AD部署实施方案

天津光大永明人寿保险公司 Windows 2000活动目录部署实施方案2003年2月12日总部的实施域控制器的安装与设置在这一步，主要是实现基本的活动目录架构，并创建相关用户帐号，具体步骤如下：首先在准备作为域控制器的两台计算机上安装Windows 2000 Server操作系统，在此先假定两台计算机的名称为DC1和DC2，实际名称由客户确定；配置DC1和DC2的网络，使其网络通信正常，并配置正确的DNS选项；在DC1上使用Active Directory安装向导（由dcpromo.exe启动）创建新的活动目录域，命名为SunL（建议的域名）；在DC2上使用Active Directory 安装向导将DC2升级为SunL域中的另一台域控制器；为总部下属的人力资源、财务、IT等部门和各职场创建对应的OU；为总部用户在用户所属组织机构对应的OU中创建用户帐号，并限制用户只能登录到指定的计算机；把结构操作主机（Infrestructure Master）转移到DC2上。DHCP服务器的安装和设置在这一步，将要安装并配置DHCP服务器，具体步骤如下：安装一台新的Windows 2000 服务器，命名为Dhcpsrv。如果没有新的服务器可用，则用DC2作为DHCP服务器；设置计算机Dhcpsrv（或DC2）的网络连接，使其网络通信正常，并配置正确的DNS选项； 在计算机Dhcpsrv（或DC2）上安装DHCP服务，并为对应的子网创建相关的作用域（地址范围）；配置相关的作用域选项，并激活所有的作用域；在活动目录中授权DHCP服务器。客户端的配置在这一步，将要把所有总部的客户端加入S域中，具体步骤如下：配置路由器作为该网络段的DHCP中继代理；配置客户计算机的网络连接，使其自动获得IP地址及相关选项；将计算机加入到域中；配置保留原有用户的桌面设置。安全策略的实施在这一步，将要在S域中实施相关的安全策略，设置的内容有：限制在域控制器上登录的用户；设置好共享文件夹和应用程序的使用权限；在域控制器及其他重要的计算机上启用审核策略，对用户的访问情况进行跟踪；在域控制器上停止或删除不必要的网络服务（如IIS服务）；Guest帐号不能启用。设置帐号策略，包括帐号口令的最小长度、口令复杂性、口令的最长使用期限、口令历史等项；设置复杂的管理员帐号（Administrator）的密码职场的实施域控制器的安装与设置在这一步，主要是实现职场的活动目录架构，并创建相关用户帐号，以职场一为例，具体步骤如下：首先在准备作为域控制器的计算机上安装Windows 2000 Server操作系统，命名为zhichang1DC1；配置zhichang1DC1的网络，使其网络通信正常，并配置正确的DNS选项；在zhichang1DC1上使用Active Directory安装向导将zhichang1DC1升级为SunL域中的另一台域控制器；在职场对应的OU中创建用户帐号，并限制用户只能登录到指定的计算机；在zhichang1DC1上安装DNS服务并配置DNS区域，维护SunL域；设置zhichang1DC1为GC。客户端的配置在这一步，将要把职场中的客户端加入域S中，具体步骤如下：配置路由器作为该职场的DHCP中继代理；配置客户计算机的网络连接，使其自动获得IP地址及相关选项；将计算机加入到域中；配置保留原有用户的桌面设置。安全策略的实施在这一步，将要在域S和职场OU中实施相关的安全策略，设置的内容有：限制在域控制器上登录的用户；设置好共享文件夹和应用程序的使用权限；在域控制器及其他重要的计算机上启用审核策略，对用户的访问情况进行跟踪；在域控制器上停止或删除不必要的网络服务（如IIS服务）；活动目录物理结构的配置活动目录物理结构的调整主要在总部实施，所要做的工作有：为每个职场建立站点为每个站点建立子网在每个站点中设置授权服务器创建并设置站点间连接需要协调的事情DHCP 服务器是否安装在域控制器上；总部和各职场域控制器的命名问题。部署ISA对用户基于WEB的流量进行认证将现有的CISCO PIX的INBOUND和OUTBOUND进行调换，重新根据需求配置PIX的访问规则，实现两个目的：开放DC之间通讯应开放的端口；开放DHCP流量（UDP 67，68）；各职场客户机访问总部服务器资源的限制；各职场客户机访问互联网资源的限制。在现有的Checkpoint防火墙之后，部署一台加入到域的Windows 2000服务器，并在其上安装ISA Server 2000为Cache模式。配置对HTTP,HTTPS和FTP的通讯进行域身份认证。实现对HTTP、HTTPS、FTP三种协议的代理功能;实现对域身份的认证;实现对各职场客户机访问互联网资源的限制。在现有的Checkpoint防火墙之上调整访问规则。调整原有规则，满足总部的需求；允许ISA主机和其他必要的主机使用HTTP,HTTPS和FTP外出访问。在外部各职场的客户机上配置IE浏览器的代理为ISA。注：对Checkpoint和PIX的配置由原集成商完成，我公司负责ISA的安装配置。时间安排时间工作任务备注第一个工作日上午1. 总部第一台DC的安装；2. 总部第二台DC的安装。3. 安装一台加入域的WIN2000服务，以备安装ISA。下午1. 操作主机角色的分配；2. 用户帐号的建立；3. 域和域控制器安全策略的建立。4. 安装、配置ISA第二个工作日上午1. DHCP服务的安装和调试；2. 路由器、交换机上有关DHCP的设置。第2项任务可能需要相关硬件厂商工程师的配合。下午1. 把客户端加入到域；2. 设置客户端的用户桌面。3. 在客户端测试ISA的代理功能以前客户端的用户桌面要尽可能保留。第三个工作日上午1. 继续客户端的工作；2. 对总部已经完成的工作进行联调测试。可能会发现一些问题，解决这些问题可能需要甲方工程师或厂商工程师的配合。下午1. 对总部有关人员进行针对此项目的培训；2. 为开始职场的工作做准备。第四个工作日上午1. 在第一个职场安装DC；2. 设置活动目录的复制策略。在职场安装DC和把职场的客户端加入到域时，可能会出现一些与防火墙的设置有关的问题，解决这些问题可能需要甲方工程师或厂商工程师的配合。下午1. 把该职场的客户端加入到域；2. 设置客户端的桌面环境；3. 在客户端测试ISA的代理功能；4. 对该职场的有关人员进行培训。第五个工作日上午1. 在第二个职场安装DC；2. 设置活动目录的复制策略。下午1. 把该职场的客户端加入到域；2. 设置客户端的桌面环境；3. 在客户端测试ISA的代理功能4. 对该职场的有关人员进行培训。第六个工作日上