汽车混合动力

汽车混合动力第1页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》2第1章基本通信原理第2章计算机网络技术第3章网络操作系统第4章基本网络管理第5章常用网络服务及其配置第6章Web服务器的架设和管理第7章Ftp服务器的架设和管理第8章邮件服务器的架设和管理目

录第2页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》3第4章网络基本管理网络中的工作组和域域和活动目录服务资源共享与发布组策略安全性设计第3页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》44.1网络中的工作组和域目录和目录服务工作组域及域控制器工作组和域管理模式第4页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》5目录和目录服务连接到网络网络中有哪些服务器或工作站？它们都提供了什么服务？网络中有哪些共享资源？对于网络中存在得类似问题，网络是通过目录和目录服务的方式来解决得。什么是目录？目录（Directory）是用来存储有用对象信息的结构。在文件系统中，目录存储关于文件的信息；在分布式的计算机系统或计算机网络中，目录用来存储网络中的工作组或域的安全信息（如：用户账号信息、访问权限等）、共享资源信息（如：共享打印机、共享文件夹等）以及用于访问上述信息的检索信息等。目录服务目录服务（DirectoryService）就是要让工作站知道网络上的可用资源的信息服务。采用静态服务表定期广告名称服务器第5页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》6工作组什么是工作组？工作组（Workgroup）是指网络中的一个计算机集合。工作组中的计算机共享一个浏览清单每个工作组有一台或几台服务器收集浏览信息，称为浏览主机。浏览主机是自动选择的。隐藏浏览清单信息不希望别的组使用自己的共享打印机。要达到上面的要求，在工作组中有两种办法：为打印机设置口令或将打印机隐藏，即将打印机从浏览清单中去掉。通过可以在打印机名称后加一个美元符号（$）实现，这样打印机可以共享，但不会出现在浏览清单中。第6页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》7网络中的工作组建立用帐户在s1，s2和w1上分别为User01、User02、User03、User04和User05建立本地用户帐户登录过程口令表，pwl文件冒名顶替S1:Windows2000ServerS2:WindowsServer2003W1:Windows2000ProfessionalWindowsXP若干五个用户User01、User02、User03、User04和User05第7页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》8将计算机加入工作组打开“控制面板”窗口，双击“系统”图标，在“系统属性”对话框中，选中“计算机名”选项卡单击“更改…”按钮，打开“计算机名称更改”对话框在“隶属于”区域中，选择“工作组”单选钮，然后在下面的文本框中输入工作组名称market，单击“确定”按钮。要将一台WindowsXPprofessional计算机加入到工作组market中，具体操作步骤如下：第8页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》9域及域控制器什么是域？域（Domain）是实行了集中化管理的计算机的集合，是一个具有集中安全控制的超级工作组。也就是说，在计算机集合中的每台计算机的账户信息都存储在其中的一台计算机上Windows98不能加入域，成为域的成员什么是域控制器？在Windows域中，负责网络管理的计算机称为域控制器（DomainController，DC）。WindowsServer计算机安装ActiveDirectory第9页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》10域安全系统的工作过程打开WindowsXP计算机，在“登录到windows”对话框中，输入用户名和口令、在“登录到”下拉列表中，选择要登录的域technology，开始登录域控制器DC1。登录请求被域控制器中运行的本地安全认证（LSA）程序处理，用户通过验证后，登录进程会给用户一个安全访问令牌（SecurityAccesToken，SAT）。该令牌相当于用户访问系统资源的票证，当用户试图访问系统资源时，将访问令牌提供给Windows系统，然后Windows检查用户试图访问对象上的访问控制列表。如果用户被允许访问该对象，系统将会分配给用户适当的访问权限。工作站得到SAT令牌后，可以通过“网上邻居”连接到S1，浏览特殊的共享目录。共享目录有一个称为安全描述表（SD）的附加表，说明哪些用户可以访问。另外，服务器上还有一个称为安全监视器（SecurityReferenceMonitor，SRM）的程序来检查你是否是被允许的成员。这时，服务器S1的SRM将读取你的SAT令牌，并与安全描述表SD的内容比较，确认是否允许你访问。假设有一个名为technology的域，域控制器为DC1，有一台WindowsXP工作站，需要访问域中名为S1的Windows2000Server计算机。

第10页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》11Windows域中计算机的角色域控制器配置，域控制器（DomainController，DC）是安装了ActiveDirectory的WindowsServer计算机。作用，域控制器存储着目录数据并管理用户的交互，其中包括用户登录过程、身份验证和目录搜索。成员服务器配置，运行Windows服务器操作系统、域的成员但不是域控制器的计算机。作用，一般用作以下类型的服务器，例如：文件服务器、应用服务器、数据库服务器、Web服务器、证书服务器、防火墙和远程访问服务器等。独立服务器配置，运行Windows服务器操作系统，但不是Windows域成员的计算机，即作为工作组成员安装。作用，可与网络上的其他计算机共享资源，但是它们不接受ActiveDirectory所提供的任何好处。第11页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》12工作组和域管理模式的不同工作组模式基于广播来通讯，工作组中的每台计算机互为服务器，互为客户端。主浏览服务器，负责维护工作组中的浏览列表，并定期向其他计算机广播。广播在网络中的不稳定性，可能导致工作组中的每台计算机所持有的浏览列表各不相同，导致工作组中的计算机互相访问出现问题。ActiveDirectory活动目录模式目录服务统一维护和发布域中的资源，这个资源列表可以使用LDAP进行方便快捷的查询，并可以结合DNS进行定位，这就可以让用户不再需要关心那些资源的物理位置，用户可以以一种逻辑的方式来搜集和整理自己所需要的资源。相对于工作组那种不稳定的工作模式，活动目录对于网络管理提供了更好的技术支持。在较大规模的网络中，应该采用域管理模式，而不是采用工作组的网络邻居访问方式。第12页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》134.2域和活动目录服务安装活动目录服务使用ActiveDirectory服务域用户与用户组管理将计算机加入到域登录到本地或域第13页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》14安装活动目录服务安装活动目录服务组件的条件WindowsServer2003，或Windows2000ServerNTFS文件系统第14页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》15活动目录服务安装过程（1）在WindowsServer2003安装完成后，并没有自动安装活动目录服务，需要由用户自己安装。（1）在“控制面板”窗口中，双击“管理工具”图标，打开“管理工具”窗口；双击“管理您的服务器”图标，默认状态下，WindowsServer2003系统安装时，只安装文件服务器，要安装其它服务，单击右上角的“添加或删除角色”超链接第15页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》16活动目录服务安装过程（2）（2）向导检测当前的网络设置，完成后显示配置选项界面。选择“自定义配置”单选钮，选择需要安装的服务

第16页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》17活动目录服务安装过程（3）（3）在服务器角色列表中，选择“域控制器（ActiveDirectory）”单击“下一步”按钮

第17页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》18活动目录服务安装过程（4）（4）然后按照向导提示，分别选择新域的控制器、在新林中的域，随后显示指定新的域名界面输入新建域的域名，然后单击“下一步”按钮，按照向导提示操作。在操作过程中需要输入还原目录服务的账户密码，和管理员密码不同，需要记下。第18页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》19活动目录服务安装过程（5）（5）DNS服务器的安装和配置使用DNS服务器如果当前服务器没有安装DNS服务，在安装活动目录服务的过程中还将一并安装DNS服务。或者跳过DNS服务，然后再单独安装DNS服务。如果已经有DNS服务器，可以直接使用。一般情况下，一个企业只有一台DNS服务器，它可以安装到一台专用计算机上，负责整个企业的DNS解析。DNS服务器的设置在DNS安装完成后，在DNS服务器计算机本身的网络连接中，应该将首先DNS服务器设为它自己，只有这样AD才可能将AD信息注册到DNS，否则计算机在加入域时，将出现域名解析错误。第19页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》20活动目录服务安装过程（6）（6）安装活动目录和DNS服务后第20页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》21活动目录服务管理工具在控制面板的管理工具文件夹中，可以看到ActiveDirectory相关的三个管理工具，分别是：ActiveDirectory用户和计算机，ActiveDirectory域和信任关系，ActiveDirectory站点和服务第21页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》22使用活动目录服务“ActiveDirectory用户和计算机”管理工具又称“ActiveDirectory用户和计算机”控制台

Computers文件夹，计算机帐户。

Users,包含域中的所有用户。第22页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》23ActiveDirectory对象“ActiveDirectory用户和计算机”控制台，可以创建的对象有：用户，用户对象是目录中的一个安全主体。用户可以使用这些凭据登录到网络上，并且可以为用户授予访问权限。联系人，联系人对象是没有任何安全权限的帐户。不能以联系人的身份登录到网络上。联系人通常表示外部用户，用以收发电子邮件。计算机，计算机对象表示网络上的一台计算机。对于基于WindowsNT的工作站和服务器，这是计算机帐户。组织单位，组织单位(OU)用作一种容器，以便以逻辑方式来组织目录对象（如用户、组和计算机），这与使用文件夹来组织硬盘上的文件大体相同。组，组可以包含用户、计算机和其他组。组简化了对大量对象进行的管理工作。共享文件夹，共享文件夹是已在目录中发布的网络共享。共享打印机，共享打印机是已在目录中发布的网络打印机。管理员可以完成增加、删除、修改组织单位（OU）、计算机账户、域用户账户、组以及在目录上发布资源等网络管理任务。第23页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》24新建组织单位（OU）对象组织单位（OrganizationUnit，OU）的概念使得基于活动目录的Windows域变得易于管理和扩充

第24页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》25新建组织单位（OU）对象（Cont.）在目录树的根节点上单击鼠标右键，在快捷菜单中指向“新建”，单击“组织单位”，弹出“创建对象-组织单位”对话框，输入组织单位名称（如：总公司），单击“确定”按钮。即完成了第一级组织单位的创建。用上述类似的方法可以创建下一级的组织单位，当在某个组织单位下创建它的下一层组织单位时，应该在该组织单位的节点上单击鼠标右键，接下来的过程和上面类似。第25页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》26域用户与用户组管理域用户账户管理用户组新建组组的类型安全组（SecurityGroup）是可以列在用于定义资源和对象的权限的自由访问控制列表（DACL）中的组，DACL是部分对象安全描述符的列表，该描述符用来允许或拒绝某些指定用户和组的权限。分布组（DistributionGroup），不采用安全机制，不能列于DACL中。组的作用域本地组（LocalGroup）只能在本域的域控制器DC上使用全局组（GlobalGroup）可在本域和有信任关系的其它域中使用第26页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》27新建域用户帐户在“ActiveDirectory用户和计算机”控制台目录树中选择一个需要创建用户账户的组织单位，单击鼠标右键，在快捷菜单中，指向“新建”，选择“用户”，显示“创建新对象-用户”向导第27页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》28新建域用户帐户（Cont.）在“ActiveDirectory用户和计算机”控制台第28页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》29新建用户组组（Group）是活动目录或者本地计算机对象，如：域用户、联系人、计算机及其他组，用于对用户和计算机的分组管理。通常可将用户和计算机分成若干组，每个组赋予一定的权限，而不是针对组内的成员分配权限，组中成员从组中获得该组共有的权限，使用组而不是单独的用户可简化网络的维护和管理。在组织单位中可以创建组，组中可以添加成员，包括计算机、联系人和用户。在“ActiveDirectory用户和计算机”管理控制台目录树中选择一个文件夹，单击鼠标右键，在快捷菜单中，指向“新建，组”，打开“新建对象-组”对话框，第29页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》30将计算机加入到域域控制器端设置首先，在域控制器计算机上，建立一个和要加入到域的计算机同名的计算机账户。在域控制器上，建立一个用于把计算机加入域中的域用户账户在域控制器的网络连接属性中将DNS指向它自己，因为域控制器中的Netlogon服务要在DNS上注册一些纪录，从而允许其他的域控制器和计算机查询活动目录信息。客户端设置

修改计算机名和网络标识。设置客户计算机的首选DNS服务器为域控制器的IP地址。输入上面建立的域用户账户，例如：jerry，如图4-22。或者输入在安装目录服务时指定的目录服务恢复模式的管理员（Administrator）账号和密码，输入完成后，单击“确定”按钮，最后显示“欢迎加入yuantong.local域”信息第30页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》31计算机无法加入到域的几种可能的原因如果出现“登录失败，未授予用户在此计算机上的请求登录类型”信息往往是由于域控制器的来宾帐户停用、或者域控制器的本地安全策略：\安全设置\本地策略\用户权限分配\中的“拒绝从网络访问这台计算机”的策略包含guest帐户，应将其删除。域控制器上安装的防火墙域控制器上的病毒在命令行下，通过netshare命令，查看是否存在下面的默认管理共享：Admin$、IPC$、C$管理共享，如果不存在这些管理共享，计算机也不能加入域“拒绝访问”错误问题产生的主要原因是由于在AD中已经有了同名的计算机帐户，产生这种情况通常是由于非正常脱离域，比如，在重装OS之前，没有退出域，或者一个计算机加入到域，又在“隶属于”中退出域，下次再加入将遇到问题。第31页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》32登录到本地或域登录到对话框登录域和本地对计算机资源的访问不同本地帐户域帐户第32页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》334.3资源共享与发布域模式下的资源共享发布共享文件夹发布打印机查找特定对象第33页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》34域模式下的资源共享工作模式广播式目录服务域模式在域成员计算机上共享资源域控制器上发布，通过“ActororyDirector用户和计算机”工具哪些共享资源需要发布？资源发布到目录中后，目录在域林中的传播会产生网络流量，因此，不是所有的共享资源都要发布，只发布那些有众多用户共享的资源，例如网络打印机、文件服务器上的共享文件夹等。第34页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》35发布共享文件夹在客户机将文件夹共享是在客户机上完成的。要共享一个文件夹，以管理员什么登录，操作步骤如下：在文件夹上右单击，在快捷菜单中，执行“属性”命令，打开“文件夹属性”对话框。在“文件夹属性”对话框中，选择“共享”选项卡，选择“共享此文件夹”单选钮。在“共享名”文本框中可输入共享名，共享名用于在发布共享时使用，此时输入共享名为office-file第35页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》36发布共享文件夹（Cont1.）配置共享权限当选择了文件夹共享后，还应当配置文件和文件夹权限，以防止具有受限访问权限的用户通过网络连接到该文件夹。配置共享权限，步骤如下：在“文件夹属性”对话框，选择“共享”选项卡，单击“权限”，打开文件夹权限对话框在共享权限对话框中，单击“添加”按钮，打开“选择用户、计算机或组”对话框。在“选择用户、计算机或组”对话框中，选择要为其指派权限的所有用户或组，单击“确定”，则所添加的用户和组连同Everyone组都显示在共享权限列表中。在名称列表中，单击一个用户或组，在下面的权限列表中可以进行权限设置应用正确的权限。在设置相应的权限后，单击Everyone组，然后单击“删除”按钮。第36页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》37发布共享文件夹（Cont2.）在域控制器端在“ActiveDirectory用户和计算机”管理单元中，右键单击“总公司/办公室”组织单位，指向“新建”，然后单击“共享文件夹”命令。在“新建对象–共享文件夹”屏幕上，在“名称”框中键入“公司文件”。在“网络路径”名称框中，输入主机域名和共享文件夹的共享名，例如：键入“\\s1.yuantong.local\office-file”，然后单击“确定”按钮在共享文夹节点上右单击，执行“属性”命令，打开属性对话框。单击“关键字”按钮，输入用于查找的关键字，例如“通知”作为“新值”，然后单击“添加”按钮继续，单击“确定”以完成操作。第37页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》38搜索共享文件夹当共享资源在目录上发布后，用户登录域后，就可以通过网上邻居，在目录中按共享名或关键字搜索ActiveDirectory以查找此共享资源了。双击“网上邻居”，打开网上邻居窗口在“网上邻居”窗口，在“网络任务”区域，点击“搜索ActiveDirectory”超连接，打开“查找”对话框在“查找”下拉列表中，可以选择：用户、联系人及组，计算机，打印机，共享文件夹，打印机，组织单位，自定义搜索，一般性查询。第38页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》39发布打印机对于在WindowsServer2003家族或Windows2000Server家族中共享的打印机，在创建共享打印机时，系统会自动将该打印机的相关信息发布到目录中。在客户端添加新的打印机，在控制面板中，双击“打印机和传真”图标，启动“添加打印机向导”说明：选择“连接到这台计算机的本地打印机”单选钮，并清除“自动检测并安装我的即插即用打印机”复选框。选择“网络打印机”单选钮，意味着从网络中找一共享打印机安装到本地

第39页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》40发布打印机（Cont.）继续按照向导提示操作在“打印机共享”对话窗口中，选择“共享”单选钮，在“共享名”文本框中输入共享名“office-printer”新安装的打印机将自动在ActiveDirectory中发布，在ActiveDirectory中或网上邻居的查找活动目录窗口，可以查找共享打印机。第40页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》41在ActiveDirectory中手动发布打印机对于已经安装好的打印机，可以使用ActiveDirectory用户和计算机管理单元手动发布该打印机。具体步骤如下：在某组织单位节点上右键单击，在快捷菜单中指向“新建”，执行“打印机”命令，显示“新建对象-打印机”对话框。在文本框中，键入打印机路径，即打印机连接计算机域名和打印机共享名，形式为“\\server\sharename”，然后单击“确定”按钮。第41页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》42在ActiveDirectory查找打印机在控制面板中，双击“打印机和传真”图标，打开“打印机和传真”窗口，单击“添加打印机”超链接，启动“添加打印机向导”对话框。在“本地或网络打印机”对话窗口中，选择“网络打印机”单选钮，在“指定打印机”对话窗口中，选择“在目录中查找一个打印机”或“浏览打印机”出现“查找打印机”对话框，单击“开始查找”以搜索在ActiveDirectory中发布的所有打印机。在“查找打印机”页上的“搜索结果”中，双击一台共享打印机。然后，单击“是”（默认值），将这台打印机设置为系统的默认打印机，然后单击“下一步”按钮。最后单击“完成”以完成打印机安装。对于已经安装好的打印机，可以使用ActiveDirectory用户和计算机管理单元手动发布该打印机。具体步骤如下：第42页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》43查找特定对象域拚弃了工作组所使用的“网上邻居”的浏览清单，使用目录。但是，当计算机登录到域后，要使用域中的目录，仍然需要点击网上邻居，在网上邻居窗口，通过“搜索AcitiveDirectory”、“整个网络”等超链接来访问域中资源或工作组资源使用WindowsXP登录域后的网上邻居窗口及查找域中资源第43页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》444.4组策略组策略、构成及功能非本地组策略对象的编辑新建非本地组策略查看组策略应用结果集综合举例第44页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》45什么是组策略？组策略就是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具，它可以帮助管理员完成网络中计算机、用户以及应用的全面管理，提高网络的安全性，同时还可以提高网络管理的工作效率。第45页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》46组策略的构成及功能在组策略中，主要由基于注册表的设置和大量与安全有关的设置构成。通过使用组策略可以设置各种软件、计算机和用户策略。例如，可使用组策略从桌面删除图标、自定义“开始”菜单、简化“控制面板”等操作。此外，还可添加在计算机上（在计算机启动或停止时，以及用户登录或注销时）运行的脚本，甚至可配置InternetExplorer。

第46页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》47本地组策略和非本地组策略组策略对象的分类本地组策略对象本地组策略对象存储在各个本地计算机上，本地策略主要应用在没有域的网络或者一台共享的计算机上。一台计算机上只存储一个本地组策略对象，本地组策略对象被保存在隐藏文件夹\System32\GroupPolicy中，可以通过组策略管理单元访问和查看本地安全策略。非本地组策略（又称网络组策略）存储在域控制器中的非本地组策略对象只能在ActiveDirectory环境下使用，它们适用于组策略对象所关联的站点、域或组织单位中的用户和计算机。应用策略对象本地组策略登录域后，非本地组策略（域策略）被应用第47页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》48使用本地组策略管理单元对于一台Windows

2000/XP/2003操作系统的计算机，通过组策略管理控制台（MMC）可以设置用于本计算机的本地组策略。（1）添加“组策略对象编辑器”管理单元，在“开始”菜单中，执行“运行…”命令，打开“运行”对话框，输入行命令mmc，启动MicrosoftManagementConsole（MMC，管理控制台）（2）在MMC主窗口中，执行“文件”菜单中的“添加/删除管理单元…”菜单命令，打开“添加/删除管理单元”对话框。单击“添加”按钮，打开“添加独立管理单元”对话框，在“可用的独立管理单元”列表中，列出了大量的独立管理单元，选择“组策略对象编辑器”，选择“添加”按钮，启动“组策略向导”，输入组策略的名字，例如“本地计算机策略”，然后返回“添加/删除管理单元”对话框，显示已经添加的管理单元。第48页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》49使用本地组策略管理单元（Cont.）（3）打开组策略对象编辑器，当添加完“组策略对象编辑器”管理单元后，控制台节点树添加“本地计算机策略”节点说明：组策略编辑器是一个名为gpedit.msc的Microsoft管理控制台(MMC)管理单元，用户也可以在“运行”对话框中，输入“gpedit.msc”命令，单击“确定”，直接打开组策略控制台第49页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》50本地组策略配置本地组策略是对本地计算机进行的配置，可以进行本地计算机配置和本地用户配置两个方面的设置。所有策略的设置都将保存到注册表的相关项目中，对计算机策略的设置保存到注册表的HKEY_LOCAL_MACHINE的相关项中，对用户的策略设置将保存到HKEY_CURRENT_USER相关项中。介绍WindowsXPProfessional本地组策略的配置。禁用注册表管理器禁止更改显示属性禁止更改“开始”菜单和“任务栏”限制使用应用程序第50页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》51实例1：禁用注册表管理器打开组策略控制台，依次展开“用户设置、管理模板”，点击“系统”节点在右侧窗口中双击“阻止访问注册表编辑工具”策略，打开相应项目属性对话框，在弹出的对话框中选择“已启用”单选钮，在“禁用后台运行regedit”下拉列表中，选择“否”，完成策略的配置，计算机本地组策略即可生效。第51页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》52实例2：禁止更改显示属性在组策略控制台中依次展开“用户配置/管理模板/控制面板”节点分支，单击“显示”节点。在窗口右侧，显示有关“显示”的各项策略，在相应策略项目上双击，打开策略配置对话框，选择“已启用”即可。应启用的策略包括：隐藏“桌面”选项卡、隐藏“外观和主题”选项卡、隐藏“保护程序”选项卡、隐藏“设置”选项卡等各项策略，还可以对桌面主题、屏幕保护程序等进行个性化设置。第52页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》53实例3：禁止更改“开始”菜单和“任务栏”依次展开“用户配置/管理模板”，单击“任务栏和开始菜单”节点，在右侧窗格中双击“阻止更改‘任务栏和开始菜单’设置”策略，在弹出的“设置”对话框中选择“已启用”复选项框即可。以后我们在右键单击“开始”菜单或“任务栏”时，系统会出现一个错误消息提示是某个设置禁止了这个操作。第53页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》54实例4：限制使用应用程序依次展开“用户配置/管理模板”分支，点击“系统”节点，然后在右侧窗口中双击“只运行许可的Windows应用程序”策略，随后在弹出的对话框中选择“已启用”单选钮，在“应用程序列表”区域，单击“显示…”按钮，打开一个“显示内容”对话框，在此单击“添加”按钮来添加允许运行的应用程序即可。说明：要获得一个应用程序信息，在“开始”菜单中，在菜单项上右单击，打开一个快捷菜单，执行“属性”命令，将显示菜单命令对应的属性对话框，列出了该菜单命令对应的程序信息，包括程序名和保存路径等信息。第54页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》55非本地组策略对象的编辑非本地组策略是在Windows域中建立的组策略，又称网络组策略。网络组策略是在域控制器上，通过组策略编辑器完成的，具体操作步骤如下：在域控制器上，打开“ActiveDirectory用户和计算机”控制台，在域节点上右单击，执行“连接到域…”命令，选择一个要管理的域，否则不能编辑策略。在域节点上右单击，执行“属性”命令，打开域控制器属性对话框，选择“组策略”选项卡第55页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》56非本地组策略对象的编辑（Cont.）在“组策略”选项卡中，单击“新建”按钮，可以新建一个组策略对象GPO；单击“编辑”按钮，将打开活动目录“组策略编辑器”，可对选中的组策略对象进行编辑可以将组策略对象应用于活动目录结构的各种对象，例如站点、域、组织单位OU等目录对象。第56页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》57非本地组策略的配置过程实例1：设置登录界面不显示上次登录的用户名。依次点击“计算机配置/Windows设置/安全设置/本地策略/安全选项”节点在右侧的策略列表中，双击“交互式登录：不显示上次的登录名”策略，打开策略属性设置对话框，选择“已启用”，

第57页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》58新建非本地组策略可以在组织单位或域上，新建非本地组策略对象，该GPO可以应用于其他OU，具体步骤如下：在管理工具中，双击“ActiveDirectory用户和计算机”图标，打开“ActiveDirectory用户和计算机”控制台。单击相关域或组织单位节点，在“操作”菜单中，选择“属性”命令。选择“组策略”选项卡。单击“新建”创建一个策略对象，并为其指定有实际意义的名称，如“办公室域策略”。第58页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》59查看组策略应用结果集根据对象所在的容器不同，多个组策略对象（GPO）可以同时应用到一个域对象。例如，一个域级别的GPO设置可以被应用到域中的所有计算机上，针对不同OU的GPO也可以分别被应用到那个OU的相应对象。WindowsXP提供了策略结果集RsoP（ResultantSetofPolicy）工具和gpresult.exe程序，可以用来查看一个对象上GPO的应用情况。策略结果集RsoPRsoP组件是一个用来显示本地计算机上策略应用情况的MMC组件，要打开这个组件，可以直接在命令行窗口输入RSoP.msc，或者先打开mmc，然后将“策略结果集”添加到MMC中。对每个组策略设置，RsoP都会显示计算机设置（当前计算机的设置情况）以及GPO来源（哪个GPO最终产生了当前的设置）。Gpresult工具Gpresult.exe是一个命令行工具，可以用来查看计算机上最后一次被应用的组策略的详细状态第59页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》60组策略应用综合举例具体要求实：（1）通过组策略设置当某个用户登录后，显示特制的界面，而不是标准的Windows桌面（2）修改其Ctrl+Alt+Del时打开的“Windows安全”对话框。第60页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》61综合举例策略配置（1）自定义系统外壳程序使用组策略，创建一个限制用户对单个应用程序进行访问的GPO，当用户登录后只能运行一个特定的程序，例如财务部门的用户只能运行财务软件。外壳程序为用户提供以下服务：（1）启动一个特定的应用程序，例如：一个特定的用户应用程序，为方便起见本例用Windows自带的计算器程序calc.exe。（2）监视应用程序何时终止；（3）注销用户。设自定义外壳程序命名为myshell.vbs（见教材）第61页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》62综合举例策略配置（2）组策略管理将目标指向将接收该自定义外壳程序的用户，然后创建特定应用程序的桌面安全的组策略对象首先，在“ActiveDirectory用户和计算机”控制台树中，选择希望应用新策略的组织单元(OU)，例如：组织单元“人力资源部”。在组织单元“人力资源部”中，定义一个用户Cherry。稍后将使用该帐户来测试组策略对象。新建组策略对象。在域节点上，右单击，执行属性命令，在属性对话框中，选择“组策略”选项卡，新建一个名为HRGPO的GPO，该HRGPO属于域，下一步可以添加到一个OU中。选择组织单元“人力资源部”，右键单击该OU，执行“属性”命令，选择“组策略”。在组策略选项卡中，单击“添加”按钮，打开“添加组策略对象链接”对话框第62页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》63综合举例策略配置（3）显示域或OU中的组策略对象，此时选择一个需要联接到当前OU的GPO，例如上面建立的HRGPO（人力资源部组策略对象），单击“确定”按钮。第63页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》64综合举例策略配置（4）配置组策略对象由于我们所创建的策略是基于用户的，而不是基于计算机本身，因此我们将只修改策略对象的“用户配置”部分。在自定义GPO的“用户配置”部分，单击“管理模版”节点，其中包括我们要修改的策略。下列是在在HRGPO组策略对象中需要配置的每个策略。“关机”命令设置“系统/Ctrl+Alt+Delete”中的策略选项自定义用户界面第64页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》65综合举例策略配置（5）应用组策略创建了组策略对象并将其链接到OU，并且将自定义外壳程序脚本（此例为myshell.vbs）和应用程序（此例为calc.exe）安装到客户端相应的文件夹中。Cherry用户第一次登录到域时，系统显示正在设置。登录成功后，系统不显示WindowsXP的标准桌面（未定义策略前），而是显示自定义的桌面第65页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》664.5安全性设计用户身份验证授权访问控制启用“审核策略”中的“审核对象访问”设置事件查看器第66页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》67用户身份验证什么是用户身份验证？身份验证是系统验证用户登录信息的过程。本地登录身份验证由工作站执行登录域身份验证由该域的域控制器执行第67页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》68授权什么是授权？授权是验证用户有可以访问域中资源的正确权利和权限的过程。一旦用户帐户通过了身份验证，就可以访问对象，允许访问的类型由指派给用户的权利和附加于对象的权限决定。对于域中的对象，由该对象类型的对象管理器实施访问控制。访问控制访问控制（AccessControl）是对访问网络上对象的用户和组进行身份验证的过程，访问控制是实现授权的一种形式。第68页，课件共78页，创作于2023年2月高等教育“十一五”国家级规划教材《计算机网络原理、技术及应用》69访问控制对象访问控制对象访问控制的对象为文件、打印机和服务器等，统称为对象。当对象创建时，Windows为对象指定所有者，默认情况下，所有者为对象的创建者。安全描述符安全描述符是附加到对象上的一组安全信息。它指定了授予用户和组的对该对象的权限，以及该对象要审核的事件。创建容器或对象时，Windows将自动创