win教案511章.docx
- 文档编号:30489382
- 上传时间:2023-08-15
- 格式:DOCX
- 页数:111
- 大小:290.96KB
win教案511章.docx
《win教案511章.docx》由会员分享,可在线阅读,更多相关《win教案511章.docx(111页珍藏版)》请在冰豆网上搜索。
win教案511章
第5章组织单位对象的访问管理
本章概述
本章节主要是和大家介绍了对组织单位对象的访问进行管理时所需的知识和技能。
通过本章节的学习,我们可以了解组织单位的不同角色。
同时可以学会如何进行修改ActiveDirectory对象权限的技能,并能委派组织单位的控制权限。
教学目标
●了解组织单位的不同角色。
●掌握修改ActiveDirectory对象权限的技能。
●掌握委派组织单位的控制权限的技能。
教学重点
●我们在AD中会有许多不同的对象,例如:
用户,计算机,打印机等,我们必须要对它们的权限做一定的规划和限制。
所以学会修改ActiveDirectory对象的权限尤其重要。
教学难点
●委派的概念对于初学者来说不容易弄清楚,需要老师详细讲解。
教学资源
课本
知识点
5.1修改ActiveDirectory对象的权限
5.2组织单位的控制委派
实验
组织单位中对象的访问管理
练习1委派管理控制
练习2记录ActiveDirectory对象的安全设置
习题
习题1对应知识点修改ActiveDirectory对象的权限
习题2对应知识点修改ActiveDirectory对象的权限
习题3对应知识点修改ActiveDirectory对象的权限
习题4对应知识点组织单位的控制委派
教学指导手册包
新版幻灯片
光盘:
\Powerpnt\2274_2275_05.ppt
习题解答
光盘:
\Tprep\answer
多媒体视频
光盘:
\Powerpnt\2274_7_A_OU.html
先修知识
在正式开始学习本章内容以前,学生须具备下列知识基础。
先修知识
推荐补充
了解2000内核类的Windows操作系统的基础知识
《Windows2000初级管理》
建议学时
课堂教学(2课时)+实验教学(1课时)
教学过程
5.1修改ActiveDirectory对象的权限
教学提示:
本节主要达到以下目的:
●了解ActiveDirectory对象的权限及对象权限的特性。
(略讲)
●掌握ActiveDirectory对象权限的继承。
(略讲)
●掌握修改ActiveDirectory对象的权限。
(精讲+演示)
教学内容
教学方法
教学提示
讲授:
ActiveDirectory对象权限通过对各个对象或对象属性的访问和访问类型控制,为计算机资源提供安全保护。
可以使用权限为组织单位或组织单位的层次结构分配管理特权,从而对网络访问进行管理,也可以使用权限为特定用户或组分配单一对象的管理特权。
其实在前面的课程中我们也大面积的说到权限之类的话题。
权限其实是为了限制计算机对象在网络中所能做的操作。
就好象我们汽车的通行证一样。
进入工地,你必须出示通行证,要不,你就不具备进入工地的权限。
标准权限是最经常被配置的权限,由一组特殊权限构成。
管理员可以使用特殊权限更为恰当地控制授予用户的访问类型。
标准权限包括:
●完全控制
●写入
●读取
●创建所有子对象
●删除所有子对象
只有在管理员或对象所有者为对象授予权限之后,用户才可以访问对象。
这里就牵扯到授权访问的问题,我们现在来看一下书上是如何讲解:
讲解课本5.1.1
阅书:
5.1.1
幻灯:
第5~7页
讲授:
当我们看过了AD的部分权限之后,我们会发觉其和NTFS权限类似,但前者仍然有其独特之处。
ActiveDirectory对象权限能够设置为允许或拒绝、隐式拒绝或显式拒绝、标准权限或特殊权限,还可设置为对象级权限或从父对象处继承权限。
在这里我想和大家说一下继承的概念,首先我们从生活化的例子里来说,每个人都会从自己的父母身上继承来一些特性,例如长的比较象啊,性格比较接近啊等。
这其实就是我们所说的最多的继承。
在计算机世界里,“继承”是面向对象软件技术当中的一个概念。
如果一个类A继承自另一个类B,就把这个A称为"B的子类",而把B称为"A的父类"。
继承可以使得子类具有父类的各种属性和方法,而不需要再次编写相同的代码。
在令子类继承父类的同时,可以重新定义某些属性,并重写某些方法,即覆盖父类的原有属性和方法,使其获得与父类不同的功能。
具体的内容我们现在来看书上是如何讲解的:
讲解课本:
5.1.2
阅书:
5.1.2
幻灯:
第8~9页
讲授:
前面一章我们已经说明了继承的概念,现在我们来看一下继承有什么优点,说的最直接的,其实继承可以帮助我们减少一些不必要的重复劳动,但又给我们创造新事物带来灵活性和便利。
WindowsServer2003中的权限继承从以下几方面简化了权限管理工作:
●创建子对象时,不需要再为子对象人工配置权限
●应用于父对象的权限将完全应用于所有子对象
●当需要修改容器中所有对象的权限时,只需修改父对象的权限,子对象会自动继承更改
讲解课本5.1.3
阅书:
5.1.3
幻灯:
第10~11页
讲授:
修改ActiveDirectory对象会影响权限继承。
当组织或管理职能发生变化时,系统管理员需要在ActiveDirectory中的不同组织单位间移动对象。
移动对象时,对象的继承权限将会改变。
因此,在修改ActiveDirectory对象前必须完全了解修改的后果。
这就好象,你在A学校,你需要遵守A学校的校规,但你转学到了B学校,你将不会被要求遵守A学校的校规了,但你却被要求遵守B学校的校规。
书上将会说到移动对象会影响和阻止权限继承的相关概念。
讲解课本5.1.4
阅书:
5.1.4
幻灯:
第12页
演示:
说了这么多,大家现在来看一下我是如何修改ActiveDirectory对象的权限的。
演示课本:
5.1.5
课堂演示
幻灯:
第13页
讲授:
可以使用“有效权限”工具确定ActiveDirectory对象的有效权限。
“有效权限”工具计算指定用户或组被授予的权限。
该计算考虑组成员身份的有效权限,以及从父对象继承的任何权限。
讲解课本:
5.1.6
阅书:
5.1.6
幻灯:
第14~16页
演示:
现在我们来看一下确定ActiveDirectory对象有效权限的相关操作:
演示课本:
5.1.7
课堂演示
幻灯:
第17页
演示:
现在大家根据我们前面说过的内容,进行一下练习,在练习之前,大家请先看我演示一次:
演示课本:
5.1.8
课堂演示
幻灯:
第18页
按照书本内容进行演示。
5.2组织单位的控制委派
教学提示:
本节主要达到以下目的:
●理解组织单位控制委派的含义及“控制委派向导”的用途和功能。
(略讲)
●使用“控制委派向导”委派组织单位的控制权限。
(略讲)
教学内容
教学方法
教学提示
讲授:
控制委派是为其他用户、组或组织分配管理ActiveDirectory对象的责任。
使用委派控制,就不再需要拥有广泛授权的多重管理账户。
委派,我们也可以理解成我们日常生活中的委托,比如你去不了银行了,委托你的妈妈去帮你到银行里存钱。
这就是委托。
通过将日常管理任务分配给多个用户,ActiveDirectory中的委派管理有助于减轻网络管理的负担。
通过委派管理,可以将基本的管理任务分配给常规用户或组,而将域范围和目录林范围的管理任务分配给“DomainAdmins”组和“EnterpriseAdmins”组中受信任的用户。
通过委派管理,可以为组织中的组分配更多控制本地网络资源的权限。
另外,也可以通过限制管理员组的成员身份来保护网络免遭意外或恶意破坏。
可以通过下列三种方法定义管理控制的委派:
●更改特定容器的属性
●在组织单位中创建和删除特定类型的对象,如用户、组或打印机
●更新组织单位中特定类型对象的特定属性,例如,可以在组织单位中的用户对象或所有对象上委派设置密码的权限
讲解课本:
5.2.1
阅书:
5.2.1
幻灯:
第21~24页
讲授:
可以使用“控制委派向导”选择需委派控制的用户或组,也可以为用户授予控制组织单位和对象以及访问和修改对象的权限。
演示课本+讲解课本:
5.2.2
课堂演示
阅书:
5.2.2
幻灯:
第25页
根据书本内容进行一边演示一边讲解。
演示:
现在大家再来看看我是怎么进行组织单位控制委派的操作:
演示课本:
5.2.3
课堂演示
幻灯:
第26~27页
根据书本内容进行演示。
演示:
现在大家根据我们前面说过的内容,进行一下练习,在练习之前,大家请先看我演示一次:
演示课本:
5.2.4
课堂演示
幻灯:
第28页
按照书本内容进行演示。
总结
经过本章的学习,我们了解了下列的知识和内容:
●了解组织单位的不同角色。
●掌握修改ActiveDirectory对象的权限的技能。
●掌握委派组织单位的控制权限的技能。
在第6章中,我们将学习实现组策略的知识,了解如何使用WindowsServer2003进行实现组策略。
随堂练习
1.你是公司网络的管理员。
网络中有一个活动目录域,所有网络服务器使用WindowsServer2003系统,所有的客户端计算机使用WindowsXPProfessional。
现在要求只有在工作时间用户才能登录到域,工作时间后登录到域的用户会自动断开网络连接,不能访问网络资源。
你应当采用哪两个步骤?
A.配置默认域策略组策略对象(GPO)将所有用户的日程优先级提高
B.配置默认域策略组策略对象(GPO)强制所有用户在他们的登录时间过期后注销
C.选择所有的用户账户。
修改账户属性将登录时间限制为工作时间
D.创建域用户帐号Temp。
修改账户属性将登录时间限制为工作时间
E.修改默认域策略组策略对象(GPO)的DACL给User组允许“读取”权限
答案:
B,C
2.你负责管理ProductionOU。
分配给你该OU的允许“完全控制”权限。
所有ProductionOU中的计算机对象由另一个管理员Tom负责。
ProductionOU包括计算机账户,该账户在一台安装WindowsServer2003系统的计算机Server1上使用。
Tom使用组策略对象(GPO)对Server1进行设置。
这个GPO是另一个域管理员创建的。
你想要让Tom将已有的GPO连接到ProductionOU。
你不能给Tom除了完成该任务所需要的额外权限。
你应当如何做?
A.将Tom的用户账户添加到GroupPolicyCreatorOwners组中
B.运行控制委派向导分配Tom的用户账户ProductionOU的允许“管理组策略链接”权限
C.运行控制委派向导分配Tom的用户账户ProductionOU的允许“修改”权限
D.运行控制委派向导分配Tom的用户账户ProductionOU的允许“应用组策略”
答案:
B
分析:
运行控制委派向导能够委派管理ProductionOU组策略的权限。
右击活动目录用户和计算机中的容器。
选择控制委派。
控制委派向导运行后,在容器中选择用户(Tom),在权限列表中添加管理组策略链接权限。
Tom将成为唯一的具有添加链接的用户。
3.你是WindowsServer2003活动目录域的管理员。
所有域服务器安装WindowsServer2003系统。
所有的客户计算机使用WindowsXPProfessional。
公司的总部在柏林。
所有的域控制器也在那里。
在柏林有200台客户机。
位于赫尔辛基的分公司有60台客户计算机。
所有的赫尔辛基的正式员工账户保存在组织单位HelUsers中,所有临时员工的账户保存在TempUsers中。
一个名为Tom的赫尔辛基的临时员工的上班时间为上午八点到下午五点。
他在登录到域中时提示用户账户过期,需要管理员重新激活账户。
你应当如何做?
A.将Tom加入HelUsers。
创建GPO链接到HelUsers。
在GPO中减少锁定时间
B.使TempUsers成为HelUsers的子对象。
创建GPO链接到HelUsers。
在GPO中减少锁定时间
C.修改Tom的用户账户的登录时间属性与他的上班时间相同
D.修改Tom的用户账户属性延长账户的使用有效期
答案:
D
分析:
在本题中,用户账户已经过期。
这意味着这个账户在创建时设置了一个过期日期。
我们修改账户延长这个日期就能使账户恢复使用。
我们只要将日期设置为之后的一个日期,Tom就能够登录。
4.你是公司的网络管理员。
你管理着一台名为Server2的WindowsServer2003计算机。
Server2是包含五台客户计算机的工作组中的独立服务器。
所有客户计算机运行WindowsXPProfessional。
当前没有时间同步机制。
Tom负责Server2的管理。
然而Tom登录Server2时提示错误信息:
你要让Tom登录到Server2执行他的管理工作,你应当如何做?
A.在你的工作组中同步时钟
B.在Server2中安装活动目录
C.配置Tom账户的密码永不过期
D.修改Server2的安全策略,分配给Tom适当的权限
答案:
D
5.你是活动目录域的管理员。
网络中只有一个域,所有域服务器安装WindowsServer2003系统。
默认域策略GPO配置为在密码过期前14天提示用户修改密码。
一个用户在两个星期的假期后回到公司发现他不能登录到域中。
你发现在他上次登录时提示修改密码,但是他在外出休假前没有修改密码。
你应当如何做让他能够登录到域中?
A.启用该用户账户
B.重设用户账户密码
C.使用活动目录用户和计算机选择“密码永不过期”选项
D.配置“提醒用户在密码过期前修改密码”选项为21天
答案:
B
布置作业
1.完成书后习题1-习题4
2.预习本章中的要求的实验,在实验课上准备操作。
案例教学
本章介绍了组织单位对象的访问管理。
本章节所学习的内容将对应案例教学中的使用组策略的操作。
第6章实现组策略
本章概述
本章节主要是和大家介绍了实现组策略的知识和技能。
通过本章节的学习,我们可以了解Microsoft®Windows®Server2003环境中组策略的用途和功能,以及如何使用和管理组策略对象(GPO,GroupPolicyObject)。
教学目标
●掌握使用本地组策略对象的方法。
●掌握在域上实现组策略对象的方法。
●掌握管理组策略部署的技能。
教学重点
●组策略是进行WindowsServer2003管理的最常用的方法,学习好组策略才能真正的发挥WindowsServer2003的功效,掌握本地组策略和域上组策略非常重要。
●组策略制定好了,最重要的是能部署到每一个需要被管理的机器和用户上,所以光有一个好的策略是没用的,掌握好部署的技能也非常重要。
教学难点
●组策略的内容对于整个WindowsServer2003的管理来说,是重点也同样是难点。
所以对于本章节的内容,都需要耐心讲解。
教学资源
课本
知识点
6.1实现组策略对象
6.2在域中实现组策略对象
6.3组策略部署管理
实验
实现组策略
练习1创建和链接组策略对象
练习2筛选组策略对象部署
练习3配置组策略对象强制执行
练习4配置阻止组策略对象
习题
习题1对应知识点在域中实现组策略对象
习题2对应知识点组策略部署管理
习题3对应知识点组策略部署管理
习题4对应知识点在域中实现组策略对象
教学指导手册包
新版幻灯片
光盘:
\Powerpnt\2274_2275_06.ppt
习题解答
光盘:
\Tprep\answer
多媒体视频
光盘:
\Powerpnt\2274_6_A_IntroGP.html
\Powerpnt\2274_6_I_GP.html
先修知识
在正式开始学习本章内容以前,学生须具备下列知识基础。
先修知识
推荐补充
了解2000内核类的Windows操作系统的基础知识
《Windows2000初级管理》
建议学时
课堂教学(2课时)+实验教学(1课时)
教学过程
6.1实现组策略对象
教学提示:
本节主要达到以下目的:
●了解组策略的概念,知道什么是组策略。
(略讲)
●掌握用户和计算机的配置设置。
(略讲)
●掌握设置本地计算机策略设置。
(精讲)
教学内容
教学方法
教学提示
讲授:
ActiveDirectory®目录服务使用组策略管理网络中的用户和计算机。
使用组策略时,可以一次性设定用户的工作环境状态,再由WindowsServer2003操作系统沿用管理员设定的组策略设置。
组策略设置可以在整个组织范围内应用,也可以针对特定的用户和计算机组应用。
其实组策略就是一组规定。
比如规定你不许使用我的文档的快捷方式等等,这也就好比我们的校规,类似不许学生抽烟,不许学生酗酒等。
它就是一组限制用户在域里活动的规范。
有了规范,才可能保证大家资源的合理分配和安全性能的保障:
讲解课本6.1.1
阅书:
6.1.1
幻灯:
第5~6页
组策略参照:
http:
//
讲授:
可以通过组策略中的“计算机配置”和“用户配置”选项为用户和计算机应用组策略设置。
用户配置
用户配置中的“软件设置”
用户配置中的“Windows设置”
计算机配置
计算机配置中的“软件设置”
计算机配置中的“Windows设置”
用户和计算机配置中的“安全设置”
讲解课本:
6.1.2
阅书:
6.1.2
幻灯:
第7页
讲解本章节之前老师可以先把相关的配置熟悉好,一边和学生进行演示,一边进行讲解。
演示:
说了这么多,大家现在来看一下我是如何进行本地计算机策略设置的。
演示课本:
6.1.3
课堂演示
幻灯:
第8页
按照书本内容进行演示。
演示:
现在大家根据我们前面说过的内容,进行一下练习,在练习之前,大家请先看我演示一次:
演示课本:
6.1.4
课堂演示
幻灯:
第9页
按照书本内容进行演示。
6.2在域中实现组策略对象
教学提示:
本节主要达到以下目的:
●掌握用于创建组策略对象的工具。
(略讲)
●掌握域上的组策略对象管理。
(略讲)
●掌握创建组策略对象的技能。
(略讲)
教学内容
教学方法
教学提示
讲授:
我们需要通过许多的工具去实现,这里书上我们将会给大家介绍几种常用的工具:
●ActiveDirectory用户和计算机
●ActiveDirectory站点和服务
●组策略管理控制台
●“组策略管理”工具与默认组策略工具
●管理模板
大家现在一起来看看书上是怎么介绍的。
讲解课本:
6.2.1
阅书:
6.2.1
幻灯:
第12页
●“组策略管理”控制台不随WindowsServer2003一起提供,而必须下载。
●介绍这些工具的时候,可以一边演示一边进行介绍。
●只要和学生稍做介绍即可,让学生能了解有这么一个工具,大致如何使用即可。
讲授:
前面我们讲到了如何创建组策略对象,那创建组策略对象后,就要为该对象配置设置。
通过把一系列的设置组合到不同的组策略对象中,可以为每一个组策略对象指定不同的配置,使每一个组策略对象只会影响指定的计算机和用户。
当把组策略对象应用到域上时,可以在全域范围内管理配置设置。
这里我们会说到组策略容器,组策略容器是包含组策略对象属性的ActiveDirectory对象,其中包含关于计算机和用户的组策略信息的子容器。
组策略容器包括下列信息:
●版本信息——确保所有域控制器的组策略容器中信息是同步的
●状态信息——指明组策略对象是启用还是禁用
●扩展列表——列出组策略对象中使用的组策略扩展
演示课本+讲解课本:
6.2.2
阅书:
6.2.2
幻灯:
第13页
根据书本内容进行一边演示一边讲解。
演示:
现在大家再来看看我是怎么进行创建组策略对象的:
演示课本:
6.2.3
阅书:
6.2.3
幻灯:
第14页
根据书本内容进行演示。
演示:
现在大家根据我们前面说过的内容,进行一下练习,在练习之前,大家请先看我演示一次:
演示课本:
6.2.4
阅书:
6.2.4
幻灯:
第15页
按照书本内容进行演示。
讲授:
当创建一个与站点、域或组织单位链接的组策略对象时,实际上是执行了两步独立的操作:
创建新的组策略对象,然后把它链接到站点、域或组织单位。
当委派域、组织单位或站点的组策略对象链接权限时,必须具有对此域、组织单位或站点的“修改”权限。
讲解课本:
6.2.5
在组策略对象容器中创建组策略对象后,只有对该组策略对象创建链接后才能将其布署给用户或计算机。
其实说了这么多,我给大家稍微做一定的解释。
其实策略定下来了,我们必须明确策略是给谁的,让谁去执行,让谁受到限制。
其实连接做的事情就是把相关的政策和相关的人联系起来的这么一个过程。
讲解课本:
6.2.5
阅书:
6.2.5
幻灯:
第16~18页
演示:
现在大家再来看看我是怎么进行创建和链接组策略对象,链接现有组策略对象及解除组策略对象链接的:
演示课本:
6.2.6
阅书:
6.2.6
幻灯:
第19页
讲授:
组策略对象在WindowsServer2003中应用的顺序取决于其所链接到的ActiveDirectory容器。
组策略对象首先应用于站点,其次是域,最后才是域中的组织单位。
子容器都是从父容器处继承组策略对象。
组策略对象具有叠加性,这就意味着它们可以继承。
组策略的继承顺序就是WindowsServer2003应用组策略对象的顺序。
应用组策略对象和组策略对象继承的顺序将最终决定影响用户和计算机的设置。
如果把多个组策略对象设置成同一个值,默认情况下,最后应用的那个组策略对象优先生效。
讲解课本:
6.2.7
课堂多媒体联系:
6.2.7
阅书:
6.2.7
幻灯:
第20~21页
演示:
现在大家根据我们前面说过的内容,进行一下练习,在练习之前,大家请先看我演示一次:
演示课本:
6.2.8
阅书:
6.2.8
幻灯:
第22页
6.3组策略部署管理
教学提示:
本节主要达到以下目的:
●理解系统如何处理组策略对象之间的冲突及阻止组策略对象部署的目的。
(略讲)
●掌握配置组策略的应用。
(略讲)
●掌握配置组策略筛选。
(略讲)
教学内容
教学方法
教学提示
讲授:
组策略对象的复杂组合可能会产生冲突,从而导致默认的继承行为被系统更改。
有的时候确实会出现这样的冲突,生活中有的时候我们就会遇见,比如:
爸爸允许你做的事情,妈妈不一定允许。
那现在我们来看一下如何解决这样的冲突:
讲解课本:
6.3.1
同样我们会修改继承,这里我们会讲到禁止替代和阻止继承。
我们来看一下书上是如何讲解修改继承的内容的:
讲解课本:
6.3.1
阅书:
6.3.1
幻灯:
第25页
讲授:
现在我们来看一下如何阻止组策略对象部署。
在子容器上启用“阻止继承”选项,可以阻止该容器对所有组策略设置的继承,而不仅仅是选定的组策略设置。
当
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- win 教案 511