組策略在企業(yè)中的應(yīng)用(管理軟件部署和審核)畢業(yè)設(shè)計(jì)

1、常州信息職業(yè)技術(shù)學(xué)院學(xué)生畢業(yè)設(shè)計(jì)（論文）報(bào)告系 別： 網(wǎng)絡(luò)與通信工程學(xué)院 專(zhuān) 業(yè)： 通信網(wǎng)絡(luò)設(shè)備與管理 班 號(hào)： 通信網(wǎng)絡(luò)與設(shè)備 112 學(xué) 生 姓 名： 徐 倩 學(xué) 生 學(xué) 號(hào)： 1108153227 設(shè)計(jì)（論文）題目： 組策略在企業(yè)中的應(yīng)用（管理軟件部署和審核）指 導(dǎo) 教 師： 鞠 光 明 設(shè) 計(jì) 地 點(diǎn)： 常州信息職業(yè)技術(shù)學(xué)院 起 迄 日 期： 2013.09-2013.11 畢業(yè)設(shè)計(jì)（論文）任務(wù)書(shū)專(zhuān)業(yè) 通信網(wǎng)絡(luò)與設(shè)備 班級(jí) 通信網(wǎng)絡(luò)與設(shè)備 112 姓名 徐倩 一、課題名稱(chēng)： 組策略在企業(yè)中的應(yīng)用（管理軟件部署和審核） 二、主要技術(shù)指標(biāo)（或基本要求）：Windows Server 200

2、8活動(dòng)目錄的技術(shù)特點(diǎn)（資源、賬戶(hù)集中管理，單一登錄、全網(wǎng)訪(fǎng)問(wèn)）；Windows Server 2008組策略的特點(diǎn)（對(duì)整個(gè)計(jì)算機(jī)和用戶(hù)集中進(jìn)行桌面環(huán)境設(shè)置和安全設(shè)置）；Windows Server 2008組策略的應(yīng)用指標(biāo)（對(duì)用戶(hù)桌面環(huán)境的設(shè)置、對(duì)網(wǎng)絡(luò)和系統(tǒng)安全的設(shè)置、對(duì)網(wǎng)絡(luò)應(yīng)用和網(wǎng)絡(luò)服務(wù)的設(shè)置等）。 三、主要工作內(nèi)容：本設(shè)計(jì)實(shí)現(xiàn)企業(yè)Windows Server 2008組策略的應(yīng)用，主要內(nèi)容是:（1）了解Windows活動(dòng)目錄中組策略的基本結(jié)構(gòu)；（2）設(shè)計(jì)Windows組策略在企業(yè)中的應(yīng)用架構(gòu)；（3）GPMC的安裝與管理；（4）利用組策略管理軟件部署；（5）利用組策略進(jìn)行軟件管理和資源訪(fǎng)問(wèn)審

3、核。 要求：制定切實(shí)可行的工作計(jì)劃，發(fā)揚(yáng)獨(dú)立思考、勇于探索的精神，按照畢業(yè)設(shè)計(jì)任務(wù)書(shū)要求保質(zhì)保量地完成畢業(yè)設(shè)計(jì)工作。 四、主要參考文獻(xiàn)： 1微軟公司. Windows Server 2008 活動(dòng)目錄服務(wù)的實(shí)現(xiàn)與管理. 第1版. 北京：人民郵電出版社，2011. 1-439 2鞠光明. Windows服務(wù)器維護(hù)與管理教程與實(shí)訓(xùn). 第2版. 北京：北京大學(xué)出版社，2010. 166-225 3周有丹.企業(yè)網(wǎng)絡(luò)組建與應(yīng)用. 第1版. 北京：科學(xué)出版社，2010.10 613-633 4鐘小平.企業(yè)網(wǎng)絡(luò)安全實(shí)戰(zhàn)指南. 第1版. 北京：人民郵電出版社，2009.01 283-375 學(xué) 生（簽名） 年

4、 月 日 指 導(dǎo) 教師（簽名） 年 月 日 教研室主任（簽名） 年 月 日系 主 任（簽名） 年 月 日畢業(yè)設(shè)計(jì)（論文）開(kāi)題報(bào)告設(shè)計(jì)（論文）題目組策略在企業(yè)中的應(yīng)用（管理軟件部署和審核）一、 選題的背景和意義：背景：隨著Internet接入的普及和帶寬的增加，一方面員工上網(wǎng)的條件得到改善，另一方面也給公司帶來(lái)更高的網(wǎng)絡(luò)使用危險(xiǎn)性、復(fù)雜性和混亂，內(nèi)部員工的不當(dāng)操作等使信息維護(hù)人員疲于奔命。針對(duì)以上這些因素，我們可以通過(guò)組策略來(lái)統(tǒng)一定義客戶(hù)端機(jī)器的安全策略，規(guī)范，引導(dǎo)用戶(hù)安全使用辦公電腦。意義：組策略的作用就是用來(lái)給網(wǎng)絡(luò)管理員授予更多的活動(dòng)目錄用戶(hù)控制權(quán)。擁有了組策略技術(shù)，實(shí)現(xiàn)對(duì)域中電腦集中管理應(yīng)

5、用軟件，就不再為花資金和時(shí)間監(jiān)督員工電腦，反反復(fù)復(fù)配置每臺(tái)電腦中注冊(cè)表，為每臺(tái)電腦安裝、卸載軟件煩惱。二、 課題研究的主要內(nèi)容：（1）了解Windows活動(dòng)目錄中組策略的基本結(jié)構(gòu)；（2）設(shè)計(jì)Windows組策略在企業(yè)中的應(yīng)用架構(gòu)；（3）GPMC的安裝與管理；（4）利用組策略管理軟件部署；（5）利用組策略進(jìn)行軟件管理和資源訪(fǎng)問(wèn)審核。三、 主要研究（設(shè)計(jì)）方法論述：（1）根據(jù)課題要求了解畢業(yè)設(shè)計(jì)方向及其主要內(nèi)容；（2）查閱有關(guān)Windows Server 2008組策略及其在企業(yè)中的應(yīng)用相關(guān)資料；（3）掌握組策略的設(shè)置，計(jì)算機(jī)配置和用戶(hù)配置，使用組策略管理軟件；（4）總結(jié)查閱的組策略及其應(yīng)用相關(guān)資

6、料，并根據(jù)實(shí)際安裝操作結(jié)果對(duì)設(shè)計(jì)方案做可行性分析，完成設(shè)計(jì)報(bào)告。四、設(shè)計(jì)（論文）進(jìn)度安排：時(shí)間（迄止日期）工 作 內(nèi) 容2013.09.122013.09.15根據(jù)個(gè)人特長(zhǎng)和興趣愛(ài)好選擇畢業(yè)設(shè)計(jì)課題2013.09.172013.09.22師生共同制定相關(guān)指導(dǎo)措施、聯(lián)系方法、課題具體要求等2013.09.232013.10.10學(xué)生根據(jù)任務(wù)書(shū)要求撰寫(xiě)開(kāi)題報(bào)告，并得到指導(dǎo)教師批準(zhǔn)后方可進(jìn)入課題的實(shí)施階段2013.10.112013.10.15查閱資料，進(jìn)行企業(yè)組策略應(yīng)用需求分析2013.10.162013.10.20整理匯總收集的資料，開(kāi)始進(jìn)行應(yīng)用架構(gòu)設(shè)計(jì)，并分析存在問(wèn)題和不足2013.10.21

7、2013.10.23解決不足和問(wèn)題，完善之前的設(shè)計(jì)2013.10.242013.10.27根據(jù)需求分析進(jìn)行企業(yè)組策略架構(gòu)設(shè)計(jì)，撰寫(xiě)完成畢業(yè)設(shè)計(jì)初稿2013.10.282013.10.30進(jìn)行畢業(yè)設(shè)計(jì)的定稿階段，根據(jù)指導(dǎo)教師的意見(jiàn)對(duì)最初的畢業(yè)設(shè)計(jì)進(jìn)行修改，完善、定稿后上交電子稿與打印稿2013.11.012013.11.03為畢業(yè)設(shè)計(jì)答辯進(jìn)行準(zhǔn)備2013.11.042013.11.08進(jìn)行畢業(yè)設(shè)計(jì)答辯和總結(jié)五、指導(dǎo)教師意見(jiàn)： 指導(dǎo)教師簽名： 年 月 日六、系部意見(jiàn)： 系主任簽名： 年 月 日組策略在企業(yè)中的應(yīng)用（管理軟件部署和審核）目錄摘要 Abstract 第1章 前言1第2章 活動(dòng)目錄概述2

8、2.1 活動(dòng)目錄簡(jiǎn)介22.1.1 活動(dòng)目錄功能22.1.2 活動(dòng)目錄的優(yōu)點(diǎn)22.2 組策略概況32.2.1 組策略的功能32.2.2 組策略實(shí)現(xiàn)的目標(biāo)4第3章 企業(yè)面臨的問(wèn)題與需求53.1 企業(yè)面臨的現(xiàn)狀53.2 企業(yè)應(yīng)用需求分析5第4章 組策略應(yīng)用架構(gòu)設(shè)計(jì)74.1 設(shè)計(jì)總體思路74.2 應(yīng)用架構(gòu)拓?fù)?第5章 組策略在企業(yè)中的應(yīng)用實(shí)施95.1 創(chuàng)建域服務(wù)器95.2 安裝GPMC95.3 組策略具體實(shí)施95.3.1 組策略管理軟件的部署95.3.2 組策略進(jìn)行資源訪(fǎng)問(wèn)審核13結(jié)論16謝辭17參考文獻(xiàn)18組策略在企業(yè)中的應(yīng)用（管理軟件部署和審核）摘要隨著機(jī)網(wǎng)絡(luò)技術(shù)的快速發(fā)展，現(xiàn)代化辦公已經(jīng)成為公司

9、的首選，傳統(tǒng)的管理與控制方式在速度、可靠性和安全性上已經(jīng)很難滿(mǎn)足公司的要求，集中控制管理成為企業(yè)的新寵。同時(shí)，集中控制系統(tǒng)對(duì)企業(yè)還有重大的意義，它為企業(yè)提高工作效率提供了保證。自它誕生以來(lái)，以其優(yōu)越的特點(diǎn)，受到廣大企業(yè)的好評(píng)。本著學(xué)以致用的原則，本人將完成一些企業(yè)實(shí)用的策略，滿(mǎn)足企業(yè)的要求。這些策略具有完成簡(jiǎn)單，操作簡(jiǎn)單，功能強(qiáng)大的特點(diǎn)。本論文就組策略的實(shí)現(xiàn)做了詳細(xì)介紹，并對(duì)原理做了深入細(xì)致的討論。如利用組策略進(jìn)行軟件的統(tǒng)一部署，限制軟件的安裝及資源訪(fǎng)問(wèn)審核。關(guān)鍵詞：集中管理控制；組策略；軟件集中部署group strategy in the enterprise application (m

10、anagement software deployment and audit)AbstractAlong with the rapid development of computer network technology, the modernoffice has become the companys first choice, the traditional management and control mode in speed, reliability and safety has been difficult to meet the requirement of the compa

11、ny, centralized control management to become the enterprise to be bestowed favor on newly. Meanwhile, centralized control system of enterprise and of great significance for the enterprise, it offers guarantee to improve work efficiency. Since it births, with its superior characteristic, well receive

12、d by the enterprises praise. Adhering to the principle of studying, I will finish some enterprise practical strategies, satisfying the requirements. These strategies have complete, easy to operate, a simple, powerful features. This thesis is the realization of the group strategy is introduced, and t

13、he principle of thorough discussion. Such as the use Group Policy to deploy the unified software to restrict access to resources software installation and auditing. Keywords: Centralized management control; The group policy; Software concentrated deployment常州信息職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)與通信工程學(xué)院 畢業(yè)設(shè)計(jì)論文第1章 前言中國(guó)互聯(lián)網(wǎng)的高速發(fā)展，

14、讓人們?cè)谏睢⒐ぷ鞯榷加辛藰O大的改變，在體驗(yàn)和享受互聯(lián)網(wǎng)帶來(lái)的方便及愜意時(shí)。互聯(lián)網(wǎng)里大量存在的一些不正當(dāng)行為，如黑客攻擊、計(jì)算機(jī)病毒、內(nèi)部泄密、信息丟失、篡改、銷(xiāo)毀、木馬程序、等等，總是讓我們感覺(jué)許多的無(wú)奈。特別是中國(guó)的廣大企業(yè)，在利用互聯(lián)網(wǎng)更加快速、便捷地實(shí)現(xiàn)業(yè)務(wù)全球化的同時(shí)，來(lái)自外界的病毒、木馬、黑客，以及內(nèi)部員工在工作時(shí)間濫用網(wǎng)絡(luò)資源，聊QQ、斗地主、農(nóng)場(chǎng)偷菜、用光驅(qū)看電影等等運(yùn)行與工作無(wú)關(guān)的程序，隨便使用USB設(shè)備導(dǎo)致病毒肆意傳播，也帶到了電腦上。為應(yīng)對(duì)這種外憂(yōu)內(nèi)患的局面，反病毒、防火墻、入侵檢測(cè)，在一定程度上排除了外憂(yōu)。而解內(nèi)患的問(wèn)題也迫不及待地被提上日程。對(duì)于一些小型的企業(yè)來(lái)說(shuō)，他

15、們沒(méi)有過(guò)多的時(shí)間監(jiān)督每一位員工，沒(méi)有過(guò)的時(shí)間查看每一臺(tái)電腦，那么他們是如何解決這種現(xiàn)狀的呢？有一種技術(shù)，它可以幫助沒(méi)有過(guò)多資金的企業(yè)適當(dāng)?shù)亟鉀Q內(nèi)部網(wǎng)絡(luò)管理與內(nèi)部員工的辦公環(huán)境的安全，那就是“組策略”技術(shù)。第2章 活動(dòng)目錄概述2.1 活動(dòng)目錄簡(jiǎn)介活動(dòng)目錄（Active Directory）是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目錄服務(wù)。（Active Directory不能運(yùn)行在Windows Web Server上，但是可以通過(guò)它對(duì)運(yùn)行Windows Web Server

16、的計(jì)算機(jī)進(jìn)行管理。）Active Directory存儲(chǔ)了有關(guān)網(wǎng)絡(luò)對(duì)象的信息，并且讓管理員和用戶(hù)能夠輕松地查找和使用這些信息。Active Directory使用了一種結(jié)構(gòu)化的數(shù)據(jù)存儲(chǔ)方式，并以此作為基礎(chǔ)對(duì)目錄信息進(jìn)行合乎邏輯的分層組織。Microsoft Active Directory 服務(wù)是Windows 平臺(tái)的核心組件，它為用戶(hù)管理網(wǎng)絡(luò)環(huán)境各個(gè)組成要素的標(biāo)識(shí)和關(guān)系提供了一種有力的手段。2.1.1 活動(dòng)目錄功能活動(dòng)目錄(Active Directory)主要提供以下功能：(1)基礎(chǔ)網(wǎng)絡(luò)服務(wù)：包括DNS、WINS、DHCP、證書(shū)服務(wù)等。服務(wù)器及客戶(hù)端計(jì)算機(jī)管理：管理服務(wù)器及客戶(hù)端計(jì)算機(jī)賬戶(hù)

17、，所有服務(wù)器及客戶(hù)端計(jì)算機(jī)加入域管理并實(shí)施組策略。(2)用戶(hù)服務(wù)：管理用戶(hù)域賬戶(hù)、用戶(hù)信息、企業(yè)通訊錄（與電子郵件系統(tǒng)集成）、用戶(hù)組管理、用戶(hù)身份認(rèn)證、用戶(hù)授權(quán)管理等，按省實(shí)施組管理策略。資源管理：管理打印機(jī)、文件共享服務(wù)等網(wǎng)絡(luò)資源。(3)桌面配置：系統(tǒng)管理員可以集中的配置各種桌面配置策略，如：界面功能的限制、應(yīng)用程序執(zhí)行特征限制、網(wǎng)絡(luò)連接限制、安全配置限制等。(4)應(yīng)用系統(tǒng)支撐：支持財(cái)務(wù)、人事、電子郵件、企業(yè)信息門(mén)戶(hù)、辦公自動(dòng)化、補(bǔ)丁管理、防病毒系統(tǒng)等各種應(yīng)用系統(tǒng)。2.1.2 活動(dòng)目錄的優(yōu)點(diǎn)與DNS 集成活動(dòng)目錄使用域名系統(tǒng)(DNS)。DNS是一種Internet標(biāo)準(zhǔn)服務(wù)，它將用戶(hù)能夠讀取的

18、計(jì)算機(jī)名稱(chēng)（例如mycomputer. ）翻譯成計(jì)算機(jī)能夠讀取的數(shù)字Internet協(xié)議(IP)地址（由英文句號(hào)分隔的四組數(shù)字）。這樣，在TCP/IP網(wǎng)絡(luò)計(jì)算機(jī)上運(yùn)行的進(jìn)程即可相互識(shí)別并進(jìn)行連接。 (1)靈活的查詢(xún)。用戶(hù)和管理員如果要通過(guò)對(duì)象屬性快速查找網(wǎng)絡(luò)中的對(duì)象，可使用“開(kāi)始”菜單中的“查找”命令、桌面上的“網(wǎng)上鄰居”圖標(biāo)或者是 Active Directory 用戶(hù)和計(jì)算機(jī)管理單元。例如，您可以按照一個(gè)用戶(hù)帳戶(hù)的姓名、電子郵件名、辦公地點(diǎn)或其他屬性查找該用戶(hù)。而且,使用全局編錄優(yōu)化了查找信息的操作。(2)可擴(kuò)展性。Active Directory是可擴(kuò)展的；也就是說(shuō)，管理員既可以在架構(gòu)中

19、添加新的對(duì)象類(lèi)別，也可在原有的對(duì)象類(lèi)別中添加新屬性。架構(gòu)包含每個(gè)對(duì)象類(lèi)別的定義，以及能夠存儲(chǔ)于目錄中的每個(gè)對(duì)象類(lèi)別的屬性。例如，您可能會(huì)為User對(duì)象添加Purchase Authority屬性，然后將每個(gè)用戶(hù)的購(gòu)買(mǎi)權(quán)限額保存為用戶(hù)帳戶(hù)的一部分。(3)基于策略的管理。 組策略是在初始化時(shí)應(yīng)用于計(jì)算機(jī)或用戶(hù)的配置設(shè)置。所有組策略設(shè)置都包含在應(yīng)用于 Active Directory站點(diǎn)、域或部門(mén)的組策略對(duì)象(GPO)中。GPO設(shè)置決定了對(duì)目錄對(duì)象和域資源的訪(fǎng)問(wèn)權(quán)限、用戶(hù)可使用的域資源（如應(yīng)用程序），以及這些域資源針對(duì)其用途的配置方式。(4)可伸縮性。Active Directory包括一個(gè)或多個(gè)域

20、，每個(gè)域均有一個(gè)或多個(gè)域控制器，由此，您能夠?qū)δ夸涍M(jìn)行自由擴(kuò)展，從而滿(mǎn)足所有網(wǎng)絡(luò)的需求。多個(gè)域可合并成一個(gè)域目錄樹(shù)，多個(gè)域目錄樹(shù)可合并成一個(gè)目錄林。在只有一個(gè)域的最簡(jiǎn)單的網(wǎng)絡(luò)結(jié)構(gòu)中，該域既是一個(gè)目錄樹(shù)，又是一個(gè)目錄林。(5)信息復(fù)制。Active Directory使用多主機(jī)復(fù)制，使您可以更新任何域控制器中的目錄。在一個(gè)域中部署多個(gè)域控制器還提供了容錯(cuò)能力和負(fù)載平衡功能。因?yàn)檫@些域控制器包含同樣的目錄數(shù)據(jù)，所以，如果域內(nèi)的一個(gè)域控制器速度變慢、停止或出現(xiàn)故障，同一域內(nèi)的其他域控制器即可提供必要的目錄訪(fǎng)問(wèn)功能。(6)信息安全。在 Windows 2008 操作系統(tǒng)中，用戶(hù)身份驗(yàn)證和訪(fǎng)問(wèn)控制的管理

21、都與 Active Directory 完全結(jié)合在一起，這是該系統(tǒng)的一項(xiàng)關(guān)鍵性安全功能。Active Directory 將身份驗(yàn)證集中進(jìn)行。不僅可以定義對(duì)目錄中每個(gè)對(duì)象的訪(fǎng)問(wèn)控制，還可定義對(duì)每個(gè)對(duì)象的每個(gè)屬性的訪(fǎng)問(wèn)控制。此外，Active Directory 還為安全策略提供了存儲(chǔ)區(qū)和應(yīng)用范圍。(7)互操作性。由于 Active Directory 以標(biāo)準(zhǔn)目錄訪(fǎng)問(wèn)協(xié)議（例如輕型目錄訪(fǎng)問(wèn)協(xié)議(LDAP)）為基礎(chǔ)，因此它能夠與其他采用這些協(xié)議的目錄服務(wù)進(jìn)行交互操作。有些應(yīng)用程序編程接口(API)-例如 Active Directory 服務(wù)接口(ADSI)-允許開(kāi)發(fā)者訪(fǎng)問(wèn)這些協(xié)議。2.2 組策略

22、概況2.2.1 組策略的功能“組策略”其實(shí)與“組”并沒(méi)有關(guān)系，它是一組策略的集合。組策略加強(qiáng)了管理員通過(guò)活動(dòng)目錄數(shù)據(jù)庫(kù)在站點(diǎn)、域、或組織單位中配置用戶(hù)和計(jì)算機(jī)的能力，在Windows Server 2008 中，通過(guò)應(yīng)用組策略，管理員可以很方便地管理Active Directory 中的計(jì)算機(jī)和用戶(hù)的工作環(huán)境，例如，用戶(hù)桌面環(huán)境、計(jì)算機(jī)啟動(dòng)/關(guān)機(jī)與用戶(hù)登陸/注銷(xiāo)時(shí)所執(zhí)行的腳本文件、軟件安裝、安全設(shè)置等。管理員一般會(huì)設(shè)置多種配置集合，包括桌面配置和安全配置。譬如，可以為特定用戶(hù)或用戶(hù)組定制可用的程序、桌面上的內(nèi)容，以及“開(kāi)始”菜單選項(xiàng)等，也可以在整個(gè)計(jì)算機(jī)范圍內(nèi)創(chuàng)建特殊的桌面配置。簡(jiǎn)而言之，組策

23、略是Windows中的一套系統(tǒng)更改和配置管理工具的集合。其實(shí)簡(jiǎn)單地說(shuō)，組策略設(shè)置就是在修改注冊(cè)表中的配置。當(dāng)然，組策略使用了更完善的管理組織方法，可以對(duì)各種對(duì)象中的設(shè)置進(jìn)行管理和配置，遠(yuǎn)比手工修改注冊(cè)表方便、靈活，功能也更加強(qiáng)大。組策略?xún)?nèi)包含計(jì)算機(jī)配置與用戶(hù)配置兩部分，其中計(jì)算機(jī)配置只對(duì)計(jì)算機(jī)環(huán)境有影響，而用戶(hù)配置只對(duì)使用者工作環(huán)境有影響。管理員可用過(guò)如下兩個(gè)途徑配置和應(yīng)用組策略：1.本地計(jì)算機(jī)策略:在單一計(jì)算機(jī)上配置，用戶(hù)所作的配置只會(huì)應(yīng)用到本地計(jì)算機(jī)，用戶(hù)配置被本機(jī)所有用戶(hù)所應(yīng)用。2.域組策略GPO(Group Policy Objec，組策略對(duì)象):在域控制器上針對(duì)站點(diǎn)，域或OU來(lái)配置組

24、策略，其中域策略?xún)?nèi)的配置應(yīng)用到所有域內(nèi)計(jì)算機(jī)和用戶(hù)上，OU對(duì)應(yīng)到該OU內(nèi)，如果本機(jī)沖突則以域或OU組策略的配置優(yōu)先，本機(jī)無(wú)效。2.2.2 組策略實(shí)現(xiàn)的目標(biāo)對(duì)域設(shè)置組策略影響整個(gè)域的工作環(huán)境，對(duì)OU設(shè)置組策略影響本OU下的工作環(huán)境；降低布置用戶(hù)和計(jì)算機(jī)環(huán)境的總費(fèi)用，因?yàn)橹恍枰O(shè)置一次，相應(yīng)的用戶(hù)或計(jì)算機(jī)即可全部使用規(guī)定的設(shè)置，減少用戶(hù)不正確配置環(huán)境的可能性；推行公司使用計(jì)算機(jī)規(guī)范，包括桌面環(huán)境規(guī)范以及安全策略等內(nèi)容。例如：軟件分發(fā)；軟件限制；安全設(shè)置（如密碼策略、管理模板下相關(guān)設(shè)置等）；基于注冊(cè)表的設(shè)置（管理模板）；IE維護(hù)；脫機(jī)文件夾；漫游配置文件和文件夾重定向；計(jì)算機(jī)和用戶(hù)腳本。第3章 企業(yè)

25、面臨的問(wèn)題與需求3.1 企業(yè)面臨的現(xiàn)狀現(xiàn)有某小型公司的整個(gè)網(wǎng)絡(luò)設(shè)計(jì)拓?fù)鋱D。整個(gè)公司主要分為員工宿舍樓、工作區(qū)、生產(chǎn)部門(mén)以及體育館四個(gè)部分。本次網(wǎng)絡(luò)設(shè)計(jì)主要設(shè)備有核心交換機(jī)一臺(tái)，DNS、Email、FTP服務(wù)器共一臺(tái)（集各種功能與一體），硬件防火墻一臺(tái)，中型交換機(jī)5臺(tái)，小型交換機(jī)18臺(tái)，域控制器一臺(tái)，PC若干。具體網(wǎng)絡(luò)規(guī)劃為員工宿舍樓一個(gè)VLAN，生產(chǎn)部門(mén)一個(gè)VLAN，領(lǐng)導(dǎo)辦公室一個(gè)VLAN，工作區(qū)每個(gè)部門(mén)分別劃分一個(gè)VLAN。本次網(wǎng)絡(luò)管理主要針對(duì)工作區(qū)，其他部門(mén)在網(wǎng)絡(luò)規(guī)劃之中。工作區(qū)每個(gè)部門(mén)一個(gè)VLAN，主要目的是為了增加各部門(mén)資料的安全性，為了讓每個(gè)部門(mén)的成員至可以訪(fǎng)問(wèn)本部門(mén)的網(wǎng)絡(luò)資源。在公

26、司不同的部門(mén)對(duì)軟件和一些材料的需求各不相同，為了更好的管理與區(qū)分我就需要按需定制，如：哪些用戶(hù)可使用的軟件有哪些，對(duì)哪些文檔具有哪些權(quán)限，和一些上網(wǎng)行為的規(guī)范。圖3-1 企業(yè)網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)圖3.2 企業(yè)應(yīng)用需求分析域環(huán)境下，所有的網(wǎng)絡(luò)資源，包括用戶(hù)，都是在域控制器上維護(hù)，便于集中管理，所有用戶(hù)只要登錄到域,在域內(nèi)均能進(jìn)行身份驗(yàn)證，管理人員可以較好的管理計(jì)算機(jī)資源，管理網(wǎng)絡(luò)的成本大大降低防止公司員工在客戶(hù)端上亂裝軟件，能夠增強(qiáng)客戶(hù)端安全性，減少客戶(hù)端故障，降低維護(hù)成本。此小型公司域名為，核心機(jī)房?jī)?nèi)架設(shè)有主域控制器（主DNS服務(wù)器）、文件服務(wù)器、Exchange郵件服務(wù)器、WEB服務(wù)器、FTP服務(wù)器

27、、數(shù)據(jù)庫(kù)服務(wù)器、管理機(jī)等。根據(jù)此小型公司現(xiàn)狀和需求，通過(guò)和管理員的了解我最終利用組策略來(lái)實(shí)現(xiàn)以下應(yīng)用：* 使用組策略使員工部門(mén)的軟件統(tǒng)一部署* 使用組策略限制員工使用及安裝軟件* 通過(guò)查看事件日志觀(guān)察已設(shè)置的組策略審核策略是否應(yīng)用成功第4章 組策略應(yīng)用架構(gòu)設(shè)計(jì)4.1 設(shè)計(jì)總體思路針對(duì)我這個(gè)小型企業(yè)的網(wǎng)絡(luò)拓?fù)鋱D，我重點(diǎn)把網(wǎng)絡(luò)管理工作放到了工作區(qū)。所以，我的工作區(qū)里的組織部、技術(shù)部、銷(xiāo)售部、財(cái)務(wù)部和質(zhì)量監(jiān)督部都是在一個(gè)域名為的域里面，也就是每個(gè)部門(mén)的計(jì)算機(jī)都是域成員，都可以通過(guò)被允許的域用戶(hù)名登錄到域。這樣就方便了我在域控制器上統(tǒng)一部署軟件以及一些限制類(lèi)的組策略的應(yīng)用到每臺(tái)域成員計(jì)算機(jī)上。對(duì)于員工

28、部門(mén)軟件的統(tǒng)一部署，我只需要管理員在域控制器上把需要部署的軟件統(tǒng)一指派到每臺(tái)域成員計(jì)算機(jī)上，這樣當(dāng)域用戶(hù)登錄到計(jì)算機(jī)的時(shí)候，就可以自行下載安裝已指派的軟件了。在此小型公司的網(wǎng)絡(luò)管理中，經(jīng)常會(huì)發(fā)現(xiàn)一些權(quán)限比較高的用戶(hù)私自從網(wǎng)上下載或者用自己的光盤(pán)、U盤(pán)之類(lèi)的安裝軟件，除此之外，在工作時(shí)間里，員工會(huì)運(yùn)行一些如旺旺、QQ等軟件，降低了工作的效率，嚴(yán)重時(shí)會(huì)泄漏公司的重要信息，這些對(duì)于企業(yè)來(lái)說(shuō)是不被允許的，但是各種規(guī)定都沒(méi)辦法完全禁止這些行為，以前通常是采用行政手段進(jìn)行限制，在了解了這些情況之后，我利用組策略的設(shè)置限制員工運(yùn)行一些與工作無(wú)關(guān)的軟件，這樣即使他們安裝了其他不允許使用的軟件，也運(yùn)行不了。組策

29、略審核策略是Windows2000及以后版本組策略中引入的一個(gè)安全機(jī)制。它可以用日志形式記錄系統(tǒng)中已經(jīng)被審核的事件，而系統(tǒng)管理員通過(guò)生成的日志文件，能輕易發(fā)現(xiàn)和跟蹤發(fā)生在所管理區(qū)域內(nèi)的可疑事件。比如:誰(shuí)曾經(jīng)訪(fǎng)問(wèn)過(guò)哪個(gè)文件、哪些非法程序入侵了你的電腦等。這樣我就能有效的保護(hù)企業(yè)的一些商業(yè)機(jī)密和計(jì)劃目標(biāo)不被外泄等等。4.2 應(yīng)用架構(gòu)拓?fù)湓贏(yíng)D域環(huán)境中，通過(guò)組策略可以對(duì)計(jì)算機(jī)和用戶(hù)組進(jìn)行高效集中化的管理。組策略是AD域環(huán)境中最有吸引力的基礎(chǔ)架構(gòu)應(yīng)用之一。通過(guò)GPO的連接，我們可以將設(shè)置好的組策略應(yīng)用到域活動(dòng)目錄中的不同級(jí)別用戶(hù)和計(jì)算機(jī)，這樣就可以實(shí)現(xiàn)對(duì)小到一個(gè)組織單元的管理，簡(jiǎn)單地說(shuō)，GPO起到了橋

30、梁的作用，通過(guò)將GPO與所選的Active Directory系統(tǒng)容器-站點(diǎn)、域和組織單位相關(guān)聯(lián)，實(shí)現(xiàn)組策略設(shè)置的具體應(yīng)用。還可以將GPO策略設(shè)置應(yīng)用于A(yíng)ctive Directory容器中的具體用戶(hù)和計(jì)算機(jī)。組策略通過(guò)在域控制器上設(shè)置應(yīng)用到域成員計(jì)算機(jī)拓?fù)?，如圖4-1所示。圖4-1 組策略應(yīng)用拓?fù)鋱D第5章 組策略在企業(yè)中的應(yīng)用實(shí)施5.1 創(chuàng)建域服務(wù)器創(chuàng)建AD，將一臺(tái)網(wǎng)內(nèi)的服務(wù)器（windows server 2008系統(tǒng)）提升為域控制器，并創(chuàng)建域用戶(hù)。然后將工作區(qū)的組織部，技術(shù)部，銷(xiāo)售部，財(cái)務(wù)部和質(zhì)量監(jiān)督部中的成員計(jì)算機(jī)都加入到域環(huán)境中。5.2 安裝GPMC GPMC是組策略管理控制臺(tái)，Mi

31、crosoft 組策略管理控制臺(tái) (GPMC) 是一個(gè)用于組策略管理的新工具，它通過(guò)改進(jìn)易管理性和提高效率幫助管理員更經(jīng)濟(jì)有效地管理企業(yè)。它包含一個(gè)新的 Microsoft 管理控制臺(tái) (MMC) 管理單元和一組可編程。運(yùn)行 Windows Installer (.MSI) 程序包。在服務(wù)器“JHDZ”上，瀏覽到包含“gpmc.msi”的文件夾，雙擊“gpmc.msi”程序包，2、單擊“下一步”，單擊“我同意”，接受最終用戶(hù)許可協(xié)議 (EULA)，3、單擊“下一步”，單擊“完成”以完成 GPMC 安裝。 5.3 組策略具體實(shí)施5.3.1 組策略管理軟件的部署1.使用組策略使員工部門(mén)的軟件統(tǒng)一部

32、署（1）準(zhǔn)備安裝文件使用組策略部署軟件分發(fā)的第一步是獲取ZAP或MSI為擴(kuò)展名的安裝文件包。MSI安裝文件包是微軟專(zhuān)門(mén)為軟件部署而開(kāi)發(fā)的。有些軟件程序直接提供這兩個(gè)文件，有些不提供。（2）分發(fā)軟件1）建立分發(fā)點(diǎn)。要發(fā)布或指派計(jì)算機(jī)程序，必須在發(fā)布服務(wù)器上創(chuàng)建一個(gè)分發(fā)點(diǎn)。把安裝文件所在的文件夾創(chuàng)建為一個(gè)共享網(wǎng)絡(luò)文件夾，并對(duì)該共享設(shè)置權(quán)限以允許特定的OU（組織單位）才能訪(fǎng)問(wèn)此分發(fā)程序。2）編輯組策略。在“ActiveDriectory用戶(hù)和在“ActiveDriectory用戶(hù)和計(jì)算機(jī)”管理單元中，右鍵單擊“”，在快捷菜單中選擇屬性，單擊“組策略”選項(xiàng)卡，單擊“編輯”按鈕，打開(kāi)組策略編輯窗口。3）

33、指派/分發(fā)程序包。右鍵單擊“軟件安裝”，在快捷菜單中選擇“新建”“程序包”，如圖5-1所示。打開(kāi)QQ2008.msi文件，這里一定填入網(wǎng)絡(luò)路徑，因?yàn)榉职l(fā)的用戶(hù)要能從網(wǎng)絡(luò)路徑訪(fǎng)問(wèn)到這個(gè)文件。圖5-1 新建程序包打開(kāi)文件后，彈出“部署軟件”對(duì)話(huà)框，選擇“已指派”，如圖5-2所示。圖5-2 選擇部署方法添加完成后，如圖5-3所示，關(guān)閉組策略編輯器，單擊“確定”按鈕，完成組策略編輯。圖5-3 已指派軟件名稱(chēng)4）客戶(hù)端軟件安裝。指派完成后，以合法域用戶(hù)身份從工作區(qū)任一個(gè)部門(mén)的域成員計(jì)算機(jī)登錄到域中。依次單擊“開(kāi)始”“程序”，這時(shí)會(huì)發(fā)現(xiàn)程序組中已經(jīng)出現(xiàn)了QQ菜單項(xiàng)，單擊QQ組件，則自動(dòng)進(jìn)入安裝過(guò)程。安裝完

34、畢后就可以正常使用了。2.限制員工使用及安裝軟件現(xiàn)在企業(yè)老板要求在“財(cái)務(wù)部”O(jiān)U中限制該OU下的部分用戶(hù)只允許運(yùn)行Word、Excel、PowerPoint等日常應(yīng)用軟件，而不允許運(yùn)行QQ等軟件。具體步驟如下：（1）先把用戶(hù)劃分到不同的OU中，例如分為了甲組OU和乙組OU。在甲組OU單位上編輯組策略，打開(kāi)“用戶(hù)配置”“Windows設(shè)置”“安全設(shè)置”“軟件限制策略”，如圖5-4所示。圖5-4 編輯軟件限制策略（2）在“軟件限制策略”上右擊，在快捷菜單中選擇“創(chuàng)建軟件限制策略”，軟件限制策略下多出幾個(gè)子項(xiàng)，在“其他規(guī)則”上單擊右鍵，選擇新建一條“哈希規(guī)則”，如圖5-5所示。在“文件哈?！敝刑钊隥

35、Q2008所在的路徑，把安全級(jí)別設(shè)置成不允許，這樣甲組OU將不能夠使用QQ程序了。圖5-5 新建哈希規(guī)則（3）在GPMC中的“財(cái)務(wù)部”O(jiān)U下新建并鏈接一個(gè)新的GPO，取名為“限制軟件運(yùn)行策略”。（4）在新建的“限制軟件運(yùn)行策略”GPO上右擊，在彈出的快捷菜單中選擇“編輯”選項(xiàng)，在打開(kāi)的組策略編輯器中找到“用戶(hù)配置”-“管理模板”-“系統(tǒng)”下的“只允許運(yùn)行許可的Windows應(yīng)用程序”，如圖5-6所示。圖5-6編輯限制軟件運(yùn)行策略（5）啟用該配置可實(shí)現(xiàn)對(duì)指定軟件的安裝限制。5.3.2 組策略進(jìn)行資源訪(fǎng)問(wèn)審核1. 組策略資源訪(fǎng)問(wèn)審核配置（1）打開(kāi)審核策略所有“審核策略”默認(rèn)是沒(méi)有打開(kāi)的，需要手動(dòng)開(kāi)

36、啟。依次打開(kāi)“控制面板管理工具本地安全策略”或在“開(kāi)始運(yùn)行”中輸入“secpol.msc”，打開(kāi)組策略中的“本地安全設(shè)置”編輯器，依次定位到“本地策略審核策略”，雙擊右側(cè)窗格中的“審核對(duì)象訪(fǎng)問(wèn)”，勾選“成功”或“失敗”，如圖5-7所示。圖5-7 設(shè)置審核對(duì)象訪(fǎng)問(wèn)屬性（2）對(duì)文件夾進(jìn)行審核設(shè)置（3）通過(guò)“事件查看器”查看設(shè)置了一則審核策略，還得通過(guò)事件查看器來(lái)獲取信息。在“開(kāi)始運(yùn)行”中輸入“Eventvwr.msc”，接著定位到“事件查看器安全性”，在右側(cè)窗格中記錄了許多“成功審核”、“失敗審核”的安全性事件。通常情況記錄的事件很多，可以對(duì)其進(jìn)行篩選，依次選擇“查看篩選”，在“篩選器”選項(xiàng)卡下面

37、的時(shí)間類(lèi)型中只勾選“成功審核”和“失敗審核”;而“事件來(lái)源”和“類(lèi)別”可根據(jù)不同的審查對(duì)象和審查內(nèi)容進(jìn)行篩選，一般情況只需要查看560事件即可,如圖5-8所示。圖5-8 查看事件日志2. 組策略文件夾訪(fǎng)問(wèn)審核現(xiàn)在企業(yè)老板要求監(jiān)控手下人什么時(shí)候訪(fǎng)問(wèn)過(guò)或使用了公司電腦中指定的磁盤(pán)或文件夾中的資料，比如:服務(wù)器“D:data”文件夾。開(kāi)始前首先在“文件夾選項(xiàng)查看”標(biāo)簽下取消“使用簡(jiǎn)單文件共享”。(1)在“審核策略”中雙擊右側(cè)的“審核對(duì)象訪(fǎng)問(wèn)”，勾選“成功”，確認(rèn)操作并退出編輯器。右擊目標(biāo)磁盤(pán)或文件夾選擇“屬性”，切換至“安全”選項(xiàng)卡，單擊“高級(jí)”，切換至“審核”標(biāo)簽。(2)單擊“添加”，輸入員工使用

38、的用戶(hù)名，因?yàn)閱T工屬于普通用戶(hù)組(users)，所以輸入“計(jì)算機(jī)名users”，單擊“確定”,如圖5-9。這時(shí)會(huì)彈出審核項(xiàng)目選擇窗口，因?yàn)橐O(jiān)視員工對(duì)目標(biāo)的“訪(fǎng)問(wèn)權(quán)和執(zhí)行權(quán)”，因此要勾選“遍歷文件夾/運(yùn)行文件”,如圖5-10，確定所有操作。圖5-9 添加用戶(hù)圖5-10 編輯審核項(xiàng)目(3)這時(shí)策略已經(jīng)完成了。現(xiàn)在可以試試是否有效。打開(kāi)事件查看器，右擊“安全性”選擇“清空所有事件”后注銷(xiāo)系統(tǒng)。這時(shí)，用戶(hù)登錄此系統(tǒng)，訪(fǎng)問(wèn)一下“D:data”并執(zhí)行其中一個(gè)文件(比如運(yùn)行了存放在該目錄底下的“MSN6.2.exe”文件)。注銷(xiāo)系統(tǒng)后，用管理員身份登錄，查看一下日志，是不是清楚地記錄了剛才員工的訪(fǎng)問(wèn)行為,如圖5-11。圖5-11 查看事件信息3. 測(cè)試對(duì)上面的限制軟件策略進(jìn)行測(cè)試，域成員通過(guò)域用戶(hù)名登錄后，除了常用的Word、Excel、PowerPoint等日常應(yīng)用軟件可以安裝應(yīng)用外，還有另外安裝的一個(gè)QQ軟件，看看能不能運(yùn)行，如果不可以運(yùn)行，說(shuō)明組策略應(yīng)用成功了。結(jié)