(中职）Windows Server 2012 R2企业级服务器搭建项目一 配置与管理域教学课件（）.pptx

(中职）Windows Server 2012 R2企业级服务器搭建项目一 配置与管理域教学课件（工信版）项目一 配置与管理域Windows Server 2012 R2 企业级服务器搭建 01 项目描述为了更好地管理网络系统资源，很多企业都采用了集中管理模式。微软公司在 Windows Server 产品中提供了用于集中管理网络环境的目录服务Active Directory。Active Directory 功能强大，它存储了网络对象的逻辑指向，如计算机、打印机、用户、组、组织单位等，既能够使用容器等对资源进行分配与管理，也能够使用组策略等对计算机与用户进行访问控制。Active Directory 像一本书的目录，存储了网络资源的位置指向与编排方式，可实现对特定对象与服务的快速访问。相比工作组等松散的管理模式，采用 Active Directory 集中管理公司网络资源具有更高的安全性和可控性。与在本地服务器上建立的用户不同，在 Active Directory 中由域控制器（Domain Controller，DC）负责域用户的建立与认证等操作，域管理员（Domain Admins 组内用户）拥有对资源的最高管理权限。系统中的 Active Directory 域服务（Active Directory Domain Services，AD DS）是实现 Active Directory 的载体，它基于 DNS 服务来定位对象，目录分级也采用类似 DNS 的树形结构。在本项目中，天驿公司需要对现有网络环境进行调整，使用 Active Directory 集中管理计算机。网络管理员要将一台安装 Windows Server 2012 R2 系统的独立服务器升级为域控制器，并将其他 Windows Server 服务器、桌面计算机加入公司 Active Directory 域中，对域中的账户进行管理，为市场部、技术部、人力部等员工按公司组织架构建立账户并设置登录时间，然后设置域安全策略限制用户的访问行为。Windows Server 2012 R2 企业级服务器搭建1.了解工作组与 Active Directory 域的区别。2.理解林、域与林根域的概念和作用。3.理解组织单位、组与用户的概念和作用。4.熟悉域安全策略的作用和配置方法。项目目标知识目标1Windows Server 2012 R2 企业级服务器搭建1.能正确安装 Active Directory 域服务，并将独立服务器升级为域控制器。2.能将客户机成功加入域。3.能熟练建立域账户、组织单位和组。4.能熟练设置域安全策略。项目目标能力目标Windows Server 2012 R2 企业级服务器搭建21.逐步养成爱岗敬业精神和服务意识，在管理网络系统资源的工作中逐步体会科学管理为用户带来的便利。2.在管理用户账户、设置安全策略的过程中逐步建立网络安全意识。3.能自觉使用正版软件，尊重软件知识产权。4.锻炼交流沟通的能力，逐步养成清晰有序的逻辑思维。5.具备独立思考的能力，能积极参与工作任务并按需提出优化建议。项目目标思政目标Windows Server 2012 R2 企业级服务器搭建3Windows Server 2012 R2 企业级服务器搭建思维导图Windows Server 2012 R2 企业级服务器搭建项目拓扑任务4.设置域安全策略任务3.管理域账户任务2.将 Windows 计算机加入域项目一 配置与管理域将独立服务器升级为域控制器任务1.项目实训Windows Server 2012 R2 企业级服务器搭建将独立服务器升级为域控制器Promote a stand-alone server to a domain controller任务 1职业教育校企合作新形态教材职业教育校企合作新形态教材配置与管理域 天驿公司网络中的计算机采用工作组模式，经常会出现因员工的误操作而导致计算机系统发生故障的情况。由于网络管理员解决这些问题需要耗费很多的时间，且效果也不理想，因此需要对现有的网络环境进行适当调整，以实现公司计算机资源的集中式管理。任务描述Windows Server 2012 R2 企业级服务器搭建天驿公司的网络管理员可采用 Active Directory 技术来对计算机资源进行集中式管理，其操作步骤如下：首先安装 Active Directory 域服务，然后将一台服务器升级为域控制器，这样便可建立公司的 Active Directory 域环境 。Windows Server 2012 R2 企业级服务器搭建任务分析1.安装 Active Directory 域服务前的必要设置任务实现将一台安装 Windows Server 2012 R2 系统的独立服务器升级为域控制器（该服务器需要具有固定的 IP 地址），为 Administrator 用户设置强密码，并将首选 DNS 服务器的 IP 地址设置为本机 IP 地址。步骤 1：设置计算机的 IP 地址为 10.10.10.101，设置首选 DNS 服务器IP 地址为 127.0.0.1，如图 1-1-1 所示。图 1-1-1设置 IP 地址及首选 DNS 服务器 IP 地址Windows Server 2012 R2 企业级服务器搭建1.安装 Active Directory 域服务前的必要设置将一台安装 Windows Server 2012 R2 系统的独立服务器升级为域控制器（该服务器需要具有固定的 IP 地址），为 Administrator 用户设置强密码，并将首选 DNS 服务器的 IP 地址设置为本机 IP 地址。步骤 2：关闭 Windows 防火墙（或在防火墙中放行相关服务），本地服务器属性如图 1-1-2 所示。图1-1-2 服务器属性Windows Server 2012 R2 企业级服务器搭建任务实现2.安装 Active Directory 域服务步骤 1：在“服务器管理器”窗口中，单击“仪表板”“快速启动”“添加角色和功能”链接，打开“添加角色和功能向导”窗口，然后单击“下一步”按钮，安装服务器角色必要任务提示如图 1-1-3 所示。图 1-1-3 安装服务器角色必要任务提示Windows Server 2012 R2 企业级服务器搭建服务器角色是指服务器完成某一类功能的集合，它代表了服务器在当前服务或应用中的身份。例如，DNS 服务器角色、IIS 服务器角色。功能也称为角色服务，是服务器角色中支持具体应用的功能模块或组件。例如，文件服务器中的文件屏蔽、配额等。一个服务器角色可包含多种功能，并可根据新需求添加、删除功能。任务实现步骤 2：在“选择安装类型”界面中，选中“基于角色或基于功能的安装”单选按钮，然后单击“下一步”按钮，如图 1-1-4 所示。图 1-1-4 选择安装类型2.安装 Active Directory 域服务Windows Server 2012 R2 企业级服务器搭建任务实现步骤 3：在“选择目标服务器”界面中，选中“从服务器池中选择服务器”单选按钮，然后选择当前服务器，本例为“S1”，最后单击“下一步”按钮，如图 1-1-5 所示。图1-1-5 选择目标服务器2.安装 Active Directory 域服务Windows Server 2012 R2 企业级服务器搭建任务实现步骤 4：在“选择服务器角色”界面中，勾选“Active Directory 域服务”和“DNS 服务器”复选框，在两个服务器角色弹出的所需功能对话框中单击“添加功能”按钮，确认两个服务器角色均处于选中状态后单击“下一步”按钮，如图 1-1-6 所示。图1-1-6 选择服务器角色2.安装 Active Directory 域服务Windows Server 2012 R2 企业级服务器搭建任务实现步骤 5：在“选择功能”界面中，单击“下一步”按钮，如 1-1-7 所示。步骤 6：在“Active Directory 域服务”界面中，单击“下一步”按钮，如图 1-1-8 所示。图1-1-7 选择功能2.安装 Active Directory 域服务图 1-1-8 Active Directory 域服务Windows Server 2012 R2 企业级服务器搭建任务实现步骤 7：在“DNS 服务器”界面中，单击“下一步”按钮，如图 1-1-9 所示。步骤 8：在“确认安装所选内容”界面中，单击“安装”按钮，如图 1-1-10 所示。图 1-1-9 DNS 服务器2.安装 Active Directory 域服务图1-1-10 确认安装所选内容Windows Server 2012 R2 企业级服务器搭建任务实现步骤 9：安装完毕后，在“安装进度”界面中，单击“关闭”按钮，如图 1-1-11 所示。2.安装 Active Directory 域服务图1-1-11 安装进度Windows Server 2012 R2 企业级服务器搭建任务实现步骤 1：打开“服务器管理器”窗口，在窗口左侧功能项中选择“AD DS”角色，然后单击右侧黄色警告中的“更多”链接，如图 1-1-12 所示。3.升级为域控制器图1-1-12 服务器管理器Windows Server 2012 R2 企业级服务器搭建任务实现步骤 2：在“所有服务器 任务详细信息”窗口中，单击“将此服务器提升为域控制器”链接，如图 1-1-13 所示。3.升级为域控制器图1-1-13 任务详细信息和通知Windows Server 2012 R2 企业级服务器搭建域控制器是安装了 Active Directory 域服务的计算机，它存储了用户账户、计算机位置等目录数据，负责管理用户对访问网络资源的各种权限，包括管理登录域、账户的身份验证，以及访问目录和共享资源等。一个 ActiveDirectory 域中至少有一台域控制器。任务实现步骤 3：在“部署配置”界面中，选中“选择部署操作”选项组中的“添加新林”单选按钮，然后在“根域名”后的文本框中输入林根域的名字“”，最后单击“下一步”按钮，如图 1-1-14 所示3.升级为域控制器图1-1-14 建立新林及新域Windows Server 2012 R2 企业级服务器搭建任务实现步骤 4：在“域控制器选项”界面中，考虑到公司内部还有几台安装 Windows Server 2008 R2 系统的服务器将作为域成员，故在此设置“林功能级别”和“域功能级别”均为“Windows Server 2008 R2”，然后输入两遍目录服务还原模式的密码，最后单击“下一步”按钮，如图 1-1-15 所示。3.升级为域控制器图1-1-15 域控制器选项Windows Server 2012 R2 企业级服务器搭建域 和 林 的 功 能 级 别 是 指 以 何 种 方 式ActiveDirectory域服务环境中启用全域性或全林性功能。功能级别越高，域所支持的功能就越强，但向下兼容性就越差。例如，如果域中 有 Windows Server 2008 R2 和 Windows Server 2012 R2 系统的计算机，则可选择Windows Server 2008 R2 为功能级别；如果系统均为 Windows Server 2012 R2，则可选择Windows Server 2012 R2 为功能级别。任务实现步骤 5：在“DNS 选项”界面中，单击“下一步”按钮，如图 1-1-16 所示。3.升级为域控制器图 1-1-16 DNS 选项Windows Server 2012 R2 企业级服务器搭建任务实现步骤 6：在“其他选项”界面中，单击“下一步”按钮，如图 1-1-17 所示。步骤 7：在“路径”界面中，单击“下一步”按钮，如图 1-1-18 所示。3.升级为域控制器Windows Server 2012 R2 企业级服务器搭建图1-1-17 其他选项图1-1-18 AD DS相关存储路径任务实现步骤 8：在“查看选项”界面中，单击“下一步”按钮，如图 1-1-19 所示。步骤 9：在“先决条件检查”界面中，若所有先决条件检查都成功通过，则单击“安装”按钮，如图 1-1-20 所示。在安装完毕后重新启动计算机3.升级为域控制器Windows Server 2012 R2 企业级服务器搭建图1-1-19 创建Active Directory域控制器的参数汇总图1-1-20 先决条件检查任务实现步骤 10：重新启动计算机后按“Ctrl+Alt+Delete”组合键登录系统，可看到登录的用户为域管理员，登录的用户名格式为“TIANYI Administrator”，如图 1-1-21 所示。3.升级为域控制器图 1-1-21 登录域控制器Windows Server 2012 R2 企业级服务器搭建登录域控制器的域用户格式为“域 NetBIOS名用户名”，如“ABC Administrator”。在域成员计算机上登录时，除可采用这种方式外，还可采用“用户名域名”的方式，如“”任务实现步骤11：在“服务器管理器”窗口中，选择“工具”“ActiveDirectory 用户和计算机”选项，打开“Active Directory 用户和计算机”窗口，在该窗口中展开“”“Domain Controllers”选项，可以看到服务器 S1 已经成功升级为域控制器，如图 1-1-22 所示3.升级为域控制器图1-1-22 在“Active Directory用户和计算机”中查看域控制器Windows Server 2012 R2 企业级服务器搭建任务实现知识链接 工作组是一个对等的结构，每台计算机都有独立的登录管理方式，身份验证、资源管理由本地计算机完成。Active Directory 域是一个集中管理网络资源的组织形式，身份验证、资源管理由域控制器完成。工作组是局域网内的计算机逻辑分组，也是计算机的默认逻辑分组形式，Windows 计算机默认的工作组为 WorkGroup，用户可自由更改所在工作组，工作组不同不影响计算机之间的连通性。Active Directory 域也是计算机的逻辑分组，只要成员计算机能够与域控制器通信就可以加入域，加入和退出域都需要由拥有权限的域用户来完成，Active Directory 域通过“Active Directory 用户和计算机”管理工具来管理域控制器和成员，成员计算机退出域则自动变回原工作组。工作组与 Active Directory 域的区别Windows Server 2012 R2 企业级服务器搭建知识链接 域是网络对象（用户、组、计算机等）的分组，域中所有的对象都存储在 Active Directory 中，Active Directory 也可以由一个或多个域组成，每个域的身份验证都由域控制器来完成。林由一个或多个域组成，同一个林中的所有域具有双向可传递信任管理，一般用于企业合并等具有两个域的情境。在新林中创建的第一个域就是该林的根域，称为林根域。林会以林根域的名字作为林名。林、域、林根域Windows Server 2012 R2 企业级服务器搭建知识链接（1）对象是 Active Directory 中的信息实体，也可以是一组属性的集合，如用户、组、计算机、打印机等。（2）容器是包含其他对象的对象，是一个逻辑实体，一般用来存放对象的分类。在“Active Directory 用户和计算机”管理工具中，Domain Controllers、Computers、Users 等都是容器，分别存储了域中的域控制器、成员计算机、全局组与用户。对象和容器Windows Server 2012 R2 企业级服务器搭建任务小结 本任务详细介绍了以向导方式将一台独立服务器升级为域控制器的步骤。首先，要检查安装 Active Directory 域服务的先决条件。例如，设置服务器的计算机名与 IP地址，关闭 Windows 防火墙（或在防火墙中放行相关服务），为域管理员用户设置强密码等。然后，安装 Active Directory 域服务与 DNS 服务器。可将 Active Directory 域服务依托的DNS 服务器提前安装好，也可在安装 Active Directory 域服务时一并安装。最后，将服务器升级为域控制器。按照输入林根域的名称、选择域功能级别、设置目录服务还原密码等步骤，可完成 Active Directory 域服务的安装与配置。安装完成后，重新启动计算机并以域管理员身份登录域控制器。Windows Server 2012 R2 企业级服务器搭建将 Windows 计算机加入域Join the Windows computer to the domain任务 2职业教育校企合作新形态教材职业教育校企合作新形态教材配置与管理域 天驿公司正逐渐将计算机的工作组管理模式向域模式转换，网络管理员已经将一台安装Windows Server 2012 R2 系统的服务器升级为域控制器，接下来需将现有使用 Windows Server 系统的服务器与 Windows 桌面版计算机加入公司域。任务描述Windows Server 2012 R2 企业级服务器搭建在天驿公司的计算机资源中，只有域控制器工作在 Active Directory 模式下，其他计算机依然是工作组模式。由于已有域控制器，因此，网络管理员只需将这些计算机加入公司的 域即可。如果公司没有 DHCP 服务器，可为需要加入域的计算机设置静态 IP 地址，将首选 DNS 服务器 IP 地址指向 的域控制器（该域控制器也是 的 DNS 服务器），然后修改计算机属性信息，使用域管理员账户将这些计算机加入 域。Windows Server 2012 R2 企业级服务器搭建任务分析1.为需要加入域的计算机设置 IP 地址任务实现如果计算机需要加入域，应具备两个条件：一是计算机能够与域控制器进行通信，且将首选 DNS 服务器 IP 地址指向域控制器；二是需要一个能够登录 Active Directory 的域账户（首次加入域时可使用域管理员账户完成，后续再为公司员工建立普通身份的域账户）。本任务将以 Windows Server 2012 R2 作为成员服务器，介绍计算机加入域的通用步骤，如果读者使用其他 Windows 系统，也可参考此步骤。给需要加入域的计算机设置 IP 地址，并将首选 DNS 服务器 IP 地址指向域控制器，如图 1-2-1 所示。图 1-2-1 给需要加入域的计算机设置 IP 地址Windows Server 2012 R2 企业级服务器搭建在一个 Active Directory 域中，如果具有两个域控制器，则可将首选 DNS 服务器 IP 地址指向主域控制器（PDC），将备用 DNS 服务器 IP 地址指向辅域控制器（BDC），以确保主域控制器在停机维护的情况下可以由辅域控制器处理成员计算机的加入域和登录的请求。2.加入 Active Directory 域步骤 1：选择“服务器管理器”“本地服务器”选项，可看到计算机的服务器属性信息，单击计算机名“WIN-RVK1ADHTP1E”修改其属性，如图 1-2-2 所示。图 1-2-2 服务器属性信息Windows Server 2012 R2 企业级服务器搭建任务实现步骤 2：在“系统属性”对话框的“计算机名”选项卡中，单击“更改”按钮，如图 1-2-3所示。图 1-2-3 计算机名信息（1）Windows Server 2012 R2 企业级服务器搭建任务实现2.加入 Active Directory 域步骤 3：首先在“计算机名/域更改”对话框的“隶属于”选项组中选中“域”单选按钮，然后在其下面的文本框中输入天驿公司的域名称“”，最后单击“确定”按钮，如图 1-2-4 所示。图 1-2-4 输入域名称2.加入 Active Directory 域Windows Server 2012 R2 企业级服务器搭建任务实现步骤 4：在“Windows 安全”对话框中，输入具有加入域权限的账户“administrator”及其密码，然后单击“确定”按钮，如图 1-2-5 所示。图 1-2-5 输入具有加入域权限的账户名称和密码2.加入 Active Directory 域Windows Server 2012 R2 企业级服务器搭建任务实现步骤 5：在弹出的“欢迎加入域”提示框中，单击“确定”按钮，如图 1-2-6 所示。图 1-2-6 加入域成功提示2.加入 Active Directory 域Windows Server 2012 R2 企业级服务器搭建任务实现步骤 6：在弹出的“重新启动计算机”提示框中，单击“确定”按钮，如图 1-2-7 所示。图 1-2-7 重新启动计算机提示（1）2.加入Active Directory 域Windows Server 2012 R2 企业级服务器搭建任务实现步骤 7：返回“系统属性”对话框后，看到计算机全名已经更改为“S”，表明该计算机已经成功加入 Active Directory 域，然后单击“关闭”按钮，如图 1-2-8 所示。步骤 8：在“重新启动计算机”提示框中，单击“立即重新启动”按钮，计算机再次启动后即完成了加入域的操作，如图 1-2-9 所示。2.加入 Active Directory 域图 1-2-9 重新启动计算机提示（2）Windows Server 2012 R2 企业级服务器搭建任务实现图 1-2-8 计算机名信息（2）在域控制器中打开“Active Directory 用户和计算机”管理工具，在展开的“”域中，双击“Computers”选项即可查看域成员计算机，如图 1-2-10 所示。3.在域控制器中查看成员计算机图 1-2-10 查看域成员计算机Windows Server 2012 R2 企业级服务器搭建任务实现在域控制器系统版本较低的 Active Directory 环境中，一般需要将域控制器迁移到系统版本较高的服务器中。若因某些情况无法迁移，则可在域控制器上对林、域架构进行升级。以域控制器系统是 Windows Server 2008 R2、成员系统是 Windows Server 2012 R2 的 Active Directory 环境为例，若因某些情况无法迁移，则需要在 Windows Server 2008 R2 域控制器中使用 Windows Server 2012 R2 安装盘中的 adprep 组件升级林、域的架构。步骤 1：启动成员计算机，按“Ctrl+Alt+Delete”组合键登录，出现登录用户后单击 按钮，然后单击“其他用户”图标，如图 1-2-11 所示。步 骤 2：在“其 他 用 户”界 面 中 输 入 域 用 户 名 称 及 对 应 密 码，此 处 使 用 域 管 理 员 账 户 登 录，输 入“TIANYIadministrator”及密码（也可使用“”格式作为账户名称），在输入完毕后单击 按钮即可登录成员计算机，如图 1-2-12 所示4.使用域账户登录成员计算机图 1-2-11 选择登录用户Windows Server 2012 R2 企业级服务器搭建任务实现图 1-2-12使用域管理员账户登录成员计算机任务小结 本任务以 Windows Server 2012 R2 作为成员服务器，完成了计算机加入域操作的介绍。在工作组模式下的计算机如需加入域，首先需要确保其首选 DNS 服务器 IP 地址指向域控制器（已安装 DNS 服务器并能够解析域的资源记录），以及 DNS 服务器能够正常解析记录；然后修改计算机的属性信息，输入要加入域的名称；最后进行加入域权限的身份验证，在验证通过后需重新启动计算机完成加入域操作。作为域成员的计算机可以继续以本地账户进入系统工作在工作组模式下，也可以使用域账户登录服务器或计算机，其登录用户名称可采用“”或“MYDOMAINuser”两种形式。Windows Server 2012 R2 企业级服务器搭建管 理 域 账 户Manage domain accounts任务 3职业教育校企合作新形态教材职业教育校企合作新形态教材配置与管理域 天驿公司的 Active Directory 域环境已经基本搭建完成，网络管理员已经将部分 Windows Server 系统的服务器，以及市场部、技术部、人力部的一些 Windows 7、Windows 10 系统的计算机加入域中。在执行加入域操作时，使用的是域管理员账户，但考虑到域的安全性，域管理员账户信息不能够透露给公司员工，故需要按照部门建立域账户。为了计算机资源的安全，不允许市场部的员工在非工作时间以域账户登录。任务描述Windows Server 2012 R2 企业级服务器搭建天驿公司的网络管理员需要为具有域登录需求的部门建立域账户，并对这些账户进行必要的逻辑分组以便于管理。网络管理员决定使用部门的中文名称作为组织单位（一种对域中用户、组、成员计算机进行逻辑分组的容器）的名称，使用部门名称的全拼作为用户组的名称，使用部门名称的拼音简写加数字作为用户名。可通过修改用户的登录时间属性来实现市场部的员工只能在工作时间登录的需求。Windows Server 2012 R2 企业级服务器搭建任务分析1.建立组织单位、组、用户任务实现步骤 1：在域控制器中打开“Active Directory 用户和计算机”管理工具，右击“”选项，在弹出的快捷菜单中选择“新建”“组织单位”命令，如图 1-3-1 所示。图 1-3-1 新建组织单位Windows Server 2012 R2 企业级服务器搭建组织单位（Organization Unit，OU）是一个用来反映企业部门等组织结构的容器，它可包括用户和组，一般以部门名称或工作小组来命名。步骤 2：在“新建对象-组织单位”对话框中，输入组织单位名称“市场部”，然后单击“确定”按钮（使用同样的方法创建技术部、人力部的组织单位），如图 1-3-2 所示。图 1-3-2 输入组织单位名称Windows Server 2012 R2 企业级服务器搭建任务实现1.建立组织单位、组、用户步骤 3：右击“Active Directory 用户和计算机”管理工具下的“市场部”选项，在弹出的快捷菜单中选择“新建”“组”命令，如图 1-3-3 所示。图 1-3-3新建组Windows Server 2012 R2 企业级服务器搭建任务实现1.建立组织单位、组、用户步骤 4：在“新建对象-组”对话框中，输入组名“shichangbu”，然后单击“确定”按钮（使用同样的方法分别在技术部、人力部的组织单位中创建对应的组），如图 1-3-4 所示。图 1-3-4 在新建组中输入组名Windows Server 2012 R2 企业级服务器搭建任务实现1.建立组织单位、组、用户步骤 5：右击“Active Directory 用户和计算机”管理工具下的“市场部”选项（或右击“市场部”选项右侧内容区域的空白处），在弹出的快捷菜单中选择“新建”“用户”命令，如图 1-3-5 所示。步骤 6：在“新建对象-用户”对话框中，输入“姓名”和“用户登录名”，此处均输入“sc1”，然后单击“下一步”按钮，如图 1-3-6 所示。图 1-3-5 新建用户Windows Server 2012 R2 企业级服务器搭建任务实现图 1-3-6 输入“姓名”和“用户登录名”1.建立组织单位、组、用户步骤 7：在“新建对象-用户”对话框中，输入两次用户的登录密码。为了便于管理，取消勾选“用户下次登录时须更改密码”复选框，勾选“用户不能更改密码”和“密码永不过期”复选框，然后单击“下一步”按钮，如图 1-3-7 所示。步骤 8：再次核对用户账户信息，然后单击“完成”按钮，如图 1-3-8 所示。可使用同样的方法完成其他用户的创建图 1-3-7 设置用户密码属性Windows Server 2012 R2 企业级服务器搭建任务实现1.建立组织单位、组、用户图 1-3-8 创建用户步骤 9：将用户划分到组。选择用户“sc1”和“sc2”，然后右击，在弹出的快捷菜单中选择“添加到组”命令，如图 1-3-9 所示。步骤 10：在“选择组”对话框中，输入这两个用户需要加入的组名“shichangbu”（或单击“高级”“立即查找”按钮，选择“shichangbu”），然后单击“确定”按钮，如图 1-3-10 所示。图 1-3-9 将用户添加到组Windows Server 2012 R2 企业级服务器搭建任务实现图1-3-10 输入组名1.建立组织单位、组、用户步骤 11：在弹出完成提示框后，再次单击“确定”按钮，如图 1-3-11 所示。Windows Server 2012 R2 企业级服务器搭建任务实现图 1-3-11 完成提示1.建立组织单位、组、用户用户账户的“登录时间”的默认属性是不限制登录时间，但为实现本任务需求，需要将市场部用户的登录时间修改为：星期一至星期五从 9:00 到 17:00。步骤 1：选择市场部用户“sc1”和“sc2”，然后右击，在弹出的快捷菜单中选择“属性”命令，如图 1-3-12 所示2.修改用户登录时间属性图 1-3-12 修改用户属性Windows Server 2012 R2 企业级服务器搭建任务实现用户账户的“登录时间”的默认属性是不限制登录时间，但为实现本任务需求，需要将市场部用户的登录时间修改为：星期一至星期五从 9:00 到 17:00。步骤 2：在“多个项目属性”对话框的“账户”选项卡中，勾选“登录时间”复选框，然后单击“登录时间”按钮，如图 1-3-13 所示。2.修改用户登录时间属性图1-3-13 修改用户属性Windows Server 2012 R2 企业级服务器搭建任务实现用户账户的“登录时间”的默认属性是不限制登录时间，但为实现本任务需求，需要将市场部用户的登录时间修改为：星期一至星期五从 9:00 到 17:00。步骤 3：在“登录时间”对话框中选择所有时间区域，然后选中“拒绝登录”单选按钮，接下来选择星期一至星期五从 9:00 到 17:00 的时间区域，并选中“允许登录”单选按钮，最后单击“确定”按钮，即完成了用户登录时间的更改，如图 1-3-14 所示。2.修改用户登录时间属性图 1-3-14 选择登录时间Windows Server 2012 R2 企业级服务器搭建任务实现步骤 1：使用受登录时间限制的市场部域用户 sc1 的账户登录，如图 1-3-15 所示，若此时处于拒绝登录时间范围，则会弹出因时间限制当前无法登录的提示，如图 1-3-16 所示3.在成员计算机上登录测试图 1-3-15 在非允许登录域时间使用 sc1 的账户登录Windows Server 2012 R2 企业级服务器搭建任务实现图 1-3-16账户受到时间限制，当前无法登录步骤 2：使用无登录时间限制的技术部域用户 js1 的账户登录，如图 1-3-17 所示，可看到能正常登录域，如图 1-3-18 所示。3.在成员计算机上登录测试图 1-3-17 无登录时间限制的域用户登录Windows Server 2012 R2 企业级服务器搭建任务实现图 1-3-18 登录成功知识链接Active Directory 域中组作用域有三种，即通用组、全局和本地域，它们的作用范围不同。“全局”中的用户除可以登录自身所在的域外，还可以登录所信任的其他域。“本地域”中的用户只能登录其所在域，其子域和其他域均不能登录。“通用组”则是集“全局”和“本地 域”优点于一身的组，可包含林中的任何账户。Windows Server 2012 R2 企业级服务器搭建任务小结本任务介绍了在 Active Directory 域中建立组织单位、组、用户的步骤，并根据任务需求设置了用户的登录时间。如果需要使用组织单位对用户、组、计算机等资源按部门进行逻辑划分，建议先建立组织单位，然后在组织单位内建立用户和组，这样所创建的用户、组等就默认在相对应的组织单位中，而不在 Users 容器中，避免了在对用户和组进行移动时产生错误。将用户划分到组中，既可通过修改用户的“隶属于”属性来实现，也可通过修改组的“成员”属性来实现。Windows Server 2012 R2 企业级服务器搭建设置域安全策略Set the domain security policy任务 4职业教育校企合作新形态教材职业教育校企合作新形态教材配置与管理域 天驿公司已经为各部门使用 Active Directory 域的员工创建了用户账户，但是出现了以下几个问题：第一，公司部分员工反映使用域用户的账户登录时输入的强密码不好记，且容易输入错误；第二，人力部员工自行修改 Windows 中的注册表，故产生了软件故障；第三，人力部员工需要经常访问公司首页，他们希望登录系统后计算机的桌面能够自动创建一个访问公司首页的快捷方式。任务描述Windows Server 2012 R2 企业级服务器搭建为了解决天驿公司的问题，网络管理员需要设置域安全策略。首先，需要对整个 域设置密码策略，取消用户的强密码限制；然后，需要对人力部设置安全策略，禁止人力部用户访问注册表，并且为该部门用户增加一个登录域后自动在登录计算机的桌面创建快捷方式的功能。Windows Server 2012 R2 企业级服务器搭建任务分析1.设置密码策略任务实现步骤 1：在“服务器管理器”窗口中，选择“工具”“组策略管理”选项。在“组策略管理”窗口中，展开“林：”“域”“”选项后，右击组策略对象的快捷方式“Default Domain Policy”（默认域安全策略），在弹出的快捷菜单中选择“编辑”命令，如图 1-4-1 所示图 1-4-1 编辑默认域安全策略Windows Server 2012 R2 企业级服务器搭建步骤 2：在“组策略管理编辑器”窗口中，展开“计算机配置”“策略”“Windows 设置”“安全设置”“账户策略”选项后，双击“密码策略”选项，然后双击“密码必须符合复杂性要求”策略，如图 1-4-2 所示。图 1-4-2 修改密码必须符合复杂性要求策略Windows Server 2012 R2 企业级服务器搭建任务实现1.设置密码策略在组策略中，“计算机配置”对当前容器（林、域、组织单位）内的所有计算机起作用，一般用于对计算机设备或软件进行策略管理；“用户配置”只对当前容器内的用户、组起作用，用户无论登录 Active Directory 域中的哪台计算机，都受此策略影响，一般用于对用户行为进行策略管理。步骤 3：在“密码必须符合复杂性要求 属性”对话框中，选中“已禁用”单选按钮，然后单击“确定”按钮，如图 1-4-3 所示。图 1-4-3设置密码必须符合复杂性要求Windows Server 2012 R2 企业级服务器搭建任务实现1.设置密码策略步骤 4：在图 1-4-4 所示窗口中，双击“密码长度最小值”策略，在“密码长度最小值 属性”对话框中，将密码字符长度设置为“0”（表示不强制要求密码的最小长度），设置完成后单击“确定”按钮，如图 1-4-5 所示。图 1-4-5 设置密码长度最小值Windows Server 2012 R2 企业级服务器搭建任务实现1.设置密码策略步骤 5：在图 1-4-4 所示窗口中，双击“密码最长使用期限”策略，在“密码最长使用期限 属性”对话框中，取消勾选“定义此策略设置”复选框，在弹出的“建议的数值改动”对话框中单击“确定”按钮，这样域控制器将不再对整个域的密码最短、最长使用期限进行限制，如图 1-4-6 到图 1-4-8 所示。图1-4-7 建议的数值改动提示Windows Server 2012 R2 企业级服务器搭建任务实现1.设置密码策略图1-4-6 密码最长使用期限策略，图1-