网络操作系统配置与管理实训教程-第2章

第2章资源规划与建设第2章资源规划与建设2.1资源规划分析2.2资源规划与建设2.1资源规划分析问题描述问题分析问题描述南方某电子信息集团有限公司现行政管理部门、技术研发部、产品生产部、售后服务部、产品销售部、培训部、信息中心七大区域。要求对其进行域管理。问题分析建立域、域控制器及辅助域控制器：如域结构如图所示，域结构中共设立和两个域，其中域下按部门分设七个子域。建立域间信任、树根信任。熟悉域间信任的类型及功能，建立与之间的树根信任。问题分析域用户及组管理。域管理员利用“ActiveDirectory用户和计算机”控制台建立并管理组织单位、站点及用户账户。当用户利用域用户账户登录域后，便可以直接连接域内的所有计算机，访问共享资源。站点及ActiveDirectory复制管理。站点是实现ActiveDirectory复制的逻辑结构，其由一个或数个IP子网组成，通过高速且可靠的链路串接起来，实现有效的ActiveDirectory数据库复制，建立ActiveDirectory数据的冗余存储，保证了ActiveDirectory数据的安全，提高了用户登录的速度。ActiveDirectory数据库备份管理。ActiveDirectory数据库是“系统状态”的一部分，设置定期备份，在灾难性事件发生的时候，即时恢复ActiveDirectory的运行。2.2资源规划与建设2.2.1活动目录搭建2.2.2活动目录用户与组管理2.2.3活动目录组策略管理2.2.4备份ActiveDirectory数据库2.2.5ActiveDirectory的复制2.2.1活动目录的搭建问题描述问题分析问题描述根据该公司资源规划的分析，需要建立和两个域，在下面根据所示建立七个部门的子域，各部门的用户能加入到自己部门所在的域。问题分析从域结构中分析得出本项目中有如下的域及子域：，，，，，，，，。建立域的过程就是将安装好的独立服务器或成员服务器上安装活动目录，并将其升级为域控制器的过程。建立子域的过程就是升级为子域控制器的过程。为提高用户登录的效率并达到提供容错的功能，在域内设置多台域控制器同时分担审核用户名与密码的工作，即使其中一台域控制器出现故障，仍然可以由其他域控制器来提供服务，保证客户端能正常登录。问题分析任务单

1创建域控制器2创建子域控制器3创建域控制器4建立域辅助控制器5将客户端计算机加入到域任务一：创建域控制器为配置域控制器安装一台独立服务器或成员服务器（WindowsServer2003），配置IP地址为0，DNS服务器的地址，即公司自建的DNS服务器。任务一：创建域控制器利用活动目录安装向导在新林中建立域“”。任务一：创建域控制器权限用来限制对活动目录的访问，即限制对域信息的读取。选中“只与Windows2000或WindowsServer2003操作系统兼容的权限”单选按钮。任务一：创建域控制器安装向导开始安装和配置活动目录。任务一：创建域控制器完成安装，重启计算机。任务二：创建子域控制器利用活动目录安装向导建立“新域中的子域控制器”。任务二：创建子域控制器单击“下一步”按钮，打开如所示“子域安装”对话框，输入父域、子域名称。任务二：创建子域控制器权限选择“只与Windows2000或WindowsServer2003操作系统兼容的权限”。任务二：创建子域控制器安装过程。任务二：创建子域控制器完成安装，重启计算机。任务三：创建域控制器为配置域控制器安装一台独立服务器或成员服务器（WindowsServer2003），配置IP地址为0，DNS服务器的地址，即公司自建的DNS服务器（见1.2.1DNS服务），如图所示。任务三：创建域控制器利用ActiveDirectory安装向导，在现有林中新建具有2003权限的域。任务三：创建域控制器安装向导开始安装和配置活动目录。任务三：创建域控制器单击“完成”按钮，重新启动计算机，完成操作。任务四：建立辅助域控制器为配置辅助域控制器安装一台独立服务器或成员服务器（WindowsServer2003），配置IP地址为7，DNS服务器的地址，即公司自建的DNS服务器（见1.2.1DNS服务）。任务四：建立辅助域控制器利用“活动目录安装向导”，新建的额外域控制器。任务四：建立辅助域控制器安装向导开始安装和配置活动目录。任务四：建立辅助域控制器完成安装，重启计算机。任务五：将客户端计算机加入到域

启动要加入到域的计算机，配置本地连接的TCP/IP参数，设定DNS为。在要加入到域的计算机上，右击“我的电脑”选择“属性”命令，打开“系统属性”对话框，选择“计算机名”选项卡，如图所示。任务五：将客户端计算机加入到域在该选项卡中单击“更改”按钮打开如图所示“计算机名称更改”对话框。任务五：将客户端计算机加入到域在域文本框中输入“”，单击“确定”按钮，打开“计算机名称更改”对话框，输入隶属于域内EnterpriseAdmins组成员用户名及密码，如图所示。任务五：将客户端计算机加入到域单击“确定”按钮，弹出如图所示“欢迎加入域”的提示信息。单击“确定”按钮，重新启动计算机，完成操作。说明：一旦一台计算机加入到域后，域管理员自动加入到这台计算机的本地管理员组。2.2.2活动目录用户与组管理问题描述问题分析问题描述在安装完成活动目录，建立域后，将客户端计算机加入域，客户端计算机登录域时使用的用户需要进行有效规划、管理。问题分析公司共分为行政管理部门、技术研发部、产品生产部、售后服务部、产品销售部、培训部、信息中心七个部门，分别建立与部门名同名的组织单位，并建立相应的全局组及用户，如表2.1所示。最后，在产品生产部发布位于\\SoftServer\soft下名称为“软件”的共享文件夹，为了方便域用户查找资源，设置关键字为“软件”。问题分析任务单1建立组织单位2.建立用户3.将用户添加到组4发布共享文件夹任务一：建立组织单位部门OU全局组隶属用户行政管理部行政管理部xzglZhangJun（科长）

Zhangyue（科员）技术研发部技术研发部jsyfLinKai（总科长）

Wuyun（科员）产品生产部产品生产部cpscLiXue（科长）

Zhujie（科员）售后服务部售后服务部shfwRenHuaMing（科长）

Xiatian（科员）用户和组列表

任务一：建立组织单位打开“ActiveDirectory用户和计算机”窗口，在域中右击，执行“新建”→“组织单位”命令，如图所示。任务一：建立组织单位弹出“新建对象－组织单位”对话框，输入组织单位的名称“行政管理部”，如图所示。任务一：建立组织单位按照步骤1、2操作，完成“技术研发部”、“产品生产部”、“售后服务部”等组织单位的建立。操作结果如图所示。任务二：添加用户打开“ActiveDirectory用户和计算机”窗口，单击新创建的组织单位，在右侧空白处右击，执行“新建”→“用户”命令，如图所示。任务二：添加用户打开“新建对象－用户”对话框，填写如图所示信息。任务二：添加用户单击“下一步”按钮，设置密码与确认密码，勾选“用户下次登录时须更改密码”，如图所示，完成操作。任务三：将用户添加到组打开“ActiveDirectory用户和计算机”窗口，双击要添加的用户，打开“用户属性”对话框，选择“隶属于”选项卡，如图所示。任务三：将用户添加到组单击“添加”按钮，打开“选择组”对话框，如图所示。任务三：将用户添加到组依次单击“高级”→“立即查找”，选中需要添加至的组名称，如图所示，单击“确定”按钮，完成操作，结果如图所示。任务三：将用户添加到组查看组内成员信息，可双击“Products”全局组名，选择“成员”选项卡即可。如图2.80所示。任务四：发布共享文件夹在计算机SoftServer中将soft目录设为共享文件夹。在域控制器上，依次单击“开始”→“管理工具”→“ActiveDirectory用户和计算机”→右击“产品生产部”→“新建”→“共享文件夹”，如图所示。任务四：发布共享文件夹打开“新建对象－共享文件夹”对话框中，分别在名称和网络路径中输入“软件”、“\\SoftServer\Soft”，如图所示。任务四：发布共享文件夹在“ActiveDirectory用户和计算机”界面中，右击“软件”→选择“属性”命令，如图所示。任务四：发布共享文件夹打开如图所示“软件属性”对话框。任务四：发布共享文件夹单击“关键字”按钮，打开“关键字”对话框，在“新值”文本框中输入“软件”，单击“添加”按钮，添加至“当前值”列表中，如图所示。2.2.3活动目录组策略管理问题描述问题分析问题描述组策略是一个管理工作环境的技术，通过它可以确保用户拥有所需的工作环境，也可以通过它来限制用户，这不仅让用户拥有适当的环境，也减轻了系统管理员的管理负担。根据公司管理的具体需求实现相应的域安全策略、软件限制策略、文件夹重定向策略和组策略等相关配置。问题分析对站点、域或组织单位配置组策略，设置计算机配置、用户配置及组策略配置，在组策略配置中完成域安全策略、密码策略、本地安全策略、软件限制策略、文件重定向策略等管理功能；在组策略管理中提供组策略继承、禁用计算机配置或用户配置、组策略委派等管理功能。问题分析任务单1配置域安全策略2配置软件限制策略3配置文件夹重定向策略4组策略配置任务一：配置域安全策略配置密码长度最小为9位配置密码配置密码最长存留其为一周配置帐户锁定阈值为5次配置密码超过阈值锁定30分钟配置密码长度最小为9位依次单击“开始”→“程序”→“管理工具”→“ActiveDirectory用户和计算机”→右击“”域名→“属性”，选择“组策略”选项卡，如图所示。配置密码长度最小为9位选中“DefaultDomainPolicy”，单击“编辑”按钮，打开“组策略编辑器”，如图所示。配置密码长度最小为9位依次展开图左侧栏中的“计算机配置”→“Windows设置”→“安全设置”→“帐户策略”→“密码策略”，如图所示。配置密码长度最小为9位双击图右侧“密码长度最小值”，打开“密码长度最小值属性”对话框，如图所示。配置密码长度最小为9位勾选“定义这个策略设置”，且在文本框中输入“9”，如图所示，单击“确定”按钮。配置密码配置密码最长存留其为一周同任务一中第1步的步骤（1）~（3）。打开“密码最长使用期限属性”对话框，勾选“定义这个策略设置”，且在文本框中输入“7”，如图所示，单击“确定”按钮。配置帐户锁定阈值为5次打开“帐户锁定阀值属性”对话框，勾选“定义这个策略设置”，且在文本框中输入“5”，如图所示，单击“确定”按钮。配置密码超过阈值锁定30分钟打开“帐户锁定时间属性”对话框，勾选“定义这个策略设置”，且在文本框中输入“30”，如图所示，单击“确定”按钮。任务二：配置系统策略配置系统策略：

关闭自动播放

限制使用WindowsMessenger软件。配置关闭自动播放打开“组策略编辑器”，依次单击左侧栏中的“用户配置”→“管理模板”→“系统”，如图所示。配置关闭自动播放打开“关闭自动播放属性”对话框，选择“已启用”单选按钮，在“关闭自动播放”下拉列表框中选择相应驱动器，单击“确定”，完成操作。配置限制使用WindowsMessenger软件打开“组策略编辑器”，依次单击左侧栏中的“用户配置”→“管理模板”→“系统”，如图所示。配置限制使用WindowsMessenger软件打开“关闭自动播放属性”对话框，选择“已启用”单选按钮，在“关闭自动播放”下拉列表框中选择相应驱动器，单击“确定”，完成操作。任务三：配置文件夹重定向策略配置文件夹重定向策略：

将域内“产品生产部”OU内所有用户“桌面”文件夹重定向至网络中指定台计算机的“桌面”文件夹。任务三：配置文件夹重定向策略在域内的任何一台计算机上建立一个共享文件夹，如D:\桌面，同时确认SYSTEM与CREATOROWNER账户对其拥有“完成控制”权限。“产品生产部”内所有用户“桌面”文件夹将重定向至此文件夹下。任务三：配置文件夹重定向策略在域控制器上，依次点击“开始”→“管理工具”→“ActiveDirectory用户和计算机”→右击“产品生产部”OU→“属性”→“组策略”→选择“产品生产部GPO”→编辑。任务三：配置文件夹重定向策略在如图所示对话框中执行以下操作：“用户配置”→“Windows设置”→“文件夹重定向”→右击“桌面”→“属性”，如图所示。任务三：配置文件夹重定向策略在打开的“桌面属性”对话框，分别在“设置”下拉列表中选择“基本－将每个人的文件夹重定向到同一个位置”，“目标文件夹位置”下拉列表中选择“在根目录路径下为每一用户创建一个文件夹”，“根路径”中选择域中已经建立的共享目录。任务四：组策略配置组策略配置：

阻止策略继承

强制策略继承

过滤组策略配置

禁用整个GPO

禁用GPO中的计算机配置

禁用GPO中的用户配置

组策略的委派等

域控制器与成员服务器在处理、应用组策略时，有一定的程序与规则，主要包括一般的继承与处理规则、特殊的继承与处理规则、例外的继承配置。阻止策略继承通过选择如图所示产品生产部内“阻止策略继承”选项来设置不继承由父容器传递过来的所有GPO配置，直接让产品生产部的GPO配置作用于产品生产部OU。强制策略继承选择“产品生产部GPO”，单击“选项”按钮，打开“产品生产部GPO选项”对话框，选择“禁止替代：防止其它组策略对象替代这个组对象中的策略集”选项。过滤组策略配置设置产品生产部zhangjun对所在产品生产部的GPO配置不作限制。过滤组策略配置选择“产品生产部GPO”，单击“属性”按钮，打开“产品生产部GPO属性”对话框，选择“安全”选项卡，单击“添加”按钮，选择用户zhangjun，设置其“读取”、“应用组策略”权限为“拒绝”。禁用产品生产部整个GPO选择“产品生产部GPO”，单击“选项”按钮，打开“产品生产部GPO选项”对话框。禁用产品生产部整个GPO勾选“已禁用：‘组策略对象’不适用于这个容器”选项，弹出如图所示提示信息框，单击“是”按钮，返回“产品生产部GPO选项”对话框。禁用产品生产部GPO中的“计算机配置”选择“产品生产部GPO”，单击“属性”按钮，打开“产品生产部GPO属性”对话框，勾选“禁用计算机配置设置”选项。禁用产品生产部GPO中的“用户配置”选择“产品生产部GPO”，单击“属性”按钮，打开“产品生产部GPO属性”对话框勾选“禁用用户配置设置”选项。组策略的委派将“产品生产部”的“管理组策略链接”功能委派给Zhangyue。将“产品生产部”的“管理组策略链接”功能委派给Zhangyue依次点击“开始”→“管理工具”→“ActiveDirectory用户和计算机”→右击“产品生产部”→“委派控制”。将“产品生产部”的“管理组策略链接”功能委派给Zhangyue打开“添加用户和组”对话框，点击“添加”按钮，添加zhangyue用户。将“产品生产部”的“管理组策略链接”功能委派给Zhangyue打开“要委派的任务”对话框，勾选“管理组策略链接”复选框。将“产品生产部”的“管理组策略链接”功能委派给Zhangyue验证用户zhangyue是否拥有此权限。右击“产品生产部”→“属性”。将“产品生产部”的“管理组策略链接”功能委派给Zhangyue选择“安全”选项卡，检验zhangyue用户账户是否存在，表示委派成功。2.2.4备份ActiveDirectory数据库问题描述问题分析问题描述ActiveDirectory数据库是否正常是ActiveDirectory域能否正常工作的关键，因此，必须定期进行备份、维护ActiveDirectory数据库。问题分析ActiveDirectory数据库与SYSVOL文件夹都是属于“系统状态（systemstate）”，需要通过备份“系统状态”的方式来备份ActiveDirectory数据库与SYSVOL文件夹。要求每日零点对ActiveDirectory数据库进行增量备份，文件名为DomainDCBackup，关闭验证，不使用硬件压缩，备份目标为C盘同名目录。问题分析任务单1备份ActiveDirectory数据库任务一备份ActiveDirectory数据库说明：系统状态数据包含ActiveDirectory、启动文件、COM+类别注册数据库、登录、SYSVOL文件夹等。任务一备份ActiveDirectory数据库依次点击“开始”→“程序”→“附件”→“系统工具”→“备份”，打开“备份或还原向导”对话框。任务一备份ActiveDirectory数据库点击“高级模式”，打开“备份工具”窗口。任务一备份ActiveDirectory数据库单击“备份向导（高级）”按钮，打开“备份向导”对话框。任务一备份ActiveDirectory数据库打开“要备份的内容”对话框，选择“只备份系统状态数据”单选按钮。任务一备份ActiveDirectory数据库打开“备份类型、目标和名称”对话框，选择“备份类型”、“备份路径”，并填写“备份名称”。任务一备份ActiveDirectory数据库如题需要设定“自动定时备份”，此时单击“高级”按钮，打开

“备份类型”对话框，选择备份的类型“每日”。任务一备份ActiveDirectory数据库打开“备份时间”对话框，设置计划备份时间。任务一备份ActiveDirectory数据库查看备份计划。依次点击“开始”→“程序”→“附件”→“系统工具”→“任务计划”，打开“任务计划”窗口。2.2.5ActiveDirectory的复制问题描述问题分析问题描述林中存在多台WindowsServer2003域控制器，如何才能有效地复制ActiveDirectory数据库、提高Active