管理知识企业域管理实施方案

1、深圳*有限公司 活动目录解决方案二0二0年四月二十五日1 概述1.1 背景介绍本解决方案将从公司的 IT 环境现状出发，分析现有环境，提出公司关心的关键问题， 并根据相关问题详细阐述对应解决方案， 解决公司所碰到的问题， 以信息技术提升企业生产 力。1.2 现状描述当前国内企业内部网络环境多数仍为松散的管理状态， IT 环境中硬件设备伴随着组织 中人员数量的增加每年都在增长， 大力的信息化建设使硬件和应用软件单纯从技术层面上讲 都达到了较高的水平， 但实际环境中无论是工作用桌面计算机还是服务器都是采用工作组模 型，各自独立。 IT 环境中的软硬件资源都无法实现充分利用。经历了一定的网络和硬件投

2、资建设之后， 多数企业的信息技术部门开始转向关心信息化 建设投资的“效益” ，究竟过去投入建成的这些设备，能够形成哪些应用，带来什么效 益？这已经成为信息技术部门与企业管理人员最为关心的重点问题。从信息技术部门人员来说， 如何整合公司现有 IT 环境中的资源， 将 IT 环境的管理由松 散方式变为集中管理的方式，减轻日常管理维护负担，提升 IT 生产力。从最终用户来说， 如何能够实现单一的身份验证， 快速的访问企业内部的各种资源， 较少的当机时间也是最大 的愿望。1.3 问题分析现有公司内部的 IT 环境是逐步建立起来的，而且在早期建立时由于没有整体架构的科学指导，导致目前的松散型IT环境越来

3、越 臃肿”，客户端、服务器各自独立，形成一个个信 息“孤岛 ”，无法统一管理。在松散型管理的系统网络环境中，一旦某个节点出现问题需要定 位出现问题的位置， 并需要繁琐费时的恢复过程来实现修复。 进销存软件及各种应用软件的 大规模部署需要相关人员在各个计算机上逐一手工安装，极大耗费人力与时间。企业内部的各种资源存在于员工的客户端桌面计算机，服务器，以及其他各种设备之中，用户需要获取相关资源需要首先确定资源在哪一台计算机中，并且要针对不同资源提供不同的登录凭据（如用户名 / 密码等）来访问。另外存在数据资源重复现象，造成硬件资源的不 合理占用。2 总体功能需求随着以上阐述的问题在企业内部 IT 环

4、境中越来越突出，企业存在以下需求：2.1 集中的组织与管理网络内的服务器及客户端通过对网络内的服务器与客户端计算机进行集中式的管理，有助于消除早期“松散型”管理带来的安全漏洞及其他影响IT系统稳健运行问题，能够保证企业制订的IT管理规范可以通过计算机的逻辑方式派发给各个被管理的节点， 并且通过集中管理的模式可以有效降低 客户端的维护工作量。2.2 统一的数据组织与资源管理实现统一的数据组织， 如共享文件夹的发布等， 并且能够提供较为简单的信息检索方式， 快速查询并定为所需的各种资源， 实现资源的高效利用。 另外统一的数据组织与资源管理可 以有效减少数据冗余与资源浪费，减轻 IT环境的维护难度，

5、提升企业生产力。2.3 单一登录的网络环境企业内的普通员工计算机应用能力有限， 如何使员工一次登录计算机后就可以访问其有 权限访问的各种资源是提升生产效率， 对于普通员工来说更能感受到应用信息技术能够带来 更加快捷的工作效率，有助于提升信息系统的使用率。2.4 集中化的软件部署与运行限制企业希望在大规模部署某个应用软件时可以避免手工逐一安装的低效率模式，而采用服务器 /客户端的网络分发模式，并能对软件的版本更新做到一定控制，并且可以制定哪些软 件可以被安装在哪些用户的计算机上。 通过对软件的运行限制， 限制客户端计算机上所运行 的应用软件， 使工作用计算机仅可以运行特定应用程序， 与工作无关的

6、应用程序将会被禁止 运行，提升系统安全性与最大化企业IT系统效能。2.5 功能强大并易于扩展的 IT 基础架构企业希望现有的 IT 基础架构能够提供较强的功能，如安全的身份验证，资源整合，软 硬件集中监控、管理等，并且希望该基础架构支持较多的上层应用，具有较强的可扩展性，2在未来的几年中可以在现有底层IT架构上实现更多的价值。实现IT投资的保值。3 解决方案建议基于上述情况，结合国内外企业信息化的发展趋势和经验，同时参考IT 技术的现有能力和发展走向，信息部将为公司统筹安排、统一规划，通过分步实施、集中建设的方式，构 建一个集中、统一、互联互通高可管理性的基于活动目录的企业核心IT基础架构。3

7、.1 概念描述活动目录是 Windows Server 网络体系结构中一个基础且不可分割的部分。它提供了一 套为分布式网络环境设计的目录服务， 使得组织机构可以有效地对有关网络资源和用户的信 息进行共享和管理。 另外，目录服务在网络安全方面也扮演着中心授权机构的角色， 从而使 操作系统可以轻松地验证用户身份并控制其对网络资源的访问。“基于活动目录的网络基础架构” 建设方案中， 不仅要建设一系列丰富的， 互联的底层 基础架构， 同时还将构建集中统一的软件基础设施、 完整互通的基础数据库， 无缝整合现有 信息应用系统，并建立“企业信息技术基础架构 活动目录”与外部信息系统的互联互通 机制。3.2

8、建设内容根据“基于活动目录的网络基础架构”的建设定位，我们设计了“基于活动目录的网络 基础架构”的整体功能框架，为实现“基于活动目录的网络基础架构”的建设目标提供应用 功能基础。3.2.1 建立基础平台选择合适的硬件及软件来准备用于目录服务的服务器， 硬件性能要尽量强劲， 以满足日 后日益增加的客户端连接处理数量； 软件要尽量选择较新版本， 以获取最新的技术支持及更 多新特性。3.2.2 整合现有信息技术环境整合现有信息技术环境， 就是将客户端与服务器由现有的工作组模式的环境平滑迁移至3基于活动目录的域模式， 统一管理及身份验证信息， 将信息统一由服务器发布， 减少信息孤 岛，增强信息技术易用

9、性和安全性。3.3 建设策略“企业信息技术基础架构 活动目录” 的建设， 是一项建设完成后需要长期稳定使用的 工程， 为保证域控实施的成功，我们将遵循“总体规划、分步实施、关注重点、解决问题” 的思路， 从“总体规划” 做起， 规划域的功能应用； 对规划好的功能应用， 采取“分步实施” 的策略，按照“关注重点、解决问题”的原则，不仅要建设一个好的基础平台，还要保证域 控的稳定实施。在实施的过程中，及时的解决所碰到的问题。解决方案实施3.4 AD 域命名和 DNS 的规划AD 域名： *.comDNS:建立DNS服务器，配置 DNS服务。3.5 确定 AD 逻辑结构Windows 2003活动目

10、录的逻辑结构由三个基本组件组成：森林、域和OU，我们计划采取单森林单域的方式建立域控服务器。3.6 规划 OU 结构组织单元（OU）是一个用来在域中创建分层管理单位的容器。在域控中将会按照部门 进行划分，暂时分为：总经办、人力资源部、信息技术部、财务部、品质部、商品部、培训 部、策划部、客服部、形象推广部、生产技术部、采购部、设计部、等，以后如有调整，按 调整增加。3.7 计算机名规则暂时采用部门名称简写（拼音首字母）加使用者开机用户名（姓全拼+名拼音首字母）的方式对电脑进行命名 ,中间用横杆隔开，闲置机器暂时不加入域内，比如：信息技术部： 彭富强焕 则计算机名为： xxjsb-pengfq3

11、.8使用者开机用户名规则 使用者的开机用户名为：三个字以上者：使用者的姓拼音全拼加上名的拼音首字母。女口：彭富强pen g+fq=pe ngfq两个字：使用者姓的全拼加上名的全拼女口：何斌he+b in=heb in注：如遇上用户名相同者在开机用户名后加数字如：pen gfq01，以示区分。为了保证计算机的安全，所给的用户名全为受限用户，一些特殊用户除外。3.8硬件设备安排为实现 Windows 2003 AD系统的部署实施，需要配置三台服务器：Windows 2003 AD主域控制器：1台，同时兼作 DNS服务器；146GB sas硬盘：使 用2个硬盘，实施镜像（RAID-1） IBM X3650 M3服务器。Windows 2003 AD备份域控制器：1台，同时兼作DNS服务器；采用IBM x3650 M3 或者用稳定性好的品牌电脑代替。分布式文件服务器：1台，存放共享文件，采用高性价比的网络附加存储（NAS）。3.9实施安排为了保证域控稳定安装实施，我们计划采用分步的方式进行推广布署域控服务器，先对一到两