实验2 域的建立

实验2域的建立【内容】一、安装活动目录，建立域和域控制器。事先确定好本组的域名以及每台计算机的FQDN(完全合格域名)。例如：某组的域名是group1.com，则他们各自计算机的FQDN是WL11.GROUP1.COM和WL12.GROUP1.COM二、设置DNS。为域指定“域名”，为域中的每台计算机指定FQDN(完全合格域名)三、客户机加入到域。四、在域中建立多个域用户五、利用组策略管理用户步骤：一、安装活动目录(2003)命令：dcpromo单击“下一步”，将提示设置域的DNS名称（假设为group1.com）和NETBIOS名称(假设为group1)。提示“是否重启”时，选择“暂不重启”，开始配置DNS二、配置DNS。应该在安装活动目录的那台计算机2003上设置。管理工具——DNS建立正向区域，正向区域的区域名就是你们的域名，必须与刚才在建立活动目录时指定的域名一致。下图必须选“在ActiveDirectory中存储区域（）”在下图输入域名这个地方必须选择“只允许安全的动态更新（适合ActiveDirectory使用）”建立反向区域，按右键——新建以下均为“下一步”；在“正向区域”建立主机选中“正向区域”下的域名group.com，按右键选“新建主机”域中有几台计算机，就要建立几个主机。设置DNS客户机在设置IP地址的地方设置“首选DNS服务器”，必须是本组的服务器的IP地址域中的每台计算机（包括服务器）都要进行相同的设置验证：运行：nslookup进入nslookup的画面之后，验证：输入某台计算机的IP地址，能够正确显示它的FQDN域名，即为成功。三、将一台客户机XP加入到域重启服务器再次进入系统后，在服务器上建立新用户：选择“管理工具”—“activedirectory用户和计算机”，打开后，依次打开“域（如group.com）”—“users”—“新建”—“user”；图7并为用户设置一个复杂密码：123!@#asd下面在XP客户机上操作：修改这台计算机的“隶属于”下面会要求输入一个具备“在域中添加工作站”权利的用户名和密码。例如：administrator，完成后单击“确定”若成功加入域，会出现“欢迎加入computer.com域”信息。在这里单击“确定”。重新启动客户机后，现在的登录窗口为三栏式，在用户名，密码下多了一栏“域：”，打开“域”的下拉按钮，选择“group”，表示登录到groupcom域中。用户名和密码使用刚才在域控制器上新建的用户帐户如aaa。四、继续在域控制器上建立多个新用户如bbb,ccc,ddd和计算机五、在域控制器上建立组织单元建立两个组织单元：“应用”，“网络”将aaa,bbb移到组织单元“网络”中将ccc,ddd移到组织单元“网络”中设置组策略【预备知识】组策略用来在用户或计算机的集合上强制设置某些配置，这在多台计算机需要统一的工作界面时很有使用意义。组策略必须在域的环境下使用。定义好一个组策略后，只能应用到某个域或某个组织单位。使得这个域或组织单位内的用户和计算机都受到这个组策略的影响。【注意】设置组策略时要禁用杀毒软件，否则会提示“域控制器不可用”要使得组策略生效，使用下面两条命令服务器上用：SECEDIT/REFRESHPOLICY客户机上用：GPUPDATE/FORCE如果还是无法生效，将服务器、客户机重新启动再试。如果针对的是计算机配置那就要重启，如果是用户配置那就要“注销”之后再进去【实验步骤】一、利用组策略管理用户环境1、禁止用户访问注册表为了保证系统的安全必须禁止对注册表的操作。操作：打开【ActiveDirectory用户和计算机】，右键单击域的名称或某个组织单位的名称，选【属性】，在弹出的对话框中单击【组策略】。单击【新建】按钮，这时会多出一个组策略对象，给此对象重命名为【禁止访问注册表】；单击【编辑】按钮，在弹出的对话框中，单击【用户配置】-【管理模板】-【系统】，在右边的详细信息中，右键单击【阻止访问注册表编辑工具】，选【属性】，下面选择【已启用】，确定。验证：让客户机以某个用户的名义登录到域后，启动注册表：开始-运行-regedit，此时会提示——注册编辑已被停用——的信息。二、利用软件限制策略限制用户可以使用的文件案例：限制员工在工作时间下载视频、看PPLIVE、或者玩网络游戏、炒股。例：禁止用户使用IE。如果要禁用其他软件同此法。方法一，操作：打开【ActiveDirectory用户和计算机】，右键单击域的名称或某个组织单位的名称，选【属性】，在弹出的对话框中单击【组策略】。单击【新建】按钮，这时会多出一个组策略对象，给此对象重命名为【软件限制】；单击【编辑】按钮，单击【用户配置】-【WINDOWS设置】-【安全设置】-【软件限制策略】，右键单击【软件限制策略】，选择【创建软件限制策略】，这时会在【软件限制策略】下生成【安全选项】、【其他规则】，右键单击【其他规则】，选择【新建哈希规则】命令，单击【浏览】，在弹出的【打开】打开中，找到IE所在的路径，单击【打开】，在【安全级别】中选择不允许。确定。验证：在客户机上以某个用户的名义登录，看看该用户能否使用IE。下图是禁止QQ后的运行结果。在客户机上验证。三、设置客户机的屏保程序防止员工在未锁定电脑就离开的情况下泄露数据，强行设置客户机启用屏保程序。在组策略中需要定义三项设置：屏保程序、密码保护屏保、屏保超时。步骤1：打开【ActiveDirectory用户和计算机】，右键单击域的名称或某个组织单位的名称，选【属性】，在弹出的对话框中单击【组策略】。单击【新建】按钮，这时会多出一个组策略对象，给此对象重命名为【屏幕保护程序】；单击【编辑】按钮，单击【用户配置】-【管理模板】-【控制面板】-【显示】，右键单击【属性】这时会弹出【属性】对话框，选择【已启用】，再确定。步骤2：在上图的画面中选择【密码保护屏幕保护程序】，右键选择【属性】，选择【已启用】，再确定。然后设置时间为“180秒”，确定。步骤3：【密码保护屏幕保护程序】，右键选择【属性】，请将客户机改为用XP启动，再按刚才的方法修改XP中的“首选DNS服务器”和“计算机名”即可。在客户机上验证。四、为所有用户重定向“我的文档”文件夹案例：某公司要求员工将数据集中存放在服务器中，但是大部分员工并未按照要求做，而是顺手存放在本机的“我的文档”中。可以使用文件夹重定向的方法将员工的文件自动存放一份到服务器中。操作：事先在教师机的某个分区下建立一个文件夹：公司文件。将此文件夹设置为共享，权限为完全访问。打开【ActiveDirectory用户和计算机】，右键单击域的名称或某个组织单位的名称，选【属性】，在弹出的对话框中单击【组策略】。单击【新建】按钮，这时会多出一个组策略对象，给此对象重命名为【文件夹重定向】；单击【编辑】按钮，在【组策略编辑器】对话框中，单击【用户配置】-【WINDOWS配置】-【文件夹重定向】，在右边的信息窗口中，右键单击【我的文档】，选【属性】；在【我的文档属性】对话框中，选择【目标】，按上图进行设置。验证：在客户机上以某个用户的名义登录，用WORD编辑一份新文档，保存到“我的文档”。会发现本机和服务器上均有一份该用户的文档。五、实现软件的分发软件安装是网络管理人员在日常生活中无法避免的，但逐台安装又费时费力。利用组策略可以代替安装软件。1、准备安装文件。只能是.msi文件。2、创建分发点。在域控制器上创建一个共享文件夹如soft，将.msi文件(例如：acroread.msi)放入此文件夹中。注意要设置相应权限。3、设置组策略打开【ActiveDirectory用户和计算机】，新建一个组策略对象，给此对象重命名为【软件分发】；单击【编辑】按钮，选【计算机配置】-【软件设置】-【软件安装】。右键单击【软件安装】，选择【新建】-【程序包】，在【打开】对话框中输入刚才建立的共享文件夹的路径：\\[域控制器的IP地址]\[共享文件夹名]\msi文件名例如：\\[域控制器的IP地址]\soft\acroread.msi，单击“打开”。这时弹出【部署软件】，选择【已指派】，确定。这时重启客户机，此软件会自动安装。六、限制用户只能登录到域，不能登录到本机前面我们定义了许多域模式下的组策略，但是一旦用户不按要求登录到域，而是登录到本机，那么这些组策略对他就不起作用。这对集中、统一的管理不利。我们可以通过组策略的安全设置要求用户只能登录到域，以达到管理的目的。打开【ActiveDirectory用户和计算机】，右键单击域的名称或某个组织单位的名称，选【属性】，在弹出的对话框中单击【组策略】。单击【新建】按钮，这时会多出一个组策略对象，给此对象重命名为【限制本地登录】；单击【编辑】按钮，在【组策略编辑器】对话框中，单击【计算机配置】-【WINDOWS配置】-【安全设置】-【本地策略】-【用户权利分配】，在右边的信息窗口中，右键单击【允许在本地登录】，选【属性】；在弹出的对话框中选择【定义这些策略设置】，然后选“添加用户和组”，输入’administrators’，再次选“添加用户和组”，输入’domainusers’，在【计算机设置】-【WINDOWS设置】-【安全设置】中，右键单击【受限制的组】，添加‘administrators’，在弹出的属性框中，添加组成员为administrator在【计算机设置】-【WINDOWS设置】-【安全设置】-[本地策略]-【安全选项】中，双击【帐户：管理员帐户状态】，选择‘定义这个策略设置’，选择‘已禁用’。在客户机上登录，此时将无法登录到本机，只能登录到域。如果登录时出现：指定域的名称或安全标识（SID）与该域的信任信息不一致原因：两个2003SERVER由一个镜象做的，两台机子的SID号相同。可以用系统光盘\Support\Tools文件夹里有个Deploy.cab，把它解包，里面有个Sysprep.exe，这个软件可以重新生成SID号或者使用NewSID.exe，可以更改机器的SID重新启动,重新加入域中。有的时候我们的DC还没有没有启动,我们也可以通过域用户登录的域中,这是因为window使用了登录cach,这样我们其实没有登陆到真正的域里.