2022网络系统管理模块B样题1-DCserver配置任务（AD域、DNS、DHCP、WINS、域安全策略、打印）

前言

这是2022年全国职业院校技能大赛：网络系统管理项目-模块B--样题1-DCserver配置任务的全步骤，如有错漏请向我提出，文章暂时还未完结，过几天我会再更新一次。

任务清单

默认账号及密码

Username:  Administrator
Password: ChinaSkills22
Username: demo
Password: ChinaSkills22
注：若非特别指定，所有账号的密码均为 ChinaSkills22

 基本信息

Device	Hostname	FQDN	IPAddress
DCserver	DCserver	DCserver.ChinaSkills.cn	172.16.100.221

DCserver配置任务

注意：若题目中未明确规定，请使用默认配置。

虚拟服务器上，虚拟机名称为“DCserver”的为“DCserver”服务器系统，服务器已安装好基本的 Windows Server 操作系统环境，默认用户名为“administrator”，默认密码：Chinaskills22。

注：本题目中没特别说明的密码皆为：ChinaSkills22。

1．DCserver系统基础环境配置

1. 请根据附件说明或提供的基础信息，配置服务器的主机名\IP 地址，创建要求的用户名及密码；
2. 配置Windows 防火墙，仅允许配置的服务通过防火墙；禁止ICMP回显请求。

2．ACTIVE DIRECTORY SERVICE主域控活动目录配置工作任务

（1）在DCserver上配置以下服务与设置

• 为 ChinaSkills.cn 安装和配置活动目录域服务；
• 只有域管理员和IT部门员工可以登陆服务器。

（2）创建以下全局 AD 组与用户

• Sales (Sales001-100)、IT（IT01-05）、Finance（F01-10）、Management（Manage01-05）；
• 配置域控组策略及域控配置信息备份；每天自动备份到本地的D盘根目录；并同步复制到DFS目录下:\DFSsharedir\IT\backup 目录。
• 开启远程桌面服务及对应端口,让服务器可以被纳管到云堡垒机；仅允许本地管理员和域管理员登录；
• 开启本地及域控用户登录操作日志审计记录；
• 为所有域用户设置漫游文件（除Management 外），漫游文件放于\\ChinaSkills.cn\ ChinaSkills22\Roaming Profile\ 目录中；
• 创建ChinaSkills22 为GPO 管理员；加入到企业管理、域控管理员组；

3．DNS SERVICE配置工作任务

1. 安装及配置 DNS 服务；
2. 创建必要的ChinaSkills.cn正向区域，添加必要的域名解析记录；
3. 配置TXT记录，配置主时间控制服务记录；配置域名反向PTR；
4. 为当前域网络创建反向查找区域；

4．DHCP SERVICE配置工作任务

1. 安装及配置 DHCP 服务；
2. 创建一个名为“ChinaSkills.cn”的 DHCP 作用域；
3. 保留地址172.16.100.129-139，起始地址172.16.100.140-254；绑定SDCserver的IP地址为 172.16.100.222/25；
4. 网关地址：172.16.100.254；
5. DNS服务器：172.16.100.221；8.8.8.8；
6. 地址租约11h59min59s

5．为ChinaSkills.cn域配置安全策略

1. 限制 Management（Manage01-05）只能从Client登录；
2. 限制 Finance（F01-10），不能关闭计算机和重启计算机；
3. 所有的域计算机和域用户都能自动注册证书，证书颁发机构已经颁发过一次,就不再重复颁发，除非证书文件丢失或者失效；
4. 为普通用户配置密码策略，该策略要求密码为长度最小12位数的复杂性密码；
5. 对于Finance（F01-10），有一个例外，无需密码即可登录客户端；
6. 对IT（IT01-05） 用户启用桌面环境副本，移除回收站图表，统一添加 IE 浏览器快捷方式在桌面；
7. 禁止Sales (Sales001-010)使用注册表编辑工具、PowerShell 以及 Cmd。

6．AD域打印机

1. 添加一台虚拟打印机，名称为“SD-Print”；
2. 发布到 AD 域；

开始配置

一、基础配置

配置域参考我写的这篇文章第一、二大点，一定要配置主域，才能进行后面的操作。

https://blog.youkuaiyun.com/m0_46179915/article/details/133824927

修改主机名：

修改ip地址：

创建题目要求的用户，win+r-cmd 输入以下命令： 

#系统默认有一个管理员账户，只需修改密码即可。创建demo用户
net user Administrator ChinaSkills22
net user demo ChinaSkills22 /add

控制面板-系统和安全-防火墙（或按Win+R快捷键，输入firewall.cpl回车即可），点高级设置， 入站规则找到“文件和打印机共享(回显请求 - ICMPv4-In)”，右键单击属性, 点击阻止连接并确定

下面的ipv6也进行同样的配置

 二、ACTIVE DIRECTORY SERVICE主域控活动目录配置工作任务

1.在DCserver上配置服务和设置

安装和配置活动目录域服务在基础配置已完成。

只有域管理员和IT部门员工可以登陆服务器在创建组和用户之后进行。

2、 创建组和用户

打开cmd，输入如下命令，批量创建sales用户：

for /L %a in　(1,1,100) do net user Sales00%a ChinaSkills22 /add /domain

（提示：如果提示无权限，下方任务栏搜索cmd，右键以管理员身份运行，就可以创建了）

打开服务器管理器-右上角工具-AD用户和计算机 

选中chinaskills.cn ，单击“在当前容器中创建一个新的组织单位”按钮，或空白处右键-新建-组织单位，填写名称

 

提示：如果要删除或移动组织单位，查看-点击高级功能

 右键点击想要删除的组织单位，点击“属性”，点击对象，把方框内的勾点掉，点确定。然后就可以删除了，这里以删除Finance为例。移动组织单位一样也要点掉这个选项。

创建好后，点击新建组图标，填写组名。

 点开users文件夹，找到已批量创建的成员，快捷键ctrl+a全选Sales001-100所有用户，右键属性，点账户，勾选密码永不过期。

系统没有给出成功设置的反馈，实际上已设置成功。 

 选中Sales组，右键属性

点击成员-添加-框内输入sales-检查名称-快捷键ctrl+a全选所有Sales001-100用户，确定再确定，最后应用-确定。

IT、Finance、Management组操作同Sales组，此处不再赘述。命令如下：

for /L %a in　(1,1,5) do net user IT00%a ChinaSkills22 /add /domain
for /L %a in　(1,1,10) do net user Finance00%a ChinaSkills22 /add /domain
for /L %a in　(1,1,5) do net user Management00%a ChinaSkills22 /add /domain

只有域管理员和IT部门员工可以登录服务器：

双击域管理员（Domain Admin）

打开属性-成员-添加-框内输入IT-检查名称-IT组（选中IT组也就选中了IT组里的所有用户）-确定

服务器管理器-右上角的工具-组策略管理  ？？？

 左侧找到 Default Domain Policy ，右键单击它，点编辑，打开组策略编辑管理器

依次按下图所示步骤打开“允许本地登录 属性”，Administrator直接在用户和组名输入，域点浏览输入。

 

3、创建ChinaSkills22为GRO管理员 

 服务器管理器-工具-组策略管理（Group Policy Management）

域-右键chinaskills.cn-创建GPO

输入 ChinaSkills22，点确定。

 双击chinaskills22，删除Authenticated Users，点添加。

点高级

 添加Domain Admins（城域管理员）

按照上述方法再添加企业管理

4、为所有域用户设置漫游文件

 服务器管理器-工具-AD用户和计算机，全选创建的所有域用户（除Management外），右键-属性

 

添加路径

\\ChinaSkills.cn\ChinaSkills22\Roaming Profile\%username%

可打开powershell，输入 net user IT01 ，验证路径和用户名是否正确。

5、开启本地及域控用户登录操作日志审计记录

本地用户： 

快捷键win+r，键入gpedit.msc，找到审核策略，分别点击审核登录事件和审核账户登录事件，进行配置。

域控用户： 

打开组策略管理，找到Default Domain Policy，右键，编辑

找到审核登录事件和审核账户管理事件，进行操作 

 6、开启远程桌面服务对应端口，让服务器可以接纳到云堡垒机，仅允许本地管理员和域管理员登录

 右键桌面图标“此电脑-属性（如果没有桌面图标可以点任务栏搜索图标，在搜索框输入此电脑，右键-属性）-远程设置-勾选“允许远程连接到此计算机”-选择用户-添加-高级-选择位置为整个目录-立即查找-选择Administer和Domain Admin，点确定

7、配置域控组策略及域控配置信息备份；每天自动备份到本地的D盘根目录；并同步复制到DFS目录下:\DFSsharedir\IT\backup目录

服务器管理器-管理-添加角色和功能，前面点下一页，功能选择Windows server备份，点下一页，安装。

如果没有给磁盘分区，后面创建备份会报错，有的话直接进行下一步即可。

如果分给虚拟机的存储空间足够，直接在计算机管理-磁盘管理分区即可，如果不够可以在虚拟机设置给磁盘扩容，或者新建一块磁盘。

磁盘创建好后，显示该磁盘为脱机状态。

打开cmd，输入如下命令，使磁盘变为联机状态。

diskpart                                                                  //进入磁盘管理

an policy=onlineall                                                 //调整san策略为在线策略

list disk                                                                   //查看下磁盘状态

select disk 1                                                           //选中脱机磁盘

attributes disk clear readonly                                  //清楚磁盘属性

online disk                                                              //联机磁盘

成功联机后，右键磁盘1，点击初始化磁盘。

选择磁盘1，点确定。 

这里我为了跟题目的要求一样，更改了光驱的驱动器号为E。 

  更改后，右键磁盘1未分配空间，新建简单卷，驱动器号选择D。完成后如下图所示。

服务器管理器-工具- Windows Server 备份

 

点击本地备份-备份计划 

选择自定义，下一步。 

添加项目-C盘-Windows，勾选NTDS和SYSVOL

 

完成后点下一步。

 

时间如果题目没规定，点下一步。目标类型选备份到卷。

目标卷选择D盘。 

选择完毕后下一步即可，直至进度条跑完。

 

三、DNS SERVICE 配置工作任务 

1、安装及配置DNS服务。

打开服务器管理器-管理-添加角色和功能

前面保持默认点下一步即可，服务器角色勾选DNS服务器，点安装，后面继续保持默认选项，直至安装完毕。

2、创建域名正向区域，添加必要的域名解析记录

3、配置TXT记录

4、创建反向查找区域

 

四、DHCP SERVICE配置工作任务

1、安装和配置DHCP服务

注意点：几台主机需要在同一网络当中；
配置DHCP必须在网卡内配好网关；
域环境下配置DHCP，分配IP地址。

在自己电脑上操作配置参考：

1台DC主域：DCserver
1台www主机：配置DHCP
1台客户机：获取IP地址

（可选）关闭防火墙可更快分配ip地址：

服务器管理器-添加角色和功能-DHCP服务器-添加功能-安装

 安装完毕，点完成配置