XX銀行AD、網(wǎng)盤(pán)建議方案---v10

1、XX銀行MICROSOFT信息系統(tǒng)建設(shè)AD、網(wǎng)盤(pán)（文件服務(wù)器）系統(tǒng)建議方案 v1.02013-5-31XX科技有限公司XXXXXXXXX作者：XXEmail:XX目錄1引言31.1編寫(xiě)目的31.2目標(biāo)讀者31.3系統(tǒng)概念32概述32.1方案目標(biāo)32.2用戶需求描述42.3軟硬件環(huán)境52.3.1應(yīng)用組成52.3.2建立容錯(cuò)機(jī)制52.3.3服務(wù)器和設(shè)備（總部）53方案架構(gòu)設(shè)計(jì)53.1拓?fù)?3.2活動(dòng)目錄規(guī)劃73.2.1活動(dòng)目錄介紹73.2.2 AD域命名和DNS 的規(guī)劃83.2.3 AD邏輯結(jié)構(gòu)83.2.4確定AD物理結(jié)構(gòu)93.2.5規(guī)劃OU結(jié)構(gòu)和組策略103.2.6創(chuàng)建OU以管理和委派113.2

2、.7創(chuàng)建OU支持策略113.2.8應(yīng)用組策略選項(xiàng)123.2.9兼容性支持133.2.10管理和安全性143.3文件服務(wù)器153.3.1文件服務(wù)器介紹153.3.2 DFS(分布式文件系統(tǒng))：153.3.3文件服務(wù)器資源管理器163.3.4共享文件夾的卷影復(fù)制163.3.5 SMB 3.0(由于SMB 3.0需要客戶端操作系統(tǒng)為WIN 8,本文僅作簡(jiǎn)單介紹)173.3.6文件服務(wù)器權(quán)限訪問(wèn)分配173.4 DPM(Data Protection Manager)建立備份機(jī)制183.4.1DPM介紹183.4.2高性能數(shù)據(jù)備份、低擁有成本183.4.3無(wú)縫化的磁盤(pán)磁盤(pán)磁帶備份解決方案183.4.4易

3、于使用和管理194方案總結(jié)194.1優(yōu)勢(shì)194.2方案信息系統(tǒng)組件清單195 公司簡(jiǎn)介195.1公司概況195.2客戶案例（部分）205.3售后服務(wù)體系205.3.1服務(wù)宗旨205.3.2故障等級(jí)與響應(yīng)時(shí)間201引言1.1編寫(xiě)目的AD、網(wǎng)盤(pán)能夠幫助用戶實(shí)現(xiàn)統(tǒng)一的客戶端管理平臺(tái)、集中共享式的文檔保護(hù)等。為了更好的幫助用戶深入理解AD、網(wǎng)盤(pán)（文件服務(wù)器）的技術(shù)優(yōu)勢(shì)，以及針對(duì)用戶當(dāng)前的環(huán)境設(shè)計(jì)的初步整體解決方案，特編寫(xiě)了本文檔供用戶領(lǐng)導(dǎo)及相關(guān)技術(shù)人員參考。1.2目標(biāo)讀者本文的主要讀者為XX銀行信息技術(shù)部門(mén)領(lǐng)導(dǎo)及下屬技術(shù)人員、Microsoft客戶代表與工程技術(shù)人員，以及合作伙伴及項(xiàng)目集成商等相關(guān)人員

4、。1.3系統(tǒng)概念A(yù)D：使用 Active Directory(R) 域服務(wù) (AD DS) 服務(wù)器角色，可以創(chuàng)建用于用戶和資源管理的可伸縮、安全及可管理的基礎(chǔ)機(jī)構(gòu)，并可以提供對(duì)啟用目錄的應(yīng)用程序（如 Microsoft(R) Exchange Server）的支持。AD DS 提供了一個(gè)分布式數(shù)據(jù)庫(kù)，該數(shù)據(jù)庫(kù)可以存儲(chǔ)和管理有關(guān)網(wǎng)絡(luò)資源的信息，以及啟用了目錄的應(yīng)用程序中特定于應(yīng)用程序的數(shù)據(jù)。運(yùn)行 AD DS 的服務(wù)器稱為域控制器。管理員可以使用 AD DS 將網(wǎng)絡(luò)元素（如用戶、計(jì)算機(jī)和其他設(shè)備）整理到層次內(nèi)嵌結(jié)構(gòu)。內(nèi)嵌層次結(jié)構(gòu)包括 Active Directory 林、林中的域以及每個(gè)域中的組織

5、單位 (OU)。DFS：使用分布式文件系統(tǒng) (DFS)，系統(tǒng)管理員可以使用戶方便地訪問(wèn)和管理物理上分布在網(wǎng)絡(luò)各處的文件。通過(guò) DFS，可以使分布在多個(gè)服務(wù)器上的文件如同位于網(wǎng)絡(luò)上的一個(gè)位置一樣顯示在用戶面前。用戶在訪問(wèn)文件時(shí)不再需要知道和指定它們的實(shí)際物理位置。例如，如果市場(chǎng)材料分布在某個(gè)域的多個(gè)服務(wù)器上，則您可使用 DFS，使得所有材料如同存儲(chǔ)在一個(gè)服務(wù)器上一樣。這樣，用戶可避免為查找他們需要的信息而訪問(wèn)網(wǎng)絡(luò)上的多個(gè)位置。2概述2.1方案目標(biāo)Windows Server 2012 AD、網(wǎng)盤(pán)系統(tǒng)規(guī)劃構(gòu)建是為企業(yè)信息化建設(shè)服務(wù)的，將實(shí)現(xiàn)以下戰(zhàn)略目標(biāo)： 1) 圍繞公司的戰(zhàn)略發(fā)展需要，進(jìn)行企業(yè)信息

6、化建設(shè)系統(tǒng)規(guī)劃，滿足企業(yè) 3-5 年的業(yè)務(wù)發(fā)展對(duì) IT 建設(shè)的要求； 2) 以業(yè)務(wù)為驅(qū)動(dòng)，通過(guò)有效的信息系統(tǒng)，加強(qiáng)信息共享和協(xié)同辦公，提高工作效率，利用系統(tǒng)自帶免費(fèi)的 Hyper-V 3.0虛擬化技術(shù)降低成本； 3) 集中管理終端PC分散存儲(chǔ)的文檔資料，形成內(nèi)部企業(yè)級(jí)網(wǎng)盤(pán)。4) 整合企業(yè)現(xiàn)有信息資產(chǎn)，加強(qiáng)企業(yè)管理與監(jiān)控；從信息中挖掘知識(shí)，提高經(jīng)營(yíng)決策與駕馭風(fēng)險(xiǎn)的能力； 5) 推進(jìn)知識(shí)管理理念，建立知識(shí)型企業(yè)，增強(qiáng)企業(yè)的核心競(jìng)爭(zhēng)力。 Windows Server 2012 AD 方案規(guī)劃實(shí)施的具體目標(biāo)如下： 規(guī)劃和部署基于 Windows Server 2012的AD、網(wǎng)盤(pán)等企業(yè)目錄服務(wù)，實(shí)現(xiàn)用

7、戶的單一登錄，文件的統(tǒng)一存儲(chǔ)、備份，統(tǒng)一管理用戶對(duì) IT 的資源權(quán)限，提高用戶使用、IT 人員管理的工作效率，從而降低整個(gè)IT 的運(yùn)維成本。2.2用戶需求描述1) 工作形態(tài)單一為了進(jìn)行個(gè)人數(shù)據(jù)管理，只能守在自己的電腦面前。人員出差必須攜帶筆記本電腦、U盤(pán)等設(shè)備，如果設(shè)備損壞而且目的地沒(méi)有有效網(wǎng)絡(luò)時(shí)無(wú)法有效傳遞數(shù)據(jù)。當(dāng)需要進(jìn)行緊急數(shù)據(jù)處理，而物理距離不能滿足要求時(shí)容易耽誤時(shí)間和耗費(fèi)不必要的精力。2) 安全需求增加非安全性的存儲(chǔ)介質(zhì)和加密方式容易造成數(shù)據(jù)損失和泄露，工作人員使用U盤(pán)、移動(dòng)硬盤(pán)和共用FTP容易造成數(shù)據(jù)泄漏和傳播病毒。傳統(tǒng)的加密方式（如加密狗）對(duì)硬件唯一性要求高，如設(shè)備損壞會(huì)造成不能進(jìn)

8、行數(shù)據(jù)處理，對(duì)于對(duì)數(shù)據(jù)安全高要求的銀行來(lái)說(shuō)，必須保證實(shí)時(shí)數(shù)據(jù)的準(zhǔn)確性。3) 運(yùn)維日常挑戰(zhàn) 操作系統(tǒng)補(bǔ)丁、office補(bǔ)丁和病毒庫(kù)不能實(shí)現(xiàn)自動(dòng)分發(fā)和部署； 計(jì)算機(jī)配置信息不能實(shí)現(xiàn)統(tǒng)一標(biāo)準(zhǔn)化管理； 桌面計(jì)算機(jī)沒(méi)有統(tǒng)一命名規(guī)范，必要時(shí)不能統(tǒng)一界面； 桌面用戶使用計(jì)算機(jī)的行為無(wú)法控制； 桌面用戶隨意使用、安裝和卸載軟件； 應(yīng)用系統(tǒng)客戶端軟件的安裝和升級(jí)不能實(shí)現(xiàn)自動(dòng)分發(fā)； 維護(hù)采用一對(duì)一的現(xiàn)場(chǎng)維護(hù)方式，桌面支持效率低；2.3軟硬件環(huán)境2.3.1應(yīng)用組成 1) 安裝活動(dòng)目錄，創(chuàng)建單域，實(shí)現(xiàn)域賬號(hào)登錄和域策略管理。2) 安裝文件服務(wù)器組件。3) 部署DFS、VSS等功能組件。4) 部署DPM備份系統(tǒng)，實(shí)現(xiàn)A

9、D、文件服務(wù)器的定時(shí)備份。2.3.2建立容錯(cuò)機(jī)制 總部，AD 、網(wǎng)盤(pán)（文件服務(wù)器）分別部署兩臺(tái)，相互之間容錯(cuò)，一臺(tái)出現(xiàn)問(wèn)題，另外一臺(tái)即可提供服務(wù)。考慮到提高用戶體驗(yàn)，將部署 RODC,只讀域控制器。RODC 是域的附加域控制器，它承載 Active Directory 數(shù)據(jù)庫(kù)的只讀分區(qū)。設(shè)計(jì) RODC 主要是為了在分支機(jī)構(gòu)環(huán)境中部署。分支機(jī)構(gòu)通常用戶相對(duì)較少，物理安全性差，連接站點(diǎn)的帶寬也相對(duì)較低，并且缺乏本地IT 知識(shí)。 2.3.3服務(wù)器和設(shè)備（總部） 項(xiàng)目數(shù)量CPURAM網(wǎng)卡磁盤(pán)備注AD2臺(tái)四核2.0GHz8GB1*千兆網(wǎng)卡100GDFS2臺(tái)四核2.0GHz8GB3*千兆網(wǎng)卡按實(shí)際需求網(wǎng)卡

10、聚合DPM1臺(tái)四核2.0GHz8GB2*千兆網(wǎng)卡按實(shí)際需求備份軟件3方案架構(gòu)設(shè)計(jì)3.1拓?fù)洌ˋD 示例）(AD OU 示例)（DPM備份 示例）3.2活動(dòng)目錄規(guī)劃3.2.1活動(dòng)目錄介紹活動(dòng)目錄是 Windows Server 2012網(wǎng)絡(luò)架構(gòu)中一個(gè)基本且不可分割的部分，它為網(wǎng)絡(luò)的用戶、管理員和應(yīng)用程序提供了一套分布式網(wǎng)絡(luò)環(huán)境設(shè)計(jì)的目錄服務(wù)。活動(dòng)目錄使得組織機(jī)構(gòu)可以有效地對(duì)有關(guān)網(wǎng)絡(luò)資源和用戶的信息進(jìn)行共享和管理。另外，目錄服務(wù)在網(wǎng)絡(luò)安全方面也扮演著中心授權(quán)機(jī)構(gòu)的角色，從而使操作系統(tǒng)可以輕松地驗(yàn)證用戶身份并控制其對(duì)網(wǎng)絡(luò)資源的訪問(wèn)。同等重要的是，活動(dòng)目錄還擔(dān)當(dāng)著系統(tǒng)集成和鞏固管理任務(wù)的集合點(diǎn)?？偟膩?lái)

11、說(shuō)，活動(dòng)目錄的這些功能使組織機(jī)構(gòu)可以將標(biāo)準(zhǔn)化的商業(yè)規(guī)則貫徹于分布式應(yīng)用和網(wǎng)絡(luò)資源當(dāng)中，同時(shí)，無(wú)需管理員來(lái)維護(hù)各種不同的專用目錄。活動(dòng)目錄提供了對(duì)基于 Windows 的使用者賬號(hào)、客戶、服務(wù)器和應(yīng)用程序進(jìn)行管理的唯一點(diǎn)。同時(shí)，它也說(shuō)明組織機(jī)構(gòu)通過(guò)使用基于 Windows 的應(yīng)用程序和與Windows 相兼容的設(shè)備對(duì)非 Windows 系統(tǒng)進(jìn)行集成，從而實(shí)現(xiàn)鞏固目錄服務(wù)并簡(jiǎn)化對(duì)整個(gè)網(wǎng)絡(luò)操作系統(tǒng)的管理。公司也可以使用活動(dòng)目錄服務(wù)安全地將網(wǎng)絡(luò)系統(tǒng)擴(kuò)展到 Internet 上?；顒?dòng)目錄因此使現(xiàn)有網(wǎng)絡(luò)投資升值，同時(shí)，降低為使 Windows 網(wǎng)絡(luò)操作系統(tǒng)更易于管理、更安全、更易于交互所需的全部費(fèi)用，活動(dòng)

12、目錄是微軟各種應(yīng)用軟件運(yùn)行的必要和基礎(chǔ)的條件。（活動(dòng)目錄成為各種應(yīng)用軟件的中心）3.2.2 AD域命名和DNS 的規(guī)劃Windows Server 2012 AD域命名和 DNS 的規(guī)劃之所以放在首要地位，是因?yàn)?AD 作為整個(gè)IT 架構(gòu)的基礎(chǔ)，不應(yīng)該輕易被調(diào)整。盡管安裝后，Win dows Server 2012 AD 仍然可以重組和改名，這一點(diǎn)比 Windows 2000 AD 有了很大的進(jìn)步，但是我們?nèi)匀唤ㄗh做一個(gè)長(zhǎng)遠(yuǎn)規(guī)劃，使得域命名和 DNS 服務(wù)能夠滿足企業(yè) 3-5 年的需求，盡量避免配置好后改作調(diào)整地巨大人力物力浪費(fèi)。 此外，部署 Windows Server 2012 AD，還必

13、須確定 DNS 服務(wù)器，確保它們滿足域控制器定位器系統(tǒng)的要求。一個(gè)支持 AD 的 DNS 至少需要滿足以下要求： 必須支持服務(wù)定位資源記錄（SRV） 應(yīng)該支持 DNS 動(dòng)態(tài)更新協(xié)議（RFC 2136）Windows Server 2012提供的 DNS 服務(wù)同時(shí)滿足這些要求，并且還提供下列重要的附加功能和改進(jìn)： Active Directory 集成：DNS 服務(wù)把區(qū)域數(shù)據(jù)存儲(chǔ)在目錄中，使得 DNS 復(fù)制創(chuàng)建多個(gè)主域，也減少了對(duì)維護(hù)一個(gè)單獨(dú)的 DNS 區(qū)域傳送復(fù)制拓?fù)涞囊蟆?安全動(dòng)態(tài)更新：使得一個(gè)管理員可以精確地控制哪些計(jì)算機(jī)可以更新哪些名稱，并防止未經(jīng)授權(quán)的計(jì)算機(jī)從 DNS 獲得現(xiàn)有的名稱

14、。 條件轉(zhuǎn)發(fā)：根據(jù)不同的對(duì)外訪問(wèn)的域名后綴，可以將用戶的 DNS 名稱解析請(qǐng)求轉(zhuǎn)發(fā)到不同的外部 DNS 服務(wù)器。 存根區(qū)域：可以定時(shí)地刷新和外部 DNS 服務(wù)器的連接，及時(shí)發(fā)現(xiàn)那些可能有故障、不再響應(yīng)使用者請(qǐng)求的服務(wù)器，提高用戶 DNS 名稱解析的效率。3.2.3 AD邏輯結(jié)構(gòu)規(guī)劃域結(jié)構(gòu)時(shí)，始終遵循“簡(jiǎn)單是最好的投資”的設(shè)計(jì)原則，盡管增加某些復(fù)雜結(jié)構(gòu)可以增值，但是簡(jiǎn)單的結(jié)構(gòu)更易于說(shuō)明、維護(hù)和調(diào)試。一開(kāi)始時(shí)總是僅考慮每個(gè)森林中僅有一個(gè)域，然后為每一個(gè)增加的新域提供詳細(xì)的理由，確保添加到森林中的域都是有益的，因?yàn)樗鼈儠?huì)帶來(lái)相應(yīng)的管理開(kāi)銷(xiāo)而導(dǎo)致一定程度的成本上升。 根據(jù)以上考慮，我們建議， Wind

15、ows Server 2012 AD域邏輯結(jié)構(gòu)可以采用“單森林、單域”的結(jié)構(gòu)設(shè)計(jì)。具體如下： 域名： 域名可以根據(jù)企業(yè)需要進(jìn)行制定。需要考慮FQDN和NetBIOS兩種格式的域名，以簡(jiǎn)潔、穩(wěn)定、見(jiàn)名知意為目標(biāo)。可以使用目前已經(jīng)使用的域名。建議如果使用Inter net格式的域名，最好進(jìn)行域名注冊(cè)。 FQDN格式域名的示例為：XXX.com，Net BIOS格式域名的示例為：XXX。服務(wù)器名稱：XXXdc1, XXXdc2 DNS 域名：XXX.local I P Address:188.88.X.X DNS服務(wù)： 1) 配置所有域控制器作為DN S服務(wù)器； 2) 在DNS服務(wù)器中建立正向 AD

16、集成區(qū)域XXXdc1. loc al，復(fù)制到森林內(nèi)所有DNS服務(wù)器，只允許安全的動(dòng)態(tài)更新； 3) 在DNS服務(wù)器建立反向 AD集成的區(qū)域，對(duì)應(yīng)所有IP子網(wǎng)，復(fù)制到域內(nèi)所有域控制器，只允許安全的動(dòng)態(tài)更新；4) 根據(jù)需要建立到Internet的轉(zhuǎn)發(fā)器； 5) 所有的域控制器的所有網(wǎng)卡上的DNS配置：優(yōu)先使用本站點(diǎn)的第一臺(tái)域控制器，其次為自身。6) 通過(guò)DHCP或靜態(tài)配置，配置所有成員服務(wù)器和客戶端計(jì)算機(jī)使用本地DNS服務(wù)器，并至少配置2臺(tái)DNS服務(wù)器地址； 用戶賬戶（示例）： 根據(jù)公司的具體情況，以簡(jiǎn)潔，穩(wěn)定和見(jiàn)名知義為目標(biāo)，采用如下用戶賬號(hào)命名規(guī)則： 1) 名（拼音）姓（拼音），最長(zhǎng)不能超過(guò)12

17、個(gè)位； 2) 如果有個(gè)重名的用戶，使用名（拼音）姓（拼音）加上數(shù)字作為識(shí)別 ； 3) 顯示名為用戶中文名稱。 在建立用戶帳戶后，為用戶賬戶補(bǔ)充完整用戶描述信息，比如聯(lián)系方式，部門(mén)等，建立企業(yè)內(nèi)信息白頁(yè)。 計(jì)算機(jī)賬戶： 根據(jù)公司的具體情況，如使用固定資產(chǎn)“主機(jī)-編號(hào)”為命名規(guī)則，如 :EW17- 61 3根據(jù)需要移動(dòng)計(jì)算機(jī)賬戶到用戶所屬部門(mén)的組織單位。3.2.4確定AD物理結(jié)構(gòu)Windows Server 2012 AD物理結(jié)構(gòu)主要是規(guī)劃網(wǎng)站拓?fù)?，用于說(shuō)明您決定在網(wǎng)絡(luò)的什么地方放置域控制器，以及管理域控制器之間的復(fù)制流量和用戶登錄流量。 考慮到公司的地理分布情況，應(yīng)該考慮使用多網(wǎng)站拓?fù)鋪?lái)規(guī)劃 W

18、indows Server 2012 AD 物理結(jié)構(gòu)。從繪制基本的網(wǎng)絡(luò)拓?fù)洳季謭D著手工作，繪制所有可能的網(wǎng)站（Site）和站點(diǎn)鏈接（Sit e Link）。 速度快（10Mbps 以上）、連接可靠的 LAN 網(wǎng)絡(luò)總是放置在單網(wǎng)站中。 網(wǎng)站定義為一組通過(guò)快速、可靠的線路連接起來(lái)的 IP子網(wǎng)。一般而言，具有 LAN 速度或更快速度的網(wǎng)絡(luò)被認(rèn)為是快速網(wǎng)絡(luò)。窄帶的、或不太可靠的連接可以使用站點(diǎn)鏈接建立多網(wǎng)站網(wǎng)絡(luò)。通常，WAN 連接一般被認(rèn)為是窄帶連接。如果建立站點(diǎn)鏈接，實(shí)現(xiàn)多網(wǎng)站網(wǎng)絡(luò)模式 ，則客戶計(jì)算機(jī)在登錄到域時(shí)首先試圖與位于同一網(wǎng)站的 DC 通信； Windows Server 2012 AD 復(fù)

19、制使用網(wǎng)站拓?fù)洚a(chǎn)生復(fù)制連接。3.2.5規(guī)劃OU結(jié)構(gòu)和組策略組織單元（OU）是一個(gè)用來(lái)在域中創(chuàng)建分層管理單位的容器。在域中創(chuàng)建 OU 結(jié)構(gòu)時(shí)，必須注意始終按照“誰(shuí)管理什么”的原則，從 IT 管理的需要出發(fā)，劃分管理模型的結(jié)構(gòu)，而不是簡(jiǎn)單按照公司業(yè)務(wù)單位和它的不同分支、部門(mén)和項(xiàng)目來(lái)創(chuàng)建 OU結(jié)構(gòu)?？紤]OU的下列特性是很重要的： 1) OU 可以是嵌套的。 2) 一個(gè)OU可以包含子OU，使得可以在域中創(chuàng)建一個(gè)分層的目錄樹(shù)結(jié)構(gòu)。但是嵌套太多將導(dǎo)致管理復(fù)雜和低效，所以建議以二級(jí)嵌套為最理想，最多不應(yīng)超過(guò)四級(jí)嵌套。 3) OU可以用來(lái)委派管理和控制對(duì)目錄對(duì)象的訪問(wèn)。 4) 不能使OU成為安全組的成員，也不

20、能因?yàn)橛脩舯晃晒芾?OU或駐留在OU中而自動(dòng)獲得訪問(wèn)資源的權(quán)限。 5) 可以在OU上實(shí)施組策略。 6) 組策略是基于 Windows Server 2012注冊(cè)表的修改，從而集中控制用戶和計(jì)算機(jī)的工作環(huán)境、桌面配置、軟件自動(dòng)安裝和刪除的管理手段。一般而言，安全策略必須在域級(jí)別實(shí)施，其它策略主要在OU級(jí)別實(shí)施。 7) 不鼓勵(lì)用戶在OU結(jié)構(gòu)中瀏覽。 8) 沒(méi)有必要設(shè)計(jì)一個(gè)吸引最終用戶的 OU結(jié)構(gòu)。盡管用戶有可能瀏覽一個(gè)域的 OU 結(jié)構(gòu)，但對(duì)于用戶查找資源來(lái)說(shuō)，這并不是一個(gè)最有效的方法。在目錄中查找資源的最有效的方法是查詢?nèi)志庝洝?9) 有兩個(gè)理由需要在 Windows Server 2012域

21、中創(chuàng)建 OU 結(jié)構(gòu)： 創(chuàng)建OU以管理對(duì)象和委派授權(quán)。 為組策略創(chuàng)建 OU。 一個(gè)完全為管理和委派而設(shè)計(jì)的 OU 結(jié)構(gòu)與一個(gè)完全為組策略而設(shè)計(jì)的 OU 結(jié)構(gòu)是不同的。OU 結(jié)構(gòu)將很快變得相當(dāng)復(fù)雜。每次添加一個(gè) OU到規(guī)劃中時(shí)，要記下創(chuàng)建的具體原因。這有助于確保每個(gè)OU有一個(gè)目的，并將說(shuō)明閱讀規(guī)劃的人理解結(jié)構(gòu)所基于的理由。3.2.6創(chuàng)建OU以管理和委派在單位中委派管理有一些好處。以前，在單位中除了 IT 之外的組可能必須將更改請(qǐng)求提交到高級(jí)管理員，高級(jí)管理員代表他們進(jìn)行更改。委派特定的權(quán)限可以將責(zé)任分散到單位中的各個(gè)組，使您可以將必須有高級(jí)訪問(wèn)權(quán)限的用戶的數(shù)量降到最少。權(quán)限受到限制的管理員所發(fā)生的

22、事故或錯(cuò)誤所產(chǎn)生的影響只限于他們負(fù)責(zé)的范圍。這一工作包括以下步驟： 1) 確定創(chuàng)建何種OU。2) 創(chuàng)建的 OU 結(jié)構(gòu)將完全取決于管理是如何在單位中委派的。委派管理的三種方法是：按物理位置、按業(yè)務(wù)單位（公司部門(mén)）、按角色或任務(wù)。三種方法經(jīng)常結(jié)合使用。 3) 修改訪問(wèn)控制列表。4) 修改 OU 的訪問(wèn)控制列表 (ACL)可以授予一個(gè)組對(duì) OU 的特定權(quán)限，從而實(shí)現(xiàn)對(duì)該 OU 的委派管理。盡量委派權(quán)限給組賬戶而不是單獨(dú)的用戶，如果可能，委派到本地組而不是全局組或通用組。 5) 委派步驟。從域中的默認(rèn)結(jié)構(gòu)開(kāi)始，按下列主要步驟創(chuàng)建 OU 結(jié)構(gòu)： 通過(guò)委派完全控制創(chuàng)建OU的頂層； 創(chuàng)建OU的下層來(lái)委派每個(gè)

23、對(duì)象類(lèi)別控制；3.2.7創(chuàng)建OU支持策略使用 Windows Server 2008 R2，可以使用組策略定義用戶和計(jì)算機(jī)配置，并將這些策略與網(wǎng)站、域或 OU 關(guān)聯(lián)。是否要?jiǎng)?chuàng)建附加的 OU 以支持組策略的應(yīng)用取決于制定的策略以及所選擇的實(shí)現(xiàn)方案，包括： 1) 定義客戶計(jì)算機(jī)的管理與桌面配置標(biāo)準(zhǔn)2) 定義軟件的自動(dòng)分發(fā) 3) 特殊組策略應(yīng)用配置與管理 在 Windows Server 2012中，組策略設(shè)置是管理員啟用集中更改和配置客戶計(jì)算機(jī)管理的主要方法。可用組策略為某個(gè)特定的用戶組和計(jì)算機(jī)組創(chuàng)建指定的安全限制和桌面環(huán)境配置。 Windows Server 2012組策略有 100 多種與安全

24、有關(guān)的設(shè)置和 450 多種基于注冊(cè)表的設(shè)置，為您管理用戶計(jì)算機(jī)環(huán)境提供了眾多選項(xiàng)。Windows Server 2012組策略(示例)： 1) 可根據(jù)活動(dòng)目錄定義或在計(jì)算機(jī)本地進(jìn)行定義；2) 可用 Microsoft 管理控制臺(tái)（MMC）或 *.adm 文件保存和管理； 3) 是安全的； 4) 不會(huì)在實(shí)施的策略改變時(shí)把設(shè)置留在用戶配置文件中； 5) 可應(yīng)用于指定的活動(dòng)目錄容器（網(wǎng)站、域與 OU）中的用戶或計(jì)算機(jī)； 6) 可由安全組的用戶或計(jì)算機(jī)成員進(jìn)一步控制； 7) 可用來(lái)配置多種類(lèi)型的安全設(shè)置； 8) 可用于實(shí)施登錄、注銷(xiāo)、啟動(dòng)及關(guān)閉腳本； 9) 可用于安裝和維護(hù)軟件； 10) 可用于重定向

25、文件夾（如 My Documents 和 Application Data 文件夾）； 可以按下列三個(gè)步驟配置和管理組策略： 1) 管理網(wǎng)站、域或 OU 的組策略連結(jié)。2) 預(yù)設(shè)情況下，只有域管理員組和企業(yè)管理員組可以配置網(wǎng)站、域或部門(mén)的組策略。可在網(wǎng)站、域或 OU 的“屬性”頁(yè)的“組策略”選項(xiàng)卡中指定鏈接至網(wǎng)站、域或 OU 的組策略對(duì)象。Active Directory 支持以每個(gè)屬性為基礎(chǔ)的安全設(shè)置。 3) 創(chuàng)建組策略對(duì)象。4) 預(yù)設(shè)情況下，只有域管理員組、企業(yè)管理員組和組策略創(chuàng)建者（所有者）組的成員可以創(chuàng)建新的組策略對(duì)象。如果域管理員想使一個(gè)非管理員用戶或組能夠創(chuàng)建組策略對(duì)象，則可將該用

26、戶或組添至組策略創(chuàng)建者（所有者）安全組中。這樣，他們就可以創(chuàng)建、修改自己的組策略對(duì)象，并成為該組策略對(duì)象的創(chuàng)建者和所有者。5) 編輯組策略對(duì)象。6) 預(yù)設(shè)情況下，組策略對(duì)象接受域管理員、企業(yè)管理員及組策略創(chuàng)建者（所有者）組成員的完全控制，可以編輯組策略，但非管理員使用者沒(méi)有設(shè)置組策略連結(jié)的應(yīng)用權(quán)。3.2.8應(yīng)用組策略選項(xiàng)如果能認(rèn)真應(yīng)用組策略選項(xiàng)，即使開(kāi)始用數(shù)據(jù)極其多的文件夾復(fù)位向選項(xiàng)和軟件安裝選項(xiàng)，也能夠改善網(wǎng)絡(luò)的響應(yīng)時(shí)間。應(yīng)恰當(dāng)?shù)貞?yīng)用組策略選項(xiàng)，尤其在剛開(kāi)始時(shí)，更要仔細(xì)測(cè)試所有建議的更改，以確保不損壞網(wǎng)絡(luò)性能。下面是一些可用的選項(xiàng)： 1) 安全組篩選選項(xiàng)。2) 可針對(duì)某個(gè)特定組策略對(duì)象實(shí)施篩

27、選，使之不能對(duì)篩選的計(jì)算機(jī)和用戶組生效。 3) 不許替代（強(qiáng)制繼承）和阻止繼承選項(xiàng)： 4) 例如，如果在域?qū)哟味x了一個(gè)指定的組策略對(duì)象，并已指定組對(duì)象是強(qiáng)制的（不許替代），那么組策略對(duì)象所包含的策略設(shè)置就會(huì)應(yīng)用于該域中的所有 OU；層次較低的容器 (OU) 將無(wú)法替代此域的組策略，一般用于安全設(shè)置。 5) 也可阻止從父 Active Directory 容器繼承組策略。但是，不許替代（強(qiáng)制繼承）策略選項(xiàng)始終比阻止繼承策略選項(xiàng)優(yōu)先。 6) 處理“環(huán)回”策略設(shè)置的策略選項(xiàng)： 7) 默認(rèn)的設(shè)置使計(jì)算機(jī)策略優(yōu)先于用戶策略起作用，但有時(shí)必須要優(yōu)先實(shí)施用戶策略，組策略的環(huán)回功能使管理員能夠?qū)崿F(xiàn)這一設(shè)置。

28、主要用在軟件安裝這一類(lèi)的策略上。 8) 慢速鏈接處理的選項(xiàng)。9) 許多用戶，如使用便攜式計(jì)算機(jī)的用戶、遠(yuǎn)離建筑物或在分部工作的用戶，有時(shí)會(huì)用低速連接至網(wǎng)絡(luò)。可對(duì)組策略進(jìn)行配置，使部分策略不能生效，以減少網(wǎng)絡(luò)開(kāi)銷(xiāo)。這些組策略設(shè)置包括： a) 軟件安裝與維護(hù) b) 腳本 c) 磁盤(pán)配額 d) IP 安全 e) Dfs 故障恢復(fù)策略 f) Internet Explorer 維護(hù) 10) 周期刷新選項(xiàng)。11) 可指定定時(shí)地處理組策略。默認(rèn)情況下，DC 計(jì)算機(jī)策略每 5 分鐘刷新一次，而成員服務(wù)器和客戶計(jì)算機(jī)每 90 分鐘刷新一次，并帶有 30 分鐘的隨機(jī)偏移量?？筛鶕?jù)需要改變此刷新頻率。3.2.9兼

29、容性支持WINS 服務(wù)：為提供對(duì)NetBIOS應(yīng)用名稱解析的支持，配置必要的域控制器作為WIN S 服務(wù)器。建議用戶計(jì)算機(jī)配置使用本地區(qū)的WIN S服務(wù)器地址。DHCP 服務(wù)：根據(jù)需要建立DH CP服務(wù)。在分配IP 地址之外，正確分配DN S/WIN S服務(wù)器地址和DN S域名后綴。3.2.10管理和安全性默認(rèn)域管理賬戶：將默認(rèn)域管理員賬戶administr ator 改名，分配強(qiáng)口令。在日常管理工作中不使用該賬戶。同時(shí)禁用Guest 帳戶。域和企業(yè)管理員組：嚴(yán)格控制Domain Admins 和Enterpris e Admins 組成員。域管理員組：審慎分配域管理員權(quán)限，對(duì)于并非需要域管理

30、員才能完成的操作，通過(guò)權(quán)限委派來(lái)實(shí)現(xiàn)。委派管理：為需要完成某些管理工作的用戶賬戶委派完成工作所需的最小范圍內(nèi)的最小權(quán)限?？诹畈呗裕喊ㄖ辽?位以上的口令，不強(qiáng)制口令復(fù)雜性（大寫(xiě)，小寫(xiě)，字母和特殊字符至少包含其中的三類(lèi)），定期口令修改等。審核策略：開(kāi)啟對(duì)用戶賬戶登錄，用戶賬戶管理和管理權(quán)限使用等事件的審核。日志策略：在域控制器上配置日志文件足夠的尺寸，根據(jù)需要調(diào)整/關(guān)閉日志覆蓋。Active D ir ect ory 備份：建立定期備份Act ive Directory 數(shù)據(jù)的機(jī)制，對(duì)所有域控制器每周做一次全備份，同時(shí)建立可靠的恢復(fù)機(jī)制。其它安全策略：在AD部署完成后，針對(duì)不同服務(wù)器和客戶機(jī)，建

31、立相應(yīng)的安全策略，并通過(guò)組策略進(jìn)行分發(fā)。3.3文件服務(wù)器3.3.1文件服務(wù)器介紹Windows server 2012提供了對(duì)數(shù)據(jù)的深入分析能力，它可以幫助我們更高效地管理數(shù)據(jù)、削減成本、降低風(fēng)險(xiǎn)，它提供了一個(gè)自帶的文件分類(lèi)解決方案，管理員可以預(yù)先根據(jù)數(shù)據(jù)的業(yè)務(wù)價(jià)值來(lái)定義策略，將手工處理流程自動(dòng)化。提供管理洞察力現(xiàn)在，由于沒(méi)有一種對(duì)文件業(yè)務(wù)價(jià)值進(jìn)行深入分析的方法，因此，解析和實(shí)現(xiàn)業(yè)務(wù)需求是非常困難的，例如以下的業(yè)務(wù)需求：刪除所有舊文件，或?qū)χ匾募訌?qiáng)保護(hù)。而通過(guò)預(yù)定義的規(guī)則，我們可以自動(dòng)或手動(dòng)地對(duì)文件分類(lèi)，組織可以更為高效地管理數(shù)據(jù)，從而決定要保留哪些數(shù)據(jù)，以及將它們保存在什么位置。這樣就可

32、以節(jié)省存儲(chǔ)的成本，降低敏感數(shù)據(jù)泄露的風(fēng)險(xiǎn)。自帶的文件分類(lèi)規(guī)則由于文件分類(lèi)架構(gòu)是Windows Server自帶的功能，管理員可以非常方便地根據(jù)內(nèi)容和位置對(duì)文件進(jìn)行分類(lèi)，從而可以依據(jù)業(yè)務(wù)分類(lèi)更智能地對(duì)文件服務(wù)器進(jìn)行保護(hù)和管理。3.3.2 DFS(分布式文件系統(tǒng))：Windows Server 2012文件服務(wù)包括了DFS（Distributed File System，分布式文件系統(tǒng)）復(fù)制和DFS名字空間，它們可以為客戶提供更好的數(shù)據(jù)訪問(wèn)功能，簡(jiǎn)化了在WAN網(wǎng)絡(luò)架構(gòu)中對(duì)文件和共享的訪問(wèn)。DFS復(fù)制（DFS-R，DFS Replication）可以高效地對(duì)文件的局部改動(dòng)進(jìn)行雙向復(fù)制，從而保證多個(gè)文

33、件副本保持同步。DFS名字空間（DFS-N，DFS Namespaces）可以更方便地定位共享，使得用戶可以更靈活地訪問(wèn)他們的數(shù)據(jù)，而不用管這個(gè)文件位于哪個(gè)物理文件服務(wù)器上。有了復(fù)制拷貝和透明的重定向功能，客戶端就可以更高效地進(jìn)行工作，因?yàn)樗麄兛梢苑浅７奖愕卦L問(wèn)數(shù)據(jù)，同時(shí)數(shù)據(jù)的可用性也非常高。DFS（Distributed File System，分布式文件系統(tǒng)）技術(shù)提供了優(yōu)化的WAN復(fù)制功能，對(duì)地理位置分散的文件，提供了方便而高可用的訪問(wèn)。以下是使用DFS的三個(gè)好處：1) 更好地訪問(wèn)數(shù)據(jù)：許多組織在整個(gè)企業(yè)中擁有上百臺(tái)文件服務(wù)器。這些文件服務(wù)器通常都有許多分布式的共享文件夾，它們之間需要通過(guò)

34、WAN訪問(wèn)。管理一個(gè)像這樣的文件架構(gòu)確實(shí)不太容易，而這是IT的家常便飯。但用戶和業(yè)務(wù)決策者們總是會(huì)遇到這種麻煩，很明顯，這種關(guān)鍵的企業(yè)資源對(duì)空間、金錢(qián)和時(shí)間都是一種浪費(fèi)。好消息就是，DFS名字空間和復(fù)制可以幫助組織更方便、更高效地管理他們的文件基礎(chǔ)架構(gòu)。2) 簡(jiǎn)化對(duì)文件的訪問(wèn)：DFS名字空間提供了一個(gè)存儲(chǔ)管理平臺(tái)，可以解決用戶面臨的挑戰(zhàn)。簡(jiǎn)單地說(shuō)，DFS名字空間是一個(gè)管理共享和文件架構(gòu)的平臺(tái)。DFS名字空間為服務(wù)器和共享提供的功能，就和文件系統(tǒng)為磁盤(pán)所提供的一樣。文件系統(tǒng)為磁盤(pán)上的扇區(qū)提供了一種統(tǒng)一的名稱訪問(wèn)，與此類(lèi)似，DFS名字空間則服務(wù)器、共享、文件提供了一套統(tǒng)一的命名規(guī)則和映射。3) 提

35、高了生產(chǎn)效率和數(shù)據(jù)可用性：如果可以高效地處理和共享信息，生產(chǎn)力和協(xié)作能力就會(huì)得到提升。組織們最關(guān)心的問(wèn)題，就是確保他們的員工可以最大限度地獲取信息和共享信息。大多數(shù)組織都把這一點(diǎn)作為一個(gè)關(guān)鍵業(yè)務(wù)標(biāo)準(zhǔn)。DFS可以最大限度地提高數(shù)據(jù)的可用性，幫助組織實(shí)現(xiàn)這個(gè)目標(biāo)3.3.3文件服務(wù)器資源管理器Windows Server 2012文件服務(wù)加入了FSRM（File Server Resource Manager，文件服務(wù)器資源管理器），它可以幫助我們更好地在CIFS（Common Internet File System，通用Internet文件系統(tǒng)）/SMB（Server Message Block

36、，服務(wù)器消息塊）和NFS（Network File System，網(wǎng)絡(luò)文件系統(tǒng)）上管理文件服務(wù)。它將此前版本W(wǎng)indows中的多個(gè)文件服務(wù)工具合并在一起，管理員現(xiàn)在可以在一個(gè)統(tǒng)一的管理界面上管理所有關(guān)于文件分配、配額和共享選項(xiàng)的設(shè)置了。管理員可以利用靈活的配額和文件類(lèi)型控制，對(duì)文件和資源的使用進(jìn)行更好的控制，確保一致性，同時(shí)可以節(jié)省花費(fèi)在文件資源管理上的時(shí)間。通過(guò)FSRM提供的自帶報(bào)表，我們可以更深入地分析文件服務(wù)資源的使用情況，利于我們更好地進(jìn)行管理、審計(jì)和計(jì)劃。1) 更易管理的文件服務(wù)：FSRM提供了一個(gè)統(tǒng)一的管理員界面，對(duì)服務(wù)器環(huán)境中的文件服務(wù)資源進(jìn)行管理和監(jiān)控。這個(gè)管理界面把文件服務(wù)管

37、理相關(guān)的設(shè)置整合到一個(gè)統(tǒng)一的視圖中，包括存儲(chǔ)分配、CIFS/CMB的共享管理，以及NFS。2) 改進(jìn)了對(duì)文件的控制和一致性：FSRM對(duì)于文件服務(wù)的使用，提供了靈活的配額，同時(shí)還提供了文件篩選功能，以確保公司的服務(wù)器資源只能存儲(chǔ)某些類(lèi)型的數(shù)據(jù)。這提高了服務(wù)器的可用性，使之成為了一個(gè)生產(chǎn)效率更高、更安全的環(huán)境?？刂聘鼑?yán)格，組織就可以更好地管理和維護(hù)數(shù)據(jù)存儲(chǔ)的一致性要求。3) 提供對(duì)文件服務(wù)器當(dāng)前及將來(lái)的使用情況分析：FSRM可以協(xié)助管理員更好地了解文件資源的使用情況，從而進(jìn)行更嚴(yán)格的控制，同時(shí)還可以節(jié)省不少時(shí)間和精力。成本也是一個(gè)重要問(wèn)題，對(duì)現(xiàn)有硬件更好地進(jìn)行利用，限制文件服務(wù)所要求的時(shí)間，就可以

38、縮減所需成本。強(qiáng)制網(wǎng)絡(luò)存儲(chǔ)策略和報(bào)表功能，可以幫助管理員對(duì)將來(lái)的增長(zhǎng)制訂計(jì)劃和戰(zhàn)略，降低TCO（Total Cost of Ownership，占有總成本）。報(bào)表中包含了對(duì)以下因素的評(píng)估：隨著文件服務(wù)的增長(zhǎng)，網(wǎng)絡(luò)帶寬、存儲(chǔ)設(shè)備和公司策略應(yīng)該如何管理。一個(gè)好的計(jì)劃工具有助于組織更健康地成長(zhǎng)。3.3.4共享文件夾的卷影復(fù)制共享文件夾的卷影復(fù)制功能，可以對(duì)共享資源（例如文件服務(wù)器）中的文件進(jìn)行卷影拷貝，提供以時(shí)間點(diǎn)為基礎(chǔ)的文件拷貝。有了共享文件夾的卷影復(fù)制功能，用戶可以查看共享文件和文件夾在歷史某一時(shí)刻的版本。訪問(wèn)文件的歷史版本或卷影復(fù)制，這個(gè)功能非常有用，因?yàn)橛脩艨梢裕?) 恢復(fù)被意外刪除的文件。

39、如果你不小心刪除了文件，可以打開(kāi)一個(gè)歷史版本，將它復(fù)制到一個(gè)安全位置。2) 將意外被覆蓋的文件恢復(fù)如初。如果不小心覆蓋了文件，可以從一個(gè)歷史版本恢復(fù)。3) 對(duì)比文件的版本。如果你想檢查同一文件的兩個(gè)版本有何差異，可以使用歷史版本進(jìn)行對(duì)比。3.3.5 SMB 3.0(由于SMB 3.0需要客戶端操作系統(tǒng)為WIN 8,本文僅作簡(jiǎn)單介紹)在 Windows Server 2012和Windows 8中引入了SMB 3.0協(xié)議。新引入 Windows Server 2012 文件服務(wù)器中的 SMB 功能：SMB 透明的故障切換SMB 向外擴(kuò)展SMB 多通道SMB 加密VSS 為 SMB 文件共享的保護(hù)

40、SMB 目錄租賃SMB PowerShell3.3.6文件服務(wù)器權(quán)限訪問(wèn)分配終端用戶訪問(wèn)文件服務(wù)器上的共享文件夾即企業(yè)級(jí)內(nèi)部網(wǎng)盤(pán)，將通過(guò)AD域根據(jù)不同用戶權(quán)限進(jìn)行統(tǒng)一分配。一般我們建議通過(guò)組權(quán)限的劃分進(jìn)行：1) Read只讀組：擁有只讀權(quán)限。2) Writ_Read讀寫(xiě)組：擁有讀寫(xiě)權(quán)限。3) Owner所有人組：擁有完全控制權(quán)限。3.4 DPM(Data Protection Manager)建立備份機(jī)制3.4.1DPM介紹DPM需要有“域”的運(yùn)行環(huán)境，在一個(gè)典型的微軟應(yīng)用環(huán)境中，DPM的備份方案結(jié)構(gòu)如下圖：（DPM常見(jiàn)架構(gòu) 示例）在Windows Server 2008或者Windows S

41、torage Server 2012上安裝DPM服務(wù)器，在需要被保護(hù)的目標(biāo)服務(wù)器或者桌面系統(tǒng)上配置代理程序，DPM服務(wù)器按照用戶定義將數(shù)據(jù)自動(dòng)存儲(chǔ)在磁盤(pán)或者磁帶上。3.4.2高性能數(shù)據(jù)備份、低擁有成本DPM對(duì)應(yīng)用系統(tǒng)進(jìn)行備份時(shí)，使用高級(jí)的VSS技術(shù)，用戶購(gòu)買(mǎi)DPM 2007無(wú)須再為高級(jí)的、結(jié)合VSS備份的高級(jí)技術(shù)再額外付費(fèi)，而購(gòu)買(mǎi)其他備份軟件時(shí)要么是不支持VSS技術(shù)要么就是需要用戶額外付費(fèi)。3.4.3無(wú)縫化的磁盤(pán)磁盤(pán)磁帶備份解決方案DPM也可以擴(kuò)展保護(hù)到磁帶，允許用戶無(wú)縫化的將磁帶和磁盤(pán)介質(zhì)混合使用。用戶可以移動(dòng)在線的快照數(shù)據(jù)到離線的磁帶介質(zhì)上以提供更深化的數(shù)據(jù)保護(hù)；此外，用戶也可以定制基于磁帶的備份任務(wù)來(lái)捕捉通常的全備份到磁帶上來(lái)滿足歸檔和法規(guī)遵從的需要，同時(shí)仍然保持了直接從磁盤(pán)細(xì)致的、高速恢復(fù)的能力。 DPM使得用戶能夠真正結(jié)合磁盤(pán)技術(shù)和磁帶技術(shù)各自的優(yōu)勢(shì)：可以基于磁盤(pán)進(jìn)行短期的快速備份和恢復(fù)，也可以基于磁帶長(zhǎng)期的低成本的保存歷史數(shù)據(jù)。通過(guò)強(qiáng)大簡(jiǎn)潔的用戶界面，用戶可以