活动目录域控解决方案.doc
- 文档编号:386946
- 上传时间:2022-10-09
- 格式:DOC
- 页数:21
- 大小:469.50KB
活动目录域控解决方案.doc
《活动目录域控解决方案.doc》由会员分享,可在线阅读,更多相关《活动目录域控解决方案.doc(21页珍藏版)》请在冰豆网上搜索。
活动目录解决方案
成都伊登软件技术有限公司
二〇二二年十月九日
目录
1 概述 2
1.1 背景介绍 2
1.2 现状描述 2
1.3 问题分析 2
2 总体功能需求 3
2.1集中的组织与管理网络内的服务器及客户端 3
2.2统一的数据组织与资源管理 3
2.3单一登录的网络环境 4
2.4集中化的软件部署与运行限制 4
2.5功能强大并易于扩展的IT基础架构 4
3 解决方案建议 4
3.1 概念描述 4
3.2 建设内容 5
3.2.1 建立基础平台 5
3.2.2 整合现有信息技术环境 6
3.3 建设策略 6
4 解决方案实施 6
4.1 AD域命名和DNS的规划 6
4.2 确定AD逻辑结构 7
4.3 确定AD物理结构 8
4.4 规划OU结构和组策略 9
4.5 创建OU以管理和委派 10
4.6 创建OU支持组策略 10
4.7 应用组策略选项 12
4.8 硬件设备选型建议 13
5 解决方案优势 14
5.1 为什么选择微软 14
5.2 WindowsServer2008R2活动目录的优点 14
6 服务内容 16
6.1 可行性调查 16
6.2 规划活动目录部署方案 17
6.3 部署活动目录服务 17
6.4 制订活动目录管理维护规范 18
6.5 工程师定时上门进行活动目录日常维护 18
6.6 处理活动目录紧急情况 18
6.7 整理和存档资料 19
6.8 培训系统管理员 19
7 服务质量保证 20
8 部分成功案例 21
1概述
1.1背景介绍
本解决方案将从XX的IT环境现状出发,分析现有环境,提出XX关心的关键问题及未来的挑战,并根据相关问题详细阐述对应解决方案,帮助XX快速解决问题,以信息技术提升企业生产力。
1.2现状描述
当前国内企业内部网络环境多数仍为松散的管理状态,IT环境中硬件设备伴随着组织中人员数量的增加每年都在增长,大力的信息化建设使硬件和应用软件单纯从技术层面上讲都达到了较高的水平,但实际环境中无论是工作用桌面计算机还是服务器都是采用工作组模型,各自独立。
IT环境中的软硬件资源都无法实现充分利用。
经历了大规模网络和硬件投资建设之后,多数企业的信息技术部门开始转向关心信息化建设投资的“效益”,——究竟过去投入建成的这些设备,能够形成哪些应用,带来什么效益?
这已经成为信息技术部门与企业管理人员最为关心的重点问题。
从信息技术部门人员来说,如何整合现有IT环境中的资源,将IT环境的管理由松散方式变为集中管理的方式,减轻日常管理维护负担,提升IT生产力。
从最终用户来说,如何能够实现单一的身份验证,快速的访问企业内部的各种资源,较少的宕机时间也是最大的愿望。
1.3问题分析
由于历史和技术发展方面的原因,现有企业内部的IT环境是逐步建立起来的,而且在早期建立时由于没有整体架构的科学指导,导致目前的松散型IT环境越来越“臃肿”,客户端、服务器各自独立,形成一个个信息“孤岛”,无法统一管理。
在松散型管理的系统网络环境中,一旦某个节点出现问题需要定位出现问题的位置,并需要繁琐费时的恢复过程来实现修复。
生产系统应用软件的大规模部署需要相关人员在各个计算机上逐一手工安装,极大耗费人力与时间。
企业内部的各种资源存在于员工的客户端桌面计算机,服务器,以及其他各种设备之中,用户需要获取相关资源需要首先确定资源在哪一台计算机中,并且要针对不同资源提供不同的登录凭据(如用户名/密码等)来访问。
另外存在数据资源重复现象,造成硬件资源的不合理占用。
信息技术部门制定的IT管理规范无法完全被最终用户执行,IT管理规范的制订是为了防止信息系统出现如安全问题等不稳定状况,但松散型管理模式的IT环境中由于信息技术人员无法监控与统一管理企业内部的桌面计算机与服务器等,该规范变为一纸空文,无法被贯彻实施。
现阶段,部分企业对IT环境的发展仍然缺乏整体和长远考虑,还是按照老思路,简单考虑硬件及应用软件的采购与建设,照此建设思路走下去,将会使目前的IT环境更加“臃肿”,更难于管理,最终导致生产力的降低。
2总体功能需求
随着以上阐述的问题在企业内部IT环境中越来越突出,企业存在以下需求:
2.1集中的组织与管理网络内的服务器及客户端
通过对网络内的服务器与客户端计算机进行集中式的管理,有助于消除早期“松散型”管理带来的安全漏洞及其他影响IT系统稳健运行问题,能够保证企业制订的IT管理规范可以通过计算机的逻辑方式派发给各个被管理的节点,并且通过集中管理的模式可以有效降低客户端的维护工作量。
2.2统一的数据组织与资源管理
实现统一的数据组织,如共享文件夹的发布,共享打印机的发布等等,并且能够提供较为简单的信息检索方式,快速查询并定为所需的各种资源,实现资源的高效利用。
另外统一的数据组织与资源管理可以有效减少数据冗余与资源浪费,减轻IT环境的维护难度,提升企业生产力。
2.3单一登录的网络环境
企业内的普通员工计算机应用能力有限,如何使员工一次登录计算机后就可以访问其有权限访问的各种资源是提升生产效率,对于普通员工来说更能感受到应用信息技术能够带来更加快捷的工作效率,有助于提升信息系统的使用率。
2.4集中化的软件部署与运行限制
企业希望在大规模部署某个应用软件时可以避免手工逐一安装的低效率模式,而采用服务器/客户端的网络分发模式,并能对软件的版本更新做到一定控制,并且可以制定哪些软件可以被安装在哪些用户的计算机上。
通过对软件的运行限制,限制客户端计算机上所运行的应用软件,使工作用计算机仅可以运行特定应用程序,与工作无关的应用程序将会被禁止运行,提升系统安全性与最大化企业IT系统效能。
2.5功能强大并易于扩展的IT基础架构
企业希望现有的IT基础架构能够提供较强的功能,如安全的身份验证,资源整合,软硬件集中监控、管理等,并且希望该基础架构支持较多的上层应用,具有较强的可扩展性,在未来的几年中可以在现有底层IT架构上实现更多的价值。
实现IT投资的保值。
3解决方案建议
基于上述情况,结合国内外企业信息化的发展趋势和经验,同时参考IT技术的现有能力和发展走向,建议贵公司统筹安排、统一规划,通过分步实施、集中建设的方式,构建一个集中、统一、互联互通高可管理性的基于活动目录的企业核心IT基础架构。
3.1概念描述
活动目录是WindowsServer网络体系结构中一个基础且不可分割的部分。
它提供了一套为分布式网络环境设计的目录服务,使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。
另外,目录服务在网络安全方面也扮演着中心授权机构的角色,从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。
“基于活动目录的网络基础架构”建设方案中,不仅要建设一系列丰富的,互联的底层基础架构,同时还将构建集中统一的软件基础设施、完整互通的基础数据库,无缝整合现有信息应用系统,并建立“企业信息技术基础架构——活动目录”与外部信息系统的互联互通机制。
3.2建设内容
根据“基于活动目录的网络基础架构”的建设定位,我们设计了“基于活动目录的网络基础架构”的整体功能框架,为实现“基于活动目录的网络基础架构”的建设目标提供应用功能基础。
3.2.1建立基础平台
选择合适的硬件及软件来准备用于目录服务的服务器,硬件性能要尽量强劲,以满足日后日益增加的客户端连接处理数量;软件要尽量选择较新版本,以获取最新的技术支持及更多新特性。
3.2.2整合现有信息技术环境
整合现有信息技术环境,就是将客户端与服务器由现有的工作组模式的环境平滑迁移至基于活动目录的域模式,统一管理及身份验证信息,将信息统一由服务器发布,减少信息孤岛,增强信息技术易用性和安全性。
3.3建设策略
“企业信息技术基础架构—活动目录”的建设,是一项建设完成后需要长期稳定使用的工程,需要依靠一个可持续发展的战略合作伙伴的支持。
因此,建议联合国内外有实力的,重视,专注企业信息技术基础架构的IT企业,形成战略合作关系,借助企业的经验和实力,为平台建设提供规划建议和实施方案,保证项目的可持续发展。
具体实施方式为,首先对本公司信息化建设的基本现状进行调研,然后在调研分析的基础上,再提出“企业信息技术基础架构”的具体建设规划方案。
在具体项目建设过程中,遵循“总体规划、分步实施、关注重点、解决问题”的思路,从“总体规划”做起,规划综合企业信息技术基础架构的未来发展远景和功能应用;对“总体规划”所描绘的蓝图,采取“分步实施”的策略,按照“关注重点、解决问题”的原则,不仅要建设稳定而强大的企业信息技术基础架构,同时还要充分重视夯实综合应用服务平台的“软件公共基础平台”,为未来的建设奠定一个可持续发展的基础。
4解决方案实施
4.1AD域命名和DNS的规划
Windows2008AD域命名和DNS的规划之所以放在首要地位,是因为AD作为整个IT架构的基础,不应该轻易被调整。
尽管安装后,Windows2008AD仍然可以重组和改名,这一点比Windows2000AD有了很大的进步,但是我们仍然建议做一个长远规划,使得域命名和DNS服务能够满足企业3-5年的需求,尽量避免配置好后改作调整地巨大人力物力浪费。
此外,部署Windows2008AD,还必须确定DNS服务器,确保它们满足域控制器定位器系统的要求。
一个支持AD的DNS至少需要满足以下要求:
l必须支持服务定位资源记录(SRV)
l应该支持DNS动态更新协议(RFC2136)
Windows2008Server提供的DNS服务同时满足这些要求,并且还提供下列重要的附加功能和改进:
lActiveDirectory集成:
DNS服务把区域数据存储在目录中,使得DNS复制创建多个主域,也减少了对维护一个单独的DNS区域传送复制拓扑的要求。
l安全动态更新:
使得一个管理员可以精确地控制哪些计算机可以更新哪些名称,并防止未经授权的计算机从DNS获得现有的名称。
l条件转发:
根据不同的对外访问的域名后缀,可以将用户的DNS名称解析请求转发到不同的外部DNS服务器。
l存根区域:
可以定时地刷新和外部DNS服务器的连接,及时发现那些可能有故障、不再响应用户请求的服务器,提高用户DNS名称解析的效率。
4.2确定AD逻辑结构
Windows2008活动目录的逻辑结构由三个基本组件组成:
森林、域和OU。
4.2.1.确定森林规划
森林是Windows2008AD域的集合。
在很多情况下,单一森林就足够了。
单一森林环境易于建立和维护,森林间的域自动建立双向可传递内部信任关系,不要求手动建立外部信任配置,在安装Exchange2008Server等应用程序时,只需应用一次架构更改即可影响所有域。
如果各个单位有下列管理要求,就必须建立一个以上的森林:
l不互相信任管理员。
l希望限制信任关系范围。
l不同意某种森林架构更改策略。
架构更改、配置更改会影响到森林中所有的域。
如果单位不同意一个公共架构策略,它们就不能共存于同一个森林中。
4.2.2.制定域规划
规划域结构时,始终遵循“简单是最好的投资”的设计原则,尽管增加某些复杂结构可以增值,但是简单的结构更易于说明、维护和调试。
一开始时总是仅考虑每个森林中仅有一个域,然后为每一个增加的新域提供详细的理由,确保添加到森林中的域都是有益的,因为它们会带来相应的管理开销而导致一定程度的成本上升。
创建更多的域的三种可能的原因是:
l希望实现相对分散式得IT管理模式:
多
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 活动 目录 解决方案