ad域控規(guī)劃方案

1、活動目錄ad規(guī)劃方案 1.1. 活動目錄介紹活動目錄是windows網(wǎng)絡(luò)體系結(jié)構(gòu)中一個(gè)基本且不可分割的部分，它為網(wǎng)絡(luò)的用戶、管理員和應(yīng)用程序提供了一套分布式網(wǎng)絡(luò)環(huán)境設(shè)計(jì)的目錄服務(wù)。活動目錄使得組織機(jī)構(gòu)可以有效地對有關(guān)網(wǎng)絡(luò)資源和用戶的信息進(jìn)行共享和管理。另外，目錄服務(wù)在網(wǎng)絡(luò)安全方面也扮演著中心授權(quán)機(jī)構(gòu)的角色，從而使操作系統(tǒng)可以輕松地驗(yàn)證用戶身份并控制其對網(wǎng)絡(luò)資源的訪問。同等重要的是，活動目錄還擔(dān)當(dāng)著系統(tǒng)集成和鞏固管理任務(wù)的集合點(diǎn)?；顒幽夸浱峁┝藢趙indows的用戶賬號、客戶、服務(wù)器和應(yīng)用程序進(jìn)行管理的唯一點(diǎn)。同時(shí)，它也幫助組織機(jī)構(gòu)通過使用基于windows的應(yīng)用程序和與windows相兼容

2、的設(shè)備對非windows系統(tǒng)進(jìn)行集成，從而實(shí)現(xiàn)鞏固目錄服務(wù)并簡化對整個(gè)網(wǎng)絡(luò)操作系統(tǒng)的管理。公司也可以使用活動目錄服務(wù)安全地將網(wǎng)絡(luò)系統(tǒng)擴(kuò)展到internet上?；顒幽夸浺虼耸宫F(xiàn)有網(wǎng)絡(luò)投資升值，同時(shí)，降低為使windows網(wǎng)絡(luò)操作系統(tǒng)更易于管理、更安全、更易于交互所需的全部費(fèi)用?；顒幽夸浭俏④浉鞣N應(yīng)用軟件運(yùn)行的必要和基礎(chǔ)的條件。下圖表示出活動目錄成為各種應(yīng)用軟件的中心。1.2. 應(yīng)用windows 2012 server ad的好處windows 2012 ad簡化了管理，加強(qiáng)了安全性，擴(kuò)展了互操作性。它為用戶、組、安全服務(wù)及網(wǎng)絡(luò)資源的管理提供了一種集中化的方法。應(yīng)用windows 2012 ad

3、之后，企業(yè)信息化建設(shè)者和網(wǎng)絡(luò)管理員可以從中獲得如下好處：1、方便管理,權(quán)限管理比較集中，管理人員可以較好的管理計(jì)算機(jī)資源。2、安全性高，有利于企業(yè)的一些保密資料的管理，比如一個(gè)文件只能讓某一個(gè)人看,或者指定人員可以看,但不可以刪/改/移等。3、方便對用戶操作進(jìn)行權(quán)限設(shè)置，可以分發(fā)，指派軟件等,實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)的軟件一起安裝。4、很多服務(wù)必須建立在域環(huán)境中，對管理員來說有好處:統(tǒng)一管理,方便在ms 軟件方面集成,如isa exchange(郵件服務(wù)器)、isa server(上網(wǎng)的各種設(shè)置與管理)等。5、使用漫游賬戶和文件夾重定向技術(shù)，個(gè)人賬戶的工作文件及數(shù)據(jù)等可以存儲在服務(wù)器上，統(tǒng)一進(jìn)行備份、管理，

4、用戶的數(shù)據(jù)更加安全、有保障。6、方便用戶使用各種資源。7、sms（system management server）能夠分發(fā)應(yīng)用程序、系統(tǒng)補(bǔ)丁等，用戶可以選擇安裝，也可以由系統(tǒng)管理員指派自動安裝。并能集中管理系統(tǒng)補(bǔ)?。ㄈ鐆indows updates），不需每臺客戶端服務(wù)器都下載同樣的補(bǔ)丁，從而節(jié)省大量網(wǎng)絡(luò)帶寬。8、資源共享用戶和管理員可以不知道他們所需要的對象的確切名稱，但是他們可能知道這個(gè)對象的一個(gè)或多個(gè)屬性，他們可以通過查找對象的部分屬性在域中得到一個(gè)所有已知屬性相匹配的對象列表，通過域使得基于一個(gè)或者多個(gè)對象屬性來查找一個(gè)對象變得可能。9、管理a、 域控制器集中管理用戶對網(wǎng)絡(luò)的訪問，如

5、登錄、驗(yàn)證、訪問目錄和共享資源。為了簡化管理，所有域中的域控制器都是平等的，你可以在任何域控制器上進(jìn)行修改，這種更新可以復(fù)制到域中所有的其他域控制器上。b、 域的實(shí)施通過提供對網(wǎng)絡(luò)上所有對象的單點(diǎn)管理進(jìn)一步簡化了管理。因?yàn)橛蚩刂破魈峁┝藢W(wǎng)絡(luò)上所有資源的單點(diǎn)登錄，管理遠(yuǎn)可以登錄到一臺計(jì)算機(jī)來管理網(wǎng)絡(luò)中任何計(jì)算機(jī)上的管理對象。在nt網(wǎng)絡(luò)中，當(dāng)用戶一次登陸一個(gè)域服務(wù)器后，就可以訪問該域中已經(jīng)開放的全部資源，而無需對同一域進(jìn)行多次登陸。但在需要共享不同域中的服務(wù)時(shí)，對每個(gè)域都必須要登陸一次，否則無法訪問未登陸域服務(wù)器中的資源或無法獲得未登陸域的服務(wù)。10、可擴(kuò)展性 在活動目錄中，目錄通過將目錄組織成

6、幾個(gè)部分存儲信息從而允許存儲大量的對象。因此，目錄可以隨著組織的增長而一同擴(kuò)展，允許用戶從一個(gè)具有幾百個(gè)對象的小的安裝環(huán)境發(fā)展成擁有幾百萬對象的大型安裝環(huán)境。11、安全性 域?yàn)橛脩籼峁┝藛我坏牡卿涍^程來訪問網(wǎng)絡(luò)資源，如所有他們具有權(quán)限的文件、打印機(jī)和應(yīng)用程序資源。也就是說，用戶可以登錄到一臺計(jì)算機(jī)來使用網(wǎng)絡(luò)上另外一臺計(jì)算機(jī)上的資源，只要用戶具有對資源的合適權(quán)限。域通過對用戶權(quán)限合適的劃分，確定了只有對特定資源有合法權(quán)限的用戶才能使用該資源，從而保障了資源使用的合法性和安全性。 12、可冗余性每個(gè)域控制器保存和維護(hù)目錄的一個(gè)副本。在域中，你創(chuàng)建的每一個(gè)用戶帳號都會對應(yīng)目錄的一個(gè)記錄。當(dāng)用戶登錄到

7、域中的計(jì)算機(jī)時(shí)，域控制器將按照目錄檢查用戶名、口令、登錄限制以驗(yàn)證用戶。當(dāng)存在多個(gè)域控制器時(shí)，他們會定期的相互復(fù)制目錄信息，域控制器間的數(shù)據(jù)復(fù)制，促使用戶信息發(fā)生改變時(shí)（比如用戶修改了口令），可以迅速的復(fù)制到其他的域控制器上，這樣當(dāng)一臺域控制器出現(xiàn)故障時(shí)，用戶仍然可以通過其他的域控制進(jìn)行登錄，保障了網(wǎng)絡(luò)的順利運(yùn)行。1.3. 明確系統(tǒng)規(guī)劃目標(biāo)企業(yè)的windows 2012 ad系統(tǒng)規(guī)劃構(gòu)建是為企業(yè)信息化建設(shè)服務(wù)的，需要達(dá)到以下戰(zhàn)略目標(biāo)：l 圍繞企業(yè)的戰(zhàn)略發(fā)展需要，進(jìn)行企業(yè)信息化建設(shè)系統(tǒng)規(guī)劃，滿足企業(yè)3-5年的業(yè)務(wù)發(fā)展對it建設(shè)的要求；l 以業(yè)務(wù)為驅(qū)動，通過有效的信息系統(tǒng)，加強(qiáng)信息共享和協(xié)同辦公，

8、提高工作效率，降低成本；l 整合企業(yè)現(xiàn)有信息資產(chǎn)，加強(qiáng)企業(yè)管理與監(jiān)控；從信息中挖掘知識，提高經(jīng)營決策與駕馭風(fēng)險(xiǎn)的能力；l 推進(jìn)知識管理理念，建立知識型企業(yè)，增強(qiáng)企業(yè)的核心競爭力。windows 2012 ad系統(tǒng)規(guī)劃實(shí)施的具體目標(biāo)如下：l 規(guī)劃和部署基于windows 2012 ad的企業(yè)目錄服務(wù)，首先實(shí)現(xiàn)用戶的單一登錄，保障網(wǎng)絡(luò)系統(tǒng)安全；l 通過ad實(shí)現(xiàn)用戶桌面的集中和自動管理，分發(fā)軟件補(bǔ)??；l 進(jìn)一步部署微軟的相關(guān)應(yīng)用平臺軟件，如實(shí)現(xiàn)基于exchange 2003的企業(yè)內(nèi)部郵件和協(xié)作服務(wù)，1.4. 活動目錄設(shè)計(jì)方案為企業(yè)設(shè)計(jì)一個(gè)域，用戶的所有計(jì)算機(jī)（服務(wù)器和客戶機(jī)）全部加入到域，用戶實(shí)現(xiàn)單

9、一登錄和管理員通過域組策略實(shí)現(xiàn)安全及桌面管理。ad架構(gòu)拓?fù)淙缦隆?1.5. 活動目錄優(yōu)勢1. 計(jì)算機(jī)工作組管理和ad管理比較對于基于microsoft windows操作系統(tǒng)的計(jì)算機(jī)運(yùn)行和管理在兩種模式下：工作組(workgroup)和域(domain)。在工作組模式下，計(jì)算機(jī)處于一個(gè)孤立狀態(tài)，使用計(jì)算機(jī)的用戶登錄帳號和計(jì)算機(jī)的管理均須在每臺計(jì)算機(jī)上創(chuàng)建或進(jìn)行。見下圖。當(dāng)計(jì)算機(jī)超過20臺以上時(shí)，計(jì)算機(jī)的管理變得越來越困難，并且要為用戶創(chuàng)建越來越多的訪問網(wǎng)絡(luò)資源的帳號，用戶要記住多個(gè)訪問不同資源的帳號。而在域的模式下，用戶只需記住一個(gè)域帳號，即可登錄訪問域中的資源。并且管理員通過組策略，可以輕松

10、配置用戶的桌面工作環(huán)境和加強(qiáng)計(jì)算機(jī)安全設(shè)置。域模式下所有的域帳號保存在域控制器的活動目錄數(shù)據(jù)庫中。見下圖。2. 為什么要提供目錄服務(wù)?對更加強(qiáng)大、透明且高度集成的目錄服務(wù)的不斷需求是由爆炸性增長的網(wǎng)絡(luò)計(jì)算所導(dǎo)致的。隨著局域網(wǎng)（lan）、廣域網(wǎng)（wan）規(guī)模與復(fù)雜性的不斷提高和這些網(wǎng)絡(luò)不斷被連入internet，以及應(yīng)用程序?qū)W(wǎng)絡(luò)的依賴程度不斷增強(qiáng)并不斷被鏈接到協(xié)作企業(yè)網(wǎng)中的其它系統(tǒng)上，對目錄服務(wù)的需求也日漸增多?；谙铝性?，目錄服務(wù)成為擴(kuò)展的計(jì)算機(jī)系統(tǒng)中最重要的部件之一： l 簡化管理 提供對用戶、應(yīng)用程序和設(shè)備的單一、一致性的管理點(diǎn)。 l 加強(qiáng)安全性 向用戶提供單一的網(wǎng)絡(luò)資源登錄，為管理員

11、提供強(qiáng)大、一致性的工具以使他們能夠管理為內(nèi)部臺式機(jī)用戶、遠(yuǎn)程撥號用戶以及外部電子商務(wù)客戶提供的安全服務(wù)。 l 擴(kuò)展的互操作性 向所有活動目錄特性提供基于標(biāo)準(zhǔn)的存取方式以及對通用目錄的同步支持。目錄服務(wù)兼任管理工具和用戶工具。隨著網(wǎng)絡(luò)中對象數(shù)量的增加，目錄服務(wù)變得必不可少。目錄服務(wù)在一個(gè)龐大的分布式系統(tǒng)中發(fā)揮著網(wǎng)絡(luò)集線器的作用。致力于這些需求，windows 2000 服務(wù)器版引入了活動目錄-即一套用于改進(jìn)windows網(wǎng)絡(luò)操作系統(tǒng)管理、安全性和互操作性的完整的目錄服務(wù)集。下圖描述了活動目錄帶來的計(jì)算機(jī)安全和管理上的一些最重要的好處。3. ad簡化了計(jì)算機(jī)系統(tǒng)管理 分布式系統(tǒng)常常導(dǎo)致時(shí)間的消耗和

12、管理的冗余。當(dāng)公司在他們的基礎(chǔ)結(jié)構(gòu)上添加應(yīng)用程序并雇用新的職員時(shí)，他們需要適當(dāng)?shù)叵蚋髯烂嫦到y(tǒng)分發(fā)軟件并管理多個(gè)應(yīng)用程序目錄。通過在單一的位置管理用戶、組和網(wǎng)絡(luò)資源以及分發(fā)軟件和管理桌面系統(tǒng)配置，活動目錄可以顯著降低公司的管理費(fèi)用。例如，活動目錄在同一個(gè)位置管理windows用戶和microsoft exchange郵箱信息?；谙铝性?，活動目錄可以從以下方面幫助公司簡化管理： l 消除冗余管理任務(wù) 提供對windows用戶賬號、客戶、服務(wù)器和應(yīng)用程序以及現(xiàn)存目錄同步能力進(jìn)行單一點(diǎn)管理。 l 降低桌面系統(tǒng)的行程 針對用戶在公司中所擔(dān)當(dāng)?shù)慕巧詣酉蚱浞职l(fā)軟件，以減少或消除系統(tǒng)管理員為軟件安裝和配

13、置而安排的多次行程。 l 更好的實(shí)現(xiàn)it資源的最大化 安全地將管理功能分派到組織機(jī)構(gòu)的所有層次上。 l 降低總體擁有成本（tco） 通過使網(wǎng)絡(luò)資源容易被定位、配置和使用來簡化對文件和打印服務(wù)的管理和使用。4. 加強(qiáng)安全性強(qiáng)大且一致的安全服務(wù)對企業(yè)網(wǎng)絡(luò)而言是必不可少的。管理用戶驗(yàn)證和訪問控制的工作往往單調(diào)乏味且容易出錯(cuò)?；顒幽夸浖羞M(jìn)行管理并加強(qiáng)了與組織機(jī)構(gòu)的商業(yè)過程一致、且基于角色的安全性。例如，對多身份驗(yàn)證協(xié)議（如kerberos，x.509認(rèn)證以及由靈活的訪問控制模型組成的智能卡）的支持實(shí)現(xiàn)了對于內(nèi)部桌面系統(tǒng)用戶、遠(yuǎn)程撥號用戶和外部電子商務(wù)客戶強(qiáng)大且一致的安全服務(wù)?；顒幽夸浭褂靡韵路椒ㄔ鰪?qiáng)

14、安全性： 改進(jìn)了密碼的安全性和管理 通過向網(wǎng)絡(luò)資源提供單一的集成、高性能且對終端用戶透明的安全服務(wù)。 保證桌面系統(tǒng)的功能性 通過根據(jù)終端用戶角色鎖定桌面系統(tǒng)配置來防止對特定客戶主機(jī)操作進(jìn)行訪問，例如軟件安裝或注冊項(xiàng)編輯。 加速電子商務(wù)的部署 通過提供對安全的internet標(biāo)準(zhǔn)協(xié)議和身份驗(yàn)證機(jī)制的內(nèi)建支持，如kerberos, 公開密鑰基礎(chǔ)設(shè)施（pki）和安全套接字協(xié)議層（ssl）之上的輕便目錄訪問協(xié)議（ldap）。 緊密的控制安全性 通過對目錄對象和構(gòu)成他們的單獨(dú)數(shù)據(jù)元素設(shè)置訪問控制特權(quán)。1.6. 重要組策略介紹1. 軟件分發(fā)策略通過組策略可以為域中的計(jì)算機(jī)或用戶自動分發(fā)帶有msi包的軟件。

15、見下圖。2. 將用戶的個(gè)人數(shù)據(jù)從pc機(jī)上重定向到服務(wù)器上重定向有利于數(shù)據(jù)的安全以及集中備份。見下圖。3. 安全類組策略l 密碼策略 “強(qiáng)制密碼歷史”設(shè)置確定在重用舊密碼之前必須與用戶帳戶相關(guān)的唯一新密碼的數(shù)量。 配置“密碼最長使用期限”設(shè)置，以便密碼在環(huán)境需要時(shí)過期。 “密碼最短使用期限”設(shè)置確定了用戶更改密碼之前必須使用密碼的天數(shù)。 “最短密碼長度”設(shè)置確保密碼至少包含指定數(shù)量的字符。 “密碼必須符合復(fù)雜性要求策略”選項(xiàng)檢查所有新密碼以確保它們符合強(qiáng)密碼的基本要求。賬號鎖定策略帳戶鎖定策略是一項(xiàng) windows server 2012 安全功能，它在指定時(shí)間段內(nèi)多次登錄嘗試失敗后鎖定用戶帳戶

16、。允許的嘗試次數(shù)和時(shí)間段是由為安全策略鎖定設(shè)置配置的值決定的。用戶不能登錄到鎖定的帳戶。 “帳戶鎖定時(shí)間”設(shè)置確定在未鎖定帳戶且用戶可以嘗試再次登錄之前所必須經(jīng)歷的時(shí)間長度 “帳戶鎖定閾值”設(shè)置確定用戶在帳戶鎖定之前可以嘗試登錄帳戶的次數(shù)。 “復(fù)位帳戶鎖定計(jì)數(shù)器”設(shè)置決定了“帳戶鎖定閾值”復(fù)位為 0 以及帳戶被解鎖之前所必須經(jīng)過的時(shí)間長度。l 禁用本地管理員帳號默認(rèn)情況下，每臺加入到域中的計(jì)算機(jī)都有administrator和guest兩個(gè)帳號，administrator帳號在安裝時(shí)口令為空。用戶使用這個(gè)帳號權(quán)限過大，因此一般不會給用戶使用這個(gè)管理員帳號，最好的做法就是通過組策略禁用這個(gè)帳號，

17、用戶使用域的帳號。l 將域帳號加入到每臺pc機(jī)的本地power users組中創(chuàng)建域帳號時(shí)，默認(rèn)情況下這個(gè)帳號只屬于domain users組中，該組屬于每臺pc機(jī)的本地users組。本地users組中的成員權(quán)限受到嚴(yán)格限制，比如共享文件夾，安裝打印機(jī)驅(qū)動程序等工作的權(quán)限都沒有。而經(jīng)常有用戶需要這些權(quán)限，可以通過組策略來實(shí)現(xiàn)。禁用系統(tǒng)服務(wù)我們?yōu)閮?yōu)化系統(tǒng)和安全性考慮，經(jīng)常要禁用計(jì)算機(jī)的一些無需運(yùn)行的服務(wù)。我們可以通過組策略把這些服務(wù)禁用掉。l 軟件限制策略對一些規(guī)定不得使用的軟件可以通過組策略來禁用： 路徑規(guī)則：特殊文件路徑下的軟件不得使用：如program files下的某些軟件 證書規(guī)則：只

18、有系統(tǒng)管理員頒發(fā)過證書的軟件可以使用，其他軟件禁止使用 哈希規(guī)則：對禁止使用的軟件通過哈希運(yùn)算得到這個(gè)軟件的身份指紋，在組策略里設(shè)置只要是符合身份指紋鑒定的軟件就進(jìn)行限制l 網(wǎng)絡(luò)連接控制策略用戶經(jīng)常會通過改變“網(wǎng)絡(luò)連接”中的設(shè)置，繞過企業(yè)防火墻，建立自己的上網(wǎng)鏈路，比如電話撥號上網(wǎng)。這樣會帶來很大的安全隱患?？梢酝ㄟ^組策略限制用戶不得改變網(wǎng)絡(luò)連接中的配置，不允許用戶通過其他方式連接互聯(lián)網(wǎng)。1.7. 計(jì)算機(jī)從工作組加入到域可能存在的問題和解決方法把計(jì)算機(jī)從工作組模式加入到域模式可能會出現(xiàn)以下二個(gè)問題問題：1. 一些軟件不能使用。有一些軟件以登錄者的管理員權(quán)限帳號運(yùn)行，當(dāng)計(jì)算機(jī)加入到域并對登錄帳號

19、做了權(quán)限設(shè)置，或禁用了本地管理員帳號，這些需要管理員權(quán)限運(yùn)行的軟件就有可能不能正常運(yùn)行。2. 用戶桌面環(huán)境發(fā)生改變。由于加入域前后用戶是用不同的帳號登錄的，因此用戶以前的桌面環(huán)境無法使用。具體有 桌面上放置的資料 “我的文檔”等放置的資料 配置好的“網(wǎng)絡(luò)打印機(jī)” ie里設(shè)置好的“網(wǎng)站收藏夾”等。解決方法：1. 對問題1我們可以按以下兩個(gè)方法來解決：(1) 把域帳號加入到本地管理員組(2) 卸載軟件，用域帳號登錄并安裝2. 對問題2針對不同的問題分別解決如下：(1) 把本地老帳號下的桌面內(nèi)容全部備份下來，復(fù)制到新域帳號的桌面(2) 把本地老帳號下的“我的文檔”內(nèi)容全部備份下來，復(fù)制到新域帳號的“

20、我的文檔”(3) 重新連接和創(chuàng)建“網(wǎng)絡(luò)打印機(jī)”(4) 用特殊軟件把老帳號ie里的“網(wǎng)站收藏夾”備份下來，然后恢復(fù)到新域帳號中2. 活動目錄方案實(shí)施2.1. ad域命名和dns的規(guī)劃windows 2012 ad域命名和dns的規(guī)劃之所以放在首要地位，是因?yàn)閍d作為整個(gè)it架構(gòu)的基礎(chǔ)，不應(yīng)該輕易被調(diào)整。盡管安裝后，windows 2012 ad仍然可以重組和改名，這一點(diǎn)比windows 2000 ad有了很大的進(jìn)步，但是我們?nèi)匀唤ㄗh做一個(gè)長遠(yuǎn)規(guī)劃，使得域命名和dns服務(wù)能夠滿足企業(yè)3-5年的需求，盡量避免配置好后改作調(diào)整地巨大人力物力浪費(fèi)。此外，部署windows 2012 ad，還必須確定dn

21、s服務(wù)器，確保它們滿足域控制器定位器系統(tǒng)的要求。一個(gè)支持ad的dns至少需要滿足以下要求：l 必須支持服務(wù)定位資源記錄（srv）l 應(yīng)該支持 dns 動態(tài)更新協(xié)議（rfc 2136）windows 2012 server 提供的 dns 服務(wù)同時(shí)滿足這些要求，并且還提供下列重要的附加功能和改進(jìn)：l active directory 集成：dns 服務(wù)把區(qū)域數(shù)據(jù)存儲在目錄中，使得 dns 復(fù)制創(chuàng)建多個(gè)主域，也減少了對維護(hù)一個(gè)單獨(dú)的 dns 區(qū)域傳送復(fù)制拓?fù)涞囊?。l 安全動態(tài)更新：使得一個(gè)管理員可以精確地控制哪些計(jì)算機(jī)可以更新哪些名稱，并防止未經(jīng)授權(quán)的計(jì)算機(jī)從 dns 獲得現(xiàn)有的名稱。l 條件轉(zhuǎn)

22、發(fā)：根據(jù)不同的對外訪問的域名后綴，可以將用戶的dns名稱解析請求轉(zhuǎn)發(fā)到不同的外部dns服務(wù)器。l 存根區(qū)域：可以定時(shí)地刷新和外部dns服務(wù)器的連接，及時(shí)發(fā)現(xiàn)那些可能有故障、不再響應(yīng)用戶請求的服務(wù)器，提高用戶dns名稱解析的效率。2.2. 確定ad邏輯結(jié)構(gòu)windows 2012活動目錄的邏輯結(jié)構(gòu)由三個(gè)基本組件組成：森林、域和ou。1、 確定森林規(guī)劃森林是windows 2012 ad域的集合。在很多情況下，單一森林就足夠了。單一森林環(huán)境易于建立和維護(hù)，森林間的域自動建立雙向可傳遞內(nèi)部信任關(guān)系，不要求手動建立外部信任配置，在安裝exchange 2012 server等應(yīng)用程序時(shí)，只需應(yīng)用一次架

23、構(gòu)更改即可影響所有域。如果各個(gè)單位有下列管理要求，就必須建立一個(gè)以上的森林：l 不互相信任管理員。l 希望限制信任關(guān)系范圍。l 不同意某種森林架構(gòu)更改策略。架構(gòu)更改、配置更改會影響到森林中所有的域。如果單位不同意一個(gè)公共架構(gòu)策略，它們就不能共存于同一個(gè)森林中。2、 制定域規(guī)劃規(guī)劃域結(jié)構(gòu)時(shí)，始終遵循“簡單是最好的投資”的設(shè)計(jì)原則，盡管增加某些復(fù)雜結(jié)構(gòu)可以增值，但是簡單的結(jié)構(gòu)更易于說明、維護(hù)和調(diào)試。一開始時(shí)總是僅考慮每個(gè)森林中僅有一個(gè)域，然后為每一個(gè)增加的新域提供詳細(xì)的理由，確保添加到森林中的域都是有益的，因?yàn)樗鼈儠硐鄳?yīng)的管理開銷而導(dǎo)致一定程度的成本上升。創(chuàng)建更多的域的三種可能的原因是：l 希

24、望實(shí)現(xiàn)相對分散式得it管理模式：多域結(jié)構(gòu)更容易進(jìn)行相對獨(dú)立的管理、委派和權(quán)限控制。另外，不同的用戶帳戶在一個(gè)域內(nèi)是不能出現(xiàn)重名的，多域之間就沒有限制。對于人士管理相對獨(dú)立的集團(tuán)下屬公司，多域結(jié)構(gòu)具有更好的靈活性。l 希望實(shí)現(xiàn)不同管理策略要求：包括用戶口令策略、賬戶鎖定策略和efs加密策略。例如，要求某些人必須取8個(gè)字符以上的口令，而其它人不做限制。為此，必須將這些需要不同安全策略的用戶放在單獨(dú)的域中。l 希望減小wan上的復(fù)制流量：域控制器域間復(fù)制將產(chǎn)生比域內(nèi)復(fù)制少的多的流量。如果公司很大，具有跨地區(qū)的組織結(jié)構(gòu)，且處于同一個(gè)森林內(nèi)，則在不同地理位置上的機(jī)構(gòu)可能使用慢速的wan鏈路連接。為減少w

25、an上的dc復(fù)制流量，可以在不同的地理位置設(shè)置不同的域。l 根據(jù)以上考慮，我們建議，企業(yè)windows 2012 ad域邏輯結(jié)構(gòu)可以采用“單森林、單域”的結(jié)構(gòu)設(shè)計(jì)。2.3. 確定ad物理結(jié)構(gòu)考慮到企業(yè)的地理分布情況，應(yīng)該考慮使用多站點(diǎn)拓?fù)鋪硪?guī)劃windows 2012 ad物理結(jié)構(gòu)。從繪制基本的網(wǎng)絡(luò)拓?fù)洳季謭D著手工作，繪制所有可能的站點(diǎn)（site）和站點(diǎn)鏈接（site link）。l 速度快（10mbps以上）、連接可靠的lan網(wǎng)絡(luò)總是放置在單站點(diǎn)中。站點(diǎn)定義為一組通過快速、可靠的線路連接起來的 ip 子網(wǎng)。一般而言，具有 lan 速度或更快速度的網(wǎng)絡(luò)被認(rèn)為是快速網(wǎng)絡(luò)。 l 窄帶的、或不太可靠

26、的連接可以使用站點(diǎn)鏈接建立多站點(diǎn)網(wǎng)絡(luò)。通常，wan連接一般被認(rèn)為是窄帶連接。如果建立站點(diǎn)鏈接，實(shí)現(xiàn)多站點(diǎn)網(wǎng)絡(luò)模式，則： 客戶計(jì)算機(jī)在登錄到域時(shí)首先試圖與位于同一站點(diǎn)的dc通信； windows 2012 ad復(fù)制使用站點(diǎn)拓?fù)洚a(chǎn)生復(fù)制連接。2.4. 規(guī)劃ou結(jié)構(gòu)和組策略組織單元（ou）是一個(gè)用來在域中創(chuàng)建分層管理單位的容器。在域中創(chuàng)建ou結(jié)構(gòu)時(shí)，必須注意始終按照“誰管理什么”的原則，從it管理的需要出發(fā)，劃分管理模型的結(jié)構(gòu)，而不是簡單按照公司業(yè)務(wù)單位和它的不同分支、部門和項(xiàng)目來創(chuàng)建ou結(jié)構(gòu)。考慮 ou 的下列特性是很重要的：l ou 可以是嵌套的。一個(gè) ou 可以包含子 ou，使得可以在域中創(chuàng)建

27、一個(gè)分層的目錄樹結(jié)構(gòu)。但是嵌套太多將導(dǎo)致管理復(fù)雜和低效，所以建議以二級嵌套為最理想，最多不應(yīng)超過四級嵌套。l ou 可以用來委派管理和控制對目錄對象的訪問。l 不能使 ou 成為安全組的成員，也不能因?yàn)橛脩舯晃晒芾韔u或駐留在ou中而自動獲得訪問資源的權(quán)限。l 可以在ou上實(shí)施組策略。組策略是基于windows 2012注冊表的修改，從而集中控制用戶和計(jì)算機(jī)的工作環(huán)境、桌面配置、軟件自動安裝和刪除的管理手段。一般而言，安全策略必須在域級別實(shí)施，其它策略主要在ou級別實(shí)施。l 不鼓勵用戶在 ou 結(jié)構(gòu)中瀏覽。沒有必要設(shè)計(jì)一個(gè)吸引最終用戶的 ou 結(jié)構(gòu)。盡管用戶有可能瀏覽一個(gè)域的 ou 結(jié)構(gòu)，但

28、對于用戶查找資源來說，這并不是一個(gè)最有效的方法。在目錄中查找資源的最有效的方法是查詢?nèi)志庝?。有兩個(gè)理由需要在windows 2012域中創(chuàng)建 ou 結(jié)構(gòu)：l 創(chuàng)建 ou 以管理對象和委派授權(quán)。l 為組策略創(chuàng)建 ou。一個(gè)完全為管理和委派而設(shè)計(jì)的 ou 結(jié)構(gòu)與一個(gè)完全為組策略而設(shè)計(jì)的 ou 結(jié)構(gòu)是不同的。ou 結(jié)構(gòu)將很快變得相當(dāng)復(fù)雜。每次添加一個(gè) ou 到規(guī)劃中時(shí)，要記下創(chuàng)建的具體原因。這有助于確保每個(gè) ou 有一個(gè)目的，并將幫助閱讀規(guī)劃的人理解結(jié)構(gòu)所基于的理由。2.5. 創(chuàng)建 ou 以管理和委派在單位中委派管理有一些好處。以前，在單位中除了 it 之外的組可能必須將更改請求提交到高級管理員，

29、高級管理員代表他們進(jìn)行更改。委派特定的權(quán)限可以將責(zé)任分散到單位中的各個(gè)組，使您可以將必須有高級訪問權(quán)限的用戶的數(shù)量降到最少。權(quán)限受到限制的管理員所發(fā)生的事故或錯(cuò)誤所產(chǎn)生的影響只限于他們負(fù)責(zé)的范圍。這一工作包括以下步驟：l 確定創(chuàng)建何種 ou創(chuàng)建的 ou 結(jié)構(gòu)將完全取決于管理是如何在單位中委派的。委派管理的三種方法是：按物理位置、按業(yè)務(wù)單位（公司部門）、按角色或任務(wù)。三種方法經(jīng)常結(jié)合使用。l 修改訪問控制列表：修改 ou 的訪問控制列表 (acl)可以授予一個(gè)組對 ou 的特定權(quán)限，從而實(shí)現(xiàn)對該ou的委派管理。盡量委派權(quán)限給組賬戶而不是單獨(dú)的用戶，如果可能，委派到本地組而不是全局組或通用組。l

30、委派步驟。從域中的默認(rèn)結(jié)構(gòu)開始，按下列主要步驟創(chuàng)建 ou 結(jié)構(gòu)：- 通過委派完全控制創(chuàng)建 ou 的頂層；- 創(chuàng)建 ou 的下層來委派每個(gè)對象類別控制。2.6. 創(chuàng)建 ou 支持組策略使用 windows 2012，可以使用組策略定義用戶和計(jì)算機(jī)配置，并將這些策略與站點(diǎn)、域或 ou 關(guān)聯(lián)。是否要創(chuàng)建附加的 ou 以支持組策略的應(yīng)用取決于制定的策略以及所選擇的實(shí)現(xiàn)方案，包括：l 定義客戶計(jì)算機(jī)的管理與桌面配置標(biāo)準(zhǔn)l 定義軟件的自動分發(fā)l 特殊組策略應(yīng)用配置與管理在 windows 2012 中，組策略設(shè)置是管理員啟用集中更改和配置客戶計(jì)算機(jī)管理的主要方法。可用組策略為某個(gè)特定的用戶組和計(jì)算機(jī)組創(chuàng)建

31、指定的安全限制和桌面環(huán)境配置。windows 2012 組策略有 100 多種與安全有關(guān)的設(shè)置和 450 多種基于注冊表的設(shè)置，為您管理用戶計(jì)算機(jī)環(huán)境提供了眾多選項(xiàng)。windows 2003 組策略：l 可根據(jù)活動目錄定義或在計(jì)算機(jī)本地進(jìn)行定義；l 可用 microsoft 管理控制臺（mmc）或 *.adm 文件保存和管理；l 是安全的；l 不會在實(shí)施的策略改變時(shí)把設(shè)置留在用戶配置文件中；l 可應(yīng)用于指定的活動目錄容器（站點(diǎn)、域與 ou）中的用戶或計(jì)算機(jī)；l 可由安全組的用戶或計(jì)算機(jī)成員進(jìn)一步控制；l 可用來配置多種類型的安全設(shè)；l 可用于實(shí)施登錄、注銷、啟動及關(guān)閉腳本；l 可用于安裝和維護(hù)軟件；l 可用于重定向文件夾（如 my documents 和 application data 文件夾）；l 可用于在 microsoft internet explorer 中執(zhí)行維護(hù)?？梢园聪铝腥齻€(gè)步驟配置和管理組策略：l 管理站點(diǎn)、域或 ou 的組策略鏈接