企业AD域控规划方案

1、企业活动目录活动目录AD计划方案目录1.前言32.active directory计划32.1 active directory简介32.2 .应用Windows 2003 Server AD的优点42.3明确的系统计划目标62.4 active directory设计73.回答用户感兴趣的问题83.1 active directory优势83.2重要的组策略介绍103.3计算机可以从工作组加入域的问题和解决方法144.active directory程序实施154.1.AD域命名和DNS计划154.2确定AD逻辑结构154.3识别AD物理结构164.4 OU结构和组策略计划174.5 .创建

2、OU以管理和委派184.6 .OU生成的组策略支持184.7应用组策略选项194.8硬件设备选择建议205.active directory服务内容215.1可行性研究215.2计划active directory部署程序215.3 active directory服务部署215.4制定active directory管理和维护规范225.5工程师定期维护事件目录225.6 active directory紧急情况处理225.7信息整理和存档235.8教育系统管理员236.服务质量保证247.部分成功案例271.前言本文结合深圳协会软件数据系统有限公司长期为客户提供全面的IT顾问咨询服务和应用

3、解决方案所积累的丰富经验，为企业规划Windows 2003 AD企业目录服务提供解决方案建议。由于计算机安全和管理的需要，IT部门计划部署active directory，所有计算机都分阶段加入域中，以通过active directory加强计算机安全和桌面管理，并建立牢固的基础架构，以便部署更多Microsoft产品(如Exchange和SMS)。程序包含以下组件：L active directory总体规划l用户对解决问题感兴趣实施L active directory方案L active directory服务项目l服务质量保证l协会软公司成功案例2.active directory规划

4、设计稳定、可靠、可扩展的active directory体系结构对企业网络的管理和安全具有重要意义，对于部署Exchange等Microsoft相关产品具有决定性的作用。2.1 active directory简介Active directory是Windows 2003网络体系结构不可缺少的一部分，它为网络中的用户、管理员和应用程序提供了一套针对分布式网络环境而设计的目录服务。使用Active directory，组织可以有效地共享和管理有关网络资源和用户的信息。目录服务还充当网络安全中的中央认证机构，使操作系统能够轻松验证用户身份并控制对网络资源的访问。同样，active director

5、y还负责系统集成和集成管理任务的集合。通常，active directory中的这些功能使组织能够将标准化的业务规则应用于分布式应用程序和网络资源，而无需管理员维护单独的专用目录。Active directory提供了管理基于Windows的用户帐户、客户、服务器和应用程序的唯一地点。组织还可以使用基于Windows的应用程序和兼容Windows的设备集成非Windows系统，从而整合目录服务并简化整个网络操作系统的管理。公司还可以使用ad服务将网络系统安全地扩展到互联网。因此，active directory不仅节省了现有网络投资，还降低了使Windows网络操作系统更易于管理、更安全、更易

6、于交互的总成本。Active directory是运行Microsoft的各种应用程序软件的先决条件和基础条件。下图显示了active directory成为各种应用程序的中心。2.2 .应用Windows 2003 Server AD的优点Microsoft最新的网络操作系统服务器Windows 2003 Server继承了Windows 2000 Server的高级技术，易于部署、管理和使用。因此，高效的结构使网络成为单位的战略资产。应用Windows 2003 Server的优点如下表所示：优势说明可靠性Windows Server 2003是迄今为止最快、最可靠、最安全的Windows

7、服务器操作系统。l提供可确保业务信息安全的合并结构。l通过提供可靠性、实用性和可扩展性，可以提供用户所需的网络结构。效率高为了最大限度地提高效率，Windows Server 2003提供了多种工具来部署、管理和使用网络结构。l提供灵活、易于使用的工具，使设计和部署符合组织和网络的要求。l通过加强策略、自动化任务和简化升级，帮助主动管理网络。l允许用户自己处理更多任务，从而降低支持开销。连接性连接Windows Server 2003，创建可以更好地连接员工、合作伙伴、系统和客户的业务解决方案结构。l提供集成的web服务器和流媒体服务器，帮助您快速、轻松、安全地创建动态intranet和int

8、ernet网站。l提供集成的应用程序服务器，以便于开发、部署和管理XML web服务。l提供了多种工具，用于将XML web服务与内部应用程序、供应商和合作伙伴相关联。最经济结合Microsoft的许多硬件、软件和渠道合作伙伴的产品和服务，Windows Server 2003提供了最大限度地提高基础架构投资效益的选项。l为快速启动技术的完整解决方案提供简单易用的说明指南。l利用最新的硬件、软件和方法优化服务器部署，以帮助整合各个服务器。l降低用户的总拥有成本(TCO)，使投资很快获得回报。Windows 2003 Server的核心是基于Active Directory(目录服务“AD”)的

9、基础架构服务集。Windows 2003 AD简化管理，提高安全性，扩展互操作性。集中管理用户、组、安全服务和网络资源。应用Windows 2003 AD后，企业信息构建者和网络管理员可以：l系统平台基础架构。基于Windows 2003 AD计划网络基础架构，企业可以获得稳定、可扩展的基于网络的平台。不仅满足当前的网络需求，而且预测未来3-5年可能的发展需求，不需要重新投资以制定未来的网络计划，这一点也很重要。l单一登入。可以统一用户帐户设置和用户身份验证，实现用户单点登录，用户访问网络上的资源时不再需要重复输入用户名和密码。它也是企业应用程序集成的基础。基于AD的单点登录功能使不同程序之间

10、的协作和集成应用程序的实施更加容易。l网络安全。基于AD集中设置和统一用户、组和资源的操作权限，从而简化维护。l集中管理和委托授权。基于Windows 2003 active directory OU实施委派权限管理，以便在将来向子企业推广时，维护服务范围内的某些参数，如分层维护、组部门、子公司添加用户、设置权限、添加列、自定义流程等。l用户桌面管理。计划Windows 2003 OU和组策略部署，以统一计划用户台式机和用户操作环境，实现对客户计算机的集中控制管理，并增强信息管理的安全可靠性。l软件自动分发。您还可以计划Windows 2003 OU和组策略部署，自动部署、升级和删除应用程序，

11、从而实现客户端软件的集成安装管理，大大减少了软件安装配置工作。l.2.3明确的系统计划目标企业的Windows 2003 AD系统规划实施旨在构建企业信息，必须实现以下战略目标：l围绕企业的战略发展需要，实施企业信息构建系统计划，以满足企业3-5年业务发展的IT构建要求；l通过以业务为中心的有效信息系统加强信息共享和协作，提高生产效率，降低成本，l整合企业现有信息资产，加强企业管理和监控。从信息中挖掘知识，提高经营决策和风险管理能力。l推进知识管理理念，建立知识型企业，增强企业核心竞争力。实施Windows 2003 AD系统计划的具体目标是：l计划和部署基于Windows 2003 AD的企

12、业目录服务，首先实现用户的单点登录，以确保网络系统安全。l通过AD集中和自动管理用户台式机分发软件补丁程序；l通过部署Microsoft的其他相关应用程序平台软件(如实施基于Exchange 2003的企业内部邮件和协作服务)，提供2.4 active directory设计戴尔为企业设计的域，允许所有计算机(服务器和客户端)集成到域中，从而允许单点登录和管理员通过域组策略执行安全和桌面管理。AD体系结构拓扑包括：3.用户对解决问题感兴趣3.1 active directory优点1.计算机工作组管理和AD管理比较对于基于Microsoft Windows操作系统的计算机，将以两种模式运行和管

13、理：工作组和域。在工作组模式下，计算机是隔离的，使用计算机的用户登录帐户和计算机管理必须在每台计算机上创建或管理。请参阅下图。如果计算机超过20台，计算机管理变得越来越困难，访问网络资源的帐户越来越多，用户必须记住访问不同资源的多个帐户。在域模式下，用户只能记住一个域帐户，从而可以访问域中的资源。组策略使管理员可以轻松配置用户的桌面工作环境，并增强计算机安全设置。域模式下的所有域帐户都保留在域控制器的active directory数据库中。请参阅下图。2.为什么提供目录服务？对更加强大、透明、高度集成的目录服务的持续需求是由于网络计算爆炸式增长而引起的。随着局域网(LAN)、广域网(WAN)

14、大小和复杂性的增加，这些网络继续连接到internet，应用程序对网络的依赖度不断增加，并且继续连接到协作企业网络中的其他系统，对目录服务的需求也不断增加。由于以下原因，目录服务成为扩展计算机系统中最重要的部件之一：l简化管理为用户、应用程序和设备提供了单一、一致的管理点。l加强安全为用户提供单一网络资源登录，并为管理员提供功能强大且一致的工具，为内部桌面用户、远程拨号用户和外部电子商务客户管理安全服务。l扩展的互操作性为所有active directory属性提供了基于标准的访问方法和对公共目录的同步支持。目录服务还用作管理工具和用户工具。随着网络中对象数量的增加，目录服务势在必行。目录服务

15、在大型分布式系统中充当网络集线器。Windows 2000 server edition引入了active directory，active directory是一套完整的目录服务，可以满足这些需求，提高Windows网络操作系统的管理、安全性和互操作性。下图说明了active directory对计算机安全性和管理的一些最重要的优点。3.AD简化了计算机系统管理分布式系统经常导致时间消耗和管理的冗余。当企业向基础架构添加应用程序和雇用新员工时，必须在每个台式机系统上正确分发软件，并管理多个应用程序目录。Active directory通过在一个位置管理用户、组和网络资源、分发软件和管理台式机

16、系统配置，可以显着降低公司的管理成本。例如，active directory在同一位置管理Windows用户和Microsoft Exchange邮箱信息。Active directory可以简化公司的管理，原因如下：l消除重复的管理任务一次管理Windows用户帐户、客户、服务器和应用程序，以及现有目录同步功能。l减少台式机系统移动自动为用户在公司中扮演的角色分发软件，减少或消除系统管理员为软件安装和配置安排的多个时间表。l最大限度地提高IT资源和安全性，为组织的所有层分配管理功能。l降低总体拥有成本通过使网络资源易于定位、配置和使用，简化了文件和打印服务的管理和使用。4.增强安全性强大且一

17、致的安全服务对企业网络至关重要。管理用户身份验证和访问控制的任务通常很无聊，而且容易出错。Active directory进行集中管理，与组织的业务流程保持一致，并增强基于角色的安全性。例如，智能卡等多身份验证协议支持(包括Kerberos、X.509身份验证和灵活的访问控制模型)为内部桌面系统用户、远程拨号用户和外部电子商务客户提供了强大且一致的安全服务。Active directory使用以下方法增强安全性：提高密码安全性和管理能力将单个集成到网络资源中，为最终用户提供透明的安全服务。确保桌面系统的功能根据最终用户角色锁定桌面系统配置，以防止访问特定客户主机任务，如安装软件或编辑注册项。加快电子商务部署Kerberos、公共密钥基础架构(PKI)和安全套接字协议层(SSL)上的轻型目录访问(LDAP)强大的控制安全设置对目录对象和构成它们的各个数据元素的访问控制权限。3.2重要的组策略简介1.软件分发战略组策略允许自动为域中的计算机或用户分发带有MSI包的软件。请参阅下图。2.将用户的个人数据从PC重定向到服务器简化数据安全和集中备份。请参阅下图。3.安全类组策略l密码策略强制口令历史记录设置确定在重用旧口令之