win-server-2012域控与活动目录的设置

Windows Server活动目录企业应用项目四 使用组策略管理用户地工作环境四.一有关知识识组策略是一种能够让系统管理员充分管理与控制用户工作环境地功能通过它来确保用户拥有符合组织要求地工作环境,也通过它来限制用户,这样不但可以让用户拥有适当地环境,也可以减轻系统管理员地管理负担。

本节介绍如何使用组策略来简化在Active Directory环境管理计算机与用户。

将了解组策略对象(GPO)结构以及如何应用GPO,还有应用GPO时地某些例外情况。

本节还将讨论Windows Server 二零一二提供地组策略功能,这些功能也有助于简化计算机与用户管理。

四.一.一组策略组策略是一种技术,它支持Active Directory环境计算机与用户地一对多管理,特点如图六-一所示。

图六-一组策略通过编辑组策略设置,并针对目地用户或计算机设计组策略对象(GPO),可以集管理具体地配置参数。

这样,只更改一个GPO,就能管理成千上万地计算机或用户。

组策略对象是应用于选定用户与计算机地设置地集合。

组策略可控制目地对象地环境地很多方面,包括注册表,NTFS文件系统安全,审核与安全策略,软件安装与限制,桌面环境,登录/注销脚本等。

通过链接,一个GPO可与AD DS地多个容器关联。

反过来,多个GPO也可链接到一个容器。

一．域策略域级策略只影响属于该域地用户与计算机。

默认情况下存在两个域级策略,如表六-一所示。

表六-一默认域级策略（域策略,域控制器策略）可以创建其它域级策略,然后将其链接到AD DS地各种容器,以将具体配置应用于选定对象。

例如,提供额外安全设置地GPO可应用于包含应用程序服务器计算机账户地组织单位。

又如,GPO可限制某个组织单位用户地桌面环境。

二．本地策略运行Windows 二零零零 Server或更高版本操作系统地每台计算机都有本地组策略。

此策略影响本地计算机以及登录到该计算机地任何用户,包括从该本地计算机登录到域地域用户。

网络C
Ro路ut由er器3 R3o的ut路ing由T表able
C, E, A (RIP),CB, E(RIP), D (RIP)
路由器2 路由器3
网络D 网络E
删除
删除前面建立的静态路由
IP:192.168.1.1/24
1
网关:192.168.1.254
网卡1
网卡1
IP:192.168.1.254/24
默认网关是每台主机上的一个配置参数，它是接在同一个网 络上的某个router接口的IP地址。
路由表：为了完成路由数据包的工作，在路由器中都要保 存各种传输路径的相关数据----路由表，供路由选择时使 用。
开始搜索路由表
有 有无与目的主机地址完全匹配的条目
无 有
有无与目的网络地址相匹配的条目
无 有
有无默认路由条目
无
返回“主机不可达”或 “网络不可达”的信息
将报文发送给该条目指定的下一站 路由器或直接连接的网络接口
路由搜索结束
查看路由表：route print
IP:192.168.1.1/24 网关:192.168.1.254
1号机
IP:192.168.2.1/24 网关:192.168.2.254
IP:192.168.2.3/24
2号机添加静态路由：
3号机添加静态路由：
路由接口筛选可以阻止特定类型的数据包进出路由器 路由接口筛选是指被设计用来允许或拒绝进出路由器数据包的TCP/IP 规则
路由器
入站过滤器
出站过滤器
拒绝来自1号机所在网络的ICMP数据包
1.在2号机的网卡1上设置 2.在3号机的网卡2上设置
3号机
网卡1
网卡1

Windows server 2012 文件服务器配置手册需求说明：1.创建3个用户名为：user01、user02、user032.创建文件夹share，在share文件夹里面分别创建user01、user02、user03文件夹er01用户只能访问user01，登录user01时，只能看到user01，看不到user02和user03一、安装文件服务器1.打开添加角色和功能下一步选中文件和存储服务-文件和ISCSI服务-文件服务器和文件服务器资源管理器下一步到这一步，文件服务器已经安装完成，接下来配置文件服务器二、配置文件服务器打开文件和存储服务1.Share文件夹主目录的共享设置打开任务-新建共享选择SMB共享-高级‘下一步选中，启用基于存取的枚举（用户只能看自己的文件夹，没权限访问的文件夹会被隐藏）打开自定义权限禁用继承-从此对象中删除所有继承的权限选择主体-权限-把administrator和everyone添加上去，给予完全控制权限（权限这一项是创建文件和文件夹的权限）注：权限可以根据需求来修改er01文件夹共享设置（前面的设置和share文件夹的设置一样，这里我就不上图了）选择主体-权限-把user01和administrator添加上去，给予完全控制权限（权限这一项是创建文件和文件夹的权限）打开共享，把Everyone删除，添加user01，给予完全控制权限（访问文件夹的权限）设置好，应用即可点下一步到这一步，恭喜你！已经搭建好文件服务器了。

（user02和user03用同样的方法操作即可）FAQ问题：权限里把administrator添加上去即可解决。

*注：计算机型号不同，可能开机选择启动设备的快捷键不同，通常情况下均是 F12
5 / 65
Microsoft OEM ROK Windows Server 2012 操作系统部署和服务器虚拟化专题实验手册 10) 系统将自动进入到区域选择界面，在这个界面将确定计算机的安装界面语言和区域 设置，保持默认即可。
9)
在‘确认安装所选内容’页面，单击‘指定备用源路径’。
3 / 65
Microsoft OEM ROK Windows Server 2012 操作系统部署和服务器虚拟化专题实验手册 10) 弹出‘添加角色和功能向导’的‘指定备用源路径’对话框。在‘路径’右侧的文 本框中输入‘步骤一中的 DVD 驱动器盘符:\Sources\SxS\’，单击‘确定’。
11) 在‘确认安装所选内容’页面，单击‘安装’。 12) 安装成功后，单击‘关闭’。 2. Windows7-USB-DVDTools 此工具用来制作 USB 安装 盘 2) 安装步骤都选择默认设置，安装完成后，会在桌面出现如下图标： 1) 找到位于 E:\LabData\Windows7-USB-DVD-Tool.exe 文件，双击运行安装。
7) 8) 9)
在‘选择功能’页面，单击‘下一步’。 在‘Hyper-V’页面，单击‘下一步’。 在‘创建虚拟交换机’页面，单击‘下一步’。
10) 在‘虚拟机迁移’页面，单击‘下一步’。 11) 在‘默认存储’页面，将‘虚拟机硬盘文件’和‘虚拟机配置文件’的路径改成 ‘D:\Hyper-V\’，单击‘下一步’。
microsoftoemrokwindowsserver2012操作系统部署和服务器虚拟化专题实验手册2065microsoftoemrokwindowsserver2012操作系统部署和服务器虚拟化专题实验手册2165microsoftoemrokwindowsserver2012操作系统部署和服务器虚拟化专题实验手册2265microsoftoemrokwindowsserver2012操作系统部署和服务器虚拟化专题实验手册2365microsoftoemrokwindowsserver2012操作系统部署和服务器虚拟化专题实验手册24安装集成服务可以提高速度也可以使你的鼠标在虚拟机与物理机之间自由切在windowsserver2008r2虚拟机连接窗口菜单栏中单击操作选择插入集成服务安装盘

windows server 2012 部署活动目录服务今天我们来学习如何在Windows Server 2012中创建域.安装前提条件：1.安装者必须具有本地管理员权限2.操作系统版本必须满足条件（Windows Server 2008 除Web版外都满足）3.本地磁盘至少有一个分区是NTFS文件系统4.有TCP/IP设置（IP位置、子网掩码等）5.有相应的DNS服务器支持6.静态的IP位置，并把DNS指向自己的IP位置7.有足够的可用空间注意：Dcpromo.exe 已弃用。

在 Windows Server 2012 中，如果你从命令提示符运行dcpromo.exe（无任何参数），你将收到引导你到服务器管理器的信息，在该服务器管理器中，你可使用“添加角色”向导安装 Active Directory 域服务。

如果你从命令提示符运行 dcpromo /unattend，你仍可执行使用 Dcpromo.exe 的无人参与安装。

这可让组织继续使用基于 dcpromo.exe 的自动化 Active Directory 域服务 (AD DS) 安装例程，直到它们可以使用 Windows PowerShell 重写那些例程。

实验环境使用1台虚拟机，DC的IP是192.168.6.1,DNS位置指向自己.1.首先检查操作系统的版本2.检查网络的IP位置和DNS位置指向3.打开“服务器管理器”，点击“添加角色和功能”4.选择“基于角色或基于功能的安装”5.选择安装角色的服务器6.选择安装“AD域服务”7.完成AD域服务的安装8.开始进行“AD域服务配置向导”9.选择新建林，域名为10.选择林功能级别和域功能级别，指定是否为DNS服务器和全局编目GC11.制定DNS委派12.设置NETBIOS名13.指定AD DS数据库，日志文件和SYSVOL存放位置14.检查安装参数选项15.首先验证后进行AD的安装16.安装AD成功后进行重新启动，打开“服务器管理器”查看17.打开"AD用户和计算机"工具进行查看18.打开"DNS服务器"工具进行查看19.打开"组策略管理"工具进行查看20.打开"AD管理中心"工具进行查看本文出自“微软技术专题”博客，请务必保留此出处bbb://nickzp.blog.51ctoaaa/12728/1064693。

windowsserver2012基本操作Windows Server 2012是微软公司的一款服务器操作系统，具有许多新的特性和功能。

下面是一些基本的操作步骤，帮助您开始使用Windows Server 2012：一、启动和登录1. 打开计算机电源，启动服务器。

2. 当操作系统启动时，您应该看到一个欢迎屏幕，显示一些系统信息。

3. 在欢迎屏幕上，选择“使用管理员帐户登录”。

4. 输入管理员帐户的用户名和密码，然后按Enter键。

5. 成功登录后，您将进入Windows Server 2012的桌面环境。

二、文件和文件夹管理1. 在桌面上，右键单击空白区域，选择“新建”>“文件夹”，创建一个新文件夹。

2. 在桌面上或新创建的文件夹中，右键单击空白区域，选择“新建”>“文本文档”，创建一个新文本文档以演示如何在Windows Server 2012中进行文件和文件夹管理。

3. 使用键盘输入文本，并保存文档。

4. 将新创建的文档重命名为适当的名称，例如“example.txt”。

5. 使用资源管理器或文件资源管理器（Windows Server 2012默认使用文件资源管理器）导航到新创建的文件夹，右键单击该文件夹，并选择“属性”。

6. 在文件夹属性对话框中，您可以选择适当的选项卡（例如常规、共享、权限等），以管理文件和文件夹。

三、控制面板和设置1. 打开控制面板，您可以通过在桌面上右键单击空白区域并选择“控制面板”来访问它。

2. 在控制面板中，您可以找到许多不同的设置和应用程序，例如网络和Internet、用户账户、系统和安全等。

3. 您可以按照控制面板中的说明进行设置或更改配置。

四、网络连接和管理1. 在桌面上右键单击网络图标（网络图标可能显示为“网络”或“Wi-Fi”），选择“打开网络和共享中心”。

2. 在网络和共享中心窗口中，您可以查看和管理您的网络连接。

3. 您还可以在控制面板中打开“网络和Internet”设置，以访问更多网络管理选项。

windows 2012 域控基本知识Windows Server 2012是微软推出的一款服务器操作系统，它具备许多功能和特点，而其中一个重要的功能就是域控制器（Domain Controller）。

一、什么是域控制器域控制器是Windows Server中的一个角色，用于集中管理和控制域中的用户、计算机和资源。

它允许管理员在整个网络中设置和管理全局策略，同时提供用户认证和授权的功能。

域控制器通常作为中心节点，在企业网络中起到关键的作用。

二、域的概念和作用1. 域的定义：在Windows Server中，域是由一组计算机和资源组成的逻辑网络，这些计算机和资源由一个公共的身份认证和安全机制管理。

域允许用户通过单一登录认证访问所有的网络资源。

2. 域的作用：域的建立使得网络管理更加简便和安全。

通过域控制器，管理员可以集中管理用户和计算机账户，实现统一的身份认证和授权机制。

域还提供了分层授权和管理权限的能力，可以根据不同的组织结构和安全需求对用户和计算机进行灵活的管理。

三、Windows Server 2012中的域控制器安装和配置1. 安装域控制器：要安装域控制器，首先需要将Windows Server 2012服务器添加到现有的域或创建一个新的域。

然后，通过“服务器管理器”或命令行工具执行“添加角色和功能”向导，选择“域控制器”角色，并按照提示完成安装过程。

2. 配置域控制器：安装完成后，需要进行一些配置来使域控制器正常工作。

首先，需要指定域的名称和安全设置。

然后，设置域控制器的网络连接、IP地址和DNS等网络设置。

还可以配置域的全局策略、用户和计算机对象的属性，以及安全和审计设置。

3. 备份和恢复：域控制器存储着大量的关键数据，因此备份和恢复操作非常重要。

Windows Server 2012提供了一套完整的备份和恢复工具，可以对域控制器的系统状态、活动目录数据库和配置信息进行定期备份，并在需要时进行恢复。

Server 2012 文件服务器的搭建与权限分配实例在本文中，我们将详细介绍如何搭建一个 Server 2012 文件服务器，并实现对文件的权限分配。

Server 2012 是一款功能强大的服务器操作系统，它提供了许多高级功能和工具，适用于中小型企业的文件共享和管理。

一、搭建 Server 2012 文件服务器1. 安装 Server 2012 操作系统- 下载合适的 Server 2012 镜像文件，并创建一个启动盘。

- 将启动盘插入服务器，并启动服务器。

- 按照安装向导的指示，选择合适的语言、时区和键盘布局。

- 选择“自定义”安装类型，并选择要安装的磁盘分区。

- 完成安装过程，并设置管理员密码。

2. 安装文件服务角色- 打开“服务器管理器”，并点击“添加角色和功能”。

- 在“添加角色和功能向导”中，选择“基于角色或基于功能的安装”。

- 在“服务器角色”中，选择“文件和存储服务”。

- 在“文件和存储服务”中，选择“文件服务器”和“DFS 命名空间”。

- 完成安装过程，并重启服务器。

3. 配置文件共享- 打开“服务器管理器”，并点击“文件和存储服务”。

- 在“文件和存储服务”中，选择“共享文件夹”。

- 点击“任务”菜单，选择“新建共享文件夹”。

- 在“共享文件夹向导”中，选择要共享的文件夹路径，并设置共享名称。

- 选择共享的权限和配额，并完成共享设置。

4. 配置访问权限- 打开“服务器管理器”，并点击“文件和存储服务”。

- 在“文件和存储服务”中，选择“共享文件夹”。

- 右键点击要配置权限的共享文件夹，并选择“属性”。

- 在“共享”选项卡中，点击“高级共享”。

- 在“高级共享”中，点击“权限”。

- 在“权限”对话框中，点击“添加”来添加用户或组。

- 选择要添加的用户或组，并设置相应的权限。

- 点击“确定”保存设置。

二、权限分配实例假设我们有一个文件服务器，其中包含了公司各个部门的文件夹。

我们需要为每个部门设置不同的访问权限，以确保文件的安全性和机密性。

Windows Server 2012设置0.评估与激活Windows Server 2012试用版安装后，有一个180天的试用期。

在180天试用期即将结束时，用“Rearm”后,重启电脑,剩余时间又恢复到180天。

微软官方文档中声明该命令只能重复使用5次,这样Windows Server 2012至少用900天。

1.允许在未登录前关机手动配置：运行Gpedit.msc[打开组策略编辑器]-计算机配置-Windows 设置-安全设置-本地策略-安全选项-关机:允许系统在未登陆的情况下关闭-已启用脚本配置：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] "shutdownwithoutlogon"=dword:000000012.禁用Ctrl+Alt+Del手动配置：运行Gpedit.msc[打开组策略编辑器]-计算机配置-Windows 设置-安全设置-本地策略-安全选项-交互式登录：无需按Ctrl+Alt+Del-已启用脚本配置：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] "DisableCAD"=dword:000000013.关闭事件跟踪程序手动配置：运行Gpedit.msc[打开组策略编辑器]-计算机配置-管理模板-系统-显示“关闭事件跟踪程序”-已禁用脚本配置：[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Reliability] "ShutdownreasonOn"=dword:000000004.启用自动登录手动配置：运行Control UserPasswords2-用户账号-勾选“要使用本计算机,用户必须输入用户名和密码”-输入您当前系统的密码即可登录脚本配置:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "DefaultUserName"="Administrator""AutoAdminLogon"="1";Please Change Your Password"DefaultPassword"=""5.启用性能For程序手动配置：运行Sysdm.cpl [系统属性]-高级-性能-设置-高级-调整以优化性能-程序脚本配置：[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\PriorityControl]"Win32PrioritySeparation"=dword:000000266.禁用IE增强的安全设置手动配置：运行ServerManager[服务器管理器]-本地服务器-IE增强的安全设置-管理员-关闭[用户-关闭] 脚本配置:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}]"IsInstalled"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}]"IsInstalled"=dword:000000007.在登录时不启动服务器管理器手动配置：运行ServerManager[服务器管理器]-管理-服务器管理器属性-勾选“在登录时不启动服务器管理器”脚本配置:[HKEY_LOCAL_MACHINE\Software\Microsoft\ServerManager] "DoNotOpenServerManagerAtLogon"=dword:000000018.关闭密码必须符合复杂性要求和设置密码长度最小值为0手动配置：运行Gpedit.msc[打开组策略编辑器]-计算机配置-Windows 设置-安全设置-账户策略-密码策略-密码必须符合复杂性要求-已禁用脚本设置:通过secedit命令设置MinimumPasswordLength = 0PasswordComplexity = 09.调整为最佳外观、启用缩略图手动配置：运行Sysdm.cpl [系统属性]-高级-性能-设置-视觉效果-调节为最佳外观脚本配置：无10.设置音频服务为自动启动手动配置：运行Services.msc[服务]-Windows Audio-启动类型-自动脚本配置：PowerShell /Command "&{set-Service "Audiosrv" -startuptype automatic}"11.启用桌面体验和无线服务手动配置：运行ServerManager[服务器管理器]-工具-添加角色和功能-基于角色或基于功能的安装-从服务器池中选择服务器-功能-无线LAN (WLAN) 服务、用户界面和基础结构脚本配置：PowerShell /Command "&{Import-Module servermanager}"PowerShell /Command "&{Add-WindowsFeature Desktop-Experience}"PowerShell /Command "&{add-windowsfeature Wireless-Networking}"12.默认不启动Metro界面手动配置：运行Regedit[注册表编辑器]-导航到-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Server右击权限-高级-所有者[更改]-高级-立即查找-选择Administrators-一路确定右击权限-选中Administrators-完全控制-允许-一路确定双击修改-ClientExperienceEnabled-键值为0关闭注册表编辑器脚本配置：SetACL.exe -on "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Server" -otreg -actnsetowner -ownr "n:S-1-5-32-544;s:y">nulSetACL.exe -on "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Server" -otreg -actn ace -ace "n:S-1-5-32-544;s:y;p:full">nulreg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Server" /f /v ClientExperienceEnabled /t REG_DWORD /d 0 >nul13.禁用DEP 数据执行保护手动配置：运行Sysdm.cpl [系统属性]-高级-性能-数据执行保护-仅为基本的Windows 程序和服务启用DEP-一路确定脚本配置：bcdedit /set nxOptIn14.禁用Structured Exception Handling Overwrite Protection手动配置：运行Regedit[注册表编辑器]-导航到-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel双击修改-DisableExceptionChainValidation-键值为1脚步配置：[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel] "DisableExceptionChainValidation"=dword:00000001[size=-1]15.设置应用商店手动配置：运行Control nusrmgr.cpl [用户账号]-管理帐户-添加用户账号-下一步-完成选择刚刚创建的账号-更改账号类型-管理员-更改账号类型用刚刚创建的用户登录-访问应用商店-下载自己喜欢的应用16.设置Metro IE 为Metro界面下的默认浏览器脚本配置：[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main] "ApplicationTileImmersiveActivation"=dword:0000000117.设置Areo鼠标方案脚本配置：已经整合至一键设置工具包，在此不再详述18.更改Windows Sever 2012壁纸为Windows 8地址脚本配置：TakeOwn.exe /F %SystemRoot%\Web\Wallpaper\Windows\img0.jpgicacls %SystemRoot%\Web\Wallpaper\Windows\img0.jpg /resetrename %SystemRoot%\Web\Wallpaper\Windows\img0.jpg img0.jpg.bak copy /y Windows\img0.jpg %SystemRoot%\Web\Wallpaper\Windows\img0.jpg19.安装Flash PlayerWindows Server 2012 非IE浏览器不支持最新版本的Flash Player，可以下载此版本的进行安装/get/flashplayer/current/licensing/win/install_flash_player_ 11_plugin_64bit.exe以下脚本配置一键设置工具包[只要上述没有提供脚本配置的，都需要自己手动配置]下载页面/s/8SmyLqzmyeJg51bAb93QcA。

Server 2012 R2 部署域控、额外域控及FSMO角色转移和夺取网络环境：+DNS+DHCP操作系统：Windows Server 2012 R2 Standard网卡信息：IP：192.168.100.1/24+DNS+DHCP操作系统：Windows Server 2012 R2 Standard网卡信息：IP：192.168.100.2/24DHCP配置如下：IP池：192.168.100.20-192.168.100.250网关：无DNS：192.168.100.1，192.168.100.2配置2台服务器为DHCP故障转移一、主域的安装及配置配置网卡信息，如下图打开服务器管理器，点击添加角色和功能如下图选择安装类型：基于角色或基于功能的安装，如下图池中仅一台主机，保持默认（此图是在未更改主机名时截取的，更改后的截图找不到了，拿来顶替），如下图选择AD域服务并添加功能，如下图功能不做添加，不选择直接下一步，跳转到添加ADDS域服务向导，如下图确认安装所选内容，点击安装，如下图正在安装域服务器，如下图安装完毕，点击关闭，如下图点击服务器管理器上方的小旗子查看提示内容，选择将此服务器提示为域控制器，如下图因为这是此域中第一个域，选择添加新林并输入根域名信息，如下图选择域控制器林和域功能级别并设置DSRM密码，如下图出现DNS敬告，因为没有安装DNS，忽略，直接下一步，如下图NETBIOS设置，保持默认，直接下一步，如下图17指定ADDS数据库、日志文件和SYSVOL存放的位置，如下图配置选项查看，可检查是否有问题，有问题点击上一步返回，否则直接下一步，如下图AD域服务器部署前先决条件检查，检查通过后，点击安装，如下图正在配置域服务，配置完成后会自动重启。

如下图重启后，登录AD服务器，配置DNS反向查找区域，没有反向查找区域时，nslookup解析会出现问题，如下图DNS反向查找区域配置向导，如下图在区域类型中选择主要区域，如下图设置传送作用域，如下图设置反向查找IP类型，如下图输入反向查找区域名称，如下图指定反响查找更新类型，如下图完成DNS反向查找区域建立，如下图在DNS反向查找区域中查看记录，如下图二、上面设置已经完成主域的部署，接下来，部署额外域控。

server2012⽂件夹、局域⽹共享设置权限以及server2012r2⽂件共享权限设置⽅法WindowsServer2012是微软新⼀代的⽂件服务器操作系统，各项功能⼤⼤增强，很多企业也纷纷⽤Server2012做⽂件服务器，共享⽂件供局域⽹⽤户访问。

那么，具体如何发挥Server2012在⽂件共享⽅⾯的功能呢，这就需要详细了解服务器共享设置的步骤，然后充分发挥操作系统在⽂件访问权限设置⽅⾯的功能。

⽐如，通过服务器登录账号设置访问不同共享⽂件的权限，或者通过WindowsAD域控制器来设置共享⽂件访问权限等，都可以实现。

具体如下：⽬标：建⽴⼀个共享⽂件夹，在这个⽂件夹内对应每个⽤户分别建⽴各⾃⼦⽂件夹，每⼈只访问⾃⼰有权限的⽂件夹，并且，⽤户看不到⽆权限⽂件夹。

每个⽤户有⾃⼰不同的磁盘配额，针对磁盘配置有报警。

针对不同⽤户屏蔽指定的⽂件类型。

去⾍。

对共享⽂件夹内的⽂件使⽤情况进⾏监控。

1、建⽴总共享⽂件\share\share--右键（属性）--共享（菜单）--⾼级共享--（打勾）共享此⽂件夹--输⼊共享⽂件夹名称--权限--every--(打勾)完全控制\share--右键（属性）--安全--⾼级--有效访问（菜单）--选择⽤户--添加domainusers组\share--右键（属性）--安全--⾼级--权限--（点）禁⽌继承--（选）将已继承的权限转换为此对象的显式权限。

\share--右键（属性）--安全--⾼级--权限--权限条⽬内保留system和administrators⽤户组\share--右键（属性）--安全--⾼级--（打勾）可从此对象继承的权限项⽬替换所有⼦对象的项⽬\share--右键（属性）--安全--⾼级--权限--（点）添加--选择主体--添加domainusers组（确定）--应⽤于（只有该⽂件夹）--基本权限（打勾）完全控制应⽤--确定注：如果⼦⽂件夹内已经有⽂件，然后给该⼦⽂件夹给⼀个domainuser开权限，那么thisuser⽆法看到已有⽂件.解决⽅法:1,把已有⽂件复制⼀份；2，在⼦⽂件夹的属性--安全--⾼级--打勾--可从此对象继承的权限项⽬替换所有⼦对象的项⽬--应⽤。

项目分析
通过建立基于域的隔 离用户FTP站点和磁 盘配额技术可以实现 本项目。。
项目实施
1、基于AGDLP原则构建用户组 2、创建ftp站点 创建隔离FTP站点 在FTP站点下为用户创建私有目录，并配置NTFS 权限 3、配置磁盘配额
我问你答
1、非域环境下的用户隔离和域环境下的用户隔离有何 区别？ 2、FTP匿名站点的权限该如何部署？ 3、FTP非匿名站点的权限改如何设计？ 4、磁盘配额的作用？ 5、多用户隔离的FTP可以解决那些企业应用？ 6、FTP服务和FS服务的异同？
项目13 AD环境下多用户隔离 FTP实验
课程的内容
域环境下Windows server 2012 ftp服务的配置与管理
匿名ftp
非匿名ftp
隔离ftp
ftp权限的配置（双权限）
磁盘配额的应用
项目背景
EDU公司已经搭建好域环境之后，业务组因业务需求， 需要在服务器上存储相关业务数据，但是业务组希望各 用户目录相互隔离（仅允许访问自己目录而无法访问他 人目录），每一个业务员允许使用的ftp空间大小为 100M。为此，公司决定通过AD下的FTP隔离来实现此 应用。
项目实训题
为域用户jack和Tom配置多用户隔离
FTP，查看FTP隔离站点的属性；验 证不同用户登录

4.2 Active Directory与域
5．域控制器、站点和成员服务器 (2)站点。站点(Site) 代表网络的物理结构，而域代表组织
的逻辑结构。站点是一个或多个 IP 子网地址的计算机 集合，往往用来描述域环境网络的物理结构或拓扑。为 了确保域内目录信息的有效交换，域中的计算机需要很 好地连接，尤其是不同子网内的计算机，通过站点可以 简化Active Directory内站点之间的复制、身份验证等 活动，提高工作效率。 (3)成员服务器。一个成员服务器就是一台在Windows Server 2012 域环境中实现一定功能或提供某项服务的 服务器，如通常使用的文件服务器、FTP 应用服务器、 数据库服务器或者Web 服务器。成员服务器不是域控制 器，不执行用户身份验证并且不存储安全策略信息，这 对网络中的其他服务具有更强的处理能力。
4.1 工作场景导入
【引导问题】 (1)如何创建Active Directory？创建时对服务器有
什么要求？创建完成后如何管理？ (2)一台Windows客户机如何添加到域中？如何使用
Active Directory中的资源？ (3)组织单位是什么？如何创建和管理？ (4)域用户账号与本地用户账号有何区别？如何创建
4.2 Active Directory与域
2．活动目录的特性 1)服务的集成性
活动目录的集成性包括内容更丰富，主要体现在3 个方面：用户及资源的管理、基于目录的网络服务、网络 应用管理。 2)信息的安全性
在 Windows Server 2012 系统支持多种网络安全 协议，使用这些协议能够获得更强大、更有效的安全性。 3)管理的简易性
4.1 工作场景导入
【工作场景】 XYZ公司是一家大型制造企业，公司有许多内设部门

Windows网络操作系统
实训视频
实训项目 将共享文件夹发布到AD DS
任务1 将共享文件夹发布到AD DS
一、要求
根据网络拓扑图，完成如下任务。 • 通过AD查找工具就可以快速查找相关资源
任务1 将共享文件夹发布到AD DS
二、实训项目演示Leabharlann 请读者观看实训项目演示…………
任务1 将共享文件夹发布到AD DS
任务1 将共享文件夹发布到AD DS
图12-1 在组织单位【技术部】创建共享文件夹
图12-2 新建对象-共享文件夹
任务1 将共享文件夹发布到AD DS
双击刚才所建立的对象“技术部文档”共享文件夹，在弹出的窗口 中单击“关键字”按钮。如图12-2所示。
图12-3 技术部文档属性
任务1 将共享文件夹发布到AD DS
通过图12-4来将与此文件夹有关的关键字（例如技术部、新技术、word等 ）添加到此处，让用户可以通过关键字来找到此共享文件夹。完成后单 击“确定”按钮。
图12-4 设置技术部文档搜索关键字
任务1 将共享文件夹发布到AD DS
2. 利用计算机管理控制台
请到共享文件夹所在的计算机（MS1）上【单击左下角的开始图标→ 管理工具→计算机管理】。 【展开系统工具→共享文件夹→共享→双击中间的共享文件夹技术部 文档】。
【选择“发布”选项卡。勾选将这个共享在Active Directory 中发布。单击“确定”按钮】。您也可通过图右下方的“ 编辑”按钮来添加关键字。如图12-5所示。
任务1 将共享文件夹发布到AD DS
图12-5利用计算机管理控制台发布共享文件夹
1.利用Active Directory用户和计算机控制台
单击域控制器DC1左下角的开始图标→管理工具→Active Directory 用户和计算机→如图12-1所示选中组织单位【技术部】并单击右 键→新建→共享文件夹。

《Windows Server 2012网络服务器配置与管理》课程标准一、课程性质与任务本课程是计算机网络技术专业的一门专业主干课程。

通过该门课程的学习，使学生能够初步了解网络环境中基本概念、名词以及相关术语。

掌握网络操作系统Windows Server 2012的基本原理、主要功能;掌握网络操作系统的相关服务的特点和原理;重点掌握网络操作系统中各种服务的设计思想、配置过程、使用方法和故障的诊断与维护的方法。

本课程也是网络管理员执业资格考试的重要内容，在整个课程体系中具有重要的作用。

本课程的主要任务是培养具备运行、管理和维护基于Windows网络操作系统的技能人才，通过该课程的学习，提高学生的综合素质，增强学生实际操作能力，使学生获得网络管理的能力，能胜任网络管理员的职责。

二、课程教学目标（一）知识目标1.会安装和配置Windows Server 2012以及部署客户机；2.会对Windows Server 2012环境进行网络配置；3.会部署Windows Server 2012网络，实现工作组之间的资源共享；4.会配置适当的权限和策略来保障Windows网络安全；5.会配置和管理Windows Server 2012的各种服务；6.会在Windows Server 2012网络环境中配置Internet 访问；7.会对Windows Server 2012 域环境下的办公网络的组建与维护。

（二）能力目标1.会安装和维护服务器系统软件和应用软件；2.会搭建与配置网络；3.会管理用户权限；4.能负责各种Windows网络服务器的建设、管理、日常运行维护，保证所有系统持续处于良好的工作状态；5.会解决排除各种软硬件故障。

（三）职业素养目标1.能遵守国家关于网络管理的相关法律法规；2.能具备网管的岗位素养；3.能形成网络技术应用能力及创新、创业能力；4.形成良好的职业行为习惯；5.提高学生集体荣誉感和责任感。

Active Directory概述：使用Active Directory(R) 域服务(AD DS) 服务器角色，可以创建用于用户和资源管理的可伸缩、安全及可管理的基础机构，并可以提供对启用目录的应用程序（如Microsoft(R) Exchange Server）的支持。

AD DS 提供了一个分布式数据库，该数据库可以存储和管理有关网络资源的信息，以及启用了目录的应用程序中特定于应用程序的数据。

运行AD DS 的服务器称为域控制器。

管理员可以使用AD DS 将网络元素（如用户、计算机和其他设备）整理到层次内嵌结构。

内嵌层次结构包括Active Directory 林、林中的域以及每个域中的组织单位(OU)。

1、使用本地管理员登录。

2、修改计算机名为“DC”3、更改计算机名后，需要重新启动服务器。

4、设置服务器固定IP。

5、通过服务器管理器中添加角色，进行域服务角色安装。

（注windows server 2012中已不能使用dcpromo进入域安装向导）6、默认选择“下一步”。

7、选择“基于角色或基于功能的安装”。

下一步。

8、选择本地服务器“DC”。

下一步。

9、选择“Active Directory域服务。

10、默认选项。

下一步。

11、默认选项。

下一步。

12、选择“如果需要，自动重新启动目标服务器”。

按“安装”。

（备注：指定备用源路径，指向windows server 2012安装盘）13、安装完成。

按“关闭”。

14、选择服务器任务详细信息，选择“部署后配置”按：将此服务器提升为域控制器。

15、选择“添加新林”，填写根域名： 。

16、选择林和域功能级别是windows server 2003,提供域控制器功能，选择“域名系统（DNS）服务器。

默认是选“全局编录”。

并设置活动目录还原密码。

17、默认选择下一步。

18、默认显示NetBIOS是MCITP。

19、默认选择下一步。

20、显示安装信息，下一步。

windowsserver2012ad活动目录部署系列（五）备份和还原域控制器在前篇博文中，我们介绍了用户资源的权限分配，用户只要在登录时输入一次口令，就能访问基于该域所分配给他的所有资源。

但是我们需要考虑一个问题：万一域控制器坏了怎么办？！如果这个域控制器损坏了，那用户登录时可就无法获得令牌了，没有了这个令牌，用户就不能访问域中的资源，那么整个域的资源分配趋于崩溃。

那我们应该如何预防这种灾难性的后果呢？我们可以考虑对活动目录进行备份以及部署额外域控制器，本篇博文我们先看如何利用对Active Directory 的备份来实现域控制器的灾难重建。

如果只有一个域控制器，那么我们可以利用Windows 自带的备份工具对Active directory 进行完全备份，这样万一这个域控制器有个三长两短，备份可以帮助我们从困境中解脱出来。

备份域控制器：1、在Florence上的服务器管理器中添加“WindowsServer Backup”功能此步骤与“添加角色”类似，此外不再重复，如有需要请参考/ronsarah/article/details/94237592、利用Windows Server Backup，进行系统状态的备份打开Windows Server Backup，右键点击“本地备份”，选择“一次性备份”，如下图所示：选择“添加项目”，选择“系统状态”，选择“远程共享文件夹”，备份最好放在别的计算机磁盘上，指定远程文件夹路径，这里放在Berlin 的共享文件夹“ADBackup”上，点击“备份”，开始备份，总容量7G多，大概需要10~20分钟时间，请稍等...备份完成！备份完成后，我们假设域控制器Florence 发生了物理故障，现在我们用另外一台计算机来接替Florence。

我们把这台新计算机也命名为Florence，IP 设置和原域控制器也保持一致，尤其是一定要把DNS 指向为 提供解析支持的那个DNS 服务器，在此例中就是192.168.11.1。