克隆服务器
使用VMware创建多个虚拟机
克隆速度更快。但是,如果您使用一台Windows 服务器克隆多台Windows 服务器,则必须重置SID 号。否则,SID 将影响您的域设置。
重置SID
创建一个新的Windows服务器作为模板机,并在安装系统后重置其SID。
cmd – whoami /all |more # 显示系统SID
cmd-sysprep
关机后,以后不要将本机作为模板机进行克隆。
您必须重置管理员密码才能打开虚拟机
(四)服务器DCServerSDCServer 上的工作任务
!!!先做DC活动目录域
1、DCServer上的工作任务
在DCServer 和SDCServer 服务器上安装Active Directory 域服务,并将其操作系统升级为域控制器。可以使用Active Directory域名,使用[用户名]@csk.cn登录。将OU 命名为“CSK”并创建以下域用户和组。 sa01-sa20,请将此用户添加到销售用户组,ma01-ma10,请将此用户添加到经理用户组。隐藏除经理组之外的所有用户。 C盘。 cmd 不适用于除Managers 组之外的所有常规用户。为销售组用户启用桌面复制。用户成功登录后,对桌面环境所做的更改会在注销后自动恢复。防止Ctrl + Alt + Del 调用任务管理器。允许可移动磁盘。如果站点A 和站点B 存在于Intranet 上,则域中的所有计算机(DC 除外)将不再能够使用缓存的登录名。 Insidecli访问优先通过站点A,外网客户端通过VPN访问内网,优先定向到站点B。
0、基础配置
关闭防火墙并将其设置为从不休眠。否则,屏幕将始终黑屏,并且您每次都必须输入用户密码。
Win+R,防火墙.cpl
网卡配置
Win + R,ncpa.cpl
1、活动目录域服务
PS C:\\用户\\管理员获取-ADDomainController
PS C:\\用户\\管理员系统信息
一、创建UPN后缀(登录域名)
二、创建组织单元,批量建立域用户并加入组
Win + R,dsa.msc
创建命令行
#创建组织单位
dsadd ou ou=CSK, dc=chinaskills, dc=com
创建图形界面
我们将详细讲解第一种创建用户写作的方式,如何自己使用。
#sa创建用户
for /l %a in (1,1,9) do net user sa0%a ChinaSkill@ /add
for /l %a in (10,1,20) do net user sa%a ChinaSkill@ /add
for /l %a in (1,1,9) 集团净销售额sa0%a /add
for /l %a in (10,1,20) 集团净销售额sa%a /add
创建用户
for /l %a in (1,1,9) do net user ma0%a ChinaSkill@ /add
网络用户ma10 ChinaSkill@ /add
for /l %a in (1,1,9) do net group manager ma0%a /add
网络组管理器ma10 /add
# 为了更好地针对不同组实施组策略,在CSK下创建两个OU(Managers、Sales),并将用户和组添加到对应的OU中。
dsadd ou ou=经理, ou=CSK, dc=chinaskills, dc=com
dsadd ou ou=销售,ou=CSK,dc=chinaskills,dc=com
创建用户帖子、快速评分并一步到位的第二种方法
# 批量创建域用户并加入对应的域组
C:\\Users\\Administratorfor /l %a in (1,1,9) do dsadd user \’cn=sa0%a,ou=sales,ou=CSK,dc=chinaskills,dc=com\’ -pwd ChinaSkill@ -memberof \’ cn=销售,ou=销售,ou=CSK,dc=chinaskills,dc=com\’ -upn sa0%a@csk.cn
C:\\Users\\Administratorfor /l %a in (10,1,20) do dsadd user \’cn=sa%a,ou=sales,ou=CSK,dc=chinaskills,dc=com\’ -pwd ChinaSkill@ -memberof \’ cn=销售,ou=销售,ou=CSK,dc=chinaskills,dc=com\’ -upn sa%a@csk.cn
C:\\Users\\Administratorfor /l %a in (1,1,9) do dsadd user \’cn=ma0%a,ou=manager,ou=CSK,dc=chinaskills,dc=com\’ -pwd ChinaSkill@ -memberof \’ cn=经理,ou=经理,ou=CSK,dc=chinaskills,dc=com\’ -upn ma0%a@csk.cn
C:\\Users\\Administratordsadd 用户\’cn=ma10,ou=manager,ou=CSK,dc=chinaskills,dc=com\’ -pwd ChinaSkill@ -memberof \’cn=manager,ou=manager,ou=CSK,dc=chinaskills, dc=com\’-upn ma10@csk.cn
三、除 manager 组以外的所有用户隐藏 C 盘
cmd – gpmc.msc # 打开组策略
记住路径:用户配置- 策略- 管理模板- Windows 组件- 文件资源管理器- 在我的电脑中隐藏这些指定的驱动器。
四、除manager组以外的所有普通用户禁用cmd
记住路径:用户配置- 策略- 管理模板- 系统- 阻止访问命令提示符。
五、为sales组启用桌面副本,退出不保存
记住路径:“用户配置- 策略- 管理模板- 桌面- 退出时不保存”。
六、禁止调用任务管理器
请注意,这是在默认域策略中。
记住路径:用户配置- 策略- 管理模板- 系统- Ctrl+Alt+Del 选项- 删除任务管理器。
七、禁止更改主题
请注意,这是在默认域策略中。
记住路径:用户配置- 策略- 管理模板- 控制面板- 个性化- 阻止主题更改。
测试InsideCli 客户端
八、禁止可移动磁盘的执行权限
记住路径:计算机配置- 策略- 管理模板- 系统- 可移动存储访问- 执行可移动磁盘的权限被拒绝。
九、禁止使用缓存登录
记住路径:计算机配置- 策略- Windows 设置- 安全设置- 本地策略- 安全选项- 交互式登录:要缓存的先前登录次数。
DCServer服务器配置
胜利+R
C:\\用户\\管理员gpupdate /force
政策更新中.
计算机策略更新成功完成。
用户策略更新成功完成。
测试InsideCli 客户端
十、搭建AD域站点服务
内网有站点Site A和Site B,InsideCli访问内网优先访问Site A,外网客户端通过VPN访问内网优先访问Site A。配置AD域站点服务。站点-B。
2、证书颁发机构
在DCServer 服务器上安装证书颁发机构。名称:定义CSK2022-ROOTCA。为chinaskills.com域内的网站颁发网络证书。域内的计算机自动颁发计算机证书。
一、安装及创建根证书
Win + R,certlm.msc
Win + R,gpmc.msc
二、为chinaskills.com域内的web站点颁发web证书
首先,在AppSrv上安装IIS服务。
颁发VPN证书
颁发证书模板
三、当前拓扑内的所有机器必须信任该证书颁发机构
加入该域的所有主机都将信任该证书颁发机构。请直接检查。
胜利+R mmc
四、为域内计算机自动颁发一张计算机证书
Win + R,certsrv.msc
这四个授予了所有权限,所以你不会一一看到它们。
添加另一个Everyone用户并授予完全权限
如果域内的计算机没有自动颁发计算机证书,请检查routersrv的路由转发功能是否打开。选中后,gpupdate 会使策略更新变得困难并且需要重新启动。
win + r certsrv.msc
4、DNS
拓扑中所有主机的DNS 查询请求必须由IspSrv 解析。配置DNS 安全策略,将DNS 查询请求限制为每秒仅10 个查询。
反向解析区域是在加入域时生成的,必须手动创建。
一、添加必要的正反向解析区域
创建逆分析区域和图形界面
创建命令行
#创建逆向分析文件
dnscmd /zoneadd 0.168.192.in-addr.arpa /primary /file 0.168.192.in-addr.arpa
dnscmd /zoneadd 100.168.192.in-addr.arpa /primary /文件100.168.192.in-addr.arpa
dnscmd /zoneadd 200.168.192.in-addr.arpa /primary /文件200.168.192.in-addr.arap
正向分析和图形界面的创建
创建命令行
#创建前向分析
dnscmd /recordadd chinaskills.com routersrv /createptr A 192.168.0.254
dnscmd /recordadd chinaskills.com routersrv /createptr A 192.168.200.254
dnscmd /recordadd chinaskills.com routersrv /createptr A 100.100.100.251
正演分析的最终结果
对于后向分析的其余部分,只需更新前向分析的PTR(如果已选中,则取消选中并再次选中)。
最终结果反演分析
二、配置所有DNS查询请求由ispsrv解析
在ispsrv中配置DNS解析ispsrv.chinaskills.global。首先,安装正向和反向DNS配置Ispsrv.chinaskills.global。
配置ispsrvDNS 服务器
删除原来的
测试
三、DNS安全策略
将DNS 查询请求限制为每秒10 次查询
设置-DnsServerResponseRateLimiting-ResponsesPerSec 10
确认
这会更新服务器DCSERVER 的RRL 设置。我应该继续吗?
[Y] 是(Y) [N] 否(N) [S] 暂停(S) [?] 帮助(默认为“Y”) :
PS C:\\Users\\Administrator Get-DnsServerResponseRateLimiting
ResponsesPerSec : 10 更改为限制每秒10 个查询请求
每秒错误数: 5
窗昆虫: 5
IPv4 前缀长度: 24
IPv6 前缀长度: 56
泄漏率: 3
截断率: 2
每个窗口的最大响应数: 1024
模式: 禁用
3、NPS
在DCServer 上安装网络策略服务作为VPN 用户的登录验证。仅允许L2TP/IPSEC VPN 用于VPN 连接的访问验证。认证和授权日志保存在DCServer的“C:\\NPS\\”目录中。
一、安装NPS(网络策略服务)
二、新建RADIUS客户端
三、新建连接请求策略
L2TPVPN
L2TP VPN
L2TP-VPN验证
四、新建网络策略
L2TP VPN
L2TP VPN
五、认证、授权日志
一旦日志达到10M,就会以分片的形式存储。
2、SDCServer上的工作任务
0、基础配置
关闭防火墙并将其设置为从不休眠。否则,屏幕将始终黑屏,并且您每次都必须输入用户密码。
Win+R,防火墙.cpl
网卡配置
Win + R,ncpa.cpl
1、备份域控制器
在DCServer 和SDCServer 服务器上安装Active Directory 域服务,并将其操作系统升级为备份域控制器。 Active Directory 域名为chinaskills.com。
一、首先先加入活动目录域
首先,当您ping 主域控制器(DC) 时,您的DNS 会指向它。
加入域
Win + R,sysdm.cpl
关闭-r -t 0
二、安装活动目录域服务
三、提升为备份域控制器
5、磁盘管理
在SDCServer上安装并配置软件RAID5。在已安装的SDCServer虚拟机中添加3个10G虚拟磁盘,并将磁盘分区命名为Volume H Drive : Raid5。通过禁用RAID5 写入缓存、手动测试和销毁磁盘以及运行RAID 磁盘修复来验证RAID5 是否已配置。
一、添加磁盘
二、初始化磁盘
三、组成软Raid5
四、禁止Raid5的写入缓存
五、模拟Raid5磁盘修复
模拟磁盘修复: 使RAID5 磁盘脱机,使其联机,然后重新激活该磁盘
6、虚拟内存
将SDCServer的初始虚拟内存大小设置为600MB,最大大小设置为1200MB。
Win + R,sysdm.cpl
无需重启,解决截图
7、AD域备份
配置AD域备份,并将备份文件保存到C:\\。
一、创建快照
二、设置备份目录
上面创建您的第一个#DC目录域的相关内容来源网络仅供您参考。相关信息请参见官方公告。
原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/92998.html