项目域网络构建与组策略应用PPT课件.ppt

WindowsServer2008网络组建项目化教程 课程标准 教学大纲 教学设计方案 教案 PPT电子课件教材习题参考答案模拟试卷及参考答案 4套 IT认证 全国技能大赛资料知识拓展 网络工程解决方案 主编 夏笠芹方颂 十二五 职业教育国家规划教材选题立项教材附带的光盘资源 企业要构建一个办公网络 考虑到业务发展的需要 以及网络的安全性 需要对重要的公共资源和计算机使用人员的信息实现集中管理 项目背景 项目3域网络构建与组策略应用 项目导入 大 中型企业网络有几百到上千的用户 资源也比较分散 这时候如何管理 工作组 和 域 是Windows网络的两种管理方式 工作组每一台计算机都独立维护自己的资源 不能集中管理所有网络资源每一台计算机都在本地存储用户的账户一个账户只能登录到一台计算机工作组中的计算机的地位都是平等的 对于其他计算机来说既是服务器 也是客户机工作组的网络规模一般少于10台计算机域将网络中多台计算机逻辑上组织到一起 进行集中管理 这种区别于工作组的逻辑环境叫做域域是组织与存储资源的核心管理单元 项目导入 工作组 域 项目3域网络构建与组策略应用 知识目标了解 域的概念 特点 活动目录的结构 域用户账户 域组账户和组织单位的概念 特点和用途熟悉 域控制器的条件 活动目录的管理与维护 域组账户的使用原则掌握 创建域 将计算机加入或脱离域 将域控制器降级为独立服务器或成员服务器 域用户账户 域组账户和组织单位的创建与管理 组策略的应用 能力目标会创建域 能将计算机加入或脱离域会创建与管理域用户账户 域组账户和组织单元能利用组策略技术对域中的计算机进行一些常用设置 教学目标 3 2项目知识准备 活动目录是存储网络上对象的相关信息并使该信息可供用户和网络管理员使用的目录服务 目录是一个数据库 用于保存与网络资源相关的信息结构 资源位置 安全信息及管理信息等 如 计算机 用户 组 打印机等的名称 描述 地理位置 访问权限等信息 目录服务是使目录中所有信息和资源发挥作用的服务 服务的主要表现是 网络中的所有用户和应用程序只需提供很少的信息就能准确定位到这些实体资源 保证用户能够快速访问 目录服务在网络安全方面也扮演着中心授权机构的角色 从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问 域 Domain 是共用一个 目录服务数据库 的安全边界的计算机的集合 3 2 1认识Windows的域 3 2项目知识准备 3 2 1认识Windows的域 3 2项目知识准备 域控制器在一个域中 活动目录数据库必须存储在域中特定的计算机上 这样的计算机被称为域控制器 DomainController 简写为DC 一个域可以有一个或多个域控制器 各域控制器是平等的 成员服务器那些安装了服务器版操作系统 如 WindowsServer2003或Windows2000Server 但未安装AD服务且加入域的计算机 工作站所有安装WindowsNTWorkstation Windows2000Professional或WindowsXPProfessional系统 且加入域的计算机 3 2 2域中计算机的角色 3 2项目知识准备 有许多计算机并不属于任何一个域 即以工作组模式运行着 从功能上来讲 也可将其分为两种角色 独立服务器安装了各种版本的WindowsServer 但未加入域 它一旦加入域中 其角色便转化为 成员服务器 一般客户端计算机无论执行何种操作系统 只要未加入域 且不是独立服务器的计算机 都归为此类 它一旦加入域中 其角色便是 工作站 3 2 2域中计算机的角色 3 2项目知识准备 集中管理 域中所有计算机共享了一个活动目录数据库 里面包含了整个域中的所有的资源信息 账户信息与安全信息 安全级别较高 由于域中所有安全信息都集中存储在活动目录数据库中 所以管理员可以通过指定强有力的安全策略来保证整个域的安全 便于用户访问域中的资源 在域的活动目录数据库中 管理员可以创建 域用户账户 一个域中无论有多少台计算机 用户只要拥有域用户账户 便可访问域中所有计算机上允许访问的资源 即域用户账户对资源的访问范围可以是整个域 而非局限在一台计算机上 域用户账户可以在加入域的任何一台计算机上登录 从而使用 访问该计算机上资源 3 2 3域的特点 3 2项目知识准备 组织单位 OrganizationalUnit 简称OU OU是组织 管理一个域内的对象的容器 它能包容用户账户 用户组 计算机 应用程序 打印机和其它的OU 域 Domain 域是活动目录的核心单元 是对象 如计算机 用户 组织单位等 的容器 这些对象有相同的安全需求 复制过程和管理 域管理员具有管理本域的所有权利 如果其它的域显式地赋予它管理权限 他还能够访问或管理其它的域 域树 Tree 3 2 4活动目录的组织结构 3 2项目知识准备 3 2 5域中组策略的应用 通过组策略来实现用户和计算机的集中配置和管理 这些设置包括安全选项 软件安装 脚本文件设置 桌面外观和用户文件管理等 组策略的所有配置信息都保存在组策略对象GPO GroupPolicyObject 两类GPO 系统内建的默认GPO默认域策略 DefaultDomainPolicy 该策略将影响域中的所有用户和计算机 默认域控制器组策略 DefaultDomainControllersPolicy 通常只影响到域中所有的域控制器 用户自定义GPO 3 3项目实施 1 安装域控制器的条件安装者具有本地管理员权限 操作系统版本必须满足条件 WindowsServer2008除Web版外都满足 安装域控制器的服务器上至少要有一个NTFS分区 有TCP IP设置 IP地址 子网掩码 DNS的IP等 有相应的DNS服务器支持 其作用是定位域控制器的位置 有足够的可用空间 任务3 1域控制器的安装 任务3 1域控制器的安装 2 域控制器的安装过程 任务3 2计算机加入或脱离域 计算机能加入域的先决条件是 该计算机与域控制器能连通在计算机上正确设置首选DNS服务器的IP地址 这里设为第一台DC的IP 客户端1 物理机 客户端2 虚拟机2 IP 172 16 102 X 160 16DNS 172 16 102 X 80 16 IP 172 16 102 X 16 域控制器 虚拟机1 IP 172 16 102 X 80 16DNS 172 16 102 X 80 16 加入域 任务3 2计算机加入或脱离域 任务3 3创建与管理域用户账户 创建域用户账户 任务3 3创建与管理域用户账户 限制用户登录域的时间 任务3 3创建与管理域用户账户 限制域用户账户只能从特定的计算机上登录域 任务3 4创建与管理域组账户 任务3 5创建与管理组织单元 组织单位 OU OU是一个容器 在OU中可以包含用户 组等其他对象 也可以在OU中建立子OU OU容纳和组织对象的方式 按对象类型来划分按企业的组织结构来划分 按地区来划分 混合划分方法 任务3 5创建与管理组织单元 创建组织单位 任务3 5创建与管理组织单元 向组织单位添加对象 任务3 6组策略对象 GPO 的创建与配置 创建和管理GPO的工具 开始 管理工具 组策略管理 该工具可以完成对组策略的各种配置和管理 包括备份 还原和生成组策略报表 任务3 6组策略对象 GPO 的创建与配置 1 创建GPO 统一定制桌面环境步骤1 在域控制器或成员服务器的非系统磁盘 如 E盘 中建一个文件夹 share 将统一的桌面壁纸文件 如 summer jpg 放入 share 中 右击该文件夹 在弹出的快捷菜单中选择 属性 打开 文件共享 对话框 单击 添加 前面的下拉按钮并选择 查找 选项 在打开的 选择用户或组 对话框中单击 高级 按钮 在打开的对话框中单击 立即查找 按钮 在 搜索结果 列表框中选择 DomainUsers 组 两次单击 确定 按钮 系统返回 文件共享 对话框 单击 DomainUsers 组并设置其具有 读者 的共享权限 单击 共享 按钮 单击 完成 按钮 如图3 34所示 任务3 6组策略对象 GPO 的创建与配置 步骤2 依次单击 开始 管理工具 组策略管理 打开 组策略管理 窗口 在左窗格中展开 域 节点 右击 组策略对象 在弹出的快捷菜单中选择 新建 打开 新建GPO 对话框 在 名称 编辑框中输入组策略对象的名称 如 统一桌面 单击 确定 按钮 如图3 35所示 任务3 6组策略对象 GPO 的创建与配置 2 配置GPO步骤1 进入 组策略管理 窗口 在右窗格中右击刚刚新建的 统一桌面 GPO 在弹出的快捷菜单中选择 编辑 如图3 36所示 任务3 6组策略对象 GPO 的创建与配置 步骤2 打开 组策略管理编辑器 窗口 在左窗格中 依次展开 用户配置 策略 管理模板 桌面 单击 桌面 在右窗格中右击 启用ActiveDesktop 在快捷菜单中选择 属性 任务3 6组策略对象 GPO 的创建与配置 步骤3 在打开的 启用ActiveDesktop属性 对话框中选择 设置 选项卡 选择 已启用 单击 确定 如图3 38所示 任务3 6组策略对象 GPO 的创建与配置 步骤4 在图3 37所示的右窗格中 双击 桌面墙纸 在打开的 桌面墙纸属性 对话框中单击 已启用 在 墙纸名称 编辑框中输入存放桌面壁纸文件的完整路径 如 server1 share sunmmer jpg 在 墙纸样式 下拉列表中选择样式 如 拉伸 单击 确定 按钮 如图3 39所示 任务3 6组策略对象 GPO 的创建与配置 3 将GPO链接到指定的容器在建立配置好新的GPO后 还需要将组策略与容器对象 站点 域和OU 链接起来 以实现对组策略作用范围的控制 将 统一桌面 GPO与 技术支持部 的OU进行链接的过程如下 在 组策略管理 窗口的左窗格中 右击 技术支持部 OU 在弹出的快捷菜单中选择 链接现有GPO 打开 选择GPO 对话框 在 组策略对象 列表框中选择 统一桌面 单击 确定 按钮完成链接 任务3 6组策略对象 GPO 的创建与配置 4 GPO策略实现效果的测试在GPO所在的域控制器上 单击 开始 运行 输入 gpupdate force 命令强制刷新组策略 再到加入域的客户端用 gpupdate force 命令强制刷新组策略或者注销客户端再用域用户帐户登录 此后客户端桌面将自动换成指定的桌面壁纸了 任务3 7为批量客户端自动安装软件 步骤1 在域控制器上建立相应的组织单元 如 财务部 和用户 步骤2 创建分发点 以管理员身份登录到用来存放分发软件的服务器 创建一个共享文件夹 并使域用户有共享读取权限和NTFS读取权限 在分发点用不同的子文件夹存放要分发的不同安装文件 msi文件 任务3 7批量自动安装客户端软件 步骤3 在域控制器上进入 组策略管理 窗口 基于 财务部 OU创建名为 分发软件 的GPO 右击新建的 分发软件 GPO 在弹出的快捷菜单中选择 编辑 打开 组策略管理编辑器 窗口 在左窗格中依次展开 用户配置 策略 软件设置 右击 软件安装 在弹出的快捷菜单中选择 新建 程序包 如图3 41所示 任务3 7批量自动安装客户端软件 步骤4 弹出 打开 对话框 在地址栏内输入安装程序包的共享文件夹的UNC路径 单击安装文件 如 PRO11 MSI 单击 打开 按钮 在打开的 部署软件 对话框中选择 已分配 单击 确定 如图3 42所示 软件分配完成设置后的效果如图3 43所示 任务3 7批量自动安装客户端软件 步骤5 在域控制器上 执行刷新组策略命令 gpupdate force 步骤6 在客户机上 注销用户并以相应组织单元中的用户重新登录系统 单击 开始 所有程序 可以看到已经部署的程序菜单项 单击相应的菜单项即可开始安装 项目3域网络的构建