windows_2008_域网络的组策略__实验报告

w i n d o w实验手册组策略Document serial number【NL89WT-NY98YT-NC8CB-NNUUT-NUT108】教学时间第五周2008-3-18教学课时3教案序号12-14教学目标1、掌握如何建立和管理OU2、学会在win2003中应用组策略教学过程：一、OU（组织单元）的管理1、OU的概念域是最小的管理单位，在活动目录中，域一般对应公司，而OU则对应于公司中的部门。

OU是活动目录中的容器，可以在OU中建立用户、组等其他对象，也可以在OU中建立OU。

2、建立OU及子对象（1）注意图标。

（2）建立步骤：在需要创建的空白处右击，选择“新建”——“组织单元”，在对话框内输入OU名称即可。

（3）在OU中可以放用户、组、打印机、共享文件夹、子OU等。

实验一：OU的管理1、在下中新建“教师”和“学生”两个OU，再在“教师”OU下新建“普通教师”OU。

2、“教师”OU中包括t1，t2账户，“学生”OU中包括s1，s2账户，“普通教师”OU中包括c1，c2账户。

二、组策略概述1、组策略的概念（1）组策略是一种在用户或计算机集合上强制使用一些配置的方法，使用组策略可以给同组的计算机或者用户强加一套统一的标准，包括管理模板设置、Windows设置、软件设置。

（2）组策略配置包含在一个组策略对象（GPO）中，该对象又与选定的活动目录服务容器（如站点、域、组织单元OU等）相关联，不会影响没有加入域的计算机和用户。

（3）组策略配置类型有：计算机配置和用户配置。

（4）组策略分为：本地安全策略和活动目录的组策略。

本地安全策略适用于本地用户和组，我们所讲的是活动目录的组策略，活动目录安装好以后就自动建立了两个组策略（域控制器安全策略和域安全策略）。

2、组策略的应用顺序（1）本地组策略（2）域组策略（3）域控制器组策略（4）组织单元组策略三、组策略对象的管理我们可以通过Active Directory用户和计算机建立链接到域和OU的策略，Active Directory站点和服务建立链接到站点的策略。

一、实验目的1. 了解组策略的基本概念和功能；2. 掌握组策略的配置和管理方法；3. 通过实验，学会使用组策略解决实际网络管理问题。

二、实验环境1. 操作系统：Windows Server 2012 R22. 硬件设备：服务器一台、客户端计算机若干台3. 软件环境：Active Directory域控制器、组策略管理器三、实验内容1. 创建域和域控制器；2. 配置域用户和计算机；3. 创建组策略对象；4. 编辑和配置组策略；5. 测试组策略效果。

四、实验步骤1. 创建域和域控制器（1）在服务器上安装Windows Server 2012 R2操作系统；（2）配置服务器为域控制器，选择“创建一个新域，Active Directory域的根域”；（3）输入域名，选择域控制器类型，设置管理员密码；（4）等待域控制器创建完成。

2. 配置域用户和计算机（1）在域控制器上，打开“Active Directory用户和计算机”管理工具；（2）在左侧导航树中，右键单击“Users”容器，选择“新建”；（3）输入用户名、密码、邮箱等信息，创建域用户；（4）在左侧导航树中，右键单击“Computers”容器，选择“新建”；（5）输入计算机名，选择所属组织单位，创建计算机账户。

3. 创建组策略对象（1）在域控制器上，打开“组策略管理器”；（2）在左侧导航树中，右键单击“Forest”，选择“新建域策略”；（3）输入策略名称，如“test_gpo”，选择“将此策略链接到域”；（4）等待策略创建完成。

4. 编辑和配置组策略（1）在“组策略管理器”中，展开左侧导航树，找到刚刚创建的“test_gpo”策略；（2）双击策略，进入“编辑”模式；（3）在“计算机配置”和“用户配置”中，根据需要配置策略设置，如软件安装、脚本、安全设置等；（4）保存并关闭组策略编辑器。

5. 测试组策略效果（1）在客户端计算机上，打开“组策略结果集”；（2）查看“test_gpo”策略是否生效；（3）根据需要修改策略设置，再次测试效果。

体验Windows Server 2008的组策略活动目录是Windows Server 2008的核心，而使用活动目录的目的是进行用户的统一化的管理，其中组策略是实施管理的重要手段之一。

在Windows Server 2008中组策略不仅在功能上得到了加强，而且在操作和配置上也更人性化。

现在我们可以抛开某些第三方用户行为管理软件，在Windows Server 2008的组策略里就可以轻松进行设置、限制和管理。

下面笔者通过二个案例来介绍一下Windows Server 2008组策略的强大功能吧。

案例1：给公司不同部门设置不同的密码策略我们可能会碰到过域的统一密码策略会给用户带来不便的情况，比如领导层的电脑里资料比较机密，需要设置复杂性密码防止电脑被其他人登录。

而普通办公文员就不需要设置复杂难记的密码。

以前在Windows Server 2003中是无法实现的，现在Windows Server 2008可以通过粒度化的密码策略来达到不同组使用不同密码策略的目的，这项人性化的设置可以让我们轻松解决以上问题。

下面以设置领导层的密码策略为例讲解一下具体操作过程。

第一步：把领导层的经理级别的帐号加入到Managers组里（此组必须是安全的全局组因为所创建的PSO<密码设置对象>只能应用在安全的全局组上）（如图1所示）。

第二步：提升域功能级别到Windows Server 2008（由于粒度化的密码策略只支持Windows Server 2008，因此在设置密码策略之前必须把域功能级别提升到Windows Server 2008）1.点击“开始”→“管理工具”→“服务器管理器”。

打开服务器管理器，接着依次展开“角色”→“Active Directory用户和计算机”→“”。

2.右击，然后选择“提升域功能级别”。

设置功能级别为“Windows Server 2008”，点击“提升”（如图2所示）。

域网络的搭建目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?我们现在就动手实践一下:本篇文章中所有的成员服务器均采用微软的Windows Server 2008，客户端则采用Windows7系统。

第一步首先，当然是在成员服务器上安装上Windows Server 2008，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下: 注意：网络设置使用静态ip机器名:ServerIP:192.168.0.59子网掩码:255.255.255.0默认网关:192.168.0.1DNS:192.168.0.59(因为我要把这台机器配置成DNS服务器) dns的安装就不做介绍了第二步安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”在这里直接点击“下一步”: 这里是一个兼容性的要求，选择windows2008及以上的操作系统来做为客户端。

然后点击“下一步”: 在这里由于这是第一台域控制器，所以选择第一项:“新域的域控制器”，然后点“下一步”:既然是第一台域控，那么当然也是选择“在新林中的域”: 在这里我们要指定一个域名，我在这里指定的是，这里是指定NetBIOS名，注意千万别和下面的客户端冲突，也就是说整个网络里不能再有一台PC的计算机名叫“FM”，虽然这里可以修改，但个人建议还是采用默认的好，省得以后麻烦。

在这里要指定AD数据库和日志的存放位置，如果不是C盘的空间有问题的话，建议采用默认。

这里是指定SYSVOL文件夹的位置，还是那句话，没有特殊情况，不建议修改:第一次部署时总会出现上面那个DNS注册诊断出错的画面，主要是因为虽然安装了DNS，但由于并没有配置它，网络上还没有可用的DNS服务器，所以才会出现响应超时的现像，所以在这里要选择:“在这台计算机上安装并配置DNS，并将这台DNS服务器设为这台计算机的首选DNS服务器”。

实训一安装域控制器，配置主DNS一、知识点：1、域的功能作用及安装条件2、DNS的作用二、动手实验实验目的：利用windows server 2008搭建域环境，熟悉域控制器的安装，并学会如何配置DNS，搭建域环境，并体会域控制器在整个服务器群中的作用。

实验内容：1、部署环境2、安装域控制器，配置网络的主DNS。

3、将成员机加入域中。

实验要求：1、根据拓扑结构图，完成实训内容，并做成实验报告。

实验步骤：1、部署环境设置IP和DNS服务器地址根据拓扑图要求，将主域控制器的名称改为“PDC”2、安装域控制器，配置网络的主DNS。

在“PDC”主机上安装域控制器，域名：开始—运行---输入” dcpromo”确定，突出如下框，等待进度的完成。

接着会弹出“AD域服务安装向导”下一步，勾选“在新林中新建域”下一步，去年要求命名林根域“”。

下一步，按要求设置林功能级别：windows server 2008下一步，按要求勾选其他域控制器选项：“DNS服务器“下一步，设置“数据库，日志文件和SYSVOL的位置”（默认C盘）。

下一步，设置还原模式的密码。

下一步，等待DNS安装完成，并重启。

2、将其他主机加入到域中这里以BDC加入域为例：配置网络，修改IP：192.168.100.3；默认网关：192.168.100.1；首选DNS服务器：192.168.100.2。

网络配置完，ping下主机，查看网络是否可用。

按要求更改计算机名：BDC，并输入域：确定，已完成加入域。

在弹出欢迎对话框时，就说明完成加入域的操作。

接着按如上步骤依次把如下成员机加入主域：计算机名为：FD IP：192.168.100.4计算机名为：WF IP：192.168.100.5计算机名为：EXD IP：192.168.100.6总结通过这次实验，使我明白了在域控制器上，每一个成员计算机都有一个计算机账号，每一个域用户有一个域用户账号。

域管理员可以在域控制器上实现对域用户账号和计算机账号以及其他资源的管理。

Windows2008R2的DNS子域和委派实验（actis原创）一、DNS子域实验（使用两个虚拟机就可以了）用两个虚拟机Win2008R2-1作为DNS服务器（192.168.1.100）计算机名dns1Win2008R2-2作为DNS客户机（192.168.1.200）计算机名client先在Win2008R2-1服务器上操作1、创建域和子域在区域上右击，选择“新建域”在【请键入新的DNS域名】中输入：beijing2、在子域中创建资源记录在子域beijing上右击，选择“新建主机”在对话框中输入主机记录的名称和IP地址，如下图这样，一个子域就创建好了，如下图所示在客户端上测试子域实验成功！二、委派实验试验环境如下使用三个虚拟机：dns1, 192.168.1.100dns2, 192.168.1.101client,192.168.1.200上图的【首选DNS服务器】一栏将作变换测试。

1、新建委派首先在上面的基础上，在区域上点右键，选择“新建委派”单击【下一步】指定委派的DNS名称服务器：单击【添加】指定受委派的服务器，然后单击【确定】注意：如果没有建好dns2的区域，解析不会成功。

确定即可。

单击【下一步】在所委派出去的区域中只有一条NS记录，如下图所示：2、在被委派DNS服务器（即：dns2)上创建区域与dns1相类似，在【正向查找区域】上右击，选择“新建区域”单击【下一步】区域类型：选择【主要区域】单击下一步区域名称：输入域名，单击下一步选择默认，单击【下一步】...最后如下：3、新建主机资源记录在区域上右击，选择“新建主机”记录内容如下在客户机上测试一下先用ipconfig /flushdns进行清空，再pingDNS指向DNS服务器时（指向192.168.1.100）ping 当DNS指向被委派的DNS服务器时（192.168.1.101）又成功了!另外注意一点：如果客户端的DNS设置指向192.168.1.100ping 能成功。

实验一搭建Windows Server 2008域结构网络一实验目的1、组建一个最小的计算机网络实验环境，即有两个独立的操作系统且这两个操作系统可以通过以太网进行通信。

2、学习Windows Server 2008 中Active Directory 的安装方法。

3、掌握域、域树、域林的构建方法。

二实验环境需要搭建的网络拓扑结构类似下图。

图1 基于Windows Server 2008域结构的网络拓扑图具体要求如下：1、在单个计算机中构建虚拟网络实验环境、基于C/S或B/S结构的软件调试环境，完成软件安装环境的构建。

2、利用VMware软件虚拟出一台计算机（称为“虚拟机”或“虚拟系统”），作为目标机。

建议安装方式：在XP系统中，安装虚拟的Windows Server 2008系统，以后实验一般都在虚拟系统中完成。

要求物理机与虚拟机IP地址对应起来（即第1台虚拟机主机地址=物理机主机地址+100，第2台虚拟机主机地址=物理机主机地址+200），方便管理。

3、操作系统：Windows Server 2008；2~3 台计算机组成一个合作小组，可以通过网上邻居互相访问。

在以下的实例中以两台计算机为例构建不同的域结构。

三实验内容1、Windows Server 2008安装与配置体会虚拟系统的优点。

通过实验掌握在VMware中安装虚拟系统的操作方法，通过操作学会设置、管理、迁移虚拟系统。

（1）安装虚拟机系统：使用的软件版本号为VMware Workstation-v7，运行安装程序，一般只需按照默认选项设置即可。

（2）安装虚拟计算机系统安装完虚拟机系统以后，就象组装了一台计算机，该计算机必须安装操作系统才能使用。

首次安装选择窗口“Home”◊“New Virtual Machine”，安装过程中根据向导提示进行。

完成后即可在VMware主界面中出现Windows Server 2008的引导选项卡。

（3）安装操作系统选中并启动（“Start this Virtual Machine”）Windows 2008系统，此时虚拟机窗口中显示的进程与实际计算机安装时的进程完全一致，放入操作系统安装光盘，按提示完成安装。