AD域控规划方案专项方案.doc

活动目录AD计划方案 1.1. 活动目录介绍 活动目录是Windows网络体系结构中一个基础且不可分割部分，它为网络用户、管理员和应用程序提供了一套分布式网络环境设计目录服务。活动目录使得组织机构能够有效地对相关网络资源和用户信息进行共享和管理。另外，目录服务在网络安全方面也饰演着中心授权机构角色，从而使操作系统能够轻松地验证用户身份并控制其对网络资源访问。相同关键是，活动目录还担当着系统集成和巩固管理任务集合点。 活动目录提供了对基于Windows用户账号、用户、服务器和应用程序进行管理唯一点。同时，它也帮助组织机构经过使用基于Windows应用程序和和Windows相兼容设备对非Windows系统进行集成，从而实现巩固目录服务并简化对整个网络操作系统管理。企业也能够使用活动目录服务安全地将网络系统扩展到Internet上。活动目录所以使现有网络投资升值，同时，降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需全部费用。 活动目录是微软多种应用软件运行必需和基础条件。下图表示出活动目录成为多种应用软件中心。 1.2. 应用Windows Server AD好处 Windows AD简化了管理，加强了安全性，扩展了互操作性。它为用户、组、安全服务及网络资源管理提供了一个集中化方法。 应用Windows AD以后，企业信息化建设者和网络管理员能够从中取得以下好处： 1、方便管理,权限管理比较集中，管理人员能够很好管理计算机资源。 2、安全性高，有利于企业部分保密资料管理，比如一个文件只能让某一个人看,或指定人员能够看,但不能够删/改/移等。 3、方便对用户操作进行权限设置，能够分发，指派软件等,实现网络内软件一起安装。 4、很多服务必需建立在域环境中，对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网多种设置和管理)等。 5、使用漫游账户和文件夹重定向技术，个人账户工作文件及数据等能够存放在服务器上，统一进行备份、管理，用户数据愈加安全、有保障。 6、方便用户使用多种资源。 7、SMS（System Management Server）能够分发应用程序、系统补丁等，用户能够选择安装，也能够由系统管理员指派自动安装。并能集中管理系统补丁（如Windows Updates），不需每台用户端服务器全部下载一样补丁，从而节省大量网络带宽。 8、资源共享 用户和管理员能够不知道她们所需要对象确实切名称，不过她们可能知道这个对象一个或多个属性，她们能够经过查找对象部分属性在域中得到一个全部已知属性相匹配对象列表，经过域使得基于一个或多个对象属性来查找一个对象变得可能。 9、管理 A、 域控制器集中管理用户对网络访问，如登录、验证、访问目录和共享资源。为了简化管理，全部域中域控制器全部是平等，你能够在任何域控制器上进行修改，这种更新能够复制到域中全部其它域控制器上。 B、 域实施经过提供对网络上全部对象单点管理深入简化了管理。因为域控制器提供了对网络上全部资源单点登录，管理远能够登录到一台计算机来管理网络中任何计算机上管理对象。在NT网络中，当用户一次登陆一个域服务器后，就能够访问该域中已经开放全部资源，而无需对同一域进行数次登陆。但在需要共享不一样域中服务时，对每个域全部必需要登陆一次，不然无法访问未登陆域服务器中资源或无法取得未登陆域服务。 10、可扩展性 在活动目录中，目录经过将目录组织成多个部分存放信息从而许可存放大量对象。所以，目录能够伴随组织增加而一同扩展，许可用户从一个含有几百个对象小安装环境发展成拥有几百万对象大型安装环境。 11、安全性 域为用户提供了单一登录过程来访问网络资源，如全部她们含有权限文件、打印机和应用程序资源。也就是说，用户能够登录到一台计算机来使用网络上另外一台计算机上资源，只要用户含有对资源适宜权限。域经过对用户权限适宜划分，确定了只有对特定资源有正当权限用户才能使用该资源，从而保障了资源使用正当性和安全性。 12、可冗余性 每个域控制器保留和维护目录一个副本。在域中，你创建每一个用户帐号全部会对应目录一个统计。当用户登录到域中计算机时，域控制器将根据目录检验用户名、口令、登录限制以验证用户。当存在多个域控制器时，她们会定时相互复制目录信息，域控制器间数据复制，促进用户信息发生改变时（比如用户修改了口令），能够快速复制到其它域控制器上，这么当一台域控制器出现故障时，用户仍然能够经过其它域控制进行登录，保障了网络顺利运行。 1.3. 明确系统计划目标 企业Windows AD系统计划构建是为企业信息化建设服务，需要达成以下战略目标： l 围绕企业战略发展需要，进行企业信息化建设系统计划，满足企业3-5年业务发展对IT建设要求； l 以业务为驱动，经过有效信息系统，加强信息共享和协同办公，提升工作效率，降低成本； l 整合企业现有信息资产，加强企业管理和监控；从信息中挖掘知识，提升经营决议和驾驭风险能力； l 推进知识管理理念，建立知识型企业，增强企业关键竞争力。 Windows AD系统计划实施具体目标以下： l 计划和布署基于Windows AD企业目录服务，首先实现用户单一登录，保障网络系统安全； l 经过AD实现用户桌面集中和自动管理，分发软件补丁； l 深入布署微软相关应用平台软件，如实现基于Exchange 企业内部邮件和协作服务， 1.4. 活动目录设计方案 为企业设计一个域，用户全部计算机（服务器和用户机）全部加入到域，用户实现单一登录和管理员经过域组策略实现安全及桌面管理。AD架构拓扑以下。 1.5. 活动目录优势 1. 计算机工作组管理和AD管理比较 对于基于Microsoft Windows操作系统计算机运行和管理在两种模式下：工作组(workgroup)和域(domain)。 在工作组模式下，计算机处于一个孤立状态，使用计算机用户登录帐号和计算机管理均须在每台计算机上创建或进行。见下图。 当计算机超出20台以上时，计算机管理变得越来越困难，而且要为用户创建越来越多访问网络资源帐号，用户要记住多个访问不一样资源帐号。 而在域模式下，用户只需记住一个域帐号，即可登录访问域中资源。而且管理员经过组策略，能够轻松配置用户桌面工作环境和加强计算机安全设置。域模式下全部域帐号保留在域控制器活动目录数据库中。见下图。 2. 为何要提供目录服务? 对愈加强大、透明且高度集成目录服务不停需求是由爆炸性增加网络计算所造成。伴随局域网（LAN）、广域网（WAN）规模和复杂性不停提升和这些网络不停被连入Internet，和应用程序对网络依靠程度不停增强并不停被链接到协作企业网中其它系统上，对目录服务需求也日渐增多。基于下列原因，目录服务成为扩展计算机系统中最关键部件之一： l 简化管理 提供对用户、应用程序和设备单一、一致性管理点。 l 加强安全性 向用户提供单一网络资源登录，为管理员提供强大、一致性工具以使她们能够管理为内部台式机用户、远程拨号用户和外部电子商务用户提供安全服务。 l 扩展互操作性 向全部活动目录特征提供基于标准存取方法和对通用目录同时支持。 目录服务兼任管理工具和用户工具。伴随网络中对象数量增加，目录服务变得必不可少。目录服务在一个庞大分布式系统中发挥着网络集线器作用。致力于这些需求，Windows 服务器版引入了活动目录--即一套用于改善Windows网络操作系统管理、安全性和互操作性完整目录服务集。 下图描述了活动目录带来计算机安全和管理上部分最关键好处。 3. AD简化了计算机系统管理 分布式系统常常造成时间消耗和管理冗余。当企业在她们基础结构上添加应用程序并雇用新职员时，她们需要合适地向各桌面系统分发软件并管理多个应用程序目录。经过在单一位置管理用户、组和网络资源和分发软件和管理桌面系统配置，活动目录能够显著降低企业管理费用。比如，活动目录在同一个位置管理Windows用户和Microsoft Exchange邮箱信息。基于下列原因，活动目录能够从以下方面帮助企业简化管理： l 消除冗余管理任务 提供对Windows用户账号、用户、服务器和应用程序和现存目录同时能力进行单一点管理。 l 降低桌面系统行程 针对用户在企业中所担当角色自动向其分发软件，以降低或消除系统管理员为软件安装和配置而安排数次行程。 l 愈加好实现IT资源最大化 安全地将管理功效分配到组织机构全部层次上。 l 降低总体拥有成本（TCO） 经过使网络资源轻易被定位、配置和使用来简化对文件和打印服务管理和使用。 4. 加强安全性 强大且一致安全服务对企业网络而言是必不可少。管理用户验证和访问控制工作往往单调乏味且轻易犯错。活动目录集中进行管理并加强了和组织机构商业过程一致、且基于角色安全性。比如，对多身份验证协议（如Kerberos，X.509认证和由灵活访问控制模型组成智能卡）支持实现了对于内部桌面系统用户、远程拨号用户和外部电子商务用户强大且一致安全服务。活动目录使用以下方法增强安全性： 改善了密码安全性和管理 经过向网络资源提供单一集成、高性能且对终端用户透明安全服务。 确保桌面系统功效性 经过依据终端用户角色锁定桌面系统配置来预防对特定用户主机操作进行访问，比如软件安装或注册项编辑。 加速电子商务布署 经过提供对安全Internet标准协议和身份验证机制内建支持，如Kerberos, 公开密钥基础设施（PKI）和安全套接字协议层（SSL）之上轻便目录访问协议（LDAP）。 紧密控制安全性 经过对目录对象和组成她们单独数据元素设置访问控制特权。 1.6. 关键组策略介绍 1. 软件分发策略 经过组策略能够为域中计算机或用户自动分发带有msi包软件。见下图。 2. 将用户个人数据从pc机上重定向到服务器上 重定向有利于数据安全和集中备份。见下图。 3. 安全类组策略 l 密码策略 ² “强制密码历史”设置确定在重用旧密码之前必需和用户帐户相关唯一新密码数量。 ² 配置“密码最长使用期限”设置，方便密码在环境需要时过期。 ² “密码最短使用期限”设置确定了用户更改密码之前必需使用密码天数。 ² “最短密码长度”设置确保密码最少包含指定数量字符。 ² “密码必需符合复杂性要求策略”选项检验全部新密码以确保它们符合强密码基础要求。 账号锁定策略 帐户锁定策略是一项 Windows Server 安全功效，它在指定时间段内数次登录尝试失败后锁定用户帐户。许可尝试次数和时间段是由为安全策略锁定设置配置值决定。用户不能登录到锁定帐户。 ² “帐户锁定时间”设置确定在未锁定帐户且用户能够尝试再次登录之前所必需经历时间长度 ² “帐户锁定阈值”设置确定用户在帐户锁定之前能够尝试登录帐户次数。 ² “复位帐户锁定计数器”设置决定了“帐户锁定阈值”复位为 0 和帐户被解锁之前所必需经过时间长度。 l 禁用当地管理员帐号 默认情况下，每台加入到域中计算机全部有Administrator和Guest两个帐号，Administrator帐号在安装时口令为空。用户使用这个帐号权限过大，所以通常不会给用户使用这个管理员帐号，最好做法就是经过组策略禁用这个帐号，用户使用域帐号。 l 将域帐号加入到每台PC机当地Power Users组中 创建域帐号时，默认情况下这个帐号只属于Domain Users组中，该组属于每台PC机当地Users组。当地Users组中组员权限受到严格限制，比如共享文件夹，安装打印机驱动程序等工作权限全部没有。而常常有用户需要这些权限，能够经过组策略来实现。 禁用系统服务 我们为优化系统和安全性考虑，常常要禁用计算机部分无需运行服务。我们能够经过组策略把这些服务禁用掉。 l 软件限制策略 对部分要求不得使用软件能够经过组策略来禁用： ² 路径规则：特殊文件路径下软件不得使用：如program files下一些软件 ² 证书规则：只有系统管理员颁发过证书软件能够使用，其它软件严禁使用 ² 哈希规则：对严禁使用软件经过哈希运算得到这个软件身份指纹，在组策略里设置只要是符合身份指纹判定软件就进行限制 l 网络连接控制策略 用户常常会经过改变“网络连接”中设置，绕过企业防火墙，建立自己上网链路，比如电话拨号上网。这么会带来很大安全隐患。能够经过组策略限制用户不得改变网络连接中配置，不许可用户经过其它方法连接互联网。 1.7. 计算机从工作组加入到域可能存在问题和处理方法 把计算机从工作组模式加入到域模式可能会出现以下二个问题 问题： 1. 部分软件不能使用。有部分软件以登录者管理员权限帐号运行，当计算机加入到域并对登录帐号做了权限设置，或禁用了当地管理员帐号，这些需要管理员权限运行软件就有可能不能正常运行。 2. 用户桌面环境发生改变。因为加入域前后用户是用不一样帐号登录，所以用户以前桌面环境无法使用。具体有 ² 桌面上放置资料 ² “我文档”等放置资料 ² 配置好“网络打印机” ² IE里设置好“网站收藏夹”等。 处理方法： 1. 对问题1我们能够按以下两个方法来处理： (1) 把域帐号加入到当地管理员组 (2) 卸载软件，用域帐号登录并安装 2. 对问题2针对不一样问题分别处理以下： (1) 把当地老帐号下桌面内容全部备份下来，复制到新域帐号桌面 (2) 把当地老帐号下“我文档”内容全部备份下来，复制到新域帐号“我文档” (3) 重新连接和创建“网络打印机” (4) 用特殊软件把老帐号IE里“网站收藏夹”备份下来，然后恢复到新域帐号中 2. 活动目录方案实施 2.1. AD域命名和DNS计划 Windows AD域命名和DNS计划之所以放在首要地位，是因为AD作为整个IT架构基础，不应该轻易被调整。尽管安装后，Windows AD仍然能够重组和更名，这一点比Windows AD有了很大进步，不过我们仍然提议做一个长远计划，使得域命名和DNS服务能够满足企业3-5年需求，尽可能避免配置好后改作调整地巨大人力物力浪费。 另外，布署Windows AD，还必需确定DNS服务器，确保它们满足域控制器定位器系统要求。一个支持ADDNS最少需要满足以下要求： l 必需支持服务定位资源统计（SRV） l 应该支持 DNS 动态更新协议（RFC 2136） Windows Server 提供 DNS 服务同时满足这些要求，而且还提供下列关键附加功效和改善： l Active Directory 集成：DNS 服务把区域数据存放在目录中，使得 DNS 复制创建多个主域，也降低了对维护一个单独 DNS 区域传送复制拓扑要求。 l 安全动态更新：使得一个管理员能够正确地控制哪些计算机能够更新哪些名称，并预防未经授权计算机从 DNS 取得现有名称。 l 条件转发：依据不一样对外访问域名后缀，能够将用户DNS名称解析请求转发到不一样外部DNS服务器。 l 存根区域：能够定时地刷新和外部DNS服务器连接，立即发觉那些可能有故障、不再响应用户请求服务器，提升用户DNS名称解析效率。 2.2. 确定AD逻辑结构 Windows 活动目录逻辑结构由三个基础组件组成：森林、域和OU。 1、 确定森林计划 森林是Windows AD域集合。在很多情况下，单一森林就足够了。单一森林环境易于建立和维护，森林间域自动建立双向可传输内部信任关系，不要求手动建立外部信任配置，在安装Exchange Server等应用程序时，只需应用一次架构更改即可影响全部域。 假如各个单位有下列管理要求，就必需建立一个以上森林： l 不相互信任管理员。 l 期望限制信任关系范围。 l 不一样意某种森林架构更改策略。架构更改、配置更改会影响到森林中全部域。假如单位不一样意一个公共架构策略，它们就不能共存于同一个森林中。 2、 制订域计划 计划域结构时，一直遵照“简单是最好投资”设计标准，尽管增加一些复杂结构能够增值，不过简单结构更易于说明、维护和调试。一开始时总是仅考虑每个森林中仅有一个域，然后为每一个增加新域提供具体理由，确保添加到森林中域全部是有益，因为它们会带来对应管理开销而造成一定程度成本上升。 创建更多域三种可能原因是： l 期望实现相对分散式得IT管理模式：多域结构更轻易进行相对独立管理、委派和权限控制。另外，不一样用户帐户在一个域内是不能出现重名，多域之间就没有限制。对于人士管理相对独立集团下属企业，多域结构含有愈加好灵活性。 l 期望实现不一样管理策略要求：包含用户口令策略、账户锁定策略和EFS加密策略。比如，要求一些人必需取8个字符以上口令，而其它人不做限制。为此，必需将这些需要不一样安全策略用户放在单独域中。 l 期望减小WAN上复制流量：域控制器域间复制将产生比域内复制少多流量。假如企业很大，含有跨地域组织结构，且处于同一个森林内，则在不一样地理位置上机构可能使用慢速WAN链路连接。为降低WAN上DC复制流量，能够在不一样地理位置设置不一样域。 l 依据以上考虑，我们提议，企业Windows AD域逻辑结构能够采取“单森林、单域”结构设计。 2.3. 确定AD物理结构 考虑到企业地理分布情况，应该考虑使用多站点拓扑来计划Windows AD物理结构。从绘制基础网络拓扑布局图着手工作，绘制全部可能站点（Site）和站点链接（Site Link）。 l 速度快（10Mbps以上）、连接可靠LAN网络总是放置在单站点中。 站点定义为一组经过快速、可靠线路连接起来 IP 子网。通常而言，含有 LAN 速度或愈加快速度网络被认为是快速网络。 l 窄带、或不太可靠连接能够使用站点链接建立多站点网络。 通常，WAN连接通常被认为是窄带连接。假如建立站点链接，实现多站点网络模式，则： ² 用户计算机在登录到域时首先试图和在同一站点DC通信； ² Windows AD复制使用站点拓扑产生复制连接。 2.4. 计划OU结构和组策略 组织单元（OU）是一个用来在域中创建分层管理单位容器。在域中创建OU结构时，必需注意一直根据“谁管理什么”标准，从IT管理需要出发，划分管理模型结构，而不是简单根据企业业务单位和它不一样分支、部门和项目来创建OU结构。考虑 OU 下列特征是很关键： l OU 能够是嵌套。 一个 OU 能够包含子 OU，使得能够在域中创建一个分层目录树结构。不过嵌套太多将造成管理复杂和低效，所以提议以二级嵌套为最理想，最多不应超出四级嵌套。 l OU 能够用来委派管理和控制对目录对象访问。 l 不能使 OU 成为安全组组员，也不能因为用户被委派管理OU或驻留在OU中而自动取得访问资源权限。 l 能够在OU上实施组策略。 组策略是基于Windows 注册表修改，从而集中控制用户和计算机工作环境、桌面配置、软件自动安装和删除管理手段。通常而言，安全策略必需在域等级实施，其它策略关键在OU等级实施。 l 不激励用户在 OU 结构中浏览。 没有必需设计一个吸引最终用户 OU 结构。尽管用户有可能浏览一个域 OU 结构，但对于用户查找资源来说，这并不是一个最有效方法。在目录中查找资源最有效方法是查询全局编录。 有两个理由需要在Windows 域中创建 OU 结构： l 创建 OU 以管理对象和委派授权。 l 为组策略创建 OU。 一个完全为管理和委派而设计 OU 结构和一个完全为组策略而设计 OU 结构是不一样。OU 结构将很快变得相当复杂。每次添加一个 OU 到计划中时，要记下创建具体原因。这有利于确保每个 OU 有一个目标，并将帮助阅读计划人了解结构所基于理由。 2.5. 创建 OU 以管理和委派 在单位中委派管理有部分好处。以前，在单位中除了 IT 之外组可能必需将更改请求提交到高级管理员，高级管理员代表她们进行更改。委派特定权限能够将责任分散到单位中各个组，使您能够将必需有高级访问权限用户数量降到最少。权限受到限制管理员所发生事故或错误所产生影响只限于她们负责范围。 这一工作包含以下步骤： l 确定创建何种 OU 创建 OU 结构将完全取决于管理是怎样在单位中委派。委派管理三种方法是：按物理位置、按业务单位（企业部门）、按角色或任务。三种方法常常结合使用。 l 修改访问控制列表： 修改 OU 访问控制列表 (ACL)能够授予一个组对 OU 特定权限，从而实现对该OU委派管理。尽可能委派权限给组账户而不是单独用户，假如可能，委派到当地组而不是全局组或通用组。 l 委派步骤。从域中默认结构开始，按下列关键步骤创建 OU 结构： - 经过委派完全控制创建 OU 顶层； - 创建 OU 下层来委派每个对象类别控制。 2.6. 创建 OU 支持组策略 使用 Windows ，能够使用组策略定义用户和计算机配置，并将这些策略和站点、域或 OU 关联。是否要创建附加 OU 以支持组策略应用取决于制订策略和所选择实现方案，包含： l 定义用户计算机管理和桌面配置标准 l 定义软件自动分发 l 特殊组策略应用配置和管理 在 Windows 中，组策略设置是管理员启用集中更改和配置用户计算机管理关键方法。可用组策略为某个特定用户组和计算机组创建指定安全限制和桌面环境配置。 Windows 组策略有 100 多个和安全相关设置和 450 多个基于注册表设置，为您管理用户计算机环境提供了众多选项。Windows 组策略： l 可依据活动目录定义或在计算机当地进行定义； l 可用 Microsoft 管理控制台（MMC）或 *.adm 文件保留和管理； l 是安全； l 不会在实施策略改变时把设置留在用户配置文件中； l 可应用于指定活动目录容器（站点、域和 OU）中用户或计算机； l 可由安全组用户或计算机组员深入控制； l 可用来配置多个类型安全设； l 可用于实施登录、注销、开启及关闭脚本； l 可用于安装和维护软件； l 可用于重定向文件夹（如 My Documents 和 Application Data 文件夹）； l 可用于在 Microsoft Internet Explorer 中实施维护。 能够按下列三个步骤配置和管理组策略： l 管理站点、域或 OU 组策略链接： 默认情况下，只有域管理员组和企业管理员组能够配置站点、域或部门组策略。可在站点、域或 OU “属性”页“组策略”选项卡中指定链接至站点、域或 OU 组策略对象。Active Directory 支持以每个属性为基础安全设置。 l 创建组策略对象： 默认情况下，只有域管理员组、企业管理员组和组策略创建者（全部者）组组员能够创建新组策略对象。假如域管理员想使一个非管理员用户或组能够创建组策略对象，则可将该用户或组添至组策略创建者（全部者）安全组中。这么，她们就能够创建、修改自己组策略对象，并成为该组策略对象创建者和全部者。 l 编辑组策略对象： 默认情况下，组策略对象接收域管理员、企业管理员及组策略创建者（全部者）组组员完全控制，课方便机组策略，但非管理员用户没有设置组策略链接应用权。 2.7. 应用组策略选项 假如能认真应用组策略选项，即使开始用数据极其多文件夹重定向选项和软件安装选项，也能够改善网络响应时间。应合适地应用组策略选项，尤其在刚开始时，更要仔细测试全部提议更改，以确保不损坏网络性能。下面是部分可用选项： l 安全组筛选选项： 可针对某个特定组策略对象实施筛选，使之不能对筛选计算机和用户组生效。 l 不许替换（强制继承）和阻止继承选项： 比如，假如在域层次定义了一个指定组策略对象，并已指定组对象是强制（不许替换），那么组策略对象所包含策略设置就会应用于该域中全部 OU；层次较低容器 (OU) 将无法替换此域组策略，通常见于安全设置。 也可阻止从父 Active Directory 容器继承组策略。不过，不许替换（强制继承）策略选项一直比阻止继承策略选项优先。 l 处理“环回”策略设置策略选项： 默认设置使计算机策略优先于用户策略起作用，但有时必需要优先实施用户策略，组策略环回功效使管理员能够实现这一设置。关键用在软件安装这一类策略上。 l 低速链接处理选项： 很多用户，如使用便携式计算机用户、远离建筑物或在分部工作用户，有时会用低速连接至网络。可对组策略进行配置，使部分策略不能生效，以降低网络开销。这些组策略设置包含： ² 软件安装和维护 ² 脚本 ² 磁盘配额 ² IP 安全 ² Dfs 故障恢复策略 ² Internet Explorer 维护 l 周期刷新选项： 可指定定时地处理组策略。默认情况下，DC计算机策略每 5 分钟刷新一次，而组员服务器和用户计算机每 90 分钟刷新一次，并带有 30 分钟随机偏移量。可依据需要改变此刷新频率。