使用AD域提升终端安全整体解决方案运营商.docx

1、使用AD域提升终端安全整体解决方案运营商AD域提升网管网终端安全的整体解决方案一. 域在网管网中的实际作用 41.1 活动目录与现网区别 41.2 安全基线统一配置 51.3 用户统一管理 51.4 登录方式变更 61.5 提高排障效率 71.6 共享文件统一管理 7二. 概念介绍 82.1 什么是活动目录(Active Directory) 82.2 什么是域(Domain)和域控制器(Domain controler) 8三. 介绍活动目录的安装过程 93.1 活动目录安装要求 93.2 活动目录的安装 9四. 如何加入域 15五. 如何退域 16文档信息文档名称文档管理编号保密级别文档版

2、本编号制作人陈少桐制作日期2011-6-22复审人复审日期扩散范围文档说明版权说明本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属*信息科技有限公司所有，受到有关产权及版权法保护。任何个人、机构未经*信息科技有限公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。版本变更记录时间版本说明修改人2011-6-221.0新建文档陈少桐一. 域在网管网中的实际作用1.1 活动目录与现网区别AD域与现网（对等网）的比较模式结构AD工作组（对等网）搭建1.DC；2.加入域；不用搭建工作组安全1.账户（集中式管理）；2.密码（强密码）；3.防火墙（组策

3、略）；4.组策略,计算机安全统一部署1.SAM存储在本地；2.无密码要求；3.防火墙部署必须挨个部署；4.每个计算机独立配置资源统一管理主机名,统一管理IP地址,统一管理计算机名1. 主机名；2. IP地址；3. 计算机名；管理集中式管理,AD服务器与客户终端关系1. 分散式管理；2. 平等关系；1.2 安全基线统一配置当终端加入域后,可以在计算机终端所在”组织单元”属性中 ,配置安全策略,此方法可以用来统一设置各客户端的安全策略,大大提高了终端安全,同时也适合省公司下发的安全基线标准规范 使用此方法,对于省公司每年的安全检查中,可以大大增加检查效率,大大减少安全操作员的操作时间,同时将些策略

4、应用于终端计算机,能提高Windows安全基线设置水平.1.3 用户统一管理域是一个有安全边界的计算机集合，在同一个域中的计算机彼此之间已经建立了信任关系，在域内访问其他机器，不再需要被访问机器的许可了.在建立域之前.所有用户账号信息各自保存在计算机电脑,大大不利于统一管理,给管理员的安全带来一定的隐患,同时也出现管理员账号被无意删除或更改信息,建立域之外.所有用户信息将自己保存在域控制器中,有利于管理员统一管理所有账号及密码.1.4 登录方式变更建立域之后,所有本地用户将进行删除(只保留本地管理员),其他用户信息,可能在域中进行建立,管理及后期维护,本地计算机将不保存用户信息. 1.5 提高

5、排障效率在出现故障时提高排除故障的效率,域中有软件分发功能.当某些电脑出现故障或大范围出现故障时,可以通过软件分发功能,把解决故障的方法,通过软件下发给所有终端,比如打补丁,从而实现自动安装应用程序.1.6 共享文件统一管理在域中,可以通过域控制器,共享计算机文件夹,使用所有基于域用户都可以访问到共享内容(设置相应的权限对用户进行限制)二. 概念介绍2.1 什么是活动目录(Active Directory)活动目录是一种目录服务，目录服务包括三方面的功能：组织网络中的资源，提供对资源的管理，对资源的控制，活动目录的服务通过将对网络中的各种资源的信息，保存到一个数据库中，来为网络中的用户和管理员

6、提供对这些资源的访问、管理和控制，这个数据库叫活动目录数据库。通过活动目录服务，管理员可以实现整个网络的集中管理.2.2 什么是域(Domain)和域控制器(Domain controler)域是活动目录的一种实现形式，也是活动目录最核心的管理单位和复制单位，一个域由域控制器和成员计算机组成。域控制器就是安装了活动目录服务的一台计算机。在域控制器上，每一个成员计算机都有一个计算机账号，每一个域用户有一个域用户账号。域管理员可以在域控制器上实现对域用户账号和计算机账号以及其他资源的管理。域还是一种复制单位，我们在域中可以安装多台域控制器，域管理员可以在任何一台域控制器上创建和修改活动目录对象。域

7、控制器之间可以自动的同步，或者是复制这样一种更新。三. 介绍活动目录的安装过程3.1 活动目录安装要求win2003系列，web版是不可以安装的活动目录的，其他的版本都可以安装,需要存在NTFS分区，再安装活动目录的时候，需要把一些数据保存在NTFS分区上DNS服务器必须支持SRV(服务资源记录)记录，客户要在网络中查询域控制器，或者要进入域控制器，必须通过DNS服务器的SRV记录，来解析服务器的IP地址，需要本地管理员用户权限，网络中的第一台域控制器，必须以本地管理员的身份来安装，如果要在现有的域中添加第二台控制器，必须是以域管理员的身份来完成操作，如果要添加一棵子域，或添加一棵新的树，必须

8、是以企业管理员的身份来完成操作。3.2 活动目录的安装开始-运行-输入命令：dcpromo下一步后就是一些说明信息，由于win2003的改进会与较早的一些操作系统，有些兼容性问题选择域控制器的类型：新域的域控制器和现有域的额外域控制器，这里我们选择新得域控制器选择创建域的类型：有三种域累新：在新林中的域，在现有域树中的子域，在现有的林中的域树根据自己得需要来选择创建得类型，由于是第一次安装，选择“新林中得域”。这些情况在以后详细介绍。DNS配置最好在这台域控制器上安装服务，活动目录依赖于输入域的名称:活动目录域是与dns域使用同样的结构，都是分层结构，这里我们输入JYWGW.COM,输入net

9、bios，会自动选取域名的第一个字段作问netbios名称。一般默认设置活动目录数据库和日志文件的保存位置，一般也是默认位置:设置文件夹的位置，这个文件主要保存组策略的一些设置:权限的设置，根据网络中的服务器来选择，一般为了跟安全，一般选择第二个选项设置目录服务还原模式的管理员密码。这个密码是活动目录在恢复的时候要使用的。如果经常给活动目录做备份，如果不小心活动目录服务器瘫痪了，要恢复活动目录，那么就要用到这个密码，一定要记牢此密码显示摘要信息，看有没有什么错误，有可以点击上一步修改，没有问题就可以点击下一步开始活动目录的安装。开始活动目录的安装过程。这个过程根据机器的配置有不同的时间，一般只需要分钟左右就可以完成安装重启计算机。重启之后，我们就可以在登录窗口中看到域的名字了，输入密码，登录到域四. 如何加入域加入域的方法如下:点击电脑的”计算名”选择隶属域,填入” 填入后,系统会提示输入域高级管理员的用户及密码.加入后重新启动电脑就可以进入域了.五. 如何退域 进入”计算机名”,进入计算机名称更改”输入工作组名”,再输入域管理员用户密码,则可以退出域!