組策略在企業(yè)中的應(yīng)用(管理軟件部署和審核)畢業(yè)設(shè)計

1、常州信息職業(yè)技術(shù)學(xué)院學(xué)生畢業(yè)設(shè)計（論文）報告系 別： 網(wǎng)絡(luò)與通信工程學(xué)院 專 業(yè)： 通信網(wǎng)絡(luò)設(shè)備與管理 班 號： 通信網(wǎng)絡(luò)與設(shè)備 112 學(xué) 生 姓 名： 徐 倩 學(xué) 生 學(xué) 號： 1108153227 設(shè)計（論文）題目： 組策略在企業(yè)中的應(yīng)用（管理軟件部署和審核）指 導(dǎo) 教 師： 鞠 光 明 設(shè) 計 地 點： 常州信息職業(yè)技術(shù)學(xué)院 起 迄 日 期： 2013.09-2013.11 畢業(yè)設(shè)計（論文）任務(wù)書專業(yè) 通信網(wǎng)絡(luò)與設(shè)備 班級 通信網(wǎng)絡(luò)與設(shè)備 112 姓名 徐倩 一、課題名稱： 組策略在企業(yè)中的應(yīng)用（管理軟件部署和審核） 二、主要技術(shù)指標（或基本要求）：Windows Server 200

2、8活動目錄的技術(shù)特點（資源、賬戶集中管理，單一登錄、全網(wǎng)訪問）；Windows Server 2008組策略的特點（對整個計算機和用戶集中進行桌面環(huán)境設(shè)置和安全設(shè)置）；Windows Server 2008組策略的應(yīng)用指標（對用戶桌面環(huán)境的設(shè)置、對網(wǎng)絡(luò)和系統(tǒng)安全的設(shè)置、對網(wǎng)絡(luò)應(yīng)用和網(wǎng)絡(luò)服務(wù)的設(shè)置等）。 三、主要工作內(nèi)容：本設(shè)計實現(xiàn)企業(yè)Windows Server 2008組策略的應(yīng)用，主要內(nèi)容是:（1）了解Windows活動目錄中組策略的基本結(jié)構(gòu)；（2）設(shè)計Windows組策略在企業(yè)中的應(yīng)用架構(gòu)；（3）GPMC的安裝與管理；（4）利用組策略管理軟件部署；（5）利用組策略進行軟件管理和資源訪問審

3、核。 要求：制定切實可行的工作計劃，發(fā)揚獨立思考、勇于探索的精神，按照畢業(yè)設(shè)計任務(wù)書要求保質(zhì)保量地完成畢業(yè)設(shè)計工作。 四、主要參考文獻： 1微軟公司. Windows Server 2008 活動目錄服務(wù)的實現(xiàn)與管理. 第1版. 北京：人民郵電出版社，2011. 1-439 2鞠光明. Windows服務(wù)器維護與管理教程與實訓(xùn). 第2版. 北京：北京大學(xué)出版社，2010. 166-225 3周有丹.企業(yè)網(wǎng)絡(luò)組建與應(yīng)用. 第1版. 北京：科學(xué)出版社，2010.10 613-633 4鐘小平.企業(yè)網(wǎng)絡(luò)安全實戰(zhàn)指南. 第1版. 北京：人民郵電出版社，2009.01 283-375 學(xué) 生（簽名） 年

4、 月 日 指 導(dǎo) 教師（簽名） 年 月 日 教研室主任（簽名） 年 月 日系 主 任（簽名） 年 月 日畢業(yè)設(shè)計（論文）開題報告設(shè)計（論文）題目組策略在企業(yè)中的應(yīng)用（管理軟件部署和審核）一、 選題的背景和意義：背景：隨著Internet接入的普及和帶寬的增加，一方面員工上網(wǎng)的條件得到改善，另一方面也給公司帶來更高的網(wǎng)絡(luò)使用危險性、復(fù)雜性和混亂，內(nèi)部員工的不當操作等使信息維護人員疲于奔命。針對以上這些因素，我們可以通過組策略來統(tǒng)一定義客戶端機器的安全策略，規(guī)范，引導(dǎo)用戶安全使用辦公電腦。意義：組策略的作用就是用來給網(wǎng)絡(luò)管理員授予更多的活動目錄用戶控制權(quán)。擁有了組策略技術(shù)，實現(xiàn)對域中電腦集中管理應(yīng)

5、用軟件，就不再為花資金和時間監(jiān)督員工電腦，反反復(fù)復(fù)配置每臺電腦中注冊表，為每臺電腦安裝、卸載軟件煩惱。二、 課題研究的主要內(nèi)容：（1）了解Windows活動目錄中組策略的基本結(jié)構(gòu)；（2）設(shè)計Windows組策略在企業(yè)中的應(yīng)用架構(gòu)；（3）GPMC的安裝與管理；（4）利用組策略管理軟件部署；（5）利用組策略進行軟件管理和資源訪問審核。三、 主要研究（設(shè)計）方法論述：（1）根據(jù)課題要求了解畢業(yè)設(shè)計方向及其主要內(nèi)容；（2）查閱有關(guān)Windows Server 2008組策略及其在企業(yè)中的應(yīng)用相關(guān)資料；（3）掌握組策略的設(shè)置，計算機配置和用戶配置，使用組策略管理軟件；（4）總結(jié)查閱的組策略及其應(yīng)用相關(guān)資

6、料，并根據(jù)實際安裝操作結(jié)果對設(shè)計方案做可行性分析，完成設(shè)計報告。四、設(shè)計（論文）進度安排：時間（迄止日期）工 作 內(nèi) 容2013.09.122013.09.15根據(jù)個人特長和興趣愛好選擇畢業(yè)設(shè)計課題2013.09.172013.09.22師生共同制定相關(guān)指導(dǎo)措施、聯(lián)系方法、課題具體要求等2013.09.232013.10.10學(xué)生根據(jù)任務(wù)書要求撰寫開題報告，并得到指導(dǎo)教師批準后方可進入課題的實施階段2013.10.112013.10.15查閱資料，進行企業(yè)組策略應(yīng)用需求分析2013.10.162013.10.20整理匯總收集的資料，開始進行應(yīng)用架構(gòu)設(shè)計，并分析存在問題和不足2013.10.21

7、2013.10.23解決不足和問題，完善之前的設(shè)計2013.10.242013.10.27根據(jù)需求分析進行企業(yè)組策略架構(gòu)設(shè)計，撰寫完成畢業(yè)設(shè)計初稿2013.10.282013.10.30進行畢業(yè)設(shè)計的定稿階段，根據(jù)指導(dǎo)教師的意見對最初的畢業(yè)設(shè)計進行修改，完善、定稿后上交電子稿與打印稿2013.11.012013.11.03為畢業(yè)設(shè)計答辯進行準備2013.11.042013.11.08進行畢業(yè)設(shè)計答辯和總結(jié)五、指導(dǎo)教師意見： 指導(dǎo)教師簽名： 年 月 日六、系部意見： 系主任簽名： 年 月 日組策略在企業(yè)中的應(yīng)用（管理軟件部署和審核）目錄摘要 Abstract 第1章 前言1第2章 活動目錄概述2

8、2.1 活動目錄簡介22.1.1 活動目錄功能22.1.2 活動目錄的優(yōu)點22.2 組策略概況32.2.1 組策略的功能32.2.2 組策略實現(xiàn)的目標4第3章 企業(yè)面臨的問題與需求53.1 企業(yè)面臨的現(xiàn)狀53.2 企業(yè)應(yīng)用需求分析5第4章 組策略應(yīng)用架構(gòu)設(shè)計74.1 設(shè)計總體思路74.2 應(yīng)用架構(gòu)拓撲7第5章 組策略在企業(yè)中的應(yīng)用實施95.1 創(chuàng)建域服務(wù)器95.2 安裝GPMC95.3 組策略具體實施95.3.1 組策略管理軟件的部署95.3.2 組策略進行資源訪問審核13結(jié)論16謝辭17參考文獻18組策略在企業(yè)中的應(yīng)用（管理軟件部署和審核）摘要隨著機網(wǎng)絡(luò)技術(shù)的快速發(fā)展，現(xiàn)代化辦公已經(jīng)成為公司

9、的首選，傳統(tǒng)的管理與控制方式在速度、可靠性和安全性上已經(jīng)很難滿足公司的要求，集中控制管理成為企業(yè)的新寵。同時，集中控制系統(tǒng)對企業(yè)還有重大的意義，它為企業(yè)提高工作效率提供了保證。自它誕生以來，以其優(yōu)越的特點，受到廣大企業(yè)的好評。本著學(xué)以致用的原則，本人將完成一些企業(yè)實用的策略，滿足企業(yè)的要求。這些策略具有完成簡單，操作簡單，功能強大的特點。本論文就組策略的實現(xiàn)做了詳細介紹，并對原理做了深入細致的討論。如利用組策略進行軟件的統(tǒng)一部署，限制軟件的安裝及資源訪問審核。關(guān)鍵詞：集中管理控制；組策略；軟件集中部署group strategy in the enterprise application (m

10、anagement software deployment and audit)AbstractAlong with the rapid development of computer network technology, the modernoffice has become the companys first choice, the traditional management and control mode in speed, reliability and safety has been difficult to meet the requirement of the compa

11、ny, centralized control management to become the enterprise to be bestowed favor on newly. Meanwhile, centralized control system of enterprise and of great significance for the enterprise, it offers guarantee to improve work efficiency. Since it births, with its superior characteristic, well receive

12、d by the enterprises praise. Adhering to the principle of studying, I will finish some enterprise practical strategies, satisfying the requirements. These strategies have complete, easy to operate, a simple, powerful features. This thesis is the realization of the group strategy is introduced, and t

13、he principle of thorough discussion. Such as the use Group Policy to deploy the unified software to restrict access to resources software installation and auditing. Keywords: Centralized management control; The group policy; Software concentrated deployment常州信息職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)與通信工程學(xué)院 畢業(yè)設(shè)計論文第1章 前言中國互聯(lián)網(wǎng)的高速發(fā)展，

14、讓人們在生活、工作等都有了極大的改變，在體驗和享受互聯(lián)網(wǎng)帶來的方便及愜意時。互聯(lián)網(wǎng)里大量存在的一些不正當行為，如黑客攻擊、計算機病毒、內(nèi)部泄密、信息丟失、篡改、銷毀、木馬程序、等等，總是讓我們感覺許多的無奈。特別是中國的廣大企業(yè)，在利用互聯(lián)網(wǎng)更加快速、便捷地實現(xiàn)業(yè)務(wù)全球化的同時，來自外界的病毒、木馬、黑客，以及內(nèi)部員工在工作時間濫用網(wǎng)絡(luò)資源，聊QQ、斗地主、農(nóng)場偷菜、用光驅(qū)看電影等等運行與工作無關(guān)的程序，隨便使用USB設(shè)備導(dǎo)致病毒肆意傳播，也帶到了電腦上。為應(yīng)對這種外憂內(nèi)患的局面，反病毒、防火墻、入侵檢測，在一定程度上排除了外憂。而解內(nèi)患的問題也迫不及待地被提上日程。對于一些小型的企業(yè)來說，他

15、們沒有過多的時間監(jiān)督每一位員工，沒有過的時間查看每一臺電腦，那么他們是如何解決這種現(xiàn)狀的呢？有一種技術(shù)，它可以幫助沒有過多資金的企業(yè)適當?shù)亟鉀Q內(nèi)部網(wǎng)絡(luò)管理與內(nèi)部員工的辦公環(huán)境的安全，那就是“組策略”技術(shù)。第2章 活動目錄概述2.1 活動目錄簡介活動目錄（Active Directory）是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目錄服務(wù)。（Active Directory不能運行在Windows Web Server上，但是可以通過它對運行Windows Web Server

16、的計算機進行管理。）Active Directory存儲了有關(guān)網(wǎng)絡(luò)對象的信息，并且讓管理員和用戶能夠輕松地查找和使用這些信息。Active Directory使用了一種結(jié)構(gòu)化的數(shù)據(jù)存儲方式，并以此作為基礎(chǔ)對目錄信息進行合乎邏輯的分層組織。Microsoft Active Directory 服務(wù)是Windows 平臺的核心組件，它為用戶管理網(wǎng)絡(luò)環(huán)境各個組成要素的標識和關(guān)系提供了一種有力的手段。2.1.1 活動目錄功能活動目錄(Active Directory)主要提供以下功能：(1)基礎(chǔ)網(wǎng)絡(luò)服務(wù)：包括DNS、WINS、DHCP、證書服務(wù)等。服務(wù)器及客戶端計算機管理：管理服務(wù)器及客戶端計算機賬戶

17、，所有服務(wù)器及客戶端計算機加入域管理并實施組策略。(2)用戶服務(wù)：管理用戶域賬戶、用戶信息、企業(yè)通訊錄（與電子郵件系統(tǒng)集成）、用戶組管理、用戶身份認證、用戶授權(quán)管理等，按省實施組管理策略。資源管理：管理打印機、文件共享服務(wù)等網(wǎng)絡(luò)資源。(3)桌面配置：系統(tǒng)管理員可以集中的配置各種桌面配置策略，如：界面功能的限制、應(yīng)用程序執(zhí)行特征限制、網(wǎng)絡(luò)連接限制、安全配置限制等。(4)應(yīng)用系統(tǒng)支撐：支持財務(wù)、人事、電子郵件、企業(yè)信息門戶、辦公自動化、補丁管理、防病毒系統(tǒng)等各種應(yīng)用系統(tǒng)。2.1.2 活動目錄的優(yōu)點與DNS 集成活動目錄使用域名系統(tǒng)(DNS)。DNS是一種Internet標準服務(wù)，它將用戶能夠讀取的

18、計算機名稱（例如mycomputer. ）翻譯成計算機能夠讀取的數(shù)字Internet協(xié)議(IP)地址（由英文句號分隔的四組數(shù)字）。這樣，在TCP/IP網(wǎng)絡(luò)計算機上運行的進程即可相互識別并進行連接。 (1)靈活的查詢。用戶和管理員如果要通過對象屬性快速查找網(wǎng)絡(luò)中的對象，可使用“開始”菜單中的“查找”命令、桌面上的“網(wǎng)上鄰居”圖標或者是 Active Directory 用戶和計算機管理單元。例如，您可以按照一個用戶帳戶的姓名、電子郵件名、辦公地點或其他屬性查找該用戶。而且,使用全局編錄優(yōu)化了查找信息的操作。(2)可擴展性。Active Directory是可擴展的；也就是說，管理員既可以在架構(gòu)中

19、添加新的對象類別，也可在原有的對象類別中添加新屬性。架構(gòu)包含每個對象類別的定義，以及能夠存儲于目錄中的每個對象類別的屬性。例如，您可能會為User對象添加Purchase Authority屬性，然后將每個用戶的購買權(quán)限額保存為用戶帳戶的一部分。(3)基于策略的管理。 組策略是在初始化時應(yīng)用于計算機或用戶的配置設(shè)置。所有組策略設(shè)置都包含在應(yīng)用于 Active Directory站點、域或部門的組策略對象(GPO)中。GPO設(shè)置決定了對目錄對象和域資源的訪問權(quán)限、用戶可使用的域資源（如應(yīng)用程序），以及這些域資源針對其用途的配置方式。(4)可伸縮性。Active Directory包括一個或多個域

20、，每個域均有一個或多個域控制器，由此，您能夠?qū)δ夸涍M行自由擴展，從而滿足所有網(wǎng)絡(luò)的需求。多個域可合并成一個域目錄樹，多個域目錄樹可合并成一個目錄林。在只有一個域的最簡單的網(wǎng)絡(luò)結(jié)構(gòu)中，該域既是一個目錄樹，又是一個目錄林。(5)信息復(fù)制。Active Directory使用多主機復(fù)制，使您可以更新任何域控制器中的目錄。在一個域中部署多個域控制器還提供了容錯能力和負載平衡功能。因為這些域控制器包含同樣的目錄數(shù)據(jù)，所以，如果域內(nèi)的一個域控制器速度變慢、停止或出現(xiàn)故障，同一域內(nèi)的其他域控制器即可提供必要的目錄訪問功能。(6)信息安全。在 Windows 2008 操作系統(tǒng)中，用戶身份驗證和訪問控制的管理

21、都與 Active Directory 完全結(jié)合在一起，這是該系統(tǒng)的一項關(guān)鍵性安全功能。Active Directory 將身份驗證集中進行。不僅可以定義對目錄中每個對象的訪問控制，還可定義對每個對象的每個屬性的訪問控制。此外，Active Directory 還為安全策略提供了存儲區(qū)和應(yīng)用范圍。(7)互操作性。由于 Active Directory 以標準目錄訪問協(xié)議（例如輕型目錄訪問協(xié)議(LDAP)）為基礎(chǔ)，因此它能夠與其他采用這些協(xié)議的目錄服務(wù)進行交互操作。有些應(yīng)用程序編程接口(API)-例如 Active Directory 服務(wù)接口(ADSI)-允許開發(fā)者訪問這些協(xié)議。2.2 組策略

22、概況2.2.1 組策略的功能“組策略”其實與“組”并沒有關(guān)系，它是一組策略的集合。組策略加強了管理員通過活動目錄數(shù)據(jù)庫在站點、域、或組織單位中配置用戶和計算機的能力，在Windows Server 2008 中，通過應(yīng)用組策略，管理員可以很方便地管理Active Directory 中的計算機和用戶的工作環(huán)境，例如，用戶桌面環(huán)境、計算機啟動/關(guān)機與用戶登陸/注銷時所執(zhí)行的腳本文件、軟件安裝、安全設(shè)置等。管理員一般會設(shè)置多種配置集合，包括桌面配置和安全配置。譬如，可以為特定用戶或用戶組定制可用的程序、桌面上的內(nèi)容，以及“開始”菜單選項等，也可以在整個計算機范圍內(nèi)創(chuàng)建特殊的桌面配置。簡而言之，組策

23、略是Windows中的一套系統(tǒng)更改和配置管理工具的集合。其實簡單地說，組策略設(shè)置就是在修改注冊表中的配置。當然，組策略使用了更完善的管理組織方法，可以對各種對象中的設(shè)置進行管理和配置，遠比手工修改注冊表方便、靈活，功能也更加強大。組策略內(nèi)包含計算機配置與用戶配置兩部分，其中計算機配置只對計算機環(huán)境有影響，而用戶配置只對使用者工作環(huán)境有影響。管理員可用過如下兩個途徑配置和應(yīng)用組策略：1.本地計算機策略:在單一計算機上配置，用戶所作的配置只會應(yīng)用到本地計算機，用戶配置被本機所有用戶所應(yīng)用。2.域組策略GPO(Group Policy Objec，組策略對象):在域控制器上針對站點，域或OU來配置組

24、策略，其中域策略內(nèi)的配置應(yīng)用到所有域內(nèi)計算機和用戶上，OU對應(yīng)到該OU內(nèi)，如果本機沖突則以域或OU組策略的配置優(yōu)先，本機無效。2.2.2 組策略實現(xiàn)的目標對域設(shè)置組策略影響整個域的工作環(huán)境，對OU設(shè)置組策略影響本OU下的工作環(huán)境；降低布置用戶和計算機環(huán)境的總費用，因為只需要設(shè)置一次，相應(yīng)的用戶或計算機即可全部使用規(guī)定的設(shè)置，減少用戶不正確配置環(huán)境的可能性；推行公司使用計算機規(guī)范，包括桌面環(huán)境規(guī)范以及安全策略等內(nèi)容。例如：軟件分發(fā)；軟件限制；安全設(shè)置（如密碼策略、管理模板下相關(guān)設(shè)置等）；基于注冊表的設(shè)置（管理模板）；IE維護；脫機文件夾；漫游配置文件和文件夾重定向；計算機和用戶腳本。第3章 企業(yè)

25、面臨的問題與需求3.1 企業(yè)面臨的現(xiàn)狀現(xiàn)有某小型公司的整個網(wǎng)絡(luò)設(shè)計拓撲圖。整個公司主要分為員工宿舍樓、工作區(qū)、生產(chǎn)部門以及體育館四個部分。本次網(wǎng)絡(luò)設(shè)計主要設(shè)備有核心交換機一臺，DNS、Email、FTP服務(wù)器共一臺（集各種功能與一體），硬件防火墻一臺，中型交換機5臺，小型交換機18臺，域控制器一臺，PC若干。具體網(wǎng)絡(luò)規(guī)劃為員工宿舍樓一個VLAN，生產(chǎn)部門一個VLAN，領(lǐng)導(dǎo)辦公室一個VLAN，工作區(qū)每個部門分別劃分一個VLAN。本次網(wǎng)絡(luò)管理主要針對工作區(qū)，其他部門在網(wǎng)絡(luò)規(guī)劃之中。工作區(qū)每個部門一個VLAN，主要目的是為了增加各部門資料的安全性，為了讓每個部門的成員至可以訪問本部門的網(wǎng)絡(luò)資源。在公

26、司不同的部門對軟件和一些材料的需求各不相同，為了更好的管理與區(qū)分我就需要按需定制，如：哪些用戶可使用的軟件有哪些，對哪些文檔具有哪些權(quán)限，和一些上網(wǎng)行為的規(guī)范。圖3-1 企業(yè)網(wǎng)絡(luò)拓撲設(shè)計圖3.2 企業(yè)應(yīng)用需求分析域環(huán)境下，所有的網(wǎng)絡(luò)資源，包括用戶，都是在域控制器上維護，便于集中管理，所有用戶只要登錄到域,在域內(nèi)均能進行身份驗證，管理人員可以較好的管理計算機資源，管理網(wǎng)絡(luò)的成本大大降低防止公司員工在客戶端上亂裝軟件，能夠增強客戶端安全性，減少客戶端故障，降低維護成本。此小型公司域名為，核心機房內(nèi)架設(shè)有主域控制器（主DNS服務(wù)器）、文件服務(wù)器、Exchange郵件服務(wù)器、WEB服務(wù)器、FTP服務(wù)器

27、、數(shù)據(jù)庫服務(wù)器、管理機等。根據(jù)此小型公司現(xiàn)狀和需求，通過和管理員的了解我最終利用組策略來實現(xiàn)以下應(yīng)用：* 使用組策略使員工部門的軟件統(tǒng)一部署* 使用組策略限制員工使用及安裝軟件* 通過查看事件日志觀察已設(shè)置的組策略審核策略是否應(yīng)用成功第4章 組策略應(yīng)用架構(gòu)設(shè)計4.1 設(shè)計總體思路針對我這個小型企業(yè)的網(wǎng)絡(luò)拓撲圖，我重點把網(wǎng)絡(luò)管理工作放到了工作區(qū)。所以，我的工作區(qū)里的組織部、技術(shù)部、銷售部、財務(wù)部和質(zhì)量監(jiān)督部都是在一個域名為的域里面，也就是每個部門的計算機都是域成員，都可以通過被允許的域用戶名登錄到域。這樣就方便了我在域控制器上統(tǒng)一部署軟件以及一些限制類的組策略的應(yīng)用到每臺域成員計算機上。對于員工

28、部門軟件的統(tǒng)一部署，我只需要管理員在域控制器上把需要部署的軟件統(tǒng)一指派到每臺域成員計算機上，這樣當域用戶登錄到計算機的時候，就可以自行下載安裝已指派的軟件了。在此小型公司的網(wǎng)絡(luò)管理中，經(jīng)常會發(fā)現(xiàn)一些權(quán)限比較高的用戶私自從網(wǎng)上下載或者用自己的光盤、U盤之類的安裝軟件，除此之外，在工作時間里，員工會運行一些如旺旺、QQ等軟件，降低了工作的效率，嚴重時會泄漏公司的重要信息，這些對于企業(yè)來說是不被允許的，但是各種規(guī)定都沒辦法完全禁止這些行為，以前通常是采用行政手段進行限制，在了解了這些情況之后，我利用組策略的設(shè)置限制員工運行一些與工作無關(guān)的軟件，這樣即使他們安裝了其他不允許使用的軟件，也運行不了。組策

29、略審核策略是Windows2000及以后版本組策略中引入的一個安全機制。它可以用日志形式記錄系統(tǒng)中已經(jīng)被審核的事件，而系統(tǒng)管理員通過生成的日志文件，能輕易發(fā)現(xiàn)和跟蹤發(fā)生在所管理區(qū)域內(nèi)的可疑事件。比如:誰曾經(jīng)訪問過哪個文件、哪些非法程序入侵了你的電腦等。這樣我就能有效的保護企業(yè)的一些商業(yè)機密和計劃目標不被外泄等等。4.2 應(yīng)用架構(gòu)拓撲在AD域環(huán)境中，通過組策略可以對計算機和用戶組進行高效集中化的管理。組策略是AD域環(huán)境中最有吸引力的基礎(chǔ)架構(gòu)應(yīng)用之一。通過GPO的連接，我們可以將設(shè)置好的組策略應(yīng)用到域活動目錄中的不同級別用戶和計算機，這樣就可以實現(xiàn)對小到一個組織單元的管理，簡單地說，GPO起到了橋

30、梁的作用，通過將GPO與所選的Active Directory系統(tǒng)容器-站點、域和組織單位相關(guān)聯(lián)，實現(xiàn)組策略設(shè)置的具體應(yīng)用。還可以將GPO策略設(shè)置應(yīng)用于Active Directory容器中的具體用戶和計算機。組策略通過在域控制器上設(shè)置應(yīng)用到域成員計算機拓撲，如圖4-1所示。圖4-1 組策略應(yīng)用拓撲圖第5章 組策略在企業(yè)中的應(yīng)用實施5.1 創(chuàng)建域服務(wù)器創(chuàng)建AD，將一臺網(wǎng)內(nèi)的服務(wù)器（windows server 2008系統(tǒng)）提升為域控制器，并創(chuàng)建域用戶。然后將工作區(qū)的組織部，技術(shù)部，銷售部，財務(wù)部和質(zhì)量監(jiān)督部中的成員計算機都加入到域環(huán)境中。5.2 安裝GPMC GPMC是組策略管理控制臺，Mi

31、crosoft 組策略管理控制臺 (GPMC) 是一個用于組策略管理的新工具，它通過改進易管理性和提高效率幫助管理員更經(jīng)濟有效地管理企業(yè)。它包含一個新的 Microsoft 管理控制臺 (MMC) 管理單元和一組可編程。運行 Windows Installer (.MSI) 程序包。在服務(wù)器“JHDZ”上，瀏覽到包含“gpmc.msi”的文件夾，雙擊“gpmc.msi”程序包，2、單擊“下一步”，單擊“我同意”，接受最終用戶許可協(xié)議 (EULA)，3、單擊“下一步”，單擊“完成”以完成 GPMC 安裝。 5.3 組策略具體實施5.3.1 組策略管理軟件的部署1.使用組策略使員工部門的軟件統(tǒng)一部

32、署（1）準備安裝文件使用組策略部署軟件分發(fā)的第一步是獲取ZAP或MSI為擴展名的安裝文件包。MSI安裝文件包是微軟專門為軟件部署而開發(fā)的。有些軟件程序直接提供這兩個文件，有些不提供。（2）分發(fā)軟件1）建立分發(fā)點。要發(fā)布或指派計算機程序，必須在發(fā)布服務(wù)器上創(chuàng)建一個分發(fā)點。把安裝文件所在的文件夾創(chuàng)建為一個共享網(wǎng)絡(luò)文件夾，并對該共享設(shè)置權(quán)限以允許特定的OU（組織單位）才能訪問此分發(fā)程序。2）編輯組策略。在“ActiveDriectory用戶和在“ActiveDriectory用戶和計算機”管理單元中，右鍵單擊“”，在快捷菜單中選擇屬性，單擊“組策略”選項卡，單擊“編輯”按鈕，打開組策略編輯窗口。3）

33、指派/分發(fā)程序包。右鍵單擊“軟件安裝”，在快捷菜單中選擇“新建”“程序包”，如圖5-1所示。打開QQ2008.msi文件，這里一定填入網(wǎng)絡(luò)路徑，因為分發(fā)的用戶要能從網(wǎng)絡(luò)路徑訪問到這個文件。圖5-1 新建程序包打開文件后，彈出“部署軟件”對話框，選擇“已指派”，如圖5-2所示。圖5-2 選擇部署方法添加完成后，如圖5-3所示，關(guān)閉組策略編輯器，單擊“確定”按鈕，完成組策略編輯。圖5-3 已指派軟件名稱4）客戶端軟件安裝。指派完成后，以合法域用戶身份從工作區(qū)任一個部門的域成員計算機登錄到域中。依次單擊“開始”“程序”，這時會發(fā)現(xiàn)程序組中已經(jīng)出現(xiàn)了QQ菜單項，單擊QQ組件，則自動進入安裝過程。安裝完

34、畢后就可以正常使用了。2.限制員工使用及安裝軟件現(xiàn)在企業(yè)老板要求在“財務(wù)部”O(jiān)U中限制該OU下的部分用戶只允許運行Word、Excel、PowerPoint等日常應(yīng)用軟件，而不允許運行QQ等軟件。具體步驟如下：（1）先把用戶劃分到不同的OU中，例如分為了甲組OU和乙組OU。在甲組OU單位上編輯組策略，打開“用戶配置”“Windows設(shè)置”“安全設(shè)置”“軟件限制策略”，如圖5-4所示。圖5-4 編輯軟件限制策略（2）在“軟件限制策略”上右擊，在快捷菜單中選擇“創(chuàng)建軟件限制策略”，軟件限制策略下多出幾個子項，在“其他規(guī)則”上單擊右鍵，選擇新建一條“哈希規(guī)則”，如圖5-5所示。在“文件哈?！敝刑钊隥

35、Q2008所在的路徑，把安全級別設(shè)置成不允許，這樣甲組OU將不能夠使用QQ程序了。圖5-5 新建哈希規(guī)則（3）在GPMC中的“財務(wù)部”O(jiān)U下新建并鏈接一個新的GPO，取名為“限制軟件運行策略”。（4）在新建的“限制軟件運行策略”GPO上右擊，在彈出的快捷菜單中選擇“編輯”選項，在打開的組策略編輯器中找到“用戶配置”-“管理模板”-“系統(tǒng)”下的“只允許運行許可的Windows應(yīng)用程序”，如圖5-6所示。圖5-6編輯限制軟件運行策略（5）啟用該配置可實現(xiàn)對指定軟件的安裝限制。5.3.2 組策略進行資源訪問審核1. 組策略資源訪問審核配置（1）打開審核策略所有“審核策略”默認是沒有打開的，需要手動開

36、啟。依次打開“控制面板管理工具本地安全策略”或在“開始運行”中輸入“secpol.msc”，打開組策略中的“本地安全設(shè)置”編輯器，依次定位到“本地策略審核策略”，雙擊右側(cè)窗格中的“審核對象訪問”，勾選“成功”或“失敗”，如圖5-7所示。圖5-7 設(shè)置審核對象訪問屬性（2）對文件夾進行審核設(shè)置（3）通過“事件查看器”查看設(shè)置了一則審核策略，還得通過事件查看器來獲取信息。在“開始運行”中輸入“Eventvwr.msc”，接著定位到“事件查看器安全性”，在右側(cè)窗格中記錄了許多“成功審核”、“失敗審核”的安全性事件。通常情況記錄的事件很多，可以對其進行篩選，依次選擇“查看篩選”，在“篩選器”選項卡下面

37、的時間類型中只勾選“成功審核”和“失敗審核”;而“事件來源”和“類別”可根據(jù)不同的審查對象和審查內(nèi)容進行篩選，一般情況只需要查看560事件即可,如圖5-8所示。圖5-8 查看事件日志2. 組策略文件夾訪問審核現(xiàn)在企業(yè)老板要求監(jiān)控手下人什么時候訪問過或使用了公司電腦中指定的磁盤或文件夾中的資料，比如:服務(wù)器“D:data”文件夾。開始前首先在“文件夾選項查看”標簽下取消“使用簡單文件共享”。(1)在“審核策略”中雙擊右側(cè)的“審核對象訪問”，勾選“成功”，確認操作并退出編輯器。右擊目標磁盤或文件夾選擇“屬性”，切換至“安全”選項卡，單擊“高級”，切換至“審核”標簽。(2)單擊“添加”，輸入員工使用

38、的用戶名，因為員工屬于普通用戶組(users)，所以輸入“計算機名users”，單擊“確定”,如圖5-9。這時會彈出審核項目選擇窗口，因為要監(jiān)視員工對目標的“訪問權(quán)和執(zhí)行權(quán)”，因此要勾選“遍歷文件夾/運行文件”,如圖5-10，確定所有操作。圖5-9 添加用戶圖5-10 編輯審核項目(3)這時策略已經(jīng)完成了。現(xiàn)在可以試試是否有效。打開事件查看器，右擊“安全性”選擇“清空所有事件”后注銷系統(tǒng)。這時，用戶登錄此系統(tǒng)，訪問一下“D:data”并執(zhí)行其中一個文件(比如運行了存放在該目錄底下的“MSN6.2.exe”文件)。注銷系統(tǒng)后，用管理員身份登錄，查看一下日志，是不是清楚地記錄了剛才員工的訪問行為,如圖5-11。圖5-11 查看事件信息3. 測試對上面的限制軟件策略進行測試，域成員通過域用戶名登錄后，除了常用的Word、Excel、PowerPoint等日常應(yīng)用軟件可以安裝應(yīng)用外，還有另外安裝的一個QQ軟件，看看能不能運行，如果不可以運行，說明組策略應(yīng)用成功了。結(jié)