項目3-域網(wǎng)絡(luò)構(gòu)建與組策略應(yīng)用課件

《WindowsServer2008網(wǎng)絡(luò)組建項目化教程》教材配套的光盤為師生雙方提供了豐富的教學(xué)資源。主要包括:課程標(biāo)準(zhǔn)(教學(xué)大綱)、教學(xué)設(shè)計方案(教案)、PPT課件、項目習(xí)作參考答案、配套軟件清單及下載地址、模擬試卷及評分標(biāo)準(zhǔn)和參考答案(4套)、網(wǎng)絡(luò)管理員職責(zé)、相關(guān)認(rèn)證考試介紹與往年試卷、知識拓展資料、網(wǎng)絡(luò)工程案例與解決方案。教材主編：夏笠芹方頌出版社：Windows

Server2008網(wǎng)絡(luò)組建項目化教程“十二五”職業(yè)教育國家規(guī)劃教材立項《WindowsServer2008網(wǎng)絡(luò)組建項目化教程》企業(yè)要構(gòu)建一個辦公網(wǎng)絡(luò)，考慮到業(yè)務(wù)發(fā)展的需要，以及網(wǎng)絡(luò)的安全性，需要對重要的公共資源和計算機(jī)使用人員的信息實(shí)現(xiàn)集中管理。項目背景項目3域網(wǎng)絡(luò)構(gòu)建與組策略應(yīng)用企業(yè)要構(gòu)建一個辦公網(wǎng)絡(luò)，考慮到業(yè)務(wù)發(fā)展的需要，以及網(wǎng)絡(luò)的安全項目導(dǎo)入大、中型企業(yè)網(wǎng)絡(luò)有幾百到上千的用戶，資源也比較分散，這時候如何管理？“工作組”和“域”是Windows網(wǎng)絡(luò)的兩種管理方式。

工作組每一臺計算機(jī)都獨(dú)立維護(hù)自己的資源，不能集中管理所有網(wǎng)絡(luò)資源每一臺計算機(jī)都在本地存儲用戶的賬戶一個賬戶只能登錄到一臺計算機(jī)工作組中的計算機(jī)的地位都是平等的，對于其他計算機(jī)來說既是服務(wù)器，也是客戶機(jī)工作組的網(wǎng)絡(luò)規(guī)模一般少于10臺計算機(jī)域?qū)⒕W(wǎng)絡(luò)中多臺計算機(jī)邏輯上組織到一起，進(jìn)行集中管理，這種區(qū)別于工作組的邏輯環(huán)境叫做域域是組織與存儲資源的核心管理單元項目導(dǎo)入大、中型企業(yè)網(wǎng)絡(luò)有幾百到上千的用戶，資源也比較分散，項目導(dǎo)入工作組域SAMSAMSAM單用戶帳號ActiveDirectory項目導(dǎo)入工作組域SAMSAMSAM單用戶帳號ActiveD項目3域網(wǎng)絡(luò)構(gòu)建與組策略應(yīng)用知識目標(biāo)了解：域的概念、特點(diǎn)，活動目錄的結(jié)構(gòu)，域用戶賬戶、域組賬戶和組織單位的概念、特點(diǎn)和用途熟悉：域控制器的條件，活動目錄的管理與維護(hù)，域組賬戶的使用原則掌握：創(chuàng)建域，將計算機(jī)加入或脫離域，將域控制器降級為獨(dú)立服務(wù)器或成員服務(wù)器；域用戶賬戶、域組賬戶和組織單位的創(chuàng)建與管理；組策略的應(yīng)用。能力目標(biāo)會創(chuàng)建域，能將計算機(jī)加入或脫離域會創(chuàng)建與管理域用戶賬戶、域組賬戶和組織單元能利用組策略技術(shù)對域中的計算機(jī)進(jìn)行一些常用設(shè)置教學(xué)目標(biāo)項目3域網(wǎng)絡(luò)構(gòu)建與組策略應(yīng)用知識目標(biāo)教學(xué)目標(biāo)3.2項目知識準(zhǔn)備活動目錄是存儲網(wǎng)絡(luò)上對象的相關(guān)信息并使該信息可供用戶和網(wǎng)絡(luò)管理員使用的目錄服務(wù)。目錄是一個數(shù)據(jù)庫，用于保存與網(wǎng)絡(luò)資源相關(guān)的信息結(jié)構(gòu)、資源位置、安全信息及管理信息等。如：計算機(jī)、用戶、組、打印機(jī)等的名稱、描述、地理位置、訪問權(quán)限等信息。目錄服務(wù)是使目錄中所有信息和資源發(fā)揮作用的服務(wù)。服務(wù)的主要表現(xiàn)是：網(wǎng)絡(luò)中的所有用戶和應(yīng)用程序只需提供很少的信息就能準(zhǔn)確定位到這些實(shí)體資源，保證用戶能夠快速訪問。目錄服務(wù)在網(wǎng)絡(luò)安全方面也扮演著中心授權(quán)機(jī)構(gòu)的角色，從而使操作系統(tǒng)可以輕松地驗(yàn)證用戶身份并控制其對網(wǎng)絡(luò)資源的訪問。域（Domain）是共用一個“目錄服務(wù)數(shù)據(jù)庫”的安全邊界的計算機(jī)的集合。3.2.1認(rèn)識Windows的域3.2項目知識準(zhǔn)備活動目錄是存儲網(wǎng)絡(luò)上對象的相關(guān)信息并使3.2項目知識準(zhǔn)備教科書的目錄網(wǎng)絡(luò)的（活動）目錄AD存儲對象章、節(jié)的名稱；頁號基本單元（對象）：用戶、組、計算機(jī)、文件、打印機(jī)、聯(lián)系人等；綜合單元：組織單元、域、域樹、域林等提供的服務(wù)讓讀者快速查找、定位書上的信息對網(wǎng)上的各種資源實(shí)現(xiàn)集中統(tǒng)一的單點(diǎn)管理，讓管理員和用戶能夠便捷地查找、定位和管理網(wǎng)上各類對象的信息，進(jìn)兒使這些信息充分發(fā)揮作用。活動目錄也作為網(wǎng)絡(luò)安全的集中管理機(jī)構(gòu)，使得操作系統(tǒng)可以驗(yàn)證用戶的身分并控制用戶對網(wǎng)絡(luò)資源的訪問。存儲結(jié)構(gòu)書的前幾頁域控制器DC，結(jié)構(gòu)化的數(shù)據(jù)倉庫大型數(shù)據(jù)庫擴(kuò)展性靜態(tài)——不能增加條目動態(tài)／活動——①可以隨著網(wǎng)絡(luò)資源的增加而動態(tài)地進(jìn)行擴(kuò)展；②提供對網(wǎng)上資源實(shí)施系統(tǒng)管理、安全管理和互操作性等功能服務(wù)。3.2.1認(rèn)識Windows的域3.2項目知識準(zhǔn)備教科書的目錄網(wǎng)絡(luò)的（活動）目錄AD存儲3.2項目知識準(zhǔn)備域控制器在一個域中，活動目錄數(shù)據(jù)庫必須存儲在域中特定的計算機(jī)上，這樣的計算機(jī)被稱為域控制器（DomainController，簡寫為DC）。一個域可以有一個或多個域控制器，各域控制器是平等的。成員服務(wù)器那些安裝了服務(wù)器版操作系統(tǒng)（如：WindowsServer2003或Windows2000Server），但未安裝AD服務(wù)且加入域的計算機(jī)。工作站所有安裝WindowsNTWorkstation、Windows2000Professional或WindowsXPProfessional系統(tǒng)，且加入域的計算機(jī)3.2.2

域中計算機(jī)的角色3.2項目知識準(zhǔn)備域控制器3.2.2域中計算機(jī)的角色3.2項目知識準(zhǔn)備有許多計算機(jī)并不屬于任何一個域，即以工作組模式運(yùn)行著，從功能上來講，也可將其分為兩種角色：獨(dú)立服務(wù)器安裝了各種版本的WindowsServer，但未加入域。它一旦加入域中，其角色便轉(zhuǎn)化為“成員服務(wù)器”。一般客戶端計算機(jī)無論執(zhí)行何種操作系統(tǒng)，只要未加入域，且不是獨(dú)立服務(wù)器的計算機(jī)，都?xì)w為此類。它一旦加入域中，其角色便是“工作站”。3.2.2

域中計算機(jī)的角色3.2項目知識準(zhǔn)備有許多計算機(jī)并不屬于任何一個域，即以工3.2項目知識準(zhǔn)備集中管理：域中所有計算機(jī)共享了一個活動目錄數(shù)據(jù)庫，里面包含了整個域中的所有的資源信息、賬戶信息與安全信息。安全級別較高：由于域中所有安全信息都集中存儲在活動目錄數(shù)據(jù)庫中，所以管理員可以通過指定強(qiáng)有力的安全策略來保證整個域的安全。便于用戶訪問域中的資源：在域的活動目錄數(shù)據(jù)庫中，管理員可以創(chuàng)建“域用戶賬戶”。一個域中無論有多少臺計算機(jī)，用戶只要擁有域用戶賬戶，便可訪問域中所有計算機(jī)上允許訪問的資源，即域用戶賬戶對資源的訪問范圍可以是整個域，而非局限在一臺計算機(jī)上。域用戶賬戶可以在加入域的任何一臺計算機(jī)上登錄，從而使用、訪問該計算機(jī)上資源。3.2.3域的特點(diǎn)3.2項目知識準(zhǔn)備集中管理：域中所有計算機(jī)共享了一個活動3.2項目知識準(zhǔn)備組織單位（OrganizationalUnit，簡稱OU）OU是組織、管理一個域內(nèi)的對象的容器，它能包容用戶賬戶、用戶組、計算機(jī)、應(yīng)用程序、打印機(jī)和其它的OU。域(Domain)域是活動目錄的核心單元，是對象（如計算機(jī)、用戶、組織單位等）的容器，這些對象有相同的安全需求、復(fù)制過程和管理。域管理員具有管理本域的所有權(quán)利，如果其它的域顯式地賦予它管理權(quán)限，他還能夠訪問或管理其它的域。域樹(Tree)3.2.4活動目錄的組織結(jié)構(gòu)3.2項目知識準(zhǔn)備組織單位（Organizational3.2項目知識準(zhǔn)備通過組策略來實(shí)現(xiàn)用戶和計算機(jī)的集中配置和管理。這些設(shè)置包括安全選項、軟件安裝、腳本文件設(shè)置、桌面外觀和用戶文件管理等。組策略的所有配置信息都保存在組策略對象GPO（GroupPolicyObject）兩類GPO：系統(tǒng)內(nèi)建的默認(rèn)GPO默認(rèn)域策略（DefaultDomainPolicy）：該策略將影響域中的所有用戶和計算機(jī)。默認(rèn)域控制器組策略（DefaultDomainControllersPolicy）：通常只影響到域中所有的域控制器。用戶自定義GPO3.2.5域中組策略的應(yīng)用3.2項目知識準(zhǔn)備通過組策略來實(shí)現(xiàn)用戶和計算機(jī)的集中配置3.3項目實(shí)施1.安裝域控制器的條件計算機(jī)必須運(yùn)行WindowsServer2003標(biāo)準(zhǔn)版、企業(yè)版或數(shù)據(jù)中心版，Web版的計算機(jī)不能成為域控制器安裝者具有本地管理員權(quán)限至少具有250MB的磁盤空間。其中，200MB的空間用于存放活動目錄數(shù)據(jù)庫，50MB的空間用于存放活動目錄數(shù)據(jù)庫的事務(wù)日志文件。安裝域控制器的服務(wù)器上至少要有一個NTFS分區(qū)。有TCP/IP設(shè)置（IP地址、子網(wǎng)掩碼、DNS的IP等）域結(jié)構(gòu)的網(wǎng)絡(luò)中必須有DNS服務(wù)器與其相配合。DNS服務(wù)器的作用是定位域控制器的位置。任務(wù)3-1域控制器的安裝3.3項目實(shí)施1.安裝域控制器的條件任務(wù)3-1域控制器任務(wù)3-1域控制器的安裝2.域控制器的安裝過程：任務(wù)3-1域控制器的安裝2.域控制器的安裝過程：任務(wù)3-2計算機(jī)加入或脫離域計算機(jī)能加入域的先決條件是：該計算機(jī)與域控制器能連通在計算機(jī)上正確設(shè)置首選DNS服務(wù)器的IP地址(這里設(shè)為第一臺DC的IP)?？蛻舳?（物理機(jī)）客戶端2（虛擬機(jī)2）

IP：172.16.102.X+160/16DNS：172.16.102.X+80/16

IP：172.16.102.X/16域控制器（虛擬機(jī)1）

IP：172.16.102.X+80/16DNS：172.16.102.X+80/16加入域任務(wù)3-2計算機(jī)加入或脫離域計算機(jī)能加入域的先決條件是：客任務(wù)3-2計算機(jī)加入或脫離域任務(wù)3-2計算機(jī)加入或脫離域任務(wù)3-3創(chuàng)建與管理域用戶賬戶創(chuàng)建域用戶賬戶：任務(wù)3-3創(chuàng)建與管理域用戶賬戶創(chuàng)建域用戶賬戶：任務(wù)3-3創(chuàng)建與管理域用戶賬戶限制用戶登錄域的時間：任務(wù)3-3創(chuàng)建與管理域用戶賬戶限制用戶登錄域的時間：任務(wù)3-3創(chuàng)建與管理域用戶賬戶限制域用戶賬戶只能從特定的計算機(jī)上登錄域任務(wù)3-3創(chuàng)建與管理域用戶賬戶限制域用戶賬戶只能從特定的任務(wù)3-4創(chuàng)建與管理域組賬戶域組分類安全組通訊組（分布式組）實(shí)現(xiàn)與安全性有關(guān)的工作和功能，可以通過給安全組賦予訪問資源的權(quán)限來限制安全組的成員對域中資源的訪問。如：可設(shè)置對某個文件有“讀取”或“改寫”的權(quán)限。也可用在與安全無關(guān)的任務(wù)上，如：可以通過電子郵件軟件將電子郵件發(fā)送給安全組。用在與安全無關(guān)的任務(wù)上。不能被賦予訪問資源的權(quán)限。只能收發(fā)電子郵件，即分發(fā)組可以組織其成員的E-MAIL地址成為E-MAIL列表。利用這個特性使基于AD的應(yīng)用程序就可以直接利用分發(fā)組來發(fā)E-MAIL給多個用戶以及實(shí)現(xiàn)其他和E-MAIL列表相關(guān)的功能（例如在ExchangeServer2007/1010中使用）。本地域組全局組通用組作用范圍該組所在的域內(nèi)所有受信任的域所有受信任的域成員所有域的用戶賬戶、全局組、通用組，以及本域的域本地組本域的用戶賬戶和全局組所有域的用戶賬戶、全局組和通用組任務(wù)3-4創(chuàng)建與管理域組賬戶域組分類安全組通訊組（分布式任務(wù)3-5創(chuàng)建與管理組織單元組織單位（OU）——OU是一個容器，在OU中可以包含用戶、組等其他對象，也可以在OU中建立子OU。OU容納和組織對象的方式：按對象類型來劃分按企業(yè)的組織結(jié)構(gòu)來劃分；按地區(qū)來劃分；混合劃分方法任務(wù)3-5創(chuàng)建與管理組織單元組織單位（OU）——OU是一任務(wù)3-5創(chuàng)建與管理組織單元創(chuàng)建組織單位任務(wù)3-5創(chuàng)建與管理組織單元創(chuàng)建組織單位任務(wù)3-5創(chuàng)建與管理組織單元向組織單位添加對象任務(wù)3-5創(chuàng)建與管理組織單元向組織單位添加對象任務(wù)3-6組策略對象(GPO)的創(chuàng)建與配置創(chuàng)建和管理GPO的工具：【開始】→【管理工具】→【組策略管理】該工具可以完成對組策略的各種配置和管理，包括備份，還原和生成組策略報表。任務(wù)3-6組策略對象(GPO)的創(chuàng)建與配置創(chuàng)建和管理G任務(wù)3-6組策略對象(GPO)的創(chuàng)建與配置統(tǒng)一定制桌面環(huán)境步驟1：在域控制器或成員服務(wù)器的非系統(tǒng)磁盤(如:E盤)中建一個文件夾“share”→將統(tǒng)一的桌面壁紙文件(如:summer.jpg)放入“share”中→右擊該文件夾→在彈出的快捷菜單中選擇【屬性】→打開【文件共享】對話框,單擊【添加】前面的下拉按鈕并選擇【查找】選項→在打開的【選擇用戶或組】對話框中單擊【高級】按鈕→在打開的對話框中單擊【立即查找】按鈕,在【搜索結(jié)果】列表框中選擇“DomainUsers”組→兩次單擊【確定】按鈕→系統(tǒng)返回【文件共享】對話框,單擊“DomainUsers”組并設(shè)置其具有“讀者”的共享權(quán)限→單擊【共享】按鈕→單擊【完成】按鈕,如圖3-34所示。任務(wù)3-6組策略對象(GPO)的創(chuàng)建與配置統(tǒng)一定制桌面環(huán)任務(wù)3-6組策略對象(GPO)的創(chuàng)建與配置步驟2：依次單擊【開始】→【管理工具】→【組策略管理】→打開【組策略管理】窗口,在左窗格中展開“域”節(jié)點(diǎn)→右擊【組策略對象】→在彈出的快捷菜單中選擇【新建】→打開【新建GPO】對話框,在【名稱】編輯框中輸入組策略對象的名稱(如,“統(tǒng)一桌面”)→單擊【確定】按鈕,如圖3-35所示。任務(wù)3-6組策略對象(GPO)的創(chuàng)建與配置步驟2：依次單任務(wù)3-6組策略對象(GPO)的創(chuàng)建與配置2.配置GPO步驟1:進(jìn)入【組策略管理】窗口→在右窗格中右擊剛剛新建的【統(tǒng)一桌面】GPO→在彈出的快捷菜單中選擇【編輯】,如圖3-36所示。任務(wù)3-6組策略對象(GPO)的創(chuàng)建與配置2.配置GPO任務(wù)3-6組策略對象(GPO)的創(chuàng)建與配置步驟2:打開【組策略管理編輯器】窗口,在左窗格中,依次展開【用戶配置】→【策略】→【管理模板】→【桌面】→單擊【桌面】→在右窗格中右擊【啟用ActiveDesktop】→在快捷菜單中選擇【屬性】。任務(wù)3-6組策略對象(GPO)的創(chuàng)建與配置步驟2:打開【任務(wù)3-6組策略對象(GPO)的創(chuàng)建與配置步驟3:在打開的【啟用ActiveDesktop屬性】對話框中選擇【設(shè)置】選項卡→選擇【已啟用】→單擊【確定】,如圖3-38所示。任務(wù)3-6組策略對象(GPO)的創(chuàng)建與配置步驟3:在打開任務(wù)3-6組策略對象(GPO)的創(chuàng)建與配置步驟4:在圖3-37所示的右窗格中,雙擊【桌面墻紙】→在打開的【桌面墻紙屬性】對話框中單擊【已啟用】→在【墻紙名稱】編輯框中輸入存放桌面壁紙文件的完整路徑(如:\\server1\share\sunmmer.jpg)→在【墻紙樣式】下拉列表中選擇樣式(如“拉伸”)→單擊【確定】按鈕,如圖3-39所示。任務(wù)3-6組策略對象(GPO)的創(chuàng)建與配置步驟4:在圖3任務(wù)3-6組策略對象(GPO)的創(chuàng)建與配置步驟5：在域控制器上，點(diǎn)擊【開始】→【運(yùn)行】→輸入“gpupdate/force”命令強(qiáng)制刷新組策略。再到客戶端用“gpupdate/force”命令強(qiáng)制刷新組策略或者注銷客戶端再登錄，此后客戶端桌面就會自動換成指定的桌面背景了。任務(wù)3-6組策略對象(GPO)的創(chuàng)建與配置步驟5：在域控任務(wù)3-7為批量客戶端自動安裝軟件步驟1：創(chuàng)建分發(fā)點(diǎn)。以管理員身份登錄到用來存放分發(fā)軟件的服務(wù)器→創(chuàng)建一個共享文件夾，并使域用戶有共享讀取權(quán)限和NTFS讀取權(quán)限→在分發(fā)點(diǎn)用不同的子文件夾存放要分發(fā)的不同安裝文件（.msi文件）。

任務(wù)3-7為批量客戶端自動安裝軟件步驟1：創(chuàng)建分發(fā)點(diǎn)。以管任務(wù)3-7批量自動安裝客戶端軟件步驟2：創(chuàng)建一個用于分發(fā)軟件的GPO。打開【組策略管理器】窗口→創(chuàng)建名為“指派軟件”的GPO→右擊新建的【指派軟件】GPO→在彈出的快捷菜單中選擇【編輯】→打開【組策略管理編輯器】窗口,在左窗格中依次展開【用戶配置】→【策略】→【軟件設(shè)置】→右擊【軟件安裝】→在彈出的快捷菜單中選擇【新建】→【程序包】,如圖3-46所示。任務(wù)3-7批量自動安裝客戶端軟件步驟2：創(chuàng)建一個用于分發(fā)任務(wù)3-7批量自動安裝客戶端軟件步驟3：步驟3:彈出【打開】對話框,在左窗格中單擊【文件夾】下拉按鈕,選擇軟件分發(fā)點(diǎn)所在的文件夾(如,“softtools”)→在右窗格中選擇被安裝的軟件包→單擊【打開】按鈕→在打開的【部署軟件】對話框中選擇【已分配】→單擊【確定】,如圖3-47所示。軟件指派完成后的效果如圖3-48所示。任務(wù)3-7批量自動安裝客戶端軟件步驟3：步驟3:彈出【打任務(wù)3-7批量自動安裝客戶端軟件步驟4：在域控制器上,執(zhí)行刷新組策略命令“gpupdate/force”。步驟5:在客戶機(jī)上,注銷重新登錄系統(tǒng)→單擊【開始】→【控制面板】→雙擊【添加或刪除程序】→單擊【添加新程序】→在【從網(wǎng)絡(luò)添加程序】列表中,選擇已分配的程序→單擊【添加】,該程序便會安裝到客戶機(jī)上。任務(wù)3-7批量自動安裝客戶端軟件步驟4：在域控制器上,執(zhí)項目3域網(wǎng)絡(luò)的構(gòu)建與組策略應(yīng)用項目知識準(zhǔn)備認(rèn)識Windows的域（活動目錄、域、域樹、域林）域中計算機(jī)的角色（域控制器、成員服務(wù)器、工作站）域的特點(diǎn)（集中管理、安全級別高、便于用戶訪問）活動目錄的組織結(jié)構(gòu)（組織單位、域、域樹）域中組策略的應(yīng)用項目實(shí)施安裝域控制器的安裝（條件、過程）計算機(jī)加入或脫離域創(chuàng)建與管理域用戶賬戶創(chuàng)建與管理域組賬戶創(chuàng)建與管理組織單位創(chuàng)建與配置組策略對象批量自動安裝客戶端軟件小結(jié)項目3域網(wǎng)絡(luò)的構(gòu)建與組策略應(yīng)用項目知識準(zhǔn)備小結(jié)項目3域網(wǎng)絡(luò)構(gòu)建與組策略應(yīng)用實(shí)訓(xùn)（交實(shí)訓(xùn)報告書）實(shí)訓(xùn)3安裝和管理活動目錄習(xí)題（課堂小組活動）一、選擇題：1～8二、簡答題：作業(yè)項目3域網(wǎng)絡(luò)構(gòu)建與組策略應(yīng)用實(shí)訓(xùn)（交實(shí)訓(xùn)報告書）作業(yè)《WindowsServer2008網(wǎng)絡(luò)組建項目化教程》教材配套的光盤為師生雙方提供了豐富的教學(xué)資源。主要包括:課程標(biāo)準(zhǔn)(教學(xué)大綱)、教學(xué)設(shè)計方案(教案)、PPT課件、項目習(xí)作參考答案、配套軟件清單及下載地址、模擬試卷及評分標(biāo)準(zhǔn)和參考答案(4套)、網(wǎng)絡(luò)管理員職責(zé)、相關(guān)認(rèn)證考試介紹與往年試卷、知識拓展資料、網(wǎng)絡(luò)工程案例與解決方案。教材主編：夏笠芹方頌出版社：Windows

Server2008網(wǎng)絡(luò)組建項目化教程“十二五”職業(yè)教育國家規(guī)劃教材立項《WindowsServer2008網(wǎng)絡(luò)組建項目化教程》企業(yè)要構(gòu)建一個辦公網(wǎng)絡(luò)，考慮到業(yè)務(wù)發(fā)展的需要，以及網(wǎng)絡(luò)的安全性，需要對重要的公共資源和計算機(jī)使用人員的信息實(shí)現(xiàn)集中管理。項目背景項目3域網(wǎng)絡(luò)構(gòu)建與組策略應(yīng)用企業(yè)要構(gòu)建一個辦公網(wǎng)絡(luò)，考慮到業(yè)務(wù)發(fā)展的需要，以及網(wǎng)絡(luò)的安全項目導(dǎo)入大、中型企業(yè)網(wǎng)絡(luò)有幾百到上千的用戶，資源也比較分散，這時候如何管理？“工作組”和“域”是Windows網(wǎng)絡(luò)的兩種管理方式。

工作組每一臺計算機(jī)都獨(dú)立維護(hù)自己的資源，不能集中管理所有網(wǎng)絡(luò)資源每一臺計算機(jī)都在本地存儲用戶的賬戶一個賬戶只能登錄到一臺計算機(jī)工作組中的計算機(jī)的地位都是平等的，對于其他計算機(jī)來說既是服務(wù)器，也是客戶機(jī)工作組的網(wǎng)絡(luò)規(guī)模一般少于10臺計算機(jī)域?qū)⒕W(wǎng)絡(luò)中多臺計算機(jī)邏輯上組織到一起，進(jìn)行集中管理，這種區(qū)別于工作組的邏輯環(huán)境叫做域域是組織與存儲資源的核心管理單元項目導(dǎo)入大、中型企業(yè)網(wǎng)絡(luò)有幾百到上千的用戶，資源也比較分散，項目導(dǎo)入工作組域SAMSAMSAM單用戶帳號ActiveDirectory項目導(dǎo)入工作組域SAMSAMSAM單用戶帳號ActiveD項目3域網(wǎng)絡(luò)構(gòu)建與組策略應(yīng)用知識目標(biāo)了解：域的概念、特點(diǎn)，活動目錄的結(jié)構(gòu)，域用戶賬戶、域組賬戶和組織單位的概念、特點(diǎn)和用途熟悉：域控制器的條件，活動目錄的管理與維護(hù)，域組賬戶的使用原則掌握：創(chuàng)建域，將計算機(jī)加入或脫離域，將域控制器降級為獨(dú)立服務(wù)器或成員服務(wù)器；域用戶賬戶、域組賬戶和組織單位的創(chuàng)建與管理；組策略的應(yīng)用。能力目標(biāo)會創(chuàng)建域，能將計算機(jī)加入或脫離域會創(chuàng)建與管理域用戶賬戶、域組賬戶和組織單元能利用組策略技術(shù)對域中的計算機(jī)進(jìn)行一些常用設(shè)置教學(xué)目標(biāo)項目3域網(wǎng)絡(luò)構(gòu)建與組策略應(yīng)用知識目標(biāo)教學(xué)目標(biāo)3.2項目知識準(zhǔn)備活動目錄是存儲網(wǎng)絡(luò)上對象的相關(guān)信息并使該信息可供用戶和網(wǎng)絡(luò)管理員使用的目錄服務(wù)。目錄是一個數(shù)據(jù)庫，用于保存與網(wǎng)絡(luò)資源相關(guān)的信息結(jié)構(gòu)、資源位置、安全信息及管理信息等。如：計算機(jī)、用戶、組、打印機(jī)等的名稱、描述、地理位置、訪問權(quán)限等信息。目錄服務(wù)是使目錄中所有信息和資源發(fā)揮作用的服務(wù)。服務(wù)的主要表現(xiàn)是：網(wǎng)絡(luò)中的所有用戶和應(yīng)用程序只需提供很少的信息就能準(zhǔn)確定位到這些實(shí)體資源，保證用戶能夠快速訪問。目錄服務(wù)在網(wǎng)絡(luò)安全方面也扮演著中心授權(quán)機(jī)構(gòu)的角色，從而使操作系統(tǒng)可以輕松地驗(yàn)證用戶身份并控制其對網(wǎng)絡(luò)資源的訪問。域（Domain）是共用一個“目錄服務(wù)數(shù)據(jù)庫”的安全邊界的計算機(jī)的集合。3.2.1認(rèn)識Windows的域3.2項目知識準(zhǔn)備活動目錄是存儲網(wǎng)絡(luò)上對象的相關(guān)信息并使3.2項目知識準(zhǔn)備教科書的目錄網(wǎng)絡(luò)的（活動）目錄AD存儲對象章、節(jié)的名稱；頁號基本單元（對象）：用戶、組、計算機(jī)、文件、打印機(jī)、聯(lián)系人等；綜合單元：組織單元、域、域樹、域林等提供的服務(wù)讓讀者快速查找、定位書上的信息對網(wǎng)上的各種資源實(shí)現(xiàn)集中統(tǒng)一的單點(diǎn)管理，讓管理員和用戶能夠便捷地查找、定位和管理網(wǎng)上各類對象的信息，進(jìn)兒使這些信息充分發(fā)揮作用。活動目錄也作為網(wǎng)絡(luò)安全的集中管理機(jī)構(gòu)，使得操作系統(tǒng)可以驗(yàn)證用戶的身分并控制用戶對網(wǎng)絡(luò)資源的訪問。存儲結(jié)構(gòu)書的前幾頁域控制器DC，結(jié)構(gòu)化的數(shù)據(jù)倉庫大型數(shù)據(jù)庫擴(kuò)展性靜態(tài)——不能增加條目動態(tài)／活動——①可以隨著網(wǎng)絡(luò)資源的增加而動態(tài)地進(jìn)行擴(kuò)展；②提供對網(wǎng)上資源實(shí)施系統(tǒng)管理、安全管理和互操作性等功能服務(wù)。3.2.1認(rèn)識Windows的域3.2項目知識準(zhǔn)備教科書的目錄網(wǎng)絡(luò)的（活動）目錄AD存儲3.2項目知識準(zhǔn)備域控制器在一個域中，活動目錄數(shù)據(jù)庫必須存儲在域中特定的計算機(jī)上，這樣的計算機(jī)被稱為域控制器（DomainController，簡寫為DC）。一個域可以有一個或多個域控制器，各域控制器是平等的。成員服務(wù)器那些安裝了服務(wù)器版操作系統(tǒng)（如：WindowsServer2003或Windows2000Server），但未安裝AD服務(wù)且加入域的計算機(jī)。工作站所有安裝WindowsNTWorkstation、Windows2000Professional或WindowsXPProfessional系統(tǒng)，且加入域的計算機(jī)3.2.2

域中計算機(jī)的角色3.2項目知識準(zhǔn)備域控制器3.2.2域中計算機(jī)的角色3.2項目知識準(zhǔn)備有許多計算機(jī)并不屬于任何一個域，即以工作組模式運(yùn)行著，從功能上來講，也可將其分為兩種角色：獨(dú)立服務(wù)器安裝了各種版本的WindowsServer，但未加入域。它一旦加入域中，其角色便轉(zhuǎn)化為“成員服務(wù)器”。一般客戶端計算機(jī)無論執(zhí)行何種操作系統(tǒng)，只要未加入域，且不是獨(dú)立服務(wù)器的計算機(jī)，都?xì)w為此類。它一旦加入域中，其角色便是“工作站”。3.2.2

域中計算機(jī)的角色3.2項目知識準(zhǔn)備有許多計算機(jī)并不屬于任何一個域，即以工3.2項目知識準(zhǔn)備集中管理：域中所有計算機(jī)共享了一個活動目錄數(shù)據(jù)庫，里面包含了整個域中的所有的資源信息、賬戶信息與安全信息。安全級別較高：由于域中所有安全信息都集中存儲在活動目錄數(shù)據(jù)庫中，所以管理員可以通過指定強(qiáng)有力的安全策略來保證整個域的安全。便于用戶訪問域中的資源：在域的活動目錄數(shù)據(jù)庫中，管理員可以創(chuàng)建“域用戶賬戶”。一個域中無論有多少臺計算機(jī)，用戶只要擁有域用戶賬戶，便可訪問域中所有計算機(jī)上允許訪問的資源，即域用戶賬戶對資源的訪問范圍可以是整個域，而非局限在一臺計算機(jī)上。域用戶賬戶可以在加入域的任何一臺計算機(jī)上登錄，從而使用、訪問該計算機(jī)上資源。3.2.3域的特點(diǎn)3.2項目知識準(zhǔn)備集中管理：域中所有計算機(jī)共享了一個活動3.2項目知識準(zhǔn)備組織單位（OrganizationalUnit，簡稱OU）OU是組織、管理一個域內(nèi)的對象的容器，它能包容用戶賬戶、用戶組、計算機(jī)、應(yīng)用程序、打印機(jī)和其它的OU。域(Domain)域是活動目錄的核心單元，是對象（如計算機(jī)、用戶、組織單位等）的容器，這些對象有相同的安全需求、復(fù)制過程和管理。域管理員具有管理本域的所有權(quán)利，如果其它的域顯式地賦予它管理權(quán)限，他還能夠訪問或管理其它的域。域樹(Tree)3.2.4活動目錄的組織結(jié)構(gòu)3.2項目知識準(zhǔn)備組織單位（Organizational3.2項目知識準(zhǔn)備通過組策略來實(shí)現(xiàn)用戶和計算機(jī)的集中配置和管理。這些設(shè)置包括安全選項、軟件安裝、腳本文件設(shè)置、桌面外觀和用戶文件管理等。組策略的所有配置信息都保存在組策略對象GPO（GroupPolicyObject）兩類GPO：系統(tǒng)內(nèi)建的默認(rèn)GPO默認(rèn)域策略（DefaultDomainPolicy）：該策略將影響域中的所有用戶和計算機(jī)。默認(rèn)域控制器組策略（DefaultDomainControllersPolicy）：通常只影響到域中所有的域控制器。用戶自定義GPO3.2.5域中組策略的應(yīng)用3.2項目知識準(zhǔn)備通過組策略來實(shí)現(xiàn)用戶和計算機(jī)的集中配置3.3項目實(shí)施1.安裝域控制器的條件計算機(jī)必須運(yùn)行WindowsServer2003標(biāo)準(zhǔn)版、企業(yè)版或數(shù)據(jù)中心版，Web版的計算機(jī)不能成為域控制器安裝者具有本地管理員權(quán)限至少具有250MB的磁盤空間。其中，200MB的空間用于存放活動目錄數(shù)據(jù)庫，50MB的空間用于存放活動目錄數(shù)據(jù)庫的事務(wù)日志文件。安裝域控制器的服務(wù)器上至少要有一個NTFS分區(qū)。有TCP/IP設(shè)置（IP地址、子網(wǎng)掩碼、DNS的IP等）域結(jié)構(gòu)的網(wǎng)絡(luò)中必須有DNS服務(wù)器與其相配合。DNS服務(wù)器的作用是定位域控制器的位置。任務(wù)3-1域控制器的安裝3.3項目實(shí)施1.安裝域控制器的條件任務(wù)3-1域控制器任務(wù)3-1域控制器的安裝2.域控制器的安裝過程：任務(wù)3-1域控制器的安裝2.域控制器的安裝過程：任務(wù)3-2計算機(jī)加入或脫離域計算機(jī)能加入域的先決條件是：該計算機(jī)與域控制器能連通在計算機(jī)上正確設(shè)置首選DNS服務(wù)器的IP地址(這里設(shè)為第一臺DC的IP)?？蛻舳?（物理機(jī)）客戶端2（虛擬機(jī)2）

IP：172.16.102.X+160/16DNS：172.16.102.X+80/16

IP：172.16.102.X/16域控制器（虛擬機(jī)1）

IP：172.16.102.X+80/16DNS：172.16.102.X+80/16加入域任務(wù)3-2計算機(jī)加入或脫離域計算機(jī)能加入域的先決條件是：客任務(wù)3-2計算機(jī)加入或脫離域任務(wù)3-2計算機(jī)加入或脫離域任務(wù)3-3創(chuàng)建與管理域用戶賬戶創(chuàng)建域用戶賬戶：任務(wù)3-3創(chuàng)建與管理域用戶賬戶創(chuàng)建域用戶賬戶：任務(wù)3-3創(chuàng)建與管理域用戶賬戶限制用戶登錄域的時間：任務(wù)3-3創(chuàng)建與管理域用戶賬戶限制用戶登錄域的時間：任務(wù)3-3創(chuàng)建與管理域用戶賬戶限制域用戶賬戶只能從特定的計算機(jī)上登錄域任務(wù)3-3創(chuàng)建與管理域用戶賬戶限制域用戶賬戶只能從特定的任務(wù)3-4創(chuàng)建與管理域組賬戶域組分類安全組通訊組（分布式組）實(shí)現(xiàn)與安全性有關(guān)的工作和功能，可以通過給安全組賦予訪問資源的權(quán)限來限制安全組的成員對域中資源的訪問。如：可設(shè)置對某個文件有“讀取”或“改寫”的權(quán)限。也可用在與安全無關(guān)的任務(wù)上，如：可以通過電子郵件軟件將電子郵件發(fā)送給安全組。用在與安全無關(guān)的任務(wù)上。不能被賦予訪問資源的權(quán)限。只能收發(fā)電子郵件，即分發(fā)組可以組織其成員的E-MAIL地址成為E-MAIL列表。利用這個特性使基于AD的應(yīng)用程序就可以直接利用分發(fā)組來發(fā)E-MAIL給多個用戶以及實(shí)現(xiàn)其他和E-MAIL列表相關(guān)的功能（例如在ExchangeServer2007/1010中使用）。本地域組全局組通用組作用范圍該組所在的域內(nèi)所有受信任的域所有受信任的域成員所有域的用戶賬戶、全局組、通用組，以及本域的域本地組本域的用戶賬戶和全局組所有域的用戶賬戶、全局組和通用組任務(wù)3-4創(chuàng)建與管理域組賬戶域組分類安全組通訊組（分布式任務(wù)3-5創(chuàng)建與管理組織單元組織單位（OU）——OU是一個容器，在OU中可以包含用戶、組等其他對象，也可以在OU中建立子OU。OU容納和組織對象的方式：按對象類型來劃分按企業(yè)的組織結(jié)構(gòu)來劃分；按地區(qū)來劃分；混合劃分方法任務(wù)3-5創(chuàng)建與管理組織單元組織單位（OU）——OU是一任務(wù)3-5創(chuàng)建與管理組織單元創(chuàng)建組織單位任務(wù)3-5創(chuàng)建與管理組織單元創(chuàng)建組織單位任務(wù)3-5創(chuàng)建與管理組織單元向組織單位添加對象任務(wù)3-5創(chuàng)建與管理組織單元向組織單位添加對象任務(wù)3-6組策略對象(GPO)的創(chuàng)建與配置創(chuàng)建和管理GPO的工具：【開始】→【管理工具】→【組策略管理】該工具可以完成對組策略的各種配置和管理，包括備份，還原和生成組策略報表。任務(wù)3-6組策略對象(GPO)的創(chuàng)建與配置創(chuàng)建和管理G任務(wù)3-6組策略對象(GPO)的創(chuàng)建與配置統(tǒng)一定制桌面環(huán)境步驟1：在域控制器或成員服務(wù)器的非系統(tǒng)磁盤(如:E盤)中建一個文件夾“share”→將統(tǒng)一的桌面壁紙文件(如:summer.jpg)放入“share”中→右擊該文件夾→在彈出的快捷菜單中選擇【屬性】→打開【文件共享】對話框,單擊【添加】前面的下拉按鈕并選擇【查找】選項→在打開的【選擇用戶或組】對話框中單擊【高級】按鈕→在打開的對話框中單擊【立即查找】按鈕,在【搜索結(jié)果】列表框中選擇“DomainUsers”組→兩次單擊【確定】按鈕→系統(tǒng)返回【文件共享】對話框,單擊“DomainUsers”組并設(shè)置其具有“讀者”的共享權(quán)限→單擊【共享】按鈕→單擊【完成】按鈕,如圖3-34所示。任務(wù)3-6組策略對象(GPO)的創(chuàng)建與配置統(tǒng)一定制桌面環(huán)任務(wù)3-6組策略對象(GPO)的創(chuàng)建與配置步驟2：依次單擊【開始】→【管理工具】→【組策略管理】→打開【組策略管理】窗口,在左窗格中展開“域”節(jié)點(diǎn)→右擊【組策略對象】→在彈出的快捷菜單中選擇【新建】→打開【新建GPO】對話框,在【名稱】編輯框中輸入組策略對象的名稱(如,“統(tǒng)一桌面”)→單擊【確定】按鈕,如圖3-35所示。任務(wù)3-6組策略對象(GPO)的創(chuàng)建與配置步驟2：依次單任務(wù)3-6組策略對象(GPO)的創(chuàng)建與配置2.配置GPO步驟1:進(jìn)入【組策略管理】窗口→在右窗格中右擊剛剛新建的【統(tǒng)一桌面】GPO→在彈出的快捷菜單中選擇【編輯】,如圖3-36所示。任務(wù)3-6組策略對象(GPO)的創(chuàng)建與配置2.配置GPO任務(wù)3-6組策略對象(GPO)的創(chuàng)建與配置步驟2:打開【組策略管理編輯器】窗口,在左窗格中,依次展開【用戶配置】→【策略】→【管理模板】→【桌面】→單擊【桌面】→在右窗格中右擊【啟用ActiveDesktop】→在快捷菜單中選擇【屬性】。任務(wù)3-6組策略對象(GPO)的創(chuàng)建與配置步驟2:打開【任務(wù)3-6組策略對象(GPO)的創(chuàng)建與配置步驟3:在打開的【啟用ActiveDesktop屬性】對話框中選擇【設(shè)置】選項卡→選擇【已啟用】→單擊【確定】,如圖3-38所示。任務(wù)3-6組策略對象(GPO)的創(chuàng)建與配置步驟3:在打開任務(wù)3-6組策略對象(GPO)的創(chuàng)建與配置步驟4:在圖3-37所示的右窗格中,雙擊【桌面墻紙】→在打開的【桌面墻紙屬性】對話框中單擊【已啟用】→