使用AD域提升终端安全整体解决方案运营商.docx

使用AD域提升终端安全整体解决方案运营商.docx

《使用AD域提升终端安全整体解决方案运营商.docx》由会员分享，可在线阅读，更多相关《使用AD域提升终端安全整体解决方案运营商.docx（15页珍藏版）》请在冰豆网上搜索。

使用AD域提升终端安全整体解决方案运营商

AD域提升网管网终端安全的整体解决方案

一.域在网管网中的实际作用4

1.1活动目录与现网区别4

1.2安全基线统一配置5

1.3用户统一管理5

1.4登录方式变更6

1.5提高排障效率7

1.6共享文件统一管理7

二.概念介绍8

2.1什么是活动目录（ActiveDirectory）8

2.2什么是域（Domain）和域控制器（Domaincontroler）8

三.介绍活动目录的安装过程9

3.1活动目录安装要求9

3.2活动目录的安装9

四.如何加入域15

五.如何退域16

文档信息

文档名称

文档管理编号

保密级别

文档版本编号

制作人

陈少桐

制作日期

2011-6-22

复审人

复审日期

扩散范围

文档说明

版权说明

本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属**信息科技有限公司所有，受到有关产权及版权法保护。

任何个人、机构未经**信息科技有限公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。

版本变更记录

时间

版本

说明

修改人

2011-6-22

1.0

新建文档

陈少桐

一.域在网管网中的实际作用

1.1活动目录与现网区别

AD域与现网（对等网）的比较

模式结构

AD

工作组（对等网）

搭建

1. DC；

2. 加入域；

不用搭建工作组

安全

1. 账户（集中式管理）；

2. 密码（强密码）；

3. 防火墙（组策略）；

4.组策略,计算机安全统一部署

1.SAM存储在本地；

2.无密码要求；

3.防火墙部署必须挨个部署；

4.每个计算机独立配置

资源

统一管理主机名,统一管理IP地址,统一管理计算机名

1.     主机名；

2.     IP地址；

3.     计算机名；

管理

集中式管理,AD服务器与客户终端关系

1.     分散式管理；

2.     平等关系；

1.2安全基线统一配置

当终端加入域后,可以在计算机终端所在”组织单元”属性中,配置安全策略,此方法可以用来统一设置各客户端的安全策略,大大提高了终端安全,同时也适合省公司下发的安全基线标准规范

使用此方法,对于省公司每年的安全检查中,可以大大增加检查效率,大大减少安全操作员的操作时间,同时将些策略应用于终端计算机,能提高Windows安全基线设置水平.

1.3用户统一管理

域是一个有安全边界的计算机集合，在同一个域中的计算机彼此之间已经建立了信任关系，在域内访问其他机器，不再需要被访问机器的许可了.

在建立域之前.所有用户账号信息各自保存在计算机电脑,大大不利于统一管理,给管理员的安全带来一定的隐患,同时也出现管理员账号被无意删除或更改信息,建立域之外.所有用户信息将自己保存在域控制器中,有利于管理员统一管理所有账号及密码.

1.4登录方式变更

建立域之后,所有本地用户将进行删除（只保留本地管理员）,其他用户信息,可能在域中进行建立,管理及后期维护,本地计算机将不保存用户信息.

1.5提高排障效率

在出现故障时提高排除故障的效率,域中有软件分发功能.当某些电脑出现故障或大范围出现故障时,可以通过软件分发功能,把解决故障的方法,通过软件下发给所有终端,比如打补丁,从而实现自动安装应用程序.

1.6共享文件统一管理

在域中,可以通过域控制器,共享计算机文件夹,使用所有基于域用户都可以访问到共享内容（设置相应的权限对用户进行限制）

二.概念介绍

2.1什么是活动目录（ActiveDirectory）

      活动目录是一种目录服务，目录服务包括三方面的功能：

组织网络中的资源，提供对资源的管理，对资源的 控制，活动目录的服务通过将对网络中的各种资源的信息，保存到一个数据库中，来为网络中的用户和管理 员提供对这些资源的访问、管理和控制，这个数据库叫活动目录数据库。

通过活动目录服务，管理员可以实现整个网络的集中管理.

2.2什么是域（Domain）和域控制器（Domaincontroler）

      域是活动目录的一种实现形式，也是活动目录最核心的管理单位和复制单位，一个域由域控制器和成员计算机组成。

域控制器就是安装了活动目录服务的一台计算机。

在域控制器上，每一个成员计算机都有一个计算机账号，每一个域用户有一个域用户账号。

域管理员可以在域控制器上实现对域用户账号和计算机账号以及其他资源的管理。

域还是一种复制单位，我们在域中可以安装多台域控制器，域管理员可以在任何一台域控制器上创建和修改活动目录对象。

域控制器之间可以自动的同步，或者是复制这样一种更新。

三.介绍活动目录的安装过程

3.1活动目录安装要求

   win2003系列，web版是不可以安装的活动目录的，其他的版本都可以安装,需要存在NTFS分区，再安装活动目录的时候，需要把一些数据保存在NTFS分区上DNS服务器必须支持SRV（服务资源记录）记录，客户要在网络中查询域控制器，或者要进入域控制器，必须通过DNS服务器的SRV记录，来解析服务器的IP地址，需要本地管理员用户权限，网络中的第一台域控制器，必须以本地管理员的身份来安装，如果要在现有的域中添加第二台控制器，必须是以域管理员的身份来完成操作，如果要添加一棵子域，或添加一棵新的树，必须是以企业管理员的身份来完成操作。

3.2活动目录的安装

   开始----运行----输入命令：

dcpromo

下一步后就是一些说明信息，由于win2003的改进会与较早的一些操作系统，有些兼容性问题

选择域控制器的类型：

新域的域控制器和现有域的额外域控制器，这里我们选择新得域控制器

选择创建域的类型：

      有三种域累新：

在新林中的域，在现有域树中的子域，在现有的林中的域树根据自己得需要来选择创建得类型，由于是第一次安装，选择“新林中得域”。

这些情况在以后详细介绍。

DNS配置

最好在这台域控制器上安装ＤＮＳ服务，活动目录依赖于ＤＮＳ

输入域的名称:

活动目录域是与dns域使用同样的结构，都是分层结构，这里我们输入JYWGW.COM,输入netbios，会自动选取域名的第一个字段作问netbios名称。

一般默认

设置活动目录数据库和日志文件的保存位置，一般也是默认位置:

设置ＳＹＳＶＯＬ文件夹的位置，这个文件主要保存组策略的一些设置:

权限的设置，根据网络中的服务器来选择，一般为了跟安全，一般选择第二个选项

设置目录服务还原模式的管理员密码。

这个密码是活动目录在恢复的时候要使用的。

如果经常给活动目录做备份，如果不小心活动目录服务器瘫痪了，要恢复活动目录，那么就要用到这个密码，一定要记牢此密码

显示摘要信息，看有没有什么错误，有可以点击上一步修改，没有问题就可以点击下一步开始活动目录的安装。

开始活动目录的安装过程。

这个过程根据机器的配置有不同的时间，一般只需要６分钟左右就可以完成安装

重启计算机。

重启之后，我们就可以在登录窗口中看到域的名字了，输入密码，登录到域

四.如何加入域

加入域的方法如下:

点击电脑的”计算名”选择隶属域,填入””

填入后,系统会提示输入域高级管理员的用户及密码.加入后重新启动电脑就可以进入域了.

五.如何退域

进入”计算机名”,进入计算机名称更改”输入工作组名”,再输入域管理员用户密码,则可以退出域!