域的復習

域的特點：集中管理
活動目錄的特點：集中管理
域：Domain
域控制器：Domain Controller = DC
活動目錄：Active Directory = AD

在域中，組策略的應用順序是：LSDOU
例：
上級OU：密碼要求3位? ? ? ? 禁止運行按鈕? ? ? ? ?桌面a背景
中級OU：密碼要求4位? ? ? ? 允許運行按鈕? ? ? ? ?桌面未配置
下級OU：密碼未配置? ? ? ? ? 禁止運行按鈕? ? ? ? ?桌面未配置
正常情況下級OU在登錄后的結果：密碼要求4位? ? ? 禁止允許按鈕? ? 桌面a背景
若下級OU設置了阻止繼承結果是：密碼未配置? ? ? ? 禁止運行按鈕? ? 桌面未配置
若上級OU設置強制繼承結果是：? ?密碼要求3位? ? ? ?禁止允許按鈕? ? 桌面a背景
下級設置組織，同時上級設置強制，最終下級OU結果：?密碼要求3位? ? ? ?禁止允許按鈕? ? 桌面a背景
?

---

綜合實驗：

橫線代表的是交換機，豎線代表的是網線

實驗演示：

實驗環境：win2003-1、win2008-1、winxp-1
都連接到同一個交換機VMnet2、win2008-1（手動配置IP：10.1.1.1）、win2003-1（手動配置IP：10.1.1.2）
要求：1、將win2008-1部署為DC/DNS，域名為qf.com
?????????? 2、將win2003-1加入域，部署為WEB/DHCP/文件共享服務器，發布兩個站點（oa.qf.com; crm.qf.com）
?????????? 3、共享文件夾要求：使用IT部門的域用戶只可以下載，使用CEO的域用戶有完全控制權限
?????????? 4、將winxp-1加入域，并自動獲取IP，直接訪問WEB和文件共享服務器

準備階段：
橋接和配IP步驟省略，注意在win2008-1中不需要手動添加DNS，因為安裝DC的步驟中包含安裝DNS，會自己指向自己；
在win2003-1中除了配IP為，還可以手動指DNS到10.1.1.1
做完之后記得ping一下！（確認關閉防火墻，當時拍快照的時候我win2008-1忘記關防火墻了）
把win2003-1計算機名字改為share，win2008-1更改計算機名為DC1（只是單純為了好看）
配置win2008-1IP的時候一定要把IPV6前面的√去掉

實驗階段：
在win2008-1上安裝DC：win+R輸入dcpromo
出現向導：

注意點：1、記得勾選“通過在此計算機上安裝DNS服務器服務來自動更正問題”（要想出現這個彈框，在配置IP的時候不要指DNS）
?????????????? 2、選擇“在新林中新建域”；
?????????????? 3、命名林根域為qf.com
?????????????? 4、林功能級別和域功能級別都選“Winidows Server 2003”
?????????????? 5、彈出的彈框選擇“是”
?????????????? 6、目錄服務還原還原模式的Administrator密碼設為“666.com”
?????????????? 7、勾選“完成后重新啟動”

驗證win2008-1安裝DC是否成功：

登錄時是以QF\Administrator登錄的
驗證一：計算機右鍵屬性，可以看到域：qf.com
驗證二：開始--管理工具--DNS和Active Directory用戶和計算機能正常打開
驗證三：打開DNS，看看里面有沒有自動生成qf.com區域配置文件

有了下面這兩條記錄就說明員工可以加入域（員工說我想加入qf.com就解析域本身）

補充：如果這臺DC是公司真正的DC（在生產環境中），一定要做這件事：

win2008-1上打開DNS----對準服務器名---右鍵點擊屬性-----轉發器---編輯---加上202.106.0.20【最近的公網DNS】---確定（在顯示中一定要設轉發器）

將win2003-1加入域：

我的電腦右鍵屬性---計算機名---更改---隸屬于域（qf.com）---彈出彈框：“用戶名： qf.com\administrator? 密碼：管理員密碼”----重啟計算機生效

確認win2003-1是否加入域：

一定要去DNS上去檢測share.qf.com這個域名和10.1.1.2這個服務器地址是否在win2008-1的DNS上自動注冊了解析記錄【share是win2003-1的計算機名】
???

注意：在哪個文件夾創建用戶都是普通用戶，只有在Users的Domain Admins里面點擊成員才能添加域管理員

用域管理員身份登錄win2003-1：點擊選項，選擇登錄到QF

登錄后win2008-1上會有解析記錄：

?

在win2003-1上安裝WEB和DHCP服務軟件：此時是域管理員身份登錄（習慣性加完域之后再做這一步）

打開光驅（E盤）--- 安裝可選的Windows服務 --- 網絡服務中選擇DHCP/應用程序服務器里面選擇IIS中的萬維網服務

打開win2003-1中的DHCP——》右鍵點擊授權（是用域管理員身份登錄的）——》刷新一下
右鍵新建作用域（地址池）---名稱qf---起始ip地址10.1.1.100，結束IP地址10.1.1.200，長度24---不排除---網關（下一步）--- 配DNS（10.1.1.1【寫DC那臺服務器的地址】）
?

在win2003-1上創建共享服務器

在D盤創建文件夾“千鋒公共文檔”，里面創建文本文檔123.txt
做兩個權限（有一部分員工打開只能下載，一部分有完全控制權限）
“千峰公共文檔”文件夾右鍵屬性---共享---共享此文件夾---共享名qfshare---共享權限（everyone完全控制），為了更保險可以再添加domain users（點確定那一瞬間，2003會馬上去DC上的活動目錄里面去找有沒有Domain Users這個組）
在安全里面點擊高級---取消繼承（第一個對勾）---添加Domain Admins【只剩下兩個Administrators（SHARE\Administrators）和Domain Admins（QF\Domain Admins）其他無關的刪除】給完全控制權限---添加IT和sp.huang

賦權限要建立組
在右側空白處單擊鼠標右鍵---新建組（域組）---組名IT，組作用域：全局 【看情況】，組類型：安全組【發郵件就選通訊組】
雙擊楊濤---隸屬于---添加IT

?

win2003搭建網站

打開IIS---通用默認網站
在D盤新建站點，新建一個文件夾叫web，里面再新建文件夾作為站點【方便管理】，web里面新建OA和CRM兩個文件夾——》文本文檔里面html代碼（略）
1、新建網站---描述CRM----IP地址10.1.1.2，端口80，主機頭：crm.qf.com------選擇路徑------靜態網頁選讀取，動態網頁選讀取、運行腳本、執行
網站右鍵屬性----文檔---index.html置頂

2、新建網站---描述OA----IP地址10.1.1.2，端口80，主機頭：oa.qf.com------選擇路徑------靜態網頁選讀取，動態網頁選讀取、運行腳本、執行
網站右鍵屬性----文檔---index.html置頂

win2008-1記得加解析
win2008-1打開dns---點擊qf.com---右側右鍵新建主機A----名稱oa，IP地址10.1.1.2----添加主機
win2008-1打開dns---點擊qf.com---右側右鍵新建主機A----名稱crm，IP地址10.1.1.2----添加主機

?

打開winxp-1
一打開XP就屬于自動獲取IP的狀態

同時在win2003的DHCP上會有一條租約記錄
winxp加入域：

我的電腦右鍵屬性----計算機名---更改---qf.com----用戶名qf.com\administrator（注意斜杠方向）---重啟生效

在2008-1上的DNS會出現一條記錄
tao.yang登錄域：（一下兩個方法都行）

??

?

驗證共享：tao.yang能下載不能上傳

驗證tao.yang能不能訪問網頁：（成功）

驗證另外一個用戶的過程就省略了（和上面差不多）

如果對網站設置禁止匿名訪問：訪問網頁的時候就需要密碼了

當別人訪問OA網站的時候，不允許他匿名，輸入賬號密碼后，我不在本地驗證，去域里面找域用戶
彈框：登錄名tao.yang@qf.com

總結

以上是生活随笔為你收集整理的【CyberSecurityLearning 附】域的复习+小综合实验（重要！）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。