公司AD域架構(gòu)設(shè)計方案

1、nrMicrosoft*-WindowsServerSystem公司項目時間公司W(wǎng)indowsAD域架構(gòu)設(shè)計方案*有限公司部署WindowsAD域2012-12前言31.1 企業(yè)IT面臨的挑戰(zhàn)31.2 AD域架構(gòu)的應(yīng)用給企業(yè)管理帶來的優(yōu)勢41.3 域架構(gòu)設(shè)計原則4.公司域架構(gòu)規(guī)劃5 域架構(gòu)部署規(guī)劃5 通過OU、GPO和用戶組實現(xiàn)域安全的管理6一前言由于Windows網(wǎng)絡(luò)系統(tǒng)架構(gòu)在企業(yè)應(yīng)用中的普及，企業(yè)會面臨大量客戶端及服務(wù)器的統(tǒng)一安全管理；AD域的規(guī)劃架構(gòu)需要根據(jù)企業(yè)現(xiàn)有的網(wǎng)絡(luò)規(guī)模布局和IT管理制度，以適應(yīng)企業(yè)當(dāng)前和長遠(yuǎn)的發(fā)展需求，有效地保護(hù)用戶的資料，減少用戶的風(fēng)險。針對整個公司的域架構(gòu)規(guī)劃

2、和實施，前期需要先完成企業(yè)域規(guī)劃及部署；實現(xiàn)公司統(tǒng)一的目錄服務(wù)管理，統(tǒng)一的企業(yè)用戶信息、安全策略。Windows網(wǎng)絡(luò)架構(gòu)客戶端默認(rèn)均屬于工作組的辦公環(huán)境，所有的用戶賬號均保存在本地客戶端上，網(wǎng)絡(luò)共享數(shù)據(jù)時只能允許所有人everyone查看的權(quán)限，數(shù)據(jù)共享及網(wǎng)絡(luò)安全存在較多的風(fēng)險。Windows域架構(gòu)管理模式可以解決眾多網(wǎng)絡(luò)安全性問題，域環(huán)境下可以輕易實現(xiàn)網(wǎng)絡(luò)用戶賬號的集中管理，規(guī)范客戶端密碼長度和復(fù)雜性；在域環(huán)境下，可以實現(xiàn)所有客戶端系統(tǒng)的補丁自動更新，有效提高服務(wù)器及桌面系統(tǒng)的安全性。在WindowsAD域的辦公環(huán)境下，并不會太多改變原有的客戶端工作組下的辦公習(xí)慣；域賬號登陸默認(rèn)緩存功能，用

3、戶離開公司網(wǎng)絡(luò)，同樣可以使用域用戶賬號在本機登陸，不會改變原有工作組的工作習(xí)慣。另外企業(yè)應(yīng)用系統(tǒng)中，很多應(yīng)用系統(tǒng)是基于微軟的AD架構(gòu)，如MSCluster集群高可用系統(tǒng)、Exchange郵件系統(tǒng)、OCS及時通訊系統(tǒng)、MOSSk業(yè)門戶網(wǎng)站協(xié)作系統(tǒng)等等；所以AD域的架構(gòu)管理不但可以方便企業(yè)內(nèi)部安全管理，還為以后的企業(yè)應(yīng)用擴展提供了系統(tǒng)基礎(chǔ)。工作組環(huán)境下企業(yè)IT面臨的挑戰(zhàn)身份管理大量的用戶登錄名和目錄不牢固的密碼安全訪問網(wǎng)絡(luò)和應(yīng)用資源增加的桌面系統(tǒng)維護(hù)費用服務(wù)器和桌面電腦管理如何統(tǒng)一管理服務(wù)器和桌面系統(tǒng)安全策略如何統(tǒng)一管理桌面系統(tǒng)的應(yīng)用如何保持所有系統(tǒng)安全補丁升級到最新AD域架構(gòu)的應(yīng)用給企業(yè)管理帶來

4、的優(yōu)勢提高IT運行效率Windows的管理效率提高30%集中管理服務(wù)器和桌面系統(tǒng)減少目錄帳戶和密碼的數(shù)量2）對用戶實施權(quán)限管理劃分不同級別的權(quán)限來進(jìn)行用戶管理限制低級別用戶訪問高級別用戶的相關(guān)資源拒絕未經(jīng)授權(quán)的用戶訪問域內(nèi)資源3）增強的網(wǎng)絡(luò)安全強制用戶使用復(fù)雜的密碼通過域的安全邊界，實現(xiàn)域內(nèi)資源的保護(hù)，增強企業(yè)網(wǎng)絡(luò)的安全性通過域的安全更新策略，實現(xiàn)MSWSU斑一更新域內(nèi)的所有計算機客戶端的系統(tǒng)安全補丁通過對域內(nèi)資源的權(quán)限設(shè)置和統(tǒng)一安全策略的制定，減少安全隱患的產(chǎn)生單一管理對網(wǎng)絡(luò)資源的訪問4）提高信息工作者生產(chǎn)力快速找到需要的各種資源；實現(xiàn)單點登錄能提高員工的協(xié)作能力域架構(gòu)設(shè)計原則在進(jìn)行總體框架

5、設(shè)計時，考慮到公司的現(xiàn)有網(wǎng)絡(luò)架構(gòu)及公司管理體系，微軟在AD域設(shè)計方面推薦遵循以下原則：穩(wěn)定性在系統(tǒng)結(jié)構(gòu)設(shè)計上要充分考慮到系統(tǒng)運行的穩(wěn)定性。系統(tǒng)平臺方面要考慮各種系統(tǒng)配置對穩(wěn)定性的影響，系統(tǒng)必須經(jīng)過嚴(yán)格的測試，包括功能測試、在各種系統(tǒng)環(huán)境或系統(tǒng)配置上的測試等，確保系統(tǒng)在多種設(shè)備環(huán)境上能夠穩(wěn)定運行。必要時，可以建立管理中心，通過遠(yuǎn)程管理、監(jiān)控手段與本地系統(tǒng)管理相結(jié)合的方式，保證系統(tǒng)的穩(wěn)定、可靠。易管理系統(tǒng)平臺的管理要盡量簡單，盡量少地使用戶涉及到系統(tǒng)平臺的管理工作，必要的管理任務(wù)也要提供相應(yīng)的培訓(xùn)、幫助資料甚至操作引導(dǎo)界面來幫助用戶順利地完成工作。信息交換系統(tǒng)的管理在設(shè)計時也要考慮到易管理性方面的

6、要求，通過操作引導(dǎo)界面輔助用戶完成所需的數(shù)據(jù)交換的管理工作。I易維護(hù)系統(tǒng)的結(jié)構(gòu)設(shè)計要易于維護(hù)，組成系統(tǒng)的功能元素要具有一定的獨立性，可以根據(jù)用戶的需要進(jìn)行替換而不影響或很少影響其他功能元素，并能夠與其他功能元素協(xié)作共同完成用戶的功能。易擴展系統(tǒng)無論是在業(yè)務(wù)功能上，還是在信息的交換規(guī)范上都應(yīng)當(dāng)易于擴展，以便適應(yīng)今后業(yè)務(wù)的發(fā)展。易用性系統(tǒng)的操作應(yīng)盡量簡單，對操作提示、錯誤報告、監(jiān)控信息反饋等要全面、詳細(xì)，真正做到易學(xué)、易用、易培訓(xùn)。安全性使用系統(tǒng)平臺的相關(guān)安全設(shè)置以及應(yīng)用系統(tǒng)的安全性實現(xiàn)，實現(xiàn)整個系統(tǒng)的安全性。確保系統(tǒng)不被非授權(quán)用戶侵入，數(shù)據(jù)不丟失，確認(rèn)發(fā)送者和接收者的身份，保證傳輸數(shù)據(jù)不被非法獲

7、取、篡改等。統(tǒng)一性各級系統(tǒng)的建設(shè)要遵循統(tǒng)一的要求進(jìn)行，在平臺、應(yīng)用系統(tǒng)、應(yīng)用策略、安全管理等方面保持一致，提供統(tǒng)一的用戶體驗，保證系統(tǒng)內(nèi)部數(shù)據(jù)傳輸服務(wù)的可靠性。二.公司域架構(gòu)規(guī)劃域架構(gòu)部署規(guī)劃域結(jié)構(gòu)設(shè)計是活動目錄中最重要，它既要盡可能貼近用戶的管理模式和組織結(jié)構(gòu)，也要考慮網(wǎng)絡(luò)情況及今后的各種變化。我們依據(jù)微軟活動目錄結(jié)構(gòu)的設(shè)計原則，用最簡單的結(jié)構(gòu)來滿足客戶的管理需求。在域的管理架構(gòu)OU組織單位設(shè)計上基于公司的管理模式而不是公司的組織結(jié)構(gòu)圖。以下是單域結(jié)構(gòu)相對于其他結(jié)構(gòu)的優(yōu)點：集中管理整個公司的安全策略。集中管理整個公司的組策略。完全利用組織單元反映公司的管理結(jié)構(gòu)。當(dāng)公司機構(gòu)重組時可以非常靈活的

8、進(jìn)行調(diào)整。當(dāng)資源和用戶需要在組織機構(gòu)內(nèi)遷移時可以非常靈活的調(diào)整。相對其它方案，可以使用較少的域控制器。簡單的名字空間設(shè)計-只需要1個DNS名字后綴.用戶在查找AD內(nèi)的信息時相對簡單。單一的組策略更容易實施。單域模型是首選的模型：用戶永遠(yuǎn)不需要在多個域之間移動。不需要跨越多個域的重復(fù)組策略設(shè)置。整個企業(yè)內(nèi)實施統(tǒng)一的安全規(guī)范；任何域控制器都可以處理任何用戶處理的身份驗證。公司的整個域架構(gòu)采用單域模式，部署一臺AD域服務(wù)器，實現(xiàn)對所有用戶信息的統(tǒng)一管理和身份的驗證?；顒幽夸浀慕ㄔO(shè)目標(biāo)是，更新目前客戶使用的活動目錄，為全公司的工作人員提供統(tǒng)一的目錄服務(wù)。使得活動目錄可以達(dá)到如下的目標(biāo)：將企業(yè)的安全性集

9、成到ActiveDirectory中，基于策略的管理模式減輕了最為復(fù)雜的企業(yè)網(wǎng)絡(luò)管理。企業(yè)IT可管理整個網(wǎng)絡(luò)中的服務(wù)器及客戶端訪問資源，只有獲得授權(quán)的網(wǎng)絡(luò)用戶可訪問網(wǎng)絡(luò)上指定的資源。通過OUGPO和用戶組實現(xiàn)域安全的管理企業(yè)的AD域架構(gòu)及服務(wù)器部署完成以后，在域管理上，我們利用域的組織單元OU進(jìn)行企業(yè)管理架構(gòu)的設(shè)計及進(jìn)行企業(yè)管理策略的分配。在OU組織單位設(shè)計上我們基于公司的管理模式而不按照公司的組織結(jié)構(gòu)進(jìn)行設(shè)置。OU組織單元的設(shè)計將遵循的原則：反映企業(yè)內(nèi)部的組織結(jié)構(gòu)反映企業(yè)機密程度需求有利于通過組策略進(jìn)行細(xì)化的終端管理OU作為域的基本管理單元，在域內(nèi)，管理員可以按照不同的OU組織單元運用不同級

10、別的組策略安全設(shè)置。通過組策略應(yīng)用的安全更改類型包括：修改文件系統(tǒng)的權(quán)限。修改注冊表對象的權(quán)限。更改注冊表中的設(shè)置。更改用戶權(quán)限分配。配置系統(tǒng)服務(wù)。配置審核和事件日志。設(shè)置帳戶和密碼策略。配置桌面系統(tǒng)環(huán)境等等在域內(nèi)我們可以方便的利用域用戶、用戶組設(shè)置公司文件服務(wù)器的訪問權(quán)限控制，以及控制網(wǎng)絡(luò)共享文件夾的磁盤配額和文件存儲類型。用戶組作為域中具有相同權(quán)限用戶的集合，我們可以簡化文件訪問權(quán)限的設(shè)定和管理。為確保只有授權(quán)用戶可以訪問企業(yè)文件夾中的數(shù)據(jù)，我們可以針對文件夾進(jìn)行權(quán)限設(shè)置。共享權(quán)限僅應(yīng)用于通過網(wǎng)絡(luò)訪問資源的用戶。安全權(quán)限應(yīng)用于本地訪問文件夾的權(quán)限；兩者共同設(shè)定取兩者最嚴(yán)格的權(quán)限。通過共享權(quán)限設(shè)定如下:共享權(quán)限注釋所有用戶有只