当前位置：文档库 › Windows系统管理AD活动目录综合实验报告

Windows系统管理AD活动目录综合实验报告

实验报告

一、实验目的

1)掌握在域环境中的各种设置

二、准备工作

1)VMware虚拟机软件

三、实验步骤、内容及实验数据报告

实验环境：

Benet公司现有员工200人，共有5个部门，分别为市场部、技术部、财务部、秘书处、项目部。当前公司的采用工作组环境，但这种方式对系统管理员工作压力非常大，无法对员工进行集中有效管理，并有严重的安全隐患。所以决定对公司结构进行改造，采用域环境进行集中管理,公司网络环境如下所示：

实验一

公司按部门进行管理，每部门设经理一名，四个部门归总经理统一管理。每个部门的账号不能登录到其他部门，并且只允许在上班时间登录计算机。部门经理要有添加本部门员工和重设本部门员工账号密码的权利，以减少管理员工作量。

建立总经理OU并在其OU下

创建各部门OU

在AD工具用户属性下设

置账户需要登陆的计算机

以上三步为委派公司总经理有修改创建删除用户账户的权限

依次设置其他部门经理的委派权限，设置完成后经理想要使用添加本部门员工和重设本部门员工账号密码的权利的话，必须在经理使用的计算机上添加AD 用户和计算机工具。

添加方法在运行栏输入 dcpromo 安装。全部设置完成后实验一成功。

实验二

要保证员工账号密码的安全性，并要求员工定期更改密码。对于试图的密

码猜测要有防范

在运行栏中输入GPMC.MSC

打开组策略管理器

在账户锁定策略中设置相关配置

实验三

为了体现公司良好的统一形象，要求公司计算机的桌面背景一致（市场部桌面背景为另一种专用背景），并且不能让员工随意更改桌面背景，但部门经理不受此限制

输入墙纸的路径

启用不允许更

改

新建市场部GPO

实验三成功

实验四

公司所有用户均可打印，但总经理、部门经理有优先打印权。

信息安全实验报告二

实验成绩《信息安全概论》实验报告实验二PKI实验专业班级：学号：姓名：完成时间_2016/5/18 一、实验目的加深对CA认证原理及其结构的理解；掌握在Windows 2003 Server环境下独立根CA 的安装和使用；掌握证书服务的管理；掌握基于Web的SSL连接设置，加深对SSL的理解。二、实验内容客户端通过Web页面申请证书，服务器端颁发证书，客户端证书的下载与安装；停止/启动证书服务，CA备份/还原，证书废除，证书吊销列表的创建与查看；为Web服务器申请证书并安装，在Web服务器端配置SSL连接，客户端通过SSL与服务器端建立连接。三、实验环境和开发工具 1.Windows 2003 操作系统 2.VMware Workstation 四、实验步骤和结果 CA分为两大类，企业CA和独立CA；企业CA的主要特征如下： 1.企业CA安装时需要AD（活动目录服务支持），即计算机在活动目录中才可以。 2.当安装企业根时，对于域中的所用计算机，它都将会自动添加到受信任的根证书颁发机构的证书存储区域； 3.必须是域管理员或对AD有写权限的管理员，才能安装企业根CA；独立CA主要以下特征:

1.CA安装时不需要AD（活动目录服务）。 2.任何情况下，发送到独立CA的所有证书申请都被设置为挂起状态，需要管理员受到颁发。这完全出于安全性的考虑，因为证书申请者的凭证还没有被独立CA验证； AD（活动目录）环境下安装证书服务（企业根CA）的具体步骤如下：首先要安装IIS ，这样才可以提供证书在线申请。 1)从“控制面板”，双击“添加/删除程序”，单击“添加/删除Windows组件”，选中“证书服务”，单击“下一步”。如图4－1所示。图4－1添加证书服务弹出警告信息“计算机名和域成员身份都不能更改”，选择“是” 2)选中“企业根CA”，并选中“用户自定义设置生成密钥对和CA证书”，单击“下一步”。如图4－2所示。

华为HCNA实验典型实例

、 fi 一、静态路由的配置实例：实验目的：将拓扑图网络设备和节点，实现网络互通。 1、规划PC和路由器各接口IP地址； 2、配置路由器和PC的IP地址，并测试直连路由是否通过： [R1-GigabitEthernet0/0/0]ip address 24 ，问题： 1、为什么要在边界路由器上默认路由答：因为企业员工要上网，运行默认路由的这台路由器，都会把不知道往哪里的数据包往互联网上扔！ save Are you sure to continue (y/n)[n]:y It will take several minutes to save configuration file, please wait....... Configuration file had been saved successfully Note: The configuration file will take effect after being activated * 静态路由的负载分担

如图：静态路由负载分担拓扑图配置地址后，使用静态路由到达网络号 /24 。达到自由选路功能[R5]ip route-static 24 [R5]ip route-static 24 [R5]ip route-static 24 ￥二、rip动态路由实例实验目的：通过rip动态路由协议配置，使下图设备全网互通

[R1]rip 问题：解决路由环路的办法 1、触发更新，用来避免环路 2、￥ 3、限制跳数 4、水平分割 5、路由中毒/毒性翻转 /路由毒化 6、Rip计时器（以上方法都是rip路由协议默认启用的）虽然更改成版本2RIPv2可以解决不连续子网问题，但是会使路由表变大。为了提高路由器性能需要进行路由手动汇总！ [R1-GigabitEthernet0/0/0]rip summary-address （掩码需要进行换算） & 前提是R1路由器有以下环回接口：将这三个IP地址换算出子网掩码 RIP支持接口明文验证和密文验证

AD活动目录之备份与恢复

通过我前几篇文章的介绍，我想大家对活动目录的配置以及域控制器在网络中的作用已经有了一个大致的了解了。当然，我写的都是一些关于操作上的文章，至于原理性的东西建议大家自己到网上搜一下或者到书店里去买几本微软的官方教材看一下，因为原理性的东西实在是没什么好写的，要写也是抄书，会被别人以为我在骗稿费的。:)OK，那么现在大家应该知道在域构架网络中，域控制器是多么的重要，所以一台域控制器的崩溃对于网络管理员而言，无疑是一场恶梦，那么活动目录应该如何来备份和恢复呢?在这里我将详细的为大家讲一下这个问题，我们一般把活动目录的备份和恢复分成两种情况: 1、整个网络中有且仅有一台域控制器; 首先，本人并不成赞成网络中存在这种情况，也就是说网络中最好是存在两台或两台以上的域控制器，当然有些朋友可能会说:买服务器你给钱啊?我先声明:我没钱。而且现在的老板都很精哟，一般是能用就行，至于坏了怎么办?那当然是网络管理员来想办法解决了，难道白给你工资啊?所以有些网络中的确存在着只有一台域控制器的现象，那么对于这种情况，备份是必不可少的了，而且建议备份到网络上，别备份到本地计算机上，因为备份在本地的话，万一服务器的硬盘烧毁，那么你的备份也会随之而去，这样的话和没有备份没什么区别。那么，怎么备份?我们要用到Windows 2003自带的备份工具Ntbackup。点击“开始-运行”，输入:“Ntbackup”回车，也可以点击“开始-程序-附件-备份”，其实是一回事，我们就可以看到如下的画面:

点击我用箭头指出的“高级模式”:

再点击用红框标出的“备份向导(高级)”，这时会出现一个备份向导: 在这里请大家注意，直接点“取消”，这样可以进入备份工具控制器，以便有更多的可以自定义的项目:

活动目录配置完整版

目录一、活动目录配置基本知识.................................................... 1、活动目录的重要概念……………………………………… 2、活动目录安装前准备……………………………………… 3、活动目录安装……………………………………………… 二、windows2000/2003活动目录配置………………………… 1、windows2000活动目录配置……………………………… 2、windows2003活动目录配置………………………………

一、活动目录配置基本知识 1、活动目录的重要概念（1）目录服务是一个什么东西一个目录就是一个用于储存用户感兴趣对象信息的信息源。如一个电话号码目录储存了有关电话用户的信息。在一个文件系统中，目录就储存了有关文件的信息。在一个分布式计算系统中或是一个公共计算机网络（如Internet）中，就有许多用户感兴趣的对象，如打印机、传真服务器、应用程序、数据库以及其他用户。用户想找到和使用这些对象，而管理人员则想管理对这些对象的使用。在此文档中，术语目录和目录服务指在公共和私人网络中的目录。目录服务与目录的不同在于，它既是目录的信息源，而它的服务又可以使用户得到和利用信息。（2）什么是活动目录活动目录是Windows 2000 Server的目录服务。它扩展了以前基于Windows的目录服务，还加入了一些全新的特点。活动目录是安全的、分布式的、可分区的及可复制的。它设计成为可以在任何规模安装下良好工作，从带有几百个对象的单一服务器到成千个服务器和上百万个对象。活动目录加入了很多新的特性，使得在大规模信息的管理及在其中漫游变得很简单，为管理者和终端用户都节省了时间。（3）为什么需要目录服务目录服务是扩展的计算机系统的最重要组成元素之一。使用者及管理者经常不知道他们感兴趣对象的精确名字。他们可能知道对象的一个或更多属性，而且可以查询目录来得到符合属性的对象列表，例如："查找在26楼中的所有双工打印机。"目录服务允许用户按指定属性查找任何对象。目录服务可以： ?提高管理者定义的安全性来保证信息不受侵入者的损害。 ?将目录分布在一个网络中的多台计算机上。 ?复制目录使得更多用户获得它并且减少错误。 ?分配一个目录于多个存储介质中使得可以存储规模非常大的对象。目录服务既是管理工具又是终端用户工具。当网络中对象的数目增加时，目录服务变得很重要。目录服务是一个大的分布系统的转换中心。 ①重要概念用来描述活动目录的概念和术语中有些是新的，而另外一些则不是。不幸的是，一些已经采用一段时间的术语被用来表明不止一个特定事物。在继续前进之前，理解下面这些概念和术语在活动目录背景中如何定义是重要的。 ②范围

华为HCNA试验典型实例

fi 一、静态路由的配置实例：实验目的：将拓扑图网络设备和节点，实现网络互通。 1、规划PC和路由器各接口IP地址；配置路由器和PC的IP地址，并测试直连路由是否通过：2、 [R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24 //IP地址设置 [R1]display ip routing-table //查询R1的路由表蓝色表示辅助指令 [R1]display ip interface brief //查询路由器接口IP设置是否正确注：其他接口同理！ 3、静态路由的配置（给路由器添加路由）： [R2]ip route-static 192.168.1.0 24 12.1.1.1 //静态默认路由配置：在R2路由添加192.168.1.0网络，出接口是 12.1.1.1（R2的下一跳） [R2]undo ip route-static 192.168.1.0 24 12.1.1.1 //删除指令 [R1]ip route-static 23.1.1.0 24 12.1.1.2 [R3]ip route-static 12.1.1.0 24 23.1.1.1 [R3]ip route-static 192.168.1.0 24 23.1.1.1 [R3]interface LoopBack 0 //进入环回接口环回接口：模拟路由器上的其他网络号 [R3-LoopBack0]ip address 3.3.3.3 24 //设置环回接口IP地址 4、默认路由的配置：默认路由：不知道往哪里去的数据包都交给默认路由。（不安全、应用在边界路由即连接外网的路由器）实际环境中会有很多环回接口，若是都使用静态路由的话，那么配置的工作量会非常大，因此引用默认路

AD活动目录域信任关系图解

AD活动目录域信任关系图解有时候要给学员们讲解AD活动目录域信任关系，所以特地写了这篇文章来说明信任是在域之间建立的关系。AD活动目录域信任关系就是可以使一个域中的用户由其他域中域控制器进行身份验证。一个林中的域之间的所有 Active Directory 信任都是双向的、可传递的信任。如下图所示:域 A 信任域 B，且域 B 信任域 C，则域 C 中的用户可以访问域 A 中的资源（如果这些用户被分配了适当的权限）. 只有 Domain Admins 组中的成员才能管理信任关系. 信任协议域控制器使用两种协议之一对用户和应用程序进行身份验证：Kerberos version 5 (V5) 协议或 NTLM。Kerberos V5 协议是 Active Directory 域中的计算机的默认协议。如果事务中的任何计算机都不支持 Kerberos V5 协议，则使用 NTLM 协议.

信任方向单向信任: 单向信任是在两个域之间创建的单向身份验证路径。这表示在域 A 和域 B 之间的单向信任中，域 A 中的用户可以访问域 B 中的资源。但是域 B 中的用户无法访问域 A 中的资源。单向信任可以是不可传递信任，也可以是可传递信任，这取决于创建的信任类型。双向信任: Active Directory 林中的所有域信任都是双向的、可传递的信任。创建新的子域时，系统将在新的子域和父域之间自动创建双向可传递信任。在双向信任中，域 A 信任域 B，并且域 B 信任域 A。这表示可以在两个域之间双向传递身份验证请求。双向关系可以是不可传递的，也可以是可传递的，这取决于所创建的信任类型。信任类型包括外部信任(不可传递)、快捷方式信任(可传递)、领域信任（可传递或不可传递）、林信任(可传递)。下面以实例讲解配置两个域之间的信任关系。域A: 域B 要求域A <—> 域B 两个域相互信任，部分用户资源互访。配置双向信任关系:

网络操作系统实训指导书

目录一、实训目的与要求 .......................................................................................... 错误!未定义书签。二、实训内容...................................................................................................... 错误!未定义书签。三、参考课时...................................................................................................... 错误!未定义书签。四、实训考核与组织 .......................................................................................... 错误!未定义书签。五、说明 ............................................................................................................. 错误!未定义书签。六、实训项目...................................................................................................... 错误!未定义书签。实训项目一WINDOWS SERVER 2012的安装与配置........................................... 错误!未定义书签。实训项目二DNS域名服务的实现 ....................................................................... 错误!未定义书签。实训项目三DHCP服务器的配置与管理的实现 ................................................. 错误!未定义书签。实训项目四WINS服务器的配置 ......................................................................... 错误!未定义书签。实训项目五WINDOWS SERVER 2012活动目录的实现....................................... 错误!未定义书签。实训项目六WINDOWS SERVER 2012磁盘管理的实现....................................... 错误!未定义书签。实训项目七WINDOWS SERVER 2012文件管理 .................................................. 错误!未定义书签。实训项目八IIS服务器的应用实现 ...................................................................... 错误!未定义书签。实训项目九FTP服务器的配置的实现 ................................................................ 错误!未定义书签。

CCNA综合实验实例解析

三层交换机和vtp协议的配置实验报告时间：2011年7月14日地点：西一楼5实验机房目的：1）了解三层交换机的原理及其的扩展应用，并掌握其配置方法。 2）理解VTP协议的原理及应用，掌握VTP的配置技巧。 3）巩固对ACL列表的了解，并练习其配置方法。内容：一、拓扑设计二、设备配置三、项目总结一、拓扑图：二、设备配置 1、初始化设备命令 en

conf t no ip domain-look line con 0 logging syn exec 0 0 pass 0 login line vty 0 4 pass 0 login end conf t enable pass 0 2、三层交换机上的捆绑通道命令 Sw0上的端口封装： conf t int rang f0/1- 2 channel-protocol lacp channel-group 1 mode active switchport trunk encapsulation dot1q switchport mode trunk show的结果显示：修改端口模式为trunk： conf t int rang f0/4-5 switchport trunk encapsulation dot1q switchport mode trunk show的结果显示：

同理在Sw1上进行通道封装，三层交换机Sw1上的配置类似Sw0的配置。 3、在三层交换机Sw0和Sw1上配置VTP协议 conf t vtp domain test vtp mode server vtp pass 0 show命令显示结果： Sw1的配置类似Sw0的配置。在一般交换机sw0---sw3上配置VTP协议： conf t vtp domain test vtp mode client vtp pass 0 其余交换机的VTP配置类似Sw0的配置。 4、三层交换机SW0上vlan配置 conf t vlan 2

幼儿园绿色活动目录及教案

绿色活动目录 XXXX幼儿园美美年级组 202X.2—202X.6

社会活动（绿色）：垃圾分类从我做起 XXXX实验幼儿园美美年级组 2019年3月活动目标： 1.认识垃圾分类标志，分辨回收的垃圾。 2.了解垃圾分类的意义，懂得保护环境，节约资源。活动准备： 1.请幼儿制作一张家里垃圾记录表，认真填写。 2.搜集并了解有关于垃圾分类的知识。 3.可回收垃圾箱和不可回收垃圾箱各2个、幼儿分类用的生活垃圾、幼儿分类用的小垃圾箱。活动过程： 1.开始部分（1）交流分享，说说生活中的垃圾。师：孩子们，老师给大家布置了任务，请大家记录这几天家里产生的垃圾，你们完成了吗？（完成了）快把记录结果和旁边的小伙伴说说吧！小结：每天我们的家里会产生许多垃圾，主要有废纸类、塑料类、金属类、玻璃类、织物类、厨余类、有毒有害类垃圾。这么多垃圾你们平时是怎么处理的？ 2.基本部分（1）问题思考，商讨垃圾处理方法。认识垃圾分类标志。师：老师这儿就有两个垃圾箱，我们快来看看！（2）提问：仔细观察，你们发现了什么？（颜色、标志）小结：回收以后经过特殊处理能再为我们服务的就是可回收垃圾，这样的垃圾应该扔到可回收垃圾箱中；除了这些，剩下的就是不可回收垃圾，应该扔进不可回收垃圾箱中。（3）讨论垃圾分类方法。师：记录的垃圾要跑进哪个垃圾箱？把可回收垃圾圈出来，然后和旁边的小伙伴说说。小结：哦，原来废纸类、塑料类、金属类、玻璃类、织物类是可回收垃圾；厨余类、有毒有害类是不可回收垃圾。 3.结束部分师：咱们刚才分的特别好，老师特别佩服你们！

社会活动（绿色）：各种各样的包装袋南站中心幼儿园景渎分园美美年级组 2019年4月活动目标： 1.了解包装袋的特点及其作用。 2.学习分辨环保包装与非环保包装，树立初步的保护环境的观念。活动准备： 1.与幼儿共同收集各种包装袋，在活动前布置成“包装袋展览会”。 2.请家长将收集的包装袋向幼儿作简单介绍。活动过程: 1.开始部分组织幼儿参观“包装袋展览会”，欣赏各种各样的包装袋，激发活动兴趣。教师：这里有各种各样的包装袋，它们是装什么的，你知道吗? 2.基本部分（1）教师介绍包装带上的文字、图案。教师：你们知道包装袋上的这些文字和图案有什么作用吗？（2）幼儿自由讨论。教师小结：包装袋上的文字有的是说明产品的用途、用法、成分的，有的是广告语；图案有的是起装饰作用的，有的是商标；包装袋上还有条形码，条形码是商品的编码，是商品独有的世界通用的“身份证”，有了条形码，方便商品储运、销售，在识别伪劣产品、防假打假中也有重要作用。（3）游戏“猜一猜”。由一名幼儿说出包装袋的特点，其他幼儿猜是什么包装袋。（4）教师出示纸制包装袋和塑料包装袋，引导幼儿学习分辨环保包装与非环保包装。做小实验。纸制包装袋袋长时间泡在水里会烂掉，用火烧会被烧成灰，而塑料包装袋在水里没有变化，用火烧会发出刺鼻的气味，还会留下不能分解的残留物。通过介绍让幼儿知道环保包装袋会腐烂分解，不会造成环境污染，非环保包装袋不会腐烂分解，会污染环境，就是平常所说的白色污染。教师：在倡导节能减排、保护环境的今天，生活中我们应该多使用环保包装袋。 3.结束部分幼儿设计、制作环保包装袋。

活动目录-权限管理-AGDLP示例

首先我们需要明确一点：为什么我们需要建立组？答案很简单：为了管理方便！其实计算机文件或者文件夹的控制权限是在属性的安全的选项卡中设定的，如下图所示：在“组或用户名称”中可以添加对此文件夹行使权限的用户或者组。现在来看这样一种情况：你是一个域的管理员，在文件服务器上建立了一个共享文件夹，用来放置一些财务部专用文档，假如你有两个选择： 1．在安全属性页中一个一个添加财务部的人员并配置相应的权限。 2．在域控制器中创建财务部的组（包含所有财务部人员），在安全属性页中添加财务部组假设财务部又新来了Ｎ位员工，如果你选择第一种方案，你就需要在安全属性中添加并配置Ｎ位员工，而选择第二种方案，你只需要在域控制器上创建用户帐户的时候指定他们的组为财务部就可以了，而无需修改安全属性中的角色列表。所以，很显然你应该选择第二种方式。尤其是你有很多共享文件夹进行管理的时候，使用组来管理的好处就更能够体现出来了。通过这个例子你也能够体会到：使用组其实是为了管理方便，用最少的工作获得最好的效果！

明确了组的作用后就来看看本地组、全局组、域本地组和通用组的概念和区别。什么是本地组呢？很多时候本地组被人认为是域本地组的简称。其实严格来说，本地计算机上也可以创建属于本机的组，这些组才应该称为“本地组”。它的成员可以来自本地计算机或者所有的可信任域。本地组存储在本地计算机中，而域本地组存储在域控制器上。你如果使用过域，应该有这种体验：使用域帐户登录域中任意一台计算机后，默认情况下是普通的Users组权限，如果要提升成管理员权限，需要把这个域帐户添加到本地计算机的Administrators组中。全局组的特点是什么呢？全局组成员来自于同一域的用户账户和全局组，在林范围内可用。也就是说能够添加到全局组的成员是本域的成员或者全局组（这样就构成了组的嵌套）。如果在上海的域中创建了全局组A，那么能添加到A中的人只能是上海域中的对象或者是其他可信任域，如北京或大连的全局组。域本地组的特点是什么呢？域本地组成员来自林中任何域中的用户账户、全局组和通用组以及本域中的域本地组，在本域范围内可用。通用组的特点是什么呢？通用组成员来自林中任何域中的用户账户、全局组和其他的通用组，在全林范围内可用。但是注意通用组的成员不是保存在各自的域控制器上，而是保存在全局编录中，当发生变化时能够全林复制。规则就这些，请不要记混。可以简单这样记忆：全局组来自本域用于全林通用组来自全林用于全林域本地组来自全林用于本域因为只有域本地组专用于在本地赋予权限，所以，通常情况下，域本地组总是最后被应用。下面我们通过几个例子来讲述他们的应用：康博公司是一个大型的软件公司。公司的业务发展很快，目前在北京拥有自己的办公大楼，总部也因此设在那里，另外在上海也有分公司。公司在企业内部建立了域名为https://www.wendangku.net/doc/ff19189130.html,的域，由于上海的分公司主营外包业务，相对比较独立，于是为其创建了子域https://www.wendangku.net/doc/ff19189130.html,，从而形成了域树。后来公司管理层经过商议与另外一个物流公司A合作创办了一个电子物流公

2018电大形考任务管理活动目录域

实训目标：理解域的特点，掌握创建域、管理域以及管理组织单位的方法与步骤；理解域用户账户与组账户的特点、用途，掌握管理域用户账户与组账户的方法与步骤。实训环境： 6台Windows Server 2008 R2企业版计算机。实训内容：假设你是一家公司的网络管理员，负责管理公司的网络。公司希望创建域来管理网络。为此，需要你执行以下工作： ①按照下图1，创建域森林。图1 具有两棵域树的森林 ②在域https://www.wendangku.net/doc/ff19189130.html,中有三个部门：销售部、培训部和技术支持部，现在需要为这三个部门分别建立组织单位，并把每个部门的10台计算机加入到各自的组织单位中。 ③在域https://www.wendangku.net/doc/ff19189130.html,中，为公司员工创建域用户账户，并设置域用户账户的个人信息。 ④对某些用户（例如：临时工），设置这些域用户账户的登录时间以及限制登录地点。 ⑤如果一个用户（如：john）由于生病而在一段时间内无法上班，请禁用他的域用户账户。 ⑥如果一个用户忘记了自己的账户密码，为其重设账户密码。 ⑦一个用户辞职后离开了公司，请删除该用户的用户账户。 ⑧创建组账户，并把一系列的用户账户加入到这个组账户中。

提示：本实训需要搭建五台域控制器，如果学员实训中无法在计算机上运行这么多虚拟机，本实训可以化简为仅搭建 https://www.wendangku.net/doc/ff19189130.html,、https://www.wendangku.net/doc/ff19189130.html,、https://www.wendangku.net/doc/ff19189130.html,三台域控制器。内容②中对https://www.wendangku.net/doc/ff19189130.html,的操作改为对https://www.wendangku.net/doc/ff19189130.html,的操作。一、创建森林域 ①在此计算机上安装Windows Server 2008 R2企业版。将此计算机的名称设置为dc3，当它升级为域控制器后会自动改名为https://www.wendangku.net/doc/ff19189130.html,。此计算机的IP地址和DNS服务器地址等信息按照图2所示进行配置。 ②以该计算机的本机管理员身份登录，然后使用以下两种方式之一安装活动目录。●单击屏幕左下角的“服务器管理器”图标，然后请转到步骤○3。●单击【开始】→【运行】，输入“dcpromo.exe”后，单击【确定】图标。此时它会自动执行步骤○3～步骤○10，所以请转到步骤○11。 ③在“服务器管理器”中，单击左侧的“角色”，然后单击右边的“添加角色”。 ④在“开始之前”窗口中，单击【下一步】按钮。 ⑤在“选择服务器角色”窗口中，选中【Active Directory域服务】，然后在弹出的“是否添加Active Directory域服务所需的功能”窗口中，单击【添加必需的功能】，最后单击【下一步】按钮。 ⑥在活动目录安装窗口中，单击【下一步】按钮。 ⑦在“Active Directory域服务简介”窗口中，单击【下一步】按钮。 ⑧在“确认安装选择”窗口中，单击【安装】按钮。 ⑨在“安装结果”窗口中，单击【关闭】按钮。 ⑩单击【关闭该向导并启动Active Directory域服务安装向导（dcpromo.exe）】 ?在“欢迎使用Active Directory域服务安装向导”窗口中，单击【下一步】按钮。?在“操作系统兼容性”窗口中，单击【下一步】按钮。 ?如图2所示，因为是在一个已有森林中新创建子域，所以选中【现有林】和【在现有林中新建域】，然后单击【下一步】按钮。

第十一章活动目录的维护

第十一章活动目录的维护内容摘要本章重点介绍Windows2000活动目录数据的存储过程和维护方法。重点包括： ? 活动目录数据的备份和恢复 ? 活动目录数据的优化 ? 活动目录的维护程序考点提示 ? 活动目录的授权恢复和非授权恢复 ? 管理活动目录对象移动的程序：Movetree ? Ntdsutil.exe的应用 11．1 活动目录维护简介造成Windows2000活动目录故障的原因很多，后果也不完全相同，如系统不能启动，不能登录，网络访问和网络验证出现故障等。当活动目录出现故障时，首先应查找可能引起故障的原因，然后根据掌握的资源情况，制定修复策略，对活动目录进行修复。 11．2 活动目录数据的维护 Windows2000活动目录将数据存储在一个事物数据库和日志文件中，对活动目录数据进行维护可以在系统出现故障时，如硬盘损坏或者软件系统崩溃而导致数据丢失时，对数据进行有效的恢复。活动目录数据维护的关键在于对活动目录数据库和日志文件进行有效的维护。 Windows2000服务器对活动目录数据提供如下的维护方法： ? 备份和恢复。使用Windows2000自带的备份工具可以对活动目录数据库进行备份和恢复。活动目录数据库在Windows2000中是整个系统数据的一部分。 ? 移动。Windows2000服务器支持将活动目录数据库从一个地方移动到另一个地方，注意移动一个活动目录数据库文件后，原文件并不会自动删除，而是继续存在，这儿的移动和复制有一些相似。 ? 碎片整理。频繁的数据库访问会造成磁盘空间利用率下降。碎片整理可以重新排列数据库中的数据，回收可以利用的磁盘空间。 11．2．1 活动目录数据的存储过程 Windows2000活动目录使用可扩展的存储引擎(ESE)对数据进行存储。ESE应用事务和日志的概念将数据存储在数据库和事务日志文件中。所谓事务（Transaction），是指系统作为一个不可分割的整体进行处理的更改、添加、删除等操作的集合。活动目录数据存储的基本过程如下： 1、为数据库更改创建一个事务 2、向日志文件中写入事务 3、将事务写入内存缓冲区 4、将更改在系统空闲的时候写入数据库 5、更改指向日志中未写入数据库的数据项的指针。

管理活动目录域服务实训

管理活动目录域服务实训管理是指一定组织中的管理者，通过实施计划、组织、领导、协调、控制等职能来协调他人的活动，使别人同自己一起实现既定目标的活动过程。是人类各种组织活动中最普通和最重要的一种活动。近百年来，人们把研究管理活动所形成的管理基本原理和方法，统称为管理学。作为一种知识体系，管理学是管理思想、管理原理、管理技能和方法的综合。随着管理实践的发展，管理学不断充实其内容，成为指导人们开展各种管理活动，有效达到管理目的的指南。（一）管理体系：管理包罗万象，渗透在各个领域，凡是有人群活动的地方，就有管理。上自整个社会、一个国家，下到每个家庭和每个人，都离不开管理。（二）管理手段：社会是个庞杂的大系统，千头万绪，怎样管理?管理学家们提出机构、法、人和信息四种管理手段。（1）机构，是使管理对象构成系统的组织结构。没有机构就组织不成系统。不成系统便无法管理；（2）法，政策与法律来源于管理目标。在管理活动中，它规定被管理的人哪些应该做，哪些不应该做，是人们的行动准则；（3）人，是管理中最活跃的因素。机构是人组成的，管理职权是人行使的，政策与法是人制定的。发挥人的积极性和创造性是搞好管理的重要手段；（4）信息，不利用信息，就不知道事物的发展形势，就会造成管理的盲目性。它是管理的重要工具。

（三）管理对象：事物多种多样，纷纭复杂，千变万化。管理些什么?科学家们提出了五个主要管理对象：人、财、物、时间和信息。（1）人，是社会财富的创造者、物的掌管者、时间的利用者和信息的沟通者，是管理对象中的核心和基础。只有管好人，才有可能管好财、物、时间和信息；（2）财，是人类衣、食、住及其进行交往的基础。管理者必须考虑运用有限的财力，收到更多的经济效益；（3）物，是人类创造财富的源泉。管理者要充分合理和有效地运用它们，使之为社会系统服务；（4）时间，反映为速度、效率，一个高效率的管理系统，必须充分考虑如何尽可能利用最短的时间，办更多的事；（5）信息，只有管理信息，及时掌握信息，正确地运用信息，才能使管理立于不败之地。

操作系统安全实验报告

操作系统安全实验报告一、【实验构思（Conceive）】操作系统安全：实验目的：操作系统是计算机的根本，没有操作系统的计算机的用处并不是很大。而如今随着网络的快速发展，计算机成为了我们生活中不可或缺的一部分，因此，计算机操作系统安全显得尤为重要，如果操作系统的安全指标很低的话，那么就会造成个人信息的暴露，受到其他计算机的攻击等等，因此，我们必须对自己的计算机系统安全负责，操作系统的安全是广义的，操作系统安全应该包括操作系统信息安全、操作系统运行速度、操作系统软件安全、操作系统硬件安全等。操作系统的安全我们可以从操作系统版本、账户安全、文件系统、资源文件安全、日志与审核、服务管理、端口安全、注册表、系统备份与恢复等几方面入手，理解以上几个部分要达到什么样的指标然后在向这个指标去设计。实验内容分析：操作系统版本：操作系统的版本决定计算机根本功能，目前最广泛的版本有windows 7、windows 8、windows XP，三个版本各有优点，例如windows XP更实用与台式计算机，windows 7的兼容性又比windows 8的好，而windows 8的开机速度又更快等等。账户：账户指的是登陆操作系统的用户，我们要做的是如何才能让账户安全。文件系统：

文件系统是操作系统用于明确磁盘或分区上的文件的方法和数据结构即在磁盘上组织文件的方法。也指用于存储文件的磁盘或分区，或文件系统种类。操作系统中负责管理和存储文件信息的软件机构称为文件管理系统，简称文件系统。文件系统由三部分组成：与文件管理有关软件、被管理文件以及实施文件管理所需数据结构。从系统角度来看，文件系统是对文件存储器空间进行组织和分配，负责文件存储并对存入的文件进行保护和检索的系统。具体地说，它负责为用户建立文件，存入、读出、修改、转储文件，控制文件的存取，当用户不再使用文件撤销文件等。资源文件：所有可以从中读取出需要的资源的文件，可以称之为“资源文件”。资源的类型可以是图片、音频、视频、文字资源，或者其他可以在计算机中展示的内容等等。由专门的程序接口去读取，并在应用程序中根据需要向用户展示。资源文件的类型很多，不限制文件的后缀名。各个不同的软件系统，可以使用自己定义的资源文件类型。并采用自己的加密方式。资源文件中的资源是可替换的，替换之后，无需重新编译代码，即可实现视觉、听觉、文字等效果的改变。如果直接读取文件就是在程序运行到需要时才从硬盘上搜索(没有现成的地址，这应该是比较慢的原因)。也就是说如果一个工程需要外围文件的量很大，那就不应该把它们加入资源文件，而是在需要的那个文件时再加载它，资源文件比较适合于占空间小的文件。系统日志与审核：系统日志是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻

实验指导书(项目2)-活动目录的安装与配置

实验二：活动目录域服务的安装与配置实训课时：2 实训目的： 1、理解域环境中计算机4种不同的类型。 2、熟悉Windows Server 2008域控制器、额外域控制器以及子域的安装。 3、掌握确认域控制器安装成功的方法。实训要求：这个项目需要分组来完成完成。 1、安装5 台独立服务器win2008-1、win2008- 2、win2008- 3、win2008-4 和win2008-5 要求：把win2008-1 提升为域树https://www.wendangku.net/doc/ff19189130.html, 的第一台域控制器；把win2008-2 提升为https://www.wendangku.net/doc/ff19189130.html, 的额外域控制器；把win2008-4 提升为域树https://www.wendangku.net/doc/ff19189130.html, 的第一台域控制器； https://www.wendangku.net/doc/ff19189130.html, 和https://www.wendangku.net/doc/ff19189130.html, 在同一域林中；把win2008-3 提升为https://www.wendangku.net/doc/ff19189130.html, 的域控制器，把win2008-5 加入到https://www.wendangku.net/doc/ff19189130.html,中，成为成员服务器。各服务器的IP 地址自行分配。实训前一定要分配好IP 地址，组与组间不要冲突。 2、请读者上机实训前，一定做好分组方案。分组IP 方案举例（以第10 组为例，每组 3 人）：5 台计算机的IP 地址依次为：192.168.10.1/24、192.168.10.2/24、 192.168.10.3/24、192.168.10.4/24、192.168.10.5/24。 3、在上面项目完成的基础上建立https://www.wendangku.net/doc/ff19189130.html,和https://www.wendangku.net/doc/ff19189130.html,域的双向的快捷信任关系。 4、在任一域控制器中建立组织单元outest，建立本地域组Group_test，域账户User1 和 User2，把User1和User2加入到Group_test；控制用户User1 下次登录时要修改密码，用户User2可以登录的时间设置为周六、周日8:00～12:00，其他日期为全天。实验设备和环境安装虚拟机和WindowsServer2008系统的计算机5台实训内容： 1．创建第一个域https://www.wendangku.net/doc/ff19189130.html, ①在win2008-1上设置TCP/IP 协议，并且确认DNS 指向了自己。 ②在win2008-1上安装AD 域服务。 ③在win2008-1上安装活动目录（dcpromo.exe）。注意将DNS服务器一同安装。 2．安装后检查 ①查看计算机名。 ②查看管理工具。 ③查看活动目录对象。 ④查看Active Directory 数据库。 ⑤查看DNS 记录。 3．安装额外的域控制器win2008-2 ①首先要在win2008-2 服务器上检查“本地连接”属性，确认win2008-2 服务器和现在的域控制器win2008-1 能否正常通信；更为关键的是要确认“本地连接”属性中TCP/IP

ad活动目录解决方案ppt

ad活动目录,解决方案,ppt 篇一：活动目录AD解决方案客户现状：现在客户在各地共有4个办公点。每个点采用的是独立的域环境。现在客户希望将分散在各地的办公点连接起来，能够实现各地间的访问与共享。一、客户方案：通过VPN技术实现网络的互联，并通过林间的信任来实现各地间的互相信任，以达到共享与访问。客户的方案如下：拓扑图如下：由于客户各地点域已经建立，现在需要做的如下： 1、DNS的转发：作用：处理本地没有应答的DNS查询。方法：每个域内的DNS服务器都需要做到其他域的DNS 转发，以便于DNS的解析。 2、信任关系的建立作用：为了使不同域可以互相访问。方法：在每台DC的“Active Directory域和信任关系”中建立到不同域的双向信任关系。在这里建立A,B的相互信任，B,C的相互信任，C,D的相互信任，A,D的相互信任（一但前三个相互信任形成，则第四个A，D的相互信任自动形成。） 3、 WINS服务器的安装

作用：信任域间可以通过主机名称进行访问。方法：每个域建立独立的WINS服务器，并与其他域内的WINS服务器建立“推/拉”伙伴关系，实现域间WINS服务器的同步。各域客户端WINS服务器指向本地服务器。说明：每个域内的DC可以承担包括AD,DNS, WINS在内的服务以节省资源。二、单域多站点结构方案拓扑图：方案描述如下：所有站点处于同一个域下，每个站点的子网不相同。在A站点建立主DC服务器,其他站点分别建立额外DC，如, , 实现方法： 1. 子网划分：分配各个站点的子网，要求子网不能够相同，比如A站点/24 B站点 /24; C站点/24; D站点/24 2. 主DC的建立：A站点域控制器集成AD与DNS服务，并且在DNS 上做转发，实现对外网的访问。在A站点建立域内主DC，DNS地址指向本地地址。 3. 额外DC的建立：首先DC

实验07 活动目录与域(三)

实验07 活动目录与域--组策略实验目的 1 所有域用户不能随便修改背景 2所有域用户只能运行规定的程序 3 所有域用户帐号打开IE默认主页为https://www.wendangku.net/doc/ff19189130.html, 4 所有域用户帐号无法使用运行,管理员可以使用运行 5 域用户帐号可以关机 6管理员可以使用本地连接－属性,任何域用户帐号不可使用。 7 域用户帐号看不到C盘 8 域用户帐号在控制面板中看不到”添加删除windows组件” 9 取消自动播放实验环境 BENET公司利用域环境来实现企业网络管理，公司要求企业员工在使用企业计算机的相关设置需统一管理，要求企业管理员按如下要求完成设置 1 所有域用户不能随便修改背景，保证公司使用带有公司LOGO的统一背景。 2. 所有域用户不能运行管理员已经限制的程序，比如word等。 3 配置域用户所有IE的默认设定为本企业网站https://www.wendangku.net/doc/ff19189130.html,，保证员工打开IE 可以直接访问到公司网站。且用户不能自行更改主页 4 禁止域用户使用运行，管理员除外。防止打开注册表等修改系统配置。只有管理员处于管理方便目的，可以使用运行。 5保证域用户有关机权限，保证员工下班可以自行关机，节省公司资源。 6除管理员外的任何域帐号都不可以更改计算机的IP地址设置，防止由于IP地址冲突造成网络混乱。 7 隐藏所有用户的C盘，防止用户误删除系统文件，造成系统崩溃。 8 控制面板中隐藏”添加删除windows组件”，防止用户随意添加windows组件，造成系统问题。 9 取消自动播放，以防止插入U盘有病毒，自动运行病毒实验准备 1 一人一组 2 准备两台Windows Server 2003虚拟机(一台DC,一台成员主机) 3 实验网络环境192.168.8.0/24

企业AD域控规划设计方案

企业活动AD域控规划方案活动目录介绍活动目录是Windows 2003网络体系结构中一个基本且不可分割的部分，它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外，目录服务在网络安全方面也扮演着中心授权机构的角色，从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是，活动目录还担当着系统集成和巩固管理任务的集合点。总的来说，活动目录的这些功能使组织机构可以将标准化的商业规则贯彻于分布式应用和网络资源当中，同时，无需管理员来维护各种不同的专用目录。

活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时，它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成，从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也可以使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值，同时，降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。活动目录是微软各种应用软件运行的必要和基础的条件。下图表示出活动目录成为各种应用软件的中心。 1.1. 应用Windows 2003 Server AD的好处 Windows 2003 Server是微软最新推出的网络操作系统服务器，它沿用了Windows 2000 Server 的先进技术并且使之更易于部署、管理和使用。其结果是：其高效结构有助于使您的网络成为单位的战略性资产。应用Windows 2003 Server的好处如下表所示：优势描述可靠性Windows Server 2003 是迄今为止最快、最可靠和最安全的Windows 服务器操作系统。 ●提供集成结构，用于帮助您确保商业信息的安全性。 ●提供可靠性、实用性和可伸缩性，使您可以提供用户需要的网络结构。