第6章 網(wǎng)絡操作系統(tǒng)

第6章網(wǎng)絡操作系統(tǒng)6.1

網(wǎng)絡操作系統(tǒng)基礎6.2網(wǎng)絡操作系統(tǒng)的組成6.3網(wǎng)絡操作系統(tǒng)介紹6.4Windows2000操作系統(tǒng)6.5Windows2000網(wǎng)絡互聯(lián)6.1網(wǎng)絡操作系統(tǒng)基礎

計算機網(wǎng)絡是由各種軟件和硬件設備組成的一個工作平臺，它的正常運行必須要有網(wǎng)絡操作系統(tǒng)的支持。網(wǎng)絡操作系統(tǒng)是計算機網(wǎng)絡的靈魂和核心，在網(wǎng)絡操作系統(tǒng)的支持下，各種軟件、硬件才能充分的發(fā)揮作用，本章我們將以Windows2000為基礎，介紹網(wǎng)絡操作系統(tǒng)的作用和地位。6.1.1操作系統(tǒng)的作用和地位1.操作系統(tǒng)的作用地位操作系統(tǒng)是最底層的系統(tǒng)軟件，它是對硬件系統(tǒng)功能的首次擴充，也是其它系統(tǒng)軟件和應用軟件能夠在計算機上運行的基礎。操作系統(tǒng)的地位如圖6.1所示

操作系統(tǒng)是一種特殊的、用于管理和控制計算機硬件和軟件的程序。它位于計算機的硬件和應用程序之間，負責管理、調度、指揮計算機的軟、硬件資源，使其協(xié)調工作，沒有它，任何計算機都無法正常運行。它在資源使用者和資源之間充當中間人的角色。比如，一個用戶（也可以是程序）將一個文件存盤，操作系統(tǒng)就開始工作，首先管理磁盤空間的分配，將要保存的信息由內(nèi)存寫到磁盤。當用戶要運行一個程序時，操作系統(tǒng)必須先將程序載入內(nèi)存，當程序執(zhí)行時，操作系統(tǒng)會給程序分配使用CPU的時間。2.單機操作系統(tǒng)與網(wǎng)絡操作系統(tǒng)網(wǎng)絡操作系統(tǒng)（NetworkOperateSystem，NOS）是向網(wǎng)絡計算機提供服務的各種軟件和協(xié)議的集合。網(wǎng)絡操作系統(tǒng)決定了網(wǎng)絡上文件傳輸?shù)姆绞揭约拔募幚淼男?，作為整個網(wǎng)絡與用戶的界面，是整個網(wǎng)絡的核心。網(wǎng)絡用戶通過網(wǎng)絡操作系統(tǒng)請求網(wǎng)絡服務，配備了網(wǎng)絡操作系統(tǒng)的用戶，能夠方便地實現(xiàn)用戶通信和資源共享，并能提高網(wǎng)絡資源的利用率和網(wǎng)絡的吞吐量。網(wǎng)絡操作系統(tǒng)（NOS）與操作系統(tǒng)的不同在于它們提供的服務有差別。一般說來，管理單臺計算機的操作系統(tǒng)管理的資源有：本地文件系統(tǒng)；計算機的存儲器；加載和執(zhí)行應用程序；對所連的外部設備進行輸入／輸出；在多個應用程序間進行CPU調度。而NOS偏重于將“與網(wǎng)絡活動相關的特性加以優(yōu)化”，即經(jīng)過網(wǎng)絡來管理諸如共享數(shù)據(jù)文件、軟件應用和外部設備之類的資源，而操作系統(tǒng)（OS）則偏重于優(yōu)化用戶與系統(tǒng)的接口以及在其上面運行的應用。NOS管理的資源有：由其它工作站訪問的文件系統(tǒng)；在NOS上運行的計算機的存儲器；加載和執(zhí)行共享應用程序；對共享網(wǎng)絡設備的輸入／輸出；在NOS進程之間的CPU凋度。

6.1.2網(wǎng)絡操作系統(tǒng)功能及分類1.網(wǎng)絡操作系統(tǒng)的概念網(wǎng)絡操作系統(tǒng)NOS(NetworkOperatingSystem)是管理計算機網(wǎng)絡資源的系統(tǒng)軟件，是網(wǎng)絡用戶與計算機網(wǎng)絡之間的接口。網(wǎng)絡操作系統(tǒng)既有單機操作系統(tǒng)的處理機管理、內(nèi)存管理、文件管理、設備管理和作業(yè)管理等功能，還具有對整個網(wǎng)絡的資源進行協(xié)調管理，實現(xiàn)計算機之間高效可靠的通信，提供各種網(wǎng)絡服務和為網(wǎng)上用戶提供便利的操作與管理平臺等網(wǎng)絡管理功能。網(wǎng)絡操作系統(tǒng)在計算機網(wǎng)絡系統(tǒng)的組成中占有極其重要的地位，是網(wǎng)絡各層協(xié)議得以實現(xiàn)的“宿主”。其主要的功能是實現(xiàn)軟、硬件資源共享，管理用戶程序對不同資源的訪問。網(wǎng)絡操作系統(tǒng)的選擇是網(wǎng)絡設計中非常重要的一環(huán)，它在很大程度上決定著整個網(wǎng)絡的整體性能

2.網(wǎng)絡操作系統(tǒng)的功能網(wǎng)絡操作系統(tǒng)是在單機操作系統(tǒng)基礎上發(fā)展起來的，但又不同于單機操作系統(tǒng)，主要是他們服務的類型不同，網(wǎng)絡操作系統(tǒng)主要突出網(wǎng)絡管理方面的特性，另外安全保密和容錯能力也是網(wǎng)絡操作系統(tǒng)主要考慮的問題，網(wǎng)絡操作系統(tǒng)一般具有如下功能。（１）資源管理：對網(wǎng)絡中的共享資源集中進行管理，如硬盤、打印機和文件等。（２）通信服務：操作系統(tǒng)在源端主機和目的端主機之間建立一條暫時性的通信鏈路，在數(shù)據(jù)傳遞期間進行必要的控制，如數(shù)據(jù)檢驗糾錯和數(shù)據(jù)流量控制等。（３）信息服務：Email服務、文件傳輸、Web信息發(fā)布及數(shù)據(jù)庫共享等。（４）網(wǎng)絡管理：存取權限控制，網(wǎng)絡性能分析和監(jiān)控，存儲管理等。（５）互操作能力：不同物理網(wǎng)絡和裝有不同操作系統(tǒng)的主機之間能夠以透明的方式訪問對方的系統(tǒng)

3.網(wǎng)絡操作系統(tǒng)分類構筑計算機網(wǎng)絡的基本目的是共享資源。根據(jù)共享資源的方式不同，NOS分為兩種不同的機制。如果NOS軟件相等地分布在網(wǎng)絡上的所有節(jié)點，這種機制下的NOS稱之為對等式網(wǎng)絡操作系統(tǒng)；如果NOS的主要部分駐留在中心節(jié)點，

則稱為集中式NOS。集中式NOS下的中心節(jié)點稱為服務器，使用由中心節(jié)點所管理資源的應用稱為客戶。因此，集中式NOS下的運行機制就是人們平常所謂的“客戶機／服務器”方式。因為客戶軟件運行在工作站上，所以人們有時將工作站稱為客戶機。其實可以把使用服務的應用稱為客戶，向應用提供服務的應用或系統(tǒng)軟件稱為服務器。

（１）對等式網(wǎng)絡操作系統(tǒng)對等式網(wǎng)絡操作系統(tǒng)的特點是：網(wǎng)絡上所有的連接站點地位平等，安裝在任何一個站點的系統(tǒng)軟件都是相同的，每一個站點都有自主權，可以相互交換文件，并且不需要專用的服務器支持。按此模式建立的計算機網(wǎng)絡，稱之為“對等網(wǎng)”。對等式網(wǎng)絡操作系統(tǒng)有Microsoft公司的LANManager、WindowsforWorkgroup3.11、Windows95/98，Novell公司的PersonalNetWare等。使用較多的是Windows98，文件可以設置共享來控制在網(wǎng)絡上的存取。對等式網(wǎng)絡的優(yōu)點：靈活性好，安裝方便，容易維護；可直接共享所有站點的資源；不需要專用的服務器；負載均衡。對等式網(wǎng)絡的缺點：數(shù)據(jù)保密性差，文件分散管理；每個站點既要承擔通信處理的工作又要進行網(wǎng)絡資源管理，因此信息處理能力不強；服務響應時間較長，難以支持需要大量存儲空間的應用。（２）文件/服務器模式在這種模式中，應用程序和數(shù)據(jù)都存放在一臺指定的計算機中，這臺計算機稱之為文件服務器，一般由專業(yè)服務器或高性能的微機擔任。網(wǎng)絡中其他站點稱為工作站。在文件服務器模式中，所有的工作站都以文件服務器為中心，需要一臺專用的服務器來處理所有信息。工作站之間無法直接交換文件，需要通過服務器做媒介，所有文件的讀取、信息的傳送都在文件服務器的控制下進行。另外，文件服務器模式將應用程序和數(shù)據(jù)存放在文件服務器上，當工作站使用者需要應用程序和數(shù)據(jù)時，將從文件服務器獲取，并傳送到需要的工作站上。每一臺工作站都有獨立運算和處理數(shù)據(jù)能力，這就是一種集中管理、分散處理模式。文件服務器模式最典型的代表就是Novell的NetWare3.1網(wǎng)絡操作系統(tǒng)。

文件服務器模式的優(yōu)點：對于數(shù)據(jù)保密性非常嚴格，且可以按照不同的需要給予用戶不同的使用權限，從而達到資源共享的目的；文件服務器與工作站之間分工明確，使工作站從網(wǎng)絡管理中解脫出來，信息處理能力明顯增強；文件安全管理較好，可靠性高。文件服務器模式的缺點：工件站上的資源無法直接共享；該模式的安裝、維護和管理比對等式網(wǎng)絡困難；至少需要一臺專用的服務器，且服務器的運算能力得不到充分發(fā)揮；網(wǎng)絡效率不高，各個工作站在使用服務器資源時必須要從服務器上拷貝，造成資源的重復設置。另外，資源在網(wǎng)絡上的大量傳送，很容易造成整個網(wǎng)絡負荷過大，導致效率降低。（3）客戶機/服務器(Client/Server)模式從文件服務器模式轉入客戶機/服務器(也稱C/S)模式，是近幾年信息技術重要的發(fā)展。C/S模式兼顧了前兩種模式的特點，把網(wǎng)絡操作系統(tǒng)中的多數(shù)模塊駐留在服務器中作為服務器軟件，而另一部分則安裝在工作站等有關設備上，使得資源共享和網(wǎng)絡控制更為有效。C/S模式是指將處理的工作合理分工給Client(客戶)端和Server(服務器)端處理。C/S模式的工作過程為：客戶機中運行的客戶程序能夠對用戶的請求做出反應，這些操作可以通過一個命令、菜單或圖形接口來實現(xiàn)。服務器程序運行在網(wǎng)絡中的網(wǎng)絡服務器中，服務器程序從網(wǎng)絡中接收客戶發(fā)出的請求，并執(zhí)行這些請求所要求的操作，然后將結果返回給客戶程序，客戶程序收到結果后通過用戶接口將其顯示給用戶。C/S模式的網(wǎng)絡操作系統(tǒng)為Microsoft的Windows2000，服務器運行多用戶SQL數(shù)據(jù)庫，工作站通過SQL的客戶程序向數(shù)據(jù)庫發(fā)出查詢請求，SQL服務器執(zhí)行這一查詢并將結果返回給客戶。

目前比較流行的C/S模式網(wǎng)絡操作系統(tǒng)有Novell公司的NetWare4.x，Microsoft公司的WindowsNTServer、Windows2000/2003Server等。C/S模式網(wǎng)絡操作系統(tǒng)的優(yōu)點：具有良好的網(wǎng)絡性能并適合于較大規(guī)模網(wǎng)絡。(2)成本較低。由于使用開放式設計，可以不受特定硬件的限制，因此可以實現(xiàn)多元化，且可以保持最新的技術。(3)可靠性較高。若某臺服務器發(fā)生故障，另一臺服務器可以迅速支持必要的信息傳送。(4)響應時間短。因為工作站端可以分擔服務器的負荷，所以可以得到較快的響應。C/S模式網(wǎng)絡操作系統(tǒng)的缺點：(1)管理較為困難。因為C/S模式屬于分散式管理，所以比集中式復雜，不易統(tǒng)一管理。(2)開發(fā)環(huán)境較為困難。因為C/S模式采用開放標準，允許不同的開發(fā)者相互應用，所以其開發(fā)環(huán)境較難統(tǒng)一。6.2網(wǎng)絡操作系統(tǒng)組成

一種開放式的網(wǎng)絡操作系統(tǒng)必須符合國際上公認的標準。其中，對網(wǎng)絡發(fā)展影響最大的標準首屬開放系統(tǒng)互連（OSI）。在LAN條件下，NOS只涉及OSI參考模型的第3到第7層，第1層和第2層在主板或網(wǎng)絡設備上以固件形式實現(xiàn)，如圖6.5所示。圖6.5OSI模型與NOS的對應關系

NOS由網(wǎng)絡驅動程序、子網(wǎng)協(xié)議和應用層協(xié)議等3個方面組成。NOS通過網(wǎng)絡驅動程序與LAN硬件通信，因此它是作為網(wǎng)卡和子網(wǎng)協(xié)議間的聯(lián)系體來工作的。子網(wǎng)協(xié)議是經(jīng)過網(wǎng)絡發(fā)送應用和系統(tǒng)管理信息所必須的通信協(xié)議。應用層協(xié)議則與子網(wǎng)協(xié)議進行通信，并實現(xiàn)NOS對網(wǎng)絡用戶的服務。1．網(wǎng)絡驅動程序網(wǎng)絡驅動程序涉及OSI的第２層和第３層，是網(wǎng)卡和高層協(xié)議間的橋梁或接口。網(wǎng)絡驅動程序把網(wǎng)卡如何對來自和發(fā)往高層的包所使用的方法進行了屏蔽，使高層不必了解收發(fā)操作的復雜性，而網(wǎng)絡驅動程序本身則必須對網(wǎng)卡的操作有詳細的了解，如網(wǎng)卡上的各種控制寄存器和狀態(tài)寄存器，DMA和I/O端口等。符合LAN標準的網(wǎng)卡，盡管廠商不同，但因為是按照同一標準所生產(chǎn)的，所以必定能夠通過LAN進行通信。由于對標準的具體實現(xiàn)不同，網(wǎng)絡驅動程序也就不同。正因為這樣，網(wǎng)絡集成商對所使用的網(wǎng)卡必須選擇配對的驅動程序，并將所用的網(wǎng)絡驅動程序同NOS集成到一起。

2．子網(wǎng)協(xié)議子網(wǎng)協(xié)議涉及OSI參考模型的第3層、第4層和第5層。第3層（網(wǎng)絡層）建立在數(shù)據(jù)鏈路層提供的點到點連接上。網(wǎng)絡層的主要任務是如何對通信量進行路由選擇，并提供擁塞和流量控制。網(wǎng)絡層的一項重要服務是提供統(tǒng)一的網(wǎng)絡尋址方法，以便令牌環(huán)和Ethernet網(wǎng)絡能理解。在Novell的Netware環(huán)境下，尋址功能由IPX（網(wǎng)際包交換）來提供，它在功能上相應于OSI的網(wǎng)絡層。傳輸層可對網(wǎng)絡層提供的服務進行提高，能確?？煽康臄?shù)據(jù)交付。它借該層具有的校驗機制保證了端到端的數(shù)據(jù)完整。如果低層服務質量不能滿足用戶要求，傳輸層可以彌補。在這種意義下，傳輸層具有緩沖作用。該層的功能在SPX或PXP中實現(xiàn)。會話層提供有序的會話服務，如在會話上可提供會話控制、權標管理和活動管理。會話控制是指對使用全工方式還是半雙工方式進行控制。有些協(xié)議，一次只允許會話一方進行關鍵操作。因此，必須提供一種機制，用以防止雙方同時進行這種操作，這就需要控制。實現(xiàn)這種控制的一種方法就是所謂權標，持有權標的一方可進行此操作。權標在雙方間如何交接便稱為權標管理。

在多數(shù)情況下，第5層的協(xié)議是不需要的。因為通過使用NetBIOS協(xié)議便可實現(xiàn)第5層的功能。子網(wǎng)協(xié)議及其與OSI的關系如圖6.6所示。圖中IPX是網(wǎng)際包交換協(xié)議；SPX是順序包交換協(xié)議；PXP是包交換協(xié)議。這三種協(xié)議引自Xerox公司的XNS（Xerox網(wǎng)絡標準）協(xié)議。圖6.6NOS的子網(wǎng)協(xié)議與OSI的關系

3．應用層協(xié)議應用層協(xié)議最重要的是Netware提供的NCP（NetwareCoreProeocol）。NCP作為應用層的協(xié)議，提供了下述主要功能：在不同方式下打開文件；關閉文件；讀取數(shù)據(jù)塊；將數(shù)據(jù)塊寫入文件；獲取目錄項目表；處理服務器數(shù)據(jù)庫；提供高級連接服務；提供同步操作。從NCP提供的上述主要功能可以看出，NCP是屬于服務協(xié)議，用以控制客戶站和服務器間的交互作用。對此，NCP要在工作站和服務器間建立連接，并在服務器和客戶站間傳送請求和響應。當應用程序請求網(wǎng)絡資源時，該請求便置于NCP報文中，并發(fā)送到服務器進行處理。如果服務器能服務該請求，響應報文再次置于NCP包中并返回到請求的客戶。NCP允許客戶請求范圍廣泛的網(wǎng)絡服務，如文件、打印和命名管理。通過使用NCP，客戶工作站能透明訪問磁盤驅動器、打印機和其它資源，如同在本地一樣。6.3網(wǎng)絡操作系統(tǒng)介紹

作為一個系統(tǒng)軟件，操作系統(tǒng)管理并控制著計算機的軟、硬件資源，并在用戶與計算機之間擔任著重要的橋梁作用。隨著計算機網(wǎng)絡的飛速發(fā)展，在市場上出現(xiàn)了多種網(wǎng)絡操作系統(tǒng)，目前較常見的網(wǎng)絡操作系統(tǒng)主要包括UNIX、Netware、Windows2000Server、Windows2000AdvancedServer、WindowsServer2003等，還有目前發(fā)展勢頭強勁的Linux等。

１．網(wǎng)絡操作系統(tǒng)UNIXUNIX網(wǎng)絡操作系統(tǒng)歷史悠久，其良好的網(wǎng)絡管理功能已經(jīng)為廣大的網(wǎng)絡用戶所接受，且擁有豐富的應用軟件支持。UNIX系統(tǒng)是在美國麻省理工學院1965年開發(fā)的分時操作系統(tǒng)Multics的基礎上不斷演變而來的。它是由美國貝爾實驗室開發(fā)的一種多用戶、多任務的通用操作系統(tǒng)。UNIX系統(tǒng)早期的主要特色是結構簡練、功能強大、多用戶多任務和便于移植，經(jīng)過幾十年的發(fā)展成長，已經(jīng)成為一種成熟的主流操作系統(tǒng)，并在發(fā)展過程中逐步形成了一些新的特色。如可靠性高、極強的伸縮性、強大的網(wǎng)絡功能以及開放性好等特點。UNIX的不足之處在于：對于沒有網(wǎng)絡安裝和維護經(jīng)驗的一般用戶來說，如果在短時間內(nèi)掌握UNIX是非常困難的。目前UNIX的重點是大型的高端網(wǎng)絡應用領域。在一般的中小型局域網(wǎng)中沒有必要使用UNIX，所以UNIX與普通的網(wǎng)絡用戶之間存在著一定的距離，而且這個距離會越來越大，UNIX通常作為網(wǎng)絡高手的選擇。２．Netware網(wǎng)絡操作系統(tǒng)Netware是Novell公司推出的網(wǎng)絡操作系統(tǒng)它在局域網(wǎng)市場上居于主導的地位。在20世紀80年代末到90年代初，隨著微型計算機的大量應用，Novell網(wǎng)曾風靡一時。但近幾年來，由于因特網(wǎng)應用在全球的不斷升溫，大家都希望能在因特網(wǎng)這輛列車上暢游一番，多數(shù)操作系統(tǒng)都把注意力集中在可訪問因特網(wǎng)或網(wǎng)絡互連功能的實現(xiàn)上。而Netware網(wǎng)絡操作系統(tǒng)卻恰恰忽略了這一點，雖然Novell公司在1997年進行了改版，企圖通過內(nèi)聯(lián)網(wǎng)逐漸向因特網(wǎng)靠近，但由于受到windowsNTServer的影響，其市場反應并不顯著。不過，隨著Netware5的推出，Novell的名字重新被大家所接受。

但是，Netware存在于工作站的資源無法直接共享，安裝及管理維護比對等網(wǎng)復雜，多用戶需同時獲取文件及數(shù)據(jù)時會導致網(wǎng)絡效率降低，以及服務器的運算功能沒有得到發(fā)揮等。

３．Windows系統(tǒng)對于這類操作系統(tǒng)，相信用過電腦的人都不會陌生。這是全球最大的開發(fā)商——Microsoft公式開發(fā)研制的。Microsoft公司的Windows系統(tǒng)不僅在個人操作系統(tǒng)中占有絕對優(yōu)勢，在網(wǎng)絡操作系統(tǒng)中也具有非常重要的地位。Windows網(wǎng)絡操作系統(tǒng)在中小型局域網(wǎng)配置中是最常見的，但由于它對服務器的硬件要求較高，且穩(wěn)定性不是很好，所以一般只是用在中低檔服務器中。高端服務器通常采用UNIX、Linux或Solaris等非Windows操作系統(tǒng)。（１）Windows服務器端操作系統(tǒng)Windows2000Server以WindowsNT4.0和Windows95/98為基礎，繼承了原有的優(yōu)點，并增加了許多新的特性和功能，使其在可靠性、可操作性、安全性和網(wǎng)絡功能方面都得到了加強。Windows2000包括Windows2000AdvancedServer和Windows2000DatacenterServer等產(chǎn)品。目前，在局域網(wǎng)中使用較為廣泛的是Windows2000Server和Windows2000AdvancedServer，下面以這兩種操作系統(tǒng)為例，從其網(wǎng)絡應用和功能的角度出發(fā)，介紹與之相關的一些特性。

①Windows2000ServerWindows2000Server是企業(yè)上網(wǎng)的最簡單途徑，Windows2000Server是為滿足各種規(guī)模的企業(yè)需要而設計的，這些企業(yè)包括從集中管理的小型企業(yè)到分散經(jīng)營的大型企業(yè)。Windows2000Server建立在WindowsNT4.0的強大功能基礎之上，它為一個操作系統(tǒng)，可以與基于標準的目錄、Web、應用程序、網(wǎng)絡、文件和打印服務、強大的端對端管理和可靠性集于一身，這種集成為企業(yè)事務與Internet更好地結合提供了最佳基礎。②Windows2000AdvancedServer建立于Windows2000Server系列技術集成基礎上的Windows2000AdvancedServer提供高級的對稱處理支持、集群和負載平衡技術，使用戶可以運行更多開銷龐大的電子上網(wǎng)和業(yè)務應用程序。

（2）網(wǎng)絡操作系統(tǒng)新秀WindowsServer2003WindowsServer2003系列沿用了WindowsServer2000的先進技術，并且更易于部署、管理和使用。客戶需要的所有對業(yè)務至關重要的功能，WindowsServer2003中全部包括，如安全性、可靠性、可用性和可伸縮性等。此外，Microsoft已經(jīng)改善和擴展了WindowsServer操作系統(tǒng)，使用戶能夠體驗到M（用于連接信息、人、系統(tǒng)和設備的軟件）的好處。（3）Windows客戶端操作系統(tǒng)①Windows2000ProfessionalWindows2000Professional是Windows95/98的標準升級版本。它不僅使用方便，可靠性也很高。無論是在一個單獨的計算機上運行，還是將系統(tǒng)作為萬維網(wǎng)的一部分，Windows2000Professional都能夠加強客戶機計算能力，而且降低操作成本。②WindowsXPProfessionalWindowsXPProfessional也是Windows操作系統(tǒng)的新版本，是為各種規(guī)模的企業(yè)設計的，也適用于個人用戶。WindowsXPProfessional在Windows2000堅實的基礎之上構建，其可靠性、安全性、性能和易用性均得到了改進，為高效可靠的計算建立了新的標準。

４．自由軟件Linux如今“Linux熱”席卷全球，大有與Windows一爭高下之勢。實際上，Linux是UNIX操作系統(tǒng)的一個克隆，可以免費使用，Linux包含了所有人們期望操作系統(tǒng)擁有的特性，不僅僅有UNIX的而且有任何一個操作系統(tǒng)所擁有的功能，包括真正的多任務、虛擬內(nèi)存、世界上最快的TCP/IP驅動程序、共享庫和理所當然的多用戶支持。與Windows不同，Linux完全在保護的模式下運行，并全面支持32位和64位多任務處理。6.4Windows2000系統(tǒng)6.4.1Windows2000的組成與特點Windows2000是微軟公司開發(fā)的新一代操作系統(tǒng)，它提供了一個具有強大功能、容易使用、高效率、集中管理、保密措施完善、自動修復等功能的理想網(wǎng)絡操作系統(tǒng)。另外，它與Internet充分集成，使得在Windows2000下實現(xiàn)企業(yè)網(wǎng)Intranet更加容易。其操作簡單，硬件和軟件具有良好的兼容性，系統(tǒng)更加健壯，并支持活動目錄、磁盤配額和終端服務等功能。1．Windows2000系列簡介Windows2000系列軟件包括4個版本：Windows2000Professional；Windows2000Server；Windows2000AdvancedServer；Windows2000DatacenterServer。這些操作系統(tǒng)分別應用于不同的場合。

(1)Windows2000Professional這是為各種桌面計算機和便攜式計算機開發(fā)的操作系統(tǒng)，它繼承了WindowsNT的先進技術，提供了高層次的安全性和穩(wěn)定性。同時，其視窗操作可使用戶更加容易地使用計算機、安裝和配置系統(tǒng)。而對于計算機和網(wǎng)絡系統(tǒng)管理員而言，Windows2000Professional是一個更具有可管理性的桌面系統(tǒng)。無論是部署、管理或是為它提供技術支持都更加容易，它可以支持2個CPU和4GB的內(nèi)存。

(2)Windows2000Server這是為服務器開發(fā)的多用途的操作系統(tǒng)，可為部門工作組或中小型企業(yè)、公司用戶提供文件、打印、應用軟件、Web和通信等各種服務，是一個性能更好、更加穩(wěn)定、更容易管理的網(wǎng)絡操作系統(tǒng)平臺。它最多能支持4個CPU與4GB的內(nèi)存。(3)Windows2000AdvancedServer它除了具備Windows2000Server的所有功能和特征外，還有一些專為大型的企業(yè)服務器所設計的特性，特別適合于公司內(nèi)部的重要數(shù)據(jù)網(wǎng)絡。它最多能支持8個CPU與8GB的內(nèi)存。

(4)Windows2000DatacenterServer它除了具備Windows2000AdvancedServer所有的功能和特征外，還在處理大量數(shù)據(jù)的功能上進行最優(yōu)化處理，因此它適合于處理大量數(shù)據(jù)的服務器使用。它最多可支持32個CPU與64GB內(nèi)存。6.4.2Windows2000網(wǎng)絡類型Windows2000支持兩種網(wǎng)絡類型：域和工作組。域為集中式的管理模式，適用于較大型的網(wǎng)絡；工作組結構為分布式的管理模式，適用于小型網(wǎng)絡。1.域結構的Windows2000網(wǎng)絡域是由若干通過網(wǎng)絡連接在一起的計算機組成，它將計算機內(nèi)的資源(如文件夾與打印機)共享給其他用戶訪問。它與工作組模式不同，域內(nèi)的所有計算機共享一個集中式的目錄數(shù)據(jù)庫，它包括了整個域內(nèi)的用戶帳戶與安全數(shù)據(jù)。一旦在該目錄數(shù)據(jù)庫中建立了某個用戶帳戶，就可以從域中的任何一臺工作站上登錄域，訪問網(wǎng)絡資源。在Windows2000內(nèi)負責目錄服務的組件為活動目錄(ActiveDirectory)，而目錄數(shù)據(jù)庫就是ActiveDirectory的數(shù)據(jù)庫。要形成域結構的Windows2000網(wǎng)絡，就要建立一個目錄數(shù)據(jù)庫。而這個目錄數(shù)據(jù)庫只有在運行Windows2000Server的計算機上才能建立，只有Windows2000Server才可以充當所謂的“域控制器”，而Windows2000Professional不能作為服務器。在域結構的Windows2000網(wǎng)絡內(nèi)充當服務器或工作站的可以有以下一些計算機：

(1)域控制器只有Windows2000Server才可以充當域控制器的角色。在較大的網(wǎng)絡中，可以有多臺域控制器，每臺域控制器的地位都是平等的，它們各存一份相同的ActiveDirectory。當網(wǎng)絡管理員在任何一臺域控制器上建立一個用戶帳戶后，此用戶帳戶會在一定的時間內(nèi)自動復制到其他的域控制器上，以實現(xiàn)數(shù)據(jù)的同步。當用戶從域上的某一臺計算機上登錄時，就會由其中的任一臺域控制器負責審核該用戶的帳戶與密碼。多域控制器的好處在于可提供容錯功能，如果某一臺域控制器出現(xiàn)故障，則其他的域控制器仍可提供服務。另外，多域控制器還可以改善用戶登錄的效率，因為多臺服務器可以分擔審核用戶登錄身份的負擔。(2)成員服務器非域控制器的其他Windows2000Server都可以是成員服務器。成員服務器內(nèi)沒有ActiveDirectory的數(shù)據(jù)，因此它也不負責審核“域”的用戶帳戶名稱與密碼。如果一臺Windows2000Server沒有加入域，則被稱之為“獨立服務器”，一旦加入域就成為“成員服務器”。但是，不論是獨立服務器還是成員服務器，其中都有一個本地安全數(shù)據(jù)庫，用來審核登錄“本地”的用戶身份。(3)其他計算機域內(nèi)還可以有安裝Windows2000Professional或WindowsNTWorkstation等系統(tǒng)的計算機，用戶可以利用這些計算機上網(wǎng)并訪問網(wǎng)絡上的資源。裝有Windows2000Server、Windows2000Professional、WindowsNTServer或WindowsNTWorkstation等系統(tǒng)的計算機必須加入域，才能夠在這些計算機上利用域上的帳戶登錄；而裝有Windows95、Windows98等系統(tǒng)的計算機不需要加入域，它們不屬于Windows2000域控制器管理的計算機，但它們可以登錄到域，并且使用Windows2000網(wǎng)絡中的資源。2.工作組結構的Windows2000網(wǎng)絡

可以利用Windows2000將網(wǎng)絡設置成工作組的結構。工作組由若干用網(wǎng)絡連接在一起的計算機組成，它們將計算機內(nèi)的資源(例如文件夾與打印機)共享給網(wǎng)絡上的其他用戶訪問。在這種網(wǎng)絡結構上每臺計算機的地位都是平等的，它們的資源與管理分散在網(wǎng)絡內(nèi)的各臺計算機上，所以工作組網(wǎng)絡也被稱為“對等式”網(wǎng)絡。

在工作組結構的網(wǎng)絡中，每臺計算機都有自己的本地安全數(shù)據(jù)庫(Windows95、Windows98除外)，如果某一用戶要能夠在每臺計算機上都能登錄到本地，則必須在每臺計算機的本地安全數(shù)據(jù)庫內(nèi)建立該用戶的帳戶。例如，用戶USER1要能在任何一臺計算機上登錄，則必須在每臺計算機的本地安全數(shù)據(jù)庫內(nèi)建立USER1這個帳戶。因此，當用戶的帳號數(shù)據(jù)有所更改時(例如，改變密碼)，就必須將每臺計算機上的帳戶數(shù)據(jù)都進行更新在工件組網(wǎng)絡上不一定需要有Windows2000Server，只要是按裝了Windows2000Professional、WindowsNTWorkstation、Windows98(Windows98計算機內(nèi)并沒有“本地安全數(shù)據(jù)庫”)等系統(tǒng)的計算機，就可以構建一個工作組結構的網(wǎng)絡。如果網(wǎng)絡中計算機數(shù)量不多(例如，少于10臺計算機)，則適合采用工作組結構的網(wǎng)絡。若計算機數(shù)量眾多，所有的用戶又要在所有的計算機上都能登錄到本地，那么工作組模式下建立用戶帳戶這項工作就是非常龐大的。在這種情況下只能使用域結構的Windows2000網(wǎng)絡。

6.4.3Windows2000Server的安裝1.

硬件設備的需求為了確保充分發(fā)揮操作系統(tǒng)的性能，安裝Windows2000Server的計算機必須符合以下最低硬件要求：(1)133MHz或更高的Pentium兼容的CPU，每臺計算機最多支持4個CPU。(2)至少有256MB的RAM(最小支持128MB；最大支持4GB)。(3)2GB的硬盤，至少有1.0GB的可用空間(如果是通過網(wǎng)絡進行安裝，將需要額外的硬盤空間)。需要的硬件空間應根據(jù)下面的情況而定

(4)VGA或更高分辨率的顯示器。(5)外圍設備，如鍵盤、鼠標、光驅等，從網(wǎng)絡安裝需要網(wǎng)卡和網(wǎng)絡設備等。1.

2.硬件兼容性清單Windows2000雖然支持7000種以上的硬件設備，而且在安裝時能夠自動檢測硬件設備的兼容性，但為了能夠安裝成功，用戶還是要事先確定使用的硬件是否是Windows2000的兼容設備。Windows2000在安裝盤中提供了兼容硬件列表：Windows2000安裝盤\support\Hcl.txt，里面列出了許多兼容設備。如果用戶的設備不在該列表中，但設備生產(chǎn)廠商提供了Windows2000的驅動程序，則可以在安裝過程中以“第三方驅動程序”的方式提供給安裝程序。如果要取得最新的HCL數(shù)據(jù)，則請到/hwtest/hcl/站點查找。

1.

3.文件系統(tǒng)Windows2000在安裝時要求用戶確定Windows2000所使用的文件系統(tǒng)，Windows2000支持以下兩種文件系統(tǒng)：(1)FAT/FAT32FAT/FAT32是微軟公司的Windows98以前的版本所直接支持的文件系統(tǒng)。在Windows2000中也支持FAT/FAT32的文件系統(tǒng)，WindowsNT只支持FAT。安裝時將啟動分區(qū)格式化為FAT或FAT32的優(yōu)點是可在一臺計算機上安裝多操作系統(tǒng)。

(2)NTFSNTFS有很多FAT/FAT32所沒有的功能，例如權限設置、文件壓縮、數(shù)據(jù)加密、資源訪問的審核等，因此Windows2000建議用戶使用NTFS文件系統(tǒng)。不過，Windows2000的NTFS(5.0)只有Windows2000才支持，它與以前的WindowsNT內(nèi)的NTFS是不同的，它有一些新的功能，例如支持ActiveDirectory、磁盤限額等功能。如果將Windows2000設置成域模式，則域控制器的文件系統(tǒng)必須是NTFS。但是Windows95/98、DOS等操作系統(tǒng)不支持NTFS，因此這些操作系統(tǒng)啟動后，將無法訪問這臺計算機中的NTFS磁盤分區(qū)中的數(shù)據(jù)。

4.安裝過程（略）

6.4.4活動目錄管理Windows2000安裝完成后，這臺服務器并沒有形成域控制器，要成為域模式并對網(wǎng)絡資源進行有效的管理，還必須對它進行必要的設置和管理。Windows2000所提供的活動目錄（ActiveDirectory）就是將網(wǎng)絡中的各種網(wǎng)絡設備、網(wǎng)絡服務、網(wǎng)絡賬號等資源集中管理的系統(tǒng)工具。另外，要使服務器上的文件資源更加安全有效地為用戶提供服務，還必須對文件和目錄權限進行管理。

1.活動目錄簡介活動目錄(ActiveDirectory)是一種目錄服務，它存儲有關網(wǎng)絡對象的信息，例如用戶、組、計算機帳號、共享資源和打印機等，并可以使管理員及用戶方便地查找和使用網(wǎng)絡信息?；顒幽夸浀母拍钤赪indowsNT4.0中已有所體現(xiàn)，在Windows2000中得到了進一步的應用和發(fā)展，使其更具有可擴展性和可調整性，并將結構化數(shù)據(jù)存儲作為目錄信息邏輯和分層組織的基礎。

域是Windows2000目錄服務的基本管理單位，它的最大優(yōu)點在于單一網(wǎng)絡登錄能力，任何一個用戶只要在域中有一個帳號，就可以漫游整個網(wǎng)絡，而且不用理會所訪問的資源位于何地?；顒幽夸浄瞻延蚣毞殖山M織單位，組織是一個邏輯單位，它是域中一些用戶、組帳戶、文件與打印機等資源對象的集合。組織單位還可以再劃分下級組織單位，并且下級組織單位能夠繼承父單位的訪問許可權。每一個組織單位中還可以有自己的管理員并指定其管理權限，從而實現(xiàn)了對資源和用戶的分級管理?；顒幽夸浄胀ㄟ^這種域內(nèi)的組織單位樹和域之間的可傳遞信任樹來組織信任對象，為動態(tài)活動目錄的管理和擴展帶來極大方便。這樣，在Windows2000網(wǎng)絡中，一個域能夠輕松地管理上萬個對象。Windows2000活動目錄的另一大特點就是與Internet的結合，它把DNS(域名服務系統(tǒng))作為其定位服務。為了克服DNS不易管理的缺點，Windows2000將DNS與其特有的DHCP(動態(tài)主機配置協(xié)議)和WINS(WindowsInternetNameService)緊密配合起來，從而使DNS管理變得易于操作

活動目錄的優(yōu)點概括如下：(1)基于策略的管理活動目錄的應用提高了組策略的可用性。組策略對象使網(wǎng)絡管理員只管理少量的策略而不是大量的用戶和計算機，通過活動目錄，可將組策略應用于環(huán)境中，而不管其是整個單位還是單位中的特定部門。(2)信息復制當在域中有多個域控制器時，對目錄數(shù)據(jù)庫所做的更改將復制到所有Windows2000域內(nèi)的控制器中，每個域控制器的目錄數(shù)據(jù)都保持同步。在一個域中使用多個域控制器可提供容錯和加載平衡等功能，如果在域中有一個域控制器服務停止或失敗，同一個域中的其他服務器可提供必要的目錄訪問，因為它們包含著相同的目錄數(shù)據(jù)。(3)與DNS集成活動目錄使用DNS，很容易將主機名稱轉換為IP地址。這樣就可以在TCP/IP網(wǎng)絡上直接使用計算機主機名稱進行網(wǎng)絡連接

(4)靈活的查詢用戶和管理員可根據(jù)對象屬性(如姓、名、E-mail地址、辦公室位置或用戶帳戶等)快速查找網(wǎng)絡上的對象。

(5)擴展性活動目錄可進行擴展，這意味著管理員可將新的對象類添加到規(guī)劃中，而且可將新的屬性添加到已有的對象類中。(6)可調整性活動目錄可包含一個或多個域，每個域都有一個或多個域控制器，這使得管理員可以調整目錄以滿足任何網(wǎng)絡的要求。2.活動目錄安裝如果要將Windows2000的網(wǎng)絡設置為域模式，則網(wǎng)絡上必須有域控制器存在。域控制器是通過活動目錄來提供目錄服務的，因此要形成域模式，就要先安裝活動目錄。

在安裝Windows2000Server時，系統(tǒng)并沒有安裝活動目錄，若網(wǎng)絡中沒有其他域控制器，可將獨立服務器或成員服務器配置為新的域控制器。在這里，將在域中創(chuàng)建一個域控制器(這也是安裝活動目錄的過程)，其操作步驟如下：(1)在安裝Windows2000Server完成后，登錄并自動啟動的第一個窗口就是“配置服務器”對話框?；蛘咭来芜x擇“開始→程序→管理工具→配置服務器”選項，也可以打開“Windows2000配置服務器”對話框，如圖6.18所示。單擊左邊的“ActiveDirectory”，并選擇右下方的“啟動ActiveDirectory向導”。圖6.18ActiveDirectory安裝向導

(2)當出現(xiàn)“ActiveDirectory安裝向導”對話框時，單擊“下一步”按鈕。出現(xiàn)對話框，如圖6.19所示。

圖6.19選擇域控制器類型

(3)在“域控制器類型”窗口有兩個選項：“新域的域控制器”和“現(xiàn)有域的額外域控制器”。因為我們要創(chuàng)建一個新域，所以選擇第一項“新域的域控制器”，然后單擊“下一步”按鈕，出現(xiàn)對話框，如圖6.20所示。圖6.20創(chuàng)建目錄樹或子域

(4)在“創(chuàng)建目錄樹或子域”窗口中，選擇“創(chuàng)建一個新的域目錄樹”，然后單擊“下一步”按鈕，出現(xiàn)對話框，如圖6.21所示。

圖6.21創(chuàng)建或加入目錄林

(5)在“創(chuàng)建或加入目錄林”窗口中，選擇“創(chuàng)建新的域目錄林”，然后單擊“下一步”按鈕，出現(xiàn)對話框，如圖6.22所示。

圖6.22創(chuàng)建新的域名

(6)在“新的域名”對話框中，在“新域的DNS全名”框中，輸入在Internet上注冊的DNS全名。單擊“下一步”按鈕繼續(xù)，出現(xiàn)對話框，如圖6.23所示。

圖6.23輸入NetBIOS域名

(7)在“NetBIOS域名”對話框中的“域NetBIOS名”文本框中，輸入一個域名，這是供早期的Windows版本(如Windows98)用戶來識別新域的。單擊“下一步”按鈕。出現(xiàn)對話框，如圖6.24所示。圖6.24指定數(shù)據(jù)庫和日志文件位置

(8)在“數(shù)據(jù)庫和日志文件位置”對話框?！皵?shù)據(jù)庫位置”和“日志位置”框中顯示當前系統(tǒng)默認的文件保存位置，也可以單擊“瀏覽”按鈕選擇其他的保存位置。完成后單擊“下一步”按鈕，出現(xiàn)對話框，如圖6.25所示。圖6.25指定共享的系統(tǒng)卷位置

(9)在“共享的系統(tǒng)卷”對話框中，Windows2000Server中，Sysvol文件夾是用來存放公用文件的服務器副本的，它的內(nèi)容會復制到域中所有的域控制器上。在此文本框中顯示的是系統(tǒng)默認存放的位置，可以單擊“瀏覽”按鈕改變系統(tǒng)默認的存放位置。單擊“下一步”按鈕，出現(xiàn)對話框，如圖6.26所示。

圖6.26選擇安裝和配置DNS

(10)系統(tǒng)自動檢測在服務器上是否安裝了DNS服務器，若沒有安裝，系統(tǒng)將提示用戶安裝并配置DNS服務器。系統(tǒng)推薦用戶在安裝ActiveDirectory時就安裝和配置DNS服務器，在這里我們將DNS服務器也安裝在這臺域控制器上，選擇“是，在這臺計算機上安裝和配置DNS”，單擊“下一步”按鈕，出現(xiàn)對話框，如圖6.27所示。圖6.27為用戶和組對象選擇默認的權限

(11)在“權限”對話框中，系統(tǒng)讓用戶選擇服務器程序是否與Windows2000以前的版本相兼容。在這里我們選擇“與Windows2000服務器之前的版本相兼容的權限”，然后單擊“下一步”按鈕，出現(xiàn)對話框，如圖6.28所示。

圖6.28目錄服務恢復模式的管理員密碼

(12)在“目錄服務恢復模式的管理員密碼”對話框中，輸入用于修復目錄時所用的密碼。輸入完成后單擊“下一步”按鈕，出現(xiàn)摘要窗口。(13)“摘要”窗口主要內(nèi)容為用戶剛才在安裝ActiveDirectory時的一些配置信息。如果用戶認為這些配置不正確，還可以單擊“上一步”按鈕去更改，否則確認以上信息，單擊“下一步”按鈕，系統(tǒng)開始配置并保存ActiveDirectory。(14)經(jīng)過幾分鐘之后，配置完成，單擊“完成”按鈕。系統(tǒng)要求重新啟動計算機，重新啟動計算機后活動目錄即會生效。

3.活動目錄使用(1)“ActiveDirectory用戶和計算機”控制器臺的使用“ActiveDirectory用戶和計算機”控制器臺是用于管理活動目錄的工具，它可以用于增加、修改、管理Windows2000域用戶和計算機帳戶，組織單位和組等對象，并可在活動目錄上發(fā)布和管理資源。依次選擇“開始→程序→管理工具→ActiveDirectory用戶和計算機”選項，即可打開

“ActiveDirectory用戶和計算機”控制器臺窗口，如圖6.29所示。圖6.29ActiveDirectory用戶和計算機

用鼠標單擊左邊窗口中的域目錄樹，可以展開域節(jié)點。如果是新安裝的域控制器，文件夾的缺省顯示是：①Builtin：內(nèi)置的本地組。②Computers：計算機。③DomainControllers：域控制器。④Users：內(nèi)置的全局組。⑤ForeignSecurityPrincipals：外部安全控制者。當用戶安裝了域控制器以后，在Builtin和Users文件夾下可以看到系統(tǒng)內(nèi)置的組，這些都是安全組，操作系統(tǒng)已經(jīng)給了這些組不同的權限。用戶可以利用內(nèi)置的組來規(guī)劃網(wǎng)絡，也可以修改和創(chuàng)建自己的組。在Builtin文件夾中，內(nèi)置的是本地組，如圖6.30所示。圖6.30內(nèi)置的本地組

其中的名稱及權限如下。①AccountOperators：帳戶成員，可以管理域用戶和組帳戶。②Administrators：管理員，對計算機或域有完全控制權。③BackupOperators：備份組成員，只能用備份工具將文件備份到計算機上。④Guests：來賓組成員，只能操作計算機并保存文檔，而不能進行安裝程序和改變系統(tǒng)設置等其他操作。⑤Pre-Windows2000CompatibleAccess：允許訪問在域中所有用戶和組的讀取訪問反向兼容組。

⑥PrintOperators：打印成員，可以管理域打印機。⑦Replicator：復制成員，可以在域中進行文件復制。⑧ServerOperators：服務操作成員，可以管理域服務器。⑨Users：普通用戶，可以操作計算機并保存文檔，但不能安裝程序和改變系統(tǒng)設置等可能對系統(tǒng)有破壞性的操作，不能運行大多數(shù)繼承性應用程序。

在User文件夾中，內(nèi)置的全局組，如圖6.31所示。

圖6.31內(nèi)置的全局組

各組的名稱及權限如下。①CertPublishers：企業(yè)認證和續(xù)辦代理。②DomainAdmins：指定的域管理員。③DnsAdmins：DNS管理員組。④DnsUpdateproxy：允許替其它客戶(如DHCP服務器)執(zhí)行動態(tài)更新的DNS用戶。⑤DomainComputers：加入域中的所有工作站和服務器。⑥DomainControllers：域中的所有域控制器。⑦DomainGuests：域中的所有來賓。⑧EnterpriseAdmins：企業(yè)指定的系統(tǒng)管理員。⑨GroupPolicyAdmins：組成員可以修改域的組策略。⑩Schema

Admins：架構的指定系統(tǒng)管理員。

(2)組織單位管理在Windows2000中為了方便管理，在活動目錄中可以把域再細分為組織單位。組織單位是一個ActiveDirectory的容器，其中可以包含用戶、組、計算機、文件與打印機等資源。在組織單位中還可以再劃分下級組織單位，組織單位具有繼承性，子單位可以繼承父單位的訪問權。每個組織單位中都可以有自己的管理員并具有相應的管理權限，從而實現(xiàn)了對資源和用戶的分級管理。①添加組織單位。在域中添加組織單位時，用戶必須有域管理員權限。打開“ActiveDirectory用戶和計算機”控制器臺窗口，在控制臺目錄樹中，雙擊域名以展開節(jié)點，右擊域節(jié)點，從彈出的菜單中依次選擇“新建→組織單位”命令，打開“新建對象–組織單位”對話框，如所圖6.32所示。在“名稱”文本框中，輸入組織單位的名稱，然后單擊“確定”按鈕，即可完成組織單位的創(chuàng)建。

圖6.32新建組織單位

②設置組織單位屬性。通過設置組織單位的屬性，可以指定組織單位的常規(guī)屬性，還可為組織單位創(chuàng)建組策略，這樣可以使管理者更為方便地管理組織單位。設置組織單位屬性按照以下步驟進行：第一步，打開“ActiveDirectory用戶和計算機”窗口，在控制臺目錄樹中，雙擊域節(jié)點，右擊要設置屬性的組織單位，從彈出的菜單中，選擇“屬性”命令，打開該組織單位的屬性對話框，如圖6.33所示。

圖6.33打開組織單位的屬性

在“常規(guī)”選項卡中的“描述”、“國家”、“省/自治區(qū)”等框中分別輸入組織單位的相應信息，如圖6.34所示。

圖6.34常規(guī)選項卡

選擇“管理者”選項卡，在如圖6.35所示的“管理者”選項卡中，單擊“更改”按鈕，在出現(xiàn)的“選擇用戶或聯(lián)系人”對話框中，選擇一個用戶作為管理者?？梢詥螕簟安榭础卑粹o，來修改管理者的屬性。如果要清除管理者，單擊“清除”按鈕即可。

圖6.35管理者選項卡

選擇“組策略”標簽，打開如圖6.36所示的“組策略”選項卡。要新建一個策略對象，請單擊“新建”按鈕，在“名稱”文本框中輸入策略名稱，然后單擊“編輯”按鈕，就會打開“組策略”窗口，如圖6.37所示

圖6.36組策略選項卡

圖6.37設置策略

在“組策略”窗口中，管理員可對創(chuàng)建的組策略進行編輯，主要包括計算機和用戶配置兩個方面。編輯完畢，可單擊“關閉”按鈕保存所做的設置。③刪除組織單位。當不再使用域中某個組織單位時，域管理員可以將其刪除。刪除后組織單位中的用戶、計算機及打印機等資源也隨之同時被刪除。打開“ActiveDirectory用戶和計算機”控制器臺窗口，在控制臺目錄樹中，雙擊以展開域節(jié)點，右擊要刪除的組織單位，從彈出的菜單中選擇“刪除”命令，在出現(xiàn)的確認框中，單擊“是”按鈕，即可刪除該組織單位。

(3)用戶和組的管理每一個要登錄網(wǎng)絡的用戶都必須被授予一個在域中惟一的帳號名稱，稱之為“用戶帳戶”。帳戶中包含有用戶的名稱、密碼、用戶權限、所屬的組等數(shù)據(jù)。在Windows2000中為了管理用戶的方便，我們可以將相同屬性的多個用戶規(guī)劃到一個組中，使這些用戶成為該組的成員，然后通過賦予該組的權限，來使組中的每個成員都獲得相應的權限。或是在添加用戶時，只要將用戶加入某個組，該用戶就會擁有此組所有的權限，而不用再為單個用戶分別進行設置。用戶和組的管理都是通過“ActiveDirectory用戶和計算機”來管理的。Windows2000所支持的用戶帳戶分為域用戶帳戶和本地用戶帳戶。域用戶帳戶只能建立在域控制器的ActiveDirectory數(shù)據(jù)庫內(nèi)。用戶可以利用域用戶帳戶來登錄域，并利用它來訪問網(wǎng)絡資源。本地用戶帳戶建立在非域控制器的Windows2000計算機的本地安全數(shù)據(jù)庫內(nèi)，這些計算機包括Windows2000獨立服務器、Windows2000的成員服務器或Windows2000Professional等。用戶可以用本地用戶帳戶來登錄此計算機，但不能登錄域，在登錄本臺計算機后只能訪問本機資源，而不能訪問Windows2000網(wǎng)絡上的資源。①用戶帳戶的建立。域用戶帳戶和本地用戶帳戶可以分別在域控制器上和其他非域控制器的計算機上建立?，F(xiàn)在以域用戶帳戶的建立為例講解建立過程，本地用戶帳戶的建立過程與之相似。在建立用戶帳戶時，可以選擇一個組織單位，以便將用戶帳戶建立到此組織單位內(nèi)?？梢詫艚⒃趦?nèi)置的組Users內(nèi)或其他自行建立的組織單位內(nèi)

域用戶帳戶建立的步驟如下：以管理員身份登錄域控制器，選擇“開始→程序→管理工具→ActiveDirectory用戶和計算機”選項，從控制臺窗口中展開域節(jié)點，右擊組織單位名稱，從彈出的菜單中，選擇“新建→用戶”命令，出現(xiàn)對話框，如圖6.38所示。在對話框中輸入相應的內(nèi)容。注意：在“用戶登錄名”一欄中輸入的是用戶用來登錄域所使用的名稱(不能使用中文)，在活動目錄內(nèi)這個名稱必須是惟一的。

圖6.38創(chuàng)建用戶

單擊“下一步”按鈕，將出現(xiàn)如圖6.39所示的對話框，在“密碼”框中輸入用戶帳戶的密碼并確認一次。其余選項含義如下：

圖6.39設置密碼“用戶下次登錄時須更改密碼”是為了確保只有該用戶才知道自己的密碼，此選項強迫用戶在下次登錄時(也就是該用戶第一次登錄網(wǎng)絡)必須更改密碼?！坝脩舨荒芨拿艽a”可以防止用戶更改自己的密碼?！懊艽a永不過期”被選擇后，系統(tǒng)永遠不會要求用戶更改自己的密碼。若同時設置了“用戶下次登錄時須更改密碼”項，則以“密碼永不過期”作為設置。“帳戶已停用”表示禁止該帳戶登錄。

單擊“下一步”按鈕后，系統(tǒng)顯示出用戶帳戶信息。單擊“完成”按鈕，完成用戶帳戶的創(chuàng)建。

②域用戶帳戶的管理。用戶帳戶建立后，管理員可以根據(jù)需要對其進行管理。依次選擇“開始→程序→管理工具→ActiveDirectory用戶和計算機”選項，打開“ActiveDirectory用戶和計算機”對話框，選定用戶并單擊右鍵，打開如圖6.40所示的快捷菜單，選擇相應的命令來管理域用戶帳戶，從而可以對用戶帳戶進行“復制”、“刪除”、“重命名”等操作。

圖6.40域用戶帳戶的管理

要設置域用戶帳戶的屬性，請選擇“屬性”命令，它包括了用戶的個人信息、帳戶信息等選項：用戶個人信息設置。在用戶屬性對話框中，在“常規(guī)”選項卡中，設置或更改用戶的姓、名、顯示名稱、辦公室、電話號碼等信息；在“地址”選項卡中，設置國家(地區(qū))、省/自治區(qū)、縣市、街道、郵政編碼等信息；在“電話”選項卡中，設置家庭電話、尋呼機、移動電話、傳真等信息；在“單位”選項卡中設置職務、部門、公司、經(jīng)理和直接下屬等信息，如圖6.41所示。將用戶的這些信息輸入完整后，就可以通過這些信息在活動目錄中查找用戶，例如，可通過電子郵件來查找用戶。

圖6.41輸入單位信息

帳戶信息設置。選擇“帳戶”選項卡，如圖6.42所示。

圖6.42設置帳戶信息

在“帳戶”選項卡的右下角為“帳戶過期”的設置：管理員可以選擇此用戶帳戶為“永不過期”，也可以設置“在這之后”的某個時間到期?！暗卿洉r間”設置是用來規(guī)定用戶登錄到域的時間段，系統(tǒng)默認用戶在任何時間都可以登錄到域。要修改用戶的登錄時間可單擊圖6.42中的“登錄時間”按鈕，出現(xiàn)對話框，如圖6.43所示。

圖6.43設置登錄時段

③組的管理。在Windows2000網(wǎng)絡中，通過組對網(wǎng)絡中的多個對象的管理，可以簡化管理程序，提高管理員的工作效率。組是ActiveDirectory或本地計算機的對象，它可以包含用戶、計算機以及其他組。組可以用來管理用戶和計算機對共享資源的訪問，例如ActiveDirectory對象及其屬性、網(wǎng)絡共享位置、文件、目錄、打印機隊列等，還可以篩選策略。還可以將具有相同權限的用戶規(guī)劃到一個組中，使這些用戶成為該組的成員，然后通過賦予該組的權限來使其中的每一個成員都具有相應的權限。下面簡要介紹組的類型、作用域和組的添加與管理等內(nèi)容。

組的類型。在Windows2000中組有兩種類型：安全式和分布式。安全式組可以用來設置權限，簡化網(wǎng)絡的維護和管理。例如，可以設置某個安全組對某個資源具備“讀取”的權限。分布式組只能用在與安全(權限設置等)無關的任務上，分布式組不能進行權限設置。

組的作用域。在Windows2000域內(nèi)，有三類不同的作用域：全局、本地域和通用。全局組只能包含該組所屬的域內(nèi)的用戶帳戶與全局組，另外全局組可以訪問任何一個域內(nèi)的資源，也就是說全局組可以訪問該域的信任域。本地域組主要用來設置其在所屬域內(nèi)的訪問權限，以便可以訪問該域內(nèi)的資源。它可以包含任何一個域內(nèi)的用戶帳戶、通用組、全局組，也能夠包含本域內(nèi)的本地域組。另外，本地域組只能夠訪問本域內(nèi)的資源，無法訪問其他不同域內(nèi)的資源，這也是全局組和本地域組的最大區(qū)別。通用組主要用來設置在所有域內(nèi)的訪問權限。通用組內(nèi)成員能夠包含任何一個域內(nèi)的用戶帳戶、通用組、全局組，并且通用組可以訪問任何一個域內(nèi)的資源。

組的添加及管理。組的添加可以依次選擇“開始→程序→管理工具→ActiveDirectory用戶和計算機”選項，打開“ActiveDirectory用戶和計算機”對話框，來添加、刪除和管理組。6.5Windows2000網(wǎng)絡互聯(lián)6.5.1Windows2000域控制器的設置在網(wǎng)絡上的每臺計算機之間或是計算機與其他網(wǎng)絡設備之間，通信協(xié)議是進行通信的必要條件。Windows2000所支持的通信協(xié)議主要有以下四種：①TCP/IP(TransmissionControlProtocol/InternetProtocol)。它是實現(xiàn)網(wǎng)絡互連的核心,是目前最完整、被廣泛支持的通信協(xié)議，可讓不同網(wǎng)絡結構的、不同操作系統(tǒng)的計算機之間相互溝通。而且它也是Internet的標準通信協(xié)議，是Windows2000域所必須采用的通信協(xié)議。

②NetBEUI(NetBIOSExtendedUserInterface)。它是一個體積小、效率高、速度快且占用內(nèi)存小的通信協(xié)議。但是，如要將其使用在廣域網(wǎng)(WAN)中的話，其效率卻是非常令人失望的，因為它無法被路由到其他網(wǎng)絡區(qū)段。該協(xié)議特別適用于小型網(wǎng)絡。③DLC(DataLinkControl)協(xié)議。這是為了讓Windows2000計算機可與IBM的大型計算機連接，也可用于配備網(wǎng)卡接口的設備能夠相互通信。但此協(xié)議不適合于PC與PC之間的通信協(xié)議。④NWLinkIPX/SPX兼容協(xié)議。此協(xié)議可以使Windows2000的計算機訪問NovellNetWare網(wǎng)絡上的文件及打印機等資源。

下面，以TCP/IP協(xié)議為例，介紹如果進行網(wǎng)絡通信設置。要使用TCP/IP協(xié)議與工作站進行通信，除了安裝此協(xié)議以外，還要進行必要的設置。在Wind/ows2000域控制器上設置TCP/IP協(xié)議可按以下步驟進行：(1)依次選擇“開始→設置→網(wǎng)絡和撥號連接”選項，在彈出的對話框中，用鼠標右鍵單擊“本地連接”，并從彈出的菜單中，選擇“屬性”命令，彈出如圖6.49所示。

圖6.49本地連接屬性對話框

(2)在對話框中，雙擊“Internet協(xié)議(TCP/IP)”選項，彈出如圖6.50所示的對話框。

圖6.50設置IP地址

(3)在設置IP地址時，可以有以下兩個選擇：①自動獲得IP地址。此選項用于網(wǎng)絡上有DHCP服務器的環(huán)境，Windows2000計算機會自動向DHCP服務器索取IP地址。②使用下面的IP地址。如果網(wǎng)絡中沒有DHCP服務器，則可手工輸入IP地址、子網(wǎng)掩碼、默認網(wǎng)關等數(shù)據(jù)。在這里我們使用固定IP地址，比如可輸入IP地址為，子網(wǎng)掩碼為。Windows2000所支持的其他協(xié)議都有其不同的用途，設置也很簡單，用戶可以根據(jù)網(wǎng)絡的需要安裝不同的協(xié)議。(4)設置完“Internet協(xié)議(TCP/IP)”屬性后，可單擊“確定”按鈕，退出設置，然后在主界面窗口中，單擊“確定”按鈕，使設置生效。

6.5.2從Windows98登錄網(wǎng)絡通過介紹Windows98工作站登錄到Windows2000網(wǎng)絡為例。操作步驟如下。(1)添加網(wǎng)絡適配器(網(wǎng)卡)如果網(wǎng)卡支持即插即用(PnP)，且計算機的主板也支持PnP，則網(wǎng)卡會被自動檢測，并安裝在系統(tǒng)中，不需要手工設置。在Windows98中系統(tǒng)自動安裝網(wǎng)卡時，可能需要用戶提供的只是網(wǎng)卡的驅動程序，用戶給出網(wǎng)卡廠商提供的驅動程序的路徑即可。安裝好的網(wǎng)卡可通過如下操作看到：依次選擇“開始→設置→控制面板”選項，在打開的“控制面板”窗口中，雙擊“網(wǎng)絡”圖標，打開如圖6.51所示的“網(wǎng)絡”窗口。圖中“RealtekRTL8139(A/B/C/8130)PCIFastEthernetNIC”即為系統(tǒng)中安裝好的RTL8139的網(wǎng)絡適配器。

圖6.51網(wǎng)絡對話框

(2)添加、設置通信協(xié)議當添加了網(wǎng)卡以后，系統(tǒng)已經(jīng)自動把一些常用的協(xié)議添加了進來。如果協(xié)議沒有自動添加，可按以下操作進行添加：單擊“添加”按鈕，打開如圖6.52所示的“選擇網(wǎng)絡組件類型”窗口。

選擇所要添加的網(wǎng)絡組件類型，如“協(xié)議”，單擊“添加”按鈕，出現(xiàn)如圖6.53所示的“選擇網(wǎng)絡協(xié)議”對話框。然后選擇所要添加的協(xié)議，單擊“確定”按鈕即可。如要添加多個協(xié)議可重復以上操作。

圖6.53選擇網(wǎng)絡協(xié)議

(3)添加、設置網(wǎng)絡用戶網(wǎng)絡用戶實際上是一種軟件，它使得用戶可以和網(wǎng)絡上其他計算機一樣能夠共享文件和打印機。如網(wǎng)絡協(xié)議相同，在添加網(wǎng)卡后，Microsoft網(wǎng)絡用戶和NetWare網(wǎng)絡用戶均已被直接安裝了。若用戶還需要添加其他網(wǎng)絡用戶，可參照添加網(wǎng)絡協(xié)議的操作完成。設置網(wǎng)絡用戶可使Windows98計算機能夠登錄Windows2000域。雙擊圖6.51中的“Microsoft網(wǎng)絡用戶”，打開如圖6.54所示的“Microsoft網(wǎng)絡用戶屬性”對話框。選中“登錄到WindowsNT域”單選框，并在下方的文本框中輸入要登錄的Windows2000域的名稱。

圖6.54設置登錄域

(4)設置計算機標識單擊圖6.51中的“標識”選項卡，打開如圖6.55所示的“標識”對話框，給出計算機名稱(網(wǎng)上鄰居上顯示的名稱，不應與其他計算機重名)和工作組名稱，且工作組的名稱應與要加入的Windows2000域同名。否則，盡管用戶可以使用域中的資源，但它們卻屬于不同的域。

圖6.55設置計算機標識

（5）設置文件和打印機共享

為了使其他用戶能夠使用本計算機上的文件和