Windows Server 2012R2 组策略

WindowsServer2012r2优化1.一、组策略2.3.WIN键+R键，输入GPEDIT.MSC，进入组策略设置。

4.5.1、计算机配置，Windows设置，安全设置，帐户策略，密码策略：“密码必须符合复杂性要求”，设置为“已禁用”。

6.7.2、计算机配置，Windows设置，安全设置，帐户策略，密码策略：“密码最短使用期限”，设置为“0”（无期限）。

8.9.3、计算机配置，Windows设置，安全设置，本地策略，安全选项，“无需按Ctrl+Alt+Del”，设置为“已启用”。

10.11.4、计算机配置，管理模板，系统，显示“关闭事件跟踪程序”，设置为“已禁用”。

12.13.5、计算机配置，管理模板，系统，登录时不显示“管理你的服务器”页，设置为“已启用”。

14.15.6、计算机配置，管理模板，服务器管理器，登录时不自动显示“初始配置任务”窗口，设置为“已启用”。

16.17.7、计算机配置，管理模板，服务器管理器，在登录时自动显示服务器管理器，设置为“已启用”。

18.19.8、计算机配置，管理模板，服务器管理器，“配置服务器管理器刷新间隔”，设置为“已禁用”。

20.21.9、用户配置，管理模版，开始菜单和任务栏，更改“开始”菜单电源按钮，设置为“已启用”，下方的选项设置为“关机”。

如果使用第三方的传统开始菜单，建议进行此项设置，使用系统默认的，不需要。

22.23.10、用户配置，windows组件，Internet Explorer，Internet控制面板，安全页，Internet区域模块，设为“已启用”，选项为“中高”或“中”。

（数据中心版要设置，标准版可不设置）24.25.二、功能与服务26.27.点击服务器管理器图标，进入服务器管理器对话界面。

28.29.1、左上方，本地服务器，Windows更新，配置自动更新。

有些选项要不要选，看你的习惯了。

30.31.2、左上方，本地服务器，Internet Explorer增强的安全配置，“管理员”与“用户”的下方，勾选“关闭”。

windows2012 域服务器的账户锁定策略Windows2012 域服务器的账户锁定策略策略概述•账户锁定是一种安全措施，用于保护系统免受恶意攻击和破坏。

•Windows2012 域服务器提供了灵活的账户锁定策略配置选项，可以根据实际需求进行调整。

策略类型1.策略1：账户锁定阈值•设置一个登录失败的次数阈值，超过该阈值则触发账户锁定。

•阈值设置应根据实际情况进行调整，以平衡安全性和用户友好性。

2.策略2：账户锁定时长•配置账户锁定的时间长度，即锁定时长。

•锁定时长应根据实际需求来设定，以防止频繁锁定账户对用户造成困扰。

3.策略3：账户锁定复位•配置账户锁定复位的方式。

•可以选择自动复位或手动复位，根据实际需求来进行相应的设置。

4.策略4：账户锁定通知•配置账户锁定后是否发送通知给管理员或用户。

•通知设置有助于及时发现异常账户活动并采取必要的措施。

策略配置步骤1.打开 Windows2012 域控制器管理工具。

2.在左侧导航菜单中，选择“组策略管理”。

3.找到适用于目标域的组策略对象，并右键点击，选择“编辑”。

4.在左侧面板中，依次展开“计算机配置”、“Windows设置”、“安全设置”、“帐户策略”。

5.找到“账户锁定策略”选项，并双击打开。

6.根据实际需求，依次进行相关配置，包括设置阈值、时长、复位方式和通知选项。

7.确认配置后，保存并关闭策略编辑器。

8.在命令行界面中执行命令gpupdate /force，以使策略立即生效。

注意事项•在进行账户锁定策略配置时，应权衡安全性和用户友好性，以确保系统的稳定运行。

•定期审查和测试账户锁定策略，以适应不断变化的安全需求。

•在部署账户锁定策略时，应确保相关域用户已经接受必要的安全培训和指导。

以上是针对 Windows2012 域服务器的账户锁定策略的相关原则和配置方法。

通过合理配置和使用账户锁定策略，可以提高系统的安全性，并保护系统免受恶意攻击的威胁。

windowsserver2012r2开启远程桌面各种问题汇总Windows server 2012r2开启远程桌面比较麻烦，因为毕竟是服务器，更注重安全性。

问题一：如下图所示，未开启相关权限解决问题一：先进行系统高级设置，允许远程桌面连接，如下图所示再开启防火墙中、接入规则中的“TCP-in”，将其启用，如下图所示最后设置组策略，找到计算机配置----->管理模板----->网络----->网络连接----->Windows防火墙----->标准配置文件----->Windows防火墙允许入站远程桌面例外，将其启用，问题二：如下图所示，验证凭据失败这个问题是因为系统更新了一个补丁“CVE-2018-0886 的CredSSP 更新”这个问题有多种解决方案，下面一一列举解决问题二方案1：添加注册表进入注册表编辑器，找到找到路径：计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\System，在System文件夹内创建文件夹：\CredSSP\Parameters，然后在Parameters文件夹内，新建DWORD（32）位值（D），文件名为AllowEncryptionOracle，值为十六进制“2”，重启电脑。

该方法也许对普通windows系统有效，对我无效。

解决问题二：方案2：修改组策略运行gpedit.msc ，依次找到“计算机配置”->“管理模板”->“系统”->“凭据分配”，这里面有个“加密Oracle 修正”，改成易受攻击。

但是在windows server 2012r2系统中看不到这一项，因此需要先更新系统，再进行设置。

解决问题二方案3：降低安全级别这个方法适用于不涉密的服务器，谨慎使用。

也就是在系统属性、远程设置中，不勾选“仅允许使用网络级别身份验证的远程桌面的计算机连接（建议）”，此方法简单有效。

关于windows server 2012 r2的叙述摘要：一、Windows Server 2012 R2简介二、主要特性与升级内容三、系统组件与功能四、兼容性与迁移策略五、部署与维护方法六、总结与展望正文：一、Windows Server 2012 R2简介Windows Server 2012 R2是微软推出的一款操作系统，旨在为企业用户提供更加高效、稳定和安全的服务器解决方案。

作为Windows Server 2012的升级版本，2012 R2在原有基础上带来了更多创新和实用的功能，以满足企业不断发展的需求。

二、主要特性与升级内容1.强化虚拟化技术：Windows Server 2012 R2提供了更强大的虚拟化功能，例如Hyper-V虚拟机监控器、虚拟存储和网络虚拟化等。

2.改进的存储管理：新版本引入了ReFS（Resilient File System）文件系统，提高了存储空间的利用率、数据完整性和性能。

3.动态数据中心：Windows Server 2012 R2支持动态数据中心，通过自动化和智能化管理，帮助企业降低能耗、减少硬件投资。

4.系统集成：集成Skype for Business，提供企业级通信和协作功能。

5.升级版的安全特性：包括改进的防火墙、身份认证和数据保护等功能，提高系统安全性。

三、系统组件与功能Windows Server 2012 R2包含了许多组件和功能，如远程桌面服务、Active Directory、DHCP、DNS、IIS等，为企业搭建各种应用场景提供支持。

四、兼容性与迁移策略Windows Server 2012 R2向后兼容Windows Server 2012，同时支持现有应用程序和系统的迁移。

在迁移过程中，可通过备份与还原、虚拟机迁移等技术降低风险。

五、部署与维护方法1.部署：通过安装介质或虚拟光盘进行部署，也可使用Windows Assessment and Deployment Kit（ADK）进行自动化部署。

WindowsServer2012R2文件服务器安装与配置01 文件服务器配置的相关目录02 基础说明与安装一、文件服务器的基础说明文件服务器是企业里面用的最多的服务器之一,它主要用于提供文件共享。

为了配合文件服务器的权限管理,从WindowsServer2008新增了文件服务器资源管理器,其实在WindowsServer2003里面也有文件服务器资源管理器的功能,只是放于DFS功能模块里面了。

文件服务器资源管理器是一组可让你对文件服务器上存储的数据进行管理和分类的功能。

文件服务器资源管理器包括以下功能：文件分类基础结构文件分类基础结构通过分类流程的自动化提供对数据的洞察力,从而让你更有效地管理数据。

你可以基于此分类对文件进行分类并应用策略。

示例策略包括限制访问文件的动态访问控制、文件加密和文件过期。

可以使用文件分类规则自动分类文件,也可以修改所选文件或文件夹的属性手动分类文件。

文件管理任务文件管理任务可让你基于分类对文件应用有条件的策略或操作。

文件管理任务的条件包括文件位置、分类属性、创建文件的数据、文件的上一次修改日期或上一次访问文件的时间。

文件管理任务可以采取的操作包括使文件过期、加密文件的功能,或运行自定义命令的功能。

配额管理配额允许你限制卷或文件夹可拥有的空间,并且它们可自动应用于卷上创建的新文件夹。

你还可以定义可应用于新卷或文件夹的配额模板。

文件屏蔽管理文件屏蔽可帮助控制用户可存储在文件服务器上的文件类型。

你可以限制可存储在共享文件上的扩展名。

例如,你可以创建文件屏蔽,不允许包含MP3扩展名的文件存储在文件服务器上的个人共享文件夹上。

存储报告存储报告可用于帮助你确定磁盘使用的趋势以及数据分类的方式。

你还可以监视尝试要保存未授权文件的一组所选用户。

通过使用文件服务器资源管理器Microsoft管理控制台<MMC>或使用WindowsPowerShell,可以配置和管理文件服务器资源管理器包含的功能。

《网络服务器配置与管理——Windows Server 2012 R2篇》选择题及参考答案第1章Windows Server 2012 R2服务器基础1．以下关于服务器与客户机的说法中，不正确的是（）。

A．服务器是在网络环境中为用户计算机提供服务的计算机B．同一台计算机要么充当服务器，要么充当客户机C．客户机是指使用服务器所提供服务的用户计算机D．服务器是网络应用的基础和核心2．以下关于B/S结构的说法中，不正确的是（）。

A．B/S是一种三层结构B．B/S是对C/S的改进C．Web服务器作为网关D．B/S无须任何客户端3．某小型外贸公司需部署Web网站和邮件服务来开展业务，选择（）较为合适。

A．工作组级服务器B．部门级服务器C．入门级服务器D．企业级服务器4．某小型IT公司需以外包方式部署自己的服务器来开展综合业务，选择（）性价比高。

A．服务器租用B．服务器托管C．虚拟主机D．云主机5．以下关于角色与功能的说法中，不正确的是（）。

A．Web服务器可以看作是一种角色B．功能相当于系统组件，并不直接构成角色C．每个服务器角色至少包含一个角色服务D．角色描述计算机的主要功能、用途或使用6．以下关于PowerShell脚本的叙述中，正确的是（）。

A．PowerShell脚本中可以使用控制结构来执行复杂的任务B．Windows系统默认允许任何PowerShell脚本运行C．运行PowerShell脚本时必须提供其扩展名D．PowerShell配置文件也是一种PowerShell脚本7．以下关于PowerShell概念的叙述中，不正确的是（）。

A．Cmdlet是内置到Shell中的一个简单的单一功能命令行工具B．现有的Windows命令行工具不能在PowerShell命令行中运行C．PowerShell是可以扩展的D．PowerShell接收和返回.NET对象8．以下关于PowerShell用法的叙述中，不正确的是（）。

基于Windows Server 2012 R2域的安全管理Windows Server 2008 R2是微软最新的服务器操作系统，该操作系统秉承“按需定制”的原则，可以根据需要选择安装组件。

网络中常用的基础服务以“角色”的方式体现，更多的管理任务以“功能”的方式体现。

由于系统安装的服务少，因而能够减少网络攻击面，提升网络安全。

其中的AD DS域服务是Windows网络的基础网络服务，是Windows系列应用型产品的核心平台，是用户管理、计算机管理的基础。

一、项目简介本项目实现计算机系OU中若干计算机账号和用户账号（见表1-1）的统一的管理。

表1-1 网络环境描述图1-1 基于域的网络拓扑图图1-1是网络拓扑图。

二、实训环境1、软件环境Windows Server 2012 R2、Windows 7 等镜像文件光盘、VMware 7.1以上版本的虚拟机软件。

2、学院域，计算机系是域中的一个OU。

任务2 应用组策略部署软件通过组策略，可以将软件部署给域内的计算机。

软件部署分为分配和发布。

分配可以给用户，也可以给计算机。

如果分配给用户，则用户在域内的任何一台计算机登录时，这个软件都会被通告给该用户，但是此软件并没有完全安装，而只是安装了与这个软件有关的部分信息。

当用户运行此软件时，将会安装此软件。

如果分配给计算机，则当计算机启动时就会自动安装这个软件，而且任何用户登录都可以使用此软件。

软件发布只能给用户，当将软件发布给域用户后，此软件并不会自动被安装到用户的计算机内，用户可以通过控制面板来安装该软件。

[安全管理需求]将软件部署给域内的计算机，当用户登录或计算机启动时会自动安装软件或者很容易安装所部署的软件。

[任务描述]1、利用组策略实现软件发布制作一个QQ的msi文件，将此软件发布到计算机系内用户。

2、利用组策略实现软件的分配（1）为计算机系中的用户设置组策略以实现程序QQ.msi的分配。

（2）为计算机系中的计算机设置组策略以实现程序QQ.msi的分配。

Windows Server 2012 R2桌面化详细设置图解一、任务栏左下角启动服务器管理器，然后进行设置。

1、登录不显示服务器管理器2、本地服务器，看到右边的IE增强的安全配置，如图所示，关闭两项内容。

这样就关闭了IE增强安全提示框。

3、“工具”菜单，启动“服务”，启动两项声音服务(Windows Audio\Windows Audio Endpoint Builder)，并设为自动属性。

4、“管理”菜单，添加服务器角色与功能。

添加功能：Search服务、Server Backup、无线LAN，以及“用户界面和基础结构”下的桌面体验，优质 Windows 音频视频体验等。

如果你需要添加 .Net Framework 3.5 功能，自己再选上。

二、WIN键+R键，输入GPEDIT.MSC，进入组策略。

1、禁用“密码符合复杂性要求”，“密码最长使用期限”改为0（无期限）2、启用“交互式登录:无需按 Ctrl+Alt+Del”3、禁用“显示"关闭事件跟踪程序"”4、计算机配置 -> 管理模版 -> 系统，启用“在登录时不显示"管理你的服务器"页”5、用户配置 -> 管理模版 -> "开始"菜单和任务栏，设置“更改"开始"菜单电源按钮”的默认操作为“关机”，系统默认是“注销”。

三、显示桌面图标、壁纸等。

1、在桌面点右键，选择“个性化”菜单，再选择“更改桌面图标”,选择你需要的图标显示到桌面去。

2、在桌面点右键，选择“个性化”菜单，选择桌面背景，选择屏保四、设置处理器计划和数据执行保护1、在任务栏左下角开始按钮上点右键，选择“系统”菜单，再选择“高级系统设置”，再如下操作：选性能下的“设置”属性 -> 高级 -> 选程序。

2、在任务栏左下角开始按钮上点右键，选择“系统”菜单，再选择“高级系统设置”，再如下操作：选性能下的“设置”属性 -> 数据执行保护 -> 选第一项。

Windows Server 2012 R2 WSUS-5：组策略配置自动更新如果公司具备域环境的话，我们可以根据不同的计算机组的要求，来配置不同的WSUS的自动更新策略。

比如测试机器链接一套GPO，生产服务器链接一套GPO，针对于测试环境和生产环境的服务器和客户端的策略都是不一样，可以进行自定义设置的。

当然如果机器比较少，环境比较简单，也可以直接新建一个覆盖全域的GPO，来做WSUS的策略。

在我的一级WSUS服务器上，我新建了四个计算机组，这四个计算机组都对应到AD中相应的计算机的OU（关于计算机组的设置和客户端目标的设置将在下篇文章介绍），我们可以为域级别、测试计算机组OU和生产计算机组OU来制定不同的WSUS组策略。

首先我们来在default domain policy做一个影响全域计算机的自动更新策略。

在组策略管理控制台(GPMC) 中，浏览到默认的default domain policy的GPO，然后单击“编辑”。

在GPMC 中，依次展开“计算机配置”、“策略”、“管理模本”和“Windows 组件”，然后单击“Windows Update”。

在详细信息窗格中，双击“配置自动更新”。

单击“已启用”，然后单击“配置自动更新”设置下的以下选项之一：•下载通知和安装通知。

该选项会在你下载和安装更新之前通知登录的管理用户。

•自动下载和通知安装。

该选项将自动开始下载更新，然后在安装更新之前通知登录的管理用户。

•自动下载和计划安装。

该选项自动开始下载更新，然后在你指定的当天和时间安装更新。

•允许本地管理员选择设置。

该选项可让本地管理员使用控制面板中的自动更新来选择配置选项。

例如，他们可以选择计划的安装时间。

本地管理员不能仅用自动更新。

这里我选择3-自动下载并通知安装，然后单击“确定”。

在Windows Update详细信息窗格中，双击“指定Intranet Microsoft 更新服务位置”。

单击“已启用”，然后在“设置Intranet 更新服务以检测更新”框和“设置Intranet 统计服务器”框中键入相同WSUS 服务器的URL例如，在这两个框中（其中服务器名称是WSUS 服务器的名称），键入http://servername，然后单击“确定”。

Windows Server 2012 R2安装图解本文以光盘安装为例，如是U盘安装可能有所不同的地方，请大家根据实际情况操作，基本相同1首先选择安装语言——时间和键盘的接入方式：2开始安装：3 安装程序正在启动：4选择要安装的操作系统我们选择第二个图形界面的系统：5同意许可：6 选择安装的类型：7 选择window的安装位置：8 正在复制windows系统：9正在安装Windows：10 初步安装完成将会4s后自动重启：11 设置Administrator密码12 按Ctrl+Alt+Delete 键登录：13安装完成输入密码登录：14 安装完成进入桌面15 开始菜单：Windows Server 2012 R2桌面化详细设置图解一、任务栏左下角启动服务器管理器，然后进行设置。

1、如何登录不显示服务器管理器？选择管理菜单-----服务器管理属性---勾选在登录时不自动启动服务器管理器。

2、如何关闭IE增强安全配置？点击本地服务器，看到右边的IE增强的安全配置，如图所示，关闭两项内容。

这样就关闭了IE增强安全提示框。

3、“工具”菜单，启动“服务”，启动两项声音服务(Windows Audio\Windows Audio Endpoint Builder)，并设为自动属性。

4、如何调用出桌面图标？“管理”菜单，添加服务器角色与功能。

添加功能：Search服务、Server Backup、无线LAN，以及“用户界面和基础结构”下的桌面体验，优质 Windows 音频视频体验等。

如果你需要添加 .Net Framework 3.5 功能，自己再选上。

5 如何显示桌面图标、壁纸等在桌面空白处右键选择个性化设置---更改桌面图标——选择想要的桌面图标：二、WIN键+R键，输入GPEDIT.MSC，进入组策略。

1、如何禁用“密码符合复杂性要求”，“密码最长使用期限”改为0（无期限）？2、如何启用“交互式登录:无需按 Ctrl+Alt+Del”？3、如何禁用“显示"关闭事件跟踪程序"”？4、如何计算机配置 -> 管理模版 -> 系统，启用“在登录时不显示"管理你的服务器"页”？5、用户配置 -> 管理模版 -> "开始"菜单和任务栏，设置“更改"开始"菜单电源按钮”的默认操作为“关机”，系统默认是“注销”。

工作文件夹（Work Folders），用户可以存储和访问工作文件在个人电脑和其他设备上，通常被称为贴身设备（BYOD）。

用户可以设置最佳位置来存储工作文件，然后你可以从任何地方访问。

企业可以设置控制权限来对数据存储进行集中管理，并选择性地指定用户设备的政策，如加密和锁屏密码等。

这个功能与很早Windows里面所用到的一个功能有一点相似之处，那就是公用文件包。

他可以将文件时时同步到另一个同样的公共文件包中，不同之处是这个可以对其进行权限管理，可以与文件服务器等多应用结合使用，并且可以跨设备跨平台使用，可以用于同事之间协同应用开发等，当然他和目前比较流行的SVN功能类似，下面我们就简单的来说一下工作文件夹的安装与配置。

（一）、工作文件夹的安装1、点击“添加角色和功能”，打开向导，在服务器角色这里我们选择“工作文件夹”2、这里我们确认一下所需要安装的应用有哪些，然后点击“安装”3、提示安装成功，点击“关闭”，到此工作文件夹功能已经安装完成。

（二）、创建工作文件夹1、点击“若要为工作文件夹创建同步共享，请启动“新建同步共享”向导”2、打开“新同步共享向导”，点击“下一步”3、选择对应的服务器与对应的目录，我们这里将共享目录同时作为工作文件夹，点击“下一步”4、文件夹的结构，这里我们选择“用户别名”，意思就是说这样子，你连接上去以后，他默认就会自动创建一个目录是以你的用户名命令的，点击“下一步”5、设置同步共享名，这里我们默认即可，点击“下一步”6、点击“添加”选择具有访问权限的用户组等，点击“下一步”7、设备策略我们可以默认选择，如果需要加密、自动锁屏可以在这里选择，我们默认即可。

8、确认对应的创建信息无误，点击“创建”9、创建已经成功，点击“关闭”10、在服务器管理界面我们可以看到对应的工作文件夹里面已经创建的对应的目录，并且在下面我们可以看到对应的权限。

（三）、证书与IIS的配置不要以为到这里工作文件夹的安装与配置就已经完成了，其实还未完成，我们还需要配置对应的IIS与证书文件，下面我们来简单的了解一下。

Windows2012 R2服务器安全设置指南2019年1月目录开始菜单里，管理工具； (3)选【本地安全策略】； (4)1、操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；口令长度不得小于8位，且为字母、数字或特殊字符的混合组合，用户名和口令不得相同，禁止明文存储口令；（增强）开始菜单里，管理工具；选【本地安全策略】；【账户策略】-->【密码策略】2、应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；并限制同一用户连续失败登录次数；（增强）建议操作系统启用登录失败处理功能，设置结束会话、限制非法登录次数和自动退出等，限制同一用户连续失败登录次数。

【账户策略】-->【账户锁定策略】3、当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；建议使用加密协议进行远程管理。

措施：否，需要国际认证发证机构，发放证书，才可以进行相关设置。

4、有SQL数据库，可以直接用windows账户登录，未实现权限分离；建议禁用操作系统账户登录SQl数据库；措施：在安装sql数据库时，用户就是实现操作系统和数据库系统特权用户的权限分离；5、应限制默认账户的访问权限，重命名系统默认账户，修改这些账户的默认口令；建议禁用Guest账户，修改账户默认口令，重命名系统默认账户。

6、应及时删除多余的、过期的账户，避免共享账户的存在。

建议专人专户，并设置合理的权限。

措施：否，应用程序安装在特定的用户下，不能针对不同的用户。

7、审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统重要安全相关事件；建议配置合理的审计策略。

8、操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。

建议禁用默认共享，询问厂家是否可以关闭不使用的端口与服务。

措施：否，应用程序为B/S架构的，不能关闭特定的端口，比如TCP80（Web 服务）。

windowsserver2012R2部署AD域服务⼀、部署AD域控制器⾸先，我们检查第⼀台已经安装Windows Server 2012 R2的服务⽹络的相关配置，确定的服务器IP地址、⼦⽹掩码、默认⽹关的参数如下，由于该服务器既要充当ADDC⾓⾊，⼜要充当⽹络的DNS⾓⾊，所以“⾸先DNS服务器”中配置的IP地址输⼊它⾃⼰的IP地址，即192.168.20.100，同时将来会有另外⼀台辅助的ADDC会加⼊也会承担DNS的⾓⾊，所以在备⽤服务器中的IP地址中输⼊另外⼀台DNS的IP地址，即192.168.20.101，操作如下步骤 1 检查服务器的IP地址步骤 2点击Server2012左下⾓的“服务器管理器”显⽰如下界⾯步骤 3点击”管理”步骤 4点击“添加⾓⾊和功能按钮”弹出如下界⾯步骤 5这⾥选择“基于⾓⾊或基于功能的安装”，然后点“下⼀步”步骤 6服务器选择这⾥选择默认的，假如你需要针对其它主机安装AD⾓⾊，这⾥可以选择你需要的主机，点击“下⼀步”步骤 7这⾥勾选“Active Directory域服务”步骤 8当勾选这个选项时，会弹出如下对话框，点“添加功能”。

步骤 9这样就正确选择了安装AD⾓⾊，点击“下⼀步”步骤 10功能页⾯不需要做任何选择直接点“下⼀步”步骤 11这⾥是介绍AD⾓⾊的功能及注意事项，点击“下⼀步”步骤 12勾选“如果需要，⾃动重新启动⽬标服务器”，然后点击“安装”步骤 13安装成功后我们点击“关闭”，但这还没有完全安装成功步骤 14点击服务器右上⾓的“功能按钮”, 弹出继续配置AD的对话框步骤 15点击“部署后配置”，在红框处填⼊相应的域名步骤 16点击“下⼀步”选择域功能级别，选择相应的功能，DNS/GC/RODC,最下⾯输⼊⽬录服务还原密码在此设置密码为：vancen.123步骤 17点击“下⼀步”后配置DNS，由于不需要委派DNS，所以这⾥不需要设置，直接点击“下⼀步”步骤 18这⼀步配置Netbios名，若没有特殊需求默认的就可以，直接点“下⼀步”步骤 19配置⽇志，数据库，SYSVOL路径，若没有特殊需求，默认就可以步骤 20查看配置信息，若没有任何问题直接点“下⼀步”步骤 21这个页⾯是检测是否满⾜条件，满⾜条件后就可以直接点“安装”步骤 22等待机器安装配置项，可能需要重启步骤 23重启后我们会看到AD⾓⾊已经安装完成第⼀台 ADDC已经安装完成⼆、部署额外域控制器⾸先，我们检查第⼆台已经安装Windows Server 2012 R2的服务⽹络的相关配置，确定的服务器IP地址、⼦⽹掩码、默认⽹关的参数如下，由于该服务器既要充当辅助的ADDC⾓⾊，⼜要充当⽹络的DNS⾓⾊，所以“⾸先DNS服务器”中配置的IP地址输⼊主域控制器的IP地址，即192.168.20.100，备⽤DNS服务器的IP地址输⼊它⾃⼰的IP地址，即192.168.20.101，操作如下步骤 1 检查服务器的IP地址步骤 2 修改计算机名为ADDC02，点击确定步骤 3 点击“添加⾓⾊和功能按钮”弹出如下界⾯步骤 4这⾥选择“基于⾓⾊或基于功能的安装”，然后点“下⼀步”步骤 5这⾥选择“从服务器池中选择服务器”，然后点“下⼀步”步骤 6这⾥选择“域服务所需的功能”，然后点“下⼀步”步骤 7然后点“下⼀步”步骤 8然后点击“安装”步骤 9点击“将此服务器提升为域控制器”步骤 10由于是做已经建⽴的域的辅助域控制器，所以单击 “向域控制器添加到现有域”步骤 11由于域的辅助域控制器所以选择域系统（DNS）服务器和全局编录（GC）功能，⽬录还原模块密码vancen.123步骤 12选择从主域控复制数据安装，复制⾃：步骤 13配置⽂件路径选择默认，点击“下⼀步”步骤 14查看脚本后，点击“下⼀步”步骤 15先决条件检查后，点击“安装”第⼆台 ADDC已经安装完成，到此两台域控制都已经安装完成三、验证安装步骤 1直接打开CMD命令⾏，输⼊“netdom query fsmo”,这时会显⽰五种⾓⾊都已经安装成功步骤 2若要进⼀步验证AD是否安装正确，可以使⽤DCDIAG /a命令⾏步骤 3使⽤Repadmin诊断⼯具检查⽬录复制问题，包括管理和修改复制拓扑，强制复制事件和显⽰复制元数据与最新⽮量。

基于Windows Server 2012 R2域的安全管理Windows Server 2008 R2是微软最新的服务器操作系统，该操作系统秉承“按需定制”的原则，可以根据需要选择安装组件。

网络中常用的基础服务以“角色”的方式体现，更多的管理任务以“功能”的方式体现。

由于系统安装的服务少，因而能够减少网络攻击面，提升网络安全。

其中的AD DS域服务是Windows网络的基础网络服务，是Windows系列应用型产品的核心平台，是用户管理、计算机管理的基础。

一、项目简介本项目实现计算机系OU中若干计算机账号和用户账号（见表1-1）的统一的管理。

表1-1 网络环境描述图1-1 基于域的网络拓扑图图1-1是网络拓扑图。

二、实训环境1、软件环境Windows Server 2012 R2、Windows 7 等镜像文件光盘、VMware 7.1以上版本的虚拟机软件。

2、学院域，计算机系是域中的一个OU。

任务1 应用组策略管理用户工作环境组策略是一个能够让系统管理员充分管理用户工作环境的技术，通过它来确保用户拥有与权限相符的工作环境，也通过它来限制用户，如此不但可以让用户拥有适当的环境，也可以减轻系统管理员的管理负担。

[安全管理需求]用户使用统一的方式上网，在登录、注销时使用统一脚本，普通用户在离开时可以关闭本地服务器。

为便于备份和管理，要实现文件夹的重定向，将文件目录统一放至文件服务器上。

用户登录后环境要求统一，如桌面、磁盘配额等。

为了安全起见，不允许用户私自使用移动存储介质，如USB、光盘设备。

[任务描述]1、设置用户使用代理服务器上网设置域内的计算机系内的用户必须使用企业内部的代理服务器（Proxy Server）上网，代理服务器的网址为，端口号为8080，同时要将用户浏览器IE的连接标签内更改代理服务器设置的功能禁用，以免用户私自通过此处更改这些设置值。

2、设置计算机配置中的安全设置为计算机系中的用户user1分配可以关闭计算机（文件服务器）Server2的权限。

Windows Server 2012R2 组策略一、什么是组策略组策略（GroupPolicy）是Microsoft Windows系统管理员为计算机和用户定义的，用来控制应用程序、系统设置和管理模板的一种机制。

通俗一点说，是介于控制面板和注册表之间的一种修改系统、设置程序的工具。

二、为什么需要组策略注册表是Windows系统中保存系统软件和应用软件配置的数据库，而随着Windows功能越来越丰富，注册表里的配置项目也越来越多，很多配置都可以自定义设置，但这些配置分布在注册表的各个角落，如果是手工配置，可以想像是多么困难和烦杂。

而组策略则将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。

其实简单地说，组策略设置就是在修改注册表中的配置。

当然，组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。

三、组策略的两种配置Ø计算机配置：当计算机开机时，系统会根据计算机配置的内容来设置计算机环境。

包括桌面外观、安全设置、应用程序分配和计算机启动和关机脚本运行等。

Ø用户配置：当用户登录时，系统会根据用户配置的内容来设置计算机环境。

包括应用程序配置、桌面配置、应用程序分配和计算机启动和关机脚本运行等。

四、组策略类型Ø域内的组策略：（优先级从上到下依次降低）域内的策略会被应用到域内的所有计算机和用户1. 站点策略2. 域策略3. 组织单元策略Ø本地计算机策略：1. 计算机配置只会应用在此计算机2. 用户策略将应用到在此计算机登录的所有用户五、计算机本地策略本地计算机组策略控制台1.计算机配置实例1.1.不显示关机理由1.2.账号密码策略1.3.账户锁定策略1.4.用户权限分配1.5.安全选项2.用户配置实例2.1.删除“开始”菜单中的“运行”运行取消成功2.2.将“控制面板”中的“Windows防火墙”隐藏起来六、组策略对象（GPO）Ø组策略有继承性、累加性Ø当组策略有冲突时，则以处理顺序在后的GPO为优先，而系统处理GPO的顺序是：站点GPO→域→组织单位的GPO→本地计算机策略最低。