文件、打印服務(wù)器和組策略綜合練習(xí)(完整版)

1、重慶文理學(xué)院實(shí)驗(yàn)報(bào)告文件、打印服務(wù)器和組策略綜合練習(xí) 作者： 溫?zé)顐ブ笇?dǎo)教師： 劉友緣學(xué)科專業(yè)： 計(jì)算機(jī)科學(xué)與技術(shù) | 網(wǎng)絡(luò)工程起始日期：2013年 2月 28日 提交日期：2013年 3月 29日單位：重慶文理學(xué)院 中 國(guó) · 重 慶2013年3月目錄1實(shí)驗(yàn)31.1 實(shí)驗(yàn)?zāi)康?1.2 實(shí)驗(yàn)要求32文件服務(wù)器的搭建52.1 文件服務(wù)器的搭建52.2 創(chuàng)建域用戶及用戶組62.3 用戶權(quán)限設(shè)置122.4 設(shè)置磁盤配額122.5 驗(yàn)證操作及結(jié)果153打印服務(wù)器的搭建173.1 啟動(dòng)Print Spooler服務(wù)173.2 添加網(wǎng)絡(luò)打印機(jī)193.3 共享打印機(jī)與權(quán)限設(shè)置233.4 驗(yàn)證操作及

2、結(jié)果254組策略的應(yīng)用274.1 統(tǒng)一桌面背景294.2 限制指定的程序324.3 默認(rèn)IE主頁(yè)354.4 隱藏C盤394.5 刪除windows組件414.6 禁止域用戶更改IP434.7 禁止未授權(quán)用戶U盤464.8 強(qiáng)制開啟遠(yuǎn)程桌面474.9 允許域用戶關(guān)機(jī)491實(shí)驗(yàn)1.1 實(shí)驗(yàn)?zāi)康?1. 文件服務(wù)器的搭建 2. 打印服務(wù)器的搭建 3. 組策略的應(yīng)用1.2 實(shí)驗(yàn)要求 1、文件服務(wù)器的搭建（SRV1為域控制器，域?yàn)椋籗RV2加入到域內(nèi)，分別用于員工和主管登錄測(cè)試效果用）SOVO公司要建立一臺(tái)文件服務(wù)器，用于存儲(chǔ)公司的應(yīng)用軟件、辦公文檔（如圖1所示）和文件資料SOVO公司的域名為要求：（1）

3、要求公司所有員工(包括經(jīng)理和主管)只能讀取應(yīng)用軟件的安裝程序，不能修改和刪除；員工只能讀取公司的文件資料，不能修改和刪除（2）員工可以讀取、修改、刪除自己的辦公文檔,不能訪問其它人員的文件夾（3）經(jīng)理對(duì)所有部門的人員的文件夾有完全控制權(quán)限，各部門的主管僅只對(duì)下屬員工文件夾有完全控制權(quán)限（4）在D盤根目錄建立如下目錄結(jié)構(gòu)各用戶的登錄名用各自姓名的拼音；E盤建立soft文件夾，存儲(chǔ)軟件安裝程序;E盤建立public文件夾，存儲(chǔ)公共資料（5）在D盤和E盤上激活磁盤配額，限制每名員工總的存儲(chǔ)量不能超過10MB，警告級(jí)別為6MB，超過配額拒絕寫入，經(jīng)理和主管不限制配額圖1 域主機(jī)上員工文件夾位置2、打印

4、服務(wù)器的搭建（SRV1為打印服務(wù)器；SRV2用于共享SRV1的打印機(jī)，用于測(cè)試用）,如圖2所示要求：（1）在SRV1上添加一臺(tái)HP LaserJet 4LC的打印機(jī)。（2）SRV2能共享打印SRV1的打印機(jī).圖2 搭建示意圖3、 組策略應(yīng)用（SRV1為域控制器；SRV2屬于該域內(nèi)的測(cè)試用戶，用于測(cè)試用；SRV3為該域內(nèi)的測(cè)試用戶） 要求：（1）所有域用戶不能隨便修改背景，保證公司使用帶有公司LOGO的統(tǒng)一背景。（2）所有域用戶不能運(yùn)行管理員已經(jīng)限制的程序，比如計(jì)算器，畫圖,QQ等。（3）配置域用戶所有IE的默認(rèn)設(shè)定為本企業(yè)網(wǎng)站，保證員工打開IE可以直接訪問到公司網(wǎng)站。且用戶不能自行更改主頁(yè)（4

5、）隱藏所有用戶的C盤，防止用戶誤刪除系統(tǒng)文件，造成系統(tǒng)崩潰。（5）控制面板中隱藏”添加刪除windows組件”，防止用戶隨意添加windows組件，造成系統(tǒng)問題。（6）除管理員外的任何域帳號(hào)都不可以更改計(jì)算機(jī)的IP地址設(shè)置，防止由于IP地址沖突造成網(wǎng)絡(luò)混亂。（7）根據(jù)用戶權(quán)限的大小自動(dòng)禁止U盤的使用（8）強(qiáng)制開通用戶的遠(yuǎn)程桌面（9）允許域用戶關(guān)機(jī)2文件服務(wù)器的搭建 2.1 文件服務(wù)器的搭建啟動(dòng)活動(dòng)目錄安裝向?qū)Ц鶕?jù)提示完成配置操作點(diǎn)擊兩次下一步，選擇“在新林中的域”，輸入域名“”,默認(rèn)下一步，直到設(shè)置還原模式密碼，設(shè)置好密碼，默認(rèn)下一步，完成配置。2.2 創(chuàng)建域用戶及用戶組回到SRV1，按圖所示

6、在AD用戶和計(jì)算機(jī)中創(chuàng)建OU以及相關(guān)用戶（用拼音代替）創(chuàng)建組!創(chuàng)建用戶選中右邊框內(nèi)用戶，單擊右鍵，選擇屬性->成員->添加->高級(jí)->立即查找，把對(duì)應(yīng)用戶加入組中在D盤中創(chuàng)建share，然后在文件夾中新建財(cái)務(wù)部、工程部、經(jīng)理部、銷售部的文件夾E盤建立soft文件夾和public文件夾，分別存儲(chǔ)軟件安裝程序和存儲(chǔ)公共資料2.3 用戶權(quán)限設(shè)置文件夾名共享權(quán)限NTFS權(quán)限D(zhuǎn)：shareEveryone組完全控制gonghong（經(jīng)理）完全控制，everyone組列出文件夾目錄D：share工紅無(wú)gonghong（經(jīng)理）完全控制D：share銷售部無(wú)全局組xiaoshoubu讀

7、取，gonghong（經(jīng)理）完全控制，zhangjian（主管）完全控制D：share財(cái)務(wù)部無(wú)全局組caiwubu讀取，gonghong（經(jīng)理）完全控制，denglong（主管）完全控制D：share工程部無(wú)全局組gongchengbu讀取，gonghong（經(jīng)理）完全控制，gongyu（主管）完全控制員工個(gè)人文件夾如：D：share銷售部王長(zhǎng)飛無(wú)gonghong（經(jīng)理）完全控制，zhangjian（主管）完全控制，wangchangfei（員工自己）完全控制（注：這里不應(yīng)該有全局組的繼承權(quán)限） E：softeveryone組完全控制Administrator用戶完全控制，everyone組讀

8、取E：publiceveryone組完全控制Administrator用戶完全控制，everyone組讀取注：有些操作和書上不一樣2.4 設(shè)置磁盤配額在D、E盤上激活磁盤配額功能，來(lái)控制員工文檔的存儲(chǔ)量步驟為：右擊D盤->屬性->配額->選中：?jiǎn)⒂门漕~管理、磁盤空間給超過配額限制的用戶兩個(gè)選項(xiàng)->單擊配額項(xiàng)->單擊配額->新建配額項(xiàng)->給相應(yīng)的員工設(shè)置磁盤配額參數(shù)2.5 驗(yàn)證操作及結(jié)果SRV1上設(shè)置用戶的密碼后，把SRV2加入域中結(jié)果：1.權(quán)限驗(yàn)證：這里我們以王長(zhǎng)飛、龔雨和工紅為例子，在SRV2上登錄賬戶，通過開始->運(yùn)行，訪問域主機(jī)（IP為19

9、2.168.2.200），可以發(fā)現(xiàn)三個(gè)用戶都能訪問public和soft但是工紅可以訪問所有用戶的文件夾，龔雨可以訪問自己部門所有的文件夾，而王長(zhǎng)飛只能訪問自己的磁盤配額驗(yàn)證：還是以王長(zhǎng)飛、龔雨和工紅為例，首先在SRV2上登錄wangchangfei的賬戶，以當(dāng)我移動(dòng)一個(gè)超過10M大小的文件夾時(shí)，如下圖所示而我用gonghong和gongyu的用戶登錄，則不會(huì)出現(xiàn)此類狀況3打印服務(wù)器的搭建3.1 啟動(dòng)Print Spooler服務(wù)在無(wú)打印機(jī)的條件下需要先進(jìn)行以下配置：開始->管理工具->服務(wù)->Print Spooler->啟動(dòng)類型選擇自動(dòng)->點(diǎn)擊啟動(dòng)->單

10、擊應(yīng)用及確定3.2 添加網(wǎng)絡(luò)打印機(jī)在SRV1上以Administrator身份登錄，單擊開始->打印機(jī)和傳真雙擊添加打印機(jī)->單擊下一步->連接到此計(jì)算機(jī)的本地打印機(jī)、選中自動(dòng)檢測(cè)并安裝即插即用打印機(jī)->單擊下一步去掉自動(dòng)檢測(cè)（注：由于沒有打印機(jī)，所以這一步是正常的，單擊下一步即可）選擇端口類型為L(zhǎng)PT1->單擊下一步->廠商和打印機(jī)選擇HP、HP LaserJet 4LC.默認(rèn)設(shè)置，單擊下一步，位置為SRV13.3 共享打印機(jī)與權(quán)限設(shè)置右擊打印機(jī)圖標(biāo)->屬性->安全，給Administrator用戶添加管理打印機(jī)的權(quán)限，給everyone組賦予

11、打印權(quán)限。3.4 驗(yàn)證操作及結(jié)果在SRV2上以本地Administrator身份登錄，單擊開始->打印機(jī)和傳真雙擊添加打印機(jī)->單擊下一步->選擇網(wǎng)絡(luò)打印機(jī)或連接其他計(jì)算機(jī)的打印機(jī)->單擊下一步選擇第二項(xiàng)，在名稱處輸入192.168.2.200HP LaserJet 4LC->單擊下一步，默認(rèn)設(shè)置完成向?qū)?。?yàn)證網(wǎng)絡(luò)打?。ㄗⅲ河捎跊]有真實(shí)打印機(jī)，通過是否把數(shù)據(jù)傳給SRV1確認(rèn)是否安裝正確）測(cè)試說(shuō)明：實(shí)驗(yàn)成功！4組策略的應(yīng)用實(shí)驗(yàn)步驟：創(chuàng)建4個(gè)組織單位（ou），分別對(duì)應(yīng)經(jīng)理部、銷售部、財(cái)務(wù)部、工程部，步驟為：開始->管理工具->AD用戶和計(jì)算機(jī)->右擊

12、域名->新建->組織單位（ou），然后在ou中新建用戶分別編輯ou的組策略，以銷售部為例，右鍵點(diǎn)擊ou->屬性->組策略4.1 統(tǒng)一桌面背景步驟為：.雙擊桌面背景的策略->用戶配置->管理模板->桌面->Active Desktop->Active Desktop 墻紙選擇已啟用，配置路徑為192.168.2.200sharesabc.jpg（在D盤新建文件夾shares，共享此文件，NTFS權(quán)限為everyone完全控制。abc.jpg為自己添加的圖片），墻紙樣式為平鋪，同時(shí)不允許更改回到桌面，開始->運(yùn)行->cmd->

13、gpupdate即可（注：發(fā)現(xiàn)不能實(shí)現(xiàn)，則需重啟策略所在范圍內(nèi)的計(jì)算機(jī)）驗(yàn)證：客戶端登錄域用戶4.2 限制指定的程序 就以windows自帶的計(jì)算器程序?yàn)槔渌绦虿襟E相同，只要輸入相應(yīng)的exe運(yùn)行文件即可。步驟為：雙擊限制程序的策略->用戶配置->管理模板->系統(tǒng)->不要運(yùn)行指定的Windows應(yīng)用程序選擇已啟用，點(diǎn)擊顯示->添加->例：計(jì)算器（calc.exe）->確定->應(yīng)用回到桌面，開始->運(yùn)行->cmd->gpupdate即可驗(yàn)證：客戶端登錄域用戶為了使此策略更加準(zhǔn)確，還可以不允許軟件程序的路徑，防止用戶更改程序名之

14、后可以運(yùn)行。以下是進(jìn)行設(shè)置的方法：雙擊限制程序的策略->計(jì)算機(jī)配置->Windows設(shè)置->安全設(shè)置->軟件限制策略->其他規(guī)則->新建進(jìn)行設(shè)置4.3 默認(rèn)IE主頁(yè)步驟為：雙擊默認(rèn)網(wǎng)站的策略->用戶配置->Windows設(shè)置->Internet Explorer維護(hù)->URL->重要URL，綁定主頁(yè)注意：這里不能輸入，它會(huì)提示URL無(wú)效雙擊默認(rèn)網(wǎng)站的策略->用戶配置->管理模板->Windows組件->Internet Explorer->禁用更改主頁(yè)設(shè)置，切換為已啟用，綁定主頁(yè)回到桌面，開始-&g

15、t;運(yùn)行->cmd->gpupdate即可驗(yàn)證：打開瀏覽器，客戶端登錄域用戶，選擇工具->Internet選項(xiàng)查看4.4 隱藏C盤步驟為：雙擊隱藏C盤的策略->用戶配置->管理模板->windows組件->windows資源管理器->隱藏”我的電腦”中指定的這些驅(qū)動(dòng)器切換為已啟用，并選擇僅限制驅(qū)動(dòng)器C回到桌面，開始->運(yùn)行->cmd->gpupdate即可驗(yàn)證：回到桌面，客戶端登錄域用戶，打開我的電腦進(jìn)行查看4.5 刪除windows組件步驟為：雙擊隱藏添加刪除windows組件的策略->用戶配置->管理模板->

16、;控制面板->添加或刪除程序->隱藏“添加刪除windows組件”頁(yè)面切換為已啟用回到桌面，開始->運(yùn)行->cmd->gpupdate即可驗(yàn)證：回到桌面，客戶端登錄域用戶，開始->控制面板->添加或刪除程序4.6 禁止域用戶更改IP步驟為：雙擊不可更改IP的策略->用戶配置->管理模板->網(wǎng)絡(luò)->網(wǎng)絡(luò)連接->禁止訪問LAN連接的屬性，使任何域帳號(hào)都不可以更改計(jì)算機(jī)的IP地址設(shè)置切換為已啟用網(wǎng)絡(luò)連接->為管理員啟用windows2000網(wǎng)絡(luò)連接設(shè)置，使域中的Administrator可以更改。切換為已啟用回到桌面，開始

17、->運(yùn)行->cmd->gpupdate即可驗(yàn)證：回到桌面，客戶端登錄域用戶，雙擊4.7 禁止未授權(quán)用戶訪問U盤步驟為：雙擊自動(dòng)禁止U盤的策略->用戶配置->管理模板->windows組件->windows資源管理器->和里面選中具體制作方法請(qǐng)參考：注意：這里要對(duì)相應(yīng)的分組，或者是對(duì)某個(gè)單獨(dú)的用戶使用此策略，而不是在域里修改組策略回到桌面，開始->運(yùn)行->cmd->gpupdate即可驗(yàn)證：回到桌面，客戶端登錄不同域用戶，插入U(xiǎn)盤，查看4.8 強(qiáng)制開啟遠(yuǎn)程桌面步驟為：雙擊強(qiáng)制遠(yuǎn)程桌面的策略->計(jì)算機(jī)配置->管理模板->Windows組件->終端服務(wù)->允許用戶使用終端服務(wù)遠(yuǎn)程連接，選擇“已啟用”回到桌面，開始->運(yùn)行->cmd->gpupdate即可(注：這里仍需要重啟客戶機(jī)和域管理員的機(jī)器，否則策略不會(huì)生效)驗(yàn)證：回到桌面，打開我的電腦屬性->遠(yuǎn)程查看，域超級(jí)管理員用戶運(yùn)行cmd->mstsc進(jìn)行訪問,這里啟用了兩臺(tái)客戶機(jī)進(jìn)