Windows Server 2003域控制器基本配置
Windows Server 2003AD域控制器搭建与软件派发
“我的电脑”里打开的话,那么组织单元的应用对象将
同样在本机的“我的电脑”中查找,而不到存放程序包 的文件夹中去运行安装文件了。因此正确的路径方式应 使用本地计算机的 UNC 路径,即 \\服务器名\共享名\路
径\文件名.msi
4.2 发布发布
3) 发布软件
4.2 发布发布
3) 发布软件
与设置用户登录脚本类似,打开“组策略编辑器”,在“用户配置”下选择 “软件安装”,在该项上右击,选择“新建”/“程序包”,在出现的“打开” 文件对话框左侧选择“网上邻居”,然后从网络上找到自己存放安装程序的 共享文件夹,打开其中的MSI文件。
PS:从网上邻居打开安装程序包,是为了保证网络里
PS:关于Winstall的使用方法可到网上查找 /ly676830315@126/blog/static/1017337222012715519532/
4.2 发布发布
2) 建立共享文件夹
在服务器上新建一个共享文件夹,如share,也可以使用域控制器默认的 sysvol文件夹,从安全的角度考虑,可将共享文件夹的权限设置为“读取”。 将封装好的MSI程序包放入共享文件夹内。
4.2 发布发布
通过设置用户登录脚本发布的软件在用户每次登录时都会安装,这是我们 不希望的,尤其是对于那些有安装向导的软件,那么有没有更好的方法让 用户在登录时就自动安装了,而用户自己察觉不到呢?
1) 软件封装 使用域控制器的软件发布功能,对软件是有一定要求的,对于那些exe等格 式的安装包是无法发布的,必须将软件打包成MSI程序包。 制作MSI程序包的软件很多,但不是随便哪一种都可以,最好采用微软的 WinSTALL,通过两次获取系统的快照,进行对比,制作MSI格式的软件包。
WindowsServer2003的基本配置
133 MHz
推荐 CPU 速度 最小 RAM 推荐最小 RAM 最大 RAM
550 MHz 128 MB 256 MB 4 GB
733 MHz 128 MB 256 MB 基 于 x86 的 计 算 机 为 32 GB 基于 Itanium 的计算机 为64 GB
550 MHz 128 MB 256 MB 2 GB
第2页
教学重点
Windows Server 2003的安装过程 Windows Server 2003的基本配置
2019/2/23
第3页
教学过程
Windows Server 2003的安装过程 配置“系统属性” 设置“文件夹选项” 配置“电源选项”
2019/2/23
第4页
1.1 Windows Server 2003安装
2019/2/23
第14页
“启动和故障恢复”选项的配置
“系统启动”的设置 系统故障恢复选项的设置
2019/2/23
第15页
“系统环境变量”的配置
系统环境变量是操作系统或运行的应用程 序所使用的数据,通过环境变量可以使操 作系统或运行中的应用程序比较容易在常 用的位置查找关于它们运行的平台的重要 信息。
第8页
2019/2/23
预安装:启动安装程序
Windows环境中,通过安装光盘或网络运 行安装程序 通过安装光盘或启动盘引导安装程序 升级安装和全新安装的比较
2019/2/23
第9页
基于文本的安装阶段
安装新系统或修复旧系统 文件系统的转换 操作磁盘分区 在基于文本的安装阶段,如果用户对前面的 选择感到不满意,可以在任何时候按F3键 退出安装。
Windows Server 2003 活动目录和域控制器的配置与管理
六 Windows Server 2003活动目录实验要求:1、在虚拟机中安装操作系统时,你要设想你是在服务器上安装操作系统,设想你自己是网络管理员。
注意保证网络连通。
虚拟硬盘为25G。
2、五个人一组,五个人要相互分工合作。
全班可以分为X组,第一组的IP范围为121.87.1.100-121.87.1.200,第X组的IP范围为121.87.X.100-121.87.X.200。
参考书本图7-1为我们学院建立一个域树,林根域是,该域的默认的管理员帐户administrator改为admin_xcvtc1,密码设置为ABC123456789def (第一组在xcvtc后面加一个1,第二组加个2……) 。
3、域下面有两个子域: 一个是系部的,你可以任意选择一个系部,如选择信息工程系则其子域完整域名为,默认的管理员账户administrator改为admin_xxgcx;另一个是行政部分(),默认的管理员账户administrator改为admin_xz。
密码均可自行设置或者为空白。
4、系部有两个组织单位,“领导办公室”(ldb)和“教研室”(jys),在“领导办公室”组织单位中创建XLD用户,密码自行设置;行政部分有“教务处”(jwc)和“人事处”(rsc)两个组织单位,在“教务处”组织单位中创建JWC用户。
并将“领导办公室”组织单位的创建用户和组的权限委派给XLD用户,将“教务处”组织单位的修改组名的权限委派给JWC 用户。
5、在林根域中添加用户主体后缀名称。
6、你们一组中除了三个域控制器外还有几台计算机(可以称为客户端)。
“领导办公室”(ldb)和“人事处”(rsc)两个组织单位中分别创建ldb(对应其中一个客户端)和rsc 两个计算机帐户(对应另外一台客户端)。
7、将你们一组中除了三台域控制器外的两台计算机加入到与相应的域中(要求在客户端上进行设置,一台客户端的计算机名称改为ldb,其隶属于系部的子域。
第二章 Windows Server 2003安装和配置
二、配置TCP/IP
1.磁盘管理方式 Windows Server 2003中对磁盘的管理可以分为基本 磁盘和动态磁盘两种管理方式。动态磁盘与基本磁盘 相比,具有更加灵活的管理和使用特性。可以在动态 磁盘上实现数据的容错、高速的读写操作、相对随意 的修改卷大小等操作,而这些特性是基本磁盘所不具 备的。
练习:
1.配置自己的第1台服务器
2.配置服务器的TCP/IP
小结: 作业:
配置TCP/IP的步骤如下: ⑴ 单击“开始”→“控制面板”→“网络连 接”→“本地连接”→“属性”,打开“本地连接 属性” 对话框。 ⑵ 选择“Internet协议(TCP/IP)”,单击“属性”按 钮,打开“Internet 协议(TCP/IP)属性”对话框。 ⑶ 选中“使用下面的IP地址”选项,分别输入为该服 务器配置的IP地址、子网掩码和默认网关,并指定DNS 服务器的地址。 ⑷ 单击“确定”按钮。
⑶ 单击“下一步”按钮,开始检测系统配置,然后出 现 “配置选项”窗口。 ⑷ 如果选择“自定义配置”选项,单击“下一步”按钮, 出现“服务器角色”窗口。在列表框中列出所有可安装的 服务器角色。如果某项网络服务已安装,则在“已配置” 栏显示“是”,否则显示“否”。 ⑸ 选择要安装的服务后,单击“下一步”按钮,根据向 导的提示进行安装。
教学目标
1.掌握安装网络服务的方法
2.掌握配置TCP/IP协议的方法 3.了解MMC控制台
教学重点P/IP协议
一、Windows Server 2003网络服务
Windows Server 2003安装后,只是提供用户登录到独立 的网络服务器,而没有安装任何网络服务。因此,还必须 添加相应的网络服务。 1.添加网络服务 添加网络服务可以通过“管理您的服务器”窗口和“添 加/删除Windows组件”来实现。 • 利用“管理您的服务器” ⑴ 单击“开始”→“管理工具”→“管理您的服务器”, 打开 “管理您的服务器”窗口。 ⑵ 单击“添加服务器角色”超链接,出现 “配置您的服 务器”向导。
域控制器的安装和初步设置(2003Server)
既然要写一个完整的教程就从什么都没有的时候写起吧!一、安装windows 2003 Server的操作系统。
最好使用 Enterprise企业版的,现在应该是sp2的版本了,而且一定要带R2。
带有许多非常不错的功能哦。
为了保证域控制器的稳定,强烈建议安装原版,优化的会给你带来许多莫名其妙的问题。
安装开始后,最初屏幕会提示按F6键以便安装第三方的SCSI或RAID驱动,如果你的磁盘认不出来,就需要在这个阶段进行安装。
截图如下:全新安装需要给磁盘分区,建议这分出C区即可,别的可以装完系统后再做,这样比较快。
注意无论怎么分,系统都会在最后自动留出8M空间,这是必须的(好在现在空间不值钱,呵呵)。
截图如下:磁盘格式务必使用NTFS,别和我提FAT,不是一个级别的东西,啥啥都不支持。
截图如下:服务器连接数的默认设置是5,注意这里的连接指的是并发连接,设大一点没关系,微软不找你的麻烦就行了。
截图如下:计算机的名称建议采用微软推荐的命名方式:**-***。
连接线前面可以是单位或部门的缩写,后面是具体机器名的缩写。
当设备日益增多时,这种命名方式会给你带来非常多的便利。
截图如下:典型网络设置是自动从DHCP服务器获取的。
因为服务器的IP地址不应该是动态分配的(呵呵,领导找不到,乐就大了),所以这里要选择自定义设置,截图如下:选择Internet协议TCP/IP这一项的属性。
注意,因为这台机器要作为第一个域控制器,这里的DNS要设置为本机的IP地址或是127.0.0.1 ,网关我就不写了,但你的要设置正确,不然DNS的递归测试会失败。
至于访问外网的事不用担心。
后面就会讲到。
截图如下:接下来的界面会询问你加入工作组(默认),还是加入域。
因为正在安装的就是第一台域控制器,所以这时还没有域可以加入,直接点击下一步。
截图如下:这之后就应该很顺利的安装完成并自动重启了。
你会看到windows 2003的登录界面。
输入用户名administrator以及安装时设定的密码,进入系统。
Windows Server 2003服务器配置
Windows Server 2003服务器配置一、DNS服务器的安装与配置实训目的1.掌握DNS服务器的相关配置。
2.完成DNS客户端的域名解析设置。
3.完成DNS服务的验证。
实训设备与环境一台Windows 2003 Server 域控制器,一台Windows xp Professional客户机。
两台机器按如图1所示,完成相关的设置。
图1 DNS服务配置实例图有图有真相实训内容1.DNS服务器的安装2.DNS客户端设置3.DNS服务器的配置与管理实训步骤1.如果在安装域控制器时,已经选择安装DNS服务器,则不需要再进行二次安装,如果原来没有DNS服务器;也可以单独安装DNS。
主要包括以下步骤:(1)选择一台已经安装好Windows 2003的服务器(名称为),确认其已安装了TCP/IP协议,先设置服务器自己TCP/IP协议的属性。
(2)运行【开始】/【设置】/【网络和拨号连接】,鼠标右键单击【本地连接】,选择【属性】/【Internet协议(TCP/IP)】/【属性】,设置IP地址为192.168.100.1,子网掩码为255.255.255.0,DNS服务器地址为192.168.100.1。
(3)运行【控制面板】中的【添加/删除程序】选项,选择【添加/删除Windows组件】。
(4)选择【网络服务】复选框,并单击【详细信息】按钮。
(5)在【网络服务】对话框中,选择【域名系统(DNS)】,单击【确定】按钮,系统开始自动安装相应服务程序。
除组件添加方式也可以采用网络服务管理器.......实现添加DNS。
2.完成DNS客户端设置。
(1)选择一台装有Windows xp Professional的客户机(名称为work),确认其已安装了TCP/IP协议,设置TCP/IP协议的属性。
(2)运行【开始】/【设置】/【网络和拨号连接】,鼠标右键单击【本地连接】,选择【属性】/【Internet协议(TCP/IP)】/【属性】,设置IP地址为192.168.100.2,子网掩码为255.255.255.0,DNS服务器地址为192.168.100.1。
win2003主备域控制器配置方法
win2003主备域控制器配置方法假设有2台SERVER,要将两台SERVER做成主备域控制器。
假设SERVER1为DC1,SERVER2为DC2,步骤如下: 1.在DC1上按正常方法安装一个新的域控制器同时安装DNS服务; 2.完成DC1域控制器安装后,在域中增加一个用户,并将该用户隶属于DOMAIN ADMINS和ENTERPISE ADMINS两组; 3.将DC2的主DNS地址写成DC1的IP地址; 4.用DCPROMO /ADV 命令在DC2上安装额外的域控制器,当提示输入用户时输入步骤2中设置的用户和密码; 5.完成安装后重启,重启后安装DNS服务; 6.安装完成DNS后不用做任何操作,稍等片刻后,系统会自动将主备域控制器的域名加入到正向解析列表中; 7.将主备域控制器的主用DNS都写成本机IP地址,备用DNS写成对方的IP地址。
8.将域用户的主备DNS写成DC1、DC2的地址;这样就实现了域控制器的双机热备,其中任何一台机器出现问题都不会影响整个域。
(MICROSOFT在NT4.0中有主备域控制器的概念,在WIN2000和WIN2003中已无主备域控制器这一概念,取而代之的为“额外域控制器”)设有2台SERVER,要将两台SERVER做成主备域控制器。
假设SERVER1为DC1,SERVER2为DC2,步骤如下: 1.在DC1上按正常方法安装一个新的域控制器同时安装DNS服务dcpromo; 2.完成DC1域控制器安装后,在域中增加一个用户,并将该用户隶属于DOMAIN ADMINS和ENTERPISE ADMINS两组; 3.将DC2的主DNS地址写成DC1的IP地址; 4.用DCPROMO /ADV 命令在DC2上安装额外的域控制器,当提示输入用户时输入步骤2中设置的用户和密码; 5.完成安装后重启,重启后安装DNS服务;【添加网络服务/域名系统dns】或配置服务器系统添加dns服务 6.安装完成DNS后不用做任何操作,稍等片刻后,系统会自动将主备域控制器的域名加入到正向解析列表中; 7.将主备域控制器的主用DNS都写成本机IP地址,备用DNS写成对方的IP地址。
Windows2003Server安全配置完整篇(3)服务器教程-电脑资料
Windows2003Server安全配置完整篇(3)服务器教程-电脑资料四、磁盘权限设置C盘只给administrators和system权限,其他的权限不给,其他的盘也可以这样设置,这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了,。
Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行。
以前有朋友单独设置Instsrv和temp等目录权限,其实没有这个必要的。
另外在c:/Documents and Settings/这里相当重要,后面的目录里的权限根本不会继承从前的设置,如果仅仅只是设置了C盘给administrators权限,而在All Users/Application Data目录下会出现everyone用户有完全控制权限,这样入侵这可以跳转到这个目录,写入脚本或只文件,再结合其他漏洞来提升权限;譬如利用serv-u的本地溢出提升权限,或系统遗漏有补丁,数据库的弱点,甚至社会工程学等等N多方法,从前不是有牛人发飑说:"只要给我一个webshell,我就能拿到system",这也的确是有可能的。
在用做web/ftp服务器的系统里,建议是将这些目录都设置的锁死。
其他每个盘的目录都按照这样设置,每个盘都只给adinistrators权限。
另外,还将:net.exe NET命令cmd.exetftp.exenetstat.exeregedit.exeat.exeattrib.execacls.exe ACL用户组权限设置,此命令可以在NTFS下设置任何文件夹的任何权限!format.exe大家都知道ASP木马吧,有个CMD运行这个的,这些如果都可以在CMD下运行..55,,估计别的没啥,format下估计就哭料~~~(:这些文件都设置只允许administrator访问。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Page 4/37
安装活动目录 启动安装向导
使用管理您的服务器向导 使用命令DCPROMO
Page 5/37
安装活动目录2-2
还原模式密码 DNS 域兼容性 是否创建新域 新域的 数据库和日志文件文件夹 注册诊断 NetBIOS DNS 全名名 共享的系统卷
Page 6/37
将客户端计算机加入域
步骤:
1)单击【开始】|【程序】|【管理工具】|【本地安全策略】, 展开【本地策略】|【用户权限分配】 2)双击“允许在本地登录”,删除“Power Users”和“Users” 3)在【开始】|【运行】中,输入“gpupdate”刷新本计算机的 本地安全策略(或者重启计算机) 4)退出系统,使用普通账户登录,检验能否登录
Page 18/30
修改活动目录还原模式密码
cmd ->ntdsutil ->set dsrm password ->reset password on server 这台DC主机 名 ->输入新密码
Page 19/30
Windows Server 2003域控制器基本配置
配置WINDOWS域策略
Page 17/30
授权还原1-2
5)restore subtree “ou=sales,dc=benet,dc=com,dc=cn”
(还原一个OU) restore subtree “cn=mike,ou=sales,dc=benet,dc=com,dc=cn” (还原一个用户帐户)
6)退出ntdsutil,重启DC
指派软件(计算机)——只在一机上生效,当用户重 启后,在登录过程中就开始安装指派的软件,然后就 可以直接使用了。 指派软件(用户)——只在一机上生效,当用户注销 后,在开始菜单中有指派的软件,第一次是要安装, 以后就可以直接使用了。
Page 28/32
谢 谢!
Page 9/37
组织单位(OU)管理
OU的设计方式 基于部门的OU 基于地理位置的OU 基于对象类型的OU OU 的设计也可以是混合的
Page 10/37
在OU之间移动域用户账户 移动用户帐户
例如某个员工 调换了部门
OU 1
域
OU2
Page 11/37
Windows Server 2003域控制器基本配置
备份活动目录数据库
使用备份工具备份DC的系统状态数据
运行ntbackup备份System State
DC的系统状态数据
注册表(Registry) COM+类注册数据库(COM+ Class Registration Database) 启动文件(Boot Files) 活动目录(Active Directory) 系统卷(SYSVOL)
云计算技术
Windows Server 2003域控制器基本配置
创建WINDOWS域环境
域的概念
域
将网络中多台计算机逻辑上组织到一起,进行集中管理, 这种区别于工作组的逻辑环境叫做域 域是组织与存储资源的核心管理单元
活动目录提供了存储网络上对象信息并使网络用户 使用该数据的方法 活动目录有以下特点
Page 15/30
非授权还原2-2
执行非授权还原步骤
1)重启DC,在显示启动菜单时按F8键 2)选择【目录服务还原模式】 3)在登录提示符处,输入账户administrator,输入 还原密码,进入系统 4)使用备份工具还原系统状态数据 5)重启DC
Page 16/30
授权还原1-1
Page 14/30
非授权还原2-1
活动目录数据库还原
非授权还原 授权还原
非授权还原:恢复活动目录到它备份时的状态 执行非授权还原后
如果域中只有一个域控制器,在备份之后的任何修改 都将丢失 如果域中有多个域控制器,则恢复已有的备份并从其 他域控制器复制活动目录对象的当前状态
指派, 程序在【开始】菜单中 发布, 程序显示在【控制面板】|【添加/删除程序 】中
Page 27/32
指派与发布的区别
利用组策略实现分发软件(2)
发布软件(用户)——只在一机上生效,当用户注销 后,在“添加/删除程序”中的“添加程序”里,可发 现可安装的发布的软件,然后安装就可以直接使用了 。
Page 23/30
本地策略3-1
审核策略
是否在安全日志中 记录登录用户的操 作事件
用户权限分配
如关闭系统 更该系统时间 拒绝本地登录 允许在本地登录
安全选项
控制一些和操作系 统安全相关的设置
Page 24/30
本地策略3-2
用户权限分配举例
作为服务器的计算机不能让普通用户交互式登录(在本地登录)
账户锁定策略
账户锁定阈值 账户锁定时间 复位账户锁定计数器
Page 22/30
账户策略2-2
帐户策略举例
在独立的计算机上要让账户的密码长度最小为8,账户如果连续3次输错 密码就会被锁定
步骤
1)单击【开始】|【程序】|【管理工具】|【本地安全策略】,展开【 账户策略】|【密码策略】 2)双击“密码长度最小值”,输入“8” 3)在【账户锁定策略】中,双击“账户锁定阈值”,输入“3” 4)在【开始】|【运行】中,输入“gpupdate”刷新本计算机的本地安 全策略(或者重启计算机) 5)更改管理员账户administrator密码,检验能否将密码修改成小于8位 长度的密码 6)退出系统,使用普通账户登录,故意输错密码3次,该账户就会被锁 定
Authoritative Restore 授权还原:恢复活动目录的特定对象 执行授权还原的步骤
1)重启DC,进入【目录服务还原模式】 2)使用备份工具恢复活动目录到原始位置 3)打开命令提示符,键入ntdsutil 4)键入“authoritative restore”
安全策略
域控制器上的安全策略分为本地、域、组策略 安全策略影响本计算机的安全设置 安全策略主要包含
帐户策略 本地策略 组策略打开方式: Gpedit.msc OU(组织单位)属性 组策略标签新建
Page 21/30
账户策略2-1
密码策略
密码必须符合复杂性要求 密码长度最小值 密码最长使用期限 密码最短使用期限 强制密码历史 用可还原的加密来存储密码
步骤
配置客户机的首 选DNS服务器 将计算机加入域
Page 7/37
创建域用户账户
输入用户的基本信息和登录名称 用户密码 用户在下次登录时必须更改密码 用户不能更改密码 密码永不过期 帐户已禁用
Page 8/37
配置域用户账户的属性
用户登录名 用户登录名( Windows 2000以前版 本)在域中必须惟一 最长20字符 登录时间 限制用户登录到域的 时间 可以登录的计算机 定义了账户可以登录 的计算机列表
Page 25/30
利用组策略实现软件设置
分发软件 修复软件 删除软件 升级软件
Page 26/32
利用组策略实现分发软件(1)
分发软件的步骤
1)获取Windows安装程序包文件;该软件包包含一 个.msi文件以及必要的相关安装文件 2)将软件安装文件放到一个软件分发点(共享文件 夹共享此文件) 3)创建或修改现有的OU的组策略
集中管理 便捷的网络资源访问 • 用户一次登录就可访问整个网络资源 • 网络资源主要包含用户帐户、组、共享文件夹、打印机 等 可扩展性
Page 3/37
域控制器(DC)的条件
安装者必须具有本地管理员权限 操作系统版本必须满足条件(Windows Server 2003除Web版外都满足) 本地磁盘至少有一个分区是NTFS文件系统 有TCP/IP设置(IP地址、子网掩码等) 有相应的DNS服务器支持 有足够的可用空间
维护WINDOWS域活动目录数据库
活动目录数据库维护
案例:
某公司的域有两个DC 为了应对活动目录受到误操作后能及时还原到正常状 态,需要制定备份和还原活动目录数据库的计划 网管员在采用该计划之前需要测试其正确性
备份活动目录数据库 非授权还原 授权还原
Page 13/30