[计算机硬件及网络]计算机网络管理与安全《书稿第二章》.ppt

1,第二章 windows2003 server域模式下管理,计算机网络管理与安全,2,学习要点,理解使用活动目录进行局域网的基本思想 掌握用户、组、组织单位设置和管理方法 掌握组策略的概念、学会用组策略对用户和计算机进行管理 了解域、组织单位、组之间的区别 通过实例的训练，掌握对局域网管理的实际操作方法,计算机网络管理与安全,3,复习域管理思想,微软公司在其网络操作系统中采用了基于域模式来改变原有的管理模式和提高管理效能，在前一章已经就域模式下的计算机管理系统做了详细的介绍，其核心就在于通过计算机加入到一个指定的逻辑单元域中，然后对其加入的计算机实现统一、高效的管理，对整个网络系统中的计算机、用户、资源进行了重新的整合，使其在管理方式上发生了根本性的改变。,计算机网络管理与安全,4,复习域管理思想,在其域模式的管理体系下，整个网络管理经过以下过程将实现对加入域的所有计算机和所有用户完成综合的管理： (1) 建立一个域服务器，如图2-5所示 (2) 将被管理的计算机加入到域中，如图2-6所示 (3) 使用域下的管理员账户建立新的用户，如图2-7所示 (4) 在域中通过任何计算机对域中任何账户实现设置管理，如图2-8所示,在其域模式的管理体系下，整个网络管理经过以下过程将实现对加入域的所有计算机和所有用户完成综合的管理： (1) 建立一个域服务器，如图2-1所示 (2) 将被管理的计算机加入到域中，如图2-2所示 (3) 使用域下的管理员账户建立新的用户，如图2-3所示 (4) 在域中通过任何计算机对域中任何账户实现设置管理，如图2-4所示,2-1,计算机网络管理与安全,5,复习域管理思想,2-2,2-3,2-4,计算机网络管理与安全,6,创建域模式下的用户,打开“Active Directory用户和计算机”工具，在控制台下右击user容器，依次选择“新建”“用户”命令，如图所示。,图2-5,计算机网络管理与安全,7,创建域模式下的用户,在 “新建对象-用户”对话框输入用户的姓名及用户登录信息,图2-5,计算机网络管理与安全,8,创建域模式下的用户,单击 “下一步”按钮为用户设置密码,图2-5,计算机网络管理与安全,9,域模式下的用户管理,在基于域模式下的windwos2003 server 的帐户信息变得异常的丰富，域管理员被赋予了极大的权力，对于所有加入到域中用户的帐户信息都要进行管理和维护，而帐户信息将被域中所有有权需要帐户信息的各个部门所使用，从这点可以看出，对域模式下的帐户管理涵盖了用户的诸多的信息，,图2-5,计算机网络管理与安全,10,域模式下的用户管理,域模式下的默认帐户 在域控制器中，与本地机情况相同，存在着系统创建的默认帐户，这些帐户有其特定的功能与权限，包括： Domain administrator 域管理员，用于域范围内的管理，拥有最高权限。 Administrator 本地（域控制器）管理员，用于域控制器计算机自身的管理 Domain 其他默认帐户，如图所示，,图2-5,计算机网络管理与安全,11,创建域模式下的组,进入打开“Active Directory用户和计算机”工具中users文件夹，依次选择“新建”“组”，,图2-5,计算机网络管理与安全,12,创建域模式下的组,在创建组窗口输入相应的信息和设置组作用域域、组类型，然后点击“确定”,图2-5,使用组账户的特点就是管理和组织用户账户，因此需要在建立的组中加入相应的用户账户。这个过程可以通过用户账户实现，也可通过组账户属性实现,计算机网络管理与安全,13,创建域模式下的组织单位,登陆域服务器打开“开始管理工具Active Directory用户和计算机,图2-5,使用组账户的特点就是管理和组织用户账户，因此需要在建立的组中加入相应的用户账户。这个过程可以通过用户账户实现，也可通过组账户属性实现,计算机网络管理与安全,14,创建域模式下的组织单位,在GS.com空白区域单击鼠标右健选择新建组织单元,图2-5,使用组账户的特点就是管理和组织用户账户，因此需要在建立的组中加入相应的用户账户。这个过程可以通过用户账户实现，也可通过组账户属性实现,计算机网络管理与安全,15,创建域模式下的组织单位,单击组织单元命令，出现如图所示界面，并在名称栏输入名称,图2-5,单击确定完成建立组织单元操作,计算机网络管理与安全,16,计算机加入域,我们要将b计算机加入GS.com域。将完成如下操作： 调整tcp/ip协议的属性，使DNS指向GS.com的DNS,计算机网络管理与安全,17,计算机加入域,在我的电脑上单击鼠标右健，选计算机名标签,图2-5,计算机网络管理与安全,18,计算机加入域,单击更改命令按钮，输入计算机名及加入的域名,计算机网络管理与安全,19,计算机加入域,单击确定，输入有操作权的用户名及密码,图2-5,计算机网络管理与安全,20,计算机加入域,单击确定，重新启动计算机，将计算机加入域的工作完成,将计算机加入域以后，我们就可以在域服务器上，对加入域的计算机进行有效的管理。或在客户机上，通过网上邻居的活动目录项目对其它计算机或域服务器进行有效的管理。,计算机网络管理与安全,21,组策略的概念,我们知道注册表是Windows系统中保存系统、应用软件配置的数据库，随着 Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是可以自定义设置的，但这些配置分布在注册表的各个角落，如果是手工配置，可想是相当的困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。组策略使用自己的完善的管理组织方法，对各种对象中的设置进行管理，远比手工修改注册表方便、灵活，功能也更加强大。 通俗一点说，组策略是介于控制面板和注册表之间的一种修改系统、设置程序的工具。微软自Windows NT 4.0开始便采用了组策略这一机制，经过Windows 2000发展到Windows 2003已相当完善。利用组策略可以修改Windows的桌面、开始菜单、登录方式、组件、网络及IE浏览器等许多设置。 像一些常用的系统、外观、网络设置等我们可通过控制面板修改，但大家对此肯定都有不满意，因为通过控制面板能修改的东西太少；水平稍高点的用户进而使用修改注册表的方法来设置，但注册表涉及内容又太多，修改起来也不方便。组策略正好介于二者之间，涉及的内容比控制面板中的多，安全性和控制面板一样非常高，而条理性、可操作性则比注册表强。,计算机网络管理与安全,22,组策略的内容,计算机组策略主要可进行两个方面的配置：计算机配置和用户配置。“计算机配置”是对整个计算机中的系统配置进行设置的，它对当前计算机中所有用户的运行环境都起作用；“用户配置”则是对当前用户的系统配置进行设置的，它仅对当前用户起作用。比如“计算机配置”和“用户配置”都提供了“停用自动播放”功能的设置，但效果是不同的；如果是在“计算机配置”中选择了该功能，那么所有用户的光盘自动运行功能都会失效; 如果是在“用户配置”中选择的该功能，那么仅仅是该用户的光盘自动运行功能失效，其他用户则不受影响。 当计算机配置与用户配置发生矛盾时，计算机配置优先。其下所有设置项的配置都将保存到注册表的相关项目中。计算机配置保存到注册表的HKEY_LOCAL_MACHINE子树中，用户配置保存到HKEY_CURRENT_USER。在windows 2003中，组策略一般放在“系统安装:windowssystem32GroupPolicy“文件夹中，文件名为“gpedit.msc“ 分别展开“计算机配置”和“用户配置”会发现还有以下三个项目 软件配置：用于对已经安装好的软件进行管理和维护。 windows设置：用于系统或用户的开关机脚本，系统安全等内容的设置 管理模块：主要用于对系统，网络，windows组件等内容进行设置，还可以添加或者删除管理模块。,计算机网络管理与安全,23,组策略的内容,计算机网络管理与安全,24,如何建立组策略和连接组策略,例如我们要在建一个组织单位is,并为之建立一个组策略。 1打开“开始程序管理工具Active Directory用户与计算机”，如图所示。,计算机网络管理与安全,25,如何建立组策略和连接组策略,选定，在工作区单击鼠标右健“新建”命令，并在相应位置键入is,创建组织单元is，如图所示 。,图2-5,计算机网络管理与安全,26,如何建立组策略和连接组策略,3在is上单击鼠标右健，选属性，如图所示。,图2-5,计算机网络管理与安全,27,如何建立组策略和连接组策略,3在is上单击鼠标右健，选属性，如图所示。,图2-5,计算机网络管理与安全,28,如何建立组策略和连接组策略,4单击组策略标签，如图所示。,图2-5,计算机网络管理与安全,29,如何建立组策略和连接组策略,5. 单击新建，并重命名为is,并选中此项目如图所示。,图2-5,计算机网络管理与安全,30,如何建立组策略和连接组策略,6单击“编辑”，既可以对它进行编辑，如图所示,图2-5,计算机网络管理与安全,31,如何建立组策略和连接组策略,下面我们说明如何进行组策略对象的链接如，如将ios的组策略对象链接到is上。 1打开组织单位is组策略对象，如图2-12所示。,图2-5,计算机网络管理与安全,32,如何建立组策略和连接组策略,2单击“添加”，选择“全部”标签，如图2-13所示。,图2-5,计算机网络管理与安全,33,如何建立组策略和连接组策略,3选定ios ,单击“确定”，如图2-14所示 。,图2-5,这时就将组织单位ios的组策略对象链接到组织单位is上，可以通过“向上”、“向下”调整组策略对象的顺序，控制其对系统的配置的影响,计算机网络管理与安全,34,禁止组织单位abc用户运行word,打开“开始菜单程序管理工具active directory 用户和计算机” 在“组织单位abc”上单击鼠标右键，选择属性组策略,图2-5,计算机网络管理与安全,35,禁止组织单位abc用户运行word,（2）选择系统不要运行制定的程序,图2-5,这时就将组织单位ios的组策略对象链接到组织单位is上，可以通过“向上”、“向下”调整组策略对象的顺序，控制其对系统的配置的影响,计算机网络管理与安全,36,禁止组织单位abc用户运行word,（3）单击选项，选择“已启用” 。,图2-5,计算机网络管理与安全,37,禁止组织单位abc用户运行word,（4）单击显示按钮，添加被禁止程序 （5）单击确定，使组策略生效。运行word将出现如图所示情况。,计算机网络管理与安全,38,为组织单位abc用户安装应用程序netinfo,打开“开始菜单程序管理工具active directory 用户和计算机” 在“组织单位abc”上单击鼠标右键，选择属性组策略,图2-5,使用组策略部署应用程序有发布和指派两种，发布需要用控制板板中的添加删除程序来协助安装。指派则是自动安装程序的快捷方式，等用户应用时再进行安装。被安装程序的格式必须是msi.应用程序netinfo已经放在服务器上的共享文件夹abc内。,计算机网络管理与安全,39,为组织单位abc用户安装应用程序netinfo,单击编辑用户配置软件设置,图2-5,计算机网络管理与安全,40,为组织单位abc用户安装应用程序netinfo,在“软件安装”上单击鼠标右键，选择新建程序包,图