1、计计算算机机网网络络技技能能模模块块教教程程主编:彭德林 张大龙中国水利水电出版社计计算算机机网网络络技技能能模模块块教教程程子模块7 组织单位与组策略组织单位与组策略 技能一技能一 组织单位的管理组织单位的管理 任务一任务一 创建组织单位创建组织单位 任务二成员管理任务二成员管理 任务三组织单位属性的查看和设置任务三组织单位属性的查看和设置 技能二组策略应用技能二组策略应用 任务一组策略对象管理任务一组策略对象管理 任务二组策略属性设置任务二组策略属性设置 任务三编辑和应用组策略任务三编辑和应用组策略 计计算算机机网网络络技技能能模模块块教教程程技能一技能一 组织单位的管理组织单位的管理 任
2、务一任务一 创建组织单位创建组织单位 操作步骤:操作步骤:打开“Active Directory用户和计算机”窗口,在需要创建组织单位的域中单击鼠标右键,执行“新建”“组织单位”命令,如图 7.1a 所示。在弹出的“新建对象组织单位”对话框中输入新创建的组织单位的名称“运营部”,如图 7.1b 所示。单击“确定”按钮完成组织单位的创建。计计算算机机网网络络技技能能模模块块教教程程任务一任务一 创建组织单位创建组织单位图 7.1a 创建新的组织单位计计算算机机网网络络技技能能模模块块教教程程任务一任务一 创建组织单位创建组织单位图 7.1b 创建组织单位对话框计计算算机机网网络络技技能能模模块块
3、教教程程相关知识链接相关知识链接 组织单位组织单位 组织单位(OU,Organization Unit)又称组织单元,是Active Directory中的一个特殊容器,它可以把用户、组、计算机和打印机等对象组织在一起进行统一管理。OU允许进行组策略设置,这也是它被广泛应用于网络资源管理的主要原因。在规划组织单位时,一般原则是按管理对象的工作职能进行划分。假设是一家公司可按不同职能将各部门划分成管理部、技术部、财务部等组织单位。另外,也可按照地域划分组织单位。计计算算机机网网络络技技能能模模块块教教程程任务二成员管理任务二成员管理 操作步骤操作步骤 在指定的组织单位上,通过新建方式添加成员。打
4、开“Active Directory用户和计算机”窗口,选中组织单位“运营部”单击鼠标右键,执行“新建”“用户”命令来添加新的用户成员,如图 7.2a、图7.2b、图7.2c 所示。还可用同样的方法创建“计算机”和下层“组织单位”等成员,结果如图 7.2d所示。计计算算机机网网络络技技能能模模块块教教程程任务二成员管理任务二成员管理图 7.2a 创建用户 图 7.2b 设置用户密码计计算算机机网网络络技技能能模模块块教教程程任务二成员管理任务二成员管理图 7.2c 用户创建完毕 图 7.2d 组织单位中的成员计计算算机机网网络络技技能能模模块块教教程程任务二成员管理任务二成员管理 选择其它组织
5、单位的成员对象,通过移动方式添加到指定组织单位中。在“Active Directory用户和计算机”窗口中选择相应组织单位中的指定对象,单击鼠标右键,执行“移动”命令,如图 7.2e 所示。然后在弹出的对话框中选择想要移动到的组织单位名称,如图 7.2f 所示。单击“确定”按钮,完成对象的移动。计计算算机机网网络络技技能能模模块块教教程程任务二成员管理任务二成员管理 图 7.2e 移动对象 图 7.2f 移动命令对话框 计计算算机机网网络络技技能能模模块块教教程程任务二成员管理任务二成员管理 在指定的组织单位上删除成员。打开“Active Directory用户和计算机”窗口,选中组织单位“运
6、营部”,在要删除的成员上单击鼠标右键,执行“删除”命令,如图 7.2g 所示。在弹出的确定对话框中确认后即可删除组织单位中的成员对象,如图 7.2h 所示。计计算算机机网网络络技技能能模模块块教教程程任务二成员管理任务二成员管理图 7.2h 确认删除组织单位成员对话框图 7.2g 删除组织单位中的成员计计算算机机网网络络技技能能模模块块教教程程任务三任务三组织单位属性的查看和设置组织单位属性的查看和设置操作步骤:打开“Active Directory用户和计算机”窗口,选中组织单位“运营部”单击鼠标右键,执行“属性”命令,弹出“运营部属性”对话框,查看和设置相应属性,如图 7.3a 所示。在“
7、管理者”选项卡中,执行“更改”命令为组织单位设置管理者,如图 7.3b 所示。计计算算机机网网络络技技能能模模块块教教程程任务三任务三组织单位属性的查看和设置组织单位属性的查看和设置图 7.3a 组织单位属性对话框 图 7.3b 设置管理者对话框 计计算算机机网网络络技技能能模模块块教教程程相关知识链接相关知识链接 组策略组策略 组策略是Windows Server 2003提供的一项功能强大的配置用户和计算机工作环境的工具。由于组策略可以应用于组织单位,所以组织单位中的各类对象就能够被统一进行策略管理,实施组策略是管理大中型网络的一项重要工作,能够显著地减轻网络管理人员的工作强度和负担。计计
8、算算机机网网络络技技能能模模块块教教程程技能二组策略应用技能二组策略应用 任务一组策略对象管理任务一组策略对象管理 操作步骤 打开“Active Directory用户和计算机”窗口,选中组织单位“运营部”单击鼠标右键,执行“属性”命令,弹出“运营部属性”对话框,展开“组策略”选项卡,如图 7.4a 所示。执行“新建”命令创建一个新的名称为“运营部成员”的组策略对象,此时的组策略并没有实际内容,如图 7.4b 所示。在后面的“编辑和应用组策略”任务中讲解具体的组策略内容设置。计计算算机机网网络络技技能能模模块块教教程程任务一组策略对象管理任务一组策略对象管理 图 7.4a 设置组织单位组策略属
9、性 图 7.4b 创建组策略计计算算机机网网络络技技能能模模块块教教程程任务一组策略对象管理任务一组策略对象管理 执行“添加”命令将组策略与站点、域或组织单位进行链接,以便将策略应用于各类对象,如图 7.4c 所示。执行“删除”命令将指定的组策略删除,如图 7.4d 所示。计计算算机机网网络络技技能能模模块块教教程程任务一组策略对象管理任务一组策略对象管理图 7.4c 添加组策略对象链接对话框 图 7.4d 确认删除组策略对话框计计算算机机网网络络技技能能模模块块教教程程相关知识链接相关知识链接 组策略的应用顺序与规则组策略的应用顺序与规则在本地计算机、站点、域与组织单位内部都可以设置组策略,
10、那么这些处于不同地方的组策略的应用顺序和规则又是怎样的呢?组策略的应用顺序如下:本地组策略 站点的组策略 域的组策略 组织单位的组策略默认情况下,后面应用的组策略会覆盖前面应用的组策略。比如,如果在域的组策略和组织单位的组策略发生冲突时,系统以应用顺序在后面的组织单位的组策略为准。具体的应用规则如下:如果在高层容器中建立了组策略,但未在其低层容器中建立组策略,则低层容器会继承高层容器内所建立的组策略。如果在低层容器中建立了组策略,则此组策略的默认设置会代替其高层父容器所传递下来的组策略。如果在父容器的组策略内的某个策略被设置为“未被配置”,则子容器并不会继承这个策略。如果在父容器的组策略内的某
11、个策略被设置为“启用”或“禁用”,但是子容器内的组策略并未设置此策略,则子容器会继承这个设置。计计算算机机网网络络技技能能模模块块教教程程任务二组策略属性设置任务二组策略属性设置操作步骤 打开“Active Directory用户和计算机”窗口,选中组织单位“运营部”单击鼠标右键,执行“属性”命令,弹出“运营部属性”对话框。展开“组策略”选项卡,选择“运营部成员”组策略,并执行“属性”命令查看组策略的常规信息,如图 7.5a 所示。查看组策略被应用到哪些域、组织单位或站点上,可以选择“链接”选项卡,如图 7.5b 所示。计计算算机机网网络络技技能能模模块块教教程程任务二组策略属性设置任务二组策
12、略属性设置图 7.5a 组策略属性图 7.5b 组策略链接选项卡计计算算机机网网络络技技能能模模块块教教程程任务二组策略属性设置任务二组策略属性设置 在“安全”选项卡中可以设置用户对组策略对象具有的权限,如图 7.5c 所示。在“WMI筛选器”选项卡中可以为组策略设置WMI筛选器,以筛选组策略对象的应用,如图 7.5d 所示。WMI筛选器使用WQL查询语言编写,适用于Windows XP、Professional和Windows Server 2003作为操作系统的客户端计算机。计计算算机机网网络络技技能能模模块块教教程程任务二组策略属性设置任务二组策略属性设置图 7.5c 组策略安全选项卡图
13、 7.5d 组策略WMI筛选器选项卡计计算算机机网网络络技技能能模模块块教教程程任务三编辑和应用组策略任务三编辑和应用组策略在组策略编辑器中针对“计算机配置”和“用户配置”都有“软件设置”、“Windows设置”及“管理模板”三项对应,每一项中又有若干具体设置项目。以下采用案例方式讲解组策略的编辑和应用。1软件设置软件设置案例案例使用组策略为用户发布软件包。打开“Active Directory用户和计算机”窗口,选中组织单位“运营部”单击鼠标右键,执行“属性”命令,弹出“运营部属性”对话框。展开“组策略”选项卡,选择“运营部成员”组策略,并执行“编辑”命令,如图 7.6a 所示。选中“用户配
14、置”栏中的“软件设置软件安装”项单击鼠标右键,执行“新建”“程序包”命令,如图 7.6b 所示。计计算算机机网网络络技技能能模模块块教教程程任务三编辑和应用组策略任务三编辑和应用组策略图 7.6a 编辑组策略图 7.6b 创建软件程序包计计算算机机网网络络技技能能模模块块教教程程任务三编辑和应用组策略任务三编辑和应用组策略 在创建“程序包”对话框中选择指定的程序包文件,如图 7.6c 所示。在“部署软件”对话框中选择部署方法,并执行“确定”命令,如图 7.6d 所示。图 7.6c 选择程序包对话框图 7.6d 选择软件部署方法计计算算机机网网络络技技能能模模块块教教程程任务三编辑和应用组策略任
15、务三编辑和应用组策略2Windows设置设置案例案例设置用户登录运行脚本。利用记事本编写文件名为start.vbs的脚本文件,如图 7.7a 所示。在“运营部成员”组策略编辑器中选择“用户配置”栏中的“Windows设置脚本”项,如图 7.7b 所示。计计算算机机网网络络技技能能模模块块教教程程任务三编辑和应用组策略任务三编辑和应用组策略图 7.7a 登录脚本文件图 7.7b Windows设置脚本对话框计计算算机机网网络络技技能能模模块块教教程程任务三编辑和应用组策略任务三编辑和应用组策略 双击“登录”图标,弹出“登录属性”设置对话框,如图 7.7c 所示。在“登录属性”对话框中执行“添加”
16、命令并在弹出的“添加脚本”设置对话框中通过执行“浏览”命令指定相应的脚本文件,如图 7.7d 所示。计计算算机机网网络络技技能能模模块块教教程程任务三编辑和应用组策略任务三编辑和应用组策略图 7.7c 登录属性设置对话框图 7.7d 添加脚本文件对话框计计算算机机网网络络技技能能模模块块教教程程任务三编辑和应用组策略任务三编辑和应用组策略3管理模板管理模板案例案例从开始菜单中删除“运行”命令项。打开“Active Directory用户和计算机”窗口,选中组织单位“运营部”单击鼠标右键,执行“属性”命令,弹出“运营部属性”对话框。编辑“运营部成员”组策略,选中“用户配置”栏中的“管理模板任务栏
17、和开始菜单”,如图 7.8a 所示。在右侧内容栏中用鼠标双击“从开始菜单中删除运行菜单”项,并在弹出的属性设置对话框中设置为“已启用”,如图 7.8b 所示。计计算算机机网网络络技技能能模模块块教教程程任务三编辑和应用组策略任务三编辑和应用组策略图 7.8a 管理模板-任务栏和开始菜单设置图 7.8b 管理模板属性对话框计计算算机机网网络络技技能能模模块块教教程程相关知识链接相关知识链接组策略的设置类型组策略的设置类型组策略的类型很丰富,涉及系统管理的各个方面,主要包含:管理模板:基于注册表的设置策略,用来设置用户的工作环境。可以用来设置任务栏和开始菜单、桌面、控制面板、打印机等对象的策略应用
18、。脚本:设置用户开机/关机、登录/注销时执行的脚本。文件夹重定向:在网络服务器上设置相应的存储位置来对应用户常用的文件夹,如:我的文档、桌面等。安全设置:设置本地计算机、域及网络安全的设置,包括帐户策略、本地策略、系统服务等。软件安装:对各计算机的软件安装进行集中式的管理。计计算算机机网网络络技技能能模模块块教教程程子模块小结子模块小结本模块介绍了在Windows Server 2003网络操作系统中创建组织单位以及管理组织单位成员的方法。同时,结合组策略的相关知识的讲解可以使读者掌握以组策略的方式管理网络资源的技能。组织单位是Active Directory和企业的实际网络工作环境相联系的纽带和桥梁,而组策略又是管理网络资源的高效率工具。因此,掌握组织单位与组策略的使用是网络管理人员必备的重要技能。
