共享網(wǎng)絡(luò)資源Windows Server 2003的Active Directory可以用來存儲網(wǎng)絡(luò)對象的信息，提供快速的信息檢索，并提供安全機制來控制對Active Directory中的信息的訪問

共享網(wǎng)絡(luò)資源

Windows Server 2003的Active Directory可以用來存儲網(wǎng)絡(luò)對象的信息，提供快速的信息檢索，并提供安全機制來控制對Active Directory中的信息的訪問。本次課程將介紹如何利用Active Directory來進行共享網(wǎng)絡(luò)資源的發(fā)布和管理，以及用戶如何在網(wǎng)絡(luò)上方便快速地查找這此資源。其中將重點介紹共享文件夾和打印機的發(fā)布。

一、網(wǎng)絡(luò)資源發(fā)布概述

網(wǎng)絡(luò)資源的發(fā)布是以Active Directory 為基礎(chǔ)，首先在Active Directory 中創(chuàng)建一個要發(fā)布的資源對象，并設(shè)置及相應(yīng)的屬性，這樣用戶就可以通過Active Directory很方便地搜索這些資源。

1、發(fā)布對象和共享資源的比較

在發(fā)布對象（如文件共享文件夾和打印機）時，要理解在Active Directory中發(fā)布的對象和實際的共享資源是不同的，認識這些不同有助于解決用戶在訪問發(fā)布資源時出現(xiàn)的問題。

在Active Directory 中發(fā)布的對象與它所代表的共享資源完全無關(guān)。當在Active Directory 中發(fā)布打印機或共享文件夾時，存在兩個完全不同的對象：共享的文件夾或打印機、發(fā)布的對象。發(fā)布的對象包含對共享資源位置的引用。當用戶訪問發(fā)布的對象時，Windows Server 2003操作系統(tǒng)會自動將用戶重定向到共享的資源位置。

因為共享資源和引用此共享資源的發(fā)布對象是兩個不同的對象，所以每個對象都有自己的自由訪問控制列表（Discretionary Access Control List，DACL ）。下面來說明一下兩者的不同。

（1）用于共享資源上的DACL

對于共享資源上的DACL 是用來控制共享資源的訪問的。例如，對共享打印機可以用DACL 來控制打印機的打印權(quán)限和管理權(quán)限，如下圖所示。

其所有設(shè)置都是在共享打印機的屬性中設(shè)置。

（2）用于Active Directory中發(fā)布對象的DACL

Active Directory 中發(fā)布對象的DACL 用來控制發(fā)布對象的屬性權(quán)限，用戶至少擁有對該對象的“讀取”權(quán)限，才能夠在網(wǎng)絡(luò)上查看發(fā)布的對象，或者訪問該對象對應(yīng)的共享資源（由共享資源的DACL 決定），如下圖所示的打印機發(fā)布對象的屬性。

用戶或許可以看到已經(jīng)發(fā)布的對象（這個權(quán)限是由該對象的DACL 控制），但不一定可以訪問對應(yīng)的共享資源（這取決于共享資源上的DACL ）。

2、用組來管理對對象和資源的訪問

將資源訪問需求相似的賬戶組合到一個用戶組中，然后對整個用戶組來進行授權(quán)，這種方式簡化了對用戶的授權(quán)和管理。常用的對象管理策略有兩種形式：組計劃策略和擴展組計劃策略。

（1）組計劃策略

將用戶賬戶（A ）添加到全局組（G ）中，然后將全局組添加到本地域組（DL ）中，再將發(fā)布對象或資源的權(quán)限（P ）授予本地域組，即為AGDLP 。AGDLP 策略降低了訪問授權(quán)的復(fù)雜性，同時提供了更好的設(shè)置靈活性。

例如說明。

（2）擴展組計劃策略

在本地模式環(huán)境中部署多個域時，當“組類型”為通訊組時，用戶可以創(chuàng)建“通用”組作用域。這時可以使用通用組來擴展AGDLP 。

將用戶賬戶（A ）放入全局組（G ）中，并將全局組添加到通用組（U ）中，然后將通用組放入本地域組（DL ）中，再對本地域組授權(quán)（P ）。這樣的AGUDLP 策略減少了本地域組中的賬戶數(shù)目。

二、文件夾的共享與發(fā)布

在Active Directory中可以發(fā)布的任何用UNC （Universal Naming Convention，通用命名約定）名稱的共享文件夾。運行Windows 2000以上版本的計算機可以在Active Directory 中找到代表共享文件夾的對象，然后連接到該共享文件夾上。在發(fā)布共享文件夾之后，還可以為共享文件夾定義關(guān)鍵字和描述。如果有必要的話，還可將共享文件夾移動到組織單位中。

1、發(fā)布共享文件夾

用戶可以Active Directory 中發(fā)布任何共享的網(wǎng)絡(luò)文件夾。由于在Active Directory 中創(chuàng)建共享文件夾對象時，并不自動共享該文件夾。因此在Active Directory中發(fā)布共享文件夾要分兩個步驟：先共享文件夾，然后再進行發(fā)布。

（1）添加共享文件夾。參考本教材的第4章內(nèi)容。

（2）打開“管理工具”中的“Active Directory用戶和計算機”。

（3）在控制臺樹中展開域節(jié)點，找到需要創(chuàng)建共享文件夾對象的容器。

（4）鼠標右鍵單擊該容器，在彈出的菜單中選擇“新建”—“共享文件夾”

。打開“新建對象—共享文

件夾”對話框，如圖所示。

（5）在“名稱”文本框中輸入想指派給該共享文件夾對象的名稱。在“網(wǎng)絡(luò)路徑”文本框中用UNC 形式輸入要在Active Directory中發(fā)布的共享文件夾的名稱。

注意：此處的網(wǎng)絡(luò)路徑一定要用“完全合格域名共享文件夾名”的形式填寫。

（6）單擊“確定”，在Active Directory中將出現(xiàn)新的共享文件夾對象。

2、 管理發(fā)布的共享文件夾

在共享文件夾被發(fā)布之后，管理員可以根據(jù)客戶需要改變對已發(fā)布的共享文件夾的設(shè)置。例如，為共享文件夾對象加入描述信息和關(guān)鍵字，以方便對共享文件夾的查找。對已發(fā)布的共享文件夾對象通?？梢詧?zhí)行以下操作：添加關(guān)鍵字、打開共享文件夾和移動共享文件夾。

（1）添加關(guān)鍵字

在發(fā)布共享文件夾之后，可以為共享文件夾對象添加描述和關(guān)鍵字以方便搜索。描述可以提供共享文件夾的詳細信息，如它的內(nèi)容描述。關(guān)鍵字是一串字符，可以用它來定義共享文件夾對象，也可以用來搜索共享文件夾。（演示具體操作過程）

（2）移動已發(fā)布的共享文件夾

在共享文件夾發(fā)布以后，可以將發(fā)布的文件夾移動到其他容量和組織單位中。要移動已發(fā)布的共享文件夾對象，需要在Active Directory中移動包含共享文件夾信息或引用的共享文件夾對象。移動已發(fā)布的共享文件夾對象的位置不會影響共享文件夾的物理位置。

（演示操作過程）

（3）打開共享文件夾

在“Active Directory用戶和計算機”中, 右擊共享文件夾對象，然后單擊“打開”。

3、監(jiān)視對共享文件夾的訪問

可以通過監(jiān)視共享文件夾來確定當前有多少用戶連接到這些文件夾，也可以通過監(jiān)視打開的文件以確定哪些用戶正在訪問這些文件。同時可以根據(jù)需要斷開一個或多個用戶與打開文件的連接。

（1）設(shè)置共享文件夾管理單元

在Windows Server 2003中，可以使用“計算機管理”控制臺來監(jiān)視和管理本地及遠程計算機上的共享資源。“計算機管理”控制臺還能用于查看共享資源的相關(guān)信息和執(zhí)行管理任務(wù)，例如，修改共享資源的權(quán)限，確定當前正在訪問共享資源的用戶數(shù)等。

在“計算機管理”控制臺中有一個“共享文件夾”的管理單元，它使用戶能夠方便地對網(wǎng)絡(luò)進行操作，包括對網(wǎng)絡(luò)資源的訪問進行控制，對網(wǎng)絡(luò)共享進行配置，以及對用戶發(fā)送的消息進行監(jiān)視。

“共享文件夾”

作為“計算機管理”控制臺的一個組成部分，也可以將其作為單獨的管理單元來操作。

（演示操作過程）

（2）監(jiān)視共享文件夾

使用“共享文件夾”管理單元中的“共享”文件夾可以查看計算機上所有共享文件的列表，并可以用于確定每個文件夾有多少用戶進行連接，另外還可以確定是否已經(jīng)到達了允許訪問共享文件夾的最大用戶數(shù)。如果達到了最大連接用戶數(shù)，將導(dǎo)致新的用戶無法進行連接。

用戶也可以利用“共享”文件夾來啟用和停止共享、設(shè)置共享文件夾的共享權(quán)限，以及是否在Active directory 中發(fā)布。

“共享”文件夾列表如圖所示。

選擇共享文件夾，單擊鼠標右鍵，在彈出的菜單中用戶可以選擇“停止共享”，停止當前共享的文件夾。也可以選擇“屬性”菜單，設(shè)置共享權(quán)限和確定是否在Active directory中發(fā)布。

（3）監(jiān)視用戶會話

管理員可以利用“會話”文件夾監(jiān)視連接到服務(wù)器上的用戶情況。在“會話”文件夾中，管理員可以了解哪些用戶連接到服務(wù)器上，是從哪臺計算機訪問服務(wù)器的，打開了幾個文件，以及連接到服務(wù)器多長時間等信息。管理員可以根據(jù)網(wǎng)絡(luò)連接情況關(guān)閉會話?！皶挕鼻闆r信息如圖所示。

三、設(shè)置和管理已發(fā)布的打印機

在Windows Server 2003網(wǎng)絡(luò)環(huán)境中，在域控制器或域中的成員計算機安裝了打印服務(wù)器后，如果同時共享此打印機，則默認情況下都會自動在Active Directory中發(fā)布。在域中的成員可以利用打印機設(shè)置的屬性，方便地在域中搜索不同位置的打印機。

1、打印機發(fā)布介紹

當在Windows Server 2003

網(wǎng)絡(luò)環(huán)境中創(chuàng)建打印機時，如果共享了該打印機，則系統(tǒng)會默認地將打印機

集成到Active Directory中，并且在Active Directory中自動發(fā)布打印機。在Active Directory中的打印機對象也被稱為打印隊列。在Active Directory中可以方便地修改打印機的默認設(shè)置和屬性。

已經(jīng)發(fā)布了的打印機具有以下屬性：

◆ 在Active Directory 中，任何擁有域賬戶并且運行Windows 2000 Professional 以上操作系統(tǒng)的計算機，在安裝了共享的后，共享打印機都會在Active directory 中發(fā)布。要在Active Directory 中發(fā)布打印機，管理員只要安裝并共享該打印機即可。

◆ 網(wǎng)絡(luò)中的打印服務(wù)器被刪除，則在Active Directory 中發(fā)布的打印機也將會被自動刪除。這樣可以避免用戶訪問網(wǎng)絡(luò)上已不存在的打印機。

◆ 每個打印服務(wù)器負責在Active Directory 中發(fā)布它自己的打印機。域控制器不會在網(wǎng)絡(luò)上搜索需要發(fā)布的打印機。當共享打印機時，該共享打印機的服務(wù)器將聯(lián)系域控制器并請求在Active Directory中發(fā)布該打印機。在Active Directory中不對發(fā)布的打印機進行集中控制管理。

◆ 在配置或修改打印機屬性時，Windows Server 2003操作系統(tǒng)會自動在Active Directory中更新已發(fā)布的打印機對象的屬性。

2、管理打印機發(fā)布

當在域中運行Windows 2000以上版本的計算機上安裝和共享打印機時，Windows Server 2003會自動地在Active Directory中發(fā)布該打印機。

（1）實現(xiàn)打印機發(fā)布

在域服務(wù)器或域中的成員計算機上安裝并共享打印機時，演示操作過程，如圖所示。

（2）查看Active Directory中的打印機對象

打印機發(fā)布后，相應(yīng)的打印機對象保存在Active Directory中的打印服務(wù)器所在的計算機對象中?？梢栽贏ctive Directory 中查看打印機對象。要查看已經(jīng)發(fā)布的打印機對象，可以通過以下步驟實現(xiàn)：（演示操作過程）

如圖所示。

（3）控制打印機發(fā)布

在打印機屬性的“共享”選項卡上，可以使用“列在目錄中”復(fù)選框來控制打印機的自動發(fā)布?！傲性谀夸浿小睆?fù)選框默認是被選中的，因此用“添加打印機”向?qū)砑哟蛴C時，打印機會自動在Active Directory 中發(fā)布。

而在有些情況下，管理員或許不需要在Active Directory中自動地發(fā)布打印機，避免其他用戶查看或使用這些打印機。一般可以使用以下方法控制打印機的發(fā)布。

（1）如果不想發(fā)布打印機，但在安裝時選擇了共享打印機，那么在安裝后可以在打印機的屬性對話框中的“共享”選項卡下，清除“列在目錄中”復(fù)選框。如果清除了已發(fā)布打印機的“列在目錄中”復(fù)選框，則該打印機不會在Active Directory中發(fā)布。

（2）可以使用“組策略”來控制發(fā)布打印機的默認行為。打開“組策略”控制臺，如圖所示。

展開“本地計算機策略”樹，在“計算機配置”—“管理模板”—“打印機”的右邊屬性窗口中，禁用“自動在Active Directory上發(fā)布新的打印機”屬性，則禁用打印機自動發(fā)布。

（4）管理孤立打印機

在默認情況下，如果發(fā)布打印機的計算機不響應(yīng)聯(lián)系請求，域控制器上的修剪服務(wù)則從Active Directory 中修剪打印機對象。發(fā)布打印機的計算機重新啟動時，它會重新發(fā)布已被刪除的打印機對象。然而在某些情況下，例如，打印服務(wù)器被重建或關(guān)閉時，雖然沒有刪除打印機，但該打印機同樣不再可用。在這些情況下，Active Directory必須刪除這些孤立的打印機對象。Active Directory用運行在每個域控制器上的打印機修剪服務(wù)來刪除這些孤立打印機。

3、管理已發(fā)布的打印機

管理打印機包括移動打印機、連接網(wǎng)絡(luò)上的打印機和修改打印機隊列對象的屬性等。在

Active

Directory 中發(fā)布打印機后，用戶和企業(yè)的打印機需求也許會改變。這也就要求管理員能夠配置打印機，使打印機適應(yīng)企業(yè)的各種需求。

要管理已發(fā)布的打印機，可以將安裝在多臺計算機上已發(fā)布的相關(guān)打印機移到一個組織單位中。通過將打印機移動到同一個組織單位中，管理員可以在該組織單位上對所有的打印機進行設(shè)置和管理。對一些常用的共同的屬性在組織單位上設(shè)置即可，可以極大地減少管理員的工作量。

（1）移動打印機對象

（2）在Active Directory中定位打印機對象

（3）管理打印機對象

四、實現(xiàn)打印機定位

在Windows Server 2003的網(wǎng)絡(luò)環(huán)境中，使用打印機定位可以讓用戶了解打印機在網(wǎng)絡(luò)中的具體位置，以方便用戶使用打印機。

1、打印機定位的要求

在實現(xiàn)打印機定位之前，Windows Server 2003網(wǎng)絡(luò)環(huán)境必須滿足以下要求：

（1）配置至少包含一個站點和一個相關(guān)IP 子網(wǎng)的Active Directory 網(wǎng)絡(luò)。因為IP 子網(wǎng)是用來識別打印機位置的。只有在同一個網(wǎng)絡(luò)IP 地址或IP 子網(wǎng)中才能假定所有打印機都駐留在同一位置上。

（2）具有一個與網(wǎng)絡(luò)的地理布局相符合的IP 尋址方式。使得駐留在相同IP 子網(wǎng)上的計算機和打印機也駐留在相同的物理位置上。

（3）每個站點都有一個子網(wǎng)對象。子網(wǎng)對象代表了Active Directory中的IP 子網(wǎng)，它包含了搜索打印機時用到的“位置”屬性?！拔恢谩钡膶傩灾涤脕矶ㄎ获v留于用戶附近位置的打印機。

（4）客戶端計算機可以搜索Active Directory?？蛻舳擞嬎銠C操作系統(tǒng)應(yīng)為Windows 2000或更高版本，或者配置有Active Directory客戶端的計算機用戶，否則不能夠在搜索打印機時使用打印機定位。

2、定義位置名稱

要較好地實現(xiàn)打印機的定位，必須為打印機的位置定義一個符合網(wǎng)絡(luò)拓撲結(jié)構(gòu)的命名規(guī)則。之后可以使用這個命名規(guī)則來為子網(wǎng)對象和打印機對象確定“位置”屬性的值。這些打印機位置名稱必須與IP 子網(wǎng)相符合。

打印機的位置命名必須使用以下形式的格式來表示：

name/name/name/??

每個名稱（name ）的最大長度為32個字符；整個位置名稱的最大長度為260字符。

下面用一個實例來說明如何為打印機位置名稱定義命名規(guī)則。

國內(nèi)某集團公司在北京、上海、南京都有辦公室（與Windows Server 2003中的站點相對應(yīng)）。集團的IP 地址方案與辦公室的地理位置以及大樓和樓層等位置都有聯(lián)系。在北京、上海、南京的辦公大樓每層都有自己的子網(wǎng)。每個站點都對應(yīng)于Active Directory特定的子網(wǎng)對象。

因此，本例可用如下命名規(guī)則：

◆ 頂層節(jié)點是城市名

◆ 下一層節(jié)點是樓層名

◆ 再下一層為房間號

如果有必要還可以根據(jù)網(wǎng)絡(luò)的復(fù)雜程度，提供更多的層次結(jié)構(gòu)。下表給出了本例的位置名稱和相應(yīng)的IP 子網(wǎng)。

位置名稱和相應(yīng)的IP 子網(wǎng)關(guān)系表

在設(shè)置打印機位置屬性的參數(shù)時，可以給“位置名稱”添加更多的層次以進一步標識打印機的位置。

3、配置打印機定位

要實現(xiàn)打印機定位功能，需要執(zhí)行以下操作：

（1）使用“組策略”來啟用打印機位置跟蹤。

在沒有啟用打印機位置跟蹤時，用戶在搜索打印機時，必須手動輸入打印機的位置或其它參數(shù)。例如，“名稱”、“位置”、“型號”等。用戶必須了解打印機的一些參數(shù)值，才能夠在Active Directory中查找打印機，使用不是非常方便?！安檎掖蛴C”的對話框如圖所示。

而當管理員設(shè)置并啟用了打印機位置跟蹤后，用戶在Active Directory 中搜索打印機時，“位置”文本框后面出現(xiàn)“瀏覽”按鈕，用戶可以使用“瀏覽”位置對話框，查找需要訪問的打印機。此時的“查找打印機”對話框如圖所示。

要使用打印機位置跟蹤，必須在“組策略”中啟用打印機位置跟蹤。啟用方法是：

①打開“本地計算機組策略”控制臺；

②展開“計算機配置”中的管理模板，打開“打印機”；

③在右側(cè)的設(shè)置窗口中雙擊“預(yù)設(shè)打印機搜索位置文本”，選擇“已啟用”，單擊“確定”。即可啟用打印機位置跟蹤功能。

（2）在Active Directory中創(chuàng)建子網(wǎng)對象

如果子網(wǎng)對象不存在，則要使用“Active Directory站點和服務(wù)”創(chuàng)建站點和子網(wǎng)，子網(wǎng)名稱的格式為“IP 地址/活動位”。方法是在“Subnets ”上單擊鼠標右鍵，在彈出的菜單中選擇“新建子網(wǎng)”，在“新

建對象—子網(wǎng)”對話框中設(shè)置子網(wǎng)及為此子網(wǎng)選擇站點對象。

（3）為子網(wǎng)對象設(shè)置“位置”屬性。

使用為打印機定義的命名規(guī)則來設(shè)置此屬性的值。若要為子網(wǎng)對象設(shè)置“位置”屬性，可以使用以下方法：

①在“Active Directory站點和服務(wù)”窗口中右鍵單擊子網(wǎng)對象，單擊“屬性”。

②單擊位置選項卡，輸入與子網(wǎng)對象相對應(yīng)的位置名稱，如圖所示。

③然后單擊“確定”按鈕，如果在已經(jīng)啟用了打印機位置跟蹤，則可以使用“瀏覽”按鈕瀏覽打印機位置，而不需要輸入整個位置字符串。

（4）為打印機設(shè)置“位置”屬性

處于某一個IP 子網(wǎng)中的打印機，必須將“位置”屬性添加到打印機屬性中，并使打印機使用與子網(wǎng)對象相同的位置名稱。為打印機設(shè)置“位置”屬性，可以使用以下操作方法：

①在“Active Directory用戶和計算機”中，選擇相應(yīng)的打印機對象。

②右擊打印機對象，選擇“屬性”對話框。

③在“常規(guī)”選項卡中的“位置”文本框中輸入打印機位置名稱，然后單擊“確定”，如圖9.15所示。

在安裝新的打印機時，可以用“添加打印機向?qū)А眮碇付ā拔恢谩睂傩浴?/p>

（5）搜索打印機

配置完成打印機定位之后，用戶就可以非常方便地在網(wǎng)絡(luò)中查找自己需要的打印機。具體操作方法如下： ①在“開始”菜單上單擊“搜索”，并選擇“打印機”。

②此時在“位置”文本框已經(jīng)被預(yù)填充。

③選擇需要搜索打印機的位置，單擊“查找”。

④在搜索結(jié)果窗口中列出了所有指定位置的打印機。

⑤用戶可以根據(jù)需要選擇相應(yīng)的打印機，并可完成連接打印等操作。

五、維護打印機資源

為保證網(wǎng)絡(luò)中的客戶端都能夠正常地使用打印機，管理員必須根據(jù)網(wǎng)絡(luò)環(huán)境中客戶端的情況，安裝相應(yīng)的打印機驅(qū)動程序。同時對打印機使用過程中出現(xiàn)的各種問題，都要能夠為用戶提供一個好的解決方案。及時排除故障，保證打印工作的順利完成。

1、安裝打印機驅(qū)動程序

對于不同的打印機，在正常使用之前都必須安裝驅(qū)動程序，而且對于在不同的操作系統(tǒng)上使用的打印機還需要安裝相應(yīng)版本的驅(qū)動程序。

（1）運行Windows 的客戶端計算機

Windows Server 2003域控制器提供的打印機驅(qū)動程序支持Windows 95、Windows98及其以上的操作系統(tǒng)。但在Active Directory 中發(fā)布的打印機默認只有Windows 2000以上的操作系統(tǒng)的驅(qū)動程序。其他驅(qū)動程序需要管理員手動添加，方法是在打印機的“屬性”的“共享”選項卡中選擇“其他驅(qū)動程序”，在其中選擇所有選項，如圖所示。

這樣在運行Windows95以上操作的Microsoft 客戶端搜索到打印機以后，只要單擊鼠標右鍵，選擇“連接”，計算機將會自動從服務(wù)器上下載合適的打印機驅(qū)動程序并安裝。

（2）運行其他操作系統(tǒng)的客戶端計算機

如果客戶端使用的是較早版本的Microsoft 操作系統(tǒng)，那么用戶在客戶端必須手動安裝打印機驅(qū)動程序。如果用戶使用的是非Microsoft 操作系統(tǒng)，則用戶也必須手動安裝打印機驅(qū)動程序。另外，還必須在打印服務(wù)器上安裝打印服務(wù)。

六、案例分析

1．某企業(yè)網(wǎng)絡(luò)管理員根據(jù)部門的要求，在Active Directory

中發(fā)布一個共享文件夾，并且在共享文件