AD域控規(guī)劃方案解析

1、共享知識分享快樂活動目錄AD規(guī)劃方案1.1. 活動目錄介紹活動目錄是 Windows網(wǎng)絡體系結構中一個基本且不可分割的部分，它為網(wǎng)絡的用戶、 管理員和應用程序提供了一套分布式網(wǎng)絡環(huán)境設計的目錄服務?；顒幽夸浭沟媒M織機構可以有效地對有關網(wǎng)絡資源和用戶的信息進行共享和管理。另外，目錄服務在網(wǎng)絡安全方面也扮演著中心授權機構的角色，從而使操作系統(tǒng)可以輕松地驗證用戶身份并控制其對網(wǎng)絡資源的 訪問。同等重要的是，活動目錄還擔當著系統(tǒng)集成和鞏固管理任務的集合點。活動目錄提供了對基于 Windows的用戶賬號、客戶、服務器和應用程序進行管理的唯 一點。同時，它也幫助組織機構通過使用基于Windows的應用程序

2、和與 Windows相兼容的設備對非Windows系統(tǒng)進行集成，從而實現(xiàn)鞏固目錄服務并簡化對整個網(wǎng)絡操作系統(tǒng)的管 理。公司也可以使用活動目錄服務安全地將網(wǎng)絡系統(tǒng)擴展到 Internet上。活動目錄因此使現(xiàn) 有網(wǎng)絡投資升值，同時，降低為使 Windows網(wǎng)絡操作系統(tǒng)更易于管理、更安全、更易于交 互所需的全部費用?；顒幽夸浭俏④浉鞣N應用軟件運行的必要和基礎的條件。下圖表示出活動目錄成為各 種應用軟件的中心。卑微如蟋蟻、堅強似大象Wlndcnw 而 ndlows： Lte用他 Account iriFQ Privileges-Profiles“ Policy.潴 哥WtndDW*Wndow順 ndc

3、ntfs Cli 巨ntgWndows 配ru*l;，Mgnnt profile NetAWk info PolicyOtheIDi電 ctorieq White E-CommerceE-Mni| Srjgrs Mailbox info Address book/plicaticrif-Server ccrifig* Single Sign-Or* App-spacic directory info PolicyOther MS* User registry Security-Policy Sruicas Printers File shares PolicyActive DirectoryA

4、 Focal Point For: htongeabilit/ Security InteroperabilityNetwork EJeuicev-ConfigurationQoS policy* Security policyc 二 苗* Configurstiori Security Rolicy1 *UPN policy(Internet ?1.2. 應用 Windows 2012 Server AD 的好處Windows 2012 AD簡化了管理，加強了安全性，擴展了互操作性。它為用戶、組、安 全服務及網(wǎng)絡資源的管理提供了一種集中化的方法。應用Windows 2012 AD之后，企業(yè)信

5、息化建設者和網(wǎng)絡管理員可以從中獲得如下好處：1、方便管理,權限管理比較集中，管理人員可以較好的管理計算機資源。2、安全性高，有利于企業(yè)的一些保密資料的管理，比如一個文件只能讓某一個人看，或者指定人員可以看，但不可以刪/改/移等。3、方便對用戶操作進行權限設置，可以分發(fā)，指派軟件等，實現(xiàn)網(wǎng)絡內(nèi)的軟件一起安裝。4、很多服務必須建立在域環(huán)境中，對管理員來說有好處：統(tǒng)一管理,方便在MS軟件方面集成，如ISA EXCHANGE（郵件服務器）、ISA SERVER（上網(wǎng)的各種設置與管理）等。5、使用漫游賬戶和文件夾重定向技術，個人賬戶的工作文件及數(shù)據(jù)等可以存儲在服務器上，統(tǒng)一進行備份、管理，用戶的數(shù)據(jù)更加

6、安全、有保障。6、方便用戶使用各種資源。7、SMS （System Management Server能夠分發(fā)應用程序、系統(tǒng)補丁等，用戶可以選擇安裝， 也可以由系統(tǒng)管理員指派自動安裝。 并能集中管理系統(tǒng)補丁 （如Windows Update9 ,不需每 臺客戶端服務器都下載同樣的補丁，從而節(jié)省大量網(wǎng)絡帶寬。共享知識分享快樂8、資源共享用戶和管理員可以不知道他們所需要的對象的確切名稱，但是他們可能知道這個對象的一個或多個屬性，他們可以通過查找對象的部分屬性在域中得到一個所有已知屬性相匹配的對象列表，通過域使得基于一個或者多個對象屬性來查找一個對象變得可能。9、管理A、 域控制器集中管理用戶對網(wǎng)絡

7、的訪問，如登錄、驗證、訪問目錄和共享資源。為了簡化管理， 所有域中的域控制器都是平等的，你可以在任何域控制器上進行修改，這種更新可以復制到域中所有的其他域控制器上。B、 域的實施通過提供對網(wǎng)絡上所有對象的單點管理進一步簡化了管理。因為域控制器提供了對網(wǎng)絡上所有資源的單點登錄，管理遠可以登錄到一臺計算機來管理網(wǎng)絡中任何計算機上的管理對象。在NT 網(wǎng)絡中，當用戶一次登陸一個域服務器后，就可以訪問該域中已經(jīng)開放的全部資源，而無需對同一域進行多次登陸。但在需要共享不同域中的服務時，對每個域都必須要登陸一次，否則無法訪問未登陸域服務器中的資源或無法獲得未登陸域的服務。10、可擴展性在活動目錄中，目錄通過

8、將目錄組織成幾個部分存儲信息從而允許存儲大量的對象。因此，目錄可以隨著組織的增長而一同擴展，允許用戶從一個具有幾百個對象的小的安裝環(huán)境發(fā)展成擁有幾百萬對象的大型安裝環(huán)境。11、安全性域為用戶提供了單一的登錄過程來訪問網(wǎng)絡資源，如所有他們具有權限的文件、打印機和應用程序資源。也就是說，用戶可以登錄到一臺計算機來使用網(wǎng)絡上另外一臺計算機上的資源，只要用戶具有對資源的合適權限。域通過對用戶權限合適的劃分，確定了只有對特定資源有合法權限的用戶才能使用該資源，從而保障了資源使用的合法性和安全性。12、可冗余性每個域控制器保存和維護目錄的一個副本。在域中， 你創(chuàng)建的每一個用戶帳號都會對應目錄的一個記錄。當

9、用戶登錄到域中的計算機時，域控制器將按照目錄檢查用戶名、口令、登錄限制以驗證用戶。當存在多個域控制器時，他們會定期的相互復制目錄信息，域控制器間的數(shù)據(jù)復制，促使用戶信息發(fā)生改變時（比如用戶修改了口令），可以迅速的復制到其他的域控制器上，這樣當一臺域控制器出現(xiàn)故障時，用戶仍然可以通過其他的域控制進行登錄，保障了網(wǎng)絡的順利運行。1.3. 明確系統(tǒng)規(guī)劃目標企業(yè)的 Windows 2012 AD 系統(tǒng)規(guī)劃構建是為企業(yè)信息化建設服務的，需要達到以下戰(zhàn)略目標：圍繞企業(yè)的戰(zhàn)略發(fā)展需要，進行企業(yè)信息化建設系統(tǒng)規(guī)劃，滿足企業(yè)3-5 年的業(yè)務發(fā)展對 IT 建設的要求；以業(yè)務為驅動，通過有效的信息系統(tǒng)，加強信息共享

10、和協(xié)同辦公，提高工作效率，降低成本；整合企業(yè)現(xiàn)有信息資產(chǎn)，加強企業(yè)管理與監(jiān)控；從信息中挖掘知識，提高經(jīng)營決策與駕馭風險的能力；推進知識管理理念，建立知識型企業(yè)，增強企業(yè)的核心競爭力。Windows 2012 AD 系統(tǒng)規(guī)劃實施的具體目標如下：規(guī)劃和部署基于Windows 2012 AD 的企業(yè)目錄服務，首先實現(xiàn)用戶的單一登錄，保障網(wǎng)絡系統(tǒng)安全；通過 AD 實現(xiàn)用戶桌面的集中和自動管理，分發(fā)軟件補?。贿M一步部署微軟的相關應用平臺軟件，如實現(xiàn)基于Exchange 2003的企業(yè)內(nèi)部郵件和協(xié)作服務，卑微如螻蟻、堅強似大象共享知識分享快樂1.4. 活動目錄設計方案為企業(yè)設計一個域，用戶的所有計算機(服

11、務器和客戶機)全部加入到域，用戶實現(xiàn) 單一登錄和管理員通過域組策略實現(xiàn)安全及桌面管理。AD架構拓撲如下。1.5. 活動目錄優(yōu)勢1 .計算機工作組管理和AD管理比較對于基于Microsoft Windows操作系統(tǒng)的計算機運行和管理在兩種模式下：工作組 (workgroup)和域(domain)。在工作組模式下，計算機處于一個孤立狀態(tài)，使用計算機的用戶登錄帳號和計算機的管 理均須在每臺計算機上創(chuàng)建或進行。見下圖。Workgroup當計算機超過20臺以上時，計算機的管理變得越來越困難，并且要為用戶創(chuàng)建越來越 多的訪問網(wǎng)絡資源的帳號，用戶要記住多個訪問不同資源的帳號。而在域的模式下，用戶只需記住一個

12、域帳號，即可登錄訪問域中的資源。并且管理員通過組策略，可以輕松配置用戶的桌面工作環(huán)境和加強計算機安全設置。域模式下所有的域帳號保存在域控制器的活動目錄數(shù)據(jù)庫中。見下圖。X 0Single User2 .為什么要提供目錄服務？對更加強大、透明且高度集成的目錄服務的不斷需求是由爆炸性增長的網(wǎng)絡計算所導致 的。隨著局域網(wǎng)（LAN）、廣域網(wǎng)（WAN）規(guī)模與復雜性的不斷提高和這些網(wǎng)絡不斷被連入 Internet,以及應用程序對網(wǎng)絡的依賴程度不斷增強并不斷被鏈接到協(xié)作企業(yè)網(wǎng)中的其它系 統(tǒng)上，對目錄服務的需求也日漸增多。 基于下列原因，目錄服務成為擴展的計算機系統(tǒng)中最 重要的部件之一：簡化管理 提供對用戶、

13、應用程序和設備的單一、一致性的管理點。加強安全性向用戶提供單一的網(wǎng)絡資源登錄，為管理員提供強大、一致性的工具以 使他們能夠管理為內(nèi)部臺式機用戶、遠程撥號用戶以及外部電子商務客戶提供的安 全服務。擴展的互操作性 向所有活動目錄特性提供基于標準的存取方式以及對通用目錄的 同步支持。目錄服務兼任管理工具和用戶工具。隨著網(wǎng)絡中對象數(shù)量的增加，目錄服務變得必不可 少。目錄服務在一個龐大的分布式系統(tǒng)中發(fā)揮著網(wǎng)絡集線器的作用。致力于這些需求， Windows 2000服務器版引入了活動目錄-即一套用于改進 Windows網(wǎng)絡操作系統(tǒng)管理、安 全性和互操作性的完整的目錄服務集。J一下圖描述了活動目錄帶來的計算

14、機安全和管理上的一些最重要的好處。卑微如蟋蟻、堅強似大象共享知識分享快樂3 . AD 簡化了計算機系統(tǒng)管理分布式系統(tǒng)常常導致時間的消耗和管理的冗余。當公司在他們的基礎結構上添加應用程序并雇用新的職員時，他們需要適當?shù)叵蚋髯烂嫦到y(tǒng)分發(fā)軟件并管理多個應用程序目錄。通過在單一的位置管理用戶、組和網(wǎng)絡資源以及分發(fā)軟件和管理桌面系統(tǒng)配置，活動目錄可以顯著降低公司的管理費用。例如，活動目錄在同一個位置管理Windows 用戶和 MicrosoftExchange郵箱信息。基于下列原因，活動目錄可以從以下方面幫助公司簡化管理：消除冗余管理任務提供對 Windows 用戶賬號、客戶、服務器和應用程序以及現(xiàn)存目

15、錄同步能力進行單一點管理。降低桌面系統(tǒng)的行程針對用戶在公司中所擔當?shù)慕巧詣酉蚱浞职l(fā)軟件，以減少或消除系統(tǒng)管理員為軟件安裝和配置而安排的多次行程。更好的實現(xiàn)IT 資源的最大化安全地將管理功能分派到組織機構的所有層次上。降低總體擁有成本（ TCO） 通過使網(wǎng)絡資源容易被定位、配置和使用來簡化對文件和打印服務的管理和使用。4 . 加強安全性強大且一致的安全服務對企業(yè)網(wǎng)絡而言是必不可少的。管理用戶驗證和訪問控制的工作往往單調(diào)乏味且容易出錯?；顒幽夸浖羞M行管理并加強了與組織機構的商業(yè)過程一致、且基于角色的安全性。例如，對多身份驗證協(xié)議（如Kerberos， X.509 認證以及由靈活的訪問控制模型組

16、成的智能卡）的支持實現(xiàn)了對于內(nèi)部桌面系統(tǒng)用戶、遠程撥號用戶和外部電子商務客戶強大且一致的安全服務。活動目錄使用以下方法增強安全性：改進了密碼的安全性和管理通過向網(wǎng)絡資源提供單一的集成、高性能且對終端用戶透明的安全服務。保證桌面系統(tǒng)的功能性通過根據(jù)終端用戶角色鎖定桌面系統(tǒng)配置來防止對特定客戶主機操作進行訪問，例如軟件安裝或注冊項編輯。加速電子商務的部署 通過提供對安全的Internet標準協(xié)議和身份驗證機制的內(nèi)建支 持，如Kerberos,公開密鑰基礎設施（PKI）和安全套接字協(xié)議層（SSL）之上的輕便目 錄訪問協(xié)議（LDAP ） 。緊密的控制安全性通過對目錄對象和構成他們的單獨數(shù)據(jù)元素設置訪問

17、控制特權。1.6. 重要組策略介紹1. 軟件分發(fā)策略通過組策略可以為域中的計算機或用戶自動分發(fā)帶有msi 包的軟件。見下圖。W Befault Domain Policy mainsrvp. si co. com 策取 日聞計算機配置三 LJ tfiadowi ）腳才|自目制 ,嶷 E 3 ： !S: 爸: hLS.；由現(xiàn)粘貼()刷新9導出列表3幫助QC)程序包化)一回T無線網(wǎng)絡CIBEE 8口2. 11)策略:1 1_|公鑰策略+ 軟件限制策喈國曼IP安全策略，在Activa Eirector：x LJ管理模棱-思用戶配置E LJ軟件謖置 L_J Windows 設置+ 口管理模板2.將用戶

18、的個人數(shù)據(jù)從pc機上重定向到服務器上重定向有利于數(shù)據(jù)的安全以及集中備份。見下圖。3? Default Domain Policy mainsrv si co. com策HL盤計菖機配置：田口軟件設置 _J Windows 設置|國口管理模極F感用戶配置-軟件設置國軟件安裝F _| Windows 設置郊遠程安裝服務即腳本逡錄/注卸 g 用二安全設詈 二|文件夾重JE向J Appli cation D&ta桌面_1我的文檔口開始菜單田,骸工ntetnet Enplorar 維才戶十，管理模板3.安全類組策略密碼策略名稱強制密碼歷史”設置確定在重用舊密碼之前必須與用戶帳戶相關的唯 量。新密碼的數(shù)-

19、1- _|軟件設置配置 密碼最長使用期限”設置，以便密碼在環(huán)境需要時過期。密碼最短使用期限”設置確定了用戶更改密碼之前必須使用密碼的天數(shù)。最短密碼長度”設置確保密碼至少包含指定數(shù)量的字符。密碼必須符合復雜性要求策略”選項檢查所有新密碼以確保它們符合強密碼的基本 要求。畫野嗎腐稗含食雜性要求 疆密螞長度最小值 躅密同靈模使用期明 能雷碼最短使用其用艮 碘強制密碼歷史躅用可還原的力邀來儲存密碼策略設置已禁用5個鈿42天L天24個犯住的密碼F*江田II_ipjtJTj多 Default Duna Policy (mainzrv. sice. com 弟田 二國計苴機口已置：1 口敦件設置日LJ跖晶”

20、讀置芻腳本曲動/關機】臼康安全設置國嗎髓略I-等帳戶策略第帔戶鎖定策略 學&rbn簫喝賬號鎖定策略帳戶鎖定策略是一項 Windows Server 2012安全功能，它在指定時間段內(nèi)多次登錄 嘗試失敗后鎖定用戶帳戶。允許的嘗試次數(shù)和時間段是由為安全策略鎖定設置配置的值 決定的。用戶不能登錄到鎖定的帳戶。帳戶鎖定時間”設置確定在未鎖定帳戶且用戶可以嘗試再次登錄之前所必須經(jīng)歷的時間長度帳戶鎖定閾值”設置確定用戶在帳戶鎖定之前可以嘗試登錄帳戶的次數(shù)。復位帳戶鎖定計數(shù)器”設置決定了 帳戶鎖定閾值”復位為0以及帳戶被解鎖之前 所必須經(jīng)過的時間長度。DtfiiHl Domain Poli ey mbiit

21、srv. lied, com-國計算機自電一軟件設置H _J W i ndflw e 設置腳本08動FH機)三予安全謖置 二等帳戶策略 | i登密碼策略幃戶鎖定第晤,字Krbrvs策略策略嬲復位循尸鎖走計數(shù)器 避g帖戶鎖定時間 用附戶期定閩值I策筆設置訊:有定義沒有定義0校無效登錄卑微如蟋蟻、堅強似大象禁用本地管理員帳號默認情況下，每臺加入到域中的計算機都有Administrator和Guest兩個帳號，Administrator帳號在安裝時口令為空。用戶使用這個帳號權限過大，因此一般不會給用戶使用這個管理員帳號，最 好的做法就是通過組策略禁用這個帳號，用戶使用域的帳號。螞物些利前：兀計服,希

22、跟體網(wǎng)vrxutt夯但但je又躅躅咽困All首理員帙尸狀毒沒有定奴采苴帳戶狀態(tài)沒有定義使用空白密碼的本地帳戶只允許進行霍制臺登錄沒有定義重黨名來賓/戶沒有定義重命名裁統(tǒng)管理員錦尸沒有定義將域帳號加入到每臺PC機的本地Power Users組中創(chuàng)建域帳號時，默認情況下這個帳號只屬于Domain Users組中，該組屬于每臺PC機的本地Users組。本地Users組中的成員權限受到嚴格限制，比如共享文件夾，安裝 打印機驅動程序等工作的權限都沒有。而經(jīng)常有用戶需要這些權限，可以通過組策略來 實現(xiàn)。國事件日志受F艮制的組LSI 添加狙左堂系統(tǒng)服務.打開海) 國 3注冊表 由里 文件系統(tǒng)復制。由T無線網(wǎng)

23、絡 (+.日笛感禁用系統(tǒng)服務喝肥斗仃出原沒有定義沒有定義電陰iicrgiE力fl Exch&nga EraU 沒有定義沒有定義我們?yōu)閮?yōu)化系統(tǒng)和安全性考慮，經(jīng)常要禁用計算機的一些無需運行的服務。我們可 以通過組策略把這些服務禁用掉。叵3注明表圖文件系燒* f無爆網(wǎng)指CIEEE 802“第珞* ，金銅策用* 致用最利第略國1-3工?安全笫曲,在Kctiva Dir actori囪D音理暝核Fl愿用尸配SF _J軟件設置由_| Yindovs潑置由旨理里惶軟件限制策略對一些規(guī)定不得使用的軟件可以通過組策略來禁用：路徑規(guī)則：特殊文件路徑下的軟件不得使用：如 program files下的某些軟件 證書

24、規(guī)則：只有系統(tǒng)管理員頒發(fā)過證書的軟件可以使用，其他軟件禁止使用 哈希規(guī)則：對禁止使用的軟件通過哈希運算得到這個軟件的身份指紋，在組策 略里設置只要是符合身份指紋鑒定的軟件就進行限制白11軟件限制策咯L 一安全級別由同IF安全策略,+ _|管理模板-：#2用戶配置1 23軟件設置+ ,_| Windows 設置1 _J管理模板新建證書規(guī)則().新建胎希視則05) 一Internet區(qū)域規(guī)則.新建路徑規(guī)則9 所有任務富)網(wǎng)絡連接控制策略用戶經(jīng)常會通過改變“網(wǎng)絡連接”中的設置，繞過企業(yè)防火墻，建立自己的上網(wǎng)鏈 路，比如電話撥號上網(wǎng)。這樣會帶來很大的安全隱患?？梢酝ㄟ^組策略限制用戶不得改 變網(wǎng)絡連接中

25、的配置，不允許用戶通過其他方式連接互聯(lián)網(wǎng)。寸 Default D0mA.ia r*Licy mbinsrv. ico. co3國計苴機配貴申_|軟件設置E _| Window 1 設置i二j管理模楨3感用戶配置3 _|軟件避置 ：號鯽半安裝-I n Windpwf 設置型遠程安裝服若當腳國錄趨削4予安全設置申Q文件夾直定向由班I Intrnt ExpIoey 維護百二I管理幅板F _J WindE 蛆件二I任第欄和開始菜單+二I桌面4 _1311 面楨 二共享文件夾j 口眼機發(fā)件+，系統(tǒng)網(wǎng)絡連接設詈受重命名LAH連報或重命名所有用戶可用的遠程法聞臣攝的.通禁止訪問,3連接相件的屆性，引禁止法問

26、運程訪問連接細件的屋性禁用TCP/IP高級配置期禁止到“高皴”菜單上的高皴設置”的電間5i禁止靠加我刪除用于LAB在摟或遠程坊問連接的組件容禁止訪問 3f連掇的屬性每禁止啟用/禁用LAH在報的電件扇更改所有用尸遠程訪向連強的雇性品禁止更改專用遠程訪問連會的傅性檢禁止冊除遠程訪問連接品制除所有用戶遠程訪問連接小禁止連接和斯開連強遠程訪問連接畬只用/禁用3T連接的能力哥禁止訪問 嘴建隹接向導”前重命名LAN連接的能力南重命名所有用戶就程訪問連接的力諭禁止重命名專用遠程訪問連接前禁止訪問“高級加菜單上的“遠程訪問首選項”菜單項沿禁止萱看活動連接的狀密國為管理員啟用歸nihws 2000網(wǎng)絡連接設置油

27、連援羿艮制或無連接時關閉通知1.7. 計算機從工作組加入到域可能存在的問題和解決方法把計算機從工作組模式加入到域模式可能會出現(xiàn)以下二個問題問題：1 . 一些軟件不能使用。有一些軟件以登錄者的管理員權限帳號運行，當計算機加入到 域并對登錄帳號做了權限設置，或禁用了本地管理員帳號，這些需要管理員權限運 行的軟件就有可能不能正常運行。2 .用戶桌面環(huán)境發(fā)生改變。由于加入域前后用戶是用不同的帳號登錄的，因此用戶以 前的桌面環(huán)境無法使用。具體有桌面上放置的資料“我的文檔”等放置的資料配置好的“網(wǎng)絡打印機”IE里設置好的“網(wǎng)站收藏夾”等。解決方法：1 .對問題1我們可以按以下兩個方法來解決：(1)把域帳號

28、加入到本地管理員組(2)卸載軟件，用域帳號登錄并安裝2 .對問題2針對不同的問題分別解決如下：(1)把本地老帳號下的桌面內(nèi)容全部備份下來，復制到新域帳號的桌面(2)把本地老帳號下的“我的文檔”內(nèi)容全部備份下來，復制到新域帳號的“我的文 檔”(3)重新連接和創(chuàng)建“網(wǎng)絡打印機”(4)用特殊軟件把老帳號IE里的“網(wǎng)站收藏夾”備份下來，然后恢復到新域帳號中共享知識分享快樂2. 活動目錄方案實施2.1. AD 域命名和DNS 的規(guī)劃Windows 2012 AD 域命名和DNS 的規(guī)劃之所以放在首要地位，是因為 AD 作為整個IT架構的基礎，不應該輕易被調(diào)整。盡管安裝后，Windows 2012 AD

29、仍然可以重組和改名，這一點比 Windows 2000 AD 有了很大的進步，但是我們?nèi)匀唤ㄗh做一個長遠規(guī)劃，使得域命名和 DNS 服務能夠滿足企業(yè)3-5 年的需求，盡量避免配置好后改作調(diào)整地巨大人力物力浪費。此外，部署 Windows 2012 AD,還必須確定DNS服務器，確保它們滿足域控制器定位器系統(tǒng)的要求。一個支持AD 的 DNS 至少需要滿足以下要求：必須支持服務定位資源記錄(SRV)應該支持DNS 動態(tài)更新協(xié)議(RFC 2136)Windows 2012 Server提供的DNS服務同時滿足這些要求，并且還提供下列重要的附 加功能和改進：Active Directory 集成： D

30、NS 服務把區(qū)域數(shù)據(jù)存儲在目錄中，使得DNS 復制創(chuàng)建多個主域，也減少了對維護一個單獨的DNS 區(qū)域傳送復制拓撲的要求。安全動態(tài)更新：使得一個管理員可以精確地控制哪些計算機可以更新哪些名稱，并防止未經(jīng)授權的計算機從DNS 獲得現(xiàn)有的名稱。條件轉發(fā)：根據(jù)不同的對外訪問的域名后綴，可以將用戶的DNS 名稱解析請求轉發(fā)到不同的外部DNS 服務器。存根區(qū)域：可以定時地刷新和外部DNS 服務器的連接，及時發(fā)現(xiàn)那些可能有故障、不再響應用戶請求的服務器，提高用戶DNS 名稱解析的效率。2.2. 確定 AD 邏輯結構Windows 2012活動目錄的邏輯結構由三個基本組件組成：森林、域和OU。1、 確定森林規(guī)

31、劃森林是 Windows 2012 AD 域的集合。在很多情況下，單一森林就足夠了。單一森林環(huán)境易于建立和維護，森林間的域自動建立雙向可傳遞內(nèi)部信任關系，不要求手動建立外部信任配置，在安裝Exchange 2012 Serve等應用程序時，只需應用一次架構更改即可影響所有 域。如果各個單位有下列管理要求，就必須建立一個以上的森林：不互相信任管理員。希望限制信任關系范圍。不同意某種森林架構更改策略。架構更改、配置更改會影響到森林中所有的域。如果單位不同意一個公共架構策略，它們就不能共存于同一個森林中。2、 制定域規(guī)劃規(guī)劃域結構時，始終遵循“簡單是最好的投資”的設計原則，盡管增加某些復雜結構可以增

32、值，但是簡單的結構更易于說明、維護和調(diào)試。一開始時總是僅考慮每個森林中僅有一個域， 然后為每一個增加的新域提供詳細的理由，確保添加到森林中的域都是有益的，因為它們會帶來相應的管理開銷而導致一定程度的成本上升。創(chuàng)建更多的域的三種可能的原因是：希望實現(xiàn)相對分散式得IT 管理模式：多域結構更容易進行相對獨立的管理、委派和權限控制。另外， 不同的用戶帳戶在一個域內(nèi)是不能出現(xiàn)重名的，多域之間就沒有限制。對于人士管理相對獨立的集團下屬公司，多域結構具有更好的靈活性。希望實現(xiàn)不同管理策略要求：包括用戶口令策略、賬戶鎖定策略和EFS 加密策略。例如，要求某些人必須取8 個字符以上的口令，而其它人不做限制。為此

33、，必須將這些需要不同安全策略的用戶放在單獨的域中。希望減小WAN 上的復制流量：域控制器域間復制將產(chǎn)生比域內(nèi)復制少的多的流量。如果公司很大，具有跨地區(qū)的組織結構，且處于同一個森林內(nèi)，則在不同地理位置上的機構可能使用慢速的WAN 鏈路連接。為減少WAN 上的 DC 復制流量，可以在不同的地理位置設置不同的域。根據(jù)以上考慮，我們建議，企業(yè)Windows 2012 AD 域邏輯結構可以采用“單森林、單域”的結構設計。2.3. 確定 AD 物理結構考慮到企業(yè)的地理分布情況，應該考慮使用多站點拓撲來規(guī)劃Windows 2012 AD 物理結構。 從繪制基本的網(wǎng)絡拓撲布局圖著手工作，繪制所有可能的站點（

34、Site） 和站點鏈接（ SiteLink） 。速度快（10Mbps以上）、連接可靠的LAN網(wǎng)絡總是放置在單站點中。站點定義為一組通過快速、可靠的線路連接起來的IP 子網(wǎng)。 一般而言，具有 LAN速度或更快速度的網(wǎng)絡被認為是快速網(wǎng)絡。窄帶的、或不太可靠的連接可以使用站點鏈接建立多站點網(wǎng)絡。通常， WAN 連接一般被認為是窄帶連接。如果建立站點鏈接，實現(xiàn)多站點網(wǎng)絡模式，則：客戶計算機在登錄到域時首先試圖與位于同一站點的DC 通信；Windows 2012 AD 復制使用站點拓撲產(chǎn)生復制連接。2.4. 規(guī)劃 OU 結構和組策略組織單元 （ OU） 是一個用來在域中創(chuàng)建分層管理單位的容器。在域中創(chuàng)建

35、OU 結構時，必須注意始終按照“誰管理什么”的原則，從 IT 管理的需要出發(fā)，劃分管理模型的結構，而不是簡單按照公司業(yè)務單位和它的不同分支、部門和項目來創(chuàng)建OU 結構?？紤]OU 的下列特性是很重要的：OU 可以是嵌套的。一個OU可以包含子OU,使得可以在域中創(chuàng)建一個分層的目錄樹結構。但是嵌套太多將導致管理復雜和低效，所以建議以二級嵌套為最理想，最多不應超過四級嵌套。OU 可以用來委派管理和控制對目錄對象的訪問。不能使OU 成為安全組的成員，也不能因為用戶被委派管理OU 或駐留在OU 中而自動獲得訪問資源的權限。可以在OU 上實施組策略。組策略是基于Windows 2012注冊表的修改，從而集中

36、控制用戶和計算機的工作環(huán)境、桌面配置、軟件自動安裝和刪除的管理手段。一般而言，安全策略必須在域級別實施，其它策略主要在OU 級別實施。不鼓勵用戶在OU 結構中瀏覽。沒有必要設計一個吸引最終用戶的OU 結構。盡管用戶有可能瀏覽一個域的OU結構，但對于用戶查找資源來說，這并不是一個最有效的方法。在目錄中查找資源的最有效的方法是查詢?nèi)志庝?。有兩個理由需要在Windows 2012域中創(chuàng)建OU 結構：創(chuàng)建OU 以管理對象和委派授權。為組策略創(chuàng)建OU。一個完全為管理和委派而設計的OU 結構與一個完全為組策略而設計的OU 結構是不同的。 OU 結構將很快變得相當復雜。每次添加一個OU 到規(guī)劃中時，要記下

37、創(chuàng)建的具體原因。這有助于確保每個OU 有一個目的，并將幫助閱讀規(guī)劃的人理解結構所基于的理由。卑微如螻蟻、堅強似大象共享知識分享快樂2.5. 創(chuàng)建 OU 以管理和委派在單位中委派管理有一些好處。以前，在單位中除了IT 之外的組可能必須將更改請求提交到高級管理員，高級管理員代表他們進行更改。委派特定的權限可以將責任分散到單位中的各個組，使您可以將必須有高級訪問權限的用戶的數(shù)量降到最少。權限受到限制的管理員所發(fā)生的事故或錯誤所產(chǎn)生的影響只限于他們負責的范圍。這一工作包括以下步驟：確定創(chuàng)建何種OU創(chuàng)建的 OU 結構將完全取決于管理是如何在單位中委派的。委派管理的三種方法是：按物理位置、按業(yè)務單位（公司

38、部門）、按角色或任務。三種方法經(jīng)常結合使用。修改訪問控制列表：修改 OU 的訪問控制列表（ACL） 可以授予一個組對OU 的特定權限，從而實現(xiàn)對該 OU 的委派管理。盡量委派權限給組賬戶而不是單獨的用戶，如果可能，委派到本地組而不是全局組或通用組。委派步驟。從域中的默認結構開始，按下列主要步驟創(chuàng)建OU 結構：- 通過委派完全控制創(chuàng)建OU 的頂層；- 創(chuàng)建 OU 的下層來委派每個對象類別控制。2.6. 創(chuàng)建 OU 支持組策略使用 Windows 2012，可以使用組策略定義用戶和計算機配置，并將這些策略與站點、域或 OU 關聯(lián)。 是否要創(chuàng)建附加的OU 以支持組策略的應用取決于制定的策略以及所選擇的實現(xiàn)方案，包括：定義客戶計算機的管理與桌面配置標準定義軟件的自動分發(fā)特殊組策略應用配置與管理在 Windows 2012 中，組策略設置是管理員啟用集中更改和配置客戶計算機管理的主 要方法。可用組策略為某個特定的用戶組和計算機組創(chuàng)建指定的安全限制和桌面環(huán)境配置。Windows 2012 組策略有100 多種與安全有關的設置和450 多種基于注冊表的設置，為您管理用戶計算機環(huán)境提供了眾多選項。Windows 2003 組策略：可根據(jù)活動目錄定義或在計算機本地進行定義；可用 Microsoft 管理控制臺（MMC ）或 *.adm 文件保存和管理；是安全的；不