《服务器配置》课件--单元3项目1.pptx

1、服务器配置学习单元3 配置大型企业服务器韩立凡、王浩单元概要在大型企业中通过使用Active Directory域，可将网络中的多台计算机在逻辑上组织到一起，可方便的对网络资源进行集中管理，让用户可以更便捷安全的去访问网络资源，从而大大降低网络管理成本。除此之外，在大型企业里大部分服务都是基于群集负载平衡建立，负载平衡是一种廉价且有效的扩展服务器带宽和增加服务性能的技术手段，它可以加强服务的处理能力，提高网络的灵活性和可用性，以及防止单点故障所造成的损失。本单元从安装Active Directory开始，学习如何管理域模式计算机、对域模式计算机进行统一部署、升级更新Active Directo

2、ry、迁移Active Directory和配置网络服务的负载平衡。单元目标1）具备提炼服务器方案有效信息的能力2）初步具备Active Directory域的规划与设计能力3）具备安装与配置Active Directory服务器实现资源统一管理的能力4）具备将Active Directory服务升级到更高版本的能力5）具备将Actvice Directory服务迁移到其他服务器且正常运行的能力6）具备调试网络服务的能力7）具备安装与配置负载平衡服务器实现服务冗余的能力8）具备独立思考，依据工作需要学习新知识、新技术的能力9）具备与人团结协作的能力10）具备协调网络资源，保证服务器高效运行的能

3、力单元情境晨光公司发展至今已经成为行业领先企业，公司规模较大，拥有约200台计算机、100台笔记本和10余台服务器。由于客户机较多，目前的系统管理员没有办法对终端进行统一有效的维护和部署，这给公司的IT部门带来巨大的工作量。经过部门内部讨论，总结出了目前公司几个需要解决的问题。第一个问题，目前公司电子产品资产比较多，按照行政部的要求，IT部门需要对资产使用人和地点等信息的进行登记，以便控制企业资产和安全性管理。第二个问题，公司为所有员工配备了计算机，而每个员工根据自己的喜好安装了不同的软件，其中部分软件会影响终端的使用，所以现在IT部门想为所有终端同一部署软件环境，提高员工工作效率。第三个问题

4、，电子产品的更新换代速度非常快，IT部门需要站在不同角度考虑服务器的操作系统和管理手段。第四个问题，随着公司的壮大，目前Web服务器已经不能满足日常的业务需求，需要通过一些手段来提高Web服务的高可持续性。项目1 使用Active Directory实现资源统一管理项目2 将原有域迁移至新的服务器项目3 搭建负载平衡群集实现Web服务器冗余项目描述晨光公司为更好的管理员工所使用的终端，要求通过Windows Server系统中Active Directory功能进行Windows客户端的管理，以提高员工工作效率，实现更多的管理目的。项目分析本项目要进行Active Directory的部署，通

5、过Active Directory自身功能对客户端进行进一步的应用管理。安装完Active Directory后要，将所有客户端加入企业域中，之后统一安装部门所需的软件，最后进行安全管理。安装Active Directory配置服务配置客户端部署软件安全管理项目分析知识链接知识链接什么是Active Directory？Active Directory是将网络资源按照有序的方法进行分类和管理，这里提到的网络资源是指服务器、客户机、用户账户、打印机或扫描仪等。Active Directory可以帮我们找到一台在某个办公室的打印机，找到一个用户或者验证用户是否有对某个共享有访问权限。同时他还支持单

6、一登录（SSO），即一次登录后就可以访问整个网络。任务任务1 1 安装安装Windows Active DirectoryWindows Active Directory任务任务2 2 管理域管理域用户用户任务任务3 3 为客户机分发为客户机分发软件软件任务任务4 4 使用组策略限制用户使用行为使用组策略限制用户使用行为任务描述任务描述晨光公司系统管理员要在现有Windows Server 2008 R2服务器上安装Windows Active Directory 服务，以满足公司行政部门登记固定资产需求和IT部门的统一管理需求。任务任务1 安装安装Windows Active Directo

7、ry任务任务分析分析整个Active Directory安装过程是通过系统向导进行，但在安装前，管理员需要确定正确的企业域名、DNS系统命名规则和网络参数，这些参数在完成Active Directory安装后变更会中断整个Active Directory服务，中断服务会造成企业不可估量的损失。任务任务1 安装安装Windows Active Directory添加Active Directory角色使用dcromo进行安装配置服务完成安装任务任务实施实施步骤1、使用添加角色向导安装Active Directory服务1）单击“开始”“服务器管理器”，打开“服务器管理器”窗口。2）在“服务器管理

8、器”窗口中，在“角色”上单击右键，在弹出的快捷菜单中选择“添加角色”命令。3）打开“添加角色向导”，在“开始之前”对话框中单击“下一步”按钮。4）在“选择服务器角色”对话框中选中“Active Directory 域服务”复选框。任务任务1 安装安装Windows Active Directory任务任务实施实施步骤1、使用添加角色向导安装Active Directory服务5）在弹出的“是否添加Active Directory域服务所需的功能？”对话框，单击“添加必需的功能”按钮。6）返回“选择服务器角色”对话框中单击“下一步”按钮。7）在“Active Directory服务介绍”对话框中

9、可查看相关介绍，然后单击“下一步”按钮。8）在“确认安装选择”对话框中，单击“安装”按钮。任务任务1 安装安装Windows Active Directory任务任务实施实施步骤1、使用添加角色向导安装Active Directory服务9）系统开始安装Active Directory域服务和其所必须的相关组件。10）出现“安装结果”对话框，阅读后单击“关闭该向导并启动Active Directory域服务安装向导（dcpromo.exe）。”链接。任务任务1 安装安装Windows Active Directory温馨提示温馨提示如何打开域安装向导？如果不慎关闭了该对话框，可以单击“开始”“

10、运行”，输入“dcpromo.exe”，通过该命令可以打开“Active Directory域安装向导”。在早期的Windows Server 版本中系统管理员必须通过命令手动启动“Active Directory域安装向导”。任务任务实施实施步骤2、使用dcpromo.exe安装域服务1）弹出“欢迎使用Active Directory域服务安装向导”对话框，单击“下一步”按钮。2）在“操作系统兼容性”对话框中，阅读内容，单击“下一步”按钮。3）在“选择某一部署配置”对话框中，选择“在新林中新建域”单选按钮，并单击“下一步”按钮。任务任务1 安装安装Windows Active Directo

11、ry任务任务实施实施步骤2、使用dcpromo.exe安装域服务任务任务1 安装安装Windows Active Directory知识链接知识链接什么是域？什么是林？域是“网络”对象（用户、组、计算机等）的分组，域中所有的对象都存储在Active Directory中，Active Directory也可以由一个或多个域组成。一个或多个域树可以组成林，同一个林中的域也可以相互共享架构、站点和复制以及全局编录能力。在新林中创建的第一个域是该林的根域。任务任务实施实施步骤2、使用dcpromo.exe安装域服务4）在“命名林根域”对话框中输入企业域名“”，并单击“下一步”按钮。任务任务1 安装安

12、装Windows Active Directory温馨提示温馨提示提前规划好域名 管理员必须提前规划好Active Directory 域名，这项参数在完成Active Directory安装后变更会中断整个Active Directory服务，中断服务会造成企业不可估量的损失。不建议在域建立成功后再更改域的名字。任务任务实施实施步骤2、使用dcpromo.exe安装域服务5）在“域NetBIOS名称”对话框中单击“下一步”按钮。6）系统检查是否有重名等名称冲突问题，无需用户操作，等待即可。7）在“设置林功能级别”对话框中设置林功能级别为“Windows Server 2008 R2”级别，并

13、单击“下一步”按钮。任务任务1 安装安装Windows Active Directory任务任务实施实施步骤2、使用dcpromo.exe安装域服务8）在“其他域控制器选项”中选中“DNS服务器”复选框，并单击“下一步”按钮。任务任务1 安装安装Windows Active Directory知识链接知识链接什么是全局编录（GC）？全局编录是 Active Directory 域服务（AD DS）中所有对象的集合。全局编录服务器是一个控制器，它存储林中主持域的目录中所有对象的完全副本，以及所有其他域中所有对象的部分的只读副本。同时全局编录服务器负责提供全局编录查询服务。任务任务实施实施步骤2、

14、使用dcpromo.exe安装域服务9）单击“数据库、日志文件盒SYSVOL的位置”对话框中的“下一步”按钮。任务任务1 安装安装Windows Active Directory知识链接知识链接SYSVOL文件夹 SYSVOL文件夹是用来存储域公共文件服务器副本的共享文件夹，例如系统将组策略设置、脚本等都是存在这个共享目录中的。如果组织内有多台域控制器，那么它们就在域中所有的域控制器之间通过FRS服务进行相互复制，以提高Active Directory管理效率。任务任务实施实施步骤2、使用dcpromo.exe安装域服务10）在“目录服务还原模式的Administrator密码”对话框中设置密

15、码，并单击“下一步”按钮。任务任务1 安装安装Windows Active Directory任务任务实施实施步骤2、使用dcpromo.exe安装域服务11）在“摘要”对话框中查看配置集合结果，并单击“下一步”按钮。12）系统开始自动安装和设置Active Directory，无需操作，等待即可。13）安装完成，单击“立即重新启动”按钮来完成服务器的重启。任务任务1 安装安装Windows Active Directory任务任务测试测试 依次单击“开始”“服务器管理器”，弹出“服务器管理器”窗口，单击展开“角色”“Active Directory域服务”“Active Directory用

16、户和计算机”“”，如果能看到图中所示的子文件夹，则证明该Active Directory域服务安装完成。任务任务1 安装安装Windows Active Directory相关知识相关知识目录树 目录树是指在名称空间中，由容器和对象组成的逻辑层次结构。而目录树的末梢结点是对象。目录树除了还表达了各个容器和对象的连接方式还表达了一个对象到另一个对象的逻辑路径。在Active Directory中，目录树是最基本的逻辑结构。任务任务1 安装安装Windows Active Directory相关知识相关知识趣图学知趣图学知工作组模式和域模式的区别 工作组模式的计算机是对等的关系，有计算机或服务器自

17、主管理，随时可加入和退出工作组。域模式，是由域控制器的一个计算机分组，加入和退出域都必须由域管理员操作（或者具有登录域的用户账户），域内成员服务器和计算机的策略遵循域策略优先的原则。管理模式的不同是二者的最大区别。任务任务1 安装安装Windows Active Directory任务拓展任务拓展实践伟天公司域名为，伟天公司也想从原来的工作组模式变更到域模式，请为伟天公司构建域环境。思考安装Active Directory服务的机器称之为DC，域里其他提供服务的服务器称之为成员服务器，那么DC只能用域用户登录，而成员服务器却能登录到本地，这是为什么？任务任务1 安装安装Windows Acti

18、ve Directory任务任务1 1 安装安装Windows Active DirectoryWindows Active Directory任务任务2 2 管理域用户管理域用户任务任务3 3 为客户机分发为客户机分发软件软件任务任务4 4 使用组策略限制用户使用行为使用组策略限制用户使用行为任务描述任务描述晨光公司Active Directory服务已经部署完毕，此时系统管理员要为员工分配账户，除此之外针对不同工作岗位的员工，账户登录的时间也有严格控制，例如像一线店面销售人员，登录时间必须按照约定的时间登录。任务任务2 管理域用户管理域用户任务任务分析分析根据晨光公司的企业环境和要求，要为

19、每一位员工建立一个独立的用户账号，并修改每个账户的个性化信息，以及对用户登录时间进行限制。任务任务2 管理域用户管理域用户创建组织单位创建用户限制用户登录时间任务任务实施实施任务任务2 管理域用户管理域用户步骤1、创建组织单位1）单击“开始”“服务器管理器”，打开“服务器管理器”窗口，展开“角色”“Active Directory域服务”“Active Directory用户和计算机”“”，在域“”上单击右键，在弹出的快捷菜单中选择“新建”“组织单位”命令。任务任务实施实施任务任务2 管理域用户管理域用户步骤1、创建组织单位1）单击“开始”“服务器管理器”，打开“服务器管理器”窗口，展开“角色

20、”“Active Directory域服务”“Active Directory用户和计算机”“”，在域“”上单击右键，在弹出的快捷菜单中选择“新建”“组织单位”命令。知识链接知识链接什么是组织单位？组织单位是承载用户、组、计算机和其它单位的容器，是可以指派组策略或委派管理权限的域或单元。通常在企业中，每个组织单位就是一个相对独立的部门。任务任务实施实施任务任务2 管理域用户管理域用户步骤1、创建组织单位2）在“新建对象-组织单位”对话框中填写相关部门信息，单后单击“确定”按钮。任务任务实施实施任务任务2 管理域用户管理域用户步骤2、创建用户1）在“服务器管理器”中，在组织单位“renshi”上

21、单击右键，在弹出的快捷菜单中选择“新建”“用户”命令。任务任务实施实施任务任务2 管理域用户管理域用户步骤2、创建用户2）在“新建对象 用户”对话框中填写相关信息以及登录名称，然后单击“下一步”按钮。知识链接知识链接域用户和本地用户的区别 域用户和本地用户的区别就在于身份验证的方式不同，本地用户是通过本地SAM文件进行身份验证，账户文件存放在本地。域用户则通过一台域控制器进行身份验证，账户文件存放在域控制器上。任务任务实施实施任务任务2 管理域用户管理域用户步骤2、创建用户3）填写初始化密码，并取消选中“用户下次登录时须更改密码”选项，选中“用户下次登录时须更改密码”、“密码永不过期”复选框，

22、然后单击“下一步”按钮。4）查看信息无误后，单击“完成”按钮。任务任务实施实施任务任务2 管理域用户管理域用户步骤3、限制用户登录时间1）在“服务器管理器”窗口中，找到对应的组织单位，在需要限制的用户“yuangong1”上单击右键，在弹出的快捷菜单中选择“属性”命令。任务任务实施实施任务任务2 管理域用户管理域用户步骤3、限制用户登录时间2）在“yuangong1属性”对话框中，单击“账户”选项卡，再单击“登录时间”按钮。任务任务实施实施任务任务2 管理域用户管理域用户步骤3、限制用户登录时间3）在“yuangong1的登录时间”对话框中，选中“拒绝登录”单选按钮，选中不允许登录的时间（白色

23、区域，单击“确定”按钮完成登录时间的设置。温馨提示温馨提示“允许登录”和“拒绝登录”可灵活使用 在登录时间限制对话框中，蓝色区域表示允许登录时间，白色区域表示拒绝登录，可组合灵活使用。本任务中也可使用“允许登录”来选中登录时间（即蓝色区域）。在一个复杂的时间设置时，例如某用户出星期二8:00到10:00外，星期一到星期五的早9点到晚17:00均可登录，二者可结合使用比单独选定操作速度更快。任务任务测试测试步骤1、将计算机加入域1）修改客户机“本地连接”属性，将客户机“首选DNS服务器”地址指向域的域控制器“10.0.0.101”，修改完毕后单击“确定”按钮退出。任务任务2 管理域用户管理域用户

24、任务任务测试测试步骤1、将计算机加入域2）单击开始按钮，在“计算机”图标上单击右键，在弹出的快捷菜单中选择“属性”命令。任务任务2 管理域用户管理域用户任务任务测试测试步骤1、将计算机加入域3）在“系统”窗口单击右下角的“更改设置”链接。任务任务2 管理域用户管理域用户任务任务测试测试步骤1、将计算机加入域4）在弹出的“系统属性”对话框的“计算机名”选项卡中单击“更改”按钮。5）在“计算机名/域更改”对话框中的隶属于框架内选中“域”单选按钮，在下面的文本框中输入要加入的域“”，然后单击“确定”按钮。任务任务2 管理域用户管理域用户任务任务测试测试步骤1、将计算机加入域6）在“Windows安全

25、”对话框中输入具有权限加入域的账户的名称和密码，此处输入的是域管理员的用户、密码，输入完毕后单击“确定”按钮。7）域控制器会进行身份验证，验证通过后会弹出加入域成功的提示信息，单击“确定”按钮。8）要完成加入域操作，需单击“确定”按钮之后重新启动计算机。任务任务2 管理域用户管理域用户任务任务测试测试步骤2、使用员工账户登录1）使用账户“yuangong1”登录到域名，输入完用户名、密码后单击“”按钮。2）如果用户登录时间受限，则会弹出提示，此用户在规定时间段无法登录到域。任务任务2 管理域用户管理域用户相关知识相关知识最小权限原则 最小权限原则是IT行业普遍执行的一种原则，该原则要求计算环境

26、中的特定用户或者计算机程序只能访问当下所必需的信息或者资源，而其余资源均禁止访问。赋予每一个合法动作最小的操作权限，就是为了保护数据以及功能避免受到错误或者恶意行为的破坏。任务任务2 管理域用户管理域用户任务拓展任务拓展实践晨光公司相对于其他大型企业来说人员结构相对简单，一般大型企业都会拥有上千位员工，针对于上千位企业管理员不可能逐个的用户创建，通过命令提示符来对用户完成批量完成。思考企业中的安全规范都是逐项建立，某些规则可能会修改所有用户的某项属性，针对于晨光公司企业管理员如何统一修改用户的某一个属性呢？任务任务2 管理域用户管理域用户任务任务1 1 安装安装Windows Active D

27、irectoryWindows Active Directory任务任务2 2 管理域用户管理域用户任务任务3 3 为客户机分发为客户机分发软件软件任务任务4 4 使用组策略限制用户使用行为使用组策略限制用户使用行为任务描述任务描述随着晨光公司计算机数量的增多，目前企业管理员不能有效便捷的管理客户端应用程序，除了非法软件造成的版权问题以外，一些应用程序还会导致客户端系统出现不能解决的问题，这些问题会给公司造成一系列损失。公司决定统一下发软件安装包，供员工使用。任务任务3 为客户机分发为客户机分发软件软件任务任务分析分析根据晨光公司的需求和环境，部署分发软件前需要规划分发哪些软件，规划完成后须按

28、照先后顺序建立部署策略，最终按照策略分发给用户。转换部署软件新建部署策略应用部署策略任务任务3 为客户机分发为客户机分发软件软件任务任务实施实施步骤1、软件转换 Windows Active Directory域中的软件分发只能分发MSI格式的安装包，微软公司的软件产品中大多提供了MSI的安装程序，但其他公司一般只提供.exe格式的安装包，在分发这些软件之前，需要进行格式转换。1）打开“Exe to MSI Converter”软件，在软件对话框中，单击“”按钮。任务任务3 为客户机分发为客户机分发软件软件任务任务实施实施步骤1、软件转换2）在“打开对话框中”双击选择需要转换的软件。3）在软件

29、窗口中单击“Build MSI”按钮开始转换。4）完成转换后弹出成功的提示信息，单击“确定”按钮。任务任务3 为客户机分发为客户机分发软件软件任务任务实施实施步骤1、软件转换5）在转换软件的根目录下查看该软件的MSI安装包。任务任务3 为客户机分发为客户机分发软件软件任务任务实施实施步骤2、创建组策略1）共享MSI软件目录，允许所有用户访问下载，在作为共享的文件夹“soft”上单击右键，在弹出的快捷菜单中选择“属性”命令。2）在“soft 属性”对话框中切换到“共享”选项卡，单击“共享”按钮。任务任务3 为客户机分发为客户机分发软件软件任务任务实施实施步骤2、创建组策略3）在文本框中输入“Ev

30、eryone”，单击“添加”按钮，然后单击“共享”按钮。4）系统开始部署共享，无需操作，等待即可。任务任务3 为客户机分发为客户机分发软件软件任务任务实施实施步骤2、创建组策略5）打开“服务器管理器”窗口，在“服务器管理器”中依次展开“功能”“组策略管理”“林：”“域”“”，在“组策略对象”上单击右键，在弹出的快捷菜单中选择“新建”命令。任务任务3 为客户机分发为客户机分发软件软件任务任务实施实施步骤2、创建组策略6）在“新建GPO”对话框输入策略名称，如“office”然后单击“确定”按钮。任务任务3 为客户机分发为客户机分发软件软件知识链接知识链接什么是GPO？GPO（组策略对象），是多个

31、组策略设置的集合。简单的理解，就是设置了哪些限制策略，常和组织单位共同使用，组织单位就是被应用组策略的用户和计算机。任务任务实施实施步骤2、创建组策略7）在“服务器管理器”中，在GPO项“office”上单击右键，在弹出的快捷菜单中选择“编辑”命令。任务任务3 为客户机分发为客户机分发软件软件任务任务实施实施步骤2、创建组策略8）在“组策略管理编辑器”里依次展开“计算机配置”“策略”“软件设置”，并、在“软件安装”上单击右键，在弹出的快捷菜单中选择“新建”“数据包”命令。任务任务3 为客户机分发为客户机分发软件软件经验分享经验分享如何选择软件分发的作用对象？选择用户是指用户在域中任何一台计算机

32、中登录后，软件会在该用户登录的计算机进行安装。而选择计算机的意思的不管是任何一个用户登录域中的这台计算机都像这台计算机安装软件。任务任务实施实施步骤2、创建组策略9）在弹出的打开“对话框”里选择想要分发的软件，然后单击“打开”按钮。10）在弹出的“部署软件”对话框，选择“已分配”，并单击“确定”按钮。任务任务3 为客户机分发为客户机分发软件软件经验分享经验分享如何选择“已发布”和“已分配”？“已发布”是在控制面板的添加删除程序中出现相关的选项供用户选择安装，而“已分配”是指在开始菜单中出现快捷方式，当用户单击快捷方式或者单击某一个类型文件的时候开始安装。在与域中针对计算机策略只有“已分配”选项

33、，因为任何用户登录计算机都可以使用“计算机”上安装的软件。任务任务实施实施步骤2、创建组策略11）完成软件部署后如图所示。任务任务3 为客户机分发为客户机分发软件软件任务任务实施实施步骤3、策略部署1）在“服务器管理器”窗口中拖动新创建的“office”策略到名为“renshi”的组织单位中。2）在弹出的“组策略管理”对话框中单击“确定”按钮。3）在服务器管理器中可看到组织单位“renshi”中已经链接（而不是复制，由于renshi作为组织单位，并不是GPO“office”的容器，只有连接）了GPO“office”。任务任务3 为客户机分发为客户机分发软件软件任务任务测试测试 使用域用户登录组

34、织单位“renshi”内的计算机，单击“开始”“控制面板”，在“控制面板”窗口中单击“获得程序”链接。在“获得程序”窗口可看到指定的软件已经安装到计算机上。任务任务3 为客户机分发为客户机分发软件软件相关知识相关知识MSI格式 MSI文件是Windows Installer的数据包，它实际是一个数据库，包含安装软件产品所需要的信息和安装或卸载程序所需的指令及数据。MSI文件将程序的组成文件与功能关联起来。此外，它还包含有关安装过程本身的信息：如安装序列号、目标文件夹路径、系统依赖项、安装选项和个性化属性。任务任务3 为客户机分发为客户机分发软件软件任务拓展任务拓展实践伟天公司规定，除了IT部门

35、以外，其余所有部门都需要通过IT部门进行统一的软件部署，那么如何为所有部门部署相同的软件呢？思考使用软件分发技术对于服务器来说是一个严峻的考验，但是处于对由于某些问题的衡量企业还是愿意使用软件分发技术来统一安装软件，请说明原因？任务任务3 为客户机分发为客户机分发软件软件任务任务1 1 安装安装Windows Active DirectoryWindows Active Directory任务任务2 2 管理域用户管理域用户任务任务3 3 为客户机分发软件为客户机分发软件任务任务4 4 使用组策略限制用户使用行为使用组策略限制用户使用行为任务描述任务描述晨光公司个别部门对于企业信息的保密性非常

36、敏感，除了与员工签署保密制度以外还要对计算机进行一些限制，除此之外为了提高员工销量，公司管理层希望禁止员工使用运行Windows中自带的游戏。任务任务4 使用组策略限制用户使用行为使用组策略限制用户使用行为任务任务分析分析晨光公司计算机均采用Windows系统，而Windows系统自带一个名为“组策略”的管理模块，组策略模块可以根据相关设置对用户的行为进行限制。而当计算机处于域模式下时，域管理员可以对所有在域中的计算机派发组策略，通过组策略的设置就可以达到公司的要求。创建编辑组策略应用策略任务任务4 使用组策略限制用户使用行为使用组策略限制用户使用行为任务任务实施实施在任务中，可针对软件限制定

37、义单独的GPO，也可使用已有的GPO“office”，在需要进行限制的容器中进行链接。本任务中继续使用GPO“office”。1）在“组策略管理编辑器中”在GPO“office”上单击右键，在弹出的快捷菜单中选择“编辑”命令，按步骤依次展开“用户配置”“管理模板”“开始菜单和任务栏”，在右侧策略条目找到并双击“从开始菜单中删除游戏”，打开“从开始菜单中删除游戏”管理窗口。任务任务4 使用组策略限制用户使用行为使用组策略限制用户使用行为任务任务实施实施2）在“从开始菜单中删除游戏链接”窗口中，选中“已启用”，后单击“确定”按钮。任务任务4 使用组策略限制用户使用行为使用组策略限制用户使用行为任务

38、任务实施实施2）在“从开始菜单中删除游戏链接”窗口中，选中“已启用”，后单击“确定”按钮。知识链接知识链接组策略优先级 如果多个组策略设置不冲突，则最终的策略是各项组策略设置的和。如果多个组策略设置冲突，组策略则按以下顺序被应用：本地（Local）、站点（Site）、域（Domain）、组织单位（Organizational Unit）。默认情况下，当策略设置发生冲突时，最后应用的策略将覆盖前面所设置的策略。任务任务4 使用组策略限制用户使用行为使用组策略限制用户使用行为任务任务测试测试单击“开始”之后再单击“所有程序”，在里面可看到“游戏”已经消失（之前在“维护”文件夹下有“游戏”文件夹）。

39、任务任务4 使用组策略限制用户使用行为使用组策略限制用户使用行为相关知识相关知识组策略两个对象的优先级组策略中有两个对象，一个是“用户配置”一个是“计算机配置”，“用户配置“下的组策略设置应用到用户，“计算机配置“下的组策略设置应用到计算机。某些设置是用户界面设置（例如，背景位图或者在“开始”菜单上使用“运行”命令的能力），但它们仍可以应用于计算机。任务任务4 使用组策略限制用户使用行为使用组策略限制用户使用行为任务拓展任务拓展实践除此之外，晨光公司还要限制员工修改控制面板里任何选项，通过组策略中“限制控制面板”策略就可以实现这个IT管理需求。思考如果设置了本地的组策略，域组策略是否执行？如果策略配置相斥怎么办？为什么？任务任务4 使用组策略限制用户使用行为使用组策略限制用户使用行为项目总结在本项目中学习了Active Directory服务、组织单位、域账户、域组、域账户的管理、组策略以及软件分发的相关知识。通过学习本章后应熟练掌握Active Directory服务的安装、创建组织单位、编辑组织单位、删除组织单位、创建域账户、编辑域账户、删除域账户、创建域组、编辑组、删除域组、创建组策略、编辑组策略、编辑分发策略。对Actvice Directory服务进行的操作有很多是重复、易出错的，在项目完成时应检查是否实现了所有需求。