Windows Server 2008 再造新一代IT基础架构 实验手册

Windows Server 2008 再造新一代IT基础架构实验手册模块 A：活动目录升级与服务器部署模块 B：Windows Server 2008组策略模块 C：保护网络接入和主机安全模块 D：终端服务新体验 Lab version 1.0c (2008年11月20日) - A4 实验准备为确保完成所有实验模块，请务必阅读下列信息： 虚拟 PC本实验将使用Microsoft Virtual PC 2007。该应用程序支持在同一物理硬件上运行多台虚拟计算机。您将于实验过程中在不同窗体之间进行切换，而每个窗体均包含运行Windows Server 2008或Windows Vista的独立虚拟计算机。在开始实验前，请务必熟悉有关VirtualPC的下列基本操作：n 在虚拟计算机窗体内，请使用Alt-Del组合键替代Ctrl-Alt-Del组合键。n 如欲调整虚拟计算机窗体大小，请拖动窗体右下角。n 如欲切换到全屏模式或从全屏模式返回窗体模式，请按组合键Alt-Enter。 实验环境注 : 实验的所有密码都是 Password01!Shanghai站点DC-01 : 作为 AD,DNS,DHCP服务器TCP/IP:10.237.0.2, 255.255.255.0, 10.237.0.1DNS: 10.237.0.2 2008-01 : 终端服务(预安装), 在实验中将把它配置为额外域控制器TCP/IP: 10.237.0.3, 255.255.255.0, 10.237.0.1DNS: 10.237.0.22008-03 : 实验中将会把它配置为TS网关服务器TCP/IP:10.237.0.4, 255.255.255.0, 10.237.0.1DNS: 10.237.0.2Beijing站点2008-02 : 实验中将会把它配置为只读域控制器（该虚拟机在这次HOL没有使用）TCP/IP: 10.237.1.2, 255.255.255.0, 10.237.1.1DNS: 10.237.0.2Vista-01 : Vista-01 有两块网卡.一块用于Shanghai 站点 ,另一块用于 Beijing 站点. 使得我们可以更改Vista-01 所在的站点。TCP/IP(Beijing 网卡): 10.237.1.2, 255.255.255.0, 10.237.1.1DNS(Beijing 网卡) : 10.237.0.2Vista-02 : 加入域 Router (预先配置,使用RRAS来转发网络数据包). 请您不要修改此PC上的设置。 开始实验在开始任何一个实验模块之前，均应首先启动虚拟计算机，并执行登录操作。您只要启动各项练习所需使用的虚拟计算机。登录虚拟计算机上的一台计算机：1. 按下组合键Alt-Del （而非Ctrl-Alt-Del）打开登录对话框。2. 输入以下信息：n用户名：Administratorn密码：Password01!然后单击“确定”。3. 现在即可开始做实验手册中的练习。祝实验顺利！ 意见和反馈请将有关虚拟计算机或实验手册的意见、反馈或勘误发送给：王辉chinamctLab version 1.0c (2008年11月20日)模块 A：活动目录升级与服务器部署练习1升级到Windows Server 2008通过这个练习,您将升级已有的Windows Server 2003 域控制器到Windows Server 2008。在升级的过程中，您将打开一个命令提示符, 从安装卷的日志中查看特定的信息。完成此练习的估计时间为 30分钟（建议本实验和PPT讲解同时进行，此实验为后面所有实验的基础）场景您公司的Windows Server 2003必须要升级到Windows Server 2008，公司的政策规定所有服务器必须升级。您希望保证Windows Server 2003域控制器可以正常升级。任务详细步骤4 注意：此实验练习使用以下计算机：DC-01请参考手册的开始部分以了解有关如何启动计算机的说明。登录到计算机。4 在 DC-01 计算机上执行以下步骤。1. 尝试升级到Windows Server 2008a. 把Windows Server 2008安装ISO文件挂载到虚拟机。v ISO文件位于SetupFiles文件夹下面。v 您的桌面将出现Install Windows窗口。b. 在Install Windows窗口，点击Install Now。c. 在Important updates屏幕，不要选择I want to help make Windows installation better,点击Do not get the latest updates for installation。d. 在Select the operating system屏幕，选择Windows Server 2008 Enterprise (Full Installation)。e. 在end user license agreement (EULA) 屏幕, 选择I accept the license terms，然后点击 Next。f. 在 type of installation 屏幕, 注意以下消息:v Upgrade has been disabled.v Active Directory on this domain controller does not contain Windows Server 2008 ADPREP /FORESTPREP updates. See g. 按 Esc 键，当提示 Are you sure you want to cancel Windows installation?, 请点击 Yes。h. 最小化Windows Server 2008安装窗口。2. 设置域的功能级别为Windows Server2003 a. 点击“开始”，指向“管理工具”，然后点击“Active Directory用户和计算机。.b. 点击“”，右击选择“提升域功能级别”。c. 在“提升域功能级别”窗口，可以看到当前年域的功能级别为“Windows 2000混合模式”。d. 在下拉列表中选择“Windows Server 2003”，点击“提升”，然后再弹出的窗口点击“确定”。e. 当提示域功能级别提升成功，点击“确定”。f. 关闭“Active Directory 用户和计算机。3. 为升级到Windows Server 2008准备森林和域a. 从开始菜单打开命令提示符，变更路径到D:sourcesadprep。b. 为准备森林输入以下命令adprep /forestprep。c. 出现确认提示，输入C,然后按Enter键。d. 完成以后将输出以下消息.。v Adprep successfully updated the forest-wide informatione. 为准备域输入以下命令adprep /domainprep。f. 完成后将输出以下消息。v Adprep successfully updated the domain-wide information4. 重新尝试升级到Windows Server 2008a. 恢复Windows Server 2008安装窗口。b. 在Install Windows窗口，点击Install Now。c. 在Important updates屏幕，不要选择I want to help make Windows installation better,点击Do not get the latest updates for installation。d. 在Select the operating system屏幕，选择Windows Server 2008 Enterprise (Full Installation)。e. 在end user license agreement (EULA) 屏幕, 选择I accept the license terms，然后点击 Next。f. 在 installation type 屏幕，可以看到 Upgrade 选项可以使用了，点击Upgrade。g. 在 Compatiblity Report 屏幕，查看信息，然后点击 Next。v 在本实验中，可以忽略任何报告的兼容性问题。5. 观察文件复制过程a. 在文件复制过程中，按 SHIFT +F10 来访问 WinPE 命令提示符。输入下面的命令进入C盘根目录并列出内容：v cd v dirb. 记录下您在C盘根目录下观察到的文件和文件夹。6. 完成升级过程a. 在第一次重启动时，按 SHIFT +F10 来访问 WinPE 命令提示符。在命令提示符下，输入下列命令来切换到C盘的根目录并列出内容。v cd v dirb. 记录下您在C盘根目录下观察到的文件和文件夹。c. 使用Administrator登录。7. 重新安装虚拟机插件a. 在虚拟机窗口上点击Action，点击Install or update virtual machine additions，在弹出的窗口点击continue。b. 关闭弹出的auto play的窗口。c. 运行D:WindowsVirtualMachineAddtions.msi，然后点击next，最后点击finish。d. 在virtual Machine Additions 窗口，点击Yes。e. 重启以后使用Administartor登录。8. 安装多国语言包a. 把setupCD文件夹下的MUI文件夹复制到虚拟机的桌面上。b. 从开始菜单点击control panel，点击“Regional and language options”。c. 在弹出的窗口点击“keyboards and languages”，点击install/uninstall languages。d. 在弹出的窗口选择install languages，然后浏览到桌面，选择MUI文件夹，点击next。e. 接受协议，点击两次next，开始安装过程。v 大约需要花费10分钟左右时间。f. 安装结束后，将弹出“install or uninstall display languages”窗口。g. 在“install or uninstall display languages”窗口中勾选change my display language to，在下来拉列表中选择“简体中文”，勾选Apply changes to my system accounts，点击Close。h. 在Regional and language options 窗口中，在choose a display language下选择“简体中文“，然后点击OK。i. 在change display language，点击logoff now。j. 重新用Administrator登录。9. 查看安装日志文件a. 访问路径 %windir%logsCBS ，然后双击CBS.log。10. 查看SetupAct.log日志文件a. 在“服务器管理器”控制台，查看“服务器摘要”，“角色摘要”，“功能摘要”下的信息。b. 点击“开始”，“计算机”。c. 双击C盘，然后双击Windows文件夹。d. 找到SetupAct.log，然后用写字板打开。e. 在“编辑”菜单，点击“查找”，输入monitor 作为关键字，然后点击“查找下一个”来查看文件中所有监视器的实例。v 您查看到那些文件和监视器相关联？f. 回顾日志文件中显示器的信息并注意哪些DLL被用于安装显示设备。.11. 查看setupapi.de.log设备安装日志文件a. 在Windows文件夹下面，双击INF文件夹。b. 找到setupapi.dev.log，然后用写字板打开。 在“编辑”菜单，点击“查找”，输入CD-ROM Drive 作为关键字，然后点击“查找下一个”。 c. 查看日志文件中 CD-ROM Drive的部分。v 那些INF文件被用于安装CD-ROM Drive？12. 查看C盘下的文件夹结构a. 当前 WindowsINF 文件夹依然打开，点击“后退”两次，将返回C盘的根目录。b. 查看C盘下的文件和文件夹结构。4 备注：不要关闭DC-01虚拟机，保持虚拟机为运行状态。练习2安装额外的Windows Server 2008域控制器通过这个练习,您将把一台工作组中的Windows Server 2008计算机提升为Windows Server 2008域的域控制器。完成此练习的估计时间为15分钟（建议上午完成本实验）场景您公司已经成功把Windows Server 2003域升级到Windows Server 2008域，为了实现容错性，因此打算部署第二台辅助与控制器。任务详细步骤4 注意：此实验练习使用以下计算机：DC-01，2008-014 请参考手册的开始部分以了解有关如何启动计算机的说明。登录到计算机。4 在 2008-01 计算机上执行以下步骤。1. 安装活动目录域服务a. 使用Administrator登录。b. 运行“服务器管理器”。v 点击“开始“，”管理工具“，”服务器管理器“。c. 选择”角色“，然后在右边面板选择“添加角色”，此时将打开“添加角色向导”。d. 在“开始之前”页面，点击“下一步”。e. 在“选择服务器角色”页面，选择“Active Directory域服务”，在弹出的对话框选择“仍要安装ADDS（不推荐）”，然后点击“下一步”。f. 在“Active Directory域服务”页面选择“下一步”。g. 在“确认安装选择”页面，点击“安装”。h. 当“安装结果”出现，请确认安装成功。i. 点击“关闭”。j. 注意在“服务器管理器”中“角色摘要”列表中“Active Directory域服务”有一个红色的X。点击“Active Directory域服务”，然后阅读“摘要”。v 可以看到此服务器还没有被配置为域控制器。安装ADDS角色并不会自动运行dcpromo过程。2. 提升新域控制器a. 打开“命令提示符”，输入dcpromo，然后按Enter键。v 另外，在“摘要”下面也可以运行此向导。b. 此计算机安装了终端服务，所以此时会弹出对话框提示您安全策略的变化，阅读完毕后请点击“OK”。c. 在“欢迎使用Active Directory域服务安装向导”页面，选择“使用高级模式安装”，然后点击“下一步”。d. 在“操作系统兼容性”页面选择“下一步”。e. 在“选择某一部署设置”页面选择“现有林”，然后选择“向现有域添加域控制器”，然后点击“下一步”。f. 在“网络凭据”页面输入，在“备用凭据”下选择“设置”，输入以下信息：v contosoAdministratorv Password01!g. 点击“下一步”。h. 在“选择一个域”页面选择“（林根域）”。i. 由于在运行向导之前没有在域中运行过adprep /rodcprep，所以弹出一个提示框让您去人，请点击“是”。j. 在“选择一个站点”页面，不要选择“与此计算机的IP地址对应的站点”，然后选择“Shanghai”,点击”下一步“。v Windows Server 2008 Active Directory域服务安装向导有一个新的对话框，此对话框可用的选项有：v DNS服务器v 全局编录k. 阅读“其他信息”，选择“DNS服务器”和“全局编录”，然后点击“下一步”。l. 此时将弹出对话框，显示“无法创建该DNS服务器的委派”，点击“是”。v 这是因为是顶级域并且不能找到.com域（根本不存在）。这个消息的目的是为了帮助IT管理员能在安装ADDS的过程中正确的配置DNS。m. 在“从介质安装”页面选择“通过网络从现有域控制器复制数据”，然后选择“下一步”。n. 在“源域控制器”页面，选择“让向导选择一个合适的域控制器”，然后点击“下一步”。v 这是一个新页面，可以让您选择一个源域控制器，注意源域控制器必须是可写的。o. 在“数据库，日志文件和SYSVOL的位置”页面点击“下一步”。p. 在“目录服务还原模式的Administrator密码”页面，两次输入Password01！。q. 在“摘要”页面，点击“导出设置”来创建一个应答文件。v 输入C:2008-answer.txt，然后点击“保存”，“确定”。r. 在“摘要”页面点击“下一步”，开始Active Directory域服务的安装。s. 在“Active Directory域服务安装向导”页面选择“完成后重新启动。3. 验证域控制器是否工作正常a. 重新启动以后使用contosoAdministrator登录。b. 从开始菜单，打开Control Panel，双击Regional and Language Settings，选择keyboards and Languages，把Display Language更改为“简体中文”。c. 重新注销用contosoAdministrator登录。d. “初始化配置任务”页面将自动打开。注意在“1 提供计算机信息”区域下“计算机完整名称”和“域”已经列出来。e. 关闭“初始化配置任务”页面。“服务器管理器”页面会自动打开。f. 确认在“角色”下列出了“Active Directory域服务”。g. 选择“Active Directory域服务”，查看右边面板中的信息。h. 从左面面板展开“Active Directory域服务”，“Active Directory用户和计算机”，“domain controller”。v 确认2008-01在列表中。i. 展开“Active Directory站点和服务”，Sites，Shanghai，Servers。v 确认2008-01在列表中。展开2008-01。v 确认ntds settings已经成功创建。4. 验证DNS记录注册和DNSa. 展开“DNS服务器”，DNS，2008-01，正向查找区域，然后选择_tcp。在右面面板确定出现了以下记录。v _LDAP._TCP v _Kerberos._TCPv _Kpasswd._TCPv _GC._TCPb. 在左面面板点击最顶层的“服务器管理器”，在“服务器摘要”下点击“查看网络连接”。c. 查看TCP/IPv4属性，注意127.0.0.1已经被作为辅助的DNS服务器添加。d. 关闭TCP/IPv4属性，返回“服务器管理器”。e. 在左面面板点击“诊断”，“事件查看器”，“Windows日志”。v 选择“应用程序”日志，确认SceCli 事件 1704被报告。f. 选择“应用程序和服务日志”。g. 选择“文件复制服务“日志，确认NtFrs 事件13516被报告。h. 关闭“服务器管理器”。5. 查察看dcpromo.loga. 打开C:WindowsDebugDCPROMO.LOG。v 可以看到现在dcopromo.log在第一行记录了该计算机提升为域控制器的年，月，日。v 例如：10/01/2007 11:03:20 INFO Promotion request4 备注：不要关闭2008-01虚拟机，保持虚拟机为运行状态。练习3使用WDS在Windows Server 2008域中部署成员服务器通过这个练习,您将配置2008-01为WDS服务器，并使用它分发服务器操作系统。完成此练习的估计时间为40分钟（建议上午11点30进行本实验，午餐回来此实验即可完成）场景您是公司的IT管理员，您公司已经成功把Windows Server 2003域升级到Windows Server 2008域，为了更方便、高效的部署Windows Server 2008成员服务器，因此您打算使用Windows部署服务来分发Windows Server 2008。任务详细步骤4 注意：此实验练习使用以下计算机：DC-01请参考手册的开始部分以了解有关如何启动计算机的说明。登录到计算机。4 在 DC-01计算机上执行以下步骤。1. 安装WDS服务a. 使用contosoAdministrator登录DC-01。b. 打开“服务器管理器”，点击“角色”。c. 点击“添加角色”。点击”下一步“。d. 选择“windows部署服务“，点击”下一步“。e. 点击“下一步“两次。f. 点击“安装“。g. 向导完成后点击“关闭“。2. 配置WDSa. 从开始菜单，点击“管理工具“，点击”Windows部署服务“。b. 在“Windows部署服务“控制台，展开”服务器“，点击DC-，右击选择”配置服务器“。c. 点击“下一步“。d. 接受默认路径，点击“下一步“，在警告框中点击”是“。e. 选择“不侦听端口67“和”将DHCP选项标记#60配置为PXEClient“，点击”下一步“。v 只有当DHCP和WDS装在一台服务器上时才会出现此页面，f. 由于后续尚有配置没做，所以这里选择“不响应任何客户端计算机“。g. 不选择“立即在Windows部署服务器上添加映像“，点击完成。3. 查看DHCP服务器选项a. 从开始菜单，点击“管理工具“，点击DHCP。b. 在DHCP控制台展开dc-，IPV4，点击“服务器选项“。v 可以看到自动添加了060 PXEClient服务器选项。4. 创建启动映像a. 把Windows Server 2008安装的ISO挂载到虚拟机。b. 在Windows部署服务控制台，点击“启动映像“，右击选择”添加启动映像“。c. 点击“浏览“，点击”计算机“，双击D盘，双击Sources文件夹，选择boot.wim文件，点击”打开“。v 只有Windows Server 2008光盘内的boot.wim才支持多播。d. 点击“下一步“。设置映像名称和说明为Microsoft Windows Longhorn Boot Image(x86)，点击”下一步“。e. 点击“下一步“。f. 点击“完成“。4 小结：启动映像的作用用于引导操作系统安装5. 创建捕获启动映像a. 选择”启动映像“，在右面面板选择Microsoft Windows Longhorn Boot Image(x86)启动映像，右击选择”创建捕获启动映像“。b. 设置映像名称为“Microsoft Windows Longhorn Capture Image(x86) “，映像保存路径指定为C:WDSCapture.wim，点击”下一步“。c. 点击“完成“。6. 添加捕获启动映像作为启动映像a. 在Windows部署服务控制台，点击“启动映像“，右击选择”添加启动映像“。b. 点击“浏览“，点击”计算机“，双击C盘，选择WDSCapture.wim，点击”打开“。c. 点击“下一步“三次。d. 点击“完成“。4 小结：捕获启动映像的作用是把自定义的模板计算机捕获成新的安装映像。7. 创建发现启动映像a. 选择”启动映像“，在右面面板选择Microsoft Windows Longhorn Boot Image(x86)启动映像，右击选择”创建发现启动映像“。b. 设置映像名称和说明为Microsoft Windows Longhorn Discover Image(x86)，映像保存路径指定为C:WDSDiscover.wim，指定要响应的WDS服务器为DC-，点击“下一步“。c. 点击“完成“。8. 安转Windows AIK工具包。a. 把Windows AIK的ISO挂载到虚拟机。b. 双击D盘，点击windows AIK setup，执行安装。9. 制作发现启动映像的ISO文件a. 从开始菜单，点击“所有程序“，Microsoft Windows AIK，点击windows PE tools。b. 执行copype.cmd x86 c:winPE。c. 执行copy /y c:WDSDiscover.wim c:winPEISOSourcesboot.wim。d. 切换路径到C:Program filesWindows AIKtoolsx86。e. 执行oscdimg.exe -n -bc:winPEisoboot c:winpeiso c:WDSDiscover.isov 此时您的C盘根目录下有三个文件，分别是WDSCapture.wim，WDSDiscover.wim，WDSDiscover.iso。4 发现启动映像的作用是在客户端计算机无法从网卡引导时可以从该光盘（把WDSDiscover.iso刻录成CD）引导。10. 创建安装映像a. 把Windows Server 2008安装的ISO挂载到虚拟机。b. 在Windows部署服务控制台，点击“安装映像“，右击选择”添加安装映像“。c. 输入映像组名称为2008MemberServersGroup，点击“下一步”d. 点击“浏览“，点击”计算机“，双击D盘，双击Sources文件夹，选择install.wim文件，点击”打开“，点击“下一步”。e. 只选择Windows Longhorn SERVERENTERPRISE，点击“下一步”。f. 点击“下一步”。g. 点击“完成”。11. 设定PXE响应设置a. 选择“DC-”，右击“属性”，点击“PXE响应设置”选项卡，选择“响应所有（已知和未知）客户端计算机。12. 创建DBServers组织单位a. 打开“Active Directory用户和计算机“，选择，右击选择”新建“，”组织单位“，命名为DBServers。13. 创建WDS安装管理员用户a. 点击Users容器，右击选择”新建“，”用户，命名为WDSAdmin，密码为Password01！,设置密码永不过期。14. 委派WDSAdmin对DBServers组织单位完全控制计算机的权限a. 选择DBServers组织单位，右击选择“委派控制“，点击”下一步“。b. 添加WDSAdmin，点击“下一步“。c. 选择”创建自定义任务去委派“，点击”下一步“。d. 选择“只是这个文件夹中的下列对象“，选择”计算机对象“，勾选”在这个文件夹中创建所选对象“和”删除这个文件夹中所选对象“，点击”下一步“。e. 选择”完全控制“，点击”下一步“。f. 点击“完成“。15. 设置WDS目录服务设定a. 选择“DC-”，右击“属性”，点击“目录服务“选项卡，设置客户端帐户位置为”DBServers“，点击”确定“。v 您可以同时查看其他选项卡。4 测试WDS分发新操作系统4 新建一个空白虚拟机，指定虚拟机存放路径为HOL的VM文件夹，虚拟机名为DBServer。1. 启动虚拟机，安装操作系统a. 按F12键。b. 选择Microsoft Windows Longhorn Boot Image(x86)映像，按Enter键。v 此时会显示Windows is Loading Files画面，注意左下角显示的IP为10.237.0.2，此IP正是WDS服务器的地址。c. 选择Chinese(Simplified PRC),点击next。d. 输入用户名contosoWDSAdmin，密码Password01！。e. 分成C和D两个主分区，然后点击Next。f. 点击Next，等待计算机完成安装。g. 按照提示完成操作系统配置。v 区域设置选择Chinav Administrator密码设置为Password01!。h. 安装虚拟机插件。i. 重新启动计算机。4 以此计算机为模板，创建新的自定义的服务器安装映像。2. 重新封装此计算机a. 用Administrator登录。b. 打开命令提示符，进入WindowsSystem32sysprep。c. 执行sysprep -oobe -generalize -reboot。3. 捕获操作系统映像a. 计算机会自动重启。b. 按Delete键，进入BIOS，修改为引导方式为PXE。c. 按F12键。d. 选择Microsoft Windows Longhorn Capture Image(x86)。v 此时会显示Windows is Loading Files画面，注意左下角显示的IP为10.237.0.2，此IP正是WDS服务器的地址。e. 点击Next。f. 选择要捕获的卷为C盘，Image名字和说明均为CustomDBServer。g. 保存到D盘，文件名为CustomDBSever.wim，选择upload image to Server，服务器名为DC-h. 输入用户名contosoadministrator，密码Password01！，点击“确定“。i. 选择Image Group为2008memberServersGroup，点击“下一步“。4 在 DC-01计算机上执行以下步骤。4. 查看捕获并上传的自定义安装映像a. 打开WDS控制台，点击安装映像。b. 可以看到CustomDBServer安装映像。v 此映像可以作为其他新服务器安装的模板。v 新服务器安装依然开机按F12键即可，后面就可以选择到该模板安装映像。模块 B：Windows Server 2008组策略练习1实现粒度化的密码策略在这个练习中，您将创建密码设置对象用于粒度化的密码策略。 完成此练习的估计时间为 10分钟场景您是公司的管理员，你被要求为属于公司经理组的用户设置一个密码策略，规定密码最少10个字符。任务详细步骤4 注意：此实验练习使用以下计算机：DC-01请参考手册的开始部分以了解有关如何启动计算机的说明。登录到计算机。4 在 DC-01计算机上执行以下步骤。1. 提升域功能级别到Windows Server 2008a. 使用Administrator登录DC-01。b. 打开“服务器管理器”。c. 运行“服务器管理器”。v 点击“开始“，”管理工具“，”服务器管理器“。d. 展开“角色”| “Active Directory用户和计算机”|。e. 右击，然后选择“提升域功能级别”。f. 设置功能级别为“Windows Server 2008”，点击“提升”。g. 点击“确定”两次。2. 为经理组创建PSO（密码设置对象）a. 点击“开始“，”运行“，输入“adsiedit.msc”，然后点击确定。b. 连接到“默认命名上下文”。c. 展开CN=System,DC=contoso,DC=com。d. 右击CN=Password Settings Container，选择“新建”，“对象”。e. 此时将会运行“创建对象”向导。f. 确认“msDS-PasswordSettings”被选择，然后点击“下一步”。g. 按下面列表为不同属性指定值（时间采取d:hh:mm:ss的格式）。cnManagersmsDS-PasswordSettingsPrecedence10msDS-PasswordReversibleEncryptionEnabledFALSEmsDS-PasswordHistoryLength24msDS-PasswordComplexityEnabledTRUEmsDS-MinimumPasswordLength10msDS-MinimumPasswordAge0msDS-MaximumPasswordAge20:00:00:00 (20days)msDS-LockoutThreshold0msDS-LockoutObservationWindow0:00:30:00 (30 minutes)msDS-LockoutDuration0:00:30:00 (30 minutes)h. 点击“完成”来完成对象的创建。3. 应用PSO(密码设置对象)到经理组a. 展开CN=Password Settings Container，右击CN=Managers对象，选择“属性”。b. 在列表属性中选择msDS-PSOAppliesTo。c. 点击“编辑”。d. 点击“添加Windows账户”。e. 在“选择用户、计算机和组”对话框中输入Managers，点击“确定”。f. 在“具有安全主体的多值可分辨名称编辑器”对话框中点击“确定”。g. 点击“确定”，关闭Adsiedit.msc。4. 测试密码策略a. 运行“服务器管理器”。b. 展开“角色”|“Active Directory域服务”|“Active Directory用户和计算机”| 。c. 在users容器下选择users。d. 右击User2账户选择“属性”。点击“隶属于”，确认User2属于Managers安全组，点击“确定”。e. 右击User2账户，选择“重设密码”。f. 输入8位的密码Pssw0rd。g. 将会报告错误消息表示Windows无法完成密码修改的操作，因为密码不满足密码策略的要求。h. 点击“确定”。i. 重新右击User2账户，选择“重设密码”。j. 输入10位的密码Pssw0rd01，点击“确定”。k. 将会报告密码被成功修改。5. 考查那一个PSO被应用到该用户（查询msDS-ResultantPSO）a. 在“Active Directory用户和计算机”，点击“查看”，确定“高级功能”被选择。b. 打开user2账户的属性。c. 选择“属性编辑器”选项卡。d. 点击“筛选器”选择“显示属性：可选”和“显示只读属性：已构造”。e. 从属性列表中选择“msDs-ResultantPSO”属性，点击“查看”。v 将会显示PSO的完全辨识名称。v 思考：如果有多个PSO应用到同一用户，那一个生效?v 思考：如果一个PSO同时应用到用户和用户所在的组，那一个生效？练习2使用组策略首选项概述：组策略通过引入组策略首选项扩展其在 Windows Server 2008 中的功能。首选项提供 20 多个组策略扩展，它们扩展组策略对象中的可配置首选项设置的范围。组策略允许您管理驱动器映射、注册表设置、本地用户和组、服务、文件和文件夹，而不需要学习脚本语言。首选项允许您使用熟悉的组策略管理控制台管理所有这些附加设置。在大多数首选项中，用户界面模仿相关的最终用户界面来配置这些设置，从而使配置更加直观想想看以前为了分发一些自定义的设置，需要自己写脚本，甚至要使用Policy maker这样的工具自定义ADM管理模板文件.L完成此练习的估计时间为 10分钟场景您是公司的管理员，你被要求为公司所有的用户创建一个网络磁盘。但是这个网络磁盘在这些计算机的硬盘空间下降到一定的阈值的时候是不会自动创建的。任务详细步骤4 注意：此实验练习使用以下计算机：DC-01，Vista-02请参考手册的开始部分以了解有关如何启动计算机的说明。登录到计算机。4 在 DC-01计算机上执行以下步骤。4 在C盘根目录下创建文件夹Public并共享。1. 创建组策略对象a. 打开“管理工具”，“组策略管理”，点击，右击选择“在这个域中创建GPO并在此链接”。b. 把此GPO命名为”IntelligenceDriveMappingPolicy”。2. 编辑此组策略对象a. 选中” IntelligenceDriveMappingPolicy”，右击选择“编辑”。b. 展开“用户配置”，“首选项”，“Windows设置”。v 您可以依次点击其下的这些首选项类别，可以发现它们的用户界面和最终用户界面极为类似，所以配置非常直观。c. 选择“驱动器映射”，在右边面板右击选择“新建”,”驱动器映射”。d. 在操作下选择“创建”，在位置中输入dc-01Public，驱动器号使用Q，点击“显示此驱动器”。e. 点击“公用”选项卡，选择“在登录用户的安全上下文中运行（用户策略选项）”。f. 勾选“项目级目标”，点击“目标”。g. 点击“新建项目”，在下拉列表中选择“磁盘空间”。h. 按F8快捷键，可以看到条件变为“不大于或等于”。i. 设置可用磁盘空间为50G，驱动器号选择“系统”。点击“确定”两次。j. 关闭组策略管理编辑器。4 在Vista-02客户端计算机上执行以下步骤。1. 刷新组策略a. 打开命令提示符，运行gpudate /force。b. 注销重新用contosoAdministrator登录。c. 从开始菜单打开计算机，可以看到自动映射了一个Q盘。4 在 DC-01计算机上执行以下步骤。1. 编辑组策略对象a. 编辑“IntelligenceDriveMappingPolicy”，设置可用磁盘空间为30G。4 在Vista-02客户端计算机上执行以下步骤。2. 刷新组策略b. 打开命令提示符，运行gpudate /force。c. 注销重新用contosoAdministrator登录。d. 从开始菜单打开计算机，可以看到映射的Q盘被删除。4 备注：如有兴趣，您可以测试其他首选项。练习3使用组策略进行网络带宽控制在本练习中，我们将标识客户端 NetBIOS 文件传输所消耗的带宽量。然后使用 Windows Server 2008的QoS 策略向导创建策略，以限制客户端向文件服务器上传文件时使用的网络带宽。您会将此策略与客户端计算机所在的账户的活动目录组织单位建立关联。然后两次执行上传测试，并观察结果，验证策略只应用于客户端 NetBIOS 文件传输。完成此练习的估计时间为 10分钟场景您是公司的管理员，你被要求对公司内部文件服务器的访问流量进行控制，因此您打算使用QoS策略来达成目标。任务详细步骤4 注意：此实验练习使用以下计算机：DC-01，2008-01，Vista-02请参考手册的开始部分以了解有关如何启动计算机的说明。登录到计算机。4 在2008-01计算机上执行以下步骤。1. 创建自定义管理工具，监视 QoS 的效果a. 使用contosoadministrator登录。b. 在“开始”菜单的“开始搜索”中，键入 MMC，然后按enter键。 c. 在“文件”菜单上单击“添加/删除管理单元”。d. 在“添加或删除管理单元”的“可用的管理单元”下，选择“可靠性和性能监视器”，单击“添加”，然后单击“确定”。e. 在“控制台1”中，导航到“控制台根节点可靠性和性能(本地)监视工具性能监视器”。f. 在内容窗格中，右键单击图表的空白区域，然后单击“添加计数器”。 g. 在“添加计数器”的“可用的计数器”下，展开“Network Interface”，选择“Bytes Total/sec”，单击“添加”，然后单击“确定”。v 您必须向上滚动才能找到网络接口。h. 在“性能监视器”中，双击活动的计数器。i. 在“性能监视器属性”对话框的“比例”中，选择“0.001”，然后单击“确定”。j. 更改图形类型为“直方图条”。k. 在“控制台1”中，单击“文件”，然后单击“另存为”。l. 在“另存为”对话框中，选择“桌面”，在“文件名”中键入 Network Activity，然后单击“保存”。 m. 保留 Network Activity 处于打开和最大化状态。2. 创建共享文件夹a. 在C盘创建文件夹Public并共享。4 在Vista-02计算机上执行以下步骤。1. 执行文件上传测试a. 确保您以 contosoAdministrator 的身份登录。b. 在“开始”菜单的“开始搜索”中，键入 cmd，然后按回车。c. 在“命令提示符”窗口中键入以下命令，然后按回车。命令完成时，保持命令提示符窗口处于打开状态。v copy /y C:Music*.* 2008-01Publicd. 快速切换回Florence上的 Network Activity，并选择“性能监视器”，以观察报告的“Bytes Sent/sec”的“最后”值和“最大”值，并记录下来。 4 在DC-01计算机上执行以下步骤。1. 创建QoS策略v 在此任务中，您将创建 QoS 规则，用它来演示如何管理服务质量的内在功能。您将部署基于策略的 QoS 规则，该规则的作用是将传输至特定计算机端口 445 的流量限制到 64KBPS。此策略仅供演示之用。在使用网络资源时，全局性地限制端口 445 可能会造成严重的性能损失。此外，此任务还将通信限制到特定的 IP 地址。在实际部署中，您可以将部署限制到一组 IP 地址（如子网），这通过输入子网 ID，用它来代替单一 IP 地址即可实现。a. 在“开始”菜单上，导航到“所有程序”/“管理工具”，然后单击“组策略管理”。b. 在“组策略管理”中，导航到“组策略对象”。c. 选择“组策略对象”，点击“新建”，在“新建 GPO”的名称输入“文件传输QoS策略”。d. 在“操作”菜单上，单击“编辑”。e. 在“组策略管理编辑器”中，导航到“计算机配置/策略/Windows 设置”，然后单击“基于策略的 QoS”。f. 在“操作”菜单上，单击“新建策略”。g. 使用下列信息完成基于策略的 QoS 向导。v 策略名：文件传输带宽控制v 指定 DSCP 值：取消选中v 指定中止值等级：选中v 调节率：20KBpsv 应用程序：所有应用程序v 应用程序：任何源 IP 地址v 目标 IP 地址：10.237.0.3v 协议：TCPv 源端口：任何源端口v 目标端口：445h. 关闭“组策略管理编辑器”窗口。2. 创建测试OU并把Vista-02移动到该OU下a. 打开“Active Directory 用户和计算机”，点击，右击选择“新建”，“组织单位”，输入名称为“测试QoS”。b. 把Vista-02计算机账号从Computers容器下移动到“测试QoS”组织单位下。3. 链接“文件传输QoS策略”到测试OU上c. 在“组策略管理”中，展开，点击“测试QoS”，右击选择“链接现有的GPO”。d. 在“选择GPO”对话框中选择“文件传输QoS策略”，点击“确定“。4 在Vista-02计算机上执行以下步骤。1. 执行新文件上传测试v 在此任务中，您将应用新的带宽调节策略，执行新的文件传输测试，然后将结果与以前的测试结果进行比较。您将使用 GPUPDATE 命令应用策略，而无需重新启动计算机。为了更新计算机策略，将需要启动管理员级别的命令提示。a. 在“命令提示符”窗口中键入以下命令，然后按回车v gpupdate /force /target:computerb. 在“命令提示符”窗口中键入以下命令，然后按回车。v copy /y C:Music*.* 2008-01Publicc. 快速切换回2008-01上的 Network Activity，并选择“性能监视器”，以观察报告的“Bytes Sent/sec”的“最后”值和“最大”值。 v 您也可以直接查看直方图条图。d. 在 Network Activity 中，选择“可靠性和性能(本地)”，然后单击“网络”图表。v 您不必等整个复制完成。只要观察到结果，即可在 “命令提示符”窗口中，按 CTRL+C 取消复制操作。4 在DC-01计算机上执行以下步骤。4 把Vista-02计算机账号移回Computers容器。4 在Vista-02计算机上执行以下步骤。4 打开命令提示符，运行gpupdate /force。模块 C：保护网络接入和主机安全练习1实现网络接入安全（NAP With DHCP）在这个练习中，您将配置Windows Server 2008作为DHCP客户端的NAP服务器。同时会配置Windows Vista客户端从启用NAP的DHCP服务器获得IP地址。 完成此练习的估计时间为 15分钟场景您是公司的管理员，你被要求使用Windows Server 2008的新技术NAP来保护公司网络的接入安全，防止访客使用不安全（不健康）的计算机访问公司内部网络。