机房机器从简单的工作组的共享+硬件保护卡的管理更改为域模式的管理+硬件保护卡双重管理。下面是实践开始阶段的总结:

机房系统配置:1、1-2 台Windows 2000 server\adv server 操作系统计算机作域控制器 DC;

2、学生用机为Windows 2000 pro 操作系统计算机

机房管理需求分析:

1、禁止学生机相关操作系统配置选项(《计算机基础课》除外);

(如 C盘隐藏、禁止“运行”、禁止修改墙纸、“设置”、禁止“控制面板”等)

2、允许学生使用教学学习相关的软件,其他程序禁止使用;

3、教师机不加入域中,可以是DC,可以是一个单独的机器,在教师机上实现共享,学生机可以访问。

4、在教师需求发生变化,需要增加新的软件时,学生机可以自动安装。

5、学生机在DC的控制下访问INTERNET 。

6、如果教师不想通过"\\ "方式给学生资源,可以在DC,上发布“共享资源”,可以实现A课的学生不能访问B课的共享资源的目的。

*7、条件允许下可以实现学生的用户数据和设置跟随。

8、防止病毒、***等造成的安全性事故的发生。


以上8条都可以通过目录服务中,对域中的OU 实现组策略来实现。其中,1、2 可以通过添加组策略对象,对对象进行相应编辑实现,4可以通过组策略中的软件分发,5可以在DC的DNS 上添加转发器实现,7可以在通过文件夹重定向和用户设置漫游来实现,机房一般情况下无须实现此功能,第8条可以通过安装杀毒软件和硬件保护卡实现。

在实现的过程有以下几点需要注意:
1、在装DC前,对域名、整个局域网IP地址、组策略进行详细的规划。
2、在安装活动目录前,在第一个要安装DC的机器上要求安装了DNS服务,不要做添加ZONE的操作。
3、在安装活动目录时使用默认的安装(不要轻易安装,如果出现问题,安装后会可能出现不能删除AD的情况)
4、安装后多DC做完整的校验,确定目录服务安装成功。
5、在我们安装第一台域控制器的时候,会自动要求安装DNS服务,但缺省安装的DNS服务中包含正向搜索区域下存在的“.”区域,通常应该把它删除,不然就无法在Internet 上执行根服务器的外部名称解析,即不能使用转发器的功能。在这种情况下,域控制器的DNS应该设为自己。即无法实现第5个需求。如果不想让学生上网可以将DNS的转发器删掉。
6、客户端需要将IP地址、网关(确保地址可以出去)、DNS (指向DC的IP地址),只有这样才能找到DC ,而加到域中。
7、可以安装一台额外的域控制器实现备份。
8、可以对所有机房进行统一的规划,设置一个机房的ROOT DOMAIN ,然后再安装每一个机房的子域。用专用服务器做目录树管理服务。
9、 在学生机加入域重启后,可以再重启进入保护卡设置,将系统盘进行保护,这样,防止安全事故的发生。