Lab1: 域控制器的安装
|
实验准备
完成机器名设置完成IP地址设置
关闭Windows防火墙,用Ping测试相互连通性
实验步骤:
- 安装第一台域控制器(DC1)
添加“ADDS服务”并用向导完成DC的配置
安装第二台域控制器(DC2)
确认该服务器的DNS设置中包含指向第一台域控制器添加“ADDS服务”并用向导完成DC的配置
将PC加入到域中,并验证DC的高可用
确认该服务器的DNS设置中包含指向以上的域控制器将PC加入到域中
使用域管理员(如abc\administrator)账户登录, 用命令行set logonserver查看对应的
DC,
为验证域控制器的高可用,将该DC关机,并在PC上注销后重新登录,观察登录是否成功,并再次用set logonserver命令检查所提供登录服务的DC是否变化
Lab2: 多域的配置(父子域)
|
实验准备
DC1,DC2已经是abc.com的域控制器PC1已经加入abc.com域
实验步骤
- 新安装一台DC3安装一台DC3的虚拟机,关闭防火墙,配置主机名和IP地址,确保DNS服务器指向DC1或DC2, 并能ping通原有两台DC的IP
安装DC3为原有域的子域控制器
- 在域中创建一个名称为HR的OU,并用两种命令行的工具,分别创建用户hr01和hr02 使DS命令集中的dsadd命令,创建名为HR的OUdsadd ou ou=HR, dc=abc,
安装ADDS域服务,启动域控制器配置向导,将DC2配置为子域控制器,域名为sh.abc.com, Netbios名为sh
注意:用向导完成以上步骤时,到向导最后一步时,提示可查看对应的Powershell脚本,将脚本拷贝出,取消向导,用Powershell脚本完成域控制器的安装工作(脚本执行时,会提示输入域管理员帐号和域恢复设置的密码)
用PC登录子域
分别用abc\administrator 和sh\administrator (或administrator@sh.abc.com) 从PC登录父域和子域,用set logonserver查看对应的域控制器,用whoami查看登录身份
Lab3: 域中对象的创建和管理
|
实验准备
DC1和DC2已经安装为域控制器
PC1已经加入域(如abc.com或学员自定义的域名)
实验步骤
在域中创建一个名称为IT的OU,并用两种图形化的工具,分别创建用户it01和it02,并将it和it02加入用户组itgroup
使用"AD用户和计算机”工具,创建名称为IT的OU,并创建其中的用户it01 使用“AD管理中心”工具,创建用户it02
将it01和it02加入用户组itgroup
观察在另一台域内的DC上是否自动同步了创建好的OU和用户
dc=com
使用DS命令集创建用户hr01, 需在普通CMD命令行下输入:dsadd user
cn=hr01,ou=HR,dc=abc,dc=com upn hr01@abc.com pwd 123.com mustchpwd no
disabled no
使用Powershell命令集中的NewADaccount命令,创建用户hr02, 须在Powershell 命令行下输入:newaduser name "hr02" userprincipalname "hr02@abc.com" accountpassword (ConvertToSecureString AsPlainText "123.com" Force) Path "ou=hr,dc=abc,dc=com" (注意:本命令执行后用户默认为禁用状态,除非在命令中增加 enabled $true参数)
在终端PC1上尝试多种帐号登录方式
使用PC本地帐号登录:PC1\administrator 或.\administrator
使用域帐号登录:abc\it01 或it01@abc.com
熟悉多种活动目录的搜索和筛选功能
使用“AD用户和计算机”搜索域内名称为PC1的计算机
使用“AD管理中心”,搜索域内被经用的账户(结果应为hr02)
使用Powershell脚本统计每个OU下的用户数
访问微软的Technet网站https://gallery.technet.microsoft.com, 用关键字“count user"搜索可用的脚本
启用Poweshell的ISE工具,直接执行脚本或拷贝脚本中的语句在脚本窗口中执行,执行结果默认导出到C:\user\administrator目录下
Lab4:组策略的配置
|
实验准备
DC1和DC2已经安装为域控制器
PC1已经加入域(如abc.com或学员自定义的域名)
域中已经创建了名称为IT的OU,并且各自包含用户账户,如it01,it02等
实验步骤
- 在域控制器上,创建一个应用于IT这个OU的GPO,名称为ITGPO,并完成以下“策略”设置
禁用客户端用户的“控制面板”中的“程序和功能“入口强制设置IE浏览器的主页为“http://internal.abc.com” 禁止用户更改桌面强制背景
在PC1上用it01用户登录域,执行GPO更新后,核验GPO更新效果
用it01@abc.com登录PC1,执行gpupdate /force命令强制更新GPO
用gpresult /r 观察GPO的更新时间,并用gpresult /h gpo.html导出更新的配置记录到文件,到C:/user/it01目录下打开该文件并核对更新记录
操作并确认控制效果
禁用该OU下的GPO,使配置临时失效
禁用该GPO(或仅仅禁用GPO的链接),并在客户端执行gpresult /force, 观察相关配置是否复原
设置“安全筛选”,是组策略只对OU内的部分用户或用户组启用
恢复GPO,并在”安全筛选“中删除默认的“Authenticated Users", 并添加it01用户
分别用it01和it02用户登录PC,并更新GPO,注意观察两个用户是否都受GPO影响
Lab5: 组策略的应用
|
实验目标:
练习多种企业中常见的组策略设置
准备工作:
将PC1的计算机从默认的“Computer”容器移动到IT的OU内,使IT的OU内既有计算机账户,又有用户账户
创建一个共享文件夹,名称为share, 实验中将多次使用到该文件夹删除之前实验中创建的GPO
实验步骤
- 在域级别的默认GPO上,配置帐号安全策略
去除复杂密码要求,允许用简单密码登录
登录不用按Ctrl+Alt+del, 但不显示上次登录名
在IT的OU上创建并链接一条GPO,名称为“用户桌面控制策略” 包含以下设置,设置完成后,在PC机上验证
- 客户端用户环境控制设置桌面墙纸为共享文件夹中的指定图片,且用户无法修改设置如果用户设定了屏幕保护,则屏保的等待时间为600秒(10分钟),解除屏保需密码保护禁止使用U盘将控制面板中的部分设置项目隐藏(实验中隐藏“电源选项”和“系统”两个项
目)
在IT的OU上创建并链接一条GPO,名称为“软件分发与控制策略” , 包含以下设置,设置完成后,在PC机上验证
- 软件自动安装
- 软件限制运行管理员账号登录Windows7的PC客户端,先将“服务”中的ApplicationIdentity服务启动,并设置为系统启动后自动启动(AppLocker需依赖该服务)设置AppLocker策略,限制安装腾讯的所有软件设置AppLocker策略,允许可以在C盘的test目录下运行exe文件(即路径参数为
c:\test\*.exe)
注意:App Locker在更新组策略后生效可能需要有5分钟左右延迟
在IT的OU上创建并链接一条GPO,名称为“首选项”,包含以下设置,设置完成后,在
PC机上验证
- 首选项设置
计算机启动后自动安装某个msi软件 (测试用的msi软件可先从宿主机拷贝到虚拟机DC1上)
用户登录后自动安装DC1上的共享打印机(需在DC上事先安装过打印机并共享) 将DC1上的共享文件夹映射为Z盘
在用户桌面上放置一个网址URL的快捷访问图标(点击图标可快速访问www.sina.com)
注意:实验结束后,将组策略删除或禁用,并在客户端刷新以免影响后续实验
Lab6: 林间的信任
实验场景:
公司新收购了一个公司,其域名为abc.com, 域控制器是DC4。现需要在两个林的根域之间建立信任关系,并实现abc.com域中的用户it01可以访问xyz.com中的共享文件夹。
实验准备
新装一台服务器(实验中将作为外部域xyz.com的域控制器),主机名DC4,IP地址192.168.11.14
实验步骤
- 将DC4配置为xyz.com的域控制器
添加AD域服务角色,并配置DC4为xyz.com的域控制器
在DC1和DC4上分别配置到对方域名的辅助区域,以实现各自能够同步对方DNS域中的记录
在DC1上的DNS设置中允许将abc.com域的DNS数据同步给DC4,并在DC4上创建从DC1同步的辅助区域,检查DC4上是否有abc.com的DNS同步数据
在DC4上的DNS设置中允许将xy.com域的DNS数据同步给DC1,并在DC1上创建从
DC4同步的辅助区域,检查DC1上是否有xyz.com的DNS同步数据
在DC1和DC4上创建和配置两个域之间的信任关系
登录DC1,打开“Active Directory 域和信任关系” 工具,创建到DC4之间的信任关系
登录DC4,打开“Active Directory 域和信任关系” 工具, 创建到DC1之间的信任关心检查和确认DC1/DC4上信任关系是否创建成功
(注意:如果abc.com之前创建过子域sh.abc.com和子域控制器DC3, 则还可能看到
系统自动创建的父子域之间的信任关系)
在DC4中创建abc.com域中的共享文件夹资源,并分配给abc.com域中的用户,从PC1 上用it01登录abc.com,观察是否能够跨域访问共享资源
登录DC4,创建一个共享文件夹,名称为share, 分配权限为允许abc.com的it01用
户读/写
使用abc.com域帐号it01从PC1客户端登录,访问\\dc4\share, 观察该用户是否能够
跨域访问其他域的资源
Lab7: FSMO的抢占和转移
|
实验目标:
练习FSMO的抢占练习FSMO的转移
实验场景:
DC1,DC2为原有的两台域控制器,其中DC1为所有FSMO角色的承担者。现将DC1关 机,模拟实际环境中DC的意外硬件损坏。此后新建一台服务器,命名为DC1加入域,但是
系统会报错告知现有域中的FSMO角色均不可用。因此需要先用ntdsutil命令行在DC2上抢夺
(Seize)所有的FSMO角色,然后将新的DC1成功加入域后,再将FSMO的角色从DC2再转移(Transfer)回DC1,达到恢复原有环境的目的。(注意:原有DC1不可再上线)
实验步骤:
- 模拟承担FSMO角色的DC1故障登录DC1,用命令行netdomqueryfsmo查询现有的FSMO角色的承担者将DC1的虚拟机关机或禁用网卡,模拟意外故障登录DC2,用命令行netdom query fsmo查询显示虽然DC1故障,但FSMO角色仍在由DC1承担
安装一台新的DC1,保持与原有DC1的设置相同,并尝试添加为域控制器,观察是否能够成功
重新创建一个虚拟机,设置主机名和IP地址与原有DC1一致
安装ADDS服务,并将DC1配置为本域的域控制器,观察向导中止后的报错信息(提示域中有FSMO角色不可用,无法安装新的域控制器),保持报错窗口会话不要关闭,完成第3步后还需返回该窗口继续
在DC2上用ntdsutil命令抢夺所有的FSMO角色
登录DC2,输入ntdsutil, 并在不同提示符下依次输入roles ;connections ;connect to server dc2.abc.com;quit;然后继续在fsmo maintaince 的提示符下依次输入:seize PDC ; seize RID master ; seize infrastructure master ; seize naming master ; seize schema master
用命令行netdom query fsmo下查询FSMO角色的承担者是否转移到DC2
- 回到之前步骤2中DC1的域控制器的安装向导的中止窗口界面,继续完成域控制器的安装继续之前的DC1的域控制器的安装过程,由于FSMO角色目前已由DC2承担,系统将
不再报FSMO的错误,安装可顺利完成
DC1的域控制器安装恢复后,再将FSMO的角色再从DC2转移回DC1
从DC1上用图形化界面操作FSMO转移,从DC2转移除了schema master外的其他四种角色(其中三种用"AD用户和计算机“来操作,一种用”AD域和信任关系“来操作
从DC1上用ntdsutil命令从DC2将schema master角色转移回来
输入ntdsutil, 并在不同提示符下依次输入roles ;connections ;connect to server dc1.abc.com;quit;然后继续在fsmo maintaince 的提示符下依次输入:seize schema master
用命令行netdom query fsmo验证转移结果
Lab8: 站点与活动目录复制
|
实验场景:
DC1和DC2属于上海站点,DC5属于北京站点。两个站点属于不同子网,通过路由器互通
(实验中该路由器由配置了双网卡并启动了路由功能的服务器担任)
实验准备(将两个网段做通路由)
新装一台服务器(或利用一台之前装好的,但暂时用不到的服务器)作为路由器Roter,在关机状态下配置两块接内部虚拟交换机的网卡,分别配置地址为192.168.11.1和10.0.0.1,作为两个网段的网关
在作为Router服务器上增加远程访问角色中的“路由”功能,使其可以路由两个站点的互通流量(注意将防火墙关闭,否则无法做ping的测试)
新装一台域控制器,主机名DC5,IP地址10.0.0.11,网关10.0.0.1,设置其DNS为
DC1(注意将防火墙关闭,否则无法做ping的测试)
将DC2的默认网关设为192.168.11.1, 测试DC2和DC5两个网段之间可以相互ping通
实验步骤
- 将DC5配置为abc.com的额外域控制器
增加AD域服务,将DC5配为额外域控制器,并归属默认站点"DefaultFirstSite Name"
登录任意一台DC,在“AD站点和服务”工具中,观察DC1/DC2/DC3目前的站点配置信
息
分别将DC1/DC2划入上海站点,将DC5划入北京站点,并将各自的IP子网和域控制器配置入对应的站点
登录DC1,在“AD站点和服务”工具中,创建两个Site,名称为BJ和SH;创建两个子网192.168.11.0、24和10.0.0.0/24
将DC分别划分到各自的所属的站点(DC1/DC2属于SH,DC5属于BJ)
配置DC之间的站点链接
观察DC2与DC5之间默认的站点链接和配置
在DC2和DC5之间删除默认的站点链接,创建一个新的站点链接,起名为SHBJ,
将cost开销设为10,复制间隔设置为每60分钟,并设置仅在晚上6:00到早上9:00进行复制
验证站点内和站点间的复制
登录DC1,在HR的OU内创建一个新用户HR03,然后到DC2上观察该用户的信息同步到同站点的DC2
登录DC5, 观察是否用户已经同步,如果未同步,手工触发跨站点的复制用repadmin /showrepl 和repadmin /replsummary 检查复制状态和结果统计
Lab9: AD活动目录运维
实验步骤
- 启用并使用AD回收站从DC1上进入“AD管理中心”,选中域后在右侧的任务边栏中选择“启用回收站”’ 创建一个临时用户,删除后到“AD管理中心”中的“Deleted Objects”中进行恢复
- 使用DCdiag命令行进行AD的基本健康状况诊断在DC上输入dcdiag e,观察输出;
也可以将输出导出到文本文件dcdiag e > c:/dcdiag.txt
用ntdsutil离线整理数据库
停止AD服务:net stop ntds
输入以下命令
ntdsutil
ntdsutil: Activate Instance NTDS ntdsutil: Files
file maintance: compact to c:\temp
系统进行整理,结束后两次quit退出ntdustil
将压缩过的ntds.dit文件覆盖原有的ntds.dit文件
方法为输入命令行: copy "c:\temp\ntds.dit" "c:\windows\ntds\ntds.dit"
启动ADDS服务:net start ntds
模拟在陌生的域生产环境中通过命令行或图形化控制台获取以下信息,以便准备文档
- 林和域的整体架构(域的数量、层次、名称)
- 域控制器列表(域控制器数量、操作系统、IP地址等)
- 特殊域控制器(RODC、GC)和操作主机(FSMO)角色分布
- DNS服务器列表(DNS数量、Zone的分布等)
试用第三方的ManageEngine几款和AD相关产品的在线演示
AD域管理:http://demo.admanagerplus.com AD变更审计与报表http://demo.adauditplus.com
AD备份与恢复http://demo.recoverymanagerplus.com AD域用户自助服务http://demo.adeslfserviceplus.com AD综合管理产品(AD360)http://demo.ad360plus.com
Lab10: 域控制器的升级
实验场景:
将两台Window Server 2016的服务器通过摆动迁徙,替代掉abc.com中原有的Windows Server 2012 R2域控制器
实验步骤
- 降级现有的一台DC执行netdomqueryfsmo,确定DC1是否是有FSMO角色,如有将其转移到DC2 降级DC1,使其退出abc.com的域控制器列表
加入新的DC到现有域
将一台新的Window Server 2016的IP地址及主机名设为同以前的DC1一致将该服务器做为新的域控制器加入abc.com
重复步骤1和2,用另一台新服务器替换掉DC2
- 在新的域控制器上将林级别和域级别提升为Windows Server 2016
