Windows Server 2003实验指导书2008-2009-1

高等职业教育计算机类实验指导书

（适用于计算机网络技术专业07级）

《网络操作系统》实验指导书（Windows Server 2003）

班级：__________________

姓名：__________________

学号：__________________

济南铁道职业技术学院信息工程系网络教研室

2008年7月

目录

前言 (1)

实验一 Windows Server 2003的安装 (2)

实验二 DHCP服务器的配置 (5)

实验三 DNS服务器的基本配置 (8)

实验四委派的实现和服务器的管理 (11)

实验五活动目录服务 (12)

实验六组策略 (15)

实验七文件服务与资源共享 (21)

实验八使用NTFS文件系统管理资源 (24)

实验九数据备份和还原、DFS文件系统 (27)

实验十打印服务 (29)

实验十一远程管理和远程协助 (31)

实验十二存储管理 (35)

实验十三 Web服务的建立与管理 (42)

实验十四 FTP服务 (45)

实验十五邮件服务的实现 (49)

实验十六视频服务 (54)

实验十七电子证书服务 (60)

实验十八软路由的实现 (63)

实验十九 VPN服务 (67)

实验二十实现网络互联 (69)

实验二十一注册表、服务器的性能监视和优化 (72)

附录1：五个虚拟机的实验环境 (76)

附录2：借助TCP/IP工具诊断网络故障 (79)

附录3：Web站点的SSL连接 (86)

附录4：签名电子邮件 (94)

前言

《计算机网络操作系统》课程是计算机网络技术专业学生的必修课，该课程系统地讲授微软公司的Windows 系列产品——Windows Server 2003操作系统管理和网络服务方面的知识。主要有Windows Server 2003的简介和安装、用户和组、NTFS文件系统、共享文件夹、注册表、活动目录、磁盘限额、终端服务、DNS、DHCP、WEB、FTP、远程访问、VPN、路由、NAT、电子邮件服务、视频服务、即时信息服务等技术。

该课程要求学生不仅要具备一定的理论知识，还要求学生有较强的动手能力。综合考虑各种因素，特编制《网络操作系统实验指导书》。

为了加强对理论知识的理解，锻炼学生的实际动手操作能力，巩固学生所学的专业知识，特开设了与理论课程相同步的实验课程。这门课共开设了二十一个实验，两个综合实验。为更好的做好实验，掌握所学的知识，在实验时要求学生从以下几个方面严格要求自己：

（1）在上机实验之前认真阅读相关的实验内容，查阅相关资料为实验做好准备，努力做到不打无准备之仗。

（2）在上机实验过程中，严格要求自己，努力在规定时间内做完实验内容。努力做到不聊天、不玩游戏等与课程内容无关的事情。

（3）同学们在使用过程中应该理论联系实际，注重上机操作，在实践过程中掌握Windows Server 2003的特点和各种网络服务的工作原理，并能熟练的操作

Windows Server 2003操作系统和配置各种服务。进一步加强理解能力和动手能

力，增强主动性。

（4）在上机实验之后，按照机房的要求放好各个设备，课后认真完成实验报告，总结自己的收获与存在的问题，找到解决问题的方法。使自己所学的知识整体化、理

论化、系统化。

鉴于时间仓促及编者水平有限，在这本实验指导书的编写过程中，难免存在一些问题，如果您有什么好的建议或意见请与我联系，联系方式为：darlene119@fb7c0a1f5f0e7cd184253670。

1

实验一 Windows Server 2003的安装

【实验目的】

掌握Windows Server 2003的安装过程及相关知识；掌握系统的安全维护；掌握MMC控制台的使用

【实验内容】

1、练习使用VMware虚拟机

2、安装Windows Server 2003，并掌握相关知识

3、构造安全的系统

4、练习MMC控制台的使用

【相关知识】

1、CAL：Client Access License 客户端访问许可证。

NTFS：New Technology File System 新技术文件系统

2、Windows Server 2003授权模式：

A、每用户或每设备模式：

定义：对于访问或使用您的任何一个服务器上的服务器软件的每一个用户或设备，都要求有一个独立的 Windows CAL（任一类型）；所需的 Windows CAL 数量与访问服务器软件的用户或设备的数量相

将是永久性的。

在分布式计算环境中，组织内有多个

服务器为多数设备或用户提供服务，因而

“每用户/每设备”模式往往是最划算的

指定方式。

B、每服务器模式：

定义：对于访问或使用您的任何一个

服务器上的服务器软件的每一个用户或设

备，都要求有一个独立的 Windows CAL（任一类型）；所需的 Windows CAL 数量等于可以同时访问或使用安装在某一特定服务器上的服务器软件的用户或设备的最大数量。您获取的 Windows CAL 被指定为专用于某一特定的服务器；如果您选择了此授权模式，您有权转换为另一授权模式 - 每用户/每设备模式，但此权利是一次性的。

在只有少量服务器而且服务器的访问需求有限的计算环境中，每服务器模式往往是最划算的Windows CAL 指定方式。

【实验步骤】

一、认识VMware虚拟机

1、在桌面上有一个名为VMware的图标，双击打开

2、创建虚拟机分区

选择“新建虚拟机”，将虚拟机创建在剩余空间较大的本地磁盘上（一定要看清虚拟机创建的位置），划分大约3G的空间

3、设置虚拟机使用光驱或镜像文件

2

在VMware虚拟机的菜单栏中，选择“虚拟机”—“外设”—“编辑”，然后添加镜像文件，选中该对话框上方的“连接”

4、设置虚拟机光盘启动：在启动虚拟机的过程中，设置BIOS

二、安装设置Windows Server 2003

（一）安装Windows Server 2003

1. 设置BIOS，从光驱引导启动。光盘放入光驱，自动读盘，选择第一项“安装Windows Server 2003，Enterprise Bdition”，弹出加载安装文件界面

2. 出现安装程序欢迎对话窗，直接按Enter，安装Windows：

3. 出现Windows的安装授权协议，按F8，选择同意

4. 选择安装的逻辑磁盘和空间，按Enter，继续安装：

5. 如果没有格式化，会弹出要格式化的窗口，选择文件系统，按Enter，继续安装，并出现格式化进度窗口

6. 格式化后，系统自动创建安装目录，然后开始复制文件

7. 文件复制完成后，进行系统初始化配置，然后自动重启系统

8．Windows启动后，开始安装Windows

9. 区域和语言选择，点击“下一步”

10.输入安装人员的姓名和公司名称，点击“下一步”

11.输入产品密钥

12.选择你要的授权模式，如果目前还不确定该选择哪种模式，则选择“每服务器”模式，点击“下一步”

13.输入计算机名称和系统管理员密码，点击“下一步”：

14.设置系统的日期和时间，点击“下一步”：

15.安装Windows的一些服务组件：

16.网络设置，一般是默认的“典型设置”，点击“下一步”：

17.选择是域还是工作组（本实验选择工作组），点击“下一步”：

18.继续安装，安装完毕，自动重新启动Windows

（二）安装驱动程序

先装主板驱动，再装显卡驱动，然后装其他驱动程序

（三）配置TCP/IP协议

设置TCP/IP属性，使之能够登陆网络

三、构造安全的系统

1、Windows Server 2003自动更新的设置与实现

右击“我的电脑”－“属性”－“自动更新”选项卡，选择“保存我的计算机更新”，并在“设置”中选择一种设置方式。

2、手动更新系统补丁

即时更新系统补丁可以使自己的计算机处于安全的状态，御坊黑客和病毒的入侵，可以到微软的官方网站中下载，也可以使用漏洞扫描工具自动下载和安装。

3、安装Windows Server 2003 Servies Pack 1

4、安装杀毒软件及其他常用应用软件

四、Windows Server 2003的控制台

在“运行”对话框中输入“MMC”，即可运行控制台，可以在此添加管理单元

3

【思考题】

1、Windows 2000 Server的四个版本是什么？Windows Server 2003的四个版本是什么？

2、如何保证系统的安全性？

3、如何做双系统？

4、安装Windows Server 2003时，最好选择哪个文件系统格式化硬盘？为什么？

5、Windwos95或98能否识别NTFS文件系统？Windows XP能否识别NTFS文件系统？

6、“每客户”和“每服务器”有什么区别？

7、在安装操作系统的过程中，若暂时无法确定所需要的许可证模式（授权模式），则应选择哪种模式？为什么？

【实验感想及遇到的问题】

4

实验二 DHCP服务器的配置

【实验目的】

1.了解DHCP的作用和工作方式

2.学会用DHCP服务来管理与分配客户端的IP地址及环境配置的工作

【实验内容】

1.授权本地为DHCP服务器

2.配置DHCP服务器

3.配置自动获得DNS服务器地址与保留IP地址

4.配置DHCP客户端

【实验步骤】

１、安装DHCP服务

通过“添加/删除程序”安装，在“添加/删除Windows组件”中选择“网络服务”→“详细信息”，然后选择“动态主机配置协议（DHCP）”，单击“确定”。

2、授权DHCP服务

说明：独立的服务器不需要授权；但域中的DHCP服务器则必须授权才能正常工作

(1)通过“管理工具”打开“DHCP”。

(2)在菜单栏中选择“操作”→“管理授权的服务器”。

(3)单击“授权”。

(4)输入要授权的服务器的IP地址或主机名称。

说明：通过对DHCP服务器进行授权可避免服务器分配非法IP地址造成的IP地址冲突。

3、配置DHCP服务器

说明：DHCP服务器要使用静态IP地址

（1）创建并配置地址域

作用域：可以分配给客户机的一组合法的IP地址。

管理工具――DHCP，打开DHCP服务――右击DHCP服务器，选择“新建作用域”，启动新建作用域向导。

要求如下：

（a）作用域的名称为：192.168.学号.子网

（b）地址池为：192.168.学号.1—192.168.学号.200

（c）其中IP地址192.168.学号.20—192.168.学号.50不可用

（d）设置IP地址租约为10天

（2）激活作用域

作用域创建后，需要“激活”作用域才能发挥作用。

选中新创建的作用域，单击右键，选择“激活”。

（3）设置作用域的选项

在为DHCP客户机提供租用IP地址的同时还可以为DHCP客户机提供DNS服务器的IP地址等选项。DHCP提供的主要选项包括：

●003：路由器的IP地址

●006：DNS服务器的IP地址

5

●015：DNS域名

●044：WINS服务器的IP地址

●046：NetBIOS名称解析

本例以006：DNS服务器IP地址为例对作用域的选项进行说明。

展开DHCP服务器作用域，选中“作用域选项”→右击“配置选项”，出现作用域选项对话框。选中“006 DNS服务器”后，输入DNS服务器的IP地址：192.168.0.2。单击“确定”。

以此方法配置DNS域名、WINS服务器（IP地址：192.168.0.1）等作用域选项。

（4）添加保留地址

在“保留”上右击→“新建保留”，输入“保留名称”、“IP地址”、“MAC地址”等，然后单击“添加”。（保留地址为：192.168.学号.100）

注：查看本机MAC地址的命令为：ipconfig\all

查看相邻计算机MAC地址的命令为：‖arp –a IP地址‖或‖nbtstat –a IP地址‖

4、配置客户端计算机的TCP/IP协议

（1）配置客户端

打开TCP/IP属性对话框，将IP地址的获取方式改为“自动获得IP地址”。

“自动获得DNS服务器地址”可以根据情况决定是否配置。

（2）查看获得的IP地址

进入命令提示符状态，使用Ipconfig查看获得的IP地址

5、理解服务器选项、作用域选项、客户选项（保留）和类别选项，它们的作用范围分别是______________、_______________、________________、___________________。

6、配置DHCP的类别选项

7、作用域协调

8、创建超级作用域和多播地址作用域

注意：多播作用域的IP地址范围只能在224.0.0.0到239.255.255.255之间

9、DHCP服务器的维护

●备份DHCP数据库

●恢复DHCP数据库

若DHCP服务器遭到损坏，可以备份的数据库进行恢复。操作如下：

停止DHCP服务

在%Systemroot%\system32\dhcp（数据库文件的路径）目录下，删除J50.log, j50xxxxx.log和dhcp.tmp文件

拷贝备份的dhcp.mdb到%Systemroot%\system32\dhcp目录下

重新启动DHCP服务

说明：数据库的默认备份在%Systemroot%\system32\dhcp\backup\new目录下

●数据库的重整（目的：提高DHCP服务器的运行效率）

在命令提示符下进行如下操作

CD\windows\system32\dhcp

net stop dhcpserver

jetpack dhcp.mdb temp.mdb

net start dhcpserver

10、设定跨网段的DHCP中继代理

6

【思考题】

1、IP地址的获得方式有哪几种？

2、配置DHCP服务器时，设置保留地址的目的是什么？

3、简述DHCP工作站第一次登录网络时，与DHCP服务器建立联系的4个阶段。

（理解）

4、为什么设置DHCP中继代理？在什么情况下必须设置DHCP中继代理？

5、IP地址租约如何更新和释放？

6、超级作用域？多播作用域？

7、为什么要进行作用域协调？

【实验感想及遇到的问题】

7

实验三 DNS服务器的基本配置

【实验目的】

1、掌握DNS的基本知识

2、掌握DNS的解析过程

3、掌握DNS服务器与客户机的配置

4、掌握DNS服务器的几种类型及设置方式

【实验内容】

1、配置DNS服务器与DNS客户端

2、实现DNS服务器的主要区域和辅助区域

3、使用Nslookup来验证DNS

【实验步骤】

一、安装DNS服务

（注：DNS服务器必须拥有一个固定的IP地址）

通过添加\删除程序安装（需要安装光盘），在Windows组件向导中，依次选择“网络服务”、“域名服务系统”。

●创建DNS服务器

“管理工具”/“DNS”，选择“DNS”，右击，选择“连接到计算机”，输入DNS服务器的IP地址。

二、设置DNS客户端

在客户端打开“TCP\IP”属性对话框，在“首选DNS服务器”的文本框中输入DNS服务器的IP 地址。

三、创建搜索区域

1、正向标准主要区域

（1）创建一个正向标准主要区域，区域名为：computer学号. com

（2）在主要区域computer学号. com内新建记录，如主机记录、别名、邮件服务器、主机信息等：右击要建记录的区域，选择相应的记录。

◆注意：

a.所建资源即可指向本机，也可指向其他计算机

b.若所建主机记录是jw，那么其完整的域名就是jw. computer学号. com

c.别名是主机资源的另一个名字，所以要先建主机资源，然后再建此主机资源的别名资源（3）在主要区域computer学号. com内新建子域“jw”，并在子域内创建资源记录

2、反向标准主要区域

(1) 创建反向标准主要区域

在“DNS”中，右击“反向搜索区域”，选择“新建区域”，启动向导，选择“标准主要区域”，设置网络ID（最多输三个字节）。

(2) 在反向区域内创建记录，如指针记录

3、标准辅助区域

(1) 配置标准辅助区域

◆要求：

分别为正向搜索区域和反向搜索区域配置标准辅助区域

8

注意：

a.此区域创建在另一台DNS服务器上

b.区域名称与主要区域的名称一致

（2）在主要DNS服务器的主要区域上创建新的记录，在辅助DNS服务器端相应的辅助区域内进行数据传输，使之与主要区域保持一致

（3）配置二级辅助区域

即：为上述所配置的标准辅助区域配置辅助区域

注意：默认状态下，二级辅助区域不能从他的Master服务器（即一级服务器）上区域复制，此时需要定位到一级服务器的区域属性对话框，在区域复制选项卡中，选择“允许区域复制”复选框。

四、验证DNS

1、使用Nslookup来验证DNS

在MS-DOS方式下键入“NSLOOKUP 解析的域名或IP地址”后回车，查看结果，验证DNS的配置。

注意：结果中包含DNS服务器的信息和所解析的计算机的信息两部分内容。

2、使用Ping验证DNS

“Ping 解析的域名”，若ping通，则说明解析成功。

五、把自己的服务器设置成转发器DNS服务器（参考教材P57）

六、其他操作

(1)暂停一个区域

(2)修改主区域中的现存记录

(3)删除区域

(4)删除服务器

注意：删除服务器只是将它从DNS管理器“服务器清单”中删除，而对实际的DNS服务器没有进行任何操作。

七、监视DNS服务器

通过事件查看器，查看DNS的事件日志

【思考题】

1、DNS的功能是什么？

2、DNS服务器有几种查询模式？分别是什么意思？

3、解释主要名称服务器与辅助名称服务器的区别与联系

9

4、为什么要设置DNS转发器

5、区别正向搜索与反向搜索

6、DNS服务器有几种类型？是什么？

【实验感想及遇到的问题】

10

实验四委派的实现和服务器的管理

【实验目的】

1、掌握DNS服务器与客户机的配置

2、掌握DNS服务器的几种类型及设置方式

3、掌握DNS委派的实现

【实验内容】

1、配置DNS服务器与DNS客户端

2、实现DNS的区域委派

3、使用Nslookup来验证DNS

【实验步骤】

一、设置区域委派

案例：通过区域委派实现域名“www.jw.xxx学号.com”、“web.jy.xxx学号.com”的解析

提示：假设在DNS服务器“xxxjf1-1”中有一个区域“xxx学号.com”，现在我们要在该区域下建立子域“jw”和“jy”，并且将这两个子域分别委派给其他DNS服务器“xxxjf1-2”和“xxxjf1-3”管理，并完成上述资源的解析

问题1：该题中，应将主机资源“www”创建在哪台计算机中？应将主机资源“web”创建在哪台计算机中？该题的DNS客户端的配置中，应选择哪台计算机充当DNS服务器？

结果：在客户端使用Nslookup或Ping验证，如果能够解析出上述资源，则配置正确。

二、DNS动态更新。

配置某一启用DHCP服务的DNS服务器。（配置其动态更新选项）

三、DNS数据库维护

DNS数据库的备份和还原（参考DHCP数据库的备分和还原）

【思考题】

简述如何实现区域委派

【实验感想及遇到的问题】

11

实验五活动目录服务

【实验目的】

1、理解域的概念，掌握AD的安装方法。

2、掌握加入和退出域的方法。

3、掌握域用户的管理和配置，组的规划和建立。

4、了解Windows Server 2003域用户和本地用户的区别。

5、理解组的概念和作用，认识组的类型。

【实验内容】

1、练习AD的安装方法，

2、练习加入和退出域的方法。

3、练习域用户的管理和配置，组的规划和建立

【实验步骤】

一、安装活动目录

1）新建DC的角色。在开始菜单中点击“管理您的服务器”，在打开的画面中点击“添加或删除角色”。

2）在“预备步骤”对话框中，单击[下一步]按钮，出现“服务器角色”对话框后，选择“域控制器”，按[下一步]继续。

3）在“选择总结”对话框中，单击[下一步]按钮，随后会进入AD安装向导过程，（如果直接执行“dcpromo”命令也可以启动AD安装向导，则可以省略前三个步骤），单击[下一步]按钮。

4）出现“操作系统兼容性”对话框，单击[下一步]按钮，在“域控制器类型”对话框中，我们将在这个向导中建立一个新域的DC和林，所以我们选择“新域的域控制器”，按[下一步]按钮继续。

5）选择“在新林中的域”，按[下一步]按钮继续，。

6）出现如下图所示，在“新域的DNS全名”文本框中输入新建域的DNS全名，例如:fb7c0a1f5f0e7cd184253670或者fb7c0a1f5f0e7cd184253670或者fb7c0a1f5f0e7cd184253670之类的DNS全名。按[下一步]按钮继续。

7）在“NetBIOS域名”对话框中，在“域NetBIOS名”文本框中输入NetBIOS域名，或者接受显示的名称。NetBIOS域名是供早期的Windows用户用来识别新域的,按[下一步]按钮继续。

8）在出现“数据库和日志文件夹”的对话框中（如下图），这些文件夹必须放在NTFS分区上，注意，基于最佳性和可恢复性的考虑，最好将活动目录的数据库和日志保存在不同的硬盘上。

按[下一步]按钮继续。

9）在出现“共享的系统卷”对话框中，该文件夹必须放在NTFS分区上，在Windows Server 2003中，Sysvol文件夹存放域的公用文件的服务器副本，它的内容将被复制到域中的所有域控制器上。按[下一步]按钮继续。

10）在出现“DNS注册诊断”对话框中，这里我们选择为新域安装和配置D N S服务器,选择“在这台计算机上安装并配置D N S……”单选按钮（推荐），按[下一步]按钮继续。

11）在出现“权限”对话框中，选择“只与Windows 2000或Windows Server 2003操作系统兼容的权限”，按[下一步]按钮继续。

12）在出现“目录服务还原模式的管理员密码”对话框中（修复目录服务都必须在DC的“目录服务还原模式”下来完成，因为当目录服务正在工作的情况下是不能对它修改的）。这里我们不用

12

填写密码，按[下一步]按钮继续。

13）在出现“摘要”对话框中，详细记录着AD安装信息，按[下一步]按钮继续。

14）在出现如下图的对话框时，说明开始了AD安装配置过程，这个过程可能会持续二十分钟左右，（在配置期间，会出现提示把自己的本机IP作为DNS的IP，过程中不要按“取消”）。

15）整个过程结束后，会出现“已在这台计算机上为…域安装了AD”的提示信息，表明AD安装向导结束信息，按[完成]按钮继续。

16）随后AD安装结束，并提示重起计算机以使配置生效。

17）按[立即重新启动]，重新开机以使设置生效。重启成功管理员登陆后，会出现如下图所示信息, 提示域控制器身份生效，按[完成] 按钮。

18）进入系统后，右键单击“我的电脑”，在“计算机名”栏能看到完整的计算机域名。

19）随后可发现在“管理你的服务器”对话框里会出现新建的2个管理项目。

20）而在开始/管理工具中，也会出现一些新的管理工具。

21）设置DNS。（由于在AD配置过程中，默认把本机IP作为DNS的IP，所以我们在DNS服务器中要填写上本机IP）。

二、加入和退出域:（下面的各种设置都是为了举例说明，要灵活理解）

（假设把主机名为PFC-12，IP为192.168.1.12的服务器加入到主机域名为fb7c0a1f5f0e7cd184253670，IP为192.168.1.5的域中）

1）加入域：

设置主机pfc-12的DNS：

A：打开“本地连接状态”对话框，打开TCP/IP属性设置对话框，在“首选DNS服务器”输入DNS的IP：192.168.1.5 (DNS和域控制器同在主机pfc-05上)，单击“确定”完成。

B：加入域。右键单击“我的电脑”，然后单击“计算机名”栏，再单击“更改”按钮，出现“计算机名称更改”对话框，在“隶属于”一栏选中“域”，并输入：fb7c0a1f5f0e7cd184253670

C：单击“其他”按钮，在“此计算机的主DNS后缀”输入：fb7c0a1f5f0e7cd184253670，选中“在域成员身份变化时，更改主DNS后缀”，单击“确定”，

D：出现如下图所示后，点击“确定”，会出现要求输入有权限加入域的用户名和密码，这里我们可以输入管理员的用户名和密码，单击“确定”，十几秒钟后就会有加入域成功的提示。

2）把加入域的服务器脱离所在的域

A:右键单击“我的电脑”，然后单击“计算机名”栏，再单击“更改”按钮，出现“计算机名称更改”对话框，在“隶属于”一栏选中“工作组”，并输入：pfc

B：单击“其他”按钮，在“此计算机的主DNS后缀”删除：fb7c0a1f5f0e7cd184253670，单击“确定”。

C：点击“确定”，会出现要求输入有权限管理域的用户名和密码，这里我们可以输入管理员的用户名和密码，单击“确定”，十几秒钟后就会有退出域成功的提示。

3）降级域控制器：当把服务器升级为域控制后，密码的复杂度就会自动启用

A：进入安全策略管理：打开“开始”-〉“管理工具”-〉“域安全策略”：把密码复杂性要求策略设置选为“已禁用”；把密长度最小值设为0，密码最短使用期限设为0天。

B：准备降域在“运行”中输入gpupdate /force，进行组策略更新（一般要更新两次）。在运行中输入dcpromo,进行降域，单击“下一步”按钮，单击“下一步”按钮。

输入密码后（注意此处要求输入的密码为以后本机的开机密码：pfcwin），单击“下一步”按钮。完成后重新启动后，原来的域控制器就变成了独立服务器。

三、域用户帐号和组的新建与管理

1、新建域用户帐户：用户可以在域内的任意机器上用此账户登陆。

13

在Windows Server 2003中，一个用户帐号包含了用户的名称、密码、所属组、个人信息、通讯方

式等信息，在添加一个用户帐号后，它被自动分配一个安全标识SID ，这个标识是唯一的。在域中利

用帐号的SID来决定用户的权限。

步骤1 打开“开始”→“管理工具”→“Active Directry 用户和计算机”，单击“Users”容器

会看到在安装Active Directry 时建立的用户帐号。

步骤2 右键单击“Users”→新建→用户→在创建新对象对话框中输入用户的姓名、登录名，其中的下层登录名是指当用户从运行WindowsNT/98 等以前版本的操作系统的计算机登录网络所使用的用户名。单击“下一步”。

步骤 3 在密码对话框中输入密码并选择“密码永不过期”选项。单击“下一步”。在完成对话框

中会显示以上设置的信息，单击完成，这时用户会在管理器中看到新添加的用户。

2、管理域用户账户：

右键单击“用户名”，选中“属性”，则打开“属性对话框”。输入用户个人信息，并设置用户的登

陆时间、设置帐户的有效期限等。完成以下的用户管理任务：重设密码、帐户的移动、重命名、删除帐户、复制帐户、禁用帐户、将账户加入组。

3、组的管理

A：创建组

1 打开“Active Directory 用户和计算机”，在控制台树中，双击域节点，右键单击“Users”，指

向“新建”，然后单击“组”，键入新组的名称。

2 单击所需的"组作用域"；单击所需的"组类型"。注意：如果用户目前创建的组所属的域处于混

合模式，则只能选择具有“域本地”或“全局”作用域的安全组。

B：指定用户隶属的组：在用户“属性”对话框中单击“隶属于”标签，可以查看到当前用户隶属

于那些组，如要将用户添加到其它的组中则单击添加按钮，出现如下图所示的对话框，单击“高级”，

再单击“立即查找”，在下方的窗体中选择需要添加的组（可以按住Shift 或Ctrl键，利用鼠标选择多

个组），然后单击添加按钮则所选的组会出现在下方的窗体中，单击确定。

如果需要将用户从他所属的指定组中删除，则在成员属于窗体中选择该组，单击删除按钮。注意，用户帐号至少隶属于一个组，该组被称为主要组，这个主要组必须是一个全局组且它不可删除。

C：对组的另一项重要操作是，将资源访问权限指派给本地域组，举例操作：打开“开始”→“打

印机和传真”。

打开打印机和传真的属性，安全选项卡，添加希望指派的组并赋予一定的权限即可。以后若有用户

加入该组，系统会自动赋予给新加入的成员打印的权限。

【思考题】

1、在命令行用什么命令可以启动AD安装向导？

2、如何操作域的降级？

【实验感想及遇到的问题】

14

实验六组策略

【实验目的】

1、理解组策略的概念；

2、掌握组策略的创建和设置；

3、了解利用组策略管理用户环境

【实验内容】

1、创建本地用户账号和本地组

2、练习创建、编辑和设置组策略对象

3、利用组策略管理用户环境

4、使用组策略管理软件

【实验步骤】

一、本地用户和本地组

1、创建本地用户帐户和本地组

案例：你刚刚为会计部安装和配置了一台运行于Windows Server 2003 的计算机。这是一台独立存在的运行Windows Server 2003 的计算机，它要由两名会计人员共享。会计部经理要管理这台计算机。

他要能够重置密码，和进行其他的日常管理任务。经理要求你为他和另两位名称为LocalUser的会计创建用户账号。

1、创建本地用户账号：

步骤：

（1）管理工具—计算机管理—本地用户和组—创建一个新的本地用户账号

（用户名：LocalUser学号；描述：my user account ；密码：password）

取消“用户下次登陆时必须更改密码”复选框。

注：用户名：用户的唯一登录名称，要符合命名约定

全称：用户的全名，用于确定这一本地用户账号归属何人。

描述：可以利用这里的信息标示该用户的头衔、所属部门、办公室地点等。

（2）授予“LocalUser学号”修改系统时间和关机的权限。

（开始—程序—管理工具—本地安全策略—本地策略—用户权力指派）（3）以“LocalUser学号”登录计算机——创建一个新的本地用户账号（学号），完成思考题3。

（4）以管理员身份登录——创建一个新的本地用户账号。

（用户名：Manager学号，描述：AR Manager，密码：password）

取消“用户下次登陆时必须更改密码”复选框。

（5）授予Manager学号管理员的权限。

2、创建一个本地组：

（1）管理工具—计算机管理—本地用户和组—创建一个新的本地组

（组名：jiwang，描述：计网03）

（2）将新建的用户：LocalUser学号加入到新建组中。

2、管理本地用户帐户

(1)重命名

15

16 (2) 删除帐户

(3) 重设密码

(4) 将帐户添加到组

(5) 停用帐户/启用帐户：在帐户的属性对话框中执行，完成思考题5

二、域用户和组策略

Windows Server 2003系统默认已经安装了组策略程序，在“开始”→“运行”命令中，输入gpedit.msc 即可运行组策略程序，打开的组策略对象就是当前的计算机。

如果需要对域内的其他计算机设置组策略，则需要将组策略作为独立的控制台管理程序来打开，具体步骤如下：

1）打开管理控制台(在“开始”→“运行”命令中，输入MMC 命令并回车，运行控制台程序)。

2）打开“文件”→“添加/删除管理单元”(见左下图)，在打开的对话框中单击“添加”(见右下图)。

4）在“可用的独立管理单元”列表中，选中“组策略对象编辑器”并双击。

5）在“选择组策略对象”对话框中，单击“本地计算机”编辑本地计算机对象，或通过单击“浏览”查找所需的组策略对象(非域环境下和域环境下打开的浏览的画面不一样，见下图)。

6）单击“完成”，单击“关闭”，然后单击“确定”。组策略管理单元即打开要编辑的组策略对象。 通过上面的方法，我们就可以使用Windows Server 2003组策略系统强大的网络配置功能，让管理员的工作更轻松和高效。

1、以下是一些具体组策略的设置应用

A.“桌面”设置

下面就让我们来看看几个实用的配置实例：位置：“组策略控制台→用户配置→管理模板→桌面”

1．隐藏桌面的系统图标：

a.比如要隐藏桌面上的“网上

邻居”和“Internet Explorer ”图标，只要在右侧窗格

中将“隐藏桌面上‘网上邻居’图标”和“隐藏桌

面上的Internet Explorer 图标”两个策略选项启用

即可； b.如果隐藏桌面上的所有图

标，只要将“隐藏和禁用桌面上的所有项目”启用即可；

17 c.如果要让“回收站”图标消失，只须将“从桌面删除回收站”策略项启用即可。

2．退出时不保存桌面设置

此策略可以防止用户保存对桌面的某些更改。如果你启用这个策略，用户仍然可以对桌面做更改，但有些更改，如图标的位置、任务栏的位置及大小，在用户注销后都无法保存，不过任务栏上的快捷方式总可以被保存。

在右侧窗格中将“退出时不保存设置”这个策略选项启用即可。

以上介绍了几个关于桌面的组策略配置项目，在“组策略控制台→用户配置→管理模板→桌面”下还有其他若干组策略配置项目，具体可根据需要进行配置。

B.个性化“任务栏”和“开始”菜单

下面我们来看具体的实例：位置：“组策略控制台→用户配置→管理模板→任务栏和开始菜单”

1．给“开始”菜单减肥

在组策略右侧窗格中，提供了“从开始菜单删除用户文件夹”、“删除到‘Windows Update ’的访问和链接”、“从开始菜单删除公用程序组”、“从开始菜单中删除‘我的文档’图标”等多种组策略配置项目。你只要将不需要的菜单项所对应的策略启用即可。

2．保护好“任务栏”和“开始”菜单

如果你不想随意让他人更改“任务栏”和“开始”菜单的设置，你只要将组策略控制台右侧窗格中的“阻止更改‘任务栏和开始菜单’设置”和“阻止访问任务栏的上下文菜单”两个策略项启用即

可。这样，当你用鼠标右键单击任务栏并单击“属性”时，

系统会出现一个错误消息，且当鼠标右键单击任务栏及

任务栏上的项目时，例如“开始”按钮、时钟和“任务

栏”按钮，弹

出菜单会隐藏。 3．禁止“注销”和“关机”

当计算机启动以后，如果你不希望这个用户再进行“关机”和“注销”操作，那么可将组策略控制台右侧窗格中的“删除开始菜单上的‘注销’”和“删除和阻止访问‘关机’命令”两个策略启用。

这个设置会从开始菜单删除“关机”选项，并禁用“Windows 任务管理器”对话框按“Ctrl+Alt+Del ”会出现这个对话框中的“关机”选项 。另外需要注意的是，此设置虽然可防止用户用 Windows 界面来关机，但无法防止用户用其他第三方工具程序来将 Windows 关闭。

提示：如果启用了“删除开始菜单上的‘注销’”，则会从“开始菜单选项”删除“显示注销”项目。用户无法将“注销<用户名>”项目还原到开始菜单（只能通过手工修改注册表的方法）。这个设置只影响开始菜单，它不影响 “Windows 任务管理器”对话框上的“注销”项目（因此需要同时启用“删除和阻止访问‘关机’命令”），而且不妨碍用户用其它方法注销。

4．利用组策略保护个人文档隐私

Windows 有个高级智能功能，即可以记录你曾经访问过的文件。虽然这个功能可以方便用户再次打开该文件，但出于安全和性能的考虑（例如不想让人知道自己浏览过哪些网页和打开过哪些文件），有时需要屏蔽此功能。利用组策略，只要在右侧窗格中将“不要保留最近打开文档的记录”和“退出时清除最近打开的文档的记录”两个策略启用即可。

另外需要注意的是，如果启用此策略设置但不启用“从开始菜单中删除文档菜单”策略设置，“文档”菜单还会出现在“开始”菜单上，但是该菜单为空菜单。如果启用此策略设置，后来又禁用它并将它设置为“未配置”，则启用策略设置之前保存的文档快捷方式会重新出现在“文档”菜单和应用程序的“文件”菜单中。

C.IE 设置

微软的Internet Explorer 让我们可以轻松地在互联网上遨游，但要想用好Internet Explorer

，则必须

18 将它配置好。在IE 浏览器的“Internet 选项”窗口中，提供了比较全面的设置选项（例如：“首页”、“临时文件夹”、“安全级别”和“分级审查”等项目），但部分高级功能没有提供，而通过组策略即可轻松实现这些功能。下面来看具体实例：位置：“组策略控制台→用户配置→管理模板→Windows 组件→Internet Explorer （需添加inetres.adm 模板文件）”

1． 禁用“在新窗口中打开”菜单项

出于对安全的考虑，有时候我们有必要屏蔽IE 的一些功能菜单，比如禁用“另存为...”、“文件”、“新建”等。下面以“禁用‘在新窗口中打开’菜单项”为例介绍具体的设置方法。

打开“组策略控制台→用户配置→管理模板→Windows 组件→Internet Explorer →浏览器菜单”，然后打开“禁用‘在新窗口中打开’菜单项”并设置为“启用”。

启用该策略后，用户在某个链接上单击鼠

标右键，然后单击“在新窗口中打开”时，

该命令将不起作用。该策略可与“‘文件’

菜单禁用‘新建’菜单项”一起使用，后者禁止用户通过单击“文件”菜单，指向“新建”，然后单击“窗口”在新窗口中打开浏览器。

提示：启用该策略后，单击“在新窗口中打开”命令，将无法在新窗口中打开链接，系统会提示用户该命令无效，网页自动打开的窗口也全部被禁止，其实这样也可达到屏蔽弹出广告窗口的效果。

2． 限制IE 浏览器的保存功能

在使用IE 浏览网页过程中，当遇到好的图片、文章等资源时可以使用“另存为”功能将它保存到本地硬盘中，当多人共用一台计算机时，为了保持硬盘的整洁，需要对浏览器的保存功能进行限制。那么如何才能实现呢?可以这样操作：打开“组策略控制台→用户配置→管理模板→Windows 组件→Internet Explorer →浏览器菜单”，然后将右侧窗格中的“‘文件’菜单：禁用‘另存为...’菜单项”、“‘文件’菜单：禁用另存为网页，全部格式”、“‘查看’菜单：禁用‘源文件’菜单项”和“禁用上下文菜单”等策略项目全部启用即可。

如果不希望别人对IE 浏览器的设置随意更改，可以将“‘工具’菜单：禁用‘Internet 选项...’”策略启用。另外，根据个人的需要，在该窗格

中还可以禁用其他项目。

3． 禁用“Internet 选项”控制面板

上面提到了“禁用Internet 选项”的功能，

使用该功能可以达到阻止别人对IE 随便设置的目的。而

这种方法无法具体禁用Internet 选项中的控制模板项目，

因此给具体应用带来麻烦。通过下面的组策略设置方法，则可以实现这一要求：

打开“组策略控制台→用户配置→管理模板→Windows 组件→Internet Explorer →Internet 控制面板”，在右边窗格中我们可以看到“禁用常规页”、“禁用安全页”等组策略项目。下面以“禁用常规页”为例进行说明：打开右边窗格中的“禁用常规页”并设置为“启用”。然后我们再打开Internet 选项控制面板，会发现“常规”项目已经没有了，这样一来用户将无法看到和更改主页、缓存、历史记录、网页外观以及辅助功能的设置，因为该策略将删除界面上的“常规”选项卡，所以如果设置了该策略，则无须设置位于 “用户配置→管理模板→Windows 组件→Internet Explorer ”中的诸如“禁用更改主页设置”、“禁用更改颜色设置”等策略。

D. 将组策略应用于组织单位或域

1.依次单击“开始”、“管理工具”、“Active Directory

用户

和

计算

机”，打开“Active Directory 用户和计算机”。

2.突出显示相关域或组织单位，单击“操作”菜单，选择“属性”。

3. 选择“组策略”选项卡。

注意：每个容器可应用多个策略。这些策略的处理顺序是从列表的底部向上应用。如果出现冲突，最后应用的策略优先。

4.单击“新建”创建一个策略，并为其指定有实际意义的名称，如“域策略”。

注意：单击“选项”按钮可配置“禁止替代”设置。“禁止替代”是为每个单独的策略配置的，而不是为整个容器；“阻止策略继承”则是为整个容器配置的。如果“禁止替代”和“阻止策略继承”设置发生冲突，“禁止替代”设置优先。要配置“阻止策略继承”，请选中OU 属性中的复选框。

组策略可自动更新，但为了立即启动更新过程，可在命令提示符下使用下面的GPUpdate 命令：GPUpdate /force

E. 向“用户权限分配”添加安全组

1.依次单击“开始”、“管理工具”、“Active Directory 用户和计算机”，打开“Active Directory 用户和计算机”。

2. 突出显示相关OU（如“人事部”），单击“操作”菜单，选择“属性”。

3. 单击“组策略”选项卡，新建组策略对象（如“人事部组策略对象”），然后单击“编辑”。

4. 在“组策略对象编辑器”中，依次展开“计算机配置”、“Windows 设置”、“安全设置”、“本地策略”，然后突出显示“用户权限分配”。

5.在右侧窗格中，右键单击相关用户权限。

6. 选中“定义这些策略设置”复选框，单击“添加用户和组”修改该列表。

7. 单击“确定”。

【思考题】

1、如何启用组策略？

19

本文来源：https://www.bwwdw.com/article/h8eq.html