網(wǎng)絡(luò)操作系統(tǒng)第五章單元設(shè)計(jì)

1、單元設(shè)計(jì)管理組策略本次課標(biāo)題：管理組策略授課班級(jí)上課時(shí)間周 月 日 第 節(jié)上課地點(diǎn)網(wǎng)絡(luò)系統(tǒng)機(jī)房 周 月 日 第 節(jié) 周 月 日 第 節(jié)網(wǎng)絡(luò)系統(tǒng)機(jī)房教學(xué)目的組策略是從Windows 2000開始有的一個(gè)新特點(diǎn)。組策略用來在用戶或計(jì)算機(jī)集合上強(qiáng)制設(shè)置一些配置，這在多臺(tái)計(jì)算機(jī)需要統(tǒng)一的工作界面時(shí)很有實(shí)用意義。組策略為管理員提供了進(jìn)一步控制和集中管理用戶工作環(huán)境、實(shí)現(xiàn)軟件部署以及安全性管理。例如用戶的桌面環(huán)境、計(jì)算機(jī)啟動(dòng)/關(guān)機(jī)所執(zhí)行的腳本文件、用戶登錄/注銷所執(zhí)行的腳本文件等。Windows Server 2003系統(tǒng)賦予組策略更新的功能和特性，通過組策略可以更容易管理網(wǎng)絡(luò)上的資源。教學(xué)目標(biāo)能力（技能

2、）目標(biāo)知識(shí)目標(biāo)1掌握組策略的管理與配置方法；2掌握利用組策略管理資源與對(duì)象；3掌握域安全策略及域控制器安全策略的配置管理方法。1 了解組策略的組件、配置類型及功能類型；2 掌握本地組策略的編輯；3 掌握域組策略的創(chuàng)建和管理；4 掌握域安全策略及域控制器安全策略的配置管理方法。重點(diǎn)難點(diǎn)及解決方法重點(diǎn)：組策略的管理與配置方法，域安全策略及域控制器安全策略的配置管理方法。難點(diǎn)：組策略的管理與配置方法，域安全策略及域控制器安全策略的配置管理方法。解決辦法：通過案例學(xué)生自己動(dòng)手作實(shí)驗(yàn)配置和管理。參考資料主教材：自編講義Windows Server 2003配置管理與應(yīng)用參考書目：計(jì)算機(jī)網(wǎng)絡(luò)配置、管理與應(yīng)

3、用，吳怡主編，高等教育出版社出版社，第一版；參考書目：windows server 2003網(wǎng)絡(luò)管理實(shí)訓(xùn)教程，王隆杰、梁廣民、楊名川等 主編，清華大學(xué)出版社出版社，第一版；參考書目：windows server 2003，smartraining工作室 商宏圖李紅巖等主編，機(jī)械工業(yè)出版社出版社，第一版；課前準(zhǔn)備：根據(jù)學(xué)生人數(shù)分組，每組兩臺(tái)機(jī)器。共10臺(tái)機(jī)器，操作系統(tǒng)都為Windows Server 2003。步驟1：對(duì)本章進(jìn)行整體介紹（10分鐘）1先由教師對(duì)本章內(nèi)容進(jìn)行簡(jiǎn)單介紹。講解：組策略是從Windows 2000開始有的一個(gè)新特點(diǎn)。組策略用來在用戶或計(jì)算機(jī)集合上強(qiáng)制設(shè)置一些配置，這在多臺(tái)

4、計(jì)算機(jī)需要統(tǒng)一的工作界面時(shí)很有實(shí)用意義。組策略為管理員提供了進(jìn)一步控制和集中管理用戶工作環(huán)境、實(shí)現(xiàn)軟件部署以及安全性管理。例如用戶的桌面環(huán)境、計(jì)算機(jī)啟動(dòng)/關(guān)機(jī)所執(zhí)行的腳本文件、用戶登錄/注銷所執(zhí)行的腳本文件等。Windows Server 2003系統(tǒng)賦予組策略更新的功能和特性，通過組策略可以更容易管理網(wǎng)絡(luò)上的資源。組策略是一組配置設(shè)置，是組策略管理員應(yīng)用于活動(dòng)目錄存儲(chǔ)中的一個(gè)或多個(gè)對(duì)象。利用它組策略管理員可以為用戶提供一個(gè)完全總裝的桌面環(huán)境。這個(gè)環(huán)境包括定制的【開始】菜單，自動(dòng)安裝的應(yīng)用程序以及對(duì)文件、文件夾和Windows Server 2003系統(tǒng)設(shè)置的限制訪問。舉例：在企業(yè)中，如果公司

5、老總想讓所有員工的桌面保持一致，網(wǎng)絡(luò)管理員想一次性把所有員工的電腦上都安裝同一個(gè)軟件，所有員工的電腦上每天一起機(jī)就都執(zhí)行同一個(gè)腳本，打出一行字“歡迎來到某某企業(yè)，如果您的電腦出現(xiàn)問題，請(qǐng)打電話到某某某！”這些都可以用組策略來完成。 步驟2：組策略簡(jiǎn)介（20分鐘）以問題引導(dǎo)和案例的方法教學(xué)1提問式引導(dǎo)：組策略的組件包括哪些？（大家思考，個(gè)別回答）講解：包括組策略對(duì)象、組策略容器和組策略模板。 2提問式引導(dǎo)：下面找同學(xué)分別說一說什么叫組策略對(duì)象、組策略容器和組策略模板？（大家思考，個(gè)別回答（每個(gè)題目找一個(gè)學(xué)生）講解：在學(xué)生回答的基礎(chǔ)上，進(jìn)行補(bǔ)充講解，在機(jī)器上找到相對(duì)的位置，在講到組策略對(duì)象時(shí)，在機(jī)

6、器上演示組策略對(duì)象創(chuàng)建的位置（分本地組策略、域組策略、默認(rèn)域安全策略和默認(rèn)域控制器安全策略來講解）。1）組策略對(duì)象組策略對(duì)象（GPO，Group Policy Object）是組策略的載體，要想實(shí)現(xiàn)組策略管埋，必須創(chuàng)建組策略對(duì)象。在活動(dòng)目錄中可以把組策略對(duì)象應(yīng)用于特定的目標(biāo)，如站點(diǎn)、域和OU以實(shí)現(xiàn)組策略管理的目的。組策略對(duì)象的內(nèi)容存儲(chǔ)在GPC（組策略容器）和GPT（組策略模板）中。組策略只能在活動(dòng)目錄中的站點(diǎn)、域和OU對(duì)象上設(shè)置策略。在對(duì)這些對(duì)象設(shè)置組策略時(shí)有以下特點(diǎn)：（1）一個(gè)GPO可以與多個(gè)站點(diǎn)、域和OU相鏈接，這樣當(dāng)需要對(duì)不同的對(duì)象執(zhí)行相同策略管理時(shí)可以減輕管理員的工作負(fù)擔(dān)。（2）每個(gè)站

7、點(diǎn)、域和OU也可以應(yīng)用多個(gè)GPO。2）組策略容器組策略容器（GPC，Group Policy Container）是包含GPO狀態(tài)和版本信息的活動(dòng)目錄對(duì)象，存儲(chǔ)在活動(dòng)目錄中。計(jì)算機(jī)使用GPC來定位組策略模板，而且域控制器可以通過訪問GPC來獲得GPO的版本信息。如果一臺(tái)域控制器沒有最新的GPO版本信息，那么就會(huì)引發(fā)為了獲得最新GPO版本信息的活動(dòng)目錄復(fù)制。3）組策略模板組策略模板（GPT，Group Policy Template）存儲(chǔ)在域控制器上的SYSVOL共享文件夾中，用來提供所有的組策略設(shè)置和信息，包括管理模板、安全性、軟件安裝、腳本、文件夾重定向設(shè)置等。當(dāng)創(chuàng)建一個(gè)GPO時(shí)，Windo

8、ws Server 2003創(chuàng)建相應(yīng)的GPT。客戶端計(jì)算機(jī)能夠接受組策略的配置就是因?yàn)樗鼈兒虳C的SYSVOL文件夾鏈接，獲得并應(yīng)用這些設(shè)置。3組策略的配置類型及組策略的功能類型先由學(xué)生在本機(jī)上（或通過遠(yuǎn)程訪問的方法）結(jié)合書上的圖5-1及文字講解來學(xué)習(xí)組策略的配置類型及組策略的功能類型有哪些，簡(jiǎn)單作以了解。（學(xué)生做試驗(yàn)，教師各別解決問題）找學(xué)生對(duì)組策略的配置類型及組策略的功能類型作總結(jié)說明。每個(gè)組策略的配置類型都包括兩部分內(nèi)容：計(jì)算機(jī)配置和用戶配置，如圖5-1所示的一個(gè)在域上的默認(rèn)GPO。圖5-1 組策略編輯器窗口1）計(jì)算機(jī)的組策略配置在計(jì)算機(jī)的組策略配置中可以指定操作系統(tǒng)的行為、桌面行為、安

9、全性設(shè)置、計(jì)算機(jī)的啟動(dòng)和關(guān)機(jī)命令、計(jì)算機(jī)賦予的應(yīng)用程序選項(xiàng)以及應(yīng)用程序設(shè)置。在計(jì)算機(jī)啟動(dòng)時(shí)會(huì)應(yīng)用計(jì)算機(jī)的組策略設(shè)置。2）用戶的組策略配置在用戶的組策略配置中可以指定操作系統(tǒng)行為、桌面行為、安全性設(shè)置、賦予的和公布的應(yīng)用程序選項(xiàng)、應(yīng)用程序設(shè)置、文件夾的重定向選項(xiàng)以及用戶登錄和退出登錄的命令等。當(dāng)用戶登錄計(jì)算機(jī)時(shí)會(huì)應(yīng)用與該用戶相關(guān)的組策略設(shè)置。注意：當(dāng)同一個(gè)組策略的計(jì)算機(jī)配置和用戶配置發(fā)生沖突時(shí)，計(jì)算機(jī)的組策略配置優(yōu)先。步驟3：組策略對(duì)象的創(chuàng)建及管理。（40分鐘）這一章的內(nèi)容學(xué)生以前沒有任何接觸，不是很好掌握，所以以教師引導(dǎo)和案例的方法教學(xué)1教師引導(dǎo)：先由教師在教師機(jī)上演示域組策略的創(chuàng)建和簡(jiǎn)單的管

10、理（大體介紹）再由學(xué)生自己在本組機(jī)上以【案例1】、【案例2】、【案例3】為例進(jìn)行操作實(shí)踐，初步對(duì)域組策略進(jìn)行了解。學(xué)生對(duì)案例的操作一般不會(huì)很成功。教師總結(jié)：在教師機(jī)上對(duì)學(xué)生操作不是很好的案例作操作演示，一定讓學(xué)生看出最后的效果。步驟4：組策略的應(yīng)用（90分鐘）以教師引導(dǎo)和案例的方法教學(xué)1 管理軟件設(shè)置使用組策略可以集中管理軟件分發(fā)，可以為一組用戶或計(jì)算機(jī)指派或發(fā)布軟件。提問式引導(dǎo)：指派軟件和發(fā)布軟件都有哪些區(qū)別？（大家思考，個(gè)別回答）講解：指派軟件：1）這樣當(dāng)用戶登錄時(shí)，軟件會(huì)被通告指派給了用戶，但是軟件并沒有真正安裝在該計(jì)算機(jī)上，而只是安裝了與軟件有關(guān)的部分信息，當(dāng)用戶運(yùn)行軟件的快捷方式或者

11、雙擊該軟件的文檔時(shí)，該軟件才會(huì)被自動(dòng)安裝。2）軟件指派應(yīng)用程序既可以用于計(jì)算機(jī)配置，也可用于用戶配置。3）指派的應(yīng)用程序用戶無法刪除發(fā)布軟件：1）和指派軟件不同，發(fā)布一個(gè)軟件時(shí)計(jì)算機(jī)并無該軟件的快捷方式，用戶需要用【控制面板】|【添加或者刪除應(yīng)用程序】選項(xiàng)來安裝軟件。2）發(fā)布應(yīng)用程序只用于用戶配置，在組策略中發(fā)布的程序是否被用戶安裝，取決于用戶。3）應(yīng)用程序出現(xiàn)在用戶的控制面板的【添加/刪除程序】的安裝組件列表中，用戶可以卸載這些應(yīng)用程序通過案例4給學(xué)生演示操作，然后由學(xué)生來自己操作演示（最好給學(xué)生提供一些小的軟件包讓他們演示看出效果）。2 配置桌面為使組策略的配置效果更明顯，對(duì)桌面的配置我們

12、采用配置“本地計(jì)算機(jī)”組策略的方法。教師引導(dǎo)：先由教師對(duì)案例進(jìn)行解釋和必要引導(dǎo)工作（設(shè)置開始菜單、設(shè)置最近打開文檔記錄、設(shè)置系統(tǒng)關(guān)機(jī)）再由學(xué)生在本機(jī)上（或通過遠(yuǎn)程訪問的方法）結(jié)合書上的案例進(jìn)行操作（學(xué)生做試驗(yàn)，教師各別解決問題）找學(xué)生演示操作的方法和過程，重點(diǎn)操作后強(qiáng)調(diào)讓學(xué)生看效果。給學(xué)生一段時(shí)間看看還能不能對(duì)其他的策略進(jìn)行設(shè)置，看效果，鼓勵(lì)學(xué)生動(dòng)手操作。3使用腳本教師引導(dǎo)：對(duì)腳本的設(shè)置進(jìn)行演示（有一個(gè)腳本的例子最好）讓學(xué)生演示看效果。4文件夾重定向教師引導(dǎo)，先由學(xué)生在本機(jī)上（或通過遠(yuǎn)程訪問的方法）結(jié)合書上的案例8進(jìn)行操作。（學(xué)生做試驗(yàn)，教師各別解決問題）找同學(xué)演示（教師作輔助工作，讓學(xué)生看效

13、果）5安全設(shè)置先由教師對(duì)安全設(shè)置部分進(jìn)行講解，演示。再由學(xué)生在本組機(jī)上演示操作。（學(xué)生做試驗(yàn)，教師各別解決問題）6安全模板先由教師對(duì)安全模板部分進(jìn)行講解，演示。再由學(xué)生在本組機(jī)上演示操作。（學(xué)生做試驗(yàn)，教師各別解決問題）【案例5】設(shè)置“本地計(jì)算機(jī)”組策略。具體操作步驟如下：（1）在【開始】|【運(yùn)行】對(duì)話框中輸入gpedit.msc命令，彈出【組策略編輯器】窗口，對(duì)“本地計(jì)算機(jī)”策略進(jìn)行設(shè)置，如圖5-12所示。圖5-12 “本地計(jì)算機(jī)”組策略編輯器管理窗口（2）選擇【用戶配置】|【管理模板】文件夾，在對(duì)應(yīng)的右邊子窗口中，雙擊【任務(wù)欄和開始菜單】子文件夾，如圖5-13所示。圖5-13 顯示【任務(wù)欄

14、和開始菜單】子文件夾對(duì)象（3）雙擊【阻止更改任務(wù)欄和開始菜單設(shè)置】選項(xiàng)，彈出【阻止更改任務(wù)欄和開始菜單設(shè)置】對(duì)話框，選擇【已啟用】單選按鈕，如圖5-14所示。（4）單擊【應(yīng)用】|【確定】按鈕?！鹃_始】菜單就不能被非法修改了。圖5-14 組策略設(shè)置對(duì)話框2設(shè)置最近打開文檔記錄出于某種安全的需要，例如不想讓人知道自己瀏覽過哪些網(wǎng)頁和打開過哪些文件，這時(shí)只要在右側(cè)窗格中雙擊【不要保留最近打開文檔的記錄】（如圖5-15所示），對(duì)其設(shè)置，選擇【已啟用】單選按鈕進(jìn)行設(shè)置，然后仍然在圖5-15中選擇【退出時(shí)清除最近文檔的記錄】策略，對(duì)其進(jìn)行同樣設(shè)置即可。圖5-15 組策略編輯器窗口3設(shè)置系統(tǒng)關(guān)機(jī)在關(guān)閉Win

15、dows Server 2003系統(tǒng)時(shí)，總會(huì)出現(xiàn)關(guān)機(jī)原因提示框（有利于網(wǎng)絡(luò)管理員查找服務(wù)器關(guān)機(jī)的原因），可以進(jìn)行設(shè)置將提示框關(guān)閉。對(duì)關(guān)閉關(guān)機(jī)原因提示框進(jìn)行如下設(shè)置：【案例6】設(shè)置系統(tǒng)關(guān)機(jī)策略。具體操作步驟如下：（1）選擇【開始】|【運(yùn)行】命令，在打開的對(duì)話框中輸入gpedit.msc命令，彈出【組策略編輯器】窗口。（2）單擊【計(jì)算機(jī)配置】文件夾|【管理模板】文件夾|【系統(tǒng)】文件夾，如圖5-16所示。（3）雙擊【顯示“關(guān)閉事件跟蹤程序”】，在彈出的對(duì)話框中（如圖5-17），選擇【已禁用】單選按鈕，單擊【確定】按鈕。 圖5-16 【系統(tǒng)】文件夾中的對(duì)象顯示窗口 圖5-17 組策略設(shè)置窗口 步驟5：域安全策略及域控制器安全策略（10分鐘） 先由學(xué)生在本機(jī)上（或通過遠(yuǎn)程訪問的方法）結(jié)合書上的案例操作。（學(xué)生做試驗(yàn)，教師各別解決問題）教師整體對(duì)域安全策略及域控制器安全策略進(jìn)行介紹和講解。重點(diǎn)舉兩個(gè)案例（一般不會(huì)出現(xiàn)太大問題）。步驟6：學(xué)生對(duì)