公司域管理实施专业方案.docx

域管理实施方案 一、目标 l 加强企业IT系统及网络系统有效管控 l 提升企业电脑系统技术支持服务效率 l 为企业移动办公提供安全支撑平台 前期已经搭建模拟网络测试环境，对域管理各项技术及相关方案进行了初步测试。在域服务器建立后，将对企业内部电脑系统，实施域管理。 二、 域管理好处 l 用户集中管理，在办公环境，用户需要验证和授权，才能进入企业内部网络 l 加入了域管理电脑，未经授权，不能安装非办公需要软件，有效预防因为私自安装第三方软件而引发多种系统、网络和资源占用等方面问题 l 提升企业电脑系统维护效率。用户电脑系统补丁和升级（如Windows补丁升级、杀毒软件升级、其它办公软件升级等），域服务器将统一自动分发、安装到域内各桌面电脑。节省网络带宽资源，预防关键系统补丁没有立即安装引发安全隐患 l 对企业用户分类管理，依据实际情况，可对不一样用户组提供不一样服务（包含下载、软件安装、系统升级、授权等） l 集中化资源管理，企业各部门工作文档、软件工具等统一归档在服务器上，各部门同事依据被授予了访问权限才能查阅 l 域服务器统一管理网络打印机等公共设备，每台桌面电脑不需要安装打印机就可打印文件资料 l 每个同事登陆和退出企业网络全部有具体跟踪统计，能够监控非法用户访问 l 依据需要，有效管理相关同事使用企业网络时间范围 l 有效支持企业未来移动办公需求 三、域管理具体方法 （1）域计划 1、建立AD域，命名为 2、计划建立单域方法建立域控服务器，活动目录逻辑结构由域和组织单元（OU）组成。 3、组织单元（OU）是一个用来在域中创建分层管理单位单元，在域控中将会根据部门划分，临时分为：总经办，财务部，运行部，销售部，研发部等，以后如有调整，能够适时修改。 4、用户名命名规则，两个字采取全拼，如张三，用户名为zhangsan；三个字及以上采取首字全拼加后面拼音首字母，如冯志强，用户名为fengzq；另能够依据用户自己需要采取英文名命名。 5、为确保域控稳定安装实施，将采取分布式逐一部门进行推广。 （2）DNS计划实施 1. 首先我们要在DNS服务器上创建出一个区域，区域名称和域名相同，域内计算机DNS统计全部创建在这个区域中。 2. 区域创建完成后，建立正向反向查找，确保PC能够加入域。 （3）域管理实施 1. 只能域登陆 IT部门会为企业各组员依据命名规则，在服务器上建立用户，账号会在服务器搭建完成后以邮件形式发送给各位。 方法：为了规范管理，IT部收回并保留每台电脑管理员账户权限，给每个用户一个域账户，并把域账户加入到当地users组 组策略：计算机配置-windows设置-安全设置-当地策略-用户权限分配（慎用） 作用：避免用户自己下载安装软件，影响计算机速度，同时降低计算机中毒可能性，系统已安装软件不变，如用户还需要安装新软件，和IT联络。 软件分发、指派、删除、升级 指定用户 软件安装申请 分发或指派 Server 上传到服务器 指定用户组 制作msi 作用：能够远程为全部同事安装对方所需要软件，方便维护。 2. 限制用户使用部分软件 方法：为了提升工作效率，限制酷我音乐，暴风影音等软件使用，能够经过域管理实现， 作用：提升工作效率。 3. AD域管理网络打印机 方法：经过在服务器上建立打印服务器，域用户能够直接添加，无需下载驱动。作用：方便打印机添加和管理 4. 要求每个同事使用办公电脑时间 方法：经过域策略，能够要求大部分同事使用办公室电脑时间，每七天一到周五8点到18点，其它时间和节假日等关闭企业网络。 四、企业AD域管理实施步骤及节点时间   1. 前期电脑、系统准备和系统安装，1个工作日            2. AD域控服务布署和DNS设置，1个工作日 3. 域控工作组及域用户创建，并分配对应权限，1-2个工作日，要统一每个人员所拥有权限 4. 在域控中创建文件共享，并结合实际需求给相关部门及职员分配共享文件访问权限。1-2个工作日 5. 添加用户端用户并加入域，1-2个工作日。期间需联络金碟人员上门，调试金蝶服务器加入域后是否能正常使用   6. 后续策略问题修改，而且依据用户反馈做合适调整。 五、 域管理实施前后注意事项   1. 职员电脑加入域控，需提前备份好桌面上文件资料。   2. 职员电脑加入域控，需提前备份好即时聊天工具，如QQ、钉钉等软件聊天统计。  3. 如使用outlook邮件服务职员，加入域控需提前备份好邮件通讯录及邮件数据文件夹，Foxmail无需备份。   4. 职员电脑加入域后，一些应用软件需重新安装才能正常使用。   5. 职员电脑加入域后，之前设置好扫描共享及文件共享需重新设置。 六、可能会出现问题 把计算机从工作组模式加入到域模式可能会出现以下三个问题：   1. 部分软件不能使用。有部分软件以登录者管理员权限帐号运行，当计算机加入到域并对登录帐号做了权限设置，或禁用了当地管理员帐号，这些需要管理员权限运行软件就有可能不能正常运行。  2. 用户桌面环境发生改变。因为加入域前后用户是用不一样帐号登录，所以用户以前桌面环境无法使用。具体有  ²a、 桌面上放置资料  ² b、“我文档”等放置资料 ² 配置好“网络打印机”  ² c、IE里设置好“网站收藏夹”等。 处理方法：  （1） 对问题1能够按以下两个方法来处理：  a、 把域帐号加入到当地管理员组   b、卸载软件，用域帐号登录并安装  （2）对问题2针对不一样问题分别处理以下：  a、把当地老帐号下桌面内容全部备份下来，复制到新域帐号桌面  b、把当地老帐号下“我文档”内容全部备份下来，复制到新域帐号“我文档”  c、重新连接和创建“网络打印机”  d、用特殊软件把老帐号IE里“网站收藏夹”备份下来，然后恢复到新域帐号中 3.权限问题 （1）对问题3将在在投入使用以后会依据反馈问题进行修改。 七、硬件设备选型提议 1.Windows  AD主域控制器：1台，同时兼作DNS服务器； l   上述服务器硬件配置提议以下： l  一台电脑主机即可：3.0GHZ 以上CPU，2GB以上内存，500G硬盘。 更改： 考虑一下服务器稳定和安全性，决定不使用一般PC来替换。 综合考虑过后选择此款入门级服务器：ThinkServer TS240 S1225v3 4/1TO 八、备份和恢复 因为考虑到后期安全性、稳定性，即使在服务器瓦解情况下，也能确保能立即修复；即使需要重新安装服务器，也能在第一时间恢复全部配置。所以会在服务器安装以后做一次性完整备份和定时备份。 恢复时可能会出现问题：需要重新加域。 九、附件 1.《共享文件夹权限分配表》 2.《常见策略配置》