活动目录-06组策略之软件发布

活动目录期末考试课程活动目录实验名称活动目录综合实验专业计算机科学与技术班级计科121 指导教师张霖学号 201216021103 学生姓名邢再寿昆明理工大学津桥学院2016年 6 月 17 日目录一、概述 (1)1、公司简单介绍 (1)2、基本要求 (1)二、公司设计内容 (3)1、域设计 (3)2、IP地址 (12)3、域组、帐户管理 (12)4、组策略管理 (16)5、软件部署、限制策略 (20)6、操作主机管理 (24)7、将资源发布到Active Directory (30)三、总结 (33)1、步骤及过程 (33)2、体会及收获 (34)3、参考资料 (34)四、教师评语 (34)五、成绩 (34)一、概述1、公司简单介绍XX集团是一家电子设备集团企业，共有两大分公司（研发和制造）。

通过公司合理的运营和管理，发展迅速，员工人数已经有3000人左右。

为了满足公司未来的发展和企业运营的需求，公司决定重新部署企业的网络，计划部署一个由约2500台计算机组成的局域网，用于完成企业的数据通信和资源共享。

研发公司（上海）下设技术开发部、信息中心和技术支持部。

制造公司下设生产分公司（浙江）和销售分公司（上海），生产分公司下设生产一部、二部，销售分公司下设华东、华南、华中、其它和物流部。

针对以上情况，可利用windows Server 2003的“域”，以及OU可以使网络结构和公司的管理模型完全匹配。

2、基本要求2.1域：（按要求绘制域结构图）a)采用两个域林结构，分别用于研发和制造，制造下面有子域生产和销售。

b)为保证可靠性，每个域需要安装2台域控制器。

c)建立林信任，使得研发、制造公司的用户可以访问另一个林的资源。

d)完成Active Directory的复制和部分。

2.2 IP地址：e)地址规划（应包含自己学号的后三位）f)网关、DNS设置2.3 域组、帐户管理：g)为每个部门创建全局组。

h)员工一人一个帐户，按部门管理帐户（应有自己姓名的账户）。

活动目录详解(基础篇)Windows 2000活动目录详解我们知道WIN2K系统最大的突破性和成功之一就在于它全新引入的“活动目录（Active Directory）服务”，使得WIN2K系统与Internet上的各项服务和协议更加联系紧密，因为它对目录的命名方式成功地与”域名“的命名方式一致，然后通过DNS进行解析，使得与在Internet上通过WINS解析取得一致的效果。

活动目录也说明了Microsoft在网络结构方面的策略转移，虽然在以前NT时代也有部分产品（如EXCHANGE SERVER、IIS等）提供过类似于活动目录的服务，然而活动目录作为一个全新的综合服务方式是在WIN2K的诞生后随之而来的。

活动目录的身影似乎在整个WIN2K系统中无处不在。

然而要真正了解“活动目录”的方方面面又谈何容易，下面就想通过一些通俗的讲解花几个篇章对活动目录的各主要方面作一详尽的分析，希望对那些对WIN2K的活动目录还存有畏惧心理的新手一个全面认识的机会。

一、活动目录的由来谈到活动目录最使人容易想起的就是DOS下的“目录”、“路径”和Windows9X/ME下“文件夹”，那个时候的“目录”或“文件夹”仅代表一个文件存在磁盘上的位置和层次关系，一个文件生成之后相对来说这个文件的所在目录也就固定了（当然可以删除、转移等，现在不考虑这些），也就是说它的属性也就相对固定了，是静态的。

这个目录所能代表的仅是这个目录下所有文件的存放位置和所有文件总的大小，并不能得出其它有关信息，这样就影响到了整体使用目录的效率，也就是影响了系统的整体效率，使系统的整个管理变得复杂。

因为没有相互关联，所以在不同应用程序中同一对象要进行多次配置，管理起来相当繁锁，影响了系统资源的使用效率。

为了改变这种效率低下的关系和加强与Internet上有关协议的关联，Microsoft公司决定在WIN2K中全面改革，也就是引入活动目录的概念。

理解活动目录的关键就在于“活动”两个字，千万不要将“活动”两个字去掉而仅仅从“目录”两个字去理解，那你我理来理去一定还是不能脱离原来在DOS下目录或Windows9x下的文件夹，正因为这个目录是活动的，所以它是动态的，它是一种包含服务功能的目录，它可以做到“由此及彼”的联想、映射，如找到了一个用户名，就可联想到它的账号、出生信息、E-mail、电话等所有基本信息，虽然组成这些信息的文件可能不在一块。

组策略GPO设置
实验报告
一、实验目的
1) 熟悉组策略各项设置
二、准备工作
1) VMware虚拟机
三、实验步骤、内容及实验数据报告
首先打开VMware虚拟机软件，并打开两台虚拟机设置成自定义网卡模式选择同一个网卡。

设置服务器的IP地址，并把
DNS服务器指向自己
设置客户机的IP地址并把
DNS服务器指向服务器的
IP
再服务器运行对话框中输入DCPROMO安装活动目录
选择在新林中新建域
设置目录服务还原模式的
管理员密码
开始安装，完成安装后计算机自动重新启动切换到客户机桌面并右击计算
机选择属性，点击改变设置
改按钮
算机后成功加入域
打开组策略管理
右击域名并选择“在这个域中创建GPO…”
设置域GPO名称，并确定
第一步：依次选择计算机配置--策略—管理模板—系统第二步选择显示“关闭事件跟踪程序”
第一步：选择用户配置
—管理模板—桌面
第二步：选择删除桌面上的计算机图标
右键单击SCB OU 并选择“在这个域中创建GPO …. ”
选择已启用，并输入墙纸的共享UNC 路径因未创建共享，以下为创建共享文件夹实验
将AA 文件夹设置共享并设置 权限
给SCB 新建GPO2
管理模板—桌面 策略—Array
第二步：选择删除 桌面上的计算机图 标。

Active Directory部署之完全手册本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。

首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下: 机器名:AmericanIP:192.168.0.253子网掩码:255.255.255.0DNS: 192.168.0.253 (因为我要把这台机器配置成DNS服务器)点开始—运行输入dcpromo:待活动目录安装向导启动:点击下一步:这里是一个兼容性的要求，Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器，我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。

然后点击“下一步”：在这里由于这是第一台域控制器，所以选择第一项:“新域的域控制器”，然后点“下一步”:既然是第一台域控，那么当然也是选择“在新林中的域”, 然后点“下一步”:我们把DNS Server与域控制器集成是有很多好处：1、基于Active Directory 功能的多主机更新和增强的安全性。

2、只要将新的区域添加到Active Directory 域，区域就会自动复制并同步至新的域控制器。

3、通过将DNS 区域数据库的存储集成到Active Directory 中，可以针对网络简化数据库复制规划。

4、与标准DNS 复制相比，目录复制更快捷、更有效。

5、该目录中只能存储主要区域。

DNS 服务器不能在目录中存储辅助区域。

因此，它必须在标准文本文件中存储这些数据。

如果将所有的区域都存储在Active Directory 中，Active Directory 的多主机复制模式将不再需要辅助区域。

OK，我们默认然后点“下一步”：在这里我们输入我们预先想好的域名：然后点“下一步”：这里是指定NetBIOS名，注意千万别和下面的客户端冲突，也就是说整个网络里不能再有一台PC的计算机名叫“demo”，虽然这里可以修改，但个人建议还是采用默认的好，省得以后麻烦。

下发域控组策略关于下发域控组策略的过程和相关内容。

在本文中，我们将逐步回答有关此主题的问题，并提供有关如何在域控制器上下发组策略的详细说明。

第一节：什么是域控制器和组策略在开始讨论如何下发域控制器（DC）组策略之前，我们需要了解域控制器和组策略的基本概念。

1. 域控制器（Domain Controller）：域控制器是在Microsoft Windows Server环境中用于实施和管理基于域（Domain）的网络的服务器。

域控制器存储了有关网络中的用户账户、计算机和其他网络资源的信息，并被用于身份验证和授权。

2. 组策略（Group Policy）：组策略是一种在Windows环境中实施和管理网络安全和配置的方法。

组策略允许IT管理员为其域中的用户和计算机设置和强制执行特定的安全设置、应用程序设置、网络连接设置等。

第二节：如何下发域控制器组策略1. 准备工作在下发组策略之前，需要先准备好以下内容：- 管理员账户：需要使用具有适当权限的域管理员账户进行组策略管理。

- 域环境：需要部署一个域控制器并创建一个活动目录（Active Directory）域，以组织和管理用户和计算机账户。

- 组策略对象（Group Policy Object，GPO）：GPO是组策略的容器，其中包含了一系列组策略设置。

可以使用“组策略管理”工具创建和编辑GPO。

2. 创建和编辑GPO创建和编辑GPO的步骤如下：- 打开“组策略管理”工具（可以在域控制器上的“管理工具”中找到）。

- 在“组策略管理”界面中，展开“林”>“域”>“域名”>“默认域策略”。

- 右键单击“默认域策略”，选择“编辑”。

- 在“组策略管理编辑器”界面中，可以编辑各种组策略设置，如安全设置、软件设置、Windows设置等。

3. 配置组策略设置通过编辑GPO，可以配置各种组策略设置，例如密码策略、桌面设置、网络设置等。

- 密码策略：可以设置密码长度、复杂性要求、账户锁定策略等。

第1章网络操作系统导论一．填空题（1）操作系统是用户与计算机之间的接口，网络操作系统可以理解为网络用户与计算机网络之间的接口。

（2）网络通信是网络最基本的功能，其任务是在源主机和目标主机之间实现无差错的数据传输。

（3）1964年，巴兰（Baran）在美国兰德（Rand）公司的“论分布式通信”的研究报告中首次提出了分组的概念。

（4）Web服务、大型数据库服务等都是典型的客户/服务器模式，是近年来流行的应用模式。

二、问答题（1）常用的网络操作系统有哪几种？各自的特点是什么？答：Unix,Linux,Netware,windows NT,/2000,windows server 2003Unix：1模块化的系统设计2逻辑化文件系统3开放式系统4优秀的网络功能5优秀的安全性6良好的移植性7可以在任何档次的计算机上使用，Unix可以运行在笔记本电脑到超级计算机上。

Linux：1完全遵循POSLX标准2真正的多任务、多用户系统3可运行于多种硬件平台4对硬件要求较低5有广泛的应用程序6设备独立性7安全性8良好的移植性9具有庞大且素质较高的用户群Netware：1提供简化的资源访问和管理2确保企业数据资源的完整性和可用性3以实时方式支持在中心位置进行关键性商业信息的备份与恢复4支持企业网络的高可扩展性5包括iFolder功能6包含开放标准及文件协议7使用了名为IPP的开放标准协议Windows NT：采用多任务、多流程操作及多处理器系统（SMP）Windows 2000 server：包含了对远程管理所作的大量改进，其中包括新的管理员委托授权支持、终端服务、Microsoft管理控制台等Windows server 2003：是迄今为止提供的最快、最可靠和最安全的windows服务器操作系统。

Windows server 2003通过提供集成结构，用于确保商务信息的安全性；提供可靠性、可用性和可延伸性，提供用户需要的网络结构；通过提供灵活易用的工具，有助于使用户的设计和部署与单位和网络的要求相匹配；通过加强策略、使任务自动化以及简化升级来帮助用户主动管理网络；通过让用户自行处理更多的任务来降低支持开销（2）网络操作系统有哪些基本功能？答：共享资源管理、网络通信、网络服务、网络管理、互操作能力（3）选择网络操作系统构建计算机网络时应考虑哪些问题？答：网络操作系统的选择应遵循以下一般原则：1标准化2可靠性3安全性4网络应用服务的支持5易用性选择网络操作系统时还应考虑以下因素：1首先要考虑的是成本因素2其次要考虑网络操作系统的可集成性因素3可扩展性是选择网络操作系统时要考虑的另外一个因素。

下发域控组策略域控制器(Group Policy)是指一种在活动目录域中用于自动化和集中管理部分或全部计算机和用户计算机设置的机制。

组策略允许域管理员通过一组策略设置来集中配置域中的计算机和用户的设置，以提高安全性、统一性和可管理性。

下发域控组策略是指将组策略应用到域中的计算机和用户上，以实现所需的设置。

域控组策略的下发方式主要有两种：启用默认组策略和创建自定义组策略：1. 启用默认组策略：当创建域控时，活动目录会自动创建若干个默认组策略对象，默认组策略包含一系列为域中计算机和用户提供基本设置的策略。

管理员可以通过编辑默认组策略，修改其中的设置，然后将其下发到域中的计算机和用户。

默认组策略的设置可以通过组策略管理器(GPMC)进行查看和编辑。

2. 创建自定义组策略：除了使用默认组策略，管理员还可以创建自定义组策略对象。

自定义组策略可以根据特定需求创建，更具灵活性。

管理员可以选择性地将自定义组策略链接到域中的组织单元(OU)或域中的计算机和用户上。

在进行域控组策略的下发时，需要注意以下几点：1. 组织单元(OU)的设计：域中的组织单元是用于进行组策略下发的关键对象。

管理员应该根据组织结构和管理需求，合理划分OU，并将组策略链接到相应的OU上，确保正确的策略应用。

2. 组策略的优先级：在域中，可能存在多个组策略对象，而且某些策略之间可能存在冲突。

在这种情况下，组策略的优先级非常重要。

管理员需要了解组策略的策略处理顺序，确保某个设置不会被较低优先级的策略所覆盖。

3. 组策略的继承和阻止：组策略默认是会继承到子对象的，但可以通过阻止继承来防止某个对象应用某个策略。

管理员需要根据具体情况，合理设置继承和阻止，以确保策略按预期生效。

4. 组策略的更新：组策略是通过域控制器自动推送到域中的计算机和用户上的。

当管理员更新了组策略时，域控制器将自动下发最新的策略设置，然后客户端会在下次进行组策略更新时自动应用新的设置。

活动目录系列之四：脚本和软件限制策略的应用在域环境中，组策略显得尤为重要，作为一个域管理员，要时刻有效的管理域中的成员，就必须对组策略熟之又熟，它是我们域中的一个十分强大的管理机制，我们要学懂它，恐怕还得多下点功夫，下面我单把脚本的应用和软件限制策略作一下简单的叙述：1、脚本。

我们知道，在组策略中分为两大模块：计算机配置和用户配置。

对计算机做配置只是作用于某台计算机，对用户配置做配置只是作用于某用户，不过，计算机配置的优先级是大于用户配置的优先级的，明白了这点，我们就可以有目的的去做配置了。

首先，我在域中新建了一个组织单元“精英计划”，在“精英计划”下面又建了两个用户。

我现在想对张三和李四同时做脚本策略，那么我们就对“精英计划”这个组织单元做策略好了。

点击“精英计划”属性，点组策略。

然后新建策略点编辑，既然对用户对策略，我们就对“用户配置”做配置。

我们先点开“登录”，然后点“添加”这时我手动作一个“登录”脚本好了，把这个做好的脚本粘贴到上面的面板中好了，我们接着点“确定”就可以了，我们用同样的方法做一个用户注销脚本不同的是在用户配置中点击“注销”最后，等配置好了我们来刷新组策略（刷新策略有利于策略及时生效）到用户机器上看一下结果用账号“张三”登录到域中登录后就会出现“登录脚本”提示了然后我们来注销“张三”这个用户2. 软件限制策略首先新建一条策略编辑该策略（我们还是对用户进行配置）点击“创建软件限制策略”，我们可以看到“安全级别”和“其他规则”，“安全级别”定义了策略的表现形式（“不允许的”和“不受限的”），“其他规则”就包含了软件限制策略的四条规则（证书规则、哈希规则、Internet区域规则和路径规则）。

下面我就“哈希规则”做一下演示：新建“哈希规则：我们看到需要对某个文件哈希，浏览文件，我们下面就对用户的“cmd.exe”文件哈希，不过在这里要提示一下，用户一般为xp用户，其C:\windows\system32\cmd.exe文件和windows2003的cmd.exe文件是不同的，既然要对用户做软件限制，那我们必须将xp系统的cmd.exe文件先拷贝到服务器上，然后再浏览的这个文件的所在，就可以了！我们先把xp系统的cmd.exe文件找到：把这个文件拷贝到域服务器上，我放到桌面好了：这时浏览到桌面的cmd.exe文件后可以看见已经变成了哈希函数，安全级别为“不允许的”，即是说用户无法使用cmd.exe这个程序。