组策略让学校网络管理“易如反掌”
目前中小学校园网建设已在全国各地呈现出一片繁荣的景象,越来越多的中小学在校园内部实现了联网。现在我们区的每个学校也都建立了自己的校园网络,并且和区里的信息中心进行光纤连接。我们学校于2005年建校并完成校内校园网建设。新的网络设备在给教师带来便利之余,同时也给学校网络管理人员带来了许多问题。现在老师们都是人手一机,全校的计算机总数已达到了300余台,每台计算机都可以上网。但学校只有一个网管教师,同时又负责全校的计算机维修维护等工作,可以说是身兼数职。通常网管教师的工作现状就是一进办公室电话就开始打了过来,全都是报修的电话,不是系统有问题,就是上不了网等等!这些问题不仅在我校存在,相信其他学校也有相同的情况。那么怎样才能让繁琐的网络管理和计算机管理变得轻松起来呢?组策略的应用就可以解决这一难题。
一、我校网络基本情况介绍
图1
我校是2005年由三所学校合并成立的一所学校。现拥有29个教学班,近800名学生和200名教职工。学校拥有两个计算机房和一个语音教室,上网计算机达到300台左右。我校的网络拓扑图见图1所示,从图中可以看出我校网络分为三个区,即A区、B区和C区。由于各区属于不同的子网,所以各区之间不能通信。各区的主交换机通过光纤和中心机房的交换机相连。中心机房的三层交换机再通过光纤和区信息中心相连接。然后通过区信息中心的出口连接因特网。由于区内是光纤连接,所以区内的网速是非常快的,但是连接到因特网的速度不是很快,原因是全区的学校是通过信息中心共享一个出口进行连接的。现在我校的服务器直接和中心机房的交换机相连,除了常见的DHCP服务器、FTP服务器、视频点播服务器、CMIS服务器之外,我校又增加了一台网络管理服务器,用于配置Windows 2003的组策略。
二、出现的问题及分析
学校网络管理和计算机管理过程中出现的问题一般为两种,一种为硬件问题导致故障,一种是软件问题导致故障。对于由硬件问题导致的故障在这里暂且不论,我们主要讨论由软件导致的网络问题或计算机故障。而这些故障中由计算机病毒引起的故障是比较常见的。我校在2005年投入使用后,随着教师计算机数量的增加,各种网络服务的使用造成学校的网络经常出现问题,表现为间断性的断网、网速慢、教师计算机故障率非常高等。
这些问题的出现使学校仅有的一个网管教师忙得不可开交。对于资金比较充裕的学校,可以聘请相关专业公司进行维修维护,学校还可以配备比较先进的安全设备。而对于我们这样的农村中学,学校资金很有限,不可能去配备先进的安全设备,如硬件防火墙、网络版的杀毒软件等。需要我们以最少的投入得到最大的回报。所以在校园网的管理上,我们需要在“软件”上做文章,组策略的应用就能很好地解决一些网络问题,且还能规范教师计算机的管理,使我们的网络管理事半功倍。下面我谈一谈组策略在校园网中的具体应用。
三、组策略在学校网络中的实际应用实例
(一)组策略的简介
说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是可以自定义设置的,但这些配置发布在注册表的各个角落,如果手工配置是非常困难和繁杂的。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。
(二)组策略在我校应用案例及分析
1.利用组策略提高教师计算机上网带宽
我校和区信息中心是用光纤连接的,所以区内共享文件下载是非常快的。但是区里和外网连接的出口带宽有限,老师反应有时上外网的时候不是很流畅。所以我想可不可以通过Windows 2003的组策略来提升我校上网速度。通过查找资料得知在默认情况下,Windows网络连接数据包调度程序将系统限制在80%的连接带宽之内,这对带宽较小的网络来说,无疑是笔不小的开支。我们可以通过组策略设置来替代默认值,让我们的上网速率提高20%。具体方法如下:
首先配置Windows 2003网络管理服务器,打开“组策略控制台→计算机配置→管理模板→网络”中的“QoS数据包调度程序”,并启用此策略,然后使用下面“带宽限制”框来调整系统可保留的带宽比例,将它设置为0%即可,然后按“确定”退出。这样设置以后,Windows 2003组策略设置就会应用到整个网络中。当客户机启动电脑后就会接收到这个策略,自动把网络连接数据包调度程序限制在100%以内,之后我们就可以使用另外20%的带宽了。通过以上对服务器的配置,学校教师上网速度明显提升。
这种方法的好处在于不增加硬件投入的情况下,改善教师的上网速度,即经济又简单。符合了建设节约型校园的思想。需要注意的是在服务器配置完成后,教师机需要重新启动后才能接收到这个策略,并应用这个策略。
2.利用组策略给校园网内的教师计算机打补丁,让学校的网络形成“铜墙铁壁”
网络安全是学校校园网管理中的重要部分,没有安全、稳定的校园网络,怎能让教师顺利的进行网络教学,所以校园网的稳定运行、安全是第一位的。现在的计算机病毒有很多是利用计算机漏洞进行攻击的。严重的可以使整个校园网络瘫痪,严重影响学校正常的工作和教学。例如我区在2008~2009学年,区里的不少学校都出现了ARP病毒,导致不少学校的网络都处于瘫痪状态,影响非常严重。当然,采用网络版的杀毒软件和硬件防火墙是可以解决问题的。但是学校投入的资金比较大,对于我们这样的农村校来说是笔不小的开支。我们的解决思路是及时更新教师计算机操作系统,并及时打上最新的补丁,再配合计算机杀毒软件杀毒和建造ARP防火墙,就可以有效规避网络病毒对教师计算机的攻击。但是如果信息技术老师一台一台地对计算机进行系统更新或打补丁,那是多么的繁杂而又枯燥的工作啊!组策略就可以让这样的工作变得轻松起来。我校的具体做法如下:
首先确定好要打的补丁或要升级的文件,然后在学校的服务器上进行组策略的配置,配置完成后,教师的计算机登录后就会接收这个组策略的配置,进行安装。具体示意图见图2所示。
图2
组策略具体配置过程如下:
(1)创建分发点:要发布或分配计算机程序,我们必须在发布服务器上创建一个分发点:具体步骤为以管理员身份登录到服务器计算机,然后创建一个共享网络文件夹,将您要分发的Microsoft Windows安装程序包(.msi文件)放入此文件夹。对该共享设置权限以允许访问此分发程序包。将该程序包复制或安装到分发点。例如,要分发Microsoft Windows XP,就将安装文件复制到分发点。
(2)创建组策略对象:首先在学校Windows 2003 Server的服务器上建立一个域,例如我校的域名是:cyzx.dxschools.cn,然后对域服务器进行设置,利用Windows 2003 Server组策略进行配置。在控制台树中,单击右键“您的域”,然后单击“属性”。单击“组策略”选项卡,然后单击“新建”。为此新策略键入名称(例如,Windows XP分发),然后按Enter。单击“属性”,然后单击“安全”选项卡。对于您不希望应用该策略的安全组,请勾选清除与其对应的“应用组策略”复选框。对于希望应用该策略的组,选中与它们对应的“应用组策略”复选框。完成后,单击“确定”。然后再右键单击“软件安装”,指向“新建”,然后单击“程序包”。在“打开”对话框中,键入所需共享安装程序包的完整统一命名约定(UNC)路径。例如\\file server\share\file name.msi。单击“打开”。单击“分配”,然后单击“确定”。该程序包将列在“组策略”窗口的右窗格中。关闭“组策略”管理单元,单击“确定”,然后退出“Active Directory用户和计算机”管理单元。这样当客户端计算机启动时,这个软件程序包将自动安装。
(3)第三步再让教师计算机加入域。加入学校的域后,教师在下次登录时就会出现如图3所示的提示。
图3
当验证通过后,教师的计算机就会根据批处理文件中指定的程序清单给系统安装相应的程序。这些程序可以是系统更新文件,也可是各种补丁或者防病毒软件的升级程序等。当然,在安装这些程序的过程中还需要用户选择安装路径等相关操作。需要注意的是在教师计算机安装完毕后,需要在服务器端把组策略删除,否则当客户机下次登录时又会自动调用这些安装程序。
(4)与传统的安装软件的方法比较,传统的安装软件方法是一台一台地逐一安装,非常浪费人力和时间,是一个非常繁琐的过程。但是通过组策略进行安装只要配置好服务器就能全面安装,不仅能安装Office 2003这样的Windows程序,而且还能安装Windows的各种补丁等,这样进行安装节省人力和时间。让一个非常繁琐的计算机维护工作变得轻松起来。
通过以上的对比可以看出,利用组策略的下发软件安装功能,不仅可以节约不少的人力和时间,还可以为学校节约经费。作为信息技术人员对于经费如何节约这种意识是非常重要的。
3利用组策略对教师计算机轻松管理,做到“整齐划一”
现在我区大多数学校在教师计算机管理上都采用了“还原精灵类”的软件或者是硬件保护卡进行管理,对教师的某个分区进行保护,以达到减少故障的目的。这样的方法有它的优点,就是可以减少计算机故障率的发生。缺点是如果教师想要使用某个软件,要进行安装,就必须进行解锁,比较麻烦。而且学校的网管教师很少考虑到校园文化在教师计算机上如何体现出来的问题。
根据上面提到的问题,我们的解决思路是通过一台服务器来实现对教师计算机的快捷管理,来实现如隐藏桌面的系统图标、保护好“任务栏”和“开始”菜单、保护个人文档隐私、限制IE浏览器的保存功能、禁用“Internet选项”控制面板、禁止修改IE浏览器的主页、实现远程关机、显示统一桌面等等。这样的话不仅我们能方便、快捷的对教师计算机进行管理,而且可以让老师的计算机显示学校要求统一的桌面和网站等,做到了计算机管理的“整齐划一”。以上所说的这些管理功能我们都可以通过Windows组策略的配置来实现。
具体实现的一些功能如表1所示。
表1
以上这些功能只是Windows组策略所能实现功能中的一小部分,学校可以根据自己的目的来选择相应的策略。这样做的好处是,可以优化教师计算机的操作系统,防止教师的误操作所导致计算机出现故障,使学校教师计算机的桌面和IE首页都使用学校所规定的桌面和首页,做到整齐划一等。
以上只是我校对组策略应用的三个案例,从案例中不难看出,作为学校的网络管理人员,不要只依赖价格昂贵的网络安全设备,尽量从“软件”中多开发出一些实用、好用的功能,这样做不仅可以为学校节约经费,而且可以让我们的网络管理更游刃有余,更符合节约型社会的理念。同时,也要求网管教师要有“终身制”学习理念,要不断的学习充电,使自己的专业知识不断丰富,使自己的水平不断提高。
综上所述,学校的网络管理是一个复杂的过程,不仅仅是通过一个软件,配置一个策略就可实现的。所以要求学校的网络管理要从配置管理、故障管理、性能管理以及安全管理四个层面上全面考虑才行。组策略是学校网络管理的好帮手,优点是功能强大、节省人力时间等。但缺点是对于比较复杂的策略配置有一定难度。对于刚接触网络的教师需要一定的时间进行学习才能掌握。另外学校的网络管理要从多方面着手,不能仅靠一些技术的应用,还应抓好校园网络规章制度的建立、校园网络设备的定期维护、制定校园网络的紧急预案等工作。只有这样我们的校园网才能健康、稳定的发展,我们的教师才能有一个良好的网络环境。