AD域IT服务规划方案

企业AD域IT服务规划方案我们云帆信和结合自身长期为客户提供全面的T顾问咨询服务和应用解决方案积累起来的丰富经验，为企业规划indows012R2AD企业目录服务的解决方案建议。由于计算机安全和管理的需要T部门计划部署活动目录希望所有的计算机分阶段加入到域，通过活动目录加强计算机安全和桌面管理，并为进一步部署Exhnge、SMS等微软产品打下坚实的基础架构。设计一个稳定、可靠和扩展性良好的活动目录架构对一个企业网络的管理及安全具有重大意义，并对部署微软的相关产品如Exhne等具有举足轻重和决定性的重要意义。活动目录是indows012R2网络体系结构中一个基本且不可分割的部分它为网络的用户管理员和应用程序提供了一套分布式网络环境设计的目录服务另外目录服务在网络安全方面也扮演着中心授权机构的角色从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是，活动目录还担当着系统集成和巩固管理任务的集合点。总的来说，活动目录的这些功能使组织机构可以将标准化的商业规则贯彻于分布式应用和网络资源当中，同时，无需管理员来维护各种不同的专用目录。活动目录提供了对基于indows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时，它也帮助组织机构通过使用基于indos的应用序和与indos相容的设备对非indows统进行集成，从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也可以使用活动目录服务安全地将网络系统扩展到ntrnt上。活动目录因此使现有网络投资升值，同时，降低为使indows网络操作系统更易于管理、更安全、更易于交所需的全部费用。indows2012R2Srvr是微软最新推出的网络操作系统服务器它沿用了indows2008Srvr的先进技术并且使之更易于部署、管理和使用。其结果是：其高效结构有助于使您的网络成为单位的战略性资产。indows2012R2Srvr的核心是一组基于AtiveDirtor（目录服务，简称“AD）的基础结构服务indows2012R2AD简化了管理加强了安全性扩展了互操作性它为用户、组、安全服务及网络资源的管理提供了一种集中化的方法，企业信息化建设者和网络管理员可以从中获得如下好处：系统平台基础架构。基于indows2012R2AD规划网络基础架构，使企业获得一个稳定可扩充的网络基础平台不单单是满足当前的网络需要更关键的是预计了今后35年内可能的发展需要，使得将来的网络规划建设无需再次重复投资。单一登录可以统一用户帐户设置和用户身份验证实现用户单一登录用户访问网络中的资源不再需要反复输入用户名称和口令同时它还是企应用集成的基础。基于AD的单一登录功能，便于实现在不同程序之间的协作和集成应用。网络安全可以基于AD集中设置和统一管理用户组资源的操作权限方便维护管理。集中管理和委派授权。基于indows2012R2动目录OU实施委派授权管理，未来向下属企业推广时分级维护集团各部门下属公司可以对所辖范围内的部分参数进行维护，如增加用户、设置权限、增加栏目、自定义流程等。用户桌面管理。通过规划部署indows2012R2OU和组策略，可以统一规划用户桌面和用户操作环境实现对客户计算机的集中控制管理加强信息管理的安全可靠性。软件自动分发。通过规划部署indows2012R2OU和组策略，还可以实现应用程序的自动分发升级和删除不但可以实现客户机软件的统一安装管理而且大大减轻了软件安装配置的工作量。首先，我们为企业设计一个域，用户的所有计算机（服务器和客户机）全部加入到域，用户实现单一登录和管理员通过域组策略实现安全及桌面管理。AD架构拓扑如下。对于基于Micosoftindows操作系统的计算机运行和管理在两种模式下：工作组(orkroup和域(domin)。在工作组模式下计算机处于一个孤立状态使用计算机的用户登录帐号和计算机的管理均须在每台计算机上创建或进行。见下图。当计算机超过20台以上时，计算机的管理变得越来越困难，并且要为用户创建越来越多的访问网络资源的帐号，用户要记住多个访问不同资源的帐号。而在域的模式下用户只需记住一个域帐号即可登录访问域中的资源并且管理员通过组策略可以轻松配置用户的桌面工作环境和加强计算机安全设置域模式下所有的域帐号保存在域控制器的活动目录数据库中。见下图。分布式系统常常导致时间的消耗和管理的冗余当公司在他们的基础结构上添加应用程序并雇用新的职员时他们需要适当地向各桌面系统分发软件并管理多个应用程序目录通过在单一的位置管理用户组和网络资源以及分发软件和管理桌面系统配置活动目录可以显著降低公司的管理费用。例如，活动目录在同一个位置管理indows用户和MicosoftExhne邮箱信息。基于下列原因，活动目录可以从以下方面帮助公司简化管理：消除冗余管理任务提供对indows用户号、客户、服务器和应用程序以及现存目录同步能力进行单一点管理。降低桌面系统的行程针对用户在公司中所担当的角色自动向其分发软件以减少或消除系统管理员为软件安装和配置而安排的多次行程。更好的实现T资源的最大化安全地将管理功能分派到组织机构的所有层次上。降低总体拥有成（TCO）通过使网络资源容易被定位配置和使用来简化对文件和打印服务的管理和使用。 强大且一致的安全服务对企业网络而言是必不可少的。管理用户验证和访问控制的工作往往单调乏味且容易出错活动目录集中进行管理并加强了与组织机构的商业过程一致、且基于角色的安全性。例如，对多身份验证协议（如Krberos，X.509认证以及由灵活的访问控制模型组成的智能卡的支持实现了对于内部桌面系统用户远程拨号用户和外部电子商务客户强大且一致的安全服务。活动目录使用以下方法增强安全性：改进了密码的安全性和管理通过向网络资源提供单一的集成高性能且对终端用户透明的安全服务。 保证桌面系统的功能性通过根据终端用户角色锁定桌面系统配置来防止对特定客户主机操作进行访问，例如软件安装或注册项编辑。加速电子商务的部署通过提供对安全的nternt标准协议和身份验证机制的内建支持如Krbros,公开密钥基础设（PK和安全套接字协议（SS之上的轻便目录访问协议（DAP紧密的控制安全性通过对目录对象和构成他们的单独数据元素设置访问控制特权。 把计算机从工作组模式加入到域模式可能会出现以下2个问题： 1.一些软件不能使用。有一些软件以登录者的管理员权限帐号运行，当计算机加入到域并对登录帐号做了权限设置，或禁用了本地管理员帐号，这些需要管理员权限运行的软件就有可能不能正常运行。 2.用户桌面环境发生改变。由于加入域前后用户是用不同的帐号登录的，因此用户以前的桌面环境无法使用。具体有桌面上放置的资料“我的文档”等放置的资料配置好的“网络打印机”IE里设置好的“网站收藏夹”等。解决方法：1. 对问题1我们可以按以下两个方法来解决：(1)把域帐号加入到本地管理员组(2)卸载软件，用域帐号