Windows2003域共享发布网络资源.docxVIP

共享网络资源Windows Server 2003的Active Directory可以用来存储网络对象的信息，提供快速的信息检索，并提供安全机制来控制对Active Directory中的信息的访问。本次课程将介绍如何利用Active Directory来进行共享网络资源的发布和管理，以及用户如何在网络上方便快速地查找这此资源。其中将重点介绍共享文件夹和打印机的发布。一、网络资源发布概述网络资源的发布是以Active Directory为基础，首先在Active Directory中创建一个要发布的资源对象，并设置及相应的属性，这样用户就可以通过Active Directory很方便地搜索这些资源。1、发布对象和共享资源的比较在发布对象（如文件共享文件夹和打印机）时，要理解在Active Directory中发布的对象和实际的共享资源是不同的，认识这些不同有助于解决用户在访问发布资源时出现的问题。在Active Directory中发布的对象与它所代表的共享资源完全无关。当在Active Directory中发布打印机或共享文件夹时，存在两个完全不同的对象：共享的文件夹或打印机、发布的对象。发布的对象包含对共享资源位置的引用。当用户访问发布的对象时，Windows Server 2003操作系统会自动将用户重定向到共享的资源位置。因为共享资源和引用此共享资源的发布对象是两个不同的对象，所以每个对象都有自己的自由访问控制列表（Discretionary Access Control List，DACL）。下面来说明一下两者的不同。（1）用于共享资源上的DACL对于共享资源上的DACL是用来控制共享资源的访问的。例如，对共享打印机可以用DACL来控制打印机的打印权限和管理权限，如下图所示。其所有设置都是在共享打印机的属性中设置。（2）用于Active Directory中发布对象的DACLActive Directory中发布对象的DACL用来控制发布对象的属性权限，用户至少拥有对该对象的“读取”权限，才能够在网络上查看发布的对象，或者访问该对象对应的共享资源（由共享资源的DACL决定），如下图所示的打印机发布对象的属性。用户或许可以看到已经发布的对象（这个权限是由该对象的DACL控制），但不一定可以访问对应的共享资源（这取决于共享资源上的DACL）。2、用组来管理对对象和资源的访问将资源访问需求相似的账户组合到一个用户组中，然后对整个用户组来进行授权，这种方式简化了对用户的授权和管理。常用的对象管理策略有两种形式：组计划策略和扩展组计划策略。（1）组计划策略将用户账户（A）添加到全局组（G）中，然后将全局组添加到本地域组（DL）中，再将发布对象或资源的权限（P）授予本地域组，即为AGDLP。AGDLP策略降低了访问授权的复杂性，同时提供了更好的设置灵活性。例如说明。（2）扩展组计划策略在本地模式环境中部署多个域时，当“组类型”为通讯组时，用户可以创建“通用”组作用域。这时可以使用通用组来扩展AGDLP。将用户账户（A）放入全局组（G）中，并将全局组添加到通用组（U）中，然后将通用组放入本地域组（DL）中，再对本地域组授权（P）。这样的AGUDLP策略减少了本地域组中的账户数目。二、文件夹的共享与发布在Active Directory中可以发布的任何用UNC（Universal Naming Convention，通用命名约定）名称的共享文件夹。运行Windows 2000以上版本的计算机可以在Active Directory中找到代表共享文件夹的对象，然后连接到该共享文件夹上。在发布共享文件夹之后，还可以为共享文件夹定义关键字和描述。如果有必要的话，还可将共享文件夹移动到组织单位中。1、发布共享文件夹用户可以Active Directory中发布任何共享的网络文件夹。由于在Active Directory中创建共享文件夹对象时，并不自动共享该文件夹。因此在Active Directory中发布共享文件夹要分两个步骤：先共享文件夹，然后再进行发布。（1）添加共享文件夹。参考本教材的第4章内容。（2）打开“管理工具”中的“Active Directory用户和计算机”。（3）在控制台树中展开域节点，找到需要创建共享文件夹对象的容器。（4）鼠标右键单击该容器，在弹出的菜单中选择“新建”—“共享文件夹”。打开“新建对象—共享文件夹”对话框，如图所示。（5）在“名称”文本框中输入想指派给该共享文件夹对象的名称。在“网络路径”文本框中用UNC形式输入要在Active Directory中发布的共享文件夹的名称。注意：此处的网络路径一定要用“\\完全合格域名\共享文件夹名”的形式填写。（6）单击“确定”，在Active Directory中