3 域與組策略學(xué)習(xí)要點(diǎn)? 理解工作組與域的管理模式? 理解什么是Active Directory? 掌握組織單位的管理? 掌握組策略和組策略的設(shè)置? 理解域、組織單位和策略的關(guān)系3．1 工作組與域工

3 域與組策略

學(xué)習(xí)要點(diǎn)

? 理解工作組與域的管理模式

? 理解什么是Active Directory

? 掌握組織單位的管理

? 掌握組策略和組策略的設(shè)置

? 理解域、組織單位和策略的關(guān)系

3．1 工作組與域

工作組和域是操作系統(tǒng)的網(wǎng)絡(luò)資源的兩種不同管理模式，在對(duì)網(wǎng)絡(luò)實(shí)施管理的時(shí)候，網(wǎng)絡(luò)管理員必須對(duì)這兩種不同的管理模式有深入的了解。

3．1．1 工作組

工作組的管理模式采用頒式的管理。工作組中的任何一臺(tái)計(jì)算機(jī)只負(fù)責(zé)管理本地的資源，每臺(tái)計(jì)算機(jī)都可以任意地加入或退出某一工作組（WORKGROUP 為默認(rèn)組），工作組中所有計(jì)算機(jī)之間是一種平等的關(guān)系。工作組的管理模式適用于小型的網(wǎng)絡(luò)。

3．1．2 域 c/s

域的管理模式采用集中式的管理。在域的管理模式下，至少有一臺(tái)服務(wù)器負(fù)責(zé)每一臺(tái)接入網(wǎng)絡(luò)的計(jì)算機(jī)和用戶的驗(yàn)證管理工作。域管理員是域管理模式中權(quán)限最大的人員，可以登錄到加入域中的任何一臺(tái)成員機(jī)器，域中所有的資源都在域管理員的控制之下。計(jì)算機(jī)要加入一個(gè)域中，必須經(jīng)過(guò)域管理員的批準(zhǔn)。域的工作方式適用于較大型

的網(wǎng)絡(luò)。

下面我們來(lái)介紹一下關(guān)于域的其他內(nèi)容。

3．1．2．1 域結(jié)構(gòu)

由以上內(nèi)容可知，域是由一些計(jì)算機(jī)組成的，如圖3-1所示，這些計(jì)算機(jī)按類別分可以分3類，分別為：域控制器、成員服務(wù)器和客戶機(jī)，下面分別來(lái)介紹。

1． 域控制器

域控制器是一種服務(wù)器，主要用來(lái)進(jìn)行網(wǎng)絡(luò)的安全核查以及資源共享。域中的所有資源由域控制器統(tǒng)一管理。

一個(gè)域中至少要有一個(gè)域控制器，如果擁有多個(gè)域控制器，它們之間的關(guān)系是平等的。域中的成員（包括成員服務(wù)器和客戶機(jī)）可以從一個(gè)域中脫離出去，但域控制器卻不能退出一個(gè)域。非域控制器支持域登錄和本地登錄兩種登錄方法，而域控制器不支持本地登錄。

2． 成員服務(wù)器

成員服務(wù)器也是一種服務(wù)器，它不能提供網(wǎng)絡(luò)的安全核查等工作，但是可以提供其他的網(wǎng)絡(luò)服務(wù)，比如Web 服務(wù)、打印服務(wù)等。

3． 客戶機(jī)

客戶機(jī)是網(wǎng)絡(luò)中只享受服務(wù)的機(jī)器，客戶機(jī)上的操作系統(tǒng)一般為桌面型的，如：Windows 2000Professional、Windows XP Professional，Windows vista等。

3．1．2．2 建立域的條件

建立域的條件具體如下：

（1） 計(jì)算機(jī)的振作系統(tǒng)必須是Windows Server 2000、Windows

Server 2003或者更高級(jí)版本；2008

（2） 安裝目錄的文件系統(tǒng)必須是NTFS 格式；

（3） 配置了DNS 服務(wù)器。

（4） 靜態(tài)IP

3．2 Active Directory

Active Directory（活動(dòng)目錄）是Windows Server 2003平臺(tái)的以目錄列舉方式管理數(shù)據(jù)信息的系統(tǒng)組件。Active Directory存儲(chǔ)有關(guān)網(wǎng)絡(luò)的對(duì)象的信息，使管理員和用戶可以更方便地查找使用和管理這些信息。這些對(duì)象的信息包括了服務(wù)器、卷、打印機(jī)、網(wǎng)絡(luò)用戶和組等。

Active Directory管理工具主要包括“Active Directory用戶和計(jì)算機(jī)”、“Active Directory站點(diǎn)和服務(wù)”和“Active Directory域和信任關(guān)系”3個(gè)，下面分別來(lái)介紹。

3．2．1 Active Directory用戶和計(jì)算機(jī)

“Active Directory用戶和計(jì)算機(jī)”是管理Active Directory對(duì)象（用戶、打印機(jī)和組等）的工具，打開(kāi)此管理工具的方法是：依次選擇[開(kāi)始]→[程序]→[管理工具]→[Active Directory用戶和計(jì)算機(jī)]，界面如圖3-2所示。下面具體來(lái)介紹“Active Directory用戶和計(jì)算機(jī)”。

（1）組織單位。組織單位是Active Directory可以被用戶定義并應(yīng)用組策略（見(jiàn)本章3.4組策略的相關(guān)內(nèi)容）的對(duì)象，管理員可以通過(guò)創(chuàng)建組織單位來(lái)簡(jiǎn)化域的管理控制。

（2）容器。容器是指在“Active Directory用戶和計(jì)算機(jī)”中不帶

任何標(biāo)記的文件夾。默認(rèn)的容器有Builtin 、Computers 、Users 、ForeignSecurityPrincipals 等。

（3）對(duì)象。Active Directory對(duì)象被放置在Active Directory內(nèi)的組織單位和容器中。如打印機(jī)、用戶賬戶、計(jì)算機(jī)賬戶和安全組等都屬于Active Directory對(duì)象。

3．2．2 Active Directory站點(diǎn)和服務(wù)

“Active Directory站點(diǎn)和服務(wù)”是用于管理目錄數(shù)據(jù)的復(fù)制的工具打開(kāi)此管理工具的方法是：依次選擇[開(kāi)始] →[程序] →[管理工具] →[Active Directory站點(diǎn)和服務(wù)]，界面如圖3-3所示。

在安裝第一個(gè)域時(shí)，系統(tǒng)默認(rèn)配置有“Default-First-Site ”站點(diǎn)，新創(chuàng)建的服務(wù)器將列在該站點(diǎn)之下。在“Active Directory站點(diǎn)和服務(wù)”的管理界面中，可以創(chuàng)建新站點(diǎn)，重命名站點(diǎn)，還可選擇站點(diǎn)鏈接。

3．2．2 Active Directory域和信任關(guān)系

域和域之間的通信是通過(guò)信任發(fā)生的。默認(rèn)情況下，當(dāng)使用

“Active Directory安裝向?qū)А碧砑有掠驎r(shí)，系統(tǒng)會(huì)自動(dòng)創(chuàng)建父子信任和樹(shù)根信任兩種默認(rèn)信任類型。下面我們分別來(lái)介紹這兩種信任類型。

1． 樹(shù)根信任

樹(shù)根信任是指不同樹(shù)根之間的信任關(guān)系。圖3-4顯示了

domain1.com 和domain2.com 這兩個(gè)樹(shù)之間的樹(shù)根信任關(guān)系。

2． 父子信任

父子信任是指在同一域樹(shù)內(nèi)部的信任關(guān)系。在圖3-4中，

domain1.com 域下面是a. domain1.com域，它們之間的信任關(guān)系就是父子信任關(guān)系。a. domain1.com 和b. domain1.com 都是domain1.com 子域，它們都信任它們的父域domain1.com ，所以a. domain1.com和b. domain1.com的資源可以相互訪問(wèn)。父子信任可以在域樹(shù)的所有域之間傳遞。

“Active Directory域和信任關(guān)系”是管理域信任關(guān)系的工具。打開(kāi)此管理工具的方法是：依次選擇[開(kāi)始] →[程序] →[管理工具] →

[Active Directory 域和信任關(guān)系]，界面如圖3-5所示。在“Active Directory 域和信任關(guān)系”界面中可以查看、創(chuàng)建、修改和驗(yàn)證域的信任關(guān)系。

Active Directory管理工具的具體操作方法見(jiàn)《計(jì)算機(jī)網(wǎng)絡(luò)管理員認(rèn)證實(shí)驗(yàn)指導(dǎo)》的相關(guān)內(nèi)容。

3．3 組織單位

在了解了Active Directory之后，下面介紹一下組織單位的相關(guān)知識(shí)。

3．3．1 組織單位簡(jiǎn)介

組織單位是可將用戶、組、計(jì)算機(jī)和其他組織單位放入其中的Active Directory 容器。組織單位把域中對(duì)象如用戶、組、計(jì)算機(jī)等組織成邏輯管理組，它是可以指派組策略（見(jiàn)本章組策略相關(guān)內(nèi)容）設(shè)置或委派管理權(quán)限的最小單元。

使用組織單位可將網(wǎng)絡(luò)所需的域數(shù)量降到最低，組織單位中可包含其他的組織單位。如圖3-6所示，domain.com 域中包含了ou1、ou2

組織單位中又包含了ou3組織單位。

3．3．2 組織單位的管理

組織單位的管理主要包括組織單位的創(chuàng)建、向組織單位添加用戶、向組織單位添加計(jì)算機(jī)、向組織單位添加組等。組織單位的具體管理方法見(jiàn)《計(jì)算機(jī)網(wǎng)絡(luò)管理員認(rèn)證實(shí)驗(yàn)指導(dǎo)》的相關(guān)內(nèi)容。

3．4 組策略

網(wǎng)絡(luò)管理員的工作之一是管理用戶和計(jì)算機(jī)，例如管理用戶接口選項(xiàng)（背景、墻紙）、運(yùn)行登錄腳本、用戶主目錄位置等。組策略是幫助配置和管理系統(tǒng)的工具之一。

應(yīng)用于域的組策略不僅應(yīng)用

于用戶和客戶端，還應(yīng)用于成員

服務(wù)器、域控制器以及管理范圍

內(nèi)的任何計(jì)算機(jī)。

3.4.1 組策略對(duì)象

組策略對(duì)象是應(yīng)用到1個(gè)或1組用戶和計(jì)算機(jī)的共同配置的組合，由用戶和計(jì)算機(jī)的軟件設(shè)置、Wiodows 設(shè)置和管理模板組成，組策略編輯器的界面如圖3-7所示。通過(guò)對(duì)組策略對(duì)象的配置，管理員可以動(dòng)態(tài)地控制網(wǎng)絡(luò)上的用戶和計(jì)算機(jī)。

使用組策略對(duì)象，管理員可以集中管理Active Directory結(jié)構(gòu)中的

計(jì)算機(jī)和用戶。組策略的工作方式是：每當(dāng)重新啟動(dòng)、用戶登錄或強(qiáng)制刷新組策略時(shí)，目標(biāo)計(jì)算機(jī)利用Active Directory多層結(jié)構(gòu)的特點(diǎn)，對(duì)每個(gè)組策略對(duì)象的設(shè)置進(jìn)行檢查。因此，每次只需設(shè)置一個(gè)用戶或計(jì)算機(jī)，借助Wiodows 2000/XP/2003提供的功能，可以將策略強(qiáng)制在所有客戶端上執(zhí)行，直到更改組策略。

使用組策略為用戶組或計(jì)算機(jī)組定義自動(dòng)的配置，包括基于注冊(cè)表的策略設(shè)置、安全設(shè)置、軟件安裝、腳本、文件夾重定向、遠(yuǎn)程安裝服務(wù)和Internet Explorer維護(hù)等選項(xiàng)。表3-1是各種組策略功能。

表3-1 組策略功能

3．4．2 在域中使用組策略的條件

要在域中使用組策略，需要滿足以下的條件：

（1） 客戶端和服務(wù)器必須運(yùn)行在Wiodows Server

2000/XP/2003或更高版本系統(tǒng)，對(duì)較早版本的計(jì)算機(jī)，組策略不會(huì)對(duì)它們產(chǎn)生影響；

（2） 組策略需要使用完全合法的域名，F(xiàn)QDN 必須存在DNS

服務(wù)才能保證組策略被正常處理；ABC 。COM

（3） 使用組策略需要Active Directory。

3．4．3 設(shè)置組策略

組策略的設(shè)置包括用戶的“用戶配置”策略設(shè)置和計(jì)算機(jī)的“計(jì)算機(jī)配置”策略設(shè)置。

1． 用戶配置

用戶配置是針對(duì)Active Directory容器中的用戶的配置，它包括：

（1）軟件設(shè)置。軟件設(shè)置包含軟件安裝擴(kuò)展，還包含應(yīng)用到計(jì)算機(jī)的軟件設(shè)置。不管用戶登錄到哪能臺(tái)計(jì)算機(jī)上，軟件安裝都可以集中部署、升級(jí)和刪除應(yīng)用程序，不需要訪問(wèn)每臺(tái)計(jì)算機(jī)。

（2）Wiodows 設(shè)置。Wiodows 設(shè)置應(yīng)用到所有用戶，不管用戶登錄到哪臺(tái)計(jì)算機(jī)。包括“遠(yuǎn)程安裝服務(wù)”、“腳本”（自動(dòng)化用戶的啟動(dòng)和關(guān)機(jī)）、“安全設(shè)置”、“文件夾重定向”（通過(guò)把本地計(jì)算機(jī)的

文件重定向到網(wǎng)絡(luò)共享，定期備份文件）和“Internet Explorer維護(hù)”（對(duì)Internet Explorer 進(jìn)行管理和自定義，包括設(shè)置管理安全區(qū)域、代理、查詢、臨時(shí)Internet 文件等）5個(gè)擴(kuò)展。

（3）管理模板。管理模板可以集中配置客戶端的注冊(cè)表，包括“Wiodows 組件”、“任務(wù)欄和‘開(kāi)始’菜單”、“桌面”、“控制面板”、“共享文件夾”、“網(wǎng)絡(luò)”和“系統(tǒng)”7個(gè)擴(kuò)展。

2．計(jì)算機(jī)配置

計(jì)算機(jī)配置是針對(duì)Active Directory容器中的計(jì)算機(jī)的設(shè)置，這些設(shè)置將影響到計(jì)算機(jī)上所有用戶。計(jì)算機(jī)配置包括：

（1）軟件配置。軟件配置包含軟件安裝擴(kuò)展，還包含應(yīng)用到計(jì)算機(jī)的軟件設(shè)置，而不管哪個(gè)用戶登錄到計(jì)算機(jī)。軟件安裝可以集中部署、升級(jí)和刪除應(yīng)用程序，而不必訪問(wèn)每臺(tái)計(jì)算機(jī)。

（2）Wiodows 設(shè)置。Wiodows 設(shè)置應(yīng)用于目標(biāo)計(jì)算機(jī)的所有用戶，包括“安全設(shè)置”（為組織單位指定安全策略，保護(hù)計(jì)算機(jī)和整個(gè)網(wǎng)絡(luò)）和“腳本”（自動(dòng)化計(jì)算機(jī)的啟動(dòng)和關(guān)機(jī)）兩個(gè)擴(kuò)展。

（3）管理模板。管理模板可以集中配置客戶端的注冊(cè)表，包括“Wiodows 組件”、“系統(tǒng)”、“網(wǎng)絡(luò)”和“打印機(jī)”4個(gè)擴(kuò)展。

組策略的具體設(shè)置方法見(jiàn)《計(jì)算機(jī)網(wǎng)絡(luò)管理員認(rèn)證實(shí)驗(yàn)指導(dǎo)》的相關(guān)內(nèi)容。

3．5 域、組織單位和組策略實(shí)例

經(jīng)過(guò)上面的學(xué)習(xí)，我們了解了域、組織單位和組策略的基本概念，下面我們通過(guò)一個(gè)實(shí)例來(lái)認(rèn)識(shí)它們之間的關(guān)系。

如圖3-8所示，在domain1.com 域中有一個(gè)ou1的組織單位，在ou1組織單位中有aal 、a2兩個(gè)用戶和computer001、computer002兩臺(tái)計(jì)算機(jī)。

為了配置組策略，并將它的設(shè)置應(yīng)用于ou1組織單位，我們必須創(chuàng)建組策略。創(chuàng)建組策略的方法是：依次單擊[開(kāi)始] →[運(yùn)行] ，在[運(yùn)行]對(duì)話框中輸入“MMC ”并按回車鍵啟動(dòng)MMC 控制臺(tái)。在MMC 控制臺(tái)中，選擇[添加/刪除管理單元]并添加[組策略對(duì)象編輯器]，打開(kāi)[選擇組策略對(duì)象]對(duì)話框。在[選擇組策略對(duì)象]對(duì)話框中單擊[瀏覽]按鈕，打開(kāi)[瀏覽組策略對(duì)象]對(duì)敵框。在[瀏覽組策略對(duì)象]對(duì)話框中，查找范圍選擇“ou1.domain.com ”，并新建一個(gè)組策略對(duì)象“ou1組織單位的組策略”，如圖3-9所示。

依次展開(kāi)[計(jì)算機(jī)配置]目錄樹(shù)→[管理模板]子目錄，找到[系統(tǒng)]中的[關(guān)閉自動(dòng)播放]設(shè)置項(xiàng)，將其設(shè)置為[已啟用]可以關(guān)閉ou1組織單位中computer001、computer002兩臺(tái)計(jì)算機(jī)的CD-ROM 的自動(dòng)播放功能，而不管是哪個(gè)用戶登陸到這兩臺(tái)計(jì)算機(jī)上，如圖3-10所示。

依次展開(kāi)[用戶設(shè)置]目錄樹(shù)→[管理模板]子目錄，找到[系統(tǒng)]中的

[關(guān)閉自動(dòng)播放]設(shè)置項(xiàng)，將其設(shè)置為[已啟用]可以關(guān)閉ou1組織單位中的aa1、a2兩個(gè)用戶的CD-ROM 的自動(dòng)播放功能，而不管這兩個(gè)用戶登錄到哪臺(tái)計(jì)算機(jī)上，如圖3-11所示。