Windows

Server2008網(wǎng)絡(luò)組建項目化教程課程標(biāo)準(zhǔn)(教學(xué)大綱)教學(xué)設(shè)計方案(教案)PPT電子課件教材習(xí)題參考答案模擬試卷及參考答案IT認(rèn)證+全國技能大賽資料知識拓展主編：夏笠芹

“十二五”職業(yè)教育國家規(guī)劃教材教材附贈光盤企業(yè)要構(gòu)建一個辦公網(wǎng)絡(luò)，考慮到業(yè)務(wù)發(fā)展的需要，以及網(wǎng)絡(luò)的安全性，需要對重要的公共資源和計算機(jī)使用人員的信息實現(xiàn)集中管理。項目背景項目3域網(wǎng)絡(luò)構(gòu)建與組策略應(yīng)用項目導(dǎo)入大、中型企業(yè)網(wǎng)絡(luò)有幾百到上千的用戶，資源也比較分散，這時候如何管理？“工作組”和“域”是Windows網(wǎng)絡(luò)的兩種架構(gòu)/類型/環(huán)境/管理方式。

工作組每一臺計算機(jī)都獨立維護(hù)自己的資源，不能集中管理所有網(wǎng)絡(luò)資源每一臺計算機(jī)都在本地存儲用戶的賬戶一個賬戶只能登錄到一臺計算機(jī)工作組中的計算機(jī)的地位都是平等的，對于其他計算機(jī)來說既是服務(wù)器，也是客戶機(jī)工作組的網(wǎng)絡(luò)規(guī)模一般少于10臺計算機(jī)域?qū)⒕W(wǎng)絡(luò)中多臺計算機(jī)邏輯上組織到一起，進(jìn)行集中管理，這種區(qū)別于工作組的邏輯環(huán)境叫做域域是組織與存儲資源的核心管理單元項目導(dǎo)入工作組域SAMSAMSAM單用戶帳號ActiveDirectory項目3域網(wǎng)絡(luò)構(gòu)建與組策略應(yīng)用知識目標(biāo)了解：域的概念、特點，活動目錄的結(jié)構(gòu)，域用戶賬戶、域組賬戶和組織單位的概念、特點和用途熟悉：域控制器的條件，活動目錄的管理與維護(hù)，域組賬戶的使用原則掌握：創(chuàng)建域，將計算機(jī)加入或脫離域，將域控制器降級為獨立服務(wù)器或成員服務(wù)器；域用戶賬戶、域組賬戶和組織單位的創(chuàng)建與管理；組策略的應(yīng)用。能力目標(biāo)會創(chuàng)建域，能將計算機(jī)加入或脫離域會創(chuàng)建與管理域用戶賬戶、域組賬戶和組織單元能利用組策略技術(shù)對域中的計算機(jī)進(jìn)行一些常用設(shè)置教學(xué)目標(biāo)3.2項目知識準(zhǔn)備活動目錄是存儲網(wǎng)絡(luò)上對象的相關(guān)信息并使該信息可供用戶和網(wǎng)絡(luò)管理員使用的目錄服務(wù)。目錄是一個數(shù)據(jù)庫，用于保存與網(wǎng)絡(luò)資源相關(guān)的信息結(jié)構(gòu)、資源位置、安全信息及管理信息等。如：計算機(jī)、用戶、組、打印機(jī)等的名稱、描述、地理位置、訪問權(quán)限等信息。目錄服務(wù)是使目錄中所有信息和資源發(fā)揮作用的服務(wù)。服務(wù)的主要表現(xiàn)是：網(wǎng)絡(luò)中的所有用戶和應(yīng)用程序只需提供很少的信息就能準(zhǔn)確定位到這些實體資源，保證用戶能夠快速訪問。目錄服務(wù)在網(wǎng)絡(luò)安全方面也扮演著中心授權(quán)機(jī)構(gòu)的角色，從而使操作系統(tǒng)可以輕松地驗證用戶身份并控制其對網(wǎng)絡(luò)資源的訪問。域（Domain）是共用一個“目錄服務(wù)數(shù)據(jù)庫”，且有安全邊界的計算機(jī)的集合。3.2.1認(rèn)識Windows的域3.2項目知識準(zhǔn)備3.2.1認(rèn)識Windows的域目錄服務(wù)組織管理控制資源集中管理單點管理用戶一次登錄即可訪問ActiveDirectory允許訪問的資源3.2項目知識準(zhǔn)備3.2.1認(rèn)識Windows的域教科書的目錄網(wǎng)絡(luò)的（活動）目錄AD存儲對象章、節(jié)的名稱；頁號基本單元（對象）：用戶、組、計算機(jī)、文件、打印機(jī)、聯(lián)系人等；綜合單元：組織單元、域、域樹、域林等提供的服務(wù)讓讀者快速查找、定位書上的信息對網(wǎng)上的各種資源實現(xiàn)集中統(tǒng)一的單點管理，讓管理員和用戶能夠便捷地查找、定位和管理網(wǎng)上各類對象的信息，進(jìn)兒使這些信息充分發(fā)揮作用?；顒幽夸浺沧鳛榫W(wǎng)絡(luò)安全的集中管理機(jī)構(gòu)，使得操作系統(tǒng)可以驗證用戶的身分并控制用戶對網(wǎng)絡(luò)資源的訪問。存儲結(jié)構(gòu)書的前幾頁域控制器DC，結(jié)構(gòu)化的數(shù)據(jù)倉庫大型數(shù)據(jù)庫擴(kuò)展性靜態(tài)——不能增加條目動態(tài)／活動——①可以隨著網(wǎng)絡(luò)資源的增加而動態(tài)地進(jìn)行擴(kuò)展；②提供對網(wǎng)上資源實施系統(tǒng)管理、安全管理和互操作性等功能服務(wù)。3.2項目知識準(zhǔn)備域控制器在一個域中，活動目錄數(shù)據(jù)庫必須存儲在域中特定的計算機(jī)上，這樣的計算機(jī)被稱為域控制器（DomainController，簡寫為DC）。一個域可以有一個或多個域控制器，各域控制器是平等的。成員服務(wù)器那些安裝了服務(wù)器版操作系統(tǒng)（如：WindowsServer2003或Windows2000Server），但未安裝AD服務(wù)且加入域的計算機(jī)。工作站所有安裝WindowsNTWorkstation、Windows2000Professional或WindowsXPProfessional系統(tǒng)，且加入域的計算機(jī)3.2.2

域中計算機(jī)的角色3.2項目知識準(zhǔn)備有許多計算機(jī)并不屬于任何一個域，即以工作組模式運行著，從功能上來講，也可將其分為兩種角色：獨立服務(wù)器安裝了各種版本的WindowsServer，但未加入域。它一旦加入域中，其角色便轉(zhuǎn)化為“成員服務(wù)器”。一般客戶端計算機(jī)無論執(zhí)行何種操作系統(tǒng)，只要未加入域，且不是獨立服務(wù)器的計算機(jī)，都?xì)w為此類。它一旦加入域中，其角色便是“工作站”。3.2.2

域中計算機(jī)的角色3.2項目知識準(zhǔn)備集中管理：域中所有計算機(jī)共享了一個活動目錄數(shù)據(jù)庫，里面包含了整個域中的所有的資源信息、賬戶信息與安全策略信息。域環(huán)境可以實現(xiàn)在一臺服務(wù)器上對整個網(wǎng)絡(luò)中的用戶賬戶（包括用戶權(quán)限、權(quán)利）、計算機(jī)賬戶、共享資源帳戶和安全策略實施集中管理和統(tǒng)一部署安全級別較高：由于域中所有安全信息都集中存儲在活動目錄數(shù)據(jù)庫中，所以管理員可以通過指定強(qiáng)有力的安全策略來保證整個域的安全。便于用戶訪問域中的資源：在域的活動目錄數(shù)據(jù)庫中，管理員可以創(chuàng)建“域用戶賬戶”。一個域中無論有多少臺計算機(jī)，用戶只要擁有域用戶賬戶，便可訪問域中所有計算機(jī)上允許訪問的資源，即域用戶賬戶對資源的訪問范圍可以是整個域，而非局限在一臺計算機(jī)上。域用戶賬戶可以在加入域的任何一臺計算機(jī)上登錄，從而使用、訪問該計算機(jī)上資源。3.2.3域的特點3.2項目知識準(zhǔn)備對象：用戶賬戶、組、計算機(jī)、打印機(jī)、應(yīng)用程序、共享文件夾、權(quán)限設(shè)置、安全策略設(shè)置等組織單位（OrganizationalUnit，簡稱OU）OU是分層、歸類管理域內(nèi)對象的容器OU能容納的對象：用戶賬戶、用戶組、計算機(jī)、打印機(jī)、共享文件夾、權(quán)限設(shè)置、安全策略設(shè)置和其它的OU。通過OU組織一系列的對象，可以對企業(yè)進(jìn)行卓有成效和富有層次的管理。OU的分類有多種方法，如：按照管理職能劃分按對象類型來劃分按地區(qū)來劃分混合劃分方法可以將一個OU的管理委托給某個用戶或組進(jìn)行。3.2.4活動目錄的組織結(jié)構(gòu)3.2項目知識準(zhǔn)備域(Domain)域是活動目錄的核心管理單元域是對象（如計算機(jī)、用戶、組織單位等）的容器域有安全邊界域中的對象有相同的安全需求、復(fù)制過程和管理。域具有自己的安全策略和與其他域的安全信息關(guān)系域管理員具有管理本域的所有權(quán)利，如果其它的域顯式地賦予它管理權(quán)限，他還能夠訪問或管理其它的域。域是復(fù)制單元復(fù)制域中所有的DC相互3.2.4活動目錄的組織結(jié)構(gòu)3.2項目知識準(zhǔn)備域樹：樹是共享一個連續(xù)的名稱空間的域的組合域林：樹林由一棵或多棵樹組成。樹林中的各棵樹并不共享同一個名稱空間，但共享同一個架構(gòu)和同一個全局目錄數(shù)據(jù)庫3.2.4活動目錄的組織結(jié)構(gòu)樹雙向信任樹林樹雙向信任關(guān)系（根）域域域域域域活動目錄活動目錄活動目錄活動目錄活動目錄活動目錄3.2項目知識準(zhǔn)備3.2.5域中組策略的應(yīng)用通過組策略來實現(xiàn)用戶和計算機(jī)的集中配置和管理。這些設(shè)置包括安全選項、軟件安裝、腳本文件設(shè)置、桌面外觀和用戶文件管理等。組策略的所有配置信息都保存在組策略對象GPO（GroupPolicyObject）兩類GPO：系統(tǒng)內(nèi)建的默認(rèn)GPO默認(rèn)域策略（DefaultDomainPolicy）：該策略將影響域中的所有用戶和計算機(jī)。默認(rèn)域控制器組策略（DefaultDomainControllersPolicy）：通常只影響到域中所有的域控制器。用戶自定義GPO3.3項目實施如何搭建域環(huán)境？在域架構(gòu)中，最核心是DC(域控制器)創(chuàng)建域首先要創(chuàng)建域控制器DC創(chuàng)建后，把客戶端加入到DC中，這樣就形成了域網(wǎng)絡(luò)環(huán)境。3.3項目實施1.安裝域控制器的條件安裝者具有本地管理員權(quán)限。操作系統(tǒng)版本必須滿足條件WindowsServer2003/2008（Web版除外）至少要有一個NTFS分區(qū)原因：為了突破FAT32格式單個文件的大小≤4GB的局限和安全設(shè)置有TCP/IP設(shè)置(IP地址、子網(wǎng)掩碼、DNS的IP等)有相應(yīng)的DNS服務(wù)器支持(其作用是定位域控制器的位置)有足夠的可用空間。任務(wù)3-1域控制器的安裝TCP/IPNTFS任務(wù)3-1域控制器的安裝域控制器安裝完成后：單擊【開始】→【管理工具】→【ActiveDirectory用戶和計算機(jī)】菜單→進(jìn)入【ActiveDirectory用戶和計算機(jī)】窗口：存放默認(rèn)的Windows2008安全組存放加入域的計算機(jī)賬戶的默認(rèn)位置域控制器賬戶的默認(rèn)位置存放外部信任域的安全標(biāo)識

(SID)用戶和組賬戶的默認(rèn)位置任務(wù)3-1域控制器的安裝2.域控制器的安裝過程：安裝前先檢查是否滿足安裝的條件注意做好相關(guān)的備份操作本地管理員身份登錄，運行dcpromo命令任務(wù)3-2計算機(jī)加入或脫離域計算機(jī)能加入域的先決條件是：該計算機(jī)與域控制器能連通在計算機(jī)上正確設(shè)置首選DNS服務(wù)器的IP地址(這里設(shè)為第一臺DC的IP)?？蛻舳?（物理機(jī)）客戶端2（虛擬機(jī)2）

IP：192.168.1.11/24DNS：192.168.1.1

IP：10.1.80.X/24域控制器（虛擬機(jī)1）

IP：192.168.1.1/24DNS：192.168.1.1加入域任務(wù)3-2計算機(jī)加入或脫離域任務(wù)3-3創(chuàng)建與管理域用戶賬戶創(chuàng)建域用戶賬戶：任務(wù)3-3創(chuàng)建與管理域用戶賬戶限制用戶登錄域的時間：任務(wù)3-3創(chuàng)建與管理域用戶賬戶限制域用戶賬戶只能從特定的計算機(jī)上登錄域任務(wù)3-4創(chuàng)建與管理域組賬戶域組分類安全組通訊組（分布式組）實現(xiàn)與安全性有關(guān)的工作和功能，可以通過給安全組賦予訪問資源的權(quán)限來限制安全組的成員對域中資源的訪問。如：可設(shè)置對某個文件有“讀取”或“改寫”的權(quán)限。也可用在與安全無關(guān)的任務(wù)上，如：可以通過電子郵件軟件將電子郵件發(fā)送給安全組。用在與安全無關(guān)的任務(wù)上。不能被賦予訪問資源的權(quán)限。只能收發(fā)電子郵件，即分發(fā)組可以組織其成員的E-MAIL地址成為E-MAIL列表。利用這個特性使基于AD的應(yīng)用程序就可以直接利用分發(fā)組來發(fā)E-MAIL給多個用戶以及實現(xiàn)其他和E-MAIL列表相關(guān)的功能（例如在ExchangeServer2007/1010中使用）。本地域組全局組通用組作用范圍該組所在的域內(nèi)所有受信任的域所有受信任的域成員所有域的用戶賬戶、全局組、通用組，以及本域的域本地組本域的用戶賬戶和全局組所有域的用戶賬戶、全局組和通用組任務(wù)3-4創(chuàng)建與管理域組賬戶創(chuàng)建域組帳戶任務(wù)3-5創(chuàng)建與管理組織單元創(chuàng)建組織單位任務(wù)3-5創(chuàng)建與管理組織單元向組織單位添加對象任務(wù)3-6組策略對象(GPO)的創(chuàng)建與配置創(chuàng)建和管理GPO的工具：【開始】→【管理工具】→【組策略管理】該工具可以完成對組策略的各種配置和管理，包括備份，還原和生成組策略報表。任務(wù)3-6組策略對象(GPO)的創(chuàng)建與配置1.創(chuàng)建GPO—統(tǒng)一定制桌面環(huán)境任務(wù)3-6組策略對象(GPO)的創(chuàng)建與配置2.配置GPO任務(wù)3-6組策略對象(GPO)的創(chuàng)建與配置3.將GPO鏈接到指定的容器任務(wù)3-6組策略對象(GPO)的創(chuàng)建與配置4.GPO策略實現(xiàn)效果的測試在域控制器上強(qiáng)制刷新組策略gpupdate/force客戶端gpupdate/force或者注銷客戶端再用域用戶帳戶登錄任務(wù)3-7為批量客戶端自動安裝軟件步驟1:在域控制器上建立相應(yīng)的組織單元(如“財務(wù)部”)和用戶。步驟2：創(chuàng)建分發(fā)點。以管理員身份登錄到用來存放分發(fā)軟件的服務(wù)器→創(chuàng)建一個共享文件夾，并使域用戶有共享讀取權(quán)限和NTFS讀取權(quán)限→在分發(fā)點用不同的子文件夾存放要分發(fā)的不同安裝文件（.msi文件）。任務(wù)3-7批量自動安裝客戶端軟件步驟3:在域控制器上進(jìn)入【組策略管理】窗口→基于“財務(wù)部”O(jiān)U創(chuàng)建名為“分發(fā)軟件”的GPO→右擊新建的【分發(fā)軟件】GPO→在彈出的快捷菜單中選擇【編輯】→打開【組策略管理編輯器】窗口,在左窗格中依次展開【用戶配置】→【策略】→【軟件設(shè)置】→右擊【軟件安裝】→在彈出的快捷菜單中選擇【新建】→【程序包】,如圖3-41所示。任務(wù)3-7