量身定做 打造灵活安全的存储域服务器

2008server

原文：http://server.it168.com/server/2007-12-19/200712190953138.shtml

计算机的发展很快，国内大部分中小型企业都采购有服务器。在中小型企业服务器应用当中，笔者接触最多的两种应用是：企业内部文件交换与存储的文件服务器、内部安全控制管理的域控制服务器。

    如何对企业文件存储服务器与域控制服务器，进行最有效、有针对性的管理是每一个IT管理员必须考虑的问题。在笔者多年的技术支持工作当中，初级用户在在企业内部访问服务器时经常会遇到这样一种尴尬：

    1、服务器上共享出一大堆目录，加上企业内部计算机共享出来的目录，打开网上邻居需要花费大量时间才找到自己需要的网络共享文件夹。
    2、访问服务器时的一些共享目录，系统总提示：没有权限或要求输入相关的帐号和密码。
    3、服务器共享出自己的私人目录，别人虽然不能访问该文件夹时，但共享目录在网上邻居显示，安全性总是让人担心。
    4、办公室电脑偶尔也会被公司其他同事使用，访问服务器共享目录时，显示出来的文件却是自己的。

     综合以上的问题，很多企业计算机用户常常会问：有没有办法更快速、更直观地访问服务器共享目录呢？有没有办法让不同的帐号在不同的计算机登陆访问服务器的资源也不同呢。有没有办法不要把公司每一个人的共享目录都显示出来，而只显示自己需要和常用的呢？有没有办法让公司新进员工能够快速利用网络共享资源和信息呢？

    很多时候，我们发现普通的计算机用户不是专业人士，专业人员通过熟练的技术就能够快速访问服务器资源。如直接在运行输入：\\\\ServerName等等访问服务器。而一般的用户则不同，如何解决访问服务器共享目录的便捷、安全等问题，就需要考验每个企业IT管理员了。

     在这里，笔者根据自己多年服务器部署的经验，结合多数企业在实际中的需求，在部署时统一规划帐号与共享目录，利用域帐号登陆脚本，结合文件目录共享权限对整个系统提供一个切实可行的技术解决方案。

     以下是笔者在实验环境中，使用一台Windows 2003 Server服务器充当域控制器和文件服务器应用部署以上的解决方法。注意：Windows NT Server/Windows 2000 Server都可以实现以下共享功能！

2008server

一、升级为域控制器

    正常安装好Windows 2003 Server操作系统好，安装好各种驱动程序以及相关程序。我们将服务器升级成域控制器。在这里，笔者使用“Windows Server 2003 管理服务器”向导进行安装域名服务 (DNS)、Active Directory域控制器。

    1、单击“开始”按钮，单击“运行”，键入“DCPROMO”，然后单击“确定”。
    2、在出现“Active Directory 安装向导”时，单击“下一步”开始安装。
    3、 阅读“操作系统兼容性”信息后，单击“下一步”。
    4、 选择“新域的域控制器”（默认），然后单击“下一步”。
    5、 选择“在新林中的域”（默认），然后单击“下一步”。
    6、 对于“DNS 全名”，键入“DMSERVER.DTEST.COM”，然后单击“下一步”。（这表示一个完全限定的名称。）
    7、单击“下一步”，接受将“DMSERVER”作为默认“域 NetBIOS 名”。（NetBIOS 名称提供向下兼容性。）
    8、在“数据库和日志文件文件夹”屏幕上，将 Active Directory“日志文件文件夹”指向“L:\\Windows\\NTDS”，然后单击“下一步”继续。
    9、 保留“共享的系统卷”的默认文件夹位置，然后单击“下一步”。
    10、 在“DNS 注册诊断”屏幕上，单击“在这台计算机上安装并配置 DNS 服务器”。单击“下一步”继续。
    11、选择“只与 Windows 2000 或 Windows Server 2003 操作系统兼容的权限”（默认），然后单击“下一步”。
    12、在“还原模式密码”和“确认密码”中，键入密码，然后单击“下一步”继续。注意：在生产环境中，应使用复杂的目录服务还原密码。
    13、显示的是“Active Directory 安装选项摘要”。单击“下一步”开始安装 Active Directory。在出现提示时，请插入 Windows Server 2003 安装 CD。
    14、单击“确定”，对已为 DNS 服务器动态分配了 IP 地址这一提示信息作出确认。
    15、如果有多个网络接口，在“选择连接”下拉列表中选择“10.0.0.0 网络接口”，然后单击“属性”。
    16、 在“此连接使用下列项目”部分下面，单击“Internet 协议 (TCP/IP)”，然后单击“属性”。
    17、选择“使用下面的 IP 地址”，然后在“IP 地址”中键入“10.0.0.2”。按两次“Tab”键，然后在“默认网关”中键入“10.0.0.1”。在“首选 DNS 服务器”中键入“127.0.0.1”，然后单击“确定”。单击“关闭”继续。
    18、在“Active Directory 安装向导”完成后，单击“完成”。
    19、单击“立即重新启动”以重新启动计算机。完成Active Directory域控制器的安装。

2008server

二、配置域服务器

    服务器升级成域控制器后，还需要为企业的计算机使用者建立相应的域用户帐号，共享目录，权限等等。笔者在这里以建立一个域控制帐号为“andy.wang”，并设置隐藏共享、对于公共目录根据用户组统一设置好网络访问权限安全。对于网络用户私有文件夹，把它设为隐藏共享，避免服务器出现太多的共享文件夹。在安全方面：把该文件设为该用户完全控制权限。

    2.1、域用户建立步骤：

    通过单击“开始”按钮，指向“所有程序”，指向“管理工具”，然后单击“Active Directory 用户和计算机”。在出现的窗口就可以为每个使用者建立一个域用户帐号。详细的操作步骤如下：

     1、右键单击窗口左栏“Users”，指向“新建”，然后单击“用户”。
    2、键入“andy”作为“名”；键入“wang”作为“姓”。（注意，在“姓名”框中将自动显示全名。）
     3、键入“andy.wang”作为“用户登录名”。窗口应与图 7 相似。然后单击“下一步”。
     4、在“密码”和“确认密码”中，键入“pass#word1”，然后单击“下一步”继续。注意：默认情况下，Windows Server 2003 要求所有新创建的用户使用复杂密码。可通过组策略禁用密码复杂性要求。
    5、单击“完成”。此时，andy.wang的域帐号用户就建立完成了。

   2.2、设置共享目录与安全：

     在系统的数据盘建立共享目录。在这里，笔者在d:\\User_Data目录下为所有的域用户建立相应的共享目录。

    如下图所示，建立d:\\User_Data\\andy.wang共享目录，并右键单击该文件夹，指向“共享与安全”单击打开文件共享设置。

    第一步：在文件属性对话窗口选择“共享该文件夹”单选框，在下面共享名文本框输入对应域用户帐号+“$”，将共享名设为“andy.wang$”的隐藏共享。（图1）

    第二步：点击“权限”按钮，进入共享目录权限设置对话框。删除原有的everyone组，添加该域用户帐号权限，并勾选“完全控制”、“更改”、“读取”三个选项卡，设置完成后如下图所示：（图2）

    点击“确定”按钮回到文件属性窗口，再次点击“确定”按钮完成文件共享与网络访问权限设置。（图3）

    依次为所有域用户帐号建立相应的共享目录以及访问安全权限。当然，在设置公共共享文件夹时应让所有的都能够访问、部分域用户帐号能够修改或完全控制。在这里，笔者建立了二个公共共享文件夹方便所有的域用户进行数据交换：

    \\\\fileserver\\software //软件工具目录，所有用户都能够访问，权限为所有人读取。
    \\\\fileserver\\public //公共交换目录，所有用户都能够访问，权限为所有人完全控制

2008server

2.3、 编写用户脚本

    在服务器操作系统根目录下的Windows\\SYSVOL\\domain\\scripts目录下建立一个名为：login_net.bat的批处理脚本，该脚本在域用户在客户端计算机登陆时通过网络映射网络驱动器，让初学者不需要通过网上邻居就能访问文件服务器的共享目录。（图4）

    编辑login_net.bat文件为以下内容：
    @echo off //不显示运行脚本信息
    net use x: \\\\fileserver\\%username%$ //映射网络驱动器x:为域用户私有目录，使用“%username%”变量，“$”为隐藏共享标签。
     net use y: \\\\fileserver\\public //映射网络驱动器x:为服务器软件工具目录
    net use z: \\\\fileserver\\software //映射网络驱动器x:为服务器公共交换目录

2.4、 用户登陆设置

    再次单击“开始”按钮，指向“所有程序”，指向“管理工具”，然后单击“Active Directory 用户和计算机”。打开Active Directory用户和计算机窗口，点击左栏“Users”菜单，然后在右边的用户列表选择相应的用户。右击指向“属性”并打对该“用户属性”对话窗口。

    点击“配置文件”选项卡，在“登陆脚本”后的文本框输入login_net.bat（对应前面所建的批处理脚本文件名）（图5）

    点击“确定”后，我们完成了andy.wang域用户帐号在服务器端的所有设置。

2.5、客户端添加到域

    首先，你要保存你的服务器和工作站在同一网络当中。正常启动客户端工作站后，我们需要将工作端添加到域中。操作的步骤如下：

    1、单击“开始”按钮，单击“控制面板”，然后双击“系统”图标。
    2、单击“计算机名”选项卡，然后单击“更改”。
    3、确认“计算机名”为“wvh-e60929d8217”，然后单击“域”单选按钮（如图 1 所示）。
    4、在“隶属于”下面，键入“dmserver.dmtest.com”作为“域”，然后单击“确定”。
    5、此时将出现“域用户名和密码”对话框。您提供的帐户必须拥有加入该域的权限。在“名称”框中，键入[email=“administrator@contoso.com]“administrator@contoso.com[/email]”，然后单击“确定”。（本分步指南不需要输入任何密码。）（图6）

    6、在出现“欢迎加入 dmserver 域”消息时，说明工作站已成功加入该域。单击“确定”。
    7、单击“确定”重新启动计算机，然后单击“确定”关闭“系统属性”窗口。
    8、在出现“系统设置改动”对话框时，单击“是”重新启动工作站。

2008server

2.6、域用户登陆测试

    重新启动计算机后，输入域用户帐号和密码，并在“登陆到”下拉式菜单选择“域名称”，你就可以在客户端登陆到域了。特别注意的是，第一次在工作站登陆到域环境会建立相应的用户文档，处理时间会稍长，耐心等待系统完成后你就可以看到一个全新桌面。打开我的电脑，你就会发现多了三个网络映射驱动器：（图7）

    其中，个人存储网络驱动器会因域用户帐号的不同其映射的网络路径不同，达到不同帐号登陆对应不同网络共享文件夹的目的。由于个人文件夹采用了隐藏共享的方法，打开网上邻居，您也不会看不到个人的网络共享，解决了网络上众多共享而找不到自己需要的共享目录了。

文章小结：

    对于企业普通计算机用户来讲，由于掌握IT技术有限，如何快捷、便利地利用计算机、网络、服务器解决工作资料资源的共享，对企业IT经理人是一种挑战。在这里，笔者根据多年架构域服务器的经验和企业的实际应用需求，提供以上方法供大家参考。

    文章的思路是以点到面，充分考虑到企业服务器共享需求，对中小企业服务器充一规划与管理，以技术为基础为用户共享提供一个灵活、安全的解决方法。当然，在一些共享比较特殊或需求多样的用户，你完全可以完善用户登陆脚本来达到你需要的功能。您也可以为特定用户指定不同的脚本登陆脚来来实现不同用户映射不同的网络磁盘驱动器，方便对服务器共享文件夹的管理与使用。在网络安全方面，也可以根据具体情况，为不见的域用户设定不同的安全级别，加强共享文件夹的访问安全。

    本文在技术思路方面，利用微软操作系统的域控制器和共享权限安全，结合域用户登陆脚本解决计算机初级用户在服务器共享文件夹发现的一些问题，通过以上方法，达到企业计算机用户提供一个灵活的、安全的服务器资源共享的目的。