AD实验手册!!.doc

如没有特殊说明在DC上操作时使用的均是administrator. 实验一：安装配置DNS支持活动目录，创建WIN2000根域、子域目标：通过完成该实验将能够安装配置DNS支持活动目录l 利用活动目录安装向导来安装活动目录预备知识：在进行实验之前，必须熟悉DNS的概念和操作。 理解活动目录的逻辑组件的概念。理解域控制器的作用和功能1、 安装DNS支持活动目录任务具体步骤a: 安装DNS服务a: 以管理员身份登录计算机，打开控制面板。双击添加删除程序，单击添加删除WINDOWS组件。双击网络服务，选择DNS安装目标：正确安装配置一台DNS任务具体步骤b: 创建一个名为TB.COM标准的主正向区域，动态更新a: 打开管理工具，单击DNS。选择正向搜索区域。鼠标右键单击新建区域。b: 在区域类型中选择标准主要区域，名为TB。COMc: 右击区域TB。COM，单击属性。允许动态更新，选择“是”任务具体步骤c: 更改计算机的DNS主后缀为TB。COM然后从新启动计算机a: 打开我的电脑属性对话框，选择网络标识，单击属性，在标识更改的对话框中，单击其它。选择这个计算机的主域名后缀框中键入TB。COM，然后单击OK 从新启动计算机2、 安装根域目标：在本次练习中，需要通过安装活动目录来创建一个Windows2000根域任务具体步骤a: 启动活动目录安装向导来创建：l 用于新域的新域控制器l 新域目录树l 域目录树的新目录林a: 以管理员身份登录计算机。单击开始，然后单击运行。在运行对话框中输入“DCPROMO”。然后单击OK。出现欢迎使用活动目录安装向导，单击下一步。选择创建新域的域控制器单击下一步。选择创建一个新的域目树单击下一步。选择创建新的域目录林，单击下一步。任务具体步骤b:新域名c:域的NTEBIOS名字b:数据库和日志的位置d:共用系统卷的默认位置e:完成安装向导a:为新域指定具体的DNS名称。在新域的DNS全名里填写：TB.COMb:把NETBIOS名字指定为新域名字或使它与新域名字相一致。NETBIOS名字是用来替运行WINDOWS或WINDOWS NT 早期版本的计算机标识域的c: 仔细查看活动目录数据库和日志文件默认的存放位置后，单击下一步。d: 活动目录系统卷必须存放在系统NTFS分区中。e: 下一步，完成安装向导后 重起计算机3、 安装子域目标：在本次练习中，需要通过安装活动目录来创建一个Windows2000子域任务具体步骤b:新域名c:域的NTEBIOS名字b:数据库和日志的位置d:共用系统卷的默认位置e:完成安装向导a:为新域指定具体的DNS名称。在新域的DNS全名里填写：2NPLAN。TB.COMb:把NETBIOS名字指定为新域名字或使它与新域名字相一致。NETBIOS名字是用来替运行WINDOWS或WINDOWS NT 早期版本的计算机标识域的c: 仔细查看活动目录数据库和日志文件默认的存放位置后，单击下一步。d: 活动目录系统卷必须存放在系统NTFS分区中。e: 下一步，完成安装向导后 重起计算机4、 安装客户端目标：在本次练习中，需要通过安装活动目录来创建一个Windows2000根域的客户端任务具体步骤a、将客户端加入到根域中a、将此客户端的首选DNS服务器的IP地址指向DNS服务器。b、单击“我的电脑”反键，在“网络标识”里将“工作组”改为“域”并将根域的名字填在这里。C、重新启动计算机即可。实验二：额外域控制器目标：通过完成该实验将能够l 在同一个域里创建额外域控制器，以达到容错和负载平衡的目的实验设备：为了完成该实验，需要以下设施l 思远公司已经成功创建了一个域，已存在一台域控制器任务具体步骤a: 启动活动目录安装向导来创建：l 用于同一域的另外一个域控制器a:将该服务器的首选DNS服务器的IP地址指向DNS服务器。b:“开始” “运行”，输入“dcpromo”c:选择“现有域的额外域控制器”，输入主DC的管理员帐号、密码以及主DC的域名。d:若要将此域指定为主DC的额外域控制器，将主DC的域名写在“域名”处。e:完成重启后即可实验三:在单域中建立和管理组目标:在完成本实验之后,学员将能够:l 创建和嵌套全局组l 创建域本地组并给资源分配权限l 实现并测试推荐的组策略预备知识:在进行本实验之前,学员必须知道l 混合模式和本机模式之间的差别l 理解使用组管理域资源访问的推荐策略实验预备:为了完成本实验,学员需要掌握思远公司的人员组织结构,和资源访问需求.练习1 创建全局组结构背景:思远公司的南湖校区近来不断扩展,包括以下三个部门:教务处,学工处,网络应用教研室.思远教育做出了一个决议:为南湖校区建立一个包括所有部门的管理结果.因此,我们需要为南湖校区创建一个全心的全局和域本地组结构.目标:在本次练习中,我们将为南湖校区创建OU结构,包括为每个部门创建一个OU.接着为每个部门的员工创建全局组,然后为南湖校区创建一个全局组.将每个部门的全局组嵌套到南湖校区的全局组中.任务具体步骤问:应将域设置为什么模式以实现预定的目标?为什么?a:在TB.COM,创建下面的OU结构:l 南湖校区l 教务处l 学工处l 网络应用教研室b:在与部门相应的OU内,为每个部门创建下面的全局安全组:l 员工-Gl 教务-Gl 班主任-Gl 老师-G答:本机模式,因为目标说明个部门的全局组将被添加到南湖校区全局组中.混合模式不提供这种类型的组嵌套a:以管理员身份登录计算机,打开活动目录用户和计算机,在控制台树中,右击TB.COM指向新键,然后单击OU,在新OU对话框的NAME框,键入南湖校区,然后单击OKb:同上方式,分别创建OU:教务处.学工处.网络应用教研室.C:单击南湖校区,右击,指向新键,然后单击组,在新键组对话框中键如员工-G,d:确保组范围设置为全局.组类型设置为安全,然后单击OK.e:重复步骤c到d按要求改变c和d 在教务处OU下创建教务-G,然后在学工处OU下创建班主任-G,在网络应用教研室下创建老师-G练习2 创建域本地组并给资源分配权限背景: 在本次练习中,南湖校区存在着网络资源如:双N校区课表.该资源存放在域当中的一台计算机上如:在DC上(F:双N课表)该资源南湖校区员工允许只读.学工处,网络应用教研室可读可写.教务处能完全控制.请针对该资源为用户分配权限目标: 已经创建了南湖校区的全局组结构.需要创建区域本地组用以分配南湖校区对资源的访问权限.权限只授予给域本地组任务具体步骤a:在与部门相应的OU内,为每个部门创建下列域本地组:l 员工-DLl 教务-DLl 班主任-DLl 老师-DLb:针对南湖校区资源,采用AGDLP策略为各部门分配相应的权限.a:在活动目录用户和计算机中,单击南湖校区,右击指向新键,然后单击组.在新键组对话框中的组名框中,键入员工-DL.b:设置组范围为域本地,确保组类型设为安全,然后单击OKc:重复步骤a到b按要求改变a和b,在教务处OU下创建教务-DL,在学工处OU下创建班主任-DL,在网络应用教研室OU下创建老师-DLd:将个部门用户加入到个部门OU的全局组里,将各部门全局组加入到南湖校区员工全局组里,然后将各部门全局组添加到相应的域本地组中.在资源双N课表上为相应的域本地组赋予相应的权限实验四:漫游用户目标：通过完成该实验将能够l 将用户配置成漫游用户，使得该用户在域中任何一台计算机上登录时，所使用的用户配置文件是一致的l 思远公司已经成功创建了一个域，已存在一台域控制器任务具体步骤a:在TB.COM,创建下面的OU结构:网络工程教研室b:在此OU里创建一个用户：JACKa:创建一个共享文件夹，取名shareb:以管理员身份登录计算机,打开活动目录用户和计算机,在控制台树中,右击TB.COM指向新键,然后单击OU,在新OU对话框的NAME框,键入网络工程教研室,然后单击OKc: 单击网络应用教研室,右击,指向新键, ,在新键用户对话框中键如员工-JACK.d:右击“网络工程教研室”，单击“属性”在属性框内选择“配置文件”，按以下格式输入：servernameshare-folder name%username%,也可以不写服务器的名字而输入服务器的IP地址。e:单击“开始”，选择“程序”，选择“管理工具”，选择“本地安全策略”，在安全设置里，选择“本地策略”，选择“用户权利指派”将用户JACK加入到此策略里，然后刷新服务器或重启机器。f：在服务器端以用户JACK的身份登入到服务器里，设置好桌面后，注销推出，再在客户端以此用户登入。实验五:在活动目录上发布资源目标:通过本次实验,你将有能力l 在活动目录上发布打印机l 在活动目录上发布共享文件夹预备知识:在开始实验之前,学员必须已经具有:l 建立共享文件夹的知识和技术l 安装和配置打印机的知识和技术实验准备:要配置成域控制器,运行Windows 2000 advanced Server 的计算机练习1 发布打印机背景:为了利用活动目录的便利,已经决定在活动目录上发布共享打印机.这将是用户可以方便的定位并访问打印机目标:在本次练习中,将安装和共享一个新打印机.然后修改打印机属性,以便于用户在网络上搜索任务具体步骤a:用下列信息安装和共享新打印机:l 本地打印机l 非自动检测l 使用LPT1:HP Color LaserJet 4500l 预设打印机名字l 预设共享名字l 没有位置或注释l 不打印测试页问 :现在打印机是不是已经发布在活动目录上答:是的.与共享文件夹不一样,共享打印机按预设会自动在活动目录上发布b:在活动目录用户和计算机上确定打印机位置.问:可以在活动目录用户和计算机中看见发布的打印机吗?为什么答:看不见.要浏览活动目录用户和计算机上发布的打印机,必须激活浏览作为容器的用户,组和计算机选项.c:修改发布打印机的位置属性,以便于搜索,设置教学服务中心的位置d:通过搜索教学服务中心中的打印机位置确定发布打印机的位置a:以管理身份登录计算机,从开始菜单中打开打印机文件夹b:在打印机文件夹中双击添加打印机,在欢迎使用打印机向导页上,单击下一步.在本地或网络打印机页上,确保选中本地打印机,清除自动检测并安装即插即用 检查框,然后单击下一步.c:在选择打印机端口页上,确保选中LPT1,然后单击下一步,在添加打印机向导页上,在厂商列表中,单击HP,在打印机列表中,单击HP Color Laserjet 4500,然后单击下一步,在给打印机命名页上,单击下一步,接受预设名字.d:在打印机共享页上,单击下一步接受预设名字.在位置和说明页上单击下一步e:在打印测试页上单击NO,然后单击下一步.在结束打印机添加向导页上单击完成Windows 2000 将安装所要求的打印机驱动,然后为打印机文件夹添加打印机图标f:在管理工具菜单中,打开活动目录用户和计算机,在查看菜单中,单击用户,组和计算机作为容器.g:展开Domain Controller,然后单击computer(这里的computer是指定的计算机名)问:在面板中会出现什么.答:出现代表发布打印机的图标h:让活动目录用户和计算机保持打开,在控制面板中,双击发布打印机.在computer-HP Color Laserjet 4500 Properties对话框中的位置方框中,输入教学服务中心,然后单击OKi:在查看菜单中,单击用户,组和计算机作为容器.管理活动目录用户和计算机.j:打开搜索菜单中的FOR printers,在查找打印机对话框中的printers标签上,在位置方框中,输入教学服务中心,然后单击查找.注意搜索完成以后,发布打印机将出现在对话框中.关闭所有打开的窗口然后退出练习2 发布共享文件夹背景:为了全部利用活动目录所提供的便利,已经决定在活动目录上发布共享文件夹,这将便于用户定位并访问共享文件夹目标:在本次练习中,将建立共享文件夹,并试着在网络上确定该共享文件夹的位置.然后在活动目录上发布该共享文件夹,并试着在网络上确定该共享文件夹的位置.任务具体步骤a:在驱动器C的根目录下建立并共享文件夹命名为双N课表,然后把该名字作为共享名字.b:试着通过浏览网络确定共享文件夹的位置.问:在显示共享资源的窗口中会出现双N课表文件夹吗?答:会出现双N课表文件夹问:为什么这不是确定网络资源位置的有效方式?答:通过浏览网络访问共享文件夹,用户必须知道共享文件夹的名字以及共享文件夹所在的计算机的名字和包含该计算机的域的名字.c:在域控制器OU中利用活动目录用户和计算机发布双N课表文件夹a:用管理身份登录计算机,在驱动器C的根目录下建立文件夹双N课表.利用预设值共享双N课表文件夹b:在桌面上,双击网上邻居,双击整个网络,单击整个目录,双击Microsoft Windows 网络,双击TB.COM,然后双击computer(这里computer是指定的计算机名)c:关闭所有窗口,在管理工具菜单中,打开活动目录用户和计算机.d:如果有必要就先展开域,然后在控制台树下,单击Domain Contorllers,右击Domain Contorllers,指向新键,然后单击共享文件夹,在新对象-共享文件夹对话框的名字方框中,输入双N课表.在网络路径方框中,输入computer双N课表.(这里computer是指定的计算机名)然后单击OK.注意现在双N课表将出现在域控制器OU中.e:双击OU中的双N课表,在双N课表属性对话框中的描述项方框中,输入课表,然后单击关键字对话框,输入下周课表.f:单击添加,输入双N课表,单击添加,然后单击OK,单击OK关闭双N课表属性对话框,然后关闭活动目录用户和计算机.g:在桌面上,双击网上邻居,双击整个网络,单击全部内容,然后双击目录,右击域,然后单击查找.h:在查找用户,容器,和组对话框中,查找列表下,单击共享文件夹,在共享文件夹标签上的关键字方框中,输入下周课表,然后单击立即查找.注意在搜索完成以后,双N课表文件夹将出现在对话框中i:双击双N课表.问:会出现什么情况答:出现显示共享文件夹目录的窗口.实验六：OU权限的继承目标:通过本次实验,将能够:l 能够理解OU权限的继承性在本次练习中,验证在父OU中制定的策略在子OU 中实施 任务具体步骤a:在域TB.COM中创建一个GPO。b:在域TB.COM中创建一个OU：网络工程教研室。c：在OU中创建一个用户：JACKd: 在客户机上验证此GPO在OU上能否实现。PS：此实验还可以在父容器中创建组策略，然后在子容器中创建一个用户，通过子容器的用户来实现。a:右击TB.COM，在列表中单击“属性”，在弹出的对话框里选择“组策略”，弹出组策略对话框，选择新建，为新建的组策略取名为“1”。b:选中“1”移至最上层，并点击“编辑”，在弹出的对话框中选择“用户配置”，双击“管理模板”，双击“任务栏和开始菜单”，在右面窗口中的详细列表中，双击“开始菜单中删除“运行”，在弹出的属性框中选择启用。c:完成后关闭组策略对话框。d: 右击TB.COM，点击新建OU，取名：网络工程教研室，并在此OU中创建一个新用户：JACK，在客户机上使用该帐号验证实验效果。e：打开客户机，用帐号JACK进行登录，点击“开始”菜单，无“运行”项，说明在域中创建的组策略在此OU中的用户帐号上生效。f:重复d、e两步骤，多建几个OU以及帐号，可以更有力的验证：在父容器中创建组策略，一般情况下是会继承到子容器中的。客户机实验结果：无“运行”选项实验七：阻止组策略继承目标：配置OU使得较高层次的策略不能在此OU生效。任务具体步骤a:在域TB.COM中创建一个GPO。b:在域TB.COM中创建两个OU：网络工程教研室、学工处c：在OU-网络工程教研室中创建一个用户：JACK，在OU-学工处中创建一个用户：mayd: 在其中的一个OU中配置阻止继承，另一个不配，验证该策略能在那个OU上生效。a:右击TB.COM，在列表中单击“属性”，在弹出的对话框里选择“组策略”，弹出组策略对话框，选择新建，为新建的组策略取名为“1”。b:选中“1”移至最上层，并点击“编辑”，在弹出的对话框中选择“用户配置”，双击“管理模板”，双击“任务栏和开始菜单”，在右面窗口中的详细列表中，双击“开始菜单中删除“运行”，在弹出的属性框中选择启用。c:完成后关闭组策略对话框。d: 右击TB.COM，点击新建OU，取名：学工处，并在此OU中创建一个新用户：MAYe：重复d步骤，创建OU：网络工程教研室，创建新用户：JACK，并右击OU-网络工程教研室，点击属性，在弹出的属性框里，把“阻止策略继承”前面打上“”。e：打开客户机，用帐号may进行登录，点击“开始”菜单，无“运行”项，说明在域中创建的组策略在此OU中的用户帐号上生效。f：打开客户机，用帐号jack进行登录，点击“开始”菜单，仍然有“运行”项，说明在域中创建的组策略在此OU中的用户帐号上没有生效，也就是说“阻止策略继承”的配置生效了。无“运行选项实验八:强制执行组策略继承目标:在完成实验后,学员将能够:l 连接一组策略(GPO)到一组织单元(OU)l 灵活运用组策略的刷新顺序,通过继承,阻止继承,禁止替代等为企业准确的设置组策略l 通过使用组策略的管理模板管理用户环境预备知识:在开始做实验之前,必须有使用活动目录用户和计算机的经验.实验设备:要完成实验,需要以下:l 配置成域控制器的运行Windows 2000 高级服务器版的计算机.l 一个OU结构.包括南湖校区,教务处,学工处,网络应用教研室练习1 创建和连接组策略对象背景:现在思远公司作出决定,希望通过使用组策略对公司网络进行管理.现公司存在4个部门包括南湖校区,教务处,学工处,网络应用教研室.公司要求所有部门禁止使用注册表编辑工具，除了网络应用教研室的老师以外。公司希望所有用户电脑必需统一桌面墙纸，为以防万一要求强制执行。目标：为思远公司制定并创建相应的组策略对象（GPO），并连接到相应的容器中。以确保组策略被有效正确的实施任务具体步骤a:根据公司需要，决定在域上创建一条组策略对象，并编辑相应的策略。b:通过在网络应用教研室OU上使用阻止继承，以使网络应用教研室的老师们可以使用注册表编辑工具c:通过继续编辑组策略，使思远公司所有部门用户电脑采用统一桌面墙纸a:以管理员身份登录计算机，从管理工具中打开活动目录用户和计算机。在控制台树中，单击TB.COM，右击属性，在TB.COM属性对话框中，单击组策略选项卡。单击新键，输入禁用注册表编辑工具，然后回车。b:选择新组策略，然后单击编辑。在组策略控制台树下，在用户配置中，展开管理模板，单击系统，然后在细节面板中，双击禁用注册表编辑工具。在禁用注册表编辑工具属性对话框中，在策略标签上，单击启用，然后单击OKc:单击网络应用教研室OU，右击属性，在网络应用教研室属性对话框中单击组策略选项卡。确保阻止策略继承选项卡被勾上d:从管理工具中打开活动目录用户和计算机，单击TB.COM 右击属性，在TB.COM属性对话框中单击组策略选项卡，选择禁止使用注册表编辑工具组策略对象，单击编辑e:在组策略控制台树下，在用户配置中，展开管理模板，展开桌面，单击活动桌面。在细节面板中单击活动桌面墙纸，在活动桌面墙纸属性对话框中，在策略标签上，单击启用，在指定位置和名称，墙纸名称栏中输入确保公司指定统一的墙纸所在的正确路径。f:在墙纸样式栏中确保选择拉伸注：如果采用的墙纸格式是HTML和JPEG。者在细节面版中单击启用活动桌面，在活动桌面属性对话框中，在策略标签上，单击启用，然后单击OKg:从管理工具中打开活动目录用户和计算机，在控制台树中，单击TB.COM 右击属性，在TB.COM属性对话框中，单击组策略选项卡，选择禁止使用注册表编辑工具组策略对象，单击选项，确保禁止替代选项卡被勾上。练习2 利用组策略实现文件夹重定向策略 背景：思远公司有一项策略，即只备份服务器上数据，考虑到容错性，不能指望我的文档文件夹目录存储在本地计算机上。因为服务器每晚都要备份，所以希望把文件夹重定向到服务器上的用户主目录上。目标：在本次实验中，将要利用组策略把我的文档文件夹重定向到网络的新位置上。任务具体步骤a:确定教务处用户帐号中我的文档的当前位置,然后在我的文件夹下建立一个文本文件.问:我的文档的当前位置是什么?答:C:Document and Settings帐号名b:重定向教务处OU中用户的我的文档文件夹.按下列要求设置重定向文件夹:设置:基本的-把所有文件夹重定向到同一位置.目标:computer文件夹重定向%username%(这里computer是所有计算机名IP地址)策略删除:在组策略删除的时候把文件夹重定向,返回到本地用户配置文件位置在下列空白处记录文件夹重定向的预设设置C:验证文件夹重定向组策略已经正常运行d:删除文件夹重定向策略GPOa:用教务处的用户帐号登录计算机.打开我的文档的属性对话框问:用户可以改变该文档的位置吗?答:可以b:关闭我的文档对话框,然后打开我的文档文件夹.在我的文档文件夹中建立文本文件.关闭我的文档,然后退出.C:以管理员身份登录计算机.在驱动器C的跟目录下,建立名为文件夹重定向的文件夹,然后按预设权限共用该文件夹.d:从管理工具中打开活动目录用户和计算机.在控制台树下展开所在的域,右击教务处然后单击属性,在组策略标签上,建立新GPO命名文件夹重定向,然后单击编辑.e:在用户配置下,展开Windows Settings,展开文件夹重定向,右击我的文档,然后单击属性.在设置列表下,单击(基本-把文件夹重定向到同一个位置)f:在目标文件夹位置下输入computer文件夹重定向%username%(这里computer是所在计算机名或IP地址),然后单击设置标签l 授权我的文档用户转有权已经启用l 移动我的文档到新位置已经启用l 已经预设策略删除,在组策略删除的时候,将把文件夹留在新位置.l 已经预设my pictures preferences , 使my pictures 成为我的文档的子文件夹g:单击(在组策略删除的时候把文件夹重定向返回到本地用户配置文件位置),然后单击OKh:关闭用所窗口,然后退出.I:用教务处用户帐号登陆计算机,从我的文档中打开属性问:我的文档的当前位置是什么?computer文件夹重定向帐号名(这里computer 是所指定的计算机名或IP地址)问:用户可以改变我的文档的位置吗?为什么答:不可以,因为文件夹是用组策略重定向的问:我的文档有什么权限?为什么答:具有的权限是SYSTEM-完全控制和教务处该用户完全控制.因为文件夹的预设设置是把用户转有访问授权给文件夹.J:关闭我的文档属性对话框,然后打开我的文档.问:我的文档文件夹中是否包含刚才建立的文本文件?为什么答:是.文件夹重定向的预设设置会把重定向文件夹的目录移到新的位置.K:关闭我的文档,退出.用管理员身份登录计算机,从管理工具菜单中打开活动目录用户和计算机.L:在控制台树下,展开所在的域,右击教务处,然后单击属性.在组策略标签上,选择文件夹重定向GPO,然后单击删除.在删除对话框中,单击(永久性删除连接和组策略对象),然后单击OKm:在删除组策略对话框中单击YES,然后单击CLOSE,关闭教务处属性方框.关闭所有窗口,然后退出n:用教务处用户帐号登录,登录后右击我的文档,然后单击属性.问:我的文档当前位置是什么?这是不是文件夹重定向组策略删除时候的预设行为答:C:Documents and Settings帐号名.不是,文件夹重定向组策略删除的时候的预设行为是把重定向的文件夹存留在重定向的网络共用文件夹上关闭所有窗口,然后退出实验九: 同一容器中组策略冲突的优先级目标：1、当父容器中的组策略和子容器中的组策略发生了冲突的时候，对于用户来说应该执行哪个容器的组策略任务具体步骤a:在域TB.COM中创建一个GPO：在开始菜单中禁用运行选项。b:在域TB.COM中创建一个OU：网络工程教研室。c：在OU-网络工程教研室中创建一个用户：JACK。d:在OU-网络工程教研室中创建另一个GPO：在开始菜单中启用运行选项e:使用帐号JACK登录客户机，看一下实验结果判断两个组策略谁的生效了。a:右击TB.COM，在列表中单击“属性”，在弹出的对话框里选择“组策略”，弹出组策略对话框，选择新建，为新建的GPO取名为“1”。b:选中“1”移至最上层，并点击“编辑”，在弹出的对话框中选择“用户配置”，双击“管理模板”，双击“任务栏和开始菜单”，在右面窗口中的详细列表中，双击“开始菜单中删除“运行”，在弹出的属性框中选择启用。c:完成后关闭组策略对话框。d: 右击TB.COM，点击新建OU，取名：网络工程教研室，并在此OU中创建一个新用户：JACKe：重复a步骤，右击OU-网络工程教研室，点击属性，在弹出的属性框里，在弹出的对话框里选择“组策略”，弹出组策略对话框，选择新建，为新建的GPO取名为“2” 选中“2”，并点击“编辑”，在弹出的对话框中选择“用户配置”，双击“管理模板”，双击“任务栏和开始菜单”，在右面窗口中的详细列表中，双击“开始菜单中删除“运行”，在弹出的属性框中选择禁用。f：打开客户机，用帐号JACK进行登录，点击“开始”菜单，有“运行”项，说明在域中创建的GPO1没有生效，而OU中创建的GPO2生效了。结论：来自父容器的GPO设置和来自子容器的GPO设置发生冲突。子容器的设置后执行并发挥作用练习2：目的：在同一容器中，不同的GPO设置冲突时，哪个GPO的设置会生效。任务具体步骤a:在域TB.COM中创建一个OU：网络工程教研室。c：在OU-网络工程教研室中创建一个用户：JACK。d:在OU-网络工程教研室中创建一个GPO，取名“1”：在开始菜单中禁用“运行”选项e: 在OU-网络工程教研室中创建一个GPO，取名“2”：在开始菜单中启用“运行”选项。f: 使用帐号JACK登录客户机，看一下实验结果判断两个组策略谁的生效了.a: 右击TB.COM，点击新建OU，取名：网络工程教研室，并在此OU中创建一个新用户：JACKb：右击OU-网络工程教研室，点击属性，在弹出的属性框里，在弹出的对话框里选择“组策略”，弹出组策略对话框，选择新建，为新建的GPO取名为“1” 选中“1”，并点击“编辑”，在弹出的对话框中选择“用户配置”，双击“管理模板”，双击“任务栏和开始菜单”，在右面窗口中的详细列表中，双击“开始菜单中删除“运行”，在弹出的属性框中选择启用。c:重复步骤“b”创建另一个GPO取名“2”，选中“2”，并点击“编辑”，在弹出的对话框中选择“用户配置”，双击“管理模板”，双击“任务栏和开始菜单”，在右面窗口中的详细列表中，双击“开始菜单中删除“运行”，在弹出的属性框中选择禁用。d：打开客户机，用帐号JACK进行登录，点击“开始”菜单，没有“运行”项，说明在域中创建的GPO1生效，而OU中创建的GPO2没有生效了。没有“运行”项结论：连接到同一容器上的不同的GPO的设置发生冲突。在容器属性对话框中GPO列表中最高位置的GPO的设置后执行并发挥作用实验十:委派管理控制目标:通过本次实验,将能够:l 委派组织单元的控制预备知识:在开始实验以前,必须已经:l 了解什么是活动目录权限l 知道如何建立用户实验准备:要完成本次实验,需要满足下列要求:l 配置成域控制器,且运行Microsoft Windows 2000 Server 的计算机l 授权给所有用户的本地用户登录权练习1 委派管理控制背景:假如你是思远公司的IT部门经理.现在公司正在扩张,因此添加用户和管理OU的任务越来越重.你需要把一些管理任务通过委派OU控制的方式交给一个用户,使他能够管理南湖校区网络应用教研室OU里的帐号.目标:在本次练习中,将在网络应用教研室里创建一个帐号,并对该帐号实施委派管理权限,使之能管理网络应用教研室OU里的帐号任务具体步骤a:使用以下信息为网络应用教研室创建一帐号姓:汪 名:云涛 用户登录名:wyt 密码:空.b:注销使用该用户登录.管理网络应用教研室OU问:能否为网络应用教研室OU创建一个用户,为什么答:不能,因为该用户没有在管理网络应用教研室OU里创建和管理用户帐号的权限c:利用委派控制向导把在网络应用教研室OU里创建,删除,和管理用户帐号的活动目录权限授权给wyt用户帐号d:以wyt身份登录,并准备为网络应用教研室创建一新的用户帐号问:和上次相比使用wyt帐号登录有什么不同,为什么.答:这次可以新键一用户了.因为通过刚才使用的委派向导已将在网络应用教研室中创建,删除,及管理用户帐号的权限授权给了wyta:运用以前所学,创建该帐号.b:单击开始菜单,单击注销,输入用户名wyt密码为空,登录计算机.在管理工具中,打开活动目录用户和计算机,展开域,在控制台树中单击网络应用教研室OU,右击c:注销,以管理员身份登录计算机.从管理工具菜单中打开活动目录用户和计算机.在控制台树下,展开域,右击网络应用教研室然后单击委派管理.在委派管理向导中单击下一步d:在用户和组页面上单击添加,在选择用户,计算机和组对话框中单击wyt,单击添加,单击OK,然后单击下一步.e:在公共管理任务页面上,单击创建,删除,及管理用户帐号,然后单击下一步.单击完成f:关闭所有窗口,退出.用wyt 密码空,登录从管理工具菜单中打开活动目录用户和计算机.在控制台树下,展开域,然后单击网络应用教研室,右击指向新键,单击用户.实验十一:委派组策略管理目标：允许普通用户能够管理一个现有的GPO，创建新的GPO任务具体步骤a:在域TB.COM中创建一个OU：网络工程教研室。b：在OU-网络工程教研室中创建一个用户：JACK。c：首先验证用户JACK在默认情况下能否管理现有的GPOd：设置用户JACK的权限，使普通用户能够管理现有GPO并能创建新的GPO e:验证普通用户JACKa: 右击TB.COM，点击新建OU，取名：网络工程教研室，并在此OU中创建一个新用户：JACK，并新建一个GPO，取名“1”b：在客户机上用JACK帐号登录，在开始运行里输入：dsa.msc ,打开“AD用户和计算机”右击OU网络工程教研室，点击“属性”，选择“组策略”，选择GPO1，查看一下状态，这个时候的用户JACK，没有任何权限去管理一个现有的GPO，更加无法新建一个新的GPO。c: 右击OU网络工程教研室，点击“属性”，选择“组策略”，选择GPO1 ，点击下排的“属性”在弹出的属性框里点击“安全”，点击右侧“添加”将用户JACK添加进来，将其“写”权限勾上。d:实验结果证明用户JACK这时可以选中GPO1后点击“编辑”也就是说用户JACK可以管理现有的GPO。e:对OU网络工程教研室进行委派操作，将“管理组策略链”的权限委派给用户JACK，具体步骤在上过实验中已详细说明，这里就省略。f：完成委派后，用户JACK这时可以对现有的GPO做编辑、删除、修改权限登操作，但是还是不能创建新的GPO.g:为了使用户JACK可以创建新的GPO，必须使通用户JACK成为组策略拥有者小组成员：在DC上点击user组，右击“Group Policy Creator Owners” ，单击“属性” ，选择“成员”将普通用户JACK添加进去，点击确定即可。 在客户机上，开始运行dsa.msc打开AD用户和计算机在OU属性里打开组策略，如下图：回到DC上，在DC上打开GPO的属性，点击安全在客户机上：在DC上做委派：在客户机上：点击“新建”在DC上将普通用户JACK添加到Group Policy Creator Owners组中去。在客户机上：当用户JACK点击新建的时候创建了一个新的GPO结论：当在DC上完成以上三步以后，用户JACK就不仅可以完全管理现有的GPO而且还可以创建新的GPO实验十二:使用组策略管理软件目标:完成本实验后,学员将有能力:l 使用组策略为OU中的用户分配软件l 使用组策略为OU中的用户发布软件预备知识：在进行本实验之前，学员必须具有创建组策略对象的知识和技能实验设置：为了完成本实验。学员需要：l 一台运行Windows 2000 Advanced Server 配置为域控制器的计算机l 一个OU结构。l 一个实验软件，在这里我们使用一个名为Cosmo的应用软件练习1 分配软件背景：思远公司决定集中管理用户应用程序的布置。需要确保Cosmo对于教务处的用户是可用的。目标：在本次练习中，学员将用组策略为教务处的用户分配Cosmo应用软件任务具体步骤a:在教务处OU中创建一个名为应用程序分配的GPOb:修改应用程序分配GPO以分配Cosmo包：分配的文件名：computer软件分配CosmoCosmo.msi（这里computer是Cosmo软件所在的计算机名或IP地址a:以管理员身份登录计算机。从管理工具菜单中打开活动目录用户和计算机。b:如果有必要，布置TB.COM。右击教务处，然后单击属性，在组策略标签上单击新键，键入应用程序分配的GPO，然后回车。保持教务处属性对话框为打开状态。C:在教务处对话框中，选定应用程序分配GPO，如必要，单击编辑。在用户配置下，布置软件设置。然后单击软件安装，右击软件安装，指向新键，然后单击程序包d:在文件名框中，键入computer软件分配Cosmo（这里computer是Cos