任務(wù)1安裝VMwareWorkstation16

任務(wù)2安裝和配置WindowsServer2019項(xiàng)目背景上海某科技職業(yè)學(xué)院2022級網(wǎng)絡(luò)專業(yè)的小李進(jìn)入一家IT企業(yè)實(shí)習(xí)，成為一名網(wǎng)絡(luò)管理員。部門經(jīng)理要求小李為物理服務(wù)器安裝WindowsServer2019，于是他去請教了網(wǎng)絡(luò)專業(yè)的吳老師。吳老師要求他首先從下面三個(gè)方面來了解服務(wù)器。(1)目前主流的操作系統(tǒng)。(2)?WindowsServer2019的各個(gè)版本。(3)利用虛擬機(jī)技術(shù)構(gòu)建WindowsServer2019的方法。任務(wù)1安裝VMwareWorkstation16VMwareWorkstation虛擬機(jī)是在使用Windows或Linux的計(jì)算機(jī)上運(yùn)行的應(yīng)用程序，它可以模擬一個(gè)標(biāo)準(zhǔn)的計(jì)算機(jī)環(huán)境，和真實(shí)的計(jì)算機(jī)一樣，也有CPU、內(nèi)存、硬盤、網(wǎng)卡、USB接口等。本任務(wù)是完成VMwareWorkstation16的安裝。一、VMwareWorkstation虛擬機(jī)簡介在計(jì)算機(jī)科學(xué)中，虛擬機(jī)是指可以像物理計(jì)算機(jī)一樣運(yùn)行程序的計(jì)算機(jī)軟件，VMwareWorkstation虛擬機(jī)是一款通過軟件模擬的具有完整硬件系統(tǒng)功能的、運(yùn)行在一個(gè)完全隔離環(huán)境下的、完整的計(jì)算機(jī)系統(tǒng)。通過VMwareWorkstation虛擬機(jī)，用戶可以在一臺物理計(jì)算機(jī)上模擬出一臺或多臺虛擬機(jī)，這些虛擬機(jī)完全像真正的計(jì)算機(jī)那樣工作。對于用戶而言，VMwareWorkstation虛擬機(jī)只是運(yùn)行在物理計(jì)算機(jī)上的一個(gè)應(yīng)用程序；但是對于在VMwareWorkstation虛擬機(jī)中運(yùn)行的應(yīng)用程序而言，它就是一臺真正的計(jì)算機(jī)。VMwareWorkstation虛擬機(jī)軟件可以在計(jì)算機(jī)平臺和終端用戶之間建立一種環(huán)境，終端用戶基于這個(gè)環(huán)境來操作軟件。當(dāng)在虛擬機(jī)中進(jìn)行軟件測評時(shí)，操作系統(tǒng)可能一樣會(huì)崩潰，但是崩潰的只是虛擬機(jī)上的操作系統(tǒng)，而不是物理計(jì)算機(jī)上的操作系統(tǒng)，且使用虛擬機(jī)的快照功能可以使虛擬機(jī)恢復(fù)到安裝軟件之前的狀態(tài)。VMwareWorkstation的主要功能如下：(1)不需要分區(qū)或重開機(jī)就能在同一臺計(jì)算機(jī)中使用兩種及以上操作系統(tǒng)。(2)完全隔離并保護(hù)不同操作系統(tǒng)的操作環(huán)境及所有安裝在操作系統(tǒng)上的應(yīng)用程序和資料。(3)不同的操作系統(tǒng)之間可以進(jìn)行互動(dòng)操作。(4)具有恢復(fù)功能、快照功能、復(fù)制功能。(5)能夠設(shè)定并隨時(shí)修改操作系統(tǒng)的操作環(huán)境，如內(nèi)存、磁盤空間、周邊設(shè)備等。二、虛擬服務(wù)器虛擬服務(wù)器是在計(jì)算機(jī)上建立一臺或多臺虛擬機(jī)并由虛擬機(jī)來完成服務(wù)工作的服務(wù)器。各臺虛擬機(jī)之間完全獨(dú)立并可由用戶自行管理，虛擬并非指不存在，而是指各虛擬機(jī)是由實(shí)體的服務(wù)器延伸而來的，其硬件系統(tǒng)可以基于服務(wù)器群或單臺服務(wù)器來構(gòu)建。Internet服務(wù)器通過硬件服務(wù)器虛擬成虛擬服務(wù)器可以節(jié)省硬件成本，同時(shí)一臺虛擬服務(wù)器可以按邏輯劃分為多個(gè)服務(wù)單位，對外表現(xiàn)為多臺服務(wù)器，從而充分利用服務(wù)器硬件資源，提供多種服務(wù)。三、虛擬軟件目前主流的虛擬軟件有VMware、VirtualBox、VirtualPC和Bochs，它們都能在Windows上虛擬出多臺計(jì)算機(jī)。傳統(tǒng)的虛擬機(jī)可以模擬出其他種類的操作系統(tǒng)，但它需要模擬底層的硬件指令，所以在應(yīng)用程序運(yùn)行速度方面稍顯薄弱，這是和目前的虛擬系統(tǒng)最大的區(qū)別。VMware公司總部位于美國加州帕洛阿爾托，該公司是全球云基礎(chǔ)架構(gòu)和移動(dòng)商務(wù)解決方案廠商，提供基于VMware的解決方案，其主要涉及的業(yè)務(wù)包括數(shù)據(jù)中心改造、公有云整合等。

VMware的產(chǎn)品中，最常用的就是VMwareWorkstation。VMware的桌面產(chǎn)品非常簡單、便捷，支持目前多種主流操作系統(tǒng)，如Windows、Linux等，并且提供多平臺版本。四、VMware虛擬機(jī)的網(wǎng)絡(luò)連接模式在VMwareWorkstation中，虛擬機(jī)的網(wǎng)絡(luò)連接主要是由VMware創(chuàng)建的虛擬交換機(jī)負(fù)責(zé)實(shí)現(xiàn)的，VMware可以根據(jù)需要?jiǎng)?chuàng)建多個(gè)虛擬網(wǎng)絡(luò)。VMware的虛擬網(wǎng)絡(luò)都是以“VMnet+數(shù)字”的形式來命名的，如VMnet0、VMnet1、VMnet2。在一般情況下，虛擬機(jī)建立之后需要和宿主機(jī)通信。虛擬機(jī)可選的三種網(wǎng)絡(luò)連接模式為橋接(Bridge)模式、NAT模式和Host-only模式。(一)橋接模式橋接模式是比較容易實(shí)現(xiàn)的網(wǎng)絡(luò)連接模式。Host主機(jī)的物理網(wǎng)卡和Guest客戶機(jī)的虛擬網(wǎng)卡在VMnet0上通過虛擬網(wǎng)橋進(jìn)行連接。也就是說，Host主機(jī)的物理網(wǎng)卡和Guest客戶機(jī)的虛擬網(wǎng)卡處于同等地位，此時(shí)的客戶機(jī)就像宿主機(jī)所在網(wǎng)段上的另一臺計(jì)算機(jī)。如果宿主機(jī)存在DHCP服務(wù)器，那么宿主機(jī)和客戶機(jī)都可以通過DHCP的方式來獲取IP地址。(二)?NAT模式NAT(networkaddresstranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換)的主要任務(wù)是使虛擬機(jī)通過宿主機(jī)連接到Internet。也就是說，虛擬機(jī)自己不能連接Internet，只有通過宿主機(jī)才能連接到網(wǎng)絡(luò)。宿主機(jī)負(fù)責(zé)將虛擬機(jī)收發(fā)數(shù)據(jù)時(shí)的IP地址進(jìn)行轉(zhuǎn)換，在這種情況下，虛擬機(jī)的IP地址對外是不可見的。(三)?Host-only模式Host-only網(wǎng)絡(luò)被設(shè)計(jì)成一個(gè)與外界隔離的網(wǎng)絡(luò)。采用Host-only模式的虛擬網(wǎng)絡(luò)適配器僅對宿主機(jī)可見，并在虛擬機(jī)和宿主機(jī)系統(tǒng)之間提供網(wǎng)絡(luò)連接。相對于NAT模式而言，Host-only模式不具備NAT功能，因此在默認(rèn)情況下，使用Host-only模式的虛擬機(jī)無法連接到Internet。VMwareWorkstation虛擬機(jī)在采用Windows或Linux的計(jì)算機(jī)上運(yùn)行，可以模擬標(biāo)準(zhǔn)的計(jì)算機(jī)硬件系統(tǒng)環(huán)境。本次實(shí)驗(yàn)以VMwareWorkstation16的Windows版本為例，展示VMwareWorkstation的安裝和配置過程。(1)運(yùn)行下載好的VMwareWorkstation16Pro安裝包，當(dāng)看到虛擬機(jī)軟件的安裝向?qū)Ы缑鏁r(shí)，點(diǎn)擊“下一步”按鈕，如圖1-1所示。(2)在“最終用戶許可協(xié)議”界面中，勾選“我接受許可協(xié)議中的條款”復(fù)選框，點(diǎn)擊“下一步”按鈕，如圖1-2所示。(3)在“自定義安裝”界面中，勾選“將VMwareWorkstation控制臺工具添加到系統(tǒng)PATH”復(fù)選框，點(diǎn)擊“下一步”按鈕，如圖1-3所示。(4)在“用戶體驗(yàn)設(shè)置”界面中，取消勾選“啟動(dòng)時(shí)檢查產(chǎn)品更新”及“加入VMware客戶體驗(yàn)提升計(jì)劃”復(fù)選框，點(diǎn)擊“下一步”按鈕，如圖1-4所示。(5)在“快捷方式”界面中，選擇快捷方式的創(chuàng)建位置，點(diǎn)擊“下一步”按鈕，如圖1-5所示。(6)在“已準(zhǔn)備好安裝VMwareWorkstationPro”界面中，點(diǎn)擊“安裝”按鈕，開始安裝軟件，如圖1-6所示。(7)在“正在安裝VMwareWorkstationPro”界面中可看到軟件安裝的狀態(tài)，如圖1-7所示。(8)在“VMwareWorkstationPro安裝向?qū)б淹瓿伞苯缑?見圖1-8)中，選擇是否輸入軟件許可證密鑰。如果需要試用30天，則直接點(diǎn)擊“完成”按鈕；如果已經(jīng)購買軟件許可證，則點(diǎn)擊“許可證”按鈕。(9)在“輸入許可證密鑰”界面中，按指定格式輸入許可證密鑰，點(diǎn)擊“輸入”按鈕，如圖1-9所示。(10)返回“VMwareWorkstationPro安裝向?qū)б淹瓿伞苯缑?，直接點(diǎn)擊“完成”按鈕。至此，VMwareWorkstation16Pro安裝完成。(11)雙擊桌面中的VMwareWorkstationPro圖標(biāo)，打開VMwareWorkstation窗口的“主頁”界面，表示安裝完成，如圖1-10所示。任務(wù)2安裝和配置WindowsServer2019某公司的部門經(jīng)理要求小陳在辦公室新購置的服務(wù)器中安裝一個(gè)操作系統(tǒng)。該服務(wù)器作為辦公室的文件服務(wù)器使用，其采用的操作系統(tǒng)是公司提供的企業(yè)版WindowsServer2019。該操作系統(tǒng)進(jìn)行初始配置的要求如下：(1)計(jì)算機(jī)名稱為server01；(2)?IP地址為0；(3)子網(wǎng)掩碼為；(4)網(wǎng)關(guān)為54。一、WindowsServer2019簡介WindowsServer2019是由微軟公司在2018年11月13日發(fā)布的服務(wù)器版操作系統(tǒng)。該系統(tǒng)是基于WindowsServer2016開發(fā)的，是對WindowsNTServer的進(jìn)一步拓展應(yīng)用和延伸，是迄今為止Windows服務(wù)器體系中的重量級產(chǎn)品。WindowsServer2019與Windows10同宗同源，其提供了圖形用戶界面，具有大量與服務(wù)器相關(guān)的特性。WindowsServer2019主要用于虛擬專用服務(wù)器或服務(wù)器，可用于架設(shè)網(wǎng)站或者提供各類網(wǎng)絡(luò)服務(wù)。它具有四大重要特性：混合云、安全、應(yīng)用程序平臺和超融合基礎(chǔ)架構(gòu)。該版操作系統(tǒng)將會(huì)作為下一個(gè)長期服務(wù)頻道為企業(yè)提供服務(wù)，新版本也將繼續(xù)提高安全性并提供比以往版本更強(qiáng)大的性能。WindowsServer2019擁有全新的圖形用戶界面、強(qiáng)大的管理工具、改進(jìn)的PowerShell支持，以及在網(wǎng)絡(luò)、存儲和虛擬化方面的大量特性，且底層特意采用云設(shè)計(jì)，提供了創(chuàng)建私有云和公共云的基礎(chǔ)設(shè)施。WindowsServer2019規(guī)劃了一套完備的虛擬化平臺，不僅可以應(yīng)對多工作負(fù)載、多應(yīng)用程序、高強(qiáng)度，還可以簡單、快捷地進(jìn)行平臺管理。另外，它在保障數(shù)據(jù)和信息的高安全性、可靠性、省電、整合方面也進(jìn)行了諸多改進(jìn)。(一)?WindowsServer2019的特點(diǎn)1.超越虛擬化WindowsServer2019完全超越了虛擬化的概念，提供了一系列新增和改進(jìn)的技術(shù)，極大地發(fā)揮了云計(jì)算的潛能，其中最大的亮點(diǎn)就是私有云的創(chuàng)建。在WindowsServer2019的開發(fā)過程中，對Hyper-V的功能與特性進(jìn)行了大幅改進(jìn)，從而使其能為企業(yè)提供動(dòng)態(tài)的多租戶基礎(chǔ)架構(gòu)，企業(yè)可在靈活的IT環(huán)境下部署私有云，并能動(dòng)態(tài)響應(yīng)不斷變化的業(yè)務(wù)需求。2.功能強(qiáng)大，管理簡單WindowsServer2019可幫助IT專業(yè)人員在對云進(jìn)行優(yōu)化的同時(shí)，提供高度可用、易于管理的多服務(wù)器平臺，從而更快捷、更高效地滿足業(yè)務(wù)需求，且可以通過基于軟件的策略控制技術(shù)更好地管理系統(tǒng)，從而獲得各類收益。3.跨越云端的應(yīng)用體驗(yàn)WindowsServer2019是一套全面、可擴(kuò)展且適應(yīng)性強(qiáng)的Web應(yīng)用程序平臺，能為用戶提供足夠的靈活性，供用戶在內(nèi)部、云端、混合式環(huán)境下構(gòu)建應(yīng)用程序，并能使用一致的開放式工具。4.現(xiàn)代化的工作方式WindowsServer2019在設(shè)計(jì)上可以滿足現(xiàn)代化工作風(fēng)格的需求，幫助管理員使用智能且高效的方法提升企業(yè)環(huán)境下的用戶生產(chǎn)力，尤其是涉及集中化桌面的場景。(二)?WindowsServer2019的版本根據(jù)企業(yè)規(guī)模以及虛擬化和數(shù)據(jù)中心的要求，微軟公司將WindowsServer2019分為3個(gè)版本，即WindowsServer2019Datacenter(數(shù)據(jù)中心版)、WindowsServer2019Essentials(精華版)和WindowsServer2019Standard(標(biāo)準(zhǔn)版)。(1)?WindowsServer2019Datacenter用于特大型企業(yè)，專為高度虛擬化的基礎(chǔ)架構(gòu)設(shè)計(jì)，包括私有云和混合云環(huán)境。它提供WindowsServer2019可用的所有角色和功能，它為在相同硬件上運(yùn)行的虛擬機(jī)提供了無限的基于虛擬機(jī)的許可證，它還提供受防護(hù)的虛擬機(jī)的改進(jìn)、軟件定義網(wǎng)絡(luò)的安全性保障、WindowsDefender高級威脅的防護(hù)等功能。(2)?WindowsServer2019Essentials用于小型企業(yè)(最多包括50臺設(shè)備)，它支持兩個(gè)處理器內(nèi)核和高達(dá)64?GB的隨機(jī)存取存儲器，但不支持WindowsServer2019的許多功能，如虛擬化等。(3)?WindowsServer2019Standard用于一般企業(yè)，它提供了WindowsServer2019可用的許多角色和功能。它最多包括兩個(gè)虛擬機(jī)的許可證并支持安裝Nano服務(wù)器。(三)?WindowsServer2019的特性WindowsServer2019的四大特性如下所述。1.混合云WindowsServer2019和WindowsAdminCenter讓用戶可以更加容易地將現(xiàn)有的本地環(huán)境連接到MicrosoftAzure。使用WindowsServer2019的用戶可以更加容易地使用Azure云服務(wù)(如AzureBackup和AzureSiteRecovery等)，且隨著時(shí)間的推移，微軟公司將支持更多的服務(wù)。2.安全性保證安全性仍然是微軟公司的首要任務(wù)。從WindowsServer2016開始，微軟公司就在推進(jìn)新的安全功能，而WindowsServer2019的安全性就建立在其強(qiáng)大的基礎(chǔ)之上，并與Windows10共享了一些安全功能，如DefenderATPforServer和DefenderExploitGuard等。3.使用容器應(yīng)用平臺隨著開發(fā)人員和運(yùn)營團(tuán)隊(duì)逐漸意識到在新模型中運(yùn)營業(yè)務(wù)的好處，容器正變得越來越流行。除了在WindowsServer2016中所做的工作之外，微軟公司將一些新技術(shù)都添加到了WindowsServer2019中，這些技術(shù)包括LinuxContainersonWindows、WindowsSubsystemforLinux和對體量更小的Container的映像支持。4.超融合基礎(chǔ)架構(gòu)如果考慮改進(jìn)物理或主機(jī)服務(wù)器基礎(chǔ)架構(gòu)，就應(yīng)該考慮使用超融合基礎(chǔ)架構(gòu)。這種新的部署模型允許將計(jì)算、存儲和網(wǎng)絡(luò)整合到相同的節(jié)點(diǎn)中，從而降低基礎(chǔ)架構(gòu)的搭建成本，同時(shí)獲得更好的性能、可伸縮性和可靠性。(四)?WindowsServer2019的最低安裝要求如果計(jì)算機(jī)未達(dá)到運(yùn)行WindowsServer2019的最低硬件要求，則將無法正確安裝產(chǎn)品。實(shí)際要求因系統(tǒng)配置和所安裝應(yīng)用程序及它們的功能而異。除非另有指定，否則這些最低硬件要求適用于所有安裝選項(xiàng)(服務(wù)器核心和具有桌面體驗(yàn)的服務(wù)器)以及標(biāo)準(zhǔn)版和數(shù)據(jù)中心版。1.?CPUCPU的性能不僅取決于處理器的時(shí)鐘頻率，還取決于處理器的內(nèi)核數(shù)以及處理器的緩存大小。以下是WindowsServer2019對CPU的最低要求。(1)具有1.4?GHz64位處理器；(2)與x64指令集兼容；(3)支持禁止執(zhí)行(noeXecute，NX)和數(shù)據(jù)執(zhí)行保護(hù)(dataexecutionprevention，DEP)；(4)支持匯編語言CMPXCHG16b、LAHF/SAHF和PrefetchW；(5)支持二級地址轉(zhuǎn)換。2.?RAMWindowsServer2019對RAM的最低要求是512?MB(對于帶桌面體驗(yàn)的服務(wù)器，要求為2?GB)。當(dāng)使用支持的最低硬件參數(shù)(1個(gè)處理器核心、512?MBRAM)創(chuàng)建一臺虛擬機(jī)，嘗試在該虛擬機(jī)上安裝WindowsServer2019時(shí)，會(huì)發(fā)現(xiàn)安裝失敗。為了解決這個(gè)問題，需要執(zhí)行下列操作之一。(1)向要安裝WindowsServer2019的虛擬機(jī)分配至少800?MB的RAM。在完成安裝后，可以根據(jù)實(shí)際服務(wù)器配置更改RAM分配，最少分配量為512?MB。如果使用其他語言或更新、修改安裝程序的啟動(dòng)映像，則可能需要分配至少800?MB的RAM，否則無法完成安裝。(2)使用“Shift?+?F10”組合鍵中斷WindowsServer2019在虛擬機(jī)上的引導(dǎo)進(jìn)程。在打開的“命令提示符”窗口中，使用diskpart.exe創(chuàng)建并格式化一個(gè)安裝分區(qū)，運(yùn)行“wpeutilcreatepagefile/path=C:\pf.sys”(假設(shè)創(chuàng)建的安裝分區(qū)為CA)命令，并關(guān)閉“命令提示符”窗口繼續(xù)安裝。3.存儲控制器和磁盤空間窗口運(yùn)行WindowsServer2019的計(jì)算機(jī)必須包括符合高速外設(shè)部件互連(peripheralcomponentinterconnectexpress，PCIExpress)體系結(jié)構(gòu)規(guī)范的存儲適配器。系統(tǒng)分區(qū)對磁盤空間的最低要求是32?GB。請注意，32?GB應(yīng)視為確保成功安裝的磁盤空間的最低值。如果滿足此最低值，則能夠使用服務(wù)器核心模式安裝包含Web服務(wù)、互聯(lián)網(wǎng)信息服務(wù)(Internetinformationservices，IIS)的WindowsServer2019。服務(wù)器核心模式下的服務(wù)器比帶有GUI模式的服務(wù)器中的相同服務(wù)器大約小4?GB。如果通過網(wǎng)絡(luò)安裝系統(tǒng)，則內(nèi)存超過16?GB的計(jì)算機(jī)還需要為頁面文件、休眠文件和轉(zhuǎn)儲文件分配額外的磁盤空間。4.網(wǎng)絡(luò)適配器與WindowsServer2019一起使用的網(wǎng)絡(luò)適配器的最低要求如下：(1)以太網(wǎng)適配器的吞吐量至少為1?GB/s；(2)符合PCIExpress體系結(jié)構(gòu)規(guī)范。二、WindowsServer2019的安裝方式WindowsServer2019有多種安裝方式，分別適用于不同的環(huán)境，用戶可以根據(jù)實(shí)際需求選擇安裝方式。常見的安裝方式包括DVD光盤安裝、升級安裝、遠(yuǎn)程安裝及ServerCore安裝。本任務(wù)使用VMware虛擬機(jī)安裝WindowsServer2019。在本任務(wù)中，宿主機(jī)使用Windows10，通過VMwareWorkstation建立WindowsServer2019的虛擬機(jī)。(1)雙擊桌面上的“VMwareWorkstationPro”圖標(biāo)，如圖1-11所示，打開軟件。(2)啟動(dòng)后會(huì)打開“VMwareWorkstation”窗口，如圖1-12所示。(3)選擇“創(chuàng)建新的虛擬機(jī)”選項(xiàng)，彈出“新建虛擬機(jī)向?qū)А睂υ捒?，如圖1-13所示。(4)點(diǎn)擊“典型(推薦)”選項(xiàng)按鈕，點(diǎn)擊“下一步”按鈕，進(jìn)入“安裝客戶機(jī)操作系統(tǒng)”界面，點(diǎn)擊“稍后安裝操作系統(tǒng)”選項(xiàng)按鈕，如圖1-14所示。(5)點(diǎn)擊“下一步”按鈕，進(jìn)入“選擇客戶機(jī)操作系統(tǒng)”界面，點(diǎn)擊“MicrosoftWindows”選項(xiàng)按鈕，在版本選擇中，沒有“WindowsServer2019”，但因?yàn)?019版本和2016版本的核心相同，所以選擇WindowsServer2016，如圖1-15所示。(6)點(diǎn)擊“下一步”按鈕，進(jìn)入“命名虛擬機(jī)”界面，輸入虛擬機(jī)名稱，并設(shè)置安裝位置，如圖1-16所示。(7)點(diǎn)擊“下一步”按鈕，進(jìn)入“指定磁盤容量”界面，設(shè)置最大磁盤大小，點(diǎn)擊“將虛擬磁盤拆分成多個(gè)文件”選項(xiàng)按鈕，如圖1-17所示。(8)點(diǎn)擊“下一步”按鈕，進(jìn)入“已準(zhǔn)備好創(chuàng)建虛擬機(jī)”界面，如圖1-18所示。(9)點(diǎn)擊“完成”按鈕，返回“WindowsServer2019-VMwareWorkstation”窗口，如圖1-19所示。(10)點(diǎn)擊“編輯虛擬機(jī)設(shè)置”鏈接，彈出“虛擬機(jī)設(shè)置”對話框，選擇“硬件”選項(xiàng)卡下的“內(nèi)存”選項(xiàng)，設(shè)置內(nèi)存容量，如圖1-20所示。(11)選擇“硬件”選項(xiàng)卡下的“處理器”選項(xiàng)，設(shè)置處理器的相關(guān)參數(shù)，如圖1-21所示。(12)選擇“硬件”選項(xiàng)卡下的“硬盤”選項(xiàng)，設(shè)置硬盤的相關(guān)參數(shù)，如圖1-22所示。(13)選擇“硬件”選項(xiàng)卡下的“CD/DVD(SATA)”選項(xiàng)，設(shè)置CD/DVD(SATA)的相關(guān)參數(shù)，點(diǎn)擊“使用1SO映像文件”選項(xiàng)按鈕。點(diǎn)擊“瀏覽”按鈕，選擇下載的鏡像文件目錄，如圖1-23所示。(14)選擇“硬件”選項(xiàng)卡下的“網(wǎng)絡(luò)適配器”選項(xiàng)，設(shè)置網(wǎng)絡(luò)適配器的相關(guān)參數(shù)，如圖1-24所示。(15)選擇“硬件”選項(xiàng)卡下的“USB控制器”選項(xiàng)，設(shè)置USB控制器的相關(guān)參數(shù)，如圖1-25所示。(16)選擇“硬件”選項(xiàng)卡下的“聲卡”選項(xiàng)，設(shè)置聲卡的相關(guān)參數(shù)，如圖1-26所示。(17)選擇“硬件”選項(xiàng)卡下的“打印機(jī)”選項(xiàng)，設(shè)置打印機(jī)的相關(guān)參數(shù)，如圖1-27所示。(18)選擇“硬件”選項(xiàng)卡下的“顯示器”選項(xiàng)，設(shè)置顯示器的相關(guān)參數(shù)，如圖1-28所示。(19)點(diǎn)擊“確定”按鈕，返回“WindowsServer2019-VMwareWorkstation”窗口，進(jìn)入操作系統(tǒng)安裝狀態(tài)，如圖1-29所示。(20)按任意鍵進(jìn)行系統(tǒng)安裝，打開“Windows安裝程序”窗口，如圖1-30所示。(21)點(diǎn)擊“下一步”按鈕，進(jìn)入“現(xiàn)在安裝”界面，如圖1-31所示。(22)點(diǎn)擊“現(xiàn)在安裝”按鈕，彈出“Windows安裝程序”對話框，如圖1-32所示。(23)輸入產(chǎn)品密鑰，點(diǎn)擊“下一步”按鈕，進(jìn)入“選擇要安裝的操作系統(tǒng)”界面，如圖1-33所示。(24)選擇“WindowsServer2019Datacenter(桌面體驗(yàn))”選項(xiàng)，點(diǎn)擊“下一步”按鈕，進(jìn)入“適用的聲明和許可條款”界面，如圖1-34所示。(25)勾選“我接受許可條款”復(fù)選框，點(diǎn)擊“下一步”按鈕，進(jìn)入“你想執(zhí)行哪種類型的安裝?”界面，如圖1-35所示。(26)選擇“自定義：僅安裝Windows(高級)”選項(xiàng)，進(jìn)入“你想將Windows安裝在哪里?”界面，如圖1-36所示。(27)點(diǎn)擊“新建”按鈕，設(shè)置磁盤(分區(qū)2)容量為60?000?MB(C:\)，如圖1-37所示。(28)點(diǎn)擊“新建”按鈕，設(shè)置磁盤(分區(qū)3)容量為21?304?MB(D:\)，如圖1-38所示。(29)點(diǎn)擊“應(yīng)用”按鈕，完成磁盤分區(qū)，進(jìn)入分區(qū)完成界面，如圖1-39所示。(30)選擇相應(yīng)的分區(qū)，點(diǎn)擊“格式化”按鈕，彈出格式化分區(qū)提示對話框，如圖1-40所示。(31)點(diǎn)擊“確定”按鈕，進(jìn)入“正在安裝Windows”界面，如圖1-41所示。(32)系統(tǒng)安裝完成后，會(huì)自動(dòng)進(jìn)行重啟，并進(jìn)入“自定義設(shè)置”界面，如圖1-42所示。(33)設(shè)置管理員密碼，點(diǎn)擊“完成”按鈕，進(jìn)入登錄界面，如圖1-43所示。(34)輸入管理員密碼后進(jìn)入WindowsServer2019操作系統(tǒng)桌面，如圖1-44所示。(35)進(jìn)入WindowsServer2019操作系統(tǒng)桌面后，在“開始”菜單中找到“Windows系統(tǒng)”下的“此電腦”命令，單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“屬性”命令，打開“系統(tǒng)”窗口，如圖1-45所示。(36)在“計(jì)算機(jī)名稱、域和工作組設(shè)置”欄下，點(diǎn)擊“更改設(shè)置”鏈接，在打開的“系統(tǒng)屬性”對話框中點(diǎn)擊“更改”按鈕，然后在打開的“計(jì)算機(jī)名/域更改”對話框的“計(jì)算機(jī)名”文本框中輸入計(jì)算機(jī)的名稱“server01”，如圖1-46所示，接著依次點(diǎn)擊“確定”和“關(guān)閉”按鈕，最后選擇“立即重啟”選項(xiàng)，讓系統(tǒng)重新啟動(dòng)以完成計(jì)算機(jī)名稱的修改。(37)重新啟動(dòng)并登錄系統(tǒng)后，從“開始”菜單中選擇“Windows系統(tǒng)”下的“控制面板”命令，進(jìn)入“網(wǎng)絡(luò)和Internet”窗口，然后進(jìn)入“網(wǎng)絡(luò)和共享中心”窗口，點(diǎn)擊“Ethernet0”鏈接，打開“Ethernet0狀態(tài)”對話框，如圖1-47所示。(38)在打開的“Ethernet0”對話框中，點(diǎn)擊“屬性”按鈕，選擇“Internet協(xié)議版本4(TCP/IPv4)”選項(xiàng)，此時(shí)可以在打開的“Internet協(xié)議版本4(TCP/IPv4)屬性”對話框中配置Server01服務(wù)器的IP地址、子網(wǎng)掩碼和默認(rèn)網(wǎng)關(guān)，如圖1-48所示。(39)配置完畢后，點(diǎn)擊“確定”按鈕，完成WindowsServer2019的設(shè)置。另外，系統(tǒng)還會(huì)打開“服務(wù)器管理器”窗口，用戶可以在其中配置服務(wù)器的功能和角色。在使用虛擬機(jī)完成各種實(shí)驗(yàn)時(shí)，初學(xué)者免不了因誤操作導(dǎo)致系統(tǒng)崩潰、無法啟動(dòng)，或者在做群集的時(shí)候需要多個(gè)服務(wù)器進(jìn)行測試，如搭建FTP服務(wù)器、DHCP服務(wù)器、DNS服務(wù)器、Web服務(wù)器等。搭建服務(wù)器費(fèi)時(shí)費(fèi)力，一旦系統(tǒng)崩潰、無法啟動(dòng)，就需要重新安裝操作系統(tǒng)或部署多個(gè)服務(wù)器，利用系統(tǒng)克隆功能則可以很好地解決上述這些問題。一、系統(tǒng)克隆在虛擬機(jī)安裝好原始的操作系統(tǒng)后對其進(jìn)行克隆，可以方便日后做實(shí)驗(yàn)，也可以避免重新安裝操作系統(tǒng)，既方便又快捷。(1)進(jìn)入VMware虛擬機(jī)的主界面，關(guān)閉虛擬機(jī)中的操作系統(tǒng)，選擇要克隆的操作系統(tǒng)并單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“管理”→“克隆”命令，如圖1-49所示。(2)彈出“克隆虛擬機(jī)向?qū)А睂υ捒颍鐖D1-50所示，點(diǎn)擊“下一步”按鈕，進(jìn)入“克隆源”界面，如圖1-51所示，在此界面可以選擇“虛擬機(jī)中的當(dāng)前狀態(tài)”或“現(xiàn)有快照(僅限關(guān)閉的虛擬機(jī)”選項(xiàng)按鈕。(3)點(diǎn)擊“下一頁”按鈕，進(jìn)入“克隆類型”界面，點(diǎn)擊“創(chuàng)建完整克隆”選項(xiàng)按鈕，如圖1-52所示。(4)點(diǎn)擊“下一頁”按鈕，進(jìn)入“新虛擬機(jī)名稱”界面，輸入虛擬機(jī)名稱，設(shè)置虛擬機(jī)的安裝位置，如圖1-53所示。(5)點(diǎn)擊“完成”按鈕，進(jìn)入“正在克隆虛擬機(jī)”界面，如圖1-54所示。(6)克隆完成后，點(diǎn)擊“關(guān)閉”按鈕，返回VMware虛擬機(jī)主界面，如圖1-55所示。二、快照管理VMware快照是VMwareWorkstation的一個(gè)特色功能。當(dāng)用戶創(chuàng)建一個(gè)虛擬機(jī)快照時(shí)，它會(huì)創(chuàng)建一個(gè)特定的文件delta。delta文件是在基礎(chǔ)虛擬機(jī)磁盤格式上的變更位圖，因此，它不能增長到比VMDK還大。VMware為虛擬機(jī)創(chuàng)建一個(gè)快照的同時(shí)就會(huì)創(chuàng)建一個(gè)delta文件，當(dāng)快照被刪除或在快照管理中被恢復(fù)時(shí)，該文件將被自動(dòng)刪除。快照可以將當(dāng)前的運(yùn)行狀態(tài)保存下來，當(dāng)系統(tǒng)出現(xiàn)問題的時(shí)候，可以從快照中進(jìn)行恢復(fù)。(1)進(jìn)入VMware虛擬機(jī)主界面，啟動(dòng)虛擬機(jī)中的操作系統(tǒng)，選擇用戶要快照保存的操作系統(tǒng)并單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“快照”→“拍攝快照”命令，如圖1-56所示。(2)在彈出的對話框中輸入系統(tǒng)快照的名稱，如圖1-57所示，點(diǎn)擊“拍攝快照”按鈕，返回VMware虛擬機(jī)主界面，系統(tǒng)快照設(shè)置完成，如圖1-58所示。任務(wù)1新建本地用戶和組

任務(wù)2新建域用戶、組和組織單位項(xiàng)目背景某公司在武漢和廣州有兩個(gè)分公司，部門經(jīng)理考慮到不同部門使用公司資源的權(quán)限不同，為了簡化網(wǎng)絡(luò)管理，要求武漢分公司的網(wǎng)絡(luò)管理員小王在該公司域服務(wù)器上設(shè)置組織單位來顯示公司的架構(gòu)，在不同的組織單位內(nèi)部設(shè)置自己員工的域賬戶，以便網(wǎng)絡(luò)管理員對用戶賬戶和公司計(jì)算機(jī)進(jìn)行管理。任務(wù)1新建本地用戶和組某公司的員工需要在服務(wù)器上通過本地用戶和組來添加用戶和組。該操作禁止在服務(wù)器上安裝域服務(wù)，如果安裝了域服務(wù)，則不能進(jìn)行本地用戶和組的創(chuàng)建。WindowsServer2019要求所有用戶都要登錄才能訪問本地和網(wǎng)絡(luò)資源。Windows通過實(shí)施交互式登錄過程(提供用戶身份驗(yàn)證)來保護(hù)資源。一、默認(rèn)本地用戶和組WindowsServer2019操作系統(tǒng)安裝完成以后，有四個(gè)默認(rèn)的本地用戶賬戶。管理員可以根據(jù)需要進(jìn)行本地賬戶和組的創(chuàng)建。默認(rèn)的本地賬戶和創(chuàng)建的本地用戶賬戶在“計(jì)算機(jī)管理”窗口中顯示，如圖2-1所示的為默認(rèn)的本地用戶賬戶。表2-1描述了默認(rèn)本地用戶賬戶Administrator和Guest的特點(diǎn)。默認(rèn)的本地組是在安裝操作系統(tǒng)時(shí)自動(dòng)創(chuàng)建的，如圖2-2所示。如果一個(gè)用戶屬于某個(gè)本地組，則該用戶就具有在本地計(jì)算機(jī)上執(zhí)行某種任務(wù)的權(quán)利和能力。管理員可以向本地組添加本地用戶賬戶、域用戶賬戶、計(jì)算機(jī)賬戶以及組賬戶。表2-2提供了部分默認(rèn)組的描述以及每個(gè)組的默認(rèn)用戶權(quán)限。這些用戶權(quán)限是在本地安全策略中分配的。二、創(chuàng)建本地用戶和組本地用戶和組位于“計(jì)算機(jī)管理”窗口中，用戶可以使用該窗口中的管理工具來管理單個(gè)本地或遠(yuǎn)程計(jì)算機(jī)；可以使用本地用戶和組保護(hù)并管理存儲在本地計(jì)算機(jī)上的用戶賬戶和組；可以在特定計(jì)算機(jī)上(只能是這臺計(jì)算機(jī))分配本地用戶賬戶或組賬戶的權(quán)限和權(quán)利。本地用戶和組可以為用戶和組分配權(quán)限和權(quán)利，從而限制用戶和組執(zhí)行某些操作的能力。權(quán)利的作用是授權(quán)用戶在計(jì)算機(jī)上執(zhí)行某些操作，如備份文件和文件夾或關(guān)機(jī)。權(quán)限是與對象(通常文件、文件夾或打印機(jī))相關(guān)聯(lián)的一種規(guī)則，它規(guī)定哪些用戶可以訪問該對象以及以何種方式訪問。其他注意事項(xiàng)(也適用于域用戶的創(chuàng)建)如下：(1)若要?jiǎng)?chuàng)建本地用戶和組，必須提供在本地計(jì)算機(jī)上Administrator的憑據(jù)，或創(chuàng)建本地用戶和組的必須是本地計(jì)算機(jī)上管理員組的成員。(2)用戶名不能與被管理的計(jì)算機(jī)上任何其他用戶名或組名相同。用戶名最多可以包含20個(gè)大寫字符或小寫字符(除?"/\[]:;|=,+*?<>@外)，并且用戶名不能只由句點(diǎn)(.)或空格組成。(3)在“密碼”和“確認(rèn)密碼”文本框中，可以輸入不超過127個(gè)字符的密碼。(4)使用強(qiáng)密碼和合適的密碼策略有利于保護(hù)計(jì)算機(jī)免受攻擊。三、管理本地用戶賬戶(一)重設(shè)用戶密碼當(dāng)忘記用戶密碼時(shí)，可以使用Administrator賬戶重置密碼，過程如圖2-3和圖2-4所示。(二)重命名賬戶由于賬戶的所有權(quán)限、信息、屬性等實(shí)際上是綁定在SID上而不是在用戶名上的，因此對賬戶重命名并不會(huì)影響賬戶自身的任何用戶權(quán)限。如果公司中有員工離職，同時(shí)該崗位還需要招聘新員工，則可以不刪除實(shí)際離職員工的賬戶，只需要通過重命名的方式直接將賬戶傳遞給新員工使用，這樣可以保證用戶賬戶數(shù)據(jù)不受損失。另外，重命名系統(tǒng)管理員賬戶Administrator和來賓賬戶Guest，可以使未授權(quán)的人員在輸入用戶名和密碼時(shí)增加難度，提高系統(tǒng)安全性，如圖2-5所示。(三)刪除賬戶假如公司有員工離職了，為了防止其繼續(xù)使用賬戶登錄計(jì)算機(jī)系統(tǒng)，也為了避免出現(xiàn)太多的垃圾賬戶，系統(tǒng)管理員可以采取刪除賬戶的方式來回收該賬戶，但在執(zhí)行刪除操作之前應(yīng)確認(rèn)其必要性，因?yàn)閯h除賬戶的操作是不可逆的，會(huì)導(dǎo)致與該賬戶有關(guān)的所有信息丟失。每個(gè)賬戶都有一個(gè)除名稱之外的唯一的標(biāo)識符SID，SID在新增賬戶時(shí)由系統(tǒng)自動(dòng)產(chǎn)生，不同賬戶的SID也不相同。由于系統(tǒng)在設(shè)置用戶的權(quán)限、訪問控制列表中的資源訪問能力等信息時(shí)，內(nèi)部都使用SID，因此一旦用戶賬戶被刪除，這些信息也就跟著消失了。即使重新創(chuàng)建一個(gè)名稱相同的用戶賬戶，也不能獲得原來用戶賬戶的權(quán)限。系統(tǒng)內(nèi)置賬戶是無法刪除的。刪除用戶賬戶過程如圖2-6和圖2-7所示。(四)禁用賬戶禁用lishi用戶，想要取消禁用該用戶，將“l(fā)ishi屬性”對話框中“賬戶已禁用”復(fù)選框取消勾選即可，如圖2-8所示。創(chuàng)建本地用戶zhangsan、lishi和本地組sales，并將zhangsan和lishi用戶加入sales組中。(1)選擇“服務(wù)器管理器”→“工具”→“計(jì)算機(jī)管理”選項(xiàng)，打開“計(jì)算機(jī)管理”窗口，如圖2-9所示。(2)右擊“用戶”選項(xiàng)，在彈出的快捷菜單中選擇“新用戶”命令，打開“新用戶”對話框，輸入用戶名和密碼，如圖2-10所示。(3)根據(jù)上述操作，創(chuàng)建lishi。(4)在如圖2-11所示的“計(jì)算機(jī)管理”窗口中，右擊“組”選項(xiàng)，在彈出的快捷菜單中選擇“新建組”命令，打開“新建組”對話框，如圖2-12所示，按照圖中的步驟進(jìn)行操作，并同時(shí)將所有屬于該組的用戶添加進(jìn)去。任務(wù)2新建域用戶、組和組織單位在域服務(wù)器中新建域用戶和組，將域用戶加入不同的組中；新建組織單位，在組織單位內(nèi)部新建下一級的組織單位，并在某個(gè)組織單位內(nèi)部新建域用戶和組。一、域用戶和組ActiveDirectory域用戶賬戶代表物理實(shí)體，如人員。管理員可以將用戶賬戶用作某些應(yīng)用程序的專用服務(wù)賬戶。用戶賬戶也被稱為安全主體，安全主體是指自動(dòng)為其分配安全標(biāo)識符(SID)的目錄對象，這些對象可用于訪問域資源。用戶賬戶主要的作用如下：(1)驗(yàn)證用戶的身份。用戶可以使用能夠通過域身份驗(yàn)證的身份登錄計(jì)算機(jī)或域。每個(gè)登錄到網(wǎng)絡(luò)的用戶都應(yīng)該有唯一的賬戶和密碼。為了最大限度地保證安全，要避免多個(gè)用戶共享同一個(gè)賬戶。(2)授權(quán)或拒絕對域資源的訪問。在驗(yàn)證用戶身份之后，為該用戶授予訪問域資源的權(quán)限或拒絕該用戶對域資源的訪問。(一)默認(rèn)域用戶和組1.域用戶ActiveDirectory用戶和“計(jì)算機(jī)管理”窗口中的“用戶”容器顯示了兩種不同的內(nèi)置用戶賬戶：Administrator和Guest。這些內(nèi)置用戶賬戶是在創(chuàng)建域時(shí)自動(dòng)創(chuàng)建的。每個(gè)內(nèi)置用戶賬戶都有不同的權(quán)限組合。Administrator賬戶在域內(nèi)具有最大的權(quán)限，而Guest賬戶則具有有限的權(quán)限。如果網(wǎng)絡(luò)管理員沒有修改或禁用內(nèi)置用戶賬戶的權(quán)限，惡意用戶(或服務(wù))就會(huì)使用這些權(quán)限通過Administrator賬戶或Guest賬戶非法登錄域。保護(hù)這些賬戶的一種較好的安全操作是重命名或禁用它們。由于重命名的用戶賬戶會(huì)保留其SID，因此也會(huì)保留其他所有屬性，如說明、密碼、組成員身份、用戶配置文件、賬戶信息以及任何已分配的權(quán)限和用戶權(quán)利。若要擁有用戶身份驗(yàn)證和授權(quán)的安全優(yōu)勢，則可通過“ActiveDirectory用戶和計(jì)算機(jī)”窗口為所有加入網(wǎng)絡(luò)的用戶創(chuàng)建單獨(dú)的用戶賬戶，然后將各個(gè)用戶賬戶添加到組以控制分配給該賬戶的權(quán)限。加入該組的用戶可以識別網(wǎng)絡(luò)，擁有權(quán)限訪問資源。通過設(shè)置強(qiáng)密碼和實(shí)施賬戶鎖定策略，可以幫助減少域抵御攻擊。強(qiáng)密碼會(huì)減少智能密碼猜測和字典攻擊的危險(xiǎn)；賬戶鎖定策略會(huì)減少攻擊者通過重復(fù)登錄企圖危及用戶所在域安全的可能性；賬戶鎖定策略將確定用戶賬戶在禁用之前嘗試登錄的失敗次數(shù)。每個(gè)ActiveDirectory用戶賬戶都有許多賬戶選項(xiàng)，這些選項(xiàng)將確定如何對使用該特定用戶賬戶登錄網(wǎng)絡(luò)的人員進(jìn)行身份驗(yàn)證。管理員可以使用表2-3中的選項(xiàng)為用戶賬戶設(shè)置密碼和安全特定信息。2.域中組組是指用戶與計(jì)算機(jī)賬戶、聯(lián)系人以及其他可以作為單個(gè)單位管理的組的集合，屬于特定組的用戶和計(jì)算機(jī)被稱為組成員。ActiveDirectory域服務(wù)中的組都是駐留在域和組織單位容器對象中的目錄對象。ADDS在安裝時(shí)會(huì)提供一組默認(rèn)組。ADDS中的組可以執(zhí)行以下操作。(1)通過將共享資源的權(quán)限分配給組，而不是單個(gè)用戶來簡化管理。將權(quán)限分配給組時(shí)，也會(huì)將對資源的相同訪問權(quán)限分配給該組的所有成員。(2)通過組策略將用戶權(quán)限一次性分配給組來進(jìn)行委派管理，然后可以向組中添加成員與組具有相同的權(quán)利。(3)創(chuàng)建電子郵件分發(fā)列表。組的特征體現(xiàn)在它的作用域和類型上，組作用域確定了組在域樹或林內(nèi)的應(yīng)用程度。此外，還存在無法修改或查看其成員身份的組，這些組被稱為特殊身份組。根據(jù)不同環(huán)境，它們代表了不同時(shí)間內(nèi)的不同用戶。例如，Everyone組代表所有當(dāng)前網(wǎng)絡(luò)用戶的特殊身份組，包括來自其他域的來賓和用戶。圖2-13所示為系統(tǒng)安裝后默認(rèn)的域用戶和組。組的特征體現(xiàn)在用來標(biāo)識組在域樹或林中的應(yīng)用程度的作用域。有三個(gè)組作用域：本地域組、全局組和通用組。1)本地域組本地域組的成員可以包括域中的其他組和用戶賬戶，管理員僅能在域內(nèi)為這些組的成員分配權(quán)限。具有本地域作用域的組可幫助用戶定義和管理單一域內(nèi)的資源訪問權(quán)限。這些組的成員可以包括下列組。(1)具有全局作用域的組；(2)具有通用作用域的組；(3)賬戶；(4)具有本地域作用域的其他組；(5)上述任意組的組合。2)全局組全局組的成員只包括組定義所在域的其他組和用戶賬戶，管理員可以在林中的任何域?yàn)檫@些組成員分配權(quán)限。使用具有全局作用域的組來管理需要進(jìn)行日常維護(hù)的目錄對象，如用戶和計(jì)算機(jī)賬戶。由于具有全局作用域的組在自己的域外不會(huì)被復(fù)制，因此用戶可以經(jīng)常更改具有全局作用域的組中的賬戶，而不會(huì)對全局編錄產(chǎn)生重復(fù)流量。當(dāng)用戶對復(fù)制到全局編錄的域目錄對象指定權(quán)限時(shí)，強(qiáng)烈建議使用全局組或通用組，而不要使用本地域組。3)通用組通用組的成員可以包括域樹或林中的任何域的其他組和用戶賬戶，管理員可以在域樹或林中的任何域?yàn)檫@些組成員分配權(quán)限?？梢允褂镁哂型ㄓ米饔糜虻慕M來合并跨域的組。因此，管理員可向具有全局作用域的組中添加賬戶，并在具有通用作用域的組內(nèi)嵌套這些組。使用此作用域時(shí)，對具有全局作用域的組成員身份的任何更改都不會(huì)影響具有通用作用域的組。不要經(jīng)常更改具有通用作用域的組的成員身份，對這類組的成員身份的任何更改都會(huì)導(dǎo)致該組的全部成員身份被復(fù)制到林中的各個(gè)全局編錄中。ADDS中有兩種組類型：安全組和通信組。管理員可以使用通信組來創(chuàng)建電子郵件分發(fā)列表，而使用安全組來分配共享資源的權(quán)限。共享權(quán)限與用戶權(quán)限不同。權(quán)限用于確定可以訪問共享資源的對象，并確定訪問級別，如“完全控制”。管理員可以使用安全組來管理共享資源的訪問和權(quán)限的設(shè)置。系統(tǒng)將自動(dòng)分配某些域?qū)ο笊显O(shè)置的權(quán)限，以允許針對默認(rèn)安全組的各種訪問級別。與通信組類似，安全組也可以用作電子郵件實(shí)體。將電子郵件發(fā)送到組時(shí)，也會(huì)將該郵件發(fā)送到該組的所有成員。(二)創(chuàng)建域用戶和組如果要管理域用戶，需要在ActiveDirectory域服務(wù)中創(chuàng)建用戶賬戶。若要執(zhí)行此過程，則創(chuàng)建的用戶賬戶必須是ActiveDirectory域服務(wù)中AccountOperators組、DomainAdmins組或EnterpriseAdmins組的成員，或者必須被委派了適當(dāng)?shù)臋?quán)限。從安全角度來考慮，可以使用“運(yùn)行身份”來執(zhí)行此過程。如果未分配密碼，則用戶首次登錄時(shí)(使用空白密碼)系統(tǒng)會(huì)彈出一條登錄消息，顯示“您必須在第一次登錄時(shí)更改密碼”。用戶更改密碼后，則可以登錄系統(tǒng)。如果服務(wù)的用戶賬戶的密碼已更改，則必須重置使用該用戶賬戶驗(yàn)證的服務(wù)。如果要添加組，則可以單擊要添加組的文件夾，然后點(diǎn)擊工具欄上的“新建組”圖標(biāo)。完成此過程，最低需要使用AccountOperators組、DomainAdmins組、EnterpriseAdmins組或類似組中的成員身份。二、組織單位(一)組織單位概述域中包含的一種特別有用的目錄對象類型是組織單位(OU)。OU是一個(gè)ActiveDirectory容器，用于放置用戶、組、計(jì)算機(jī)和其他OU。OU不能包含來自其他域中的對象。OU是可以向其分配組策略設(shè)置或委派管理權(quán)力的最小作用域或單位。管理員使用OU可以在域中創(chuàng)建表示組織的層次結(jié)構(gòu)、邏輯結(jié)構(gòu)的容器，然后可以根據(jù)組織模型管理賬戶及配置和使用資源。OU可以包含其他OU。管理員可以根據(jù)需要將OU的層次結(jié)構(gòu)擴(kuò)展為模擬域中組織的層次結(jié)構(gòu)。使用OU有助于最大限度地減少網(wǎng)絡(luò)所需的域數(shù)目。管理員可以使用OU創(chuàng)建能夠縮放到任意大小的管理模型，可以具有對域中的所有OU或單個(gè)OU的管理權(quán)利。一個(gè)OU的管理員不一定對域中的任何其他OU具有管理權(quán)利。(二)操作組織單位所需的權(quán)限若要新建、移動(dòng)或刪除OU，最低需要使用AccountOperators組、DomainAdmins組、EnterpriseAdmins組或類似組中的成員身份。如果選定的OU包含其他對象，則“ActiveDirectory用戶和計(jì)算機(jī)”窗口會(huì)提示用戶繼續(xù)或取消移動(dòng)或刪除操作。如果選擇繼續(xù)，則OU中的所有對象都會(huì)被移動(dòng)或刪除。(三)刪除組織單位的權(quán)限不足(1)在刪除創(chuàng)建的組織單位時(shí)，可能會(huì)報(bào)錯(cuò)，如圖2-14所示。下面我們來解決該問題。操作：選擇“查看”→“高級功能”命令，然后在彈出的對話框中選中要?jiǎng)h除的組織單位，單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“屬性”命令，在打開的“廣州分公司屬性”對話框中選擇“對象”選項(xiàng)卡，將“防止對象被意外刪除”復(fù)選框前面的對鉤取消，如圖2-15所示，點(diǎn)擊“確定”按鈕后，重新刪除組織單位，即可刪除。(2)重置域用戶賬戶密碼，如圖2-16所示。要完成該操作，最低需要使用AccountOperators組、DomainAdmins組、EnterpriseAdmins組或類似組中的成員身份。(3)出于安全考慮，若要防止特定用戶登錄，可以禁用而不用刪除用戶賬戶。按如圖2-17所示的操作步驟可禁用用戶賬戶。按如圖2-18所示的步驟可啟用用戶賬戶。要完成此過程，最低需要使用AccountOperators組、DomainAdmins組、EnterpriseAdmins組或類似組中的成員身份。(4)按如圖2-19所示的步驟可移動(dòng)用戶賬戶。要完成此過程，最低需要使用AccountOperators組、DomainAdmins組、EnterpriseAdmins組或類似組中的成員身份。例如，徐軍從上海銷售部調(diào)職到蘇州人力資源部，要對其賬戶xujun進(jìn)行移動(dòng)。本任務(wù)需要?jiǎng)?chuàng)建公司的組織架構(gòu)，在組織架構(gòu)中創(chuàng)建相關(guān)的用戶和組。公司的組織架構(gòu)如表2-4所示。(1)選擇“服務(wù)器管理器”→“工具”→“ActiveDirectory管理中心”選項(xiàng)，打開“ActiveDirectory管理中心”窗口，如圖2-20所示。(2)在“abc本地”選項(xiàng)上單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“新建”→“組織單位”命令，打開“創(chuàng)建組織單位：某公司”窗口，如圖2-21所示。(3)在“某公司”選項(xiàng)上單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“新建”→“組織單位”命令，如圖2-22所示。在打開的“創(chuàng)建組織單位：某公司”窗口中新建“武漢分公司”和“廣州分公司”的OU，如圖2-23所示。(4)按圖2-24所示的步驟，在“武漢分公司”和“廣州分公司”的OU內(nèi)部分別創(chuàng)建銷售部1、技術(shù)部1、人力資源部1和銷售部2、技術(shù)部2、人力資源部2的OU，結(jié)果如圖2-25所示。(5)選中“武漢分公司”→“銷售部1”選項(xiàng)，并單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“新建”→“用戶”命令，打開“新建對象-用戶”對話框，如圖2-26所示。(6)在“新建對象”→“用戶”窗口下設(shè)置用戶密碼及選項(xiàng)，如圖2-27所示。注意：在“用戶登錄名”文本框中請輸入英文字符的用戶名，最好不要使用漢字。公司管理員在設(shè)置密碼時(shí)，一般需要勾選“用戶下次登錄時(shí)須更改密碼”復(fù)選框，此處為了使用方便，勾選“密碼永不過期”復(fù)選框。(7)重復(fù)第(5)步的操作，設(shè)置其他所有的域用戶賬戶。(8)選中“武漢分公司”→“銷售部1”選項(xiàng)，并單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“新建”→“組”命令，打開“新建對象-組”對話框，如圖2-28和圖2-29所示。在圖2-29中，選擇組的作用域和組的類型，方法參見2.2.1節(jié)中的介紹。(9)將域用戶加入組有兩種方式：一種是通過“添加到組”命令直接把用戶添加到組，如圖2-30所示；另一種是通過“屬性”命令將用戶添加到組，如圖2-31所示。(10)重復(fù)上述操作，創(chuàng)建好所有的域用戶和組，并將相應(yīng)的用戶添加到對應(yīng)的組中。任務(wù)1安裝并驗(yàn)證域服務(wù)

任務(wù)2安裝并驗(yàn)證額外域控制器

任務(wù)3創(chuàng)建子域控制器

任務(wù)4域的應(yīng)用項(xiàng)目背景小趙是某公司的網(wǎng)絡(luò)管理員，剛開始管理公司的20臺計(jì)算機(jī)，用的是工作組管理模式，其網(wǎng)絡(luò)配置很輕松，幾乎不用管理。哪臺計(jì)算機(jī)有問題，就去哪臺計(jì)算機(jī)上解決，工作強(qiáng)度也不是很大。但由于公司近年快速發(fā)展，規(guī)模不斷擴(kuò)大，員工增加至幾百人，網(wǎng)絡(luò)中計(jì)算機(jī)增到500臺。小趙仍然采用同樣的管理方式，每天都很忙碌，從早到晚一直在解決網(wǎng)絡(luò)中用戶的計(jì)算機(jī)故障問題，經(jīng)常晚上加班，但問題總是解決不了。這是因?yàn)閭鹘y(tǒng)工作組的管理模式采用的是分散管理的方式，只適用于小規(guī)模的網(wǎng)絡(luò)管理，當(dāng)網(wǎng)絡(luò)中有上百臺計(jì)算機(jī)時(shí)，就需要一種更加高效的網(wǎng)絡(luò)管理方式。WindowsServer2019提供的域管理模式不僅可以很好地實(shí)現(xiàn)集中管理計(jì)算機(jī)和用戶賬戶，還可以解決其他網(wǎng)絡(luò)資源的問題。小趙可以通過域管理模式很方便地實(shí)現(xiàn)對內(nèi)網(wǎng)中的所有計(jì)算機(jī)、用戶賬號、共享資源、安全策略的集中管理，從而實(shí)現(xiàn)更加高效的網(wǎng)絡(luò)管理。通過查詢資料，小趙得知搭建域控制器的基本步驟如下：(1)添加域服務(wù)器角色。(2)將該服務(wù)器提升為域控制器。(3)將客戶端加入該域，并使用域中的資源。任務(wù)1安裝并驗(yàn)證域服務(wù)網(wǎng)絡(luò)管理員小趙需要在WindowsServer2019服務(wù)器上通過添加角色和功能向?qū)нM(jìn)行域服務(wù)器角色的安裝，在安裝過程中可以創(chuàng)建公司的主域名，并設(shè)置該服務(wù)器的IP地址為0，主機(jī)名為server01。活動(dòng)目錄是面向WindowsServer網(wǎng)絡(luò)操作系統(tǒng)的非常重要的目錄服務(wù)，目錄服務(wù)有兩方面的內(nèi)容，即目錄、與目錄相關(guān)的服務(wù)?；顒?dòng)目錄服務(wù)是WindowsServer2019的核心組件之一，為用戶管理網(wǎng)絡(luò)環(huán)境各個(gè)組成要素的標(biāo)識和關(guān)系提供了一種有力的手段。一、活動(dòng)目錄活動(dòng)目錄存儲了有關(guān)網(wǎng)絡(luò)對象的信息，包括用戶賬戶、組、計(jì)算機(jī)、打印機(jī)和共享資源等信息。活動(dòng)目錄是一種服務(wù)，而目錄數(shù)據(jù)庫所存儲的信息都是經(jīng)過事先整理的有組織、結(jié)構(gòu)化的數(shù)據(jù)信息，使用戶可以非常方便、快速地找到所需的數(shù)據(jù)，也可以非常方便地對活動(dòng)目錄中的數(shù)據(jù)進(jìn)行添加、刪除、修改、查詢等操作?；顒?dòng)目錄具有以下特點(diǎn)。(一)集中管理圖書目錄存放了圖書館的圖書信息，以便對其進(jìn)行管理，類似圖書館的圖書目錄，活動(dòng)目錄集中組織和管理網(wǎng)絡(luò)中的資源信息，用戶只需通過活動(dòng)目錄，即可方便地管理各種網(wǎng)絡(luò)資源。(二)便捷的網(wǎng)絡(luò)資源訪問活動(dòng)目錄允許用戶在第一次登錄網(wǎng)絡(luò)時(shí)就可以訪問網(wǎng)絡(luò)中的所有該用戶有權(quán)限訪問的資源，而且用戶在訪問網(wǎng)絡(luò)資源時(shí)無須知道資源所在的物理位置，就可以快速找到資源。(三)可擴(kuò)展性活動(dòng)目錄具有強(qiáng)大的可擴(kuò)展性，可以隨著公司或組織規(guī)模的增長而擴(kuò)展，從一個(gè)網(wǎng)絡(luò)對象較少的小型網(wǎng)絡(luò)環(huán)境發(fā)展成大型網(wǎng)絡(luò)環(huán)境。二、活動(dòng)目錄的邏輯結(jié)構(gòu)域是活動(dòng)目錄的核心邏輯單元，是共享同一活動(dòng)目錄的一組計(jì)算機(jī)的集合，從安全管理的角度來說，域是安全的邊界。域樹是由一組具有連續(xù)命名空間的域所組成的，域通過自動(dòng)建立的信任關(guān)系連接在一起。域林是由一棵或多棵域樹組成的，每棵域樹獨(dú)享連續(xù)的命名空間，不同域樹之間沒有命名空間的連續(xù)性，域林中第一個(gè)創(chuàng)建的域被稱為域林根域。對象是通過屬性來描述其特征的，也就是對象本身是一些屬性的集合。例如，用戶是對象，需要為用戶建立一個(gè)賬號，并在此對象內(nèi)輸入相應(yīng)的姓名、密碼和描述信息等。其中的用戶賬號就是對象，而姓名、密碼和描述信息等就是該對象的屬性。組織單位(OU)是組織也是管理一個(gè)域內(nèi)對象的容器，包容用戶賬戶、用戶組、計(jì)算機(jī)、打印機(jī)和其他的組織單位層次結(jié)構(gòu)。站點(diǎn)由一個(gè)或多個(gè)IP子網(wǎng)組成，這些子網(wǎng)通過高速網(wǎng)絡(luò)設(shè)備連接在一起。站點(diǎn)往往由企業(yè)的物理位置分布情況來決定，可以依據(jù)站點(diǎn)結(jié)構(gòu)配置活動(dòng)目錄的訪問和復(fù)制拓?fù)潢P(guān)系，使網(wǎng)絡(luò)更有效地連接，并使復(fù)制策略更合理、用戶登錄更快捷。活動(dòng)目錄中的站點(diǎn)與域是兩個(gè)完全獨(dú)立的概念，一個(gè)站點(diǎn)中可以有多個(gè)域，多個(gè)站點(diǎn)也可以位于同一個(gè)域中?；顒?dòng)目錄站點(diǎn)和服務(wù)通過使用站點(diǎn)提高大多數(shù)配置目錄服務(wù)的效率，使用活動(dòng)目錄站點(diǎn)和服務(wù)來發(fā)布站點(diǎn)，并提供有關(guān)網(wǎng)絡(luò)物理結(jié)構(gòu)的信息，從而確定如何復(fù)制目錄信息和處理服務(wù)的請求。計(jì)算機(jī)站點(diǎn)是根據(jù)其子網(wǎng)和一組已連接子網(wǎng)的位置指定的，子網(wǎng)用來為網(wǎng)絡(luò)分組，類似于生活中使用郵政編碼來劃分地址。劃分子網(wǎng)可方便地發(fā)送有關(guān)網(wǎng)絡(luò)與目錄連接的物理信息，且同一子網(wǎng)中計(jì)算機(jī)的連接情況通常優(yōu)于不同網(wǎng)絡(luò)中計(jì)算機(jī)的連接情況?；顒?dòng)目錄域服務(wù)中的域和林功能，提供了一種可以在網(wǎng)絡(luò)環(huán)境中啟用全域或全林活動(dòng)目錄功能的方法。不同的網(wǎng)絡(luò)環(huán)境，則有不同級別的域功能和林功能。三、活動(dòng)目錄的物理結(jié)構(gòu)活動(dòng)目錄的物理結(jié)構(gòu)的作用是側(cè)重于網(wǎng)絡(luò)的配置和優(yōu)化，物理結(jié)構(gòu)的三個(gè)重要概念是域控制器、只讀域控制器和全局編錄服務(wù)器。(一)域控制器域控制器是指安裝了活動(dòng)目錄的WindowsServer2019服務(wù)器，它保存了活動(dòng)目錄信息的副本。域控制器管理目錄信息的變化，并把這些變化復(fù)制到同一個(gè)域中的其他域控制器上，使各個(gè)域控制器上的目錄信息同步。域控制器負(fù)責(zé)用戶的登錄以及其他與域有關(guān)的操作，如身份鑒定、目錄信息查找等。一個(gè)域可以有多個(gè)域控制器。域控制器沒有主次之分，采用主機(jī)復(fù)制模式，每一個(gè)域控制器都有一個(gè)可寫入的目錄副本，這為目錄信息容錯(cuò)帶來了無盡的好處。盡管在某個(gè)時(shí)刻，不同的域控制器中的目錄信息可能有所不同，但一旦活動(dòng)目錄中的所有域控制器執(zhí)行同步操作，所有的變化就會(huì)同步一致。(二)只讀域控制器只讀域控制器的ADDS數(shù)據(jù)庫只可以被讀取，不可以被修改，也就是說，用戶或應(yīng)用程序無法直接修改只讀域控制器的ADDS數(shù)據(jù)庫。只讀域控制器的ADDS數(shù)據(jù)庫的內(nèi)容只能夠從其他可讀寫的域控制器中復(fù)制。只讀域控制器主要設(shè)計(jì)給遠(yuǎn)程分公司的網(wǎng)絡(luò)使用，因?yàn)橐话銇碚f，遠(yuǎn)程分公司的網(wǎng)絡(luò)規(guī)模比較小、用戶人數(shù)比較少，相關(guān)的安全措施或許并不如總公司完備，也可能缺乏IT人員，因此采用只讀域控制器可避免因其ADDS數(shù)據(jù)庫被破壞而影響整個(gè)ADDS環(huán)境。(三)全局編錄服務(wù)器盡管活動(dòng)目錄支持多主機(jī)復(fù)制模式，但由于復(fù)制會(huì)引起通信流量以及網(wǎng)絡(luò)潛在的沖突，變化的傳播并不一定能夠順利進(jìn)行，因此有必要在域控制器中指定全局編錄服務(wù)器及操作主機(jī)。全局編錄是一個(gè)信息倉庫，包含活動(dòng)目錄中所有對象的部分屬性查詢過程中訪問最頻繁的屬性。利用這些信息，可以定位任何一個(gè)對象實(shí)際所在的位置。全局編錄服務(wù)器是一個(gè)域控制器，它保存了全局編錄的一個(gè)副本，并執(zhí)行對全局編錄的查詢操作。全局編錄服務(wù)器可以提高活動(dòng)目錄中大范圍內(nèi)檢索對象的效率。例如，在域林中查詢所有的打印機(jī)操作時(shí)，如果沒有全局編錄服務(wù)器，那么必須調(diào)動(dòng)域林中每一個(gè)域的查詢過程。如果域中只有一個(gè)域控制器，那么它就是全局編錄服務(wù)器；如果域林中有多個(gè)域控制器，那么管理員必須把其中一個(gè)域控制器配置為全局編錄服務(wù)器。四、工作組模式與域模式企業(yè)網(wǎng)絡(luò)中，計(jì)算機(jī)管理模式有兩種，即工作組模式與域模式，它們的區(qū)別與聯(lián)系如下所述。(一)工作組模式工作組(workgroup)是最常見、最簡單、最普通的資源管理模式，就是將不同的計(jì)算機(jī)按功能分別列入不同的組中，以方便管理。工作組中的每臺計(jì)算機(jī)的地位都是平等的。將計(jì)算機(jī)加入工作組的方法很簡單，以Windows10為例，在桌面上選擇“此電腦”圖標(biāo)并單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“屬性”命令，在“計(jì)算機(jī)名、域和工作組設(shè)置”選項(xiàng)組中，點(diǎn)擊“更改設(shè)置”鏈接，隨后彈出“系統(tǒng)屬性”對話框，在“系統(tǒng)屬性”對話框中點(diǎn)擊“更改”按鈕，隨后彈出“計(jì)算機(jī)名/域更改”對話框，點(diǎn)擊“工作組”單選按鈕，輸入要加入的工作組名稱，如圖3-1所示，點(diǎn)擊“確定”按鈕，按要求重新啟動(dòng)計(jì)算機(jī)后，計(jì)算機(jī)即被加入工作組。(二)域模式域是安全邊界的界定，用于劃分一個(gè)相互信任的區(qū)域。在域模式下，至少有一臺服務(wù)器負(fù)責(zé)接入網(wǎng)絡(luò)的每一臺計(jì)算機(jī)和每一個(gè)用戶的驗(yàn)證工作，這臺服務(wù)器被稱為域控制器。域控制器上存儲了有關(guān)網(wǎng)絡(luò)對象的信息，這些對象包括用戶、用戶組、計(jì)算機(jī)、域、組織單位、文件、打印機(jī)、應(yīng)用程序、服務(wù)器及安全策略等，這些信息由域控制器統(tǒng)一集中管理。當(dāng)計(jì)算機(jī)接入網(wǎng)絡(luò)時(shí)，域控制器首先要驗(yàn)證這臺計(jì)算機(jī)是否屬于這個(gè)域、用戶使用的登錄賬號是否存在及密碼是否匹配。如果以上信息有一項(xiàng)不正確，則域控制器會(huì)拒絕這個(gè)用戶從這臺計(jì)算機(jī)登錄。如果不能登錄，則用戶不能訪問服務(wù)器上有權(quán)限保護(hù)的資源，這樣就在一定程度上保護(hù)了網(wǎng)絡(luò)中的資源。如果用戶能夠成功登錄域，則域控制器會(huì)將配置好的權(quán)限授予用戶，用戶可以在合法權(quán)限范圍內(nèi)訪問域內(nèi)的資源。在工作組模式下，計(jì)算機(jī)處于獨(dú)立狀態(tài)，登錄用戶賬號和管理計(jì)算機(jī)均須在每臺計(jì)算機(jī)上進(jìn)行，當(dāng)計(jì)算機(jī)超過20臺時(shí)，對其的管理將變得困難，并且需要為用戶創(chuàng)建更多的訪問網(wǎng)絡(luò)資源的賬號，用戶要記住多個(gè)訪問不同資源的賬號。而在域模式下，用戶只需記住一個(gè)域賬號，即可登錄并訪問域中的資源。此外，管理員通過組策略可以輕松配置用戶的桌面工作環(huán)境和加強(qiáng)計(jì)算機(jī)的安全設(shè)置，域模式下所有的域賬號信息都保存在域控制器的活動(dòng)目錄數(shù)據(jù)庫中。活動(dòng)目錄協(xié)助中大型組織為用戶提供可靠的工作環(huán)境和最高層的可靠性和效能，并提供安全的環(huán)境讓IT人員可以更容易工作。使用活動(dòng)目錄是因?yàn)橛性S多應(yīng)用程序和服務(wù)使用不同的用戶名和密碼，并且還要由每個(gè)應(yīng)用程序來單獨(dú)管理。例如，在Windows中，網(wǎng)絡(luò)、郵箱、遠(yuǎn)程訪問、業(yè)務(wù)系統(tǒng)等都有自己的用戶名和密碼。使用活動(dòng)目錄之后，系統(tǒng)管理員可以將用戶加入活動(dòng)目錄域，使用同一目錄進(jìn)行單點(diǎn)登錄。一旦用戶登錄Windows，其域的用戶名和密碼就是鑰匙，可自動(dòng)解鎖所有已啟用的應(yīng)用程序或服務(wù)，包括Windows融合式驗(yàn)證的第三方應(yīng)用程序。通過建立用戶賬號、郵箱和應(yīng)用程序之間的鏈接，活動(dòng)目錄簡化了新增、修改和刪除用戶賬號的工作。當(dāng)員工離職或信息發(fā)生改變時(shí)，在活動(dòng)目錄中做一次變更即可變更所有應(yīng)用程序和服務(wù)的相關(guān)信息；當(dāng)用戶在活動(dòng)目錄中變更其密碼時(shí)，不必記住其他應(yīng)用程序的不同密碼；當(dāng)建立用戶群組后，用戶發(fā)送電子郵件給該組即可將電子郵件傳送到該組中所有的用戶；系統(tǒng)管理員根據(jù)所創(chuàng)建的組名設(shè)置不同的權(quán)限，允許對資源的安全存取?；顒?dòng)目錄統(tǒng)一管理帶來的好處還體現(xiàn)在以下幾方面。(1)提高員工工作效率，增加產(chǎn)能。IT管理人員不需到每個(gè)客戶端上進(jìn)行操作，用戶不用中斷工作。(2)減輕IT系統(tǒng)管理的負(fù)擔(dān)。IT管理人員不需要花費(fèi)時(shí)間到每臺計(jì)算機(jī)上安裝軟件或更新軟件，可以使用組策略進(jìn)行批量更新。(3)改善容量以便將停機(jī)概率降到最低，加強(qiáng)安全性管理；對密碼策略、軟件配置、安全設(shè)置進(jìn)行統(tǒng)一管理，提高系統(tǒng)安全性。(三)工作組模式和域模式的對比工作組模式和域模式的對比，如表3-1所示。在安裝域服務(wù)器之前應(yīng)該先進(jìn)行規(guī)劃，明確IP地址的分配方案。例如，在此任務(wù)中，主域名為，IP地址為0，主機(jī)名為server0l。用于驗(yàn)證的客戶機(jī)的IP地址為0，主機(jī)名為win10。一、活動(dòng)目錄安裝先安裝WindowsServer2019服務(wù)器的活動(dòng)目錄，再將其升級為域控制器并建立域，相關(guān)操作如下：(1)在桌面上選擇“此電腦”圖標(biāo)并單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“管理”命令，打開“服務(wù)器管理器”窗口，如圖3-2所示，在窗口右上角選擇“管理”“添加角色和功能”命令，然后打開“添加角色和功能向?qū)А贝翱?，如圖3-3所示。(2)點(diǎn)擊“下一步”按鈕，進(jìn)入“選擇安裝類型”界面，如圖3-4所示，點(diǎn)擊“基于角色或基于功能的安裝”選項(xiàng)按鈕，通過添加角色、角色服務(wù)或功能來配置單個(gè)服務(wù)器，單擊“下一步”按鈕，進(jìn)入“選擇目標(biāo)服務(wù)器”界面，如圖3-5所示。(3)點(diǎn)擊“從服務(wù)器池中選擇服務(wù)器”選項(xiàng)按鈕，在服務(wù)器池中選擇相應(yīng)的服務(wù)器，點(diǎn)擊“下一步”按鈕，進(jìn)入“選擇服務(wù)器角色”界面，如圖3-6所示，選擇需要安裝在所選服務(wù)器上的一個(gè)或多個(gè)角色，在“服務(wù)器角色”列表框中勾選“ActiveDirectory域服務(wù)”復(fù)選框。(4)點(diǎn)擊“下一步”按鈕，進(jìn)入“選擇功能”界面，如圖3-7所示。繼續(xù)點(diǎn)擊“下一步”按鈕進(jìn)入“ActiveDirectory域服務(wù)”界面，如圖3-8所示。(5)點(diǎn)擊“下一步”按鈕，進(jìn)入“確認(rèn)安裝所選內(nèi)容”界面，如圖3-9所示，點(diǎn)擊“安裝”按鈕，進(jìn)入“安裝進(jìn)度”界面，如圖3-10所示。(6)安裝完成后，點(diǎn)擊“關(guān)閉”按鈕，返回“服務(wù)器管理器”窗口，進(jìn)入“服務(wù)器管理器ADDS”界面，如圖3-11所示。選擇該界面右上角的“更多”選項(xiàng)，打開“所有服務(wù)器任務(wù)詳細(xì)信息”窗口，如圖3-12所示。(7)點(diǎn)擊“通知”列下的“將此服務(wù)器提升為域控制器”鏈接，打開“ActiveDirectory域服務(wù)配置向?qū)А贝翱冢鐖D3-13所示，在“部署配置”界面中，點(diǎn)擊“添加新林”選項(xiàng)按鈕，在“指定此操作的域信息”選項(xiàng)組中，設(shè)置“根域名”為，點(diǎn)擊“下一步”按鈕，進(jìn)入“域控制器選項(xiàng)”界面，如圖3-14所示。(8)選擇新林和根域的功能級別。設(shè)置不同的域功能級別主要是為了兼容不同平臺的網(wǎng)絡(luò)用戶和子域控制器，在此只能設(shè)置為“WindowsServer2016”版本的域控制器。指定域控制器功能并輸入目錄服務(wù)還原模式密碼，點(diǎn)擊“下一步”按鈕，進(jìn)入“DNS選項(xiàng)”界面，如圖3-15所示，點(diǎn)擊“下一步”按鈕，進(jìn)入“其他選項(xiàng)”界面，如圖3-16所示。(9)在“其他選項(xiàng)”界面中，輸入NetBIOS域名，點(diǎn)擊“下一步”按鈕，進(jìn)入“路徑”界面，如圖3-17所示，指定ADDS數(shù)據(jù)庫、日志文件和SYSVOL的位置，點(diǎn)擊“下一步”按鈕，進(jìn)入“查看選項(xiàng)”界面，如圖3-18所示。(10)檢查設(shè)置的相關(guān)信息，點(diǎn)擊“下一步”按鈕，進(jìn)入“先決條件檢查”界面，如圖3-19所示，查看相關(guān)結(jié)果，點(diǎn)擊“安裝”按鈕，完成ActiveDirectory域服務(wù)配置。二、驗(yàn)證ADDS的安裝ADDS安裝完成后，可以在域控制器server01上進(jìn)行以下幾個(gè)方面的驗(yàn)證。(1)?WindowsServer2019服務(wù)器啟動(dòng)時(shí)，可以看登錄界面的用戶名是否變?yōu)锳BC\Administrator，如圖3-20所示。(2)進(jìn)入操作系統(tǒng)桌面，在“開始”菜單中選擇“Windows管理工具”命令，可以查看“ActiveDirectory管理中心”“ActiveDirectory用戶和計(jì)算機(jī)”“ActiveDirectory域和信任關(guān)系”“ActiveDirectory站點(diǎn)和服務(wù)”，如圖3-21所示。(3)在操作系統(tǒng)桌面上選擇“此電腦”圖標(biāo)并單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“屬性”命令，打開“系統(tǒng)”窗口，在“計(jì)算機(jī)名、域和工作組設(shè)置”選項(xiàng)中，可以看到計(jì)算機(jī)全名為server01.abc.oom、域?yàn)閍bc.oom如圖3-22所示。(4)在操作系統(tǒng)桌面上選擇“此電腦”圖標(biāo)并單擊鼠標(biāo)右鍵，在彈出的快速菜單中選擇“管理”命令，打開“服務(wù)器管理器”窗口，選擇“ADDS”選項(xiàng)，可以查看服務(wù)器管理器ADDS的相關(guān)信息，如圖3-23所示。三、將客戶端加入活動(dòng)目錄當(dāng)網(wǎng)絡(luò)中的第一臺域控制器創(chuàng)建完成后，對應(yīng)服務(wù)器將扮演域控制器的角色，而其他主機(jī)需要加入活動(dòng)目錄作為域內(nèi)成員接受域控制器的集中管理。將客戶端加入活動(dòng)目錄可以通過在客戶端上手動(dòng)配置或者使用腳本文件來完成。為了便于活動(dòng)目錄對客戶端進(jìn)行統(tǒng)一管理，需要配置客戶端處于域模式下。下面以Windows10客戶端(0/24)加入域(0/24)為例開始實(shí)施過程。(1)配置Windows10客戶端的IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)地址、DNS服務(wù)器的IP地址等相關(guān)信息，如圖3-24所示，測試客戶端與域控制器的連通性，如圖3-25所示。(2)將客戶端(WIN10-user01)加入域中。在客戶端桌面上選擇“此電腦”圖標(biāo)并單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“屬性”命令，點(diǎn)擊“重命名這臺電腦”鏈接，彈出“計(jì)算機(jī)名/域更改”對話框，在“隸屬于”選項(xiàng)組中，輸入該客戶端所要加入的域名()，如圖3-26所示。(3)點(diǎn)擊“確定”按鈕，彈出“Windows安全中心”對話框，如圖3-27所示，輸入有權(quán)限加入該域的用戶名稱和密碼(WindowsServer2019域的用戶和密碼)，點(diǎn)擊“確定”按鈕，彈出“