项目03域网络构建与组策略应用

《项目03域网络构建与组策略应用》由会员分享，可在线阅读，更多相关《项目03域网络构建与组策略应用（39页珍藏版）》请在装配图网上搜索。

1、WindowsWindows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程03 九月九月 2023第第1 页页Windows Server 2008网络组建项目化教程网络组建项目化教程l课程标准课程标准(教学大纲教学大纲)l教学设计方案教学设计方案(教案教案)lPPTPPT电子课件电子课件l教材习题参考答案教材习题参考答案l模拟试卷及参考模拟试卷及参考答案答案lITIT认证认证+全国技能大赛资料全国技能大赛资料l知识知识拓展拓展l l主编主编主编主编：夏笠芹夏笠芹夏笠芹夏笠芹 “十二五十二五十二五十二五”职业教育国家规划教材职业教育国家规划教材职业教育国家

2、规划教材职业教育国家规划教材教材附赠教材附赠光盘光盘光盘光盘WindowsWindows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程03 九月九月 2023第第2 页页l企企业要构建一个要构建一个办公网公网络，考，考虑到到业务发展的需要，以及网展的需要，以及网络的的安全性，需要安全性，需要对重要的公共重要的公共资源源和和计算机使用人算机使用人员的信息的信息实现集集中管理。中管理。项目背景项目背景项目项目3 3 域网络构建与组策略应用域网络构建与组策略应用WindowsWindows Server 2008 Server 2008网络组建项目化教程网络组建

3、项目化教程03 九月九月 2023第第3 页页项目导入项目导入l l大、中型企业网络有几百到上千的用户，资源也比较分散，这大、中型企业网络有几百到上千的用户，资源也比较分散，这大、中型企业网络有几百到上千的用户，资源也比较分散，这大、中型企业网络有几百到上千的用户，资源也比较分散，这时候如何管理？时候如何管理？时候如何管理？时候如何管理？l l“工工工工作作作作组组组组”和和和和“域域域域”是是是是WindowsWindows网网网网络络络络的的的的两两两两种种种种架架架架构构构构/类类类类型型型型/环环环环境境境境/管理方式。管理方式。管理方式。管理方式。工作组工作组工作组工作组n每一台计算

4、机都独立维护自己的资源，不能集中管理所每一台计算机都独立维护自己的资源，不能集中管理所有网络资源有网络资源n每一台计算机都在本地存储用户的账户每一台计算机都在本地存储用户的账户n一个账户只能登录到一台计算机一个账户只能登录到一台计算机n工作组中的计算机的地位都是平等的，对于其他计算机工作组中的计算机的地位都是平等的，对于其他计算机来说既是服务器，也是客户机来说既是服务器，也是客户机 n工作组的网络规模一般少于工作组的网络规模一般少于1010台计算机台计算机域域域域n将网络中多台计算机逻辑上组织到一起，进行集中管理，将网络中多台计算机逻辑上组织到一起，进行集中管理，这种区别于工作组的逻辑环境叫做

5、域这种区别于工作组的逻辑环境叫做域n域是组织与存储资源的核心管理单元域是组织与存储资源的核心管理单元 WindowsWindows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程03 九月九月 2023第第4 页页项目导入项目导入工作组工作组域域SAMSAMSAMSAMSAMSAM单用户帐单用户帐号号Active DirectoryWindowsWindows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程03 九月九月 2023第第5 页页项目项目3 3 域网络构建与组策略应用域网络构建与组策略应用l知知知知识识目目目目

6、标标了解：了解：了解：了解：域的概念、特点，活域的概念、特点，活域的概念、特点，活域的概念、特点，活动动目目目目录录的的的的结结构，域用构，域用构，域用构，域用户账户户账户、域、域、域、域组账户组账户和和和和组织单组织单位的概念、特点和用途位的概念、特点和用途位的概念、特点和用途位的概念、特点和用途熟悉：熟悉：熟悉：熟悉：域控制器的条件，活域控制器的条件，活域控制器的条件，活域控制器的条件，活动动目目目目录录的管理与的管理与的管理与的管理与维护维护，域，域，域，域组账户组账户的使用原的使用原的使用原的使用原则则掌握：掌握：掌握：掌握：创创建域，将建域，将建域，将建域，将计计算机加入或脱离域，将

7、域控制器降算机加入或脱离域，将域控制器降算机加入或脱离域，将域控制器降算机加入或脱离域，将域控制器降级为级为独立服独立服独立服独立服务务器或成器或成器或成器或成员员服服服服务务器；域用器；域用器；域用器；域用户账户户账户、域、域、域、域组账户组账户和和和和组织单组织单位的位的位的位的创创建与管理；建与管理；建与管理；建与管理；组组策略的策略的策略的策略的应应用。用。用。用。l能力目能力目能力目能力目标标会会会会创创建域，能将建域，能将建域，能将建域，能将计计算机加入或脱离域算机加入或脱离域算机加入或脱离域算机加入或脱离域会会会会创创建与管理域用建与管理域用建与管理域用建与管理域用户账户户账户、

8、域、域、域、域组账户组账户和和和和组织单组织单元元元元能利用能利用能利用能利用组组策略技策略技策略技策略技术对术对域中的域中的域中的域中的计计算机算机算机算机进进行一些常用行一些常用行一些常用行一些常用设设置置置置教学目标教学目标WindowsWindows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程03 九月九月 2023第第6 页页3.2 3.2 项目知识准备项目知识准备l l活活活活动动目目目目录录是存是存是存是存储储网网网网络络上上上上对对象的相关信息并使象的相关信息并使象的相关信息并使象的相关信息并使该该信息可供用信息可供用信息可供用信息可供用

9、户户和网和网和网和网络络管理管理管理管理员员使用的目使用的目使用的目使用的目录录服服服服务务。l l目目目目录录是一个数据是一个数据是一个数据是一个数据库库，用于保存与网，用于保存与网，用于保存与网，用于保存与网络资络资源相关的信息源相关的信息源相关的信息源相关的信息结结构、构、构、构、资资源源源源位置、安全信息及管理信息等。如：位置、安全信息及管理信息等。如：位置、安全信息及管理信息等。如：位置、安全信息及管理信息等。如：计计算机、用算机、用算机、用算机、用户户、组组、打印机、打印机、打印机、打印机等的名称、描述、地理位置、等的名称、描述、地理位置、等的名称、描述、地理位置、等的名称、描述、

10、地理位置、访问权访问权限等信息。限等信息。限等信息。限等信息。l l目目目目录录服服服服务务是使目是使目是使目是使目录录中所有信息和中所有信息和中所有信息和中所有信息和资资源源源源发挥发挥作用的服作用的服作用的服作用的服务务。服服服服务务的主要表的主要表的主要表的主要表现现是：是：是：是：n网网络中的所有用中的所有用户和和应用程序只需提供很少的信息就能准用程序只需提供很少的信息就能准确定位到确定位到这些些实体体资源，保源，保证用用户能能够快速快速访问。n目目录服服务在网在网络安全方面也扮演着中心安全方面也扮演着中心授授权机构的角色，机构的角色，从而使操作系从而使操作系统可以可以轻松地松地验证用

11、用户身份并控制其身份并控制其对网网络资源的源的访问。l域域域域（DomainDomain）是共用一个）是共用一个）是共用一个）是共用一个“目目目目录录服服服服务务数据数据数据数据库库”，且有安全，且有安全，且有安全，且有安全边边界界界界的的的的计计算机的集合。算机的集合。算机的集合。算机的集合。3.2.1 3.2.1 认识认识WindowsWindows的域的域WindowsWindows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程03 九月九月 2023第第7 页页3.2 3.2 项目知识准备项目知识准备3.2.1 3.2.1 认识认识WindowsW

12、indows的域的域目录服务目录服务n组织组织n管理管理n控制控制资源集中管理集中管理n单点管理单点管理n用户一次登录即可访问用户一次登录即可访问Active Active Directory Directory 允许访问的资源允许访问的资源 WindowsWindows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程03 九月九月 2023第第8 页页3.2 3.2 项目知识准备项目知识准备3.2.1 3.2.1 认识认识WindowsWindows的域的域教科书的目录教科书的目录教科书的目录教科书的目录网络的（活动）目录网络的（活动）目录网络的（活动）目

13、录网络的（活动）目录ADAD存储存储存储存储对象对象对象对象章、节的名称；章、节的名称；章、节的名称；章、节的名称；页号页号页号页号基本单元（对象）：基本单元（对象）：基本单元（对象）：基本单元（对象）：用户、组、计算机、文件、打印用户、组、计算机、文件、打印用户、组、计算机、文件、打印用户、组、计算机、文件、打印机、联系人等；机、联系人等；机、联系人等；机、联系人等；综合单元：综合单元：综合单元：综合单元：组织单元、域、域树、域林等组织单元、域、域树、域林等组织单元、域、域树、域林等组织单元、域、域树、域林等提供提供提供提供的的的的服务服务服务服务让读者快速查让读者快速查让读者快速查让读者快

14、速查找、定位书上找、定位书上找、定位书上找、定位书上的信息的信息的信息的信息对网上的各种资源实现集中统一的单点管理，让管理对网上的各种资源实现集中统一的单点管理，让管理对网上的各种资源实现集中统一的单点管理，让管理对网上的各种资源实现集中统一的单点管理，让管理员和用户能够便捷地查找、定位和管理网上各类对象员和用户能够便捷地查找、定位和管理网上各类对象员和用户能够便捷地查找、定位和管理网上各类对象员和用户能够便捷地查找、定位和管理网上各类对象的信息，进儿使这些信息充分发挥作用。活动目录也的信息，进儿使这些信息充分发挥作用。活动目录也的信息，进儿使这些信息充分发挥作用。活动目录也的信息，进儿使这些

15、信息充分发挥作用。活动目录也作为网络安全的集中管理机构，使得操作系统可以验作为网络安全的集中管理机构，使得操作系统可以验作为网络安全的集中管理机构，使得操作系统可以验作为网络安全的集中管理机构，使得操作系统可以验证用户的身分并控制用户对网络资源的访问。证用户的身分并控制用户对网络资源的访问。证用户的身分并控制用户对网络资源的访问。证用户的身分并控制用户对网络资源的访问。存储存储存储存储结构结构结构结构书的前几页书的前几页书的前几页书的前几页域控制器域控制器域控制器域控制器DCDCDCDC，结构化的数据仓库大型数据库，结构化的数据仓库大型数据库，结构化的数据仓库大型数据库，结构化的数据仓库大型数

16、据库扩展扩展扩展扩展性性性性静态静态静态静态不能不能不能不能增加条目增加条目增加条目增加条目动态活动动态活动动态活动动态活动可以随着网络资源的增加而动态地可以随着网络资源的增加而动态地可以随着网络资源的增加而动态地可以随着网络资源的增加而动态地进行扩展；进行扩展；进行扩展；进行扩展；提供对网上资源实施系统管理、安全管提供对网上资源实施系统管理、安全管提供对网上资源实施系统管理、安全管提供对网上资源实施系统管理、安全管理和互操作性等功能服务。理和互操作性等功能服务。理和互操作性等功能服务。理和互操作性等功能服务。WindowsWindows Server 2008 Server 2008网络组建

17、项目化教程网络组建项目化教程03 九月九月 2023第第9 页页3.2 3.2 项目知识准备项目知识准备l域控制器域控制器在一个域中，活在一个域中，活在一个域中，活在一个域中，活动动目目目目录录数据数据数据数据库库必必必必须须存存存存储储在域中特定的在域中特定的在域中特定的在域中特定的计计算算算算机上，机上，机上，机上，这样这样的的的的计计算机被称算机被称算机被称算机被称为为域控制器（域控制器（域控制器（域控制器（Domain Domain ControllerController，简简写写写写为为DCDC）。）。）。）。一个域可以有一个或多个域控制器，各域控制器是平等的。一个域可以有一个或多

18、个域控制器，各域控制器是平等的。一个域可以有一个或多个域控制器，各域控制器是平等的。一个域可以有一个或多个域控制器，各域控制器是平等的。l成成员服服务器器那些安装了服那些安装了服那些安装了服那些安装了服务务器版操作系器版操作系器版操作系器版操作系统统（如：（如：（如：（如：Windows Server Windows Server 20032003或或或或Windows 2000 ServerWindows 2000 Server），但未安装），但未安装），但未安装），但未安装ADAD服服服服务务且加且加且加且加入域的入域的入域的入域的计计算机算机算机算机 。l工作站工作站所有安装所有安装所有

19、安装所有安装Windows NT WorkstationWindows NT Workstation、Windows 2000 Windows 2000 ProfessionalProfessional或或或或Windows XP ProfessionalWindows XP Professional系系系系统统，且加入，且加入，且加入，且加入域的域的域的域的计计算机算机算机算机 3.2.2 域中计算机的角色域中计算机的角色WindowsWindows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程03 九月九月 2023第第10 页页3.2 3.2 项目知

20、识准备项目知识准备l有有有有许许多多多多计计算机并不属于任何一个域，即以工作算机并不属于任何一个域，即以工作算机并不属于任何一个域，即以工作算机并不属于任何一个域，即以工作组组模式运行着，从功能上来模式运行着，从功能上来模式运行着，从功能上来模式运行着，从功能上来讲讲，也可将其分，也可将其分，也可将其分，也可将其分为为两种两种两种两种角色：角色：角色：角色：独立服独立服务器器n安装了各种版本的安装了各种版本的Windows Server，但未加入域。，但未加入域。它一旦加入域中，其角色便它一旦加入域中，其角色便转化化为“成成员服服务器器”。一般客一般客户端端计算机算机n无无论执行何种操作系行何

21、种操作系统，只要未加入域，且不是，只要未加入域，且不是独立服独立服务器的器的计算机，都算机，都归为此此类。它一旦加入。它一旦加入域中，其角色便是域中，其角色便是“工作站工作站”。3.2.2 域中计算机的角色域中计算机的角色WindowsWindows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程03 九月九月 2023第第11 页页3.2 3.2 项目知识准备项目知识准备l集中管理：集中管理：集中管理：集中管理：域中所有域中所有域中所有域中所有计计算机共享了一个活算机共享了一个活算机共享了一个活算机共享了一个活动动目目目目录录数据数据数据数据库库，里，里，

22、里，里面包含了整个域中的所有的面包含了整个域中的所有的面包含了整个域中的所有的面包含了整个域中的所有的资资源信息、源信息、源信息、源信息、账户账户信息与安全策略信息与安全策略信息与安全策略信息与安全策略信息。域信息。域信息。域信息。域环环境可以境可以境可以境可以实现实现在一台服在一台服在一台服在一台服务务器上器上器上器上对对整个网整个网整个网整个网络络中的用中的用中的用中的用户户账户账户（包括用（包括用（包括用（包括用户权户权限、限、限、限、权权利）、利）、利）、利）、计计算机算机算机算机账户账户、共享、共享、共享、共享资资源源源源帐户帐户和安全策略和安全策略和安全策略和安全策略实实施集中管理

23、和施集中管理和施集中管理和施集中管理和统统一部署一部署一部署一部署l安全安全安全安全级别较级别较高：高：高：高：由于域中所有安全信息都集中存由于域中所有安全信息都集中存由于域中所有安全信息都集中存由于域中所有安全信息都集中存储储在活在活在活在活动动目目目目录录数据数据数据数据库库中，所以管理中，所以管理中，所以管理中，所以管理员员可以通可以通可以通可以通过过指定指定指定指定强强有力的安全策略有力的安全策略有力的安全策略有力的安全策略来保来保来保来保证证整个域的安全。整个域的安全。整个域的安全。整个域的安全。l便于用便于用便于用便于用户访问户访问域中的域中的域中的域中的资资源：源：源：源：在域的

24、活在域的活在域的活在域的活动动目目目目录录数据数据数据数据库库中，管中，管中，管中，管理理理理员员可以可以可以可以创创建建建建“域用域用域用域用户账户户账户”。一个域中无一个域中无一个域中无一个域中无论论有多少台有多少台有多少台有多少台计计算机，用算机，用算机，用算机，用户户只要只要只要只要拥拥有域用有域用有域用有域用户账户户账户，便可，便可，便可，便可访问访问域中所有域中所有域中所有域中所有计计算机上允算机上允算机上允算机上允许访问许访问的的的的资资源，即域用源，即域用源，即域用源，即域用户账户对资户账户对资源的源的源的源的访问访问范范范范围围可以是整个域，而非局限在一台可以是整个域，而非局

25、限在一台可以是整个域，而非局限在一台可以是整个域，而非局限在一台计计算机上。算机上。算机上。算机上。域用域用域用域用户账户户账户可以在加入域的任何一台可以在加入域的任何一台可以在加入域的任何一台可以在加入域的任何一台计计算机上登算机上登算机上登算机上登录录，从而使用、，从而使用、，从而使用、，从而使用、访问访问该计该计算机上算机上算机上算机上资资源。源。源。源。3.2.3 域的特点域的特点WindowsWindows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程03 九月九月 2023第第12 页页3.2 3.2 项目知识准备项目知识准备l对对象：象：象：

26、象：用用用用户账户户账户、组组、计计算机、打印机、算机、打印机、算机、打印机、算机、打印机、应应用程序、共享文件用程序、共享文件用程序、共享文件用程序、共享文件夹夹、权权限限限限设设置、安全策略置、安全策略置、安全策略置、安全策略设设置等置等置等置等l组织单组织单位位位位（Organizational UnitOrganizational Unit，简简称称称称OUOU）OUOU是分是分是分是分层层、归类归类管理域内管理域内管理域内管理域内对对象的容器象的容器象的容器象的容器OUOU能容能容能容能容纳纳的的的的对对象：用象：用象：用象：用户账户户账户、用、用、用、用户组户组、计计算机、打印机、

27、共享算机、打印机、共享算机、打印机、共享算机、打印机、共享文件文件文件文件夹夹、权权限限限限设设置、安全策略置、安全策略置、安全策略置、安全策略设设置和其它的置和其它的置和其它的置和其它的OUOU。通通通通过过OUOU组织组织一系列的一系列的一系列的一系列的对对象，象，象，象，可以可以可以可以对对企企企企业进业进行卓有成效和富有行卓有成效和富有行卓有成效和富有行卓有成效和富有层层次的管理。次的管理。次的管理。次的管理。OUOU的分的分的分的分类类有多种方法，如：有多种方法，如：有多种方法，如：有多种方法，如：n按照管理按照管理职能划分能划分n按按对象象类型来划分型来划分n按地区来划分按地区来划

28、分n混合划分方法混合划分方法 可以将一个可以将一个可以将一个可以将一个 OU OU 的管理委托的管理委托的管理委托的管理委托给给某个用某个用某个用某个用户户或或或或组进组进行行行行 。3.2.4 活动目录的组织结构活动目录的组织结构WindowsWindows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程03 九月九月 2023第第13 页页3.2 3.2 项目知识准备项目知识准备l域域域域(Domain)(Domain)域是活动目录的核心管理单元域是活动目录的核心管理单元域是活动目录的核心管理单元域是活动目录的核心管理单元域是对象（如计算机、用户、组织单

29、位等）的容器域是对象（如计算机、用户、组织单位等）的容器域是对象（如计算机、用户、组织单位等）的容器域是对象（如计算机、用户、组织单位等）的容器域有安全边界域有安全边界域有安全边界域有安全边界n域中的域中的对象有相同的安全需求、复制象有相同的安全需求、复制过程和管理。程和管理。n域具有自己的安全策略和与其他域的安全信息关系域具有自己的安全策略和与其他域的安全信息关系域管理员具有管理本域的所有权利，如果其它的域显式地域管理员具有管理本域的所有权利，如果其它的域显式地域管理员具有管理本域的所有权利，如果其它的域显式地域管理员具有管理本域的所有权利，如果其它的域显式地赋予它管理权限，他还能够访问或管

30、理其它的域。赋予它管理权限，他还能够访问或管理其它的域。赋予它管理权限，他还能够访问或管理其它的域。赋予它管理权限，他还能够访问或管理其它的域。域是复制单元域是复制单元域是复制单元域是复制单元n复制复制n域中所有的域中所有的 DC 相互相互3.2.4 活动目录的组织结构活动目录的组织结构WindowsWindows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程03 九月九月 2023第第14 页页3.2 3.2 项目知识准备项目知识准备l l域域域域树树：树树是共享一个是共享一个是共享一个是共享一个连续连续的名称空的名称空的名称空的名称空间间的的的的 域的

31、域的域的域的组组合合合合l l域林：域林：域林：域林：树树林由一棵或多棵林由一棵或多棵林由一棵或多棵林由一棵或多棵树组树组成。成。成。成。树树林中的各棵林中的各棵林中的各棵林中的各棵树树并不共享同并不共享同并不共享同并不共享同一个名称空一个名称空一个名称空一个名称空间间，但共享同一个架构和同一个全局目，但共享同一个架构和同一个全局目，但共享同一个架构和同一个全局目，但共享同一个架构和同一个全局目录录数据数据数据数据库库3.2.4 活动目录的组织结构活动目录的组织结构树树双向信任双向信任双向信任树林树树双向信任关系双向信任关系双向信任关系（根）（根）域域域域域域域域域域域域活动活动目录目录活动活

32、动目录目录活动活动目录目录活动活动目录目录活动活动目录目录活动活动目录目录WindowsWindows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程03 九月九月 2023第第15 页页3.2 3.2 项目知识准备项目知识准备3.2.5 域中组策略的应用域中组策略的应用l通通通通过过组组策略策略策略策略来来来来实现实现用用用用户户和和和和计计算机的集中配置和管理。算机的集中配置和管理。算机的集中配置和管理。算机的集中配置和管理。这这些些些些设设置包括安全置包括安全置包括安全置包括安全选项选项、软软件安装、脚本文件件安装、脚本文件件安装、脚本文件件安装、脚本

33、文件设设置、置、置、置、桌面外桌面外桌面外桌面外观观和用和用和用和用户户文件管理等。文件管理等。文件管理等。文件管理等。l组组策略的所有配置信息都保存在策略的所有配置信息都保存在策略的所有配置信息都保存在策略的所有配置信息都保存在组组策略策略策略策略对对象象象象GPOGPO（Group Policy ObjectGroup Policy Object）l两两两两类类GPOGPO：系系系系统统内建的默内建的默内建的默内建的默认认GPOGPOn默默认域策略域策略（Default Domain Policy）：）：该策略将影策略将影响域中的所有用响域中的所有用户和和计算机。算机。n默默认域控制器域控

34、制器组策略策略（Default Domain Controllers Policy）：通常只影响到域中所有的域控制器。）：通常只影响到域中所有的域控制器。用用用用户户自定自定自定自定义义GPOGPOWindowsWindows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程03 九月九月 2023第第16 页页3.3 3.3 项目实施项目实施如何搭建域如何搭建域环境？境？l在域架构中，最核心是在域架构中，最核心是DC(域控制器域控制器)l创建域首先要建域首先要创建域控制器建域控制器lDC创建后，把客建后，把客户端加入到端加入到DC中，中，这样就形成了域网就形

35、成了域网络环境。境。WindowsWindows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程03 九月九月 2023第第17 页页3.3 3.3 项目实施项目实施1.安装域控制器的条件安装域控制器的条件l安装者具有本地管理安装者具有本地管理安装者具有本地管理安装者具有本地管理员权员权限。限。限。限。l操作系操作系操作系操作系统统版本必版本必版本必版本必须满须满足条件足条件足条件足条件Windows Server 2003/2008Windows Server 2003/2008（WebWeb版除外）版除外）版除外）版除外）l至少要有一个至少要有一个至少要

36、有一个至少要有一个NTFSNTFS分区分区分区分区原因：原因：原因：原因：为为了突破了突破了突破了突破FAT32FAT32格式格式格式格式单单个文件的大小个文件的大小个文件的大小个文件的大小 4GB 4GB 的局限和安全的局限和安全的局限和安全的局限和安全设设置置置置l有有有有TCP/IPTCP/IP设设置置置置(IP(IP地址、子网掩地址、子网掩地址、子网掩地址、子网掩码码、DNSDNS的的的的IPIP等等等等)l有相有相有相有相应应的的的的DNSDNS服服服服务务器支持器支持器支持器支持(其作用是定位域控制其作用是定位域控制其作用是定位域控制其作用是定位域控制器的位置器的位置器的位置器的位

37、置)l有足有足有足有足够够的可用空的可用空的可用空的可用空间间。任务任务3-1 域控制器的安装域控制器的安装TCP/IPTCP/IPNTFSNTFSWindowsWindows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程03 九月九月 2023第第18 页页任务任务3-1 3-1 域控制器的安装域控制器的安装域控制器安装完成后：域控制器安装完成后：域控制器安装完成后：域控制器安装完成后：单击单击单击单击【开始开始开始开始】【管理工具管理工具管理工具管理工具】【Active Active Active Active DirectoryDirectoryDi

38、rectoryDirectory用户和计算机用户和计算机用户和计算机用户和计算机】菜单菜单菜单菜单进入进入进入进入【Active DirectoryActive DirectoryActive DirectoryActive Directory用户和计算机用户和计算机用户和计算机用户和计算机】窗口窗口窗口窗口：存放默认的存放默认的 Windows 2008 Windows 2008 安全组安全组存放加入域的计算机账户的默认位置存放加入域的计算机账户的默认位置域控制器账户的默认位置域控制器账户的默认位置存放外部信任域的安全标识存放外部信任域的安全标识 (SID)用户和组账户的默认位置用户和组账户

39、的默认位置WindowsWindows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程03 九月九月 2023第第19 页页任务任务3-1 3-1 域控制器的安装域控制器的安装2.2.域控制器的安装域控制器的安装域控制器的安装域控制器的安装过过程程程程：l安装前先安装前先安装前先安装前先检查检查是否是否是否是否满满足安装的条件足安装的条件足安装的条件足安装的条件l注意做好相关的注意做好相关的注意做好相关的注意做好相关的备备份操作份操作份操作份操作l本地管理本地管理本地管理本地管理员员身份登身份登身份登身份登录录，运行，运行，运行，运行dcpromodcpro

40、mo命令命令命令命令WindowsWindows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程03 九月九月 2023第第20 页页任务任务3-2 3-2 计算机加入或脱离域计算机加入或脱离域l计计算机能加入域的先决条件是：算机能加入域的先决条件是：算机能加入域的先决条件是：算机能加入域的先决条件是：该计该计算机与域控制器能算机与域控制器能算机与域控制器能算机与域控制器能连连通通通通在在在在计计算机上正确算机上正确算机上正确算机上正确设设置首置首置首置首选选DNSDNS服服服服务务器的器的器的器的IPIP地址地址地址地址(这这里里里里设为设为第一台第一台第

41、一台第一台DCDC的的的的IP)IP)。客户端客户端1（物理机）（物理机）客户端客户端2（虚拟机（虚拟机2）IPIP：192.168.1.11/24192.168.1.11/24DNSDNS：192.168.1.1192.168.1.1 IPIP：10.1.80.X/2410.1.80.X/24域控制器域控制器（虚拟机（虚拟机1）IPIP：192.168.1.1/24192.168.1.1/24DNSDNS：192.168.1.1192.168.1.1加入域加入域WindowsWindows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程03 九月九月 20

42、23第第21 页页任务任务3-2 3-2 计算机加入或脱离域计算机加入或脱离域WindowsWindows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程03 九月九月 2023第第22 页页任务任务3-3 3-3 创建与管理域用户账户创建与管理域用户账户l创创建域用建域用建域用建域用户账户户账户：WindowsWindows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程03 九月九月 2023第第23 页页任务任务3-3 3-3 创建与管理域用户账户创建与管理域用户账户l限制用限制用限制用限制用户户登登登登录录域的域的

43、域的域的时间时间：WindowsWindows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程03 九月九月 2023第第24 页页任务任务3-3 3-3 创建与管理域用户账户创建与管理域用户账户l限制域用限制域用限制域用限制域用户账户户账户只能从特定的只能从特定的只能从特定的只能从特定的计计算机上登算机上登算机上登算机上登录录域域域域WindowsWindows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程03 九月九月 2023第第25 页页任务任务3-4 3-4 创建与管理域组账户创建与管理域组账户域组域组分类分类

44、安全组安全组通讯组（分布式组）通讯组（分布式组）实现与安全性有关的工作和功能，实现与安全性有关的工作和功能，可以通过给安全组赋予访问资源的可以通过给安全组赋予访问资源的权限来限制安全组的成员对域中资权限来限制安全组的成员对域中资源的访问。如：可设置对某个文件源的访问。如：可设置对某个文件有有“读取读取”或或“改写改写”的权限。的权限。也可用在与安全无关的任务上，如：也可用在与安全无关的任务上，如：可以通过电子邮件软件将电子邮件可以通过电子邮件软件将电子邮件发送给安全组。发送给安全组。用在与安全无关的任务上。不能被赋予访用在与安全无关的任务上。不能被赋予访问资源的权限。只能收发电子邮件，即分问资

45、源的权限。只能收发电子邮件，即分发组可以组织其成员的发组可以组织其成员的E-MAILE-MAIL地址成为地址成为E-E-MAILMAIL列表。利用这个特性使基于列表。利用这个特性使基于ADAD的应用的应用程序就可以直接利用分发组来发程序就可以直接利用分发组来发E-MAILE-MAIL给给多个用户以及实现其他和多个用户以及实现其他和E-MAILE-MAIL列表相关列表相关的功能（例如在的功能（例如在 Exchange Server Exchange Server 2007/10102007/1010中使用）。中使用）。本地域组本地域组全局组全局组通用组通用组作用作用范围范围该组所在的域内该组所在

46、的域内所有受信任的域所有受信任的域所有受信任的域所有受信任的域成员成员所有域的用户账户、全局组、所有域的用户账户、全局组、通用组，以及本域的域本地组通用组，以及本域的域本地组本域的用户账户和本域的用户账户和全局组全局组所有域的用户账户、全局所有域的用户账户、全局组和通用组组和通用组WindowsWindows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程03 九月九月 2023第第26 页页任务任务3-4 3-4 创建与管理域组账户创建与管理域组账户l创建域组帐户创建域组帐户创建域组帐户创建域组帐户WindowsWindows Server 2008 Se

47、rver 2008网络组建项目化教程网络组建项目化教程03 九月九月 2023第第27 页页任务任务3-5 3-5 创建与管理组织单元创建与管理组织单元l创创建建建建组织单组织单位位位位WindowsWindows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程03 九月九月 2023第第28 页页任务任务3-5 3-5 创建与管理组织单元创建与管理组织单元l向向向向组织单组织单位添加位添加位添加位添加对对象象象象WindowsWindows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程03 九月九月 2023第第29

48、页页任务任务3-6 3-6 组策略对象组策略对象(GPO)(GPO)的创建与配置的创建与配置 l创建和管理建和管理GPO的工具：的工具：【开始开始开始开始】【管理工具管理工具管理工具管理工具】【组组策略管理策略管理策略管理策略管理】n该工具可以完成工具可以完成对组策略的各种配置和管策略的各种配置和管理，包括理，包括备份，份，还原和生成原和生成组策略策略报表。表。WindowsWindows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程03 九月九月 2023第第30 页页任务任务3-6 3-6 组策略对象组策略对象(GPO)(GPO)的创建与配置的创建与配

49、置1.1.创创建建建建GPOGPO统统一定制桌面一定制桌面一定制桌面一定制桌面环环境境境境WindowsWindows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程03 九月九月 2023第第31 页页任务任务3-6 3-6 组策略对象组策略对象(GPO)(GPO)的创建与配置的创建与配置l2.配置配置GPOWindowsWindows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程03 九月九月 2023第第32 页页任务任务3-6 3-6 组策略对象组策略对象(GPO)(GPO)的创建与配置的创建与配置3.将将GPO

50、链接到指定的容器接到指定的容器WindowsWindows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程03 九月九月 2023第第33 页页任务任务3-6 3-6 组策略对象组策略对象(GPO)(GPO)的创建与配置的创建与配置4.GPO策略策略实现效果的效果的测试l在域控制器上在域控制器上强制刷新制刷新组策略策略gpupdate /forcel客客户端端gpupdate /force或者注或者注或者注或者注销销客客客客户户端再用域用端再用域用端再用域用端再用域用户帐户户帐户登登登登录录WindowsWindows Server 2008 Server

51、2008网络组建项目化教程网络组建项目化教程03 九月九月 2023第第34 页页任务任务3-73-7为批量客户端自动安装软件为批量客户端自动安装软件 l步步步步骤骤1:1:在域控制器上建立相在域控制器上建立相在域控制器上建立相在域控制器上建立相应应的的的的组织单组织单元元元元(如如如如“财务财务部部部部”)和用和用和用和用户户。l步步步步骤骤2 2：创创建分建分建分建分发发点。以管理点。以管理点。以管理点。以管理员员身份登身份登身份登身份登录录到用来存放分到用来存放分到用来存放分到用来存放分发软发软件的服件的服件的服件的服务务器器器器创创建一个共享文件建一个共享文件建一个共享文件建一个共享文

52、件夹夹，并使域用，并使域用，并使域用，并使域用户户有有有有共享共享共享共享读读取取取取权权限和限和限和限和NTFSNTFS读读取取取取权权限限限限在分在分在分在分发发点用不同的子点用不同的子点用不同的子点用不同的子文件文件文件文件夹夹存放要分存放要分存放要分存放要分发发的不同安装文件（的不同安装文件（的不同安装文件（的不同安装文件（.msi.msi文件）。文件）。文件）。文件）。WindowsWindows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程03 九月九月 2023第第35 页页任务任务3-7 3-7 批量自动安装客户端软件批量自动安装客户端软件

53、l l步步步步骤骤3:3:在域控制器上在域控制器上在域控制器上在域控制器上进进入入入入【组组策略管理策略管理策略管理策略管理】窗口窗口窗口窗口基基基基于于于于“财务财务部部部部”OUOU创创建名建名建名建名为为“分分分分发软发软件件件件”的的的的GPOGPO右右右右击击新建的新建的新建的新建的【分分分分发软发软件件件件】GPOGPO在在在在弹弹出的快捷菜出的快捷菜出的快捷菜出的快捷菜单单中中中中选择选择【编辑编辑】打开打开打开打开【组组策略管理策略管理策略管理策略管理编辑编辑器器器器】窗口窗口窗口窗口,在左窗格中依次展开在左窗格中依次展开在左窗格中依次展开在左窗格中依次展开【用用用用户户配置配

54、置配置配置】【策略策略策略策略】【软软件件件件设设置置置置】右右右右击击【软软件安装件安装件安装件安装】在在在在弹弹出的快捷出的快捷出的快捷出的快捷菜菜菜菜单单中中中中选择选择【新建新建新建新建】【程序包程序包程序包程序包】,如如如如图图3-413-41所示。所示。所示。所示。WindowsWindows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程03 九月九月 2023第第36 页页任务任务3-7 3-7 批量自动安装客户端软件批量自动安装客户端软件l l步步步步骤骤4:4:弹弹出出出出【打开打开打开打开】对话对话框框框框,在地址在地址在地址在地址栏栏

55、内内内内输输入安装程序包入安装程序包入安装程序包入安装程序包的共享文件的共享文件的共享文件的共享文件夹夹的的的的UNCUNC路径路径路径路径单击单击安装文件安装文件安装文件安装文件(如如如如:PRO11.MSI):PRO11.MSI)单击单击【打开打开打开打开】按按按按钮钮在打开的在打开的在打开的在打开的【部署部署部署部署软软件件件件】对话对话框中框中框中框中选择选择【已分配已分配已分配已分配】单击单击【确定确定确定确定】,如如如如图图3-423-42所示。所示。所示。所示。软软件分配完成件分配完成件分配完成件分配完成设设置后置后置后置后的效果如的效果如的效果如的效果如图图3-433-43所示

56、。所示。所示。所示。WindowsWindows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程03 九月九月 2023第第37 页页任务任务3-7 3-7 批量自动安装客户端软件批量自动安装客户端软件l步步骤5:在域控制器上在域控制器上,执行刷新行刷新组策略命令策略命令“gpupdate/force”。l步步骤6:在客在客户机上机上,注注销用用户并以相并以相应组织单元中的用元中的用户重新登重新登录系系统单击【开始开始】【所有程序所有程序】,可以看到已可以看到已经部署的程序菜部署的程序菜单项单击相相应的菜的菜单项即可开始安装。即可开始安装。WindowsWi

57、ndows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程03 九月九月 2023第第38 页页项目项目3 3 域网络的构建与组策略应用域网络的构建与组策略应用l l项项目知目知目知目知识识准准准准备备认识认识WindowsWindows的域（活的域（活的域（活的域（活动动目目目目录录、域、域、域、域、域、域、域、域树树、域林）、域林）、域林）、域林）域中域中域中域中计计算机的角色（域控制器、成算机的角色（域控制器、成算机的角色（域控制器、成算机的角色（域控制器、成员员服服服服务务器、工作站）器、工作站）器、工作站）器、工作站）域的特点（集中管理、安全域的特

58、点（集中管理、安全域的特点（集中管理、安全域的特点（集中管理、安全级别级别高、便于用高、便于用高、便于用高、便于用户访问户访问）活活活活动动目目目目录录的的的的组织结组织结构（构（构（构（组织单组织单位、域、域位、域、域位、域、域位、域、域树树）域中域中域中域中组组策略的策略的策略的策略的应应用用用用l l项项目目目目实实施施施施安装域控制器的安装（条件、安装域控制器的安装（条件、安装域控制器的安装（条件、安装域控制器的安装（条件、过过程）程）程）程）计计算机加入或脱离域算机加入或脱离域算机加入或脱离域算机加入或脱离域创创建与管理域用建与管理域用建与管理域用建与管理域用户账户户账户创创建与管理

59、域建与管理域建与管理域建与管理域组账户组账户创创建与管理建与管理建与管理建与管理组织单组织单位位位位创创建与配置建与配置建与配置建与配置组组策略策略策略策略对对象象象象批量自批量自批量自批量自动动安装客安装客安装客安装客户户端端端端软软件件件件小结小结WindowsWindows Server 2008 Server 2008网络组建项目化教程网络组建项目化教程03 九月九月 2023第第39 页页项目项目3 3 域网络构建与组策略应用域网络构建与组策略应用l实训实训（交实训报告书）（交实训报告书）实训3 安装和管理活安装和管理活动目目录 l习题习题（课堂小组活动）（课堂小组活动）一、一、选择题：18二、二、简答答题：作业作业