张肃线:网管员兵法：中小企业十步完美组网上篇

　　开篇：企业需求分析

　　首先要搞清楚中小企业的概念。中小企业通常是指规模在500人以下的企业，如果进一步细分，又可分为100人以下的小型企业、100～250人的中小型企业，以及250人以上的中型企业。从广义的角度，又可以将同等规模的政府、科研及教育等单位也作为中小企业来看待。许多中小企业网络技术人员较少，而对网络的依赖性却很高，因此需要网络尽可能简单、可靠、易用，降低网络的使用和维护成本显得尤为重要。

　　案例背景：

　　我们以金米软件公司为例，此公司共有8个部门，分别是：财务部、行政部、人力资源部、市场部、策划部、开发部、测试部、客服部等8个部门，每个部门约有20人左右。经过调研，企业有以下的需求：

　　企业需求：

　　A. 所有员工都能访问互联网

　　B. 各职能部门之间可以共享文件

　　C. 行政部有一个HP打印机，希望员工都有权限共享使用

　　D. 企业内部有一个OA网站，存放有员工管理系统和企业信息发布系统

　　E. 企业每个员工有一个以自己姓名为邮箱名的个人邮箱，用于收发办公邮件。邮箱的后缀名为@jinmi.com

　　F. 由于工作性质的需要，要求企业员工上班期间不得听音乐和上一些娱乐性或者是不安全的网站。

　　G. 各员工之间能够通过企业内部的RTX软件实现即时通讯，以提高工作效率。

　　H. 因为工作需要部分员工有在家上班的需求，要求在公司之外也可以登录到使用企业的打印机、OA网站等资源

　　大家可以看到这些需求应该包括了一般中小企业的办公及应用要求，功能不少。那肯定有朋友要问了，实现这么多的功能，这得多少设备?我们企业投资可不多呀!但我们会想办法降低成本。具体我们先来看一下拓扑图：

▲图：典型中小企业网络拓扑图

　　大家看到这个拓扑图的第一感觉，可能是比较简洁。这里没有路由器和VPN设备。没有路由器，那么员工怎么访问外网呢，而且没有VPN设备，那么怎么让员工在家工作呢?因为咱们的宗旨是花小钱，办大事。这里，我们不用采购路由器和VPN设备，也不去采购硬件防火墙，我们使用的是微软的ISA软件防火墙，在此使用ISA防火墙的好处是：

　　第一：应用层控制：ISA Server 2006具有强大的应用层过滤功能，能够基于应用层、访问内容和用户账户等对访问请求进行严格的访问控制;

　　第二：操作简单：它是基于Windows操作系统的，是Windows操作界面，管理员几乎不需要专业培训，即可进行专业的管理。

　　第三：功能强：ISA Server中提供了集成的远程访问VPN和站点到站点VPN支持，能够让你同时实现高效、安全、可靠的虚拟专用网络服务，从而让用户的访问实现“Access Anywhere”;最后，ISA Server 提供了高效的性能和可靠稳定的服务，让你实现轻松的IT管理生活。

　　设备清单：此清单可以根据企业需要做适当的调整，这是其中一种方案

　　金米软件公司网络构建设备清单：

▲表：设备清单，价格仅供参考

　　在这个设备清单中，还是有一些技术问题需要讨论的，这个核心层的交换机是使用二层交换呢，还是使用三层交换机呢!这里只能说是各有优缺点：

　　二层交换机的好处：部署简单，成本低，如果使用一个千兆的二层交换机1000大洋足矣!但如果是三层交换机，思科系列100M的，也得超出1万大洋。H3C的性价比要高一点，如H3C LS-3600-28TP-SI 大约5000元左右。但我们这里使用的是三层交换，为什么呢?

　　由于以太网以数据广播的方式进行工作，当一个网络中的工作站较多时，网络通道就变得比较拥塞，网络的性能也就随之较低。为了改善这种情况，可以采用VLAN技术将一个网络划分为几个逻辑上相互独立的虚拟局域网，即VLAN。也就相当于把每一个部门当成一个独立的虚拟局域网。通过VLAN技术，广播信息被限制在每个VLAN中，而不再是整个网络，并且各个子网之间不能直接通信，不但可以减轻网络负载，而且可以提高网络通信的安全性，并且有利于企业网络的扩展!

　　IP地址规划：

▲表：企业内各IP地址分配表

　　至于企业内部员工的IP地址分配问题，一般有两种解决方案供大家选择：

　　第一种方案：大约200个用户直接在一个C网段中，如：192.168.10.0 /24

　　好处是：配置简单，核心交换机也可以换成二层交换机，没有必要使用VLAN技术了，只要在内网中配置一个DHCP服务器，由此服务器自动为员工分配IP地址、子网掩码、网关和DNS等相关的参数。缺点是：大家都在一个大的广播网中，而广播对网络的性能会有所影响，而且不利

　　第二种方案：就是如同上表所示，每个部门为一个VLAN。

　　好处是：有效隔离了广播，提高了网络性能，有利于企业网络的扩容。但缺点就是会用到三层技术，企业可以选择使用的设备是三层交换机或者是路由器。那么我们在这里就使用了三层交换机，它同时具有二层交换和三层路由的功能，但配置起来会略为麻烦，但考虑到企业以后的发展，还是建议使用此方式。

　　本系列文章所需要知识要点：

　　为了使本系列文章中所涉及到的每一个技术都能顺利实施，要求IT网络管理员具备以下知识：局域网组建常识、VLAN的管理、Windows 操作系统基本操作、IIS的管理、ISA Server的管理、RTX即时通讯服务器的部署。

　　在此并不是要求IT网络管理员必须是一个技术高手，如果是技术高手也就不用再看本系列文章了。因为是中小企业应用，所以对管理员的知识储备要求不高，针对每个知识要点有所了解即可，然后结合本系列文章的介绍，就完全可以实现相应的功能。

　　中小企业网络构建十步法：

　　第一步：局域网布线：

　　第二步：利用三层交换实现部门间的VLAN通讯

　　第三步：文件共享：企业内部如何实现文件的共享

　　第四步：利用ISA Server实现共享上网：企业员工共享连接到Internet

　　第五步：防火墙：通过防火墙技术来保护企业内网的安全

　　第六步： OA服务器：内网信息平台，各职能部门协调工作

　　第七步： FTP服务器及打印服务：实现文件的上传和下载

　　第八步： 企业邮箱：为企业员工量身定制邮件服务，提高企业形象

　　第九步： RTX服务：企业内部即时通讯

　　第十步：VPN服务： 企业员工如何在家工作

　　今天我们来开始踏入中小企业网络构建十法大法的第一步：局域网布线

　　局域网布线应该是构建企业网络的第一步，我们首先看到的只是空荡荡的建筑物，那么怎么组建局域网，在组建局域网的时候有什么要注意的地方?下面我们来详细看一下和组建局域网相关的内容：

　　拓扑结构：

　　计算机网络拓扑结构，即是指网络上的各种设备与传输介质的物理连接方式，说白了就是如何布线。

　　计算机网络的拓扑结构主要有：总线型拓扑、星型拓扑、环型拓扑、树型拓扑和混合型拓扑。现在的局域网中都用的一般都是星型拓扑，所以我们在此就只介绍星型拓扑：

　　星型拓扑：

　　星型拓扑就是指各计算机节点以星型的方式连接成网。在星形网络中，有一个中间节点，各节点都与中间节点直接相连。而这个中间节点一般用到的最多的设备就是交换机，早期有可能是HUB，但现在使用不多了。在家庭组网中还有可能是宽带路由器。如图所示：

▲图：星型拓扑

　　星型拓扑结构便于集中控制，因为各节点用户之间的通信必须经过中心节点，由于这一特点，也带来了易于维护和安全的特点。某一个节点如果发生故障停机时不会影响其他节点的正常通信。同时网络的延迟时间较小，传输误差低。但这种结构不利的一面就是如果中间节点发生故障了，则整个网络瘫痪。

　　其他拓扑结构如图所示：

▲图：环刑拓扑

▲ 图：总线型拓扑

▲ 图：全互连型拓扑

▲图：树型拓扑

　　因为现在中小企业网络中星型拓扑是主导，所以像环型、总线型和互连型、树型等拓扑在此只是给出拓扑图，不再讲解，有关网络拓扑结构的详细内容，可以参考IT168文库：

　　http://wenku.it168.com/d_000047687.shtml

　　传输介质：

　　因为计算机通信分为有线通信和无线通信两种，所以传输介质也分为两大类：有线和无线。

　　有线介质常用的有双绞线、同轴电缆和光纤。无线介质包括卫星、微波、红外等。

　　因为我们使用的是星型拓扑，所以此只介绍双绞线的一些特性，其他的介质在此不做介绍，大家如需了解可以参考IT168文库：

　　http://wenku.it168.com/d_000004460.shtml

　　双绞线：

　　双绞线采用了一对互相绝缘的金属导线互相绞合的方式来抵御一部分外界电磁波干扰，更主要的是降低自身信号的对外干扰。把两根绝缘的铜导线按一定密度互相绞在一起，可以降低信号干扰的程度，每一根导线在传输中辐射的电波会被另一根线上发出的电波抵消。“双绞线”的名字也是由此而来。

　　双绞线分为屏蔽双绞线(Shielded Twisted Pair，STP)与非屏蔽双绞线(Unshielded Twisted Pair，UTP)。屏蔽双绞线在双绞线与外层绝缘封套之间有一个金属屏蔽层。屏蔽层可减少辐射，防止信息被窃听，也可阻止外部电磁干扰的进入，使屏蔽双绞线比同类的非屏蔽双绞线具有更高的传输速率。出于成本和施工方面的考虑，企业中一般都使用非屏蔽双绞线，此线缆由四对不同颜色的传输线所组成。

　　双绞线按电气性能划分的话，可以划分为：三类、四类、五类、超五类、六类、七类双绞线等类型，数字越大，也就代表着级别越高、技术越先进、带宽也越宽，当然价格也越贵了。三类、四类线目前在市场上几乎没有了，目前在一般局域网中常见的是五类、超五类或者六类非屏蔽双绞线。目前的超五类和六类非屏蔽双绞线可以轻松提供155Mbps的通信带宽，并拥有升级至千兆的带宽潜力，因此，成为当今水平布线的首选线缆。

▲图：屏蔽双绞线

▲图：非屏蔽比绞线

水晶头做法：

　　RJ45 型网线插头又称水晶头，广泛应用于局域网和 ADSL 宽带上网用户的网络设备间网线的连接。制作过程中会用到网络钳和测线仪。

▲图：水晶头

▲图：网线钳、测线仪

　　在具体应用时，RJ45 型插头和网线有两种连接方法(线序)，分别称作 T568A 线序和 T568B 线序。

　　标准568A线序：绿白-1，绿-2，橙白-3，蓝-4，蓝白-5，橙-6，棕白-7，棕-8。

▲　图：T568A的线序

　　标准568B线序：橙白-1，橙-2，绿白-3，蓝-4，蓝白-5，绿-6，棕白-7，棕-8

▲图：T568B的线序

　　一般大家习惯把两头都按T568B线序制作的双绞线称为直通线，把一头T568A，另一头T568B线序连接的双绞线称为交叉线。

　　直通线：用于连接不同设备，如：PC---交换机(集线器)

　　交叉线：用于连接同种设备。如：PC---PC、交换机---交换机

　　但现在也没必要完全按照这种标准来，千兆网卡都是自适应的，就是同种设备在连接的时候也可以使用直通线，这要看相应接口上的标识。

　　制作过程：

　　RJ45 型网线插头引脚号的识别方法是：手拿插头，有 8 个小镀金片的一端向上，有网线装入的矩形大口的一端向下，同时将没有细长塑料卡销的那个面对着你的眼睛，从左边第一个小镀金片开始依次是第1 脚、第2 脚、…、第8 脚。

　　第一步：剥线。我们首先利用压线钳的剪线刀口剪裁出计划需要使用到的双绞线长度。我们需要把双绞线的灰色保护层剥掉，可以利用到压线钳的剪线刀口将线头剪齐，再将线头放入剥线专用的刀口，稍微用力握紧压线钳慢慢旋转，让刀口划开双绞线的保护胶皮。在这个步骤中需要注意的是，压线钳挡位离剥线刀口长度通常恰好为水晶头长度，这样可以有效避免剥线过长或过短。若剥线过长看上去肯定不美观，另一方面因网线不能被水晶头卡住，容易松动;若剥线过短，则因有保护层塑料的存在，不能完全插到水晶头底部，造成水晶头插针不能与网线芯线完好接触，影响到线路的质量。

▲图：剥线

　　第二步：排线。我们需要把每对都是相互缠绕在一起的线缆逐一解开。解开后则根据需要接线的规则把几组线缆依次地排列好并理顺，排列的时候应该注意尽量避免线路的缠绕和重叠。

▲　图：排线

　　第三步：剪齐。我们把线缆依次排列好并理顺压直之后，应该细心检查一遍，之后利压线钳的剪线刀口把线缆顶部裁剪整齐，需要注意的是裁剪的时候应该是水平方向插入，否则线缆长度不一会影响到线缆与水晶头的正常接触。若之前把保护层剥下过多的话，可以在这里将过长的细线剪短，保留的去掉外层保护层的部分约为15mm左右，这个长度正好能将各细导线插入到各自的线槽。如果该段留得过长，一来会由于线对不再互绞而增加串扰，二来会由于水晶头不能压住护套而可能导致电缆从水晶头中脱出，造成线路的接触不良甚至中断。

▲　图：剪齐

▲图：插线

　　第五步：确认无误之后就可以把水晶头插入压线钳的8P槽内压线了，把水晶头插入后，用力握紧线钳，若力气不够的话，可以使用双手一起压，这样一压的过程使得水晶头凸出在外面的针脚全部压入水晶并头内，受力之后听到轻微的“啪”一声即可。

▲　图：压线

　　第六步：测试。网线做好后，我们可以拿测线仪测试一下连通性，做法是：将网线的两端分别插入到测线仪中，这里测线仪上的两组指示灯都会闪动。若测试的是直通线的话，在测线仪的两组指示灯会同步闪动，如果不同步闪动，则存在问题。如果是交叉线的话，一组是12345678的顺序，别一组对应的是36145278人顺序。否则，也说明有问题，需要重新做!

▲图：测线

综合布线系统简介：

　　一提到组建局域网，大家都会提到综合布线系统，这里所说的综合布线系统指的是一套用于在建筑物内或建筑群之间为计算机、通信设施、监控系统预先设置的信息传输通道。综合布线系统是为适应综合业务数字网的需求而发展起来的一种特别设计的布线方式，它为智能大厦中的信息设施提供了产品兼容、模块化扩展的系统环境，强化了控制与管理，为用户节约了费用，保护了投资。综合布线的内容还是比较多的，但我们在这里只强调和我们组建局域网相关的内容。

　　综合布线系统为分六个部分，又称六个子系统，如下图所示：

▲　图：综合布线子系统

　　在这里我们简单了解一下即可，因为这些东西大家一看就明白，没有必要去记。本人对于综合布线的理解是：整齐漂亮的布线系统就是好的布线系统!

　　工作区子系统：位于用户端

　　用于将用户的设备(计算机)连接到布线系统中。这里用到最多的就是信息大家经常看到的信息插座。如图所示：

▲　图：信息插座

　　信息插座一般是安装在墙面上的，也有桌面型和地面型的，主要是为了方便计算机等设备的移动，并且保持整个布线的美观。

　　信息插座的接法：

　　第1步，把双绞线从布线底盒中拉出，剪至合适的长度。使用电缆准备工具剥除外层绝缘皮，然后，用剪刀剪掉抗拉线。

　　第2步，将信息模块的RJ-45接口向下，置于桌面、墙面等较硬的平面上。

▲图：信息模块

　　第3步，分开网线中的4对线对，但线对之间不要拆开，按照信息模块上所指示的线序，稍稍用力将导线一一置入相应的线槽内。通常情况下，模块上同时标记有568A和568B两种线序，用户应当根据布线设计时的规定，与其他连接设备采用相同的线序，一般为T568B标准连接。

▲　图：分开双绞线

　　第4步，将打线工具的刀口对准信息模块上的线槽和导线，垂直向下用力，听到“喀”的一声，模块外多余的线会被剪断。重复这一操作，可将8条芯线一一打入相应颜色的线槽中。

▲图：打线工具

▲图：将双绞线打压到模块中

　　第5步，将模块的塑料防尘片沿缺口插入模块，并牢牢固定于信息模块上。现在模块端接完成。

　　第6步，将信息模块插入信息面板中相应的插槽内，再用螺丝钉将面板牢牢地固定在信息插座的底盒上即可完成信息插座的端接。

　　连接计算机的做法，就很简单了：使用一根双绞线，一头插在信息插座上，另一头就插在计算机的网卡上即可。

▲图：工作区

　　信息插座的另一端连接在什么位置呢?另一端就要通过水平子系统连接管理子系统上。

　　水平子系统：平面楼层系统

　　起到支线的作用，一端连接工作区子系统(用户端)，另一端连接管理子系统。在我们这个案例中，就是连接到相应的交换机上。

　　管理子系统： 每一个楼层配线间内配线架类型或者是机柜。

　　垂直干线系统：就是建筑物中垂直安装的各种线缆。在进行水平子系统和垂直子系统施工的时候要注意，为了美观和维护的方便，尽量不要出现明线，也就是说看不到双绞线，那怎么办?可以穿在PVC管或者是钢管内，根据实际情况决定!

　　设备间子系统：机房子系统

　　集中安装大型通信设备或主机、网络服务器的场。在此案例中，我们可以把三层核心交换机、ISA服务器、OA服务器、打印服务器放置在此。

　　建筑群子系统：户外系统

　　用于连接楼群之间的通信设备，也就是如何连接多个大楼，一般典型的处理方法是：通过地下管道或者是架空走线!

　　在我们金米软件公司的施工过程中，发现8个部门都在一层楼上，那么只会涉及到六个子系统中的工作区子系统、水平子系统和管理子系统。那么这样的话，就可以根据实际情况作适当的调整，例如可以把二层交换机就放近放在每个部门办公室的拐角处，好处是省线。然后每一个办公室的二层交换机再引一根双绞线到三层交换机上。现在的小区或者是写字楼都会有专门的线槽，可供大家使用。

除了这六个子系统外大家在施工的过程，还需要注意一个小东西，东西虽小，但作用较大。没有它的话，后期维护起来会比较麻烦：

　　线标的作用：如果没有线标，将直接影响到后期的管理和维护工作。如施工人员怎么向管理人员移交，工人们当初印在脑子里面的清晰印记，也已经变的模糊。线标，对于后期维护是致命的。

　　缠绕保护膜线缆标签

　　缠绕式线缆标签由两部分组成，上半部分是白色或彩色的打印区域，下半部分是透明的保护区域，使用时用透明保护区域将打印区域缠绕覆盖，起到保护作用。透明的保护区域应该有足够的长度以包裹线缆一圈或一圈半，粘贴的位置应在距线缆接头3-10厘米的范围之内，标识的内容应清晰可见。

　　旗形标签：一般针对光纤介质进行标识的方法。因尾纤(光纤)的线径比较细，同时根据实际情况考虑到通讯设备上尾纤排列的密度大、间距小，所以一般用旗形标签来进行标注比较清晰。标签的材质要求：粘贴后的标签要求不易卷曲、不开胶、在尾纤上不会滑动。从打印清晰度到背胶的强度要求在室内要达到10年以上的品质保证。粘贴的位置应在距线缆接头3-10厘米的范围之内。

▲图：线标的常见方法

　　结合以上知识点的介绍，在金米软件公司这个案例中，我们的实施方法是：租用的是某写字楼的一层共9个房间。其中1个房间用为设备间，其他8个部门，每个部门占用1个房间。同样为了管理方便，在条件允许的情况下，我们把二层交换机、三层交换机、ISA、OA及FTP服务器都放置在设备间里。每个部门的每个员工相应信息模块所对应的双绞线要做好线标。线标推荐使用工位号，而不要使用姓名，以防止员工的离职带来的一系列问题。同理，二层交换机与三层交换机的连线也要做好线标，这里可以使用部门名或者是房间号。至于DMZ区域中的服务器以及ISA的连线，也都要做好线标!

　　综合布线系统的内容比较多，在此与我们案例不相关的内容，我们不再介绍，关于综合布线详细内容，可以参考IT168文库中的相关文章。

　　如：http://wenku.it168.com/d_000031068.shtml

　　http://wenku.it168.com/d_000012765.shtml

　　一、 所有的员工机器都在一个大的广播网中，也就是说大家都在一个子网中，这样的好处就是基本上不用配置，很简单实现，但因为广播的存在，直接影响到网络的安全性和性能，特别是当用户数量较多的时候，网络性能可能会急骤下降。所以一般当员工人数超过100人，就不推荐使用此方法。

　　二、 使用VLAN技术来隔离广播， VLAN的中文意思就是虚拟局域网。原理很简单，就是把每一个部门当成一个虚拟的局域网，也就是一个小的网络，好处就是隔离了广播，因为广播只能在一个子网中存在。那这样的话，需要实现部门间的通讯就需要使用到三层技术，可以使用路由器来实现各部门之间的路由转发。在这里我们结合中小企业网络的特点，简化网络，就直接使用一个三层交换机，因为三层交换机，在实现二层数据转发的同时还能实现三层路由功能。这样做的最大好处就是，扩展性较强，当增加新的部门或员工时，性能不会受到明显影响。

　　下面咱们就来看一下如何利用三层交换实现部门间的VLAN通讯，拓扑图如下：

▲企业拓扑图

　　我们的目的：

　　我们今天的目的很明显：就是实现内网办公区域内各员工之间如何实现网络的互通，至于上面的防火墙和DMZ区域，后面介绍到相应内容时，我们再做讲解。所以，今天我们就把内网办公域和三层交换机单独做一个拓扑，如下图所示：

      VLAN分配:

      下面我们看一下具体的VLAN的对应表：

　　IP地址规划：

       下面看一下各IP地址的分配表：

　　三层交换技术的基本原理：

　　三层交换是在网络交换机中引入路由模块而取代传统路由器实现交换与路由相结合的网络技术。它根据实际应用时的情况，灵活地在网络第二层或者第三层进行网络分段。具有三层交换功能的设备是一个带有第三层路由功能的第二层交换机，但它是二者的有机结合，并不是简单地把路由器设备的硬件及软件叠加在局域网交换机上。

　　每个VLAN对应一个IP网段。在二层上，VLAN之间是隔离的，这一点跟二层交换机中交换引擎的功能是一模一样的。不同IP网段之间的访问要跨越VLAN，要使用三层转发引擎提供的VLAN间路由功能。在使用二层交换机和路由器的组网中，每个需要与其他IP网段通信的IP网段都需要使用一个路由器接口作为网关。而第三层转发引擎就相当于传统组网中的路由器，当需要与其他VLAN通信时也要在三层交换引擎上分配一个路由接口，用来做VLAN的网关。

     　三层交换机的配置项目：在此Cisco交换机为例

　　主要配置项目就两项： 一是划分VLAN，二是为每个VLAN创建一个虚地址作为VLAN的网关。以下咱们看一下具体的配置命令，这里我写的比较详细，当大家配置熟练的时候，里面有一些命令是可以省略的，刚开始的时候，还是建议慢慢的理解!

　　1、 创建VLAN，并把相应端口划分到指定VLAN口：

　　交换机启动后，出现Switch>提示符之后，开始以下配置：

      从显示结果中可以看到，8个VLAN已经成功创建并包含指定的端口。

　　2、 为每个VLAN创建一个虚接口，作为相应VLAN的网关。

　　　注：为 VLAN10配置虚接口地址，作为财务部员工的网关

　　Switch#configure terminal 进入配置模式

　　Switch(config)#interface vlan 20 进入VLAN接口

　　Switch(config-if)#ip add 192.168.20.1 255.255.255.0 配置虚接口地址

　　Switch(config-if)#end 退回到特权模式

　　注：为VLAN20配置接口地址，作为行政部员工的网关

　　至于其他VLAN虚接口的配置，在此不再累述!

　3、 各员工计算机的网络配置：

　　各员工计算机的网络配置，可以使用DHCP自动分配，也可以手动配置，一般当员工数量较多的时候，推荐使用DHCP，以节省配置时间和防止IP地址冲突等，但因为存在VLAN，各部门的IP地址不在同一网段，所以如果使用DHCP，需要在启用DHCP中继。在此案例中，因为每个部门只有20名员工，在此，我们就手动设置，咱们以财务部和行政部员工机器为例：

▲图：员工机器的网络配置

　　下面，我们在192.168.10.2 上ping 192.168.20.2

▲图：测试网络是否畅通

　　NTFS文件系统：

　　Windows环境下所使用的文件系统一般有FAT及NTFS，但出于安全考虑，在企业中肯定使用NTFS，所以FAT在此不作讨论。

　　NTFS：NTFS (New Technology File System)是 Windows NT 操作环境和 Windows NT 高级服务器网络操作系统环境的文件系统。

　　NTFS特性：

　　支持分区容量更大：NTFS可以支持的分区(如果采用动态磁盘则称为卷)大小可以达到2TB。而Win 2000中的FAT32支持分区的大小最大为32GB。

　　可靠性增强：NTFS是一个可恢复的文件系统。在NTFS分区上用户很少需要运行磁盘修复程序。NTFS通过使用标准的事务处理日志和恢复技术来保证分区的一致性。发生系统失败事件时，NTFS使用日志文件和检查点信息自动恢复文件系统的一致性。

　　支持文件夹压缩:NTFS支持对分区、文件夹和文件的压缩。任何基于Windows的应用程序对NTFS分区上的压缩文件进行读写时不需要事先由其他程序进行解压缩，当对文件进行读取时，文件将自动进行解压缩;文件关闭或保存时会自动对文件进行压缩。

　　支持文件加密：NTFS的数据加密特性称作加密文件系统EFS，EFS是一个透明的文件加密服务，它是以公共密钥加密为基础，提供可选的数据恢复能力，系统管理员可以恢复另一用户加密的数据。

　　支持磁盘配额。磁盘配额可以管理和控制每个用户所能使用的最大磁盘空间。

　　强大的文件权限：相对于FAT相比，可以针对文件或文件夹设置更精细的权限。以实现更安全的管理。

　　权限：

　　在Windows系统中权限分为两种：安全权限和共享权限。

　　共享权限：限制用户通过网络访问资源时的权限

　　安全权限：可以限制用户通过网络和本地访问资源时的权限。相对于共享权限来说，权限种类多，适合精确控制。

▲　图：安全权限

　　分析：这个实现起来是很简单的，因为是所有用户都可以访问，所以就不需要进行特别的权限设置。

　　步骤如下：

▲　图：将财务部文件夹共享

　　在这里可又设置共享名，如果不设置，则默认和文件夹名相同;可又设置同时访问的用户数量等操作。如果需要设置共享权限，就点击：权限。

▲ 图：共享权限

　　在这里我们看到共享权限很简单，就一个everyone可以读取，也就是任何用户都可以通过网络读取。但这个用户是不是真的可以读取，还得去看一下安全权限里面有没有针对everyone的限制。如果没有才可以，如果有限制也不能访问。那下面，我们就打开安全权限。

▲ 图：安全权限

　　在此没有针对everyone的限制，那么其他用户访问肯定是没有问题的。我们来试一下，我们以另一个用户Adu(192.168.10.10)通过网络来进行访问。

　　Dongjianwei 的计算机IP地址是：192.168.10.11

　　Adu 的计算机IP地址是： 192.168.10.10

▲　图：两台机器的IP配置

　　下面Adu在自己的机器开始访问：

▲　图：通过UNC路径访问共享文件

▲ 图：可以访问，但不允许修改等操作

　　到此，我们的目的就达到了。只允许用户浏览查看，但不允许修改，那如果用户希望修改怎么办呢?那就在共享权限里给个修改权限即可，如图所示：

▲　图：选中更改权限

　　再次测试一下：修改就没有问题了。其他权限的设置同理!

　　实例2： 财务部文件夹，允许除了Adu之外的其他用户访问。也就是说其他用户都可以访问，但Adu则不行!

　　设置：我们需要在dongjianwei的机器上创建Adu这个用户，操作如下：

▲　图：创建用户

　　然后需要单独将Adu 排除在外：

▲　图：设置针对用户的拒绝权限

　　测试：我们使用Adu来进行访问。

▲　图：Adu访问失败

　 组的使用：

　　什么是组，组可以理解为是权限相同的用户集合。

　　在工作中可能会经常需要针对一批用户设置相同的权限，都会采用组来进行权限的分配，因为原则上权限不要直接分配给用户。例如，我们拒绝张三、李四、王五的访问权限，那么就没有必要去逐个用户的设置，否则，当用户个数太多的时候，就比较麻烦。实现方法是：

　　首先创建一个组：例如：deny_users

　　然后把张三、李四、王五三个用户加入到这个组中

　　最后给这个组分配一个拒绝权限即可!

　　在系统中内置了一些组，下面介绍几个最常用的组：

▲　图：系统内置组

　　Administrators: 管理员组，此组的成员对计算机/域有不受限制的完全访问权。

　　Power Users：此组成员拥有大部分管理权限，但会有限制。因此，Power User 可以运行经过验证的应用程序，也可以运行旧版应用程序。

　　Users：此组用户无法进行有意或无意的改动。因此，用户可以运行经过证明的文件，但不能运行大多数旧版应用程序。新创建的用户都属于Users组。

　　Guests：来宾用户，来宾跟Users用户组的成员有同等访问权，但来宾帐户的限制更多。

　　大家可以看到，administrators组权限最高，Guests权限最低。但更多的情况下，用户还是需要创建适应工作需要的组，来进行权限的分配。

　　相关的命令操作：

　　在工作中，在进行相应操作时使用命令，为了提高工作效率，下面就把关于用户和共享管理的相关命令做个简单介绍：

　　用户相关操作：

　　A.创建用户 语法：net user 用户名 密码 /add 　　如： net user zs zspassword /add

　　B. 查看所有用户： net user                                        如：  net  user

　　C.查看某个用户的详细信息： net user 用户名 　　如：net user zs

　　D.删除用户： net user 用户名 /del                    　　如： net user zs /del

　　E.更改用户密码： net user 用户名 新密码      　　如： net user zs Ccjsj1200

　　组相关操作：

　　A. 创建组： net localgroup 组名/add                  　　 如： net localgroup g1 /add

　　B. 查看所有组： net localgroup                         　　   如：net localgroup

　　C.将用户加入组：net localgroup 组名 用户名 /add　如：net localgroup administrators u1 /add

　　D. 显示组的用户信息： net localgroup 组名        　　如： net localgroup administrators

　　E. 从组中删除用户： net localgroup 组名 用户名 /del　如：net localgroup administraros u1 /del

　　E.删除组： net localgroup 组名 /del                             如： net localgroup g1 /del

　　共享相关操作：

　　A.查看共享信息： net share                                             如： net share

　　B.创建共享信息： net share 共享名=目标路径     　　如： net share iso=e:\iso

　　C. 删除共享信息： net share 共享名 /del             　　如：net share iso /del

　　总结：在文件共享这一部分，要求管理员掌握又下的知识点：

　　1 分别掌握利用图形界面和命令行方式共享文件的办法

　　2 掌握安全权限和共享权限的区别

　　3 巧妙的使用组来进行权限的分配。

　　3 掌握利用图形界面和命令行方式对用户和组的管理方法