样题-世界技能大赛网络系统管理项目模块 B-Windows 环境

地址表

公共网络区域

1. 路由转发服务

 在 ISP-RTR 启用路由功能。

 在 HQ-RTR 和 BR-RTR 上配置默认路由，下一跳设置为 ISP-RTR。

ISP-PTR

 关机防火墙，配置网络

安装服务

自定义 选择LAN，

查看路由，没有通往24子网掩码的路由，我直接用静态指向

 

 

HQ-RTR

网络配置

 指定网管后自动会有默认路由

 即使添加还是会有报：此对象存在

 BR-RTR

同理，自动生成路由

2. 域名解析服务

 在 ISP-RTR 上安装 DNS 服务器，配置为当前系统环境的根域服务器。

添加根域

 允许更新

 在 HQ-RTR 上安装 DNS 服务器，该服务器将保存 worldskills.ts 的只读副本。

这个的意思是添加worldskills.ts的dns辅助区域

3. 互联网检测服务

 在 ISP-RTR 上安装 IIS 服务器。

 按照当前系统版本的客户端配置 NCSI 检测内容。

打开注册表

找到

 当访问www.msftconnecttest.com时候，输出的页面为 Microsoft Connect Test ，当解析dns.msftncsi.com，解析地址为131.10.255.255时，网络internet检测成功

dns

新建msftconnecttest.com域（在根下面），并记录两条记录。

同理创建msftncsi.com

 

 iis

新建www.msftconnecttest.com站点，主页目录为wwwroot，主页文件为 connecttest.txt ,内容为 Microsoft Connect Test.

 

 Client

验证

当访问www.msftconnecttest.com时候，输出的页面为 Microsoft Connect Test ，当解析dns.msftncsi.com，解析地址为131.10.255.255时，网络internet检测成功

4. 时间同步服务

 设定 HQ-RTR 为时间同步服务器，允许 ISP-RTR 进行同步。

HQ-RTR

1）打开组策略编辑器

打开运行对话框，输入gpedit.msc，打开策略编辑器。

2） 找到

 修改Announcelags=5，标记该计算机为可靠时间服务器。

 3）启用NTP时间同步服务器

 4）重启Windows Time service

5）查看HQ-RTR时间

 ISP-RTR配置

1）打开注册表，找到刚才那个目录，设置client为enable

 2）开启ntp客户端，修改NtpServer为ISP-RTR的IP，AllSync类型代表域和ntp都能同步

 3）查看client时间

 4）开始测试ntp同步时间

同步成功，与HQ-RTR相同时间。

5. 其他工作任务

 配置 ISP-RTR 的“本地安全机构安全服务进程”的保护。

 启用 ISP-RTR 的用户连接监控，当有普通用户使用 mstsc 连接的时候，系统提示“All your actions may be monitored and recorded.”。

HQ 网络区域

1. 活动目录域服务

 配置 HQ-DC 为域控制器，域名为 worldskills.ts，HQ-DC 为域主控。

 配置当前网络区域为 HQ_Site。

 配置 HQ-CLT 加入域，并且将当前域名隐匿为 HQSITE，并且能够使用 BRSITE 域名进行登录。

 设置 worldskills.ts 域全部计算机强制启动防火墙 

2. 域用户管理

 导入 users.csv 的相关用户和属性信息。

 配置 user profile 以及 homefolders 分别为：

\\worldskills.ts\HQ\users\profiles\%username%

\\worldskills.ts\HQ\users\homes\%username%

 限制使用 Sales 组进行域的加入。

 设置不允许 sales 组使用 cmd 以及 cmd scripts。

 Sales 组用户不能执行关闭计算机的操作，即使是在客户端。

• 创建nfs命名空间。

 

 

 在自己喜欢的位置创建homes,profiles文件夹，并共享

在nfs中作为profile,home的真实物理路径

 

 

创建题目要求的组

• 开始导入用户数据 

1）csv文件导入到机器 

•  2）编写bat脚本导入用户
•  首先先读取文件中数据 命令：

  for /F "tokens=1,2,3,4,5,6,7,8 delims=," %a in (c:\New\users.csv) do $echo %a %b %c %d %e %f %g %h 
  解释：
     tokens： 为列对应的数。
     delims: 分割数据。
     %a/b/c/d/e/f/g/h： 输出tokens=1/2/3/4/5/6/7/8的数据。
  结果如图所示

  
• 将文件中数据所对应的用户信息引用并创建用户 命令：

  for /F "tokens=1,2,3,4,5,6,7,8 delims=," %a in (c:\New\users.csv) do dsadd user cn=%c,ou=user,dc=worldskills,dc=ts -samid %c -upn %d@BRSITE -fn %a -ln %b -email %d -pwd Skills39 -tel %f -title %g -office %h -memberof cn=%e,ou=user,dc=worldskills,dc=ts -hmdir \\worldskills.ts\HQ\homes\%username% -profile \\worldskills.ts\HQ\profiles\%username% -pwdneverexpires yes -disabled no 
  
  dsadd解释：
         <UserDN> ： 指定要添加的户在dc中的路径。
         -samid   ： 指定要添加的用户名。
         -upn     ： 指定要添加的用户登录名
         -fn      ： 指定要添加的First name 名
         -ln      ： 指定要添加的last name 姓
  First Name = Given Name = 名
  Last Name  =   Surname      =     姓
         -tel     ： 指定要添加的电话号码
         -title   :  指定要添加的用户的标题
         -office  :  指定要添加的用户的办公位置
         -memberof:  指定要添加的用户成为其成员的组的可分辨名称
         -hmdir   :  指定要添加的用户的主目录位置。
         -profile :  指定要添加的用户的配置文件路径。
  
  dsadd详细命令：
  dsadd user <UserDN> [-samid <SAMName>] [-upn <UPN>] [-fn <FirstName>] [-mi <Initial>] [-ln <LastName>] [-display <DisplayName>] [-empid <EmployeeID>] [-pwd {<Password> | *}] [-desc <Description>] [-memberof <Group> ...] [-office <Office>] [-tel <PhoneNumber>] [-email <Email>] [-hometel <HomePhoneNumber>] [-pager <PagerNumber>] [-mobile <CellPhoneNumber>] [-fax <FaxNumber>] [-iptel <IPPhoneNumber>] [-webpg <WebPage>] [-title <Title>] [-dept <Department>] [-company <Company>] [-mgr <Manager>] [-hmdir <HomeDirectory>] [-hmdrv <DriveLetter>:][-profile <ProfilePath>] [-loscr <ScriptPath>] [-mustchpwd {yes | no}] [-canchpwd {yes | no}] [-reversiblepwd {yes | no}] [-pwdneverexpires {yes | no}] [-acctexpires <NumberOfDays>] [-disabled {yes | no}] [{-s <Server> | -d <Domain>}] [-u <UserName>] [-p {<Password> | *}] [-q] [{-uc | -uco | -uci}]
  dsadd官方：      
  https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731279(v=ws.10)
  

使用new-aduser进行导入，不用dsadd

• ​将users.csv文件第一行删除，并保留空行，为什么？做个小彩蛋，前面的图片已经标注了问题了。 
•  开始导入
•  导入成功，查看配置

• 限制使用 Sales 组进行域的加入。

默认情况下，任何经过身份验证的用户都具有此权限。那就先拒绝所有加入，然后允许其他

• 1）第一种 ms-ds-mech =0 

首先禁止所有用户加入域。

   

打开adsi

 右键域名单击权限

 

 设置ms-DS- Ma  :一个用户可以将计算机加入域的数量=0 

然后再委派给其他组加入域的权限，

选中其他组

委派加入域的权限。

•  2）第二种方法，ms-ds-mech >0 

 限制这两个权限。

 

 我惊奇的发现，第一种方式能在第二种方式中展现，我认为只需要在adsiedit中 属性 -再添加其他组就行，不过想想就麻烦，那么多的权限，看的头皮发麻。

默认所有用户可加域

• 1）sales组策略应用于Sales组。

 友好链接：

设定特定域用户或者组无限次数将计算机加入域,Windows Server 2016中，如何限制一个用户组加入域控？..._weixin_40000702的博客-CSDN博客

取消/修改普通域用户将计算机加入域的权限_weixin_34391445的博客-CSDN博客

限制普通域用户将计算机加入域_weixin_33774308的博客-CSDN博客

 设置不允许 sales 组使用 cmd 以及 cmd scripts。

• 1） 编辑sales组策略，用户配置-Administrative Templetes-System

选择此策略（阻止cmd）设置为enabled，下面选项为取消cmd script？yes。

•  2）如果想想限制其他应用，选择这个组策略，里面写上程序名。

 Sales 组用户不能执行关闭计算机的操作，即使是在客户端。

• 用户配置-Administrative Templetes-System-Start Menu and Taskbar-移除并阻止关机，重启，睡眠操作。

• 更新组策略

3. 域 Web 站点服务管理

 配置网页“https://status.worldskills.ts”，在当前网页中展示 HQ-DC 的系统信 息。

 该站点提供一个关机接口“https://status.worldskills.ts/SHUTDOWN”，该站点允 许 Administrator@worldskills.ts 访问，当站点被访问时 HQ-DC 将进入关闭状 态。 

 配置网页“https://status.worldskills.ts”，在当前网页中展示 HQ-DC 的系统信息。

思路：

       安装iis服务，首页文件为asp文件，用asp代码显示服务器主机名，服务器端口号，服务器版本

• 1）安装iis，asp等插件。

2）配置iss页面

 设置首页文件 index.aspx 

创建dns解析，和反向 

 首页文件为index.aspx

 访问ip

版本信息

iis版本

网站域名

不确定

 该站点提供一个关机接口“https://status.worldskills.ts/SHUTDOWN”，该站点允许 Administrator@worldskills.ts 访问，当站点被访问时 HQ-DC 将进入关闭状态。

不会 

4. 证书颁发机构

 在 HQ-DC 上安装证书颁发机构，将证书数据库进行集中式存储到“\\worldskills. ts\HQ\config\ca”。

 当前证书颁发机构的用户证书采用自动颁发模式，并且确保每个用户只会向颁发机构申请一张用户证书。

 在当前证书颁发机构创建所需的模板，启用计算机证书手动审批程序，并且能够在“https://Cert.worldskills.ts”查看当前未审批的计算机证书数量，页面会自动检测更新，启用中文显示功能，图例如下：

• 安装证书

如果需要安装RDS服务，则安装 online respnder 和 certificate enrollment policy web service. 

 

没有要求写自己喜欢的。

 先安装到物理路径

  当前证书颁发机构的用户证书采用自动颁发模式，并且确保每个用户只会向颁发机构申请一张用户证书。

组策略

 证书注册策略

 用户漫游

自动申请证书

•  mmc

 证书颁发机构-管理证书模板

新建新的用户证书模板

 请求任何提供者，或者第二个都行

 domain Admins 权限，

 domain user权限

 证书信息。issuance requirements

导入新的证书模板

 

 证书状态为挂起。

•  更新组策略

 计算机中 选择 disabled

8. ISCSI 磁盘服务

 在 HQ-SRV1,HQ-SRV2,HQ-DC 上安装 ISCSI 服务。

 系统强制要求使用 multiple chap，并且启用对称式加密连接通道。

 在 HQ-DC 建立 500T 磁盘用于 ISCSI 的链接。

 对于 HQ-SRV1,HQ-SRV2,DFS 要建立在 ISCSI 磁盘之上。

 随便写

 题目没说40g应该够

 添加客户端地址

定义双向认证

 完成

 HQ-SRV1

 

 这里弄正向用户和密码

 

 查看：

HQ-DC

 HQ-SRV1

HQ-SRV2

 客户端挂载在磁盘上

 HQ-SRV2

 6. 分布式文件系统

 在 HQ-SRV1 与 HQ-SRV2 上安装 DFS。

 创建 DFS 命名空间为 HQ。

 隐藏无权限文件夹在 DFS 命名空间。

 创建题目所需要的文件夹，并且启用 DFSR 技术在文件夹。

 在 region 文件夹启用资源控制，将含有 order 字符的文档进行加密，仅允许 A dministrator@worldskills.ts 用户访问。

 限制 user profiles 以及 home folders 不允许存储任何 bat 文件。

 对 home folders 文件夹启用报告管理，并于每天 12:00 将每个用户的报告以其 自己名字命名公示在 https://info.worldskills.ts/report/%username%。

 配置 home folders 的文件监控，所有含 testproject 的 word 文件，仅允许 ITS 组访问，每天 23:00 的时候进行分配权限。

•   创建 DFS 命名空间为 HQ。
•   隐藏无权限文件夹在 DFS 命名空间。

  打开"DFS管理"，右键单击创建的命名空间，选择"属性"。在高级选项卡里，勾选"对此命名空间启用基于访问权限的枚举"

  意思为：

•   创建题目所需要的文件夹，并且启用 DFSR 技术在文件夹。

 复制组委派权限 

 

 

 复制组

 组成员

 

 主要成员

 选择要复制的文件

 选择成员的文件

 

 等待大概1分钟，则文件同步过去了。