1-3 TCP/IP 通訊協定簡介

1-9

位元組的 203.3.6.0)；而 203.3.6.255 是保留給廣播用途的(255 代表廣播)，例

如若送訊息到 203.3.6.255這個位址，表示將訊息廣播給網路識別碼為 203.3.6.0

網路內的所有主機。

圖 1-3-1 為 Class C 的網路範例，其網路識別碼為 192.168.1.0，圖中 5 台主機的主

機識別碼分別為 1、2、3、21 與 22。

圖 1-3-1

子網路遮罩

子網路遮罩也佔用 32 位元，當 IP 網路上兩台主機在相互溝通時，可透過子網路

遮罩來得知雙方的網路識別碼，進而得知彼此是否在相同網路內。

表 1-3-2

Class 預設子網路遮罩(2 進位) 預設子網路遮罩(10 進位)

A 11111111 00000000 00000000 00000000 255.0.0.0

B 11111111 11111111 00000000 00000000 255.255.0.0

C 11111111 11111111 11111111 00000000 255.255.255.0

Chapter 1 Windows Server 2012 R2 概觀

1-10

表 1-3-2 中為各 Class 預設的子網路遮罩值，其中為 1 的位元是用來定出網路識別

碼，為 0 的位元是用來定出主機識別碼，例如若某台主機的 IP 位址為 192.168.1.3，

其 二 進 位 值 為 11000000.10101000.00000001.00000011 ， 而 子 網 路 遮 罩 為

255.255.255.0，其二進位值為 11111111.11111111.11111111.00000000，則計算其

網路識別碼的原則是：將 IP 位址與子網路遮罩兩個值中相對應的位元做 AND 邏

輯運算(參見圖 1-3-2)，所得出來的結果 192.168.1.0 就是網路識別碼。

圖 1-3-2

若 A 主機的 IP 位址為 192.168.1.3，子網路遮罩為 255.255.255.0，B 主機的 IP 位

址為 192.168.1.5，子網路遮罩為 255.255.255.0，因此 A 主機與 B 主機的網路識別

碼都是 192.168.1.0，表示它們是在同一個網路內，因此可直接相互溝通，不需要

借助於路由器(參閱系列著作：Windows Server 2012 R2 網路與網站建置實務)。

前面所敘述的 Class A、B、C 為等級式的劃分方式，不過目前最普遍採用的卻是

無等級的 CIDR(Classless Inter-Domain Routing)劃分方式，這種方式在表示 IP位址與子網路遮罩時有所不同，例如網路識別碼為 192.168.1.0、子網路遮罩為

255.255.255.0，則一般我們會利用 192.168.1.0/24 來代表此網路，其中的 24 代

表子網路遮罩中位元值為 1 的數量為 24 個。

預設閘道

A 主機若要與同一個 IP 子網路內的 B 主機溝通(網路識別碼相同)，可以直接將資

料傳送 B 主機；但是若要與不同子網路內的 C 主機溝通的話(網路識別碼不同)，

就需要將資料傳送給具備路由功能的設備(例如路由器)，再由此路由設備負責傳送

給 C 主機。一般主機若要透過路由設備來轉送資料的話，只需要事先將其預設閘

道指定到路由設備的 IP 位址即可。

3-2 電腦名稱與 TCP/IP 設定

3-11

圖 3-2-7

圖 3-2-8

找出 IP 位址重複的電腦

如果您的電腦的 IP 位址與網路上另外一台電腦重複，而且是另外一台電腦先啟動

與使用此 IP 位址的話，則您的電腦將無法使用此 IP 位址，不過系統會另外自動指

派一個 169.254.0.0/16 格式的 IP 位址給您的電腦來暫時使用，且在伺服器管理員

內會顯示如圖 3-2-9 所示的多個 IPv4 位址訊息。

3-4 Windows 防火牆與網路位置

3-25

若要自行變更網路位置的話(見第 10 章的本機安全性原則)：【按+ R 鍵執行

SecPol.msc網路清單管理員原則雙擊欲變更的網路位置類型】。

開啟與關閉 Windows 防火牆

系統預設已經啟用 Windows 防火牆，它會阻擋其他電腦來與此台電腦溝通。若要

變更設定的話：【按 Windows 鍵切換到開始選單點擊控制台動態磚系統及

安全性Windows 防火牆點擊圖 3-4-2 背景圖中的開啟或關閉 Windows 防火牆

透過前景圖來變更】，由圖中可看出此處可分別針對私人網路與(來賓或)公用

網路位置來設定，且這兩個網路預設已開啟 Windows 防火牆，並且會封鎖所有的

連入連線(除了列於允許清單中的程式，後述)。

圖 3-4-2

3-9 其他的環境設定

3-49

圖 3-9-11

若您已經混淆不清、無法辨識目前所監看的顯示器是代表哪一台時，請點擊前面

圖 3-9-11 右上方的識別鈕，之後就可以從圖 3-9-12 中的大數字(1 與 2)來得知。

圖 3-9-12

工作管理員

您可以透過工作管理員來查看或管理電腦內的應用程式、效能、使用者與服務等，

而開啟工作管理員的途徑為：【按 Ctrl + Alt + Del 鍵工作管理員如圖 3-9-13

所示可以看到目前正在執行的應用程式】，在點擊應用程式後，可以透過畫面下

方的結束工作鈕來強制結束所選的應用程式(例如已經停止回應的應用程式)；在對

5-2 建立 Active Directory 網域

5-15

5-2 建立 Active Directory 網域 我們利用圖 5-2-1 來介紹如何建立第 1 個樹系中的第 1 個網域(根網域)。建立網域

的方式是先安裝一台 Windows 伺服器(此處以 Windows Server 2012 R2 Datacenter

為例)，然後將其升級為網域控制站。我們也將架設此網域的第 2 台網域控制站

(Windows Server 2012 R2 Datacenter)、一台成員伺服器(Windows Server 2012 R2

Datacenter)與一台加入網域的 Windows 8.1 Enterprise 電腦。

圖 5-2-1

我們先要將圖 5-2-1 左上角的伺服器升級為網域控制站(安裝 Active Directory 網

域服務)。在建立第一台網域控制站 server1.sayms.local 時，它就會同時建立此網

域控制站所隸屬的網域 sayms.local，也會建立網域 sayms.local 所隸屬的網域樹狀

目錄，而網域 sayms.local 也是此網域樹狀目錄的根網域。由於是第一個網域樹狀

目錄，因此它同時會建立一個新樹系，樹系名稱就是第一個網域樹狀目錄的根網

域的網域名稱，也就是 sayms.local。網域 sayms.local 就是整個樹系的樹系根網域。

建議利用 Windows Server 2012 R2 Hyper-V 所提供的虛擬機器來建置圖中的網路

環境(參見附錄 A)。如果您對架設更複雜的網域架構有興趣，請參考《Windows Server 2012 R2 Active Directory 建置實務》這本書。

6-2 使用者的有效權限

6-3

6-2 使用者的有效權限

權限是可以被繼承的

當您針對資料夾設定權限後，這個權限預設會被此資料夾之下的子資料夾與檔案

來繼承，例如您設定使用者 A對甲資料夾擁有讀取的權限，則使用者 A對甲資料

夾內的檔案也會擁有讀取的權限。

設定資料夾權限時，除了可以讓子資料夾與檔案都來繼承權限之外，也可以只單

獨讓子資料夾或檔案來繼承，或都不讓它們繼承。

而設定子資料夾或檔案權限時，您可以讓子資料夾或檔案不要繼承父資料夾的權

限，如此該子資料夾或檔案的權限將是以您直接針對它們設定的權限為權限。

權限是有累加性的

若使用者同時隸屬於多個群組，而且該使用者與這些群組分別對某個檔案(或資料

夾)擁有不同的權限設定時，則該使用者對這個檔案的 後有效權限是所有權限來

源的總合，例如若使用者 A 同時屬於業務部與經理群組，且其權限分別如下表所

示，則使用者 A 後的有效權限為這 3個權限的總和，也就是寫入+讀取+執行。

使用者或群組 權限

使用者 A 寫入

群組 業務部 讀取

群組 經理 讀取和執行

使用者 A 最後的有效權限為 寫入 + 讀取 + 執行

「拒絕」權限的優先權較高

雖然使用者對某個檔案的有效權限是其所有權限來源的總合，但只要其中有一個

權限來源被設定為拒絕的話，則使用者將不會擁有此權限。例如若使用者 A 同時

屬於業務部與經理群組，且其權限分別如下表所示，則使用者 A 的讀取權限會被

拒絕，也就是無法讀取此檔案。

Chapter 6 NTFS 與 ReFS 磁碟的安全性與管理

6-4

使用者或群組 權限

使用者 A 讀取

群組 業務部 讀取被拒絕

群組 經理 修改

使用者 A 的讀取權限為 拒絕

繼承的權限，其優先權比直接設定的權限低，例如將使用者 A 對甲資料夾的寫入

權限設定為拒絕，且讓甲資料夾內的檔案來繼承此權限的話，則使用者 A 對此檔

案的寫入權限也會被拒絕，但若另外直接將使用者 A 對此檔案的寫入權限設定為

允許的話，此時因為它的優先權較高，故使用者 A 對此檔案仍然擁有寫入的權限。

6-3 權限的設定 系統會替新的 NTFS或 ReFS磁碟自動設定預設權限值，如圖 6-3-1所示為 C:磁碟

(NTFS)的預設權限，其中有部份的權限會被其下的子資料夾或檔案來繼承。

圖 6-3-1

6-6 檔案的壓縮

6-15

將檔案搬移或拷貝到目的地的使用者，會成為此檔案的擁有者。資料夾的搬移或

拷貝的原理與檔案是相同的。

若將檔案由 NTFS(或 ReFS)磁碟搬移或拷貝到 FAT、FAT32 或 exFAT 磁碟，則

原有權限設定都將被移除，因為 FAT、FAT32 與 exFAT 都不支援權限設定功能。

若您要將檔案或資料夾搬移的話(無論是搬移到同一個磁碟或另一個磁碟)，則您必

須對來源檔案或資料夾具備修改權限，同時也必須對目的地資料夾具備有寫入權

限，因為系統在搬移檔案或資料夾時，會先將檔案或資料夾拷貝到目的地資料夾(因

此對它需具備寫入權限)，再將來源檔案或資料夾刪除(因此對它需具備修改權限)。

將檔案或資料夾拷貝或搬移到 USB 隨身碟後，其權限變化為何？

USB 隨身碟可被格式化成 FAT、FAT32、exFAT 或 NTFS 檔案系統(卸

除式儲存媒體不支援 ReFS)，因此要看它是哪一種檔案系統來決定。

6-6 檔案的壓縮 將檔案壓縮後可以減少它們佔用磁碟的空間。系統支援 NTFS 壓縮與壓縮的

(zipped)資料夾兩種不同的壓縮方法，其中 NTFS壓縮僅 NTFS磁碟支援。

ReFS、exFAT、FAT32 與 FAT 都不支援 NTFS 壓縮。

NTFS 壓縮

想要將 NTFS磁碟內的檔案壓縮的話，請【對著該檔案按右鍵內容如圖 6-6-1

所示按進階鈕勾選壓縮內容，節省磁碟空間】。

Chapter 6 NTFS 與 ReFS 磁碟的安全性與管理

6-16

圖 6-6-1

若要壓縮資料夾的話【對著該資料夾按右鍵內容按進階鈕勾選壓縮內容，節

省磁碟空間按確定鈕按套用鈕如圖 6-6-2所示】：

圖 6-6-2

6-6 檔案的壓縮

6-17

僅將變更套用到此資料夾：以後在此資料夾內新增的檔案、子資料夾與子資料夾內的檔案都會被自動壓縮，但不會影響到此資料夾內現有的檔案與資料夾。

將變更套用到這個資料夾、子資料夾及檔案：不但以後在此資料夾內新增的檔案、子資料夾與子資料夾內的檔案都會被自動壓縮，同時會將已經存在於此資

料夾內的現有檔案、子資料夾與子資料夾內的檔案一併壓縮。

您也可以針對整個磁碟來做壓縮設定：【對著磁碟(例如 C:)按右鍵內容壓縮這

個磁碟機來節省磁碟空間】。

當使用者或應用程式要讀取壓縮檔案時，系統會將檔案由磁碟內讀出、自動將解

壓縮後的內容提供給使用者或應用程式來使用，然而儲存在磁碟內的檔案仍然是

處於壓縮狀態；而當使用者或應用程式要將檔案寫入磁碟時，它們也會被自動壓

縮後再寫入磁碟內。這些動作都是自動的，完全不需要使用者介入。

系統預設會以藍色來顯示被壓縮的磁碟、資料夾與檔案，若欲變更此設定的話：

【按Windows鍵切換到開始選單點擊本機動態磚點擊上方檢視點擊右方選

項圖示如圖 6-6-3所示檢視標籤下的使用色彩顯示加密或壓縮的 NTFS檔案】。

圖 6-6-3

7-3 共用資料夾的新增與管理

7-7

權限類型 使用者 A 的累加有效權限 C:\Test 的共用權限 讀取

C:\Test 的 NTFS 權限 完全控制

使用者 A 透過網路存取 C：\Test 的最後有效權限為最嚴格的讀取

若使用者 A 是直接由本機登入，而不是透過網路登入，則使用者 A 對 C:\Test 的有效權限是由 NTFS 權限來決定，也就是完全控制，因為直接由本機登入並不受

共用權限的約束。

7-3 共用資料夾的新增與管理 隸屬 Administrators 群組的使用者具備將資料夾設定為共用資料夾的權利。

新增共用資料夾

按 Windows鍵切換到開始選單點擊本機點擊磁碟如圖 7-3-1 所示

對著資料夾(例如 Database)按右鍵共用對象特定人員。

圖 7-3-1