先做DC目录域（目录的域怎么弄）

克隆服务器

使用VMware创建多个虚拟机

克隆速度更快。但是，如果您使用一台Windows 服务器克隆多台Windows 服务器，则必须重置SID 号。否则，SID 将影响您的域设置。

重置SID

创建一个新的Windows服务器作为模板机，并在安装系统后重置其SID。

cmd – whoami /all |more # 显示系统SID

cmd-sysprep

关机后，以后不要将本机作为模板机进行克隆。

您必须重置管理员密码才能打开虚拟机

（四）服务器DCServerSDCServer 上的工作任务

！！！先做DC活动目录域

1、DCServer上的工作任务

在DCServer 和SDCServer 服务器上安装Active Directory 域服务，并将其操作系统升级为域控制器。可以使用Active Directory域名，使用[用户名]@csk.cn登录。将OU 命名为“CSK”并创建以下域用户和组。 sa01-sa20，请将此用户添加到销售用户组，ma01-ma10，请将此用户添加到经理用户组。隐藏除经理组之外的所有用户。 C盘。 cmd 不适用于除Managers 组之外的所有常规用户。为销售组用户启用桌面复制。用户成功登录后，对桌面环境所做的更改会在注销后自动恢复。防止Ctrl + Alt + Del 调用任务管理器。允许可移动磁盘。如果站点A 和站点B 存在于Intranet 上，则域中的所有计算机（DC 除外）将不再能够使用缓存的登录名。 Insidecli访问优先通过站点A，外网客户端通过VPN访问内网，优先定向到站点B。

0、基础配置

关闭防火墙并将其设置为从不休眠。否则，屏幕将始终黑屏，并且您每次都必须输入用户密码。

Win+R，防火墙.cpl

网卡配置

Win + R，ncpa.cpl

1、活动目录域服务

PS C:\\用户\\管理员获取-ADDomainController

PS C:\\用户\\管理员系统信息

一、创建UPN后缀（登录域名）

二、创建组织单元，批量建立域用户并加入组

Win + R，dsa.msc

创建命令行

#创建组织单位

dsadd ou ou=CSK, dc=chinaskills, dc=com

创建图形界面

我们将详细讲解第一种创建用户写作的方式，如何自己使用。

#sa创建用户

for /l %a in (1,1,9) do net user sa0%a ChinaSkill@ /add

for /l %a in (10,1,20) do net user sa%a ChinaSkill@ /add

for /l %a in (1,1,9) 集团净销售额sa0%a /add

for /l %a in (10,1,20) 集团净销售额sa%a /add

创建用户

for /l %a in (1,1,9) do net user ma0%a ChinaSkill@ /add

网络用户ma10 ChinaSkill@ /add

for /l %a in (1,1,9) do net group manager ma0%a /add

网络组管理器ma10 /add

# 为了更好地针对不同组实施组策略，在CSK下创建两个OU（Managers、Sales），并将用户和组添加到对应的OU中。

dsadd ou ou=经理， ou=CSK, dc=chinaskills, dc=com

dsadd ou ou=销售，ou=CSK,dc=chinaskills,dc=com

创建用户帖子、快速评分并一步到位的第二种方法

# 批量创建域用户并加入对应的域组

C:\\Users\\Administratorfor /l %a in (1,1,9) do dsadd user \’cn=sa0%a,ou=sales,ou=CSK,dc=chinaskills,dc=com\’ -pwd ChinaSkill@ -memberof \’ cn=销售，ou=销售，ou=CSK,dc=chinaskills,dc=com\’ -upn sa0%a@csk.cn

C:\\Users\\Administratorfor /l %a in (10,1,20) do dsadd user \’cn=sa%a,ou=sales,ou=CSK,dc=chinaskills,dc=com\’ -pwd ChinaSkill@ -memberof \’ cn=销售，ou=销售，ou=CSK,dc=chinaskills,dc=com\’ -upn sa%a@csk.cn

C:\\Users\\Administratorfor /l %a in (1,1,9) do dsadd user \’cn=ma0%a,ou=manager,ou=CSK,dc=chinaskills,dc=com\’ -pwd ChinaSkill@ -memberof \’ cn=经理，ou=经理，ou=CSK,dc=chinaskills,dc=com\’ -upn ma0%a@csk.cn

C:\\Users\\Administratordsadd 用户\’cn=ma10,ou=manager,ou=CSK,dc=chinaskills,dc=com\’ -pwd ChinaSkill@ -memberof \’cn=manager,ou=manager,ou=CSK,dc=chinaskills, dc=com\’-upn ma10@csk.cn

三、除 manager 组以外的所有用户隐藏 C 盘

cmd – gpmc.msc # 打开组策略

记住路径：用户配置- 策略- 管理模板- Windows 组件- 文件资源管理器- 在我的电脑中隐藏这些指定的驱动器。

四、除manager组以外的所有普通用户禁用cmd

记住路径：用户配置- 策略- 管理模板- 系统- 阻止访问命令提示符。

五、为sales组启用桌面副本，退出不保存

记住路径：“用户配置- 策略- 管理模板- 桌面- 退出时不保存”。

六、禁止调用任务管理器

请注意，这是在默认域策略中。

记住路径：用户配置- 策略- 管理模板- 系统- Ctrl+Alt+Del 选项- 删除任务管理器。

七、禁止更改主题

请注意，这是在默认域策略中。

记住路径：用户配置- 策略- 管理模板- 控制面板- 个性化- 阻止主题更改。

测试InsideCli 客户端

八、禁止可移动磁盘的执行权限

记住路径：计算机配置- 策略- 管理模板- 系统- 可移动存储访问- 执行可移动磁盘的权限被拒绝。

九、禁止使用缓存登录

记住路径：计算机配置- 策略- Windows 设置- 安全设置- 本地策略- 安全选项- 交互式登录：要缓存的先前登录次数。

DCServer服务器配置

胜利+R

C:\\用户\\管理员gpupdate /force

政策更新中.

计算机策略更新成功完成。

用户策略更新成功完成。

测试InsideCli 客户端

十、搭建AD域站点服务

内网有站点Site A和Site B，InsideCli访问内网优先访问Site A，外网客户端通过VPN访问内网优先访问Site A。配置AD域站点服务。站点-B。

2、证书颁发机构

在DCServer 服务器上安装证书颁发机构。名称：定义CSK2022-ROOTCA。为chinaskills.com域内的网站颁发网络证书。域内的计算机自动颁发计算机证书。

一、安装及创建根证书

Win + R，certlm.msc

Win + R，gpmc.msc

二、为chinaskills.com域内的web站点颁发web证书

首先，在AppSrv上安装IIS服务。

颁发VPN证书

颁发证书模板

三、当前拓扑内的所有机器必须信任该证书颁发机构

加入该域的所有主机都将信任该证书颁发机构。请直接检查。

胜利+R mmc

四、为域内计算机自动颁发一张计算机证书

Win + R，certsrv.msc

这四个授予了所有权限，所以你不会一一看到它们。

添加另一个Everyone用户并授予完全权限

如果域内的计算机没有自动颁发计算机证书，请检查routersrv的路由转发功能是否打开。选中后，gpupdate 会使策略更新变得困难并且需要重新启动。

win + r certsrv.msc

4、DNS

拓扑中所有主机的DNS 查询请求必须由IspSrv 解析。配置DNS 安全策略，将DNS 查询请求限制为每秒仅10 个查询。

反向解析区域是在加入域时生成的，必须手动创建。

一、添加必要的正反向解析区域

创建逆分析区域和图形界面

创建命令行

#创建逆向分析文件

dnscmd /zoneadd 0.168.192.in-addr.arpa /primary /file 0.168.192.in-addr.arpa

dnscmd /zoneadd 100.168.192.in-addr.arpa /primary /文件100.168.192.in-addr.arpa

dnscmd /zoneadd 200.168.192.in-addr.arpa /primary /文件200.168.192.in-addr.arap

正向分析和图形界面的创建

创建命令行

#创建前向分析

dnscmd /recordadd chinaskills.com routersrv /createptr A 192.168.0.254

dnscmd /recordadd chinaskills.com routersrv /createptr A 192.168.200.254

dnscmd /recordadd chinaskills.com routersrv /createptr A 100.100.100.251

正演分析的最终结果

对于后向分析的其余部分，只需更新前向分析的PTR（如果已选中，则取消选中并再次选中）。

最终结果反演分析

二、配置所有DNS查询请求由ispsrv解析

在ispsrv中配置DNS解析ispsrv.chinaskills.global。首先，安装正向和反向DNS配置Ispsrv.chinaskills.global。

配置ispsrvDNS 服务器

删除原来的

测试

三、DNS安全策略

将DNS 查询请求限制为每秒10 次查询

设置-DnsServerResponseRateLimiting-ResponsesPerSec 10

确认

这会更新服务器DCSERVER 的RRL 设置。我应该继续吗？

[Y] 是(Y) [N] 否(N) [S] 暂停(S) [?] 帮助（默认为“Y”） :

PS C:\\Users\\Administrator Get-DnsServerResponseRateLimiting

ResponsesPerSec : 10 更改为限制每秒10 个查询请求

每秒错误数： 5

窗昆虫： 5

IPv4 前缀长度： 24

IPv6 前缀长度： 56

泄漏率： 3

截断率： 2

每个窗口的最大响应数： 1024

模式： 禁用

3、NPS

在DCServer 上安装网络策略服务作为VPN 用户的登录验证。仅允许L2TP/IPSEC VPN 用于VPN 连接的访问验证。认证和授权日志保存在DCServer的“C:\\NPS\\”目录中。

一、安装NPS(网络策略服务)

二、新建RADIUS客户端

三、新建连接请求策略

L2TPVPN

L2TP VPN

L2TP-VPN验证

四、新建网络策略

L2TP VPN

L2TP VPN

五、认证、授权日志

一旦日志达到10M，就会以分片的形式存储。

2、SDCServer上的工作任务

0、基础配置

关闭防火墙并将其设置为从不休眠。否则，屏幕将始终黑屏，并且您每次都必须输入用户密码。

Win+R，防火墙.cpl

网卡配置

Win + R，ncpa.cpl

1、备份域控制器

在DCServer 和SDCServer 服务器上安装Active Directory 域服务，并将其操作系统升级为备份域控制器。 Active Directory 域名为chinaskills.com。

一、首先先加入活动目录域

首先，当您ping 主域控制器(DC) 时，您的DNS 会指向它。

加入域

Win + R，sysdm.cpl

关闭-r -t 0

二、安装活动目录域服务

三、提升为备份域控制器

5、磁盘管理

在SDCServer上安装并配置软件RAID5。在已安装的SDCServer虚拟机中添加3个10G虚拟磁盘，并将磁盘分区命名为Volume H Drive : Raid5。通过禁用RAID5 写入缓存、手动测试和销毁磁盘以及运行RAID 磁盘修复来验证RAID5 是否已配置。

一、添加磁盘

二、初始化磁盘

三、组成软Raid5

四、禁止Raid5的写入缓存

五、模拟Raid5磁盘修复

模拟磁盘修复： 使RAID5 磁盘脱机，使其联机，然后重新激活该磁盘

6、虚拟内存

将SDCServer的初始虚拟内存大小设置为600MB，最大大小设置为1200MB。

Win + R，sysdm.cpl

无需重启，解决截图

7、AD域备份

配置AD域备份，并将备份文件保存到C:\\。

一、创建快照

二、设置备份目录

上面创建您的第一个#DC目录域的相关内容来源网络仅供您参考。相关信息请参见官方公告。