網(wǎng)絡(luò)操作系統(tǒng)第五章單元設(shè)計

1、單元設(shè)計管理組策略本次課標題：管理組策略授課班級上課時間周 月 日 第 節(jié)上課地點網(wǎng)絡(luò)系統(tǒng)機房 周 月 日 第 節(jié) 周 月 日 第 節(jié)網(wǎng)絡(luò)系統(tǒng)機房教學(xué)目的組策略是從Windows 2000開始有的一個新特點。組策略用來在用戶或計算機集合上強制設(shè)置一些配置，這在多臺計算機需要統(tǒng)一的工作界面時很有實用意義。組策略為管理員提供了進一步控制和集中管理用戶工作環(huán)境、實現(xiàn)軟件部署以及安全性管理。例如用戶的桌面環(huán)境、計算機啟動/關(guān)機所執(zhí)行的腳本文件、用戶登錄/注銷所執(zhí)行的腳本文件等。Windows Server 2003系統(tǒng)賦予組策略更新的功能和特性，通過組策略可以更容易管理網(wǎng)絡(luò)上的資源。教學(xué)目標能力（技能

2、）目標知識目標1掌握組策略的管理與配置方法；2掌握利用組策略管理資源與對象；3掌握域安全策略及域控制器安全策略的配置管理方法。1 了解組策略的組件、配置類型及功能類型；2 掌握本地組策略的編輯；3 掌握域組策略的創(chuàng)建和管理；4 掌握域安全策略及域控制器安全策略的配置管理方法。重點難點及解決方法重點：組策略的管理與配置方法，域安全策略及域控制器安全策略的配置管理方法。難點：組策略的管理與配置方法，域安全策略及域控制器安全策略的配置管理方法。解決辦法：通過案例學(xué)生自己動手作實驗配置和管理。參考資料主教材：自編講義Windows Server 2003配置管理與應(yīng)用參考書目：計算機網(wǎng)絡(luò)配置、管理與應(yīng)

3、用，吳怡主編，高等教育出版社出版社，第一版；參考書目：windows server 2003網(wǎng)絡(luò)管理實訓(xùn)教程，王隆杰、梁廣民、楊名川等 主編，清華大學(xué)出版社出版社，第一版；參考書目：windows server 2003，smartraining工作室 商宏圖李紅巖等主編，機械工業(yè)出版社出版社，第一版；課前準備：根據(jù)學(xué)生人數(shù)分組，每組兩臺機器。共10臺機器，操作系統(tǒng)都為Windows Server 2003。步驟1：對本章進行整體介紹（10分鐘）1先由教師對本章內(nèi)容進行簡單介紹。講解：組策略是從Windows 2000開始有的一個新特點。組策略用來在用戶或計算機集合上強制設(shè)置一些配置，這在多臺

4、計算機需要統(tǒng)一的工作界面時很有實用意義。組策略為管理員提供了進一步控制和集中管理用戶工作環(huán)境、實現(xiàn)軟件部署以及安全性管理。例如用戶的桌面環(huán)境、計算機啟動/關(guān)機所執(zhí)行的腳本文件、用戶登錄/注銷所執(zhí)行的腳本文件等。Windows Server 2003系統(tǒng)賦予組策略更新的功能和特性，通過組策略可以更容易管理網(wǎng)絡(luò)上的資源。組策略是一組配置設(shè)置，是組策略管理員應(yīng)用于活動目錄存儲中的一個或多個對象。利用它組策略管理員可以為用戶提供一個完全總裝的桌面環(huán)境。這個環(huán)境包括定制的【開始】菜單，自動安裝的應(yīng)用程序以及對文件、文件夾和Windows Server 2003系統(tǒng)設(shè)置的限制訪問。舉例：在企業(yè)中，如果公司

5、老總想讓所有員工的桌面保持一致，網(wǎng)絡(luò)管理員想一次性把所有員工的電腦上都安裝同一個軟件，所有員工的電腦上每天一起機就都執(zhí)行同一個腳本，打出一行字“歡迎來到某某企業(yè)，如果您的電腦出現(xiàn)問題，請打電話到某某某！”這些都可以用組策略來完成。 步驟2：組策略簡介（20分鐘）以問題引導(dǎo)和案例的方法教學(xué)1提問式引導(dǎo)：組策略的組件包括哪些？（大家思考，個別回答）講解：包括組策略對象、組策略容器和組策略模板。 2提問式引導(dǎo)：下面找同學(xué)分別說一說什么叫組策略對象、組策略容器和組策略模板？（大家思考，個別回答（每個題目找一個學(xué)生）講解：在學(xué)生回答的基礎(chǔ)上，進行補充講解，在機器上找到相對的位置，在講到組策略對象時，在機

6、器上演示組策略對象創(chuàng)建的位置（分本地組策略、域組策略、默認域安全策略和默認域控制器安全策略來講解）。1）組策略對象組策略對象（GPO，Group Policy Object）是組策略的載體，要想實現(xiàn)組策略管埋，必須創(chuàng)建組策略對象。在活動目錄中可以把組策略對象應(yīng)用于特定的目標，如站點、域和OU以實現(xiàn)組策略管理的目的。組策略對象的內(nèi)容存儲在GPC（組策略容器）和GPT（組策略模板）中。組策略只能在活動目錄中的站點、域和OU對象上設(shè)置策略。在對這些對象設(shè)置組策略時有以下特點：（1）一個GPO可以與多個站點、域和OU相鏈接，這樣當(dāng)需要對不同的對象執(zhí)行相同策略管理時可以減輕管理員的工作負擔(dān)。（2）每個站

7、點、域和OU也可以應(yīng)用多個GPO。2）組策略容器組策略容器（GPC，Group Policy Container）是包含GPO狀態(tài)和版本信息的活動目錄對象，存儲在活動目錄中。計算機使用GPC來定位組策略模板，而且域控制器可以通過訪問GPC來獲得GPO的版本信息。如果一臺域控制器沒有最新的GPO版本信息，那么就會引發(fā)為了獲得最新GPO版本信息的活動目錄復(fù)制。3）組策略模板組策略模板（GPT，Group Policy Template）存儲在域控制器上的SYSVOL共享文件夾中，用來提供所有的組策略設(shè)置和信息，包括管理模板、安全性、軟件安裝、腳本、文件夾重定向設(shè)置等。當(dāng)創(chuàng)建一個GPO時，Windo

8、ws Server 2003創(chuàng)建相應(yīng)的GPT?？蛻舳擞嬎銠C能夠接受組策略的配置就是因為它們和DC的SYSVOL文件夾鏈接，獲得并應(yīng)用這些設(shè)置。3組策略的配置類型及組策略的功能類型先由學(xué)生在本機上（或通過遠程訪問的方法）結(jié)合書上的圖5-1及文字講解來學(xué)習(xí)組策略的配置類型及組策略的功能類型有哪些，簡單作以了解。（學(xué)生做試驗，教師各別解決問題）找學(xué)生對組策略的配置類型及組策略的功能類型作總結(jié)說明。每個組策略的配置類型都包括兩部分內(nèi)容：計算機配置和用戶配置，如圖5-1所示的一個在域上的默認GPO。圖5-1 組策略編輯器窗口1）計算機的組策略配置在計算機的組策略配置中可以指定操作系統(tǒng)的行為、桌面行為、安

9、全性設(shè)置、計算機的啟動和關(guān)機命令、計算機賦予的應(yīng)用程序選項以及應(yīng)用程序設(shè)置。在計算機啟動時會應(yīng)用計算機的組策略設(shè)置。2）用戶的組策略配置在用戶的組策略配置中可以指定操作系統(tǒng)行為、桌面行為、安全性設(shè)置、賦予的和公布的應(yīng)用程序選項、應(yīng)用程序設(shè)置、文件夾的重定向選項以及用戶登錄和退出登錄的命令等。當(dāng)用戶登錄計算機時會應(yīng)用與該用戶相關(guān)的組策略設(shè)置。注意：當(dāng)同一個組策略的計算機配置和用戶配置發(fā)生沖突時，計算機的組策略配置優(yōu)先。步驟3：組策略對象的創(chuàng)建及管理。（40分鐘）這一章的內(nèi)容學(xué)生以前沒有任何接觸，不是很好掌握，所以以教師引導(dǎo)和案例的方法教學(xué)1教師引導(dǎo)：先由教師在教師機上演示域組策略的創(chuàng)建和簡單的管

10、理（大體介紹）再由學(xué)生自己在本組機上以【案例1】、【案例2】、【案例3】為例進行操作實踐，初步對域組策略進行了解。學(xué)生對案例的操作一般不會很成功。教師總結(jié)：在教師機上對學(xué)生操作不是很好的案例作操作演示，一定讓學(xué)生看出最后的效果。步驟4：組策略的應(yīng)用（90分鐘）以教師引導(dǎo)和案例的方法教學(xué)1 管理軟件設(shè)置使用組策略可以集中管理軟件分發(fā)，可以為一組用戶或計算機指派或發(fā)布軟件。提問式引導(dǎo)：指派軟件和發(fā)布軟件都有哪些區(qū)別？（大家思考，個別回答）講解：指派軟件：1）這樣當(dāng)用戶登錄時，軟件會被通告指派給了用戶，但是軟件并沒有真正安裝在該計算機上，而只是安裝了與軟件有關(guān)的部分信息，當(dāng)用戶運行軟件的快捷方式或者

11、雙擊該軟件的文檔時，該軟件才會被自動安裝。2）軟件指派應(yīng)用程序既可以用于計算機配置，也可用于用戶配置。3）指派的應(yīng)用程序用戶無法刪除發(fā)布軟件：1）和指派軟件不同，發(fā)布一個軟件時計算機并無該軟件的快捷方式，用戶需要用【控制面板】|【添加或者刪除應(yīng)用程序】選項來安裝軟件。2）發(fā)布應(yīng)用程序只用于用戶配置，在組策略中發(fā)布的程序是否被用戶安裝，取決于用戶。3）應(yīng)用程序出現(xiàn)在用戶的控制面板的【添加/刪除程序】的安裝組件列表中，用戶可以卸載這些應(yīng)用程序通過案例4給學(xué)生演示操作，然后由學(xué)生來自己操作演示（最好給學(xué)生提供一些小的軟件包讓他們演示看出效果）。2 配置桌面為使組策略的配置效果更明顯，對桌面的配置我們

12、采用配置“本地計算機”組策略的方法。教師引導(dǎo)：先由教師對案例進行解釋和必要引導(dǎo)工作（設(shè)置開始菜單、設(shè)置最近打開文檔記錄、設(shè)置系統(tǒng)關(guān)機）再由學(xué)生在本機上（或通過遠程訪問的方法）結(jié)合書上的案例進行操作（學(xué)生做試驗，教師各別解決問題）找學(xué)生演示操作的方法和過程，重點操作后強調(diào)讓學(xué)生看效果。給學(xué)生一段時間看看還能不能對其他的策略進行設(shè)置，看效果，鼓勵學(xué)生動手操作。3使用腳本教師引導(dǎo)：對腳本的設(shè)置進行演示（有一個腳本的例子最好）讓學(xué)生演示看效果。4文件夾重定向教師引導(dǎo)，先由學(xué)生在本機上（或通過遠程訪問的方法）結(jié)合書上的案例8進行操作。（學(xué)生做試驗，教師各別解決問題）找同學(xué)演示（教師作輔助工作，讓學(xué)生看效

13、果）5安全設(shè)置先由教師對安全設(shè)置部分進行講解，演示。再由學(xué)生在本組機上演示操作。（學(xué)生做試驗，教師各別解決問題）6安全模板先由教師對安全模板部分進行講解，演示。再由學(xué)生在本組機上演示操作。（學(xué)生做試驗，教師各別解決問題）【案例5】設(shè)置“本地計算機”組策略。具體操作步驟如下：（1）在【開始】|【運行】對話框中輸入gpedit.msc命令，彈出【組策略編輯器】窗口，對“本地計算機”策略進行設(shè)置，如圖5-12所示。圖5-12 “本地計算機”組策略編輯器管理窗口（2）選擇【用戶配置】|【管理模板】文件夾，在對應(yīng)的右邊子窗口中，雙擊【任務(wù)欄和開始菜單】子文件夾，如圖5-13所示。圖5-13 顯示【任務(wù)欄

14、和開始菜單】子文件夾對象（3）雙擊【阻止更改任務(wù)欄和開始菜單設(shè)置】選項，彈出【阻止更改任務(wù)欄和開始菜單設(shè)置】對話框，選擇【已啟用】單選按鈕，如圖5-14所示。（4）單擊【應(yīng)用】|【確定】按鈕?！鹃_始】菜單就不能被非法修改了。圖5-14 組策略設(shè)置對話框2設(shè)置最近打開文檔記錄出于某種安全的需要，例如不想讓人知道自己瀏覽過哪些網(wǎng)頁和打開過哪些文件，這時只要在右側(cè)窗格中雙擊【不要保留最近打開文檔的記錄】（如圖5-15所示），對其設(shè)置，選擇【已啟用】單選按鈕進行設(shè)置，然后仍然在圖5-15中選擇【退出時清除最近文檔的記錄】策略，對其進行同樣設(shè)置即可。圖5-15 組策略編輯器窗口3設(shè)置系統(tǒng)關(guān)機在關(guān)閉Win

15、dows Server 2003系統(tǒng)時，總會出現(xiàn)關(guān)機原因提示框（有利于網(wǎng)絡(luò)管理員查找服務(wù)器關(guān)機的原因），可以進行設(shè)置將提示框關(guān)閉。對關(guān)閉關(guān)機原因提示框進行如下設(shè)置：【案例6】設(shè)置系統(tǒng)關(guān)機策略。具體操作步驟如下：（1）選擇【開始】|【運行】命令，在打開的對話框中輸入gpedit.msc命令，彈出【組策略編輯器】窗口。（2）單擊【計算機配置】文件夾|【管理模板】文件夾|【系統(tǒng)】文件夾，如圖5-16所示。（3）雙擊【顯示“關(guān)閉事件跟蹤程序”】，在彈出的對話框中（如圖5-17），選擇【已禁用】單選按鈕，單擊【確定】按鈕。 圖5-16 【系統(tǒng)】文件夾中的對象顯示窗口 圖5-17 組策略設(shè)置窗口 步驟5：域安全策略及域控制器安全策略（10分鐘） 先由學(xué)生在本機上（或通過遠程訪問的方法）結(jié)合書上的案例操作。（學(xué)生做試驗，教師各別解決問題）教師整體對域安全策略及域控制器安全策略進行介紹和講解。重點舉兩個案例（一般不會出現(xiàn)太大問題）。步驟6：學(xué)生對