中型企业Active Directory 设计部署系列

1、中型企业Active Directory 设计部署系列一 子网划分这篇系列文章我也是工作之余抽时间写的，我会尽快的写完，有的地方可能不会写得太详细。如果有纰漏或错误的地方，请及时指出。AD的理论知识和实际操作技巧大多数朋友想必都很熟悉了，不熟悉的朋友建议先把理论知识学好再来看这个系列的文章。公司概况公司简单介绍：OS公司是一家电子制作型企业，通过公司的运营和管理，发展迅速，现以拥有三家分公司，员工人数已经有10000人左右。为了满足公司未来的发展和企业运营的需求，公司决定重新部署企业的网络。公司计划部署一个以AD为基础架构的信息系统用于完成企业的资源共享和数据通信。下面是OS电子公司的分布图：

2、下面是OS电子公司IT部门的职能划分图根据OS公司管理模型和其它状况决定采用单域多站点的结构来进行AD部署；在设计部署AD之前首先要规划好IP地址的划分，子网的划分原则：，为每个分公司分配一个子网，子网数必须能满足今后的发展需求保证以后有足够可用的子网，每个子网有足够的可用Ip地址。根据公司的现状，以及考虑以后的发展规模决定用一个B类地址来划分子网。下面是子网划分图每个子网的掩码是一共可以划分64个子网，每个子网有1022个可用IP，可以满足以后的发展需求。下面是每个公司网络的IP划分规则、每个网络前1-100为用于服务器规划，如珠海总公司保留，用于服务器IP地址的划分。、每个网络前101-1

3、50用于交换机和网络打印机地址规划，如珠海总公司用于交换机和网络打印机地址规划。、每个网络最后一个254地址用于路由器，如珠海总公司用于和分公司连接的路由器地址。、剩下的IP地址用于客户端，或分公司IT自己划分，如珠海总公司用于客户端。以上的IP划分规则所有分公司IT必须严格执行。好了，第一篇IP的划分就先写到这吧。中型企业Active Directory 设计部署系列二 站点的设计在设计站点之前先定义一下AD里对像的命名规则吧。简单的说就是要对AD里的对象制定一套命名规则，每个公司IT部门都要严格按这套命名规则来对自己创建的AD对象进行命名。下面写得不太详细但太概的意思就是这样。域的名字：o

4、s.ad域的功能级别：windows server 2003站点命名：地点前两个字母+公司简称，如：珠海总公司（ZHOS），广州分公司（GZOS），南昌分公司（NCOS）；服务器的命名：地点前两个字母+OS（公司简称）+服务器角色两个字母+IP地址（不足2位前面用0填充），让人通过名字就知道这台DC是那个分公司的，IP是多少。如珠海的DC（ZHOSDC02），重庆DC（CQOSDC02）客户端PC的命名：地点前两个字母+OS（公司简称）+W（Workstations的意思）+3位数字编号（不足前面用0填充），如珠海的客户端ZHOSW001,广州的客户端GZOSW001；用户登录帐号的命名：地点

5、前两个字母+OS（公司简称）+U（Users的意思）+3位数字编号（不足前面用0填充）,如珠海用户ZHOSU001,广州用户GZOSU001；共享打印机的命名：地点前两个字母+OS（公司简称）+P（Printer的意思）+3位数字编号（不足前面用0填充）,如珠海的打印机ZHOSP001,广州的打印机GZOSP001；下面进入我们的主题站点的规划，不理解站点的朋友请详细阅读这篇文章 “深刻理解站点和复制（实现站点以管理AD中的复制）”:下图是公司整个站点及站点复制规划图AD的FSMO角色规划在珠海总公司，珠海总公司站点（ZHOS）用了3台DC，其中2台用于本地用户的身分验证，1台用于与其它站点间

6、的AD数据复制；在OS分公司中每个站点都设计了2台DC用于冗余，定义了桥头服务器和至少一台GC。AD冗余的具体操作请参考这篇文章:“ AD/DNS/DHCP/WINS冗余部署实例”为么要划分站点？很简单两个原因：1、优化AD的复制；DC之间要同步AD数据，假如不划分站点，这个同步每时每刻都在进行，而且数据是不压缩的。如果划分了站点就可以控制站点到站点间的AD复制。2、 优化客户端的登录，当划分了站点以后，DNS会替客户端找本站点内的DC，这样就加快了身份验证过程。经过上面的规划和配置后OS公司用户的身份验证都会 点本地站点内的DC完成，比如说，广州分公司的用户会去GZOS站点内的DC去做身份验

7、证，南昌分公司的用户会去NCOS站点内的DC去做身份验证。现在大家明白之前为什么要去划分IP子网了吧？其实AD站点的划分就是通过IP子网来实现的，在划分AD站点之前首先要规划好你的网络地址。什么是站点内？什么是站点间？大至可以这么去理解，站点内是由一组高速带宽连接的网络，站点间是由一组低速带宽连接的网络。1、站点内的复制在站点内进行的目录更新可能对本地客户端产生最直接的影响，因此站内复制可实现速度优化。站点内的复制根据更改通知而自动进行。当在某个域控制器上执行目录更新时，站内复制就开始了。默认情况下，源域控制器等待 15 秒钟，然后将更新通知发送给最近的复制伙伴。如果源域控制器有多个复制伙伴，

8、在默认情况下将以 3 秒为间隔向每个伙伴相继发出通知。当接收到更改通知后，伙伴域控制器将向源域控制器发送目录更新请求。源域控制器以复制操作响应该请求。3 秒钟的通知间隔可避免来自复制伙伴的更新请求同时到达而使源域控制器应接不暇。 对于站点内的某些目录更新，并不使用 15 秒钟的等待时间，复制会立即发生。这种立即复制称为紧急复制，应用于重要的目录更新，包括帐户锁定的指派以及帐户锁定策略、域密码策略或域控制器帐户上密码的更改。2、站点间复制：可用带宽有限且可能不可靠所有站点间的复制流量都经过压缩更改的复制将按手动定义的计划进行Active Directory 处理站点之间的复制（或称站点间复制）与

9、处理站点内的复制所用方法不同，因为站点之间的带宽通常是有限的。Active Directory 信息一致性检查器 (KCC) 使用开销最低的跨越树设计建立站点间复制拓扑。站点间复制被优化为最佳的带宽效率，并且站点之间的目录更新可根据可配置的日程安排自动进行。在站点之间复制的目录更新被压缩以节省带宽。下面出个题目考考大家，假如你是珠海总公司员工，带着你的笔记本电脑去南昌分公司出差，到了分公司以后，接入分公司网络这个时候你的身分验证是在那里完成的？中型企业Active Directory 设计部署系列三 AD架构的设计（上）回答上一篇的问题，答案是：在南昌的其中一台DC完成身份验证。分析：珠海员工

10、到南昌分公司出差办公当笔记本接入南昌分公司的网络后南昌分公司的DHCP服务器会为它分配一个属于南昌网段的IP地址，并配置南昌分公司的DNS及网关地址，然后DNS会去查询本地的DC，最后在本地DC上对用户进行身份验证。下面进行OS公司的AD的架构设计图从图 里我们可以看出Administrator用户对域有最高的权限，是整个AD的管理员，在大中型企业里如果AD靠管理员一个人去管理维护肯定是不可能的特 别是有分支机构的企业，因此需要把部分权限委派出去。委派的权限不能过高，因为AD是公司的基础架构，很多应用都是基于AD的，如果AD发生崩溃在大中型 企业里后果是不可想象，为了减少AD的崩溃和出错在权限

11、设计方面一定要设计严格的管理权限，制定出在AD里对象的操作规则。AD的结构主要是根据自己企业的实际情况和管理方便来划分下面只是一个实例仅供参考。第一级划分考虑到OS公司在未来的几年发展只限于国内发展，国外暂不考虑，结合中国地理位置第一级OU按省份来划分。OS公司在3个省内有公司第一级划分三个OU分别是GD(广东）、JX（江西)、SC(四川）未来在别的省份发展分公司还可以断续增加省份OU。在第一级OU中设计了一个Groups的OU这个OU主要用于存放OS公司的一些公共组,这个设计主要是为了便于管理。举个例子：总部有一份报表需要给珠海总公司、广东分公司、南昌分公司等各分公司的财务人员查看和修改，如

12、果你是IT管理者该如何做？最佳的解决方法：          1、要求各公司IT管理员创建一个本地的财务组，如珠海ZHOS-Finance-Dept、广州GZOS-Finance-Dept，南昌NCOS-Finance-Dept等，自己本公司的所有财务人员加入到本地创建的财务组；          2、总部管理员在Groups创建一个OS-Finance-Dept财务公共组，把各公司的财务组如珠海ZHOS-Finance-Dept、广州 GZOS-Finance-Dept等加

13、入到OS-Finance-Dept财务组；                          3、创建一个文件夹，把查看和修改权限赋予OS-Finance-Dept。                 第二级划分第二级划分主要根据OS公司的结构来划分，根据所在的省份在一级OU下为每个公司划分一个OU，每个OU委派给各公司

14、IT主管进行管理。从图里可以看出，每个公司的OU下都有一个组，这个组的用户对这个OU下面的对象负责管理，AD管理员把各公司的IT主管分别加入到相应的组里面。对每个公司的OU委派下面几个权限：1、创建、删除以及管理用户帐户2、创建、删除以及管理计算机帐户3、重设用户密码并强制在下次登录时更改密码4、读取所有用户信息5、创建、删除和管理组6、修改组成员身份7、生成策略的结果集(计划)8、生成策略的结果集(记录)好了先写到这里吧，累了休息休息。问题：假如我是南昌的IT管理员可以在一级OU上创建AD对象吗？可以对重庆的进行管理吗？中型企业Active Directory 设计部署系列三 AD架构的设计

15、（下）解答上篇的问题：假如我是南昌的IT管理员可以在一级OU上创建AD对象吗？可以对重庆的进行管理吗？答：1、不能在一级OU上创建AD对象，因为没有被授权；     2、不能对重庆OU进行管理，因为没有被授权；前面我们根据地点和公司划分了二级OU，下面我们再针对每个公司继续划分OU。每个公司的OU架构共设计了两个方案，下面我们先看看二个方案的架构图。方案一：方案二：公司OU划分没有一定结构，原则是根据公司的实际情况来划分，怎么样管理方便就怎么样划分。第一个方案简单明了，把相应的对象放入相应的OU再进行策略管理；第二个方案也不错，在管理上划分得很细，但相应

16、的也增加了管理的复杂度；根据公司的实际情况，为了简化管理决定采用第一个方案，强化总公司的IT管理，减少AD的维护量，保障公司OU架构的统一性和可靠性所有公司都统一采用这一架构，并为公司里的每一个OU委派权限给分公司的IT管理员。具体的OU委派权限如下：IT:作用：此OU委派给总公司IT管理员创建和存放分公司的IT用户和组委派权限：1、创建、删除以及管理用户帐户2、重设用户密码并强制在下次登录时更改密码3、读取所有用户信息4、创建、删除和管理组5、修改组成员身份6、生成策略的结果集(计划)7、生成策略的结果集(记录)Groups:作用：委派给分公司IT管理员创建和存放本地分公司的用户组委派权限：

17、1、创建、删除和管理组2、修改组成员身份Users:作用：委派给分公司IT管理员创建和存放本地用户帐号委派权限：1、创建、删除和管理组2、重设用户密码并强制在下次登录时更改密码3、读取所有用户信息4、修改组成员身份5、生成策略的结果集(计划)6、生成策略的结果集(记录)Servers:作用：委派给分公司IT管理员创建和存放本地服务器计算机帐号；委派权限：1、创建、删除以及管理计算机帐户2、生成策略的结果集(计划)3、生成策略的结果集(记录)Mobiles:作用：委派给分公司IT管理员创建和存放本地笔记本计算机帐号；委派权限：1、创建、删除以及管理计算机帐户2、生成策略的结果集(计划)3、生成策

18、略的结果集(记录)Workstations:作用：委派给分公司IT管理员创建和存放本地普通计算机帐号；委派权限：1、创建、删除以及管理计算机帐户2、生成策略的结果集(计划)3、生成策略的结果集(记录)中型企业Active Directory 设计部署系列四 组策略的设计经过前面的工作OS公司的AD架构已经设计好了，下面进行组策略的设计。设计组策略的目的是管理用户和计算机，通过组策略可以配置管理一群用户和一群计算机的使用环境，因此需要根据公司的实际情况和管理环境来进行设计。先看下面的两张设计图吧设计图一设计图二1、组策略分为计算机策略和用户策略，在设计组策略时最好把这两样分开；2、合理的优化组策略，有助于加快客户端处理组策略的速度和排错，比如说你有一条策略是针对计算机的那完全可以把用户策略这一块禁用掉，如果是用户策略则可以把计算机策略这块禁掉。3、尽量减少组策略的使用数量，组策略是一样好东西，但不要乱用，刚学习组策略的朋友很喜欢在自己的AD里使用大量的组策略，这是不好的。为什么？（1、）用的策略越多对客户端的性能影响就越大，因为客户端需要花资源花时间去处理这些策略；（2、）增加客户端的复杂度，一旦出问题增加了排错的困难。在那里优化呢？请参考下图从上面的图可以看出O