本页内容为经校对后的 安全优先 / 命令优先 / 无冗余版 Windows Server 2025 新机配置流程。 所有命令默认需在 管理员权限 PowerShell / CMD 中执行。 按优先级分为：必须 → 推荐 → 可选。

• 确保可访问物理控制台或 iDRAC/KVM/IPMI。
• 建立《Setup_Commands.txt》并加密保存，用于记录你执行的所有动作（便于回滚）。

（原因：远程配置失误会锁死机器，控制台可救命。）

PowerShell：

Get-NetAdapter
ipconfig

Remove-NetIPAddress -InterfaceAlias "NIC1" -Confirm:$false

New-NetIPAddress -InterfaceAlias "NIC1" -IPAddress 192.168.137.137 -PrefixLength 24 -DefaultGateway 192.168.137.1

Get-DnsClientServerAddress -InterfaceAlias "NIC1"
Set-DnsClientServerAddress -InterfaceAlias "NIC1" -ServerAddresses ("223.5.5.5","8.8.4.4")

Test-NetConnection 192.168.137.1

验证连通性：

ping 192.168.137.1
nslookup www.microsoft.com

将网络设为 Private（避免 Public 防火墙策略过严）：

Set-NetConnectionProfile -InterfaceAlias "NIC1" -NetworkCategory Private

Set-NetFirewallProfile -Profile Domain,Private,Public -Enabled True

仅放行“管理网段”而不是全部互联网（Any）。

net user Administrator StrongPassword!234

net user ServerAdmin StrongPassword!234 /add
net localgroup Administrators ServerAdmin /add

路径：

• gpedit.msc → 计算机配置 → Windows 设置 → 安全设置 → 本地策略 → 安全选项

修改：

• “帐户：重命名管理员帐户”

将“Administrator”改为你自定义的安全名称。

路径：

• secpol.msc → 本地策略 → 用户权限分配 → “拒绝通过远程桌面服务登录”

添加：新名称的 Administrator 帐户。

路径：

• secpol.msc → 本地策略 → 用户权限分配 → “拒绝本地登录”

添加：ServerAdmin。

路径：

• “允许通过远程桌面服务登录”

添加：ServerAdmin（移除不必要成员）。

（两者合并后： Administrator 仅本地 ServerAdmin 仅 RDP 从而大幅减少本地提权风险与凭据泄露。）

GUI：

• 设置 → Windows Update → 检查更新

（需合法 key，会自动重启）

DISM /online /Set-Edition:ServerDatacenter /ProductKey:D764K-2NDRG-47T6Q-P8T8W-YP6DF /AcceptEula

slmgr -ipk D764K-2NDRG-47T6Q-P8T8W-YP6DF
slmgr -skms kms.03k.org
slmgr -ato
slmgr /xpr

Rename-Computer -NewName "PowerEdge-R730"

Restart-Computer

Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -Name fDenyTSConnections -Value 0

强制 NLA：

Set-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name UserAuthentication -Value 1

仅允许管理网段访问 3389：

New-NetFirewallRule -DisplayName "RDP-ManageNet" -Direction Inbound -Protocol TCP -LocalPort 3389 -RemoteAddress 192.168.1.0/24 -Action Allow

Set-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name PortNumber -Value 55000

New-NetFirewallRule -DisplayName "RDP-55000" -Direction Inbound -Protocol TCP -LocalPort 55000 -RemoteAddress 192.168.1.0/24 -Action Allow

Restart-Service TermService -Force

（更改端口不会自动开防火墙。微软官方文档明确需要手动添加规则。）

Enable-PSRemoting -Force

安装 OpenSSH：

Add-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0
Start-Service sshd
Set-Service sshd -StartupType Automatic

仅允许管理网段：

New-NetFirewallRule -DisplayName "SSH-ManageNet" -Protocol TCP -LocalPort 22 -RemoteAddress 192.168.1.0/24 -Action Allow

• iDRAC / Lifecycle Controller 中完成固件、RAID 设置
• Windows 内安装：iDRAC Service Module（ISM） + DSU/DUP
• DSU 运行固件/驱动检查（需维护窗口）

• 安装：

Install-WindowsFeature Web-Server

• 关闭不必要模块
• 强制 HTTPS、自动绑定证书

• 禁用 SMBv1：

Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force

• 权限仅按组授予，不用 Everyone。

Install-WindowsFeature Hyper-V -IncludeManagementTools

路径：

• 文件资源管理器 → 查看 → 选项

推荐：

• 禁止显示受保护的系统文件（保持默认）
• 显示扩展名（有助排查脚本、配置）

• 禁用自动运行下载
• 启用增强安全模式
• 自定义 DNS（DoH）

• 系统 → 剪贴板 → 禁用“跨设备同步”
• 隐私 → 位置 → 关闭
• 隐私 → 诊断 → 基本
• 更新 → 可选更新 → 合法驱动

路径：

• 设置 → 个性化 → 任务栏 / 开始

常见优化：

• 关闭小组件
• 隐藏不必要的系统图标
• 禁止自动推荐应用

Set-SmbServerConfiguration -EnableForcedGuest $false -Force

GUI：

• 控制面板 → 用户账户 → 更改用户账户控制设置

Set-ExecutionPolicy RemoteSigned -Scope LocalMachine -Force

示例（如禁止 Fax）：

Stop-Service Fax
Set-Service Fax -StartupType Disabled

wevtutil sl Security /ms:204800000

（信任前提下替换 USTC 源）

winget source remove winget
winget source add winget https://mirrors.ustc.edu.cn/winget-source --trust-level trusted

回退：

winget source reset winget

此流程强调：先基础安全 → 再远程访问 → 再角色服务 → 最后个性化。 适用于桌面化运维、IDC 服务器、虚拟化节点、Dev/Prod 环境。 保持此顺序可最大限度降低误操作与暴露风险，并维持系统长期可维护性。