AD的部署和设计.pptx

ITPro俱乐部（全国）QQ群:75945987商业场景商业场景你是某公司的系统管理员，公司之前的网络管理非常分散，网络中病毒泛滥，系统经常崩溃，文件经常丢失，用户网络行为很难控制，职员经常玩游戏看电影，管理员每天的工作都忙于维护机器，如重装系统，杀毒等等，整个公司的信息化办公效率非常低下现在公司要求规划活动目录域环境，实现集中管理，杜绝以上问题的产生第第1页页/共共120页页ITPro俱乐部（全国）QQ群:75945987公司网络环境公司网络环境总部在青岛，分部在北京，德国，三地经常互访网络资源，网络通过VPN连接要求实现每个站点的和容错管理权在总部，分布只有部分权限创建，规划好活动目录结构实现打印机位置，方便用户快速寻找打印机通过组策略管理用户和计算机维护好活动目录的复制和活动目录数据库通过管理公司的资产，实现远程控制以及软件分发第第2页页/共共120页页ITPro俱乐部（全国）QQ群:75945987今日议程：今日议程：域和工作组的区别实验：域中计算机之间的资源互访Windows Server 2003活动目录的概述实验：使用活动目录管理资源组策略基础实验：组策略管理企业网络安全实验：使用GPO配置用户桌面环境实验：使用GPO发布应用软件实验：使用GPO限制应用软件第第3页页/共共120页页ITPro俱乐部（全国）QQ群:75945987主题主题 1:域和工作组域和工作组 第第4页页/共共120页页ITPro俱乐部（全国）QQ群:75945987安全个体，安全个体，SID，SAM安全个体：是指能够产生与安全相关的行为的实体（比如用户和组是安全实体，而打印机则不是）SID：在计算机世界中标识一个安全个体的唯一凭证编号。就象身份证号码唯一标识每个中国公民一样。SAM：是集中管理安全个体的数据库。第第5页页/共共120页页ITPro俱乐部（全国）QQ群:75945987工作组工作组第第6页页/共共120页页ITPro俱乐部（全国）QQ群:75945987域域是指由管理员定义的计算机、用户和组对象的集合。这些对象共享公用目录数据库、安全策略以及与其他域之间的安全关系。第第7页页/共共120页页ITPro俱乐部（全国）QQ群:75945987计算机加入域计算机加入域必要条件:可用的DC（域控制器）可用的DNS 服务器正确的域名有权限将用户加入域的用户帐号和密码第第8页页/共共120页页ITPro俱乐部（全国）QQ群:75945987将客户机加入到域将客户机加入到域第第9页页/共共120页页ITPro俱乐部（全国）QQ群:75945987选择选择“网上邻居网上邻居”“属性属性”将客户机加入到域将客户机加入到域第第10页页/共共120页页ITPro俱乐部（全国）QQ群:75945987在在“首选首选DNS服务器服务器”中填入域中的中填入域中的DNS服务器地服务器地址址将客户机加入到域将客户机加入到域第第11页页/共共120页页ITPro俱乐部（全国）QQ群:75945987打开打开“我的电脑我的电脑”的属性的属性将客户机加入到域将客户机加入到域第第12页页/共共120页页ITPro俱乐部（全国）QQ群:75945987找到找到“计算机名计算机名”标签，点击标签，点击“更改更改”将客户机加入到域将客户机加入到域第第13页页/共共120页页ITPro俱乐部（全国）QQ群:75945987在在“隶属于隶属于”中，点击中，点击“域域”将客户机加入到域将客户机加入到域第第14页页/共共120页页ITPro俱乐部（全国）QQ群:75945987输入要加入的域的名字输入要加入的域的名字将客户机加入到域将客户机加入到域第第15页页/共共120页页ITPro俱乐部（全国）QQ群:75945987如果一切配置都正确，会弹出验证窗口如果一切配置都正确，会弹出验证窗口将客户机加入到域将客户机加入到域第第16页页/共共120页页ITPro俱乐部（全国）QQ群:75945987输入有权限的域用户名和密码输入有权限的域用户名和密码将客户机加入到域将客户机加入到域第第17页页/共共120页页ITPro俱乐部（全国）QQ群:75945987如果正确，会显示如果正确，会显示“欢迎加入欢迎加入”消息消息将客户机加入到域将客户机加入到域第第18页页/共共120页页ITPro俱乐部（全国）QQ群:75945987重新启动计算机重新启动计算机将客户机加入到域将客户机加入到域第第19页页/共共120页页ITPro俱乐部（全国）QQ群:75945987在登录界面点击选项在登录界面点击选项将客户机加入到域将客户机加入到域第第20页页/共共120页页ITPro俱乐部（全国）QQ群:75945987如果是一台已经加入到域的计算机，会出现如果是一台已经加入到域的计算机，会出现“登录到：登录到：”选项，此时选择域名则表示以域用户身份进行交互登录选项，此时选择域名则表示以域用户身份进行交互登录将客户机加入到域将客户机加入到域第第21页页/共共120页页ITPro俱乐部（全国）QQ群:75945987主题主题 2:Windows Server 2003 活动目录概述活动目录概述第第22页页/共共120页页ITPro俱乐部（全国）QQ群:75945987主题：1.什么是活动目录2.活动目录的数据库3.活动目录的逻辑结构4.活动目录的物理结构5.活动目录和DNS服务6.管理活动目录中的用户7.管理活动目录中的组第第23页页/共共120页页ITPro俱乐部（全国）QQ群:759459871.什么是活动目录什么是活动目录活动目录是一个存放相关对象的信息源第第24页页/共共120页页ITPro俱乐部（全国）QQ群:759459872.活动目录的数据库活动目录的数据库2.1活动目录中存储：对象，属性，类属性属性属性属性名名姓姓登录名属性属性属性属性打印机名打印机名打印机位置活动目录活动目录活动目录活动目录打印机打印机1打印机2Suzan Fine用户Don Hall属性值属性值属性值属性值对对对对象象象象打印机用户打印机打印机3第第25页页/共共120页页ITPro俱乐部（全国）QQ群:75945987使用使用“活动目录和计算机活动目录和计算机”工具查看对象工具查看对象第第26页页/共共120页页ITPro俱乐部（全国）QQ群:75945987使用使用“活动目录和计算机活动目录和计算机”工具查看对工具查看对象象第第27页页/共共120页页ITPro俱乐部（全国）QQ群:75945987Schema（架构）（架构）对象类示例对象类示例属性示例属性示例用户属性用户属性可能包括可能包括:accountExpiresbadPasswordTimemailname属性列表属性列表动态可用，可以被更新，动态可用，可以被更新，并且受到并且受到DACL（随机访（随机访问控制列表）保护问控制列表）保护用户用户服务器服务器计算机计算机accountExpiresbadPasswordTimemailcAConnectdhcpTypeeFSPolicyfromServergovernsIDName 第第28页页/共共120页页ITPro俱乐部（全国）QQ群:759459872.2活动目录数据库分区活动目录数据库分区所有分区的信息结合在一起，构成了完整的活动目录数据库所有分区的信息结合在一起，构成了完整的活动目录数据库可管理的复制可管理的复制在域范围内复制在域范围内复制在森林范围复制在森林范围复制(森林中每台森林中每台DC上上都会有该分区的一都会有该分区的一个副本个副本)SchemaConfigurationcontoso.msftApplication包含活动目录的类信息和属包含活动目录的类信息和属性信息性信息包含活动目录的结构信息包含活动目录的结构信息包含所有本域中对象的信息包含所有本域中对象的信息包含应用程序数据，例如：包含应用程序数据，例如：ForestDNSZoneDomainDNSZone第第29页页/共共120页页ITPro俱乐部（全国）QQ群:75945987使用使用“ADSI EDIT”查看查看Schema信信息息第第30页页/共共120页页ITPro俱乐部（全国）QQ群:75945987活动目录架构活动目录架构第第31页页/共共120页页ITPro俱乐部（全国）QQ群:759459873.活动目录的逻辑结构活动目录的逻辑结构3.1 森林(Forest)3.2 域树(Tree)3.3 域 (Domain)3.4 组织单位(Organization Unit)第第32页页/共共120页页ITPro俱乐部（全国）QQ群:759459873.1森林森林(Forest)由一个或者多个域构成这些域共享相同的架构信息和配置信息以及全局编目第第33页页/共共120页页ITPro俱乐部（全国）QQ群:759459873.2域树域树(Tree)一个或多个域构成这些域共享相同的架构和配置信息这些域有着邻接的名字空间第第34页页/共共120页页ITPro俱乐部（全国）QQ群:75945987域树域树父域 子域邻接的名字空间 父域父域子域子域新域新域树根域树根域第第35页页/共共120页页ITPro俱乐部（全国）QQ群:759459873.3 域域 (Domain)一组对象的集合，共享相同的活动目录域分区数据包含用户，计算机，组等对象域控制器域控制器是存储活动目录数据库的计算机一个域最少一台域控制器多台域控制器之间需要同步活动目录数据库User3User4User3User4域控域控制器制器域控域控制器制器域域复制复制复制复制User1User2User1User2第第36页页/共共120页页ITPro俱乐部（全国）QQ群:75945987A根根TB树树双向信任关系双向信任关系双向信任关系双向信任关系X双向信任关系双向信任关系双向信任关系双向信任关系TB树树域、域树、森林域、域树、森林第第37页页/共共120页页ITPro俱乐部（全国）QQ群:75945987域、域树、森林域、域树、森林根域下面可以建立多层子域域和子域构建成域树多棵域树构建成森林域之间自动建立双向信任关系第第38页页/共共120页页ITPro俱乐部（全国）QQ群:759459873.4 组织单位组织单位(Organization Unit)OU是活动目录中的一种对象OU中可以建立子对象利用OU可以模拟管理模型OUOUOU对象对象第第39页页/共共120页页ITPro俱乐部（全国）QQ群:75945987域域域域域域DomainDomainDomainOUOUOU域树域树域域森林森林OU-组织单位组织单位对象对象活动目录的逻辑结构活动目录的逻辑结构第第40页页/共共120页页ITPro俱乐部（全国）QQ群:759459874 活动目录的物理结构活动目录的物理结构4.1为什么需要活动目录的物理结构；4.2 域控制器(DC)4.3 站点和IP子网第第41页页/共共120页页ITPro俱乐部（全国）QQ群:759459874.1 为什么需要活动目录的物理结构为什么需要活动目录的物理结构客户端需要找到离自己最近的可用资源；优化复制。第第42页页/共共120页页ITPro俱乐部（全国）QQ群:75945987域控制器是存储活动目录数据库的计算机；一个域最少需要配置一台域控制器；一个域中有多台域控制器时，这些域控制器需要定期同步活动目录数据库；4.2 DC（域控制器）（域控制器）域控制器域控制器域控制器域控制器域域复制复制复制复制User1User2User1User2第第43页页/共共120页页ITPro俱乐部（全国）QQ群:75945987每个地理位置中的若干台域控制器可以划分为一个站点站点内部优先同步活动目录数据库，同步后再和其他站点中的域控制器同步站点站点1域控制器域控制器广域网链接广域网链接站点站点24.3 站点和站点和IP子网子网第第44页页/共共120页页ITPro俱乐部（全国）QQ群:75945987创建和管理站点第第45页页/共共120页页ITPro俱乐部（全国）QQ群:75945987创建站点创建站点第第46页页/共共120页页ITPro俱乐部（全国）QQ群:759459875.活动目录和活动目录和DNS服务服务DNS服务器服务器区域数据库区域数据库区域数据库区域数据库SRV记录记录客户机尝试联系域控制器客户机尝试联系域控制器客户机尝试联系域控制器客户机尝试联系域控制器6 6域控制器响应域控制器响应域控制器响应域控制器响应7 7域控器器域控器器8 8客户机向客户机向域控制器域控制器发出服务请求发出服务请求登录或需搜索活动目录登录或需搜索活动目录登录或需搜索活动目录登录或需搜索活动目录1 1根据客户信息查询根据客户信息查询根据客户信息查询根据客户信息查询DNSDNS3 3Net Logon Net Logon 搜集客户信息搜集客户信息搜集客户信息搜集客户信息2 2返还返还返还返还IPIP地址列表地址列表地址列表地址列表 5 5DNSDNS查找匹配的查找匹配的查找匹配的查找匹配的SRVSRV资源记录资源记录资源记录资源记录4 4客户机客户机第第47页页/共共120页页ITPro俱乐部（全国）QQ群:759459876.管理活动目录中的用户管理活动目录中的用户本地用户帐号本地用户帐号(存储在本地计算机存储在本地计算机)域用户帐号域用户帐号(存储在活动目录中存储在活动目录中)Windows Server 2003 域域第第48页页/共共120页页ITPro俱乐部（全国）QQ群:759459876.1 域用户帐号的创建域用户帐号的创建输入用户的基本信息和登录名称用户密码第第49页页/共共120页页ITPro俱乐部（全国）QQ群:75945987创建帐号创建帐号第第50页页/共共120页页ITPro俱乐部（全国）QQ群:75945987创建帐号创建帐号第第51页页/共共120页页ITPro俱乐部（全国）QQ群:75945987创建帐号创建帐号第第52页页/共共120页页ITPro俱乐部（全国）QQ群:75945987创建帐号创建帐号第第53页页/共共120页页ITPro俱乐部（全国）QQ群:759459876.2 域用户帐号管理域用户帐号管理复制禁用重设密码移动登录名登录时间登录到账户选项配置文件第第54页页/共共120页页ITPro俱乐部（全国）QQ群:75945987域用户帐号属性域用户帐号属性第第55页页/共共120页页ITPro俱乐部（全国）QQ群:759459877.管理活动目录中的组管理活动目录中的组组的作用组的类型组的作用范围和成员资格关于使用组的建议第第56页页/共共120页页ITPro俱乐部（全国）QQ群:75945987组的作用组的作用n n组也可以加入组组也可以加入组组也可以加入组组也可以加入组n n一个用户可以加入多个组一个用户可以加入多个组一个用户可以加入多个组一个用户可以加入多个组GroupGroupn n一个用户账户加入组，就会继承该组所有的权限一个用户账户加入组，就会继承该组所有的权限一个用户账户加入组，就会继承该组所有的权限一个用户账户加入组，就会继承该组所有的权限GroupGroupGroupGroupGroupGroup第第57页页/共共120页页ITPro俱乐部（全国）QQ群:75945987组的类型组的类型组的类型组的类型说明说明安全组安全组用于设置用户权限和权利，也可用于邮件分布列表用于设置用户权限和权利，也可用于邮件分布列表通讯组通讯组只用于邮件分布列表只用于邮件分布列表第第58页页/共共120页页ITPro俱乐部（全国）QQ群:75945987组的作用范围和成员资格组的作用范围和成员资格支持的域控制器支持的域控制器Windows NT Server 4.0,Windows 2000,Windows Server 2003Windows 2000,Windows Server 2003Windows Server 2003支持的组的范围支持的组的范围全局全局,域本地域本地全局全局,域本地域本地,通用通用全局全局,域本地域本地,通用通用Windows 2000 mixed(default)Windows 2000 nativeWindows Server 2003第第59页页/共共120页页ITPro俱乐部（全国）QQ群:75945987组的作用范围和成员资格组的作用范围和成员资格域本地组域本地组成员Mixed mode:任何域中的用户帐号和全局任何域中的用户帐号和全局组组Native mode:任何域中的用户帐号、全局任何域中的用户帐号、全局组和通用组，以及同一个域中的域本地组组和通用组，以及同一个域中的域本地组 可成为成员Mixed mode:无无Native mode:同一个域的域本地组同一个域的域本地组作用范围域本地组所属的域域本地组所属的域权限分配域本地组所属的域域本地组所属的域第第60页页/共共120页页ITPro俱乐部（全国）QQ群:75945987组的作用范围和成员资格组的作用范围和成员资格全局组全局组成员Mixed mode:同一个域的用户帐号同一个域的用户帐号Native mode:同一个域的用户帐号和全局同一个域的用户帐号和全局组组可成为成员Mixed mode:任何域的域本地组任何域的域本地组Native mode:任何域的域本地组和通用组，任何域的域本地组和通用组，以及同一个域的全局组以及同一个域的全局组作用范围本域和所有被信任的域本域和所有被信任的域权限分配本域和所有被信任的域本域和所有被信任的域第第61页页/共共120页页ITPro俱乐部（全国）QQ群:75945987组的作用范围和成员资格组的作用范围和成员资格通用组通用组成员Mixed mode:不可用不可用Native mode:森林中任何域中的用户帐号、森林中任何域中的用户帐号、全局组、和其他通用组全局组、和其他通用组可成为成员Mixed mode:不可用不可用Native mode:任何域中的域本地组和通用任何域中的域本地组和通用组组访问范围本域和所有被信任的域本域和所有被信任的域权限分配本域和所有被信任的域本域和所有被信任的域第第62页页/共共120页页ITPro俱乐部（全国）QQ群:75945987关于使用组的建议关于使用组的建议AGDLP（把用户加入组分配权限是一条万古不变的定律，也是衡量管理员是否入门的法宝）。通用组的问题！第第63页页/共共120页页ITPro俱乐部（全国）QQ群:75945987主题主题 3:组策略基础组策略基础第第64页页/共共120页页ITPro俱乐部（全国）QQ群:75945987Overview1.组策略的基本概念2.组策略管理器的使用3.组策略应用案例实现安全管理实现用户环境管理实现软件分发实现软件使用限制第第65页页/共共120页页ITPro俱乐部（全国）QQ群:759459871.组策略基本概念组策略基本概念通过链接组策略对象（GPO）到站点、域、OU等容器，能够将GPO的设定应用到容器中所有的用户和计算机，大大提高了管理效率；客户机必须使用Windows 2000以后的微软系列操作系统产品。第第66页页/共共120页页ITPro俱乐部（全国）QQ群:759459872.组策略管理器的使用组策略管理器的使用在准备实施组策略的容器上选择“属性”“组策略”第第67页页/共共120页页ITPro俱乐部（全国）QQ群:75945987组策略管理器的设定组策略管理器的设定新建：创建新的GPO，并且链接到该容器添加：将已经存在的GPO链接到该容器编辑：打开组策略编辑工具，进行组策略对象修改选项：禁止替代：禁止下级容器上的策略覆盖本策略禁用：暂时不使用此策略删除：使GPO不再和本容器链接或将GPO整个删除属性：查看GPO的信息第第68页页/共共120页页ITPro俱乐部（全国）QQ群:759459873.组策略应用实例组策略应用实例实现安全管理示例：强制用户的密码必须大于或等于8位字符，并且要求必须满足复杂性要求，防止用户使用不安全的密码，而造成系统安全缺陷第第69页页/共共120页页ITPro俱乐部（全国）QQ群:75945987实现安全管理实现安全管理在域容器的图标上选择属性在域容器的图标上选择属性第第70页页/共共120页页ITPro俱乐部（全国）QQ群:75945987实现安全管理实现安全管理在组策略管理器中，对现有的默认域策略做编辑在组策略管理器中，对现有的默认域策略做编辑第第71页页/共共120页页ITPro俱乐部（全国）QQ群:75945987安全管理安全管理出现组策略编辑器界面出现组策略编辑器界面第第72页页/共共120页页ITPro俱乐部（全国）QQ群:75945987安全管理安全管理找到密码策略选项找到密码策略选项第第73页页/共共120页页ITPro俱乐部（全国）QQ群:75945987安全管理安全管理对相应的选项做修改对相应的选项做修改第第74页页/共共120页页ITPro俱乐部（全国）QQ群:75945987安全管理安全管理完成后可以运行完成后可以运行“gpupdate”，使策略立即生效，使策略立即生效第第75页页/共共120页页ITPro俱乐部（全国）QQ群:75945987安全管理安全管理生效后，可以创建一个用户帐号以测试效果，生效后，可以创建一个用户帐号以测试效果，输入密码不足输入密码不足8位时，会出现错误提示位时，会出现错误提示第第76页页/共共120页页ITPro俱乐部（全国）QQ群:759459873.组策略应用实例（续）组策略应用实例（续）实现用户环境管理示例：为了限制某些临时雇员的行为，公司要求临时员工在登录以后，桌面上所有的图标都必须隐藏，在开始菜单中，仅允许有“设置”、“关机”和“程序”选项第第77页页/共共120页页ITPro俱乐部（全国）QQ群:75945987实现用户环境管理实现用户环境管理为了精确管理用户，首先要为有特殊要求的对象创建专门为了精确管理用户，首先要为有特殊要求的对象创建专门的的OUOU，并且把这些对象加入到此，并且把这些对象加入到此OUOU，然后对，然后对OUOU实施策略实施策略第第78页页/共共120页页ITPro俱乐部（全国）QQ群:75945987实现用户环境管理实现用户环境管理在在“临时雇员临时雇员”OUOU上选择上选择“属性属性”/”组策略组策略”标签标签第第79页页/共共120页页ITPro俱乐部（全国）QQ群:75945987实现用户环境管理实现用户环境管理新建新建GPOGPO并取一个容易辨别的名称，然后编辑此并取一个容易辨别的名称，然后编辑此GPOGPO第第80页页/共共120页页ITPro俱乐部（全国）QQ群:75945987实现用户环境管理实现用户环境管理找到找到“桌面桌面”中的相关选项，选择中的相关选项，选择“已启用已启用”第第81页页/共共120页页ITPro俱乐部（全国）QQ群:75945987实现用户环境管理实现用户环境管理打开打开“任务栏和开始菜单任务栏和开始菜单”，调整相应选项，调整相应选项第第82页页/共共120页页ITPro俱乐部（全国）QQ群:75945987实现用户环境管理实现用户环境管理临时员工在某台客户机上登录临时员工在某台客户机上登录第第83页页/共共120页页ITPro俱乐部（全国）QQ群:75945987实现用户环境管理实现用户环境管理登录以后，临时员工桌面上的所有图标都被隐登录以后，临时员工桌面上的所有图标都被隐藏藏第第84页页/共共120页页ITPro俱乐部（全国）QQ群:75945987实现用户环境管理实现用户环境管理打开打开“开始开始”菜单，只有菜单，只有“程序程序”、“设置设置”和和“关机关机”选项选项第第85页页/共共120页页ITPro俱乐部（全国）QQ群:759459873.组策略应用实例（续）组策略应用实例（续）实现软件分发示例：为了工作需要，要求为每个临时雇员都安装一个名为“cosmo.msi”的软件，并且将来可能还要升级到新的版本第第86页页/共共120页页ITPro俱乐部（全国）QQ群:75945987实现软件分发实现软件分发首先在文件服务器上将要分发的软件共享，并首先在文件服务器上将要分发的软件共享，并赋予适当权限赋予适当权限第第87页页/共共120页页ITPro俱乐部（全国）QQ群:75945987实现软件分发实现软件分发为了精确管理用户，首先要为有特殊要求的对象创建专门为了精确管理用户，首先要为有特殊要求的对象创建专门的的OUOU，并且把这些对象加入到此，并且把这些对象加入到此OUOU，然后对，然后对OUOU实施策略实施策略第第88页页/共共120页页ITPro俱乐部（全国）QQ群:75945987实现软件分发实现软件分发在在“临时雇员临时雇员”OUOU上选择上选择“属性属性”/”组策略组策略”标签标签第第89页页/共共120页页ITPro俱乐部（全国）QQ群:75945987实现软件分发实现软件分发新建新建GPOGPO并取一个容易辨别的名称，然后编辑此并取一个容易辨别的名称，然后编辑此GPOGPO第第90页页/共共120页页ITPro俱乐部（全国）QQ群:75945987实现软件分发实现软件分发在在“用户配置用户配置”“软件设置软件设置”中新建程序包中新建程序包第第91页页/共共120页页ITPro俱乐部（全国）QQ群:75945987实现软件分发实现软件分发从从“网上邻居网上邻居”中找到共享的程序包中找到共享的程序包第第92页页/共共120页页ITPro俱乐部（全国）QQ群:75945987实现软件分发实现软件分发选中要分发的程序包，并选中要分发的程序包，并“打开打开”第第93页页/共共120页页ITPro俱乐部（全国）QQ群:75945987实现软件分发实现软件分发在部署方法中，根据需要选择部署方法，本例在部署方法中，根据需要选择部署方法，本例中可以选择中可以选择“指派指派”第第94页页/共共120页页ITPro俱乐部（全国）QQ群:75945987实现软件分发实现软件分发至此，软件分发完成至此，软件分发完成第第95页页/共共120页页ITPro俱乐部（全国）QQ群:75945987实现软件分发实现软件分发使用临时雇员帐号在某台客户机上登录，登录使用临时雇员帐号在某台客户机上登录，登录后在程序中会出现后在程序中会出现cosmocosmo软件的图标软件的图标第第96页页/共共120页页ITPro俱乐部（全国）QQ群:75945987实现软件分发实现软件分发点击此图标，程序开始安装，结束后开始使用点击此图标，程序开始安装，结束后开始使用第第97页页/共共120页页ITPro俱乐部（全国）QQ群:75945987实现软件分发实现软件分发当要升级到新版本时，先将升级版分发当要升级到新版本时，先将升级版分发第第98页页/共共120页页ITPro俱乐部（全国）QQ群:75945987实现软件分发实现软件分发选择新版本软件包选择新版本软件包第第99页页/共共120页页ITPro俱乐部（全国）QQ群:75945987实现软件分发实现软件分发在部署方法中选择在部署方法中选择“高级高级”第第100页页/共共120页页ITPro俱乐部（全国）QQ群:75945987实现软件分发实现软件分发点击点击“升级升级”标签，并点击标签，并点击“添加添加”第第101页页/共共120页页ITPro俱乐部（全国）QQ群:75945987实现软件分发实现软件分发指定要升级老版本的软件指定要升级老版本的软件第第102页页/共共120页页ITPro俱乐部（全国）QQ群:75945987实现软件分发实现软件分发选择选择“现有程序包所需的升级现有程序包所需的升级”第第103页页/共共120页页ITPro俱乐部（全国）QQ群:75945987实现软件分发实现软件分发打开老版本软件包的属性打开老版本软件包的属性第第104页页/共共120页页ITPro俱乐部（全国）QQ群:75945987实现软件分发实现软件分发在在“升级升级”标签中选择标签中选择“现有程序包所需的升现有程序包所需的升级级”第第105页页/共共120页页ITPro俱乐部（全国）QQ群:75945987实现软件分发实现软件分发当临时雇员再次登录，原版本的软件已被卸载，新版本被安装当临时雇员再次登录，原版本的软件已被卸载，新版本被安装第第106页页/共共120页页ITPro俱乐部（全国）QQ群:759459873.组策略应用实例（续）组策略应用实例（续）实现软件使用限制示例：由于某种原因，现在希望限制临时雇员使用cosmo这个软件。第第107页页/共共120页页ITPro俱乐部（全国）QQ群:75945987实现软件使用限制实现软件使用限制在临时员工在临时员工OUOU上新建策略，并编辑上新建策略，并编辑第第108页页/共共120页页ITPro俱乐部（全国）QQ群:75945987实现软件使用限制实现软件使用限制在在“用户配置用户配置”的的“软件限制策略软件限制策略”中，创基软件限制中，创基软件限制策略策略第第109页页/共共120页页ITPro俱乐部（全国）QQ群:75945987实现软件使用限制实现软件使用限制在在“其它规则其它规则”中，创建新规则，比如可以新建哈希规中，创建新规则，比如可以新建哈希规则则第第110页页/共共120页页ITPro俱乐部（全国）QQ群:75945987实现软件使用限制实现软件使用限制在在“文件哈希文件哈希”中，选择浏览中，选择浏览第第111页页/共共120页页ITPro俱乐部（全国）QQ群:75945987实现软件使用限制实现软件使用限制选择要限制的程序选择要限制的程序第第112页页/共共120页页ITPro俱乐部（全国）QQ群:75945987实现软件使用限制实现软件使用限制确认无误后，确定确认无误后，确定第第113页页/共共120页页ITPro俱乐部（全国）QQ群:75945987实现软件使用限制实现软件使用限制当临时雇员重新登录后，想再次运行当临时雇员重新登录后，想再次运行cosmocosmo第第114页页/共共120页页ITPro俱乐部（全国）QQ群:75945987实现软件使用限制实现软件使用限制会弹出错误提示，此软件被限制使用，而且，由于使用的哈希规会弹出错误提示，此软件被限制使用，而且，由于使用的哈希规则，用户更改文件名，文件路径等，都无法突破此限制则，用户更改文件名，文件路径等，都无法突破此限制第第115页页/共共120页页ITPro俱乐部（全国）QQ群:75945987总结总结使用活动目录将帮助使用活动目录将帮助IT管理人员花更少的钱，管理人员花更少的钱，办更多的事！办更多的事！第第116页页/共共120页页ITPro俱乐部（全国）QQ群:75945987提问与解答提问与解答第第117页页/共共120页页ITPro俱乐部（全国）QQ群:75945987了解了解TechNet,追逐时尚追逐时尚IT只需轻轻点击，答案就在您的指尖只需轻轻点击，答案就在您的指尖对于对于IT 专业人员来说，专业人员来说，TechNet 是一个知识的宝库，你可以找到关于如是一个知识的宝库，你可以找到关于如何规划，部署和管理微软产品的的技术资源何规划，部署和管理微软产品的的技术资源u每月发放包含最新信息的每月发放包含最新信息的 DVD或者或者CD这是最权威的资源，可以帮助你评估、配置和维护微软产品。这是最权威的资源，可以帮助你评估、配置和维护微软产品。订阅订阅TechNetu可以访问该站点可以访问该站点 中文网站中文网站u两周发放一次的中文电子速递邮件两周发放一次的中文电子速递邮件最新安全公告最新安全公告,最最 权威的技术信息权威的技术信息,最受欢迎的下载资源等等最受欢迎的下载资源等等TechNet 中文速递中文速递u有关最新微软产品介绍和技术的培训与活动信息有关最新微软产品介绍和技术的培训与活动信息u通过面对面的交流通过面对面的交流,沟通沟通,以及亲身体验以及亲身体验,让您轻松掌握最新技术让您轻松掌握最新技术TechNet 培训与活动信培训与活动信息息u用户群用户群u可管理的新闻组可管理的新闻组中文社区中文社区TechNet中文网络广播中文网络广播u全新的互动的学习方式全新的互动的学习方式,请访问请访问 TechNet?访问访问TechNet 中文网站中文网站 http:/