地址表
公共网络区域
1. 路由转发服务
在 ISP-RTR 启用路由功能。
在 HQ-RTR 和 BR-RTR 上配置默认路由,下一跳设置为 ISP-RTR。
ISP-PTR
关机防火墙,配置网络
安装服务
自定义 选择LAN,
查看路由,没有通往24子网掩码的路由,我直接用静态指向
HQ-RTR
网络配置
指定网管后自动会有默认路由
即使添加还是会有报:此对象存在
BR-RTR
同理,自动生成路由
2. 域名解析服务
在 ISP-RTR 上安装 DNS 服务器,配置为当前系统环境的根域服务器。
添加根域
允许更新
在 HQ-RTR 上安装 DNS 服务器,该服务器将保存 worldskills.ts 的只读副本。
这个的意思是添加worldskills.ts的dns辅助区域
3. 互联网检测服务
在 ISP-RTR 上安装 IIS 服务器。
按照当前系统版本的客户端配置 NCSI 检测内容。
打开注册表
找到
当访问www.msftconnecttest.com时候,输出的页面为 Microsoft Connect Test ,当解析dns.msftncsi.com,解析地址为131.10.255.255时,网络internet检测成功
dns
新建msftconnecttest.com域(在根下面),并记录两条记录。
同理创建msftncsi.com
iis
新建www.msftconnecttest.com站点,主页目录为wwwroot,主页文件为 connecttest.txt ,内容为 Microsoft Connect Test.
Client
验证
当访问www.msftconnecttest.com时候,输出的页面为 Microsoft Connect Test ,当解析dns.msftncsi.com,解析地址为131.10.255.255时,网络internet检测成功
4. 时间同步服务
设定 HQ-RTR 为时间同步服务器,允许 ISP-RTR 进行同步。
HQ-RTR
1)打开组策略编辑器
打开运行对话框,输入gpedit.msc,打开策略编辑器。
2) 找到
修改Announcelags=5,标记该计算机为可靠时间服务器。
3)启用NTP时间同步服务器
4)重启Windows Time service
5)查看HQ-RTR时间
ISP-RTR配置
1)打开注册表,找到刚才那个目录,设置client为enable
2)开启ntp客户端,修改NtpServer为ISP-RTR的IP,AllSync类型代表域和ntp都能同步
3)查看client时间
4)开始测试ntp同步时间
同步成功,与HQ-RTR相同时间。
5. 其他工作任务
配置 ISP-RTR 的“本地安全机构安全服务进程”的保护。
启用 ISP-RTR 的用户连接监控,当有普通用户使用 mstsc 连接的时候,系统提示“All your actions may be monitored and recorded.”。
HQ 网络区域
1. 活动目录域服务
配置 HQ-DC 为域控制器,域名为 worldskills.ts,HQ-DC 为域主控。
配置当前网络区域为 HQ_Site。
配置 HQ-CLT 加入域,并且将当前域名隐匿为 HQSITE,并且能够使用 BRSITE 域名进行登录。
设置 worldskills.ts 域全部计算机强制启动防火墙
2. 域用户管理
导入 users.csv 的相关用户和属性信息。
配置 user profile 以及 homefolders 分别为:
\\worldskills.ts\HQ\users\profiles\%username%
\\worldskills.ts\HQ\users\homes\%username%
限制使用 Sales 组进行域的加入。
设置不允许 sales 组使用 cmd 以及 cmd scripts。
Sales 组用户不能执行关闭计算机的操作,即使是在客户端。
-
创建nfs命名空间。
在自己喜欢的位置创建homes,profiles文件夹,并共享
在nfs中作为profile,home的真实物理路径
创建题目要求的组
-
开始导入用户数据
1)csv文件导入到机器
- 2)编写bat脚本导入用户
- 首先先读取文件中数据 命令:
for /F "tokens=1,2,3,4,5,6,7,8 delims=," %a in (c:\New\users.csv) do $echo %a %b %c %d %e %f %g %h 解释: tokens: 为列对应的数。 delims: 分割数据。 %a/b/c/d/e/f/g/h: 输出tokens=1/2/3/4/5/6/7/8的数据。 结果如图所示
- 将文件中数据所对应的用户信息引用并创建用户 命令:
for /F "tokens=1,2,3,4,5,6,7,8 delims=," %a in (c:\New\users.csv) do dsadd user cn=%c,ou=user,dc=worldskills,dc=ts -samid %c -upn %d@BRSITE -fn %a -ln %b -email %d -pwd Skills39 -tel %f -title %g -office %h -memberof cn=%e,ou=user,dc=worldskills,dc=ts -hmdir \\worldskills.ts\HQ\homes\%username% -profile \\worldskills.ts\HQ\profiles\%username% -pwdneverexpires yes -disabled no dsadd解释: <UserDN> : 指定要添加的户在dc中的路径。 -samid : 指定要添加的用户名。 -upn : 指定要添加的用户登录名 -fn : 指定要添加的First name 名 -ln : 指定要添加的last name 姓 First Name = Given Name = 名 Last Name = Surname = 姓 -tel : 指定要添加的电话号码 -title : 指定要添加的用户的标题 -office : 指定要添加的用户的办公位置 -memberof: 指定要添加的用户成为其成员的组的可分辨名称 -hmdir : 指定要添加的用户的主目录位置。 -profile : 指定要添加的用户的配置文件路径。 dsadd详细命令: dsadd user <UserDN> [-samid <SAMName>] [-upn <UPN>] [-fn <FirstName>] [-mi <Initial>] [-ln <LastName>] [-display <DisplayName>] [-empid <EmployeeID>] [-pwd {<Password> | *}] [-desc <Description>] [-memberof <Group> ...] [-office <Office>] [-tel <PhoneNumber>] [-email <Email>] [-hometel <HomePhoneNumber>] [-pager <PagerNumber>] [-mobile <CellPhoneNumber>] [-fax <FaxNumber>] [-iptel <IPPhoneNumber>] [-webpg <WebPage>] [-title <Title>] [-dept <Department>] [-company <Company>] [-mgr <Manager>] [-hmdir <HomeDirectory>] [-hmdrv <DriveLetter>:][-profile <ProfilePath>] [-loscr <ScriptPath>] [-mustchpwd {yes | no}] [-canchpwd {yes | no}] [-reversiblepwd {yes | no}] [-pwdneverexpires {yes | no}] [-acctexpires <NumberOfDays>] [-disabled {yes | no}] [{-s <Server> | -d <Domain>}] [-u <UserName>] [-p {<Password> | *}] [-q] [{-uc | -uco | -uci}] dsadd官方: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731279(v=ws.10)
使用new-aduser进行导入,不用dsadd
- 将users.csv文件第一行删除,并保留空行,为什么?做个小彩蛋,前面的图片已经标注了问题了。
- 开始导入
- 导入成功,查看配置
-
限制使用 Sales 组进行域的加入。
默认情况下,任何经过身份验证的用户都具有此权限。那就先拒绝所有加入,然后允许其他
- 1)第一种 ms-ds-mech =0
首先禁止所有用户加入域。
打开adsi
右键域名单击权限
设置ms-DS- Ma :一个用户可以将计算机加入域的数量=0
然后再委派给其他组加入域的权限,
选中其他组
委派加入域的权限。
- 2)第二种方法,ms-ds-mech >0
限制这两个权限。
我惊奇的发现,第一种方式能在第二种方式中展现,我认为只需要在adsiedit中 属性 -再添加其他组就行,不过想想就麻烦,那么多的权限,看的头皮发麻。
默认所有用户可加域
- 1)sales组策略应用于Sales组。
友好链接:
设定特定域用户或者组无限次数将计算机加入域,Windows Server 2016中,如何限制一个用户组加入域控?..._weixin_40000702的博客-CSDN博客
设置不允许 sales 组使用 cmd 以及 cmd scripts。
- 1) 编辑sales组策略,用户配置-Administrative Templetes-System
选择此策略(阻止cmd)设置为enabled,下面选项为取消cmd script?yes。
- 2)如果想想限制其他应用,选择这个组策略,里面写上程序名。
Sales 组用户不能执行关闭计算机的操作,即使是在客户端。
- 用户配置-Administrative Templetes-System-Start Menu and Taskbar-移除并阻止关机,重启,睡眠操作。
- 更新组策略
3. 域 Web 站点服务管理
配置网页“https://status.worldskills.ts”,在当前网页中展示 HQ-DC 的系统信 息。
该站点提供一个关机接口“https://status.worldskills.ts/SHUTDOWN”,该站点允 许 Administrator@worldskills.ts 访问,当站点被访问时 HQ-DC 将进入关闭状 态。
配置网页“https://status.worldskills.ts”,在当前网页中展示 HQ-DC 的系统信息。
思路:
安装iis服务,首页文件为asp文件,用asp代码显示服务器主机名,服务器端口号,服务器版本
- 1)安装iis,asp等插件。
2)配置iss页面
设置首页文件 index.aspx
创建dns解析,和反向
首页文件为index.aspx
访问ip
版本信息
iis版本
网站域名
不确定
该站点提供一个关机接口“https://status.worldskills.ts/SHUTDOWN”,该站点允许 Administrator@worldskills.ts 访问,当站点被访问时 HQ-DC 将进入关闭状态。
不会
4. 证书颁发机构
在 HQ-DC 上安装证书颁发机构,将证书数据库进行集中式存储到“\\worldskills. ts\HQ\config\ca”。
当前证书颁发机构的用户证书采用自动颁发模式,并且确保每个用户只会向颁发机构申请一张用户证书。
在当前证书颁发机构创建所需的模板,启用计算机证书手动审批程序,并且能够在“https://Cert.worldskills.ts”查看当前未审批的计算机证书数量,页面会自动检测更新,启用中文显示功能,图例如下:
- 安装证书
如果需要安装RDS服务,则安装 online respnder 和 certificate enrollment policy web service.
没有要求写自己喜欢的。
先安装到物理路径
当前证书颁发机构的用户证书采用自动颁发模式,并且确保每个用户只会向颁发机构申请一张用户证书。
组策略
证书注册策略
用户漫游
自动申请证书
- mmc
证书颁发机构-管理证书模板
新建新的用户证书模板
请求任何提供者,或者第二个都行
domain Admins 权限,
domain user权限
证书信息。issuance requirements
导入新的证书模板
证书状态为挂起。
- 更新组策略
计算机中 选择 disabled
8. ISCSI 磁盘服务
在 HQ-SRV1,HQ-SRV2,HQ-DC 上安装 ISCSI 服务。
系统强制要求使用 multiple chap,并且启用对称式加密连接通道。
在 HQ-DC 建立 500T 磁盘用于 ISCSI 的链接。
对于 HQ-SRV1,HQ-SRV2,DFS 要建立在 ISCSI 磁盘之上。
随便写
题目没说40g应该够
添加客户端地址
定义双向认证
完成
HQ-SRV1
这里弄正向用户和密码
查看:
HQ-DC
HQ-SRV1
HQ-SRV2
客户端挂载在磁盘上
HQ-SRV2
6. 分布式文件系统
在 HQ-SRV1 与 HQ-SRV2 上安装 DFS。
创建 DFS 命名空间为 HQ。
隐藏无权限文件夹在 DFS 命名空间。
创建题目所需要的文件夹,并且启用 DFSR 技术在文件夹。
在 region 文件夹启用资源控制,将含有 order 字符的文档进行加密,仅允许 A dministrator@worldskills.ts 用户访问。
限制 user profiles 以及 home folders 不允许存储任何 bat 文件。
对 home folders 文件夹启用报告管理,并于每天 12:00 将每个用户的报告以其 自己名字命名公示在 https://info.worldskills.ts/report/%username%。
配置 home folders 的文件监控,所有含 testproject 的 word 文件,仅允许 ITS 组访问,每天 23:00 的时候进行分配权限。
- 创建 DFS 命名空间为 HQ。
- 隐藏无权限文件夹在 DFS 命名空间。
打开"DFS管理",右键单击创建的命名空间,选择"属性"。在高级选项卡里,勾选"对此命名空间启用基于访问权限的枚举"
意思为: -
创建题目所需要的文件夹,并且启用 DFSR 技术在文件夹。
复制组委派权限
复制组
组成员
主要成员
选择要复制的文件
选择成员的文件
等待大概1分钟,则文件同步过去了。