【实验准备】

1. VMware Workstation或Hyper-V虚拟机平台
2. 三台Windows虚拟机

【实验目的】

1. 掌握活动目录的基本概念以及基础部署和配置。
2. 掌握OU的管理和委派控制，并能够使用被委派账户管理域。
3. 了解活动目录和DNS的关系，并能够灵活运用。
4. 掌握IIS服务器的部署和配置，能够运用虚拟主机实现简单的多网站。
5. 掌握域中组策略的编辑和下发。
6. 掌握多个服务的之间的关联，能够综合运用多个章节的内容实现复杂的需求。
7. 掌握备份与恢复的基本原理和操作。

【实验项目1】

将虚拟机网络设置为NAT模式，然后安装2台服务器系统（Windows Server 2008 R2/2012 R2/2019）和1台桌面版系统（Windows 7/10，建议使用Windows 10）,计算机名分别命名为AD-SERVER、WEB-SERVER、USER-PC。三台主机各设置1个静态IP地址（自由指定），且在同一网段内。

提示：三台虚拟机的配置不做具体要求，可根据需要自由增删硬件及修改硬件配置。

【具体步骤】

1. 下载并安装各版本系统，在“计算机”右键“属性”“高级系统设置”“计算机名”“更改”名为为指定AD-SERVER“确定”，其他PC同理。

1. 在桌面网络图标右键“打开网络和共享中心”“更改适配器设置”“本地连接”进行IP地址；网段；掩码等设置更改，其他PC设置同理。

【实验项目2】

将AD-SERVER部署为域控制器，域名为xyz.local。接着，新建3个OU，分别命名为“广州分公司”、“成都分公司”、“上海分公司”，每个OU内新建若干个用户，用户名分配如下表：

OU	用户名
广州分公司	user_gz_0、user_gz_1
成都分公司	user_cd_0、user_cd_1
上海分公司	user_sh_0

最后，将WEB-SERVER和USER-PC两台计算机加入到xyz.local域。

【具体步骤】

1. 点击桌面左下角服务器图标“角色”“添加角色”
2. 来到选择页面选择“Active Directory 域服务”提示添加.NET Framework 3.5.1环境“添加”“关闭”
3. 添加完成后在角色下面会新增Active Directory 域服务选项，打开后“运行Active Directory 域服务安装向导”“在新林中新建域”设置林域名“xyz.local”林级别选择“Windosw Server 2008 R2”“设置数据库，日志文件等位置”“设置密码”等待安装完成并重启。
4. 桌面左下角开始按钮“管理工具”“Active Directory 用户和计算机”在xyz.local 右键“新建”“组织单位”“上海分公司”“广州分公司”“成都分公司”并在每个OU下右键“新建”“用户”添加对应的用户。

1. 其他PC加入域。在WEB-SERVER下设置首选DNS为“172.16.1.11”
2. 在桌面右下角开始“计算机”“属性”“高级系统设置”“计算机名”“更改”域设置为“xyz.local”提示登录输入域控权限账号密码加入域。

【实验项目3】

委派上海分公司的用户user_sh_0拥有管理本OU用户的权限，为其分配“新增、删除用户”以及“为用户重置密码”的权限。最后，以user_sh_0的身份登录到域。

【具体步骤】

1. 在上海分公司右键“委派控制”添加“user_sh_0”选择“创建，删除和管理用户账号”“重置用户密码并强制在下次登录时更改密码”完成设置。

1. 在WBE-SERVER下“更换账号”输入账号密码“user_sh_0”第一次登录会提示修改密码按照提示完成操作。登录完成。

【实验项目4】

在USER-PC上，为USER-PC添加相应功能，使其能够在USER-PC上管理域用户。并在USER-PC上以user_sh_0的身份操作：

添加用户user_sh_tmp，并限制该用户账户在2022年12月31日失效。

提示：需要远程服务器管理工具。参考：

[1] Windows 远程服务器管理工具 (RSAT)

[2] Windows 10 的远程服务器管理工具

[3] 适用于Windows 7的RSAT已上传群文件

【具体步骤】

1. 在USER-PC上安装“Active Directory 用户和计算机”在域输入“xyz.local”
2. 右键“上海分公司”“新建”“用户”输入“user_sh_tmp”
3. 在user_sh_tmp右键“属性”“账户”账户过期勾选为“在这之后”“2022年12月31日”

【实验项目5】

在WEB-SERVER上部署IIS服务。然后仿照如下HTML示例代码制作两个带有几个基本元素和标签的页面网站。你也可以绘制其他更精美的页面（但至少应包含Host1、Host2、姓名以及完整学号）·_<

<html>

<head>

<title>Host 1</title>

</head>

<body>

<h1>Host 1</h1>

<h2>你的姓名</h2>

<p>你的完整学号</p>

</body>

</html>

<html>

<head>

<title>Host 2</title>

</head>

<body>

<h1>Host 2</h1>

<h2>你的姓名</h2>

<p>你的完整学号</p>

</body>

</html>

提示：HTML的基本语法可参考：

[1] HTML 教程- (HTML5 标准)

【具体步骤】

1. 在网络随便找个人起始页，更改标签为自己的名字学号等。

【实验项目6】

在IIS上部署并同时启动两个Web服务器，需求如下：

1. 两个HTTP服务均使用80端口
2. 在USER-PC上使用浏览器输入www.xyz.local访问Host1站点；输入www2.xyz.local访问Host2站点

按要求实现需求后，在USER-PC上进行访问测试。

【具体步骤】

1. 在本地网络右键“属性”“IPv4”“属性”“高级”添加一个新IP“172.16.4.22”
2. 服务器管理器添加角色“IIS”“DNS”
3. 安装IIS和DNS后选择“wbe服务器”“Internet信息”“添加网站”设置名称，路径，IP地址后确定。同上设置第二个。

1. 桌面右下角“开始”“管理工具”“DNS”“正向查找区域”新建一个区域“新建区域”“主要区域”“设置名称”“xyz.local”设置完成后在xyz.local下添加一个A记录名称为“WWW”

地址为“172.16.4.12”同理设置第二个解析地址172.16.4.2。

1. 全部配置完成后在USER-PC下进行测试输入www.xyz.local和www2.xyz.local。

【实验项目7】

在WEB-SERVER上创建一个共享目录share，要求所有用户均可读取，但只有域管理员可以写入。然后，上传一张你喜欢的图片（j-g格式），命名为photo.jpg。

【具体步骤】

1. 在C盘新建一个文件夹命名为“share”右键共享文件夹

2.使用域管理账号进行重命名

【实验项目8】

在AD-SERVER上，为成都分公司的用户实现以下策略：

1. 将用户桌面的壁纸设置为photo.jpg且不允许用户自己更改（提示：可指定为UNC路径）
2. 在“计算机”的上下文菜单中隐藏“属性”，如下图：

1. 阻止用户运行交互式命令提示符；
2. 阻止用户私自更改TCP/IP设置（IP地址、子网掩码、默认网关等）；
3. 关闭右下角的时间显示

将策略下发后，在USER-PC上登录账户user_cd_0，并逐个检验上述需求是否实现。

【具体步骤】

1. 桌面左下角“开始”“组策列管理”依次点开到“成都分公司”右键“在这个域中创建GPO并在此处连接”命名为“一些不知道藏到什么目录下的且极端的策略”

1. 右键选中进到编辑状态按照图片所示路径并勾选“已启用”设置一个壁纸路径
2. “计算机”的上下文菜单中隐藏“属性”

4. 阻止用户运行交互式命令提示符

5.阻止用户私自更改TCP/IP设置

6.关闭右下角的时间显示

1. 在USER-PC下登录suer_cd_0进行验证

【实验项目9】

在WEB-SERVER上的共享目录share内建立一个子目录backup。然后在AD-SERVER上添加Windows Server Backup功能，备份AD-SERVER的C:\Users\Administrator目录到WEB-SERVER上的share\backup内。

【具体步骤】

1. 在服务器管理器“添加功能”“Windows Server Bcakup 功能”
2. 管理工具“Windows Server Bcakup”“一次备份”“其他选项”“自定义”添加路径“C:\share\backup”“远程共享文件夹”设置位置“输入账号密码”完成后路径下出现“Win”
3.