活動(dòng)目錄域控解決方案

活動(dòng)目錄解決方案成都伊登軟件技術(shù)有限公司

二O一七年九月八日TOC\o"1-5"\h\z\o"CurrentDocument"概述 2背景介紹 2現(xiàn)狀描述 2問題分析 2\o"CurrentDocument"總體功能需求 3\o"CurrentDocument"集中的組織與管理網(wǎng)絡(luò)內(nèi)的服務(wù)器及客戶端 3\o"CurrentDocument"統(tǒng)一的數(shù)據(jù)組織與資源管理 3\o"CurrentDocument"單一登錄的網(wǎng)絡(luò)環(huán)境 .4\o"CurrentDocument"集中化的軟件部署與運(yùn)行限制 .4\o"CurrentDocument"功能強(qiáng)大并易于擴(kuò)展的IT基礎(chǔ)架構(gòu) .4\o"CurrentDocument"解決方案建議 4概念描述 4建設(shè)內(nèi)容 6建立基礎(chǔ)平臺(tái) .6整合現(xiàn)有信息技術(shù)環(huán)境 6建設(shè)策略 6\o"CurrentDocument"解決方案實(shí)施 7AD域命名和DNS的規(guī)劃 .7確定AD邏輯結(jié)構(gòu) 7確定AD物理結(jié)構(gòu) 9規(guī)劃OU結(jié)構(gòu)和組策略 .9創(chuàng)建OU以管理和委派 10創(chuàng)建OU支持組策略 11應(yīng)用組策略選項(xiàng) 12\o"CurrentDocument"硬件設(shè)備選型建議 13\o"CurrentDocument"解決方案優(yōu)勢(shì) 14為什么選擇微軟 14WindowsServer2008R2活動(dòng)目錄的優(yōu)點(diǎn) 14\o"CurrentDocument"服務(wù)內(nèi)容 17可行性調(diào)查 17\o"CurrentDocument"規(guī)劃活動(dòng)目錄部署方案 17\o"CurrentDocument"部署活動(dòng)目錄服務(wù) 18\o"CurrentDocument"制訂活動(dòng)目錄管理維護(hù)規(guī)范 18\o"CurrentDocument"工程師定時(shí)上門進(jìn)行活動(dòng)目錄日常維護(hù) 18\o"CurrentDocument"處理活動(dòng)目錄緊急情況 18整理和存檔資料 19培訓(xùn)系統(tǒng)管理員 19\o"CurrentDocument"服務(wù)質(zhì)量保證 20部分成功案例 錯(cuò)誤！未定義書簽。1概述背景介紹本解決方案將從XX的IT環(huán)境現(xiàn)狀出發(fā)，分析現(xiàn)有環(huán)境，提出XX關(guān)心的關(guān)鍵問題及未來(lái)的挑戰(zhàn)，并根據(jù)相關(guān)問題詳細(xì)闡述對(duì)應(yīng)解決方案，幫助XX快速解決問題，以信息技術(shù)提升企業(yè)生產(chǎn)力。現(xiàn)狀描述當(dāng)前國(guó)內(nèi)企業(yè)內(nèi)部網(wǎng)絡(luò)環(huán)境多數(shù)仍為松散的管理狀態(tài)，IT環(huán)境中硬件設(shè)備伴隨著組織中人員數(shù)量的增加每年都在增長(zhǎng)，大力的信息化建設(shè)使硬件和應(yīng)用軟件單純從技術(shù)層面上講都達(dá)到了較高的水平，但實(shí)際環(huán)境中無(wú)論是工作用桌面計(jì)算機(jī)還是服務(wù)器都是采用工作組模型，各自獨(dú)立。IT環(huán)境中的軟硬件資源都無(wú)法實(shí)現(xiàn)充分利用。經(jīng)歷了大規(guī)模網(wǎng)絡(luò)和硬件投資建設(shè)之后，多數(shù)企業(yè)的信息技術(shù)部門開始轉(zhuǎn)向關(guān)心信息化建設(shè)投資的“效益”，一一究竟過去投入建成的這些設(shè)備，能夠形成哪些應(yīng)用，帶來(lái)什么效益？這已經(jīng)成為信息技術(shù)部門與企業(yè)管理人員最為關(guān)心的重點(diǎn)問題。從信息技術(shù)部門人員來(lái)說，如何整合現(xiàn)有IT環(huán)境中的資源，將IT環(huán)境的管理由松散方式變?yōu)榧泄芾淼姆绞剑瑴p輕日常管理維護(hù)負(fù)擔(dān)，提升IT生產(chǎn)力。從最終用戶來(lái)說，如何能夠?qū)崿F(xiàn)單一的身份驗(yàn)證，快速的訪問企業(yè)內(nèi)部的各種資源，較少的宕機(jī)時(shí)間也是最大的愿望。問題分析由于歷史和技術(shù)發(fā)展方面的原因，現(xiàn)有企業(yè)內(nèi)部的IT環(huán)境是逐步建立起來(lái)的，而且在早期建立時(shí)由于沒有整體架構(gòu)的科學(xué)指導(dǎo)，導(dǎo)致目前的松散型IT環(huán)境越來(lái)越“臃腫〃，客戶端、服務(wù)器各自獨(dú)立，形成一個(gè)個(gè)信息‘孤島〃，無(wú)法統(tǒng)一管理。在松散型管理的系統(tǒng)網(wǎng)絡(luò)環(huán)境中，一旦某個(gè)節(jié)點(diǎn)出現(xiàn)問題需要定位出現(xiàn)問題的位置，并需要繁瑣費(fèi)時(shí)的恢復(fù)過程來(lái)實(shí)現(xiàn)修復(fù)。生產(chǎn)系統(tǒng)應(yīng)用軟件的大規(guī)模部署需要相關(guān)人員在各個(gè)計(jì)算機(jī)上逐一手工安裝，極大耗費(fèi)人力與時(shí)間。企業(yè)內(nèi)部的各種資源存在于員工的客戶端桌面計(jì)算機(jī)，服務(wù)器，以及其他各種設(shè)備之中，用戶需要獲取相關(guān)資源需要首先確定資源在哪一臺(tái)計(jì)算機(jī)中，并且要針對(duì)不同資源提供不同的登錄憑據(jù)（如用戶名/密碼等）來(lái)訪問。另外存在數(shù)據(jù)資源重復(fù)現(xiàn)象，造成硬件資源的不合理占用。信息技術(shù)部門制定的IT管理規(guī)范無(wú)法完全被最終用戶執(zhí)行，IT管理規(guī)范的制訂是為了防止信息系統(tǒng)出現(xiàn)如安全問題等不穩(wěn)定狀況，但松散型管理模式的IT環(huán)境中由于信息技術(shù)人員無(wú)法監(jiān)控與統(tǒng)一管理企業(yè)內(nèi)部的桌面計(jì)算機(jī)與服務(wù)器等，該規(guī)范變?yōu)橐患埧瘴?無(wú)法被貫徹實(shí)施?，F(xiàn)階段，部分企業(yè)對(duì)IT環(huán)境的發(fā)展仍然缺乏整體和長(zhǎng)遠(yuǎn)考慮，還是按照老思路，簡(jiǎn)單考慮硬件及應(yīng)用軟件的采購(gòu)與建設(shè)，照此建設(shè)思路走下去，將會(huì)使目前的IT環(huán)境更加“臃腫”，更難于管理，最終導(dǎo)致生產(chǎn)力的降低。2總體功能需求隨著以上闡述的問題在企業(yè)內(nèi)部IT環(huán)境中越來(lái)越突出，企業(yè)存在以下需求：集中的組織與管理網(wǎng)絡(luò)內(nèi)的服務(wù)器及客戶端通過對(duì)網(wǎng)絡(luò)內(nèi)的服務(wù)器與客戶端計(jì)算機(jī)進(jìn)行集中式的管理，有助于消除早期“松散型”管理帶來(lái)的安全漏洞及其他影響IT系統(tǒng)穩(wěn)健運(yùn)行問題，能夠保證企業(yè)制訂的IT管理規(guī)范可以通過計(jì)算機(jī)的邏輯方式派發(fā)給各個(gè)被管理的節(jié)點(diǎn)，并且通過集中管理的模式可以有效降低客戶端的維護(hù)工作量。統(tǒng)一的數(shù)據(jù)組織與資源管理實(shí)現(xiàn)統(tǒng)一的數(shù)據(jù)組織，如共享文件夾的發(fā)布，共享打印機(jī)的發(fā)布等等，并且能夠提供較為簡(jiǎn)單的信息檢索方式，快速查詢并定為所需的各種資源，實(shí)現(xiàn)資源的高效利用。另外統(tǒng)一的數(shù)據(jù)組織與資源管理可以有效減少數(shù)據(jù)冗余與資源浪費(fèi)，減輕IT環(huán)境的維護(hù)難度，提升企業(yè)生產(chǎn)力。單一登錄的網(wǎng)絡(luò)環(huán)境企業(yè)內(nèi)的普通員工計(jì)算機(jī)應(yīng)用能力有限，如何使員工一次登錄計(jì)算機(jī)后就可以訪問其有權(quán)限訪問的各種資源是提升生產(chǎn)效率，對(duì)于普通員工來(lái)說更能感受到應(yīng)用信息技術(shù)能夠帶來(lái)更加快捷的工作效率，有助于提升信息系統(tǒng)的使用率。集中化的軟件部署與運(yùn)行限制企業(yè)希望在大規(guī)模部署某個(gè)應(yīng)用軟件時(shí)可以避免手工逐一安裝的低效率模式，而采用服務(wù)器/客戶端的網(wǎng)絡(luò)分發(fā)模式，并能對(duì)軟件的版本更新做到一定控制，并且可以制定哪些軟件可以被安裝在哪些用戶的計(jì)算機(jī)上。通過對(duì)軟件的運(yùn)行限制，限制客戶端計(jì)算機(jī)上所運(yùn)行的應(yīng)用軟件，使工作用計(jì)算機(jī)僅可以運(yùn)行特定應(yīng)用程序，與工作無(wú)關(guān)的應(yīng)用程序?qū)?huì)被禁止運(yùn)行，提升系統(tǒng)安全性與最大化企業(yè)IT系統(tǒng)效能。功能強(qiáng)大并易于擴(kuò)展的IT基礎(chǔ)架構(gòu)企業(yè)希望現(xiàn)有的IT基礎(chǔ)架構(gòu)能夠提供較強(qiáng)的功能，如安全的身份驗(yàn)證，資源整合，軟硬件集中監(jiān)控、管理等，并且希望該基礎(chǔ)架構(gòu)支持較多的上層應(yīng)用，具有較強(qiáng)的可擴(kuò)展性，在未來(lái)的幾年中可以在現(xiàn)有底層IT架構(gòu)上實(shí)現(xiàn)更多的價(jià)值。實(shí)現(xiàn)IT投資的保值。3解決方案建議基于上述情況，結(jié)合國(guó)內(nèi)外企業(yè)信息化的發(fā)展趨勢(shì)和經(jīng)驗(yàn)，同時(shí)參考IT技術(shù)的現(xiàn)有能力和發(fā)展走向，建議貴公司統(tǒng)籌安排、統(tǒng)一規(guī)劃，通過分步實(shí)施、集中建設(shè)的方式，構(gòu)建一個(gè)集中、統(tǒng)一、互聯(lián)互通高可管理性的基于活動(dòng)目錄的企業(yè)核心IT基礎(chǔ)架構(gòu)。概念描述活動(dòng)目錄是WindowsServer網(wǎng)絡(luò)體系結(jié)構(gòu)中一個(gè)基礎(chǔ)且不可分割的部分。它提供了一套為分布式網(wǎng)絡(luò)環(huán)境設(shè)計(jì)的目錄服務(wù)，使得組織機(jī)構(gòu)可以有效地對(duì)有關(guān)網(wǎng)絡(luò)資源和用戶的信息進(jìn)行共享和管理。另外，目錄服務(wù)在網(wǎng)絡(luò)安全方面也扮演著中心授權(quán)機(jī)構(gòu)的角色，從而使操作系統(tǒng)可以輕松地驗(yàn)證用戶身份并控制其對(duì)網(wǎng)絡(luò)資源的訪問。

■蟲至■第有知indjws 務(wù)密■打印收,共享文件■白虎書■電子有務(wù)■州戶注冊(cè)■盅務(wù)參定義■單點(diǎn)延錄■應(yīng)題指定的目承詰自■很有語(yǔ)劫目錄■旨埋能力■安全隹■互排作住“基于活動(dòng)目錄的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)”建設(shè)方案中，不僅要建設(shè)一系列豐富的，互聯(lián)的底層基礎(chǔ)架構(gòu)，同時(shí)還將構(gòu)建集中統(tǒng)一的軟件基礎(chǔ)設(shè)施、完整互通的基礎(chǔ)數(shù)據(jù)庫(kù)，無(wú)縫整合現(xiàn)有信息應(yīng)用系統(tǒng)，并建立“企業(yè)信息技術(shù)基礎(chǔ)架構(gòu)一一活動(dòng)目錄”與外部信息系統(tǒng)的互聯(lián)互通機(jī)制。■蟲至■第有知indjws 務(wù)密■打印收,共享文件■白虎書■電子有務(wù)■州戶注冊(cè)■盅務(wù)參定義■單點(diǎn)延錄■應(yīng)題指定的目承詰自■很有語(yǔ)劫目錄■旨埋能力■安全隹■互排作住建設(shè)內(nèi)容根據(jù)“基于活動(dòng)目錄的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)”的建設(shè)定位，我們?cè)O(shè)計(jì)了“基于活動(dòng)目錄的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)”的整體功能框架，為實(shí)現(xiàn)“基于活動(dòng)目錄的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)”的建設(shè)目標(biāo)提供應(yīng)用功能基礎(chǔ)。建立基礎(chǔ)平臺(tái)選擇合適的硬件及軟件來(lái)準(zhǔn)備用于目錄服務(wù)的服務(wù)器，硬件性能要盡量強(qiáng)勁，以滿足日后日益增加的客戶端連接處理數(shù)量；軟件要盡量選擇較新版本，以獲取最新的技術(shù)支持及更多新特性。整合現(xiàn)有信息技術(shù)環(huán)境整合現(xiàn)有信息技術(shù)環(huán)境，就是將客戶端與服務(wù)器由現(xiàn)有的工作組模式的環(huán)境平滑遷移至基于活動(dòng)目錄的域模式，統(tǒng)一管理及身份驗(yàn)證信息，將信息統(tǒng)一由服務(wù)器發(fā)布，減少信息孤島，增強(qiáng)信息技術(shù)易用性和安全性。建設(shè)策略“企業(yè)信息技術(shù)基礎(chǔ)架構(gòu)一活動(dòng)目錄”的建設(shè)，是一項(xiàng)建設(shè)完成后需要長(zhǎng)期穩(wěn)定使用的工程，需要依靠一個(gè)可持續(xù)發(fā)展的戰(zhàn)略合作伙伴的支持。因此，建議聯(lián)合國(guó)內(nèi)外有實(shí)力的，重視，專注企業(yè)信息技術(shù)基礎(chǔ)架構(gòu)的IT企業(yè)，形成戰(zhàn)略合作關(guān)系，借助企業(yè)的經(jīng)驗(yàn)和實(shí)力，為平臺(tái)建設(shè)提供規(guī)劃建議和實(shí)施方案，保證項(xiàng)目的可持續(xù)發(fā)展。具體實(shí)施方式為，首先對(duì)本公司信息化建設(shè)的基本現(xiàn)狀進(jìn)行調(diào)研，然后在調(diào)研分析的基礎(chǔ)上，再提出“企業(yè)信息技術(shù)基礎(chǔ)架構(gòu)”的具體建設(shè)規(guī)劃方案。在具體項(xiàng)目建設(shè)過程中，遵循“總體規(guī)劃、分步實(shí)施、關(guān)注重點(diǎn)、解決問題”的思路，從“總體規(guī)劃”做起，規(guī)劃綜合企業(yè)信息技術(shù)基礎(chǔ)架構(gòu)的未來(lái)發(fā)展遠(yuǎn)景和功能應(yīng)用；對(duì)“總體規(guī)劃”所描繪的藍(lán)圖，采取“分步實(shí)施”的策略，按照“關(guān)注重點(diǎn)、解決問題”的原則，不僅要建設(shè)穩(wěn)定而強(qiáng)大的企業(yè)信息技術(shù)基礎(chǔ)架構(gòu)，同時(shí)還要充分重視夯實(shí)綜合應(yīng)用服務(wù)平臺(tái)的“軟件公共基礎(chǔ)平臺(tái)”，為未來(lái)的建設(shè)奠定一個(gè)可持續(xù)發(fā)展的基礎(chǔ)。4解決方案實(shí)施AD域命名和DNS的規(guī)劃Windows2008AD域命名和DNS的規(guī)劃之所以放在首要地位，是因?yàn)锳D作為整個(gè)IT架構(gòu)的基礎(chǔ)，不應(yīng)該輕易被調(diào)整。盡管安裝后，Windows2008AD仍然可以重組和改名，這一點(diǎn)比Windows2000AD有了很大的進(jìn)步，但是我們?nèi)匀唤ㄗh做一個(gè)長(zhǎng)遠(yuǎn)規(guī)劃，使得域命名和DNS服務(wù)能夠滿足企業(yè)3-5年的需求，盡量避免配置好后改作調(diào)整地巨大人力物力浪費(fèi)。止匕外，部署Windows2008AD，還必須確定DNS服務(wù)器，確保它們滿足域控制器定位器系統(tǒng)的要求。一個(gè)支持AD的DNS至少需要滿足以下要求：必須支持服務(wù)定位資源記錄（SRV）應(yīng)該支持DNS動(dòng)態(tài)更新協(xié)議（RFC2136）Windows2008Server提供的DNS服務(wù)同時(shí)滿足這些要求，并且還提供下列重要的附加功能和改進(jìn)：ActiveDirectory集成：DNS服務(wù)把區(qū)域數(shù)據(jù)存儲(chǔ)在目錄中，使得DNS復(fù)制創(chuàng)建多個(gè)主域，也減少了對(duì)維護(hù)一個(gè)單獨(dú)的DNS區(qū)域傳送復(fù)制拓?fù)涞囊?。安全?dòng)態(tài)更新：使得一個(gè)管理員可以精確地控制哪些計(jì)算機(jī)可以更新哪些名稱，并防止未經(jīng)授權(quán)的計(jì)算機(jī)從DNS獲得現(xiàn)有的名稱。條件轉(zhuǎn)發(fā)：根據(jù)不同的對(duì)外訪問的域名后綴，可以將用戶的DNS名稱解析請(qǐng)求轉(zhuǎn)發(fā)到不同的外部DNS服務(wù)器。存根區(qū)域：可以定時(shí)地刷新和外部DNS服務(wù)器的連接，及時(shí)發(fā)現(xiàn)那些可能有故障、不再響應(yīng)用戶請(qǐng)求的服務(wù)器，提高用戶DNS名稱解析的效率。確定AD邏輯結(jié)構(gòu)Windows2008活動(dòng)目錄的邏輯結(jié)構(gòu)由三個(gè)基本組件組成：森林、域和OU。確定森林規(guī)劃森林是Windows2008AD域的集合。在很多情況下，單一森林就足夠了。單一森林環(huán)境易于建立和維護(hù)，森林間的域自動(dòng)建立雙向可傳遞內(nèi)部信任關(guān)系，不要求手動(dòng)建立外部信任配置，在安裝Exchange2008Server等應(yīng)用程序時(shí)，只需應(yīng)用一次架構(gòu)更改即可影響所有域。如果各個(gè)單位有下列管理要求，就必須建立一個(gè)以上的森林：不互相信任管理員。希望限制信任關(guān)系范圍。不同意某種森林架構(gòu)更改策略。架構(gòu)更改、配置更改會(huì)影響到森林中所有的域。如果單位不同意一個(gè)公共架構(gòu)策略，它們就不能共存于同一個(gè)森林中。制定域規(guī)劃規(guī)劃域結(jié)構(gòu)時(shí)，始終遵循“簡(jiǎn)單是最好的投資”的設(shè)計(jì)原則，盡管增加某些復(fù)雜結(jié)構(gòu)可以增值，但是簡(jiǎn)單的結(jié)構(gòu)更易于說明、維護(hù)和調(diào)試。一開始時(shí)總是僅考慮每個(gè)森林中僅有一個(gè)域，然后為每一個(gè)增加的新域提供詳細(xì)的理由，確保添加到森林中的域都是有益的，因?yàn)樗鼈儠?huì)帶來(lái)相應(yīng)的管理開銷而導(dǎo)致一定程度的成本上升。創(chuàng)建更多的域的三種可能的原因是：希望實(shí)現(xiàn)相對(duì)分散式得IT管理模式：多域結(jié)構(gòu)更容易進(jìn)行相對(duì)獨(dú)立的管理、委派和權(quán)限控制。另外，不同的用戶帳戶在一個(gè)域內(nèi)是不能出現(xiàn)重名的，多域之間就沒有限制。對(duì)于人士管理相對(duì)獨(dú)立的集團(tuán)下屬公司，多域結(jié)構(gòu)具有更好的靈活性。希望實(shí)現(xiàn)不同管理策略要求：包括用戶口令策略、賬戶鎖定策略和EFS加密策略。例如，要求某些人必須取8個(gè)字符以上的口令，而其它人不做限制。為此，必須將這些需要不同安全策略的用戶放在單獨(dú)的域中。希望減小WAN上的復(fù)制流量：域控制器域間復(fù)制將產(chǎn)生比域內(nèi)復(fù)制少的多的流量。如果公司很大，具有跨地區(qū)的組織結(jié)構(gòu)，且處于同一個(gè)森林內(nèi)，則在不同地理位置上的機(jī)構(gòu)可能使用慢速的WAN鏈路連接。為減少WAN上的DC復(fù)制流量，可以在不同的地理位置設(shè)置不同的域。根據(jù)以上考慮，我們建議，貴公司W(wǎng)indows2008AD域邏輯結(jié)構(gòu)可以采用“單森林、單域”的結(jié)構(gòu)設(shè)計(jì)。確定AD物理結(jié)構(gòu)Windows2008AD物理結(jié)構(gòu)主要是規(guī)劃站點(diǎn)拓?fù)?，用于幫助您決定在網(wǎng)絡(luò)的什么地方放置域控制器，以及管理域控制器之間的復(fù)制流量和用戶登錄流量。考慮到企業(yè)的地理分布情況，應(yīng)該考慮使用多站點(diǎn)拓?fù)鋪?lái)規(guī)劃Windows2008AD物理結(jié)構(gòu)。從繪制基本的網(wǎng)絡(luò)拓?fù)洳季謭D著手工作，繪制所有可能的站點(diǎn)Site）和站點(diǎn)鏈接（SiteLink）。速度快（10Mbps以上）、連接可靠的LAN網(wǎng)絡(luò)總是放置在單站點(diǎn)中。站點(diǎn)定義為一組通過快速、可靠的線路連接起來(lái)的IP子網(wǎng)。一般而言，具有LAN速度或更快速度的網(wǎng)絡(luò)被認(rèn)為是快速網(wǎng)絡(luò)。窄帶的、或不太可靠的連接可以使用站點(diǎn)鏈接建立多站點(diǎn)網(wǎng)絡(luò)。通常，WAN連接一般被認(rèn)為是窄帶連接。如果建立站點(diǎn)鏈接，實(shí)現(xiàn)多站點(diǎn)網(wǎng)絡(luò)模式，則：今客戶計(jì)算機(jī)在登錄到域時(shí)首先試圖與位于同一站點(diǎn)的DC通信；7Windows2008AD復(fù)制使用站點(diǎn)拓?fù)洚a(chǎn)生復(fù)制連接。規(guī)劃OU結(jié)構(gòu)和組策略組織單元（OU）是一個(gè)用來(lái)在域中創(chuàng)建分層管理單位的容器。在域中創(chuàng)建OU結(jié)構(gòu)時(shí)，必須注意始終按照“誰(shuí)管理什么”的原則，從IT管理的需要出發(fā)，劃分管理模型的結(jié)構(gòu)，而不是簡(jiǎn)單按照公司業(yè)務(wù)單位和它的不同分支、部門和項(xiàng)目來(lái)創(chuàng)建OU結(jié)構(gòu)?？紤]OU的下列特性是很重要的：OU可以是嵌套的。一個(gè)OU可以包含子OU，使得可以在域中創(chuàng)建一個(gè)分層的目錄樹結(jié)構(gòu)。但是嵌套太多將導(dǎo)致管理復(fù)雜和低效，所以建議以二級(jí)嵌套為最理想，最多不應(yīng)超過四級(jí)嵌套。OU可以用來(lái)委派管理和控制對(duì)目錄對(duì)象的訪問。不能使OU成為安全組的成員，也不能因?yàn)橛脩舯晃晒芾鞳U或駐留在OU中而自動(dòng)獲得訪問資源的權(quán)限。9可以在OU上實(shí)施組策略。組策略是基于Windows2008注冊(cè)表的修改，從而集中控制用戶和計(jì)算機(jī)的工作環(huán)境、桌面配置、軟件自動(dòng)安裝和刪除的管理手段。一般而言，安全策略必須在域級(jí)別實(shí)施，其它策略主要在OU級(jí)別實(shí)施。不鼓勵(lì)用戶在OU結(jié)構(gòu)中瀏覽。沒有必要設(shè)計(jì)一個(gè)吸引最終用戶的OU結(jié)構(gòu)。盡管用戶有可能瀏覽一個(gè)域的OU結(jié)構(gòu)，但對(duì)于用戶查找資源來(lái)說，這并不是一個(gè)最有效的方法。在目錄中查找資源的最有效的方法是查詢?nèi)志庝?。有兩個(gè)理由需要在Windows2008域中創(chuàng)建OU結(jié)構(gòu)：創(chuàng)建OU以管理對(duì)象和委派授權(quán)。為組策略創(chuàng)建OU。一個(gè)完全為管理和委派而設(shè)計(jì)的OU結(jié)構(gòu)與一個(gè)完全為組策略而設(shè)計(jì)的OU結(jié)構(gòu)是不同的。OU結(jié)構(gòu)將很快變得相當(dāng)復(fù)雜。每次添加一個(gè)OU到規(guī)劃中時(shí)，要記下創(chuàng)建的具體原因。這有助于確保每個(gè)OU有一個(gè)目的，并將幫助閱讀規(guī)劃的人理解結(jié)構(gòu)所基于的理由。創(chuàng)建OU以管理和委派在單位中委派管理有一些好處。以前，在單位中除了IT之外的組可能必須將更改請(qǐng)求提交到高級(jí)管理員，高級(jí)管理員代表他們進(jìn)行更改。委派特定的權(quán)限可以將責(zé)任分散到單位中的各個(gè)組，使您可以將必須有高級(jí)訪問權(quán)限的用戶的數(shù)量降到最少。權(quán)限受到限制的管理員所發(fā)生的事故或錯(cuò)誤所產(chǎn)生的影響只限于他們負(fù)責(zé)的范圍。這一工作包括以下步驟：確定創(chuàng)建何種OU創(chuàng)建的OU結(jié)構(gòu)將完全取決于管理是如何在單位中委派的。委派管理的三種方法是：按物理位置、按業(yè)務(wù)單位（公司部門）、按角色或任務(wù)。三種方法經(jīng)常結(jié)合使用。修改訪問控制列表:10修改OU的訪問控制列表（ACL）可以授予一個(gè)組對(duì)OU的特定權(quán)限，從而實(shí)現(xiàn)對(duì)該OU的委派管理。盡量委派權(quán)限給組賬戶而不是單獨(dú)的用戶，如果可能，委派到本地組而不是全局組或通用組。委派步驟。從域中的默認(rèn)結(jié)構(gòu)開始，按下列主要步驟創(chuàng)建OU結(jié)構(gòu)：通過委派完全控制創(chuàng)建OU的頂層；創(chuàng)建OU的下層來(lái)委派每個(gè)對(duì)象類別控制。創(chuàng)建OU支持組策略使用Windows2008,可以使用組策略定義用戶和計(jì)算機(jī)配置，并將這些策略與站點(diǎn)、域或OU關(guān)聯(lián)。是否要?jiǎng)?chuàng)建附加的OU以支持組策略的應(yīng)用取決于制定的策略以及所選擇的實(shí)現(xiàn)方案，包括：定義客戶計(jì)算機(jī)的管理與桌面配置標(biāo)準(zhǔn)定義軟件的自動(dòng)分發(fā)特殊組策略應(yīng)用配置與管理在Windows2008中，組策略設(shè)置是管理員啟用集中更改和配置客戶計(jì)算機(jī)管理的主要方法。可用組策略為某個(gè)特定的用戶組和計(jì)算機(jī)組創(chuàng)建指定的安全限制和桌面環(huán)境配置。Windows2008組策略有100多種與安全有關(guān)的設(shè)置和450多種基于注冊(cè)表的設(shè)置，為您管理用戶計(jì)算機(jī)環(huán)境提供了眾多選項(xiàng)。Windows2008組策略：可根據(jù)活動(dòng)目錄定義或在計(jì)算機(jī)本地進(jìn)行定義；可用Microsoft管理控制臺(tái)（MMC）或*.adm文件保存和管理；是安全的；不會(huì)在實(shí)施的策略改變時(shí)把設(shè)置留在用戶配置文件中；可應(yīng)用于指定的活動(dòng)目錄容器（站點(diǎn)、域與OU）中的用戶或計(jì)算機(jī)；可由安全組的用戶或計(jì)算機(jī)成員進(jìn)一步控制；可用來(lái)配置多種類型的安全設(shè)；11可用于實(shí)施登錄、注銷、啟動(dòng)及關(guān)閉腳本；可用于安裝和維護(hù)軟件；可用于重定向文件夾（如MyDocuments和ApplicationData文件夾）；可用于在MicrosoftInternetExplorer中執(zhí)行維護(hù)?？梢园聪铝腥齻€(gè)步驟配置和管理組策略：管理站點(diǎn)、域或OU的組策略鏈接：默認(rèn)情況下，只有域管理員組和企業(yè)管理員組可以配置站點(diǎn)、域或部門的組策略?？稍谡军c(diǎn)、域或OU的“屬性”頁(yè)的“組策略”選項(xiàng)卡中指定鏈接至站點(diǎn)、域或OU的組策略對(duì)象。ActiveDirectory支持以每個(gè)屬性為基礎(chǔ)的安全設(shè)置。創(chuàng)建組策略對(duì)象：默認(rèn)情況下，只有域管理員組、企業(yè)管理員組和組策略創(chuàng)建者（所有者）組的成員可以創(chuàng)建新的組策略對(duì)象。如果域管理員想使一個(gè)非管理員用戶或組能夠創(chuàng)建組策略對(duì)象，則可將該用戶或組添至組策略創(chuàng)建者（所有者）安全組中。這樣，他們就可以創(chuàng)建、修改自己的組策略對(duì)象，并成為該組策略對(duì)象的創(chuàng)建者和所有者。編輯組策略對(duì)象：默認(rèn)情況下，組策略對(duì)象接受域管理員、企業(yè)管理員及組策略創(chuàng)建者（所有者）組成員的完全控制，課以便機(jī)組策略，但非管理員用戶沒有設(shè)置組策略鏈接的應(yīng)用權(quán)。應(yīng)用組策略選項(xiàng)如果能認(rèn)真應(yīng)用組策略選項(xiàng)，即使開始用數(shù)據(jù)極其多的文件夾重定向選項(xiàng)和軟件安裝選項(xiàng)，也能夠改善網(wǎng)絡(luò)的響應(yīng)時(shí)間。應(yīng)恰當(dāng)?shù)貞?yīng)用組策略選項(xiàng)，尤其在剛開始時(shí)，更要仔細(xì)測(cè)試所有建議的更改，以確保不損壞網(wǎng)絡(luò)性能。下面是一些可用的選項(xiàng)：安全組篩選選項(xiàng)：可針對(duì)某個(gè)特定組策略對(duì)象實(shí)施篩選，使之不能對(duì)篩選的計(jì)算機(jī)和用戶組生效。不許替代（強(qiáng)制繼承）和阻止繼承選項(xiàng):12例如，如果在域?qū)哟味x了一個(gè)指定的組策略對(duì)象，并已指定組對(duì)象是強(qiáng)制的（不許替代），那么組策略對(duì)象所包含的策略設(shè)置就會(huì)應(yīng)用于該域中的所有OU；層次較低的容器（OU）將無(wú)法替代此域的組策略，一般用于安全設(shè)置。也可阻止從父ActiveDirectory容器繼承組策略。但是，不許替代（強(qiáng)制繼承）策略選項(xiàng)始終比阻止繼承策略選項(xiàng)優(yōu)先。處理“環(huán)回”策略設(shè)置的策略選項(xiàng)：默認(rèn)的設(shè)置使計(jì)算機(jī)策略優(yōu)先于用戶策略起作用，但有時(shí)必須要優(yōu)先實(shí)施用戶策略，組策略的環(huán)回功能使管理員能夠?qū)崿F(xiàn)這一設(shè)置。主要用在軟件安裝這一類的策略上。低速鏈接處理的選項(xiàng)：許多用戶，如使用便攜式計(jì)算機(jī)的用戶、遠(yuǎn)離建筑物或在分部工作的用戶，有時(shí)會(huì)用低速連接至網(wǎng)絡(luò)?？蓪?duì)組策略進(jìn)行配置，使部分策略不能生效，以減少網(wǎng)絡(luò)開銷。這些組策略設(shè)置包括：0軟件安裝與維護(hù)弋腳本弋磁盤配額令I(lǐng)P安全個(gè)Dfs故障恢復(fù)策略個(gè)InternetExplorer維護(hù)周期刷新選項(xiàng)：可指定定時(shí)地處理組策略。默認(rèn)情況下，DC計(jì)算機(jī)策略每5分鐘刷新一次，而成員服務(wù)器和客戶計(jì)算機(jī)每90分鐘刷新一次，并帶有30分鐘的隨機(jī)偏移量。可根據(jù)需要改變此刷新頻率。硬件設(shè)備選型建議為實(shí)現(xiàn)Windows2008AD系統(tǒng)的部署實(shí)施，建議至少配置兩臺(tái)服務(wù)器：Windows2008AD主域控制器：1臺(tái)，同時(shí)兼作DNS、DHCP、WINS服務(wù)器；Windows2008AD備份域控制器：1臺(tái)，同時(shí)兼作DNS、WINS服務(wù)器;13上述服務(wù)器硬件配置建議如下：2顆P43.0GHZ以上CPU。2GB以上內(nèi)存。73GBSCSI硬盤：建議使用2個(gè)硬盤，實(shí)施鏡像（RAID-1）；或者3個(gè)以上的硬盤，實(shí)施RAID-5。5解決方案優(yōu)勢(shì)為什么選擇微軟活動(dòng)目錄核心基礎(chǔ)架構(gòu)建設(shè)屬于大型基礎(chǔ)的信息系統(tǒng)建設(shè)，需要有覆蓋整個(gè)信息系統(tǒng)建設(shè)生命周期的方法論、建設(shè)和管理經(jīng)驗(yàn)的支撐。國(guó)內(nèi)外信息化建設(shè)的成功經(jīng)驗(yàn)表明，建設(shè)大型核心基礎(chǔ)信息化系統(tǒng)需要引入高質(zhì)量的戰(zhàn)略合作伙伴、系統(tǒng)集成商和產(chǎn)品供應(yīng)商，形成信息化建設(shè)的良性生態(tài)環(huán)境。微軟公司是全球公認(rèn)的最優(yōu)秀的信息技術(shù)公司之一，微軟公司在全球許多國(guó)家和地區(qū)，擁有豐富的信息化核心基礎(chǔ)架構(gòu)建設(shè)經(jīng)驗(yàn)，特別是建設(shè)“活動(dòng)目錄核心基礎(chǔ)架構(gòu)”的項(xiàng)目經(jīng)驗(yàn)。我們可以借助微軟公司在信息化建設(shè)的整體規(guī)劃、系統(tǒng)設(shè)計(jì)、開發(fā)建設(shè)、安全部署、運(yùn)行維護(hù)及項(xiàng)目管理等過程的經(jīng)驗(yàn)和方法，有效減小建設(shè)”活動(dòng)目錄核心基礎(chǔ)架構(gòu)”的技術(shù)風(fēng)險(xiǎn)、提高成功把握。事半功倍的完成公司所需，快速提升IT生產(chǎn)力。WindowsServer2008R2活動(dòng)目錄的優(yōu)點(diǎn)我們選擇的WindowsServer2008R2活動(dòng)目錄產(chǎn)品融合了一些新的技術(shù)特點(diǎn)，使我們有理由相信我們推薦的企業(yè)網(wǎng)目錄管理服務(wù)方案最能適合企業(yè)的應(yīng)用，這些特點(diǎn)包括：DNS集成活動(dòng)目錄使用域名系統(tǒng)（DomainNameSystem，簡(jiǎn)稱DNS）。這使得運(yùn)行在TCP/IP網(wǎng)絡(luò)上的計(jì)算機(jī)可以識(shí)別和連接另一臺(tái)計(jì)算機(jī)。DNS域和WindowsServer2008R2的域自然而有機(jī)的結(jié)合在一起，使得整個(gè)目錄結(jié)構(gòu)成樹型分布，具有了DNS的層次感覺，也使得WindowsSerever2008R2系統(tǒng)能夠支撐龐大的目錄結(jié)構(gòu)，是的目錄對(duì)象涵蓋了整個(gè)網(wǎng)絡(luò)元14素：用戶，計(jì)算機(jī)，打印機(jī)，共享文件夾，應(yīng)用程序，管理策略等。目錄定位服務(wù)通過DNS服務(wù)中的ServiceResourceRecord（SRVRR）記錄公布提供目錄服務(wù)的服務(wù)器地址，SRVRR中的附加信息指出了服務(wù)器的優(yōu)先權(quán)及重要度，使得客戶可以選擇他們所需要的最好的服務(wù)器。DNS記錄也可以集成到目錄中，隨著目錄復(fù)制而達(dá)到DNS復(fù)制的目的。全局唯一的用戶名在域內(nèi)一個(gè)用戶對(duì)象只能有一個(gè)用戶主名，而這個(gè)用戶名是可以用username@domainname表示的，就好比一個(gè)用戶的mail地址一樣。正是具有了這個(gè)特性，才能夠?qū)崿F(xiàn)在企業(yè)內(nèi)只要一套用戶認(rèn)證系統(tǒng)就可以實(shí)現(xiàn)所有應(yīng)用系統(tǒng)的單一認(rèn)證問題。可擴(kuò)展性活動(dòng)目錄是可擴(kuò)展的，就是說管理員可以向模式中添加新的對(duì)象類，也可以向已經(jīng)存在的對(duì)象類添加新的屬性。模式包括每一個(gè)對(duì)象類和對(duì)象類屬性的定義，它們可以存儲(chǔ)在目錄中。例如，可以向用戶對(duì)象添加購(gòu)買機(jī)構(gòu)屬性，然后可以將用戶的購(gòu)買機(jī)構(gòu)范圍做為用戶帳號(hào)的一部分進(jìn)行存儲(chǔ)。靈活的查詢用戶和管理員可以使用"開始"菜單上的"查詢"命令、桌面上的“我的網(wǎng)絡(luò)"圖標(biāo)或者”活動(dòng)目錄用戶和計(jì)算機(jī)連接"插件來(lái)根據(jù)對(duì)象的屬性快速的查找網(wǎng)絡(luò)上的對(duì)象。身份聯(lián)合ADFS（活動(dòng)目錄身份聯(lián)合）提供了基于Web的extranet驗(yàn)證/授權(quán)、單一簽名登陸（SSO）和針對(duì)WindowsServer環(huán)境的聯(lián)合的身份服務(wù)，從而提高了在涉及B2Cextranet、intracompany（多森林的）聯(lián)盟和B2Binternet聯(lián)盟的場(chǎng)景中、現(xiàn)有活動(dòng)目錄部署的價(jià)值。基于策略的管理15組策略是在初始化時(shí)對(duì)計(jì)算機(jī)或者用戶進(jìn)行的配置。所有的小組策略設(shè)置都包含在組策略對(duì)象（GroupPolicyObject，簡(jiǎn)稱GPO）中，它可以應(yīng)用于活動(dòng)目錄站點(diǎn)、域或組織單元中。GPO設(shè)置確定對(duì)目錄對(duì)象和域資源的訪問、哪些資源域是用戶可以訪問的以及這些資源域應(yīng)該如何使用。在利用企業(yè)網(wǎng)的目錄管理服務(wù)提供單一的用戶身份驗(yàn)證方面，總的來(lái)說，存在兩方面的應(yīng)用連接方式：?C/S應(yīng)用的連接方式?Web應(yīng)用的連接方式其中，Web應(yīng)用的連接方式比較統(tǒng)一，解決方法也比較成熟，而C/S應(yīng)用的連接方式就比較復(fù)雜，需要根據(jù)特定的應(yīng)用具體分析，舉例來(lái)說，Domino/Notes系統(tǒng)就是典型的C/S應(yīng)用。在綜合了所有解決方案之后，通過對(duì)安全性，用戶使用的方便性，管理要求，實(shí)現(xiàn)技術(shù)的成熟性幾方面的比較，最后推薦使用登錄信息代理方式解決單一用戶登錄，統(tǒng)一認(rèn)證（SSO）的問題。這種方式的實(shí)現(xiàn)原理是：應(yīng)用的登錄信息存儲(chǔ)在目錄數(shù)據(jù)庫(kù)（AD）中，通過AD的用戶認(rèn)證得到保護(hù)。在應(yīng)用系統(tǒng)登錄時(shí)從AD中獲得相關(guān)信息進(jìn)行登錄。這個(gè)過程通過SSO插件透明進(jìn)行，從而實(shí)現(xiàn)SSO。?UNIX身份管理通過將AD域控制器作為主NIS服務(wù)器，并同步Unix和Windows環(huán)境中的用戶密碼，UNIX集成有助于在操作系統(tǒng)間建立不間斷的用戶訪問和有效的網(wǎng)絡(luò)資源管理?；顒?dòng)目錄組成結(jié)構(gòu)企業(yè)網(wǎng)目錄管理服務(wù)的產(chǎn)品構(gòu)成比較簡(jiǎn)單：WindowsServer2008R2+ActiveDirectory（活動(dòng)目錄）+符合活動(dòng)目錄要求的客戶端系統(tǒng)。166服務(wù)內(nèi)容可行性調(diào)查調(diào)查、分析用戶當(dāng)前系統(tǒng)環(huán)境，提交環(huán)境調(diào)查報(bào)告?zhèn)€網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)個(gè)服務(wù)器清單e應(yīng)用軟件部署清單e 網(wǎng)絡(luò)及系統(tǒng)存在的安全和管理上的問題e 網(wǎng)絡(luò)及系統(tǒng)調(diào)整方案調(diào)查、分析用戶實(shí)際和潛在的活動(dòng)目錄服務(wù)需求，提交用戶需求報(bào)告