若要檢視英文版的文章,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

步驟 1 - 準備 CORP 網域控制站

 


在此步驟中,您將建立網域控制站和新樹系中新網域的成員工作站。 此樹系會模擬具有要管理資源的現有樹系。 將以檔案共用來表示此案例的受保護資源。

  1. 準備四個虛擬機器,包含在共用虛擬網路上彼此連接的個別磁碟機。 可由 Windows 8.1、Windows Server 2012 R2 或其他作業系統平台裝載這些虛擬機器。 儲存虛擬機器磁碟映像的磁碟機至少必須有 100 GB 可用磁碟空間,才能保存所有虛擬機器。

  2. 在一部虛擬機器上,安裝 Windows Server 2012 R2 以建立電腦 "CORPDC"。

    1. 指定 Windows Server 2012 R2 Standard (Server 含 GUI) x64。

      PAM Getting Started Select WS 2012
    2. 檢閱並接受授權條款。

    3. 因為磁碟會為空,請選取 [自訂:只安裝 Windows],並使用未初始化的磁碟空間。

  3. 以系統管理員身分登入新的電腦。 使用 [控制台],將其名稱設為 CORPDC,並在虛擬網路上給予其靜態 IP 位址。 這將需要重新啟動伺服器。

  4. 在伺服器重新啟動之後,以系統管理員身分登入。 使用 [控制台] 設定電腦來檢查更新,並安裝所需的任何更新。 這可能需要重新啟動伺服器。

  5. 在伺服器重新啟動之後,以系統管理員身分登入。 使用 PowerShell,加入 Active Directory 網域服務 (AD DS)、DNS 伺服器和檔案伺服器 ([檔案和存放服務] 區段的一部分) 角色,並將此伺服器升級至新樹系 “contoso.local“ 的網域控制站,如下所述:

    1. 以系統管理員身分登入,啟動 PowerShell。

    2. 輸入下列命令。

      import-module ServerManager Add-WindowsFeature AD-Domain-Services,DNS,FS-FileServer –restart  –IncludeAllSubFeature -IncludeManagementTools Install-ADDSForest –DomainMode Win2008R2 –ForestMode Win2008R2 –DomainName contoso.local –DomainNetbiosName contoso –Force -NoDnsOnNetwork
      
      

      這會提示輸入要使用的安全模式系統管理員密碼。 請注意,將會出現 DNS 委派和密碼編譯設定值的警告訊息。 這些都是正常的。

    3. 樹系建立完成之後請登出,隨後會自動重新啟動伺服器。

  6. 在伺服器重新啟動後,以網域的系統管理員身分登入 CORPDC,通常是使用者 CONTOSO\Administrator,將擁有在 CORPDC 上安裝 Windows 時所指定的相同密碼。

  7. 建立新的使用者和群組,包括名為 “CorpAdmins“ 的群組、名為 “Jen“ 的使用者,以及用於 AD 本身稽核用途所需的群組。 群組的名稱必須是後面接著三個貨幣符號的 NetBIOS 網域名稱:“CONTOSO$$$”。 群組領域必須是「網域區域」和群組類型「安全性」。 這對於在稍後步驟中,於 PRIV 樹系中建立群組而言是必要的。

    1. 啟動 PowerShell。

    2. 輸入下列命令。

      import-module activedirectory New-ADGroup –name CorpAdmins –GroupCategory Security –GroupScope Global          –SamAccountName CorpAdmins New-ADUser –SamAccountName Jen –name Jen Add-ADGroupMember –identity CorpAdmins –Members Jen $jp = ConvertTo-SecureString "Pass@word1" –asplaintext –force Set-ADAccountPassword –identity Jen –NewPassword $jp Set-ADUser –identity Jen –Enabled 1 -DisplayName "Jen" New-ADGroup –name 'CONTOSO$$$' –GroupCategory Security –GroupScope DomainLocal   –SamAccountName 'CONTOSO$$$'
      
      
  8. 設定稽核。

    1. 移至 [開始]、[系統管理工具],並啟動 [群組原則管理]。

    2. 瀏覽至 樹系: contoso.local、網域、contoso.local,網域控制站、預設網域控制站原則 會出現參考訊息。

      PAM Getting Started Group Policy Management
    3. 以滑鼠右鍵按一下 [預設網域控制站原則],在快顯功能表中選取 [編輯]。 會出現新視窗。

    4. 在 [群組原則管理編輯器] 視窗的 [預設網域控制站原則] 樹狀結構下方,瀏覽至並展開 [電腦設定]、[原則]、[Windows 設定]、[安全性設定]、[本機原則]、[稽核原則]。

      PAM Getting Started Group Policy Management Editor
    5. 在詳細資料窗格中,以滑鼠右鍵按一下 [稽核帳戶管理],在快顯功能表中選取 [內容]。 按一下 [定義這些原則設定值]、將 [成功] 打勾、將 [失敗] 打勾、按一下 [套用] 和 [確定]。

    6. 在詳細資料窗格中,以滑鼠右鍵按一下 [稽核目錄服務存取],在快顯功能表中選取 [內容]。 按一下 [定義這些原則設定值]、將 [成功] 打勾、將 [失敗] 打勾、按一下 [套用] 和 [確定]。

      PAM Getting Started Group Policy Management Editor2
  9. 關閉 [群組原則管理編輯器] 視窗和 [群組原則管理] 視窗。 然後套用稽核設定,方法是啟動 PowerShell 視窗並輸入:

    gpupdate /force /target:computer
    

    幾分鐘之後應該會出現「電腦原則更新已成功完成。」訊息

  10. 設定 SID 歷程記錄移轉所需的登錄設定 (將用於權限存取管理群組建立),並重新啟動網域控制站。

    1. 啟動 PowerShell。

    2. 輸入下列命令,將來源網域設為允許遠端程序呼叫 (RPC) 存取安全性帳戶管理員 (SAM) 資料庫。

      New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1 Restart-Computer
      
      

      這會重新啟動 CORPDC。 如需此登錄設定的進一步資訊,請參閱:http://support.microsoft.com/kb/322970

  11. 在另一個未安裝任何軟體的新虛擬機器上,安裝 Windows 8.1 Enterprise 以設定電腦 “CORPWKSTN“。

    1. 在安裝期間使用 Express 設定。

    2. 請注意,安裝可能無法連線到網際網路。 按一下以 [建立本機帳戶]。 指定不同的使用者名稱。請勿使用 “Administrator“ 或 “Jen“。

  12. 使用 [控制台] 中,將虛擬網路上的靜態 IP 位址提供給這台電腦,並將介面的慣用 DNS 伺服器設為屬於 CORPDC 伺服器。

  13. 使用 [控制台],網域會將 CORPWKSTN 將電腦加入到 contoso.local 網域。 這將需要提供 Contoso 網域系統管理員認證。 完成此動作時,接著重新啟動電腦 CORPWKSTN

  14. 電腦重新啟動之後,請按一下 [切換使用者] 圖示,按一下 [其他使用者]。 確認使用者 CONTOSO\Jen 可以登入 CORPWKSTN

  15. CORPWKSTN 上,建立並共用名為 “CorpFS“ 的新資料夾 (包含 “CorpAdmins“ 群組)。

    • 在 [開始] 功能表上,輸入 PowerShell 並選取 [以系統管理員身分執行]。

    • 當視窗開啟時,輸入下列命令。

      mkdir c:\corpfs New-SMBShare –Name corpfs –Path c:\corpfs –ChangeAccess CorpAdmins $acl = Get-Acl c:\corpfs $car = New-Object System.Security.AccessControl.FileSystemAccessRule( "CONTOSO\CorpAdmins", "FullControl", "Allow") $acl.SetAccessRule($car) Set-Acl c:\corpfs $acl
      
      
顯示: