项目四：办 公 网 系 统 管 理

项 目 目 标

掌握活动目录的知识

掌握域、用户、组织单位、组和组策略等知识

掌握安装和配置活动目录

掌握用户、组织单位和组的管理，设置组策略

教 学 目 录网络场景 需求分析 学习准备 项目实施

教学项目分解LAN Engineering Practice

网 络 场 景Teaching content

1 公司所有员工只有在工作日的7:00-18:00才能登录服务器

2 将一些管理权限下放，以适当减轻网络管理员的工作量3 公司内部的一些共享文件等资源可发布到内部网上，供员工访问 4 市场部员工要求使用公司统一的桌面墙纸。研发部的计算机禁用U盘

4.1 需 求 分 析

服务器群

总经理室 财务部

行政部 研发部

工程部 市场部

网讯科技有限公司网络结构图

4.1 需 求 分 析网讯科技有限公司组织单位及用户表

序号 1 2 3 7 9 10 11 12

部门 总经理室 副总经理室 行政部 网络部 财务部 研发部 工程部 市场部

组织单位 总经理室 总经理室 行政部(Administration Dept) 网络部(Network Dept) 财务部(Financial Dept) 研发部(RandD Dept) 工程部(Engineering Dept) 市场部(Marketing Dept)

用户帐户(示例) GM DGM AdminA、AdminB等 NetworkA、NetworkB等 FinancialA、FinancialB等 RandDA、RandDB等 EngineeringA、EngineeringB等 MarketingA、MarketingB等

4.2 知 识 准 备

4.2

Windows Server 2008 R2概述

4.2.1 活动目录4.2.2 用户管理 4.2.3 本地安全策略与组策略

4.2 Windows Server 2008 R2概述

1 网络管理模式与网络操作系统

对等网模式

4.2 Windows Server 2008 R2概述

1 网络管理模式与网络操作系统

客户机/服务器模式

4.2 Windows Server 2008 R2概述

2 Windows Server 2008 R2功能 基础版 标准版 Web版 HPC版 企业版 数据中心版 安腾版

最大物理内存

8 GB

32 GB

32 GB

128 GB

2 TB

2 TB

2 TB

最大物理CPU 热添加内存 热替换内存 热添加处理器 热替换处理器 容错内存同步

1 NO NO NO NO NO

4 NO NO NO NO NO

4 NO NO NO NO NO

4 NO NO NO NO NO

8 YES NO NO NO YES

64 YES YES YES YES YES

64 YES YES YES YES YES

Windows Server 2008 R2各版本及功能表

4.2.1 活动目录

1 活动目录(AD,Active Directory)是Windows Server操作系统平台的中心组件之一，提供了一套为 分布式网络环境设计的目录服务。

4.2.1 活动目录

2 使用活动目录的目的 ①简化管理：提供对用户、应用程序和设备的单一、一致 性的管理点。 ②加强安全性：向用户提供单一的网络资源登录，为管理 员提供强大、一致性的工具以使他们 能够管理为内部台式机用户、远程拨号用户以及外部电子 商务客户提供的安全服务。 ③扩展的互操作性：向所有活动目录特性提供基于标准的 存取方式以及对通用目录的同步支持。

4.2.1 活

动目录

3 活动目录的功能 ①基础网络服务：包括DNS、WINS、DHCP、证书服务等。 ②服务器及客户端计算机管理：管理服务器及客户端计算 机帐户，所有服务器及客户端计算机加入域管理并实施组策 略。 ③用户服务：管理用户域帐户、用户信息、企业通讯录 (与电子邮件系统集成)、用户组管理、用户身份认证、用 户授权管理等，实施组管理策略。 ④资源管理：管理打印机、文件共享服务等网络资源。 ⑤桌面配置：系统管理员可以集中的配置各种桌面配置策 略，如：界面功能的限制、应用程序执行特征限制、网络连 接限制、安全配置限制等。 ⑥应用系统支撑：支持财务、人事、电子邮件、企业信息 门户、办公自动化、补丁管理、防病毒系统等各种应用系统。

4.2.1 活动目录

4 活动目录的逻辑结构(根域) 域树 beijing. 域树 beijing. 子域 shanghai. 子域 子域 子域 shanghai.

域林 (根域)

活动目录的逻辑结构

4.2.1 活动目录

5 活动目录的物理结构 ①域控制器 ②成员服务器 ③站点

4.2.2 用户管理

1 用户帐户 ①Windows Server 2008 R2支持两种用户帐户：本地用户 帐户和域用户帐户 ②Windows Server 2008 R2最常用的两个内置帐户是 Administrator和Guest。 ③用户帐户命名规则 ④用户帐户密码设置规则

4.2.2 用户管理

2 组帐户 组是用户或计算机帐户的集合。通过使用组可以将权 限分配给一组用户而不是单个用户帐户。当将权限分配给组 时，组的所有成员都将继承那些权限，这样可以简化网络管 理。 除了用户帐户外，还可以将其他组、联系人和计算机 添加到组中。将组添加到其他组可以创建合并组并减少需要 分配权限的次数。也可将计算机添加到组中，简化从一台计 算机上访问另外一台计算机上资源的系统任务。

4.2.2 用户管理

3 组织单位 组是组织单位(Organizational Unit,简称OU)是可以 将用户、组、计算机和其他组织单位放入其中的AD容器，是 可以指派组策略设置或委派管理权限的最小作用域或单位。 通俗地说，如果把AD比作一个企业的话，那么每个OU就相 当于一个相对独立的部门。

4.2.2 用户管理

4 注意 组和组织单位有很大的不同。组主要用于权限设置， 而组织单位则主要用于网络构建；另外，组只表示单个域中 的对象集合(可包括组对象),而组织单位可以包含用户、 计算机、本地服务器上的共享资源、单个域、域树或域林。 如何进行组织单位划分是与企业的管理策略相关的。根据 企业对不同部分的安全策略来决定如何划分OU,有些时候是 按部门，有些时候按区域，也有根据分公司来进行划分的

。 而组，则可以根据所属组的员工的共有特性来进行划分， 例如性别、在一个Office、一个Team、从事相同的工作等等。 一个用户只能归属到一个OU,但能关联到多个组。

4.2.3 本地安全策略与组策略

本地安全策略与组策略则将系统重要的配置功能汇集 成各种配置模块，供管理员直接使用，从而达到方便管理计 算机和域的目的。所以，本地安全策略与组策略设置就是在 修改注册表中的配置。当然，本地安全策略与组策略使用了 更完善的管理组织方法，可以对各种对象中的设置进行管理 和配置，远比手工修改注册表方便、灵活，功能也更加强大。

4.3 项 目 实 施

任务一：安装Windows Server 2008 R2

任务二：配置Windows Server 2008工作环境任务三：部署活动目录域服务 任务四：配置活动目录 任务五：组策略管理