WindowsServer的服务器配置

2023年11月27日发(作者：)

WindowsServer的服务器配置

Windows Server 2008服务器配置实践专周教学大纲

一、实验基本信息

课程编号：

中文名称：Windows Server 2008服务器配置实践专周教学大纲

英文名称：Windows Server 2008 Server Configuration

课程总学时：30

实验学时：30

开设学期：第4学期

面向专业：软件工程专业云计算方向

二、实验目的和任务

本实践专周的主要目的是让学生在学习了《计算机网络》的基本原理的基础上，通过使用

Windows Server 2008，完成对网络服务器的一些基本搭建工作。主要是提高学生的动手能力，培养

以后企业所需要的网络服务器配置人员，以及为后面需要进行思杰培训认证的同学打下基础。

参加该实践专周的学生需要对网络信息系统的整体框架结构有了一定的认识，对构建网络系统

所涉及到的基本技术有了一定的了解。本实践专周每个学生独立完成。每人提交一份报告书。

三、实验教学基本要求

1.学生搭建基于域的Windows server 2008,熟悉使用Windows server 2008.

2.通过对Windows server 2008的使用了解企业级服务器的搭建过程.

3.完成Windows server 2008活动目录的基本配置了解基本功能 .

4.完成实验报告

四．实验环境与人员要求

1.每个学生2台Windows Server 2008系统的虚拟机（内存1G，2VCPU）,1台Windows 7系统

的虚拟机（内存1G，2VCPU）

2. 熟悉Windows Server 2008系统使用的教师2名(黄曼绮 李茂毅)

五、实验项目基本情况

1. 讲解专周内容注意事项，搭建虚拟机，Windows Server 2008服务器的安装与配置，Active

Directory安装配置（第一天）

2. 在教师的带领下完成DNS、账号的管理以及DHCP 服务器的配置（第二天）

1 / 7

WindowsServer的服务器配置

3. 在教室的带领下完成组策略的基本配置（第三天）

4．扩展组策略的配置完成VPN虚拟隧道的配置讲解（第四天）

5. 试验报告及答辩（第五天）

序 实验

号 学时

实验项目名称 内容提要 实验类型 实验要求 备注

通过本次实验掌握实验1 Windows

Windows Server 2008操作Server 2008服务器的

系统安装的步骤 1 安装与配置 4

掌握Windows Server 2008

操作系统安装的方法

掌握AD的作用以及适用的实验2安装、管理

场合，域和活动目录的安装Active Directory 听讲及上完成AD 搭

和设置 创建与管理DNS服机 建

务器

管理计算机账号、个人账实验3 Active

号、组织单位、组。了解委Directory账号的管理 2

派、权限等概念

完成环境搭

建,熟悉使用听讲及上

Windows 机

server 2008

2 4

3 听讲及上完成账号管

机 理

实验5创建与管理完成DHCP 通过本次实验掌握DHCP听讲及上

DHCP服务器 配置 工作原理、以及如何实现跨机

4 4

网段分配IP地址，DHCP

服务器配置、作用域激活。

配置用户组策略 听讲及上实验6组策略 学会配置组

比如管理所有用户登录 机 策略

禁止使用局域网 5 6

禁止使用U盘下载东西

统一发布软件等

掌握VPN的配置 实验8创建和管理听讲及上学会搭建

完成实验报告，进行答辩 总结 文档及答完成实验报

6 4

7 6

VPN(选作) 机 VPN

辩 告

撰写人签字：黄曼绮 系（分院）教学院长（主任）

2 / 7

WindowsServer的服务器配置

实践专周5天详细实验教学安排

第一天

一、上午讲解08基础知识,

1. AD作用

2. AD逻辑架构

下午：创建AD DS域

拓扑图

分别在虚拟机VM（vpc ）上建三台虚拟机

域控制器DC1 08操作系统

安装域服务、DHCP服务、

DNS服务IP

192.168.100.101。掩码

255.255.255.0 ，不需要设置

网关，Dns 服务器地址

一、 准备工作

1. 选择合适的DNS域名

2. 选择好支持AD DS的DNS服务器

3. 选择AD数据库存储地点

二、 安装

使用Windows窗口安装，第一台域控

使用命令行安装（略）

使用应答文件安装（略）

三、 确认AD DS域是否正常

1. 检查主机日志 开始-管理工具-dns

2. 检查SRV日志-使用DNS控制台

3. 检查SRV日志-使用NSLOOKUP命令

四、 配置DHCP服务

域控制器DC2 08操作系统

IP 192.168.100.102。掩码

255.255.255.0 ，不需要设置

网关，Dns 服务器地址

192.168.100.101。

客户端 XP、win7 、03操作

系统

IP 192.168.100.110。掩码

255.255.255.0 ，不需要设置

网关，Dns 服务器地址

五、

将Windows客户计算机加入或脱离域

第二天

域用户帐户管理-上午

讲解域用户帐户和本地用户帐户的区别

3 / 7

WindowsServer的服务器配置

演示区别

1. 创建组织单位+域用户

2. 用户登录帐户

3. 创建UPN后缀

4. 帐户的一般管理

5. 域用户帐户的内容设置

1组织单位

组织单位内可以容纳其他的对象，对用户帐、组帐户，计算机帐户。可以通过组策略来集中管理资

源。并可以通过组策略来集中管理域用户工作环境与计算机资源。

建立 业务部、财务部 两个OU

2 域用户帐户内容设置

个人用户数据设置

UPN后缀

3登录时间设置

4限制用户只能在某些计算机登录

5 查找用户帐号。

3.1 一次性同时添加多个用户

3.2

可以添加用户帐号，但是不能修改或者删除用户账号。

方法：

DN,objectClass,sAMAccountName,userPrincipalName,displayName,userAccountControl

"CN=王小溪,OU=业务部,DC=sayms,DC=com",user,dennis,,王小溪,514

"CN=张中湖,OU=业务部,DC=sayms,DC=com",user,steve,,张中湖,514

"CN=陈大海,OU=业务部,DC=hmq,DC=msft",user,jackie,,陈大海,514

请添加你自己名字和朋友名字一共3个。

DN：属性

objectClass：对象类型

sAMAccountName: 用户登录名称

userPrincipalName：用户登录名称（UPN）

displayName：显示名字

userAccountControl：514 禁用，512 启用

输入命令：

csvde –I –f c:

ldifde –I –f c:

ldifde –s –I –f c: 导入到指定的域控制器中

省略

域组帐户：

第二天下午：

组策略管理用户环境：

组策略的介绍

组策略能够提供的功能

组策略的配置： 计算机配置，用户配置

组策略中包含“计算机配置”和“用户配置”两部分:

4 / 7

WindowsServer的服务器配置

计算机配置:当启动计算机时.系统就会根据“计算机配置”的内容来配置计算机的环境，举例来说。

如果针对域配置了组策略.那么此组策略内的“计算机配置”就会被应用到此域内的所有

计算机。

用户配置:当用户登录时.系统就会根据“用户配置”的内容来配置用户的工作环境，举例来说，如

果针对“业务部”ou设定了组策略，那么此组策略内的“用户配置”就会被应用到此OU内的所有

用户。

本地计算机策略：只会应用到本地计算机与在此台计算机上登录的所有用户。

组策略对象GPO

策略设置与首选项设置

组策略应用时限

实战演练

1计算机配置 ---允许域用户账户在本地登录

开始-管理工具-组策略管理-展开Domain Controllers –DDCP-选择编辑-

计算机配置-策略-Windows设置-安全设置-本地策略-用户权限分配-允许在本地登录

-添加用户或组

说明：1 如果你要远程登录的机器不是域控制器,只要把该用户加入到该机器的Remote

Desktop Users组就可以了。

2 如果你要远程登录的机器是域控制器，一般情况下，出于安全考虑，域控制器只允许domain

admins组登陆，如果想添加其他用户，方法为：

1）在AD用户和计算机中，打开Domain Controllers OU属性里的组策略

2）在组策略编辑器中，定位到计算机配置->Windows设置->安全设置->本地策略->用户权限

分配

3）在“允许在本地登陆”中加入Remote Desktop Users组

4）在“通过终端服务允许登陆”中也加入Remote Desktop Users组

5）将需要远程服务的用户加入remote desktop users组

6）更新组策略：gpupdate /target:computer /force

2用户配置—针对域内的组织单位业务部，内部所有的用户，

限制他们必须通过企业内部代理服务器（Proxy server）上网。

假设代理服务器的网址为

端口为8080,同时要将浏览器Internet Explorer的“连接”选项卡内

更改Proxy的功能禁止，以免用户私自通过此处更改设置值

1创建GPO-到业务部

2点击GPO 编辑

3“用户配置”中去查看-Internet Explorer 维护选项（需要自己去找）-

4用户配置-策略-管理模板-windows 组件- Internet Explorer—

（自己选择禁止更改代理服务器）

第三天：

回顾策略，回顾GPO

域帐户策略

本地帐户策略

如果域用户策略和本地用户策略冲突，域策略生效

5 / 7

WindowsServer的服务器配置

如果域计算机帐户策略和本地计算机帐户策略冲突，域策略生效

利用组策略来管理计算机与用户环境

1 关闭事件追踪程序

2 显示用户以前交互式登录信息

---windows组件-

登录选项-

在用户登录期间显示以前的登录信息。

用户配置的管理模板策略

1限制用户只可以或者不可以运行制定的Windows程序

2隐藏和禁用桌面上所有的项目

3删除IE的Internet选项中被删除的标签 如”安全”,”连接”,”高级”等标签 Windows组件

-ie-双击右边的控制面板

4删除开机菜单中的关机，重新启动，睡眠和休眠命令

安全选项策略

交互式登录：无须按Ctrl+Alt+Delete：

不显示最后的登录名

关机：允许系统在未登录情况下关闭。

登录/注销、启动/关机 脚本

可以设置让域用户登录时，其系统就自动运行登录脚本（logon script）,

而当用户注销时，就自动运行注销脚本（logoff script），

让计算机在开机启动时自动运行启动脚本（startup script）,

关机时自动运行关机脚本（shutdown script）

1登录/注销

用户配置-策略-Windows设置-脚本（登录注销）-登录-显示文件按钮-将写好的脚本贴在文件夹内

”您好！这是登录脚本测试” 命名为 /

2启动/关机 操作类似

文件命名/

最后一个工作 ：首选项：

要做什么事情？

1要让位于业务部内所有用户登录时，其驱动器z:都会自动连接到dc1tools共享文件夹；

2 在业务部下创建一个账户peter登录时，其驱动器Y：会自动连接到dc1database 共享文件夹，但

是同时位于业务部内的其他用户登录时不会有Y：磁盘。

注意：在业务部下面的GPO来创建

1需要在服务器DC1 上创建文件夹Tools与database,将他们设置为共享文件夹，把读取权限给

EVERYONE。

2域控制器上用管理员权限登录

3 开始-管理工具-组策略管理-业务部-GPO-编辑

计算机配置-首选项-windows 设置-驱动器映射-新建一个映射驱动器--

选择“重新连接”以便用户每次登录时都会自动重新利用z:磁盘来连接。

创建：会在客户端创建用来连接此共享文件夹的z：磁盘

替换：客户端若已存在网络驱动器z：删除，且替换

更新：不存在，添加，已存在，修改设置（用户名和密码帐号）

6 / 7

WindowsServer的服务器配置

删除：删除客户机的z: 磁盘

我们选择更新

属性设置：公用

选择在“登录用户的安全性上下文中运行（用户策略选项）”

位置输入dc1database

公用-目标

“登录用户的安全性上下文中运行（用户策略选项）”

“项目级别目标”

目标-用户-peter

第四天:

利用组策略来限制访问”可移动存储备份”-如U盘 避免企业内部员工轻易的通过这些存储设备

将重要的数据带离公司.

1针对计算机配置---该组策略所连接的容器下的计算机账号有效。

2针对用户配置--该组策略所连接的容器下的用户账号有效。

--------注意，请在组织单位下面设置组策略，不要在林或者域下面设置

1.强制重启时间(以秒为单位)

有些策略设置必须计算机重启以后才应用,启用该策略系统会在规定时间重启计算机(谨慎使用)

2 CD和DVD:拒绝读取权限,拒绝写入权限---需要设置

拒绝用户读取或写入CD与DVD类型的设备.(包括U盘)

---------------请大家自行查找，设置

3WMI筛选器

下午

软件部署

第五天:

写论文+答辩

7 / 7