企业AD域控规划设计方案

1、企业活动 AD 域控规划方案活动目录介绍活动目录是 Windows 2003 网络体系结构中一个基本且不可分割的部分， 它为网络的用 户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。 活动目录使得组织机构 可以有效地对有关网络资源和用户的信息进行共享和管理。 另外，目录服务在网络安全方面 也扮演着中心授权机构的角色， 从而使操作系统可以轻松地验证用户身份并控制其对网络资 源的访问。同等重要的是，活动目录还担当着系统集成和巩固管理任务的集合点。总的来说，活动目录的这些功能使组织机构可以将标准化的商业规则贯彻于分布式应 用和网络资源当中，同时，无需管理员来维护各种不同的专用目录。活动目

2、录提供了对基于 Windows的用户账号、客户、服务器和应用程序进行管理的唯 一点。同时，它也帮助组织机构通过使用基于Windows的应用程序和与 Windows相兼容的设备对非 Windows系统进行集成，从而实现巩固目录服务并简化对整个网络操作系统的管 理。公司也可以使用活动目录服务安全地将网络系统扩展到In ternet上。活动目录因此使现有网络投资升值，同时，降低为使 Windows网络操作系统更易于管理、更安全、更易于交 互所需的全部费用。活动目录是微软各种应用软件运行的必要和基础的条件。下图表示出活动目录成为各 种应用软件的中心。WindowKM rxJczs UsersAccou

3、ni inlo-Pri*jil«g«£ Frvfihf Policy* Wille pages E'Omrw 已也OtherDiwclori ewl - Mgmt protilt -N?tv/&rk inf" -Policy fWinocm-User registry* Purity Il丿«Policy.Active Directory A Focal Point for: ManacjBahilit bd "Securt«I nteroperabili tyE MniI 5直rt'EE -Mail

4、bcu info address book Sender conli SI Sign-On pp-rp«cifit dirtcicr/info Policy-SmlMf PriHtlH-Fil* shares Policy* ConfloLniti on Security Policy YPN pQlipy-UetTork EYicem -Configuration -QoS palisy 騎* urity policy1.1. 应用 Windows 2003 Server AD 的好处Windows 2003 Server是微软最新推出的网络操作系统服务器，它沿用了 Windows

5、 2000Server的先进技术并且使之更易于部署、管理和使用。其结果是：其高效结构有助于使您 的网络成为单位的战略性资产。应用 Windows 2003 Server的好处如下表所示：优势描述可靠性Win dows Server 2003是迄今为止最快、最可靠和最安全的Win dows服务器操作系统。提供集成结构，用于帮助您确保商业信息的安全性。提供可靠性、实用性和可伸缩性，使您可以提供用户需要的网络结构。咼效Win dows Server 2003 提供各种工具，允许您部署、管理和使用网络结构以获得最 大效率。提供灵活易用的工具，有助于使您的设计和部署与组织及网络的要求相匹配。 通过加强策

6、略、使任务自动化以及简化升级来帮助您主动管理网络。通过让用户自行处理更多的任务来降低支持开销。连接性连接 Windows Server 2003可以帮助您创建业务解决方案结构，以便与雇员、合作伙伴、系统和客户更好地连接。提供集成的 Web服务器和流媒体服务器，帮助您快速、轻松和安全地创建动态 Intranet 和 In ternet Web站点。提供集成的应用程序服务器，帮助您轻松地开发、部署和管理XML Web 服务。提供多种工具，使您得以将XML Web 服务与部应用程序、供应商和合作伙伴连接起来。最经济与来自Microsoft 的许多硬件、软件和渠道合作伙伴的产品和服务相结合，Win d

7、owsServer 2003提供了有助于使您的基础架构投资获得最大回报的选择。为使您得以快速将技术投入使用的完整解决方案提供简单易用的说明性指南。通过利用最新的硬件、软件和方法来优化服务器部署，从而帮助您合并各个服务器。 降低用户的所属权总成本（TCO），使投资很快就能获得回报。Windows 2003 Server的核心是一组基于 Active Directory （目录服务，简称“ AD”）的 基础结构服务。Windows 2003 AD简化了管理，加强了安全性，扩展了互操作性。它为用户、 组、安全服务及网络资源的管理提供了一种集中化的方法。应用Windows 2003 AD之后，企业信息

8、化建设者和网络管理员可以从中获得如下好处： 系统平台基础架构。基于 Windows 2003 AD规划网络基础架构，使企业获得一个 稳定、可扩充的网络基础平台。不单单是满足当前的网络需要，更关键的是预计了 今后3-5年可能的发展需要，使得将来的网络规划建设无需再次重复投资。单一登录。可以统一用户设置和用户身份验证， 实现用户单一登录，用户访问网络 中的资源不再需要反复输入用户名称和口令。同时，它还是企业应用集成的基础。基于AD的单一登录功能，便于实现在不同程序之间的协作和集成应用。网络安全。可以基于AD，集中设置和统一管理用户、组、资源的操作权限，方便 维护管理。集中管理和委派授权。基于 Wi

9、ndows 2003活动目录0U实施委派授权管理，未来 向下属企业推广时，分级维护，集团各部门、下属公司可以对所辖围的部分参数进 行维护，如增加用户、设置权限、增加栏目、自定义流程等。用户桌面管理。通过规划部署 Windows 2003 OU和组策略，可以统一规划用户桌 面和用户操作环境，实现对客户计算机的集中控制管理， 加强信息管理的安全可靠 性。软件自动分发。通过规划部署 Windows 2003 OU 和组策略，还可以实现应用程序 的自动分发、升级和删除， 不但可以实现客户机软件的统一安装管理， 而且大大减 轻了软件安装配置的工作量。1.2. 明确系统规划目标企业的 Windows 20

10、03 AD 系统规划构建是为企业信息化建设服务的，需要达到以下战 略目标：围绕企业的战略发展需要，进行企业信息化建设系统规划，满足企业3-5 年的业务发展对 IT 建设的要求；以业务为驱动，通过有效的信息系统，加强信息共享和协同办公，提高工作效率， 降低成本；整合企业现有信息资产， 加强企业管理与监控； 从信息中挖掘知识， 提高经营决策 与驾驭风险的能力；推进知识管理理念，建立知识型企业，增强企业的核心竞争力。Windows 2003 AD 系统规划实施的具体目标如下： 规划和部署基于 Windows 2003 AD 的企业目录服务，首先实现用户的单一登录， 保障网络系统安全；通过 AD 实现

11、用户桌面的集中和自动管理，分发软件补丁； 进一步部署微软的相关应用平台软件，如实现基于 Exchange 2003的企业部和协作 服务，1.3. 活动目录设计方案我们为企业设计一个域，用户的所有计算机（服务器和客户机）全部加入到域，用户 实现单一登录和管理员通过域组策略实现安全及桌面管理。AD架构拓扑如下。用户关心问题解答2.1. 活动目录优势1. 计算机工作组管理和AD管理比较对于基于 Microsoft Windows操作系统的计算机运行和管理在两种模式下：工作组 (workgroup)和域(domai n)。在工作组模式下，计算机处于一个孤立状态，使用计算机的用户登录和计算机的管理均 须

12、在每台计算机上创建或进行。见下图。Workgroup当计算机超过20台以上时，计算机的管理变得越来越困难，并且要为用户创建越来越 多的访问网络资源的，用户要记住多个访问不同资源的。而在域的模式下，用户只需记住一个域，即可登录访问域中的资源。并且管理员通过组策略，可以轻松配置用户的桌面工作环境和加强计算机安全设置。域模式下所有的域保存在域控制器的活动目录数据库中。见下图DomainSingle User Account2. 为什么要提供目录服务？对更加强大、透明且高度集成的目录服务的不断需由爆炸性增长的网络计算所导致的。随着局域网(LAN )、广域网(WAN)规模与复杂性的不断提高和这些网络不断

13、被连入In ternet，以及应用程序对网络的依赖程度不断增强并不断被到协作企业网中的其它系统上，对目录服务的需求也日渐增多。基于下列原因，目录服务成为扩展的计算机系统中最重要的部件之一： 简化管理 提供对用户、应用程序和设备的单一、一致性的管理点。加强安全性向用户提供单一的网络资源登录，为管理员提供强大、一致性的工具以 使他们能够管理为部台式机用户、远程拨号用户以及外部电子商务客户提供的安全 服务。扩展的互操作性 向所有活动目录特性提供基于标准的存取方式以及对通用目录的 同步支持。目录服务兼任管理工具和用户工具。随着网络中对象数量的增加，目录服务变得必不可少。目录服务在一个庞大的分布式系统中

14、发挥着网络集线器的作用。致力于这些需求，Windows 2000服务器版引入了活动目录-即一套用于改进 Windows网络操作系统管理、安 全性和互操作性的完整的目录服务集。下图描述了活动目录带来的计算机安全和管理上的一些最重要的好处。3. AD简化了计算机系统管理分布式系统常常导致时间的消耗和管理的冗余。当公司在他们的基础结构上添加应用程 序并雇用新的职员时，他们需要适当地向各桌面系统分发软件并管理多个应用程序目录。通过在单一的位置管理用户、组和网络资源以及分发软件和管理桌面系统配置，活动目录可以显著降低公司的管理费用。例如，活动目录在同一个位置管理Windows用户和MicrosoftEx

15、cha nge信息。基于下列原因，活动目录可以从以下方面帮助公司简化管理：消除冗余管理任务 提供对Windows用户账号、客户、服务器和应用程序以及现存 目录同步能力进行单一点管理。降低桌面系统的行程 针对用户在公司中所担当的角色自动向其分发软件，以减少或消除系统管理员为软件安装和配置而安排的多次行程。更好的实现IT资源的最大化安全地将管理功能分派到组织机构的所有层次上。降低总体拥有成本（TCO）通过使网络资源容易被定位、配置和使用来简化对文件 和打印服务的管理和使用。4. 加强安全性强大且一致的安全服务对企业网络而言是必不可少的。管理用户验证和访问控制的 工作往往单调乏味且容易出错。 活动目

16、录集中进行管理并加强了与组织机构的商业过程 一致、且基于角色的安全性。例如，对多身份验证协议（如 Kerberos，X.509认证以及 由灵活的访问控制模型组成的智能卡）的支持实现了对于部桌面系统用户、远程拨号用 户和外部电子商务客户强大且一致的安全服务。活动目录使用以下方法增强安全性：改进了密码的安全性和管理通过向网络资源提供单一的集成、高性能且对终端用户 透明的安全服务。保证桌面系统的功能性通过根据终端用户角色锁定桌面系统配置来防止对特定客户主机操作进行访问，例如软件安装或注册项编辑。加速电子商务的部署 通过提供对安全的In ternet标准协议和身份验证机制的建支 持，如Kerberos

17、,公开密钥基础设施（PKI）和安全套接字协议层（SSL）之上的轻便目 录访问协议（LDAP ）。紧密的控制安全性 通过对目录对象和构成他们的单独数据元素设置访问控制特权。2.2. 重要组策略介绍1. 软件分发策略通过组策略可以为域中的计算机或用户自动分发带有msi包的软件。见下图DefaullL D omai tl Pal maixisrv". sico. com 卿 I-鳳计算机酉理软怦田a二i歆件设且程序包疋）u r a _ jS脚津田®1i 3h JS:卫±' ' fl :+i T 免戟网第（Ieee aozat）策略由3公轴策畸由软件眼和策

18、晞±，品IF妄全策昭在Active Directdt?亩-（管理模板P廉用户配萱 国二|软诗设詈 +I Vl'inlaws 谢置鼻_|管理模板2. 将用户的个人数据从pc机上重定向到服务器上重定向有利于数据的安全以及集中备份。见下图。爭 Def suit Dfinairt Policy iniirtErv. el ca.亡帅茶寓 E-翹计直枇己置a-二I软件设置宙 _J Wind.&wE 设直11 _|管理模極电屈用户配置曰_J皱件设置邑软件安裝S Winlcs 设置测远程陵装服务閒脚本蛋最丿症帶1171诵专仝海 邸陕贡足向_Appliciticar燼雜我的立挡i I

19、上们开蝴菜单丿1+1 'jj I&Urntt Expl or tr 维护0二I莒理模椽3. 安全类组策略密码策略强制密码历史”设置确定在重用旧密码之前必须与用户相关的唯一新密码的数量。 配置 密码最长使用期限”设置，以便密码在环境需要时过期。密码最短使用期限”设置确定了用户更改密码之前必须使用密码的天数。最短密码长度”设置确码至少包含指定数量的字符。密码必须符合复杂性要求策略”选项检查所有新密码以确保它们符合强密码的基本 要求。園矗碣忆阅符2貝射生襲求 国密ZK度艮小直 瑕疙话倍忙忖甲即阳I蜩5于特呢5E1天24吟记丰的相作用DtisuLt Jon tin Pali cy （m

20、iLTisrv. listi. torr MS.-i泌计廿机配査I 1 口醐牛舌看3 口设直8脚本俯动/关和）丘启轍巳越圉画詞I.M轴户蠟匡策哒 車 K«ylcr*s <u账号锁定策略锁定策略是一项 Windows Server 2003安全功能，它在指定时间段多次登录尝试失 败后锁定用户。允许的尝试次数和时间段是由为安全策略锁定设置配置的值决定的。用 户不能登录到锁定的。锁定时间”设置确定在未锁定且用户可以尝试再次登录之前所必须经历的时间长度 锁定阈值”设置确定用户在锁定之前可以尝试登录的次数。复位锁定计数器”设置决定了 锁定阈值”复位为0以及被解锁之前所必须经过的 时间长度

21、。輻睥尸戏足觐佶段有定女机肓足史 o :丈兀泌呈:f dwCafclE Duh -un FuL;寸 ra aio.lt lv d | E_|號片tQ畳L二Rm亦二邊畳g) wr G6动伏咖l a ±i&s畀密凹荼喀禁用本地管理员默认情况下，每台加入到域中的计算机都有Administrator和Guest两个，Administrator在安装投有定X、 世有宦义 及闻罡艾 曲罡义 授有定里”时口令为空。用户使用这个权限过大，因此一般不会给用户使用这个管理员，最好的做法就是通过 组策略禁用这个，用户使用域的。使用宴色密型如L也帐"只Jt舒进行JE制台蜀录 重桶名*宾瞰户

22、葷徐名禾练薛吕幅口将域加入到每台PC机的本地Power Users组中创建域时，默认情况下这个只属于 Domai n Users组中，该组属于每台PC机的本地 Users组。本地Users组中的成员权限受到严格限制，比如共享文件夹，安装打印机驱动 程序等工作的权限都没有。而经常有用户需要这些权限，可以通过组策略来实现。妾跟制的爼2事碎日恚心*卫彌服务 氏LS注册蕃E凹文件系規 i r超网踣 忌一广1丿卜知幣肱电臥册时电 IHctci討內 Ex-chvM；4 Svu.t 卅百疋X心bhVtm电IHcrci諮內Ei-chtwa血皿 卅百疋X赴环定义直弋IP安全策略. 由“口管理複板白威用戶配置申二

23、J轶件设萱由indo肚讶晋E-LJ营理桓板新建证书规则©新逮IntriLSl.区1威规测（X） 新建酩徑规U®所有任务®禁用系统服务我们为优化系统和安全性考虑，经常要禁用计算机的一些无需运行的服务。我们可 以通过组策略把这些服务禁用掉。-T无靛餉口肛sec 11 >?na *二诒耐王匕1F妄M基正 也_|弩吐瓊氐 三欄用尸配宜S 秋特说豈 由-由Tindws设亘 计二I彗注橫栏软件限制策略对一些规定不得使用的软件可以通过组策略来禁用：路径规则：特殊文件路径下的软件不得使用：如program files下的某些软件证书规则：只有系统管理员颁发过证书的软件可以使

24、用，其他软件禁止使用 哈希规则：对禁止使用的软件通过哈希运算得到这个软件的身份指纹，在组策 略里设置只要是符合身份指纹鉴定的软件就进行限制日“口轲郸黑憔珀_j妄全城別网络连接控制策略用户经常会通过改变“网络连接”中的设置，绕过企业防火墙，建立自己的上网链 路，比如拨号上网。这样会带来很大的安全隐患。可以通过组策略限制用户不得改变网 络连接中的配置，不允许用户通过其他方式连接互联网。Cefaiil I 0un ai a Tuljcy maLnsrv. si cq. cm臻田 二團计 ertawa _鞍忡聂萱± _ Yzul皿识置呂血用广配蛋H _j抵槪菽由_|和皿吐设置适程宝務服勢卿本

25、理剥崔断| k臺工件买畫定向F 爺 ThlMCUtA 管理镭快圧 口 tf niKjffi 爼件芒髀和-开蛆泰单金廉直十酬冋丢CJ黃K件夬自口岡箔_J瞰丈侍阿络连摟S-O垂统科重旳E0按式童!ftW萨育弔户吃月的远程谊边至捋的.：i宴1_边何IA?復樱鉅斗的風性 冲票匸诅同联诅问曲姐件區雇性 淨契用TT門I?起艄苗諭禀匚魏"戡护 無单上直*曲閲ar时厉网為婪匸斌11或將勝用十乂匡接或远程访Gi接肉迤件聚吐访茴 询 连接苗帰性柴上B用，集用LAI连按的汨怦帛雯迎瞬用尸 删访河曲的雇性 常禁匸型寺用删浙可軸的属性 倉禁亡卅傑远稈认问埒持 辛曲险所有用尸远稈话问申排书禁1:连搖冃旷册至笺卫

26、程1方曰连搭越启用丿禁用3连鲫旳书我匚访问“新惠辻第討导”S重命呂s亚按淀力斗重命乞所有用户远程访匪歸.*亲匸直紺罟专用远程说脈蛋.:*諭 讷问“高詡”«I的“区鮒冋首帧”誓单垣 命幣I -宜看话却锌ER育再覚娠童丘呂用仆z 5*100耐緡近礎萱'近援卿購师无近囲TT斗闻遇知23计算机从工作组加入到域可能存在的问题和解决方法把计算机从工作组模式加入到域模式可能会出现以下二个问题 问题：1. 一些软件不能使用。有一些软件以登录者的管理员权限运行，当计算机加入到域并 对登录做了权限设置，或禁用了本地管理员，这些需要管理员权限运行的软件就有 可能不能正常运行。2. 用户桌面环境发生

27、改变。由于加入域前后用户是用不同的登录的，因此用户以前的 桌面环境无法使用。具体有桌面上放置的资料“我的文档”等放置的资料 配置好的“网络打印机” IE里设置好的“收藏夹”等。解决方法：1. 对问题1我们可以按以下两个方法来解决：(1) 把域加入到本地管理员组(2) 卸载软件，用域登录并安装2. 对问题2针对不同的问题分别解决如下：(1) 把本地老下的桌面容全部备份下来，复制到新域的桌面(2) 把本地老下的“我的文档”容全部备份下来，复制到新域的“我的文档”(3) 重新连接和创建“网络打印机”(4) 用特殊软件把老IE里的“收藏夹”备份下来，然后恢复到新域中3. 活动目录方案实施3.1. AD

28、 域命名和 DNS 的规划Windows 2003 AD 域命名和 DNS 的规划之所以放在首要地位， 是因为 AD 作为整个 IT 架构的基础，不应该轻易被调整。尽管安装后， Windows 2003 AD 仍然可以重组和改名，这 一点比 Windows 2000 AD 有了很大的进步，但是我们仍然建议做一个长远规划，使得域命 名和 DNS 服务能够满足企业 3-5 年的需求，尽量避免配置好后改作调整地巨大人力物力浪 费。此外，部署 Windows 2003 AD,还必须确定DNS服务器，确保它们满足域控制器定位 器系统的要求。一个支持 AD 的 DNS 至少需要满足以下要求：必须支持服务定

29、位资源记录( SRV)应该支持 DNS 动态更新协议( RFC 2136)Windows 2003 Server 提供的 DNS 服务同时满足这些要求，并且还提供下列重要的附 加功能和改进：Active Directory集成：DNS服务把区域数据存储在目录中，使得 DNS复制创建 多个主域，也减少了对维护一个单独的 DNS 区域传送复制拓扑的要求。安全动态更新： 使得一个管理员可以精确地控制哪些计算机可以更新哪些名称， 并 防止未经授权的计算机从 DNS 获得现有的名称。条件转发：根据不同的对外访问的域名后缀，可以将用户的 DNS 名称解析请求转 发到不同的外部 DNS 服务器。存根区域：

30、可以定时地刷新和外部 DNS 服务器的连接， 及时发现那些可能有故障、 不再响应用户请求的服务器，提高用户 DNS 名称解析的效率。3.2. 确定 AD 逻辑结构Windows 2003活动目录的逻辑结构由三个基本组件组成：森林、域和OU。1、确定森林规划森林是 Windows 2003 AD 域的集合。在很多情况下，单一森林就足够了。单一森林环 境易于建立和维护， 森林间的域自动建立双向可传递部信任关系， 不要求手动建立外部信任 配置，在安装Exchange 2003 Serve等应用程序时，只需应用一次架构更改即可影响所有域。如果各个单位有下列管理要求，就必须建立一个以上的森林： 不互相信

31、任管理员。希望限制信任关系围。不同意某种森林架构更改策略。 架构更改、 配置更改会影响到森林中所有的域。 如 果单位不同意一个公共架构策略，它们就不能共存于同一个森林中。2、制定域规划规划域结构时，始终遵循“简单是最好的投资”的设计原则，尽管增加某些复杂结构 可以增值，但是简单的结构更易于说明、 维护和调试。 一开始时总是仅考虑每个森林中仅有 一个域， 然后为每一个增加的新域提供详细的理由， 确保添加到森林中的域都是有益的， 因 为它们会带来相应的管理开销而导致一定程度的成本上升。创建更多的域的三种可能的原因是：希望实现相对分散式得 IT 管理模式：多域结构更容易进行相对独立的管理、委派 和权

32、限控制。另外，不同的用户在一个域是不能出现重名的， 多域之间就没有限制。 对于人士管理相对独立的集团下属公司，多域结构具有更好的灵活性。希望实现不同管理策略要求：包括用户口令策略、账户锁定策略和 EFS 加密策略。 例如，要求某些人必须取 8 个字符以上的口令，而其它人不做限制。为此，必须将 这些需要不同安全策略的用户放在单独的域中。希望减小 WAN 上的复制流量：域控制器域间复制将产生比域复制少的多的流量。 如果公司很大， 具有跨地区的组织结构， 且处于同一个森林， 则在不同地理位置上 的机构可能使用慢速的 WAN 链路连接。为减少 WAN 上的 DC 复制流量，可以在 不同的地理位置设置不

33、同的域。根据以上考虑，我们建议，企业 Windows 2003 AD 域逻辑结构可以采用“单森林、 单域”的结构设计。3.3. 确定 AD 物理结构Windows 2003 AD 物理结构主要是规划站点拓扑，用于帮助您决定在网络的什么地方 放置域控制器，以及管理域控制器之间的复制流量和用户登录流量。考虑到企业的地理分布情况，应该考虑使用多站点拓扑来规划 Windows 2003 AD 物理 结构。从绘制基本的网络拓扑布局图着手工作，绘制所有可能的站点（Site）和站点（SiteLink）。速度快（10Mbps以上）、连接可靠的LAN网络总是放置在单站点中。 站点定义为一组通过快速、 可靠的线路

34、连接起来的 IP 子网。一般而言， 具有 LAN 速度或更快速度的网络被认为是快速网络。窄带的、或不太可靠的连接可以使用站点建立多站点网络。通常， WAN 连接一般被认为是窄带连接。如果建立站点，实现多站点网络模式， 则：客户计算机在登录到域时首先试图与位于同一站点的 DC 通信；Windows 2003 AD复制使用站点拓扑产生复制连接。3.4. 规划 OU 结构和组策略组织单元（OU）是一个用来在域中创建分层管理单位的容器。 在域中创建OU结构时， 必须注意始终按照“谁管理什么”的原则，从 IT 管理的需要出发，划分管理模型的结构， 而不是简单按照公司业务单位和它的不同分支、部门和项目来创

35、建 OU 结构。考虑 OU 的 下列特性是很重要的：OU 可以是嵌套的。一个OU可以包含子0U,使得可以在域中创建一个分层的目录树结构。但是嵌 套太多将导致管理复杂和低效， 所以建议以二级嵌套为最理想， 最多不应超过四级 嵌套。OU 可以用来委派管理和控制对目录对象的访问。不能使 OU 成为安全组的成员,也不能因为用户被委派管理 OU 或驻留在 OU 中 而自动获得访问资源的权限。可以在 OU 上实施组策略。组策略是基于 Windows 2003 注册表的修改,从而集中控制用户和计算机的工作环 境、桌面配置、软件自动安装和删除的管理手段。一般而言,安全策略必须在域级 别实施,其它策略主要在 O

36、U 级别实施。不鼓励用户在 OU 结构中浏览。没有必要设计一个吸引最终用户的 OU 结构。尽管用户有可能浏览一个域的 OU 结构,但对于用户查找资源来说, 这并不是一个最有效的方法。 在目录中查找资源 的最有效的方法是查询全局编录。有两个理由需要在 Windows 2003域中创建 OU 结构：创建 OU 以管理对象和委派授权。 为组策略创建 OU。一个完全为管理和委派而设计的 OU 结构与一个完全为组策略而设计的 OU 结构是 不同的。 OU 结构将很快变得相当复杂。每次添加一个 OU 到规划中时,要记下创建的具 体原因。这有助于确保每个 OU 有一个目的,并将帮助阅读规划的人理解结构所基于

37、的理 由。3.5. 创建 OU 以管理和委派在单位中委派管理有一些好处。以前，在单位中除了 IT 之外的组可能必须将更改请 求提交到高级管理员， 高级管理员代表他们进行更改。 委派特定的权限可以将责任分散到单 位中的各个组， 使您可以将必须有高级访问权限的用户的数量降到最少。 权限受到限制的管 理员所发生的事故或错误所产生的影响只限于他们负责的围。这一工作包括以下步骤：确定创建何种 OU创建的 OU 结构将完全取决于管理是如何在单位中委派的。 委派管理的三种方法 是：按物理位置、按业务单位（公司部门） 、按角色或任务。三种方法经常结合使用。修改访问控制列表：修改 OU 的访问控制列表 （ACL

38、） 可以授予一个组对 OU 的特定权限，从而实现 对该 OU 的委派管理。尽量委派权限给组账户而不是单独的用户，如果可能，委派到 本地组而不是全局组或通用组。委派步骤。从域中的默认结构开始，按下列主要步骤创建 OU 结构：- 通过委派完全控制创建 OU 的顶层；- 创建 OU 的下层来委派每个对象类别控制。3.6. 创建 OU 支持组策略使用 Windows 2003，可以使用组策略定义用户和计算机配置，并将这些策略与站点、 域或 OU 关联。是否要创建附加的 OU 以支持组策略的应用取决于制定的策略以及所选择 的实现方案，包括：定义客户计算机的管理与桌面配置标准定义软件的自动分发特殊组策略应

39、用配置与管理在 Windows 2003 中，组策略设置是管理员启用集中更改和配置客户计算机管理的主 要方法。可用组策略为某个特定的用户组和计算机组创建指定的安全限制和桌面环境配置。Windows 2003 组策略有 100 多种与安全有关的设置和 450 多种基于注册表的设置， 为您管理用户计算机环境提供了众多选项。 Windows 2003 组策略：可根据活动目录定义或在计算机本地进行定义；可用 Microsoft 管理控制台（ MMC ）或 *.adm 文件保存和管理；是安全的；不会在实施的策略改变时把设置留在用户配置文件中；可应用于指定的活动目录容器（站点、域与 0U）中的用户或计算机

40、；可由安全组的用户或计算机成员进一步控制；可用来配置多种类型的安全设； 可用于实施登录、注销、启动及关闭脚本； 可用于安装和维护软件； 可用于重定向文件夹（如 My Documents 和 Application Data 文件夹）； 可用于在 Microsoft Internet Explorer 中执行维护。可以按下列三个步骤配置和管理组策略： 管理站点、域或 OU 的组策略： 默认情况下，只有域管理员组和企业管理员组可以配置站点、域或部门的组策略。 可在站点、 域或 OU 的“属性”页的“组策略”选项卡中指定至站点、 域或 OU 的 组策略对象。 Active Directory 支持以

41、每个属性为基础的安全设置。创建组策略对象： 默认情况下，只有域管理员组、企业管理员组和组策略创建者（所有者）组的成员 可以创建新的组策略对象。 如果域管理员想使一个非管理员用户或组能够创建组策 略对象，则可将该用户或组添至组策略创建者（所有者）安全组中。这样，他们就 可以创建、修改自己的组策略对象，并成为该组策略对象的创建者和所有者。编辑组策略对象： 默认情况下，组策略对象接受域管理员、企业管理员及组策略创建者（所有者）组 成员的完全控制，课以便机组策略，但非管理员用户没有设置组策略的应用权。3.7. 应用组策略选项如果能认真应用组策略选项，即使开始用数据极其多的文件夹重定向选项和软件安装 选

42、项，也能够改善网络的响应时间。应恰当地应用组策略选项，尤其在刚开始时，更要仔细 测试所有建议的更改，以确保不损坏网络性能。下面是一些可用的选项：安全组筛选选项： 可针对某个特定组策略对象实施筛选，使之不能对筛选的计算机和用户组生效。 不许替代（强制继承）和阻止继承选项： 例如，如果在域层次定义了一个指定的组策略对象， 并已指定组对象是强制的 （不 许替代），那么组策略对象所包含的策略设置就会应用于该域中的所有0U ;层次较低的容器 （OU） 将无法替代此域的组策略，一般用于安全设置。也可阻止从父 Active Directory 容器继承组策略。但是，不许替代（强制继承）策 略选项始终比阻止继

43、承策略选项优先。处理“环回”策略设置的策略选项： 默认的设置使计算机策略优先于用户策略起作用，但有时必须要优先实施用户策 略，组策略的环回功能使管理员能够实现这一设置。 主要用在软件安装这一类的策 略上。低速处理的选项：许多用户， 如使用便携式计算机的用户、 远离建筑物或在分部工作的用户， 有时会 用低速连接至网络。 可对组策略进行配置， 使部分策略不能生效， 以减少网络开销。 这些组策略设置包括：软件安装与维护脚本磁盘配额IP 安全Dfs 故障恢复策略Internet Explorer 维护周期刷新选项：可指定定时地处理组策略。默认情况下， DC 计算机策略每 5 分钟刷新一次，而 成员服务

44、器和客户计算机每 90 分钟刷新一次， 并带有 30 分钟的随机偏移量。 可 根据需要改变此刷新频率。3.8. 硬件设备选型建议为实现 Windows 2003 AD 系统的部署实施，建议至少配置两台服务器：Windows 2003 AD 主域控制器： 1 台，同时兼作 DNS、 DHCP、WINS 服务器；Windows 2003 AD备份域控制器：1台，同时兼作DNS、WINS服务器；上述服务器硬件配置建议如下：2颗 P4 3.0GHZ 以上 CPU。2GB 以上存。73GB SCSI硬盘：建议使用2个硬盘，实施镜像（RAID-1 ）;或者 3 个以上的硬盘，实施 RAID-5 。4. 活

45、动目录服务容4.1. 可行性调查调查、分析用户当前系统环境，提交环境调查报告网络拓扑结构服务器清单应用软件部署清单网络及系统存在的安全和管理上的问题网络及系统调整方案调查、分析用户实际和潜在的活动目录服务需求，提交用户需求报告活动目录为用户带来的商业利益分析用户登录认证需求网络安全需求系统管理需求大规模部署微软平台软件需求4.2. 规划活动目录部署方案活动目录域及命名方案活动目录站点方案域用户和计算机账号方案域安全组策略方案域管理组策略方案活动目录实施过程方案活动目录冗余方案活动目录备份和灾难处理方案4.3. 部署活动目录服务排定施工进度、步骤和里程碑任务安排项目负责人和施工人员 制订施工手册调整、优化当前用户网络和系统环境 施工并记录施工过程提交施工报告运行观察和记录4.4. 制订活动目录管理维护规活动目录管理操作规 活动目录运行状况检查规 活动目录数据备份规 制订紧急情况处理的规4.5. 工程师定时上门进行活动目录日常维护观察、记录活动目录的运行情况 排除故障优化活动目录运行调整安全策略设置 备份活动目录4.6. 处理活动目录紧急情况（2 小时到达现场、 8小时解决问题的紧急情况处理