项目3--域网络构建与组策略应用

WindowsServer2008网络建设项目课程、课程标准(教学大纲)教学设计方案(教学计划)PPT电子课件教材习题参考答案模拟试卷和参考答案(4套)信息技术认证全国技能大赛数据知识拓展网络工程解决方案主编：夏宋“十二五”职业教育国家规划教材选题教材光盘资源企业建设办公网络，考虑业务发展和网络安全的需要，需要实现计算机用户重要公共资源和信息的集中管理。项目背景，项目3域网络建设和组策略应用，项目导入，大中型企业网络有数百到数千用户，资源相对分散，此时如何管理？“工作组”和“域”是视窗网络的两种管理方法。工作组中的每台计算机都独立维护自己的资源，不能集中管理所有网络资源。每台计算机都在本地存储用户帐户。每个帐户只能登录一台计算机。工作组中的计算机具有相同的状态。对于其他计算机，既是服务器又是客户端的工作组的网络大小通常少于10个计算机域。网络中的多台计算机在逻辑上组织在一起进行集中管理。这种不同于工作组的逻辑环境称为域域。域是组织和存储资源的核心管理单元。项目导入、工作组、域、域和组策略应用程序。项目3域网络建设和组策略应用，知识目标理解：域概念、特征、活动目录结构、域用户帐户、域组帐户和组织单元概念、特征和使用熟悉度：域控制器条件、活动目录管理和维护、域组帐户使用原则：域创建、计算机加入或离开域、域控制器降级为独立服务器或成员服务器；创建和管理域用户帐户、域组帐户和组织单位；组策略的应用。能力目标将创建一个域，加入或离开域的能力将创建和管理域用户帐户、域组帐户和组织单位。组策略技术可用于为域中的计算机进行一些通用设置，教学目标、3.2项目知识准备和活动目录是目录服务，用于存储有关网络上对象的信息，并使用户和网络管理员可以使用这些信息。目录是用于存储与网络资源相关的信息结构、资源位置、安全信息和管理信息的数据库。例如，计算机、用户、组、打印机等的名称、描述、地理位置、访问权限和其他信息。目录服务是一种使目录中的所有信息和资源都能工作的服务。该服务的主要性能是，网络中的所有用户和应用程序仅通过提供少量信息来确保用户能够快速访问这些实体资源，就可以准确定位这些实体资源。目录服务还在网络安全中起到中央权威的作用，因此操作系统可以容易地验证用户的身份并控制他们对网络资源的访问。域是共享“目录服务数据库”安全边界的计算机集合。3.2.1知道视窗的域，3.2知道项目知识准备，3.2.1知道视窗的域，3.2知道项目知识准备，域控制器在一个域中，活动目录数据库必须存储在域中的特定计算机上，这样的计算机称为域控制器，缩写为DC。一个域可以有一个或多个域控制器，并且所有域控制器都是相等的。成员服务器安装了操作系统的服务器版本(例如，WindowsServer2003或Windows 2000服务器)但未安装广告服务的计算机加入域。所有工作站都配备了WindowsNTWorkstation、Windows2000Professional或WindowsXPProfessional系统，以及加入该领域的计算机、计算机在3.2.2领域中的作用以及3.2项目知识的准备。许多计算机不属于任何域，也就是说，它们以工作组模式运行。从功能上来说，它们也可以分为两个角色：独立的服务器配备了不同版本的WindowsServer，但不加入域。一旦它加入域，它的角色就转变为一旦它加入域，它的角色就是“工作站”，3.2.2域中计算机的角色，3.2项目知识的准备，集中管理：域中的所有计算机共享一个active directory数据库，其中包含整个域中的所有资源信息、帐户信息和安全信息。高安全级别：由于域中的所有安全信息都存储在active directory数据库中，管理员可以通过指定强安全策略来确保整个域的安全。用户可以轻松访问域中的资源：在域的active directory数据库中，管理员可以创建“域用户帐户”无论域中有多少台计算机，只要用户拥有域用户帐户，他们就可以访问允许在域中所有计算机上访问的资源，也就是说，域用户帐户对资源的访问范围可以是整个域，而不是局限于一台计算机。域用户帐户可以登录到加入域的任何计算机，以使用和访问该计算机上的资源。3.2.3域特征，3.2项目知识准备，组织单位(OU)OU是一个用于组织和管理域内对象的容器，它可以包含用户帐户、用户组、计算机、应用程序、打印机和其他OU。域域是活动目录的核心单元和对象(如计算机、用户、组织单位等)的容器。)，它们具有相同的安全要求、复制过程和管理。域管理员有权管理自己的域。如果其他域明确授予他管理权限，他也可以访问或管理其他域。域树)，3.2.4活动目录的组织结构，3.2项目知识的准备，3.2.5域中组策略的应用，通过组策略实现用户和计算机的集中配置和管理。这些设置包括安全选项、软件安装、脚本文件设置、桌面外观和用户文件管理。组策略的所有配置信息都存储在GPO(GroupPolicyObject)两种类型的GPO中：系统内置的默认GPO默认域策略：此策略将影响域中的所有用户和计算机。默认域控制器组策略：通常只影响域中的所有域控制器。用户定义的GPO，3.3项目实施，1。安装域控制器的条件安装程序具有本地管理员权限。操作系统版本必须满足这些条件(WindowsServer2008满足除网络版本之外的所有条件)。安装域控制器的服务器必须至少有一个NTFS分区。有TCP/IP设置(IP地址、子网掩码、域名系统的IP等。)。有相应的DNS服务器支持，用于定位域控制器的位置。有足够的自由空间。任务3-1安装域控制器，任务3-1安装域控制器，2。域控制器的安装过程：任务3-2计算机加入域的先决条件是计算机和域控制器可以连接。首选域名系统服务器的IP地址(这里是第一个DC的IP地址)在计算机上设置正确。客户端1(物理机)，客户端2(虚拟机2)，IP:172 . 16 . 102 . x 160/16 DNS:172 . 16 . 102 . x 80/16，IP: 172.16.102.x/16，域控制器(虚拟机1)，IP:172 . 16 . 102 . x 80/16 DNS:172 . 16 . 102 . x 80/16，加入域。任务3-2计算机加入或离开域，任务3-3创建和管理域用户帐户，创建域用户帐户：任务3-3创建和管理域用户帐户，限制用户登录域的时间：任务3-3创建和管理域用户帐户，限制域用户帐户仅登录特定计算机的域，任务3-4创建和管理域组帐户，任务3-5创建和管理组织单位，组织单位(OU)OU是一个容器，可以包含其他对象，如用户、组或OU中的子对象。OU容纳和组织对象的方式：按对象类型，按企业的组织结构；按地区划分；混合分区方法：任务3-5创建和管理组织单位，创建组织单位，任务3-5创建和管理组织单位，向组织单位添加对象，任务3-6创建和配置组策略对象(GPOs)，并使用工具(如开始管理工具组策略管理)创建和管理GPOs。该工具可以完成组策略的各种配置和管理，包括组策略报告的备份、恢复和生成。任务3-6组策略对象(GPO)的创建和配置，1。创建GPO-桌面环境的统一定制步骤1:在域控制器或成员服务器的非系统磁盘(如：E磁盘)上创建文件夹“共享”将统一桌面墙纸文件(如：summer.jpg)放入“共享”右键单击文件夹在弹出的快捷菜单中选择“属性”打开“文件共享”对话框。单击添加前面的下拉按钮，选择查找选项在打开的选择用户或组对话框中单击高级按钮在打开的对话框中单击立即查找按钮，在搜索结果列表框中选择域用户组单击确定按钮两次系统返回文件共享对话框，单击域用户组，用读者设置其共享权限单击共享按钮单击完成按钮，如图3-所示，任务3-6组策略对象(GPO)的创建和配置。第二步：点击开始-管理工具-组策略管理-打开组策略管理窗口，在左窗格中展开域节点-右键单击组策略对象-在弹出的快捷菜单中选择新建-打开新建GPO对话框，在名称编辑框中输入组策略对象的名称(如“统一桌面”)-点击确定，如图3-35所示。任务3-6组策略对象(GPO)的创建和配置。2.配置GPO步骤1:进入“组策略管理”窗口在右窗格中右键单击新建的“统一桌面”GPO在弹出的快捷菜单中选择“编辑”，如图3-36所示。任务3-6组策略对象(GPO)的创建和配置。步骤2:打开“组策略管理编辑器”窗口。在左窗格中，展开“用户配置”“策略”“管理模板”“桌面”单击右窗格中的“桌面”右键单击“启用活动桌面”在快捷菜单中选择“属性”。任务3-6组策略对象(GPO)的创建和配置，步骤：在打开的启用ActiveDesktop属性对话框中，选择设置选项卡选择启用点击确定，如图3-38所示。任务3-6组策略对象(GPO)创建和配置，步骤4:在图3-37所示的右窗格中，双击桌面壁纸 在打开的桌面壁纸属性对话框中，单击启用 在壁纸名称编辑框中，输入存储桌面壁纸文件的完整路径(例如： 服务器1 共享 sunmer.jpg)在壁纸样式下拉列表中选择一种样式(例如拉伸)单击确定按钮，如下所示任务3-6组策略对象的创建和配置。3.将GPOs链接到指定的容器。建立已配置的新GPO后，需要链接组策略和容器对象(站点、域和OU)来控制组策略的范围。将“统一桌面”GPO与“技术支持部门”的OU链接的过程如下：在“组策略管理”窗口的左窗格中，右键单击“技术支持部门”OU在弹出的快捷菜单中选择“链接现有GPO”打开“选择GPO”对话框，在“组策略对象”列表框中选择“统一桌面”单击“确定”按钮完成链接。任务3-6组策略对象的创建和配置。4.测试GPO策略在GPO所在的域控制器上的实现效果。单击开始 运行输入“gpupdate/force”命令强制刷新组策略。然后使用“gpupdate/force”命令强制刷新组策略或注销客户端以使用域用户帐户登录以加入域。之后，客户端桌面将自动替换为指定的桌面墙纸。任务3-7自动为批处理客户端安装软件。步骤1:在域控制器上建立相应的组织单元(如“财务部”)和用户。步骤2:创建分发点。以管理员身份登录到存储分发软件的服务器创建共享文件夹并授予域用户共享读取权限和NTFS读取权限存储不同的安装文件(。msi文件)分发到分发点的不同子文件夹中。，任务3-7批量自动安装客户端软件，步骤3:在域控制器上进入组策略管理窗口-基于财务部 ou创建一个名为分发软件的GPO-右键单击新建的分发软件 GPO-在弹出的快捷菜单中选择编辑-打开组策略管理编辑器窗口，在左窗格中，展开用户配置-策略-软件设置-右键单击软件安装-在弹出的快捷菜单中选择新建-软件包，任务3-7批量自动安装客户端软件，步骤4:弹出打开对话框，在地址栏中输入安装包的共享文件夹的UNC路径点击安装文件(如：PRO11。MSI)点击“打开”按钮在打开的“部署软件”对话框中选择“已分配”点击“确定”，如图3-42所示。软件分发完成后的效果如图3-43所示。任务3-7客户机软件的批量自动安装，步骤5:在域控制器上，执行刷新组策略命令“gpupdate/force”。步骤6:在客户机上，注销用户，然后用相应组织单位的用户重新登录系统单击开始所有程序查看已部署的程序菜单项单击相应的菜单项开始安装。项目3域网络的构建和组策略的应用，项目知识准备了解计算机在窗口域(活动目