安裝域控制器創建并管理用戶和賬戶組創建并管理計算機賬戶設置并管理域的安全策略項目三安裝并管理AtiveDirectory活動二任務活動目錄的安裝及配置一、任務描述以某公司內部局域網里建立第一個域控制器為例,詳細介紹域控制器的安裝和基本配置過程。二、任務分析因為是設置該公司網絡中第一個DC,故創建時應該選取的是“為新的林創建域控制器”。另外,這里我們有如下約定:以作為該域的名稱,該域控制器的計算機名為MYSERVER2003,它的IP地址必須要固定(在TCP／IP屬性中進行設置),不可設置為自動獲取。活動一安裝域控制器三、操作步驟1.以管理員的身份登錄準備安裝AD的WindowsServer2003服務器,選擇“開始/運行”,輸入“dcpromo”命令,點擊“確定”按鈕，進入安裝向導,如圖3-1-1所示。活動一安裝域控制器2.在AD安裝向導中選取“新域的域控制器”,點擊“下一步”后，選擇創建一個新的“在新林中的域”，如圖3-1-2和3-1-3所示。活動一安裝域控制器3.在圖3-1-4所示的安裝向導中將域的名稱設置為“”,點擊“下一步”。注意域名需要事先規劃確定,避免后續改動造成很多麻煩。點擊“下一步”按鈕。活動一安裝域控制器4.在NetBIOS域名中保持默認的域名“abc”,如圖3-1-5所示。同樣地，放置AD數據庫和日志文件的文件夾及作為系統卷共享的文件夾保持默認設置，點擊“下一步”按鈕。活動一安裝域控制器5.在圖3-1-6所示的安裝向導中提示當前域中還沒有DNS服務器,選擇安裝DNS服務,同時準備好WindowsServer2003安裝光盤,點擊“下一步”。6.在圖3-1-7安裝向導操作系統兼容性選擇中,若網絡中有早于Windows2000的NT服務器(例如WindowsNT40Server)應該選前者,這里假設我們的網絡操作系統都是Windows2000以后的操作系統,選擇后點擊“下一步”。活動一安裝域控制器活動一安裝域控制器7.在圖3-1-8活動目錄還原模式的密碼設定中,為了后續操作方便，在此不進行設定,直接點擊“下一步”。注意:這里的“目錄服務器還原模式的管理員密碼”和我們當前系統的“域管理員密碼”是兩個不同的概念,后者是域管理員在日常管理中使用的密碼,而前者是目錄服務器還原模式下使用的。8.安裝向導形成的信息摘要如圖3-1-9所示。參考向導提示進行后續安裝步驟，按提示插入WindowsServer2003安裝光盤,安裝配置好ActiveDirectory和DNS。最后安裝向導會提示安裝完成,重新啟動后則當前的服務器MYSERVER2003成為域的域控制器。成為域控制器的計算機,在“開始/管理工具”中可以瀏覽到活動目錄的管理工具，如圖3-1-10所示。活動一安裝域控制器活動一安裝域控制器任務1用戶組的創建一、任務描述接下來我們在前面活動中所構建的域控制器里創建一個銷售組sales_group,該組的成員如下表所示,這里我們只新建組,組的成員在以后任務中創建。二、任務分析在創建一個組時,一般先要知道該組的作用,組名要能夠反映這個組所包含的含義,以方便后面的管理操作。我們這里新建的組是為銷售部員工創建的,所以取名為“sales_group”。活動二創建并管理用戶和組賬戶三、操作步驟1.打開“ActiveDirectory用戶和計算機”窗口,在當前域“”中選擇“Users”,單擊鼠標右鍵在快捷菜單中選擇“新建/組”，在彈出的“新建對象一組”窗口中,輸入組的名稱“sales_group”,并設置好該組的作用域和類型,如圖3-2-1所示。活動二創建并管理用戶和組賬戶活動二創建并管理用戶和組賬戶2.新建好組以后,在“ActiveDirectory用戶和計算機”窗口中的“Users”中可以看到“sales_group”組,如圖3-2-2所示。活動二創建并管理用戶和組賬戶四、學習支持ActiveDirectory中有三種組作用域:通用、全局和本地域。通用組作用域可以在任何域或林中分配權限,它可以轉換為本地域或全局組作用域(只要是沒有其他通用組作為成員存在)。全局組作用域可以在任何域中分配成員權限,它可以轉換為通用組作用域(只要不是任何其他全局組中的成員)。本地域組作用域的成員權限只能在與父域或本地組相同的域中分配,它可以轉換為通用組作用域(只要沒有其他域本地組作為成員存在)。活動二創建并管理用戶和組賬戶任務2用戶賬戶的創建一、任務描述接著在前面的銷售組sales_group中新建該組的成員“張三”的賬戶“manager”,其他成員賬戶的添加可參照該實例來操作,這里不再贅述。二、任務分析添加“manager”賬戶時,還需要注意該賬戶是給銷售部經理張三的,所以我們給他的權限是域管理員,在添加完賬戶后應把它加入管理員組(Administrators)。活動二創建并管理用戶和組賬戶三、操作步驟1.打開“ActiveDirectory用戶和計算機”窗口,在當前域“”中選擇“Users”,單擊鼠標右鍵，在快捷菜單中選擇“新建/用戶”。在相應位置輸入姓名、賬戶后點擊“下一步”，輸入賬戶密碼。如圖323所示，完成用戶賬戶的設置。活動二創建并管理用戶和組賬戶2.完成賬戶設置后,選擇該賬戶,單擊鼠標右鍵，在快捷菜單中選擇“屬性”,在“隸屬于”選項卡中點擊“添加”按鈕,彈出“選擇組”對話框，如圖3-2-4所示。在該對話框中添加“Administrators”組,從而將“manager”賬戶添加到管理員組中。活動二創建并管理用戶和組賬戶3.按照提示依次點擊“確定”,即完成將“manager”賬戶添加到“Administrators”組中的操作,添加成功后如圖3-2-5所示。活動二創建并管理用戶和組賬戶四、學習支持1.“Builtin”容器中的常用組。2.Users容器中的常用組。活動二創建并管理用戶和組賬戶任務將客戶端計算機添加到域中一、任務描述繼續前面的任務,向域中添加一個計算機賬戶xp1,需要注意的是在某個域中添加計算機賬戶有兩種方式:一種是在客戶端計算機上修改計算機名及所屬的域來實現,另一種是直接在DC上的“ActiveDirectory用戶賬戶和計算機”中的“Computers”中直接添加計算機名稱。下面的任務是在客戶端計算機上,將該計算機賬戶添加到的域中。二、任務分析通過客戶端計算機將該計算機賬戶xp1添加到的域中,前提是該計算機和當前的域控制器在同一個網絡中的物理連接已經接好,并且它們的IP地址在同一個網段中,同時客戶端計算機的首選DNS服務器IP地址應設置為域中已經存在的。活動三創建并管理計算機賬戶三、操作步驟1.在客戶端計算機桌面上選擇“我的電腦”,單擊鼠標右鍵在快捷菜單中選擇“屬性”,在“計算機名”選項卡中點擊“更改”按鈕。在打開的“計算機名稱更改”窗口中,輸入計算機名“xp1”,隸屬于域“”,點擊“確定”按鈕。活動三創建并管理計算機賬戶活動三創建并管理計算機賬戶2.驗證通過后顯示添加成功,即計算機賬戶xp1已經添加到域,此時系統會提示重新啟動計算機。同時在域控制器端,我們打開“ActiveDirectory用戶和計算機”里的“Computers”可以看到里面新增了一個“xp1”計算機賬戶,如圖3-3-2所示,也印證了在客戶端計算機添加賬戶成功。活動三創建并管理計算機賬戶3.回到客戶端,我們重新啟動計算機后,在登錄窗口里就可以用實驗中所創建的manager用戶賬戶,在當前xp1計算機上登錄到abc域,如圖3-3-3所示。活動三創建并管理計算機賬戶任務1用安全模板配置安全策略一、任務描述本任務中，我們要在域控制器MYSERVER2003的管理控制臺(MMC)中打開管理單元“安全模板”,通過它自定義一個名稱為“MYhisecdc”的安全模板,將密碼策略中密碼長度最小值設置為3個字符,賬戶鎖定策略中賬戶鎖定時間設定為30分鐘,其余配置和預定義的安全模板“hisecdc”保持一致。二、任務分析一般情況下我們可以使用預定義安全模板來創建所需要的安全模板,可預先復制出一個副本,然后使用副本來修改,這樣就不會破壞原來的預定義模板。活動四設置并管理域的安全策略三、操作步驟1.進入MYSERVER2003計算機的開始菜單,選擇“運行”,并輸入命令“mmc”,出現管理控制臺界面,如圖3-4-1所示。活動四設置并管理域的安全策略2.在管理控制臺中,選擇“文件/添加／刪除管理單元”。在“添加/刪除管理單元”中，點擊“添加”按鈕，在“添加獨立管理單元”對話框中選擇“安全模板”，點擊“添加”后關閉即可。如圖3-4-2所示。活動四設置并管理域的安全策略3.這時我們在“控制臺根節點”上就可以看到添加進來的“安全模板”管理單元了,如圖3-4-3所示。活動四設置并管理域的安全策略4.在安全模板中選擇“hisecdc”,單擊鼠標右鍵，選擇“另存為”,輸入新的安全模板名“MYhisecdc”，點擊“保存”按鈕，將該安全模板另存為一個副本,如圖3-4-4所示。活動四設置并管理域的安全策略5.接下來我們就要修改安全模板“MYhisecdc”里的密碼策略和賬戶鎖定策略,把密碼策略改為3個字符,把賬戶鎖定策略改為30分鐘,如圖3-4-5所示。活動四設置并管理域的安全策略6.這樣就設置好了一個新的安全模板“MYhisecdc”,為了驗證新的安全模板創建成功,我們可以找到C:＼WINDOWS＼security＼templates下面的安全模板文件“MYhisecdc.inf”,雙擊打開,可以看到里面的參數符合我們前面的修改設置,如圖3-4-6所示。活動四設置并管理域的安全策略7.新的安全模板設置好以后,關閉管理控制臺時,MMC會提示是否將當前控制臺的設置狀態保存,為了在后面的操作中不用再次添加“安全模板”管理單元,簡化操作,選擇“是”。四、學習支持預定義的安全模板是作為創建安全策略的初始點而提供的,這些策略經過自定義設置以滿足不同的組織要求。使用安全模板管理單元可以對該模板進行自定義。一旦對預定義的安全模板進行了自定義,就可以用來配置單臺甚至上千臺的計算機。默認情況下,預定義的安全模板存儲在如下目錄:Systemroot＼Security＼Templates。活動四設置并管理域的安全策略任務2通過AD將安全模板運用到域中一、任務描述在前一個任務中,我們學習了如何利用“安全模板”創建一個安全策略,但這個安全策略如何才能運用到域中去呢?下面我們將使用“ActiveDirectory用戶和計算機”把剛才我們創建的安全模板“MYhisecdc”運用到域。二、任務分析在“ActiveDirectory用戶和計算機”中,我們把安全模板“MYhisecdc”運用到域,其實是通過域的組策略來實現的,組策略包含的內容很多,安全策略是其中的一部分。有關組策略的知識點,可參考本任務后的學習支持。活動四設置并管理域的安全策略三、操作步驟1.在域控制器上,我們打開“ActiveDirectory用戶和計算機”,選擇“”,單擊鼠標右鍵，在快捷菜單中選擇“屬性”。在“屬性”窗口中選擇“組策略”選項卡,點擊“新建”按鈕,新建一個名為“MYgpo”的組策略對象(GPO)，然后點擊“編輯”按鈕,打開組策略編輯器(GPOE)對“MYgpo”組策略進行調整，如圖3-4-7所示。活動四設置并管理域的安全策略活動四設置并管理域的安全策略2.如圖3-4-8所示,在打開的組策略編輯器(GPOE)中可以看到“MYgpo”組策略。活動四設置并管理域的安全策略3.如圖3-4-9所示,在組策略編輯器中選擇“計算機配置”中的“安全設置”，單擊鼠標右鍵，選擇“導入策略”。在“策略導入來源”對話框中選擇前面創建的安全模板文件活動四設置并管理域的安全策略4.導入成功以后,回到組策略編輯器,查看組策略對象“MYgpo”中的安全設置是否與安全模板“MYhisecdc”一致。主要查看密碼策略中密碼長度最小值是否也已設置為3個字符,賬戶鎖定策略中賬戶鎖定時間已設定為30分鐘,如圖3-4-10所示。至此,我們就已經通過AD將安全模板運用到域中了。活動四設置并管理域的安全策略活動四設置并管理域的安全策略四、學習支持組策略設置定義了系統管理員需要管理的用戶桌面環境的各種組件,如:用戶可用的程序、用戶桌面上出現的程序以及“開始”菜單選項。要為特定用戶組創建特殊的桌面配置,需使用組策略對象編輯器。指定的組策略設置包含在組策略對象中,而組策略對象又與選定的ActiveDirectory對象(即站點、域或組織單位)相關聯。組策略不僅應用于用戶和客戶端計算機,還應用于成員服務器、域控制器以及管理范圍內的任何其他計算機。默認情況下,應用于域(即在域級別應用,剛好在ActiveDirectory用戶和計算機的根目錄之上)的組策略會影響域中的所有計算機和用戶。“ActiveDirectory用戶和計算機”還提供內置的“DomainControllers”組織單位。活動四設置并管理域的安全策略任務3通過“安全配置和分析”管理單元將安全模板運用到特定計算機上一、任務描述前面的任務是向域中運用安全模板,如果安全模板只需要運用到有限的幾臺服務器上(因為安全模板里設置得比較嚴格,不需要用到所有計算機),那么有什么其他方法呢?可以通過MMC,添加“安全配置和分析”管理單元來為單個計算機添加安全模板,從而實現在單個計算機上的安全策略運用。活動四設置并管理域的安全策略二、任務分析以MYSERVER2003計算機為例,通過MMC添加“安全配置和分析”管理單元,然后再運用“hisecdc”模板。用類似的方法,可以將需要的安全模板運用到其他計算機上,只要將需要的安全模板文件復制到目標計算機上,然后在目標計算機的MMC中執行同樣的操作即可。三、操作步驟1.在MYSERVER2003計算機上打開MMC,選擇“文件/打開”,選擇之前保存的文件“MY控制臺.msc”，如圖3-4-11所示。活動四設置并管理域的安全策略活動四設置并管理域的安全策略2.在MMC的窗口中選擇“文件/添加／刪除管理單元”。在彈出的“添加獨立管理單元”窗口中選“安全配置與分析”,點擊“添加”按鈕，然后點擊“確定”按鈕，如圖3-4-12所示。活動四設置并管理域的安全策略活動四設置并管理域的安全策略3.在MMC窗口中選擇“安全配置與分析”管理單元,單擊鼠標右鍵，在快捷菜單中選擇“打開數據庫”，輸入“TestPolicy”作為新數據庫名稱,點擊“打開”按鈕。在“導入模板”窗口中選擇“hisecdc.inf”安全模板文件,然后點擊“打開”按鈕，如圖3-4-13所示。活動四設置并管理域的安全策略活動四設置并管理域的安全策略4.如圖3-4-14所示,在MMC中選中“安全配置和分析”管理單元，可以看到“TestPolicy.sdb”數據庫文件已被打開。活動四設置并管理域的安全策略5.為了查看“hisecdc.inf”安全策略和當前計算機系統安全策略的差異,可以選中“安全配置和分析”管理單元，單擊鼠標右鍵，快捷菜單中選擇“立即分析計算