项目3_域网络构建与组策略应用（PPT37页)

WindowsServer2008网络组建项目化教程第1页《WindowsServer2008网络组建项目化教程》教材配套的光盘为师生双方提供了丰富的教学资源。主要包括:课程标准(教学大纲)、教学设计方案(教案)、PPT课件、项目习作参考答案、配套软件清单及下载地址、模拟试卷及评分标准和参考答案(4套)、网络管理员职责、相关认证考试介绍与往年试卷、知识拓展资料、网络工程案例与解决方案。教材主编：夏笠芹方颂出版社：WindowsServer2008网络组建项目化教程“十二五”职业教育国家规划教材立项WindowsServer2008网络组建项目化教程第2页企业要构建一个办公网络，考虑到业务发展的需要，以及网络的安全性，需要对重要的公共资源和计算机使用人员的信息实现集中管理。项目背景项目3域网络构建与组策略应用WindowsServer2008网络组建项目化教程第3页项目导入大、中型企业网络有几百到上千的用户，资源也比较分散，这时候如何管理？“工作组”和“域”是Windows网络的两种管理方式。工作组每一台计算机都独立维护自己的资源，不能集中管理所有网络资源每一台计算机都在本地存储用户的账户一个账户只能登录到一台计算机工作组中的计算机的地位都是平等的，对于其他计算机来说既是服务器，也是客户机工作组的网络规模一般少于10台计算机域将网络中多台计算机逻辑上组织到一起，进行集中管理，这种区别于工作组的逻辑环境叫做域域是组织与存储资源的核心管理单元WindowsServer2008网络组建项目化教程第4页项目导入工作组域SAMSAMSAM单用户帐号ActiveDirectoryWindowsServer2008网络组建项目化教程第5页项目3域网络构建与组策略应用知识目标了解：域的概念、特点，活动目录的结构，域用户账户、域组账户和组织单位的概念、特点和用途熟悉：域控制器的条件，活动目录的管理与维护，域组账户的使用原则掌握：创建域，将计算机加入或脱离域，将域控制器降级为独立服务器或成员服务器；域用户账户、域组账户和组织单位的创建与管理；组策略的应用。能力目标会创建域，能将计算机加入或脱离域会创建与管理域用户账户、域组账户和组织单元能利用组策略技术对域中的计算机进行一些常用设置教学目标WindowsServer2008网络组建项目化教程第6页3.2项目知识准备活动目录是存储网络上对象的相关信息并使该信息可供用户和网络管理员使用的目录服务。目录是一个数据库，用于保存与网络资源相关的信息结构、资源位置、安全信息及管理信息等。如：计算机、用户、组、打印机等的名称、描述、地理位置、访问权限等信息。目录服务是使目录中所有信息和资源发挥作用的服务。服务的主要表现是：网络中的所有用户和应用程序只需提供很少的信息就能准确定位到这些实体资源，保证用户能够快速访问。目录服务在网络安全方面也扮演着中心授权机构的角色，从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。域（Domain）是共用一个“目录服务数据库”的安全边界的计算机的集合。3.2.1认识Windows的域WindowsServer2008网络组建项目化教程第7页3.2项目知识准备教科书的目录网络的（活动）目录AD存储对象章、节的名称；页号基本单元（对象）：用户、组、计算机、文件、打印机、联系人等；综合单元：组织单元、域、域树、域林等提供的服务让读者快速查找、定位书上的信息对网上的各种资源实现集中统一的单点管理，让管理员和用户能够便捷地查找、定位和管理网上各类对象的信息，进儿使这些信息充分发挥作用。活动目录也作为网络安全的集中管理机构，使得操作系统可以验证用户的身分并控制用户对网络资源的访问。存储结构书的前几页域控制器DC，结构化的数据仓库大型数据库扩展性静态——不能增加条目动态／活动——①可以随着网络资源的增加而动态地进行扩展；②提供对网上资源实施系统管理、安全管理和互操作性等功能服务。3.2.1认识Windows的域3.2项目知识准备域控制器在一个域中，活动目录数据库必须存储在域中特定的计算机上，这样的计算机被称为域控制器（DomainController，简写为DC）。一个域可以有一个或多个域控制器，各域控制器是平等的。成员服务器那些安装了服务器版操作系统（如：WindowsServer2003或Windows2000Server），但未安装AD服务且加入域的计算机。工作站所有安装WindowsNTWorkstation、Windows2000Professional或WindowsXPProfessional系统，且加入域的计算机3.2.2域中计算机的角色WindowsServer2008网络组建项目化教程第9页3.2项目知识准备有许多计算机并不属于任何一个域，即以工作组模式运行着，从功能上来讲，也可将其分为两种角色：独立服务器安装了各种版本的WindowsServer，但未加入域。它一旦加入域中，其角色便转化为“成员服务器”。一般客户端计算机无论执行何种操作系统，只要未加入域，且不是独立服务器的计算机，都归为此类。它一旦加入域中，其角色便是“工作站”。3.2.2域中计算机的角色WindowsServer2008网络组建项目化教程第10页3.2项目知识准备集中管理：域中所有计算机共享了一个活动目录数据库，里面包含了整个域中的所有的资源信息、账户信息与安全信息。安全级别较高：由于域中所有安全信息都集中存储在活动目录数据库中，所以管理员可以通过指定强有力的安全策略来保证整个域的安全。便于用户访问域中的资源：在域的活动目录数据库中，管理员可以创建“域用户账户”。一个域中无论有多少台计算机，用户只要拥有域用户账户，便可访问域中所有计算机上允许访问的资源，即域用户账户对资源的访问范围可以是整个域，而非局限在一台计算机上。域用户账户可以在加入域的任何一台计算机上登录，从而使用、访问该计算机上资源。3.2.3域的特点WindowsServer2008网络组建项目化教程第11页3.2项目知识准备组织单位（OrganizationalUnit，简称OU）OU是组织、管理一个域内的对象的容器，它能包容用户账户、用户组、计算机、应用程序、打印机和其它的OU。域(Domain)域是活动目录的核心单元，是对象（如计算机、用户、组织单位等）的容器，这些对象有相同的安全需求、复制过程和管理。域管理员具有管理本域的所有权利，如果其它的域显式地赋予它管理权限，他还能够访问或管理其它的域。域树(Tree)3.2.4活动目录的组织结构WindowsServer2008网络组建项目化教程第12页3.2项目知识准备通过组策略来实现用户和计算机的集中配置和管理。这些设置包括安全选项、软件安装、脚本文件设置、桌面外观和用户文件管理等。组策略的所有配置信息都保存在组策略对象GPO（GroupPolicyObject）两类GPO：系统内建的默认GPO默认域策略（DefaultDomainPolicy）：该策略将影响域中的所有用户和计算机。默认域控制器组策略（DefaultDomainControllersPolicy）：通常只影响到域中所有的域控制器。用户自定义GPO3.2.5域中组策略的应用WindowsServer2008网络组建项目化教程第13页3.3项目实施1.安装域控制器的条件计算机必须运行WindowsServer2003标准版、企业版或数据中心版，Web版的计算机不能成为域控制器安装者具有本地管理员权限至少具有250MB的磁盘空间。其中，200MB的空间用于存放活动目录数据库，50MB的空间用于存放活动目录数据库的事务日志文件。安装域控制器的服务器上至少要有一个NTFS分区。有TCP/IP设置（IP地址、子网掩码、DNS的IP等）域结构的网络中必须有DNS服务器与其相配合。DNS服务器的作用是定位域控制器的位置。任务3-1域控制器的安装WindowsServer2008网络组建项目化教程第14页任务3-1域控制器的安装2.域控制器的安装过程：WindowsServer2008网络组建项目化教程第15页任务3-2计算机加入或脱离域计算机能加入域的先决条件是：该计算机与域控制器能连通在计算机上正确设置首选DNS服务器的IP地址(这里设为第一台DC的IP)。客户端1（物理机）客户端2（虚拟机2）IP：172.16.102.X+160/16DNS：172.16.102.X+80/16IP：172.16.102.X/16域控制器（虚拟机1）IP：172.16.102.X+80/16DNS：172.16.102.X+80/16加入域WindowsServer2008网络组建项目化教程第16页任务3-2计算机加入或脱离域WindowsServer2008网络组建项目化教程第17页任务3-3创建与管理域用户账户创建域用户账户：WindowsServer2008网络组建项目化教程第18页任务3-3创建与管理域用户账户限制用户登录域的时间：WindowsServer2008网络组建项目化教程第19页任务3-3创建与管理域用户账户限制域用户账户只能从特定的计算机上登录域WindowsServer2008网络组建项目化教程第20页任务3-4创建与管理域组账户域组分类安全组通讯组（分布式组）实现与安全性有关的工作和功能，可以通过给安全组赋予访问资源的权限来限制安全组的成员对域中资源的访问。如：可设置对某个文件有“读取”或“改写”的权限。也可用在与安全无关的任务上，如：可以通过电子邮件软件将电子邮件发送给安全组。用在与安全无关的任务上。不能被赋予访问资源的权限。只能收发电子邮件，即分发组可以组织其成员的E-MAIL地址成为E-MAIL列表。利用这个特性使基于AD的应用程序就可以直接利用分发组来发E-MAIL给多个用户以及实现其他和E-MAIL列表相关的功能（例如在ExchangeServer2007/1010中使用）。本地域组全局组通用组作用范围该组所在的域内所有受信任的域所有受信任的域成员所有域的用户账户、全局组、通用组，以及本域的域本地组本域的用户账户和全局组所有域的用户账户、全局组和通用组WindowsServer2008网络组建项目化教程第21页任务3-5创建与管理组织单元组织单位（OU）——OU是一个容器，在OU中可以包含用户、组等其他对象，也可以在OU中建立子OU。OU容纳和组织对象的方式：按对象类型来划分按企业的组织结构来划分；按地区来划分；混合划分方法WindowsServer2008网络组建项目化教程第22页任务3-5创建与管理组织单元创建组织单位WindowsServer2008网络组建项目化教程第23页任务3-5创建与管理组织单元向组织单位添加对象WindowsServer2008网络组建项目化教程第24页任务3-6组策略对象(GPO)的创建与配置创建和管理GPO的工具：【开始】→【管理工具】→【组策略管理】该工具可以完成对组策略的各种配置和管理，包括备份，还原和生成组策略报表。WindowsServer2008网络组建项目化教程第25页任务3-6组策略对象(GPO)的创建与配置统一定制桌面环境步骤1：在域控制器或成员服务器的非系统磁盘(如:E盘)中建一个文件夹“share”→将统一的桌面壁纸文件(如:summer.jpg)放入“share”中→右击该文件夹→在弹出的快捷菜单中选择【属性】→打开【文件共享】对话框,单击【添加】前面的下拉按钮并选择【查找】选项→在打开的【选择用户或组】对话框中单击【高级】按钮→在打开的对话框中单击【立即查找】按钮,在【搜索结果】列表框中选择“DomainUsers”组→两次单击【确定】按钮→系统返回【文件共享】对话框,单击“DomainUsers”组并设置其具有“读者”的共享权限→单击【共享】按钮→单击【完成】按钮,如图3-34所示。WindowsServer2008网络组建项目化教程