组策略在企业中的应用管理软件部署和审核毕业设计Word文档格式.docx
《组策略在企业中的应用管理软件部署和审核毕业设计Word文档格式.docx》由会员分享,可在线阅读,更多相关《组策略在企业中的应用管理软件部署和审核毕业设计Word文档格式.docx(24页珍藏版)》请在冰豆网上搜索。
WindowsServer2008组策略的应用指标(对用户桌面环境的设置、对网络和系统安全的设置、对网络应用和网络服务的设置等)。
三、主要工作内容:
本设计实现企业WindowsServer2008组策略的应用,主要内容是:
(1)了解Windows活动目录中组策略的基本结构;
(2)设计Windows组策略在企业中的应用架构;
(3)GPMC的安装与管理;
(4)利用组策略管理软件部署;
(5)利用组策略进行软件管理和资源访问审核。
要求:
制定切实可行的工作计划,发扬独立思考、勇于探索的精神,按照毕业设计任务书要求保质保量地完成毕业设计工作。
四、主要参考文献:
1.微软公司.WindowsServer2008活动目录服务的实现与管理.第1版.北京:
人民邮电出版社,2011.1-439
2.鞠光明.Windows服务器维护与管理教程与实训.第2版.北京:
北京大学出版社,2010.166-225
3.周有丹.企业网络组建与应用.第1版.北京:
科学出版社,2010.10613-633
4.钟小平.企业网络安全实战指南.第1版.北京:
人民邮电出版社,2009.01283-375
学生(签名)年月日
指导教师(签名)年月日
教研室主任(签名)年月日
系主任(签名)年月日
毕业设计(论文)开题报告
设计(论文)题目
组策略在企业中的应用(管理软件部署和审核)
一、选题的背景和意义:
背景:
随着Internet接入的普及和带宽的增加,一方面员工上网的条件得到改善,另一方面也给公司带来更高的网络使用危险性、复杂性和混乱,内部员工的不当操作等使信息维护人员疲于奔命。
针对以上这些因素,我们可以通过组策略来统一定义客户端机器的安全策略,规范,引导用户安全使用办公电脑。
意义:
组策略的作用就是用来给网络管理员授予更多的活动目录用户控制权。
拥有了组策略技术,实现对域中电脑集中管理应用软件,就不再为花资金和时间监督员工电脑,反反复复配置每台电脑中注册表,为每台电脑安装、卸载软件烦恼。
二、课题研究的主要内容:
三、主要研究(设计)方法论述:
(1)根据课题要求了解毕业设计方向及其主要内容;
(2)查阅有关WindowsServer2008组策略及其在企业中的应用相关资料;
(3)掌握组策略的设置,计算机配置和用户配置,使用组策略管理软件;
(4)总结查阅的组策略及其应用相关资料,并根据实际安装操作结果对设计方案做可行性分析,完成设计报告。
四、设计(论文)进度安排:
时间(迄止日期)
工作内容
2013.09.12~
2013.09.15
根据个人特长和兴趣爱好选择毕业设计课题
2013.09.17~
2013.09.22
师生共同制定相关指导措施、联系方法、课题具体要求等
2013.09.23~
2013.10.10
学生根据任务书要求撰写开题报告,并得到指导教师批准后方可进入课题的实施阶段
2013.10.11~
2013.10.15
查阅资料,进行企业组策略应用需求分析
2013.10.16~
2013.10.20
整理汇总收集的资料,开始进行应用架构设计,并分析存在问题和不足
2013.10.21~
2013.10.23
解决不足和问题,完善之前的设计
2013.10.24~
2013.10.27
根据需求分析进行企业组策略架构设计,撰写完成毕业设计初稿
2013.10.28~
2013.10.30
进行毕业设计的定稿阶段,根据指导教师的意见对最初的毕业设计进行修改,完善、定稿后上交电子稿与打印稿
2013.11.01~
2013.11.03
为毕业设计答辩进行准备
2013.11.04~
2013.11.08
进行毕业设计答辩和总结
五、指导教师意见:
指导教师签名:
年月日
六、系部意见:
系主任签名:
摘要
随着机网络技术的快速发展,现代化办公已经成为公司的首选,传统的管理与控制方式在速度、可靠性和安全性上已经很难满足公司的要求,集中控制管理成为企业的新宠。
同时,集中控制系统对企业还有重大的意义,它为企业提高工作效率提供了保证。
自它诞生以来,以其优越的特点,受到广大企业的好评。
本着学以致用的原则,本人将完成一些企业实用的策略,满足企业的要求。
这些策略具有完成简单,操作简单,功能强大的特点。
本论文就组策略的实现做了详细介绍,并对原理做了深入细致的讨论。
如利用组策略进行软件的统一部署,限制软件的安装及资源访问审核。
关键词:
集中管理控制;
组策略;
软件集中部署
groupstrategyintheenterpriseapplication(managementsoftwaredeploymentandaudit)
Abstract
Alongwiththerapiddevelopmentofcomputernetworktechnology,themodernofficehasbecomethecompany'
sfirstchoice,thetraditionalmanagementandcontrolmodeinspeed,reliabilityandsafetyhasbeendifficulttomeettherequirementofthecompany,centralizedcontrolmanagementtobecometheenterprisetobebestowedfavoronnewly.Meanwhile,centralizedcontrolsystemofenterpriseandofgreatsignificancefortheenterprise,itoffersguaranteetoimproveworkefficiency.Sinceitbirths
withitssuperiorcharacteristic,wellreceivedbytheenterprise'
spraise.Adheringtotheprincipleofstudying,Iwillfinishsomeenterprisepracticalstrategies,satisfyingtherequirements.Thesestrategieshavecomplete,easytooperate,asimple,powerfulfeatures.
Thisthesisistherealizationofthegroupstrategyisintroduced,andtheprincipleofthoroughdiscussion.SuchastheuseGroupPolicytodeploytheunifiedsoftwaretorestrictaccesstoresourcessoftwareinstallationandauditing.
Keywords:
Centralizedmanagementcontrol;
Thegrouppolicy;
Softwareconcentrateddeployment
第1章前言
中国互联网的高速发展,让人们在生活、工作等都有了极大的改变,在体验和享受互联网带来的方便及惬意时。
互联网里大量存在的一些不正当行为,如黑客攻击、计算机病毒、内部泄密、信息丢失、篡改、销毁、木马程序、等等,总是让我们感觉许多的无奈。
特别是中国的广大企业,在利用互联网更加快速、便捷地实现业务全球化的同时,来自外界的病毒、木马、黑客,以及内部员工在工作时间滥用网络资源,聊QQ、斗地主、农场偷菜、用光驱看电影等等运行与工作无关的程序,随便使用USB设备导致病毒肆意传播,也带到了电脑上。
为应对这种外忧内患的局面,反病毒、防火墙、入侵检测,在一定程度上排除了外忧。
而解内患的问题也迫不及待地被提上日程。
对于一些小型的企业来说,他们没有过多的时间监督每一位员工,没有过的时间查看每一台电脑,那么他们是如何解决这种现状的呢?
有一种技术,它可以帮助没有过多资金的企业适当地解决内部网络管理与内部员工的办公环境的安全,那就是“组策略”技术。
第2章活动目录概述
2.1活动目录简介
活动目录(ActiveDirectory)是面向WindowsStandardServer、WindowsEnterpriseServer以及WindowsDatacenterServer的目录服务。
(ActiveDirectory不能运行在WindowsWebServer上,但是可以通过它对运行WindowsWebServer的计算机进行管理。
)ActiveDirectory存储了有关网络对象的信息,并且让管理员和用户能够轻松地查找和使用这些信息。
ActiveDirectory使用了一种结构化的数据存储方式,并以此作为基础对目录信息进行合乎逻辑的分层组织。
MicrosoftActiveDirectory服务是Windows平台的核心组件,它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。
2.1.1活动目录功能
活动目录(ActiveDirectory)主要提供以下功能:
(1)基础网络服务:
包括DNS、WINS、DHCP、证书服务等。
服务器及客户端计算机管理:
管理服务器及客户端计算机账户,所有服务器及客户端计算机加入域管理并实施组策略。
(2)用户服务:
管理用户域账户、用户信息、企业通讯录(与电子邮件系统集成)、用户组管理、用户身份认证、用户授权管理等,按省实施组管理策略。
资源管理:
管理打印机、文件共享服务等网络资源。
(3)桌面配置:
系统管理员可以集中的配置各种桌面配置策略,如:
界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。
(4)应用系统支撑:
支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。
2.1.2活动目录的优点
与DNS集成活动目录使用域名系统(DNS)。
DNS是一种Internet标准服务,它将用户能够读取的计算机名称(例如mycomputer.)翻译成计算机能够读取的数字Internet协议(IP)地址(由英文句号分隔的四组数字)。
这样,在TCP/IP网络计算机上运行的进程即可相互识别并进行连接。
(1)灵活的查询。
用户和管理员如果要通过对象属性快速查找网络中的对象,可使用“开始”菜单中的“查找”命令、桌面上的“网上邻居”图标或者是ActiveDirectory用户和计算机管理单元。
例如,您可以按照一个用户帐户的姓名、电子邮件名、办公地点或其他属性查找该用户。
而且,使用全局编录优化了查找信息的操作。
(2)可扩展性。
ActiveDirectory是可扩展的;
也就是说,管理员既可以在架构中添加新的对象类别,也可在原有的对象类别中添加新属性。
架构包含每个对象类别的定义,以及能够存储于目录中的每个对象类别的属性。
例如,您可能会为User对象添加PurchaseAuthority属性,然后将每个用户的购买权限额保存为用户帐户的一部分。
(3)基于策略的管理。
组策略是在初始化时应用于计算机或用户的配置设置。
所有组策略设置都包含在应用于ActiveDirectory站点、域或部门的组策略对象(GPO)中。
GPO设置决定了对目录对象和域资源的访问权限、用户可使用的域资源(如应用程序),以及这些域资源针对其用途的配置方式。
(4)可伸缩性。
ActiveDirectory包括一个或多个域,每个域均有一个或多个域控制器,由此,您能够对目录进行自由扩展,从而满足所有网络的需求。
多个域可合并成一个域目录树,多个域目录树可合并成一个目录林。
在只有一个域的最简单的网络结构中,该域既是一个目录树,又是一个目录林。
(5)信息复制。
ActiveDirectory使用多主机复制,使您可以更新任何域控制器中的目录。
在一个域中部署多个域控制器还提供了容错能力和负载平衡功能。
因为这些域控制器包含同样的目录数据,所以,如果域内的一个域控制器速度变慢、停止或出现故障,同一域内的其他域控制器即可提供必要的目录访问功能。
(6)信息安全。
在Windows2008操作系统中,用户身份验证和访问控制的管理都与ActiveDirectory完全结合在一起,这是该系统的一项关键性安全功能。
ActiveDirectory将身份验证集中进行。
不仅可以定义对目录中每个对象的访问控制,还可定义对每个对象的每个属性的访问控制。
此外,ActiveDirectory还为安全策略提供了存储区和应用范围。
(7)互操作性。
由于ActiveDirectory以标准目录访问协议(例如轻型目录访问协议(LDAP))为基础,因此它能够与其他采用这些协议的目录服务进行交互操作。
有些应用程序编程接口(API)--例如ActiveDirectory服务接口(ADSI)--允许开发者访问这些协议。
2.2组策略概况
2.2.1组策略的功能
“组策略”其实与“组”并没有关系,它是一组策略的集合。
组策略加强了管理员通过活动目录数据库在站点、域、或组织单位中配置用户和计算机的能力,在WindowsServer2008中,通过应用组策略,管理员可以很方便地管理ActiveDirectory中的计算机和用户的工作环境,例如,用户桌面环境、计算机启动/关机与用户登陆/注销时所执行的脚本文件、软件安装、安全设置等。
管理员一般会设置多种配置集合,包括桌面配置和安全配置。
譬如,可以为特定用户或用户组定制可用的程序、桌面上的内容,以及“开始”菜单选项等,也可以在整个计算机范围内创建特殊的桌面配置。
简而言之,组策略是Windows中的一套系统更改和配置管理工具的集合。
其实简单地说,组策略设置就是在修改注册表中的配置。
当然,组策略使用了更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。
组策略内包含计算机配置与用户配置两部分,其中计算机配置只对计算机环境有影响,而用户配置只对使用者工作环境有影响。
管理员可用过如下两个途径配置和应用组策略:
1.本地计算机策略:
在单一计算机上配置,用户所作的配置只会应用到本地计算机,用户配置被本机所有用户所应用。
2.域组策略GPO(GroupPolicyObjec,组策略对象):
在域控制器上针对站点,域或OU来配置组策略,其中域策略内的配置应用到所有域内计算机和用户上,OU对应到该OU内,如果本机冲突则以域或OU组策略的配置优先,本机无效。
2.2.2组策略实现的目标
对域设置组策略影响整个域的工作环境,对OU设置组策略影响本OU下的工作环境;
降低布置用户和计算机环境的总费用,因为只需要设置一次,相应的用户或计算机即可全部使用规定的设置,减少用户不正确配置环境的可能性;
推行公司使用计算机规范,包括桌面环境规范以及安全策略等内容。
例如:
软件分发;
软件限制;
安全设置(如密码策略、管理模板下相关设置等);
基于注册表的设置(管理模板);
IE维护;
脱机文件夹;
漫游配置文件和文件夹重定向;
计算机和用户脚本。
第3章企业面临的问题与需求
3.1企业面临的现状
现有某小型公司的整个网络设计拓扑图。
整个公司主要分为员工宿舍楼、工作区、生产部门以及体育馆四个部分。
本次网络设计主要设备有核心交换机一台,DNS、Email、FTP服务器共一台(集各种功能与一体),硬件防火墙一台,中型交换机5台,小型交换机18台,域控制器一台,PC若干。
具体网络规划为员工宿舍楼一个VLAN,生产部门一个VLAN,领导办公室一个VLAN,工作区每个部门分别划分一个VLAN。
本次网络管理主要针对工作区,其他部门在网络规划之中。
工作区每个部门一个VLAN,主要目的是为了增加各部门资料的安全性,为了让每个部门的成员至可以访问本部门的网络资源。
在公司不同的部门对软件和一些材料的需求各不相同,为了更好的管理与区分我就需要按需定制,如:
哪些用户可使用的软件有哪些,对哪些文档具有哪些权限,和一些上网行为的规范。
图3-1企业网络拓扑设计图
3.2企业应用需求分析
域环境下,所有的网络资源,包括用户,都是在域控制器上维护,便于集中管理,所有用户只要登录到域,在域内均能进行身份验证,管理人员可以较好的管理计算机资源,管理网络的成本大大降低防止公司员工在客户端上乱装软件,能够增强客户端安全性,减少客户端故障,降低维护成本。
此小型公司域名为,核心机房内架设有主域控制器(主DNS服务器)、文件服务器、Exchange邮件服务器、WEB服务器、FTP服务器、数据库服务器、管理机等。
根据此小型公司现状和需求,通过和管理员的了解我最终利用组策略来实现以下应用:
*使用组策略使员工部门的软件统一部署
*使用组策略限制员工使用及安装软件
*通过查看事件日志观察已设置的组策略审核策略是否应用成功
第4章组策略应用架构设计
4.1设计总体思路
针对我这个小型企业的网络拓扑图,我重点把网络管理工作放到了工作区。
所以,我的工作区里的组织部、技术部、销售部、财务部和质量监督部都是在一个域名为的域里面,也就是每个部门的计算机都是域成员,都可以通过被允许的域用户名登录到域。
这样就方便了我在域控制器上统一部署软件以及一些限制类的组策略的应用到每台域成员计算机上。
对于员工部门软件的统一部署,我只需要管理员在域控制器上把需要部署的软件统一指派到每台域成员计算机上,这样当域用户登录到计算机的时候,就可以自行下载安装已指派的软件了。
在此小型公司的网络管理中,经常会发现一些权限比较高的用户私自从网上下载或者用自己的光盘、U盘之类的安装软件,除此之外,在工作时间里,员工会运行一些如旺旺、QQ等软件,降低了工作的效率,严重时会泄漏公司的重要信息,这些对于企业来说是不被允许的,但是各种规定都没办法完全禁止这些行为,以前通常是采用行政手段进行限制,在了解了这些情况之后,我利用组策略的设置限制员工运行一些与工作无关的软件,这样即使他们安装了其他不允许使用的软件,也运行不了。
组策略审核策略是Windows
2000及以后版本组策略中引入的一个安全机制。
它可以用日志形式记录系统中已经被审核的事件,而系统管理员通过生成的日志文件,能轻易发现和跟踪发生在所管理区域内的可疑事件。
比如:
谁曾经访问过哪个文件、哪些非法程序入侵了你的电脑等。
这样我就能有效的保护企业的一些商业机密和计划目标不被外泄等等。
4.2应用架构拓扑
在AD域环境中,通过组策略可以对计算机和用户组进行高效集中化的管理。
组策略是AD域环境中最有吸引力的基础架构应用之一。
通过GPO的连接,我们可以将设置好的组策略应用到域活动目录中的不同级别用户和计算机,这样就可以实现对小到一个组织单元的管理,简单地说,GPO起到了桥梁的作用,通过将GPO与所选的ActiveDirectory系统容器--站点、域和组织单位相关联,实现组策略设置的具体应用。
还可以将GPO策略设置应用于ActiveDirectory容器中的具体用户和计算机。
组策略通过在域控制器上设置应用到域成员计算机拓扑,如图4-1所示。
图4-1组策略应用拓扑图
第5章组策略在企业中的应用实施
5.1创建域服务器
创建AD,将一台网内的服务器(windowsserver2008系统)提升为域控制器,并创建域用户。
然后将工作区的组织部,技术部,销售部,财务部和质量监督部中的成员计算机都加入到域环境中。
5.2安装GPMC
GPMC是组策略管理控制台,Microsoft组策略管理控制台(GPMC)是一个用于组策略管理的新工具,它通过改进易管理性和提高效率帮助管理员更经济有效地管理企业。
它包含一个新的Microsoft管理控制台(MMC)管理单元和一组可编程。
运行WindowsInstaller(.MSI)程序包。
在服务器“JHDZ”上,浏览到包含“gpmc.msi”的文件夹,双击“gpmc.msi”程序包,2、单击“下一步”,单击“我同意”,接受最终用户许可协议(EULA),3、单击“下一步”,单击“完成”以完成GPMC安装。
5.3组策略具体实施
5.3.1组策略管理软件的部署
1.使用组策略使员工部门的软件统一部署
(1)准备安装文件
使用组策略部署软件分发的第一步是获取ZAP或MSI为扩展名的安装文件包。
MSI安装文件包是微软专门为软件部署而开发的。
有些软件程序直接提供这两个文件,有些不提供。
(2)分发软件
1)建立分发点。
要发布或指派计算机程序,必须在发布服务器上创建一个分发点。
把安装文件所在的文件夹创建为一个共享网络文件夹,并对该共享设置权限以允许特定的OU(组织单位)才能访问此分发程序。
2)编辑组策略。
在“Active
Driectory用户和在“Active
Driectory用户和计算机”管理单元中,右键单击“”,在快捷菜单中选择属性,单击“组策略”选项卡,单击“编辑”按钮,打开组策略编辑窗口。
3)指派/分发程序包。
右键单击“软件安装”,在快捷菜单中选择“新建”→“程序包”,如图5-1所示。
打开QQ2008.msi文件,这里一定填入网络路径,因为分发的用户要能从网络路径访问到这个文件。
图5-1新建程序包
打开文件后,弹出“部署软件”对话框,选择“已指派”,如图5-2所
升级会员 