域控测试项目报告测试环境■Vmware6.5.2汉化版；■WindowsServer2003EnterpriseEditionSP2（企业版）安装版IOS文件；■Windowsxp（电脑公司11版）ghots版IOS文件；■实体测试机2台■GPMC组策略控制台安装软件；■Windows2003系统补丁；关于选用的软件，VM6.5.2已使用多年技术成熟出错率低，再此版本下运行系统相对稳定；WindowsServer2003的企业版能支持最多25个目录服务（比如DNS、DHCP、打印、文件服务器），最高支持32G内存，而标准版最多支持8个目录服务及4G内存。Winxp（电脑公司11版）则是目前相对稳定及系统服务功能相对齐全的系统版本。测试任务1在虚拟机WIN2003系统上建立域控制器、DNS服务器和文件服务器，并在域控制器上建立不同权限的部门、用户。在文件服务器上创建公共文件夹（只读、存档）和私用个人文件夹（只允许自己访问）。测试过程①安装Vmware6.5.2,WindowsServer2003及Windowsxp②在Win2003系统上按顺序建立DNS服务器、域控制器（czl.com)和文件服务器③在服务器上更新Win2003系统补丁及安装GPMC④使用GPMC新建组织部门：测试部门1、测试部门2、测试部门3，并于对应部门新建用户test1、test2、test3，同时把新用户分别加入domainuser组（user权限）、domainadmin组（域管理员权限）、domainguest（来宾用户权限）⑤在文件服务器上创建共享文件夹share(所有人权限均为完全控制）、public(所有人权限只读，不能修改）⑥在客户机winxp系统上pingczl.com看能否ping通⑦分别用新建的3个用户登陆客户机测试权限（test1用户登陆后可以正常打开所有软件及系统程序，但是无法对原有的文件进行修改及删除，也无法安装新软件及系统补丁，不能进行对注册表修改的任何操作，只能新建文件及对新建的文件进行修改，然而注销一次再登陆后原新建的文件也无法修改及删除。test3用户登陆，权限基本跟test1一样但无法新建文件。test2用户登陆可以进行任何操作，权限基本与本机的administrator管理员权限相同）测试任务2安装并共享打印机，设置用户漫游桌面配置和统一桌面墙纸。测试过程①在客户机实机winxp系统上使用test2用户登陆并安装打印机驱动（非管理员权限无法安装驱动），并在客户机虚拟机winxp系统上用test1登陆连接共享打印机。②在GPMC上新建GPO（组策略对象）并链接各测试部门，在GPO上设定用户桌面配置指向share文件夹。然后分别用test1、test2、test3登陆后注销，此时share文件夹中已自动生成3个用户的配置文件的文件夹，只有自身用户才有对自身配置文件夹的修改权限。③选择一张图片作为统一桌面的墙纸，把该墙纸放到public共享文件夹中，然后对原来新建的GPO设置用户墙纸指向public的图片，图片属性选择拉伸，最后使用用户登陆墙纸完好。用户漫游桌面配置是无法漫游桌面墙纸的，所以统一桌面墙纸也是一个重要的操作。其中共享文件夹share的高级属性中everyone权限一定要为完全控制，不然无法进行桌面漫游。而public文件夹高级属性中设置为默认的只读，不设置只读的话若被其他用户有意无意删除了墙纸后所有用户桌面有可能会变大花脸。这里有一个风险存在，如果注销用户登陆前文件服务器挂了的话就杯具了，最后配置会自动保存在本机中而无法保存在文件服务器中了。当然统一墙纸也一样，如果用户登陆前文件服务器挂了的话就同样杯具，有可能出现桌面墙纸大花脸。测试任务3编辑域策略限制软件、U盘及禁止打开修改注册表、命令提示符测试过程①新建GPO导入禁止U盘策略设置，同时设置注册表、命令提示符不可以访问但可以后台运行后，登陆客户机插入U盘以及打开注册表和命令提示符证实已被限制。②禁止组策略继承，强制组策略继承。③停用了限制U盘策略的GPO后重新登陆证实已解除U盘限制。④编辑限制软件策略，登陆客户机证实软件程序已被限制。禁止U盘、打开修改注册表、命令提示符的策略经测试完全可行，不过禁止U盘策略会根据客户机的硬盘分区数量不同而作调整（数值不同）。最后就是软件策略了，编辑组策略并阻止其继承、强制组策略继承都完美通过，在此只粗略测试，日后如要对部门细分策略的话这两项是非常重要的。限制软件的方法有3种，分别是：根据软件程序的实名进行配置只运行许可或不要运行指定的windows程序用散列（哈希）规则限制软件运行输入文件的后缀名比如exe.doc.x