随着计算机的不断普及，计算机网络化成为越来越紧迫的问题，大多数企事业单位的网络多为一百点左右的星型局域网，一般没有专业的网络管理人员，服务器软件的安装及权限设置的优劣直接关系到网络的安全与稳定。下面以中国石化集团武汉石油化工厂设计院（下称设计院）的局域网为例，简要介绍一下服务器软件安装与权限设置。
设计院局域网共有153个信息点，实际使用86点，4台3COM 3C16980 100M交换机两两堆叠，中间用级连。选用惠普LH3服务器2台，其中一台采用双CPU，512M内存，4块9.1G SCSI硬盘（命名为Server1），另一台单CPU，256M内存，一块9.1G SCSI硬盘（命名为Server2）。Server1上存放设计人员的个人文件及设计院内部主页，Server2上安装微软的Exchange 5.5及SQL Server 7.0（因为SQL Server 7.0只用于建立内部的图纸档案管理系统，在此不作讨论）。整个网络使用TCP/IP协议，启用192.168.0.0 C类网址，子网掩码为：255.255.255.0。192.168.0.31-192.168.0.50给内部Web、FTP及其他站点的使用；192.168.0.51-192.168.0.200用于客户机IP地址；192.168.0.241-192.168.0.254用于交换机管理。

两台服务器都安装Windows 2000 Server版，要求达到以下的功能

　　1. 每个设计人员在服务器上都拥有50M的个人空间，且不得超额使用，个别特殊情况可以申请额外空间。

　　2. 建立内部主页，各个专业室负责维护各自的内容。

　　3. 建立内部新闻讨论组。

　　4. 建立内部邮件系统。

　　5. 整个系统应安全可靠，当一台服务器失效时，应能保证整个网络仍然可用。

下面介绍服务器软件的安装及权限设置，以达到以上的目的。

一、网络操作系统的安装

1. 在Server1及Server2上按照典型安装安装Windows 2000（Server2上不安装IIS），服务器的所有磁盘分区都转化为NTFS格式。

2. 在Server1上，开始->设置->控制面板->网络和拨号连接->本地连接->属性->Internet 协议（TCP/IP）->属性，将IP地址设为192.168.0.1，子网掩码为255.255.255.0->高级，添加以下IP地址：192.168.0.31，192.168.0.32，192.168.0.33。将Server2的IP地址设为192.168.0.2，在Server2上添加以下IP地址：192.168.0.41。

3. 在Server1上，开始->程序->管理工具->配置服务器->Active Directory，升级为域控制器，新建Windows 2000域（因为局域网中没有Windows NT 4.0的域控制器，所以不用兼容方式），域名为design.local，NetBIOS域名为：武汉石化设计院（Windows 9.x登录时的域名），系统会自动安装DNS服务。

4. 将Server2也升级为域控制器，加入到design.local中,系统会自动复制域控制信息到Server2。

5. 开始->设置->控制面板->添加/删程序->添加/删除Windows组件->网络服务，在Server1及Server2上安装DHCP，WINS服务，在Server2上安装DNS服务。

6. 在Server1上，开始->程序->管理工具->WINS->Server1->右击复制伙伴->新建复制伙伴->选择Server2。同样，在Server2上选择Server1为复制伙伴，建立相互复制关系。

7. 在Server1上，开始->程序->管理工具->DNS->Server1->正向搜索区域->右击design.local->新建主机，加入如下的主机：

WWW 192.168.0.31

FTP 192.168.0.32

news 192.168.0.33

mail 192.168.0.41

8. 在Server1上，开始->程序->管理工具->DHCP->右击Server1->新建作用域，IP地址为192.168.0.51-192.168.0.150，加入DNS、WINS（DNS和WINS的IP地址都为（192.168.0.1，192.168.0.2）及节点类型（使用H节点）的配置。在Server2上建立辅作用域，IP地址为192.168.0.151-192.168.0.200，也加入相同的DNS、WINS及节点类型的配置。

9. 采用步骤2的方法，在Server1及Server2上添加DNS的IP地址192.168.0.1（主），192.168.0.2（辅）

注意：按照以上的系统安装方法，当任意一台服务器失效时，网络照样能够实现帐号登录、DNS解析，IP地址的动态分配及WINS服务，确保了网络的可靠性。

10. Server1主要当作文件服务器使用，一个硬盘用于安装系统（C盘），其他三个做RAID5（D盘），用于存放设计人员的个人文件及设计院内部主页。在资源管理器中右击C盘->属性->安全->添加Administrator组，授予完全控制的NTFS权限，将其他的组或帐号删除，D盘也如此，Server2也如此。这样即使有些用户可以进入机房并登录上服务器，但是有限的权限不会造成服务器上数据的破坏。

11. 在Server1的D盘上建立名为“用户个人文件夹”的文件夹，右击属性->共享->权限，选择Everyone组有完全控制的共享权限->安全，添加Everyone组在此目录下有读、列目录的NTFS权限。

12. 在资源管理器中右击D盘->属性->配额->启用配额管理->拒绝将磁盘空间给超过配额限制的用户->设置限制空间为50M，报警空间为45M，超出配额限制时记录事件。若要对个别帐号调整限制空间，请点击配额项。

13. 打开Active Directory用户和计算机，按专业室建立组织单元，如工艺室，设备室等，再建立名为“网络管理”的组织单元，用于局域网的管理。在“网络管理”组织单元中建立网管帐号，将其加入到Administrator本地组中。

14. 组织单元中先建立样板帐号，右击样板帐号->属性->配置文件->主文件->连接，输入\\server1\用户个人文件夹\%username%。复制样板帐号，这时仅需更改帐号名及初始的口令。系统自动地在Server1的用户个人文件夹目录下建立以用户帐号命名的文件夹。NTFS权限也自动设置为Administrator及此用户有完全控制权限。

二、IIS 5.0的安装及配置

1. Web站点的建立

在Server1的D盘根上建立名为hompage的文件夹，将主页的所有文件拷入此文件夹（主页的首页文件更名为Default.htm）。开始->程序->管理工具->Internet服务器管理->右击Server1->新建->Web站点->输入主页名称->将Web地址指向192.168.0.31（即WWW主机）->输入主目录的路径为d:\homepage->以下选择默认选项即可。

在资源管理器中右击d:\homepage->属性->安全->添加IUSR_SERVER1帐号，授予读、列目录、运行的NTFS权限。

2. FTP站点的建立

建立FTP站点的目的主要是用于Web主页的修改。为每一个专业室在d:\homepage下建一个文件夹，用于存放各自的文件，在设计院内部主页上指向它们即可。

　　1) 开始->程序->管理工具->Internet服务器管理->右击Server1->新建->FTP站点->输入FTP站点名称->将FTP地址指向192.168.0.32（即FTP主机）->输入主目录的路径为d:\homepage->允许读取及写入。

　　2) 在Internet服务器管理中，打开刚才建好的FTP站点的属性，在安全帐号选项卡中，勾去允许匿名连接，不允许匿名登录。

　　3) 用Active Directory用户和计算机在“网络管理”这个组织单元中新建一个名为“Web管理组”的全局安全组，将需要Web站点管理的用户帐号加入。

　　4) 在资源管理器中，右击d:\homepage->属性->安全->添加Web管理组，授予读及列目录的权限。其子目录下的每个专业室的文件夹照此方法分别给相关帐号授予读、列目录、运行、写、修改的NTFS权限。

　　5) 开始->程序->管理工具->域控制器安全策略->安全设置->本地策略->用户权力指派，在关闭系统及在本地登录两策略中加入Web管理组。

3. 新闻讨论组的建立

　　1) 用资源管理器在Server1的D盘上建立newsys及news两个文件夹

　　2) 开始->程序->管理工具->Internet服务器管理->右击Server1->新建->NNTP虚拟服务器->输入NNTP站点名称->将NNTP地址指向192.168.0.33（即news主机），TCP端口为119->输入新闻组服务器内部文件存放路径为d:\newsys->选文件系统->输入新闻内容存放路径为d:\news，启动新闻组。

　　3) 在Internet服务器管理中，点击刚才建立的新闻组->右击新闻组->新建->新闻组，输入相关信息即可。注意，新闻组的名称不可为汉字。

　　4) 打开资源管理器，可以发现在news文件夹中多了个文件夹，这就是我们刚才新建的新闻组，对其设置相应的NTFS权限（主要是写权）就可以做到允许某些账户张贴帖子，某些账户只读。

三、内部邮件系统的建立

1. 使用典型安装在Server2上安装微软的Exchange 5.5。

2. 开始->程序->Exchange Server->Exchange Server管理工具，在接收器中建立邮箱，与相应的NT帐号对应。在接收器中还可以建立不同的分发组（如工艺室），将相应的邮箱放入，这样当您需要给工艺室所有人发信时，就只需给分发组发封信即可。

3. 在客户机上安装Microsoft Office 97中的Microsoft Outlook 97。开始->设置->控制面板->电子邮件->添加->Microsoft Exchange Server，在服务器项中输入Server2，邮箱中输入相应的邮箱名。

四、Windows 9.x客户机安装注意事项

1. Windows 2000采用了Active Directory技术，因此必须在Windows 9.x安装Active Directory客户机补丁。对于某些安装Win98第二版的计算机，打了补丁后，很长时间后甚至根本无法在网上邻居中看到Windows 2000服务器，而Win98第一版这不存在此问题，其中的缘由还望各位高手不吝赐教。

2. 新闻组的接受可使用Windows自带的Outlook Express，从安全性的角度考虑，最好使用安全密码验证登录。注意：客户机中这时有两个Outlook，如果Exchange Server 安装Internet协议，则可以不安装Microsoft Outlook 97。但是从功能，可扩展性及安全性角度考虑，我个人认为还是这样好