AD域控规划方案专项方案.docx
- 文档编号:504775
- 上传时间:2022-10-10
- 格式:DOCX
- 页数:17
- 大小:395.43KB
AD域控规划方案专项方案.docx
《AD域控规划方案专项方案.docx》由会员分享,可在线阅读,更多相关《AD域控规划方案专项方案.docx(17页珍藏版)》请在冰豆网上搜索。
AD域控规划方案专项方案
活动目录AD计划方案
1.1.活动目录介绍
活动目录是Windows网络体系结构中一个基础且不可分割部分,它为网络用户、管理员和应用程序提供了一套分布式网络环境设计目录服务。
活动目录使得组织机构能够有效地对相关网络资源和用户信息进行共享和管理。
另外,目录服务在网络安全方面也饰演着中心授权机构角色,从而使操作系统能够轻松地验证用户身份并控制其对网络资源访问。
相同关键是,活动目录还担当着系统集成和巩固管理任务集合点。
活动目录提供了对基于Windows用户账号、用户、服务器和应用程序进行管理唯一点。
同时,它也帮助组织机构经过使用基于Windows应用程序和和Windows相兼容设备对非Windows系统进行集成,从而实现巩固目录服务并简化对整个网络操作系统管理。
企业也能够使用活动目录服务安全地将网络系统扩展到Internet上。
活动目录所以使现有网络投资升值,同时,降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需全部费用。
活动目录是微软多种应用软件运行必需和基础条件。
下图表示出活动目录成为多种应用软件中心。
1.2.应用WindowsServerAD好处
WindowsAD简化了管理,加强了安全性,扩展了互操作性。
它为用户、组、安全服务及网络资源管理提供了一个集中化方法。
应用WindowsAD以后,企业信息化建设者和网络管理员能够从中取得以下好处:
1、方便管理,权限管理比较集中,管理人员能够很好管理计算机资源。
2、安全性高,有利于企业部分保密资料管理,比如一个文件只能让某一个人看,或指定人员能够看,但不能够删/改/移等。
3、方便对用户操作进行权限设置,能够分发,指派软件等,实现网络内软件一起安装。
4、很多服务必需建立在域环境中,对管理员来说有好处:
统一管理,方便在MS软件方面集成,如ISAEXCHANGE(邮件服务器)、ISASERVER(上网多种设置和管理)等。
5、使用漫游账户和文件夹重定向技术,个人账户工作文件及数据等能够存放在服务器上,统一进行备份、管理,用户数据愈加安全、有保障。
6、方便用户使用多种资源。
7、SMS(SystemManagementServer)能够分发应用程序、系统补丁等,用户能够选择安装,也能够由系统管理员指派自动安装。
并能集中管理系统补丁(如WindowsUpdates),不需每台用户端服务器全部下载一样补丁,从而节省大量网络带宽。
8、资源共享
用户和管理员能够不知道她们所需要对象确实切名称,不过她们可能知道这个对象一个或多个属性,她们能够经过查找对象部分属性在域中得到一个全部已知属性相匹配对象列表,经过域使得基于一个或多个对象属性来查找一个对象变得可能。
9、管理
A、域控制器集中管理用户对网络访问,如登录、验证、访问目录和共享资源。
为了简化管理,全部域中域控制器全部是平等,你能够在任何域控制器上进行修改,这种更新能够复制到域中全部其它域控制器上。
B、域实施经过提供对网络上全部对象单点管理深入简化了管理。
因为域控制器提供了对网络上全部资源单点登录,管理远能够登录到一台计算机来管理网络中任何计算机上管理对象。
在NT网络中,当用户一次登陆一个域服务器后,就能够访问该域中已经开放全部资源,而无需对同一域进行数次登陆。
但在需要共享不一样域中服务时,对每个域全部必需要登陆一次,不然无法访问未登陆域服务器中资源或无法取得未登陆域服务。
10、可扩展性
在活动目录中,目录经过将目录组织成多个部分存放信息从而许可存放大量对象。
所以,目录能够伴随组织增加而一同扩展,许可用户从一个含有几百个对象小安装环境发展成拥有几百万对象大型安装环境。
11、安全性
域为用户提供了单一登录过程来访问网络资源,如全部她们含有权限文件、打印机和应用程序资源。
也就是说,用户能够登录到一台计算机来使用网络上另外一台计算机上资源,只要用户含有对资源适宜权限。
域经过对用户权限适宜划分,确定了只有对特定资源有正当权限用户才能使用该资源,从而保障了资源使用正当性和安全性。
12、可冗余性
每个域控制器保留和维护目录一个副本。
在域中,你创建每一个用户帐号全部会对应目录一个统计。
当用户登录到域中计算机时,域控制器将根据目录检验用户名、口令、登录限制以验证用户。
当存在多个域控制器时,她们会定时相互复制目录信息,域控制器间数据复制,促进用户信息发生改变时(比如用户修改了口令),能够快速复制到其它域控制器上,这么当一台域控制器出现故障时,用户仍然能够经过其它域控制进行登录,保障了网络顺利运行。
1.3.明确系统计划目标
企业WindowsAD系统计划构建是为企业信息化建设服务,需要达成以下战略目标:
●围绕企业战略发展需要,进行企业信息化建设系统计划,满足企业3-5年业务发展对IT建设要求;
●以业务为驱动,经过有效信息系统,加强信息共享和协同办公,提升工作效率,降低成本;
●整合企业现有信息资产,加强企业管理和监控;从信息中挖掘知识,提升经营决议和驾驭风险能力;
●推进知识管理理念,建立知识型企业,增强企业关键竞争力。
WindowsAD系统计划实施具体目标以下:
●计划和布署基于WindowsAD企业目录服务,首先实现用户单一登录,保障网络系统安全;
●经过AD实现用户桌面集中和自动管理,分发软件补丁;
●深入布署微软相关应用平台软件,如实现基于Exchange企业内部邮件和协作服务,
1.4.
活动目录设计方案
为企业设计一个域,用户全部计算机(服务器和用户机)全部加入到域,用户实现单一登录和管理员经过域组策略实现安全及桌面管理。
AD架构拓扑以下。
1.5.活动目录优势
1.计算机工作组管理和AD管理比较
对于基于MicrosoftWindows操作系统计算机运行和管理在两种模式下:
工作组(workgroup)和域(domain)。
在工作组模式下,计算机处于一个孤立状态,使用计算机用户登录帐号和计算机管理均须在每台计算机上创建或进行。
见下图。
当计算机超出20台以上时,计算机管理变得越来越困难,而且要为用户创建越来越多访问网络资源帐号,用户要记住多个访问不一样资源帐号。
而在域模式下,用户只需记住一个域帐号,即可登录访问域中资源。
而且管理员经过组策略,能够轻松配置用户桌面工作环境和加强计算机安全设置。
域模式下全部域帐号保留在域控制器活动目录数据库中。
见下图。
2.为何要提供目录服务?
对愈加强大、透明且高度集成目录服务不停需求是由爆炸性增加网络计算所造成。
伴随局域网(LAN)、广域网(WAN)规模和复杂性不停提升和这些网络不停被连入Internet,和应用程序对网络依靠程度不停增强并不停被链接到协作企业网中其它系统上,对目录服务需求也日渐增多。
基于下列原因,目录服务成为扩展计算机系统中最关键部件之一:
●简化管理提供对用户、应用程序和设备单一、一致性管理点。
●加强安全性向用户提供单一网络资源登录,为管理员提供强大、一致性工具以使她们能够管理为内部台式机用户、远程拨号用户和外部电子商务用户提供安全服务。
●扩展互操作性向全部活动目录特征提供基于标准存取方法和对通用目录同时支持。
目录服务兼任管理工具和用户工具。
伴随网络中对象数量增加,目录服务变得必不可少。
目录服务在一个庞大分布式系统中发挥着网络集线器作用。
致力于这些需求,Windows服务器版引入了活动目录--即一套用于改善Windows网络操作系统管理、安全性和互操作性完整目录服务集。
下图描述了活动目录带来计算机安全和管理上部分最关键好处。
3.AD简化了计算机系统管理
分布式系统常常造成时间消耗和管理冗余。
当企业在她们基础结构上添加应用程序并雇用新职员时,她们需要合适地向各桌面系统分发软件并管理多个应用程序目录。
经过在单一位置管理用户、组和网络资源和分发软件和管理桌面系统配置,活动目录能够显著降低企业管理费用。
比如,活动目录在同一个位置管理Windows用户和MicrosoftExchange邮箱信息。
基于下列原因,活动目录能够从以下方面帮助企业简化管理:
●消除冗余管理任务提供对Windows用户账号、用户、服务器和应用程序和现存目录同时能力进行单一点管理。
●降低桌面系统行程针对用户在企业中所担当角色自动向其分发软件,以降低或消除系统管理员为软件安装和配置而安排数次行程。
●愈加好实现IT资源最大化安全地将管理功效分配到组织机构全部层次上。
●降低总体拥有成本(TCO)经过使网络资源轻易被定位、配置和使用来简化对文件和打印服务管理和使用。
4.加强安全性
强大且一致安全服务对企业网络而言是必不可少。
管理用户验证和访问控制工作往往单调乏味且轻易犯错。
活动目录集中进行管理并加强了和组织机构商业过程一致、且基于角色安全性。
比如,对多身份验证协议(如Kerberos,X.509认证和由灵活访问控制模型组成智能卡)支持实现了对于内部桌面系统用户、远程拨号用户和外部电子商务用户强大且一致安全服务。
活动目录使用以下方法增强安全性:
改善了密码安全性和管理经过向网络资源提供单一集成、高性能且对终端用户透明安全服务。
确保桌面系统功效性经过依据终端用户角色锁定桌面系统配置来预防对特定用户主机操作进行访问,比如软件安装或注册项编辑。
加速电子商务布署经过提供对安全Internet标准协议和身份验证机制内建支持,如Kerberos,公开密钥基础设施(PKI)和安全套接字协议层(SSL)之上轻便目录访问协议(LDAP)。
紧密控制安全性经过对目录对象和组成她们单独数据元素设置访问控制特权。
1.6.关键组策略介绍
1.软件分发策略
经过组策略能够为域中计算机或用户自动分发带有msi包软件。
见下图。
2.将用户个人数据从pc机上重定向到服务器上
重定向有利于数据安全和集中备份。
见下图。
3.安全类组策略
●密码策略
✧“强制密码历史”设置确定在重用旧密码之前必需和用户帐户相关唯一新密码数量。
✧配置“密码最长使用期限”设置,方便密码在环境需要时过期。
✧“密码最短使用期限”设置确定了用户更改密码之前必需使用密码天数。
✧“最短密码长度”设置确保密码最少包含指定数量字符。
✧“密码必需符合复杂性要求策略”选项检验全部新密码以确保它们符合强密码基础要求。
账号锁定策略
帐户锁定策略是一项WindowsServer安全功效,它在指定时间段内数次登录尝试失败后锁定用户帐户。
许可尝试次数和时间段是由为安全策略锁定设置配置值决定。
用户不能登录到锁定帐户。
✧“帐户锁定时间”设置确定在未锁定帐户且用户能够尝试再次登录之前所必需经历时间长度
✧“帐户锁定阈值”设置确定用户在帐户锁定之前能够尝试登录帐户次数。
✧“复位帐户锁定计数器”设置决定了“帐户锁定阈值”复位为0和帐户被解锁之前所必需经过时间长度。
●禁用当地管理员帐号
默认情况下,每台加入到域中计算机全部有Administrator和Guest两个帐号,Administrator帐号在安装时口令为空。
用户使用这个帐号权限过大,所以通常不会给用户使用这个管理员帐号,最好做法就是经过组策略禁用这个帐号,用户使用域帐号。
●将域帐号加入到每台PC机当地PowerUsers组中
创建域帐号时,默认情况下这个帐号只属于DomainUsers组中,该组属于每台PC机当地Users组。
当地Users组中组员权限受到严格限制,比如共享文件夹,安装打印机驱动程序等工作权限全部没有。
而常常有用户需要这些权限,能够经过组策略来实现。
禁用系统服务
我们为优化系统和安全性考虑,常常要禁用计算机部分无需运行服务。
我们能够经过组策略把这些服务禁用掉。
●软件限制
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- AD 规划 方案 专项