Windows Server 網(wǎng)絡(luò)操作系統(tǒng)項目教程（Windows Server 2022）（微課版）（第3版） 課件全套 楊云 項目1-7 認識網(wǎng)絡(luò)操作系統(tǒng)- 配置與管理DNS服務(wù)器

項目1認識網(wǎng)絡(luò)操作系統(tǒng)某高校組建了學(xué)校的校園網(wǎng)，購進了滿足需要的服務(wù)器。但如何選擇一種既安全又易于管理的網(wǎng)絡(luò)操作系統(tǒng)呢？在校園網(wǎng)的建設(shè)中，推薦使用微軟公司的網(wǎng)絡(luò)操作系統(tǒng)WindowsServer2022為服務(wù)器的首選操作系統(tǒng)。2學(xué)習(xí)要點學(xué)習(xí)要點

了解網(wǎng)絡(luò)操作系統(tǒng)的概念。

掌握網(wǎng)絡(luò)操作系統(tǒng)的功能和特性。

了解典型的網(wǎng)絡(luò)操作系統(tǒng)。

掌握網(wǎng)絡(luò)操作系統(tǒng)的選用規(guī)則。素質(zhì)要點

了解“核高基”和國產(chǎn)操作系統(tǒng)，理解自主可控于我國的重大意義，激發(fā)愛國情懷和學(xué)習(xí)動力。

明確操作系統(tǒng)在新一代信息技術(shù)中的重要地位，激發(fā)科技報國的家國情懷和使命擔(dān)當(dāng)。01.網(wǎng)絡(luò)操作系統(tǒng)概述contents目錄02.認識網(wǎng)絡(luò)操作系統(tǒng)的功能和特性03.認識典型的網(wǎng)絡(luò)操作系統(tǒng)04.網(wǎng)絡(luò)操作系統(tǒng)的選用規(guī)則網(wǎng)絡(luò)操作系統(tǒng)概述古之立大事者，不惟有超世之才，亦必有堅忍不拔之志。1.1Active

Directory域服務(wù)WindowsServer2022文件服務(wù)器

WindowsServer2022客戶端計算機

Windows

10/11路由器防火墻交換機雙絞線無線端口光纖網(wǎng)絡(luò)網(wǎng)絡(luò)打印機協(xié)議TCP/IP

802.1X…….網(wǎng)絡(luò)操作系統(tǒng)網(wǎng)絡(luò)設(shè)備與鏈路協(xié)議與通信標準1.1網(wǎng)絡(luò)操作系統(tǒng)概述操作系統(tǒng)操作系統(tǒng)（OperatingSystem，OS）是計算機系統(tǒng)中負責(zé)提供應(yīng)用程序運行環(huán)境以及用戶操作環(huán)境的系統(tǒng)軟件，同時也是計算機系統(tǒng)的核心與基石。網(wǎng)絡(luò)操作系統(tǒng)概述網(wǎng)絡(luò)操作系統(tǒng)網(wǎng)絡(luò)操作系統(tǒng)（NetworkOperatingSystem，NOS）除了能實現(xiàn)單機操作系統(tǒng)的全部功能外，還具備管理網(wǎng)絡(luò)中的共享資源，實現(xiàn)用戶通信以及方便用戶使用網(wǎng)絡(luò)等功能，是網(wǎng)絡(luò)的心臟和靈魂。認識網(wǎng)絡(luò)操作系統(tǒng)的功能與特性盛年不重來，一日難再晨。及時當(dāng)勉勵，歲月不待人。1.2網(wǎng)絡(luò)操作系統(tǒng)的功能1、共享資源管理2、網(wǎng)絡(luò)通信3、網(wǎng)絡(luò)服務(wù)4、網(wǎng)絡(luò)管理5、互操作能力網(wǎng)絡(luò)操作系統(tǒng)的特性1、客戶/服務(wù)器模式2、32位/64位操作系統(tǒng)3、搶先式多任務(wù)4、支持多種文件系統(tǒng)5、Internet支持6、并行性7、開放性8、可移植性和伸縮性9、高可靠性和穩(wěn)定性10、安全性11、容錯性12、圖形化界面認識典型的網(wǎng)絡(luò)操作系統(tǒng)幸福和美好未來不會自己出現(xiàn)，成功屬于勇毅而篤行的人。1.3任務(wù)存根DNS多用戶、多任務(wù)的網(wǎng)絡(luò)操作系統(tǒng)UNIXUNIX操作系統(tǒng)是一個通用的、交互作用的分時系統(tǒng)，最早版本是由美國電報電話公司（AT&T）貝爾實驗室的K·湯普森和M·里奇共同研制的，目的是在貝爾實驗室內(nèi)創(chuàng)造一種進行程序設(shè)計研究和開發(fā)的良好環(huán)境。免費軟件的典范LinuxLinux是一種在PC上執(zhí)行的、類似UNIX的操作系統(tǒng)。1991年，第一個Linux由芬蘭赫爾辛基大學(xué)的年輕學(xué)生林納斯·托瓦茲發(fā)表，它是一個完全免費的操作系統(tǒng)。任務(wù)存根DNS微軟公司的易于使用的操作系統(tǒng)Windows基于Windows圖形操作系統(tǒng)擴展開發(fā)的網(wǎng)絡(luò)操作系統(tǒng)WindowsServer2022為服務(wù)器領(lǐng)域帶來易用的用戶界面環(huán)境。網(wǎng)絡(luò)操作系統(tǒng)的選用原則功崇惟志，業(yè)廣惟勤。1.4行業(yè)PPT模板/hangye/選用原則1、標準化2、可靠性3、安全性4、網(wǎng)絡(luò)應(yīng)用服務(wù)的支持5、易用性網(wǎng)絡(luò)操作系統(tǒng)的選用原則核高基與國產(chǎn)操作系統(tǒng)理想指引人生方向，信念決定事業(yè)成敗。行業(yè)PPT模板/hangye/核高基

“核高基”就是“核心電子器件、高端通用芯片及基礎(chǔ)軟件產(chǎn)品”的簡稱，是中華人民共和國國務(wù)院于2006年發(fā)布的《國家中長期科學(xué)和技術(shù)發(fā)展規(guī)劃綱要（2006—2020年）》中與載人航天、探月工程并列的16個重大科技專項之一。近年來，一批國產(chǎn)基礎(chǔ)軟件的領(lǐng)軍企業(yè)的強勢發(fā)展給中國軟件市場增添了幾許信心，而“核高基”猶如助推器，給了國產(chǎn)基礎(chǔ)軟件更強勁的發(fā)展支持力量。核高基

國產(chǎn)網(wǎng)絡(luò)操作系統(tǒng)就是基礎(chǔ)軟件中的基石行業(yè)PPT模板/hangye/國產(chǎn)操作系統(tǒng)

近年來，我國大量的計算機用戶將目光轉(zhuǎn)移到國產(chǎn)Linux操作系統(tǒng)和辦公軟件上，國產(chǎn)Linux操作系統(tǒng)和辦公軟件的下載量一時間以幾倍的速度增長，國產(chǎn)Linux操作系統(tǒng)和辦公軟件的發(fā)展也引起了大家的關(guān)注。

隨著國產(chǎn)軟件技術(shù)的不斷進步，我國的信息化建設(shè)也會朝著更安全、更可靠、更可信的方向發(fā)展。核高基

國產(chǎn)網(wǎng)絡(luò)操作系統(tǒng)就是基礎(chǔ)軟件中的基石行業(yè)PPT模板/hangye/國產(chǎn)操作系統(tǒng)

同學(xué)們，國產(chǎn)化之路，道阻且長，行則將至；行而不輟，未來可期。前方的路會有曲折，但也充滿希望。相信中華民族將迎來偉大復(fù)興！核高基

國產(chǎn)網(wǎng)絡(luò)操作系統(tǒng)就是基礎(chǔ)軟件中的基石

感謝觀看項目2安裝與規(guī)劃

WindowsServer2022某高校要組建校園網(wǎng)，需要架設(shè)一臺具有DNS、DHCP、Web、FTP等功能的服務(wù)器來為校園網(wǎng)用戶提供服務(wù)，現(xiàn)需要選擇一種既安全又易于管理的網(wǎng)絡(luò)操作系統(tǒng)。21項目背景在完成該項目之前，首先應(yīng)選定網(wǎng)絡(luò)中計算機的組織方式；然后根據(jù)微軟操作系統(tǒng)的要求確定每臺計算機應(yīng)當(dāng)安裝的版本；再對安裝方式、安裝磁盤的文件系統(tǒng)格式、安裝啟動方式等進行選擇；最后才能開始系統(tǒng)的安裝。22項目背景素質(zhì)要點

了解為什么會推出IPv6。在接下來的“IPv6時代”，我國有著巨大機遇，培養(yǎng)學(xué)生的責(zé)任感和自豪感。學(xué)習(xí)要點

了解不同版本的WindowsServer2022的安裝要求。

了解并掌握安裝WindowsServer2022的方法。

掌握配置WindowsServer2022的方法。

“路漫漫其修遠兮，吾將上下而求索。”國產(chǎn)化之路“道阻且長，行則將至，行而不輟，未來可期”。相信中華民族的偉大復(fù)興終會有時。項目2

規(guī)劃與安裝Windows

Server202201.項目基礎(chǔ)知識contents目錄02.項目設(shè)計及準備03.項目實施04.習(xí)題與實訓(xùn)項目基礎(chǔ)知識古之立大事者，不惟有超世之才，亦必有堅忍不拔之志。2.1系統(tǒng)版本古之立大事者，不惟有超世之才，亦必有堅忍不拔之志。2.1.1標準版EssentialsEdition（基本版）：適用于最多有25個用戶或最多有50臺設(shè)備的小型企業(yè)。StandardEdition（標準版）:適用于物理或最低限度虛擬環(huán)境。數(shù)據(jù)中心版DatacenterEdition（數(shù)據(jù)中心版）：適用于高虛擬化數(shù)據(jù)中心和云環(huán)境。它允許用戶在物理和虛擬環(huán)境（包括容器）中，在服務(wù)器上運行不限數(shù)量的WindowsServer實例。系統(tǒng)版本標準版標準版不支持下面3種情形：主機保護對Hyper-V的支持、軟件定義的網(wǎng)絡(luò)和軟件定義的存儲。數(shù)據(jù)中心版數(shù)據(jù)中心版對以下3種情形完全支持：主機保護對Hyper-V的支持、軟件定義的網(wǎng)絡(luò)和軟件定義的存儲。系統(tǒng)版本硬件要求古之立大事者，不惟有超世之才，亦必有堅忍不拔之志。2.1.22.1.2WindowsServer2022硬件要求最低：512MB推薦：1GB最佳：2GB最低：1.4GHz64位推薦：2GHz64位最佳：3GHz64位最低：32GB推薦：40GB最佳：80GB安裝注意事項

要求所有內(nèi)核模式的設(shè)備驅(qū)動程序都已數(shù)字簽名由于設(shè)備驅(qū)動程序直接訪問系統(tǒng)硬件，所以它們必須是受信任的也許能夠減少一些rootkit軟件常見安裝場景

全新安裝升級通過Windows部署服務(wù)遠程安裝ServerCore安裝無人值守安裝

（與前一版本類似）安裝前建議檢查應(yīng)用程序兼容性斷開UPS設(shè)備備份服務(wù)器禁用防病毒軟件或斷開網(wǎng)絡(luò)運行Windows內(nèi)存診斷工具提供大容量存儲驅(qū)動程序Windows防火墻默規(guī)劃準備ActiveDirectory檢查升級路徑WindowsServer2022的系統(tǒng)功能盛年不重來，一日難再晨。及時當(dāng)勉勵，歲月不待人。2.1.3系統(tǒng)功能WindowsServer2022在WindowsServer2019的堅實基礎(chǔ)上構(gòu)建，在3個關(guān)鍵主題上引入了許多創(chuàng)新：安全性、Azure混合集成和管理，以及應(yīng)用程序平臺。系統(tǒng)功能此外，可借助數(shù)據(jù)中心版，利用Azure云的優(yōu)勢使虛擬機保持最新狀態(tài)，同時最大限度地減少停機時間。系統(tǒng)功能項目設(shè)計及準備盛年不重來，一日難再晨。及時當(dāng)勉勵，歲月不待人。2.2項目設(shè)計功能與特性

本項目中Host為物理主機，操作系統(tǒng)為Windows10；Server1為獨立服務(wù)器，操作系統(tǒng)為Windowsserver2022；GW1為默認網(wǎng)關(guān)，操作系統(tǒng)為Windowsserver2022項目準備滿足硬件要求的計算機安裝光盤（產(chǎn)品密匙）磁盤檢查、備份文件、格式化項目實施幸福和美好未來不會自己出現(xiàn)，成功屬于勇毅而篤行的人。2.3項目實施任務(wù)4快照與克隆任務(wù)2認識UEFI任務(wù)3安裝與配置任務(wù)1部署虛擬機任務(wù)1部署虛擬機Server1開機開啟虛擬機安裝VMwareWorkstation安裝軟件名稱、磁盤、內(nèi)存、CPU、虛擬化、網(wǎng)絡(luò)等虛擬機配置創(chuàng)建WindowsServer2022虛擬機創(chuàng)建虛擬機04030102安裝VMwareWorkstation01-安裝軟件安裝VMwareWorkstation02-創(chuàng)建虛擬機選中“稍后安裝操作系統(tǒng)”單選按鈕02-創(chuàng)建虛擬機操作系統(tǒng)的類型選擇為“MicrosoftWindows”，版本為“WindowsServer2022”03-虛擬機配置填寫“虛擬機名稱”字段，并在選擇安裝位置之后單擊“下一步”按鈕。注意“安裝位置”一定提前規(guī)劃好“最大磁盤大小”設(shè)置為200.0GBv03-虛擬機配置單擊“自定義硬件”按鈕虛擬機系統(tǒng)內(nèi)存的可用量設(shè)置為2GBv03-虛擬機配置“使用ISO鏡像文件”中選中了下載好的WindowsServer2022系統(tǒng)鏡像文件根據(jù)宿主機設(shè)置CPU處理器的數(shù)量以及每個處理器的核心數(shù)量（不能超過主機的處理器的核心數(shù)），并開啟虛擬化功能。v03-虛擬機配置VM虛擬機軟件為用戶提供了3種可選的網(wǎng)絡(luò)模式，分別為橋接模式、NAT模式與僅主機模式把聲卡、打印機設(shè)備等不需要的設(shè)備移除v04-開啟虛擬機Sever1開機

任務(wù)2認識UEFI任務(wù)3安裝與配置其他配置配置防火墻外觀設(shè)置配置網(wǎng)絡(luò)開始安裝安裝設(shè)置安裝密碼設(shè)置安裝工具v01-開始安裝激活Windows安裝Windowsv02-安裝設(shè)置進行何種安裝選擇操作系統(tǒng)v02-安裝設(shè)置提示對話框分區(qū)信息v03-密碼設(shè)置密碼要滿足復(fù)雜度要求：“至少6個字符”和“不包含Administrator或admin”，還至少滿足以下4個條件中的2個。包含大寫字母（A，B，C等）。包含小寫字母（a，b，c等）。包含數(shù)字（0，1，2等）。包含非字母數(shù)字字符（#，&，～等）。v04-安裝工具單擊VM中的“虛擬機”→“安裝VMwareTools”,然后在計算機資源管理器中雙擊“DVD驅(qū)動器（d:）VMwareTools”，按照向?qū)瓿沈?qū)動程序的安裝后，自動重啟虛擬機。v05-配置網(wǎng)絡(luò)網(wǎng)絡(luò)屬性網(wǎng)絡(luò)和共享中心窗口v05-配置網(wǎng)絡(luò)啟動網(wǎng)絡(luò)發(fā)現(xiàn)功能設(shè)置IP地址v06-外觀設(shè)置外觀設(shè)置v07-配置防火墻設(shè)置入站規(guī)則v08-其他配置1、更改計算機名及工作組3、配置虛擬內(nèi)存2、啟用文件和打印機共享任務(wù)4快照與克隆進行快照進行克隆克隆完成后，進入用系統(tǒng)準備工具重整系統(tǒng)c:\windows\system32\sysprep\sysprep.exeIPv4和IPv6幸福和美好未來不會自己出現(xiàn)，成功屬于勇毅而篤行的人。IPv4和IPv62019年11月26日是全球互聯(lián)網(wǎng)發(fā)展歷程中值得銘記的一天，一封來自歐洲RIPENCC的郵件宣布全球43億個IPv4地址正式耗盡，人類互聯(lián)網(wǎng)跨入了“IPv6時代”。IPv4和IPv6IPv4的中文全稱為第4版互聯(lián)網(wǎng)協(xié)議，是IP開發(fā)過程中的第4個修訂版，也是此協(xié)議被廣泛部署的第一個版本。IPv4是互聯(lián)網(wǎng)的核心，也是使用非常廣泛的IP版本。IPv4和IPv6IPv4和IPv6由于IPv4中規(guī)定IP地址長度為32位，現(xiàn)在Internet的快速發(fā)展使得IPv4地址已經(jīng)耗盡。IPv4地址耗盡也意味著不能將任何新的IPv4設(shè)備添加到Internet，目前各國已經(jīng)開始積極布局IPv6。IPv4和IPv6對于我國而言，在接下來的IPv6時代，我國有著巨大機遇，其中我國推出的“雪人計劃”就是一件益國益民的大事，這一計劃助力我國在互聯(lián)網(wǎng)方面取得更多話語權(quán)。IPv4和IPv6習(xí)題與實訓(xùn)功崇惟志，業(yè)廣惟勤。2.4行業(yè)PPT模板/hangye/公司新購進一臺服務(wù)器，硬盤空間為500GB。已經(jīng)安裝了Windows10網(wǎng)絡(luò)操作系統(tǒng)和VMwareWorkstationPro17，計算機名為client1。WindowsServer2022的鏡像文件已保存在硬盤上。請你為公司服務(wù)器做相關(guān)基礎(chǔ)配置操作。項目實訓(xùn)：基礎(chǔ)配置WindowsServer2022理論知識：WindowsServer2022系統(tǒng)版本；最低配置；安裝選項；安裝方法。技能知識：部署WindowsServer2022虛擬機；認識UEFI；安裝與配置；快照與克隆。項目小結(jié)

感謝觀看項目3部署與管理ActiveDirectory域服務(wù)公司內(nèi)部的辦公網(wǎng)絡(luò)原是基于工作組方式的，近期由于公司業(yè)務(wù)發(fā)展，人員激增，基于方便和網(wǎng)絡(luò)安全管理的需要，考慮將基于工作組的網(wǎng)絡(luò)升級為基于域的網(wǎng)絡(luò)。現(xiàn)在需要將一臺或多臺計算機升級為域控制器，并將其他所有計算機加入域成為成員服務(wù)器。71項目背景學(xué)習(xí)要點掌握規(guī)劃和安裝局域網(wǎng)中活動目錄的方法。掌握創(chuàng)建域目錄林根域的方法。 掌握安裝額外域控制器的方法。掌握如何創(chuàng)建子域熟悉多臺域控制器的情況

學(xué)習(xí)要點素質(zhì)要點明確職業(yè)技術(shù)崗位所需的職業(yè)規(guī)范，樹立社會主義核心價值觀?！按髮W(xué)之道，在明明德，在親民，在止于至善?！薄啊呱窖鲋?，景行行止。雖不能至，然心鄉(xiāng)往之?！敝ぁ按髮W(xué)”的真正含義，以德化人，激發(fā)愛國情懷。素質(zhì)要點01.項目基礎(chǔ)知識contents目錄02.項目設(shè)計及準備03.項目實施04.習(xí)題與實訓(xùn)項目基礎(chǔ)知識幸福和美好未來不會自己出現(xiàn)，成功屬于勇毅而篤行的人。3.101.認識活動目錄及意義3.1項目基礎(chǔ)知識02.認識活動目錄的邏輯結(jié)構(gòu)

03.認識活動目錄的物理結(jié)構(gòu)04.拓展閱讀中國計算機的主奠基者認識活動目錄及意義高山仰止，景行行止。雖不能至，然心鄉(xiāng)往之。3.1.1認識活動目錄活動目錄就是Windows網(wǎng)絡(luò)中的目錄服務(wù)（DirectoryServices），即活動目錄域服務(wù)（ActiveDirectoryDomainServices，ADDS）。它是一個分布式的目錄服務(wù)，信息可分散在多臺不同的計算機上，保證用戶能夠快速訪問，既提高了管理效率，又使網(wǎng)絡(luò)應(yīng)用更加方便。目錄服務(wù)有兩方面的內(nèi)容：目錄和與目錄相關(guān)的服務(wù)。認識活動目錄及意義認識活動目錄活動目錄負責(zé)目錄數(shù)據(jù)庫的保存、新建、刪除、修改與查詢等服務(wù)，用戶能很容易地在目錄內(nèi)找到所需的數(shù)據(jù)。ActiveDirectory存儲了有關(guān)網(wǎng)絡(luò)對象的信息，例如用戶、組、計算機、共享資源、打印機和聯(lián)系人等，并且讓管理員和用戶能夠輕松地查找和使用這些信息。認識活動目錄及意義活動目錄的核心是目錄服務(wù)功能和集中管理目錄服務(wù)功能組織管理控制資源集中管理單點管理所有用戶一次登錄訪問整個活動目錄資源3.1.1認識活動目錄及意義

活動目錄對象活動目錄存儲網(wǎng)絡(luò)對象的信息。對象屬性存儲在活動目錄活動目錄的對象是組成活動目錄基本元素AttributesFirstNameLastNameLogonNameAttributesPrinterNamePrinterLocationActiveDirectoryPrintersPrinter1Printer2SuzanFineUsersDonHallAttributeValueObjectsPrintersUsersPrinter3

3.1.1認識活動目錄及意義活動目錄架構(gòu)對象類舉例PrintersComputersUsers用戶的屬性可以包括accountExpiresdepartmentdistinguishedNamemiddleName屬性列表accountExpiresdepartmentdistinguishedNamedirectReportsdNSHostNameoperatingSystemrepsFromrepsTomiddleName…屬性舉例

3.1.1認識活動目錄及意義工作組環(huán)境如果資源分布在多臺服務(wù)器上，那就需要在每臺服務(wù)器分別為每一員工建立一個用戶（共M*N個），員工則需要在每臺服務(wù)器上（共M臺）登錄。3.1.1認識活動目錄及意義域環(huán)境有了域，員工只需要在域中擁有一個域用戶，因此管理員只須為員工創(chuàng)建一個域用戶；員工只需要在域中登錄一次就可以訪問域中的資源了，實現(xiàn)了單一登錄。3.1.1認識活動目錄及意義用戶A用戶B用戶C用戶A用戶C用戶B工作組ActiveDirectory域環(huán)境

3.1.1認識活動目錄及意義Active

Directory用戶用戶賬戶小組組賬戶計算機賬戶→

3.1.1認識活動目錄及意義ADDS功能包括：集中式目錄單一登錄訪問集成安全性可伸縮性ADDS提供了一個集中式的系統(tǒng)，用于管理網(wǎng)絡(luò)上的用戶、計算機和其他資源。公共管理界面

3.1.1認識活動目錄及意義認識活動目錄的邏輯結(jié)構(gòu)幸福和美好未來不會自己出現(xiàn)，成功屬于勇毅而篤行的人。3.1.2物理組件數(shù)據(jù)存儲域控制器全局編錄服務(wù)器只讀域控制器(RODC)邏輯組件分區(qū)架構(gòu)域域樹林站點組織單位(OU)3.1.2認識活動目錄的邏輯結(jié)構(gòu)ADDS由物理組件和邏輯組件組成。域和域控制器域（Domain）是在WindowsServer2022網(wǎng)絡(luò)環(huán)境中組建客戶機/服務(wù)器網(wǎng)絡(luò)的實現(xiàn)方式，是WindowsServer2022域中ActiveDirectory數(shù)據(jù)庫的基本管理單位。域控制器中保存著整個網(wǎng)絡(luò)的用戶賬號及目錄數(shù)據(jù)庫，即活動目錄，并且可以被網(wǎng)絡(luò)應(yīng)用程序或者服務(wù)所訪問。

一個域可能擁有一臺以上的域控制器。每一臺域控制器都擁有它所在域的目錄的一個可寫副本。3.1.2認識活動目錄的邏輯結(jié)構(gòu)域安全邊界：安全邊界的作用就是保證域的管理者只能在該域內(nèi)有必要的管理權(quán)限，除非管理者得到其他域得明確授權(quán)。復(fù)制單元：在域中，作為域控制器的計算機包含活動目錄的副本。在一個特定的域中，所有域控制都能夠得到活動目錄得變化信息，并把變化信息復(fù)制給該域中得其它域控制器。3.1.2認識活動目錄的邏輯結(jié)構(gòu)WindowsServer2022User1User2User1User2Replication組織單位組織單位是包含在活動目錄中的容器對象，是可以指派組策略設(shè)置或委派管理權(quán)限的最小作用單位。組織單位可以將用戶、組、計算機和其他單元放入活動目錄的容器。組織單位不能包括來自其他域的對象。3.1.2認識活動目錄的邏輯結(jié)構(gòu)組織單位3.1.2認識活動目錄的邏輯結(jié)構(gòu)地理位置的組織結(jié)構(gòu)SalesVancouverRepairUsersSalesComputers網(wǎng)絡(luò)管理模型利用OU可以把對象組織到一個邏輯結(jié)構(gòu)中使其最適應(yīng)你的組織需求?？梢园压芾砜刂茩?quán)委派給OU中的對象。要委派的管理控制權(quán)，必須把OU及OU包含的對象的具體的權(quán)限指給一個或幾個用戶和組。

3.1.2認識活動目錄的邏輯結(jié)構(gòu)ExamplesFunction(功能)OrganizationLocation(位置)FunctionOrganization(組織)Location組織單位模型SCMS–SalesC–ConsultantsM-MarketingFunction-basedMERM–ManufacturingE–EngineeringR-ResearchOrganization-basedNFIN–NorwayF–FranceI–IndonesiaLocation-based組織單位創(chuàng)建組織單位有如下好處：（1）可以分類組織對象，使所有對象結(jié)構(gòu)更清晰。（2）可以對某些對象配置組策略，實現(xiàn)對這些對象的管理和控制。（3）可以委派管理控制權(quán)，如管理員可以給不同部門的網(wǎng)絡(luò)主管授權(quán)，讓他們管理本部門的賬號。3.1.2認識活動目錄的邏輯結(jié)構(gòu)目錄樹和目錄林

3.1.2認識活動目錄的邏輯結(jié)構(gòu)目錄林是一個或多個目錄樹的集合。目錄林中的目錄樹并不共用相同的連續(xù)的名字空間。域目錄林

3.1.2認識活動目錄的邏輯結(jié)構(gòu)(root)樹雙向可傳遞的信任林樹雙向可傳遞的信任Nwtraders.msftAsia.Nwtraders.msftAu.Nwtraders.msftcontoso.msftasia.contoso.msftau.contoso.msft全局編錄服務(wù)器全局編錄：包含林中所有ADDS對象的副本，但是該副本僅包含林中每個對象的部分屬性提高搜索對象的效率，因為它避免了不必要地引用域控制器是用戶登錄到域中所必需的全局編錄服務(wù)器是存儲了全局編錄的副本的域控制器。

信任關(guān)系信任關(guān)系是網(wǎng)絡(luò)中不同域之間的一種內(nèi)在聯(lián)系。只有在兩個域之間創(chuàng)建了信任關(guān)系，這兩個域才可以相互訪問。在通過WindowsServer2022系統(tǒng)創(chuàng)建域目錄樹和域目錄林時，域目錄樹的根域和子域之間，域目錄林的不同樹根之間都會自動創(chuàng)建雙向的、傳遞的信任關(guān)系，有了信任關(guān)系，使根域與子域之間、域目錄林中的不同樹之間可以互相訪問，并可以從其他域登錄到本域。3.1.2認識活動目錄的邏輯結(jié)構(gòu)信任關(guān)系如果希望兩個無關(guān)域之間可以相互訪問或從對方域登錄到自己所在的域，也可以手工創(chuàng)建域之間的信任關(guān)系。3.1.2認識活動目錄的邏輯結(jié)構(gòu)3.1.2認識活動目錄的邏輯結(jié)構(gòu) Sites:優(yōu)化復(fù)制流量使用戶能夠使用可靠、高速的連接登錄到域控制器上IPsubnetIPsubnetNewYork信任關(guān)系LosAngelesSeattleChicago3.1.2認識活動目錄的邏輯結(jié)構(gòu)站點SitesDomaincontrollersWANlinksSiteDomainControllersWANLinkSite

認識活動目錄的

物理結(jié)構(gòu)盛年不重來，一日難再晨。及時當(dāng)勉勵，歲月不待人。3.1.3域控制器：承載ADDS目錄存儲的副本提供身份驗證和授權(quán)服務(wù)將更新復(fù)制到域和林中的其他域控制器域控制器是安裝了ADDS服務(wù)器角色的服務(wù)器。允許在服務(wù)器上管理用戶賬戶和網(wǎng)絡(luò)資源WindowsServer2022ADDS支持RODC

3.1.3認識活動目錄的物理結(jié)構(gòu)--ADDS域控制器域控制器3.1.3認識活動目錄的物理結(jié)構(gòu)--ADDS域控制器DomainControllerDomainControllerDomainReplication=AWriteableCopyoftheActiveDirectoryDatabase DomainControllers:參與活動目錄的復(fù)制進行單主控操作

項目設(shè)計及準備盛年不重來，一日難再晨。及時當(dāng)勉勵，歲月不待人。3.2項目設(shè)計項目準備

建立第一個新林。

建立此新林中的第一個域樹。

建立此新域樹中的第一個域。

建立此新域中的第一臺域控制器。

計算機名稱Server1自動更改為DC1.項目設(shè)計將項目2中的Server1升級為域控制器并建立域，架設(shè)根域的第2臺域控制器（Server2）、第3臺域控制器（Server3）、第4臺域控制器（Server4）和一臺加入域的成員服務(wù)器（MS1）項目實施幸福和美好未來不會自己出現(xiàn)，成功屬于勇毅而篤行的人。3.3項目實施任務(wù)5服務(wù)器角色任務(wù)3登錄域任務(wù)4額外DC任務(wù)2域成員任務(wù)7多臺DC任務(wù)1第一臺DC任務(wù)6子域任務(wù)1創(chuàng)建第一個域安裝ActiveDirectory域服務(wù)安裝ADDS驗證ActiveDirectory域服務(wù)的安裝驗證結(jié)果提升服務(wù)器為DC安裝活動目錄03010201-安裝ADDS01-安裝ADDS02-安裝活動目錄02-安裝活動目錄02-安裝活動目錄02-安裝活動目錄03-驗證結(jié)果（1）查看計算機名（2）查看管理工具（3）查看活動目錄對象（4）查看ActiveDirectory數(shù)據(jù)庫（5）查看DNS記錄注冊的SRV記錄03-驗證結(jié)果netstopnetlogonnetstartnetlogon重新啟動Netlogon服務(wù)任務(wù)2將MS1加入域?qū)S1加入域加入域后的系統(tǒng)屬性將MS1提升為的成員服務(wù)器任務(wù)3利用已加入域的計算機登錄利用本地賬戶登錄本地登錄利用域用戶賬戶登錄登錄域010201-本地登錄本地用戶登錄02-登錄域域用戶登錄任務(wù)4安裝額外的域控制器與RODCRODC委派及密碼策略修改RODC委派利用網(wǎng)絡(luò)直接安裝額外DC第二臺DC利用安裝介質(zhì)安裝額外DC介質(zhì)安裝利用網(wǎng)絡(luò)直接復(fù)制安裝RODCRODC0403010201-第二臺DC部署配置Server1、Server2和Server3的網(wǎng)絡(luò)連接模式都是“僅主機模式”，首先要保證3臺服務(wù)器通信暢通。01-第二臺DC01-第二臺DC02-RODCServer1、Server2和Server3的網(wǎng)絡(luò)連接模式都是“僅主機模式”，首先要保證3臺服務(wù)器通信暢通。部署配置02-RODC02-RODC03-介質(zhì)安裝制作安裝介質(zhì)03-介質(zhì)安裝安裝額外域控制器04-修改RODC委派04-修改RODC委派04-修改RODC委派04-修改RODC委派05-驗證額外域控制器運行正常DC1是第一臺域控制器，DC2服務(wù)器已經(jīng)提升為額外域控制器，現(xiàn)在可以將成員服務(wù)器MS1的首選DNS指向DC1域控制器，備用DNS指向DC2額外域控制器，當(dāng)DC1域控制器發(fā)生故障時，DC2額外域控制器可以負責(zé)域名解析和身份驗證等工作，從而實現(xiàn)不間斷服務(wù)。利用DC1域控制器的“ActiveDirectory用戶和計算機”建立供測試用的域用戶domainuser1（新建用戶時，姓名和用戶登錄名都是domainuser1）。刷新DC2、DC3的“ActiveDirectory用戶和計算機”中的users容器，發(fā)現(xiàn)domainuser1幾乎同時同步到了這兩臺域控制器上。在MS1上使用域賬戶“domainuser1“登錄驗證05-驗證額外域控制器運行正常查看DC類型任務(wù)5轉(zhuǎn)換服務(wù)器角色DC隆級為成員服務(wù)器DC降為成員成員服務(wù)器降級為獨立服務(wù)器成員降為獨立010201-DC降為成員服務(wù)器刪除活動目錄注意要點①如果該域內(nèi)還有其他域控制器，則該域會被降級為該域的成員服務(wù)器。②如果這個域控制器是該域的最后一個域控制器，則被降級后，該域內(nèi)將不存在任何域控制器。（被降級為獨立服務(wù)器）③如果這臺域控制器是“全局編錄”，則降級后，不再擔(dān)當(dāng)“全局編錄”的角色，因此要先確定網(wǎng)絡(luò)上是否還有其他“全局編錄”域控制器。如果沒有，則要先指派一臺域控制器來擔(dān)當(dāng)“全局編錄”的角色。01-DC降為成員服務(wù)器01-DC降為成員服務(wù)器01-DC降為成員服務(wù)器01-DC降為成員服務(wù)器02-成員服務(wù)器降級為獨立服務(wù)器成員服務(wù)器刪除ActiveDirectory域服務(wù)后，繼續(xù)降級為獨立服務(wù)器。刪除服務(wù)器角色和功能任務(wù)6創(chuàng)建子域創(chuàng)建子域創(chuàng)建子域驗證父子信任關(guān)系驗證信任關(guān)系驗證子域驗證子域03010201-創(chuàng)建子域設(shè)置域中父域控制器和子域控制器的TCP/IP屬性，手工指定IP地址、子網(wǎng)掩碼、默認網(wǎng)關(guān)和DNS服務(wù)器IP地址等。部署域環(huán)境，父域域名為，子域域名為。創(chuàng)建子域的網(wǎng)絡(luò)拓撲圖01-創(chuàng)建子域01-創(chuàng)建子域02-驗證子域02-驗證子域02-驗證子域02-驗證子域任務(wù)7熟悉多臺域控制器的情況更改PDC操作主機更改PDC用組策略解決登錄問題登錄疑難問題更改域控制器更改DC03010201-更改PDC操作主機如果域內(nèi)有多臺域控制器，則你所設(shè)置的安全設(shè)置值，是先被存儲到扮演PDC操作主機角色的域控制器內(nèi)，而它默認由域內(nèi)的第1臺域控制器扮演?？梢酝ㄟ^【ActiveDirectory用戶和計算機】→選中域名S并單擊鼠標右鍵→【操作主機】→選擇【PDC】標簽查詢。更改PDC界面02-更改域控制器如果要更改連接到其他域控制器，請在“ActiveDirectory用戶和計算機”窗口中，右擊用鼠標右鍵單擊【】域，可在彈出的快捷菜單中單擊【更改域控制器】命令。03-登錄疑難問題當(dāng)你在DC1域控制器上利用普通用戶賬戶long60\domainuser1登錄時，如果出現(xiàn)以下的“不允許使用你正在嘗試的登錄方式……”警告界面可以通過組策略來開放：請到任何一臺域控制器上進行配置。03-登錄疑難問題可以通過組策略來開放：請到任何一臺域控制器上（如DC1）進行配置。“組策略管理”界面03-登錄疑難問題中國計算機的主奠基者

-華羅庚理想指引人生方向，信念決定事業(yè)成敗。華羅庚教授

中國科學(xué)院

計算機技術(shù)研究所我國計算技術(shù)的奠基人和最主要的開拓者之一。華羅庚教授在數(shù)學(xué)上的造詣和成就深受世界科學(xué)家的贊賞。在美國任訪問研究員時，華羅庚教授的心里就已經(jīng)開始勾畫我國電子計算機事業(yè)的藍圖了！華羅庚教授于1950年回國，1952年在全國高等學(xué)校院系調(diào)整時，他從清華大學(xué)電機系物色了閔乃大、夏培肅和王傳英三位科研人員，在他任所長的中國科學(xué)院應(yīng)用數(shù)學(xué)研究所內(nèi)建立了中國第一個電子計算機科研小組。1956年籌建中國科學(xué)院計算技術(shù)研究所時，華羅庚教授擔(dān)任籌備委員會主任。素質(zhì)要點習(xí)題與實訓(xùn)功崇惟志，業(yè)廣惟勤。3.4行業(yè)PPT模板/hangye/請根據(jù)項目實訓(xùn)要求，為公司部署和管理AD域服務(wù)。（創(chuàng)建域、創(chuàng)建子域、信任關(guān)系、創(chuàng)建組織單位及賬戶等）項目實訓(xùn)：部署與管理AD域服務(wù)環(huán)境理論知識：認識ActiveDirectory的相關(guān)基本概念。技能知識：掌握規(guī)劃和安裝局域網(wǎng)中活動目錄的方法；掌握創(chuàng)建目錄林根級域的方法；掌握安裝額外域控制器的方法。項目小結(jié)

感謝觀看項目4管理用戶賬戶和組當(dāng)安裝完操作系統(tǒng)，并完成操作系統(tǒng)的環(huán)境配置后，管理員應(yīng)規(guī)劃一個安全的網(wǎng)絡(luò)環(huán)境，為用戶提供有效的資源訪問服務(wù)。WindowsServer通過建立賬戶并賦予賬戶合適的權(quán)限，保證使用網(wǎng)絡(luò)和計算機資源的合法性，以確保數(shù)據(jù)訪問、存儲和交換服從安全需要。167項目背景如果是單純的工作組模式的網(wǎng)絡(luò)，則需要使用“計算機管理”工具來管理本地用戶和組；如果是域模式的網(wǎng)絡(luò)，則需要通過“ActiveDirectory管理中心”和“ActiveDirectory用戶和計算機”工具管理整個域環(huán)境中的用戶和組。168項目背景學(xué)習(xí)要點 理解管理用戶賬戶的方法。 掌握管理本地用戶賬戶和組的方法。 掌握一次添加多個用戶賬戶的方法。 掌握管理域組賬戶的方法。 掌握組的使用原則。學(xué)習(xí)要點素質(zhì)要點了解中國國家頂級域名“CN”，了解中國互聯(lián)網(wǎng)發(fā)展中的大事，激發(fā)學(xué)生的自豪感。“古之立大事者，不惟有超世之才，亦必有堅忍不拔之志?！北薏邔W(xué)生努力學(xué)習(xí)。素質(zhì)要點01.項目基礎(chǔ)知識contents目錄02.項目設(shè)計及準備03.項目實施04.習(xí)題與實訓(xùn)項目基礎(chǔ)知識古之立大事者，不惟有超世之才，亦必有堅忍不拔之志。4.101.規(guī)劃新的用戶賬戶contents目錄02.本地用戶賬戶03.本地組04.創(chuàng)建組織單位與域用戶賬戶05.用戶登錄賬戶06.創(chuàng)建UPN的后綴規(guī)劃新的用戶賬戶古之立大事者，不惟有超世之才，亦必有堅忍不拔之志。4.1.1用戶賬戶和組為每個用戶帳號創(chuàng)建一個唯一的登錄名用批處理為新用戶在活動目錄創(chuàng)建多個用戶帳號將用戶分組，用以管理網(wǎng)絡(luò)上的共享資源當(dāng)為一個分層結(jié)構(gòu)創(chuàng)建一個模型時，將組嵌入別的組中以減少管理任務(wù)規(guī)劃新的用戶賬戶UsersSharedResourcesPermissionsGroup域用戶賬戶和本地用戶賬戶WindowsServer支持兩種用戶賬戶：域用戶賬戶和本地用戶賬戶。域用戶賬戶可以登錄到域上，并獲得訪問該網(wǎng)絡(luò)中資源的權(quán)限；本地用戶賬戶只能登錄到一臺特定的計算機上，并訪問其資源。規(guī)劃新的用戶賬戶命名約定賬戶名必須唯一，即本地賬戶在本地計算機上必須是唯一的。賬戶名不能包含以下字符：*、;、?、/、\、[、]、:、|、=、,、+、<、>、"。賬戶名最長不能超過20個字符。規(guī)劃新的用戶賬戶密碼原則一定要給Administrator賬戶指定一個密碼，以防止他人隨便使用該賬戶。確定是管理員還是用戶擁有密碼的控制權(quán)。一般情況下，用戶應(yīng)可以控制自己的密碼。密碼不能設(shè)置得太簡單，不能讓他人隨意猜出。密碼最多可由128個字符組成，推薦最小長度為8個字符。密碼應(yīng)由大小寫字母、數(shù)字，以及合法的非字母、非數(shù)字的字符混合組成。規(guī)劃新的用戶賬戶本地用戶賬戶盛年不重來，一日難再晨。及時當(dāng)勉勵，歲月不待人。4.1.2本地用戶賬戶本地用戶賬戶僅允許用戶登錄并訪問創(chuàng)建該賬戶的計算機。當(dāng)創(chuàng)建本地用戶賬戶時，僅在%Systemroot%\System32\config文件夾下的安全賬戶管理器（SecurityAccountManager，SAM）數(shù)據(jù)庫中創(chuàng)建相應(yīng)賬戶，如C:\Windows\System32\config\sam。本地用戶賬戶本地用戶賬戶WindowsServer默認只有Administrator賬戶和Guest賬戶。WindowsServer為每個賬戶提供了名稱，如Administrator、Guest等，這些名稱是為了方便用戶記憶、輸入和使用提供的。本地用戶賬戶本地用戶賬戶本地計算機中的用戶賬戶是不允許重復(fù)的。系統(tǒng)內(nèi)部使用安全標識符（SecurityIdentifiers，SID）來識別用戶身份，每個用戶賬戶都對應(yīng)一個唯一的SID，這個SID在用戶創(chuàng)建時由系統(tǒng)自動產(chǎn)生。用戶登錄后，可以在命令提示符窗口中輸入“whoami/logonid”命令查詢當(dāng)前用戶賬戶的SID。本地用戶賬戶本地組幸福和美好未來不會自己出現(xiàn)，成功屬于勇毅而篤行的人。4.1.3本地組對用戶進行分組管理，可以更加有效、靈活地分配設(shè)置權(quán)限，以方便管理員對WindowsServer進行具體的管理。如果將特定角色添加到計算機中，則將創(chuàng)建額外的組，用戶可以執(zhí)行與該組角色相對應(yīng)的任務(wù)。本地組本地組可以在“服務(wù)器管理器”→“工具”→“計算機管理”→“本地用戶和組”→“組”文件夾中查看默認組。常用的默認組包括以下幾種：Administrators、BackupOperators、Guests、PowerUsers、PrintOperators、RemoteDesktopUsers、Users。一些特殊組：AnonymousLogon、Everyone、Network、Interactive。本地組創(chuàng)建組織單位與域用戶賬戶功崇惟志，業(yè)廣惟勤。4.1.4創(chuàng)建組織單位與域用戶賬戶可以將用戶賬戶創(chuàng)建到任何一個容器或組織單位內(nèi)。下面先創(chuàng)建名稱為“網(wǎng)絡(luò)部”的組織單位，再在其內(nèi)建立域用戶賬戶Rose、Jhon、Mike、Bob、Alice。創(chuàng)建組織單位與域用戶賬戶創(chuàng)建“網(wǎng)絡(luò)部”組織單位的方法創(chuàng)建組織單位與域用戶賬戶建立用戶賬戶Jhon的方法創(chuàng)建組織單位與域用戶賬戶用戶登錄賬戶櫪驥不忘千里志，病鴻終有赤霄心。4.1.5用戶登錄賬戶域用戶可以在域成員計算機（域控制器除外）上利用兩種賬戶登錄方式來登錄域，它們分別是UPN登錄與用戶SamAccountName登錄。一般的域用戶默認是無法在域控制器上登錄的。用戶登錄賬戶UPN登錄用戶登錄賬戶用戶SamAccountName登錄用戶登錄賬戶創(chuàng)建UPN的后綴知之愈明，則行之愈篤；行之愈篤，則知之益明?！祆?宋)4.1.6創(chuàng)建UPN的后綴用戶賬戶的UPN后綴默認是賬戶所在域的域名。在下面這些情況下，用戶可能希望能夠改用其他后綴。用戶可希望其UPN與電子郵件賬戶相同。若域目錄樹內(nèi)有多層子域，則域名會太長，如，UPN后綴也會過長，這將造成用戶在登錄時的不便。創(chuàng)建UPN的后綴創(chuàng)建UPN的后綴創(chuàng)建UPN的后綴域用戶賬戶的一般管理功崇惟志，業(yè)廣惟勤。4.1.7域用戶賬戶的一般管理一般管理是指重置密碼、禁用（啟用）賬戶、刪除賬戶、移動賬戶、重命名與解除鎖定等。域用戶賬戶的一般管理解除鎖定域用戶賬戶的一般管理設(shè)置賬戶策略步驟域用戶賬戶的一般管理在“組策略管理”窗口中選擇“DefaultDomainPolicy”選項并單擊鼠標右鍵在彈出的快捷菜單中選擇“編輯”→“計算機配置”→“策略”→“Windows設(shè)置”→“安全設(shè)置”→“賬戶策略”→“賬戶鎖定策略”選項。設(shè)置域用戶賬戶的屬性古之立大事者，不惟有超世之才，亦必有堅忍不拔之志。4.1.8設(shè)置域用戶賬戶的屬性每一個域用戶賬戶內(nèi)都有一些相關(guān)的屬性信息，如地址、電話號碼與電子郵件地址等，域用戶可以通過這些屬性來查找ActiveDirectory域服務(wù)數(shù)據(jù)庫內(nèi)的用戶。設(shè)置域用戶賬戶的屬性設(shè)置組織信息組織信息是指：顯示名稱、職務(wù)、辦公室部門、電子郵件、網(wǎng)頁、電話號碼、地址等，如圖所示設(shè)置域用戶賬戶的屬性設(shè)置賬戶過期在“賬戶”內(nèi)的“賬戶過期”中設(shè)置賬戶過期，默認為“從不”，輸入格式為yyyy/mm/dd，如圖所示。設(shè)置域用戶賬戶的屬性設(shè)置登錄時段登錄時段用來指定用戶可以登錄到域的時間段，默認任何時間段都可以登錄域，若要改變設(shè)置，則可單擊“登錄小時”鏈接，并在“登錄小時數(shù)”對話框中進行設(shè)置。設(shè)置域用戶賬戶的屬性限制用戶只能夠通過某些計算機登錄一般域用戶默認可以利用任何一臺域成員計算機（域控制器除外）來登錄域。不過也可以通過下面的方法來限制用戶只可以利用某些特定計算機來登錄域設(shè)置域用戶賬戶的屬性域組賬戶盛年不重來，一日難再晨。及時當(dāng)勉勵，歲月不待人。4.1.9域組賬戶如果能夠使用組（Group）來管理用戶賬戶，則必定能夠減輕許多網(wǎng)絡(luò)管理的負擔(dān)。例如，針對網(wǎng)絡(luò)組設(shè)置權(quán)限后，此組內(nèi)的所有用戶都會自動擁有相應(yīng)權(quán)限，不需要為每一個用戶進行設(shè)置。域組賬戶也有唯一的SID。域組賬戶域內(nèi)的組類型安全組（SecurityGroup）分發(fā)組（DistributionGroup）域組賬戶組的使用范圍從組的使用范圍來看，域內(nèi)的組分為本地域組、全局組和通用組3種域組賬戶特性本地域組全局組通用組可包含的成員所有域內(nèi)的用戶、全局組、通用組；相同域內(nèi)的本地域組相同域內(nèi)的用戶與全局組所有域內(nèi)的用戶、全局組、通用組可以在哪一個域內(nèi)被分配權(quán)限同一個域所有域所有域組轉(zhuǎn)換可以被轉(zhuǎn)換成通用組（只要原組內(nèi)的成員不包含本地域組即可）可以轉(zhuǎn)換成通用組（只要原組不隸屬于任何一個全局組即可）可以轉(zhuǎn)換成本地域組；可以轉(zhuǎn)換成全局組（只要原組內(nèi)的成員不包含通用組即可）本地域組本地域組主要用來分配其所屬域內(nèi)的訪問權(quán)限，以便訪問該域內(nèi)的資源。域組賬戶全局組全局組主要用來組織用戶，也就是可以將多個即將被賦予相同權(quán)限的用戶賬戶加入同一個全局組內(nèi)。域組賬戶通用組通用組可以在所有域內(nèi)為通用組分配訪問權(quán)限，以便訪問所有域內(nèi)的資源。域組賬戶建立與管理域組賬戶幸福和美好未來不會自己出現(xiàn)，成功屬于勇毅而篤行的人。4.1.101．組的新建、刪除建立與管理域組賬戶2．添加組的成員建立與管理域組賬戶3．ActiveDirectory域服務(wù)內(nèi)置的組ActiveDirectory域服務(wù)有許多內(nèi)置的組，它們分別隸屬于本地域組、全局組、通用組與特殊組。建立與管理域組賬戶（1）內(nèi)置的本地域組內(nèi)置的本地域組本身已被賦予一些權(quán)限，以便具備管理ActiveDirectory域服務(wù)的能力。只要將用戶或組賬戶加入這些組，這些賬戶就會自動具備相同的權(quán)限。AccountOperatorsAdministratorsBackupOperatorsGuests建立與管理域組賬戶掌握組的使用原則櫪驥不忘千里志，病鴻終有赤霄心。4.1.111．A、G、DL、P原則掌握組的使用原則2．A、G、G、DL、P原則掌握組的使用原則3．A、G、U、DL、P原則掌握組的使用原則項目設(shè)計及準備盛年不重來，一日難再晨。及時當(dāng)勉勵，歲月不待人。4.2項目設(shè)計功能與特性本項目所有實例部署在同一個網(wǎng)絡(luò)環(huán)境下，Server1、Server2是2臺不同角色的域控制器、操作系統(tǒng)是WindowsServer2022。MS1是成員服務(wù)器，操作系統(tǒng)為Windowsserver2022項目準備將Server1升級為域控制器并建立域（網(wǎng)絡(luò)主DC）在Server2中建立子域?qū)S1升級成員服務(wù)器（添加成員）項目實施幸福和美好未來不會自己出現(xiàn)，成功屬于勇毅而篤行的人。4.3項目實施任務(wù)3客戶0201管理本地賬戶和組任務(wù)1AGUDLP原則管理域組任務(wù)2任務(wù)1管理本地賬戶和組添加用戶mike進組添加本地組成員新建student1用戶賬戶設(shè)置本地賬戶新建common組創(chuàng)建本地組配置student1用戶賬戶設(shè)置用戶賬戶的屬性0403010201-設(shè)置本地賬戶01-設(shè)置本地賬戶使用命令行創(chuàng)建用戶例如，要建立一個名為mike，密碼為P@ssw0rd的用戶，可以使用以下命令。netusermikeP@ssw0rd/add例如，將用戶mike的密碼設(shè)置為P@ssw0rd3（必須符合密碼復(fù)雜度要求），可以運行以下命令。netusermikeP@ssw0rd302-設(shè)置用戶賬戶的屬性02-設(shè)置用戶賬戶的屬性03-創(chuàng)建本地組04-添加本地組成員將成員mike添加到本地組common，可以執(zhí)行以下操作。打開組的“屬性”對話框。單擊“添加”按鈕，選擇要加入的用戶mike即可。使用命令行的話，可以使用如下命令：netlocalgroupadministratorsmike/add任務(wù)2使用AGUDLP原則管理域組域用戶賬戶關(guān)系任務(wù)背景域用戶賬戶組權(quán)限任務(wù)分析0102管理域用戶任務(wù)實施0301-任務(wù)背景02-任務(wù)分析④在總公司Server1（林根）上創(chuàng)建通用組project_long_Us，并將總公司和分公司的工程部全局組配置為成員。⑤在子公司Server2上創(chuàng)建本地域組project_china_DLs，并將通用組project_long_Us加入本地域組。⑥創(chuàng)建共享目錄projects_share，配置本地域組權(quán)限為讀寫權(quán)限。①在總公司Server1和分公司Server2上創(chuàng)建相應(yīng)工程部員工用戶。②在總公司Server1上創(chuàng)建全局組project_long_Gs，并將總公司工程部用戶加入該全局組；③在分公司上創(chuàng)建全局組project_china_Gs，并將分公司工程部用戶加入該全局組。02-任務(wù)分析①總公司工程部員工新增或減少。總公司管理員直接對工程部用戶進行project_long_Gs全局組的加入與退出。②分公司工程部員工新增或減少。分公司管理員直接對工程部用戶進行project_china_Gs全局組的加入與退出。域組調(diào)整后的影響03-任務(wù)實施03-任務(wù)實施03-任務(wù)實施03-任務(wù)實施03-任務(wù)實施03-任務(wù)實施在客戶機MS1上（DNS服務(wù)器的IP地址一定要設(shè)為和），用鼠標右鍵單擊“開始”菜單，在彈出的快捷菜單中選擇“運行”命令，輸入UNC路徑\\S\Projects_share，在彈出的憑據(jù)對話框中輸入總公司域用戶名Project_userA@及密碼，能夠成功讀取和寫入文件。

正常訪問共享目錄提示沒有訪問權(quán)限中國國家頂級域名“CN”知之愈明，則行之愈篤；行之愈篤，則知之益明?！祆?宋)拓展閱讀中國國家頂級域名“CN”1994年4月20日，一條64kbit/s的國際專線從中國科學(xué)院計算機網(wǎng)絡(luò)信息中心通過美國Sprint公司連入Internet，實現(xiàn)了中國與Internet的全功能連接。從此我國被國際上正式承認為真正擁有全功能互聯(lián)網(wǎng)的國家。1994年5月21日，中國科學(xué)院計算機網(wǎng)絡(luò)信息中心完成了中國國家頂級域名服務(wù)器的設(shè)置，改變了我國的頂級域名服務(wù)器一直放在國外的歷史。錢天白、錢華林分別擔(dān)任我國頂級域名的行政聯(lián)絡(luò)員和技術(shù)聯(lián)絡(luò)員。中國國家頂級域名“CN”習(xí)題與實訓(xùn)功崇惟志，業(yè)廣惟勤。4.4行業(yè)PPT模板/hangye/Severe1域控制器和MS1成員服務(wù)器上分別進行域用戶/組的管理和本地用戶/組的管理。項目實訓(xùn)：管理用戶賬戶和組賬戶理論知識：用戶和組的相關(guān)基本概念；組織單位；UPN；組的使用原則技能知識：掌握本地賬戶和組的管理；掌握一次同時添加多個用戶賬戶；掌握管理域組賬戶；掌握組的使用原則。項目小結(jié)

感謝觀看項目5管理文件系統(tǒng)與共享資源網(wǎng)絡(luò)中最重要的是安全，安全中最重要的是權(quán)限。權(quán)限決定著用戶可以訪問的數(shù)據(jù)、資源，也決定著用戶享受的服務(wù)。更甚者，權(quán)限決定著用戶擁有什么樣的桌面。理解NTFS和它的能力，對于高效地在WindowsServer2022中實現(xiàn)這種功能來說是非常重要的。252項目背景學(xué)習(xí)要點掌握設(shè)置共享資源和訪問共享資源的方法。掌握卷影副本的使用方法。掌握使用NTFS控制資源訪問的方法。 掌握使用文件系統(tǒng)加密文件的方法。掌握壓縮文件的方法。學(xué)習(xí)要點素質(zhì)要點了解圖靈獎，激發(fā)學(xué)生的求知欲，從而激發(fā)學(xué)生的潛能?！坝^眾器者為良匠，觀眾病者為良醫(yī)。”“為學(xué)日益，為道日損。”學(xué)生要多動腦、多動手，只有多實踐、多積累，才能提高技藝，也才能成為優(yōu)秀的“工匠”。素質(zhì)要點01.項目基礎(chǔ)知識contents目錄02.項目設(shè)計及準備03.項目實施04.習(xí)題與實訓(xùn)項目基礎(chǔ)知識為學(xué)日益，為道日損。5.1文件、文件夾和文件系統(tǒng)文件和文件夾是計算機系統(tǒng)組織數(shù)據(jù)的集合單位。WindowsServer提供了強大的文件管理功能，其NTFS具有高安全性能，用戶可以十分方便地在計算機或網(wǎng)絡(luò)中處理、使用、組織、共享和保護文件及文件夾。文件系統(tǒng)是指文件命名、存儲和組織的總體結(jié)構(gòu)，運行WindowsServer的計算機的磁盤分區(qū)可以使用3種類型的文件系統(tǒng)：FAT16、FAT32和NTFS。FAT文件系統(tǒng)01.FAT文件系統(tǒng)

contents目錄02.NTFS文件系統(tǒng)03.管理訪問概述04.拓展閱讀圖靈獎FAT文件系統(tǒng)功崇惟志，業(yè)廣惟勤。5.1.1FAT文件系統(tǒng)FAT文件系統(tǒng)，全稱FileAllocationTable（文件配置表），是一種由微軟發(fā)明并擁有部分專利的文件系統(tǒng)。FAT包括FAT16和FAT32兩種。FAT是一種適合小卷集、對系統(tǒng)安全性要求不高、需要雙重引導(dǎo)的用戶應(yīng)選擇使用的文件系統(tǒng)。這種文件系統(tǒng)最初是為了MS-DOS設(shè)計的，并且也是所有非NT核心的微軟窗口操作系統(tǒng)（如Windows95、98、ME等）所使用的文件系統(tǒng)。FAT文件系統(tǒng)因其簡單性而被廣泛支持。

FAT文件系統(tǒng)FAT16文件系統(tǒng)FAT16支持的最大分區(qū)是216（即65536）個簇，每個簇有64個扇區(qū)，每個扇區(qū)為512字節(jié)，所以支持的最大分區(qū)為2GB。FAT16最大的缺點就是簇的大小和分區(qū)有關(guān)，這樣當(dāng)外存中存放較多小文件時，會浪費大量的空間。FAT文件系統(tǒng)FAT16文件系統(tǒng)FAT32是FAT16的派生文件系統(tǒng)，支持最大2TB（2048GB）的磁盤分區(qū)。它使用的簇比FAT16的要小，從而有效地節(jié)約了磁盤空間。FAT文件系統(tǒng)FAT文件系統(tǒng)FAT是一種最初用于小型磁盤和簡單文件夾結(jié)構(gòu)的簡單文件系統(tǒng)。它向后兼容，最大的優(yōu)點是適用于所有的Windows操作系統(tǒng)。另外，F(xiàn)AT在容量較小的卷上使用效果比較好，因為FAT啟動只使用非常小的開銷。FAT在容量低于512MB的卷上工作效果最好，當(dāng)卷的容量超過1.024GB時，F(xiàn)AT的工作效率就很低。對于400～500MB的卷，F(xiàn)AT相對于NTFS來說是一個比較好的選擇；但對于使用WindowsServer2022的用戶來說，F(xiàn)AT無法滿足系統(tǒng)的要求。FAT文件系統(tǒng)NTFS文件系統(tǒng)古之立大事者，不惟有超世之才，亦必有堅忍不拔之志。5.1.2NTFS文件系統(tǒng)NTFS（NewTechnologyFileSystem）是Windows操作系統(tǒng)中使用的一種文件系統(tǒng)，其設(shè)計目標是提供更高的性能、可靠性和安全性，以適應(yīng)大型存儲設(shè)備和復(fù)雜的操作環(huán)境。NTFS是WindowsNT以及后續(xù)Windows版本（如Windows2000、WindowsXP、WindowsServer2003、WindowsServer2008、WindowsVista、Windows7及更高版本）的標準文件系統(tǒng)。NTFS取代了早期的文件分配表（FAT）文件系統(tǒng)，為Microsoft的Windows系列操作系統(tǒng)提供文件系統(tǒng)支持。NTFS文件系統(tǒng)NTFS主要特點--安全性高NTFS對用戶權(quán)限做出了非常嚴格的限制，具有更高的安全性。支持隨機訪問控制和擁有權(quán)，對共享文件夾無論采用FAT還是NTFS文件系統(tǒng)都可以指定權(quán)限，以免受到本地訪問或遠程訪問的影響。每個文件和文件夾都有一個安全描述符，包含了訪問控制列表（ACL）和訪問策略等信息，可以設(shè)置哪些用戶或組對文件有何種操作權(quán)限。NTFS文件系統(tǒng)NTFS主要特點--性能與可靠性好使用高級數(shù)據(jù)結(jié)構(gòu)，如MasterFileTable（MFT），來存儲文件和文件夾的元數(shù)據(jù)信息，改善了性能。支持文件壓縮，可以減少磁盤空間的使用，同時保持文件的訪問速度。使用事務(wù)日志自動記錄所有文件夾和文件更新，系統(tǒng)能重做或恢復(fù)未成功的操作，從而保護了系統(tǒng)的安全性。NTFS文件系統(tǒng)NTFS主要特點--磁盤空間利用率高對于超過4GB以上的硬盤，使用NTFS分區(qū)可以減少磁盤碎片的數(shù)量，大大提高硬盤的利用率。支持的文件大小可以達到64GB，遠遠大于FAT32下的4GB。NTFS文件系統(tǒng)NTFS主要特點--支持長文件名與UnicodeNTFS文件系統(tǒng)支持長文件名，文件名可以包含空格和特殊字符。支持Unicode字符集，可以存儲使用多種語言的文件名。FAT與NTFS文件系統(tǒng)轉(zhuǎn)換如果安裝WindowsServer時采用了FAT，則用戶可以在安裝完畢使用convert命令將FAT分區(qū)轉(zhuǎn)換為NTFS分區(qū)。命令如下：convertD:/FS:NTFSNTFS文件系統(tǒng)管理訪問概述盛年不重來，一日難再晨。及時當(dāng)勉勵，歲月不待人。5.1.3安全主體管理訪問概述--安全主體安全主體-可用于身份驗證和分配資源訪問權(quán)的用戶、組或計算機對象。相對ID(RID)-安全ID(SID)的一部分，在域中惟一標識的賬戶或組。安全ID(SID)-在創(chuàng)建用戶、計算機或安全組時分配的惟一值。Windows中的內(nèi)部過程引用賬戶的SID，而不是賬戶的用戶名或組名。安全主體S-1-5-21-1454471165-1004336348-1606980848-5555SIDRID安全主體管理訪問概述--安全主體用戶的訪問令牌主體其他訪問權(quán)信息用戶權(quán)利列表組SID用戶SID權(quán)限管理訪問概述--權(quán)限分配權(quán)限的方式

“允許”或“拒絕”權(quán)限可分配到資源（文件夾、打印機、文件）權(quán)限：是授予或拒絕對象訪問權(quán)的規(guī)則用于控制訪問權(quán)限可分配到本地計算機中的賬戶或ADDS中的賬戶可以顯式應(yīng)用權(quán)限、繼承權(quán)限或隱式應(yīng)用權(quán)限訪問控制的工作方式管理訪問概述--訪問控制的工作方式隨機訪問控制列表(DACL)DACL包含用戶和組的列表，這些用戶和組可以訪問資源或者被拒絕而無法訪問資源NTFS卷上的每一個文件和文件夾都有關(guān)聯(lián)的DACL系統(tǒng)訪問控制列表(SACL)SACL控制審核對資源的訪問訪問控制條目(ACE)定義DACL或SACL中的每一個條目指定一組要允許、拒絕或?qū)徍说腟ID如果在DACL中未指定任何ACE，那么將拒絕訪問資源項目設(shè)計及準備盛年不重來，一日難再晨。及時當(dāng)勉勵，歲月不待人。5.2項目設(shè)計功能與特性本項目所有實例部署在同一個網(wǎng)絡(luò)環(huán)境下，Server1、Server2是2臺不同角色的域控制器，操作系統(tǒng)是WindowsServer2022。MS1是成員服務(wù)器，操作系統(tǒng)是WindowsServer2022。項目準備Server1、Server2和MS1是3臺虛擬機。在Server1與MS1上可以測試資源共享情況，而資源訪問權(quán)限的控制、加密文件系統(tǒng)與壓縮、分布式文件系統(tǒng)等需在MS1上實施并測試。項目實施觀眾器者為良匠，觀眾病者為良醫(yī)。5.3項目實施任務(wù)1第一臺C任務(wù)6復(fù)制移動任務(wù)4NTFS基礎(chǔ)任務(wù)5繼承&阻止任務(wù)2訪問共享任務(wù)7標準與特殊NTFS任務(wù)8壓縮任務(wù)1設(shè)置共享任務(wù)3卷影副本任務(wù)9加密任務(wù)1設(shè)置資源共享C:\share1

文件夾共享設(shè)置共享資源系統(tǒng)自動創(chuàng)建的共享特殊共享010201-設(shè)置共享資源01-設(shè)置共享資源02-特殊共享driveletter$：為存儲設(shè)備的根目錄創(chuàng)建的一種共享資源。例如：D$ADMIN$：在遠程管理計算機的過程中系統(tǒng)使用的資源。IPC$：共享命名管道的資源，它對程序之間的通信非常重要。PRINT$：在遠程管理打印機的過程中使用的資源任務(wù)2訪問網(wǎng)絡(luò)共享資源利用系統(tǒng)網(wǎng)絡(luò)發(fā)現(xiàn)功能網(wǎng)絡(luò)發(fā)現(xiàn)通用命名規(guī)則UNC010201-網(wǎng)絡(luò)發(fā)現(xiàn)必須確保Server1、Server2和MS1開啟了網(wǎng)絡(luò)發(fā)現(xiàn)功能，并且運行了FunctionDiscoveryResourcePublication服務(wù)（自動、啟動）?！熬W(wǎng)絡(luò)”窗口

“Windows安全”對話框01-網(wǎng)絡(luò)發(fā)現(xiàn)02-UNC通用命名標準（UniversalNamimgConversion，UNC）是用于命名文件和其他資源的一種約定，以兩個反斜杠“\”開頭，指明該資源位于網(wǎng)絡(luò)計算機上。例如：\\\share1或者\\Server1\share1任務(wù)3使用卷影副本“卷影副本”客戶端訪問“卷影副本”啟用“共享文件夾的卷影副本”03010201-“卷影副本”02-啟用“共享文件夾的卷影副本”02-啟用“共享文件夾的卷影副本”任務(wù)4認識NTFS權(quán)限NTFS文件夾權(quán)限允許訪問類型讀?。≧ead）查看文件夾中的文件和子文件夾，查看文件夾屬性、擁有人和權(quán)限寫入（Write）在文件夾內(nèi)創(chuàng)建新的文件和子文件夾，修改文件夾屬性，查看文件夾的擁有人和權(quán)限列出文件夾內(nèi)容（ListFolderContents）查看文件夾中的文件和子文件夾的名稱讀取和運行（Read&Execute）遍歷文件夾，執(zhí)行允許“讀取”權(quán)限和“列出文件夾內(nèi)容”權(quán)限的動作修改（Modify）刪除文件夾，執(zhí)行“寫入”權(quán)限和“讀取和運行”權(quán)限的動作完全控制（FullControl）改變權(quán)限，成為擁有人，刪除子文件夾和文件，以及執(zhí)行允許所有其他NTFS文件夾權(quán)限進行的動作標準NTFS文件夾權(quán)限列表任務(wù)4認識NTFS權(quán)限多重NTFS權(quán)限（1）權(quán)限是累積的（2）文件權(quán)限超越文件夾權(quán)限（3）拒絕權(quán)限超越其他權(quán)限任務(wù)4認識NTFS權(quán)限共享文件夾權(quán)限與NTFS文件系統(tǒng)權(quán)限的組合“share1屬性”對話框權(quán)

限允許用戶完成的操作讀取顯示文件夾名稱、文件名稱、文件數(shù)據(jù)和屬性，運行應(yīng)用程序文件，改變共享文件夾內(nèi)的文件夾修改創(chuàng)建文件夾，向文件夾中添加文件，修改文件中的數(shù)據(jù)，向文件中追加數(shù)據(jù)，修改文件屬性，刪除文件夾和文件，執(zhí)行“讀取”權(quán)限所允許的操作完全控制修改文件權(quán)限，獲得文件的所有權(quán)執(zhí)行“修改”和“讀取”權(quán)限所允許的所有任務(wù)默認情況下，Everyone組具有該權(quán)限任務(wù)5繼承與阻止NTFS權(quán)限使用權(quán)限的繼承性默認情況下，授予父文件夾的任何權(quán)限也將應(yīng)用于包含在該文件夾中的子文件夾和文件。當(dāng)授予訪問某個文件夾的NTFS權(quán)限時，就將授予該文件夾的NTFS權(quán)限授予了該文件夾中任何現(xiàn)有的文件和子文件夾，以及在該文件夾中創(chuàng)建的任何新文件和新的子文件夾。如果想讓文件夾或者文件具有不同于它們父文件夾的權(quán)限，必須阻止權(quán)限的繼承性。任務(wù)5繼承與阻止NTFS權(quán)限阻止權(quán)限的繼承性

阻止權(quán)限的繼承，也就是阻止子文件夾和文件從父文件夾繼承權(quán)限。(為了阻止權(quán)限的繼承，要刪除繼承來的權(quán)限，只保留被明確授予的權(quán)限。)被阻止從父文件夾繼承權(quán)限的子文件夾現(xiàn)在就成為新的父文件夾。包含在這一新的父文件夾中的子文件夾和文件將繼承授予它們父文件夾的權(quán)限。任務(wù)5繼承與阻止NTFS權(quán)限阻止權(quán)限的繼承性test2的高級安全設(shè)置任務(wù)6復(fù)制和移動文件及文件夾復(fù)制文件和文件夾移動文件和文件夾任務(wù)7利用NTFS權(quán)限管理數(shù)據(jù)授予標準NTFS權(quán)限（1）NTFS文件夾權(quán)限授予標準NTFS權(quán)限包括授予NTFS文件夾權(quán)限和NTFS文件權(quán)限。“network屬性”對話框“network的權(quán)限”對話框任務(wù)7利用NTFS權(quán)限管理數(shù)據(jù)授予標準NTFS權(quán)限（1）NTFS文件夾權(quán)限授予標準NTFS權(quán)限包括授予NTFS文件夾權(quán)限和NTFS文件權(quán)限。“選擇用戶、計算機、服務(wù)賬戶或組”對話框任務(wù)7利用NTFS權(quán)限管理數(shù)據(jù)授予特殊訪問權(quán)限“network的高級安全設(shè)置”對話框“network的權(quán)限項目”對話框任務(wù)7利用NTFS權(quán)限管理數(shù)據(jù)授予特殊訪問權(quán)限（1）更改權(quán)限：針對文件或者文件夾修改權(quán)限的能力（2）取得所有權(quán)：取得文件和文件夾的所有權(quán)的能力任務(wù)8壓縮文件NTFS壓縮壓縮文件壓縮文件夾文件夾選項任務(wù)8壓縮文件文件復(fù)制或剪切時壓縮屬性的變化文件復(fù)制或剪切時壓縮屬性的變化任務(wù)8壓縮文件壓縮的（zipped)文件夾新建壓縮zipped文件夾將多個文件發(fā)送到壓縮zipped文件夾任務(wù)9加密文件系統(tǒng)對文件與文件夾加密文件加密任務(wù)9加密文件系統(tǒng)對文件與文件夾加密確認屬性更改任務(wù)9加密文件系統(tǒng)授權(quán)其他用戶可以讀取加密的文件被不同用戶加密后的文件和文件夾任務(wù)9加密文件系統(tǒng)授權(quán)其他用戶可以讀取加密的文件任務(wù)9加密文件系統(tǒng)備份EFS證書當(dāng)前用戶個人證書圖靈獎盛年不重來，一日難再晨。及時當(dāng)勉勵，歲月不待人。拓展閱讀圖靈獎圖靈獎（TuringAward）全稱A.M.圖靈獎（A.MTuringAward），是由美國計算機協(xié)會（AssociationforComputingMachinery，ACM）于1966年設(shè)立的計算機獎項，名稱取自艾倫·馬西森·圖靈（AlanMathisonTuring），旨在獎勵對計算機事業(yè)做出重要貢獻的個人。圖靈獎對獲獎條件要求極高，評獎程序極嚴，一般每年僅授予一名