xxx公司活動(dòng)目錄設(shè)計(jì)方案

XXX活動(dòng)目錄設(shè)計(jì)方案廣州市黑馬軟件科技有限公司-3-1目錄第1部分. 概述 31.1 方案目的 31.2 現(xiàn)狀描述 31.3 問題分析 3第2部分. 總體需求 42.1集中的組織與管理網(wǎng)絡(luò)內(nèi)的服務(wù)器及客戶端 42.2統(tǒng)一的數(shù)據(jù)組織與資源管理 42.3單一登錄的網(wǎng)絡(luò)環(huán)境 52.4集中化的軟件布署與運(yùn)行限制 52.5功效強(qiáng)大并易于擴(kuò)展的IT基礎(chǔ)架構(gòu) 5第3部分. 設(shè)計(jì)原則和范疇 53.1 活動(dòng)目錄設(shè)計(jì)原則 63.2 設(shè)計(jì)要點(diǎn)總結(jié) 6第4部分. 活動(dòng)目錄設(shè)計(jì)內(nèi)容 74.1 服務(wù)器硬件配備 74.2 3.2森林和域構(gòu)造設(shè)計(jì) 74.2.1 3.2.1設(shè)計(jì)要點(diǎn) 74.2.2 森林設(shè)計(jì)闡明 84.2.3 域設(shè)計(jì)闡明 94.3 組織單位（OU）設(shè)計(jì) 104.3.1 設(shè)計(jì)要點(diǎn) 104.3.2 OU設(shè)計(jì)闡明 114.3.3 管理委派闡明 114.4 DC、GC和DNS服務(wù)器設(shè)計(jì) 124.4.1 設(shè)計(jì)要點(diǎn) 124.4.2 放置DC服務(wù)器 124.4.3 放置GC服務(wù)器 134.4.4 放置DNS服務(wù)器 134.5 DHCP和WINS服務(wù)器設(shè)計(jì) 154.5.1 設(shè)計(jì)要點(diǎn) 154.5.2 DHCP服務(wù)器設(shè)計(jì)闡明 154.5.3 WINS服務(wù)器設(shè)計(jì)闡明 16第5部分. 其它設(shè)計(jì)考慮 18第6部分. 部分顧客與案例 19

概述方案目的本解決方案將從XXX的IT環(huán)境現(xiàn)狀出發(fā)，分析現(xiàn)有環(huán)境，提出關(guān)心的核心問題及將來的挑戰(zhàn)，并根據(jù)有關(guān)問題具體敘述對(duì)應(yīng)解決方案，協(xié)助XXX改善現(xiàn)有IT環(huán)境，以信息技術(shù)提高公司生產(chǎn)力?，F(xiàn)狀描述現(xiàn)在XXX內(nèi)部網(wǎng)絡(luò)環(huán)境多數(shù)仍為松散的管理狀態(tài)，在實(shí)際環(huán)境中無論是工作用桌面計(jì)算機(jī)還是服務(wù)器都是采用工作組模型，各自獨(dú)立。IT環(huán)境中的軟硬件資源都無法實(shí)現(xiàn)充足運(yùn)用。在大規(guī)模網(wǎng)絡(luò)和服務(wù)器投資建設(shè)之前，公司很有必要對(duì)現(xiàn)有IT架構(gòu)進(jìn)行優(yōu)化，以適應(yīng)將來IT信息化的發(fā)展，這已經(jīng)成為信息技術(shù)部門與公司管理人員關(guān)心的首要問題。從信息技術(shù)部門人員來說，如何設(shè)計(jì)IT架構(gòu)，將IT環(huán)境的管理由松散方式變?yōu)榧泄芾淼姆绞?，減輕日常管理維護(hù)負(fù)擔(dān)，提高IT生產(chǎn)力。從最后顧客來說，如何能夠?qū)崿F(xiàn)單一的身份驗(yàn)證，快速的訪問公司內(nèi)部的多個(gè)資源，較少的宕機(jī)時(shí)間也是最大的愿望。問題分析由于歷史和技術(shù)發(fā)展方面的因素，現(xiàn)有XXX內(nèi)部的IT環(huán)境是逐步建立起來的，并且在早期建立時(shí)由于沒有整體架構(gòu)的科學(xué)指導(dǎo)，造成現(xiàn)在的松散型IT環(huán)境，客戶端、服務(wù)器各自獨(dú)立，形成一種個(gè)信息“孤島”，無法統(tǒng)一管理。在松散型管理的系統(tǒng)網(wǎng)絡(luò)環(huán)境中，一旦某個(gè)節(jié)點(diǎn)出現(xiàn)問題需要定位出現(xiàn)問題的位置，并需要繁瑣費(fèi)時(shí)的恢復(fù)過程來實(shí)現(xiàn)修復(fù)。生產(chǎn)系統(tǒng)應(yīng)用軟件的大規(guī)模布署需要有關(guān)人員在各個(gè)計(jì)算機(jī)上逐個(gè)手工安裝，極大耗費(fèi)人力與時(shí)間。公司內(nèi)部的多個(gè)資源存在于員工的客戶端桌面計(jì)算機(jī)，服務(wù)器，以及其它多個(gè)設(shè)備之中，顧客需要獲取有關(guān)資源需要首先擬定資源在哪一臺(tái)計(jì)算機(jī)中，并且要針對(duì)不同資源提供不同的登錄憑據(jù)（如顧客名/密碼等）來訪問。另外存在數(shù)據(jù)資源重復(fù)現(xiàn)象，造成硬件資源的不合理占用。信息技術(shù)部門制訂的IT管理規(guī)范無法完全被最后顧客執(zhí)行，IT管理規(guī)范的制訂是為了避免信息系統(tǒng)出現(xiàn)如安全問題等不穩(wěn)定狀況，但松散型管理模式的IT環(huán)境中由于信息技術(shù)人員無法監(jiān)控與統(tǒng)一管理公司內(nèi)部的桌面計(jì)算機(jī)與服務(wù)器等，該規(guī)范變?yōu)橐患埧瘴?無法被貫徹實(shí)施?，F(xiàn)階段，部分公司對(duì)IT環(huán)境的發(fā)展仍然缺少整體和久遠(yuǎn)考慮，還是按照老思路，簡(jiǎn)樸考慮硬件及應(yīng)用軟件的采購與建設(shè)，照此建設(shè)思路走下去，將會(huì)使現(xiàn)在的IT環(huán)境更加“臃腫”，更難于管理，最后造成生產(chǎn)力的減少?？傮w需求隨著以上敘述的問題在公司內(nèi)部IT環(huán)境中越來越突出，XXX存在下列需求：2.1集中的組織與管理網(wǎng)絡(luò)內(nèi)的服務(wù)器及客戶端通過對(duì)網(wǎng)絡(luò)內(nèi)的服務(wù)器與客戶端計(jì)算機(jī)進(jìn)行集中式的管理，有助于消除早期“松散型”管理帶來的安全漏洞及其它影響IT系統(tǒng)穩(wěn)健運(yùn)行問題，能夠確保公司制訂的IT管理規(guī)范能夠通過計(jì)算機(jī)的邏輯方式派發(fā)給各個(gè)被管理的節(jié)點(diǎn)，并且通過集中管理的模式能夠有效減少客戶端的維護(hù)工作量。2.2統(tǒng)一的數(shù)據(jù)組織與資源管理需要實(shí)現(xiàn)統(tǒng)一的數(shù)據(jù)組織，如將來文獻(xiàn)服務(wù)器的公布，共享打印機(jī)的公布等等，并且能夠提供較為簡(jiǎn)樸的信息檢索方式，快速查詢并定為所需的多個(gè)資源，實(shí)現(xiàn)資源的高效運(yùn)用。另外統(tǒng)一的數(shù)據(jù)組織與資源管理能夠有效減少數(shù)據(jù)冗余與資源浪費(fèi)，減輕IT環(huán)境的維護(hù)難度，提高公司生產(chǎn)力。2.3單一登錄的網(wǎng)絡(luò)環(huán)境公司內(nèi)的普通員工計(jì)算機(jī)應(yīng)用能力有限，如何使員工一次登錄計(jì)算機(jī)后就能夠訪問其有權(quán)限訪問的多個(gè)資源是提高生產(chǎn)效率，對(duì)于普通員工來說更能感受到應(yīng)用信息技術(shù)能夠帶來更快捷的工作效率，有助于提高信息系統(tǒng)的使用率。2.4集中化的軟件布署與運(yùn)行限制公司但愿在大規(guī)模布署某個(gè)應(yīng)用軟件時(shí)能夠避免手工逐個(gè)安裝的低效率模式，而采用服務(wù)器/客戶端的網(wǎng)絡(luò)分發(fā)模式，并能對(duì)軟件的版本更新做到一定控制，并且能夠制訂哪些軟件能夠被安裝在哪些顧客的計(jì)算機(jī)上。通過對(duì)軟件的運(yùn)行限制，限制客戶端計(jì)算機(jī)上所運(yùn)行的應(yīng)用軟件，使工作用計(jì)算機(jī)僅能夠運(yùn)行特定應(yīng)用程序，與工作無關(guān)的應(yīng)用程序?qū)?huì)被嚴(yán)禁運(yùn)行，提高系統(tǒng)安全性與最大化公司IT系統(tǒng)效能。2.5功效強(qiáng)大并易于擴(kuò)展的IT基礎(chǔ)架構(gòu)公司但愿現(xiàn)有的IT基礎(chǔ)架構(gòu)能夠提供較強(qiáng)的功效，如安全的身份驗(yàn)證，資源整合，軟硬件集中監(jiān)控、管理等，并且但愿該基礎(chǔ)架構(gòu)支持較多的上層應(yīng)用，含有較強(qiáng)的可擴(kuò)展性，在將來的幾年中能夠在現(xiàn)有底層IT架構(gòu)上實(shí)現(xiàn)更多的價(jià)值。實(shí)現(xiàn)IT投資的保值?；谏鲜鰻顩r，結(jié)合國內(nèi)外公司信息化的發(fā)展趨勢(shì)和經(jīng)驗(yàn)，同時(shí)參考IT技術(shù)的現(xiàn)有能力和發(fā)展走向，建議公司統(tǒng)籌安排、統(tǒng)一規(guī)劃，通過分步實(shí)施、集中建設(shè)的方式，構(gòu)建一種集中、統(tǒng)一、互聯(lián)互通高可管理性的基于活動(dòng)目錄的公司核心IT基礎(chǔ)架構(gòu)。設(shè)計(jì)原則和范疇公司級(jí)活動(dòng)目錄的規(guī)劃和布署，是公司網(wǎng)絡(luò)基礎(chǔ)構(gòu)造中的重要部分。在規(guī)劃中，應(yīng)建立一套最能反映公司狀況的構(gòu)造?？紤]周全的活動(dòng)目錄規(guī)劃對(duì)實(shí)際布署至關(guān)重要?；顒?dòng)目錄設(shè)計(jì)原則活動(dòng)目錄設(shè)計(jì)應(yīng)考慮下列內(nèi)容：目錄的可用性和容錯(cuò)能力；目錄客戶機(jī)和服務(wù)器的網(wǎng)絡(luò)使用特性；管理目錄內(nèi)容的效率；顧客查看目錄和與目錄互動(dòng)的方式；考慮公司將來分支機(jī)構(gòu)接入，目錄構(gòu)造隨公司發(fā)展而發(fā)展的能力。設(shè)計(jì)要點(diǎn)總結(jié)基于以上活動(dòng)目錄的規(guī)劃設(shè)計(jì)原則，本方案涉及的活動(dòng)目錄設(shè)計(jì)內(nèi)容小結(jié)以下：域控制器硬件規(guī)定使用2GHz的解決器以上，2GB以上內(nèi)存，40GB以上磁盤空間，100M活動(dòng)目錄森林和域構(gòu)造設(shè)計(jì)建立一種活動(dòng)目錄森林中；XXX使用根域名DD.COM；；OU設(shè)計(jì)各部門將在域DD.COM中建立單獨(dú)的OU；可為高層領(lǐng)導(dǎo)建立單獨(dú)的OU。各分支機(jī)構(gòu)建立單獨(dú)OU，并使用權(quán)限委派管理資源。站點(diǎn)設(shè)計(jì)廠內(nèi)建立一種單獨(dú)的物理站點(diǎn)。DC、GC和DNS服務(wù)器設(shè)計(jì)在每個(gè)活動(dòng)目錄域中放置兩臺(tái)域控制器，同時(shí)將每臺(tái)域控制器都配備為根域DNS服務(wù)器和GC服務(wù)器。每個(gè)DNS服務(wù)器除了配備有本域的區(qū)域名外，還含有一種公共的區(qū)域名：_msdcs.DD.com。DHCP和WINS服務(wù)器設(shè)計(jì)廠內(nèi)配備一臺(tái)DHCP服務(wù)器和一臺(tái)WINS服務(wù)器。各站點(diǎn)之間的WINS服務(wù)器配備為互為復(fù)制伙伴。其它設(shè)計(jì)考慮涉及采用統(tǒng)一的服務(wù)器命名方式；使用組方略管理客戶端；將活動(dòng)目錄的五類角色放置在可靠的服務(wù)器硬件平臺(tái)上；建立活動(dòng)目錄備份和恢復(fù)系統(tǒng)；建立補(bǔ)丁程序安裝系統(tǒng)；安裝網(wǎng)絡(luò)防病毒軟件等?；顒?dòng)目錄設(shè)計(jì)內(nèi)容本節(jié)內(nèi)容涉及服務(wù)器硬件配備設(shè)計(jì)和活動(dòng)目錄的具體內(nèi)容設(shè)計(jì)。服務(wù)器硬件配備考慮到該活動(dòng)目錄將是南海發(fā)電廠的基礎(chǔ)架構(gòu)，森林中的顧客大概200個(gè)。為此建議活動(dòng)目錄域控制器選用不低于下列硬件配備的PC服務(wù)器：要點(diǎn)具體描述解決器2.0GHz內(nèi)存2GB網(wǎng)卡100MHz本地磁盤40GB操作系統(tǒng)WindowsStandardServer其它彩色顯示卡鼠標(biāo)備份磁帶防病毒軟件備份恢復(fù)軟件等3.2森林和域構(gòu)造設(shè)計(jì)3.2.1設(shè)計(jì)要點(diǎn)根據(jù)XXX的實(shí)際狀況，設(shè)計(jì)時(shí)把廠內(nèi)的顧客都運(yùn)行在一種活動(dòng)目錄森林中。全廠使用的根域名為DD.COM，放置根域管理員賬戶和顧客組。根域中現(xiàn)在沒有任何客戶端和普通顧客?？紤]將來公司的發(fā)展，會(huì)有分支機(jī)構(gòu)等異地加入到域中，因此將廠區(qū)和分支機(jī)構(gòu)的活動(dòng)目錄森林和域構(gòu)造設(shè)計(jì)以下。DDDD.COMxxx.DD.COMXX.DD.COM………森林設(shè)計(jì)闡明活動(dòng)目錄森林是域的集合，它簡(jiǎn)化顧客與目錄的交互過程以及對(duì)多域的管理。活動(dòng)目錄森林含有下列特性：?jiǎn)我坏幕顒?dòng)目錄架構(gòu)（schema）活動(dòng)目錄架構(gòu)定義了對(duì)象類別以及能夠在目錄中創(chuàng)立的對(duì)象類別的屬性。活動(dòng)目錄架構(gòu)作為一種名字空間，可復(fù)制到活動(dòng)目錄森林中的各個(gè)域控制器?；顒?dòng)目錄架構(gòu)管理員負(fù)責(zé)對(duì)它進(jìn)行管理。單一的配備容器（configuration）活動(dòng)目錄配備容器是另外一種名字空間，可復(fù)制到活動(dòng)目錄森林中的每個(gè)域控制器。支持目錄的應(yīng)用程序在配備容器中寄存整個(gè)目錄森林的信息。例如，活動(dòng)目錄將物理網(wǎng)絡(luò)的有關(guān)信息存儲(chǔ)在配備容器中，并用這些信息來指導(dǎo)創(chuàng)立域控制器之間的復(fù)制連接。公司管理員組完全控制配備容器。目錄森林的全部域共享單一并且一致的配備，不需要對(duì)域進(jìn)行逐個(gè)配備。域間完全信任活動(dòng)目錄森林的域之間自動(dòng)創(chuàng)立可傳遞的雙向信任關(guān)系。來自任何域的顧客和組都能被活動(dòng)目錄森林中的任何計(jì)算機(jī)識(shí)別，并涉及在組或訪問控制列表(ACL)中。完全信任使得在Windows中管理多個(gè)域更加簡(jiǎn)樸。在將一種域添加到活動(dòng)目錄森林時(shí)，此域會(huì)自動(dòng)配備為雙向可傳遞信任。單一的全局編錄（GlobalCatalog，GC）全局編錄包含來自活動(dòng)目錄森林中每個(gè)域的每個(gè)對(duì)象的一種副本，但只包含每個(gè)對(duì)象的部分制訂的屬性。全局編錄能使您在整個(gè)活動(dòng)目錄森林內(nèi)進(jìn)行快速、高效的搜索。全局編錄使活動(dòng)目錄森林中的目錄構(gòu)造對(duì)最后顧客透明。將全局編錄用作搜索范疇使得在目錄中查找對(duì)象更加簡(jiǎn)樸。采用全局編錄和顧客重要名稱使得登錄更加簡(jiǎn)樸。全廠使用同一種活動(dòng)目錄森林。在單一森林的架構(gòu)中，顧客看到的是統(tǒng)一的全局編錄。由于全部的域都通過雙向、可傳遞的信任關(guān)系來連接，當(dāng)新的域添加到森林中時(shí)，就不需要建立額外的信任關(guān)系。并且不管域的數(shù)目有多少，配備信息只需要變化一次就能自動(dòng)復(fù)制到其它的域中。由于活動(dòng)目錄森林含有共享元素（例如架構(gòu)），因此活動(dòng)目錄森林中的全部參加者必須同意這些共享元素的內(nèi)容和管理。若各參加單位不能在活動(dòng)目錄森林的管理上進(jìn)行合作，就必須建立一種以上的活動(dòng)目錄森林，這涉及：不互相信任管理員參加單位的各管理運(yùn)互相之間缺少信任，使用同一種活動(dòng)目錄森林將造成管理和安全問題。不同意活動(dòng)目錄森林的更改方略架構(gòu)更改、配備更改和向活動(dòng)目錄森林添加域都會(huì)影響到整個(gè)活動(dòng)目錄森林。活動(dòng)目錄森林中的每個(gè)單位都必須同意實(shí)現(xiàn)這些更改的過程，同意架構(gòu)管理員和公司管理員組的組員身份。如果單位不同意一種公共方略，它們就不能共享相似的活動(dòng)目錄森林。但愿限制信任關(guān)系范疇活動(dòng)目錄森林中的每個(gè)域都信任該活動(dòng)目錄森林中的全部其它域。能夠?qū)⒒顒?dòng)目錄森林中的每個(gè)顧客涉及進(jìn)某個(gè)構(gòu)組員關(guān)系中，或使其出現(xiàn)在活動(dòng)目錄森林中任何計(jì)算機(jī)的訪問控制列表上。如果但愿避免將特定資源的訪問權(quán)限授予特定顧客，則必須讓這些顧客駐留在與資源不同的活動(dòng)目錄森林中。域設(shè)計(jì)闡明在Window活動(dòng)目錄森林中，共享目錄數(shù)據(jù)庫的一組計(jì)算機(jī)構(gòu)成了活動(dòng)目錄的域?；顒?dòng)目錄域含有唯一的名稱，并集中管理顧客帳戶和組。作為Windows網(wǎng)絡(luò)的安全范疇，活動(dòng)目錄域含有自己的安全方略，并與其它與建立安全聯(lián)系?；顒?dòng)由一種或者多個(gè)域構(gòu)成，每個(gè)域都可跨越多個(gè)物理位置。Windows的域形成的持續(xù)名字空間叫做域樹。創(chuàng)立第一種域控制器時(shí)就創(chuàng)立了域樹，即使只有一種域。對(duì)DNS而言，域是DNS名字空間中的任何一種分支。即使DNS的域普通都與活動(dòng)目錄的域相對(duì)應(yīng)，但這兩個(gè)域是不同的概念。Windows的域控制器（DC）對(duì)本域負(fù)責(zé)認(rèn)證顧客登錄、維護(hù)安全方略和本域中的安全賬戶數(shù)據(jù)庫。DC還管理管理顧客對(duì)網(wǎng)絡(luò)的訪問，如登錄、認(rèn)證、對(duì)共享目錄和資源的訪問等。根據(jù)XXX的實(shí)際狀況，根域名DD.COM將為廠區(qū)所使用；各分支機(jī)構(gòu)將作為子域加入活動(dòng)目錄森林中。組織單位（OU）設(shè)計(jì)設(shè)計(jì)要點(diǎn)結(jié)合XXX的公司網(wǎng)絡(luò)環(huán)境，可覺得廠內(nèi)不同的部門建立單獨(dú)的OU；在各部門OU內(nèi)，再按照小組劃分子OU。還可為公司高層領(lǐng)導(dǎo)建立一種單獨(dú)的OU。各分支機(jī)構(gòu)使用委派的權(quán)限管理自己OU內(nèi)的顧客賬戶和計(jì)算機(jī)資源。OU設(shè)計(jì)圖以下所示。OU設(shè)計(jì)闡明OU是用來在域中創(chuàng)立構(gòu)造的容器。在域中創(chuàng)立構(gòu)造時(shí)，需要考慮以下的OU特性。OU能夠嵌套。一種OU能夠包含子OU，使得能夠在域中創(chuàng)立一種分層的目錄樹構(gòu)造。OU能夠用來委派管理和控制對(duì)目錄對(duì)象的訪問。當(dāng)綜合使用OU嵌套和訪問控制列表時(shí)，能夠用一種非常細(xì)化的方式委派目錄中對(duì)象的管理。例如，能夠賦予協(xié)助中心技術(shù)人員權(quán)限，為一組指定的顧客重新設(shè)立密碼，但無權(quán)創(chuàng)立顧客或修改顧客對(duì)象的任何其它屬性。OU不是安全主管。不能使OU成為安全組的組員，也不能由于顧客駐留在特定的OU中而授予他們?cè)L問資源的權(quán)限。由于OU用于管理的委派，因此顧客對(duì)象的父OU指出誰管理顧客對(duì)象，但是它并不指出顧客能夠訪問的資源。組方略能夠與一種OU有關(guān)聯(lián)。組方略能夠定義顧客和計(jì)算機(jī)的桌面配備。能夠?qū)⒔M方略與站點(diǎn)、域和OU有關(guān)聯(lián)。在OU基礎(chǔ)上定義組方略使您能夠在同一域中使用不同方略。顧客不會(huì)在OU構(gòu)造中瀏覽。沒有必要設(shè)計(jì)一種吸引最后顧客的OU構(gòu)造。盡管顧客有可能瀏覽一種域的OU構(gòu)造，但對(duì)于顧客查找資源來說，這并不是一種最有效的辦法。在目錄中查找資源的最有效的辦法是查詢?nèi)志庝?。普通?yīng)當(dāng)按照管理規(guī)定來設(shè)計(jì)OU。如按照組織機(jī)構(gòu)將整個(gè)域劃分為層次構(gòu)造。但需要注意，若OU的層次過多，將會(huì)延長顧客登錄時(shí)間。管理委派闡明在Windows中，管理委派功效更強(qiáng)并更具靈活性。管理能夠任意委派，其辦法是通過授予一組顧客創(chuàng)立特定類別的對(duì)象、或修改特定類別的對(duì)象的特定屬性的能力來實(shí)現(xiàn)。Windows公司環(huán)境中委派管理員任務(wù)是實(shí)用和必需的。普通權(quán)限不僅委派給IT構(gòu)組員，還要委派給人力資源人員和不同的經(jīng)理，由于有些任務(wù)與其職責(zé)有關(guān)。例如，能夠授權(quán)人力資源部門在特定的OU中創(chuàng)立顧客對(duì)象，而不在其它地方。能夠授權(quán)協(xié)助中心技術(shù)人員重新設(shè)立該OU中的顧客的密碼，但不能創(chuàng)立顧客。能夠授權(quán)其它的目錄管理員修改顧客對(duì)象的通訊簿屬性，但不允許創(chuàng)立顧客或重新設(shè)立密碼。在公司中委派特定的權(quán)限能夠?qū)⒈仨氂懈呒?jí)訪問權(quán)限的顧客的數(shù)量降到最少。權(quán)限受到限制的管理員所發(fā)生的事故或錯(cuò)誤所產(chǎn)生的影響只限于他們負(fù)責(zé)的范疇。通過管理委派，能夠?qū)⒐芾碡?zé)任分散到各部門中的各個(gè)組，以節(jié)省將請(qǐng)求發(fā)送到高級(jí)管理組的開銷。委派管理通過授予一種組對(duì)OU的特定權(quán)限來做到。使用下列環(huán)節(jié)配備OU的授權(quán)管理：為各部門創(chuàng)立一種OU。指派對(duì)應(yīng)組的權(quán)限，然該組能夠完全控制它的OU。如果允許該分支機(jī)構(gòu)設(shè)立它的組員身份，將該分支機(jī)構(gòu)的管理員組放置到OU中。如果不允許該分支機(jī)構(gòu)設(shè)立它自己的管理員組員身份，將該組放置在OU之外。DC、GC和DNS服務(wù)器設(shè)計(jì)設(shè)計(jì)要點(diǎn)在活動(dòng)目錄根域DD.COM中放置兩臺(tái)根域控制器（DC），同時(shí)將每臺(tái)域控制器都配備為根域DNS服務(wù)器和GC服務(wù)器。如果隨著公司信息化發(fā)展，將來能夠在各分支機(jī)構(gòu)中，放置兩臺(tái)子域控制器，同時(shí)將每臺(tái)子域控制器都配備為子域DNS服務(wù)器和GC服務(wù)器。DNS服務(wù)器域名配備表：DNS服務(wù)器位置所包含的域名根域DNS服務(wù)器DD.com_msdcs.DD.com其它子域DNS服務(wù)器各子域自己的域名_msdcs.DD.com放置DC服務(wù)器站點(diǎn)拓?fù)渲蟹?wù)器的位置對(duì)活動(dòng)目錄的可用性有直接的影響。在站點(diǎn)規(guī)劃過程決定了哪些站點(diǎn)中的每個(gè)域都有域控制器，但是并不能決定每個(gè)站點(diǎn)中的每個(gè)域放置的域控制器的數(shù)量。為一種特定域創(chuàng)立的域控制器的數(shù)量取決于兩個(gè)因素：容錯(cuò)規(guī)定和負(fù)載分布規(guī)定。對(duì)于每個(gè)域，使用下列指導(dǎo)方針決定與否需要更多的域控制器：總是最少創(chuàng)立兩個(gè)域控制器即使是顧客數(shù)量較少的小型域，最少也要?jiǎng)?chuàng)立兩個(gè)域控制器，這樣域就沒有單個(gè)故障點(diǎn)。對(duì)于包含單個(gè)域控制器的每個(gè)站點(diǎn)，決定與否信任WAN的故障轉(zhuǎn)移如果單個(gè)域控制器出現(xiàn)故障，能夠由位于其它站點(diǎn)中那個(gè)域的域控制器服務(wù)站點(diǎn)中的客戶。如果網(wǎng)絡(luò)連接不太可靠或間歇可用，可能不能信任網(wǎng)絡(luò)解決故障轉(zhuǎn)移。在這種狀況下，在站點(diǎn)中為該域放置第二個(gè)域控制器。在站點(diǎn)中為域放置更多的域控制器以解決客戶工作量一種特定的服務(wù)器能夠解決的客戶的數(shù)量取決于工作量和服務(wù)器的硬件配備?？蛻魪恼军c(diǎn)中的可用域控制器中隨機(jī)選擇以均勻地分派客戶負(fù)載。放置GC服務(wù)器全局編錄服務(wù)器的有效性對(duì)于目錄的運(yùn)行是很核心的。例如，當(dāng)為本機(jī)模式（NativeMode）域解決顧客登錄請(qǐng)求時(shí)或當(dāng)顧客使用顧客重要名稱登錄時(shí)，必須有一種全局編錄服務(wù)器可用。當(dāng)為本機(jī)模式域中的顧客解決登錄請(qǐng)求時(shí)，域控制器給全局編錄服務(wù)器發(fā)送一種查詢到以判斷顧客的通用構(gòu)組員身份。由于能夠明確回絕組對(duì)資源的訪問，所覺得對(duì)的執(zhí)行訪問控制，必須完全懂得顧客的構(gòu)組員身份。如果當(dāng)顧客要登錄時(shí)，本機(jī)模式域的域控制器不能聯(lián)系到全局編錄服務(wù)器，則域控制器回絕登錄請(qǐng)求。普通，最少在每個(gè)站點(diǎn)中指定一種域控制器作為全局編錄服務(wù)器。使用與單獨(dú)的域控制器的相似故障轉(zhuǎn)移和負(fù)載分派規(guī)則決定與否需要在每個(gè)站點(diǎn)中增加全局編錄服務(wù)器。在單域環(huán)境中，不規(guī)定全局編錄服務(wù)器解決顧客登錄請(qǐng)求。但是，仍然應(yīng)當(dāng)使用所建議的環(huán)節(jié)指定全局編錄服務(wù)器?？蛻粼谒阉鞑僮鲿r(shí)仍然尋找全局編錄服務(wù)器。同時(shí)，將全局編錄服務(wù)器準(zhǔn)備就緒使得在后來添加更多的域時(shí)，系統(tǒng)更容易適應(yīng)。放置DNS服務(wù)器DNS服務(wù)的可用性直接影響活動(dòng)目錄的可用性?？蛻粢蕾嘍NS來查找域控制器，而域控制器依賴DNS來查找其它的域控制器。即使現(xiàn)在已在網(wǎng)絡(luò)中布署了DNS服務(wù)器，可能需要調(diào)節(jié)服務(wù)器的數(shù)量和位置以滿足活動(dòng)目錄客戶和域控制器的規(guī)定。普通，最少在每個(gè)站點(diǎn)中放置一種DNS服務(wù)器。站點(diǎn)中的DNS服務(wù)器應(yīng)當(dāng)負(fù)責(zé)站點(diǎn)中域的定位器統(tǒng)計(jì)，這樣客戶不需要離站查詢的DNS服務(wù)器即可擬定站點(diǎn)中的域控制器的位置。域控制器也將定時(shí)驗(yàn)證主服務(wù)器上的每個(gè)定位器統(tǒng)計(jì)項(xiàng)目與否對(duì)的。一種滿足全部規(guī)定的簡(jiǎn)樸配備是使用集成活動(dòng)目錄的DNS將域的定位器統(tǒng)計(jì)保存在域中，并為那些域控制器出現(xiàn)的每個(gè)站點(diǎn)在一種或多個(gè)域控制器上運(yùn)行WindowsDNS服務(wù)。分發(fā)活動(dòng)目錄森林內(nèi)定位器統(tǒng)計(jì)活動(dòng)目錄森林中的每個(gè)域控制器注冊(cè)兩組定位器統(tǒng)計(jì)：一組特定域統(tǒng)計(jì)，以<DNS-domain-name>結(jié)束；一組活動(dòng)目錄森林內(nèi)統(tǒng)計(jì)，以_msdcs.<DNS-forest-name>結(jié)束?；顒?dòng)目錄森林內(nèi)統(tǒng)計(jì)引發(fā)來自活動(dòng)目錄森林的全部客戶和域控制器的注意。例如，全局編錄定位器統(tǒng)計(jì)和復(fù)制系統(tǒng)用來擬定復(fù)制伙伴位置的統(tǒng)計(jì)都包含在活動(dòng)目錄森林內(nèi)統(tǒng)計(jì)中。對(duì)于要互相復(fù)制的任何兩個(gè)域控制器，涉及相似域的兩個(gè)域控制器，必須能夠查尋活動(dòng)目錄森林內(nèi)定位器統(tǒng)計(jì)。為了使一種新創(chuàng)立的域控制器參加復(fù)制，它必須能夠在DNS中注冊(cè)它的活動(dòng)目錄森林內(nèi)統(tǒng)計(jì)，而其它的域控制器必須能夠查尋這些統(tǒng)計(jì)。由于這個(gè)因素，使活動(dòng)目錄森林內(nèi)定位器統(tǒng)計(jì)對(duì)于每個(gè)站點(diǎn)的每個(gè)DNS服務(wù)器可用是很重要的。要做到這一點(diǎn)，創(chuàng)立一種稱為_msdcs.<DNS-forest-name>的單獨(dú)區(qū)域，并將該區(qū)域復(fù)制到每個(gè)DNS服務(wù)器。如果使用簡(jiǎn)樸的集成活動(dòng)目錄的配備，能夠?qū)⒒顒?dòng)目錄森林根域中的這個(gè)區(qū)域的主副本放置在<DNS-forest-name>區(qū)域。然后能夠使用原則DNS復(fù)制將該區(qū)域復(fù)制到域以外的DNS服務(wù)器。普通，僅將該區(qū)域復(fù)制到每個(gè)站點(diǎn)的一種DNS服務(wù)器是不夠的。如果一種DNS服務(wù)器沒有_msdcs.<DNS-forest-name>區(qū)域的本地副本，它必須使用DNS遞歸以查尋該區(qū)域中的一種名稱。對(duì)于執(zhí)行遞歸的DNS服務(wù)器，它聯(lián)系負(fù)責(zé)名稱空間的根的DNS服務(wù)器（DNS根服務(wù)器）并繼續(xù)DNS中的委派，直到它找到出所需統(tǒng)計(jì)。如果站點(diǎn)中沒有DNS根服務(wù)器，并且該站點(diǎn)和其它站點(diǎn)之間的鏈接已斷開，DNS服務(wù)器不能執(zhí)行遞歸。因此，找不到負(fù)責(zé)_msdcs.<DNS-forest-name>的DNS服務(wù)器，即使這些DNS服務(wù)器在相似的站點(diǎn)。DNS客戶配備客戶和域控制器應(yīng)當(dāng)使用最少兩個(gè)DNS服務(wù)器IP地址配備：一種首選本地服務(wù)器和一種備用服務(wù)器。備用服務(wù)器能夠在本地站點(diǎn)，或者如果信任網(wǎng)絡(luò)解決故障轉(zhuǎn)移，也能夠是遠(yuǎn)程的備用服務(wù)器。DHCP和WINS服務(wù)器設(shè)計(jì)設(shè)計(jì)要點(diǎn)除活動(dòng)目錄森林的根域DD.COM外，在各分支機(jī)構(gòu)對(duì)應(yīng)子域XX.DD.COM的每個(gè)站點(diǎn)中，各配備一臺(tái)DHCP服務(wù)器和一臺(tái)WINS服務(wù)器。子域內(nèi)部，各站點(diǎn)之間的WINS服務(wù)器互為復(fù)制伙伴。使用DHCP服務(wù)器為客戶機(jī)自動(dòng)分派IP地址，涉及DNS服務(wù)器、WINS服務(wù)器和缺省網(wǎng)關(guān)等。使用WINS服務(wù)器為Windows以前的操作系統(tǒng)提供名稱解析，涉及Windows98和WindowsNT4等操作系統(tǒng)。DHCP服務(wù)器設(shè)計(jì)闡明TCP/IP網(wǎng)絡(luò)上的每一計(jì)算機(jī)都需要唯一的名稱和IP地址。Windows動(dòng)態(tài)主機(jī)控制合同(DHCP)提供一種簡(jiǎn)化和自動(dòng)完畢此過程的方式，向網(wǎng)絡(luò)上的客戶提供IP地址的動(dòng)態(tài)分派，以減少管理工作量。DHCP實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)IP地址的可靠分派，避免IP沖突，并方便移動(dòng)客戶端獲取IP地址。與DNS服務(wù)器的互操作性給網(wǎng)絡(luò)資源提供了名稱解析，允許DHCP服務(wù)器和DHCP客戶向DNS注冊(cè)。在Windows中，DHCP服務(wù)器和客戶能夠向DNS服務(wù)器動(dòng)態(tài)更新合同注冊(cè)。DHCP和DNS的集成啟動(dòng)A類型（名稱到地址）和指針（PTR，或地址到名稱統(tǒng)計(jì)）的注冊(cè)。這允許DHCP服務(wù)器作為一種代理，代表Windows98和WindowsNT4客戶端在活動(dòng)目錄內(nèi)動(dòng)態(tài)更新注冊(cè)。由于靜態(tài)DNS服務(wù)器無法與DHCP動(dòng)態(tài)交互，當(dāng)DHCP客戶配備發(fā)生變化時(shí)也無法保持名稱與地址映射信息的同時(shí)。在這種環(huán)境中最佳將全部靜態(tài)DNS服務(wù)器升級(jí)到Windows的DNS。Windows的DHCP服務(wù)器的管理功效能夠防止未經(jīng)授權(quán)的分派和檢測(cè)現(xiàn)存未經(jīng)授權(quán)的DHCP服務(wù)器。過去任何人都能夠在網(wǎng)絡(luò)上創(chuàng)立DHCP服務(wù)器，而現(xiàn)在則需要一種授權(quán)的環(huán)節(jié)。通過授權(quán)的人員普通是Windows操作平臺(tái)所屬域的管理員或者是那些被委派管理DHCP服務(wù)器任務(wù)的人員。DHCP服務(wù)器響應(yīng)BOOTP請(qǐng)求和DHCP請(qǐng)求。BOOTP是一種已建立的TCP/IP原則，用于DHCP之前的主機(jī)配備。設(shè)計(jì)BOOTP的最初目的是用來為無盤工作站啟用啟動(dòng)配備。有了對(duì)動(dòng)態(tài)BOOTP的支持，就可覺得BOOTP客戶指派一種地址池，其指派方式與作用域用于DHCP客戶的方式相似。這將允許動(dòng)態(tài)管理分派給BOOTP客戶的IP地址。還允許DHCP服務(wù)收回用于動(dòng)態(tài)BOOTP地址池中的IP地址，但首先應(yīng)核算特定的租期已到期，且BOOTP客戶仍在使用每一種地址。當(dāng)設(shè)計(jì)和升級(jí)網(wǎng)絡(luò)時(shí)，能夠通過使用集中或分布式的辦法實(shí)現(xiàn)DHCP。在集中式環(huán)境中，IP地址被集中分派到DHCP服務(wù)器，一種DHCP服務(wù)器負(fù)責(zé)分派有關(guān)子網(wǎng)或站點(diǎn)內(nèi)的地址。在分布式環(huán)境中，一種DHCP服務(wù)器能夠負(fù)責(zé)所在站點(diǎn)或其它本地或遠(yuǎn)程的任何涉及在給定的公司構(gòu)造中的站點(diǎn)。WINS服務(wù)器設(shè)計(jì)闡明在Windows活動(dòng)目錄環(huán)境中，如果顧客只使用Windows以上的服務(wù)器和客戶的話，則在TCP/IP上不必配備WINS和NetBIOS。如果顧客使用如WindowsNT4或Windows98等系統(tǒng)的話，則仍然需要WINS，由于這些操作系統(tǒng)使用NetBIOS名稱解析和NetBIOS會(huì)話來創(chuàng)立文獻(xiàn)和打印共享連接。網(wǎng)絡(luò)資源在NetBIOS名稱空間中由唯一NetBIOS名稱標(biāo)記。WINS服務(wù)（WindowsInternetNamingService）是一種把NetBIOS(網(wǎng)絡(luò)基本輸入/輸出系統(tǒng))名稱映射到IP地址的服務(wù)。在比Windows更早的Windows版本中，WINS用來與DHCP一起注冊(cè)NetBIOS名稱，并和WINS數(shù)據(jù)庫一起注冊(cè)動(dòng)態(tài)分派的IP地址。當(dāng)DHCP客戶端動(dòng)態(tài)獲取IP地址時(shí)，DHCP服務(wù)器把WINS服務(wù)器地址作為DHCP選項(xiàng)分派給DHCP客戶端。在DCHP客戶租用分派過程結(jié)束后來，NetBIOS名稱和與它關(guān)聯(lián)的IP地址都由DHCP客戶在WINS數(shù)據(jù)庫中注冊(cè)了。Windows提供DNS和WINS之間的集成。如果某臺(tái)Windows3的DNS服務(wù)器不能解析一種域名全稱(FQDN)，則它把這個(gè)FQDN變換成NetBIOS名稱并查詢一臺(tái)已經(jīng)配備好的WINS服務(wù)器。WINS服務(wù)器返回的IP地址被轉(zhuǎn)發(fā)給DNS客戶。如果需要NetBIOS名稱解析，則域中的每個(gè)站點(diǎn)都需要擁有最少一種WINS服務(wù)器。能夠把這個(gè)WINS服務(wù)器安裝在與DNS服務(wù)器相似的系統(tǒng)上，或者獨(dú)立安裝。同時(shí)還需要在網(wǎng)絡(luò)中的其它位置安裝一種備份WINS服務(wù)器。能夠把這個(gè)備份WINS服務(wù)器安裝在與Windows域控制器相似的系統(tǒng)上，或者獨(dú)立安裝。Windows以上的WINS客戶機(jī)本地緩存解析的名稱并使用名為CachingResolver的組件在將查詢提交到DNS之前搜索緩存?？蛻魴C(jī)開