安东石油域管理建议书V1.0.doc

文件编号： 文件类别：计划类 安东石油技术（集团）有限公司安东石油技术（集团）有限公司 域管理实施域管理实施建议书建议书 中国软件与技术服务股份有限公司中国软件与技术服务股份有限公司 二二七年六月七年六月 安东石油技术（集团）有限公司 域管理建议书 中国软件与技术服务股份有限公司1 文件更改历史记录文件更改历史记录 （文件编号： 版次：v1.0.0）记录编号： 初始信息初始信息 文件名称安东石油技术（集团）有限公司域管理实施建议书 初始版本号v1.0发布日期2007 年 6 月 编写人刘刚批准人姜书安 更改记录更改记录 版本号更改要点修改人审批人批准日期 安东石油技术（集团）有限公司 域管理建议书 中国软件与技术服务股份有限公司2 目目 录录 1 项目概述项目概述 3 1.1项目建设需求.3 1.2项目实施主要思路.3 2windows 2003 活动目录建设活动目录建设.4 2.1域结构设计.5 2.2组织单元及组策略设计.8 2.3特殊用户帐户设置策略.11 3windows 2003 网络服务网络服务.11 3.1dns 服务11 3.2dhcp 服务.14 4项目实施项目实施 15 4.1总部域管理的建立.15 4.2总部域管理的完善.16 4.3集团整体域管理的建立.16 安东石油技术（集团）有限公司 域管理建议书 中国软件与技术服务股份有限公司3 1 项目概述项目概述 1.1项目建设需求项目建设需求 安东石油集团目前局域网内用户不经认证就可随意访问 internet 和局域网内资源，这方便了用户访问网络资源，同时也 带来了安全隐患，因为所有用户的安全级别都相同，对网络资源的 访问权限也都一样，这样有可能使普通用户能够访问到敏感数据。 为提高整个信息系统的安全性和稳定性，需要采用 windows 域管理 模式来实现对局域网用户的集中管理，并对局域网用户合理地进行 安全级别划分及资源访问权限分配，为每个用户建立相应的帐户， 控制该帐户可访问的网络资源，同时对公司领导用户、特权用户及 公司重要部门用户需要加强认证及数据加密工作。此外为加强对用 户端控制，还要将局域网内的客户机操作系统从 win98 等不支持域 的操作系统平滑升级到 winxp 或 win2000。 1.2项目实施主要思路项目实施主要思路 我们将按照“先规划，后实施” ， “边实施、边总结”的原则进 行域管理项目建设，在规划时期，充分调查清楚用户现有情况，制 定详细的实施方案，确定具体的实施步骤，尤其在域控制器上线以 后，在保证服务器端稳定的基础上，将局域网用户有组织、有计划 地纳入域管理模式中，同时保证在整个域管理项目实施时期对用户 安东石油技术（集团）有限公司 域管理建议书 中国软件与技术服务股份有限公司4 的影响降低到最小。 在对项目建设进行规划时，我们将遵循以下原则： 系统的安全性； 系统的可伸缩性； 系统的可冗余性； 方便用户访问资源； 简化管理，节约管理开销。 在 windows 2003 域建设时，建议采用单域的活动目录逻辑结 构，域内通过 ou 实现分层，具体的管理由域中的多个 ou 来完成， 按分层方式进行管理控制，这种结构既考虑到了二级机构独立性,又 考虑到了整个企业的可扩展性。 另外还需完成 dns、dhcp 等网络服务的配置；为完成客户机 操作系统升级工作，同时保证对局域网用户的影响降到最小，我们 将采用“以点带面，分布实施”的方式完成升级工作。下面详述我 们的方案。 2 windows 2003 活动目录建设活动目录建设 为实现用 windows 2003 域来集中管理五矿局域网计算机及用 户，首先要建立活动目录（active directory）这一目录结构。 活动目录是一种可扩展、可伸缩的目录结构，在活动目录中， 管理员和用户可以方便地查找和使用目录信息，使用活动目录会使 安东石油技术（集团）有限公司 域管理建议书 中国软件与技术服务股份有限公司5 网络地规划设计变得更加方便和灵活。 采用活动目录的优势在于： （1）高安全性和易管理性。活动目录不但为目录中的对象（如 用户帐户对象）设置访问权限保护，也允许为对象的属性 设置访问权限保护，同时在活动目录中，系统管理员可以 把部分管理权利分配给其它的用户或用户组。 （2）可扩展性。系统管理员可以在活动目录中建立新的对象类 或为现有的对象类添加新的属性。 （3）多主复制功能。在 windows 2003 域中，各个域控制器都 是平等的，如何一个域控制器都可以维护域的目录信息和 验证用户帐户的登录，在某一台域控制器上产生的新的目 录信息或被修改的目录信息会被复制到其它的域控制器中 去，从而提高目录信息的可用性、容错能力，加快用户登 录时的验证速度。 本项目中 windows 2003 活动目录建设内容主要有： 设计安东石油集团活动目录的架构； 利用活动目录建立统一和完善的用户帐户、权限管理机制； 利用活动目录组策略部署用户设置管理机制； 利用活动目录组策略设置密码安全策略； 安装活动目录过程时，不影响原有帐户的使用。 安东石油技术（集团）有限公司 域管理建议书 中国软件与技术服务股份有限公司6 2.1域结构设计域结构设计 在活动目录的域结构设计中，通常可以采用的两种方案，即单域 结构和域树结构。我们建议分三步进行域管理的实施，即达到一定 条件时进行相应的域管理配置，最终实现网络的完全域管理。 根据安东石油集团发展规划，因此建议采用树域结构，以公司为 单位建立数结构，并按部门分别建立单独的 ou，在各个 ou 内， 根据具体的结构和需要，再建立组帐户和用户帐户。整个系统结构 为两层，便于管理和维护。其域示意图如下图所示： 总部单域 领导部门 用户 部门 财务部门其它部门 用户 用户用户用户用户 用户 用户 部门 用户用户 分公司域 （） （） 图 1 安东石油整体域结构示意图 在这种设计中，安东石油集团总部采用 1 个 windows 2003 域， 在域内用组织单元(ou)反映组织结构。单域结构非常适合 it 管理权 限高度集中的组织机构。具体情况如下： 1、建立一个域（） ，该域可以作为代表集团总部的 域，在活动目录推广到分支机构后，不影响该域； 2、在域内建立一个多层的组织单元结构用来反映集团的 it 管理 安东石油技术（集团）有限公司 域管理建议书 中国软件与技术服务股份有限公司7 权限。 （详细内容参见 ou 设计） ； 3、用户创建和安全策略由集团总部的 it 部门统一控制； 4、域控制器(dc)可以放在总部中心机房。如果分公司成员很多， 比较独立，建议采用新的树，而不是直接加入到集团总部的域。 如果分公司成员不多，同时很依赖集团总部，建议加入到集团总 部的域。 为总部和各地分部建立各自独立的域，将有以下优点： 不同域之间无需复制不必要的数据，在较小网络带宽的限制 下仍能运行良好； 各地的系统管理员被限制在自己的域中进行管理，适应当前 管理模式； 允许定义各自的安全规则。如口令规则，账户锁定规则和用 户权限规则； 因为活动目录是通过 dns 名称来区分各个域的，因此需要设 计一个完善的名字空间。一个特定的 ad 域名和 dns 中的域 名是对应的. 有些组织已经拥有自己的 internet 域名，他们在 部署活动目录时可以采用这个域名，也可以采用不同的域名。 在总部采用单域结构的优点在于： 集中管理整个集团总部的安全策略。 集中管理整个总部的组策略。 完全利用组织单元反映集团的管理结构。 当集团机构重组时可以非常灵活的进行调整，比如加入新 安东石油技术（集团）有限公司 域管理建议书 中国软件与技术服务股份有限公司8 的域。 当资源和用户需要在组织机构内迁移时可以非常灵活的调 整。 相对其它几种方案，可以使用较少的域控制器。 简单的名字空间设计 只需要 1 个 dns 名字后缀. 用户在查找 ad 内的信息时相对简单。 单一的组策略更容易实施。 同时这种域结构的缺点在于： 在 it 系统管理权限相对分散的组织结构中，难以区分“管 理权”； 整个集团总部只能实行一种安全策略，例如统一的口令策 略； 所有的域控制器(dc)都拥有整个 ad 的数据的备份，ad 的任何更改也要反映到域内的所有 dc 上，这对每台 dc 的硬件配置要提出更高的要求，对于 dc 服务器本身的安 全也提出更高的要求。 2.2组织单元及组策略设计组织单元及组策略设计 ou 用于反映管理中的层次化要求，本方案共设计了二层 ou。 1. 计算机/用户：用于反映 it 部门的管理需要。将资源分为用 户，客户机和服务器； 2. 部门：用于反映各部门的管理差异，细分的目的是为了在实 施域管理时进行细化管理及访问权限的划分。 安东石油技术（集团）有限公司 域管理建议书 中国软件与技术服务股份有限公司9 a an nt to on no oi il l. .c co om m (第一层ou按计 算机/用户划分 领导部门人事部门 其他部门 (第二层ou 按部门划分) 用户计算机 注意注意: 建议 ou 层次不要超过 3 层，ou 层次多会对用户登录域 的速度有一定影响，并对 vpn 设备有要求。 在 windows 2003 中，策略是一组规则的集合，这些规则包括 了一般的管理任务，比如用户设置管理、应用软件管理和其它有关 的规则。通过将这些规则（策略）应用于企业用户和计算机，可以 实现自动的用户设置、软件管理和其他一些管理功能，从而降低系 统管理员的管理负担。 为了更有效的实施策略，windows 域提供了对组策略的支持。 也就是说，策略不仅可以作用于特定的用户或者计算机，而且可以 作用于一组用户或计算机。组策略实施的单位是一个“容器”，该容器 中的用户或者计算机都将受到组策略的影响。可以实施组策略的容 器有：域、组织单元和 site。 组策略分为两大类，一类作用于计算机，无论哪一个用户登录， 该计算机都会采用相同的策略；另一类作用于用户，使用不同的用 安东石油技术（集团）有限公司 域管理建议书 中国软件与技术服务股份有限公司10 户账号登录，会实施不同的策略，这些策略与使用那一台计算机没 有关系。 一般说来，与用户关系密切的设置，例如用户的墙纸，开始菜 单，桌面风格、应用软件的管理等等需要采用户组策略，而一些与 具体用户关系不大的策略采用计算机组策略。 设计组策略时，需要同时考虑两个目标： 1. 结构清晰，便于管理和修改。制定组策略时，应该与企业的 组织机构、管理模式相一致，使得管理员可以容易的对组策 略进行维护和修改。 2. 高效。组策略的实施会对机器启动的时间产生一定的影响， 我们必须加以考虑。我们应该尽量减少组策略对登录时间的 影响。 为了满足设计目标，可以遵循以下原则： 1. 采用组织机构和职务相结合的方法定义组策略，首先为不同 的 ou 制定各自的组策略。 2. 组策略的内容应该尽量的简单。 3. 每一个 ou 应用的组策略应该维持在一个合适的数目（不超 过 3 个） 。我们会按照上述原则进行具体的设计。 安东石油集团的主要组策略集中于安全管理，资源管理等方面， 安东石油技术（集团）有限公司 域管理建议书 中国软件与技术服务股份有限公司11 我们根据集团各个机构不同的要求进行特性化的设计。 2.3特殊用户帐户设置策略特殊用户帐户设置策略 某些特殊帐户可能需要访问敏感数据，可先建立单独的 ou，在 此 ou 下建立各特殊帐户，并配置相应的权限。 有的用户可能为临时访问帐户，也可建立单独的 ou，在此 ou 下建立临时帐户，并配置较小的访问权限。 3 windows 2003 网络服务网络服务 3.1dns 服务服务 在计算机网络中，主机标识符分为三类：名字、地址及路径。而 计算机在网络中的地址又分为 ip 地址和物理地址，但地址终究不易 记忆和理解。为了向用户提供一种直观的主机标识符，tcp/ip 协议 提供了域名服务（dns） 。 dns 的引入是与 tcp/ip 协议中层次型命名机制的引入密切相关 的。所谓层次型命名机制是指在名字中加入结构信息，而这种结构 本身又是层次型的。例如，dns 是以根和树结构组成的。 层次型命名的过程是从树根(root)开始沿箭头向下进行,在每一处 选择相应于各标号的名字,然后将这些名字串连起来,形成一个唯一代 表主机的特定的名字。例如：安东石油有一台 oa 服务器，dns 名 为 oa.。这里范围最小的是“oa”，仅仅是指安东石油 安东石油技术（集团）有限公司 域管理建议书 中国软件与技术服务股份有限公司12 的这个邮件服务器，其次是“antonoil”，代表安东石油的域名，再次 是“com”，它表示前面的域是属于公司、企业等类别。这样一个层次 关系，就将安东石油的这个 oa 服务器准确的表达出来了，并且这 个地址是唯一的。 当 dns 客户端向 dns 服务器查询地址后，或 dns 服务器向另 外一台 dns 服务器查询 ip 地址时，它总共有三种查询模式。 递归查询：也就是 dns 客户端送出查询要求后，如果 dns 服务器内没有需要的数据，则 dns 服务器会代替客户端向其 他的 dns 服务顺查询。 循环查询：一般 dns 服务器与 dns 服务器之间的查询属于 这种查询方式。当第一台 dns 服务器在向第 2 台 dns 服务 器提出查询要求后，如果第 2 台 dns 服务器内没有所需要的 数据，则它会提供第 3 台 dns 服务器的 ip 地址给第 1 台 反向查询：可以让 dns 客户端利用 ip 地址查询其主机名称。 dns 和活动目录的结合是 windows 2003 server 的最主要特点， dns 域和活动目录域对不同的名字空间使用同一样的域名。每一个 windows2003 域都有一个 dns 名字，并且每一个 windows2003 域中的计算机也都有一个 dns 名字，因此，域和计算机即代表活动 目录对象，又代表域节点。 dns 可以独立于活动目录，但是活动目录必须有 dns 的帮助才 能工作。为了活动目录能够正常的工作，dns 服务器必须支持服务 安东石油技术（集团）有限公司 域管理建议书 中国软件与技术服务股份有限公司13 定位（srv）资源记录，资源记录把服务名字映射为提供服务的服 务器名字。活动目录客户和域控制器使用 srv 资源记录决定域控制 器的 ip 地址。除了要求 windows2003 网络的 dns 服务器支持 srv 资源记录外，建议 dns 服务器提供对 dns 的动态升级。dns 动态升级定义了一个 dns 服务器在一定值内自动升级的协议，如果 没有此协议，管理员不得不手动配置域控制器产生的新的记录。新 的 windows2003 dns 服务即支持 srv 资源记录，又支持动态升 级。 正是因为 dns 与活动目录有如此紧密的联系，所以在域中安装 活动目录的时候，如果没有 dns 服务器，windows2003 会强制要 求安装一个与活动目录结合的 dns，并且这个 dns 支持 srv 和动 态升级。 win2003 的 dns 服务器内总共支持三种区域类型： 标准主要区域：主要区域就是用来存储域内所有主机数据的 正本。 标准辅助区域：用来存储此区域内所有主要数据的副本。 active directory 集成的区域：将此区域的主要数据存储在域 控制器的活动目录内，数据会自动被复制到其他的域控制器 内。 由于安东石油采用 windows2003 的活动目录管理用户信息，所 以域控制器同时也扮演了 dns 服务器的角色，即安东石油的 dns 服务器都是属于 active directory 集成的区域的类型，在一台 dns 做的修改会随活动目录的信息复制传递到其他域控制器中的 dns。 安东石油技术（集团）有限公司 域管理建议书 中国软件与技术服务股份有限公司14 3.2dhcp 服务服务 动态主机分配协议（dhcp）是一个简化主机 ip 地址分配管理 的 tcp/ip 标准协议。用户可以利用 dhcp 服务器管理动态的 ip 地址分配及其他相关的环境配置工作（如：dns、wins、gateway 的设置） 。 在使用 tcp/ip 协议的网络上，每一台计算机都拥有唯一的计算 机名和 ip 地址。ip 地址（及其子网掩码）使用与鉴别它所连接的主 机和子网，当用户将计算机从一个子网移动到另一个子网的时候， 一定要改变该计算机的 ip 地址。如采用静态 ip 地址的分配方法将 增加网络管理员的负担，而 dhcp 可以让用户将 dhcp 服务器中的 ip 地址数据库中的 ip 地址动态的分配给局域网中的客户机，从而 减轻了网络管理员的负担。用户可以利用 windows 2003 服务器提 供的 dhcp 服务在网络上自动的分配 ip 地址及相关环境的配工作。 在使用 dhcp 时，整个网络至少有一台 windows 2003 服务器 上安装了 dhcp 服务，其他要使用 dhcp 功能的工作站也必须设置 成利用 dhcp 获得 ip 地址。 安东石油 dhcp 动态分配地址将按照以下原则： 对所有服务器、网络设备、internet 连接和 dmz 部分需要 ip 地址的设备、主机采用静态分配 ip 地址的方式。 安东石油技术（集团）有限公司 域管理建议书 中国软件与技术服务股份有限公司15 对局域网接入的计算机，采用 dhcp 动态 ip 地址分配的方 式。 dhcp 服务比较耗费系统资源，所以在安装时尽量避免将 dhcp 服务安装在域控制器中，应使用一台域成员服务器提供 dhcp 服务。如果资源确实紧张，则建议将 dhcp 服务安装在备份 域控制器中。 4 项目实施项目实施 根据安东石油集团的现状，我们建议整个域管理实施采用三步 进行。 4.1总部域管理的建立总部域管理的建立 在第一步中，由于现在安东石油集团公