活动目录管理企业网络--课程设计.docx

活动目录期末考试 课 程 活动目录 实验名称 活动目录综合实验 专 业 计算机科学与技术 班 级 计科121 指导教师 张霖 学 号 201216021103 学生姓名 邢再寿 昆明理工大学津桥学院 2016年 6 月 17 日目录一、概述11、公司简单介绍12、基本要求1二、公司设计内容31、域设计32、IP地址123、域组、帐户管理124、组策略管理165、软件部署、限制策略206、操作主机管理247、将资源发布到Active Directory30三、 总结331、 步骤及过程332、 体会及收获343、参考资料34四、 教师评语34五、成绩34一、概述1、公司简单介绍XX集团是一家电子设备集团企业，共有两大分公司（研发和制造）。通过公司合理的运营和管理，发展迅速，员工人数已经有3000人左右。为了满足公司未来的发展和企业运营的需求，公司决定重新部署企业的网络，计划部署一个由约2500台计算机组成的局域网，用于完成企业的数据通信和资源共享。研发公司（上海）下设技术开发部、信息中心和技术支持部。制造公司下设生产分公司（浙江）和销售分公司（上海），生产分公司下设生产一部、二部，销售分公司下设华东、华南、华中、其它和物流部。针对以上情况，可利用windows Server 2003的“域”，以及OU可以使网络结构和公司的管理模型完全匹配。2、基本要求2.1域：（按要求绘制域结构图）a) 采用两个域林结构，分别用于研发和制造，制造下面有子域生产和销售。b) 为保证可靠性，每个域需要安装2台域控制器。c) 建立林信任，使得研发、制造公司的用户可以访问另一个林的资源。d) 完成Active Directory的复制和部分。2.2 IP地址：e) 地址规划（应包含自己学号的后三位）f) 网关、DNS设置2.3 域组、帐户管理：g) 为每个部门创建全局组。h) 员工一人一个帐户，按部门管理帐户（应有自己姓名的账户）。i) 帐户密码长度不小于8位，密码要求满足复杂性要求。j) 密码最长使用期限为50天，强制记录5个密码，输入密码错误3次锁定账户。k) 授权总经理和部门经理可以在域控制器上登录。l) 登录时不需按CTRL+ALT+DEL，同时允许用户在系统未登录前关机。m) 员工的权限级别有3种：总经理、部门经理、普通员工，他们在访问网络资源（如：共享文件夹tools）时权限不同2.4 组策略管理：n) 普通员工从开始菜单中删除“运行”命令，而总经理和部门经理不受此限制。o) 每个用户登录/注销时显示登录/注销信息（登录/注销脚本）。p) 每个用户的“我的文档”定向文件服务器。2.5 软件部署、限制策略：q) 将软件（MSI）指派给用户。r) 将非MSI软件发布给用户。s) 限制普通用户使用regedt32或是regedit编辑注册表。2.6 操作主机管理：t) 找出制造林的操作主机（架构、域命名、RID、PDC和基础结构）u) 找出销售子域的操作主机（架构、域命名、RID、PDC和基础结构）v) 完成销售子域PDC、基础结构操作主机的传送（域中的另外一台域控制器）。2.7 将资源发布到Active Directory：w) 发布共享文件夹。x) 发布共享打印机。y) 实现利用打印机位置来查找打印机。二、公司设计内容1、域设计 OY Y ServerA.Y ServerA.Y ServerA. ServerB. 上海 ServerA. ServerA. ServerB. ServerB. 浙江 上海 公司有两个林，制造公司和研发公司。制造公司属于林：；下属两个分公司，生产和销售，生产属于域（）,销售分公司属于域（），研发公司属于林（）。改公司的基本组成如下示意图：两大分公司（研发上海、制作），3000人，PC=2500 研发（林1）上海 （域控1、2） Y （技术开发部、信息中心部、技术支持）公司 信任 生产浙江 （域控1、2） 制造（林2） （一部、二部） 销售上海 （域控1、2） （华东、华南、华中、其它、物流部） a、采用两个域林结构，分别用于研发和制造，制造下面有子域生产和销售。步骤： 安装DNS服务器 在DNS服务器中建立正向查找区域 “开始”“运行”“输入dcpromo”根据提示选择“在新林中的域”根据要求依次创建两个域林(O、) b、为保证可靠性，每个域需要安装2台域控制器。 “开始”“运行”“输入dcpromo”（复制AD数据库：dcpromo /adv） 选择“现有域的额外域控制器”，并依次根据提示来完成2台域控制器的安装 c、建立林信任，使得研发、制造公司的用户可以访问另一个林的资源。 “开始”“管理工具”“active Direcrory 域和信任关系”“提升林功能级别”选择“Windows server 2003” “开始” “管理工具”“active Direcrory 域和信任关系”“属性” 点选“信任”“新建信任” 根据提示建立“双向信任关系” 完成林信任 用一个林的用户登录到另一个林中完成测试在中创建李小渊用户登录到中创建用户管理工具域控制器安全策略用户权限管理允许本地登录 d、完成Active Directory的复制和备份。AD备份 “开始”“所有程序”“系统工具”“备份”“高级模式” 选择“备份向导”“只备份系统状态数据” 选择“备份”勾选“system state” 依照对话框提示利用正常模式重启2、IP地址a、地址规划（应包含自己学号的后三位）名称IP地址子网掩码ServerA.ServerB.ServerA.ServerB.ServerA.ServerB.ServerA.ServerA.3、域组、帐户管理a、为每个部门创建全局组。b、员工一人一个帐户，按部门管理帐户（应有自己姓名的账户）。c、帐户密码长度不小于8位，密码要求满足复杂性要求。d、密码最长使用期限为50天，强制记录5个密码，输入密码错误3次锁定账户。e、授权总经理和部门经理可以在域控制器上登录。 f、登录时不需按CTRL+ALT+DEL，同时允许用户在系统未登录前关机。 g、员工的权限级别有3种：总经理、部门经理、普通员工，他们在访问网络资源（如：共享文件夹tools）时权限不同 4、组策略管理a、普通员工从开始菜单中删除“运行”命令，而总经理和部门经理不受此限制。 制定组策略 设定限制策略 刷新组策略 结果 b、每个用户登录/注销时显示登录/注销信息（登录/注销脚本）。 用记事本编辑wscript.echo “XXXXXXXX”，并保存为logon.vbs或logoff.vbs的脚本 选择相应OU“属性”“组策略”“用户配置”“脚本_（登录/注销）” 选择相应文件并添加参数/I或/logo 手动启用组策略：gpupdate /target:user /force 结果c、每个用户的“我的文档”定向文件服务器。 创建文件夹并添加相应权限设为共享文件相应对象的组策略 “用户配置”“Windows设置”“文件及重定向”“我的文档”设置属性，在跟路径下设置文件路径 用户登录显示我的文档路径5、软件部署、限制策略a、将软件（MSI）指派给用户。 创建文件夹并设为共享 在文件夹里建立子文件夹用来存放MSI文件 “组策略”“用户配置” “软件设置” “软件安装” “属性” “软件安装” “新建” “程序包” 选择软件右击次软件，更改为指派 （指派给计算机需要在计算机配置中来设置）b、将非MSI软件发布给用户。（只能被发布给用户，无法指派给用户和计算机） 建立文件夹并将软件复制进去 利用记事本建立一个.zap的文件（注意编码），文件内容为：ApplicationFriendlyName=”软件名称”SetupCommand=文件路径 “组策略” “用户配置” “软件设置” 右击“软件安装” “新建” “程序包” 选择.zap文件（注意文件类型） 选择“已发布”完成c、限制普通用户使用regedt32或是regedit编辑注册表。 6、操作主机管理a、找出制造林的操作主机（架构、域命名、RID、PDC和基础结构）架构主机：l “开始” “运行” “regsvr32 schmmgmt.dll” 点击确定l “开始” “运行” “mmc”“文件” “添加/删除嵌入式管理单元” 确定AD架构“添加”“关闭”“确定”l 右击“AD架构” “操作主机” “当前架构主机”域命名主机 l “AD域及信任” “操作主机” /“AD用户和计算机” 右击域名称“操作主机”RID、PDC和基础结构主机 b、找出销售子域的操作主机（架构、域命名、RID、PDC和基础结构）架构主机：l “开始” “运行” “regsvr32 schmmgmt.dll” 点击确定l “开始” “运行” “mmc”“文件” “添加/删除嵌入式管理单元” 确定AD架构“添加”“关闭”“确定”l 右击“AD架构” “操作主机” “当前架构主机”域命名主机l “AD域及信任” “操作主机”RID、PDC和基础结构主机l “AD用户和计算机” 右击域名称“操作主机” c、完成销售子域PDC、基础结构操作主机的传送（域中的另外一台域控制器）。 AD用户和计算机连接到域控制器选择扮演操作主机角色的域控制器确定 右击域名称操作主机 选择相应标签确认传送操作主机角色 发生故障时可用占用操作主机的方法来实现 命令提示符ntdsutilrolesconnectionsconnect to sercver 扮演操作主机的域控制器名称quiet Seize schema master是 分别运行一下命令Seize domain naming master Seize PDCSeize RID masterSeize infrastructure master7、将资源发布到Active Directorya、发布共享文件夹。 设置文件夹为共享文件夹 “管理工具”“Active Directory用户和计算机”选择OU“新建”“共享文件夹” 输入设置网络路径添加关键字 b、发布共享打印机。 开始打印机和传真右击打印机属性勾选“列入目录”c、实现利用打印机位置来查找打印机。d、实验结果 “Active Directory用户和计算机”“查找”“共享文件夹” 网上邻居搜索Active Directory查找共享文件夹 “Active Directory用户和计算机 ”查看“用户、组和计算机作为容器”完成后选择