組策略讓學校網絡管理“易如反掌”

北京市大興區采育中學 楊立明

目前中小學校園網建設已在全國各地呈現出一片繁榮的景象，越來越多的中小學在校園內部實現了聯網。現在我們區的每個學校也都建立了自己的校園網絡，并且和區里的信息中心進行光纖連接。我們學校于2005年建校并完成校內校園網建設。新的網絡設備在給教師帶來便利之余，同時也給學校網絡管理人員帶來了許多問題。現在老師們都是人手一機，全校的計算機總數已達到了300余臺，每臺計算機都可以上網。但學校只有一個網管教師，同時又負責全校的計算機維修維護等工作，可以說是身兼數職。通常網管教師的工作現狀就是一進辦公室電話就開始打了過來，全都是報修的電話，不是系統有問題，就是上不了網等等！這些問題不僅在我校存在，相信其他學校也有相同的情況。那么怎樣才能讓繁瑣的網絡管理和計算機管理變得輕松起來呢？組策略的應用就可以解決這一難題。

一、我校網絡基本情況介紹

我校是2005年由三所學校合并成立的一所學校。現擁有29個教學班，近800名學生和200名教職工。學校擁有兩個計算機房和一個語音教室，上網計算機達到300臺左右。我校的網絡拓撲圖見圖1所示，從圖中可以看出我校網絡分為三個區，即A區、B區和C區。由于各區屬于不同的子網，所以各區之間不能通信。各區的主交換機通過光纖和中心機房的交換機相連。中心機房的三層交換機再通過光纖和區信息中心相連接。然后通過區信息中心的出口連接因特網。由于區內是光纖連接，所以區內的網速是非常快的，但是連接到因特網的速度不是很快，原因是全區的學校是通過信息中心共享一個出口進行連接的。現在我校的服務器直接和中心機房的交換機相連，除了常見的DHCP服務器、FTP服務器、視頻點播服務器、CMIS服務器之外，我校又增加了一臺網絡管理服務器，用于配置Windows 2003的組策略。

二、出現的問題及分析

學校網絡管理和計算機管理過程中出現的問題一般為兩種，一種為硬件問題導致故障，一種是軟件問題導致故障。對于由硬件問題導致的故障在這里暫且不論，我們主要討論由軟件導致的網絡問題或計算機故障。而這些故障中由計算機病毒引起的故障是比較常見的。我校在2005年投入使用后，隨著教師計算機數量的增加，各種網絡服務的使用造成學校的網絡經常出現問題，表現為間斷性的斷網、網速慢、教師計算機故障率非常高等。

這些問題的出現使學校僅有的一個網管教師忙得不可開交。對于資金比較充裕的學校，可以聘請相關專業公司進行維修維護，學校還可以配備比較先進的安全設備。而對于我們這樣的農村中學，學校資金很有限，不可能去配備先進的安全設備，如硬件防火墻、網絡版的殺毒軟件等。需要我們以最少的投入得到最大的回報。所以在校園網的管理上，我們需要在“軟件”上做文章，組策略的應用就能很好地解決一些網絡問題，且還能規范教師計算機的管理，使我們的網絡管理事半功倍。下面我談一談組策略在校園網中的具體應用。

三、組策略在學校網絡中的實際應用實例

（一）組策略的簡介

說到組策略，就不得不提注冊表。注冊表是Windows系統中保存系統、應用軟件配置的數據庫，隨著Windows功能的越來越豐富，注冊表里的配置項目也越來越多。很多配置都是可以自定義設置的，但這些配置發布在注冊表的各個角落，如果手工配置是非常困難和繁雜的。而組策略則將系統重要的配置功能匯集成各種配置模塊，供管理人員直接使用，從而達到方便管理計算機的目的。

（二）組策略在我校應用案例及分析

1.利用組策略提高教師計算機上網帶寬

我校和區信息中心是用光纖連接的，所以區內共享文件下載是非常快的。但是區里和外網連接的出口帶寬有限，老師反應有時上外網的時候不是很流暢。所以我想可不可以通過Windows 2003的組策略來提升我校上網速度。通過查找資料得知在默認情況下，Windows網絡連接數據包調度程序將系統限制在80%的連接帶寬之內，這對帶寬較小的網絡來說，無疑是筆不小的開支。我們可以通過組策略設置來替代默認值，讓我們的上網速率提高20%。具體方法如下：

首先配置Windows 2003網絡管理服務器，打開“組策略控制臺→計算機配置→管理模板→網絡”中的“QoS數據包調度程序”，并啟用此策略，然后使用下面“帶寬限制”框來調整系統可保留的帶寬比例，將它設置為0%即可，然后按“確定”退出。這樣設置以后，Windows 2003組策略設置就會應用到整個網絡中。當客戶機啟動電腦后就會接收到這個策略，自動把網絡連接數據包調度程序限制在100%以內，之后我們就可以使用另外20%的帶寬了。通過以上對服務器的配置，學校教師上網速度明顯提升。

這種方法的好處在于不增加硬件投入的情況下，改善教師的上網速度，即經濟又簡單。符合了建設節約型校園的思想。需要注意的是在服務器配置完成后，教師機需要重新啟動后才能接收到這個策略，并應用這個策略。

2.利用組策略給校園網內的教師計算機打補丁，讓學校的網絡形成“銅墻鐵壁”

網絡安全是學校校園網管理中的重要部分，沒有安全、穩定的校園網絡，怎能讓教師順利的進行網絡教學，所以校園網的穩定運行、安全是第一位的。現在的計算機病毒有很多是利用計算機漏洞進行攻擊的。嚴重的可以使整個校園網絡癱瘓，嚴重影響學校正常的工作和教學。例如我區在2008～2009學年，區里的不少學校都出現了ARP病毒，導致不少學校的網絡都處于癱瘓狀態，影響非常嚴重。當然，采用網絡版的殺毒軟件和硬件防火墻是可以解決問題的。但是學校投入的資金比較大，對于我們這樣的農村校來說是筆不小的開支。我們的解決思路是及時更新教師計算機操作系統，并及時打上最新的補丁，再配合計算機殺毒軟件殺毒和建造ARP防火墻，就可以有效規避網絡病毒對教師計算機的攻擊。但是如果信息技術老師一臺一臺地對計算機進行系統更新或打補丁，那是多么的繁雜而又枯燥的工作啊！組策略就可以讓這樣的工作變得輕松起來。我校的具體做法如下：

首先確定好要打的補丁或要升級的文件，然后在學校的服務器上進行組策略的配置，配置完成后，教師的計算機登錄后就會接收這個組策略的配置，進行安裝。具體示意圖見圖2所示。

組策略具體配置過程如下：

（1）創建分發點：要發布或分配計算機程序，我們必須在發布服務器上創建一個分發點：具體步驟為以管理員身份登錄到服務器計算機，然后創建一個共享網絡文件夾，將您要分發的Microsoft Windows安裝程序包（.msi文件）放入此文件夾。對該共享設置權限以允許訪問此分發程序包。將該程序包復制或安裝到分發點。例如，要分發Microsoft Windows XP，就將安裝文件復制到分發點。

（2）創建組策略對象：首先在學校Windows 2003 Server的服務器上建立一個域，例如我校的域名是：cyzx.dxschools.cn，然后對域服務器進行設置，利用Windows 2003 Server組策略進行配置。在控制臺樹中，單擊右鍵“您的域”，然后單擊“屬性”。單擊“組策略”選項卡，然后單擊“新建”。為此新策略鍵入名稱（例如，Windows XP分發），然后按Enter。單擊“屬性”，然后單擊“安全”選項卡。對于您不希望應用該策略的安全組，請勾選清除與其對應的“應用組策略”復選框。對于希望應用該策略的組，選中與它們對應的“應用組策略”復選框。完成后，單擊“確定”。然后再右鍵單擊“軟件安裝”，指向“新建”，然后單擊“程序包”。在“打開”對話框中，鍵入所需共享安裝程序包的完整統一命名約定（UNC）路徑。例如\\file server\share\file name.msi。單擊“打開”。單擊“分配”，然后單擊“確定”。該程序包將列在“組策略”窗口的右窗格中。關閉“組策略”管理單元，單擊“確定”，然后退出“Active Directory用戶和計算機”管理單元。這樣當客戶端計算機啟動時，這個軟件程序包將自動安裝。

（3）第三步再讓教師計算機加入域。加入學校的域后，教師在下次登錄時就會出現如圖3所示的提示。

當驗證通過后，教師的計算機就會根據批處理文件中指定的程序清單給系統安裝相應的程序。這些程序可以是系統更新文件，也可是各種補丁或者防病毒軟件的升級程序等。當然，在安裝這些程序的過程中還需要用戶選擇安裝路徑等相關操作。需要注意的是在教師計算機安裝完畢后，需要在服務器端把組策略刪除，否則當客戶機下次登錄時又會自動調用這些安裝程序。

（4）與傳統的安裝軟件的方法比較，傳統的安裝軟件方法是一臺一臺地逐一安裝，非常浪費人力和時間，是一個非常繁瑣的過程。但是通過組策略進行安裝只要配置好服務器就能全面安裝，不僅能安裝Office 2003這樣的Windows程序，而且還能安裝Windows的各種補丁等，這樣進行安裝節省人力和時間。讓一個非常繁瑣的計算機維護工作變得輕松起來。

通過以上的對比可以看出，利用組策略的下發軟件安裝功能，不僅可以節約不少的人力和時間，還可以為學校節約經費。作為信息技術人員對于經費如何節約這種意識是非常重要的。

3利用組策略對教師計算機輕松管理，做到“整齊劃一”

現在我區大多數學校在教師計算機管理上都采用了“還原精靈類”的軟件或者是硬件保護卡進行管理，對教師的某個分區進行保護，以達到減少故障的目的。這樣的方法有它的優點，就是可以減少計算機故障率的發生。缺點是如果教師想要使用某個軟件，要進行安裝，就必須進行解鎖，比較麻煩。而且學校的網管教師很少考慮到校園文化在教師計算機上如何體現出來的問題。

根據上面提到的問題，我們的解決思路是通過一臺服務器來實現對教師計算機的快捷管理，來實現如隱藏桌面的系統圖標、保護好“任務欄”和“開始”菜單、保護個人文檔隱私、限制IE瀏覽器的保存功能、禁用“Internet選項”控制面板、禁止修改IE瀏覽器的主頁、實現遠程關機、顯示統一桌面等等。這樣的話不僅我們能方便、快捷的對教師計算機進行管理，而且可以讓老師的計算機顯示學校要求統一的桌面和網站等，做到了計算機管理的“整齊劃一”。以上所說的這些管理功能我們都可以通過Windows組策略的配置來實現。

具體實現的一些功能如表1所示。

以上這些功能只是Windows組策略所能實現功能中的一小部分，學校可以根據自己的目的來選擇相應的策略。這樣做的好處是，可以優化教師計算機的操作系統，防止教師的誤操作所導致計算機出現故障，使學校教師計算機的桌面和IE首頁都使用學校所規定的桌面和首頁，做到整齊劃一等。

以上只是我校對組策略應用的三個案例，從案例中不難看出，作為學校的網絡管理人員，不要只依賴價格昂貴的網絡安全設備，盡量從“軟件”中多開發出一些實用、好用的功能，這樣做不僅可以為學校節約經費，而且可以讓我們的網絡管理更游刃有余，更符合節約型社會的理念。同時，也要求網管教師要有“終身制”學習理念，要不斷的學習充電，使自己的專業知識不斷豐富，使自己的水平不斷提高。

綜上所述，學校的網絡管理是一個復雜的過程，不僅僅是通過一個軟件，配置一個策略就可實現的。所以要求學校的網絡管理要從配置管理、故障管理、性能管理以及安全管理四個層面上全面考慮才行。組策略是學校網絡管理的好幫手，優點是功能強大、節省人力時間等。但缺點是對于比較復雜的策略配置有一定難度。對于剛接觸網絡的教師需要一定的時間進行學習才能掌握。另外學校的網絡管理要從多方面著手，不能僅靠一些技術的應用，還應抓好校園網絡規章制度的建立、校園網絡設備的定期維護、制定校園網絡的緊急預案等工作。只有這樣我們的校園網才能健康、穩定的發展，我們的教師才能有一個良好的網絡環境。