3章域与组策略.doc

3 域与组策略学习要点 理解工作组与域的管理模式 理解什么是Active Directory 掌握组织单位的管理 掌握组策略和组策略的设置 理解域、组织单位和策略的关系31 工作组与域工作组和域是操作系统的网络资源的两种不同管理模式，在对网络实施管理的时候，网络管理员必须对这两种不同的管理模式有深入的了解。311 工作组工作组的管理模式采用颁式的管理。工作组中的任何一台计算机只负责管理本地的资源，每台计算机都可以任意地加入或退出某一工作组（WORKGROUP为默认组），工作组中所有计算机之间是一种平等的关系。工作组的管理模式适用于小型的网络。312 域 c/s域的管理模式采用集中式的管理。在域的管理模式下，至少有一台服务器负责每一台接入网络的计算机和用户的验证管理工作。域管理员是域管理模式中权限最大的人员，可以登录到加入域中的任何一台成员机器，域中所有的资源都在域管理员的控制之下。计算机要加入一个域中，必须经过域管理员的批准。域的工作方式适用于较大型的网络。下面我们来介绍一下关于域的其他内容。3121 域结构由以上内容可知，域是由一些计算机组成的，如图3-1所示，这些计算机按类别分可以分3类，分别为：域控制器、成员服务器和客户机，下面分别来介绍。1 域控制器域控制器是一种服务器，主要用来进行网络的安全核查以及资源共享。域中的所有资源由域控制器统一管理。一个域中至少要有一个域控制器，如果拥有多个域控制器，它们之间的关系是平等的。域中的成员（包括成员服务器和客户机）可以从一个域中脱离出去，但域控制器却不能退出一个域。非域控制器支持域登录和本地登录两种登录方法，而域控制器不支持本地登录。2 成员服务器成员服务器也是一种服务器，它不能提供网络的安全核查等工作，但是可以提供其他的网络服务，比如Web服务、打印服务等。3 客户机客户机是网络中只享受服务的机器，客户机上的操作系统一般为桌面型的，如：Windows 2000Professional、Windows XP Professional，Windows vista等。3122 建立域的条件建立域的条件具体如下：（1） 计算机的振作系统必须是Windows Server 2000、Windows Server 2003或者更高级版本；2008（2） 安装目录的文件系统必须是NTFS格式；（3） 配置了DNS服务器。（4） 静态IP32 Active DirectoryActive Directory（活动目录）是Windows Server 2003平台的以目录列举方式管理数据信息的系统组件。Active Directory存储有关网络的对象的信息，使管理员和用户可以更方便地查找使用和管理这些信息。这些对象的信息包括了服务器、卷、打印机、网络用户和组等。Active Directory管理工具主要包括“Active Directory用户和计算机”、“Active Directory站点和服务”和“Active Directory域和信任关系”3个，下面分别来介绍。321 Active Directory用户和计算机“Active Directory用户和计算机”是管理Active Directory对象（用户、打印机和组等）的工具，打开此管理工具的方法是：依次选择开始程序管理工具Active Directory用户和计算机，界面如图3-2所示。下面具体来介绍“Active Directory用户和计算机”。（1）组织单位。组织单位是Active Directory可以被用户定义并应用组策略（见本章3.4组策略的相关内容）的对象，管理员可以通过创建组织单位来简化域的管理控制。（2）容器。容器是指在“Active Directory用户和计算机”中不带任何标记的文件夹。默认的容器有Builtin、Computers、Users、ForeignSecurityPrincipals等。（3）对象。Active Directory对象被放置在Active Directory内的组织单位和容器中。如打印机、用户账户、计算机账户和安全组等都属于Active Directory对象。322 Active Directory站点和服务“Active Directory站点和服务”是用于管理目录数据的复制的工具打开此管理工具的方法是：依次选择开始 程序 管理工具 Active Directory站点和服务，界面如图3-3所示。在安装第一个域时，系统默认配置有“Default-First-Site”站点，新创建的服务器将列在该站点之下。在“Active Directory站点和服务”的管理界面中，可以创建新站点，重命名站点，还可选择站点链接。322 Active Directory域和信任关系域和域之间的通信是通过信任发生的。默认情况下，当使用“Active Directory安装向导”添加新域时，系统会自动创建父子信任和树根信任两种默认信任类型。下面我们分别来介绍这两种信任类型。1 树根信任树根信任是指不同树根之间的信任关系。图3-4显示了和这两个树之间的树根信任关系。2 父子信任父子信任是指在同一域树内部的信任关系。在图3-4中，域下面是a. 域，它们之间的信任关系就是父子信任关系。a. 和b. 都是子域，它们都信任它们的父域，所以a. 和b. 的资源可以相互访问。父子信任可以在域树的所有域之间传递。“Active Directory域和信任关系”是管理域信任关系的工具。打开此管理工具的方法是：依次选择开始 程序 管理工具 Active Directory域和信任关系，界面如图3-5所示。在“Active Directory域和信任关系”界面中可以查看、创建、修改和验证域的信任关系。Active Directory管理工具的具体操作方法见计算机网络管理员认证实验指导的相关内容。33 组织单位在了解了Active Directory之后，下面介绍一下组织单位的相关知识。331 组织单位简介组织单位是可将用户、组、计算机和其他组织单位放入其中的Active Directory容器。组织单位把域中对象如用户、组、计算机等组织成逻辑管理组，它是可以指派组策略（见本章组策略相关内容）设置或委派管理权限的最小单元。使用组织单位可将网络所需的域数量降到最低，组织单位中可包含其他的组织单位。如图3-6所示，域中包含了ou1、ou2组织单位中又包含了ou3组织单位。332 组织单位的管理组织单位的管理主要包括组织单位的创建、向组织单位添加用户、向组织单位添加计算机、向组织单位添加组等。组织单位的具体管理方法见计算机网络管理员认证实验指导的相关内容。34 组策略小资料登录脚本是用于配置用户工作环境的、可选的程序（批处理文件、命令文件或VBS脚本），登录脚本在用户登录时会自动运行。网络管理员的工作之一是管理用户和计算机，例如管理用户接口选项（背景、墙纸）、运行登录脚本、用户主目录位置等。组策略是帮助配置和管理系统的工具之一。应用于域的组策略不仅应用于用户和客户端，还应用于成员服务器、域控制器以及管理范围内的任何计算机。3.4.1 组策略对象组策略对象是应用到1个或1组用户和计算机的共同配置的组合，由用户和计算机的软件设置、Wiodows设置和管理模板组成，组策略编辑器的界面如图3-7所示。通过对组策略对象的配置，管理员可以动态地控制网络上的用户和计算机。使用组策略对象，管理员可以集中管理Active Directory结构中的计算机和用户。组策略的工作方式是：每当重新启动、用户登录或强制刷新组策略时，目标计算机利用Active Directory多层结构的特点，对每个组策略对象的设置进行检查。因此，每次只需设置一个用户或计算机，借助Wiodows 2000/XP/2003提供的功能，可以将策略强制在所有客户端上执行，直到更改组策略。使用组策略为用户组或计算机组定义自动的配置，包括基于注册表的策略设置、安全设置、软件安装、脚本、文件夹重定向、远程安装服务和Internet Explorer维护等选项。表3-1是各种组策略功能。表3-1 组策略功能配置描述软件安装集中安装、更新和删除软件远程安装服务管理远程安装服务脚本（启动/关机）在用户登录/注销和计算机启动/关机时应用的脚本安全设置管理安全性文件夹重定向建立重定向服务器文件夹来管理用户的文件和文件夹Internet Explorer维护管理Internet Explorer脱机文件和文件夹使用户在计算机没有连接到网络时可以使用网络文件漫游用户配置文件管理用户配置文件管理模板通过基于注册表的设置管理计算机和用户342 在域中使用组策略的条件要在域中使用组策略，需要满足以下的条件：（1） 客户端和服务器必须运行在Wiodows Server 2000/XP/2003或更高版本系统，对较早版本的计算机，组策略不会对它们产生影响；（2） 组策略需要使用完全合法的域名，FQDN必须存在DNS服务才能保证组策略被正常处理；ABC。COM（3） 使用组策略需要Active Directory。343 设置组策略组策略的设置包括用户的“用户配置”策略设置和计算机的“计算机配置”策略设置。1 用户配置用户配置是针对Active Directory容器中的用户的配置，它包括：（1）软件设置。软件设置包含软件安装扩展，还包含应用到计算机的软件设置。不管用户登录到哪能台计算机上，软件安装都可以集中部署、升级和删除应用程序，不需要访问每台计算机。（2）Wiodows设置。Wiodows设置应用到所有用户，不管用户登录到哪台计算机。包括“远程安装服务”、“脚本”（自动化用户的启动和关机）、“安全设置”、“文件夹重定向”（通过把本地计算机的文件重定向到网络共享，定期备份文件）和“Internet Explorer维护”（对Internet Explorer进行管理和自定义，包括设置管理安全区域、代理、查询、临时Internet文件等）5个扩展。（3）管理模板。管理模板可以集中配置客户端的注册表，包括“Wiodows组件”、“任务栏和开始菜单”、“桌面”、“控制面板”、“共享文件夹”、“网络”和“系统”7个扩展。2计算机配置计算机配置是针对Active Directory容器中的计算机的设置，这些设置将影响到计算机上所有用户。计算机配置包括：（1）软件配置。软件配置包含软件安装扩展，还包含应用到计算机的软件设置，而不管哪个用户登录到计算机。软件安装可以集中部署、升级和删除应用程序，而不必访问每台计算机。（2）Wiodows设置。Wiodows设置应用于目标计算机的所有用户，包括“安全设置”（为组织单位指定安全策略，保护计算机和整个网络）和“脚本”（自动化计算机的启动和关机）两个扩展。（3）管理模板。管理模板可以集中配置客户端的注册表，包括“Wiodows组件”、“系统”、“网络”和“打印机”4个扩展。组策略的具体设置方法见计算机网络管理员认证实验指导的相关内容。35 域、组织单位和组策略实例经过上面的学习，我们了解了域、组织单位和组策略的基本概念，下面我们通过一个实例来认识它们之间的关系。如图3-8所示，在域中有一个ou1的组织单位，在ou1组织单位中有aal、a2两个用户和computer001、computer002两台计算机。为了配置组策略，并将它的设置应用于ou1组织单位，我们必须创建组策略。创建组策略的方法是：依次单击开始 运行 ，在运行对话框中输入“MMC”并按回车键启动MMC控制台。在MMC控制台中，选择添加/删除管理单元并添加组策略对象编辑器，打开选择组策略对象对话框。在选择组策略对象对话框中单击浏览按钮，打开浏览组策略对象对敌框。在浏览组策略对象对话框中，查找范围选择“”，并新建一个组策略对象“ou1组织单位的组策略”，如图3-9所示。依次展开计算机配置目录树管理模板子目录，找到系统中的关闭自动播放设置项，将其设置为已启用可以关闭ou1组织单位中computer001、computer002两台计算机的CD-ROM的自动播放功能，而不管是哪个用户登陆到这两台计算机上，如图3-10所示。依次展开用户设置目录树管理模板子目录，找到系统中的关闭自动播放设置项，将其设置为已启用可以关闭ou1组织单位中的aa1、a2两个用户的CD-ROM的自动播放功能，而不管这两个用户登录到哪台计算机上，如图3-11所示。本章小结建立域前，首先必须仔细研究网络要求，制定好计划，然后根据惧的信息来设计网络，以决定网络中需要的域的数量、作为域控制器的服务器的数量、放置域