任務1安裝VMwareWorkstation16

任務2安裝和配置WindowsServer2019項目背景上海某科技職業(yè)學院2022級網絡專業(yè)的小李進入一家IT企業(yè)實習，成為一名網絡管理員。部門經理要求小李為物理服務器安裝WindowsServer2019，于是他去請教了網絡專業(yè)的吳老師。吳老師要求他首先從下面三個方面來了解服務器。(1)目前主流的操作系統(tǒng)。(2)?WindowsServer2019的各個版本。(3)利用虛擬機技術構建WindowsServer2019的方法。任務1安裝VMwareWorkstation16VMwareWorkstation虛擬機是在使用Windows或Linux的計算機上運行的應用程序，它可以模擬一個標準的計算機環(huán)境，和真實的計算機一樣，也有CPU、內存、硬盤、網卡、USB接口等。本任務是完成VMwareWorkstation16的安裝。一、VMwareWorkstation虛擬機簡介在計算機科學中，虛擬機是指可以像物理計算機一樣運行程序的計算機軟件，VMwareWorkstation虛擬機是一款通過軟件模擬的具有完整硬件系統(tǒng)功能的、運行在一個完全隔離環(huán)境下的、完整的計算機系統(tǒng)。通過VMwareWorkstation虛擬機，用戶可以在一臺物理計算機上模擬出一臺或多臺虛擬機，這些虛擬機完全像真正的計算機那樣工作。對于用戶而言，VMwareWorkstation虛擬機只是運行在物理計算機上的一個應用程序；但是對于在VMwareWorkstation虛擬機中運行的應用程序而言，它就是一臺真正的計算機。VMwareWorkstation虛擬機軟件可以在計算機平臺和終端用戶之間建立一種環(huán)境，終端用戶基于這個環(huán)境來操作軟件。當在虛擬機中進行軟件測評時，操作系統(tǒng)可能一樣會崩潰，但是崩潰的只是虛擬機上的操作系統(tǒng)，而不是物理計算機上的操作系統(tǒng)，且使用虛擬機的快照功能可以使虛擬機恢復到安裝軟件之前的狀態(tài)。VMwareWorkstation的主要功能如下：(1)不需要分區(qū)或重開機就能在同一臺計算機中使用兩種及以上操作系統(tǒng)。(2)完全隔離并保護不同操作系統(tǒng)的操作環(huán)境及所有安裝在操作系統(tǒng)上的應用程序和資料。(3)不同的操作系統(tǒng)之間可以進行互動操作。(4)具有恢復功能、快照功能、復制功能。(5)能夠設定并隨時修改操作系統(tǒng)的操作環(huán)境，如內存、磁盤空間、周邊設備等。二、虛擬服務器虛擬服務器是在計算機上建立一臺或多臺虛擬機并由虛擬機來完成服務工作的服務器。各臺虛擬機之間完全獨立并可由用戶自行管理，虛擬并非指不存在，而是指各虛擬機是由實體的服務器延伸而來的，其硬件系統(tǒng)可以基于服務器群或單臺服務器來構建。Internet服務器通過硬件服務器虛擬成虛擬服務器可以節(jié)省硬件成本，同時一臺虛擬服務器可以按邏輯劃分為多個服務單位，對外表現為多臺服務器，從而充分利用服務器硬件資源，提供多種服務。三、虛擬軟件目前主流的虛擬軟件有VMware、VirtualBox、VirtualPC和Bochs，它們都能在Windows上虛擬出多臺計算機。傳統(tǒng)的虛擬機可以模擬出其他種類的操作系統(tǒng)，但它需要模擬底層的硬件指令，所以在應用程序運行速度方面稍顯薄弱，這是和目前的虛擬系統(tǒng)最大的區(qū)別。VMware公司總部位于美國加州帕洛阿爾托，該公司是全球云基礎架構和移動商務解決方案廠商，提供基于VMware的解決方案，其主要涉及的業(yè)務包括數據中心改造、公有云整合等。

VMware的產品中，最常用的就是VMwareWorkstation。VMware的桌面產品非常簡單、便捷，支持目前多種主流操作系統(tǒng)，如Windows、Linux等，并且提供多平臺版本。四、VMware虛擬機的網絡連接模式在VMwareWorkstation中，虛擬機的網絡連接主要是由VMware創(chuàng)建的虛擬交換機負責實現的，VMware可以根據需要創(chuàng)建多個虛擬網絡。VMware的虛擬網絡都是以“VMnet+數字”的形式來命名的，如VMnet0、VMnet1、VMnet2。在一般情況下，虛擬機建立之后需要和宿主機通信。虛擬機可選的三種網絡連接模式為橋接(Bridge)模式、NAT模式和Host-only模式。(一)橋接模式橋接模式是比較容易實現的網絡連接模式。Host主機的物理網卡和Guest客戶機的虛擬網卡在VMnet0上通過虛擬網橋進行連接。也就是說，Host主機的物理網卡和Guest客戶機的虛擬網卡處于同等地位，此時的客戶機就像宿主機所在網段上的另一臺計算機。如果宿主機存在DHCP服務器，那么宿主機和客戶機都可以通過DHCP的方式來獲取IP地址。(二)?NAT模式NAT(networkaddresstranslation，網絡地址轉換)的主要任務是使虛擬機通過宿主機連接到Internet。也就是說，虛擬機自己不能連接Internet，只有通過宿主機才能連接到網絡。宿主機負責將虛擬機收發(fā)數據時的IP地址進行轉換，在這種情況下，虛擬機的IP地址對外是不可見的。(三)?Host-only模式Host-only網絡被設計成一個與外界隔離的網絡。采用Host-only模式的虛擬網絡適配器僅對宿主機可見，并在虛擬機和宿主機系統(tǒng)之間提供網絡連接。相對于NAT模式而言，Host-only模式不具備NAT功能，因此在默認情況下，使用Host-only模式的虛擬機無法連接到Internet。VMwareWorkstation虛擬機在采用Windows或Linux的計算機上運行，可以模擬標準的計算機硬件系統(tǒng)環(huán)境。本次實驗以VMwareWorkstation16的Windows版本為例，展示VMwareWorkstation的安裝和配置過程。(1)運行下載好的VMwareWorkstation16Pro安裝包，當看到虛擬機軟件的安裝向導界面時，點擊“下一步”按鈕，如圖1-1所示。(2)在“最終用戶許可協(xié)議”界面中，勾選“我接受許可協(xié)議中的條款”復選框，點擊“下一步”按鈕，如圖1-2所示。(3)在“自定義安裝”界面中，勾選“將VMwareWorkstation控制臺工具添加到系統(tǒng)PATH”復選框，點擊“下一步”按鈕，如圖1-3所示。(4)在“用戶體驗設置”界面中，取消勾選“啟動時檢查產品更新”及“加入VMware客戶體驗提升計劃”復選框，點擊“下一步”按鈕，如圖1-4所示。(5)在“快捷方式”界面中，選擇快捷方式的創(chuàng)建位置，點擊“下一步”按鈕，如圖1-5所示。(6)在“已準備好安裝VMwareWorkstationPro”界面中，點擊“安裝”按鈕，開始安裝軟件，如圖1-6所示。(7)在“正在安裝VMwareWorkstationPro”界面中可看到軟件安裝的狀態(tài)，如圖1-7所示。(8)在“VMwareWorkstationPro安裝向導已完成”界面(見圖1-8)中，選擇是否輸入軟件許可證密鑰。如果需要試用30天，則直接點擊“完成”按鈕；如果已經購買軟件許可證，則點擊“許可證”按鈕。(9)在“輸入許可證密鑰”界面中，按指定格式輸入許可證密鑰，點擊“輸入”按鈕，如圖1-9所示。(10)返回“VMwareWorkstationPro安裝向導已完成”界面，直接點擊“完成”按鈕。至此，VMwareWorkstation16Pro安裝完成。(11)雙擊桌面中的VMwareWorkstationPro圖標，打開VMwareWorkstation窗口的“主頁”界面，表示安裝完成，如圖1-10所示。任務2安裝和配置WindowsServer2019某公司的部門經理要求小陳在辦公室新購置的服務器中安裝一個操作系統(tǒng)。該服務器作為辦公室的文件服務器使用，其采用的操作系統(tǒng)是公司提供的企業(yè)版WindowsServer2019。該操作系統(tǒng)進行初始配置的要求如下：(1)計算機名稱為server01；(2)?IP地址為0；(3)子網掩碼為；(4)網關為54。一、WindowsServer2019簡介WindowsServer2019是由微軟公司在2018年11月13日發(fā)布的服務器版操作系統(tǒng)。該系統(tǒng)是基于WindowsServer2016開發(fā)的，是對WindowsNTServer的進一步拓展應用和延伸，是迄今為止Windows服務器體系中的重量級產品。WindowsServer2019與Windows10同宗同源，其提供了圖形用戶界面，具有大量與服務器相關的特性。WindowsServer2019主要用于虛擬專用服務器或服務器，可用于架設網站或者提供各類網絡服務。它具有四大重要特性：混合云、安全、應用程序平臺和超融合基礎架構。該版操作系統(tǒng)將會作為下一個長期服務頻道為企業(yè)提供服務，新版本也將繼續(xù)提高安全性并提供比以往版本更強大的性能。WindowsServer2019擁有全新的圖形用戶界面、強大的管理工具、改進的PowerShell支持，以及在網絡、存儲和虛擬化方面的大量特性，且底層特意采用云設計，提供了創(chuàng)建私有云和公共云的基礎設施。WindowsServer2019規(guī)劃了一套完備的虛擬化平臺，不僅可以應對多工作負載、多應用程序、高強度，還可以簡單、快捷地進行平臺管理。另外，它在保障數據和信息的高安全性、可靠性、省電、整合方面也進行了諸多改進。(一)?WindowsServer2019的特點1.超越虛擬化WindowsServer2019完全超越了虛擬化的概念，提供了一系列新增和改進的技術，極大地發(fā)揮了云計算的潛能，其中最大的亮點就是私有云的創(chuàng)建。在WindowsServer2019的開發(fā)過程中，對Hyper-V的功能與特性進行了大幅改進，從而使其能為企業(yè)提供動態(tài)的多租戶基礎架構，企業(yè)可在靈活的IT環(huán)境下部署私有云，并能動態(tài)響應不斷變化的業(yè)務需求。2.功能強大，管理簡單WindowsServer2019可幫助IT專業(yè)人員在對云進行優(yōu)化的同時，提供高度可用、易于管理的多服務器平臺，從而更快捷、更高效地滿足業(yè)務需求，且可以通過基于軟件的策略控制技術更好地管理系統(tǒng)，從而獲得各類收益。3.跨越云端的應用體驗WindowsServer2019是一套全面、可擴展且適應性強的Web應用程序平臺，能為用戶提供足夠的靈活性，供用戶在內部、云端、混合式環(huán)境下構建應用程序，并能使用一致的開放式工具。4.現代化的工作方式WindowsServer2019在設計上可以滿足現代化工作風格的需求，幫助管理員使用智能且高效的方法提升企業(yè)環(huán)境下的用戶生產力，尤其是涉及集中化桌面的場景。(二)?WindowsServer2019的版本根據企業(yè)規(guī)模以及虛擬化和數據中心的要求，微軟公司將WindowsServer2019分為3個版本，即WindowsServer2019Datacenter(數據中心版)、WindowsServer2019Essentials(精華版)和WindowsServer2019Standard(標準版)。(1)?WindowsServer2019Datacenter用于特大型企業(yè)，專為高度虛擬化的基礎架構設計，包括私有云和混合云環(huán)境。它提供WindowsServer2019可用的所有角色和功能，它為在相同硬件上運行的虛擬機提供了無限的基于虛擬機的許可證，它還提供受防護的虛擬機的改進、軟件定義網絡的安全性保障、WindowsDefender高級威脅的防護等功能。(2)?WindowsServer2019Essentials用于小型企業(yè)(最多包括50臺設備)，它支持兩個處理器內核和高達64?GB的隨機存取存儲器，但不支持WindowsServer2019的許多功能，如虛擬化等。(3)?WindowsServer2019Standard用于一般企業(yè)，它提供了WindowsServer2019可用的許多角色和功能。它最多包括兩個虛擬機的許可證并支持安裝Nano服務器。(三)?WindowsServer2019的特性WindowsServer2019的四大特性如下所述。1.混合云WindowsServer2019和WindowsAdminCenter讓用戶可以更加容易地將現有的本地環(huán)境連接到MicrosoftAzure。使用WindowsServer2019的用戶可以更加容易地使用Azure云服務(如AzureBackup和AzureSiteRecovery等)，且隨著時間的推移，微軟公司將支持更多的服務。2.安全性保證安全性仍然是微軟公司的首要任務。從WindowsServer2016開始，微軟公司就在推進新的安全功能，而WindowsServer2019的安全性就建立在其強大的基礎之上，并與Windows10共享了一些安全功能，如DefenderATPforServer和DefenderExploitGuard等。3.使用容器應用平臺隨著開發(fā)人員和運營團隊逐漸意識到在新模型中運營業(yè)務的好處，容器正變得越來越流行。除了在WindowsServer2016中所做的工作之外，微軟公司將一些新技術都添加到了WindowsServer2019中，這些技術包括LinuxContainersonWindows、WindowsSubsystemforLinux和對體量更小的Container的映像支持。4.超融合基礎架構如果考慮改進物理或主機服務器基礎架構，就應該考慮使用超融合基礎架構。這種新的部署模型允許將計算、存儲和網絡整合到相同的節(jié)點中，從而降低基礎架構的搭建成本，同時獲得更好的性能、可伸縮性和可靠性。(四)?WindowsServer2019的最低安裝要求如果計算機未達到運行WindowsServer2019的最低硬件要求，則將無法正確安裝產品。實際要求因系統(tǒng)配置和所安裝應用程序及它們的功能而異。除非另有指定，否則這些最低硬件要求適用于所有安裝選項(服務器核心和具有桌面體驗的服務器)以及標準版和數據中心版。1.?CPUCPU的性能不僅取決于處理器的時鐘頻率，還取決于處理器的內核數以及處理器的緩存大小。以下是WindowsServer2019對CPU的最低要求。(1)具有1.4?GHz64位處理器；(2)與x64指令集兼容；(3)支持禁止執(zhí)行(noeXecute，NX)和數據執(zhí)行保護(dataexecutionprevention，DEP)；(4)支持匯編語言CMPXCHG16b、LAHF/SAHF和PrefetchW；(5)支持二級地址轉換。2.?RAMWindowsServer2019對RAM的最低要求是512?MB(對于帶桌面體驗的服務器，要求為2?GB)。當使用支持的最低硬件參數(1個處理器核心、512?MBRAM)創(chuàng)建一臺虛擬機，嘗試在該虛擬機上安裝WindowsServer2019時，會發(fā)現安裝失敗。為了解決這個問題，需要執(zhí)行下列操作之一。(1)向要安裝WindowsServer2019的虛擬機分配至少800?MB的RAM。在完成安裝后，可以根據實際服務器配置更改RAM分配，最少分配量為512?MB。如果使用其他語言或更新、修改安裝程序的啟動映像，則可能需要分配至少800?MB的RAM，否則無法完成安裝。(2)使用“Shift?+?F10”組合鍵中斷WindowsServer2019在虛擬機上的引導進程。在打開的“命令提示符”窗口中，使用diskpart.exe創(chuàng)建并格式化一個安裝分區(qū)，運行“wpeutilcreatepagefile/path=C:\pf.sys”(假設創(chuàng)建的安裝分區(qū)為CA)命令，并關閉“命令提示符”窗口繼續(xù)安裝。3.存儲控制器和磁盤空間窗口運行WindowsServer2019的計算機必須包括符合高速外設部件互連(peripheralcomponentinterconnectexpress，PCIExpress)體系結構規(guī)范的存儲適配器。系統(tǒng)分區(qū)對磁盤空間的最低要求是32?GB。請注意，32?GB應視為確保成功安裝的磁盤空間的最低值。如果滿足此最低值，則能夠使用服務器核心模式安裝包含Web服務、互聯網信息服務(Internetinformationservices，IIS)的WindowsServer2019。服務器核心模式下的服務器比帶有GUI模式的服務器中的相同服務器大約小4?GB。如果通過網絡安裝系統(tǒng)，則內存超過16?GB的計算機還需要為頁面文件、休眠文件和轉儲文件分配額外的磁盤空間。4.網絡適配器與WindowsServer2019一起使用的網絡適配器的最低要求如下：(1)以太網適配器的吞吐量至少為1?GB/s；(2)符合PCIExpress體系結構規(guī)范。二、WindowsServer2019的安裝方式WindowsServer2019有多種安裝方式，分別適用于不同的環(huán)境，用戶可以根據實際需求選擇安裝方式。常見的安裝方式包括DVD光盤安裝、升級安裝、遠程安裝及ServerCore安裝。本任務使用VMware虛擬機安裝WindowsServer2019。在本任務中，宿主機使用Windows10，通過VMwareWorkstation建立WindowsServer2019的虛擬機。(1)雙擊桌面上的“VMwareWorkstationPro”圖標，如圖1-11所示，打開軟件。(2)啟動后會打開“VMwareWorkstation”窗口，如圖1-12所示。(3)選擇“創(chuàng)建新的虛擬機”選項，彈出“新建虛擬機向導”對話框，如圖1-13所示。(4)點擊“典型(推薦)”選項按鈕，點擊“下一步”按鈕，進入“安裝客戶機操作系統(tǒng)”界面，點擊“稍后安裝操作系統(tǒng)”選項按鈕，如圖1-14所示。(5)點擊“下一步”按鈕，進入“選擇客戶機操作系統(tǒng)”界面，點擊“MicrosoftWindows”選項按鈕，在版本選擇中，沒有“WindowsServer2019”，但因為2019版本和2016版本的核心相同，所以選擇WindowsServer2016，如圖1-15所示。(6)點擊“下一步”按鈕，進入“命名虛擬機”界面，輸入虛擬機名稱，并設置安裝位置，如圖1-16所示。(7)點擊“下一步”按鈕，進入“指定磁盤容量”界面，設置最大磁盤大小，點擊“將虛擬磁盤拆分成多個文件”選項按鈕，如圖1-17所示。(8)點擊“下一步”按鈕，進入“已準備好創(chuàng)建虛擬機”界面，如圖1-18所示。(9)點擊“完成”按鈕，返回“WindowsServer2019-VMwareWorkstation”窗口，如圖1-19所示。(10)點擊“編輯虛擬機設置”鏈接，彈出“虛擬機設置”對話框，選擇“硬件”選項卡下的“內存”選項，設置內存容量，如圖1-20所示。(11)選擇“硬件”選項卡下的“處理器”選項，設置處理器的相關參數，如圖1-21所示。(12)選擇“硬件”選項卡下的“硬盤”選項，設置硬盤的相關參數，如圖1-22所示。(13)選擇“硬件”選項卡下的“CD/DVD(SATA)”選項，設置CD/DVD(SATA)的相關參數，點擊“使用1SO映像文件”選項按鈕。點擊“瀏覽”按鈕，選擇下載的鏡像文件目錄，如圖1-23所示。(14)選擇“硬件”選項卡下的“網絡適配器”選項，設置網絡適配器的相關參數，如圖1-24所示。(15)選擇“硬件”選項卡下的“USB控制器”選項，設置USB控制器的相關參數，如圖1-25所示。(16)選擇“硬件”選項卡下的“聲卡”選項，設置聲卡的相關參數，如圖1-26所示。(17)選擇“硬件”選項卡下的“打印機”選項，設置打印機的相關參數，如圖1-27所示。(18)選擇“硬件”選項卡下的“顯示器”選項，設置顯示器的相關參數，如圖1-28所示。(19)點擊“確定”按鈕，返回“WindowsServer2019-VMwareWorkstation”窗口，進入操作系統(tǒng)安裝狀態(tài)，如圖1-29所示。(20)按任意鍵進行系統(tǒng)安裝，打開“Windows安裝程序”窗口，如圖1-30所示。(21)點擊“下一步”按鈕，進入“現在安裝”界面，如圖1-31所示。(22)點擊“現在安裝”按鈕，彈出“Windows安裝程序”對話框，如圖1-32所示。(23)輸入產品密鑰，點擊“下一步”按鈕，進入“選擇要安裝的操作系統(tǒng)”界面，如圖1-33所示。(24)選擇“WindowsServer2019Datacenter(桌面體驗)”選項，點擊“下一步”按鈕，進入“適用的聲明和許可條款”界面，如圖1-34所示。(25)勾選“我接受許可條款”復選框，點擊“下一步”按鈕，進入“你想執(zhí)行哪種類型的安裝?”界面，如圖1-35所示。(26)選擇“自定義：僅安裝Windows(高級)”選項，進入“你想將Windows安裝在哪里?”界面，如圖1-36所示。(27)點擊“新建”按鈕，設置磁盤(分區(qū)2)容量為60?000?MB(C:\)，如圖1-37所示。(28)點擊“新建”按鈕，設置磁盤(分區(qū)3)容量為21?304?MB(D:\)，如圖1-38所示。(29)點擊“應用”按鈕，完成磁盤分區(qū)，進入分區(qū)完成界面，如圖1-39所示。(30)選擇相應的分區(qū)，點擊“格式化”按鈕，彈出格式化分區(qū)提示對話框，如圖1-40所示。(31)點擊“確定”按鈕，進入“正在安裝Windows”界面，如圖1-41所示。(32)系統(tǒng)安裝完成后，會自動進行重啟，并進入“自定義設置”界面，如圖1-42所示。(33)設置管理員密碼，點擊“完成”按鈕，進入登錄界面，如圖1-43所示。(34)輸入管理員密碼后進入WindowsServer2019操作系統(tǒng)桌面，如圖1-44所示。(35)進入WindowsServer2019操作系統(tǒng)桌面后，在“開始”菜單中找到“Windows系統(tǒng)”下的“此電腦”命令，單擊鼠標右鍵，在彈出的快捷菜單中選擇“屬性”命令，打開“系統(tǒng)”窗口，如圖1-45所示。(36)在“計算機名稱、域和工作組設置”欄下，點擊“更改設置”鏈接，在打開的“系統(tǒng)屬性”對話框中點擊“更改”按鈕，然后在打開的“計算機名/域更改”對話框的“計算機名”文本框中輸入計算機的名稱“server01”，如圖1-46所示，接著依次點擊“確定”和“關閉”按鈕，最后選擇“立即重啟”選項，讓系統(tǒng)重新啟動以完成計算機名稱的修改。(37)重新啟動并登錄系統(tǒng)后，從“開始”菜單中選擇“Windows系統(tǒng)”下的“控制面板”命令，進入“網絡和Internet”窗口，然后進入“網絡和共享中心”窗口，點擊“Ethernet0”鏈接，打開“Ethernet0狀態(tài)”對話框，如圖1-47所示。(38)在打開的“Ethernet0”對話框中，點擊“屬性”按鈕，選擇“Internet協(xié)議版本4(TCP/IPv4)”選項，此時可以在打開的“Internet協(xié)議版本4(TCP/IPv4)屬性”對話框中配置Server01服務器的IP地址、子網掩碼和默認網關，如圖1-48所示。(39)配置完畢后，點擊“確定”按鈕，完成WindowsServer2019的設置。另外，系統(tǒng)還會打開“服務器管理器”窗口，用戶可以在其中配置服務器的功能和角色。在使用虛擬機完成各種實驗時，初學者免不了因誤操作導致系統(tǒng)崩潰、無法啟動，或者在做群集的時候需要多個服務器進行測試，如搭建FTP服務器、DHCP服務器、DNS服務器、Web服務器等。搭建服務器費時費力，一旦系統(tǒng)崩潰、無法啟動，就需要重新安裝操作系統(tǒng)或部署多個服務器，利用系統(tǒng)克隆功能則可以很好地解決上述這些問題。一、系統(tǒng)克隆在虛擬機安裝好原始的操作系統(tǒng)后對其進行克隆，可以方便日后做實驗，也可以避免重新安裝操作系統(tǒng)，既方便又快捷。(1)進入VMware虛擬機的主界面，關閉虛擬機中的操作系統(tǒng)，選擇要克隆的操作系統(tǒng)并單擊鼠標右鍵，在彈出的快捷菜單中選擇“管理”→“克隆”命令，如圖1-49所示。(2)彈出“克隆虛擬機向導”對話框，如圖1-50所示，點擊“下一步”按鈕，進入“克隆源”界面，如圖1-51所示，在此界面可以選擇“虛擬機中的當前狀態(tài)”或“現有快照(僅限關閉的虛擬機”選項按鈕。(3)點擊“下一頁”按鈕，進入“克隆類型”界面，點擊“創(chuàng)建完整克隆”選項按鈕，如圖1-52所示。(4)點擊“下一頁”按鈕，進入“新虛擬機名稱”界面，輸入虛擬機名稱，設置虛擬機的安裝位置，如圖1-53所示。(5)點擊“完成”按鈕，進入“正在克隆虛擬機”界面，如圖1-54所示。(6)克隆完成后，點擊“關閉”按鈕，返回VMware虛擬機主界面，如圖1-55所示。二、快照管理VMware快照是VMwareWorkstation的一個特色功能。當用戶創(chuàng)建一個虛擬機快照時，它會創(chuàng)建一個特定的文件delta。delta文件是在基礎虛擬機磁盤格式上的變更位圖，因此，它不能增長到比VMDK還大。VMware為虛擬機創(chuàng)建一個快照的同時就會創(chuàng)建一個delta文件，當快照被刪除或在快照管理中被恢復時，該文件將被自動刪除?？煺湛梢詫斍暗倪\行狀態(tài)保存下來，當系統(tǒng)出現問題的時候，可以從快照中進行恢復。(1)進入VMware虛擬機主界面，啟動虛擬機中的操作系統(tǒng)，選擇用戶要快照保存的操作系統(tǒng)并單擊鼠標右鍵，在彈出的快捷菜單中選擇“快照”→“拍攝快照”命令，如圖1-56所示。(2)在彈出的對話框中輸入系統(tǒng)快照的名稱，如圖1-57所示，點擊“拍攝快照”按鈕，返回VMware虛擬機主界面，系統(tǒng)快照設置完成，如圖1-58所示。任務1新建本地用戶和組

任務2新建域用戶、組和組織單位項目背景某公司在武漢和廣州有兩個分公司，部門經理考慮到不同部門使用公司資源的權限不同，為了簡化網絡管理，要求武漢分公司的網絡管理員小王在該公司域服務器上設置組織單位來顯示公司的架構，在不同的組織單位內部設置自己員工的域賬戶，以便網絡管理員對用戶賬戶和公司計算機進行管理。任務1新建本地用戶和組某公司的員工需要在服務器上通過本地用戶和組來添加用戶和組。該操作禁止在服務器上安裝域服務，如果安裝了域服務，則不能進行本地用戶和組的創(chuàng)建。WindowsServer2019要求所有用戶都要登錄才能訪問本地和網絡資源。Windows通過實施交互式登錄過程(提供用戶身份驗證)來保護資源。一、默認本地用戶和組WindowsServer2019操作系統(tǒng)安裝完成以后，有四個默認的本地用戶賬戶。管理員可以根據需要進行本地賬戶和組的創(chuàng)建。默認的本地賬戶和創(chuàng)建的本地用戶賬戶在“計算機管理”窗口中顯示，如圖2-1所示的為默認的本地用戶賬戶。表2-1描述了默認本地用戶賬戶Administrator和Guest的特點。默認的本地組是在安裝操作系統(tǒng)時自動創(chuàng)建的，如圖2-2所示。如果一個用戶屬于某個本地組，則該用戶就具有在本地計算機上執(zhí)行某種任務的權利和能力。管理員可以向本地組添加本地用戶賬戶、域用戶賬戶、計算機賬戶以及組賬戶。表2-2提供了部分默認組的描述以及每個組的默認用戶權限。這些用戶權限是在本地安全策略中分配的。二、創(chuàng)建本地用戶和組本地用戶和組位于“計算機管理”窗口中，用戶可以使用該窗口中的管理工具來管理單個本地或遠程計算機；可以使用本地用戶和組保護并管理存儲在本地計算機上的用戶賬戶和組；可以在特定計算機上(只能是這臺計算機)分配本地用戶賬戶或組賬戶的權限和權利。本地用戶和組可以為用戶和組分配權限和權利，從而限制用戶和組執(zhí)行某些操作的能力。權利的作用是授權用戶在計算機上執(zhí)行某些操作，如備份文件和文件夾或關機。權限是與對象(通常文件、文件夾或打印機)相關聯的一種規(guī)則，它規(guī)定哪些用戶可以訪問該對象以及以何種方式訪問。其他注意事項(也適用于域用戶的創(chuàng)建)如下：(1)若要創(chuàng)建本地用戶和組，必須提供在本地計算機上Administrator的憑據，或創(chuàng)建本地用戶和組的必須是本地計算機上管理員組的成員。(2)用戶名不能與被管理的計算機上任何其他用戶名或組名相同。用戶名最多可以包含20個大寫字符或小寫字符(除?"/\[]:;|=,+*?<>@外)，并且用戶名不能只由句點(.)或空格組成。(3)在“密碼”和“確認密碼”文本框中，可以輸入不超過127個字符的密碼。(4)使用強密碼和合適的密碼策略有利于保護計算機免受攻擊。三、管理本地用戶賬戶(一)重設用戶密碼當忘記用戶密碼時，可以使用Administrator賬戶重置密碼，過程如圖2-3和圖2-4所示。(二)重命名賬戶由于賬戶的所有權限、信息、屬性等實際上是綁定在SID上而不是在用戶名上的，因此對賬戶重命名并不會影響賬戶自身的任何用戶權限。如果公司中有員工離職，同時該崗位還需要招聘新員工，則可以不刪除實際離職員工的賬戶，只需要通過重命名的方式直接將賬戶傳遞給新員工使用，這樣可以保證用戶賬戶數據不受損失。另外，重命名系統(tǒng)管理員賬戶Administrator和來賓賬戶Guest，可以使未授權的人員在輸入用戶名和密碼時增加難度，提高系統(tǒng)安全性，如圖2-5所示。(三)刪除賬戶假如公司有員工離職了，為了防止其繼續(xù)使用賬戶登錄計算機系統(tǒng)，也為了避免出現太多的垃圾賬戶，系統(tǒng)管理員可以采取刪除賬戶的方式來回收該賬戶，但在執(zhí)行刪除操作之前應確認其必要性，因為刪除賬戶的操作是不可逆的，會導致與該賬戶有關的所有信息丟失。每個賬戶都有一個除名稱之外的唯一的標識符SID，SID在新增賬戶時由系統(tǒng)自動產生，不同賬戶的SID也不相同。由于系統(tǒng)在設置用戶的權限、訪問控制列表中的資源訪問能力等信息時，內部都使用SID，因此一旦用戶賬戶被刪除，這些信息也就跟著消失了。即使重新創(chuàng)建一個名稱相同的用戶賬戶，也不能獲得原來用戶賬戶的權限。系統(tǒng)內置賬戶是無法刪除的。刪除用戶賬戶過程如圖2-6和圖2-7所示。(四)禁用賬戶禁用lishi用戶，想要取消禁用該用戶，將“l(fā)ishi屬性”對話框中“賬戶已禁用”復選框取消勾選即可，如圖2-8所示。創(chuàng)建本地用戶zhangsan、lishi和本地組sales，并將zhangsan和lishi用戶加入sales組中。(1)選擇“服務器管理器”→“工具”→“計算機管理”選項，打開“計算機管理”窗口，如圖2-9所示。(2)右擊“用戶”選項，在彈出的快捷菜單中選擇“新用戶”命令，打開“新用戶”對話框，輸入用戶名和密碼，如圖2-10所示。(3)根據上述操作，創(chuàng)建lishi。(4)在如圖2-11所示的“計算機管理”窗口中，右擊“組”選項，在彈出的快捷菜單中選擇“新建組”命令，打開“新建組”對話框，如圖2-12所示，按照圖中的步驟進行操作，并同時將所有屬于該組的用戶添加進去。任務2新建域用戶、組和組織單位在域服務器中新建域用戶和組，將域用戶加入不同的組中；新建組織單位，在組織單位內部新建下一級的組織單位，并在某個組織單位內部新建域用戶和組。一、域用戶和組ActiveDirectory域用戶賬戶代表物理實體，如人員。管理員可以將用戶賬戶用作某些應用程序的專用服務賬戶。用戶賬戶也被稱為安全主體，安全主體是指自動為其分配安全標識符(SID)的目錄對象，這些對象可用于訪問域資源。用戶賬戶主要的作用如下：(1)驗證用戶的身份。用戶可以使用能夠通過域身份驗證的身份登錄計算機或域。每個登錄到網絡的用戶都應該有唯一的賬戶和密碼。為了最大限度地保證安全，要避免多個用戶共享同一個賬戶。(2)授權或拒絕對域資源的訪問。在驗證用戶身份之后，為該用戶授予訪問域資源的權限或拒絕該用戶對域資源的訪問。(一)默認域用戶和組1.域用戶ActiveDirectory用戶和“計算機管理”窗口中的“用戶”容器顯示了兩種不同的內置用戶賬戶：Administrator和Guest。這些內置用戶賬戶是在創(chuàng)建域時自動創(chuàng)建的。每個內置用戶賬戶都有不同的權限組合。Administrator賬戶在域內具有最大的權限，而Guest賬戶則具有有限的權限。如果網絡管理員沒有修改或禁用內置用戶賬戶的權限，惡意用戶(或服務)就會使用這些權限通過Administrator賬戶或Guest賬戶非法登錄域。保護這些賬戶的一種較好的安全操作是重命名或禁用它們。由于重命名的用戶賬戶會保留其SID，因此也會保留其他所有屬性，如說明、密碼、組成員身份、用戶配置文件、賬戶信息以及任何已分配的權限和用戶權利。若要擁有用戶身份驗證和授權的安全優(yōu)勢，則可通過“ActiveDirectory用戶和計算機”窗口為所有加入網絡的用戶創(chuàng)建單獨的用戶賬戶，然后將各個用戶賬戶添加到組以控制分配給該賬戶的權限。加入該組的用戶可以識別網絡，擁有權限訪問資源。通過設置強密碼和實施賬戶鎖定策略，可以幫助減少域抵御攻擊。強密碼會減少智能密碼猜測和字典攻擊的危險；賬戶鎖定策略會減少攻擊者通過重復登錄企圖危及用戶所在域安全的可能性；賬戶鎖定策略將確定用戶賬戶在禁用之前嘗試登錄的失敗次數。每個ActiveDirectory用戶賬戶都有許多賬戶選項，這些選項將確定如何對使用該特定用戶賬戶登錄網絡的人員進行身份驗證。管理員可以使用表2-3中的選項為用戶賬戶設置密碼和安全特定信息。2.域中組組是指用戶與計算機賬戶、聯系人以及其他可以作為單個單位管理的組的集合，屬于特定組的用戶和計算機被稱為組成員。ActiveDirectory域服務中的組都是駐留在域和組織單位容器對象中的目錄對象。ADDS在安裝時會提供一組默認組。ADDS中的組可以執(zhí)行以下操作。(1)通過將共享資源的權限分配給組，而不是單個用戶來簡化管理。將權限分配給組時，也會將對資源的相同訪問權限分配給該組的所有成員。(2)通過組策略將用戶權限一次性分配給組來進行委派管理，然后可以向組中添加成員與組具有相同的權利。(3)創(chuàng)建電子郵件分發(fā)列表。組的特征體現在它的作用域和類型上，組作用域確定了組在域樹或林內的應用程度。此外，還存在無法修改或查看其成員身份的組，這些組被稱為特殊身份組。根據不同環(huán)境，它們代表了不同時間內的不同用戶。例如，Everyone組代表所有當前網絡用戶的特殊身份組，包括來自其他域的來賓和用戶。圖2-13所示為系統(tǒng)安裝后默認的域用戶和組。組的特征體現在用來標識組在域樹或林中的應用程度的作用域。有三個組作用域：本地域組、全局組和通用組。1)本地域組本地域組的成員可以包括域中的其他組和用戶賬戶，管理員僅能在域內為這些組的成員分配權限。具有本地域作用域的組可幫助用戶定義和管理單一域內的資源訪問權限。這些組的成員可以包括下列組。(1)具有全局作用域的組；(2)具有通用作用域的組；(3)賬戶；(4)具有本地域作用域的其他組；(5)上述任意組的組合。2)全局組全局組的成員只包括組定義所在域的其他組和用戶賬戶，管理員可以在林中的任何域為這些組成員分配權限。使用具有全局作用域的組來管理需要進行日常維護的目錄對象，如用戶和計算機賬戶。由于具有全局作用域的組在自己的域外不會被復制，因此用戶可以經常更改具有全局作用域的組中的賬戶，而不會對全局編錄產生重復流量。當用戶對復制到全局編錄的域目錄對象指定權限時，強烈建議使用全局組或通用組，而不要使用本地域組。3)通用組通用組的成員可以包括域樹或林中的任何域的其他組和用戶賬戶，管理員可以在域樹或林中的任何域為這些組成員分配權限。可以使用具有通用作用域的組來合并跨域的組。因此，管理員可向具有全局作用域的組中添加賬戶，并在具有通用作用域的組內嵌套這些組。使用此作用域時，對具有全局作用域的組成員身份的任何更改都不會影響具有通用作用域的組。不要經常更改具有通用作用域的組的成員身份，對這類組的成員身份的任何更改都會導致該組的全部成員身份被復制到林中的各個全局編錄中。ADDS中有兩種組類型：安全組和通信組。管理員可以使用通信組來創(chuàng)建電子郵件分發(fā)列表，而使用安全組來分配共享資源的權限。共享權限與用戶權限不同。權限用于確定可以訪問共享資源的對象，并確定訪問級別，如“完全控制”。管理員可以使用安全組來管理共享資源的訪問和權限的設置。系統(tǒng)將自動分配某些域對象上設置的權限，以允許針對默認安全組的各種訪問級別。與通信組類似，安全組也可以用作電子郵件實體。將電子郵件發(fā)送到組時，也會將該郵件發(fā)送到該組的所有成員。(二)創(chuàng)建域用戶和組如果要管理域用戶，需要在ActiveDirectory域服務中創(chuàng)建用戶賬戶。若要執(zhí)行此過程，則創(chuàng)建的用戶賬戶必須是ActiveDirectory域服務中AccountOperators組、DomainAdmins組或EnterpriseAdmins組的成員，或者必須被委派了適當的權限。從安全角度來考慮，可以使用“運行身份”來執(zhí)行此過程。如果未分配密碼，則用戶首次登錄時(使用空白密碼)系統(tǒng)會彈出一條登錄消息，顯示“您必須在第一次登錄時更改密碼”。用戶更改密碼后，則可以登錄系統(tǒng)。如果服務的用戶賬戶的密碼已更改，則必須重置使用該用戶賬戶驗證的服務。如果要添加組，則可以單擊要添加組的文件夾，然后點擊工具欄上的“新建組”圖標。完成此過程，最低需要使用AccountOperators組、DomainAdmins組、EnterpriseAdmins組或類似組中的成員身份。二、組織單位(一)組織單位概述域中包含的一種特別有用的目錄對象類型是組織單位(OU)。OU是一個ActiveDirectory容器，用于放置用戶、組、計算機和其他OU。OU不能包含來自其他域中的對象。OU是可以向其分配組策略設置或委派管理權力的最小作用域或單位。管理員使用OU可以在域中創(chuàng)建表示組織的層次結構、邏輯結構的容器，然后可以根據組織模型管理賬戶及配置和使用資源。OU可以包含其他OU。管理員可以根據需要將OU的層次結構擴展為模擬域中組織的層次結構。使用OU有助于最大限度地減少網絡所需的域數目。管理員可以使用OU創(chuàng)建能夠縮放到任意大小的管理模型，可以具有對域中的所有OU或單個OU的管理權利。一個OU的管理員不一定對域中的任何其他OU具有管理權利。(二)操作組織單位所需的權限若要新建、移動或刪除OU，最低需要使用AccountOperators組、DomainAdmins組、EnterpriseAdmins組或類似組中的成員身份。如果選定的OU包含其他對象，則“ActiveDirectory用戶和計算機”窗口會提示用戶繼續(xù)或取消移動或刪除操作。如果選擇繼續(xù)，則OU中的所有對象都會被移動或刪除。(三)刪除組織單位的權限不足(1)在刪除創(chuàng)建的組織單位時，可能會報錯，如圖2-14所示。下面我們來解決該問題。操作：選擇“查看”→“高級功能”命令，然后在彈出的對話框中選中要刪除的組織單位，單擊鼠標右鍵，在彈出的快捷菜單中選擇“屬性”命令，在打開的“廣州分公司屬性”對話框中選擇“對象”選項卡，將“防止對象被意外刪除”復選框前面的對鉤取消，如圖2-15所示，點擊“確定”按鈕后，重新刪除組織單位，即可刪除。(2)重置域用戶賬戶密碼，如圖2-16所示。要完成該操作，最低需要使用AccountOperators組、DomainAdmins組、EnterpriseAdmins組或類似組中的成員身份。(3)出于安全考慮，若要防止特定用戶登錄，可以禁用而不用刪除用戶賬戶。按如圖2-17所示的操作步驟可禁用用戶賬戶。按如圖2-18所示的步驟可啟用用戶賬戶。要完成此過程，最低需要使用AccountOperators組、DomainAdmins組、EnterpriseAdmins組或類似組中的成員身份。(4)按如圖2-19所示的步驟可移動用戶賬戶。要完成此過程，最低需要使用AccountOperators組、DomainAdmins組、EnterpriseAdmins組或類似組中的成員身份。例如，徐軍從上海銷售部調職到蘇州人力資源部，要對其賬戶xujun進行移動。本任務需要創(chuàng)建公司的組織架構，在組織架構中創(chuàng)建相關的用戶和組。公司的組織架構如表2-4所示。(1)選擇“服務器管理器”→“工具”→“ActiveDirectory管理中心”選項，打開“ActiveDirectory管理中心”窗口，如圖2-20所示。(2)在“abc本地”選項上單擊鼠標右鍵，在彈出的快捷菜單中選擇“新建”→“組織單位”命令，打開“創(chuàng)建組織單位：某公司”窗口，如圖2-21所示。(3)在“某公司”選項上單擊鼠標右鍵，在彈出的快捷菜單中選擇“新建”→“組織單位”命令，如圖2-22所示。在打開的“創(chuàng)建組織單位：某公司”窗口中新建“武漢分公司”和“廣州分公司”的OU，如圖2-23所示。(4)按圖2-24所示的步驟，在“武漢分公司”和“廣州分公司”的OU內部分別創(chuàng)建銷售部1、技術部1、人力資源部1和銷售部2、技術部2、人力資源部2的OU，結果如圖2-25所示。(5)選中“武漢分公司”→“銷售部1”選項，并單擊鼠標右鍵，在彈出的快捷菜單中選擇“新建”→“用戶”命令，打開“新建對象-用戶”對話框，如圖2-26所示。(6)在“新建對象”→“用戶”窗口下設置用戶密碼及選項，如圖2-27所示。注意：在“用戶登錄名”文本框中請輸入英文字符的用戶名，最好不要使用漢字。公司管理員在設置密碼時，一般需要勾選“用戶下次登錄時須更改密碼”復選框，此處為了使用方便，勾選“密碼永不過期”復選框。(7)重復第(5)步的操作，設置其他所有的域用戶賬戶。(8)選中“武漢分公司”→“銷售部1”選項，并單擊鼠標右鍵，在彈出的快捷菜單中選擇“新建”→“組”命令，打開“新建對象-組”對話框，如圖2-28和圖2-29所示。在圖2-29中，選擇組的作用域和組的類型，方法參見2.2.1節(jié)中的介紹。(9)將域用戶加入組有兩種方式：一種是通過“添加到組”命令直接把用戶添加到組，如圖2-30所示；另一種是通過“屬性”命令將用戶添加到組，如圖2-31所示。(10)重復上述操作，創(chuàng)建好所有的域用戶和組，并將相應的用戶添加到對應的組中。任務1安裝并驗證域服務

任務2安裝并驗證額外域控制器

任務3創(chuàng)建子域控制器

任務4域的應用項目背景小趙是某公司的網絡管理員，剛開始管理公司的20臺計算機，用的是工作組管理模式，其網絡配置很輕松，幾乎不用管理。哪臺計算機有問題，就去哪臺計算機上解決，工作強度也不是很大。但由于公司近年快速發(fā)展，規(guī)模不斷擴大，員工增加至幾百人，網絡中計算機增到500臺。小趙仍然采用同樣的管理方式，每天都很忙碌，從早到晚一直在解決網絡中用戶的計算機故障問題，經常晚上加班，但問題總是解決不了。這是因為傳統(tǒng)工作組的管理模式采用的是分散管理的方式，只適用于小規(guī)模的網絡管理，當網絡中有上百臺計算機時，就需要一種更加高效的網絡管理方式。WindowsServer2019提供的域管理模式不僅可以很好地實現集中管理計算機和用戶賬戶，還可以解決其他網絡資源的問題。小趙可以通過域管理模式很方便地實現對內網中的所有計算機、用戶賬號、共享資源、安全策略的集中管理，從而實現更加高效的網絡管理。通過查詢資料，小趙得知搭建域控制器的基本步驟如下：(1)添加域服務器角色。(2)將該服務器提升為域控制器。(3)將客戶端加入該域，并使用域中的資源。任務1安裝并驗證域服務網絡管理員小趙需要在WindowsServer2019服務器上通過添加角色和功能向導進行域服務器角色的安裝，在安裝過程中可以創(chuàng)建公司的主域名，并設置該服務器的IP地址為0，主機名為server01?；顒幽夸浭敲嫦騑indowsServer網絡操作系統(tǒng)的非常重要的目錄服務，目錄服務有兩方面的內容，即目錄、與目錄相關的服務?；顒幽夸浄帐荳indowsServer2019的核心組件之一，為用戶管理網絡環(huán)境各個組成要素的標識和關系提供了一種有力的手段。一、活動目錄活動目錄存儲了有關網絡對象的信息，包括用戶賬戶、組、計算機、打印機和共享資源等信息?；顒幽夸浭且环N服務，而目錄數據庫所存儲的信息都是經過事先整理的有組織、結構化的數據信息，使用戶可以非常方便、快速地找到所需的數據，也可以非常方便地對活動目錄中的數據進行添加、刪除、修改、查詢等操作?；顒幽夸浘哂幸韵绿攸c。(一)集中管理圖書目錄存放了圖書館的圖書信息，以便對其進行管理，類似圖書館的圖書目錄，活動目錄集中組織和管理網絡中的資源信息，用戶只需通過活動目錄，即可方便地管理各種網絡資源。(二)便捷的網絡資源訪問活動目錄允許用戶在第一次登錄網絡時就可以訪問網絡中的所有該用戶有權限訪問的資源，而且用戶在訪問網絡資源時無須知道資源所在的物理位置，就可以快速找到資源。(三)可擴展性活動目錄具有強大的可擴展性，可以隨著公司或組織規(guī)模的增長而擴展，從一個網絡對象較少的小型網絡環(huán)境發(fā)展成大型網絡環(huán)境。二、活動目錄的邏輯結構域是活動目錄的核心邏輯單元，是共享同一活動目錄的一組計算機的集合，從安全管理的角度來說，域是安全的邊界。域樹是由一組具有連續(xù)命名空間的域所組成的，域通過自動建立的信任關系連接在一起。域林是由一棵或多棵域樹組成的，每棵域樹獨享連續(xù)的命名空間，不同域樹之間沒有命名空間的連續(xù)性，域林中第一個創(chuàng)建的域被稱為域林根域。對象是通過屬性來描述其特征的，也就是對象本身是一些屬性的集合。例如，用戶是對象，需要為用戶建立一個賬號，并在此對象內輸入相應的姓名、密碼和描述信息等。其中的用戶賬號就是對象，而姓名、密碼和描述信息等就是該對象的屬性。組織單位(OU)是組織也是管理一個域內對象的容器，包容用戶賬戶、用戶組、計算機、打印機和其他的組織單位層次結構。站點由一個或多個IP子網組成，這些子網通過高速網絡設備連接在一起。站點往往由企業(yè)的物理位置分布情況來決定，可以依據站點結構配置活動目錄的訪問和復制拓撲關系，使網絡更有效地連接，并使復制策略更合理、用戶登錄更快捷?；顒幽夸浿械恼军c與域是兩個完全獨立的概念，一個站點中可以有多個域，多個站點也可以位于同一個域中。活動目錄站點和服務通過使用站點提高大多數配置目錄服務的效率，使用活動目錄站點和服務來發(fā)布站點，并提供有關網絡物理結構的信息，從而確定如何復制目錄信息和處理服務的請求。計算機站點是根據其子網和一組已連接子網的位置指定的，子網用來為網絡分組，類似于生活中使用郵政編碼來劃分地址。劃分子網可方便地發(fā)送有關網絡與目錄連接的物理信息，且同一子網中計算機的連接情況通常優(yōu)于不同網絡中計算機的連接情況?；顒幽夸浻蚍罩械挠蚝土止δ埽峁┝艘环N可以在網絡環(huán)境中啟用全域或全林活動目錄功能的方法。不同的網絡環(huán)境，則有不同級別的域功能和林功能。三、活動目錄的物理結構活動目錄的物理結構的作用是側重于網絡的配置和優(yōu)化，物理結構的三個重要概念是域控制器、只讀域控制器和全局編錄服務器。(一)域控制器域控制器是指安裝了活動目錄的WindowsServer2019服務器，它保存了活動目錄信息的副本。域控制器管理目錄信息的變化，并把這些變化復制到同一個域中的其他域控制器上，使各個域控制器上的目錄信息同步。域控制器負責用戶的登錄以及其他與域有關的操作，如身份鑒定、目錄信息查找等。一個域可以有多個域控制器。域控制器沒有主次之分，采用主機復制模式，每一個域控制器都有一個可寫入的目錄副本，這為目錄信息容錯帶來了無盡的好處。盡管在某個時刻，不同的域控制器中的目錄信息可能有所不同，但一旦活動目錄中的所有域控制器執(zhí)行同步操作，所有的變化就會同步一致。(二)只讀域控制器只讀域控制器的ADDS數據庫只可以被讀取，不可以被修改，也就是說，用戶或應用程序無法直接修改只讀域控制器的ADDS數據庫。只讀域控制器的ADDS數據庫的內容只能夠從其他可讀寫的域控制器中復制。只讀域控制器主要設計給遠程分公司的網絡使用，因為一般來說，遠程分公司的網絡規(guī)模比較小、用戶人數比較少，相關的安全措施或許并不如總公司完備，也可能缺乏IT人員，因此采用只讀域控制器可避免因其ADDS數據庫被破壞而影響整個ADDS環(huán)境。(三)全局編錄服務器盡管活動目錄支持多主機復制模式，但由于復制會引起通信流量以及網絡潛在的沖突，變化的傳播并不一定能夠順利進行，因此有必要在域控制器中指定全局編錄服務器及操作主機。全局編錄是一個信息倉庫，包含活動目錄中所有對象的部分屬性查詢過程中訪問最頻繁的屬性。利用這些信息，可以定位任何一個對象實際所在的位置。全局編錄服務器是一個域控制器，它保存了全局編錄的一個副本，并執(zhí)行對全局編錄的查詢操作。全局編錄服務器可以提高活動目錄中大范圍內檢索對象的效率。例如，在域林中查詢所有的打印機操作時，如果沒有全局編錄服務器，那么必須調動域林中每一個域的查詢過程。如果域中只有一個域控制器，那么它就是全局編錄服務器；如果域林中有多個域控制器，那么管理員必須把其中一個域控制器配置為全局編錄服務器。四、工作組模式與域模式企業(yè)網絡中，計算機管理模式有兩種，即工作組模式與域模式，它們的區(qū)別與聯系如下所述。(一)工作組模式工作組(workgroup)是最常見、最簡單、最普通的資源管理模式，就是將不同的計算機按功能分別列入不同的組中，以方便管理。工作組中的每臺計算機的地位都是平等的。將計算機加入工作組的方法很簡單，以Windows10為例，在桌面上選擇“此電腦”圖標并單擊鼠標右鍵，在彈出的快捷菜單中選擇“屬性”命令，在“計算機名、域和工作組設置”選項組中，點擊“更改設置”鏈接，隨后彈出“系統(tǒng)屬性”對話框，在“系統(tǒng)屬性”對話框中點擊“更改”按鈕，隨后彈出“計算機名/域更改”對話框，點擊“工作組”單選按鈕，輸入要加入的工作組名稱，如圖3-1所示，點擊“確定”按鈕，按要求重新啟動計算機后，計算機即被加入工作組。(二)域模式域是安全邊界的界定，用于劃分一個相互信任的區(qū)域。在域模式下，至少有一臺服務器負責接入網絡的每一臺計算機和每一個用戶的驗證工作，這臺服務器被稱為域控制器。域控制器上存儲了有關網絡對象的信息，這些對象包括用戶、用戶組、計算機、域、組織單位、文件、打印機、應用程序、服務器及安全策略等，這些信息由域控制器統(tǒng)一集中管理。當計算機接入網絡時，域控制器首先要驗證這臺計算機是否屬于這個域、用戶使用的登錄賬號是否存在及密碼是否匹配。如果以上信息有一項不正確，則域控制器會拒絕這個用戶從這臺計算機登錄。如果不能登錄，則用戶不能訪問服務器上有權限保護的資源，這樣就在一定程度上保護了網絡中的資源。如果用戶能夠成功登錄域，則域控制器會將配置好的權限授予用戶，用戶可以在合法權限范圍內訪問域內的資源。在工作組模式下，計算機處于獨立狀態(tài)，登錄用戶賬號和管理計算機均須在每臺計算機上進行，當計算機超過20臺時，對其的管理將變得困難，并且需要為用戶創(chuàng)建更多的訪問網絡資源的賬號，用戶要記住多個訪問不同資源的賬號。而在域模式下，用戶只需記住一個域賬號，即可登錄并訪問域中的資源。此外，管理員通過組策略可以輕松配置用戶的桌面工作環(huán)境和加強計算機的安全設置，域模式下所有的域賬號信息都保存在域控制器的活動目錄數據庫中?；顒幽夸泤f(xié)助中大型組織為用戶提供可靠的工作環(huán)境和最高層的可靠性和效能，并提供安全的環(huán)境讓IT人員可以更容易工作。使用活動目錄是因為有許多應用程序和服務使用不同的用戶名和密碼，并且還要由每個應用程序來單獨管理。例如，在Windows中，網絡、郵箱、遠程訪問、業(yè)務系統(tǒng)等都有自己的用戶名和密碼。使用活動目錄之后，系統(tǒng)管理員可以將用戶加入活動目錄域，使用同一目錄進行單點登錄。一旦用戶登錄Windows，其域的用戶名和密碼就是鑰匙，可自動解鎖所有已啟用的應用程序或服務，包括Windows融合式驗證的第三方應用程序。通過建立用戶賬號、郵箱和應用程序之間的鏈接，活動目錄簡化了新增、修改和刪除用戶賬號的工作。當員工離職或信息發(fā)生改變時，在活動目錄中做一次變更即可變更所有應用程序和服務的相關信息；當用戶在活動目錄中變更其密碼時，不必記住其他應用程序的不同密碼；當建立用戶群組后，用戶發(fā)送電子郵件給該組即可將電子郵件傳送到該組中所有的用戶；系統(tǒng)管理員根據所創(chuàng)建的組名設置不同的權限，允許對資源的安全存取?；顒幽夸浗y(tǒng)一管理帶來的好處還體現在以下幾方面。(1)提高員工工作效率，增加產能。IT管理人員不需到每個客戶端上進行操作，用戶不用中斷工作。(2)減輕IT系統(tǒng)管理的負擔。IT管理人員不需要花費時間到每臺計算機上安裝軟件或更新軟件，可以使用組策略進行批量更新。(3)改善容量以便將停機概率降到最低，加強安全性管理；對密碼策略、軟件配置、安全設置進行統(tǒng)一管理，提高系統(tǒng)安全性。(三)工作組模式和域模式的對比工作組模式和域模式的對比，如表3-1所示。在安裝域服務器之前應該先進行規(guī)劃，明確IP地址的分配方案。例如，在此任務中，主域名為，IP地址為0，主機名為server0l。用于驗證的客戶機的IP地址為0，主機名為win10。一、活動目錄安裝先安裝WindowsServer2019服務器的活動目錄，再將其升級為域控制器并建立域，相關操作如下：(1)在桌面上選擇“此電腦”圖標并單擊鼠標右鍵，在彈出的快捷菜單中選擇“管理”命令，打開“服務器管理器”窗口，如圖3-2所示，在窗口右上角選擇“管理”“添加角色和功能”命令，然后打開“添加角色和功能向導”窗口，如圖3-3所示。(2)點擊“下一步”按鈕，進入“選擇安裝類型”界面，如圖3-4所示，點擊“基于角色或基于功能的安裝”選項按鈕，通過添加角色、角色服務或功能來配置單個服務器，單擊“下一步”按鈕，進入“選擇目標服務器”界面，如圖3-5所示。(3)點擊“從服務器池中選擇服務器”選項按鈕，在服務器池中選擇相應的服務器，點擊“下一步”按鈕，進入“選擇服務器角色”界面，如圖3-6所示，選擇需要安裝在所選服務器上的一個或多個角色，在“服務器角色”列表框中勾選“ActiveDirectory域服務”復選框。(4)點擊“下一步”按鈕，進入“選擇功能”界面，如圖3-7所示。繼續(xù)點擊“下一步”按鈕進入“ActiveDirectory域服務”界面，如圖3-8所示。(5)點擊“下一步”按鈕，進入“確認安裝所選內容”界面，如圖3-9所示，點擊“安裝”按鈕，進入“安裝進度”界面，如圖3-10所示。(6)安裝完成后，點擊“關閉”按鈕，返回“服務器管理器”窗口，進入“服務器管理器ADDS”界面，如圖3-11所示。選擇該界面右上角的“更多”選項，打開“所有服務器任務詳細信息”窗口，如圖3-12所示。(7)點擊“通知”列下的“將此服務器提升為域控制器”鏈接，打開“ActiveDirectory域服務配置向導”窗口，如圖3-13所示，在“部署配置”界面中，點擊“添加新林”選項按鈕，在“指定此操作的域信息”選項組中，設置“根域名”為，點擊“下一步”按鈕，進入“域控制器選項”界面，如圖3-14所示。(8)選擇新林和根域的功能級別。設置不同的域功能級別主要是為了兼容不同平臺的網絡用戶和子域控制器，在此只能設置為“WindowsServer2016”版本的域控制器。指定域控制器功能并輸入目錄服務還原模式密碼，點擊“下一步”按鈕，進入“DNS選項”界面，如圖3-15所示，點擊“下一步”按鈕，進入“其他選項”界面，如圖3-16所示。(9)在“其他選項”界面中，輸入NetBIOS域名，點擊“下一步”按鈕，進入“路徑”界面，如圖3-17所示，指定ADDS數據庫、日志文件和SYSVOL的位置，點擊“下一步”按鈕，進入“查看選項”界面，如圖3-18所示。(10)檢查設置的相關信息，點擊“下一步”按鈕，進入“先決條件檢查”界面，如圖3-19所示，查看相關結果，點擊“安裝”按鈕，完成ActiveDirectory域服務配置。二、驗證ADDS的安裝ADDS安裝完成后，可以在域控制器server01上進行以下幾個方面的驗證。(1)?WindowsServer2019服務器啟動時，可以看登錄界面的用戶名是否變?yōu)锳BC\Administrator，如圖3-20所示。(2)進入操作系統(tǒng)桌面，在“開始”菜單中選擇“Windows管理工具”命令，可以查看“ActiveDirectory管理中心”“ActiveDirectory用戶和計算機”“ActiveDirectory域和信任關系”“ActiveDirectory站點和服務”，如圖3-21所示。(3)在操作系統(tǒng)桌面上選擇“此電腦”圖標并單擊鼠標右鍵，在彈出的快捷菜單中選擇“屬性”命令，打開“系統(tǒng)”窗口，在“計算機名、域和工作組設置”選項中，可以看到計算機全名為server01.abc.oom、域為abc.oom如圖3-22所示。(4)在操作系統(tǒng)桌面上選擇“此電腦”圖標并單擊鼠標右鍵，在彈出的快速菜單中選擇“管理”命令，打開“服務器管理器”窗口，選擇“ADDS”選項，可以查看服務器管理器ADDS的相關信息，如圖3-23所示。三、將客戶端加入活動目錄當網絡中的第一臺域控制器創(chuàng)建完成后，對應服務器將扮演域控制器的角色，而其他主機需要加入活動目錄作為域內成員接受域控制器的集中管理。將客戶端加入活動目錄可以通過在客戶端上手動配置或者使用腳本文件來完成。為了便于活動目錄對客戶端進行統(tǒng)一管理，需要配置客戶端處于域模式下。下面以Windows10客戶端(0/24)加入域(0/24)為例開始實施過程。(1)配置Windows10客戶端的IP地址、子網掩碼、網關地址、DNS服務器的IP地址等相關信息，如圖3-24所示，測試客戶端與域控制器的連通性，如圖3-25所示。(2)將客戶端(WIN10-user01)加入域中。在客戶端桌面上選擇“此電腦”圖標并單擊鼠標右鍵，在彈出的快捷菜單中選擇“屬性”命令，點擊“重命名這臺電腦”鏈接，彈出“計算機名/域更改”對話框，在“隸屬于”選項組中，輸入該客戶端所要加入的域名()，如圖3-26所示。(3)點擊“確定”按鈕，彈出“Windows安全中心”對話框，如圖3-27所示，輸入有權限加入該域的用戶名稱和密碼(WindowsServer2019域的用戶和密碼)，點擊“確定”按鈕，彈出“