一,域與工作組有何區別
域是集中化管理,一臺計算機如果 加入了域中,那麼所有本地的資源都會受到域管理員的控制;也就是說域管理員集中管理着整個網絡的運作.
工作組是分散式管理,一臺機器可以隨便的加入到任意一個工作組中,工作組中的每一臺機器都有自己自主權,本地的管理員控制了資源的所有權以及資源的分配和共享.
二,域有什麼作用,何時使用域
域主要是爲了方便管理,方便使用網絡中的資源,提高網絡的集中度和安全度.
域主要用於網絡規模比較大網絡使用量比較大,資源共享度比較大的場合,最爲重要的是網絡中的資源屬於個人私自的不太多的場合.
比如:一個企業組建的內部網,公司員工使用的機器都是企業的機器,機器裏存放的資源也是與企業有關的,況且,員工之間要經常的進行數據交流和資源共享.這樣就有必要使用域模式的網絡了.
二,工作組有什麼作用,何時使用工作組
如果網絡中的主機都是個人私有的,並且主機與主機之間的關係並不是那麼的集中.還有,內部網絡利用率並不是那麼的高.這時比較適合使用工作組模式.
比如一個內部局域網,網絡內部的主機與主機之間的交流比較少,交流的範圍也比較小,最重要的是網絡中的主機都是個人私有的,所以使用工作組模式是最好不過的.
三,域由哪些類型的機器組成,每種類型的機器都有什麼作用
域由一些計算機組成,這些計算機按類別分可以分爲:域控制器,成員服務器,客戶機.
1)域控制器是一種服務器,安裝有活動目錄,主要是利用此來進行網絡的安全覈查以及資源共享;
2)成員服務器也是一種服務器,它沒有安裝活動目錄,不能提供網絡的安全覈查等工作,但是可以提供其他的網絡服務,比如:web服務,ftp服務等;
3)客戶機是網絡中僅僅享受服務的機器,客戶機上的操作系統一般爲桌面型的,如:windows98,2000professional等.
一個域中可以有多臺域控制器,它們存放的活動目錄內容是一樣的
信息同步複製
四,如何建立一個新域
開始-----運行-------鍵入dcpromo命令
開始----程序----管理工具----配置服務器
打開活動目錄安裝嚮導中進行必要的配置
五,如何把一臺計算機加入到一個域中
前提一:這臺計算機需要安裝微軟系列的操作系統.最好是2000系列.
前提二:必須在網絡中可以找到域控制器,所以在輸入域名的時候,如果網絡中沒有定義DNS服務器,那麼就必須輸入域的NETBIOS名稱.
前提三:需要有一個域用戶賬號或者是域管理員賬號.
域是集中化管理,一臺計算機如果 加入了域中,那麼所有本地的資源都會受到域管理員的控制;也就是說域管理員集中管理着整個網絡的運作.
工作組是分散式管理,一臺機器可以隨便的加入到任意一個工作組中,工作組中的每一臺機器都有自己自主權,本地的管理員控制了資源的所有權以及資源的分配和共享.
二,域有什麼作用,何時使用域
域主要是爲了方便管理,方便使用網絡中的資源,提高網絡的集中度和安全度.
域主要用於網絡規模比較大網絡使用量比較大,資源共享度比較大的場合,最爲重要的是網絡中的資源屬於個人私自的不太多的場合.
比如:一個企業組建的內部網,公司員工使用的機器都是企業的機器,機器裏存放的資源也是與企業有關的,況且,員工之間要經常的進行數據交流和資源共享.這樣就有必要使用域模式的網絡了.
二,工作組有什麼作用,何時使用工作組
如果網絡中的主機都是個人私有的,並且主機與主機之間的關係並不是那麼的集中.還有,內部網絡利用率並不是那麼的高.這時比較適合使用工作組模式.
比如一個內部局域網,網絡內部的主機與主機之間的交流比較少,交流的範圍也比較小,最重要的是網絡中的主機都是個人私有的,所以使用工作組模式是最好不過的.
三,域由哪些類型的機器組成,每種類型的機器都有什麼作用
域由一些計算機組成,這些計算機按類別分可以分爲:域控制器,成員服務器,客戶機.
1)域控制器是一種服務器,安裝有活動目錄,主要是利用此來進行網絡的安全覈查以及資源共享;
2)成員服務器也是一種服務器,它沒有安裝活動目錄,不能提供網絡的安全覈查等工作,但是可以提供其他的網絡服務,比如:web服務,ftp服務等;
3)客戶機是網絡中僅僅享受服務的機器,客戶機上的操作系統一般爲桌面型的,如:windows98,2000professional等.
一個域中可以有多臺域控制器,它們存放的活動目錄內容是一樣的
信息同步複製
四,如何建立一個新域
開始-----運行-------鍵入dcpromo命令
開始----程序----管理工具----配置服務器
打開活動目錄安裝嚮導中進行必要的配置
五,如何把一臺計算機加入到一個域中
前提一:這臺計算機需要安裝微軟系列的操作系統.最好是2000系列.
前提二:必須在網絡中可以找到域控制器,所以在輸入域名的時候,如果網絡中沒有定義DNS服務器,那麼就必須輸入域的NETBIOS名稱.
前提三:需要有一個域用戶賬號或者是域管理員賬號.
局域網中工作組和域的差別
“自由”的工作組
工作組(Work Group)就是將不同的電腦按功能分別列入不同的組中,以方便管理。比如在一個網絡內,可能有成百上千臺工作電腦,如果這些電腦不進行分組,都列在“網上鄰居”內,可想而知會有多麼亂(恐怕網絡鄰居也會顯示“下一頁”吧)。爲了解決這一問題,Windows 9x/NT/2000才引用了“工作組”這個概念,比如一所高校,會分爲諸如數學系、中文系之類的,然後數學系的電腦全都列入數學系的工作組中,中文系的電腦全部都列入到中文系的工作組中……如果你要訪問某個系別的資源,就在“網上鄰居”裏找到那個系的工作組名,雙擊就可以看到那個系別的電腦了。
那麼怎麼樣才能加入到工作組中呢?其實方法很簡單,只需要右擊Windows桌面上的“網上鄰居”,在彈出的菜單出選擇“屬性”,點擊“標識”,在“計算機名”一欄中添入你想好的名字,在“工作組”一欄中添入你想加入的工作組名稱。如果你輸入的工作組名稱是一個不存在的工作組,那麼就相當於新建一個工作組,當然也只有你自己的電腦在裏面。不過要注意,計算機名和工作組的長度都不能超過15個英文字符,可以輸入漢字,但是也不能超過7個漢字。“計算機說明”是附加信息,不填也可以,但是最好填上一些這臺電腦主人的信息,如“數學系主機”等。單擊“確定”按鈕後,Windows 98提示需要重新啓動,按要求重新啓動之後,再進入“網上鄰居”,就可以看到你所在工作組的成員了。
相對而言,所處在同一個工作組內部成員相互交換信息的頻率最高,所以你一進入“網上鄰居”,首先看到的是你所在工作組的成員。如果要訪問其他工作組的成員,需要雙擊“整個網絡”,然後你纔會看到網絡上其他的工作組,雙擊其他工作組的名稱,這樣你纔可以看到裏面的成員,與之實現資源交換。
除此之外,你也可以退出某個工作組,方法也很簡單,只要將工作組名稱改變一下即可。不過這樣在網上別人照樣可以訪問你的共享資源,只不過換了一個工作組而已。也就是說,你可以隨便加入同一網絡上的任何工作組,也可以隨時離開一個工作組。“工作組”就像一個自由加入和退出的俱樂部一樣。它本身的作用僅僅是提供一個“房間”,以方便網上計算機共享資源的瀏覽。
域的管理和設置
打個比方,如果說工作組是“免費的旅店”那麼域(Domain)就是“星級的賓館”;工作組可以隨便出出進進,而域則需要嚴格控制。“域”的真正含義指的是服務器控制網絡上的計算機能否加入的計算機組合。一提到組合,勢必需要嚴格的控制。所以實行嚴格的管理對網絡安全是非常必要的。在對等網模式下,任何一臺電腦只要接入網絡,其他機器就都可以訪問共享資源,如共享上網等。儘管對等網絡上的共享文件可以加訪問密碼,但是非常容易被破解。在由Windows 9x構成的對等網中,數據的傳輸是非常不安全的。
不過在“域”模式下,至少有一臺服務器負責每一臺聯入網絡的電腦和用戶的驗證工作,相當於一個單位的門衛一樣,稱爲“域控制器(Domain Controller,簡寫爲DC)”。
域控制器中包含了由這個域的賬戶、密碼、屬於這個域的計算機等信息構成的數據庫。當電腦聯入網絡時,域控制器首先要鑑別這臺電腦是否是屬於這個域的,用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息有一樣不正確,那麼域控制器就會拒絕這個用戶從這臺電腦登錄。不能登錄,用戶就不能訪問服務器上有權限保護的資源,他只能以對等網用戶的方式訪問Windows共享出來的資源,這樣就在一定程度上保護了網絡上的資源。
要把一臺電腦加入域,僅僅使它和服務器在網上鄰居中能夠相互“看”到是遠遠不夠的,必須要由網絡管理員進行相應的設置,把這臺電腦加入到域中。這樣才能實現文件的共享。
1. 服務器端設置
以系統管理員身份在已經設置好Active Directory(活動目錄)的Windows 2000 Server上登錄,選擇“開始”菜單中“程序”選項中的“管理工具”,然後再選擇“Active Directory用戶和計算機”,之後在程序界面中右擊“Computers”,在彈出的菜單中單擊“新建”,然後選擇“計算機”,之後填入想要加入域的計算機名即可。要加入域的計算機名最好爲英文,中文計算機名可能會引起一些問題。
2. 客戶端設置
首先要確認計算機名稱是否正確,然後在桌面“網上鄰居”上右擊鼠標,點擊“屬性”出現網絡屬性設置窗口,確認“主網絡登錄”爲“Microsoft網絡用戶”。選中窗口上方的“Microsoft網絡用戶”(如果沒有此項,說明沒有安裝,點擊“添加”安裝“Microsoft網絡用戶”選項)。點擊“屬性”按鈕,出現“Microsoft網絡用戶屬性”對話框,選中“登錄到Windows NT域”複選框,在“Windows NT域”中輸入要登錄的域名即可。這時,如果是Windows 98操作系統的話,系統會提示需要重新啓動計算機,重新啓動計算機之後,會出現一個登錄對話框。在輸入正確的域用戶賬號、密碼以及登錄域之後,就可以使用Windows 2000 Server域中的資源了。請注意,這裏的域用戶賬號和密碼,必須是網絡管理員爲用戶建的那個賬號和密碼,而不是由本機用戶自己創建的賬號和密碼。如果沒有將計算機加入到域中,或者登錄的域名、用戶名、密碼有一項不正確,都會出現錯誤信息。
“自由”的工作組
工作組(Work Group)就是將不同的電腦按功能分別列入不同的組中,以方便管理。比如在一個網絡內,可能有成百上千臺工作電腦,如果這些電腦不進行分組,都列在“網上鄰居”內,可想而知會有多麼亂(恐怕網絡鄰居也會顯示“下一頁”吧)。爲了解決這一問題,Windows 9x/NT/2000才引用了“工作組”這個概念,比如一所高校,會分爲諸如數學系、中文系之類的,然後數學系的電腦全都列入數學系的工作組中,中文系的電腦全部都列入到中文系的工作組中……如果你要訪問某個系別的資源,就在“網上鄰居”裏找到那個系的工作組名,雙擊就可以看到那個系別的電腦了。
那麼怎麼樣才能加入到工作組中呢?其實方法很簡單,只需要右擊Windows桌面上的“網上鄰居”,在彈出的菜單出選擇“屬性”,點擊“標識”,在“計算機名”一欄中添入你想好的名字,在“工作組”一欄中添入你想加入的工作組名稱。如果你輸入的工作組名稱是一個不存在的工作組,那麼就相當於新建一個工作組,當然也只有你自己的電腦在裏面。不過要注意,計算機名和工作組的長度都不能超過15個英文字符,可以輸入漢字,但是也不能超過7個漢字。“計算機說明”是附加信息,不填也可以,但是最好填上一些這臺電腦主人的信息,如“數學系主機”等。單擊“確定”按鈕後,Windows 98提示需要重新啓動,按要求重新啓動之後,再進入“網上鄰居”,就可以看到你所在工作組的成員了。
相對而言,所處在同一個工作組內部成員相互交換信息的頻率最高,所以你一進入“網上鄰居”,首先看到的是你所在工作組的成員。如果要訪問其他工作組的成員,需要雙擊“整個網絡”,然後你纔會看到網絡上其他的工作組,雙擊其他工作組的名稱,這樣你纔可以看到裏面的成員,與之實現資源交換。
除此之外,你也可以退出某個工作組,方法也很簡單,只要將工作組名稱改變一下即可。不過這樣在網上別人照樣可以訪問你的共享資源,只不過換了一個工作組而已。也就是說,你可以隨便加入同一網絡上的任何工作組,也可以隨時離開一個工作組。“工作組”就像一個自由加入和退出的俱樂部一樣。它本身的作用僅僅是提供一個“房間”,以方便網上計算機共享資源的瀏覽。
域的管理和設置
打個比方,如果說工作組是“免費的旅店”那麼域(Domain)就是“星級的賓館”;工作組可以隨便出出進進,而域則需要嚴格控制。“域”的真正含義指的是服務器控制網絡上的計算機能否加入的計算機組合。一提到組合,勢必需要嚴格的控制。所以實行嚴格的管理對網絡安全是非常必要的。在對等網模式下,任何一臺電腦只要接入網絡,其他機器就都可以訪問共享資源,如共享上網等。儘管對等網絡上的共享文件可以加訪問密碼,但是非常容易被破解。在由Windows 9x構成的對等網中,數據的傳輸是非常不安全的。
不過在“域”模式下,至少有一臺服務器負責每一臺聯入網絡的電腦和用戶的驗證工作,相當於一個單位的門衛一樣,稱爲“域控制器(Domain Controller,簡寫爲DC)”。
域控制器中包含了由這個域的賬戶、密碼、屬於這個域的計算機等信息構成的數據庫。當電腦聯入網絡時,域控制器首先要鑑別這臺電腦是否是屬於這個域的,用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息有一樣不正確,那麼域控制器就會拒絕這個用戶從這臺電腦登錄。不能登錄,用戶就不能訪問服務器上有權限保護的資源,他只能以對等網用戶的方式訪問Windows共享出來的資源,這樣就在一定程度上保護了網絡上的資源。
要把一臺電腦加入域,僅僅使它和服務器在網上鄰居中能夠相互“看”到是遠遠不夠的,必須要由網絡管理員進行相應的設置,把這臺電腦加入到域中。這樣才能實現文件的共享。
1. 服務器端設置
以系統管理員身份在已經設置好Active Directory(活動目錄)的Windows 2000 Server上登錄,選擇“開始”菜單中“程序”選項中的“管理工具”,然後再選擇“Active Directory用戶和計算機”,之後在程序界面中右擊“Computers”,在彈出的菜單中單擊“新建”,然後選擇“計算機”,之後填入想要加入域的計算機名即可。要加入域的計算機名最好爲英文,中文計算機名可能會引起一些問題。
2. 客戶端設置
首先要確認計算機名稱是否正確,然後在桌面“網上鄰居”上右擊鼠標,點擊“屬性”出現網絡屬性設置窗口,確認“主網絡登錄”爲“Microsoft網絡用戶”。選中窗口上方的“Microsoft網絡用戶”(如果沒有此項,說明沒有安裝,點擊“添加”安裝“Microsoft網絡用戶”選項)。點擊“屬性”按鈕,出現“Microsoft網絡用戶屬性”對話框,選中“登錄到Windows NT域”複選框,在“Windows NT域”中輸入要登錄的域名即可。這時,如果是Windows 98操作系統的話,系統會提示需要重新啓動計算機,重新啓動計算機之後,會出現一個登錄對話框。在輸入正確的域用戶賬號、密碼以及登錄域之後,就可以使用Windows 2000 Server域中的資源了。請注意,這裏的域用戶賬號和密碼,必須是網絡管理員爲用戶建的那個賬號和密碼,而不是由本機用戶自己創建的賬號和密碼。如果沒有將計算機加入到域中,或者登錄的域名、用戶名、密碼有一項不正確,都會出現錯誤信息。
1.服務器配置因爲只有本地辦公,所以只需要單域就夠了。服務器是三臺IBM 服務器,操作系統是WINDOWS 2000 SERVER版(也不一定要三臺,實際上一臺也能完成這些服務,至於用不用高級服務器版隨你便了)。
SERVER(192.168.0.1):主域控制器,域名final.com,IP192.168.0.1;並配置爲主DNS服務器(轉發DNS請求到ISP的DNS服務器IP,這樣當客戶機的DNS指向SERVER時不僅可以正常使用局域網也可以訪問Internet);安裝WINS服務。
SERVER2(192.168.0.2):備份域控制器,DHCP服務器,建立作用域192.168.0.0/24,提供192.168.0.10~192.168.0.100(具體提供多少IP地址請根據需要自定,關鍵是請留出一部分IP給服務器用);配置作用域選項,其中網關爲192.168.0.254(寬帶共享路由器),DNS、WINS服務器地址爲192.168.0.1. SERVER3(192.168.0.3):備用。
如果爲了穩定,可以在SERVER2上配置爲DNS爲主DNS的備份區域及GC,這樣即使SERVER因調試重啓或故障暫時不能使用時保證客戶機仍可正常使用網絡。
請不要問我如何安裝DC、DNS、DHCP、WINS服務,微軟的設計簡直就是*瓜化的安裝。
2.OU的建立公司有人事部、行政部、財務部、工程部、市場部五個部門(虛擬的)。
爲了管理及配置策略方便,建立以下OU層級。
建立一級OU名爲“FINAL”,“FINAL”下建三個二級OU,分別爲“管理員”、“公司領導”、“部門”。在“部門”下按部門名稱建立五個部門OU.在每個二級OU和**OU下分別建立安全組和用戶,並把用戶加入相應的安全組。
用戶帳號建立原則:以公司花名冊爲準,用員工工號爲登錄名建立用戶帳號,建立後移動到相應的部門OU,並加入相應的安全組,員工的帳號均爲Domain Users組。
如在“管理員”OU裏建立“管理組”,建立用戶“000”,並把用戶“000”加入安全組“管理組”;在OU“部門”-“人事部”下建立用戶“004”,加入安全組“人事組”。
建立用戶帳號的時候請完整輸入用戶的姓名資料,以便日後若安裝Exchange時使用。
注:這時OU裏並沒有計算機帳號,因爲在設計OU時客戶機並沒有安裝,請看後面的客戶機安裝。
3.組策略及網絡使用按以上設計的OU層級,可以在公司、管理層次、功能部門分別設計相應的組策略。以下舉兩個實例以供參考。
例一:限制客戶機登錄用戶客戶機加入域後(客戶機的安裝及配置見後),默認情況下任何一個域帳號可以在任何一臺客戶機登錄到域使用該臺客戶機。可我朋友公司的人竟然不接受這個觀點,說這樣子豈不是每個人的電腦其他人都可以打開了,不安全,要給每臺電腦再加上CMOS開機密碼。當時我氣的差點兒六孔噴血而亡(當時正在吃KFC,嘴裏不會吐出來的)。
在我幾番耐心講解,告訴他們“電腦應做爲公司一種共享的辦公設備,而不是某個單用的電腦。任何一個連入網絡的設備(電腦、打印機)都是網絡的一部分,都是公司的資源”。終於達成以下協議,每個部門的人只能登錄該部門的電腦。這一點從一定程度上增加了客戶機的安全性。
在**OU,如“人事部”上創建組策略,在“計算機設置”-“本地策略”-“用戶權利指派”-“在本地登錄”,設置Domain Admin組和“人事組”有效,這樣只有管理員和人事部的人才能登錄人事部的電腦了。其他部門分別添加相應組策略。
例二:網絡共享的設計及文件夾重定向由於給用戶的是Domain User的權限,所以用戶不能共享本地的文件,那麼如何解決用戶文件共享的需要呢?這就要求在服務器上有管理員統一設置了。
服務器上的共享:在SERVER3上建立一個文件夾“DATA”,並完全共享,共享名爲默認的“DATA”。在“DATA”文件夾下建立“SHARE DOCUENT”文件夾,在此文件夾建立每個部門的文件夾並設置NTFS權限。
其中DATA,Share document文件夾設置Domain Admin組,SYSTEM完全控制,Everyone只讀;部門文件夾的NTFS權限設置爲Domain admin組和本部門安全組有完全控制權限,Everyone只讀。
用戶帳號配置:建立用戶帳號時,爲用戶配置“主文件夾”,連接到服務器上的本部門文件夾。
圖中的部門文件夾路徑應爲完整的UNC,如 “\\server3\data\share document\人事部”。
這樣設置當用戶登錄後在“我的電腦”裏會多一個網絡映射Z盤,映射到用戶本部門共享文件夾,用戶可以把需要共享的文件拷貝到Z盤,其他用戶就可以通過共享訪問。
放在共享裏的文件,本部門人的有完全控制權限,其他部門人具有隻讀權限。用戶可以進一步在本部門文件夾內建立自己的文件夾,並設置更嚴格的權限。有些用戶可能沒有固定的電腦,個人文件放在部門共享文件夾裏會有一些問題出現。一是安全性有待進一步設計,二是用戶對共享不是很熟悉,多數人不會去設置文件夾安全屬性。考慮到這一點,再加上文件存放的方便性,我做了文件夾重定向。
在一級OU FINAL上添加組策略,這是爲了保證域內所有的用戶的My Document文件夾都存放到服務器上。
組策略-用戶配置-Windows設置-文件夾重定向,設置My Document屬性,設置"基本-將每個人的文件夾定向到同一位置","目錄文件夾位置"爲file://Server3/Data/User Document/%username.以上的設計完成了兩個通過網絡共享方案:(1)存放在My Document裏的文件,用戶無論在哪臺客戶機登錄時均可正常訪問,且只有自己可以訪問;(2)各部門可在服務器上共享文件,且只有本部門有修改權限。
還可以在服務器上再建立一個文件夾,讓所有用戶均可以任意讀寫的權限。
再提一點,爲了防止用戶在服務器上存放垃圾文件並提高服務器的利用率,在Server3上啓用磁盤限額,每個用戶默認限制使用100M.這裏的100M是用戶存放在My Document和部門共享文件夾裏的文件總和。
組策略的設計關鍵在於你有什麼需求,有了需求再去設計該用什麼策略來完成它。
首先,要確定所需策略設置的類型。策略設置通常劃分爲以下幾部分:
1、安全設置。
2、要部署的應用程序包。
2、計算機系統設置。
3、用戶環境設置。
4、特定於應用程序的設置。
SERVER(192.168.0.1):主域控制器,域名final.com,IP192.168.0.1;並配置爲主DNS服務器(轉發DNS請求到ISP的DNS服務器IP,這樣當客戶機的DNS指向SERVER時不僅可以正常使用局域網也可以訪問Internet);安裝WINS服務。
SERVER2(192.168.0.2):備份域控制器,DHCP服務器,建立作用域192.168.0.0/24,提供192.168.0.10~192.168.0.100(具體提供多少IP地址請根據需要自定,關鍵是請留出一部分IP給服務器用);配置作用域選項,其中網關爲192.168.0.254(寬帶共享路由器),DNS、WINS服務器地址爲192.168.0.1. SERVER3(192.168.0.3):備用。
如果爲了穩定,可以在SERVER2上配置爲DNS爲主DNS的備份區域及GC,這樣即使SERVER因調試重啓或故障暫時不能使用時保證客戶機仍可正常使用網絡。
請不要問我如何安裝DC、DNS、DHCP、WINS服務,微軟的設計簡直就是*瓜化的安裝。
2.OU的建立公司有人事部、行政部、財務部、工程部、市場部五個部門(虛擬的)。
爲了管理及配置策略方便,建立以下OU層級。
建立一級OU名爲“FINAL”,“FINAL”下建三個二級OU,分別爲“管理員”、“公司領導”、“部門”。在“部門”下按部門名稱建立五個部門OU.在每個二級OU和**OU下分別建立安全組和用戶,並把用戶加入相應的安全組。
用戶帳號建立原則:以公司花名冊爲準,用員工工號爲登錄名建立用戶帳號,建立後移動到相應的部門OU,並加入相應的安全組,員工的帳號均爲Domain Users組。
如在“管理員”OU裏建立“管理組”,建立用戶“000”,並把用戶“000”加入安全組“管理組”;在OU“部門”-“人事部”下建立用戶“004”,加入安全組“人事組”。
建立用戶帳號的時候請完整輸入用戶的姓名資料,以便日後若安裝Exchange時使用。
注:這時OU裏並沒有計算機帳號,因爲在設計OU時客戶機並沒有安裝,請看後面的客戶機安裝。
3.組策略及網絡使用按以上設計的OU層級,可以在公司、管理層次、功能部門分別設計相應的組策略。以下舉兩個實例以供參考。
例一:限制客戶機登錄用戶客戶機加入域後(客戶機的安裝及配置見後),默認情況下任何一個域帳號可以在任何一臺客戶機登錄到域使用該臺客戶機。可我朋友公司的人竟然不接受這個觀點,說這樣子豈不是每個人的電腦其他人都可以打開了,不安全,要給每臺電腦再加上CMOS開機密碼。當時我氣的差點兒六孔噴血而亡(當時正在吃KFC,嘴裏不會吐出來的)。
在我幾番耐心講解,告訴他們“電腦應做爲公司一種共享的辦公設備,而不是某個單用的電腦。任何一個連入網絡的設備(電腦、打印機)都是網絡的一部分,都是公司的資源”。終於達成以下協議,每個部門的人只能登錄該部門的電腦。這一點從一定程度上增加了客戶機的安全性。
在**OU,如“人事部”上創建組策略,在“計算機設置”-“本地策略”-“用戶權利指派”-“在本地登錄”,設置Domain Admin組和“人事組”有效,這樣只有管理員和人事部的人才能登錄人事部的電腦了。其他部門分別添加相應組策略。
例二:網絡共享的設計及文件夾重定向由於給用戶的是Domain User的權限,所以用戶不能共享本地的文件,那麼如何解決用戶文件共享的需要呢?這就要求在服務器上有管理員統一設置了。
服務器上的共享:在SERVER3上建立一個文件夾“DATA”,並完全共享,共享名爲默認的“DATA”。在“DATA”文件夾下建立“SHARE DOCUENT”文件夾,在此文件夾建立每個部門的文件夾並設置NTFS權限。
其中DATA,Share document文件夾設置Domain Admin組,SYSTEM完全控制,Everyone只讀;部門文件夾的NTFS權限設置爲Domain admin組和本部門安全組有完全控制權限,Everyone只讀。
用戶帳號配置:建立用戶帳號時,爲用戶配置“主文件夾”,連接到服務器上的本部門文件夾。
圖中的部門文件夾路徑應爲完整的UNC,如 “\\server3\data\share document\人事部”。
這樣設置當用戶登錄後在“我的電腦”裏會多一個網絡映射Z盤,映射到用戶本部門共享文件夾,用戶可以把需要共享的文件拷貝到Z盤,其他用戶就可以通過共享訪問。
放在共享裏的文件,本部門人的有完全控制權限,其他部門人具有隻讀權限。用戶可以進一步在本部門文件夾內建立自己的文件夾,並設置更嚴格的權限。有些用戶可能沒有固定的電腦,個人文件放在部門共享文件夾裏會有一些問題出現。一是安全性有待進一步設計,二是用戶對共享不是很熟悉,多數人不會去設置文件夾安全屬性。考慮到這一點,再加上文件存放的方便性,我做了文件夾重定向。
在一級OU FINAL上添加組策略,這是爲了保證域內所有的用戶的My Document文件夾都存放到服務器上。
組策略-用戶配置-Windows設置-文件夾重定向,設置My Document屬性,設置"基本-將每個人的文件夾定向到同一位置","目錄文件夾位置"爲file://Server3/Data/User Document/%username.以上的設計完成了兩個通過網絡共享方案:(1)存放在My Document裏的文件,用戶無論在哪臺客戶機登錄時均可正常訪問,且只有自己可以訪問;(2)各部門可在服務器上共享文件,且只有本部門有修改權限。
還可以在服務器上再建立一個文件夾,讓所有用戶均可以任意讀寫的權限。
再提一點,爲了防止用戶在服務器上存放垃圾文件並提高服務器的利用率,在Server3上啓用磁盤限額,每個用戶默認限制使用100M.這裏的100M是用戶存放在My Document和部門共享文件夾裏的文件總和。
組策略的設計關鍵在於你有什麼需求,有了需求再去設計該用什麼策略來完成它。
首先,要確定所需策略設置的類型。策略設置通常劃分爲以下幾部分:
1、安全設置。
2、要部署的應用程序包。
2、計算機系統設置。
3、用戶環境設置。
4、特定於應用程序的設置。