AD+SCCM桌面实用标准化解决方案设计.docx
《AD+SCCM桌面实用标准化解决方案设计.docx》由会员分享,可在线阅读,更多相关《AD+SCCM桌面实用标准化解决方案设计.docx(32页珍藏版)》请在冰豆网上搜索。
AD+SCCM桌面实用标准化解决方案设计
AD+SCCM桌面标准化
解决方案
ProfessionalWang
1.序言
中国现在正全面开展企业信息化建设,各大企业也纷纷参加到了开展企业信息化的行列,在开展企业信息化的过程中,不同地方,不同企业的信息化进展都不一样,在信息化开展的过程中也会面临各种各样的挑战,比如说,在信息化开展的初期,企业可能没有一种很好的IT集中化管理方式,导致企业内部的计算机与服务器都很分散,没有方法去集中的进展控制,一旦计算机与服务器出现故障,或者企业桌面需要安装软件,更新操作系统,补丁更新等操作的的时候,IT管理员就需要充当消防员的角色,赶赴到各个终端的现场,去进展很多重复性的安装、更新、修复工作,这样就不是一种很高效的IT运作方式,时间久了,不光是IT管理员难以有更多的开展空间,对于用户与企业来说,如果真的很多台计算机都出现了故障,如果要进展一次大批量的软件更新,系统安装,也需要很长的时间才能交付完成,而且分散管理模型中,如果真的大规模出现了故障,往往也很难找到故障所在,没方法很快速的修复解决问题。
针对于这些挑战,我们推荐采用微软的AD+SCCM解决方案,来帮助企业进展IT的集中管控,通过AD+SCCM的技术,帮助企业高效灵活的进展集中身份验证,集中网络资源发布,集中策略设置,软件安装,软件更新,操作系统安装,资产统计,远程协助,计算机安全评估等操作,IT管理员只需要坐在AD和SCCM服务器跟前,就能自动化,大批量,标准化的为企业进展桌面管理,使管理员从重复性的IT工作中解放出来,可以投入更多的精力,来帮助企业优化IT业务系统。
同时也帮助企业IT信息化进入一个更高的层次。
2.使用AD域进展企业IT集中管控
2.1为什么企业要用域
自1981年,IBM与微软联合,推出了第一款个人PC之后,个人PC渐渐的走进了我们的生活,让普通用户也可以对计算机触手可与,随着信息科技的开展,个人PC也越来越廉价,操作系统也越来越易用,如今,个人PC已经几乎遍布了每家企业,每个人的家里。
有了个人PC之后,企业开始想,我们都可以用计算机来做什么,这时候计算机网络就渐渐映入了人们的眼帘,企业可以在一个网络中,让网络中的计算机进展互连,通讯,资源共享,以与交互娱乐,电子商务,信息管理,生产管理,等高级网络应用。
其中,对于企业来说,首要的就是互连与资源共享,互连,指的就是通过网络设备将分布在同一地点或不同地点的计算机连接起来,形成同一个网络,让同一个网络内的计算机,可以共同遵循某种协议,来进展互相访问,简单来讲,互连就是让不同的计算机与计算机之间,可以进展互访通讯了。
将企业中的计算机互相连接起来形成一个计算机网络后,下一步就是通过资源共享,来让不同的计算机,访问我们共享的资源,来进展根本的协同工作。
在传统的分散式网络管理模型,也就是我们常见的工作组模型中,每一台计算机,都是独立的计算机,独立的身份验证数据库,独立的管理,在这种工作组模型中,好处就是每台计算机都独立平等的,每台计算机都是一个独立的安全边界,可以快速方便的建立起一个工作组,将多台计算机参加到一个工作组,在一个工作组里面进展资源共享。
但是从企业的角度来看,这种工作组网络模型,并不是最理想的一种网络模型,它还是有一定的缺点的。
1.1.1传统分散式网络模型缺点
⏹网络集中管理不方便
因为每台工作组计算机都是独立的安全边界,所以如果我们想要为企业所有的计算机统一设置一套账户安全策略,密码策略,计算机安全策略,就需要去每台计算机上,都设置一遍一样的策略,而不能只设置一次,让所有计算机一起应用,这种情况,针对于企业内客户端的统一管理,就变得很不集中,很不方便。
⏹身份验证不集中,网络资源共享配置繁琐
因为每台工作组都存储着独立的身份验证数据库,所以如果我们在一台工作组中的计算机上,想要共享资源出来让大家访问,首先我们需要在这台计算机上建立需要运行访问共享资源的用户,比如说a用户,然后其它用户通过UNC或者网上邻居的方式,来访问共享资源,就需要输入a用户的账户密码,输入之后,可以通过资源共享计算机的身份验证后,如此允许访问共享资源。
那么如果说有10台计算机都共享了资源呢?
我们就需要在10台计算机上,都建立一遍这个用户,100台计算机,就需要建立100遍整个用户,不光管理员会累死,用户也要记住他在这100台计算机上的用户密码,可见,在这种工作组模型的网络中,一旦共享资源多了起来,就会变得很不方便,而且工作组网络模型中,配置资源共享的步骤也很繁琐,其中还涉与到来宾Guset用户,本地策略,防火墙的设置,一旦设置不对,就会导致资源共享失败。
那么,能不能有没有一种网络管理模型,可以集中的对网络进展身份验证,集中的进展资源共享,集中的进展客户端的管理策略设置呢?
于是域管理模型应运而生。
2.2什么是域
域即一种逻辑层面的集中网络管理模型,域管理模型不同于工作组管理模型,在一个域网络内,所有计算机的地位不再是平等的,而是会有一台服务器,来扮演控制器的角色,负责管理环境内所有的域客户端,这台控制器,我们就叫它〞域控制器“,在一个域模型网络中,存储着活动目录数据库的服务器就是域服务器,域控制器负责执行域环境内所有管理操作,新建用户,发布网络资源,客户端策略设置,都是在域控制器集中进展。
〔同时域控制器也支持远程管理工具方式,可以在普通客户端上安装AD域的远程管理工具来管理服务器〕
在同一个域内,可以有多台域控制器,域内所有域控制器使用一份几乎完全一样的活动目录数据库,域控制器与域控制器之间会不断的进展复制,以达到数据同步。
域也是一个整体的安全边界,没有域用户账号,就不能访问域模型中的网络资源,每一台域控制器都存储着域内独一无二的域活动目录数据库分区,不同域之间的域活动目录数据库分区不同。
域是微软在NT4.0时引进的目录服务管理平台,微软AD域是业界公认的最优目录服务管理平台,具备一定的稳定性与实用性,目前世界五百强很多企业,都纷纷部署了AD域来进展企业的IT管理
2.2.1域的优势
⏹集中身份验证:
使用域架构,管理员只需要在域控制器上,新建一个用户,并且为用户分配它在整个域网络内的权利,那么只要这个用户具备相应的访问权限,这个用户就可以在域内任何一台终端上面,通过一个域用户,来访问企业内任何网络资源,解决管理员需要在不同服务器上分别创建用户的困扰
⏹集中管理网络资源:
使用域架构,管理员只要在域控制器上,就可以管理发布整个域网络内的共享文件夹,网络打印机等资源,用户再也不需要记住每一个共享服务器或者共享打印机的名字,使用了域之后,用户只需要在域网络中进展搜索,就可以搜索到网络内所有可用的网络资源。
⏹集中策略设置:
使用域架构,如果管理员希望让域内客户端统一应用一个策略,那么管理员只需要在域控制器中,设置一个组策略,就可以让域内所有的客户端,或者局部指定的客户端应用策略,通过组策略,管理员可以集中控制域客户端的桌面,IE设置,系统设置,账户策略设置,密码策略设置,注册表,服务,软件策略,首选项,文件系统等等,通过组策略,我们几乎可以按照自己的想法,任意的控制域环境内客户端的设置,比拟典型的应用,是通过组策略,限制环境内所有客户端的USB访问接入,限制环境内客户端随意安装软件,通过组策略,将所有用户的用户配置和文件夹,重定向到服务器上进展集中管理。
2.3什么是AD
AD(ActiveDirectory),即活动目录,什么是目录,对照现实生活来说,我们的在本中写入了很多个人的信息,然后我们通过本,可以快速的查找到我们需要的用户,这就是一种目录服务,还有,我们的电子图书馆,图书馆内有很多的书籍,我们把这些书籍录入到电子图书馆系统,然后学生就可以在电子图书馆系统界面去查询和浏览图书,这也是一种目录服务,总结来说,可以针对于已有的存储数据,进展有序的编录,形成一份规X的目录,让用户可以简单便捷的在目录中查询资料,这样的一个功能,我们就叫它目录服务。
在域中,我们创建了很多用户和组,发布了很多共享资源,那么怎么去查询和访问这些资源,我们就可以使用域中的活动目录服务,活动目录服务通过Ldap〔LightDirectoryAccessProtocol〕协议,可以更加有序的组织管理域中的活动目录数据库,将域内所有的用户、组、共享资源、都纳入到目录服务中去,让用户和管理员,通过网络邻居中查询搜索的方式,去访问域中的资源,而之所以叫做活动目录,是因为ActiveDirectory并不是固定大小的目录,ActiveDirectory可以视企业域中数据的大小,来活动的扩展目录大小,相当于一个无限页数的“本〞
2.4如何选择适合您企业的域架构模型
默认情况下,当企业环境没有域的情况下,我们去安装配置一台域控制器,来新建一个域,当新建企业内第一台域控制器的时候,同时也新建了企业内第一个林,第一个域树,第一个域,在一个域网络的逻辑概念中,林是最大的一个概念,一个林中可以包含多个域树,一个域树中又可以包含多个域。
在一个企业的单个域树中,域与域之间的名称空间是连续的,单个域树内中的每个域之间都是相互信任的。
多个域树之间的名称空间不同,但可以将多个域树组成一个林,林中的所有域树,域,都可以互相访问资源。
在一个域网络内,不光有逻辑的林、树、域概念,也有相对的物理概念,比如说,站点,如果企业内的域分布在不同地域,域控制器与域控制器之间如果要进展数据库复制,就可以将与域控制器划分为不同的站点,在站点与站点之间进展复制同步的时候,可以结合企业内部网络实际情况,来进展合理的规划控制,例如,可以设置一个复制计划,让站点间的复制只在某一个时间段进展,还可以通过开销,来设置域控制器之间复制的时候,优先采取那条网络路径。
2.4.1单林单域单站点
如果企业之前采用的是工作组管理模型,现在想转到域模型,那么单林单域单站点,是您的首选推荐,选择单林单域单站点也是一个很好的过度,在单林单域单站点的域模型中,管理员只需要维护一个域就可以了,管理起来相对也并不复杂,也并不涉与到域树、信任、林,站点管理等概念,后期如果希望进展负载均衡,容错的话,还可以在一个域内添加多台域控制器进展扩展,以支持更多的访问,如果企业人数在50-100人左右,初期希望通过域来进展统一身份验证,集中管理,那么这种单林单域单站点,可以很好的帮您过度到域管理阶段。
2.4.2单林单域多站点
如果您的企业相对来说比拟大,在不同城市都有分公司,-我们推荐您采取这种单林单域单多站点的架构,企业内部只有一个域,但是我在一个域内,可以部署多台域控制器,将不同的域控制器,放在不同的地域,比如说,contoso公司,在设立总部,在某某设立分部,在没有多站点的情况某某域用户登录,也许就要去的域控制器上,来进展身份验证,如果某某与的网络出现故障,或者网络连接不稳定,就会导致某某的用户没方法登陆。
但如果采用了多站点,就不会出现这种问题,我们可以分别在和某某,部署两台域控制器,结合站点的设置,就可以让某某的用户,登陆到域就通过某某本地的域控制器来做身份验证,的用户登录到域,就可以通过的域控制器来做身份验证。
这样就解决了不同地域用户登录到域的问题,如果您的企业是这种跨地域的公司,那么我们强烈建议您,采用单林单域多站点的架构。
2.4.3单林单域树父子域
这种单林单域树父子域的架构,适用于〞分散式安全管理“与“站点网络慢速“的应用场景,如果企业已经创建了一个父域,当前父域在总部建立,随着业务扩展,公司在某某建立了一个分部,公司希望某某和的域进展分开的管理,即某某的IT管理员在某某分公司创建的用户、组策略,不会被应用到,总部只可以创建总部的用户与组策略,不能将在总部创建分部的域用户,从而实现安全边界的“分散式安全管理〞。
在单林单域树父子域环境中,也可以将父域和子域部署在不同的地域,从而实现AD站点的架构,在父子域架构的多站点钟,父站点与子站点之间进展数据同步的时候,不需要同步很多数据,只需要同步整个林中统一的架构和配置信息,而不需要将父站点的所有数据库内容都同步到子站点,从而降低多站点同步时网络带宽的要求,如果企业分支机构与总部之间网络连接并不快,可以采用父子域架构的多站点方式。
2.4.4单林多域树
单林多域树的架构,适用于更加大型的AD拓扑结构,可以将不同地域,不同部门,划分成为一个单独的域树,来参加到林中的根域,域树中可以包含父域,父域中可以包含子域,多域树架构的典型应用场景就是企业兼并,例如A公司收购了B公司,但是B公司名称在市场内也有一定的影响力,所以A公司希望B公司还保存它原来的公司名称,这种情况就可以在A公司建立一个林根域树,然后将B公司的现有域树参加到A公司中,这样B公司逻辑上被A公司管理,但依然保存B公司自己的公司名称。
在多域树的架构中,也可以将不同的域树分别部署在不同的站点,但是AD开展到今天来看,在企业中,网络可能已经不再是瓶颈,所以如果不是特定的需求,微软建议尽量采用单林单域多站点的架构,越简单越好,能使用多站点解决的问题,就不采用父子域,能用父子域解决的问题就不采用多域树,总之,企业的AD域模型,只要能满足需求,拓扑架构越简单越好,管理起来方便,出现错误也容易排错。
2.4.5多林架构
多林架构即在企业内部署多个林,来实现一种多林的大型架构,这种架构并不常见,除非公司AD架构要求规X的很大,或者要求分散管理,否如此一般不会应用多林架构,多林架构的典型应用,一个是跨公司的,两家公司建立了合作关系,希望能够员工能够在自己的公司就可以访问其它公司的资源,那么就可以建立多林架构,组成林信任。
另外一种应用场景就是,新旧更替,比如企业在2003年,建立了一套AD架构,同时采用了exchange2003作为企业的系统,但是到2010年,企业又引进了一批2008R2的服务器,上面装了Exchange2010,希望将旧的运行在2003上面的数据迁移过来。
那么也可以在这种多林架构下进展跨林的迁移
2.5什么是活动目录数据库
之前介绍域的时候,我们提到过,域中的老大“域控制器“,上面会存放一个活动目录数据库,那么这个活动目录数据库中,到底存储了什么?
可以说,我们整个域内的所有数据,都存放在这个活动目录数据库中,同时,当用户登录到域客户端,访问资源的时候,就会经过活动目录数据库的身份验证,如果用户登录信息和数据库内信息一致,如此允许用户登录,如果用户登录信息与数据库信息不一致,如此用户无法登陆。
活动目录数据库包括四个分区
架构分区:
架构分区中存储着整个林中,所有的对象,对象属性定义,架构分区是林中全林复制的,林中所有域树、域、子域,都应用一样的架构分区,除了administrators组,只有林中的Schemaadmins组,有权限修改林中的架构分区。
配置分区:
配置分区存储着整个林中域树,域,站点,服务,信任关系的信息,配置分区也是林中全林复制的,林中所有域树、域、子域,都应用一样的配置分区。
域分区:
域分区存储着每个域内特有的数据,比如域中的用户、组、计算机、共享资源等数据,在一个林中,域与域之间的域分区数据是不一样的,域分区仅在一个域内进展同步。
应用程序分区:
应用程序目录分区是仅复制到特定域控制器的目录分区。
参与特定应用程序目录分区复制的域控制器存放该分区的副本。
只有运行WindowsServer2003的域控制器可以存放应用程序目录分区的副本。
我们在AD管理工具的UI界面修改的数据,比如我们为域中新建了一个用户,发布了一个共享资源,添加了一台计算机,使用exchange扩展了AD的架构,等等,这些数据,最终都会被存入至活动目录数据库,活动目录管理工具或活动目录域服务,都是以Ldap协议通过DN或RDN路径对数据库进展新增、查询、更新、删除等操作
2.6域的可靠性与容错性
域的可靠性
企业将微软的AD域作为企业的集中管理平台后,就可以将AD域作为企业的集中身份验证平台,在AD上面创建一次用户,该用户就可以单点访问域网络内所有的资源。
可以将AD作为企业的资源发布平台,将企业内所有已共享的文件夹,打印机等网络资源,发布到AD活动目录中,让用户查询使用,还可以通过AD域控制器来统一设置域中的组策略,通过组策略来控制域内所有用户的桌面工作环境、系统设置、安全策略。
当企业很好的应用了AD域后,就会开始考虑域的一个可靠性,默认我们可能只部署了一台域控制器,这种情况下,如果这台域控制器宕机,就会导致,所有用户没方法登陆,没方法访问网络资源,没方法应用组策略,导致整个网络处于一种瘫痪的状态,如何防止这种情况。
我们就可以在一个域内部署多台域控制器来解决可靠性的问题,域内的多台域控制器,他们的活动目录数据库是几乎完全一致的。
简单来说,单站点单域,域内一台域控制器,添加了一个用户,经过15秒,也许更快,就会把这个新添加的用户,复制到域中直接复制伙伴域控制器的活动目录数据库上,所以,在同一个域内的域控制器,他们的活动目录数据库是相互复制的,即使一台域控制器宕机,那么其它的域控制器也可以挺身而出,接替工作,同时,如果我们为单域环境添加了多台域控制器,
那么多台域控制器就可以同时为用户提供服务,可能这台用户登录访问资源,为它提供服务的是这台域控制器,下一个用户登陆,就会是另外一台域控制器为他提供服务,通过添加多台域控制器,不仅可以通过复制的方式,来解决域的可靠性问题,还可以达到负载均衡
域的容错性
虽然说,我们可以通过在域中部署多台域控制器,来进展负载均衡,防止一台域控制器宕机导致企业网络瘫痪,但是这样却并不能达到一种很好的容错效果,万一IT管理员不小心在域控制器上删除了某个用户,万一管理员不小心操作失误,导致了两台域控制器宕机,这种情况下,应该怎么办?
这个就是容错考虑,除了前期做好正确的域规划,我们还强烈建议客户,针对于域控制器做好备份,可以使用WindowsServer自带的Backup工具,定期单独备份活动目录状态,或者裸机备份域控制器,或者使用DPM,Symantec等其他备份工具,来备份域控制器。
除了针对于服务器做备份,还可以针对于与域控制器来启用快照和回收站。
这里的快照有两层含义,一种指的是,域控制器虚拟化时,hyper-v的快照,另外一种指得就是活动目录数据库的快照,从2008R2开始,我们就可以在ntdsutil命令集中,针对于活动目录数据库来制作快照,制作好活动目录数据库快照后,一旦那一天活动目录数据库瘫痪,或者误删除,就可以通过挂载快照的方式,重新挂载恢复活动目录数据库。
回收站指的是活动目录回收站,这项功能也是2008R2开始引进的功能,通过启用回收站,可以让管理员,“有后悔药可吃〞,默认活动目录中的局部对象,都会有一个墓碑时间,这个墓碑时间,默认是180天,比如说,我们误删除了一个用户,删除之后,我们只是给这个用户添加了一个已删除的标记,但是这个用户并未彻彻底底的从我们的活动目录数据库中删除,而是处于一个“游魂阶段〞但依然存在于我们的活动目录数据库,等到180时间到了后,这个用户才会被彻底的从活动目录数据库中删除。
如果我们启用了活动目录回收站的功能后,那么处于“游魂阶段〞的用户,就可以被恢复回来。
比如说,我们误删除了一个用户,但是我们启用了活动目录回收站这个功能,就可以在回收站中将这个用户恢复回来。
通过这些可靠性与容错性的考虑与实现,就可以保证企业的AD域平台更加高度可用,更加可靠的运行
2.7如何创建一个域
要实现一台域控制器,对于服务器硬件要求并不是很高。
只要你是市面上常见的至强E5cpu,内存4-8GB,硬盘初期300-500GB,中小企业采用这样一台服务器,就足够支撑起企业域的运行。
同时域服务属于WindowsServer里面的一个角色,企业不需要额外再购置任何东西
搭建域的系统要求
⏹要求服务器安装指定的WindowsSerer操作系统
⏹要求服务器具备一个NTFS分区用来存放SYSVOL数据,最小具备250MB大小
⏹规划好企业域名以与服务器静态IP地址
⏹必须要有管理员权限,普通用户不能安装域控制器
服务器满足这些要求就可以安装域控制器。
在最新的WindowsServer2012R2中安装域控制器的步骤也并不复杂,一共分为几步
⏹配置服务器IP地址,域名,防火墙,更新补丁
⏹添加ActiveDirectory域服务角色
⏹指定要采用的域架构模型,定义企业域名
⏹指定企业域功能级别,林功能级别,设置DSRM密码
⏹是否委派DNS,Netblos网络名称是什么
⏹指定AD数据需要存放在哪
⏹验证域控制器配置步骤设置,确认无误,选择创建,重启之后,服务器为域控制器
⏹通过以上几个简单的步骤,输入企业的特定信息,选择适宜的架构,就可以帮助企业快速的实现一台域控制器,相比于业内其他目录管理平台,微软的AD域服务器架构起来是最简单,最快速的。
2.8AD集中管理用户资源演示
当安装好AD域服务角色后,服务器重启,重启好了后,该服务器即升级为一台域控制器,同时,在服务器上会多出如下几个工具
管理员日常针对于AD域环境执行创建用户,发布共享资源,组策略设置,主要是在
ActiveDirectory用户和计算机与组策略管理。
这两个工具中进展操作
⏹ActiveDirectory用户和计算机界面如下
⏹如果想要创建用户,只需要定位到指定OU下,在空白处点击右键选择“新建〞“用户〞
即可指定新建的用户,包括用户的登录名,以与要在AD中显示的某某
⏹还可以设置用户登录时的密码
⏹输入用户名称,登录名,密码后,就可以完成创建一个用户,默认情况下,这个用户可以在域环境内任何一台客户端进展登录,但是也可以针对于用户来进展不同的管理限制
⏹比如可以指定用户,只能在那一台机器上登录
⏹可以控制,用户在什么时间段内可以进展登录
⏹包括用户VPN拨入时要应用的路由,用户远程连接会话的中断时间,用户的配置文件,用户在域中的权限,都可以在AD用户与计算机中,来对用户进展这种集中的管理。
⏹在AD中还可以创建组,将不同的用户参加到组之后,管理员在设置共享文件夹权限的时候,可以针对于一个组来赋予权限,组内所有用户都继承组的权限。
在AD中,可以创建安全组和通讯组,安全组主要用来指派权利赋予权限,通讯组主要负责收发的,比如我们创建通讯组,那么在发送的时候,就可以针对于一个组来发送。
⏹管理员不光可以在AD域控制器上面进展集中的用户创建,用户管理。
还可以通过AD域控制器来发布环境内的网络资源,比如说,环境内有五台文件服务器,五台文件服务器上面又存放了很多个共享文件夹,那么最终用户如果需要访问我的共享文件夹,就需要记住这五台共享文件服务的访问方式,而有了AD后,我们就可以在AD里面来进展统一的发布,将域环境内的共享文件夹都纳入AD中,作为一个域共享资源,用户只需要记住访问,我需要访问域,域内就会有我所有想要的资源,就可以了。
⏹要发布域共享文件夹,同样只需要定位到指定OU下,在空白处点击右键选择“新建〞“共享文件夹〞
⏹在共享文件夹中,输入一个显示名称,以与共享文件的UNC路径
⏹点击确定后,即可创建完成一个共享文件夹,但这共享文件夹并不会存在于域控制器上,只是域控制器作为一个逻辑的空间,将网络中一个个共享文件夹做成一个快捷方式,存储到活动目录中。
⏹如果管理员觉得,默认的访问名称,比拟繁琐,用户不好记住,还可以针对共享文件夹设置关键字,让用户在网络里面搜索关键字,就可以找到共享资源
⏹管理员在域控制器上将资源发布好了后,最终用户只需要在客户端的网络邻居上,选择查找网络资源,在查找里面输入相应的关键字,开始查找就可以找到所有想要的资源
2.9组织单元与组策略
企业采用
升级会员 