1、1活动目录域服务实验配置手册1.实现 活动目录域服务 12.添加 RODC 额外域控制器 143.配置委派管理 .194.配置软件限制策略 .241.实现活动目录域服务一、准备阶段 1、计算机名称的修改,服务器管理器,本地服务器,计算机名 2计算机名称也可以在设置,服务器信息里,计算机名称修改(和windows 2008 一样) 2、 IP 地址的修改 服务器管理器,本地服务器,以太网 计算机名称和 IP 地址的修改也可以在计算机 二、安装阶段 1、服务器管理器,仪表板,点击“添加角色和功能” 32、添加角色和功能向导 3、基于角色或基于功用的安装 44、从服务器池中选择服务器 5、选择 Ac
2、tive Directory 域服务 56、添加某些 AD 需要的功能,一起安装 7、下一步 68、 9、如果需要,自动重新启动目标服务器 710、点击“安装” ,功能安装会有进程条。 11、提示需要配置,已在 DC 上安装成功” 812、仪表板,上面你会看到旗子有一叹号,表示有任务要继续,那是因为 windows 2012 的域服务器,不单单是安装,而是分 2 步走,第 2 步需要配置。 13、点击“将此服务器提升为域控制器” 914、选择“添加新林” 15、选择功能级别和指定域控,输入还原模式 DSRM 密码。 1016、因为没有安装 DNS,所以有报警,可以无需理会。 1117、输入 N
3、etBIOS 域名 18、选择 SYSVOL 的日志文件 1219、在这里可以看到,域的安装会自动安装 DNS 20、 1321、安装过程,中间会自动重启 22、安装完成,打开服务器管理器,可以看到 14AD DS 和 DNS 都会出现在服务器管理器的左边,但这里不是管理界面,需要管理最好是进入开始菜单,登陆,里面的操作的 windows 2008 一样,不再重复,你可以自己体验。 2.添加 RODC 额外域控制器实验所用拓扑:151.在总公司,创建一个域用户 tom。 。2.在总公司上预创建 rodc 账户 .163把 tom 委派给 RODC 用于管理 RODC174. 在 12-2 上创
4、建 域的额外(辅助)域服务器(确定12-2 能够解析 DC 的域名,然后再执行安装) 。注:当 12-2 变成辅助域服务器后,原来 12-2 的本地账户会被删除!(但本地账户的用户配置文件夹会保留)18注:输入 域内的用户名和密码。只有 Enterprise Admins 或Domain Admins 组成员,可以创建其他域控制器。19注:建议将数据库与日志文件分别存储到不同磁盘,提高运行效率、避免数据同时出现问题以提高修复 AD 的能力。5,设置完成,准备安装。6.安装完成用 tom 登录时,选择 administrative 工具。 。207.点击工具,进行管理即可。 。3.配置委派管
5、理1.委派域管理权利。示例,将管理权利委派给用户:212.下面是针对 ou 进行委派控制:3.弹出使用控制委派向导:224.指定要授予权限的用户 。5.授予权限给用户 236.使用用户 在其它域内计算机上登录,就执行“委派的任务”了2.委派域组策略的管理。24254.配置软件限制策略1.新建路径规则26手工刷新组策略 gpupdate /force 后,用户注销再登录后验证:2.新建哈希规则2728手工刷新组策略 gpupdate /force 后,用户注销再登录后验证:注:不同版本的软件,其可执行文件的哈希值也都不相同,需要针对它们分别创建哈希规则。为了加强阻挡的效果,可以先在一台计算机上安装某个程序,找出程序的可执行文件,针对此文件创建哈希规则。
