企業(yè)域管理實施方案

1、深圳 * 有限公司活動目錄解決方案二0二0年六月十二日1 概述背景介紹本解決方案將從公司的 IT 環(huán)境現(xiàn)狀出發(fā)，分析現(xiàn)有環(huán)境，提出公司 關(guān)心的關(guān)鍵問題，并根據(jù)相關(guān)問題詳細闡述對應(yīng)解決方案，解決公司所碰 到的問題，以信息技術(shù)提升企業(yè)生產(chǎn)力?，F(xiàn)狀描述當(dāng)前國內(nèi)企業(yè)內(nèi)部網(wǎng)絡(luò)環(huán)境多數(shù)仍為松散的管理狀態(tài)， IT 環(huán)境中硬件 設(shè)備伴隨著組織中人員數(shù)量的增加每年都在增長， 大力的信息化建設(shè)使硬 件和應(yīng)用軟件單純從技術(shù)層面上講都達到了較高的水平， 但實際環(huán)境中無 論是工作用桌面計算機還是服務(wù)器都是采用工作組模型， 各自獨立。 IT 環(huán) 境中的軟硬件資源都無法實現(xiàn)充分利用。經(jīng)歷了一定的網(wǎng)絡(luò)和硬件投資建設(shè)之后，多數(shù)

2、企業(yè)的信息技術(shù)部門開 始轉(zhuǎn)向關(guān)心信息化建設(shè)投資的“效益” ，究竟過去投入建成的這些設(shè) 備，能夠形成哪些應(yīng)用，帶來什么效益這已經(jīng)成為信息技術(shù)部門與企業(yè)管 理人員最為關(guān)心的重點問題。從信息技術(shù)部門人員來說，如何整合公司現(xiàn)有 IT 環(huán)境中的資源，將 IT 環(huán)境的管理由松散方式變?yōu)榧泄芾淼姆绞?，減輕日常管理維護負擔(dān)， 提升 IT 生產(chǎn)力。從最終用戶來說，如何能夠?qū)崿F(xiàn)單一的身份驗證，快速 的訪問企業(yè)內(nèi)部的各種資源，較少的當(dāng)機時間也是最大的愿望。問題分析現(xiàn)有公司內(nèi)部的 IT 環(huán)境是逐步建立起來的，而且在早期建立時由于沒有整體架構(gòu)的科 學(xué)指導(dǎo)，導(dǎo)致目前的松散型 IT 環(huán)境越來越 “臃腫 ”，客戶端、服務(wù)器

3、各自獨立，形成一個個 信息 “孤島 ”，無法統(tǒng)一管理。 在松散型管理的系統(tǒng)網(wǎng)絡(luò)環(huán)境中， 一旦某個節(jié)點出現(xiàn)問題需要 定位出現(xiàn)問題的位置，并需要繁瑣費時的恢復(fù)過程來實現(xiàn)修復(fù)。進銷存軟件及各種應(yīng)用軟 件的大規(guī)模部署需要相關(guān)人員在各個計算機上逐一手工安裝，極大耗費人力與時間。企業(yè)內(nèi)部的各種資源存在于員工的客戶端桌面計算機，服務(wù)器，以及其他各種設(shè)備之 中，用戶需要獲取相關(guān)資源需要首先確定資源在哪一臺計算機中，并且要針對不同資源提 供不同的登錄憑據(jù)（如用戶名 / 密碼等）來訪問。另外存在數(shù)據(jù)資源重復(fù)現(xiàn)象，造成硬件資 源的不合理占用。2 總體功能需求隨著以上闡述的問題在企業(yè)內(nèi)部 IT 環(huán)境中越來越突出， 企

4、業(yè)存在以下 需求：集中的組織與管理網(wǎng)絡(luò)內(nèi)的服務(wù)器及客戶端通過對網(wǎng)絡(luò)內(nèi)的服務(wù)器與客戶端計算機進行集中式的管理，有助于消 除早期“松散型”管理帶來的安全漏洞及其他影響 IT 系統(tǒng)穩(wěn)健運行問題， 能夠保證企業(yè)制訂的 IT 管理規(guī)范可以通過計算機的邏輯方式派發(fā)給各個 被管理的節(jié)點， 并且通過集中管理的模式可以有效降低客戶端的維護工作 量。統(tǒng)一的數(shù)據(jù)組織與資源管理實現(xiàn)統(tǒng)一的數(shù)據(jù)組織，如共享文件夾的發(fā)布等，并且能夠提供較為簡 單的信息檢索方式，快速查詢并定為所需的各種資源，實現(xiàn)資源的高效利 用。另外統(tǒng)一的數(shù)據(jù)組織與資源管理可以有效減少數(shù)據(jù)冗余與資源浪費， 減輕 IT 環(huán)境的維護難度，提升企業(yè)生產(chǎn)力。單一登

5、錄的網(wǎng)絡(luò)環(huán)境企業(yè)內(nèi)的普通員工計算機應(yīng)用能力有限，如何使員工一次登錄計算機 后就可以訪問其有權(quán)限訪問的各種資源是提升生產(chǎn)效率， 對于普通員工來 說更能感受到應(yīng)用信息技術(shù)能夠帶來更加快捷的工作效率， 有助于提升信 息系統(tǒng)的使用率。集中化的軟件部署與運行限制企業(yè)希望在大規(guī)模部署某個應(yīng)用軟件時可以避免手工逐一安裝的低效 率模式，而采用服務(wù)器 / 客戶端的網(wǎng)絡(luò)分發(fā)模式，并能對軟件的版本更新 做到一定控制，并且可以制定哪些軟件可以被安裝在哪些用戶的計算機 上。通過對軟件的運行限制，限制客戶端計算機上所運行的應(yīng)用軟件，使 工作用計算機僅可以運行特定應(yīng)用程序， 與工作無關(guān)的應(yīng)用程序?qū)唤?止運行，提升系統(tǒng)安

6、全性與最大化企業(yè) IT 系統(tǒng)效能。功能強大并易于擴展的 IT 基礎(chǔ)架構(gòu)企業(yè)希望現(xiàn)有的 IT 基礎(chǔ)架構(gòu)能夠提供較強的功能，如安全的身份驗 證，資源整合，軟硬件集中監(jiān)控、管理等，并且希望該基礎(chǔ)架構(gòu)支持較多 的上層應(yīng)用，具有較強的可擴展性，在未來的幾年中可以在現(xiàn)有底層 IT 架構(gòu)上實現(xiàn)更多的價值。實現(xiàn) IT 投資的保值。3 解決方案建議基于上述情況，結(jié)合國內(nèi)外企業(yè)信息化的發(fā)展趨勢和經(jīng)驗，同時參考IT 技術(shù)的現(xiàn)有能力和發(fā)展走向，信息部將為公司統(tǒng)籌安排、 統(tǒng)一規(guī)劃， 通 過分步實施、集中建設(shè)的方式，構(gòu)建一個集中、統(tǒng)一、互聯(lián)互通高可管理 性的基于活動目錄的企業(yè)核心 IT 基礎(chǔ)架構(gòu)概念描述活動目錄是 Win

7、dows Server 網(wǎng)絡(luò)體系結(jié)構(gòu)中一個基礎(chǔ)且不可分割的 部分。它提供了一套為分布式網(wǎng)絡(luò)環(huán)境設(shè)計的目錄服務(wù)，使得組織機構(gòu)可 以有效地對有關(guān)網(wǎng)絡(luò)資源和用戶的信息進行共享和管理。另外，目錄服務(wù) 在網(wǎng)絡(luò)安全方面也扮演著中心授權(quán)機構(gòu)的角色， 從而使操作系統(tǒng)可以輕松 地驗證用戶身份并控制其對網(wǎng)絡(luò)資源的訪問。“基于活動目錄的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)”建設(shè)方案中，不僅要建設(shè)一系列豐 富的，互聯(lián)的底層基礎(chǔ)架構(gòu)，同時還將構(gòu)建集中統(tǒng)一的軟件基礎(chǔ)設(shè)施、完 整互通的基礎(chǔ)數(shù)據(jù)庫，無縫整合現(xiàn)有信息應(yīng)用系統(tǒng)，并建立“企業(yè)信息技 術(shù)基礎(chǔ)架構(gòu)活動目錄”與外部信息系統(tǒng)的互聯(lián)互通機制。建設(shè)內(nèi)容根據(jù)“基于活動目錄的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)”的建設(shè)定位，我

8、們設(shè)計了“基 于活動目錄的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)”的整體功能框架，為實現(xiàn)“基于活動目錄的 網(wǎng)絡(luò)基礎(chǔ)架構(gòu)”的建設(shè)目標(biāo)提供應(yīng)用功能基礎(chǔ)。建立基礎(chǔ)平臺選擇合適的硬件及軟件來準(zhǔn)備用于目錄服務(wù)的服務(wù)器， 硬件性能要盡 量強勁，以滿足日后日益增加的客戶端連接處理數(shù)量；軟件要盡量選擇較 新版本，以獲取最新的技術(shù)支持及更多新特性。整合現(xiàn)有信息技術(shù)環(huán)境整合現(xiàn)有信息技術(shù)環(huán)境， 就是將客戶端與服務(wù)器由現(xiàn)有的工作組模式 的環(huán)境平滑遷移至基于活動目錄的域模式，統(tǒng)一管理及身份驗證信息，將 信息統(tǒng)一由服務(wù)器發(fā)布，減少信息孤島，增強信息技術(shù)易用性和安全性。建設(shè)策略“企業(yè)信息技術(shù)基礎(chǔ)架構(gòu)活動目錄”的建設(shè)，是一項建設(shè)完成后需 要長期穩(wěn)定使

9、用的工程， 為保證域控實施的成功，我們將遵循“總體規(guī) 劃、分步實施、關(guān)注重點、解決問題”的思路，從“總體規(guī)劃”做起，規(guī) 劃域的功能應(yīng)用；對規(guī)劃好的功能應(yīng)用，采取“分步實施”的策略，按照 “關(guān)注重點、解決問題”的原則，不僅要建設(shè)一個好的基礎(chǔ)平臺，還要保 證域控的穩(wěn)定實施。在實施的過程中，及時的解決所碰到的問題。 解決方案實施AD 域命名和 DNS 的規(guī)劃AD域名：*DNS建立DNS服務(wù)器，配置 DNS服務(wù)。確定 AD 邏輯結(jié)構(gòu)Windows 2003 活動目錄的邏輯結(jié)構(gòu)由三個基本組件組成：森林、域和ou我們計劃采取單森林單域的方式建立域控服務(wù)器。規(guī)劃 OU 結(jié)構(gòu)組織單元（0U是一個用來在域中創(chuàng)建

10、分層管理單位的容器。在域控 中將會按照部門進行劃分， 暫時分為： 總經(jīng)辦、人力資源部、 信息技術(shù)部、 財務(wù)部、品質(zhì)部、商品部、培訓(xùn)部、策劃部、客服部、形象推廣部、生產(chǎn) 技術(shù)部、采購部、設(shè)計部、等，以后如有調(diào)整，按調(diào)整增加。計算機名規(guī)則暫時采用部門名稱簡寫（拼音首字母）加使用者開機用戶名（姓全拼名拼音首字母）的方式對電腦進行命名 , 中間用橫桿隔開，閑置機器暫時 不加入域內(nèi)， 比如： 信息技術(shù)部： 彭富強煥 則計算機名為： xxjsb-pengfq使用者開機用戶名規(guī)則使用者的開機用戶名為： 三個字以上者：使用者的姓拼音全拼加上名的拼音首字母。如：彭富強 peng+fq=pengfq 兩個字：使用者姓的全拼加上名的全拼如：何斌 he+bin=hebin注：如遇上用戶名相同者在開機用戶名后加數(shù)字如： pengfq01 ，以示區(qū)分。為了保證計算機的安全， 所給的用戶名全為受限用戶， 一些特殊用戶除外。硬件設(shè)備安排為實現(xiàn) Windows 2003 AD 系統(tǒng)的部署實施，需要配置三臺服務(wù)器：Windows 2003 AD主域控制器：1臺，同時兼作 DNS服務(wù)器；146GB sas 硬盤：使用 2 個硬盤，實施鏡像（ RAID-1）IBM x3650 M3 服 務(wù)器。Win dows 2003 AD備份域控制器：1