第9章共享网络资源 课题：共享网络资源 课型：理论课课时：2课时 教学目的：1、了解发布对象和共享资源的比较； 2、掌握发布共享文件夹的操作； 3、掌握管理打印机发布的操作； 4、掌握配置打印机定位的操作。 重点难点：1、共享资源和发布资源的区别； 2、管理打印机发布的操作； 3、管理文件夹发布的操作。 教学环境：1、多媒体教室； 2、一台安装有虚拟机的电脑。 教学方法：讲授法 教学过程： WindowsServer2003的ActiveDirectory可以用来存储网络对象的信息，提供快速的信息检索，并提供安全机制来控制对ActiveDirectory中的信息的访问。本次课程将介绍如何利用ActiveDirectory来进行共享网络资源的发布和管理，以及用户如何在网络上方便快速地查找这此资源。其中将重点介绍共享文件夹和打印机的发布。 一、网络资源发布概述 网络资源的发布是以ActiveDirectory为基础，首先在ActiveDirectory中创建一个要发布的资源对象，并设置及相应的属性，这样用户就可以通过ActiveDirectory很方便地搜索这些资源。 1、发布对象和共享资源的比较 在发布对象（如文件共享文件夹和打印机）时，要理解在ActiveDirectory中发布的对象和实际的共享资源是不同的，认识这些不同有助于解决用户在访问发布资源时出现的问题。 在ActiveDirectory中发布的对象与它所代表的共享资源完全无关。当在ActiveDirectory中发布打印机或共享文件夹时，存在两个完全不同的对象：共享的文件夹或打印机、发布的对象。发布的对象包含对共享资源位置的引用。当用户访问发布的对象时，WindowsServer2003操作系统会自动将用户重定向到共享的资源位置。 因为共享资源和引用此共享资源的发布对象是两个不同的对象，所以每个对象都有自己的自由访问控制列表（DiscretionaryAccessControlList，DACL）。下面来说明一下两者的不同。 （1）用于共享资源上的DACL 对于共享资源上的DACL是用来控制共享资源的访问的。例如，对共享打印机可以用DACL来控制打印机的打印权限和管理权限，如下图所示。 其所有设置都是在共享打印机的属性中设置。 （2）用于ActiveDirectory中发布对象的DACL ActiveDirectory中发布对象的DACL用来控制发布对象的属性权限，用户至少拥有对该对象的“读取”权限，才能够在网络上查看发布的对象，或者访问该对象对应的共享资源（由共享资源的DACL决定），如下图所示的打印机发布对象的属性。 用户或许可以看到已经发布的对象（这个权限是由该对象的DACL控制），但不一定可以访问对应的共享资源（这取决于共享资源上的DACL）。 2、用组来管理对对象和资源的访问 将资源访问需求相似的账户组合到一个用户组中，然后对整个用户组来进行授权，这种方式简化了对用户的授权和管理。常用的对象管理策略有两种形式：组计划策略和扩展组计划策略。 （1）组计划策略 将用户账户（A）添加到全局组（G）中，然后将全局组添加到本地域组（DL）中，再将发布对象或资源的权限（P）授予本地域组，即为AGDLP。AGDLP策略降低了访问授权的复杂性，同时提供了更好的设置灵活性。 例如说明。 （2）扩展组计划策略 在本地模式环境中部署多个域时，当“组类型”为通讯组时，用户可以创建“通用”组作用域。这时可以使用通用组来扩展AGDLP。 将用户账户（A）放入全局组（G）中，并将全局组添加到通用组（U）中，然后将通用组放入本地域组（DL）中，再对本地域组授权（P）。这样的AGUDLP策略减少了本地域组中的账户数目。 二、文件夹的共享与发布 在ActiveDirectory中可以发布的任何用UNC（UniversalNamingConvention，通用命名约定）名称的共享文件夹。运行Windows2000以上版本的计算机可以在ActiveDirectory中找到代表共享文件夹的对象，然后连接到该共享文件夹上。在发布共享文件夹之后，还可以为共享文件夹定义关键字和描述。如果有必要的话，还可将共享文件夹移动到组织单位中。 1、发布共享文件夹 用户可以ActiveDirectory中发布任何共享的网络文件夹。由于在ActiveDirectory中创建共享文件夹对象时，并不自动共享该文件夹。因此在ActiveDirectory中发布共享文件夹要分两个步骤：先共享文件夹，然后再进行发布。 （1）添加共享文件夹。参考本教材的第4章内容。 （2）打开“管理工具”中的“ActiveDirectory用户和计算机”。 （3）在控制台树中展开域节点，找到需要创建共享文件夹对象的容器。 （4）鼠标右键单击