中型企业Active Directory 设计部署

《中型企业Active Directory 设计部署》由会员分享，可在线阅读，更多相关《中型企业Active Directory 设计部署（95页珍藏版）》请在金锄头文库上搜索。

1、中型企业Active Directory 设计部署AD架构设计问：假如你是珠海总公司员工，带着你的笔记本电脑去南昌分公司出差，到了分公司以后，接入分公司网络这个时候你的身分验证是在那里完成的？ 答：在南昌的其中一台DC完成身份验证。 分析： 珠海员工到南昌分公司出差办公当笔记本接入南昌分公司的网络后南昌分公司的DHCP服务器会为它分配一个属于南昌网段的IP地址，并配置南昌分公司的DNS及网关地址，然后DNS会去查询本地的DC，最后在本地DC上对用户进行身份验证。 下面进行OS公司的AD的架构设计图 从图里我们可以看出Administrator用户对域有最高的权限，是整个AD的管理员，在大中型企

2、业里如果AD靠管理员一个人去管理维护肯定是不可能的特别是有分支机构的企业，因此需要把部分权限委派出去。委派的权限不能过高，因为AD是公司的基础架构，很多应用都是基于AD的，如果AD发生崩溃在大中型企业里后果是不可想象，为了减少AD的崩溃和出错在权限设计方面一定要设计严格的管理权限，制定出在AD里对象的操作规则。 AD的结构主要是根据自己企业的实际情况和管理方便来划分下面只是一个实例仅供参考。 第一级划分 考虑到OS公司在未来的几年发展只限于国内发展，国外暂不考虑，结合中国地理位置第一级OU按省份来划分。 OS公司在3个省内有公司第一级划分三个OU分别是GD(广东）、JX（江西)、SC(四川）未

3、来在别的省份发展分公司还可以断续增加省份OU。 在第一级OU中设计了一个Groups的OU这个OU主要用于存放OS公司的一些公共组,这个设计主要是为了便于管理。举个例子：总部有一份报表需要给珠海总公司、广东分公司、南昌分公司等各分公司的财务人员查看和修改，如果你是IT管理者该如何做？ 最佳的解决方法： 1、要求各公司IT管理员创建一个本地的财务组，如珠海ZHOS-Finance-Dept、广州GZOS-Finance-Dept，南昌NCOS-Finance-Dept等，自己本公司的所有财务人员加入到本地创建的财务组； 2、总部管理员在Groups创建一个OS-Finance-Dept财务公共组

4、，把各公司的财务组如珠海ZHOS-Finance-Dept、广州GZOS-Finance-Dept等加入到OS-Finance-Dept财务组； 3、创建一个文件夹，把查看和修改权限赋予OS-Finance-Dept。 第二级划分 第二级划分主要根据OS公司的结构来划分，根据所在的省份在一级OU下为每个公司划分一个OU，每个OU委派给各公司IT主管进行管理。 从图里可以看出，每个公司的OU下都有一个组，这个组的用户对这个OU下面的对象负责管理，AD管理员把各公司的IT主管分别加入到相应的组里面。对每个公司的OU委派下面几个权限： 1、创建、删除以及管理用户帐户 2、创建、删除以及管理计算机帐户

5、 3、重设用户密码并强制在下次登录时更改密码 4、读取所有用户信息 5、创建、删除和管理组 6、修改组成员身份 7、生成策略的结果集(计划) 8、生成策略的结果集(记录)问题：假如我是南昌的IT管理员可以在一级OU上创建AD对象吗？可以对重庆的进行管理吗？ 答：假如我是南昌的IT管理员可以在一级OU上创建AD对象吗？可以对重庆的进行管理吗？ 答：1、不能在一级OU上创建AD对象，因为没有被授权； 2、不能对重庆OU进行管理，因为没有被授权； 前面我们根据地点和公司划分了二级OU，下面我们再针对每个公司继续划分OU。 每个公司的OU架构共设计了两个方案，下面我们先看看二个方案的架构图。 方案一：

6、 方案二： 公司OU划分没有一定结构，原则是根据公司的实际情况来划分，怎么样管理方便就怎么样划分。 第一个方案简单明了，把相应的对象放入相应的OU再进行策略管理； 第二个方案也不错，在管理上划分得很细，但相应的也增加了管理的复杂度； 根据公司的实际情况，为了简化管理决定采用第一个方案，强化总公司的IT管理，减少AD的维护量，保障公司OU架构的统一性和可靠性所有公司都统一采用这一架构，并为公司里的每一个OU委派权限给分公司的IT管理员。具体的OU委派权限如下： IT: 作用：此OU委派给总公司IT管理员创建和存放分公司的IT用户和组 委派权限： 1、创建、删除以及管理用户帐户 2、重设用户密码并

7、强制在下次登录时更改密码 3、读取所有用户信息 4、创建、删除和管理组 5、修改组成员身份 6、生成策略的结果集(计划) 7、生成策略的结果集(记录) Groups: 作用：委派给分公司IT管理员创建和存放本地分公司的用户组 委派权限： 1、创建、删除和管理组 2、修改组成员身份 Users: 作用：委派给分公司IT管理员创建和存放本地用户帐号 委派权限： 1、创建、删除和管理组 2、重设用户密码并强制在下次登录时更改密码 3、读取所有用户信息 4、修改组成员身份 5、生成策略的结果集(计划) 6、生成策略的结果集(记录) Servers: 作用：委派给分公司IT管理员创建和存放本地服务器计算

8、机帐号； 委派权限： 1、创建、删除以及管理计算机帐户 2、生成策略的结果集(计划) 3、生成策略的结果集(记录) Mobiles: 作用：委派给分公司IT管理员创建和存放本地笔记本计算机帐号； 委派权限： 1、创建、删除以及管理计算机帐户 2、生成策略的结果集(计划) 3、生成策略的结果集(记录) Workstations: 作用：委派给分公司IT管理员创建和存放本地普通计算机帐号； 委派权限： 1、创建、删除以及管理计算机帐户 2、生成策略的结果集(计划) 3、生成策略的结果集(记录)子网划分这篇系列文章我也是工作之余抽时间写的，我会尽快的写完，有的地方可能不会写得太详细。如果有纰漏或错误

9、的地方，请及时指出。 AD的理论知识和实际操作技巧大多数朋友想必都很熟悉了，不熟悉的朋友建议先把理论知识学好再来看这个系列的文章。 公司概况 公司简单介绍： OS公司是一家电子制作型企业，通过公司的运营和管理，发展迅速，现以拥有三家分公司，员工人数已经有10000人左右。为了满足公司未来的发展和 企业运营的需求，公司决定重新部署企业的网络。公司计划部署一个以AD为基础架构的信息系统用于完成企业的资源共享和数据通信。 下面是OS电子公司的分布图： 下面是OS电子公司IT部门的职能划分图根据OS公司管理模型和其它状况决定采用单域多站点的结构来进行AD部署； 在设计部署AD之前首先要规划好IP地址的

10、划分，子网的划分原则：，为每个分公司分配一个子网，子网数必须能满足今后的发展需求保证以后有足够可用的子网，每个子网有足够的可用Ip地址。 根据公司的现状，以及考虑以后的发展规模决定用一个B类地址172.16.0.0/16来划分子网。 下面是子网划分图 每个子网的掩码是:255.255.252.0 一共可以划分64个子网，每个子网有1022个可用IP，可以满足以后的发展需求。 下面是每个公司网络的IP划分规则 、每个网络前1-100为用于服务器规划，如珠海总公司172.16.0.1-172.16.0.100/22保留，用于服务器IP地址的划分。 、每个网络前101-150用于交换机和网络打印机地

11、址规划，如珠海总公司172.16.0.150-172.16.0.150/22用于交换机和网络打印机地址规划。 、每个网络最后一个254地址用于路由器，如珠海总公司172.16.3.254/22用于和分公司连接的路由器地址。 、剩下的IP地址用于客户端，或分公司IT自己划分，如珠海总公司172.16.0.151-172.16.3.253/22用于客户端。 以上的IP划分规则所有分公司IT必须严格执行。站点设计在设计站点之前先定义一下AD里对像的命名规则吧。简单的说就是要对AD里的对象制定一套命名规则，每个公司IT部门都要严格按这套命名规则来对自己创建的AD对象进行命名。下面写得不太详细但太概的意

12、思就是这样。 域的名字：os.ad 域的功能级别：windows server 2003 站点命名：地点前两个字母+公司简称，如：珠海总公司（ZHOS），广州分公司（GZOS），南昌分公司（NCOS）； 服务器的命名：地点前两个字母+OS（公司简称）+服务器角色两个字母+IP地址（不足2位前面用0填充），让人通过名字就知道这台DC是那个分公司的，IP是多少。如珠海的DC（ZHOSDC02），重庆DC（CQOSDC02） 客户端PC的命名：地点前两个字母+OS（公司简称）+W（Workstations的意思）+3位数字编号（不足前面用0填充），如珠海的客户端ZHOSW001,广州的客户端GZOS

13、W001； 用户登录帐号的命名：地点前两个字母+OS（公司简称）+U（Users的意思）+3位数字编号（不足前面用0填充）,如珠海用户ZHOSU001,广州用户GZOSU001； 共享打印机的命名：地点前两个字母+OS（公司简称）+P（Printer的意思）+3位数字编号（不足前面用0填充）,如珠海的打印机ZHOSP001,广州的打印机GZOSP001； 下面进入我们的主题站点的规划，不理解站点的朋友请详细阅读这篇文章 深刻理解站点和复制（实现站点以管理AD中的复制）相关概念： Active Directory中的站点代表网络的物理结构或拓扑。 Active Directory 使用拓扑信息（

14、在目录中存储为站点和站点链接对象）来建立最有效的复制拓扑。 可使用“Active Directory 站点和服务”定义站点和站点链接。 站点是一组有效连接的子网。站点和域不同，站点代表网络的物理结构，而域代表组织的逻辑结构。 使用站点的好处简化管理： 1.复制。通过在站点内更为频繁（与站点之间复制信息相比）地复制信息，Active Directory 平衡对最新目录信息的需求与对优化带宽的需求。您还可以配置站点间连接的相对开销，进一步优化复制。 2.身份验证。站点信息有助于使身份验证更快更有效。当客户端登录到域时，它首先在其本地站点中搜索可用于身份验证的域控制器。通过建立多个站点，可确保客户端利用与它们最近的域控制器进行身份验证，从而减少了身份验证滞后时间，并使通讯保持在 WAN 连接以外。 3.启用 Active Directory 的服务。启用 Active Directory 的服务可利用站点和子网信息，使客户端能够更方便地找到最近的服务器提供程序。