急......,文本文件的操作(要能控制读写权力)

Buckley 2000-07-04 11:33:00
我要打开一个文本文件(.doc/.txt/其他)
对于.doc,IE自动打开内嵌的word
但对于.txt,IE只能显示内容
我现在要实现
1.对于.txt能够进行修改
2.可以控制被打开文件的的读写权力
...全文
61 1 打赏 收藏 转发到动态 举报
写回复
用AI写文章
1 条回复
切换为时间正序
请发表友善的回复…
发表回复
hiphis 2000-07-04
  • 打赏
  • 举报
回复
参考下面这个计数器吧(如果满意不要忘了给分)


十分美妙,图形计数器实例

<% dim visitors
countfile=server.mappath("images/count.txt")
Set fs=CreateObject("Scripting.FileSystemObject")
Set thisfile=fs.OpenTextFile(countfile)
visitors=thisfile.readline
thisfile.close
countlen=len(visitors)
for i=1 to 5-countlen
response.write"<img src=images/0.jpg alt=图形计数器>"
next
for i=1 to countlen
response.write"<img src=images/" & mid(visitors,i,1) & ".jpg alt=图形计数器>"
next
visitors=visitors+1
Set thisfile=fs.CreateTextFile(countfile)
thisfile.WriteLine(visitors)
thisfile.close
set fs=nothing%>


请把此程序存在你宿主目录下,起名 count.asp
在你的宿主目录下建立 images 目录,用 photoshop
设计十个代表 0--9 的小图片,起名为:0.jpg ,1.jpg
.....9.jpg,存到 images 目录下。
在 images 目录下建立count.txt文件,文件中放任一
数字。
Linux 操作系统基础教程 清华大学信息学院计算机系 目 录 前言..................................................................................................................................................2 第一讲 Linux基础...........................................................................................................................2 一.什么是Linux?.................................................................................................................2 二.安装Linux的好处?.........................................................................................................3 三.如何得到Linux?.............................................................................................................3 四.如何得到Linux的最新消息?.........................................................................................3 五.Linux操作系统上有什么应用?.....................................................................................4 六.在那里可以找到讨论区?..............................................................................................5 七.安装过程..........................................................................................................................5 第二讲 Linux基础进阶...................................................................................................................5 一.Linux的文件系统结构.....................................................................................................6 二. 文件类型...........................................................................................................................7 三.Linux基本操作命令............................................................................................................8 四.基本的系统管理命令.......................................................................................................14 五.关於 Process 处理的指令...............................................................................................16 六. 关於字串处理的指令.....................................................................................................17 七. 网路上查询状况的指令.................................................................................................17 八. 网路指令.........................................................................................................................18 九. 关於通讯用的指令.........................................................................................................21 十. 编译器( Compiler )..........................................................................................................22 十一. 有关列印的指令.........................................................................................................22 第三讲 Linux下的网络服务,配置问题和常用工具.................................................................24 一.Linux下的网络服务.......................................................................................................24 二.几种重要的配置文件.......................................................................................................26 三.Linux下常用的工具软件..................................................................................................28 尾语................................................................................................................................................31 前言 Linux 是在 1991 年发展起来的与 UNIX兼容的操作系统,可以免费使用,它的源代码 可以自由传播且可任人修改、充实、发展,开发者的初衷是要共同创造一个完美、理想并 可以免费使用的操作系统。 我们并不能使同学们通过这次系列讲座成为一个 UNIX 类操作系统的高手,这次系列 讲座的目的就是在同学们中间普及 Linux 基础知识,为今后我们更加接近的了解 Linux 做一 个好的开端。 第一讲 Linux基础 在这一讲中,我们主要是了解一下 Linux 的概况,以及对 Linux 有一个初步的感性认识。 一.什么是Linux? Linux 是一个以 Intel 系列 CPU(CYRIX,AMD 的 CPU也可以)为硬件平台,完全免费的 UNIX 兼容系统,完全适用于个人的 PC。它本身就是一个完整的 32 位的多用户多任务操作 系统,因此不需要先安装 DOS 或其他的操作系统(MS Windows, OS2, MINIX..)就可以进 行直接的安装。 Linux的最早起源是在1991年10月5日由一位芬兰的大学生Linux Torvalds (Torvalds@kruuna.helsinki.fi)写了 Linux核心程序的 0.02 版开始的,但其后的发展却几乎都 是由互联网上的 Linux社团(Linux Community)互通交流而完成的。Linux 不属于任何一 家公司或个人,任何人都可以免费取得甚至修改它的源代码(source code)。Linux 上的大部 分软件都是由 GNU倡导发展起来的,所以软件通常都会在附着 GNU Public License(GPL) 的情况下被自由传播。GPL 是一种可以使你免费获得自由软件的许可证,因此 Linux 使用 者的使用活动基本不受限制(只要你不将它用于商业目的),而不必像使用微软产品是那样, 2需要为购满许可证付出高价还要受到系统安装数量的限制。我在讲义的最后面附有 GPL 的 非官方中文译稿。目前 Linux 中国的发行版本(Linux Distribution)主要有 Red Hat (红帽子) , Slackware, Caldera, Debian, Red Flag (红旗) , Blue Point (蓝点) , Xteam Linux (冲浪) , Happy Linux(幸福Linux), Xlinux 等若干种,我推荐同学们使用的发行版本是 Red Hat(事实标 准)和 Xlinux(安装最容易)。 二.安装Linux的好处? Linux的核心具有 Windows 无法比拟的稳定性和高效率,在不使用 X Windows 的情况 下,它占用系统资源较少,可以使一台 Intel486摇身一变成为高效工作站。对于想要学习 UNIX的用户来说,使他们熟悉 UNIX 操作环境,通往"骨灰级"高手境界的一大捷径。最重 要的是,Linux 上有公认的 C 语言世界最好的编译器 gcc,如果你想得到一个效率更高的开 发环境(并不一定是最友好的,但一定是最强大的),我建议你一定要好好的熟悉一下 Linux。 三.如何得到Linux? 据我所知,大多数的 Linux 发行版本(Linux distribution)和核心(Kernel)都是可以 从网上下载的,但是我不推荐易用这种方法得到 Linux,因为仅仅核心就有几十个 Mbit 的 数据量,而一个完整的发行版本大概都是 1Gbit 左右的数据量,你自己可以估计一下得用多 少时间来下载它们?我建议你最好去软件商店买光盘来,因为 Linux 的产品光盘是非常便宜 的,连带许可证 GPL 在内你大概支付 50 元人民币就可以,而具有同样功能的 Windows NT 4.0 你至少得付出 17000元人民币(有一点需要声明:在你购买光盘时 GPL 许可证你是不会 肉眼看到的)。直接到商店去买,可以省去你很多麻烦,因为从网上下载的 Linux有很多它 还是要求你有光盘刻录工具将安装文件刻到光盘上。 四.如何得到Linux的最新消息? 关于 Linux 的站点现在到处都是,我这里向大家推荐的是一个关于 Linux 核心最新消息 的一个网站,你可以得到核心(Kernel)发展情况的最新信息。网址如下: http://www.kernel.org 另外还有一个非常著名的讨论组,你也可以去看看:http://www.linuxforum.net 另外还有一 个我常去的讨论组,这个讨论组是有高手专门维护的,而且回应贴子的速度很快: http://www.coventive.com.cn/club/default.htm在我这份讲义快写完的时候,又有一个非常好的 自由软件团体出现了,那就是 AKA,大家可以到他们的网页上去看看,里面有许多很实用的 3信息:http://www.aka.org.cn 五.Linux操作系统上有什么应用? Linux 上有丰富的的应用软件,在这里我给大家做一个简单的介绍,具体它们是什么样 子我会在讲座上为大家一一演示。 文本处理方面(控制台界面,X Window界面在后面介绍) vi 最令 UNIX类操作系统初学者裹足不前的 editor,然而只要你习惯于操作,你会觉得 它比任何的 editor都好用,且功能强大。 pico 一种风格很像 Microsoft DOS的 EDIT 的一种文本编辑器。 中文化方面 XCIN+Crxvt 缺省的 Linux 系统是不支持显示中文的,虽然现在国内涌现出许多著名的 Linux 汉化厂商,但是一些著名的 Linux distribution 如 Red Hat、Debian、Caldera 仍然不支 持中文的输入和输出。这套汉化工具组合在控制台(console)方式和 X Window方式下都可 以显示和输入汉字信息。 Cxterm 可以很容易的自行设置输入法,或者修改现有的输入法表格。 视窗界面(window manager)方面 KDE 这是 X Window System使用率最高的 Window Manager。 lFvwm 公认的最为好用的 Window Manager之一。 Fvwm95 拥有和 Microsoft Win95 同样界面的 Window Manager。 Afterstep 公认的最好看的 Window Manager,但号内存也很大。 Enlightenment 界面最华丽的 Window Manager, Win95 和它相比简直就是 nothing,但是 号内存太大,有点华而不实。 lIcewin 又一个极富个性的 Window Manager。 视窗应用软件方面 WWW Browser Netscape公司的 navigator3.x 和communicator4.x 版可用,使用方法和 MS Windows上一样。 图像处理 GIMP是类似于 Photoshop的绘图软件,号称是 Linux 上最强的绘图软件。 看图工具 MTV 这是一个可以播放 VCD的软件,但是它是共享软件(Shareware),不是免费软件, 我们也得不到它的源代码。 Star Office 这是一套著名的办公软件,我个人认为它无论在界面上还是在功能上都强于 Microsoft Office 产品。唯一的缺憾是他不支持汉字,无论 GB 还是 BIG5。 Word Perfect 这是一个非常精彩的字处理软件,功能类似于 Microsoft Word。 4文杰字处理系统 这是一套由韩国人开发的字处理系统,功能强大,有专门的中文版推出, 类似于 Microsoft Word。 编译环境 gcc 公认的C 语言世界中功能最为强大的编译器,但是界面不是很友好。 除此之外还有 FORTRAN、 Pascal、 GNU make、 GNU debugger、 GNU LISP、 GNU PERL、 TCL。 这里因为本人对这些编译工具都不熟悉,因此不多介绍。 MS Windows的模拟环境 WINE 可以使绝大多数的 16 位 MS Window程序运行在这个模拟环境中。但是不支持 32 位的程序。 六.在那里可以找到讨论区? 大家最熟悉的是北邮的 BBS: 202.204.7.235 port:23 七.安装过程 这是非常重要的一部分,希望大家仔细了解本部分内容。 就我个人认为,对于初学者来说,Linux 的安装过程是相当难的,新手往往会遇到系统 屡装不成的情况。遇到这种事情,是非常痛苦的,但是几乎每个新手又都会遇到,因此我 觉得安装过程应当仔细的说明一下。但是由于篇幅有限,我不见这个这个问题在讲义的正 文中陈述,而是把它放在附文 2 中仔细说明。希望没有安装过 Linux 的同学们将这篇文章看 一看。我想在上课的时候我会给大家演示一遍安装的过程。 第二讲 Linux基础进阶 经过上一节课的探讨,我想同学们应该对 Linux 有了一个初步的感性认识,但我们的 认识还只是处在一个尚需进步的表层上。通过这一节的学习,同学们会对 Linux 的体系结构, 它的基本操作,基本功能有一个更进一步的认识。 5 一.Linux的文件系统结构 Linux的文件系统和MS-Windows的文件系统有很大的不同,对于微软视窗系统的文件 结构我在这里不再多说,我们主要了结一下 linux的文件系统结构. linux 只有一个文件树,整 个文件系统是以一个树根"/"为起点的,所有的文件和外部设备都以文件的形式挂结在这个文 件树上,包括硬盘,软盘,光驱,调制解调器等,这和以"驱动器盘符为基础的 MS-Windows 系统 是大不相同的.Linux 的文件结构体现了这个操作系统简洁清析的设,常我们能够接触到的 linux 发行版本的根目录大都是以下结构: /bin /etc /lost+found /sbin /var /boot /root /home /mnt /tmp /dev /lib /proc /usr 现在我将这些目录给大家做一个简要的介绍: 1. /bin和/sbin 使用和维护UNIX和Linux系统的大部分基本程序都包含在/bin和/sbin里,这两个目录 的名气之所以包含 bin,是因为可执行的程序都是二进制文件(binary files). /bin 目录通常用来存放用户最常用的基本程序,如: login Shells 文件操作实用程序 系统实用程序 压缩工具 /sbin 目录通常存放基本的系统和系统维护程序,如: fsck fdisk mkfs shutdown lilo init 存放在这两个目录中的程序的主要区别是:/sbin 中的程序只能由 root(管理员)来执行. 2. /etc 这个目录一般用来存放程序所需的整个文件系统的配置文件,其中的一些重要文件如 下: passwd shadow fstab hosts motd profile shells services lilo.conf 3. /lost+found 这个目录专门是用来放那些在系统非正常菪机后重新启动系统时,不知道改网哪里恢复 的"流浪"文件的。 4. /boot 这个目录下面存放着和系统启动有关系的各种文件,包括系统的引导程序和系统核心 部分。 65. /root 这是系统管理员(root)的主目录。 6. /home 系统中所有用户的主目录都存放在/home 中,它包含实际用户(人)的主目录和其他用户 的主目录.Linux同 UNIX 的不同之处是,Linux的 root 用户的主目录通常是在/root或 /home/root,而 UNIX 通常是在/。 7. /mnt 按照约定,像 CD-ROM,软盘,Zip盘,或者 Jaz这样的可以动介质都应该安装在/mnt 目录下,/mnt 目录通常包含一些子目录,每个子目录是某种特定设备类型的一个安装点。 例如: /cdrom /floppy /zip /win .... 如果我们要使用这些特定设备,我们需要用 mount 命令从/dev 目录中将外部设备挂接 过来。在这里大家可能看到了有一个 win 的目录,这是我的机子上面做的一个通向 windows 文件系统的挂接点,这样我通过访问这个目录就可以访问到我在 windows 下面的文件了。 但如果你的 windows 文件系统是 NTFS 格式,那么这个办法就不行了。 8. /tmp和/var 这两个目录用来存放临时文件和经常变动的文件。 9. /dev 这是一个非常重要的目录,它存放着各种外部设备的镜像文件,其中有一些内容我们 是要牢牢记住的。例如第一个软盘驱动器的名字是 fd0;第一个硬盘的名字是 hda,硬盘中的 第一个分区是 hda1,第二个分区是 hda2;第一个光盘驱动器的名字是 hdc;此外,还用 modem 和其他外设的名字,在这么多的名字中,我们只需要记住最最常用的那几个外设就可以了。 10. /usr 按照约定,这个目录用来存放与系统的用户直接相关的程序或文件,这里面有每一个 系统用户的主目录,就是相对于他们的小型"/"。 11. /proc 这个目录下面的内容是当前在系统中运行的进程的虚拟镜像,我们在这里可以看到由 当前运行的进程号组成的一些目录,还有一个记录当前内存内容的 kernel 文件。 就个人经验,我认为这些目录以及在它们下面应该存储什么内容,我们都应当很熟练的 记下来,这对于我们进一步的使用系统是很有帮助的。 二. 文件类型 本来我是想把基本操作命令放在这里介绍一下,但是这些命令中又不少是涉及到文件类 7型的,所以我就只好先介绍一下文件类型了。 Linux 的文件类型大致可分为五类,而且它支持长文件名,不论是文件还是目录名,最 长可以达到 256 个字节。如果你能够用 128 个汉字写一片小作文,那你也可以用它来做某 个文件的文件名(当然这里面不能有不合规定的命名字符存在)。 1. 一般性文件 一般性文件,例如纯文本文件 mtv-0.0b4.README,设置文件 lilo.conf,记录文件 ftp.log 等等都是。一般类型的文件在控制台的显示下都没有颜色,系统默认的是白色。 2. 目录 至于目录是什么意思我就不解释了,我的任务是要告诉大家,你可以用 cd+目录名进 入到这个目录中去,而这个目录在控制台下显示的颜色是蓝色的,非常容易辨认。如果你 用 ls -l 来观看它们,会发现它们的文件属性(共 10 个字符)的一个字符是 d,这表明它是一 个目录,而不是其它的东西。 三.Linux基本操作命令 首先介绍一个名词"控制台(console)",它就是我们通常见到的使用字符操作界面的 人机接口,例如 dos。我们说控制台命令,就是指通过字符界面输入的可以操作系统的命令, 例如dos命令就是控制台命令。我们现在要了解的是基于Linux操作系统的基本控制台命令。 有一点一定要注意,和 dos 命令不同的是,Linux 的命令(也包括文件名等等)对大小 写是敏感的,也就是说,如果你输入的命令大小写不对的话,系统是不会做出你期望的响 应的。 1. ls 这个命令就相当于 dos 下的 dir命令一样,肯定是我第一个就要介绍的,这也是 Linux 控制台命令中最为重要几个命令之一。ls 最常用的参数有三个: -a -l -F。 ls -a Linux 上的文件以.开头的文件被系统视为隐藏文件,仅用 ls 命令是看不到他们的,而用 ls -a 除了显示 一般文件名外,连隐藏文件也会显示出来。 ls -l(这个参数是字母 L 的小写,不是数字 1) 这个命令可以使用长格式显示文件内容,如果需要察看更详细的文件资料,就要用到 ls -l 这个指令。例如我在某个目录下键入 ls -l 可能会显示如下信息(最上面两行是我自己加 的): 位置 1 2 3 4 5 6 7 文件属性 文件数 拥有者 所属的group 文件大小 建档日期 文件名 drwx------ 2 Guest users 1024 Nov 21 21:05 Mail 8 -rwx--x--x 1 root root 89080 Nov 7 22:41 tar* -rwxr-xr-x 1 root bin 5013 Aug 15 9:32 uname* lrwxrwxrwx 1 root root 4 Nov 24 19:30 zcat->gzip -rwxr-xr-x 1 root bin 308364 Nov 29 7:43 zsh* -rwsr-x--- 1 root bin 9853 Aug 15 5:46 su* 下面,我为大家解释一下这些显示内容的意义。 第一个栏位,表示文件的属性。 Linux 的文件基本上分为三个属性:可读(r),可写(w),可执行(x)。但是这里有 十个格子可以添(具体程序实现时,实际上是十个 bit 位)。第一个小格是特殊表示格,表 示目录或连结文件等等,d 表示目录,例如 drwx------;l 表示连结文件,如 lrwxrwxrwx;如果 是以一横"-"表示,则表示这是文件。其余剩下的格子就以每 3 格为一个单位。因为 Linux 是多用户多任务系统,所以一个文件可能同时被许多人使用,所以我们一定要设好每个文 件的权限,其文件的权限位置排列顺序是(以-rwxr-xr-x 为例): rwx(Owner)r-x(Group)r-x(Other) 这个例子表示的权限是:使用者自己可读,可写,可执行;同一组的用户可读,不可 写,可执行;其它用户可读,不可写,可执行。另外,有一些程序属性的执行部分不是 X, 而是 S,这表示执行这个程序的使用者,临时可以有和拥有者一样权力的身份来执行该程序。 一般出现在系统管理之类的指令或程序,让使用者执行时,拥有 root身份。 第二个栏位,表示文件个数。 如果是文件的话,那这个数目自然是 1 了,如果是目录的话,那它的数目就是该目录 中的文件个数了。 第三个栏位,表示该文件或目录的拥有者。 若使用者目前处于自己的 Home,那这一栏大概都是它的账号名称。 第四个栏位,表示所属的组(group)。 每一个使用者都可以拥有一个以上的组,不过大部分的使用者应该都只属于一个组,只 有当系统管理员希望给予某使用者特殊权限时,才可能会给他另一个组。 第五栏位,表示文件大小。 文件大小用 byte 来表示,而空目录一般都是 1024byte,你当然可以用其它参数使文件 显示的单位不同,如使用 ls -k 就是用 kb 莱显示一个文件的大小单位,不过一般我们还是以 byte 为主。 第六个栏位,表示创建日期。 以"月,日,时间"的格式表示,如 Aug 15 5:46表示 8 月15日早上 5:46分。 第七个栏位,表示文件名。 我们可以用 ls -a 显示隐藏的文件名。 Ls -F(注意,是大写的 F) 9 使用这个参数表示在文件的后面多添加表示文件类型的符号,例如*表示可执行,/表示 目录,@表示连结文件,这都是因为使用了-F这个参数。但是现在基本上所有的 Linux 发 行版本的 ls都已经内建了-F参数,也就是说,不用输入这个参数,我们也能看到各种分辨 符号。 2. cd命令 这个命令是用来进出目录的,它的使用方法和在 dos 下没什么两样,所以我觉得没什么 可说的,但有两点我补充一下。 首先,和dos 不同的是Linux 的目录对大小写是敏感的,如果大小写没拼对,你的 cd 操作是成功不了的。 其次,cd如果直接输入,cd 后面不加任何东西,会回到使用者自己的 Home Directory。 假设如果是 root,那就是回到/root.这个功能同 cd ~是一样的。 3. mkdir,rmdir 命令 mkdir 命令用来建立新的目录,rmdir用来删除以建立的目录,这两个指令的功能不再 多加介绍,他们同 dos下的 md,rd 功能和用法都是基本一样的。 4. cp命令 这个命令相当于 dos下面的 copy命令,具体用法是: cp -r 源文件(source) 目的文件(target) 参数 r是指连同元文件中的子目录一同拷贝。熟悉 dos 的读者用起这个命令来会觉得更 方便,毕竟比在 dos 下面要少敲两下键盘。 5. rm 命令 这个命令是用来删除文件的,和 dos 下面的 rm(删除一个空目录)是有区别的,大家 千万要注意。Rm命令常用的参数有三个: -i,-r,-f。 比如我现在要删除一个名字为 text 的一个文件: rm -i test 系统会询问我们:"rm:remove 'test'?y",敲了回车以后,这个文件才会真的被删除。之 所以要这样做,是因为 linux 不象dos那样有 undelete 的命令,或者是可以用 pctool 等工具 将删除过的文件救回来,linux 中删除过的文件是救不回来的,所以使用这个参数在删除前 让你再确定一遍,是很有必要的。 rm -r 目录名 这个操作可以连同这个目录下面的子目录都删除,功能上和 rmdir相似。 rm -f 文件名(目录名) 这个操作可以进行强制删除。 6. mv 命令 这个命令的功能是移动目录或文件,引申的功能是给目录或文件重命名。它的用法同 10dos 下面的 move 基本相同,这里不再多讲。当使用该命令来移动目录时,他会连同该目录 下面的子目录也一同移走。另外因为 linux 下面没有 rename 的命令,所以如果你想给一个 文件或目录重命名时可以用以下方法: mv 原文件(目录)名 新的文件(目录)名 7. du,df 命令 du 命令可以显示目前的目录所占的磁盘空间,df 命令可以显示目前磁盘剩余的磁盘空 间。 如果 du 命令不加任何参数,那么返回的是整个磁盘的使用情况,如果后面加了目录的 话,就是这个目录在磁盘上的使用情况(这个功能可是 dos 没有的呦)。不过我一般不喜欢 用 du,因为它给出的信息是在是太多了,我看不过来,而 df这个命令我是最常用的,因为 磁盘上还剩多少空间对我来说是很重要的。 8. cat 命令 这个命令是 linux 中非常重要的一个命令,它的功能是显示或连结一般的 ascii 文本文 件。cat是 concatenate 的简写,类似于 dos 下面的 type 命令。它的用法如下: cat text 显示 text 这个文件 cat file1 file2 依顺序显示 file1,file2的内容 cat file1 file2>file3 把 file1,file2 的内容结合起来,再"重定向(>)"到 file3文件中。 "〉"是一个非常有趣的符号,是往右重定向的意思,就是把左边的结果当成是输入,然 后输入到 file3 这个文件中。这里要注意一点是 file3 是在重定向以前还未存在的文件,如果 file3 是已经存在的文件,那么它本身的内容被覆盖,而变成 file1+file2的内容。 如果〉左边没有文件的名称,而右边有文件名,例如: cat >file1 结果是会"空出一行空白行",等待你输入文字,输入完毕后再按[Ctrl]+[c]或[Ctrl]+[d], 就会结束编辑,并产生 file1 这个文件,而 file1 的内容就是你刚刚输入的内容。这个过程和 dos 里面的copy con file1的结果是一样的。 另外,如果你使用如下的指令: cat file1>>file2 这将变成将 file1 的文件内容"附加"到 file2 的文件后面,而 file2 的内容依然存在,这种 重定向符〉〉比〉常用,可以多多利用。 9. more,less命令 这是两个显示一般文本文件的指令。 如果一个文本文件太长了超过一个屏幕的画面,用 cat 来看实在是不理想,就可以试试 more 和 less两个指令。More 指令可以使超过一页的文件临时停留在屏幕,等你按任何的一 个键以后,才继续显示。而 less 除了有 more 的功能以外,还可以用方向键往上或网下的滚 11动文件,所以你随意浏览,阅读文章时,less 是个非常好的选择。 10. clear 命令 这个命令是用来清除屏幕的,它不需要任何参数,和 dos 下面的 clr具有相同的功能, 如果你觉得屏幕太紊乱,就可以使用它清除屏幕上的信息。 11. pwd命令 这个命令的作用是显示用户当前的工作路径,这个命令不用多说,大家一试即知。 12. ln命令 这是 linux中又一个非常重要命令,请大家一定要熟悉。它的功能是为某一个文件在另 外一个位置建立一个同不的链接,这个命令最常用的参数是-s,具体用法是: ln -s 源文件 目标文件 当我们需要在不同的目录,用到相同的文件时,我们不需要在每一个需要的目录下都 放一个必须相同的文件,我们只要在某个固定的目录,放上该文件,然后在其它的目录下 用 ln 命令链接(link)它就可以,不必重复的占用磁盘空间。例如: ln -s /bin/less /usr/local/bin/less -s 是代号(symbolic)的意思。 这里有两点要注意:第一,ln 命令会保持每一处链接文件的同步性,也就是说,不论 你改动了哪一处,其它的文件都会发生相同的变化;第二,ln 的链接又软链接和硬链接两 种,软链接就是 ln -s ** **,它只会在你选定的位置上生成一个文件的镜像,不会占用磁盘空 间,硬链接 ln ** **,没有参数-s, 它会在你选定的位置上生成一个和源文件大小相同的文件, 无论是软链接还是硬链接,文件都保持同步变化。 如果你用ls 察看一个目录时,发现有的文件后面有一个@的符号,那就是一个用 ln 命 令生成的文件,用 ls -l命令去察看,就可以看到显示的 link 的路径了。 13. man命令 如果你的英文足够好,那完全可以不靠任何人就精通 linux,只要你会用 man。Man 实 际上就是察看指令用法的 help,学习任何一种 UNIX类的操作系统最重要的就是学会使用 man 这个辅助命令。man 是 manual(手册)的缩写字,它的说明非常的详细,但是因为它都是 英文,看起来非常的头痛。建议大家需要的时候再去看 man,平常吗,记得一些基本用法 就可以了。 14. logout 命令 一看就知道了,这是退出系统的命令,我就不多说了。要强调的一点是,linux是多用 户多进程的操作系统,因此如果你不用了,退出系统就可以了,关闭系统你就不用操心了, 那是系统管理员的事情。但有一点切记,即便你是单机使用 linux,logout 以后也不能直接 关机,因为这不是关机的命令。 15. Mount 命令 12这是 Linux 初学者问得最多的问题。由于大家已习惯了微软的访问方法,总想用类似 的思路来找到软盘和光盘。但在 Linux 下,却沿袭了 UNIX 将设备当作文件来处理的方法。 所以要访问软盘和光盘,就必须先将它们装载到 Linux 系统的/mnt 目录中来。 装载的命令是 mount,格式如下:mount -t 文件系统类型 设备名 装载目录 文件 系统类型就是分区格式,Linux 支持的文件系统类型有许多: msdos DOS 分区文件系统类型 vfat 支持长文件名的 DOS 分区文件(可以理解为 Windows 文件)系统类型 iso9660 光盘的文件系统类型 ext2 Linux 的文件系统类型 ...... 设备名,指的是你要装载的设备的名称。软盘一般为/dev/fd0 fd1;光盘则根据你的 光驱的位置来决定,通常光驱装在第二硬盘的主盘位置就是/dev/hdc;如果访问的是 DOS 的 分区,则列出其设备名,如/dev/hda1 是指第一硬盘的第一个分区。 装载目录,就是你指 定设备的载入点。 z 装载软盘 首先用 mkdir /mnt/floppy 在/mnt 目录下建立一个空的 floppy目录,然后输入 mount -t msdos /dev/fd0 /mnt/floppy 将 DOS 文件格式的一张软盘装载进来,以后就可以在 /mnt/floppy目录下找到这张软盘的所有内容。 z 装载 Windows 所在的C 盘 mkdir /mnt/c 在/mnt 目录下建立一个空的 c 目录; mount -t vfat /dev/hda1 /mnt/c 将Windows 的C盘按长文件名格式装载到/mnt/c 目 录下,以后在该目录下就能读写 C盘根目录中的内容 z 装载光盘 mkdir /mnt/cdrom 在/mnt 目录下建立一个空的 cdrom 目录; mount -t iso9660 /dev/hdc /mnt/cdrom 将光盘载入到文件系统中来, 将在/mnt/cdrom 目录下找到光盘内容。有的 Linux 版本允许用 mount /dev/cdrom 或 mount /mnt/cdrom 命 令装载光盘。 要注意的是,用 mount命令装入的是软盘、光盘,而不是软驱、光驱。有些初学者容易 犯一个毛病,以为用上面命令后,软驱就成了/mnt/floppy,光驱就成了/mnt/cdrom,其实 不然,当你要换一张光盘或软盘时,一定要先卸载,再对新盘重新装载。 z 卸载 卸载的命令格式是:umonut 目录名,例如要卸载软盘,可输入命令 umonut /mnt/floppy。 要注意的是,在卸载光盘之前,直接按光驱面板上的弹出键是不会起作用的。 13 四.基本的系统管理命令 系统管理基本上可以分为两种,一种是 root(系统管理员)对 linux的系统管理部分, root 本身的职责就是负责整个 linux系统的运行稳定,增加系统安全性,校验使用者的身份, 新增使用者或删除恶意的使用者,并明确每一个在机器上的使用者权限等等。另一种就是 每一个使用者(包括 root)对自己文件的权限管理。因为 linux 是多用户多任务系统,每一 个使用者都有可能将其工作的内容或是一些机密性的文件放在 Linux工作站上,所以对每个 文件或是目录的归属和使用权,都要有非常明确的规定。下面我就按管理员和一般用户分 类来介绍基本的系统管理命令。 z 管理员使用的系统管理指令 1. adduser 命令 新增使用者账号的命令,如果你想新增一个叫做 jack 的用户,那么需在控制台下输入: adduser jack 这样就增加了一个名字为 jazk 的用户,要注意这里对大小写是敏感的。另外,新增的 用户是没有口令的,你还应当为用户设置口令或者是吩咐用户在第一次登录系统的时候为 自己设置口令。 2. passwd命令 这个命令可以修改特定用户的口令,使用格式是: passwd 用户名 这是,系统会提示你输入新密码,你输入第一遍后,还要输入第二遍进行确认。输入 两遍相同的密码之后,系统就接受了新的密码。如果这个命令是一般用户来使用的话,那 就只能改变它自己的密码。 3. find,whereis,locate命令 这三个命令都是用来查找文件的,使用格式是: find 路径名称 -name 文件名 参数(我们这里就不讨论参数了) whereis 文件名 locate 文件名 一般来说,find 命令功能最为强大,但是对硬件的损耗也是最大的,当你使用 find 去 查找你个文件时,你会发现硬盘等在不停的闪动,这就意味着你的硬盘可能会比别人的少 用个三四年。当你使用whereis 或locate 去查找文件时,你会发现硬盘却是安安静静的,这 是因为这两个命令是从系统的数据库中查找文件,而不是去拼命的读硬盘。所以,如果平 常你只是想找一些笑文件的话,使用 whereis或 locate 就可以了,如果你是要进行系统管理 的工作,那么使用 find再加上一些参数就可以满足你的要求了。 144. su命令 这个命令可以让普通用户变成具有管理员权限的超级用户(superuser),只要它知道知 道管理员的密码就可以。多用户多任务系统的强调的重点之一就是系统的安全性,所以应 避免直接使用 root 身份登录系统去做一些日常性的操作,因为时间一久 root 密码就有可能 被知道而危害到系统安全。所以平常应避免用 root 身份登录,即使要管理系统,也请尽量 使用 su 指令来临时管理系统,然后记住定期的更换 root 密码。 加入你现在是以一个普通用户的身份登录系统,现在你输入: su 系统会要求你输入管理员的口令,当你输入正确的密码后,就可以获得全部的管理员 权限,这是你就是超级用户(superuser)。但你执行完各种管理操作以后,只要输入 logout 就 可以退回到原先的那个普通用户的状态。 5. shutdown,halt 命令 这两个命令是用来关闭 linux 操作系统的。 在前面我说过,作为一个普通用户是不能够随便关闭系统的,因为虽然你用完了机器, 可是这时候可能还有其它的用户正在使用系统。因此,关闭系统或者是重新启动系统的操 作只有管理员才有权执行。另外 linux 系统在执行的时候会用部分的内存作缓存区,如果内 存上的数据还没有写入硬盘,就把电源拔掉,内存就会丢失数据,如果这些数据是和系统 本身有关的,那么会对系统造成极大的伤害。一般,我们建议在关机之前执行三次同步指 令 sync,可以用分号";"来把指令合并在一起执行,如: # sync;sync;sync 使用 shutdown 关闭系统的时候有以下几种格式: shutdown (系统内置 2分钟关机,并传送一些消息给正在使用的 user) shutdown -h now (下完这个指令,系统立刻关机) shutdown -r now (下完这个指令,系统立刻重新启动,相当于 reboot) shutdown -h 20:25 (系统会在今天的 20:25 关机) shutdown -h +10 (系统会在十分钟后关机) 如果在关机之前,要传送信息给正在机器上的使用者,可以加"-q"的参数,则会输出系 统内置的 shutdown 信息给使用者,通知他们离线。 halt 命令就不用多说了,只要你输入 halt,系统就会开始进入关闭过程,其效果和 shutdown -h now是完全一样的,我每次关机的时候都是用 halt。 6. reboot 命令 一看这个词,就知道这个命令是用来重新启动系统的。 当你输入 reboot 后,你就会看到系统正在将一个一个的服务都关闭掉,然后再关闭文 件系统和硬件,接着机器开始重新自检,重新引导,再次进入 linux 系统。 15z 普通用户使用的系统管理指令 1. chown命令 这个命令的作用是改变文件的所有者。 如果你有一个文件名为 classment.list 的文件,所有权要给于另一个账号为 golden的同 学,则可用 chown 来实现这个操作,但是当你改变了文件的所有者以后,该文件虽然在你 的 Home 目录下,可是你已经无任何修改或删除该文件的权限了,这一点同学们千万要注 意。通常会用到这个指令的时机,应该是你想让 linux 机器上的某位使用者到你的 Home 下 去用谋个文件是会用到。不过,泼出去的水就收不回来了,你用这个命令的时候可一定要 想清楚呦。 2. chmod命令 这个命令用来改变目录或文件的属性,是 linux 中一个应当熟悉的命令。 对这个命令,使用的方法很多,鉴于篇幅的原因,我只例出其中我最常用的一种。前 面讲过,一个文件用 10个小格来记录文件的权限。前三个小格是拥有者(user)本身的权 限,中间三个小格是和使用者同一组的成员(group)的权限,最后三个小格是表示其它使 用者(other)的权限。现在我们用三位的 2 进制数来表示相应的三小格的权限,例如: 111 rwx 101 r-x 011 -wx 001 -x 100 r- 这样一来,我们就可以用三个十进制的数来表示一个文件属性位上的十个格,其中每 一个十进制数大小等于代表每三格的那个三位的二进制数。例如,如果一个文件的属性是: rwxr-r--,那么我们就可以用 744 来代表它的权限属性;如果一个文件的属性是:rwxrwxr--, 那它对应的三个十进制数就是 774。这样一来我们就可以用这种简便的方法指定文件的属性 了。例如,我想把一个文件 test.list的属性设置为 rwxr-x---,那么我只要执行: chmod 750 test.list 就可以了,对于改变后的权限,你用 ls -l 就可以看到。 五.关於 Process 处理的指令 1. ps ps 是用来显示目前你的 process 或系统 processes 的状况。 以下列出比较常用的参数: 其选项说明如下: -a 列出包括其他 users 的 process 状况。 -u 显示 user - oriented 的 process 状况 。 -x 显示包括没有 terminal 控制的 process 状况 。 -w 使用较宽的显示模式来显示 process 状况 。 16我们可以经由 ps 取得目前 processes 的状况,如 pid , running state 等。 2. kill kill 指令的用途是送一个 signal 给某一个 process 。因为大部份送的都是用来杀掉 process 的 SIGKILL 或 SIGHUP ,因此称为 kill 。kill 的用法 为: kill [ -SIGNAL ] pid ... kill –l SIGNAL 为一个 singal 的数字,从 0 到 31 ,其中 9 是 SIGKILL ,也就是一般用来 杀掉一些无法正常 terminate 的讯号。其馀讯号的用途可参考 sigvec(2)中对 signal 的 说明。你也可以用 kill -l 来察看可代替 signal 号码的数目字。kill 的详细情形请参 阅 man kill。 六. 关於字串处理的指令 1. echo echo 是用来显示一字串在终端机上。□ echo -n 则是当显示完之後不会有跳行的动 作。 2. grep/fgrep grep 为一过滤器,它可自一个或多个档案中过滤出具有某个字串的行,或是自标准 输入过滤出具有某个字串的行。 fgrep 可将欲过滤的一群字串放在某一个档案中,然後使用 fgrep 将包含有属於这 一群字串的行过滤出来。 grep 与 fgrep 的用法如下: grep [-nv] match_pattern file1 file2 .... fgrep [-nv] -f pattern_file file1 file2 ... -n 把所找到的行在行前加上行号列出 -v 把不包含 match_pattern 的行列出 match_pattern 所要搜寻的字串 -f 以 pattern_file 存放所要搜寻的字串 七. 网路上查询状况的指令 1. man 17man 是手册 ( manual ) 的意思。 UNIX 提供线上辅助( on-line help )的功能, man 就 是用来让使用者在使用时查询指令、系统呼叫、标准程式库函式、各种表格等的使用所用 的。man 的用法如下: man [-M path] [[section] title ] ..... man [-M path] -k keyword ... -M path man 所需要的 manual database 的路径。 我们也可以用设定环境变数 MANPATH 的方式来取代 -M 选项。 title 这是所要查询的目的物。 section 为一个数字表示 manual 的分类,通常 1 代表可执行指令,2 代表系统呼叫 ( system call ) ,3 代表标准函数,等等。 我们如要参考 eqnchar(7) 的资料,则我们就输入 man 7 eqnchar ,便能取得我们所要 的辅助讯息。 -k keyword 用来将含有这项 keyword 的 title 列出来。 man 在 UNIX 上是一项非常重要的指令,我们在本讲义中所述之用法均仅只是一个大家 比较常用的用法以及简单的说明,真正详细的用法与说明还是要请你使用 man 来得到。 2. who who 指令是用来查询目前有那些人在线上。 3. w w 指令是用来查询目前有那些人在线上,同时显示出那些人目前的工作。 4. ku ku 可以用来搜寻整个网路上的 user , 不像 w 跟 who 只是针对 local host 的查询. 而且 ku 提供让使用者建立搜寻特定使用者名单的功能。你可以建立一个档案 information-file 以条列的方式存放你的朋友的资料,再建立一个档案 hosts-file 来指 定搜寻的机器名称。 ku 的指令格式可由 ku -h 得到。 八. 网路指令 UNIX 提供网路的连接,使得你可以在各个不同的机器上做一些特殊的事情,如你可以 在系上的 iris 图形工作站上做图形的处理,在系上的 Sun 上读 News ,甚至到学校的计 中去找别系的同学 talk 。这些工作可以利用 UNIX 的网路指令,在你的位子上连到各个 不同的机器上工作。如此一来,即使你在寝室,也能轻易的连至系上或计中来工作,不用 像以前的人必须泡在冷冰冰的机房面。 这些网路的指令如下所述: 181. rlogin 与 rsh rlogin 的意义是 remote login , 也就是经由网路到另外一部机器 login 。 rlogin 的格式是: rlogin host [ -l username ] 选项 -l username 是当你在远方的机器上的 username 和 local host 不同的时後, 必须输入的选项,否则 rlogin 将会假设你在那边的 username 与 localhost 相同,然後 在第一次 login 时必然会发生错误。 rsh 是在远方的机器上执行某些指令,而把结果传回 local host 。rsh 的格式如下: rsh host [ -l username ] [ command ] 如同 rlogin 的参数 -l username , rsh 的 -l username 也是指定 remote host 的 username 。而 command 则是要在 remote host 上执行的指令。如果没有 指定 command , 则 rsh 会去执行 rlogin ,如同直接执行 rlogin 。 不过 rsh 在执行的时候并不会像一般的 login 程序一样还会问你 password , 而是 如果你没有设定 trust table , 则 remote host 将不会接受你的 request 。 rsh 须要在每个可能会做为 remote host 的机器上设定一个档案,称为 .rhosts。这 个档案每一行分为两个部份,第一个是允许 login 的 hostname , 第二个部份则是允许 login 的username 。 例如, 在 ccsun7.csie.nctu.edu.tw 上头你的 username 为 QiangGe , 而你的 home 下面的 .rhost 有以下的一行: ccsun6.cc.nctu.edu.tw u8217529 则在 ccsun6.cc.nctu.edu.tw 机器上的 user u8217529 就可以用以下的方法来执行 rsh 程式: % rsh ccsun7.csie.nctu.edu.tw -l ysjuang cat mbox 将 ysjuang 在 ccsun7.csie.nctu.edu.tw 上的 mbox 档案内容显示在 local host ccsun6.cc.nctu.edu.tw 上。 而如果 .rhost 有这样的一行,则 ccsun6.cc.nctu.edu.tw 上的 user u8217529 将可以不用输入 password 而直接经由 rsh 或 rlogin login 到 ccsun7.csie.nctu.edu.tw 来。 注意: .rhost 是一个设定可以信任的人 login 的表格,因此如果设定不当将会让不法之徒 有可以乘机侵入系统的机会。 如果你阅读 man 5 rhosts ,将会发现你可以在第一栏用 + 来取代任何 hostname ,第二栏用 + 来取代任何 username 。 如一般 user 喜欢偷懒利用 " + username " 来代替列一长串 hostname ,但是这样 将会使得即使有一台 PC 上跑 UNIX 的 user 有与你相同的 username , 也可以得到你的 trust 而侵入你的系统。这样容易造成系统安全上的危险。因此本系禁止使用这样子的方 19式写你的 .rhost 档,如果发现将予以停机直到你找中心的工作人员将其改正为止。 同理, 如果你的第二个栏位为 + , 如"hostname + " ,则你是允许在某一部机器上的"所有"user 可 以不用经由输入 password 来进入你的帐号,是壹种更危险的行为。所以请自行小心。 2. telnet telnet 是一个提供 user 经由网路连到 remote host。 telnet 的格式如下: telnet [ hostname | ip-address ] [ port ] hostname 为一个像 ccsun1 或是 ccsun1.cc.nctu.edu.tw 的 nameaddress, ip-address 则为一个由四个小於 255 的数字组成的 ip address ,如 ccsun1 的 ip-address 为 140.113.17.173 ccsun1.cc.nctu.edu.tw 的 ip-address 为 140.113.4.11 。你可以利用 telnet ccsun1 或telnet 140.113.17.173 来连到 ccsun1。 port 为一些特殊的程式所提供给外界的沟通点, 如资工系的 MUD 其 server 便提 供一些 port 让 user 由这些 port 进入 MUD 程式。详情请参阅 telnet(1)的说明。 3. ftp ftp 的意义是 File Transfer Program ,是一个很常应用在网路档案传输的程式。ftp 的格式如下: ftp [ hostname | ip-address ] 其中 hostname | ip-address 的意义跟 telnet 中的相同。 在进入 ftp 之後,如果与 remote host 连接上了,它将会询问你 username 与密码, 如果输入对了就可以开始进行档案传输。 在 ftp 中有许多的命令,详细的使用方式请参考 ftp(1) ,这里仅列出较常用的 cd , lcd , mkdir , put , mput , get , mget , binary , ascii , prompt , help 与 quit 的 使用方式。 ascii 将传输模式设为 ascii 模式。通常用於传送文字档。 binary 将传输模式设为 binary 模式,通常用於传送执行档,压缩档与影像档等。 cd remote-directory 将 remote host 上的工作目录改变。 lcd [ directory ] 更改 local host 的工作目录。 ls [ remote-directory ] [ local-file ] 列出 remote host 上的档案。 get remote-file [ local-file ] 取得远方的档案。 mget remote-files 可使用通用字元一次取得多个档案。 put local-file [ remote-file] 将 local host 的档案送到 remote host。 mput local-files 可使用通用字元一次将多个档案放到 remote host 上。 help [ command ] 线上辅助指令。 20mkdir directory-name 在 remote host 造一个目录。 prompt 更改交谈模式,若为 on 则在 mput 与 mget 时每作一个档案之传输时均会询 问。 quit/bye 离开ftp . 利用 ftp ,我们便可以在不同的机器上将所需要的资料做转移,某些特别的机器更存 放大量的资料以供各地的使用者抓取,本校较著名的 ftp server 有 NCTUCCCA 与系上的 ftp.csie.nctu.edu.tw 。这些 ftp server 均有提供一个 user 称为 anonymous ,一般 的"外来客"可以利用这个 username取得该 server 的公共资料。不过 anonymous 在询问 password 时是要求使用 anonymous 的使用者输入其 email address,以往有许多台湾的使 用者在使用国外的 ftp server 时并没有按照人家的要求输入其 email address,而仅是随 便打一些字串,引起许多 internet user 和管理者的不满,对台湾的使用者的风评变得很 差,因此遵循各 ftp server 的使用规则也是一件相当重要的事。 九. 关於通讯用的指令 1. write 这个指令是提供使用者传送讯息给另一个使用者,使用方式: write username [tty] 2. talk/ytalk/cytalk/ctalk UNIX 专用的交谈程式。会将萤幕分隔开为你的区域和交谈对象的区域,同时也可和不 同机器的使用者交谈。使用方式: talk username[@host] [tty] 3. mesg 选择是否接受他人的 messege , 若为 messege no 则他人的 messege 将无法传送给 你,同时他也无法干扰你的工作。使用方法: mesg [-n|-y] 4. mail/elm 在网路上的 email 程式,可经由此程式将信件 mail 给他人。 使用方式: mail [username] mail -f mailboxfile 如有信件,则直接键入 mail 可以读取你的 mail . elm 提供较 mail 更为方便的介面,而且可做线上的 alias . 你可以进入 elm 使用上下 左右键来选读取的信件,并可按 h 取得线上的 help 文件。 21使用方式: elm [usernmae] elm -f mailboxfile 十. 编译器( Compiler ) Compiler 的用处在於将你所撰写的程式翻译成一个可执行档案。在资工系常用的程式语 言是 C , pascal , FORTRAN 等。你可以先写好一个 C 或 Pascal 或 FORTRAN 的原始程 式档,再用这些 compiler 将其翻成可执行档。你可以用这个方法来制造你自己的特殊指 令。 1. cc/gcc (C Compiler) /usr/bin/cc /usr/local/bin/gcc 语法: cc [ -o execfile ] source gcc [ -o execfile ] source execfile 是你所希望的执行档的名称,如果没有加上 -o 选项编译出来的可执行档会以 a.out 做为档名。 source 为一个以 .c 做为结尾的 C 程式档。请参阅 cc(1) 的说明。 2. pc (Pascal Compiler) /usr/local/bin/pc 语法: pc [ -o execfile ] source execfile 是你所希望的执行档的名称,如果没有加上 -o 选项编译出来的可执行档会 以 a.out 做为档名。 source 为一个以 .p 做为结尾的 Pascal 程式档。 请参阅 /net/home5/lang/man 中 pc(1) 的说明。 3. f77 (Fortran Compiler) /net/home5/lang/f77 语法: f77 [ -o execfile ] source execfile 是你所希望的执行档的名称,如果没有加上 -o 选项编译出来的可执行档会以 a.out 做为档名。 source 为一个以 .p 做为结尾的 FORTRAN 程式档。 十一. 有关列印的指令 以下为印表所会用到的指令,在本系的印表机有 lp1 , lp2 ( 点矩阵印表机 ), lw , sp , ps , compaq ( 雷射印表机 ),供使用者使用。 221. lpr lpr 为用来将一个档案印至列表机的指令。用法: lpr -P[ printer ] file1 file2 file3 ... 或 lpr -P[ printer ] < file1 例子: lpr -Plp1 hello.c hello.lst hello.map lpr -Plp1 < hello.c 前者以参数输入所要印出的档案内容,後者列印标准输入档案(standard input)的内 容,因已将 hello.c 转向到标准输入,故会印出 hello.c 的档案内容。 2. lpq lpq 是用来观察 printer queue 上的 Jobs 。用法: lpq -P[ printer ] 3. lprm lprm 是用来取消列印要求的指令。 通常我们有时会印错,或是误送非文字档资料至 printer , 此时就必须利用 lprm 取消列印 request ,以免造成资源的浪费。 用法: lprm -P[ printer ] [ Jobs id | username ] lprm 用来清除 printer queue 中的 Jobs , 如果你使用 Job Id 作为参数,则它将此 Job 自 printer queue 清除,如果你用 username 作为参数,则它将此 queue 中所有 Owner 为此 username 的 Jobs 清除。 到这里,我们第二讲的内容就基本结束了,可以说,这一讲是比较无聊的,但它又是 必不可少的。这里列出的仅仅是最最常用的控制台命令,要进一步的熟悉 Linux操作系统, 了解类 UNIX 操作系统的管理思想,我们还有很多要学习,有兴趣的同学可以参看其它的 相关参考书籍。 23 第三讲 Linux下的网络服务,配置问题和 常用工具 这一讲我们会接触到 Linux 下能够提供的一些典型的网络服务,大家会对这些服务有 一个感性的认识,除此之外我们还会看到 Linux下面一些非常重要的配置文件以及他们的用 法。最后我们会看到 Linux 下面最常用的几个工具软件。 一.Linux下的网络服务 一般来说,各种操作系统在网络方面的性能比较是这样的顺序 BSD>Linux>Win NT>Win 9X, 由此说来,Linux 的网络功能仅次于 UNIX,而强于 Win NT 和其它的视窗系 列产品,对于 Win2000我还不能评价太多,因为不是很熟。 Linux 的网络功能除了基本的连线功能如 telnet, ftp, rsh, login, finger等等以外,架设各 种服务器的功能更把 Linux 网络功能发挥的淋漓尽致,下面我大概的为大家介绍一下 Linux 下的各种网络服务。 1. Mail Server Email 现在是网络上最重要的服务了,你可能没有用过 FTP, BBS, INN,但是如果你连电 子邮件都没有用过,那作为 BUPT 的一员,你得自己好好反省一下了。 现在又很多功能强大的 mailserver供你选择,例如 freemail.263.net, hotmail.com, freemail.sohu.com,等等,这些都是免费的。但这是从使用者角度来看,如果你是想为一个局 域网内部提供一个交换电子邮件的服务,那它们对你来说可就是一笔巨款了,再说人家卖 不卖给你还不好说呢。Linux 下面最著名的 mail server是 Sendmail,它是一个负责监控和传 送电子邮件的邮件代理程序,你使用它就可以在在一个小的局域网(例如宿舍网)里提供 一个电子邮件服务,这是多么神奇的事情啊!使用 Linux 下面的 MailServer最大的好处是性 价比高,这些软件的功能强大,却又是完全免费的,我们完全不用去花几万元买一个功能 有限还要按照人头收费的 Exchange Server,或者是使用 D版软件被别人扎脊梁骨。 2. Router 和 Gateway 如果你的计算机可以连接到外面的 Internet 上去, 然而一些可以连接到你这台机器上的 24计算机却只能访问里面的局域网,那么你可以安装 Router或 Gateway的服务,这样别人就 可以通过你的机器和外面的世界联系了。当然了,这么做的前提是你有一颗大公无私的信, 要我就不行,我可舍不得把我的 PIII 的机器贡献给宿舍的网虫们。 3. Samba 在 Windows 横行的今天,Samba 的出现对于 Linux 的茁壮成长是非常重要的,它大大 拓宽了 Linux 的应用领域。Samba 可以提供一种转换 SMB(windows 使用的一种信息格式) 和 NFS(Linux 使用的一种信息格式)的服务,通过 Samba, 运行 Windows的工作站就可以 同运行 Linux 的服务器之间进行通信,还可以 让网络上的使用者(包括 Windows 用户)共 享一台打印机,这样 Linux 的服务器就可以运行在 Windows的环境中了。 4. NFS Server Linux 还可以作为文件服务器,为网络上具有存取权限的 Windows/Linux机器分享相同 的文件系统,这样一来,不论是在 Windows 还是在 Linux 的网络中,Linux 的文件服务器都 能够发挥作用了。 5. Terminal Server 这种服务能够提供 PPP/SLIP Dialup(包括 multi-port,就是一台计算机连多个调制解调器 上网),让一般的民用网络 Moden 使用者可通过 Terminal Server与 Internet连接起来。 6. BBS 在北邮如果你没有上过 BBS(Bulletin Board System电子布告版)我会很吃惊的, 202.112.101.44 或者是202.204.7.235 你至少应该去过一个吧?如果没有去过,那么赶快把这 一课补上。关于 BBS到底能做什么我就不多说了,我假定你已经知道了,现在网络上流行 的免费 BBS版本很多,著名的有 Phoenix,Maple,Firebird,Pivot等等,这些都可以在 Linux 上 使用。另外还有许多基于 WWW 的 BBS,例如著名的跨平台的 Motiff Community,可以非 常稳定的在 Linux 下运行,这是"瘟都死"所不能比拟的。 7. WWW 在 Linux下面也有功能强大的 WWW服务器,你完全可以不必去使用又贵又不稳定的 IIS。但是不可否认 IIS 的操作非常的简单,如果你觉得自己有钱,可以买得起 Win2000 Advanced Server,又出得起"人头税",那你就用"瘟都死"吧。在 Linux 上的 WWW服务程序 很多,现在最著名最流行的是 Apache,在北邮,有许多的服务器就是跑 Apache 的。现在在 Linux 上使用 Apache+PHP+MySQL 是实现动态页面的最佳搭配,立志于搞网站建设的朋友 可一定要留心这一块,因为它可以为你的网站建设节省大笔的成本(现在可是操作系统比 机器贵)。我知道一个讨论组:www.coventive.com.cn/club/default.htm,它就是用 Apache+PHP+MySQL 这种组合建立起来的,有兴趣的朋友可以去看看。 25 二.几种重要的配置文件 Linux 下面的配置文件非常的多,对于初学者来说,我们只需要知道最最常用的几个配 置文件就可以了。由于片符合时间的原因,在这里我只介绍四个非常经典的配置文件 (lilo.conf, passwd,inittab,fasttab),这四个文件中我重点介绍 lilo.conf,其余三个文件会简单的 在课堂上演示。至于 Linux 其它众多的配置文件必须各位同学自己下去查找相关资料自己学 习了。 1. lilo.conf 这是 Linuxloader(lilo)的配置文件。对于初学者来说,这个配置文件是非常重要的,因 为它直接关系到你的系统是否能够正确的引导到 Linux 上来。 我在这里主要将一下如何使用 lilo 实现多个在一台机器上安装多个操作系统。 一般来说,第一次安装 Linux 后,缺省引导的系统是 Linux,但是对大多数 Linux 用户 来说,他们使用 windows 的时间会多于 Linux,所以我们最好能够将缺省引导的系统改为 windows,这样的话,就省去了每次启动时敲一串字符的麻烦。要修改引导顺序,就要修改 Linux 系统中的一个配置文件,这个文件就是/etc/lilo.conf。我使用的是 Xlinux OS 1.5,用 vi 打开这个文件后,会出现下面的文字: boot=/dev/hda map=/boot/map install=/boot/boot.b prompt timeout=100 linear default=xlinux image=/boot/vmlinuz-2.2.14-5.0 read-only root=/dev/hda4 other=/dev/hda1 label=win 这就是刚刚安装完毕后的 LILO配制文件.这个文件是按照由前到后顺序引用的,通过修 改这个文件就可以改变 lilo 执行时的一些特性.首先我将这个文件中比较重要的几个地方给 大家介绍一下: 首先请看第 5 行:timeout=100,这是一个设置在 lilo 引导缺省的系统之前等候用户输入系 统别名的等候时间长度.它的时长好象不是按秒一级的数量级进行计算的,总之用户可以按 照自己的实际需要设置相应的时长.我一般是设置成 timeout=500. 然后我们看第 7 行:default=xlinux,这里是关键之一!这一行指明缺省引导的系统的别名 26是 xlinux,要想改变系统的缺省引导顺序,这里是需要修改的,稍后就会说到是怎么修改的. 再看第8行到第 11 行,这四行指明了引导 Linux 系统的一些细节. image=/boot/vmlinuz-2.2.14-5.0指明了操作系统核心是放在哪里的,以便于引导程序装载操作 系统核心;label=xlinux指明了引导这个操作系统时用的别名,这里是xlinux; root=/dev/hda4指 明了引导程序需要到哪一个硬盘的第几个分区去寻找 init 过程,在这里是要到第一个硬盘的 第四个分区中去将引导系统的控制权交给这个分区里的 init过程. 最后我们看看文件中的最后两行.other=/dev/hda1说明除了linux操作系统以外,机器中还 安装了别的操作系统(当然我知道这个另外的操作系统是我的 win2000了),它位于第一块硬 盘中的第一个分区,一般来说,这个路径是在安装的时候就设置好的,不需要我们手工修改,但 是我认为知道这些信息还是很有必要的;label=win指明了这个系统引导时使用的别名为win. 因为 lilo 是顺序引用的,所以如果我们想要让缺省引导的系统变成 windows,就需要将这两行 移动到 image=.....那一行之前的位置,我建议的位置是放在 image=...之前和default=.....之后. 这是关键之二! 当你将前面的两个关键步骤完成之后,还需要将default=....那一行改成 default=win,这是 比较重要的一步,虽然即使你不改动这里,系统也可以按照你的想法去引导,但是我可不敢保 证你这样做不会出一点问题.再说,如果你不改动这里那多别扭啊! 做到这里,我们对lilo.conf这个文件的改动就结束了,然后只要退出vi,然后键入 lilo -v -v -v这个命令来更新一下LILO,我们就大功告成了.当你reboot以后,就会发现在"lilo:"那里敲入 回车键后,系统就会缺省的引导到 windows 系统去了. 2. Passwd 这个配置文件是关于用户口令的。如果你是一名系统管理员,有可能会一次新增很多 的用户,这时用 adduser就相当麻烦了。一般有功力的管理员会直接去修改/etc/passwd 文件。 利用 passwd文件,可以控制用户的口令状态及一些个人配置。 对于这个文件,普通单机用户使用的并不是很多,主要是多用户的管理员使用,对于 它的一些基本配置方法,我会在课堂上为同学们演示,这里不再赘述。 3. Inittab和 fasttab 这两个文件都是存放在/etc 这个目录下面的,Inittab 文件用来配置 Linux 初始化的一些 动作,我们最常用的是设定 Linux 的启动方式。Fasttab 文件用来设定一些在 Linux 启动时的 动作,主要是文件系统或者是外设的挂接动作,如果你想让你的 Linux 一开始就能够使用光 盘驱动器,就可以把 mount 指令加到这个文件中去。 因为这两个文件对我们初学者来说,可以利用的地方不是很多,所以我不用过多的文 字来描述它们的功能,具体的操作我会在课堂上为同学们演示,这里不再赘述。 27 三.Linux下常用的工具软件 这里我会为大家介绍 Linux 世界里最常用的几种工具软件,包括:vi, tar, gzip, rpm。 1. 文字编辑 vi 是Linux(UNIX)世界最强大的文本编辑工具,我在第一讲中提到过它,现在我把它的 一些基本使用方法介绍给大家。 Vi 的三种状态 „ Command mode : 控制萤幕游标之移动,字元或游标之删除,搬移复制某 区段及进入 Insert mode 下,或者到 Last line mode 。 „ Insert mode : 唯有在 Insert mode 下, 才可做文字资料输入,按 Esc 键可到 Command mode 。 „ Last line mode : 将档案写入或离开编辑器,亦可设定编辑环境, 如寻找字 串、列出行号..等。 vi 的基本操作 ‹ 进入 vi 1. 在系统提示符号下输入 vi 及档案名称後即进入 vi 全萤幕编辑画面,且在 Command mode 下。 ‹ 切换至 Insert mode 编辑文件: 在 Command mode 下可按 'i' 或 'a' 或 'o' 三键进入 Insert mode。 ‹ 离开 vi 及存档: 在 Command mode 下可按 ':' 键进入 Last line mode, :w filename (存入指定档案) :wq (写入并离开 vi) :q! (离开并放弃编辑的档案) Command mode 下功能键简介 1. 进入 Insert mode i : 插入, 从目前游标所在之处插入所输入之文字。 a : 增加, 目前游标所在之下一个字开始输入文字。 o : 从新的一行行首开始输入文字。 2. 移动游标
在基于Windows 2000网络中,活动目录(Active Directory)是它的核心。活动目录是一个分布式的目录服务。网络信息可以分散在多台不同的计算机上,保证快速访问和容错;同时不管用户从何处访问或信息处在何处,对用户都提供统一的视图。可以这样说:没有活动目录,就没有Windows 2000。7 E9 e* I* K; J 8 F# j3 ^7 j$ j一、活动目录基础 6 z) K" V O6 _, k$ m$ F0 D(一)活动目录概览( X# G1 c6 B+ z* g$ f9 w! ]& I 1.什么是活动目录" D1 N0 ~3 _ J$ B0 p 8 m s, [* {) i) n6 f4 s 活动目录是Windows 2000网络中的目录服务。目录服务是一种网络服务,它存储关于网络资源的信息,并使用户或应用程序可以访问这些资源。活动目录使用同样的方法命名、描述、查找、访问、管理和保护这些资源的信息。/ h( T2 t7 ~5 X0 ^4 p - u- i! w* d# O4 d' Y* E( v(1)活动目录的功能: 6 Y4 }' M# y) {5 K. V3 m! R7 S; v 活动目录提供的服务功能,包括一种集中组织、管理和控制网络资源访问的方法。它使物理网络拓朴和协议透明化,这样网络上的用户可以访问任何资源,而不需要知道资源在什么地方,或物理上它是如何连接到网络上的。% t! G+ S" E# e9 q 2 \% m) N4 I- I* v4 f. t(2)集中式管理: * [. Y& e' Q6 @, z7 u& O$ X4 V0 m1 |4 n) K! a% Y 一个运行Windows 2000的服务器在活动目录中存储系统配置、用户简介和应用程序的信息。与组策略相结合,活动目录可以使管理者使用同样的管理界面管理分布式桌面、网络服务和来自中心位置的应用程序。活动目录同时提供对网络资源集中控制,允许用户只登录一次就可以访问整个活动目录的资源。/ [) F0 b& {- Z' Y : Q8 }* B' c% \$ Z# w0 q- x- @ 2.活动目录对象% i& Q! Q* t' M4 {7 }' n- K$ y * Z2 j) M0 E4 [) U* P, j. {活动目录存储网络对象的信息。活动目录对象代表网络资源。如用户、组、计算机和打印机。而且,网络中所有的服务器、域和站点都作为对象。因为活动目录代表了所有网络资源,只需要一个管理员就可以管理这些资源。+ e7 X" A; h1 H+ ?2 z8 p ) ~( _. I6 _% C( D' ?+ z3.轻型目录访问协议 + Y; _% K9 n+ K/ F i6 G/ _: x4 y# X% d 轻型目录访问协议(Lightweight Directory Access Protocol,LDAP)是用于访问活动目录的协议。2 ?: L1 z$ `1 l1 g$ G r6 S 2 G/ r( M+ |) R) R" j" ^* [. [LDAP是用于查询和更新活动目录的目录服务协议。LDAP协议规范表明,一个活动目录对象可以由一系列域组件、OU和普通名字来代表,它们组成了活动目录中的命名路径。LDAP命名的路径是用来访问活动目录对象的,它包括了下面的两类:% T* B4 E: k( {8 ^ 9 U& n1 d0 J; Q: q, w1 O. t+ k1 z (1)标识名(Distinguished Name): ; n! e# H# Q; X' J 7 k& D: |( n5 V! b+ v+ T d/ R在活动目录中每个对象都有一个标识名,标识名确定了对象所在的域和可以找到对象的完整路径。比如,典型的标识名包括: ) v( ^# h2 Q% P ) k( @' h3 e4 k* G+ s" i7 `CN=TOM,OU=Manager,DC=Tech,DC=COM$ s" t. g: e" ^6 q) _ . W, `* `$ G+ l& }7 O/ ^$ Z) G" R(^60090102a^) , ]4 n* g, \5 M2 B7 ?% y( N5 T& w7 s8 Y4 C (2)相对标识名(Relative Distinguished Name):$ Q4 y( i A" B! J2 f, } ) Q' A. Z% l8 F5 K LDAP相对标识名是LDAP标识名的一部分,它用来标识容器中的对象,它的组成随客户建立的现场搜索内容的大小而变化。搜索内容的范围可以是域组件,也可以是普通名字的对象。 1 N6 f7 Q+ p: _0 L: e0 n2 n5 o7 g1 y 下表中给出了标识名,客户建立的搜索内容和相对标识名的具体的例子。 ( `/ b$ c$ Q: f5 G1 h5 j6 t4 x' X! J& K/ L (^60090102b^) - o; a/ R( W" Q( H+ w7 W' e$ n# [' z7 S (二)活动目录结构 / R1 e, {5 F6 l7 `2 g1.活动目录的逻辑结构 ; {! I/ m% N1 x; b! v: i : g: W2 s% o% A6 {4 x0 B(1)域: ' }' }5 v" y7 @9 K! G _5 Q- _+ f( P0 ] 域(Doamin)是活动目录中逻辑结构的核心单元,一个域包含许多台计算机,它们由管理员设定,共用一个目录数据库。一个域有一个唯一的名字,给那些由域管理员集中管理的用户账号和组账号提供访问通道。 " t9 D5 }8 f9 S0 v/ d8 o- M V1 D2 k2 ~+ N6 [2 v7 C. _ 要创建域,用户必须将一个或更多的运行Windows 2000 Server的计算机升级为域控制器。每个域至少必须包含一个域控制器。$ p8 r1 I2 U0 K0 _3 s, @4 ~1 S ( d; ]% ]2 v0 V. k1 P0 ?# C(2)组织单元:" f, N4 i; A9 D1 h+ _ 1 p* g8 H, B, x$ p, h5 p& o 组织单元(Organizational Units,OU)是一个起组织作用的单位。它可将用户、组、计算机和其他单位放入其中的活动目录容器。组织单元不能包括来自其他域的对象。组织单元是可以指派组策略设置或委派管理权限的最小作用域或单位。使用组织单元,用户可在组织单元中代表逻辑层次结构的域中创建容器。这样用户就可以根据用户的组织模型管理账户和资源的配置和使用。 1 e+ }# `! n6 {& h9 ~6 T) \* O0 q 8 V0 D0 S) [( v5 \$ [% R(3)目录树和目录林:4 t+ Q+ o8 q7 X: }% K 0 K+ g; |# ^; h3 S% y1 B 活动目录中的每个域利用DNS(Domain Name Server,域名服务)域名加以标识,并且需要一个或多个域控制器。如果用户的网络需要一个以上的域,则用户可以创建多个域。共享相同的公用架构和全局目录的一个或多个域称为域林。如果树林中的多个域有连续的DNS域名,则该结构称为域树。如^60090102c^所示。 ' C, [0 _7 o0 Q0 w, S" v+ z( D* t7 N 如果相关域树共享相同的活动架构以及目录配置和复制信息,但不共享连续的DNS名称空间,则称之为域林。$ h, Z8 p5 k( h# f0 W - v# E$ N5 i/ @域树和域林的组合为用户提供了灵活的域命名选项。连续和非连续的DNS名称空间都可加入到用户的目录中。 $ b2 D1 h Z5 S& O# P/ A- n; [7 S 2 O" c5 Z' v+ z3 W# r5 `/ X. d(4)全局目录:. C- m/ F* a4 T5 e ' r! o0 C5 N1 @$ j/ Q% H0 V7 w$ r一个域的活动目录类似于一本书的目录,那么全局目录就好像是一系列书的总目录。在全局目录中包含一个已有活动目录对象属性的子集。默认情况下,存储在全局目录中的对象属性是那些经常用到的内容,而非全部属性。 - g' B e* Q1 b' N! @ 4 k9 H# a7 L4 C" C全局目录服务器是一个域控制器,活动目录建立的第一个域控制器自动成为全局目录服务器。全局目录就放在全局目录服务器上。 5 E4 E: a& _- c% ~1 X 4 Z z8 n. F8 D8 @1 `% A/ p% x4 s2.活动目录的物理结构& i* E3 v! U0 s+ ]5 ? , D* g0 V# `" `) g(1)域控制器: _1 {% O: y' ]+ W/ [ 8 c6 p0 N( J1 o域控制器就是存储活动目录的地方,一个域可以有一个或几个域控制器。在域中,各域控制器相互复制活动目录的改变,在目录林中,各域控制器相互之间也把信息自动复制给对方。 $ j D* X9 F, S$ @ X1 Q+ i. m2 x' M % H; [# e9 \& q- B# f. `(2)站点:+ G! K. R5 I* ~: k6 g1 B$ @4 Z- j' B ( y: ] o$ r9 C( \/ x5 b @: a站点(Site)是由一个或多个IP子网中的一组计算机,确保目录信息的有效交换,站点中的计算机需要很好地连接,尤其是子网内的计算机。站点和域名称空间之间没有必要的连接。站点反映网络的物理结构,而域通常反映用户单位的逻辑结构。逻辑结构和物理结构相互独立,所以网络的物理结构及其域结构之间没有必要的相关性,活动目录允许单个站点中有多个域,单个域中有多个站点。 2 p h5 x$ E8 O, \0 s( d" q+ l; n. t6 E0 z4 F/ R1 ?$ F 如果配置方案未组织成站点,则域和客户之间的信息交换可能非常混乱。站点能提高网络使用的效率。 ; K( `+ F8 I2 b4 t 7 q6 g1 \( i9 c1 B( S9 X( G二、安装活动目录* O! ~# |* Y1 x4 ]: E; X$ _4 ?. } (一)安装活动目录的要点 3 t; E1 N, f& V* e4 p3 S首先,也是最重要的一点,就是你必须有安装活动目录的管理员权限,否则无法安装。' E/ P8 R' x% B$ f( q7 h5 i 3 ^7 w8 h% q+ a) v" n$ D0 K; C在安装活动目录之前,要确保计算机满足基本系统要求:* Z& t: _9 N6 A1 c" C - B7 H( D6 e+ q- W9 x(1)计算机运行Windows 2000 Server版本,且系统盘是NTFS分区。0 O0 F/ N" {4 M2 A* V6 X$ g; f/ Z9 g & t' m4 Y7 \: g+ c* T3 A (2)用于活动目录数据库的最小磁盘空间为200MB,另外还要有50MB的空间用于活动目录数据库的日志文件。% N, l3 [) D1 u9 r- R" {: `( U6 K - S P; `* |# m( E* Q$ E& U2 u (3)已做好了DNS服务器的解析。1 C. \( h3 k) `6 q2 A1 @! P " v" N0 w: a& ~: e- I DNS(Domain Name Server, 域名服务器)是活动目录的基础,没有DNS就不会有活动目录。DNS也叫域名服务,它的作用是将某个域名与IP地址对应,从而将人易于理解的域名转达化为易于计算机寻址的IP地址。而如果活动目录中的资源对应的是LDAP标识,那么只需要DNS中有这个标识的定位记录就可以很方便地供用户查找资源,并寻址到相应的位置上。' u* [+ L2 m- \ j: h: L. r7 u 有关DNS服务器的配置,读者可以参考《电脑报2001年合订本》下册附录中《ⅡS 5.0网络建站完全手册》一文。 4 ^; U6 a4 c4 _+ F. @& i* y2 M 9 X, c" R4 J. `7 w: z(二)安装活动目录 3 |" ]' a: f6 V# D$ W运行活动目录安装向导将Windows 2000 Server升级为域控制器以创建一个新域,或者向现有的域添加其他域控制器。2 E5 K. u' s+ W: ?7 g7 L # u) H2 p, | f 1.安装域里的第一台域控制器 4 w9 {' z: n+ Q: ]3 Y 0 `) M, t8 y9 `- K在安装活动目录前首先确定DNS服务正常工作,下面我们来安装根域为lanyi.com的第一台域控制器。! l. {% A- D& a# l : A5 u: R, v0 f5 \' Z9 o m(1)运行位于C:\Winnt\System32目录下的dcpromo.exe文件,以启动活动目录安装向导。点击“下一步”按钮。 4 a/ ~1 x* @2 z7 m5 G6 m3 y; D! M0 t! t. R (2)由于用户所建立的是域中的第一台域控制器,所以在“域控制器类型”对话框中选择“新域的域控制器”选项,然后点击“下一步”按钮。 , ^: j- [0 {3 Z& m2 B1 l9 Z) p5 p! _; \+ c (3)在“创建目录树和子域”对话框中选择“创建一个新域的域目录树”,点击“下一步”按钮。; ]1 h& I- K! @3 h/ J5 g 3 A. q3 r6 `' g+ S(4)在“创建或加入目录林”对话框中选择“创建新的域目录林”,点击“下一步”按钮。 # [2 D" E4 o; N. j, d- g; H! U! k" ~. |+ m (5)在“新的域名”对话框中的“新域的DNS全名”框中输入需要创建的域名,这里是lanyi.com。点击“下一步”按钮。& M: O; I8 X% Z3 k0 K+ m8 G0 g9 { 2 G/ b7 t( E" {9 y8 G2 S" _. l(6)在“NetBIOS域名”对话框中,安装向导自动将域控制器的NetBIOS名设置为“LANYI”,点击“下一步”按钮。9 P* U& U; P' P; [! D* E) ? + S& e$ Y$ N# _' q(7)在“数据库和日志文件位置”对话框中,将显示数据库、日志文件的保存位置,一般不必作修改。点击“下一步”按钮。, @! c5 p) @* R' C" d! h ( V" p$ a2 X4 G t7 k; L6 Z! ?) V (8)在“共享的系统卷”中,指定作为系统卷共享的文件夹。Sysvol文件夹存放域的公用文件的服务器副本。Sysvol广播的内容被复制到域中的所有域控制器。其文件夹位置一般不必作修改。点击“下一步”按钮。* t% T! ?5 X- E- U) b N5 o: I4 c) ^) U0 O(9)在“配置DNS”对话框中,点击“下一步”按钮(如果在安装活动目录之前未配置DNS服务器,可以在此让安装向导配置DNS,推荐使用这种方法)。 7 j6 ^* x& Z4 D* U. p$ g : ^4 V; D- D1 }0 ?5 T(10)在“权限”对话框中为用户和组选择默认权限,考虑到现在大多数单位中仍然需要使用Windows 2000的以前版本,所以选择“与Windows 2000服务器之前版本相兼容的权限”选项,点击“下一步”按钮。 ; u. j1 k. B `+ Z; w+ a, |1 {9 x) U" y1 [5 l/ U+ M% A9 u0 t1 N; V (11)在“目录服务恢复模式的管理员密码”对话框中输入以目录恢复模式下的管理员密码。点击“下一步”按钮。 / i: @, K$ g# u. |# d ' n% K7 [9 X: @3 ^(12)此时,安装向导将显示安装摘要信息。点击“下一步”按钮即可开始安装,安装完成之后,重新启动计算机即可。 9 X2 l( n" a% K, ~/ r. }+ x* z5 n8 u% ?8 e" a 2.检验安装结果* S0 C) w1 I$ \; ^' ?* W+ z- H : Y: s& ?. U3 s# X& P7 N& f 安装完成后,可以通过以下方法检验活动目录安装是否正确,在安装过程中一项最重要的工作是在DNS数据库中添加服务记录(即SRV记录)。; G F! |; z( Z3 n& }- d: ? % e* |8 R( Z% e+ s9 N! X# X (1)检查DNS文件的SRV记录:用文本编辑器打开%systemroot%\system32\config\中的Netlogon.dns文件,查看LDAP服务记录,在本例中为_ldap._tcp.lanyi.com.600 IN SRV 0 100 389 n2k_server.lanyi.com. ! f9 |9 r l& ?6 { & {) K* E8 T$ j0 R/ S, T(2)验证SRV记录在NSLOOKUP命令工具中运行正常:在命令提示行下,输入“nslookup”命令;输入“set type=srv”命令;然后输入_ldap._tcp.lanyi.com。此时如果返回了服务器名和IP地址,说明SRV记录工作正常。! o9 K; o8 q' _( ]" C/ ~% ^ & Q: Q: d0 j8 C 另外,当安装完毕后,在管理工具中提供了三个工具:Active Directory用户和计算机、Active Directory域和信任关系、Active Directory站点和服务。同时系统还提供了Active DirectorySchema和ADSI,主要用于Active Direttory开发的工具。: T5 J9 f/ E# Y! h& @ 6 W* V, Z6 w( E+ l% q0 d0 @Active Directory用户和计算机工具是配置互动目录最常用的工具,在后面我们将详细介绍它的使用方法。1 g1 F, _* x7 u1 r/ g - M* U6 n% G! G. S6 Y6 u 3.删除活动目录- h8 h, m3 j3 R 1 I$ |: u& {4 p2 t9 R( d 与安装活动目录一样,运行dcpromo.exe文件即可。 # z0 Q5 R: y5 G8 v: Z, T- D3 U& R- B/ q3 t 三、设置管理用户和组 0 L6 n8 Y" v2 L: D( e! p在网络中为用户开设账户的工作即是一项基本功能,又是一项非常重要的工作,因为账户与权限有关。% \0 v- A+ ^# k Q' l( `+ n* } S3 Q' X% s: F9 q用户账号保存在活动目录中,为该用户账号启动唯一登录的对象。唯一登录是指从工作站登录获得网络资源的访问过程中,用户只能输入一次名字和密码。域用户账号可以登录到域访问网络资源,或是登录到个人计算机上访问本机上的资源。 ( ?0 I4 }. [. |9 G( m0 P% z! b O/ O- f/ H% S (一)用户登录名 & @2 Z6 [; S2 `+ N1.用户主名2 N. Z0 Y& W. Y: t& l" L : L) ?! [! {& t 在活动目录中,每个用户都有一个用户登录名,和一个pre-Windows 2000用户登录名。用户账户信息用来验证和认可目录林中任何地方的用户,这就导致了唯一登录。( U& g/ t$ ?% z% k; S2 l 3 b/ g1 x" j6 h. I5 P) n 用户主名是只用于登录Windows 2000网络上的登录名。也可将此名看作是用户登录名。一个用户主名有两个部分,它们用@符号隔开。如apple@lanyi.com。一个用户登录名有以下两个组成部分: ' L: V$ y2 ~* p3 a6 K, X 6 T6 D6 P' H& ~# `用户主名前缀:在apple@lanyi.com是apple。 0 u) c2 E/ S( |. Z; o5 y( L9 |: \9 Q" j& D. b% d 用户主名后缀:在apple@lanyi.com是lanyi.com。默认情况下,后缀是网络中根域的名字。用户可以使用网络中的其他域来为用户配置其他的后缀。( t6 A8 k+ D& S0 D3 `8 V( { 0 k( `$ Y; e7 I' d 2.创建用户主名后缀* m& H& Y6 p/ X% f. E 0 ^ y! P+ P# }1 u) |% q0 u (1)点击“开始→程序→管理工具→Active Directory域和信任关系”选项,右击“Active Directory域和信任关系”选项,选择“属性”命令。; E( e# [* m2 j9 U" ~6 v" Q 7 B0 n* e$ H7 e(2)在打开的对话框的“UPN后缀”选项卡中输入一个可供选择的后缀名,如lanyi.com,然后点击“添加”按钮。 3 h% A* [7 t' R, S/ w 4 q7 Q) m; L2 M8 z; J(二)管理用户账号 " h9 V5 h& W5 j1.创建一个用户账号 ! u7 L6 X$ o" Q! v . c; O" M7 `; k8 ? `1 Y(1)点击“开始→程序→管理工具→Active Directory用户和计算机”选项,在打开的窗口的左侧栏中右击“user”容器,选择“新建对象”命令。 3 f, W' g6 i7 c: {' b) e G; Z 1 O( A) J- d2 a* D(2)在打开的“新建对象”对话框中,输入姓名和用户登录名。点击“下一步”按钮,输入用户密码。其中:4 \9 R1 x1 R5 @8 Y$ Z1 ~. V: ?5 s+ k4 j / T! K9 J+ B+ q, ~$ h用户下次登录时需要更改密码:如选中此项,用户下次登录时将提示用户重新输入新密码。 ; Q; M) E$ S4 y0 F: N! C E# Q( U. _1 `用户不能更改密码:这一选项保证用户密码不能被修改。 ' m* c& e' A' c* c( T$ F : p: d2 C$ }% a密码永不过期:如选中此项,密码将永不过期。因为过期的密码将不能使用,过期时间在账户安全策略中设置,或在账户属性对话框中修改。. `" F5 P2 W6 S: Z: S: t + |* h9 m5 G% K+ u6 | q 账户已停用:表明此账户已被停止使用,如想让账户解锁,必须由管理员在用户属性对话框中设置。- A1 D( b% H' Q! [# [9 {6 j. u . Q6 W) |: D+ V: `2.执行公共管理任务 4 K f9 h# w# \3 \: ~, y7 o3 T" C5 M9 M (1)禁用和启用用户账号: 2 m" s' |% M v2 I+ |1 ` : O+ x' s( u2 x% n J当用户一段时间内不需要他们的账号,但一段时间后需要使用它们时,管理员可将此用户账号禁用。 $ U+ ?9 B; o. H- a3 T ! e( R% O7 ?4 e0 F9 U在“Active Directory用户和计算机”窗口中,右击相应的用户账号,然后根据该账号的当前状态点击“停用账户”或“启用账户”命令即可。 ! e" R' K/ b! e4 Q3 U& C0 w. k* h& ` / R" x) y( Y; G(2)重设密码: / Z3 t& P! }3 V; j* m: }; e2 x9 p# b 0 `. ?4 X. p- a: f当在用户改变密码前密码期满或是用户忘记密码的情况下,管理员需要重新设置密码。 8 S& B+ s- b' }( q) i* u+ r. m5 h7 R0 a! m" l9 | 在“Active Directory用户和计算机”窗口中,右击相应的用户账号,然后点击“重设密码”命令即可。 # Q, H) ^& x; w3 I! L' w5 L- [9 w: p! u3 z (3)在一个域内移动用户账号: 7 d/ F3 v- e9 D. p + x5 t: O$ d! U3 g% B1 l必要时,管理员可能需要在同一个域内的OU之间移动用户账号。例如一个职员从一个部门调到另一个部门,这样将由另一个管理员管理该职员的用户账号。8 o( q0 V0 B) ?1 Z/ P$ I9 \ 4 z) [! H9 N* W5 k8 [& [% B* \在“Active Directory用户和计算机”窗口中,右击相应的用户账号,点击“移动”命令。在打开的“移动”对话框中,双击域目录树,点击对象要移入的OU,然后点击“确定”按钮即可。 ' v: [: s8 A( w* c7 t6 D* K- c5 G* K/ k + Q% u; V. T) D- C(4)删除用户账号: ) c( ]( I- \6 R$ E" |5 J3 A9 @7 |( K w, x 在活动目录中存在有无用的账号,如果一个授权用户能够使用一个无用的账号登录可能会引起网络安全的风险,所以对无用的账号应当删除。6 m' e$ F3 p: H / G9 ]) J, d9 S在“Active Directory用户和计算机”窗口中,右击相应的用户账号,然后点击“删除”命令即可。; X" b& R. l* ^" u6 C & L* z8 |8 Z& w0 K. L. ?1 k (5)重命名用户账号:* h& U+ a: o+ u8 W! G5 X7 S0 D' L # `' C* @2 M$ n4 ?$ x: n: n如果管理员想保留以前某个账户所指定的各种属性和权限给一个新的用户时,可以将以前的账户重命名。, _# {' X6 K2 g1 f6 ~ c" \/ b2 x % u( B' @7 S! j 在“Active Directory用户和计算机”窗口中,右击相应的用户账号,然后点击“重命名”命令即可。 - X% f2 j5 D4 E. V: \6 j* i* q* D8 \3 Z% z 3.为域用户账号设置属性 8 }6 @" E& N6 i6 t+ \4 W8 y& O% \+ ~9 g4 X/ x( b. C) y (1)设置个人属性:* K$ G3 ?$ X3 E+ Y $ s8 n) l; @# W 在“Active Directory用户和计算机”窗口中,右击相应的用户账号,点击“属性”命令即可打开相应的属性对话框。在该对话框中,各个选项卡对应于不同的用户设置,你可以根据具体的情况尽可能的详尽填写。这样做的好处是利于以后的账户查找。) B2 M8 V Z e0 H, ^" u % ^" \3 ^2 @ V' P" ~ f (2)设置账户属性: 9 M7 V/ V+ }/ j6 [" y! b + Q, B! A1 M2 C: S6 {4 y* A在“账户”选项卡中管理员可以指定用户的登录名称,设置账户选项,指定账号失效日期。5 [* {* q' z3 q+ W% I 7 r7 T; X7 m$ o你可以在该选项卡下配置当你创建该账户时指定的设置值,如用户登录名和登录选项。可以修改密码需求条件,为此,在“账户选项”选项组下选择相应的复选框即可。2 _$ n% Z$ }# \8 P0 i& U9 g 3 ^. r C3 {& Y$ x除此之外,还可以在该选项卡下设置用户账户的失效日期。到达这一日期后,Windows 2000将自动禁用相应的账户。默认情况下,用户账号永不失效。为此,你只需要在“账户过期”选项组中,点击“在这之后”选项,然后从列表中选择一个失效日期,点击“确定”按钮。 2 j3 |( X! h+ L4 j) f$ s' V 0 M7 _/ M$ w- ?1 Z(3)指定登录选项:7 f4 ^' h9 O, w2 B+ @1 D, H 2 [6 N' L- \- J; D _ 你可以通过设置用户的登录时段,控制用户可以在哪些时段登录到指定的域,你也可以通过设置登录工作站,来控制用户可以从哪个计算机登录到指定的域。 ) L1 S$ F6 B1 x7 K 0 ^! I0 @2 V0 B. G- b在默认情况下,用户可以每周七天,每天24小时连接到服务器。在高安全性网络中,你可能想限制用户可以登录到网络的时段。为了设置登录的时段,你可以按照下面的步骤进行:" j5 V& [0 t% j3 y3 a8 S : [6 b5 Z( ^/ C' j 在“账户”选项卡中点击“登录时间”按钮,打开相应的对话框。其中蓝色指示该用户可以登录到的时段,而白色框指示该用户不能登录到的时段。 ( i/ | Y, e+ q( B5 \4 [- n$ D% ? 在“天”和“时”框中,选择你想拒绝访问的时段框,并点击开始时间,然后向终止时间拖动,再点击“拒绝登录”或“允许登录”选项即可。5 F8 V c7 e; B ' `' y6 K5 z/ E% `$ x, w1 \ M同样的,你也可以指定用户从哪个计算机登录,在默认情况下,具有合法账号的任何用户都可以在运行Windows 2000的任何计算机登录到网络。 / j/ A& v2 x& W! y! K! c 9 u! x4 Z% ^- n+ C在“账户”选项卡中点击“登录到”按钮,然后在打开的对话框中点击“下列计算机”选项,添加用户可以进行登录的计算机。为此,在“计算机名称”框中输入计算机的名称,点击“添加”按钮即可。' k2 l. Q8 l8 c3 L& `; D/ Q 9 l% x& d1 ^* p: T' F+ m2 U2 s 4.用户配置文件/ F, F+ s4 A. r( e( w / r+ e+ r7 _1 C% q% u, f* q% r. O在Windows 2000中,用户的工作环境主要由用户配置文件定义的。为了安全性的目的,Windows 2000要求每一个访问系统的用户账号都有一个用户配置文件。用户配置文件包含所有必要的设置值,这些设置值包括显示器、区域设置、鼠标和声音设置等,除此之外还包括网络和打印机连接。- O# o0 t3 ?. k# j3 F2 S( V " e- ]; ~% b4 P) ]+ X f (1)用户配置文件的类型: ; f r- L: Y& L" w! s4 y8 Q 0 J- C: u' U) ?4 R" o/ U用户配置文件在用户第一次登录到计算机时创建。所有针对具体用户的设置值都自动保存在该用户的文件夹中,即C:\Documents and Settings\用户名。 , f: [ {, X9 p0 g ) ? z+ Z' P, w! E默认的用户配置文件:用作所有用户配置文件的基础。每个用户配置文件都开始于默认的用户配置文件的一个复制件。8 H& Q) X, R5 q7 Y . M+ F Y) @& A1 w$ C本地用户配置文件:在用户第一次登录到计算机时创建,并被存储在本地计算机中。每个计算机上可以有多个这样的配置文件。+ P1 R; O7 i4 q6 B N 9 N5 u7 U; L2 ]9 J$ q漫游用户配置文件:由系统管理员创建,并存储在某个服务器上。在任何时候,用户登录到网络中的任何计算机时,这一配置文件都是可用的。如果某个用户修改了他的桌面设置值,在该用户撤销登录时,这一用户配置文件即在服务器上更新。6 U y* J5 O# x ) ~3 D/ b3 \' {% Q3 [" k7 _9 O强制性用户配置文件:由管理员创建,用于为某个或某些用户指定特定的设置值。强制性用户配置文件可以是本地的或是漫游的用户配置文件。它不保存对用户桌面设置值的任何修改,用户可以修改他所登录的计算机的桌面设置值,但是当他们退出登录时,这些修改不被保存。 0 K* N" Q+ g$ k2 `9 @1 v3 b$ t! K% o1 t3 _; _7 X4 `, z" X (2)创建漫游的和强制性漫游的用户配置文件: 4 P) |" z& g) ^8 R$ o ; Z5 L1 a7 \$ i+ ~) J5 J让我们来创建漫游的用户配置文件:9 u) h) l1 s8 q i$ ^ H 5 j( @; W T) J7 y7 P8 X! c4 [6 n在某个服务器上创建一个共享的文件夹,并为用户提供对于该文件夹的“完全控制”的权限。$ L6 z! R2 B7 t 0 d3 K. M' [( j' q在用户账号属性对话框中,点击“配置文件”选项卡,在“配置文件路径”框中输入相应的路径信息,用以指定共享文件夹。键入的路径信息应该是\\server_name\shared_folder_name\user_name。可以采用变量%user_name%,而不键入具体的用户名称,此时,Windows 2000将自动用漫游用户配置文件的用户账号名称替代%user_name%。/ C, s% K _& |; ~, G3 P 6 z4 G* |1 i b: z 下面再让我们来创建一个强制性的漫游用户配置文件:8 u5 c& K+ W0 M4 @' {( h6 } - j0 S: R9 W F- l首先在某个服务器上创建一个共享文件夹,其中包含一个配置文件夹,创建的用户配置文件将被置于该文件夹中。为用户提供对于这一配置文件夹的“完全控制”权限。例如创建一个名称为“Profiles”文件夹,然后在该文件夹中创建一个名为“User1”的文件夹。 # k2 o" h( \. v3 ?7 c3 s5 K1 R 6 }1 Q. q0 |2 h建立一个已经配置的漫游用户配置文件。在“Active Directory用户和计算机”窗口中创建一个新的用户,指定该用户的配置文件夹作为路径信息,然后配置该配置文件。如创建一个名称为User1的用户,并指定配置文件的路径为\\server_name\Profiles\user1。为了配置该配置文件,以User1作为用户名称登录到域,必要的时候修改桌面设置值,然后退出登录。 0 \* A6 M O3 s5 d! E8 n# @' K) I3 q: `: f. Y+ @% W/ x 将配置文件Ntuser.dat重命名为Ntuser.man。这样做将使配置文件成为只读的,并因此而成为强制性的。& W3 p" Q5 k! z& V- L d/ s* I 5 F9 v3 C7 s/ B+ V (三)活动目录中的组& P* [9 k* Q3 X 组是可包含用户、联系人、计算机和其他组的Active Directory或本机对象。使用组可以简化管理。' Q, F. G2 b" L6 c6 g0 S ) P$ _/ W T8 n) a, c; Q& r1.从组的类型分类# P% ? K# B7 S: P! G0 K- I1 E& i 1 V, O9 H& U" d& Q( m(1)安全组:用于将用户、计算机和其他组收集到可管理的单位中。为资源(文件共享、打印机等)指派权限时,管理员应将那些权限指派给安全组而非个别用户。权限可一次分配给这个组,而不是多次分配给单独的用户。 . e/ c9 f) G* d& E7 L# d ( N" o. l6 D, ~) b1 S8 k+ O(2)分布组:只能用作电子邮件的组。不能用于筛选组策略设置。该组无安全功能。 - N3 ^8 H! |; B0 C+ E* }4 d; m6 A+ R1 G; r 上述两种组都支持域本地、全局或通用组范围中的一种。1 ?3 m* I9 q7 ^: p2 @5 i0 G & F) l" I3 {0 ~3 Z; ?7 t 2.域模式5 _5 S' V5 q" A3 [6 n+ x0 I $ L3 U1 v4 a; n% y2 g& l) T在学习本地、全局或通用组之前,我们需要先讲述一下域的模式。域模式共有两种,混合模式和本机模式。计算机刚升级为Windows 2000域控制器时,默认情况下为混合模式,如果你想更改为本机模式,可以按照下面的步骤进行:( J1 F1 I% X ^ i9 T3 Y& p ( E* d1 C4 q8 {# E# I在“Active Directory用户和计算机”窗口中,右击域名,选择“属性”命令。此时,你可以在打开的对话框的“常规”选项卡“域模式”选项组中,点击“更改模式”按钮,在打开的对话框中点击“是”按钮,即可将域模式改为本机模式。 + l' e9 H. R; k, G0 i 6 X9 @4 `+ E& I$ T7 p3.全局组2 h- g( M9 X' q2 g5 ^4 e+ V ( w- }, ~2 D U 利用这一组作用域,来组织那此具有类似的网络访问需求的用户。你可以利用全局组授予访问任何域上的资源的权限( i6 F2 n3 H/ F% N6 d ' r; e" J, F% ~# q (1)成员资格。混合模式可以包含来自同一域的用户账号。本机模式可以包含来自同一域的用户账号和全局组。4 j/ x0 u8 A( ~+ T " o8 k5 M E6 w) \(2)成员范围。在混合模式中,全局组可以是域本地组的一个成员。在本机模式中,全局组可以是任何一个域中的通用和域局部组,以及同一域中的全局组的成员。 d, r1 {5 \2 N0 l8 @ 3 c' J5 Y; x* s+ V( K0 E# ^+ C. x% D(3)作用范围。全局组在它的域及包括目录林中的所有域的所有信任域中都是可见的。 ) p8 i8 g! o- ^) e9 u# l! U / c X/ r' r2 B4 y; ^* v* P(4)权限范围。目录林中的所有域。 3 w- x+ w8 `% n2 Z, g" E% _$ e0 y1 n) G8 J2 v4 c. ?% r 4.域本地组. l5 l6 ?! s/ [- @' e 8 c& ^( @6 c& {# ~ 利用这一组作用域,可以授予访问域资源的权限。这些权限要位于创建该域本地组的域中,但是不必驻留在某个域控制器上。 " E! Y/ f5 H4 t$ E7 j ) {3 k. D( a; x(1)成员资格。混合模式可以包含任何域的用户和全局组。本机模式可以包含目录林中的任何域的用户账号、全局组和通用组以及同一域的域本地组。, ~8 \" D! [' A* ~; f4 e- q, P 9 {. @" i' j0 q/ c (2)成员范围。在混合模式中,域本地组不能是任何组的成员。在本机模式中,域本地组可以同一域中的域本地组的成员。 * E" ^$ g9 `( k6 a3 R0 R0 } . N; R3 h8 }8 \1 W% q0 O+ b(3)作用范围。域本地组只在它自己的域中可见。' W9 l' o; H; r ( d6 \0 l& j( u9 b5 ~- N" e(4)权限范围。域本地组位于其中的域。1 ]; E5 O) Q3 L! s0 O 4 x4 s j% O0 R 5.通用组 + r# o$ @/ o0 A S& J/ L9 i! s" U! v4 _ 利用通用组可以为多个域中的相关资源授权。利用通用组可以授予访问任何域上资源的权限。 5 o) E1 |1 f9 h: u! b % ^, x& M9 f4 a" F: ~* N! l+ B7 D(1)成员资格。在混合模式中不能创建通用组。本机模式可以包含来自目录林中的任何域的用户账号、全局组和其他通用组。 & W% e" F$ B$ v, T / b2 z6 y4 v7 z1 k$ p(2)成员范围。通用组在混合模式中不适用。在本机模式中,通用组可以是任何域中的域本地和通用组的成员。 * C& S* i! {' n( Z; g4 N9 f9 }5 [7 l$ H2 b; l$ A (3)作用范围。通用组在目录林中的所有域中都是可见的。, _$ ^$ D @7 j$ m5 g; ]" E' [ # U' M3 R b4 d(4)权限范围。目录林中的所有域。* X% z$ y. P Y" H ; B+ J/ I7 T9 K" v4 T1 P& W 6.在域中使用组的管理思想 - a: d h% G6 g& y" G. o6 j a O" s# v4 f7 h1 k6 L2 i 经过上面的介绍,相信大家知道组是可以嵌套的,而且有了组,对于多个相同权限的用户,再也不用分别给每个用户赋权了,只需给一个组赋权就可以了。那么在Windows 2000域中使用组应遵循什么原则呢?+ k; [# {6 r8 _5 }: u7 B g( L+ Q0 P1 Q4 V; U8 e% j+ `; l* {/ F 这个原则其实很简单,那就是:将用户加入全局组;将全局组加入域本地组;给本地组赋权。 : N# u6 b$ [) Z1 \1 u8 I7 U# O* D( a& m; j0 X. v, v+ B 这也就是AGDLP,其中A(User Account,用户账号)G(Globle Group,全局组)DL(Domain Local Group,域本地组)P(Permissions,权限)策略。这个策略是一种管理思想的体现,它提供了最大的灵活性;同时又降低了给网络分配权限的复杂性,尤其在有多个域时,这个策略就更加具有优势,如果只有一个域,那么这个策略就可以更简化了。 ! t6 T6 P% y' E& w1 \; X# [% t" \+ {$ g4 X! L+ ] 四、在活动目录上发布资源 9 o3 S) a5 R; R8 j- R" x! _% d发布的意思可以简单地理解为在活动目录中可见。在活动目录中发布资源要注意发布相对静态的、很少改变的资源。( H6 r( `" M9 e l$ i / p8 n* `- Z; e: P1. 资源的发布! C+ t- `. J1 ]5 b0 C6 F: \ (1)公布共享文件夹: & }& W1 k4 w% P7 v- d$ {, x# h8 n* y 要想将共享文件夹发布在活动目录上,就必须手工加入,而不会自动产生。 3 b( Q" k5 f0 _& d$ h- n1 G2 [$ T; u 首先在“Active Directory用户和计算机”窗口中双击域节点。然后右击想在其中添加共享文件夹的文件夹,选择“新建→共享文件夹”命令,打开共享文件夹对话框,键入文件夹的名称,键入用户想在目录中公布的UNC名称即可。% B6 H9 O/ D4 m% s G ) g5 B/ H6 t- u( P" o& @(2)公布Windows NT打印机: + X/ R0 M0 P* P4 t! ` 9 D( N. V9 h; H; b9 o! a域中的Windows 2000计算机上的打印机都将自动发布在活动目录中,下面我们讲述非Windows 2000计算机上的打印机。 ) y. j) Z( Q1 f# z6 ~9 O9 i. C1 K+ }- G v; N* d 首先在“Active Directory用户和计算机”窗口中双击域节点。然后右击想在其中公布打印机的文件夹,选择“新建→打印机”命令,打开相应的对话框,在其中键入用户想在目录中公布的UNC名称即可。 5 s! F! z# h3 @3 @1 b2 v8 d6 t& U/ N Q& V) p3 R$ u, t2.资源的查找 * T& F$ `; ]0 [3 o0 w9 O E/ K在“Active Directory用户和计算机”窗口中,右击域节点,点击“查找”命令,打开“查找”对话框,点击“自定义搜索”按钮。 % V. y: l D* s) Q, l l0 S0 \- y5 P i, W 点击“字段”,指向要搜索的对象种类,然后点击要为其指定搜索值的对象的属性;在“条件”中,点击搜索的条件;在“值”中,键入要应用搜索条件的属性值。点击“添加”按钮,将该搜索条件添加至自定义搜索。点击“开始查找”按钮即可开始搜索。 " \& `8 B* I% e. y( E; P " `& [: s; I: [重复上面的步骤可以添加所需的全部搜索条件。/ {; D8 Z3 p. J( o" @7 I 1 q& M; j7 [* X5 n7 ?五、实现组策略, ^; Q8 p' W0 Z, @7 c3 P0 P 组策略(GPO)为网络提供了比用户和计算机更多的管理控制能力。通过使用组策略,一旦定义了用户的工作环境,就可以依赖Windows 2000来连续推行定义好的组策略设置。可以将组策略应用到整个网络中,也可以仅将它应用到某个特定的用户或计算机组上。! P: Z. w2 m) A 9 Z# g" p: t/ r(一)组策略基础 % u; R7 y" S& t- B1.组策略的作用 1 W+ p) h6 B- A / d9 ?/ _. ?$ O% W4 e, ?+ n0 K使用组策略可以:- ~) a' e, c" i# `( m' \ ; p4 g7 r7 u' E2 |! X(1)通过站点或域的级别,为整个组织设置组策略的集中化策略,或者在组织单元的级别,为每个部门设置组策略的分散式策略。 % L3 }: \2 z* X+ D# o 9 _3 |, G% ~7 a6 y* _; \9 t(2)确保用户有适合完成他们工作的环境。' H& {& P+ a- Z2 T5 E3 \, Z/ C 2 W" |3 }: i9 f) s% Z! E0 G' B4 J(3)降低控制用户和计算机的总费用。) w7 ^+ f, z) l7 _ z* z. }5 ~* `$ R+ o 2.组策略类型 . A1 f- y, }3 S8 G* r% I5 P1 c, S& O0 F# y$ v7 Y* D& I 管理员模板:即基于注册的设定应用设置和桌面环境的设置。( p6 H' z! B! B) ^& ]& u: B; L 5 k3 I# ~0 Z3 |6 z o* ? 安全性:即配置本地计算机、域及网络安全性设置的设置。1 n8 k! H) z5 I5 I! c& X: w$ X 3 V8 i9 m) @8 D4 q9 f. m) \, C1 z 软件安装:即软件安装、升级、卸载的集中化管理的设置。. @+ N. q4 `. E+ A + @( f! Z n. P- u& ]2 M7 N- N命令:即当Windows 2000运行特定命令时的指定设置。% c2 W7 l3 v0 A5 q% s3 q4 S ( O' u+ f; _8 A. ?- G8 h u5 v远程安装服务:即当运行远程安装服务(RIS)的远程安装向导时控制用户可能的选项设置。 . {6 L+ J3 W! K" h 5 @5 z) D w+ f1 WInternet Explorer维护:即管理和定制基于Windows 2000计算机的Internet Explorer的设置。 5 X/ i3 {( J5 }, C. d% ` ! ~4 v7 ?. H; A3 ]! S文件夹再定向:即在网络服务器上存储用户个性化文件夹的设置。 - [6 y; i0 g; m6 }$ |, Q( L# o( [! M 3.计算机组策略和用户组策略! u+ M9 j7 @! Y' t( c/ |) R- A0 d: I% s6 M : g9 Z; s9 i; y5 m0 p% j: c 组策略中有计算机组策略和用户组策略设置。! R( }- X p/ {" A+ w* P ! {3 d& Z& E$ A. F5 I# J计算机组策略设置有:操作系统行为、桌面行为、安全性设置、计算机的启动和关机命令、计算机赋予的应用程序选项以及应用程序设置。& s8 B+ s( O5 T: I9 h. g 4 H1 `$ X4 p U) N用户组策略设置有:操作系统行为、桌面行为、安全性设置、赋予的和分布的应用程序选项、应用程序设置、文件夹的重定向选项以及用户登录和退出登录命令。# j* R2 o1 b' U ! |+ Z( L6 G+ q2 O" c注意:通常计算机组策略在和用户组策略冲突时,计算机组策略有优先权。 8 A- B" \8 T6 }3 Z7 Y 2 Z4 Z2 s8 T' Z8 S0 O2 ^将组策略和站点、域或组织单位链接后。组策略的设置将应用在站点、域或组织单位的用户和计算机上。管理员不能将组策略和默认的活动目录容器──计算机、用户和Builtin相连,因为它们不是OU(组织单元)。 * I2 g8 I6 J6 f' F! t% I; R6 `& M$ E" H+ {1 T (二)创建组策略和组策略的继承 % s2 X, E9 G/ ^) N1.创建组策略 ' A# v6 Q7 }) @! G. y9 _1 N& w* K % w6 I$ }2 x6 ^ ^8 @: H0 c( ]通过使用活动目录用户和计算机来为域和OU创建组策略,执行下面步骤:- b% H$ @& d3 z9 S) ]. v 3 b" q8 I9 E7 ~(1)在“Active Directory用户和计算机”窗口中右击想创建组策略的域或OU,然后点击“属性”命令。" X2 v% b* x( [, U 3 E/ a: N9 o, Z% e7 C (2)在打开的“组策略”对话框中点击“新建”按钮,然后为新的组策略输入名称,默认为“新建组策略对象”。8 S, Z$ _& d3 H0 b" V + A, [ M" l$ D* o" k: H+ d2.连接组策略0 o! M# \. K$ E( p( } 2 ^% h8 d9 |& Z9 C) z: T5 r连接一个已存在的组策略到域和OU上,执行下面步骤:4 d0 h3 b: l) u: t- ~6 p ] & Y8 ~, c7 c" P9 A! T$ n (1)在“Active Directory用户和计算机”窗口中右击想创建组策略的域或OU,然后点击“属性”命令。  8 l1 u3 `' X8 {3 Q0 z- T . T1 `+ l L# T6 Z (2)在“组策略”对话框中点击“添加”按钮。) @* j c3 _- x* d3 o% H0 x; U- W ) w0 a- C5 a& B2 T/ J8 e (3)在打开的“添加组策略对象属性”对话框中的“域/OUs”、“站点”或“所有”选项卡中,点击确认要连接的组策略即可。 / J& I+ ?1 k+ p, m' y) Y8 b; y K$ u8 U, z, F 注意:任何一个拥有该组策略的读写权限的人都可以对它做出修改。 $ A$ i9 y1 e/ e+ t4 X3 m% m! t$ F- S# I8 n' r8 [4 G 3.组策略继承 7 T2 c& l. t- }) t( d/ l- W& `: S, n. M2 J8 P. `+ z 组策略的继承性包括Windows 2000在活动目录中处理组策略的顺序,以及在连接到母容器的组策略的继承性。其继承流程是:8 k( [2 t. V; Z; ?" S- @ 8 |, \* n4 K, i% v/ r) E6 { 默认组策略被继承。子容器从父容器那里继承组策略,意味着子容器可能拥有多个用于用户和计算机的组策略设置。不止一个组策略与它连接。如果一个站点包含一个域以上计算机,连接到该站点的组策略中定义的组策略设置将应用到所有登录到该站点的计算机设置用户上,不管计算机和用户账号是否存在该域中。 ) K, V9 F! d7 q7 M# `" e# B! V# Q " Y+ P+ L1 G+ e域控制器每5分钟刷新一次组策略,重要的组策略设置将在危的服务器中快速发挥作用。Windows 2000首先处理计算机设置,然后处理用户设置。 ; A8 t+ C9 Z. n: x$ ?( ? , v$ }: v" t0 G8 `6 V下表列出了客户端扩展和对应组策略设置类型(位于C:\Winnt\System32目录中):(^60090102d^) # y& T" a x! s- X' ]+ v& ~$ H g7 w' j! a! j5 t3 {: t7 T 4.解决组策略的冲突 , N! h& a9 D4 y& h) D& j9 O' d! {1 v9 t5 j 如果发生冲突,默认的是执行最新的设置;除非用户设置和计算机设置冲突。而在大多数场合下,计算机设置高于用户设置。组策略是累积的,除非两个或多个设置冲突,否则所有组策略设置都将被执行;当冲突发生时确定执行哪个组。 4 E# i; w* r6 f# |0 V+ ?% _( @ , d3 m- r \+ B5 Q, z% f策略设置的原则是:& S& l, P" L5 B 1 G F' ]4 q" T# _7 o( W(1)来自母容器的组策略设置,和来自子容器的组策略设置冲突,子容器的设置后执行并发挥作用。/ }$ B7 k% C; ?! Y* t 7 @. u% @2 ^, f, k, m) \(2)连接到同一容器上的,不同的组策略的设置发生冲突,在容器属性对话框中,组策略列表中最高位置的组策略设置后执行并发挥作用。组策略累积处理的例外是IP安全性设置和用户权限设置。当执行IP安全性设置和用户权限设置时,最新执行的组策略将改变以前组策略。 ( w D6 x3 h# @3 }: P4 y1 {9 `* C5 ]* O* _ a; X 5.修改组策略的继承性, C" _& h! ?! b ^$ I* g' p l7 P* R 阻止继承,将不允许子容器从母容器那里继承组策略设置。允许在一个子容器阻止继承,将阻止容器所有的组策略设置而不是单个设置。当活动目录的容器需要唯一的组策略设置,和需要确保设置不被继承时,这一功能将是很有用的。+ S& v- X- P$ C% O ! w& ~( ? u. e2 H 阻止子容器的组策略容器继承,执行下列步骤: ; b) F, \5 M; v( G 2 N- `9 F% d% J4 Z! e(1)在“Active Directory用户和计算机”窗口中打开想阻止继承的域或OU的“属性”对话框。/ J9 {( k) F% r ! s3 q/ _; u4 x) t* K. ^ (2)在“组策略”对话框中,点击“阻止组策略继承”项即可。 8 ?* w# K4 u/ X8 ~- a * Y6 m O1 D* T) V" Y注意:阻止组策略继承的两个局限。即你无法选择阻止哪个组策略;不能阻止连接在母容器设置为不重写(禁止代替)的组策略。& z3 C! E7 c% ?1 R o9 t " h! s, Z! D; I0 a" }$ [" M( p' b 6.监控组策略 U* T# Z' D" C/ s5 Q2 n& ?5 \5 C & {' r) A# X4 m F# ^2 C7 C(1)启用诊断记录:" i) N0 B) B/ {0 u8 R2 b $ D! [6 Z& A2 v" G7 y- m) W启用组策略的诊断记录,促成组策略在事件日志中产生具体事件。这些具体事件,能够通过返回事件以及提供附加信息,在诊断组策略执行相关问题时提供帮助。 : I- y8 l/ _6 z1 H5 j, z $ P. B3 l% Y9 p1 {, `9 ~以本地管理员的身份登录,然后点击“开始→运行”,在“打开”对话框中输入Regedit,打开注册表的编辑器。定位至HKEYLOCALMACHINE\Software\Microsoft\WindowsNT\Current\Version,然后点击“编辑→新建→项”命令,输入Diagnostics后按回车。! l0 @- @8 y1 O% S * v- w( M1 t+ s- ^! A 选择上面建立的Diagnostics项,点击“编辑→新建→双字节值”命令,输入RunDiagnosticsLoggingGlobal后按回车。 - W$ D/ k' n7 n. W3 @5 ]9 c( b3 t& ~, l6 S& d 最后双击RunDiagnosticsLoggingGlobal,输入1即可。 2 Q: i2 @' u' M& J% {3 F9 r2 C. s" ?- X& m/ q (2)启用详细记录:. u$ u; I3 b* @1 d9 r% g & o: ^! Z5 p( I详细记录将记录所有的变更和应用到本地计算机和登录计算机的用户的设置。日志文件位于Systemroot\Debug\Usermode文件夹下,命名为Userenv.log。启用详细记录将涉及添加详细记录的注册关键词。; |4 W( C0 i- {! [! I! x 2 ]$ X; X l: o K8 F为了允许详细记录,添加名为UserEnvDebugLevel值为30002双字节记录值到注删表中的HKEYLOCALMACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon下。2 T+ `8 m6 \ s" q2 [ # w b2 k. `: q) y" d注意:30002的值允许详细记录,30001仅允许错误和警告记录,30000不记录任何事件。 ! C- G+ Z7 u4 B- o, Y1 I6 K h$ O' @, L; Y/ \2 b (三)利用组策略$ \$ b) f2 Z- c( W' S 1.组策略管理用户环境/ K. ~" \7 U0 D2 [ 0 ], j: J5 D& [9 D4 J4 Z 管理用户环境意味着用户在登录网络时,控制用户有哪些权力。可以通过控制用户的桌面、网络连接和用户界面来控制用户权力控制用户环境可以确保用户有执行他们工作所需要的权力,但不能破坏或不恰当地配置他们的环境。( _) X# }( B7 v' l1 m 3 S# C, P9 f% ]用来管理用户环境的四种典型组策略设置类型是,管理模板设置、脚本设置、文件夹重定向和用户界面。% z% ~5 k+ F+ N4 R& S , X/ Z- h7 i3 A ?' d组策略管理模板是用来管理用户环境的,基于注册的设置。该设置将修改存放在两个注册表目录树下的设置。其中:; Q3 @: L: D Q' t6 ] . K$ I/ u6 h$ D1 b" l计算机设置:在HKEYLOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Policies中。 + Z# T; ?9 R6 X " p1 V; m' L0 G3 }% _4 Z2 ]/ w用户设置:在HKEYCURRENTUSER\Software\Microsoft\Windows\CurrentVersion\Policies中。 3 }8 W7 S# W: d1 ^- V" a. b) {6 f 2.管理模板设置的类型 . X, |1 E) ?, s- f' b/ W 5 i3 d! o6 g4 R5 [# P- J" W管理模板设置的类型分为七种,都是用户和计算机的设置: + ?, p8 e ?9 u0 k( x4 J 8 K i" V* x# E/ `, w' r \2 h(1)Windows组件:用户可以访问的Windows 2000及其工具和组件部分。计算机和用户为该设置类型的使用者。 ) C! M, u' G# d0 `4 a/ O3 Q0 b ! B/ A/ ]! Z8 t P: S3 @% {% \(2)系统:登录、退出过程。利用系统设置,可以管理组策略、更新区间、启用磁盘限额和实现回环处理。计算机和用户为该设置类型的使用者。; U- f+ X- y, k \ : {0 w' ]( n. p(3)网络:网络连接和拨号连接的属性。计算机和用户为该设置类型的使用者。 * M: D8 V B! J! i# e! v! Q+ e- o+ ^! |! y7 [0 p (4)打印机:打印机设置,可以是自动公布在活动目录中的打印机,并使基于网络的打印无效。计算机为该设置类型的使用者。% n; l$ B( w) }$ d+ M% z % z; s1 H" @* |# ^! w. x (5)开始菜单和工具栏:用户可以从开始菜单中访问的功能组件。用户为该设置类型的使用者。 : j7 M1 t/ H7 j4 H4 x$ J( v! I. F6 d& L+ L: a: u (6)桌面:活动桌面。通过隐藏某些桌面图标并控制用户对“我的文档”文件夹使用,可以控制用户对网络的访问。用户为该设置类型的使用者。 # ?9 W* S: T5 ~4 l2 f( k5 R% N1 U& K+ t, K6 s (7)控制面板:控制面板上的一些应用程序。用户为该设置类型的使用者。 2 {0 C7 v: b# x. S! C% F4 E5 i$ E+ X2 U2 X( E 禁用桌面的设置。如下表所示:(^60090102e^)( V5 \, e" q9 Z b0 U4 V $ c! \$ R+ k$ P `, h" g( l9 q3 d4 q 禁用用户访问网络资源的设置。如下表所示:(^60090102f^) 1 w7 {6 N1 h" Y+ s. L0 V# u& P! D- K" K( `2 v 禁用用户访问管理工具和应用程序的设置。如下表所示:(^60090102g^) 4 b& K; u$ \! O# |8 E2 S: Z4 X. i8 t8 B7 g* [# G 3.组策略中的回送处理模式% }5 K4 _3 N/ [: Z% X, u6 t$ Z - I# f( z$ |% p9 b$ L, w组策略回送处理模式,可以把用户管理模板设置实现到计算机上。回送处理模式是实施应用于计算机的组策略中的用户配置设置的组策略。对于指定具体任务的计算机或安装了特殊软件的计算机非常有效,按下列步骤启用回环处理模式: t2 S4 N ?6 J ( F& m6 s. T( L(1)打开组策略,展开“计算机配置→管理模板→系统”节点,点击“组策略”选项。 9 I; I) D) e$ \ 9 l. G* D' G" I(2)双击“用户组策略反向对应处理方式”选项。: z/ M6 [% s1 Q! c- s! b ; a; C! y/ a6 s3 b* P (3)点击“允许”按钮,然后在“模式”中选中“替换模式”或“合并模式”。“替换模式”处理应用于计算机的组策略;“合并模式”首先处理应用于用户对象的组策略,然后处理应用于计算机对象的组策略。如果设置发生冲突,将实施组策略中的计算机对象设置,因为这些组策略设置最后使用。" f; x2 B0 U! _/ N% y0 _ ) k8 A% q3 u' z# ]( [2 j 4.设计组策略模板3 u* `5 ~! Y6 n 6 f' W, w q# ^# o$ G 通过在组策略中配置管理模板扩展名中的设置,实现管理模板的设置。在组策略“属性”对话框中的三个状态说明如下: Y7 g3 ?- p" r# i: n" C* u. K # Q- a1 k% Q& H; j' G6 I6 r" Y未配置:不对计算机产生任何变化。' C" }6 T ]* i! [$ T( W. Q + y q# G% o9 b, V6 o启用:把引起的变化添加到注册表中。 3 D" I! y! \- Q3 o8 N/ i- x5 r; L4 p4 j( a' ]% q2 ?- k) \: h5 J4 | 禁用:防止引起的变化添加到注册表中。0 @; V2 R! ?' H* _3 F! m! Q* b 0 V7 w( z6 D2 q/ | G* Y5 k 右击合适的站点、域或OU,点击“属性”命令,然后点击“组策略”选项卡,建立或选择现存的组策略,点击“编辑”按钮。 5 @7 o' ~, y6 T. ~: s ( ] w5 T: {: A在组策略中,展开“计算机设置”或“用户设置”选项,然后展开“管理模板”直到确定需要修改的位置。最后在组策略属性面板中,双击需要修改的组策略设置。 : Z- t* A# M, E+ I6 J/ f( L4 M3 S8 O; g' O 5.用组策略分配脚本 $ {3 C$ N4 B, {) r/ [3 R8 C) g( N; D 利用组策略脚本设置,可以把脚本设置成在指定的时间里自动运行。管理员可以利用策略中的脚本扩展来运行批处理文件、可执行程序和支持脚本的Windows脚本主机。组策略脚本设置可集中配置脚本,在计算机启动、关闭、用户登录、退出的时候自动运行。 4 k7 f- ?2 _" Q# j8 h + q& H* b: f* B! GWindows 2000按下列的顺序处理并运行指定脚本的组策略:# e* G3 O- [* K( V' i' L) U. ? 4 ~/ M: M! v% h: z( ]' p: ?$ X (1)当用户启动计算机、进行登录时,存在以下几种情况:启动脚本缺省情况下,隐藏、同步运行;登录脚本缺省情况下,隐藏、非同步运行。 4 O& R6 `$ V$ j: j, I/ Y1 g8 V' m" I! _1 C; | (2)当用户退出、关闭计算机时,存在以下几种情况:退出脚本运行;关闭脚本运行。 & n, y1 v& H! R6 v ) i3 Z0 M { z2 n( U/ z注意:处理脚本缺省超时时间是10分种,如要调整时间,可以配置Computer Configuration\Administrative Templates\System\Logon\Maximum wait time中的组策略脚本的等待时间,改变后将影响所有运行脚本。 : l" F, Q- u+ O8 Q0 Q6 S1 P+ a, `* s 我们可以按下列步骤分配一个脚本:6 t1 w0 {( J) _% H0 t $ I. Z" W: A; b! @* |. W(1)打开组策略中合适的组策略,展开“计算机配置”或“用户配置”,展开“Windows Setting”,点击“脚本”按钮。 ' L5 o: Q, h) @/ e9 ?' O5 U0 ^: Q& f7 Q/ v ?# ~ (2)在脚本的“属性”对话框中,点击“添加”按钮,点击“浏览”按钮,选择需要分配的脚本后点击“打开”按钮,添加需要的脚本参数即可。8 {. d% W, j" ]' D% F , F! x2 D- f; I# R7 c. V, j6.利用组策略重定向文件夹 ) o+ ^; W! L. R& @6 V2 ^. L; H3 v0 ]! w: L4 U6 N! F 重定向文件夹,可以确保用户可以获得数据,不管他们在什么计算机上登录。 8 K R0 Y( n) t* W5 X9 T; A# _$ D! b. f% [ 可以重定向文件夹有:我的文档、应用程序数据、桌面和开始菜单,Windows 2000会自动建立这些文件夹。 ; R# ^. }' I: l* \$ F5 c3 @" ~ 5 @) d. I9 f7 I利用重定向文件夹,我们可以:不管用户从什么客户计算机上登录,都可以访问文件夹中的数据;文件夹中的数据集中存储,因此文件夹中的文件将更便于管理和备份;减少网络通信;重定向文件夹的文件,可以当用户登录到客户计算机上的时候,不使用存储空间存储这些文件。9 e0 }9 c; ], c+ Y! k5 V, o {& c & c/ j: x/ d: K 如果管理员在重定向文件夹的时候使用变量%Username%,那么Windows 2000将为每个用户在服务器上建立唯一的个人文件夹。按下列步骤重定向文件夹:8 _" j$ g8 W8 r2 C) E3 x $ d5 _; t+ P1 ~) A (1)在“组策略”对话框中点击“编辑”按钮。: Z; t2 h7 U. d2 K" v, s 3 q ^; C2 D, A (2)展开“用户配置→Windows Settings→文件夹重定向”节点。然后右击要重定向的文件夹名字,点击“属性”命令,然后提供目标路径和位置路径即可。/ G% Z- J$ k% X. G" L; U* I : Q/ c% {" s" q8 \7 y% Z3 B 7.利用组策略确保用户环境安全; K2 \7 ^2 |) I* o# ^ " K L# w+ X. O, M* G& j( w L域用户策略成为域成员的、基于Windows 2000的工作站或服务器的预设用户策略,例外的是组织单元定义另一个用户策略的时候,组织单元的用户策略设置影响到组织单元中任何计算机上的本地策略。而本地策略设置只在利用计算机本地用户登录时候应用。按下列步骤把安全模板引用到组策略中:7 R4 x8 g$ {6 }& a/ m , |+ w: g: [' ]; h5 V/ Y展开组策略中的“计算机配置→Windows Settings→安全设置”节点。右击“安全设置”,然后点击“引入策略”。选择需要引用的安全模板即可。 ' [' D# v, ]7 _, f! e, e+ n + P# F& ]% i ]/ m1 p6 m另一种应用安全策略的方式是为每台计算机配置安全设置,要配置安全设置,需要执行下列任务: 7 ^9 s0 \( `$ i, e# M3 z& w" }8 u& g; g 展开“计算机配置→Windows Settings→安全设置”节点。在策略属性对话框中,双击需要配置的安全设置。在“策略”选项卡上,通过选择三种状态的一种来配置安全设置:启用、禁用、未配置。3 I3 x+ D( |/ W/ d" @9 ?9 Y6 m$ U5 S . D( B- z* p' }; ?! w六、使用组策略管理软件 6 ]1 d& T* h1 ? t2 ~' ^1 \(一).使用组策略管理软件' o, P t) L n 管理软件的过程包括: : P* U7 G6 T) y. x8 g/ k, T4 S E" \ 预备:准备一个文件,以便应用程序能使用组策略布置。7 [, Y' x3 s, k# Y; N2 R9 C) \$ Y & y8 _- ?& i* Z( {' C+ M布置:管理员创建一个在计算机上安装软件,并将组策略链接到相应的活动类别容器的组策略对象。 " z4 _; ~. J3 `* ] 9 A: h4 K4 \% z4 `( M# p9 F维护:用新版本的软件升级软件或用补丁来重新布置软件。2 x/ m/ t. _: n $ |' E% y8 H# \! I) n w 删除:为消除不再使用的软件,从开始布置软件的组策略中删除软件包设置。 " d# _$ u$ R, O- ]# l# l5 H% m7 { b5 g 将软件分配给用户和计算机:9 j7 E& B; X. W) ^ 4 S" H" o, K3 j& t: ]. g% x在用户配置过程中,在用户登录时应用程序被通告,安装不会自动开始。这样可以节省了硬盘空间和时间。, j# M9 a& B, Z$ y - r J/ W' l8 h. w 在计算机配置过程中,当给计算机分配软件时,不会出现通告,软件被自动安装。可以确保相应的应用程序在那台计算机上总是可用的无论谁使用那台计算机。 ( h* {2 s; Y4 k/ w2 j0 @* B! E7 y & g4 x- Q' K1 s% @' f) u2.用户安装发布的软件0 e1 R4 ]* F0 X+ e7 i2 u, s 可以将软件分配给用户和计算机。分配软件包确保软件对于用户和计算机是可用的。分配软件确保用户需要的所有应用程序都安装到了他们的计算机上,用户下一次登录时,新安装的软件会出现在他们的桌面上。当软件出现后,应用程序的开始菜单快捷方式和桌面图标也出现了。0 b: m* y4 Y i " p) I3 o3 Y) a; X7 ` 用户可以采用下面两种方法之一来安装发布的软件:, Y& B% z9 b4 k : r! ?% ^1 j( ~ q& f1 f& Q (1)使用控制面板双击“添加/删除程序”,选择需要的应用程序,点击“安装”按钮。6 U% Z! ~% T# I3 ?0 p$ v ! N, r5 ]+ h" m+ I(2)使用文档激活的方法。当应用程序发布在活动类别中时,它所支持的文档扩展文件名在活动类别中注册了, 如果双击一个未知类型文件,计算机就会安装它。0 @# F' \& g. d, q1 H 7 C; V/ Q/ H2 U3.布置软件8 ~6 \7 f* m) u4 P 按下列步骤使用组策略布置软件:+ j1 m; R* |6 L: P/ [ * r" `- |1 u+ M(1)根据软件是分配给用户还是计算机,在“用户配置”或“计算机配置”中创建或编辑一个组策略。4 k T% T/ [* s) q5 n$ k( ^4 i & C% R* U0 G; d; z* k$ O+ E (2)布置“软件设置”,右击“软件安装”,选择“新建→程序包”命令,当“文件打开”对话框出现时,选定包文件,点击“打开”按钮。; |$ T6 J& z( _- K1 U9 t( U / @* E7 ^5 E/ F (3)在“布置软件”对话框中,选定一种布置方法即可。 / G1 S: C8 e9 S* o: n& |& \% ~; T/ Q. x2 \5 ]* ~* S* y 改变一个软件包的软件布置选项,执行下列步骤:& Z; h* [0 K. [$ P7 ^ 1 ?6 }( i1 n# E) G/ x (1)在软件安装中,右击布置的包,然后点击“属性”命令。 " Y, V* c5 U4 m2 o$ w3 X2 _4 U( G8 r9 [$ N (2)在应用程序的“属性”对话框中,点击“布置”选项卡,设置下表描述的选项的任意组合。(^60090102h^) n* {0 I9 v' h8 D6 t1 [+ Z& X+ [3 l% G9 G# M6 X 设置软件安装默认选项,请执行下列步骤: 0 V- p* r' ]" f' J5 x' s ( d9 `6 U9 \" N5 J$ ~$ J# |1 m(1)根据软件是要分配给用户还是计算机,或是发布,在“用户配置”或“计算机配置”中创建或编辑一个组策略。, f/ u1 S8 v7 p7 W( [# | h ! l4 c2 ? Z, ^8 k(2)布置“软件设置”,右击“软件安装”,点击“属性”按钮。% ], D6 L* ?" ^: b3 m. n 7 W+ p' M) U( s. o+ J, s+ Q(3)在“软件安装属性”对话框中,点击“常规”选项卡,设置下表描述的选项的任何组合。(^60090102i^)(^60090102j^) - Z; k) |* n) W: e' s ; p# Y/ k/ [ z+ x' i& n可以布置一个应用程序的几个不同配置并且控制如何分配或发布应用程序。使用软件修改,执行下面步骤: 2 C6 S+ ]8 c, ^, ?- n x0 m: L% k% z (1)在将一个新包添加到一个组策略中或在此包布置前,打开应用程序包的“属性”对话框,点击“修改”选项卡。点击“增加”按钮。 / x, ?% L' z2 w- u4 B# Q# z h P( V" a( @. [8 F (3)在“打开”对话框中,选择修改(.mst)文件的路径和文件名,点击“打开”按钮即可。: t. G* l2 Y/ r: j5 { 7 N% f* K! w- z& p 4.创建软件类别 # h0 f8 l1 f7 i. g6 O7 `创建软件类别,执行下面步骤: . i8 r8 I5 s/ h3 E- I$ L+ `# k 3 p. S: q# ]+ s# z7 _(1)根据软件是要分配给用户还是计算机,或是发布,在“用户配置”或“计算机配置”内创建或编辑一个组策略。 5 v" C$ Q% u8 U5 ?4 j% }5 g% n8 k2 h. W (2)布置“软件设置”,右击“软件安装”,然后点击“属性”按钮,在打开的对话框中点击“类别”选项卡。 6 ]1 p# P* I9 Z* U7 Q; j: z1 Z7 \2 f (3)点击“增加”、“修改”或“删除”按钮创建并编辑类别名。 / q" c r2 w1 o / N+ ]0 C: Q- X5 M) n" j管理员还可以控制哪个应用程序首先和文件扩展名关联。修改文件扩展名优先权,执行下列步骤: : S, m( c! M& ^; F' x6 ?: C$ N- Z- S [& K (1)打开用于布置应用程序的组策略。布置“用户配置”,然后打开软件安装的“属性”对话框。 6 H+ ^. I7 o: j( A* t$ L% o; D7 |( b* w1 y2 U (3)在软件安装的“软件安装属性”对话框中,点击“文件扩展”选项卡,单击(向上)或(向下)来设置优先次序。 / D* r! w% ~6 M6 r( _$ i6 V, N' U0 J! H* y 5.维护布置的软件3 a: v* p8 Y z3 l. ]! c 维护布置的软件在于:升级布置的软件、重新布置软件。升级布置的软件:可以进行强制升级或可选升级。强制升级用于强迫用户升级到当前最新的版本。可选升级用于允许用户同时使用一个程序的两个版本。为布置一个升级,执行下列步骤:: n1 g! m) U0 F- B; I, S - o% r& j% d6 I* D(1)布置高一级版本软件。. t% L' y1 K5 R+ ?; y# N1 X / ?" w; l: e9 H6 ~' b+ y. V; r# q (2)打开“软件安装”,右击高一级版本,然后点击“属性”按钮。在包文件的“属性”对话框中,点击“升级”选项卡。在“Packages that this package will upgrade”部分,点击“增加”按钮,选定低版本应用程序。 : R. [" @# w0 H( U9 u3 A) N2 A- g4 @& h& r" W" f9 N8 H0 l (3)选择升级类型:为进行强制升级,选定“现存软件必须升级”复选框;为进行可选升级,取消选定“现存软件必须升级”复选框。0 ]$ I* C6 }* }6 a 5 j1 W4 X- ] w! b0 n6 j- ` |6.删除布置的软件 , j( u5 Z+ x+ L) _& F0 S N. R删除布置的软件,执行下列步骤: : A# q0 R: Z6 A6 U' T! ^+ C; _. @$ f6 b; @$ s1 Q) r (1)打开原来用于布置软件的组策略。在“软件安装”中,右击包名,选择“所有任务→删除”命令。 ; r/ \7 o/ b) r# j * ~) s9 S% O! \& L(2)在“删除软件”对话框中,选择下表描术的选项中的一项,然后单击“确定”按钮。

28,390

社区成员

发帖
与我相关
我的任务
社区描述
ASP即Active Server Pages,是Microsoft公司开发的服务器端脚本环境。
社区管理员
  • ASP
  • 无·法
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧