公司域管理实施专业方案.docx

1、域管理实施方案一、目标l 加强企业IT系统及网络系统有效管控l 提升企业电脑系统技术支持服务效率l 为企业移动办公提供安全支撑平台前期已经搭建模拟网络测试环境，对域管理各项技术及相关方案进行了初步测试。在域服务器建立后，将对企业内部电脑系统，实施域管理。二、域管理好处l 用户集中管理，在办公环境，用户需要验证和授权，才能进入企业内部网络l 加入了域管理电脑，未经授权，不能安装非办公需要软件，有效预防因为私自安装第三方软件而引发多种系统、网络和资源占用等方面问题l 提升企业电脑系统维护效率。用户电脑系统补丁和升级（如Windows补丁升级、杀毒软件升级、其它办公软件升级等），域服务器将统一自动分

2、发、安装到域内各桌面电脑。节省网络带宽资源，预防关键系统补丁没有立即安装引发安全隐患l 对企业用户分类管理，依据实际情况，可对不一样用户组提供不一样服务（包含下载、软件安装、系统升级、授权等）l 集中化资源管理，企业各部门工作文档、软件工具等统一归档在服务器上，各部门同事依据被授予了访问权限才能查阅l 域服务器统一管理网络打印机等公共设备，每台桌面电脑不需要安装打印机就可打印文件资料l 每个同事登陆和退出企业网络全部有具体跟踪统计，能够监控非法用户访问l 依据需要，有效管理相关同事使用企业网络时间范围l 有效支持企业未来移动办公需求三、域管理具体方法（1）域计划1、建立AD域，命名为2、计划建

3、立单域方法建立域控服务器，活动目录逻辑结构由域和组织单元（OU）组成。3、组织单元（OU）是一个用来在域中创建分层管理单位单元，在域控中将会根据部门划分，临时分为：总经办，财务部，运行部，销售部，研发部等，以后如有调整，能够适时修改。4、用户名命名规则，两个字采取全拼，如张三，用户名为zhangsan；三个字及以上采取首字全拼加后面拼音首字母，如冯志强，用户名为fengzq；另能够依据用户自己需要采取英文名命名。5、为确保域控稳定安装实施，将采取分布式逐一部门进行推广。（2）DNS计划实施1. 首先我们要在DNS服务器上创建出一个区域，区域名称和域名相同，域内计算机DNS统计全部创建在这个区域

4、中。2. 区域创建完成后，建立正向反向查找，确保PC能够加入域。（3）域管理实施1. 只能域登陆IT部门会为企业各组员依据命名规则，在服务器上建立用户，账号会在服务器搭建完成后以邮件形式发送给各位。方法：为了规范管理，IT部收回并保留每台电脑管理员账户权限，给每个用户一个域账户，并把域账户加入到当地users组组策略：计算机配置-windows设置-安全设置-当地策略-用户权限分配（慎用）作用：避免用户自己下载安装软件，影响计算机速度，同时降低计算机中毒可能性，系统已安装软件不变，如用户还需要安装新软件，和IT联络。软件分发、指派、删除、升级指定用户软件安装申请分发或指派Server上传到服务

5、器指定用户组制作msi作用：能够远程为全部同事安装对方所需要软件，方便维护。2. 限制用户使用部分软件方法：为了提升工作效率，限制酷我音乐，暴风影音等软件使用，能够经过域管理实现，作用：提升工作效率。3. AD域管理网络打印机方法：经过在服务器上建立打印服务器，域用户能够直接添加，无需下载驱动。作用：方便打印机添加和管理4. 要求每个同事使用办公电脑时间方法：经过域策略，能够要求大部分同事使用办公室电脑时间，每七天一到周五8点到18点，其它时间和节假日等关闭企业网络。四、企业AD域管理实施步骤及节点时间1. 前期电脑、系统准备和系统安装，1个工作日2. AD域控服务布署和DNS设置，1个工作日

6、3. 域控工作组及域用户创建，并分配对应权限，1-2个工作日，要统一每个人员所拥有权限4. 在域控中创建文件共享，并结合实际需求给相关部门及职员分配共享文件访问权限。1-2个工作日5. 添加用户端用户并加入域，1-2个工作日。期间需联络金碟人员上门，调试金蝶服务器加入域后是否能正常使用6. 后续策略问题修改，而且依据用户反馈做合适调整。五、域管理实施前后注意事项1. 职员电脑加入域控，需提前备份好桌面上文件资料。2. 职员电脑加入域控，需提前备份好即时聊天工具，如QQ、钉钉等软件聊天统计。3. 如使用outlook邮件服务职员，加入域控需提前备份好邮件通讯录及邮件数据文件夹，Foxmail无需

7、备份。4. 职员电脑加入域后，一些应用软件需重新安装才能正常使用。5. 职员电脑加入域后，之前设置好扫描共享及文件共享需重新设置。六、可能会出现问题把计算机从工作组模式加入到域模式可能会出现以下三个问题：1.部分软件不能使用。有部分软件以登录者管理员权限帐号运行，当计算机加入到域并对登录帐号做了权限设置，或禁用了当地管理员帐号，这些需要管理员权限运行软件就有可能不能正常运行。2.用户桌面环境发生改变。因为加入域前后用户是用不一样帐号登录，所以用户以前桌面环境无法使用。具体有a、桌面上放置资料b、“我文档”等放置资料配置好“网络打印机”c、IE里设置好“网站收藏夹”等。处理方法：（1）对问题1能

8、够按以下两个方法来处理：a、把域帐号加入到当地管理员组b、卸载软件，用域帐号登录并安装（2）对问题2针对不一样问题分别处理以下：a、把当地老帐号下桌面内容全部备份下来，复制到新域帐号桌面b、把当地老帐号下“我文档”内容全部备份下来，复制到新域帐号“我文档”c、重新连接和创建“网络打印机”d、用特殊软件把老帐号IE里“网站收藏夹”备份下来，然后恢复到新域帐号中3.权限问题（1）对问题3将在在投入使用以后会依据反馈问题进行修改。七、硬件设备选型提议1.WindowsAD主域控制器：1台，同时兼作DNS服务器；l上述服务器硬件配置提议以下：l一台电脑主机即可：3.0GHZ以上CPU，2GB以上内存，500G硬盘。更改：考虑一下服务器稳定和安全性，决定不使用一般PC来替换。综合考虑过后选择此款入门级服务器：ThinkServer TS240 S1225v3 4/1TO八、备份和恢复因为考虑到后期安全性、稳定性，即使在服务器瓦解情况下，也能确保能立即修复；即使需要重新安装服务器，也能在第一时间恢复全部配置。所以会在服务器安装以后做一次性完整备份和定时备份。恢复时可能会出现问题：需要重新加域。九、附件1.共享文件夹权限分配表2.常见策略配置