windows server之域和组的配置

域和组 策略配置

项目学习目标

1.理解域的概念;
2.掌握域安装;
3.掌握组策略使用。

学习难点

1.域安装;
2.组策略使用。

项目任务描述

某网络公司的网络中的PC数量具有一定的规模(按照微软使用域的原则，一般网络中的PC数目多于10台，则建议采域的管理模式)，因此，公司网络管理员决定采用安装域和使用组策略的管理模式。如何安装域和使用组策略的操作？

项目任务划分

①子任务1:域安装;
②子任务2:组策略使用。

项目任务实施

(一) 子任务1

域安装

1.工作任务安装域。

2相关知识点

城是由管理员定义的组对象(计算机、用户和组)的集合，所有对象共享一个目录数据( Active Drectory)和安全策略。一个城可能与其他城之间存在安全关系。

  城工作方式采用的是集中式的管理，计算机要加人一个域中，必须经过域管理员的批准，域中所有的资源由域控制器统管理。

  域管理员是组织中权限最大的人员，域管理员可以登录到加人城中的任何一台成员机器，域中所有的资源都在域管理员的控制之下。

域模式适用于较大型的网络。下面来介绍一下关于域的其他内容。

由以上内容可知，域由一些计算机组成，这些计算机按类别分可以分3类，分别为:域控制器、成员服务器、客户机，下面分别来介绍。域控制器:域控制器是种服务器 ，安装有活动目录，主要用来进行网络的安全核查以及资源共享。成员服务器:成员服务器也是一种服务器，它没有安装活动目录，不能提供网络的安全核查等工作，但是可以提供其他网络服务，比如Web服务、打印服务等。客户机:客户机是网络中只享受服务的机器，客户机上的操作系统一般为桌面型的， 如: Windows 98、Windows 2000 PlesinalkWindows XP等。

 一个域中最少要有一个城控制器， 如果拥有多个域控制器，它们之间的关系是平等的，存储的网络信息(活动目录)也是样的。域中的成员(包括成员服务器和客户机)可以从一个城中脱离出去，但是城控制器却不能退出一一个域， 非城控制器有两种登录方法城登录和本地登录城，而控制器不支持本地用户登录。

3.任务步骤

①在局城网中，要创建单个城下的第一台域控制器，首先要在成员服务器上安装上Windom Server2003安装成功后进人系统，可以选择“配置你的服务器向导”或着“运行Depromo"进行活动目录的安装:创建城控制器，要做的第一件事就是给这台成员服务器指定一个固定的IP,在这里指定情况如下:

计算机名: Sever aksidosa8IP: 192.168.1.10
子网掩码: 255.255.255.0

DNS: 192.168.1.10 (本机配置成DNS服务器)
由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以需要手动去添加，添加方法如下:“开始一 -设置一控制面板一添加删除程序”， 然后再单击‘ 添加删除Windows组件”，则可以看到如图15-1所示画面。

②由于在这里只需要DNS. 只选域名系统(DNS)，如图15-2所示。

然后单击“确定”，一直单击“下一步”就可以完成整个DNS的安装。在整个安装过程中须保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到文件的提示，那么就需要手动定位了。
③单击“开始”一“运行”,输人“depromo”如图15-3所示。
④回车就可以看到“Active Directory安装向导”

⑤这里是一个兼容性的要求，Windows 95及NT4.0 SP3以前的版本无法登录运行到Windows Server 2003的域控制器，尽量采用Windows 2000及以上的操作系统作为客户端。然后单击“下一步”，如图15-5所示。

⑥由于这是第一台域控制器.所以选择第一项“新域的域控制器”，然后单击“下步”。

⑦既然是第.台域控制器，那么就选择“在新林中的域”。

⑧这里要指定一个域名: server.com, 如图15-8所示。

⑨指定NetBIOS名，注意整个网络里不能再有一台PC的计算机名叫“SERVER” 。

10，在这里要指定AD数据库和日志的存放位置，最好分别放置在不同的磁盘控制器上，如果只有一个磁盘控制器，建议采用默认。

11，这里是指定SYSVOL文件夹的位置，没有特殊情况，不建议修改。

12，第一次部署时总会出现DNS注册诊断出错的画面，主要是因为虽然安装了DNS.但由于并没有配置它，网络上还没有可用的DNS服务器，所以才会出现响应超时的现象。因此在这里要选择:在这 台计算机上安装并配置DNS服务器，并将这台DNS服务零设为这台计算机的首选DNS服务器”，如图 15-12所示。

13，如图15-13所示，这是一个权限的选择项，选择第二项:“只与 Windows 2000或Window Server 2003操作系统兼容的权限”,因为在实验的整个环境里，并没有Windows2000以前的操作系统存在。

14，如图15- 14所示，还原密码，这是一个重点，希望大家设置好以后定要记住这个密码，千万别忘记了。

15，确定画面，检查输入信息是否有误，尤其是域名。

16，单击完成

17，单击。立即重新启动

18，然后来看一下安装了AD后和没有安装的时候有些什么区别，首先第一感觉就是天机和开机的速度明显变慢了，再看下登录界面，多出了一个“登录到”的选择框。

19，进入系统，右键单击我的电脑，选择属性，单击计算机名

20，安装完成后，检验域控制器的AD是否正常

21，查看AD数据库文件。

22，查看系统自建的SRV记录

23，查看缺省的AD结构目录

24，查看事件日志

1.工作任务

组策略使用:使用组策略为用户组或计算机组定义自动的配置，包括基于注册表的策略设置、安全设置、软件安装、脚本、文件夹重定向、远程安装服务和ntemet xpore护的选项。

2.相关知识点

(1)组策略
组策略设置定义了系统管理员需要管理用户桌面环境的各种组件，例如用户可用的程序、用户桌面上出现的程序以及“开始”菜单选项等。

使用组策略对象编辑器可以为特定用户组创建特殊的桌面配置，指定的组策略设置包含在组策略对象( GP0)中，而组策略对象又与Active Directory对象(站点、域或组织单位)相关联。

组策略不仅应用于用户和客户端计算机，还应用于成员服务器、域控制器以及管理范围内的任何计算机。默认情况下,应用于域的组策略会影响域中的所有计算机和用户。

使用组策略为用户组或计算机组定义自动的配置，包括基于注册表的策略设置、安全设置、软件安装、脚本、文件夹重定向、远程安装服务和hnemnet Eploren 维护的选项。

使用组策略对象(GPO) ,管理员可以集中管理Aivie Dretor结构中的计算机和用户。组策略的工作方式是，每当重新启动、用户登录或强制刷新组策略时，目标计算机利用Active Directry多层结构的特点，对每个CPO设置进行检查。因此，每次只须设置-个用户或计算机，借助Windows 200000提供的功能，可以将策略强制在所有客户端计算机上执行，直到更改组策略。

组策略的优先级高于用户设置的注册表和本地首选项，在登录、重启、强制刷新组策略时，组策略都会覆盖本地首选项。

( 2)使用组策略的前提

①客户端和服务器必须运行在Windows 2000/XP/2003或以上版本系统，对较早版本的计算机，组策略不会对它们产生影响。

②组策略需要使用完全合法的城名，而不是NeBIOS名，因此需要存在DNS服务才能保证组策略被正常处理。

③不能关闭ICMP协议。客户端计算机必须可以ping 通网络上的城控制器，否测组策略处理将会失败。

默认情况下，新用户账户和计算机账户分别创建④使用组策略需要Active Directory。在User和Computers容器中，而不可能直接在这此容器中使用组策略。可以通过Redinus.exe和Redircomp.exe两个工具把组策略应用到新用户和新计算机。

3.任务步骤

①组策略在实施前，极力建议安装Gpmc.msi组策略编辑工具程序(可在微软网站免费下载)。

2，打开创建的OU1的属性

3，单击Open按钮，进入组策略管理器

4，单击Open按钮，进入组策略管理器

5，新建组策略 OP1

6，编辑组策略OP1

⑥在用户配置下，制定“对桌面的显示属性的设置实施禁用”的组策略，这样OU1下的所有用户和组内用户在任何台主机登录本域后，其桌面的显示属性的设置将被禁用，如图15- -34所示。

7，ClientXP-01是OU1下的用户Zhangsan登录到Server.com域的一台主机， 这里用来验证组策略的实施结果，查看ClientXP- -01 主机桌面的显示属性的设置，可见矩形框处原“设置”按钮消失，说明实施的组策略生效，如图15-35所示。