单元设计——管理组策略课前准备:根据学生人数分组,每组两台机器。
共10台机器,操作系统都为Windows Server 2003。
步骤1:对本章进行整体介绍(10分钟)1.先由教师对本章内容进行简单介绍。
讲解:组策略是从Windows 2000开始有的一个新特点。
组策略用来在用户或计算机集合上强制设置一些配置,这在多台计算机需要统一的工作界面时很有实用意义。
组策略为管理员提供了进一步控制和集中管理用户工作环境、实现软件部署以及安全性管理。
例如用户的桌面环境、计算机启动/关机所执行的脚本文件、用户登录/注销所执行的脚本文件等。
Windows Server 2003系统赋予组策略更新的功能和特性,通过组策略可以更容易管理网络上的资源。
组策略是一组配置设置,是组策略管理员应用于活动目录存储中的一个或多个对象。
利用它组策略管理员可以为用户提供一个完全总装的桌面环境。
这个环境包括定制的【开始】菜单,自动安装的应用程序以及对文件、文件夹和Windows Server 2003系统设置的限制访问。
举例:在企业中,如果公司老总想让所有员工的桌面保持一致,网络管理员想一次性把所有员工的电脑上都安装同一个软件,所有员工的电脑上每天一起机就都执行同一个脚本,打出一行字“欢迎来到某某企业,如果您的电脑出现问题,请打电话到某某某!”这些都可以用组策略来完成。
步骤2:组策略简介(20分钟)以问题引导和案例的方法教学1.提问式引导:组策略的组件包括哪些?(大家思考,个别回答)讲解:包括组策略对象、组策略容器和组策略模板。
2.提问式引导:下面找同学分别说一说什么叫组策略对象、组策略容器和组策略模板?(大家思考,个别回答(每个题目找一个学生))讲解:在学生回答的基础上,进行补充讲解,在机器上找到相对的位置,在讲到组策略对象时,在机器上演示组策略对象创建的位置(分本地组策略、域组策略、默认域安全策略和默认域控制器安全策略来讲解)。
1)组策略对象组策略对象(GPO,Group Policy Object)是组策略的载体,要想实现组策略管埋,必须创建组策略对象。
在活动目录中可以把组策略对象应用于特定的目标,如站点、域和OU 以实现组策略管理的目的。
组策略对象的内容存储在GPC(组策略容器)和GPT(组策略模板)中。
组策略只能在活动目录中的站点、域和OU对象上设置策略。
在对这些对象设置组策略时有以下特点:(1)一个GPO可以与多个站点、域和OU相链接,这样当需要对不同的对象执行相同策略管理时可以减轻管理员的工作负担。
(2)每个站点、域和OU也可以应用多个GPO。
2)组策略容器组策略容器(GPC,Group Policy Container)是包含GPO状态和版本信息的活动目录对象,存储在活动目录中。
计算机使用GPC来定位组策略模板,而且域控制器可以通过访问GPC来获得GPO的版本信息。
如果一台域控制器没有最新的GPO版本信息,那么就会引发为了获得最新GPO版本信息的活动目录复制。
3)组策略模板组策略模板(GPT,Group Policy Template)存储在域控制器上的SYSVOL共享文件夹中,用来提供所有的组策略设置和信息,包括管理模板、安全性、软件安装、脚本、文件夹重定向设置等。
当创建一个GPO时,Windows Server 2003创建相应的GPT。
客户端计算机能够接受组策略的配置就是因为它们和DC的SYSVOL文件夹链接,获得并应用这些设置。
3.组策略的配置类型及组策略的功能类型先由学生在本机上(或通过远程访问的方法)结合书上的图5-1及文字讲解来学习组策略的配置类型及组策略的功能类型有哪些,简单作以了解。
(学生做试验,教师各别解决问题)找学生对组策略的配置类型及组策略的功能类型作总结说明。
每个组策略的配置类型都包括两部分内容:计算机配置和用户配置,如图5-1所示的一个在域上的默认GPO。
图5-1 组策略编辑器窗口1)计算机的组策略配置在计算机的组策略配置中可以指定操作系统的行为、桌面行为、安全性设置、计算机的启动和关机命令、计算机赋予的应用程序选项以及应用程序设置。
在计算机启动时会应用计算机的组策略设置。
2)用户的组策略配置在用户的组策略配置中可以指定操作系统行为、桌面行为、安全性设置、赋予的和公布的应用程序选项、应用程序设置、文件夹的重定向选项以及用户登录和退出登录的命令等。
当用户登录计算机时会应用与该用户相关的组策略设置。
注意:当同一个组策略的计算机配置和用户配置发生冲突时,计算机的组策略配置优先。
步骤3:组策略对象的创建及管理。
(40分钟)这一章的内容学生以前没有任何接触,不是很好掌握,所以以教师引导和案例的方法教学1.教师引导:先由教师在教师机上演示域组策略的创建和简单的管理(大体介绍)再由学生自己在本组机上以【案例1】、【案例2】、【案例3】为例进行操作实践,初步对域组策略进行了解。
学生对案例的操作一般不会很成功。
教师总结:在教师机上对学生操作不是很好的案例作操作演示,一定让学生看出最后的效果。
步骤4:组策略的应用(90分钟)以教师引导和案例的方法教学1.管理软件设置使用组策略可以集中管理软件分发,可以为一组用户或计算机指派或发布软件。
提问式引导:指派软件和发布软件都有哪些区别?(大家思考,个别回答)讲解:指派软件:1)这样当用户登录时,软件会被通告指派给了用户,但是软件并没有真正安装在该计算机上,而只是安装了与软件有关的部分信息,当用户运行软件的快捷方式或者双击该软件的文档时,该软件才会被自动安装。
2)软件指派应用程序既可以用于计算机配置,也可用于用户配置。
3)指派的应用程序用户无法删除发布软件:1)和指派软件不同,发布一个软件时计算机并无该软件的快捷方式,用户需要用【控制面板】|【添加或者删除应用程序】选项来安装软件。
2)发布应用程序只用于用户配置,在组策略中发布的程序是否被用户安装,取决于用户。
3)应用程序出现在用户的控制面板的【添加/删除程序】的安装组件列表中,用户可以卸载这些应用程序通过案例4给学生演示操作,然后由学生来自己操作演示(最好给学生提供一些小的软件包让他们演示看出效果)。
2.配置桌面为使组策略的配置效果更明显,对桌面的配置我们采用配置“本地计算机”组策略的方法。
教师引导:先由教师对案例进行解释和必要引导工作(设置开始菜单、设置最近打开文档记录、设置系统关机)再由学生在本机上(或通过远程访问的方法)结合书上的案例进行操作(学生做试验,教师各别解决问题)找学生演示操作的方法和过程,重点操作后强调让学生看效果。
给学生一段时间看看还能不能对其他的策略进行设置,看效果,鼓励学生动手操作。
3.使用脚本教师引导:对脚本的设置进行演示(有一个脚本的例子最好)让学生演示看效果。
4.文件夹重定向教师引导,先由学生在本机上(或通过远程访问的方法)结合书上的案例8进行操作。
(学生做试验,教师各别解决问题)找同学演示(教师作辅助工作,让学生看效果)5.安全设置先由教师对安全设置部分进行讲解,演示。
再由学生在本组机上演示操作。
(学生做试验,教师各别解决问题)6.安全模板先由教师对安全模板部分进行讲解,演示。
再由学生在本组机上演示操作。
(学生做试验,教师各别解决问题)【案例5】设置“本地计算机”组策略。
具体操作步骤如下:(1)在【开始】|【运行】对话框中输入gpedit.msc命令,弹出【组策略编辑器】窗口,对“本地计算机”策略进行设置,如图5-12所示。
图5-12 “本地计算机”组策略编辑器管理窗口(2)选择【用户配置】|【管理模板】文件夹,在对应的右边子窗口中,双击【任务栏和「开始」菜单】子文件夹,如图5-13所示。
图5-13 显示【任务栏和「开始」菜单】子文件夹对象(3)双击【阻止更改‘任务栏和「开始」菜单’设置】选项,弹出【阻止更改‘任务栏和「开始」菜单’设置】对话框,选择【已启用】单选按钮,如图5-14所示。
(4)单击【应用】|【确定】按钮。
【开始】菜单就不能被非法修改了。
图5-14 组策略设置对话框2.设置最近打开文档记录出于某种安全的需要,例如不想让人知道自己浏览过哪些网页和打开过哪些文件,这时只要在右侧窗格中双击【不要保留最近打开文档的记录】(如图5-15所示),对其设置,选择【已启用】单选按钮进行设置,然后仍然在图5-15中选择【退出时清除最近文档的记录】策略,对其进行同样设置即可。
图5-15 组策略编辑器窗口3.设置系统关机在关闭Windows Server 2003系统时,总会出现关机原因提示框(有利于网络管理员查找服务器关机的原因),可以进行设置将提示框关闭。
对关闭关机原因提示框进行如下设置:【案例6】设置系统关机策略。
具体操作步骤如下:(1)选择【开始】|【运行】命令,在打开的对话框中输入gpedit.msc命令,弹出【组策略编辑器】窗口。
(2)单击【计算机配置】文件夹|【管理模板】文件夹|【系统】文件夹,如图5-16所示。
(3)双击【显示“关闭事件跟踪程序”】,在弹出的对话框中(如图5-17),选择【已禁用】单选按钮,单击【确定】按钮。
图5-16 【系统】文件夹中的对象显示窗口图5-17 组策略设置窗口步骤5:域安全策略及域控制器安全策略(10分钟)先由学生在本机上(或通过远程访问的方法)结合书上的案例操作。
(学生做试验,教师各别解决问题)教师整体对域安全策略及域控制器安全策略进行介绍和讲解。
重点举两个案例(一般不会出现太大问题)。
步骤6:学生对本章课程提出问题,再由其他学生讲解,教师布置下章内容(10分钟)1.提问:对本章的内容有什么不明白的吗?同学们思考,个别回答。
提问式讲解:谁能回答这个问题?同学们思考,个别回答。
2.布置下章的内容第六章将以文件和文件夹为例介绍NTFS文件系统权限的一些相关内容。
文件和文件夹权限使管理员能够管理用户对Windows计算机上文件系统资源的访问。
Windows是通过设置文件和文件夹权限来保护数据安全的。
文件和文件夹权限分很多种,有共享文件夹权限和NTFS权限等。
3.对学生进行表扬和鼓励。