3章域与组策略

3 域与组策略学习要点✧ 理解工作组与域的管理模式✧ 理解什么是Active Directory✧ 掌握组织单位的管理✧ 掌握组策略和组策略的设置✧ 理解域、组织单位和策略的关系3．1 工作组与域工

3 域与组策略

学习要点

✧ 理解工作组与域的管理模式

✧ 理解什么是Active Directory

✧ 掌握组织单位的管理

✧ 掌握组策略和组策略的设置

✧ 理解域、组织单位和策略的关系

3．1 工作组与域

工作组和域是操作系统的网络资源的两种不同管理模式，在对网络实施管理的时候，网络管理员必须对这两种不同的管理模式有深入的了解。

3．1．1 工作组

工作组的管理模式采用颁式的管理。工作组中的任何一台计算机只负责管理本地的资源，每台计算机都可以任意地加入或退出某一工作组（WORKGROUP 为默认组），工作组中所有计算机之间是一种平等的关系。工作组的管理模式适用于小型的网络。

3．1．2 域 c/s

域的管理模式采用集中式的管理。在域的管理模式下，至少有一台服务器负责每一台接入网络的计算机和用户的验证管理工作。域管理员是域管理模式中权限最大的人员，可以登录到加入域中的任何一台成员机器，域中所有的资源都在域管理员的控制之下。计算机要加入一个域中，必须经过域管理员的批准。域的工作方式适用于较大型

的网络。

下面我们来介绍一下关于域的其他内容。

3．1．2．1 域结构

由以上内容可知，域是由一些计算机组成的，如图3-1所示，这些计算机按类别分可以分3类，分别为：域控制器、成员服务器和客户机，下面分别来介绍。

1． 域控制器

域控制器是一种服务器，主要用来进行网络的安全核查以及资源共享。域中的所有资源由域控制器统一管理。

一个域中至少要有一个域控制器，如果拥有多个域控制器，它们之间的关系是平等的。域中的成员（包括成员服务器和客户机）可以从一个域中脱离出去，但域控制器却不能退出一个域。非域控制器支持域登录和本地登录两种登录方法，而域控制器不支持本地登录。

2． 成员服务器

成员服务器也是一种服务器，它不能提供网络的安全核查等工作，但是可以提供其他的网络服务，比如Web 服务、打印服务等。

3． 客户机

客户机是网络中只享受服务的机器，客户机上的操作系统一般为桌面型的，如：Windows 2000Professional、Windows XP Professional，Windows vista等。

3．1．2．2 建立域的条件

建立域的条件具体如下：

（1） 计算机的振作系统必须是Windows Server 2000、Windows

Server 2003或者更高级版本；2008

（2） 安装目录的文件系统必须是NTFS 格式；

（3） 配置了DNS 服务器。

（4） 静态IP

3．2 Active Directory

Active Directory（活动目录）是Windows Server 2003平台的以目录列举方式管理数据信息的系统组件。Active Directory存储有关网络的对象的信息，使管理员和用户可以更方便地查找使用和管理这些信息。这些对象的信息包括了服务器、卷、打印机、网络用户和组等。

Active Directory管理工具主要包括“Active Directory用户和计算机”、“Active Directory站点和服务”和“Active Directory域和信任关系”3个，下面分别来介绍。

3．2．1 Active Directory用户和计算机

“Active Directory用户和计算机”是管理Active Directory对象（用户、打印机和组等）的工具，打开此管理工具的方法是：依次选择[开始]→[程序]→[管理工具]→[Active Directory用户和计算机]，界面如图3-2所示。下面具体来介绍“Active Directory用户和计算机”。

（1）组织单位。组织单位是Active Directory可以被用户定义并应用组策略（见本章3.4组策略的相关内容）的对象，管理员可以通过创建组织单位来简化域的管理控制。

（2）容器。容器是指在“Active Directory用户和计算机”中不带

任何标记的文件夹。默认的容器有Builtin 、Computers 、Users 、ForeignSecurityPrincipals 等。

（3）对象。Active Directory对象被放置在Active Directory内的组织单位和容器中。如打印机、用户账户、计算机账户和安全组等都属于Active Directory对象。

3．2．2 Active Directory站点和服务

“Active Directory站点和服务”是用于管理目录数据的复制的工具打开此管理工具的方法是：依次选择[开始] →[程序] →[管理工具] →[Active Directory站点和服务]，界面如图3-3所示。

在安装第一个域时，系统默认配置有“Default-First-Site ”站点，新创建的服务器将列在该站点之下。在“Active Directory站点和服务”的管理界面中，可以创建新站点，重命名站点，还可选择站点链接。

3．2．2 Active Directory域和信任关系

域和域之间的通信是通过信任发生的。默认情况下，当使用

“Active Directory安装向导”添加新域时，系统会自动创建父子信任和树根信任两种默认信任类型。下面我们分别来介绍这两种信任类型。

1． 树根信任

树根信任是指不同树根之间的信任关系。图3-4显示了

domain1.com 和domain2.com 这两个树之间的树根信任关系。

2． 父子信任

父子信任是指在同一域树内部的信任关系。在图3-4中，

domain1.com 域下面是a. domain1.com域，它们之间的信任关系就是父子信任关系。a. domain1.com 和b. domain1.com 都是domain1.com 子域，它们都信任它们的父域domain1.com ，所以a. domain1.com和b. domain1.com的资源可以相互访问。父子信任可以在域树的所有域之间传递。

“Active Directory域和信任关系”是管理域信任关系的工具。打开此管理工具的方法是：依次选择[开始] →[程序] →[管理工具] →

[Active Directory 域和信任关系]，界面如图3-5所示。在“Active Directory 域和信任关系”界面中可以查看、创建、修改和验证域的信任关系。

Active Directory管理工具的具体操作方法见《计算机网络管理员认证实验指导》的相关内容。

3．3 组织单位

在了解了Active Directory之后，下面介绍一下组织单位的相关知识。

3．3．1 组织单位简介

组织单位是可将用户、组、计算机和其他组织单位放入其中的Active Directory 容器。组织单位把域中对象如用户、组、计算机等组织成逻辑管理组，它是可以指派组策略（见本章组策略相关内容）设置或委派管理权限的最小单元。

使用组织单位可将网络所需的域数量降到最低，组织单位中可包含其他的组织单位。如图3-6所示，domain.com 域中包含了ou1、ou2

组织单位中又包含了ou3组织单位。

3．3．2 组织单位的管理

组织单位的管理主要包括组织单位的创建、向组织单位添加用户、向组织单位添加计算机、向组织单位添加组等。组织单位的具体管理方法见《计算机网络管理员认证实验指导》的相关内容。

3．4 组策略

网络管理员的工作之一是管理用户和计算机，例如管理用户接口选项（背景、墙纸）、运行登录脚本、用户主目录位置等。组策略是帮助配置和管理系统的工具之一。

应用于域的组策略不仅应用

于用户和客户端，还应用于成员

服务器、域控制器以及管理范围

内的任何计算机。

3.4.1 组策略对象

组策略对象是应用到1个或1组用户和计算机的共同配置的组合，由用户和计算机的软件设置、Wiodows 设置和管理模板组成，组策略编辑器的界面如图3-7所示。通过对组策略对象的配置，管理员可以动态地控制网络上的用户和计算机。

使用组策略对象，管理员可以集中管理Active Directory结构中的

计算机和用户。组策略的工作方式是：每当重新启动、用户登录或强制刷新组策略时，目标计算机利用Active Directory多层结构的特点，对每个组策略对象的设置进行检查。因此，每次只需设置一个用户或计算机，借助Wiodows 2000/XP/2003提供的功能，可以将策略强制在所有客户端上执行，直到更改组策略。

使用组策略为用户组或计算机组定义自动的配置，包括基于注册表的策略设置、安全设置、软件安装、脚本、文件夹重定向、远程安装服务和Internet Explorer维护等选项。表3-1是各种组策略功能。

表3-1 组策略功能

3．4．2 在域中使用组策略的条件

要在域中使用组策略，需要满足以下的条件：

（1） 客户端和服务器必须运行在Wiodows Server

2000/XP/2003或更高版本系统，对较早版本的计算机，组策略不会对它们产生影响；

（2） 组策略需要使用完全合法的域名，FQDN 必须存在DNS

服务才能保证组策略被正常处理；ABC 。COM

（3） 使用组策略需要Active Directory。

3．4．3 设置组策略

组策略的设置包括用户的“用户配置”策略设置和计算机的“计算机配置”策略设置。

1． 用户配置

用户配置是针对Active Directory容器中的用户的配置，它包括：

（1）软件设置。软件设置包含软件安装扩展，还包含应用到计算机的软件设置。不管用户登录到哪能台计算机上，软件安装都可以集中部署、升级和删除应用程序，不需要访问每台计算机。

（2）Wiodows 设置。Wiodows 设置应用到所有用户，不管用户登录到哪台计算机。包括“远程安装服务”、“脚本”（自动化用户的启动和关机）、“安全设置”、“文件夹重定向”（通过把本地计算机的

文件重定向到网络共享，定期备份文件）和“Internet Explorer维护”（对Internet Explorer 进行管理和自定义，包括设置管理安全区域、代理、查询、临时Internet 文件等）5个扩展。

（3）管理模板。管理模板可以集中配置客户端的注册表，包括“Wiodows 组件”、“任务栏和‘开始’菜单”、“桌面”、“控制面板”、“共享文件夹”、“网络”和“系统”7个扩展。

2．计算机配置

计算机配置是针对Active Directory容器中的计算机的设置，这些设置将影响到计算机上所有用户。计算机配置包括：

（1）软件配置。软件配置包含软件安装扩展，还包含应用到计算机的软件设置，而不管哪个用户登录到计算机。软件安装可以集中部署、升级和删除应用程序，而不必访问每台计算机。

（2）Wiodows 设置。Wiodows 设置应用于目标计算机的所有用户，包括“安全设置”（为组织单位指定安全策略，保护计算机和整个网络）和“脚本”（自动化计算机的启动和关机）两个扩展。

（3）管理模板。管理模板可以集中配置客户端的注册表，包括“Wiodows 组件”、“系统”、“网络”和“打印机”4个扩展。

组策略的具体设置方法见《计算机网络管理员认证实验指导》的相关内容。

3．5 域、组织单位和组策略实例

经过上面的学习，我们了解了域、组织单位和组策略的基本概念，下面我们通过一个实例来认识它们之间的关系。

如图3-8所示，在domain1.com 域中有一个ou1的组织单位，在ou1组织单位中有aal 、a2两个用户和computer001、computer002两台计算机。

为了配置组策略，并将它的设置应用于ou1组织单位，我们必须创建组策略。创建组策略的方法是：依次单击[开始] →[运行] ，在[运行]对话框中输入“MMC ”并按回车键启动MMC 控制台。在MMC 控制台中，选择[添加/删除管理单元]并添加[组策略对象编辑器]，打开[选择组策略对象]对话框。在[选择组策略对象]对话框中单击[浏览]按钮，打开[浏览组策略对象]对敌框。在[浏览组策略对象]对话框中，查找范围选择“ou1.domain.com ”，并新建一个组策略对象“ou1组织单位的组策略”，如图3-9所示。

依次展开[计算机配置]目录树→[管理模板]子目录，找到[系统]中的[关闭自动播放]设置项，将其设置为[已启用]可以关闭ou1组织单位中computer001、computer002两台计算机的CD-ROM 的自动播放功能，而不管是哪个用户登陆到这两台计算机上，如图3-10所示。

依次展开[用户设置]目录树→[管理模板]子目录，找到[系统]中的

[关闭自动播放]设置项，将其设置为[已启用]可以关闭ou1组织单位中的aa1、a2两个用户的CD-ROM 的自动播放功能，而不管这两个用户登录到哪台计算机上，如图3-11所示。