windows server操作考试说明

一、创建和修改域用户帐户

实验目的：创建域用户帐户；修改域用户帐户。使用相应管理工具创建两个域用户帐户：User1和User2，然后设置下列属性：登录时段；登录到的计算机；设置用户环境配置文件；用户主文件夹。

操作步骤：

1、管理员登录域控制器。打开“活动目录用户和计算机”工具，在“Users”容器创建User1和User2两个用户帐户，密码自定。

2、为User1用户设置以下属性：

（1）    登录时段：星期一到星期六，上午6点到下午9点。

（2）    登录到的计算机：只能在本域的成员服务器计算机登录

（3）    账号有效期：从当前日期算起的下一个星期五

3、为User2用户设置以下属性：

（1）    基于服务器的用户环境配置文件：//servername/profiles/%username%

注：servername是指本域主域控制器的计算机名称。首先，在本域主域控制器上建立一个共享文件夹profiles，共享名为profiles。（profiles的共享权限和NTFS权限都要设置成Everyone完全控制）

（2）基于服务器的用户主文件夹：//servername/home/%username%

注：servername是指本域主域控制器的计算机名称。首先，在本域主域控制器上建立一个共享文件夹home，共享名为home

       （3）将User2加入到Administrators域本地组。注：可以从用户属性对话框的“成员属于”标签，也可以从Administrators组的属性对话框的“成员”标签。

测试步骤：

1、用User1和User2分别在域控制器登录，能成功吗？为什么？

2、用User1和User2在成员服务器登录，能成功吗？

3、用User2在成员服务器登录以后，更改桌面背景颜色。打开“我的电脑”，里面多了一个电缆线图标的盘符，打开该盘，在里面建立一个文本文件，能不能建立？

4、  用User2在额外的域控制器登录，桌面的背景和在成员服务器登录的桌面背景一样吗？为什么？打开“我的电脑”里面的电缆线图标的盘符，里面有什么？为什么？

 

二、设置和管理用户帐户

实验目的：创建用户主名后缀；管理域用户帐户

操作步骤：

1、管理员登录域控制器，打开“活动目录域和信任关系”管理工具，右击“活动目录域和信任关系”，选择“属性”；在“其它UPN后缀”框中，添加一个新的UPN后缀：teacher.com

2、创建一个新用户User3，用户主名设置为User3@teacher.com，密码自定。

3、测试：在成员服务器，用User3@teacher.com登录，能否成功？为什么？

4、禁用User3用户帐户：右击User3用户，右键快捷菜单选择“禁用账户”。

5、测试：在成员服务器，用User3登录到本域，能否成功？有何提示信息？

6、重设密码：Administrator登录域控制器，启用User3。右击User3用户，右键快捷菜单选择“重设密码”，设置一个新密码。

7、测试：在成员服务器，用User3新密码登录到本域，能否成功？

 

三、在单域中建立和管理组

实验目的：创建和嵌套全局组；创建域本地组并给资源分配权限；实现并测试推荐的组策略。

操作步骤：

1、管理员Administrator登录域控制器，打开“活动目录和计算机”管理工具，在Users容器创建4个安全全局组：Groups、Group1、Group2和Group3。

2、将Group1、Group2和Group3全局组都加入Groups全局组。注：这是组的嵌套，必须将域模式转换为本地模式才能使用组嵌套。转换方法：在“活动目录用户和计算机”管理工具，右击域名，选择“属性”/“常规”标签。

3、创建4个域本地组Locals、Local1、Local2和Local3。

4、 在桌面上创建如下文件夹结构：Locals---------Local1     

   Local2

   Local3

       并且在Local1文件夹下建立一个文本文件file1，在Local2文件夹下建立一个文本文件file2。

5、将Local1文件夹的NTFS权限设置为只有Local1本地组完全控制；将Local2文件夹的NTFS权限设置为只有Local2本地组完全控制；将Local3文件夹的NTFS权限设置为只有Local3本地组完全控制。

6、将Locals文件夹的NTFS权限设置为只有Local1本地组读取权限。将Group1全局组加入Local1本地组；将Group2全局组加入Local2本地组；将Group3全局组加入Local3本地组；将Groups全局组加入Locals本地组。

7、测试：创建一个测试用户Test，然后用Test用户登录域控制器（注：为了让Test用户能够登录到域控制器，请在管理员登录时，运行本地计算机上labfiles/Lrights.bat文件）。登录以后，打开local1/file1.txt文件，并修改其内容，然后保存该文件，操作是否成功？为什么？再打开local2/file2.txt文件，并修改其内容，然后保存该文件，出现什么提示信息？为什么？

 

四、利用NTFS权限

实验目的：为用户帐户和组账户指定文件夹和文件权限，然后测试NTFS文件夹和文件权限。

操作步骤：

1、管理员Administrator登录到成员服务器，在C盘创建一个文件夹Users，右击该文件夹，选择“属性”，打开“安全”标签，查看该文件夹默认的NTFS权限是什么？为什么这些权限都带着阴影？

2、选中Everyone组，然后选择“删除”按钮，能否删除？出现什么提示信息？

3、清除“允许将来自父系的可继承权限传播给该对象”复选框，在出现的提示信息框中，选择“删除”按钮，可以将Everyone组的权限删除。

4、然后选择“添加”按钮，将Domain Users组添加到权限列表，查看该组有什么默认的权限？（读和执行，列出文件夹内容，读）给该组再添加一个“写”权限。

5、然后，再添加Creator owner组完全控制权限。这样，某个用户在该文件夹中创建的任何文件都将为该用户所拥有，并且该用户被授予完全控制权限。

6、然后，再添加Administrators组完全控制权限。并在Users文件夹创建一个文本文件admin.txt。

7、测试：在域控制器创建一个测试用户ntfstest，用该用户从成员服务器登录本域。打开Users文件夹，在里面创建一个文本文件students.txt，能否创建？为什么？

继续以下操作：打开students.txt文件，修改内容，保存文件，最后删除文件，这些操作是否都能成功进行？为什么？

继续一下操作：打开Admin.txt文件，修改内容，保存文件，删除文件。其中哪些操作成功了，哪些操作没有成功？为什么没有成功？

 

五、配置磁盘压缩状态和磁盘限额

实验目的：配置NTFS压缩；为用户账户指定磁盘配额

操作步骤：

1、管理员登录成员服务器，打开“资源管理器”/“查看”菜单/“文件夹选项”，选中“使用交替的颜色显示压缩文件和文件夹”。

2、打开C盘，右击Inetpub文件夹，选择“属性”，该文件夹的大小值和占用空间值分别是多少？记录下来。

3、在“属性”对话框，打开“高级”按钮，选中“压缩内容以便节省磁盘空间”复选框，然后“确定”。在随后出现的信息框中选择“将修改应用于这一文件夹、子文件夹和文件”这一项，然后“确定”。注：再出现其他提示信息框，均选择“忽略”即可。

4、测试：再次打开Inetpub文件夹的属性对话框，查看大小值和占用空间值是否有变化？

5、设置磁盘配额：用管理员Administrator登录本地，注意不是登录到域！3台机器可以同时操作。

6、打开管理工具/计算机管理，新建一个本地用户test。

7、打开C盘的属性对话框，在“配额”标签，选中“启用配额管理”和“拒绝为超过配额的用户提供磁盘空间”复选框。在“将磁盘空间限制为”框中输入10M，“设置警告信息级别为”框中输入6M。单击“应用”按钮，在随后出现的对话框中选择“确定”。然后单击“配额项”按钮。打开“配额”菜单，选择“新建配额项”，选择本地用户test，（注意：是本地用户，不是域用户）。为test用户设置限制磁盘空间10M，警告级别6M。然后“确定”，退出所有对话框。

8、  测试：用test用户登录本地，不是域！打开C盘属性对话框，看看空余空间是多少？是不是小于10M？然后试着复制一个超过10M的文件或文件夹，能复制成功吗？

 

六、共享和保护网络资源

实验目的：共享文件夹；将共享文件夹权限指定给用户帐号和组；连接到共享文件夹；确定将共享权限和NTFS权限组合的效果

操作步骤：

1、共享一个文件夹：管理员登录到域控制器，在C盘创建一个文件夹Apps，打开Apps的属性对话框/“共享”标签。选中“共享这一文件夹”，使用默认的共享名Apps。然后“确定”。

2、指定共享权限：打开Apps的属性对话框/“共享”标签，选择“权限”按钮，查看默认的共享权限和NTFS权限分别是什么？记录下来。删除Everyone组共享权限，并添加Administrators组共享权限，该权限默认是什么？（只读）给Administrators组指定完全控制权限，然后“确定”，关闭所有对话框。

3、连接到共享文件夹：管理员登录到成员服务器，选择“开始”菜单/“运行”，输入//servername（注：servername是本域域控制器的计算机名称）。查看都有哪些共享文件夹？双击Apps，确认你可以访问该文件夹。然后关闭该窗口。

4、鼠标右击“网上邻居”，选择“映射网络驱动器”。选择一个驱动器号。在“文件夹”框中输入//servername/Apps，清除“登录时重新连接”复选框。然后“完成”。是不是能成功连接？

打开“我的电脑”，是不是多了一个指向远程共享文件夹的驱动器？

右击该驱动器，选择“断开”，然后关闭窗口。

5、测试：注销Administrator，使用test用户登录，右击“网上邻居”，选择“映射网络驱动器”。选择一个驱动器号。在“文件夹”框中输入//servername/Apps，清除“登录时重新连接”复选框。然后“完成”。是不是能成功连接？为什么？（不能。因为共享权限只有Administrators组完全控制，虽然NTFS权限是Everyone完全控制）

鼠标右击“网上邻居”，选择“映射网络驱动器”。选择一个驱动器号。在“文件夹”框中输入//servername/Apps，选择“使用其它用户名称连接”，然后输入Administrator用户名，清除“登录时重新连接”复选框。然后“完成”。是不是能成功连接？（能）

 

七、配置基于域的Dfs

实验目的：创建Dfs结构

操作步骤：

1、管理员Administrator登录域控制器，在C盘新建一个共享文件夹Dfstest，并在其中新建一个文本文件。

2、打开“管理工具”/“分布式文件系统”，创建一个Dfs根dfstest，映射到共享文件夹Dfstest。

3、管理员登录到成员服务器。打开“管理工具”/“分布式文件系统”，右击“分布式文件系统”，选择“显示一个现有的Dfs根”，然后在对话框中展开域名，选择dfstest，然后“确定”。

4、鼠标右击dfstest，选择“新建根目录副本”，在下一步对话框中，确定你的服务器的FQDN出现在列表中，然后“下一步”。选择“创建新的共享”，输入c:/dfscopy，共享名称框中输入Dfscopy。随后出现一个提示信息框，指出该文件夹不存在，选择“是”，创建一个新的共享文件夹dfscopy。此时，“分布式文件系统”窗口的右窗格显示dfs根目录dfstest以及其副本dfscopy。

5、鼠标右击dfs根目录dfstest，选择“复制策略”，在随后的对话框中选中你的服务器计算机名称，单击“启用”，选择域控制器计算机名称那一项，单击“主服务器”。然后“确定”。这样，就针对域控制器上的dfs根目录dfstest，在成员服务器上建立了一个副本dfscopy。复制生效以后，两个文件夹中的内容应该是一致的。

6、测试：打开“开始”菜单/“运行”，分别输入//servername/dfstest（这里的servername是域控制器的计算机名称）和//servername/dfscopy（这里的servername是成员服务器的计算机名称），比较两个文件夹中的内容是不是一样的？

7、添加dfs链接：在域控制器上建立一个共享文件夹Reports。然后打开“分布式文件系统”窗口。鼠标右击Dfs根Dfstest，选择“新建Dfs链接”，下一步输入链接名称Reports，然后单击“浏览”按钮，找到Reports文件夹，然后“确定”。一直到最后，在Dfs根下面新建了一个Dfs链接Reports。

8、  打开打开“开始”菜单/“运行”，分别输入//servername/dfstest（这里的servername是域控制器的计算机名称）。查看Dfs链接Reports是不是作为一个文件夹出现的？

 

八、委派管理控制

实验目的：查看活动目录对象上的权限；委派组织单元的管理控制

操作步骤：

1、管理员登录域控制器，运行本地计算机上的labfiles/Lrights.bat文件，允许普通用户登录域控制器。

2、打开“活动目录用户和计算机”管理工具，右击域名，选择“新建”/OU，输入OU名称Security。然后在该OU内，建立两个用户test1和test2。

3、打开“查看”菜单，选择“高级功能”。右击Security组织单元，选择“属性”，打开“安全”标签，查看该OU上的权限都有什么？记录下来。

4、用test1登录域控制器。打开“活动目录用户和计算机”管理工具，打开Security组织单元，可以看到里面的两个用户test1和test2。双击test2用户帐户，看看能不能修改该用户的属性？（不能。因为test1没有管理test2用户的权限）

5、给test1用户委派管理用户帐户的权限：管理员登录域控制器。右击Security组织单元，选择“委派控制”。添加用户test1，在“委派任务”对话框选择“创建、删除以及管理用户帐户”，然后“完成”。

6、测试：用test1登录域控制器，再次修改Security组织单元中的用户test2的属性，这次能不能修改？（能。因为已经委派了管理用户的权限）

试着改变users容器中的某个用户的属性，能不能修改？（不能。因为给test1委派的是对Security组织单元中的用户管理权限，其他容器中的用户不在管理范围之内）

 

九、实现组策略

实验目的：给OU建立一个新的组策略对象

操作步骤：

1、管理员登录域控制器。运行本地计算机上的labfiles/Lrights.bat文件，允许普通用户登录域控制器。

2、打开“活动目录用户和计算机”管理工具，右击Security组织单元，选择“属性”，打开“组策略”标签。

3、单击“新建”按钮，新建一个组策略对象。单击“编辑”按钮，编辑该组策略对象。在编辑对话框中的“用户设置”区域，展开“管理模板”，启用“开始菜单中无“运行”选项”这个设置。

4、测试：注销Administrator，以test1用户登录（test1是Security组织单元中的用户账户）域控制器。打开“开始”菜单，里面有没有“运行”选项？

 

十、创建DHCP服务器

实验目的：创建DHCP服务器，并为其授权

操作步骤：

1、管理员登录域控制器。打开“控制面板”/“添加/删除程序”/添加删除Windows组件，然后选择“网络服务”，单击“详细资料”按钮，选中“动态主机配置协议DHCP”，然后“确定”。下一步，一直到完成。

2、打开“管理工具”/DHCP，鼠标右击服务器名称，选择“授权”。稍后，刷新服务器，直到DHCP服务器显示绿色箭头图标为止。表示该DHCP服务器已经被授权发放IP地址。

3、鼠标右击服务器，选择“新建作用域”。输入作用域名称，IP地址范围设置为192.168.7.1~192.168.7.254，排除地址范围为192.168.7.1~192.168.7.50。完成后，鼠标右击该区域，选择“激活”，激活该新建区域。

4、展开刚才新建的作用域，鼠标右击“作用域选项”，选择“配置选项”/“常规标签”，设置一个二级DNS服务器192.168.7.255。然后“确定”，退出所有的对话框。

5、测试：管理员在成员服务器登录。打开Tcp/IP属性对话框，设置“自动获得Ip地址”，“自动获得DNS服务器”，然后“确定”退出。

打开“开始”菜单/“运行”，输入cmd，确定，打开Dos命令窗口。输入命令ipconfig/release，然后回车。然后输入命令ipconfig/renew，查看ip地址是不是已经使用DHCP服务器动态获得？

 

十一、安装配置DNS服务器

实验目的：安装DNS服务器；配置DNS服务器区域传输

操作步骤：

1、管理员登录成员服务器。打开“控制面板”/“添加/删除程序”/添加删除Windows组件，然后选择“网络服务”，单击“详细资料”按钮，选中“域名系统DNS”，然后“确定”。下一步，一直到完成。

2、打开“管理工具”/DNS。鼠标右击“正向搜索区域”，选择“新建区域”，下一步选择“标准辅助区域”，接下来输入区域名称，下一步设置主控服务器的IP地址为本域域控制器的IP。一直到完成。

3、测试DNS服务器：在域控制器和成员服务器两台机器上操作。

打开“开始”菜单/“运行”，输入cmd，确定，打开Dos命令窗口。执行命令nslookup。

输入ls –t a domainname.com(注：domainname是本域的域名)，然后回车，将显示Dns服务器上的本域A类型的主机记录列表，看看都有哪些记录？

输入set type =ns，回车，再输入domainname.com(注：domainname是本域的域名)，然后回车，将显示Dns服务器上的本域NS类型的记录列表，看看都有哪些记录？

输入set type =SOA，回车，再输入domainname.com(注：domainname是本域的域名)，然后回车，将显示Dns服务器上的本域SOA类型的记录列表，看看都有哪些记录？

4、测试区域传输：在域控制器上，打开DNS管理窗口。鼠标右击正向搜索区域中的域名，选择“属性”，打开“起始授权（SOA）”标签，单击“增量”按钮两次，记录序列号是多少？

在成员服务器上，打开DNS管理窗口。鼠标右击正向搜索区域中的辅助区域名，选择“从主服务器传输”。然后打开“属性”对话框/“起始授权（SOA）”标签，查看记录序列号是多少？和主服务器上的序列号是否相同？（应该是相同的，因为进行了区域传输）。你能确定是哪两台DNS服务器进行了区域传输吗？