实训二：windows server 2008 额外域控制器配置

server2008域控组策略Server 2008域控组策略是Windows Server 2008操作系统中用于管理和配置域内计算机和用户的一种强大工具。

通过域控组策略，系统管理员可以集中管理和控制域中的计算机和用户，确保网络的安全性和合规性。

本文将介绍Server 2008域控组策略的基本概念、功能和使用方法。

一、基本概念1.1 域控制器域控制器是指在Windows Server操作系统中运行域服务（Active Directory）的服务器。

域控制器存储和管理域中的所有用户账户、计算机账户、组策略等信息。

1.2 组策略组策略是一种在域控制器上创建和配置的一组设置，用于控制域中计算机和用户的行为。

组策略可以在域的不同层次上进行配置，如域级别、站点级别和组织单位级别。

二、功能2.1 安全性配置通过域控组策略，管理员可以配置密码策略、用户权限、网络安全性等设置，以确保域中计算机和用户的安全性。

例如，可以设置密码复杂度要求、账户锁定策略、防火墙设置等。

2.2 软件部署域控组策略还支持软件的自动部署和更新。

管理员可以通过组策略将特定的软件程序自动安装到域中的计算机上，或者更新已安装的软件。

这样可以提高软件的管理效率和一致性。

2.3 网络资源管理通过域控组策略，管理员可以配置网络资源的访问权限和管理策略。

例如，可以设置共享文件夹的访问权限、打印机的安装和配置、网络驱动器的映射等。

2.4 用户配置域控组策略还可以配置用户的桌面环境、任务栏设置、桌面壁纸等个性化设置。

管理员可以通过组策略为用户提供统一的工作环境，提高工作效率。

三、使用方法3.1 打开组策略管理器在域控制器上，可以通过“开始”菜单中的“管理工具”找到“组策略管理器”并打开。

3.2 创建和配置组策略在组策略管理器中，可以创建和配置不同的组策略对象。

可以右键点击“组策略对象”文件夹，选择“新建”来创建新的组策略对象；也可以右键点击已有的组策略对象，选择“编辑”来配置已有的组策略。

Windows Server 2008中Active Directory域的配置管理摘要：随着计算机技术的发展，利用域管理网内计算机的新技术得到广泛应用，本文图例介绍了windows平台的active directory 域及配置管理方法关键词：windows server active directory域配置管理中图分类号：tp316 文献标识码：a 文章编号：1007-9416(2012)02-0155-02活动目录（active directory）是windows server 2008操作系统提供的一种新的目录服务。

所谓目录服务其实就是提供了一种按层次结构组织的信息，然后按名称关联检索信息的服务方式。

这种服务提供了一个存储在目录中的各种资源的统一管理视图，从而减轻了企业的管理负担。

另外，它还为用户和应用程序提供了对其所包含信息的安全访问。

活动目录作为用户、计算机和网络服务相关信息的中心，支持现有的行业标准ldap（lightweight directory access protocal，轻量目录访问协议）第8版，使任何兼容ldap 的客户端都能与之相互协作，可访问存储在活动目录中的信息，如linux、novell系统等。

创建域之前需验证windows server 2008系统具备以下条件：(1)在安装windows server 2008的计算机上至少有一个ntfs分区，至少有250m的空间。

(2)计算机上必须配置好ip地址和dns服务器地址。

(3)具须具备管理员权限。

dns服务可以在安装活动目录前安装，也可以在活动目录集成安装，即在安装活动目录过程中安装。

1、安装active directory域一般情况下，在新安装系统时，系统会提示是否选择安装【活动目录】选项，通常不安装活动目录，以便用户有时间来规划与活动目录有关的协议和系统结构。

活动目录服务一般需要在安装windows server 2008后进行安装，可以使用“dcpromo”命令，“dcpromo”是一个图形化的向导程序，它将引导用户一步一步地建立域控制器。

Windows Servers 2008＆1.1.1:用命令提升域控制器:1.1:因为window servers 2008 升级为域控制器要先安装Active Directory 域服务,安装服方法为在初始配置任务窗口,点击添加角色,在添加角色向导中选择服务器角色,选择Active Directory 域服务,待安装完毕后,在开始运行中输入dcpromo.exe开始升级域控＆2.1.1:备份还原2.1向导备份先安装Windows server Backup功能,待安装完毕后,在服务器管理器里选择Windows server backup向导,然后依向导备份;2.2利用命令备份a:先安装Windows server backup 及命令行工具和Windows powershell功能,,然后在开始运行中输入wbadminb:在命令行提示符中输入如下命令:Wbadmin get disks 回车显示出服务器已经连接的磁盘C:在命令提示符下输入如下命令:wbadmin start systemstatebackuup -backuptarget:f:回车显示询问是否将系统从c盘备份到F盘，键入Y回车然后开始创建需要备份卷的卷影副本并搜索系统文件，备份完成后，并且创建了一个备份文件日志；d:在命令提示符下输入如下命令：wbadmin get versions回车显示备份信息2.3：恢复系统文件（命令下）a：重启系统进入目录还原模式并以本地管理员登录输入还原密码b：打开命令提示符输入如下命令：wbadmin get versions回车显示AD服务器的备份列表及需要注意每次备份中的版本标识符c：在命令提示符下输入：wbadmin start systemstaterecovery -version：05/14/2008-00:05回车输入Y开始还原3:拯救域控制器3.1.1 概述:主域控制器出现故障但管理员可以登录进去,首先将数据备份到其他硬盘并将辅助域控制器提升为主控,然后在原主控制器上运行dcpromo将其从AD中删除或者从装,再将其升级为辅助域控,最后升级为主控并恢复数据;主域控制器彻底损坏并且不能恢复,将其辅助域控提升为主控,重装原主控升级为额外域控,最后升级为主控并恢复数据.3.1.2 转移操作主机角色五种操作主机角色:RID主机角色、PDC模拟器角色、结构主机角色、域命名操作主机角色、架构主机角色；1：连接辅助域控制器（主域控可以登录）在主域控上Active Directory用户和计算机选项打开Active Directory用户个计算机并右击选择更改域控制器选项，在接下来的选择要提升为主域控的辅助域控；2：转移RID PDC模拟器角色、结构主机角色在Active Directory用户和计算机窗口中右击选择操作主机，然后以此更改RID、PDC、结构主机三个角色3：转移域命名主机角色在Active Directory域信任关系右击选择操作主机，然后更改该角色到辅助域控制器上面；4：转移架构主机角色打开命令提示符输入：ntdsutil回车进入ntdsutil然后输入如下命令：roles回车进入fsmo maintenance 输入如下命令：connections回车进入server connections命令提示符下输入如下命令连接辅助域控制器connect to server 回车在server connections 提示符下输入如下命令：quit 按回车回到fsmo maintenance在此命令提示符下输入如下命令Transfer schema master 回车及完成命令5：查看架构主机角色a:使用Active Directory架构管理单元可以查看架构主机角色的位置，默认Active Directory并没有在MMC管理单元中显示，需要注册后使用，在辅助域控制器上面在运行中输入regsvr32 schmmgmt.dll确定即可b:在开始运行中MMC然后添加Active Directory架构，待完成后右击Active Directory架构在操作主机选项所显示的更改架构主机可以看到3.1.3恢复原主域控制器将主域控制器角色转移到辅助域控上后，徐将其提升为全局编录服务器，并在原主控上dcpromo命令删除原域控，然后重装系统并升级为额外愉快最后提升为主域控制器1：升级辅助域控为全局编录服务器在Active Directory站点和服务窗口以此展开Site、Default-First-Site-Name、servers、域名，然后右击NTDS Settings选择属性然后选择全局编录复选项，3.1.4 强制转移主机角色如果网路中的主域控制器完全损坏不能恢复，将辅助域控强行升级为主控及全局编录服务器，然后重装原主控，升级为辅助域控并升级为主控；a：打开命令提示符输入：ntdsutil回车进入ntdsutil然后输入如下命令：roles回车进入fsmo maintenance 输入如下命令：connections回车进入server connections命令提示符下输入如下命令连接辅助域控制器connect to server 回车在server connections 提示符下输入如下命令：quit 按回车回到打开命令提示符输入：ntdsutil回车进入ntdsutil然后输入如下命令：roles回车进入fsmo maintenance 输入如下命令：connections回车进入server connections命令提示符下输入如下命令连接辅助域控制器connect to server 回车在server connections 提示符下输入如下命令：quit 按回车回到fsmo maintenance在此命令提示符下输入如下命令b：占用架构角色，在fsmo maintenance命令提示符下输入如下命令：Seize schema master回车显示角色占用确认对话框，提示网管管理员是否要占用架构主机角色，单击是将占用架构主机角色;c：占用RID主机角色，在fsmo maintenance在此命令提示符下输入如下命令：Seize RID master回车显示角色占用确认对话框，提示网管管理员是否要占用RID Master主机角色，单击是将占用RID Master主机角色d: 占用PDC主机角色，在fsmo maintenance在此命令提示符下输入如下命令：Seize PDC回车显示角色占用确认对话框，提示网管管理员是否要占用pdc主机角色，单击是将占用pdc主机角色e: 占用结构主机角色，在fsmo maintenance在此命令提示符下输入如下命令：Seize infrastructure master回车显示角色占用确认对话框，提示网管管理员是否要占用infrastructure master主机角色，单击是将占用infrastructure master主机角色f: 占用域命名主机角色，在fsmo maintenance在此命令提示符下输入如下命令：Seize naming master回车显示角色占用确认对话框，提示网管管理员是否要占用infrastructure master主机角色，单击是将占用naming master主机角色，以上为强制夺取五个角色步骤；3.1.1 DNS数据库及DHCP数据库备份迁移1：DNS数据库备份还原:DNS服务器默认会在system%\system32\DNS 目录下创建数据库文件，其中backup文件夹是用来备份DNS数据库的，在备份前应当通过DNS控制台停止DNS服务器，2：DHCP数据库备份即还原a:DHCP数据库默认在window\system32\dhcp文件夹中，其中dhcp.mdb 为存储数据库文件其他为辅助文件，还有一个backup文件夹用来备份dhcp数据库。

2008_域环境搭建目录第一章虚拟场景 (2)1、公司简介 (2)2、公司现有IT状况 (2)第二章实验设计 (3)1、域规划 (3)2、计算机规划 (3)第三章具体实施 (4)1、建立根域 (4)1.1准备 (4)1.2 安装 (4)2、建立子域 (13)3、额外域控制器建立 (18)4、站点的建立与连接 (25)4.1 创建站点 (25)4.2 定义站点子网 (26)4.3 定位服务器 (27)4.4 配置站点连接器 (28)5角色迁移 (28)第四章实验中的问题 (33)第一章虚拟场景1、公司简介某公司通过合理的运营和管理，发展迅速，员工人数已有200人左右，现在该公司总部设在长春，两个子公司分部在大连和沈阳，为了满足公司未来的发展和企业运营的需求，公司决定重新部署企业网络。

公司决定部署一个由200台计算机组成的局域网。

用于完成企业数据通信和资源共享。

公司内部有：人力资源部、行政部、财务部、工程部、销售部、总经理办公室2、公司现有IT状况公司已有一个局域网，运行200台计算机，服务器操作系统是windows server 2008，客户机的操作系统是windows xp，工作在工作组模式下，员工一人一机办公。

公司从ISP申请2M专线用于与各个子公司相连，实现各公司间资源交换与共享。

由于计算机比较多，管理上缺乏层次，公司希望能够利用windows域环境管理所有网络资源，提高办公效率，加强内部网络安全，规范计算机使用。

第二章实验设计1、域规划一改以往的工作组模式，组建域，使管理更方便，工作的环境更安全，用户可以在任意一台域内的计算机登录，共享网络资源。

在总公司长春建立根域内部子网172.16.18.0/24大连分部建立子域内部子网10.10.10.0/24沈阳分部建立子域内部子网192.168.80.0/242、计算机规划DC情况如下表:地区DC计算机名IP 子网掩码DNS长春Mywingc 172.16.18.51 255.255.255.0 172.16.18.51 Mywinsu 172.16.18.216 255.255.255.0 172.16.18.51大连Hanwin01 10.10.10.1 255.255.255.0 172.16.18.51 Hanwin02 10.10..10.216 255.255.255.0 172.16.18.512M沈阳Tbwin01 192.168.80.173 255.255.255.0 172.16.18.51 Shiwin02 192.168.80.215 255.255.255.0 172.16.18.51第三章具体实施1、建立根域1.1准备对于安装WINDOWS 2008 SERVER 的服务器，对硬件有如下要求：处理器最低1.0GHz x86或1.4GHz x64推荐2.0GHz或更高；安腾版则需要Itanium 2内存最低512MB 推荐2GB或更多内存最大支持32位标准版4GB、企业版和数据中心版64GB 64位标准版32GB，其他版本2TB硬盘最少10GB，推荐40GB或更多内存大于16GB的系统需要更多空间用于页面、休眠和转存储文件备注光驱要求DVD-ROM；显示器要求至少SVGA 800×600分辨率，或更高；在安装根域服务器前，首先要确定你的计算机IP地址（IPV4）为静态，DNS指向本机的IP地址（DNS安装会在下面操作中说明） IPV6 禁用1.2 安装在安装windows 2008 之后（安装过程不详细介绍），选择“开始”－“管理工具”—“服务器管理器”选项，然后选择添加角色在服务器角色中选择AD域服务（DNS不可与AD一起勾选）然后单击下一步，进入一个对AD的简介界面，单击下一步进入安装界面点击安装。

实验二 Win Server 2008网络服务配置Win Server 2008网络服务配置在企业网络环境中，服务器起着至关重要的作用，它负责处理客户端的请求，并提供各种网络服务来满足用户的需求。

Windows Server 2008是一种可靠、高效的操作系统，可以为企业提供各种网络服务。

本文将介绍Win Server 2008网络服务的配置方法，帮助您充分利用服务器的功能。

一、安装Windows Server 2008首先，您需要在服务器上安装Windows Server 2008操作系统。

确保您具备相应的安装介质，并按照提示进行安装。

安装完成后，您需要进行一些初始化设置，如设置管理员密码、命名服务器等。

二、配置网络连接在进行网络服务配置之前，首先要确保服务器正确连接到网络。

打开控制面板，选择“网络和共享中心”，然后点击“更改适配器设置”。

在这里，您可以查看服务器的网络连接情况，确保连接正常。

如果需要配置IP地址、子网掩码、默认网关等网络参数，请右键点击适配器，选择“属性”，在弹出的窗口中进行配置。

三、配置DNS服务DNS（Domain Name System）是互联网的地址翻译系统，它将域名转换为IP地址。

在Win Server 2008中配置DNS服务非常简单。

打开“服务器管理器”，选择“添加角色”，然后选择“DNS服务器”进行安装。

安装完成后，开始配置DNS服务器。

在“服务器管理器”中选择“工具”，然后点击“DNS”。

在弹出的窗口中，您可以添加和管理域名、配置缓存和转发等。

四、配置DHCP服务DHCP（Dynamic Host Configuration Protocol）可以自动为客户端分配IP地址和其他网络参数。

在Win Server 2008中配置DHCP服务同样非常简单。

打开“服务器管理器”，选择“添加角色”，然后选择“DHCP服务器”进行安装。

安装完成后，开始配置DHCP服务器。

Windows Server 2008 利用组策略来管理用户的工作环境策略设置实战演练：一、策略设置1：计算机配置由于系统默认是只有某些组（例如administrators）内的用户，才有权限在扮演域控制器角色的计算机上登录，因此一般用户在域控制器上登录时，屏幕上会出现“无法登录”的警告信息，除非他们被赋予允许在本地登录的权限。

以下假设要开放域XUBO，使Domain Users组内的用户可以在域控制器上登录，我们将通过默认的Default Domain Controllers Policy GPO来设置，也就是要让这些用户在域控制器上拥有允许在本地登录的权限。

1、到域控制器上利用系统管理员身份登录。

2、选择“开始”—“管理工具”—“组策略管理”。

3、如图1-1所示，展开到组织单位Domain Controllers，右击右边的Default DomainControllers Policy，选择“编辑”选项。

图1-14、如图1-2所示，展开“计算机配置”—“策略”—“Windows设置”—“安全设置”—“本地策略”—“用户权限分配”，双击右侧的“允许在本地登录”选项。

图1-25、如图1-3所示，单击“添加用户或组”按钮，输入或选择或xubo内的Domain Users组，单击两次“确定”。

图1-3完成后，必须等这个策略应用到组织单位Domain Controllers内的域控制器后才有效。

应用完后，就可以利用任何一个域用户到域控制器上登录，以便测试允许在本地登录功能是否正常。

二、策略设置2：用户配置以下假设域内有一个组织单位业务部，而我们要针对其内的所有用户来设置，而且限定他们必须通过企业内部的代理服务器上网。

假设代理服务器的网址为端口为8080，同时要将其浏览器Internet Explorer的“连接”t选项卡内更改Proxy设置的功能禁用，以免用户私自通过此处更改这些设置值。

由于目前并没有任何GPO被链接到组织单位业务部，因此我们先我们创建一个链接到业务部GPO，然后通过修改GPO设置值的方式来达到目的。

目录一、搭建域控制器步骤 (2)二、搭建额外域控制器步骤（可搭建多个额外域控制器） (1)三、创建计算机账号和用户账号 (16)四、将员工电脑加入域 (22)五、将员工电脑退出域 (24)六、组策略--设置员工登录域后加入本地管理员组（这样员工自己可以安装卸载软件） (28)七、组策略—员工电脑禁用可移动磁盘 (31)八、组策略—密码复杂性 (32)九、组策略—域控制器不可用时客户机仍可以继续登录 (32)十、域共享文件夹和备份到额外域控制器 (33)一、 搭建域控制器步骤FERT 公司拓扑如下所示：1. DNS 前期准备DNS 服务器对域来说是不可或缺的，一方面，域中的计算机使用DNS 域名，DNS 需要为域中的计算机提供域名解析服务；另外一个重要的原因是域中的计算机需要利用DNS 提供的SRV 记录来定位域控制器，因此我们在创建域之前需要先做好DNS 的准备工作。

那么究竟由哪台计算机来负责做DNS 服务器呢？一般工程师有两种选择，要么使用域控制器来做DNS 服务器，要么使用一台单独的DNS 服务器。

这里直接使用域控制器来做DNS 服务器。

2.设置域控制器的TCP/IP 属性IP 地址设为静态，首选DNS 设为127.0.0.13.Win 键+R 输入dcpromo ，开始域控制器的创建主域控制器（也是DNS 服务器） 额外域控制器（也用DNS 服务器）员工电脑员工电脑 员工电脑 员工电脑交换机阅读操作兼容性说明，单击下一步按钮；在“选择某一部署配置”页面中，选择“在新林中新建域”；在“命名林根域”页面输入目录林根域的FQDN名，这里命名为;在“选择林功能级别”页面中选择林功能级别；注，以下是各种级别的支持度。

在“其他域控制器选项”页面中选择“DNS服务器”；设置数据库、日志文件和SYSVOL的存储位置；这里选择默认；在“目录还原模式的Administrator密码“页中，输入密码；在“摘要“页，检查所有的选择，单击下一步；开始安装和配置活动目录服务；安装完成后单击“完成”，如下图所示，服务器需要重启；二、搭建额外域控制器步骤（可搭建多个额外域控制器）设置TCP/IP属性为静态IP地址，DNS设为第一台域控制器的IP地址。