計(jì)算機(jī)畢業(yè)論文----windows server 2003 ad在企業(yè)中的部署及應(yīng)用

1、<p>　　Windows server 2003 AD 在企業(yè)中的部署及應(yīng)用</p><p><b>　　—組策略的應(yīng)用</b></p><p><b>　　學(xué)生姓名：</b></p><p><b>　　指導(dǎo)教師：</b></p><p>　　所在學(xué)院：信息技術(shù)學(xué)

2、院</p><p>　　專 業(yè)：計(jì)算機(jī)科學(xué)與技術(shù)</p><p>　　2011 年 5 月</p><p><b>　　摘要</b></p><p>　　本文向網(wǎng)絡(luò)管理員介紹活動(dòng)目錄，解釋其結(jié)構(gòu)，闡述其如何與應(yīng)用程序及其他目錄服務(wù)進(jìn)行交互操作，如何通過(guò)組策略對(duì)域用戶注冊(cè)表集中管理，面對(duì)眾多的網(wǎng)絡(luò)安全問(wèn)題，如何

3、讓企業(yè)的員工在信息化社會(huì)擁有一個(gè)安全的辦公環(huán)境是應(yīng)給予關(guān)注的問(wèn)題。通過(guò)組策略技術(shù)的應(yīng)用，集中發(fā)布、刪除企業(yè)應(yīng)用軟件，防止員工用濫電腦娛樂(lè)和病毒的肆意傳播，從而實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)的安全。提高員工工作效率，加強(qiáng)公司電腦的管理。管理員通過(guò)對(duì)組策略的學(xué)習(xí)，工作效率大幅度提高，不再疲于奔命對(duì)每一臺(tái)域中電腦反復(fù)配置。</p><p>　　關(guān)鍵詞：組策略 活動(dòng)目錄</p><p><b>　　AB

4、STRACT</b></p><p>　　Must display Microsoft Windows 2003 Server operating system's most major function, must first understand Active the Directory directory services. Active Directory is the Windows

5、 2003 operating system's new content, it in the implementation organization's network, then achieves in organization's commercial goal to hold the important position. This article introduces Active Directory

6、to the network administrator, explains its structure, elaborated how it does carry on with the application procedur</p><p>　　Keywords: Group Policy Active Directory目錄</p><p><b>　　摘要I<

7、/b></p><p>　　ABSTRACTII</p><p><b>　　目錄III</b></p><p><b>　　前言1</b></p><p><b>　　1 緒論2</b></p><p>　　1.1 選題背景2<

8、;/p><p>　　1.2 研究目的和意義2</p><p>　　1.3 論文組織結(jié)構(gòu)2</p><p>　　2 認(rèn)識(shí)Active Directory和組策略4</p><p>　　2.1 Active Directory簡(jiǎn)介4</p><p>　　2.1.1 Active Directory功能4&l

9、t;/p><p>　　2.1.2 Active Directory 的優(yōu)點(diǎn)4</p><p>　　2.2 組策略簡(jiǎn)介6</p><p>　　2.3 組策略和AD7</p><p>　　2.3.1 GPO的多樣性和繼承7</p><p>　　2.3.2 GPO的內(nèi)部構(gòu)成8</p><p

10、>　　2.4 本章小結(jié)8</p><p>　　3 AD的部署9</p><p>　　3.2 本章小結(jié)12</p><p>　　4 企業(yè)網(wǎng)絡(luò)中組策略的應(yīng)用13</p><p>　　4.1 利用組策略管理用戶環(huán)境13</p><p>　　4.2 組策略設(shè)置的結(jié)構(gòu)13</p>&

11、lt;p>　　4.2.1 計(jì)算機(jī)配置中的Windows配置13</p><p>　　4.2.2 計(jì)算機(jī)配置中的管理模板14</p><p>　　4.2.3 網(wǎng)絡(luò)子樹(shù)14</p><p>　　4.2.4 用戶配置中的Windows配置14</p><p>　　4.2.5 文件夾重定向15</p><

12、p>　　4.2.6 用戶配置中的管理模板－控制用戶環(huán)境15</p><p>　　4.3 使用組策略管理軟件15</p><p>　　4.3.1 軟件布置（安裝和維護(hù)）的步驟16</p><p>　　4.3.2 發(fā)布和分配軟件16</p><p>　　4.3.3 用組策略布置軟件包16</p><

13、p>　　4.3.4 刪除布置的軟件17</p><p>　　4.4 應(yīng)用組策略對(duì)娛樂(lè)及公共機(jī)房管理17</p><p><b>　　結(jié)論20</b></p><p><b>　　參考文獻(xiàn)21</b></p><p><b>　　致謝23</b></p

14、><p><b>　　前言</b></p><p>　　在2010年，中國(guó)網(wǎng)民達(dá)到4億。中國(guó)互聯(lián)網(wǎng)的高速發(fā)展，讓人們?cè)谏?、工作等都有了極大的改變，在體驗(yàn)和享受互聯(lián)網(wǎng)帶來(lái)的方便及愜意時(shí)?；ヂ?lián)網(wǎng)里大量存在的一些不正當(dāng)行為，如黑客攻擊、計(jì)算機(jī)病毒、內(nèi)部泄密、信息丟失、篡改、銷毀、木馬程序、等等，總是讓我們感覺(jué)許多的無(wú)奈。特別是中國(guó)的廣大企業(yè)，在利用互聯(lián)網(wǎng)更加快速、便捷地實(shí)現(xiàn)業(yè)

15、務(wù)全球化的同時(shí)，來(lái)自外界的病毒、木馬、黑客，以及內(nèi)部員工工作時(shí)間濫用網(wǎng)絡(luò)資源所惹的禍令人觸目驚心。為應(yīng)對(duì)這種外憂內(nèi)患的局面，反病毒、防火墻、入侵檢測(cè)，在一定程度上排除了外憂。而解內(nèi)患的問(wèn)題也迫不及待地被提上日程。</p><p>　　對(duì)于一些小型的企業(yè)來(lái)說(shuō)，他們沒(méi)有過(guò)多的時(shí)間監(jiān)督每一位員工，沒(méi)有過(guò)的時(shí)間查看每一臺(tái)電腦，那么他們是如何解決這種現(xiàn)狀的呢？</p><p>　　有一種技術(shù)，它可以

16、幫助沒(méi)有過(guò)多資金的企業(yè)適當(dāng)?shù)亟鉀Q內(nèi)部網(wǎng)絡(luò)管理與內(nèi)部員工的辦公環(huán)境的安全，那就是“組策略”技術(shù)。</p><p><b>　　1 緒論</b></p><p><b>　　1.1 選題背景</b></p><p>　　現(xiàn)今，電腦普遍的應(yīng)用在各大中小企業(yè)中，電腦提高了工作效率，及時(shí)掌握最新市場(chǎng)行情動(dòng)態(tài)的同時(shí)，也給企業(yè)帶來(lái)了讓每

17、一位老總頭疼的問(wèn)題。員工在工作時(shí)間濫用網(wǎng)絡(luò)資源，聊QQ、斗地主、農(nóng)場(chǎng)偷菜、用光驅(qū)看電影等等運(yùn)行與工作無(wú)關(guān)的程序，隨便使用USB設(shè)備導(dǎo)致病毒肆意傳播，也帶到了電腦上。并且伴隨著Windows功能的越來(lái)越豐富，注冊(cè)表里的配置項(xiàng)目也越來(lái)越多。例如：文件系統(tǒng)管理、磁盤管理、網(wǎng)絡(luò)服務(wù)、DHCP服務(wù)等。其中很多配置都是可以自定義設(shè)置的，但這些配置發(fā)布在注冊(cè)表的各個(gè)角落，并且配置在每一臺(tái)電腦上。如果是手工配置注冊(cè)表，花時(shí)間去監(jiān)督每一位員工，可想是多么

18、困難和煩雜。</p><p>　　1.2 研究目的和意義</p><p>　　目前，在企業(yè)中，個(gè)別職工在上班時(shí)玩游戲或運(yùn)行與工作無(wú)關(guān)的程序。針對(duì)這一情況，加強(qiáng)企業(yè)電腦的管理成為了各企業(yè)所面臨的共同問(wèn)題。而組策略則將系統(tǒng)重要的配置功能匯集成各種配置模塊，供管理人員直接使用，從而達(dá)到方便管理計(jì)算機(jī)的目的。組策略是注冊(cè)表的一個(gè)縮影，在進(jìn)行組策略設(shè)置時(shí)還要把禁止職工訪問(wèn)注冊(cè)表。主要思想是在組策略里

19、設(shè)置一些Windows可用的運(yùn)行項(xiàng)目，以阻止職工運(yùn)行一些與工作無(wú)關(guān)的程序，提高企業(yè)工作人員的工作效率。</p><p>　　概括的說(shuō)，組策略就是使管理員能為用戶指定需求，并且依賴于Windows Server 2003或Windows 2000 Server，在它上面不斷執(zhí)行的技術(shù)。這里面包括以下含義：</p><p>　　(1)為用戶指定需求，即用戶提出的要求有管理員負(fù)責(zé)實(shí)現(xiàn)。用戶的需求

20、可以是實(shí)現(xiàn)什么樣的系統(tǒng)設(shè)置，需要什么樣的桌面，必須使用的軟件等。</p><p>　　(2)依賴于Server 2003或Windows 2000 Server，即只能有Server 2003或Windows 2000 Server來(lái)體現(xiàn)組策略，不支持Windows NT 4.x、Windows 9x等早期產(chǎn)品。</p><p>　　(3)在上面不斷執(zhí)行的技術(shù)，是指客戶的計(jì)算機(jī)操作系統(tǒng)會(huì)周

21、期性的從AD上查詢組策略的變化并執(zhí)行新的設(shè)置。</p><p>　　組策略的作用就是用來(lái)給網(wǎng)絡(luò)管理員授予更多的活動(dòng)目錄用戶控制權(quán)。擁有了組策略技術(shù)，實(shí)現(xiàn)對(duì)域中電腦集中管理應(yīng)用軟件，就不在為花資金和時(shí)間監(jiān)督員工電腦，反反復(fù)復(fù)配置每臺(tái)電腦中注冊(cè)表，為每臺(tái)電腦安裝、卸載軟件煩惱。對(duì)于公司的網(wǎng)絡(luò)管理員，當(dāng)用戶告訴你說(shuō)他的電腦壞了，這時(shí)你只需要給她一臺(tái)新的計(jì)算機(jī)加入域環(huán)境，把舊的計(jì)算機(jī)拿走就行了。新的計(jì)算機(jī)開(kāi)啟后所有的設(shè)置

22、都會(huì)完成，這就是微軟智能鏡像能實(shí)現(xiàn)的功能，其核心技術(shù)就是組策略。</p><p>　　1.3 論文組織結(jié)構(gòu)</p><p>　　本論文的第一章主要介紹了選題背景，論文研究的目的和意義。</p><p>　　第二章簡(jiǎn)單介紹了活動(dòng)目錄（Active Directory，AD）和組策略（Group Policy，GPO）。</p><p>　　第三

23、章是前期準(zhǔn)備工作，搭建AD平臺(tái)、OU控制臺(tái)。</p><p>　　第四章是企業(yè)網(wǎng)絡(luò)中組策略的具體應(yīng)用及作用。</p><p>　　最后是論文的總結(jié)和致謝。</p><p>　　2 認(rèn)識(shí)Active Directory和組策略</p><p>　　2.1 Active Directory簡(jiǎn)介</p><p>　　活動(dòng)目錄

24、（Active Directory）是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目錄服務(wù)。（Active Directory不能運(yùn)行在Windows Web Server上，但是可以通過(guò)它對(duì)運(yùn)行Windows Web Server的計(jì)算機(jī)進(jìn)行管理。）Active Directory存儲(chǔ)了有關(guān)網(wǎng)絡(luò)對(duì)象的信息，并且讓管理員和

25、用戶能夠輕松地查找和使用這些信息。Active Directory使用了一種結(jié)構(gòu)化的數(shù)據(jù)存儲(chǔ)方式，并以此作為基礎(chǔ)對(duì)目錄信息進(jìn)行合乎邏輯的分層組織。</p><p>　　Microsoft Active Directory 服務(wù)是Windows 平臺(tái)的核心組件，它為用戶管理網(wǎng)絡(luò)環(huán)境各個(gè)組成要素的標(biāo)識(shí)和關(guān)系提供了一種有力的手段。</p><p>　　2.1.1 Active Directory

26、功能</p><p>　　活動(dòng)目錄(Active Directory)主要提供以下功能：</p><p>　　(1)基礎(chǔ)網(wǎng)絡(luò)服務(wù)：包括DNS、WINS、DHCP、證書(shū)服務(wù)等。</p><p>　　服務(wù)器及客戶端計(jì)算機(jī)管理：管理服務(wù)器及客戶端計(jì)算機(jī)賬戶，所有服務(wù)器及客戶端計(jì)算機(jī)加入域管理并實(shí)施組策略。</p><p>　　(2)用戶服務(wù)：管理用

27、戶域賬戶、用戶信息、企業(yè)通訊錄（與電子郵件系統(tǒng)集成）、用戶組管理、用戶身份認(rèn)證、用戶授權(quán)管理等，按省實(shí)施組管理策略。</p><p>　　資源管理：管理打印機(jī)、文件共享服務(wù)等網(wǎng)絡(luò)資源。</p><p>　　(3)桌面配置：系統(tǒng)管理員可以集中的配置各種桌面配置策略，如：界面功能的限制、應(yīng)用程序執(zhí)行特征限制、網(wǎng)絡(luò)連接限制、安全配置限制等。</p><p>　　(4)應(yīng)用

28、系統(tǒng)支撐：支持財(cái)務(wù)、人事、電子郵件、企業(yè)信息門戶、辦公自動(dòng)化、補(bǔ)丁管理、防病毒系統(tǒng)等各種應(yīng)用系統(tǒng)。</p><p>　　2.1.2 Active Directory的優(yōu)點(diǎn)</p><p>　　與DNS 集成Active Directory使用域名系統(tǒng)(DNS)。DNS是一種Internet標(biāo)準(zhǔn)服務(wù)，它將用戶能夠讀取的計(jì)算機(jī)名稱（例如mycomputer. microsoft.com）翻譯成

29、計(jì)算機(jī)能夠讀取的數(shù)字Internet協(xié)議(IP)地址（由英文句號(hào)分隔的四組數(shù)字）。這樣，在TCP/IP網(wǎng)絡(luò)計(jì)算機(jī)上運(yùn)行的進(jìn)程即可相互識(shí)別并進(jìn)行連接。 </p><p>　　(1)靈活的查詢。用戶和管理員如果要通過(guò)對(duì)象屬性快速查找網(wǎng)絡(luò)中的對(duì)象，可使用“開(kāi)始”菜單中的“查找”命令、桌面上的“網(wǎng)上鄰居”圖標(biāo)或者是 Active Directory 用戶和計(jì)算機(jī)管理單元。例如，您可以按照一個(gè)用戶帳戶的姓名、電子郵件名、辦

30、公地點(diǎn)或其他屬性查找該用戶。而且,使用全局編錄優(yōu)化了查找信息的操作。</p><p>　　(2)可擴(kuò)展性。Active Directory是可擴(kuò)展的；也就是說(shuō)，管理員既可以在架構(gòu)中添加新的對(duì)象類別，也可在原有的對(duì)象類別中添加新屬性。架構(gòu)包含每個(gè)對(duì)象類別的定義，以及能夠存儲(chǔ)于目錄中的每個(gè)對(duì)象類別的屬性。例如，您可能會(huì)為User對(duì)象添加Purchase Authority屬性，然后將每個(gè)用戶的購(gòu)買權(quán)限額保存為用戶帳戶

31、的一部分。</p><p>　　(3)基于策略的管理。 組策略是在初始化時(shí)應(yīng)用于計(jì)算機(jī)或用戶的配置設(shè)置。所有組策略設(shè)置都包含在應(yīng)用于 Active Directory站點(diǎn)、域或部門的組策略對(duì)象(GPO)中。GPO設(shè)置決定了對(duì)目錄對(duì)象和域資源的訪問(wèn)權(quán)限、用戶可使用的域資源（如應(yīng)用程序），以及這些域資源針對(duì)其用途的配置方式。</p><p>　　(4)可伸縮性。Active Directory

32、包括一個(gè)或多個(gè)域，每個(gè)域均有一個(gè)或多個(gè)域控制器，由此，您能夠?qū)δ夸涍M(jìn)行自由擴(kuò)展，從而滿足所有網(wǎng)絡(luò)的需求。多個(gè)域可合并成一個(gè)域目錄樹(shù)，多個(gè)域目錄樹(shù)可合并成一個(gè)目錄林。在只有一個(gè)域的最簡(jiǎn)單的網(wǎng)絡(luò)結(jié)構(gòu)中，該域既是一個(gè)目錄樹(shù)，又是一個(gè)目錄林。</p><p>　　信息復(fù)制。Active Directory使用多主機(jī)復(fù)制，使您可以更新任何域控制器中的目錄。在一個(gè)域中部署多個(gè)域控制器還提供了容錯(cuò)能力和負(fù)載平衡功能。因?yàn)檫@些域

33、控制器包含同樣的目錄數(shù)據(jù)，所以，如果域內(nèi)的一個(gè)域控制器速度變慢、停止或出現(xiàn)故障，同一域內(nèi)的其他域控制器即可提供必要的目錄訪問(wèn)功能。</p><p>　　(5)信息安全。在 Windows 2000 操作系統(tǒng)中，用戶身份驗(yàn)證和訪問(wèn)控制的管理都與 Active Directory 完全結(jié)合在一起，這是該系統(tǒng)的一項(xiàng)關(guān)鍵性安全功能。Active Directory 將身份驗(yàn)證集中進(jìn)行。不僅可以定義對(duì)目錄中每個(gè)對(duì)象的訪問(wèn)控

34、制，還可定義對(duì)每個(gè)對(duì)象的每個(gè)屬性的訪問(wèn)控制。此外，Active Directory 還為安全策略提供了存儲(chǔ)區(qū)和應(yīng)用范圍。</p><p>　　(6)互操作性。由于 Active Directory 以標(biāo)準(zhǔn)目錄訪問(wèn)協(xié)議（例如輕型目錄訪問(wèn)協(xié)議(LDAP)）為基礎(chǔ)，因此它能夠與其他采用這些協(xié)議的目錄服務(wù)進(jìn)行交互操作。有些應(yīng)用程序編程接口(API)--例如 Active Directory 服務(wù)接口(ADSI)--允許開(kāi)

35、發(fā)者訪問(wèn)這些協(xié)議。</p><p><b>　　2.2 組策略簡(jiǎn)介</b></p><p>　　組策略(Group Policy)，就是基于組的策略。它以Windows中的一個(gè)MMC管理單元的形式存在，可以幫助系統(tǒng)管理員針對(duì)整個(gè)計(jì)算機(jī)或是特定用戶來(lái)設(shè)置多種配置，包括桌面配置和安全配置。譬如，可以為特定用戶或用戶組定制可用的程序、桌面上的內(nèi)容，以及“開(kāi)始”菜單選項(xiàng)等，也

36、可以在整個(gè)計(jì)算機(jī)范圍內(nèi)創(chuàng)建特殊的桌面配置。簡(jiǎn)而言之，組策略是Windows中的一套系統(tǒng)更改和配置管理工具的集合。</p><p>　　注冊(cè)表是Windows系統(tǒng)中保存系統(tǒng)軟件和應(yīng)用軟件配置的數(shù)據(jù)庫(kù)，而隨著Windows功能越來(lái)越豐富，注冊(cè)表里的配置項(xiàng)目也越來(lái)越多，很多配置都可以自定義設(shè)置，但這些配置分布在注冊(cè)表的各個(gè)角落，如果是手工配置，可以想像是多么困難和煩雜。而組策略則將系統(tǒng)重要的配置功能匯集成各種配置模塊，

37、供用戶直接使用，從而達(dá)到方便管理計(jì)算機(jī)的目的。</p><p>　　其實(shí)簡(jiǎn)單地說(shuō)，組策略設(shè)置就是在修改注冊(cè)表中的配置。當(dāng)然，組策略使用了更完善的管理組織方法，如圖2-1所示，可以對(duì)各種對(duì)象中的設(shè)置進(jìn)行管理和配置，遠(yuǎn)比手工修改注冊(cè)表方便、靈活，功能也更加強(qiáng)大。</p><p>　　圖2-1 新建組策略</p><p>　　2.3 組策略和AD</p>&

38、lt;p>　　要充分發(fā)揮GPO的功能，需要有AD域架構(gòu)的支持，利用AD可以定義一個(gè)集中的策略，所有的Windows服務(wù)器和工作站都可以采用它。然而，每臺(tái)運(yùn)行Windows的計(jì)算機(jī)都有一個(gè)本地GPO（駐留在本地計(jì)算機(jī)文件系統(tǒng)上的GPO），通過(guò)本地GPO，可以為每臺(tái)工作站指定一個(gè)策略，它在AD域中不起作用。例如，出于安全原因，你不會(huì)在AD域中配置公用的計(jì)算機(jī)。利用本地GPO，可以通過(guò)修改本地策略來(lái)得到安全性和對(duì)臺(tái)式機(jī)的限制使用而無(wú)需利

39、用基于AD域的GPO。訪問(wèn)本地GPO的方法有2種，第1種方法，在需要修改GPO的計(jì)算機(jī)的“開(kāi)始”菜單上選擇“運(yùn)行”，然后鍵入：gpedit.msc，可以打開(kāi)本地策略文件。第2種方法，可以通過(guò)在MMC控制臺(tái)中選擇GPE插件，并選擇本地或遠(yuǎn)程計(jì)算機(jī)來(lái)人工地編輯本地GPO。本地GPO支持除軟件安裝和文件夾重定向之外的所有缺省擴(kuò)展，因此，只利用本地GPO你不能完成這些工作，如果想充分發(fā)揮GPO的功能，還是需要AD的支持。</p>

40、<p>　　2.3.1 GPO的多樣性和繼承</p><p>　　在AD中，可以在域、組織單位（OU）或地址三個(gè)不同的層次上定義GPO。OU是AD中的一個(gè)容器，可以指派它對(duì)用戶、組、計(jì)算機(jī)等對(duì)象進(jìn)行管理，地址是網(wǎng)絡(luò)上子網(wǎng)的集合，地址形成了AD的復(fù)制分界線。GPO的名字空間被劃分為計(jì)算機(jī)配置和用戶配置兩個(gè)大類，只有用戶和計(jì)算機(jī)可以使用GPO，象打印機(jī)對(duì)象甚至用戶組都不能應(yīng)用GPO。</p>

41、<p>　　在一個(gè)域或組織單位（OU）中編輯策略的途徑有幾種。在活動(dòng)目錄用戶或計(jì)算機(jī)MMC插件中，右擊一個(gè)域或組織單位（OU），在菜單中選擇“屬性”，然后選擇“組策略”標(biāo)簽。在編輯地址中的策略時(shí)，需要右擊“活動(dòng)目錄地址和服務(wù)”插件，然后右擊需要的地址得到其GPO。此外，還可以從“開(kāi)始”菜單，選擇“運(yùn)行”，然后鍵入：mmc.exe，啟動(dòng)MMC，選擇“控制臺(tái)”，“增加/刪除”插件，然后選擇“組策略”插件、“瀏覽”，在AD域內(nèi)的GP

42、O就會(huì)顯示出來(lái)，可以選擇一個(gè)GPO進(jìn)行編輯，如圖2-2。</p><p>　　圖2-2 編輯策略的步驟</p><p>　　2.3.2 GPO的內(nèi)部構(gòu)成</p><p>　　一個(gè)GPO是由兩部分組成的：組策略容器（GPC）和組策略模板（GPT）。GPC是GPO在AD中的一個(gè)實(shí)例，在一個(gè)特殊的被稱作系統(tǒng)的容器內(nèi)有一個(gè)128位的全球唯一的ID碼（GUID）。在“活動(dòng)用戶

43、目錄用戶和計(jì)算機(jī)”插件中選擇“瀏覽”，從MMC菜單中選擇“高級(jí)屬性”，就可以看到“系統(tǒng)”容器。GPT是組策略在Windows文件系統(tǒng)中的表現(xiàn)，與一個(gè)GPO有關(guān)的所有文件依賴于GPT。</p><p><b>　　2.4 本章小結(jié)</b></p><p>　　本章主要對(duì)AD和GPO做了一個(gè)初步的介紹，訪問(wèn)本地GPO的方法有2種，第1種方法，在需要修改GPO的計(jì)算機(jī)的“開(kāi)

44、始”菜單上選擇“運(yùn)行”，然后鍵入：gpedit.msc，可以打開(kāi)本地策略文件。第2種方法，可以通過(guò)在MMC控制臺(tái)中選擇GPE插件，并選擇本地或遠(yuǎn)程計(jì)算機(jī)來(lái)人工地編輯本地GPO。本地GPO支持除軟件安裝和文件夾重定向之外的所有缺省擴(kuò)展，因此，只利用本地GPO你不能完成這些工作，如果想充分發(fā)揮GPO的功能，還是需要AD的支持。組策略是基于AD的，組策略的設(shè)置和管理都在AD中進(jìn)行，然后通過(guò)控制機(jī)制作用到域中的所有用戶和計(jì)算機(jī)上。我們可以建立多

45、個(gè)組策略對(duì)象，每個(gè)GPO都可以由不同的活相同的策略配置。</p><p><b>　　3 AD的部署</b></p><p>　　3.1.1 配置DNS服務(wù)器</p><p>　　(1)網(wǎng)卡定義IP地址，DNS服務(wù)器首選DNS指向本機(jī)，將服務(wù)器命名為server，添加后綴為xtep.com。將計(jì)算機(jī)重新啟動(dòng)以便配置生效。</p>

46、<p>　　(2)打開(kāi)控制面板添加/刪除程序，添加WINDOWS組件，選擇網(wǎng)絡(luò)服務(wù)下的DNS服務(wù)。添加成功后，我們?cè)邳c(diǎn)擊“開(kāi)始”后，管理工具中就有相應(yīng)DNS控制臺(tái)了。</p><p>　　(3)創(chuàng)建DNS正向查找區(qū)域，創(chuàng)建主要區(qū)域，創(chuàng)建成功后可以解析本企業(yè)xtep域中的server機(jī)的ip地址進(jìn)行測(cè)試。</p><p>　　3.1.2 配置AD</p><p&

47、gt;　　點(diǎn)擊“開(kāi)始”/“運(yùn)行”/輸入“dcpromo”命令啟動(dòng)Active Directory配置向?qū)?。配置AD的步驟如下：</p><p><b>　　（1）建立域控制器</b></p><p>　?。?）選擇在新域中建立域控制器</p><p>　?。?）輸入DNS域名</p><p>　　（4）安裝活動(dòng)目錄數(shù)據(jù)庫(kù)

48、</p><p>　?。?）選擇SYSVOL目錄的安裝位置</p><p>　?。?）手動(dòng)安裝DNS服務(wù)器</p><p>　　（7）使用與windows2000以后系統(tǒng)相容</p><p><b>　?。?）安裝完成。</b></p><p>　　到此，第一個(gè)windows域已經(jīng)建立！</

49、p><p>　　配置AD安裝過(guò)程中注意DNS注冊(cè)診斷報(bào)告，AD配置好后檢查srv記錄。</p><p>　　打開(kāi)DNS正向查找區(qū)域，選擇新建的域?qū)傩灾信渲肁D與DNS server集成。</p><p>　　3.1.3 創(chuàng)建組織單位、組、用戶</p><p>　　創(chuàng)建組織單位(OU)、組和用戶，用戶可以隸屬于任何一個(gè)組織單位或組，對(duì)一個(gè)組織單位施

50、行組策略，那該組策略對(duì)該組織單位下的每一個(gè)組和用戶都適用。組策略的控制大多是針對(duì)組織單位進(jìn)行控制的。這樣才方便管理員的集中管理。</p><p>　　創(chuàng)建OU、組、用戶步驟如下：</p><p>　　依次點(diǎn)擊，開(kāi)始--程序--管理工具--Active Directory用戶和計(jì)算機(jī)。</p><p>　　新建組織單位sales，用戶aaa、bbb、ccc，組stud

51、ents。</p><p>　　3.1.4 搭建組策略控制臺(tái)</p><p>　　搭建控制臺(tái)之前，先要為組織單位sales添加默認(rèn)組策略。</p><p>　　依次點(diǎn)擊“開(kāi)始”/“運(yùn)行”/輸入“mmc.exe”，依次選擇“文件”—“添加”—“刪除管理單元(M)”----“添加”--“組策略對(duì)象編輯器”--“瀏覽”--“域/OUs下的sales.xtep.com”--

52、“選擇默認(rèn)的組策略”--完成。</p><p>　　對(duì)用戶的集中控制和管理，都是通過(guò)對(duì)默認(rèn)的組策略進(jìn)行編輯、更改來(lái)實(shí)現(xiàn)的。搭建控制臺(tái)的目的，就是省去了在管理工具中打開(kāi)AD域，選擇域，選擇組策略這些繁瑣步驟。從而打開(kāi)控制臺(tái)，直接就可以編輯需要編輯的組策略。</p><p>　　新搭建的組策略控制臺(tái)如下圖所示。</p><p><b>　　3.2 本章小結(jié)&l

53、t;/b></p><p>　　為了方便對(duì)用戶的管理，和對(duì)組策略的編輯、更改，我做了前期準(zhǔn)備工作。</p><p>　　(1)創(chuàng)建DNS服務(wù)器，建立了域環(huán)境并搭建了AD平臺(tái)。</p><p>　　(2)將AD與DNS集成，并在AD上創(chuàng)建了組織單位、組和用戶。</p><p>　　(3)搭建了組策略控制臺(tái)。</p><

54、p>　　組策略的應(yīng)用在企業(yè)中都是基于AD的，組策略的設(shè)置和管理也都是在AD上進(jìn)行的。到此所有前期準(zhǔn)備工作都已經(jīng)完成。</p><p>　　4 企業(yè)網(wǎng)絡(luò)中組策略的應(yīng)用</p><p>　　4.1 利用組策略管理用戶環(huán)境</p><p>　　管理用戶環(huán)境－控制用戶在登錄網(wǎng)絡(luò)時(shí)有哪些權(quán)力?？梢酝ㄟ^(guò)控制用戶的桌面、網(wǎng)絡(luò)連接和用戶界面來(lái)控制用戶權(quán)力。</p>

55、<p>　　用戶環(huán)境－為用戶或計(jì)算機(jī)設(shè)置的。</p><p>　　4.2 組策略設(shè)置的結(jié)構(gòu)</p><p>　　專業(yè)名稱表(Subject)的設(shè)計(jì)</p><p>　　組策略的設(shè)置總體分為：計(jì)算機(jī)配置和用戶配置</p><p>　　計(jì)算機(jī)配置和用戶配置下面又有三個(gè)子層：</p><p>　　(1)軟件設(shè)置

56、－統(tǒng)一管理所有軟件，Windows設(shè)置</p><p>　　(2)計(jì)算機(jī)配置：腳本、安全設(shè)置</p><p>　　用戶配置：IE維護(hù)、腳本、安全設(shè)置、遠(yuǎn)程安裝服務(wù)、文件夾重定向</p><p>　　(3)管理模板－解決用戶環(huán)境的問(wèn)題</p><p>　　計(jì)算機(jī)配置：Windows組件、系統(tǒng)、網(wǎng)絡(luò)、打印機(jī)</p><p>

57、;　　用戶配置：Windows組件、系統(tǒng)、網(wǎng)絡(luò)、桌面、控制面板、任務(wù)欄和開(kāi)始菜單</p><p>　　4.2.1 計(jì)算機(jī)配置中的Windows配置</p><p><b>　　1.添加腳本</b></p><p>　　組策略腳本設(shè)置的功能是可以集中配置腳本，在計(jì)算機(jī)啟動(dòng)或關(guān)閉時(shí)，自動(dòng)運(yùn)行。指定在Windows 2003上運(yùn)行任何腳本，包括批處理

58、文件、可執(zhí)行程序等。如果同時(shí)添加多個(gè)腳本，則Windows 2003按照從上到下的順序執(zhí)行；如果多個(gè)腳本之間有沖突，則最后處理的腳本有效。配置步驟如下：</p><p>　　打開(kāi)組策略控制臺(tái)－選中需要編輯的組策略－單擊“編輯”</p><p>　　計(jì)算機(jī)配置－Windows設(shè)置－腳本－右擊“啟動(dòng)”－單擊“添加”</p><p>　　單擊“瀏覽”，選定要運(yùn)行的腳本或可

59、執(zhí)行文件</p><p>　　2.計(jì)算機(jī)中的安全設(shè)置</p><p>　　安全設(shè)置包括：帳號(hào)策略、本地策略、事件日志、無(wú)限制的組、系統(tǒng)服 務(wù)、注冊(cè)表、文件系統(tǒng)、公鑰策略、IP安全策略。配置步驟如下：</p><p>　　打開(kāi)組策略控制臺(tái)－選中需要編輯的組策略－單擊“編輯”</p><p>　　計(jì)算機(jī)配置－Windows設(shè)置－安全設(shè)置－

60、右擊“登錄屏幕不要顯示上次登錄的用戶名”</p><p>　　選擇“安全性”－選中“定義這個(gè)策略設(shè)置”和“已啟用”</p><p>　　4.2.2 計(jì)算機(jī)配置中的管理模板</p><p>　　(1)計(jì)算機(jī)配置中的管理模板－控制計(jì)算機(jī)桌面的外觀和行為</p><p>　　管理模板包括：Windows組件、系統(tǒng)、網(wǎng)絡(luò)。Windows組件中規(guī)定了一

61、些操作系統(tǒng)自帶的組件，如：IE、Netmeeting、 若任務(wù)計(jì)劃等。</p><p>　　(2)設(shè)置Windows組件。步驟如下：</p><p>　　控制面板－任務(wù)計(jì)劃－添加一個(gè)任務(wù)計(jì)劃</p><p>　　打開(kāi)組策略控制臺(tái)－選中需要編輯的組策略－單擊“編輯”</p><p>　　計(jì)算機(jī)配置－管理模板－Windows組件－選中“任務(wù)計(jì)劃程

62、序”項(xiàng)</p><p>　　右擊“禁用‘創(chuàng)建新任務(wù)’”－選擇“屬性”－在“策略”選項(xiàng)卡中選中“啟用”</p><p>　　管理模板是基于注冊(cè)表的策略。在計(jì)算機(jī)和用戶配置中都可以設(shè)置管理模板的內(nèi)容。管理模板是組策略中可以使用的對(duì)系統(tǒng)進(jìn)行管理最靈活的一種手段。</p><p>　　4.2.3 網(wǎng)絡(luò)子樹(shù)</p><p>　　網(wǎng)絡(luò)子樹(shù)包括：脫機(jī)文件（

63、處理與脫機(jī)文件夾有關(guān)的事項(xiàng)）；網(wǎng)絡(luò)及撥號(hào)連接</p><p>　　禁用網(wǎng)絡(luò)連接共享。配置步驟如下：</p><p>　　新建一個(gè)撥號(hào)連接，設(shè)置共享</p><p>　　打開(kāi)組策略控制臺(tái)－選中需要編輯的組策略－單擊“編輯”</p><p>　　計(jì)算機(jī)配置－管理模板－網(wǎng)絡(luò)－網(wǎng)絡(luò)及撥號(hào)連接</p><p>　　右擊“允許連接

64、共享”－選中“禁用”</p><p>　　4.2.4 用戶配置中的Windows配置</p><p>　　Windows配置中包括：IE維護(hù)、腳本、安全設(shè)置、遠(yuǎn)程安裝服務(wù)、文件夾重定向</p><p>　　（1）用用戶策略中的IE維護(hù)為用戶指定默認(rèn)主頁(yè)。步驟如下：</p><p>　　打開(kāi)組策略控制臺(tái)－選中需要編輯的組策略－單擊“編輯”<

65、;/p><p>　　用戶配置－Windows設(shè)置－IE維護(hù)－URL</p><p>　　右擊“重要URL”－選擇“屬性”－選中“自定義主頁(yè)URL”－輸入網(wǎng)址</p><p>　　4.2.5 文件夾重定向</p><p>　　重定向文件夾。步驟如下：</p><p>　　用戶配置－Windows設(shè)置－文件夾重定向－右擊“My

66、 Document”子樹(shù)－選擇“屬性”</p><p>　　在“目標(biāo)”選項(xiàng)卡中，選擇“基本”，來(lái)為每個(gè)用戶在服務(wù)器上建立一個(gè)個(gè)人文件夾，文件夾名即用戶名</p><p>　　在目標(biāo)文件夾的位置輸入路徑：\\服務(wù)器名\共享文件夾名\％用戶名％</p><p>　　在“設(shè)置”選項(xiàng)卡中設(shè)置：只有用戶和系統(tǒng)能夠訪問(wèn)該文件夾</p><p>　　文件夾

67、重定向的功能：將用戶常用的文件夾重定向到網(wǎng)絡(luò)中的某臺(tái)服務(wù)器的共享文件夾中。對(duì)用戶最終的效果是：無(wú)論用戶在那一臺(tái)計(jì)算機(jī)上打開(kāi)它自己的這些文件夾，看到的都是相同的內(nèi)容。需要注意的是，文件夾重定向只是重定向用戶自己創(chuàng)建的數(shù)據(jù)文檔，而不會(huì)把系統(tǒng)數(shù)據(jù)重定向到網(wǎng)絡(luò)服務(wù)器上。</p><p>　　4.2.6 用戶配置中的管理模板－控制用戶環(huán)境</p><p>　　用戶配置的管理模板包含：Windows組

68、件、任務(wù)欄和開(kāi)始菜單、桌面、控制面板、網(wǎng)絡(luò)、系統(tǒng)。</p><p>　　資源管理器中的策略（使資源管理器中的文件夾選項(xiàng)消失）</p><p>　　打開(kāi)組策略控制臺(tái)－選中需要編輯的組策略－單擊“編輯”</p><p>　　用戶配置－管理面板－Windows組件－Windows資源管理器</p><p>　　右擊“從‘工具’菜單中刪除‘文件夾選項(xiàng)

69、’菜單”，選擇“啟用”任務(wù)欄和開(kāi)始菜單－控制任務(wù)欄和開(kāi)始菜單中的各種環(huán)境</p><p>　　4.3 使用組策略管理軟件</p><p>　　管理和維護(hù)軟件可能使大多數(shù)管理員都要面對(duì)的，客戶經(jīng)常會(huì)問(wèn)管理員他使用的軟件為什么不能使用了、新軟件如何安裝。怎么進(jìn)行軟件升級(jí)等。利用Windows server2003的軟件分發(fā)功能可以很輕松的實(shí)現(xiàn)這些需求，這位我們的管理工作帶來(lái)了極大的方便。軟件分

70、發(fā)是指通過(guò)組策略讓用戶或計(jì)算機(jī)自動(dòng)進(jìn)行軟件的安裝、更新或卸載。</p><p>　　在Windows server2003中，可以通過(guò)使用一個(gè)站點(diǎn)、域、組織單元內(nèi)的用戶和計(jì)算機(jī)的組策略設(shè)置，來(lái)為這個(gè)站點(diǎn)、域、組織單元的用戶和計(jì)算機(jī)自動(dòng)安裝、升級(jí)或刪除軟件。</p><p>　　4.3.1 軟件布置（安裝和維護(hù)）的步驟</p><p><b>　　(1)準(zhǔn)備

71、階段</b></p><p>　　準(zhǔn)備一個(gè)文件，以便一個(gè)應(yīng)用程序能用組策略布置。為完成這個(gè)，應(yīng)將用于應(yīng)用程序的Windows安裝程序包文件（*.msi *.zap）復(fù)制到一個(gè)軟件分布點(diǎn)，它可能是一個(gè)共享文件夾或服務(wù)器。</p><p><b>　　(2)布置階段</b></p><p>　　管理員創(chuàng)建一個(gè)在計(jì)算機(jī)上安裝軟件并將GPO

72、鏈接到相應(yīng)的活動(dòng)類別容器內(nèi)的組策略對(duì)象（GPO）。實(shí)際上，軟件是在計(jì)算機(jī)啟動(dòng)或用戶激活應(yīng)用程序時(shí)安裝。</p><p><b>　　(3)維護(hù)階段</b></p><p>　　用新版本的軟件升級(jí)軟件或用一個(gè)補(bǔ)丁包來(lái)重新布置軟件。當(dāng)計(jì)算機(jī)啟動(dòng)時(shí)或用戶激活應(yīng)用程序時(shí)將自動(dòng)升級(jí)或重新布置軟件。</p><p><b>　　(4)刪除階段&l

73、t;/b></p><p>　　為刪除不再使用的軟件，從開(kāi)始布置軟件的GPO中刪除軟件包設(shè)置。當(dāng)計(jì)算機(jī)啟動(dòng)或用戶登錄時(shí)軟件將被自動(dòng)刪除。</p><p>　　4.3.2 發(fā)布和分配軟件</p><p>　　用組策略統(tǒng)一給客戶端安裝軟件，有兩種形式：發(fā)布、分配（指派）發(fā)布和分配軟件，所有發(fā)布的軟件都需要用控制面板中的“添加/刪除程序”工具來(lái)安裝；也可以通過(guò)文檔激

74、活自動(dòng)安裝。只能將軟件發(fā)布給用戶，而不給計(jì)算機(jī)。</p><p>　　分配軟件可以將軟件分配用戶和計(jì)算機(jī)。通過(guò)分配軟件，可以確保：</p><p>　　(1)軟件對(duì)用戶總是可用的?？梢圆捎梦臋n激活方法安裝，如使用Word、Excel等應(yīng)用程序的用戶。</p><p>　　(2)軟件是有彈性的。如果缺少某些文件，當(dāng)用戶下次登錄并激活應(yīng)用程序時(shí)，將重新安裝。</p

75、><p>　　(3)當(dāng)給用戶分配軟件時(shí)，軟件將出現(xiàn)在用戶的桌面上，但是在用戶雙擊其圖標(biāo)或打開(kāi)與應(yīng)用程序關(guān)聯(lián)的文件之前，安裝不會(huì)開(kāi)始。</p><p>　　(4)當(dāng)給計(jì)算機(jī)分配軟件時(shí)，在計(jì)算機(jī)啟動(dòng)時(shí)，軟件將被自動(dòng)安裝。</p><p>　　注：如果計(jì)算機(jī)是一個(gè)域控制器，分配軟件給計(jì)算機(jī)將不起作用。</p><p>　　4.3.3 用組策略布置軟件包

76、</p><p>　　用組策略布置軟件包（以用戶配置中的軟件設(shè)置為例）。步驟如下：</p><p>　　打開(kāi)組策略控制臺(tái)－選中需要編輯的組策略－單擊“編輯”</p><p>　　用戶配置－軟件設(shè)置－右擊“軟件安裝”－選擇“新建”－單擊“程序包”</p><p>　　選擇安裝程序包（*.msi *.zap）－單擊“打開(kāi)”</p>

77、<p>　　選擇布置方法為“已發(fā)行”</p><p>　　再選擇另一個(gè)安裝程序包，選擇布置方法為“已指派”</p><p>　　在域中另一臺(tái)計(jì)算機(jī)上登錄，控制面板－添加/刪除程序－添加新程序</p><p>　　注：該安裝程序包所在目錄必須是共享的，客戶機(jī)一定要指向DNS。</p><p>　　4.3.4 刪除布置的軟件</

78、p><p><b>　　卸載已布置的軟件</b></p><p>　　打開(kāi)組策略控制臺(tái)－選中需要編輯的組策略－單擊“編輯”</p><p>　　用戶設(shè)置－軟件設(shè)置－軟件安裝－右擊要?jiǎng)h除的軟件－選擇“刪除”</p><p>　　客戶注銷帳戶或重啟計(jì)算機(jī)后，軟件即被刪除</p><p>　　4.4 應(yīng)用組

79、策略對(duì)娛樂(lè)及公共機(jī)房管理</p><p>　　1.阻止運(yùn)行與工作無(wú)關(guān)的程序 </p><p><b>　　配置步驟如下：</b></p><p>　　打開(kāi)域?qū)傩缘摹敖M策略”選項(xiàng)卡 </p><p>　　禁用注冊(cè)表編輯器：打開(kāi)組策略，選擇“用戶配置”里的“系統(tǒng)”，然后在右邊的分割框里有一項(xiàng)“阻止訪問(wèn)注冊(cè)表編輯器工具”，雙

80、擊打開(kāi)，在跳出屬性對(duì)話框里選擇“已啟用”。這樣可以防止員工在注冊(cè)表里更改下面的設(shè)置。</p><p>　　設(shè)置可運(yùn)行程序：在右邊對(duì)話框里找到“只運(yùn)行許可的Windows應(yīng)用程序”。雙擊打開(kāi)屬性對(duì)話框，選擇“已啟用”，這時(shí)單擊下邊的“顯示”，會(huì)跳出顯示內(nèi)容對(duì)話框，單擊“添加”，在跳出添加項(xiàng)目對(duì)話框中就可以輸入想要運(yùn)行的程序，在添加程序時(shí)不要遺漏，這時(shí)要注意所添加的程序一定要完整。如QQ程序，要添加QQ.exe才能運(yùn)

81、行。</p><p>　　完成以上設(shè)置后，為了防止職員在控制面板刪除軟件，可以禁止訪問(wèn)控制面板，其方法是：選擇“用戶配置”下的“管理模板”，選擇“控制面板”，在右邊對(duì)話框中雙擊“禁止訪問(wèn)控制面板”，在跳出屬性對(duì)話框中選擇“已啟用”，然后選擇“確定”。</p><p>　　注冊(cè)表是Windows系統(tǒng)中保存系統(tǒng)、應(yīng)用軟件配置的數(shù)據(jù)庫(kù)，組策略則將系統(tǒng)重要的配置功能匯集成各種配置模塊，供管理人員直

82、接使用，從而達(dá)到方便管理計(jì)算機(jī)的目的。組策略是注冊(cè)表的一個(gè)縮影，所以在進(jìn)行組策略設(shè)置時(shí)還要把禁止職員訪問(wèn)注冊(cè)表。主要思想是在組策略里設(shè)置一些Windows可用的運(yùn)行項(xiàng)目，以阻止員工運(yùn)行一些與工作無(wú)關(guān)的程序</p><p>　　2.完全禁止使用U盤</p><p><b>　　配置步驟如下：</b></p><p>　　打開(kāi)域?qū)傩缘摹敖M策略”選項(xiàng)

83、卡。</p><p>　　在組策略對(duì)象編輯器窗格左側(cè)的樹(shù)形圖中依次展開(kāi)“計(jì)算機(jī)配置→管理模板→系統(tǒng)→可移動(dòng)存儲(chǔ)訪問(wèn)”，在右側(cè)窗格中雙擊“所有可移動(dòng)存儲(chǔ)類：拒絕所有權(quán)限”，打開(kāi)目標(biāo)策略屬性設(shè)置對(duì)話框 。打開(kāi)“所有可移動(dòng)存儲(chǔ)類：拒絕所有權(quán)限”</p><p>　　注：在“所有可移動(dòng)存儲(chǔ)類：拒絕所有權(quán)限”屬性對(duì)話框中勾選“已啟用”，按“確定”按鈕就可以完全禁止USB存儲(chǔ)類設(shè)備了。</p&g

84、t;<p>　　現(xiàn)在U盤已經(jīng)相當(dāng)普及，電腦里面的資料很容易被復(fù)制，這對(duì)電腦中的資料無(wú)疑是一種威脅。如果您的電腦中有一些重要的資料，那就要小心了。難道要把USB端口給拆下來(lái)嗎？當(dāng)然不是。其實(shí)運(yùn)用Windows 系統(tǒng)本身的禁止使用USB設(shè)備的功能，就能徹底解決這一問(wèn)題。</p><p>　　3.禁止光盤自動(dòng)播放</p><p><b>　　配置步驟如下：</b&g

85、t;</p><p>　　打開(kāi)域?qū)傩缘摹敖M策略”選項(xiàng)卡</p><p>　　在組策略對(duì)象編輯器窗格左側(cè)的樹(shù)形圖中依次展開(kāi)“用戶配置→管理模板→windows組件→自動(dòng)播放策略”，在右側(cè)窗格中雙擊“關(guān)閉自動(dòng)播放”，打開(kāi)目標(biāo)策略屬性設(shè)置對(duì)話框。雙擊“關(guān)閉自動(dòng)播放”</p><p>　　在“關(guān)閉自動(dòng)播放”屬性對(duì)話框中勾選“已啟用”，在“關(guān)閉自動(dòng)播放”框中選擇“CD-ROM

86、啟動(dòng)器”或“所有驅(qū)動(dòng)器”項(xiàng)按“確定”即可，“關(guān)閉自動(dòng)播放”對(duì)話框</p><p>　　注意：插入光盤時(shí)按住shift鍵可禁止光盤自動(dòng)播放。這種方式最好能成為使用陌生光盤時(shí)的一種操作習(xí)慣。此設(shè)置不阻止自動(dòng)播放音樂(lè)CD。</p><p>　　光盤自動(dòng)播放雖然能給您帶來(lái)了許多便利，但有些時(shí)候也會(huì)帶來(lái)不少麻煩。默認(rèn)狀態(tài)下，當(dāng)您將光盤插入光驅(qū)時(shí)，系統(tǒng)就會(huì)自動(dòng)讀取光驅(qū)，并啟動(dòng)autorun.inf指定

87、的應(yīng)用程序。這一默認(rèn)狀態(tài)對(duì)系統(tǒng)來(lái)說(shuō)是極不安全的，說(shuō)不定自動(dòng)運(yùn)行的是一個(gè)木馬程序。有時(shí)插入光盤僅僅是想查看一下光盤中的內(nèi)容，自動(dòng)播放功能會(huì)使您這一簡(jiǎn)單想法的實(shí)現(xiàn)變得復(fù)雜。關(guān)閉光盤自動(dòng)播放實(shí)屬明智之舉。用組策略可以關(guān)閉光盤自動(dòng)播放功能。</p><p>　　4.禁止安裝移動(dòng)設(shè)備</p><p><b>　　配置步驟如下：</b></p><p>　

88、　打開(kāi)組策略對(duì)象編輯器。</p><p>　　在組策略對(duì)象編輯器窗格左側(cè)的樹(shù)形圖中依次展開(kāi)“計(jì)算機(jī)配置→管理模塊→系統(tǒng)→設(shè)備安裝→設(shè)備安裝限制”，在右側(cè)窗格中雙擊“禁止安裝可移動(dòng)設(shè)備”，打開(kāi)目標(biāo)策略屬性設(shè)置對(duì)話框。雙擊“禁止安裝可移動(dòng)設(shè)備” </p><p>　　在屬性對(duì)話框中勾選“已啟用”并按“確定”。如果啟用了此設(shè)置，則不會(huì)安裝可移動(dòng)設(shè)備，而且無(wú)法更新現(xiàn)有可移動(dòng)設(shè)備的驅(qū)動(dòng)程序。如果未配

89、置或禁用了此設(shè)置，那么，只要其他策略設(shè)置允許安裝設(shè)備，就可以安裝可移動(dòng)設(shè)備和更新現(xiàn)有的可移動(dòng)設(shè)備。</p><p>　　此策略設(shè)置比允許安裝設(shè)備的任何其他策略設(shè)置的優(yōu)先級(jí)都高。如果此策略設(shè)置禁止安裝某個(gè)設(shè)備，那么，即使該設(shè)備與允許安裝它的其他策略設(shè)置相匹配，也將無(wú)法安裝或更新該設(shè)備。</p><p>　　對(duì)于此策略，當(dāng)設(shè)備所連接到的設(shè)備驅(qū)動(dòng)程序該設(shè)備可移動(dòng)時(shí)，設(shè)備被認(rèn)為是可移動(dòng)設(shè)備。例如，

90、設(shè)備連接到的 USB 集線器的驅(qū)動(dòng)程序報(bào)告某個(gè)通用串行總線(USB)設(shè)備是可移動(dòng)設(shè)備。</p><p>　　如果此計(jì)算機(jī)是一臺(tái)終端服務(wù)器，則啟用此策略還會(huì)影響指定的設(shè)備從終端服務(wù)客戶端重定向到此計(jì)算機(jī)。禁止安裝可移動(dòng)設(shè)備對(duì)提高系統(tǒng)安裝性能非常有效，使用此設(shè)置可防止可移動(dòng)設(shè)備如Ｕ盤的使用。</p><p><b>　　結(jié)論</b></p><p>

91、;　　如果想充分發(fā)揮GPO的功能，還是需要AD的支持。域環(huán)境下，在AD中部署的策略就相當(dāng)于整個(gè)域中至高無(wú)上的法則，善用域策略將幫我們解決很多問(wèn)題。GPO的優(yōu)點(diǎn)是可以讓用戶靈活地控制系統(tǒng)環(huán)境，但伴隨著靈活性而來(lái)的是復(fù)雜性。如果能夠正確、靈活地運(yùn)用GPO，就能使系統(tǒng)發(fā)揮出更加強(qiáng)大的功能。</p><p>　　本文完成的主要工作包括以下幾個(gè)方面：</p><p>　　(1)活動(dòng)目錄（Active

92、 Directory，AD）和組策略（Group Policy，GPO）。認(rèn)識(shí)AD活動(dòng)目錄為用戶管理網(wǎng)絡(luò)環(huán)境各個(gè)組成要素的標(biāo)識(shí)和關(guān)系提供了一種有力的手段。了解組策略可以讓用戶靈活地控制系統(tǒng)環(huán)境。</p><p>　　(2)搭建AD平臺(tái)、OU控制臺(tái)，為各個(gè)組用戶、計(jì)算機(jī)分配組策略。</p><p>　　(3)組策略所有應(yīng)用，都是基于AD域架構(gòu)的支持的，體現(xiàn)出GPO與AD集成后，對(duì)整個(gè)域下的組

93、、用戶、計(jì)算機(jī)的控制能力</p><p>　　(4)企業(yè)網(wǎng)絡(luò)中組策略的具體應(yīng)用及作用。</p><p>　　通過(guò)組策略技術(shù)的應(yīng)用，防止病毒通過(guò)移動(dòng)設(shè)備傳播，來(lái)實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)的安全。通過(guò)對(duì)機(jī)房及域中每一臺(tái)電腦的控制，禁止員工用電腦做與工作無(wú)關(guān)的娛樂(lè)項(xiàng)目，提高員工工作效率。對(duì)域中電腦集中發(fā)布、刪除軟件，加強(qiáng)公司電腦整體環(huán)境的管理。有了組策略，管理員的工作更加效率，掌握了組策略技術(shù)，管理員的工作得

94、心應(yīng)手。</p><p><b>　　參考文獻(xiàn)</b></p><p>　　顏逸品.windows 2000 server企業(yè)網(wǎng)絡(luò)建構(gòu)實(shí)務(wù)——組策略與安全規(guī)劃篇.中國(guó)鐵道出版社.2001.03</p><p>　　王淑江.劉曉輝(著) .windows 2000/xp/2003 組策略實(shí)戰(zhàn)指南.人民郵電出版社.2006.07</p>

95、<p>　　張瑞雪.淺談學(xué)校計(jì)算機(jī)機(jī)房維護(hù).2004</p><p>　　李學(xué)軍,穆道生等(著).管理windows server 2003環(huán)境（cx.4593）.紅旗出版社 2005.02</p><p>　　明月創(chuàng)作室(著).局域網(wǎng)組建與維護(hù)diy(第2版).人民郵電出版社.2003.07</p><p>　　施光偉.Windows2OOOServ

96、er配置與管理.2001</p><p>　　barman,scott(著) .writing information security policies.macmillan technical pub.2005.07</p><p>　　戴有煒(著).windows server 2008 r2 active directory配置指南清華大學(xué)出版社.2011.01</p>

97、<p>　　(美)吉爾.斯皮爾曼;科特.亨德森(著) .mcse(exam 70.294)致勝經(jīng)典:microsoft windows server 2003 active directory設(shè)備計(jì)劃、執(zhí)行和管理(第二版)(英文影印版) 世界圖書(shū)出版公司.2008.06</p><p>　　price, brad/ price, john/ fenstermacher, scott(著) .maste

98、ring active directory for windows server 2003 r2.2005.07</p><p>　　朱青亮(著) . 組策略應(yīng)用技巧家庭電腦世界雜志社. 2004.06</p><p>　　劉曉輝;李利軍(著) . windows server 2008活動(dòng)目錄應(yīng)用實(shí)戰(zhàn)指南.清華大學(xué)出版社. 2010.01</p><p>　　韓立

99、剛 楊洪振(著) .計(jì)劃、實(shí)現(xiàn)和維護(hù)windows server 2003活動(dòng)目錄結(jié)構(gòu)（cx.4597）.紅旗出版社.2005.02</p><p>　　smartraining工作室 商宏圖 李紅巖等(著) .window server 2003活動(dòng)目錄</p><p>　　機(jī)械工業(yè)出版社*.2005.07</p><p>　　robert r.king(著).薛

100、菲 王曼珠等(譯).windows server 2003活動(dòng)目錄從入門到精通.電子工業(yè)出版社.2003.07</p><p>　　王達(dá);闞京茂(著) .金牌網(wǎng)管師（初級(jí)）.中小企業(yè)網(wǎng)絡(luò)組建、配置與管理.中國(guó)水利水電出版社.2009.10</p><p>　　胡存生;劉永剛(著).中小型計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)、維護(hù)與管理電子工業(yè)出版社.2009.01</p><p>　　j

101、eremy moskowitz(著) . windows 2000 group policy .wiley, john & sons, incorporated.2001.09</p><p>　　paul r. schulman(著) .large scale policy making.greenwood publishing group, inco.1981.06</p><p&

102、gt;　　郭鑫;崔紅霞;姜彬(著) .企業(yè)網(wǎng)絡(luò)安全致勝寶典 電子工業(yè)出版社.2007.10</p><p>　　鐘小平(著) .企業(yè)網(wǎng)絡(luò)安全實(shí)戰(zhàn)指南.人民郵電出版社.2009.01</p><p>　　周有丹,梁錦銳,易著梁(著) . 企業(yè)網(wǎng)絡(luò)組建與應(yīng)用科學(xué)出版社.2010.10</p><p><b>　　致謝</b></p>

103、<p>　　感謝***老師在本課題的開(kāi)發(fā)中一直給予指導(dǎo)和幫助，不斷的提供很多有益的設(shè)計(jì)思想和輔助材料，經(jīng)常幫助我解決出現(xiàn)的問(wèn)題。這對(duì)本課題的盡快完成起到了重要的作用。</p><p>　　感謝各位恩師和領(lǐng)導(dǎo)四年來(lái)對(duì)我的栽培！</p><p>　　感謝xx每一位老師，和學(xué)校的每一位教過(guò)我的老師，是他們一點(diǎn)一滴的教授，使我積累了足夠的知識(shí)，才得以完成本程序的設(shè)計(jì)。</p>