AD活動目录综合实例实验.doc

实验报告 实验者 李陈宾 实验日期 2011-5-6 课程名称 WS系统管理 指导老师 徐市委 实验题目 AD活动目录综合运用 一、实验目的 1)掌握在域环境中的各种设置 二、准备工作 1)VMware虚拟机软件 三、实验步骤、内容及实验数据报告 实验环境： Benet公司现有员工200人，共有5个部门，分别为市场部、技术部、财务部、秘书处、项目部。当前公司采用工作组环境，但这种方式对系统管理员工作压力非常大，无法对员工进行集中有效管理，并有严重的安全隐患。所以决定对公司结构进行改造，采用域环境进行集中管理,公司网络环境如下所示： 实验一 公司按部门进行管理，每部门设经理一名，四个部门归总经理统一管理。每个部门的账号不能登录到其他部门，并且只允许在上班时间登录计算机。部门经理要有添加本部门员工和重设本部门员工账号密码的权利，以减少管理员工作量。 依次设置其他部门经理的委派权限，设置完成后经理想要使用添加本部门员工和重设本部门员工账号密码的权利的话，必须在经理使用的计算机上添加AD用户和计算机工具。 添加方法在运行栏输入 dcpromo 安装。 全部设置完成后实验一成功。 实验二 要保证员工账号密码的安全性，并要求员工定期更改密码。对于试图的密码猜测要有防范 实验三 为了体现公司良好的统一形象，要求公司计算机的桌面背景一致（市场部桌面背景为另一种专用背景），并且不能让员工随意更改桌面背景，但部门经理不受此限制 实验三成功 实验四 公司所有用户均可打印，但总经理、部门经理有优先打印权。 在员工客户机上添加级别低的打印机，在经理机上添加级别高的打印机。 实验成功 实验五 公司一些常用软件、每个用户自己的文件夹、员工账户配置资料这些都要求保存在服务器上，并要有权限设置。并对数据的安全可靠性有一定的考虑，对于关键数据要有访问记录，限制员工的使用空间。对于共享文件夹和打印机要方便员工查找。 以上是公司常用软件的共享及权限设置 以上为员工个人文件夹的共享及权限的设置 以上为员工账户配置资料和员工在服务器上的个人文件夹的网络驱动器 创建好RAID-5卷后，将员工文件及重要数据放入此新加卷里，可有效保证资料的安全。（现实中建议优先建立好RAID-5卷之后，再设置及配置共享的文件，不然得重新配置共享，很麻烦的） 以上为数据可靠性的设计 以上设置好后，在事件查看器里查看访问记录，以上为创建访问记录 以上为限制员工的使用空间的设计 以上为发布共享 以上为方便员工查找打印机的设计 实验五成功 实验六 要保证员工账号信息的安全性，对活动目录数据库定期备份 以上是对活动目录数据库定期备份的设计 实验六成功 实验七 监视服务器的性能，对于可能出现的性能故障要有所警告 实验七成功 四、调试记录 问题描述 原因分析 解决办法 (1)无 (2) 【注】（对“问题描述”的详细说明） (1)无 (2) 遗留问题 1)无 2) 北大青鸟（郑州翔天信鸽）授权培训中心 第1页，共45页 建立总经理OU并在其OU下创建各部门OU 在AD工具用户属性下设置账户需要登陆的计算机 设置登陆时间 以上三步为委派公司总经理有修改创建删除用户账户的权限 以上三步为委派各部门经理有对本部门员工有修改删除用户等权限 在运行栏中输入GPMC.MSC打开组策略管理器 新建正个域的的GPO 编辑域策略，在计算机配置—Windows设置—安全设置—账户策略—密码策略中对密码的长度、长度最小值等设置 在账户锁定策略中设置相关配置 在服务器中新建“桌面背景”文件夹并将其共享设置 every one 为完全控制权限 将需要统一的背景图片放入此文件夹中 在组策略 用户配置中双击桌面墙纸 输入墙纸的路径 启用 不允许更改 新建市场部GPO 编辑GPO，在用户配置中桌面墙纸中填写路径 设置不允许更改墙纸 因为个部门经理需要不受此限制所以需要将其筛选出来 点击域策略GPO—委派—高级—添加 将各经理添加进去 设置其为拒绝应用组策略 因为市场部经理还受市场部GPO的影响所以也需要在市场部GPO中筛选，步骤同上 在服务器控制面板—打印机中添加打印机 以上为添加一台逻辑打印机 因为经理和员工要有不同的打印级别