计算机网络管理员Windows2024架构操作题(含步骤)

No.lN你是公司的域管理员，公司的ActiveDirectory域名为Testkingo你须要创建一个名为

SecTemplate1的自定义平安模板。模板必需仅有下列定义的设置：

♦用户在30分钟内五次密码尝试不胜利后，则应被锁定60分钟。

♦任何帐户更改或策略管理活动的失败尝试均应被审核。

♦内置administrator帐户应被重新命名为TestkingAdmino

♦内置guest帐户应禁用。

你应当怎么做？

答案：

问题一：创建为SecTemplate1的平安模板。

1、起先、运行，输入MMC,打开微软管理限制台。

2、添加管理单元：平安模板。

3、右击模板文件夹，选择新建模板。

4、输入模板名SecTemplate1。

」拄制8根花白J«_____________________________________

B国安全fittfi放松用尸蛆的？XX文件加注班表权期，便之用

B_3CAYIMDOTS\”eurity\Qepl.t.._JKsecurity力或拄礴更鼾的!XU安全设置

cwpatws3hi”cdc*・eur•&的超零•对L<rH*n<<er身份IfciS

DCsecurityhalters的好混・对LSI皿yr身枪验证

histent

运用于OS

%,跟制LMIg.cor身.

婀，限副”5身怜..

s«ew«4e

安全设置

sccur«*z

s«tupxtcurily

I-I”；

问题二：用户在30分钟内五次密码尝试不胜利后，则应被锁定60分钟。

1、绽开平安模板SecTemplatel,选择账户账户策略'账户锁定策略。

2、设置账户锁定时间为60分钟。

o-»I(Dlln2s自隔自

」控制8根节点Iil苴机0武

白淳五全模校掰复位循户领定计数器没有定义

）

SC:WI*M野OASS：\码se版cu笔r>ty\tinplates蜀帐户怏定时间没有定义

ccnpfttvx

a-V帐尸/定策珞阎味尸钺定价百没有定义

D,C哥secuKreirtyberos策略

hisocdc

a2y本地策得

®♦》hise事cw件s日志

田itsacls

$d受限制6W

r0otsec

a•n东境服务

S“T・pf

a3)3注册表

3守帐户策监

©0文件求妩

罩s«cw«dc

SI|3zecwcvs

等“tupsecurity

田

©

a

1〉Q：

3、设置用户锁定阀值为5次。

£）文件9操作R查看9收藏不也）窗口型）帮助QP

①士回函二甯喝偿

_]控制台根芍点辘；计篁机设置

三分五全栈板:NDoJ^xcurity\tempiat”嬲复位帐尸锁定计数器30分钟之后

白X

:\WU园帐户顿定时间60分钟

S--3compatws暧1帐尸锁定阈值5次无效登录

囤flDCsecurity

S-胃hisecdc

a-3hisecws

a~"aiestclz

s-rootsec

BSSecTemplatel

F寻帐户策略

田寺密码策略

予帏户检定策略

国1于Kerberos策ffl&

E基本地策略

S油事件日志

[?H受限制的组

也3系统服务

口23注册表

田通文件系统

3&securedc

另承securews

3$setupsecurity

4、设置复位锁定时间为30分钟。

a文件操作”查看9收藏夹®，口⑪帮助电

n囱的X直鼠阕

J控制台根节点I计算机设置I

3国安全稹板技］帐户锁定阈值5次无效鳌录

（3C：\WINDOIS\stcurity\t<implattx毁］帐户顺定时间60分钟

"Sc<»patws躅复位帐户锁定计数器30分钟之后

⑤DCsecurity

jhisecdc资信帽户镣余计致31星件

E3hisears

:.

Ejiesacls

:.

E承rootsec

B胃SecTeaplatel

B可帐尸策略

囹寻密码策略

等帐户嫌定策略

3号K«rb«ros策略

国方本地策略

l±J驴事件日志

E常受限制的组

EM系妹服务

国3注册表

由国文件系统

由…securedc

确定取消|应用㈤

E£5securews

由国“tupsecurity

问题三：任何帐户更改或策略管理活动的失败尝试均应被审核。

1、绽开平安模板SecTemplatel,选择本地策略'审核策略。

2、设置审核账户管理。

自困X囱喝

_1控制台根节点I计算机设置

曷审核帐户管理

白建字全模坡没有定义

tlC：\YIMDOWS\security\tet»plates跚军核帐户登录事件没召定义

+Aconpatvs嬲窜核系统事件没有定义

[+]®

DCsecurity国）审核特权使用没有定义

hi“cdc［艘）审核目录限务访问没召定义

由重hisecws

嗖］申核过程跟踪没有定义

l±3xesacls

嬲审核对象访问没有定义

63rootsec

园审核登录事件没有定义

H□SocTomplatel

励军核策略更改没有定义

回叟帏尸策畸

臼力本地策略

国苗审核策略

+司用户权限分配

由总安全选项

a国事件日志

囹国受限制的组

国油系线服务

s国注册表

s文件系统

中secured。

J&S3

setupsecurity

3、设置审核策略更改。

ne回函X直用）图

j控制台根节点策明Ii-篁机设置

3节宴全根攻璃市核帐户管理失败

R^C:\VINDOWS\security\ter»plates面市核帐户登录事件没有定义

阡胃co<npatws嚷］市核系拄事件没有定义

国黄DCsecurity

.掰亩核特权使用没有定义

Ehisecdc暧］亩核目录服务访问没有定义

［±&hisecws

般）亩核过程跟踪没有定义

［±］iesads

般］亩核对象访问没有定义

国r*oot“c

白国5tcT«nplattl般］审核登录事件没有定义

般］亩核策略更改

¥堡帐户策略没有定义

F§本地策略

・国蜀审核策略

E就用户权限分配

，国遍安全选U

：也留割牛日志

:由承受限别的俎

±第系妩服务

KC3注册表

年因文件系线

1+jSsecuredc

1+5securews

l±setupsecurity

问题四：内置adminislratoi•帐户应被重.新命名为TeslkingAdmin。

1、绽开平安模板SecTemplate1,选择本地策略'平安选项。

2、设置“帐户：重命名系统管理员账号”。

o♦国国》囱鼠因

_j控制¥艮节点需计算机设置

没

有定

t等举模极般依尸：重命名系统省理员帐尸义

义

BCQC\WINDOWS\security\tempiattx破帐户：重命名来宾帐尸

[*.r2compatws破帐户：使用空白变码的本地帏户只允许进行笼制台赞录

没

有

Fr?DCsecurity改帐户：来宾帐户状态定义

定

没

有

[+..xhisecdc皴帐户：管理员帐户状态义

定

没

有

I*IShisecws破域控制器：允许服务器操作员计划任务义

定

没

义

府事iesacls有

豉城控制器：拒绝更改机器帐尸密向

定

没

义

F⑪rootsec有

鼓域控制器：服务器签名要求

LDAP定

没

义

FWSecTemplatel育

践域成员.最长机器帐户密码寿命

导帖尸策略一

一

EF义

E方本地策略2

帐户：重命名系统管理员帐户屋性义

EJ审核策暗?JJ2

义

5J用户权限分配模板安全策略设置|

一义

国安全选项

2义

(£.国事件日志1-1帐尸：重命名系统管理员帐尸

义

[±第邳艮制的组

义

KL3系统殿务

义

KC3注册表P在模及中定义这个策略设置①）

K文件系统|TestkingAdjriin|义

1+2securedc义

[±isecurews义

EEsetups«curity义

义

义

确定I取消I义

E义

(一

义

没

定

嬲网络访闰:可远程访问的注册表路径百

IIW-I

问题五：内置guest帐户应禁用。

1、绽开平安模板SccTemplatel,选择本地策略'平安选项。

2、设置“帐户：来宾账户状态二

♦鱼而X囱氏四

」控制台根节点Iitg机"

h母承根极破帐尸：重命名系统省理员帐尸

B\WINDOWS\security\tempi4tts破帐户：重命名来宾帐尸

田,r-2compatws破帐户：使用空白变码的本地帏户只允许进行笼制台登录

没

Fr$DCsecurity般:帐户：来宾帐尸状态有定义

没有

义

[+xhisecdc破帐户：管理员惊尸状态定

没有

义

也少hisecws鼓域控制器：允许服务器操作员计划任务定

没有

义

由0定

震域控制器：拒绝更改机器帐尸密码

没有

义

F.r$rootsec定

矍域控制器：LDAP服务器签名要求

义

没

F.SecTemplatel有定

殿城成员最长机帐尸密码寿命

堡帐尸策略88

E义

E3本地策咯

幡尸：来宾帐尸状态屋性2J凶义

：由最审核策略

义

用田用户权限分配模板安全策略设置|

义

田安全选项

帐尸：来雌尸假$义

(£3事件日志

义

I+-I-J*忌制朗日

义

EC5系妩服务“在模境中定义这个策略设置屯)；

庄CS注册表义

E承文件系统c已§用口义

[+£securedc。已禁用⑤)义

E£J£securews义

E国sttupstcurity义

义

义

义

痛定|取消应用⑻

一一«，一〜，—―f-(r一

没

有

般网络访问：可远程访问的注册表路径定

・1

No.2、你是testking公司的网络管理员，公司网络由名为Testking的单一ActiveDirectory域组成。

你在数据中心一台新的WindowsServer2024计算机上安装了DNS。你将计算机命名为DC并配置他的

IP地址为.54。你在DC上安装了两个网络适配器，并配置DC作为域限制器。

DC有两个网络适配器，一个公共IP地址和一个私有网络地址。私有子网的地址是.X。

探讨部门用一个名为testhcal的域，该域存储在一台独立的UNIXDNS服务器上。这个服务器的IP地

址是.1()0。

TeslKing公司和Foo公司合并。Foo公司的网络由名为foo的单个ActiveDirectory域组成。两个域

仍将保持独立。

你必需在DC上配置DNS用来确保满意下面需求：

1.来自客户端计算机对f。。上的主机名称解析恳求，如被指派给DC,则必需由fo。域里IP地

址为00的DNS服务器干脆解析。

2.DC上必需有一份test.local的完全副本。

3.必需为.x子网创建反向查找区域。该区域必需存储在ActiveDirectory中，全部更新必需是平安的。

4.DNS服务器应当仅响应来自私有网络的恳求。

你应当怎么做？

答案：

问题一：来自客户端计算机对foo上的主机名称解析恳求，如被指派给DC,则必需由foo域里

IP地址为00的DNS服务器干脆解析。

1、打开“起先'程序'管理工具\DNS”。

2、右击服务器DC,选择属性。转至转发器标签。

3、点击新建，并输入fo。后点击确定。

_dbnsBCBt-[DVS\DC]

4、输入foo的DNS服务器的IP地址并点击添加。然后点击确定。

八-[DH3\DC]-1□!

£'文件电）操作®查看9囱口也）帮助但）Tlil

g■»|色|的X琢国

息DNS

B-3DC

田_|正向查找区域

±]-J反向查找区域

回翅事件查看器

问题二：DC上必需有一份test.local的完全副本。

1、右击正向查找区域，选择新建区域，打开新建区域向导。

2、设置区域类型为“协助区域”，区域名称为“testJocal",主DNS服务器IP地址为.100。

里建区域向导凶

区域类型

UNS服务器支持不同尖型的区域和存绪。

选择您要创建的区域的类型：

「主要区域任）

创建一个可以直接在这个服务器上更新的区域副本。

6辅助区域⑥；

创建二个存在于另一个服务器上的区域的副本.此选项帮助主服务器平衡

处理的工作量，并提供容错.

C存根区域@）

创建只含有名称服务器第）、起始授权机构60灯和粘连主机（A）记录的区

域的副本.含有存根区域的服务器对该区域没有管理权.

「在ActiveDirectory中存储区域（R有DNS服务需是域控制器时才可用）出）

＜上一步⑮）|下一步国）＞|取消|帮助|

建区域向导X|

区域名称

,新区域的名称是什么？

区域名称指定DNS名称空间的部分，该部分由此服务器管理.这可能是您组织单

位的域名（例如，microsoft.com）或此期的一部分（例如，

newzone.microsoft.com）.此区域名称不是DNS,服务需名称.

:域名称Q）：

有关区域名称的详细信息，话单击“帮助”。

＜上一步⑻[下一步堡）＞1取消I帮助I

建区域向导凶

主DIS服务器

区域从一个或多个的DNS服务器上复制.

指定您想要复制区域的DNS服务器.按下列的顺序联系服务器。

有关复制区域的详细信息，谙单击“帮助”。

＜上一步⑥”下一步®）＞]取消|帮助

3、点击完成结束区域创建。

问题三：为.x子网创建反向查找区域。这该区域必需存储在AcliveDirectory中，全部更新必需是平安的。

1、右击反向查找区域，选择新建区域，打开新建区域向导。

2、如下图设置区域。

凶

区域类型

DNS服务器支持不同类型的区域和存储。

选择您要创建的区域的类型：

6生要区域口;

创建二不可以直接在这个服务器上更新的区域副本.

C辅助区域⑤）

创建一个存在于另一个服务器上的区域的副本。此选项帮助主服务将平衡

处理的工作量，并提供容错。

C存根区域

创建只含有名称服务器第）、起始授权机构602和粘连主机GO记录的区

域的副本。含有存根区域的服务器对该区域没有管理权.

P在ActiveDirectory中存储区域£有DNS服务器是域控制器时才可用）

＜上一步也）|下一步量）：1取消|帮助|

ActiveDirectory区域复制作用域

您可以选择在网络上如何复制DNS数据。

选择如何复制区域数据：

「'至ActiveDirectory林testking.com中的所有DNS服务器(A)

「至ActiveDirectory域testking.com中的所有DNS服务器Q)

(•至ActiveDirectory域testking.com中的所有域控制器(0)^

如果该区域由在同一域中的域控制器上运行的Windows2000DNS服务器加

我，话选择这个选项。

C到在以下应用程序目录分区的范围内指定的所有域控制器(C):

I3

<上一步⑥>1下一步国)>1取消I帮助I

新源区域向导凶

反向查找区域名称

反向查找区域将IP地址转换为DNS名称。

要标识反向查找区域，请健入网络ID或区域名称。

|1010

网络ID是展于该区域IP地址的部分.用正常并是反向的)顺序输入

网络ID.

如果在网络ID中使用了一个零，它会出现在区域名称中。例如，网珞

ID10会创建10.in-addr.axpa区域，网络ID10.0会创建

0.10.in-addr.arpa区域。

向查找区域名称9：____________

130.10.10.in-&ddr.arpa

有关创建反向查找区域的详细信息，清单击“帮助”.

〈上一步也)|下一步国)：II取消|索助|

建区域向导xj

动态更新

你E以指定这个TINS区域接受安全、不安全或业劫态的更新.

动态更新能使DNS客户端计篁机在每次发生更改时，用DHS服务器注册并动态更

新资谀记录。

话选择您想允许的动态更新类型：

3只允许安全的动态更新诞吾宸汽藐Directory使用了这工

区京二际嬴苑集成百函域才看此选项.

C允许非安全和安全动态更新©)

任何客户端接受资源记录的动态更新.

心因为可以接受来自非信任源的更默，此选项是一个较大的安全弱点。

r不允许动态更新①)

此区域不接受资源记录的动态更新。您必须手动更新这些记录.

<上一步8)|下一国)>|取消|帮助|

3、点击完成结束区域创建。

建区域向导凶

正在完成新建区域向导

您已成功完成r新建区域向导.您指定了如下设直:

名称：30.10.10.in-addr.arpa

类型：ActiveDirectory集成主要区域

查找类型反向

注意您应该现在将记录添加到区域，或者确保记录

得到动态更新.然后，您可以用nslookup睑证名称

解析.

要关闭此向导并创建新区域，谙单击“完成”。

〈上一步⑻仁二被二i|取消|帮助|

问题四：DNS服务渊应当仅响应来自私有网络的恳求。

1、右右服务器DC,选择属性。转至接口标签。

2、选择“只在下列IP地址”，输入私有IP地址.54并点击添加。

3、选中原有的公共IP地址并点击删除，然后点击确定。

No.3、你是Testking公司的网络管理员。公司网络有由名为testking的单个ActiveDirectory域组成。

全部服务器都运行WindowsServer2024。全部客户端计算机都运行WindowsXPProfessional。

公司在波士顿开设了一家新的分公司。一位系统工程师为波士顿分公司安装并授权了一台新的DHCP服

务器。你正在配置波士顿分公司的DHCP。子网.0/24指派给了波士顿分公司。波士顿分公司的子网配置

显示如图。

ng10

DHCP

10.10.1S.2

1010102S4：testKinglJ

10.15.1

K

Mamoffice

在波士顿分公司的子网上，名为TestKingA的客户端计算机有一个MAC地址为00-E0-92-91-4F-31。

TestKingA有一台共享打印机。

TeslKing公司的书面平安策略对DHCP指出了以下要求：

1.在每家公司的子网中，必需将前10个IP地址保留给当前和将来运用的网络硬件和服务器。子网中的

其它IP地址将由客户端计算机运用。

2.客户端计算机的WINS和DNS名称解析必需由本地服务器供应。

3.1P地址应被租用三天°

4.应运用计算机的NetBIOS名称对保留予以命名。

你须要为波士顿分公司的子网创建一个DHCP作用域，以满意公司的全部DHCP要求。你还须要配置

TestKingA始终运用IP地址.100。

你应当怎么做？

答案：

问题一：创建DHCP作用域

1、打开起先'程序'管理工具\DHCP,右击DHCP服务%选择“新建作用域”，运