3 域與組策略學習要點? 理解工作組與域的管理模式? 理解什么是Active Directory? 掌握組織單位的管理? 掌握組策略和組策略的設置? 理解域、組織單位和策略的關(guān)系3．1 工作組與域工

3 域與組策略

學習要點

? 理解工作組與域的管理模式

? 理解什么是Active Directory

? 掌握組織單位的管理

? 掌握組策略和組策略的設置

? 理解域、組織單位和策略的關(guān)系

3．1 工作組與域

工作組和域是操作系統(tǒng)的網(wǎng)絡資源的兩種不同管理模式，在對網(wǎng)絡實施管理的時候，網(wǎng)絡管理員必須對這兩種不同的管理模式有深入的了解。

3．1．1 工作組

工作組的管理模式采用頒式的管理。工作組中的任何一臺計算機只負責管理本地的資源，每臺計算機都可以任意地加入或退出某一工作組（WORKGROUP 為默認組），工作組中所有計算機之間是一種平等的關(guān)系。工作組的管理模式適用于小型的網(wǎng)絡。

3．1．2 域 c/s

域的管理模式采用集中式的管理。在域的管理模式下，至少有一臺服務器負責每一臺接入網(wǎng)絡的計算機和用戶的驗證管理工作。域管理員是域管理模式中權(quán)限最大的人員，可以登錄到加入域中的任何一臺成員機器，域中所有的資源都在域管理員的控制之下。計算機要加入一個域中，必須經(jīng)過域管理員的批準。域的工作方式適用于較大型

的網(wǎng)絡。

下面我們來介紹一下關(guān)于域的其他內(nèi)容。

3．1．2．1 域結(jié)構(gòu)

由以上內(nèi)容可知，域是由一些計算機組成的，如圖3-1所示，這些計算機按類別分可以分3類，分別為：域控制器、成員服務器和客戶機，下面分別來介紹。

1． 域控制器

域控制器是一種服務器，主要用來進行網(wǎng)絡的安全核查以及資源共享。域中的所有資源由域控制器統(tǒng)一管理。

一個域中至少要有一個域控制器，如果擁有多個域控制器，它們之間的關(guān)系是平等的。域中的成員（包括成員服務器和客戶機）可以從一個域中脫離出去，但域控制器卻不能退出一個域。非域控制器支持域登錄和本地登錄兩種登錄方法，而域控制器不支持本地登錄。

2． 成員服務器

成員服務器也是一種服務器，它不能提供網(wǎng)絡的安全核查等工作，但是可以提供其他的網(wǎng)絡服務，比如Web 服務、打印服務等。

3． 客戶機

客戶機是網(wǎng)絡中只享受服務的機器，客戶機上的操作系統(tǒng)一般為桌面型的，如：Windows 2000Professional、Windows XP Professional，Windows vista等。

3．1．2．2 建立域的條件

建立域的條件具體如下：

（1） 計算機的振作系統(tǒng)必須是Windows Server 2000、Windows

Server 2003或者更高級版本；2008

（2） 安裝目錄的文件系統(tǒng)必須是NTFS 格式；

（3） 配置了DNS 服務器。

（4） 靜態(tài)IP

3．2 Active Directory

Active Directory（活動目錄）是Windows Server 2003平臺的以目錄列舉方式管理數(shù)據(jù)信息的系統(tǒng)組件。Active Directory存儲有關(guān)網(wǎng)絡的對象的信息，使管理員和用戶可以更方便地查找使用和管理這些信息。這些對象的信息包括了服務器、卷、打印機、網(wǎng)絡用戶和組等。

Active Directory管理工具主要包括“Active Directory用戶和計算機”、“Active Directory站點和服務”和“Active Directory域和信任關(guān)系”3個，下面分別來介紹。

3．2．1 Active Directory用戶和計算機

“Active Directory用戶和計算機”是管理Active Directory對象（用戶、打印機和組等）的工具，打開此管理工具的方法是：依次選擇[開始]→[程序]→[管理工具]→[Active Directory用戶和計算機]，界面如圖3-2所示。下面具體來介紹“Active Directory用戶和計算機”。

（1）組織單位。組織單位是Active Directory可以被用戶定義并應用組策略（見本章3.4組策略的相關(guān)內(nèi)容）的對象，管理員可以通過創(chuàng)建組織單位來簡化域的管理控制。

（2）容器。容器是指在“Active Directory用戶和計算機”中不帶

任何標記的文件夾。默認的容器有Builtin 、Computers 、Users 、ForeignSecurityPrincipals 等。

（3）對象。Active Directory對象被放置在Active Directory內(nèi)的組織單位和容器中。如打印機、用戶賬戶、計算機賬戶和安全組等都屬于Active Directory對象。

3．2．2 Active Directory站點和服務

“Active Directory站點和服務”是用于管理目錄數(shù)據(jù)的復制的工具打開此管理工具的方法是：依次選擇[開始] →[程序] →[管理工具] →[Active Directory站點和服務]，界面如圖3-3所示。

在安裝第一個域時，系統(tǒng)默認配置有“Default-First-Site ”站點，新創(chuàng)建的服務器將列在該站點之下。在“Active Directory站點和服務”的管理界面中，可以創(chuàng)建新站點，重命名站點，還可選擇站點鏈接。

3．2．2 Active Directory域和信任關(guān)系

域和域之間的通信是通過信任發(fā)生的。默認情況下，當使用

“Active Directory安裝向?qū)А碧砑有掠驎r，系統(tǒng)會自動創(chuàng)建父子信任和樹根信任兩種默認信任類型。下面我們分別來介紹這兩種信任類型。

1． 樹根信任

樹根信任是指不同樹根之間的信任關(guān)系。圖3-4顯示了

domain1.com 和domain2.com 這兩個樹之間的樹根信任關(guān)系。

2． 父子信任

父子信任是指在同一域樹內(nèi)部的信任關(guān)系。在圖3-4中，

domain1.com 域下面是a. domain1.com域，它們之間的信任關(guān)系就是父子信任關(guān)系。a. domain1.com 和b. domain1.com 都是domain1.com 子域，它們都信任它們的父域domain1.com ，所以a. domain1.com和b. domain1.com的資源可以相互訪問。父子信任可以在域樹的所有域之間傳遞。

“Active Directory域和信任關(guān)系”是管理域信任關(guān)系的工具。打開此管理工具的方法是：依次選擇[開始] →[程序] →[管理工具] →

[Active Directory 域和信任關(guān)系]，界面如圖3-5所示。在“Active Directory 域和信任關(guān)系”界面中可以查看、創(chuàng)建、修改和驗證域的信任關(guān)系。

Active Directory管理工具的具體操作方法見《計算機網(wǎng)絡管理員認證實驗指導》的相關(guān)內(nèi)容。

3．3 組織單位

在了解了Active Directory之后，下面介紹一下組織單位的相關(guān)知識。

3．3．1 組織單位簡介

組織單位是可將用戶、組、計算機和其他組織單位放入其中的Active Directory 容器。組織單位把域中對象如用戶、組、計算機等組織成邏輯管理組，它是可以指派組策略（見本章組策略相關(guān)內(nèi)容）設置或委派管理權(quán)限的最小單元。

使用組織單位可將網(wǎng)絡所需的域數(shù)量降到最低，組織單位中可包含其他的組織單位。如圖3-6所示，domain.com 域中包含了ou1、ou2

組織單位中又包含了ou3組織單位。

3．3．2 組織單位的管理

組織單位的管理主要包括組織單位的創(chuàng)建、向組織單位添加用戶、向組織單位添加計算機、向組織單位添加組等。組織單位的具體管理方法見《計算機網(wǎng)絡管理員認證實驗指導》的相關(guān)內(nèi)容。

3．4 組策略

網(wǎng)絡管理員的工作之一是管理用戶和計算機，例如管理用戶接口選項（背景、墻紙）、運行登錄腳本、用戶主目錄位置等。組策略是幫助配置和管理系統(tǒng)的工具之一。

應用于域的組策略不僅應用

于用戶和客戶端，還應用于成員

服務器、域控制器以及管理范圍

內(nèi)的任何計算機。

3.4.1 組策略對象

組策略對象是應用到1個或1組用戶和計算機的共同配置的組合，由用戶和計算機的軟件設置、Wiodows 設置和管理模板組成，組策略編輯器的界面如圖3-7所示。通過對組策略對象的配置，管理員可以動態(tài)地控制網(wǎng)絡上的用戶和計算機。

使用組策略對象，管理員可以集中管理Active Directory結(jié)構(gòu)中的

計算機和用戶。組策略的工作方式是：每當重新啟動、用戶登錄或強制刷新組策略時，目標計算機利用Active Directory多層結(jié)構(gòu)的特點，對每個組策略對象的設置進行檢查。因此，每次只需設置一個用戶或計算機，借助Wiodows 2000/XP/2003提供的功能，可以將策略強制在所有客戶端上執(zhí)行，直到更改組策略。

使用組策略為用戶組或計算機組定義自動的配置，包括基于注冊表的策略設置、安全設置、軟件安裝、腳本、文件夾重定向、遠程安裝服務和Internet Explorer維護等選項。表3-1是各種組策略功能。

表3-1 組策略功能

3．4．2 在域中使用組策略的條件

要在域中使用組策略，需要滿足以下的條件：

（1） 客戶端和服務器必須運行在Wiodows Server

2000/XP/2003或更高版本系統(tǒng)，對較早版本的計算機，組策略不會對它們產(chǎn)生影響；

（2） 組策略需要使用完全合法的域名，F(xiàn)QDN 必須存在DNS

服務才能保證組策略被正常處理；ABC 。COM

（3） 使用組策略需要Active Directory。

3．4．3 設置組策略

組策略的設置包括用戶的“用戶配置”策略設置和計算機的“計算機配置”策略設置。

1． 用戶配置

用戶配置是針對Active Directory容器中的用戶的配置，它包括：

（1）軟件設置。軟件設置包含軟件安裝擴展，還包含應用到計算機的軟件設置。不管用戶登錄到哪能臺計算機上，軟件安裝都可以集中部署、升級和刪除應用程序，不需要訪問每臺計算機。

（2）Wiodows 設置。Wiodows 設置應用到所有用戶，不管用戶登錄到哪臺計算機。包括“遠程安裝服務”、“腳本”（自動化用戶的啟動和關(guān)機）、“安全設置”、“文件夾重定向”（通過把本地計算機的

文件重定向到網(wǎng)絡共享，定期備份文件）和“Internet Explorer維護”（對Internet Explorer 進行管理和自定義，包括設置管理安全區(qū)域、代理、查詢、臨時Internet 文件等）5個擴展。

（3）管理模板。管理模板可以集中配置客戶端的注冊表，包括“Wiodows 組件”、“任務欄和‘開始’菜單”、“桌面”、“控制面板”、“共享文件夾”、“網(wǎng)絡”和“系統(tǒng)”7個擴展。

2．計算機配置

計算機配置是針對Active Directory容器中的計算機的設置，這些設置將影響到計算機上所有用戶。計算機配置包括：

（1）軟件配置。軟件配置包含軟件安裝擴展，還包含應用到計算機的軟件設置，而不管哪個用戶登錄到計算機。軟件安裝可以集中部署、升級和刪除應用程序，而不必訪問每臺計算機。

（2）Wiodows 設置。Wiodows 設置應用于目標計算機的所有用戶，包括“安全設置”（為組織單位指定安全策略，保護計算機和整個網(wǎng)絡）和“腳本”（自動化計算機的啟動和關(guān)機）兩個擴展。

（3）管理模板。管理模板可以集中配置客戶端的注冊表，包括“Wiodows 組件”、“系統(tǒng)”、“網(wǎng)絡”和“打印機”4個擴展。

組策略的具體設置方法見《計算機網(wǎng)絡管理員認證實驗指導》的相關(guān)內(nèi)容。

3．5 域、組織單位和組策略實例

經(jīng)過上面的學習，我們了解了域、組織單位和組策略的基本概念，下面我們通過一個實例來認識它們之間的關(guān)系。

如圖3-8所示，在domain1.com 域中有一個ou1的組織單位，在ou1組織單位中有aal 、a2兩個用戶和computer001、computer002兩臺計算機。

為了配置組策略，并將它的設置應用于ou1組織單位，我們必須創(chuàng)建組策略。創(chuàng)建組策略的方法是：依次單擊[開始] →[運行] ，在[運行]對話框中輸入“MMC ”并按回車鍵啟動MMC 控制臺。在MMC 控制臺中，選擇[添加/刪除管理單元]并添加[組策略對象編輯器]，打開[選擇組策略對象]對話框。在[選擇組策略對象]對話框中單擊[瀏覽]按鈕，打開[瀏覽組策略對象]對敵框。在[瀏覽組策略對象]對話框中，查找范圍選擇“ou1.domain.com ”，并新建一個組策略對象“ou1組織單位的組策略”，如圖3-9所示。

依次展開[計算機配置]目錄樹→[管理模板]子目錄，找到[系統(tǒng)]中的[關(guān)閉自動播放]設置項，將其設置為[已啟用]可以關(guān)閉ou1組織單位中computer001、computer002兩臺計算機的CD-ROM 的自動播放功能，而不管是哪個用戶登陸到這兩臺計算機上，如圖3-10所示。

依次展開[用戶設置]目錄樹→[管理模板]子目錄，找到[系統(tǒng)]中的

[關(guān)閉自動播放]設置項，將其設置為[已啟用]可以關(guān)閉ou1組織單位中的aa1、a2兩個用戶的CD-ROM 的自動播放功能，而不管這兩個用戶登錄到哪臺計算機上，如圖3-11所示。