AD域控规划方案.doc

活动目录AD规划方案 1.1. 活动目录简介活动目录是Windows网络体系构造中一种基本且不可分割的部分，它为网络的顾客、管理员和应用程序提供了一套分布式网络环境设计的目录服务活动目录使得组织机构可以有效地对有关网络资源和顾客的信息进行共享和管理此外，目录服务在网络安全面也扮演着中心授权机构的角色，从而使操作系统可以轻松地验证顾客身份并控制其对网络资源的访问同等重要的是，活动目录还担当着系统集成和巩固管理任务的集合点活动目录提供了对基于Windows的顾客账号、客户、服务器和应用程序进行管理的唯一点同步，它也协助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成，从而实现巩固目录服务并简化对整个网络操作系统的管理公司也可以使用活动目录服务安全地将网络系统扩展到Internet上活动目录因此使既有网络投资升值，同步，减少为使Windows网络操作系统更易于管理、更安全、更易于交互所需的所有费用活动目录是微软多种应用软件运营的必要和基本的条件下图表达出活动目录成为多种应用软件的中心1.2. 应用Windows Server AD的好处Windows AD简化了管理，加强了安全性，扩展了互操作性。

它为顾客、组、安全服务及网络资源的管理提供了一种集中化的措施应用Windows AD之后，公司信息化建设者和网络管理员可以从中获得如下好处：1、以便管理,权限管理比较集中，管理人员可以较好的管理计算机资源2、安全性高，有助于公司的某些保密资料的管理，例如一种文献只能让某一种人看,或者指定人员可以看,但不可以删/改/移等3、以便对顾客操作进行权限设立，可以分发，指派软件等,实现网络内的软件一起安装4、诸多服务必须建立在域环境中，对管理员来说有好处:统一管理,以便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的多种设立与管理)等5、使用漫游账户和文献夹重定向技术，个人账户的工作文献及数据等可以存储在服务器上，统一进行备份、管理，顾客的数据更加安全、有保障6、以便顾客使用多种资源7、SMS（System Management Server）可以分发应用程序、系统补丁等，顾客可以选择安装，也可以由系统管理员指派自动安装并能集中管理系统补丁（如Windows Updates），不需每台客户端服务器都下载同样的补丁，从而节省大量网络带宽8、资源共享顾客和管理员可以不懂得她们所需要的对象的确切名称，但是她们也许懂得这个对象的一种或多种属性，她们可以通过查找对象的部分属性在域中得到一种所有已知属性相匹配的对象列表，通过域使得基于一种或者多种对象属性来查找一种对象变得也许。

9、管理A、 域控制器集中管理顾客对网络的访问，如登录、验证、访问目录和共享资源为了简化管理，所有域中的域控制器都是平等的，你可以在任何域控制器上进行修改，这种更新可以复制到域中所有的其她域控制器上B、 域的实行通过提供对网络上所有对象的单点管理进一步简化了管理由于域控制器提供了对网络上所有资源的单点登录，管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象在NT网络中，当顾客一次登陆一种域服务器后，就可以访问该域中已经开放的所有资源，而无需对同一域进行多次登陆但在需要共享不同域中的服务时，对每个域都必须要登陆一次，否则无法访问未登陆域服务器中的资源或无法获得未登陆域的服务10、可扩展性 在活动目录中，目录通过将目录组织成几种部分存储信息从而容许存储大量的对象因此，目录可以随着组织的增长而一同扩展，容许顾客从一种具有几百个对象的小的安装环境发展成拥有几百万对象的大型安装环境11、安全性 域为顾客提供了单一的登录过程来访问网络资源，如所有她们具有权限的文献、打印机和应用程序资源也就是说，顾客可以登录到一台计算机来使用网络上此外一台计算机上的资源，只要顾客具有对资源的合适权限域通过对顾客权限合适的划分，拟定了只有对特定资源有合法权限的顾客才干使用该资源，从而保障了资源使用的合法性和安全性。

12、可冗余性每个域控制器保存和维护目录的一种副本在域中，你创立的每一种顾客帐号都会相应目录的一种记录当顾客登录到域中的计算机时，域控制器将按照目录检查顾客名、口令、登录限制以验证顾客当存在多种域控制器时，她们会定期的互相复制目录信息，域控制器间的数据复制，促使顾客信息发生变化时（例如顾客修改了口令），可以迅速的复制到其她的域控制器上，这样当一台域控制器浮现故障时，顾客仍然可以通过其她的域控制进行登录，保障了网络的顺利运营1.3. 明确系统规划目的公司的Windows AD系统规划构建是为公司信息化建设服务的，需要达到如下战略目的：l 环绕公司的战略发展需要，进行公司信息化建设系统规划，满足公司3-5年的业务发展对IT建设的规定；l 以业务为驱动，通过有效的信息系统，加强信息共享和协同办公，提高工作效率，减少成本；l 整合公司既有信息资产，加强公司管理与监控；从信息中挖掘知识，提高经营决策与驾驭风险的能力；l 推动知识管理理念，建立知识型公司，增强公司的核心竞争力Windows AD系统规划实行的具体目的如下：l 规划和部署基于Windows AD的公司目录服务，一方面实现顾客的单一登录，保障网络系统安全；l 通过AD实现顾客桌面的集中和自动管理，分发软件补丁；l 进一步部署微软的有关应用平台软件，如实现基于Exchange 的公司内部邮件和协作服务，1.4. 活动目录设计方案为公司设计一种域，顾客的所有计算机（服务器和客户机）所有加入到域，顾客实现单一登录和管理员通过域组方略实现安全及桌面管理。

AD架构拓扑如下 1.5. 活动目录优势1. 计算机工作组管理和AD管理比较 对于基于Microsoft Windows操作系统的计算机运营和管理在两种模式下：工作组(workgroup)和域(domain) 在工作组模式下，计算机处在一种孤立状态，使用计算机的顾客登录帐号和计算机的管理均须在每台计算机上创立或进行当计算机超过20台以上时，计算机的管理变得越来越困难，并且要为顾客创立越来越多的访问网络资源的帐号，顾客要记住多种访问不同资源的帐号而在域的模式下，顾客只需记住一种域帐号，即可登录访问域中的资源并且管理员通过组方略，可以轻松配备顾客的桌面工作环境和加强计算机安全设立域模式下所有的域帐号保存在域控制器的活动目录数据库中2. 为什么要提供目录服务?对更加强大、透明且高度集成的目录服务的不断需求是由爆炸性增长的网络计算所导致的随着局域网（LAN）、广域网（WAN）规模与复杂性的不断提高和这些网络不断被连入Internet，以及应用程序对网络的依赖限度不断增强并不断被链接到协作公司网中的其他系统上，对目录服务的需求也日渐增多基于下列因素，目录服务成为扩展的计算机系统中最重要的部件之一： l 简化管理 提供对顾客、应用程序和设备的单一、一致性的管理点。

l 加强安全性 向顾客提供单一的网络资源登录，为管理员提供强大、一致性的工具以使她们可以管理为内部台式机顾客、远程拨号顾客以及外部电子商务客户提供的安全服务 l 扩展的互操作性 向所有活动目录特性提供基于原则的存取方式以及对通用目录的同步支持目录服务兼任管理工具和顾客工具随着网络中对象数量的增长，目录服务变得必不可少目录服务在一种庞大的分布式系统中发挥着网络集线器的作用致力于这些需求，Windows 服务器版引入了活动目录--即一套用于改善Windows网络操作系统管理、安全性和互操作性的完整的目录服务集下图描述了活动目录带来的计算机安全和管理上的某些最重要的好处3. AD简化了计算机系统管理 分布式系统常常导致时间的消耗和管理的冗余当公司在她们的基本构造上添加应用程序并雇用新的职工时，她们需要合适地向各桌面系统分发软件并管理多种应用程序目录通过在单一的位置管理顾客、组和网络资源以及分发软件和管理桌面系统配备，活动目录可以明显减少公司的管理费用例如，活动目录在同一种位置管理Windows顾客和Microsoft Exchange邮箱信息基于下列因素，活动目录可以从如下方面协助公司简化管理： l 消除冗余管理任务 提供对Windows顾客账号、客户、服务器和应用程序以及现存目录同步能力进行单一点管理。

l 减少桌面系统的行程 针对顾客在公司中所担当的角色自动向其分发软件，以减少或消除系统管理员为软件安装和配备而安排的多次行程 l 更好的实现IT资源的最大化 安全地将管理功能分派到组织机构的所有层次上 l 减少总体拥有成本（TCO） 通过使网络资源容易被定位、配备和使用来简化对文献和打印服务的管理和使用4. 加强安全性强大且一致的安全服务对公司网络而言是必不可少的管理顾客验证和访问控制的工作往往单调乏味且容易出错活动目录集中进行管理并加强了与组织机构的商业过程一致、且基于角色的安全性例如，对多身份验证合同（如Kerberos，X.509认证以及由灵活的访问控制模型构成的智能卡）的支持实现了对于内部桌面系统顾客、远程拨号顾客和外部电子商务客户强大且一致的安全服务活动目录使用如下措施增强安全性： 改善了密码的安全性和管理 通过向网络资源提供单一的集成、高性能且对终端顾客透明的安全服务 保证桌面系统的功能性 通过根据终端顾客角色锁定桌面系统配备来避免对特定客户主机操作进行访问，例如软件安装或注册项编辑 加速电子商务的部署 通过提供对安全的Internet原则合同和身份验证机制的内建支持，如Kerberos, 公开密钥基本设施（PKI）和安全套接字合同层（SSL）之上的轻便目录访问合同（LDAP）。

紧密的控制安全性 通过对目录对象和构成她们的单独数据元素设立访问控制特权1.6. 重要组方略简介1. 软件分发方略通过组方略可觉得域中的计算机或顾客自动分发带有msi包的软件2. 将顾客的个人数据从pc机上重定向到服务器上重定向有助于数据的安全以及集中备份3. 安全类组方略l 密码方略² “强制密码历史”设立拟定在重用旧密码之前必须与顾客帐户有关的唯一新密码的数量² 配备“密码最长有效期限”设立，以便密码在环境需要时过期² “密码最短有效期限”设立拟定了顾客更改密码之前必须使用密码的天数² “最短密码长度”设立保证密码至少涉及指定数量的字符² “密码必须符合复杂性规定方略”选项检查所有新密码以保证它们符合强密码的基本规定账号锁定方略帐户锁定方略是一项 Windows Server 安全功能，它在指定期间段内多次登录尝试失败后锁定顾客帐户容许的尝试次数和时间段是由为安全方略锁定设立配备的值决定的顾客不能登录到锁定的帐户² “帐户锁定期间”设立拟定在未锁定帐户且顾客可以尝试再次登录之前所必须经历的时间长度² “帐户锁定阈值”设立拟定顾客在帐户锁定之前可以尝试登录帐户的次数² “复位帐户锁定计数器”设立决定了“帐户锁定阈值”复位为 0 以及帐户被解锁之前所必须通过的时间长度。

l 禁用本地管理员帐号 默认状况下，每台加入到域中的计算机均有Administrator和Guest两个帐号，Administrator帐号在安装时口令为空顾客使用这个帐号权限过大，因此一般不会给顾客使用这个管理员帐号，最佳的做法就是通过组方略禁用这个帐号，。