版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
AD域控規(guī)劃方案AD域控規(guī)劃方案AD域控規(guī)劃方案資料僅供參考文件編號:2022年4月AD域控規(guī)劃方案版本號:A修改號:1頁次:1.0審核:批準(zhǔn):發(fā)布日期:活動目錄AD規(guī)劃方案活動目錄介紹活動目錄是Windows網(wǎng)絡(luò)體系結(jié)構(gòu)中一個基本且不可分割的部分,它為網(wǎng)絡(luò)的用戶、管理員和應(yīng)用程序提供了一套分布式網(wǎng)絡(luò)環(huán)境設(shè)計的目錄服務(wù)?;顒幽夸浭沟媒M織機構(gòu)可以有效地對有關(guān)網(wǎng)絡(luò)資源和用戶的信息進行共享和管理。另外,目錄服務(wù)在網(wǎng)絡(luò)安全方面也扮演著中心授權(quán)機構(gòu)的角色,從而使操作系統(tǒng)可以輕松地驗證用戶身份并控制其對網(wǎng)絡(luò)資源的訪問。同等重要的是,活動目錄還擔(dān)當(dāng)著系統(tǒng)集成和鞏固管理任務(wù)的集合點?;顒幽夸浱峁┝藢赪indows的用戶賬號、客戶、服務(wù)器和應(yīng)用程序進行管理的唯一點。同時,它也幫助組織機構(gòu)通過使用基于Windows的應(yīng)用程序和與Windows相兼容的設(shè)備對非Windows系統(tǒng)進行集成,從而實現(xiàn)鞏固目錄服務(wù)并簡化對整個網(wǎng)絡(luò)操作系統(tǒng)的管理。公司也可以使用活動目錄服務(wù)安全地將網(wǎng)絡(luò)系統(tǒng)擴展到Internet上?;顒幽夸浺虼耸宫F(xiàn)有網(wǎng)絡(luò)投資升值,同時,降低為使Windows網(wǎng)絡(luò)操作系統(tǒng)更易于管理、更安全、更易于交互所需的全部費用。活動目錄是微軟各種應(yīng)用軟件運行的必要和基礎(chǔ)的條件。下圖表示出活動目錄成為各種應(yīng)用軟件的中心。應(yīng)用Windows2012ServerAD的好處Windows2012AD簡化了管理,加強了安全性,擴展了互操作性。它為用戶、組、安全服務(wù)及網(wǎng)絡(luò)資源的管理提供了一種集中化的方法。應(yīng)用Windows2012AD之后,企業(yè)信息化建設(shè)者和網(wǎng)絡(luò)管理員可以從中獲得如下好處:1、方便管理,權(quán)限管理比較集中,管理人員可以較好的管理計算機資源。2、安全性高,有利于企業(yè)的一些保密資料的管理,比如一個文件只能讓某一個人看,或者指定人員可以看,但不可以刪/改/移等。3、方便對用戶操作進行權(quán)限設(shè)置,可以分發(fā),指派軟件等,實現(xiàn)網(wǎng)絡(luò)內(nèi)的軟件一起安裝。4、很多服務(wù)必須建立在域環(huán)境中,對管理員來說有好處:統(tǒng)一管理,方便在MS軟件方面集成,如ISAEXCHANGE(郵件服務(wù)器)、ISASERVER(上網(wǎng)的各種設(shè)置與管理)等。5、使用漫游賬戶和文件夾重定向技術(shù),個人賬戶的工作文件及數(shù)據(jù)等可以存儲在服務(wù)器上,統(tǒng)一進行備份、管理,用戶的數(shù)據(jù)更加安全、有保障。6、方便用戶使用各種資源。7、SMS(SystemManagementServer)能夠分發(fā)應(yīng)用程序、系統(tǒng)補丁等,用戶可以選擇安裝,也可以由系統(tǒng)管理員指派自動安裝。并能集中管理系統(tǒng)補?。ㄈ鏦indowsUpdates),不需每臺客戶端服務(wù)器都下載同樣的補丁,從而節(jié)省大量網(wǎng)絡(luò)帶寬。8、資源共享用戶和管理員可以不知道他們所需要的對象的確切名稱,但是他們可能知道這個對象的一個或多個屬性,他們可以通過查找對象的部分屬性在域中得到一個所有已知屬性相匹配的對象列表,通過域使得基于一個或者多個對象屬性來查找一個對象變得可能。9、管理A、域控制器集中管理用戶對網(wǎng)絡(luò)的訪問,如登錄、驗證、訪問目錄和共享資源。為了簡化管理,所有域中的域控制器都是平等的,你可以在任何域控制器上進行修改,這種更新可以復(fù)制到域中所有的其他域控制器上。B、域的實施通過提供對網(wǎng)絡(luò)上所有對象的單點管理進一步簡化了管理。因為域控制器提供了對網(wǎng)絡(luò)上所有資源的單點登錄,管理遠可以登錄到一臺計算機來管理網(wǎng)絡(luò)中任何計算機上的管理對象。在NT網(wǎng)絡(luò)中,當(dāng)用戶一次登陸一個域服務(wù)器后,就可以訪問該域中已經(jīng)開放的全部資源,而無需對同一域進行多次登陸。但在需要共享不同域中的服務(wù)時,對每個域都必須要登陸一次,否則無法訪問未登陸域服務(wù)器中的資源或無法獲得未登陸域的服務(wù)。10、可擴展性在活動目錄中,目錄通過將目錄組織成幾個部分存儲信息從而允許存儲大量的對象。因此,目錄可以隨著組織的增長而一同擴展,允許用戶從一個具有幾百個對象的小的安裝環(huán)境發(fā)展成擁有幾百萬對象的大型安裝環(huán)境。11、安全性域為用戶提供了單一的登錄過程來訪問網(wǎng)絡(luò)資源,如所有他們具有權(quán)限的文件、打印機和應(yīng)用程序資源。也就是說,用戶可以登錄到一臺計算機來使用網(wǎng)絡(luò)上另外一臺計算機上的資源,只要用戶具有對資源的合適權(quán)限。域通過對用戶權(quán)限合適的劃分,確定了只有對特定資源有合法權(quán)限的用戶才能使用該資源,從而保障了資源使用的合法性和安全性。12、可冗余性每個域控制器保存和維護目錄的一個副本。在域中,你創(chuàng)建的每一個用戶帳號都會對應(yīng)目錄的一個記錄。當(dāng)用戶登錄到域中的計算機時,域控制器將按照目錄檢查用戶名、口令、登錄限制以驗證用戶。當(dāng)存在多個域控制器時,他們會定期的相互復(fù)制目錄信息,域控制器間的數(shù)據(jù)復(fù)制,促使用戶信息發(fā)生改變時(比如用戶修改了口令),可以迅速的復(fù)制到其他的域控制器上,這樣當(dāng)一臺域控制器出現(xiàn)故障時,用戶仍然可以通過其他的域控制進行登錄,保障了網(wǎng)絡(luò)的順利運行。明確系統(tǒng)規(guī)劃目標(biāo)企業(yè)的Windows2012AD系統(tǒng)規(guī)劃構(gòu)建是為企業(yè)信息化建設(shè)服務(wù)的,需要達到以下戰(zhàn)略目標(biāo):圍繞企業(yè)的戰(zhàn)略發(fā)展需要,進行企業(yè)信息化建設(shè)系統(tǒng)規(guī)劃,滿足企業(yè)3-5年的業(yè)務(wù)發(fā)展對IT建設(shè)的要求;以業(yè)務(wù)為驅(qū)動,通過有效的信息系統(tǒng),加強信息共享和協(xié)同辦公,提高工作效率,降低成本;整合企業(yè)現(xiàn)有信息資產(chǎn),加強企業(yè)管理與監(jiān)控;從信息中挖掘知識,提高經(jīng)營決策與駕馭風(fēng)險的能力;推進知識管理理念,建立知識型企業(yè),增強企業(yè)的核心競爭力。Windows2012AD系統(tǒng)規(guī)劃實施的具體目標(biāo)如下:規(guī)劃和部署基于Windows2012AD的企業(yè)目錄服務(wù),首先實現(xiàn)用戶的單一登錄,保障網(wǎng)絡(luò)系統(tǒng)安全;通過AD實現(xiàn)用戶桌面的集中和自動管理,分發(fā)軟件補丁;進一步部署微軟的相關(guān)應(yīng)用平臺軟件,如實現(xiàn)基于Exchange2003的企業(yè)內(nèi)部郵件和協(xié)作服務(wù),
活動目錄設(shè)計方案為企業(yè)設(shè)計一個域,用戶的所有計算機(服務(wù)器和客戶機)全部加入到域,用戶實現(xiàn)單一登錄和管理員通過域組策略實現(xiàn)安全及桌面管理。AD架構(gòu)拓撲如下?;顒幽夸泝?yōu)勢計算機工作組管理和AD管理比較 對于基于MicrosoftWindows操作系統(tǒng)的計算機運行和管理在兩種模式下:工作組(workgroup)和域(domain)。 在工作組模式下,計算機處于一個孤立狀態(tài),使用計算機的用戶登錄帳號和計算機的管理均須在每臺計算機上創(chuàng)建或進行。見下圖。當(dāng)計算機超過20臺以上時,計算機的管理變得越來越困難,并且要為用戶創(chuàng)建越來越多的訪問網(wǎng)絡(luò)資源的帳號,用戶要記住多個訪問不同資源的帳號。而在域的模式下,用戶只需記住一個域帳號,即可登錄訪問域中的資源。并且管理員通過組策略,可以輕松配置用戶的桌面工作環(huán)境和加強計算機安全設(shè)置。域模式下所有的域帳號保存在域控制器的活動目錄數(shù)據(jù)庫中。見下圖。為什么要提供目錄服務(wù)對更加強大、透明且高度集成的目錄服務(wù)的不斷需求是由爆炸性增長的網(wǎng)絡(luò)計算所導(dǎo)致的。隨著局域網(wǎng)(LAN)、廣域網(wǎng)(WAN)規(guī)模與復(fù)雜性的不斷提高和這些網(wǎng)絡(luò)不斷被連入Internet,以及應(yīng)用程序?qū)W(wǎng)絡(luò)的依賴程度不斷增強并不斷被鏈接到協(xié)作企業(yè)網(wǎng)中的其它系統(tǒng)上,對目錄服務(wù)的需求也日漸增多?;谙铝性颍夸浄?wù)成為擴展的計算機系統(tǒng)中最重要的部件之一:簡化管理提供對用戶、應(yīng)用程序和設(shè)備的單一、一致性的管理點。加強安全性向用戶提供單一的網(wǎng)絡(luò)資源登錄,為管理員提供強大、一致性的工具以使他們能夠管理為內(nèi)部臺式機用戶、遠程撥號用戶以及外部電子商務(wù)客戶提供的安全服務(wù)。擴展的互操作性向所有活動目錄特性提供基于標(biāo)準(zhǔn)的存取方式以及對通用目錄的同步支持。目錄服務(wù)兼任管理工具和用戶工具。隨著網(wǎng)絡(luò)中對象數(shù)量的增加,目錄服務(wù)變得必不可少。目錄服務(wù)在一個龐大的分布式系統(tǒng)中發(fā)揮著網(wǎng)絡(luò)集線器的作用。致力于這些需求,Windows2000服務(wù)器版引入了活動目錄--即一套用于改進Windows網(wǎng)絡(luò)操作系統(tǒng)管理、安全性和互操作性的完整的目錄服務(wù)集。下圖描述了活動目錄帶來的計算機安全和管理上的一些最重要的好處。AD簡化了計算機系統(tǒng)管理分布式系統(tǒng)常常導(dǎo)致時間的消耗和管理的冗余。當(dāng)公司在他們的基礎(chǔ)結(jié)構(gòu)上添加應(yīng)用程序并雇用新的職員時,他們需要適當(dāng)?shù)叵蚋髯烂嫦到y(tǒng)分發(fā)軟件并管理多個應(yīng)用程序目錄。通過在單一的位置管理用戶、組和網(wǎng)絡(luò)資源以及分發(fā)軟件和管理桌面系統(tǒng)配置,活動目錄可以顯著降低公司的管理費用。例如,活動目錄在同一個位置管理Windows用戶和MicrosoftExchange郵箱信息?;谙铝性颍顒幽夸浛梢詮囊韵路矫鎺椭竞喕芾恚合哂喙芾砣蝿?wù)提供對Windows用戶賬號、客戶、服務(wù)器和應(yīng)用程序以及現(xiàn)存目錄同步能力進行單一點管理。降低桌面系統(tǒng)的行程針對用戶在公司中所擔(dān)當(dāng)?shù)慕巧詣酉蚱浞职l(fā)軟件,以減少或消除系統(tǒng)管理員為軟件安裝和配置而安排的多次行程。更好的實現(xiàn)IT資源的最大化安全地將管理功能分派到組織機構(gòu)的所有層次上。降低總體擁有成本(TCO)通過使網(wǎng)絡(luò)資源容易被定位、配置和使用來簡化對文件和打印服務(wù)的管理和使用。加強安全性強大且一致的安全服務(wù)對企業(yè)網(wǎng)絡(luò)而言是必不可少的。管理用戶驗證和訪問控制的工作往往單調(diào)乏味且容易出錯?;顒幽夸浖羞M行管理并加強了與組織機構(gòu)的商業(yè)過程一致、且基于角色的安全性。例如,對多身份驗證協(xié)議(如Kerberos,認證以及由靈活的訪問控制模型組成的智能卡)的支持實現(xiàn)了對于內(nèi)部桌面系統(tǒng)用戶、遠程撥號用戶和外部電子商務(wù)客戶強大且一致的安全服務(wù)。活動目錄使用以下方法增強安全性:改進了密碼的安全性和管理通過向網(wǎng)絡(luò)資源提供單一的集成、高性能且對終端用戶透明的安全服務(wù)。保證桌面系統(tǒng)的功能性通過根據(jù)終端用戶角色鎖定桌面系統(tǒng)配置來防止對特定客戶主機操作進行訪問,例如軟件安裝或注冊項編輯。加速電子商務(wù)的部署通過提供對安全的Internet標(biāo)準(zhǔn)協(xié)議和身份驗證機制的內(nèi)建支持,如Kerberos,公開密鑰基礎(chǔ)設(shè)施(PKI)和安全套接字協(xié)議層(SSL)之上的輕便目錄訪問協(xié)議(LDAP)。緊密的控制安全性通過對目錄對象和構(gòu)成他們的單獨數(shù)據(jù)元素設(shè)置訪問控制特權(quán)。重要組策略介紹軟件分發(fā)策略通過組策略可以為域中的計算機或用戶自動分發(fā)帶有msi包的軟件。見下圖。將用戶的個人數(shù)據(jù)從pc機上重定向到服務(wù)器上重定向有利于數(shù)據(jù)的安全以及集中備份。見下圖。安全類組策略密碼策略“強制密碼歷史”設(shè)置確定在重用舊密碼之前必須與用戶帳戶相關(guān)的唯一新密碼的數(shù)量。配置“密碼最長使用期限”設(shè)置,以便密碼在環(huán)境需要時過期?!懊艽a最短使用期限”設(shè)置確定了用戶更改密碼之前必須使用密碼的天數(shù)?!白疃堂艽a長度”設(shè)置確保密碼至少包含指定數(shù)量的字符?!懊艽a必須符合復(fù)雜性要求策略”選項檢查所有新密碼以確保它們符合強密碼的基本要求。賬號鎖定策略帳戶鎖定策略是一項WindowsServer2012安全功能,它在指定時間段內(nèi)多次登錄嘗試失敗后鎖定用戶帳戶。允許的嘗試次數(shù)和時間段是由為安全策略鎖定設(shè)置配置的值決定的。用戶不能登錄到鎖定的帳戶?!皫翩i定時間”設(shè)置確定在未鎖定帳戶且用戶可以嘗試再次登錄之前所必須經(jīng)歷的時間長度“帳戶鎖定閾值”設(shè)置確定用戶在帳戶鎖定之前可以嘗試登錄帳戶的次數(shù)?!皬?fù)位帳戶鎖定計數(shù)器”設(shè)置決定了“帳戶鎖定閾值”復(fù)位為0以及帳戶被解鎖之前所必須經(jīng)過的時間長度。禁用本地管理員帳號 默認情況下,每臺加入到域中的計算機都有Administrator和Guest兩個帳號,Administrator帳號在安裝時口令為空。用戶使用這個帳號權(quán)限過大,因此一般不會給用戶使用這個管理員帳號,最好的做法就是通過組策略禁用這個帳號,用戶使用域的帳號。將域帳號加入到每臺PC機的本地PowerUsers組中 創(chuàng)建域帳號時,默認情況下這個帳號只屬于DomainUsers組中,該組屬于每臺PC機的本地Users組。本地Users組中的成員權(quán)限受到嚴(yán)格限制,比如共享文件夾,安裝打印機驅(qū)動程序等工作的權(quán)限都沒有。而經(jīng)常有用戶需要這些權(quán)限,可以通過組策略來實現(xiàn)。禁用系統(tǒng)服務(wù)我們?yōu)閮?yōu)化系統(tǒng)和安全性考慮,經(jīng)常要禁用計算機的一些無需運行的服務(wù)。我們可以通過組策略把這些服務(wù)禁用掉。軟件限制策略 對一些規(guī)定不得使用的軟件可以通過組策略來禁用:路徑規(guī)則:特殊文件路徑下的軟件不得使用:如programfiles下的某些軟件證書規(guī)則:只有系統(tǒng)管理員頒發(fā)過證書的軟件可以使用,其他軟件禁止使用哈希規(guī)則:對禁止使用的軟件通過哈希運算得到這個軟件的身份指紋,在組策略里設(shè)置只要是符合身份指紋鑒定的軟件就進行限制網(wǎng)絡(luò)連接控制策略 用戶經(jīng)常會通過改變“網(wǎng)絡(luò)連接”中的設(shè)置,繞過企業(yè)防火墻,建立自己的上網(wǎng)鏈路,比如電話撥號上網(wǎng)。這樣會帶來很大的安全隱患??梢酝ㄟ^組策略限制用戶不得改變網(wǎng)絡(luò)連接中的配置,不允許用戶通過其他方式連接互聯(lián)網(wǎng)。計算機從工作組加入到域可能存在的問題和解決方法把計算機從工作組模式加入到域模式可能會出現(xiàn)以下二個問題問題:一些軟件不能使用。有一些軟件以登錄者的管理員權(quán)限帳號運行,當(dāng)計算機加入到域并對登錄帳號做了權(quán)限設(shè)置,或禁用了本地管理員帳號,這些需要管理員權(quán)限運行的軟件就有可能不能正常運行。用戶桌面環(huán)境發(fā)生改變。由于加入域前后用戶是用不同的帳號登錄的,因此用戶以前的桌面環(huán)境無法使用。具體有桌面上放置的資料“我的文檔”等放置的資料配置好的“網(wǎng)絡(luò)打印機”IE里設(shè)置好的“網(wǎng)站收藏夾”等。解決方法:對問題1我們可以按以下兩個方法來解決:把域帳號加入到本地管理員組卸載軟件,用域帳號登錄并安裝對問題2針對不同的問題分別解決如下:把本地老帳號下的桌面內(nèi)容全部備份下來,復(fù)制到新域帳號的桌面把本地老帳號下的“我的文檔”內(nèi)容全部備份下來,復(fù)制到新域帳號的“我的文檔”重新連接和創(chuàng)建“網(wǎng)絡(luò)打印機”用特殊軟件把老帳號IE里的“網(wǎng)站收藏夾”備份下來,然后恢復(fù)到新域帳號中
活動目錄方案實施AD域命名和DNS的規(guī)劃Windows2012AD域命名和DNS的規(guī)劃之所以放在首要地位,是因為AD作為整個IT架構(gòu)的基礎(chǔ),不應(yīng)該輕易被調(diào)整。盡管安裝后,Windows2012AD仍然可以重組和改名,這一點比Windows2000AD有了很大的進步,但是我們?nèi)匀唤ㄗh做一個長遠規(guī)劃,使得域命名和DNS服務(wù)能夠滿足企業(yè)3-5年的需求,盡量避免配置好后改作調(diào)整地巨大人力物力浪費。此外,部署Windows2012AD,還必須確定DNS服務(wù)器,確保它們滿足域控制器定位器系統(tǒng)的要求。一個支持AD的DNS至少需要滿足以下要求:必須支持服務(wù)定位資源記錄(SRV)應(yīng)該支持DNS動態(tài)更新協(xié)議(RFC2136)Windows2012Server提供的DNS服務(wù)同時滿足這些要求,并且還提供下列重要的附加功能和改進:ActiveDirectory集成:DNS服務(wù)把區(qū)域數(shù)據(jù)存儲在目錄中,使得DNS復(fù)制創(chuàng)建多個主域,也減少了對維護一個單獨的DNS區(qū)域傳送復(fù)制拓撲的要求。安全動態(tài)更新:使得一個管理員可以精確地控制哪些計算機可以更新哪些名稱,并防止未經(jīng)授權(quán)的計算機從DNS獲得現(xiàn)有的名稱。條件轉(zhuǎn)發(fā):根據(jù)不同的對外訪問的域名后綴,可以將用戶的DNS名稱解析請求轉(zhuǎn)發(fā)到不同的外部DNS服務(wù)器。存根區(qū)域:可以定時地刷新和外部DNS服務(wù)器的連接,及時發(fā)現(xiàn)那些可能有故障、不再響應(yīng)用戶請求的服務(wù)器,提高用戶DNS名稱解析的效率。確定AD邏輯結(jié)構(gòu)Windows2012活動目錄的邏輯結(jié)構(gòu)由三個基本組件組成:森林、域和OU。確定森林規(guī)劃森林是Windows2012AD域的集合。在很多情況下,單一森林就足夠了。單一森林環(huán)境易于建立和維護,森林間的域自動建立雙向可傳遞內(nèi)部信任關(guān)系,不要求手動建立外部信任配置,在安裝Exchange2012Server等應(yīng)用程序時,只需應(yīng)用一次架構(gòu)更改即可影響所有域。如果各個單位有下列管理要求,就必須建立一個以上的森林:不互相信任管理員。希望限制信任關(guān)系范圍。不同意某種森林架構(gòu)更改策略。架構(gòu)更改、配置更改會影響到森林中所有的域。如果單位不同意一個公共架構(gòu)策略,它們就不能共存于同一個森林中。制定域規(guī)劃規(guī)劃域結(jié)構(gòu)時,始終遵循“簡單是最好的投資”的設(shè)計原則,盡管增加某些復(fù)雜結(jié)構(gòu)可以增值,但是簡單的結(jié)構(gòu)更易于說明、維護和調(diào)試。一開始時總是僅考慮每個森林中僅有一個域,然后為每一個增加的新域提供詳細的理由,確保添加到森林中的域都是有益的,因為它們會帶來相應(yīng)的管理開銷而導(dǎo)致一定程度的成本上升。創(chuàng)建更多的域的三種可能的原因是:希望實現(xiàn)相對分散式得IT管理模式:多域結(jié)構(gòu)更容易進行相對獨立的管理、委派和權(quán)限控制。另外,不同的用戶帳戶在一個域內(nèi)是不能出現(xiàn)重名的,多域之間就沒有限制。對于人士管理相對獨立的集團下屬公司,多域結(jié)構(gòu)具有更好的靈活性。希望實現(xiàn)不同管理策略要求:包括用戶口令策略、賬戶鎖定策略和EFS加密策略。例如,要求某些人必須取8個字符以上的口令,而其它人不做限制。為此,必須將這些需要不同安全策略的用戶放在單獨的域中。希望減小WAN上的復(fù)制流量:域控制器域間復(fù)制將產(chǎn)生比域內(nèi)復(fù)制少的多的流量。如果公司很大,具有跨地區(qū)的組織結(jié)構(gòu),且處于同一個森林內(nèi),則在不同地理位置上的機構(gòu)可能使用慢速的WAN鏈路連接。為減少WAN上的DC復(fù)制流量,可以在不同的地理位置設(shè)置不同的域。根據(jù)以上考慮,我們建議,企業(yè)Windows2012AD域邏輯結(jié)構(gòu)可以采用“單森林、單域”的結(jié)構(gòu)設(shè)計。確定AD物理結(jié)構(gòu)考慮到企業(yè)的地理分布情況,應(yīng)該考慮使用多站點拓撲來規(guī)劃Windows2012AD物理結(jié)構(gòu)。從繪制基本的網(wǎng)絡(luò)拓撲布局圖著手工作,繪制所有可能的站點(Site)和站點鏈接(SiteLink)。速度快(10Mbps以上)、連接可靠的LAN網(wǎng)絡(luò)總是放置在單站點中。
站點定義為一組通過快速、可靠的線路連接起來的IP子網(wǎng)。一般而言,具有LAN速度或更快速度的網(wǎng)絡(luò)被認為是快速網(wǎng)絡(luò)。窄帶的、或不太可靠的連接可以使用站點鏈接建立多站點網(wǎng)絡(luò)。
通常,WAN連接一般被認為是窄帶連接。如果建立站點鏈接,實現(xiàn)多站點網(wǎng)絡(luò)模式,則:客戶計算機在登錄到域時首先試圖與位于同一站點的DC通信;Windows2012AD復(fù)制使用站點拓撲產(chǎn)生復(fù)制連接。規(guī)劃OU結(jié)構(gòu)和組策略組織單元(OU)是一個用來在域中創(chuàng)建分層管理單位的容器。在域中創(chuàng)建OU結(jié)構(gòu)時,必須注意始終按照“誰管理什么”的原則,從IT管理的需要出發(fā),劃分管理模型的結(jié)構(gòu),而不是簡單按照公司業(yè)務(wù)單位和它的不同分支、部門和項目來創(chuàng)建OU結(jié)構(gòu)。考慮OU的下列特性是很重要的:OU可以是嵌套的。
一個OU可以包含子OU,使得可以在域中創(chuàng)建一個分層的目錄樹結(jié)構(gòu)。但是嵌套太多將導(dǎo)致管理復(fù)雜和低效,所以建議以二級嵌套為最理想,最多不應(yīng)超過四級嵌套。OU可以用來委派管理和控制對目錄對象的訪問。不能使OU成為安全組的成員,也不能因為用戶被委派管理OU或駐留在OU中而自動獲得訪問資源的權(quán)限??梢栽贠U上實施組策略。
組策略是基于Windows2012注冊表的修改,從而集中控制用戶和計算機的工作環(huán)境、桌面配置、軟件自動安裝和刪除的管理手段。一般而言,安全策略必須在域級別實施,其它策略主要在OU級別實施。不鼓勵用戶在OU結(jié)構(gòu)中瀏覽。
沒有必要設(shè)計一個吸引最終用戶的OU結(jié)構(gòu)。盡管用戶有可能瀏覽一個域的OU結(jié)構(gòu),但對于用戶查找資源來說,這并不是一個最有效的方法。在目錄中查找資源的最有效的方法是查詢?nèi)志庝?。有兩個理由需要在Windows2012域中創(chuàng)建OU結(jié)構(gòu):創(chuàng)建OU以管理對象和委派授權(quán)。為組策略創(chuàng)建OU。一個完全為管理和委派而設(shè)計的OU結(jié)構(gòu)與一個完全為組策略而設(shè)計的OU結(jié)構(gòu)是不同的。OU結(jié)構(gòu)將很快變得相當(dāng)復(fù)雜。每次添加一個OU到規(guī)劃中時,要記下創(chuàng)建的具體原因。這有助于確保每個OU有一個目的,并將幫助閱讀規(guī)劃的人理解結(jié)構(gòu)所基于的理由。
創(chuàng)建OU以管理和委派在單位中委派管理有一些好處。以前,在單位中除了IT之外的組可能必須將更改請求提交到高級管理員,高級管理員代表他們進行更改。委派特定的權(quán)限可以將責(zé)任分散到單位中的各個組,使您可以將必須有高級訪問權(quán)限的用戶的數(shù)量降到最少。權(quán)限受到限制的管理員所發(fā)生的事故或錯誤所產(chǎn)生的影響只限于他們負責(zé)的范圍。這一工作包括以下步驟:確定創(chuàng)建何種OU 創(chuàng)建的OU結(jié)構(gòu)將完全取決于管理是如何在單位中委派的。委派管理的三種方法是:按物理位置、按業(yè)務(wù)單位(公司部門)、按角色或任務(wù)。三種方法經(jīng)常結(jié)合使用。修改訪問控制列表: 修改OU的訪問控制列表(ACL)可以授予一個組對OU的特定權(quán)限,從而實現(xiàn)對該OU的委派管理。盡量委派權(quán)限給組賬戶而不是單獨的用戶,如果可能,委派到本地組而不是全局組或通用組。委派步驟。從域中的默認結(jié)構(gòu)開始,按下列主要步驟創(chuàng)建OU結(jié)構(gòu):通過委派完全控制創(chuàng)建OU的頂層;創(chuàng)建OU的下層來委派每個對象類別控制。創(chuàng)建OU支持組策略使用Windows2012,可以使用組策略定義用戶和計算機配置,并將這些策略與站點、域或OU關(guān)聯(lián)。是否要創(chuàng)建附加的OU以支持組策略的應(yīng)用取決于制定的策略以及所選擇的實現(xiàn)方案,包括:定義客戶計算機的管理與桌面配置標(biāo)準(zhǔn)定義軟件的自動分發(fā)特殊組策略應(yīng)用配置與管理在Windows2012中,組策略設(shè)置是管理員啟用集中更改和配置客戶計算機管理的主要方法??捎媒M策略為某個特定的用戶組和計算機組創(chuàng)建指定的安全限制和桌面環(huán)境配置。Windows2012組策略有100多種與安全有關(guān)的設(shè)置和450多種基于注冊表的設(shè)置,為您管理用戶計算機環(huán)境提供了眾多選項。Windows2003組策略:可根據(jù)活動目錄定義或在計算機本地進行定義;可用Microsoft管理控制臺(MMC)或*.adm文件保存和管理;是安全的;不會在實施的策略改變時把設(shè)置留在用戶配置文件中;可應(yīng)用于指定的活動目錄容器(站點、域與OU)中的用戶或計算機;可由安全組的用戶或計算機成員進一步控制;可用來配置多種類型的安全設(shè);可用于實施登錄、注銷、啟動及關(guān)閉腳本;可用于安裝和維護軟件;可用于重定向文件夾(如MyDocuments和ApplicationData文件夾);可用于在MicrosoftInternetExplorer中執(zhí)行維護??梢园聪铝腥齻€步驟配置和管理組策略:管理站點、域或O
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 小紅書:小紅書官方直播間三招教你賬戶成長
- 九年級化學(xué)下冊 第九章 現(xiàn)在生活與化學(xué)9.2 化學(xué)合成材料說課稿 (新版)粵教版
- 2024秋九年級語文上冊 第六單元 22《范進中舉》教學(xué)設(shè)計 新人教版
- 八年級道德與法治下冊 第一單元 堅持憲法至上 第一課 維護憲法權(quán)威 第1框 公民權(quán)利的保障書教案 新人教版
- 2024-2025學(xué)年高中歷史 第四單元 雅爾塔體制下的“冷戰(zhàn)”與和平 第15課“冷戰(zhàn)”的形成(1)教學(xué)教案 岳麓版選修3
- 2024-2025學(xué)年高中語文 第四單元 古代人物傳記 第12課 蘇武傳教案 新人教版必修4
- 2023三年級英語下冊 Unit 1 Let's go to school Lesson 1教案 人教精通版(三起)
- 租賃橋面板合同(2篇)
- 頤和園課件 總結(jié)
- 蘇教版江蘇省東臺市2023-2024學(xué)年高二上學(xué)期期末數(shù)學(xué)試題
- 食堂員工培訓(xùn)內(nèi)容-食堂從業(yè)人員培訓(xùn)資料
- 諾如病毒幼兒園知識講座
- 電子商務(wù)平臺2024年電子商務(wù)平臺選擇與搭建指南
- 2024年廣發(fā)證券股份有限公司招聘筆試參考題庫含答案解析
- 50音圖-な行課件【知識精講精研】高中日語新編日語第一冊
- 電子商務(wù)與新零售
- 2023年浙江嘉興南湖區(qū)教育研究培訓(xùn)中心選聘研訓(xùn)員考前自測高頻考點模擬試題(共500題)含答案詳解
- 重慶市2023-2024學(xué)年九年級上學(xué)期11月期中物理試題
- 2024年中郵保險公司招聘筆試參考題庫含答案解析
- 客車轉(zhuǎn)向架-系列客車轉(zhuǎn)向架(車輛構(gòu)造檢修課件)
- 護理職業(yè)生涯人物訪談報告
評論
0/150
提交評論