AD域控规划设计工作方案.docx
《AD域控规划设计工作方案.docx》由会员分享,可在线阅读,更多相关《AD域控规划设计工作方案.docx(16页珍藏版)》请在冰豆网上搜索。
AD域控规划设计工作方案
活动目录AD规划方案
1.1.活动目录介绍
活动目录是Windows网络系统结构中一个根本且不能切割的局部,它为网络的用户、
管理员和应用程序供应了一套分布式网络环境设计的目录效劳。
活动目录使得组织机构能够
有效地对相关网络资源和用户的信息进行共享和管理。
其他,目录效劳在网络安全方面也扮
演着中心授权机构的角色,从而使操作系统能够轻松地考据用户身份并控制其对网络资源的
接见。
同样重要的是,活动目录还担当着系统集成和坚固管理任务的会集点。
活动目录供应了对基于Windows的用户账号、客户、效劳器和应用程序进行管理的唯
一点。
同时,它也帮助组织机构经过使用基于Windows的应用程序和与Windows相兼容的
设施对非Windows系统进行集成,从而实现坚固目录效劳并简化对整个网络操作系统的管
理。
企业也能够使用活动目录效劳安全地将网络系统扩展到Internet上。
活动目录因此使现
有网络投资增值,同时,降低为使Windows网络操作系统更易于管理、更安全、更易于交
互所需的全部花销。
活动目录是微软各种应用软件运行的必要和基础的条件。
以以下图表示出活动目录成为各
种应用软件的中心。
1.2.应用Windows2021ServerAD的好处
Windows2021AD简化了管理,加强了安全性,扩展了互操作性。
它为用户、组、安
全效劳及网络资源的管理供应了一种集中化的方法。
应用Windows2021AD此后,企业信息化建设者和网络管理员能够从中获得以下好处:
1、方便管理,权限管理比较集中,管理人员能够较好的管理计算机资源。
2、安全性高,有益于企业的一些保密资料的管理,比方一个文件只能让某一个人看,也许指定人员能够看,但不能够够删/改/移等。
3、方便对用户操作进行权限设置,能够发散,指派软件等,实现网络内的软件一同安装。
4、好多效劳必定成立在域环境中,对管理员来说有好处:
一致管理,方便在MS软件方面集成,如ISAEXCHANGE(邮件效劳器)、ISASERVER(上网的各种设置与管理)等。
5、使用游览账户和文件夹重定向技术,个人账户的工作文件及数据等能够储藏在效劳器上,
一致进行备份、管理,用户的数据更加安全、有保障。
6、方便用户使用各种资源。
7、SMS〔SystemManagementServe〕r能够发散应用程序、系统补丁等,用户能够选择安装,也能够由系统管理员指派自动安装。
并能集中管理系统补丁〔如WindowsUpdates〕,不需每
台客户端效劳器都下载同样的补丁,从而节约大量网络带宽。
8、资源共享
用户和管理员能够不知道他们所需要的对象确实切名称,但是他们可能知道这个对象的一个
或多个属性,他们能够经过查找对象的局手下性在域中获得一个全部属性相般配的对象
列表,经过域使得基于一个或好多个对象属性来查找一个对象变得可能。
9、管理
A、域控制器集中管理用户对网络的接见,如登录、考据、接见目录和共享资源。
为了简
化管理,全部域中的域控制器都是同样的,你能够在任何域控制器进步行更正,这种更新可
以复制到域中全部的其他域控制器上。
B、域的推行经过供应对网络上全部对象的单点管理进一步简化了管理。
由于域控制器提
供了对网络上全部资源的单点登录,管理远能够登录到一台计算机来管理网络中任何计算机
上的管理对象。
在NT网络中,当用户一次登陆一个域效劳器后,就可以接见该域中已经开
放的全部资源,而无需对同一域进行屡次登陆。
但在需要共享不同样域中的效劳时,对每个域
都必定要登陆一次,否那么无法接见未登陆域效劳器中的资源或无法获得未登陆域的效劳。
10、可扩展性
在活动目录中,目录经过将目录组织成几个局部储藏信息从而赞成储藏大量的对象。
因此,
目录能够随着组织的增加而一同扩展,赞成用户从一个拥有几百个对象的小的安装环境睁开
成拥有几百万对象的大型安装环境。
11、安全性
域为用户供应了单调的登录过程来接见网络资源,如全部他们拥有权限的文件、打印机和应
用程序资源。
也就是说,用户能够登录到一台计算机来使用网络上其他一台计算机上的资源,
只要用户拥有对资源的合适权限。
域经过对用户权限合适的划分,确定了只有对特定资源有
合法权限的用户才能使用该资源,从而保障了资源使用的合法性和安全性。
12、可冗余性
每个域控制器保存和保护目录的一个副本。
在域中,你创立的每一个用户帐号都会对应目录
的一个记录。
当用户登录到域中的计算机时,域控制器将依照目录检查用户名、口令、登录
限制以考据用户。
当存在多个域控制器时,他们会如期的相互复制目录信息,域控制器间的
数据复制,促使用户信息发生改变时〔比方用户更正了口令〕,能够迅速的复制到其他的域
控制器上,这样当一台域控制器出现故障时,用户依旧能够经过其他的域控制进行登录,保
障了网络的顺利运行。
1.3.明确系统规划目标
企业的Windows2021AD系统规划成立是为企业信息化建设效劳的,需要到达以下战
略目标:
围绕企业的战略睁开需要,进行企业信息化建设系统规划,满足企业3-5年的业务睁开对IT建设的要求;
以业务为驱动,经过有效的信息系统,加强信息共享和共同办公,提高工作效率,
降低本钱;
整合企业现有信息财富,加强企业管理与监控;从信息中挖掘知识,提高经营决策
与驾驭风险的能力;
推进知识管理理念,成立知识型企业,加强企业的核心竞争力。
Windows2021AD系统规划推行的详详目标以下:
规划和部署基于Windows2021AD的企业目录效劳,第一实现用户的单调登录,
保障网络系统安全;
经过AD实现用户桌面的集中和自动管理,发散软件补丁;
进一步部署微软的相关应用平台软件,如实现基于Exchange2003的企业内部邮件
和协作效劳,
1.4.活动目录设计方案
为企业设计一个域,用户的全部计算机〔效劳器和客户机〕全部参加到域,用户实现
单调登录和管理员经过域组策略实现安全及桌面管理。
AD架构拓扑以下。
1.5.活动目录优势
1.计算机工作组管理和AD管理比较
对于基于MicrosoftWindows操作系统的计算机运行和管理在两种模式下:
工作组
(workgroup)和域(domain)。
在工作组模式下,计算机处于一个孤立状态,使用计算机的用户登录帐号和计算机的管理均须在每台计算机上创立或进行。
见以以下图。
当计算机高出20台以上时,计算机的管理变得越来越困难,并且要为用户创立越来越
多的接见网络资源的帐号,用户要记住多个接见不同样资源的帐号。
而在域的模式下,用户只要记住一个域帐号,即可登录接见域中的资源。
并且管理员通
过组策略,能够轻松配置用户的桌面工作环境和加强计算机安全设置。
域模式下全部的域帐
号保存在域控制器的活动目录数据库中。
见以以下图。
2.为什么要供应目录效劳?
对更加富强、透明且高度集成的目录效劳的不断需求是由爆炸性增加的网络计算所以致的。
随着局域网〔LAN〕、广域网〔WAN〕规模与复杂性的不断提高和这些网络不断被连入
Internet,以及应用程序对网络的依赖程度不断加强其实不断被链接到协作企业网中的其他系
统上,对目录效劳的需求也日渐增加。
基于以下原因,目录效劳成为扩展的计算机系统中最
重要的部件之一:
简化管理供应对用户、应用程序和设施的单调、一致性的管理点。
加强安全性向用户供应单调的网络资源登录,为管理员供应富强、一致性的工具以
使他们能够管理为内部台式机用户、远程拨号用户以及外面电子商务客户供应的安
全效劳。
扩展的互操作性向全部活动目录特点供应基于标准的存取方式以及对通用目录的
同步支持。
目录效劳兼任管理工具和用户工具。
随着网络中对象数量的增加,目录效劳变得必不能
少。
目录效劳在一个弘大的分布式系统中发挥着网络集线器的作用。
致力于这些需求,
Windows2000效劳器版引入了活动目录--即一套用于改进Windows网络操作系统管理、安
全性和互操作性的完满的目录效劳集。
以以下图描述了活动目录带来的计算机安全和管理上的一些最重要的好处。
3.AD简化了计算机系统管理
分布式系统经常以致时间的耗资和管理的冗余。
当企业在他们的基础结构上增加应用程
序并聘任新的职员时,他们需要合适地向各桌面系统发散软件并管理多个应用程序目录。
通
过在单调的地址管理用户、组和网络资源以及发散软件和管理桌面系统配置,活动目录能够
显然降低企业的管理花销。
比方,活动目录在同一个地址管理Windows用户和Microsoft
Exchange邮箱信息。
基于以下原因,活动目录能够从以下方面帮助企业简化管理:
除掉冗余管理任务供应对Windows用户账号、客户、效劳器和应用程序以及现存
目录同步能力进行单调点管理。
降低桌面系统的行程针对用户在企业中所担当的角色自动向其发散软件,以减少或
除掉系统管理员为软件安装和配置而安排的屡次行程。
更好的实现IT资源的最大化安全地将管理功能分派到组织机构的全部层次上。
降低整体拥有本钱〔TCO〕经过使网络资源简单被定位、配置和使用来简化对文件
和打印效劳的管理和使用。
4.加强安全性
富强且一致的安全效劳对企业网络而言是必不能少的。
管理用户考据和接见控制的
工作经常单调无聊且简单出错。
活动目录集中进行管理并加强了与组织机构的商业过程一致、且基于角色的安全性。
比方,对多身份考据协议〔如Kerberos,X.509认证以及由灵便的接见控制模型组成的智能卡〕的支持实现了对于内部桌面系统用户、远程拨号
用户和外面电子商务客户富强且一致的安全效劳。
活动目录使用以下方法加强安全性:
改进了密码的安全性和管理经过向网络资源供应单调的集成、高性能且对终端用户
透明的安全效劳。
保证桌面系统的功能性经过依照终端用户角色锁定桌面系统配置来防范对特定客
户主机操作进行接见,比方软件安装或注册项编写。
加速电子商务的部署经过供应对安全的Internet标准协讲和身份考据体系的内建支
持,如Kerberos,公开密钥基础设施〔PKI〕和安全套接字协议层〔SSL〕之上的轻盈目
录接见协议〔LDAP〕。
亲密的控制安全性经过对目录对象和组成他们的单独数据元素设置接见控制特权。
1.6.重要组策略介绍
1.软件发散策略
经过组策略能够为域中的计算机或用户自动发散带有msi包的软件。
见以以下图。
2.将用户的个人数据从pc机上重定向到效劳器上
重定向有益于数据的安全以及集中备份。
见以以下图。
3.安全类组策略
密码策略
“逼迫密码历史〞设置确定在重用旧密码以前必定与用户帐户相关的唯一新密码的数
量。
配置“密码最长使用限时〞设置,以便密码在环境需要时过期。
“密码最短使用限时〞设置确定了用户更正密码以前必定使用密码的天数。
“最短密码长度〞设置保证密码最少包括指定数量的字符。
“密码必定吻合复杂性要求策略〞选项检查全部新密码以保证它们吻合强密码的根本
要求。
账号锁定策略
帐户锁定策略是一项WindowsServer2021安全功能,它在指准时间段内屡次登录
试一试失败后锁定用户帐户。
赞成的试一试次数和时间段是由为安全策略锁定设置配置的值
决定的。
用户不能够登录到锁定的帐户。
“帐户锁准时间〞设置确定在未锁定帐户且用户能够试一试再次登录以前所必定经历的
时间长度
“帐户锁定阈值〞设置确定用户在帐户锁定以前能够试一试登录帐户的次数。
“复位帐户锁定计数器〞设置决定了“帐户锁定阈值〞复位为0以及帐户被解锁以前
所必定经过的时间长度。
禁用当地管理员帐号
默认情况下,每台参加到域中的计算机都有Administrator和Guest两个帐号,Administrator帐
号在安装时口令为空。
用户使用这个帐号权限过大,因此一般不会给用户使用这个管理员帐号,最
好的做法就是经过组策略禁用这个帐号,用户使用域的帐号。
将域帐号参加到每台PC机的当地PowerUsers组中
创立域帐号时,默认情况下这个帐号只属于DomainUsers组中,该组属于每台PC
机的当地Users组。
当地Users组中的成员权限碰到严格限制,比方共享文件夹,安装
打印机驱动程序等工作的权限都没有。
而经常适用户需要这些权限,能够经过组策略来
实现。
禁用系统效劳
我们为优化系统和安全性考虑,经常要禁用计算机的一些无需运行的效劳。
我们可
以经过组策略把这些效劳禁用掉。
软件限制策略
对一些规定不得使用的软件能够经过组策略来禁用:
路径规那么:
特别文件路径下的软件不得使用:
如programfiles下的某些软件
证书规那么:
只有系统管理员颁发过证书的软件能够使用,其他软件禁止使用
哈希规那么:
对禁止使用的软件经过哈希运算获得这个软件的身份指纹,在组策
略里设置只若是切合身份指纹判断的软件就进行限制
网络连接控制策略
用户经常会经过改变“网络连接〞中的设置,绕过企业防火墙,成立自己的上网链
路,比方拨号上网。
这样会带来很大的安全隐患。
能够经过组策略限制用户不得改
变网络连接中的配置,不同样意用户经过其他方式连接互联网。
1.7.计算机从工作组参加到域可能存在的问题和解决方法
把计算机从工作组模式参加到域模式可能会出现以下二个问题
问题:
1.一些软件不能够使用。
有一些软件以登录者的管理员权限帐号运行,当计算机参加到
域并对登录帐号做了权限设置,或禁用了当地管理员帐号,这些需要管理员权限运
行的软件就有可能不能够正常运行。
2.用户桌面环境发生改变。
由于参加域前后用户是用不同样的帐号登录的,因此用户以
前的桌面环境无法使用。
详细有
桌面上放置的资料
“我的文档〞等放置的资料
配置好的“网络打印机〞
IE里设置好的“网站收藏夹〞等。
解决方法:
1.对问题1我们能够按以下两个方法来解决:
(1)把域帐号参加到当地管理员组
(2)卸载软件,用域帐号登录并安装
2.对问题2针对不同样的问题分别解决以下:
(1)把当地老帐号下的桌面内容全部备份下来,复制到新域帐号的桌面
(2)把当地老帐号下的“我的文档〞内容全部备份下来,复制到新域帐号的“我的文
档〞
(3)重新连接和创立“网络打印机〞
(4)用特别软件把老帐号IE里的“网站收藏夹〞备份下来,尔后恢复到新域帐号中
2.活动目录方案推行
2.1.AD域命名和DNS的规划
Windows2021AD域命名和DNS的规划之因此放在首要地位,是由于AD作为整个IT架构的基础,不应该轻易被调整。
尽管安装后,Windows2021AD依旧能够重组和更名,这一点比Windows2000AD有了很大的进步,但是我们依旧建议做一个长远规划,使得域命名和DNS效劳能够满足企业3-5年的需求,尽量防范配置好后改作调整地巨大人力物力浪费。
其他,部署Windows2021AD,还必定确定DNS效劳器,保证它们满足域控制器定位
器系统的要求。
一个支持AD的DNS最少需要满足以下要求:
必定支持效劳定位资源记录〔SRV〕
应该支持DNS动向更新协议〔RFC2136〕
Windows2021Server供应的DNS效劳同时满足这些要求,并且还供应予下重要的附
加功能和改进:
ActiveDirectory集成:
DNS效劳把地区数据储藏在目录中,使得DNS复制创立
多个主域,也减少了对保护一个单独的DNS地区传达复制拓扑的要求。
安全动向更新:
使得一个管理员能够精确地控制哪些计算机能够更新哪些名称,并
防范XX的计算机从DNS获得现有的名称。
条件转发:
依照不同样的对外接见的域名后缀,能够将用户的DNS名称剖析央求转
发到不同样的外面DNS效劳器。
存根地区:
能够准时地刷新和外面DNS效劳器的连接,及时发现那些可能有故障、
不再响应用户央求的效劳器,提高用户DNS名称剖析的效率。
2.2.确定AD逻辑结构
Windows2021活动目录的逻辑结构由三个根本组件组成:
森林、域和OU。
1、确定森林规划
森林是Windows2021AD域的会集。
在好多情况下,单调森林就足够了。
单调森林环
境易于成立和保护,森林间的域自动成立双向可传达内部相信关系,不要求手动成立外面信
任配置,在安装Exchange2021Server等应用程序时,只要应用一次架构更正即可影响全部
域。
若是各个单位有以下管理要求,就必定成立一个以上的森林:
不相互相信管理员。
希望限制相信关系范围。
不同样意某种森林架构更正策略。
架构更正、配置更正会影响到森林中全部的域。
如
果单位不同样意一个公共架构策略,它们就不能够共存于同一个森林中。
2、拟定域规划
规划域结构时,向来依照“简单是最好的投资〞的设计原那么,尽管增加某些复杂结构
能够增值,但是简单的结构更易于说明、保护和调试。
一开始时总是仅考虑每个森林中仅有
一个域,尔后为每一个增加的新域供应详细的原因,保证增加到森林中的域都是有益的,因
为它们会带来相应的管理开销而以致必然程度的本钱上升。
创立更多的域的三种可能的原因是:
希望实现相对分别式得IT管理模式:
多域结构更简单进行相对独立的管理、委派
和权限控制。
其他,不同样的用户帐户在一个域内是不能够出现重名的,多域之间就没
有限制。
对于人士管理相对独立的企业手下企业,多域结构拥有更好的灵便性。
希望实现不同样管理策略要求:
包括用户口令策略、账户锁定策略和EFS加密策略。
比方,要求某些人必定取8个字符以上的口令,而其他人不做限制。
为此,必定将
这些需要不同样安全策略的用户放在单独的域中。
希望减小WAN上的复制流量:
域控制器域间复制将产生比域内复制少的多的流量。
若是企业很大,拥有跨地区的组织结构,且处于同一个森林内,那么在不同样地理地址
上的机构可能使用慢速的WAN链路连接。
为减少WAN上的DC复制流量,能够
在不同样的地理地址设置不同样的域。
依照以上考虑,我们建议,企业Windows2021AD域逻辑结构能够采用“单森林、
单域〞的结构设计。
2.3.确定AD物理结构
考虑到企业的地理分布情况,应该考虑使用多站点拓扑来规划Windows2021AD物理
结构。
从绘制根本的网络拓扑布局图着手工作,绘制全部可能的站点〔Site〕和站点链接〔Site
Link〕。
速度快〔10Mbps以上〕、连接可靠的LAN网络总是放置在单站点中。
站点定义为一组经过迅速、可靠的线路连接起来的IP子网。
一般而言,拥有LAN
速度或更迅速度的网络被以为是迅速网络。
窄带的、或不太可靠的连接能够使用站点链接成立多站点网络。
平时,WAN连接一般被以为是窄带连接。
若是成立站点链接,实现多站点网络模
式,那么:
客户计算机在登录到域时第一试图与位于同一站点的DC通信;
Windows2021AD复制使用站点拓扑产生复制连接。
2.4.规划OU结构和组策略
组织单元〔OU〕是一个用来在域中创立分层管理单位的容器。
在域中创立OU结构时,
必定注意向来依照“谁管理什么〞的原那么,从IT管理的需要出发,划分管理模型的结构,
而不是简单依照企业业务单位和它的不同样分支、部门和工程来创立OU结构。
考虑OU的
以下特点是很重要的:
OU能够是嵌套的。
一个OU能够包括子OU,使得能够在域中创立一个分层的目录树结构。
但是嵌
套太多将以致管理复杂和低效,因此建议以二级嵌套为最理想,最多不应高出四级
嵌套。
OU能够用来委派管理和控制对目录对象的接见。
不能够使OU成为安全组的成员,也不能够由于用户被委派管理OU或驻留在OU中
而自动获得接见资源的权限。
能够在OU上推行组策略。
组策略是基于Windows2021注册表的更正,从而集中控制用户和计算机的工作环
境、桌面配置、软件自动安装和删除的管理手段。
一般而言,安全策略必定在域级别推行,其他策略主要在OU级别推行。
不激励用户在OU结构中阅读。
没有必要设计一个吸引最后用户的OU结构。
尽管用户有可能阅读一个域的OU
结构,但对于用户查找资源来说,这其实不是一个最有效的方法。
在目录中查找资源
的最有效的方法是盘问全局辑录。
有两个原因需要在Windows2021域中创立OU结构:
创立OU以管理对象和委派授权。
为组策略创立OU。
一个完满为管理和委派而设计的OU结构与一个完满为组策略而设计的OU结构是
不同样的。
OU结构将很快变得相当复杂。
每次增加一个OU到规划中时,要记下创立的具
体原因。
这有助于保证每个OU有一个目的,并将帮助阅读规划的人理解结构所基于的理
由。
2.5.创立OU以管理和委派
在单位中委派管理有一些好处。
以前,在单位中除了IT之外的组可能必定将更正请
求提交到高级管理员,高级管理员代表他们进行更正。
委派特定的权限能够将责任分别到单
位中的各个组,使您能够将必定有高级接见权限的用户的数量降到最少。
权限碰到限制的管
理员所发生的事故或错误所产生的影响只限于他们负责的范围。
这一工作包括以下步骤:
确定创立何种OU
创立的OU结构将完满取决于管理是如何在单位中委派的。
委派管理的三种方法
是:
按物理地址、按业务单位〔企业部门〕、按角色或任务。
三种方法经常结合使用。
更正接见控制列表:
更正OU的接见控制列表(ACL)能够授予一个组对OU的特定权限,从而实现对该OU的委派管理。
尽量委派权限给组账户而不是单独的用户,若是可能,委派到
当地组而不是全局组或通用组。
委派步骤。
从域中的默认结构开始,按以下主要步骤创立OU结构:
-经过委派完满控制创立OU的顶层;
-创立OU的基层来委派每个对象种类控制。
2.6.创立OU支持组策略
使用Windows2021,能够使用组策略定义用户和计算机配置,并将这些策略与站点、
域或OU关系。
可否要创立附加的OU以支持组策略的应用取决于拟定的策略以及所选择
的实现方案,包括:
定义客户计算机的管理与桌面配置标准
定义软件的自动发散
特别组策略应用配置与管理
在Windows2021中,组策略设置是管理员启用集中更正和配置客户计算机管理的主
要方法。
可用组策略为某个特定的用户组和计算机组创立指定的安全限制和桌面环境配置。
Windows2021组策略有100多种与安全相关的设置和450多种基于注册表的设置,为您管理用户计算机环境供应了众多项选择项。
Windows2003组策略:
可依照活动目录定义或在计算机当地进行定义;
可用Microsoft管理控制台〔MMC〕或*.adm文件保
升级会员 