第4章 利用组策略管理用户工作环境

《软件工程实用教程》第2、3、4、5章习题与参考答案第2章软件生存周期及开发模型1．简述什么是软件生存周期？根据国家标准《计算机软件开发规范》，软件生存周期主要包括哪几个阶段？答案要点：软件生存周期是指软件产品从功能确定、设计、开发成功、投入使用，并在使用中不断修改、完善，直至被新的软件所替代，而停止该软件使用的全过程。

国家标准GB8566-1988《计算机软件开发规范》将软件生命周期划分为几个阶段：可行性研究、项目计划、需求分析、总体设计、详细设计、编码实现（包括单元测试）、集成测试、确认测试、系统运行和维护。

这几个阶段又可以归纳为3个大的阶段，即软件定义阶段，软件开发阶段和软件运行维护阶段。

2．瀑布模型有哪些特点？对于里程碑，你有哪些认识？答案要点：瀑布模型是一种基于里程碑的阶段过程模型，它所提供的里程碑式的工作流程，为软件项目按规程管理提供了便利。

例如，按阶段制定项目计划，分阶段进行成本核算，进行阶段性的评审等。

这为提高软件产品质量提供了有效保证。

瀑布模型的特点：•阶段性：前一阶段工作完成以后，后一阶段工作才能开始，前一阶段的输出文档是后一阶段的输入文档。

•阶段评审：在每一阶段工作完成后都要进行评审，以便尽早发现问题，避免后期的返工，如果评审不合格，则不开始下一阶段的工作。

•文档管理：在每阶段都规定了要完成的文档，没有完成文档，就认为没有完成该阶段的任务。

3．试说明原型模型的两种实现方案各有什么特点？各适用于什么情况？答案要点：原型模型在软件分析、设计阶段的应用，用来解决用户对软件系统在需求分析上的模糊认识。

将模拟的手段引入需求分析的初期阶段，通过建立原型缩短用户与分析人员之间的距离。

快速原型方法具有以下一些特点。

•快速原型是用来获取用户需求的，或是用来试探某种设计是否有效。

一旦需求或设计确定下来，原型就将被抛弃。

因此快速原型要求快速构建、容易修改，以节约原型创建成本，加速开发速度。

快速原型往往采用软件生成工具来创建，例如，4GL语言。

《网络操作系统》课程标准课程名称：网络操作系统授课对象：计算机网络技术相关专业学时：196（总学时）=68（理论实训一体化教学）+128（实验课教学）周课时：4课时/周实训课时：2周课程类别：专业课程学分：10（总学分）开课学期：第3、4学期修订日期：2020年3月第一部分前言一、课程性质由于该课程是一门非常实用的计算机网络应用技术，是网络管理的基础平台，有网络运行环境，就有网络操作系统（Windows系统服务）在负责网络资源的管理，因此，从职业岗位群分析，开设该课程符合广阔的网络市场对人才的需求特点，任何具备信息化建设和运行条件的企事业单位都需要具备网络操作系统技能的网络运行管理人员。

因此，将该课程定位为计算机网络技术专业基础课程。

通过该课程的学习，提高学生的综合素质，增强学生实际操作能力，使学生获得网络管理的能力，能胜任网络管理员的职责。

二、前导课程：计算机应用基础、计算机网络基础计算机应用基础主要是使学生对计算机的基本知识有了初步的了解，计算机网络基础主要是使学生掌握网络的概念、网络通信模式、网络的设备、以及网络的连接方式等相关知识，在此基础上引入网络操作系统课程。

三、后续课程：计算机实用组网技术网络操作系统入门是为计算机实用组网技术和网络操作系统高级应用两门课程服务的，在计算机实用组网技术中要学会架设服务器及其操作系统平台，并会配置该平台，学会网络操作系统入门后，再学习Linux操作系统，就会更容易理解。

四、课程目标（岗位能力）（一）总体目标在完成本门课程学习过程中学生应形成一定的学习能力、沟通与团队的协作能力，形成良好的思考问题、分析问题和解决问题的能力，养成良好的职业素养。

遵守国家关于网络管理的相关法律法规，形成关键性的网络技术应用能力及创新、创业能力。

最终成为具备较全面的网络管理技能的网络管理技术人才。

（二）具体目标1、能力目标1)会安装和维护服务器系统软件和应用软件。

2)会搭建与配备网络。

一、网络系统管理与维护概述1．按照Is0的定义,网络管理是指规划、监督、控制网络资源的使用和网络的各种活动,以使网络的性能达到最优;2．简单地讲,网络系统管理与维护就是为了保证网络系统能够持续、稳定、安全、可靠和高效地运行,所采取的一系列方法和措施;3．一般而言,网络系统管理与维护主要包含两个任务：一是对网络的运行状态进行监测,二是对网络系统的运行状态进行控制;4．网络系统管理与维护的基本功能有：故障管理、配置管理、性能管理、计费管理和安全管理;5．在IS0的网络安全体系结构中定义了5类安全服务：鉴别服务、访问控制服务、数据机密性服务、数据完整性服务和抗抵赖性服务;6．在网络安全管理工作中,常用的技术包括：物理安全措施、数据传输安全技术、内外网隔离技术、入侵检测技术、访问控制技术、审计技术、网络漏洞检测技术、病毒防范技术、备份技术和终端安全技术等;7．网络管理人员的日常工作主要包含7项任务,即基础设施管理、操作系统管理、应用服务管理、用户服务与管理、安全保密管理、信息存储备份管理和机房管理;二、用户工作环境管理1．管理员利用活动目录服务,把网络中需要被管理的资源信息按照一定的方式组织起来放置在活动目录中;2,在活动目录中,所有被管理的资源信息统称为“活动目录对象”,例如：用户帐户、组帐户、计算机帐户、甚至是域、域树、域森林等都是活动目录对象;3．在一个域中,计算机角色有：域控制器、成员服务器和工作站;4．一个最简单的域中将只包含一台计算机,这台计算机一定是该域的域控制器;5,组织单位是一种容器类的活动目录对象；只能在域中创建,并且只能容纳所在域中的对象；可以对域中的一部分对象实施单独的管理;6;在活动目录环境中,组策略是实施用户工作环境管理的有力工具;通过制定组策略,管理员可以对域或组织单位中的用户与计算机的行为进行强有力的统一管理;7．根据应用对象的不同,可以把组策略分为两种;其中,应用于用户帐户的组策略,称为“用户策略”；应用于计算机帐户的组策略,称为“计算机策略”;8．组策略对象是组策略的载体；要想实现基于组策略的管理,必须先创建组策略对象,然后再对其包含的各条组策略进行设置;9．在活动目录中,系统处理GPO的先后顺序为：域的GP0一OU的GP0一子OU的GPO;10．当父容器的组策略设置与子容器的组策略设置没有冲突时,子容器会继承父容器的组策略设置;11．当父容器的组策略设置与子容器的组策略设置发生冲突时,子容器的组策略设置最终生效;12．一旦对父容器的某个GPO设置了“强制”,那么,当父容器的这个GPO的组策略设置与子容器的GPO的组策略设置发生冲突时,父容器的这个GPO的组策略设置最终生效;13．一旦对某个容器设置了“阻止继承”,那么它将不会继承由父容器传递下来的GPO设置．而是仅使用那些链接到本级容器的GPO设置;14．同一个容器上可以同时链接多个GPO,这些GPO的策略设置将被累加起来,作为最后的有效配置；如果这些GPO的策略设置发生冲突时,以排在前面的GPO配置为优先;15．如果计算机策略与用户策略发生冲突时,以计算机策略优先;16．利用组策略部署软件的方式有两种：指派和发布;17．软件限制规则有：哈希规则、证书规则、路径规则和Internet区域规则;三、网络病毒的防范1．计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码;2．通常,计算机病毒的特征为：可执行性、隐蔽性、传染性、潜伏性、破坏性或表现性、可触发性;3．计算机病毒的危害主要表现为：破坏计算机的数据、占用磁盘空间、抢占系统资源、影响计算机的运行速度、窃取机密信息、不可预见的危害;四、防火墙与入侵检测1．防火墙是一种将内部网络与外部网络分开的方法,是在内部网络和外部网络之间所施加的安全防范系统;它既是一种隔离技术,也是一种访问控制机制;2．防火墙通常安装在被保护的内部网络与Internet之间的连接点处,两个网络之间产生的所有通信流量都必须经过防火墙;3．从实现方式上看,防火墙可以分为硬件防火墙和软件防火墙两类;4.防火墙的功能主要表现为：过滤进出网络的数据、控制不安全的服务、集中的安全保护、强化私有权、网络连接的日志记录及使用统计;5．根据防范的方式和侧重点的不同,防火墙技术可以分为：数据包筛选型、应用代理型和复合型;6．ISA Server 2006的主要功能有：防火墙、VPN服务和Web缓存;7．防火墙的部署方案主要有：边缘防火墙、三向防火墙和背对背防火墙;8·ISA Server支持3种客户端：Web代理客户端、防火墙客户端和SecureNAT客户端;9·Web代理客户端和防火墙客户端支持DNS转发,而SecureNAT客户端不支持;10·Web代理客户端和防火墙客户端支持用户身份验证,而SecureNAT客户端不支持;11．在ISA Server上,创建访问规则来控制内部用户访问Internet．12．在ISA Server上,创建发布规则来控制外部用访问内部网络资源;13．入侵检测是对各种入侵行为的发现与报警,是一种通过观察通信行为、根据安全日志或审计数据来检测入侵的技术;14·入侵检测的主要内容包括：试图闯入、成功闯入、冒充其他用户、违反安全策略、合法用户的信息泄漏、独占资源以及恶意使用等行为;15.根据获取的数据来源,入侵检测系统可以分为：基于主机的入侵检测系统、基于网络的入侵检测系统和分布式入侵检测系统;五、系统容错与灾难恢复1．系统容错是指系统在出现各种软硬件故障时,仍然能够保护正在运行的工作以及继续提供正常或近似正常的服务的能力;2．灾难恢复是指在出现故障后尽最大可能保护重要的数据和资源不受破坏,使损失降到最小并且不影响其他服务;3．uPs是一种能够提供持续、稳定、不间断的电源供应的重要外部设备;4．根据工作原理,uPS通常分为3类：后备式、在线式和在线互动式;5．在平时,可以借助于一些工具对重要的数据定期制作副本,然后把这些副本存储在某种物理媒体中并且放置在安全的场所,这就是“数据的备份”;执行数据备份的工具,被称为“备份工具”;此后,如果磁盘上的原有数据遭到了破坏,则可以从物理媒体中把数据的副本还原到计算机中,使这些数据的状态恢复到原来做备份时的状态,从而实现数据容错;6．windOWS备份工具支持5种备份类型：正常备份、差异备份、增量备份、每日备份、副本备份;7．windOWS Server 2003提供了很多高级启动选项,用来修复系统启动时所遇到的各种问题;主要有：安全模式、最后一次正确的配置、VGA模式、目录服务恢复模式等;8．如果使用安全模式和其他高级启动选项都无法正常启动windows,那么可以考虑使用“恢复控制台”;9．管理员需要在平时定期制作“ASR备份”和“AsR软盘”;当系统出问题时,可以利用它们将系统还原到原来做“ASR备份”时的状态;六、补丁管理1.软件补丁是一种插入到软件中并能对运行中出现的软件错误进行修改的程序编码,往往是在漏洞被发现后由软件开发商开发和发布的;2.补丁管理具有的特点：及时性、严密性的持续性;是微软公司推出的用于局域网内计算机有关操作系统、应用软件等补丁管理的一种服务器软件; ‘4．WSUS服务解决问题的思路是：管理员利用WSUS服务器从微软公司的更新网站下载补丁,然后再发布给内网用户;这样既能降低网络带宽流量,将补丁下载的数据量降为最低：又能让补丁置于管理员的控制之下,只有经过管理员审核后,同意发放补丁,用户才可以安装补丁;5．目前,WSUS 3．0SPl提供了对微软25个产品和9个分类的更新;6．安全更新’’是针对特定产品而广泛发行的修复程序,用于解决产品的安全漏洞；“更新程序’’是针对特定产品广泛发行的修复程序,用于解决与安全无关的非关键性缺陷；“关键更新程序’’是针对特定产品广泛发行的修复程序,用于解决与安全无关的关键性缺陷：“Service Pack,,是自产品发行以来创建的所有修补程序、安全更新、更新程序、关键更新程序等的集合;7．WSUS服务支持微软公司的绝大多数操作系统产品和应用程序产品的补丁部署;8．WSUS服务支持为特定的计算机或计算机组定制~t-q-的分发;9．管理员审批补丁的方式有：手动审批和自动审批;10．WSUS服务的部署方案主要有：单服务器方案和链式方案;七、性能监视1．网络管理员需要经常对网络系统的各方面性能进行监视,一旦网络的某方面性能出现了下降,需要及时找到原因并提出对策,从而使网络始终处于最佳工作状态;2．网络的性能,在很大程度上是由网络中服务器的性能决定的;对服务器的性能进行监视、使之稳定高效地提供服务,是管理员的重要工作职责;3．在基于window8 Server 2003的服务器上,用于监视服务器性能的工具主要有：事件查看器、任务管理器、系统监视器、计数器日志、警报;4．性能监视的目的是为了发现问题和解决问题;为此,一方面需要对采集的数据进行仔细分析,另一方面还要凭借一定的经验和技巧进行判断;是一系列网络管理规范的集合,包括：协议、数据结构的定义和一些相关概念;6.目前,SNMP已成为网络管理领域中事实上的工业标准,绝大多数网络管理系统和平台都是基于snmp的;网络管理系统通常由3部分组成：NMS,SNMP Agent和网络设置;八.网络故障诊断与排除1．一般而言,网络故障主要分为物理类故障和逻辑类故障两大类;2．物理类故障一般是指线路或设备出现的物理性问题;3．逻辑类故障一般是指由于安装错误、配置错误、病毒、恶意攻击等原因而导致的各种软件或服务的工作异常和故障;4．网络敌障诊断是以网络原理、网络配置和网络运行的知识为基础,从故障现象入手,以网络诊断工具为手段获取诊断信息,确定网络故障点,查找问题的根源并排除故障,恢复网络正常运行的过程;5．常用的网络测试工具有：数字电压表、时间域反射计、示波器、网络测试仪、电缆测试议、协议分析仪和网络管理软件等;6;基本的网l络测试命令有；Ping命令、Tracert命令、show命令和Debug命令等;7．网络故障检测与分析流程：描述故障现象、收集可能的故障原因信息、建立诊断计划、故障分析、事后记录和总结;。

第章使用组策略管理用户环境Company number：【0089WT-8898YT-W8CCB-BUUT-202108】第7章使用组策略管理用户环境本章概述本章节主要是和大家介绍了使用组策略管理用户环境的知识和技能。

本章介绍使用组策略管理用户环境所需的知识和技能,具体包括：使用组策略配置“文件夹重定向”、Microsoft Internet Explorer 网络连接和用户桌面。

教学目标●了解配置组策略设置的相关知识点。

●了解使用组策略指派脚本的相关知识点。

●了解配置“文件夹重定向”功能的操作。

●掌握应用组策略对象（GPO，Group Policy Object）。

教学重点●配置组策略是我们部署组策略的基础，学好配置组策略设置的相关知识及学会使用组策略指派脚本显的尤为重要。

教学难点●文件夹重定向的功能，对于大多学生来说会是比较陌生的概念，需要仔细讲解。

教学资源先修知识在正式开始学习本章内容以前，学生须具备下列知识基础。

建议学时课堂教学（2课时）+实验教学（1课时）教学过程配置组策略设置使用组策略指派脚本配置“文件夹重定向”确定已应用的策略对象总结经过本章的学习，我们了解了下列的知识和内容：●了解配置组策略设置的相关知识点。

●了解使用组策略指派脚本的相关知识点。

●了解配置“文件夹重定向”功能的操作。

●掌握确定已应用组策略对象（GPO，Group Policy Object）。

在第８章中，我们将学习应用管理模板和审核策略的知识，了解如何使用Windows Server 2003进行应用管理模板和审核策略的操作。

随堂练习1．你是公司网络的管理员。

网络包含一个单独的活动目录域。

所有的服务器运行Windows Server 2003。

所有的客户端使用Windows XP Professional。

网络包括一个域控制器Server1，你在一台客户机Client1上创建预先配置好的用户配置文件。

你要确保所有的用户首次登录到网络时收到预先配置好的用户配置文件。

使用组策略管理用户环境组策略（Group Policy）是一种在Windows操作系统上，用于管理计算机和用户配置项的技术。

通过组策略，管理员可以集中管理计算机和用户的策略设置，以确保网络中的所有计算机和用户都符合组织的安全和管理要求。

在用户环境管理中，组策略可以用于配置用户的桌面设置、应用程序访问权限、安全设置等。

组策略提供了灵活的配置选项，可以根据不同的组织需求进行自定义设置。

以下是使用组策略管理用户环境的步骤：第一步：创建组策略对象（Group Policy Object，GPO）第二步：配置组策略设置在组策略管理器中，可以对GPO进行配置设置。

其中，用户配置和计算机配置是两个主要的部分。

在用户配置中，管理员可以对用户的桌面设置进行管理。

可以设置桌面背景、屏保、桌面图标等。

此外，还可以配置用户的Internet Explorer设置、安全选项，以及其他应用程序的访问权限等。

在计算机配置中，管理员可以对计算机的安全设置和网络连接进行管理。

可以设置密码策略、防火墙设置、文件夹和文件访问权限等。

此外，还可以配置网络设置、打印机设置等。

第三步：链接GPO到域、OU或站点创建和配置好GPO之后，需要将其链接到特定的域、OU或站点上。

通过链接，GPO才能被应用到相应的计算机和用户上。

第四步：更新组策略设置一旦将GPO链接到特定的域、OU或站点上，组策略将在下次用户登录时被自动应用。

如果需要立即应用组策略设置，可以使用命令行工具gpupdate /force。

第五步：监视和管理组策略效果在组策略管理器中，管理员可以监视和管理GPO的效果。

可以查看GPO应用情况，检查错误和警告信息，以及对GPO进行修改和删除等操作。

通过使用组策略管理用户环境，管理员可以实现以下好处：1.集中管理：通过组策略，管理员可以集中管理组织中所有计算机和用户的配置设置，提高管理效率。

无需逐个配置每台计算机或每个用户的设置。

2.统一标准：通过组策略，管理员可以定义和强制执行组织的安全和管理标准。

当前域环境：在单域中有一些用户、组、计算机帐户，还有三个组织单位（OU），其中财务部还有一个子组织单位“资产管理”，每一个组织单位都有一个委派管理员，左侧有一些要实现的组策略对象（GPO）,本例中域控制器名：jame，域中另一台计算机名：Glasgow。

下面各例用于学习GPO对象的创建、链接、它的冲突解决，继承、阻止继承、强制以及在工作环境中怎样使用组策略来管理域。

（以下各例都在组策略管理工具中完成，在上一课已经安装了GPMC.MSI这个组策略管理工具）一、强制实现域中所有用户使用统一桌面背景。

1. 实现这一策略如下图：先建立一个统一桌面背景的GPO，把它链接到域，并设置这个GPO 为强制。

2. 准备一张图片，放在一个只读共享文件夹中，并确认在网上邻居中可定位它的UNC路径。

图片的UNC路径是：\\Jame\公用共享\背景.jpg。

3. 打开：开始→管理工具→组策略管理，再展开林→域→Nwtraders.msft→组策略对象，在右侧“内容”中右击，选“新建”。

4. 取一个组策略名5. 对新建的GPO右击选“编辑”，进入组策略对象的编辑。

6. 展开用户配置→管理模板→桌面→Active Desktop，首先启用“启用Active Desktop”用于支持Jpg和HTML格式为桌面背景。

在右侧窗口，双击“Active Desktop墙纸”并如下设置。

（不要使用图片的本地路径，这样会使网络中其他计算机不能访问，而要使用UNC路径）7. 把“统一背景”这个GPO链接到域：对域右击，选“链接现有GPO”。

对统一背景GPO右击，设置“强制”，使此GPO的组策略继承是强制继承，不能被阻止继承。

8. 用域用户Kaka登陆域测试一下，背景已经有图片，表示部署成功。

二、除了域管理员和委派管理员外所有域用户禁用控制面板。

1. 本例实现的GPO链接示意图2. 展开“组策略对象”在右侧如上例一样建立一个新的GPO。

对“禁用控制面板”GPO进行编辑。

基于Windows Server 2012 R2域的安全管理Windows Server 2008 R2是微软最新的服务器操作系统，该操作系统秉承“按需定制”的原则，可以根据需要选择安装组件。

网络中常用的基础服务以“角色”的方式体现，更多的管理任务以“功能”的方式体现。

由于系统安装的服务少，因而能够减少网络攻击面，提升网络安全。

其中的AD DS域服务是Windows网络的基础网络服务，是Windows系列应用型产品的核心平台，是用户管理、计算机管理的基础。

一、项目简介本项目实现计算机系OU中若干计算机账号和用户账号（见表1-1）的统一的管理。

表1-1 网络环境描述图1-1 基于域的网络拓扑图图1-1是网络拓扑图。

二、实训环境1、软件环境Windows Server 2012 R2、Windows 7 等镜像文件光盘、VMware 7.1以上版本的虚拟机软件。

2、学院域，计算机系是域中的一个OU。

任务1 应用组策略管理用户工作环境组策略是一个能够让系统管理员充分管理用户工作环境的技术，通过它来确保用户拥有与权限相符的工作环境，也通过它来限制用户，如此不但可以让用户拥有适当的环境，也可以减轻系统管理员的管理负担。

[安全管理需求]用户使用统一的方式上网，在登录、注销时使用统一脚本，普通用户在离开时可以关闭本地服务器。

为便于备份和管理，要实现文件夹的重定向，将文件目录统一放至文件服务器上。

用户登录后环境要求统一，如桌面、磁盘配额等。

为了安全起见，不允许用户私自使用移动存储介质，如USB、光盘设备。

[任务描述]1、设置用户使用代理服务器上网设置域内的计算机系内的用户必须使用企业内部的代理服务器（Proxy Server）上网，代理服务器的网址为，端口号为8080，同时要将用户浏览器IE的连接标签内更改代理服务器设置的功能禁用，以免用户私自通过此处更改这些设置值。

2、设置计算机配置中的安全设置为计算机系中的用户user1分配可以关闭计算机（文件服务器）Server2的权限。

《Windows活动目录管理》课程标准适用专业：计算机网络专业课程编码：C3-1-3开设时间：第6阶段课时数：36一、课程概述《Windows活动目录》是湖南铁道职业技术学院计算机网络专业的一门专业拓展课程。

课程的主要内容包括：活动目录的基本概念、活动目录基本管理任务、组策略的管理与应用、管理活动目录的信任关系、对活动目录数据库的管理及对活动目录进行恢复等。

本课程学分为1.5学时，总教学时数为36学时，其中理论课时与实践课时各占一半。

通过本课程的学习使学生掌握活动目录的逻辑结构组成，掌握活动目录的基本管理任务，掌握组策略的应用，了解活动目录数据库的管理与维护，初步具备Windows 活动目录的管理的能力。

二、培养目标1．方法能力目标：（1）独立学习能力；（2）职业生涯规划能力；（3）获取新知识能力、信息搜索能力；（4）决策能力；（5）理论联系实际的能力和严谨的工作作风；2．社会能力目标：（1）培养学生的沟通能力及团队协作精神；（2）培养学生分析问题、解决问题的能力；（3）培养学生敬业乐业的工作作风；（4）培养学生的表达能力；3．专业能力目标：（1）掌握Windows活动目录的基本管理任务；（2）掌握组策略的创建、继承、解决组重策略冲突、组策略部署、GPMC工具的使用；（3）学生通过学习能解决在企业中如何利用组策略来管理用户的工作环境和实现软件部署；（4）培养应用Windows活动目录对网络资源进行管理的技能；三、与前后课程的联系1．与前续课程的联系《Windows网络操作系统》课程让学生了解网络操作系统域管理与使用、掌握建立域的方法、掌握域用户与组账户的管理等操作与技能。

2．与后继课程的关系该课程为学生后续课程《网络组建与维护》、毕业设计等课程提供操作保障。

四、教学内容与学时分配根据职业岗位网络管理工程师的要求，将本课程的教学内容分解为14个项目。

五、教材的选用1．教材选取的原则教材选用时遵循“够用、实用”的原则，以真实任务为驱动，在真实环境和任务中介绍Windows活动目录的相关知识，采用“理论实践一体化”的教学思想，符合“做中学，学中做”的教学理念。