組策略在高校校園網(wǎng)中的應(yīng)用與研究——以甘肅交通職業(yè)技術(shù)學(xué)院為例

◆楊曉英 王馨

組策略在高校校園網(wǎng)中的應(yīng)用與研究——以甘肅交通職業(yè)技術(shù)學(xué)院為例

◆楊曉英 王馨

（甘肅交通職業(yè)技術(shù)學(xué)院 信息工程系 甘肅 730070）

高校機房管理員通過采用組策略能夠高效管理校園網(wǎng)。本文介紹了組策略的概念，并針對目前高校機房管理中存在的問題給出三個解決方案，通過對比選出最優(yōu)方案，然后分析了目前校園網(wǎng)的狀況，最后給出了采用組策略實現(xiàn)機房高效管理的前期準備工作和具體實現(xiàn)步驟，同時也可為其他高校機房管理員管理校園網(wǎng)提供借鑒。

組策略；校園網(wǎng)；機房管理；解決方案

1 組策略概念

組策略（Group Policy），即基于組的策略，它是一個MMC管理單元，可使系統(tǒng)管理員針對整個計算機或是特定用戶來設(shè)置多種配置，包括桌面配置和安全配置；它是Windows中的一套系統(tǒng)更改和配置管理工具的集合[1]。

2 針對高校機房管理中存在的問題給出解決方案

高校機房在日常的教學(xué)、實訓(xùn)、比賽等活動中占有非常重要的地位，機房管理員對機房的管理、維護對校園網(wǎng)來說也是至關(guān)重要的，如何提高管理員工作效率也是每個管理員在工作中尋求的答案。

除了日常教學(xué)，機房每年還承擔至少兩次全國計算機等級考試、CAD考試等，機房管理員要及時進行軟件的安裝、更新、管理等工作，如何在機房實現(xiàn)軟件的快速批量分發(fā)？筆者結(jié)合自己的實踐工作經(jīng)驗，給出三個解決方案。

方案①：機房要安裝的軟件可以通過管理員手動在每臺計算機上逐一安裝；

方案②：在教師計算機上可以開啟系統(tǒng)同傳功能，然后把軟件同傳給機房其他計算機；

方案③：把機房中的計算機加入同一個域中，通過使用組策略可以實現(xiàn)軟件的批量快速分發(fā)。

這3個解決方案都是可實施的，但是從軟件安裝時間長短、管理員的工作效率、機房后期管理與維護三個方面通過比較（如表1所示），顯然組策略應(yīng)用為最優(yōu)方案。

表1 解決方案對比表

組策略將系統(tǒng)中重要的配置功能匯集成各種配置模塊，供用戶可以直接使用，從而達到方便管理計算機或服務(wù)器的目的，組策略可以為用戶批量分發(fā)軟件、定制用戶個性桌面、安全管理等，讓系統(tǒng)管理員能夠靈活控制Windows客戶端環(huán)境，更加方便管理網(wǎng)絡(luò)，充分發(fā)揮Windows系統(tǒng)的強大功能。組策略在服務(wù)器Windows server版本的操作系統(tǒng)中均被支持，它在網(wǎng)絡(luò)中應(yīng)用非常廣泛，也包括在云計算領(lǐng)域中的部署和應(yīng)用，大大提高管理員的工作效率。

3 目前校園網(wǎng)狀況分析

目前我院校園網(wǎng)中既有普通機房也有云桌面機房，校園網(wǎng)整體結(jié)構(gòu)采用星型+樹形的網(wǎng)絡(luò)拓撲結(jié)構(gòu)（如圖1所示）來保障網(wǎng)絡(luò)的可靠性和安全性，網(wǎng)絡(luò)整體分為三層，即接入層、匯聚層和核心層，接入層主要接入用戶數(shù)量較多的機房、辦公室、實訓(xùn)室的計算機，匯聚層實現(xiàn)流量的匯聚和轉(zhuǎn)發(fā)，核心層采用VRRP+MSTP的方式實現(xiàn)冗余和高速的數(shù)據(jù)傳輸，兩臺主、輔助域控制器E9000服務(wù)器連接在核心層設(shè)備上，實現(xiàn)對全網(wǎng)服務(wù)的控制和管理，在內(nèi)網(wǎng)與外網(wǎng)之間有一臺防火墻。

圖1 校園網(wǎng)拓撲圖

4 采用組策略實現(xiàn)機房高效管理

4.1 部署組策略的前期準備工作

在校園網(wǎng)中要通過組策略來實現(xiàn)機房的管理，機房管理員要做好前期的充分準備工作，具體內(nèi)容如下：

①部署兩臺Windows Server域控制服務(wù)器，域名為jtxy.com，其中一臺為主域控制器，另一臺為輔助域控制器，它們互為冗余，目的是考慮到域控制器的安全性，主域控制器一旦出現(xiàn)問題，一般很難修復(fù)，后果非常嚴重。

②所有機房需要安裝的軟件，如office.exe必須通過相應(yīng)的軟件轉(zhuǎn)換格式工具轉(zhuǎn)換為office.msi，然后把所有要安裝軟件的機房及辦公室的計算機加入與服務(wù)器相同的域中。

③準備好下發(fā)的office.msi軟件，并放置到已經(jīng)建好的文件夾并進行共享，在文件進行共享時設(shè)置為共享Everyone，權(quán)限至少設(shè)置為讀取。

④在域控制器上中建立相應(yīng)的組織單位（OU），即機房計算機，并把計算機和所有的用戶放入其中。

4.2 組策略具體實現(xiàn)步驟

前期的準備工作完成后，就可以在校園網(wǎng)中的域控制器上通過組策略實現(xiàn)軟件批量分發(fā)，具體操作步驟如下：

①打開管理工具，選擇組策略管理器，展開組策略對象，右擊選擇新建，創(chuàng)建一個新的組策略對象“機房軟件安裝”；

②在已經(jīng)建立好的新的組策略對象“機房軟件安裝”上右擊，選擇“編輯”選項，進入“組策略管理編輯器”中；

③依次單擊“用戶配置”、“策略”、“軟件設(shè)置”及“軟件安裝”，在“軟件安裝”上右擊選擇“新建數(shù)據(jù)包”；

④選擇所要部署的軟件，此處需要注意的是選擇文件時一定使用的網(wǎng)絡(luò)路徑，即\192.168.100.10softoffice.msi，如果直接讀取的是在本地服務(wù)器軟件路徑，客戶端將無法讀取文件，部署會失?。?/p>

⑤選擇軟件部署方法：默認有兩種方法，即已發(fā)布和已分配，已發(fā)布指的是軟件分發(fā)給用戶且策略生效后，用戶在任何一臺計算機登錄時，所部署的軟件將顯示在“添加或刪除程序”對話框中，但是此時并沒有真正安裝，需要用戶手動安裝在所使用的計算機上。已分配指的是當軟件分配給計算機時，計算機在下一次啟動時會自動下載并安裝軟件，用戶登錄即可使用軟件，為了使用戶端簡單化，使用已分配部署方式更多一些。

⑥選擇鏈接現(xiàn)有GPO并強制策略更新，進入MS-DOS命令窗口并輸入gpupdate/force進行組策略強制更新，稍后會提示完成。

⑦機房和辦公室的計算機在登錄時都會自動安裝office.msi軟件，用戶不需要手動去安裝直接使用就可以。

5 結(jié)束語

組策略在校園網(wǎng)中部署軟件非常方便，在傳統(tǒng)校園網(wǎng)絡(luò)及云計算網(wǎng)絡(luò)中均可使用，管理員可高效管理和維護校園網(wǎng)，此解決方案也可以對其他高校機房管理員管理校園網(wǎng)提供借鑒。

[1]苗鳳君，等.網(wǎng)絡(luò)操作系統(tǒng)及配置管理[M].北京：清華大學(xué)出版社，2015：161.

甘肅交通職業(yè)技術(shù)學(xué)院院級科研課題（2019Y-16）；甘肅交通職業(yè)技術(shù)學(xué)院院級科研課題（2020Y-09）