主域控活动目录配置工作任务

题目

• 配置Windows防火墙，仅允许配置的服务通过防火墙；禁止ICMP回显请求。
• 在DCserver上配置如下服务与设置：为ChinaSkills.cn安装和配置活动目录域服务；只有域管理员和IT部门员工可以登陆服务器。
• 创建如下全局AD组与用户：Sales（Sales001-100）、IT（IT01-05）、Finance（F01-10）、Management（Manage01-05）；
• 创建ChinaSkills23为GPO管理员；加入到企业管理、域控管理员组；为所有域用户设置漫游文件（除Management外），漫游文件放于\ChinaSkills.cn\ChinaSkills23\Roaming Profile\目录中；
• 开启本地及域控用户登录操作日志审计记录；
• 开启远程桌面服务及对应端口，让服务器可以被纳管到云堡垒机；仅允许本地管理员和域管理员登录；
• 配置域控组策略及域控配置信息备份；每天自动备份到本地的L盘根目录；并同步复制到DFS目录下:\DFSsharedir\IT\backup目录。

服务配置步骤

步骤一 - 配置 Windows 防火墙

配置Windows防火墙，仅允许配置的服务通过防火墙；禁止ICMP回显请求。
关闭防火墙，方法一：

netsh advfirewall set allprofiles state off 

方法二：

win + R --> firewall.cpl

禁止ICMP回显

步骤二 - 设置登录服务器的用户和组

在DCserver上配置如下服务与设置：为ChinaSkills.cn安装和配置活动目录域服务；只有域管理员和IT部门员工可以登陆服务器。
安装AD域服务看＂活动目录域服务＂。
配置只有域管理员和IT部门员工可以登录服务器。

步骤三 - 创建用户

创建如下全局AD组与用户：Sales（Sales001-100）、IT（IT01-05）、Finance（F01-10）、Management（Manage01-05）
创建 Sales 组用户

for /L %a in (1,1,9) do net user Sales00%a admin@123 /add 
for /L %a in (10,1,99) do net user Sales0%a admin@123 /add 
net user Sales100 admin@123 /add 
net group Sales /add 
for /L %a in (1,1,9) do net group Sales Sales00%a /add 
for /L %a in （10，1，99）do net group Sales Sales0%a /add 
net group Sales Sales100 /add 

创建 IT 组用户

for /L %a in (1,1,5) do net user IT0%a admin@123 /add 
net group IT /add 
for /L %a in (1,1,5) do net group IT IT0%a /add 

创建 Management 组用户

for /L %a in (1,1,5) do net user Manage0%a admin@123 /add 
net group Management /add 
for /L %a in (1,1,5) do net group Management Manage0%a /add 

步骤四 - 设置漫游文件

创建ChinaSkills23为GPO管理员；加入到企业管理、域控管理员组；为所有域用户设置漫游文件（除Management外），漫游文件放于\ChinaSkills.cn\ChinaSkills23\Roaming Profile\目录中；
创建用户 ChinaSkills23

net user ChinaSkills23 admin@123 /add 

将ChinaSkills23设置为GPO管理员

将用户加入到企业管理、域控管理员组

为所有域用户设置漫游文件

步骤五 - 开启本地及域控用户登录操作日志审计记录

win + R --> gpedit.msc

win + R --> gpmc.msc

步骤六 - 配置远程桌面服务

开启远程桌面服务及对应端口，让服务器可以被纳管到云堡垒机；仅允许本地管理员和域管理员登录

win + R --> sysdm.cpl

步骤七 - 配置备份

配置域控组策略及域控配置信息备份；每天自动备份到本地的D盘根目录；并同步复制到DFS目录下:\DFSsharedir\IT\backup目录