AD实验手册

Posted Well_Name

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了AD实验手册相关的知识,希望对你有一定的参考价值。

Lab1: 域控制器的安装​


AD实验手册_AD

实验准备

AD实验手册_AD_02AD实验手册_AD_03完成机器名设置完成IP地址设置

AD实验手册_AD_04关闭Windows防火墙,用Ping测试相互连通性

实验步骤:

  1. 安装第一台域控制器(DC1

AD实验手册_AD_05添加“ADDS服务并用向导完成DC的配置

安装第二台域控制器DC2

AD实验手册_AD_06AD实验手册_AD_07确认该服务器的DNS设置中包含指向第一台域控制器添加“ADDS服务并用向导完成DC的配置

PC加入到域中,并验证DC的高可用

AD实验手册_AD_08AD实验手册_AD_09确认该服务器的DNS设置中包含指向以上的域控制器PC加入到域中

AD实验手册_AD_10使用域管理员(abc\\administrator)账户登录, 用命令行set logonserver查看对应的

DC,


AD实验手册_AD_11为验证域控制器的高可用,将该DC关机,并在PC上注销后重新登录,观察登录是否成功,并再次用set logonserver命令检查所提供登录服务的DC是否变化

Lab2: 多域的配置(父子域)​


AD实验手册_AD_12

实验准备

AD实验手册_AD_13AD实验手册_AD_14DC1,DC2已经是abc.com的域控制器PC1已经加入abc.com域

实验步骤

  1. 新安装一台DC3AD实验手册_AD_15安装一台DC3的虚拟机,关闭防火墙,配置主机名和IP地址,确保DNS服务器指向DC1或DC2, 并能ping通原有两台DC的IP

安装DC3为原有域的子域控制器

  1. AD实验手册_AD_16在域中创建一个名称为HROU,并用两种命令行的工具,分别创建用户hr01hr02 使DS命令集中的dsadd命令,创建名为HROUdsadd ou ou=HR, dc=abc,


AD实验手册_AD_17安装ADDS域服务,启动域控制器配置向导,将DC2配置为子域控制器,域名sh.abc.com, Netbios名为sh

注意:用向导完成以上步骤时,到向导最后一步时,提示可查看对应的Powershell脚本,将脚本拷贝出,取消向导,用Powershell脚本完成域控制器的安装工作(脚本执行时,会提示输入域管理员帐号和域恢复设置的密码)

用PC登录子域

AD实验手册_AD_18分别用abc\\administrator 和sh\\administrator (administrator@sh.abc.com) 从PC登录父域和子域,用set logonserver查看对应的域控制器,用whoami查看登录身份

Lab3: 域中对象的创建和管理​


AD实验手册_AD_19

实验准备

AD实验手册_AD_20DC1DC2已经安装为域控制器

AD实验手册_AD_21PC1已经加入域(abc.com或学员自定义的域名)

实验步骤


在域中创建一个名称为ITOU,并用两种图形化的工具,分别创建用户it01it02并将itit02加入用户组it­group

AD实验手册_AD_22AD实验手册_AD_23使用"AD用户和计算机工具,创建名称为ITOU,并创建其中的用户it01 使用“AD管理中心工具,创建用户it02

AD实验手册_AD_24it01it02加入用户组it­group

AD实验手册_AD_25观察在另一台域内的DC上是否自动同步了创建好的OU和用户


dc=com

AD实验手册_AD_26

使用DS命令集创建用户hr01, 需在普通CMD命令行下输入:dsadd user


cn=hr01,ou=HR,dc=abc,dc=com ­upn hr01@abc.com ­pwd 123.com ­mustchpwd no

­disabled no

AD实验手册_AD_27使用Powershell命令集中的New­ADaccount命令,创建用户hr02, 须在Powershell 命令行下输入:new­aduser ­name "hr02" ­userprincipalname "hr02@abc.com" ­ accountpassword (ConvertTo­SecureString ­AsPlainText "123.com" ­Force) ­Path "ou=hr,dc=abc,dc=com" (注意:本命令执行后用户默认为禁用状态,除非在命令中增加­ enabled $true参数)

在终端PC1上尝试多种帐号登录方式

AD实验手册_AD_28使用PC本地帐号登录:PC1\\administrator .\\administrator

AD实验手册_AD_29使用域帐号登录:abc\\it01 it01@abc.com

熟悉多种活动目录的搜索和筛选功能

AD实验手册_AD_30使用“AD用户和计算机搜索域内名称为PC1的计算机

AD实验手册_AD_31使用“AD管理中心,搜索域内被经用的账户(结果应为hr02

使用Powershell脚本统计每个OU下的用户数


AD实验手册_AD_32访问微软的Technet网站https://gallery.technet.microsoft.com, 用关键字“count user"搜索可用的脚本

AD实验手册_AD_33启用PoweshellISE工具,直接执行脚本或拷贝脚本中的语句在脚本窗口中执行,执行结果默认导出到C\\user\\administrator目录下

Lab4:组策略的配置​


AD实验手册_AD_34

实验准备

AD实验手册_AD_35DC1DC2已经安装为域控制器

AD实验手册_AD_36PC1已经加入域(abc.com或学员自定义的域名)

AD实验手册_AD_37域中已经创建了名称为ITOU,并且各自包含用户账户,如it01,it02

实验步骤

  1. 在域控制器上,创建一个应用于IT这个OUGPO,名称为IT­GPO,并完成以下设置

AD实验手册_AD_38AD实验手册_AD_39AD实验手册_AD_40禁用客户端用户的控制面板中的程序和功能入口强制设置IE浏览器的主页为“http://internal.abc.com禁止用户更改桌面强制背景


PC1上用it01用户登录域,执行GPO更新后,核验GPO更新效果

AD实验手册_AD_41it01@abc.com登录PC1,执行gpupdate /force命令强制更新GPO

AD实验手册_AD_42gpresult /r 观察GPO的更新时间,并用gpresult /h gpo.html导出更新的配置记录到文件,到C:/user/it01目录下打开该文件并核对更新记录

AD实验手册_AD_43操作并确认控制效果

禁用该OU下的GPO,使配置临时失效

AD实验手册_AD_44禁用该GPO(或仅仅禁用GPO的链接),并在客户端执行gpresult /force, 观察相关配置是否复原

设置安全筛选,是组策略只对OU内的部分用户或用户组启用

AD实验手册_AD_45恢复GPO,并在安全筛选中删除默认的“Authenticated Users", 并添加it01用户

AD实验手册_AD_46分别用it01it02用户登录PC,并更新GPO,注意观察两个用户是否都受GPO影响

Lab5: 组策略的应用​


AD实验手册_AD_47

实验目标:

AD实验手册_AD_48练习多种企业中常见的组策略设置


准备工作:

AD实验手册_AD_49PC1的计算机从默认的“Computer”容器移动到ITOU内,使ITOU内既有计算机账户,又有用户账户

AD实验手册_AD_50AD实验手册_AD_51创建一个共享文件夹,名称为share, 实验中将多次使用到该文件夹删除之前实验中创建的GPO

实验步骤

  1. 在域级别的默认GPO上,配置帐号安全策略

AD实验手册_AD_52去除复杂密码要求,允许用简单密码登录

AD实验手册_AD_53登录不用按Ctrl+Alt+del, 但不显示上次登录名

ITOU上创建并链接一条GPO,名称为用户桌面控制策略包含以下设置,设置完成后,在PC机上验证

  • 客户端用户环境控制
    AD实验手册_AD_54设置桌面墙纸为共享文件夹中的指定图片,且用户无法修改

    AD实验手册_AD_55设置如果用户设定了屏幕保护,则屏保的等待时间为600秒(10分钟),解除屏保需密码保护
    AD实验手册_AD_56禁止使用U盘

    AD实验手册_AD_57将控制面板中的部分设置项目隐藏(实验中隐藏“电源选项”和“系统”两个项
    目)




ITOU上创建并链接一条GPO,名称为软件分发与控制策略” , 包含以下设置,设置完成后,在PC机上验证