AD域控规划方案.docx
《AD域控规划方案.docx》由会员分享,可在线阅读,更多相关《AD域控规划方案.docx(18页珍藏版)》请在冰豆网上搜索。
AD域控规划方案
活动目录规划方案
1.1.活动目录介绍
活动目录是网络体系结构中一个基本且不可分割的部分,它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。
活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。
另外,目录服务在网络安全方面也扮演着中心授权机构的角色,从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。
同等重要的是,活动目录还担当着系统集成和巩固管理任务的集合点。
活动目录提供了对基于的用户账号、客户、服务器和应用程序进行管理的唯一点。
同时,它也帮助组织机构通过使用基于的应用程序和与相兼容的设备对非系统进行集成,从而实现巩固目录服务并简化对整个网络操作系统的管理。
公司也可以使用活动目录服务安全地将网络系统扩展到上。
活动目录因此使现有网络投资升值,同时,降低为使网络操作系统更
易于管理、更安全、更易于交互所需的全部费用
活动目录是微软各种应用软件运行的必要和基础的条件。
下图表示出活动目录成为各种应用软件的中心。
12应用2012的好处
2012简化了管理,加强了安全性,扩展了互操作性。
它为用户、组、安全服务及网络资源的管理提供了一种集中化的方法。
应用2012之后,企业信息化建设者和网络管理员可以从中获得如下好
处:
1、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。
2、安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让
某一个人看,或者指定人员可以看,但不可以删/改/移等。
3、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。
4、很多服务必须建立在域环境中,对管理员来说有好处:
统一管理,方便
在软件方面集成,如(邮件服务器)、(上网的各种设置与管理)等。
5、使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。
6、方便用户使用各种资源。
7、()能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。
并能集中管理系统补丁(如),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。
8、资源共享用户和管理员可以不知道他们所需要的对象的确切名称,但是他们可能知道这个对象的一个或多个属性,他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表,通过域使得基于一个或者多个对象属性来查找一个对象变得可能。
9、管理
A、域控制器集中管理用户对网络的访问,如登录、验证、访问目录和共
享资源。
为了简化管理,所有域中的域控制器都是平等的,你可以在任何域控制器上进行修改,这种更新可以复制到域中所有的其他域控制器上。
B、域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。
因为域控制器提供了对网络上所有资源的单点登录,管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象。
在网络中,当用户一次登陆一个域服务器后,就可以访问该域中已经开放的全部资源,而无需对同一域进行多次登陆。
但在需要共享不同域中的服务时,对每个域都必须要登陆一次,否则无法访问未登陆域服务器中的资源或无法获得未登陆域的服务。
10、可扩展性
在活动目录中,目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。
因此,目录可以随着组织的增长而一同扩展,允许用户从一个具有几百个对象的小的安装环境发展成拥有几百万对象的大型安装环境。
11、安全性域为用户提供了单一的登录过程来访问网络资源,如所有他们具有权限的文件、打印机和应用程序资源。
也就是说,用户可以登录到一台计算机来使用网络上另外一台计算机上的资源,只要用户具有对资源的合适权限。
域通过对用户权限合适的划分,确定了只有对特定资源有合法权限的用户才能使用该资源,从而保障了资源使用的合法性和安全性。
12、可冗余性每个域控制器保存和维护目录的一个副本。
在域中,你创建的每一个用户帐号都会对应目录的一个记录。
当用户登录到域中的计算机时,域控制器将按照目录检查用户名、口令、登录限制以验证用户。
当存在多个域控制器时,他们会定期的相互复制目录信息,域控制器间的数据复制,促使用户信息发生改变时(比如用户修改了口令),可以迅速的复制到其他的域控制器上,这样当一台域控制器出现故障时,用户仍然可以通过其他的域控制进行登录,保障了网络的顺利运行。
1.3.明确系统规划目标
企业的2012系统规划构建是为企业信息化建设服务的,需要达到以下战略目标:
围绕企业的战略发展需要,进行企业信息化建设系统规划,满足企业3-5年的业务发展对建设的要求;
以业务为驱动,通过有效的信息系统,加强信息共享和协同办公,提高工作效率,降低成本;
整合企业现有信息资产,加强企业管理与监控;从信息中挖掘知识,提高经营决策与驾驭风险的能力;
推进知识管理理念,建立知识型企业,增强企业的核心竞争力。
2012系统规划实施的具体目标如下:
规划和部署基于2012的企业目录服务,首先实现用户的单一登
录,保障网络系统安全;通过实现用户桌面的集中和自动管理,分发软件补丁;
进一步部署微软的相关应用平台软件,如实现基于2003的企业内部邮件和协作服务,
14活动目录设计方案
为企业设计一个域,用户的所有计算机(服务器和客户机)全部加入到域,用户实现单一登录和管理员通过域组策略实现安全及桌面管理。
架构拓扑如下。
H:
;
企业
1.5.活动目录优势
1.计算机工作组管理和管理比较
对于基于操作系统的计算机运行和管理在两种模式下:
工作组()和域
()。
在工作组模式下,计算机处于一个孤立状态,使用计算机的用户登录帐号和计算机的管理均须在每台计算机上创建或进行。
见下图。
Workgroup
当计算机超过20台以上时,计算机的管理变得越来越困难,并且要为用户创建越来越多的访问网络资源的帐号,用户要记住多个访问不同资源的帐号。
而在域的模式下,用户只需记住一个域帐号,即可登录访问域中的资源。
并且管理员通过组策略,可以轻松配置用户的桌面工作环境和加强计算机安全设置。
域模式下所有的域帐号保存在域控制器的活动目录数据库中。
见下图
SingleUser
2.为什么要提供目录服务?
对更加强大、透明且高度集成的目录服务的不断需求是由爆炸性增长的网络计算所导致的。
随着局域网()、广域网()规模与复杂性的不断提高和这些网络不断被连入,以及应用程序对网络的依赖程度不断增强并不断被链接到协作企业网中的其它系统上,对目录服务的需求也日渐增多。
基于下列原因,目录服务成为扩展的计算机系统中最重要的部件之一:
简化管理提供对用户、应用程序和设备的单一、一致性的管理点。
加强安全性向用户提供单一的网络资源登录,为管理员提供强大、一致性的工具以使他们能够管理为内部台式机用户、远程拨号用户以及外部电子商务客户提供的安全服务。
扩展的互操作性向所有活动目录特性提供基于标准的存取方式以及对通用目录的同步支持。
目录服务兼任管理工具和用户工具。
随着网络中对象数量的增加,目录服务变得必不可少。
目录服务在一个庞大的分布式系统中发挥着网络集线器的作用。
致力于这些需求,2000服务器版引入了活动目录即一套用于改进网络操作系统管理、安全性和互操作性的完整的目录服务集。
下图描述了活动目录带来的计算机安全和管理上的一些最重要的好
3.简化了计算机系统管理
分布式系统常常导致时间的消耗和管理的冗余。
当公司在他们的基础结构上添加应用程序并雇用新的职员时,他们需要适当地向各桌面系统分发软件并管理多个应用程序目录。
通过在单一的位置管理用户、组和网络资源以及分发软件和管理桌面系统配置,活动目录可以显著降低公司的管理费用。
例如,活动目录在同一个位置管理用户和邮箱信息。
基于下列原因,活动目录可以从以下方面帮助公司简化管理:
消除冗余管理任务提供对用户账号、客户、服务器和应用程序以及现存目录同步能力进行单一点管理。
降低桌面系统的行程针对用户在公司中所担当的角色自动向其分发软件,以减少或消除系统管理员为软件安装和配置而安排的多次行程。
更好的实现资源的最大化安全地将管理功能分派到组织机构的所有层次上。
降低总体拥有成本()通过使网络资源容易被定位、配置和使用来简化对文件和打印服务的管理和使用。
4.加强安全性强大且一致的安全服务对企业网络而言是必不可少的。
管理用户验
证和访问控制的工作往往单调乏味且容易出错。
活动目录集中进行管理并加强了与组织机构的商业过程一致、且基于角色的安全性。
例如,对多身份验证协议(如,X.509认证以及由灵活的访问控制模型组成的智能卡)的支持实现了对于内部桌面系统用户、远程拨号用户和外部电子商务客户强大且一致的安全服务。
活动目录使用以下方法增强安10/27
全性:
改进了密码的安全性和管理通过向网络资源提供单一的集成、高性能且对终端用户透明的安全服务。
保证桌面系统的功能性通过根据终端用户角色锁定桌面系统配置来防止对特定客户主机操作进行访问,例如软件安装或注册项编辑。
加速电子商务的部署通过提供对安全的标准协议和身份验证机制的内建支持,如,公开密钥基础设施()和安全套接字协议层()之上的轻便目录访问协议()。
紧密的控制安全性通过对目录对象和构成他们的单独数据元素设置访问控制特权。
1.6.重要组策略介绍
1.软件分发策略通过组策略可以为域中的计算机或用户自动分发带有包的软件。
见下图。
首BefaultDomainFolicy[mainsrvp.sico.com]策出日圍计算机配置
[-1-_|软件设置
[-:
LJWinh啊S帕
1
E凰:
耳
H■
®LSI
粘贴(t)
刷新电)导出列表s
帮助QC)
ET无线网络CIEEE302.11^略WLJ公钥策略
*□软件限制策略国”履|IF安全策略・在ActiveEirector^S[_J背建梯復
-廳用户配置
E-U^件设置
E(7~1Windows设蒼
*口管理複複
2.将用户的个人数据从机上重定向到服务器上
重定向有利于数据的安全以及集中备份。
见下图
_5?
DefaultDomainPolicy[mainsrvsico.com]集出L鳳计算机配置
Isr£j软件设置
[+■_JWindows设置
1±一j管理模板
F廳用户配置
-二I软件设置
目软件安装
F_|Windows设置車远程安装服务閒脚本僵录丹主销)
!
白口文件夹重定向
||Applieation
_l我的文档
[|一口[开妁莱单
E■®InternttExplorer1±?
口管理複板
3.安全类组策略
密码策略
名称
“强制密码历史”设置确定在重用旧密码之前必须与用户帐户相
关的唯一新密码的数量配置“密码最长使用期限”设置,以便密码在环境需要时过期。
“密码最短使用期限”设置确定了用户更改密码之前必须使用密码的天数。
“最短密码长度”设置确保密码至少包含指定数量的字符。
“密码必须符合复杂性要求策略”选项检查所有新密码以确保它
们符合强密码的基本要求。
DefmLtlornain.Policyb«imrp.xic«.eib]策曲-團计豈机配置
「±1u歎件设置
!
HWindm设置
安全紀
E囲帐户策略
因岷尸锁运策略
账号锁定策略
帐户锁定策略是一项2012安全功能,它在指定时间段内多次登录尝试失败后锁定用户帐户。
允许的尝试次数和时间段是由为安全策略锁定设置配置的值决定的。
用户不能登录到锁定的帐户。
“帐户锁定时间”设置确定在未锁定帐户且用户可以尝试再次登
录之前所必须经历的时间长度
“帐户锁定阈值”设置确定用户在帐户锁定之前可以尝试登录帐
户的次数。
“复位帐户锁定计数器”设置决定了“帐户锁定阈值”复位为0
以及帐户被解锁之前所必须经过的时间长度。
禁用本地管理员帐号
默认情况下,每台加入到域中的计算机都有Administrator和两个
帐号,Administrator帐号在安装时口令为空。
用户使用这个帐号权限
过大,因此一般不会给用户使用这个管理员帐号,最好的做法就是通
过组策略禁用这个帐号,用户使用域的帐号
啾拴制番=兀叶服务■爺醐71页卄划仕夯
浜旧疋乂
/
帐户.甘建员帖尸伏iS
稷有钗1
霞
帐户•来宾喘户状态
没有定义
帐尸:
便用空白密码的茶邀輙尸只允许遴行揑制音壹录
踽帐户•重命名来宜瞰P
没有定义
[\
囲帐户:
直命店系妊普瑾员林户
设有定义J
将域帐号加入到每台机的本地组中
创建域帐号时,默认情况下这个帐号只属于组中,该组属于每台
机的本地组。
本地组中的成员权限受到严格限制,比如共享文件夹,
安装打印机驱动程序等工作的权限都没有。
而经常有用户需要这些权
限,可以通过组策略来实现
禁用系统服务
我们为优化系统和安全性考虑,经常要禁用计算机的一些无需运行的服务。
我们可以通过组策略把这些服务禁用掉。
E注闵表
l±-_fi立件凍竦
*T无邀网taaEEE802.11)^
*_1企餌策蹈
*一I软件醍制黄陷
圏'-SHF5?
全集3&■在KctivaDiractori由D昶嘎橇
Fl燼兩丹塔
F一I欢件设竇
由_|Yindovs:
16H
山二1諌戦
软件限制策略对一些规定不得使用的软件可以通过组策略来禁用:
路径规则:
特殊文件路径下的软件不得使用:
如下的某些软件
证书规则:
只有系统管理员颁发过证书的软件可以使用,其他
软件禁止使用哈希规则:
对禁止使用的软件通过哈希运算得到这个软件的身份指纹,在组策略里设置只要是符合身份指纹鉴定的软件就进行限制
ii曰口软件限制策晤
_1窘全级别
iiil勺田鸟IF田_J昔理模槻
日曲用户配置
sLJ软件设置
FH-f~lWin如弓电
±1_|管理複板
苴他规则.
安全策略.
新建证书规则(£)..
新連哈希规则05)..
新建Int*rn#t区域规MlQ).-新建路径规则
所有任务広)
卜
网络连接控制策略
用户经常会通过改变“网络连接”中的设置,绕过企业防火墙,建立自己的上网链路,比如电话拨号上网。
这样会带来很大的安全隐患。
可以通过组策略限制用户不得改变网络连接中的配置,不允许用户通过其他方式连接互联网。
设置
爭重希名LWT连接或重甜老所有用尸可用的远程谊问连接的.•詡葉辻访间.UUI達按爼件的属性
細葉止访问适程.访问连授组件的JS性
哥禁用TCP/IP高硼垣
會荼止到“禽级"菜单上的"满级设宜"的达何
詡崇止粛加或删除用于LAB连接喊远程询问连按的组件
欝票止询问LUfiSJSMJStl
區崇止启用/禁用LAH醛的组件
;拿更曲所育用尸远提苗问连播的厲性
崇止更改专用远程访问连摄痢属性
:
*票止册除运程访问连接
塾舸除所有用户远程访问连接
;*禁止连接和斷开连援远程访问连接
站启用/禁用UOT连接的能力
;*荼止访问“新逹连接向导"
箱重命名LAN连接的能力
辛重潇名所百用户远程访问连接的^力
越禁止重命名专用远程访问连搖
紺禁止访问“高缈薰里上的*远程访问首选顶”菜里頊紺禁止直看活动连搖的状态
$询管理员启用Wituhws2000网瘩连搖设置
站连接剰艮制戒无连搖时并闭道知
1.7.计算机从工作组加入到域可能存在的问题和解决方法
把计算机从工作组模式加入到域模式可能会出现以下二个问题
问题:
1.一些软件不能使用。
有一些软件以登录者的管理员权限帐号运行,当计算机加入到域并对登录帐号做了权限设置,或禁用了本地管理员帐号,这些需要管理员权限运行的软件就有可能不能正常运行。
2.用户桌面环境发生改变。
由于加入域前后用户是用不同的帐号登录的,因此用户以前的桌面环境无法使用。
具体有
桌面上放置的资料
“我的文档”等放置的资料
配置好的“网络打印机”
里设置好的“网站收藏夹”等。
解决方法:
1.对问题1我们可以按以下两个方法来解决:
(1)把域帐号加入到本地管理员组
(2)卸载软件,用域帐号登录并安装
2.对问题2针对不同的问题分别解决如下:
(1)把本地老帐号下的桌面内容全部备份下来,复制到新域帐号的桌面
(2)把本地老帐号下的“我的文档”内容全部备份下来,复制到新域帐号的“我的文档”
(3)重新连接和创建“网络打印机”
(4)用特殊软件把老帐号里的“网站收藏夹”备份下来,然后恢复到新域帐号中
2.活动目录方案实施
2.1.域命名和的规划
2012域命名和的规划之所以放在首要地位,是因为作为整个架构的基础,不应该轻易被调整。
尽管安装后,2012仍然可以重组和改名,这一点比2000有了很大的进步,但是我们仍然建议做一个长远规划,使得域命名和服务能够满足企业3-5年的需求,尽量避免配置好后改作调整地巨大人力物力浪费。
此外,部署2012,还必须确定服务器,确保它们满足域控制器定位器系统的要求。
一个支持的至少需要满足以下要求:
必须支持服务定位资源记录()
应该支持动态更新协议(2136)
2012提供的服务同时满足这些要求,并且还提供下列重要的附加功能和改进:
集成:
服务把区域数据存储在目录中,使得复制创建多个主域,也减少了对维护一个单独的区域传送复制拓扑的要求。
安全动态更新:
使得一个管理员可以精确地控制哪些计算机可以更新哪些名称,并防止XX的计算机从获得现有的名称。
条件转发:
根据不同的对外访问的域名后缀,可以将用户的名称解析请求转发到不同的外部服务器。
存根区域:
可以定时地刷新和外部服务器的连接,及时发现那些可能有故障、不再响应用户请求的服务器,提高用户名称解析的效率。
2.2.确定逻辑结构
2012活动目录的逻辑结构由三个基本组件组成:
森林、域和。
1、确定森林规划
森林是2012域的集合。
在很多情况下,单一森林就足够了。
单一森林环境易于建立和维护,森林间的域自动建立双向可传递内部信任关系,不要求手动建立外部信任配置,在安装2012等应用程序时,只需应用一次架构更改即可影响所有域。
如果各个单位有下列管理要求,就必须建立一个以上的森林:
不互相信任管理员。
希望限制信任关系范围。
不同意某种森林架构更改策略。
架构更改、配置更改会影响到森林中所有的域。
如果单位不同意一个公共架构策略,它们就不能共存于同一个森林中。
2、制定域规划
规划域结构时,始终遵循“简单是最好的投资”的设计原则,尽管增加某些复杂结构可以增值,但是简单的结构更易于说明、维护和调试。
一
开始时总是仅考虑每个森林中仅有一个域,然后为每一个增加的新域提供详细的理由,确保添加到森林中的域都是有益的,因为它们会带来相应的管理开销而导致一定程度的成本上升。
创建更多的域的三种可能的原因是:
希望实现相对分散式得管理模式:
多域结构更容易进行相对独立的管理、委派和权限控制。
另外,不同的用户帐户在一个域内是不能出现重名的,多域之间就没有限制。
对于人士管理相对独立的集团下属公司,多域结构具有更好的灵活性。
希望实现不同管理策略要求:
包括用户口令策略、账户锁定策略和加密策略。
例如,要求某些人必须取8个字符以上的口令,而其它人不做限制。
为此,必须将这些需要不同安全策略的用户放在单独的域中。
希望减小上的复制流量:
域控制器域间复制将产生比域内复制少的多的流量。
如果公司很大,具有跨地区的组织结构,且处于同一个森林内,则在不同地理位置上的机构可能使用慢速的链路连接。
为减少上的复制流量,可以在不同的地理位置设置不同的域。
根据以上考虑,我们建议,企业2012域逻辑结构可以采用“单森林、单域”的结构设计。
2.3.确定物理结构
考虑到企业的地理分布情况,应该考虑使用多站点拓扑来规划2012
20/27
物理结构。
从绘制基本的网络拓扑布局图着手工作,绘制所有可能的站点()和站点链接()。
速度快(10以上)、连接可靠的网络总是放置在单站点中。
站点定义为一组通过快速、可靠的线路连接起来的子网。
一般而言,具有速度或更快速度的网络被认为是快速网络。
窄带的、或不太可靠的连接可以使用站点链接建立多站点网络。
通常,连接一般被认为是窄带连接。
如果建立站点链接,实现多站点网络模式,则:
客户计算机在登录到域时首先试图与位于同一站点的通信;
2012复制使用站点拓扑产生复制连接。
2.4.规划结构和组策略
组织单元()是一个用来在域中创建分层管理单位的容器。
在域中创建结构时,必须注意始终按照“谁管理什么”的原则,从管理的需要出发,划分管理模型的结构,而不是简单按照公司业务单位和它的不同分支、部门和项目来创建结构。
考虑的下列特性是很重要的:
可以是嵌套的。
一个可以包含子,使得可以在域中创建一个分层的目录树结构。
但是嵌套太多将导致管理复杂和低效,所以建议以二级嵌套为最理想,最多不应超过四级嵌套。
可以用来委派管理和控制对目录对象的访问。
不能使成为安全组的成员,也不能因为用户被委派管理或驻留在中而自动获得访问资源的权限。
可以在上实施组策略。
组策略是基于2012注册表的修改,从而集中控制用户和计算机的工作环境、桌面配置、软件自动安装和删除的管理手段。
一般而言,安全策略必须在域级别实施,其它策略主要在级别实施。
不鼓励用户在结构中浏览。
没有必要设计一个吸引最终用户的结构。
尽管用户有可能浏览一个域的结构,但对于用户查找资源来说,这并不是一个最有效的方法。
在目录中查找资源的最有效的方法是查询全局编录。
有两个理由需要在2012域中创建结构:
创建以管理对象和委派授权。
为组策略创建。
一个完全为管理和委派而设计的结构与一个完全为组策略而设计的结构是不同的。
结构将很快变得相当复杂。
每次添加一个到规划中时,要记下创建的具体原因。
这有助于确保每个有一个目的,并将帮助阅读规划的人理解结构所基于的理由。
2.5.创建以管理和委派
在单位中委派管理有一些好处。
以前,在单位中除了之外的组可能必须将更改请求提交到高级管理员,高级管理员代表他们进行更改。
委派特定的权限可以将责任分散到单位中的各个组,使您可以将必须有高级访问权限的用户的数量降到最少。
权限受到限制的管理员所发生的事故或错误所产生的影响只限于他们负责的范围。
这一工作包括以下步骤:
确定创建何种
创建的结构将完全取决于管理是如何在单位中委派的。
委派管理的三种方法是:
按物理位置、按业务单位(公司部门)、按角色或任务。
三种方法经常结合使用。
修改访问控制列表:
修改的访问控制列表()可以授予一个组对的特定权限,从而
实现对该的委派管理。
尽量委派权限给组账户而不是单
升级会员 