【CyberSecurityLearning 附】域的复习+小综合实验（重要！）

域的复习

域的特点：集中管理
活动目录的特点：集中管理
域：Domain
域控制器：Domain Controller = DC
活动目录：Active Directory = AD

在域中，组策略的应用顺序是：LSDOU
例：
上级OU：密码要求3位        禁止运行按钮         桌面a背景
中级OU：密码要求4位        允许运行按钮         桌面未配置
下级OU：密码未配置          禁止运行按钮         桌面未配置
正常情况下级OU在登录后的结果：密码要求4位      禁止允许按钮    桌面a背景
若下级OU设置了阻止继承结果是：密码未配置        禁止运行按钮    桌面未配置
若上级OU设置强制继承结果是：   密码要求3位       禁止允许按钮    桌面a背景
下级设置组织，同时上级设置强制，最终下级OU结果： 密码要求3位       禁止允许按钮    桌面a背景
 

---

综合实验：

横线代表的是交换机，竖线代表的是网线

实验演示：

实验环境：win2003-1、win2008-1、winxp-1
都连接到同一个交换机VMnet2、win2008-1（手动配置IP：10.1.1.1）、win2003-1（手动配置IP：10.1.1.2）
要求：1、将win2008-1部署为DC/DNS，域名为qf.com
           2、将win2003-1加入域，部署为WEB/DHCP/文件共享服务器，发布两个站点（oa.qf.com; crm.qf.com）
           3、共享文件夹要求：使用IT部门的域用户只可以下载，使用CEO的域用户有完全控制权限
           4、将winxp-1加入域，并自动获取IP，直接访问WEB和文件共享服务器

准备阶段：
桥接和配IP步骤省略，注意在win2008-1中不需要手动添加DNS，因为安装DC的步骤中包含安装DNS，会自己指向自己；
在win2003-1中除了配IP为，还可以手动指DNS到10.1.1.1
做完之后记得ping一下！（确认关闭防火墙，当时拍快照的时候我win2008-1忘记关防火墙了）
把win2003-1计算机名字改为share，win2008-1更改计算机名为DC1（只是单纯为了好看）
配置win2008-1IP的时候一定要把IPV6前面的√去掉

实验阶段：
在win2008-1上安装DC：win+R输入dcpromo
出现向导：

注意点：1、记得勾选“通过在此计算机上安装DNS服务器服务来自动更正问题”（要想出现这个弹框，在配置IP的时候不要指DNS）
               2、选择“在新林中新建域”；
               3、命名林根域为qf.com
               4、林功能级别和域功能级别都选“Winidows Server 2003”
               5、弹出的弹框选择“是”
               6、目录服务还原还原模式的Administrator密码设为“666.com”
               7、勾选“完成后重新启动”

验证win2008-1安装DC是否成功：

登录时是以QF\Administrator登录的
验证一：计算机右键属性，可以看到域：qf.com
验证二：开始--管理工具--DNS和Active Directory用户和计算机能正常打开
验证三：打开DNS，看看里面有没有自动生成qf.com区域配置文件

有了下面这两条记录就说明员工可以加入域（员工说我想加入qf.com就解析域本身）

补充：如果这台DC是公司真正的DC（在生产环境中），一定要做这件事：

win2008-1上打开DNS----对准服务器名---右键点击属性-----转发器---编辑---加上202.106.0.20【最近的公网DNS】---确定（在显示中一定要设转发器）

将win2003-1加入域：

我的电脑右键属性---计算机名---更改---隶属于域（qf.com）---弹出弹框：“用户名： qf.com\administrator  密码：管理员密码”----重启计算机生效

确认win2003-1是否加入域：

一定要去DNS上去检测share.qf.com这个域名和10.1.1.2这个服务器地址是否在win2008-1的DNS上自动注册了解析记录【share是win2003-1的计算机名】
   

注意：在哪个文件夹创建用户都是普通用户，只有在Users的Domain Admins里面点击成员才能添加域管理员

用域管理员身份登录win2003-1：点击选项，选择登录到QF

登录后win2008-1上会有解析记录：

 

在win2003-1上安装WEB和DHCP服务软件：此时是域管理员身份登录（习惯性加完域之后再做这一步）

打开光驱（E盘）--- 安装可选的Windows服务 --- 网络服务中选择DHCP/应用程序服务器里面选择IIS中的万维网服务

打开win2003-1中的DHCP——》右键点击授权（是用域管理员身份登录的）——》刷新一下
右键新建作用域（地址池）---名称qf---起始ip地址10.1.1.100，结束IP地址10.1.1.200，长度24---不排除---网关（下一步）--- 配DNS（10.1.1.1【写DC那台服务器的地址】）
 

在win2003-1上创建共享服务器

在D盘创建文件夹“千锋公共文档”，里面创建文本文档123.txt
做两个权限（有一部分员工打开只能下载，一部分有完全控制权限）
“千峰公共文档”文件夹右键属性---共享---共享此文件夹---共享名qfshare---共享权限（everyone完全控制），为了更保险可以再添加domain users（点确定那一瞬间，2003会马上去DC上的活动目录里面去找有没有Domain Users这个组）
在安全里面点击高级---取消继承（第一个对勾）---添加Domain Admins【只剩下两个Administrators（SHARE\Administrators）和Domain Admins（QF\Domain Admins）其他无关的删除】给完全控制权限---添加IT和sp.huang

赋权限要建立组
在右侧空白处单击鼠标右键---新建组（域组）---组名IT，组作用域：全局 【看情况】，组类型：安全组【发邮件就选通讯组】
双击杨涛---隶属于---添加IT

 

win2003搭建网站

打开IIS---通用默认网站
在D盘新建站点，新建一个文件夹叫web，里面再新建文件夹作为站点【方便管理】，web里面新建OA和CRM两个文件夹——》文本文档里面html代码（略）
1、新建网站---描述CRM----IP地址10.1.1.2，端口80，主机头：crm.qf.com------选择路径------静态网页选读取，动态网页选读取、运行脚本、执行
网站右键属性----文档---index.html置顶

2、新建网站---描述OA----IP地址10.1.1.2，端口80，主机头：oa.qf.com------选择路径------静态网页选读取，动态网页选读取、运行脚本、执行
网站右键属性----文档---index.html置顶

win2008-1记得加解析
win2008-1打开dns---点击qf.com---右侧右键新建主机A----名称oa，IP地址10.1.1.2----添加主机
win2008-1打开dns---点击qf.com---右侧右键新建主机A----名称crm，IP地址10.1.1.2----添加主机

 

打开winxp-1
一打开XP就属于自动获取IP的状态

同时在win2003的DHCP上会有一条租约记录
winxp加入域：

我的电脑右键属性----计算机名---更改---qf.com----用户名qf.com\administrator（注意斜杠方向）---重启生效

在2008-1上的DNS会出现一条记录
tao.yang登录域：（一下两个方法都行）

  

 

验证共享：tao.yang能下载不能上传

验证tao.yang能不能访问网页：（成功）

验证另外一个用户的过程就省略了（和上面差不多）

如果对网站设置禁止匿名访问：访问网页的时候就需要密码了

当别人访问OA网站的时候，不允许他匿名，输入账号密码后，我不在本地验证，去域里面找域用户
弹框：登录名tao.yang@qf.com