企業(yè)AD域控規(guī)劃設(shè)計(jì)方案_第1頁(yè)
企業(yè)AD域控規(guī)劃設(shè)計(jì)方案_第2頁(yè)
企業(yè)AD域控規(guī)劃設(shè)計(jì)方案_第3頁(yè)
已閱讀5頁(yè),還剩21頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、企業(yè)活動(dòng) AD 域控規(guī)劃方案活動(dòng)目錄介紹活動(dòng)目錄是 Windows 2003 網(wǎng)絡(luò)體系結(jié)構(gòu)中一個(gè)基本且不可分割的部分, 它為網(wǎng)絡(luò)的用 戶、管理員和應(yīng)用程序提供了一套分布式網(wǎng)絡(luò)環(huán)境設(shè)計(jì)的目錄服務(wù)。 活動(dòng)目錄使得組織機(jī)構(gòu) 可以有效地對(duì)有關(guān)網(wǎng)絡(luò)資源和用戶的信息進(jìn)行共享和管理。 另外,目錄服務(wù)在網(wǎng)絡(luò)安全方面 也扮演著中心授權(quán)機(jī)構(gòu)的角色, 從而使操作系統(tǒng)可以輕松地驗(yàn)證用戶身份并控制其對(duì)網(wǎng)絡(luò)資 源的訪問(wèn)。同等重要的是,活動(dòng)目錄還擔(dān)當(dāng)著系統(tǒng)集成和鞏固管理任務(wù)的集合點(diǎn)??偟膩?lái)說(shuō),活動(dòng)目錄的這些功能使組織機(jī)構(gòu)可以將標(biāo)準(zhǔn)化的商業(yè)規(guī)則貫徹于分布式應(yīng) 用和網(wǎng)絡(luò)資源當(dāng)中,同時(shí),無(wú)需管理員來(lái)維護(hù)各種不同的專用目錄?;顒?dòng)目

2、錄提供了對(duì)基于 Windows的用戶賬號(hào)、客戶、服務(wù)器和應(yīng)用程序進(jìn)行管理的唯 一點(diǎn)。同時(shí),它也幫助組織機(jī)構(gòu)通過(guò)使用基于Windows的應(yīng)用程序和與 Windows相兼容的設(shè)備對(duì)非 Windows系統(tǒng)進(jìn)行集成,從而實(shí)現(xiàn)鞏固目錄服務(wù)并簡(jiǎn)化對(duì)整個(gè)網(wǎng)絡(luò)操作系統(tǒng)的管 理。公司也可以使用活動(dòng)目錄服務(wù)安全地將網(wǎng)絡(luò)系統(tǒng)擴(kuò)展到In ternet上?;顒?dòng)目錄因此使現(xiàn)有網(wǎng)絡(luò)投資升值,同時(shí),降低為使 Windows網(wǎng)絡(luò)操作系統(tǒng)更易于管理、更安全、更易于交 互所需的全部費(fèi)用?;顒?dòng)目錄是微軟各種應(yīng)用軟件運(yùn)行的必要和基礎(chǔ)的條件。下圖表示出活動(dòng)目錄成為各 種應(yīng)用軟件的中心。WindowKM rxJczs UsersAccou

3、ni inlo-Pri*jil«g«£ Frvfihf Policy* Wille pages E'Omrw 已也OtherDiwclori ewl - Mgmt protilt -N?tv/&rk inf" -Policy fWinocm-User registry* Purity Il丿«Policy.Active Directory A Focal Point for: ManacjBahilit bd "Securt«I nteroperabili tyE MniI 5直rt'EE -Mail

4、bcu info address book Sender conli SI Sign-On pp-rp«cifit dirtcicr/info Policy-SmlMf PriHtlH-Fil* shares Policy* ConfloLniti on Security Policy YPN pQlipy-UetTork EYicem -Configuration -QoS palisy 騎* urity policy1.1. 應(yīng)用 Windows 2003 Server AD 的好處Windows 2003 Server是微軟最新推出的網(wǎng)絡(luò)操作系統(tǒng)服務(wù)器,它沿用了 Windows

5、 2000Server的先進(jìn)技術(shù)并且使之更易于部署、管理和使用。其結(jié)果是:其高效結(jié)構(gòu)有助于使您 的網(wǎng)絡(luò)成為單位的戰(zhàn)略性資產(chǎn)。應(yīng)用 Windows 2003 Server的好處如下表所示:優(yōu)勢(shì)描述可靠性Win dows Server 2003是迄今為止最快、最可靠和最安全的Win dows服務(wù)器操作系統(tǒng)。提供集成結(jié)構(gòu),用于幫助您確保商業(yè)信息的安全性。提供可靠性、實(shí)用性和可伸縮性,使您可以提供用戶需要的網(wǎng)絡(luò)結(jié)構(gòu)。咼效Win dows Server 2003 提供各種工具,允許您部署、管理和使用網(wǎng)絡(luò)結(jié)構(gòu)以獲得最 大效率。提供靈活易用的工具,有助于使您的設(shè)計(jì)和部署與組織及網(wǎng)絡(luò)的要求相匹配。 通過(guò)加強(qiáng)策

6、略、使任務(wù)自動(dòng)化以及簡(jiǎn)化升級(jí)來(lái)幫助您主動(dòng)管理網(wǎng)絡(luò)。通過(guò)讓用戶自行處理更多的任務(wù)來(lái)降低支持開(kāi)銷。連接性連接 Windows Server 2003可以幫助您創(chuàng)建業(yè)務(wù)解決方案結(jié)構(gòu),以便與雇員、合作伙伴、系統(tǒng)和客戶更好地連接。提供集成的 Web服務(wù)器和流媒體服務(wù)器,幫助您快速、輕松和安全地創(chuàng)建動(dòng)態(tài) Intranet 和 In ternet Web站點(diǎn)。提供集成的應(yīng)用程序服務(wù)器,幫助您輕松地開(kāi)發(fā)、部署和管理XML Web 服務(wù)。提供多種工具,使您得以將XML Web 服務(wù)與部應(yīng)用程序、供應(yīng)商和合作伙伴連接起來(lái)。最經(jīng)濟(jì)與來(lái)自Microsoft 的許多硬件、軟件和渠道合作伙伴的產(chǎn)品和服務(wù)相結(jié)合,Win d

7、owsServer 2003提供了有助于使您的基礎(chǔ)架構(gòu)投資獲得最大回報(bào)的選擇。為使您得以快速將技術(shù)投入使用的完整解決方案提供簡(jiǎn)單易用的說(shuō)明性指南。通過(guò)利用最新的硬件、軟件和方法來(lái)優(yōu)化服務(wù)器部署,從而幫助您合并各個(gè)服務(wù)器。 降低用戶的所屬權(quán)總成本(TCO),使投資很快就能獲得回報(bào)。Windows 2003 Server的核心是一組基于 Active Directory (目錄服務(wù),簡(jiǎn)稱“ AD”)的 基礎(chǔ)結(jié)構(gòu)服務(wù)。Windows 2003 AD簡(jiǎn)化了管理,加強(qiáng)了安全性,擴(kuò)展了互操作性。它為用戶、 組、安全服務(wù)及網(wǎng)絡(luò)資源的管理提供了一種集中化的方法。應(yīng)用Windows 2003 AD之后,企業(yè)信息

8、化建設(shè)者和網(wǎng)絡(luò)管理員可以從中獲得如下好處: 系統(tǒng)平臺(tái)基礎(chǔ)架構(gòu)?;?Windows 2003 AD規(guī)劃網(wǎng)絡(luò)基礎(chǔ)架構(gòu),使企業(yè)獲得一個(gè) 穩(wěn)定、可擴(kuò)充的網(wǎng)絡(luò)基礎(chǔ)平臺(tái)。不單單是滿足當(dāng)前的網(wǎng)絡(luò)需要,更關(guān)鍵的是預(yù)計(jì)了 今后3-5年可能的發(fā)展需要,使得將來(lái)的網(wǎng)絡(luò)規(guī)劃建設(shè)無(wú)需再次重復(fù)投資。單一登錄??梢越y(tǒng)一用戶設(shè)置和用戶身份驗(yàn)證, 實(shí)現(xiàn)用戶單一登錄,用戶訪問(wèn)網(wǎng)絡(luò) 中的資源不再需要反復(fù)輸入用戶名稱和口令。同時(shí),它還是企業(yè)應(yīng)用集成的基礎(chǔ)?;贏D的單一登錄功能,便于實(shí)現(xiàn)在不同程序之間的協(xié)作和集成應(yīng)用。網(wǎng)絡(luò)安全??梢曰贏D,集中設(shè)置和統(tǒng)一管理用戶、組、資源的操作權(quán)限,方便 維護(hù)管理。集中管理和委派授權(quán)?;?Wi

9、ndows 2003活動(dòng)目錄0U實(shí)施委派授權(quán)管理,未來(lái) 向下屬企業(yè)推廣時(shí),分級(jí)維護(hù),集團(tuán)各部門、下屬公司可以對(duì)所轄圍的部分參數(shù)進(jìn) 行維護(hù),如增加用戶、設(shè)置權(quán)限、增加欄目、自定義流程等。用戶桌面管理。通過(guò)規(guī)劃部署 Windows 2003 OU和組策略,可以統(tǒng)一規(guī)劃用戶桌 面和用戶操作環(huán)境,實(shí)現(xiàn)對(duì)客戶計(jì)算機(jī)的集中控制管理, 加強(qiáng)信息管理的安全可靠 性。軟件自動(dòng)分發(fā)。通過(guò)規(guī)劃部署 Windows 2003 OU 和組策略,還可以實(shí)現(xiàn)應(yīng)用程序 的自動(dòng)分發(fā)、升級(jí)和刪除, 不但可以實(shí)現(xiàn)客戶機(jī)軟件的統(tǒng)一安裝管理, 而且大大減 輕了軟件安裝配置的工作量。1.2. 明確系統(tǒng)規(guī)劃目標(biāo)企業(yè)的 Windows 20

10、03 AD 系統(tǒng)規(guī)劃構(gòu)建是為企業(yè)信息化建設(shè)服務(wù)的,需要達(dá)到以下戰(zhàn) 略目標(biāo):圍繞企業(yè)的戰(zhàn)略發(fā)展需要,進(jìn)行企業(yè)信息化建設(shè)系統(tǒng)規(guī)劃,滿足企業(yè)3-5 年的業(yè)務(wù)發(fā)展對(duì) IT 建設(shè)的要求;以業(yè)務(wù)為驅(qū)動(dòng),通過(guò)有效的信息系統(tǒng),加強(qiáng)信息共享和協(xié)同辦公,提高工作效率, 降低成本;整合企業(yè)現(xiàn)有信息資產(chǎn), 加強(qiáng)企業(yè)管理與監(jiān)控; 從信息中挖掘知識(shí), 提高經(jīng)營(yíng)決策 與駕馭風(fēng)險(xiǎn)的能力;推進(jìn)知識(shí)管理理念,建立知識(shí)型企業(yè),增強(qiáng)企業(yè)的核心競(jìng)爭(zhēng)力。Windows 2003 AD 系統(tǒng)規(guī)劃實(shí)施的具體目標(biāo)如下: 規(guī)劃和部署基于 Windows 2003 AD 的企業(yè)目錄服務(wù),首先實(shí)現(xiàn)用戶的單一登錄, 保障網(wǎng)絡(luò)系統(tǒng)安全;通過(guò) AD 實(shí)現(xiàn)

11、用戶桌面的集中和自動(dòng)管理,分發(fā)軟件補(bǔ)??; 進(jìn)一步部署微軟的相關(guān)應(yīng)用平臺(tái)軟件,如實(shí)現(xiàn)基于 Exchange 2003的企業(yè)部和協(xié)作 服務(wù),1.3. 活動(dòng)目錄設(shè)計(jì)方案我們?yōu)槠髽I(yè)設(shè)計(jì)一個(gè)域,用戶的所有計(jì)算機(jī)(服務(wù)器和客戶機(jī))全部加入到域,用戶 實(shí)現(xiàn)單一登錄和管理員通過(guò)域組策略實(shí)現(xiàn)安全及桌面管理。AD架構(gòu)拓?fù)淙缦?。用戶關(guān)心問(wèn)題解答2.1. 活動(dòng)目錄優(yōu)勢(shì)1. 計(jì)算機(jī)工作組管理和AD管理比較對(duì)于基于 Microsoft Windows操作系統(tǒng)的計(jì)算機(jī)運(yùn)行和管理在兩種模式下:工作組 (workgroup)和域(domai n)。在工作組模式下,計(jì)算機(jī)處于一個(gè)孤立狀態(tài),使用計(jì)算機(jī)的用戶登錄和計(jì)算機(jī)的管理均 須

12、在每臺(tái)計(jì)算機(jī)上創(chuàng)建或進(jìn)行。見(jiàn)下圖。Workgroup當(dāng)計(jì)算機(jī)超過(guò)20臺(tái)以上時(shí),計(jì)算機(jī)的管理變得越來(lái)越困難,并且要為用戶創(chuàng)建越來(lái)越 多的訪問(wèn)網(wǎng)絡(luò)資源的,用戶要記住多個(gè)訪問(wèn)不同資源的。而在域的模式下,用戶只需記住一個(gè)域,即可登錄訪問(wèn)域中的資源。并且管理員通過(guò)組策略,可以輕松配置用戶的桌面工作環(huán)境和加強(qiáng)計(jì)算機(jī)安全設(shè)置。域模式下所有的域保存在域控制器的活動(dòng)目錄數(shù)據(jù)庫(kù)中。見(jiàn)下圖DomainSingle User Account2. 為什么要提供目錄服務(wù)?對(duì)更加強(qiáng)大、透明且高度集成的目錄服務(wù)的不斷需由爆炸性增長(zhǎng)的網(wǎng)絡(luò)計(jì)算所導(dǎo)致的。隨著局域網(wǎng)(LAN )、廣域網(wǎng)(WAN)規(guī)模與復(fù)雜性的不斷提高和這些網(wǎng)絡(luò)不斷

13、被連入In ternet,以及應(yīng)用程序?qū)W(wǎng)絡(luò)的依賴程度不斷增強(qiáng)并不斷被到協(xié)作企業(yè)網(wǎng)中的其它系統(tǒng)上,對(duì)目錄服務(wù)的需求也日漸增多。基于下列原因,目錄服務(wù)成為擴(kuò)展的計(jì)算機(jī)系統(tǒng)中最重要的部件之一: 簡(jiǎn)化管理 提供對(duì)用戶、應(yīng)用程序和設(shè)備的單一、一致性的管理點(diǎn)。加強(qiáng)安全性向用戶提供單一的網(wǎng)絡(luò)資源登錄,為管理員提供強(qiáng)大、一致性的工具以 使他們能夠管理為部臺(tái)式機(jī)用戶、遠(yuǎn)程撥號(hào)用戶以及外部電子商務(wù)客戶提供的安全 服務(wù)。擴(kuò)展的互操作性 向所有活動(dòng)目錄特性提供基于標(biāo)準(zhǔn)的存取方式以及對(duì)通用目錄的 同步支持。目錄服務(wù)兼任管理工具和用戶工具。隨著網(wǎng)絡(luò)中對(duì)象數(shù)量的增加,目錄服務(wù)變得必不可少。目錄服務(wù)在一個(gè)龐大的分布式系統(tǒng)中

14、發(fā)揮著網(wǎng)絡(luò)集線器的作用。致力于這些需求,Windows 2000服務(wù)器版引入了活動(dòng)目錄-即一套用于改進(jìn) Windows網(wǎng)絡(luò)操作系統(tǒng)管理、安 全性和互操作性的完整的目錄服務(wù)集。下圖描述了活動(dòng)目錄帶來(lái)的計(jì)算機(jī)安全和管理上的一些最重要的好處。3. AD簡(jiǎn)化了計(jì)算機(jī)系統(tǒng)管理分布式系統(tǒng)常常導(dǎo)致時(shí)間的消耗和管理的冗余。當(dāng)公司在他們的基礎(chǔ)結(jié)構(gòu)上添加應(yīng)用程 序并雇用新的職員時(shí),他們需要適當(dāng)?shù)叵蚋髯烂嫦到y(tǒng)分發(fā)軟件并管理多個(gè)應(yīng)用程序目錄。通過(guò)在單一的位置管理用戶、組和網(wǎng)絡(luò)資源以及分發(fā)軟件和管理桌面系統(tǒng)配置,活動(dòng)目錄可以顯著降低公司的管理費(fèi)用。例如,活動(dòng)目錄在同一個(gè)位置管理Windows用戶和MicrosoftEx

15、cha nge信息?;谙铝性?,活動(dòng)目錄可以從以下方面幫助公司簡(jiǎn)化管理:消除冗余管理任務(wù) 提供對(duì)Windows用戶賬號(hào)、客戶、服務(wù)器和應(yīng)用程序以及現(xiàn)存 目錄同步能力進(jìn)行單一點(diǎn)管理。降低桌面系統(tǒng)的行程 針對(duì)用戶在公司中所擔(dān)當(dāng)?shù)慕巧詣?dòng)向其分發(fā)軟件,以減少或消除系統(tǒng)管理員為軟件安裝和配置而安排的多次行程。更好的實(shí)現(xiàn)IT資源的最大化安全地將管理功能分派到組織機(jī)構(gòu)的所有層次上。降低總體擁有成本(TCO)通過(guò)使網(wǎng)絡(luò)資源容易被定位、配置和使用來(lái)簡(jiǎn)化對(duì)文件 和打印服務(wù)的管理和使用。4. 加強(qiáng)安全性強(qiáng)大且一致的安全服務(wù)對(duì)企業(yè)網(wǎng)絡(luò)而言是必不可少的。管理用戶驗(yàn)證和訪問(wèn)控制的 工作往往單調(diào)乏味且容易出錯(cuò)。 活動(dòng)目

16、錄集中進(jìn)行管理并加強(qiáng)了與組織機(jī)構(gòu)的商業(yè)過(guò)程 一致、且基于角色的安全性。例如,對(duì)多身份驗(yàn)證協(xié)議(如 Kerberos,X.509認(rèn)證以及 由靈活的訪問(wèn)控制模型組成的智能卡)的支持實(shí)現(xiàn)了對(duì)于部桌面系統(tǒng)用戶、遠(yuǎn)程撥號(hào)用 戶和外部電子商務(wù)客戶強(qiáng)大且一致的安全服務(wù)。活動(dòng)目錄使用以下方法增強(qiáng)安全性:改進(jìn)了密碼的安全性和管理通過(guò)向網(wǎng)絡(luò)資源提供單一的集成、高性能且對(duì)終端用戶 透明的安全服務(wù)。保證桌面系統(tǒng)的功能性通過(guò)根據(jù)終端用戶角色鎖定桌面系統(tǒng)配置來(lái)防止對(duì)特定客戶主機(jī)操作進(jìn)行訪問(wèn),例如軟件安裝或注冊(cè)項(xiàng)編輯。加速電子商務(wù)的部署 通過(guò)提供對(duì)安全的In ternet標(biāo)準(zhǔn)協(xié)議和身份驗(yàn)證機(jī)制的建支 持,如Kerberos

17、,公開(kāi)密鑰基礎(chǔ)設(shè)施(PKI)和安全套接字協(xié)議層(SSL)之上的輕便目 錄訪問(wèn)協(xié)議(LDAP )。緊密的控制安全性 通過(guò)對(duì)目錄對(duì)象和構(gòu)成他們的單獨(dú)數(shù)據(jù)元素設(shè)置訪問(wèn)控制特權(quán)。2.2. 重要組策略介紹1. 軟件分發(fā)策略通過(guò)組策略可以為域中的計(jì)算機(jī)或用戶自動(dòng)分發(fā)帶有msi包的軟件。見(jiàn)下圖DefaullL D omai tl Pal maixisrv". sico. com 卿 I-鳳計(jì)算機(jī)酉理軟怦田a二i歆件設(shè)且程序包疋)u r a _ jS腳津田®1i 3h JS:衛(wèi)±' ' fl :+i T 免戟網(wǎng)第(Ieee aozat)策略由3公軸策畸由軟件眼和策

18、晞±,品IF妄全策昭在Active Directdt?畝-(管理模板P廉用戶配萱 國(guó)二|軟詩(shī)設(shè)詈 +I Vl'inlaws 謝置鼻_|管理模板2. 將用戶的個(gè)人數(shù)據(jù)從pc機(jī)上重定向到服務(wù)器上重定向有利于數(shù)據(jù)的安全以及集中備份。見(jiàn)下圖。爭(zhēng) Def suit Dfinairt Policy iniirtErv. el ca.亡帥茶寓 E-翹計(jì)直枇己置a-二I軟件設(shè)置宙 _J Wind.&wE 設(shè)直11 _|管理模極電屈用戶配置曰_J皺件設(shè)置邑軟件安裝S Winlcs 設(shè)置測(cè)遠(yuǎn)程陵裝服務(wù)閒腳本蛋最丿癥帶1171誦專仝海 邸陜貢足向_Appliciticar燼雜我的立擋i I

19、上們開(kāi)蝴菜單丿1+1 'jj I&Urntt Expl or tr 維護(hù)0二I莒理模椽3. 安全類組策略密碼策略強(qiáng)制密碼歷史”設(shè)置確定在重用舊密碼之前必須與用戶相關(guān)的唯一新密碼的數(shù)量。 配置 密碼最長(zhǎng)使用期限”設(shè)置,以便密碼在環(huán)境需要時(shí)過(guò)期。密碼最短使用期限”設(shè)置確定了用戶更改密碼之前必須使用密碼的天數(shù)。最短密碼長(zhǎng)度”設(shè)置確碼至少包含指定數(shù)量的字符。密碼必須符合復(fù)雜性要求策略”選項(xiàng)檢查所有新密碼以確保它們符合強(qiáng)密碼的基本 要求。園矗碣憶閱符2貝射生襲求 國(guó)密ZK度艮小直 瑕疙話倍忙忖甲即陽(yáng)I蜩5于特呢5E1天24吟記豐的相作用DtisuLt Jon tin Pali cy (m

20、iLTisrv. listi. torr MS.-i泌計(jì)廿機(jī)配査I 1 口醐牛舌看3 口設(shè)直8腳本俯動(dòng)/關(guān)和)丘啟轍巳越圉畫詞I.M軸戶蠟匡策噠 車 K«ylcr*s <u賬號(hào)鎖定策略鎖定策略是一項(xiàng) Windows Server 2003安全功能,它在指定時(shí)間段多次登錄嘗試失 敗后鎖定用戶。允許的嘗試次數(shù)和時(shí)間段是由為安全策略鎖定設(shè)置配置的值決定的。用 戶不能登錄到鎖定的。鎖定時(shí)間”設(shè)置確定在未鎖定且用戶可以嘗試再次登錄之前所必須經(jīng)歷的時(shí)間長(zhǎng)度 鎖定閾值”設(shè)置確定用戶在鎖定之前可以嘗試登錄的次數(shù)。復(fù)位鎖定計(jì)數(shù)器”設(shè)置決定了 鎖定閾值”復(fù)位為0以及被解鎖之前所必須經(jīng)過(guò)的 時(shí)間長(zhǎng)度

21、。輻睥尸戲足覲佶段有定女機(jī)肓足史 o :丈兀泌呈:f dwCafclE Duh -un FuL;寸 ra aio.lt lv d | E_|號(hào)片tQ畳L二Rm亦二邊畳g) wr G6動(dòng)伏咖l a ±i&s畀密凹荼喀禁用本地管理員默認(rèn)情況下,每臺(tái)加入到域中的計(jì)算機(jī)都有Administrator和Guest兩個(gè),Administrator在安裝投有定X、 世有宦義 及聞?lì)赴?曲罡義 授有定里”時(shí)口令為空。用戶使用這個(gè)權(quán)限過(guò)大,因此一般不會(huì)給用戶使用這個(gè)管理員,最好的做法就是通過(guò) 組策略禁用這個(gè),用戶使用域的。使用宴色密型如L也帳"只Jt舒進(jìn)行JE制臺(tái)蜀錄 重桶名*賓瞰戶

22、葷徐名禾練薛呂幅口將域加入到每臺(tái)PC機(jī)的本地Power Users組中創(chuàng)建域時(shí),默認(rèn)情況下這個(gè)只屬于 Domai n Users組中,該組屬于每臺(tái)PC機(jī)的本地 Users組。本地Users組中的成員權(quán)限受到嚴(yán)格限制,比如共享文件夾,安裝打印機(jī)驅(qū)動(dòng) 程序等工作的權(quán)限都沒(méi)有。而經(jīng)常有用戶需要這些權(quán)限,可以通過(guò)組策略來(lái)實(shí)現(xiàn)。妾跟制的爼2事碎日恚心*衛(wèi)彌服務(wù) 氏LS注冊(cè)蕃E凹文件系規(guī) i r超網(wǎng)踣 忌一廣1丿卜知幣肱電臥冊(cè)時(shí)電 IHctci討內(nèi) Ex-chvM;4 Svu.t 卅百疋X心bhVtm電IHcrci諮內(nèi)Ei-chtwa血皿 卅百疋X赴環(huán)定義直弋IP安全策略. 由“口管理複板白威用戶配置申二

23、J軼件設(shè)萱由indo肚訝晉E-LJ營(yíng)理桓板新建證書規(guī)則©新逮IntriLSl.區(qū)1威規(guī)測(cè)(X) 新建酩徑規(guī)U®所有任務(wù)®禁用系統(tǒng)服務(wù)我們?yōu)閮?yōu)化系統(tǒng)和安全性考慮,經(jīng)常要禁用計(jì)算機(jī)的一些無(wú)需運(yùn)行的服務(wù)。我們可 以通過(guò)組策略把這些服務(wù)禁用掉。-T無(wú)靛餉口肛sec 11 >?na *二詒耐王匕1F妄M基正 也_|弩吐瓊氐 三欄用尸配宜S 秋特說(shuō)豈 由-由Tindws設(shè)亙 計(jì)二I彗注橫欄軟件限制策略對(duì)一些規(guī)定不得使用的軟件可以通過(guò)組策略來(lái)禁用:路徑規(guī)則:特殊文件路徑下的軟件不得使用:如program files下的某些軟件證書規(guī)則:只有系統(tǒng)管理員頒發(fā)過(guò)證書的軟件可以使

24、用,其他軟件禁止使用 哈希規(guī)則:對(duì)禁止使用的軟件通過(guò)哈希運(yùn)算得到這個(gè)軟件的身份指紋,在組策 略里設(shè)置只要是符合身份指紋鑒定的軟件就進(jìn)行限制日“口軻鄲黑憔珀_j妄全城別網(wǎng)絡(luò)連接控制策略用戶經(jīng)常會(huì)通過(guò)改變“網(wǎng)絡(luò)連接”中的設(shè)置,繞過(guò)企業(yè)防火墻,建立自己的上網(wǎng)鏈 路,比如撥號(hào)上網(wǎng)。這樣會(huì)帶來(lái)很大的安全隱患。可以通過(guò)組策略限制用戶不得改變網(wǎng) 絡(luò)連接中的配置,不允許用戶通過(guò)其他方式連接互聯(lián)網(wǎng)。Cefaiil I 0un ai a Tuljcy maLnsrv. si cq. cm臻田 二團(tuán)計(jì) ertawa _鞍忡聶萱± _ Yzul皿識(shí)置呂血用廣配蛋H _j抵槪菽由_|和皿吐設(shè)置適程寶務(wù)服勢(shì)卿本

25、理剝崔斷| k臺(tái)工件買畫定向F 爺 ThlMCUtA 管理鐳快圧 口 tf niKjffi 爼件芒髀和-開(kāi)蛆泰單金廉直十酬冋丟CJ黃K件夬自口岡箔_J瞰丈侍阿絡(luò)連摟S-O垂統(tǒng)科重旳E0按式童!ftW薩育弔戶吃月的遠(yuǎn)程誼邊至捋的.:i宴1_邊何IA?復(fù)櫻鉅斗的風(fēng)性 沖票匸詛同聯(lián)詛問(wèn)曲姐件區(qū)雇性 淨(jìng)契用TT門I?起艄苗諭稟匚魏"戡護(hù) 無(wú)單上直*曲閲ar時(shí)厲網(wǎng)為婪匸斌11或?qū)儆檬畞V匡接或遠(yuǎn)程訪Gi接肉迤件聚吐訪茴 詢 連接苗帰性柴上B用,集用LAI連按的汨怦帛雯迎瞬用尸 刪訪河曲的雇性 常禁匸型寺用刪浙可軸的屬性 倉(cāng)禁亡卅傑遠(yuǎn)稈認(rèn)問(wèn)埒持 辛曲險(xiǎn)所有用尸遠(yuǎn)稈話問(wèn)申排書禁1:連搖冃曠冊(cè)至箋衛(wèi)

26、程1方曰連搭越啟用丿禁用3連鯽旳書我匚訪問(wèn)“新惠辻第討導(dǎo)”S重命呂s亞按淀力斗重命乞所有用戶遠(yuǎn)程訪匪歸.*親匸直紺罟專用遠(yuǎn)程說(shuō)脈蛋.:*諭 訥問(wèn)“高詡”«I的“區(qū)鮒冋首幀”誓單垣 命幣I -宜看話卻鋅ER育再覚娠童丘呂用仆z 5*100耐緡近礎(chǔ)萱'近援卿購(gòu)師無(wú)近囲TT斗聞?dòng)鲋?3計(jì)算機(jī)從工作組加入到域可能存在的問(wèn)題和解決方法把計(jì)算機(jī)從工作組模式加入到域模式可能會(huì)出現(xiàn)以下二個(gè)問(wèn)題 問(wèn)題:1. 一些軟件不能使用。有一些軟件以登錄者的管理員權(quán)限運(yùn)行,當(dāng)計(jì)算機(jī)加入到域并 對(duì)登錄做了權(quán)限設(shè)置,或禁用了本地管理員,這些需要管理員權(quán)限運(yùn)行的軟件就有 可能不能正常運(yùn)行。2. 用戶桌面環(huán)境發(fā)生

27、改變。由于加入域前后用戶是用不同的登錄的,因此用戶以前的 桌面環(huán)境無(wú)法使用。具體有桌面上放置的資料“我的文檔”等放置的資料 配置好的“網(wǎng)絡(luò)打印機(jī)” IE里設(shè)置好的“收藏夾”等。解決方法:1. 對(duì)問(wèn)題1我們可以按以下兩個(gè)方法來(lái)解決:(1) 把域加入到本地管理員組(2) 卸載軟件,用域登錄并安裝2. 對(duì)問(wèn)題2針對(duì)不同的問(wèn)題分別解決如下:(1) 把本地老下的桌面容全部備份下來(lái),復(fù)制到新域的桌面(2) 把本地老下的“我的文檔”容全部備份下來(lái),復(fù)制到新域的“我的文檔”(3) 重新連接和創(chuàng)建“網(wǎng)絡(luò)打印機(jī)”(4) 用特殊軟件把老IE里的“收藏夾”備份下來(lái),然后恢復(fù)到新域中3. 活動(dòng)目錄方案實(shí)施3.1. AD

28、 域命名和 DNS 的規(guī)劃Windows 2003 AD 域命名和 DNS 的規(guī)劃之所以放在首要地位, 是因?yàn)?AD 作為整個(gè) IT 架構(gòu)的基礎(chǔ),不應(yīng)該輕易被調(diào)整。盡管安裝后, Windows 2003 AD 仍然可以重組和改名,這 一點(diǎn)比 Windows 2000 AD 有了很大的進(jìn)步,但是我們?nèi)匀唤ㄗh做一個(gè)長(zhǎng)遠(yuǎn)規(guī)劃,使得域命 名和 DNS 服務(wù)能夠滿足企業(yè) 3-5 年的需求,盡量避免配置好后改作調(diào)整地巨大人力物力浪 費(fèi)。此外,部署 Windows 2003 AD,還必須確定DNS服務(wù)器,確保它們滿足域控制器定位 器系統(tǒng)的要求。一個(gè)支持 AD 的 DNS 至少需要滿足以下要求:必須支持服務(wù)定

29、位資源記錄( SRV)應(yīng)該支持 DNS 動(dòng)態(tài)更新協(xié)議( RFC 2136)Windows 2003 Server 提供的 DNS 服務(wù)同時(shí)滿足這些要求,并且還提供下列重要的附 加功能和改進(jìn):Active Directory集成:DNS服務(wù)把區(qū)域數(shù)據(jù)存儲(chǔ)在目錄中,使得 DNS復(fù)制創(chuàng)建 多個(gè)主域,也減少了對(duì)維護(hù)一個(gè)單獨(dú)的 DNS 區(qū)域傳送復(fù)制拓?fù)涞囊?。安全?dòng)態(tài)更新: 使得一個(gè)管理員可以精確地控制哪些計(jì)算機(jī)可以更新哪些名稱, 并 防止未經(jīng)授權(quán)的計(jì)算機(jī)從 DNS 獲得現(xiàn)有的名稱。條件轉(zhuǎn)發(fā):根據(jù)不同的對(duì)外訪問(wèn)的域名后綴,可以將用戶的 DNS 名稱解析請(qǐng)求轉(zhuǎn) 發(fā)到不同的外部 DNS 服務(wù)器。存根區(qū)域:

30、可以定時(shí)地刷新和外部 DNS 服務(wù)器的連接, 及時(shí)發(fā)現(xiàn)那些可能有故障、 不再響應(yīng)用戶請(qǐng)求的服務(wù)器,提高用戶 DNS 名稱解析的效率。3.2. 確定 AD 邏輯結(jié)構(gòu)Windows 2003活動(dòng)目錄的邏輯結(jié)構(gòu)由三個(gè)基本組件組成:森林、域和OU。1、確定森林規(guī)劃森林是 Windows 2003 AD 域的集合。在很多情況下,單一森林就足夠了。單一森林環(huán) 境易于建立和維護(hù), 森林間的域自動(dòng)建立雙向可傳遞部信任關(guān)系, 不要求手動(dòng)建立外部信任 配置,在安裝Exchange 2003 Serve等應(yīng)用程序時(shí),只需應(yīng)用一次架構(gòu)更改即可影響所有域。如果各個(gè)單位有下列管理要求,就必須建立一個(gè)以上的森林: 不互相信

31、任管理員。希望限制信任關(guān)系圍。不同意某種森林架構(gòu)更改策略。 架構(gòu)更改、 配置更改會(huì)影響到森林中所有的域。 如 果單位不同意一個(gè)公共架構(gòu)策略,它們就不能共存于同一個(gè)森林中。2、制定域規(guī)劃規(guī)劃域結(jié)構(gòu)時(shí),始終遵循“簡(jiǎn)單是最好的投資”的設(shè)計(jì)原則,盡管增加某些復(fù)雜結(jié)構(gòu) 可以增值,但是簡(jiǎn)單的結(jié)構(gòu)更易于說(shuō)明、 維護(hù)和調(diào)試。 一開(kāi)始時(shí)總是僅考慮每個(gè)森林中僅有 一個(gè)域, 然后為每一個(gè)增加的新域提供詳細(xì)的理由, 確保添加到森林中的域都是有益的, 因 為它們會(huì)帶來(lái)相應(yīng)的管理開(kāi)銷而導(dǎo)致一定程度的成本上升。創(chuàng)建更多的域的三種可能的原因是:希望實(shí)現(xiàn)相對(duì)分散式得 IT 管理模式:多域結(jié)構(gòu)更容易進(jìn)行相對(duì)獨(dú)立的管理、委派 和權(quán)

32、限控制。另外,不同的用戶在一個(gè)域是不能出現(xiàn)重名的, 多域之間就沒(méi)有限制。 對(duì)于人士管理相對(duì)獨(dú)立的集團(tuán)下屬公司,多域結(jié)構(gòu)具有更好的靈活性。希望實(shí)現(xiàn)不同管理策略要求:包括用戶口令策略、賬戶鎖定策略和 EFS 加密策略。 例如,要求某些人必須取 8 個(gè)字符以上的口令,而其它人不做限制。為此,必須將 這些需要不同安全策略的用戶放在單獨(dú)的域中。希望減小 WAN 上的復(fù)制流量:域控制器域間復(fù)制將產(chǎn)生比域復(fù)制少的多的流量。 如果公司很大, 具有跨地區(qū)的組織結(jié)構(gòu), 且處于同一個(gè)森林, 則在不同地理位置上 的機(jī)構(gòu)可能使用慢速的 WAN 鏈路連接。為減少 WAN 上的 DC 復(fù)制流量,可以在 不同的地理位置設(shè)置不

33、同的域。根據(jù)以上考慮,我們建議,企業(yè) Windows 2003 AD 域邏輯結(jié)構(gòu)可以采用“單森林、 單域”的結(jié)構(gòu)設(shè)計(jì)。3.3. 確定 AD 物理結(jié)構(gòu)Windows 2003 AD 物理結(jié)構(gòu)主要是規(guī)劃站點(diǎn)拓?fù)?,用于幫助您決定在網(wǎng)絡(luò)的什么地方 放置域控制器,以及管理域控制器之間的復(fù)制流量和用戶登錄流量??紤]到企業(yè)的地理分布情況,應(yīng)該考慮使用多站點(diǎn)拓?fù)鋪?lái)規(guī)劃 Windows 2003 AD 物理 結(jié)構(gòu)。從繪制基本的網(wǎng)絡(luò)拓?fù)洳季謭D著手工作,繪制所有可能的站點(diǎn)(Site)和站點(diǎn)(SiteLink)。速度快(10Mbps以上)、連接可靠的LAN網(wǎng)絡(luò)總是放置在單站點(diǎn)中。 站點(diǎn)定義為一組通過(guò)快速、 可靠的線路

34、連接起來(lái)的 IP 子網(wǎng)。一般而言, 具有 LAN 速度或更快速度的網(wǎng)絡(luò)被認(rèn)為是快速網(wǎng)絡(luò)。窄帶的、或不太可靠的連接可以使用站點(diǎn)建立多站點(diǎn)網(wǎng)絡(luò)。通常, WAN 連接一般被認(rèn)為是窄帶連接。如果建立站點(diǎn),實(shí)現(xiàn)多站點(diǎn)網(wǎng)絡(luò)模式, 則:客戶計(jì)算機(jī)在登錄到域時(shí)首先試圖與位于同一站點(diǎn)的 DC 通信;Windows 2003 AD復(fù)制使用站點(diǎn)拓?fù)洚a(chǎn)生復(fù)制連接。3.4. 規(guī)劃 OU 結(jié)構(gòu)和組策略組織單元(OU)是一個(gè)用來(lái)在域中創(chuàng)建分層管理單位的容器。 在域中創(chuàng)建OU結(jié)構(gòu)時(shí), 必須注意始終按照“誰(shuí)管理什么”的原則,從 IT 管理的需要出發(fā),劃分管理模型的結(jié)構(gòu), 而不是簡(jiǎn)單按照公司業(yè)務(wù)單位和它的不同分支、部門和項(xiàng)目來(lái)創(chuàng)

35、建 OU 結(jié)構(gòu)??紤] OU 的 下列特性是很重要的:OU 可以是嵌套的。一個(gè)OU可以包含子0U,使得可以在域中創(chuàng)建一個(gè)分層的目錄樹(shù)結(jié)構(gòu)。但是嵌 套太多將導(dǎo)致管理復(fù)雜和低效, 所以建議以二級(jí)嵌套為最理想, 最多不應(yīng)超過(guò)四級(jí) 嵌套。OU 可以用來(lái)委派管理和控制對(duì)目錄對(duì)象的訪問(wèn)。不能使 OU 成為安全組的成員,也不能因?yàn)橛脩舯晃晒芾?OU 或駐留在 OU 中 而自動(dòng)獲得訪問(wèn)資源的權(quán)限??梢栽?OU 上實(shí)施組策略。組策略是基于 Windows 2003 注冊(cè)表的修改,從而集中控制用戶和計(jì)算機(jī)的工作環(huán) 境、桌面配置、軟件自動(dòng)安裝和刪除的管理手段。一般而言,安全策略必須在域級(jí) 別實(shí)施,其它策略主要在 O

36、U 級(jí)別實(shí)施。不鼓勵(lì)用戶在 OU 結(jié)構(gòu)中瀏覽。沒(méi)有必要設(shè)計(jì)一個(gè)吸引最終用戶的 OU 結(jié)構(gòu)。盡管用戶有可能瀏覽一個(gè)域的 OU 結(jié)構(gòu),但對(duì)于用戶查找資源來(lái)說(shuō), 這并不是一個(gè)最有效的方法。 在目錄中查找資源 的最有效的方法是查詢?nèi)志庝?。有兩個(gè)理由需要在 Windows 2003域中創(chuàng)建 OU 結(jié)構(gòu):創(chuàng)建 OU 以管理對(duì)象和委派授權(quán)。 為組策略創(chuàng)建 OU。一個(gè)完全為管理和委派而設(shè)計(jì)的 OU 結(jié)構(gòu)與一個(gè)完全為組策略而設(shè)計(jì)的 OU 結(jié)構(gòu)是 不同的。 OU 結(jié)構(gòu)將很快變得相當(dāng)復(fù)雜。每次添加一個(gè) OU 到規(guī)劃中時(shí),要記下創(chuàng)建的具 體原因。這有助于確保每個(gè) OU 有一個(gè)目的,并將幫助閱讀規(guī)劃的人理解結(jié)構(gòu)所基于

37、的理 由。3.5. 創(chuàng)建 OU 以管理和委派在單位中委派管理有一些好處。以前,在單位中除了 IT 之外的組可能必須將更改請(qǐng) 求提交到高級(jí)管理員, 高級(jí)管理員代表他們進(jìn)行更改。 委派特定的權(quán)限可以將責(zé)任分散到單 位中的各個(gè)組, 使您可以將必須有高級(jí)訪問(wèn)權(quán)限的用戶的數(shù)量降到最少。 權(quán)限受到限制的管 理員所發(fā)生的事故或錯(cuò)誤所產(chǎn)生的影響只限于他們負(fù)責(zé)的圍。這一工作包括以下步驟:確定創(chuàng)建何種 OU創(chuàng)建的 OU 結(jié)構(gòu)將完全取決于管理是如何在單位中委派的。 委派管理的三種方法 是:按物理位置、按業(yè)務(wù)單位(公司部門) 、按角色或任務(wù)。三種方法經(jīng)常結(jié)合使用。修改訪問(wèn)控制列表:修改 OU 的訪問(wèn)控制列表 (ACL

38、) 可以授予一個(gè)組對(duì) OU 的特定權(quán)限,從而實(shí)現(xiàn) 對(duì)該 OU 的委派管理。盡量委派權(quán)限給組賬戶而不是單獨(dú)的用戶,如果可能,委派到 本地組而不是全局組或通用組。委派步驟。從域中的默認(rèn)結(jié)構(gòu)開(kāi)始,按下列主要步驟創(chuàng)建 OU 結(jié)構(gòu):- 通過(guò)委派完全控制創(chuàng)建 OU 的頂層;- 創(chuàng)建 OU 的下層來(lái)委派每個(gè)對(duì)象類別控制。3.6. 創(chuàng)建 OU 支持組策略使用 Windows 2003,可以使用組策略定義用戶和計(jì)算機(jī)配置,并將這些策略與站點(diǎn)、 域或 OU 關(guān)聯(lián)。是否要?jiǎng)?chuàng)建附加的 OU 以支持組策略的應(yīng)用取決于制定的策略以及所選擇 的實(shí)現(xiàn)方案,包括:定義客戶計(jì)算機(jī)的管理與桌面配置標(biāo)準(zhǔn)定義軟件的自動(dòng)分發(fā)特殊組策略應(yīng)

39、用配置與管理在 Windows 2003 中,組策略設(shè)置是管理員啟用集中更改和配置客戶計(jì)算機(jī)管理的主 要方法??捎媒M策略為某個(gè)特定的用戶組和計(jì)算機(jī)組創(chuàng)建指定的安全限制和桌面環(huán)境配置。Windows 2003 組策略有 100 多種與安全有關(guān)的設(shè)置和 450 多種基于注冊(cè)表的設(shè)置, 為您管理用戶計(jì)算機(jī)環(huán)境提供了眾多選項(xiàng)。 Windows 2003 組策略:可根據(jù)活動(dòng)目錄定義或在計(jì)算機(jī)本地進(jìn)行定義;可用 Microsoft 管理控制臺(tái)( MMC )或 *.adm 文件保存和管理;是安全的;不會(huì)在實(shí)施的策略改變時(shí)把設(shè)置留在用戶配置文件中;可應(yīng)用于指定的活動(dòng)目錄容器(站點(diǎn)、域與 0U)中的用戶或計(jì)算機(jī)

40、;可由安全組的用戶或計(jì)算機(jī)成員進(jìn)一步控制;可用來(lái)配置多種類型的安全設(shè); 可用于實(shí)施登錄、注銷、啟動(dòng)及關(guān)閉腳本; 可用于安裝和維護(hù)軟件; 可用于重定向文件夾(如 My Documents 和 Application Data 文件夾); 可用于在 Microsoft Internet Explorer 中執(zhí)行維護(hù)??梢园聪铝腥齻€(gè)步驟配置和管理組策略: 管理站點(diǎn)、域或 OU 的組策略: 默認(rèn)情況下,只有域管理員組和企業(yè)管理員組可以配置站點(diǎn)、域或部門的組策略。 可在站點(diǎn)、 域或 OU 的“屬性”頁(yè)的“組策略”選項(xiàng)卡中指定至站點(diǎn)、 域或 OU 的 組策略對(duì)象。 Active Directory 支持以

41、每個(gè)屬性為基礎(chǔ)的安全設(shè)置。創(chuàng)建組策略對(duì)象: 默認(rèn)情況下,只有域管理員組、企業(yè)管理員組和組策略創(chuàng)建者(所有者)組的成員 可以創(chuàng)建新的組策略對(duì)象。 如果域管理員想使一個(gè)非管理員用戶或組能夠創(chuàng)建組策 略對(duì)象,則可將該用戶或組添至組策略創(chuàng)建者(所有者)安全組中。這樣,他們就 可以創(chuàng)建、修改自己的組策略對(duì)象,并成為該組策略對(duì)象的創(chuàng)建者和所有者。編輯組策略對(duì)象: 默認(rèn)情況下,組策略對(duì)象接受域管理員、企業(yè)管理員及組策略創(chuàng)建者(所有者)組 成員的完全控制,課以便機(jī)組策略,但非管理員用戶沒(méi)有設(shè)置組策略的應(yīng)用權(quán)。3.7. 應(yīng)用組策略選項(xiàng)如果能認(rèn)真應(yīng)用組策略選項(xiàng),即使開(kāi)始用數(shù)據(jù)極其多的文件夾重定向選項(xiàng)和軟件安裝 選

42、項(xiàng),也能夠改善網(wǎng)絡(luò)的響應(yīng)時(shí)間。應(yīng)恰當(dāng)?shù)貞?yīng)用組策略選項(xiàng),尤其在剛開(kāi)始時(shí),更要仔細(xì) 測(cè)試所有建議的更改,以確保不損壞網(wǎng)絡(luò)性能。下面是一些可用的選項(xiàng):安全組篩選選項(xiàng): 可針對(duì)某個(gè)特定組策略對(duì)象實(shí)施篩選,使之不能對(duì)篩選的計(jì)算機(jī)和用戶組生效。 不許替代(強(qiáng)制繼承)和阻止繼承選項(xiàng): 例如,如果在域?qū)哟味x了一個(gè)指定的組策略對(duì)象, 并已指定組對(duì)象是強(qiáng)制的 (不 許替代),那么組策略對(duì)象所包含的策略設(shè)置就會(huì)應(yīng)用于該域中的所有0U ;層次較低的容器 (OU) 將無(wú)法替代此域的組策略,一般用于安全設(shè)置。也可阻止從父 Active Directory 容器繼承組策略。但是,不許替代(強(qiáng)制繼承)策 略選項(xiàng)始終比阻止繼

43、承策略選項(xiàng)優(yōu)先。處理“環(huán)回”策略設(shè)置的策略選項(xiàng): 默認(rèn)的設(shè)置使計(jì)算機(jī)策略優(yōu)先于用戶策略起作用,但有時(shí)必須要優(yōu)先實(shí)施用戶策 略,組策略的環(huán)回功能使管理員能夠?qū)崿F(xiàn)這一設(shè)置。 主要用在軟件安裝這一類的策 略上。低速處理的選項(xiàng):許多用戶, 如使用便攜式計(jì)算機(jī)的用戶、 遠(yuǎn)離建筑物或在分部工作的用戶, 有時(shí)會(huì) 用低速連接至網(wǎng)絡(luò)。 可對(duì)組策略進(jìn)行配置, 使部分策略不能生效, 以減少網(wǎng)絡(luò)開(kāi)銷。 這些組策略設(shè)置包括:軟件安裝與維護(hù)腳本磁盤配額IP 安全Dfs 故障恢復(fù)策略Internet Explorer 維護(hù)周期刷新選項(xiàng):可指定定時(shí)地處理組策略。默認(rèn)情況下, DC 計(jì)算機(jī)策略每 5 分鐘刷新一次,而 成員服務(wù)

44、器和客戶計(jì)算機(jī)每 90 分鐘刷新一次, 并帶有 30 分鐘的隨機(jī)偏移量。 可 根據(jù)需要改變此刷新頻率。3.8. 硬件設(shè)備選型建議為實(shí)現(xiàn) Windows 2003 AD 系統(tǒng)的部署實(shí)施,建議至少配置兩臺(tái)服務(wù)器:Windows 2003 AD 主域控制器: 1 臺(tái),同時(shí)兼作 DNS、 DHCP、WINS 服務(wù)器;Windows 2003 AD備份域控制器:1臺(tái),同時(shí)兼作DNS、WINS服務(wù)器;上述服務(wù)器硬件配置建議如下:2顆 P4 3.0GHZ 以上 CPU。2GB 以上存。73GB SCSI硬盤:建議使用2個(gè)硬盤,實(shí)施鏡像(RAID-1 );或者 3 個(gè)以上的硬盤,實(shí)施 RAID-5 。4. 活

45、動(dòng)目錄服務(wù)容4.1. 可行性調(diào)查調(diào)查、分析用戶當(dāng)前系統(tǒng)環(huán)境,提交環(huán)境調(diào)查報(bào)告網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)服務(wù)器清單應(yīng)用軟件部署清單網(wǎng)絡(luò)及系統(tǒng)存在的安全和管理上的問(wèn)題網(wǎng)絡(luò)及系統(tǒng)調(diào)整方案調(diào)查、分析用戶實(shí)際和潛在的活動(dòng)目錄服務(wù)需求,提交用戶需求報(bào)告活動(dòng)目錄為用戶帶來(lái)的商業(yè)利益分析用戶登錄認(rèn)證需求網(wǎng)絡(luò)安全需求系統(tǒng)管理需求大規(guī)模部署微軟平臺(tái)軟件需求4.2. 規(guī)劃活動(dòng)目錄部署方案活動(dòng)目錄域及命名方案活動(dòng)目錄站點(diǎn)方案域用戶和計(jì)算機(jī)賬號(hào)方案域安全組策略方案域管理組策略方案活動(dòng)目錄實(shí)施過(guò)程方案活動(dòng)目錄冗余方案活動(dòng)目錄備份和災(zāi)難處理方案4.3. 部署活動(dòng)目錄服務(wù)排定施工進(jìn)度、步驟和里程碑任務(wù)安排項(xiàng)目負(fù)責(zé)人和施工人員 制訂施工手冊(cè)調(diào)整、優(yōu)化當(dāng)前用戶網(wǎng)絡(luò)和系統(tǒng)環(huán)境 施工并記錄施工過(guò)程提交施工報(bào)告運(yùn)行觀察和記錄4.4. 制訂活動(dòng)目錄管理維護(hù)規(guī)活動(dòng)目錄管理操作規(guī) 活動(dòng)目錄運(yùn)行狀況檢查規(guī) 活動(dòng)目錄數(shù)據(jù)備份規(guī) 制訂緊急情況處理的規(guī)4.5. 工程師定時(shí)上門進(jìn)行活動(dòng)目錄日常維護(hù)觀察、記錄活動(dòng)目錄的運(yùn)行情況 排除故障優(yōu)化活動(dòng)目錄運(yùn)行調(diào)整安全策略設(shè)置 備份活動(dòng)目錄4.6. 處理活動(dòng)目錄緊急情況(2 小時(shí)到達(dá)現(xiàn)場(chǎng)、 8小時(shí)解決問(wèn)題的緊急情況處理

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論