2018电大形考任务管理活动目录域

实训目标：理解域的特点，掌握创建域、管理域以及管理组织单位的方法与步骤；理解域用户账户与组账户的特点、用途，掌握管理域用户账户与组账户的方法与步骤。实训环境：6台WindowsServer2008R2企业版计算机。实训内容：假设你是一家公司的网络管理员，负责管理公司的网络。公司希望创建域来管理网络。为此，需要你执行以下工作：①按照下图1，创建域森林。图1具有两棵域树的森林②在域sh.test.com中有三个部门：销售部、培训部和技术支持部，现在需要为这三个部门分别建立组织单位，并把每个部门的10台计算机加入到各自的组织单位中。③在域bj.test.com中，为公司员工创建域用户账户，并设置域用户账户的个人信息。④对某些用户（例如：临时工），设置这些域用户账户的登录时间以及限制登录地点。⑤如果一个用户（如：john）由于生病而在一段时间内无法上班，请禁用他的域用户账户。⑥如果一个用户忘记了自己的账户密码，为其重设账户密码。⑦一个用户辞职后离开了公司，请删除该用户的用户账户。⑧创建组账户，并把一系列的用户账户加入到这个组账户中。提示：本实训需要搭建五台域控制器，如果学员实训中无法在计算机上运行这么多虚拟机，本实训可以化简为仅搭建test.com、bj.test.com、stu.net三台域控制器。内容②中对sh.test.com的操作改为对bj.test.com的操作。一、创建森林域①在此计算机上安装WindowsServer2008R2企业版。将此计算机的名称设置为dc3，当它升级为域控制器后会自动改名为dc3.bj.test.com。此计算机的IP地址和DNS服务器地址等信息按照图2所示进行配置。②以该计算机的本机管理员身份登录，然后使用以下两种方式之一安装活动目录。●单击屏幕左下角的“服务器管理器”图标，然后请转到步骤○3。●单击【开始】→【运行】，输入“dcpromo.exe”后，单击【确定】图标。此时它会自动执行步骤○3～步骤○10，所以请转到步骤○11。③在“服务器管理器”中，单击左侧的“角色”，然后单击右边的“添加角色”。④在“开始之前”窗口中，单击【下一步】按钮。⑤在“选择服务器角色”窗口中，选中【ActiveDirectory域服务】，然后在弹出的“是否添加ActiveDirectory域服务所需的功能”窗口中，单击【添加必需的功能】，最后单击【下一步】按钮。⑥在活动目录安装窗口中，单击【下一步】按钮。⑦在“ActiveDirectory域服务简介”窗口中，单击【下一步】按钮。⑧在“确认安装选择”窗口中，单击【安装】按钮。⑨在“安装结果”窗口中，单击【关闭】按钮。⑩单击【关闭该向导并启动ActiveDirectory域服务安装向导（dcpromo.exe）】⑪在“欢迎使用ActiveDirectory域服务安装向导”窗口中，单击【下一步】按钮。⑫在“操作系统兼容性”窗口中，单击【下一步】按钮。⑬如图2所示，因为是在一个已有森林中新创建子域，所以选中【现有林】和【在现有林中新建域】，然后单击【下一步】按钮。图2⑭如图3所示，在“键入位于计划安装此域控制器的林中任何域的名称”处输入森林根域的名称，即“test.com”。如果当前用户有权添加子域（例如：EnterpriseAdmins组成员），则直接单击【下一步】按钮。如果当前用户无此权限，则需要选中【备用凭据】→【设置】，然后输入一个有权添加子域的用户账户名称和密码，再单击【下一步】按钮。此时，由于我们使用本机管理员账户登录，因此需要输入EnterpriseAdmins组成员（即：test.com域管理员账户）的名称和密码作为备用凭据。提示：在图3-70中输入森林中任何一个域名都可以，安装向导只是使用它来取得这个森林的信息。只有EnterpriseAdmins组成员有权建立子域，默认时森林根域的域管理员是EnterpriseAdmins组的成员。图3⑮在图4所示窗口中，输入父域的名称（即：test.com），再输入该子域的名称（即：bj），这样，该子域的全名为“bj.test.com”。然后，单击【下一步】按钮。图5⑯如图6所示，在“设置域功能级别”窗口中，保留默认的域功能级别，即：WindowsServer2003”。以后，可以手动提升。然后，单击【下一步】按钮。图6⑰在“请选择一个站点”窗口中选择此域控制器所在的站点，目前这里只有一个默认的站点“Default-First-Site-Name”，请直接单击【下一步】按钮。⑱在“其他域控制器选项”窗口中，选择此域控制器是否还承担DNS服务器、全局编录服务器、只读域控制器的角色。在这里，我们可以清除所有选项，如图8所示。然后，单击【下一步】按钮。图8⑲在弹出的提示安装DNS服务的窗口中，单击【是】按钮。在这里，我们不需要在此域控制器上维护DNS服务，而是由森林根域的DNS服务器（dc1.test.com）来维护该子域的所有计算机信息。为此，该子域的所有计算机（包括：域控制器）都要被配置为DNS服务器“dc1.test.com”的DNS客户机。⑳在如图9所示窗口中，可以指定数据库文件夹、日志文件文件夹和SYSVOL文件的位置，在这里可保留默认值。然后，单击【下一步】按钮。图9㉑在如图10所示窗口中，设置“目录服务还原模式的Administrator密码”，然后单击【下一步】按钮。此密码在安全模式下修复活动目录时使用。图10㉒在“摘要”窗口中，单击【下一步】按钮。㉓如图11所示，在此计算机上会安装活动目录，完成后请重新启动计算机。至此，森林根域下面的子域bj.test.com创建完毕。这也意味着创建了一棵多域的域树。图11㉔为了检验这台域控制器是否已到DNS服务器那里成功注册了自己的信息，请在第一台域控制器dc1.test.com上打开DNS管理工具进行查看，如图12所示。图12二、创建森林的第二棵域树1、在DNS服务器上创建第二棵域树的DNS区域在创建第二棵域树之前，需要考虑DNS设置问题。为了简化问题，在这里我们让森林根域test.com中的DNS服务器dc1.test.com既维护第一棵域树的信息又维护第二棵域树的信息。为此，一方面需要在DNS服务器dc1.test.com上创建名为“stu.net”的DNS区域；另一方面还要把第二棵域树中所有域的所有计算机的DNS服务器地址均指向计算机dc1.test.com的IP地址，以便它们自动向其注册自己的信息。在DNS服务器dc1.test.com上创建“stu.net”区域的具体步骤为：①以域管理员的身份，在桌面上单击【开始】→【管理工具】→【DNS】，在如图13所示窗口中，右击【正向查找区域】→【新建区域】。③在“欢迎使用新建区域向导”窗口中，单击【下一步】按钮。④在如图14所示窗口中，选中【主要区域】，同时选中【在ActiveDirectory中存储区域（只有DNS服务器是可写域控制器时才可用）】。⑤在如图14所示窗口中，保留默认选项即可，然后单击【下一步】按钮。⑥如图15所示，在【区域名称】处输入第二棵域树的域名“stu.net”。然后，单击【下一步】按钮。⑦在如图16所示窗口中，保留默认选项即可。然后，单击【下一步】按钮。⑧在“正在完成新建区域向导”窗口中，单击【完成】按钮。则在DNS控制台中，能够看到该区域，如图17所示。至此，在DNS服务器上创建了一个名为“stu.net”的DNS区域。以后，第二棵域树的计算机将会把自己的信息自动注册到该DNS区域中。图13新建区域图14创建主要区域图15新建区域图16设置动态更新图17查看DNS区域2、创建第二棵域树①在图1中IP地址为192.168.10.31的计算机上安装WindowsServer2008R2企业版。将此计算机的名称设置为dc5，当它升级为域控制器后会自动改名为dc5.stu.net。此计算机的IP地址和DNS服务器地址等信息按照图1所示进行配置。②以该计算机的本机管理员身份登录，然后使用以下两种方式之一安装活动目录。●单击屏幕左下角的“服务器管理器”图标，然后请转到步骤③。●单击【开始】→【运行】，输入“dcpromo.exe”后，单击【确定】图标。此时它会自动执行步骤③～步骤⑩，所以请转到步骤⑪。③在“服务器管理器”中，单击左侧的“角色”，然后单击右边的“添加角色”。④在“开始之前”窗口中，单击【下一步】按钮。⑤在“选择服务器角色”窗口中，选中【ActiveDirectory域服务】，然后在弹出的“是否添加ActiveDirectory域服务所需的功能”窗口中，单击【添加必需的功能】，最后单击【下一步】按钮。⑥在活动目录安装窗口中，单击【下一步】按钮。⑦在“ActiveDirectory域服务简介”窗口中，单击【下一步】按钮。⑧在“确认安装选择”窗口中，单击【安装】按钮。⑨在“安装结果”窗口中，单击【关闭】按钮。⑨单击【关闭该向导并启动ActiveDirectory域服务安装向导（dcpromo.exe）】⑪在“欢迎使用ActiveDirectory域服务安装向导”窗口中，选中【使用高级模式安装】，如图18所示。然后，单击【下一步】按钮。⑫在“操作系统兼容性”窗口中，单击【下一步】按钮。⑬如图19所示，因为是在一个已有森林中创建新域树，所以同时选中【现有林】、【在现有林中新建域】和【新建域树根而不是新子域】，然后单击【下一步】按钮。图18使用高级模式安装图19创建新域树⑭如图20所示，在“键入位于计划安装此域控制器的林中任何域的名称”处输入森林根域的名称，即“test.com”。如果当前用户有权添加子域（例如：EnterpriseAdmins组成员），则直接单击【下一步】按钮。如果当前用户无此权限，则需要选中【备用凭据】→【设置】，然后输入一个有权添加子域的用户账户名称和密码，再单击【下一步】按钮。此时，由于我们使用本机管理员账户登录，因此需要输入EnterpriseAdmins组成员（即：test.com域管理员账户）的名称和密码作为备用凭据。⑮在图21所示窗口中，输入新域树的名称，即：stu.net。这意味着，该域树的树根域名称也为“stu.net”。然后，单击【下一步】按钮。图20输入域名称图21输入域名称⑯在如图22---图23所示窗口中输入域的NetBIOS名称，旧版本Windows操作系统会使用这个名称来访问该域。在这里，保留默认值，即：stu。然后，单击【下一步】按钮。图22输入域的NetBIOS名称图23选择源控制器⑰在“设置域功能级别”窗口中，保留默认的域功能级别，即：WindowsServer2003”。以后，可以手动提升。然后，单击【下一步】按钮。⑱在“请选择一个站点”窗口中选择此域控制器所在的站点，目前这里只有一个默认的站点“Default-First-Site-Name”，请直接单击【下一步】按钮。⑲在“其他域控制器选项”窗口中，选择此域控制器是否还承担DNS服务器、全局编录服务器、只读域控制器的角色。在这里，我们可以清除所有选项。然后，单击【下一步】按钮。⑳在“源域控制器”窗口中，可以设置此域控制器从哪台域控制器那里复制活动目录数据库。在这里，可以保留默认值，即：“让向导选择一个合适的域控制器”，如图24所示。然后，单击【下一步】按钮。㉑在弹出的窗口中，可以指定数据库文件夹、日志文件文件夹和SYSVOL文件的位置，在这里可保留默认值。然后，单击【下一步】按钮。㉒在弹出的窗口中，设置“目录服务还原模式的Administrator密码”，然后单击【下一步】按钮。此密码在安全模式下修复活动目录时使用。㉓此时，在该计算机上会安装活动目录，完成后请重新启动计算机。至此，森林根域下面的第二棵域树stu.net创建完毕。㉔为了检验这台域控制器是否已到DNS服务器那里成功注册了自己的信息，请在第一台域控制器dc1.test.com上打开DNS管理工具进行查看，如图24所示。图24查看DNS设置三、创建域用户账户①单击【开始】→【管理工具】→【ActiveDirector