网络基础服务及其管理 11

《WindowsServer2016域用户和域组的管理》配套同步教案一、课程基础信息课程名称：AD域用户、域组、组织单位与组策略管理实训授课对象：计算机网络/云计算专业中职、高职学生课时：2课时（90分钟，理实一体化实训）授课类型：服务器高级运维实训课实训环境域控制器DC：WindowsServer2016，\o"autolink"，IP/16文件服务器FileServer：WindowsServer，IP/16客户端：Win10、Win7，已加入\o"autolink"域工具：ActiveDirectory用户和计算机、组策略管理控制台GPMC教学资料：配套PPT、实训任务单、项目综合考核评分表二、三维教学目标（一）知识目标掌握域用户、本地用户核心区别，理解OU组织单位作用。分清安全组/通讯组，全局组、本地域组、通用组三种作用域的适用场景与成员规则。熟记A-G-DL-P权限分配标准原则，掌握各类内置域组权限。理解组策略GPO概念、组成、生效逻辑，掌握可移动存储、打印机限制策略原理。（二）技能目标在AD中创建OU、域用户，配置登录时段、登录计算机、账户过期、密码选项。创建全局组、本地域组，完成用户添加/移除、组嵌套操作。实现员工账户运维：禁用、启用、重置密码、重命名、删除账户。创建并链接OU组策略，禁用U盘/光盘、限制增删打印机，强制刷新策略并客户端验证。（三）素养目标建立企业标准化域账号管理规范，根据部门分层创建OU便于运维。树立权限最小化思维，通过组批量授权，避免单独分配权限。建立企业账户安全规范：离职删账户、出差禁用账户、定期重置密码。掌握批量管控思路，利用组策略统一管控域内所有用户设备。三、教学重难点教学重点OU组织单位、域用户、全局/本地域组完整创建与属性配置域用户日常运维：禁用、重置密码、登录时间限制A-G-DL-P权限分配原则实操应用OU链接组策略，限制移动存储与打印机操作教学难点三种组作用域（全局、本地域、通用）成员与权限范围区分A-G-DL-P权限模型理解与文件夹权限分配实操组策略生效原理、gpupdate强制刷新、客户端策略验证排错四、课前教学准备教师准备教学资源：项目PPT、分步实训指导、课堂任务工单、考核试题。环境预配：提前搭建\o"autolink"域环境，所有虚拟机互通、客户端正常加域。演示工具：投屏软件，预录组策略报错排错演示视频。学生准备启动域控、Win10客户端两台虚拟机，复习上一节域控制器基础。实训笔记本，记录账户、组、策略操作易错点。五、教学方法情景案例法：以ABC多部门企业真实账号管理场景导入，对比工作组缺陷。理论讲授法：拆解域用户、OU、三种组作用域、组策略核心理论。分步演示法：投屏完整演示OU/用户/组创建、账户运维、组策略配置。任务驱动法：分为两大实训任务，分模块完成实操。小组互助法：2人一组，一人操作域控，一人客户端验证策略效果。过程评价法：课堂巡回检查，课后综合任务打分。六、完整教学实施流程（总90分钟）环节1课程情景导入（5分钟）企业案例：ABC公司分销售、设计、研发、管理部，数百台电脑，需要分部门管理员工账号、统一管控U盘打印机。回顾旧知：对比工作组本地账户（每台机器单独建账号），引出域统一账号管理优势。公布本节课两大核心任务、期末项目评价考核标准。环节2理论知识精讲（15分钟）域用户与本地用户区别本地账户仅本机生效；域账户全域任意设备登录，统一存储在域控AD数据库。两种登录格式：用户名@域名/域名\用户名。内置Administrator、Guest账户安全说明。OU组织单位按企业部门分层容器，可链接专属组策略、批量管理本部门用户/计算机。域组分类①类型：安全组（分配权限）、通讯组（邮件群发无权限）；②三种作用域：全局组（同部门人员）、本地域组（资源授权）、通用组（多域大企业），结合表格区分成员与权限范围。③标准权限模型A-G-DL-P：用户→全局组→本地域组→资源权限。组策略GPO分为计算机配置、用户配置；链接在域/OU，批量管控设备与用户，gpupdate刷新生效。环节3任务一：OU、域用户、域组管理（35分钟）教师分步演示（12分钟）OU创建：AD用户和计算机，\o"autolink"根目录新建「设计部」OU。域用户创建：在OU内新建员工账户，设置密码、登录时间（周一至周五9:00-17:00）、限制登录设备。账户运维操作：出差禁用账户、员工离职删除、忘记密码重置、人员更替重命名。组创建：Users容器新建全局组「管理部」、本地域组「研发中心」。组成员管理：用户加入全局组、全局组嵌套至本地域组；按A-G-DL-P给文件夹分配读写权限。学生自主实操（20分钟）+巡回答疑（3分钟）实训要求：新建设计部OU，创建5名设计员工域账户，限制上班时段登录；创建全局组、本地域组，完成用户添加与组嵌套；完成账户禁用、重置密码、删除等运维操作；给文件夹分配本地域组读写权限。巡查重点：组作用域选错、登录时间设置错误、账户密码不满足复杂度、权限分配逻辑混乱。环节4任务二：OU组策略创建与应用（25分钟）教师分步演示（10分钟）打开组策略管理，右键设计部OU新建GPO命名shejiGPO。编辑GPO：用户配置→管理模板→系统→可移动存储，启用「所有可移动存储拒绝所有权限」，禁用U盘、光盘。打印机策略：启用「阻止添加打印机」「阻止删除打印机」。域控执行gpupdate/force强制刷新组策略。Win10客户端登录测试：无法打开U盘/光盘，不能增删打印机。学生同步实操（13分钟）+互助排错（2分钟）实训要求：为设计部OU创建专属组策略；完成移动存储、打印机两条限制策略配置；刷新策略，客户端登录验证限制效果。常见故障：策略未刷新、GPO未正确链接OU、策略配置到计算机配置而非用户配置。环节5课堂小结+项目评价解读（8分钟）流程梳理：创建部门OU→新建域用户并配置登录限制→创建全局/本地域组、A-G-DL-P授权→创建OU组策略、限制外设打印机→客户端验证。核心知识点复盘：OU、三种组作用域、A-G-DL-P、组策略管控逻辑。解读综合考核任务：多部门OU创建、账户时效限制、统一桌面组策略、账户运维操作。课后作业：整理完整实训步骤，记录实操故障与解决办法。环节6下课实训整理（2分钟）正常关闭虚拟机，可创建快照保存环境；关闭VM，上交实训任务单。七、板书设计WindowsServer域用户与域组、组策略管理一、核心概念域用户：全域通用；OU：按部门分层管理容器组分类类型：安全组（权限）/通讯组（邮件）作用域：全局组、本地域组、通用组权限标准：A-G-DL-P用户→全局→本地域→资源权限二、任务1实操流程新建OU→创建域用户（登录时间/设备限制）新建全局/本地域组→添加用户、组嵌套账户运维：禁用/重置密码/删除三、任务2组策略OU新建GPO→限制U盘光盘、锁定打印机命令：gpupdate/force强制刷新客户端登录验证策略四、高频易错点全局组不能直接分配资源权限，需嵌套本地域组登录时间空白=全天禁止登录组策略修改后必须刷新才能生效离职账户直接删除，出差账户禁用八、实训操作注意事项域账户密码必须满足复杂度：大小写、数字、特殊符号三类以上。企业规范：按部门建立独立OU，方便分部门下发组策略。遵循A-G-DL-P规范，禁止直接给用户分配文件夹权限，减少运维工作量。员工长期出差禁用账户，不删除；员工离职永久删除账户，SID不可恢复。组策略区分计算机配置、用户配置，外设限制属于用户配置。修改组策略后必须执行gpupdate/force，无需重启即可生效。九、课后教学反思（教师课后填写）学生掌握较好的操作：学生难以理解难点：三种组作用域区别、A-G-DL-P权限模型实训高频故障及解决方案：课堂时长分配是否充足，实操时间调整建议下节课优化改进措施十、项目综合考核评分表（满分100分）表格考核任务分值评分标准得分1.分部门创建OU，批量创建域用户20行政、财务OU创建，账户信息完整，设置登录时段与过期时间2.临时用户登录地点、时间限制10正确配置账户登录计算机与可