C 驱动器转换成 NTFS，如图 7.3 所示，命令行格式如下：

convert C：/FS：NTFS

系统一旦将其转换为 NTFS 格式的文件系统以后，就不能再将其转换为 FAT 文件系统

中小网络管理维护一点通 100

的格式了，除非重新格式化删除分区。

图7.3 命令行格式

提示： 如果磁盘上有数据，一旦进行磁盘格式的转换，磁盘中的数据将会丢失，所

以用户在进行转换前，要将有用的数据进行备份。

7.2 管理共享文件

企业中对资源的共享管理可以说是非常重要的，在一个网络环境下，当终端用户需要

访问服务器或者其他用户的某些资源时，就需要在服务器或其他用户的机器上将被访问的

文件夹设置共享。Windows 系统可以通过网上邻居将文件、目录或是打印机共享给其他的

用户使用。在设置资源共享时，可以对其进行一些权限的更为详细的设置，例如：让某个

用户只有读取的权限，而不可以对文件进行修改等。当资源共享以后，就需要对其进行一

些安全性的设置。

7.2.1 建立共享文件夹

要让用户能够访问共享资源，一个必要的前提条件是：在安装 Window 2000 操作系统

时确定已经安装好了网络文件和打印机的共享，如果没有安装这项服务，用户可以按如下

的操作步骤安装网络文件和打印机共享。

(1) 打开【本地连接属性】对话框，如图 7.4 所示。

(2) 单击【安装】按钮，弹出如图 7.5 所示的【选择网络组件类型】对话框，用户在

此对话框中选择【服务】这项组件。

(3) 单击【添加】按钮，打开如图 7.6 所示的【选择网络服务】对话框，选择【Microsoft

网络的文件和打印机共享】，单击【确定】按钮。

(4) 系统会提示用户需要重新启动计算机，以使修改生效。

用户打开【本地连接属性】对话框，就可以看到添加的网络文件和打印服务，如图 7.7

所示。

第 7 章 文件服务的管理 101

图7.4 【本地连接属性】对话框 图7.5 【选择网络组件类型】对话框

图7.6 【选择网络服务】对话框 图7.7 安装文件和打印机共享

在安装好了上述的服务以后，用户就可以来创建文件夹的共享了，下面是在用户 A 的

机器上创建一个共享文件夹的操作过程。

(1) 单击【开始】|【程序】|【附件】菜单，打开【Windows 资源管理器】窗口。

(2) 在所要设置为共享的文件夹上单击右键，如图 7.8 所示，在快捷菜单中单击【共

享】命令。

图7.8 对文件夹设置共享

中小网络管理维护一点通 102

(3) 弹出图 7.9 所示的共享属性对话框，在这里就可以对文件夹设置共享了。选中【共

享该文件夹】单选按钮，在其下面的【共享名】文本框中键入要共享的名称，系

统默认为原来文件夹的名称，在【备注】文本框中，用户可以填入一些辅助的说

明文字，在【用户数限制】中可以设置访问最大的用户数量。

图7.9 共享属性对话框

如果要对权限进行设置，就可以单击【权限】按钮，打开如图 7.10 所示的对话框，系

统默认为每个人都有对共享文件夹完全控制的权限。如果要指定某个用户才具有访问的权

限，可以将 Everyone 删除，然后再添加其他的用户。如果用户要设置对该文件夹可以脱机

使用，可以单击【缓存】按钮。

图7.10 权限设置对话框

设置了其他的选项后，单击【确定】按钮，就可以看到如图 7.11 所示的资源管理器窗

口中，该文件夹的下面有一只手在托着，这样就完成了创建共享文件夹的共享操作。

第 7 章 文件服务的管理 103

图7.11 共享的文件夹

提示： 如果在共享名中键入$作为最后一个字符，可以隐藏共享文件夹使之不被网络

上的用户浏览。用户在用“Windows 资源管理器”或“我的电脑”浏览时将

无法看到该共享文件夹，但是通过映射可以找到此共享。

除了上面在资源管理器中创建共享文件夹的方法以外，还可以在【计算机管理】控制

台中创建共享文件，该共享允许管理人员连接到存储设备的根目录。显示为 A$、B$、C$、

D$等。例如，D$是一个共享名，管理员可以通过网络利用该共享名访问 D 盘。图 7.12 所

示的就是在计算机管理控制台中创建的共享，用户可以自己动手试一试。

图7.12 在计算机管理控制台中创建共享

7.2.2 建立 MAC 共享文件夹

企业中如果有苹果机与 Windows 网络相连，同样可以在 Windows 2000 Server 上建立

苹果机的共享，让苹果机的用户使用 Windows 2000 Server 上的共享资源。设置的操作大致

可以分为 3 步来执行：①、添加 APPLETALK 协议。②、添加 MACINTOSH 文件服务组

件。③、在计算机管理中设置共享。

中小网络管理维护一点通 104

1. 添加APPLETALKF协议

(1) 打开【网上邻居属性】对话框。

(2) 在打开的【属性】对话框中，右击【本地连接】图标。

(3) 在弹出的【本地连接 属性】对话框中，单击【安装】按钮，添加 APPLETALK

协议。如图 7.13 所示。

图7.13 添加APPLETALK协议

2. 添加MACINTOSH文件服务组件

(1) 打开【控制面板】，在【控制面板】中双击【添加/删除程序】命令。

(2) 在弹出的【添加/删除程序】对话框中，单击【添加/删除 WINDOWS 组件】命令。

(3) 弹出如图 7.14 所示的【Windows 组件向导】对话框，选中对话框中的【其它的网

络文件和打印服务】复选框。

图7.14 【WINDOWS 组件向导】对话框

第 7 章 文件服务的管理 105

(4) 弹出如图 7.15 所示的【其它的网络文件和打印服务】对话框，选中【Macintosh

文件服务】复选框，单击【确定】按钮。

图7.15 【其它的网络文件和打印服务】对话框

3. 在计算机管理中设置共享

(1) 打开【计算机管理】控制台窗口。

(2) 在【计算机管理】控制台窗口中，打开【共享文件夹】节点，在其打开的节点下

选择【共享】节点。

(3) 在【共享】节点上右击，在弹出的快捷菜单中单击【新建共享文件夹】命令。

(4) 弹出如图 7.16 所示的【创建共享文件夹】对话框，在对话框中，用户可以输入要

共享的文件夹名称，以及输入 Macintosh 共享名称。

图7.16 【创建共享文件夹】对话框

(5) 单击【下一步】按钮，依据提示，完成操作。

创建好的共享文件夹 WINME 如图 7.17 所示，这样使用苹果机的用户就可以通过网络

来访问刚才创建的共享文件夹了。

中小网络管理维护一点通 106

图7.17 共享文件夹WINME

7.2.3 查看共享文件夹

还可以在【计算机管理】控制台中进行查看，查看共享的文件夹可以了解有谁打开了

哪些文件、中断用户打开的文件或中断所有用户打开的文件。

用户可以按如下的操作步骤来打开文件。

(1) 单击【开始】|【程序】|【管理工具】|【计算机管理】命令，打开【计算机管理】

窗口。

(2) 单击【系统工具】选项，打开【共享文件夹】选项。

(3) 单击【共享】选项就可以在右边的列表中查看连接用户数量。

在图 7.18 所示的窗口中，可以看到与共享文件夹进行远程连接的用户端数据，目前只

有 1 个用户连接到了这台计算机。

图7.18 共享的查看

共享项所表示的意义如下：

�� 共享文件夹：共享文件夹的共享名。

第 7 章 文件服务的管理 107

�� 共享路径：文件夹在本地系统中的完整路径。

�� 类型：可以使用共享的计算机类型。

�� #客户重定向：当前访问共享的客户数目。

�� 说明：对共享所作的描述。

如果用户想要查看与客户端建立的连接会话，可以选择【会话】选项，这时就会出现

计算机的用户清单，如图 7.19 所示。

图7.19 建立会话的用户清单

会话节点提供了关于用户和计算机连接的重要信息。这个节点的内容栏提供下列信息：

�� 用户：连接到共享资源的用户或计算机的名称。计算机名带有＄后缀，以区别于

用户。

�� 计算机：所使用计算机的 IP 地址。

�� 类型：所使用的计算机类型。

�� 打开文件：用户经常应用的文件数目。访问打开文件节点可以获得更详细的信息。

�� 连接时间：从建立到现在的时间。

�� 空闲时间：从连接最后一次使用到现在的时间。

�� 客人：用户是否以客人身份登录。

如果想要关闭与某个用户所建立的会话，可以在图 7.19 所示会话窗口中的右边列表中，

选择该用户，然后右击在弹出的快捷菜单中选择【关闭会话】命令就可以断开该用户与共

享资源的连接，如图 7.20 所示。如果要关闭全部会话，可以在【会话】节点上右击，在弹

出的快捷菜单中单击【中断全部的会话连接】命令，如图 7.21 所示，可以断开全部用户与

共享资源的连接。

图7.20 关闭某个用户的会话 图7.21 【中断全部的会话连接】命令

中小网络管理维护一点通 108

这里要注意的是，断开的是与共享资源的连接，而不是用户到域的连接。一旦用户登

录到域，只能通过登录时间和组策略使用户退出。因此，断开用户连接并不会使用户退出

网络，只是断开了用户和该共享资源的连接。

当用户连接到共享时，所应用的单个文件和对象资源将显示在打开文件节点中，打开

文件显示的是用户打开的文件，而不是当前编辑的文件。

可以用上面会话的方式来打开【打开文件】，打开的文件窗口如图 7.22 所示。

图7.22 打开文件列表

打开文件提供关于资源使用的下列信息：

�� 打开文件：本地系统中用户打开的文件的文件路径或文件夹路径。也可以是一个

命名管道，如后台打印使用的\PIPE\Spools。

�� 访问者：所访问文件的用户名。

�� 类型：所使用计算机的类型，例如 Windows 操作系统的计算机。

�� #锁定：资源锁的数目。

�� 打开模式：在资源打开时的访问模式，例如读取、写入和读取+写入(模式)。

关闭打开的文件夹可以遵循关闭会话的方法，这里就不再介绍了。

7.2.4 取消对文件夹的共享

如果不再想把文件夹继续分享给网络上的用户时，可以取消文件夹的共享设置。想要

取消对文件夹的共享可以打开【Windows 资源管理器】窗口，在上一节所设置成共享的文

件夹上右击，在弹出的快捷菜单中选择【共享】命令，如图 7.23 所示。

在弹出的如图 7.24 所示的对话框中，选中【不共享该文件夹】单选按钮，单击【应用】

和【确定】按钮就可以取消该文件夹的共享了。另外，还可以在该文件夹的【属性】菜单

中选择取消共享的设置。

第 7 章 文件服务的管理 109

图7.23 选择【共享】命令

图7.24 选中【不共享该文件夹】单选按钮

7.3 文件权限的管理

Windows 2000 Sever 可以做为文件服务器，为网络上的用户提供文件的共享服务。要

实现某种形式的共享，同时出于安全的需要，用户在对文件服务器上的资源进行访问时，

就有必要进行某种权限的设置，来限制用户对文件的超出权限范围的操作，那么这一节就

为用户介绍对文件和文件夹权限的设置。

7.3.1 文件和文件夹的权限

设置文件和文件夹的权限，可以在要设置的文件和文件夹上单击右键，在弹出的快捷

菜单中，可以单击【属性】命令，在弹出的【属性】对话框中，可以打开【安全】选项卡，

如图 7.25 所示。

中小网络管理维护一点通 110

图7.25 文件夹权限设置对话框

在图 7.25 中可以看到在【名称】列表中对该文件夹所拥有权限的所有者的名称

Everyone，在下面的【权限】列表中用户可以看到 Everyone 对该文件夹所拥有的权限。这

些权限的含义如下：

�� 完全控制：指用户拥有该文件夹的最高权限。

�� 修改：用户可以在该文件夹下加入子文件夹、更改名称以及读取所拥有的文件。

�� 读取及执行：可读取与执行文件夹中的文件。

�� 列出文件夹目录：可以浏览文件夹与其子文件夹的目录内容，但不具有在该文件

夹内建立子文件夹的权利。

�� 读取：用户可以读取文件夹中的数据。

�� 写入：用户具有读取与建立文件和文件夹的权限。

7.3.2 设置文件和文件夹的权限

如果想要更改用户或组对文件和文件夹的权限，可以单击图 7.25 对话框右边的【添加】

按钮，这时系统会弹出【选择用户、计算机或组】对话框。选择【查找范围】下拉列表中

的其他域访问账户，系统默认可以看到的是当前域的列表。在【姓名】列表中选择用户、

计算机或组，例如选择 Backup Operators，再单击下面的【添加】按钮，将选中的名称添加

到下面的列表中，如图 7.26 所示。

完成以后，单击【确定】按钮回到上一层的设置，这时可以看到图 7.27 所示的【设置

用户权限】对话框。在这个对话框中，可以发现已经使用户具备了【读取及运行】的权限，

如果想要拒绝用户的某些权限可以选中【拒绝】复选框。

如果要对权限进行更高级的设置，可以单击图 7.27 中的【高级】按钮，弹出如图 7.28

所示的【新建文件夹的访问控制设置】对话框，在这里可以对此权限进行添加、删除和查

看/编辑的操作。

第 7 章 文件服务的管理 111

图7.26 【选择用户、计算机或组】对话框

图7.27 设置用户权限对话框

图7.28 【新建文件夹的访问控制设置】对话框

中小网络管理维护一点通 112

要编辑刚才添加的权限可以单击【查看/编辑】按钮，弹出图 7.29 所示的【新建文件夹

的权限项目】对话框，在【名称】文本框中可以单击【更改】按钮来更改用户或组，在【应

用到】下拉列表中，可以选择权限对文件夹所应用的更加详细的设置，例如：权限可以只

应用到文件夹和文件，或权限只应用到子文件夹及文件等。

注意： 用户能够执行的操作是分配给用户和所有用户所在的组的权限之和。例如，

如果用户 A 有读取权限，同时他是拥有更改权限的 B 组成员，那么这个用户

就拥有更改的权限。另外，如果用户在 A 组对文件夹有更改的权限，而在 B

组中这个用户被设置为完全拒绝的权限，那么这个用户的权限为完全拒绝。

图7.29 【新建文件夹的权限项目】对话框

7.4 对文件安全的管理

在网络环境中，对于重要的文件除了设置适当的权限之外，还可以对其进行加密，以

保证其不会受到侵害。加密文件或文件夹对加密者来说是透明的，就是说如果你是加密文

件或文件夹的人，就可以不必经过解密而使用这些文件或文件夹。而对其他人来说访问加

密文件或文件夹时就会受到阻止。这里要注意的一点是加密文件必须在 NTFS 文件系统上

进行。

7.4.1 文件的加密

要加密一个文件或文件夹，只要像设置其他属性，(如只读、压缩或隐藏)一样设置文件

或文件夹的加密属性就可以了，要想对一个文件或文件夹进行加密可以遵循以下的步骤，

先新建一个文件夹 SECRET。

(1) 在 SECRET 文件夹上右击，在弹出的快捷菜单中选择【属性】命令，打开如图 7.30

所示的【属性】对话框。

第 7 章 文件服务的管理 113

图7.30 打开【属性】对话框

(2) 在【属性】对话框中，单击下面的【高级】按钮，弹出图 7.31 所示的【高级属性】

对话框，选中【加密内容以便保护数据】复选框，然后单击【确定】按钮，这样

就启用了对该文件夹的加密设置。

图7.31 【高级属性】对话框

(3) 如果该文件夹中有文件存在，系统就会弹出图 7.32 所示的【确认属性更改】对话

框，用户如果选中【仅将更改应用于该文件夹】单选按钮，就表示加密只对以后

加入的文件夹和文件有效，而对已经存的文件夹和文件不加密，如果选中【将更

改应用于该文件夹、子文件夹和文件】单选按钮，就表示加密将对现存的文件和

文件夹，以及以后存入的文件和文件夹都进行加密的设置。这里选择第 2 项，然

后单击【确定】按钮。

经过上面的一系列设置，已经对 SECRET 文件夹设置为加密的属性，可以打开经过加

密的 SECRET 文件夹，如图 7.33 所示，查看这个文件夹中文件的【属性】，可以看到文件

都是已经加密的。

中小网络管理维护一点通 114

图7.32 【确认属性更改】对话框

图7.33 经过加密的SECRET文件夹

可以测试一下将未加密过的文件拷贝到 SECRET 文件夹中以后，是否也具有了加密的

属性。如果用户用另外一个账号登录，打开 SECRET 文件夹中的文件时就会出现文件拒绝

访问的提示信息，表明这时加密的文件对访问者来说是拒绝的，如图 7.34 所示。

图7.34 打开的文件拒绝访问

注意： 对于加密的文件夹，任何人都可以将数据写入该文件夹中，并且这些数据是

自动加密的，但是只有加密的用户本人才可以读取该文件。

第 7 章 文件服务的管理 115

7.4.2 文件的解密

文件的解密可以说是文件加密的逆过程，操作如下：

(1) 用户可以在上面加密的 SECRET 文件夹上单击右键，在弹出的快捷退菜单中单击

【属性】，打开【属性】对话框。

(2) 在【属性】对话框中单击【高级】按钮，打开【高级属性】对话框，取消选中【加

密内容以便保护数据】复选框。如图 7.35 所示。

(3) 然后单击【确定】按钮，这时在图 7.36 所示的【确认属性更改】窗口中，选择解

密应用的范围，这里与加密文件时一样选中第 2 个单选按钮，再单击【确定】按

钮。

图7.35 解密文件夹 图7.36 【确认属性更改】窗口

这时系统就会进行对文件夹的解密，解密后的文件夹中的文件属性会变为正常，如图

7.37 所示。

图7.37 文件解密后属性为正常

注意： 要想给加密的文件解密，解密者必须是原来加密的人或 Administrator 的成员

才有这样的权限。

中小网络管理维护一点通 116

7.4.3 文件的压缩

在 7.4.2 节图 7.35 所示的对话框中，有【压缩内容以便节省磁盘空间】单选按钮，如

果选中此单选按钮，就可以启用文件压缩的功能。当用户将文件存入这个压缩的文件夹中

时文件就会被自动压缩，而当用户读取文件时又会自动解压缩，因此可以节省磁盘空间，

如图 7.38 所示为启用压缩功能。

图7.38 启用压缩功能

注意： 如果设置了文件的压缩，就不能再选择文件的加密项了，因为这两项无法同

时启用。

7.5 监视敏感文件

系统管理员对网络中的一些重要的敏感性的文件访问可以进行监视，另外还可以对系

统的登录和系统配置的改变进行查看。只要当这些被监视的事件发生时，它就会被自动记

录到系统的安全日志记录中，存储起来以备查看，管理员可以从中了解到更详细的事件信

息。

7.5.1 设置文件的审核策略

审核文件的策略是审核对象策略的一部分内容，利用审核策略可以为整个站点、或者

一个组织单位设置策略，也可以为单个的工作站或服务器设置策略。所以审核策略的范围

是很大的，这里只介绍对文件的审核。

(1) 打开【开始】|【程序】|【管理工具】菜单，单击【域控制器安全策略】命令，打

开如图 7.39 所示的窗口。如果要在本机上设置审核策略，用户可以单击【本地审

核策略】命令。

在窗口右侧策略列表中有下列审核选项：

�� 审核账户登录事件：记录与用户和注销相关的事件。

第 7 章 文件服务的管理 117

�� 审核账户管理：记录通过 Active Directory Users and Computers 进行的账户管

理。每次用户、计算机或组账户创建、修改或删除时，事件产生。

�� 审核目录服务访问：记录对 Active Directory 的访问。每次用户或计算机访问

目录时事件产生。

�� 审核登录事件：记录与用户登录、注销和远程连接到网络系统相关的事件。

�� 审核对象访问：记录文件、目录、共享、打印机和 Active Directory 对象的系

统资源使用情况。

�� 审核策略更改：记录用户权利、审核和信任关系的改变。

�� 审核特权使用：记录用户权利和特权的使用情况。

�� 审核过程追综：记录系统进程和它们使用的资源。

�� 审核系统事件：记录系统启动、关闭和重启动，以及其他影响系统安全或安

全日志的事件。

图7.39 【域控制器安全策略】窗口

(2) 在 Windows 设置节点下打开【安全设置】

选项，然后单击【安全设置】|【本地策

略】|【审核策略】命令，此时右边会弹出

一系列策略的选项。

(3) 选择【审核对象访问】策略，弹出如图

7.40 所示的【安全策略设置】对话框。

(4) 在此对话框中选中【定义这些策略设置】

复选框，然后选择审核的操作：成功或失

败。这样当有用户访问文件时，所有对文

件进行的操作，不论成功与失败都会被记录下来。

(5) 单击【确定】按钮。

这里是在域范围内设置的审核策略，如果要对本地策略进行设置，就要选择【开始】|

【程序】|【管理工具】菜单中的【本地安全策略】命令。如果已经设置了【域控制器安全

策略】，【本地安全策略】的设置就要以【域控制器安全策略】为主了。

图7.40 【安全策略设置】对话框

中小网络管理维护一点通 118

7.5.2 设置对文件的审核

以 7.4.1 节在 NTFS 文件系统的磁盘上创建的图 7.41 中的 SECRET 文件夹中的文件为

例，介绍怎样设置对文件的审核。

图7.41 SECRET文件

(1) 打开 SECRET 文件夹中的文件【属性】菜单。

(2) 在打开的【属性】对话框中打开【安全】选项卡，如图 7.42 所示。

图7.42 打开【安全】选项卡

(3) 在【安全】选项卡中，单击下面的【高级】按钮，打开【文件的访问控制设置】

对话框，打开【审核】选项卡，如图 7.43 所示。在这个选项卡中，用户可以添加

审核的成员，单击下面的【添加】按钮。

第 7 章 文件服务的管理 119

图7.43 打开【审核】选项卡

(4) 弹出图 7.44 所示的【选择用户、计算机或组】对话框，在查找范围列表框中选择

账户所在的域，当选择了某个域以后，在下面的名称列表框中就会出现可选择的

用户、计算机或组，选择 Everyone 组，使审核的对象遍及每个用户。然后单击【确

定】按钮。

图7.44 【选择用户、计算机或组】对话框

(5) 这时系统会弹出图 7.45 所示的文件审核项

目对话框，在访问权限列表中，可以选择

Everyone 组成员所拥有的权限，在这里设置

Everyone 组成员具有遍历文件夹/运行文

件、删除和读取文件的权限。

(6) 设置完成后，单击【确定】按钮。后面的步

骤也是一样的，依次单击【确定】按钮完成。

设置完以后，可以用某一个用户身份登录到网络

中，并且访问设置审核策略的这个文件，进行删除操

作。再以管理员身份登录到服务器中，打开【事件查

看器】，在事件查看器的安全日志中，用户就可以看

到删除事件记录。

图7.45 文件审核项目对话框

中小网络管理维护一点通 120

7.6 分布式文件系统

用户一般都是通过网上邻居来访问共享文件夹的，但必须知道共享文件夹的物理位置

是在哪一台计算机上。如果共享文件夹散布在多台计算机上，要想熟记每个文件夹无疑是

一件很费力的事情。所以 Windows 2000 引入了“分布式文件系统”的概念，可以让用户不

用知道文件保存在哪台计算机上，就能访问到这个共享文件夹，这样系统管理就可以把这

些分散的资源整合到同一个树状结构中。

Dfs 还具有容错和平衡服务器负载的功能，如果共享文件夹重复保存在多台计算机上，

则 Dfs 会自动选择其中某台计算机上的数据提供给用户。

7.6.1 创建 Dfs 根目录

使用 Dfs 的第 1 步就是要创建 Dfs 根目录，按如下的操作步骤来创建：

(1) 单击【开始】|【程序】|【管理工具】|【分布式文件系统】命令，弹出如图 7.46

所示的【分布式文件系统】窗口。

图7.46 【分布式文件系统】窗口

(2) 单击【操作】|【新建 Dfs 根目录】命令，弹出【新建 Dfs 根目录向导】对话框，

然后单击【下一步】按钮。

(3) 弹出创建向导中的【选择 Dfs 根目录类型】对话框，如图 7.47 所示，在此可以选

择两种类型的根目录。

�� 域型根目录：选择此项则可以将 Dfs 设置的数据发布到 Active Directory 中，

并且支持一个 Dfs 链接同时对应到多个储存相同数据的共享文件夹，以便提

供容错能力。还可以有副本集之间的自动复制功能。

�� 独立型根目录：选择此项则 Dfs 只会将数据保存在所登录的计算机数据库中，

并不会发布到 Active Directory 中，而且不支持文件自动复制功能。

第 7 章 文件服务的管理 121

图7.47 选择Dfs根目录类型

(4) 单击【下一步】按钮，此时弹出图 7.48 所示的选择 Dfs 根目录主域对话框，选择

Dfs 根目录所在的主域，这里选择系统的默认值。

图7.48 选择Dfs根目录所在的主域

(5) 单击【下一步】按钮，弹出图 7.49 所示的对话框，在这个对话框中，可以选择要

将 Dfs 根目录建立在哪一台 Server 上，这里可以选择默认值，也可以单击【浏览】

按钮，选择其他的服务器。

图7.49 选择建立Dfs根目录的服务器

中小网络管理维护一点通 122

(6) 单击【下一步】按钮，弹出图 7.50 所示的对话框，在这个对话框中可以指定共享

的文件夹，有两个选项可以选择，可以使用现存的共享，也可以建立新的共享文

件夹，这里建立新的共享。

注意： 如果给出的新建共享文件夹路径没有事先建立，那么系统会给出提示信息，

在用户确定后建立。

图7.50 创建Dfs根目录共享文件夹

(7) 单击【下一步】按钮，弹出图 7.51 所示的命名根目录对话框，在该对话框中可以

重新命名 Dfs 根目录的名称。

图7.51 命名根目录对话框

注意： 根目录的名称能够在域中重复命名，如果在其他的服务器上有此名称，则需

要另外输入不同的名称。

(8) 单击【下一步】按钮，将会出现完成新建 Dfs 根目录向导对话框，这表明已经完

成建立。

(9) 单击【完成】按钮，这时就会弹出图 7.52 所示的【分布式文件系统】窗口，可以

看到窗口中建好的 Dfs 根目录。

第 7 章 文件服务的管理 123

图7.52 建好的Dfs根目录

7.6.2 创建 Dfs 链接

创建好 Dfs 根目录和域中的共享文件夹以后，接下来就可以创建 Dfs 链接了。所谓 Dfs

链接就是保存在 Dfs 根目录下的子文件夹，双击这些文件夹，用户就可以访问分布在网络

上的共享文件夹，而不必知道这些文件夹到底位于何处，目前可以指派给 Dfs 根目录的最

大链接数为 1000。

下面在创建好的根目录下建立 Dfs 的链接，步骤如下：

(1) 在图 7.53 所示的窗口中的 Dfs 根目录上右击，在弹出的快捷菜单中，选择【新建

Dfs 链接】命令。

图7.53 选择【新建Dfs链接】命令

(2) 打开如图 7.54 所示的【创建一个新的 Dfs 链接】对话框，在该对话框中可以在【链

接名称】文体框中输入链接名称，在【将用户发送到此共享的目录】文本框中输

入建立共享的文件路径。

中小网络管理维护一点通 124

图7.54 【创建一个新的Dfs链接】对话框

(3) 单击【确定】按钮，在图 7.55 所示的窗口中，用户可以看到创建好的 Dfs 链接。

图7.55 创建的Dfs链接

创建好了 Dfs 链接以后，打开资源管理器，在网络邻居中就可以看到此共享的文件夹

了。

提示： 如果要创建更多的共享，可以依照上面的方法创建其他的共享文件夹。

7.6.3 创建 Dfs 链接副本

创建 Dfs 链接副本的目的就是保证共享的数据一旦发生问题以后，另外的共享数据可

以提供使用。创建 Dfs 链接副本就是让同一个 Dfs 链接对应到多个保存有相同文件的共享

文件夹中。

接着上面创建的链接来创建 Dfs 链接副本的操作步骤如下：

(1) 在图 7.55 所创建的新链接上右击，在弹出的快捷菜单中选择【新建副本】命令。

如图 7.56 所示。

第 7 章 文件服务的管理 125

图7.56 选择【新建副本】命令

(2) 弹出【添加新副本】对话框，在该对话框中用户可以输入副本所在位置，或者单

击【浏览】按钮进行选择。在下面的复制策略选择中，可以选择【手动复制】和

【自动复制】两种策略。这里选择【自动复制】策略，图 7.57 所示。

图7.57 【添加新副本】对话框

(3) 单击【确定】按钮，弹出【复制策略】对话框，如图 7.58 所示。在对话框中，可

以选择一个站点，然后单击【设置主服务器】按钮将其设置为主机，然后单击【启

用】按钮来让其他的 Dfs 链接加入复制工作。

图7.58 【复制策略】对话框

(4) 单击【确定】按钮。

中小网络管理维护一点通 126

如果一个链接对应到多个副本，系统管理员只需要更新其中的一份副本，然后通过自

动复制机制，数据就会自动更新到其他的几个副本，而不用手动一个一个地来改变每份副

本，这样就可以减轻管理员的负担。

用户可以通过【资源管理器】和【网上邻居】来使用共享文件夹。

7.6.4 维护 Dfs

对于创建的 Dfs 链接和副本，在其出现不正常的情况时，管理员可以对其进行必要的

修复或删除操作。

1. 检查状态

对创建的 Dfs 链接和副本是否能够正常运行，可以执行【检查状态】命令来确认。只

要在相应的 Dfs 链接和副本上右击，在弹出的快捷菜单中执行【检查状态】命令，如图 7.59

所示。执行【检查状态】命令后，会出现相应的图标来表明 Dfs 链接和副本的状态是否正

常。

图7.59 执行【检查状态】命令

2. 删除链接或副本

对于不需要的部分 Dfs 链接和副本，可以将其删除。只要在相应的图标上右击，执行

【删除 Dfs 链接】或【删除副本集】命令即可。如图 7.60 所示。

注意： 删除 Dfs 链接和副本，只是断开与 Dfs 共享文件夹间的对应关系，并不会影

响保存在各台计算机中的数据。

3. 删除Dfs根目录

对于在域中有 2 个以上 Dfs 根目录时，为了管理上的方便，可以设置是否要显示其他

的根目录。只要在相应的根目录上右击，在快捷菜单中选择【删除 Dfs 根目录的显示】命

第 7 章 文件服务的管理 127

令即可，如图 7.61 所示。当然删除显示以后，还可以用同样的方法进行显示的恢复。

图7.60 执行【删除副本集】命令

图7.61 执行【删除Dfs根目录的显示】命令

第 8 章 网络打印的管理

本章概述：

为了节省资源和便于管理，在企业网络里通常使用共享打印机的方式，即很多员工共

同使用一台打印机。在企业单位里，不同的员工对打印机利用率也不同，有的员工打印任

务较多，而有的员工则很少；经理、主任等领导的打印任务需要优先处理，而普通员工的

打印任务则可以靠后⋯⋯，安装了打印服务器就可以集中管理打印作业、限制员工的打印

权限、指定员工打印的优先级以及打印的时间等。在一些小型企业里也可以不使用打印服

务器，而是买一台网络接口打印机，把它直接连接到企业网络里就可以使用了，这种打印

机安装起来简单方便。这一章就来介绍如何安装打印服务器和客户端打印机、如何设置用

户使用打印机的权限、优先级和时间以及如何安装网络打印机等。

学习目标：

�� 安装打印服务器

�� 在用户端安装打印机

�� 分配用户访问打印机的权限

�� 安排用户使用打印机的优先级和时间

�� 管理打印文档

�� 安装网络打印机

8.1 安装打印服务器

打印服务器就是专门管理网络打印机的计算机，它安装了供用户共享打印机的驱动程

序，接受并处理来自客户端的文档。打印服务器不仅是连接远端用户计算机与打印机的枢

纽，而且更重要的是，它具有管理打印和提供打印信息的功能，其优点如下：

�� 打印服务器可以管理打印机驱动程序设置。

�� 在连接打印机的每台计算机上都会显示一个完整的打印队列，每个用户都能看见

自己的打印作业相对于其他等待打印的打印作业的位置。

�� 由于错误信息出现在所有计算机上，所以每个用户都能了解打印机的真实状态。

�� 某些处理任务可以从客户计算机转移到打印服务器上进行。

�� 能提供一个审核打印机事件的日志，以便管理员查阅。

由于打印服务器要处理打印队列的请求，因此对其配置有一定的需要。作为 Windows

2000 打印服务器而言，其最低配置需要能管理少数几台打印机而且能接受打印数据量不是

很大的打印请求。要使打印服务器的吞吐量最大并管理多个打印机，或打印多个大文档，

第 8 章 网络打印的管理 129

则要求该服务器有更多的内存、磁盘空间以及更强大的功能，最好提供一个专用于打印的

Windows 2000 服务器。

提示： 打印服务器可以是一台专门的计算机，也可以由同时执行其他任务的服务器

来担任。

安装在打印服务器上的操作系统可以是 Windows 2000 Professional 或 Windows 2000

Server，但是 Windows 2000 Professional 有一些局限性，它不支持 Macintosh 或 NetWare 用

户端打印服务，并且在同一个局域网中只能接受 10 个用户同时打印，而 Windows 2000

Server 则没有这些限制。

下面以 Windows 2000 Server 为例，介绍在服务器上安装打印机的步骤：

(1) 关闭服务器，将打印机连接到计算机的适当端口(通常为 LPT 口)上，并验证打印

就绪。

提示： 所谓打印机端口就是打印机与计算机进行通讯的接口，要打印的文档必须通

过特定的端口才能送到打印机。LPT1 到 LPT3 代表并行端口，COM1 到

COM4 代表串行端口。

(2) 待服务器启动后，单击【开始】|【设置】|【打印机】命令，打开【打印机】窗口。

(3) 双击【添加打印机】图标，启动【添加打印机向导】。首先打开的是欢迎画面，

如图 8.1 所示。

图8.1 【添加打印机向导】的欢迎画面

(4) 单击【下一步】按钮，弹出的对话框如图 8.2 所示。

(5) 因为打印机就连接在打印服务器上，所以应选中【本地打印机】单选按钮，而不

是【网络打印机】。如果打印机支持即插即用，则可以选中【本地打印机】下面

的复选框，这样以后系统将自动安装适当的驱动程序，这里取消选中该复选框，

采用手动安装的方式。完成后单击【下一步】按钮，弹出的对话框如图 8.3 所示。

(6) 在端口的列表框中选择所使用的一种，例如：【LPT1：打印机端口】，单击【下

一步】按钮，弹出选择打印机制造商和型号的对话框，如图 8.4 所示。

中小网络管理维护一点通 130

图8.2 选择【本地打印机】

图8.3 选择LPT1端口

图8.4 选择打印机制造商和型号

提示： 大多数打印机使用 LPT1 端口连接到本地计算机。

第 8 章 网络打印的管理 131

提示： 如果打印机要使用的端口不在端口的列表中，可以选中【创建新端口】来创

建一个新的端口。例如：若安装网络接口的打印机，选中【创建新端口】后，

可以在【类型】下拉列表框中选择 Standard TCP/IP Port。

(7) 在【制造商】列表框中选择打印机的制造商，在【打印机】列表框中选择打印机

的型号。如果列表中没有相应的驱动程序，则需要放入厂商提供的驱动程序磁盘

或光盘，然后单击【从磁盘安装】按钮并选择所在的路径进行安装。单击【下一

步】按钮，弹出如图 8.5 所示的对话框。

提示： 【Windows Update】按钮用于连接到微软网站下载最新的驱动程序。

图8.5 为打印机命名

(8) 在【打印机名】文本框中输入一个容易识别的名字。如果不想让这台打印机成为

应用程序的默认打印机，请选中下面的【否】单选按钮。完成后单击【下一步】

按钮，将弹出如图 8.6 所示的对话框。

图8.6 把打印机设置为共享

(9) 因为这台打印机是要共享给大家使用的，所以应确保选中了【共享为】单选按钮。

然后在其后面的文本框中输入这台打印机的共享名，名字最多使用 80 个字符，不

中小网络管理维护一点通 132

能包含“，”、“/”、“\”等符号。完成后单击【下一步】按钮，将弹出如图

8.7 所示的对话框。

提示： 域内的共享打印机默认会发布到 Active Directory 中，在此不能取消发布。

图8.7 输入打印机的位置和注释

(10) 为了方便用户查找打印机，服务器会将它所管辖的共享打印机的相关信息发布到

Active Directory 中，用户端可以定义各种搜索条件在域中搜索打印机。图 8.7 中

【位置】文本框中的内容就是为用户搜索该打印机提供方便的。请在【位置】和

【注释】中分别填入该打印机的位置和注释信息，完成后单击【下一步】按钮，

弹出如图 8.8 所示的对话框。

图8.8 选择是否要打印测试页

提示： 打印机位置的命名格式为：“位置名称/位置名称/位置名称⋯⋯”，自左向右

按照地理位置从大到小的方式定义打印机的位置。图 8.7 中的“china/beijing/

easthuman”表示此台打印机位于中国北京的东方人华公司。定义位置是为了

方便用户端搜索打印的，如果不需要使用位置建立搜索，可以不输入位置和

相应的注释信息。

第 8 章 网络打印的管理 133

(11) 如果要打印测试页，选中【是】单选按钮，否则选中【否】单选按钮。单击【下

一步】按钮，弹出完成添加打印机向导的窗口。

(12) 单击【完成】按钮，此时系统开始安装驱动程序。完成后就会在打印机窗口中创

建一个打印机图标，如图 8.9 所示。

图8.9 创建了一个打印机图标

8.2 在用户端安装打印机

在 Windows 2000 打印服务器上添加了打印机后，还需要提供打印用户端共享打印机

的驱动程序以及设置访问该打印服务器的客户端。如果要与非 Windows 2000 的客户共享

打印机，就需要在打印机服务器上为这些客户安装合适的打印机驱动程序。Windows NT

4.0、Windows 95 和 Windows 98 上的客户连接该打印机时，系统将正确的驱动程序自动

下载到该客户。如果以后更新了打印服务器上的驱动程序，用户端也会自动下载，不必到

每一台计算机上重新安装新的驱动程序。

8.2.1 在服务器上为用户端安装打印驱动程序

打印服务器要根据用户端不同的操作平台提供不同的驱动程序。例如，如果用户端是

Windows 98 操作系统和 Windows NT 4.0 操作系统，则服务器就需要增加相应的两种驱动

程序。

在打印服务器上为用户端安装打印驱动程序的步骤如下：

(1) 在【打印机】窗口中，右击要安装客户端驱动程序的打印机，然后在其快捷菜单

中单击【属性】命令。

(2) 在这台打印机的属性对话框中，打开【共享】选项卡，如图 8.10 所示。

(3) 在【共享】选项卡中单击【其他驱动程序】按钮，打开如图 8.11 所示的【其他驱

动程序】对话框。

(4) 在该对话框中，选中需要的环境和操作系统复选框，例如选中“Intel 环境+Windows

98 操作系统”和“Intel 环境+Windows NT 4.0 操作系统”，然后单击【确定】按

钮。此时系统开始复制驱动程序文件，结束后即完成了驱动程序的添加过程。

中小网络管理维护一点通 134

图8.10 打开【共享】选项卡

图8.11 【其他驱动程序】对话框

注意： Windows NT 4.0 和 Windows 2000 客户端每次重新连接到网络时，都会检查

打印机驱动程序。如果驱动程序不是最新的，新驱动程序副本就会自动下载。

Windows 95/98 客户端的打印机驱动程序不能自动保持最新，如果更新了打

印服务器上的驱动程序，则必须手工安装 Windows 95/98 客户端的驱动

程序。

8.2.2 在 Windows 98/NT 用户端安装打印机

到目前为止，只有打印服务器能使用共享的打印机，用户端尚且不能。虽然上一节已

经在服务器上安装了 Windows 98/NT 用户端的打印驱动程序，但还需要在用户端作相关的

添加设置方可使用共享的打印机。在 Windows NT 和 Windows 98 中的设置步骤大致相同，

这里就以 Windows 98 为例，介绍其设置步骤如下：

(1) 单击【开始】|【设置】|【打印机】命令。

第 8 章 网络打印的管理 135

(2) 在【打印机】窗口中双击【添加打印机】图标，启动【添加打印机向导】，如图

8.12 所示。

图8.12 启动添加打印机向导

(3) 单击【下一步】按钮，弹出的对话框如图 8.13 所示。

图8.13 选择【网络打印机】

(4) 这里要安装打印服务器上的共享打印机，所以选中【网络打印机】单选按钮。然

后单击【下一步】按钮，打开的对话框如图 8.14 所示。

图8.14 输入打印机的网络路径

中小网络管理维护一点通 136

(5) 在【网络路径或队列名】文本框中输入服务器上共享打印机的网络路径，或者单

击【浏览】按钮，从【浏览打印机】对话框中选择共享打印机的名字，如图 8.15

所示。

图 8.15 选择打印机的路径

提示： 如果有时要在 DOS 环境中使用打印机，则应选中下面的【是】单选按钮，否

则选中【否】单选按钮。

(6) 完成输入共享打印机的网络路径后，单击【下一步】按钮，弹出如图 8.16 所示的

对话框。在【打印机名】文本框中输入一个容易辨认的名字。如果想把这台打印

机设置为默认打印机，就选中下面的【是】单选按钮。

图8.16 为打印机命名

(7) 完成后单击【下一步】按钮，弹出如图 8.17 所示的对话框，询问是否打印测试页，

选中【否】单选按钮，暂时不打印测试页。

(8) 单击【完成】按钮，此时系统开始复制文件。结束后即完成了用户端的设置工作，

此时的 Windows 98 用户就可以使用网络上共享的打印机了。

第 8 章 网络打印的管理 137

图 8.17 选择是否打印测试页

8.2.3 在 Windows 2000 用户端安装打印机

Windows 2000 用户端也需要做相关的设置才能使用共享打印机。只是在 Windows 2000

中的设置步骤与在 Windows 98 中是不同的，具体设置步骤如下：

(1) 单击【开始】|【设置】|【打印机】命令。

(2) 在打印机窗口中双击【添加打印机】图标，打开【欢迎使用添加打印机向导】的

画面。

(3) 在【欢迎使用添加打印机向导】中单击【下一步】按钮，弹出如图 8.18 所示的对

话框。

图8.18 选择【网络打印机】

(4) 这里要安装打印服务器上的共享打印机，所以选中【网络打印机】单选按钮。然

后单击【下一步】按钮，打开的对话框如图 8.19 所示。

(5) 选中第一个单选按钮，可以在 Active Directory 中搜索打印机。然后单击【下一步】

按钮，打开【查找打印机】窗口，如图 8.20 所示。

(6) 可以在此窗口中输入查找的条件，例如：打印机的名称、位置和型号等。如果不

十分明确打印机的详细信息，可以单击【开始查找】按钮，在整个目录中找出所

中小网络管理维护一点通 138

有的打印机，如图 8.21 所示。

图8.19 选择一种查找打印机的方式

图8.20 【查找打印机】窗口

图8.21 在整个目录中查找所有的打印机

提示： 如果搜索结果中列出的打印机太多，请尝试输入附加的搜索条件以明确搜索。

第 8 章 网络打印的管理 139

在【功能】选项卡中，可以指定附加的条件来搜索打印机，例如打印机是否

可以双面打印或者以特定分辨率打印。在【高级】选项卡中，可以使用自定

义字段指定标准(例如打印机是否支持排序或特定打印机语言)以进行搜索。

(7) 在下面的列表框里选择在本节安装的打印机，单击【确定】按钮，弹出的对话框

如图 8.22 所示。

图8.22 设置为默认打印机

(8) 如果想把这台打印机设置为 Windows 应用程序的默认打印机，选中【是】单选按

钮。单击【下一步】按钮，弹出的对话框如图 8.23 所示。

图8.23 正在完成添加打印机向导

(9) 单击【完成】按钮，即在 Windows 2000 用户端安装了服务器上共享的打印机。

8.3 分配用户使用打印机的权限

在服务器上添加并共享了打印机之后，还需要进一步设置打印机的访问权限，这样才

中小网络管理维护一点通 140

能更好地控制用户对打印机的使用。有 3 个等级的打印机权限：�打印�、�管理文档�和�管

理打印机�，不同权限等级的能力如表 8.1 所示：

表8.1 打印权限及能力列表

打 印 管理文档 管理打印机

打印文档 √ √ √

暂停、继续、重新启动以及取消用户自己的文档 √ √ √

连接到打印机 √ √ √

控制所有文档的打印作业设置 √ √

暂停、重新启动以及删除全部文档 √ √

共享打印机 √

更改打印机属性 √

删除打印机 √

更改打印机权限 √

拥有“管理打印机”权限的人，同时也拥有了“打印”的权限，但不会拥有“管理文

档”权限，也就是说，只拥有“管理打印机”权限并不能设置打印文档的优先级，也不能

暂停、继续或重新启动所有的打印工作，但可以取消所有的打印文档。如果只允许美编部

的人员和系统管理员可以使用打印机，而限制其他部门不能使用，其权限设置的步骤如下： (1) 在【打印机】窗口中右击创建的打印机图标，然后单击快捷菜单中【属性】命令。 (2) 在打印机属性对话框中单击【安全】标签，打开的对话框如图 8.24 所示。

图8.24 打开【安全】选项卡

打 印

权 限 打

印

第 8 章 网络打印的管理 141

(3) 默认情况下有很多个组或用户都能使用这个驱动程序。为了设置成除了美编部和

系统管理员可以使用这个驱动程序外其他部门不能访问的结果，必须删除相关的

组或用户。在图 8.24 中，选中组并单击【删除】按钮，依次将除“Administrators”

外的组全部删除。

(4) 单击【添加】按钮，打开【选择用户、计算机或组】对话框，如图 8.25 所示。

图8.25 【选择用户、计算机或组】对话框

(5) 选中【美编部】组，单击【添加】按钮，将【美编部】组添加到下面的列表中。

然后单击【确定】按钮，返回【ArtCompilePrint 属性】对话框，此时的【安全】

选项卡如图 8.26 所示。

图8.26 添加【美编部】组后的【安全】选项卡

(6) 为了让美编部的人员可以完全控制打印机和打印文档，在【权限】列表中，选中

【管理打印机】和【管理文档】后面的【允许】复选框，让美编部拥有“管理打

中小网络管理维护一点通 142

印机”和“管理文档”的权力。完成后单击【确定】按钮。现在只有美编部的人

员和系统管理员能使用这台打印机，其他的人都被拒之门外了。

8.4 安排用户使用打印机的优先级和时间

为了更合理地使用打印机，需要设置用户使用打印机的优先级和时间。例如：经理和

主管的打印数据优先处理；只允许普通员工在上班的时候打印，而公司经理和主管则可以

随时使用打印机。对于同一台打印机，如何才能让不同的人具有不同优先级和使用时间呢？

因为我们是通过打印机驱动程序来使用打印机的，所以可以为同一台物理打印机建立多个

逻辑打印机(驱动程序)，再建立相关的用户组，然后设置逻辑打印机的优先级和使用时间。

这样，不同的用户组对同一台物理打印机就具有了不同的优先级和使用时间了。其示意图

如图 8.27 所示。

图8.27 为用户设置不同的打印时间示意图

8.4.1 为一台打印机安装多个驱动程序

按照如图 8.27 所示的示意图，首先需要为一台打印机安装两个相同驱动程序，一个用

于经理和主管用户组，一个用于普通用户组。其实，在已经安装了驱动程序的打印机上再

安装同样的驱动程序，其步骤和第一次安装时几乎相同，其步骤如下：

(1) 单击【开始】|【设置】|【打印机】命令，打开【打印机】窗口。

(2) 在【打印机】窗口双击【添加打印机】图标，启动“添加打印机向导”。

(3) 在欢迎画面中单击【下一步】按钮。

(4) 在【本地或网络打印机】对话框中选中【本地打印机】单选按钮，并取消“自动

检测打印机”功能。单击【下一步】按钮，打开如图 8.28 所示的对话框。

打印机驱动程序 1 设置为高优先级

使用时间为：总可以使用

经理、主管用户组 普通用户组

打印机驱动程序 2 设置为低优先级

使用时间为：8:00~18:00

打印服务器 打印机

第 8 章 网络打印的管理 143

图8.28 选择【LPT1】端口

(5) 因为是同一台打印机，所以选择的端口应和第一次安装时选择的相同，例如这里

选择【LPT1.打印机端口 group printer】。完成后单击【下一步】按钮，打开的

对话框如图 8.29 所示。

图8.29 选择打印机的制造商和型号

(6) 选择和第一次安装时相同的制造商和打印机型号，单击【下一步】按钮，弹出如

图 8.30 所示的对话框。

(7) 选中【保留现有的驱动程序】单选按钮，然后单击【下一步】按钮。这一步比较

关键，因为要为同一台打印机安装多个驱动程序，所以以前安装的驱动程序应该

保留。

(8) 为这台逻辑打印机设定一个名字，这里把它命名为：“LeaderPrint”，单击【下

一步】按钮。

(9) 为这台逻辑打印机设定一个共享名：“LeaderPrint”，单击【下一步】按钮。

(10) 指定打印机的位置和注释信息，也可以不填入任何内容。单击【下一步】按钮。

(11) 单击【完成】按钮即结束了这台逻辑打印机的安装。

中小网络管理维护一点通 144

图8.30 选择是否保留现有的驱动程序

提示： 从上面的操作中可以看出，安装第 2 台、第 3 台、第 4 台⋯⋯逻辑打印机的

步骤和安装第 1 台时的步骤几乎相同，学习这一节时可参考 8.1 节的内容。

按照上面的安装方法，为普通用户组安装一台逻辑打印机。为了便于区分，把这台逻

辑打印机的名字指定为：CommonPrint，然后按照本节所介绍的方法为不同的用户组指定

要使用的逻辑打印机。

8.4.2 设置优先级和使用时间

在分别为经理主管用户组和普通用户组安装了逻辑打印机之后，下面就介绍为两个用

户组设置使用打印机的优先级和使用时间，其步骤如下：

(1) 在【打印机】窗口中右击“LeaderPrint”打印机图标，然后单击快捷菜单中的【属

性】命令。

(2) 在打印机属性对话框中打开【高级】选项卡，如图 8.31 所示。

图8.31 设置LeaderPrint的优先级和使用时间

第 8 章 网络打印的管理 145

(3) 最上面的两个单选按钮是用于设置使用时间的，为经理和主管用户组选中【总可

以使用】单选按钮。单击【优先级】文本框后面的向上或向下三角按钮，或者直

接输入一个优先等级，这里定为：“99” (1 为最低级，99 为最高级)，让这个

驱动程序拥有最高的优先等级，然后单击【确定】按钮。

(4) 重复步骤(1)和步骤(2)，打开 CommonPrint 逻辑打印机的【高级】选项卡，如图

8.32 所示。

图8.32 设置CommonPrint的优先级和使用时间

(5) 为普通用户组选中【使用时间从】单选按钮，在后面的两个文本框中分别定义起

始和终止时间，例如：起始时间定为“8:00”，终止时间定为“18:00”，表示从

早上 8:00 到晚上 18:00 可以使用这台逻辑打印机，其他时间则不能使用，然后在

【优先级】文本框中输入 1，让普通用户组的优先级最低。完成后单击【确定】

按钮。

完成以上的设置之后，经理和主管用户组无论什么时间都能使用打印机，并且优先级

最高；而普通用户组只有在 8:00~18:00 的时间段内才能使用打印机，且优先级最低。

提示：

�� 默认情况下，打印机被设置为始终可用。

�� 如果用户在非使用时间执行了打印操作，其打印文档将保存在打印服务器中，

等下一次使用时间开始的时候再进行打印。

8.5 管理打印文档

打印队列是指保存在打印服务器中等待打印的文档。在打印队列的列表中提供了每一

个打印文档的名字、打印状态和打印页数等信息。通过打印队列窗口可以管理发往打印机

的文档，例如：可以暂停、继续或取消文档的打印；重新开始打印文档；查看或更改打印

文档的优先级等。对于等待打印的文档，可以查看但不能更改诸如页面方向、纸张来源和

中小网络管理维护一点通 146

打印份数等方面的设置。

8.5.1 打印文档的简单操作

在【打印机】窗口中，双击某个打印机驱动程序图标，即可打开显示打印队列的窗口，

如图 8.33 所示，该窗口显示了每个打印文档的信息。

提示： 通过双击任务栏上的打印机图标，也可以打开正在打印的打印队列窗口。

图8.33 打印队列窗口

在打印队列窗口中右击任意一个文档的名字，将弹出一个如图 8.34 所示的快捷菜单。

该菜单提供了操作打印文档的命令，它们是：

�� 【暂停】：暂时停止打印文档。

�� 【继续】：取消文档的“暂停”状态，继续打印。它

和【暂停】是一对开关命令。

�� 【重新启动】：让保留在打印队列中的文档从头再打

印一次。

�� 【取消】：从打印队列中删除文档，不再打印。

�� 【属性】：查看和更改打印文档的优先级、打印时间、

页面方向、纸张来源和打印份数等方面的设置。

要对某个文档进行操作，只需在选中该文档后单击相应的命令即可。默认情况下，所

有用户都能暂停、继续、重新启动和取消他们自己的文档打印作业，但是，要管理其他用

户打印的文档，则必须要有“管理文档”权限。

提示： 可以配合使用 CTRL 键选中并操作多个打印文档。要暂停或取消所有的打印

文档，请执行【打印机】菜单里的【暂停打印】或【取消所有文档】命令。

如果打印队列中有多个等待打印的文档，可以指定这些文档的优先次序，让比较重要

的文档先打印出来。在打印队列窗口中右击想要提高优先级的文档，然后再单击【属性】

命令，弹出如图 8.35 所示的对话框。

在【常规】选项卡中，托拽【优先级】选项区域里的滑块，把它拖到【最高】端。完

成后单击【确定】按钮。这样，被设置的文档拥有的优先级为：“99”，它将最优先得到

打印。

图8.34 打印文档的右键

快捷菜单

第 8 章 网络打印的管理 147

图8.35 打印文档的属性对话框

注意： 一旦文档开始打印，所做的任何改变优先级的操作将会无效。

提示： 在【日程安排】选项区域中，还可以设置文档的打印时间。

8.5.2 将打印文档转移到其他打印机上

如果正在打印的打印机卡纸或发生其他的故障，将打印队列中等待打印的文档及时转

移到另外的打印机上是系统管理员的当务之急。如果一台打印服务器同时连接着两台以上

的同型号打印机，则转移文档的工作会容易一些。因为打印队列里的文档已经被应用程序

转换成一种适合于某一特定打印机的语言代码，如果把文档转移到不同型号的打印机上，

可能因为数据格式与打印机设置的不同而造成打印错误。

注意： 不能将正打印的文档转移到另一台打印机上。

将文档转移到同一打印服务器并且同型号的打印机的步骤如下：

(1) 在打印队列窗口中单击【打印机】|【属性】命令，如图 8.36 所示。

(2) 在打印机属性对话框中打开【端口】选项卡，如图 8.37 所示。

(3) 选择一个可使用的端口，例如这里要使用 LPT2 端口。

(4) 单击【确定】按钮，此时打印队列中的文档就开始转移到别的打印机上。

如果同一台打印服务器中没有可替代的打印机，就要考虑把文档转移到另外的打印服

务器上。单击图 8.37 中的【添加端口】按钮，可以在端口列表中添加其他服务器的打印机

的端口，然后选择并应用新添加的端口，就可以将文档转移到另外的打印服务器上了。

提示： 要把文档转移到不同打印服务器上的某台打印机上，这台打印机必须在打印

机服务器上共享，并且需要提供打印服务器的名称和正确的打印机共享名。

中小网络管理维护一点通 148

图8.36 打开打印机的属性 图8.37 选择另外的端口

8.6 安装网络打印机

一些小型企业通常不使用打印服务器，而是买一台网络接口打印机(也就是网络打印

机)，把它直接连接到企业网络里就可以使用了。网络打印机具有自己的网卡、内存和硬盘，

不需要连接到打印服务器和受其管理。网络上的用户使用打印机附带的程序创建一个端口，

然后安装驱动程序即可。下面就分别介绍在 Windows 98 和 Windows 2000 上安装网络打印

机的方法。

8.6.1 在 Windows 98 上安装网络打印机

在 windows 98 操作平台上安装网络打印机首先需要创建一个打印端口。网络打印机通

常附带一个创建端口的程序，首先执行该程序创建一个打印端口，然后再安装网络打印机

的驱动程序即可。下面是在 windows 98 操作平台上安装 HP4000 网络打印机的方法，至于

其他品牌网络打印机，其安装方法也大同小异，可以参照如下操作步骤：

(1) HP4000 附带的创建端口的程序在“NETHP4000”目录里，进入目录“NETHP4000\

SC\DISK1”中，运行其中的“SETUP.EXE”文件，打开如图 8.38 所示的对话框。

(2) 单击【下一步】按钮，打开本软件的使用协议对话框。单击【是】按钮，遵循其

许可协议，打开如图 8.39 所示的对话框。

(3) 确保选中了【网络打印】单选按钮，单击【下一步】按钮，在紧接着弹出的对话

框里单击【下一步】按钮。

(4) 接着弹出【选择程序文件夹】对话框，保持其默认设置，单击【下一步】按钮。

在随后弹出的【开始复制文件】对话框中单击【下一步】按钮，系统开始复制

文件。

(5) 复制完成后，将弹出【设置完成】对话框。单击其中的【结束】按钮，这时设置

程序要求重新启动计算机，HP JetAdmin 程序才能正常工作。单击【确定】按钮，

系统将重新启动。

第 8 章 网络打印的管理 149

图8.38 运行“SETUP.EXE”程序

图8.39 选择【网络打印】

(6) 重新启动 Windows 后，单击【开始】|【程序】|【HP JetAdmin 实用程序】|【添

加 HP JetDirect 打印机】命令，弹出如图 8.40 所示的对话框。

图8.40 选中【简易设置】

中小网络管理维护一点通 150

(7) 选中【简易设置】单选按钮，单击【下一步】按钮，弹出如图 8.41 所示的对话框。

图8.41 输入网络打印机的IP地址

图8.42 成功创建端口对话框

(8) 在【协议】选项区域中确保选中【TCP/IP 打印机】

单选按钮，在【打印机选择标准】选项区域中选

中【TCP/IP 地址】单选按钮，并在其右面的文本

框中输入网络打印机的 IP 地址，例如这里输入

“192.168.0.37”，完成后单击【下一步】按钮。

此时系统将创建一个打印机端口，如图 8.42 所示。

提示： 为了使网络打印机能够正常、稳定地工作，网络管理员应该在网络的域控制

器中为该打印机指定一个固定的 IP 地址。

(9) 单击【确定】按钮，将启动“添加打印机向导”程序，如图 8.43 所示。

图8.43 启动“添加打印机向导”程序

(10) 单击【下一步】按钮，随后弹出如图 8.44 所示的对话框。

第 8 章 网络打印的管理 151

图8.44 选中【本地打印机】单选按钮

(11) 确保选中【本地打印机】单选按钮，单击【下一步】按钮，将弹出选择打印机的

生产商和型号的对话框，如图 8.45 所示。

图8.45 单击【从磁盘安装】按钮

(12) 单击【从磁盘安装】按钮，在随后弹出的如图 8.46 所示的对话框中单击【浏览】

按钮，这时将出现一个【打开】对话框。

(13) 按照图 8.47 所示的方法找到打印机驱动程序所在的文件夹，这里有一个安装信息

文件，该信息文件同时也被选中，单击【确定】按钮。

图8.46 单击【浏览】按钮 图8.47 找到安装信息文件

(14) 此时将返回图 8.46 所示的对话框，再次单击【确定】按钮，弹出如图 8.48 所示

中小网络管理维护一点通 152

的对话框。

图8.48 单击【下一步】按钮

(15) 单击【下一步】按钮，弹出选择打印机所使用的端口对话框，如图 8.49 所示。

图8.49 选择【NPI5AA4D9】端口

图8.50 创建的打印机图标

(16) 在 【 可 用 的 端 口 】 列 表 框 中 选 择

【NPI5AA4D9 HP JetDirect Port】，单

击【下一步】按钮。

(17) 随后弹出为打印机命名的对话框，保

持其默认值，单击【下一步】按钮。

(18) 在弹出的是否打印测试页对话框中单

击【完成】按钮，此时系统开始复制

文件，结束后即在【打印机】窗口中

创建一个打印机图标，如图 8.50 所示。

这表明在这台电脑上已经成功地安装

了网络打印机。

第 8 章 网络打印的管理 153

8.6.2 在 Windows 2000 上安装网络打印机

从 8.6.1 节的操作步骤中不难看出：在 windows 98 操作平台上安装网络打印机的步骤

略微复杂些，需要使用专门的软件创建网络打印机端口。而在 Windows 2000 的操作平台上

就不是这样了，Windows 2000 的添加打印机向导提供了创建网络打印机端口的功能，直接

使用打印机向导就可以安装网络打印机。

下面是在 Windows 2000 操作平台上安装 HP4000 网络打印机的步骤：

(1) 执行【开始】|【设置】|【打印机】命令，在打开的【打印机】窗口中双击【添加

打印机】图标，启动“添加打印机向导”。

(2) 在向导的欢迎画面中单击【下一步】按钮，打开如图 8.51 所示的对话框。

图8.51 选择【本地打印机】

(3) 确保选中【本地打印机】单选按钮，同时取消选中下面的复选框，单击【下一步】

按钮，弹出如图 8.52 所示的对话框。

图8.52 选择【Standard TCP/IP Port】

(4) 选中【创建新端口】单选按钮，在【类型】下拉列表框中选择 Standard TCP/IP Port，

这样 Windows 2000 才能为打印机创建一个网络端口，单击【下一步】按钮。

中小网络管理维护一点通 154

(5) 随后弹出【添加标准 TCP/IP 打印机端口向导】的欢迎画面，单击【下一步】按钮，

弹出的对话框如图 8.53 所示。

(6) 在【打印机名或 IP 地址】文本框中输入网络打印机的 IP 地址，例如这里输入的

是“192.168.0.37”。端口名会在输入打印机的 IP 地址时自动产生，单击【下一

步】按钮。

图8.53 输入打印机的IP地址

(7) 接着会弹出【添加标准 TCP/IP 打印机端口向导】的完成画面，单击【完成】按钮。

稍等片刻将返回到【添加打印机向导】的画面，这时需要选择所安装打印机的生

产商和型号，如图 8.54 所示。

图8.54 确定打印机的型号

(8) 此时打印机的生产商和型号被自动选中，表示 Windows 2000 系统提供了该设备的

驱动程序，单击【下一步】按钮。

注意： 如果安装其他型号的网络打印机，而 Windows 2000 系统没有为它提供驱动

程序的话，应在图 8.43 所示的对话框中单击【从磁盘安装】按钮，在随后的

对话框中指定打印机驱动程序所在的目录。

(9) 在为打印机命名的对话框中可以自定义一个名称，这里保持默认值，单击【下一

步】按钮。

第 8 章 网络打印的管理 155

(10) 在随后弹出的打印机共享对话框中，选中【不共享这台打印机】单选按钮，单击

【下一步】按钮。

(11) 这时将询问是否打印测试页，保留默认值，单击【下一步】按钮。

(12) 随后弹出【添加打印机向导】的完成画面，单击【完成】按钮，系统开始复制相

关的文件，结束后将在【打印机】的窗口中创建一个图标。这表明，这台 Windows

2000 的计算机上已经成功地安装了一台网络打印机，以后就可以直接发出打印命

令，文档将在网络打印机上得到打印。

提示： 网络打印机虽然安装方便简单，但它也有缺点，例如：用户不知道打印机的

真实状态；用户所提交的打印文档都在这一台打印机上处理完成，此打印机

的负担较重等。因此这种打印机适合于在小型网络中使用。

第 9 章 磁盘管理

本章概述：

本章主要介绍了如何对 Windows 2000 Server 下的磁盘进行管理的内容，首先从让用户

对磁盘基本概念的了解开始，层次清晰地介绍了磁盘的 2 种类型：基本卷和动态卷，接着

介绍了磁盘的一些整理工具的使用，最后还介绍了比较重要的“磁盘空间配额的设置”。

通过本章的学习，用户能够掌握对 Windows 2000 Server 下磁盘的创建和管理的工作。

学习目标：

�� 创建基本卷

�� 管理基本卷

�� 创建动态卷

�� 管理动态卷

�� 磁盘空间配额使用

磁盘是服务器上重要的数据存放地，磁盘能够高效、可靠地运行对于网络上的用户来

说是至关重要的。所以，对于网络管理员来说如何确保磁盘数据的有效性，发挥磁盘的最

佳存贮特性，达到最充分地利用磁盘空间是关键的一步。本章介绍了做为一个网络管理人

员应该怎样管理磁盘的内容。

9.1 磁盘管理简介

Windows 2000 Server 支持 2 种类型的磁盘存储：基本存储和动态存储。一般常见的物

理磁盘只能是其中的一种，而不能在同一个物理磁盘上同时有这 2 种类型的存储。只可以

在多个物理磁盘上使用两种类型的存储，例如：可以利用 3 个物理磁盘来做数据的存储，

第 1 个磁盘可以采用基本存储，第 2 和第 3 个物理磁盘采用动态存储。

9.1.1 基本磁盘和动态磁盘基础

基本磁盘是当前的所有版本的 MS-DOS、Windows、以及 Windows NT、Windows 2000

都支持的。Windows 2000 上添加的新磁盘都是基本磁盘。基本磁盘主要包括主分区、扩展

分区和逻辑驱动器。

�� 主分区：Windows 2000 可以使用主分区来启动计算机，主分区中的一个分区被标

记为活动分区。在用户开机时系统就会找到标识为活动的主要的磁盘分区来启动

操作系统。在同一时间内只能有一分个区是活动的。在同一个磁盘上可以应用多

第 9 章 磁盘管理 157

个主分区，可以将不同的操作系统分开存放。例如：要双重启动 Windows 95 和

Windows 2000 活动分区必须被格式化为 FAT 16 格式，在 Windows 2000 中最多可

以创建 4 个分区，或者是 3 个主分区和 1 个扩展分区。 �� 扩展分区：由磁盘中可用的磁盘空间所创建，一个硬盘只能含有一个扩展磁盘分

区，所以通常把余下的磁盘空间用来划分成一个或多个逻辑驱动器，并且可以指

定盘符。 �� 逻辑驱动器：逻辑驱动器是磁盘中的一个分区，并且表现为该分区的一个实体。

可以把一个扩展分区划分为任意多个逻辑分区，但有两点要注意的是：Windows

2000 只支持最多 24 个逻辑驱动器号；每一个逻辑分区有一个最小为 2MB 的容量

限制。

动态磁盘是只有 Windows 2000 支持的，它又可以分为多种形式，包括简单卷、跨区卷、

带区卷、镜像卷和 RAID-5 卷。Windows 2000 的动态磁盘不像基本磁盘那样有一些限制，

它可以在不重新启动的情况下完成磁盘大小的调整和设置，而且基本磁盘可以通过升级的

方法来创建为动态磁盘。 �� 简单卷：简单卷是由一个磁盘上的自由空间构成。它可以是磁盘上的一个区或者

是同一个磁盘上的多个区域，没有容错的能力，可以扩展到其他盘。

�� 跨区卷：由最多可达 32 个磁盘上的空间构成，Windows 2000 将数据写到第一个

磁盘的跨区卷上，完全将数据占满，然后再按同样的方式填充包含在跨区卷中的

每一个磁盘。跨区卷没有容错性，如果跨区卷上的任何磁盘出现故障，整个卷上

的数据将会丢失。 �� 带区卷：由多个驱动器的可用磁盘空间集合而成，最多可以横跨 32 个实体驱动

器。它与跨区卷的不同之处是 Windows 2000 并行地将数据传输到多个磁盘上，使

用大量的数据很快地读写到物理磁盘。带区卷也不具备容错功能，而且一日出现

故障，整个卷上的数据也将会丢失。 �� 镜像卷：由 2 个相同的简单卷组成，每个简单卷存放在不同的实体驱动器上。由

于一份数据存放在 2 个简单卷上，因此在硬盘出现故障时具有容错的能力。

�� RAID-5 卷：也是具有容错性的带区卷，Windows 2000 将带有奇偶校验信息的带

区添加到卷上。当出现一个物理故障时，Windows 2000 将使用带有奇偶校验信息

的带区重建数据。RAID-5 卷至少需要 3 个硬盘。

9.1.2 磁盘管理界面介绍

那么如何来创建管理磁盘呢？Windows 2000 提供了管理磁盘的工具“计算机管理”，

磁盘管理是通过计算机管理控制台来操作的。可以按以下方式来启动磁盘管理：

(1) 打开【开始】|【程序】|【管理工具】菜单。

(2) 在【管理工具】子菜单上单击【计算机管理】选项，打开【计算机管理】窗口。

(3) 单击【存储】中的【磁盘管理】项，会看到如图 9.1 所示的窗口。

中小网络管理维护一点通 158

图9.1 【磁盘管理】窗口

在这个窗口中可以看到磁盘的基本信息，右下端有 2 个磁盘：【磁盘 0】和【磁盘 1】，

都是基本卷磁盘。在底端有 3 种颜色的小方块，分别代表【主磁盘分区】、【扩展磁盘分

区】和【逻辑驱动器】。对照上面的磁盘 0，就会对该磁盘的分区情况一目了然。通过文

件系统列表可以看到磁盘的文件系统类型，在容量列表中可以看到各个磁盘驱动器的容量

大小。

对于上图可以单击【查看】|【设置】命令来改变磁盘区的色彩、图形的样式以及缩放

比例，如图 9.2 所示的【视图设置】对话框。

图9.2 【视图设置】对话框

9.2 创建基本磁盘

一块未曾用过的新硬盘在使用之前，就要(对其)进行格式化、创建主分区以及扩展分

区和逻辑驱动器等一系列操作。下面用一个大小为 1.2GB 的硬盘为例，将其主分区设置为

第 9 章 磁盘管理 159

500M，然后将剩余的磁盘空间创建成其扩展分区。

提示： 一般用户的机器上只有一块硬盘，如果再添加其他的硬盘，需要将两个硬盘

的硬件跳线分别设置为主(MASTER)盘和副(SLAVE)盘。具体的设置方法请

参考相关的硬件说明。

9.2.1 创建主要磁盘分区

对于没有使用过的新硬盘，需要先创建磁盘分区，依据需要划分磁盘分区的大小和格

式，具体的操作如下：

(1) 打开【磁盘管理】的界面，在右下端的【磁盘 1】上会出现【未指派】的标注，

这表明该磁盘没有被分区。在底端也会出现一个新的颜色块，标明为【未指派】。

(2) 在磁盘 1 的【未指派】区域上右击，或者单击【操作】菜单下的【创建磁盘分区】

命令，如图 9.3 所示。

图9.3 创建磁盘分区命令

(3) 这时会出现【创建磁盘分区向导】对话框，提示用户该向导将帮助用户在基本磁

盘上创建磁盘分区，如图 9.4 所示。

图9.4 【创建磁盘分区向导】对话框

中小网络管理维护一点通 160

(4) 单击【下一步】按钮，会出现【选择分区类型】对话框，在这里可以选择所要创

建的磁盘的分区类型，如果想要安装操作系统，就可以选中创建【主磁盘分区】

单选按钮，如图 9.5 所示，然后单击【下一步】按钮。

图9.5 选择创建【主磁盘分区】

(5) 这时出现如图 9.6 所示的【指定分区大小】对话框，可以在【要使用的磁盘空间】

微调框中，输入希望分区的大小，可以输入一个最大不超过 1225M、最小不低于

1M 的磁盘空间容量，这里输入磁盘空间大小为“500M”。

图9.6 打开【指定分区大小】对话框

(6) 单击【下一步】按钮，打开如图 9.7 所示的【指派驱动器号和路径】对话框，在

这个对话框中可以选择 3 个选项来指派驱动器，选中第 1 个【指派驱动器号】单

选按钮，可以从右边的列表框中选择一个符号 H 来指定驱动器盘符。选择第 2 项，

可以将驱动器放到一个指定的空文件夹中，在存取数据时就可以直接在此文件夹

上进行。选择第 3 项，可以不给驱动器或路径指定符号，这样系统将不会产生盘

符，这里选择比较常用的第 1 个选项。

(7) 单击【下一步】按钮，弹出如图 9.8 所示的格式化磁盘对话框，可以按需要的方

式来选择格式化和不格式化磁盘分区。如果不想马上格式化磁盘分区，可以在以

后进行格式化；如果现在就想格式化分区，可以选择使用的文件系统的格式，如：

第 9 章 磁盘管理 161

FAT16、FAT32、NTFS 格式。为了发挥 Windows 2000 的功能，这里选择 NTFS

格式，分配单位大小为系统默认，卷标可以更改或默认不变。

提示： 在底端的两个复选框中，可以指定是否【执行快速格式化】和【启动文件和

文件夹压缩】。

图9.7 指派驱动器号和路径的对话框

图9.8 格式化磁盘对话框

(8) 单击【下一步】按钮，弹出【完成创建磁盘分区向导】对话框，如图 9.9 所示，

在对话框中单击【完成】按钮，就可以完成磁盘分区的创建过程。

图9.9 完成创建磁盘分区向导对话框

中小网络管理维护一点通 162

9.2.2 创建扩展磁盘分区

创建完磁盘主分区后，就需要对尚未指派的空间继续创建扩展磁盘分区，创建扩展磁

盘分区的步骤如下：

(1) 在【未指派】的磁盘区域上，单击鼠标右键，在弹出的子菜上单击【创建磁盘分

区】按钮。

(2) 在弹出的选择分区类型的对话框中，选中【扩展磁盘分区】单选按钮，如图 9.10

所示，单击【下一步】按钮。

图9.10 选中【扩展磁盘分区】单选按钮

(3) 这时，弹出指定分区大小的对话框，可以将剩余的空间全部划分为扩展的磁盘分

区，所以取默认值即可，如图 9.11 所示。

图9.11 选择默认分区大小的对话框

(4) 单击【下一步】按钮，弹出完成创建扩展磁盘分区的界面。单击【完成】按钮，

这时创建后的扩展分区如图 9.12 所示。

第 9 章 磁盘管理 163

图9.12 创建扩展分区后的窗口

9.2.3 创建逻辑磁盘分区

在创建完了磁盘的扩展分区以后，紧接着就需要在扩展分区上创建逻辑驱动器了，具

体的步骤如下：

(1) 在图 9.13 的【可用空间】区域上右击，在弹出的快捷菜单上选择【创建逻辑驱动

器】命令。

图9.13 选择【创建逻辑驱动器】命令

(2) 弹出图 9.14 所示的【创建磁盘分区向导】对话框，根据向导提示单击【下一步】

按钮。

(3) 弹出图 9.15 所示的对话框，在这个对话框中，可以看到，在要创建的磁盘类型选

项下面，只有【逻辑驱动器】这一项是可选的。所以接着单击【下一步】按钮。

(4) 在弹出的对话框中选择所要创建的逻辑驱动器空间的大小，单击【下一步】按钮。

(5) 这时出现的是指派驱动器号或路径选项，可以根据自己的要求来设定，然后单击

【下一步】按钮。

(6) 弹出【格式化分区】窗口，用户可以选择所要格式化的文件系统等项目。

(7) 单击【下一步】按钮，系统会弹出设置完成界面，可以单击【完成】按钮。这时

中小网络管理维护一点通 164

系统开始创建新加的逻辑驱动器 I，并且对其进行格式化的操作。完成以后的操作

如图 9.16 所示。

图9.14 【创建磁盘分区向导】对话框

图9.15 创建的磁盘类型

图9.16 创建好的逻辑驱动器I

经过以上的一步步操作，相信会对硬盘怎样分区有一定的认识了，不妨自己亲手试一

试，例如：将一块 30GB 的硬盘，分成一个 9GB 的主分区和 20GB 的扩展分区，然后在扩

第 9 章 磁盘管理 165

展分区上进行逻辑驱动器的进一步划分。

9.3 管理基本磁盘

对于所创建的基本磁盘分区可以进行删除分区、更改驱动器路径的操作，对于逻辑驱

动器也可以进行删除和更改的操作。下面详细介绍具体的操作过程。

9.3.1 更改驱动器路径

通过更改驱动器路径，用户可以更直接存取访问磁盘中的文件，以图 9.16 为例，将图

中的磁盘 1 的逻辑磁盘 I 的路径更改，更改驱动器路径的操作可以如下：

(1) 在图 9.16 中的逻辑磁盘 I 上右击，弹出如图 9.17 所示的快捷菜单。

图9.17 快捷菜单

(2) 在弹出的快捷菜单上单击【更改驱动器名和路径】命令。

(3) 弹出如图 9.18 所示的更改驱动器号和路径对话框。在这个对话框中，可以选择对

这个逻辑驱动器的 3 种操作：单击【添加】按钮将更改驱动器的路径；单击【编

辑】按钮可以更改驱动器号单击【删除】按钮可以将所选的逻辑驱动器删除。在

这里要改变的是逻辑驱动器的路径，所以要单击【添加】按钮。

图9.18 更改驱动器号和路径对话框

(4) 弹出如图 9.19 所示的对话框，在这个对话框中可以输入事先已经创建好的文件夹

路径，也可以单击【浏览】按钮来选择路径，但这里要注意的是路径的选择必须

是建立在磁盘文件结构是 NTFS 格式基础上的。

中小网络管理维护一点通 166

图9.19 输入事先已经创建好的文件夹路径

创建完成后，打开所创建的逻辑驱动器的位置，可以看到逻辑驱动器是以文件夹的形

式存放在了本地磁盘上。如图 9.20 所示，用户就可以像使用文件夹一样来存放数据到这个

磁盘上。

提示： 如果要删除这个加在本地磁盘上的驱动器，可以在图 9.18 的对话框中单击【删

除】按钮对其进行删除。

图9.20 在本地磁盘上的逻辑驱动器I

9.3.2 删除基本磁盘分区和逻辑驱动器

删除基本磁盘分区之前，必须要先备份这个磁盘上的所有数据，因为一旦将其删除，

这个磁盘上的所有数据将会丢失，如图 9.21 所示的界面。

图9.21 删除主磁盘分区

如果想要删除逻辑驱动器，可以选择图 9.17 所示快捷菜单中的【删除逻辑驱动器】命

令，这时系统会提示：如果删除逻辑驱动器也同样会丢失上面的所有数据。

第 9 章 磁盘管理 167

9.4 创建动态磁盘

前面已经介绍过动态磁盘是以卷的形式来表式的，可以分为多种，主要的形式有：简

单卷、跨区卷、带区卷、镜像卷和 RAID-5 卷。动态磁盘的创建是通过升级基本磁盘到动

态磁盘的，前面介绍了一些卷的定义，下面介绍具体创建动态磁盘的过程。

9.4.1 升级到动态磁盘

对于新的硬盘或基本的磁盘一般通过采用升级的方式成为动态磁盘，如果是常用的基

本磁盘要升级成为动态磁盘，首先要将这个磁盘上的执行程序事先关闭，这样在转换的时

候数据才不至于丢失，而且原来磁盘上的分区也将转变为动态磁盘的简单卷。

(1) 在【磁盘 1】上右击，在弹出的菜单中单击【升级到动态磁盘】命令，如图 9.22

所示。

图9.22 选择【升级到动态磁盘】命令

(2) 在弹出图 9.23 所示的【升级到动态磁盘】对话框中，单击【确定】按钮。

图9.23 【升级到动态磁盘】对话框

(3) 接着系统会弹出【要升级的磁盘】对话框，可以在此对话框中选择要升级的磁盘，

然后单击【升级】按钮，这时系统会提示如果将磁盘升级为动态磁盘，用户将不

能用以前版本的 Windows，单击【是】按钮，在下一个对话框中按提示进行操作。

(4) 升级成动态磁盘以后的【磁盘 1】如图 9.24 所示。

中小网络管理维护一点通 168

图9.24 升级后的【磁盘1】

9.4.2 创建简单卷

在上一小节中创建了动态磁盘，这样就可以在动态磁盘的前提下创建简单卷了。创建简

单卷的操作如下：

(1) 在动态磁盘的【未指派】区域上右击，在弹出的菜单上单击【创建卷】命令，在

弹出的创建向导对话框中单击【下一步】按钮。

(2) 弹出如图 9.25 所示的创建卷类型对话框，在对话框中可以看到现在可以创建的卷

的类型，因为在此之前已经将【磁盘 0】也升级成动态磁盘，所以目前有 2 个动

态磁盘，这样在此窗口中除了可以选择简单卷以外，还可以选择其他的卷类型，

这里只选中【简单卷】单选按钮，接着单击【下一步】按钮。

图9.25 选择卷类型对话框

(3) 弹出如图 9.26 所示的选择磁盘对话框，在这个对话框中可以选择要创建成为简单

卷的磁盘，这里用默认的【磁盘 1】就可以了，如果想要限定【简单卷】的大小，

可以在下面的【对于所选磁盘】微调框中设置磁盘的空间大小，这里设置一个

300MB 的简单卷，然后单击【下一步】按钮。

接下来的操作，可以自己来完成这里不再详述。创建完成的简单卷如图 9.27 所示。对

于简单卷来说还可以对其进行划分，这种划分的方式就是建立扩展卷的形式。

提示： 对于图 9.27 的简单卷 H，在该选项上可以右击，通过弹出快键菜单来建立扩

展卷，可以选择任何动态磁盘上的未分配空间来扩展现有的卷。可以自己试

着做一做，当将一个简单卷扩展到另外一个磁盘的时候，它就变成了跨区卷。

第 9 章 磁盘管理 169

图9.26 选择磁盘对话框

图9.27 创建完成的简单卷

9.4.3 创建跨区卷

跨区卷包括来自多个磁盘上的空间，可以有效地利用未分配的磁盘，但只能在动态磁

盘上来创建跨区卷，并且动态磁盘数至少需要 2 个。

可以利用动态磁盘 0 和动态磁盘 1 上的未指派的空间来创建跨区卷，这里我们创建一

个大小为 200 MB 的跨区卷。开始的操作与创建简单卷相同，依据向导操作，在图 9.28 所

示的选择磁盘对话框中，将 2 个动态磁盘都移到右边的【选定的动态磁盘】列表框中，然

后在【选定的磁盘】微调框中，设置 2 个动态磁盘大小分别为 100 MB。最后创建完成的跨

区卷如图 9.29 所示。

图9.28 选择磁盘对话框

中小网络管理维护一点通 170

图9.29 创建完成的跨区卷

9.4.4 创建带区卷和镜像卷

与跨区卷的不同之处是带区卷中数据是同时并行地向多个磁盘(2 到 32 个)进行写数据，

所以系统写入的数据也会分布在各个磁盘上。带区卷与跨区卷一样都没有容错性可言，一

旦出现故障，整个卷上的数据都会丢失。

可以依据原来的方式来创建带区卷，创建完成后的带区卷如图 9.30 所示。

图9.30 创建完成的带区卷

镜像卷的数据存储是同时在 2 个磁盘上进行的，它把相同的数据备份到 2 块磁盘上，

如果有一个磁盘出现问题，就可以利用另外一块磁盘。创建镜像卷与创建带区卷一样，也

是如法炮制，创建完成后的镜像卷如图 9.31 所示。

图9.31 创建完成的镜像卷

相信在完成上面一系列创建卷的操作后，对 RAID-5 卷的创建也会非常熟悉了，但要

注意的是 RAID-5 卷至少需要 3 个动态磁盘。这里就不再介绍了，有条件的情况下可以自

己试一试。

第 9 章 磁盘管理 171

9.5 管理动态磁盘

对于所有创建的动态卷，可以对其进行更改驱动器路径、删除卷的操作，对于所做的

镜像卷还可以进行中断镜像、添加镜像的操作。

1. 删除卷

对于用户创建的所有的动态卷都可以进行删除的操作，删除卷之前一定要将卷上面有

用的数据进行备份，否则删除后所有的数据都将丢失。

只要在要删除的卷上右击，在弹出的快捷菜单中单击【删除卷】命令，如图 9.32 所示，

就会将所选的卷删除。

图9.32 删除卷命令 图9.33 中断镜像命令

2. 中断镜像

用户对于创建的镜像卷可以进行中断镜像的操作，如图 9.33 所示，中断镜像以后，镜

像卷就变为没有容错性的简单卷了。如果用户要恢复中断的镜像卷，就可以在中断的镜像

卷上单击【添加镜像】命令来重建镜像。

3. 动态磁盘还原为基本磁盘

将动态磁盘还原为基本磁盘之前，必须要先将动态磁盘上所有的卷都删除，否则当动

态磁盘变为基本磁盘之后就只能创建分区和逻辑驱动器。用户可以用基本磁盘升级成动态

磁盘的方式把动态磁盘还原为基本磁盘。只要在想要改回到基本磁盘的动态盘上右击，然

后单击【还原到基本磁盘】命令即可。

9.6 磁盘整理工具的使用

一般磁盘在使用一段时间以后，就会包含大量碎片文件和文件夹，这样 Windows 访问

它们的时间要增长，原因是它需要进行一些额外的磁盘驱动器读操作才能收集文件和文件

中小网络管理维护一点通 172

夹的不同部分。因为磁盘上的可用空间是零散的，所以创建新的文件和文件夹就会慢一些，

而且 Windows 必须将新文件和文件夹保存到磁盘上的不同位置。

磁盘碎片整理程序将每个文件或文件夹的碎片移动到卷上的一个位置，以便每个文件

或文件夹占据磁盘驱动器上单独的、连续的空间。这样，用户的系统就可以更有效地访问

自己的文件和文件夹，并保存新的文件和文件夹。通过合并文件和文件夹，磁盘碎片整理

程序同时也合并了可用的空间，减小了新文件成为碎片的可能。

磁盘管理中提供了【磁盘碎片整理程序】，如图 9.34 所示，单击【磁盘碎片整理程序】

选项，在右端会出现磁盘碎片整理的界面。下端是在进行碎片整理的时候，磁盘碎片情况

的动态显示。显示的颜色表明了磁盘碎片的情况。

�� 红色代表碎片文件。

�� 暗蓝色代表连续的文件。

�� 白色代表卷的剩余空间。

�� 绿色代表系统文件，这些文件对于【磁盘碎片整理程序】来说是不能移动的。

图9.34 磁盘碎片整理程序窗口

用户在决定是否进行碎片整理之前可以先分析磁盘。对磁盘进行分析后，屏幕上会出

现一个对话框，告诉用户该磁盘中含有大量碎片的文件和文件夹的百分比，以及推荐的操

作过程。所以用户应该定期对磁盘进行分析，而只有在【磁盘碎片整理程序】建议时最好

再整理碎片。

只要选择好想要分析的磁盘，单击【分析】按钮，系统开始对磁盘进行分析(图 9.35

所示)，一段时间后，就会打开分析报告对话框。告知所进行分析的磁盘是否需要进行碎片

整理。图 9.36 的分析报告结果表明，磁盘不需要进行碎片整理，可以单击【关闭】按钮，

结束对磁盘的整理工作。如果报告提示建议对磁盘进行整理，那么可以单击【碎片整理】

按钮整理磁盘。

第 9 章 磁盘管理 173

图9.35 对磁盘进行分析过程

图9.36 分析报告对话框

9.7 磁盘配额

所谓的磁盘空间配额就是指系统管理员根据用户拥有的文件和文件夹，来配置它们对

磁盘空间的使用。磁盘配额可以跟踪以及控制磁盘空间的使用情况，系统管理员可将

Windows 配置为当用户超过所指定的磁盘空间限额时，阻止用户进一步使用磁盘空间并且

记录事件。当用户超过指定的磁盘空间警告级别时记录事件。

使用磁盘配额时，可以在选定的磁盘上右击，在弹出的快捷菜单中，单击【属性】命

令，再单击【配额】标签，弹出如图 9.37 所示的对话框。

注意： 所选择的磁盘必须是 NTFS 格式的文件系统，而且只有 Administrators 组的成

员才具有使用磁盘配额的权限。

在上图中用户只要选中【启用配客管理】复选框，就可以设置磁盘的配额了，在如图

9.38 所示的对话框中，可以选择以下的各项设置。

�� 拒绝将磁盘空间给超过配额限制的用户：选择这项后当用户超过配额限制时会出

现超过磁盘配额的提示，并且用户无法写入数据。

�� 不限制磁盘使用：选择这项后可以不限制用户所使用的磁盘空间。

�� 将磁盘空间限制为：选择这项后可以设置用户对磁盘空间大小的使用。

�� 将警告等级设置为：选择这项后当用户在超过所限制的磁盘空间大小时，发出

警告。

中小网络管理维护一点通 174

�� 用户超出配额限制时记录事件：选择这项后系统会在用户超过配额限制时记录

事件。

�� 用户超过警告等级时记录事件：选择这项后系统会在用户超出磁盘空间的警告等

级时记录事件。

�� 配额项：单击这个按钮，可以查看每个用户的配额信息。

图9.37 磁盘配额选项卡

图9.38 设置配额项

在图 9.38 左上角可以看到一个红绿灯图标，在未启用磁盘配额之前为“红色”，在磁

盘配额启用之后就可以看到是“绿色”了，如果想要对某一个特定的用户设置磁盘空间的

大小，只要单击【配额项】，弹出如图 9.39 所示的配额项目对话框，然后单击【配额】菜

单，在弹出的子菜单中选择【新建的配额项】命令，接着选择所要指定给磁盘配额的用户，

弹出如图 9.40 所示的对该用户的磁盘配额限制对话框，输入一定的数值，单击【确定】按

第 9 章 磁盘管理 175

钮。

经过上面的一系列设置以后，用户再以特定的用户名从远程登录，在设定配额的磁盘

上存入一些文件，当文件超出磁盘的大小以后系统就会显示出警告窗口。

图9.39 配额项目对话框 图9.40 特定用户的磁盘配额限制对话框

当然设置以后也可以进行删除、更改等操作，这里就不再介绍了，可以自己去试一试。

如果选择了对事件记录的设置，就可以在事件查看器中的系统日志中查看用户关于磁盘配

额的信息。

第 10 章 将企业网连接到 Internet

本章概述：

Internet 上信息资源丰富，让企业网连接到 Internet 已成为当务之急。对于具有几十台

计算机的企业来说，不可能为每一台计算机都申请专线(就是可能的话，也是一种资源浪

费)。为了让企业网连接到 Internet，通常要使用路由器，企业网中的计算机通过路由器就

可以访问 Internet。值得庆幸的是，Windows 2000 内置了路由的功能，可以让 Windows 2000

服务器充当路由器，这样就为企业节省了一笔购买路由器的费用。本章详细介绍 IP 路由和

网络地址转换的基本知识以及如何把 Windows 2000 配置为路由器。

学习目标：

�� 路由和网络地址转换

�� 把 Windows 2000 配置为路由器

�� 架构虚拟专用网络

10.1 路由和网络地址转换

当两台计算机在网络上通信时，计算机要么位于本地(同一个子网)，要么在远程(不同

子网)。如果两台计算机在不同子网上，使用路由可以使它们相互通信。路由是一个选路过

程，通过互联网上的路由器(具有路由功能的设备或计算机)，使数据报能被传送到目标计

算机。路由器的作用很像邮局：如果要向一个住得很近的人(例如在同一个街道上)捎个消

息，往往可能会亲自跑一趟。但如果目标地址很远，那么你可能把信投到最近的邮筒或邮

局，然后邮局根据地址信息决定如何邮寄这封信。这封信在到达目的地址之前可能会经过

多个邮局。

路由器是根据计算机所在的网络 ID 号来判断和传送信息的。通过网络发送的每个数据

报，都有一个含有源地址和目标地址字段的数据报头。路由器把每个数据报头同网络地址

字段相比较，从而为该数据报选择最佳的路径，以达到优化网络性能的目的。

因为路由器在网络中担当“邮局”的角色，所以它们需要知道哪些网络是可以到达的

以及如何到达。为了完成这个目标，路由器依赖一张存储了网络拓扑信息内容的表，以确

定路由的算法。这张表称为路由表，包含一组条目，指定可以到达其他网络的路由器接口

的 IP 地址，路由器使用这些 IP 地址可以进行通信。

简单了解了路由之后，接下来介绍一下什么是 NAT。想要让公司的网络能在 Internet 上

进行通讯，就必须使用 Internet 网络信息中心 (InterNIC)分配的合法 IP 地址，这种地址被

称为“公用地址”。而公司网络中每一台计算机要与 Internet 进行通讯，也需要拥有自己

第 10 章 将企业网连接到 Internet 177

的公用地址。但是随着近年来 Internet 的日渐普及，IP 地址逐渐不敷使用，而公司网络中

每一台计算机都要求拥有公用 IP 地址显然给可用的公用地址造成了较大的压力。

为了缓解这种压力，InterNIC 已经通过了 IP 地址重用方案，也就是为专用网络保留固定的

IP 地址，每一个公司的内部网络都可以使用相同的 IP 地址，而在连接 Internet 时也不会发

生冲突。例如：192.168.0.1 ~ 192.168.255.254 范围内的地址就是为中小企业准备的专用网

络地址，每一个企事业单位的内部网络都可以使用这一段 IP 地址。但是，这种专用地址不

能与 Internet 直接通信，因此，使用专用地址的公司网络要与 Internet 进行通讯，其中的

专用地址必须转换成公用地址。这样，便产生了“网络地址转换”的概念。

网络地址转换的英文名字是 NAT(Network Address Translation)，它是 Windows 2000 的

功能。通常，将 NAT 服务添加到用作路由器的 Windows 2000 服务器中，该服务器使用公

用的 IP 地址，局域网中的其他计算机使用专用 IP 地址。从公司网络传出的数据包由 NAT

将它们的专用地址转换为公用地址，从 Internet 传入的数据包由 NAT 将它们的公用地址

转换为专用地址。这样，公司网络中每一台使用专用地址的计算机就可以与 Internet 通信了。

使用 Windows 2000 作为路由器的企业网络模型如图 10.1 所示。

图10.1 企业网络的示意图

10.2 把 Windows 2000 Server 配置为路由器

假设企业网络环境如图 10.1 所示的那样：有若干台客户机，一台服务器作为路由服务

器，Internet 连接方式为专线，要求客户机都能通过路由服务器访问 Internet。下面就以这

种假设的企业网络环境为例，示范如何设置企业网络的 IP 地址、启用路由和网络地址转换

功能。

使用专用 IP 地址

使用专用 IP 地址

使用专用 IP 地址

具有路由和 NAT功 能 的 Windows 2000 计算机

集线器

专线设备

专线连上 ISP

本地连接 使用专用 IP 地址

外部连接 使用公用 IP 地址

中小网络管理维护一点通 178

10.2.1 安装硬件

想要使 Windows 2000 具有路由功能，首先需要安装两个或两个以上的网卡。在服务器

中插入新的网卡并重新启动计算机后，Windows 2000 自动检测网卡并安装了驱动程序。

以 Administrator 的身份登录 Windows 2000。单击【开始】|【设置】|【网络和拨号连接】

命令，打开【网络和拨号连接】窗口。Windows 2000 已经在该窗口中建立了两个连接：“本

地连接”和“本地连接 2”，其中一个连接对应一个网卡。如果要让“本地连接 2”对应的

网卡连接到 Internet，请将“本地连接 2”重命名为：“外部连接”，这样两个连接就能区

别开了，如图 10.2 所示。

图10.2 【网络和拨号连接】窗口

提示： 如果 Windows 2000 没有自动检测并设置新的网卡，则需要使用【添加/删除

硬件向导】手动安装新网卡的驱动程序。

10.2.2 IP 地址的设置

如图 10.1 所示的那样：Windows 2000 路由器的两个连接的 IP 地址是不一样的。【外

部连接】使用由 ISP 指定的公用地址，【本地连接】和内部网络中其他计算机则使用专用

地址。表 10.1 中列出了由 ISP 指定的公用地址。

表10.1 【外部连接】的地址

名 称 地 址

IP 地址 166.111.222.120

子网掩码 255.255.255.0

默认网关 166.111.222.99

首选 DNS 服务器 166.111.222.102

设置【外部连接】IP 地址的具体步骤如下：

第 10 章 将企业网连接到 Internet 179

(1) 在【网络和拨号连接】窗口中右击【外部连接】项。

(2) 单击快捷菜单中的【属性】命令，打开【外部连接 属性】对话框。

(3) 双击【Internet 协议(TCP/IP)】，打开【Internet 协议(TCP/IP)属性】对话框。

(4) 选中【使用下面的 IP 地址】单选按钮，在下面的文本框中分别填入 ISP 指定的 IP

地址、子网掩码、默认网关和首选 DNS 服务器的地址，如图 10.3 所示。完成后

单击【确定】按钮返回即可。

图10.3 【外部连接】的公用地址

【本地连接】连接至内部网络，使用专用地址，如表 10.2 所示。内部网络中其他计算

机的地址设置如表 10.3 所示。

表10.2 路由服务器【本地连接】的地址

名 称 地 址

IP 地址 192.168.0.1

子网掩码 255.255.255.0

默认网关 不用填

首选 DNS 服务器 192.168.0.1(假定本局域网的 DNS 服务器和 Windows 2000 路由器为

同一台计算机)

表10.3 内部网络其他计算机的地址

名 称 地 址

IP 地址 192.168.0.2~192.168.0.254 任选一个 IP 地址

子网掩码 255.255.255.0

默认网关 192.168.0.1(也就是本地连接的 IP 地址)

首选 DNS 服务器 192.168.0.1(假定本局域网的 DNS 服务器和 Windows 2000 路由器为

同一台计算机)

中小网络管理维护一点通 180

提示： 【本地连接】和内部网络其他计算机地址的设置步骤参见【外部连接】的具

体设置，这里不再赘述。内部网络中其他计算机的地址设置可以使用静态的

IP 地址，也可以由 DHCP 动态分配。如果使用动态地址，只需在【Internet

协议(TCP/IP)属性】对话框中选中【自动获得 IP 地址】单选按钮即可。

10.2.3 配置并启用路由功能

在安装 Windows 2000 Server 时，系统会默认装上路由和远程访问服务。该服务提供了

路由和远程访问服务器安装向导，利用该向导可以轻松地完成路由器的配置。下面就具体

介绍配置和启用 Windows 2000 路由服务的步骤。

(1) 单击【开始】|【程序】|【管理工具】|【路由和远程访问】命令，打开【路由和

远程访问】窗口。

(2) 如果在左边的窗口中没有显示把这台服务器作为路由器的信息，请执行菜单命令

【操作】|【添加服务器】。在随后弹出的【添加服务器】对话框里把这台计算机

添加为路由服务器。如果系统已经把这台计算机作为默认的路由服务器，则跳过

这一步。

(3) 右击添加的路由服务器，然后单击快捷菜单中的【配置并启用路由和远程访问】

命令，如图 10.4 所示，打开路由和远程访问服务器安装向导。

图10.4 【路由和远程访问】窗口

(4) 在向导的欢迎画面中单击【下一步】按钮，弹出【公用设置】对话框，如图 10.5

所示。

(5) 在【公用设置】对话框中选中【网络路由器】单选按钮，然后单击【下一步】按

钮，弹出【路由的协议】对话框，如图 10.6 所示。

(6) 在随后弹出的【路由的协议】对话框中列出了所安装的协议，保持默认设置，单

击【下一步】按钮，弹出【请求拨号连接】对话框。

(7) 因为是专线连接 ISP，而不是使用拨号连接，所以在【请求拨号连接】对话框中

选中【否】单选按钮，然后单击【下一步】按钮。

第 10 章 将企业网连接到 Internet 181

(8) 在弹出的完成向导对话框中单击【完成】按钮，系统开始这台服务器上启动路由

和远程访问服务。

图10.5 公用设置对话框

图10.6 路由的协议对话框

10.2.4 安装和配置网络地址转换

因为内部网络的其他计算机要使用专用 IP 地址连接 Internet，所以需要使Windows 2000

路由器具有网络地址转换(NAT)功能。其实 NAT 是一种路由协议，在配置并启用了路由功

能之后，接下来进一步安装和配置 NAT，其具体步骤如下：

(1) 打开【路由和远程访问】窗口。

中小网络管理维护一点通 182

(2) 右击【常规】项，然后单击快捷菜单中的【新路由选择协议】命令，如图 10.7 所

示。随后弹出如图 10.8 所示的【新路由选择协议】对话框。

图10.7 安装新路由协议 图10.8 【新路由选择协议】对话框

(3) 在【新路由选择协议】对话框中选择【网络地址转换(NAT)】，单击【确定】按

钮，返回【路由和远程访问】窗口。于是在 Windows 2000 路由器中就安装了 NAT

这种路由协议。

(4) 接下来需要选择运行 NAT 协议的网络接口。右击新安装的【网络地址转换(NAT)】

协议，单击快捷菜单中的【新接口】命令，如图 10.9 所示。随后弹出如图 10.10

所示的【网络地址转换(NAT)新接口】对话框。

图10.9 选择新网络接口 图10.10 【网络地址转换(NAT)新接口】对话框

(5) 选择【本地连接】后单击【确定】按钮，弹出【网络地址转换-本地连接 属性】

对话框，如图 10.11 所示。

(6) 因为“本地连接”使用专用 IP 地址连接到内部网络，所以要选中【专用接口连接

到专用网络】单选按钮。完成后单击【确定】按钮，返回【路由和远程访问】窗口。

(7) 重复执行步骤(4)，在弹出的【网络地址转换(NAT)新接口】对话框中选择【外部

连接】，然后单击【确定】按钮。

(8) 因为“外部连接”使用公用 IP 地址连接到 ISP，所以在随后弹出的图 10.12 中应

选择【公用接口连接到 Internet】单选按钮。同时需要选中【转换 TCP/UDP 头(推

第 10 章 将企业网连接到 Internet 183

荐)】复选框，使用专用地址的内部网络计算机才能向 Internet 发送和接受数据包。

单击【确定】按钮，返回【路由和远程访问】窗口。

图10.11 【网络地址转换-本地连接 属性】对话框

提示： NAT 是通过用户端的 TCP/UDP 端口号码来判断哪个数据包属于哪台计算机的。

图10.12 【网络地址转换-外部连接 属性】对话框

通过上面的步骤完成了 NAT 的安装和配置，内部网络的其他计算机就可以使用专用 IP

地址连接 Internet 了。试一试用 Ping 命令或浏览器看看能否上网。

提示： 以上几节是针对专线连接 Internet 而言的，对于家庭或小型办公室网络来说，

如果想要连接到 Internet，通常不能负担昂贵的专线费用，因此只能考虑以拨

号的方式上网。利用 Wingate、Sygate 之类的共享软件，网络中只要有一台

计算机拨号上网，其他的计算机便可以共享此拨号连接 Internet 了。Windows

中小网络管理维护一点通 184

2000 也提供了这种“Internet 连接共享”的功能，在【网络和拨号连接】窗

口中单击【新建连接】，通过“网络连接向导”便可一步步建立 Internet 共

享连接。其实这种共享连接就是网络地址转换的精简版，对外以拨号的方式

上网，并由 ISP 分配一个公用 IP 地址，内部的计算机则使用专用地址并共享

一个公用地址上网。

NAT 虽然解决了 IP 地址不足的问题，但是在使用和设置方面也存在着局限性和复杂

性。

�� NAT 不能识别经过部分加密协议(例如 IPSec)加密后的数据包。

�� 因为 NAT 需要不停地记录、跟踪 TCP/UDP 端口号码与专用 IP 地址的对应关系，

如果很多使用专用 IP 地址的计算机同时发送数据包，则会消耗掉 Windows 2000

路由器的很多资源。

�� 如果 Internet 上的计算机要求与本局域网内的计算机建立连接时，则必须以手动

的方式将内部计算机的专用 IP 地址与那台计算机对应的服务器端口号加入到

NAT 记录中。例如：当本局域网中架设了 Web 服务器时，这种手工设置的方式

就会非常麻烦。

到此，企业的局域网已经能够成功地连接到 Internet 上了。如果企业在外地没有分公司

(例如跨国企业的海外分公司)，或者不想和子公司的网络建立连接，下面 10.3 节所讲的虚

拟专用网络就不用建立了。相反，如果总公司经常需要和外地的分公司有信息交流，那么

建立虚拟专用网络将会为此带来很大的方便。

10.3 架构虚拟专用网络

随着企业的发展和壮大，在外省市甚至海外建立分公司已经是司空见惯的事。然而，

在信息就是企业生命的今天，如果总公司和分公司无法进行正常的信息交流，显然整个企

业就无法运转。如何让企业的网络之间能正常地通信这一问题，曾经困扰过很多人，虚拟

专用网络的出现使这一问题迎刃而解。下面将逐步介绍如何为企业组建虚拟专用网络。

10.3.1 什么是虚拟专用网络

虚拟专用网络(Virtual Private Network，缩写为：VPN)是专用网络的延伸，它是通过

Internet 之类的公用网络，连接远程的计算机局域网。如果使用虚拟专用网络，则总公司与

外地分公司的局域网只要分别连接到当地的 ISP，然后通过 Internet 就可以彼此互连了。由

于 Internet 应用广泛且费用较低，使得虚拟专用网络的成本很低，因此它吸引了许多的企业，

成了近年来的热门技术。虽然虚拟专用网络很便宜，但其传输速度却受限于 Internet 整体的

速度，因此不适用于大量的数据传输。

我们都知道 Internet 是不安全的，那么，使用 VPN 通过 Internet 传输企业的重要数据

是不是也很危险呢？答案是否定的。虚拟专用网络采用了通道技术，在 Internet 上建立安全

的通道，使用此通道连接远程的计算机或局域网。通道技术主要是利用“封装”和“加密”

第 10 章 将企业网连接到 Internet 185

的原理，将原来在局域网内传送的数据包加以“包装”后，再放到 Internet 上传送。到了目

的地后，再解开“包装”，恢复数据包原来的模样。这样，不在同一个局域网中计算机就

可以像在同一个局域网中一样安全地传输数据。

为了方便说明，假设某企业在北京建立了总公司，在广州设立了一个分公司，在上海

设立了一个办事处。北京总公司和广州分公司都已经建立了局域网，并按照 10.2 节所介绍

的方法连接到了 Internet。北京总公司的 Windows 2000 Server 路由器的名字为 BJ，局域网

中的计算机依序为 BJ1、BJ2、BJ3⋯⋯。广州分公司的 Windows 2000 Server 路由器的名字

为 GZ，局域网中的计算机依序为 GZ1、GZ2、GZ3⋯⋯。上海办事处没有局域网，仅使用

一台名字为 SH 的电脑，并且已经能够使用拨号方式连接到 Internet。现在建立虚拟专用网

络，使上海办事处的电脑和广州分公司的局域网都能连接到北京总公司的局域网，其结构

示意图如 10.13 所示。按照这个示意图，下面将一步步介绍如何建立虚拟专用网络。

图10.13 虚拟专用网络结构示意图

10.3.2 安装虚拟专用网络服务器

安装虚拟专用网络服务器需要配置和启用路由和远程访问，而在 10.2 节中已经启用了

路由和远程访问服务，因此需要把这种服务关闭掉。当禁用了路由和远程访问之后，以前

所做的网络地址转换(NAT)设置也被删除了。因此在完成和配置虚拟专用网络服务器之后，

需要按照 10.2.4 节介绍的方法重新安装和配置网络地址转换。

BJ

GZ

BJ1

BJ2 BJ3

GZ1

GZ2 GZ3

SH

Internet

广州分公

司局域网

北京总公

司局域网

上海办事处

的一台电脑

中小网络管理维护一点通 186

下面以北京总公司的 BJ 服务器为例，详细介绍安装和设置虚拟专用网络服务器的方

法，其具体步骤如下：

(1) 在 BJ 服务器的【路由和远程访问】窗口中，右击路由服务器的名字，然后单击快

捷菜单中的【禁用路由和远程访问】命令，使路由和远程访问处于禁用状态。

(2) 右击路由服务器的名字，然后单击快捷菜单中的【配置并启用路由和远程访问】

命令，将打开路由和远程访问服务器安装向导。

(3) 单击安装向导欢迎画面的【下一步】按钮，弹出的对话框如图 10.14 所示。

图10.14 选择虚拟专用网络服务器

(4) 选中【虚拟专用网络(VPN)服务器】单选按钮，单击【下一步】按钮。

(5) 在随后弹出的对话框中列出了服务器上所有可用的协议，确保选中了【是】单选

按钮，单击【下一步】按钮，弹出如图 10.15 所示的对话框。

图10.15 指定此服务器所使用的Internet连接

第 10 章 将企业网连接到 Internet 187

(6) 因为在 BJ 服务器上使用【外部连接】与 Internet 建立连接，所以在此应选中【外

部连接】，单击【下一步】按钮，将弹出如图 10.16 所示的对话框。

图10.16 选择对远程客户分配IP地址的方式

(7) 在远程客户与该服务器建立连接时，这台虚拟专用网络服务器将会为连接创建虚

拟的网络接口并分配 IP 地址。这里选中【自动】单选按钮，让 DHCP 服务器为虚

拟接口分配 IP 地址，单击【下一步】按钮，弹出如图 10.17 所示的对话框。

图10.17 选择不使用RADIUS服务器

(8) 选中【不设置此服务器使用 RADIUS】单选按钮，单击【下一步】按钮，弹出完

成安装 VPN 服务器对话框。

(9) 单击【完成】按钮，系统开始在该服务器上启用路由和远程访问服务。

(10) 在【路由和远程访问】窗口中单击服务器名字下面的【远程访问策略】项，然后

中小网络管理维护一点通 188

再双击右侧窗格中的【如果启用拨号许可，就允许访问】项，打开其属性对话框，

如图 10.18 所示。

图10.18 授予远程访问权限

(11) 确保选中【授予远程访问权限】单选按钮，单击【确定】按钮，返回【路由和远

程访问】窗口。只有开放了远程访问的权限，远程用户才能通过此路由器访问局

域网。

配置启用路由和远程访问会将 10.2.4 节所安装的网络地址转换(NAT)的功能全部删除，

因此，在完成以上步骤后，需要按照 10.2.4 节所介绍的方法重新配置 NAT，这里就不再赘

述了。

10.3.3 如何让一台电脑连接到虚拟专用网络

由于上海办事处没有局域网，只有一台电脑使用调制解调器拨号连接到 Internet。下面

主要介绍如何让这台电脑通过虚拟专用网络登录到北京总公司的局域网中。

假如上海办事处的电脑采用 Windows 2000 操作系统，设置让这台电脑连接到北京总公

司的局域网的步骤如下：

(1) 启动 SH 的 Windows 2000 操作系统，单击【开始】|【设置】|【网络和拨号连接】

命令。

(2) 在【网络和拨号连接】窗口中单击【新建连接】命令，启动网络连接向导。

(3) 在网络连接向导的欢迎画面中单击【下一步】按钮，打开如图 10.19 所示的对

话框。

(4) 选中【通过 Internet 连接到专用网络】单选按钮，单击【下一步】按钮，打开的

对话框如图 10.20 所示。

第 10 章 将企业网连接到 Internet 189

图10.19 选择网络连接类型

图10.20 选择所用的拨号连接

(5) 选中【自动拨此初始连接】单选按钮，在下面的下拉列表框中选中利用 ISP 账号

所建立的拨号连接，单击【下一步】按钮，弹出的对话框如图 10.21 所示。

图10.21 输入IP地址

(6) 输入 BJ 服务器连接 Internet 的 IP 地址 166.111.222.120，单击【下一步】按钮，打

开如图 10.22 所示的对话框。

中小网络管理维护一点通 190

图10.22 选择使用此连接的用户

(7) 选择【所有用户使用此连接】单选按钮，可以让所有的用户都能使用这个连接。

单击【下一步】按钮。

(8) 在随后弹出的网络连接向导的完成对话框中，单击【完成】按钮，将弹出一个【初

始连接】的消息框。

(9) 要连接到虚拟专用网络，需要首先使用【连接到 Internet】连接上网。在此消息框

中单击【确定】按钮，表示使用此种连接方式，之后将弹出如图 10.23 所示的对

话框。

(10) 在【用户名】和【密码】文本框中分别输入从 ISP 那里申请的账号和密码，然后

单击【拨号】按钮，此时开始拨号连接到 ISP。连接成功后自动弹出如图 10.24 所

示的对话框。

(11) 在【用户名】和【密码】文本框中，分别输入在 BJ 服务器上具有拨入权限的账号

和密码，然后单击【连接】按钮。此时系统开始连接 BJ 服务器，验证成功后即登

录到了虚拟专用网络中。

图10.23 输入连接到ISP的账号和密码 图10.24 输入连接到VPN的账号和密码

提示： 拥有拨入远程路由器权限的账户与普通账户并没有太大的差别，在 BJ 服务器

可以这样设置一个拥有远程拨入权限的账户：在【Active Directory 用户和计

算机】窗口中选择一个普通的账户，打开其属性对话框，然后打开【拨入】

第 10 章 将企业网连接到 Internet 191

选项卡，如图 10.25 所示。在【远程访问权限】区域中选中【允许访问】单

选按钮，单击【确定】按钮。以后使用这个用户就可以远程拨入 BJ 路由器了。

图10.25 设置账户具有远程拨入权限

现在就可以试着从 SH 这台电脑上向北京局域网中的电脑(例如：BJ1)传送数据了，其

安全性象在同一个局域网中一样，但在速度方面，由于 Internet 的限制，没有在真实的局域

网中那样快。

10.3.4 让虚拟专用网络中的计算机可以浏览网页

虽然启用了路由和远程访问服务，但此时北京总公司局域网内的计算机仍不能通过 BJ

上网浏览网页，这是因为：在安装虚拟专用网络服务器时，为了保证远程连接局域网数据

的安全性，安装向导在【外部连接】的网络接口上设置了筛选器，只允许 PPTP 和 L2TP

数据包通过此接口，其他数据包均被过滤掉。想要让局域网内的计算机能够通过虚拟专用

网络服务器上网浏览网页，必须对【外部连接】的输入筛选器和输出筛选器进行设置。

提示： PPTP 是点对点隧道协议，L2TP 是第 2 层隧道协议，它们都支持虚拟专用网

络技术。PPTP 和 L2TP 利用远程访问技术(例如通过 DSL)使远程用户通过

Internet 安全地访问企业网。

在虚拟专用网络服务器上设置网络接口的筛选器的步骤如下：

(1) 在 BJ 服务器【路由和远程访问】窗口中，展开路由服务器的【IP 路由选择】项，

单击其中的【常规】项，如图 10.26 所示。

(2) 在右侧的【常规】窗格中双击【外部连接】项，打开【外部连接 属性】对话框，

如图 10.27 所示。

(3) 单击【输入筛选器】按钮，打开【输入筛选器】对话框。

中小网络管理维护一点通 192

图10.26 选择【外部连接】

图10.27 外部连接的【常规】选项卡

(4) 单击【添加】按钮，打开【添加 IP 筛选器】对话框，如图 10.28 所示。在其中的

【协议】下拉列表框中选择【TCP】协议，在【源端口】和【目标端口】文本框

中分别输入 80 和 0，表示允许源端口为 80 的 TCP 数据包可以从外界送入。完成

后 2 次单击【确定】按钮，返回到【外部连接 属性】对话框。

(5) 在【常规】选项卡中单击【输出筛选器】按钮，打开【输出筛选器】对话框。

(6) 单击【添加】按钮，打开【添加 IP 筛选器】对话框。在其中的【协议】下拉列表

框中选择【TCP】协议，在【源端口】和【目标端口】文本框中分别输入 0 和 80，

表示允许目标端口为 80 的 TCP 数据包可以从内部送出。完成后 2 次单击【确定】

按钮，返回到【外部连接 属性】对话框。

注意： 在添加 TCP 协议时，输入筛选器和输出筛选器的源端口及目标端口的值是不

一样的。

(7) 单击【确定】按钮，完成对输入和输出筛选器的设置。这时局域网内的计算机就

可以上网浏览网页了。

第 10 章 将企业网连接到 Internet 193

图10.28 指定协议和端口

提示： 如果要使用 FTP、Telnet 等方式连接 Internet，需要按照上述方法，在输入筛

选器和输出筛选器上添加相应的协议和端口。

10.3.5 让两个局域网建立 VPN 连接，设置 VPN 请求拨号接口

第 10.3.2 节已经建立了 BJ 虚拟专用网络服务器，但要让北京总公司和广州分公司的局

域网建立 VPN 连接，还需要在虚拟专用网络服务器上创建请求拨号接口。这样当两个局域

网相互传送数据时，BJ 和 GZ 便会自动建立虚拟专用网络连接。接下来仍以 BJ 服务器为

例，介绍建立请求拨号接口的方法，具体步骤如下：

(1) 在 BJ 服务器的【路由和远程访问】窗口中，右击【路由接口】项，然后单击快捷

菜单中的【新的请求拨号接口】命令，如图 10.29 所示，将打开请求拨号接口向

导。

图10.29 建立新的请求拨号接口

(2) 在请求拨号接口向导的欢迎画面中单击【下一步】按钮，弹出的对话框如图 10.30

所示。

(3) 在【接口名称】文本框中为新创建的接口指定一个容易辨认的名字，例如：连接

到广州分公司。然后单击【下一步】按钮，打开如图 10.31 所示的对话框。

中小网络管理维护一点通 194

(4) 选中【使用虚拟专用网络连接(VPN)】单选按钮，单击【下一步】按钮，弹出如

图 10.32 所示的对话框。

图10.30 输入接口的名称

图10.31 选择使用虚拟专用网络连接

图10.32 选择【自动选择】单选按钮

(5) 为了在连接时让 VPN 自动选择网络协议，请选中【自动选择】单选按钮，单击【下

一步】按钮，弹出如图 10.33 所示的对话框。

第 10 章 将企业网连接到 Internet 195

图10.33 输入IP地址

(6) 在【主机名或 IP 地址】文本框中，输入 GZ 服务器的名称或连接 Internet 的 IP 地

址，这里假设其 IP 地址为：202.74.111.98，完成后单击【下一步】按钮。

(7) 在随后弹出的对话框中保持默认设置，单击【下一步】按钮，弹出的对话框如图

10.34 所示。

图10.34 输入用户名和密码

(8) 这里需要 GZ 服务器提供一个具有远程拨入 GZ 路由器权限的账户，分别输入用

户名、密码和广州局域网的域名，单击【下一步】按钮，弹出请求拨号接口向导

的完成对话框。

(9) 单击对话框中的【完成】按钮，即在【路由和远程访问】窗口中创建了一个新的

路由接口，如图 10.35 所示。

提示： 虽然两个局域网建立虚拟连接时不使用电话拨号，但由于虚拟专用网络所用

的 PPTP 和 L2TP 协议衍生于 PPP 协议，因此仍需要创建一个拨号接口。

中小网络管理维护一点通 196

图10.35 新的路由接口

到此为止，在 BJ 上已经安装了虚拟专用网络服务器并建立了请求拨号接口，接下来需

要在 GZ 上按照第 10.3.2 节的方法安装虚拟专用网络服务器，而且也必须按照上面的方法

为它建立请求拨号接口，具体步骤这里就不再赘述了。只是在 GZ 服务器上建立请求拨号

接口时与在 BJ 上的步骤有几个不同的地方，读者应当注意，它们是：

�� 步骤(3)的【接口名称】应改为：连接到北京总公司。

�� 步骤(6)的 IP 地址应改为 BJ 服务器连接 Internet 的地址：166.111.222.120。

�� 步骤(8)中应输入在 BJ 服务器合法的用户名、密码和域名。

完成上面的步骤后，北京总公司和广州分公司之间的虚拟专用网络就建立成功了。在

BJ 或 GZ 上右击新创建的请求拨号接口，然后单击【连接】命令，如图 10.36 所示，这时

虚拟专用网络服务器便建立 VPN 连接。连接成功后，两个局域网中的计算机(例如：BJ1、

GZ1)就可以启用虚拟专用网络相互通信了，就像在同一个局域网中一样安全。由于 Internet

的局限性，速度可能会有些慢。

图10.36 单击【连接】命令

第 11 章 重要数据的备份与恢复

本章概述：

也许 Windows 2000 Server 是域中的域控制器，或者是工作组中的独立服务器，但无论

是哪种服务器，其中一定有许多重要的数据。尽管计算机科技发展的速度飞快，但计算机

软、硬件仍然不是完全稳定，再加上潜在的天灾人祸威胁，备份系统中的重要数据以预防

各种意外发生，就成为系统管理员的必备工作。这一章将详细介绍重要数据的备份和恢复

的方法以及灾难的防备和挽救。

学习目标：

�� 备份方式的分类

�� 备份方案的规划

�� 创建备份

�� 备份向导的高级设置

�� 还原备份

�� 灾难的防备与恢复

11.1 备份的分类与规划

为了使意外事故的发生不造成巨大损失，Windows 2000 提供了“备份”工具，它可以

帮助保护系统中的数据。例如，使用“备份”功能在其他存储设备(如硬盘或磁带)上建立

存档副本，如果硬盘上的原始数据被意外删除或覆盖，或因为硬盘故障而不能访问该数据，

那么可以十分方便地从存档副本中还原该数据；创建的紧急修复磁盘可以帮助在系统文件

损坏或意外被擦除时快速地修复它们；备份工具还可以备份和还原注册表、Active Directory

数据库、文件分区表 (FAT) 或 NTFS 文件系统卷上的数据等。

注意： 如果从 Windows 2000 中使用的 NTFS 卷上备份了数据，则也将该数据还原

到 Windows 2000 中使用的 NTFS 卷中去，否则，可能会丢失一些数据以及

文件和文件夹特性，例如权限、加密文件设置、磁盘配额信息、已安装驱动

器信息等。

备份文件的方式有很多，选用哪一种取决于数据类型、恢复过程的方便程度，因此在

对数据进行备份之前要规划出符合组织要求的备份方案。下面先来介绍一下备份的基本概念。

Windows 2000 备份程序支持下列 5 种备份方式：

�� 普通备份：备份所有选中的文件，同时取消文件的存档属性。如果日后文件被修

中小网络管理维护一点通 198

改，存档属性将被设置以指示此文件需要备份。第一次在系统中执行备份时，通

常都使用普通备份。

�� 副本备份：复制所有选中的文件，但不清除这些文件的存档属性。如果想在正常

和增量备份之间备份文件，复制是很有用的，因为复制不影响其他备份操作。副

本备份与普通备份不同点在于它不会取消文件的存档属性。

�� 差异备份：只备份指定范围内自前一次普通或增量备份之后新建立或改变的文件。

差异备份只会备份设置了存档属性的文件，且在备份后也不会取消文件的存档

属性。

�� 增量备份：只备份指定范围内自前一次普通或增量备份之后新建立或改变过的文

件。增量备份只会备份设置了存档属性的文件，且在备份后也取消文件的存档属

性。如果日后文件被修改，存档属性将被设置以指示此文件需要备份。

�� 每日备份：只备份在指定范围内且在执行备份程序当天改变过的文件，在备份后

不会取消文件的存档属性。

提示： 文件的存档属性实际上仅用 1 位来记录，因此只有设置(选取)与取消(不选取)

两种状态。当新建或修改文件后，操作系统默认会选取文件的存档属性。备

份程序便可利用此项特性判断是否要备份文件。

虽然有这么多种备份方式，但是实际上在规划备份方案时，通常要考虑到尽可能地将

备份的时间和空间降至最低，因此，常被固定使用的就只有其中的两、三种，例如：结合

标准备份与增量备份来备份数据，则可达到最小存放空间的要求，是最快速的备份方法。

但这种方式会增加还原文件的时间与困难度。而如果使用普通备份与差异备份来备份数据，

虽会花费较多的时间来备份，但是还原的时间相对要少。因此，在规划方案时不但需要考

虑备份的各项变量，也必须同时考虑还原数据时的方便和快捷性，以免做出备份方便而还

原手续复杂的不当方案。以下就简单说明几种备份方案及其可能使用的场合。

�� 普通备份

普通备份适用于第一次在系统中执行备份时使用，也是最简单的备份方案。由于

普通备份是将所有的文件都复制下来，所以当系统损坏而需要进行还原时，只需

拿最近一次普通备份来还就可以了。由于备份时会将全部的文件备份下来，如此

一来势必要花不少时间才能完成。其实在很多时候，系统数据中有变动的部分是

不多的，每一次做的单纯普通备份都备份了很多相同的内容，浪费了很多的时间。

因此这种备份方案的效率比较低。

�� 普通备份配合增量备份

对 Windows 2000 Server 来说，系统文件一般不会有太大的变动，经常会有变动的

数据只占一小部分而已，例如 Active Directory 数据库中可能会有一些增加或修改

的数据。此时就可以考虑在一个较长的时期内做一次完整的普通备份，然后在较

短的时期内做增量备份，比如在每周或每个月做普通备份，在每天或每两天做一

次增量备份。这样，平时备份的时间会明显缩短，备份的工作负担就不会太重。

另外，由于增量备份只备份那些有变动的小部分数据，因此耗用的存储媒体也不

会太多。只是，采用这种方案做的数据备份在还原时有些复杂，首先应还原最近

第 11 章 重要数据的备份与恢复 199

一次普通备份的数据，接着再还原后来几次增量备份的数据，直到将数据还原到

最近期的状态。

例如，每周末进行一次普通备份，而每周一至周五下午下班时进行增量备份，如

图 11.1 所示。如果于周四早上要还原，应先还原上周六普通备份的数据，再依序

将本周一、周二和周三增量备份的内容还原到系统，这样系统可以还原到前一天

下班时的状态。

这种方案应该灵活使用，何时进行增量备份以及增量备份的次数都要根据数据变

动的程度来确定。如果在半天的时间内数据变动的内容很多，此时可考虑在一天

内就进行两次或更多次的增量备份，例如在每天中午和晚上各做一次增量备份。

这样，服务器早上出问题可以还原到前一天下班时的状态，下午出问题则可还原

到中午的状态。

图11.1 普通备份配合增量备份示意图

�� 普通备份配合差异备份

这种方案与普通备份配合增量备份没有太大的差别，其实就是将普通备份配合增

量备份中的增量备份换成差异备份。这两种方案之间的区别主要体现在以下两个

方面：

�� 在每次做差异备份时，都是备份自前一次普通备份后新建立或有改变的文件，

而不是自前一次差异备份后有改变的文件。所以越往后的日子所做的差异备

份数据量越大，因为它重复备份了前几次差异备份的数据，示意图如图 11.2

所示。就这一点来说，做差异备份所耗用的时间和存储媒体要多一些，效率

就会低一些。

�� 从图 11.2 中可以看出差异备份有重复备份的缺点，但是，这种方案在还原时

却比普通备份配合增量备份方便多，只需还原最近的差异备份和普通备份就

可以了。例如每周末做普通备份，每天做差异备份，若同样是周四要做还原，

只需还原上周普通备份的数据，再还原前一天差异备份的数据即可，而不像

���

���

���

���

���

���

���

增 量 备 份 3

增 量 备 份 2

增 量 备 份 1

普 通 备 份 1

增 量 备 份 4

增 量 备 份 5

普 通 备 份 2

中小网络管理维护一点通 200

还原增量备份那样要依序将前面的增量备份还原到系统。对于希望简化还原

过程的系统管理员来说，可以考虑使用这种方案做备份。

图11.2 普通备份配合差异备份示意图

执行备份和恢复是比较费时的，除了需要一个合理的备份方案外，还要考虑其他方面

的因素，例如：必须的备份设备、数据改变的频率、数据的重要程度和备份的最佳时间等。

提示： 选择备份媒体是执行备份和恢复计划的重要一步，备份媒体可以是逻辑驱动

器、可移动磁盘、可刻录 CD-ROM。如果没有单独的存储设备，还可以备份

到其他硬盘或软盘上。

11.2 备份数据

由于 Windows 2000 是一个安全的系统，因此并不是所有的人都能够备份与还原所有数

据的。通常用户可以备份与还原他们自己的文件与文件夹，且只要对文件同时具有读取、

读取及执行、修改权或是完全控制权方可进行备份。而对文件同时具有写入与修改或完全

控制者方可进行数据还原。如果登录系统时的账号为 Administrator、Backup Operators 或是

Server Operators 群组中的一员，则无论文件的设置权限为何都可对其备份与还原。

备份时可以将数据备份到文件或磁带。将数据备份到文件时，必须指定文件要保存的

名称和位置。备份文件的扩展名通常为 .bkf，但是可以将该扩展名更改为自己喜欢的扩展

名。备份文件可以保存到硬盘、软盘或任何其他可以保存文件的可移动或不可移动媒体。

下列 4 个步骤描述了一个简单的备份操作：

(1) 选择要备份的文件、文件夹和驱动器。

(2) 为备份数据选择存储媒体或文件位置。

(3) 设置备份选项。

(4) 开始备份。

对备份有了初步的认识后，接下来介绍如何使用备份向导进行备份。因为对于第一次

���

���

���

���

���

���

���

差 异 备 份 3

差 异 备 份 2

差 异 备 份 1

普 通 备 份 1

差 异 备 份 4

差 异 备 份 5

增 量 备 份 2

第 11 章 重要数据的备份与恢复 201

进行 Windows 2000 备份作业的用户而言，使用备份向导做备份是最方便的方式。如果已经

很熟悉备份、还原、计划作业的步骤，也可以直接使用手动方式自行设置。

使用备份向导将选定的数据进行备份的具体步骤如下：

(1) 单击【开始】|【程序】|【附件】|【系统工具】|【备份】命令，打开如图 11.3 所

示的【备份】程序窗口。

图11.3 备份程序窗口

(2) 在【备份】程序窗口中单击【备份向导】按钮 ，打开备份向导的欢迎画面。

(3) 在欢迎画面中单击【下一步】按钮，在打开的对话框中选择要备份的内容，如图

11.4 所示。

图11.4 选择要备份的内容

(4) 这里选中【备份选定的文件、驱动器或网络数据】单选按钮，单击【下一步】按

钮，打开要备份的项目对话框，如图 11.5 所示。

提示： 【备份整个系统】是用于备份本地驱动器上所有文件的；【只备份系统状态

数据】用于备份系统状态数据，包括注册表、COM+ Class Registration 数据

库、系统启动文件、证书服务数据库(如果服务器用作证书服务器)、Active

Directory 目录服务数据库(如果服务器是域控制器)和系统卷信息等。

中小网络管理维护一点通 202

图11.5 选择要备份的项目

(5) 备份程序提供了计算机中驱动器、文件和文件夹的目录树视图，可以使用该视图

来选择要备份的文件和文件夹。就像使用 Windows 资源管理器一样使用此目录树

视图来打开驱动器和文件夹并选择文件。这里选择“D:\work”目录，单击【下一

步】按钮，打开如图 11.6 所示的对话框。

提示： 如果只选择【系统状态】项，就等于在图 11.7 所示的对话框中选中【只备份

系统状态数据】单选按钮。

图11.6 指定备份保存的位置

(6) 这里要将“D:\work”目录备份到“E:\work.bkf”文件中，在【备份媒体或文件名】

文本框中直接输入“E:\work.bkf”，或者单击【浏览】按钮选择备份文件。完成

后单击【下一步】按钮，将弹出如图 11.7 所示的完成备份向导对话框。

(7) 该对话框中列出了以上所有步骤中的操作信息，确认正确后单击【完成】按钮，

备份程序将开始备份选定的文件和文件夹。图 11.8 是备份完成对话框。

提示： 单击【高级】按钮可进行额外的设置。关于高级设置将在 11.3 节中介绍。

第 11 章 重要数据的备份与恢复 203

图11.7 完成备份向导对话框

(8) 默认情况下备份程序会记录备份过程的重要事项，单击图 11.8 中的【报表】按钮

将显示一份备份记录的报表，如图 11.9 所示。在图 11.8 中单击【关闭】按钮，备

份就完成了。

图11.8 备份完成对话框 图11.9 备份记录的报表

11.3 备份向导的高级设置

第 11.2 节中介绍了最简单最基本的备份步骤，除此之外还有一些高级的设置选项：

�� 选择备份类型，确定如何进行数据备份。

�� 确定备份时是否验证数据，也就是再检查已备份数据同原始数据是否完全相同。

�� 是否启用硬件压缩，启用磁带机的硬件压缩功能可以在磁带上保存更多的数据。

�� 是否替换磁带中原有的内容。

�� 设置备份执行的时间。

�� 设置媒体标签(Label)，也就是为磁带命名。

下面是在备份时设置高级选项的具体操作步骤：

(1) 在图 11.8 所示的备份完成对话框中单击【高级】按钮，打开【备份类型】对话框，

如图 11.10 所示。

中小网络管理维护一点通 204

图11.10 备份类型对话框

(2) 打开下拉列表框，其中有 5 种备份类型：副本、每日、差异、增量和普通。选择

其中的一种，确定如何进行数据备份。完成后单击【下一步】按钮，进入【如何

备份】对话框，如图 11.11 所示。

提示： 在【高级】的设置步骤中，如果想略过某个画面的设置，可以直接单击【下

一步】按钮接受画面中的默认值。

图11.11 如何备份对话框

(3) 选中【备份后验证数据】复选框，则备份后将再检查已备份数据同原始数据是否

完全相同，这可能大幅度增加执行备份所需要的时间。选中【如果可能，请使用

硬件压缩】将要备份的数据压缩，这样可在磁带上保存更多的数据。通常，只有

磁带驱动器才具备压缩数据的能力。如果此选项禁用，则计算机上没有磁带驱动

器或磁带驱动器不能压缩数据。设置完成后单击【下一步】按钮，打开如图 11.12

所示的【媒体选项】对话框。

第 11 章 重要数据的备份与恢复 205

图11.12 媒体选项对话框

(4) 在【媒体选项】对话框中指定是否要改写数据以及限制对数据的访问。如果存档

媒体上已经包含有备份，可以选中两个单选按钮的其中一个，决定是将备份附加

到媒体上，还是用备份替换媒体上的数据。下面的复选框用于限制访问备份数据

的成员，只有选中单选按钮【用备份替换媒体上的数据】时此项才可用。完成设

置后单击【下一步】按钮，打开【备份标签】对话框，如图 11.13 所示。

图11.13 备份标签对话框

(5) 分别在【备份标签】和【媒体标签】文本框中为备份作业和媒体命名，也可以接

受所提供的默认标签。单击【下一步】按钮进入【备份时间】设置对话框，如图

11.14 所示。

(6) 默认情况下，在向导中设置的备份作业会在设置完成后立即执行，但备份工作需

要较长的时间才完成，为了避免影响服务器性能，就可以另行计划执行，让备份

工作在非高峰时间自动执行。在【备份时间】设置对话框中选中【现在】单选按

钮，表示立即运行备份；选中【以后】单选按钮，则计划以后做备份。选中【以

后】按钮，此时弹出【设置账户信息】对话框，如图 11.15 所示。

中小网络管理维护一点通 206

图11.14 备份时间设置对话框 图11.15 【设置账户信息】对话框

(7) 在【运行方式】文本框中输入要用哪个账户来执行备份程序，并在下面的两个文

本框中分别输入密码，完成后单击【确定】按钮，返回图 11.14 所示的【备份时

间】设置对话框。

(8) 此时【备份时间】设置对话框中的【计划项】选项区域便有了作业名和运行该作

业的起始日期。【作业名】文本框中的作业名字可以修改，而【起始日期】文本

框中的默认值为当前时间，不能直接修改，单击【设定备份计划】按钮，在随后

打开的【计划作业】对话框中可以定义备份作业的起始时间，而且还可以设置更

详细具体的计划任务，如图 11.16 所示。

图11.16 【计划作业】对话框

(9) 在【日程安排】选项卡中可以选择计划任务的周期和开始执行的时间等，单击【高

级】按钮，弹出【高级计划选项】对话框，该对话框用以设置计划开始和结束的

日期，如图 11.17 所示。设置完成后单击【确定】按钮返回。

第 11 章 重要数据的备份与恢复 207

提示： 【每周计划任务】选项区域的内容是不固定的，它会随所选周期的不同而

改变。

图11.17 【高级计划选项】对话框

(10) 在【计划作业】对话框中打开【设置】选项卡，在此可以定义一个时间，如果备

份作业在该时间内尚未完成，即停止工作；可以设置当计算机空闲时间超过一定

的时间后就开始执行备份作业；还可以选择适用于笔记本电脑的电源管理方案，

如图 11.18 所示。

图11.18 打开【设置】选项卡

(11) 完成【计划作业】的设置后，单击【确定】按钮，返回【备份时间】设置对话框，

此时的【备份时间】设置对话框如图 11.19 所示，其中的起始日期已经改变了。

(12) 单击【下一步】按钮，打开如图 11.7 所示的【完成备份向导】对话框，单击【完

成】按钮则根据以上所做的高级设置开始备份。

中小网络管理维护一点通 208

图11.19 重新设置起始日期的【备份时间】对话框

11.4 还原备份

还原是备份的逆过程，它把备份文件中的数据恢复到原来的正常状态。利用备份程序

不但可以做备份，而且也可以还原备份文件。还原的方式应与备份方案相配合，例如先还

原普通备份的内容，再还原后续增量或差异备份的内容等等。无论哪种备份方案，其还原

的方法都是一样的，而重要的是应该根据备份方案把各个备份文件之间的关系弄清楚，以

防前后颠倒。关于备份方案在前面章节中已经做了详细的介绍，下面主要介绍还原的方法。

下面将 11.2 节中所做的备份还原，其具体步骤如下：

(1) 单击【开始】|【程序】|【附件】|【系统工具】|【备份】命令，打开备份程序

窗口。

(2) 单击【还原向导】按钮 ，打开还原向导的欢迎画面。

(3) 在欢迎画面中打击【下一步】按钮，打开【还原项目】对话框，如图 11.20 所示。

图11.20 还原项目对话框

第 11 章 重要数据的备份与恢复 209

(4) 在【还原项目】选项区域中，选中驱动器 D 前面的复选框(D 为备份数据要还原到

的目的驱动器)，然后单击【下一步】按钮，弹出【完成还原向导】的画面，如图

11.21 所示。

图11.21 完成还原向导的画面

(5) 若单击【完成】按钮，则按默认设置(把备份还原到原来的位置)进行还原。这里

单击【高级】按钮，弹出如图 11.22 所示的【还原位置】对话框，进行下面更高

级的设置。

图11.22 还原位置对话框

(6) 打开【将文件还原到】下拉列表框，选择【替换位置】选项，将备份数据还原到

指定位置。此选项将保留备份数据的文件夹结构，所有文件夹和子文件夹将出现

在所指定的文件夹中。完成后单击【下一步】按钮，将弹出【如何还原】对话框，

如图 11.23 所示。

提示： 【原位置】选项用于将备份文件或文件夹还原到备份时它们所在的文件夹。

【单个文件夹】选项用于将备份的文件或文件夹还原到指派位置，此选项将

不保留已备份数据的文件夹结构，所有文件全部被放在所指定的文件夹中。

中小网络管理维护一点通 210

图11.23 如何还原对话框

(7) 如果还原的目的地中已有相同文件名的文件，在【如何还原】对话框中有 3 种处

理方式，这里选中【不要替换本机上的文件】单选按钮，然后单击【下一步】按

钮，将弹出【高级还原选项】对话框，如图 11.24 所示。

提示： 如果想让备份的新文件替换已存在的旧文件，那么就选中【仅当磁盘上的文

件比备份文件旧的情况下，替换文件】单选按钮；如果不管备份文件是新或

旧，一律想用备份文件替换掉现存的文件，那么就应选中【无条件替换本机

上的文件】单选按钮。

图11.24 高级还原选项对话框

(8) 这个对话框里是一些特别的还原选项，例如：如果有安全机置，可还原原有的安

全机置等，一般是保留默认设置。单击【下一步】按钮将弹出【完成还原向导】

窗口，单击其中的【完成】按钮就开始还原操作。

注意： 如果要还原系统状态数据，并且没有为还原数据指定备用位置，那么将清除

当前计算机上的系统状态数据，并用还原的系统状态数据替换它。

第 11 章 重要数据的备份与恢复 211

11.5 灾难的防备与恢复

利用备份程序不但可以备份重要的文件和文件夹，还可以备份整个系统。一般在

Windows 系统能正常工作的情况下是用不到这些系统备份文件的，而一旦计算机出现致命

性故障，致使整个 Windows 系统无法启动时，这些系统备份文件就显得特别重要了。既然

系统已经无法启动，那么此时备份程序也无法使用，再重要的数据备份也派不上用场。现

在的问题关键就在于如何从灾难中挽救出 Windows 系统。

恢复系统的步骤如下：

(1) 以安全模式启动系统，如果不能成功则执行下面的步骤。

(2) 使用紧急修复盘恢复系统。

(3) 使用“恢复控制台”修复系统。

(4) 启动备份程序，还原系统备份文件或系统状态数据。

11.5.1 创建紧急修复磁盘

如果计算机不能启动或者系统文件被破坏或删除，而使用安全模式也不起作用，则可

以试着用紧急修复磁盘(也被称为 ERD，Emergent Repair Disk)来修复系统。紧急修复磁盘

包含了关于当前 Windows 系统设置的信息，可以帮助修复内核系统文件。用紧急修复磁

盘进行修复仅限于基本的系统文件、分区启动扇区和启动环境，该修复过程不会还原注册

表。“紧急修复磁盘“除了能备份注册表信息外，不能备份其他的数据或程序，并且不能

代替常规的系统备份。

为了防范于未然，在灾难发生之前就应该准备紧急修复磁盘。使用备份程序创建紧急

修复磁盘的具体步骤如下：

(1) 准备一张空白的、已格式化的 1.44 MB 的软盘。

(2) 打开备份程序。

(3) 在备份程序的【欢迎】选项卡中单击【紧急修复磁盘】按钮 ，打开【紧急修复

盘】对话框，如图 11.25 所示。

图11.25 【紧急修复盘】对话框

(4) 在软驱中插入已经准备好的空白软盘。如果要备份注册表，则选中下面的复选框。

完成后单击【确定】按钮，此时开始创建紧急修复磁盘。

提示： 还原注册表需要使用“恢复控制台”。

中小网络管理维护一点通 212

(5) 完成向软盘中写数据的操作之后，取出软盘并做上“系统紧急修复盘”的标记。

注意： 当完成系统的安装之后，将原始系统设置的信息保存在 Winnt\Repair 文件夹

中。如果使用�紧急修复磁盘�来修复系统，那么可以访问该文件夹中的信息。

一定不要更改或删除该文件夹。

11.5.2 创建安装启动盘

用启动盘启动不能启动的系统，这时，可以使用紧急修复磁盘或“恢复控制台”修复

系统。应该为网络上运行的 Windows 2000 的每个版本创建启动盘。例如，如果网络上运行

Windows 2000 Professional 和 Windows 2000 Server，需要为 2 个版本创建启动盘。

注意： 如果计算机可从光盘启动，则不需要安装启动盘，只要在启动系统时插入

Windows 2000 的安装光盘就行了。

安装启动盘需要从 Windows 2000 的安装光盘里创建，下面是其具体步骤： (1) 准备 4 张空白的、已格式化的 1.44 MB 软盘，将其中一张盘插入软驱中。

(2) 把 Windows 2000 的安装光盘放入光驱中。 (3) 单击【开始】|【运行】命令。 (4) 在【运行】对话框中，键入 f:\bootdisk\makeboot a:(其中，f 是 CD-ROM 驱动器盘

符，a 是软盘驱动器盘符)，然后单击【确定】按钮。 (5) 此时开始向软盘中写数据，稍候按提示取出软盘并做好标记。 (6) 按照提示插入第 2 张软盘，按任意键继续。第 3、4 张都是重复此步骤。

注意： 从 Windows 2000 Professional 光盘创建的启动盘不能在 Windows 2000 Server 下使用，反之，从 Windows 2000 Server 光盘创建的启动盘也不能在 Windows 2000 Professional 下使用。

11.5.3 以安全模式启动系统

在系统不能正常启动的情况下，首先可以尝试启动安全模式来恢复系统或解决系统问

题。在安全模式下，Windows 2000 只使用基本文件和最低的设备驱动程序，这些驱动程序

有：鼠标、监视器、键盘、大容量存储器、基本显示。因为安全模式只装载有限的配置信

息，有助于解决问题。例如，如果安装新的软件后计算机无法启动，可以在安全模式下以

最少的服务启动，然后改变计算机的设置，或者删除引起问题的新安装的软件。如果在使

用紧急修复磁盘或“恢复控制台”之前，启动安全模式就能把问题解决掉将省去很多的 麻烦。

启动安全模式的具体步骤如下： (1) 启动有故障的系统。 (2) 在提示【请选择要启动的系统】对话框出现时，选择有故障的系统，然后按 F8。 (3) 此时会出现【Windows 2000 高级选项】菜单，其中的主要选项及含义如下： �� 安全模式：只使用基本文件和驱动程序(鼠标、监视器、键盘、大容量存储器、基

第 11 章 重要数据的备份与恢复 213

本视频、默认系统服务并且无网络连接)启动 Windows 2000。

�� 带网络连接的安全模式：只使用基本文件和驱动程序以及网络连接来启动

Windows 2000。

�� 带命令行提示的安全模式：除了是启动命令提示符而不是启动 Windows 2000 以

外，与安全模式完全相同。

�� 启动日志：启动 Windows 2000 同时将由系统加载或没有加载的驱动程序和服务

记录到文件，该文件称为 ntbtlog.txt，它位于 %windir% 目录中。安全模式、网

络安全模式和命令提示符的安全模式都会将加载信息添加到启动日志。启动日志

对于确定系统启动问题的准确原因很有用。

�� 启动 VGA 模式：使用基本 VGA(Video Graphics Adapter)驱动程序启动 Windows

2000。当安装了使 Windows 2000 不能正常启动的新视频卡驱动程序时，这种模

式十分有用。

�� 最后一次正确的配置：它使用 Windows 2000 在上次关闭时保存的注册表信息启

动 Windows 2000。

�� 目录服务恢复模式：用于还原域控制器上的系统卷目录和 Active Directory 目录

服务。这是针对 Windows 2000 Server 操作系统的。

�� 调试模式：该选项只在解决操作系统错误时有用。

(4) 在上面的菜单中选择【安全模式】并按回车键，即启动系统的安全模式。

如果以安全模式启动时没有再出现故障现象，可以将默认设置和最小设备驱动程序排

除在可能的故障原因之外；如果新添加的设备或已更改的驱动程序产生了问题，可以使用

安全模式删除该设备或还原更改。

某些情况下安全模式不能解决问题，例如当启动系统所必需的 Windows 系统文件已

经损坏。在这种情况下，紧急修复磁盘能够提供帮助。

11.5.4 使用紧急修复磁盘恢复系统

如果启动扇区或必要的系统文件毁坏时，可尝试用紧急修复磁盘恢复系统；如果双启

动或多启动系统中的启动环境发生问题，也可以使用紧急修复磁盘恢复系统。

使用紧急修复磁盘恢复系统的步骤如下：

(1) 在软盘驱动器中插入第一张安装启动盘。

提示： 对于可从 CD-ROM 驱动器中启动的系统，也可以使用 Windows 2000 的安

装光盘启动。

(2) 重新启动计算机，在系统提示下依次插入每张软盘。

(3) 当第 4 张安装启动盘读取完成后，按 R 键选择修复或恢复选项。

注意： 当系统提示时，请在适当的驱动器中插入 Windows 2000 安装光盘。

(4) 当系统提示时，按 R 键选择紧急修复过程。

(5) 当系统提示时，在以下内容中选择：

中小网络管理维护一点通 214

�� 手动修复(按 M 键)：只有高级用户或管理员才可以使用此选项。使用此选项可选

择是否需要修复系统文件、分区启动扇区问题或启动环境问题。

�� 快速修复(按 F 键)：此选项将尝试修复与系统文件、系统盘上的分区启动扇区和

启动环境(如果有双启动或多启动系统的话)相关的问题。

(6) 按照屏幕上的指示操作，当系统提示时，在适当的驱动器中插入�紧急修复磁盘�。

提示： 在修复过程中，将使用 Windows 2000 安装光盘或 Winnt\Repair 文件夹中的

文件替换丢失或毁坏的文件。

(7) 如果修复成功，则该过程完成，计算机将重新启动；如果问题依然存在，则可能

需要使用“恢复控制台”来修复系统了。

注意： 因为紧急修复过程功能十分强大，所以只推荐高级用户或管理员使用。

11.5.5 使用“恢复控制台”修复系统

如果安全模式和其他启动选项以及紧急修复磁盘都不能恢复系统，则可以考虑使用“恢

复控制台”；它是命令行控制台，在使用计算机 CD-ROM 驱动器中的启动光盘或使用从

创建的软盘启动计算机后即可使用。 使用“恢复控制台”，可以启动和停止服务、从软盘或光盘上复制数据、修复启动扇

区或主引导记录。如果需要通过从软盘或光盘上复制文件来修复系统，或需要重新配置使

计算机无法正常启动的服务，则“恢复控制台”特别有用。例如，可以使用“恢复控制台”

用软盘中的正确副本替换被覆盖或损坏的驱动程序文件。 启动“恢复控制台”的步骤如下： (1) 在软盘驱动器中插入第一张安装启动盘。 (2) 重新启动计算机，在系统提示下依次插入每张软盘。 (3) 当第 4 张安装启动盘读取完成后，按 R 键选择修复或恢复选项。 (4) 当系统提示时，按 C 键选择“恢复控制台”，按提示键入本地管理员密码。

(5) 这时可看到命令提示，键入“恢复控制台”命令即可。 恢复控制台提供了可用于执行简单操作的命令(例如转到不同的目录中或查看目录)和

功能更强大的操作命令(例如修复启动扇区)。通过在“恢复控制台”的命令提示符下键入 help，可以获得这些命令的帮助信息。 表 11.1 列出了“恢复控制台”命令及其含义。

表11.1 “恢复控制台”命令

命 令 说 明

ATTRIB 改变文件或目录属性

BATCH 执行文本文件中的一系列命令

CD 改变当前目录

CHKDSK 检查磁盘的完整性

CLS 清除屏幕

第 11 章 重要数据的备份与恢复 215

续表

命 令 说 明

COPY 复制文件

DEL 删除文件

DIR 显示文件列表

DISABLE 禁用某项系统服务和某个设备驱动器

DISKPART 管理硬盘驱动器的分区

ENABLE 启动或启用某项系统服务和某个设备驱动器

EXIT 退出控制台并重新启动计算机

EXPAND 扩展一个压缩文件

FIXBOOT 写一个新的启动扇区

FIXMBR 修复主启动记录

FORMAT 格式化磁盘

HELP 显示控制台命令列表

LISTSVC 显示计算机上的服务和驱动程序列表

LOGON 登录 Windows 2000

MAP 显示驱动器盘符映射

MD 创建目录

MORE 分页显示

REN 重命名文件

RD 删除目录

SET 显示和设置环境参数

SYSTEMROOT 改变系统根目录

TYPE 显示文本文件的内容

第 12 章 使用事件查看器

本章概述：

本章主要介绍怎样查看事件日志和管理事件日志，首先介绍了事件查看器和几种事件

日志，接着又介绍了怎样查看事件的详细信息、特定类型的事件、远程计算机事件日志等

内容，最后对于怎样管理事件日志也做了更为具体的介绍。通过本章的学习用户将会掌握

系统管理员在使用和设置事件查看器时所必备的知识。

学习目标：

�� 认识事件查看器

�� 查看事件日志

�� 管理事件日志

12.1 认识事件查看器

事件查看器是用来查看事件记录的工具，使用事件查看器可以查看操作系统组件、服

务以及应用程序等所发生的事件信息。当有事件发生时，就可以打开事件查看器来查看被

记录下来的事件信息。这样可以使系统管理员由这些记录的信息而得知系统的状态、错误

发生的原因、用户的使用状况等，以便及时地发现和解决问题。

打开【开始】|【程序】|【管理工具】菜单，选择【事件查看器】项，启动事件查看器

控制台，如图 12.1 所示。

图12.1 【事件查看器】窗口

第 12 章 使用事件查看器 217

在上图左面的窗格中，可以看到“事件查看器(本地)”下面列出的几个事件日志的种

类。其各项意义如下：

�� 应有程序日志：记录由应有程序产生的事件，例如：MS SQL 访问数据库成功或

失败。另外，如果应用程序在开发过程中并没有加入产生事件的功能，那么事件

就不会产生记录。

�� 安全日志：记录有关安全性的事件信息，安全性事件主要有用户登录、注销、资

源的访问等等。只有在手动启用审核功能以后，系统才会记录被审核项的安全性

事件。

�� 系统日志：记录由系统组件产生的事件，例如服务不能正常启动等事件。

�� Directory Service：记录由 Active Directory 及其相关服务记录的事件。

�� DNS Server：记录 DNS 查询、响应和其他的 DNS 活动。只要系统安装了 DNS 服

务就会有此日志。

�� 文件复制服务：记录系统中有关文件复制的事件。

要查看某一类型的事件日志的详细信息，可以在相应的事件日志上单击。这时就会在

右边的窗格中显示事件发生的日期、时间等信息。例如选择【应用程序日志】后，会在右

边窗格中出现图 12.2 所示的窗口，然后再选中相应的信息就可以查看具体的内容了。

图12.2 应用程序事件日志

12.2 查看事件日志

通过查看事件日志可以帮助系统管理员追踪系统问题和安全问题，当事件发生时系统

会自动记录所发生的信息内容。下面将介绍怎样使用事件查看器查看事件的信息。

12.2.1 查看事件的详细信息

要查看事件更为详细的信息，可以按下面的步骤进行操作：

中小网络管理维护一点通 218

(1) 单击【开始】|【程序】|【管理工具】|【事件查看器】命令，启动事件查看器控

制台。

(2) 在图 12.2 的【应用程序日志】的详细信息窗格中，双击要查看的日志事件，或者

在操作菜单上单击【属性】命令。

(3) 弹出如图 12.3 所示的【事件属性】对话框，可以查看事件的详细信息。

图12.3 【事件属性】对话框

提示： 如果要查看下一个事件日志的详细信息，可以单击【事件属性】对话框中的

上下箭头按钮 来查看；如果对某一事件的详细信息进行复制，可以单击

复制按钮 。

12.2.2 查看特定类型的事件

对于大量的事件日志，有时只需要在其中查找一些特定的类型，可以按如下的操作来

查看。

(1) 打开【事件查看器】控制台。

(2) 在【事件查看器】控制台的左边窗格中，选择某一项要查看的事件日志。

(3) 单击【查看】菜单，在其子菜单下单击【查找】命令。

(4) 弹出如图 12.4 所示的【查找】对话框。

(5) 在【事件类型】下面选择查找的事件类型，默认为全部查找。

(6) 在【事件来源】、【类别】、【事件 ID】、【用户】和【计算机】中，指定要查

找的事件的其他信息。

(7) 单击【查找下一个】按钮，进行查找。

提示： 也可以按另一种“字段”的方式来查看事件日志。在上面的第 3 步操作中，

单击【列】命令，弹出【修改列】对话框，可以在右边的【显示列】列表框

中删除不要显示的字段。如图 12.5 所示，然后单击【确定】按钮，显示的结

第 12 章 使用事件查看器 219

果如图 12.6 所示。

图12.4 查找对话框

图12.5 【修改列】对话框

图12.6 只显示没有删除的字段

中小网络管理维护一点通 220

12.2.3 查看远程计算机事件日志

通过事件查看器也可以查看远程计算机上的事件日志内容，但只有在拥有足够的权限

的前提下才可以做，例如系统管理员。

要查看网络上其他域中计算机的事件日志，可以按如下的步骤进行：

(1) 打开【事件查看器】控制台。

(2) 在【事件查看器】根目录上右击，在弹出的快捷菜单中单击【连接到另一台计算

机】命令。如图 12.7 所示。

图12.7 连接到另一台计算机命令

(3) 弹出如图 12.8 所示的【选择计算机】对话框，在该对话框中选中【另一台计算机】

单选按钮，在右边的文本框中输入计算机的路径和名称，例如：\\domainname\

computername。或者单击【浏览】按钮来选择计算机。

(4) 单击【确定】按钮。

注意： 另外的一台计算机可以是运行 Windows 2000 Professional 或 Windows NT

Workstation 的工作站，也可以是运行 Windows 2000 Server 或 Windows NT

Server 的服务器或域控制器。

图12.8 【选择计算机】对话框

第 12 章 使用事件查看器 221

12.3 管理事件日志

事件日志虽然是系统默认建立的，但也要对其进行一定的管理，例如对事件日志的清

除、按照一定的要求对事件的容量大小设置和保存事件日志必要的备份等。

12.3.1 新建和删除事件日志

对于一个要查看的事件日志，为了工作的需要设置为两种不同的条件查看时，就可以

再新建一个新的事件日志，将这个事件日志设置与另外一个事件日志不同的条件，就可以

达到目的了。而不必在一个事件日志上设置不同的条件，减少了管理员的负担。新建事件

日志可以采用下面的方法：

(1) 打开【事件查看器】控制台。

(2) 在要新建日志查看的选项上右击，在弹出的快捷菜单中，单击【新的日志查看】

命令如图 12.9 所示。

图12.9 单击【新的日志查看】命令

(3) 这时就会在图 12.10 所示的窗口中出现同一新的事件日志。

提示： 上面只是给应用程序新建了一个新的日志，对新建的事件日志，为了区别与

原来的事件日志，可以为其重新命名，只要在新的事件日志上右击，选择【重

命名】命令即可。

删除事件日志可以在选择的日志查看后，按删除键即可，如果是默认就存在的事件日

志，则不能够删除。

中小网络管理维护一点通 222

图12.10 新的事件日志

12.3.2 设置属性

要对事件日志进行属性的设置，可以按下面的方法操作：

(1) 打开【事件查看器】控制台。

(2) 在要设置属性的事件日志上右击，在弹出的快捷菜单上单击【属性】命令。如图

12.11 所示。

图12.11 单击【属性】命令

(3) 弹出【应用程序日志属性】对话框，如图 12.12 所示。在此该对话框中可以设置

事件日志的大小以及事件日志达到最大时的处理方法。具体的处理方法如下：

�� 按需要改写事件：选择这一项时，是指当事件日志已满时，如果有新的事件产生，

事件记录服务就会用新的事件记录改写最旧的记录。

�� 改写久于：选择这一项是指当事件已满时可以改写前几天的记录，系统默认设置

为改写 7 天以前的旧记录，如查当前的事件日志已满而且都是这 7 天的记录，那

么事件记录将不会改写旧的记录。

第 12 章 使用事件查看器 223

�� 不改写事件：选择这一项，当事件日志已满时，新的事件记录并不会替代旧的事

件记录，而必须先清除事件日志记录。

提示： 在事件日志的快捷菜单中单击【清除所有事件】命令，才可以让事件记录继

续服务。

图12.12 【应用程序日志属性】对话框

一般系统默认设置的日志大小为 512 KB，为了不将旧的事件记录改写掉，可以将日志

的大小再设置大一些，但所有的事件日志不得小于 64 KB，而且事件日志的容量需为 64 KB

的整数倍。

12.3.3 保存日志文件

系统中的事件记录不可能无限制地被记录下来，当事件记录已满时就要改写这些旧的

记录。如果想要保存以前的事件记录，可以用事件查看器提供的存档功能将这些事件记录

另存为新的文件，在需要查看时就可以随时打开进行查看。

(1) 选择要保存的事件日志，在其上面右击，在弹出的快捷菜单中单击【另存日志文

件】命令。如图 12.13 所示。

(2) 弹出【另存为】对话框，如图 12.14 所示，在该对话框中再输入要保存的文件名

称，在【保存类型】中选择所要保存的文件类型，一般选择扩展名为.evt 的事件

日志类型。

(3) 单击【保存】按钮进行保存。

提示： 如果想要打开某一保存类型的事件日志，则可以在图 12.13 所示的快捷菜单

中选择【打开日志文件】命令进行查看。在弹出的图 12.15 所示的【打开】

对话框中，选择要打开的事件日志，在【日志类型】中选择相应的日志类型

就可以了。

中小网络管理维护一点通 224

图12.13 单击【另存日志文件】命令

图12.14 另存事件日志对话框

图12.15 【打开】对话框

注意： 如果日志类型与所选的事件日志不匹配，那么在打开时会在事件查看器的类

型列表中显示不正确的信息。

第 12 章 使用事件查看器 225

12.3.4 筛选事件日志记录

事件日志会有相当多的事件记录，所以要查看某些特定的记录时比较不方便。在这种

情况下，可以使用事件查看器的筛选功能，让事件查看器只显示符合特定条件的记录，以

方便浏览。

要设置事件记录的筛选功能，可以按如下操作：

(1) 打开【事件查看器】控制台。

(2) 在要设置筛选的事件日志类型上右击，在弹出的快捷菜单中单击【查看】|【筛选】

命令。如图 12.16 所示。

图12.16 单击【筛选】命令

(3) 在弹出的图 12.17 所示的事件查看器属性对话框中设置筛选的条件，例如只想查

看【成功审核】和【失败审核】2 种事件类型，就可以取消其他的几种类型选择，

然后设置下面的选项。

(4) 完成后单击【确定】按钮。

图12.17 事件查看器属性对话框

第 13 章 使用终端服务

本章概述：

本章主要介绍终端服务的使用方法，首先介绍什么是终端服务，接着详细介绍安装终

端服务的方法，然后介绍终端服务非常实用的方式：使用终端服务的客户端来管理服务器，

最后详细介绍怎样使用终端服务管理器和终端服务配置来管理终端服务。通过本章的学习，

可以轻松掌握终端服务这一技术的应用。

学习目标：

�� 安装终端服务

�� 使用终端服务客户端管理服务器

�� 使用终端服务管理器

�� 使用终端服务配置

13.1 安装终端服务

在安装终端服务之前，先来了解一下什么是终端服务以及它能带来哪些便利。

13.1.1 什么是终端服务

使用过 UNIX 操作系统的人都知道 UNIX 是一个“多用户”系统，就是说多个用户可

以通过简单的终端来操作服务器，例如，在服务器上执行文字编辑、数据查询等工作。相

比之下微软的 Windows 操作系统属于“单用户”系统，每个用户只能在自己的计算机上工作。

终端服务的出现突破了 Windows 个人操作系统的观念，让 Windows 具有多用户的能

力。当客户端通过终端连接到服务器时，所有的工作都可以用服务器上的资源来完成了，

客户端的计算机就如同是传统终端的角色，使得 Windows 操作系统也可以像 UNIX 一样同

时让许多人在服务器上工作。

使用终端服务带来的便利有：

�� 降低客户端计算机成本。

�� 集中管理应用程序。

�� 远程管理。

图 13.1 所示的就是从客户使用终端服务程序连接到服务器的界面。可以运行这台服务

器上的管理工具来管理计算机；可以运行服务器上的应用程序；可以从“终端服务客户端”

窗口中剪切内容并粘贴到本地应用程序中；并且可以在终端服务器上使用本地打印机等，

第 13 章 使用终端服务 227

就像用自己计算机上的资源一样方便。

图13.1 从终端服务客户端连接到服务器

提示： 终端服务可以在“应用服务器模式”或“远程管理模式”下在服务器上进行

配置。作为应用服务器，终端服务提供了一种有效而可靠的方式，通过网络

服务器分发基于 Windows 的程序。在“应用服务器模式”下，终端服务为

可能无法正常运行 Windows 的计算、显示 Windows 2000 的桌面以及目前

基于 Windows 的大多数应用程序。在“远程管理模式”下使用时，终端服

务提供了远程访问的能力，使用户可以从网络上的任何地方虚拟地管理自己

的服务器。

13.1.2 安装终端服务组件

使用终端服务首先需要安装 Terminal Server 组件，客户端也要安装相应的客户端软件。

下面介绍怎样安装终端服务。在默认将态下，终端服务并不会随着 Windows 2000 Server

自动安装。如果服务器上尚未安装过终端服务组件，可以按以下操作步骤来安装：

(1) 打开【开始】|【设置】|【控制面板】菜单。

(2) 单击【添加/删除 Windows 组件】项，打开 Windows 组件向导对话框。

(3) 在对话框列表中选中【终端服务】复选框，如图 13.2 所示，单击【下一步】按钮。

(4) 这就要求选择终端服务的模式，这里有两种模式供选择，一种是远程管理模式，

另一种是应用程序服务器模式。这里只选择远程管理模式，如图 13.3 所示。然后

单击【下一步】按钮。

(5) 程序开始安装终端服务程序，并要求用户将带有 SERVER PACK 1 的光盘放入光

驱中，或者单击【浏览】按钮，从其他位置安装所要的组件，这里由于我们事先

将 Windows 2000 Server 的源程序拷贝到了硬盘上，所以可以直接从硬盘上进行安

装，找到所要的路径后，单击【确定】按钮。

中小网络管理维护一点通 228

图13.2 选中【终端服务】复选框

图13.3 选择远程管理模式

(6) 系统开始配置组件，如图 13.4 所示。

图13.4 系统配置组件过程

第 13 章 使用终端服务 229

(7) 配置完成以后，出现配置完毕对话框，单击【确定】按钮。

(8) 重新启动计算机后，终端服务就安装到了系统中。

13.1.3 制作客户端 Terminal Server 的安装盘

企业中的管理员在工作中可以利用远程管理体模式来管理远程的服务器。这样在某些

情况下就可以节省一定的时间和精力，提高管理工作的效率。下面介绍在客户端安装终端

服务的方法。在安装前先要准备 2 张软磁盘。

(1) 打开【开始】|【程序】|【管理工具】，单击【终端服务客户端生成器】命令，弹

出如图 13.5 所示的【创建安装盘】对话框，如果选用的软磁盘没有被格式化，则

要先选中【格式化软盘】复选框，然后单击【确定】按钮。

图13.5 【创建安装盘】对话框

(2) 系统会开始复制文件，如图 13.6 所示。

(3) 最后系统显示创建完成画面，如图 13.7 所示。

图13.6 复制文件

图13.7 创建完成画面

13.1.4 安装客户端软件

制作好客户端软件的安装盘以后，就可以进行客户端软件的安装了，安装的步骤如下：

(1) 将制作好的第一张安装盘放入软驱，执行盘中的 A：\SETUP.EXE，弹出【终端服

务客户端中文版安装程序】对话框，如图 13.8 所示。

中小网络管理维护一点通 230

图13.8 【终端服务客户端中文版安装程序】对话框

(2) 单击【继续】按钮，然后输入用户名和公司的名称，单击【确定】按钮，此时系

统会显示出输入的数据并要求确认，单击【确定】按钮。

(3) 这时系统会弹出授权【许可协议】对话框，单击【我同意】按钮。

(4) 这时弹出如图 13.9 所示的对话框，在这个对话框中，可以选择文件安装的路径，

如果不更改路径，则可以直接单击对话框中的大按钮 开始安装。这里选择大按

钮开始安装。

(5) 安装完毕后，系统询问是否让本机的所有用户都能使用终端服务软件，这里选择

默认的设置，单击【是】按钮，如图 13.10 所示。

图13.9 单击大按钮开始安装

图13.10 默认的设置

(6) 系统开始复制数据，完成以后，显示安装完成提示信息。这样就完成了客户端终

端服务的安装，打开【开始】|【程序】菜单，就可以看到如图 13.11 所示的界面，

终端服务已经安装到了计算机上。

第 13 章 使用终端服务 231

图13.11 安装好的终端服务客户端程序

对于上述客户端软件安装之后，如果要在其他的客户端安装终端服务，就可以用另外

一种更为简便的方法，但要注意下面的方法必须是在上述的过程完成以后才可以使用的。

(1) 打开服务器上的【开始】菜单。

(2) 单击【搜索】|【文件或文件夹】选项，打开【搜索结果】对话框。

(3) 在【搜索结果】对话框中，输入搜索的文件夹名称:WIN32，然后单击【搜索】按

钮，查找到如图 13.12 所示的文件夹 WIN32。

(4) 单击该文件夹，如图 13.13 所示，该文件夹中的文件就是客户端的安装软件，可

以直接将其拷贝到软盘或硬盘上进行安装。

图13.12 查找到的WIN32文件夹

中小网络管理维护一点通 232

图13.13 文件夹中终端服务客户端安装软件

13.2 与终端服务器建立连接

与终端服务器建立连接的方法不止一种，使用终端服务客户端和客户连接管理器都可

以与终端服务器建立连接。下面具体介绍如何用这两种方法建立与服务器的连接。

13.2.1 使用终端服务客户端建立与服务器的连接

使用终端服务客户端管理服务器，对于管理员来说是节省时间和发挥工作效率的有效

的方式，管理员可以在自己的计算机上来管理服务器上的资源，就像在服务器上操作一样。

(1) 打开【开始】|【程序】|【终端服务客户端】菜单，单击【终端服务客户端】命令，

弹出如图 13.14 所示的【终端服务客户端】窗口。

图13.14 【终端服务客户端】窗口

第 13 章 使用终端服务 233

(2) 选择所要连接的服务器 OURSERVER，并可以在【屏幕区域】中选择区域的大小，

然后单击【连接】按钮。弹出如图 13.15 所示的终端登录窗口。

(3) 在此窗口上输入登录的用户名和密码，单击【确定】按钮。

图13.15 终端登录窗口

这样，就连接到了服务器，使用服务器上的资源就像用自己计算机上的资源一样方便。

13.2.2 使用客户连接管理器建立与服务器的连接

使用“客户连接管理器”可以快速连接“终端”服务器，并且可以在“终端”服务器

上运行特定程序。在同一台计算机上使用终端服务可以连接上好几台服务器，在使用“客

户连接管理器”中可以输入如服务器、域、用户名称和密码这样的信息，并且每次建立连

接时都将使用这些信息。

下面建立一个与服务器端的连接，操作如下：

(1) 打开【开始】|【程序】|【终端服务客户端】菜单，单击其子菜中的【客户端连接

管理器】,弹出如图 13.16 所示的【客户端连接管理器】窗口.

(2) 在图 13.16 所示的窗口中，单击工具栏上【新连接】图标或单击【文件】菜单中

的【新建连接】命令，就可以建立与服务器的快捷连接方式。

(3) 这时将弹出向导对话框，单击【下一步】按钮，弹出如图 13.17 所示的【客户端

连接管理器向导】对话框，在【连接名】文本框中输入一个简短的描述性名称，

在【服务器名或 IP 地址】文本框中输入所连接的服务器名称或 IP 地址，也可以

单击【浏览】按钮选择服务器，然后单击【下一步】按钮。

(4) 这时弹出如图 13.18 所示的对话框，这里出现【用此信息自动登录】的复选框，

如果想要自动登录，就可以选中【用此信息自动登录(L)】复选框，这时其下面的

内容就可以填写，用户输入名、密码、域的信息就可以了。

(5) 然后，单击【下一步】按钮进行下面的设置。

中小网络管理维护一点通 234

图13.16 【客户端连接管理器】窗口

图13.17 【客户端连接管理器向导】对话框

图13.18 是否选择自动登录

(6) 在如图 13.19 所示的对话框中，可以选择设置屏幕区域，一般情况下选择默认设

置就可以了。

(7) 单击【下一步】按钮，弹出如图 13.20 所示的对话框，在该对话框中可以根据自

己的实际环境来选择，对于使用调制解调器的用户而言，可以选中【启用数据压

第 13 章 使用终端服务 235

缩】复选框，这样可以改善连接的效能，使用户不必等待太久。如果选中【缓存

位图】复选框，可以将常用的位图保存到磁盘上，然后单击【下一步】按钮。

图13.19 屏幕区域设置对话框

图13.20 连接状态对话框

(8) 这时弹出如图 13.21 所示的对话框，在该对话框中可以选中【启动下列程序】复

选框，然后输入想在连接到服务器时启动的程序的路径和文件名，在【开始位置】

文本框中输入程序的起始位置，单击【下一步】按钮。

图13.21 设置【启动程序】对话框

中小网络管理维护一点通 236

(9) 在图 13.22 所示的对话框中，可以设置所建立图标的样式和此程序所在程序组的

位置，然后单击【下一步】按钮。

图13.22 图标与程序组设置对话框

(10) 这时出现【完成客户端连接管理器向导】界面，单击【完成】按钮即可，这样所

建立的服务器连接就会出现在【客户端连接管理器】窗口中，如图 13.23 所示。

图13.23 客户连接管理器中的服务器

新的连接建好以后，同样也会在【开始】|【程序】|【终端服务客户端】的菜单中出现

【服务器】选项。可以直接单击【服务器】来建立连接。

13.3 使用终端服务管理器

管理员使用终端服务管理器可以查看关于域中终端服务器的信息。这个实用程序用于

监视每个终端服务器上的用户、会话以及应用程序，并允许用户执行管理服务器的相应

操作。

单击【开始】|【程序】|【管理工具】|【终端服务管理器】命令，打开如图 13.24 所示

第 13 章 使用终端服务 237

的终端服务管理器窗口。在该窗口中可以看到左边的列表中所列出的服务器的名称，在右

边的列表中，有 3 个选项：【用户】、【会话】和【进程】。【用户】表示当前登录的用

户。【会话】表示显示与当前服务器相关联的会话信息。【进程】列表可以用来监视用户

会话执行的任何应用程序。可以分别单击相应的选项来查看当前的信息。

图13.24 【终端服务管理器】窗口

利用终端服务管理器提供的操作来管理终端服务，只要有相应的管理权限就可以执行

这些操作。下面列出这些操作的功能：

�� 连接：允许用户连接到另一个会话。如果连接到目前正由另一个用户使用的会话

可能会导致这个用户的数据丢失。连接到另一个会话时，用户将从以前的会话中

断开连接。

�� 断开：单击这个选项将断开与当前所选用户的连接，如果用户已经在终端上运行

了程序，这个程序并不会停止，当用户再次连接时，可以继续程序的运行。

�� 发送消息：允许用户向另一个用户的会话发送消息。例如，在从会话中断开连接

或注销用户之前，管理员可能需要向用户发送消息，如图 13.25 所示，在要断开

连接的用户上面，单击【发送消息】命令，会弹出如图 13.26 所示的【发送消息】

对话框，用户在【消息】文本框中键入所要发送的信息，然后单击【确定】按钮

即可。

�� 远程控制：用户可以观察或远程控制另一个用户会话，允许用户监视会话中的活

动并在必要的时候进行交互作用。要监视与他会话的用户在开始监视之前将收到

警告。远程控制可使用“终端服务配置”功能进行配置，也可使用“本地用户和

组”以及“Active Directory 用户和计算机”的终端服务扩展程序在每个用户基础

上配置。

�� 复位：当会话发生问题时就会用到此命令，执行复位时，会强制断开连接并退出

会话。

�� 状态：显示一些连接用户的状态信息。

�� 注销：正常退出连接与会话。用户也可以从自己的连接窗口中执行“开始/关机/

注销”命令，自行注销服务器。

中小网络管理维护一点通 238

图13.25 单击【发送消息】命令 图13.26 【发送消息】对话框

13.4 使用终端服务配置

终端服务连接提供了客户机可用于登录到服务器上某个会话的链接。TCP/IP 连接是当

终端服务在 Windows 2000 Server 上启用时自动配置的。使用终端服务配置，可以更改连

接的默认属性或添加新连接。

打开终端服务配置时，会看到已经配置的连接，称为 RDP-TCP 连接。通常，这只是

需要为使用终端服务器的客户配置的连接。对于终端服务器，只能为每个网卡配置一个

RDP(远程桌面协议)连接。如果要配置其他的 RDP 连接，用户必须安装附加的网卡。

使用终端服务配置，还可以重新配置 RDP-TCP 连接的属性，包括限制客户机会话在

服务器上保持活动状态的时间、设置加密的保护级别以及选择管理员希望用户和组具备的

权限。具体方法如下：

(1) 单击【开始】|【程序】|【管理工具】|【终端服务配置】命令。

(2) 打开如图 13.27 所示的【终端服务配置】窗口。在控制台树中单击【连接】节点，

在右边的连接中单击右键，然后单击【属性】按钮，打开如图 13.28 所示的【属

性】对话框。

(3) 该对话框中包含了多个选项卡，在这些选项卡中用户可以重新配置 RDP-TCP 连

接的属性。下面是其中几个重要的选项卡的作用：

�� 远程控制：通过从另一个会话远程控制用户的会话，可以监视登录到终端服务器

的客户机的操作。远程控制可以让用户观察或随时控制另一会话。如果用户选择

随时控制会话，就可以对该会话输入键盘和鼠标操作。在客户会话上可能会显示

一条消息，询问在远程控制该会话之前查看或加入此会话的权限。要在客户机上

显示询问是否有查看或加入该会话权限的消息，就要选中【需要用户权限】复选

框。在“控制级别”下，单击“查看会话”可以指定用户会话只能查看，单击“与

会话交互”指定用户会话可以随时使用键盘和鼠标进行控制。

第 13 章 使用终端服务 239

图13.27 【终端服务配置】窗口

图13.28 打开【属性】对话框

�� 客户端设置：可以指定在用户登录时自动还原客户机映射。另外，用户还可以禁

用特定客户机设备，这样用户就不能映射该设备了。

�� 权限：定义了用户和组可以访问终端服务器的方式，允许用户保护服务器的安全。

使用终端服务自动安装的 TCP/IP 连接带有一组默认的权限。用户可以修改这些

默认权限，方法是为不同的用户或组设置不同权限并调整权限以满足用户单位的

需要。必须有管理级的特权才能管理连接权限。

�� 登录设置：可以设置用户自动登录服务，如图 13.29 所示，在【登录设置】选项

卡中，选中【总是使用下列登录信息】单选按钮，允许用户配置其登录信息。在

【用户名】文本框中，输入允许自动登录到服务器的用户的名称。在【域】文本

框中，输入用户计算机所属域的名称。在【密码】和【确认密码】文本框中，输

入该用户的密码。选中【总是提示密码】以指定该用户在登录到服务器之前始终

中小网络管理维护一点通 240

要被提示输入密码。

�� 环境：打开该选项卡可以设置用户登录时要自动启动的程序。

图13.29 打开【登录设置】选项卡

第 14 章 自动安装 Windows 2000

本章概述：

使用自动安装会减少在系统安装时的人力投入，因此越来越多的人希望在进行系统安

装时使用自动安装。本章以使用自动安装的整个过程为主线，详细介绍使用自动安装时所

需要做的准备工作及其安装过程。

自动安装也称为无应答安装或免干预安装，是将需要在安装过程中输入的信息如：用

户姓名、机器名和管理员密码等首先存储在应答文件中，然后系统根据用户存储在应答文

件中的信息自动完成 Windows 2000 安装的一种安装方法。

需要在多台计算机上安装 Windows 2000 时，使用自动安装是一个不错的选择，它可以

使在多台计算机上安装 Windows 2000 的过程大为简化。要进行 Windows 2000 的自动安

装，首先要创建一个应答文件和至少一个分发文件夹。除此之外，还要保证要使用自动安

装的客户端计算机以用于和远程安装的服务器联网，并且再运行 Windows 的一个 32 位版

本，如 Windows9X、Windows NT 3.51 或 4.0。

学习目标：

�� 应答文件的功能及组成

�� 利用向导创建应答文件和分发文件夹

�� 修改现有的应答文件

14.1 利用向导生成应答文件和分发文件夹

要进行自动安装必须首先创建应答文件和分发文件夹。应答文件有时也称为免干预文

件或免干预脚本文件，是一个自定义脚本，用来应答在安装期间 Setup 通常提出的一系列

问题，并告诉 Setup 如何与创建的分发文件夹和文件进行交互作用。分发文件夹则用于存

储 Windows 2000 Pro 光盘内容和其他一些附加文件。

应答文件和分发文件夹的创建都有 2 种方法：一种是手动创建，另一种是利用向导来

生成。在本节中先来介绍如何利用向导来生成应答文件和分发文件夹。

14.1.1 找出向导文件

要利用向导来生成应答文件和分发文件夹，首先要找出要使用的向导文件 Setupmgr。

Setupmgr 被包含在压缩文件 DEPLOY 中，因此需要将 DEPLOY 文件解压缩到硬盘上的一

个目标文件夹，以找出要使用的向导文件 Setup Manager。操作步骤如下：

中小网络管理维护一点通 242

(1) 安装一个解压缩软件，本例为 WinZip，并新建一个文件夹，在本例中新建的文件

夹名称及路径为：F:\Deploy。

(2) 在 Windows 2000 Professional 的安装光盘上找到 \Support\Tools 文件夹下的

DEPLOY.cab 文件。

(3) 双击 DEPLOY.cab 文件，出现 Winzip 窗口，如图 14.1 所示。

图14.1 WinZip窗口

(4) 单击 Action(操作) | Select all(全选)命令，然后再选择 Action | Extract(解压缩)命令，

打开 Extract 对话框，如图 14.2 所示。

图14.2 Extract对话框

(5) 在图 14.2 所示的对话框中主要是指定要将文件解压缩到的目标位置，在本例中单

击 Folders/drivers(文件夹/驱动器)列表框中的“本地磁盘 F”，然后再找到在前面

新建的文件夹 F:\deploy。单击 Extract 按钮，这样就将光盘上的 DEPLOY 文件解

压缩到新建的目标文件中。

这里需要注意的是由于所使用的解压缩软件及版本的不同，上面步骤中显示的对话框

会稍有不同，不过不管怎么变，所要达到的目的只有一个，那就是将光盘上的 DEPLOY 文

件解压缩到新建的目标文件中。

(6) 打开新建的文件夹 F:\Deploy，如图 14.3 所示。

第 14 章 自动安装 Windows 2000 243

图14.3 查看新建文件夹Deploy中的内容

14.1.2 运行向导文件

通过前面的介绍找出了要使用的向导文件 Setupmgr，下面介绍如何运行这个向导文件

来生成在进行自动安装时所需要的应答文件和分发文件夹。

1. 应答文件的安装设置

从图 14.3 可以看出在对 Deploy 文件进行解压缩之后，可以在解压缩后的目标文件夹

中找到 Setupmgr 文件。有了 Setupmgr 文件就可以利用它来进行应答文件和分发文件夹的

创建。下面先来看一下应答文件的安装设置。操作步骤如下：

(1) 双击图 14.3 中的 Setupmgr 图标，启动 Setup Manager，然后出现【Windows 2000 安

装管理器向导】对话框。单击【下一步】按钮，出现新建或修改应答文件对话框，

如图 14.4 所示。

图14.4 新建或修改应答文件对话框

(2) 选中【创建新的应答文件】单选按钮，单击【下一步】按钮，打开指定所要安装

的产品的对话框，如图 14.5 所示。

中小网络管理维护一点通 244

图14.5 指定要安装的产品

(3) 在图 14.5 所示的产品选择对话框中有 3 种选择。其中“Windows 2000 无人参予

安装”和“远程安装服务”这 2 个选项的功能从它的字面表达上就不难理解，这

里只对 Sysprep 这一选项做一下解释。Sysprep 是一种工具，它有助于创建磁盘映

像，因此对于同时为具有相同配置的多个计算机安装 Windows 2000 Professinoal

时，使用磁盘复制是一个不错的选择。本例中在图 14.5 所示的对话框中选中

【Windows 2000 无人参予安装】单选按钮，单击【下一步】按钮，出现选择要安

装的平台的对话框，如图 14.6 所示。

图14.6 选择要安装的平台

(4) 在图 14.6 所示的对话框中主要是用于指定进行无应答安装时所要安装的操作系

统，由于在本例中希望实现对 Windows 2000 Professional 的无应答安装，因此选

中 Windows 2000 Professional 单选按钮(如果要实现对Windows 2000 Server 的无应

答安装，在这一步应选中 Windows 2000 Server 单选按钮。)。单击【下一步】按

钮，出现用户相互作用级别对话框，如图 14.7 所示。

第 14 章 自动安装 Windows 2000 245

图14.7 用户相互作用级别对话框

(5) 在对图 14.7 用户交互等级选择的选项进行选择时，每当选中其中的一项时，在【描

述】框中就会对所选选项给出相应的说明。可以根据【描述】框中的描述和自己

的实际情况来选择。本例中选中【全部自动】单选按钮。

2. 安装管理器的常用设置

完成应答文件的安装设置后，接下来就要进行管理器的安装，安装管理器常用设置的

操作步骤如下：

(1) 在图 14.7 所示的对话框中单击【下一步】按钮，打开【许可协议】对话框。

(2) 要安装管理器，必须接受许可协议，因此在【许可协议】对话框中一定要选中【我

接受许可协议】复选框。单击【下一步】按钮，打开自定义软件对话框。

(3) 在打开的自定义软件对话框的【名称】和【单位】文本框中分别输入用户的姓名

和单位的名称。然后单击【下一步】按钮，弹出计算机名称对话框，如图 14.8 所

示。

图14.8 计算机名称对话框

中小网络管理维护一点通 246

(4) 在图 14.8 所示的对话框中，将要安装的计算机名输入到【计算机名】文本框中，

然后单击【添加】按钮，计算机名就会出现在【要安装的计算机】列表中。重复

该步骤，可将多台要安装的计算机名添加到【要安装的计算机】列表中。本例向

【要安装的计算机】列表添加了计算机 Hongyuan 和 zhangyu。

(5) 单击【下一步】按钮，打开指定管理员密码的对话框。在【密码】和【确认密码】

文本框中输入密码，本例在两个文本框中输入“pwd”。

注意： 【密码】和【确认密码】文本框中输入的密码一定要相同。

(6) 单击【下一步】按钮，出现【显示设置】对话框。在【显示设置】对话框中可以

指定目标计算机的颜色、屏幕区域和刷新频率，本例中全部取默认值。单击【下

一步】按钮弹出【网络设置】对话框。

(7) 选中【典型设置】单选按钮，单击【下一步】按钮，弹出【工作组或域】对话框，

如图 14.9 所示。

图14.9 工作组或域对话框

(8) 图 14.9 所示的对话框用于指定目标计算机所属的域或工作组，本例中设定其所属

的域为“ourserver0”，单击【下一步】按钮，弹出【时区】对话框。

(9) 在弹出的【时区】对话框中，指定目标计算机所属的时区，本例中选择“(GMT+08：

00)北京，重庆�”。单击【下一步】按钮，打开【其它设置】对话框，如图 14.10所示。

3. 安装管理器的其他设置

在安装管理器的过程中，可以安装打印机并可以根据需要进行对区域、所用语言等的

设置，操作步骤如下： (1) 在图 14.10 所示的对话框中，选中【是，编辑其它设置】单选按钮。单击【下一

步】按钮，弹出【电话服务】对话框。

第 14 章 自动安装 Windows 2000 247

(2) 在弹出的【电话服务】对话框中，可以指定所在的国家、地区等，本例中指定所

在国家为“中国”，所在地区代码为“010”。单击【下一步】按钮，弹出【区域

设置】对话框。

图14.10 其它设置对话框

(3) 根据需要在【区域设置】对话框中选择合适的选项，本例中选中【指定应答文件

中的区域设置】单选按钮。单击【下一步】按钮，弹出【语言】对话框。

(4) 在弹出的【语言】对话框中选择想要使用的其他语言组。在本例中不做选择，直

接单击【下一步】按钮，，弹出【浏览器和 Shell 设置】对话框。

(5) 在弹出的【浏览器和 Shell 设置】对话框中选中【使用默认的 Internet Explorer】

单选按钮，弹出指定 Windows 所要安装在的文件夹对话框。选中【取名为 Winnt

的文件夹】单选按钮，单击【下一步】按钮，弹出【安装打印机】对话框，如图

14.11 所示。

图14.11 安装打印机对话框

中小网络管理维护一点通 248

(6) 如果要在首次登录时，自动安装网络打印机，在【网络打印机】文本框中输入要

安装的打印机的名称，然后单击【添加】按钮，所要安装的打印机出现在【安装

这些打印机】列表框中。单击【下一步】，弹出【运行一次】对话框。

(7) 在【运行一次】对话框中，可用于指定第一次登录时自动执行的命令。

4. 创建分发文件夹

前面曾提到可通过运行 Setupmgr 来完成应答文件和分发文件夹的创建。通过前面几节

的操作已经基本完成了应答文件的创建，下面接着上一节的步骤来进行分发文件夹的创建。

具体操作步骤如下：

(1) 在【运行一次】对话框中单击【下一步】按钮，打开【分发文件夹】对话框，选

中【是，创建或修改分发文件夹】单选按钮，单击【下一步】按钮，打开【发布

文件夹的名称】对话框，如图 14.12 所示。

图14.12 发布文件夹的名称对话框

(2) 在图 14.12 所示的对话框中，选中【创建新的分发文件夹】单选按钮，然后再指

定分发文件夹所在的路径及名称，这里可以使用默认路径及名称，也可以更改。

本例中指定的分发文件夹的路径及名称为 F:\win2kdisk。

(3) 单击【下一步】按钮，弹出【添加存储设备】对话框。如果要添加附加的设备驱

动程序，可单击【浏览】按钮将所要添加的驱动程序添加到应答文件中。单击【下

一步】按钮打开【硬件抽象层】对话框。阅读文本框中的信息，再次单击【下一

步】按钮打开【附加命令】对话框。

(4) 在【附加命令】对话框中指定在无应答安装结束时自动运行的命令。本例中不对

这一步进行设置，单击【下一步】按钮弹出【OEM 署名】对话框，如图 14.13 所

示。

(5) 在图 14.13 所示的对话框中，可以指定公司徽标或背景位图的路径。指定路径后，

单击【下一步】按钮弹出【附加文件和文件夹】对话框，对于每个选项，单击时

在【描述】框中都会给出相应的描述，可根据需要添加所需的文件。单击【下一

步】按钮弹出【应答文件名】对话框，如图 14.14 所示。

第 14 章 自动安装 Windows 2000 249

图14.13 OEM署名对话框

图14.14 应答文件名对话框

(6) 默认情况下系统给出的应答文件的位置在分发文件夹中，但为了便于区分，可以

为其另外指定路径，在本例中取默认路径。单击【下一步】按钮弹出【设置文件

夹位置】对话框。

(7) 如果要进行复制的 Windows 安装文件夹在光盘上，在【设置文件夹位置】对话框

中选中【从 CD 复制文件】单选按钮，如果是从硬盘或网络上复制，选中【从这

个位置复制文件夹】单选按钮，并指定其位置。本例中是从硬盘上安装，其路径

为 E:\backup\win2k\I386。单击【下一步】按钮弹出【复制文件】对话框。

(8) 复制完成后弹出【完成】对话框，如图 14.15 所示。

(9) 单击【完成】按钮，完成对应答文件和分发文件夹的创建。

从图 14.15 的对话框中可以看出，在运行 Setup Manager 的过程中除创建了分发文件夹

和应答文件(Unattend,txt)之外，还创建了一个 UDF 文件(Unattend.udf)和一个批处理文件

(Unattend.bat)。

中小网络管理维护一点通 250

图14.15 安装管理向导的完成对话框

提示： 前面介绍了如何创建执行 Windows 2000 Prefessional 自动安装时所需的应答

文件和分发文件夹。其实使用该方法并在图 14.6 的对话框中选中【Windows

2000 Server】单选按钮，然后按照提示便可创建出执行 Windows 2000 Server

和 Windows 2000 advanced Server 自动安装时所需的分发文件夹和应答文件。

14.1.3 检查生成的应答文件和分发文件夹

在这一小节中，主要来检查在前一小节中所创建的分发文件夹、应答文件、UDF 文件

和批处理文件是否与想要的一致，操作步骤如下：

(1) 查看分发文件夹：打开前面创建的分发文件夹，在本例中为 F:\Win2Kdise。在分

发文件夹中应该含有的文件及文件夹如图 14.16 所示。

图14.16 分发文件夹中应包含的文件

第 14 章 自动安装 Windows 2000 251

(2) 查看应答文件：如果在创建分发文件夹时，为应答文件指定的路径为系统提供的

默认路径，如本例。则在分发文件夹中还应包含应答文件(Unattend.txt)、UDF 文

件(Unattend.udf)和批处理文件(Unattend.bat)如图 14.17 所示。

图14.17 查看应答文件

(3) 如果在上一步的图中没有显示出文件的扩展名，可单击【工具】|【文件夹选项】

命令。在打开的【文件夹选项】对话框中选择【查看】标签，在【高级设置】对

话框中取消选中【隐藏已知文件的扩展名】复选框，然后单击【确定】按钮即可。

14.2 手动创建应答文件和分发文件夹

上一节中介绍了如何用向导来创建应答文件和分发文件夹，本节来介绍创建应答文件

和分发文件夹的另一种方法：手动创建应答文件和分发文件夹。

14.2.1 手动创建应答文件

要在多台计算机上安装 Windows 2000 时，使用自动安装是一个不错的选择。但在前面

应答文件和分发文件夹的创建中可能发现应答文件的创建过程并不是很省力，那么它的优

势在哪里呢？让我们来做一个假设：假如已经通过使用自动安装为张三的计算机安装了

Windows 2000，现在又需要在李四的计算机上安装 Windows 2000，那么就不用再来运行向

导来生成一个应答文件呢。因为对于同一个单位中的普通用户来说，他们在安装 Windows

2000 时所需输入的信息绝大多数是相同的，例如：所在地区、所属网段、单位名称等，所

以可直接修改在安装张三的计算机时利用向导生成的应答文件，例如将用户姓名由张三改

为李四、将计算机名由 ZS 改为 LS 等。

下面介绍如何更改应答文件中的一些设置以省去用向导生成应答文件的诸多步骤。下

面首先来看上一节中利用向导生成的应答文件：Unattend.txt。

;SetupMgrTag

[Data]

中小网络管理维护一点通 252

AutoPartition=1

MsDosInitiated="0"

UnattendedInstall="Yes"

[Unattended]

UnattendMode=FullUnattended

OemSkipEula=Yes

OemPreinstall=Yes

TargetPath=\WINNT

[GuiUnattended]

AdminPassword=*

OEMSkipRegional=1

TimeZone=210

OemSkipWelcome=1

[UserData]

FullName=韩宏远

OrgName=东方人华

ComputerName=*

[TapiLocation]

CountryCode=86

AreaCode=010

[SetupMgr]

ComputerName0=hongyuan

ComputerName1=zhangyu

DistFolder=F:\韩宏远\win2000pro

DistShare=win2000dist

[Identification]

JoinDomain=ourserver0

[Networking]

InstallDefaultComponents=Yes

应答文件由节头、键和键值组成，其中节名包括在方括号中，如下例所示：

[Unattended]

节中含有键和相应的键值，如：FullName=韩宏远。

从上面的应答文件中，可以看出其中含有许多节，在每个节中又含有一个或多个键及

键值。

下面以应答文件中的[UserData]一节为例来介绍通过更改现有的应答文件来创建新的

应答文件的方法。

从上面的应答文件中不难看出在上一小节创建的应答文件的[UserData]一节中包含了

用户姓名、单位名称和机器名 3 条信息。那么如果现在要为李四的计算机安装创建应答文

件，可以直接将[UserData]节中的用户信息改为用户李四的信息，更改如下：

第 14 章 自动安装 Windows 2000 253

[UserData]

FullName=李四

OrgName=东方人华

ComputerName=LiSi

更改其他节信息的方法与在[UserData]节中更改信息的方法一样，这里不再一一介绍。

在编写应答文件时有以下几点应该注意：

�� 对于含有空格的一定键值需要双引号将它们括起来，如：

ComputerName = "hong yuan"

�� 如果有注释行一定要以分号开始，如：

; Sample Unattended Setup Answer File

�� 如果本次安装不需要的话，不必在应答文件中指定所有可能的键值。无效的键值

将生成错误或者在安装后将导致不正确的行为。

�� 在应答文件中，每个键应有一个赋给它的值。然而，一些键值是可选的，并且，

如果忽略该键，这些键将使用默认值。

需要注意的是对于高级用户可直接通过编写或直接修改 Windows 2000 自带的应答文

件 UNATTEND.TXT(路径为：Windows 2000\I386\UNATTEND.TXT)来完成应答文件的创

建。但对于普通用户来说，先用向导生成一个应答文件，然后再根据不同计算机所充当的

不同角色和所使用的用户的不同来对生成的应答文件进行一定的修改仍然是一个不错的选

择。

14.2.2 手动创建分发文件夹

创建分发文件夹是为了通过网络在多个计算机上安装 Windows 2000 Professional，它通

常驻留在一个目标计算机可以连接到的服务器上，这样用户就可以通过在这些计算机上运

行 Winnt.exe 或 Winnt32.exe 来安装 Windows 2000 Professional。如果要为不同的计算机安

装不同的操作系统，可以使用多个分发文件夹。

为了帮助服务器进行负载平衡，并使 Windows 2000 安装文件的复制更快，可以在多

个服务器上创建分发文件夹，以支持在运行 Windows 95、Windows 98 或 Windows NT 的不

同计算机上同时执行安装过程。用户最多可以使用 8 组分发文件夹来运行 Winnt32.exe。每

组分发文件夹都包含有 Windows 2000 Professional 安装文件以及安装所需要的任何设备驱

动程序和其他文件。

分发文件夹的创建有两种方法，以上介绍了如何使用向导文件来创建分发文件夹，下

面来介绍一下如何手动创建分发文件夹。

要手动创建分发文件夹，首先把要创建分发文件夹的服务器连接到网络，并在该服务

器上创建并共享一个名为\Win2K 的文件夹。如果创建有多个分发文件夹，为了有助于在不

同的 Windows 2000 版本之间相区别，可以为每个文件夹选择不同的名称。对于 Windows

2000 的每个版本来说，要创建分发文件夹只要将\i386 文件夹的内容自制到要创建的分发文

件夹中即可。例如：如果为 Windows 2000 Professional 准备一次分发，可创建并共享一个

名为\win2kpro 的文件夹，再将 Windows 2000 Professional 安装光盘上的\i386 目录内容复制

中小网络管理维护一点通 254

到这个文件夹中即可。

14.3 执行自动安装

做好前面的准备工作后，就可以在网络中的其他计算机上执行自动安装了，这里需要

注意的是目标计算机必须运行在 32 位的操作系统上，如 Windows 95 或 Windows NT，并

且其硬件满足安装 Windows 2000 Professional 的最低要求。

执行自动安装的操作步骤如下：

(1) 在目标计算机上连接一个驱动器号(在本例中为 G:)，使其指向分发文件夹。具体

操作为：右击桌面上的【我的电脑】图标，在快捷菜单中单击【映射网络驱动器】

命令，打开【映射网络驱动器】对话框。然后单击【浏览】按钮，指定分发文件

夹的路径，如图 14.18 所示。最后单击【完成】按钮。

图14.18 【映射网络驱动器】对话框

(2) 打开命令提示，并将当前的驱动器指定为 G:。在当前的命令提示符下输入 Unattend

hongyuan(其中 hongyuan 为存放分发文件夹的计算机名)。执行该命令，弹出

【Windows 2000 安装程序】对话框，如图 14.19 所示。

图14.19 【Windows 2000安装程序】对话框

(3) 输入产品密钥，然后单击【下一步】按钮，系统就会自动完成后面的安装步骤。

第 15 章 远程安装

本章概述：

使用远程安装，可以在没有任何操作系统的计算机上完成 Windows 2000 的安装。使用

远程安装时只要将客户机接入到网络中，并启动即可在远程为启动的客户机安装操作系统。

本章将介绍 RIS 服务器的安装、配置以及两种不同的远程安装方法。

学习目标：

�� RIS 服务器的安装

�� 客户端安装映像的添加

�� 远程安装的执行

远程安装服务(Remote Installation Services，RIS)是 Windows 2000 Server 的新增功能。

它使管理员可以从网络的中心位置为客户机安装 Windows 2000 Professional。

15.1 远程安装综述

远程安装是指连接到运行 Remote Installation Services 的服务器(该服务器称为 RIS 服务

器)后在本地计算机上启动自动安装的过程。客户端计算机启动时首先向 DHCP 服务器发送

请求并标记为自已是远程启动的，向网络上的 RIS 服务器表示自己在寻找服务。RIS 服务

器将客户端需要请求的引导文件名称和本机的 IP 地址发送给客户端。当客户机响应了服务

器，表示需要服务时，DHCP 服务器发出提供服务的消息，这样便可以开始进行远程安装。

使用远程安装是部署 Windows 2000 Professional 最有效的方法。具体来说使用 RIS 可

以带来以下好处：

�� 帮助实现远程安装 Windows 2000 Professional。

�� 通过消除硬件特有的映像和在安装时即插即用设备的检测，简化了服务映像的

管理。

�� 支持在计算机发生故障时操作系统和计算机的恢复。

�� 在重新启动目标计算机后能保留安全设置。

�� 允许用户或技术人员在独立的计算机上安装操作系统。

以上是对远程安装组件及功能的介绍，下面介绍一下满足进行远程安装的计算机所具

备条件。

客户端：首先要满足安装 Windows 2000 Professional 的最低要求。除此以外，与使用

自动安装相比，客户端不要求有 Windows 的 32 位版本在运行，但需要并满足下列配置

之一：

中小网络管理维护一点通 256

�� 满足 Net PC 的规范配置(参见下页)。

�� 带有 PXE(Pre-Boot eXecution Environment)启动 ROM 的网卡和支持从 PXE 引导

ROM 启动 BIOS。

�� 支持远程安装启动盘的网卡。

远程安装需要在网络共享的卷中安装 RIS 文件夹。安装该 RIS 文件夹的共享卷必须满

足下列条件：

�� 共享卷不能在与运行 Windows 2000 Server 相同的驱动器上。

�� 共享卷必须有足够的可用空间容纳 RIS 软件和各种 Windows 2000 Professional 映

像。即可用空间在 2.0G 以上。

�� 共享卷必须为 NTFS 分区格式。

除此以外，网络中还必须提供以下网络服务，这些服务可以不安装在与 RIS 服务器相

同的计算机上，但必须在同一个网络中。

�� 域名系统 DNS

�� 动态主机配置协议 DHCP

�� Active Directory

前面在讲述客户端的要求时，提到了 Net PC 的概念，下面来对其进行简单介绍。

NetPC 是一种便于管理的平台，它具有多种功能，包括网络启动、管理升级和避免用

户更改硬件或操作系统配置。Net PC 所应满足的要求如下：

�� 在系统 BIOS 中必须将网络适配器设置为主启动设备。

�� 必须给要执行远程安装的用户账号分配 Log on as a batch job 的用户权限(默认情

况下，Administrator 组没有登录到批量作业的权限，因而在试图安装之前必须先

分配此权限。)。

�� 必须给用户分配一定的权限使他能够在申请加入的域中创建账户。此域在 RIS 服

务器的高级设置中指定。

15.2 安装与配置 RIS

进行远程安装首先要完成 RIS 服务的安装与配置 RIS，这一节就来介绍 RIS 服务器的

安装与配置方法。

15.2.1 安装 RIS 服务器

安装 RIS 服务器是进行远程安装所要做的第一步。其安装步骤如下：单击【开始】|

【设置】|【控制面板】命令，打开【控制面板】窗口，然后双击【添加/删除程序】图标，

在打开的【添加/删除程序】窗口中单击【添加/删除 Windows 组件】按钮，打开【Windows

组件向导】对话框，并选中【远程安装服务】复选框，如图 15.1 所示。

将 Windows 2000 Server 的光盘放入到光盘驱动器中，单击【下一步】按钮，依提示完

成后面的步骤，然后重新启动计算机完成 RIS 服务器的安装。

第 15 章 远程安装 257

图15.1 【Windows组件向导】对话框

安装了 RIS 后要使其能够提供服务还需要进行进一步配置，步骤如下：

(1) 按前面的步骤打开【添加/删除程序】窗口，并单击【添加/删除 Windows 组件】

按钮，如图 15.2 所示。

图15.2 【添加/删除程序】窗口

(2) 单击图 15.2 中的【配置】按钮，打开【远程安装服务安装向导】的欢迎画面。单

击【下一步】按钮，打开【指定远程安装文件夹的位置】对话框，如图 15.3 所示。

图15.3 指定远程安装文件夹的位置

中小网络管理维护一点通 258

(3) 图 15.3 所示的对话框用来指定远程安装文件夹的位置，这个文件夹所要满足的条

件请参见前面“安装 RIS 文件夹的共享卷必须满足的条件”部分。指定文件夹的

位置，本例中为 H:\RemoteInstall。单击【下一步】按钮，打开【初始设置】对话

框。

(4) 根据需要选择是否选中【响应客户计算机的请求服务】复选框。单击【下一步】

按钮弹出【安装源文件的位置】对话框，如图 15.4 所示。

图15.4 安装源文件的位置对话框

(5) 图 15.4 所示的对话框用来指定 Windows 2000 Professional CD 或安装文件的路径，

本例中为 E：\backup\win2k。单击【下一步】按钮打开【指定映像文件夹名称】

对话框。

(6) 在【指定映像文件夹名称】对话框中，指定安装 Windows 映像文件夹的名称，本

例中取默认值 Win2000 Pro。单击【下一步】按钮打开【易懂描述和帮助文本】

对话框，如图 15.5 所示。

图15.5 易懂描述和帮助文本对话框

第 15 章 远程安装 259

(7) 为帮助用户选择正确的映像可以在图 15.5 所示的对话框中添加一些说明性描述。

单击【下一步】按钮打开【复查设置】对话框，如图 15.6 所示。

图15.6 复查设置对话框

(8) 如无错误单击【完成】按钮开始安装映像文件，如图 15.7 所示。

图15.7 映像文件的安装过程

(9) 映像文件的安装需要花几分钟的时间。安装完成后单击【完成】按钮返回到【添

加/删除程序】。单击【关闭】按钮完成 RIS 服务器的安装。

前面介绍了 RIS 服务器的安装方法，下面看一下安装文件夹中是否有要包含的文件和

文件夹。打开前面建立的文件夹 H:\RemoteInstall，如图 15.8 所示。

在图 15.8 的右窗口所示的文件 ristndrd.sif 中包含了客户端的安装信息，使用记事本将

其打开，如图 15.9 所示。

用户可以在 ristndrd.sif 文件中更改数据，包括用户名称、客户端的计算机名称等。更

改系统后，在进行远程安装时就会依该更改后的设置进行安装。

中小网络管理维护一点通 260

图15.8 查看RIS映像文件

图15.9 客户端的安装信息

15.2.2 检查 RIS 服务器

完成 RIS 服务器的安装之后，可以检查该服务器。步骤如下：

(1) 单击【开始】|【程序】|【管理工具】|【Active Directory 用户和计算机】命令，打

开【Active Directory 用户和计算机】窗口。展开窗口左方的树型目录，单击【Domain

Controllers】项，此时的窗口如图 15.10 所示。

(2) 右击域控制器，在弹出式菜单中选择【属性】命令，打开域控制器的【属性】对

话框，打开【远程安装】选项卡，如图 15.11 所示。

(3) 单击图 15.11 中的【验证服务器】按钮，打开【远程安装服务安装向导】对话框。

单击【下一步】按钮，系统开始收集服务器的信息，检查后系统自动打开已完成

远程安装服务器验证的对话框，如图 15.12 所示。

第 15 章 远程安装 261

图15.10 【Active Directory用户和计算机】窗口

图15.11 远程安装选项卡

图15.12 远程安装服务检查后的对话框

(4) 单击【完成】按钮，系统自动启动远程安装服务，如图 15.13 所示。

中小网络管理维护一点通 262

图15.13 启动远程安装服务

(5) 单击【完成】按钮，完成对 RIS 服务器的检查。

15.3 远程安装前的准备工作

在上一节中介绍了 RIS 服务器的安装，这只是进行远程安装的第一步，要进行远程安

装还需要完成一些设置，在本节中将对其进行一一介绍。

15.3.1 授权 RIS 服务器

要想让 RIS 服务器提供服务，首先必须在 Active Directory 内为其授权，授权的操作步

骤如下：

(1) 单击【开始】|【程序】|【管理工具】|【DHCP】命令，打开【DHCP】对话框。

(2) 在打开的【DHCP】对话框中，右击【DHCP】选项并在弹出的快捷菜单中单击【管

理授权的服务器】命令，打开【管理授权的服务器】对话框，如图 15.14 所示。

图15.14 【管理授权的服务器】对话框

(3) 单击【授权】按钮，打开【授权服务器】对话框，如图 15.15 所示。

图15.15 授权服务器对话框

第 15 章 远程安装 263

(4) 单击【确定】按钮，完成对服务器的授权。

15.3.2 设置用户委派控制

进行远程安装时 RIS 服务器会从 AD 中查找与客户机匹配的计算机账号，因此需要赋

予客户端的用户能在 AD 中建立计算机账号的权利，即委派控制。操作步骤如下：

(1) 打开【Active Directory 用户和计算机】窗口。

(2) 右击域名并在弹出式菜单中选择【委派控制】命令，打开【委派控制向导】的欢

迎画面。

(3) 单击【下一步】按钮，打开指定要委派的用户和组对话框，如图 15.16 所示。

图15.16 指定要委派的用户和组

(4) 单击【添加】按钮，打开【选择用户、联系人、计算机或域】对话框，然后将所

要委派的用户或组加入到图 15.16 所示的列表中。

(5) 单击【下一步】按钮打开【委派控制向导】对话框，选中【创建自定义任务去委

派】单选按钮。

(6) 单击【下一步】按钮打开【指定要委派的任务范围】对话框，选中【这个文件夹�】

单选按钮，单击【下一步】按钮出现设置权限的对话框，如图 15.17 所示。

图15.17 设置用户权限

中小网络管理维护一点通 264

(7) 选中【特定子对象的创建/删除】复选框和【常规】复选框，并选中【权限】列表

框中的【创建计算机对象】复选框，再单击【下一步】按钮打开【控制委派向导】

的完成对话框。单击【完成】按钮完成对用户的委派。

15.3.3 设置服务器的属性

在 RIS 服务器上设置属性，可以控制服务器如何对提出请求的客户机提供 RIS 服务。

操作步骤如下：

(1) 打开【Active Directory 用户和计算机】窗口。

(2) 在控制台树中，单击包含要配置的 RIS 服务的计算机的文件夹。右击要配置的 RIS

服务器，在弹出式菜单单击【属性】命令，打开 RIS 服务器的属性对话框。

(3) 在 RIS 服务器的【属性】对话框中单击【远程安装】标签。单击【高级设置】按

钮，打开【RIS 属性】对话框，如图 15.18 所示。

图15.18 RIS 属性对话框

下面将【客户账号位置】例表框中的各选项说明如下：

�� 默认目录服务位置：将计算机账号建立在 Active Directory 的计算机对象中。

�� 同用户设置客户计算机的位置一样：将计算机账号建立在用户账号所在的位

置。

�� 以下的目录服务位置：在 Active Directory 中自行指定一个位置建立计算机账

号。

(4) 单击【确定】按钮完成 RIS 服务器的设置。

15.3.4 添加客户端的安装映像

为不同的客户端用户做远程安装时，由于其姓名、所在部门等的不同而需要有不同的

设置。为此需要在进行 RIS 安装之前先在 RIS 服务器中根据不同的用户身份来设置，即添

第 15 章 远程安装 265

加客户端安装映像，操作步骤如下。

(1) 单击图 15.18 中的【映像】标签，再在【映像】选项卡中单击【添加】按钮打开

【添加应答文件或安装映像】对话框，如图 15.19 所示。

图15.19 添加应答文件或安装映像对话框

(2) 选中【将新的应答文件与一个现有映像联系起来】单选按钮，再单击【下一步】

按钮打开【无人参与的安装应答文件源】对话框，如图 15.20 所示。

图15.20 无人参与的安装应答文件源对话框

这个对话框用来指定所要安装的应答文件的位置。现将对话框中各选项说明如下：

�� Windows 映像采样文件：选取当前的 RIS 服务器内建的应答文件。

�� 另一个远程安装的服务器：从另外的 RIS 服务器选取应答文件。

�� 其它位置：从硬盘或其他服务器选择自行建立的应答文件。

(3) 选中【Windows 映像采样文件】单选按钮，单击【下一步】按钮打开【选择安装

映像】对话框。选中应答文件，单击【下一步】按钮，打开【选择采样应答文件】

对话框，如图 15.21 所示。

中小网络管理维护一点通 266

图15.21 选择采样应答文件对话框

(4) 选中如图 15.21 所示的应答文件，单击【下一步】按钮打开【友好描述和帮助文

本】对话框。

(5) 单击【下一步】按钮打开【查看设置】对话框以确认最后的设置，如图 15.22 所示。

图15.22 查看设置对话框

(6) 单击【完成】按钮，完成客户端安装映像的设置。

15.3.5 客户端安装选项设置

进行远程安装时，可以通过在服务器端的设置来控制在运行安装向导时可以使用的安

装方法。步骤如下：

(1) 打开【Active Directory 用户和计算机】窗口。

(2) 右击【域名】并在弹出式菜单中单击【属性】命令，打开域【属性】对话框。

(3) 单击【组策略】标签，在打开的【组策略】选项卡中，选中 Default Domain Policy，

再单击【编辑】按钮，打开【组策略】窗口。展开树型目录并单击【远程安装

第 15 章 远程安装 267

服务】如图 15.23 所示。

图15.23 【组策略】窗口

(4) 双击【选择选项】标签，打开【选择选项 属性】对话框，如图 15.24 所示。

图15.24 【选择选项 属性】对话框

图 15.24 中共有 4 个选项框，代表在客户机上的 4 种安装选项，现分别说明如下：

�� 自动安装：这是默认的安装方式。使用这种安装方式，在安装过程中不会向

用户提问，它会根据安装设置来完成操作系统的安装。

�� 自定义安装：可以自行设置计算机名称与客户机账号在 AD 中的位置。

�� 重新启动安装程序：当前一次安装失败而重新安装时可以从头开始安装，但

已输入的信息会自动记录而不必再输入一次。

�� 工具：可以使用第三方的硬件和软件工具给客户端使用。

(5) 单击【确定】按钮完成设置。

到现在为止已经完成对所有选项的设置，但还必须要启动 RIS 服务以应答客户端。方

法为打开如图 15.11 所示的【远程安装】选项卡，然后选中【响应客户计算机的请求服务】

复选框，单击【确定】按钮即可。

中小网络管理维护一点通 268

15.4 执行远程安装

准备完成后，就可以进行计算机的远程安装了，但是要进行远程安装客户端必须具备

本章开始时指出的所要满足的条件。

15.4.1 基于 PXE 引导的远程安装

如果客户端计算机满足远程安装中客户机所要满足的第 2 个条件即：客户端具有

PXE(Pre-Boot eXecution Environment)启动 ROM 的网卡和支持从 PXE 引导 ROM 启动的

BIOS。进行远程安装前，首先要将计算机的启动方式设为远程启动，具体步骤如下；

(1) 计算机开机后屏幕显示“Press Del to Enter SETUP”，马上按下 Del 键，就进入了

CMOS 设置的主菜单，如图 15.25 所示。

图15.25 CMOS设置的主菜单

(2) 按方向键，选中 BIOS FEATURES SETUP 选项，按下回车键，打开 BIOS

FEATURES SETUP 对话框，如图 15.26 所示。在该对话框中设置系统的启动顺序。

(3) 按上下方向键，选中“Boot Sequence”选项，此时的设置启动顺序为“C，A”。

按“Page Up”或“Page Down”键把它修改为“LAN”。

然后按“Esc”回到主菜单。此时启动顺序的设置已基本完成，但新的设置需存储后才

能生效，选择“SAVE & EXIT SETUP”或直接按“F10”键，如图 15.27 所示。

第 15 章 远程安装 269

图15.26 BIOS FEATURES SETUP对话框

图15.27 保存设置

(4) 出现确认项：“SAVE TO CMOS and EXIT (Y/N) N ”，按“Y”键，并按回车键，

计算机会重新启动。到此，CMOS 设置就完成了。

完成 BIOS 的设置后，便可按下面的步骤来执行远程安装：

(1) 启动客户端计算机，并将 CMOS 中的启动方式设为远程启动。当计算机出现启动

界面时，根据屏幕提示快速按下组合键 F12，打开客户端安装向导，如图 15.28

所示。

中小网络管理维护一点通 270

图15.28 远程安装的欢迎画面

(2) 按下回车键，结果如图 15.29 所示。

图15.29 验证用户身份

(3) 输入拥有进行远程安装权限的账号和密码，并输入指定前面建立的域的域名：

ourserver0.com.cn，按下回车键。结果如图 15.30 所示。

(4) 选择要安装的操作系统，按下回车键开始 Windows 2000 的安装。后面的安装步骤

与在本地安装 Windows 2000 的步骤基本上一样，可以依照提示来完成。

提示： 如果客户端支持从 PXE 引导 ROM 启动 BIOS，但没有支持启动 ROM 的网卡，

这时购买一个与网卡相对应的 PXE 芯片插到网卡上，很有可能会解决解决问

题。

第 15 章 远程安装 271

图15.30 选择操作系统

15.4.2 使用 RIS 引导盘的远程安装

如果客户端计算机满足远程安装中客户机所要满足的第 3 个条件，那么要进行远程安

装首先要创建一个 RIS 启动盘。创建 RIS 启动盘的步骤如下：

(1) 单击【开始】|【运行】命令，打开【运行】对话框。单击【浏览】按钮，找到服

务器上的 rbfg.exe 文件，如图 15.31 所示。

(2) 单击【确定】按钮，打开【Windows 2000 远程启动磁盘生成器】对话框，如图 15.32

所示。

图15.31 【运行】对话框 图15.32 创建RIS启动盘

(3) 单击【创建磁盘】按钮‘，将开始 RIS 启动盘的创建。

完成了 RIS 启动盘的创建并不意味着成功，是否能成功地进行下一步的操作还要看现

有的网卡是否被 RIS 启动盘支持，要了解哪些网卡可被 RIS 启动盘支持可单击【适配器列

表】按钮，打开【受支持的适配器】对话框，如图 15.33 所示。

中小网络管理维护一点通 272

图15.33 【受支持的适配器】对话框

这样拖动滚动条就可以查看现有的网卡是不是被 RIS 服务器所支持。

完成 RIS 启动盘的制作后，便可以进行远程安装了。其步骤为：首先将 RIS 启动盘插

入软盘驱动器，然后打开计算机。打开计算机后会出现 Windows 2000 Remote Installation

Boot Floppy 画面，按下 F12 键打开安装向导，如图 15.34 所示。

图15.34 安装向导

后面的操作步骤与基于PXE 进行远程安装的操作步骤基本上相同，这里不再详细介绍。

第 16 章 软件的安装与维护

本章概述：

软件安装与维护是 Windows 2000 的又一项高级应用。使用软件安装，管理员可以根据

不同员工的实际需要为其分发或指派软件，让每个员工与他所需要的软件如影相随。本章

以一个软件安装的典型实例为主线，详细介绍软件安装的功能、分类及其安装条件、步骤

与维护方法。

学习目标：

�� 软件安装的功能及分类

�� 软件安装的步骤

�� 为不是基于 Windows Installer 的应用程序打包

软件安装与维护是一种服务，它使管理员可以从网络为用户安装所需要的应用软件并

能对这些软件进行修复、升级和删除。

16.1 认识软件安装

在企业环境中，网络管理员除了要维护网络的正常运行外，还要协助用户或计算机安

装所需的应用程序并对这些应用程序进行维护。用户的计算机运行不正常，网络管理员就

不得不新去修复。另外，任何软件都不可能一次就做得尽善尽美，因此网络管理员少不了

为用户安装各种“补丁程序”或对软件进行升级。

16.1.1 软件安装简介

软件安装是 Windows 2000 的一项重要功能，它可以让用户的常用软件跟着用户到域中

的每一台计算机。用户只要在域中的任意一台计算机上登录，系统都会根据该用户的身份

自动下载其所需要的软件。下面来具体看一下软件安装有哪些好处：

�� 自动修复：如果用户所下载的软件发生文件丢失或损坏时，用户端系统会自动检

测到这一错误，并从网络上重新下载文件进行修复。

�� 自动升级：系统管理员可以将已经分发出去的软件自动升级到新的版本。

�� 远程删除：软件需要删除时，管理员需到软件安装中设置删除方式，便可将发送

出去的软件从用户所在的计算机中删除。

这里需要指出的是：上面所介绍的这 3 条好处，只能用于维护那些网络管理员通过软

件安装服务安装的软件，因此对于用户通过软驱、光驱或网络安装的软件不能进行自动修

中小网络管理维护一点通 274

复、自动升级和远程删除。

企业可以将企业内的计算机都加入到域系统，并减少不必要的光盘驱动器，这样做既

可实现管理员对企业内部的软件使用集中控制，也可减少计算机病毒的来源，并可有效地

降低设备的成本。

管理员可以使用软件安装和维护程序来发行或指派软件：

�� 发行：管理员可以发行用户认为可能有用的应用程序，允许用户决定是否安装该

应用程序。但只能发行给用户，不能发行给计算机。

�� 指派：管理员可以指派用户完成工作所需要的应用程序，被指派的应用程序在用

户的桌面上可自动得到。

有关发行软件与指派软件的详细介绍请参见 16.3 与 16.4 节。

16.1.2 软件安装的条件

前面介绍了软件安装及软件安装的作用与分类，而要实现软件安装首先要满足使用软

件安装所需要的 3 个条件：

�� 必须是运行 Windows 2000 的计算机

由于软件安装的客户端必须通过【控制面版】的【添加/删除程序】才能从网络上

取得已发行的软件列表，因此客户端操作系统的【添加/删除程序】窗口必须支持

这样的功能。而在现有的操作系统中，只有 Windows 2000 支持这样的功能，这也

就是为什么必须是运行 Windows 2000 计算机的原因。

�� 要使用软件安装服务的计算机必须加入到域中

软件的安装和维护是依赖于组策略的。而组策略只能应用到域或域的组织单位中，

因此只有加入到 Windows 2000 域中的计算机才能使用软件安装和维护服务。有关

将计算机加入到域的操作请参见第 2 章。

�� 所要安装的软件必须被封装为特定的格式

软件安装和维护服务支持 Windows Installer 包(.msi 文件)、重打包文件和.zap3 种

格式的文件，也就是说只有这 3 种格式的文件才可以成为软件安装与维护中所使

用的软件。

Windows Installer 包(.msi 文件)包含了所有必要的信息，用以描述 Windows Installer 是

如何安装应用程序的。它覆盖了所有可以想象到的情况：不同的平台、不同的已安装的产

品和无数缺省的安装位置。一些应用程序，诸如：Office 2000 等提供其自身的.msi 文件，

这些文件就是所谓的自带的 Windows Installer 包。

通过上面对软件安装条件的介绍，可能会对软件安装这项功能的实用价值产生怀疑，

其实前面所要求的条件基本上都可以解决。因为使用打包工具可以为自己的应用程序创建

Windows Installer 包，也可以用 Windows Installer 对现有的应用程序重新打包。具体方法请

参见 16.5 节。

第 16 章 软件的安装与维护 275

16.2 软件安装的准备工作

软件安装按部署方式分为发行和指派两种，但无论是发行还是指派，管理员所需做的

准备工作都是一样的，那就是要在发行或指派之前软件分发点的建立与相关组策略的部署。

这一节就来介绍如何完成这些准备工作。

16.2.1 建立软件分发点

建立软件分发点是软件安装的第一步，就是将软件复制到服务器的共享文件夹内。这

个共享的文件夹就是通常所说的软件分发点。下面来介绍如何建立软件分发点。

(1) 首先以系统管理员或同等权限的身份登录到域中的服务器上，并在该服务器上建

立一个共享文件夹，本例中在 F 盘建立了共享的文件夹“软件分发”。

提示： 在这一步中要注意一定要登录到服务器，并且要以系统管理员的身份登录到

服务器，还要将用于建立软件分发点的文件夹共享。为了便于管理，建议将

软件分发点放在 NTFS 磁盘分区上。

(2) 插入 Office 2000 光盘后，单击【开始】|【运行】命令，在【运行】对话框中执

行命令：msiexec /a g:\data1.msi，如图 16.1 所示。

图16.1 【运行】对话框

图 16.1 中的对话框中的命令及参数的功能如下：

命令“msiexec”：该命令用于解读封装文件。

参数“/a”：指在管理员模式下运行命令 msiexec。

“data1.msi”：是封装文件，可以在 Office 2000 光盘的根目录下找到。

(3) 单击【确定】按钮，出现【Office 2000 管理模式】窗口，如图 16.2 所示。

中小网络管理维护一点通 276

图16.2 【Microsoft Office 2000管理模式】窗口

第 16 章 软件的安装与维护 277

(4) 输入产品的序列号及单位名称，单击【下一步】按钮，打开【最终用户许可协议】

对话框。选中【我接受许可协议中的条款】单选按钮并单击【下一步】按钮，打

开用于指定安装位置的对话框，如图 16.3 所示。

图16.3 指定软件的安装位置

(5) 在图 16.3 的对话框中将安装位置指定为前面建立的共享文件夹，本例中为 F：\

软件分发。单击【开始安装】按钮开始安装，安装完成后打开建立的软件分发点

F：\软件分发，结果如图 16.4 所示。

图16.4 建立软件分发点示例

提示： 在建立软件分发点的过程中，所说的安装与普通意义上的安装不同，因为利

用管理模式安装实际上是将安装所需的文件复制到服务器上。所以可以将光

盘上的文件直接复制到服务器上，但如果这样做的话用户安装软件时，还需

要输入产品的序列号。

中小网络管理维护一点通 278

16.2.2 建立软件部署所需的组策略

软件安装的第二步就是建立一份用来部署软件的组策略，具体步骤如下：

(1) 首先在域下新建立一个组策略，为了便于理解为其起名为�software install�,如图

16.5 所示。有关建立组策略的方法请参见第 6 章。

图16.5 建立软件分发的专用组策略

(2) 单击【编辑】按钮，打开【组策略】窗口，如图 16.6 所示。

图16.6 【组策略】窗口

(3) 右击【软件安装】图标，在弹出式菜单中单击【属性】命令，打开【软件安装属

性】对话框，如图 16.7 所示。

第 16 章 软件的安装与维护 279

图16.7 【软件安装 属性】对话框

(4) 在【默认程序包位置】文本框中输入软件分发点的路径。单击【确定】按钮，返

回到如图 16.6 所示的窗口。

提示： 本例是在域下直接建立的组策略，因此在后面对软件的发行或指派对域中的

每个用户都有效，为了实现向不同的用户发行或指派不同的软件，可将用户

分别建立在不同的几个组织单位中，并为这些组织单位分别建立不同的组策

略。这样就可以将所要分发的软件分发给某个或某些指定的人而不是所

有人。

16.3 发行软件

完成进行软件安装前所需的准备工作，就可以进行软件的安装了。前面曾提到软件安

装按其部署方式可分为发行软件和指派软件两种，这一节先来介绍如何发行软件。

16.3.1 软件发行的建立

一个软件发行给用户后，用户从域中的任一台计算机登录时，该软件都会出现在【添

加/删除程序】窗口中，不过前提是这台计算机运行的是 Windows 2000 操作系统。

用户刚刚登录时，他所使用的计算机并未真正地改变当前的注册表，也不会在【开始】

与【程序】菜单上创建快捷方式。只有当用户从【控制面版】的【添加/删除程序】窗口中

安装该软件或打开了与该软件相关的文件后，该软件才会安装到客户机里。

发行软件的步骤如下：

(1) 首先以管理员身份登录，打开如图 16.5 所示的【属性】对话框。

(2) 单击【编辑】按钮，打开【组策略】窗口。如图 16.8 所示。

(3) 右击【软件安装】选项，在弹出式菜单中单击【新建】|【程序包】命令打开【打

开】对话框，如图 16.9 所示。

中小网络管理维护一点通 280

图16.8 【组策略】窗口

图16.9 【打开】对话框

(4) 选中 data1 图标，单击【打开】按钮，打开【部署软件】对话框，如图 16.10 所示。

图16.10 【部署软件】对话框

(5) 选中【已发行】单选按钮，单击【确定】按钮，返回到【组策略】对话框，再次

选中【软件安装】选项，结果如图 16.11 所示。

第 16 章 软件的安装与维护 281

图16.11 发行软件后的【组策略】窗口

16.3.2 检验发行效果

为检验发行效果，首先，要以域管理员分配的用户身份登录到 Windows 2000 上。 然

后双击【控制面版】中的【添加/删除程序】按钮，打开【添加/删除程序】窗口，单击【添

加新程序】按钮，如图 16.12 所示。

图16.12 检验发行效果

从图 16.12 可以看出，前面发行的软件 Office 2000 出现在【添加/删除程序】窗口中，

单击【添加】按钮便可进行 Office 2000 的安装。

16.4 指派软件

有些软件例如杀毒软件，通常希望将其装在每一台计算机上或强制每一个用户统一使

用。那么将这些软件利用指派的方式来部署是最好的方法。

中小网络管理维护一点通 282

16.4.1 指派软件的分类

指派是比发行更具强制性的部署方式，指派与发行的另一个不同点在于：发行只能发

行给用户而指派既可以指派给用户也可以指派给计算机，因此可以将指派软件分为指派给

用户和指派给计算机两类。

1. 指派给用户

当软件指派给某一用户时，下一次该用户从任何一台计算机上都会在【开始】|【程序】

或桌面看到该软件的快捷方式，同时计算机的注册表里也会记录该软件的相关信息。

与发行给用户相比：指派后会在【开始】|【程序】或桌面上看到所指派的软件的快捷

方式，而发行则不可以，还有指派给用户后，用户从任一台计算机登录到域，这台计算机

的注册表里都会记录该软件的相关信息，而发行给用户则不能。

用户可以删除所指派的软件，但在下一次登录域时，该软件还是会出现在他所使用的

计算机上。也就是说，用户可以不使用指派的软件，但是不能阻止该软件的快捷方式出现

在桌面上。因为用户对指派的软件没有选择权，这也是与发行给用户的一点不同之处。

2. 指派给计算机

将某一软件指派给计算机时，计算机会在下次启动时自动将其下载安装，计算机上的

所有用户都可以执行该软件。由于软件指派的对象是计算机，所以除了本机系统管理员以

外，其他用户都不允许删除该软件。不过任一用户都可以在【添加/删除程序】窗口中修复

或重新安装这一应用程序。

与发行给用户和指派给用户相比指派给计算机在下次开机时才能生效，而后两者在用

户重新登录时即可生效。另外指派给计算机后，在启动计算机后自动安装，而后两者只有

执行该程序或在【添加/删除程序】窗口中才可以安装。还有，指派给计算机后只有计算机

本机的系统管理员才可以删除所指派的软件而后两者是发行或指派给谁，谁就可以删除。

因此，如果所要安装的软件主要功能是维护计算机例如杀毒软件，建议把它指派给计

算机；如果软件的功能是协助用户处理日常或特殊事务时，则应该把它指派或发行给

用户。

16.4.2 指派软件的建立

前面曾提到指派的对象可以是用户也可以是计算机，下面先来介绍如何将软件指派给

用户。无论是将软件指派给用户还是发行给用户，首先都需要建立一个软件分发点和一个

专用组策略。这一步已经在 16.2 节完成，下面接着 16.2 节来完成软件的指派。

要发行软件按如下步骤进行：

(1) 以管理员身份登录并打开如图 16.5 所示的【属性】对话框。

(2) 单击【编辑】按钮，打开【组策略】窗口。如图 16.8 所示。

第 16 章 软件的安装与维护 283

图16.13 【部署软件】对话框

(3) 右击【软件安装】选项，在弹出式菜单中单击

【新建】|【程序包】命令打开【打开】对话框，

如图 16.9 所示。

(4) 选中 data1 图标，单击【打开】按钮，打开【部

署软件】对话框，如图 16.13 所示。

(5) 选中【已发行】单选按钮，单击【确定】按钮，

返回到【组策略】窗口，再次选中【软件安装】

选项，结果如图 16.14 所示。

图16.14 指派软件后的【组策略】窗口

指派完成后，从任一台计算机登录到域中可以看到 Office 2000 办公软件的图标出现在

【开始】菜单和【程序】菜单中，如图 16.15 所示。

图16.15 检验指派效果

中小网络管理维护一点通 284

16.5 安装不是基于 Windows Installer 的应用程序

前面部署的 Office 2000 是基于 Windows Installer 的应用程序，它本身就自带有 MSI

文件。但并不是所有的应用软件都有 MSI 文件，要部署没有 MSI 文件，即不基于 Windows

Installer 的应用程序就需要首先为这些软件打包，然后再按前面的方法部署软件。

要为文件打包首先要找到打包工具，可从 InstallShield 站点或 WISE Solutions 站点下载

打包工具。它们的网址分别为：

http://www.installshield.com/

http://www.wisesolutions.com/default.htm

找到打包工具后，将打包工具安装后就可以打包了。下面以从 WISE Solutions 站点下

载的打包工具 Wise for Windows Installer Professional Evaluation 为例来介绍如何使用打包

工具。

(1) 单击【开始】|【程序】|Wise solutions Evaluation | Wise for Windows installer

Professional Evaluation 命令，打开 其用户界面，如图 16.16 所示。

图16.16 Wise for Windows Installer Professional Evaluation的用户界面

(2) 在 New Installation File 对话框中，选择一个要新建立的文件，本例中为 Empty

Project 图标，单击 OK 按钮。要注册一些常用信息，请将对应的信息添加到 General

Information 窗口中。

(3) 单击 File | Compile 命令，打开 Save as 对话框，如图 16.17 所示。

(4) 选择要打包的软件，本例中为 Photoshop，单击【保存】按钮，系统会自动完成对

工程的保存。

(5) 单击 tool| Setup Capture 命令，打开 Setup Capture 对话框，如图 16.18 所示。

第 16 章 软件的安装与维护 285

图16.17 Save as 对话框

图16.18 Setup Capture对话框

(6) 要对打包过程进行设置，请单击 Setting 按钮。否则单击【下一步】按钮依提示完

成后面的步骤。

(7) 再单击 File | Test 命令，以测试前面的打包工作是否成功。

通过上面的步骤，就可以像部署 Office 2000 一样部署这些打包过的软件，其具体的步

骤与对 Office 2000 的部署方法相同，请参见前面的步骤完成对 Photoshop 软件的部署。

16.6 软件的修复与删除

在本章的开始就曾说过，软件安装具有自动修复软件的功能。但需要说明的是：这里

所说的修复实际上就是从分发点上重新下载并再安装一遍。当分发点上的安装文件丢失或

损坏时，显然用户重新安装多少次都没用，这时就需要管理员在服务器上修复该软件的该

文件，并将其重新部署一次。

1. 软件修复

当某个部署的软件在客户端无法修复时，可能是由于分发点上的源文件已丢失或损坏，

这时就需要复制一份到原来的分发点上。然后打开部署该软件的【组策略】窗口，如图 16.19

所示。

中小网络管理维护一点通 286

图16.19 部署该软件的【组策略】窗口

右击需要修复的软件，在弹出式菜单中单击【所有任务】|【重新部署应用程序】命令，

打开是否重新部署软件的对话框，如图 16.20 所示。

图16.20 确认是否要重新部署软件

单击【是】按钮，这样在用户重新登录或启动计算机时，就会强制所有安装过此软件

的用户再安装一次。

2. 软件删除

将部署出去的软件删除有两种方法：直接删除用来执行软件安装的组策略或将组策略

里的程序包删除。

要通过删除执行软件安装的组策略来删除软件请按如下步骤进行：

(1) 打开部署所要删除的软件的【组策略】窗口，如图 16.21 所示。

图16.21 【组策略】窗口

第 16 章 软件的安装与维护 287

(2) 右击【软件安装】选项，在弹出式菜单中选择【属性】命令，打开【软件安装 属

性】对话框，如图 16.22 所示。

图16.22 【软件安装 属性】对话框

(3) 选中【当应用程序不再处于管理范围时，将其卸载】复选框，单击【确定】按钮。

(4) 删除部署所要删除软件的组策略。

这样在下次登录或启动时，所要删除的软件便会被强制删除。

要通过删除组策略的程序包来删除所部署的软件，首先要打开部署该软件的【组策略】

窗口，如图 16.23 所示。

图16.23 【组策略】窗口

然后右击所要删除的软件，在弹出式菜单中执行【所有任务】|【删除】命令，打开【删

除软件】对话框，如图 16.24 所示。

中小网络管理维护一点通 288

图16.24 【删除软件】对话框

选中【立即从用户和计算机卸载软件】单选按钮，单击【确定】按钮。这样在下次登

录或启动时系统就会将所要删除的软件强制删除。