教委教材样本57.docVIP

实验报告 规划和配置授权和身份验证策略 名称 实验1-1：创建组和指派权利 任务清单 在本次练习中，你将创建一个受限制的组并为该组的成员指派相应的权利。 要完成本练习， Active Directory 中创建并管理组和 GPO 的权限的账户登录。从 DC1. 完成此任务。 你是 Cohovineyard 组织的安全管理员。最近你在会计部安装了五台新的服务器。这些服务器包含有组织中员工有关的敏感信息。你不想让 Server Operators 组的成员能够登录并管理这些计算机。你需要配置一个受限制的组以控制对这些计算机的访问。 创建一个新的组织单位 创建一个新的安全组 创建一个称为 Accounting Server Operators 的新的安全组。 创建并配置一个链接到 Accounting Servers OU 的新的 GPO 使用下面的信息以创建并配置该 GPO GPO 名称：Accounting Servers Restricted Groups 添加 Power Users 到“受限制的组” 将 Accounting Server Operators 安全组添加到“这个组的成员”列 添加组成员 创建一个用户账户并将它添加到 Accounting Server Operators 安全组。使用下表的值。 值 用户名 Ben Smith 组织单位 Accounting Servers 密码 P@ssw0rd 名称 实验1-2：创建信任 任务清单 在本练习中， 以 Cohowinery\Administrator 为用户名，P@ssw0rd DC2.。 你们公司 Coho Winery 需要与主要的合作伙伴 Coho Vineyards 创建一个信任，“Active Directory 域和信任关系”在两个公司之间创建跨林信任。 创建一个跨林信任。 使用“Active Directory 域和信任关系”在 C 与 C 之间创建一个新的跨林信任。 验证外传和内传信任。 名称 实验1-3：创建组命名策略 任务清单 在本次课堂讨论中，你将通过为组织中的组定义一个惟一的命名规则来创建一个组命名策略。 阅读下面的场景，然后全班为组提交一个惟一的命名规则。 你是你们组织的安全管理员。以前， ACL 上。这样就使得一些成员能够访问一些他们原本无权访问的资源。你需要创建一个组命名策略以使组织中的管理员能够根据组名称惟一地识别组功能和类型。 创建一个组命名策略。 重命名下列组以提供有意义的名称。将新的名称记录在下表的“推荐的组名称”列中。 现有的组名称 描述 推荐的组名称 Sales-Main 所有销售员工的销售全局组 Sales-Mgr 销售经理的销售全局组 Sales-Main Office 总公司中销售员工的销售全局组 Sales-Brn 分支办事处中员工的销售全局组 Sales-Prnt Mngr 可以管理总销售办事处的打印机的销售员工的本地域组 Sales-Prnt User 可以使用总销售办事处的打印机进行打印的销售员工的本地域组 名称 实验1-4：配置安全的身份验证 任务清单 在本次课堂练习中， Windows 2003 Server 上的身份验证。 你必须以 Cohovineyard\Administrator 为用户名、P@ssw0rd 为密码登录到 DC1.。 你的首席安全官员要你确保当安全主体针对组织中的域控制器进行身份验证登时， LM 身份验证协议。为了确保这一点， LM 身份验证。 配置默认域控制器 OU 配置域控制器仅接受 NTLMv2 并拒绝 LM 默认域控制器安全策略。 刷新组策略。 名称 实验 1-5：规划和配置身份验证和授权策略 任务清单 完成本实验后，，： 规划和实现多林授权策略 实现强制公司要求的密码策略 注意 此实验专注于本章的概念， Microsoft 安全推荐做法。 要完成本实验，必须拥有下列虚拟机： 2823_DC1 2823_Client1 2823_DC2 要点 在开始本实验前，请关闭所有虚拟机。不要保存对任何虚拟机的更改。 在本实验中， Coho Vineyard 和 Coho Winery 实现一个身份验证和授权策略。你将使用组为 Coho Vineyard 实现资源授权策略。你将实现一个跨林信任以允许 Coho Vineyard 中的用户访问 Coho Winery 中的资源。最后你将分析 Coho Vineyard 的身份验证要求并实现一个身份验证策略。 练习 1 规划和实现资源授权策略 在本次练习中，你将使用 Lab1Planning.xls 工作簿来