桌面基础架构设计

绪 基础架 活 设 设定1:单林单 设定3:多森林，把现有的各个store森林联接入各自对应的HeadOffice森林 设定4(认可):创建森林 外包需 活 同 站点开 ActiveDirectory逻辑设 命名规 委派管 组策 时间服 标题 标题 附 ISO3166参考内 活 默认 绪基础架 （AD）提供基础架构中的验证和，且AD是Windows环境的基数据备份服文件共享和打印服创建IT组织物理层设计域AD管理模式角色定制组需求ABC即将在亚洲的开一家新公司,这也在亚洲IT管理的范围ITwindows(中心门店仓库使AD在WAN网络传输（,认证）最小 整SystemsManagementServerABC亚洲区评活 森林和域拓森林和域设计内基于技术层面管理Windows资源提供服务，并能对登录做出验证详细内容可供管理Windows资源对象:AD森林ADAD森林组成森林用于不同的组织之间，森林是个安全边界。森林内的域,使用统一的 结构:«架构»,ThisisUserThisisUserGroupsUserGroups ActivesorganizedhierarchicallyinaUserGroupsComputer 不被森林中任何域信任的用户,则无法该森林内的资源森林提供安全，而域不提供UserUserinan活 域中所有可供管理的资源可以在一种容器中被统一管理，该容器被称之为组织单元（OU）管理OU中资源的方法delegatedelegategroupobjectsmanagementrightstoHelpdeskTeammanagesthe UserAccounts活 活动 是“多主机”的.AD数据库在特定的服务器间共享，这些服务器叫域控制器活动 活动 的同步需要考虑WAN网络的拓扑结合理使用企业管理员和域管理员的权EnterpriseAdmins（企业管理员组）和 Admins（域管理员组）是活动 考虑到单林的设定（用户帐户组工作站服务器）上花费很多的工作量，这增强对IT角色和分 林范 域范 资源范/配企业管理IT管理评估工作<1to>创建根f在根域创建一个域控f在子域创建第一个域控制f在子域创建一个域控D卸载一个域控制器(除了最后一个d架构扩f创建一个域信任关fd组策略对编辑默认域策fd编辑默认域控制器策fd编辑其他组策l活站点和连接配 创建/删除一个站f创建/删除一个子f在站点内关联一个子f创建/删除一f配置一f角色和分 林范 域范 资源范/配企业管理IT管理RISDHCP服务f配置时间服f配置d配置l配置l/审 林健康状f域健康状d成员服务器和生产用应用程l/还备份/还原域控制d备份/还原成员服务l恢 恢复根域控制f回复子域控制d恢复成员服务l创建/删除用户帐l启用/禁用用户帐l重命名用户帐l用户帐l重l组配组配l创建/删除l重命名l添加/删除组l客户端配IMAC(Install,Modify,Add,l安装，升级，删除软l配置用户环l用户支l成员服务器配安装成员服务l安装软l配置文件/打印服l管理应用程L亚洲区活 设森林信任概Windows2000引入了使活动 容易。在一个单独的森林里，域之间不再被，而是相互关联的关系，而且域信任关系可以被传递。WindowsServer2003引入了森林信任以便满足企业内既有需要协作又有相互的需求。森林信任 林之间结成并为跨林的验证提供无缝的认证和功能。Kerberos是支持是支持隐UPN和显性当两个森林之间存在森林信任时,以Kerberos和NTLM验证为依据确认其他森林的用户。搜索一个信任域需要本地的域控制器可以通过DNS服务成功解析到信任森林并且能全局编录。设定1:单林单考虑到整合亚洲区IT用户和资源的管理，单林，单域需要调整现有亚洲区所有国家的全部HeadOffice（HO）设定2:单林,各个国家设置为林内的子2需要所有国家的IT单林20075IT管理团队管理，这是最“自然“的方:HO设定3:多森林，把现有的各个store森林联接入各自对应的HeadOffice森林3可能需要把现有的每个域都升级到WindowsServer2003store森林联接入各自对应的HeadOffice,.如果中心管理团队需要统一管理各个域，那么每个门店域都必须信任中心管理团队所在域。设定4认可创建森设定4这次在亚洲区， 利用WindowsServer2003森林信任的特性，在和各个国家间 该模式是一种比较高效的管理模式，且从技术上可以让很容易的把一个国家所在的森林分离到中。〈微创〉：每个亚洲国家一个独立的森林单域，中国域与其它亚洲国家域作林间信任。中国域作为亚 亚洲区数据中心需设计决定亚洲区的数据中亚洲区的数据中心Windows资源隶属于一个专门的活 提供的Windows服务 的windows资源域（新加坡），与国家域做信任关系，为各个国家所共享亚洲区总部需活 具备高可伸缩性，单域可以承载数百万的用户帐户或对象。从技术角度，域越少越利于管理 设计决定 外包需 举个例子，如果许多外包人员，其他国家森林需要信任中国森林以便于管理员管理这些国家森活 物理设域命名空内部活 不能和Internet上所使用的相同设计每个国家一个单域的森林，此外还有总部和新加坡数据中心，按照地理名称和ISO3166国家中 hk尼西亚idmy新加坡sgtwthABC- 选择了域命名设计选择了域命名设计A国家代码/功能代码Asia站点拓扑设计和活 同 各个站点内都有一个域控制器被选择成为站点间拓扑（ISTG）。启动站点后，ISTG会为站点间选择桥头服务器。所有国家都设计成典型的中心机构（HO）连接所有分支（BO）的模式，另外使HO成为数据数4ZoneHQ(1Zone1-基于上述信息，推荐站点拓扑采用中心和分支模式，把HO设置为活动 集线器，ZDC担当复在这个操作中，ZDC提供了活动 恢复的功能。在本案例，一旦HO发生网络中断，ADBackupBackupHubZone HeadSpokeSpoke Intra-SiteInter-SiteReplicationsitelink 数据中 依据点对点网络的MPLS（多协议切换）特性及最佳路由的网络开销来创建站点器。需要给现有的物理路由上独立WAN创建站点器。 两个HUB中心站点（HO和ZD）通过站点器相互连接每个分支站点都分别有一个站点器两个HUB中心站点。两个HUB中心站点间的站点必须稳定。确保与HO中心站点的域控制器进行活动 时候和ZD同步。没有域控制器的分支机构站点必须公布到活动中，包括站点对象，关联子网以及冗余的站点。这允许计算机去了解他们活动站点和最近的域控制器。此外，如果在分支机构中安装新的域控制器，它将自动被集成在活动中。Default-First-Site-Name站点通过开销为100的站点连到HO站点。确保不属于任何分支机构的域控制器属于Default-First-Site-Name站点。HeadOfficesite–ZoneD HeadOfficesite-Spokesite〈微创〉：有两〈微创〉：有两个HUB中心站点 IDC站 IDC SiteADSiteDefault-First-Site-NamesiteDefault-First-Site-Namesite有一条Cost为100的站点连接 站点命名规则：HeadOfficesite–Zone HeadOfficesite–Zone 在Windows2000时代,创建站点间(KCC/ISTG)拓扑算法非常有限，常常需要手动创建和对Windows20035000Windows2003森林功设计决定传递自动站点桥 传输需要启动KCC去re-route，在本例中，KCC会为创建一个新的连接。此时需要站点 当不是所有的IP网段都被路由（被）时，需要在Inter-SiteTransports的IP属性里取消设计决定开销站点开销决定了把域控制器作为源的优先级别。开销通常基于链路的带宽决定。频率18015分钟的增量。计划这个设置以小时为单位设置了发生同步的时间。设置站点允许活动 时间是为了在特定的时间段保证WAN的带宽。站点开Cost

站点频率和时间下表显示了通常的间隔，当WAN链路从关闭到带宽饱和需要两倍的间隔1024Kbps依据各地的网络使用模式确定配置时间的方法。当用户早上登录的时候或带宽需要被保留给其他商业应用的时候关闭。 8：00-10：00）和业务系统数据批量同步时B.6.2.7冗在一个标准环境，在中心区域，KCC在站点和桥头服务器间创建单向入站连接对象。当一个桥头服务器失效，KCC将计算出一个到其他可用桥头服务器的新连接。WindowsServer2003冗余模式，冗BackupBackupHubZone HeadSpokeSpoke Intra-SiteInter-SiteReplicationMainsitelinkInter-SiteReplicationBackupsitelinkAutomaticdetectionoffailedRepadmin/siteoptions/site:<SiteName>+IS_REDUNDANT_SERVER_TOPOLOGY_ENABLEDRepadmin/siteoptions/site:<SiteName>+IS_TOPL_DETECT_STALE_DISABLEDAutomaticdetectionoffailed域控制器放Rule1HeadOffice（HO）HOUpto500–1000–21000–10HOHO1Hong1?11111#12Foreachadditional120+12110040Hong1-3222223222222 .数据中心域控制器用作恢复之用并且备份了ZDC和HO的配置信息 设计决定 Store“ABC亚洲区活动域控制器容量规划”表格帮助评估和识别那些没有域控制器的站点。当发生网络中断的时候，在没有本地域控制器的地方，防止用户登录被延迟影响了本地共享资源的能 FSMO角色放活 架构主机域命名主机主域控制器仿真器结构主机单操作主机角色意味着在森林或域中，很多的操作要求FSMO角色必须可用。 (FSMO角色)向下兼容NT4BDC(ADMix模式)向根域和森林时间同步DC延迟控制在多主机的AD组织里，有一种专门处理用户变更的机制，PDC会立即通知所有域控制器变更了。如果遇到了校验失败，域控制器会联系PDC确认是否用户修改了。SID和一个RID500个RID80%RID池由RID主机确保分派给各个域控制器的RID唯一（RID主机在一个比较短的时间内不可，结构主机负责更新跨域组到用户的以确保组成员名称准确。同时架构主机还更新这些信息。如果FSMOPDC仿真器和RID在域控制器上FSMOPDCPDC仿真器和RID主机放置在一类域控制器上，如果条件，最好放置在不同的有良好网络连接的基础结构主机确保每个外部安全对象可被用在域中。它周期性的检查包含这些森林中的每个域特定信推荐设计架构主机和域命名主机角色放置在ZD架构主机和域命名主机角色放置在ZDPDC仿真器和RIDHO的第一个域控制器上HO的第二个域控制器上。〈微创〉：SchemaMaster NamingMaster角色 PDCEmulatorandRIDMaster角色设置 InfrastructureMasterrole角色设置 全局编录放 快速的查找。而且全局编录了森林中所有的通用组信息。此外，全局编录了所有受信任的域和森林的信息。当一个用户或管理员在外部森林中的资源时，全局编录还参与交2314域控制器发现该特定服务并不在域中。域控制器查找全局编录。全局编录返回一个信息---该接下来客户端连接根域控制器（2）请求一张使用该服务的服务票据。在这个例子中，根域控制器（2）通过查询全局编录确定服务器发现在当前森林。所以该域控制器返回给客客户端通过推荐设计设置（每个林里一个域）DC都设置为域控制器尺活 空活动 数据库占的空间是501000AD0.4GB的空间（AD中SYSVOL500MB空间 ADMB4HO<1512500–111000–2223000–10223GHzor236G硬盘组成一个RAID36G硬盘组成一个RAIDRAID3GHzor136G硬盘组成一个RAID36G硬盘组成一个RAIDStore下表依据微软最佳实践依据用户数量确定部署域控制器的数量。必须依据该表以支持各个站点的本地0–010–CPU低负载30–CPU容错支持中心和分支拓扑结构的DNS配在Windows2003默认环境,做为森林和域的基础，需要在站点级别通过公布SRV1Windows2003DNS服务不支持超过850个域控制器在DNS区域中 其SRV记录，在本案例中这没有问题，所有ABC域控制器的一个中心和分支拓扑结构的环境需要合理的配置。因为所有分支机构的域控制器都会其SRV记录，这会给客户端带来登录其他分支机构中域控制器的可能。SRV记录的要确保当分支机构的客户端DNS本地查询失效后，这些客户端总是可以通过中心的域控制器实现。在分支机构的站点里，GC DC 非本站点的,ComputerConfiguration\AdministrativeTemtes\System\NetLogon\DCLocatorDNSRecords\AutomatedSiteCoveragebytheDCLocatorDNSSRVRecords在Windows2003域控制器上，我们可以通过组策略中”DC定位程序DNS记录不是由DC“配置管理SRV记录。DNSA<Dnsldap.tcp.<Dnsldap.tcp.<SiteName>.sites.<Dnsldap.tcp.pdc.msdcs.<Dns_ldap._tcp.gc._msdcs.<Dnsldap.tcp.<SiteName>.sites.gc.msdcs.<Dnsldap.tcp.<Guid>.s.msdcs.<Dnsldap.tcp.<Guid>.s.msdcs.<DnsAgc.msdcs.<Dns<DsaGuid>.msdcs.<Dnskerberos.tcp.dc.msdcs.<Dns_kerberos._tcp.dc._msdcs.<SiteName>._sites.<Dnsldap.tcp.dc.msdcs.<Dnsldap.tcp.<SiteName>.sites.dc.msdcs.<Dns_kerberos._tcp.<Dnskerberos.tcp.<SiteName>.sites.<Dnsgc.tcp.<Dnsgc.tcp.<SiteName>.sites.<Dnskerberos.udp.<Dnskpasswd.tcp.<Dnskpasswd.udp.<DnsComputerConfiguration\AdministrativeTemtes\System\NetLogon\DCLocatorDNSRecords\DCLocatorDNSrecordsnotregisteredbytheMnemonics:LdapIpAddressLdapGcDcByGuidDnsDcByGuidGcIPAddressKdcDcRfc1510KdcGenericGcRfc1510KpwdRfc1510UdpKdcRfc1510UdpKpwd ActiveDirectory逻辑设命名规ActiveWindows2003ActiveNetBIOSActive是Active否ActiveDirectoryActive否Active否站点Active否Active否Active是Active否Active否Active否Active否Active是Active是Active是Active是Active是活 安全对象（用户帐户，InetOrg 计算机名任何安全对象在域中是唯一的，它的名字是由Unicode(统一的字符编码标准)字符构成，除了以下在RFC2253中特殊LDAP的字符。空格在首位任何下列特征字符：#,+"\<>对象的最大长度字节要以Unicode（统一的字符编码标准）为标准，个别特殊字符会占用多位字节。活 windows2000以windows2000以前版本登录名不能包含任何下列字符（同样适用于WindowsNT4.0）：/\[]:;|=,+*?<>@"不能包含字符为内容；和不多一个@在一个WindowsServer2003组不能包含字符：计算机名不能包含字符：不能使用特殊符号如：~&$£§µ@`^|*andperiod。具体参考特殊符号DNSRFC1123的详细说明a-z和A-Z另外，下划线“_”（不属于RFC1123）国家编码，参考ISO3166编码设计决定亚洲ABC如ISO3166ABCCountryHong亚洲ActiveDirectory名规ObjectNaming2003NetBIOSObjectNamingDirectory站点ISO3166>< <地区名>在森是唯一的，如果2个站点使用相同的地区名则第2个站点加个例如：cnSitenameand,44个字母第一个字母使用第一个单词的第一个字母，4个字母的第二个字母使用对应第二个单词的第一个字母。则headOffice（总店）使用RegionalOffice（地区办公）ro，多个地区办公则在ro加序号来区PhukstoreinThailand:中国RegionalOffice（地区办公）:ro01HeadOfficeinMalaysia:ho<站点名A站点名BHeadOfficeSubangJayastore站点sb<SiteNameA>-<SiteNameB手工被创造的连接对象被表示以"co" ControllerA>- ControllerBWindowsNetBIOS15个字符内<国家编码><站点编码>dc<增加标识符,基于数字,2个数字中国地区办公：HeadOffice,第二个域控制器hkhodc02HeadOffice,第十个域控制器hkhodc0aCheangwattanastore:thcheadc01><><组类型是用2个小写字母表示“lg”本地组和本地域组“lg” ObjectNaming64个字符。描述可以随意小写、大写、下划线“_”连接符号GPO组策略范围可以作用到域、组织单位或AD站点。 组织单 ActiveDirectory站点控制器配置组策略到OU用户名前缀部分代表国家、姓的第1个字母、名的第一个字母和二个数字国家编码1><标识符号的ChristopheBonnel,国家编码终端类型标识符是5个数字组成。从00001到 笔记本类型前加国家编码站点名>PRT<201到FF（255）ObjectNamingPutraJaya2个 File国家编码森林和域功能级WindowsServer2003WindowsServer2003域WindowsServer2003森林WindowsServer2003(允许混合-模式域WindowsNT4.0BDC)提升森林功能级别为提升森林功能级别为WindowsServer域功能级别为WindowsServer所有域控制器运行WindowsServer设计决定Schema支持SystemsManagementServerSchemaSystemsManagementServer ADAD的委派管理的需求来创建OU组的操作管理员定义谁将对这个组需要进行共同的管理和将委派谁进行管理。这些帐户将被分配权限最少使用固定的Admin应该使企业管理员、域管理员和架构管理员组的减到最小，这些角色应该为了减少这些组成员被如果一个操作人员组去管理用户和组，他们不需要在其他对象被赋予权限，例如组织单位、组策略；必要创建二个不同角色去分别管理相同的用户和组。如果您的桌面团队管理二个组织,那么创造唯一的角色去完成桌面的任务就能满足要求。森林中所有的用户和计算机都是被认证过的。当鉴别Usersgroup权限时尽量避免使用EveryoneGroup。否则EveryoneGroup将改变取代UsersGroup通过ACL的验证方式使用任何资源。亚州地区管理模整个亚州地区（森林）区域数据中心HO（总店）森林责任范围需要DNS来ActiveDirectory森林互相通信。强制执行安全策略国家服务责任范围在林/域中，需要ActiveDirectory基础架构服务。国家森林/域的域控制器管理。HeadOffice（总店）责任范围所有的对象属于HeadOffice（总店）：用户，组所有终端和成员服务器属于HeadOffice（总店）门店、的场所责任范围委派本地的IT团队管理属于本地的对象委派给当地的IT团队管理属于本地的资源委派门店管理员管理OUOU层次中对象有完全管理权限。门店的管理员不能修改其他门店的对象。森林DNS根基础架构配置站点拓扑和ActiveDirectory站点创建/DHCP服务&管理DNS管理 提供控HeadHead本地人亚洲国家管理模 组织单位(OU)设在ActiveDirectory中，委派管理是通过对象的OU来完OUActiveDirectory的对象如何被管理。OU层次只是反映了一个管理上的层次而并非功能或物理上的层次。用户可以不用考虑OU的结构。OUActiveDirectory的容器在两个域之间OU不能被共享。一个对象能只属一个OU用户、组和计算机及另外组织单元的对象可置于OU1：每对象类型/每站点的OU首先创建对象类型(用户、组、工作站服务器)的OU，然后在其下层以每站点创建OU。由于GPOs能OU，此站点下OU中所有用户将继承此GPO。同一站点操作员，操作对象时都将展开所有OU层次（需要使用特殊的MMC控制才能减轻管理任务

dOfficeBdOfficeB2：每一个站点/每一个对象的OU首先以每个场所创建OU然后在其下层创建以每个对象类型的OU。并配置到每站点特定OU和被继承被配置的子OUs它更适合于站点内IT操作人员管理最终展开的层次是以站点为单个OU下存在多个对象GPO为应用到明确的对象就必须多次到sub-OUs，，即使，这个GPO操作比较简单。

HeadStore方案方案2配 OU在实际环境，每个在物理场所组织由用户和组组成，如此，它有可能需要委派权限给本地IT为了更容易的给不同类型的计算机设置GPO，就需要把工作站分为桌面终端和笔记本。为了方便，用户和组也应存放到不同的OU中。2个OU中。不同类型的通用组、全局组、域本地组应被存放在不同的OU中。OU门店或场所，他们的OU层次比较简单，没有在本地创建通用LocalGroupsGlobalGroupsLocalServiceAccounts

委派管森林的管理组应该在森林根域的内置组中子域的管理组应该在该域的内置组中OU这个角色。这将使的国家和相应的其他管理员进行角色的互换，并且自动准予他们必要的去成他的任。ServerAdmins:服务器的管理应该对这个域中的成员服务器进行管理，并可被从类型角色,,sk：这个组的角色可以实现用户基本的操作（启动用户帐户，重置，组成员的变化）但是，他没有权限去创建新的用户帐户和组。他只能协助这些用户但是不能用本地）WorkstationAdmins工作站管理组有用户可以登录到所有的desktopsandlaptops。他们可以在总公司和站点进行配置工作。在WindowsXP中，他们可以控制或者协助这LocalAdmins:本地管理组是管理员负责一个站点(商店,仓库的)或一整套站点的管理。他们对在OU层次中用户和计算机对象有完全控制权限。Legend:“X”代表ActiveDirectory默认.“”代表ABC特殊需求.eActiveDirectoryInstallfirst XInstall ControllerinXCreateX timeXInstall ControllerinaXXUninstall Controller(exceptthelastXXImplement trustXXModifyActiveDirectoryXFSMO FSMOX FSMOXXActiveDirectorySiteCreate/DeleteanActivedirectoryXCreate/DeleteaXAssociateasubnetwithaXCreate/DeleteanActiveDirectorySiteXConfigureasiteXManageGlobalCatalogXXAuthorizeaDCHPXConfigureDNSintheXConfigureDNSinaXXConfigureGPOintheXConfigureGPOinaXXActiveDirectoryBackup/RootControllersXChildControllersXDisasterRecoveryXAdmins(1)Admins(2)UserCreate/DeleteauserDisable/EnableauserRenameanuserUnlockauserResetuserGroupCreate/DeleteaRenameaModifygroupComputerCreate/DeleteacomputerDisable/EnableacomputerJoinacomputertoLocalAdministratorrightontheRemotecontroltheOrganizationalUnitCreate/DeleteDelegatepermissionsontheOUCreate/DeleteaGPOinActiveLinkaGPOinActiveModify 定义"Servers"OUActiveDirectoryServer“LocalAdmins”理自己的范围。如从门店A“LocalAdmins”不能修改门店B的对为了配置这些，最佳的配置方法是把用户帐户加到Globalgroup中，再把Globalgroup加到一个ABC项目中创建必要的管理组。因此，每个角色需创建一个域本地组和一个全局组GroupCreated<ServerGlobalLocalGroups<AccountGlobalLocalGroupsGlobalLocalGroups<WorkstationGlobalLocalGroups<LocalAdminsSiteGlobalLocalGroups<LocalAdminsSiteGlobalLocalGroups…<LocalAdminsSiteGlobalLocalGroups下表描述了不同的角色被赋予必要的权限并被管理不同OU。当没指定,将继承父OU。.HeadOffice（总店）OUOUofpermissions<ServerCreateDeleteComputerobjectsFullControlonComputerobjects<AccountGroupsCreateDeleteGroupchildobjectsFullControlonGroupobjects<AccountGroupsCreateDeleteGroupchildobjectsFullControlonGroupobjects<AccountGroupsCreateDeleteGroupchildobjectsFullControlonGroupobjects<AccountCreateDeleteUserchildobjectsFullControlonUserobjectsGroupsRead/WritePropertiesonGroupGroupsRead/WritePropertiesonGroupGroupsRead/WritePropertiesonGroupChangePasswordResetpasswordResetlockouttimeChangegroup<WorkstationCreateDeletecomputerchildobjectsFullControloncomputerobjectsOUOUofpermissions<ServerCreateDeleteComputerobjectsFullControlonComputerobjects<AccountGroupsCreateDeleteGroupchildobjectsFullControlonGroupobjects<AccountGroupsCreateDeleteGroupchildobjectsFullControlonGroupobjects<AccountCreateDeleteUserchildobjectsFullControlonUserobjectsChangePasswordResetpasswordResetlockouttimeChangegroup<WorkstationCreateDeletecomputerchildobjectsFullControloncomputerobjects<Local<Store>CreateDeletecomputerchildobjectsFullControloncomputerobjectsCreateDeleteGroupchildobjectsFullControlonGroupobjectsCreateDeleteUserchildobjectsFullControlonUserobjects这个图标说明了ABC这个模型是怎样把权限运用到OU层AdminsFullcontrol<countryHead(Modifygroupmemberhsip,Modifyuseraccount)

GroupsAdminsGroupsGlobalGroupsLocalGroups

AccountOperators(Create/Editgroups,Create/Edituseraccounts)ServerAdminsComputeraccounts)Service

WorkstationAdminscomputeraccounts)Local(FullControloncomputer,userandgroupobjects)(Modifygroupmemberhsip,Modifyuseraccount)

LocalGroupsGlobalGroupsLocalServiceAccounts

AccountOperators(Create/Editgroups,Create/Edituseraccounts)ServerAdmins(ManagecomputerWorkstationAdminscomputeraccounts)B.7.8.3管理模型配用dsacls命令向OU申请管理模型。这个在HeadOffice（总部）是唯一的，可以被使用设计"ApplyDelegation.vbs"自动创建OU层次和在ActiveDirectory中配置开启森林中的管假要为多个国家提供管理服务,委派的模式依然是同样的。管理员从外部的森林进入全ABLocalABLocalLocalLocal为了确定获取建立的森林信任,SID过滤和单一信任必须能使用。当创建森林信任,选择"单一引入"，将出现"信任的方向"框ActiveDirectorySIDHistory的属性。(SIDHistory是域管理员加载给用户过期的安全表识符)在AD迁移期间，迁移的用户能使用他们的以前的SID资源。且同意他们未被的权限。为了防止此类型的，Windows2003能自动地在域控制器上打开SID当建立森林信任，它可能进一步制约对资源在信任的森从被信任的森林使用"有选择性的认证"这森林信任的选择性验证可以限制对委托域中组的，这些组已经给信任域中的计算机对象（源计算机）AD予“AllowedtoAuthenticate”的权限。ActiveDirectory树选择存放计算机对象的在一个单一的域森,企业管理员组和域管理员组是唯一允许批准DHCP在ActiveDirectory中服务CarrefourDCHPContainerof<LocalRead,Write,CreateallChildGroupsAdmins”OU中创造一个包含所有本地管理员组权限的域本地组。 =Services,DC=<CountryCode>dom,DC=corp/G<AllLocalAdmins组策默认域策略定义域中所有用户的策略和帐户锁定策略。不支持在同一个域中使用不同的和帐.不能包含全部或部分的用户帐户名6英文大写字符（A英文小写字符（a10（0非字母字符（如~@$^&*_| 期间必须保护企业免受猜测和减少 域管理员和Guest推荐禁用和重命名域管理员和Guest帐户必须重命名。如果通过默认的域策略改变它们，那么将被应用到域的每台计算机:DC、服务器和根据推荐,GuestDefaultEnpassword0umpassword90Minimumpassword01MinimumPassword07PasswordmustmeetcomplexityAccountAccountlockoutNot5Accountlockout05ResetaccountlockoutcounterNot5ComputerConfiguration Windows SecuritySecurityAccount passwordhistory 13passwordsrememberedumpasswordage 90daysMinimumpassword 1Minimumpassword 7Passwordmustmeetcomplexity Storepasswordsusingreversible AccountPolicies/AccountAccountlockout 5Accountlockout 5invalidlogonResetaccountlockoutcounter 5Account userlogonumlifetimeforserviceticketumlifetimeforuserticketumlifetimeforuserticketumtoleranceforcomputerclock1075LocalPolicies/Security NetworkSecurity Network logoffwhenlogonhours Networksecurity:LANManagerauthentication SendNTLMv2responseonly\refuse Administrator和Guest帐户停用。ComputerConfiguration Windows LocalSecurityAuditaccountlogon Success,Auditaccount Success,Auditdirectoryservice Success,Auditlogon Success,Auditobject Success,Audit Auditprivilege Success,Auditprocess NoAuditsystem LocalPolicies/UserRights DefaultsettingsLocalPolicies/Security Accounts Accounts:Administratoraccount Accounts:Guestaccount Accounts:Limitlocalaccountuseofblankpasswordstoconsolelogononly

Audit Audit:Audittheaccessofglobalsystem Audit:AudittheuseofBackupandRestore Audit:Shutdownsystemimmediayifunabletologsecurityaudits

Devices Devices:Preventusersfrominstallingprinter member:Digitallyencryptorsignsecurechanneldata(always)

In ctiveLogon ctivelogon:Donotdis ylastusername ctivelogon:Donotrequire ctivelogon:Numberofpreviouslogonstocache(in controllerisnotavailable) ctivelogon:Promptusertochangepasswordbefore ctivelogon:Require Controllerauthenticationtounlockworkstation

014daysNetwork

networkserver:Digitallysignnetworkserver:Digitallysigncommunications

NetworkAccess Networkaccess:AllowanonymousSID/Name Networkaccess:DonotallowanonymousenumerationofSAMaccountsNetworkaccess:DonotallowanonymousenumerationofSAMaccountsandsharesNetworkaccess:Donotallowstorageofcredentialsor.NETPassportsfornetworkauthentication

NetworkSecurity NetworkSecurity Networksecurity:DonotstoreLANManagerhashvaluenextpassword

Networksecurity:LANManagerauthentication SendNTLMv2responseonly\refuseRecoveryConsole RecoveryConsole Recoveryconsole:Allowfloppycopyandaccesstoallandall

Shutdown Shutdown:Clearvirtualmemory EventLog umapplicationlog 20480umsecuritylog 102400umsystemlog 20480Preventlocalguestsgroupfromaccessingapplicationlog Preventlocalguestsgroupfromaccessingsecuritylog Preventlocalguestsgroupfromaccessingsystemlog Retentionmethodforapplication AsRetentionmethodforsecurity AsRetentionmethodforsystem As网络服务设ActiveDirectory1DNSDNSDNS服务器：这个根区域内容委派DNSDNSDNS服务器。2WindowsServer2003DNS服DNS名称空间去查询。.方案3：没有运行在WindowsServer2003的成员服务器的环境中，那里没有被共享的根DNS服务器和森林根DNS服务器名称空间，配置各自DNS辅助区域的名称空间，并到其他名称空〈微创〉：单根的DNSABC亚洲DNSDNS区域将依赖于主机基础架构GroupDNSCorpGroupGroupActiveDirectoryIntegratedDNSZonCorpChdom.corp_MSDCSActiveDirectory使用_MSDCS区域，本地域控制器或全局编录。客户端的计算机通过这个区域定当一个域控制器开启时，通过NETLOGN在WindowsServer2003中,_namespace是 推荐使用使用DCPromo向导，不要手动创建这个_msdcsDNSActiveDirectory id>.corpDNSZoneActivedirectory-森林ad.corpDNSActiveDirectoryDNS字时，用来设置DNS服务器转发，你可以配置的DNS转发，您能配置从上向下将被询问在递归方式的多个DNS转发。如果DNS转发被设定DNS你可以配置一个time-out（暂停间隔）来告诉你PTR为了支持需要反向查找的应用(Cisco)定位IP地址设计决定ABCDNS在域控制器，这个主要的DNSDNS 总部的 自己的A和PTR记录到DNS，对任何连接网络的网卡必需禁用动态更新，例 不能让那些易受一影响的客户端的DNS记录禁用适配器动态更新,可根据改变以册表来实现Interfaces\<Interfacename>\DisableDynamicUpdateDatatype:REG_DWORDValue:1在Windows环境中，WINS服务器通常是用来解析NETBios服务器统一放置在HeadOffice（总部）。PDC仿真机的工作量，HeadOffice（总部）DC担当副WINS服务器。国家HeadOffice（总部）DC担当主WINS服务器两台WINS服务器能够实现推拉。工作站的WINSDHCP配置在国家之间不进行WINS数据库HeadRemoteRemote 总部配置推 WindwosServer2003DHCP服务器主要为客户计算机自动分配IP地址和其它ICP/IP默认的，windows2000和高级客户端自动它们的A记录，并要求dhcp服务器它们的PTR记录。在ABC环境里，当没有win2000以前的版本或unix机器，则不需要dhcp支持，所以没有必要去4.DNSdynamicupdateofpointer(PTR)nameDNS DHCP3.DNSdynamicupdateofhost(A)name

2.IPlease

1.IPleaseDHCP当DHCP服务被安装在域控制器,并且它被配置执行的动态系统(DDNS)更新代表它的客户DNS区域以安全动态更新,DHCP服务器也许重写DHCP服务器没有写作的这归结于DHCP服务运行以系统帐户在域控制器上。它可能绕过这个命名扮演DHCP服务以一个专.设计决定时间服windows2003,xp2000windows2003,xp2000在认证工作中,二台计算机之间在森最小容差值少于5分钟。这时间值是可配置的,可以设置为更域中使用Kerberos协议验证失败，用户无法登陆并Windows资源在windows2003服务器上windowstimeserver是提供网络时间同步。在毫秒之内的同步需要另外的Windows2000/XP/2003计算机启动时同步windowsservertime，同步被执行在三种PDCReliableexternalTimeReliableexternalTimePDCMemberControllerfromSynchronizewithPDCEmulatorfromitsreliableexternalTimeSource当没有外部时间来源,PDCActiveDirectory中是非常重要的。所以,推荐有的外部时间同步PDCE。例,这个时间来源可以是在因特网上的原NTP服务器。.SeeandThelistofpublicNTPServersforAsiaismaintainedat设计推荐 在PDC令提示符中执行下列命名w32tm/config/syncfromflags:manual/manualpeerlist:[FQDNaddressofpublicNTPserverforthecountry],0.w32tm/config/updatew32tm/resync标题xxxxDesignISO3166Englishcountrynames（3166ISO3166参考内资源:Thisliststatesthecountrynames(officialshortnamesinEnglish)inalphabeticalorderasgiveninISO3166-1andthecorrespondingISO3166-1-alpha-2code