搭建和管理Windows多域环境.docVIP

第八章：搭建和管理Windows多域环境 实验目标： 掌握如何搭建多域环境；（理解在搭建多域环境时DNS所起的作用，并排除实验中由DNS所引起的错误） 在域中创建用户，并掌握如何设置用户的相关帐户属性 掌握客户机如何加入域，访问林中所有共享资源。 掌握如何在一个部门（如OU）中，设置一个用户成为OU的特殊管理员（不具备本地管理员与域管理员权限，只具备创建用户和组的权限） 掌握如何让一台DC担当成为GC的角色 熟悉操作主机的转移。 熟悉站点的复制操作。 掌握如何进行活动目录的非权威还原。 实验任务： 说明：最少需要机虚拟机，3台2003，1台XP；请复制几台2003虚拟机，然后更改SID，MAC地址，机器名 整个多域环境我已经搭建好了，至于搭建步骤书上说的很清楚了。 1．搭建如图示的多域环境，注意规划DNS，当发现域间通讯不正常，请首先检查DNS能否解析。 再这里可以选择搭建1台.2台或者3台。谁你怎么选择，在这里我选择搭建了3台DNS服务器， 如果搭建完域后看到DNS没有AD集成资源，你有以用net stop netlogon 和net stop netlogon把服务重新启动一下。搭建完DNS后你测试一下是否能够成功解析到森林中的主机，这是关键的。先来看一下我的DNS吧，看清楚了吧，有很多记录，这里你可以做区域复制，也可以做转发，我在这里都是做的区域复制。我在来互相解析一下，没问题，都能解析到。 2．将客户机加入到域，并能访问整个森林资源（通过网上邻居进行访问其它域上的共享文件夹） 这里我把Client加入到了这个域 3．实现域用户的创建、管理（包括：漫游配置文件，登录时间，登录到指定工作站，权限的委派）， 例如：（下面验证的基本思想） A、在A域上创建用户Ap-user1，能利用加入到B域的计算机登录到 A域，并访问整个森林资源； Client已经加入到了了，现在我们就用ap-user1@A这个用户在Client登陆到这个域，现在已经登陆上来了，我们看能不能访问到整个森林资源，看到了吧，整个森林的资源我们都能成功的访问了。 B、ap-user1只能登录到加入域中指定的计算机，如域中有cp1,cp2二台计算机，只 允许ap-usre1在CP1上登录到域，在其它机器上不能登录，（限制时间登录操作自己去想） 由于现在我们在上只有一台客户机，我们就先在ap-user1上属性中的帐户选项中下列计算机中随便添加一个计算机名，那么现在我们就不能在加入的这台计算机登陆了，好吧，来验证一下。看到了吧，刚刚我们还能用ap-user1在这台计算机登陆，而现在却不能了，就是因为我们刚刚给用户添加了固定的计算机名。好，现在我们把下的这台客户机的计算机名字添加给ap-user1，在来这台计算机来登陆一下吧。看到了吗，现在我们又能在这台计算机成功登陆了。 C、委派：先在XP客户机上安装管理工具包（在2003的安装光盘I386目录下，找到 AdminPak.msi）;再在?A域名为Benet的OU上创建用户AdminUser与User03，创建 成功后，先后以二个用户登录到XP客户机上，打开Active Directory用户和计算机，点击 BENET，右键，发现没有新建用户项；然后再到域上，点击BENET的OU，对AdminUser 用户进行能创建用户、组、修改用户密码与组成员身份的权限，再在XP上登录，发现 AdminUser用户能创建用户与组，而User03登录却不能进行创建用户与组的操作，说明委 派成功。 由于ap-user1没有安装权限，所以我们就用本地管理员的身份登陆到计算机来安装AdminPak.msi，记注光盘是windows 2003.,现在我们就用user3登陆，发现现在没有创建用户的权限，好，现在我们在用adminUser登陆，现在我们还是不能创建，因为我们还没有委派，现在我们就来委派吧，注意在给AdminUser权限的时候，一般我们只给它前面5个选项的权限。好了，我们刷新一下，看到了吧，现在AdminiUser有创建用户的权限了。 4．配置DC2成为林中的另一台GC（全局编录服务器）。学会查看系统日志的变化。 这里就看操作吧，好了，现在DC2已经成为了GC了，我们来看看刚刚生成的系统日志吧， 我们还有一种方法就是通过端口来查看GC，好，我们先在A通过netstat –na 来查看一下端口，没有发现3268和3269两个端口，原来是有的。在来看看它的子域zz.A.看到了吗，3268和3269都有了。说明现在zz.A现在是GC（全局编录服务器）了。 这里还有一种情况就是如果森林中没有了GC，那么所有的普通用户是不能登陆到域的，但是管理员还是可以登陆的。 5．实现林中操作主机角色的转移（让DC3成为域命名主机），理解域命名主机的作用。