实训1 用户工作环境管理

实训1 用户工作环境管理

1.1 创建域和组织单位

实验目的：理解域和组织单位，掌握创建域和组织单位的方法与步骤。

试验任务：你是一家企业的网络管理员，负责管理和维护企业的网络。现在，你所在的企业希望利用域和组织单位来管理网络。为此，你需要完成以下管理工作： ①创建一个windows Server2003域，用于管理企业网络。 ②把企业网络中所有的计算机都加入域中。

③为了对企业中的喷徐部、销售部和技术支持部的员工进行管理，为这3个部门分别创建组织单位。

④为这3个部门的员工创建用户账户。

⑤把这些员工使用的用户账户和计算机账户加入到代表各个部门的组织单位中。

①创建一个windows Server2003域，用于管理企业网络。

首先，要在在成员服务器上安装上Windows Server 2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下: 机器名:Server IP:192.168.5.1

子网掩码:255.255.255.0

DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器)

由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，向下搬运右边的滚动条，找到“网络服务”，选中；默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装；然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需要手动定位了。 安装完DNS以后，先别着急升级，要进行DNS的配置。从开始菜单，指向程序 / 管理工具，单击 DNS 启用 DNS 控制台程序。请从操作菜单单击配置服务器，启动“配置 DNS 向导”。此向导将引导您完成“正向搜索区域”和“反向搜索区域”的设置。

注意 如果已经给其它区域配置了该 DNS 服务器，则无法从菜单上使用该选项。需要分别右键单击“正向搜索区域”和“反向搜索区域”文件夹，指向新建区域，启动“新建区域向导”。设置过程与下面的步骤类似。

按照向导的指示设置正向搜索区域。“正向搜索区域”是将域名转换成 IP 地址的资源记录集。无疑，这是 DNS 服务器最重要的数据文件。在新建区域向导对话框中，单击选项按钮将区域类型指定为标准主要区域，后者以传统文本文件格式存储区域数据。 注意 如果网络上使用 Active Directory 服务器，您可以选择 Active Directory 集成的区域选项按钮。该选项允许将区域数据存储在 Active Directory 数据库中，并自动复制

到其它 Active Directory 服务器中。 输入完全合格的域名称（本例中为“DuwamishOnline.com”）。

接受新区域文件的默认文件名。

如果需要，请创建一个反向搜索区域。“反向搜索区域”是将 IP 地址转换回相应域名的资源记录集。右击反向搜索区域，点击“新建区域”，弹出新建区域向导，点击下一步，选择“主要区域”，点“下一步”，选择“至AD域xxx.com的所有域控制器”，点“下一步”，填入要反向解析的IP地址。然后右击新添加的区域，选择“新建指针”，填入要反向解析的那台主机IP，浏览选择主机名，点击确定。

配置完了DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”在这里直接点击“下一步”，这里是一个兼容性的要求，Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器，我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。然后点击“下一步”，在这里由于这是第一台域控制器，所以选择第一项“新域的域控制器”，然后点“下一步”，既然是第一台域控，那么当然也是选择“在新林中的域”，在这里我们要指定一个域名，我在这里指定的是demo.com，这里是指定NetBIOS名，注意千万别和下面的客户端冲突，也就是说整个网络里不能再有一台PC的计算机名叫“demo”，虽然这里可以修改，但个人建议还是采用默认的好，省得以后麻烦。在这里要指定AD数据库和日志的存放位置，如果不是C盘的空间有问题的话，建议采用默认。这里是指定SYSVOL文件夹的位置，还是那句话，没有特殊情况，不建议修改；第一次部署时总会出现上面那个DNS注册诊断出错的画面，主要是因为虽然安装了DNS，但由于并没有配置它，网络上还没有可用的DNS服务器，所以才会出现响应超时的现像，所以在这里要选择“在这台计算机上安装并配置DNS，并将这台DNS服务器设为这台计算机的首选DNS服务器”。 “这是一个权限的选择项，在这里，我选择第二项“只与Windows 2000或Window 2003操作系统兼容的权限”，因为在我做实验的整个环境里，并没有Windows 2000以前的操作系统存在”这里是一个重点，还原密码，希望大家设置好以后一定要记住这个密码，千万别忘记了，因为在后面的关于活动目录恢复的文章上要用到这个密码的。这是确认画面，请仔细检查刚刚输入的信息是否有误，尤其是域名书写是否正确，因为改域名可不是闹着玩的，如果有的话可以点上一步进入重输，如果确认无误的话，那么点“下一步”就正式开安装了，几分钟后，安装完成，点完成，点“立即重新启动”。然后来看一下安装了AD后和没有安装的时候有些什么区别，首先第一感觉就是关机和开机的速度明显变慢了，再看一下登陆界面，多出了一个“登陆到”的选择框，进入系统后，右键点击“我的电脑”选“属性”，点“计算机”，怎么样?和安装AD以前不一样吧。 ②把企业网络中所有的计算机都加入域中

1.以管理员身份登录到计算机上。右键单击My Computer（我的电脑）并在随后出现的快捷菜单中选择Properties（属性）。System Properties（系统属性）对话框将显示在屏幕上。

2.在Computer Name（计算机名称）选项卡上，单击Change（修改）。在Computer Name Changes（计算机名称修改）对话框中，选择Domain（域）并在相应文本框中输入域名。在本文所介绍的示例中，当前名为hq-res-wrk-o1的计算机已被加入到名为Reskit的域中。 3.输入用以进行身份验证的用户名及口令，以便证明您具备加入到相关域中的适应权限。

4.当Welcome to the domain（欢迎加入到域中）的消息出现时，单击OK（确定）。为使所作的修改生效，您必须重新启动计算机。

③为了对企业中的喷徐部、销售部和技术支持部的员工进行管理，为这3个部门分别创建组织单位。 创建组织单位

1.

单击开始，指向管理工具，然后单击“Active Directory 用户和计算机”。

o 在控制台树中，右键单击要在其中创建组织单位的域对象或另一个组织单

2. 执行下列操作之一：

位，指向新建，然后单击组织单位。

o 单击“在当前容器中创建一个新组织单位”按钮。

o 在控制台树中，单击要在其中创建组织单位的域对象或另一个组织单位，

在操作菜单中指向新建，然后单击组织单位。

3. 在名称框中，键入新组织单位的名称（如销售部，技术支持部等），然后单击确

定。您创建的新组织单位将出现在控制台树中。现在，您可以向此组织单位中添加其他对象了，如用户、计算机、组以及其他组织单位。

修改组织单位的属性

1.

单击开始，指向管理工具，然后单击“Active Directory 用户和计算机”。

2. 展开域对象。

3. 右键单击要修改其属性的那个组织单位，然后单击属性。

4. 单击要修改的组织单位属性的相应选项卡，然后根据需要指定选项。

④为这3个部门的员工创建用户账户。

用户必须使用合法的域用户账户，才能从自己的计算机登录到域中。因此需要为所有的用户创建用户账户。在域中创建用户账户必须在域控制器中进行，操作步骤如下所述。

第1步，以Administrator（系统管理员）身份登录基于Windows Server 2003的域控制器，然后在开始菜单中依次“管理工具”→“Active Directory用户和计算机”菜单项，打开“Active Directory用户和计算机”窗口。

小提示：也可以在“运行”框中输入DSA.MSC命令打开该窗口。

第2步，在左窗格中双击域名并在展开的目录中双击Users容器。这时可以在右窗格中查看AD域中已经存在的用户账户。右键单击Users容器，在快捷菜单中依次选择“新建”→“用户”命令

第3步，打开“新建-用户”对话框，在“用户登录名”编辑框中输入准备创建的用户名称（如张三）。然后在其他编辑框中输入用户的实际信息，并单击“下一步”按钮

小提示：在该对话框中，“用户登录名”是最重要的，这是用户从工作站登录域的时候使用的用户名称。

第4步，在打开的设置密码对话框中，需要在“密码”和“确认密码”编辑框中重复输入用户账户的密码。然后单击“下一步”按钮，最后单击“完成”按钮完成添加

小提示：为保证账户的安全性，这个密码一般不应少于6位，并且必须符合密码策略。否则将出

现错误提示

第5步，重复上述步骤将用户111和222添加到Users容器中。完成以后在“Active Directory用户和计算机”对话框中查看刚才添加的用户列表

⑤把这些员工使用的用户账户和计算机账户加入到代表各个部门的组织单位中

步骤：在组属性对话框中单击成员属于标签如下图所示，可以查看到当前用户隶属于那些组，如要将用户添加到其它的组中则单击添加按钮，出现如下图所示的对话框，在上方的窗体中选择需要添加的组（可以按住 Shift 或 Ctrl 键，利用鼠标选择多个组），然后单击添加按钮则所选的组会出现在下方的窗体中，单击确定。如果需要将用户从他所属的指定组中删除，则在成员属于窗体中选择该组，单击删除按钮。注意，用户帐号至少隶属于一个组，该组被称为主要组，这个主要组必须是一个全局组且它不可删除。

1.2 利用组策略管理用户工作环境

实验目的：理解组策略，掌握利用组策略管理用户工作环境的方法与步骤。

试验任务：你是一家企业的网络管理员，该企业已经创建了windows域。现在，你需要对培训部员工的工作环境进行管理，从而使这些员工的用户环境为： ①左面上无任何图标；

②在控制面板中隐藏“鼠标”和“键盘”；

③在“添加或者删除程序”攻击中隐藏“添加/删除windows组件”页面；

④从[开始]菜单中删除“搜索”菜单、“运行”菜单和“帮助”命令；

⑤设置登陆脚本，吧计算机pc1。bac.com上的共享文件夹abc映射到本地网络驱动器K：； ⑥设置注销脚本，断开已有的网络驱动器k；使这些用户的计算机环境为； ⑦不显示上次的用户名；

⑧不需要按ctrl+alt+del；

⑨在用户登录时自动弹出提示窗口，该窗口的标题为“警告！”内容为“非法用户禁止登陆！”

①桌面上无任何图标

虽然通过修改注册表的方式可以实现隐藏桌面上的系统图标的功能，但这样比较麻烦，也有一定的风险。而采用组策略配置的方法，可以方便快捷地达到此目的。比如要隐藏桌面上的?网上邻居?和?Internet Explorer?图标，只要在右侧窗格中将?隐藏桌面上‘网上邻居’图标?和?隐藏桌面上的Internet Explorer图标?两个策略选项启用即可(如图5);如果隐藏桌面上的所有图标，只要将?隐藏和禁用桌面上的所有项目?启用即可;当启用了?删除桌面上的‘我的文档’图标?和?删除桌面上的‘我的电脑’图标?两个选项以后，?我的电脑?和?我的文档?图标将从你的电脑桌面上消失;同样如果要让?回收站?图标消失，只须将?从桌面删除回收站?策略项启用即可

②在控制面板中隐藏“鼠标”和“键盘”

控制面板本身有一个配置文件──control.ini，通过改动此文件可达到这一目的。此文件在C盘Windows目录下，用写字板就可以打开它。具体为：在control.ini中增加[don'tload]字段，在其后跟上*.cpl=no(*表示相对应的选项)，即表示该选项不在控制面板中显示 main.cpl=no 表示隐藏“打印机、键盘、鼠标、输入法、字体

③在“添加或者删除程序”攻击中隐藏“添加/删除windows组件”页面

打开“组策略编辑器”窗口，在左窗格中依次展开“用户配置”→“管理模板”→“控制面

板”目录，并选中“添加或删除程序”选项。然后在右窗格中将“删除‘添加或删除程序’程序”策略设置为“已启用”状态。这样当用户在“控制面板”中双击“添加或删除程序”图标时，系统会阻止这一操作并弹出警告信息

④从[开始]菜单中删除“搜索”菜单、“运行”菜单和“帮助”命令 启动“系统策略编辑器”。为此，请按照下列步骤操作：. 单击“开始”，然后单击“运行”。在“打开”框中，键入 poledit，然后单击“确定”。在“文件”菜单上，单击“新建策略”。重要说明：“系统策略编辑器”窗口中会显示“默认计算机”图标和“默认用户”图标。由于“系统策略”设置会对客户端计算机注册表做出持久性更改，所以您可能会在无意中禁止所有用户（包括管理员）访问客户端计算机。因此，Microsoft 建议您让“默认计算机系统策略”设置和“默认用户系统策略”设置保持不变，然后根据组成员身份或个别客户端计算机新建策略。单击要启用的项的复选框，将其选中。例如，要启用“从‘开始’菜单中删除‘“搜索”菜单、“运行”菜单和“帮助”命令’”策略设置，请展开“外壳”，展开“限制”，然后单击“从‘开始’菜单中删除‘“搜索”菜单、“运行”菜单和“帮助”命令’复选框，将其选中。禁用策略项。单击要禁用的项的复选框，将其清除。例如，要禁用“从‘开始’菜单中删除“搜索”菜单、“运行”菜单和“帮助”命令”策略设置，请展开“外壳”，展开“限制”，然后单击“从‘开始’菜单中删除“搜索”菜单、“运行”菜单和“帮助”命令’命令”复选框，将其清除。

⑤设置登陆脚本地计算机pc1。bac.com上的共享文件夹abc映射到本地网络驱动器K：； . 在工具菜单上，单击映射网络驱动器。 在驱动器框中，单击某个驱动器号。

在文件夹框中，以 \\\\服务器名称\\共享名称 的形式键入服务器和共享资源的 UNC 路径，或单击浏览以查找计算机和共享资源。

可以映射共享驱动器和共享文件夹。除非权限禁止，否则访问共享驱动器或文件夹时也可访问其中的子文件夹。不过，无法将尚未明确配置为共享资源的子文件夹映射为网络驱动器。

⑥设置注销脚本，断开已有的网络驱动器k；使这些用户的计算机环境为；

开始-->运行-->gpedit.msc 计算机配置->管理模板->Windows组件->终端服务->会话 把\为断开的会话设置时间限制\改为\未被配置\。如果通过上面的操作，还会出现远程桌面连接断开过段时间之后，运行的软件自动关闭的话，就再进行以下操作：开始-->运行-->tscc.msc 连接-->RDP-Tcp右键属性-->会话 把这里面的替代用户设置的设置都改为从不，并且把从不勾选。

⑦不显示上次的用户名

一、打开“我的电脑”——“控制面板”，双击打开“管理工具”。 二、在“管理工具”界面中，双击打开“本地安全策略”。 三、在弹出的“本地安全设置”对话框中，选择“安全选项”。

四、在“安全选项”列表中，选择“交互式登录：不显示上次的用户名”。 五、单击右键，选择“属性”。

六、在弹出的“交互式登录：不显示上次的用户名属性”选项框中，选择“已启用”，单击“确定”按钮，完成设置。

⑧不需要按ctrl+alt+del；

开始-->所有程序--> 管理工具-->本地安全策略-->本地策略-->安全选项：microsoft网络服务器：当登录时间用完后自动注销用户，改为“已禁用”。microsoft网络服务器：在挂起会话

之前所需的空闲时间，改为99999，实际上是禁止了此策略。

⑨在用户登录时自动弹出提示窗口，该窗口的标题为“警告！”内容为“非法用户禁止登陆！ 打开注册表编辑器，找到HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼Winlogon子键分支，双击LegalNoticeCaption健值，打开“编辑字符串”对话框，在“数值数据”下的文本框中输入自己想要的信息标题，如“非法用户禁止登陆”，然后点击“确定”，重新启动。如果想要改变警告信息的话可以双击LegalNoticeText健值名称，在出现的“编辑字符串”窗口中输入想要显示的警告信息，单击“确定”，重新启动

1.3 利用组策略部署软件

实验目的：掌握利用组策略为用户分发软件的方法与步骤。

试验任务：你是一家企业的网络管理员，该企业已经创建了windows域。现在，你需要利用组策略为企业员工工作部署软件，为此需要执行以下工作：

①利用“指派”的方式吧软件（如cosmo1）分发给培训部的员工。

②利用销售部的员工，吧原来已经分发的软件（如cosmo1）强制升级为更高版本（如cosmo2）。

③对于技术支持部的员工，把原来已经分发的软件（如cosmo1）强制卸载。

①利用“指派”的方式吧软件（如cosmo1）分发给培训部的员工。 指派：当希望所选组策略对象中的每个用户均可以在计算机上安装该应用程序，可采用指派应用程序

步骤1 从\Directory 用户和计算机\、\Directory 站点和服务\或作为独立的 Microsoft 管理控制台管理单元打开组策略。

步骤2 要对计算机分配软件，请双击\计算机配置\。要对用户分配或发布软件，请双击\用户配置\。

步骤3 双击\软件设置\。

步骤4 在控制台树中，单击\软件安装\，然后单击\操作\菜单，选择\新建\，选择\程序包?步骤5 选择 Windows 安装程序包，选择部署方式\已指派 用户可以利用运行程序和文件激活的方式安装程序，但用户不能删除指派的应用程序，如果用户删除了它，在用户下次登录到客户机时将被再次通知指派的应用程序

②利用销售部的员工，吧原来已经分发的软件（如cosmo1）强制升级为更高版本（如cosmo2） 创建一个强制升级的GPO

1、在【Active Directory 用户和计算机】管理单元中，右击要将 GPO 链接到的容器（如Accounts OU 下的Production子OU）。右键单击该容器，单击【属性】，然后单击【组策略】选项卡。并新建一个名为“Mandatory Upgrade Policy”的GPO。然后选择它，单击【编辑】按钮。

4、在【组策略编辑器】中，展开【用户配置】 => 【软件设置】。然后右击【软件安装】。在出现的菜单中选择【新建】 => 【程序包】。 5、 在文件名文本框中，输入\\\\lgxh\\packages$\\cosmo2，然后选择cosmo2.msi文件，单击【打开】按钮。

6、在【部署软件】对话框中，选择【高级】选项，然后在高级选项对话框中单击【升级】标签。

7、单击【添加】按钮。在【添加升级程序包】对话框中，选择【某个指定的GPO】选项，

然后单击【浏览】按钮。

8、在【浏览组策略对象】对话框中，选择【全部】标签。然后在GPO列表中双击“Application Publishing Policy”即返回到【添加升级程序包】对话框 9、选择要升级的包（如Cosmo1），然后单击【确定】按钮。选择【现有程序包所需的升级】。单击【确定】按钮完成设置。

10、刷新组策略后，用OU（Production）中的用户在域中进行登录以便验证是否设置成功 ③对于技术支持部的员工，把原来已经分发的软件（如cosmo1）强制卸载。

删除布置的软件，执行下列步骤：

1、打开原来用于布置软件的GPO。

2、在【软件安装】中，右击发布或指派的包名，指向【所有任务】，单击【删除】。

3、在【删除软件】对话框中，选择强制删除或可选删除，然后单击【确定】按钮

本文来源：https://www.bwwdw.com/article/smgo.html