AD域控規(guī)劃方案解析

1、活動(dòng)目錄AD規(guī)劃方案1.1. 活動(dòng)目錄介紹活動(dòng)目錄是 Windows網(wǎng)絡(luò)體系結(jié)構(gòu)中一個(gè)根本且不可分割的局部,它為網(wǎng)絡(luò)的用戶、 治理員和應(yīng)用程序提供了一套分布式網(wǎng)絡(luò)環(huán)境設(shè)計(jì)的目錄效勞.活動(dòng)目錄使得組織機(jī)構(gòu)可以有效地對(duì)有關(guān)網(wǎng)絡(luò)資源和用戶的信息進(jìn)行共享和治理.另外,目錄效勞在網(wǎng)絡(luò)平安方面也扮演著中央授權(quán)機(jī)構(gòu)的角色,從而使操作系統(tǒng)可以輕松地驗(yàn)證用戶身份并限制其對(duì)網(wǎng)絡(luò)資源的 訪問(wèn).同等重要的是,活動(dòng)目錄還擔(dān)當(dāng)著系統(tǒng)集成和穩(wěn)固治理任務(wù)的集合點(diǎn).活動(dòng)目錄提供了對(duì)基于 Windows的用戶賬號(hào)、客戶、效勞器和應(yīng)用程序進(jìn)行治理的唯 一點(diǎn).同時(shí),它也幫助組織機(jī)構(gòu)通過(guò)使用基于 Windows的應(yīng)用程序和與 Wind

2、ows相兼容的 設(shè)備對(duì)非 Windows系統(tǒng)進(jìn)行集成,從而實(shí)現(xiàn)穩(wěn)固目錄效勞并簡(jiǎn)化對(duì)整個(gè)網(wǎng)絡(luò)操作系統(tǒng)的管 理.公司也可以使用活動(dòng)目錄效勞平安地將網(wǎng)絡(luò)系統(tǒng)擴(kuò)展到Internet0活動(dòng)目錄因此使現(xiàn)有網(wǎng)絡(luò)投資升值,同時(shí),降低為使 Windows網(wǎng)絡(luò)操作系統(tǒng)更易于治理、更平安、更易于交 互所需的全部費(fèi)用.活動(dòng)目錄是微軟各種應(yīng)用軟件運(yùn)行的必要和根底的條件.以下圖表示出活動(dòng)目錄成為各 種應(yīng)用軟件的中央.1.2. 應(yīng)用 Windows 2021 Server AD 的好處Windows 2021 AD簡(jiǎn)化了治理,增強(qiáng)了平安性,擴(kuò)展了互操作性.它為用戶、組、安 全效勞及網(wǎng)絡(luò)資源的治理提供了一種集中化的方法.應(yīng)用

3、Windows 2021 AD之后,企業(yè)信息化建設(shè)者和網(wǎng)絡(luò)治理員可以從中獲得如下好處：1、方便治理,權(quán)限治理比擬集中,治理人員可以較好的治理計(jì)算機(jī)資源.2、平安性高,有利于企業(yè)的一些保密資料的治理,比方一個(gè)文件只能讓某一個(gè)人看,或者指定人員可以看,但不可以刪/改/移等.3、方便對(duì)用戶操作進(jìn)行權(quán)限設(shè)置,可以分發(fā),指派軟件等,實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)的軟件一起安裝.4、很多效勞必須建立在域環(huán)境中,對(duì)治理員來(lái)說(shuō)有好處：統(tǒng)一治理,方便在MS軟件方面集成,如ISA EXCHANGE郵件效勞器、ISA SERVER上網(wǎng)的各種設(shè)置與治理等.5、使用漫游賬戶和文件夾重定向技術(shù),個(gè)人賬戶的工作文件及數(shù)據(jù)等可以存儲(chǔ)在效勞器上,

4、統(tǒng)一進(jìn)行備份、治理,用戶的數(shù)據(jù)更加平安、有保證.6、方便用戶使用各種資源.7、SMS System Management Server能夠分發(fā)應(yīng)用程序、系統(tǒng)補(bǔ)丁等,用戶可以選擇安裝, 也可以由系統(tǒng)治理員指派自動(dòng)安裝. 并能集中治理系統(tǒng)補(bǔ)丁 如Windows Updates,不需每臺(tái)客戶端效勞器都下載同樣的補(bǔ)丁,從而節(jié)省大量網(wǎng)絡(luò)帶寬.8、資源共享用戶和治理員可以不知道他們所需要的對(duì)象確實(shí)切名稱,但是他們可能知道這個(gè)對(duì)象的一個(gè) 或多個(gè)屬性,他們可以通過(guò)查找對(duì)象的局部屬性在域中得到一個(gè)所有屬性相匹配的對(duì)象 列表,通過(guò)域使得基于一個(gè)或者多個(gè)對(duì)象屬性來(lái)查找一個(gè)對(duì)象變得可能.9、治理A、域限制器集中治理用

5、戶對(duì)網(wǎng)絡(luò)的訪問(wèn),如登錄、驗(yàn)證、訪問(wèn)目錄和共享資源.為了簡(jiǎn) 化治理,所有域中的域限制器都是平等的, 你可以在任何域限制器上進(jìn)行修改, 這種更新可 以復(fù)制到域中所有的其他域限制器上.B、域的實(shí)施通過(guò)提供對(duì)網(wǎng)絡(luò)上所有對(duì)象的單點(diǎn)治理進(jìn)一步簡(jiǎn)化了治理.由于域限制器提 供了對(duì)網(wǎng)絡(luò)上所有資源的單點(diǎn)登錄,治理遠(yuǎn)可以登錄到一臺(tái)計(jì)算機(jī)來(lái)治理網(wǎng)絡(luò)中任何計(jì)算機(jī) 上的治理對(duì)象.在NT網(wǎng)絡(luò)中,當(dāng)用戶一次登陸一個(gè)域效勞器后,就可以訪問(wèn)該域中已經(jīng)開 放的全部資源,而無(wú)需對(duì)同一域進(jìn)行屢次登陸. 但在需要共享不同域中的效勞時(shí), 對(duì)每個(gè)域 都必須要登陸一次,否那么無(wú)法訪問(wèn)未登陸域效勞器中的資源或無(wú)法獲得未登陸域的效勞.10、可擴(kuò)展

6、性在活動(dòng)目錄中,目錄通過(guò)將目錄組織成幾個(gè)局部存儲(chǔ)信息從而允許存儲(chǔ)大量的對(duì)象.因此, 目錄可以隨著組織的增長(zhǎng)而一同擴(kuò)展,允許用戶從一個(gè)具有幾百個(gè)對(duì)象的小的安裝環(huán)境開展 成擁有幾百萬(wàn)對(duì)象的大型安裝環(huán)境.11、平安性域?yàn)橛脩籼峁┝藛我坏牡卿涍^(guò)程來(lái)訪問(wèn)網(wǎng)絡(luò)資源,如所有他們具有權(quán)限的文件、打印機(jī)和應(yīng) 用程序資源.也就是說(shuō),用戶可以登錄到一臺(tái)計(jì)算機(jī)來(lái)使用網(wǎng)絡(luò)上另外一臺(tái)計(jì)算機(jī)上的資源, 只要用戶具有對(duì)資源的適宜權(quán)限.域通過(guò)對(duì)用戶權(quán)限適宜的劃分,確定了只有對(duì)特定資源有 合法權(quán)限的用戶才能使用該資源,從而保證了資源使用的合法性和平安性.12、可冗余性每個(gè)域限制器保存和維護(hù)目錄的一個(gè)副本. 在域中,你創(chuàng)立的每一個(gè)

7、用戶帳號(hào)都會(huì)對(duì)應(yīng)目錄 的一個(gè)記錄.當(dāng)用戶登錄到域中的計(jì)算機(jī)時(shí),域限制器將根據(jù)目錄檢查用戶名、口令、登錄 限制以驗(yàn)證用戶.當(dāng)存在多個(gè)域限制器時(shí),他們會(huì)定期的相互復(fù)制目錄信息,域限制器間的 數(shù)據(jù)復(fù)制,促使用戶信息發(fā)生改變時(shí)比方用戶修改了口令,可以迅速的復(fù)制到其他的域限制器上,這樣當(dāng)一臺(tái)域限制器出現(xiàn)故障時(shí), 用戶仍然可以通過(guò)其他的域限制進(jìn)行登錄, 保 障了網(wǎng)絡(luò)的順利運(yùn)行.1.3. 明確系統(tǒng)規(guī)劃目標(biāo)企業(yè)的Windows 2021 AD系統(tǒng)規(guī)劃構(gòu)建是為企業(yè)信息化建設(shè)效勞的,需要到達(dá)以下戰(zhàn) 略目標(biāo)：圍繞企業(yè)的戰(zhàn)略開展需要,進(jìn)行企業(yè)信息化建設(shè)系統(tǒng)規(guī)劃,滿足企業(yè)3-5年的業(yè)務(wù)開展對(duì)IT建設(shè)的要求；以業(yè)務(wù)為驅(qū)動(dòng)

8、,通過(guò)有效的信息系統(tǒng),增強(qiáng)信息共享和協(xié)同辦公,提升工作效率, 降低本錢；整合企業(yè)現(xiàn)有信息資產(chǎn),增強(qiáng)企業(yè)治理與監(jiān)控；從信息中挖掘知識(shí),提升經(jīng)營(yíng)決策 與駕馭風(fēng)險(xiǎn)的水平；推進(jìn)知識(shí)治理理念,建立知識(shí)型企業(yè),增強(qiáng)企業(yè)的核心競(jìng)爭(zhēng)力.Windows 2021 AD系統(tǒng)規(guī)劃實(shí)施的具體目標(biāo)如下：規(guī)劃和部署基于 Windows 2021 AD的企業(yè)目錄效勞,首先實(shí)現(xiàn)用戶的單一登錄, 保證網(wǎng)絡(luò)系統(tǒng)平安；通過(guò)AD實(shí)現(xiàn)用戶桌面的集中和自動(dòng)治理,分發(fā)軟件補(bǔ)??；進(jìn)一步部署微軟的相關(guān)應(yīng)用平臺(tái)軟件,如實(shí)現(xiàn)基于Exchange 2003的企業(yè)內(nèi)部郵件和協(xié)作效勞,1.4. 活動(dòng)目錄設(shè)計(jì)方案為企業(yè)設(shè)計(jì)一個(gè)域,用戶的所有計(jì)算機(jī)效勞器和

9、客戶機(jī)全部參加到域,用戶實(shí)現(xiàn) 單一登錄和治理員通過(guò)域組策略實(shí)現(xiàn)平安及桌面治理.AD架構(gòu)拓?fù)淙缦?1.5. 活動(dòng)目錄優(yōu)勢(shì)1 .計(jì)算機(jī)工作組治理和AD治理比擬對(duì)于基于 Microsoft Windows操作系統(tǒng)的計(jì)算機(jī)運(yùn)行和治理在兩種模式下：工作組 workgroup和域domain.在工作組模式下,計(jì)算機(jī)處于一個(gè)孤立狀態(tài),使用計(jì)算機(jī)的用戶登錄帳號(hào)和計(jì)算機(jī)的管 理均須在每臺(tái)計(jì)算機(jī)上創(chuàng)立或進(jìn)行.見以下圖.當(dāng)計(jì)算機(jī)超過(guò)20臺(tái)以上時(shí),計(jì)算機(jī)的治理變得越來(lái)越困難,并且要為用戶創(chuàng)立越來(lái)越 多的訪問(wèn)網(wǎng)絡(luò)資源的帳號(hào),用戶要記住多個(gè)訪問(wèn)不同資源的帳號(hào).而在域的模式下,用戶只需記住一個(gè)域帳號(hào),即可登錄訪問(wèn)域中的資源

10、.并且治理員通 過(guò)組策略,可以輕松配置用戶的桌面工作環(huán)境和增強(qiáng)計(jì)算機(jī)平安設(shè)置.域模式下所有的域帳號(hào)保存在域限制器的活動(dòng)目錄數(shù)據(jù)庫(kù)中.見以下圖.2 .為什么要提供目錄效勞？對(duì)更增強(qiáng)大、透明且高度集成的目錄效勞的不斷需求是由爆炸性增長(zhǎng)的網(wǎng)絡(luò)計(jì)算所導(dǎo)致 的.隨著局域網(wǎng)LAN、廣域網(wǎng)WAN規(guī)模與復(fù)雜性的不斷提升和這些網(wǎng)絡(luò)不斷被連入 Internet,以及應(yīng)用程序?qū)W(wǎng)絡(luò)的依賴程度不斷增強(qiáng)并不斷被鏈接到協(xié)作企業(yè)網(wǎng)中的其它系 統(tǒng)上,對(duì)目錄效勞的需求也日漸增多. 基于以下原因,目錄效勞成為擴(kuò)展的計(jì)算機(jī)系統(tǒng)中最 重要的部件之一：簡(jiǎn)化治理 提供對(duì)用戶、應(yīng)用程序和設(shè)備的單一、一致性的治理點(diǎn).增強(qiáng)平安性向用戶提供單一

11、的網(wǎng)絡(luò)資源登錄,為治理員提供強(qiáng)大、一致性的工具以 使他們能夠治理為內(nèi)部臺(tái)式機(jī)用戶、遠(yuǎn)程撥號(hào)用戶以及外部電子商務(wù)客戶提供的安 全效勞.擴(kuò)展的互操作性 向所有活動(dòng)目錄特性提供基于標(biāo)準(zhǔn)的存取方式以及對(duì)通用目錄的 同步支持.目錄效勞兼任治理工具和用戶工具.隨著網(wǎng)絡(luò)中對(duì)象數(shù)量的增加,目錄效勞變得必不可 少.目錄效勞在一個(gè)龐大的分布式系統(tǒng)中發(fā)揮著網(wǎng)絡(luò)集線器的作用.致力于這些需求, Windows 2000效勞器版引入了活動(dòng)目錄-即一套用于改良 Windows網(wǎng)絡(luò)操作系統(tǒng)治理、安 全性和互操作性的完整的目錄效勞集.以下圖描述了活動(dòng)目錄帶來(lái)的計(jì)算機(jī)平安和治理上的一些最重要的好處.3 . AD簡(jiǎn)化了計(jì)算機(jī)系統(tǒng)治

12、理分布式系統(tǒng)常常導(dǎo)致時(shí)間的消耗和治理的冗余.當(dāng)公司在他們的根底結(jié)構(gòu)上添加應(yīng)用程 序并雇用新的職員時(shí),他們需要適當(dāng)?shù)叵蚋髯烂嫦到y(tǒng)分發(fā)軟件并治理多個(gè)應(yīng)用程序目錄.通過(guò)在單一的位置治理用戶、組和網(wǎng)絡(luò)資源以及分發(fā)軟件和治理桌面系統(tǒng)配置,活動(dòng)目錄可以顯著降低公司的治理費(fèi)用.例如,活動(dòng)目錄在同一個(gè)位置治理Windows用戶和 MicrosoftExchange郵箱信息.基于以下原因,活動(dòng)目錄可以從以下方面幫助公司簡(jiǎn)化治理：消除冗余治理任務(wù) 提供對(duì)Windows用戶賬號(hào)、客戶、效勞器和應(yīng)用程序以及現(xiàn)存 目錄同步水平進(jìn)行單一點(diǎn)治理.降低桌面系統(tǒng)的行程 針對(duì)用戶在公司中所擔(dān)當(dāng)?shù)慕巧詣?dòng)向其分發(fā)軟件,以減少或消除

13、系統(tǒng)治理員為軟件安裝和配置而安排的屢次行程.更好的實(shí)現(xiàn)IT資源的最大化平安地將治理功能分派到組織機(jī)構(gòu)的所有層次上.降低總體擁有本錢TCO通過(guò)使網(wǎng)絡(luò)資源容易被定位、配置和使用來(lái)簡(jiǎn)化對(duì)文件 和打印效勞的治理和使用.4 .增強(qiáng)平安性強(qiáng)大且一致的平安效勞對(duì)企業(yè)網(wǎng)絡(luò)而言是必不可少的.治理用戶驗(yàn)證和訪問(wèn)限制的 工作往往單調(diào)乏味且容易出錯(cuò). 活動(dòng)目錄集中進(jìn)行治理并增強(qiáng)了與組織機(jī)構(gòu)的商業(yè)過(guò)程 一致、且基于角色的平安性.例如,對(duì)多身份驗(yàn)證協(xié)議如Kerberos, X.509認(rèn)證以及由靈活的訪問(wèn)限制模型組成的智能卡的支持實(shí)現(xiàn)了對(duì)于內(nèi)部桌面系統(tǒng)用戶、遠(yuǎn)程撥號(hào) 用戶和外部電子商務(wù)客戶強(qiáng)大且一致的平安效勞.活動(dòng)目錄使用

14、以下方法增強(qiáng)平安性：改良了密碼的平安性和治理通過(guò)向網(wǎng)絡(luò)資源提供單一的集成、高性能且對(duì)終端用戶 透明的平安效勞.保證桌面系統(tǒng)的功能性通過(guò)根據(jù)終端用戶角色鎖定桌面系統(tǒng)配置來(lái)預(yù)防對(duì)特定客 戶主機(jī)操作進(jìn)行訪問(wèn),例如軟件安裝或注冊(cè)項(xiàng)編輯.加速電子商務(wù)的部署 通過(guò)提供對(duì)平安的Internet標(biāo)準(zhǔn)協(xié)議和身份驗(yàn)證機(jī)制的內(nèi)建支 持,如Kerberos,公開密鑰根底設(shè)施PKI和平安套接字協(xié)議層SSL之上的輕便目 錄訪問(wèn)協(xié)議LDAP.緊密的限制平安性 通過(guò)對(duì)目錄對(duì)象和構(gòu)成他們的單獨(dú)數(shù)據(jù)元素設(shè)置訪問(wèn)限制特權(quán).1 .6.重要組策略介紹2 .軟件分發(fā)策略通過(guò)組策略可以為域中的計(jì)算機(jī)或用戶自動(dòng)分發(fā)帶有msi包的軟件.見以下

15、圖.3 .將用戶的個(gè)人數(shù)據(jù)從pc機(jī)上重定向到效勞器上重定向有利于數(shù)據(jù)的平安以及集中備份.見以下圖.4 .平安類組策略密碼策略強(qiáng)制密碼歷史設(shè)置確定在重用舊密碼之前必須與用戶帳戶相關(guān)的唯一新密碼的數(shù) 量.配置 密碼最長(zhǎng)使用期限設(shè)置,以便密碼在環(huán)境需要時(shí)過(guò)期.密碼最短使用期限設(shè)置確定了用戶更改密碼之前必須使用密碼的天數(shù).最短密碼長(zhǎng)度設(shè)置保證密碼至少包含指定數(shù)量的字符.密碼必須符合復(fù)雜性要求策略選項(xiàng)檢查所有新密碼以保證它們符合強(qiáng)密碼的根本 要求.賬號(hào)鎖定策略帳戶鎖定策略是一項(xiàng) Windows Server 2021平安功能,它在指定時(shí)間段內(nèi)屢次登錄嘗試失敗后鎖定用戶帳戶.允許的嘗試次數(shù)和時(shí)間段是由為平

16、安策略鎖定設(shè)置配置的值 決定的.用戶不能登錄到鎖定的帳戶.帳戶鎖定時(shí)間設(shè)置確定在未鎖定帳戶且用戶可以嘗試再次登錄之前所必須經(jīng)歷的時(shí)間長(zhǎng)度帳戶鎖定閾值設(shè)置確定用戶在帳戶鎖定之前可以嘗試登錄帳戶的次數(shù).復(fù)位帳戶鎖定計(jì)數(shù)器設(shè)置決定了 帳戶鎖定閾值復(fù)位為0以及帳戶被解鎖之前 所必須經(jīng)過(guò)的時(shí)間長(zhǎng)度.禁用本地治理員帳號(hào)默認(rèn)情況下,每臺(tái)參加到域中的計(jì)算機(jī)都有Administrator和Guest兩個(gè)帳號(hào),Administrator帳號(hào)在安裝時(shí)口令為空.用戶使用這個(gè)帳號(hào)權(quán)限過(guò)大,因此一般不會(huì)給用戶使用這個(gè)治理員帳號(hào),最 好的做法就是通過(guò)組策略禁用這個(gè)帳號(hào),用戶使用域的帳號(hào).將域帳號(hào)參加到每臺(tái)PC機(jī)的本地Pow

17、er Users組中創(chuàng)立域帳號(hào)時(shí),默認(rèn)情況下這個(gè)帳號(hào)只屬于 Domain Users組中,該組屬于每臺(tái)PC 機(jī)的本地Users組.本地Users組中的成員權(quán)限受到嚴(yán)格限制,比方共享文件夾,安裝 打印機(jī)驅(qū)動(dòng)程序等工作的權(quán)限都沒(méi)有.而經(jīng)常有用戶需要這些權(quán)限,可以通過(guò)組策略來(lái) 實(shí)現(xiàn).禁用系統(tǒng)效勞我們?yōu)閮?yōu)化系統(tǒng)和平安性考慮,經(jīng)常要禁用計(jì)算機(jī)的一些無(wú)需運(yùn)行的效勞.我們可 以通過(guò)組策略把這些效勞禁用掉.軟件限制策略對(duì)一些規(guī)定不得使用的軟件可以通過(guò)組策略來(lái)禁用：路徑規(guī)那么：特殊文件路徑下的軟件不得使用：如 program巾les下的某些軟件證書規(guī)那么：只有系統(tǒng)治理員頒發(fā)過(guò)證書的軟件可以使用,其他軟件禁止使用

18、 哈希規(guī)那么：對(duì)禁止使用的軟件通過(guò)哈希運(yùn)算得到這個(gè)軟件的身份指紋,在組策 略里設(shè)置只要是符合身份指紋鑒定的軟件就進(jìn)行限制網(wǎng)絡(luò)連接限制策略用戶經(jīng)常會(huì)通過(guò)改變“網(wǎng)絡(luò)連接中的設(shè)置,繞過(guò)企業(yè)防火墻,建立自己的上網(wǎng)鏈 路,比方 撥號(hào)上網(wǎng).這樣會(huì)帶來(lái)很大的平安隱患.可以通過(guò)組策略限制用戶不得改 變網(wǎng)絡(luò)連接中的配置,不允許用戶通過(guò)其他方式連接互聯(lián)網(wǎng).1.7. 計(jì)算機(jī)從工作組參加到域可能存在的問(wèn)題和解決方法把計(jì)算機(jī)從工作組模式參加到域模式可能會(huì)出現(xiàn)以下二個(gè)問(wèn)題問(wèn)題：1 . 一些軟件不能使用.有一些軟件以登錄者的治理員權(quán)限帳號(hào)運(yùn)行,當(dāng)計(jì)算機(jī)參加到 域并對(duì)登錄帳號(hào)做了權(quán)限設(shè)置,或禁用了本地治理員帳號(hào),這些需要治理

19、員權(quán)限運(yùn) 行的軟件就有可能不能正常運(yùn)行.2 .用戶桌面環(huán)境發(fā)生改變.由于參加域前后用戶是用不同的帳號(hào)登錄的,因此用戶以前的桌面環(huán)境無(wú)法使用.具體有桌面上放置的資料“我的文檔等放置的資料配置好的“網(wǎng)絡(luò)打印機(jī)IE里設(shè)置好的“網(wǎng)站收藏夾等.解決方法：1 .對(duì)問(wèn)題1我們可以按以下兩個(gè)方法來(lái)解決：(1)把域帳號(hào)參加到本地治理員組(2)卸載軟件,用域帳號(hào)登錄并安裝2 .對(duì)問(wèn)題2針對(duì)不同的問(wèn)題分別解決如下：(1)把本地老帳號(hào)下的桌面內(nèi)容全部備份下來(lái),復(fù)制到新域帳號(hào)的桌面(2)把本地老帳號(hào)下的“我的文檔內(nèi)容全部備份下來(lái),復(fù)制到新域帳號(hào)的“我的文 檔(3)重新連接和創(chuàng)立“網(wǎng)絡(luò)打印機(jī)(4)用特殊軟件把老帳號(hào)IE里

20、的“網(wǎng)站收藏夾備份下來(lái),然后恢復(fù)到新域帳號(hào)中2.活動(dòng)目錄方案實(shí)施2.1. AD域命名和DNS的規(guī)劃Windows 2021 AD域命名和DNS的規(guī)劃之所以放在首要地位, 是由于AD作為整個(gè)IT 架構(gòu)的根底,不應(yīng)該輕易被調(diào)整.盡管安裝后, Windows 2021 AD仍然可以重組和改名,這 一點(diǎn)比Windows 2000 AD有了很大的進(jìn)步,但是我們?nèi)匀唤ㄗh做一個(gè)長(zhǎng)遠(yuǎn)規(guī)劃,使得域命 名和DNS效勞能夠滿足企業(yè)3-5年的需求,盡量預(yù)防配置好后改作調(diào)整地巨大人力物力浪 費(fèi).此外,部署 Windows 2021 AD,還必須確定DNS效勞器,保證它們滿足域限制器定位 器系統(tǒng)的要求.一個(gè)支持 AD的D

21、NS至少需要滿足以下要求：必須支持效勞定位資源記錄SRV應(yīng)該支持 DNS動(dòng)態(tài)更新協(xié)議RFC 2136Windows 2021 Server提供的DNS效勞同時(shí)滿足這些要求,并且還提供以下重要的附 加功能和改良：Active Directory集成：DNS效勞把區(qū)域數(shù)據(jù)存儲(chǔ)在目錄中,使得 DNS復(fù)制創(chuàng)立 多個(gè)主域,也減少了對(duì)維護(hù)一個(gè)單獨(dú)的DNS區(qū)域傳送復(fù)制拓?fù)涞囊?平安動(dòng)態(tài)更新：使得一個(gè)治理員可以精確地限制哪些計(jì)算機(jī)可以更新哪些名稱,并預(yù)防未經(jīng)授權(quán)的計(jì)算機(jī)從 DNS獲得現(xiàn)有的名稱.條件轉(zhuǎn)發(fā)：根據(jù)不同的對(duì)外訪問(wèn)的域名后綴,可以將用戶的DNS名稱解析請(qǐng)求轉(zhuǎn)發(fā)到不同的外部DNS效勞器.存根區(qū)域：可以

22、定時(shí)地刷新和外部DNS效勞器的連接,及時(shí)發(fā)現(xiàn)那些可能有故障、 不再響應(yīng)用戶請(qǐng)求的效勞器,提升用戶 DNS名稱解析的效率.2.2. 確定AD邏輯結(jié)構(gòu)Windows 2021活動(dòng)目錄的邏輯結(jié)構(gòu)由三個(gè)根本組件組成：森林、域和 OU.1、 確定森林規(guī)劃森林是Windows 2021 AD域的集合.在很多情況下,單一森林就足夠了.單一森林環(huán) 境易于建立和維護(hù),森林間的域自動(dòng)建立雙向可傳遞內(nèi)部信任關(guān)系,不要求手動(dòng)建立外部信任配置,在安裝Exchange 2021 Serve等應(yīng)用程序時(shí),只需應(yīng)用一次架構(gòu)更改即可影響所有 域.如果各個(gè)單位有以下治理要求,就必須建立一個(gè)以上的森林：不互相信任治理員.希望限制信

23、任關(guān)系范圍.不同意某種森林架構(gòu)更改策略.架構(gòu)更改、配置更改會(huì)影響到森林中所有的域.如 果單位不同意一個(gè)公共架構(gòu)策略,它們就不能共存于同一個(gè)森林中.2、 制定域規(guī)劃規(guī)劃域結(jié)構(gòu)時(shí),始終遵循“簡(jiǎn)單是最好的投資的設(shè)計(jì)原那么,盡管增加某些復(fù)雜結(jié)構(gòu)可以增值,但是簡(jiǎn)單的結(jié)構(gòu)更易于說(shuō)明、維護(hù)和調(diào)試.一開始時(shí)總是僅考慮每個(gè)森林中僅有 一個(gè)域,然后為每一個(gè)增加的新域提供詳細(xì)的理由, 保證添加到森林中的域都是有益的, 因 為它們會(huì)帶來(lái)相應(yīng)的治理開銷而導(dǎo)致一定程度的本錢上升.創(chuàng)立更多的域的三種可能的原因是：希望實(shí)現(xiàn)相對(duì)分散式得IT治理模式：多域結(jié)構(gòu)更容易進(jìn)行相對(duì)獨(dú)立的治理、委派 和權(quán)限限制.另外,不同的用戶帳戶在一個(gè)

24、域內(nèi)是不能出現(xiàn)重名的,多域之間就沒(méi)有限制.對(duì)于人士治理相對(duì)獨(dú)立的集團(tuán)下屬公司,多域結(jié)構(gòu)具有更好的靈活性.希望實(shí)現(xiàn)不同治理策略要求：包括用戶口令策略、賬戶鎖定策略和EFS加密策略.例如,要求某些人必須取8個(gè)字符以上的口令,而其它人不做限制.為此,必須將 這些需要不同平安策略的用戶放在單獨(dú)的域中.希望減小WAN上的復(fù)制流量：域限制器域間復(fù)制將產(chǎn)生比域內(nèi)復(fù)制少的多的流量.如果公司很大,具有跨地區(qū)的組織結(jié)構(gòu),且處于同一個(gè)森林內(nèi),那么在不同地理位置 上的機(jī)構(gòu)可能使用慢速的 WAN鏈路連接.為減少 WAN上的DC復(fù)制流量,可以 在不同的地理位置設(shè)置不同的域.根據(jù)以上考慮,我們建議,企業(yè) Windows 2

25、021 AD域邏輯結(jié)構(gòu)可以采用“單森林、 單域的結(jié)構(gòu)設(shè)計(jì).2.3. 確定AD物理結(jié)構(gòu)考慮到企業(yè)的地理分布情況,應(yīng)該考慮使用多站點(diǎn)拓?fù)鋪?lái)規(guī)劃 Windows 2021 AD物理 結(jié)構(gòu).從繪制根本的網(wǎng)絡(luò)拓?fù)洳季謭D著手工作, 繪制所有可能的站點(diǎn)Site和站點(diǎn)鏈接Site Link.速度快10Mbps以上、連接可靠的LAN網(wǎng)絡(luò)總是放置在單站點(diǎn)中.站點(diǎn)定義為一組通過(guò)快速、可靠的線路連接起來(lái)的IP子網(wǎng).一般而言,具有LAN 速度或更快速度的網(wǎng)絡(luò)被認(rèn)為是快速網(wǎng)絡(luò).窄帶的、或不太可靠的連接可以使用站點(diǎn)鏈接建立多站點(diǎn)網(wǎng)絡(luò).通常,WAN連接一般被認(rèn)為是窄帶連接.如果建立站點(diǎn)鏈接,實(shí)現(xiàn)多站點(diǎn)網(wǎng)絡(luò)模 式,那么：客戶計(jì)

26、算機(jī)在登錄到域時(shí)首先試圖與位于同一站點(diǎn)的DC通信；Windows 2021 AD復(fù)制使用站點(diǎn)拓?fù)洚a(chǎn)生復(fù)制連接.2.4. 規(guī)劃OU結(jié)構(gòu)和組策略組織單元OU是一個(gè)用來(lái)在域中創(chuàng)立分層治理單位的容器. 在域中創(chuàng)立OU結(jié)構(gòu)時(shí), 必須注意始終根據(jù)“誰(shuí)治理什么的原那么,從 IT治理的需要出發(fā),劃分治理模型的結(jié)構(gòu), 而不是簡(jiǎn)單根據(jù)公司業(yè)務(wù)單位和它的不同分支、部門和工程來(lái)創(chuàng)立OU結(jié)構(gòu).考慮OU的以下特性是很重要的：OU可以是嵌套的一個(gè)OU可以包含子OU,使得可以在域中創(chuàng)立一個(gè)分層的目錄樹結(jié)構(gòu).但是嵌 套太多將導(dǎo)致治理復(fù)雜和低效,所以建議以二級(jí)嵌套為最理想,最多不應(yīng)超過(guò)四級(jí) 嵌套.OU可以用來(lái)委派治理和限制對(duì)目錄

27、對(duì)象的訪問(wèn).不能使OU成為平安組的成員,也不能由于用戶被委派治理 OU或駐留在OU中 而自動(dòng)獲得訪問(wèn)資源的權(quán)限.可以在OU上實(shí)施組策略.組策略是基于Windows 2021注冊(cè)表的修改,從而集中限制用戶和計(jì)算機(jī)的工作環(huán) 境、桌面配置、軟件自動(dòng)安裝和刪除的治理手段.一般而言,平安策略必須在域級(jí) 別實(shí)施,其它策略主要在OU級(jí)別實(shí)施.不鼓勵(lì)用戶在OU結(jié)構(gòu)中瀏覽.沒(méi)有必要設(shè)計(jì)一個(gè)吸引最終用戶的 OU結(jié)構(gòu).盡管用戶有可能瀏覽一個(gè)域的 OU 結(jié)構(gòu),但對(duì)于用戶查找資源來(lái)說(shuō),這并不是一個(gè)最有效的方法.在目錄中查找資源 的最有效的方法是查詢?nèi)志庝?有兩個(gè)理由需要在 Windows 2021域中創(chuàng)立 OU結(jié)構(gòu)：

28、創(chuàng)立OU以治理對(duì)象和委派授權(quán).為組策略創(chuàng)立OU.一個(gè)完全為治理和委派而設(shè)計(jì)的OU結(jié)構(gòu)與一個(gè)完全為組策略而設(shè)計(jì)的 OU結(jié)構(gòu)是不同的.OU結(jié)構(gòu)將很快變得相當(dāng)復(fù)雜.每次添加一個(gè) OU到規(guī)劃中時(shí),要記下創(chuàng)立的具 體原因.這有助于保證每個(gè) OU有一個(gè)目的,并將幫助閱讀規(guī)劃的人理解結(jié)構(gòu)所基于的理 由.2.5. 創(chuàng)立OU以治理和委派在單位中委派治理有一些好處.以前,在單位中除了 IT之外的組可能必須將更改請(qǐng) 求提交到高級(jí)治理員,高級(jí)治理員代表他們進(jìn)行更改.委派特定的權(quán)限可以將責(zé)任分散到單 位中的各個(gè)組,使您可以將必須有高級(jí)訪問(wèn)權(quán)限的用戶的數(shù)量降到最少. 權(quán)限受到限制的管 理員所發(fā)生的事故或錯(cuò)誤所產(chǎn)生的影響只

29、限于他們負(fù)責(zé)的范圍.這一工作包括以下步驟：確定創(chuàng)立何種OU創(chuàng)立的OU結(jié)構(gòu)將完全取決于治理是如何在單位中委派的.委派治理的三種方法 是：按物理位置、按業(yè)務(wù)單位公司部門、按角色或任務(wù).三種方法經(jīng)常結(jié)合使用.修改訪問(wèn)限制列表：修改OU的訪問(wèn)限制列表ACL可以授予一個(gè)組對(duì) OU的特定權(quán)限,從而實(shí)現(xiàn) 對(duì)該OU的委派治理.盡量委派權(quán)限給組賬戶而不是單獨(dú)的用戶,如果可能,委派到 本地組而不是全局組或通用組.委派步驟.從域中的默認(rèn)結(jié)構(gòu)開始,按以下主要步驟創(chuàng)立OU結(jié)構(gòu)：-通過(guò)委派完全限制創(chuàng)立 OU的頂層；-創(chuàng)立OU的下層來(lái)委派每個(gè)對(duì)象類別限制.2.6. 創(chuàng)立OU支持組策略使用 Windows 2021,可以使用

30、組策略定義用戶和計(jì)算機(jī)配置,并將這些策略與站點(diǎn)、 域或OU關(guān)聯(lián).是否要?jiǎng)?chuàng)立附加的 OU以支持組策略的應(yīng)用取決于制定的策略以及所選擇 的實(shí)現(xiàn)方案,包括：定義客戶計(jì)算機(jī)的治理與桌面配置標(biāo)準(zhǔn)定義軟件的自動(dòng)分發(fā)特殊組策略應(yīng)用配置與治理在 Windows 2021中,組策略設(shè)置是治理員啟用集中更改和配置客戶計(jì)算機(jī)治理的主 要方法.可用組策略為某個(gè)特定的用戶組和計(jì)算機(jī)組創(chuàng)立指定的平安限制和桌面環(huán)境配置.Windows 2021組策略有100多種與平安有關(guān)的設(shè)置和 450多種基于注冊(cè)表的設(shè)置, 為您治理用戶計(jì)算機(jī)環(huán)境提供了眾多項(xiàng)選擇項(xiàng).Windows 2003組策略：可根據(jù)活動(dòng)目錄定義或在計(jì)算機(jī)本地進(jìn)行定義；可用Microsoft治理限制臺(tái)MMC或*.adm文件保存和治理；是平安的；不會(huì)在實(shí)施的策略改變時(shí)把設(shè)置留在用戶配置文件中；可應(yīng)用于指定的活動(dòng)目錄容器站點(diǎn)、域與 OU中的用戶或計(jì)算機(jī)；可由平安組的用戶或計(jì)算機(jī)成員進(jìn)一步限制；可用來(lái)配置多種類型的平安設(shè)；可用于實(shí)施登錄、注銷、啟動(dòng)及關(guān)閉腳本；可用于安裝和維護(hù)軟件；可用于重定向文件夾如 My Documents和 Application Data文件夾；可用于在 Microsoft Internet Explorer中執(zhí)行維護(hù).可以按以下三個(gè)步驟配置和治