计算机毕业论文Word文件下载.docx

1、目录摘要 IABSTRACT II目录 III前言 11 绪论 21.1 选题背景 21.2 研究目的和意义 21.3 论文组织结构 22 认识Active Directory和组策略 42.1 Active Directory简介 42.1.1 Active Directory功能 42.1.2 Active Directory 的优点 42.2 组策略简介 62.3 组策略和AD 72.3.1 GPO的多样性和继承 72.3.2 GPO的内部构成 82.4 本章小结 83 AD的部署 93.2 本章小结 124 企业网络中组策略的应用 134.1 利用组策略管理用户环境 134.2 组策略

2、设置的结构 134.2.1 计算机配置中的Windows配置 134.2.2 计算机配置中的管理模板 144.2.3 网络子树 144.2.4 用户配置中的Windows配置 144.2.5 文件夹重定向 154.2.6 用户配置中的管理模板控制用户环境 154.3 使用组策略管理软件 154.3.1 软件布置（安装和维护）的步骤 164.3.2 发布和分配软件 164.3.3 用组策略布置软件包 164.3.4 删除布置的软件 174.4 应用组策略对娱乐及公共机房管理 17结论 20参考文献 21致谢 23前言在2010年，中国网民达到4亿。中国互联网的高速发展，让人们在生活、工作等都有了

3、极大的改变，在体验和享受互联网带来的方便及惬意时。互联网里大量存在的一些不正当行为，如黑客攻击、计算机病毒、内部泄密、信息丢失、篡改、销毁、木马程序、等等，总是让我们感觉许多的无奈。特别是中国的广大企业，在利用互联网更加快速、便捷地实现业务全球化的同时，来自外界的病毒、木马、黑客，以及内部员工工作时间滥用网络资源所惹的祸令人触目惊心。为应对这种外忧内患的局面，反病毒、防火墙、入侵检测，在一定程度上排除了外忧。而解内患的问题也迫不及待地被提上日程。对于一些小型的企业来说，他们没有过多的时间监督每一位员工，没有过的时间查看每一台电脑，那么他们是如何解决这种现状的呢？有一种技术，它可以帮助没有过多资

4、金的企业适当地解决内部网络管理与内部员工的办公环境的安全，那就是“组策略”技术。1 绪论1.1 选题背景现今，电脑普遍的应用在各大中小企业中，电脑提高了工作效率，及时掌握最新市场行情动态的同时，也给企业带来了让每一位老总头疼的问题。员工在工作时间滥用网络资源，聊QQ、斗地主、农场偷菜、用光驱看电影等等运行与工作无关的程序，随便使用USB设备导致病毒肆意传播，也带到了电脑上。并且伴随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。例如：文件系统管理、磁盘管理、网络服务、DHCP服务等。其中很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，并且配置在每一台电脑上。如果

5、是手工配置注册表，花时间去监督每一位员工，可想是多么困难和烦杂。1.2 研究目的和意义目前，在企业中，个别职工在上班时玩游戏或运行与工作无关的程序。针对这一情况，加强企业电脑的管理成为了各企业所面临的共同问题。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。组策略是注册表的一个缩影，在进行组策略设置时还要把禁止职工访问注册表。主要思想是在组策略里设置一些Windows可用的运行项目，以阻止职工运行一些与工作无关的程序，提高企业工作人员的工作效率。概括的说，组策略就是使管理员能为用户指定需求，并且依赖于Windows Server 2003或W

6、indows 2000 Server，在它上面不断执行的技术。这里面包括以下含义：（1）为用户指定需求，即用户提出的要求有管理员负责实现。用户的需求可以是实现什么样的系统设置，需要什么样的桌面，必须使用的软件等。（2）依赖于Server 2003或Windows 2000 Server，即只能有Server 2003或Windows 2000 Server来体现组策略，不支持Windows NT 4.x、Windows 9x等早期产品。（3）在上面不断执行的技术，是指客户的计算机操作系统会周期性的从AD上查询组策略的变化并执行新的设置。组策略的作用就是用来给网络管理员授予更多的活动目录用户控制

7、权。拥有了组策略技术，实现对域中电脑集中管理应用软件，就不在为花资金和时间监督员工电脑，反反复复配置每台电脑中注册表，为每台电脑安装、卸载软件烦恼。对于公司的网络管理员，当用户告诉你说他的电脑坏了，这时你只需要给她一台新的计算机加入域环境，把旧的计算机拿走就行了。新的计算机开启后所有的设置都会完成，这就是微软智能镜像能实现的功能，其核心技术就是组策略。1.3 论文组织结构本论文的第一章主要介绍了选题背景，论文研究的目的和意义。第二章简单介绍了活动目录（Active Directory，AD）和组策略（Group Policy，GPO）。第三章是前期准备工作，搭建AD平台、OU控制台。第四章是企

8、业网络中组策略的具体应用及作用。最后是论文的总结和致谢。2 认识Active Directory和组策略2.1 Active Directory简介活动目录（Active Directory）是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务。（Active Directory不能运行在Windows Web Server上，但是可以通过它对运行Windows Web Server的计算机进行管理。）Active Directory存储了有关网络对象的信息，并且让管理员和用户

9、能够轻松地查找和使用这些信息。Active Directory使用了一种结构化的数据存储方式，并以此作为基础对目录信息进行合乎逻辑的分层组织。Microsoft Active Directory 服务是Windows 平台的核心组件，它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。2.1.1 Active Directory功能活动目录（Active Directory）主要提供以下功能：（1）基础网络服务：包括DNS、WINS、DHCP、证书服务等。服务器及客户端计算机管理：管理服务器及客户端计算机账户，所有服务器及客户端计算机加入域管理并实施组策略。（2）用户服务：管理用

10、户域账户、用户信息、企业通讯录（与电子邮件系统集成）、用户组管理、用户身份认证、用户授权管理等，按省实施组管理策略。资源管理：管理打印机、文件共享服务等网络资源。（3）桌面配置：系统管理员可以集中的配置各种桌面配置策略，如：界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。（4）应用系统支撑：支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。2.1.2 Active Directory的优点与DNS 集成Active Directory使用域名系统（DNS）。DNS是一种Internet标准服务，它将用户能够读取的计算机名称（例如myco

11、mputer. ）翻译成计算机能够读取的数字Internet协议（IP）地址（由英文句号分隔的四组数字）。这样，在TCP/IP网络计算机上运行的进程即可相互识别并进行连接。 （1）灵活的查询。用户和管理员如果要通过对象属性快速查找网络中的对象，可使用“开始”菜单中的“查找”命令、桌面上的“网上邻居”图标或者是 Active Directory 用户和计算机管理单元。例如，您可以按照一个用户帐户的姓名、电子邮件名、办公地点或其他属性查找该用户。而且,使用全局编录优化了查找信息的操作。（2）可扩展性。Active Directory是可扩展的；也就是说，管理员既可以在架构中添加新的对象类别，也可在

12、原有的对象类别中添加新属性。架构包含每个对象类别的定义，以及能够存储于目录中的每个对象类别的属性。例如，您可能会为User对象添加Purchase Authority属性，然后将每个用户的购买权限额保存为用户帐户的一部分。（3）基于策略的管理。 组策略是在初始化时应用于计算机或用户的配置设置。所有组策略设置都包含在应用于 Active Directory站点、域或部门的组策略对象（GPO）中。GPO设置决定了对目录对象和域资源的访问权限、用户可使用的域资源（如应用程序），以及这些域资源针对其用途的配置方式。（4）可伸缩性。Active Directory包括一个或多个域，每个域均有一个或多个域

13、控制器，由此，您能够对目录进行自由扩展，从而满足所有网络的需求。多个域可合并成一个域目录树，多个域目录树可合并成一个目录林。在只有一个域的最简单的网络结构中，该域既是一个目录树，又是一个目录林。信息复制。Active Directory使用多主机复制，使您可以更新任何域控制器中的目录。在一个域中部署多个域控制器还提供了容错能力和负载平衡功能。因为这些域控制器包含同样的目录数据，所以，如果域内的一个域控制器速度变慢、停止或出现故障，同一域内的其他域控制器即可提供必要的目录访问功能。（5）信息安全。在 Windows 2000 操作系统中，用户身份验证和访问控制的管理都与 Active Direc

14、tory 完全结合在一起，这是该系统的一项关键性安全功能。Active Directory 将身份验证集中进行。不仅可以定义对目录中每个对象的访问控制，还可定义对每个对象的每个属性的访问控制。此外，Active Directory 还为安全策略提供了存储区和应用范围。（6）互操作性。由于 Active Directory 以标准目录访问协议（例如轻型目录访问协议（LDAP）为基础，因此它能够与其他采用这些协议的目录服务进行交互操作。有些应用程序编程接口（API）-例如 Active Directory 服务接口（ADSI）-允许开发者访问这些协议。2.2 组策略简介组策略（Group Poli

15、cy），就是基于组的策略。它以Windows中的一个MMC管理单元的形式存在，可以帮助系统管理员针对整个计算机或是特定用户来设置多种配置，包括桌面配置和安全配置。譬如，可以为特定用户或用户组定制可用的程序、桌面上的内容，以及“开始”菜单选项等，也可以在整个计算机范围内创建特殊的桌面配置。简而言之，组策略是Windows中的一套系统更改和配置管理工具的集合。注册表是Windows系统中保存系统软件和应用软件配置的数据库，而随着Windows功能越来越丰富，注册表里的配置项目也越来越多，很多配置都可以自定义设置，但这些配置分布在注册表的各个角落，如果是手工配置，可以想像是多么困难和烦杂。而组策略则

16、将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。其实简单地说，组策略设置就是在修改注册表中的配置。当然，组策略使用了更完善的管理组织方法，如图2-1所示，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。图2-1 新建组策略2.3 组策略和AD要充分发挥GPO的功能，需要有AD域架构的支持，利用AD可以定义一个集中的策略，所有的Windows服务器和工作站都可以采用它。然而，每台运行Windows的计算机都有一个本地GPO（驻留在本地计算机文件系统上的GPO），通过本地GPO，可以为每台工作站指定一个策略，它在AD域中不起

17、作用。例如，出于安全原因，你不会在AD域中配置公用的计算机。利用本地GPO，可以通过修改本地策略来得到安全性和对台式机的限制使用而无需利用基于AD域的GPO。访问本地GPO的方法有2种，第1种方法，在需要修改GPO的计算机的“开始”菜单上选择“运行”，然后键入：gpedit.msc，可以打开本地策略文件。第2种方法，可以通过在MMC控制台中选择GPE插件，并选择本地或远程计算机来人工地编辑本地GPO。本地GPO支持除软件安装和文件夹重定向之外的所有缺省扩展，因此，只利用本地GPO你不能完成这些工作，如果想充分发挥GPO的功能，还是需要AD的支持。2.3.1 GPO的多样性和继承在AD中，可以在

18、域、组织单位（OU）或地址三个不同的层次上定义GPO。OU是AD中的一个容器，可以指派它对用户、组、计算机等对象进行管理，地址是网络上子网的集合，地址形成了AD的复制分界线。GPO的名字空间被划分为计算机配置和用户配置两个大类，只有用户和计算机可以使用GPO，象打印机对象甚至用户组都不能应用GPO。在一个域或组织单位（OU）中编辑策略的途径有几种。在活动目录用户或计算机MMC插件中，右击一个域或组织单位（OU），在菜单中选择“属性”，然后选择“组策略”标签。在编辑地址中的策略时，需要右击“活动目录地址和服务”插件，然后右击需要的地址得到其GPO。此外，还可以从“开始”菜单，选择“运行”，然后键

19、入：mmc.exe，启动MMC，选择“控制台”，“增加/删除”插件，然后选择“组策略”插件、“浏览”，在AD域内的GPO就会显示出来，可以选择一个GPO进行编辑，如图2-2。图2-2 编辑策略的步骤2.3.2 GPO的内部构成一个GPO是由两部分组成的：组策略容器（GPC）和组策略模板（GPT）。GPC是GPO在AD中的一个实例，在一个特殊的被称作系统的容器内有一个128位的全球唯一的ID码（GUID）。在“活动用户目录用户和计算机”插件中选择“浏览”，从MMC菜单中选择“高级属性”，就可以看到“系统”容器。GPT是组策略在Windows文件系统中的表现，与一个GPO有关的所有文件依赖于GPT

20、。2.4 本章小结本章主要对AD和GPO做了一个初步的介绍，访问本地GPO的方法有2种，第1种方法，在需要修改GPO的计算机的“开始”菜单上选择“运行”，然后键入：组策略是基于AD的，组策略的设置和管理都在AD中进行，然后通过控制机制作用到域中的所有用户和计算机上。我们可以建立多个组策略对象，每个GPO都可以由不同的活相同的策略配置。3 AD的部署3.1.1 配置DNS服务器（1）网卡定义IP地址，DNS服务器首选DNS指向本机，将服务器命名为server，添加后缀为。将计算机重新启动以便配置生效。（2）打开控制面板添加/删除程序，添加WINDOWS组件，选择网络服务下的DNS服务。添加成功后

21、，我们在点击“开始”后，管理工具中就有相应DNS控制台了。（3）创建DNS正向查找区域，创建主要区域，创建成功后可以解析本企业xtep域中的server机的ip地址进行测试。3.1.2 配置AD点击“开始”/“运行”/输入“dcpromo”命令启动Active Directory配置向导。配置AD的步骤如下：（1）建立域控制器（2）选择在新域中建立域控制器（3）输入DNS域名（4）安装活动目录数据库（5）选择SYSVOL目录的安装位置（6）手动安装DNS服务器（7）使用与windows2000以后系统相容（8）安装完成。到此，第一个windows域已经建立！配置AD安装过程中注意DNS注册诊断

22、报告，AD配置好后检查srv记录。打开DNS正向查找区域，选择新建的域属性中配置AD与DNS server集成。3.1.3 创建组织单位、组、用户创建组织单位（OU）、组和用户，用户可以隶属于任何一个组织单位或组，对一个组织单位施行组策略，那该组策略对该组织单位下的每一个组和用户都适用。组策略的控制大多是针对组织单位进行控制的。这样才方便管理员的集中管理。创建OU、组、用户步骤如下：1） 依次点击，开始-程序-管理工具-Active Directory用户和计算机。2） 新建组织单位sales，用户aaa、bbb、ccc，组students。3.1.4 搭建组策略控制台搭建控制台之前，先要为组

23、织单位sales添加默认组策略。依次点击“开始”/“运行”/输入“mmc.exe”，依次选择“文件”“添加”“删除管理单元（M）”-“添加”-“组策略对象编辑器”-“浏览”-“域/OUs下的”-“选择默认的组策略”-完成。对用户的集中控制和管理，都是通过对默认的组策略进行编辑、更改来实现的。搭建控制台的目的，就是省去了在管理工具中打开AD域，选择域，选择组策略这些繁琐步骤。从而打开控制台，直接就可以编辑需要编辑的组策略。新搭建的组策略控制台如下图所示。3.2 本章小结为了方便对用户的管理，和对组策略的编辑、更改，我做了前期准备工作。（1）创建DNS服务器，建立了域环境并搭建了AD平台。（2）将

24、AD与DNS集成，并在AD上创建了组织单位、组和用户。（3）搭建了组策略控制台。组策略的应用在企业中都是基于AD的，组策略的设置和管理也都是在AD上进行的。到此所有前期准备工作都已经完成。4 企业网络中组策略的应用4.1 利用组策略管理用户环境管理用户环境控制用户在登录网络时有哪些权力。可以通过控制用户的桌面、网络连接和用户界面来控制用户权力。用户环境为用户或计算机设置的。4.2 组策略设置的结构专业名称表（Subject）的设计组策略的设置总体分为：计算机配置和用户配置计算机配置和用户配置下面又有三个子层：（1）软件设置统一管理所有软件，Windows设置（2）计算机配置：脚本、安全设置用户

25、配置：IE维护、脚本、安全设置、远程安装服务、文件夹重定向（3）管理模板解决用户环境的问题计算机配置：Windows组件、系统、网络、打印机Windows组件、系统、网络、桌面、控制面板、任务栏和开始菜单4.2.1 计算机配置中的Windows配置1.添加脚本组策略脚本设置的功能是可以集中配置脚本，在计算机启动或关闭时，自动运行。指定在Windows 2003上运行任何脚本，包括批处理文件、可执行程序等。如果同时添加多个脚本，则Windows 2003按照从上到下的顺序执行；如果多个脚本之间有冲突，则最后处理的脚本有效。配置步骤如下：1） 打开组策略控制台选中需要编辑的组策略单击“编辑”2）

26、计算机配置Windows设置脚本右击“启动”单击“添加”3） 单击“浏览”，选定要运行的脚本或可执行文件2.计算机中的安全设置安全设置包括：帐号策略、本地策略、事件日志、无限制的组、系统服 务、注册表、文件系统、公钥策略、IP安全策略。2） 计算机配置Windows设置安全设置右击“登录屏幕不要显示上次登录的用户名”3） 选择“安全性”选中“定义这个策略设置”和“已启用”4.2.2 计算机配置中的管理模板（1）计算机配置中的管理模板控制计算机桌面的外观和行为管理模板包括：Windows组件、系统、网络。Windows组件中规定了一些操作系统自带的组件，如：IE、Netmeeting、 若任务计划等。（2）设置Windows组件。步骤如下：1） 控制面板任务计划添加一个任务计划2） 打开组策略控制台选中需要编辑的组策略单击“编辑”3） 计算机配置管理模板Windows组件选中“任务计划程序”项4） 右击“禁用创建新任务”选择“属性”在“策略”选项卡中选中“启用”管理模板是基于注册表的策略。在计算机和用户配置中都可以设置管理模板的内容。管理模板是组策略中可以使用的对系统进行管理最灵活的一种手段。4.2.3 网络子树网络子树包括：脱机文件（处理与脱机文件夹有关的事项）；网络及拨号连接禁用网络连接共享。1） 新建一个拨号连接，设置共享2） 打开