Windows2008创建域

环境为：树系 ，网域，树系和网域为同一主机 AD：172.16.10.210Exchange ：172.16.10.230 AD ：172.18.10.210Exchange ：172.18.10.220主域的windows 2008+Exchange2010安装好后，开始建设信任子域一、在主域DNS的正向区域与反向区域上设置“区域传送”。

二、信任子域的windows2008安装好后，开始增加角色，只需要增加“DNS伺服器”、“应用程序伺服器”即可三、角色增加完之后打开DNS服务，增加正向的次要区域四、增加反向的次要区域五、然后设置主机的DNS IP地址为主域的DNS服务器的IP六、开始架设AD ，在命令行内输入“dcpromo”，选中画面中“使用进阶模式安装”七、在接下来的部署设定里，选择“建立新的网域……而不是新的子网域”八、输入树系的域名 ，并且进行网络认证，如果此认证不通过为DNS设置不九、认证过后输入要架设的域名十、十一、十二、此处选择“是”即可十三、十四、安装完成后重开机十五、重开后在AD主机的DNS服务上，看见已经建好了的主要正向区域，设置其“区域传送”十六、并且设置其主要的反向区域十七、在主域的DNS服务器上增加的次要正向区域和次要反向区域十八、上面设置完成后，在的AD主机上打开“Active Directory使用者和电脑”然后在“Users”里面的Enterprise Admins和Schema Admins群组内增加成员\Administrator以上工作完成后开始架设的exchange服务器十九、安装好windows2008的系统后，加入域中。

（1）增加角色“IIS”与“应用程序”（2）安装Microsoft Filter Pack（3）开启服务net.tcp posharing service（4）在命令行内输入ServerManagerCmd -i RSAT-ADDS二十、开始安装exchange2010当出现如下警告时关闭安装程式，在命令行输入D:\setup /PD，然后从上一画面重新开始。

5-2 创建Active Directory 域我们使用下图来介绍如何创建第1个林中的第1个域（根域）。

创建域的方法是先安装一台Windows Server 2008服务器，然后将其升级为域控制器。

再架构此域的第二台域控制器（Windows Server 2008）、一台成员服务器（Windows Server 2008）与一台加入域的Windows Vista 计算机。

首先将上图左上角的服务器升级为域控制器，也就是在其内安装Active Directory 。

当运行这个升级工作时，因为它是第一台域控制器，因此这个升级过程会同时完成以下的工作：☻ 创建第一个林☻ 创建此新林中的第一个域树状目录☻ 创建此新域树状目录中的第一个域☻ 创建此新域中的第一个域控制器在创建上图中第一台域控制器 时，它会同时创建此域控制器所属的域 ，同时也会创建域 所属的域树状目录，而域第一台域控制器 &DNS 服务器 IP:192.168.8.1/24 DNS:192.168.8.1 第二台域控制器IP:192.168.8.2/24DNS:192.168.8.1成员服务器 IP:192.168.8.3/24 DNS:192.168.8.1 加入域的WindowsVista vista IP:192.168.8.4/24DNS:192.168.8.1也是此域树状目录的根域。

由于这是第一个域树状目录，因此它同时也会创建一个新林，林名就是第一个域树状目录的根域的域名，也就是。

域就是整个林的林根域。

5-2-1 创建域的必要条件在将Windows Server 2008服务器升级为域控制器前，请注意以下事项：☻DNS域名请提前为Active Directory域想好一个符号DNS格式的域名，例。

☻DNS服务器由于域控制器需要将自己登记到DNS服务器内，以便让其他计算机通过DNS 服务器来找到这台域控制器，因此必须要有一台可支持Active Directory的DNS服务器，也就是它必须支持SRV RR，且最好能支持动态更新。

创建⼀个完整的域前⾔我们按照下图来创建第⼀个林中的第⼀个域。

创建⽅法为先安装⼀台Windows服务器，然后将其升级为域控制器。

然后创建第⼆台域控制器，⼀台成员服务器与⼀台加⼊域的Win8计算机。

⼀般说主和备，主要是指担任PDC放置的⾓⾊的这台DC，所有修改密码的操作必须由这台DC应答。

除了修改密码、域管理、林管理，其他操作（主要是⾝份验证）都可以随便抓⼀台DC来完成。

DNS是⼀个列表，在整个林⾥⾯同步，除了PDC放置有单独的列表，其它DC⼀般没有权重。

也就是PDC故障，如果不需要修改⽤户的密码，可以不⽤管环境⽹络192.168.100.0/24 ⽹关192.168.100.2域名 配置ip，去掉ipv6，禁⽤TCP/IP上的NetBIOSDC1：192.168.100.11/24DC2：192.168.100.12/24Server：192.168.100.13/24PC1：192.168.100.14/24创建域的必备条件DNS域名：先要想好⼀个符合dns格式的域名，如 DNS服务器：域中需要将⾃⼰注册到DNS服务器内，瓤其他计算机通过DNS服务器来找到这台机器，因此需要⼀台可⽀持AD的DNS服务器，并且⽀持动态更新（如果现在没有DNS服务器，则可以在创建域的过程中，选择这台域控上安装DNS服务器）注：AD需要⼀个SYSVOL⽂件夹来存储域共享⽂件（例如域组策略有关的⽂件），该⽂件夹必须位于NTFS磁盘，系统默认创建在系统盘，为了性能建议按照到其他分区。

创建⽹络中的第⼀台域控制器创建更多的域控制器如果⼀个域内有多个域控制器，可以有如下好处.提⾼⽤户登录的效率：如果同时有多台域控制器对客户提供服务，可以分担审核⽤户登录⾝份（账户与密码）的负担，让⽤户登录效率更佳。

排错功能：如果有域控制器发⽣故障，此时依然能有其他正常的域控制器继续提供域服务器。

我们将 DC2 升级为域控制器⾸先改名，改ip，主DNS填写⾃⼰的IP，备DNS填写主域控的IP（因为要发现当前环境中的域，那么DNS就要指向主域控的IP地址）后⾯都和前⾯⼀样安装功能，然后提升为域控需要注意的是，这⾥不同，将域控添加到现有域，输⼊域名，并且输⼊现有权限添加域控的账户contoso\administrator的密码。

Windows2008新建域时Administrator 帐户密码不符合要求
Windows 2008 系统安装完毕后，（环境：在安装的时间，系统没有设置密码。

做好系统后，进入制面板添加了密码或按ctr+alt+del设置密码后在服务器管理-角色-Active Directory 域服务安装域控制器即：dcpromo.exe时）使用Active Directory域服务安装向导，在选择某一部署配置时（即根域时），出现以下提示：
在cmd中输入：net user administrator 回车
你会发现Administrator需要密码为no。

原因：原来在装系统的时候没有对administrator 管理账号设置密码，只是在进入系统后利用控制面板添加了密码，在系统由工作组状态转向域主状态的时候系统需要将本地的administrator转为域管理帐号而此时系统并未对administrator帐户的信息及时更新，通过net user administrator 发现其“需要密码”此字段仍为no的状态即系统依然认为administrator是空密码因此导致升级到域失败。

解决方法：
在cmd 里输入如下命令：net user administrator /passwordreq:yes 成功！
如下图：
在继续安装，系统操作正常。

Windows Server 2008出来好一阵子了，自己也用了段时间，但一直没机会体验其AD功能的强大，下面简单的讲解下Windows Server 2008 Active Directory域服务的安装步骤：1.点击“开始”->“运行”，输入“dcpromo”并回车，弹出如下窗口：直接点击“下一步”，一般不需要“使用高级模式”，(除非你的添加第二个DC做他用或者对各种设定都非常熟悉)2.点击“下一步”；3.因为是新建DC，所以选择“在新林中新建域”；4.在目录林根级域FQDN(F)一栏中，输入想建立之网域名称，如确定无误后，按下“下一步”，稍后会进行检查同网段上是否有无网域名称重复；5. 在“设置林功能级别”页面，如林内网域控制站皆为Windows Server 2008担任，则可将林功能等级提升至Windows Server 2008，但有些应用程序需绑AD，则暂不建议将网域等级升至Windows Server 2008。

确定无误后，则按下“下一步”，则会开启“其它域控选项”页面6.DNS当然得选了，直接选择“下一步”；7. 对了，在进行DNS服务器角色安装之前，会先行检查该服务器是否已设定固定IP 地址。

同时，会出现该警示提示(下图)，是因为IPv6预设是为启动，而该Lab使用的是IPv4，故该警示可忽略，按下“是，该计算机将使用动态分配的IP地址(不建议)”---当然，首先固定IP是最好了8. 出现此警示讯息则说明如该网域如为子网域时，则必须先升级问为父系网域，然后设定DNS服务器委派的动作，因该Lab为的网域，故可忽略此警示讯息，按下“是”即可；9.这个…基本不用更改，前提是都是NTFS格式；10.设置还原密码，跟2003一样，够复杂能记住就行；11.到这里就可以检查一下前面的步骤有无错误，没有就可以直接“下一步”；12.正在配置各种设定和服务，大约5~6分钟；13.至此，AD域服务已经安装完毕！重启即可，记得下次登录需要选择Domain哦，否则会拒之门外的！以后会陆续讲解其他功能，如ADSI Edit、Hyper...。

怎怎样在windows2008中配置DNS服务器区域与转发器？网技学习网原创转载请保留此链接实验环境：wji123公司是一家新成立的公司，该公司的局域网内没有DNS服务器，所有计算机都使用ISP的DNS服务器（202.202.202.202）。

wji123公司计划搭建一台DNS服务器，为公司内部创建一个区域，并为公司的服务器建立主机记录，使用户能用FQDN访问这些服务器，同时该DNS服务器能为内网用户解析公网域名。

主要安装目录：安装DNS服务器角色创建正向查找区域创建反向查找区域创建主机记录配置DNS客户机配置DNS转发器详细步骤：安装DNS服务器角色1.打开“服务器管理器”窗口选择“添加角色”。

2.跟随向导在“选择服务器”窗口中选择“DNS服务器”，单击“下一步”3.跟随向导一直“下一步”直到完成安装。

创建正向查找区域安装好DNS服务器角色后，接下来需要新建区域。

区域包括两种类型：正向查找区域和反向查找区域。

正向查找区域是通过FQDN查找IP地址，反向查找区域是通过IP地址查找FQDN.创建正向查找区域的详细步骤如下：1.在“开始”-“管理工具”中单击“DNS”打开“DNS管理控制台”，右击服务器名称，选择“新建区域”。

2.在“新建区域向导”窗口中单击“下一步”；在“区域类型”窗口，选择“主要区域”，单击“下一步”。

3.在“正向或反向查找区域”窗口选择“正向查找区域”，单击“下一步”。

4.在“区域名称”窗口输入“”,单击“下一步”。

5.在“区域文件”窗口使用默认设置，不修改文件名，单击“下一步”。

6.在“动态更新”窗口选择“不允许动态更新”，单击“下一步”。

7.在“正在完成新建区域向导”窗口单击“完成”，完成新建区域。

创建反向查找区域创建反向查找区域的步骤与正向查找区域类似，具体步骤如下：1.打开DNS管理器控制台，右击服务器名称，选择“新建区域”；在“新建区域向导”窗口中单击“下一步”，在“区域类型”页，选择“主要区域”。

2015-2016学年度网络、网站专业班 windows server 2008 网络操作系统课程教案从安全管理角度讲，域是安全的边界；6) 域树一组具有连续命名空间的域组成的；域通过自动建立的信任关系连接起来；根域：最上层的域名就属于这棵域树的根域子域：根域下面的两个域就属于子域，它包含了上一层父域的域名。

7) 域林由一棵或多棵域树组成的；每棵域树独享连续的命名空间；不同域树之间没有命名空间的连续性；域林中第一个创建的域称为域林根域，根域不可删除、更改和重命名。

8) 组织单位（ou）组织、管理一个域内对象的容器包容用户账户、用户组、计算机、打印机和其他的组织单位具有很清楚的层次结构，管理员可以根据自身的要求进行定义。

课间休息（10min）找出图片中三个域的相同之处？ 2015-2016学年度网络、网站专业班 windows server 2008 网络操作系统实训课教案3.安装活动目录(1)启动Active Directory域服务安装向导；方法一：【服务器管理器】窗口方法二：运行dcpromo命令安装活动目录(2) 在【Active Directory域服务安装向导】欢迎界面中，确定是否使用高级模式安装；(3) 在【操作系统兼容性】向导页中，提示Windows Server 2008中改进的安全设置会影响老版本的Windows，单击【下一步】；（(4）如果系统的TCP/IP配置中没有配置首选DNS服务器IP地址时，将打开【配置域系统客户端设置】向导页，提示必须要配置DNS客户端。

可以选中复选框即在这个服务器中安装DNS服务;(5) 在【选择某一部署配置】向导页中，若要创建一台全新的域控制器，则选择【在新林中新建域】单选按钮；如果网络中已经存储其他域控制器或林，则选择【现有林】单选按钮，再确定是【向现有域添加域控制器】还是【向现有林中新建域】;(6) 在【命名林根域】向导页中，输入林根域的域名,如：;(7) 在【设置林功能级别】向导页中，选择林功能级别（为限制哪些windows server操作系统可以在此域控制器上运行）;(8) 在【设置域功能级别】向导页中，选择域功能级别（不可低于林）;(9) 在【其他域控制器选项】向导页中，设置其他信息;(10) 安装向导开始检查DNS配置，打开【Active Directory域服务安装向导】警告框(11) 安装向导开始检查DNS配置，打开【Active Directory域服务安装向导】警告框; 在【数据库、日志文件和SYSVOL的位置】向导页中，指定Active Directory数据库（域中对象的有关信息）、日志文件（存储活动目录与服务的有关服务）和SYSVOL文件夹（操作系统文件的一部分）在服务器上的存储位置;(12) 在【目录服务还原模式的Administrator密码】向导页中，设置在目录服务还原模式(DSRM)下启动此域控制器的密码;(13) 在【摘要】向导页中，显示前面所进行的设置以便用户检查;(14) 在【Active Directory域服务安装向导】警告框中，提示正在根据所设置的选项配置Active Directory;(15) 配置完成;(16) 提示重新启动计算机;(17) 系统已升级为Active Directory域控制器，此时必须使用域用户账号登录，其格式是“域名\用户账户;(18)【Active Directory用户和计算机】窗口注：每一个操作都会给学生发一个PDF格式的操作流程。

2008_域环境搭建目录第一章虚拟场景 (2)1、公司简介 (2)2、公司现有IT状况 (2)第二章实验设计 (3)1、域规划 (3)2、计算机规划 (3)第三章具体实施 (4)1、建立根域 (4)1.1准备 (4)1.2 安装 (4)2、建立子域 (13)3、额外域控制器建立 (18)4、站点的建立与连接 (25)4.1 创建站点 (25)4.2 定义站点子网 (26)4.3 定位服务器 (27)4.4 配置站点连接器 (28)5角色迁移 (28)第四章实验中的问题 (33)第一章虚拟场景1、公司简介某公司通过合理的运营和管理，发展迅速，员工人数已有200人左右，现在该公司总部设在长春，两个子公司分部在大连和沈阳，为了满足公司未来的发展和企业运营的需求，公司决定重新部署企业网络。

公司决定部署一个由200台计算机组成的局域网。

用于完成企业数据通信和资源共享。

公司内部有：人力资源部、行政部、财务部、工程部、销售部、总经理办公室2、公司现有IT状况公司已有一个局域网，运行200台计算机，服务器操作系统是windows server 2008，客户机的操作系统是windows xp，工作在工作组模式下，员工一人一机办公。

公司从ISP申请2M专线用于与各个子公司相连，实现各公司间资源交换与共享。

由于计算机比较多，管理上缺乏层次，公司希望能够利用windows域环境管理所有网络资源，提高办公效率，加强内部网络安全，规范计算机使用。

第二章实验设计1、域规划一改以往的工作组模式，组建域，使管理更方便，工作的环境更安全，用户可以在任意一台域内的计算机登录，共享网络资源。

在总公司长春建立根域内部子网172.16.18.0/24大连分部建立子域内部子网10.10.10.0/24沈阳分部建立子域内部子网192.168.80.0/242、计算机规划DC情况如下表:地区DC计算机名IP 子网掩码DNS长春Mywingc 172.16.18.51 255.255.255.0 172.16.18.51 Mywinsu 172.16.18.216 255.255.255.0 172.16.18.51大连Hanwin01 10.10.10.1 255.255.255.0 172.16.18.51 Hanwin02 10.10..10.216 255.255.255.0 172.16.18.512M沈阳Tbwin01 192.168.80.173 255.255.255.0 172.16.18.51 Shiwin02 192.168.80.215 255.255.255.0 172.16.18.51第三章具体实施1、建立根域1.1准备对于安装WINDOWS 2008 SERVER 的服务器，对硬件有如下要求：处理器最低1.0GHz x86或1.4GHz x64推荐2.0GHz或更高；安腾版则需要Itanium 2内存最低512MB 推荐2GB或更多内存最大支持32位标准版4GB、企业版和数据中心版64GB 64位标准版32GB，其他版本2TB硬盘最少10GB，推荐40GB或更多内存大于16GB的系统需要更多空间用于页面、休眠和转存储文件备注光驱要求DVD-ROM；显示器要求至少SVGA 800×600分辨率，或更高；在安装根域服务器前，首先要确定你的计算机IP地址（IPV4）为静态，DNS指向本机的IP地址（DNS安装会在下面操作中说明） IPV6 禁用1.2 安装在安装windows 2008 之后（安装过程不详细介绍），选择“开始”－“管理工具”—“服务器管理器”选项，然后选择添加角色在服务器角色中选择AD域服务（DNS不可与AD一起勾选）然后单击下一步，进入一个对AD的简介界面，单击下一步进入安装界面点击安装。

第一学期Windows综合习题1.要清除本地DNS缓存，使用的命令是（）。

（选择1项）a) Ipconfig/displaydnsb) Ipconfig/renewc) Ipconfig/flushdnsd) Ipconfig/release2.以下对DNS区域的资源记录描述错误的是（）。

（选择2项）a) SOA：列出了哪些服务器正在提供特定的服务b) MX: 邮件交换器记录c) CNAME：该区域的主服务器和辅助服务器d) PTR：PTR记录把IP地址映射到FQDN3.BENET公司网络采用一台Windows Server 2008的服务器提供DHCP服务，管理员新建了作用域，并为经理的计算机配置了保留。

之后管理员在服务器选项中配置DNS服务器地址是：202.96.134.10，默认网关是：192.168.1.254，在作用域选项中配置DNS服务器地址是：202.134.125.50，那么当经理的计算机接入网络时，获得的DNS服务器地址和默认网地址是( )。

（选择1项）a) DNS服务器地址202.96.134.10，默认网关192.168.1.254b) 首选DNS服务器地址202.96.134.10，备用DNS服务器地址202.134.125.50，默认网关192.168.1.254c) DNS服务器地址202.134.125.50，默认网关192.168.1.254d) DNS服务器地址202.96.134.10，默认网关为空4.Jerry是公司的系统工程师，公司采用单域进行管理，随着公司的扩展，jerry购置一台新服务器替换原来的DC，他在新服务器上安装好Windows Server 2008并提升为DC后，还需要把所有操作主机角色转移到新DC上，为了顺利转移所有操作主机角色，jerry使用的账号必须属于（）。

（选择3项）a) Schema Adminsb) Domain Adminsc) Exchange Adminsd) Enterprise Admins5.以下关于授权还原与非授权还原的说法，错误的是（）。

Win2008—-——文件服务器一．项目概况小明是一家从事信息技术的台资企业的网管，公司有总经理办公室,人事部,财务部，技术部等部门，共计员工150位，所用客户机均为xp系统，为方便公司电子办公，提高效率，公司需要搭建一台文件服务器，用于上传和下载公司部门资料。

二．实施任务描述注意：接下来做的全部在域环境下的。

由于没有强烈要求。

所以在这里我就直接在域环境下做了。

1）建立各部门相对应的用户组.建立各部门用户组，为各部门用户建立相应的账号(每个部门至少两个账号:一名经理与一名普通话员工）并添加到所在的部门组。

在ad用户和计算机里面创建ou。

为总经理。

部门创建好了，接下来在ou里面创建两个用户和本地域组。

这里为什么选择本地域组呢？因为有些权限本地域才可以达到.本地域组创建好后,把经理和普通用户加入到本地域组。

组和用户都已经创建好。

两个用户已经被添加到本地域组了。

建立其它部门的用户和组在这里我就不截图了。

步骤同上。

2）密码至少6位及为复杂密码.开始--—管理工具—组策略管理—--找到相应的域。

打开组策略编辑器。

密码策略更改好了。

需要刷新下策略.Gpupdate。

3）实现所有用户的工作环境与管理员相同.这里需要首先在文件服务器里面打开c盘,用户下面，到对话框的上面点查看,工具，文件夹选项。

显示隐藏文件夹。

会出现一个default文件夹.把里面的文件全部删除.这时候把用户下面的administrator文件夹里面的文件全部复制到default文件夹里（注意：这时候肯定复制不了。

因为administrator里面的配置文件正在被管理员使用，这时我们得把部门里面的用户加入到到本地管理员组里面，让他有权限复制和登录.这是用于进去要复制东西。

不然就不用加入管理员组.直接可以在组策略里设置允许交互式登录。

(这是在域环境下。

如果在工作组下面就不用这么麻烦了。

）用jingli用户登录.把c盘用户下的administrator里的文件全部复制到default里面。

Windows Server 2008搭建域控制器引入在小型网络中，管理员通常独立管理每一台计算机，如最为常用的用户管理。

但当网络规模扩大到一定程度后，如超过 10 台计算机，而每台计算机上有 10 个用户，那么管理员就要创建100个以上的用户账户，相同的工作就要重复很多遍。

→此时可以将网络中的多台计算机逻辑上组织到一起，进行集中管理，这种区别于工作组的逻辑环境叫做域（domain）。

对应于我们第二章中提到过的C/S网络管理模式。

本章内容很重要，也很抽象，教员应多举生活中的例子来帮助学员理解。

可以将域比喻成一个国家，那么域控制器就是国家的首脑，管理域内的成员计算机注意：域是逻辑分组，与网络的物理拓扑无关域将网络中多台计算机逻辑上组织到一起，进行集中管理，这种区别于工作组的逻辑环境叫做域域是组织与存储资源的核心管理单元域控制器在域中，至少有一台域控制器域控制器中保存着整个域的用户帐号和安全数据库引入：要创建Windows 域，首先必须理解活动目录的概念，因为域与活动目录是密不可分的。

在一台计算机上安装活动目录使其成为域控制器。

DC通过活动目录来提供目录服务，如负责维护AD数据库，审核用户的账户和密码是否正确等。

DC是物理上的一台计算机，而活动目录是运行在DC上的一种服务。

活动目录活动目录是Windows网络中的目录服务活动目录提供了存储网络对象信息并使网络用户使用这些数据的方法活动目录特点集中管理便捷的网络资源访问用户一次登录就可访问整个网络资源网络资源主要包含用户账户、组、共享文件夹、打印机等可扩展性域树具有连续的域名空间的多个域林林由一个或多个域树组成安装域控制器的条件安装者必须具有本地管理员权限操作系统版本必须满足条件（Windows Server 2008 除Web版外都满足）本地磁盘至少有一个分区是NTFS文件系统有TCP/IP设置（IP地址、子网掩码等）有相应的DNS服务器支持有足够的可用空间安装活动目录步骤：单击“开始—运行”输入安装命令“dcpromo”，打开AD域服务安装向导；阅读操作兼容性说明，单击下一步按钮；在“选择某一部署配置”页面中，选择“在新林中新建域”；在“命名林根域”页面输入目录林根域的FQDN名，这里命名为;在“选择林功能级别”页面中选择林功能级别；注，以下是各种级别的支持度。

项目一基于Windows Server 2008 R2域的安全管理Windows Server 2008 R2是微软最新的服务器操作系统，该操作系统秉承“按需定制”的原则，可以根据需要选择安装组件。

网络中常用的基础服务以“角色”的方式体现，更多的管理任务以“功能”的方式体现。

由于系统安装的服务少，因而能够减少网络攻击面，提升网络安全。

其中的AD DS域服务是Windows网络的基础网络服务，是Windows系列应用型产品的核心平台，是用户管理、计算机管理的基础。

一、项目简介本项目实现计算机系OU中若干计算机账号和用户账号（见表1-1）的统一的管理。

表1-1 网络环境描述图1-1 基于域的网络拓扑图图1-1是网络拓扑图。

二、实训环境1、软件环境Windows Server 2008 R2、Windows 7 等镜像文件光盘、VMware 7.1以上版本的虚拟机软件。

2、学院域，计算机系是域中的一个OU。

三、项目学时本项目预计学时24学时，包含评讲。

任务1 应用组策略管理用户工作环境（6学时）组策略是一个能够让系统管理员充分管理用户工作环境的技术，通过它来确保用户拥有与权限相符的工作环境，也通过它来限制用户，如此不但可以让用户拥有适当的环境，也可以减轻系统管理员的管理负担。

[安全管理需求]用户使用统一的方式上网，在登录、注销时使用统一脚本，普通用户在离开时可以关闭本地服务器。

为便于备份和管理，要实现文件夹的重定向，将文件目录统一放至文件服务器上。

用户登录后环境要求统一，如桌面、磁盘配额等。

为了安全起见，不允许用户私自使用移动存储介质，如USB、光盘设备。

[任务描述]1、设置用户使用代理服务器上网设置域内的计算机系内的用户必须使用企业内部的代理服务器（Proxy Server）上网，代理服务器的网址为，端口号为8080，同时要将用户浏览器IE的连接标签内更改代理服务器设置的功能禁用，以免用户私自通过此处更改这些设置值。

Windows Server 2008 域控制器中，常用的命令有：1. net user：用于查看本地用户。

2. net localgroup：用于查看本地组。

3. net localgroup administrators：用于查看本地 Administrators 组。

4. net user /domain：用于查看域控制器中所有域用户。

5. net group /domain：用于查看域控制器中所有域组。

6. net user /domain username：用于查看指定域用户在域控制器中的详细信息。

7. net group "domain users" /domain：用于查看域控制器中 Domain Users 组的详细信息。

8. net time /domain：用于查看域控制器的时间。

9. dsquery user：用于查询域控制器中所有域用户的详细信息。

10. dsquery server：用于查询所有域控制器。

11. dsquery subnet：用于查询子域控制器。

12. dsquery ou：用于查询域控制器中的组织单位。

13. dsquery computer：用于查询域控制器中的计算机。

14. netdom query fsmo：用于查询域控制器中的五个FSMO角色。

15. net user username password /add：用于在本地创建新用户，并设置密码。

16. net user username /delete：用于删除本地用户。

17. net user username password /add /domain：用于在域中创建新用户，并设置密码。

建立域的步骤主机:计算机→属性→远程设置→计算机名→更改→改名网络→属性→连接（查看状态）→属性→ip 4（自己修改ip和dns）注意ip和dns一致重启电脑一次（注意关闭主机防火墙）开始→管理工具→服务器管理→角色→添加角色→下一步→域服务→下一步→安装（等待安装完成）在命令提示符中输入dcpromo→安装向导→下一步→下一步→新建林→输入域名后继续→林功能识别（2000）→域功能识别（2000）dns服务器→使用动态分配→下一步→设置还原密码→下一步（等待安装完成）二次重启电脑在c:\windows \system32\drivers \etc \hosts 将ip地址和域主名重新设定下刚刚安装后被修改的静态ip在命令提示符窗口输入:ping -a ip地址看看主机是否连通开启客户机修改ip，使ip与主机在同一ip段在客户机上也修改一次hosts，添加主机ip和域名在命令提示符ping主机看看是不是有数据交流注意关防火墙我的电脑→属性→计算机名→更改→更改计算机名和加入域（输入主机账号administrator和密码）→重启客户机主机:Active Directory 用户和计算机→自己建立的域内的user→新建用户（账号密码）在客户机登陆主机新建账户域主机限制客户机登陆时间Active Directory 用户和计算机→自己建立的域内的user→建立的账户→属性→账户→登陆时间→修改限制时间后确定→gpupdate /force（强制刷新）→客户机登陆→提示被限制任务完成注意:测试完后记得还原域主机修改客机桌面寻找一张图片（例c:\windows \web \wallpaper）复制到d:\456目录内，既地址为（\\ip \456\server.jpg），共享，注意everyone 权限开始→管理工具→组策略管理→在自己建立的域下（例如）右键→在这个域中创建GPO并在此处链接选项→新建GPO →双击新建的gpo →设置→用户配置（右键编辑）→用户配置\管理模板\桌面→启用Active Desktop（双击选择已启用）→不允许修改（启用）→桌面壁纸启用（填写之前共享的图纸地址并且选择拉伸）主机和客户机都输入gpupdste /force强制刷新策略，然后客户机刷新下桌面，就可以看到更换的桌面了以上操作是我自己试验过程，有问题可以群里提出。

Windows Server 2008
1、项目1：在一个基本MBR磁盘上创建主分区B:和扩展分区，在扩展分区里建逻辑盘E:和F: 最后将这块盘符升级成动态磁盘。

图1.1先对磁盘0进行压缩
图1-2 新建简单卷
图1.3创建简单卷完成
图1.4 主分区B创建完成
图1.5 进入disk part
图1.6 选择disk 0
图1.7 创建扩展分区
图1.8 创建逻辑盘E
图1.9 主分区和扩展分区创建
图1-10 将磁盘1升级成动态磁盘
2、项目2：在动态磁盘上创建带区卷。

图2-1添加磁盘2和3
图2-2新建带区卷
图2.3完成带区卷的建立
3、项目3：对磁盘C:进行磁盘配额操作，设置用户USER3的磁盘配额是20MB，现将windows系统光盘的容拷贝到C:盘，看是否成功。

图3.1磁盘配额设置
图3.2配额项
4、项目4：对磁盘C:进行磁盘检查和碎片整理。

图4.1磁盘检查
图4.2磁盘整理。

利用windows 2008域控下发注册表项以及修改IE的安全区域设置步骤：1.首先在域控中新建GPO, OU，将计算机和用户添加到该OU下。

2、打开组策略编辑器。

将该OU链接一条新的组策略对象3，使用组策略编辑器编辑组策略对象。

4. 添加HKCU注册表项目在用户配置-首选项-注册表中，右键点击新建-注册表项在常规设置中，对于已经存在的注册表键值，我们如果希望修改它，可以选择更新，如果是新添加注册表键值，可以选择创建。

在配置单元中，选择HKEY_CURRENT_USER在注册表路径中，选择需要修改的注册表的路径值，该路径可以是在DC中不存在的，但是在需要生效的客户端存在。

在值名称中，输入注册表的名称在值类型中，选择注册表的数据类型在数值数据中，添加键值。

添加完毕后，在AD中，输入gpupdate /force.在客户端注销。

5. 添加HKLM注册表项目在计算机配置-首选项-注册表中，右键点击新建-注册表项在常规设置中，对于已经存在的注册表键值，我们如果希望修改它，可以选择更新，如果是新添加注册表键值，可以选择创建。

在配置单元中，选择HKEY_LOCAL_MACHINE在注册表路径中，选择需要修改的注册表的路径值，该路径可以是在DC中不存在的，但是在需要生效的客户端存在。

在值名称中，输入注册表的名称在值类型中，选择注册表的数据类型在数值数据中，添加键值。

添加完毕后，在AD中，输入gpupdate /force.在客户端reboot。

6. 修改IE浏览器的可信任站点及控件启用列表在windows 2008的服务器管理器中，在安全信息中，点击配置IE ESC将管理员和用户的IE增强安全配置禁用在组策略管理器中，选择用户配置-Internet Explorer维护在安全- 安全区域和内容分级中，双击打开。

会有提示，点击继续。

然后选择导入当前安全区域和隐私设置选择修改设置，将安全区域更改为需要的设置。

将Internet Explorer设置为首选模式。

WindowsServer2008ActiveDirectory配置指南-l...一、Active Directory Domain Services(AD DS)in the Windows Server 2008 network enviroment ,Active Directory Domain Services(AD DS),provide with organizing、managing、controlling network resources.1-1 active directory domain services overviewdirectory :telephone directory;file directory如果这些directory内的数据能够系统的加以整理的话，用户就能够容易且迅速的查找到所需文件。

Active Directory的组成是directory，域内的directory是用来存储用户帐户、计算机帐户、打印机与共享文件夹等对象，我们把这些对象的存储地点称为目录数据库（directory database）。

Active Directory 域内负责提供目录服务的组件就是active directory域服务，active directory domain services它负责目录数据库的存储、添加、删除、修改与查询操作。

1-1-1 active directory domain service scopeactive directory domain service 可以用在一台计算机、LAN或者数个WAN的联合，它包含此范围所有的对象，例如文件、打印机、应用程序、服务器、域控制器与用户帐户等。

1-1-2nameSpacebounded area ,一块界定好的区域，在此区域内，我们可以利用某个名称来找到与这个名称有关的信息。

active directory 域服务内，active directory就是一个名称空间，在active directory内我们可以通过对象名来找到与这个对象相关的所有的信息。

Window server 2008 R2 SP1系统及域服务器安装配置手册1Window server 2008 R2 SP1系统硬件要求：2Window server 2008 R2 SP1系统安装：本安装过程以光盘安装方式进行讲解，其他的安装方式都具有相似性，不做过多说明。

机器配置要求和Windows 7差不多。

首先将电脑配置从CD-ROM启动（或者启动按快捷键调出bootmenu），出现“按任意键开始安装——”的英文提示按任意键开始进行安装过程。

本教程以图解方式为主，间或文字进行说明。

2.1开始安装将系统安装盘放入光驱，重启计算机，将计算机从光盘引导，进入安装界面。

2.2语言区域设置选择安装语言、时间和货币格式、键盘和输入方法，单击“下一步”。

2.3正式安装现在已经可以安装系统，点击“现在安装”2.4系统正在准备安装程序2.5选择要安装的server2008 R2的版本版本不一样所安装的组件及角色都不一样。

在这里我们选择Windows Server 2008 R2 Enterprises （完全安装），单击“下一步”2.6Microsoft安装许可条款勾选“我接受许可条款（A）”，单击“下一步”2.7选择进行何种类型的安装我们选择“自定义（高级）安装”，点击“自定义（高级）安装”2.8选择要按照的位置我们这里可以选择“驱动器选项（高级）（A）”对硬盘进行分区及格式化操作，现在我们选择磁盘0，单击“下一步”2.9开始自动复制文件安装系统功能及更新，并显示安装进度。

安装完毕后系统自动重启。

2.10安装完成系统为第一次登录做准备。

2.11首次登录需要给系统管理员设置一个密码，点击“确定”按钮。

输入要设置的密码，点击蓝色箭头按钮。

（密码规则：）2.13出现按“ctrl+alt+delete”登录界面。

2.14第一次登录系统登录成功后会显示初始配置任务窗口，我们可以按照提示一步一步配置服务器。

也可以先不配置服务器，点击“关闭即可”。