单击【正向查找区域】，从快捷菜单中选择【新建区域】。(4)在“区域类型”话框中，单击【主要区域】，然后单击【下一步】按钮。(5)继续单击【下一步】按钮。当出现“完成新建区域向导”画面时，单击【完成】按钮。(6)出现“欢迎使用新建区域向导”画面时，单击【下一步】按钮。

5．请把一台Windows Server 2003计算机加入到一个域中，该域的名称为“abc．com'’。(要求：从答案选项中选择正确的选项，将其对应的字母填写在空白的步骤中，从而把步骤补充完整。)操作步骤如下： 步骤l：首先需要在希望加入域的计算机上，指定维护该域的DNS服务器。

步骤2： b 步骤3： c 步骤4： a 步骤5：当出现“欢迎加入域”的对话框时，表示已经成功地把计算机加入到域中。单击【确定】按钮。然后，系统会要求重新启动该计算机。答案选项： A．在出现“计算机名称更改”对话框时，输入希望加入的域名“abc．com\，然后单击【确定】 按钮。B．右击【我的电脑】一【属性】一【计算机名】一【更改】。 C．在“计算机名更改，，对话框中，输入一个具有把计算机加入域的权利的用户帐户名称和 密码，完成后单击【确定】按钮。

6.假设DNS服务器1上有一个区域为：abe．corn，现在需要把该区域中的一个子域：hr．abc．corn委派给DNS服务器2。以下操作步骤的正确顺序是 ----、------、——、．。------、——、—2—o(1)右键单击区域abe．corn，在快捷菜单中选择【新建委派】。(2)在出现“正在完成新建委派向导”画面时，单击【完成】按钮。(3)在“名称服务器’’对话框中单击【添加】按钮，指定接受被委派子域的DNS服务器2。(4)在“受委派域名’’对话框的【委派的域】中，输入被委派的子域名：hr，然后单击【下一步】按钮。(5)在DNS服务器1上创建主要区域abc．com。(6)在出现“欢迎使用新建委派向导”画面时，单击【下一步】按钮。

2.要求直接输入IP 地址即可对网站进行访问，应该怎样设置？打开Internet信息服务管理器，把已经设置了80端口作为访问端口的网站先停止，再打开该“网站属性”对话框，把TCP端口设为80，单击“确定”按钮保存退出即可。 3. 一个网络中，DNS服务器应该部署在什么地方最合适？要用域名访问Internet上的服务器必须先访问DNS服务器，经过DNS对域名的解析才能连接到相应的主机。所以，在一个网络中，DNS服务器应该部署在客户端可以集中访问的网络位置上。

4. NetBIOS节点类型一共有哪几种，简述每种节点类型的名称解析方式？b-node节点类型利用广播的方式来进行名称解析；p-node节点类型利用网络中的WINS服务器进行名称解析；m-node节点类型首先使用广播的方式，如果失败则改向WINS服务器进行查询；h-node节点类型先向WINS服务器进行查询，若失败则使用lmhost文件解析, 若再失败则使用广播的方式

6为什么终端服务器未被激活，客户端仍然能登录进服务器？ CAL有永久性CAL和临时性CAL两种，前者需要先向微软公司购买一定数量的CAL，然后才能用于颁发给客户端。而后者不需要购买，颁发的数量不限，而且也不必激活终端服务器，但时效只有90天。所以当终端服务器未被激活时，许可证服务器颁发了临时性CAL，授权客户端在一定期限内可以登录终端服务器。 配置Windows Server 2008网络 1 计算机的命名规则

在同一个网络内，计算机名称不能重复，而且计算机的名称不能全是数字，最长使用15个字符，计算机的NetBIOS名称第16个字符代表服务。

2 查看本机的NetBIOS名称使用的命令 Nbtstat –n 或者使用hostname命令

3 查看网络中某个IP的NetBIOS名称使用的命令 Nbtstat –a 某计算机的IP 4 Windows网络测试工具

? Ipconfig（/all）用于查看计算机IP地址配置信息 ? Ping（-a /–t /–l）用于测试网络是否联通

? Tracert用于跟踪IP数据包到达目的地经过的路由

? Pathping也可以实现简单的路由跟踪功能，还有简单统计功能 ? Route Print用于显示本机路由表 5 MMC的优点

MMC(Microsoft Management Console)的中文名称为微软管理控制台，利用它可以将不同网络服务和组件的管理工具组合在一个控制台中来统一维护和管理。保存后的扩展名是msc 6 远程桌面管理的注意事项

? 远程桌面用户的密码不能为空，否则会提示“由于账户限制，无法登录”

? 远程桌面登录时所使用的用户账户必须在远程桌面用户组中，否则会提示“此系统的本地策略不允许您交互登录”

工作组环境下的应用

1 什么时候使用工作组模型，以及工作组的特点

工作组通常用于家庭和小规模的商业网络，该模型下，计算机直接互相通信，不需要服务器来管理网络资源。工作组模型有以下特征： ? 每一台计算机都独立维护自己的资源，不能集中管理所有的网络资源 ? 每一台计算机都在本地存储用户的账户 ? 一个账户只能登录到一台计算机

? 工作组中的计算机的地位都是平等的，对其它计算机来说既是服务器也是客户机 ? 工作组的网络规模一般少于10台计算机

备注：工作组中的计算机不必都采用相同的操作系统 2 将计算机加入工作组时的注意事项

工作组名一定不能和计算机名相同，工作组名可以有15个字符，必须以管理员的身份登录才能完成该过程 3 本地账户的特点

? 本地帐户存储在本地计算机的SAM中【%systemroot%\\system32\\config】 ? 本地账户只能登录到本地计算机 ? 本地账户主要用于工作组环境中 4 本地账户中系统默认的用户帐户有

Administrator是默认的内置管理员账户，此账户对计算机拥有最大的权限 Guest账户是用于临时访问的账户，默认的权限很少，默认下是被禁用的 5 创建本地用户账户的命令 Net user 用户名 密码 /add 6 创建新用户时需要注意的问题

用户名最长为20字符，不区分大小写，不能与当前系统里其他用户帐户或者组账户重名

默认情况下，设置的密码会在42天后过期。为了兼容Windows 9x系统，密码长度最好不要超过14位 7 改名和删除后建立同名账户对权限的影响

改名后原账户所有权限将全部保留下来，SID号不变。删除后建立同名账户不能保留原账户的权限，SID号发生改变 8 查看SID号的命令

Whoami /user用于查看当前用户的SID号

Whoami /groups用于查看本机内置安全主体的SID号 9 组的特点

? 组是账户的集合 ? 方便管理

? 当一个用户加入到一个组以后，该用户会继承该组所拥有的权限 ? 一个用户同时加入到多个组 10 创建本地组的命令

Net localgroup 组名 /add

11 内置组的概念以及常见的默认本地组

每一个默认本地组都有其特殊功能。Administrators组可以被重新命名，但不能被删除。Power Users组的权限仅次于Administrators组，可以对计算机进行大多数的日常管理，但不具有更改IP地址和格式化硬盘等权限 12 ALP规则

ALP是用户账户（Accounts)、本地组（Localgroup）和权限（Permission）的简称。

就是将用户帐户加入本地组，然后为本地组分配权限，这样本地组的所有用户帐户都会有相应的访问权限。

创建Windows域

? 打开“Active Directory安装向导”（直接在运行里输入“dcpromo”） 1 域的概念

将网络中的多台计算机逻辑上组织到一起，进行集中管理，这种区别于工作组的逻辑环境叫做域。域是组织与存储资源的核心管理单元。 2 活动目录的特点

活动目录提供了存储网络上对象信息并使网络用户访问该数据的方法。有以下特点： ? 集中管理

? 便捷的网络资源访问 ? 可扩展性

3 创建域用户帐户时需注意

? 域用户帐户的用户登录名在域中必须是唯一的，域用户帐户的显示名在其所在的组织单位（OU）中必须是唯一的。 ? 域用户登录名最长可以包含20个字符。

? 可以通过配置域用户帐户属性中的“登录时间”和“登录到”限制用户使用域中计算机。 4 用户配置文件的类型

本地用户配置文件、漫游用户配置文件、强制用户配置文件、临时用户配置文件 5 组的作用域

? 本地域组：使用范围是本域

? 全局组：使用范围是整个林以及信任域 ? 通用组：使用范围是整个林以及信任域 6 OU的概念以及设计方法

OU采用逻辑的等级结构来组织域中所有的对象，方便了管理。OU的设计方法： ? 基于部门的OU ? 基于地理位置的OU ? 基于对象类型的OU ? 基于以上混合的OU NTFS权限

1 NTFS文件系统的特点

? 可以对单个文件或者文件夹设置权限 ? 支持更大的磁盘容量 ? 压缩功能 ? 文件加密

? 活动目录需要使用NTFS ? 磁盘配额

2 获得NTFS文件系统的方法

? 格式化磁盘，格式化时使用NTFS文件系统

? 将FAT文件系统转换为NTFS文件系统，并保留原有的数据，使用convert 盘符/fs:ntfs命令 ? 使用第三方软件转换 3 NTFS分区中的ACL和ACE

ACL（Access Control List）访问控制列表，列出的是和当前文件或文件夹权限有关的用户和组 ACE（Access Control Entry）访问控制项，列出的是和该选定用户和组相关的权限 4 常用的NTFS权限有 ? 完全控制 ? 修改

? 读取和运行

? 列出文件夹目录（文件夹有而文件没有） ? 读取 ? 写入

? 特别的权限

5 特别的权限包括哪些权限 ? 读取权限 ? 更改权限 ? 取得所有权

6 取得文件和文件夹所有权的方法

打开高级安全设置对话框，在所有者中选定Administrator后，选择“替换字容器及对象的所有者”，Administrator用户即取得了文件和文件夹的所有权，并且将以前具有权限的用户给替换掉了，可以重新配置权限 7 NTFS权限的应用规则

? NTFS权限的组合：用户对资源的有效权限是分配给用户帐户的权限和用户所属的各个组的累加权限，前提是没有拒绝权限 ? 权限的继承：新建的文件或文件夹会自动继承上一级目录或磁盘分区的NTFS权限 ? 拒绝权限：拒绝权限可以覆盖所有其他权限 8 复制和移动操作对权限的影响

只有相同分区下移动文件操作才能保留原来权限，其它都继承上级权限。 9 AGDLP规则

1) 将用户帐户加入全局组 2) 将全局组加入本地域组 3) 给本地域组赋权限 10 应用AGDLP规则的优点

AGDLP规则提供较强的逻辑性和灵活性，同时又降低了分配权限的复杂性，当有多个域的用户帐户需要访问某个域的资源时，更能体现其优越性

11 Windows NT和NTFS文件系统的描述

Windows NT通过安装补丁后才能支持Windows 2000和Windows Server 2003中的文件系统，Windows NT和Windows 2000又称NT 5.0，Windows Server 2003又称NT 5.2 安全策略

Secpol.msc 打开本地安全策略 gpupdate /force 刷新策略 1 本地安全策略包含的内容 ? 帐户策略

1. 密码策略

2. 帐户锁定策略 ? 本地策略

1. 审核策略

2. 用户权限分配 3. 安全选项

要使本地安全策略生效，需要运行gpupdate命令刷新组策略或者重新启动计算机 2 密码策略包括的策略

? 密码必须符合复杂性要求，必须包含大写字母、小写字母、数字、特殊符号之中的3个字符 ? 密码长度最小值，将字符数设置为0时表示不需要密码

? 密码最长使用期限，设置为0天后代表密码永不过期，默认密码42天后过期 ? 密码最短使用期限，设置为0时表示密码永不过期

? 强制密码历史，默认为0代表可以随意使用过去使用的密码 ? 用可还原的加密来存储密码 3 帐户锁定策略包括的策略

? 帐户锁定阈值，指用户输入几次错误的密码后，将用户帐户锁定 ? 帐户锁定时间，设置为0代表必须有管理员手动解锁

? 复位账户锁定计时器，该复位时间必须小于或等于帐户锁定时间 注：帐户锁定策略对域管理员帐户Administrator无效 4 审核策略中常用的策略

设置审核可以确定是否将计算机中关于安全的事件记录到安全日志里，可以通过事件查看器察看记录的事件信息，只能对NTFS分区中的文件及文件夹才能使用审核功能 ? 审核对象访问 ? 审核登录事件 ? 审核系统事件 ? 审核帐户管理

5 用户权限分配中常用的策略

通过用户权限分配，可以为某些用户和组授予或拒绝一些特殊的权限 ? 从网络（/拒绝从网络）访问此计算机

? 允许在（/拒绝）本地登录，默认情况下，本地Users组中的用户可以在本地登录，域Users组中的用户不可以在域控制器上登录 ? 关闭系统 ? 更改系统时间 6 安全选项中常用的策略

通过安全选项，可以控制一些和操作系统安全相关的设置 ? 关机：允许系统在未登录前关机

? 交互式登录：用户试图登录时消息文字（/消息标题） ? 交互式登录：不显示上次的登录名 ? 交互式登录：不需要按CTRL+ALT+DEL

7 域控制器安全策略与本地安全策略、域安全策略的区别

将一台计算机升级为域控制器，本地安全策略就升级为域控制器安全策略。域控制器安全策略对域的安全设置有影响。在域控制器安全策略的帐户策略中，多了Kerberos策略，它主要与域用户帐户的登录有关。域安全策略可以影响整个域中的计算机的安全设置 8 3种安全策略的关系

成员计算机和域的设置项冲突时，域安全策略生效 域控制器和域的设置项冲突时，域控制器安全策略生效 9 事件查看器中可以查看到的日志类型 ? 应用程序日志 ? 安全性日志 ? 系统日志

如果安装了活动目录则会有目录服务日志和文件复制服务日志；如果安装了DNS服务还有DNS服务器日志 10 事件查看器中的一些特殊符号 红色的X表示审核错误 黄色△中的！表示警告

白色的i表示信息 钥匙表示审核成功 锁表示审核失败 组策略

1 组策略的作用

组策略是一组策略的集合，利用组策略，管理员可以很方便地管理活动目录中的计算机和用户的工作环境 注：组策略不适用于早期的Windows操作系统，如Windows 9x/NT，DOS

组策略的具体设置数据保存在GPO（组策略对象）中，是AD中的一种特殊的对象 2 站点和域的对应关系

一个站点中可以有多个域；一个域中也可以有多个站点 创建站点的2个基本原因是： ? 优化复制

? 使用户能够使用可靠、高速的连接登录到域控制器上 3 GPO 组件存储的位置 ? GPC（组策略容器），包含GPO属性和版本信息的活动目录对象 ? GPT（组策略模版），在域控制器的共享系统卷中，是一种文件夹的层次结构 4 组策略的应用规则

? 继承与阻止继承，在默认情况下，下层容器会自动继承来自上层容器的GPO，子容器可以设置“阻止策略继承”来阻止继承上级的

组策略

? 累加，容器的多个组策略设置如果不冲突，则最终有效策略是所有组策略设置的总和，如果有冲突，则后应用的组策略覆盖先应

用的组策略

? 应用顺序，LSDOU，表示本地Local、站点Site、域Domain、组织单位OU，后面的策略优先于前面所应用的策略生效 ? 强制生效，在上级容器上设置“禁止替代”可以强制下级容器继承其GPO设置

? 筛选，通过设置GPO的安全选项来筛选一些用户具有拒绝“读取”和“应用组策略”权限 9 利用GPO可以实现哪些软件设置

? 分发软件，分发的软件安装包中有.msi文件，分发点是服务器上的共享文件夹

? 指派，可以将程序指派到用户或计算机，指派后的程序自动安装

? 发布，可以将程序发布给用户，用户登录到计算机时可以选择安装与否 ? 指派是比发布更具有强制性的部署方式，安装软件时必须具有相应权限 ? 修复软件，即执行“重新部署应用程序”命令 ? 删除软件

? 立即从用户和计算机卸载软件

? 允许用户继续使用软件，但禁止新的安装 ? 升级软件

? 强制升级 ? 可选升级

文件服务器 一、共享文件夹：

将本地计算机的文件夹共享，让网络上其他用户访问。特征：共享后的文件夹的图标带一只手。可以共享创建文件夹：在域控制器上，Administrators组、Server Operators组的成员具有创建共享文件夹的权限。在成员服务器或者独立的服务器上，Administrators组、Power Users组的成员可以创建共享文件夹。 二、创建共享文件夹

在系统默认的情况下，创建的分区中也存在一些共享，这些共享是隐藏的（要创建一个隐藏的共享，只需要共享名输入完成后，在后面加上$就可以了） 三、访问共享文件夹

常见的方法是：“网上邻居”、“UNC路径”（\\\\目标计算机的IP地址或者是网络标识\\共享名）和映射网络驱动器。

1在网络中要映射的共享文件夹，右击该共享文件夹“映射网络驱动器”2鼠标映射网络驱动器： ○，选择本地的盘符，点击完成即可。○右击“我的电脑”或者“网上邻居”，选择“映射网络驱动器”，在“映射网络驱动器”对话框中，选择本地盘符，然后通过“浏览”按钮选择需要映射的网络共享文件夹，或者直接输入UNC路径。

3单击“开始”→“运行”○，输入“cmd”，在命令提示符下，输入“net use x: \\\\计算机名\\共享名”其中，x: 代表本地盘符。 四、共享文件夹

权限：读取、更改、完全控制。和NTFS权限一样，如果赋予某用户或用户组拒绝的权限，该用户和该用户的成员将被拒绝操作。 共享文件夹和NTFS权限的组合：取交集两者中最严格的权限，就可得到用户从网络访问共享文件夹时的权限。

如果文件夹共享权限设置为读取，待访问文件夹的NTFS权限为写入，当用户从网络访问该文件夹的时候，有效权限为拒绝访问。 五、在活动目录中发布共享文件夹

在Windows域环境中，可以将共享文件夹发布到活动目录中，统一管理，方便查找。

查找共享文件夹可以通过“网上邻居”中的“搜索Active Directory”来进行检索。通过关键字、名称、描述、网络路径等几个条件可以快速查找活动目录中的各种对象。 磁盘管理 1 磁盘类型