AD活动目录规划方案.doc-道客多多

资源描述

1、XXXX集团活动目录规划方案目录1. 前言. . 32. 活动目录规划. . 32.1. 活动目录介绍. . 32.2. 应用 W indows 2003 Server AD 的好处. 42.3. 明确系统规划目标. 72.4. 活动目录设计方案. 83. 用户关心问题解答. . 93.1. 活动目录优势 . 93.2. 重要组策略介绍. 113.3. 计算机从工作组加入到域可能存在的问题和解决方法. 154. 活动目录方案实施 . . 164.1. AD 域命名和 DNS 的规划 . 164.2. 确定 AD 逻辑结构

2、. 164.3. 确定 AD 物理结构. 174.4. 规划 OU 结构和组策略. . 184.5. 创建 OU 以管理和委派. . 194.6. 创建 OU 支持组策略. . 194.7. 应用组策略选项. 204.8. 硬件设备选型建议. 215. 活动目录服务内容. . 225.1. 可行性调查. . 225.2. 规划活动目录部署方案. . 225.3. 部署活动目录服务. 225.4. 制订活动目录管理维护规范. . 235.5. 工程师定时上门进行活动目录日常维护 . 235.6. 处理活动目录紧急情

3、况 . 235.7. 整理和存档资料 . 245.8. 培训系统管理员 . 246. 服务质量保证 . 257. 部分成功案例 . 281. 前言本文档是张家港保税区金凯迪电脑贸易有限公司结合自身长期为客户提供全面的 IT 顾问咨询服务和应用解决方案积累起来的丰富经验，为企业规划 Windows 2003 AD 企业目录服务的解决方案建议。由于计算机安全和管理的需要， IT 部门计划部署活动目录，希望所有的计算机分阶段加入到域，通过活动目录加强计算机安全和桌面管理，并为进一步部署 Exchange、S MS 等微软产品打下坚实的基础架构。方案包括以下

4、组成部分：活动目录整体规划用户关心问题解答活动目录方案实施活动目录服务项目服务质量保证2. 活动目录规划设计一个稳定、可靠和扩展性良好的活动目录架构对一个企业网络的管理及安全具有重大意义，并对部署微软的相关产品如 Exchange 等具有举足轻重和决定性的重要意义。2.1. 活动目录介绍活动目录是 Windows 2003 网络体系结构中一个基本且不可分割的部分，它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和

5、用户的信息进行共享和管理。另外，目录服务在网络安全方面也扮演着中心授权机构的角色，从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是，活动目录还担当着系统集成和巩固管理任务的集合点。总的来说，活动目录的这些功能使组织机构可以将标准化的商业规则贯彻于分布式应用和网络资源当中，同时，无需管理员来维护各种不同的专用目录。活动目录提供了对基于 Windows 的用户账号、客户、服务器和应用程序进行管理的唯一点。同时，它也帮助组织机构通过使用基于 Windows 的应用程序和与 Window

6、s 相兼容的设备对非 Windows 系统进行集成，从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也可以使用活动目录服务安全地将网络系统扩展到 Internet 上。活动目录因此使现有网络投资升值，同时，降低为使 Windows 网络操作系统更易于管理、更安全、更易于交互所需的全部费用。活动目录是微软各种应用软件运行的必要和基础的条件。下图表示出活动目录成为各种应用软件的中心。2.2. 应用 Windows 2008 Server AD 的好处Windows 2008 Server 是微软最新推

7、出的网络操作系统服务器，它沿用了Windows 2003 Server的先进技术并且使之更易于部署、管理和使用。其结果是：其高效结构有助于使您的网络成为单位的战略性资产。应用 Windows 2003 Server 的好处如下表所示：优势描述可靠性Windows Server 2003 是迄今为止最快、最可靠和最安全的Windows 服务器操作系统提供集成结构，用于帮助您确保商业信息的安全性。提供可靠性、实用性和可伸缩性，使您可以提供用户需要的网络结构。高效Windows Server 2003 提供各种工具，允许您部署

8、、管理和使用网络结构以获得最大效率。提供灵活易用的工具，有助于使您的设计和部署与组织及网络的要求相匹配。通过加强策略、使任务自动化以及简化升级来帮助您主动管理网络。通过让用户自行处理更多的任务来降低支持开销。连接性连接Windows Server 2003 可以帮助您创建业务解决方案结构，以便与雇员、合作伙伴、系统和客户更好地连接。提供集成的 Web 服务器和流媒体服务器，帮助您快速、轻松和安全地创建动态Intranet 和Internet Web 站点。提供集成的应用程序服务器，帮助您轻松地开发、部署和管理XML Web 服务。提供多种工具，使您得以将XML Web 服务与内部应用程序、供应

9、商和合作伙伴连接起来。最经济与来自Microsoft 的许多硬件、软件和渠道合作伙伴的产品和服务相结合，Windows Server 2003 提供了有助于使您的基础架构投资获得最大回报的选择。为使您得以快速将技术投入使用的完整解决方案提供简单易用的说明性指南。通过利用最新的硬件、软件和方法来优化服务器部署，从而帮助您合并各个服务器。降低用户的所属权总成本(TCO)，使投资很快就能获得回报。Windows 2003 Server 的核心是一组基于 Ac tive Directory（目录服务，简称“ AD”）的基础结构服务。 Windows 2003 AD 简化了管理，加强了安全性，

10、扩展了互操作性。它为用户、组、安全服务及网络资源的管理提供了一种集中化的方法。应用 Windows 2003 AD 之后，企业信息化建设者和网络管理员可以从中获得如下好处：系统平台基础架构。基于 Windows 2003 AD 规划网络基础架构，使企业获得一个稳定、可扩充的网络基础平台。不单单是满足当前的网络需要，更关键的是预计了今后 3-5 年内可能的发展需要，使得将来的网络规划建设无需再次重复投资。单一登录。可以统一用户帐户设置和用户身份验证，实现用户单一登录，用户访问网络中的资源不再需要反复输入用户名称和口令。同时，它还是企业应用集成的基础。基于 A

11、D 的单一登录功能，便于实现在不同程序之间的协作和集成应用。网络安全。可以基于 AD，集中设置和统一管理用户、组、资源的操作权限，方便维护管理。集中管理和委派授权。基于 Windows 2003 活动目录 OU 实施委派授权管理，未来向下属企业推广时，分级维护，集团各部门、下属公司可以对所辖范围内的部分参数进行维护，如增加用户、设置权限、增加栏目、自定义流程等。用户桌面管理。通过规划部署 Windows 2003 OU 和组策略，可以统一规划用户桌面和用户操作环境，实现对客户计算机的集中控制管理，加强信息管理的安全可靠性。软件自动分发。通

12、过规划部署 Windows 2003 OU 和组策略，还可以实现应用程序的自动分发、升级和删除，不但可以实现客户机软件的统一安装管理，而且大大减轻了软件安装配置的工作量。2.3. 明确系统规划目标企业的 Windows 2003 AD 系统规划构建是为企业信息化建设服务的，需要达到以下战略目标：围绕企业的战略发展需要，进行企业信息化建设系统规划，满足企业 3-5 年的业务发展对 IT 建设的要求；以业务为驱动，通过有效的信息系统，加强信息共享和协同办公，提高工作效率，降低成本；整合企业现有信息资产，加强企业管理与监控；从信息中挖掘知识，提高经

13、营决策与驾驭风险的能力；推进知识管理理念，建立知识型企业，增强企业的核心竞争力。Windows 2003 AD 系统规划实施的具体目标如下：规划和部署基于 Windows 2003 AD 的企业目录服务，首先实现用户的单一登录，保障网络系统安全；通过 AD 实现用户桌面的集中和自动管理，分发软件补丁；进一步部署微软的相关应用平台软件，如实现基于 Exchange 2003 的企业内部邮件和协作服务，2.4. 活动目录设计方案我们为企业设计一个域，用户的所有计算机（服务器和客户机）全部加入

14、到域，用户实现单一登录和管理员通过域组策略实现安全及桌面管理。 AD 架构拓扑如下。3 用户关心问题解答3.1. 活动目录优势1. 计算机工作组管理和 AD 管理比较对于基于 Microsoft Windows 操作系统的计算机运行和管理在两种模式下：工作组(workgroup)和域 (domain)。在工作组模式下，计算机处于一个孤立状态，使用计算机的用户登录帐号和计算机的管理均须在每台计算机上创建或进行。见下图。当计算机超过 20 台以上时，计算机的管理变得越来越困难，并且要为用户创建越来越多的访问

15、网络资源的帐号，用户要记住多个访问不同资源的帐号。而在域的模式下，用户只需记住一个域帐号，即可登录访问域中的资源。并且管理员通过组策略，可以轻松配置用户的桌面工作环境和加强计算机安全设置。域模式下所有的域帐号保存在域控制器的活动目录数据库中。见下图。2. 为什么要提供目录服务 ?对更加强大、透明且高度集成的目录服务的不断需求是由爆炸性增长的网络计算所导致的。随着局域网（L AN）、广域网（ WAN）规模与复杂性的不断提高和这些网络不断被连入 Internet，以及应用程序对网络的依赖程度不断增强并不断被链接到

16、协作企业网中的其它系统上，对目录服务的需求也日渐增多。基于下列原因，目录服务成为扩展的计算机系统中最重要的部件之一：简化管理提供对用户、应用程序和设备的单一、一致性的管理点。加强安全性向用户提供单一的网络资源登录，为管理员提供强大、一致性的工具以使他们能够管理为内部台式机用户、远程拨号用户以及外部电子商务客户提供的安全服务。扩展的互操作性向所有活动目录特性提供基于标准的存取方式以及对通用目录的同步支持。目录服务兼任管理工具和用户工具。随着网络中对象数量的增加，目录服

17、务变得必不可少。目录服务在一个庞大的分布式系统中发挥着网络集线器的作用。致力于这些需求，Windows 2000 服务器版引入了活动目录 -即一套用于改进 Windows 网络操作系统管理、安全性和互操作性的完整的目录服务集。下图描述了活动目录带来的计算机安全和管理上的一些最重要的好处。3. AD 简化了计算机系统管理分布式系统常常导致时间的消耗和管理的冗余。当公司在他们的基础结构上添加应用程序并雇用新的职员时，他们需要适当地向各桌面系统分发软件并管理多个应用程序目录。通过在单一的位置管理用户、组和

18、网络资源以及分发软件和管理桌面系统配置，活动目录可以显著降低公司的管理费用。例如，活动目录在同一个位置管理 Windows 用户和 Microsoft Exchange 邮箱信息。基于下列原因，活动目录可以从以下方面帮助公司简化管理：消除冗余管理任务提供对 Windows 用户账号、客户、服务器和应用程序以及现存目录同步能力进行单一点管理。降低桌面系统的行程针对用户在公司中所担当的角色自动向其分发软件，以减少或消除系统管理员为软件安装和配置而安排的多次行程。更好的实现 IT 资源的最大化安全地将管理功能分派到

19、组织机构的所有层次上。降低总体拥有成本（ TCO）通过使网络资源容易被定位、配置和使用来简化对文件和打印服务的管理和使用。4. 加强安全性强大且一致的安全服务对企业网络而言是必不可少的。管理用户验证和访问控制的工作往往单调乏味且容易出错。活动目录集中进行管理并加强了与组织机构的商业过程一致、且基于角色的安全性。例如，对多身份验证协议（如 Kerberos，X.509 认证以及由灵活的访问控制模型组成的智能卡）的支持实现了对于内部桌面系统用户、远程拨号用户和外部电子商务客户强大且一致的安全服务。活动目录使用以下方法增强安全性：改进了密码的安全性和管理

20、通过向网络资源提供单一的集成、高性能且对终端用户透明的安全服务。保证桌面系统的功能性通过根据终端用户角色锁定桌面系统配置来防止对特定客户主机操作进行访问，例如软件安装或注册项编辑。加速电子商务的部署通过提供对安全的 Internet 标准协议和身份验证机制的内建支持，如 Ke rberos, 公开密钥基础设施（ PKI）和安全套接字协议层（S SL）之上的轻便目录访问协议（ LDAP）。紧密的控制安全性通过对目录对象和构成他们的单独数据元素设置访问控制特权。3.2. 重要组策略介绍1. 软件分发策略通过组策略可以为域中的计算机或用户自动分发带有 msi 包的软件。见下图。2. 将用户的个人数据从 pc 机上重定向到服务器上重定向有利于数据的安全以及集中备份。见下图。

展开阅读全文