server2025 AD CS实验配置手册.docVIP

PAGE1

活动目录域服务实验配置手册

1.实现TOC\o1-3\h\z\u活动目录域服务 1

2.添加RODC额外域控制器 14

3.配置委派管理 19

4.配置软件限制策略 24

实现活动目录域服务

=1\*CHINESENUM3一、准备阶段

1、计算机名称的修改，服务器管理器，本地服务器，计算机名

计算机名称也可以在设置，服务器信息里，计算机名称修改（和windows2025一样）

2、IP地址的修改服务器管理器，本地服务器，以太网

计算机名称和IP地址的修改也可以在计算机

二、安装阶段

1、服务器管理器，仪表板，点击“添加角色和功能”

2、添加角色和功能向导

3、基于角色或基于功用的安装

4、从服务器池中选择服务器

5、选择ActiveDirectory域服务

6、添加某些AD需要的功能，一起安装

7、下一步

8、

9、如果需要，自动重新启动目标服务器

10、点击“安装”，功能安装会有进程条。

11、提示需要配置，已在DC上安装成功”

12、仪表板，上面你会看到旗子有一叹号，表示有任务要继续，那是因为windows2025的

域服务器，不单单是安装,而是分2步走，第2步需要配置。

13、点击“将此服务器提升为域控制器”

14、选择“添加新林”

15、选择功能级别和指定域控，输入还原模式DSRM密码。

16、因为没有安装DNS，所以有报警，可以无需理会。

17、输入NetBIOS域名

18、选择SYSVOL的日志文件

19、在这里可以看到，域的安装会自动安装DNS

20、

21、安装过程，中间会自动重启

22、安装完成，打开服务器管理器，可以看到

ADDS和DNS都会出现在服务器管理器的左边，但这里不是管理界面，需要管理最好是进

入开始菜单，登陆，里面的操作的windows2025一样，不再重复，你可以自己体验。

添加RODC额外域控制器

实验所用拓扑：

1.在总公司，创建一个域用户tom。。

2.在总公司上预创建rodc账户.

3．把tom委派给RODC用于管理RODC..

4.在12-2上创建域的额外（辅助）域服务器（确定12-2能够解析DC的域名，然后再执行安装）。

注：当12-2变成辅助域服务器后，原来12-2的本地账户会被删除！（但本地账户的用户配置文件夹会保留）

注：输入域内的用户名和密码。只有EnterpriseAdmins或DomainAdmins组成员，可以创建其他域控制器。

注：建议将数据库与日志文件分别存储到不同磁盘，提高运行效率、避免数据同时出现问题以提高修复AD的能力。

5，设置完成，准备安装。

6.安装完成用tom登录时，选择administrative工具。。

7.点击工具，进行管理即可。。

3.配置委派管理

1.委派域管理权利。示例，将管理权利委派给用户：test@

2.下面是针对ou进行委派控制：

3.弹出使用控制委派向导：

4.指定要授予权限的用户tom@。

5.授予权限给用户tom@

6.使用用户tom@在其它域内计算机上登录，就执行“委派的任务”了

2.委派域组策略的管理。

4.配置软件限制策略

1.新建路径规则

手工刷新组策略gpupdate/force后，用户注销再登录后验证：

2.新建哈希规则

手工刷新组策略gpupdate/force后，用户注销再登录后验证：

注：不同版本的软件，其可执行文件的哈希值也都不相同，需要针对它们分别创建哈希规则。为了加强阻挡的效果，可以先在一台计算机上安装某个程序，找出程序的可执行文件，针对此文件创建哈希规则。