server2012adcs实验配置手册.docxVIP

活动目录域服务实验配置手册1.实现活动目录域服务12.添加RODC额外域控制器143.配置委派管理194.配置软件限制策略24实现活动目录域服务一、准备阶段 1、计算机名称的修改，服务器管理器，本地服务器，计算机名 计算机名称也可以在设置，服务器信息里，计算机名称修改（和windows 2008一样）2、 IP地址的修改 服务器管理器，本地服务器，以太网 计算机名称和IP地址的修改也可以在计算机 二、安装阶段 1、服务器管理器，仪表板，点击“添加角色和功能”2、添加角色和功能向导 3、基于角色或基于功用的安装 4、从服务器池中选择服务器5、选择Active Directory域服务 6、添加某些AD需要的功能，一起安装 7、下一步 8、9、如果需要，自动重新启动目标服务器 10、点击“安装”，功能安装会有进程条。 11、提示需要配置，已在DC上安装成功”12、仪表板，上面你会看到旗子有一叹号，表示有任务要继续，那是因为windows 2012的域服务器，不单单是安装,而是分2步走，第2步需要配置。 13、点击“将此服务器提升为域控制器” 14、选择“添加新林” 15、选择功能级别和指定域控，输入还原模式DSRM密码。 16、因为没有安装DNS，所以有报警，可以无需理会。 17、输入NetBIOS域名 18、选择SYSVOL的日志文件 19、在这里可以看到，域的安装会自动安装DNS 20、 21、安装过程，中间会自动重启 22、安装完成，打开服务器管理器，可以看到 AD DS 和DNS都会出现在服务器管理器的左边，但这里不是管理界面，需要管理最好是进入开始菜单，登陆，里面的操作的windows 2008一样，不再重复，你可以自己体验。 添加RODC额外域控制器实验所用拓扑：1.在总公司，创建一个域用户tom。。2.在总公司上预创建rodc 账户 .3．把tom 委派给RODC 用于管理RODC..4. 在12-2上创建域的额外（辅助）域服务器（确定12-2能够解析DC的域名，然后再执行安装）。注：当12-2变成辅助域服务器后，原来12-2的本地账户会被删除！（但本地账户的用户配置文件夹会保留）注：输入 域内的用户名和密码。只有Enterprise Admins 或Domain Admins 组成员，可以创建其他域控制器。注：建议将数据库与日志文件分别存储到不同磁盘，提高运行效率、避免数据同时出现问题以提高修复AD的能力。5，设置完成，准备安装。6.安装完成用tom 登录时，选择 administrative 工具。。7.点击工具，进行管理即可。。3.配置委派管理1.委派域管理权利。示例，将管理权利委派给用户：test@2.下面是针对ou 进行委派控制：3.弹出使用控制委派向导：4.指定要授予权限的用户tom@。5.授予权限给用户tom@6.使用用户tom@ 在其它域内计算机上登录，就执行“委派的任务”了2.委派域组策略的管理。4.配置软件限制策略1.新建路径规则手工刷新组策略gpupdate /force后，用户注销再登录后验证：2.新建哈希规则手工刷新组策略gpupdate /force后，用户注销再登录后验证：注：不同版本的软件，其可执行文件的哈希值也都不相同，需要针对它们分别创建哈希规则。为了加强阻挡的效果，可以先在一台计算机上安装某个程序，找出程序的可执行文件，针对此文件创建哈希规则。