Windows2000 Server是比较流行的服务器操作系统之一，它有高效的安全性, 可以对试图访问计算机资源的人员进行身份识别，防止特定资源被用户不适当地访问，并提供了许多简单而高效的方法来设置和维护计算机安全。

加密（仅NTFS驱动器）

“加密文件系统(EFS)”提供了一种核心文件加密技术，该技术用于在NTFS文件系统卷上存储已加密文件，即系统管理的磁盘必须使用NTFS分区格式。

使用EFS可以防止他人在未经授权的情况下对物理存储的敏感数据进行访问，以确保文档安全。对拥有该文件私钥（用户亲自加密了文件，或用户是注册的故障恢复代理）的用户，加密是透明的（不必在使用前解密），可以打开该文件并将它像常规文档一样处理。但试图访问已加密文件或文件夹的入侵者将被禁止这些操作，如果他试图打开、复制、移动或重新命名已加密文件或文件夹，将收到拒绝访问的消息。

需要注意的是，EFS不能加密系统文件、压缩文件或文件夹，不能共享加密文件；如果将加密的文件复制或移动到非NTFS格式的卷上，该文件将会被解密；任何拥有删除权限的人均可以删除加密的文件夹或文件；在加密文件夹中创建的所有文件和子文件夹都自动加密。

应用好权限管理

文件和文件夹访问权限（仅NTFS驱动器）

在设置文件或文件夹的权限时，可以指定要限制或允许其访问的组和用户，然后选择访问类型。例如，在学校服务器上，对一个包含时间表的文件夹，您可以给教师以“完全控制”权限，而给学生以“写”访问权限，使学生可以将时间表复制到该文件夹中，但是不能阅读该文件夹的内容。

共享文件夹权限

无论驱动器格式化为使用NTFS、FAT还是FAT32的文件系统，其文件夹都可以设置共享文件夹权限，以便其他计算机用户能访问这些文件夹。

如果共享文件夹位于NTFS驱动器，请使用NTFS文件夹访问权限，该权限在本机和网络上均有效。在非NTFS文件系统中，仅当通过网络访问该文件夹或文件时才有效，对于在本地打开该文件夹或文件的操作起不到保护作用。

当然，我们还可以使用“共享文件夹”管理单元来创建和管理共享文件夹，查看通过网络连接到该共享文件夹的所有用户列表，甚至可以断开其中一个或全部用户的连接，或者查看远程用户打开的文件列表、关闭一个或全部打开的文件。而且，您还可以更改远程计算机上共享文件夹的权限。

打印机权限

Windows 2000提供了三个级别的打印安全权限：打印、管理打印机和管理文档。所以，我们可以给部门中的所有非管理用户“打印”权限，给所有管理人员“打印和管理文档”的权限。这样，所有的用户和管理人员都能打印文档，而管理人员还能够更改发送到打印机上的任何文档的打印状态。

当给一组用户指派了多个权限时，则应用限制最少的权限。但是，当应用“拒绝”权限时，它优先于其他任何权限。

组策略和用户权利

组策略是管理员为单位中的用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具，在Active Directory环境中，还适用于以站点、域或组织单元的成员为基础的用户或计算机。

使用组策略可以设置各种软件、计算机和用户策略。例如，定义用户桌面环境的各种组件，如用户可以使用的程序、出现在用户桌面上的图标、“开始”菜单选项、哪些用户可以修改桌面及哪些用户不能修改桌面等。

通常情况下，管理员通过向一个内置组添加用户账户，或者通过创建新组并为该组指派特定用户权力来指派用户权力，添加到该组中的用户自动获得指派给组账户的所有用户权力。

审核跟踪

审核跟踪可以用于访问文件或其他对象的用户账户以及登录尝试、系统关闭或重新启动及类似事件。在Windows 2000审核对文件和文件夹的访问之前，您必须使用“组策略”管理单元来启用“审核策略”中的“审核对象访问”设置。

启用了“组策略”中的审核后，我们就可以使用“事件查看器”来查看“安全”日志，可以跟踪审核活动。建议您经常查看“事件查看器”中的安全日志，以检查试图访问审核文件和文件夹的操作是成功还是失败。

当然，要审核文件或文件夹，您必须以Administrators组的成员登录，或在“组策略”中被授予了“管理审核和安全日志”权限。