集团计算机域管理方案

集团计算机域管理方案1. 集团现有的网络环境 就目前集团计算机网络以物理范围上划分大致分为顺德总部，中山区工厂分支，昆山工厂分支和海林工厂分支。另外还有顺德的生态厂，中冠工厂等，与顺德总部 较邻近的分支（这些分支没有常驻网络专员），其次不排除今后的其他工厂分支的加入。逻辑上，中山区工厂，昆山工厂，海林工厂，及生态厂通过VPN连接至顺 德总部，形成逻辑上的一个网络整体。各分支和总部除了以VPN形式存在的工作组模式的网络外，没有其他应用，客户端计算机的管理也没有一个统一。现在需要 加强总部和各分支计算机的管理，故欲部署集团形式的域管理方案。2.部署方案确定 针对目前集团计算机的管理要求：集成化统一管理，所以决定采用单域多站点的形式。单域，满足集成化，统一；多站点，合理管理各个服务器之间的复制和复制开销。（1）AD架构 如图所示：顺德总部建立两台域控制器，分别为主域控制器DC1，和辅助域控制器DC2，中山，昆山和海林各设置一台域控制器，分别为DC3,DC4 和DC5。鉴于物理位置上中冠和生态厂距离总部较近，有网络速度上的优势，直接通过VPN登录总部域控制器验证。若今后其它分支加入，可新增控制器方式并 入总部域。为了方便控制和管理各个分支工厂域控制器的复制，我们通过站点的方式解决这个问题。服务器操作系统方面推荐使用windows server 2003 sp2 .(sp2增强了对站点的管理)因此，我们在顺德总部，中山，昆山，海林分别建立一个站点，然后添加顺德总部到中山，顺德总部到昆山，顺德总部到海林的站 点链接并编辑站点复制。（备注：考虑到站点复制的开销，我们这里只设置各分支到总部的站点间复制，而不设置所有站点间相互复制。可以手动设置复制开销和复 制时间） 为了实现各控制器间的冗余和客户端计算机以及移动用户能本地验证登陆，我们还需在分支工厂的域控制器上建立本地DNS，同时，可以设置顺德总部 DC1,中山DC3,昆山DC4,海林DC5为GC。客户端计算机上，主DNS为各点本地DNS，备用DNS为总部DNS。这样所有的控制器之间都是冗余 状态，且移动笔记本用户无论到哪个工厂都可以实现本地验证登陆，减少登录验证时间，各分支工厂网络专员管理本地计算机网络可以直接对该分支域控制器操作。（2）OU设计 如图：一级OU是以各分支工厂来划分的。OU的名称可以是分支工厂的拼音来命名便于区分。因为GPO应用的最基本容器是OU，将不同分支工厂分别建立不 同OU，增强了GPO链接的灵活性。方便了各分支工厂网络专员根据工厂实际情况来管理计算机。与此同时，更方便了对不同分支工厂网络专员权限的委派。二级 OU的设计分别在各个工厂OU下，建立组-IT，OU-SERVERS,OU-PC,OU-NOTEBOOK,OU-USERS,OU-GROUPS.IT(组)：存放分支工厂网络专员的账号，负责该OU下对象的管理委派权限：1、创建、删除以及管理用户帐户2、重设用户密码并强制在下次登录时更改密码3、读取所有用户信息4、创建、删除和管理组5、修改组成员身份 Servers(OU)：存放各分支工厂服务器计算机账号PC（OU）：存放各分支工厂台式计算机账号Notebook(OU)：存放各分支工厂笔记本计算机账号Users(OU)：存放各分支工厂用户账号Groups（OU）：存放各分支工厂的组主域administrator对整个AD具有最高管理权限，新建一个domain admin，管理域内所有对象。建立各分支工厂网络专员账号，委派其管理各分支工厂OU内的对象。因为组策略的应用关系到整个域的稳定，所以权限不下放， 如果有需求由分支工厂网络专员向总部AD管理员反映处理。之所以设置GROUPS(OU),是为了满足今后文件共享及其他权限的的管理。例如：人力资源中 心需要一个公共磁盘来存放该部门文件，但又不需要其他部门查看，则可以通过建立组的形式来分配权限。（备注：当然，目前我们公司很多职能中心都是通过派驻 形式到各个分工厂，如果总部需要建立一个公共磁盘，让所有人力资源中心同事都能访问，包括分支工厂的派驻专员，则我们只需要在一级OU下新建一个公共组人 力资源中心，然后把各分支工厂的组人力资源中心包含进来，然后分配总部公共组人力资源中心权限即可实现）（3）客户端权限设计 对客户端计算机权限的管理和设计直接影响到整个域的管理。权限过松，管理上显得比较粗放；权限太少，则什么东西都需要管理员才能完成。所以无论权限太多 和太少都将直接涉及到网络管理员的日常工作。默认的添加到域的计算机即DOMAIN USERS组的用户只具有本地计算机的USERS组的权限（权限比较低），因此我们将域用户赋予本地POWER USER组权限。Power user 权限分析： 运行 Windows 2000、Windows XP Professional 或 Windows Server 2003 家族中属于 Windows Logo program for Software 的应用程序和以前的应用程序。 安装不修改操作系统文件的程序或安装系统服务。 自定义整个系统的资源，包括打印机、日期/时间、电源选项和其他“控制面板”资源。 创建和管理本地用户帐户和组。 启动和停止默认情况下不启动的服务。Power Users 不具有将自己添加到 Administrators 组的权限。Power Users 不能访问 NTFS 卷上的其他用户数据，除非他们获得了这些用户的授权。由于域用户上不存在Power users 组，因此我们在添加计算机到域时需要手动添加该用户到本地计算机的Power users组。默认的域用户是能够登录到所有的域计算机的，因此我们还需要设置该域用户帐号只能登陆到指定的计算机。同时默认添加到域的计算机帐号会自动 加入到一个COMPUTER的对象中，因此需要我们手动添加到指定的OU中。对于已经添加到域的用户，且具有本地计算机的Power users的用户在日常的使用中：1， 不具有更改计算机名的权限2， 不具有更改计算机本地连接的权限3， 不具有更改或安装硬件驱动的权限4， 不具有添加和安装打印机驱动的权限（关于其他的更多的具体权限将在今后应用中根据需要修改）所以我们还需要提升Power users的权限：装载和卸载驱动程序权限。也需要在组策略设计中禁用阻止添加打印机驱动策略。这里谈到组策略的设计，就需要说下目前基本的组策略：计算机策略：1， 帐户密码策略（便于设置密码）2， 装载和卸载设备驱动程序（便于安装打印机，扫描仪等常见设备）3， 阻止用户安装打印机驱动程序（便于添加本地和网络打印机）4， 计算机登陆和启动总是等待网络（便于更新GPO）5， 关闭计算机更新（都是D版系统，不必说了）6， 定义计算机防火墙设置（安全方面）用户策略：1， 定义IE首页2， 定义受信用站点等安全区域（例如OA需要对IE的设置）3， 统一部署桌面，禁止修改桌面（统一形象）当然，以上是一些基本的计算机和用户策略，我们还有可以根据需要设置一些计算机优化方便的策略，例如：关机清理虚拟页面文件，禁用自动播放，关闭缩略图缓存，定义任务栏，定义系统设置等等，这里比较广泛，主要是关于系统优化方便。其次还有一些特殊应用，例如：禁用USB存储但可以使用USB设备等等，这些可以通过启动脚本来实现。这里不做过多的阐述。根据今后的应用来灵活修改。关于组策略应用连接，我们在不修改域默认策略，统一集团计算机环境，各分之灵活控制的基础上来实施。即：保持默认策略（便于意外灾难性恢复），一条基本策略（达到统一的目的），多个优化，特殊策略（灵活配置各个不同分之网络的实际情况）分别连接域与OU等对象。客户端计算机命名和用户命名：1， 计算机命名：YB+数字2， 用户命名：地名+部门+数字其实整个客户端设计中，计算机名和用户命名都是次要的，主要是为了方便管理和识别，如果有更直观的方式也可以。3灾难性恢复，系统容错和扩展应用。 前面在谈到域架构的时候，我们所有的域控制器都是冗余的，故任何一台辅助控制器灾难性损坏都能够在不影响其他计算机用户正常使用的情况下迅速恢复，即使 是主域控制器的灾难性损坏，我们也能够及时通过辅助控制器夺取FSMO主机角色，升级到主域控制器来恢复，容错能力非