《Windows高级应用》实验指导.doc

winodws高级应用实验指导系 部 信息工程系 教 研 室 网络教研室 指导教师 庄城山 主机路由实验指导一. 一部路由器的静态路由(1) 网络拓扑(2) 实验步骤1. 客户端指向默认网关物理机和Shanghai分别指向位于路由器Beijing上的相应的网关2. 在Beijing上启动路由与远程访问I. “开始”“程序”“管理工具”“路由和远程访问”II. 右击服务器“配置并启用路由和远程访问”III. “自定义配置”，“LAN路由3. 从物理机Ping Shanghai检测是否连通，注意TTL的值4. 使用Tracert 命令跟踪路由(3) 检查路由表I. “开始”“程序”“管理工具”“路由和远程访问”II. 右击“静态路由”显示IP路由 通过窗口手工建立的静态路由，显示为“静态” 通过命令Route add添加的静态路由，显示为“网络管理” 通过RIP或OSPF通信协议从其他路由器学习来的，显示为“RIP”或“OSPF” 其他情况，显示为“本地” (4) 添加静态路由I. 窗口方式 “开始”“程序”“管理工具”“路由和远程访问”右击“静态路由” 新建静态路由II. 命令方式利用Route add命令格式 ：Route add 网络地址 mask 子网掩码 网关IP地址 metric 跃点数 if 接口网卡的代号二. 两部路由器的静态路由（1） 网络拓扑（2） 实验步骤1. 客户端指向默认网关物理机和Shanghai分别指向位于路由器Beijing上的相应的网关2. 在Beijing与Shanghai上启动路由与远程访问I. “开始”“程序”“管理工具”“路由和远程访问”II. 右击服务器“配置并启用路由和远程访问”III. “自定义配置”，“lAN路由”3. 使用窗口方式添加静态路由分别在Beijing和Shanghai上添加静态路由4. 使用Route add命令添加静态路由I. 使用Route print命令查看接口网卡的代号II. 命令格式 Route add 网络地址 mask 子网掩码 网关IP地址 metric 跃点数 if 接口网卡的代号III. 加上P参数可以让路由一直保持，即使计算机重新开机，路由记录也不会消失IV. 可以通过Route delete删除静态路由 （3） 使用Ping命令测试物理机和Nanjing的连通性，观察TTL的值（4） 使用Tracert命令跟踪路由三. 筛选进出路由器的数据包（1） 什么是路由器的数据包筛选功能数据包筛选即数据包的过滤功能，分为“入站筛选”和“出站筛选”，它可以让我们设置过滤策略，以决定哪一类的数据包可以功过路由器来传递，从而提高网络的安全性。（2） 在Beijing上配置ICMP数据包的入站筛选I. IP路由选择常规II. 右击网络接口属性III. 入站筛选器（3） 出站筛选四. 配置并测试默认路由（1） 删除已经建立的静态路由（2） 在Beijing和Shanghai上创建默认路由默认路由的目标地址和网络掩码全为，当路由器不能找到合适的路径时会选择默认路由来转发数据包（3） 测试物理机和Nanjing之间的连通性五. 两部路由器的RIP动态路由（1） 新建RIP动态路由1. “IP路由选择”右击“常规”“新增路由协议”，选择“用于Internet协议的RIP版本2”2. 右击“RIP”，选择“新增接口”（选择要提供RIP功能的网络接口）（2） RIP路由器接口的设置1 操作模式 周期性更新模式 自动静态更新模式 2 传出数据包协议 RIP1版广播 RIP2版广播 RIP2版多播 静态RIP3 传入数据包协议 RIP1和2版 只有RIP版本1 只有RIP版本2 略过连入的数据包4 路由的附加开销5 激活身份验证（3） RIP路由筛选IP路由选择RIP右击路由接口属性安全通过路由筛选，可以选择将路由信息传给哪些路由器，从哪些路由器接受传入的路由信息。（4） 与相邻路由器的互动设置 IP路由选择RIP右击路由接口属性邻居 选择该路由器与邻居路由器交换路由信息的方式NAT服务器与基本防火墙实验指导一 安装NAT服务器（1） 实验拓扑（2） 安装NAT服务器1 在Beijing上，选择“开始”“管理工具”“路由和远程访问”2 右击服务器“配置并启用路由和远程访问”3 选择“网络地址转换（NAT）”4 选择连接Internet的网络接口5 我将稍后设置名称和地址服务，完成（3） 客户机设置将客户机指向默认网关指向即可（4） 测试实验结果并分析原因1 从物理机上Ping上海，能否Ping通，说明原因2 在上海上建立WEB站点，尝试从物理机来访问，能否成功，说明原因3 从上海上Ping物理机，能否Ping通，说明原因（5） 查看网络地址转换地址映射表1 在Beijing上，选择“开始”“管理工具”“路由和远程访问”2 单击“NAT/基本防火墙”3 单击连接Internet的接口“显示映射”二 配置NAT服务器（1） 配置DHCP分配器NAT服务器可以担当DHCP的角色，来为专用网络内的计算机分配IP地址。选择“开始”“管理工具”“路由和远程访问”，选择“IP路由选择”，右击“NAT/基本防火墙”，选择“属性”，选中“地址分配”选项卡。（2） 配置DNS代理NAT服务器可以担当DNS代理的功能，NAT服务器本身并不是DNS 服务器。它只是将专用网络的域名解析请求转发给互联网上的DNS服务器。（3） 配置DNS代理1 拓扑结构2 实验步骤1 在Nanjing上配置DNS服务器，创建Shanghai的主机记录2 将Beijing对内网卡的DNS服务器指向Nanjing3 启用NAT服务器的DNS代理功能 “开始”“管理工具”“路由和远程访问”，选择“IP路由选择”，右击“NAT/基本防火墙”，选择“属性”，选中“名称解析”选项卡。选中“使用域名系统的客户端”。4 将内网计算机的DNS服务器指向NAT服务器5 在内网中尝试用域名访问Shanghai上的WEB站点三 内部网络的开放（1） 端口映射1 什么是端口映射，为什么要映射端口？2 拓扑结构见上图3 实验步骤I. 在专用网络的计算机上，如“物理机”安装WEB和FTP站点II. “开始”“管理工具”“路由和远程访问”，选择“IP路由选择”，单击“NAT/基本防火墙”，双击对外的网络接口，选择“服务和端口”标签。III. 选中“WEB服务器”，在弹出的对话框中输入，内网WEB服务器的专用IP地址IV. 选中“FTP服务器”，在弹出的对话框中输入，内网FTP服务器的专用IP地址V. 从外网尝试访问内部网络的“WEB服务器”和“FTP服务器”访问格式：HTTP:/NAT服务器对外网络接口IP地址（2） 地址映射1 什么是地址映射，为什么要地址映射？只开放某些端口，不能满足所有应用程序的要求，如“网络游戏”。使用地址映射将使内部计算机完全开放。2 拓扑结构见上图3 实验步骤I. 开始”“管理工具”“路由和远程访问”，选择“IP路由选择”，单击“NAT/基本防火墙”，双击对外的网络接口，选择“地址池”标签。II. 选择“添加”，将已申请的公网IP地址填入其内III. 选择“保留”，填入IP地址的映射关系，要选中“允许将会话传入到此地址”IV. 访问格式：NAT服务器对外网络接口IP地址四 基本防火墙（1） NAT服务器提供基本的防火墙功能，外网不能Ping通NAT服务器对外网卡（2） 允许外网Ping通NAT1 取消“基本防火墙功能”开始”“管理工具”“路由和远程访问”，选择“IP路由选择”，单击“NAT/基本防火墙”，双击对外的网络接口，取消“在此接口上启用基本防火墙”2 允许响应来自Internet的消息 开始”“管理工具”“路由和远程访问”，选择“IP路由选择”，单击“NAT/基本防火墙”，双击对外的网络接口，选中“ICMP”选项卡，允许“传入的回应请求”证书的申请与管理实验指导注释：对于企业CA可以通过“证书申请向导”和“使用WEB浏览器”两种方式来申请证书，而对于独立CA只能通过“使用WEB浏览器”两种方式来申请证书。所以安装独立CA之前，应先安装IIS组件。一 安装独立根CA(1) “开始”“控制面板”“添加删除程序”“添加/删除Windows组件”“证书服务”(2) 选择“独立根CA”(3) 输入CA的名称等信息二 使用WEB浏览器申请证书(1) 在客户端启动IE浏览器(2) 输入HTTP：/CA的计算机名称或IP地址/certsrv(3) 申请一个证书，然后输入个人信息并提交申请(4) 查看申请的证书所处于的状态“输入HTTP：/CA的计算机名称或IP地址/certsrv”“查看挂起的证书申请的状态”三 CA颁发用户申请的证书(1) 以系统管理员身份登录到独立CA(2) “开始”“管理工具”“证书颁发机构”(3) 右击挂起的证书“所有任务”“颁发”被颁发的证书会出现在“颁发的证书”文件夹内。四 下载并安装用户申请的证书(1) 使用IE连接到CA， (2) 选择“查看挂起的证书申请的状态”(3) 安装证书 注释：安装客户证书的过程将自动安装CA证书，从此信任此CA并信任此CA颁发的所有证书 提示：怎样知道客户机是否信任某个CA呢? 打开IE浏览器“工具” “Internet选项” “内容” “证书” 出现在“受信任的根证书颁发机构”中的CA即为所信任的CA。五 配置客户端信任根独立CA(1) 为什么要信任CA(2) 操作“使用IE连接到CA”“下载一个CA证书，证书链或CRL”“安装此CA证书链”六 安装独立的从属CA(1) 安装证书服务并架设独立从属CA安装证书服务，设置为独立从属CA，将向根CA申请证书的信息文件存放到共享文件夹CertConfig(2) 将独立从属CA的申请文件传给父CA使用浏览器连接到根CA“证书申请”“高级申请”，将信息文件的内容复制到“保存的申请”的文本框中。下载证书链，存放到共享文件夹CertConfig中(3) 安装下载的CA证书“开始”“管理工具”“证书颁发机构”“所有任务”“安装CA证书” ；完成安装后选择“所有任务”“启动服务”七 证书的管理(1) CA的备份与还原 备份CA：“开始”“管理工具”“证书颁发机构”“所有任务”“备份” 还原CA：“开始”“管理工具”“证书颁发机构”“所有任务”“还原CA”(2) 吊销证书与证书吊销列表（CRL）1. 发布CRL 自动发布 CA默认每隔7天发布一次CRL，可以通过右击“吊销的证书”“属性”来更改默认的间隔时间。 手工发布 右击“吊销的证书”“所有任务”“发布”2. 下载CRL 自动下载 手动下载(3) 导入与导出用户的证书 使用IE浏览器 利用“证书”管理单元(4) 更新证书证书更新的概念，见P170面 更新CA 的证书右击“证书服务器”“所有任务”“续订CA证书” 更新用户的证书启动“证书”管理单元，右击证书“所有任务”“使用相同的密钥匙续订证书”或“使用新密钥匙续订证书”SSL安全套接字层实验指导一 实验拓扑二 构建SSL站点的实验步骤（1） 建立带有动态页面的WEB站点，客户端发起访问，使用“网络监视器”捕获关键数据。（2） 下载CA证书（3） WEB服务器向CA服务器申请用于建立SSL链接的证书1 “开始”“管理工具”“IIS管理器”2 “网站”“属性”“目录安全性”“服务器证书”“新建证书”“稍后发送”3 HTTP：/CA / certsrv “高级申请”4 安装证书“网站”“属性”“目录安全性”“服务器证书”“处理挂起的请求并安装证书” 5 启用SSL “目录安全性”“编辑”“要求安全通道SSL”6 客户端访问I. 下载CA证书II. 使用 HTTPS：/网站名称 访问网站III. 使用“网络监视器”，抓取数据包并分析结果三 将网站的证书存盘（1） 将网站的证书导出存盘1 启动IIS管理器,右击默认网站“属性”“目录安全性”“服务器证书”2 选择“将当前证书导出到一个.pfx文件”3 设置文件名与路径4 输入密码，单击完成（2） 将证书导入网站1 启动IIS管理器,右击默认网站“属性”“目录安全性”“服务器证书”选择“从.pfx文件导入证书”IPSec与网络安全实验指导一 IPSec的实现（1） 启动MMC，添加“IP安全策略管理”器（2） 定义IPSec策略（3） 指派策略（4） 实现双方通信（5） 使用网络监视器，监视通信过程二 建立IPSec策略，并验证是否安全通信（1） 实验环境在“北京”和“上海”虚拟机上分别启用“IP安全策略管理”器，添加IPSec安全策略。（2） “北京”设置为“请求安全性”，“上海”设置为需要安全（3） 从“北京”上Ping“上海”（4） 使用“网络监视器”捕获数据包，说明是否安全通信三 检验以下通信，并判断是否安全通信（1） “服务器”策略与“无策略”（2） “安全服务器”策略与“无策略（3） 与“服务器”策略（4） 安全服务器”策略与“服务器”策略四 使用证书进行身份验证（1） 安装CA，客户端下载并安装CA证书（2） 客户端分别向CA申请“客户端身份验证证书”并安装在计算机帐户下（3） 将CA证书通过“导出”，“导入”的方法也安装到计算机帐户下（4） 配置IPSec安全策略，使用CA证书进行身份验证五 使用IPSec加密WEB访问（1） 新建WEB站点，使客户端能够正常访问（2） 建立服务器端策略，并指派（3） 客户端无法访问（4） 客户段建立响应策略，并指派（5） 可以访问，数据被加密远程访问与VPN实验指导实验拓扑一 实验总体步骤（1） 架设VPN服务器（2） 给予用户远程访问的权限（3） 在VPN客户端建立Internet连接（4） 在VPN客户端建立VPN拨号连接（5） VPN客户端连上Internet并与VPN服务器建立连接二 构建PPTP VPN（1） 架设VPN服务器步骤1：“开始”“程序”“管理工具”“路由和远程访问”步骤2：“远程访问”“VPN”步骤3：选择连接Internet的网络接口步骤4：选择IP地址“来自一个指定的地址范围”选择“否，使用路由和远程访问来对连接请求进行身份验证”（2） 给予用户远程访问的权限“右击选定的用户帐户”“拨入”“允许访问”（3） 在VPN客户端建立VPN拨号连接步骤1：右击“网上邻居”，选择“属性”“创建一个新的连接”步骤2：选择“连接到我的工作场所的网络”步骤3：选择“虚拟专用网络连接”步骤4：输入公司名称“不拨初始连接”步骤5：输入VPN服务器的IP地址或主机名称（4） VPN客户端连上Internet并与VPN服务器建立连接步骤1：VPN客户端连上Internet步骤2：使用新建的VPN拨号连接，连接VPN服务器（5） 验证实验结果1. 可否直接访问内网计算机2. 可否访问VPN服务器的Internet接口3. 验证数据在传输过程是否被加密提示：分别在内网计算机和VPN服务器上安装“网络监视器”，从外网发起访问，捕获并分析据包是否被加密。三 使用DHCP为VPN客户端分配IP地址步骤1：在内网配置一台可以正常工作的DHCP服务器 步骤2：打开“路由和远程访问”步骤3：右击“服务器”“属性”“IP”,将IP地址的指派方式改为“动态主机配置协议”步骤4：右击“IP路由选择”右击“DHCP中继代理”“属性”，输入DHCP服务器的IP地址四 使用“预共享密钥”构建L2TP VPNVPN服务器：1. 打开“路由和远程访问”，右击“服务器”“属性”“安全”2. 选取“为L2TP连接允许自定义IPSec策略”3. 在“预共享的密钥”处设置一串字符串，此字符串必须与客户端设置相同。VPN客户机：1. 右击“VPN连接”“属性”“网络”2. 在“VPN类型”中选择“L2TP IPSec VPN”3. 选中“安全”标签，“IPSec设置”输入与服务器相同的一串字符串五 远程访问策略（1） 新建远程访问策略步骤1：“开始”“程序”“管理工具”“路由和远程访问”步骤2：远程访问策略步骤3：右击右侧空白区域新建远程访问策略（2） 新建远程访问策略1 管理员组的成员24小时可以连接远程访问服务器2 普通用户组的成员只有在特定时间才可以访问六 RADIUS服务器与IAS（1） 安装IAS服务器步骤1：“开始”“控制面板”“添加删除程序”“添加/删除Windows组件”步骤2：“网络服务”“详细信息”Internet验证服务（IAS）（2） 在IAS服务器上指定RADIUS客户端步骤1：“ 开始”“管理工具”“Internet验证服务”步骤2：右击“RADIUS客户端”“新建RADIUS客户端”（3） 在VPN服务器上改变身份验证方式步骤1：“开始”“路由和远程访问”步骤2：右击服务器“属性”“安全”，将身份验证方式改为RADIUS验证步骤3：右击右侧空白区域新建远程访问策略步骤4：重新启动VPN服务器电子邮件服务器实验指导一 安装电子邮件服务“开始”“控制面板”“添加删除程序”“添加/删除Windows组件”选中“电子邮件服务”二 设置POP3服务器（1） 启动POP3服务管理器“开始” “管理工具”“POP3服务”（2） 选择适当的身份验证方法选中POP3服务器单击“服务器属性”身份验证方法选择“本地Windows帐户”（3） 建立E-mail域选中POP3服务器单击“新域”输入新域的域名（4） 建立客户电子邮箱选中已建立的新域输入“邮箱名称”和“相关联的用户帐户的密码”（5） 邮件在POP3服务器上的存放位置POP3服务器上有一个存放用户邮件的“邮件存放区，位于%systemroot%inetepubmailrootmailbox ，可以通过设置磁盘配额来限制用户邮箱的容量大小 注：邮件发出后正常情况下，邮件将位于对方的POP3服务器的邮件存放区，当对方用户利用客户端软件收取邮件后，邮件将被下载到客户端计算机。三 在客户端建立电子邮件帐户（1） 启动Outlook Express ，选择“工具”“帐户”“添加”“邮件”（2） 输入“显示的用户名”和“邮件地址”（3） 输入POP3与SMTP服务器的IP地址（4） 输入连接POP3服务器的帐户名称四 给自己发送一封邮件，验证服务器设置是否成功五 架设功能完整的电子邮件服务器（1） 实验拓扑（2） 在Shanghai上建立Tom的邮件帐户，在Nanjing上建立Bob的邮件帐户（3） 分别设置Shanghai和Nanjing POP3服务器，使Tom和Bob可以给自己发送邮件（4） 设置身份验证方式，使SMTP服务器可以转发邮件“开始”“管理工具” “IIS服务管理器” 右击“SMTP虚拟服务器”“属性”“访问”“身份验证”选中“集成Windows身份验证”（5） 设置邮件客户端（Outlook）的身份验证方式“工具”“帐户”“邮件”双击要修改的帐户选择“服务器”标签选取“我的服务器要求身份验证”单击“设置”输入邮件帐户名（不要域名）和密码（6） 配置DNS服务器，添加MX资源记录1 在DNS服务器上新建立和两个主要区域2 在中添加Shanghai的“主机记录”，“别名记录”和“邮件交换器”3 在区域中做类似操作4 将Shanghai和Nanjing分别指向DNS服务器六 POP3服务器的设置（1） 常规设置1. 端口2. 事件日志记录级别 无 - 无日志记录。 低 - 仅记录关键性事件。 中 - 记录关键性事件和警告事件。 高 - 记录关键性事件、警告事件和信息性事件。3. 身份验证4. 根邮件目录5. 设置磁盘配额（2） 域管理选项1 锁定/解除锁定的锁定或解除锁定。解除域的锁定将允许域中所有的用户检索电子邮件，而锁定域将禁止检索电子邮件。2 统计信息3 新建/删除域（3） 邮箱管理选项1 新建邮箱2 删除邮箱3 邮箱的锁定或解除锁定4 更改邮箱密码格式：winpop changepwd usernamedomain_name new_password（4） 服务器状态1 开始：从停止或暂停状态启动 POP3 服务，允许 POP3 客户端连接到服务器检索电子邮件。2 停止：停止 POP3 服务。终止当前所有连接。3 暂停：暂停 POP3 服务，不再接受新连接。现有连接将不受影响。4 继续：从暂停状态启动 POP3 服务，允许 POP3 客户端连接到服务器检索电子邮件。5 重新启动：重新启动 POP3 服务。终止当前所有连接。七 SMTP服务器的基本管理（1） IP地址与TCP端口的设置（2） 启动、停止、暂停SMTP服务器（3） 启动、停止、暂停SMTP服务（4） 连接的设置（5） 添加SMTP虚拟服务器（6） 启用日志记录八 设置SMTP的安全性九 使用证书签名与加密电子邮件活动目录一：域的建立与备份实验指导实验目的：掌握安装域控制器的方法；掌握如何将客户端计算机加入域；掌握建立额外的域控制器的方法，了解域控制器之间的数据复制；掌握维护活动目录数据的方法实验要求：实验课时：4课时实验内容：实验一：建立第一个域中的第一台域控制器（1） 建立域前的准备工作 DNS域名 DNS服务器 足够的硬盘空间 一个NTFS硬盘分区（2） 建立域方法1：开始运行DCPROMO 根据向导选择合适的选项方法2：开始管理工具管理您的服务器舔加或删除角色（3） 确认AD是否正确安装1 查看DNS服务器中是否存在SRV记录2 排除SRV记录登记失败的问题方法1：在域控制器上执行命令ipconfig /registerdns方法2：重新启动“Net Logon”服务（4） 安装活动目录后系统中会发生那些变化？注释：域控制器建立后，域控制器本身将不能登录到本机，只能登录到域实验二：将客户端计算机加入域（1） 客户端指向DNS服务器（2） 加入域方法：右击“我的电脑”属性计算机名更改选中“域”，输入域名（3） 以域用户帐户登录思考：登录域与登录本机的区别实验三：添加额外的域控制器（1） 正确指向DNS服务器（2） 建立额外的域控制器方法：开始运行DCPROMO（3） 在其中一个域控制器上建立和删除用户，观察其他域控制器上的变化实验：在一个域控制器上建立用户Tom ，稍等片刻后，观察另外一个域控制器上是否有Tom ；再将Tom删除，观察另外一个域控制器上的变化。（4） 域控制器间数据的复制（见课本P65面） 自动复制 手动复制实验四：活动目录数据库的备份域还原（1） 备份AD数据库AD数据库与SYSVOL文件夹都属于“系统状态”，通过备份系统状态可以备份AD数据库与SYSVOL文件夹。 方法：开始程序附件系统工具备份（2） 还原AD数据库实验五：活动目录数据库的维护（1） AD数据库的转移（2） AD数据库的整理（3） 重设“目录还原模式”的系统管理员密码活动目录二：域用户和组实验指导实验目的：掌握在域环境中用户帐户、组帐户和OU的创建与管理的基本方法;掌握提升域功能级别的方法；掌握利用OU实现委派控制的方法实验要求：可以将一台普通计算机提升为域控制器；了解域用户的概念，域帐户与本地的区别实验课时：4课时实验内容：实验一：创建域用户账号（1） 使用“Active Dricetory用户与计算机”创建用户账号（2） 使用命令dsadd创建用户账号（3） 批量新建用户1 用于批量建立用户的命令 Csvde.exe可以添加用户（或其他类型的对象），但不能用来修改和删除用户账户 Ldifde.exe可以用来添加、删除和修改用户账户（或其他类型的对象）2 实验：使用Csvde.exe批量建立用户使用Excel建立工作表，如P67面图3-13所示注意：DN下面的内容不加引号，保存为csv格式执行命令csvde i f 文件名 注：默认情况下Users组成员不允许在域控制器上交互登录实验二：管理用户账号（1） 普通管理任务 添加到组 禁用账户 重设密码 移动 删除 重命名（2） 设置用户账号属性1 “常规”、“地址”、“电话”和“单位”选项目卡2 “账户”选项卡 登录时间 登录到 帐户选项 帐户过期3 “配置文件”选项卡 用户配置文件 主文件夹（3） 在AD中搜索用户账号以administrator登录，打开“AD用户和计算机”，右击域名选择查找（4） 域用户账号复制账号复制是新建账号的一种手段，通过账号的复制可以避免输入大量雷同的信息，在需要建立大量用户帐户是减少了工作量提高了效率。1 建立模板帐户并输入相应用户信息2 右击用户“复制”输入用户的基本信息（5） 删除域用户账号（6） 查看用户账号的SID1 以要查看的用户账号登录2 在DOS方式下输入命令whoami /user实验三：建立UPN后缀步骤一：打开“AD域和信任关系”右击“AD域和信任关系”“属性”步骤二：在打开的窗口中输入新的UPN后缀，单击添加步骤三：打开“AD用户和计算机”，右击用户“属性”“帐户”来改变用户的UPN后缀实验四：提升域功能级别实验五：创建域中的组账号（1） 使用“Active Dricetory用户与计算机”创建组账号（2） 使用命令dsadd创建组账号实验六：管理域中的组账号（1） 组账号的常规管理1 设置组账号的信息2 设置组成员3 设置组的管理者4 组账号重命名（2） 组账号的删除实验七：在域中创建OU与删除OU（1） 使用“Active Dricetory用户与计算机”创建OU账号（2） 使用命令dsadd创建OU账号（3） 使用命令删除OU实验八：在OU之间移动活动目录对象实际工作中当员工从一个部门调到另一个部门时，我们可以对应将用户从一个OU移动到另外一个OU。用户的移动并不会已经赋予改变用户的权限，只是该用户今后将应用新的OU的组策略设置。方法：打开“AD用户和计算机”右击选定的用户“移动”选择目标OU实验九：利用OU实现委派管理除了可以在OU上设置组策略以外，OU的另外一个很重要的作用就是可以实现委派管理控制。当活动目录中的资源非常多时，使用OU不但可以起到组织资源的作用，而且可以利用OU实现权限的委派，从而减轻了管理员的工作负担。（1） 在域中的计算机上安装管理工具（两种方法）1 安装Windows Server 2003管理工具包安装位于安装光盘I386文件夹下的ADMINPAK.MSI下的程序2 利用MMC插件进行安装（2） 利用OU实现委派管理右击要委派的OU“委派控制”添加“选定的用户和组”选择“要委派的任务”“完成” 在一台域中的安装有管理工具的计算机上以被委派的用户身份等录，验证委派结果。（3） 在AD中收回委派的权限以管理员身份登录域控制器打开“AD用户和计算机”右击某个OU安全将被委派的用户删除注释：右击某个OU，选属性时，默认只有4个选项卡，“对象”和“安全”不出现 使之出现的方法：打开“AD用户和计算机”选择“查看”菜单选中“高级”活动目录三：组策略基础实验指导实验目的：掌握在域环境中和组策略配置和使用的基本方法；能够使用组策略管理用户工作环境；能够使用组策略部署软件；能够使用软件限制策略限制用户对软件的使用。理解组策略中的计算机配置和用户配置的区别。掌握通过命令立即应用组策略配置的方法。实验要求：可以将一台普通计算机提升为域控制器；了解域用户的概念，域帐户与本地户的区别实验课时： 4课时实验内容：一 在域环境中配置组策略的方法（1） 组策略的应用对象组策略可以应用到站点、域和OU（2） 两条默认策略一条是域的默认组策略，另一条是域控制器的默认组策略（3） 实验一：以便一般用户能够从域控制器登录（计算机配置）实验步骤见课本P82面（4） 实验二：设置组策略，当属于“业务部”OU中的用户登录域后删除其“开始”菜单中的“运行”选项（用户配置）实验步骤见课本P84面二 使用组策略管理用户工作环境（1） 管理模板策略使用“管理模板策略”可以进行以下设置 限制用户只可以运行指定程序 隐藏在控制面板内的指定图标 禁用按Ctrl+Alt+Del组合键后所出现的对话框中的选项 隐藏桌面上所有的图标 限制使用IE浏览器的“Internet选项”的部分功能 删除“开始”菜单中的“关机”图标 实验三：隐藏“控制面板”中的“添加/删除程序”图标（用户配置）（2） 帐户策略1 配置帐户策略时的注意事项：（见课本P99面） 对整个域来说 对某个OU来说2 帐户策略的主要设置 密码策略 帐户锁定策略实验四：禁用“密码策略”中的“密码必须符合复杂性要求”选项（计算机配置）（3） 用户权限分配策略 实验五：赋予用户“更改系统时间”的权限（计算机配置）（4） 安全选项策略 实验六：配置“安全选项策略”，允许用户在未登录前关机（计算机配置）（5） 脚本策略 实验七：为“业务部”OU中的用户配置“登录”和“注销”脚本（6） 文件夹重定向 实验八：将用户的“我的文档”重定向到服务器上的某个共享文件夹活动目录四：软件部署与限制实验指导一 复习“文件夹重定向”二 软件部署1. 将软件发布给用户2. 安装被发布的软件3. 测试软件的自动修复功能4. 取消发布软件5. 将软件指派给用户6. 将软件指派给计算机7. 软件升级三 软件限制1 建立“哈希规则”2 建立“路径规则”活动目录五：域和信任关系实验指导实验目的：掌握创建子域的方法；掌握多个域中的AGDLP规则的使用；掌握快捷信任的创建；了解林的信任的创建；掌握信任的管理的方法；了解域控制器的更名。实验课时：2课时实验一、创建子域实验二、实践“AGDLP规则”实验三、创建“快捷信任”实验四、改变域控制器的计算机名实验五、管理与删除信任在域环境中配置组策略的方法（5） 组策略的应用对象组策略可以应用到站点、域和OU（6） 两条默认策略一条是域的默认组策略，另一条是域控制器的默认组策略（7） 实验一：以便一般用户能够从域控制器登录（计算机配置）实验步