1、AD域控规划方案活动目录规划方案1.1. 活动目录介绍活动目录是网络体系结构中一个基本且不可分割的部分,它为网络 的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。 活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共 享和管理。另外,目录服务在网络安全方面也扮演着中心授权机构的角色, 从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。 同 等重要的是,活动目录还担当着系统集成和巩固管理任务的集合点。活动目录提供了对基于的用户账号、客户、服务器和应用程序进行 管理的唯一点。 同时, 它也帮助组织机构通过使用基于的应用程序和与相 兼容的设备对非系统进行集成,
2、从而实现巩固目录服务并简化对整个网络 操作系统的管理。 公司也可以使用活动目录服务安全地将网络系统扩展到 上。活动目录因此使现有网络投资升值,同时,降低为使网络操作系统更易于管理、更安全、更易于交互所需的全部费用活动目录是微软各种应用软件运行的必要和基础的条件。下图表示 出活动目录成为各种应用软件的中心。12 应用2012 的好处2012简化了管理,加强了安全性,扩展了互操作性。它为用户、组、 安全服务及网络资源的管理提供了一种集中化的方法。应用2012之后,企业信息化建设者和网络管理员可以从中获得如下好处:1、 方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。2、 安全性高,有
3、利于企业的一些保密资料的管理,比如一个文件只能让某一个人看 , 或者指定人员可以看 , 但不可以删 / 改 / 移等。3、方便对用户操作进行权限设置,可以分发,指派软件等 , 实现网络内的 软件一起安装。4、很多服务必须建立在域环境中,对管理员来说有好处 : 统一管理 , 方便在 软件方面集成 , 如 ( 邮件服务器 )、 ( 上网的各种设置与管理 ) 等。5、使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可 以存储在服务器上, 统一进行备份、 管理,用户的数据更加安全、 有保障。6、方便用户使用各种资源。7、( )能够分发应用程序、系统补丁等,用户可以选择安装,也可以由 系统管理
4、员指派自动安装。并能集中管理系统补丁(如 ),不需每台客户 端服务器都下载同样的补丁,从而节省大量网络带宽。8、资源共享 用户和管理员可以不知道他们所需要的对象的确切名称, 但是他们可能知 道这个对象的一个或多个属性, 他们可以通过查找对象的部分属性在域中 得到一个所有已知属性相匹配的对象列表, 通过域使得基于一个或者多个 对象属性来查找一个对象变得可能。9、管理A、 域控制器集中管理用户对网络的访问,如登录、验证、访问目录和共享资源。为了简化管理,所有域中的域控制器都是平等的,你可以在任何 域控制器上进行修改,这种更新可以复制到域中所有的其他域控制器上。 B、 域的实施通过提供对网络上所有对
5、象的单点管理进一步简化了管理。 因为域控制器提供了对网络上所有资源的单点登录, 管理远可以登录到一 台计算机来管理网络中任何计算机上的管理对象。 在网络中, 当用户一次 登陆一个域服务器后, 就可以访问该域中已经开放的全部资源, 而无需对 同一域进行多次登陆。 但在需要共享不同域中的服务时, 对每个域都必须 要登陆一次,否则无法访问未登陆域服务器中的资源或无法获得未登陆域 的服务。10、可扩展性在活动目录中, 目录通过将目录组织成几个部分存储信息从而允许存储大 量的对象。因此,目录可以随着组织的增长而一同扩展,允许用户从一个 具有几百个对象的小的安装环境发展成拥有几百万对象的大型安装环境。11
6、、安全性 域为用户提供了单一的登录过程来访问网络资源, 如所有他们具有权限的 文件、打印机和应用程序资源。也就是说,用户可以登录到一台计算机来 使用网络上另外一台计算机上的资源,只要用户具有对资源的合适权限。 域通过对用户权限合适的划分, 确定了只有对特定资源有合法权限的用户 才能使用该资源,从而保障了资源使用的合法性和安全性。12、可冗余性 每个域控制器保存和维护目录的一个副本。 在域中, 你创建的每一个用户 帐号都会对应目录的一个记录。 当用户登录到域中的计算机时, 域控制器 将按照目录检查用户名、口令、登录限制以验证用户。当存在多个域控制 器时,他们会定期的相互复制目录信息,域控制器间的
7、数据复制,促使用 户信息发生改变时(比如用户修改了口令) ,可以迅速的复制到其他的域 控制器上, 这样当一台域控制器出现故障时, 用户仍然可以通过其他的域 控制进行登录,保障了网络的顺利运行。1.3. 明确系统规划目标企业的 2012 系统规划构建是为企业信息化建设服务的, 需要达到以 下战略目标:围绕企业的战略发展需要,进行企业信息化建设系统规划,满足 企业 3-5 年的业务发展对建设的要求;以业务为驱动,通过有效的信息系统,加强信息共享和协同办公, 提高工作效率,降低成本;整合企业现有信息资产,加强企业管理与监控;从信息中挖掘知 识,提高经营决策与驾驭风险的能力;推进知识管理理念,建立知识
8、型企业,增强企业的核心竞争力。2012 系统规划实施的具体目标如下:规划和部署基于 2012 的企业目录服务,首先实现用户的单一登录,保障网络系统安全; 通过实现用户桌面的集中和自动管理,分发软件补丁;进一步部署微软的相关应用平台软件, 如实现基于 2003 的企业内 部邮件和协作服务,14 活动目录设计方案为企业设计一个域,用户的所有计算机(服务器和客户机)全部加 入到域,用户实现单一登录和管理员通过域组策略实现安全及桌面管理。 架构拓扑如下。H:;企业1.5.活动目录优势1.计算机工作组管理和管理比较对于基于操作系统的计算机运行和管理在两种模式下: 工作组()和域()。在工作组模式下,计算
9、机处于一个孤立状态,使用计算机的用户登录 帐号和计算机的管理均须在每台计算机上创建或进行。见下图。Workgroup当计算机超过20台以上时,计算机的管理变得越来越困难,并且要为 用户创建越来越多的访问网络资源的帐号,用户要记住多个访问不同资源 的帐号。而在域的模式下,用户只需记住一个域帐号,即可登录访问域中的资 源。并且管理员通过组策略, 可以轻松配置用户的桌面工作环境和加强计 算机安全设置。域模式下所有的域帐号保存在域控制器的活动目录数据库 中。见下图Single User2.为什么要提供目录服务?对更加强大、透明且高度集成的目录服务的不断需求是由爆炸性增长 的网络计算所导致的。随着局域网
10、()、广域网()规模与复杂性的不断 提高和这些网络不断被连入,以及应用程序对网络的依赖程度不断增强并 不断被链接到协作企业网中的其它系统上,对目录服务的需求也日渐增 多。基于下列原因,目录服务成为扩展的计算机系统中最重要的部件之一:简化管理 提供对用户、应用程序和设备的单一、一致性的管理点。 加强安全性向用户提供单一的网络资源登录,为管理员提供强大、 一致性的工具以使他们能够管理为内部台式机用户、远程拨号用户 以及外部电子商务客户提供的安全服务。扩展的互操作性 向所有活动目录特性提供基于标准的存取方式以 及对通用目录的同步支持。目录服务兼任管理工具和用户工具。随着网络中对象数量的增加,目 录服
11、务变得必不可少。目录服务在一个庞大的分布式系统中发挥着网络集 线器的作用。致力于这些需求,2000服务器版引入了活动目录即一套用 于改进网络操作系统管理、安全性和互操作性的完整的目录服务集。下图描述了活动目录带来的计算机安全和管理上的一些最重要的好3.简化了计算机系统管理分布式系统常常导致时间的消耗和管理的冗余。当公司在他们的基础 结构上添加应用程序并雇用新的职员时, 他们需要适当地向各桌面系统分 发软件并管理多个应用程序目录。 通过在单一的位置管理用户、 组和网络 资源以及分发软件和管理桌面系统配置, 活动目录可以显著降低公司的管 理费用。例如,活动目录在同一个位置管理用户和 邮箱信息。基于
12、下列 原因,活动目录可以从以下方面帮助公司简化管理:消除冗余管理任务 提供对用户账号、客户、服务器和应用程序以 及现存目录同步能力进行单一点管理。降低桌面系统的行程 针对用户在公司中所担当的角色自动向其分 发软件,以减少或消除系统管理员为软件安装和配置而安排的多次 行程。更好的实现资源的最大化 安全地将管理功能分派到组织机构的所 有层次上。降低总体拥有成本() 通过使网络资源容易被定位、配置和使用 来简化对文件和打印服务的管理和使用。4. 加强安全性 强大且一致的安全服务对企业网络而言是必不可少的。管理用户验证和访问控制的工作往往单调乏味且容易出错。活动目录集中进行管 理并加强了与组织机构的商
13、业过程一致、且基于角色的安全性。例如, 对多身份验证协议(如,X.509认证以及由灵活的访问控制模型组成的 智能卡)的支持实现了对于内部桌面系统用户、远程拨号用户和外部 电子商务客户强大且一致的安全服务。活动目录使用以下方法增强安 10 / 27全性:改进了密码的安全性和管理 通过向网络资源提供单一的集成、高 性能且对终端用户透明的安全服务。保证桌面系统的功能性 通过根据终端用户角色锁定桌面系统配置 来防止对特定客户主机操作进行访问,例如软件安装或注册项编辑。加速电子商务的部署 通过提供对安全的标准协议和身份验证机制 的内建支持,如 , 公开密钥基础设施()和安全套接字协议层()之 上的轻便目
14、录访问协议() 。紧密的控制安全性 通过对目录对象和构成他们的单独数据元素设 置访问控制特权。1.6. 重要组策略介绍1. 软件分发策略 通过组策略可以为域中的计算机或用户自动分发带有包的软件。见下 图。首 Befault Domain Folicy mainsrvp. si co. com 策出 日圍计算机配置-1- _|软件设置-:LJ Winh啊 S帕1E凰:耳H LSI粘贴(t)刷新电) 导出列表s帮助QC)E T无线网络CIEEE 302.11略 W LJ公钥策略* 软件限制策略 国”履| IF安全策略在Active Eirector S _J背建梯復-廳用户配置E-U件设置E (7
15、1 Windows 设蒼* 口管理複複2.将用户的个人数据从机上重定向到服务器上重定向有利于数据的安全以及集中备份。见下图_5? Default Domain Policy mainsrv si co. com集出 L鳳计算机配置I sr j软件设置+ _J Windows 设置1 一j管理模板F廳用户配置-二I软件设置目软件安装F _| Windows 设置 車远程安装服务 閒脚本僵录丹主销)!白口文件夹重定向| Appli eati on_l我的文档| 一 口 开妁莱单E Inter nt t Explorer 1? 口管理複板3.安全类组策略密码策略名称“强制密码历史”设置确定在重用旧密
16、码之前必须与用户帐户相关的唯一新密码的数量 配置“密码最长使用期限”设置,以便密码在环境需要时过期。“密码最短使用期限”设置确定了用户更改密码之前必须使用密 码的天数。“最短密码长度”设置确保密码至少包含指定数量的字符。“密码必须符合复杂性要求策略”选项检查所有新密码以确保它们符合强密码的基本要求。DefmLt lornain .Policy bimrp. xic. eib策曲 -團计豈机配置1 u歎件设置! H Windm 设置安全紀E囲帐户策略因岷尸锁运策略账号锁定策略帐户锁定策略是一项 2012 安全功能,它在指定时间段内多次 登录尝试失败后锁定用户帐户。 允许的尝试次数和时间段是由为安
17、全 策略锁定设置配置的值决定的。用户不能登录到锁定的帐户。“帐户锁定时间”设置确定在未锁定帐户且用户可以尝试再次登录之前所必须经历的时间长度“帐户锁定阈值”设置确定用户在帐户锁定之前可以尝试登录帐户的次数。“复位帐户锁定计数器”设置决定了“帐户锁定阈值”复位为 0以及帐户被解锁之前所必须经过的时间长度。禁用本地管理员帐号默认情况下,每台加入到域中的计算机都有 Admi nistrator 和两个帐号,Administrator 帐号在安装时口令为空。 用户使用这个帐号权限过大,因此一般不会给用户使用这个管理员帐号,最好的做法就是通过组策略禁用这个帐号,用户使用域的帐号啾拴制番=兀叶服务爺醐71
18、页卄划仕夯浜旧疋乂/帐户.甘建员帖尸伏iS稷有钗1霞帐户来宾喘户状态没有定义帐尸:便用空白密码的茶邀輙尸只允许遴行揑制音壹录踽帐户重命名来宜瞰P没有定义囲帐户:直命店系妊普瑾员林户设有定义J将域帐号加入到每台机的本地 组中创建域帐号时,默认情况下这个帐号只属于 组中,该组属于每台机的本地组。本地组中的成员权限受到严格限制,比如共享文件夹,安装打印机驱动程序等工作的权限都没有。而经常有用户需要这些权限,可以通过组策略来实现禁用系统服务我们为优化系统和安全性考虑,经常要禁用计算机的一些无需运行 的服务。我们可以通过组策略把这些服务禁用掉。E 注闵表l -_fi立件凍竦*T 无邀网taaEEE 80
19、2.11)*_1企餌策蹈*一I软件醍制黄陷圏-S HF 5?全集3& 在 Kctiva Dir actori 由D昶嘎橇Fl燼兩丹塔F 一I欢件设竇由 _| Yindovs: 16 H山二1諌戦软件限制策略 对一些规定不得使用的软件可以通过组策略来禁用:路径规则:特殊文件路径下的软件不得使用:如 下的某些软件证书规则:只有系统管理员颁发过证书的软件可以使用,其他软件禁止使用 哈希规则:对禁止使用的软件通过哈希运算得到这个软件的身 份指纹,在组策略里设置只要是符合身份指纹鉴定的软件就进 行限制i i 曰口软件限制策晤_1窘全级别i i i l勺 田鸟IF 田_J昔理模槻日曲用户配置s LJ软件设
20、置FH-f l Win如弓电1 _|管理複板苴他规则.安全策略.新建证书规则().新連哈希规则05).新建Int*rn#t区域规MlQ).- 新建路径规则所有任务広)卜网络连接控制策略用户经常会通过改变“网络连接”中的设置,绕过企业防火墙,建 立自己的上网链路,比如电话拨号上网。这样会带来很大的安全隐患。 可以通过组策略限制用户不得改变网络连接中的配置,不允许用户通 过其他方式连接互联网。设置爭重希名LWT连接或重甜老所有用尸可用的远程谊问连接的. 詡葉辻访间.UUI達按爼件的属性細葉止访问适程.访问连授组件的JS性哥禁用TCP/IP高硼垣會荼止到“禽级菜单上的满级设宜的达何詡崇止粛加或删除用
21、于LAB连接喊远程询问连按的组件欝票止询问LUf iSJSMJStl區崇止启用/禁用LAH醛的组件;拿更曲所育用尸远提苗问连播的厲性崇止更改专用远程访问连摄痢属性:*票止册除运程访问连接塾舸除所有用户远程访问连接;*禁止连接和斷开连援远程访问连接站启用/禁用UOT连接的能力;*荼止访问“新逹连接向导箱重命名LAN连接的能力辛重潇名所百用户远程访问连接的力越禁止重命名专用远程访问连搖紺禁止访问“高缈薰里上的*远程访问首选顶”菜里頊 紺禁止直看活动连搖的状态$询管理员启用Wituhws 2000网瘩连搖设置站连接剰艮制戒无连搖时并闭道知1.7.计算机从工作组加入到域可能存在的问题和解决方法把计算机
22、从工作组模式加入到域模式可能会出现以下二个问题问题:1.一些软件不能使用。有一些软件以登录者的管理员权限帐号运行, 当计算机加入到域并对登录帐号做了权限设置,或禁用了本地管理 员帐号,这些需要管理员权限运行的软件就有可能不能正常运行。2.用户桌面环境发生改变。由于加入域前后用户是用不同的帐号登录 的,因此用户以前的桌面环境无法使用。具体有桌面上放置的资料“我的文档”等放置的资料配置好的“网络打印机”里设置好的“网站收藏夹”等。解决方法:1. 对问题 1 我们可以按以下两个方法来解决:(1)把域帐号加入到本地管理员组(2)卸载软件,用域帐号登录并安装2. 对问题 2 针对不同的问题分别解决如下:
23、(1) 把本地老帐号下的桌面内容全部备份下来, 复制到新域帐号的桌 面(2) 把本地老帐号下的“我的文档”内容全部备份下来,复制到新域 帐号的“我的文档”(3)重新连接和创建“网络打印机”(4)用特殊软件把老帐号里的“网站收藏夹”备份下来,然后恢复到 新域帐号中2. 活动目录方案实施2.1.域命名和的规划2012 域命名和的规划之所以放在首要地位,是因为作为整个架构 的基础,不应该轻易被调整。尽管安装后, 2012 仍然可以重组和改名, 这一点比 2000 有了很大的进步, 但是我们仍然建议做一个长远规划, 使 得域命名和服务能够满足企业 3-5 年的需求, 尽量避免配置好后改作调整 地巨大人
24、力物力浪费。此外,部署 2012 ,还必须确定服务器,确保它们满足域控制器定 位器系统的要求。一个支持的至少需要满足以下要求:必须支持服务定位资源记录()应该支持 动态更新协议( 2136 )2012 提供的 服务同时满足这些要求,并且还提供下列重要的附 加功能和改进:集成: 服务把区域数据存储在目录中,使得 复制创建多个主 域,也减少了对维护一个单独的 区域传送复制拓扑的要求。 安全动态更新:使得一个管理员可以精确地控制哪些计算机可以 更新哪些名称,并防止XX的计算机从 获得现有的名称。 条件转发:根据不同的对外访问的域名后缀,可以将用户的名称 解析请求转发到不同的外部服务器。存根区域:可以
25、定时地刷新和外部服务器的连接,及时发现那些 可能有故障、不再响应用户请求的服务器,提高用户名称解析的 效率。2.2.确定逻辑结构2012 活动目录的逻辑结构由三个基本组件组成:森林、域和。1、 确定森林规划森林是 2012 域的集合。在很多情况下,单一森林就足够了。单一森 林环境易于建立和维护,森林间的域自动建立双向可传递内部信任关系, 不要求手动建立外部信任配置, 在安装 2012 等应用程序时, 只需应用一 次架构更改即可影响所有域。如果各个单位有下列管理要求,就必须建立一个以上的森林:不互相信任管理员。希望限制信任关系范围。不同意某种森林架构更改策略。架构更改、配置更改会影响到森 林中所
26、有的域。如果单位不同意一个公共架构策略,它们就不能 共存于同一个森林中。2、 制定域规划规划域结构时,始终遵循“简单是最好的投资”的设计原则,尽管增 加某些复杂结构可以增值,但是简单的结构更易于说明、维护和调试。一开始时总是仅考虑每个森林中仅有一个域, 然后为每一个增加的新域提供 详细的理由, 确保添加到森林中的域都是有益的, 因为它们会带来相应的 管理开销而导致一定程度的成本上升。创建更多的域的三种可能的原因是:希望实现相对分散式得管理模式:多域结构更容易进行相对独立 的管理、委派和权限控制。另外,不同的用户帐户在一个域内是 不能出现重名的,多域之间就没有限制。对于人士管理相对独立 的集团下
27、属公司,多域结构具有更好的灵活性。希望实现不同管理策略要求:包括用户口令策略、账户锁定策略 和加密策略。例如,要求某些人必须取 8 个字符以上的口令,而 其它人不做限制。为此,必须将这些需要不同安全策略的用户放 在单独的域中。希望减小上的复制流量:域控制器域间复制将产生比域内复制少 的多的流量。如果公司很大,具有跨地区的组织结构,且处于同 一个森林内,则在不同地理位置上的机构可能使用慢速的链路连 接。为减少上的复制流量,可以在不同的地理位置设置不同的域。根据以上考虑,我们建议,企业 2012 域逻辑结构可以采用“单 森林、单域”的结构设计。2.3.确定物理结构考虑到企业的地理分布情况,应该考虑
28、使用多站点拓扑来规划 201220 / 27物理结构。 从绘制基本的网络拓扑布局图着手工作, 绘制所有可能的站点 ()和站点链接( )。速度快( 10 以上)、连接可靠的网络总是放置在单站点中。 站点定义为一组通过快速、可靠的线路连接起来的 子网。一般 而言,具有 速度或更快速度的网络被认为是快速网络。 窄带的、或不太可靠的连接可以使用站点链接建立多站点网络。 通常,连接一般被认为是窄带连接。如果建立站点链接,实现多 站点网络模式,则:客户计算机在登录到域时首先试图与位于同一站点的通信;2012 复制使用站点拓扑产生复制连接。2.4.规划结构和组策略组织单元()是一个用来在域中创建分层管理单位
29、的容器。在域中创 建结构时, 必须注意始终按照 “谁管理什么” 的原则,从管理的需要出发, 划分管理模型的结构, 而不是简单按照公司业务单位和它的不同分支、 部 门和项目来创建结构。考虑 的下列特性是很重要的:可以是嵌套的。一个 可以包含子 ,使得可以在域中创建一个分层的目录树结 构。但是嵌套太多将导致管理复杂和低效,所以建议以二级嵌套 为最理想,最多不应超过四级嵌套。可以用来委派管理和控制对目录对象的访问。不能使 成为安全组的成员,也不能因为用户被委派管理或驻留 在中而自动获得访问资源的权限。可以在上实施组策略。组策略是基于 2012 注册表的修改, 从而集中控制用户和计算机的 工作环境、桌
30、面配置、软件自动安装和删除的管理手段。一般而 言,安全策略必须在域级别实施,其它策略主要在级别实施。 不鼓励用户在 结构中浏览。没有必要设计一个吸引最终用户的 结构。尽管用户有可能浏览 一个域的 结构,但对于用户查找资源来说,这并不是一个最有 效的方法。在目录中查找资源的最有效的方法是查询全局编录。有两个理由需要在 2012 域中创建 结构:创建 以管理对象和委派授权。为组策略创建 。一个完全为管理和委派而设计的 结构与一个完全为组策略而设计 的 结构是不同的。 结构将很快变得相当复杂。每次添加一个 到规划 中时,要记下创建的具体原因。这有助于确保每个 有一个目的,并将帮 助阅读规划的人理解结
31、构所基于的理由。2.5.创建 以管理和委派在单位中委派管理有一些好处。以前,在单位中除了 之外的组可能 必须将更改请求提交到高级管理员, 高级管理员代表他们进行更改。 委派 特定的权限可以将责任分散到单位中的各个组, 使您可以将必须有高级访 问权限的用户的数量降到最少。 权限受到限制的管理员所发生的事故或错 误所产生的影响只限于他们负责的范围。这一工作包括以下步骤:确定创建何种创建的 结构将完全取决于管理是如何在单位中委派的。委派管 理的三种方法是:按物理位置、按业务单位(公司部门) 、按角色或 任务。三种方法经常结合使用。修改访问控制列表:修改 的访问控制列表 () 可以授予一个组对 的特定权限, 从而实现对该的委派管理。尽量委派权限给组账户而不是单
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 