【CyberSecurityLearning 附】域的复习+小综合实验(重要!)
域的復習
域的特點:集中管理
活動目錄的特點:集中管理
域:Domain
域控制器:Domain Controller = DC
活動目錄:Active Directory = AD
在域中,組策略的應用順序是:LSDOU
例:
上級OU:密碼要求3位? ? ? ? 禁止運行按鈕? ? ? ? ?桌面a背景
中級OU:密碼要求4位? ? ? ? 允許運行按鈕? ? ? ? ?桌面未配置
下級OU:密碼未配置? ? ? ? ? 禁止運行按鈕? ? ? ? ?桌面未配置
正常情況下級OU在登錄后的結果:密碼要求4位? ? ? 禁止允許按鈕? ? 桌面a背景
若下級OU設置了阻止繼承結果是:密碼未配置? ? ? ? 禁止運行按鈕? ? 桌面未配置
若上級OU設置強制繼承結果是:? ?密碼要求3位? ? ? ?禁止允許按鈕? ? 桌面a背景
下級設置組織,同時上級設置強制,最終下級OU結果:?密碼要求3位? ? ? ?禁止允許按鈕? ? 桌面a背景
?
綜合實驗:
橫線代表的是交換機,豎線代表的是網線
實驗演示:
實驗環境:win2003-1、win2008-1、winxp-1
都連接到同一個交換機VMnet2、win2008-1(手動配置IP:10.1.1.1)、win2003-1(手動配置IP:10.1.1.2)
要求:1、將win2008-1部署為DC/DNS,域名為qf.com
?????????? 2、將win2003-1加入域,部署為WEB/DHCP/文件共享服務器,發布兩個站點(oa.qf.com; crm.qf.com)
?????????? 3、共享文件夾要求:使用IT部門的域用戶只可以下載,使用CEO的域用戶有完全控制權限
?????????? 4、將winxp-1加入域,并自動獲取IP,直接訪問WEB和文件共享服務器
準備階段:
橋接和配IP步驟省略,注意在win2008-1中不需要手動添加DNS,因為安裝DC的步驟中包含安裝DNS,會自己指向自己;
在win2003-1中除了配IP為,還可以手動指DNS到10.1.1.1
做完之后記得ping一下!(確認關閉防火墻,當時拍快照的時候我win2008-1忘記關防火墻了)
把win2003-1計算機名字改為share,win2008-1更改計算機名為DC1(只是單純為了好看)
配置win2008-1IP的時候一定要把IPV6前面的√去掉
實驗階段:
在win2008-1上安裝DC:win+R輸入dcpromo
出現向導:
注意點:1、記得勾選“通過在此計算機上安裝DNS服務器服務來自動更正問題”(要想出現這個彈框,在配置IP的時候不要指DNS)
?????????????? 2、選擇“在新林中新建域”;
?????????????? 3、命名林根域為qf.com
?????????????? 4、林功能級別和域功能級別都選“Winidows Server 2003”
?????????????? 5、彈出的彈框選擇“是”
?????????????? 6、目錄服務還原還原模式的Administrator密碼設為“666.com”
?????????????? 7、勾選“完成后重新啟動”
驗證win2008-1安裝DC是否成功:
登錄時是以QF\Administrator登錄的
驗證一:計算機右鍵屬性,可以看到域:qf.com
驗證二:開始--管理工具--DNS和Active Directory用戶和計算機能正常打開
驗證三:打開DNS,看看里面有沒有自動生成qf.com區域配置文件
有了下面這兩條記錄就說明員工可以加入域(員工說我想加入qf.com就解析域本身)
補充:如果這臺DC是公司真正的DC(在生產環境中),一定要做這件事:
win2008-1上打開DNS----對準服務器名---右鍵點擊屬性-----轉發器---編輯---加上202.106.0.20【最近的公網DNS】---確定(在顯示中一定要設轉發器)
將win2003-1加入域:
我的電腦右鍵屬性---計算機名---更改---隸屬于域(qf.com)---彈出彈框:“用戶名: qf.com\administrator? 密碼:管理員密碼”----重啟計算機生效
確認win2003-1是否加入域:
一定要去DNS上去檢測share.qf.com這個域名和10.1.1.2這個服務器地址是否在win2008-1的DNS上自動注冊了解析記錄【share是win2003-1的計算機名】
???
注意:在哪個文件夾創建用戶都是普通用戶,只有在Users的Domain Admins里面點擊成員才能添加域管理員
用域管理員身份登錄win2003-1:點擊選項,選擇登錄到QF
登錄后win2008-1上會有解析記錄:
?
在win2003-1上安裝WEB和DHCP服務軟件:此時是域管理員身份登錄(習慣性加完域之后再做這一步)
打開光驅(E盤)--- 安裝可選的Windows服務 --- 網絡服務中選擇DHCP/應用程序服務器里面選擇IIS中的萬維網服務
打開win2003-1中的DHCP——》右鍵點擊授權(是用域管理員身份登錄的)——》刷新一下
右鍵新建作用域(地址池)---名稱qf---起始ip地址10.1.1.100,結束IP地址10.1.1.200,長度24---不排除---網關(下一步)--- 配DNS(10.1.1.1【寫DC那臺服務器的地址】)
?
在win2003-1上創建共享服務器
在D盤創建文件夾“千鋒公共文檔”,里面創建文本文檔123.txt
做兩個權限(有一部分員工打開只能下載,一部分有完全控制權限)
“千峰公共文檔”文件夾右鍵屬性---共享---共享此文件夾---共享名qfshare---共享權限(everyone完全控制),為了更保險可以再添加domain users(點確定那一瞬間,2003會馬上去DC上的活動目錄里面去找有沒有Domain Users這個組)
在安全里面點擊高級---取消繼承(第一個對勾)---添加Domain Admins【只剩下兩個Administrators(SHARE\Administrators)和Domain Admins(QF\Domain Admins)其他無關的刪除】給完全控制權限---添加IT和sp.huang
賦權限要建立組
在右側空白處單擊鼠標右鍵---新建組(域組)---組名IT,組作用域:全局 【看情況】,組類型:安全組【發郵件就選通訊組】
雙擊楊濤---隸屬于---添加IT
?
win2003搭建網站
打開IIS---通用默認網站
在D盤新建站點,新建一個文件夾叫web,里面再新建文件夾作為站點【方便管理】,web里面新建OA和CRM兩個文件夾——》文本文檔里面html代碼(略)
1、新建網站---描述CRM----IP地址10.1.1.2,端口80,主機頭:crm.qf.com------選擇路徑------靜態網頁選讀取,動態網頁選讀取、運行腳本、執行
網站右鍵屬性----文檔---index.html置頂
2、新建網站---描述OA----IP地址10.1.1.2,端口80,主機頭:oa.qf.com------選擇路徑------靜態網頁選讀取,動態網頁選讀取、運行腳本、執行
網站右鍵屬性----文檔---index.html置頂
win2008-1記得加解析
win2008-1打開dns---點擊qf.com---右側右鍵新建主機A----名稱oa,IP地址10.1.1.2----添加主機
win2008-1打開dns---點擊qf.com---右側右鍵新建主機A----名稱crm,IP地址10.1.1.2----添加主機
?
打開winxp-1
一打開XP就屬于自動獲取IP的狀態
同時在win2003的DHCP上會有一條租約記錄
winxp加入域:
我的電腦右鍵屬性----計算機名---更改---qf.com----用戶名qf.com\administrator(注意斜杠方向)---重啟生效
在2008-1上的DNS會出現一條記錄
tao.yang登錄域:(一下兩個方法都行)
??
?
驗證共享:tao.yang能下載不能上傳
驗證tao.yang能不能訪問網頁:(成功)
驗證另外一個用戶的過程就省略了(和上面差不多)
如果對網站設置禁止匿名訪問:訪問網頁的時候就需要密碼了
當別人訪問OA網站的時候,不允許他匿名,輸入賬號密碼后,我不在本地驗證,去域里面找域用戶
彈框:登錄名tao.yang@qf.com
總結
以上是生活随笔為你收集整理的【CyberSecurityLearning 附】域的复习+小综合实验(重要!)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 《全数据时代的炼金师》全书语言生动、易懂
- 下一篇: 作者:周园春(1975-),男,中国科学