windows_2008_域网络的组策略__实验报告

w i n d o w实验手册组策略Document serial number【NL89WT-NY98YT-NC8CB-NNUUT-NUT108】教学时间第五周2008-3-18教学课时3教案序号12-14教学目标1、掌握如何建立和管理OU2、学会在win2003中应用组策略教学过程：一、OU（组织单元）的管理1、OU的概念域是最小的管理单位，在活动目录中，域一般对应公司，而OU则对应于公司中的部门。

OU是活动目录中的容器，可以在OU中建立用户、组等其他对象，也可以在OU中建立OU。

2、建立OU及子对象（1）注意图标。

（2）建立步骤：在需要创建的空白处右击，选择“新建”——“组织单元”，在对话框内输入OU名称即可。

（3）在OU中可以放用户、组、打印机、共享文件夹、子OU等。

实验一：OU的管理1、在下中新建“教师”和“学生”两个OU，再在“教师”OU下新建“普通教师”OU。

2、“教师”OU中包括t1，t2账户，“学生”OU中包括s1，s2账户，“普通教师”OU中包括c1，c2账户。

二、组策略概述1、组策略的概念（1）组策略是一种在用户或计算机集合上强制使用一些配置的方法，使用组策略可以给同组的计算机或者用户强加一套统一的标准，包括管理模板设置、Windows设置、软件设置。

（2）组策略配置包含在一个组策略对象（GPO）中，该对象又与选定的活动目录服务容器（如站点、域、组织单元OU等）相关联，不会影响没有加入域的计算机和用户。

（3）组策略配置类型有：计算机配置和用户配置。

（4）组策略分为：本地安全策略和活动目录的组策略。

本地安全策略适用于本地用户和组，我们所讲的是活动目录的组策略，活动目录安装好以后就自动建立了两个组策略（域控制器安全策略和域安全策略）。

2、组策略的应用顺序（1）本地组策略（2）域组策略（3）域控制器组策略（4）组织单元组策略三、组策略对象的管理我们可以通过Active Directory用户和计算机建立链接到域和OU的策略，Active Directory站点和服务建立链接到站点的策略。

一、实验目的1. 了解组策略的基本概念和功能；2. 掌握组策略的配置和管理方法；3. 通过实验，学会使用组策略解决实际网络管理问题。

二、实验环境1. 操作系统：Windows Server 2012 R22. 硬件设备：服务器一台、客户端计算机若干台3. 软件环境：Active Directory域控制器、组策略管理器三、实验内容1. 创建域和域控制器；2. 配置域用户和计算机；3. 创建组策略对象；4. 编辑和配置组策略；5. 测试组策略效果。

四、实验步骤1. 创建域和域控制器（1）在服务器上安装Windows Server 2012 R2操作系统；（2）配置服务器为域控制器，选择“创建一个新域，Active Directory域的根域”；（3）输入域名，选择域控制器类型，设置管理员密码；（4）等待域控制器创建完成。

2. 配置域用户和计算机（1）在域控制器上，打开“Active Directory用户和计算机”管理工具；（2）在左侧导航树中，右键单击“Users”容器，选择“新建”；（3）输入用户名、密码、邮箱等信息，创建域用户；（4）在左侧导航树中，右键单击“Computers”容器，选择“新建”；（5）输入计算机名，选择所属组织单位，创建计算机账户。

3. 创建组策略对象（1）在域控制器上，打开“组策略管理器”；（2）在左侧导航树中，右键单击“Forest”，选择“新建域策略”；（3）输入策略名称，如“test_gpo”，选择“将此策略链接到域”；（4）等待策略创建完成。

4. 编辑和配置组策略（1）在“组策略管理器”中，展开左侧导航树，找到刚刚创建的“test_gpo”策略；（2）双击策略，进入“编辑”模式；（3）在“计算机配置”和“用户配置”中，根据需要配置策略设置，如软件安装、脚本、安全设置等；（4）保存并关闭组策略编辑器。

5. 测试组策略效果（1）在客户端计算机上，打开“组策略结果集”；（2）查看“test_gpo”策略是否生效；（3）根据需要修改策略设置，再次测试效果。

体验Windows Server 2008的组策略活动目录是Windows Server 2008的核心，而使用活动目录的目的是进行用户的统一化的管理，其中组策略是实施管理的重要手段之一。

在Windows Server 2008中组策略不仅在功能上得到了加强，而且在操作和配置上也更人性化。

现在我们可以抛开某些第三方用户行为管理软件，在Windows Server 2008的组策略里就可以轻松进行设置、限制和管理。

下面笔者通过二个案例来介绍一下Windows Server 2008组策略的强大功能吧。

案例1：给公司不同部门设置不同的密码策略我们可能会碰到过域的统一密码策略会给用户带来不便的情况，比如领导层的电脑里资料比较机密，需要设置复杂性密码防止电脑被其他人登录。

而普通办公文员就不需要设置复杂难记的密码。

以前在Windows Server 2003中是无法实现的，现在Windows Server 2008可以通过粒度化的密码策略来达到不同组使用不同密码策略的目的，这项人性化的设置可以让我们轻松解决以上问题。

下面以设置领导层的密码策略为例讲解一下具体操作过程。

第一步：把领导层的经理级别的帐号加入到Managers组里（此组必须是安全的全局组因为所创建的PSO<密码设置对象>只能应用在安全的全局组上）（如图1所示）。

第二步：提升域功能级别到Windows Server 2008（由于粒度化的密码策略只支持Windows Server 2008，因此在设置密码策略之前必须把域功能级别提升到Windows Server 2008）1.点击“开始”→“管理工具”→“服务器管理器”。

打开服务器管理器，接着依次展开“角色”→“Active Directory用户和计算机”→“”。

2.右击，然后选择“提升域功能级别”。

设置功能级别为“Windows Server 2008”，点击“提升”（如图2所示）。

域网络的搭建目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?我们现在就动手实践一下:本篇文章中所有的成员服务器均采用微软的Windows Server 2008，客户端则采用Windows7系统。

第一步首先，当然是在成员服务器上安装上Windows Server 2008，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下: 注意：网络设置使用静态ip机器名:ServerIP:192.168.0.59子网掩码:255.255.255.0默认网关:192.168.0.1DNS:192.168.0.59(因为我要把这台机器配置成DNS服务器) dns的安装就不做介绍了第二步安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”在这里直接点击“下一步”: 这里是一个兼容性的要求，选择windows2008及以上的操作系统来做为客户端。

然后点击“下一步”: 在这里由于这是第一台域控制器，所以选择第一项:“新域的域控制器”，然后点“下一步”:既然是第一台域控，那么当然也是选择“在新林中的域”: 在这里我们要指定一个域名，我在这里指定的是，这里是指定NetBIOS名，注意千万别和下面的客户端冲突，也就是说整个网络里不能再有一台PC的计算机名叫“FM”，虽然这里可以修改，但个人建议还是采用默认的好，省得以后麻烦。

在这里要指定AD数据库和日志的存放位置，如果不是C盘的空间有问题的话，建议采用默认。

这里是指定SYSVOL文件夹的位置，还是那句话，没有特殊情况，不建议修改:第一次部署时总会出现上面那个DNS注册诊断出错的画面，主要是因为虽然安装了DNS，但由于并没有配置它，网络上还没有可用的DNS服务器，所以才会出现响应超时的现像，所以在这里要选择:“在这台计算机上安装并配置DNS，并将这台DNS服务器设为这台计算机的首选DNS服务器”。

实训一安装域控制器，配置主DNS一、知识点：1、域的功能作用及安装条件2、DNS的作用二、动手实验实验目的：利用windows server 2008搭建域环境，熟悉域控制器的安装，并学会如何配置DNS，搭建域环境，并体会域控制器在整个服务器群中的作用。

实验内容：1、部署环境2、安装域控制器，配置网络的主DNS。

3、将成员机加入域中。

实验要求：1、根据拓扑结构图，完成实训内容，并做成实验报告。

实验步骤：1、部署环境设置IP和DNS服务器地址根据拓扑图要求，将主域控制器的名称改为“PDC”2、安装域控制器，配置网络的主DNS。

在“PDC”主机上安装域控制器，域名：开始—运行---输入” dcpromo”确定，突出如下框，等待进度的完成。

接着会弹出“AD域服务安装向导”下一步，勾选“在新林中新建域”下一步，去年要求命名林根域“”。

下一步，按要求设置林功能级别：windows server 2008下一步，按要求勾选其他域控制器选项：“DNS服务器“下一步，设置“数据库，日志文件和SYSVOL的位置”（默认C盘）。

下一步，设置还原模式的密码。

下一步，等待DNS安装完成，并重启。

2、将其他主机加入到域中这里以BDC加入域为例：配置网络，修改IP：192.168.100.3；默认网关：192.168.100.1；首选DNS服务器：192.168.100.2。

网络配置完，ping下主机，查看网络是否可用。

按要求更改计算机名：BDC，并输入域：确定，已完成加入域。

在弹出欢迎对话框时，就说明完成加入域的操作。

接着按如上步骤依次把如下成员机加入主域：计算机名为：FD IP：192.168.100.4计算机名为：WF IP：192.168.100.5计算机名为：EXD IP：192.168.100.6总结通过这次实验，使我明白了在域控制器上，每一个成员计算机都有一个计算机账号，每一个域用户有一个域用户账号。

域管理员可以在域控制器上实现对域用户账号和计算机账号以及其他资源的管理。

Windows2008R2的DNS子域和委派实验（actis原创）一、DNS子域实验（使用两个虚拟机就可以了）用两个虚拟机Win2008R2-1作为DNS服务器（192.168.1.100）计算机名dns1Win2008R2-2作为DNS客户机（192.168.1.200）计算机名client先在Win2008R2-1服务器上操作1、创建域和子域在区域上右击，选择“新建域”在【请键入新的DNS域名】中输入：beijing2、在子域中创建资源记录在子域beijing上右击，选择“新建主机”在对话框中输入主机记录的名称和IP地址，如下图这样，一个子域就创建好了，如下图所示在客户端上测试子域实验成功！二、委派实验试验环境如下使用三个虚拟机：dns1, 192.168.1.100dns2, 192.168.1.101client,192.168.1.200上图的【首选DNS服务器】一栏将作变换测试。

1、新建委派首先在上面的基础上，在区域上点右键，选择“新建委派”单击【下一步】指定委派的DNS名称服务器：单击【添加】指定受委派的服务器，然后单击【确定】注意：如果没有建好dns2的区域，解析不会成功。

确定即可。

单击【下一步】在所委派出去的区域中只有一条NS记录，如下图所示：2、在被委派DNS服务器（即：dns2)上创建区域与dns1相类似，在【正向查找区域】上右击，选择“新建区域”单击【下一步】区域类型：选择【主要区域】单击下一步区域名称：输入域名，单击下一步选择默认，单击【下一步】...最后如下：3、新建主机资源记录在区域上右击，选择“新建主机”记录内容如下在客户机上测试一下先用ipconfig /flushdns进行清空，再pingDNS指向DNS服务器时（指向192.168.1.100）ping 当DNS指向被委派的DNS服务器时（192.168.1.101）又成功了!另外注意一点：如果客户端的DNS设置指向192.168.1.100ping 能成功。

实验一搭建Windows Server 2008域结构网络一实验目的1、组建一个最小的计算机网络实验环境，即有两个独立的操作系统且这两个操作系统可以通过以太网进行通信。

2、学习Windows Server 2008 中Active Directory 的安装方法。

3、掌握域、域树、域林的构建方法。

二实验环境需要搭建的网络拓扑结构类似下图。

图1 基于Windows Server 2008域结构的网络拓扑图具体要求如下：1、在单个计算机中构建虚拟网络实验环境、基于C/S或B/S结构的软件调试环境，完成软件安装环境的构建。

2、利用VMware软件虚拟出一台计算机（称为“虚拟机”或“虚拟系统”），作为目标机。

建议安装方式：在XP系统中，安装虚拟的Windows Server 2008系统，以后实验一般都在虚拟系统中完成。

要求物理机与虚拟机IP地址对应起来（即第1台虚拟机主机地址=物理机主机地址+100，第2台虚拟机主机地址=物理机主机地址+200），方便管理。

3、操作系统：Windows Server 2008；2~3 台计算机组成一个合作小组，可以通过网上邻居互相访问。

在以下的实例中以两台计算机为例构建不同的域结构。

三实验内容1、Windows Server 2008安装与配置体会虚拟系统的优点。

通过实验掌握在VMware中安装虚拟系统的操作方法，通过操作学会设置、管理、迁移虚拟系统。

（1）安装虚拟机系统：使用的软件版本号为VMware Workstation-v7，运行安装程序，一般只需按照默认选项设置即可。

（2）安装虚拟计算机系统安装完虚拟机系统以后，就象组装了一台计算机，该计算机必须安装操作系统才能使用。

首次安装选择窗口“Home”◊“New Virtual Machine”，安装过程中根据向导提示进行。

完成后即可在VMware主界面中出现Windows Server 2008的引导选项卡。

（3）安装操作系统选中并启动（“Start this Virtual Machine”）Windows 2008系统，此时虚拟机窗口中显示的进程与实际计算机安装时的进程完全一致，放入操作系统安装光盘，按提示完成安装。

实验五Windows 2008综合实验
实验目的：巩固Win Server 2008 的各项服务配置，体会各项服务的内涵。

实验类型：设计性
实验内容：该实验分组进行，自愿组合，5人一组。

路由、web、ftp、dns的配置均与前面的实验相类似！
1.配置19
2.168.
3.10为Web服务器，创建一个Web站点，主页文
件为index.htm，利用主机名来做Web站点的标
识。

2.配置192.168.
3.10为FTP服务器，创建一个FTP站点，主目录为
D:\csd，创建一个文件csd.txt，不支持匿名访问。

创建用户账号
test。

点击登录：
3.配置192.168.1.10为DNS服务器，为web站点执行名称解析。

结果见第一题
4.配置计算机R1和R2为路由器，并添加静态路由，使两个子网
可以互相通讯。

静态路由的配置见实验四
两个路由联通结果
5.在主机192.168.1.100上访问Web服务器，在DOS命令行下以test
用户账号访问FTP服务器，并把文件csd.txt下载到D盘根目录下。

6.配置192.168.1.100计算机为终端服务器远程管理模式，在
192.168.3.10计算机上访问终端服务器。

心得体会：通过此次实验，我对web服务器和路由的配置有了进一步的理解。

两台电脑的配置不像一台电脑那么简单，多次ping不通，通过检查，不断地改进，发现了问题所在。

并且各虚拟机网络不需要打开，也
不用每次都禁用。

知识的掌握就是从不断地发现错误改正错误中获取的。

组策略的实验报告
实验目的：
1.统一桌面背景
2.禁用本地管理员
3.强行开启端口
4.用户漫游
先做统一用户的桌面背景
1.打开一台服DC构建域环境，打开两台客户机，命名客户机一个为技术部，一个为销售部
在dc中创建公共账户share，
将两个客户机加入域中
2.构建域中公司的结构
创建OU 技术部，OU销售部，技术部和销售部分别下创建OU pc 和OU user 技术部的user创建用户账户za，zb
销售部的user创建用户账户zc，zd
3。

下面做统一技术部用户的桌面，
A.找一张图片，加入新建的文件夹中共享了，权限有读取就行
B.打开组策略编辑器，在-技术部—user新建GPOzhuomian
然后编辑
C验证用za账户登录
2做禁用管理员
先做个脚本
Net user administartor /active:no 另存为bat后缀的文件
把jishubu的计算机加入pc
在组策略管理新建GPO nodomain
编辑
在
在脚本中点击启动，再点击显示文件，把脚本拖进去
然后关闭
点击添加
点击浏览把脚本加进去
点击确定
客户机技术部重启，用账户加入域中然后注销并且验证
下面做远程
1.把销售部计算机加入pc中
2.在销售部pc下新建gpo 远程然后编辑
在计算机——策略——windows组件——终端服务——连接——允许用户使用终端服务远程连接
点击启用
然后在设置例外
然后重启销售部计算机加入域验证结果。

Windows网络系统管理综合实训——基于windows系统的中型企业网络组建与管理姓名：学号：组别：班级：院系：指导老师：提交时间：2014.1.3一.组建局域网络 (2)1. 局域网ip地址规划 (2)2. Ip地址设置 (2)3. 计算几名设置 (2)4. 工作组名设置 (2)5. 共享文件夹设置 (3)6. 访问共享文件夹 (3)7. 在计算机中添加user1,user2,user3用户，并建立三个文佳夹，每个用户只能将文件保存在自己的文件夹中，并不能让其他用户访问自己的文件夹 (4)二．组建中型企业网络 (5)1. 安装活动目录，域名为，添加共享文件夹，并在活动目录中发布，从客户机登录到域，访问共享文件夹 (5)2. 添加额外的域控制器 (8)3. 创建子域，域名为sub (10)4. 创建林中第二棵域树，域名为 (11)5. 创建新林中的新域，域名为; (13)6. 建立 域与 域之间的双向信任与委托，并在两个域中分别添加共享文件夹，从客户机登录到任何一个域，访问两个域的共享文件 (13)7. 独立服务器组策略的使用 (14)8. 域组策略的使用，安装AD 域名为控制客户机登录的桌面，计算机客户机登录到域，客户机桌面没有原有的图标 (14)三．服务器数据管理 (17)1. 磁盘管理MMC的使用 (17)2. 基本磁盘分区的使用 (18)3. 简单卷的使用 (19)4.扩展卷的使用 (19)5.带区卷的使用 (19)6.镜像卷的使用 (19)7.RAID-5的使用 (19)四．网络安全管理 (21)1. 网络防火墙 (21)2. 端口安全管理 (22)3. Windows Server安全配置 (23)4. Windows Server安全措施 (25)5. 文件本地安全 (26)6. 文件夹本地安全 (26)7. 共享安全 (27)8. 用户账户安全 (27)五．IP地址分配 (27)1. 相同网段中主机的IP地址规划 (27)2.安装并配置DHCP (27)3.客户机获取IP 地址 (28)六．Internet域名管理 (29)1. 申请Internet域名 (29)2. 安装DNS (29)3. 创建正向和反向区域 (30)4. 添加主机 (31)5添加WWW记录 (31)6. 添加MX记录 (31)7. 客户机DNS设置 (31)8.检测DNS (31)9.在另一台计算机安装辅助DNS (32)10.安装子DNS服务器，域名为： (33)七．网站管理 (35)1. 安装配置IIS (35)2..配置WWW服务器 (35)3.创建虚拟主机 (36)4.创建虚拟目录 (37)八．邮件服务器管理 (38)1.安装电子邮件服务器，域名为: (38)2.配置POP3服务器 (38)3.配置SMTP服务器 (39)4.用outlook软件收发电子邮件 (39)一．一.组建局域网络1.局域网ip地址规划服务器ip：192.168.10.1 /24，实验中ip范围为192.168.10.1~192.168.10.254，牧人网关：192.168.10.2542.Ip地址设置图1-13.计算几名设置如图1-24.工作组名设置如图1-2图1-2 5.共享文件夹设置在2008-R3上建立共享文件图1-3 6.访问共享文件夹在2008-R1上使用命令访问图1-4成功图1-57.在计算机中添加user1,user2,user3用户，并建立三个文佳夹，每个用户只能将文件保存在自己的文件夹中，并不能让其他用户访问自己的文件夹图1-6右键user1文件，选择共享下的特定用户图1-7访问效果，在命令行输入\\ip后显示输入用户名和密码图1-8User2 和user3 同上二．组建中型企业网络1.安装活动目录，域名为，添加共享文件夹，并在活动目录中发布，从客户机登录到域，访问共享文件夹方法：命令行输入dcpromo ,进入安装向导安装好后如下图图2-1通过windows 2003加入到域中，加入后重启并进入的域中图2-2在windows server 2008上创建共享文件夹share图2-3在活动目录中发布方法：1.在域控制器上，单击“开始”，在运行里面输入“dsa.msc”，然后回车。

N10TH陈松2010.10.24【实验名称】Windows 2008 域网络的组策略【实验目标】1.组策略的作用是什么。

2.组策略的结构。

3.实现桌面背景统一。

4.配置组策略实现软件分发。

【实验环境及拓扑】XAPC----L1机房【实验步骤】一. 组策略的作用以及结构。

二. 实现桌面背景统一（案例）。

三. 配置组策略实现软件分发。

具体实验步骤如下：第一步：组策略的作用以及结构。

（组策略是系统策略的更高级扩展，它是由Windows 9x/NT的“系统策略”发展而来的，具有更多的管理模板、更灵活的设置对象及更多的功能，目前主要应用于Windows 2000/XP/2003/Vista/2008中。

其组策略的作用是：方便管理AD中用户和计算机的工作环境-----用户桌面环境、计算机启动/关机与用户登录/注销时所执行的脚本文件、软件分发、安全设置；还可以对域设置组策略影响整个域的工作环境，对OU设置组策略影响本OU下的工作环境；降低布置用户和计算机环境的总费用；推行公司使用计算机的规范。

）（组策略的具体设置数据保存在GPO(组策略对象)中；GPO所链接的对象是SDOU组织单位。

）第二步：实现桌面背景统一（案例）。

例如：公司的网络采用域结构进行管理，销售部员工的用户账户都位于Sales_OU中，现要求销售部的员工统一使用公司指定的桌面背景，而且不能随意更改成其它桌面背景。

1.创建域网络环境（1台DC ，2台客户机）域网络服务器域网络客户机1域网络客户机22.以部门为单位创建sales OU，创建销售部员工账户（sale1)---加入到此OU中。

4.编辑销售部ou组策略----强制桌面-----强制策略生效命令gpupdate /force----设置桌面背景。

不允许客户机修改桌面背景强制策略生效命令。

5.客户登录，更改失败第三步：配置组策略实现软件分发。

（分配与发布的区别-----分配：分配到用户或计算机。

Windows server2008课程实验本实验要求学生在已配置好的Windows 2008办公室网络模型的基础上进行进一步的配置，使其变成一个Intranet网络；在已配置好的Windows 2008 Server上安装和配置DNS服务器、DHCP服务器、WWW服务器、FTP服务器，用FrontPage编制几个Web页面发布到WWW服务器上，以及Windows 2008深入的功能，Windows 2008软路由器的配置与使用，用Windows 2008的NA T功能共享Internet及Windows 2008远程终端网络的建立与使用。

通过本实验应使学生掌握Windows 2008在Intranet和Internet上的应用，分为以下几个实验：(1) Windows 2008服务器的安装与配置。

(2) Windows 2008服务器Active Directory的配置与用户账号的管理(3) Windows 2008共享资源的管理与配置(4) Windows 2008网络打印机的安装、管理与配置(5) Windows 2008服务器DNS的安装与配置。

(6) Windows 2008服务器DHCP的安装与配置。

(7) Windows 2008服务器IIS的安装与配置。

(8) 使用FrontPage制作网页与Windows 2008上的网页发布。

(9) Windows 2008软路由器的配置与使用。

(10) 用NA T实现办公室网络共享接入Internet。

(11) Windows 2008远程终端网络的建立与使用。

实验一、 Windows 2008服务器的安装与配置1．实验目的:要求学生掌握Windows 2008服务器的安装与配置方法。

2．实验要求(1) 学习Windows 2008服务器的安装环境。

(2) 学习Windows 2008服务器的安装过程，包括安装环境准备、安装方式、硬件配置以及网络参数的设置等。

Windows server 2008网络服务的构建
一、实验目的
通过该实验，理解各种网络服务的构建和实现方法。

配置和时间web 服务、ftp服务、dns服务、DHCP服务等的安装和配置，以及活动目录的安装和配置方法。

二、实验方式
在虚拟机中安装的网络操作系统内动手配置各种服务。

三、实验内容
1.在虚拟机中安装Windows server 2008操作系统并进行简单的配置。

2．活动目录安装、设置、使用。

3．常用服务DNS、DHCP、WINS、WWW、FTP的配置和使用。

四、实验指导
另附文件。

五、说明与建议
1．本门实验课程对实验环境要求较高，特别是安装活动目录组成域以后，要求每人至少用2台虚拟机进行实验。

建议实验过程中按要求提供实验环境。

2．网络操作系统是一门实践性非常强的课程，要求学生独立完成。

3. 实验报告中不要写实验步骤，主要写出做了哪些实验，实验的过程中
出现的问题及解决方法，实验总结。

实验二：Win Server 2008网络服务配置一、实验目的熟练掌握DNS服务的配置方法，了解DNS的工作原理；熟练掌握DHCP服务的配置方法，了解DHCP的工作原理。

二、实验属性：设计型三、实验环境多台装有Windows Server 2008的计算机。

四、实验内容该实验分组进行，自愿组合，2人一组，分别作DNS服务器、DHCP服务器。

1、选择一台虚拟机安装DNS服务，其余1人作客户端，练习配置DNS服务。

2、选择一台虚拟机安装DHCP服务，其余1人作客户端，练习配置DHCP服务。

3、用DHCP服务器给DNS服务器分配固定的IP地址，重新在客户端测试DNS服务。

五、实验步骤1、安装DNS服务在“服务器管理器”中添加DNS角色。

在[服务器管理]中添加角色点击下一步，安装上DNS服务器角色。

安装完毕，在管理工具中多一个DNS控制台：２、DNS服务器的配置①添加DNS zone在“DNS管理器”控制台树中展开服务器节点，点击“正向查找区域”，选择“新建区域”，单击“下一步”。

如图：在区域名对话框中输入新区域名：在完成设置对话框中显示以上所设置的信息，单击［完成］按钮：②添加反向搜索区域。

设置网络IP：创建反向区域文件：完成结果：③添加主机记录、别名记录、PTR记录。

在“正向查找区域”中，右击，选择“新建主机”：在“正向查找区域”中，右击，选择“新建别名”：在“反向查找区域”中，右击，选择“新建指针”：④设置DNS服务器的属性。

⑤设置DNS服务器的动态更新设置DNS服务器允许动态更新：右击DHCP服务器，选择［属性］，单击DNS，选择［启动DNS客户信息动态更新］并选择［选项］中的［当租约过期取消正向搜索］、［对非动态DNS客户更新］两个选择；在DNS控制台中展开正向查找区域，右击某个正向查找区域，选择［属性］，在［常规］标签中，在下方的动态更新下拉列表中选择［非安全］；展开反向查找区域，右击某个反向查找区域，选择［属性］并在［常规］标签中选择［非安全］。

想把Workstation 加入到DC，作为额外的辅助DC现在用检查网络连接的命令，结果显示passed就是对的此时只需要把windows中增加一条默认域控制器组策略就可以了windows2000中的组策略刷新查看dc完成情况组策略的概念组策略建在站点域OU应用对象用户对象计算机对象组策略功能介绍：设置集中化和分散化策略确保用户处于其所需的工作环境中控制用户和计算机的环境实施公司策略Sysvol 文件夹的重要性：若删除了sysvol 文件夹，会造成AD中组策略不可用，界面呈灰色，网络停用也会出现这样的问题删除sysvol文件夹运行去看组策略出现错误现添加sysvol文件夹刷新后就可以用组策略了windows2000时用Secedit 强制刷新windows2003时用gpupdate 刷新Ad 有关联DNS 有关联网络有关联Gpresult.exe查看组策略的结果重点查看：先安装一个gptools，然后把生成结果存到gp.txt Gpresult.exe 的应用GPOTool.exe 检验组策略文件的“健康情况”以及查看GPO的组策略还在不在如何应用先验证DC 再验证DC上的相关组策略Repadmin.exe 命令工具来做强行复制通过命令行进行强行复制使用NTFRSUtl.exe来检查订阅信息首先安装工具检查NTFS数据库文件FRS数据库文件位于winnt\ntfrs\jeb\ntfrs.jdb下面GPMC不是windows2003内置的工具安装GPMCGPMC的进入方式组策略管理控制台可以实现组策略的备份和还原组策略建模：可以模拟一个用户登录到另外一台计算机上是什么情况GPMC不能装在windows2000上，但是GPMC能够去管理windows2000的域使用第三方工具。

关于windows2008 的组策略设置开始---运行----gpedit.msc---组策略----计算机配置---- Windows设置----安全设置---组策略设置：在用户权利指派下，从通过网络访问此计算机中删除Power Users和Backup Operators;启用不允许匿名访问SAM帐号和共享;启用不允许为网络验证存储凭据或Passport;从文件共享中删除允许匿名登录的DFS$和COMCFG;启用交互登录：不显示上次的用户名;启用在下一次密码变更时不存储LANMAN哈希值;禁止IIS匿名用户在本地登录;3.本地安全策略设置:开始菜单—>管理工具—>本地安全策略A、本地策略——>审核策略审核策略更改成功失败审核登录事件成功失败审核对象访问失败审核过程跟踪无审核审核目录服务访问失败审核特权使用失败审核系统事件成功失败审核账户登录事件成功失败审核账户管理成功失败注：在设置审核登陆事件时选择记失败，这样在事件查看器里的安全日志就会记录登陆失败的信息。

B、本地策略——>用户权限分配关闭系统：只有Administrators组、其它全部删除。

通过终端服务拒绝登陆：加入Guests、User组（备注不要加入User组以后无法远程登录。

）通过终端服务允许登陆：只加入Administrators组，其他全部删除C、本地策略——>安全选项交互式登陆：不显示上次的用户名启用网络访问：不允许SAM帐户和共享的匿名枚举启用网络访问：不允许为网络身份验证储存凭证启用网络访问：可匿名访问的共享全部删除网络访问：可匿名访问的命全部删除网络访问：可远程访问的注册表路径全部删除网络访问：可远程访问的注册表路径和子路径全部删除帐户：重命名来宾帐户重命名一个帐户帐户：重命名系统管理员帐户重命名一个帐户防火墙安全设置：计算机配置----管理模板----网络---网络连接----windows防火墙----标准配置文件---windows防火墙保护所有网络连接---- 启动Tsconfig.msc 右键RDP—TCP 属性安全层SSL （TLS.0）加密级别高（带网络认证安全连接）关于目录权限设置：1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权，之后再对其下的子目录作单独的目录权限，如果WEB站点目录，你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限，如果想使网站更加坚固，可以分配只读权限并对特殊的目录作可写权限。