实训二：windows server 2008 额外域控制器配置

server2008域控组策略Server 2008域控组策略是Windows Server 2008操作系统中用于管理和配置域内计算机和用户的一种强大工具。

通过域控组策略，系统管理员可以集中管理和控制域中的计算机和用户，确保网络的安全性和合规性。

本文将介绍Server 2008域控组策略的基本概念、功能和使用方法。

一、基本概念1.1 域控制器域控制器是指在Windows Server操作系统中运行域服务（Active Directory）的服务器。

域控制器存储和管理域中的所有用户账户、计算机账户、组策略等信息。

1.2 组策略组策略是一种在域控制器上创建和配置的一组设置，用于控制域中计算机和用户的行为。

组策略可以在域的不同层次上进行配置，如域级别、站点级别和组织单位级别。

二、功能2.1 安全性配置通过域控组策略，管理员可以配置密码策略、用户权限、网络安全性等设置，以确保域中计算机和用户的安全性。

例如，可以设置密码复杂度要求、账户锁定策略、防火墙设置等。

2.2 软件部署域控组策略还支持软件的自动部署和更新。

管理员可以通过组策略将特定的软件程序自动安装到域中的计算机上，或者更新已安装的软件。

这样可以提高软件的管理效率和一致性。

2.3 网络资源管理通过域控组策略，管理员可以配置网络资源的访问权限和管理策略。

例如，可以设置共享文件夹的访问权限、打印机的安装和配置、网络驱动器的映射等。

2.4 用户配置域控组策略还可以配置用户的桌面环境、任务栏设置、桌面壁纸等个性化设置。

管理员可以通过组策略为用户提供统一的工作环境，提高工作效率。

三、使用方法3.1 打开组策略管理器在域控制器上，可以通过“开始”菜单中的“管理工具”找到“组策略管理器”并打开。

3.2 创建和配置组策略在组策略管理器中，可以创建和配置不同的组策略对象。

可以右键点击“组策略对象”文件夹，选择“新建”来创建新的组策略对象；也可以右键点击已有的组策略对象，选择“编辑”来配置已有的组策略。

Windows Server 2008中Active Directory域的配置管理摘要：随着计算机技术的发展，利用域管理网内计算机的新技术得到广泛应用，本文图例介绍了windows平台的active directory 域及配置管理方法关键词：windows server active directory域配置管理中图分类号：tp316 文献标识码：a 文章编号：1007-9416(2012)02-0155-02活动目录（active directory）是windows server 2008操作系统提供的一种新的目录服务。

所谓目录服务其实就是提供了一种按层次结构组织的信息，然后按名称关联检索信息的服务方式。

这种服务提供了一个存储在目录中的各种资源的统一管理视图，从而减轻了企业的管理负担。

另外，它还为用户和应用程序提供了对其所包含信息的安全访问。

活动目录作为用户、计算机和网络服务相关信息的中心，支持现有的行业标准ldap（lightweight directory access protocal，轻量目录访问协议）第8版，使任何兼容ldap 的客户端都能与之相互协作，可访问存储在活动目录中的信息，如linux、novell系统等。

创建域之前需验证windows server 2008系统具备以下条件：(1)在安装windows server 2008的计算机上至少有一个ntfs分区，至少有250m的空间。

(2)计算机上必须配置好ip地址和dns服务器地址。

(3)具须具备管理员权限。

dns服务可以在安装活动目录前安装，也可以在活动目录集成安装，即在安装活动目录过程中安装。

1、安装active directory域一般情况下，在新安装系统时，系统会提示是否选择安装【活动目录】选项，通常不安装活动目录，以便用户有时间来规划与活动目录有关的协议和系统结构。

活动目录服务一般需要在安装windows server 2008后进行安装，可以使用“dcpromo”命令，“dcpromo”是一个图形化的向导程序，它将引导用户一步一步地建立域控制器。

Windows Servers 2008＆1.1.1:用命令提升域控制器:1.1:因为window servers 2008 升级为域控制器要先安装Active Directory 域服务,安装服方法为在初始配置任务窗口,点击添加角色,在添加角色向导中选择服务器角色,选择Active Directory 域服务,待安装完毕后,在开始运行中输入dcpromo.exe开始升级域控＆2.1.1:备份还原2.1向导备份先安装Windows server Backup功能,待安装完毕后,在服务器管理器里选择Windows server backup向导,然后依向导备份;2.2利用命令备份a:先安装Windows server backup 及命令行工具和Windows powershell功能,,然后在开始运行中输入wbadminb:在命令行提示符中输入如下命令:Wbadmin get disks 回车显示出服务器已经连接的磁盘C:在命令提示符下输入如下命令:wbadmin start systemstatebackuup -backuptarget:f:回车显示询问是否将系统从c盘备份到F盘，键入Y回车然后开始创建需要备份卷的卷影副本并搜索系统文件，备份完成后，并且创建了一个备份文件日志；d:在命令提示符下输入如下命令：wbadmin get versions回车显示备份信息2.3：恢复系统文件（命令下）a：重启系统进入目录还原模式并以本地管理员登录输入还原密码b：打开命令提示符输入如下命令：wbadmin get versions回车显示AD服务器的备份列表及需要注意每次备份中的版本标识符c：在命令提示符下输入：wbadmin start systemstaterecovery -version：05/14/2008-00:05回车输入Y开始还原3:拯救域控制器3.1.1 概述:主域控制器出现故障但管理员可以登录进去,首先将数据备份到其他硬盘并将辅助域控制器提升为主控,然后在原主控制器上运行dcpromo将其从AD中删除或者从装,再将其升级为辅助域控,最后升级为主控并恢复数据;主域控制器彻底损坏并且不能恢复,将其辅助域控提升为主控,重装原主控升级为额外域控,最后升级为主控并恢复数据.3.1.2 转移操作主机角色五种操作主机角色:RID主机角色、PDC模拟器角色、结构主机角色、域命名操作主机角色、架构主机角色；1：连接辅助域控制器（主域控可以登录）在主域控上Active Directory用户和计算机选项打开Active Directory用户个计算机并右击选择更改域控制器选项，在接下来的选择要提升为主域控的辅助域控；2：转移RID PDC模拟器角色、结构主机角色在Active Directory用户和计算机窗口中右击选择操作主机，然后以此更改RID、PDC、结构主机三个角色3：转移域命名主机角色在Active Directory域信任关系右击选择操作主机，然后更改该角色到辅助域控制器上面；4：转移架构主机角色打开命令提示符输入：ntdsutil回车进入ntdsutil然后输入如下命令：roles回车进入fsmo maintenance 输入如下命令：connections回车进入server connections命令提示符下输入如下命令连接辅助域控制器connect to server 回车在server connections 提示符下输入如下命令：quit 按回车回到fsmo maintenance在此命令提示符下输入如下命令Transfer schema master 回车及完成命令5：查看架构主机角色a:使用Active Directory架构管理单元可以查看架构主机角色的位置，默认Active Directory并没有在MMC管理单元中显示，需要注册后使用，在辅助域控制器上面在运行中输入regsvr32 schmmgmt.dll确定即可b:在开始运行中MMC然后添加Active Directory架构，待完成后右击Active Directory架构在操作主机选项所显示的更改架构主机可以看到3.1.3恢复原主域控制器将主域控制器角色转移到辅助域控上后，徐将其提升为全局编录服务器，并在原主控上dcpromo命令删除原域控，然后重装系统并升级为额外愉快最后提升为主域控制器1：升级辅助域控为全局编录服务器在Active Directory站点和服务窗口以此展开Site、Default-First-Site-Name、servers、域名，然后右击NTDS Settings选择属性然后选择全局编录复选项，3.1.4 强制转移主机角色如果网路中的主域控制器完全损坏不能恢复，将辅助域控强行升级为主控及全局编录服务器，然后重装原主控，升级为辅助域控并升级为主控；a：打开命令提示符输入：ntdsutil回车进入ntdsutil然后输入如下命令：roles回车进入fsmo maintenance 输入如下命令：connections回车进入server connections命令提示符下输入如下命令连接辅助域控制器connect to server 回车在server connections 提示符下输入如下命令：quit 按回车回到打开命令提示符输入：ntdsutil回车进入ntdsutil然后输入如下命令：roles回车进入fsmo maintenance 输入如下命令：connections回车进入server connections命令提示符下输入如下命令连接辅助域控制器connect to server 回车在server connections 提示符下输入如下命令：quit 按回车回到fsmo maintenance在此命令提示符下输入如下命令b：占用架构角色，在fsmo maintenance命令提示符下输入如下命令：Seize schema master回车显示角色占用确认对话框，提示网管管理员是否要占用架构主机角色，单击是将占用架构主机角色;c：占用RID主机角色，在fsmo maintenance在此命令提示符下输入如下命令：Seize RID master回车显示角色占用确认对话框，提示网管管理员是否要占用RID Master主机角色，单击是将占用RID Master主机角色d: 占用PDC主机角色，在fsmo maintenance在此命令提示符下输入如下命令：Seize PDC回车显示角色占用确认对话框，提示网管管理员是否要占用pdc主机角色，单击是将占用pdc主机角色e: 占用结构主机角色，在fsmo maintenance在此命令提示符下输入如下命令：Seize infrastructure master回车显示角色占用确认对话框，提示网管管理员是否要占用infrastructure master主机角色，单击是将占用infrastructure master主机角色f: 占用域命名主机角色，在fsmo maintenance在此命令提示符下输入如下命令：Seize naming master回车显示角色占用确认对话框，提示网管管理员是否要占用infrastructure master主机角色，单击是将占用naming master主机角色，以上为强制夺取五个角色步骤；3.1.1 DNS数据库及DHCP数据库备份迁移1：DNS数据库备份还原:DNS服务器默认会在system%\system32\DNS 目录下创建数据库文件，其中backup文件夹是用来备份DNS数据库的，在备份前应当通过DNS控制台停止DNS服务器，2：DHCP数据库备份即还原a:DHCP数据库默认在window\system32\dhcp文件夹中，其中dhcp.mdb 为存储数据库文件其他为辅助文件，还有一个backup文件夹用来备份dhcp数据库。

2008_域环境搭建目录第一章虚拟场景 (2)1、公司简介 (2)2、公司现有IT状况 (2)第二章实验设计 (3)1、域规划 (3)2、计算机规划 (3)第三章具体实施 (4)1、建立根域 (4)1.1准备 (4)1.2 安装 (4)2、建立子域 (13)3、额外域控制器建立 (18)4、站点的建立与连接 (25)4.1 创建站点 (25)4.2 定义站点子网 (26)4.3 定位服务器 (27)4.4 配置站点连接器 (28)5角色迁移 (28)第四章实验中的问题 (33)第一章虚拟场景1、公司简介某公司通过合理的运营和管理，发展迅速，员工人数已有200人左右，现在该公司总部设在长春，两个子公司分部在大连和沈阳，为了满足公司未来的发展和企业运营的需求，公司决定重新部署企业网络。

公司决定部署一个由200台计算机组成的局域网。

用于完成企业数据通信和资源共享。

公司内部有：人力资源部、行政部、财务部、工程部、销售部、总经理办公室2、公司现有IT状况公司已有一个局域网，运行200台计算机，服务器操作系统是windows server 2008，客户机的操作系统是windows xp，工作在工作组模式下，员工一人一机办公。

公司从ISP申请2M专线用于与各个子公司相连，实现各公司间资源交换与共享。

由于计算机比较多，管理上缺乏层次，公司希望能够利用windows域环境管理所有网络资源，提高办公效率，加强内部网络安全，规范计算机使用。

第二章实验设计1、域规划一改以往的工作组模式，组建域，使管理更方便，工作的环境更安全，用户可以在任意一台域内的计算机登录，共享网络资源。

在总公司长春建立根域内部子网172.16.18.0/24大连分部建立子域内部子网10.10.10.0/24沈阳分部建立子域内部子网192.168.80.0/242、计算机规划DC情况如下表:地区DC计算机名IP 子网掩码DNS长春Mywingc 172.16.18.51 255.255.255.0 172.16.18.51 Mywinsu 172.16.18.216 255.255.255.0 172.16.18.51大连Hanwin01 10.10.10.1 255.255.255.0 172.16.18.51 Hanwin02 10.10..10.216 255.255.255.0 172.16.18.512M沈阳Tbwin01 192.168.80.173 255.255.255.0 172.16.18.51 Shiwin02 192.168.80.215 255.255.255.0 172.16.18.51第三章具体实施1、建立根域1.1准备对于安装WINDOWS 2008 SERVER 的服务器，对硬件有如下要求：处理器最低1.0GHz x86或1.4GHz x64推荐2.0GHz或更高；安腾版则需要Itanium 2内存最低512MB 推荐2GB或更多内存最大支持32位标准版4GB、企业版和数据中心版64GB 64位标准版32GB，其他版本2TB硬盘最少10GB，推荐40GB或更多内存大于16GB的系统需要更多空间用于页面、休眠和转存储文件备注光驱要求DVD-ROM；显示器要求至少SVGA 800×600分辨率，或更高；在安装根域服务器前，首先要确定你的计算机IP地址（IPV4）为静态，DNS指向本机的IP地址（DNS安装会在下面操作中说明） IPV6 禁用1.2 安装在安装windows 2008 之后（安装过程不详细介绍），选择“开始”－“管理工具”—“服务器管理器”选项，然后选择添加角色在服务器角色中选择AD域服务（DNS不可与AD一起勾选）然后单击下一步，进入一个对AD的简介界面，单击下一步进入安装界面点击安装。

实验二 Win Server 2008网络服务配置Win Server 2008网络服务配置在企业网络环境中，服务器起着至关重要的作用，它负责处理客户端的请求，并提供各种网络服务来满足用户的需求。

Windows Server 2008是一种可靠、高效的操作系统，可以为企业提供各种网络服务。

本文将介绍Win Server 2008网络服务的配置方法，帮助您充分利用服务器的功能。

一、安装Windows Server 2008首先，您需要在服务器上安装Windows Server 2008操作系统。

确保您具备相应的安装介质，并按照提示进行安装。

安装完成后，您需要进行一些初始化设置，如设置管理员密码、命名服务器等。

二、配置网络连接在进行网络服务配置之前，首先要确保服务器正确连接到网络。

打开控制面板，选择“网络和共享中心”，然后点击“更改适配器设置”。

在这里，您可以查看服务器的网络连接情况，确保连接正常。

如果需要配置IP地址、子网掩码、默认网关等网络参数，请右键点击适配器，选择“属性”，在弹出的窗口中进行配置。

三、配置DNS服务DNS（Domain Name System）是互联网的地址翻译系统，它将域名转换为IP地址。

在Win Server 2008中配置DNS服务非常简单。

打开“服务器管理器”，选择“添加角色”，然后选择“DNS服务器”进行安装。

安装完成后，开始配置DNS服务器。

在“服务器管理器”中选择“工具”，然后点击“DNS”。

在弹出的窗口中，您可以添加和管理域名、配置缓存和转发等。

四、配置DHCP服务DHCP（Dynamic Host Configuration Protocol）可以自动为客户端分配IP地址和其他网络参数。

在Win Server 2008中配置DHCP服务同样非常简单。

打开“服务器管理器”，选择“添加角色”，然后选择“DHCP服务器”进行安装。

安装完成后，开始配置DHCP服务器。

Windows Server 2008 利用组策略来管理用户的工作环境策略设置实战演练：一、策略设置1：计算机配置由于系统默认是只有某些组（例如administrators）内的用户，才有权限在扮演域控制器角色的计算机上登录，因此一般用户在域控制器上登录时，屏幕上会出现“无法登录”的警告信息，除非他们被赋予允许在本地登录的权限。

以下假设要开放域XUBO，使Domain Users组内的用户可以在域控制器上登录，我们将通过默认的Default Domain Controllers Policy GPO来设置，也就是要让这些用户在域控制器上拥有允许在本地登录的权限。

1、到域控制器上利用系统管理员身份登录。

2、选择“开始”—“管理工具”—“组策略管理”。

3、如图1-1所示，展开到组织单位Domain Controllers，右击右边的Default DomainControllers Policy，选择“编辑”选项。

图1-14、如图1-2所示，展开“计算机配置”—“策略”—“Windows设置”—“安全设置”—“本地策略”—“用户权限分配”，双击右侧的“允许在本地登录”选项。

图1-25、如图1-3所示，单击“添加用户或组”按钮，输入或选择或xubo内的Domain Users组，单击两次“确定”。

图1-3完成后，必须等这个策略应用到组织单位Domain Controllers内的域控制器后才有效。

应用完后，就可以利用任何一个域用户到域控制器上登录，以便测试允许在本地登录功能是否正常。

二、策略设置2：用户配置以下假设域内有一个组织单位业务部，而我们要针对其内的所有用户来设置，而且限定他们必须通过企业内部的代理服务器上网。

假设代理服务器的网址为端口为8080，同时要将其浏览器Internet Explorer的“连接”t选项卡内更改Proxy设置的功能禁用，以免用户私自通过此处更改这些设置值。

由于目前并没有任何GPO被链接到组织单位业务部，因此我们先我们创建一个链接到业务部GPO，然后通过修改GPO设置值的方式来达到目的。

目录一、搭建域控制器步骤 (2)二、搭建额外域控制器步骤（可搭建多个额外域控制器） (1)三、创建计算机账号和用户账号 (16)四、将员工电脑加入域 (22)五、将员工电脑退出域 (24)六、组策略--设置员工登录域后加入本地管理员组（这样员工自己可以安装卸载软件） (28)七、组策略—员工电脑禁用可移动磁盘 (31)八、组策略—密码复杂性 (32)九、组策略—域控制器不可用时客户机仍可以继续登录 (32)十、域共享文件夹和备份到额外域控制器 (33)一、 搭建域控制器步骤FERT 公司拓扑如下所示：1. DNS 前期准备DNS 服务器对域来说是不可或缺的，一方面，域中的计算机使用DNS 域名，DNS 需要为域中的计算机提供域名解析服务；另外一个重要的原因是域中的计算机需要利用DNS 提供的SRV 记录来定位域控制器，因此我们在创建域之前需要先做好DNS 的准备工作。

那么究竟由哪台计算机来负责做DNS 服务器呢？一般工程师有两种选择，要么使用域控制器来做DNS 服务器，要么使用一台单独的DNS 服务器。

这里直接使用域控制器来做DNS 服务器。

2.设置域控制器的TCP/IP 属性IP 地址设为静态，首选DNS 设为127.0.0.13.Win 键+R 输入dcpromo ，开始域控制器的创建主域控制器（也是DNS 服务器） 额外域控制器（也用DNS 服务器）员工电脑员工电脑 员工电脑 员工电脑交换机阅读操作兼容性说明，单击下一步按钮；在“选择某一部署配置”页面中，选择“在新林中新建域”；在“命名林根域”页面输入目录林根域的FQDN名，这里命名为;在“选择林功能级别”页面中选择林功能级别；注，以下是各种级别的支持度。

在“其他域控制器选项”页面中选择“DNS服务器”；设置数据库、日志文件和SYSVOL的存储位置；这里选择默认；在“目录还原模式的Administrator密码“页中，输入密码；在“摘要“页，检查所有的选择，单击下一步；开始安装和配置活动目录服务；安装完成后单击“完成”，如下图所示，服务器需要重启；二、搭建额外域控制器步骤（可搭建多个额外域控制器）设置TCP/IP属性为静态IP地址，DNS设为第一台域控制器的IP地址。

如何将server 2008 R2作为server 2003域中的额外域控自Windows Server 2008 正式发布以来，已受到广泛的好评，它是对已使用5年之久的Windows操作系统的重大改进，将会在未来几年内极大的增强IT界支持业务和组织创新的能力。

随着Windows Server 2008 R2的发布，它又提供了像Direct Access、Branch Cache、Powershell 2.0、Hyper-v 2.0等全新的功能特性，并且在AD服务中又添加了诸多令人兴奋的功能，像AD回收站、离线加入域。

这些优秀技术的加入，使得IT技术人员可以更加灵活方便的进行管理，提高工作效率的同时让工作充满了乐趣。

Contoso公司目前就面临了这样一个问题：使用Windows Server 2003作为基础架构平台，但随着公司业务的发展，公司规模的不断扩展，需要在外地建立分支机构，并且拥有一支人数不少的业务团队，并且团队需要与总部保持通讯，由于业务需要，工作人员需要使用笔记本在公网接入公司内网，查询信息。

这样就对目前基础架构发起了挑战，IT部门经过讨论决定，将基础架构升级至Windows Server 2008 R2，并使用其新的功能特性来满足公司需求。

Contoso公司目前服务器情况如下：一台配置主流的服务器A运行Windows Server 2003 R2 64位操作系统作为域控制器，DNS和DHCP服务器。

一台配置已经过时的服务器B运行Windows Server 2003 R2 32位操作系统作为辅助域控制器，DNS。

一台配置刚好的服务器C运行Windows Server 2003 R2 64位操作系统作为Exchange 2007 邮件服务器。

经过分析，服务器A硬件配置符合Windows Server 2008 R2安装需求，可保留作为辅助域控制器，服务器B硬件配置过时不建议继续使用，新购买一台服务器D安装Windows Server 2008 R2作为主要域控制器使用。

Windows Server 2008域服务器配置全部的选择：将该服务器配置为新林中的第一个 Active Directory 域控制器。

新域名为 newhome.tianye。

这也是新林的名称。

域的 NetBIOS 名称为 NEWHOME林功能级别: Windows Server 2008域功能级别: Windows Server 2008站点: Default-First-Site-Name其他选项:只读域控制器: 否全局编录: 是DNS 服务器: 是创建 DNS 委派: 否数据库文件夹: F:\Windows\NTDS日志文件文件夹: F:\Windows\NTDSSYSVOL 文件夹: F:\Windows\SYSVOL将在此计算机上安装 DNS 服务器服务。

将在此计算机上配置 DNS 服务器服务。

此计算机将会配置为使用此 DNS 服务器作为其首选 DNS 服务器。

新域 Administrator 的密码将与此计算机的本地 Administrator 的密码相同。

安装的事件摘要：级别事件ID 日期和时间来源信息2014 2009/10/6 18:26:25 Microsoft-Windows-ActiveDirectory_DomainService "Active Directory 域服务成功地完成重新建立下列数量的索引。

索引: 5"信息2013 2009/10/6 18:26:24 Microsoft-Windows-ActiveDirectory_DomainService "Active Directory 域服务正在重新建立下列数量的索引，这是初始化的一部分。

索引: 5"警告1463 2009/10/6 18:26:23 Microsoft-Windows-ActiveDirectory_DomainService "作为初始化的一部分，Active Directory 域服务已检测到并删除了某些可能已损坏的索引。

文档信息：目录1背景描述 (3)2功能描述 (3)3配置环境 (3)4配置前的准备 (3)5配置流程 (4)6配置步骤 (4)安装环境准备 (4)安装操作系统 (4)安装Active Directory域服务 (4)安装第一台域服务器 (9)安装第二台域服务器 (16)1 背景描述在很多大洋公司的典型业务应用中，域控制器作为基础网络的基本功能与配置，扮演着重要的角色，因此，做好域控制器的部署工作尤为重要，本文基于Windows 2008 R2 X64操作系统，介绍了该系统下安装部署域控制器的主要方法。

2 功能描述域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。

当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。

如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。

不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。

3 配置环境4 配置前的准备a) 硬件准备：服务器上架并上电，连线，部署网络环境。

b) 软件准备：Windows Server2008 R2 X64 Enterprise5 配置流程6 配置步骤6.1安装环境准备部署服务器、交换机等设备，部署网络环境并检查物理连接，确保无误。

6.2安装操作系统此步骤本文不再赘述，请参考大洋技术研究院系统整合实验室相关文档和手册。

注意：请严格按照密码复杂度要求设置administrator账户的密码！6.3安装Active Directory域服务开始菜单，点击“服务器管理器”，进入Windows Sever 2008 R2 X64服务器管理器界面左侧栏点击角色，进入角色管理界面。

点击添加角色，进入添加角色向导。

加必要的功能”，再点击下一步点击下一步点击安装，安装AD域服务和Framework功能待AD域服务安装成功后，点击关闭。

这里以两台server 2008以例，为了清楚两块以上网卡与一块网卡搭建域控的区别，将DC1一、根域的建立DC1配置以管理员登录系统查看网卡信息及主机名选择“开始”→“管理工具”→打开“服务器管理器”，单击“角色”→单击“添加角色”，在服务器角色中勾选“Active Directory域服务”，勾选时在弹出的对话框中单击“添加必需的功能”（注：DNS不可与AD一起勾选）单击下一步，进入一个对AD的简介界界单击下一步进入安装界面安装完成后会出现如下画面单击“关闭该向导并启动Active Directory域服务安装向导(dcpromo.exe)”，进入域服务安装向导勾选“使用高级模式安装”选择“在新林中新建域”输入域名（FQDN），此处以以例单击下一步时会自动检查输入的FQDN是否有重复或错误等默认即可选择林功能级别，此处模拟环境使用的系统全为Server 2008 R2单击下一步将检查DNS，此环境之前无安装，这里将会安装DNS此时是由于第二张网卡没有配置固定IP而弹出的提示，单击“是（Y），该计算机将使用DHCP 服务器自动分配的IP地址（不推荐）”此时单击按钮“是（Y）”默认即可设置“目录服务还原模式”的密码，必须输入密码，密码要求强密码显示摘要勾选“完成后重新启动”重启后即完成域控的安装二、额外域控制器建立（即辅域控）查看网卡信息及主机名（DNS需指向根域）与根域一样选择“开始”→“管理工具”→打开“服务器管理器”，单击“角色”→单击“添加角色”，在服务器角色中勾选“Active Directory域服务”，勾选时在弹出的对话框中单击“添加必需的功能”（注：DNS不可与AD一起勾选）添加“AD域服务”后，运行域服务安装向导此时选择“现有林(E)”下的“向现有域添加域控制器”由于是要向域（）中添加辅域，所以在此处输入域名：；单击设置，输入域中有权限的用户密码下一步单击按钮“是(Y)”默认即可输入“目录服务还原模式”密码重启后完成三、域的基本操作登录域控，单击“开始”→“管理工具”→打开“AD用户和计算机”1、建立OU右击域（）→“新建”→单击“组织单位”输入名称，勾选“防止容器意外删除”，此处以abc为例建立成功2、新建用户在刚新建的OU里新建用户test右击OU“abc”→“新建”→单击“用户”，注：此时右侧无任何用户按下图输入test用户信息输入密码完成建立成功3、。

实验2-1 Windows 2008 RODC-只读域控制器部署实例Windows 2008 RODC-只读域控制器部署实例一：什么是只读域控制器？只读域控制器有什么好处？只读域控制器 (RODC) 是 Windows Server® 2008 操作系统中的一种新类型的域控制器。

借助 RODC，组织可以在无法保证物理安全性的位置中轻松部署域控制器。

RODC 承载Active Directory(R) 域服务 (AD DS) 数据库的只读分区。

在 Windows Server 2008 发布之前，如果用户必须通过广域网 (WAN) 对域控制器进行身份验证，则没有合适的替代方案。

在许多情况下，这不是一个有效的解决方案。

分支机构通常不能为可写域控制器提供所需的充分的物理安全性。

此外，当分支机构连接到中心站点时，其网络带宽状况通常较差。

这可能增加登录所需的时间。

它还可能妨碍对网络资源的访问。

RODC 有什么作用？物理安全性不足是考虑部署 RODC 的最常见原因。

RODC 提供了一种在要求快速、可靠的身份验证服务但不能确保可写域控制器的物理安全性的位置中更安全地部署域控制器的方法。

但是，您的组织也可选择根据特殊管理要求部署 RODC。

例如，行业 (LOB) 应用程序只有在安装在域控制器上的情况下，才可以成功运行。

或者，域控制器可能是分支机构中唯一的服务器，并且可能必须承载服务器应用程序。

在这种情况下，LOB 应用程序的所有者必须经常以交互方式登录到域控制器，或使用终端服务配置和管理应用程序。

此情况产生了在可写域控制器上可能无法接受的安全风险。

RODC 为在此方案中部署域控制器提供了更安全的机制。

您可以向非管理域用户授予登录到 RODC 的权限，同时最小化 Active Directory 林的安全风险。

还可以在其他方案中部署 RODC，例如，Extranet 或面向应用程序的角色中，其中本地存储的所有域用户密码是主要威胁。

网络操作系统教程-WindowsServer2008管理与配置课程设计1. 背景与概述网络操作系统（Network Operating System）是指能够提供网络服务并管理网络资源的操作系统。

网络操作系统在服务器端运行，可以支持多个用户同时使用一些软件和硬件资源。

WindowsServer2008是一种非常知名的网络操作系统，由微软公司推出。

本文将介绍WindowsServer2008的管理与配置方法，以供IT从业人员参考。

2. 课程目标本课程的目标是使学生能够了解WindowsServer2008操作系统的基本概念和管理与配置技能，掌握WindowsServer2008网络管理的基本方法。

3. 课程大纲本课程分为以下几个部分：3.1 WindowsServer2008介绍•什么是WindowsServer2008•WindowsServer2008的历史和版本•WindowsServer2008支持的硬件3.2 WindowsServer2008安装与配置•准备安装WindowsServer2008•安装WindowsServer2008•WindowsServer2008的初始配置•WindowsServer2008的升级和修复3.3 用户管理•WindowsServer2008用户帐户和组•创建和管理用户帐户和组•密码策略设置3.4 文件与共享管理•文件共享基础知识•共享文件夹的创建和管理•NTFS权限和共享权限的管理3.5 网络服务管理•DNS（Domn Name System）配置•DHCP（Dynamic Host Configuration Protocol）配置•Web服务器（IIS）配置•FTP（File Transfer Protocol）配置3.6 网络安全管理•WindowsServer2008的安全性•防火墙与远程桌面•安全政策和审计策略•WindowsServer2008更新和维护4. 课程考核学生需完成以下任务：•搭建WindowsServer2008实验环境•进行WindowsServer2008安装与配置•创建和管理用户帐户和组•共享文件夹的创建和管理•配置DNS、DHCP、IIS、FTP等服务•制定WindowsServer2008安全政策和审计策略•对WindowsServer2008进行更新和维护所有实验均需在规定时间内完成，并提交相应的报告。

WindowsServer2008ActiveDirectory配置指南-l...一、Active Directory Domain Services(AD DS)in the Windows Server 2008 network enviroment ,Active Directory Domain Services(AD DS),provide with organizing、managing、controlling network resources.1-1 active directory domain services overviewdirectory :telephone directory;file directory如果这些directory内的数据能够系统的加以整理的话，用户就能够容易且迅速的查找到所需文件。

Active Directory的组成是directory，域内的directory是用来存储用户帐户、计算机帐户、打印机与共享文件夹等对象，我们把这些对象的存储地点称为目录数据库（directory database）。

Active Directory 域内负责提供目录服务的组件就是active directory域服务，active directory domain services它负责目录数据库的存储、添加、删除、修改与查询操作。

1-1-1 active directory domain service scopeactive directory domain service 可以用在一台计算机、LAN或者数个WAN的联合，它包含此范围所有的对象，例如文件、打印机、应用程序、服务器、域控制器与用户帐户等。

1-1-2nameSpacebounded area ,一块界定好的区域，在此区域内，我们可以利用某个名称来找到与这个名称有关的信息。

active directory 域服务内，active directory就是一个名称空间，在active directory内我们可以通过对象名来找到与这个对象相关的所有的信息。

实训二配置额外域控制器一、知识点：额外域控制器：假如域中只有一台域控制器，一旦出现物理故障，我们时可以备份还原AD 。

部署额外域控制器，指的是在域中部署第二个甚至更多的域控制器，每个域控制器都拥有一个Active Directory 数据库。

只读域控制器： RODC只好单向的从其余可读写域控制器央求信息，而不会把任何更正传递给其余可写域控制器，这样做不单可以降低主域服务器的工作负载及监控负载的工作量，还可以提升分支机构网络的安全性，同时便于管理。

二、着手实验：实验目的：利用 windows server 2008 搭建辅助域环境，认识辅助域控制器的作用，不单学会安装辅助域控制器，并且还应学会如何配置辅助域，并实现辅助域在域环境中的作用。

实验内容：1、配置域环境中额外域控制器2、配置域环境中的只读域控制器（RODC ）3、测试辅助控制器能否搭建成功实验要求：1、完成实训内容，并做成实验报告。

实验步骤：第一步配置域环境中额外域控制器（1）部署环境设置网络环境（ 2）与主域的IP 地址要互Ping 的通（3）依据拓扑图要求，将额外控制器的名称改为“BDC1 ”输入域点击确立（ 4）安装额外域控制器开始 ------ 运转 --- 输入dcpromo输入dcpromo 点击确立以后会弹出以下导游对话框，点击下一步在弹出“部署配置”对话框勾选“现有林 ---向现有于增添域控制器”下一步，输入主域名“”点击“设置”输入“用户名和密码”点击“确立”点击“下一步”选择域“”点击下一步，选择默认站点Default-First-Site-Name 点击下一步，选择需要的“选项”点击下一步，设置组或用户（无必需可跳过）。

点击下一步，设置数据库，日记文件和SYSVOL 的地点（默认 C 盘）。

下一步，设置还原模式的密码设置完密码，点击“下一步”会弹出以下对话框，记得勾选“完成后重新启动”对话框，耐心等候导游完成。

最后完成，会重启计算机，这样就完成额外域的安装。