笛里谁知壮士心,沙头空照征人骨。这篇文章主要讲述AD实验手册相关的知识,希望能为你提供帮助。
Lab1: 域控制器的安装?
实验准备?
完成机器名设置完成IP地址设置?
关闭Windows防火墙,用Ping测试相互连通性?
实验步骤:?- 安装第一台域控制器(DC1)?
添加“ADDS服务”并用向导完成DC的配置?
安装第二台域控制器(DC2)?确认该服务器的DNS设置中包含指向第一台域控制器添加“ADDS服务”并用向导完成DC的配置?
将PC加入到域中,并验证DC的高可用?确认该服务器的DNS设置中包含指向以上的域控制器将PC加入到域中?
使用域管理员(如abc\\administrator)账户登录, 用命令行set logonserver查看对应的?
DC,?
为验证域控制器的高可用,将该DC关机,并在PC上注销后重新登录,观察登录是否成功,并再次用set logonserver命令检查所提供登录服务的DC是否变化?
Lab2: 多域的配置(父子域)?
实验准备?
DC1,DC2已经是abc.com的域控制器PC1已经加入abc.com域?
实验步骤?- 新安装一台DC3安装一台DC3的虚拟机,关闭防火墙,配置主机名和IP地址,确保DNS服务器指向DC1或DC2, 并能ping通原有两台DC的IP
安装DC3为原有域的子域控制器?- 在域中创建一个名称为HR的OU,并用两种命令行的工具,分别创建用户hr01和hr02 使DS命令集中的dsadd命令,创建名为HR的OUdsadd ou ou=HR, dc=abc,?
安装ADDS域服务,启动域控制器配置向导,将DC2配置为子域控制器,域名为sh.abc.com, Netbios名为sh?
注意:用向导完成以上步骤时,到向导最后一步时,提示可查看对应的Powershell脚本,将脚本拷贝出,取消向导,用Powershell脚本完成域控制器的安装工作(脚本执行时,会提示输入域管理员帐号和域恢复设置的密码)?
用PC登录子域?分别用abc\\administrator 和sh\\administrator (或administrator@sh.abc.com) 从PC登录父域和子域,用set logonserver查看对应的域控制器,用whoami查看登录身份?
Lab3: 域中对象的创建和管理?【AD实验手册】
实验准备?DC1和DC2已经安装为域控制器?
PC1已经加入域(如abc.com或学员自定义的域名)?
实验步骤?
在域中创建一个名称为IT的OU,并用两种图形化的工具,分别创建用户it01和it02,并将it和it02加入用户组it-group?使用"AD用户和计算机”工具,创建名称为IT的OU,并创建其中的用户it01 使用“AD管理中心”工具,创建用户it02?
将it01和it02加入用户组it-group?
观察在另一台域内的DC上是否自动同步了创建好的OU和用户?
dc=com?
?
??
使用DS命令集创建用户hr01, 需在普通CMD命令行下输入:dsadd user?
cn=hr01,ou=HR,dc=abc,dc=com -upn hr01@abc.com -pwd 123.com -mustchpwd no?-disabled no?
使用Powershell命令集中的New-ADaccount命令,创建用户hr02, 须在Powershell 命令行下输入:new-aduser -name "hr02" -userprincipalname "hr02@abc.com" - accountpassword (ConvertTo-SecureString -AsPlainText "123.com" -Force) -Path "ou=hr,dc=abc,dc=com" (注意:本命令执行后用户默认为禁用状态,除非在命令中增加- enabled $true参数)?
在终端PC1上尝试多种帐号登录方式?使用PC本地帐号登录:PC1\\administrator 或.\\administrator?
使用域帐号登录:abc\\it01 或it01@abc.com?
熟悉多种活动目录的搜索和筛选功能?使用“AD用户和计算机”搜索域内名称为PC1的计算机?
使用“AD管理中心”,搜索域内被经用的账户(结果应为hr02)?
使用Powershell脚本统计每个OU下的用户数?
访问微软的Technet网站https://gallery.technet.microsoft.com, 用关键字“count user"搜索可用的脚本?
启用Poweshell的ISE工具,直接执行脚本或拷贝脚本中的语句在脚本窗口中执行,执行结果默认导出到C:\\user\\administrator目录下?
Lab4:组策略的配置?
实验准备?DC1和DC2已经安装为域控制器?
PC1已经加入域(如abc.com或学员自定义的域名)?
域中已经创建了名称为IT的OU,并且各自包含用户账户,如it01,it02等?
实验步骤?- 在域控制器上,创建一个应用于IT这个OU的GPO,名称为IT-GPO,并完成以下“策略”设置?
禁用客户端用户的“控制面板”中的“程序和功能“入口强制设置IE浏览器的主页为??“http://internal.abc.com??” 禁止用户更改桌面强制背景?
在PC1上用it01用户登录域,执行GPO更新后,核验GPO更新效果??用it01@abc.com登录PC1,执行gpupdate /force命令强制更新GPO?
用gpresult /r 观察GPO的更新时间,并用gpresult /h gpo.html导出更新的配置记录到文件,到C:/user/it01目录下打开该文件并核对更新记录?
操作并确认控制效果?
禁用该OU下的GPO,使配置临时失效?禁用该GPO(或仅仅禁用GPO的链接),并在客户端执行gpresult /force, 观察相关配置是否复原?
设置“安全筛选”,是组策略只对OU内的部分用户或用户组启用?恢复GPO,并在”安全筛选“中删除默认的“Authenticated Users", 并添加it01用户?
分别用it01和it02用户登录PC,并更新GPO,注意观察两个用户是否都受GPO影响?
Lab5: 组策略的应用?
实验目标:?练习多种企业中常见的组策略设置?
准备工作:?将PC1的计算机从默认的“Computer”容器移动到IT的OU内,使IT的OU内既有计算机账户,又有用户账户?
创建一个共享文件夹,名称为share, 实验中将多次使用到该文件夹删除之前实验中创建的GPO?
实验步骤?- 在域级别的默认GPO上,配置帐号安全策略?
去除复杂密码要求,允许用简单密码登录?
登录不用按Ctrl+Alt+del, 但不显示上次登录名?
在IT的OU上创建并链接一条GPO,名称为“用户桌面控制策略” 包含以下设置,设置完成后,在PC机上验证?
- 客户端用户环境控制
设置桌面墙纸为共享文件夹中的指定图片,且用户无法修改
设置如果用户设定了屏幕保护,则屏保的等待时间为600秒(10分钟),解除屏保需密码保护
禁止使用U盘
将控制面板中的部分设置项目隐藏(实验中隐藏“电源选项”和“系统”两个项
目)
在IT的OU上创建并链接一条GPO,名称为“软件分发与控制策略” , 包含以下设置,设置完成后,在PC机上验证?