《服務(wù)器配置》課件---單元3項(xiàng)目1

1、服務(wù)器配置學(xué)習(xí)單元3 配置大型企業(yè)服務(wù)器韓立凡、王浩單元概要在大型企業(yè)中通過(guò)使用Active Directory域，可將網(wǎng)絡(luò)中的多臺(tái)計(jì)算機(jī)在邏輯上組織到一起，可方便的對(duì)網(wǎng)絡(luò)資源進(jìn)行集中管理，讓用戶(hù)可以更便捷安全的去訪問(wèn)網(wǎng)絡(luò)資源，從而大大降低網(wǎng)絡(luò)管理成本。除此之外，在大型企業(yè)里大部分服務(wù)都是基于群集負(fù)載平衡建立，負(fù)載平衡是一種廉價(jià)且有效的擴(kuò)展服務(wù)器帶寬和增加服務(wù)性能的技術(shù)手段，它可以加強(qiáng)服務(wù)的處理能力，提高網(wǎng)絡(luò)的靈活性和可用性，以及防止單點(diǎn)故障所造成的損失。本單元從安裝Active Directory開(kāi)始，學(xué)習(xí)如何管理域模式計(jì)算機(jī)、對(duì)域模式計(jì)算機(jī)進(jìn)行統(tǒng)一部署、升級(jí)更新Active Directo

2、ry、遷移Active Directory和配置網(wǎng)絡(luò)服務(wù)的負(fù)載平衡。單元目標(biāo)1）具備提煉服務(wù)器方案有效信息的能力2）初步具備Active Directory域的規(guī)劃與設(shè)計(jì)能力3）具備安裝與配置Active Directory服務(wù)器實(shí)現(xiàn)資源統(tǒng)一管理的能力4）具備將Active Directory服務(wù)升級(jí)到更高版本的能力5）具備將Actvice Directory服務(wù)遷移到其他服務(wù)器且正常運(yùn)行的能力6）具備調(diào)試網(wǎng)絡(luò)服務(wù)的能力7）具備安裝與配置負(fù)載平衡服務(wù)器實(shí)現(xiàn)服務(wù)冗余的能力8）具備獨(dú)立思考，依據(jù)工作需要學(xué)習(xí)新知識(shí)、新技術(shù)的能力9）具備與人團(tuán)結(jié)協(xié)作的能力10）具備協(xié)調(diào)網(wǎng)絡(luò)資源，保證服務(wù)器高效運(yùn)行的能

3、力單元情境晨光公司發(fā)展至今已經(jīng)成為行業(yè)領(lǐng)先企業(yè)，公司規(guī)模較大，擁有約200臺(tái)計(jì)算機(jī)、100臺(tái)筆記本和10余臺(tái)服務(wù)器。由于客戶(hù)機(jī)較多，目前的系統(tǒng)管理員沒(méi)有辦法對(duì)終端進(jìn)行統(tǒng)一有效的維護(hù)和部署，這給公司的IT部門(mén)帶來(lái)巨大的工作量。經(jīng)過(guò)部門(mén)內(nèi)部討論，總結(jié)出了目前公司幾個(gè)需要解決的問(wèn)題。第一個(gè)問(wèn)題，目前公司電子產(chǎn)品資產(chǎn)比較多，按照行政部的要求，IT部門(mén)需要對(duì)資產(chǎn)使用人和地點(diǎn)等信息的進(jìn)行登記，以便控制企業(yè)資產(chǎn)和安全性管理。第二個(gè)問(wèn)題，公司為所有員工配備了計(jì)算機(jī)，而每個(gè)員工根據(jù)自己的喜好安裝了不同的軟件，其中部分軟件會(huì)影響終端的使用，所以現(xiàn)在IT部門(mén)想為所有終端同一部署軟件環(huán)境，提高員工工作效率。第三個(gè)問(wèn)題

4、，電子產(chǎn)品的更新?lián)Q代速度非?？?，IT部門(mén)需要站在不同角度考慮服務(wù)器的操作系統(tǒng)和管理手段。第四個(gè)問(wèn)題，隨著公司的壯大，目前Web服務(wù)器已經(jīng)不能滿足日常的業(yè)務(wù)需求，需要通過(guò)一些手段來(lái)提高Web服務(wù)的高可持續(xù)性。項(xiàng)目1 使用Active Directory實(shí)現(xiàn)資源統(tǒng)一管理項(xiàng)目2 將原有域遷移至新的服務(wù)器項(xiàng)目3 搭建負(fù)載平衡群集實(shí)現(xiàn)Web服務(wù)器冗余項(xiàng)目描述晨光公司為更好的管理員工所使用的終端，要求通過(guò)Windows Server系統(tǒng)中Active Directory功能進(jìn)行Windows客戶(hù)端的管理，以提高員工工作效率，實(shí)現(xiàn)更多的管理目的。項(xiàng)目分析本項(xiàng)目要進(jìn)行Active Directory的部署，通

5、過(guò)Active Directory自身功能對(duì)客戶(hù)端進(jìn)行進(jìn)一步的應(yīng)用管理。安裝完Active Directory后要，將所有客戶(hù)端加入企業(yè)域中，之后統(tǒng)一安裝部門(mén)所需的軟件，最后進(jìn)行安全管理。安裝Active Directory配置服務(wù)配置客戶(hù)端部署軟件安全管理項(xiàng)目分析知識(shí)鏈接什么是Active Directory？ Active Directory是將網(wǎng)絡(luò)資源按照有序的方法進(jìn)行分類(lèi)和管理，這里提到的網(wǎng)絡(luò)資源是指服務(wù)器、客戶(hù)機(jī)、用戶(hù)賬戶(hù)、打印機(jī)或掃描儀等。Active Directory可以幫我們找到一臺(tái)在某個(gè)辦公室的打印機(jī)，找到一個(gè)用戶(hù)或者驗(yàn)證用戶(hù)是否有對(duì)某個(gè)共享有訪問(wèn)權(quán)限。同時(shí)他還支持單一登錄

6、（SSO），即一次登錄后就可以訪問(wèn)整個(gè)網(wǎng)絡(luò)。任務(wù)1 安裝Windows Active Directory任務(wù)2 管理域用戶(hù)任務(wù)3 為客戶(hù)機(jī)分發(fā)軟件任務(wù)4 使用組策略限制用戶(hù)使用行為任務(wù)描述晨光公司系統(tǒng)管理員要在現(xiàn)有Windows Server 2008 R2服務(wù)器上安裝Windows Active Directory 服務(wù)，以滿足公司行政部門(mén)登記固定資產(chǎn)需求和IT部門(mén)的統(tǒng)一管理需求。任務(wù)1 安裝Windows Active Directory任務(wù)分析整個(gè)Active Directory安裝過(guò)程是通過(guò)系統(tǒng)向?qū)нM(jìn)行，但在安裝前，管理員需要確定正確的企業(yè)域名、DNS系統(tǒng)命名規(guī)則和網(wǎng)絡(luò)參數(shù)，這些參數(shù)在

7、完成Active Directory安裝后變更會(huì)中斷整個(gè)Active Directory服務(wù)，中斷服務(wù)會(huì)造成企業(yè)不可估量的損失。任務(wù)1 安裝Windows Active Directory添加Active Directory角色使用dcromo進(jìn)行安裝配置服務(wù)完成安裝任務(wù)實(shí)施步驟1、使用添加角色向?qū)О惭bActive Directory服務(wù)1）單擊“開(kāi)始”“服務(wù)器管理器”，打開(kāi)“服務(wù)器管理器”窗口。2）在“服務(wù)器管理器”窗口中，在“角色”上單擊右鍵，在彈出的快捷菜單中選擇“添加角色”命令。3）打開(kāi)“添加角色向?qū)А保凇伴_(kāi)始之前”對(duì)話框中單擊“下一步”按鈕。4）在“選擇服務(wù)器角色”對(duì)話框中選中“A

8、ctive Directory 域服務(wù)”復(fù)選框。任務(wù)1 安裝Windows Active Directory任務(wù)實(shí)施步驟1、使用添加角色向?qū)О惭bActive Directory服務(wù)5）在彈出的“是否添加Active Directory域服務(wù)所需的功能？”對(duì)話框，單擊“添加必需的功能”按鈕。6）返回“選擇服務(wù)器角色”對(duì)話框中單擊“下一步”按鈕。7）在“Active Directory服務(wù)介紹”對(duì)話框中可查看相關(guān)介紹，然后單擊“下一步”按鈕。8）在“確認(rèn)安裝選擇”對(duì)話框中，單擊“安裝”按鈕。任務(wù)1 安裝Windows Active Directory任務(wù)實(shí)施步驟1、使用添加角色向?qū)О惭bActive

9、 Directory服務(wù)9）系統(tǒng)開(kāi)始安裝Active Directory域服務(wù)和其所必須的相關(guān)組件。10）出現(xiàn)“安裝結(jié)果”對(duì)話框，閱讀后單擊“關(guān)閉該向?qū)Р?dòng)Active Directory域服務(wù)安裝向?qū)В╠cpromo.exe）。”鏈接。任務(wù)1 安裝Windows Active Directory溫馨提示如何打開(kāi)域安裝向?qū)В?如果不慎關(guān)閉了該對(duì)話框，可以單擊“開(kāi)始”“運(yùn)行”，輸入“dcpromo.exe”，通過(guò)該命令可以打開(kāi)“Active Directory域安裝向?qū)А?。在早期的Windows Server 版本中系統(tǒng)管理員必須通過(guò)命令手動(dòng)啟動(dòng)“Active Directory域安裝向?qū)А薄?/p>

10、任務(wù)實(shí)施步驟2、使用dcpromo.exe安裝域服務(wù)1）彈出“歡迎使用Active Directory域服務(wù)安裝向?qū)А睂?duì)話框，單擊“下一步”按鈕。2）在“操作系統(tǒng)兼容性”對(duì)話框中，閱讀內(nèi)容，單擊“下一步”按鈕。3）在“選擇某一部署配置”對(duì)話框中，選擇“在新林中新建域”單選按鈕，并單擊“下一步”按鈕。任務(wù)1 安裝Windows Active Directory任務(wù)實(shí)施步驟2、使用dcpromo.exe安裝域服務(wù)任務(wù)1 安裝Windows Active Directory知識(shí)鏈接什么是域？什么是林？ 域是“網(wǎng)絡(luò)”對(duì)象（用戶(hù)、組、計(jì)算機(jī)等）的分組，域中所有的對(duì)象都存儲(chǔ)在Active Director

11、y中，Active Directory也可以由一個(gè)或多個(gè)域組成。 一個(gè)或多個(gè)域樹(shù)可以組成林，同一個(gè)林中的域也可以相互共享架構(gòu)、站點(diǎn)和復(fù)制以及全局編錄能力。在新林中創(chuàng)建的第一個(gè)域是該林的根域。任務(wù)實(shí)施步驟2、使用dcpromo.exe安裝域服務(wù)4）在“命名林根域”對(duì)話框中輸入企業(yè)域名“”，并單擊“下一步”按鈕。 任務(wù)1 安裝Windows Active Directory溫馨提示提前規(guī)劃好域名 管理員必須提前規(guī)劃好Active Directory 域名，這項(xiàng)參數(shù)在完成Active Directory安裝后變更會(huì)中斷整個(gè)Active Directory服務(wù)，中斷服務(wù)會(huì)造成企業(yè)不可估量的損失。 不建

12、議在域建立成功后再更改域的名字。任務(wù)實(shí)施步驟2、使用dcpromo.exe安裝域服務(wù)5）在“域NetBIOS名稱(chēng)”對(duì)話框中單擊“下一步”按鈕。6）系統(tǒng)檢查是否有重名等名稱(chēng)沖突問(wèn)題，無(wú)需用戶(hù)操作，等待即可。7）在“設(shè)置林功能級(jí)別”對(duì)話框中設(shè)置林功能級(jí)別為“Windows Server 2008 R2”級(jí)別，并單擊“下一步”按鈕。 任務(wù)1 安裝Windows Active Directory任務(wù)實(shí)施步驟2、使用dcpromo.exe安裝域服務(wù)8）在“其他域控制器選項(xiàng)”中選中“DNS服務(wù)器”復(fù)選框，并單擊“下一步”按鈕。 任務(wù)1 安裝Windows Active Directory知識(shí)鏈接什么是全局

13、編錄（GC）？ 全局編錄是 Active Directory 域服務(wù)（AD DS）中所有對(duì)象的集合。全局編錄服務(wù)器是一個(gè)控制器，它存儲(chǔ)林中主持域的目錄中所有對(duì)象的完全副本，以及所有其他域中所有對(duì)象的部分的只讀副本。同時(shí)全局編錄服務(wù)器負(fù)責(zé)提供全局編錄查詢(xún)服務(wù)。任務(wù)實(shí)施步驟2、使用dcpromo.exe安裝域服務(wù)9）單擊“數(shù)據(jù)庫(kù)、日志文件盒SYSVOL的位置”對(duì)話框中的“下一步”按鈕。 任務(wù)1 安裝Windows Active Directory知識(shí)鏈接SYSVOL文件夾 SYSVOL文件夾是用來(lái)存儲(chǔ)域公共文件服務(wù)器副本的共享文件夾，例如系統(tǒng)將組策略設(shè)置、腳本等都是存在這個(gè)共享目錄中的。如果組織內(nèi)

14、有多臺(tái)域控制器，那么它們就在域中所有的域控制器之間通過(guò)FRS服務(wù)進(jìn)行相互復(fù)制，以提高Active Directory管理效率。任務(wù)實(shí)施步驟2、使用dcpromo.exe安裝域服務(wù)10）在“目錄服務(wù)還原模式的Administrator密碼”對(duì)話框中設(shè)置密碼，并單擊“下一步”按鈕。 任務(wù)1 安裝Windows Active Directory任務(wù)實(shí)施步驟2、使用dcpromo.exe安裝域服務(wù)11）在“摘要”對(duì)話框中查看配置集合結(jié)果，并單擊“下一步”按鈕。12）系統(tǒng)開(kāi)始自動(dòng)安裝和設(shè)置Active Directory，無(wú)需操作，等待即可。13）安裝完成，單擊“立即重新啟動(dòng)”按鈕來(lái)完成服務(wù)器的重啟。

15、任務(wù)1 安裝Windows Active Directory任務(wù)測(cè)試 依次單擊“開(kāi)始”“服務(wù)器管理器”，彈出“服務(wù)器管理器”窗口，單擊展開(kāi)“角色”“Active Directory域服務(wù)”“Active Directory用戶(hù)和計(jì)算機(jī)”“”，如果能看到圖中所示的子文件夾，則證明該Active Directory域服務(wù)安裝完成。任務(wù)1 安裝Windows Active Directory相關(guān)知識(shí)目錄樹(shù) 目錄樹(shù)是指在名稱(chēng)空間中，由容器和對(duì)象組成的邏輯層次結(jié)構(gòu)。而目錄樹(shù)的末梢結(jié)點(diǎn)是對(duì)象。目錄樹(shù)除了還表達(dá)了各個(gè)容器和對(duì)象的連接方式還表達(dá)了一個(gè)對(duì)象到另一個(gè)對(duì)象的邏輯路徑。在Active Director

16、y中，目錄樹(shù)是最基本的邏輯結(jié)構(gòu)。任務(wù)1 安裝Windows Active Directory相關(guān)知識(shí)趣圖學(xué)知工作組模式和域模式的區(qū)別 工作組模式的計(jì)算機(jī)是對(duì)等的關(guān)系，有計(jì)算機(jī)或服務(wù)器自主管理，隨時(shí)可加入和退出工作組。域模式，是由域控制器的一個(gè)計(jì)算機(jī)分組，加入和退出域都必須由域管理員操作（或者具有登錄域的用戶(hù)賬戶(hù)），域內(nèi)成員服務(wù)器和計(jì)算機(jī)的策略遵循域策略?xún)?yōu)先的原則。管理模式的不同是二者的最大區(qū)別。任務(wù)1 安裝Windows Active Directory任務(wù)拓展實(shí)踐偉天公司域名為，偉天公司也想從原來(lái)的工作組模式變更到域模式，請(qǐng)為偉天公司構(gòu)建域環(huán)境。思考安裝Active Directory服務(wù)的

17、機(jī)器稱(chēng)之為DC，域里其他提供服務(wù)的服務(wù)器稱(chēng)之為成員服務(wù)器，那么DC只能用域用戶(hù)登錄，而成員服務(wù)器卻能登錄到本地，這是為什么？任務(wù)1 安裝Windows Active Directory任務(wù)1 安裝Windows Active Directory任務(wù)2 管理域用戶(hù)任務(wù)3 為客戶(hù)機(jī)分發(fā)軟件任務(wù)4 使用組策略限制用戶(hù)使用行為任務(wù)描述晨光公司Active Directory服務(wù)已經(jīng)部署完畢，此時(shí)系統(tǒng)管理員要為員工分配賬戶(hù)，除此之外針對(duì)不同工作崗位的員工，賬戶(hù)登錄的時(shí)間也有嚴(yán)格控制，例如像一線店面銷(xiāo)售人員，登錄時(shí)間必須按照約定的時(shí)間登錄。任務(wù)2 管理域用戶(hù)任務(wù)分析根據(jù)晨光公司的企業(yè)環(huán)境和要求，要為每一位

18、員工建立一個(gè)獨(dú)立的用戶(hù)賬號(hào)，并修改每個(gè)賬戶(hù)的個(gè)性化信息，以及對(duì)用戶(hù)登錄時(shí)間進(jìn)行限制。任務(wù)2 管理域用戶(hù)創(chuàng)建組織單位創(chuàng)建用戶(hù)限制用戶(hù)登錄時(shí)間任務(wù)實(shí)施任務(wù)2 管理域用戶(hù)步驟1、創(chuàng)建組織單位1）單擊“開(kāi)始”“服務(wù)器管理器”，打開(kāi)“服務(wù)器管理器”窗口，展開(kāi)“角色”“Active Directory域服務(wù)”“Active Directory用戶(hù)和計(jì)算機(jī)”“”，在域“”上單擊右鍵，在彈出的快捷菜單中選擇“新建”“組織單位”命令。任務(wù)實(shí)施任務(wù)2 管理域用戶(hù)步驟1、創(chuàng)建組織單位1）單擊“開(kāi)始”“服務(wù)器管理器”，打開(kāi)“服務(wù)器管理器”窗口，展開(kāi)“角色”“Active Directory域服務(wù)”“Active Di

19、rectory用戶(hù)和計(jì)算機(jī)”“”，在域“”上單擊右鍵，在彈出的快捷菜單中選擇“新建”“組織單位”命令。知識(shí)鏈接什么是組織單位？ 組織單位是承載用戶(hù)、組、計(jì)算機(jī)和其它單位的容器，是可以指派組策略或委派管理權(quán)限的域或單元。通常在企業(yè)中，每個(gè)組織單位就是一個(gè)相對(duì)獨(dú)立的部門(mén)。任務(wù)實(shí)施任務(wù)2 管理域用戶(hù)步驟1、創(chuàng)建組織單位2）在“新建對(duì)象 - 組織單位”對(duì)話框中填寫(xiě)相關(guān)部門(mén)信息，單后單擊“確定”按鈕。任務(wù)實(shí)施任務(wù)2 管理域用戶(hù)步驟2、創(chuàng)建用戶(hù)1）在“服務(wù)器管理器”中，在組織單位“renshi”上單擊右鍵，在彈出的快捷菜單中選擇“新建”“用戶(hù)”命令。任務(wù)實(shí)施任務(wù)2 管理域用戶(hù)步驟2、創(chuàng)建用戶(hù)2）在“新建對(duì)

20、象 用戶(hù)”對(duì)話框中填寫(xiě)相關(guān)信息以及登錄名稱(chēng)，然后單擊“下一步”按鈕。知識(shí)鏈接域用戶(hù)和本地用戶(hù)的區(qū)別 域用戶(hù)和本地用戶(hù)的區(qū)別就在于身份驗(yàn)證的方式不同，本地用戶(hù)是通過(guò)本地SAM文件進(jìn)行身份驗(yàn)證，賬戶(hù)文件存放在本地。域用戶(hù)則通過(guò)一臺(tái)域控制器進(jìn)行身份驗(yàn)證，賬戶(hù)文件存放在域控制器上。任務(wù)實(shí)施任務(wù)2 管理域用戶(hù)步驟2、創(chuàng)建用戶(hù)3）填寫(xiě)初始化密碼，并取消選中“用戶(hù)下次登錄時(shí)須更改密碼”選項(xiàng)，選中“用戶(hù)下次登錄時(shí)須更改密碼”、“密碼永不過(guò)期”復(fù)選框，然后單擊“下一步”按鈕。4）查看信息無(wú)誤后，單擊“完成”按鈕。任務(wù)實(shí)施任務(wù)2 管理域用戶(hù)步驟3、限制用戶(hù)登錄時(shí)間1）在“服務(wù)器管理器”窗口中，找到對(duì)應(yīng)的組織單位，

21、在需要限制的用戶(hù)“yuangong1”上單擊右鍵，在彈出的快捷菜單中選擇“屬性”命令。任務(wù)實(shí)施任務(wù)2 管理域用戶(hù)步驟3、限制用戶(hù)登錄時(shí)間2）在“yuangong1屬性”對(duì)話框中，單擊“賬戶(hù)”選項(xiàng)卡，再單擊“登錄時(shí)間”按鈕。任務(wù)實(shí)施任務(wù)2 管理域用戶(hù)步驟3、限制用戶(hù)登錄時(shí)間3）在“yuangong1的登錄時(shí)間”對(duì)話框中，選中“拒絕登錄”單選按鈕，選中不允許登錄的時(shí)間（白色區(qū)域，單擊“確定”按鈕完成登錄時(shí)間的設(shè)置。溫馨提示“允許登錄”和“拒絕登錄”可靈活使用 在登錄時(shí)間限制對(duì)話框中，藍(lán)色區(qū)域表示允許登錄時(shí)間，白色區(qū)域表示拒絕登錄，可組合靈活使用。本任務(wù)中也可使用“允許登錄”來(lái)選中登錄時(shí)間（即藍(lán)色區(qū)

22、域）。在一個(gè)復(fù)雜的時(shí)間設(shè)置時(shí)，例如某用戶(hù)出星期二8:00到10:00外，星期一到星期五的早9點(diǎn)到晚17:00均可登錄，二者可結(jié)合使用比單獨(dú)選定操作速度更快。任務(wù)測(cè)試步驟1、將計(jì)算機(jī)加入域1）修改客戶(hù)機(jī)“本地連接”屬性，將客戶(hù)機(jī)“首選DNS服務(wù)器”地址指向域的域控制器“01” ，修改完畢后單擊“確定”按鈕退出。任務(wù)2 管理域用戶(hù)任務(wù)測(cè)試步驟1、將計(jì)算機(jī)加入域2）單擊開(kāi)始按鈕，在“計(jì)算機(jī)”圖標(biāo)上單擊右鍵，在彈出的快捷菜單中選擇“屬性”命令。任務(wù)2 管理域用戶(hù)任務(wù)測(cè)試步驟1、將計(jì)算機(jī)加入域3）在“系統(tǒng)”窗口單擊右下角的“更改設(shè)置”鏈接。任務(wù)2 管理域用戶(hù)任務(wù)測(cè)試步驟1、將計(jì)算機(jī)加入域4）在彈出的“系

23、統(tǒng)屬性”對(duì)話框的“計(jì)算機(jī)名”選項(xiàng)卡中單擊“更改”按鈕。5）在“計(jì)算機(jī)名/域更改”對(duì)話框中的隸屬于框架內(nèi)選中“域”單選按鈕，在下面的文本框中輸入要加入的域“” ，然后單擊“確定”按鈕。任務(wù)2 管理域用戶(hù)任務(wù)測(cè)試步驟1、將計(jì)算機(jī)加入域6）在“Windows安全”對(duì)話框中輸入具有權(quán)限加入域的賬戶(hù)的名稱(chēng)和密碼，此處輸入的是域管理員的用戶(hù)、密碼，輸入完畢后單擊“確定”按鈕。7）域控制器會(huì)進(jìn)行身份驗(yàn)證，驗(yàn)證通過(guò)后會(huì)彈出加入域成功的提示信息，單擊“確定”按鈕。8）要完成加入域操作，需單擊“確定”按鈕之后重新啟動(dòng)計(jì)算機(jī)。任務(wù)2 管理域用戶(hù)任務(wù)測(cè)試步驟2、使用員工賬戶(hù)登錄1）使用賬戶(hù)“yuangong1”登錄到

24、域名，輸入完用戶(hù)名、密碼后單擊“”按鈕。2）如果用戶(hù)登錄時(shí)間受限，則會(huì)彈出提示，此用戶(hù)在規(guī)定時(shí)間段無(wú)法登錄到域。任務(wù)2 管理域用戶(hù)相關(guān)知識(shí)最小權(quán)限原則 最小權(quán)限原則是IT行業(yè)普遍執(zhí)行的一種原則，該原則要求計(jì)算環(huán)境中的特定用戶(hù)或者計(jì)算機(jī)程序只能訪問(wèn)當(dāng)下所必需的信息或者資源，而其余資源均禁止訪問(wèn)。賦予每一個(gè)合法動(dòng)作最小的操作權(quán)限，就是為了保護(hù)數(shù)據(jù)以及功能避免受到錯(cuò)誤或者惡意行為的破壞。任務(wù)2 管理域用戶(hù)任務(wù)拓展實(shí)踐晨光公司相對(duì)于其他大型企業(yè)來(lái)說(shuō)人員結(jié)構(gòu)相對(duì)簡(jiǎn)單，一般大型企業(yè)都會(huì)擁有上千位員工，針對(duì)于上千位企業(yè)管理員不可能逐個(gè)的用戶(hù)創(chuàng)建，通過(guò)命令提示符來(lái)對(duì)用戶(hù)完成批量完成。思考企業(yè)中的安全規(guī)范都是逐

25、項(xiàng)建立，某些規(guī)則可能會(huì)修改所有用戶(hù)的某項(xiàng)屬性，針對(duì)于晨光公司企業(yè)管理員如何統(tǒng)一修改用戶(hù)的某一個(gè)屬性呢？任務(wù)2 管理域用戶(hù)任務(wù)1 安裝Windows Active Directory任務(wù)2 管理域用戶(hù)任務(wù)3 為客戶(hù)機(jī)分發(fā)軟件任務(wù)4 使用組策略限制用戶(hù)使用行為任務(wù)描述隨著晨光公司計(jì)算機(jī)數(shù)量的增多，目前企業(yè)管理員不能有效便捷的管理客戶(hù)端應(yīng)用程序，除了非法軟件造成的版權(quán)問(wèn)題以外，一些應(yīng)用程序還會(huì)導(dǎo)致客戶(hù)端系統(tǒng)出現(xiàn)不能解決的問(wèn)題，這些問(wèn)題會(huì)給公司造成一系列損失。公司決定統(tǒng)一下發(fā)軟件安裝包，供員工使用。任務(wù)3 為客戶(hù)機(jī)分發(fā)軟件任務(wù)分析根據(jù)晨光公司的需求和環(huán)境，部署分發(fā)軟件前需要規(guī)劃分發(fā)哪些軟件，規(guī)劃完成后

26、須按照先后順序建立部署策略，最終按照策略分發(fā)給用戶(hù)。轉(zhuǎn)換部署軟件新建部署策略應(yīng)用部署策略任務(wù)3 為客戶(hù)機(jī)分發(fā)軟件任務(wù)實(shí)施步驟1、軟件轉(zhuǎn)換 Windows Active Directory域中的軟件分發(fā)只能分發(fā)MSI格式的安裝包，微軟公司的軟件產(chǎn)品中大多提供了MSI的安裝程序，但其他公司一般只提供.exe格式的安裝包，在分發(fā)這些軟件之前，需要進(jìn)行格式轉(zhuǎn)換。1）打開(kāi)“Exe to MSI Converter”軟件，在軟件對(duì)話框中，單擊“”按鈕。任務(wù)3 為客戶(hù)機(jī)分發(fā)軟件任務(wù)實(shí)施步驟1、軟件轉(zhuǎn)換2）在“打開(kāi)對(duì)話框中”雙擊選擇需要轉(zhuǎn)換的軟件。3）在軟件窗口中單擊“Build MSI”按鈕開(kāi)始轉(zhuǎn)換。4）完

27、成轉(zhuǎn)換后彈出成功的提示信息，單擊“確定”按鈕。任務(wù)3 為客戶(hù)機(jī)分發(fā)軟件任務(wù)實(shí)施步驟1、軟件轉(zhuǎn)換5）在轉(zhuǎn)換軟件的根目錄下查看該軟件的MSI安裝包。任務(wù)3 為客戶(hù)機(jī)分發(fā)軟件任務(wù)實(shí)施步驟2、創(chuàng)建組策略1）共享MSI軟件目錄，允許所有用戶(hù)訪問(wèn)下載，在作為共享的文件夾“soft”上單擊右鍵，在彈出的快捷菜單中選擇“屬性”命令。2）在“soft 屬性”對(duì)話框中切換到“共享”選項(xiàng)卡，單擊“共享”按鈕。任務(wù)3 為客戶(hù)機(jī)分發(fā)軟件任務(wù)實(shí)施步驟2、創(chuàng)建組策略3）在文本框中輸入“Everyone”，單擊“添加”按鈕，然后單擊“共享”按鈕。4）系統(tǒng)開(kāi)始部署共享，無(wú)需操作，等待即可。任務(wù)3 為客戶(hù)機(jī)分發(fā)軟件任務(wù)實(shí)施步驟2

28、、創(chuàng)建組策略5）打開(kāi)“服務(wù)器管理器”窗口，在“服務(wù)器管理器”中依次展開(kāi)“功能”“組策略管理”“林：”“域”“” ，在“組策略對(duì)象”上單擊右鍵，在彈出的快捷菜單中選擇“新建”命令。任務(wù)3 為客戶(hù)機(jī)分發(fā)軟件任務(wù)實(shí)施步驟2、創(chuàng)建組策略6）在“新建GPO” 對(duì)話框輸入策略名稱(chēng)，如“office”然后單擊“確定”按鈕。任務(wù)3 為客戶(hù)機(jī)分發(fā)軟件知識(shí)鏈接什么是GPO？ GPO（組策略對(duì)象），是多個(gè)組策略設(shè)置的集合。簡(jiǎn)單的理解，就是設(shè)置了哪些限制策略，常和組織單位共同使用，組織單位就是被應(yīng)用組策略的用戶(hù)和計(jì)算機(jī)。任務(wù)實(shí)施步驟2、創(chuàng)建組策略7）在“服務(wù)器管理器”中，在GPO項(xiàng)“office”上單擊右鍵，在彈出的

29、快捷菜單中選擇“編輯”命令。任務(wù)3 為客戶(hù)機(jī)分發(fā)軟件任務(wù)實(shí)施步驟2、創(chuàng)建組策略8）在“組策略管理編輯器”里依次展開(kāi)“計(jì)算機(jī)配置”“策略”“軟件設(shè)置”，并、在“軟件安裝”上單擊右鍵，在彈出的快捷菜單中選擇“新建”“數(shù)據(jù)包”命令。任務(wù)3 為客戶(hù)機(jī)分發(fā)軟件經(jīng)驗(yàn)分享如何選擇軟件分發(fā)的作用對(duì)象？ 選擇用戶(hù)是指用戶(hù)在域中任何一臺(tái)計(jì)算機(jī)中登錄后，軟件會(huì)在該用戶(hù)登錄的計(jì)算機(jī)進(jìn)行安裝。而選擇計(jì)算機(jī)的意思的不管是任何一個(gè)用戶(hù)登錄域中的這臺(tái)計(jì)算機(jī)都像這臺(tái)計(jì)算機(jī)安裝軟件。任務(wù)實(shí)施步驟2、創(chuàng)建組策略9）在彈出的打開(kāi)“對(duì)話框”里選擇想要分發(fā)的軟件，然后單擊“打開(kāi)”按鈕。10）在彈出的“部署軟件”對(duì)話框，選擇“已分配”，并

30、單擊“確定”按鈕。任務(wù)3 為客戶(hù)機(jī)分發(fā)軟件經(jīng)驗(yàn)分享如何選擇“已發(fā)布”和“已分配”？“已發(fā)布”是在控制面板的添加刪除程序中出現(xiàn)相關(guān)的選項(xiàng)供用戶(hù)選擇安裝，而“已分配”是指在開(kāi)始菜單中出現(xiàn)快捷方式，當(dāng)用戶(hù)單擊快捷方式或者單擊某一個(gè)類(lèi)型文件的時(shí)候開(kāi)始安裝。在與域中針對(duì)計(jì)算機(jī)策略只有“已分配”選項(xiàng)，因?yàn)槿魏斡脩?hù)登錄計(jì)算機(jī)都可以使用“計(jì)算機(jī)”上安裝的軟件。任務(wù)實(shí)施步驟2、創(chuàng)建組策略11）完成軟件部署后如圖所示。任務(wù)3 為客戶(hù)機(jī)分發(fā)軟件任務(wù)實(shí)施步驟3、策略部署1）在“服務(wù)器管理器”窗口中拖動(dòng)新創(chuàng)建的“office”策略到名為“renshi”的組織單位中。2）在彈出的“組策略管理”對(duì)話框中單擊“確定”按鈕。3

31、）在服務(wù)器管理器中可看到組織單位“renshi”中已經(jīng)鏈接（而不是復(fù)制，由于renshi作為組織單位，并不是GPO“office”的容器，只有連接）了GPO“office” 。任務(wù)3 為客戶(hù)機(jī)分發(fā)軟件任務(wù)測(cè)試 使用域用戶(hù)登錄組織單位“renshi”內(nèi)的計(jì)算機(jī)，單擊“開(kāi)始”“控制面板”，在“控制面板”窗口中單擊“獲得程序”鏈接。在“獲得程序”窗口可看到指定的軟件已經(jīng)安裝到計(jì)算機(jī)上。任務(wù)3 為客戶(hù)機(jī)分發(fā)軟件相關(guān)知識(shí)MSI格式 MSI文件是Windows Installer的數(shù)據(jù)包，它實(shí)際是一個(gè)數(shù)據(jù)庫(kù)，包含安裝軟件產(chǎn)品所需要的信息和安裝或卸載程序所需的指令及數(shù)據(jù)。MSI文件將程序的組成文件與功能關(guān)聯(lián)

32、起來(lái)。此外，它還包含有關(guān)安裝過(guò)程本身的信息：如安裝序列號(hào)、目標(biāo)文件夾路徑、系統(tǒng)依賴(lài)項(xiàng)、安裝選項(xiàng)和個(gè)性化屬性。任務(wù)3 為客戶(hù)機(jī)分發(fā)軟件任務(wù)拓展實(shí)踐偉天公司規(guī)定，除了IT部門(mén)以外，其余所有部門(mén)都需要通過(guò)IT部門(mén)進(jìn)行統(tǒng)一的軟件部署，那么如何為所有部門(mén)部署相同的軟件呢？思考使用軟件分發(fā)技術(shù)對(duì)于服務(wù)器來(lái)說(shuō)是一個(gè)嚴(yán)峻的考驗(yàn)，但是處于對(duì)由于某些問(wèn)題的衡量企業(yè)還是愿意使用軟件分發(fā)技術(shù)來(lái)統(tǒng)一安裝軟件，請(qǐng)說(shuō)明原因？任務(wù)3 為客戶(hù)機(jī)分發(fā)軟件任務(wù)1 安裝Windows Active Directory任務(wù)2 管理域用戶(hù)任務(wù)3 為客戶(hù)機(jī)分發(fā)軟件任務(wù)4 使用組策略限制用戶(hù)使用行為任務(wù)描述晨光公司個(gè)別部門(mén)對(duì)于企業(yè)信息的保密性非常敏感，除了與員工簽署保密制度以外還要對(duì)計(jì)算機(jī)進(jìn)行一些限制，除此之外為了提高員工銷(xiāo)量，公司管理層希望禁止員工使用運(yùn)行Windows中自帶的游戲。任務(wù)4 使用組策略限制用戶(hù)使用行為任務(wù)分析晨光公司計(jì)算機(jī)均采用Windows系統(tǒng)，而Windows系統(tǒng)自帶一個(gè)名為“組策略”的管理模塊，組策略模塊可以根據(jù)相關(guān)設(shè)置對(duì)用戶(hù)的行為進(jìn)行限制。而當(dāng)計(jì)算機(jī)處于域模式下時(shí)，域管理員可以對(duì)所有在域中的計(jì)算機(jī)派發(fā)組策略，通過(guò)組策略的設(shè)置就可以達(dá)到公司的要求。創(chuàng)建編輯組策略應(yīng)用策略任務(wù)4