关于Win2003的Active Directory在企业内的应用

最近两天要为一企业的内部网解决计算机权限分配的问题,要求普通工作人员无法使用CD-ROM,USB,软驱等存储设备。要求为了省钱不使用等三方软件,所以想想只好用Win2003的组策略来解决这个问题。

搞了两三天,头都大了,以前从来没有搞过Win2003服务器相关的内容,只是用它做做开发什么的。好了,言归正传,下面从最基础的讲到我现在做的东西,可能有些简单,有错误的地方,还是请高手斧正。

 

首先要安装Active Directory,因为03系统默认的情况下只有“计算机管理”项,要把它升级到“Active Directory 用户和计算机”。

在安装之前,有一些准备工作要做,就是配置服务器的IP(在这里,服务器就是我自己的机子),因为Active Directory要求部署DNS服务器。所以IP必需为静态IP。在“Internet 协议(TCP/IP)属性”对话框中,选择“使用下面的IP地址”。下一步比较关键,就是DNS的设置。选择“使用下面的DNS服务器地址”。把“首选DNS服务器”的地址改为你的IP地址。比如你上面的IP设为“192.168.10.10,你的“首选DNS服务器”的地址必须为“192.168.10.10。然后,我的电脑——属性,修改服务器的名称(可选)。另外,在升级过中,还需要一个域名,可以是Internet上合法的域名,也可以是局域网中使用的域名(我用的就是自编的test.com)。

下面,就开始升级啦。以管理员身份登录到Win2003,运行——输入“dcpromo”,开启活动目录的升级向导。一路下一步,进入“新的域名”对话框时,在“新域的DNS全名”中输入已规划好的域名(比如我的是test.com)。继续next,如果当前机子上没有安装DNS服务器,应选择“在这台计算机上安装并配置DNS服务器….”然后下一步,如果网络中只有2000或是2003,就选择每二项“只与Windows2000Windows2003操作系统兼容的权限”。然后下一步,打开“目录服务还原模式的管理员密码”对话框,该对话框中设置的密码不同于管理员,此密码只有在使用目录服务还原模式时输入。然后下一步,基本上就完成了。

下面一步,就是要把所有需要管理的计算机加入到这个域中,以实现统一管理与权限的分配,这是我们的主要目的。以管理员的身份登录到工作站计算机,修改每一台计算机的DNS地址为Active Directory域控制器的IP地址,在这里为上面我的机子的IP192.168.10.10。然后在机子点右击我的电脑,在属性对话框中,选择“计算机名”标签,点击有下面的“更改”,可以修改合适的计算机名,主要是方便管理,比如c001,依次为c002,c003…。在下面的“隶属于”单选框中,选择“域”,并填上服务器上规划的域名,比如我这边的test.com。然后点击确定即可。如图所示:

 

 

然后会弹出“域用户名和密码”对话框,在这里,输入域管理员用户名和密码。通过后,会有欢迎对话框“欢迎加入test.com域”。然后机子就可以使用管理员分配的用户名和密码来登录了。在登录时,要注意一点,就是必须要登录到域,如果登录到了本机,那么后面设计的组策略就不会对这台机子起作用。

DC上点击右键,新建一个组织单元(Organizational Unit,OU),我将它命名为了design,在组织单元内,可以创建子组织单位,也可以创建计算机,联系人,组,InetOrgPerson,MSMQ队列别名,组织单位,打印机,用户,共享文件夹等内容。把域中的所有机子都放到design组织单元中。

 

下面开始了我们的核心实现部分,即组策略。组策略是一个用于更新、配置、和管理用户桌面系统的工具。其包括两个方面的内容,分别是“用户配置”和“计算机配置”。“用户配置”包含影响用户环境的相关设置,而“计算机设置”则包含网络中计算机的相关参数设定(不要小视这一段,昨天我就没有注意到这个问题,浪费了我大半天,下面会细说这个问题)。

对于一些概念,就不再细说了,直入主题。再废话一句,其实搞计算机这行业,有时候你在学一些东西的时候,没必要一个字一个字去啃概念,看了你也不懂,而且越看越晕,直接用实例上,在动手的时候,遇到什么不明白的,再返回去看概念什么的,这样往往你能够看明白,而且理解得透彻。

design OU上右击——“属性”,点击“组策略”标签,然后就可以新建一个组策略对象,建好之后可以对它进行重命名,然后就可以对它进行编辑了。通过编辑对客户端进行管理。

右击design可以添加用户,与在users中添加用户的步骤是一样的。在点击添加用户后,会出现下面对话框:

点击下一步,为此用户分配一个用于登陆的密码,在这一步有需要注意的地方,就是Win2003的密码策略。Win2003对用户密码有明确的要求:

1)  不包含全部或部分的用户账户名;

2)  长度至少为6个字符;

3)  包含来自以下4个类别中的三个字符:英文大写字母(A~Z)、英文小写字母(a~z)、10个基本数字(0~9)、非字母字符(如 !,$#*)。

但是对于企业内的一般用户来讲,分配这样的密码显然有过于麻烦,员工也不太容易记住,针对这个问题,我们可以修改密码策略。管理工具——域安全策略,点开安全设置,帐号策略,选择“密码策略”在右侧栏中,右击“密码必须符合复杂性要求”,打开属性页,选择禁用。下面的“密码长度最小值”,改为“0”,这样就允许设置空密码了。如图所示:

域用户创建好之后,可以设置域用户帐户的属性。比如登录时间,登录到的计算机等等。下面就会讲到我遇到过的一些问题,比如我原来是在users上建立的test1用户,后来把它转到了design组织单元中,在登录客户机的时候,发现原来设置的组策略并没有起作用,比如说桌面不显示“我的文档”,在右击我的电脑下拉菜单中,不显示“属性”项。后来查看属性才发现test1用户是属于“domain…”系列用户组的,我晕。后面在design内建了一个person组,把test1用户拉到这个组啊,并设为主要组,顺便又把“domain…”这个组给删掉了。也就是说test1用户只属于person一个组了,并不是把“domain”这个组给删掉。然后重启服务器再试,成功了!(一小步^^)以后再屏蔽光驱的时候,又犯了错误,我在“计算机配置”下面做了设置,却没有把客户机拉到design组织单元中,这就是我上面提到的问题,一定不要搞混了“计算机配置”与“用户配置”。这是我好不容易搞明白的一点,呵呵。

禁用存储设备

下面就会借用一位网友的方法来禁用客户机的CD-ROMUSBFLOPPY等存储设备。这里需要借用一个小工具,也就是一个adm模板,也是这位网友提供的,在这里谢谢啦。首先把这个名为usb.adm的文件放到%systemroot%/windows/inf文件夹下面,如果打开这个文件夹,我们会发现*.adm文件,也就是管理模板,都是在这个文件夹下面的。把所有的计算机都拉到design组织单元中,如果有必要,建立一个组,把所有的计算机都设为这个组的成员。然后打开组策略编辑器,在计算机配置——管理模板项,这里要注意的一点是,在查看——筛选中,去掉“只显示能完全管理的组策略”前面的勾。右键管理模板——点添加删除模板——-添加usb.adm的模板文件--点关闭窗口中出现custom policy settings进入,就可以看到那个设备的,右键你想设置的设备如disable usb 出现属性对话框点已启用在disable usb ports 中选enabled确定后重启计算机,就会发现usb接口不能用了,要恢复就禁用或选disabled,其它设备也是同样的操作。

为了给部分经理或少数人开启驱动器,在DC新建一个EnabledUSB_Computers全局组,把经理们的计算机帐号添加到EnabledUSB_Computers这个组。设置design上的组策略把EnabledUSB_Computers这个组安全过虑掉,也就是让EnabledUSB_Computers这个组拒绝应用该策略。具体操作如下:右击design组织单元——属性——组策略——选择我们的这个组策略——属性——安全,如果在组或用户名称中找不到我们的这个组,可以选择添加。添加完成后,在其下面的权限栏选择“拒绝”——“读取”以及“应用组策略”这两项。

在黓认情况下,所有design这个OU下的计算机的USBFloppyCD-ROM都会被禁掉,当有用户要使用时,把他们的计算机帐号加到EnabledUSB_Computers组即可。

 

禁用软件

下面再举一个禁用软件的例子,比如禁用QQ聊天程序。因为公司的机子用的都是TM,所以我会用TM作为例程。首先还是打开组策略编辑器,我们还是选择禁止计算机。计算机配置——安全设置——软件限制策略,默认是没有限制策略的,所以我们要新建软件限制策略。建好之后,选择其他规则,在右边的栏“新建哈希规则”,然后选择你要客户端禁用的软件。正好我的机子(服务器)与客户机都有TM,所以我找到了我机子上的软件路径,选择了“TMShell.exe”,点击确定就OK啦。然后强制更新一下“运行——gpupdate /force(注意gpupdate后有空格)。然后到客户机上一试,TM果然打不开了。这也是比较实用的吧,顺便就写上了。

 

赋予关机权限

这也是我们会遇到的问题,因为客户机在登录后,在“关机”选项里面只有注销,没有关机以及重启选项,关机很不方面,我刚开始每次都是先注销,然后再用管理员的身份登录到系统(注意,不是域),然后再关机。今天找到了解决的方法,其实很简单,就是打开组策略编辑器,计算机配置——安全设置——本地策略——用户权限分配,在右侧选择“关闭系统”,右击选择“属性”,首先在“定义这些策略设置”前面打上勾,然后“添加用户或组”。一个一个添加用户是比较麻烦的,我们在前面把用户分成了员工以及管理层这几个组,我们只要把这几个组添加进去就可以了。然后强制刷新一下,发现客户机的用户已经可以正常关机了,OK

对于其他的操作,都可以设置,如果是针对计算机的,就在“计算机配置”上设置,如果是针对用户的,就在“用户配置”上设置。

 

注:本文的很多内容参照了www.winos.cn上的资源,并在实际应用中作了改进,谢谢各位网友的无私奉献。

阅读更多
想对作者说点什么? 我来说一句

没有更多推荐了,返回首页