域和組策略課件

第3章域和組策略第3章域和組策略2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版學(xué)習(xí)要點(diǎn) 理解什么是AD（重點(diǎn)）理解工作組和域的管理模式掌握組織單位的管理掌握組策略和組策略的設(shè)置理解域、組織單位和組策略的關(guān)系2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版前提知識(shí)2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版1、什么是活動(dòng)目錄WindowsServer2000相對(duì)于NT4.0而言最重要的改變是增加了活動(dòng)目錄(AD)，AD也是Windows2000最主要的特性。WindowsServer2003仍然提供了對(duì)AD的支持。從字面上看，活動(dòng)目錄由“活動(dòng)”和“目錄”兩部分組成。“活動(dòng)”是用來(lái)修飾“目錄”，其核心是“目錄”兩個(gè)字；目錄代表的是目錄服務(wù)（DirectoryService）。目錄：決定存放的內(nèi)容及存放的方式。服務(wù)：對(duì)我們提出的要求的正確響應(yīng)。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版1、什么是活動(dòng)目錄（續(xù)）目錄服務(wù)有多種,如：NT4.0的SAM;NETWARE-NDS;UNIX;MACINTOISH。而活動(dòng)目錄是WindowsServer2003網(wǎng)絡(luò)中目錄服務(wù)的實(shí)現(xiàn)方式。它的“活動(dòng)”體現(xiàn)在：活動(dòng)目錄中對(duì)象的數(shù)目是沒(méi)有限制的；活動(dòng)目錄中對(duì)象的屬性是可以增加的；可以方便地添加或刪除域。

2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版2、活動(dòng)目錄的特點(diǎn)方便的組織資源；活動(dòng)目錄將目錄組織居能夠存儲(chǔ)大量對(duì)象的容器，因此活動(dòng)目錄能夠隨著組織機(jī)構(gòu)的擴(kuò)大而增長(zhǎng)。方便的信息組織和查找；活動(dòng)目錄提供了收集和分發(fā)網(wǎng)絡(luò)中對(duì)象的集中存儲(chǔ)場(chǎng)所，這些網(wǎng)絡(luò)信息包括用戶、組和打印機(jī)等。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版2、活動(dòng)目錄的特點(diǎn)（續(xù)）集中管理和分散管理的相結(jié)合；利用活動(dòng)目錄工具能夠?qū)顒?dòng)目錄中的資源進(jìn)行統(tǒng)一管理，如統(tǒng)一執(zhí)行組策略等。也可以根據(jù)不同用戶的需要進(jìn)行分散的管理，如為不同的組織單位執(zhí)行不同的組策略。資源的分級(jí)管理。通過(guò)登錄認(rèn)證和目錄中對(duì)象的訪問(wèn)控制，安全性和活動(dòng)目錄緊密地集成在一起。管理員能夠管理整個(gè)網(wǎng)絡(luò)的目錄數(shù)據(jù)，并且可以授權(quán)用戶能夠訪問(wèn)網(wǎng)絡(luò)上任何位置的資源及權(quán)限。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版3、活動(dòng)目錄的好處降低總體擁有成本這些成本包括維護(hù)的成本、培訓(xùn)的成本、技術(shù)支持成本及相應(yīng)的升級(jí)成本。一次登錄即能訪問(wèn)所有的資源每個(gè)用戶只要在登錄一次提供用戶信息，就可以訪問(wèn)網(wǎng)絡(luò)中所有該用戶有權(quán)限訪問(wèn)的資源。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版4、ActiveDirectory的邏輯架構(gòu)活動(dòng)目錄的邏輯結(jié)構(gòu)可以公司的組織機(jī)構(gòu)框圖結(jié)合起來(lái)，通過(guò)對(duì)資源進(jìn)行邏輯組織，使用戶可以通過(guò)名稱而不是通過(guò)物理位置來(lái)查找資源，并且使網(wǎng)絡(luò)的物理結(jié)構(gòu)對(duì)用戶來(lái)說(shuō)是透明的?；顒?dòng)目錄的邏輯結(jié)構(gòu)包括：域（Domain）、域樹(shù)（DomainTree）、域目錄林（Forest森林林）和組織單位（OrganizationUnit）。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版5、ActiveDirectory的邏輯架構(gòu)域域域域域域OUOUOU域樹(shù)域林組織單位對(duì)象2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版ActiveDirectory的邏輯架構(gòu)域：ActiveDirectory邏輯結(jié)構(gòu)中的核心功能單位，域提供下列三種功能：對(duì)象的管理邊界管理共享資源安全性的方法對(duì)象的復(fù)制單元域樹(shù)：以層次結(jié)構(gòu)的方式組合到一起的域，子域的名稱與其父域名稱組合在一起，形成它自身唯一的域名系統(tǒng)森林：林是ActiveDirectory的完整實(shí)例。其中包含一個(gè)或多個(gè)樹(shù)組織單位：是活動(dòng)目錄中的一個(gè)特殊容器。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版為什么需要域如果資源分布在多臺(tái)服務(wù)器上，要在每臺(tái)服務(wù)器分別為每一員工建立一個(gè)賬戶（共M*N），用戶則需要在每臺(tái)服務(wù)器上（共M臺(tái)）登錄2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版為什么需要域服務(wù)器和用戶的計(jì)算機(jī)都在同一個(gè)域中，用戶在域中只要擁有一個(gè)賬號(hào)用戶只需要在域中擁有一個(gè)域賬戶，只需要在域中登錄一次就可以訪問(wèn)域中的資源了。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版為什么需要域用戶信息存放在域中的域控制器(DC，DomainController)上。當(dāng)網(wǎng)絡(luò)有十萬(wàn)個(gè)用戶甚至更多，域控制器存放的用戶數(shù)據(jù)量將很大，更為關(guān)鍵的是如果用戶頻繁登錄，域控制器可能因此而不堪重負(fù)。分成多個(gè)域，每個(gè)域的規(guī)?？刂圃谝欢ǖ姆秶畠?nèi)。實(shí)際上，分成小的域不僅僅出于服務(wù)器不堪重負(fù)的原因，更多的是出于管理上的要求。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版為什么需要域網(wǎng)絡(luò)劃分成多個(gè)域

2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版域的概念域是活動(dòng)目錄邏輯結(jié)構(gòu)的核心單元，是活動(dòng)目錄的容器。域定義了一個(gè)安全的邊界（域是一個(gè)安全的堡壘），域中的所有對(duì)象都保存在域中，都在這個(gè)安全的范圍內(nèi)接受統(tǒng)一的管理．同時(shí)每個(gè)域只保存屬于本域的對(duì)象，所以域管理員只能管理本域．安全邊界的作用就是保證域的管理者只能在該域內(nèi)擁有必要的管理權(quán)限，如果要讓一個(gè)域的管理員去管理其他域，除非管理者得到了其他域的明確授權(quán)。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版域的概念（續(xù)）域是復(fù)制的單元。域是一種邏輯的組織形式，因此一個(gè)域可以跨越多個(gè)物理位置。例如北京和廣州的兩個(gè)網(wǎng)段屬于同一個(gè)域，它們之間通過(guò)WAN相連。如果只有一臺(tái)域控制器（安裝了活動(dòng)目錄的計(jì)算機(jī)）在北京，那么廣州的用戶也只能在北京的域控制器上進(jìn)行身份驗(yàn)證。為了提高對(duì)用戶的響應(yīng)速度可以在廣州的網(wǎng)段上也創(chuàng)建一臺(tái)域控制器。這樣就需要北京和廣州的域控制器之間實(shí)現(xiàn)數(shù)據(jù)同步，而同步的內(nèi)容就是域的信息，所以說(shuō)域是復(fù)制的單元。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版域樹(shù)的概念域樹(shù)是一組具有連續(xù)命名空間的域組成的。例如我們學(xué)院最初一個(gè)域名為，后來(lái)為了管理方便或者是為了安全的需要，需要新建一個(gè)域（域是安全的最小邊界），這樣就可以把這個(gè)新域添加到現(xiàn)有的目錄當(dāng)中去．這個(gè)新域就是的子域。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版域樹(shù)的概念（續(xù)）組成一棵樹(shù)的第一個(gè)域稱為樹(shù)的根域，上圖中為樹(shù)的根域，而其他的域稱為該樹(shù)的結(jié)點(diǎn)域。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版域目錄林的概念域目錄林（Forest）是由一棵或多棵域樹(shù)組成的，每棵域樹(shù)獨(dú)享連續(xù)的命名空間，不同的域樹(shù)之間沒(méi)有命名空間的連續(xù)性。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版域和信任關(guān)系什么是信任關(guān)系？域是安全的最小邊界，對(duì)于樹(shù)和目錄林而言，如果不同的域之間進(jìn)行訪問(wèn)，就需要不同域之間有一種信任關(guān)系。信任關(guān)系的方向信任是有方向的，信任的方向決定了資源訪問(wèn)的方向。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版關(guān)于信任的方向A域信任B域，A稱為信任域（TrustingDomain），B稱為被信任域（TrustedDomain），B域的用戶可以訪問(wèn)A域中的資源。單向信任關(guān)系

雙向信任關(guān)系

2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版信任的傳遞性信任具有傳遞性，即如果A信任B，B又信任C，如果信任關(guān)系是可傳遞的，A就信任C。在WindowsServer2003中默認(rèn)建立的信任關(guān)系是可傳遞的，但手工建立的信任關(guān)系有些是可傳遞的，有些則不傳遞的。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版信任的類型在創(chuàng)建樹(shù)和目錄林的結(jié)構(gòu)時(shí)，活動(dòng)目錄安裝向?qū)?huì)自動(dòng)創(chuàng)建兩種默認(rèn)的信任關(guān)系：父子信任：在現(xiàn)有域當(dāng)中添加新的子域時(shí)，父域和子域之間會(huì)建立父子信任關(guān)系，該關(guān)系是雙向可傳遞的；樹(shù)根信任：當(dāng)在現(xiàn)有的目錄中添加新的域樹(shù)時(shí)，目錄林的根域和樹(shù)的根域之間會(huì)建立樹(shù)根信任，關(guān)系是雙向可傳遞的。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版組織單位（OUOrganizationUnit）組織單位：是活動(dòng)目錄中的一個(gè)特殊容器，它可以所用戶、計(jì)算機(jī)、打印機(jī)和組等對(duì)象組織起來(lái)。與一般容器僅能容納對(duì)象不同，組織單元不僅可以包含對(duì)象，而且可以進(jìn)行策略設(shè)置和委派管理，這是普通容器不具備的。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版組織單位（續(xù)）組織單位是活動(dòng)目錄中最小的管理單元。如果一個(gè)域中的對(duì)象數(shù)目非常多的時(shí)候，我們可以把一些具有相同管理要求的對(duì)象組織在一起，這樣就可以實(shí)現(xiàn)分級(jí)管理。作為域管理員還可以指定某個(gè)用戶去管理某個(gè)OU，管理權(quán)限可視情況而定。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版組織單位（續(xù)）組織單位可以和公司的行政機(jī)構(gòu)相結(jié)合，這樣可以方便管理員對(duì)活動(dòng)目錄對(duì)象的管理。市場(chǎng)部、技術(shù)部、財(cái)務(wù)部。。。。在規(guī)劃組織單位時(shí)可以根據(jù)兩個(gè)原則：地點(diǎn)和部門職能。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版全局編錄（GC，GlobalCatalog）一個(gè)域的活動(dòng)目錄只能存儲(chǔ)該域的信息，相當(dāng)于這個(gè)域的目錄。而當(dāng)一個(gè)目錄林中有多個(gè)域時(shí)，由于每個(gè)域都有一個(gè)活動(dòng)目錄，因此如果一個(gè)域的用戶要在整個(gè)目錄林范圍內(nèi)查找一個(gè)對(duì)象時(shí)就要搜索目錄中每個(gè)域，這時(shí)全局編錄就派上用場(chǎng)。默認(rèn)情況下域中的第一臺(tái)域控制器自動(dòng)會(huì)成為全局編錄服務(wù)器。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版ActiveDirectory的物理架構(gòu)在活動(dòng)目錄中，邏輯結(jié)構(gòu)和物理結(jié)構(gòu)是兩個(gè)載然不同的概念。邏輯結(jié)構(gòu)是用來(lái)組織網(wǎng)絡(luò)資源的，而物理結(jié)構(gòu)是用來(lái)設(shè)置和管理網(wǎng)絡(luò)流量的。物理結(jié)構(gòu)由域控制器和站點(diǎn)組成。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版ActiveDirectory的物理架構(gòu)域控制器：運(yùn)行MicrosoftWindowsServer

2003（或Windows

2000Server）和ActiveDirectory的服務(wù)器。每臺(tái)域控制器執(zhí)行存儲(chǔ)和復(fù)制功能一臺(tái)域控制器只能支持一個(gè)域ActiveDirectory站點(diǎn)：通過(guò)建立站點(diǎn)實(shí)現(xiàn)網(wǎng)絡(luò)流量?jī)?yōu)化，對(duì)不同位置的域控制器之間的帶寬達(dá)到最佳利用2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版ActiveDirectory的物理架構(gòu)站點(diǎn)域控制器廣域網(wǎng)連接站點(diǎn)域控制器廣域網(wǎng)連接站點(diǎn)2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版運(yùn)行Windows

Server

2003操作系統(tǒng)計(jì)算機(jī)至少250MB磁盤空間一個(gè)使用NTFS文件系統(tǒng)格式化的分區(qū)或卷創(chuàng)建域必需的管理特權(quán)安裝有TCP/IP，并且配置其使用DNS一臺(tái)管理DNS域的DNS服務(wù)器，并且支持SRV資源記錄ActiveDirectory

安裝要求2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版安裝過(guò)程啟動(dòng)安全協(xié)議和設(shè)置安全策略創(chuàng)建：ActiveDirectory分區(qū)、數(shù)據(jù)庫(kù)和日志文件林根域SYSVOL文件夾NetLogon文件夾配置域控制器的站點(diǎn)成員關(guān)系在目錄服務(wù)和文件復(fù)制文件夾上啟用安全特性將用戶提供的密碼應(yīng)用到管理員賬戶（針對(duì)系統(tǒng)還原模式）ActiveDirectory安裝過(guò)程2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版演示：驗(yàn)證以下文件夾是否創(chuàng)建SYSVOL和共享目錄數(shù)據(jù)庫(kù)和日志文件缺省的的ActiveDirectory架構(gòu)是否創(chuàng)建通過(guò)事件查看器日志查看安裝結(jié)果驗(yàn)證ActiveDirectory

安裝2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版DNS和ActiveDirectory名稱空間

ActiveDirectory集成區(qū)域

SRV資源記錄域控制器注冊(cè)的SRV記錄檢查域控制器注冊(cè)的記錄客戶端計(jì)算機(jī)使用DNS定位域控制器和服務(wù)的過(guò)程檢查集成了

DNS的ActiveDirectory2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版安裝AD后操作系統(tǒng)的變化2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版ActiveDirectory集成區(qū)域是作為對(duì)象存儲(chǔ)在ActiveDirectory數(shù)據(jù)庫(kù)中的主DNS區(qū)域和存根DNS區(qū)域可以在ActiveDirectory應(yīng)用程序分區(qū)或ActiveDirectory域分區(qū)中存儲(chǔ)區(qū)域?qū)ο筇峁┮韵聝?yōu)點(diǎn)多主機(jī)復(fù)制安全動(dòng)態(tài)更新到其他DNS服務(wù)器的標(biāo)準(zhǔn)區(qū)域傳送ActiveDirectory

集成區(qū)域2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版ActiveDirectory

集成區(qū)域2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版SRV資源記錄SRV記錄是用于映射服務(wù)到提供此服務(wù)的計(jì)算機(jī)的信息字段組成SRV記錄格式范例：_ldap._tcp.contoso.msft600

INSRV0

100389london.contoso.msft

_Service_.Protocol.Name

Ttl

Class

SRV

Priority

Weight

Port

Target

2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版檢查域控制器注冊(cè)的記錄演示目的：使用DNS控制臺(tái)或者Nslookup工具查看域控制器注冊(cè)的SRV資源記錄2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版可能磁盤空間小于安裝ActiveDirectory的最小磁盤要求磁盤空間不足網(wǎng)絡(luò)錯(cuò)誤DNS錯(cuò)誤域不能聯(lián)系其他域擁有同樣的域名或NetBIOS名稱DNS或NetBIOS域名不唯一可能原因現(xiàn)象沒(méi)有使用屬于LocalAdministrators組的賬號(hào)登錄沒(méi)有提供DomainAdmins組或EnterpriseAdmins組成員的用戶賬號(hào)證書(shū)創(chuàng)建或添加域控制器時(shí)，訪問(wèn)被拒絕解決ActiveDirectory

安裝中的問(wèn)題2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版書(shū)本知識(shí)2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版工作組和域工作組和域是操作系統(tǒng)的網(wǎng)絡(luò)資源的兩種不同的管理方式。工作組的特點(diǎn)：管理方式是—分布式管理，工作組中的任何一臺(tái)計(jì)算機(jī)中負(fù)責(zé)管理本地的資源。適合小型網(wǎng)絡(luò)。域管理方式是—集中管理，至少有一臺(tái)服務(wù)器負(fù)責(zé)每一臺(tái)接入網(wǎng)絡(luò)的計(jì)算機(jī)和用戶的驗(yàn)證管理工作。適合于中大型網(wǎng)絡(luò)。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版工作組和域圖解創(chuàng)建方式不同

安全機(jī)制不同

2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版工作組和域圖解2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版關(guān)于域結(jié)構(gòu)域由一些計(jì)算機(jī)組成，分三類域控制器成員服務(wù)器客戶機(jī)2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版關(guān)于組織單位 組織單位(OU)用作一種容器，以便以邏輯方式來(lái)組織目錄對(duì)象（如用戶、組和計(jì)算機(jī)），這與使用文件夾來(lái)組織硬盤上的文件大體相同。它是可以指派組策略設(shè)置或委派管理權(quán)限的最小單元。您可以創(chuàng)建嵌套的OU，對(duì)嵌套級(jí)別沒(méi)有限制。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版關(guān)于組策略組策略是AD的核心應(yīng)用。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版為什么要引進(jìn)組策略？在AD中，能起到關(guān)鍵作用的就是“組策略”，利用組策略可以管理域中的計(jì)算機(jī)和用戶工作環(huán)境，實(shí)現(xiàn)軟件分發(fā)等一系列功能、可以快速便捷的幫助管理員完成煩瑣的工作。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版

1、組策略的概念“組策略”中的“組”和我們?cè)谝郧敖榻B的用戶組并沒(méi)有什么直接關(guān)系，不要把組策略理解為是針對(duì)用戶組所配置的策略。組策略是一種在用戶或計(jì)算機(jī)集合上強(qiáng)制使用一些配置的方法，組策略定義了用戶的桌面環(huán)境等多種設(shè)置。使用組策略可以給同組的計(jì)算機(jī)或者用戶強(qiáng)加一套統(tǒng)一的標(biāo)準(zhǔn)，包括菜單啟動(dòng)項(xiàng)、軟件設(shè)置，這樣計(jì)算機(jī)或者用戶可以有相同的菜單、相同的快捷方式等等各種配置。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版組策略的概念1.組策略對(duì)象（GPO）系統(tǒng)已經(jīng)有兩個(gè)內(nèi)建GPO，分別是：DefaultDomainPolicy此策略已被連接到域，因此該策略將影響域內(nèi)所有計(jì)算機(jī)和用戶。DefaultDomainControllerPolicy此策略已被連接到DomainControllerOU，因此該策略將影響域控制器組織單元內(nèi)的所有計(jì)算機(jī)和用戶2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版組策略的概念2．組策略配置類型應(yīng)用組策略時(shí)存在兩種配置選項(xiàng)：計(jì)算機(jī)配置和用戶配置。計(jì)算機(jī)配置：用于管理控制計(jì)算機(jī)特定項(xiàng)目的策略。包括桌面外觀、安全設(shè)置、操作系統(tǒng)下運(yùn)行、文件部署、應(yīng)用程序分配和計(jì)算機(jī)啟動(dòng)和關(guān)機(jī)腳本運(yùn)行。這些配置應(yīng)用到特定的計(jì)算機(jī)上，當(dāng)該計(jì)算機(jī)啟動(dòng)后，自動(dòng)應(yīng)用設(shè)置的組策略。用戶配置：用于管理控制更多用戶特定項(xiàng)目的管理策略。包括應(yīng)用程序配置、桌面配置、應(yīng)用程序分配和計(jì)算機(jī)啟動(dòng)和關(guān)機(jī)腳本運(yùn)行等。當(dāng)用戶登錄到計(jì)算機(jī)時(shí)，就會(huì)應(yīng)用用戶配置組策略。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版組策略應(yīng)用的對(duì)象計(jì)算機(jī)帳號(hào)用戶帳號(hào)2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版組策略的概念3．組策略功能類型軟件部署：軟件部署包括“應(yīng)用程序分配”和“應(yīng)用程序發(fā)行”兩部分內(nèi)容?！皯?yīng)用程序分配”指把應(yīng)用軟件提供給桌面，當(dāng)計(jì)算機(jī)或用戶根據(jù)組策略安裝后就不能修改或刪除應(yīng)用程序；“應(yīng)用程序發(fā)行”指將應(yīng)用軟件提供給用戶或計(jì)算機(jī)，允許它們選擇安裝。軟件策略：軟件策略是最常用的配置設(shè)置。這些選項(xiàng)定義了用戶的工作環(huán)境。例如，用戶的“開(kāi)始”菜單、屏保程序或用戶配置文件的設(shè)置，包括操作系統(tǒng)組件和注冊(cè)表設(shè)置。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版組策略的概念3．組策略功能類型（續(xù)）文件夾管理：文件夾管理允許組策略系統(tǒng)管理員添加文件、文件夾和快捷方式到用戶桌面。例如，可以根據(jù)安全組成員的身份把網(wǎng)絡(luò)應(yīng)用程序提供給用戶。腳本：腳本能夠用于在某些時(shí)間自動(dòng)運(yùn)行批處理文件的進(jìn)程，如啟動(dòng)和關(guān)機(jī)、登錄和注銷、映射網(wǎng)絡(luò)驅(qū)動(dòng)器、映射網(wǎng)絡(luò)打印機(jī)等。安全：安全策略設(shè)置用于定義目錄樹(shù)、域、網(wǎng)絡(luò)和本地計(jì)算機(jī)的安全配置。它們能夠用于設(shè)置賬戶策略。例如，密碼的使用期、網(wǎng)絡(luò)安全策略和賬戶鎖定策略等。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版Demo1強(qiáng)制性地讓用戶將關(guān)鍵數(shù)據(jù)備份到服務(wù)器上，以便可以集中備份。思路：不讓用戶訪問(wèn)驅(qū)動(dòng)器；不讓用戶使用命令行。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版操作步驟新建一個(gè)OU名為Computer，并在此OU上新建一個(gè)用戶為Kobe。右擊Computer，新建一個(gè)組策略。用戶配置—管理模板—windows組件—windows資源管理器—在右邊的窗格找到相應(yīng)的選項(xiàng)。（不讓用戶訪問(wèn)驅(qū)動(dòng)器。）用戶配置—管理模板—系統(tǒng)—在右邊的窗格找到相應(yīng)的選項(xiàng)。（不讓用戶使用命令行。）2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版Demo2目的：設(shè)置IE選項(xiàng)操作步驟：用戶配置—Windows設(shè)置—IE選項(xiàng)。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版Demo3利用組策略實(shí)現(xiàn)軟件的指派實(shí)驗(yàn)步驟:將要指派的軟件放到一共享文件夾中；用戶配置—軟件設(shè)置—軟件安裝；右擊”軟件安裝”—新建--程序包—指定軟件的網(wǎng)絡(luò)位置。選擇”已指派”。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版服務(wù)器端的設(shè)置過(guò)程圖2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版客戶端的效果圖2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版組策略的概念4.組策略的應(yīng)用時(shí)機(jī)組策略計(jì)算機(jī)配置的啟動(dòng)時(shí)機(jī)是：計(jì)算機(jī)開(kāi)機(jī)時(shí)自動(dòng)啟動(dòng)；如果用戶不重新開(kāi)機(jī)，系統(tǒng)會(huì)每隔一段時(shí)間自動(dòng)啟動(dòng)；或手工啟動(dòng)。組策略用戶配置的啟動(dòng)時(shí)間是：用戶登錄時(shí)自動(dòng)啟動(dòng)；系統(tǒng)即使用戶不注銷、登錄，系統(tǒng)默認(rèn)每隔90~120鐘自動(dòng)啟動(dòng)；手工啟動(dòng)。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版組策略的應(yīng)用順序（難點(diǎn)?。。。┙M策略的應(yīng)用順序如下：本地組策略域組策略域控制器策略組織單元組策略默認(rèn)情況下，這些策略不一致時(shí)，后應(yīng)用的策略將覆蓋以前的策略。但是，如果這些設(shè)置對(duì)象不一致，前后的策略都是有效策略。組策略可以繼承，也可以阻止策略繼承。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版課堂提問(wèn)與演示如果在域上設(shè)置了組策略，而在OUComputer上并沒(méi)有做任何設(shè)置，請(qǐng)問(wèn)該OU上的用戶是否可以受域上組策略的限制？如果在域上設(shè)置了組策略，而在OUComputer上做了相反的設(shè)置，請(qǐng)問(wèn)該OU上的用戶受何種組策略的限制？什么時(shí)候要在OU上設(shè)置“阻止策略繼承”？2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版回顧--組策略應(yīng)用的規(guī)則計(jì)算機(jī)策略覆蓋用戶策略；如果同一個(gè)容器的計(jì)算機(jī)策略和用戶策略都設(shè)置了,但這2個(gè)的策略之間相互沖突,并且這個(gè)容器下的用戶帳戶恰好登錄了這臺(tái)計(jì)算機(jī),那么計(jì)算機(jī)策略和用戶策略同時(shí)都要生效,這時(shí)計(jì)算機(jī)策略覆蓋用戶策略!

不同層次的策略產(chǎn)生沖突時(shí)，子容器上的GPO優(yōu)先級(jí)高；不同層次的策略產(chǎn)生沖突時(shí)，子容器上的GPO優(yōu)先級(jí)高!

同一個(gè)容器上多個(gè)GPO產(chǎn)生沖突時(shí)，處于GPO列表最高位置的GPO優(yōu)先級(jí)最高；2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版回顧--組策略應(yīng)用的規(guī)則圖解2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版回顧--組策略應(yīng)用的規(guī)則的進(jìn)一步說(shuō)明1掌握組策略繼承在不同層次的容器上設(shè)置GPO或在同一層次的容器上設(shè)置了多個(gè)GPO,只要策略之間無(wú)沖突,那么所有策略都會(huì)做累加.還有上層容器做了GPO,那么下層容器會(huì)繼承上層容器的策略.2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版回顧--組策略應(yīng)用的規(guī)則的進(jìn)一步說(shuō)明2阻止繼承操作下層容器默認(rèn)會(huì)繼承上層容器的策略，那么下層容器也可以阻止上層容器的策略，這樣上層容器的策略就不會(huì)繼承到下層了。方法是只需要在下層容器設(shè)置"阻止繼承"即可:2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版回顧--阻止繼承操作圖片2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版回顧--組策略應(yīng)用的規(guī)則的進(jìn)一步說(shuō)明3組策略強(qiáng)制生效下層容器也可以阻止上層容器的策略，那么反過(guò)來(lái)上級(jí)容器也可以把策略強(qiáng)制給下級(jí)容器，那么不管下層容器有沒(méi)有選擇“阻止繼承”，都不生效，上層容器的策略都會(huì)繼承下來(lái)。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版回顧--組策略強(qiáng)制生效圖解2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版回顧--沖突的解決如果上層容器選擇了“強(qiáng)制”，而下層容器同時(shí)選擇了“阻止‘，兩個(gè)都存在，那么”強(qiáng)制“優(yōu)先級(jí)高。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版進(jìn)一步說(shuō)明---如何設(shè)置特例？GPO都是應(yīng)用于容器下的所有的計(jì)算機(jī)和用戶，但在實(shí)際中會(huì)有這樣的需求，例如學(xué)術(shù)部的所有普通用戶都要受GPO的約束，而經(jīng)理卻不想受此約束，該如何操作？2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版用篩選組策略設(shè)置利用篩選組策略設(shè)置可以實(shí)現(xiàn)阻止一個(gè)GPO應(yīng)用于容器內(nèi)部的特定計(jì)算機(jī)和用戶。

2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版操作圖解2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版2、創(chuàng)建組策略每一計(jì)算機(jī)上的本地策略都是只能有一個(gè)，因此只能編輯本地策略而不能創(chuàng)建本地策略，而域上或組織單元級(jí)別上可以有多個(gè)組策略，我們可以在一個(gè)域上或組織單元上同時(shí)應(yīng)用多個(gè)組策略

2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版2、創(chuàng)建組策略2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版鏈接已有的GPO2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版鏈接已有的GPO2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版鏈接已有的GPO2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版委托GPO管理控制2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版委托GPO管理控制2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版4、設(shè)置組策略2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版4、設(shè)置組策略2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版4、設(shè)置組策略未配置：表示該設(shè)置不會(huì)更改注冊(cè)表。已啟用：表示該配置應(yīng)用到該GPO的用戶和計(jì)算機(jī)。已禁用：表示注冊(cè)表將指示策略不會(huì)應(yīng)用到隸屬于該GPO的用戶和計(jì)算機(jī)。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版5、刪除GPO鏈接2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版5、刪除GPO鏈接2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版5、刪除GPO2022/12/18工程技術(shù)部鄢創(chuàng)輝第3章域和組策略第3章域和組策略2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版學(xué)習(xí)要點(diǎn) 理解什么是AD（重點(diǎn)）理解工作組和域的管理模式掌握組織單位的管理掌握組策略和組策略的設(shè)置理解域、組織單位和組策略的關(guān)系2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版前提知識(shí)2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版1、什么是活動(dòng)目錄WindowsServer2000相對(duì)于NT4.0而言最重要的改變是增加了活動(dòng)目錄(AD)，AD也是Windows2000最主要的特性。WindowsServer2003仍然提供了對(duì)AD的支持。從字面上看，活動(dòng)目錄由“活動(dòng)”和“目錄”兩部分組成?！盎顒?dòng)”是用來(lái)修飾“目錄”，其核心是“目錄”兩個(gè)字；目錄代表的是目錄服務(wù)（DirectoryService）。目錄：決定存放的內(nèi)容及存放的方式。服務(wù)：對(duì)我們提出的要求的正確響應(yīng)。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版1、什么是活動(dòng)目錄（續(xù)）目錄服務(wù)有多種,如：NT4.0的SAM;NETWARE-NDS;UNIX;MACINTOISH。而活動(dòng)目錄是WindowsServer2003網(wǎng)絡(luò)中目錄服務(wù)的實(shí)現(xiàn)方式。它的“活動(dòng)”體現(xiàn)在：活動(dòng)目錄中對(duì)象的數(shù)目是沒(méi)有限制的；活動(dòng)目錄中對(duì)象的屬性是可以增加的；可以方便地添加或刪除域。

2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版2、活動(dòng)目錄的特點(diǎn)方便的組織資源；活動(dòng)目錄將目錄組織居能夠存儲(chǔ)大量對(duì)象的容器，因此活動(dòng)目錄能夠隨著組織機(jī)構(gòu)的擴(kuò)大而增長(zhǎng)。方便的信息組織和查找；活動(dòng)目錄提供了收集和分發(fā)網(wǎng)絡(luò)中對(duì)象的集中存儲(chǔ)場(chǎng)所，這些網(wǎng)絡(luò)信息包括用戶、組和打印機(jī)等。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版2、活動(dòng)目錄的特點(diǎn)（續(xù)）集中管理和分散管理的相結(jié)合；利用活動(dòng)目錄工具能夠?qū)顒?dòng)目錄中的資源進(jìn)行統(tǒng)一管理，如統(tǒng)一執(zhí)行組策略等。也可以根據(jù)不同用戶的需要進(jìn)行分散的管理，如為不同的組織單位執(zhí)行不同的組策略。資源的分級(jí)管理。通過(guò)登錄認(rèn)證和目錄中對(duì)象的訪問(wèn)控制，安全性和活動(dòng)目錄緊密地集成在一起。管理員能夠管理整個(gè)網(wǎng)絡(luò)的目錄數(shù)據(jù)，并且可以授權(quán)用戶能夠訪問(wèn)網(wǎng)絡(luò)上任何位置的資源及權(quán)限。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版3、活動(dòng)目錄的好處降低總體擁有成本這些成本包括維護(hù)的成本、培訓(xùn)的成本、技術(shù)支持成本及相應(yīng)的升級(jí)成本。一次登錄即能訪問(wèn)所有的資源每個(gè)用戶只要在登錄一次提供用戶信息，就可以訪問(wèn)網(wǎng)絡(luò)中所有該用戶有權(quán)限訪問(wèn)的資源。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版4、ActiveDirectory的邏輯架構(gòu)活動(dòng)目錄的邏輯結(jié)構(gòu)可以公司的組織機(jī)構(gòu)框圖結(jié)合起來(lái)，通過(guò)對(duì)資源進(jìn)行邏輯組織，使用戶可以通過(guò)名稱而不是通過(guò)物理位置來(lái)查找資源，并且使網(wǎng)絡(luò)的物理結(jié)構(gòu)對(duì)用戶來(lái)說(shuō)是透明的?；顒?dòng)目錄的邏輯結(jié)構(gòu)包括：域（Domain）、域樹(shù)（DomainTree）、域目錄林（Forest森林林）和組織單位（OrganizationUnit）。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版5、ActiveDirectory的邏輯架構(gòu)域域域域域域OUOUOU域樹(shù)域林組織單位對(duì)象2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版ActiveDirectory的邏輯架構(gòu)域：ActiveDirectory邏輯結(jié)構(gòu)中的核心功能單位，域提供下列三種功能：對(duì)象的管理邊界管理共享資源安全性的方法對(duì)象的復(fù)制單元域樹(shù)：以層次結(jié)構(gòu)的方式組合到一起的域，子域的名稱與其父域名稱組合在一起，形成它自身唯一的域名系統(tǒng)森林：林是ActiveDirectory的完整實(shí)例。其中包含一個(gè)或多個(gè)樹(shù)組織單位：是活動(dòng)目錄中的一個(gè)特殊容器。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版為什么需要域如果資源分布在多臺(tái)服務(wù)器上，要在每臺(tái)服務(wù)器分別為每一員工建立一個(gè)賬戶（共M*N），用戶則需要在每臺(tái)服務(wù)器上（共M臺(tái)）登錄2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版為什么需要域服務(wù)器和用戶的計(jì)算機(jī)都在同一個(gè)域中，用戶在域中只要擁有一個(gè)賬號(hào)用戶只需要在域中擁有一個(gè)域賬戶，只需要在域中登錄一次就可以訪問(wèn)域中的資源了。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版為什么需要域用戶信息存放在域中的域控制器(DC，DomainController)上。當(dāng)網(wǎng)絡(luò)有十萬(wàn)個(gè)用戶甚至更多，域控制器存放的用戶數(shù)據(jù)量將很大，更為關(guān)鍵的是如果用戶頻繁登錄，域控制器可能因此而不堪重負(fù)。分成多個(gè)域，每個(gè)域的規(guī)?？刂圃谝欢ǖ姆秶畠?nèi)。實(shí)際上，分成小的域不僅僅出于服務(wù)器不堪重負(fù)的原因，更多的是出于管理上的要求。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版為什么需要域網(wǎng)絡(luò)劃分成多個(gè)域

2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版域的概念域是活動(dòng)目錄邏輯結(jié)構(gòu)的核心單元，是活動(dòng)目錄的容器。域定義了一個(gè)安全的邊界（域是一個(gè)安全的堡壘），域中的所有對(duì)象都保存在域中，都在這個(gè)安全的范圍內(nèi)接受統(tǒng)一的管理．同時(shí)每個(gè)域只保存屬于本域的對(duì)象，所以域管理員只能管理本域．安全邊界的作用就是保證域的管理者只能在該域內(nèi)擁有必要的管理權(quán)限，如果要讓一個(gè)域的管理員去管理其他域，除非管理者得到了其他域的明確授權(quán)。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版域的概念（續(xù)）域是復(fù)制的單元。域是一種邏輯的組織形式，因此一個(gè)域可以跨越多個(gè)物理位置。例如北京和廣州的兩個(gè)網(wǎng)段屬于同一個(gè)域，它們之間通過(guò)WAN相連。如果只有一臺(tái)域控制器（安裝了活動(dòng)目錄的計(jì)算機(jī)）在北京，那么廣州的用戶也只能在北京的域控制器上進(jìn)行身份驗(yàn)證。為了提高對(duì)用戶的響應(yīng)速度可以在廣州的網(wǎng)段上也創(chuàng)建一臺(tái)域控制器。這樣就需要北京和廣州的域控制器之間實(shí)現(xiàn)數(shù)據(jù)同步，而同步的內(nèi)容就是域的信息，所以說(shuō)域是復(fù)制的單元。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版域樹(shù)的概念域樹(shù)是一組具有連續(xù)命名空間的域組成的。例如我們學(xué)院最初一個(gè)域名為，后來(lái)為了管理方便或者是為了安全的需要，需要新建一個(gè)域（域是安全的最小邊界），這樣就可以把這個(gè)新域添加到現(xiàn)有的目錄當(dāng)中去．這個(gè)新域就是的子域。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版域樹(shù)的概念（續(xù)）組成一棵樹(shù)的第一個(gè)域稱為樹(shù)的根域，上圖中為樹(shù)的根域，而其他的域稱為該樹(shù)的結(jié)點(diǎn)域。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版域目錄林的概念域目錄林（Forest）是由一棵或多棵域樹(shù)組成的，每棵域樹(shù)獨(dú)享連續(xù)的命名空間，不同的域樹(shù)之間沒(méi)有命名空間的連續(xù)性。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版域和信任關(guān)系什么是信任關(guān)系？域是安全的最小邊界，對(duì)于樹(shù)和目錄林而言，如果不同的域之間進(jìn)行訪問(wèn)，就需要不同域之間有一種信任關(guān)系。信任關(guān)系的方向信任是有方向的，信任的方向決定了資源訪問(wèn)的方向。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版關(guān)于信任的方向A域信任B域，A稱為信任域（TrustingDomain），B稱為被信任域（TrustedDomain），B域的用戶可以訪問(wèn)A域中的資源。單向信任關(guān)系

雙向信任關(guān)系

2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版信任的傳遞性信任具有傳遞性，即如果A信任B，B又信任C，如果信任關(guān)系是可傳遞的，A就信任C。在WindowsServer2003中默認(rèn)建立的信任關(guān)系是可傳遞的，但手工建立的信任關(guān)系有些是可傳遞的，有些則不傳遞的。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版信任的類型在創(chuàng)建樹(shù)和目錄林的結(jié)構(gòu)時(shí)，活動(dòng)目錄安裝向?qū)?huì)自動(dòng)創(chuàng)建兩種默認(rèn)的信任關(guān)系：父子信任：在現(xiàn)有域當(dāng)中添加新的子域時(shí)，父域和子域之間會(huì)建立父子信任關(guān)系，該關(guān)系是雙向可傳遞的；樹(shù)根信任：當(dāng)在現(xiàn)有的目錄中添加新的域樹(shù)時(shí)，目錄林的根域和樹(shù)的根域之間會(huì)建立樹(shù)根信任，關(guān)系是雙向可傳遞的。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版組織單位（OUOrganizationUnit）組織單位：是活動(dòng)目錄中的一個(gè)特殊容器，它可以所用戶、計(jì)算機(jī)、打印機(jī)和組等對(duì)象組織起來(lái)。與一般容器僅能容納對(duì)象不同，組織單元不僅可以包含對(duì)象，而且可以進(jìn)行策略設(shè)置和委派管理，這是普通容器不具備的。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版組織單位（續(xù)）組織單位是活動(dòng)目錄中最小的管理單元。如果一個(gè)域中的對(duì)象數(shù)目非常多的時(shí)候，我們可以把一些具有相同管理要求的對(duì)象組織在一起，這樣就可以實(shí)現(xiàn)分級(jí)管理。作為域管理員還可以指定某個(gè)用戶去管理某個(gè)OU，管理權(quán)限可視情況而定。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版組織單位（續(xù)）組織單位可以和公司的行政機(jī)構(gòu)相結(jié)合，這樣可以方便管理員對(duì)活動(dòng)目錄對(duì)象的管理。市場(chǎng)部、技術(shù)部、財(cái)務(wù)部。。。。在規(guī)劃組織單位時(shí)可以根據(jù)兩個(gè)原則：地點(diǎn)和部門職能。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版全局編錄（GC，GlobalCatalog）一個(gè)域的活動(dòng)目錄只能存儲(chǔ)該域的信息，相當(dāng)于這個(gè)域的目錄。而當(dāng)一個(gè)目錄林中有多個(gè)域時(shí)，由于每個(gè)域都有一個(gè)活動(dòng)目錄，因此如果一個(gè)域的用戶要在整個(gè)目錄林范圍內(nèi)查找一個(gè)對(duì)象時(shí)就要搜索目錄中每個(gè)域，這時(shí)全局編錄就派上用場(chǎng)。默認(rèn)情況下域中的第一臺(tái)域控制器自動(dòng)會(huì)成為全局編錄服務(wù)器。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版ActiveDirectory的物理架構(gòu)在活動(dòng)目錄中，邏輯結(jié)構(gòu)和物理結(jié)構(gòu)是兩個(gè)載然不同的概念。邏輯結(jié)構(gòu)是用來(lái)組織網(wǎng)絡(luò)資源的，而物理結(jié)構(gòu)是用來(lái)設(shè)置和管理網(wǎng)絡(luò)流量的。物理結(jié)構(gòu)由域控制器和站點(diǎn)組成。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版ActiveDirectory的物理架構(gòu)域控制器：運(yùn)行MicrosoftWindowsServer

2003（或Windows

2000Server）和ActiveDirectory的服務(wù)器。每臺(tái)域控制器執(zhí)行存儲(chǔ)和復(fù)制功能一臺(tái)域控制器只能支持一個(gè)域ActiveDirectory站點(diǎn)：通過(guò)建立站點(diǎn)實(shí)現(xiàn)網(wǎng)絡(luò)流量?jī)?yōu)化，對(duì)不同位置的域控制器之間的帶寬達(dá)到最佳利用2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版ActiveDirectory的物理架構(gòu)站點(diǎn)域控制器廣域網(wǎng)連接站點(diǎn)域控制器廣域網(wǎng)連接站點(diǎn)2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版運(yùn)行Windows

Server

2003操作系統(tǒng)計(jì)算機(jī)至少250MB磁盤空間一個(gè)使用NTFS文件系統(tǒng)格式化的分區(qū)或卷創(chuàng)建域必需的管理特權(quán)安裝有TCP/IP，并且配置其使用DNS一臺(tái)管理DNS域的DNS服務(wù)器，并且支持SRV資源記錄ActiveDirectory

安裝要求2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版安裝過(guò)程啟動(dòng)安全協(xié)議和設(shè)置安全策略創(chuàng)建：ActiveDirectory分區(qū)、數(shù)據(jù)庫(kù)和日志文件林根域SYSVOL文件夾NetLogon文件夾配置域控制器的站點(diǎn)成員關(guān)系在目錄服務(wù)和文件復(fù)制文件夾上啟用安全特性將用戶提供的密碼應(yīng)用到管理員賬戶（針對(duì)系統(tǒng)還原模式）ActiveDirectory安裝過(guò)程2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版演示：驗(yàn)證以下文件夾是否創(chuàng)建SYSVOL和共享目錄數(shù)據(jù)庫(kù)和日志文件缺省的的ActiveDirectory架構(gòu)是否創(chuàng)建通過(guò)事件查看器日志查看安裝結(jié)果驗(yàn)證ActiveDirectory

安裝2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版DNS和ActiveDirectory名稱空間

ActiveDirectory集成區(qū)域

SRV資源記錄域控制器注冊(cè)的SRV記錄檢查域控制器注冊(cè)的記錄客戶端計(jì)算機(jī)使用DNS定位域控制器和服務(wù)的過(guò)程檢查集成了

DNS的ActiveDirectory2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版安裝AD后操作系統(tǒng)的變化2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版ActiveDirectory集成區(qū)域是作為對(duì)象存儲(chǔ)在ActiveDirectory數(shù)據(jù)庫(kù)中的主DNS區(qū)域和存根DNS區(qū)域可以在ActiveDirectory應(yīng)用程序分區(qū)或ActiveDirectory域分區(qū)中存儲(chǔ)區(qū)域?qū)ο筇峁┮韵聝?yōu)點(diǎn)多主機(jī)復(fù)制安全動(dòng)態(tài)更新到其他DNS服務(wù)器的標(biāo)準(zhǔn)區(qū)域傳送ActiveDirectory

集成區(qū)域2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版ActiveDirectory

集成區(qū)域2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版SRV資源記錄SRV記錄是用于映射服務(wù)到提供此服務(wù)的計(jì)算機(jī)的信息字段組成SRV記錄格式范例：_ldap._tcp.contoso.msft600

INSRV0

100389london.contoso.msft

_Service_.Protocol.Name

Ttl

Class

SRV

Priority

Weight

Port

Target

2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版檢查域控制器注冊(cè)的記錄演示目的：使用DNS控制臺(tái)或者Nslookup工具查看域控制器注冊(cè)的SRV資源記錄2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版可能磁盤空間小于安裝ActiveDirectory的最小磁盤要求磁盤空間不足網(wǎng)絡(luò)錯(cuò)誤DNS錯(cuò)誤域不能聯(lián)系其他域擁有同樣的域名或NetBIOS名稱DNS或NetBIOS域名不唯一可能原因現(xiàn)象沒(méi)有使用屬于LocalAdministrators組的賬號(hào)登錄沒(méi)有提供DomainAdmins組或EnterpriseAdmins組成員的用戶賬號(hào)證書(shū)創(chuàng)建或添加域控制器時(shí)，訪問(wèn)被拒絕解決ActiveDirectory

安裝中的問(wèn)題2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版書(shū)本知識(shí)2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版工作組和域工作組和域是操作系統(tǒng)的網(wǎng)絡(luò)資源的兩種不同的管理方式。工作組的特點(diǎn)：管理方式是—分布式管理，工作組中的任何一臺(tái)計(jì)算機(jī)中負(fù)責(zé)管理本地的資源。適合小型網(wǎng)絡(luò)。域管理方式是—集中管理，至少有一臺(tái)服務(wù)器負(fù)責(zé)每一臺(tái)接入網(wǎng)絡(luò)的計(jì)算機(jī)和用戶的驗(yàn)證管理工作。適合于中大型網(wǎng)絡(luò)。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版工作組和域圖解創(chuàng)建方式不同

安全機(jī)制不同

2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版工作組和域圖解2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版關(guān)于域結(jié)構(gòu)域由一些計(jì)算機(jī)組成，分三類域控制器成員服務(wù)器客戶機(jī)2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版關(guān)于組織單位 組織單位(OU)用作一種容器，以便以邏輯方式來(lái)組織目錄對(duì)象（如用戶、組和計(jì)算機(jī)），這與使用文件夾來(lái)組織硬盤上的文件大體相同。它是可以指派組策略設(shè)置或委派管理權(quán)限的最小單元。您可以創(chuàng)建嵌套的OU，對(duì)嵌套級(jí)別沒(méi)有限制。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版關(guān)于組策略組策略是AD的核心應(yīng)用。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版為什么要引進(jìn)組策略？在AD中，能起到關(guān)鍵作用的就是“組策略”，利用組策略可以管理域中的計(jì)算機(jī)和用戶工作環(huán)境，實(shí)現(xiàn)軟件分發(fā)等一系列功能、可以快速便捷的幫助管理員完成煩瑣的工作。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版

1、組策略的概念“組策略”中的“組”和我們?cè)谝郧敖榻B的用戶組并沒(méi)有什么直接關(guān)系，不要把組策略理解為是針對(duì)用戶組所配置的策略。組策略是一種在用戶或計(jì)算機(jī)集合上強(qiáng)制使用一些配置的方法，組策略定義了用戶的桌面環(huán)境等多種設(shè)置。使用組策略可以給同組的計(jì)算機(jī)或者用戶強(qiáng)加一套統(tǒng)一的標(biāo)準(zhǔn)，包括菜單啟動(dòng)項(xiàng)、軟件設(shè)置，這樣計(jì)算機(jī)或者用戶可以有相同的菜單、相同的快捷方式等等各種配置。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版組策略的概念1.組策略對(duì)象（GPO）系統(tǒng)已經(jīng)有兩個(gè)內(nèi)建GPO，分別是：DefaultDomainPolicy此策略已被連接到域，因此該策略將影響域內(nèi)所有計(jì)算機(jī)和用戶。DefaultDomainControllerPolicy此策略已被連接到DomainControllerOU，因此該策略將影響域控制器組織單元內(nèi)的所有計(jì)算機(jī)和用戶2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版組策略的概念2．組策略配置類型應(yīng)用組策略時(shí)存在兩種配置選項(xiàng)：計(jì)算機(jī)配置和用戶配置。計(jì)算機(jī)配置：用于管理控制計(jì)算機(jī)特定項(xiàng)目的策略。包括桌面外觀、安全設(shè)置、操作系統(tǒng)下運(yùn)行、文件部署、應(yīng)用程序分配和計(jì)算機(jī)啟動(dòng)和關(guān)機(jī)腳本運(yùn)行。這些配置應(yīng)用到特定的計(jì)算機(jī)上，當(dāng)該計(jì)算機(jī)啟動(dòng)后，自動(dòng)應(yīng)用設(shè)置的組策略。用戶配置：用于管理控制更多用戶特定項(xiàng)目的管理策略。包括應(yīng)用程序配置、桌面配置、應(yīng)用程序分配和計(jì)算機(jī)啟動(dòng)和關(guān)機(jī)腳本運(yùn)行等。當(dāng)用戶登錄到計(jì)算機(jī)時(shí)，就會(huì)應(yīng)用用戶配置組策略。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版組策略應(yīng)用的對(duì)象計(jì)算機(jī)帳號(hào)用戶帳號(hào)2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版組策略的概念3．組策略功能類型軟件部署：軟件部署包括“應(yīng)用程序分配”和“應(yīng)用程序發(fā)行”兩部分內(nèi)容?！皯?yīng)用程序分配”指把應(yīng)用軟件提供給桌面，當(dāng)計(jì)算機(jī)或用戶根據(jù)組策略安裝后就不能修改或刪除應(yīng)用程序；“應(yīng)用程序發(fā)行”指將應(yīng)用軟件提供給用戶或計(jì)算機(jī)，允許它們選擇安裝。軟件策略：軟件策略是最常用的配置設(shè)置。這些選項(xiàng)定義了用戶的工作環(huán)境。例如，用戶的“開(kāi)始”菜單、屏保程序或用戶配置文件的設(shè)置，包括操作系統(tǒng)組件和注冊(cè)表設(shè)置。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版組策略的概念3．組策略功能類型（續(xù)）文件夾管理：文件夾管理允許組策略系統(tǒng)管理員添加文件、文件夾和快捷方式到用戶桌面。例如，可以根據(jù)安全組成員的身份把網(wǎng)絡(luò)應(yīng)用程序提供給用戶。腳本：腳本能夠用于在某些時(shí)間自動(dòng)運(yùn)行批處理文件的進(jìn)程，如啟動(dòng)和關(guān)機(jī)、登錄和注銷、映射網(wǎng)絡(luò)驅(qū)動(dòng)器、映射網(wǎng)絡(luò)打印機(jī)等。安全：安全策略設(shè)置用于定義目錄樹(shù)、域、網(wǎng)絡(luò)和本地計(jì)算機(jī)的安全配置。它們能夠用于設(shè)置賬戶策略。例如，密碼的使用期、網(wǎng)絡(luò)安全策略和賬戶鎖定策略等。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版Demo1強(qiáng)制性地讓用戶將關(guān)鍵數(shù)據(jù)備份到服務(wù)器上，以便可以集中備份。思路：不讓用戶訪問(wèn)驅(qū)動(dòng)器；不讓用戶使用命令行。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版操作步驟新建一個(gè)OU名為Computer，并在此OU上新建一個(gè)用戶為Kobe。右擊Computer，新建一個(gè)組策略。用戶配置—管理模板—windows組件—windows資源管理器—在右邊的窗格找到相應(yīng)的選項(xiàng)。（不讓用戶訪問(wèn)驅(qū)動(dòng)器。）用戶配置—管理模板—系統(tǒng)—在右邊的窗格找到相應(yīng)的選項(xiàng)。（不讓用戶使用命令行。）2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版Demo2目的：設(shè)置IE選項(xiàng)操作步驟：用戶配置—Windows設(shè)置—IE選項(xiàng)。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版Demo3利用組策略實(shí)現(xiàn)軟件的指派實(shí)驗(yàn)步驟:將要指派的軟件放到一共享文件夾中；用戶配置—軟件設(shè)置—軟件安裝；右擊”軟件安裝”—新建--程序包—指定軟件的網(wǎng)絡(luò)位置。選擇”已指派”。2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版服務(wù)器端的設(shè)置過(guò)程圖2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版客戶端的效果圖2022/12/18工程技術(shù)部鄢創(chuàng)輝2023/1/3工程技術(shù)部鄢創(chuàng)輝版權(quán)所有謝絕盜版組策略的概念4.組策略的應(yīng)用時(shí)機(jī)組策略計(jì)算機(jī)配置的啟動(dòng)時(shí)機(jī)是：計(jì)算機(jī)開(kāi)機(jī)時(shí)自動(dòng)啟動(dòng)；如果用戶不重新開(kāi)機(jī)，系統(tǒng)會(huì)每隔一段時(shí)間自動(dòng)啟動(dòng)；或手工啟動(dòng)。組策略用戶配置的啟動(dòng)時(shí)間是：用戶登錄時(shí)自動(dòng)啟動(dòng)；系統(tǒng)即使用戶不注銷、登錄，系統(tǒng)默認(rèn)每隔90~120鐘自動(dòng)啟動(dòng)；手工啟動(dòng)。20