计算机论文55324.docx
- 文档编号:9906167
- 上传时间:2023-02-07
- 格式:DOCX
- 页数:25
- 大小:182.80KB
计算机论文55324.docx
《计算机论文55324.docx》由会员分享,可在线阅读,更多相关《计算机论文55324.docx(25页珍藏版)》请在冰豆网上搜索。
计算机论文55324
(此文档为word格式,下载后您可任意编辑修改!
)
学士学位毕业设计(论文)
Windowsserver2003AD在企业中的部署及应用
—组策略的应用
专业:
计算机科学与技术
2011年5月
摘要
本文向网络管理员介绍活动目录,解释其结构,阐述其如何与应用程序及其他目录服务进行交互操作,如何通过组策略对域用户注册表集中管理,面对众多的网络安全问题,如何让企业的员工在信息化社会拥有一个安全的办公环境是应给予关注的问题。
通过组策略技术的应用,集中发布、删除企业应用软件,防止员工用滥电脑娱乐和病毒的肆意传播,从而实现企业网络的安全。
提高员工工作效率,加强公司电脑的管理。
管理员通过对组策略的学习,工作效率大幅度提高,不再疲于奔命对每一台域中电脑反复配置。
关键词:
组策略活动目录
ABSTRACT
Keywords:
GroupPolicyActiveDirectory
目录
摘要I
ABSTRACTII
目录III
前言1
1绪论2
1.1选题背景2
1.2研究目的和意义2
1.3论文组织结构2
2认识ActiveDirectory和组策略4
2.1ActiveDirectory简介4
2.1.1ActiveDirectory功能4
2.1.2ActiveDirectory的优点4
2.2组策略简介6
2.3组策略和AD7
2.3.1GPO的多样性和继承7
2.3.2GPO的内部构成8
2.4本章小结8
3AD的部署9
3.2本章小结12
4企业网络中组策略的应用13
4.1利用组策略管理用户环境13
4.2组策略设置的结构13
4.2.1计算机配置中的Windows配置13
4.2.2计算机配置中的管理模板14
4.2.3网络子树14
4.2.4用户配置中的Windows配置14
4.2.5文件夹重定向15
4.2.6用户配置中的管理模板-控制用户环境15
4.3使用组策略管理软件15
4.3.1软件布置(安装和维护)的步骤16
4.3.2发布和分配软件16
4.3.3用组策略布置软件包16
4.3.4删除布置的软件17
4.4应用组策略对娱乐及公共机房管理17
结论20
参考文献21
致谢23
前言
在2010年,中国网民达到4亿。
中国互联网的高速发展,让人们在生活、工作等都有了极大的改变,在体验和享受互联网带来的方便及惬意时。
互联网里大量存在的一些不正当行为,如黑客攻击、计算机病毒、内部泄密、信息丢失、篡改、销毁、木马程序、等等,总是让我们感觉许多的无奈。
特别是中国的广大企业,在利用互联网更加快速、便捷地实现业务全球化的同时,来自外界的病毒、木马、黑客,以及内部员工工作时间滥用网络资源所惹的祸令人触目惊心。
为应对这种外忧内患的局面,反病毒、防火墙、入侵检测,在一定程度上排除了外忧。
而解内患的问题也迫不及待地被提上日程。
对于一些小型的企业来说,他们没有过多的时间监督每一位员工,没有过的时间查看每一台电脑,那么他们是如何解决这种现状的呢?
有一种技术,它可以帮助没有过多资金的企业适当地解决内部网络管理与内部员工的办公环境的安全,那就是“组策略”技术。
1绪论
1.1选题背景
现今,电脑普遍的应用在各大中小企业中,电脑提高了工作效率,及时掌握最新市场行情动态的同时,也给企业带来了让每一位老总头疼的问题。
员工在工作时间滥用网络资源,聊QQ、斗地主、农场偷菜、用光驱看电影等等运行与工作无关的程序,随便使用USB设备导致病毒肆意传播,也带到了电脑上。
并且伴随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。
例如:
文件系统管理、磁盘管理、网络服务、DHCP服务等。
其中很多配置都是可以自定义设置的,但这些配置发布在注册表的各个角落,并且配置在每一台电脑上。
如果是手工配置注册表,花时间去监督每一位员工,可想是多么困难和烦杂。
1.2研究目的和意义
目前,在企业中,个别职工在上班时玩游戏或运行与工作无关的程序。
针对这一情况,加强企业电脑的管理成为了各企业所面临的共同问题。
而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。
组策略是注册表的一个缩影,在进行组策略设置时还要把禁止职工访问注册表。
主要思想是在组策略里设置一些Windows可用的运行项目,以阻止职工运行一些与工作无关的程序,提高企业工作人员的工作效率。
概括的说,组策略就是使管理员能为用户指定需求,并且依赖于WindowsServer2003或Windows2000Server,在它上面不断执行的技术。
这里面包括以下含义:
(1)为用户指定需求,即用户提出的要求有管理员负责实现。
用户的需求可以是实现什么样的系统设置,需要什么样的桌面,必须使用的软件等。
(2)依赖于Server2003或Windows2000Server,即只能有Server2003或Windows2000Server来体现组策略,不支持WindowsNT4.x、Windows9x等早期产品。
(3)在上面不断执行的技术,是指客户的计算机操作系统会周期性的从AD上查询组策略的变化并执行新的设置。
组策略的作用就是用来给网络管理员授予更多的活动目录用户控制权。
拥有了组策略技术,实现对域中电脑集中管理应用软件,就不在为花资金和时间监督员工电脑,反反复复配置每台电脑中注册表,为每台电脑安装、卸载软件烦恼。
对于公司的网络管理员,当用户告诉你说他的电脑坏了,这时你只需要给她一台新的计算机加入域环境,把旧的计算机拿走就行了。
新的计算机开启后所有的设置都会完成,这就是微软智能镜像能实现的功能,其核心技术就是组策略。
1.3论文组织结构
本论文的第一章主要介绍了选题背景,论文研究的目的和意义。
第二章简单介绍了活动目录(ActiveDirectory,AD)和组策略(GroupPolicy,GPO)。
第三章是前期准备工作,搭建AD平台、OU控制台。
第四章是企业网络中组策略的具体应用及作用。
最后是论文的总结和致谢。
2认识ActiveDirectory和组策略
2.1ActiveDirectory简介
活动目录(ActiveDirectory)是面向WindowsStandardServer、WindowsEnterpriseServer以及WindowsDatacenterServer的目录服务。
(ActiveDirectory不能运行在WindowsWebServer上,但是可以通过它对运行WindowsWebServer的计算机进行管理。
)ActiveDirectory存储了有关网络对象的信息,并且让管理员和用户能够轻松地查找和使用这些信息。
ActiveDirectory使用了一种结构化的数据存储方式,并以此作为基础对目录信息进行合乎逻辑的分层组织。
MicrosoftActiveDirectory服务是Windows平台的核心组件,它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。
2.1.1ActiveDirectory功能
活动目录(ActiveDirectory)主要提供以下功能:
(1)基础网络服务:
包括DNS、WINS、DHCP、证书服务等。
服务器及客户端计算机管理:
管理服务器及客户端计算机账户,所有服务器及客户端计算机加入域管理并实施组策略。
(2)用户服务:
管理用户域账户、用户信息、企业通讯录(与电子邮件系统集成)、用户组管理、用户身份认证、用户授权管理等,按省实施组管理策略。
资源管理:
管理打印机、文件共享服务等网络资源。
(3)桌面配置:
系统管理员可以集中的配置各种桌面配置策略,如:
界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。
(4)应用系统支撑:
支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。
2.1.2ActiveDirectory的优点
与DNS集成ActiveDirectory使用域名系统(DNS)。
DNS是一种Internet标准服务,它将用户能够读取的计算机名称(例如mycomputer.microsoft)翻译成计算机能够读取的数字Internet协议(IP)地址(由英文句号分隔的四组数字)。
这样,在TCPIP网络计算机上运行的进程即可相互识别并进行连接。
(2)可扩展性。
ActiveDirectory是可扩展的;也就是说,管理员既可以在架构中添加新的对象类别,也可在原有的对象类别中添加新属性。
架构包含每个对象类别的定义,以及能够存储于目录中的每个对象类别的属性。
例如,您可能会为User对象添加PurchaseAuthority属性,然后将每个用户的购买权限额保存为用户帐户的一部分。
(3)基于策略的管理。
组策略是在初始化时应用于计算机或用户的配置设置。
所有组策略设置都包含在应用于ActiveDirectory站点、域或部门的组策略对象(GPO)中。
GPO设置决定了对目录对象和域资源的访问权限、用户可使用的域资源(如应用程序),以及这些域资源针对其用途的配置方式。
(4)可伸缩性。
ActiveDirectory包括一个或多个域,每个域均有一个或多个域控制器,由此,您能够对目录进行自由扩展,从而满足所有网络的需求。
多个域可合并成一个域目录树,多个域目录树可合并成一个目录林。
在只有一个域的最简单的网络结构中,该域既是一个目录树,又是一个目录林。
信息复制。
ActiveDirectory使用多主机复制,使您可以更新任何域控制器中的目录。
在一个域中部署多个域控制器还提供了容错能力和负载平衡功能。
因为这些域控制器包含同样的目录数据,所以,如果域内的一个域控制器速度变慢、停止或出现故障,同一域内的其他域控制器即可提供必要的目录访问功能。
(5)信息安全。
在Windows2000操作系统中,用户身份验证和访问控制的管理都与ActiveDirectory完全结合在一起,这是该系统的一项关键性安全功能。
ActiveDirectory将身份验证集中进行。
不仅可以定义对目录中每个对象的访问控制,还可定义对每个对象的每个属性的访问控制。
此外,ActiveDirectory还为安全策略提供了存储区和应用范围。
(6)互操作性。
由于ActiveDirectory以标准目录访问协议(例如轻型目录访问协议(LDAP))为基础,因此它能够与其他采用这些协议的目录服务进行交互操作。
有些应用程序编程接口(API)--例如ActiveDirectory服务接口(ADSI)--允许开发者访问这些协议。
2.2组策略简介
组策略(GroupPolicy),就是基于组的策略。
它以Windows中的一个MMC管理单元的形式存在,可以帮助系统管理员针对整个计算机或是特定用户来设置多种配置,包括桌面配置和安全配置。
譬如,可以为特定用户或用户组定制可用的程序、桌面上的内容,以及“开始”菜单选项等,也可以在整个计算机范围内创建特殊的桌面配置。
简而言之,组策略是Windows中的一套系统更改和配置管理工具的集合。
注册表是Windows系统中保存系统软件和应用软件配置的数据库,而随着Windows功能越来越丰富,注册表里的配置项目也越来越多,很多配置都可以自定义设置,但这些配置分布在注册表的各个角落,如果是手工配置,可以想像是多么困难和烦杂。
而组策略则将系统重要的配置功能汇集成各种配置模块,供用户直接使用,从而达到方便管理计算机的目的。
其实简单地说,组策略设置就是在修改注册表中的配置。
当然,组策略使用了更完善的管理组织方法,如图2-1所示,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。
图2-1新建组策略
2.3组策略和AD
要充分发挥GPO的功能,需要有AD域架构的支持,利用AD可以定义一个集中的策略,所有的Windows服务器和工作站都可以采用它。
然而,每台运行Windows的计算机都有一个本地GPO(驻留在本地计算机文件系统上的GPO),通过本地GPO,可以为每台工作站指定一个策略,它在AD域中不起作用。
例如,出于安全原因,你不会在AD域中配置公用的计算机。
利用本地GPO,可以通过修改本地策略来得到安全性和对台式机的限制使用而无需利用基于AD域的GPO。
访问本地GPO的方法有2种,第1种方法,在需要修改GPO的计算机的“开始”菜单上选择“运行”,然后键入:
gpedit.msc,可以打开本地策略文件。
第2种方法,可以通过在MMC控制台中选择GPE插件,并选择本地或远程计算机来人工地编辑本地GPO。
本地GPO支持除软件安装和文件夹重定向之外的所有缺省扩展,因此,只利用本地GPO你不能完成这些工作,如果想充分发挥GPO的功能,还是需要AD的支持。
2.3.1GPO的多样性和继承
在AD中,可以在域、组织单位(OU)或地址三个不同的层次上定义GPO。
OU是AD中的一个容器,可以指派它对用户、组、计算机等对象进行管理,地址是网络上子网的集合,地址形成了AD的复制分界线。
GPO的名字空间被划分为计算机配置和用户配置两个大类,只有用户和计算机可以使用GPO,象打印机对象甚至用户组都不能应用GPO。
在一个域或组织单位(OU)中编辑策略的途径有几种。
在活动目录用户或计算机MMC插件中,右击一个域或组织单位(OU),在菜单中选择“属性”,然后选择“组策略”标签。
在编辑地址中的策略时,需要右击“活动目录地址和服务”插件,然后右击需要的地址得到其GPO。
此外,还可以从“开始”菜单,选择“运行”,然后键入:
mmc.exe,启动MMC,选择“控制台”,“增加删除”插件,然后选择“组策略”插件、“浏览”,在AD域内的GPO就会显示出来,可以选择一个GPO进行编辑,如图2-2。
图2-2编辑策略的步骤
2.3.2GPO的内部构成
一个GPO是由两部分组成的:
组策略容器(GPC)和组策略模板(GPT)。
GPC是GPO在AD中的一个实例,在一个特殊的被称作系统的容器内有一个128位的全球唯一的ID码(GUID)。
在“活动用户目录用户和计算机”插件中选择“浏览”,从MMC菜单中选择“高级属性”,就可以看到“系统”容器。
GPT是组策略在Windows文件系统中的表现,与一个GPO有关的所有文件依赖于GPT。
2.4本章小结
本章主要对AD和GPO做了一个初步的介绍,访问本地GPO的方法有2种,第1种方法,在需要修改GPO的计算机的“开始”菜单上选择“运行”,然后键入:
gpedit.msc,可以打开本地策略文件。
第2种方法,可以通过在MMC控制台中选择GPE插件,并选择本地或远程计算机来人工地编辑本地GPO。
本地GPO支持除软件安装和文件夹重定向之外的所有缺省扩展,因此,只利用本地GPO你不能完成这些工作,如果想充分发挥GPO的功能,还是需要AD的支持。
组策略是基于AD的,组策略的设置和管理都在AD中进行,然后通过控制机制作用到域中的所有用户和计算机上。
我们可以建立多个组策略对象,每个GPO都可以由不同的活相同的策略配置。
3AD的部署
3.1.1配置DNS服务器
(1)网卡定义IP地址,DNS服务器首选DNS指向本机,将服务器命名为server,添加后缀为xtep。
将计算机重新启动以便配置生效。
(2)打开控制面板添加删除程序,添加WINDOWS组件,选择网络服务下的DNS服务。
添加成功后,我们在点击“开始”后,管理工具中就有相应DNS控制台了。
(3)创建DNS正向查找区域,创建主要区域,创建成功后可以解析本企业xtep域中的server机的ip地址进行测试。
3.1.2配置AD
点击“开始”“运行”输入“dcpromo”命令启动ActiveDirectory配置向导。
配置AD的步骤如下:
(1)建立域控制器
(2)选择在新域中建立域控制器
(3)输入DNS域名
(4)安装活动目录数据库
(5)选择SYSVOL目录的安装位置
(6)手动安装DNS服务器
(7)使用与windows2000以后系统相容
(8)安装完成。
到此,第一个windows域已经建立!
配置AD安装过程中注意DNS注册诊断报告,AD配置好后检查srv记录。
打开DNS正向查找区域,选择新建的域属性中配置AD与DNSserver集成。
3.1.3创建组织单位、组、用户
创建组织单位(OU)、组和用户,用户可以隶属于任何一个组织单位或组,对一个组织单位施行组策略,那该组策略对该组织单位下的每一个组和用户都适用。
组策略的控制大多是针对组织单位进行控制的。
这样才方便管理员的集中管理。
创建OU、组、用户步骤如下:
1)依次点击,开始--程序--管理工具--ActiveDirectory用户和计算机。
2)新建组织单位sales,用户aaa、bbb、ccc,组students。
3.1.4搭建组策略控制台
搭建控制台之前,先要为组织单位sales添加默认组策略。
依次点击“开始”“运行”输入“mmc.exe”,依次选择“文件”—“添加”—“删除管理单元(M)”----“添加”--“组策略对象编辑器”--“浏览”--“域OUs下的sales.xtep”--“选择默认的组策略”--完成。
对用户的集中控制和管理,都是通过对默认的组策略进行编辑、更改来实现的。
搭建控制台的目的,就是省去了在管理工具中打开AD域,选择域,选择组策略这些繁琐步骤。
从而打开控制台,直接就可以编辑需要编辑的组策略。
新搭建的组策略控制台如下图所示。
3.2本章小结
为了方便对用户的管理,和对组策略的编辑、更改,我做了前期准备工作。
(1)创建DNS服务器,建立了域环境并搭建了AD平台。
(2)将AD与DNS集成,并在AD上创建了组织单位、组和用户。
(3)搭建了组策略控制台。
组策略的应用在企业中都是基于AD的,组策略的设置和管理也都是在AD上进行的。
到此所有前期准备工作都已经完成。
4企业网络中组策略的应用
4.1利用组策略管理用户环境
管理用户环境-控制用户在登录网络时有哪些权力。
可以通过控制用户的桌面、网络连接和用户界面来控制用户权力。
用户环境-为用户或计算机设置的。
4.2组策略设置的结构
专业名称表(Subject)的设计
组策略的设置总体分为:
计算机配置和用户配置
计算机配置和用户配置下面又有三个子层:
(1)软件设置-统一管理所有软件,Windows设置
(2)计算机配置:
脚本、安全设置
用户配置:
IE维护、脚本、安全设置、远程安装服务、文件夹重定向
(3)管理模板-解决用户环境的问题
计算机配置:
Windows组件、系统、网络、打印机
用户配置:
Windows组件、系统、网络、桌面、控制面板、任务栏和开始菜单
4.2.1计算机配置中的Windows配置
1.添加脚本
组策略脚本设置的功能是可以集中配置脚本,在计算机启动或关闭时,自动运行。
指定在Windows2003上运行任何脚本,包括批处理文件、可执行程序等。
如果同时添加多个脚本,则Windows2003按照从上到下的顺序执行;如果多个脚本之间有冲突,则最后处理的脚本有效。
配置步骤如下:
1)打开组策略控制台-选中需要编辑的组策略-单击“编辑”
2)计算机配置-Windows设置-脚本-右击“启动”-单击“添加”
3)单击“浏览”,选定要运行的脚本或可执行文件
2.计算机中的安全设置
安全设置包括:
帐号策略、本地策略、事件日志、无限制的组、系统服务、注册表、文件系统、公钥策略、IP安全策略。
配置步骤如下:
1)打开组策略控制台-选中需要编辑的组策略-单击“编辑”
2)计算机配置-Windows设置-安全设置-右击“登录屏幕不要显示上次登录的用户名”
3)选择“安全性”-选中“定义这个策略设置”和“已启用”
4.2.2计算机配置中的管理模板
(1)计算机配置中的管理模板-控制计算机桌面的外观和行为
管理模板包括:
Windows组件、系统、网络。
Windows组件中规定了一些操作系统自带的组件,如:
IE、Netmeeting、若任务计划等。
(2)设置Windows组件。
步骤如下:
1)控制面板-任务计划-添加一个任务计划
2)打开组策略控制台-选中需要编辑的组策略-单击“编辑”
3)计算机配置-管理模板-Windows组件-选中“任务计划程序”项
4)右击“禁用‘创建新任务’”-选择“属性”-在“策略”选项卡中选中“启用”
管理模板是基于注册表的策略。
在计算机和用户配置中都可以设置管理模板的内容。
管理模板是组策略中可以使用的对系统进行管理最灵活的一种手段。
4.2.3网络子树
网络子树包括:
脱机文件(处理与脱机文件夹有关的事项);网络及拨号连接
禁用网络连接共享。
配置步骤如下:
1)新建一个拨号连接,设置共享
2)打开组策略控制台-选中需要编辑的组策略-单击“编辑”
3)计算机配置-管理模板-网络-网络及拨号连接
4)右击“允许连接共享”-选中“禁用”
4.2.4用户配置中的Windows配置
Windows配置中包括:
IE维护、脚本、安全设置、远程安装服务、文件夹重定向
(1)用用户策略中的IE维护为用户指定默认主页。
步骤如下:
1)打开组策略控制台-选中需要编辑的组策略-单击“编辑”
2)用户配置-Windows设置-IE维护-URL
3)右击“重要URL”-选择“属性”-选中“自定义主页URL”-输入网址
4.2.5文件夹重定向
重定向文件夹。
步骤如下:
1)用户配置-Windows设置-文件夹重定向-右击“MyDocument”子树-选择“属性”
2)在“目标”选项卡中,选择“基本”,来为每个用户在服务器上建立一个个人文件夹,文件夹名即用户名
3)在目标文件夹的位置输入路径:
\\服务器名\共享文件夹名\%用户名%
4)在“设置”选项卡中设置:
只有用户和系统能够访问该文件夹
文件夹重定向的功能:
将用户常用的文件夹重定向到网络中的某台服务器的共享文件夹中。
对用户最终的效果是:
无论用户在那一台计算机上打开它自己的这些文件夹,看到的都是相同的内容。
需要注意的是,文件夹重定向只是重定向用户自己创建的数据文档,而不会把系统数据重定向到网络服务器上。
4.2.6用户配置中的管理模板-控制用户环境
用户配置的管理模板包含:
Windows组件、任务栏和开始菜单、桌面、控制面板、网络、系统。
资源管理器中的策略(使资源管理器中的文件夹选项消失)
1)打开组策略控制台-选中需要编辑的组策略-单击“编辑”
2)用户配置-管理面板-Windows组件-Windows资源管理器
3)右击“从‘工具’菜单中删除‘文件夹选项’菜单”,选择“启用”任务栏和开始菜单-控制任务栏和开始菜单中的各种环境
4.3使用组策略管理软件
管理和维护软件可能使大多数管理员都要面对的,客户经常会问管理员他使用的软件为什么不能使用了、新软件如何安装。
怎么进行软件升级等。
利用Windowsserver2003的软件分发功能可以很轻松的实现这些需求,这位我们的管理工作带来了极大的方便。
软件分发是指通过组策略让用户或计算机自动进行软件的安装、更新或卸载。
在Windowsserver2003中,可以通过使用一个站点、域、组织单元内的用户和计算机的组策略
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机论文 55324