WINDOWS系统管理AD活动目录综合实验报告

1、实验报告实验者李陈宾实验日期2011-5-6课程名称ws系统管理指导老师徐市委实验题目ad活动目录综合运用一、实验目的1)掌握在域环境中的各种设置二、准备工作1)vmware虚拟机软件三、实验步骤、内容及实验数据报告实验环境：benet公司现有员工200人，共有5个部门，分别为市场部、技术部、财务部、秘书处、项目部。当前公司的采用工作组环境，但这种方式对系统管理员工作压力非常大，无法对员工进行集中有效管理，并有严重的安全隐患。所以决定对公司结构进行改造，采用域环境进行集中管理,公司网络环境如下所示：实验一公司按部门进行管理，每部门设经理一名，四个部门归总经理统一管理。每个部门的账号不能登录到其

2、他部门，并且只允许在上班时间登录计算机。部门经理要有添加本部门员工和重设本部门员工账号密码的权利，以减少管理员工作量。建立总经理ou并在其ou下创建各部门ou 在ad工具用户属性下设置账户需要登陆的计算机设置登陆时间 以上三步为委派公司总经理有修改创建删除用户账户的权限 以上三步为委派各部门经理有对本部门员工有修改删除用户等权限依次设置其他部门经理的委派权限，设置完成后经理想要使用添加本部门员工和重设本部门员工账号密码的权利的话，必须在经理使用的计算机上添加ad用户和计算机工具。 添加方法在运行栏输入 dcpromo 安装。 全部设置完成后实验一成功。实验二要保证员工账号密码的安全性，并要求员

3、工定期更改密码。对于试图的密码猜测要有防范在运行栏中输入gpmc.msc打开组策略管理器新建正个域的的gpo 编辑域策略，在计算机配置windows设置安全设置账户策略密码策略中对密码的长度、长度最小值等设置在账户锁定策略中设置相关配置实验三为了体现公司良好的统一形象，要求公司计算机的桌面背景一致（市场部桌面背景为另一种专用背景），并且不能让员工随意更改桌面背景，但部门经理不受此限制在服务器中新建“桌面背景”文件夹并将其共享设置 every one 为完全控制权限将需要统一的背景图片放入此文件夹中在组策略 用户配置中双击桌面墙纸输入墙纸的路径 启用 不允许更改新建市场部gpo编辑gpo，在用户

4、配置中桌面墙纸中填写路径设置不允许更改墙纸因为个部门经理需要不受此限制所以需要将其筛选出来点击域策略gpo委派高级添加将各经理添加进去 设置其为拒绝应用组策略因为市场部经理还受市场部gpo的影响所以也需要在市场部gpo中筛选，步骤同上 实验三成功实验四公司所有用户均可打印，但总经理、部门经理有优先打印权。在服务器控制面板打印机中添加打印机 以上为添加一台逻辑打印机因为经理和员工要有不同的打印级别所以需要再次添加另一个逻辑打印机 设置员工的的打印级别为最小 设置经理的逻辑打印机的级别大于员工的并设置全部用户可有打印权限 在安全中删除every one用户并添加经理账户在员工客户机上添加级别低的打

5、印机，在经理机上添加级别高的打印机。在经理客户机中添加适用于经理的逻辑打印机可成功添加在普通员工的计算机上添加经理的逻辑打印机显示没有足够的权限，无法连接。说明实验成功在员工的计算机上可添加员工的逻辑打印机实验成功实验五公司一些常用软件、每个用户自己的文件夹、员工账户配置资料这些都要求保存在服务器上，并要有权限设置。并对数据的安全可靠性有一定的考虑，对于关键数据要有访问记录，限制员工的使用空间。对于共享文件夹和打印机要方便员工查找。设置every one用户为读取权限在服务器中新建公司常用软件文件夹并设置共享 将公司常用的软件放入此文件夹中即可共享公司常用的的软件以上是公司常用软件的共享及权限

6、设置按此架构新建用户个人文件夹（不是必须但是这样的话方便管理） 以上为设置员工共享文件夹的权限（其他用户只有读取权限，员工个人有完全控制权限）以上为员工个人文件夹的共享及权限的设置在ad工具员工账户属性-配置文件-设置账户配置资料和为员工映射个人文件驱动器切换到员工的账户现实映射驱动器成功切换到客户机桌面，并新建文件夹。 注销系统并切换到另一台客户机在另外一台客户机上登陆刚刚的员工账户在桌面也显示刚刚创建的新建文件夹说明漫游设置ok以上为员工账户配置资料和员工在服务器上的个人文件夹的网络驱动器为有效保证资料的安全需创建raid-5卷或镜像卷，以下为raid-5卷的创建新添加三块磁盘并将其转换为

7、动态磁盘添加raid-5卷，设置卷的大小raid-5卷成功创建后将资料放在此卷内可增加文件的可靠性创建好raid-5卷后，将员工文件及重要数据放入此新加卷里，可有效保证资料的安全。（现实中建议优先建立好raid-5卷之后，再设置及配置共享的文件，不然得重新配置共享，很麻烦的） 以上为数据可靠性的设计右击需要添加访问记录的文件夹并选择安全高级审核编辑添加需要审核的账户设置审核对象找到审核对象访问并开启编辑域策略gpo以上设置好后，在事件查看器里查看访问记录，以上为创建访问记录右击放有员工文件夹的磁盘选择属性并选择配额，勾选启用配额管理和拒绝将磁盘空间给超过配额限制的用户，并点击配额项新建配额项并

8、添加需要限制的用户切换到限制的账户在其个人文件夹中写入大于限制的文件，提示无法创建 说明实验成功填写空间限制大小以上为限制员工的使用空间的设计在ad工具中添加名为共享问价夹的ou并在ou中添加共享文件夹 填写需要发布的共享文件夹名和unc路径切换到客户机网络中就会有ad搜索工具。点击后可搜索相应共享文件夹以上为发布共享在共享的打印机属性共享中勾选列入目录切换到客户机中搜索计算机可搜索到，没有勾选列入目录的计算机不可搜索到以上为方便员工查找打印机的设计 实验五成功实验六要保证员工账号信息的安全性，对活动目录数据库定期备份在服务器中添加backup功能创建backup功能ok后打开任务计划程序，点击创建任务设置出发条件在常规中输入任务名并勾选不管用户是否登录都要运行验证实验成功在操作中输入程序名：wbadmin参数：start systemstatebackup backuptarget:f: -quiet以上是对活动目录数据库定期备份的设计 实验六成功实验七监视服务器的性能，对于可能出现的性能故障要有所警告打开数据收集器集在用户定义中、新建数据收集器集勾选性能计数器警报 添加需要监视的对象设置警报条件 右击新建的数据收集