1、第第3章章 域和组策略域和组策略2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版学习要点学习要点o 理解什么是理解什么是AD(重点)(重点)o 理解工作组和域的管理模式理解工作组和域的管理模式o 掌握组织单位的管理掌握组织单位的管理o 掌握组策略和组策略的设置掌握组策略和组策略的设置o 理解域、组织单位和组策略的关系理解域、组织单位和组策略的关系2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版前提知识前提知识2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版1、什么是活动目录、
2、什么是活动目录oWindows Server 2000 相对于相对于NT4.0而言最重要的改变而言最重要的改变是增加了活动目录是增加了活动目录(AD),AD也是也是Windows 2000最主要最主要的特性。的特性。Windows Server 2003仍然提供了对仍然提供了对AD的支持。的支持。o从字面上看,活动目录由从字面上看,活动目录由“活动活动”和和“目录目录”两部分组成。两部分组成。n“活动活动”是用来修饰是用来修饰“目录目录”,其核心是,其核心是“目录目录”两个字;两个字;n目录代表的是目录服务(目录代表的是目录服务(Directory Service)。)。n目录:决定存放的内容
3、及存放的方式。目录:决定存放的内容及存放的方式。n 服务:对我们提出的要求的正确响应。服务:对我们提出的要求的正确响应。2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版1、什么是活动目录(续)、什么是活动目录(续)o目录服务有多种目录服务有多种,如:如:NT4.0的的SAM;NETWARE-NDS;UNIX;MACINTOISH。o而活动目录是而活动目录是Windows Server 2003网络中目录服务的实网络中目录服务的实现方式。它的现方式。它的“活动活动”体现在:体现在:n活动目录中对象的数目是没有限制的;活动目录中对象的数目是没有限制的;n活动
4、目录中对象的属性是可以增加的;活动目录中对象的属性是可以增加的;n可以方便地添加或删除域。可以方便地添加或删除域。2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版2、活动目录的特点、活动目录的特点o 方便的组织资源;方便的组织资源;n活动目录将目录组织居能够存储大量对象的容器,因活动目录将目录组织居能够存储大量对象的容器,因此活动目录能够随着组织机构的扩大而增长。此活动目录能够随着组织机构的扩大而增长。o 方便的信息组织和查找;方便的信息组织和查找;n活动目录提供了收集和分发网络中对象的集中存储场活动目录提供了收集和分发网络中对象的集中存储场所,这些网络
5、信息包括用户、组和打印机等。所,这些网络信息包括用户、组和打印机等。2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版2、活动目录的特点(续)、活动目录的特点(续)o 集中管理和分散管理的相结合;集中管理和分散管理的相结合;n利用活动目录工具能够对活动目录中的资源进行统一管利用活动目录工具能够对活动目录中的资源进行统一管理,如统一执行组策略等。也可以根据不同用户的需要理,如统一执行组策略等。也可以根据不同用户的需要进行分散的管理,如为不同的组织单位执行不同的组策进行分散的管理,如为不同的组织单位执行不同的组策略。略。o 资源的分级管理。资源的分级管理。n通
6、过登录认证和目录中对象的访问控制,安全性和活动通过登录认证和目录中对象的访问控制,安全性和活动目录紧密地集成在一起。管理员能够管理整个网络的目目录紧密地集成在一起。管理员能够管理整个网络的目录数据,并且可以授权用户能够访问网络上任何位置的录数据,并且可以授权用户能够访问网络上任何位置的资源及权限。资源及权限。2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版3、活动目录的好处、活动目录的好处o 降低总体拥有成本降低总体拥有成本n 这些成本包括维护的成本、培训的成本、技术这些成本包括维护的成本、培训的成本、技术支持成本及相应的升级成本。支持成本及相应的升级成
7、本。o 一次登录即能访问所有的资源一次登录即能访问所有的资源n 每个用户只要在登录一次提供用户信息,就可每个用户只要在登录一次提供用户信息,就可以访问网络中所有该用户有权限访问的资源。以访问网络中所有该用户有权限访问的资源。2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版4、Active Directory 的逻辑架构的逻辑架构o 活动目录的逻辑结构可以公司的组织机构框活动目录的逻辑结构可以公司的组织机构框图结合起来,通过对资源进行逻辑组织,使图结合起来,通过对资源进行逻辑组织,使用户可以通过名称而不是通过物理位置来查用户可以通过名称而不是通过物理位置来
8、查找资源,并且使网络的物理结构对用户来说找资源,并且使网络的物理结构对用户来说是透明的。是透明的。o 活动目录的逻辑结构包括:活动目录的逻辑结构包括:n 域(域(Domain)、域树()、域树(Domain Tree)、)、域目录林(域目录林(Forest 森林森林 林)和组织单位林)和组织单位(Organization Unit)。)。2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版5、Active Directory 的逻辑架构的逻辑架构域域域域域域域域域域域域OUOUOU域树域树域域林林组织单位组织单位对象对象2023-1-24工程技术部工程技术部
9、 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版Active Directory 的逻辑架构的逻辑架构o域:域:Active Directory 逻辑结构中的核心功能单位,域提供逻辑结构中的核心功能单位,域提供下列三种功能:下列三种功能:n对象的管理边界对象的管理边界n管理共享资源安全性的方法管理共享资源安全性的方法n对象的复制单元对象的复制单元o域树:以层次结构的方式组合到一起的域,子域的名称与其父域域树:以层次结构的方式组合到一起的域,子域的名称与其父域名称组合在一起,形成它自身唯一的域名系统名称组合在一起,形成它自身唯一的域名系统o森林:林是森林:林是 Active Directory
10、 的完整实例。其中包含一个或的完整实例。其中包含一个或多个树多个树o组织单位:是活动目录中的一个特殊容器。组织单位:是活动目录中的一个特殊容器。2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版为什么需要域为什么需要域如果资源分布在多台服务器上,要在每台服务器分别为每如果资源分布在多台服务器上,要在每台服务器分别为每一员工建立一个账户(共一员工建立一个账户(共M M*N N),用户则需要在每台服务器),用户则需要在每台服务器上(共上(共M M台)登录台)登录 2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版为什么需要
11、域为什么需要域o服务器和用户的计算机都在同一个域中,用户在域中只服务器和用户的计算机都在同一个域中,用户在域中只要拥有一个账号要拥有一个账号o用户只需要在域中拥有一个域账户,只需要在域中登录用户只需要在域中拥有一个域账户,只需要在域中登录一次就可以访问域中的资源了。一次就可以访问域中的资源了。2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版为什么需要域为什么需要域o用户信息存放在域中的域控制器用户信息存放在域中的域控制器(DC,Domain Controller)上。上。o当网络有十万个用户甚至更多,域控制器存放的用户数据量将当网络有十万个用户甚至更多,
12、域控制器存放的用户数据量将很大,更为关键的是如果用户频繁登录,域控制器可能因此而很大,更为关键的是如果用户频繁登录,域控制器可能因此而不堪重负。不堪重负。o分成多个域,每个域的规模控制在一定的范围之内。实际上,分成多个域,每个域的规模控制在一定的范围之内。实际上,分成小的域不仅仅出于服务器不堪重负的原因,更多的是出于分成小的域不仅仅出于服务器不堪重负的原因,更多的是出于管理上的要求。管理上的要求。2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版为什么需要域为什么需要域网络划分成多个域网络划分成多个域 2023-1-24工程技术部工程技术部 鄢创辉鄢创辉
13、版权所有版权所有 谢绝盗版谢绝盗版域的概念域的概念o 域是活动目录逻辑结构的核心单元,是活动目录的域是活动目录逻辑结构的核心单元,是活动目录的容器。容器。n域定义了一个安全的边界(域是一个安全的堡垒),域定义了一个安全的边界(域是一个安全的堡垒),域域中的所有对象都保存在域中,都在这个安全的范围内接中的所有对象都保存在域中,都在这个安全的范围内接受统一的管理同时每个域只保存属于本域的对象,所受统一的管理同时每个域只保存属于本域的对象,所以域管理员只能管理本域安全边界的作用就是保证域以域管理员只能管理本域安全边界的作用就是保证域的管理者只能在该域内拥有必要的管理权限,如果要让的管理者只能在该域内
14、拥有必要的管理权限,如果要让一个域的管理员去管理其他域,除非管理者得到了其他一个域的管理员去管理其他域,除非管理者得到了其他域的明确授权。域的明确授权。2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版域的概念(续)域的概念(续)n 域是复制的单元。域是复制的单元。域是一种逻辑的组织形式,域是一种逻辑的组织形式,因此一个域可以跨越多个物理位置。例如北京因此一个域可以跨越多个物理位置。例如北京和广州的两个网段属于同一个域,它们之间通和广州的两个网段属于同一个域,它们之间通过过WAN相连。如果只有一台域控制器(安装了相连。如果只有一台域控制器(安装了活动目录的
15、计算机)在北京,那么广州的用户活动目录的计算机)在北京,那么广州的用户也只能在北京的域控制器上进行身份验证。为也只能在北京的域控制器上进行身份验证。为了提高对用户的响应速度可以在广州的网段上了提高对用户的响应速度可以在广州的网段上也创建一台域控制器。这样就需要北京和广州也创建一台域控制器。这样就需要北京和广州的域控制器之间实现数据同步,而同步的内容的域控制器之间实现数据同步,而同步的内容就是域的信息,所以说域是复制的单元。就是域的信息,所以说域是复制的单元。2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版域树的概念域树的概念o域树是一组具有连续命名空间的
16、域组成域树是一组具有连续命名空间的域组成的。的。n例如我们学院最初一个域名为例如我们学院最初一个域名为,后来为了管理方便或者是,后来为了管理方便或者是为了安全的需要,需要新建一个域(为了安全的需要,需要新建一个域(域域是安全的最小边界)是安全的最小边界),这样就可以把这,这样就可以把这个新域添加到现有的目录当中去这个个新域添加到现有的目录当中去这个新域新域就是就是的的子域。子域。2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版域树的概念(续)域树的概念(续)o 组成一棵树的第一个域称为树的根域,上组成一棵树的第一个域称为树的根域,上图中图中为树的根域,而
17、其他的域为树的根域,而其他的域称为该树的结点域。称为该树的结点域。2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版域目录林的概念域目录林的概念o 域目录林域目录林(Forest)是)是由一棵或多棵域由一棵或多棵域树组成的,每棵树组成的,每棵域树独享连续的域树独享连续的命名空间,不同命名空间,不同的域树之间没有的域树之间没有命名空间的连续命名空间的连续性。性。2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版域和信任关系域和信任关系o 什么是信任关系?什么是信任关系?n 域是安全的最小边界,对于树和目录林而言,域是安全
18、的最小边界,对于树和目录林而言,如果不同的域之间进行访问,就需要不同域之如果不同的域之间进行访问,就需要不同域之间有一种信任关系。间有一种信任关系。o 信任关系的方向信任关系的方向n 信任是有方向的,信任的方向决定了资源访问信任是有方向的,信任的方向决定了资源访问的方向。的方向。2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版关于信任的方向关于信任的方向o A域信任域信任B域,域,A称为信任域(称为信任域(Trusting Domain),),B称为被信任域(称为被信任域(Trusted Domain),),B域的用户可以访问域的用户可以访问A域中的域中
19、的资源资源。单向信任关系单向信任关系 双向信任关系双向信任关系 2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版信任的传递性信任的传递性o 信任具有传递性,即如果信任具有传递性,即如果A信任信任B,B又信又信任任C,如果信任关系是可传递的,如果信任关系是可传递的,A就信任就信任C。o 在在Windows Server 2003中默认建立中默认建立的信任关系是可传递的,但手工建立的信任的信任关系是可传递的,但手工建立的信任关系有些是可传递的,有些则不传递的。关系有些是可传递的,有些则不传递的。2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版
20、权所有 谢绝盗版谢绝盗版信任的类型信任的类型o 在创建树和目录林的结构时,活动目录安装在创建树和目录林的结构时,活动目录安装向导会自动创建两种默认的信任关系:向导会自动创建两种默认的信任关系:n 父子信任:在现有域当中添加新的子域时,父父子信任:在现有域当中添加新的子域时,父域和子域之间会建立父子信任关系,该关系是域和子域之间会建立父子信任关系,该关系是双向可传递的;双向可传递的;n 树根信任:当在现有的目录中添加新的域树时,树根信任:当在现有的目录中添加新的域树时,目录林的根域和树的根域之间会建立树根信任,目录林的根域和树的根域之间会建立树根信任,关系是双向可传递的。关系是双向可传递的。20
21、23-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版组织单位(组织单位(OU Organization Unit)o 组织单位:是活动目录中的一个特殊容器,组织单位:是活动目录中的一个特殊容器,它可以所用户、计算机、打印机和组等对象它可以所用户、计算机、打印机和组等对象组织起来。与一般容器仅能容纳对象不同,组织起来。与一般容器仅能容纳对象不同,组织单元不仅可以包含对象,而且可以进行组织单元不仅可以包含对象,而且可以进行策略设置和委派管理,这是普通容器不具备策略设置和委派管理,这是普通容器不具备的。的。2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有
22、版权所有 谢绝盗版谢绝盗版组织单位(续)组织单位(续)o 组织单位是活动目录中最小的管理单元。如果一组织单位是活动目录中最小的管理单元。如果一个域中的对象数目非常多的时候,我们可以把一个域中的对象数目非常多的时候,我们可以把一些具有相同管理要求的对象组织在一起,这样就些具有相同管理要求的对象组织在一起,这样就可以实现分级管理。可以实现分级管理。o 作为域管理员还可以指定某个用户去管理某个作为域管理员还可以指定某个用户去管理某个OU,管理权限可视情况而定。,管理权限可视情况而定。2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版组织单位(续)组织单位(续)o
23、 组织单位可以和公司的行政机构相结合,这组织单位可以和公司的行政机构相结合,这样可以方便管理员对活动目录对象的管理。样可以方便管理员对活动目录对象的管理。n 市场部、技术部、财务部。市场部、技术部、财务部。o 在规划组织单位时可以根据两个原则:地点在规划组织单位时可以根据两个原则:地点和部门职能。和部门职能。2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版全局编录(全局编录(GC,Global Catalog)o 一个域的活动目录只能存储该域的信息,相当于这一个域的活动目录只能存储该域的信息,相当于这个域的目录。而当一个目录林中有多个域时,由于个域的目录
24、。而当一个目录林中有多个域时,由于每个域都有一个活动目录,因此如果一个域的用户每个域都有一个活动目录,因此如果一个域的用户要在整个目录林范围内查找一个对象时就要搜索目要在整个目录林范围内查找一个对象时就要搜索目录中每个域,这时全局编录就派上用场。录中每个域,这时全局编录就派上用场。o 默认情况下域中的第一台域控制器自动会成为全局默认情况下域中的第一台域控制器自动会成为全局编录服务器。编录服务器。2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版Active Directory 的物理架构的物理架构o 在活动目录中,逻辑结构和物理结构是两个在活动目录中,逻辑
25、结构和物理结构是两个载然不同的概念。逻辑结构是用来组织网络载然不同的概念。逻辑结构是用来组织网络资源的,而物理结构是用来设置和管理网络资源的,而物理结构是用来设置和管理网络流量的。流量的。o 物理结构由域控制器和站点组成。物理结构由域控制器和站点组成。2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版Active Directory 的物理架构的物理架构o域控制器:域控制器:n运行运行 Microsoft Windows Server 2003(或(或 Windows 2000 Server)和)和 Active Directory的服的服务器。务器。n每
26、台域控制器执行存储和复制功能每台域控制器执行存储和复制功能n一台域控制器只能支持一个域一台域控制器只能支持一个域oActive Directory 站点:站点:n通过建立站点实现网络流量优化,对不同位置的域控制器通过建立站点实现网络流量优化,对不同位置的域控制器之间的带宽达到最佳利用之间的带宽达到最佳利用2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版Active Directory 的物理架构的物理架构o站点站点o域控制器域控制器o广域网连接广域网连接站点站点域控制器域控制器广域网连接广域网连接站点站点2023-1-24工程技术部工程技术部 鄢创辉鄢创
27、辉 版权所有版权所有 谢绝盗版谢绝盗版o 运行运行 Windows Server 2003 操作系统计算机操作系统计算机o 至少至少 250 MB 磁盘空间磁盘空间 o 一个使用一个使用 NTFS 文件系统格式化的分区或卷文件系统格式化的分区或卷 o 创建域必需的管理特权创建域必需的管理特权 o 安装有安装有 TCP/IP,并且配置其使用,并且配置其使用 DNSo 一台管理一台管理 DNS 域的域的 DNS 服务器,并且支持服务器,并且支持 SRV 资源记录资源记录Active Directory 安装要求安装要求2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版
28、谢绝盗版安装过程安装过程启动安全协议和设置安全策略启动安全协议和设置安全策略创建:创建:Active Directory 分区、数据库和日志文件分区、数据库和日志文件林根域林根域SYSVOL 文件夹文件夹 NetLogon 文件夹文件夹 配置域控制器的站点成员关系配置域控制器的站点成员关系在目录服务和文件复制文件夹上启用安全特性在目录服务和文件复制文件夹上启用安全特性 将用户提供的密码应用到管理员账户将用户提供的密码应用到管理员账户(针对系统还原模(针对系统还原模式)式)Active Directory 安装过程安装过程2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢
29、绝盗版谢绝盗版演示:演示:验证以下文件夹是否创建验证以下文件夹是否创建SYSVOL 和共享和共享目录数据库和日志文件目录数据库和日志文件 缺省的的缺省的的 Active Directory 架构是否创建架构是否创建通过事件查看器日志查看安装结果通过事件查看器日志查看安装结果验证验证 Active Directory 安装安装2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版o DNS 和和 Active Directory 名称空间名称空间o Active Directory 集成区域集成区域o SRV 资源记录资源记录o 域控制器注册的域控制器注册的 S
30、RV 记录记录o 检查域控制器注册的记录检查域控制器注册的记录o 客户端计算机使用客户端计算机使用 DNS 定位域控制器和服定位域控制器和服务的过程务的过程检查集成了检查集成了 DNS 的的 Active Directory2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版安装安装AD后操作系统的变化后操作系统的变化2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版Active Directory 集成区域集成区域是作为对象存储在是作为对象存储在 Active Directory 数据库中数据库中的主的主 DNS 区域
31、和存根区域和存根 DNS 区域区域 可以在可以在 Active Directory 应用程序分区或应用程序分区或 Active Directory 域分区中存储区域对象域分区中存储区域对象提供以下优点提供以下优点 多主机复制多主机复制 安全动态更新安全动态更新 到其他到其他 DNS 服务器的标准区域传送服务器的标准区域传送Active Directory 集成区域集成区域2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版Active Directory 集成区域集成区域2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版
32、SRV 资源记录资源记录oSRV 记录是用于映射服务到提供此服记录是用于映射服务到提供此服务的计算机的信息字段组成务的计算机的信息字段组成oSRV 记录格式记录格式o范例:范例:_ldap._tcp.contoso.msft 600 IN SRV 0 100 389 london.contoso.msft _Service_.Protocol.Name Ttl Class SRV Priority Weight Port Target 2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版检查域控制器注册的记录检查域控制器注册的记录演示演示l目的:目的:l使用
33、使用 DNS 控制台或者控制台或者 Nslookup 工具查看域控工具查看域控制器注册的制器注册的 SRV 资源记录资源记录2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版可能磁盘空间小于安装可能磁盘空间小于安装 Active Directory 的最小磁盘要求的最小磁盘要求磁盘空间不足磁盘空间不足 网络错误网络错误DNS 错误错误域不能联系域不能联系 其他域拥有同样的域名或其他域拥有同样的域名或 NetBIOS 名名称称DNS 或或 NetBIOS 域名不域名不唯一唯一 可能原因可能原因现象现象没有使用属于没有使用属于 Local Administra
34、tors 组的账号登录组的账号登录 没有提供没有提供 Domain Admins 组或组或 Enterprise Admins 组成员的用户账组成员的用户账号证书号证书 创建或添加域控制创建或添加域控制器时,访问被拒绝器时,访问被拒绝 解决解决 Active Directory 安装中的问题安装中的问题2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版书本知识书本知识2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版工作组和域工作组和域o 工作组和域是操作系统的网络资源的两种不同的管工作组和域是操作系统的网络资源的两种
35、不同的管理方式。理方式。o 工作组的特点:工作组的特点:n管理方式是管理方式是分布式管理,工作组中的任何一台计算机分布式管理,工作组中的任何一台计算机中负责管理本地的资源。中负责管理本地的资源。n适合小型网络。适合小型网络。o 域域n管理方式是管理方式是集中管理,至少有一台服务器负责每一台集中管理,至少有一台服务器负责每一台接入网络的计算机和用户的验证管理工作。接入网络的计算机和用户的验证管理工作。n适合于中大型网络。适合于中大型网络。2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版工作组和域图解工作组和域图解创建方式不同创建方式不同 安全机制不同安全机
36、制不同 2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版工作组和域图解工作组和域图解2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版关于域结构关于域结构o 域由一些计算机组成,分三类域由一些计算机组成,分三类n 域控制器域控制器n 成员服务器成员服务器n 客户机客户机2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版关于组织单位关于组织单位o 组织单位组织单位(OU)用作一种容器,以便以用作一种容器,以便以逻辑方式来组织目录对象(如用户、组逻辑方式来组织目录对象(如用户、组和计
37、算机),这与使用文件夹来组织硬和计算机),这与使用文件夹来组织硬盘上的文件大体相同。盘上的文件大体相同。o 它是可以指派组策略设置或委派管理权它是可以指派组策略设置或委派管理权限的最小单元。限的最小单元。o 您可以创建嵌套的您可以创建嵌套的 OU,对嵌套级别没有限,对嵌套级别没有限制。制。2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版关于组策略关于组策略o 组策略是组策略是AD的核心应用。的核心应用。2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版为什么要引进组策略?为什么要引进组策略?o 在在AD中,能起到关键
38、作用的就是中,能起到关键作用的就是“组策组策略略”,利用组策略可以管理域中的计算机和,利用组策略可以管理域中的计算机和用户工作环境,实现软件分发等一系列功能、用户工作环境,实现软件分发等一系列功能、可以快速便捷的帮助管理员完成烦琐的工作。可以快速便捷的帮助管理员完成烦琐的工作。2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版1、组策略的概念组策略的概念o“组策略组策略”中的中的“组组”和我们在以前介绍的用户组并没有什么和我们在以前介绍的用户组并没有什么直接关系,不要把组策略理解为是针对用户组所配置的策略。直接关系,不要把组策略理解为是针对用户组所配置的策
39、略。o组策略是一种在用户或计算机集合上强制使用一些配置的方法,组策略是一种在用户或计算机集合上强制使用一些配置的方法,组策略定义了用户的桌面环境等多种设置。使用组策略可以给组策略定义了用户的桌面环境等多种设置。使用组策略可以给同组的计算机或者用户强加一套统一的标准,包括菜单启动项、同组的计算机或者用户强加一套统一的标准,包括菜单启动项、软件设置,这样计算机或者用户可以有相同的菜单、相同的快软件设置,这样计算机或者用户可以有相同的菜单、相同的快捷方式等等各种配置。捷方式等等各种配置。2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版组策略的概念组策略的概念o
40、 1.组策略对象(组策略对象(GPO)n 系统已经有两个内建GPO,分别是:o Default Domain Policy 此策略已被连接到域,此策略已被连接到域,因此该策略将影响域内所有计算机和用户。因此该策略将影响域内所有计算机和用户。o Default Domain Controller Policy此策略此策略已被连接到已被连接到Domain Controller OU,因此该策,因此该策略将影响域控制器组织单元内的所有计算机和用户略将影响域控制器组织单元内的所有计算机和用户 2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版2023-1-24工程
41、技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版组策略的概念组策略的概念o 2组策略配置类型组策略配置类型n应用组策略时存在两种配置选项:计算机配置和用户配置。应用组策略时存在两种配置选项:计算机配置和用户配置。o 计算机配置:用于管理控制计算机特定项目的策略。包计算机配置:用于管理控制计算机特定项目的策略。包括桌面外观、安全设置、操作系统下运行、文件部署、括桌面外观、安全设置、操作系统下运行、文件部署、应用程序分配和计算机启动和关机脚本运行。这些配置应用程序分配和计算机启动和关机脚本运行
42、。这些配置应用到特定的计算机上,当该计算机启动后,自动应用应用到特定的计算机上,当该计算机启动后,自动应用设置的组策略。设置的组策略。o 用户配置:用于管理控制更多用户特定项目的管理策略。用户配置:用于管理控制更多用户特定项目的管理策略。包括应用程序配置、桌面配置、应用程序分配和计算机包括应用程序配置、桌面配置、应用程序分配和计算机启动和关机脚本运行等。当用户登录到计算机时,就会启动和关机脚本运行等。当用户登录到计算机时,就会应用用户配置组策略。应用用户配置组策略。2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版组策略应用的对象组策略应用的对象o 计算机
43、帐号计算机帐号o 用户帐号用户帐号2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版组策略的概念组策略的概念o 3组策略功能类型组策略功能类型n 软件部署:软件部署包括软件部署:软件部署包括“应用程序分配应用程序分配”和和“应应用程序发行用程序发行”两部分内容。两部分内容。“应用程序分配应用程序分配”指把指把应用软件提供给桌面,当计算机或用户根据组策略应用软件提供给桌面,当计算机或用户根据组策略安装后就不能修改或删除应用程序;安装后就不能修改或删除应用程序;“应用程序发应用程序发行行”指将应用软件提供给用户或计算机,允许它们指将应用软件提供给用户或计算机,
44、允许它们选择安装。选择安装。n 软件策略:软件策略是最常用的配置设置。这些选软件策略:软件策略是最常用的配置设置。这些选项定义了用户的工作环境。例如,用户的项定义了用户的工作环境。例如,用户的“开始开始”菜单、屏保程序或用户配置文件的设置,包括操作菜单、屏保程序或用户配置文件的设置,包括操作系统组件和注册表设置。系统组件和注册表设置。2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版组策略的概念组策略的概念o 3组策略功能类型(续)组策略功能类型(续)n 文件夹管理:文件夹管理允许组策略系统管理员添文件夹管理:文件夹管理允许组策略系统管理员添加文件、文件夹
45、和快捷方式到用户桌面。例如,可加文件、文件夹和快捷方式到用户桌面。例如,可以根据安全组成员的身份把网络应用程序提供给用以根据安全组成员的身份把网络应用程序提供给用户。户。n 脚本:脚本能够用于在某些时间自动运行批处理文脚本:脚本能够用于在某些时间自动运行批处理文件的进程,如启动和关机、登录和注销、映射网络件的进程,如启动和关机、登录和注销、映射网络驱动器、映射网络打印机等。驱动器、映射网络打印机等。n 安全:安全策略设置用于定义目录树、域、网络和安全:安全策略设置用于定义目录树、域、网络和本地计算机的安全配置。它们能够用于设置账户策本地计算机的安全配置。它们能够用于设置账户策略。例如,密码的使
46、用期、网络安全策略和账户锁略。例如,密码的使用期、网络安全策略和账户锁定策略等。定策略等。2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版Demo 1o 强制性地让用户将关键数据备份到服务器上,强制性地让用户将关键数据备份到服务器上,以便可以集中备份。以便可以集中备份。o 思路:思路:n 不让用户访问驱动器;不让用户访问驱动器;n 不让用户使用命令行。不让用户使用命令行。2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版操作步骤操作步骤o 新建一个新建一个OU名为名为Computer,并在此,并在此OU上新建一个用户
47、为上新建一个用户为Kobe。o 右击右击Computer,新建一个组策略。,新建一个组策略。o 用户配置用户配置管理模板管理模板windows 组件组件windows 资源管理器资源管理器在右边的窗格找在右边的窗格找到相应的选项。(不让用户访问驱动器。)到相应的选项。(不让用户访问驱动器。)o 用户配置用户配置管理模板管理模板系统系统在右边的窗格在右边的窗格找到相应的选项。(不让用户使用命令行。)找到相应的选项。(不让用户使用命令行。)2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版Demo 2o 目的:设置目的:设置IE选项选项o 操作步骤:操作步骤:
48、n 用户配置用户配置Windows 设置设置IE选项选项。2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版Demo 3 o 利用组策略实现软件的指派利用组策略实现软件的指派o 实验步骤实验步骤:n 将要指派的软件放到一共享文件夹中;将要指派的软件放到一共享文件夹中;n 用户配置用户配置软件设置软件设置软件安装;软件安装;n 右击右击”软件安装软件安装”新建新建-程序包程序包指定软件指定软件的的网络位置。网络位置。n 选择选择”已指派已指派”。2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版服务器端的设置过程图服务器
49、端的设置过程图2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版客户端的效果图客户端的效果图2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版组策略的概念组策略的概念o 4.组策略的应用时机组策略的应用时机n 组策略计算机配置的启动时机是:计算机开机组策略计算机配置的启动时机是:计算机开机时自动启动;如果用户不重新开机,系统会每时自动启动;如果用户不重新开机,系统会每隔一段时间自动启动;或手工启动。隔一段时间自动启动;或手工启动。n 组策略用户配置的启动时间是:用户登录时自组策略用户配置的启动时间是:用户登录时自动启动
50、;系统即使用户不注销、登录,系统默动启动;系统即使用户不注销、登录,系统默认每隔认每隔90120钟自动启动;手工启动。钟自动启动;手工启动。2023-1-24工程技术部工程技术部 鄢创辉鄢创辉 版权所有版权所有 谢绝盗版谢绝盗版组策略的应用顺序(难点!)组策略的应用顺序(难点!)o 组策略的应用顺序如下:组策略的应用顺序如下:n 本地组策略本地组策略n 域组策略域组策略n 域控制器策略域控制器策略n 组织单元组策略组织单元组策略o 默认情况下,这些策略不一致时,默认情况下,这些策略不一致时,后应用的后应用的策略将覆盖以前的策略策略将覆盖以前的策略。但是,如果这些设。但是,如果这些设置置对象不一
侵权处理QQ:3464097650--上传资料QQ:3464097650
【声明】本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是网络空间服务平台,本站所有原创文档下载所得归上传人所有,如您发现上传作品侵犯了您的版权,请立刻联系我们并提供证据,我们将在3个工作日内予以改正。