WindowsServer2012配置与管理课件完整版电子教案

WindowsServer2012配置与管理项目教程*VMwareWorkstation是一款功能强大的桌面虚拟计算机软件，它可在一部实体机器上模拟完整的网络环境，以及虚拟计算机，对于企业的IT开发人员和系统管理员而言，VMwareWorkstation在虚拟网路，快照等方面的特点使它成为重要的工具。虚拟化有利于提高计算机的利用率，减少物理计算机的数量，并能通过一台宿主计算机管理多台虚拟机，让服务器的管理变得更为便捷高效。1.1相关知识1.VMwareWorkstation的快照技术磁盘“快照”是虚拟机磁盘文件（.vmdk）在某个时间点的复本。系统崩溃或系统异常，用户可以通过使用恢复到快照来还原磁盘文件系统，使系统恢复到创建快照的位置。如果用户创建了多于一个的虚拟机快照，那么，用户将有多个还原点可以用于恢复。1.1相关知识2.VMwareWorkstation的克隆技术VMwareWorkstation可以通过预先已安装好的虚拟机A快速克隆出多台同A相类似的虚拟机A1、A2……此时源计算机A和克隆计算机A1和A2的硬件ID不同（如网卡MAC），但操作系统ID和配置完全一致（如计算机名、IP地址等）。1.1相关知识2.VMwareWorkstation的克隆技术如果计算机间的一些应用和操作系统ID相关，则会导致该应用出错或不成功，因此通常克隆的计算机还必须手动修改系统ID。在活动目录环境中，计算机的系统ID不允许相同，因此克隆的计算机必须修改系统ID信息。1.1相关知识2.VMwareWorkstation的克隆技术克隆有两种方式：完整克隆和链接克隆。（1）完整克隆由于克隆的虚拟机和源虚拟机的系统ID相同，通常克隆后都要修改系统ID。（2）链接克隆1.1相关知识2.VMwareWorkstation的克隆技术用户可以通过在命令行界面中输入“whoami/user”命令查看SID。1.1相关知识2.VMwareWorkstation的克隆技术克隆后的计算机需要重新生成一套SID以区别于其他的计算机。技巧：使用命令：c:\windows\system32\sysprep\sysprep.exe可以对SID进行重整。1.1相关知识1.2项目设计与准备1.2.1项目设计1.2项目设计与准备1.2.2项目 分析 定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析 通过在一台普通计算机安装VMwareWorkstation12.0，配置虚拟网卡VMnetl和VMnet2，即达到搭建公司VLAN1和VLAN2的虚拟网络环境的要求，其中VLAN1对应VMnet1，VLAN2对应VMnet2。（Vmnet2也可以用VMnet8代替）在VMwareWorkstation上创建虚拟机，并命名为【win2012母盘】，并通过WindowsServer2012R2安装盘，按向导安装WindowsServer2012操作系统，完成第一台虚拟机的安装。通过VMwareWorkstation的克隆技术可以快速完成“域服务器”和“网关服务器”的安装。1.3项目实施任务1-1安装配置VM虚拟机“win2012母盘”1.3项目实施任务1-1安装配置VM虚拟机“win2012母盘”1.3项目实施任务1-1安装配置VM虚拟机“win2012母盘”1.3项目实施任务1-1安装配置VM虚拟机“win2012母盘”1.3项目实施任务1-1安装配置VM虚拟机“win2012母盘”1.3项目实施任务1-1安装配置VM虚拟机“win2012母盘”1.3项目实施任务1-1安装配置VM虚拟机“win2012母盘”1.3项目实施任务1-1安装配置VM虚拟机“win2012母盘”1.3项目实施任务1-1安装配置VM虚拟机“win2012母盘”1.3项目实施任务1-1安装配置VM虚拟机“win2012母盘”1.3项目实施任务1-1安装配置VM虚拟机“win2012母盘”单击“开启此虚拟机”按钮后开始安装WindowsServer2012R2。请读者按向导完成一个简单的WindowsServer2012R2操作系统的安装，其计算机名称为“win2012母盘”。1.3项目实施任务1-2克隆域服务器1.3项目实施任务1-2克隆域服务器1.3项目实施任务1-2克隆域服务器1.3项目实施任务1-2克隆域服务器1.3项目实施任务1-2克隆域服务器使用同样的方式，在【win2012母盘】键接克隆出【网关服务器】虚拟机。使用同样的方式，在【win10母盘】链接克隆出【客户机】虚拟机。1.3项目实施任务1-3修改系统SID和配置网络适配器右键单击【VMwareWorkstation】中的【域服务器】虚拟机。1.3项目实施任务1-3修改系统SID和配置网络适配器在启动后的虚拟机的命令窗口或PowerShell窗口输入命令：C:\windows\system32\sysprep\sysprep.exe。1.3项目实施任务1-3修改系统SID和配置网络适配器系统重新启动完成之后，右键单击任务栏上的【开始图标】，在弹出的快捷菜单中选择【网络连接】，在弹出的【网络连接】对话框中选择【Ethernet0】网卡，并设置其IP地址为“192.168.10.1”，子网掩码为“255.255.255.0”，默认网关为“192.168.10.254”。1.3项目实施任务1-3修改系统SID和配置网络适配器使用同样的方式，在【网关服务器】虚拟机中再添加一块网卡，第一块网卡的【网络连接】改成【VMnet1】；第二块网卡的【网络连接】改成【VMnet2】。将【网关服务器】虚拟机开机并重新生成SID。1.3项目实施任务1-3修改系统SID和配置网络适配器配置【网关服务器】虚拟机【Ethernet0】网卡IP地址为“192.168.10.254”，子网掩码“255.255.255.0”，默认网关为空；【Ethemet1】网卡IP地址为“192.168.20.254”，子网掩码为“255.255.255.0”，默认网关为空。1.3项目实施任务1-3修改系统SID和配置网络适配器使用同样的方式，将【客户机】网卡的【网络连接】改成【VMnet2】。将【客户机】虚拟机开机并重新生成SID。配置【Ethernet0】网卡，设置其IP地址为“192.168.20.1“，子网掩码为“255.255.255.0”，默认网关为“192.168.20.254”。1.3项目实施任务1-4启用【LAN路由】1.3项目实施任务1-4启用【LAN路由】1.3项目实施任务1-4启用【LAN路由】1.3项目实施任务1-4启用【LAN路由】1.3项目实施任务1-5测试【客户机】和【域服务器】的连通性1.3项目实施任务1-5测试【客户机】和【域服务器】的连通性WindowsServer2012配置与管理项目教程*规划与安装WindowsServer20122.1相关知识2.1.1WindowsServer2012R2系统和硬件设备要求2.1.2制订安装配置计划2.1.3WindowsServer2012的安装方式2.1.4安装前的注意事项2.2项目设计及准备2.2.1项目设计2.2.2项目准备2.3项目实施2.3.1任务1使用光盘安装WindowsServer2012R22.3.2任务2配置WindowsServer2012R22.3.3任务3添加角色与功能2.4习题实训项目安装与基本配置WindowsServer2012规划与安装WindowsServer20122.1安装WindowsServer2012的相关知识2.1.1WindowsServer2012R2系统和硬件设备要求2.1.2制订安装配置计划2.1.3WindowsServer2012的安装方式2.1.4安装前的注意事项2.1.1WindowsServer2012安装要求最低：512MB推荐：1GB最佳：2GB最低：1.4GHz64位推荐：2GHz64位最佳：3GHz64位最低：32GB推荐：40GB最佳：80GB安装注意事项要求所有内核模式的设备驱动程序都已数字签名由于设备驱动程序直接访问系统硬件，所以它们必须是受信任的也许能够减少一些rootkit软件常见安装场景全新安装升级通过Windows部署服务远程安装ServerCore安装无人值守安装（与前一版本类似）安装前建议检查应用程序兼容性断开UPS设备备份服务器禁用防病毒软件或断开网络运行Windows内存诊断工具提供大容量存储驱动程序Windows防火墙默规划准备ActiveDirectory检查升级路径2.2项目设计与准备根据教学环境不同，可为教与学分别设计不同的安装形式。在VMware中安装WindowsServer2012R2使用Hyper-V安装WindowsServer2012R2132在VMware中安装WindowsServer20121．在VMware中安装WindowsServer2012R2①物理主机安装了Windows8，计算机名为client1。②WindowsServer2012R2的DVD-ROM或镜像已准备好。③要求WindowsServer2012的安装分区大小为55GB，文件系统格式为NTFS，计算机名为win2012-1，管理员密码为P@ssw0rd1，服务器的IP地址为192.168.10.1，子网掩码为255.255.255.0，DNS服务器为192.168.10.1，默认网关为192.168.10.254，属于工作组COMP。④要求配置桌面环境、关闭防火墙，放行ping命令。在VMware中安装WindowsServer2012安装WindowsServer2012拓扑图使用Hyper-V安装WindowsServer2012R2特别提醒，Hyper-V的 内容 财务内部控制制度的内容财务内部控制制度的内容人员招聘与配置的内容项目成本控制的内容消防安全演练内容 在项目3中有详细介绍，读者可提前预习。WindowsServer2012的安装准备任务1使用光盘安装WindowsServer2012R2任务1使用光盘安装WindowsServer2012R2任务1使用光盘安装WindowsServer2012R2任务1使用光盘安装WindowsServer2012R2任务1使用光盘安装WindowsServer2012R2任务1使用光盘安装WindowsServer2012R2任务1使用光盘安装WindowsServer2012R2任务1使用光盘安装WindowsServer2012R2任务1使用光盘安装WindowsServer2012R2密码要求满足复杂性要求（典型的密码包含大小写字母、数字、标点符号，且不少于8个字符）登录成功后，Windows自动打开“初始配置任务”窗口任务1使用光盘安装WindowsServer2012R2刚安装的WindowsServer2012只有60天的使用时间，需要激活后才能继续使用任务1使用光盘安装WindowsServer2012R2产品密钥通常可以在产品的包装盒上找到，激活时要保证计算机可以连接到Internet上任务1使用光盘安装WindowsServer2012R2WindowsServer2012的其它安装方式1.升级安装：只用WindowsServer2003可以升级到WindowsServer2012，之前的操作系统（例如WindowsServer2000）不能直接升级到WindowsServer2012，需要先升级到WindowsServer20032.服务器核心（ServerCore）安装：WindowsServer2012的最小安装，这种安装方式只安装服务器角色所需要的文件，没有Windows图形界面，需要命令行配置和管理服务器，可以提高性能和稳定性，但是却大大增加管理难度易于保护、管理和维护支持关键基础结构角色最小服务器安装支持无人参与安装Windows服务器核心概述Windows服务器核心益处减少受攻击面使用的磁盘空间更少更少的软件维护更易于管理Windows服务器核心体系结构Standard版和Enterprise版服务器角色TSIASWeb服务器SharePoint等等……服务器核心服务角色DNSDHCPFileAD服务器包括WinFx、Shell、工具等等服务器核心安全、TCP/IP、文件系统、RPC加上其他核心服务器子系统GUI、CLR、Shell、IE、Media、OE等等任务2配置WindowsServer2012R2更改计算机名配置网络配置网络配置网络-启动网络发现配置网络-启动网络发现为了解决这个问题，需要在服务中启用以下3个服务：FunctionDiscoveryResourcePublicationSSDPDiscoveryUPnPDeviceHost配置网络-启动网络发现配置文件夹选项配置虚拟内存配置虚拟内存依次单击【开始】→【控制面板】→【系统和安全】→【系统】命令，然后单击【高级系统设置】，打开“系统属性”对话框，再单击【高级】选项卡配置虚拟内存设置显示属性配置防火墙，放行ping命令配置防火墙，放行ping命令配置防火墙，放行ping命令查看系统信息设置自动更新设置自动更新服务器角色描述了服务器的主要功能。管理员可以选择让整个服务器专用于一个角色，或者在单台计算机上安装多个服务器角色每个角色可包括一个或多个角色服务或角色子元素服务器管理器是用于安装、配置和删除服务器角色的工具任务3添加角色和功能服务器功能服务器功能为服务器提供辅助或支持功能。通常情况下，管理员并不把功能作为服务器的主要功能来添加，而是用来增加已安装角色的功能服务器管理器是用来在WindowsServer2012中安装、配置和管理功能的工具任务3添加角色和功能任务3添加角色和功能任务3添加角色和功能任务3添加角色和功能任务3添加角色和功能任务3添加角色和功能任务3添加角色和功能任务3添加角色和功能任务3添加角色和功能添加和删除功能补充使用WindowsServer2012的管理控制台MMC管理单元MMC微软管理控制台（MicrosoftManageConsole）提供了一个管理工具的途径。MMC允许管理员把常用的管理工具组织在一起，这些管理工具可以用来管理硬件、软件和Windows系统的网络组件等。MMC本身并不执行管理功能，它只是集成管理工具而已，可以添加到控制台中的主要工具类型称为管理单元。在“运行”或者PowerShell中输入“mmc”可以打开MMC微软管理控制台。添加/删除管理单元添加/删除管理单元使用MMC管理远程服务使用MMC管理远程服务MMC模式完全访问：使用者不能添加、删除管理单元或者控制台的属性，但是可以访问所有的窗口管理命令以及所有提供的控制台树的全部权限受限访问，多窗口：仅允许用户访问在保存控制台时可见的控制台树的区域，可以创建新的窗口，但是不能关闭已有的窗口受限访问，单窗口：仅允许用户访问在保存控制台时可见的控制台树的区域，可以创建新的窗口，阻止用户打开新的窗口MMC模式WindowsServer2012配置与管理项目教程*项目3管理域和活动目录3.1相关知识3.1.1认识活动目录及意义3.1.2认识活动目录的逻辑结构3.1.3认识活动目录的物理结构3.2项目设计及准备3.2.1项目设计3.2.2项目准备项目3管理域和活动目录3.3项目实施任务3-1创建第一个域（目录林根级域）任务3-2将ms1加入到long.com域任务3-3利用已加入域的计算机登录任务3-4安装额外的域控制器与RODC任务3-5转换服务器角色项目3管理域和活动目录3.4习题一、填空题二、判断题三、简答题实训项目部署与管理活动目录一、实训目的二、项目背景三、项目要求四、做一做项目3管理域和活动目录3.1相关知识3.1.1认识活动目录及意义3.1.2认识活动目录的逻辑结构3.1.3认识活动目录的物理结构活动目录活动目录是一个分布式的目录服务，信息可分散在多台不同的计算机上，保证用户能够快速访问，既提高了管理效率，又使网络应用更加方便。活动目录就是Windows网络中的目录服务，有两方面内容：目录和与目录相关的服务。ActiveDirectory存储了有关网络对象的信息，例如用户、组、计算机、共享资源、打印机和联系人等，并且让管理员和用户能够轻松地查找和使用这些信息。3.1.1认识活动目录及意义什么是活动目录目录服务功能组织管理控制资源集中管理单点管理所有用户一次登录访问整个活动目录资源3.1.1认识活动目录及意义活动目录对象活动目录存储网络对象的信息。对象属性存储在活动目录活动目录的对象是组成活动目录基本元素AttributesFirstNameLastNameLogonNameAttributesPrinterNamePrinterLocationActiveDirectoryPrintersPrinter1Printer2SuzanFineUsersDonHallAttributeValueObjectsPrintersUsersPrinter33.1.1认识活动目录及意义活动目录架构对象类举例PrintersComputersUsers用户的属性可以包括accountExpiresdepartmentdistinguishedNamemiddleName属性列 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf accountExpiresdepartmentdistinguishedNamedirectReportsdNSHostNameoperatingSystemrepsFromrepsTomiddleName…属性举例活动目录架构：定义了数据类型、语法规则、命名约定。3.1.1认识活动目录及意义如果资源分布在多台服务器上，那就需要在每台服务器分别为每一员工建立一个用户（共M*N个），员工则需要在每台服务器上（共M台）登录。3.1.1认识活动目录及意义有了域，员工只需要在域中拥有一个域用户，因此管理员只须为员工创建一个域用户；员工只需要在域中登录一次就可以访问域中的资源了，实现了单一登录。3.1.1认识活动目录及意义用户A用户B用户C用户A用户C用户B工作组ActiveDirectory域环境3.1.1认识活动目录及意义ActiveDirectory用户用户账户小组组账户计算机账户→3.1.1认识活动目录及意义ADDS功能包括：集中式目录单一登录访问集成安全性可伸缩性ADDS提供了一个集中式的系统，用于管理网络上的用户、计算机和其他资源。公共管理界面3.1.1认识活动目录及意义3.1.2认识活动目录的逻辑结构物理组件逻辑组件数据存储域控制器全局编录服务器只读域控制器(RODC)分区架构域域树林站点组织单位(OU)ADDS由物理组件和逻辑组件组成。域和域控制器域（Domain）是在WindowsNT/2000/2003网络环境中组建客户机/服务器网络的实现方式，是WindowsServer2003域中ActiveDirectory数据库的基本管理单位。域控制器中保存着整个网络的用户账号及目录数据库，即活动目录，并且可以被网络应用程序或者服务所访问。一个域可能拥有一台以上的域控制器。每一台域控制器都拥有它所在域的目录的一个可写副本。3.1.2认识活动目录的逻辑结构安全边界安全边界的作用就是保证域的管理者只能在该域内有必要的管理权限，除非管理者得到其他域得明确授权。复制单元在域中，作为域控制器的计算机包含活动目录的副本。在一个特定的域中，所有域控制都能够得到活动目录得变化信息，并把变化信息复制给该域中得其它域控制器。Windows2012DomainUser1User2User1User2Replication域3.1.2认识活动目录的逻辑结构组织单位组织单位是包含在活动目录中的容器对象，是可以指派组策略设置或委派管理权限的最小作用单位。组织单位可以将用户、组、计算机和其他单元放入活动目录的容器。组织单位不能包括来自其他域的对象。3.1.2认识活动目录的逻辑结构地理位置的组织结构SalesVancouverRepairUsersSalesComputers网络管理模型利用OU可以把对象组织到一个逻辑结构中使其最适应你的组织需求。可以把管理控制权委派给OU中的对象。要委派的管理控制权，必须把OU及OU包含的对象的具体的权限指给一个或几个用户和组。组织单位3.1.2认识活动目录的逻辑结构3.1.2认识活动目录的逻辑结构组织单位模型Function-basedSCMS–SalesC–ConsultantsM-MarketingExamplesFunction(功能)OrganizationLocation(位置)FunctionOrganization(组织)LocationOrganization-basedMERM–ManufacturingE–EngineeringR-ResearchLocation-basedNFIN–NorwayF–FranceI–Indonesia组织单位创建组织单位有如下好处：（1）可以分类组织对象，使所有对象结构更清晰。（2）可以对某些对象配置组策略，实现对这些对象的管理和控制。（3）可以委派管理控制权，如管理员可以给不同部门的网络主管授权，让他们管理本部门的账号。3.1.2认识活动目录的逻辑结构目录树目录树：共用连续名字空间的域就组成一个域目录树。3.1.2认识活动目录的逻辑结构域目录林目录林是一个或多个目录树的集合。目录林中的目录树并不共用相同的连续的名字空间。3.1.2认识活动目录的逻辑结构目录树和目录林(root)树双向可传递的信任林树双向可传递的信任Nwtraders.msftAsia.Nwtraders.msftAu.Nwtraders.msftcontoso.msftasia.contoso.msftau.contoso.msft3.1.2认识活动目录的逻辑结构全局编录服务器全局编录：包含林中所有ADDS对象的副本，但是该副本仅包含林中每个对象的部分属性提高搜索对象的效率，因为它避免了不必要地引用域控制器是用户登录到域中所必需的全局编录服务器是存储了全局编录的副本的域控制器。信任关系信任关系是网络中不同域之间的一种内在联系。只有在两个域之间创建了信任关系，这两个域才可以相互访问。在通过WindowsServer2003系统创建域目录树和域目录林时，域目录树的根域和子域之间，域目录林的不同树根之间都会自动创建双向的、传递的信任关系，有了信任关系，使根域与子域之间、域目录林中的不同树之间可以互相访问，并可以从其他域登录到本域。3.1.2认识活动目录的逻辑结构信任关系如果希望两个无关域之间可以相互访问或从对方域登录到自己所在的域，也可以手工创建域之间的信任关系。3.1.2认识活动目录的逻辑结构站点Sites:优化复制流量使用户能够使用可靠、高速的连接登录到域控制器上SiteIPsubnetIPsubnetLosAngelesSeattleChicagoNewYork3.1.2认识活动目录的物理结构3.1.2认识活动目录的物理结构站点SitesDomaincontrollersWANlinksSiteDomainControllersWANLinkSite3.1.2认识活动目录的物理结构--ADDS域控制器域控制器：承载ADDS目录存储的副本提供身份验证和授权服务将更新复制到域和林中的其他域控制器域控制器是安装了ADDS服务器角色的服务器。允许在服务器上管理用户账户和网络资源WindowsServer2008ADDS支持RODC域控制器DomainControllerDomainControllerDomainReplication=AWriteableCopyoftheActiveDirectoryDatabaseDomainControllers:参与活动目录的复制单主控操作3.1.2认识活动目录的物理结构1.项目设计3.2项目设计与准备我们将先安装一台WindowsServer2012R2服务器，然后将其升级为域控制器并建立域。我们也将架设此域的第2台域控制器（WindowsServer2012R2）、第3台域控制器（WindowsServer2012R2）、一台成员服务器（WindowsServer2012R2）和一台加入ADDS域的Windows10计算机1.项目设计3.2项目设计与准备2.项目准备3.2项目设计与准备我们要将图左上角的服务器升级为域控制器（安装ActiveDirectory域服务），因为它是第一台域控制器，因此这个升级操作会同时完成下面工作：建立第一个新林；建立此新林中的第一个域树；建立此新域树中的第一个域；建立此新域中的第一台域控制器。项目3管理域和活动目录3.3项目实施任务3-1创建第一个域（目录林根级域）任务3-2将ms1加入到long.com域任务3-3利用已加入域的计算机登录任务3-4安装额外的域控制器与RODC任务3-5转换服务器角色使用“服务器管理器”安装ActiveDirectory域服务角色1选择部署配置3配置附加域控制器功能4运行ActiveDirectory域服务安装向导2选择数据库、日志文件和SYSVOL文件夹的位置5配置目录服务还原模式管理员密码61.安装ActiveDirectory域服务任务1创建第一个域（目录林根级域）任务1创建第一个域（目录林根级域）1.安装ActiveDirectory域服务请先在图左上角的服务器dc1.long.com上安装WindowsServer201R2，将其计算机名称设置为dc1，IPv4地址等按图3-3所示进行配置（图中采用TCP佃Pv4）。注意将计算机名称设置为dc1即可，等升级为域控制器后，它会自动被改为dc1.long.com。以管理员用户身份登录到dc1上，依次打开【开始】→【管理工具】→【服务器管理器】→【仪表板】。单击【添加角色和功能】按钮，运行如图所示的“添加角色和功能向导”。任务1创建第一个域（目录林根级域）安装ActiveDirectory域服务任务1创建第一个域（目录林根级域）安装ActiveDirectory域服务请读者注意图3-4所示的【启动“删除角色和功能”向导】按钮。如果安装完AD服务后，需要删除该服务角色，请在此单击【启动“删除角色和功能”向导】按钮，完成ActiveDirectory域服务的删除！任务1创建第一个域（目录林根级域）安装ActiveDirectory域服务任务1创建第一个域（目录林根级域）安装ActiveDirectory域服务任务1创建第一个域（目录林根级域）安装ActiveDirectory域服务如果在图所示窗口中直接单击【关闭】按钮，则之后要将其提升为域控制器，请如下图所示单击服务器管理器右上方的旗帜符号，再单击“将此服务器提升为域控制器”按钮任务1创建第一个域（目录林根级域）安装ActiveDirectory域服务任务1创建第一个域（目录林根级域）2.安装活动目录在上图中单击【将此服务器提升为域控制器】按钮，显示“部署配置”对话框，选择【添加新林】单选按钮，设置林根域名（本例为long.com），创建一台全新的域控制器。如果网络中已经存在其他域控制器或林，则可以选择【现有林】单选按钮，在现有林中安装。任务1创建第一个域（目录林根级域）安装活动目录任务1创建第一个域（目录林根级域）安装活动目录任务1创建第一个域（目录林根级域）安装活动目录DNS和ADDS概述ADDS域控制器 记录 混凝土 养护记录下载土方回填监理旁站记录免费下载集备记录下载集备记录下载集备记录下载 必须在DNS中注册才能使其他域控制器和客户端计算机能找到该域控制器ADDS域名必须是DNS域名DNS域名ADDS需要DNS基础结构DNSDNS区域可作为ActiveDirectory集成区域存储在ADDS中DNS区域任务1创建第一个域（目录林根级域）任务1创建第一个域（目录林根级域）安装活动目录任务1创建第一个域（目录林根级域）安装活动目录任务1创建第一个域（目录林根级域）安装活动目录任务1创建第一个域（目录林根级域）安装活动目录任务1创建第一个域（目录林根级域）安装活动目录验证ActiveDirectory域服务的安装任务1创建第一个域（目录林根级域）（1）查看计算机名（2）查看管理工具（3）查看活动目录对象（4）查看ActiveDirectory数据库（5）查看DNS记录（1）计算机名验证ActiveDirectory域服务的安装任务1创建第一个域（目录林根级域）（2）管理工具中会添加包括“ActiveDirectory用户和计算机”、“ActiveDirectory站点和服务”、“ActiveDirectory域和信任关系”等管理工具。（3）活动目录对象验证ActiveDirectory域服务的安装任务1创建第一个域（目录林根级域）VerifyingtheActiveDirectoryInstallation验证SRV资源记录验证SYSVOL已成功创建并已正常共享验证活动目录数据库和日志文件已成功创建检查日志文件看安装过程中有没有出现错误验证ActiveDirectory域服务的安装任务1创建第一个域（目录林根级域）（4）ActiveDirectory 数据库ActiveDirectory数据库文件保存在%SystemRoot%\Ntds文件夹中，主要的文件有：Ntds.dit：数据库文件。Edb.chk：检查点文件。Temp.edb：临时文件。验证ActiveDirectory域服务的安装任务1创建第一个域（目录林根级域）（5）DNS记录验证ActiveDirectory域服务的安装任务1创建第一个域（目录林根级域）加入到long.com域任务3-2将ms1加入到long.com域加入到long.com域任务3-2将ms1加入到long.com域加入到long.com域任务3-2将ms1加入到long.com域1．利用本地账户登录任务3-3利用已加入域的计算机登录2．利用域用户账户登录任务3-3利用已加入域的计算机登录如果要更改利用域系统管理员Administrator的身份登录，请单击上图所示的人像左方的箭头图标，然后单击【其他用户】链接，打开下图所示的“其他用户”登录对话框，输入域系统管理员的账户（long\administrator）与密码，单击登录按钮进行登录。2．利用域用户账户登录任务3-3利用已加入域的计算机登录账户名前面要附加域名，例如long.com\Administrator或long\Administrator，此时账户与密码会被发送给域控制器，并利用ActiveDirectory数据库来检查账户与密码是否正确，如果正确，就可以登录成功，并且可以直接连接域内任何一台计算机并访问其中的资源（如果被赋予权限），不需要手动输入用户名与密码。当然，也可以用UPN登录，形如：administrator@long.com任务3-4安装额外的域控制器与RODC任务3-4安装额外的域控制器与RODC1．利用网络直接复制安装额外控制器先在图3-22中的服务器dc2.long.com与dc3.long.com上安装WindowsServer2012R2，将计算机名称分别设定为dc2与dc3，IPv4地址等按照图所示来设置（图中采用TCP/IPv4）。注意将计算机名称分别设置为dc2与dc3即可，等升级为域控制器后，它们会自动被改为dc2.long.com与dc3.long.com。任务3-4安装额外的域控制器与RODC1．利用网络直接复制安装额外控制器任务3-4安装额外的域控制器与RODC1．利用网络直接复制安装额外控制器任务3-4安装额外的域控制器与RODC1．利用网络直接复制安装额外控制器任务3-4安装额外的域控制器与RODC1．利用网络直接复制安装额外控制器任务3-4安装额外的域控制器与RODC1．利用网络直接复制安装额外控制器任务3-4安装额外的域控制器与RODC1．利用网络直接复制安装额外控制器任务3-4安装额外的域控制器与RODC1．利用网络直接复制安装额外控制器任务3-4安装额外的域控制器与RODC2．利用安装介质来安装额外域控制器（1）制作安装介质请到域控制器上利用域系统管理员的身份登录。选中左下角的开始图标并单击右键选中“命令提示符”（或单击左下方任务栏中的WlndowsPowerShell图标）。ntdsutilactivateinstancentdsifmcreatesysvolfullc:\InstallationMedia任务3-4安装额外的域控制器与RODC2．利用安装介质来安装额外域控制器（1）制作安装介质任务3-4安装额外的域控制器与RODC2．利用安装介质来安装额外域控制器（2）安装额外域控制器任务3-4安装额外的域控制器与RODC3．修改RODC的委派与密码复制策略设置任务3-4安装额外的域控制器与RODC3．修改RODC的委派与密码复制策略设置任务3-4安装额外的域控制器与RODC3．修改RODC的委派与密码复制策略设置任务3-4安装额外的域控制器与RODC3．修改RODC的委派与密码复制策略设置任务3-4安装额外的域控制器与RODC4．验证额外域控制器运行正常在【ms1】上配置【首选DNS】为“192.168.10.1”，【备用DNS】为“192.168.10.2”。利用DC1域控制器的【ActiveDirectory用户和计算机】建立供测试用的域用户domainuser1。刷新DC2、DC3的【ActiveDirectory用户和计算机】中的users容器，发现domainuser1几乎同时同步到了这两台域控制器上。将【DC1域控制器】暂时关闭，在VMWareWorkstation中也可以将【DC1域控制器】暂时挂起。在【ms1】上使用“domainuser1”登录域，观察是否能够登录，结果是可以登录成功的，这样就可以提供AD的不间断服务了，也验证了额外域控制器安装的成功。任务3-4安装额外的域控制器与RODC4．验证额外域控制器运行正常任务3-4安装额外的域控制器与RODC4．验证额外域控制器运行正常任务3-4安装额外的域控制器与RODC4．验证额外域控制器运行正常任务3-5转换服务器角色三种角色：域控制器、成员服务器和独立服务器。服务器的这三个角色可以发生改变。任务3-5转换服务器角色删除活动目录删除活动目录1.利用安装向导2.提供有效的管理员身份DomainController(Windows2012)ProvideCredentials:EnterpriseAdminsgroupmemberDomainAdminsgroupmemberRemoveActiveDirectory任务3-5转换服务器角色删除活动目录删除时要注意以下三点：（1）如果该域内还有其他域控制器，则该域会被降级为该域的成员服务器。（2）如果这个域控制器是该域的最后一个域控制器，则被降级后，该域内将不存在任何域控制器了。因此，该域控制器被删除，而该计算机被降级为独立服务器。（3）如果这台域控制器是“全局编录”，则将其降级后，它将不再担当“全局编录”的角色，因此请先确定网络上是否还有其他的“全局编录”域控制器。任务3-5转换服务器角色1.域控制器降级为成员服务器任务3-5转换服务器角色1.域控制器降级为成员服务器任务3-5转换服务器角色1.域控制器降级为成员服务器任务3-5转换服务器角色1.域控制器降级为成员服务器任务3-5转换服务器角色1.域控制器降级为成员服务器任务3-5转换服务器角色1.域控制器降级为成员服务器任务3-5转换服务器角色1.域控制器降级为成员服务器任务3-5转换服务器角色2．成员服务器降级为独立服务器dc2删除ActiveDirectory域服务后，降级为域long.com的成员服务器。现在将该成员服务器继续降级为独立服务器。首先在dc2上以域管理员（long\administrator）或本地管理员（dc2\administrator）身份登录。登录成功后，单击【开始】→【控制面板】→【系统和安全】→【系统】→【高级系统设置】，弹出“系统属性”对话框，选择【计算机名】选项卡，单击【更改】按钮；弹出“计算机名/域更改”窗口；在“隶属于”选项区域中，选择【工作组】单选按钮，并输入从域中脱离后要加入的工作组的名字（本例为WORKGROUP），单击【确定】按钮；输入有权限脱离该域的账户的名称和密码，确定后重新启动计算机即可。任务5转换服务器角色—小结域控制器降级为成员服务器成员服务器降级为独立服务器WindowsServer2012配置与管理项目教程*项目4管理用户账户和组4.1相关知识4.1.1用户账户的概述4.1.2本地用户账户4.1.3本地组概述4.2项目设计及准备项目4管理用户账户和组4.3项目实施任务4-1使用Csvde批量创建用户任务4-2管理将计算机加入域的权限任务4-3使用AGUDLP原则管理域组任务4-4在成员服务器上管理本地账户和组项目4管理用户账户和组4.4习题实训项目管理用户和组一、实训目的二、项目背景三、项目要求四、思考五、做一做项目4管理用户账户和组4.1相关知识4.1.1用户账户的概述4.1.2本地用户账户4.1.3本地组概述4.2项目设计及准备用户账户可存储在：ADDS中（ADDS账户）本地计算机上（本地账户）创建用户账户将同时创建安全ID(SID)用户账户是一种ActiveDirectory域服务(ADDS)对象，它使身份验证以及对本地和网络资源的访问成为可能。ADDS账户使用户能登录到域中，并使其能访问共享网络资源本地账户允许登录到单台计算机并访问本地资源4.1.1用户账户的概述介绍用户和组为每个用户帐号创建一个唯一的登录名用批处理为新用户在活动目录创建多个用户帐号将用户分组，用以管理网络上的共享资源当为一个分层结构创建一个模型时，将组嵌入别的组中以减少管理任务UsersSharedResourcesPermissionsGroup4.1.1用户账户的概述本地账户建立在WindowsServer2008独立服务器、成员服务器以及Windows7等系统中。本地账户只能在本地计算机上登录，无法访问其他计算机资源。内置本地账户Administrator（系统管理员）：最高的权限Guest（来宾）：供临时访问计算机的用户使用4.1.2本地用户账户组的概念组是账户、联系、计算机和其它组的集合。组用于以下目的：管理用户和计算机的访问，其访问范围包括网络对象、本地对象、共享、打印机队列和设备等；创建分配表；筛选组策略等。4.1.3本地组组的类型本地组:在WindowsServer2008独立服务器或成员服务器上的工作组称为本地组。该组的成员是本地账户，这些组账户的信息被储存在本地“安全账户数据库”（SAM）内。本地组类型：用户组和系统内置的组。4.1.3本地组4.2项目设计与准备在本次项目实训中，会用到域树中的部分内容，而不是全部，在每一个任务中会特别交待需要的网络拓扑结构。本项目下一共要完成如下任务：使用Csvde批量创建用户、管理将计算机加入域的权限、使用AGUDLP原则管理域组（需要用到林环境,使用单独网络拓扑图）。4.2项目设计与准备4.2项目设计与准备项目4管理用户账户和组4.3项目实施任务4-1使用Csvde批量创建用户任务4-2管理将计算机加入域的权限任务4-3使用AGUDLP原则管理域组任务4-4在成员服务器上管理本地账户和组任务4-1使用Csvde批量创建用户在dc1.long.com上实现域用户的导入，在ms1.long.com上进行验证。1．任务背景未名公司基于WindowsServer2012活动目录管理公司用户和计算机，公司计算机已经全部加入到域，接下来需要根据人事部的公司员工名单为每一位员工创建域账户。公司拥有员工近千人，并且平均每月都有近百名新员工入职，域管理员经常需要花费大量时间用于域用户的管理上，因此域管理员希望能通过导入的方式批量创建、禁用、删除用户，以提高工作效率。任务4-1使用Csvde批量创建用户2．任务分析针对本项目可以利用“csvde”命令导入域账户，参考步骤如下：①利用“csvde”命令导出域账户（结果为csv文件）。②打开导出的csv文件，按照公司用户属性信息要求删除一些无关项，并删除所有的用户记录，保存该文件后，该文件即可用作用户导入的模板文件。③将需要注册的用户信息按要求填入到模板文件的相应位置。④利用“csvde”命令导入域账户，新导入的账户默认为禁用状态。⑤利用现有脚本，并对脚本中的操作对象做设置，然后批量执行更改新用户的属性值（如密码），完成域用户的导入。任务4-1使用Csvde批量创建用户2．任务分析针对本项目可以利用“csvde”命令导入域账户，参考步骤如下：①利用“csvde”命令导出域账户（结果为csv文件）。②打开导出的csv文件，按照公司用户属性信息要求删除一些无关项，并删除所有的用户记录，保存该文件后，该文件即可用作用户导入的模板文件。③将需要注册的用户信息按要求填入到模板文件的相应位置。④利用“csvde”命令导入域账户，新导入的账户默认为禁用状态。⑤利用现有脚本，并对脚本中的操作对象做设置，然后批量执行更改新用户的属性值（如密码），完成域用户的导入。任务4-1使用Csvde批量创建用户3．任务实施该项任务的实施步骤如下。（1）在dc1.long.com上导出域用户打开【运行】，输入“cmd”打开【命令提示符】窗口，或者直接单击左下角的“PowerShell”图标打开命令窗口，输入“csvde／?”可以查看“csvde”命令的用法。任务4-1使用Csvde批量创建用户3．任务实施任务4-1使用Csvde批量创建用户3．任务实施（2）在dc1.long.com上导入域用户任务4-1使用Csvde批量创建用户3．任务实施（2）在dc1.long.com上导入域用户任务4-1使用Csvde批量创建用户3．任务实施任务4-1使用Csvde批量创建用户3．任务实施任务4-1使用Csvde批量创建用户3．任务实施给用户设置密码。首先建一个文本文档并写入如下内容：netuserzahngsan123456@anetuserlisi123456@bnetuserwangwu123456@c把该文件保存为bat格式，比如：ff.bat。直接在ff.bat文件上单击。成功运行后，各账户的密码就更新成功了。任务4-1使用Csvde批量创建用户3．任务实施给用户设置密码。首先建一个文本文档并写入如下内容：netuserzahngsan123456@anetuserlisi123456@bnetuserwangwu123456@c把该文件保存为bat格式，比如：ff.bat。直接在ff.bat文件上单击。成功运行后，各账户的密码就更新成功了。1．任务背景①网络部发现有一些员工使用了个人电脑，并通过自己的域账号授权将个人电脑加入到公司域。在公司使用未经网络管理部验证的计算机会给公司网络带来安全隐患，公司要求禁止普通域账号授权计算机加入到域，域的加入由域管理员授权加入。②分公司或办事处有一台计算机需要加入到域，但是分公司或办事处没有域管理员时该怎么办？③公司有一台客户机半年前因故障送修，取回后开机，域员工始终无法登录到域（客户机与域控制器通信正常）。任务4-2管理将计算机加入域的权限2．任务分析对于问题①，公司可以限制普通用户账号将计算机加入到域的权限。对于问题②，网络管理员可以预先获得这台要加入到域的计算机名和使用该计算机的域用户账号，然后在域控制器上创建计算机账号，并授权该用户账号将该计算机加入到域。最后分公司或办事处人员使用该域用户将该计算机加入到域。任务4-2管理将计算机加入域的权限2．任务分析对于问题③，如果一台域客户机因故有相当长一段时间未登录过域，那么这台域客户机对应的计算机账号就会过期，在域环境中，类似于DHCP服务器与客户机，域控制器和域客户机会定期更新契约，并基于该契约建立安全通道，如果契约过期并完全失效，那么就会导致域控制器和域客户机的信任关系破坏。如果要修复它们的信任关系，可以先在活动目录中删除该计算机账号，然后用该计算机的管理员账号退出域再重新加入到域。任务4-2管理将计算机加入域的权限3．任务实施任务4-2管理将计算机加入域的权限（1）禁止普通账户将计算机加入到域3．任务实施任务4-2管理将计算机加入域的权限（1）禁止普通账户将计算机加入到域3．任务实施任务4-2管理将计算机加入域的权限（1）禁止普通账户将计算机加入到域3．任务实施任务4-2管理将计算机加入域的权限（1）禁止普通账户将计算机加入到域3．任务实施任务4-2管理将计算机加入域的权限（2）通过授权普通域用户将指定计算机加入到域3．任务实施任务4-2管理将计算机加入域的权限（2）通过授权普通域用户将指定计算机加入到域3．任务实施任务4-2管理将计算机加入域的权限（2）通过授权普通域用户将指定计算机加入到域3．任务实施任务4-2管理将计算机加入域的权限（2）通过授权普通域用户将指定计算机加入到域3．任务实施任务4-2管理将计算机加入域的权限（2）通过授权普通域用户将指定计算机加入到域3．任务实施任务4-2管理将计算机加入域的权限（2）通过授权普通域用户将指定计算机加入到域任务4-3使用AGUDLP原则管理域组任务4-3使用AGUDLP原则管理域组1.A、G、DL、P原则任务4-3使用AGUDLP原则管理域组1.A、G、DL、P原则任务4-3使用AGUDLP原则管理域组2.A、G、G、DL、P原则任务4-3使用AGUDLP原则管理域组2.A、G、G、DL、P原则任务4-3使用AGUDLP原则管理域组3.A、G、U、DL、P原则任务4-3使用AGUDLP原则管理域组4.A、G、G、U、DL、P原则任务4-3使用AGUDLP原则管理域组5.案例任务背景任务4-3使用AGUDLP原则管理域组6.案例任务分析解决 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 如下：①在总公司dc1和分公司dc2上创建相应工程部员工用户。②在总公司dc1上创建全局组【project_long_Gs】，并将总公司工程部用户加入到该全局组；在分公司上创建全局组【project_beijingj_Gs】，并将分公司工程部用户加入到该全局组。③在总公司DC1(林根)上创建通用组【project_long_Us】，并将总公司和分公司的工程全局组配置为成员④在子公司DC2上创建本地域组【project_beijing_DLs】，并将通用组【project_long-Us】加入到本地域组。⑤创建共享目录【projects_share】，配置本地域组权限为读写权限。任务4-3使用AGUDLP原则管理域组6.案例任务分析实施后面临的问题：①总公司工程部员工新增或减少。总公司管理员直接对工程部用户进行【project_long_Gs】全局组的加入与退出。②分公司工程部员工新增或减少。分公司管理员直接对工程部用户进行【project_beijing_Gs】全局组的加入与退出。任务4-3使用AGUDLP原则管理域组7.案例任务实施任务4-3使用AGUDLP原则管理域组7.案例任务实施任务4-3使用AGUDLP原则管理域组7.案例任务实施任务4-3使用AGUDLP原则管理域组7.案例任务实施任务4-3使用AGUDLP原则管理域组7.案例任务实施任务4-3使用AGUDLP原则管理域组7.案例任务实施在客户机MS1上，右击开始菜单，单击“运行”，输入UNC路径\\dc2.beijing.long.com\projects_share”任务4-3使用AGUDLP原则管理域组7.案例任务实施任务4-3使用AGUDLP原则管理域组7.案例任务实施账户名的命名规则如下：账户名必须唯一，且不分大小写。用户的名最多可包含256个字符在账户名中不能使用的字符有：'/\[]:;|=，+*?<>.用户名可以是字符和数字的组合。用户名不能与组名相同。1.创建本地用户账户账户密码规则：必须为Administrator账户分配密码，防止未经授权就使用。系统默认用户的密码至少6个字符，还要至少包含A-Z、a-z、0－9、非字母数字（例如!、#、$、%）等四组字符中的三种。密码的长度在8～128之间。密码不包含全部和部分的用户账户名。密码中不能使用以下字符：‘/\|；:=,+[]。1.创建本地用户账户1.创建本地用户账户1.创建本地用户账户1.创建本地用户账户密