xxx企业AD规划建议书.doc

XXX企业AD 综合管理策略建议书总页数17正文14附录生效日期：2004-4-1编制： 审核：版本：Ｖ2．０　Ø   引言Active Directory 作为目前微软网络系统的基础架构管理系统，随着应用系统得增加，AD 本身的管理直接影响到其他应用的管理；所以AD管理是基础中的基础，本文是针对XXX企业 5000人规模的AD作的一些指导性的管理规则Ø   阅读对象ＣＩＯ/企业信息主管基于ＡＤ应用程序的管理者ＡＤ的管理人员目录Ø 引言 2Ø 阅读对象 21 帐号管理 51.1 计算机帐号命名规则 51.2 员工帐号命名规则 51.3 用户Logon Name 的命名规则： 61.4 其他帐号属性填写规则 61.5 帐号安全策略规则 61.6 停用删除帐号规则 71.7 帐号管理者 71.8 Administrator 管理规则 72 组管理 72.1 域模式规则 82.2 内置组的管理 82.3 基于管理角色的自定义组建立规则 92.4 分发组管理 102.5 组的使用基本原则 113 组织单元管理 113.1 ＯＵ的层次结构规划 113.2 帐号OU规划 123.3 成员服务器管理OU的建立规则 143.4 基于资源的OU管理 153.5 权限委派管理原则 164 组策略管理 174.1 规划GPO原则 174.2 GPO的管理原则 175 域控制器及站点部署规则 185.1 DC 规划管理原则： 185.2 AD管理帐号组的建立规则 185.3 Site 规划管理原则： 195.4 DC 硬件配置需求 206 小结1       帐号管理在AD 管理中，有两种帐号，计算机帐号和用户帐号，对于XXX企业 5，000员工的规模，基本上每个员工对应一个计算机帐号和用户帐号，部分员工甚至对应多个帐号，这样大约有10，000多个帐号需要管理，考虑到企业的增长和人员变动情况，下面我们分别讨论对应的管理策略。

1.1    计算机帐号命名规则缺省的情况下：AD中的计算机帐号就是加入到域中的计算机的NetBIOS名；我们也可以通过创建一个计算机帐号对应目标计算机的GUID，虽然计算机帐号的名字可以超过15位，但实际的管理中，AD只取前15位；所以，对计算机帐号的管理我们建议按照NetBIOS名的规范去做即可：1．  计算机名的长度不能超过15位2．  计算机名应尽可能反映出物理使用者的信息，如可以通过以下的规则定义： XX_YYY_ZZZZZZZZ其中：XX 代表物理site YYY 代表部门名 ZZZZZZZZ 可以用不超过8位的字母代表用户，基本上能让管理者能方便的查询到用户如：HZ_IT_Zhangsan 代表杭州IT部的张三的计算机；1.2    员工帐号命名规则员工帐号是AD管理的一个重点，因为帐号有许多的属性，需要作统一规范；考虑到XXX企业 是跨国公司，其企业文化按照美国文化为主，建议规则如下：First name：如果有英文名则用英文名，否则用汉语拼音全名；Last name ：如果有英文姓则用英文姓，否则用汉语拼音姓；Display name ：取系统自动，可以加其他字符作区分。

如中文名例：张三First name：JerryLast name：ZhangDisplay name：Jerry Zhang (张三)1.3    用户Logon Name 的命名规则：目前采用的是员工号为Logon Name；这样可以保证用户名在全球企业范围内的唯一；对临时员工或外包员工，在必要的情况下可以按以下规则建立帐号：V-Username ,其中V-代表是临时、外包性质，Username 取用户通用名，保证其唯一性即可；1.4    其他帐号属性填写规则AD账户的属性，在基于AD的应用中有着丰富的作用，建议以下属性填写正确的内容：²        所属部门：按照HR规定的缩写²        号码：分级号码²        移动：个人移动号²        办公室位置：中（英）文信息，详细到楼层；1.5    帐号安全策略规则为保证必要的安全性，减少网络入侵的可能性，建议通过组策略，强制以下账户策略：²        使用强密码；²        最小密码长度5位²        密码每60天必须改变²        密码保留历史纪录为3个²        密码锁定阈值 5 次，自动解锁时间3分中²        并对以下时间作审计：n         审核策略更改n         审核登录事件n         审核帐户登录事件n         审核帐户管理1.6    停用删除帐号规则一般不轻易删除帐号，对离职员工帐号作“禁用”设置；1.7    帐号管理者为降低管理成本，可以同过委派的方式，将帐号的完全管理权限委派给以下组：²        HelpDesk_Account_Admin ²        HR_CreatAccount 并且严格控制其组成员，建议每个物理站点不超过2个成员；1.8    Administrator 管理规则由于Administrator的特殊地位，依照安全性原则，建议如下：1．  更改名字到普通的用户名2．  建立一个假的administrator 账号3．  每30天更换一次真administrator 账号口令4．  平时不用administrator 作交互式登录和网络访问，必要时用“Runas”命令实现切换；2       组管理在AD 的管理范畴中，组是用来组织管理用户的，组又分为安全组合分发组，下面我们具体讨论。

2.1    域模式规则为更好的发挥安全组的作用，域模式建议采用纯模式（Native Mode）安全组是用来分发权限的，在 AD 中，有三种安全组：域本地组、域全局组和通用组，在先前兼容的模式—混合模式下（Mix Mode），同以类组之间是不能嵌套，组成员也有限制，最多5000个成员在纯模式下（Native Mode）没有该限制，而且通用组只能存在于纯模式2.2    内置组的管理AD 有8 个系统内置组，主要是做系统维护管理的，缺省的情况下，用好内置组，80% 管理工作如下图：图2.2 系统内置组内置组的管理策略，见下表：组名目的建议增强安全性成员Administrators成员可以执行操作系统支持的所有功能严格控制成员数目；建议 3个；可通过组策略严格控制成员列表　Backup Operators成员可以备份和恢复计算机上的文件，而不管这些文件的权限如何他们还可以登录计算机和关闭计算机，但不能更改安全性设置建议每物理站点1个成员可通过组策略严格控制成员列表；可以考虑把备份的权利和恢复的权利独立分开，付给不同的用户角色，以提高安全性；　　Server Operators管理域中的服务器组成员为：给地理分支的Service Account可通过组策略严格控制成员列表；　　　Account Operators管理域中帐号组成员是：HelpDesk_Account_Admin 和HR_CreatAccount 可通过组策略严格控制成员列表；　　　print Operators管理域中的打印机建议每物理站点1个成员可通过组策略严格控制成员列表；　　　Replicator该组用于配置目录复制服务。

清空可通过组策略严格控制成员列表；　　　guests该组提供对系统资源的有限访问除系统成员帐号外，不添加任何帐号可通过组策略严格控制成员列表；　　　users 所有域中的用户保留缺省　　表2 内置组的管理策略2.3    基于管理角色的自定义组建立规则在实际工作中，仅仅靠AD的系统内置组还不能完全实现高效管理，建议按照管理角色来建立相应的安全组，通过把日常的任务角色化，可以实现规范化管理如：Help-desk 的管理员可能只需要修改用户密码的权限而不需要完整的管理员权限所以可以定义这样一个角色拥有修改密码的单一权限，然后付给某一个组结合XXX企业 目前的业务系统，推荐如下表：管理组目的成员Site _Topology Admins可以管理 Active Directory Site Topology，负责Site间、内的AD复制　 Machine_Account Creation可以有把计算机加入到域中的权力　ut_user_admins管理企业的用户帐号　ut_group_admins管理企业的用户组　ut_computer_admins管理企业的计算机帐号　ut_ou_admins管理企业的OU　HelpDesk_reset_pw重设用户密码的权力　VPN_Account_Creation可以建立VPN的拨入用户　Mail_account_creation 可以建立邮箱帐号　其他基于AD应用的管理角色可以委派相应管理任务　表2.3 基于管理角色的管理组设计策略建立规则如下：²        组名尽量反映建组目的，但长度不要超过30字符；²        所有的自定义管理角色组缺省都是域本地组，成员为其他基于组织目的的域全局组和成员；²        域本地组之间不嵌套；²        域全局组可以嵌套，建议不要超过2层，必要的时候可以使用通用组来满足复杂的管理需求；2.4    分发组管理分发组是相对于安全组的，不用于AD权限得分配，主要应用在Exchange 中，可以实现邮件分发的作用。

根据XXX企业 的现状，可以考虑按照部门建立其对应的分发组，实现邮件分发，通过邮件的形式来讨论问题推荐如下表：分发组的建立目的成员基于技术的各种分发组；可参考现有的BBS讨论组用户自愿加入和委派加入基于行政的各种分发组；基本上按照组织机构建立按照HR的分配基于管理/应用需要的分发组按照管理/应用的需求表2.4 分发组的设计策略 2.5    组的使用基本原则对企业来说，用户的管理往往借助于组的管理来实现的，其基本原则是“A G （U） DL P”的思想，就是通过全局组把需要授权的用户组织起来，通过本地组跟具体的权限邦定，然后把组织好的全局组加入到相应的付好权限的本地组中在必要的情况下；可以使用域全局组的嵌套，或多域情况下使用通用组来实现大规模的人员组织情况3       组织单元管理组织单元（OU）是一个容器对象，我们可以把域中的对象组织成逻辑组，所以OU纯粹是一个逻辑概念，它可以帮助我们简化管理工作3.1    ＯＵ的层次结构规划在AD中我们的管理单元基本就是OU，通过权限委派和组策略来实现管理所以如何管理OU是非常重要的在这里我们可以依照以下原则来建立ＯＵ：１．ＯＵ的建立基本上可以以物理机构和行政组织为基础划分２．ＯＵ的建立目的是从管理的角度出发的，绝不是行政组织的简单对应。