首先要感謝讀者長久以來的支持與愛護！這一系列書籍仍然採用我一貫的 ...

序首先要感謝讀者長久以來的支持與愛護！這一系列書籍仍然採用我一貫的

編寫風格，也就是完全站在讀者立場來思考，並且以實務的觀點來編寫這幾

本 Windows Server 2008 R2 書籍。我花費相當多時間在不斷的測試與驗證

書中所敘述的內容，並融合多年的教學經驗，然後以最容易讓您瞭解的方式

將其寫到書內，希望能夠協助您更容易的學會 Windows Server 2008 R2。

本套書的宗旨是希望能夠讓讀者透過書中完整與清楚的實務操作，來充分的

瞭解 Windows Server 2008 R2，進而能夠輕鬆的控管 Windows Server

2008 R2 的網路環境，因此書中不但理論解說清楚，而且範例充足。對需要

參加微軟認證考試的讀者來說，這套書更是不可或缺的實務參考書籍。

本套書分為“Windows Server 2008 R2 安裝與管理”、“Windows Server

2008 R2 網路管理與架站”、“Windows Server 2008 R2 Active Directory

建置實務”三本，內容豐富紮實，相信這幾本書仍然不會辜負您的期望，給

予您在學習 Windows Server 2008 R2 上的最大幫助。

感謝所有讓這本書能夠順利出書的朋友們，無論是給予寶貴意見、協助技術

校稿、出借測試設備或提供軟體資源的朋友們，尤其是“總合生活股份有限

公司”，這家專門承接微軟技術支援專案的公司，一直都給予我全方位的支

援，包含各種最新、最快的資源與各種測試設備。

戴有煒

2009 年 11 月

zycnzj.com/ www.zycnzj.com

zycnzj.com/http://www.zycnzj.com/

IV

Chapter 5 建立 Active Directory 網域 5-1 Active Directory 與網域 ................................. 5-2

Active Directory 的適用範圍 (Scope) .............................. 5-2

名稱空間 (Namespace) .................................................. 5-2

物件 (Object)與屬性 (Attribute) ....................................... 5-3

容區 (Container)與組織單位 (Organization Units，OU) ..... 5-4

網域樹狀目錄 (Domain Tree) .......................................... 5-5

信任 (Trust) ................................................................... 5-6

樹系 (Forest) ................................................................. 5-7

架構 (Schema) .............................................................. 5-8

網域控制站 (Domain Controller) ..................................... 5-9

Lightweight Directory Access Protocol (LDAP) ............. 5-10

通用類別目錄 (Global Catalog) ...................................... 5-11

站台 (Site) .................................................................. 5-12

網域功能與樹系功能等級 ............................................ 5-13

目錄分割區 (Directory Partition) ................................... 5-16

5-2 建立 Active Directory 網域 ........................... 5-17 建立網域的必要條件 ................................................... 5-19

建立網路中的第一台網域控制站 .................................. 5-20

檢查 DNS 伺服器內的記錄是否完備 ............................. 5-27

建立更多的網域控制站 ................................................ 5-29

5-3 將 Windows 電腦加入或脫離網域 .................. 5-35 將 Windows 電腦加入網域 ........................................... 5-36

利用已加入網域的電腦登入 ......................................... 5-40

脫離網域 .................................................................... 5-41

5-4 管理 Active Directory 內的網域使用者帳戶 .... 5-43 網域控制站內建的 Active Directory 管理工具 ................ 5-43

其他成員電腦內的 Active Directory 管理工具 ................ 5-44

建立組織單位 (OU)與網域使用者帳戶 ........................... 5-46



V

利用新使用者帳戶到網域控制站登入測試 ...................... 5-51

網域使用者個人資料的設定 .......................................... 5-56

限制登入時段與登入電腦 ............................................. 5-56

5-5 管理 Active Directory 內的網域群組帳戶 ........ 5-58 網域內的群組類型 ....................................................... 5-58

群組的使用領域 ........................................................... 5-59

網域群組的建立與管理 ................................................. 5-61

Active Directory 網域內建的群組 .................................. 5-62

5-6 提高網域與樹系功能等級 ............................. 5-66 提高網域功能等級 ....................................................... 5-67

提高樹系功能等級 ....................................................... 5-67

5-7 移除網域控制站與網域 ................................. 5-68

5-8 網域升級與在現有網域環境中安裝網域控制站 5-73

Chapter 6 NTFS 磁碟的安全性與管理 6-1 NTFS 權限的種類 ......................................... 6-2

標準 NTFS 檔案權限的種類 ............................................ 6-2

標準 NTFS 資料夾權限的種類 ........................................ 6-2

6-2 使用者的有效權限 ........................................ 6-3 NTFS 權限是可以被繼承的 ............................................ 6-3

NTFS 權限是有累加性的 ................................................ 6-4

「拒絕」權限的優先權較高 ............................................ 6-4

6-3 NTFS 權限的設定 ......................................... 6-5 指派檔案權限 ................................................................ 6-5

不繼承父資料夾的權限 ................................................... 6-7

指派資料夾權限 ............................................................. 6-9

特別權限的指派 ............................................................. 6-9

使用者的最終有效權限 ................................................. 6-13

6-4 檔案與資料夾的擁有權 ................................. 6-14



VI

6-5 檔案拷貝或搬移後權限的變化 ....................... 6-16

6-6 檔案的壓縮 ................................................. 6-18 NTFS 壓縮 ................................................................. 6-18

壓縮的 (zipped)資料夾 ................................................. 6-21

6-7 加密檔案系統 .............................................. 6-24 將檔案與資料夾加密 ................................................... 6-24

授權其他使用者可以讀取加密的檔案 ............................ 6-26

備份 EFS 憑證 ............................................................ 6-27

6-8 BitLocker 磁碟機加密與 BitLocker To Go ........ 6-28 BitLocker 的硬體需求 .................................................. 6-28

BitLocker 實例演練 ..................................................... 6-29

6-9 磁碟重組與檢查磁碟錯誤 ............................. 6-37

6-10 磁碟配額 .................................................... 6-38 磁碟配額的特性 .......................................................... 6-38

磁碟配額的設定 .......................................................... 6-39

監控每一個使用者的磁碟配額使用情況 ........................ 6-41

Chapter 7 存取網路檔案 7-1 公用資料夾 .................................................. 7-2

7-2 共用資料夾 .................................................. 7-4 共用資料夾的權限 ......................................................... 7-4

使用者的有效權限 ......................................................... 7-5

7-3 共用資料夾的新增與管理 .............................. 7-7 新增共用資料夾 ............................................................ 7-7

停止共用與變更使用權限 ............................................. 7-11

變更共用名稱 ............................................................. 7-13

隱藏式共用資料夾 ....................................................... 7-14

利用「電腦管理」來管理共用資料夾 ............................ 7-14

利用「共用與存放管理」來管理共用資料夾 .................. 7-17



1 0 - 3

10 檔案伺服器的管理

造成事件發生的使用者，不過您需要事先設定與郵件有關的設定值：如圖

10-1-3 所示【對著檔案伺服器資源管理員按右鍵設定選項電子郵件通

知】，然後指定可以傳送電子郵件通知的 SMTP 伺服器的伺服器名稱或 IP

位址、預設的系統管理員收件者、預設寄件者的電子郵件地址等。

圖 10-1-3

10-2 存放裝置報告管理存放裝置報告管理(Storage Reports Management)功能讓您可以追蹤磁碟的

使用情形，以便了解磁碟的使用趨勢，進而作為管理的參考，例如：

您可以排定每個星期五晚上 8 點針對一週內使用者最常存取的檔案來

製作報告，若您要將伺服器關機維護的話，有了這些報告所提供的資

訊，就可以幫助您了解關機後對使用者的影響程度。



Windows Server 2008 R2安裝與管理

1 0 - 4

您可以立即要求系統製作報告，例如要求系統針對某個資料夾(含其子

資料夾)來製作一份內含重複檔案的報告，以便了解是否有不必要的重

複檔案。

您可以針對指定的檔案群組來製作報告，例如針對某個資料夾內屬於音

訊與視訊的檔案來製作報告，以便了解這個資料夾內有哪些檔案是隸屬

於這一類型的檔案、它們佔用了多少磁碟空間等。

變更存放裝置報告的預設值

要啟用存放裝置報告功能之前可能需要修改某些設定值：【對著檔案伺服

器資源管理員按右鍵設定選項點擊圖 10-2-1 中的存放裝置報告標籤】。

由圖中看出可以用來製作報告的項目有：

大型檔案

您可以針對磁碟或資料夾來製作大型檔案報告，以便瞭解磁碟或資料夾

內有哪一些檔案是大型檔案。系統預設將大於 5 MB 的檔案視為大型檔

案。您可以點擊右方編輯參數鈕來變更大型檔案的定義。

依擁有者列出的檔案

系統預設是根據所有擁有者，來列出他們在磁碟或資料夾內所擁有的檔

案。您也可以自行選擇指定的使用者，來列出該使用者所擁有的檔案。

依檔案群組列出的檔案

系統已經內建了一些檔案群組，例如 Office 檔、音訊與視迅檔、電子郵

件檔、可執行檔、壓縮檔等，您也可以透過編輯參數鈕來自訂檔案群組。

系統預設是列出所有檔案群組的報告，也就是列出磁碟或資料夾內所有

檔案分別是隸屬於哪一些檔案群組等相關資訊。您可以自行選擇要列出

的檔案群組。

依屬性列出檔案

您可以自訂屬性(後述)、將此屬性指定給磁碟或資料夾內的檔案，然後

透過此處來製作一份內含此屬性的檔案的報告。



1 0 - 5


圖 10-2-1

重複檔案

例如您可以要求系統針對某個資料夾(含其子資料夾)來製作一份內含重

複檔案的報告，以便了解是否有不必要的重複檔案佔用著磁碟空間。

配額使用

若已啟用磁碟配額管理功能的話，可以針對配額使用量已經達到某個百

分比的磁碟或資料夾來製作報告。您可以自行決定這個百分比值。

最近未存取過的檔案

例如您可以製作一份內含 5 天內(可以自行設定天數)沒有被存取過的檔

案的報告。

最近存取過的檔案




1 0 - 6

例如您可以製作一份內含 5 天內(可以自行設定天數)曾經被存取過的檔

案的報告。

檔案檢測稽核

如果有啟用檔案檢測(File Screening)功能的話，則您可以針對曾經發生

過的檔案檢測事件來製作報告。不過您必須事先在前面的圖 10-2-1 中

【點擊檔案檢測稽核標籤勾選在稽核資料庫中記錄檔案檢測活動】。

製作存放裝置報告

您可以透過圖 10-2-2 右方的動作視窗來排定時程製作新的報告、編輯現有

的報告工作或立即產生報告。

圖 10-2-2

此處我們利用立即產生報告來說明。在您點擊立即產生報告後就可以透過

圖 10-2-3 來選擇要製作報告的磁碟或資料夾、欲報告的項目、報告的格式

等，例如圖中我們選擇針對資料夾 C:\RdSchedule 來製作最近 7 天內被存取

過的檔案的報告，其中天數的設定值是採用預設的 7 天(若要修改天數，請

按畫面中的編輯參數鈕)。



1 0 - 7


圖 10-2-3

您也可以透過圖中的傳遞標籤來選擇將報告傳遞給指定的系統管理員

(SMTP 伺服器需事先設定好，參考前面的圖 10-1-3)。完成設定後按確定

鈕。由於我們是選用立即產生報告，因此會出現圖 10-2-4 的畫面，在此我

們選擇等待報告產生後直接將報告顯示在螢幕上(如圖 10-2-5 所示)。

圖 10-2-4




1 0 - 8

圖 10-2-5

這些報告也會被儲存到指定的資料夾之下，而資料夾的設定可以透過如圖

10-2-6 所示的途徑來設定，圖中：

事件報告資料夾(Incident reports folder)

它是用來儲存發生配額限制事件或檔案檢測事件的報告。

排程報告資料夾(Scheduled reports folder)

我們透過前面圖 10-2-2 右方動作視窗的排程新的報告工作所製作的報

告就是儲存在此處。

依需求報告資料夾(On-demand reports folder)

我們透過前面圖 10-2-2 右方動作視窗的立即產生報告所製作的報告就

是儲存在此處。



1 0 - 9


圖 10-2-6

10-3 磁碟配額管理我們在章節 6-10 已經介紹過磁碟配額的管理，它是用來追蹤、控制每一個

使用者在每一個磁碟內的配額，然而在檔案伺服器資源管理員內則是以磁

碟或資料夾為單位，而且不論使用者是誰，例如您可以限制 C:\Tools 資料

夾內最多可以儲存 10MB 的資料，而在張三將 6MB 的資料儲存到此資料夾

後，如果之後另外一個使用者李四要儲存一個 5MB 的檔案到此資料夾的

話，李四會被拒絕，因為此資料夾總容量不允許超過 10MB。

您可以透過圖 10-3-1【配額管理配額建立配額】的途徑來建立配額，另

外圖中的配額範本內則提供了一些內建的範本供建立配額時來套用。




1 0 - 10

圖 10-3-1

在點擊圖 10-3-1 右方建立配額後會出現圖 10-3-2 的畫面，此時可以透過圖

上方的配額路徑來設定欲建立配額的資料夾或磁碟，接著有以下兩個選擇：

在路徑建立配額：此時您可以自訂配額內容。

在現有和新子資料夾自動套用範本並建立配額：此時您只能夠選擇額配

範本來套用，而且無法自訂、修改配額內容。

圖 10-3-2



首先要感謝讀者長久以來的支持與愛護！這一系列書籍仍然採用我一貫的 ...

Documents