组策略在高校校园网中的应用与研究——以甘肃交通职业技术学院为例

◆杨晓英 王馨

组策略在高校校园网中的应用与研究——以甘肃交通职业技术学院为例

◆杨晓英 王馨

（甘肃交通职业技术学院 信息工程系 甘肃 730070）

高校机房管理员通过采用组策略能够高效管理校园网。本文介绍了组策略的概念，并针对目前高校机房管理中存在的问题给出三个解决方案，通过对比选出最优方案，然后分析了目前校园网的状况，最后给出了采用组策略实现机房高效管理的前期准备工作和具体实现步骤，同时也可为其他高校机房管理员管理校园网提供借鉴。

组策略；校园网；机房管理；解决方案

1 组策略概念

组策略（Group Policy），即基于组的策略，它是一个MMC管理单元，可使系统管理员针对整个计算机或是特定用户来设置多种配置，包括桌面配置和安全配置；它是Windows中的一套系统更改和配置管理工具的集合[1]。

2 针对高校机房管理中存在的问题给出解决方案

高校机房在日常的教学、实训、比赛等活动中占有非常重要的地位，机房管理员对机房的管理、维护对校园网来说也是至关重要的，如何提高管理员工作效率也是每个管理员在工作中寻求的答案。

除了日常教学，机房每年还承担至少两次全国计算机等级考试、CAD考试等，机房管理员要及时进行软件的安装、更新、管理等工作，如何在机房实现软件的快速批量分发？笔者结合自己的实践工作经验，给出三个解决方案。

方案①：机房要安装的软件可以通过管理员手动在每台计算机上逐一安装；

方案②：在教师计算机上可以开启系统同传功能，然后把软件同传给机房其他计算机；

方案③：把机房中的计算机加入同一个域中，通过使用组策略可以实现软件的批量快速分发。

这3个解决方案都是可实施的，但是从软件安装时间长短、管理员的工作效率、机房后期管理与维护三个方面通过比较（如表1所示），显然组策略应用为最优方案。

表1 解决方案对比表

组策略将系统中重要的配置功能汇集成各种配置模块，供用户可以直接使用，从而达到方便管理计算机或服务器的目的，组策略可以为用户批量分发软件、定制用户个性桌面、安全管理等，让系统管理员能够灵活控制Windows客户端环境，更加方便管理网络，充分发挥Windows系统的强大功能。组策略在服务器Windows server版本的操作系统中均被支持，它在网络中应用非常广泛，也包括在云计算领域中的部署和应用，大大提高管理员的工作效率。

3 目前校园网状况分析

目前我院校园网中既有普通机房也有云桌面机房，校园网整体结构采用星型+树形的网络拓扑结构（如图1所示）来保障网络的可靠性和安全性，网络整体分为三层，即接入层、汇聚层和核心层，接入层主要接入用户数量较多的机房、办公室、实训室的计算机，汇聚层实现流量的汇聚和转发，核心层采用VRRP+MSTP的方式实现冗余和高速的数据传输，两台主、辅助域控制器E9000服务器连接在核心层设备上，实现对全网服务的控制和管理，在内网与外网之间有一台防火墙。

图1 校园网拓扑图

4 采用组策略实现机房高效管理

4.1 部署组策略的前期准备工作

在校园网中要通过组策略来实现机房的管理，机房管理员要做好前期的充分准备工作，具体内容如下：

①部署两台Windows Server域控制服务器，域名为jtxy.com，其中一台为主域控制器，另一台为辅助域控制器，它们互为冗余，目的是考虑到域控制器的安全性，主域控制器一旦出现问题，一般很难修复，后果非常严重。

②所有机房需要安装的软件，如office.exe必须通过相应的软件转换格式工具转换为office.msi，然后把所有要安装软件的机房及办公室的计算机加入与服务器相同的域中。

③准备好下发的office.msi软件，并放置到已经建好的文件夹并进行共享，在文件进行共享时设置为共享Everyone，权限至少设置为读取。

④在域控制器上中建立相应的组织单位（OU），即机房计算机，并把计算机和所有的用户放入其中。

4.2 组策略具体实现步骤

前期的准备工作完成后，就可以在校园网中的域控制器上通过组策略实现软件批量分发，具体操作步骤如下：

①打开管理工具，选择组策略管理器，展开组策略对象，右击选择新建，创建一个新的组策略对象“机房软件安装”；

②在已经建立好的新的组策略对象“机房软件安装”上右击，选择“编辑”选项，进入“组策略管理编辑器”中；

③依次单击“用户配置”、“策略”、“软件设置”及“软件安装”，在“软件安装”上右击选择“新建数据包”；

④选择所要部署的软件，此处需要注意的是选择文件时一定使用的网络路径，即\192.168.100.10softoffice.msi，如果直接读取的是在本地服务器软件路径，客户端将无法读取文件，部署会失败；

⑤选择软件部署方法：默认有两种方法，即已发布和已分配，已发布指的是软件分发给用户且策略生效后，用户在任何一台计算机登录时，所部署的软件将显示在“添加或删除程序”对话框中，但是此时并没有真正安装，需要用户手动安装在所使用的计算机上。已分配指的是当软件分配给计算机时，计算机在下一次启动时会自动下载并安装软件，用户登录即可使用软件，为了使用户端简单化，使用已分配部署方式更多一些。

⑥选择链接现有GPO并强制策略更新，进入MS-DOS命令窗口并输入gpupdate/force进行组策略强制更新，稍后会提示完成。

⑦机房和办公室的计算机在登录时都会自动安装office.msi软件，用户不需要手动去安装直接使用就可以。

5 结束语

组策略在校园网中部署软件非常方便，在传统校园网络及云计算网络中均可使用，管理员可高效管理和维护校园网，此解决方案也可以对其他高校机房管理员管理校园网提供借鉴。

[1]苗凤君，等.网络操作系统及配置管理[M].北京：清华大学出版社，2015：161.

甘肃交通职业技术学院院级科研课题（2019Y-16）；甘肃交通职业技术学院院级科研课题（2020Y-09）