《Windows Server 2022网络服务器配置与管理》课件全套 项目1-9　安装虚拟机及操作系统-配置FTP服务

项目一安装虚拟机及操作系统1VMwareWorkstation的安装2WindowsServer2022的安装目录CONTENTS21Windows11客户端的安装3某企业要升级现有的网络服务器，在调试之前需要对当前生产环境进行模拟测试。由于无法直接在生产环境中进行调试，因此决定使用虚拟化技术搭建一个与现有生产环境高度相似的测试环境，测试环境包括多台虚拟化的Windows服务器及Windows客户端。如图所示为模拟测试环境的架构，通过在工作站主机/笔记本计算机中搭建虚拟环境，安装WindowsServer2022和Windows11操作系统虚拟机，模拟网络拓扑结构、业务应用部署等，在模拟环境中测试现有生产环境。34模拟测试环境的架构任务1VMware Workstation的安装5●能描述VMwareWorkstation软件的用途。●能了解VMwareWorkstation软件的硬件要求。●能通过官方网站下载VMwareWorkstation软件。●能完成VMwareWorkstation软件的安装和使用。6通过学习虚拟机的基础知识，能描述VMwareWorkstation软件的用途，并了解VMwareWorkstation软件的硬件安装要求，访问其官方网站，根据自身的操作系统类型或版本，选择并下载对应的VMwareWorkstation软件版本，并完成安装。7一、虚拟机的组成和工作原理1. 虚拟机的组成虚拟机由虚拟硬件（包括处理器、内存、硬盘、网络适配器等）和虚拟化层（hypervisor）组成。虚拟硬件模拟物理计算机的各个组件，而虚拟化层负责创建和管理虚拟机。虚拟化层包括原生和托管两种类型，原生是直接运行在物理硬件上的，而托管是运行在操作系统上的。82. 虚拟机的工作原理虚拟机是通过硬件虚拟化技术将单个物理硬件资源虚拟为多个独立的虚拟资源。每台虚拟机使用这些虚拟资源，可以在同一台主机上同时运行多个虚拟机；每台虚拟机彼此相互隔离，拥有独立的虚拟硬件（包括处理器、内存、硬盘、网络适配器等）。虚拟机具有封装完整硬件系统环境的优势，可以在其中安装不同的虚拟机操作系统，并根据需要进行备份、迁移等操作。9二、VMware Workstation软件的功能和硬件要求1. VMware Workstation软件的功能（1）虚拟机创建用户可以在其台式计算机或笔记本计算机上创建和运行虚拟机，每台虚拟机可以运行不同的操作系统。（2）快照和克隆VMwareWorkstation软件允许用户在不同时间点拍摄虚拟机快照，该功能对于开发和测试很有用，因为它允许用户在需要时返回先前的状态，快照和克隆功能可以快速复制虚拟机。10（3）兼容性VMwareWorkstation软件支持多种操作系统，并与各种虚拟机和宿主机的操作系统组合兼容。（4）集成VMwareWorkstation软件与宿主机的操作系统集成，允许在虚拟机和宿主机的操作系统之间进行文件共享，同时支持拖放功能。11（5）网络用户可以为虚拟机配置不同的网络设置，包括桥接、NAT和仅主机模式等网络方式。（6）高级功能VMwareWorkstation软件包括3D图形支持、USB设备支持以及为虚拟机分配多个处理器核心等高级功能。122. VMware Workstation软件的硬件要求（1）处理器需要使用具有虚拟化技术的多核心处理器，VMwareWorkstationPro通常对具有更多核心和较高时钟速度的处理器表现更好。（2）内存建议至少需要8GB内存，对于更复杂的虚拟机场景，可能需要容量更大的内存。（3）硬盘空间至少需要几十GB的可用硬盘空间用于安装操作系统和虚拟机，虚拟机文件的大小也会占用相应的硬盘空间。13（4）图形处理器支持3D图形的虚拟机通常要求具备较新的图形处理器，且需要相应的驱动程序。（5）操作系统VMwareWorkstationPro通常支持多种主流的操作系统，包括Windows和Linux，确保宿主机的操作系统符合软件要求。14（6）网络对于网络功能，确保网络适配器和驱动程序在主机上正常工作。（7）虚拟化技术确保主机的BIOS/UEFI启用了虚拟化技术。（8）其他高分辨率显示器能提高用户体验，尤其是在同时运行多个虚拟机时。15三、控制虚拟机的网络连接方式VMwareWorkstation软件提供了多种虚拟机的网络连接类型，每种类型在网络配置和连接方面有不同的特点，应根据不同应用条件和场景进行选择，虚拟机的网络连接方式见下表。1617拟机的网络连接方式四、虚拟机快照虚拟机快照是虚拟机在特定时间点的状态恢复点，它捕获了虚拟机当时的状态和数据，包括内存、虚拟硬盘和设备配置。这种功能常用于虚拟机的迁移、创建多个实例、系统调试或数据保护，特别是在进行重大更改前创建快照，以便在出现问题时可以快速回滚到之前的状态。181. 虚拟机快照的状态虚拟机快照只是在给定时间点捕获和存储的虚拟机状态和数据的增量记录，对虚拟机本身没有任何影响。但是，如果在需要反复回滚到虚拟机特定状态的环境中工作，虚拟机快照可以允许这样操作，而无需创建多个虚拟机。2. 虚拟机快照的限制（1）不支持使用独立磁盘的已打开电源或挂起的虚拟机快照，在捕获快照之前，必须关闭虚拟机的电源。（2）不建议将快照用作备份和恢复方式，因为其会消耗大量磁盘空间并影响虚拟机的性能。（3）捕获硬盘大于2TB的虚拟机快照可能需要较长时间。19任务2Windows Server 2022的安装20●能熟悉WindowsServer2022的硬件要求。●能在微软官网下载最新版的WindowsServer2022镜像文件。●能在VMwareWorkstation环境下创建WindowsServer2022虚拟机。●能在VMwareWorkstation环境下安装WindowsServer2022操作系统。21通过对本任务的学习，熟悉WindowsServer2022的硬件需求，理解不同版本之间的差异，并掌握安装操作系统的硬件要求。此外，学会在微软官网上获取最新版本的服务器系统镜像文件，以及在VMwareWorkstation环境下创建和安装WindowsServer2022操作系统的虚拟机。2223一、Windows Server 2022概述WindowsServer2022是微软推出的服务器操作系统，于2021年8月发布。WindowsServer2022引入了高级多层安全性、Azure混合功能以及灵活的应用程序平台，此系统版本引入安全核心功能，以帮助保护硬件、固件和WindowsServerOS功能免受高级安全威胁。安全核心服务器基于WindowsDefenderSystemGuard和虚拟化的安全性等技术构建，可最大程度地降低固件漏洞和高级恶意软件带来的风险。二、Windows Server 2022的版本WindowsServer2022提供标准版、数据中心版和数据中心Azure版3个版本，WindowsServer2022不同版本对比见下表。24WindowsServer2022不同版本对比三、Windows Server 2022的硬件要求运行WindowsServer2022的计算机必须满足最低硬件要求，这些要求适用于所有安装选项（服务器核心和具有桌面体验的服务器）以及标准版和数据中心版，处理器最低要求为1.4GHz64位、内存最低要求为512MB（带桌面体验的服务器为2GB）、磁盘空间至少需要32GB。此外，计算机还必须支持安全启动的固件、受信任的平台模块、支持1024×768或更高分辨率的图形设备。如果未达到上述要求，将无法正确安装WindowsServer2022。25任务3Windows 11客户端的安装26●能熟悉Windows11客户端的系统硬件要求。●能在微软官网下载最新版的Windows11镜像文件。●能在VMwareWorkstation环境下安装Windows11虚拟机。●能在VMwareWorkstation环境下安装Windows11操作系统。27通过对本任务的深入学习，能够熟悉Windows11的硬件需求，理解不同版本之间的差异，并掌握其硬件要求。此外，还应学会在微软官网上获取最新版本的客户端系统镜像文件，以及在VMwareWorkstation环境下创建和安装Windows11操作系统的虚拟机。2829一、Windows 11概述Windows11是微软于2021年6月发布的操作系统，作为Windows10的继任者，它改进和引入了许多新的功能，其主要变化包括重新设计的开始菜单和任务栏，带来更简洁的布局，提升了多任务处理效率。触摸体验也得到了优化，更适合触摸屏设备。在游戏方面，DirectX12Ultimate的支持，带来了更好的图形性能，进一步提升了游戏体验。二、Windows 11的最低系统要求计算机要运行Windows11，必须满足最低硬件要求，处理器最低要求为1GHz，内存最低要求为4GB，磁盘空间至少需要64GB，要求显示器需要支持96DPI的1366×768或更高分辨率，并且需要支持Windows显示驱动模型2.0的图形卡。此外，计算机必须具备统一可扩展固件接口（UEFI），并支持安全启动和受信任的平台模块（TPM）版本2.0。需要注意的是，Internet连接是执行更新以及下载和使用某些功能所必须的；Windows11家庭版在首次使用时，需要Internet连接和Microsoft账户才能完成设置。如果未达到这些要求，将无法正确安装Windows11。30项目二配置DHCP服务31静态网络地址的配置2DHCP服务的安装与配置目录CONTENTS321DHCP服务的备份与还原3某小型企业有员工200人，其企业网络连接方式采用有线与无线相结合，涵盖计算机、笔记本计算机及手机等各类联网设备，其企业网络拓扑的简化版本如图所示，其中WIN11-PC模拟企业工作站客户端，WINSRV1模拟企业DHCP服务器，在实验环境中两者通过VMwareWorkstation虚拟交换机进行连接。3334企业网络拓扑的简化版本任务1静态网络地址的配置35●能熟悉IPv4地址的组成和分类。●能进行IPv4地址子网划分。●能配置Windows操作系统的静态IPv4网络地址。36通过学习IPv4的基础知识，能够在Windows操作系统中配置静态网络地址、DNS服务器地址，以确保主机的稳定连接，并且能够使用常用网络指令工具检查配置是否正确。37一、IP地址概述IP是英文internetprotocol的缩写，其含义是“网络之间互连的协议”，也就是为计算机网络相互连接进行通信而设计的协议，其能使连接到网上的所有计算机实现相互通信，并规定了计算机在互联网上进行通信时应当遵守的规则。目前，IP地址有两个主要的版本，分别是IPv4（internetprotocolversion4）和IPv6（internetprotocolversion6）。381. IPv4协议IPv4是最早的IP版本，它使用32位地址，通常以点分十进制表示。IPv4支持约42亿个不同的地址，这在今天的互联网环境中已经不够用。由于IPv4地址空间的有限性，随着互联网的发展，IPv4地址用尽成为一个问题。392. IPv6协议为了解决IPv4地址空间不足的问题，IPv6协议被引入。IPv6使用128位地址，以冒号分隔的八组十六进制数字表示。IPv6的引入是为了支持更多的设备连接到互联网，并提供更好的网络性能、安全性和配置管理。然而，由于历史原因，IPv4和IPv6在互联网中仍然共存，并通过各种技术和协议相互兼容，这被称为IPv4和IPv6的共存与过渡技术。40二、IPv4地址的格式1. 数制的计算二进制、八进制、十进制和十六进制是不同的进制系统，用于表示数字。进制系统有不同的基数，表示每个进制中的有效数字和它们的权重。下表为数制的计算示例。4142数制的计算示例2. 书写格式IPv4地址由4个字节32位二进制数字组成，每一位二进制数被称为一个比特，8个比特组成一个字节。IPv4地址分为网络部分和主机部分。其中网络部分用于标识网络，区分不同的网段，主机部分用于标识具体的设备，可分配给当前网段中的某台终端使用。43三、IPv4地址的分类1. 按照用途和网络规模划分IPv4地址根据其用途和网络规模被划分为不同的类别，主要目的是根据网络的规模和需求对地址进行有效的管理和分配，如图所示。44按照用途和网络规模划分示意图IPv4地址分类采用了二进制最高位的数值范围来确定地址的类别，包括A、B、C、D、E5个主要类别，其中A、B、C类地址主要供普通的网络设备使用，D类地址为组播地址，E类地址为实验室保留地址，仅供互联网实验和开发使用。452. 按照地址中的可用地址划分（1）公有地址公有地址是全球唯一的IP地址，用于直接连接到互联网。公有地址是由互联网注册管理机构和互联网服务提供商分配的，以确保在全球范围内的唯一性。公有地址可用于直接在互联网上进行通信，是全球可见和可访问的。46（2）私有地址私有地址是为组织内部网络而保留的地址，不可在全球互联网上直接访问。私有地址允许在组织内部网络中自由分配IP地址，而无需担心与全球互联网上的其他设备发生冲突。IPv4的私有地址范围包括三个段：A类地址范围为到55；B类地址范围为到55；C类地址范围为到55。473. 子网掩码子网掩码又叫网络掩码、地址掩码，用于将某个IPv4地址划分为网络地址和主机地址两部分。子网掩码和IPv4地址相同，由4个字节32位二进制数字组成。子网掩码不能单独存在，它必须结合IP地址一起使用。48四、以太网适配器属性的管理1. 以太网适配器属性的管理方式在Windows操作系统中以太网适配器是计算机连接网络的重要硬件设备，其属性设置决定了网络连接的行为和性能。Windows操作系统提供了多种方法来管理以太网适配器属性，包括控制面板、命令行和WindowsPowerShell等。492. 以太网适配器属性中常见的功能和协议（1）Microsoft网络客户端该组件负责提供网络文件夹和打印机访问的客户端功能。它允许设备访问共享在局域网上的文件夹和打印机，使设备能够与其他设备进行文件夹共享和打印机共享，这是局域网内资源共享的基础。（2）Microsoft网络的文件夹和打印机共享该组件负责启用或禁用文件夹和打印机共享功能。通过此设置，用户可以控制设备是否对其他设备共享其文件夹或打印机。启用后，设备可以成为局域网中的资源提供者。50（3）Internet协议版本4（TCP/IPv4）TCP/IPv4是互联网上广泛使用的协议。它负责为设备提供IPv4地址、子网掩码、默认网关和DNS服务器等网络配置信息，这是设备在互联网上进行通信所需的基本设置。（4）Internet协议版本6（TCP/IPv6）TCP/IPv6是IPv6的协议，作为IPv4的下一代协议，支持更多的IP地址。类似于IPv4，它提供了设备的IPv6地址、默认网关和DNS服务器等配置信息，以确保设备能够在IPv6网络上进行通信。51（5）VMware桥接协议（bridgeprotocol）VMware桥接协议是VMware虚拟网络设备中的一种协议，用于实现虚拟机与物理网络之间的桥接连接，桥接连接使虚拟机能够通过主机的物理网络适配器直接与局域网中的其他设备进行通信。52任务2DHCP服务的安装与配置53●能描述DHCP服务的工作原理与过程。●能安装DHCP服务器角色。●能部署和配置DHCP作用域。●能描述DHCP客户端获取IP地址的过程。54通过学习WindowsServer2022上的DHCP服务器配置，能够部署DHCP服务器，为网络客户端提供IP地址、子网掩码、默认网关及DNS服务器等关键配置信息，并使用常用网络指令工具验证配置的准确性，确保网络高效安全运行。5556一、DHCP服务概述1. DHCP网络服务动态主机配置协议（dynamichostconfigurationprotocol，DHCP）是一种网络协议，主要用于在IP网络中自动为设备分配IP地址及其他网络参数，如网关、域名服务器等。网络管理员可以通过DHCP实现IP地址的集中管理和自动分配，确保每个连接到网络的设备都具有唯一的IP地址。当设备移动到网络中的其他位置时，DHCP能够自动为其分配新的IP地址，实现网络中IP地址的动态管理。引导协议（bootstrapprotocol，BOOTP）和DHCP都是网络IP管理协议，用于为网络上的设备分配IP地址。DHCP作为BOOTP的扩展版本，在功能上有了显著的增强和拓展。BOOTP主要用于为无盘工作站分配IP地址等基本网络配置信息，而DHCP不仅继承了BOOTP的这一功能，还增添了许多实用的特性，如支持动态分配IP地址，它可以根据网络中设备的连接和断开情况，灵活地分配和回收IP地址，极大提高了IP地址的利用率。相比之下，BOOTP通常是静态地分配IP地址，缺乏这种灵活性。572. DHCP服务器角色在WindowsServer2022中，DHCP服务器角色是一种网络服务，可以自动分配IP地址和其他网络配置参数给客户端。DHCP服务器角色使用DHCP，该协议定义了客户端和服务器之间的通信方式。DHCP和BOOTP的应用场景有所不同；DHCP主要用于为已安装操作系统的设备分配IP地址，也支持无系统的PXE引导；BOOTP主要用于为无系统的设备分配IP地址，用于网络引导，如通过网络的形式安装操作系统就需要使用BOOTP。583. DHCP服务的功能WindowsServer2022DHCP服务的功能见下表。59WindowsServer2022DHCP服务的功能60WindowsServer2022DHCP服务的功能二、DHCP服务的作用域DHCP服务的作用域是指DHCP服务器可以向客户端租用IP地址的特定子网上的计算机管理分组，作用域的选项可以为DHCP客户端配置网络参数，如DNS服务器和网络网关，为所有客户端提供一致的网络参数设置。在分配IP地址之前，作用域还可以通过名称、MAC地址甚至操作系统来筛选主机。此外，还可以为每个作用域配置特定的策略，增加了灵活性和定制性。DHCP服务器包括单一作用域和DHCP超级作用域等，在DHCP服务器上定义一个或多个作用域，能够有效地管理IP地址的分发和分配给DHCP客户端。611. 单一作用域单一作用域是DHCP中最简单的配置，代表了一个特定子网中DHCP客户端可以获取IP地址和相关配置选项，DHCP作用域常见的属性和用处见下表。62DHCP作用域常见的属性和用处在部署DHCP服务器之前，要列出每个子网以及为每个子网规划的IP地址范围。此外，经过授权的DHCP服务器可以支持其他类型的作用域，提供更多的扩展功能，具体取决于用户需求和特定的部署要求。通过清晰地定义单个作用域及其属性，确保DHCP服务器能够有效地管理IP地址分配，满足网络中各个子网的需求。632. DHCP超级作用域DHCP超级作用域是DHCP服务器的一项管理功能，可用于将多个作用域分组为单个管理实体，超级作用域可以更轻松地识别作用域驻留的网络。在单个物理网络上定义了多个子网的环境中，超级作用域使DHCP服务器能够向子网向客户端分配租约。64三、DHCP服务的工作过程1. 发现阶段（discover）当设备加入网络或者重新连接到网络时，需要获取一个IP地址以便能够与网络进行通信。在这个阶段，设备通过广播发送一个DHCP发现消息，该消息指示设备正在寻找DHCP服务器。2. 提供阶段（offer）DHCP服务器收到发现消息后，会回应一个DHCP提供消息，其中包含可用的IP地址以及其他网络配置信息。由于可能存在多个DHCP服务器，设备可以收到多个提供消息。653. 选择阶段（request）设备在收到多个提供消息后，会选择其中一个DHCP服务器提供的配置。设备向所选择的DHCP服务器发送一个DHCP请求消息，确认使用该服务器提供的IP地址和配置信息。4. 确认阶段（acknowledge）DHCP服务器收到请求消息后，确认设备的选择，然后回应一个DHCP确认消息，其中包含最终的IP地址和配置信息。设备在接收到确认消息后，使用分配的IP地址和其他配置信息来配置自己的网络接口，从而完成DHCP过程。66DHCP使用租约机制，即分配给设备的IP地址和配置信息是有期限的，设备在租约到期之前需要定期与DHCP服务器进行更新或续约，以保持网络配置的有效性，如图所示为DHCP服务的工作流程。67DHCP服务的工作流程四、APIPA地址自动专用IP寻址（APIPA）是一种用于解决DHCP故障转移的机制，当DHCP服务器出现故障时，APIPA会在至54的私有地址范围内分配地址，所有设备均采用默认的网络掩码。客户机调整地址以确保在使用了ARP的局域网中具有唯一性，APIPA能为未配备DHCP服务器的单网段网络提供自动配置TCP/IP的功能。68在默认情况下，Windows计算机优先尝试与网络中的DHCP服务器建立联系，以从DHCP服务器获取自身的IP地址等信息，并对TCP/IP进行配置；若无法与DHCP服务器建立连接，或与本地DHCP服务器通信失败，无法更新租约，计算机将转为采用APIPA自动寻址方式并自动配置TCP/IP；计算机将使用APIPA分配的地址，并每隔5分钟尝试与外界的DHCP服务器联系一次，直至成功与DHCP服务器通信为止；一旦恢复正常服务的DHCP服务器可提供请求服务，客户机将自动更新其地址。69APIPA的地址范围是从到55，这个范围内的地址永远不会作为默认网关使用。使用APIPA的计算机会定期尝试与DHCP服务器进行联系，以便在DHCP服务器可用时更新其IP配置设置。APIPA允许计算机在没有DHCP服务器或静态IP地址的网络环境中自动配置IP地址，从而实现设备间的通信。70任务3DHCP服务的备份与还原71●能备份DHCP服务器的配置文件和数据库。●能使用备份文件恢复DHCP服务器。72为winsrv1上的DHCP服务器配置备份，并模拟故障出现后对DHCP服务器进行还原。7374一、DHCP服务器的备份DHCP服务器的备份是一项至关重要的工作，用于保护DHCP配置数据免受硬件故障、人为错误或其他潜在原因导致的数据丢失风险。在WindowsServer2022中，DHCP服务器的备份涵盖了其所有作用域、地址分发范围、保留地址、作用域选项以及租约信息，一旦数据丢失或DHCP服务器发生故障，该备份文件能迅速用于恢复服务器的配置。二、DHCP服务器的配置文件在WindowsServer2022中，DHCP服务器的主要配置文件和文件夹默认存储在“C：\Windows\System32\dhcp\”目录下，该目录包含DHCP服务器的数据库文件、审计日志文件以及配置文件等。75三、DHCP服务器的还原DHCP服务器的还原是指利用先前创建的备份来恢复DHCP服务器的配置和数据，为确保备份文件的完整性和可用性，并保障还原过程顺利进行，定期测试还原过程至关重要。此外，还需制定相应的灾难恢复计划，以最大限度降低服务中断的风险。76项目三配置DNS服务77DNS服务的安装与配置2辅助DNS服务的安装与配置目录CONTENTS781某小型企业拥有200名员工，由于大多数员工难以记住常用服务器的IP地址，该企业急需部署DNS服务器以提供域名解析服务。为确保高可用性并防止单点故障带来的服务中断，该企业计划配置两台DNS服务器：一台作为主DNS服务器，另一台作为备用DNS服务器。这两台服务器将通过实时同步机制，保持域名解析数据的一致性。企业网络拓扑的简化版本如图所示，其中WIN11-PC模拟企业员工的工作站客户端，NS1模拟企业主DNS服务器，NS2模拟企业备用DNS服务器。在实验环境中，所有设备通过VMwareWorkstation虚拟交换机进行连接。7980企业网络拓扑的简化版本任务1DNS服务的安装与配置81●能描述DNS服务工作原理和作用。●能安装DNS服务角色。●能创建正向、反向查找区域提供域名和IP地址的解析功能。●能在客户端上检查域名解析是否正常工作。82通过学习WindowsServer2022中的DNS服务角色安装与管理，掌握创建DNS正向、反向查询区域，以及管理DNS的地址记录、邮件交换记录、指针记录和规范名称记录等，以满足企业资源访问需求。83一、DNS服务概述域名系统（DNS）是互联网的一项核心服务，作为将域名与IP地址相互映射的分布式数据库，DNS有助于提高用户访问互联网的便利性。84DNS的主要职能是将便于记忆的域名转换为IP地址，并可反向解析IP地址为域名，提供DNS服务的主机称为DNS服务器，负责正向和反向解析。DNS域名采用分布式层次结构，根域名以“.”表示。根域名下是顶级域名，包括地理域和通用域。地理域根据国家和地区划分，如cn（中国）、us（美国）、jp（日本）等；通用域按机构类别划分，如com（商业组织）、edu（教育机构）等。顶级域名下可进一步定义次级域名，如cn下有com、net、org等。域名空间是所有主机名组成的树状层次结构，表示DNS分布式数据库。完整的域名包括从树叶节点到根节点的路径，各节点以“.”分隔。8586域名结构二、DNS服务器的类型1. 根服务器根服务器用“.”表示，位于整个域名空间的最上层，主要用来管理根域和顶级域名；目前，世界上一共有13组根服务器。2. 缓存域名服务器在域名系统中，所有的域名服务器都将非授权管理的远程域名信息保存在自己的缓存中；遇到域名查询时，首先查找缓存中的记录，如果发现该记录，将结果返回客户端；如果没有找到，按照DNS的查找规则进一步查找；缓存服务器只用来缓存DNS域名的信息，而没有本地的域名数据库，不管理任何域名信息。873. 主域名服务器每个域都必须有一个主域名服务器，该域的所有DNS数据库文件的修改都在此服务器上进行；主域名服务器管理对其子域的授权，并且对该域中的辅助域名服务器进行周期性的更新和同步。4. 辅助域名服务器每个域至少应该有一个辅助域名服务器，辅助域名服务器从相应主域名服务器获得域名数据库文件的拷贝，并对所服务的域提供和主域名服务器一样的授权信息。88三、域名查询解析的过程如图所示为域名查询解析的过程。89域名查询解析的过程在计算机系统中，hosts文件作为一种域名解析工具，能够对域名进行解析。通常情况下，系统会优先查找hosts文件，一旦在hosts文件中找到对应的域名记录，例如，便直接返回相应的结果。如果hosts文件中没有所需域名的记录，系统会将查询指令转发至指定的域名服务器，进行DNS查询，域名服务器会在自身的缓存中查找相应的域名记录。如果找到该记录便返回结果，否则将该查询指令转发至根服务器。90根据递归查询规则，根服务器仅能返回顶级域名com，并告知客户机能够解析com的域名服务器地址；客户机依据返回的信息，继续向com域名服务器发送递归请求；收到请求并能正确返回

域名信息的域名服务器，将相关信息返回客户机。最后，客户机再次向

的域名服务器发送递归请求，收到请求的服务器进一步进行解析，此时已能将

域名完全解析为一个IP地址，并将该IP地址返回客户机。91任务2辅助DNS服务的安装与配置92●能描述辅助DNS服务器的重要性。●能实现辅助DNS服务器向主DNS服务器同步DNS数据。93本任务为部署辅助DNS，用于同步主DNS服务器的所有解析记录，并为DNS客户端提供冗余和负载均衡。9495一、主DNS服务器主DNS服务器是负责管理和维护DNS记录的主要服务器，包含域名与IP地址的映射关系，并提供查询响应，负责接收DNS记录的更新请求，如添加、修改或删除记录，这些更新可以来自域名所有者或DNS管理员，主DNS服务器通常具有最新的域名数据，并用于正常的域名解析服务。二、辅助DNS服务器辅助DNS服务器在DNS架构中主要用于提供冗余和负载均衡，从主DNS服务器处获取区域文件的副本，并对外提供解析服务。然而，为了确保DNS数据的一致性和安全性，辅助DNS服务器通常不具备写入和修改的权限。96三、DNS数据同步数据同步是主辅DNS服务器之间的关键过程，辅助DNS服务器需要定期从主DNS服务器获取最新的DNS记录，以保持数据的一致性，数据同步可以通过DNS的全量区域传输（AXFR）或增量区域传输（IXFR）来实现，IXFR只传输发生更改的记录，而不是整个区域，数据同步的频率可以根据需求进行设置，通常是每隔一段时间或在DNS记录发生更改时进行。97项目四配置活动目录域服务98活动目录域服务的安装与配置2额外域控制器的安装与配置目录CONTENTS991域用户和组的管理34域快照的管理某小型企业，员工规模达到200人，当前拥有丰富的公司资源，迫切需要构建一套高效的员工账号管理体系。为此，公司决定在WindowsServer2022平台上部署活动目录域控制器，实现对员工账号的统一管理。企业网络拓扑的简化版本如图所示，在DC1服务器上部署和设置域控制器，用于基本账号的管理，为避免单点故障风险，还将配置DC2服务器作为备用域控制器，确保主域控制器出现故障时，其能迅速接管工作，保障企业网络的正常运行。在实验环境中，所有设备通过VMwareWorkstation虚拟机进行连接。100101企业网络拓扑的简化版本本项目中DC1担任主域控制器，DC2作为备用域控制器。它们的职责在于存储和管理网络中的用户身份数据，并提供认证和授权服务，以确保企业网络的安全性与稳定性。任务1活动目录域服务的安装与配置102●能描述活动目录的基本概念。●能区分域和林。●能理解林信任和域信任。●能安装和配置主域控制器。103在本任务中，学习在WindowsServer2022平台上安装活动目录域服务，并将服务器晋升为域控制器。104一、活动目录概述活动目录（activedirectory，AD）最初与WindowsServer2000一同发布，并在WindowsServer2008中进行了功能修订。活动目录是一种分层数据库，在活动目录数据库中，可以查询到计算机网络中的各类信息，如用户账户、计算机名称、证书、安全策略等。活动目录的本质就在于其分层数据库特性，使得通过单点登录管理用户账户、计算机及其他网络资源变得更为便捷。105二、域控制器安装活动目录的服务器被称为域控制器（DC），它是用来管理其他客户机的服务器，是整个域的核心，每个域控制器都包含了活动目录数据库。1. AD架构AD架构（ADschema）对存储在目录中所有对象的信息都有相应的定义，每个活动目录林都有自己相应的架构。1062. AD架构主机或AD操作主机角色在活动目录中，所有域控制器均采用对等的多主机复制模型。为协调特定操作，设立了灵活单主操作（FSMO）角色，其中“PDC模拟器”角色最为常用。活动目录中的所有域控制器都包含可写的目录数据库副本，均能验证用户身份和处理目录更新等操作。如果承担“PDC模拟器”角色的域控制器故障，管理员可将此角色转移到另一台正常的域控制器上。域控制器之间通过自动的多主复制来同步数据更新，其延迟极小，通常不会造成数据丢失。角色转移后，原域控制器仍是普通的域控制器。1073. 全局目录活动目录是一种分布式存储数据库，在多域名AD域服务林中，各个域内的每个对象均能被全局编录（globalcatalog，GC）检索并呈现相应的简称。存储在域控制器上的全局编录又称作全局编目服务器，全局编录采用多主机复制模式以实现多用户访问，搜索结果无需涉及其他域控制器，因此其搜索速度较快。1084. 活动目录对DNS系统的依赖性活动目录对DNS系统有很强的依赖性，因此在没有选好域名前，不要安装活动目录。安装活动目录时的域名不需要独一无二，如果使用的是公有域名，在安装活动目录时可以使用同样的域名，如公有域名是，那么活动目录的域名可以是

或类似的名字。活动目录需要DNS服务器，如果在安装活动目录时没有DNS服务器，可以将安装活动目录的服务器设置为DNS服务器。109三、活动目录树和活动目录林1. 活动目录林活动目录林是活动目录逻辑分层结构的最高层次，活动目录林是一个独立的、完整的目录。活动目录林是一个安全边界，活动目录林管理员对访问存储在林上的信息和对运行林的域控制器有着绝对的控制权限。如图所示，

和

属于两个活动目录林的最高层，它们之间可以建立林信任，后续两个域林的用户可以在林间进行身份验证和访问林内的资源。110111活动目录林结构2. 活动目录树活动目录树由多个有信任关系的域组成，这些域被称为子域，子域都是根域的分支。上图中

和

是

活动目录树的子域，

是

活动目录树的子域。112四、林和根域的功能级别域功能级别是活动目录中的一个关键概念，决定域内可用功能和特性的范围。通过升级域功能级别，域可以获得新的功能和特性，包括改进的安全性、管理工具和性能优化。升级还可以改善与新版本WindowsServer和其他Microsoft产品的兼容性，可简化管理，提升效率。此外，较高的域功能级别支持混合环境，帮助组织在过渡期间维护不同版本操作系统的兼容性和稳定性。113五、目录服务还原模式（DSRM）密码DSRM密码是用于安全地修复或还原域控制器的密码，当域控制器出现问题，例如无法正常启动或需要进行故障排除时，DSRM密码是一个重要的凭据，其只能由域管理员或企业管理员进行管理，它不同于普通用户密码，并且用于特殊情况下的域控制器维护和修复。DSRM密码通常在安装域控制器时进行设置，在需要时用于登录到目录服务还原模式。114任务2额外域控制器的安装与配置115●能区分额外域控制器和只读域控制器。●能在WindowsServer2022系统环境下部署额外域控制器。116在本任务中，将学习在WindowsServer2022平台上安装活动目录域服务，并将服务器提升为额外域控制器。117118一、额外域控制器额外域控制器（additionaldomaincontroller，ADC）又称为备份域控制器（backupdomaincontroller，BDC），是指在WindowsServer网络环境中增设的域控制器，它并非域中的主要域控制器（primarydomaincontroller，PDC）或关键域控制器，而是扮演着域内辅助角色的存在。二、只读域控制器只读域控制器（read-onlydomaincontroller，RODC）是WindowsServer操作系统中的一种特殊域控制器，与传统域控制器不同，RODC主要用于在边缘网络环境和安全性较弱的场所提供分布式认证和目录服务。119RODC提供目录信息的只读访问权限，不支持对目录数据的写入操作，有助于提高数据的安全性。RODC可以部署在分支办公室或远程位置，降低全权域控制器的访问风险。RODC允许配置密码复制策略，只复制部分用户的密码数据，避免存储过多的密码信息，从而增强安全性。此外，RODC在本地缓存目录数据，提升认证和查询的响应速度，并可以配置自己的密码策略以满足局部安全性要求。RODC还支持分离的密钥加密，使用不同的密钥进行身份验证和目录数据复制，从而进一步提高安全性。120任务3域用户和组的管理121●能管理域用户和组，包括创建、修改、删除用户账户和组。●能使用运行命令行工具和图形化工作管理域用户。●能配置域用户将主机加入域。122在本任务中，将学习在域环境中管理用户账户和组，这包括创建新用户、调整现有用户属性等操作，以及新建、修改和将用户添加到用户组等管理任务。123124一、域用户和本地用户域用户和本地用户是Windows操作系统中两种不同的用户类型，主要用于不同的环境管理需求。域用户在域环境中由域控制器进行集中统一管理，其身份认证通过域控制器完成，账户信息存储在域控制器的活动目录数据库中，账户由域管理员统一创建和管理，能够访问域内的网络资源，并且账户信息在域内任意计算机上使用，迁移性较高。相对而言，本地用户在本地计算机环境中进行管理，身份认证在本地计算机上完成，账户信息存储在本地计算机的安全账户管理器（SAM）数据库中，账户由本地计算机管理员创建和管理，访问权限仅限于本地计算机的资源，迁移性较差，账户信息只能在本地计算机上使用。125二、域用户组和工作站用户组域用户组和本地用户组在权限管理中扮演着不同的角色。域用户组作用于整个域范围内，其信息存储在域控制器的活动目录数据库中，由域管理员统一管理，并用于分配对域资源的访问权限，其成员可以是域用户账户或其他域用户组；在大型网络环境中，使用域用户组可以显著简化权限的管理工作。本地用户组仅作用于本地计算机，信息存储在本地计算机的SAM数据库中，由本地计算机管理员管理，并用于分配对本地计算机资源的访问权限，其成员包括本地用户账户和其他本地用户组。域用户组通常通过活动目录用户和计算机工具进行管理，而本地用户组通过本地计算机的管理工具进行管理。126三、域用户组的分类在WindowsServer2022中，域用户组主要分为全局组、本地域组和通用组，每种组类型都有其特定的使用领域和特点。全局组是最常用的域用户组类型，可以包含用户账户和其他域组，成员在整个域范围内被授予访问权限，适用于需要在多台计算机上授权的场景。本地域组仅在创建它的域控制器上有效，主要用于管理对该域控制器本地资源的访问，成员无法获得跨计算机或跨域的访问权限，适用于对特定域控制器进行授权的场景。通用组可以跨多个可信域使用，成员可以被授予不同域内资源的访问权限，适用于需要在多个域或林之间共享资源的场景，但需加强对权限的管理。127任务4域快照的管理128●能描述域快照的作用。●能自定义域快照的备份路径。●能使用ntdsutil创建域快照。●能使用ntdsutil删除域快照。129本任务学习在WindowsServer2022域环境中，使用cmd命令行创建、还原和删除域控制器快照。130131一、活动目录域快照活动目录域快照是一种可用于查询旧ActiveDirectory数据的工具，不是一个完整的备份系统，而是允许访问旧版本的ActiveDirectory，可以根据需要使用WindowsServerBackup系统自带的备份和恢复工具执行灾难恢复。二、ntdsutil快照工具ntdsutil是Windows操作系统中一个命令行实用程序，用于执行与活动目录数据库和域控制器相关的各种任务，它提供了许多功能，包括数据库的维护、恢复、移动对象等。132项目五配置活动目录证书服务133活动目录证书服务的安装与配置2证书模板的设置与操作目录CONTENTS1341证书颁发机构的备份与还原3随着某企业信息化建设的持续推进，网络安全和数据保护已逐渐成为该企业运营的核心议题。为确保该企业数据的完整性、机密性，并实现用户身份验证和授权管理的统一化，活动目录证书服务的部署显得至关重要。在本项目中，将在WindowsServer2022平台上部署活动目录证书服务，为企业提供一个集中管理、分发和验证数字证书的统一平台。如图所示为企业网络拓扑的简化版本，在DC1上部署证书颁发机构，在DC2和客户端上申请证书，项目中的虚拟机均通过VMwareWorkstation虚拟机进行连接。135136企业网络拓扑的简化版本本项目学习在WindowsServer2022中安装和配置活动目录证书服务，从而实现客户端向证书颁发机构申请证书。任务1活动目录证书服务的安装与配置137●能描述证书颁发机构的作用。●能在WindowsServer2022环境下安装证书颁发机构角色。●能辨别区域独立CA和企业CA。●能区分证书颁发机构Web注册角色服务和证书注册Web服务。●能通过浏览器提交证书申请和下载证书。138本任务学习在WindowsServer2022环境下安装与配置CA角色的方法，并熟悉不同类型颁发机构的特点及应用场景，能部署Web注册角色服务用于申请证书。139一、活动目录证书服务概述活动目录证书服务（ADCS）是一项WindowsServer角色，主要负责颁发、管理安全通信与身份验证协议中所使用的公钥基础设施（PKI）证书。数字证书可以应用于对电子文档和消息进行加密与数字签名，同时为网络中的计算机、用户或设备账户提供身份验证功能。140二、证书颁发机构角色组件1. 证书颁发机构根证书颁发机构和从属证书颁发机构用于向用户、计算机和服务颁发证书，并管理证书的有效性。2. 证书颁发机构Web注册证书颁发机构Web注册使用户能够通过Web浏览器连接到CA，以便申请证书和检索证书吊销列表（CRL）。1413. 联机响应程序联机响应程序服务可解码对特定证书的吊销状态申请，评估证书的状态，并发送回包含所申请证书状态信息的签名响应。4. 网络设备注册服务通过此服务，路由器和其他不具有域账户的网络设备可以获取证书。1425. 证书注册策略Web服务通过此服务，用户和计算机能够获取证书注册策略信息。6. 证书注册Web服务通过此服务，用户和计算机能够通过Web服务执行证书注册，与证书注册策略Web服务一起使用时，可在客户端计算机不是域成员或域成员未连接到域时，实现基于策略的证书注册。143三、证书颁发机构1.证书颁发机构的类型（1）企业根CA（enterpriserootCA）企业根CA是一个组织内部的根证书颁发机构，它是整个组织PKI层次结构的根节点，负责颁发其他证书颁发机构的证书，以及为组织内部的实体颁发证书。企业根CA通常依赖于组织的域环境，并在其范围内提供信任。144（2）企业从属CA（enterprisesubordinateCA）企业从属CA是企业根CA下属的证书颁发机构，它依赖于企业根CA的信任链，并负责颁发具体实体的证书。企业从属CA的证书还用于颁发其他从属CA的证书。（3）独立根CA（stand-alonerootCA）独立根CA是一个独立的、不依赖于其他CA的根节点，是一个自包含的PKI系统，不属于任何特定组织，通常由可信任的第三方实体进行管理。独立根CA的证书用于签署其他证书颁发机构的证书，以建立信任链。145（4）独立从属CA（stand-alonesubordinateCA）独立从属CA是在独立根CA下属的证书颁发机构，依赖于独立根CA的信任链，并负责颁发具体实体的证书。独立从属CA还可颁发其他从属CA的证书，形成一个层次结构。1462. 企业CA和独立CA的区别企业CA与ActiveDirectory域服务紧密集成，利用ADDS中的信息和证书模板来自动审批和颁发证书，适用于企业环境的自动化证书管理和智能卡登录。独立CA则不依赖ADDS，不使用证书模板，所有证书申请需手动审批，适用于不使用ADDS或非Microsoft目录服务的环境。147四、证书颁发机构Web注册角色服务证书颁发机构Web注册角色服务提供了一种基于浏览器的便捷方法，使用户无需安装特定客户端组件即可申请单个证书。用户通过Web浏览器访问CA的Web注册站点，填写证书申请表；CA接收申请后，进行处理并颁发证书。148此服务允许用户通过“HTTPS：//<servername>/certsrv”执行证书申请和续订、查询证书吊销列表（CRL）、注册智能卡证书等任务，其中<servername>代表托管CAWeb注册角色的服务器名称，URL中的“certsrv”应始终小写。该服务要求使用SSL或TLS确保安全性，若在CA本地访问，可选择不使用SSL或TLS，否则会出现错误提示：“若要完成证书注册，必须将CA的网站配置为使用HTTPS身份验证。”149五、证书注册Web服务证书注册Web服务用于实现自动证书请求和预配，充分利用Windows及WindowsServer操作系统内置客户端的优势，使用户无需手动发出请求或与网站进行交互。该服务在注册和续订额外证书方面具备优势，特别是在林合并和外部网络证书注册的场景中。通过消除各林CA部署需求，组织可以实现PKI的整合，并可减少CA的部署数量。此外，证书注册Web服务允许组织在外部网络启用ActiveDirectory证书服务，使企业网络外部的用户和计算机能够注册证书，从而提升整体PKI管理效率。150任务2证书模板的设置与操作151●能描述证书模板的作用。●能创建自定义的证书模板。●能通过证书模板申请证书。152本任务将学习证书模板的配置方法，以允许用户或计算机通过活动目录策略申请数字证书。153154一、Windows证书模板Windows证书模板是一种定义了数字证书属性、用途和规则的模板，用于配置和规范证书颁发机构颁发的数字证书，以确保一致性和安全性。Windows证书模板包含了一系列设置参数，如密钥长度、有效期、用途、扩展、属性、安全性等，这些设置参数定义了颁发数字证书的特性。二、证书模板的作用证书模板通过定义证书的属性和规则，确保所有颁发的证书遵循相同标准，增强组织中数字证书的一致性，并减少配置错误的风险。证书模板允许配置安全性设置，如申请权限、审批流程和撤销策略，确保只有授权用户才能获得特定类型证书。证书模板可以根据组织需求定制，用于不同用途，如加密、身份验证和电子签名，并支持自动化颁发、配置证书，使用户和设备无需手动配置每个证书的属性，即可通过请求流程获取证书。155任务3证书颁发机构的备份与还原156●能描述证书颁发机构备份与恢复的重要性。●能配置备份证书颁发机构。●能配置还原证书颁发机构。157在本任务中，将学习备份与恢复证书颁发机构的方法，包括安全地导出证书和私钥、按备份顺序进行恢复等。158159一、备份证书颁发机构的重要性证书颁发机构（CA）是负责颁发和管理数字证书的机构，是确保组织安全体系的重要组成部分。CA的故障可能导致无法颁发证书、验证身份和保护通信，从而引发安全风险和业务中断。通过定期备份CA，可在CA故障或损坏时及时恢复，保障业务正常运行，并避免重新部署CA的时间和成本。二、证书颁发机构备份与恢复的注意事项在备份与恢复WindowsServer2022中的CA时，需要注意：定期进行备份，例如每月一次，确保备份所有关键文件，包括CA数据库、私钥、证书链、注册表项和配置文件。备份文件应使用加密工具进行保护，并存储在多个安全位置，以防数据丢失。定期验证备份的完整性，并记录备份的信息。恢复时需按备份顺序恢复CA的各项数据，并进行恢复测试，确保系统功能正常，更新证书撤销列表。妥善保护恢复后的私钥，确保其安全，避免未授权访问。这些措施能有效保护CA的安全性和可用性，确保在发生故障时能够快速恢复。160项目六管理组策略161组策略的创建与配置2组策略在组织单位的应用目录CONTENTS1621组策略首选项的管理34组策略的备份与还原某小型企业拥有200名员工，其内部设备类型繁多，包括计算机、笔记本计算机以及手机等多种联网设备。鉴于设备类型的多样性，对该企业各类设备的网络资源权限进行管理与维护，以及统一安装打印机等工作均面临较大的挑战。如图所示为该企业简化网络拓扑结构图。其中，DC1作为主域控制器，承担主要的网络管理职责；而DC2作为额外的域控制器，协助主域控制器共同维护网络环境的稳定。163164企业简化网络拓扑结构图为了测试组策略控制效果，选择在客户端SALES-PC1上进行相关策略应用的验证。在实验环境中，所有设备均通过VMwareWorkstation虚拟机实现连接，以确保网络环境的稳定与高效。本项目将学习组策略对象的创建、编辑、链接和管理，利用组策略来实施组织内部的IT管理策略。项目还将涉及组策略首选项的管理技巧，以及组策略备份和恢复的方法，确保在系统故障或数据丢失的情况下，能够迅速恢复组策略设置，保障业务的连续性和稳定性。165任务1组策略的创建与配置166●能叙述组策略的作用。●能创建组策略并应用到相应的用户组。●能在客户端上进行组策略效果测试检查。167在本任务中，将学习组策略对象（grouppolicyobject，GPO）的创建和管理方法，以便有效地管理和控制网络环境中的用户设置和计算机配置。通过实践本任务，将能熟练地运用组策略，从而提升网络管理的效率和安全性。168一、组策略概述组策略是Windows操作系统中一种用于管理计算机和用户配置的基础设施，允许管理员定义一组规则和配置，并将这些规则和配置统一应用到域内的用户账户和计算机账户上；通过组策略，管理员可以为整个域内的对象设置一致的配置和限制。GPO是实施组策略设置的基本单位，管理员可以根据需求创建多个GPO，并将其链接应用到特定的域、组织单位（OU）或其他容器对象上。169二、域组策略和本地组策略域组策略（domaingrouppolicy）和本地组策略（localgrouppolicy）是在Windows操作系统中用于管理计算机和用户配置的两种不同类型的策略，以下是其主要区别。1. 范围和应用对象域组策略和本地组策略在Windows环境中，具有不同的应用范围和对象。域组策略适用于整个Windows域，应用于域内的所有计算机和用户，以及特定的组织单位，以便集中管理和配置域内的设置。相对而言，本地组策略仅适用于单个计算机，主要用于配置该计算机上的用户和计算机设置。1702. 管理和集中化域组策略和本地组策略在管理和配置上存在显著差异。域组策略由域管理员集中管理，通常通过组策略管理工具进行配置，允许在整个域内通过ActiveDirectory进行集中化管理。相对而言，本地组策略由本地管理员在每台计算机上独立管理，使用本地组策略编辑器工具，配置是分散在每台计算机上的，不同的计算机会有不同的设置。1713. 策略对象的优先级域组策略的优先级较高，具有较高优先级的域组策略会覆盖较低优先级的域组策略，但可以通过阻止继承或强制应用策略来调整优先级。相比之下，本地组策略的优先级较低，通常会被适用的域组策略覆盖。1724. 安全性和一致性域组策略提供更集中的安全性和一致性，确保域内所有计算机和用户遵循相同的安全标准，适用于大型网络环境，强调集中配置和管理。相对而言，本地组策略的安全性较低，因为每台计算机的配置可以单独设置，难以保持一致性，适用于小型网络或个人计算机，允许较少的集中控制并提供灵活的本地配置。173任务2组策略在组织单位的应用174●能在活动目录中创建组织单位，并将用户和组添加到组织单位。●能创建和应用组策略规则。●能通过组策略限制用户访问本地磁盘。175本任务为域对象（用户、组和计算机等）创建组织单位（OU），并为所创建的OU设置相应的组策略，以此来达成统一、高效的管理目标，确保对域对象的管理更加有序便捷。176177一、活动目录域组织单位在ActiveDirectory中，组织单位（OU）作为一个容器用于组织和管理用户、计算机及其他对象，其提供了多种管理优势。首先，OU可以根据业务需求对用户、计算机进行分组，如按部门或职位创建OU；其次，可以将组策略链接到OU，以便针对特定OU应用不同的组策略设置，如为销售人员创建OU并配置其桌面设置；最后，可以授予用户和组对OU的特定权限，从而控制其对OU中对象的操作能力，如授予用户对“Sales”OU的读取权限，以查看其中的用户信息。二、管理组策略优先级ActiveDirectory按相同的逻辑顺序应用GPO，本地策略、站点策略、域策略和OU策略。组策略可以配置和应用在任何一个环节中，但GPO的顺序会影响应用于计算机和用户的设置。处理GPO的顺序称为LSDOU，它代表本地（local）、站点（site）、域（domain）和组织单位（organizationalunit）。首先要处理的是本地计算机策略，然后是站点级别，再到域AD策略，最后是组织单位。如果LSDOU中存在冲突的策略，则最后应用的策略优先级最高。178任务3组策略首选项的管理179●能区分组策略首选项和组策略。●能配置和管理组策略首选项。●能利用组策略首选项为用户设置快捷访问共享文件的盘符链接。180在本任务中，将学习利用组策略首选项进行配置与管理的方法，通过其强大的功能特性，为用户增添一系列可选的个性化设置选项，以满足不同用户的个性化需求。181182一、组策略首选项概述组策略首选项是组策略的一种类型，允许控制计算机或用户的桌面、程序启动项和默认文件夹位置等设置。组策略首选项可以应用于计算机或用户，与传统的组策略相比，组策略首选项提供了更灵活、直观和精细的配置选项。二、组策略首选项的类型组策略首选项设置有多种类型，如文件和文件夹、注册表、驱动器映射、网络共享等，组策略首选项的类型见下表。183组策略首选项的类型三、组策略首选项的管理在管理组策略首选项时，可以使用组策略管理控制台（GPMC）进行。在GPMC中，可以创建、编辑和删除组策略首选项的设置。184任务4组策略的备份与还原185●能描述组策略唯一ID的作用。●能配置和管理域组策略的备份。●能配置和管理域组策略的还原。186本任务将学习在活动目录环境下对域组策略进行备份与还原。187188一、组策略唯一ID组策略对象在创建时会被分配一个全局唯一的标识符（GloballyUniqueIdentifier，GUID），GUID是一种由算法生成的二进制长度为128位的数字标识符，用于唯一标识一个特定的组策略对象，确保在整个域中都是唯一的。在组策略对象的路径中，GUID被用作文件夹名称的一部分，以确保每个组策略对象都有其独特的标识符。二、组策略备份文件的存储位置在WindowsServer2022的活动目录域环境中，组策略对象（GPO）默认存储在“%SystemRoot%\SYSVOL\sysvol\domain\Policies”

目录下，其中“%SystemRoot%”

通常为“C：\Windows”，因此完整路径为“C：\Windows\SYSVOL\sysvol\domain\Policies”。每个组策略对象在此目录下有一个以GUID命名的子文件夹，如“{31B2F340-016D-11D2-945F-00C04FB984F9}”和“{6AC1786C-016F-11D2-945F-00C04FB984F9}”，这些子文件夹包含该组策略对象的备份文件，文件类型包括.xml（组策略设置）和.pol（组策略模板），是域内组策略正常生效的关键数据载体。189项目七管理文件与存储190磁盘和权限的管理2存储池服务的配置目录CONTENTS1911文件服务器资源管理器的安装与配置3某企业计划通过实施WindowsServer2022存储系统和NTFS权限管理项目，提高其文件存储和共享系统的安全性和效率，所有操作将在VMwareWorkstation虚拟环境中进行。本项目通过精细化的NTFS权限管理、优化的存储池和存储空间配置、有效的文件服务器资源管理器（FSRM）使用，实现全面的文件和存储管理。192任务1磁盘和权限的管理193●能叙述NTFS在Windows文件系统中的功能和优势。●能应用各种NTFS权限类型。●能理解文件夹和文件之间权限的继承和传播机制。●能区分并实施共享权限和NTFS权限在网络资源访问中的应用。194通过学习NTFS权限管理，能够在WindowsServer2022操作系统中精确配置和管理文件系统的访问权限，以提高文件存储的安全性。195一、NTFS权限概述NTFS（NewTechnologyFileSystem）权限是一种用于控制Windows操作系统中文件和文件夹访问的机制。NTFS权限通过对文件和文件夹设置特定的权限级别，来管理用户和用户组的访问权限。NTFS权限允许细粒度的访问控制，从而提高数据的安全性和系统的管理效率。196二、NTFS权限的类型NTFS权限分为基本权限和高级权限。基本权限是用户和管理员最常用的权限类型，包括读取、写入、列出文件夹内容和执行等，这些权限可以直接通过文件或文件夹的属性对话框进行设置。高级权限提供了更详细的控制选项，包括对删除、更改权限和取得所有权等更详细的控制，高级权限可以更细粒度地控制用户和组对文件和文件夹的操作。197三、权限继承与传播机制权限继承允许文件和文件夹自动获取其父文件夹的权限设置，从而简化权限管理，顶层文件夹的权限自动适用于所有子文件夹和文件。通过阻止继承或设置特定权限可以控制权限的传播，以适应特定的安全需求。这种机制提供了一致性和便利性，但在特定情况下，管理员可能需要手动配置某些文件或文件夹的权限，如读取、写入等，以满足特定的安全需求。198四、共享权限与NTFS权限的差异共享权限和NTFS权限是Windows系统中用于管理文件和文件夹访问的两种不同的机制。共享权限仅适用于网络共享，通过共享选项卡进行设置，并提供读取、写入和完全控制权限；而NTFS权限适用于本地和网络访问，通过安全选项卡进行设置，提供更详细的权限控制，如读取、写入、修改和删除。在网络访问中，实际生效的权限是共享权限和NTFS权限的交集（限制更严格的权限）。199任务2存储池服务的配置200●能叙述Windows存储池服务的功能和特点。●能实施存储空间的创建和管理。●能分析存储空间冗余和容错机制。201本任务将学习创建存储池、创建和配置存储空