计算机域部署实施方案.doc

此文档收集于网络，如有侵权，请联系网站删除域部署实施方案整体规划单域创建OU：Peak计算机：这里是所有计算机的组织架构Peak用户：这里是所有用户的组织架构Servers：服务器群，比如病毒服务器，补丁分发服务器. 不同中心可以设置不同安全策略，以满足不同中心办公需求，通用策略可以设置在根域上，特殊权限在不同中心到部门分别做策略。用户及名称规划所有用户均用用户名及密码来登录域环境，域的加入可以做一个加入域的批处理，用户通过输入自己的用户名和密码既可登录到域服务器。所有接入电脑及用户账号必须严格遵守OU命名规则：即部门+3位流水号，比如人力资源中心第一台电脑，则其计算机名为：HR001。当我们通过一些软件找到病毒机器时可以通过电脑名称快速定位电脑位置，通过唯一计算机命名可以及时联系责任人进行处理；所有用户命名规则，即名字的第一个字母加姓全拼，比如XXX，则其账号命名为：XXX.（特殊如郑斌与郑冰都为bzheng,采取谁先入职谁优先策略，后入职为全拼名字）.各部门计算机及用户加入各部门的组，便于用户管理及根据部门进行不同的策略设置计算机帐户中删除多余用户，仅保留域用户及administrator，重命名管理员帐户，并且强制统一管理员密码，以便日后维护。用户权限及策略规划1. 普通员工用户初始权限添加为power user权限能正常访问本地所有资源，安装软件，后期回收为user权限，受限安装软件，禁止用户修改注册表，禁止修改TCP/IP，禁止修改计算机设置。2. 经理管理级别人员给予为个人 administrator权限账号。3. 如需特殊应用，再给予管理员权限。具体实施1. 需求收集收集各部门工作需要用到的软件，常见的一些机器故障及安装的ERP系统软件。2. 规划规划服务器，用户权限规划。在安装活动目录之前，我们首先要对活动目录的结构进行细致的规划设计，让用户和管理员在使用时更为方便。域的结构遵循简单原则，采用单域模式，人员组织以中心为组织单位加入域中。1.规划DNS 如果用户准备使用活动目录，则需要首先规划名称空间。当DNS域名称空间可在Windows 2003中正确执行之前，需要有可用的活动目录结构。所以，从活动目录设计着手并用适当的DNS名称空间支持它。 2.规划用户的域结构 最容易管理的域结构就是单域。规划时，用户从单域开始，并且只有在单域模式不能满足用户的要求时，才增加其他的域。在一个域中，使用组织单元(OU，Organizational Units)来实现这个目标。然后，可以指定组策略设置并将用户、组和计算机放在组织单元中。 3.规划用户的权限我们给用户那些权限,user（最低权限，不能安装软件），power user（能完成所有任务但不能更改管理员设置）administrator(自身管理员帐号，只是加入域服务器中管控)？需要限制用户使用那些软件用户能够访问那些资源组策略有以下几个比较重要的应用1， 软件分发，分发msi格式软件，非msi格式可通过工具转换2， 软件限制（非办公软件可以使用软件策略进行限制）3， 文件夹重定向，可以把用户资料保存到安全位置4， 管理设置,主要设置一些windows组件相关内容，比如开始菜单显示的内容5， Ie相关设置（信任站点，控件下载，文件下载等）6， 安全设置（帐户策略，系统服务，注册表，文件系统）7， 实现一些脚本的功能（比如分发一些脚本进行MAC地址绑定进行ARP免疫）3. 部署部署客户端可以通过分批对部门加入域（建议前期信息中心运行，然后生产中心，最后稳定铺开部署），分批GHOST，修改SID号部署加入域服务器、dns服务器及文件服务器。后期可以添加WSUS服务器，因为所有台式客户机操作系统基本都为XP，域服务器按规划做好策略，文件服务器做好权限控制。4. 测试部门办公应用在域环境下能否正常使用，安全性方面能否达到预期效果。办公应用：erp、oa、分销系统及需要的系统能否正常登录，打印；office软件能否正常运行；BBS能否正常登录使用;检查所有电脑，如果检测认定安全的直接加入域，如果是HOME版及机器有问题的，重做系统。5. 域备份域的备份主要是通过做备份域，并且通过微软自带的备份工具备份帐户数据等。6. 域组织架构图示7. 普通用户域账号界面图示8. 域成员加入域服务器步骤视频Dem