網(wǎng)絡操作系統(tǒng)配置與管理實訓教程-第2章

第2章資源規(guī)劃與建設(shè)第2章資源規(guī)劃與建設(shè)2.1資源規(guī)劃分析2.2資源規(guī)劃與建設(shè)2.1資源規(guī)劃分析問題描述問題分析問題描述南方某電子信息集團有限公司現(xiàn)行政管理部門、技術(shù)研發(fā)部、產(chǎn)品生產(chǎn)部、售后服務部、產(chǎn)品銷售部、培訓部、信息中心七大區(qū)域。要求對其進行域管理。問題分析建立域、域控制器及輔助域控制器：如域結(jié)構(gòu)如圖所示，域結(jié)構(gòu)中共設(shè)立和兩個域，其中域下按部門分設(shè)七個子域。建立域間信任、樹根信任。熟悉域間信任的類型及功能，建立與之間的樹根信任。問題分析域用戶及組管理。域管理員利用“ActiveDirectory用戶和計算機”控制臺建立并管理組織單位、站點及用戶賬戶。當用戶利用域用戶賬戶登錄域后，便可以直接連接域內(nèi)的所有計算機，訪問共享資源。站點及ActiveDirectory復制管理。站點是實現(xiàn)ActiveDirectory復制的邏輯結(jié)構(gòu)，其由一個或數(shù)個IP子網(wǎng)組成，通過高速且可靠的鏈路串接起來，實現(xiàn)有效的ActiveDirectory數(shù)據(jù)庫復制，建立ActiveDirectory數(shù)據(jù)的冗余存儲，保證了ActiveDirectory數(shù)據(jù)的安全，提高了用戶登錄的速度。ActiveDirectory數(shù)據(jù)庫備份管理。ActiveDirectory數(shù)據(jù)庫是“系統(tǒng)狀態(tài)”的一部分，設(shè)置定期備份，在災難性事件發(fā)生的時候，即時恢復ActiveDirectory的運行。2.2資源規(guī)劃與建設(shè)2.2.1活動目錄搭建2.2.2活動目錄用戶與組管理2.2.3活動目錄組策略管理2.2.4備份ActiveDirectory數(shù)據(jù)庫2.2.5ActiveDirectory的復制2.2.1活動目錄的搭建問題描述問題分析問題描述根據(jù)該公司資源規(guī)劃的分析，需要建立和兩個域，在下面根據(jù)所示建立七個部門的子域，各部門的用戶能加入到自己部門所在的域。問題分析從域結(jié)構(gòu)中分析得出本項目中有如下的域及子域：，，，，，，，，。建立域的過程就是將安裝好的獨立服務器或成員服務器上安裝活動目錄，并將其升級為域控制器的過程。建立子域的過程就是升級為子域控制器的過程。為提高用戶登錄的效率并達到提供容錯的功能，在域內(nèi)設(shè)置多臺域控制器同時分擔審核用戶名與密碼的工作，即使其中一臺域控制器出現(xiàn)故障，仍然可以由其他域控制器來提供服務，保證客戶端能正常登錄。問題分析任務單

1創(chuàng)建域控制器2創(chuàng)建子域控制器3創(chuàng)建域控制器4建立域輔助控制器5將客戶端計算機加入到域任務一：創(chuàng)建域控制器為配置域控制器安裝一臺獨立服務器或成員服務器（WindowsServer2003），配置IP地址為0，DNS服務器的地址，即公司自建的DNS服務器。任務一：創(chuàng)建域控制器利用活動目錄安裝向?qū)г谛铝种薪⒂颉啊?。任務一：?chuàng)建域控制器權(quán)限用來限制對活動目錄的訪問，即限制對域信息的讀取。選中“只與Windows2000或WindowsServer2003操作系統(tǒng)兼容的權(quán)限”單選按鈕。任務一：創(chuàng)建域控制器安裝向?qū)ч_始安裝和配置活動目錄。任務一：創(chuàng)建域控制器完成安裝，重啟計算機。任務二：創(chuàng)建子域控制器利用活動目錄安裝向?qū)Ыⅰ靶掠蛑械淖佑蚩刂破鳌?。任務二：?chuàng)建子域控制器單擊“下一步”按鈕，打開如所示“子域安裝”對話框，輸入父域、子域名稱。任務二：創(chuàng)建子域控制器權(quán)限選擇“只與Windows2000或WindowsServer2003操作系統(tǒng)兼容的權(quán)限”。任務二：創(chuàng)建子域控制器安裝過程。任務二：創(chuàng)建子域控制器完成安裝，重啟計算機。任務三：創(chuàng)建域控制器為配置域控制器安裝一臺獨立服務器或成員服務器（WindowsServer2003），配置IP地址為0，DNS服務器的地址，即公司自建的DNS服務器（見1.2.1DNS服務），如圖所示。任務三：創(chuàng)建域控制器利用ActiveDirectory安裝向?qū)?，在現(xiàn)有林中新建具有2003權(quán)限的域。任務三：創(chuàng)建域控制器安裝向?qū)ч_始安裝和配置活動目錄。任務三：創(chuàng)建域控制器單擊“完成”按鈕，重新啟動計算機，完成操作。任務四：建立輔助域控制器為配置輔助域控制器安裝一臺獨立服務器或成員服務器（WindowsServer2003），配置IP地址為7，DNS服務器的地址，即公司自建的DNS服務器（見1.2.1DNS服務）。任務四：建立輔助域控制器利用“活動目錄安裝向?qū)А?，新建的額外域控制器。任務四：建立輔助域控制器安裝向?qū)ч_始安裝和配置活動目錄。任務四：建立輔助域控制器完成安裝，重啟計算機。任務五：將客戶端計算機加入到域

啟動要加入到域的計算機，配置本地連接的TCP/IP參數(shù)，設(shè)定DNS為。在要加入到域的計算機上，右擊“我的電腦”選擇“屬性”命令，打開“系統(tǒng)屬性”對話框，選擇“計算機名”選項卡，如圖所示。任務五：將客戶端計算機加入到域在該選項卡中單擊“更改”按鈕打開如圖所示“計算機名稱更改”對話框。任務五：將客戶端計算機加入到域在域文本框中輸入“”，單擊“確定”按鈕，打開“計算機名稱更改”對話框，輸入隸屬于域內(nèi)EnterpriseAdmins組成員用戶名及密碼，如圖所示。任務五：將客戶端計算機加入到域單擊“確定”按鈕，彈出如圖所示“歡迎加入域”的提示信息。單擊“確定”按鈕，重新啟動計算機，完成操作。說明：一旦一臺計算機加入到域后，域管理員自動加入到這臺計算機的本地管理員組。2.2.2活動目錄用戶與組管理問題描述問題分析問題描述在安裝完成活動目錄，建立域后，將客戶端計算機加入域，客戶端計算機登錄域時使用的用戶需要進行有效規(guī)劃、管理。問題分析公司共分為行政管理部門、技術(shù)研發(fā)部、產(chǎn)品生產(chǎn)部、售后服務部、產(chǎn)品銷售部、培訓部、信息中心七個部門，分別建立與部門名同名的組織單位，并建立相應的全局組及用戶，如表2.1所示。最后，在產(chǎn)品生產(chǎn)部發(fā)布位于\\SoftServer\soft下名稱為“軟件”的共享文件夾，為了方便域用戶查找資源，設(shè)置關(guān)鍵字為“軟件”。問題分析任務單1建立組織單位2.建立用戶3.將用戶添加到組4發(fā)布共享文件夾任務一：建立組織單位部門OU全局組隸屬用戶行政管理部行政管理部xzglZhangJun（科長）

Zhangyue（科員）技術(shù)研發(fā)部技術(shù)研發(fā)部jsyfLinKai（總科長）

Wuyun（科員）產(chǎn)品生產(chǎn)部產(chǎn)品生產(chǎn)部cpscLiXue（科長）

Zhujie（科員）售后服務部售后服務部shfwRenHuaMing（科長）

Xiatian（科員）用戶和組列表

任務一：建立組織單位打開“ActiveDirectory用戶和計算機”窗口，在域中右擊，執(zhí)行“新建”→“組織單位”命令，如圖所示。任務一：建立組織單位彈出“新建對象－組織單位”對話框，輸入組織單位的名稱“行政管理部”，如圖所示。任務一：建立組織單位按照步驟1、2操作，完成“技術(shù)研發(fā)部”、“產(chǎn)品生產(chǎn)部”、“售后服務部”等組織單位的建立。操作結(jié)果如圖所示。任務二：添加用戶打開“ActiveDirectory用戶和計算機”窗口，單擊新創(chuàng)建的組織單位，在右側(cè)空白處右擊，執(zhí)行“新建”→“用戶”命令，如圖所示。任務二：添加用戶打開“新建對象－用戶”對話框，填寫如圖所示信息。任務二：添加用戶單擊“下一步”按鈕，設(shè)置密碼與確認密碼，勾選“用戶下次登錄時須更改密碼”，如圖所示，完成操作。任務三：將用戶添加到組打開“ActiveDirectory用戶和計算機”窗口，雙擊要添加的用戶，打開“用戶屬性”對話框，選擇“隸屬于”選項卡，如圖所示。任務三：將用戶添加到組單擊“添加”按鈕，打開“選擇組”對話框，如圖所示。任務三：將用戶添加到組依次單擊“高級”→“立即查找”，選中需要添加至的組名稱，如圖所示，單擊“確定”按鈕，完成操作，結(jié)果如圖所示。任務三：將用戶添加到組查看組內(nèi)成員信息，可雙擊“Products”全局組名，選擇“成員”選項卡即可。如圖2.80所示。任務四：發(fā)布共享文件夾在計算機SoftServer中將soft目錄設(shè)為共享文件夾。在域控制器上，依次單擊“開始”→“管理工具”→“ActiveDirectory用戶和計算機”→右擊“產(chǎn)品生產(chǎn)部”→“新建”→“共享文件夾”，如圖所示。任務四：發(fā)布共享文件夾打開“新建對象－共享文件夾”對話框中，分別在名稱和網(wǎng)絡路徑中輸入“軟件”、“\\SoftServer\Soft”，如圖所示。任務四：發(fā)布共享文件夾在“ActiveDirectory用戶和計算機”界面中，右擊“軟件”→選擇“屬性”命令，如圖所示。任務四：發(fā)布共享文件夾打開如圖所示“軟件屬性”對話框。任務四：發(fā)布共享文件夾單擊“關(guān)鍵字”按鈕，打開“關(guān)鍵字”對話框，在“新值”文本框中輸入“軟件”，單擊“添加”按鈕，添加至“當前值”列表中，如圖所示。2.2.3活動目錄組策略管理問題描述問題分析問題描述組策略是一個管理工作環(huán)境的技術(shù)，通過它可以確保用戶擁有所需的工作環(huán)境，也可以通過它來限制用戶，這不僅讓用戶擁有適當?shù)沫h(huán)境，也減輕了系統(tǒng)管理員的管理負擔。根據(jù)公司管理的具體需求實現(xiàn)相應的域安全策略、軟件限制策略、文件夾重定向策略和組策略等相關(guān)配置。問題分析對站點、域或組織單位配置組策略，設(shè)置計算機配置、用戶配置及組策略配置，在組策略配置中完成域安全策略、密碼策略、本地安全策略、軟件限制策略、文件重定向策略等管理功能；在組策略管理中提供組策略繼承、禁用計算機配置或用戶配置、組策略委派等管理功能。問題分析任務單1配置域安全策略2配置軟件限制策略3配置文件夾重定向策略4組策略配置任務一：配置域安全策略配置密碼長度最小為9位配置密碼配置密碼最長存留其為一周配置帳戶鎖定閾值為5次配置密碼超過閾值鎖定30分鐘配置密碼長度最小為9位依次單擊“開始”→“程序”→“管理工具”→“ActiveDirectory用戶和計算機”→右擊“”域名→“屬性”，選擇“組策略”選項卡，如圖所示。配置密碼長度最小為9位選中“DefaultDomainPolicy”，單擊“編輯”按鈕，打開“組策略編輯器”，如圖所示。配置密碼長度最小為9位依次展開圖左側(cè)欄中的“計算機配置”→“Windows設(shè)置”→“安全設(shè)置”→“帳戶策略”→“密碼策略”，如圖所示。配置密碼長度最小為9位雙擊圖右側(cè)“密碼長度最小值”，打開“密碼長度最小值屬性”對話框，如圖所示。配置密碼長度最小為9位勾選“定義這個策略設(shè)置”，且在文本框中輸入“9”，如圖所示，單擊“確定”按鈕。配置密碼配置密碼最長存留其為一周同任務一中第1步的步驟（1）~（3）。打開“密碼最長使用期限屬性”對話框，勾選“定義這個策略設(shè)置”，且在文本框中輸入“7”，如圖所示，單擊“確定”按鈕。配置帳戶鎖定閾值為5次打開“帳戶鎖定閥值屬性”對話框，勾選“定義這個策略設(shè)置”，且在文本框中輸入“5”，如圖所示，單擊“確定”按鈕。配置密碼超過閾值鎖定30分鐘打開“帳戶鎖定時間屬性”對話框，勾選“定義這個策略設(shè)置”，且在文本框中輸入“30”，如圖所示，單擊“確定”按鈕。任務二：配置系統(tǒng)策略配置系統(tǒng)策略：

關(guān)閉自動播放

限制使用WindowsMessenger軟件。配置關(guān)閉自動播放打開“組策略編輯器”，依次單擊左側(cè)欄中的“用戶配置”→“管理模板”→“系統(tǒng)”，如圖所示。配置關(guān)閉自動播放打開“關(guān)閉自動播放屬性”對話框，選擇“已啟用”單選按鈕，在“關(guān)閉自動播放”下拉列表框中選擇相應驅(qū)動器，單擊“確定”，完成操作。配置限制使用WindowsMessenger軟件打開“組策略編輯器”，依次單擊左側(cè)欄中的“用戶配置”→“管理模板”→“系統(tǒng)”，如圖所示。配置限制使用WindowsMessenger軟件打開“關(guān)閉自動播放屬性”對話框，選擇“已啟用”單選按鈕，在“關(guān)閉自動播放”下拉列表框中選擇相應驅(qū)動器，單擊“確定”，完成操作。任務三：配置文件夾重定向策略配置文件夾重定向策略：

將域內(nèi)“產(chǎn)品生產(chǎn)部”O(jiān)U內(nèi)所有用戶“桌面”文件夾重定向至網(wǎng)絡中指定臺計算機的“桌面”文件夾。任務三：配置文件夾重定向策略在域內(nèi)的任何一臺計算機上建立一個共享文件夾，如D:\桌面，同時確認SYSTEM與CREATOROWNER賬戶對其擁有“完成控制”權(quán)限。“產(chǎn)品生產(chǎn)部”內(nèi)所有用戶“桌面”文件夾將重定向至此文件夾下。任務三：配置文件夾重定向策略在域控制器上，依次點擊“開始”→“管理工具”→“ActiveDirectory用戶和計算機”→右擊“產(chǎn)品生產(chǎn)部”O(jiān)U→“屬性”→“組策略”→選擇“產(chǎn)品生產(chǎn)部GPO”→編輯。任務三：配置文件夾重定向策略在如圖所示對話框中執(zhí)行以下操作：“用戶配置”→“Windows設(shè)置”→“文件夾重定向”→右擊“桌面”→“屬性”，如圖所示。任務三：配置文件夾重定向策略在打開的“桌面屬性”對話框，分別在“設(shè)置”下拉列表中選擇“基本－將每個人的文件夾重定向到同一個位置”，“目標文件夾位置”下拉列表中選擇“在根目錄路徑下為每一用戶創(chuàng)建一個文件夾”，“根路徑”中選擇域中已經(jīng)建立的共享目錄。任務四：組策略配置組策略配置：

阻止策略繼承

強制策略繼承

過濾組策略配置

禁用整個GPO

禁用GPO中的計算機配置

禁用GPO中的用戶配置

組策略的委派等

域控制器與成員服務器在處理、應用組策略時，有一定的程序與規(guī)則，主要包括一般的繼承與處理規(guī)則、特殊的繼承與處理規(guī)則、例外的繼承配置。阻止策略繼承通過選擇如圖所示產(chǎn)品生產(chǎn)部內(nèi)“阻止策略繼承”選項來設(shè)置不繼承由父容器傳遞過來的所有GPO配置，直接讓產(chǎn)品生產(chǎn)部的GPO配置作用于產(chǎn)品生產(chǎn)部OU。強制策略繼承選擇“產(chǎn)品生產(chǎn)部GPO”，單擊“選項”按鈕，打開“產(chǎn)品生產(chǎn)部GPO選項”對話框，選擇“禁止替代：防止其它組策略對象替代這個組對象中的策略集”選項。過濾組策略配置設(shè)置產(chǎn)品生產(chǎn)部zhangjun對所在產(chǎn)品生產(chǎn)部的GPO配置不作限制。過濾組策略配置選擇“產(chǎn)品生產(chǎn)部GPO”，單擊“屬性”按鈕，打開“產(chǎn)品生產(chǎn)部GPO屬性”對話框，選擇“安全”選項卡，單擊“添加”按鈕，選擇用戶zhangjun，設(shè)置其“讀取”、“應用組策略”權(quán)限為“拒絕”。禁用產(chǎn)品生產(chǎn)部整個GPO選擇“產(chǎn)品生產(chǎn)部GPO”，單擊“選項”按鈕，打開“產(chǎn)品生產(chǎn)部GPO選項”對話框。禁用產(chǎn)品生產(chǎn)部整個GPO勾選“已禁用：‘組策略對象’不適用于這個容器”選項，彈出如圖所示提示信息框，單擊“是”按鈕，返回“產(chǎn)品生產(chǎn)部GPO選項”對話框。禁用產(chǎn)品生產(chǎn)部GPO中的“計算機配置”選擇“產(chǎn)品生產(chǎn)部GPO”，單擊“屬性”按鈕，打開“產(chǎn)品生產(chǎn)部GPO屬性”對話框，勾選“禁用計算機配置設(shè)置”選項。禁用產(chǎn)品生產(chǎn)部GPO中的“用戶配置”選擇“產(chǎn)品生產(chǎn)部GPO”，單擊“屬性”按鈕，打開“產(chǎn)品生產(chǎn)部GPO屬性”對話框勾選“禁用用戶配置設(shè)置”選項。組策略的委派將“產(chǎn)品生產(chǎn)部”的“管理組策略鏈接”功能委派給Zhangyue。將“產(chǎn)品生產(chǎn)部”的“管理組策略鏈接”功能委派給Zhangyue依次點擊“開始”→“管理工具”→“ActiveDirectory用戶和計算機”→右擊“產(chǎn)品生產(chǎn)部”→“委派控制”。將“產(chǎn)品生產(chǎn)部”的“管理組策略鏈接”功能委派給Zhangyue打開“添加用戶和組”對話框，點擊“添加”按鈕，添加zhangyue用戶。將“產(chǎn)品生產(chǎn)部”的“管理組策略鏈接”功能委派給Zhangyue打開“要委派的任務”對話框，勾選“管理組策略鏈接”復選框。將“產(chǎn)品生產(chǎn)部”的“管理組策略鏈接”功能委派給Zhangyue驗證用戶zhangyue是否擁有此權(quán)限。右擊“產(chǎn)品生產(chǎn)部”→“屬性”。將“產(chǎn)品生產(chǎn)部”的“管理組策略鏈接”功能委派給Zhangyue選擇“安全”選項卡，檢驗zhangyue用戶賬戶是否存在，表示委派成功。2.2.4備份ActiveDirectory數(shù)據(jù)庫問題描述問題分析問題描述ActiveDirectory數(shù)據(jù)庫是否正常是ActiveDirectory域能否正常工作的關(guān)鍵，因此，必須定期進行備份、維護ActiveDirectory數(shù)據(jù)庫。問題分析ActiveDirectory數(shù)據(jù)庫與SYSVOL文件夾都是屬于“系統(tǒng)狀態(tài)（systemstate）”，需要通過備份“系統(tǒng)狀態(tài)”的方式來備份ActiveDirectory數(shù)據(jù)庫與SYSVOL文件夾。要求每日零點對ActiveDirectory數(shù)據(jù)庫進行增量備份，文件名為DomainDCBackup，關(guān)閉驗證，不使用硬件壓縮，備份目標為C盤同名目錄。問題分析任務單1備份ActiveDirectory數(shù)據(jù)庫任務一備份ActiveDirectory數(shù)據(jù)庫說明：系統(tǒng)狀態(tài)數(shù)據(jù)包含ActiveDirectory、啟動文件、COM+類別注冊數(shù)據(jù)庫、登錄、SYSVOL文件夾等。任務一備份ActiveDirectory數(shù)據(jù)庫依次點擊“開始”→“程序”→“附件”→“系統(tǒng)工具”→“備份”，打開“備份或還原向?qū)А睂υ捒?。任務一備份ActiveDirectory數(shù)據(jù)庫點擊“高級模式”，打開“備份工具”窗口。任務一備份ActiveDirectory數(shù)據(jù)庫單擊“備份向?qū)Вǜ呒墸卑粹o，打開“備份向?qū)А睂υ捒?。任務一備份ActiveDirectory數(shù)據(jù)庫打開“要備份的內(nèi)容”對話框，選擇“只備份系統(tǒng)狀態(tài)數(shù)據(jù)”單選按鈕。任務一備份ActiveDirectory數(shù)據(jù)庫打開“備份類型、目標和名稱”對話框，選擇“備份類型”、“備份路徑”，并填寫“備份名稱”。任務一備份ActiveDirectory數(shù)據(jù)庫如題需要設(shè)定“自動定時備份”，此時單擊“高級”按鈕，打開

“備份類型”對話框，選擇備份的類型“每日”。任務一備份ActiveDirectory數(shù)據(jù)庫打開“備份時間”對話框，設(shè)置計劃備份時間。任務一備份ActiveDirectory數(shù)據(jù)庫查看備份計劃。依次點擊“開始”→“程序”→“附件”→“系統(tǒng)工具”→“任務計劃”，打開“任務計劃”窗口。2.2.5ActiveDirectory的復制問題描述問題分析問題描述林中存在多臺WindowsServer2003域控制器，如何才能有效地復制ActiveDirectory數(shù)據(jù)庫、提高Active