AD域控规划方案.docx
- 文档编号:2082913
- 上传时间:2022-10-26
- 格式:DOCX
- 页数:16
- 大小:396.51KB
AD域控规划方案.docx
《AD域控规划方案.docx》由会员分享,可在线阅读,更多相关《AD域控规划方案.docx(16页珍藏版)》请在冰豆网上搜索。
AD域控规划方案
活动目录AD规划方案
1.1.活动目录介绍
活动目录就是Windows网络体系结构中一个基本且不可分割的部分,它为网络的用户、管理员与应用程序提供了一套分布式网络环境设计的目录服务。
活动目录使得组织机构可以有效地对有关网络资源与用户的信息进行共享与管理。
另外,目录服务在网络安全方面也扮演着中心授权机构的角色,从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。
同等重要的就是,活动目录还担当着系统集成与巩固管理任务的集合点。
活动目录提供了对基于Windows的用户账号、客户、服务器与应用程序进行管理的唯一点。
同时,它也帮助组织机构通过使用基于Windows的应用程序与与Windows相兼容的设备对非Windows系统进行集成,从而实现巩固目录服务并简化对整个网络操作系统的管理。
公司也可以使用活动目录服务安全地将网络系统扩展到Internet上。
活动目录因此使现有网络投资升值,同时,降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。
活动目录就是微软各种应用软件运行的必要与基础的条件。
下图表示出活动目录成为各种应用软件的中心。
1.2.应用Windows2012ServerAD的好处
Windows2012AD简化了管理,加强了安全性,扩展了互操作性。
它为用户、组、安全服务及网络资源的管理提供了一种集中化的方法。
应用Windows2012AD之后,企业信息化建设者与网络管理员可以从中获得如下好处:
1、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。
2、安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一个人瞧,或者指定人员可以瞧,但不可以删/改/移等。
3、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。
4、很多服务必须建立在域环境中,对管理员来说有好处:
统一管理,方便在MS软件方面集成,如ISAEXCHANGE(邮件服务器)、ISASERVER(上网的各种设置与管理)等。
5、使用漫游账户与文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。
6、方便用户使用各种资源。
7、SMS(SystemManagementServer)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。
并能集中管理系统补丁(如WindowsUpdates),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。
8、资源共享
用户与管理员可以不知道她们所需要的对象的确切名称,但就是她们可能知道这个对象的一个或多个属性,她们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表,通过域使得基于一个或者多个对象属性来查找一个对象变得可能。
9、管理
A、域控制器集中管理用户对网络的访问,如登录、验证、访问目录与共享资源。
为了简化管理,所有域中的域控制器都就是平等的,您可以在任何域控制器上进行修改,这种更新可以复制到域中所有的其她域控制器上。
B、域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。
因为域控制器提供了对网络上所有资源的单点登录,管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象。
在NT网络中,当用户一次登陆一个域服务器后,就可以访问该域中已经开放的全部资源,而无需对同一域进行多次登陆。
但在需要共享不同域中的服务时,对每个域都必须要登陆一次,否则无法访问未登陆域服务器中的资源或无法获得未登陆域的服务。
10、可扩展性
在活动目录中,目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。
因此,目录可以随着组织的增长而一同扩展,允许用户从一个具有几百个对象的小的安装环境发展成拥有几百万对象的大型安装环境。
11、安全性
域为用户提供了单一的登录过程来访问网络资源,如所有她们具有权限的文件、打印机与应用程序资源。
也就就是说,用户可以登录到一台计算机来使用网络上另外一台计算机上的资源,只要用户具有对资源的合适权限。
域通过对用户权限合适的划分,确定了只有对特定资源有合法权限的用户才能使用该资源,从而保障了资源使用的合法性与安全性。
12、可冗余性
每个域控制器保存与维护目录的一个副本。
在域中,您创建的每一个用户帐号都会对应目录的一个记录。
当用户登录到域中的计算机时,域控制器将按照目录检查用户名、口令、登录限制以验证用户。
当存在多个域控制器时,她们会定期的相互复制目录信息,域控制器间的数据复制,促使用户信息发生改变时(比如用户修改了口令),可以迅速的复制到其她的域控制器上,这样当一台域控制器出现故障时,用户仍然可以通过其她的域控制进行登录,保障了网络的顺利运行。
1.3.明确系统规划目标
企业的Windows2012AD系统规划构建就是为企业信息化建设服务的,需要达到以下战略目标:
●围绕企业的战略发展需要,进行企业信息化建设系统规划,满足企业3-5年的业务发展对IT建设的要求;
●以业务为驱动,通过有效的信息系统,加强信息共享与协同办公,提高工作效率,降低成本;
●整合企业现有信息资产,加强企业管理与监控;从信息中挖掘知识,提高经营决策与驾驭风险的能力;
●推进知识管理理念,建立知识型企业,增强企业的核心竞争力。
Windows2012AD系统规划实施的具体目标如下:
●规划与部署基于Windows2012AD的企业目录服务,首先实现用户的单一登录,保障网络系统安全;
●通过AD实现用户桌面的集中与自动管理,分发软件补丁;
●进一步部署微软的相关应用平台软件,如实现基于Exchange2003的企业内部邮件与协作服务,
1.4.
活动目录设计方案
为企业设计一个域,用户的所有计算机(服务器与客户机)全部加入到域,用户实现单一登录与管理员通过域组策略实现安全及桌面管理。
AD架构拓扑如下。
1.5.活动目录优势
1.计算机工作组管理与AD管理比较
对于基于MicrosoftWindows操作系统的计算机运行与管理在两种模式下:
工作组(workgroup)与域(domain)。
在工作组模式下,计算机处于一个孤立状态,使用计算机的用户登录帐号与计算机的管理均须在每台计算机上创建或进行。
见下图。
当计算机超过20台以上时,计算机的管理变得越来越困难,并且要为用户创建越来越多的访问网络资源的帐号,用户要记住多个访问不同资源的帐号。
而在域的模式下,用户只需记住一个域帐号,即可登录访问域中的资源。
并且管理员通过组策略,可以轻松配置用户的桌面工作环境与加强计算机安全设置。
域模式下所有的域帐号保存在域控制器的活动目录数据库中。
见下图。
2.为什么要提供目录服务?
对更加强大、透明且高度集成的目录服务的不断需求就是由爆炸性增长的网络计算所导致的。
随着局域网(LAN)、广域网(WAN)规模与复杂性的不断提高与这些网络不断被连入Internet,以及应用程序对网络的依赖程度不断增强并不断被链接到协作企业网中的其它系统上,对目录服务的需求也日渐增多。
基于下列原因,目录服务成为扩展的计算机系统中最重要的部件之一:
●简化管理提供对用户、应用程序与设备的单一、一致性的管理点。
●加强安全性向用户提供单一的网络资源登录,为管理员提供强大、一致性的工具以使她们能够管理为内部台式机用户、远程拨号用户以及外部电子商务客户提供的安全服务。
●扩展的互操作性向所有活动目录特性提供基于标准的存取方式以及对通用目录的同步支持。
目录服务兼任管理工具与用户工具。
随着网络中对象数量的增加,目录服务变得必不可少。
目录服务在一个庞大的分布式系统中发挥着网络集线器的作用。
致力于这些需求,Windows2000服务器版引入了活动目录--即一套用于改进Windows网络操作系统管理、安全性与互操作性的完整的目录服务集。
下图描述了活动目录带来的计算机安全与管理上的一些最重要的好处。
3.AD简化了计算机系统管理
分布式系统常常导致时间的消耗与管理的冗余。
当公司在她们的基础结构上添加应用程序并雇用新的职员时,她们需要适当地向各桌面系统分发软件并管理多个应用程序目录。
通过在单一的位置管理用户、组与网络资源以及分发软件与管理桌面系统配置,活动目录可以显著降低公司的管理费用。
例如,活动目录在同一个位置管理Windows用户与MicrosoftExchange邮箱信息。
基于下列原因,活动目录可以从以下方面帮助公司简化管理:
●消除冗余管理任务提供对Windows用户账号、客户、服务器与应用程序以及现存目录同步能力进行单一点管理。
●降低桌面系统的行程针对用户在公司中所担当的角色自动向其分发软件,以减少或消除系统管理员为软件安装与配置而安排的多次行程。
●更好的实现IT资源的最大化安全地将管理功能分派到组织机构的所有层次上。
●降低总体拥有成本(TCO)通过使网络资源容易被定位、配置与使用来简化对文件与打印服务的管理与使用。
4.加强安全性
强大且一致的安全服务对企业网络而言就是必不可少的。
管理用户验证与访问控制的工作往往单调乏味且容易出错。
活动目录集中进行管理并加强了与组织机构的商业过程一致、且基于角色的安全性。
例如,对多身份验证协议(如Kerberos,X、509认证以及由灵活的访问控制模型组成的智能卡)的支持实现了对于内部桌面系统用户、远程拨号用户与外部电子商务客户强大且一致的安全服务。
活动目录使用以下方法增强安全性:
改进了密码的安全性与管理通过向网络资源提供单一的集成、高性能且对终端用户透明的安全服务。
保证桌面系统的功能性通过根据终端用户角色锁定桌面系统配置来防止对特定客户主机操作进行访问,例如软件安装或注册项编辑。
加速电子商务的部署通过提供对安全的Internet标准协议与身份验证机制的内建支持,如Kerberos,公开密钥基础设施(PKI)与安全套接字协议层(SSL)之上的轻便目录访问协议(LDAP)。
紧密的控制安全性通过对目录对象与构成她们的单独数据元素设置访问控制特权。
1.6.重要组策略介绍
1.软件分发策略
通过组策略可以为域中的计算机或用户自动分发带有msi包的软件。
见下图。
2.将用户的个人数据从pc机上重定向到服务器上
重定向有利于数据的安全以及集中备份。
见下图。
3.安全类组策略
●密码策略
✧“强制密码历史”设置确定在重用旧密码之前必须与用户帐户相关的唯一新密码的数量。
✧配置“密码最长使用期限”设置,以便密码在环境需要时过期。
✧“密码最短使用期限”设置确定了用户更改密码之前必须使用密码的天数。
✧“最短密码长度”设置确保密码至少包含指定数量的字符。
✧“密码必须符合复杂性要求策略”选项检查所有新密码以确保它们符合强密码的基本要求。
账号锁定策略
帐户锁定策略就是一项WindowsServer2012安全功能,它在指定时间段内多次登录尝试失败后锁定用户帐户。
允许的尝试次数与时间段就是由为安全策略锁定设置配置的值决定的。
用户不能登录到锁定的帐户。
✧“帐户锁定时间”设置确定在未锁定帐户且用户可以尝试再次登录之前所必须经历的时间长度
✧“帐户锁定阈值”设置确定用户在帐户锁定之前可以尝试登录帐户的次数。
✧“复位帐户锁定计数器”设置决定了“帐户锁定阈值”复位为0以及帐户被解锁之前所必须经过的时间长度。
●禁用本地管理员帐号
默认情况下,每台加入到域中的计算机都有Administrator与Guest两个帐号,Administrator帐号在安装时口令为空。
用户使用这个帐号权限过大,因此一般不会给用户使用这个管理员帐号,最好的做法
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- AD 规划 方案