学习记录

文章目录

• 学习记录
• 一、AD域创建
• • 1、AD主域控制器的安装
  • • 1.1、准备
    • 1.2、安装活动目录域服务 Active Directory Domain Services
    • • 1.2.1、添加角色和功能
      • 1.2.2、安装类型
      • 1.2.3、服务器选择
      • 1.2.4、服务器角色
      • 1.2.5、功能
      • 1.2.6、AD DS
      • 1.2.7、确认
      • 1.2.8、安装
    • 1.3、将此服务器提升为域控制器
    • • 1.3.1、部署配置
      • 1.3.2、域控制器选项
      • 1.3.3、DNS选项
      • 1.3.4、其他选项
      • 1.3.5、路径
      • 1.3.6、查看选项
      • 1.3.7、先决条件检查
      • 1.3.8、安装
  • 2、AD辅助域控制器的安装
  • • 2.1、准备
    • 2.2、加域
    • 2.3、安装活动目录域服务 Active Directory Domain Services
    • 2.4、将此服务器提升为域控制器
  • 3、AD只读域控制器RODC的安装
  • • 3.1、准备
    • 3.2、加域
    • 3.3、安装活动目录域服务 Active Directory Domain Services
    • 3.4、将此服务器提升为域控制器
  • 4、AD子域控制器的安装
  • 5、重建域控
  • • （1）原来的域控降级：
    • （2）原来的域控退域：
    • （3）原来的域控关机：
    • （4）配置新的域控服务器：
    • （4）新的域控服务器加域：
    • （5）新的域控服务器部署AD域服务，提升为分部域控服务器：
    • （6）配置DHCP：
• 二、组织单位OU
• • 1、创建OU
  • • （1）图形化界面：Active Directory 用户和计算机 中创建OU
    • （2）命令行中创建OU：
  • 2、查看OU
  • • （1）图形化界面：Active Directory 用户和计算机 中查看OU
    • （2）命令行查询当前架构下OU信息：
  • 3、重命名OU
  • 4、删除OU
  • 5、移动OU
  • • （1）图形化移动OU：
    • （2）命令行移动OU：
• 三、用户、用户组
• • 1、创建用户
  • 2、创建用户组
  • 3、用户添加进用户组
• 四、策略设置
• • 1、管理 "计算机配置的管理模板策略"
  • • 1）策略：关闭事件跟踪程序（用户在关机时不会再要求用户提供关机的理由）
    • • （1）gpmc.msc 命令 打开域组策略管理
      • （2）gpupdate /force 命令：让配置的组策略强制生效
    • 2）策略：显示用户以前交互登录的信息
    • • （1）gpmc.msc 打开域组策略管理
      • （2）gpupdate /force 命令：让配置的组策略强制生效
  • 2、管理 "用户配置的管理模板策略"
  • • 1）策略：阻止更改代理设置
    • • （1）
    • 2）策略：管理模板的其他设置
    • • （1）
  • 3、配置 "账户策略"
  • 4、配置 "用户权限分配策略"
  • 5、配置 "安全选项策略"
  • 6、登录注销、启动关机脚本
  • 7、文件重定向
  • 8、使用组策略限制访问可移动存储设备
  • 9、使用组策略的首选项管理用户环境
• 三、利用组策略部署软件与限制软件的运行
• • 1、计算机分配软件部署
  • 2、用户分配软件部署
  • 3、用户发布软件部署
  • 4、对软件进行升级和重定向
  • 5、对特定软件启动软件限制策略
• 四、管理组策略
• • 1、组策略的备份、还原、查看组策略
  • 2、使用WMI筛选器
  • 3、管理组策略的委派
  • 4、设置和使用 Starter GPO
• 五、文件权限与共享文件夹
• • 1、设置资源共享（创建共享）
  • • 1.1、普通共享
    • • （1）DC1域控上创建用户：kuaiji
      • （2）在【计算机管理】中设置共享资源
    • 1.2、特殊共享
  • 2、访问网络共享资源
  • • 2.1、利用网络发现，访问网络共享资源
    • • （1）administrator@contoso管理员账户登录到win11加域的成员服务器客户端计算机。
      • （2）网络发现和文件共享已关闭。看不到网络计算机和设备。启用网络发现和文件共享。
      • （3）启用网络发现和文件共享后，必须开启三个服务
      • （4）三个服务启动后，在文件服务器FileServer上网络可以看到自己本身的共享服务器名称及文件。
      • （5）在win11客户端上文件资源管理器网络就可以访问到FileServer共享服务器名称及文件。
    • 2.2、使用UNC路径，访问网络共享资源
    • • （1）UNC路径
      • （2）在文件服务器FileServer上，services.msc服务中关闭三个服务：Function Discovery Resource Publication服务、SSDP Discovery服务、UPnP Device Host服务。
      • （3）用kuaiji账户登录win11客户端计算机，UNC路径：\\FILESERVER\Share，访问网络共享资源，可以访问到文件服务器FileServer上的共享。
  • 3、卷影副本
  • • 3.1、卷影副本功能
    • 3.2、开启卷影副本测试
    • • （1）启用"共享文件夹的卷影副本"功能
      • （2）配置卷影副本
      • （3）客户端访问"卷影副本"
      • • 1）在域控DC01上，UNC路径访问共享资源文件夹：\\fileserver01\share。
        • 2）在域控DC01上，永久性的删除\\fileserver01\share\test01文件夹，发现此时的删除是误删除，想要恢复test01文件夹。
        • 3）在域控DC01上，恢复test01文件夹。
        • 4）打开"share"文件夹，检查"test01"是否被恢复。
    • 3.3、关闭禁用卷影副本
  • 4、NTFS权限和共享权限
  • • 4.1、NTFS权限
    • 4.2、NTFS权限类型
    • • （1）NTFS文件夹权限
      • （2）NTFS文件权限
    • 4.3、测试NTFS权限
    • • （1）准备
      • （1）测试1文件夹：共享权限窄，NTFS权限宽，最终的权限结果取交集
      • （2）测试2文件夹：共享权限宽，NTFS权限窄，最终的权限结果取交集
    • 4.4、NTFS权限文件优于文件夹
    • • （1）准备
      • （2）
      • （3）
      • （4）
      • （4）
    • 4.5、NTFS权限继承、累加、拒绝优先
  • 5、复制和移动文件及文件夹
  • 6、利用NTFS权限管理数据
  • 7、压缩文件
  • 8、加密文件系统
• 五、灾难恢复
• • 1、AD域控角色转移（适合在主域控制器还能够使用时，需要升级AD控制器升级系统时的操作），Transfer传送
  • • 1.1、查看控制器和FSMO角色
• （一）Windows Server打开相关操作界面的命令总结
• • 1、控制面板：（如何打开）
  • 2、Windows设置：（如何打开）
  • 3、服务：（如何打开）
  • 4、证书：（如何打开）
  • 5、网络连接：（如何打开）
  • 6、任务管理器：（如何打开）
  • 7、系统属性→计算机名、硬件、高级-环境变量、远程：（如何打开）
  • 8、修改计算机名称：（如何打开）
  • 9、开启远程桌面：（如何打开）
  • 10、计算机管理：（如何打开）
  • 11、磁盘管理：（如何打开）
  • 12、事件查看器：（如何打开）
  • 13、telnet测试某个端口是否可以访问：
  • 14、netstat –ano查看进程和端口：
  • 15、查看PID进程号对应的进程名称、查看进程名称对应的PID：
  • 17、刷新DNS解析缓存：（如何打开）
  • 16、本地组策略（组策略编辑器）：（如何打开）
  • 17、域组策略：（如何打开）
  • 18、强制更新组策略命令：（如何打开）
  • 19、查看策略的结果集并导出：（如何打开）
  • • （1）win+r运行输入rsop.msc（查看本机所加载的GPO组策略对象）
    • （2）导出用户或计算机的组策略设置和策略的结果集：
  • 19、Active Directory用户和计算机：dsa.msc：（如何打开）
  • 20、从源域控制器DC开始对目标域控制器DC进行复制。
  • • （1）使用 AD 站点和服务进行复制：
    • （2）运行使用Repadmin命令：
  • 21、查询域中部署的站点
  • 22、查询某个站点内的域控
  • 23、Windows Server 列出所有已安装的补丁，包括补丁的 KB 编号、描述和安装日期
  • 24、查看AD中某个用户最后一次登录的时间
  • • （1）AD用户和计算机中可以右键打开用户属性，切换到属性编辑器页，下的LastLogon属性中看到用户最后一次登录的时间。
    • （2）用命令查看AD中某个用户最后一次登录的时间
  • 25、AD域中远程重启某台计算机命令
  • 26、客户端加域的日志
  • 26、
  • 26、
  • 26、
  • 26、
  • 26、
  • 26、
  • 26、
  • 26、
• （二）Windows Server 事件 ID
• • 什么是 Windows 事件日志
  • 位置
  • 1、Windows日志-Application应用程序
  • • （1）事件ID：11707 information（软件安装成功）
    • （2）事件ID：11724 information（软件安装失败、删除、卸载）
    • （4）事件ID：2142 error（拓扑发现失败）
  • 2、Windows日志-Security安全
  • • （1）事件ID：4769 failure（某个账户登录，已请求 Kerberos 服务票证。每次请求访问资源(例如计算机或 Windows 服务)时生成此事件。服务名称表示请求访问的资源。）
    • （2）事件ID：4624 success（已成功登录帐户。创建登录会话时，将在被访问的计算机上生成此事件）
    • （3）事件ID：4634 success（已注销账户。在登录会话被破坏时生成此事件。）
    • （4）事件ID：4625 failure（帐户登录失败。登录请求失败时在尝试访问的计算机上生成此事件。）
    • （5）事件ID：4740 success（已锁定用户帐户）
    • （6）事件ID：
    • （7）事件ID：
    • （8）事件ID：
    • （9）事件ID：
  • 3、Windows日志-Setup
  • • （1）事件ID：
    • （2）事件ID：
    • （3）事件ID：
    • （4）事件ID：
  • 4、Windows日志-System系统
  • • （1）事件ID：12 information（操作系统启动）
    • （2）事件ID：13 information（操作系统关闭）
    • （3）事件ID：41 information（操作系统已在未先正常关机的情况下重新启动）
    • （4）事件ID：6008 error（操作系统意外关闭）
    • （5）事件ID：1074 information（哪个用户启动哪台计算机，重启: 其他(计划外)方式是什么，关机类型: 重启）
    • （6）事件ID：5807 warning（在过去的 4.23 小时中有 37 连接从 IP 地址 没有映射到企业中任何站点的客户端计算机,到这个域控制器）
    • （7）事件ID：1202 success（开启ADFS登录审计）
    • （2）事件ID：
    • （3）事件ID：
    • （4）事件ID：
  • 5、Exchange日志-System系统
  • • （1）事件ID：4266 warning
    • （2）事件ID：10028 error
    • （3）事件ID：10028 error
    • （4）事件ID：1135 error
    • （5）事件ID：1177 error
    • （6）事件ID：1146 error
    • （4）事件ID：
    • （5）事件ID：
• （三）Exchange Server 2019搭建
• • 3.1、Exchange Server 必备组件
  • • （1）安装.NET Framework 4.8
    • （2）Visual Studio 2012 的 Visual C++
    • （3）Visual Studio 2013 的 Visual C++
    • （4）Microsoft Unified Communications Managed API 4.0 Core Runtime（64 位）
    • （5）安装：IIS URL 重写模块
  • 3.2、ExchangeServer2019-x64-CU14安装
  • • （1）Powershell安装相关服务器角色和功能
    • （2）重启电脑
    • （3）扩展AD架构
    • （4）扩展林
    • （5）扩展域
    • （6）安装 Exchange 邮箱服务器角色：安装 ExchangeServer2019-x64-CU14
    • （7）查看相关服务是否启动：Microsoft Exchange 相关服务
    • （8）创建邮箱用户
    • （9） 激活服务器
  • 3.3、Exchange 服务器中的 Exchange 管理中心
  • • （1）如何访问：Exchange 服务器中的 Exchange 管理中心
    • （2）登录Exchange 服务器中的 Exchange 管理中心
    • （3）访问https://localhost/ecp报错：拓扑提供程序在端点“TopologyClientTcpEndpoint （localhost）”上找不到 Microsoft Exchange Active Directory 拓扑服务。
  • 3.4、数据库可用性组 Database Availability Group（DAG）
  • • 3.4.1、将 "Exchange Trusted Subsystem" 安全组添加到本地管理员组中。
    • 3.4.2、创建目标计算机账户DAG，加入本地管理员组，加入Exchange Trusted Subsystem组，DAG成员添加安全列表赋予完全控制权限，并禁用
    • • （1）创建目标计算机账户DAG
      • （2）将目标计算机账户DAG加入本地管理员组
      • （3）将目标计算机账户DAG加入Exchange Trusted Subsystem组
      • （4）DAG成员添加安全列表赋予完全控制权限
      • （5）将目标计算机账户DAG禁用
    • 3.4.3、DNS创建A记录
    • 3.4.4、配置部署DAG
    • • （1）见证服务器，创建见证目录并且共享
      • （2）Exchange管理中心，选择数据库可用性组
      • （3）新建 "数据库可用性组"
      • （4）添加节点服务器
      • （5）配置群集网络
      • （2）
• （四）取消普通域用户将计算机加入域的权限
• • 1、普通账户将计算机加入域
  • 2、加域成功
  • 3、退域
  • 4、取消普通域用户将计算机加入域的权限
  • • （1）、ADSI 编辑器
    • （2）、设置ms-DS-MachineAccountQuota属性值为0
    • （3）、普通账户将计算机加入域：失败报错
    • （4）、域管理员账户将计算机加入域：成功
    • （5）、退域
  • 5、授权特定普通域用户将计算机加入域的权限
  • • （1）、新建一个域用户
    • （2）、委派控制
    • （3）、添加需要提升为具有将计算机加入域的账号（普通域账号）
    • （4）、委派testaccount账户将计算机加入到域
    • （5）、加域（使用委派用户）
    • （6）、加域成功
    • （7）、退域（使用委派用户）
  • 6、管理委派
  • • （1）、查看委派
    • （2）、删除委派
• （五）排除GPO权限

一、AD域创建

1、AD主域控制器的安装

1.1、准备

（1）windows server 2016域控DC01，修改 ip：192.168.10.1、子网掩码、默认网关、DNS：192.168.10.1。

（2）关闭防火墙，关闭IE增强的安全配置，开启远程桌面。

（3）装完系统，首先修改计算机名称，为DC01，重启。

1.2、安装活动目录域服务 Active Directory Domain Services

1.2.1、添加角色和功能

服务器管理器→添加角色和功能→开始之前→下一步

1.2.2、安装类型

安装类型→基于角色或基于功能的安装→下一步

1.2.3、服务器选择

1.2.4、服务器角色

服务器角色→Active Directory域服务

1.2.5、功能

功能→下一步

1.2.6、AD DS

1.2.7、确认

1.2.8、安装

1.3、将此服务器提升为域控制器

将此服务器提升为域控制器→Active Directory域服务配置向导

1.3.1、部署配置

部署配置→因为是第一台主域控服务器→添加新林→（测试环境的）根域名：contoso→下一步

1.3.2、域控制器选项

域控制器选项→域名系统DNS服务器→全局编录GC→目录服务还原模式密码→下一步。第一台域控制器不可以是RODC。

1.3.3、DNS选项

1.3.4、其他选项

1.3.5、路径

路径→默认指定AD DS数据库、日志文件和SYSVOL的位置→下一步

1.3.6、查看选项

1.3.7、先决条件检查

所有先决条件检查都成功通过→安装

1.3.8、安装

安装完等待自动重启，成为域控制器。

2、AD辅助域控制器的安装

2.1、准备

（1）windows server 2016域控DC02，修改 ip：192.168.10.2、子网掩码、默认网关、DNS：192.168.10.1。
（2）关闭防火墙，关闭IE增强的安全配置，开启远程桌面。
（3）装完系统，首先修改计算机名称，为DC02，重启。

2.2、加域

服务器管理器→本地服务器→sysdm.cpl系统属性→计算机名→更改→隶属于→域：contoso→输入有权限加入该域的账户的名称和密码（administrator账户密码）→重启

2.3、安装活动目录域服务 Active Directory Domain Services

活动目录域服务跟主域控制器安装方式一样。

2.4、将此服务器提升为域控制器

有变化：
部署配置→将域控制器添加到现有域→选择：contoso→更改：administrator@contoso ******

3、AD只读域控制器RODC的安装

3.1、准备

（1）windows server 2016域控DC02，修改 ip：192.168.10.3、子网掩码、默认网关、DNS：192.168.10.1。
（2）关闭防火墙，关闭IE增强的安全配置，开启远程桌面。
（3）装完系统，首先修改计算机名称，为DC03，重启。

3.2、加域

服务器管理器→本地服务器→sysdm.cpl系统属性→计算机名→更改→隶属于→域：contoso→输入有权限加入该域的账户的名称和密码（administrator账户密码）→重启

3.3、安装活动目录域服务 Active Directory Domain Services

活动目录域服务跟主域控制器安装方式一样。

3.4、将此服务器提升为域控制器

域控制器选项，有变化：勾选只读域控制器RODC。
其他步骤一样。

4、AD子域控制器的安装

待补充

5、重建域控

在新的虚拟化平台准备服务器虚拟机资源，重新做域控部署：

（1）原来的域控降级：

域控服务器删除时，必须先降级
计算机名为 DC06（IP：192.168.10.6）的域控服务器降级为普通成员服务器。

（2）原来的域控退域：

把普通成员服务器退域变成独立服务器，DC06点击计算机名称，由加入到域：contoso改成工作组WORKGROUP（win默认工作组WORKGROUP）
运行cmd：ipconfig /all，ip页面截全图保存。

（3）原来的域控关机：

将计算机名称：DC06 IP：192.168.10.6 关机。

（4）配置新的域控服务器：

新的域控安装操作系统，新给的服务器地址IP：192.168.10.10远程登录上后，
（1）修改计算机名称为DC07（跟原来域控DC06不重名）。
（2）配置原来域控的IP地址：192.168.10.6，更改适配器设置修改IPv4地址为192.168.10.6、子网掩码、网关、DNS：192.168.10.1、192.168.10.2（看截图），不勾选IPv6。
修改后运行cmd：输入ipconfig /all、输入nslookup后输入contoso，显示很多一串ip地址说明正常，修改后重新远程登录。
（3）关闭防火墙。（全都关了）
（4）关闭IE增强的安全配置

（4）新的域控服务器加域：

新的计算机名称为DC07 IP：192.168.10.6的服务器加域。
DC07点击计算机名称：由工作组改成加入到域contoso。

（5）新的域控服务器部署AD域服务，提升为分部域控服务器：

安装AD活动目录域服务。
提升为域控，同步AD域数据库信息，时间较长等待数据同步成功。

重建域控DC07后，高权限账号远程登录不了这台域控问题：组策略导致
一开始新建的域控DC07加入域时会有一条域策略让DC07进入tempcomputer，tempcomputer会限制高权限用户远程登录访问用户的隐私，如果想用高权限用户远程登录，必须查到DC07后拖入到Domain Controllers的分部机构域目录下，然后DC07执行强制更新组策略命令：gpupdate /force，高权限账号才能远程登录到这台DC07计算机。

（6）配置DHCP：

（可以先配置好，不要先授权）
（1）添加角色和功能向导：添加DHCP服务器
（2）打开DHCO服务器，IPv4右键新建作用域，找分部管理员要相关配置，完成作用域、地址池配置。
（3）IPv4红色，不要授权。
（4）必须等域控数据同步完成之后，DHCP的IPv4授权绿色。

二、组织单位OU

1、创建OU

（1）图形化界面：Active Directory 用户和计算机 中创建OU

Active Directory 用户和计算机→contoso→选择xx集团→右键→新建→组织单位

Active Directory 用户和计算机→contoso→选择xx集团→点击新建对象-组织单位→在xx集团下创建组织单位OU为test02。

（2）命令行中创建OU：

1、dsadd ou命令创建为test01的组织单位OU：

dsadd ou ou=test01,ou=test,ou=龙芯集团股份有限公司,dc=contoso,dc=com

点击刷新后，已成功创建test01。

2、powershell命令创建为test02的组织单位OU：

new-adorganizationalunit  -name test02 -path "ou=test,ou=龙芯集团股份有限公司,dc=contoso,dc=com"

点击刷新后，已成功创建test02。

2、查看OU

（1）图形化界面：Active Directory 用户和计算机 中查看OU

（2）命令行查询当前架构下OU信息：

1、dsquery命令查询当前OU信息：

dsquery ou

2、Powershell命令查询当前OU信息：

get-adorganizationalunit -filter * |select distinguishedname

3、模糊查询OU信息：

get-adorganizationalunit -filter 'Name -like "test*"' |ft distinguishedname

4、精确查询OU相关信息：

get-adorganizationalunit -filter 'Name -like "test01"' |fl

3、重命名OU

rename-adobject重命名OU信息：
将龙芯集团股份有限公司/test/test02重命名为test03：

rename-adobject "ou=test02,ou=test,ou=龙芯集团股份有限公司,dc=contoso,dc=com" -newname test03

点击刷新后，已成功将test02重命名为test03。

4、删除OU

1、remove-adorganizationalunit删除OU：
A、删除test03：

remove-adorganizationalunit  -identity  "ou=test03,ou=test,ou=龙芯集团股份有限公司,dc=contoso,dc=com"  -recursiv

根据提示回车Y确认删除，报错信息提示：拒绝访问，即使通过强制删除也无法完成删除操作，因为新建OU时勾选了"防止容器被意外删除"：

B、选择test组织单位→查看→高级功能

C、此时会看到比之前的结构多一些信息（NTDS Quotas、TPM Devices）：

D、选择要删除test03，鼠标右键选择属性→对象→不勾选"防止容器被意外删除"→点击应用→确定。

E、再执行删除命令：

remove-adorganizationalunit  -identity  "ou=test03,ou=test,ou=龙芯集团股份有限公司,dc=contoso,dc=com"  -recursiv -confirm:$false

删除成功，再次查看当前OU信息，已无法找到test03相关OU信息。

get-adorganizationalunit -filter 'Name -like "test*"' |ft distinguishedname

F、通过命令行取消勾选"防止容器被意外删除"，命令如下：
命令行取消勾选：“防止容器被意外删除”（将龙芯集团股份有限公司/test组织单位目录，取消防止容器被意外删除）

Set-adobject -identity  "ou=test,ou=龙芯集团股份有限公司,dc=contoso,dc=com"  -ProtectedFromAccidentalDeletion:$false

该目录及该目录下的都已取消勾选。

5、移动OU

（1）图形化移动OU：

右键要移动的OU信息，选择"移动"。

Windows无法移动对象test，因为：拒绝访问。

因为OU对象test属性中勾选"防止对象被意外删除"选项，取消勾选并确定。

成功移动OU组织单位：

（2）命令行移动OU：

1、Powershell命令行移动OU：（Desk test/test/test01移动到Desk test目录下）

move-adobject -identity  "ou=test01,ou=test,ou=Desk test,ou=龙芯集团股份有限公司,dc=contoso,dc=com"  -targetpath  "ou=Desk test,ou=龙芯集团股份有限公司,dc=contoso,dc=com"

2、dsmove命令移动OU：

dsmove ou=xxx,ou=Syncall,dc=azureyun,dc=local –newparent ou=HelpDesk,dc=azureyun,dc=local

三、用户、用户组

1、创建用户

2、创建用户组

3、用户添加进用户组

四、策略设置

• windows修改配置
• • 修改windows底层代码 ×
• • 修改windows注册表regedit √
• • 修改windows组策略 √
• • 修改windows设置 win+i 图形界面 √

场景：某公司用组策略管理用户桌面、计算机安全性，已经实施了一种OU设置，顶级OU代表不同的地点，每个地点ou的子ou代表不同的部门，用户账户与其工作站计算机账户在同一个容器中。服务器计算机账户在各个ou中。

1、管理 “计算机配置的管理模板策略”

1）策略：关闭事件跟踪程序（用户在关机时不会再要求用户提供关机的理由）

（1）gpmc.msc 命令 打开域组策略管理

检查域的结构：AD用户和计算机

win+r运行输入 gpmc.msc 域组策略管理→林→域→contoso→Domain Controllers→Default Domain Controllers Policy→在DC01上对域控制器的组策略进行编辑→打开 组策略管理管理编辑器

在 组策略管理管理编辑器→计算机配置→策略→管理模板→点击 系统→右侧：显示“关闭事件跟踪器”→双击打开→选择 已禁用→应用→确定

（2）gpupdate /force 命令：让配置的组策略强制生效

关闭事件跟踪程序，执行此条策略之后，所有的域控制器上，用户在关机的时候系统不会再提醒提供关机的理由。

2）策略：显示用户以前交互登录的信息

（1）gpmc.msc 打开域组策略管理

win+r运行输入 gpmc.msc 域组策略管理→林→域→contoso→Domain Controllers→Default Domain Controllers Policy→在DC01上对域控制器的组策略进行编辑→打开 组策略管理管理编辑器→计算机配置→策略→管理模板→点击 Windows组件→右侧：Windows登录选项→双击打开→选择 在用户登录期间显示有关以前登录的信息→选择 已启用→应用→确定

（2）gpupdate /force 命令：让配置的组策略强制生效

显示用户以前交互登录的信息，执行此条策略之后，所有的域控制器上，重启域控之后显示以前登录的信息。

2、管理 “用户配置的管理模板策略”

1）策略：阻止更改代理设置

（1）

2）策略：管理模板的其他设置

（1）

3、配置 “账户策略”

4、配置 “用户权限分配策略”

5、配置 “安全选项策略”

6、登录注销、启动关机脚本

7、文件重定向

8、使用组策略限制访问可移动存储设备

9、使用组策略的首选项管理用户环境

三、利用组策略部署软件与限制软件的运行

1、计算机分配软件部署

2、用户分配软件部署

3、用户发布软件部署

4、对软件进行升级和重定向

5、对特定软件启动软件限制策略

四、管理组策略

1、组策略的备份、还原、查看组策略

2、使用WMI筛选器

3、管理组策略的委派

4、设置和使用 Starter GPO

五、文件权限与共享文件夹

网络中最重要的是安全，安全中最重要的是权限，在网络中，网络管理员首先面对的是权限，日常解决的问题也是权限问题，最终出现漏洞还是由于权限设置出了问题。
公用文件夹：磁盘内的文件经过适当权限设置后，每位用户都只能访问自己有权限的文件。
共享文件夹：共享文件夹可以将文件共享给网络上的其他用户。
共享权限：网络中的用户须拥有适当的共享权限才可以访问共享文件夹。读取、更改、完全控制同时需要注意与NTFS权限结合。

1、设置资源共享（创建共享）

1.1、普通共享

（1）DC1域控上创建用户：kuaiji

在DC1域控上组织单位：财务部下创建会计，创建会计用户：kuaiji，用会计用户来测试共享。

（2）在【计算机管理】中设置共享资源

1、准备文件夹：创建文件服务器FileServer并加入域contoso，文件服务器FileServer的C盘下创建share文件夹，C:\share。


2、设置共享文件夹：win+r运行输入compmgmt.msc打开计算机管理，计算机管理(本地)→系统工具→共享文件夹→共享→右键→新建共享→创建共享文件夹向导→下一步→文件夹路径：C:\share→下一步→名称描述默认→共享文件夹的权限：选择管理员有完全访问权限，其他用户有只读权限R→完成→完成。

这样就创建了一个共享。

1.2、特殊共享

C$、IPC$，这些系统自动创建的共享资源就是 “特殊共享”。（不要修改特殊共享）

2、访问网络共享资源

2.1、利用网络发现，访问网络共享资源

文件服务器FileServer上创建了一个共享文件夹C:\share，如何去访问？？？

（1）administrator@contoso管理员账户登录到win11加域的成员服务器客户端计算机。

（2）网络发现和文件共享已关闭。看不到网络计算机和设备。启用网络发现和文件共享。

资源管理器→网络→网络发现和文件共享已关闭。看不到网络计算机和设备→右键→启用网络发现和文件共享。

（3）启用网络发现和文件共享后，必须开启三个服务

• 1、管理员账户登录：文件服务器FileServer，启用网络发现和文件共享后，运行services.msc，开启三个服务。
• • 1.1、找到Function Discovery Resource Publication服务，启动类型：自动，然后启动。
• • 1.2、找到SSDP Discovery服务，启动类型：自动，然后启动。
• • 1.3、找到UPnP Device Host服务，启动类型：自动，然后启动。

（4）三个服务启动后，在文件服务器FileServer上网络可以看到自己本身的共享服务器名称及文件。

（5）在win11客户端上文件资源管理器网络就可以访问到FileServer共享服务器名称及文件。

2.2、使用UNC路径，访问网络共享资源

（1）UNC路径

• 通用命名标准 Universal Naming Conversion UNC是用于命名文件和其他资源的一种约定，以两个反斜杠"\\"开头，指明该资源位于网络计算机上。
• UNC路径格式：\\Servername \sharename
• UNC路径格式：\\ServerIP \sharename
• 其中Servername是服务器名称，也可以用IP地址代替，而sharename是共享资源的名称。目录或文件的UNC名称也可以把目录路径包括在共享名称之后。

（2）在文件服务器FileServer上，services.msc服务中关闭三个服务：Function Discovery Resource Publication服务、SSDP Discovery服务、UPnP Device Host服务。

（3）用kuaiji账户登录win11客户端计算机，UNC路径：\FILESERVER\Share，访问网络共享资源，可以访问到文件服务器FileServer上的共享。

3、卷影副本

3.1、卷影副本功能

用户可以通过"共享文件夹的卷影副本"功能，让系统自动在指定的时间将所有共享文件内的文件复制到另外一个存储区内备用，当用户通过网络访问共享文件夹内的文件，将文件删除或者修改文件的内容后，却反悔想要救回该文件或者想要还原文件的原来内容时，可以通过"卷影副本"存储区内的旧文件来达到恢复旧文件的目的，因为系统之前已经将共享文件夹内的所有文件都复制到"卷影副本"存储区内了。

3.2、开启卷影副本测试

（1）启用"共享文件夹的卷影副本"功能

• 1）确认share是共享文件夹：在文件服务器fileserver01上，win+r运行输入compmgmt.msc打开计算机管理，计算机管理(本地)→系统工具→找到share共享文件夹。
  
• 2）在文件服务器fileserver01上，win+r运行输入compmgmt.msc打开计算机管理，计算机管理(本地)→系统工具→共享文件夹→右键→所有任务→配置卷影副本。
  

（2）配置卷影副本

卷影副本对话框中，C:\默认是已禁用。选中，点击启用。

启用卷影复制→是。

当出现：所选卷的卷影副本（日期时间2024/12/21 16:19）时，那么此时就为现在C盘下的共享创建了卷影副本，点击确定。
此时已经启用了C盘下C:\share文件夹上文件夹的卷影副本的功能。

（3）客户端访问"卷影副本"

1）在域控DC01上，UNC路径访问共享资源文件夹：\fileserver01\share。

2）在域控DC01上，永久性的删除\fileserver01\share\test01文件夹，发现此时的删除是误删除，想要恢复test01文件夹。

3）在域控DC01上，恢复test01文件夹。

向上回退到UNC路径的fileserver01根目录下→右键单击"share"文件夹→属性→share(\fileserver01)属性→"以前的版本"选项卡→选择"share 2024/12/21 16:19"版本→还原（还原误删除的test01文件）→确定。


单击"打开"按钮可查看该时间点内的文件夹内容。
单击"还原"按钮可以将文件夹还原到该时间点的状态。

4）打开"share"文件夹，检查"test01"是否被恢复。

3.3、关闭禁用卷影副本

计算机管理→共享文件夹→所有任务→配置卷影副本

卷影副本→选择一个卷：C:\→禁用

禁用卷影复制→是

4、NTFS权限和共享权限

4.1、NTFS权限

利用NTFS权限，可以控制用户账户和组对文件夹及个别文件的访问。
NTFS权限只适用于NTFS磁盘分区。NTFS权限不能用于由FAT16或者FAT32文件系统格式化的磁盘分区。windows server 2016 只为用NTFS进行格式化的磁盘分区提供NTFS权限。

4.2、NTFS权限类型

可以利用NTFS权限指定哪些用户、组和计算机能够访问文件和文件夹。NTFS权限也指明哪些用户、组和计算机能够操作文件或文件夹中的内容。
NTFS权限类型分为两种：NTFS文件夹权限和NTFS文件权限。

（1）NTFS文件夹权限

可以通过授予文件夹权限、控制对文件夹和包含在这些文件夹中的文件和子文件夹的访问。
下表列出了可以授权的标准NTFS文件夹权限和各个权限提供的访问类型。

标准NTFS文件夹权限列表

（2）NTFS文件权限

4.3、测试NTFS权限

（1）准备

• （1）在域控DC01上，创建肥城财务部用户fccwb，属于财务部组。
  
• （2）在文件服务器FileServer01上用AD管理员账户创建两个测试文件夹：测试1、测试2，测试1和测试2下有bmp、txt文件内都有内容。
  
  
• （3）在文件服务器FileServer01上用AD管理员账户分别将两个测试文件夹：测试1、测试2，共享。并且客户端计算机ClientWin11使用UNC路径可以访问。
  
  

（1）测试1文件夹：共享权限窄，NTFS权限宽，最终的权限结果取交集

• （1）设置用户的NTFS权限（用户完全控制）
  “财务部用户文件夹权限测试1” 测试1文件夹→属性→安全（NTFS权限）→添加 “肥城财务部用户fccwb” →授予勾选：完全控制的权限。
  
• （2）设置用户的共享权限（用户读取）
  “财务部用户文件夹权限测试1” 测试1文件夹→属性→共享（共享权限）→将 “肥城财务部用户fccwb” →权限级别→授予勾选：读取的权限。
  
• （3）用域肥城财务部用户fccwb登录加域的客户端计算机ClientWin11，UNC路径访问FileServer01：\192.168.10.15
  
• （4）肥城财务部用户fccwb测试读取，能打开txt看到内容，有权限读取
  - （5）肥城财务部用户fccwb测试编辑txt添加内容3333，无权限编辑该财务部测试1.txt文件，无权保存该文件
  保存报错
  
  
  只能另存为
  
  
  
• （6）用户NTFS权限（用户完全控制）和共享权限（用户读取）同时存在，最终的权限结果取交集（只有用户读取的权限）

当再次查看，用户安全NTFS权限为读取

当再次查看，用户共享权限也是读取

也就是说，当用户共享权限和NTFS权限有冲突，会重新定义用户的权限。

（2）测试2文件夹：共享权限宽，NTFS权限窄，最终的权限结果取交集

• （1）设置用户的NTFS权限（用户读取）
  “财务部用户文件夹权限测试2” 测试2文件夹→属性→安全（NTFS权限）→编辑→"财务部用户文件夹权限测试2" 的权限→只授予勾选：读取的权限。
  

• （2）设置用户的共享权限（用户完全控制）
  “财务部用户文件夹权限测试2” 测试2文件夹→属性→共享（共享权限）→共享→网络访问→下三角→查找个人→输入对象名称：fccwb→给"肥城财务部用户fccwb"→读取/写入的权限
  
  

• （3）用域肥城财务部用户fccwb登录加域的客户端计算机ClientWin11，UNC路径访问FileServer01：\192.168.10.15
  

• （4）肥城财务部用户fccwb测试读取，能打开txt看到内容，有权限读取
  - （5）肥城财务部用户fccwb测试编辑txt添加内容4444，保存，无权限编辑该财务部测试2.txt文件，无权保存该文件
  
  
  保存
  
  只能另存为同上。

• （6）用户NTFS权限（用户读取）和共享权限（用户完全控制）同时存在，最终的权限结果取交集（只有用户读取的权限）
  当再次查看，用户安全NTFS权限为读取
  
  当再次查看，用户共享权限变成了自定义
  
  也就是说，当用户共享权限和NTFS权限有冲突，会重新定义用户的权限。

4.4、NTFS权限文件优于文件夹

（1）准备

（2）

（3）

（4）

（4）

4.5、NTFS权限继承、累加、拒绝优先

5、复制和移动文件及文件夹

6、利用NTFS权限管理数据

7、压缩文件

8、加密文件系统

五、灾难恢复

1、AD域控角色转移（适合在主域控制器还能够使用时，需要升级AD控制器升级系统时的操作），Transfer传送

1.1、查看控制器和FSMO角色

（一）Windows Server打开相关操作界面的命令总结

Windows Server 打开相应的程序、服务、文件夹、文档或Internet资源的相关命令。

• Windows Server 版本的比较，微软官方链接：https://learn.microsoft/zh-cn/windows-server/get-started/editions-comparison?pivots=windows-server-2025

1、控制面板：（如何打开）

（1）win+r运行输入control panel、control
（2）开始-右键-控制面板

2、Windows设置：（如何打开）

（1）win+i
（2）开始-设置

3、服务：（如何打开）

（1）win+r运行输入services.msc
（2）右键-任务管理器-服务
（3）开始-windows管理工具-服务

4、证书：（如何打开）

（1）当前用户证书管理工具win+r运行输入certmgr.msc
（2）本地计算机证书win+r运行输入certlm.msc

5、网络连接：（如何打开）

win+r运行输入ncpa.cpl

6、任务管理器：（如何打开）

（1）win+r运行输入taskmgr
（2）ctrl+alt+delete
（3）Win+X

7、系统属性→计算机名、硬件、高级-环境变量、远程：（如何打开）

运行 输入sysdm.cpl，此命令打开系统属性的4个相关管理界面：
（1）计算机名称
（2）硬件
（3）高级-环境变量
（4）远程

8、修改计算机名称：（如何打开）

（1）运行 输入sysdm.cpl，更改，计算机名称，重启之后生效。
（2）以管理员运行powershell，执行hostname查看一下当前的计算机名称，执行Rename-Computer -NewName DC001，重启，重启之后计算机名称修改为DC001。

9、开启远程桌面：（如何打开）

（1）Windows server、windows11安装后开启远程桌面，选择一个文件夹打开-此电脑-右键-属性-高级系统设置-系统属性-远程-允许远程连接到此计算机
（2）win+r运行 输入sysdm.cpl→系统属性→远程→允许远程连接到此计算机

10、计算机管理：（如何打开）

win+r运行输入compmgmt.msc

计算机管理（本地）

• +系统工具
• • 任务计划程序
• • 事件查看器
• • 共享文件夹
• • 性能
• • 设备管理器
• 存储
• • Windows Server 备份
• • 磁盘管理
• 服务和应用程序
• • Internet Information Services (llS)管理器
• • 路由和远程访问
• • 服务
• • WMI 控件
    

11、磁盘管理：（如何打开）

win+r行 输入diskmgmt.msc

12、事件查看器：（如何打开）

（1） win+r运行输入eventvwr.msc
（2）开始-右键-控制面板-系统和安全-查看事件日志

13、telnet测试某个端口是否可以访问：

telnet测试某个端口是否可以访问：win+r运行输入cmd以管理员身份运行。
telnet语法格式：
（1）telnet IP 端口号 ：telnet 192.168.10.1 53
（2）telnet 域名 端口号 ：telnet contoso 53

进入后退出telnet：按CTRL+]键，输入quit
Microsoft Telnet> quit

14、netstat –ano查看进程和端口：

（1）查看进程和端口：netstat –ano 列出系统中所有网络连接和进程信息

（2）查看系统中占用80端口的PID进程信息（该端口被哪个pid进程所占用）
netstat –ano |findstr 端口号
netstat –ano |findstr 80

格式：
| 协议 | 本地地址 | 外部地址 | 状态 | PID |
| TCP | 0.0.0.0:80 | 0.0.0.0:0 | Listening | 4 |

15、查看PID进程号对应的进程名称、查看进程名称对应的PID：

（1）查看PID对应的进程名称：
tasklist | findstr PID进程号
tasklist | findstr 3364

（2）查看进程名称对应的PID：
tasklist | findstr name进程名称
tasklist | findstr MicrosoftEdgeUpdate.exe

17、刷新DNS解析缓存：（如何打开）

ipconfig /flushdns

16、本地组策略（组策略编辑器）：（如何打开）

本地组策略（组策略编辑器）：win+r运行输入 gpedit.msc

17、域组策略：（如何打开）

域组策略：win+r运行输入 gpmc.msc

18、强制更新组策略命令：（如何打开）

强制更新组策略命令（刷新本地和基于Active Directory的组策略设置）：以管理员身份运行Powershell输入 gpupdate /force

19、查看策略的结果集并导出：（如何打开）

（1）win+r运行输入rsop.msc（查看本机所加载的GPO组策略对象）

（2）导出用户或计算机的组策略设置和策略的结果集：

导出用户或计算机的组策略设置和策略的结果集命令：
gpresult /H C:\Users\tempadmin\Desktop\1\1.html

19、Active Directory用户和计算机：dsa.msc：（如何打开）

20、从源域控制器DC开始对目标域控制器DC进行复制。

（1）使用 AD 站点和服务进行复制：

从 <源 DC01> 复制到 <目标 DC02>

（2）运行使用Repadmin命令：

从 <源 DC01> 复制到 <目标 DC02>命令：
Repadmin /replicate DC02.contoso DC01.contoso “DC=contoso,DC=com”

21、查询域中部署的站点

查询域中部署的站点：
Dsquery site
查询域中部署的站点导出到1.txt文件：
Dsquery site >C:\Users\tempadmin\Desktop\1\1.txt

22、查询某个站点内的域控

查询QQJN站点内的域控：Dsquery server -site QQJN

23、Windows Server 列出所有已安装的补丁，包括补丁的 KB 编号、描述和安装日期

在Powershell中运行Get-HotFix命令，此命令会列出所有已安装的补丁，包括补丁的 KB 编号、描述和安装日期。

24、查看AD中某个用户最后一次登录的时间

（1）AD用户和计算机中可以右键打开用户属性，切换到属性编辑器页，下的LastLogon属性中看到用户最后一次登录的时间。

（2）用命令查看AD中某个用户最后一次登录的时间

Get-ADUser -Identity “用户名” -Properties LastLogonDate | Select-Object Name, LastLogonDate
示例：
Get-ADUser -Identity “kuaiji” -Properties LastLogonDate | Select-Object Name, LastLogonDate

25、AD域中远程重启某台计算机命令

contoso域中在DC01远程重启计算机名DC02 ip为192.168.10.2命令：
Restart-Computer -ComputerName DC02.contoso -Force
Restart-Computer -ComputerName 192.168.10.2 -Force

26、客户端加域的日志

补充
客户端上的C:\Windows\debug\netsetup.log日志
补充

26、

26、

26、

26、

26、

26、

26、

26、

（二）Windows Server 事件 ID

什么是 Windows 事件日志

Windows 事件日志是记录系统事件的文件，涵盖了应用程序错误、系统错误和安全事件等。通过这些日志，我们可以追溯问题发生的原因，了解计算机的健康状况，以及排除故障。

事件日志通常包括以下这些信息：
日志名称：事件所属的类型。
来源：产生事件的应用或组件。
事件 ID：用于识别具体事件的编号。
级别：事件的严重程度，比如【信息】、【警告】和【错误】等。
用户：事件发生时的用户账户。
操作代码：也叫 OpCode，记录触发事件时所执行的操作。
记录时间：事件发生的具体时间。
任务类别：提供事件更多细节的分类。
关键字：用于分类事件的关键词，常见的有「经典」。
计算机：记录事件的计算机名称。

位置

日志文件位于C:\windows\system32\config\路径下，但不支持使用文本编辑器打开。

1、Windows日志-Application应用程序

（1）事件ID：11707 information（软件安装成功）

在 Windows Server 上安装软件应用程序时，相关的事件记录通常会在事件查看器中找到。
安装软件时，通常会记录在事件 ID 11707（表示安装成功）和事件 ID 11724（表示安装失败）中。这些事件通常出现在应用程序日志中。

Product: Microsoft Edge – Installation completed successfully.
严重性 : information类型 : Application源 : MsiInstaller

（2）事件ID：11724 information（软件安装失败、删除、卸载）

产品: Java SE Development Kit 8 Update 131 (64-bit)-- 成功地完成了删除。
严重性 : information类型 : Application源 : MsiInstaller

（4）事件ID：2142 error（拓扑发现失败）

Process Microsoft.Exchange.Directory.TopologyService.exe (PID=7224) Forest contoso. Topology discovery failed, error details TimedOut.
严重性 : error类型 : Application源 : MSExchangeADTopology

Process Microsoft.Exchange.Directory.TopologyService.exe (PID=7200) Forest contoso. Topology discovery failed, error details DsGetSiteName 失败，出现错误 0x51F。.
严重性 : error类型 : Application源 : MSExchangeADTopology

DsGetSiteName失败，一旦获取站点名称失败，AD域中这台mail01服务器中的exchange相关服务启动失败导服务器宕机。

2、Windows日志-Security安全

（1）事件ID：4769 failure（某个账户登录，已请求 Kerberos 服务票证。每次请求访问资源(例如计算机或 Windows 服务)时生成此事件。服务名称表示请求访问的资源。）

已请求 Kerberos 服务票证。
帐户信息:
帐户名: kuaii@CONTOSO.COM
帐户域: CONTOSO.COM
登录 GUID: {17c59c38b-44b6-4b3a-6102-681434d72cdd}

服务信息:
服务名称: DC01$
服务 ID: CONTOSO\DC01$

网络信息:
客户端地址: ::ffff:192.168.10.100
客户端端口: 63687

附加信息:
票证选项: 0x40810000
票证加密类型: 0x12
故障代码: 0x0
传递服务: -

每次请求访问资源(例如计算机或 Windows 服务)时生成此事件。服务名称表示请求访问的资源。

可以通过比较每个事件中的“登录 GUID”字段将此事件与 Windows 登录事件相关联。登录事件发生在被访问的计算机上，通常情况下，该计算机不是颁发服务票证的域控制器计算机。

票证选项、加密类型和故障代码是在 RFC 4120 中定义的。

严重性 : failure类型 : Security源 : Microsoft-Windows-Security-Auditing

（2）事件ID：4624 success（已成功登录帐户。创建登录会话时，将在被访问的计算机上生成此事件）

已成功登录帐户。

“使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。
使用者:
安全 ID: NULL-SID
帐户名称: -
帐户域: -
登录 ID: 0x0

“登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。
登录信息:
登录类型: 3
受限制的管理员模式: -
虚拟帐户: 否
提升的令牌: 是

“模拟级别”字段指示登录会话中的进程可以模拟到的程度。
模拟级别: 委派

“新登录”字段指示新登录是为哪个帐户创建的，即已登录的帐户。
新登录:
安全 ID: CONTOSO\kuaiji
帐户名称: kuaiji
帐户域: CONTOSO.COM
登录 ID: 0x557137
链接的登录 ID: 0x0
网络帐户名称: -
网络帐户域: -
登录 GUID: {175bb990a-1254-1677-ab38-10d36657a109}

进程信息:
进程 ID: 0x0
进程名称: -
“网络”字段指示远程登录请求源自哪里。
网络信息:
工作站名称: -
“工作站名称”并非始终可用，并且在某些情况下可能会留空。
源网络地址: 192.168.10.100
源端口: 63686

详细的身份验证信息:
登录进程: Kerberos
身份验证数据包: Kerberos
传递的服务: -
数据包名(仅限 NTLM): -
密钥长度: 0

“身份验证信息”字段提供有关此特定登录请求的详细信息。

• “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。
  -“传递的服务”指示哪些中间服务参与了此登录请求。
  -“数据包名”指示在 NTLM 协议中使用了哪些子协议。
  -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥，则此字段将为 0。

严重性 : success类型 : Security源 : Microsoft-Windows-Security-Auditing用户名 : kuaiji

（3）事件ID：4634 success（已注销账户。在登录会话被破坏时生成此事件。）

已注销帐户。

使用者:
安全 ID: CONTOSO\kuaiji
帐户名: kuaiji
帐户域: CONTOSO
登录 ID: 0x557137
登录类型: 3
在登录会话被破坏时生成此事件。可以使用登录 ID 值将它和一个登录事件准确关联起来。在同一台计算机上重新启动的区间中，登录 ID 是唯一的。

严重性 : success类型 : Security源 : Microsoft-Windows-Security-Auditing用户名 : kuaiji

（4）事件ID：4625 failure（帐户登录失败。登录请求失败时在尝试访问的计算机上生成此事件。）

补充

（5）事件ID：4740 success（已锁定用户帐户）

已锁定用户帐户。
使用者:
安全 ID: S-1-5-18 帐户名: DC01$ 帐户域: CONTOSO 登录 ID: 0x3E7
已锁定的帐户:
安全 ID: S-1-5-12-2000478354-1455571177-839992115-45662 帐户名: kuaiji
附加信息:
调用方计算机名: FileServer01

事件ID : 4740严重性 : success类型 : Security源 : Microsoft-Windows-Security-Auditing

（6）事件ID：

（7）事件ID：

（8）事件ID：

（9）事件ID：

3、Windows日志-Setup

（1）事件ID：

（2）事件ID：

（3）事件ID：

（4）事件ID：

4、Windows日志-System系统

（1）事件ID：12 information（操作系统启动）

操作系统已在系统时间2024 - 1108T03:10:37.500000000Z启动。
严重性 : information类型 : System源 : Microsoft-Windows-Kernel-General

（2）事件ID：13 information（操作系统关闭）

操作系统将在系统时间2024 -11 -05T09:10:38.466731300Z关闭
严重性 : information类型 : System源 : Microsoft-Windows-Kernel-General

（3）事件ID：41 information（操作系统已在未先正常关机的情况下重新启动）

系统已在未先正常关机的情况下重新启动。如果系统停止响应、发生崩或意外断电，则可能会导致此错误。
严重性 : information类型 : System源 : Microsoft-Windows-Kernel-Power

（4）事件ID：6008 error（操作系统意外关闭）

上一次系统的 14:56:04在2024/ 11/ 7 上的关闭是意外的。
严重性 : error类型 : System源 : EventLog

（5）事件ID：1074 information（哪个用户启动哪台计算机，重启: 其他(计划外)方式是什么，关机类型: 重启）

进程 C:\Windows\system32\SystemSettingsAdminFlows,exe (DC01) 由于以下原因已代表用户 CONTOSO\temp 启动计算机 DC01 的 重启: 其他(计划外)原因代码: 0x5000000
关机类型: 重启
类型 : System源 : User32用户名 : NT AUTHORITY\SYSTEM

（6）事件ID：5807 warning（在过去的 4.23 小时中有 37 连接从 IP 地址 没有映射到企业中任何站点的客户端计算机,到这个域控制器）

在过去的 12.90 小时中有 27 连接从P 地址 没有映射到企业中任何站点的客户端计算机,到这个域控制器。。。。。。
严重性 : warning类型 : System源 : NETLOGON

原因：子网里面没配置。把划分的子网归到辅助域控下面这个事件id就不会报错。

（7）事件ID：1202 success（开启ADFS登录审计）

各个event id的作用看微软官方链接：
https://learn.microsoft/en-us/windows-server/identity/ad-fs/troubleshooting/ad-fs-tshoot-logging
使用事件和日志记录对 Active Directory 联合身份验证服务（ADFS）进行故障排除
命令：auditpol.exe /set /subcategory:“Application Generated” /failure:enable /success:enable

The Federation Service validated a new credential. See XML for details. Activity ID: 64y8b896-9q3e-423b-112w-0080000000d7 Additional Data XML: <?xml version="1.0" encoding="utf-16"?> <AuditBase xmlns:xsd="http://www.p6/2012/XMLSchema" xmlns:xsi="http://www.p7/2019/XMLSchema-instance" xsi:type="FreshCredentialAudit"> <AuditType>FreshCredentials</AuditType> <AuditResult>Success</AuditResult> <FailureType>None</FailureType> <ErrorCode>N/A</ErrorCode> <ContextComponents> <Component xsi:type="ResourceAuditComponent"> <RelyingParty>https://mail001.contoso/owa/</RelyingParty> <ClaimsProvider>AD AUTHORITY</ClaimsProvider> <UserId>kuaiji@mail001.contoso</UserId> </Component> <Component xsi:type="AuthNAuditComponent"> <PrimaryAuth>N/A</PrimaryAuth> <DeviceAuth>false</DeviceAuth> <DeviceId>N/A</DeviceId> <MfaPerformed>false</MfaPerformed> <MfaMethod>N/A</MfaMethod> <TokenBindingProvidedId>false</TokenBindingProvidedId> <TokenBindingReferredId>false</TokenBindingReferredId> <SsoBindingValidationLevel>NotSet</SsoBindingValidationLevel> </Component> <Component xsi:type="ProtocolAuditComponent"> <OAuthClientId>N/A</OAuthClientId> <OAuthGrant>N/A</OAuthGrant> </Component> <Component xsi:type="RequestAuditComponent"> <Server>http://loginsrv11.contoso/adfs/services/trust</Server> <AuthProtocol>WSFederation</AuthProtocol> <NetworkLocation>Intranet</NetworkLocation> <IpAddress>192.168.111.111</IpAddress> <ForwardedIpAddress /> <ProxyIpAddress>N/A</ProxyIpAddress> <NetworkIpAddress>N/A</NetworkIpAddress> <ProxyServer>N/A</ProxyServer> <UserAgentString>Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.69 (KHTML, like Gecko) Chrome/133.0.0.0 Safari/537.36 Edg/133.0.0.0</UserAgentString> <Endpoint>/adfs/ls/</Endpoint> </Component> </ContextComponents> </AuditBase>

事件ID : 1202严重性 : success类型 : Security源 : AD FS Auditing

（2）事件ID：

（3）事件ID：

（4）事件ID：

5、Exchange日志-System系统

（1）事件ID：4266 warning

消息 : 有关从全局 UDP 端口空间分配一个短端口号的请求失败，因为所有此类端口都在使用中。
时间 : 2023-12-26 05:53:20
显示名称 : mail009
设备 : mail009
事件ID : 4266
严重性 : warning
类型 : System
源 : Tcpip

（2）事件ID：10028 error

消息 : DCOM 无法使用任何配置的协议与计算机 ca001.contoso 进行通信；请求人 PID fc (C:\Windows\system32\taskhostw.exe)。
时间 : 2023-12-26 04:47:50
设备 : DC02（先在域控DC02上与ca001无法通信，每天都有报错）
事件ID : 10028
严重性 : error
类型 : System
源 : Microsoft-Windows-DistributedCOM

（3）事件ID：10028 error

消息 : DCOM 无法使用任何配置的协议与计算机 mail004.contoso 进行通信；请求者 PID 2220 (C:\Program Files\Microsoft\Exchange Server\V15\Bin\msexchangerepl.exe)，同时激活 CLSID {8BC7F77E-D77B-11D0-A777-00C07FB88690}。
时间 : 2023-12-26 06:03:35
设备 : mail009（服务器mail009上与mail004无法通信，报错，然后mail009的POP3服务宕机）
事件ID : 10028
严重性 : error
类型 : System
源 : Microsoft-Windows-DistributedCOM

消息 : DCOM 无法使用任何配置的协议与计算机 mailvv1.contoso 进行通信；请求者 PID 2220 (C:\Program Files\Microsoft\Exchange Server\V15\Bin\msexchangerepl.exe)，同时激活 CLSID {8BC7F77E-D77B-11D0-A777-00C07FB88690}。
时间 : 2023-12-26 06:14:22
设备 : mail009（服务器mail009上与mailvv1无法通信，报错，然后mail009的POP3服务宕机）
事件ID : 10028
严重性 : error
类型 : System
源 : Microsoft-Windows-DistributedCOM

（4）事件ID：1135 error

消息 : 已从活动故障转移群集成员身份中删除群集节点“mail001”。可能已在该节点上停止群集服务。这可能还由于该节点已与故障转移群集中的其他活动节点失去通信所致。请运行“验证配置”向导检查网络配置。如果此情况持续出现，请检查此节点上与网络适配器相关的硬件或软件错误。同时还要检查节点连接到的任何其他网络组件(如集线器、交换机或网桥)中的故障。
时间 : 2023-12-27 02:43:25
设备 : mail003（服务器mail003上先报错，服务器mail003上删除群集节点“mail002、004、。。。010”的报错）
事件ID : 1135
严重性 : error
类型 : System
源 : Microsoft-Windows-FailoverClustering

（5）事件ID：1177 error

消息 : 群集服务正在关闭，原因是仲裁已丢失。这可能是由于丢失了群集中某些节点或所有节点之间的网络连接，或故障转移见证磁盘。 请运行“验证配置”向导以检查网络配置。如果此情况持续出现，请检查与网络适配器相关的硬件或软件错误。同时还要检查节点连接到的任何其他网络组件(如集线器、交换机或网桥)中的故障。
时间 : 2023-12-27 02:43:26
设备 : mail003（服务器mail003上的报错）
事件ID : 1177
严重性 : error
类型 : System
源 : Microsoft-Windows-FailoverClustering

（6）事件ID：1146 error

消息 : 群集资源宿主子系统(RHS)进程已终止并将重新启动。这通常与群集运行状况检测以及恢复资源关联。若要确定导致此问题的资源和资源 DLL，请参阅系统事件日志。
时间 : 2023-12-27 02:43:26
设备 : mail003
事件ID : 1146
严重性 : error
类型 : System
源 : Microsoft-Windows-FailoverClustering

事件ID：1135、1177、1146出现可能的原因：
尽管提到网络和虚拟机没有做过调整，但仍建议检查网络配置，确保所有节点之间的通信正常。
检查节点“mail003”上的硬件和软件状态，确保没有故障。
确保防火墙和防病毒软件没有阻止群集通信。
如果群集节点已经自动重启并重新连接，通常不需要手动干预。群集服务会尝试自动恢复连接并重新加入群集。不过，建议您监控一段时间，确保问题不再复发。
如果问题持续出现，建议运行群集验证配置向导（Validate a Configuration Wizard）来检查网络配置和群集设置，确保没有潜在的配置问题。

（4）事件ID：

（5）事件ID：

（三）Exchange Server 2019搭建

3.1、Exchange Server 必备组件

微软官方链接：https://learn.microsoft/zh-cn/exchange/plan-and-deploy/prerequisites?view=exchserver-2019
也就是安装Exchange Server 2019之前，必须先提前安装这些软件才行。

• 计算机需要以下软件：
• • （1）NET Framework 4.8
    下载链接地址：https://download.visualstudio.microsoft/download/pr/014120d7-d689-4305-befd-3cb711108212/0fd66638cde16859462a6243a4629a50/ndp48-x86-x64-allos-enu.exe
• • （2）适用于 Visual Studio 2012 的 Visual C++ 可再发行组件包
    下载链接地址：https://www.microsoft/zh-cn/download/details.aspx?id=30679
• • （3）Visual Studio 2013 的 Visual C++ 可再发行程序包
    下载链接地址：https://support.microsoft/zh-cn/topic/update-for-visual-c-2013-redistributable-package-d8ccd6a5-4e26-c290-517b-8da6cfdf4f10
• • （4）Microsoft Unified Communications Managed API 4.0 Core Runtime（64 位）统一通信托管 API (UCMA) 4.0 是一个托管代码平台
    下载链接地址：https://www.microsoft/en-us/download/details.aspx?id=34992

（1）安装.NET Framework 4.8

（2）Visual Studio 2012 的 Visual C++

（3）Visual Studio 2013 的 Visual C++

（4）Microsoft Unified Communications Managed API 4.0 Core Runtime（64 位）

必备组件安装，这一步是安装系统补丁及依赖包。
如果是在自己测试环境，安装完必备组件后拍摄快照，方便安装中出错还原。

（5）安装：IIS URL 重写模块

解决报错：
（1）先安装：Web服务器（IIS）

（2）在安装：IIS URL 重写模块

3.2、ExchangeServer2019-x64-CU14安装

（1）Powershell安装相关服务器角色和功能

（1）上一步中，Visual Studio 2012 的 Visual C++安装完后，继续管理员身份运行Powershell安装远程工具管理包命令：
Install-WindowsFeature RSAT-ADDS
为什么：如果使用 Exchange 安装向导来准备 Active Directory，则需要 Visual C++ 可再发行程序包。

（2）添加所需的 Lync Server 或 Skype for Business Server 组件，

通过在 Windows PowerShell 中执行以下命令来安装 Server Media Foundation Windows 媒体基础框架服务 功能：
Install-WindowsFeature Server-Media-Foundation

（3）exchange 2019 IIS安装命令：
Install-WindowsFeature Web-WebServer,Web-Common-Http,Web-Default-Doc,Web-Dir-Browsing,Web-Http-Errors,Web-Static-Content,Web-Http-Redirect,Web-Health,Web-Http-Logging,Web-Log-Libraries,Web-Request-Monitor,Web-Http-Tracing,Web-Performance,Web-Stat-Compression,Web-Dyn-Compression,Web-Security,Web-Filtering,Web-Basic-Auth,Web-Client-Auth,Web-Digest-Auth,Web-Windows-Auth,Web-App-Dev,Web-Net-Ext45,Web-Asp-Net45,Web-ISAPI-Ext,Web-ISAPI-Filter,Web-Mgmt-Tools,Web-Mgmt-Compat,Web-Metabase,Web-WMI,Web-Mgmt-Service,NET-Framework-45-ASPNET,NET-WCF-HTTP-Activation45,NET-WCF-MSMQ-Activation45,NET-WCF-Pipe-Activation45,NET-WCF-TCP-Activation45,Server-Media-Foundation,MSMQ-Services,MSMQ-Server,RSAT-Feature-Tools,RSAT-Clustering,RSAT-Clustering-PowerShell,RSAT-Clustering-CmdInterface,RPC-over-HTTP-Proxy,WAS-Process-Model,WAS-Config-APIs

（2）重启电脑

（3）扩展AD架构

将Exchange Server 2019 安装介质解压或挂载到Exchange服务器上，并使用管理员身份打开 CMD，并切换到Exchange安装目录下。
使用命令进行扩展AD架构(cmd命令进入exchange安装目录) 执行命令：
cd E:
E:\Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareSchema

（4）扩展林

挂载Exchange 安装介质，管理员身份打开CMD，切换到安装路径。
用驱动器 E: 上的 Exchange 安装文件，并将 Exchange 组织命名默认为“Contoso Corporation”，重命名为“ContosoMail”，运行命令：
E:\Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAD /OrganizationName:“ContosoMail”

（5）扩展域

在 Active Directory 林中为 Exchange 准备所有域时，帐户需成为“企业管理员”安全组的成员。
用驱动器 E: 上的 Exchange 安装文件，运行以下命令：
E:\Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains

（6）安装 Exchange 邮箱服务器角色：安装 ExchangeServer2019-x64-CU14

• 1）图形化界面部署，打开Exchange Server 2019安装介质，并双击“Setup.exe”文件
  
• 2）是否检查更新：现在不检查更新
  
  
• 3）简介：下一步
  
• 4）许可协议：接受，但不愿与 Microsoft 共享诊断数据
  
• 5）推荐设置：不使用推荐设置，完成安装后手动配置这些设置
  
• 6）服务器角色选择：邮箱角色、自动安装角色和功能
  
• 7）安装空间和位置
  （可以指定安装到D盘某个不带中文的路径，不建议将Exchange Server 安装到系统盘，建议安装到非系统盘以外的盘符）
  
• 8）恶意软件防护设置：是
  
• 9）准备情况检查
  
• 10）准备情况检查
  
• 11）安装进度
  
• 12）安装完成
  
  安装完成，重启这台服务器。

（7）查看相关服务是否启动：Microsoft Exchange 相关服务

• Microsoft Exchange Active Directory 拓扑
• Microsoft Exchange DAG 管理
• Microsoft Exchange EdgeSync
• Microsoft Exchange Information Store
• Microsoft Exchange POP3
• Microsoft Exchange POP3 后端
• Microsoft Exchange RPC 客户端访问
• Microsoft Exchange Search Host Controller
• Microsoft Exchange Service 主机
• Microsoft Exchange 传输
• Microsoft Exchange 传输日志搜索
• Microsoft Exchange 反垃圾邮件更新
• Microsoft Exchange 复制
• Microsoft Exchange 合规性服务
• Microsoft Exchange 合规性审核
• Microsoft Exchange 紧急缓解服务
• Microsoft Exchange 前端传输
• Microsoft Exchange 搜索
• Microsoft Exchange 限制
• Microsoft Exchange 邮箱传输传递
• Microsoft Exchange 邮箱传输提交
• Microsoft Exchange 邮箱复制
• Microsoft Exchange 邮箱助理
• Microsoft Exchange 运行状况管理器
• Microsoft Exchange 运行状况管理器恢复
• Microsoft Exchange 诊断
• Cluster Service

（服务启动类型：有些手动改成自动）

（8）创建邮箱用户

待补充
http://<ip address>/owa 用户登录即可发送邮件 用户登录入口

待补充

（9） 激活服务器

待补充

使用命名了Set-ExchangeServer –ProductKey 命令将两台Exchange服务器进行激活

Set-ExchangeServer –ProductKey -–––****- -Identity ex2019
待补充

3.3、Exchange 服务器中的 Exchange 管理中心

微软官方链接：https://learn.microsoft/zh-cn/exchange/architecture/client-access/exchange-admin-center?view=exchserver-2019

（1）如何访问：Exchange 服务器中的 Exchange 管理中心

在 Exchange 服务器本身的 Web 浏览器中访问 EAC访问：Exchange 管理中心，必须以服务器的完全限定域名 (FQDN) 格式：

• （1）https://dcmail001.contoso/ecp
• （2）https://localhost/ecp

（2）登录Exchange 服务器中的 Exchange 管理中心

在 Exchange 服务器本身的 Web 浏览器中访问 EAC访问：Exchange 管理中心
地址：https://localhost/ecp
域用户名：admin@contoso（AD中的管理员账号，contoso为自己的域名）
密码：*********

（3）访问https://localhost/ecp报错：拓扑提供程序在端点“TopologyClientTcpEndpoint （localhost）”上找不到 Microsoft Exchange Active Directory 拓扑服务。

解决方法：查看这台服务器上的Exchange相关服务是否启动，需要启动 Exchange Server相关服务后再次访问，就不在报这个错误，登录成功。

3.4、数据库可用性组 Database Availability Group（DAG）

192.168.10.1（DC01 域控服务器）
192.168.10.2（DC02 域控服务器）
192.168.10.5（DCmail001 邮件服务器）
192.168.10.6（DCmail002 邮件服务器）
192.168.10.3（DC03 见证服务器）
192.168.10.10（DAG 虚拟计算机账户）

3.4.1、将 “Exchange Trusted Subsystem” 安全组添加到本地管理员组中。

将 “Exchange Trusted Subsystem” 安全组添加到DC01域控的本地管理员组中。

3.4.2、创建目标计算机账户DAG，加入本地管理员组，加入Exchange Trusted Subsystem组，DAG成员添加安全列表赋予完全控制权限，并禁用

（DC003）计算机DAG账户创建出来，就是个虚拟账户，后面禁用该账户。

（1）创建目标计算机账户DAG

登录DC01域控制器，打开“Active Directory用户和计算机，创建计算机账户DAG。

（2）将目标计算机账户DAG加入本地管理员组

（3）将目标计算机账户DAG加入Exchange Trusted Subsystem组

（4）DAG成员添加安全列表赋予完全控制权限

启用"Active Directory用户和计算机" 的高级功能选项，打开，DAG计算机账户属性对话框，切换到”安全“选项卡，将Exchange Trusted Subsystem组中的所有DAG成员服务器添加到安全列表，并赋予完全控制权限。

（5）将目标计算机账户DAG禁用

3.4.3、DNS创建A记录

打开DNS控制台，创建于DAG同名的 “A” 记录，创建完成A记录如下。

3.4.4、配置部署DAG

（1）见证服务器，创建见证目录并且共享

创建见证服务器（本次测试此处使用DC02域控作为见证服务器）
见证服务器：DC02
见证服务器完整FQDN：DC02.contoso
见证目录：保持空白，DAG创建过程中会自动创建见证目录。当然也可以手动去指定。见证目录默认位置“%systemdrive%\DagFileSareWitnesses<DAG FQDN>”.

• （1）在DC02上自定义见证目录DagFileSareWitnesses，并对文件夹做共享。（此处采用手动创建见证目录）
  
• （2）并对自定义见证目录DagFileSareWitnesses文件夹做共享。
  

（2）Exchange管理中心，选择数据库可用性组

打开mail001服务器的浏览器，登录Exchange管理中心，在左侧列表选择“服务器”选项，选择数据库可用性组，默认没有创建任何DAG组，如图。

（3）新建 “数据库可用性组”

单击“+”按钮，打开“新建数据库可用性组”对话框。
见证服务器：DC02
见证服务器完整FQDN：DC02.contoso
见证目录：C:\DagFileSareWitnesses
数据库可用性组IP地址：192.168.10.1

如下图，虽然DAG创建成功，但是并未添加任何节点服务器。

（4）添加节点服务器

DAG创建成功后，不会自动添加邮箱服务器，需要Exchange管理员手动添加完成该任务。

• （1）在数据库可用性组窗口中，点击 “管理DAG成员资格” 图标，打开 “管理数据库可用性组成员资格” 对话框，默认没有添加任何节点服务器。
  
• （2）选择要添加的邮箱成员服务器，保存。
  
  
  
• （3）添加成功后，“数据库可用性组” 窗口，成员服务器列表中显示已经添加的邮箱服务器。右侧将显示详细信息。
  成员服务器：mail001、mail002
  见证服务器：dc02.contoso
  DAG网络：MapiDagNetwork
  

（5）配置群集网络

DAG创建成功后，默认将应用网络作为群集网络。
在案例中，部署两套网络：应用网络（内部网络）和复制网络（心跳网络），因此需要管理员动手配置复制网络。
应用网络（内部网络）：mail001 192.168.10.111、mail002 192.168.10.112
复制网络（心跳网络）：mail001 192.168.20.111、mail002 192.168.20.112

• （1）打开 “数据库可用性组”，选择创建的DAG，然后选择工具栏的笔形图标，编辑DAG属性
  

• （2）选择 “手动配置数据可用性组网络” 选项，单击保存按钮，完成DAG属性设置。

• （3）新建DAG网络
  

（2）

（四）取消普通域用户将计算机加入域的权限

1、普通账户将计算机加入域

用OU下的普通账户kuaiji将客户端计算机win11加入contoso域。

2、加域成功

3、退域

用kuaiji@contoso账户登录这台加入的计算机Win11，用域管理员账户将计算机退域。

4、取消普通域用户将计算机加入域的权限

说明：
普通用户加入域后默认是在Domain Users组里，该组中用户具有将10台计算机加入域的权限，在一些安全要求极高的企业是绝对不允许的，存在较高的风险，所以需要禁止普通Domain Users组中用户加域权限；但是可能公司部门较多的时候需要有二级网管来负责普通的运维，比如将某部门新入职员工计算机加入域，但是不能将超管的密码外泄所以需要专门用来加域的用户；

（1）、ADSI 编辑器

禁用普通Domain Users组的加域权限（管理员账号不受此限制）
使用管理员的账号登陆域控制器，依次点击 开始–>管理工具–>ADSI 编辑器，然后右键 ADSI编辑器，点击连接到：

（2）、设置ms-DS-MachineAccountQuota属性值为0

在 DC=contoso，DC=com 处右击属性（域级别），ms-DS-MachineAccountQuota属性，双击，将默认值10，修改成值为0，并单击确定；

（3）、普通账户将计算机加入域：失败报错

用OU下的普通账户kuaiji将客户端计算机win11加入contoso域，加域失败报错。说明已经取消普通域用户将计算机加入域的权限。

（4）、域管理员账户将计算机加入域：成功

用域管理员账户tempadmin将客户端计算机win11加入contoso域，加域成功。

（5）、退域

用kuaiji@contoso账户登录这台加入的计算机Win11，用域管理员账户tempadmin@contoso将计算机退域。

5、授权特定普通域用户将计算机加入域的权限

（1）、新建一个域用户

新建一个域用户testaccount，可以看到新用户默认是在Domain Users组里，该组中用户默认具有将10台计算机加入域的权限。
已经将ADSI编辑器中的ms-DS-MachineAccountQuota属性值设置为0，所以这个testaccount账户也不能将计算机加域；

（2）、委派控制

打开AD管理工具，选择 contoso（域级别），右击属性，选择委派控制。

（3）、添加需要提升为具有将计算机加入域的账号（普通域账号）

添加需要提升为具有将计算机加入域的账号：testaccount（普通域账号）

（4）、委派testaccount账户将计算机加入到域

在委派页面选择将计算机加入到域，并单击下一步，完成。

在下面的页面，单击完成，退出，就完成了对普通用户的权限提升。

这样就可以使用 testaccount 用户将计算机加入到域中，并且没有次数限制；

（5）、加域（使用委派用户）

用已经给普通用户委派将计算机加域的权限testaccount账户，将客户端计算机win11加入contoso域。

（6）、加域成功

（7）、退域（使用委派用户）

必须管理员账户退域。普通账户退不了域。

6、管理委派

（1）、查看委派

1、打开“Active Directory 用户和计算机”–>“查看”–>“高级功能”；
2、在DC域"contoso"上右键属性找到"安全"，点"高级"，切换到"有效的权限"，点选择，输入用户帐号testaccount，点确定即可查看该用户帐号在域中的最终有效权限；

（2）、删除委派

1、“Active Directory 用户和计算机”>“查看”>“高级功能”选中；
2、找到委派的对象OU，再切换到“安全”标签，找到委派的用户或组把它删除即可；

（五）排除GPO权限

学习记录

文章目录

• 学习记录
• 一、AD域创建
• • 1、AD主域控制器的安装
  • • 1.1、准备
    • 1.2、安装活动目录域服务 Active Directory Domain Services
    • • 1.2.1、添加角色和功能
      • 1.2.2、安装类型
      • 1.2.3、服务器选择
      • 1.2.4、服务器角色
      • 1.2.5、功能
      • 1.2.6、AD DS
      • 1.2.7、确认
      • 1.2.8、安装
    • 1.3、将此服务器提升为域控制器
    • • 1.3.1、部署配置
      • 1.3.2、域控制器选项
      • 1.3.3、DNS选项
      • 1.3.4、其他选项
      • 1.3.5、路径
      • 1.3.6、查看选项
      • 1.3.7、先决条件检查
      • 1.3.8、安装
  • 2、AD辅助域控制器的安装
  • • 2.1、准备
    • 2.2、加域
    • 2.3、安装活动目录域服务 Active Directory Domain Services
    • 2.4、将此服务器提升为域控制器
  • 3、AD只读域控制器RODC的安装
  • • 3.1、准备
    • 3.2、加域
    • 3.3、安装活动目录域服务 Active Directory Domain Services
    • 3.4、将此服务器提升为域控制器
  • 4、AD子域控制器的安装
  • 5、重建域控
  • • （1）原来的域控降级：
    • （2）原来的域控退域：
    • （3）原来的域控关机：
    • （4）配置新的域控服务器：
    • （4）新的域控服务器加域：
    • （5）新的域控服务器部署AD域服务，提升为分部域控服务器：
    • （6）配置DHCP：
• 二、组织单位OU
• • 1、创建OU
  • • （1）图形化界面：Active Directory 用户和计算机 中创建OU
    • （2）命令行中创建OU：
  • 2、查看OU
  • • （1）图形化界面：Active Directory 用户和计算机 中查看OU
    • （2）命令行查询当前架构下OU信息：
  • 3、重命名OU
  • 4、删除OU
  • 5、移动OU
  • • （1）图形化移动OU：
    • （2）命令行移动OU：
• 三、用户、用户组
• • 1、创建用户
  • 2、创建用户组
  • 3、用户添加进用户组
• 四、策略设置
• • 1、管理 "计算机配置的管理模板策略"
  • • 1）策略：关闭事件跟踪程序（用户在关机时不会再要求用户提供关机的理由）
    • • （1）gpmc.msc 命令 打开域组策略管理
      • （2）gpupdate /force 命令：让配置的组策略强制生效
    • 2）策略：显示用户以前交互登录的信息
    • • （1）gpmc.msc 打开域组策略管理
      • （2）gpupdate /force 命令：让配置的组策略强制生效
  • 2、管理 "用户配置的管理模板策略"
  • • 1）策略：阻止更改代理设置
    • • （1）
    • 2）策略：管理模板的其他设置
    • • （1）
  • 3、配置 "账户策略"
  • 4、配置 "用户权限分配策略"
  • 5、配置 "安全选项策略"
  • 6、登录注销、启动关机脚本
  • 7、文件重定向
  • 8、使用组策略限制访问可移动存储设备
  • 9、使用组策略的首选项管理用户环境
• 三、利用组策略部署软件与限制软件的运行
• • 1、计算机分配软件部署
  • 2、用户分配软件部署
  • 3、用户发布软件部署
  • 4、对软件进行升级和重定向
  • 5、对特定软件启动软件限制策略
• 四、管理组策略
• • 1、组策略的备份、还原、查看组策略
  • 2、使用WMI筛选器
  • 3、管理组策略的委派
  • 4、设置和使用 Starter GPO
• 五、文件权限与共享文件夹
• • 1、设置资源共享（创建共享）
  • • 1.1、普通共享
    • • （1）DC1域控上创建用户：kuaiji
      • （2）在【计算机管理】中设置共享资源
    • 1.2、特殊共享
  • 2、访问网络共享资源
  • • 2.1、利用网络发现，访问网络共享资源
    • • （1）administrator@contoso管理员账户登录到win11加域的成员服务器客户端计算机。
      • （2）网络发现和文件共享已关闭。看不到网络计算机和设备。启用网络发现和文件共享。
      • （3）启用网络发现和文件共享后，必须开启三个服务
      • （4）三个服务启动后，在文件服务器FileServer上网络可以看到自己本身的共享服务器名称及文件。
      • （5）在win11客户端上文件资源管理器网络就可以访问到FileServer共享服务器名称及文件。
    • 2.2、使用UNC路径，访问网络共享资源
    • • （1）UNC路径
      • （2）在文件服务器FileServer上，services.msc服务中关闭三个服务：Function Discovery Resource Publication服务、SSDP Discovery服务、UPnP Device Host服务。
      • （3）用kuaiji账户登录win11客户端计算机，UNC路径：\\FILESERVER\Share，访问网络共享资源，可以访问到文件服务器FileServer上的共享。
  • 3、卷影副本
  • • 3.1、卷影副本功能
    • 3.2、开启卷影副本测试
    • • （1）启用"共享文件夹的卷影副本"功能
      • （2）配置卷影副本
      • （3）客户端访问"卷影副本"
      • • 1）在域控DC01上，UNC路径访问共享资源文件夹：\\fileserver01\share。
        • 2）在域控DC01上，永久性的删除\\fileserver01\share\test01文件夹，发现此时的删除是误删除，想要恢复test01文件夹。
        • 3）在域控DC01上，恢复test01文件夹。
        • 4）打开"share"文件夹，检查"test01"是否被恢复。
    • 3.3、关闭禁用卷影副本
  • 4、NTFS权限和共享权限
  • • 4.1、NTFS权限
    • 4.2、NTFS权限类型
    • • （1）NTFS文件夹权限
      • （2）NTFS文件权限
    • 4.3、测试NTFS权限
    • • （1）准备
      • （1）测试1文件夹：共享权限窄，NTFS权限宽，最终的权限结果取交集
      • （2）测试2文件夹：共享权限宽，NTFS权限窄，最终的权限结果取交集
    • 4.4、NTFS权限文件优于文件夹
    • • （1）准备
      • （2）
      • （3）
      • （4）
      • （4）
    • 4.5、NTFS权限继承、累加、拒绝优先
  • 5、复制和移动文件及文件夹
  • 6、利用NTFS权限管理数据
  • 7、压缩文件
  • 8、加密文件系统
• 五、灾难恢复
• • 1、AD域控角色转移（适合在主域控制器还能够使用时，需要升级AD控制器升级系统时的操作），Transfer传送
  • • 1.1、查看控制器和FSMO角色
• （一）Windows Server打开相关操作界面的命令总结
• • 1、控制面板：（如何打开）
  • 2、Windows设置：（如何打开）
  • 3、服务：（如何打开）
  • 4、证书：（如何打开）
  • 5、网络连接：（如何打开）
  • 6、任务管理器：（如何打开）
  • 7、系统属性→计算机名、硬件、高级-环境变量、远程：（如何打开）
  • 8、修改计算机名称：（如何打开）
  • 9、开启远程桌面：（如何打开）
  • 10、计算机管理：（如何打开）
  • 11、磁盘管理：（如何打开）
  • 12、事件查看器：（如何打开）
  • 13、telnet测试某个端口是否可以访问：
  • 14、netstat –ano查看进程和端口：
  • 15、查看PID进程号对应的进程名称、查看进程名称对应的PID：
  • 17、刷新DNS解析缓存：（如何打开）
  • 16、本地组策略（组策略编辑器）：（如何打开）
  • 17、域组策略：（如何打开）
  • 18、强制更新组策略命令：（如何打开）
  • 19、查看策略的结果集并导出：（如何打开）
  • • （1）win+r运行输入rsop.msc（查看本机所加载的GPO组策略对象）
    • （2）导出用户或计算机的组策略设置和策略的结果集：
  • 19、Active Directory用户和计算机：dsa.msc：（如何打开）
  • 20、从源域控制器DC开始对目标域控制器DC进行复制。
  • • （1）使用 AD 站点和服务进行复制：
    • （2）运行使用Repadmin命令：
  • 21、查询域中部署的站点
  • 22、查询某个站点内的域控
  • 23、Windows Server 列出所有已安装的补丁，包括补丁的 KB 编号、描述和安装日期
  • 24、查看AD中某个用户最后一次登录的时间
  • • （1）AD用户和计算机中可以右键打开用户属性，切换到属性编辑器页，下的LastLogon属性中看到用户最后一次登录的时间。
    • （2）用命令查看AD中某个用户最后一次登录的时间
  • 25、AD域中远程重启某台计算机命令
  • 26、客户端加域的日志
  • 26、
  • 26、
  • 26、
  • 26、
  • 26、
  • 26、
  • 26、
  • 26、
• （二）Windows Server 事件 ID
• • 什么是 Windows 事件日志
  • 位置
  • 1、Windows日志-Application应用程序
  • • （1）事件ID：11707 information（软件安装成功）
    • （2）事件ID：11724 information（软件安装失败、删除、卸载）
    • （4）事件ID：2142 error（拓扑发现失败）
  • 2、Windows日志-Security安全
  • • （1）事件ID：4769 failure（某个账户登录，已请求 Kerberos 服务票证。每次请求访问资源(例如计算机或 Windows 服务)时生成此事件。服务名称表示请求访问的资源。）
    • （2）事件ID：4624 success（已成功登录帐户。创建登录会话时，将在被访问的计算机上生成此事件）
    • （3）事件ID：4634 success（已注销账户。在登录会话被破坏时生成此事件。）
    • （4）事件ID：4625 failure（帐户登录失败。登录请求失败时在尝试访问的计算机上生成此事件。）
    • （5）事件ID：4740 success（已锁定用户帐户）
    • （6）事件ID：
    • （7）事件ID：
    • （8）事件ID：
    • （9）事件ID：
  • 3、Windows日志-Setup
  • • （1）事件ID：
    • （2）事件ID：
    • （3）事件ID：
    • （4）事件ID：
  • 4、Windows日志-System系统
  • • （1）事件ID：12 information（操作系统启动）
    • （2）事件ID：13 information（操作系统关闭）
    • （3）事件ID：41 information（操作系统已在未先正常关机的情况下重新启动）
    • （4）事件ID：6008 error（操作系统意外关闭）
    • （5）事件ID：1074 information（哪个用户启动哪台计算机，重启: 其他(计划外)方式是什么，关机类型: 重启）
    • （6）事件ID：5807 warning（在过去的 4.23 小时中有 37 连接从 IP 地址 没有映射到企业中任何站点的客户端计算机,到这个域控制器）
    • （7）事件ID：1202 success（开启ADFS登录审计）
    • （2）事件ID：
    • （3）事件ID：
    • （4）事件ID：
  • 5、Exchange日志-System系统
  • • （1）事件ID：4266 warning
    • （2）事件ID：10028 error
    • （3）事件ID：10028 error
    • （4）事件ID：1135 error
    • （5）事件ID：1177 error
    • （6）事件ID：1146 error
    • （4）事件ID：
    • （5）事件ID：
• （三）Exchange Server 2019搭建
• • 3.1、Exchange Server 必备组件
  • • （1）安装.NET Framework 4.8
    • （2）Visual Studio 2012 的 Visual C++
    • （3）Visual Studio 2013 的 Visual C++
    • （4）Microsoft Unified Communications Managed API 4.0 Core Runtime（64 位）
    • （5）安装：IIS URL 重写模块
  • 3.2、ExchangeServer2019-x64-CU14安装
  • • （1）Powershell安装相关服务器角色和功能
    • （2）重启电脑
    • （3）扩展AD架构
    • （4）扩展林
    • （5）扩展域
    • （6）安装 Exchange 邮箱服务器角色：安装 ExchangeServer2019-x64-CU14
    • （7）查看相关服务是否启动：Microsoft Exchange 相关服务
    • （8）创建邮箱用户
    • （9） 激活服务器
  • 3.3、Exchange 服务器中的 Exchange 管理中心
  • • （1）如何访问：Exchange 服务器中的 Exchange 管理中心
    • （2）登录Exchange 服务器中的 Exchange 管理中心
    • （3）访问https://localhost/ecp报错：拓扑提供程序在端点“TopologyClientTcpEndpoint （localhost）”上找不到 Microsoft Exchange Active Directory 拓扑服务。
  • 3.4、数据库可用性组 Database Availability Group（DAG）
  • • 3.4.1、将 "Exchange Trusted Subsystem" 安全组添加到本地管理员组中。
    • 3.4.2、创建目标计算机账户DAG，加入本地管理员组，加入Exchange Trusted Subsystem组，DAG成员添加安全列表赋予完全控制权限，并禁用
    • • （1）创建目标计算机账户DAG
      • （2）将目标计算机账户DAG加入本地管理员组
      • （3）将目标计算机账户DAG加入Exchange Trusted Subsystem组
      • （4）DAG成员添加安全列表赋予完全控制权限
      • （5）将目标计算机账户DAG禁用
    • 3.4.3、DNS创建A记录
    • 3.4.4、配置部署DAG
    • • （1）见证服务器，创建见证目录并且共享
      • （2）Exchange管理中心，选择数据库可用性组
      • （3）新建 "数据库可用性组"
      • （4）添加节点服务器
      • （5）配置群集网络
      • （2）
• （四）取消普通域用户将计算机加入域的权限
• • 1、普通账户将计算机加入域
  • 2、加域成功
  • 3、退域
  • 4、取消普通域用户将计算机加入域的权限
  • • （1）、ADSI 编辑器
    • （2）、设置ms-DS-MachineAccountQuota属性值为0
    • （3）、普通账户将计算机加入域：失败报错
    • （4）、域管理员账户将计算机加入域：成功
    • （5）、退域
  • 5、授权特定普通域用户将计算机加入域的权限
  • • （1）、新建一个域用户
    • （2）、委派控制
    • （3）、添加需要提升为具有将计算机加入域的账号（普通域账号）
    • （4）、委派testaccount账户将计算机加入到域
    • （5）、加域（使用委派用户）
    • （6）、加域成功
    • （7）、退域（使用委派用户）
  • 6、管理委派
  • • （1）、查看委派
    • （2）、删除委派
• （五）排除GPO权限

一、AD域创建

1、AD主域控制器的安装

1.1、准备

（1）windows server 2016域控DC01，修改 ip：192.168.10.1、子网掩码、默认网关、DNS：192.168.10.1。

（2）关闭防火墙，关闭IE增强的安全配置，开启远程桌面。

（3）装完系统，首先修改计算机名称，为DC01，重启。

1.2、安装活动目录域服务 Active Directory Domain Services

1.2.1、添加角色和功能

服务器管理器→添加角色和功能→开始之前→下一步

1.2.2、安装类型

安装类型→基于角色或基于功能的安装→下一步

1.2.3、服务器选择

1.2.4、服务器角色

服务器角色→Active Directory域服务

1.2.5、功能

功能→下一步

1.2.6、AD DS

1.2.7、确认

1.2.8、安装

1.3、将此服务器提升为域控制器

将此服务器提升为域控制器→Active Directory域服务配置向导

1.3.1、部署配置

部署配置→因为是第一台主域控服务器→添加新林→（测试环境的）根域名：contoso→下一步

1.3.2、域控制器选项

域控制器选项→域名系统DNS服务器→全局编录GC→目录服务还原模式密码→下一步。第一台域控制器不可以是RODC。

1.3.3、DNS选项

1.3.4、其他选项

1.3.5、路径

路径→默认指定AD DS数据库、日志文件和SYSVOL的位置→下一步

1.3.6、查看选项

1.3.7、先决条件检查

所有先决条件检查都成功通过→安装

1.3.8、安装

安装完等待自动重启，成为域控制器。

2、AD辅助域控制器的安装

2.1、准备

（1）windows server 2016域控DC02，修改 ip：192.168.10.2、子网掩码、默认网关、DNS：192.168.10.1。
（2）关闭防火墙，关闭IE增强的安全配置，开启远程桌面。
（3）装完系统，首先修改计算机名称，为DC02，重启。

2.2、加域

服务器管理器→本地服务器→sysdm.cpl系统属性→计算机名→更改→隶属于→域：contoso→输入有权限加入该域的账户的名称和密码（administrator账户密码）→重启

2.3、安装活动目录域服务 Active Directory Domain Services

活动目录域服务跟主域控制器安装方式一样。

2.4、将此服务器提升为域控制器

有变化：
部署配置→将域控制器添加到现有域→选择：contoso→更改：administrator@contoso ******

3、AD只读域控制器RODC的安装

3.1、准备

（1）windows server 2016域控DC02，修改 ip：192.168.10.3、子网掩码、默认网关、DNS：192.168.10.1。
（2）关闭防火墙，关闭IE增强的安全配置，开启远程桌面。
（3）装完系统，首先修改计算机名称，为DC03，重启。

3.2、加域

服务器管理器→本地服务器→sysdm.cpl系统属性→计算机名→更改→隶属于→域：contoso→输入有权限加入该域的账户的名称和密码（administrator账户密码）→重启

3.3、安装活动目录域服务 Active Directory Domain Services

活动目录域服务跟主域控制器安装方式一样。

3.4、将此服务器提升为域控制器

域控制器选项，有变化：勾选只读域控制器RODC。
其他步骤一样。

4、AD子域控制器的安装

待补充

5、重建域控

在新的虚拟化平台准备服务器虚拟机资源，重新做域控部署：

（1）原来的域控降级：

域控服务器删除时，必须先降级
计算机名为 DC06（IP：192.168.10.6）的域控服务器降级为普通成员服务器。

（2）原来的域控退域：

把普通成员服务器退域变成独立服务器，DC06点击计算机名称，由加入到域：contoso改成工作组WORKGROUP（win默认工作组WORKGROUP）
运行cmd：ipconfig /all，ip页面截全图保存。

（3）原来的域控关机：

将计算机名称：DC06 IP：192.168.10.6 关机。

（4）配置新的域控服务器：

新的域控安装操作系统，新给的服务器地址IP：192.168.10.10远程登录上后，
（1）修改计算机名称为DC07（跟原来域控DC06不重名）。
（2）配置原来域控的IP地址：192.168.10.6，更改适配器设置修改IPv4地址为192.168.10.6、子网掩码、网关、DNS：192.168.10.1、192.168.10.2（看截图），不勾选IPv6。
修改后运行cmd：输入ipconfig /all、输入nslookup后输入contoso，显示很多一串ip地址说明正常，修改后重新远程登录。
（3）关闭防火墙。（全都关了）
（4）关闭IE增强的安全配置

（4）新的域控服务器加域：

新的计算机名称为DC07 IP：192.168.10.6的服务器加域。
DC07点击计算机名称：由工作组改成加入到域contoso。

（5）新的域控服务器部署AD域服务，提升为分部域控服务器：

安装AD活动目录域服务。
提升为域控，同步AD域数据库信息，时间较长等待数据同步成功。

重建域控DC07后，高权限账号远程登录不了这台域控问题：组策略导致
一开始新建的域控DC07加入域时会有一条域策略让DC07进入tempcomputer，tempcomputer会限制高权限用户远程登录访问用户的隐私，如果想用高权限用户远程登录，必须查到DC07后拖入到Domain Controllers的分部机构域目录下，然后DC07执行强制更新组策略命令：gpupdate /force，高权限账号才能远程登录到这台DC07计算机。

（6）配置DHCP：

（可以先配置好，不要先授权）
（1）添加角色和功能向导：添加DHCP服务器
（2）打开DHCO服务器，IPv4右键新建作用域，找分部管理员要相关配置，完成作用域、地址池配置。
（3）IPv4红色，不要授权。
（4）必须等域控数据同步完成之后，DHCP的IPv4授权绿色。

二、组织单位OU

1、创建OU

（1）图形化界面：Active Directory 用户和计算机 中创建OU

Active Directory 用户和计算机→contoso→选择xx集团→右键→新建→组织单位

Active Directory 用户和计算机→contoso→选择xx集团→点击新建对象-组织单位→在xx集团下创建组织单位OU为test02。

（2）命令行中创建OU：

1、dsadd ou命令创建为test01的组织单位OU：

dsadd ou ou=test01,ou=test,ou=龙芯集团股份有限公司,dc=contoso,dc=com

点击刷新后，已成功创建test01。

2、powershell命令创建为test02的组织单位OU：

new-adorganizationalunit  -name test02 -path "ou=test,ou=龙芯集团股份有限公司,dc=contoso,dc=com"

点击刷新后，已成功创建test02。

2、查看OU

（1）图形化界面：Active Directory 用户和计算机 中查看OU

（2）命令行查询当前架构下OU信息：

1、dsquery命令查询当前OU信息：

dsquery ou

2、Powershell命令查询当前OU信息：

get-adorganizationalunit -filter * |select distinguishedname

3、模糊查询OU信息：

get-adorganizationalunit -filter 'Name -like "test*"' |ft distinguishedname

4、精确查询OU相关信息：

get-adorganizationalunit -filter 'Name -like "test01"' |fl

3、重命名OU

rename-adobject重命名OU信息：
将龙芯集团股份有限公司/test/test02重命名为test03：

rename-adobject "ou=test02,ou=test,ou=龙芯集团股份有限公司,dc=contoso,dc=com" -newname test03

点击刷新后，已成功将test02重命名为test03。

4、删除OU

1、remove-adorganizationalunit删除OU：
A、删除test03：

remove-adorganizationalunit  -identity  "ou=test03,ou=test,ou=龙芯集团股份有限公司,dc=contoso,dc=com"  -recursiv

根据提示回车Y确认删除，报错信息提示：拒绝访问，即使通过强制删除也无法完成删除操作，因为新建OU时勾选了"防止容器被意外删除"：

B、选择test组织单位→查看→高级功能

C、此时会看到比之前的结构多一些信息（NTDS Quotas、TPM Devices）：

D、选择要删除test03，鼠标右键选择属性→对象→不勾选"防止容器被意外删除"→点击应用→确定。

E、再执行删除命令：

remove-adorganizationalunit  -identity  "ou=test03,ou=test,ou=龙芯集团股份有限公司,dc=contoso,dc=com"  -recursiv -confirm:$false

删除成功，再次查看当前OU信息，已无法找到test03相关OU信息。

get-adorganizationalunit -filter 'Name -like "test*"' |ft distinguishedname

F、通过命令行取消勾选"防止容器被意外删除"，命令如下：
命令行取消勾选：“防止容器被意外删除”（将龙芯集团股份有限公司/test组织单位目录，取消防止容器被意外删除）

Set-adobject -identity  "ou=test,ou=龙芯集团股份有限公司,dc=contoso,dc=com"  -ProtectedFromAccidentalDeletion:$false

该目录及该目录下的都已取消勾选。

5、移动OU

（1）图形化移动OU：

右键要移动的OU信息，选择"移动"。

Windows无法移动对象test，因为：拒绝访问。

因为OU对象test属性中勾选"防止对象被意外删除"选项，取消勾选并确定。

成功移动OU组织单位：

（2）命令行移动OU：

1、Powershell命令行移动OU：（Desk test/test/test01移动到Desk test目录下）

move-adobject -identity  "ou=test01,ou=test,ou=Desk test,ou=龙芯集团股份有限公司,dc=contoso,dc=com"  -targetpath  "ou=Desk test,ou=龙芯集团股份有限公司,dc=contoso,dc=com"

2、dsmove命令移动OU：

dsmove ou=xxx,ou=Syncall,dc=azureyun,dc=local –newparent ou=HelpDesk,dc=azureyun,dc=local

三、用户、用户组

1、创建用户

2、创建用户组

3、用户添加进用户组

四、策略设置

• windows修改配置
• • 修改windows底层代码 ×
• • 修改windows注册表regedit √
• • 修改windows组策略 √
• • 修改windows设置 win+i 图形界面 √

场景：某公司用组策略管理用户桌面、计算机安全性，已经实施了一种OU设置，顶级OU代表不同的地点，每个地点ou的子ou代表不同的部门，用户账户与其工作站计算机账户在同一个容器中。服务器计算机账户在各个ou中。

1、管理 “计算机配置的管理模板策略”

1）策略：关闭事件跟踪程序（用户在关机时不会再要求用户提供关机的理由）

（1）gpmc.msc 命令 打开域组策略管理

检查域的结构：AD用户和计算机

win+r运行输入 gpmc.msc 域组策略管理→林→域→contoso→Domain Controllers→Default Domain Controllers Policy→在DC01上对域控制器的组策略进行编辑→打开 组策略管理管理编辑器

在 组策略管理管理编辑器→计算机配置→策略→管理模板→点击 系统→右侧：显示“关闭事件跟踪器”→双击打开→选择 已禁用→应用→确定

（2）gpupdate /force 命令：让配置的组策略强制生效

关闭事件跟踪程序，执行此条策略之后，所有的域控制器上，用户在关机的时候系统不会再提醒提供关机的理由。

2）策略：显示用户以前交互登录的信息

（1）gpmc.msc 打开域组策略管理

win+r运行输入 gpmc.msc 域组策略管理→林→域→contoso→Domain Controllers→Default Domain Controllers Policy→在DC01上对域控制器的组策略进行编辑→打开 组策略管理管理编辑器→计算机配置→策略→管理模板→点击 Windows组件→右侧：Windows登录选项→双击打开→选择 在用户登录期间显示有关以前登录的信息→选择 已启用→应用→确定

（2）gpupdate /force 命令：让配置的组策略强制生效

显示用户以前交互登录的信息，执行此条策略之后，所有的域控制器上，重启域控之后显示以前登录的信息。

2、管理 “用户配置的管理模板策略”

1）策略：阻止更改代理设置

（1）

2）策略：管理模板的其他设置

（1）

3、配置 “账户策略”

4、配置 “用户权限分配策略”

5、配置 “安全选项策略”

6、登录注销、启动关机脚本

7、文件重定向

8、使用组策略限制访问可移动存储设备

9、使用组策略的首选项管理用户环境

三、利用组策略部署软件与限制软件的运行

1、计算机分配软件部署

2、用户分配软件部署

3、用户发布软件部署

4、对软件进行升级和重定向

5、对特定软件启动软件限制策略

四、管理组策略

1、组策略的备份、还原、查看组策略

2、使用WMI筛选器

3、管理组策略的委派

4、设置和使用 Starter GPO

五、文件权限与共享文件夹

网络中最重要的是安全，安全中最重要的是权限，在网络中，网络管理员首先面对的是权限，日常解决的问题也是权限问题，最终出现漏洞还是由于权限设置出了问题。
公用文件夹：磁盘内的文件经过适当权限设置后，每位用户都只能访问自己有权限的文件。
共享文件夹：共享文件夹可以将文件共享给网络上的其他用户。
共享权限：网络中的用户须拥有适当的共享权限才可以访问共享文件夹。读取、更改、完全控制同时需要注意与NTFS权限结合。

1、设置资源共享（创建共享）

1.1、普通共享

（1）DC1域控上创建用户：kuaiji

在DC1域控上组织单位：财务部下创建会计，创建会计用户：kuaiji，用会计用户来测试共享。

（2）在【计算机管理】中设置共享资源

1、准备文件夹：创建文件服务器FileServer并加入域contoso，文件服务器FileServer的C盘下创建share文件夹，C:\share。


2、设置共享文件夹：win+r运行输入compmgmt.msc打开计算机管理，计算机管理(本地)→系统工具→共享文件夹→共享→右键→新建共享→创建共享文件夹向导→下一步→文件夹路径：C:\share→下一步→名称描述默认→共享文件夹的权限：选择管理员有完全访问权限，其他用户有只读权限R→完成→完成。

这样就创建了一个共享。

1.2、特殊共享

C$、IPC$，这些系统自动创建的共享资源就是 “特殊共享”。（不要修改特殊共享）

2、访问网络共享资源

2.1、利用网络发现，访问网络共享资源

文件服务器FileServer上创建了一个共享文件夹C:\share，如何去访问？？？

（1）administrator@contoso管理员账户登录到win11加域的成员服务器客户端计算机。

（2）网络发现和文件共享已关闭。看不到网络计算机和设备。启用网络发现和文件共享。

资源管理器→网络→网络发现和文件共享已关闭。看不到网络计算机和设备→右键→启用网络发现和文件共享。

（3）启用网络发现和文件共享后，必须开启三个服务

• 1、管理员账户登录：文件服务器FileServer，启用网络发现和文件共享后，运行services.msc，开启三个服务。
• • 1.1、找到Function Discovery Resource Publication服务，启动类型：自动，然后启动。
• • 1.2、找到SSDP Discovery服务，启动类型：自动，然后启动。
• • 1.3、找到UPnP Device Host服务，启动类型：自动，然后启动。

（4）三个服务启动后，在文件服务器FileServer上网络可以看到自己本身的共享服务器名称及文件。

（5）在win11客户端上文件资源管理器网络就可以访问到FileServer共享服务器名称及文件。

2.2、使用UNC路径，访问网络共享资源

（1）UNC路径

• 通用命名标准 Universal Naming Conversion UNC是用于命名文件和其他资源的一种约定，以两个反斜杠"\\"开头，指明该资源位于网络计算机上。
• UNC路径格式：\\Servername \sharename
• UNC路径格式：\\ServerIP \sharename
• 其中Servername是服务器名称，也可以用IP地址代替，而sharename是共享资源的名称。目录或文件的UNC名称也可以把目录路径包括在共享名称之后。

（2）在文件服务器FileServer上，services.msc服务中关闭三个服务：Function Discovery Resource Publication服务、SSDP Discovery服务、UPnP Device Host服务。

（3）用kuaiji账户登录win11客户端计算机，UNC路径：\FILESERVER\Share，访问网络共享资源，可以访问到文件服务器FileServer上的共享。

3、卷影副本

3.1、卷影副本功能

用户可以通过"共享文件夹的卷影副本"功能，让系统自动在指定的时间将所有共享文件内的文件复制到另外一个存储区内备用，当用户通过网络访问共享文件夹内的文件，将文件删除或者修改文件的内容后，却反悔想要救回该文件或者想要还原文件的原来内容时，可以通过"卷影副本"存储区内的旧文件来达到恢复旧文件的目的，因为系统之前已经将共享文件夹内的所有文件都复制到"卷影副本"存储区内了。

3.2、开启卷影副本测试

（1）启用"共享文件夹的卷影副本"功能

• 1）确认share是共享文件夹：在文件服务器fileserver01上，win+r运行输入compmgmt.msc打开计算机管理，计算机管理(本地)→系统工具→找到share共享文件夹。
  
• 2）在文件服务器fileserver01上，win+r运行输入compmgmt.msc打开计算机管理，计算机管理(本地)→系统工具→共享文件夹→右键→所有任务→配置卷影副本。
  

（2）配置卷影副本

卷影副本对话框中，C:\默认是已禁用。选中，点击启用。

启用卷影复制→是。

当出现：所选卷的卷影副本（日期时间2024/12/21 16:19）时，那么此时就为现在C盘下的共享创建了卷影副本，点击确定。
此时已经启用了C盘下C:\share文件夹上文件夹的卷影副本的功能。

（3）客户端访问"卷影副本"

1）在域控DC01上，UNC路径访问共享资源文件夹：\fileserver01\share。

2）在域控DC01上，永久性的删除\fileserver01\share\test01文件夹，发现此时的删除是误删除，想要恢复test01文件夹。

3）在域控DC01上，恢复test01文件夹。

向上回退到UNC路径的fileserver01根目录下→右键单击"share"文件夹→属性→share(\fileserver01)属性→"以前的版本"选项卡→选择"share 2024/12/21 16:19"版本→还原（还原误删除的test01文件）→确定。


单击"打开"按钮可查看该时间点内的文件夹内容。
单击"还原"按钮可以将文件夹还原到该时间点的状态。

4）打开"share"文件夹，检查"test01"是否被恢复。

3.3、关闭禁用卷影副本

计算机管理→共享文件夹→所有任务→配置卷影副本

卷影副本→选择一个卷：C:\→禁用

禁用卷影复制→是

4、NTFS权限和共享权限

4.1、NTFS权限

利用NTFS权限，可以控制用户账户和组对文件夹及个别文件的访问。
NTFS权限只适用于NTFS磁盘分区。NTFS权限不能用于由FAT16或者FAT32文件系统格式化的磁盘分区。windows server 2016 只为用NTFS进行格式化的磁盘分区提供NTFS权限。

4.2、NTFS权限类型

可以利用NTFS权限指定哪些用户、组和计算机能够访问文件和文件夹。NTFS权限也指明哪些用户、组和计算机能够操作文件或文件夹中的内容。
NTFS权限类型分为两种：NTFS文件夹权限和NTFS文件权限。

（1）NTFS文件夹权限

可以通过授予文件夹权限、控制对文件夹和包含在这些文件夹中的文件和子文件夹的访问。
下表列出了可以授权的标准NTFS文件夹权限和各个权限提供的访问类型。

标准NTFS文件夹权限列表

（2）NTFS文件权限

4.3、测试NTFS权限

（1）准备

• （1）在域控DC01上，创建肥城财务部用户fccwb，属于财务部组。
  
• （2）在文件服务器FileServer01上用AD管理员账户创建两个测试文件夹：测试1、测试2，测试1和测试2下有bmp、txt文件内都有内容。
  
  
• （3）在文件服务器FileServer01上用AD管理员账户分别将两个测试文件夹：测试1、测试2，共享。并且客户端计算机ClientWin11使用UNC路径可以访问。
  
  

（1）测试1文件夹：共享权限窄，NTFS权限宽，最终的权限结果取交集

• （1）设置用户的NTFS权限（用户完全控制）
  “财务部用户文件夹权限测试1” 测试1文件夹→属性→安全（NTFS权限）→添加 “肥城财务部用户fccwb” →授予勾选：完全控制的权限。
  
• （2）设置用户的共享权限（用户读取）
  “财务部用户文件夹权限测试1” 测试1文件夹→属性→共享（共享权限）→将 “肥城财务部用户fccwb” →权限级别→授予勾选：读取的权限。
  
• （3）用域肥城财务部用户fccwb登录加域的客户端计算机ClientWin11，UNC路径访问FileServer01：\192.168.10.15
  
• （4）肥城财务部用户fccwb测试读取，能打开txt看到内容，有权限读取
  - （5）肥城财务部用户fccwb测试编辑txt添加内容3333，无权限编辑该财务部测试1.txt文件，无权保存该文件
  保存报错
  
  
  只能另存为
  
  
  
• （6）用户NTFS权限（用户完全控制）和共享权限（用户读取）同时存在，最终的权限结果取交集（只有用户读取的权限）

当再次查看，用户安全NTFS权限为读取

当再次查看，用户共享权限也是读取

也就是说，当用户共享权限和NTFS权限有冲突，会重新定义用户的权限。

（2）测试2文件夹：共享权限宽，NTFS权限窄，最终的权限结果取交集

• （1）设置用户的NTFS权限（用户读取）
  “财务部用户文件夹权限测试2” 测试2文件夹→属性→安全（NTFS权限）→编辑→"财务部用户文件夹权限测试2" 的权限→只授予勾选：读取的权限。
  

• （2）设置用户的共享权限（用户完全控制）
  “财务部用户文件夹权限测试2” 测试2文件夹→属性→共享（共享权限）→共享→网络访问→下三角→查找个人→输入对象名称：fccwb→给"肥城财务部用户fccwb"→读取/写入的权限
  
  

• （3）用域肥城财务部用户fccwb登录加域的客户端计算机ClientWin11，UNC路径访问FileServer01：\192.168.10.15
  

• （4）肥城财务部用户fccwb测试读取，能打开txt看到内容，有权限读取
  - （5）肥城财务部用户fccwb测试编辑txt添加内容4444，保存，无权限编辑该财务部测试2.txt文件，无权保存该文件
  
  
  保存
  
  只能另存为同上。

• （6）用户NTFS权限（用户读取）和共享权限（用户完全控制）同时存在，最终的权限结果取交集（只有用户读取的权限）
  当再次查看，用户安全NTFS权限为读取
  
  当再次查看，用户共享权限变成了自定义
  
  也就是说，当用户共享权限和NTFS权限有冲突，会重新定义用户的权限。

4.4、NTFS权限文件优于文件夹

（1）准备

（2）

（3）

（4）

（4）

4.5、NTFS权限继承、累加、拒绝优先

5、复制和移动文件及文件夹

6、利用NTFS权限管理数据

7、压缩文件

8、加密文件系统

五、灾难恢复

1、AD域控角色转移（适合在主域控制器还能够使用时，需要升级AD控制器升级系统时的操作），Transfer传送

1.1、查看控制器和FSMO角色

（一）Windows Server打开相关操作界面的命令总结

Windows Server 打开相应的程序、服务、文件夹、文档或Internet资源的相关命令。

• Windows Server 版本的比较，微软官方链接：https://learn.microsoft/zh-cn/windows-server/get-started/editions-comparison?pivots=windows-server-2025

1、控制面板：（如何打开）

（1）win+r运行输入control panel、control
（2）开始-右键-控制面板

2、Windows设置：（如何打开）

（1）win+i
（2）开始-设置

3、服务：（如何打开）

（1）win+r运行输入services.msc
（2）右键-任务管理器-服务
（3）开始-windows管理工具-服务

4、证书：（如何打开）

（1）当前用户证书管理工具win+r运行输入certmgr.msc
（2）本地计算机证书win+r运行输入certlm.msc

5、网络连接：（如何打开）

win+r运行输入ncpa.cpl

6、任务管理器：（如何打开）

（1）win+r运行输入taskmgr
（2）ctrl+alt+delete
（3）Win+X

7、系统属性→计算机名、硬件、高级-环境变量、远程：（如何打开）

运行 输入sysdm.cpl，此命令打开系统属性的4个相关管理界面：
（1）计算机名称
（2）硬件
（3）高级-环境变量
（4）远程

8、修改计算机名称：（如何打开）

（1）运行 输入sysdm.cpl，更改，计算机名称，重启之后生效。
（2）以管理员运行powershell，执行hostname查看一下当前的计算机名称，执行Rename-Computer -NewName DC001，重启，重启之后计算机名称修改为DC001。

9、开启远程桌面：（如何打开）

（1）Windows server、windows11安装后开启远程桌面，选择一个文件夹打开-此电脑-右键-属性-高级系统设置-系统属性-远程-允许远程连接到此计算机
（2）win+r运行 输入sysdm.cpl→系统属性→远程→允许远程连接到此计算机

10、计算机管理：（如何打开）

win+r运行输入compmgmt.msc

计算机管理（本地）

• +系统工具
• • 任务计划程序
• • 事件查看器
• • 共享文件夹
• • 性能
• • 设备管理器
• 存储
• • Windows Server 备份
• • 磁盘管理
• 服务和应用程序
• • Internet Information Services (llS)管理器
• • 路由和远程访问
• • 服务
• • WMI 控件
    

11、磁盘管理：（如何打开）

win+r行 输入diskmgmt.msc

12、事件查看器：（如何打开）

（1） win+r运行输入eventvwr.msc
（2）开始-右键-控制面板-系统和安全-查看事件日志

13、telnet测试某个端口是否可以访问：

telnet测试某个端口是否可以访问：win+r运行输入cmd以管理员身份运行。
telnet语法格式：
（1）telnet IP 端口号 ：telnet 192.168.10.1 53
（2）telnet 域名 端口号 ：telnet contoso 53

进入后退出telnet：按CTRL+]键，输入quit
Microsoft Telnet> quit

14、netstat –ano查看进程和端口：

（1）查看进程和端口：netstat –ano 列出系统中所有网络连接和进程信息

（2）查看系统中占用80端口的PID进程信息（该端口被哪个pid进程所占用）
netstat –ano |findstr 端口号
netstat –ano |findstr 80

格式：
| 协议 | 本地地址 | 外部地址 | 状态 | PID |
| TCP | 0.0.0.0:80 | 0.0.0.0:0 | Listening | 4 |

15、查看PID进程号对应的进程名称、查看进程名称对应的PID：

（1）查看PID对应的进程名称：
tasklist | findstr PID进程号
tasklist | findstr 3364

（2）查看进程名称对应的PID：
tasklist | findstr name进程名称
tasklist | findstr MicrosoftEdgeUpdate.exe

17、刷新DNS解析缓存：（如何打开）

ipconfig /flushdns

16、本地组策略（组策略编辑器）：（如何打开）

本地组策略（组策略编辑器）：win+r运行输入 gpedit.msc

17、域组策略：（如何打开）

域组策略：win+r运行输入 gpmc.msc

18、强制更新组策略命令：（如何打开）

强制更新组策略命令（刷新本地和基于Active Directory的组策略设置）：以管理员身份运行Powershell输入 gpupdate /force

19、查看策略的结果集并导出：（如何打开）

（1）win+r运行输入rsop.msc（查看本机所加载的GPO组策略对象）

（2）导出用户或计算机的组策略设置和策略的结果集：

导出用户或计算机的组策略设置和策略的结果集命令：
gpresult /H C:\Users\tempadmin\Desktop\1\1.html

19、Active Directory用户和计算机：dsa.msc：（如何打开）

20、从源域控制器DC开始对目标域控制器DC进行复制。

（1）使用 AD 站点和服务进行复制：

从 <源 DC01> 复制到 <目标 DC02>

（2）运行使用Repadmin命令：

从 <源 DC01> 复制到 <目标 DC02>命令：
Repadmin /replicate DC02.contoso DC01.contoso “DC=contoso,DC=com”

21、查询域中部署的站点

查询域中部署的站点：
Dsquery site
查询域中部署的站点导出到1.txt文件：
Dsquery site >C:\Users\tempadmin\Desktop\1\1.txt

22、查询某个站点内的域控

查询QQJN站点内的域控：Dsquery server -site QQJN

23、Windows Server 列出所有已安装的补丁，包括补丁的 KB 编号、描述和安装日期

在Powershell中运行Get-HotFix命令，此命令会列出所有已安装的补丁，包括补丁的 KB 编号、描述和安装日期。

24、查看AD中某个用户最后一次登录的时间

（1）AD用户和计算机中可以右键打开用户属性，切换到属性编辑器页，下的LastLogon属性中看到用户最后一次登录的时间。

（2）用命令查看AD中某个用户最后一次登录的时间

Get-ADUser -Identity “用户名” -Properties LastLogonDate | Select-Object Name, LastLogonDate
示例：
Get-ADUser -Identity “kuaiji” -Properties LastLogonDate | Select-Object Name, LastLogonDate

25、AD域中远程重启某台计算机命令

contoso域中在DC01远程重启计算机名DC02 ip为192.168.10.2命令：
Restart-Computer -ComputerName DC02.contoso -Force
Restart-Computer -ComputerName 192.168.10.2 -Force

26、客户端加域的日志

补充
客户端上的C:\Windows\debug\netsetup.log日志
补充

26、

26、

26、

26、

26、

26、

26、

26、

（二）Windows Server 事件 ID

什么是 Windows 事件日志

Windows 事件日志是记录系统事件的文件，涵盖了应用程序错误、系统错误和安全事件等。通过这些日志，我们可以追溯问题发生的原因，了解计算机的健康状况，以及排除故障。

事件日志通常包括以下这些信息：
日志名称：事件所属的类型。
来源：产生事件的应用或组件。
事件 ID：用于识别具体事件的编号。
级别：事件的严重程度，比如【信息】、【警告】和【错误】等。
用户：事件发生时的用户账户。
操作代码：也叫 OpCode，记录触发事件时所执行的操作。
记录时间：事件发生的具体时间。
任务类别：提供事件更多细节的分类。
关键字：用于分类事件的关键词，常见的有「经典」。
计算机：记录事件的计算机名称。

位置

日志文件位于C:\windows\system32\config\路径下，但不支持使用文本编辑器打开。

1、Windows日志-Application应用程序

（1）事件ID：11707 information（软件安装成功）

在 Windows Server 上安装软件应用程序时，相关的事件记录通常会在事件查看器中找到。
安装软件时，通常会记录在事件 ID 11707（表示安装成功）和事件 ID 11724（表示安装失败）中。这些事件通常出现在应用程序日志中。

Product: Microsoft Edge – Installation completed successfully.
严重性 : information类型 : Application源 : MsiInstaller

（2）事件ID：11724 information（软件安装失败、删除、卸载）

产品: Java SE Development Kit 8 Update 131 (64-bit)-- 成功地完成了删除。
严重性 : information类型 : Application源 : MsiInstaller

（4）事件ID：2142 error（拓扑发现失败）

Process Microsoft.Exchange.Directory.TopologyService.exe (PID=7224) Forest contoso. Topology discovery failed, error details TimedOut.
严重性 : error类型 : Application源 : MSExchangeADTopology

Process Microsoft.Exchange.Directory.TopologyService.exe (PID=7200) Forest contoso. Topology discovery failed, error details DsGetSiteName 失败，出现错误 0x51F。.
严重性 : error类型 : Application源 : MSExchangeADTopology

DsGetSiteName失败，一旦获取站点名称失败，AD域中这台mail01服务器中的exchange相关服务启动失败导服务器宕机。

2、Windows日志-Security安全

（1）事件ID：4769 failure（某个账户登录，已请求 Kerberos 服务票证。每次请求访问资源(例如计算机或 Windows 服务)时生成此事件。服务名称表示请求访问的资源。）

已请求 Kerberos 服务票证。
帐户信息:
帐户名: kuaii@CONTOSO.COM
帐户域: CONTOSO.COM
登录 GUID: {17c59c38b-44b6-4b3a-6102-681434d72cdd}

服务信息:
服务名称: DC01$
服务 ID: CONTOSO\DC01$

网络信息:
客户端地址: ::ffff:192.168.10.100
客户端端口: 63687

附加信息:
票证选项: 0x40810000
票证加密类型: 0x12
故障代码: 0x0
传递服务: -

每次请求访问资源(例如计算机或 Windows 服务)时生成此事件。服务名称表示请求访问的资源。

可以通过比较每个事件中的“登录 GUID”字段将此事件与 Windows 登录事件相关联。登录事件发生在被访问的计算机上，通常情况下，该计算机不是颁发服务票证的域控制器计算机。

票证选项、加密类型和故障代码是在 RFC 4120 中定义的。

严重性 : failure类型 : Security源 : Microsoft-Windows-Security-Auditing

（2）事件ID：4624 success（已成功登录帐户。创建登录会话时，将在被访问的计算机上生成此事件）

已成功登录帐户。

“使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。
使用者:
安全 ID: NULL-SID
帐户名称: -
帐户域: -
登录 ID: 0x0

“登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。
登录信息:
登录类型: 3
受限制的管理员模式: -
虚拟帐户: 否
提升的令牌: 是

“模拟级别”字段指示登录会话中的进程可以模拟到的程度。
模拟级别: 委派

“新登录”字段指示新登录是为哪个帐户创建的，即已登录的帐户。
新登录:
安全 ID: CONTOSO\kuaiji
帐户名称: kuaiji
帐户域: CONTOSO.COM
登录 ID: 0x557137
链接的登录 ID: 0x0
网络帐户名称: -
网络帐户域: -
登录 GUID: {175bb990a-1254-1677-ab38-10d36657a109}

进程信息:
进程 ID: 0x0
进程名称: -
“网络”字段指示远程登录请求源自哪里。
网络信息:
工作站名称: -
“工作站名称”并非始终可用，并且在某些情况下可能会留空。
源网络地址: 192.168.10.100
源端口: 63686

详细的身份验证信息:
登录进程: Kerberos
身份验证数据包: Kerberos
传递的服务: -
数据包名(仅限 NTLM): -
密钥长度: 0

“身份验证信息”字段提供有关此特定登录请求的详细信息。

• “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。
  -“传递的服务”指示哪些中间服务参与了此登录请求。
  -“数据包名”指示在 NTLM 协议中使用了哪些子协议。
  -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥，则此字段将为 0。

严重性 : success类型 : Security源 : Microsoft-Windows-Security-Auditing用户名 : kuaiji

（3）事件ID：4634 success（已注销账户。在登录会话被破坏时生成此事件。）

已注销帐户。

使用者:
安全 ID: CONTOSO\kuaiji
帐户名: kuaiji
帐户域: CONTOSO
登录 ID: 0x557137
登录类型: 3
在登录会话被破坏时生成此事件。可以使用登录 ID 值将它和一个登录事件准确关联起来。在同一台计算机上重新启动的区间中，登录 ID 是唯一的。

严重性 : success类型 : Security源 : Microsoft-Windows-Security-Auditing用户名 : kuaiji

（4）事件ID：4625 failure（帐户登录失败。登录请求失败时在尝试访问的计算机上生成此事件。）

补充

（5）事件ID：4740 success（已锁定用户帐户）

已锁定用户帐户。
使用者:
安全 ID: S-1-5-18 帐户名: DC01$ 帐户域: CONTOSO 登录 ID: 0x3E7
已锁定的帐户:
安全 ID: S-1-5-12-2000478354-1455571177-839992115-45662 帐户名: kuaiji
附加信息:
调用方计算机名: FileServer01

事件ID : 4740严重性 : success类型 : Security源 : Microsoft-Windows-Security-Auditing

（6）事件ID：

（7）事件ID：

（8）事件ID：

（9）事件ID：

3、Windows日志-Setup

（1）事件ID：

（2）事件ID：

（3）事件ID：

（4）事件ID：

4、Windows日志-System系统

（1）事件ID：12 information（操作系统启动）

操作系统已在系统时间2024 - 1108T03:10:37.500000000Z启动。
严重性 : information类型 : System源 : Microsoft-Windows-Kernel-General

（2）事件ID：13 information（操作系统关闭）

操作系统将在系统时间2024 -11 -05T09:10:38.466731300Z关闭
严重性 : information类型 : System源 : Microsoft-Windows-Kernel-General

（3）事件ID：41 information（操作系统已在未先正常关机的情况下重新启动）

系统已在未先正常关机的情况下重新启动。如果系统停止响应、发生崩或意外断电，则可能会导致此错误。
严重性 : information类型 : System源 : Microsoft-Windows-Kernel-Power

（4）事件ID：6008 error（操作系统意外关闭）

上一次系统的 14:56:04在2024/ 11/ 7 上的关闭是意外的。
严重性 : error类型 : System源 : EventLog

（5）事件ID：1074 information（哪个用户启动哪台计算机，重启: 其他(计划外)方式是什么，关机类型: 重启）

进程 C:\Windows\system32\SystemSettingsAdminFlows,exe (DC01) 由于以下原因已代表用户 CONTOSO\temp 启动计算机 DC01 的 重启: 其他(计划外)原因代码: 0x5000000
关机类型: 重启
类型 : System源 : User32用户名 : NT AUTHORITY\SYSTEM

（6）事件ID：5807 warning（在过去的 4.23 小时中有 37 连接从 IP 地址 没有映射到企业中任何站点的客户端计算机,到这个域控制器）

在过去的 12.90 小时中有 27 连接从P 地址 没有映射到企业中任何站点的客户端计算机,到这个域控制器。。。。。。
严重性 : warning类型 : System源 : NETLOGON

原因：子网里面没配置。把划分的子网归到辅助域控下面这个事件id就不会报错。

（7）事件ID：1202 success（开启ADFS登录审计）

各个event id的作用看微软官方链接：
https://learn.microsoft/en-us/windows-server/identity/ad-fs/troubleshooting/ad-fs-tshoot-logging
使用事件和日志记录对 Active Directory 联合身份验证服务（ADFS）进行故障排除
命令：auditpol.exe /set /subcategory:“Application Generated” /failure:enable /success:enable

The Federation Service validated a new credential. See XML for details. Activity ID: 64y8b896-9q3e-423b-112w-0080000000d7 Additional Data XML: <?xml version="1.0" encoding="utf-16"?> <AuditBase xmlns:xsd="http://www.p6/2012/XMLSchema" xmlns:xsi="http://www.p7/2019/XMLSchema-instance" xsi:type="FreshCredentialAudit"> <AuditType>FreshCredentials</AuditType> <AuditResult>Success</AuditResult> <FailureType>None</FailureType> <ErrorCode>N/A</ErrorCode> <ContextComponents> <Component xsi:type="ResourceAuditComponent"> <RelyingParty>https://mail001.contoso/owa/</RelyingParty> <ClaimsProvider>AD AUTHORITY</ClaimsProvider> <UserId>kuaiji@mail001.contoso</UserId> </Component> <Component xsi:type="AuthNAuditComponent"> <PrimaryAuth>N/A</PrimaryAuth> <DeviceAuth>false</DeviceAuth> <DeviceId>N/A</DeviceId> <MfaPerformed>false</MfaPerformed> <MfaMethod>N/A</MfaMethod> <TokenBindingProvidedId>false</TokenBindingProvidedId> <TokenBindingReferredId>false</TokenBindingReferredId> <SsoBindingValidationLevel>NotSet</SsoBindingValidationLevel> </Component> <Component xsi:type="ProtocolAuditComponent"> <OAuthClientId>N/A</OAuthClientId> <OAuthGrant>N/A</OAuthGrant> </Component> <Component xsi:type="RequestAuditComponent"> <Server>http://loginsrv11.contoso/adfs/services/trust</Server> <AuthProtocol>WSFederation</AuthProtocol> <NetworkLocation>Intranet</NetworkLocation> <IpAddress>192.168.111.111</IpAddress> <ForwardedIpAddress /> <ProxyIpAddress>N/A</ProxyIpAddress> <NetworkIpAddress>N/A</NetworkIpAddress> <ProxyServer>N/A</ProxyServer> <UserAgentString>Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.69 (KHTML, like Gecko) Chrome/133.0.0.0 Safari/537.36 Edg/133.0.0.0</UserAgentString> <Endpoint>/adfs/ls/</Endpoint> </Component> </ContextComponents> </AuditBase>

事件ID : 1202严重性 : success类型 : Security源 : AD FS Auditing

（2）事件ID：

（3）事件ID：

（4）事件ID：

5、Exchange日志-System系统

（1）事件ID：4266 warning

消息 : 有关从全局 UDP 端口空间分配一个短端口号的请求失败，因为所有此类端口都在使用中。
时间 : 2023-12-26 05:53:20
显示名称 : mail009
设备 : mail009
事件ID : 4266
严重性 : warning
类型 : System
源 : Tcpip

（2）事件ID：10028 error

消息 : DCOM 无法使用任何配置的协议与计算机 ca001.contoso 进行通信；请求人 PID fc (C:\Windows\system32\taskhostw.exe)。
时间 : 2023-12-26 04:47:50
设备 : DC02（先在域控DC02上与ca001无法通信，每天都有报错）
事件ID : 10028
严重性 : error
类型 : System
源 : Microsoft-Windows-DistributedCOM

（3）事件ID：10028 error

消息 : DCOM 无法使用任何配置的协议与计算机 mail004.contoso 进行通信；请求者 PID 2220 (C:\Program Files\Microsoft\Exchange Server\V15\Bin\msexchangerepl.exe)，同时激活 CLSID {8BC7F77E-D77B-11D0-A777-00C07FB88690}。
时间 : 2023-12-26 06:03:35
设备 : mail009（服务器mail009上与mail004无法通信，报错，然后mail009的POP3服务宕机）
事件ID : 10028
严重性 : error
类型 : System
源 : Microsoft-Windows-DistributedCOM

消息 : DCOM 无法使用任何配置的协议与计算机 mailvv1.contoso 进行通信；请求者 PID 2220 (C:\Program Files\Microsoft\Exchange Server\V15\Bin\msexchangerepl.exe)，同时激活 CLSID {8BC7F77E-D77B-11D0-A777-00C07FB88690}。
时间 : 2023-12-26 06:14:22
设备 : mail009（服务器mail009上与mailvv1无法通信，报错，然后mail009的POP3服务宕机）
事件ID : 10028
严重性 : error
类型 : System
源 : Microsoft-Windows-DistributedCOM

（4）事件ID：1135 error

消息 : 已从活动故障转移群集成员身份中删除群集节点“mail001”。可能已在该节点上停止群集服务。这可能还由于该节点已与故障转移群集中的其他活动节点失去通信所致。请运行“验证配置”向导检查网络配置。如果此情况持续出现，请检查此节点上与网络适配器相关的硬件或软件错误。同时还要检查节点连接到的任何其他网络组件(如集线器、交换机或网桥)中的故障。
时间 : 2023-12-27 02:43:25
设备 : mail003（服务器mail003上先报错，服务器mail003上删除群集节点“mail002、004、。。。010”的报错）
事件ID : 1135
严重性 : error
类型 : System
源 : Microsoft-Windows-FailoverClustering

（5）事件ID：1177 error

消息 : 群集服务正在关闭，原因是仲裁已丢失。这可能是由于丢失了群集中某些节点或所有节点之间的网络连接，或故障转移见证磁盘。 请运行“验证配置”向导以检查网络配置。如果此情况持续出现，请检查与网络适配器相关的硬件或软件错误。同时还要检查节点连接到的任何其他网络组件(如集线器、交换机或网桥)中的故障。
时间 : 2023-12-27 02:43:26
设备 : mail003（服务器mail003上的报错）
事件ID : 1177
严重性 : error
类型 : System
源 : Microsoft-Windows-FailoverClustering

（6）事件ID：1146 error

消息 : 群集资源宿主子系统(RHS)进程已终止并将重新启动。这通常与群集运行状况检测以及恢复资源关联。若要确定导致此问题的资源和资源 DLL，请参阅系统事件日志。
时间 : 2023-12-27 02:43:26
设备 : mail003
事件ID : 1146
严重性 : error
类型 : System
源 : Microsoft-Windows-FailoverClustering

事件ID：1135、1177、1146出现可能的原因：
尽管提到网络和虚拟机没有做过调整，但仍建议检查网络配置，确保所有节点之间的通信正常。
检查节点“mail003”上的硬件和软件状态，确保没有故障。
确保防火墙和防病毒软件没有阻止群集通信。
如果群集节点已经自动重启并重新连接，通常不需要手动干预。群集服务会尝试自动恢复连接并重新加入群集。不过，建议您监控一段时间，确保问题不再复发。
如果问题持续出现，建议运行群集验证配置向导（Validate a Configuration Wizard）来检查网络配置和群集设置，确保没有潜在的配置问题。

（4）事件ID：

（5）事件ID：

（三）Exchange Server 2019搭建

3.1、Exchange Server 必备组件

微软官方链接：https://learn.microsoft/zh-cn/exchange/plan-and-deploy/prerequisites?view=exchserver-2019
也就是安装Exchange Server 2019之前，必须先提前安装这些软件才行。

• 计算机需要以下软件：
• • （1）NET Framework 4.8
    下载链接地址：https://download.visualstudio.microsoft/download/pr/014120d7-d689-4305-befd-3cb711108212/0fd66638cde16859462a6243a4629a50/ndp48-x86-x64-allos-enu.exe
• • （2）适用于 Visual Studio 2012 的 Visual C++ 可再发行组件包
    下载链接地址：https://www.microsoft/zh-cn/download/details.aspx?id=30679
• • （3）Visual Studio 2013 的 Visual C++ 可再发行程序包
    下载链接地址：https://support.microsoft/zh-cn/topic/update-for-visual-c-2013-redistributable-package-d8ccd6a5-4e26-c290-517b-8da6cfdf4f10
• • （4）Microsoft Unified Communications Managed API 4.0 Core Runtime（64 位）统一通信托管 API (UCMA) 4.0 是一个托管代码平台
    下载链接地址：https://www.microsoft/en-us/download/details.aspx?id=34992

（1）安装.NET Framework 4.8

（2）Visual Studio 2012 的 Visual C++

（3）Visual Studio 2013 的 Visual C++

（4）Microsoft Unified Communications Managed API 4.0 Core Runtime（64 位）

必备组件安装，这一步是安装系统补丁及依赖包。
如果是在自己测试环境，安装完必备组件后拍摄快照，方便安装中出错还原。

（5）安装：IIS URL 重写模块

解决报错：
（1）先安装：Web服务器（IIS）

（2）在安装：IIS URL 重写模块

3.2、ExchangeServer2019-x64-CU14安装

（1）Powershell安装相关服务器角色和功能

（1）上一步中，Visual Studio 2012 的 Visual C++安装完后，继续管理员身份运行Powershell安装远程工具管理包命令：
Install-WindowsFeature RSAT-ADDS
为什么：如果使用 Exchange 安装向导来准备 Active Directory，则需要 Visual C++ 可再发行程序包。

（2）添加所需的 Lync Server 或 Skype for Business Server 组件，

通过在 Windows PowerShell 中执行以下命令来安装 Server Media Foundation Windows 媒体基础框架服务 功能：
Install-WindowsFeature Server-Media-Foundation

（3）exchange 2019 IIS安装命令：
Install-WindowsFeature Web-WebServer,Web-Common-Http,Web-Default-Doc,Web-Dir-Browsing,Web-Http-Errors,Web-Static-Content,Web-Http-Redirect,Web-Health,Web-Http-Logging,Web-Log-Libraries,Web-Request-Monitor,Web-Http-Tracing,Web-Performance,Web-Stat-Compression,Web-Dyn-Compression,Web-Security,Web-Filtering,Web-Basic-Auth,Web-Client-Auth,Web-Digest-Auth,Web-Windows-Auth,Web-App-Dev,Web-Net-Ext45,Web-Asp-Net45,Web-ISAPI-Ext,Web-ISAPI-Filter,Web-Mgmt-Tools,Web-Mgmt-Compat,Web-Metabase,Web-WMI,Web-Mgmt-Service,NET-Framework-45-ASPNET,NET-WCF-HTTP-Activation45,NET-WCF-MSMQ-Activation45,NET-WCF-Pipe-Activation45,NET-WCF-TCP-Activation45,Server-Media-Foundation,MSMQ-Services,MSMQ-Server,RSAT-Feature-Tools,RSAT-Clustering,RSAT-Clustering-PowerShell,RSAT-Clustering-CmdInterface,RPC-over-HTTP-Proxy,WAS-Process-Model,WAS-Config-APIs

（2）重启电脑

（3）扩展AD架构

将Exchange Server 2019 安装介质解压或挂载到Exchange服务器上，并使用管理员身份打开 CMD，并切换到Exchange安装目录下。
使用命令进行扩展AD架构(cmd命令进入exchange安装目录) 执行命令：
cd E:
E:\Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareSchema

（4）扩展林

挂载Exchange 安装介质，管理员身份打开CMD，切换到安装路径。
用驱动器 E: 上的 Exchange 安装文件，并将 Exchange 组织命名默认为“Contoso Corporation”，重命名为“ContosoMail”，运行命令：
E:\Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAD /OrganizationName:“ContosoMail”

（5）扩展域

在 Active Directory 林中为 Exchange 准备所有域时，帐户需成为“企业管理员”安全组的成员。
用驱动器 E: 上的 Exchange 安装文件，运行以下命令：
E:\Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains

（6）安装 Exchange 邮箱服务器角色：安装 ExchangeServer2019-x64-CU14

• 1）图形化界面部署，打开Exchange Server 2019安装介质，并双击“Setup.exe”文件
  
• 2）是否检查更新：现在不检查更新
  
  
• 3）简介：下一步
  
• 4）许可协议：接受，但不愿与 Microsoft 共享诊断数据
  
• 5）推荐设置：不使用推荐设置，完成安装后手动配置这些设置
  
• 6）服务器角色选择：邮箱角色、自动安装角色和功能
  
• 7）安装空间和位置
  （可以指定安装到D盘某个不带中文的路径，不建议将Exchange Server 安装到系统盘，建议安装到非系统盘以外的盘符）
  
• 8）恶意软件防护设置：是
  
• 9）准备情况检查
  
• 10）准备情况检查
  
• 11）安装进度
  
• 12）安装完成
  
  安装完成，重启这台服务器。

（7）查看相关服务是否启动：Microsoft Exchange 相关服务

• Microsoft Exchange Active Directory 拓扑
• Microsoft Exchange DAG 管理
• Microsoft Exchange EdgeSync
• Microsoft Exchange Information Store
• Microsoft Exchange POP3
• Microsoft Exchange POP3 后端
• Microsoft Exchange RPC 客户端访问
• Microsoft Exchange Search Host Controller
• Microsoft Exchange Service 主机
• Microsoft Exchange 传输
• Microsoft Exchange 传输日志搜索
• Microsoft Exchange 反垃圾邮件更新
• Microsoft Exchange 复制
• Microsoft Exchange 合规性服务
• Microsoft Exchange 合规性审核
• Microsoft Exchange 紧急缓解服务
• Microsoft Exchange 前端传输
• Microsoft Exchange 搜索
• Microsoft Exchange 限制
• Microsoft Exchange 邮箱传输传递
• Microsoft Exchange 邮箱传输提交
• Microsoft Exchange 邮箱复制
• Microsoft Exchange 邮箱助理
• Microsoft Exchange 运行状况管理器
• Microsoft Exchange 运行状况管理器恢复
• Microsoft Exchange 诊断
• Cluster Service

（服务启动类型：有些手动改成自动）

（8）创建邮箱用户

待补充
http://<ip address>/owa 用户登录即可发送邮件 用户登录入口

待补充

（9） 激活服务器

待补充

使用命名了Set-ExchangeServer –ProductKey 命令将两台Exchange服务器进行激活

Set-ExchangeServer –ProductKey -–––****- -Identity ex2019
待补充

3.3、Exchange 服务器中的 Exchange 管理中心

微软官方链接：https://learn.microsoft/zh-cn/exchange/architecture/client-access/exchange-admin-center?view=exchserver-2019

（1）如何访问：Exchange 服务器中的 Exchange 管理中心

在 Exchange 服务器本身的 Web 浏览器中访问 EAC访问：Exchange 管理中心，必须以服务器的完全限定域名 (FQDN) 格式：

• （1）https://dcmail001.contoso/ecp
• （2）https://localhost/ecp

（2）登录Exchange 服务器中的 Exchange 管理中心

在 Exchange 服务器本身的 Web 浏览器中访问 EAC访问：Exchange 管理中心
地址：https://localhost/ecp
域用户名：admin@contoso（AD中的管理员账号，contoso为自己的域名）
密码：*********

（3）访问https://localhost/ecp报错：拓扑提供程序在端点“TopologyClientTcpEndpoint （localhost）”上找不到 Microsoft Exchange Active Directory 拓扑服务。

解决方法：查看这台服务器上的Exchange相关服务是否启动，需要启动 Exchange Server相关服务后再次访问，就不在报这个错误，登录成功。

3.4、数据库可用性组 Database Availability Group（DAG）

192.168.10.1（DC01 域控服务器）
192.168.10.2（DC02 域控服务器）
192.168.10.5（DCmail001 邮件服务器）
192.168.10.6（DCmail002 邮件服务器）
192.168.10.3（DC03 见证服务器）
192.168.10.10（DAG 虚拟计算机账户）

3.4.1、将 “Exchange Trusted Subsystem” 安全组添加到本地管理员组中。

将 “Exchange Trusted Subsystem” 安全组添加到DC01域控的本地管理员组中。

3.4.2、创建目标计算机账户DAG，加入本地管理员组，加入Exchange Trusted Subsystem组，DAG成员添加安全列表赋予完全控制权限，并禁用

（DC003）计算机DAG账户创建出来，就是个虚拟账户，后面禁用该账户。

（1）创建目标计算机账户DAG

登录DC01域控制器，打开“Active Directory用户和计算机，创建计算机账户DAG。

（2）将目标计算机账户DAG加入本地管理员组

（3）将目标计算机账户DAG加入Exchange Trusted Subsystem组

（4）DAG成员添加安全列表赋予完全控制权限

启用"Active Directory用户和计算机" 的高级功能选项，打开，DAG计算机账户属性对话框，切换到”安全“选项卡，将Exchange Trusted Subsystem组中的所有DAG成员服务器添加到安全列表，并赋予完全控制权限。

（5）将目标计算机账户DAG禁用

3.4.3、DNS创建A记录

打开DNS控制台，创建于DAG同名的 “A” 记录，创建完成A记录如下。

3.4.4、配置部署DAG

（1）见证服务器，创建见证目录并且共享

创建见证服务器（本次测试此处使用DC02域控作为见证服务器）
见证服务器：DC02
见证服务器完整FQDN：DC02.contoso
见证目录：保持空白，DAG创建过程中会自动创建见证目录。当然也可以手动去指定。见证目录默认位置“%systemdrive%\DagFileSareWitnesses<DAG FQDN>”.

• （1）在DC02上自定义见证目录DagFileSareWitnesses，并对文件夹做共享。（此处采用手动创建见证目录）
  
• （2）并对自定义见证目录DagFileSareWitnesses文件夹做共享。
  

（2）Exchange管理中心，选择数据库可用性组

打开mail001服务器的浏览器，登录Exchange管理中心，在左侧列表选择“服务器”选项，选择数据库可用性组，默认没有创建任何DAG组，如图。

（3）新建 “数据库可用性组”

单击“+”按钮，打开“新建数据库可用性组”对话框。
见证服务器：DC02
见证服务器完整FQDN：DC02.contoso
见证目录：C:\DagFileSareWitnesses
数据库可用性组IP地址：192.168.10.1

如下图，虽然DAG创建成功，但是并未添加任何节点服务器。

（4）添加节点服务器

DAG创建成功后，不会自动添加邮箱服务器，需要Exchange管理员手动添加完成该任务。

• （1）在数据库可用性组窗口中，点击 “管理DAG成员资格” 图标，打开 “管理数据库可用性组成员资格” 对话框，默认没有添加任何节点服务器。
  
• （2）选择要添加的邮箱成员服务器，保存。
  
  
  
• （3）添加成功后，“数据库可用性组” 窗口，成员服务器列表中显示已经添加的邮箱服务器。右侧将显示详细信息。
  成员服务器：mail001、mail002
  见证服务器：dc02.contoso
  DAG网络：MapiDagNetwork
  

（5）配置群集网络

DAG创建成功后，默认将应用网络作为群集网络。
在案例中，部署两套网络：应用网络（内部网络）和复制网络（心跳网络），因此需要管理员动手配置复制网络。
应用网络（内部网络）：mail001 192.168.10.111、mail002 192.168.10.112
复制网络（心跳网络）：mail001 192.168.20.111、mail002 192.168.20.112

• （1）打开 “数据库可用性组”，选择创建的DAG，然后选择工具栏的笔形图标，编辑DAG属性
  

• （2）选择 “手动配置数据可用性组网络” 选项，单击保存按钮，完成DAG属性设置。

• （3）新建DAG网络
  

（2）

（四）取消普通域用户将计算机加入域的权限

1、普通账户将计算机加入域

用OU下的普通账户kuaiji将客户端计算机win11加入contoso域。

2、加域成功

3、退域

用kuaiji@contoso账户登录这台加入的计算机Win11，用域管理员账户将计算机退域。

4、取消普通域用户将计算机加入域的权限

说明：
普通用户加入域后默认是在Domain Users组里，该组中用户具有将10台计算机加入域的权限，在一些安全要求极高的企业是绝对不允许的，存在较高的风险，所以需要禁止普通Domain Users组中用户加域权限；但是可能公司部门较多的时候需要有二级网管来负责普通的运维，比如将某部门新入职员工计算机加入域，但是不能将超管的密码外泄所以需要专门用来加域的用户；

（1）、ADSI 编辑器

禁用普通Domain Users组的加域权限（管理员账号不受此限制）
使用管理员的账号登陆域控制器，依次点击 开始–>管理工具–>ADSI 编辑器，然后右键 ADSI编辑器，点击连接到：

（2）、设置ms-DS-MachineAccountQuota属性值为0

在 DC=contoso，DC=com 处右击属性（域级别），ms-DS-MachineAccountQuota属性，双击，将默认值10，修改成值为0，并单击确定；

（3）、普通账户将计算机加入域：失败报错

用OU下的普通账户kuaiji将客户端计算机win11加入contoso域，加域失败报错。说明已经取消普通域用户将计算机加入域的权限。

（4）、域管理员账户将计算机加入域：成功

用域管理员账户tempadmin将客户端计算机win11加入contoso域，加域成功。

（5）、退域

用kuaiji@contoso账户登录这台加入的计算机Win11，用域管理员账户tempadmin@contoso将计算机退域。

5、授权特定普通域用户将计算机加入域的权限

（1）、新建一个域用户

新建一个域用户testaccount，可以看到新用户默认是在Domain Users组里，该组中用户默认具有将10台计算机加入域的权限。
已经将ADSI编辑器中的ms-DS-MachineAccountQuota属性值设置为0，所以这个testaccount账户也不能将计算机加域；

（2）、委派控制

打开AD管理工具，选择 contoso（域级别），右击属性，选择委派控制。

（3）、添加需要提升为具有将计算机加入域的账号（普通域账号）

添加需要提升为具有将计算机加入域的账号：testaccount（普通域账号）

（4）、委派testaccount账户将计算机加入到域

在委派页面选择将计算机加入到域，并单击下一步，完成。

在下面的页面，单击完成，退出，就完成了对普通用户的权限提升。

这样就可以使用 testaccount 用户将计算机加入到域中，并且没有次数限制；

（5）、加域（使用委派用户）

用已经给普通用户委派将计算机加域的权限testaccount账户，将客户端计算机win11加入contoso域。

（6）、加域成功

（7）、退域（使用委派用户）

必须管理员账户退域。普通账户退不了域。

6、管理委派

（1）、查看委派

1、打开“Active Directory 用户和计算机”–>“查看”–>“高级功能”；
2、在DC域"contoso"上右键属性找到"安全"，点"高级"，切换到"有效的权限"，点选择，输入用户帐号testaccount，点确定即可查看该用户帐号在域中的最终有效权限；

（2）、删除委派

1、“Active Directory 用户和计算机”>“查看”>“高级功能”选中；
2、找到委派的对象OU，再切换到“安全”标签，找到委派的用户或组把它删除即可；

（五）排除GPO权限