《集团计算机域管理方案》由会员分享,可在线阅读,更多相关《集团计算机域管理方案(6页珍藏版)》请在金锄头文库上搜索。
1、集团计算机域管理方案1. 集团现有的网络环境就目前集团计算机网络以物理范围上划分大致分为顺德总部,中山区工厂 分支,昆山工厂分支和海林工厂分支。另外还有顺德的生态厂,中冠工厂等,与 顺德总部较邻近的分支(这些分支没有常驻网络专员),其次不排除今后的其 他工厂分支的加入。逻辑上,中山区工厂,昆山工厂,海林工厂,及生态厂通过 VPN连接至顺 德总部,形成逻辑上的一个网络整体。各分支和总部除了以VPN 形式存在的工作组模式的网络外,没有其他应用, 客户端计算机的管理也没有一 个统一。现在需要加强总部和各分支计算机的管理,故欲部署集团形式的域管 理方案。2. 部署方案确定针对目前集团计算机的管理要求:
2、集成化统一管理, 所以决定采用单域多 站点的形式。单域,满足集成化,统一;多站点,合理管理各个服务器之间的复 制和复制开销。(1)AD架构如图所示:顺德总部建立两台域控制器,分别为主域控制器DC1 ,和辅 助域控制器 DC2 ,中山,昆山和海林各设置一台域控制器,分别为DC3,DC4 和 DC5 。鉴于物理位置上中冠和生态厂距离总部较近,有网络速度上的优势,直接 通过 VPN登录总部域控制器验证。 若今后其它分支加入, 可新增控制器方式并入 总部域。 为了方便控制和管理各个分支工厂域控制器的复制,我们通过站点的方式解决这 个问题。服务器操作系统方面推荐使用windows server 2003
3、 sp2 .(sp2增强了 对站点的管理 ) 因此,我们在顺德总部,中山,昆山,海林分别建立一个站点, 然后添加顺德总部到中山,顺德总部到昆山,顺德总部到海林的站点链接并编 辑站点复制。 (备注:考虑到站点复制的开销,我们这里只设置各分支到总部的 站点间复制,而不设置所有站点间相互复制。可以手动设置复制开销和复制时 间) 为了实现各控制器间的冗余和客户端计算机以及移动用户能本地验证登 陆,我们还需在分支工厂的域控制器上建立本地DNS ,同时,可以设置顺德总部 DC1,中山 DC3,昆山 DC4,海林 DC5为 GC 。 客户端计算机上,主 DNS 为各点本地 DNS , 备用 DNS为总部 D
4、NS 。这样所有的控制器之间都是冗余状态,且移动笔记本用 户无论到哪个工厂都可以实现本地验证登陆,减少登录验证时间, 各分支工厂网 络专员管理本地计算机网络可以直接对该分支域控制器操作。(2)OU设计如图:一级 OU是以各分支工厂来划分的。 OU的名称可以是分支工厂的拼 音来命名便于区分。因为GPO 应用的最基本容器是OU ,将不同分支工厂分别建 立不 同 OU ,增强了 GPO 链接的灵活性。方便了各分支工厂网络专员根据工厂实 际情况来管理计算机。 与此同时,更方便了对不同分支工厂网络专员权限的委派。 二级 OU的设计分别在各个工厂OU 下,建立组 -IT , OU-SERVERS,OU-P
5、C,OU-NOTEBOOK,OU-USERS,OU-GROUPS. IT( 组):存放分支工厂网络专员的账号,负责该OU下对象的管理 委派权限: 1、创建、删除以及管理用户帐户 2、重设用户密码并强制在下次登录时更改密码 3、读取所有用户信息 4、创建、删除和管理组 5、修改组成员身份Servers(OU) :存放各分支工厂服务器计算机账号 PC (OU ):存放各分支工厂台式计算机账号 Notebook(OU):存放各分支工厂笔记本计算机账号 Users(OU):存放各分支工厂用户账号 Groups(OU ):存放各分支工厂的组主域 administrator对整个 AD具有最高管理权限,新
6、建一个domain admin,管 理域内所有对象。建立各分支工厂网络专员账号,委派其管理各分支工厂OU内 的对象。因为组策略的应用关系到整个域的稳定,所以权限不下放,如果有需 求由分支工厂网络专员向总部AD管理员反映处理。之所以设置GROUPS(OU),是 为了满足今后文件共享及其他权限的的管理。例如:人力资源中心需要一个公 共磁盘来存放该部门文件, 但又不需要其他部门查看, 则可以通过建立组的形式 来分配权限。(备注:当然,目前我们公司很多职能中心都是通过派驻形式到 各个分工厂, 如果总部需要建立一个公共磁盘,让所有人力资源中心同事都能访 问,包括分支工厂的派驻专员, 则我们只需要在一级O
7、U下新建一个公共组人力 资源中心,然后把各分支工厂的组人力资源中心包含进来,然后分配总部公共组 人力资源中心权限即可实现)(3)客户端权限设计对客户端计算机权限的管理和设计直接影响到整个域的管理。权限过松, 管理上显得比较粗放; 权限太少, 则什么东西都需要管理员才能完成。所以无论 权限太多和太少都将直接涉及到网络管理员的日常工作。默认的添加到域的计算机即 DOMAIN USERS组的用户只具有本地计算机的USERS 组的权限(权限比较 低),因此我们将域用户赋予本地POWER USER组权限。Power user 权限分析: ? 运行 Windows 2000、Windows XP Prof
8、essional 或 Windows Server 2003 家 族中属于 Windows Logo program for Software 的应用程序和以前的应用程序。? 安装不修改操作系统文件的程序或安装系统服务。? 自定义整个系统的资源,包括打印机、日期/ 时间、电源选项和其他“控制面 板”资源。? 创建和管理本地用户帐户和组。? 启动和停止默认情况下不启动的服务。Power Users 不具有将自己添加到 Administrators 组的权限。 Power Users 不 能访问 NTFS 卷上的其他用户数据,除非他们获得了这些用户的授权。由于域用户上不存在Power users
9、组,因此我们在添加计算机到域时需要手动 添加该用户到本地计算机的Power users 组。默认的域用户是能够登录到所有的 域计算机的, 因此我们还需要设置该域用户帐号只能登陆到指定的计算机。同时 默认添加到域的计算机帐号会自动加入到一个 COMPUTER的对象中,因此需要我 们手动添加到指定的OU中。 对于已经添加到域的用户, 且具有本地计算机的Power users 的用户在日常的使 用中:1,不具有更改计算机名的权限 2,不具有更改计算机本地连接的权限 3,不具有更改或安装硬件驱动的权限 4,不具有添加和安装打印机驱动的权限 (关于其他的更多的具体权限将在今后应用中根据需要修改)所以我们
10、还需要提升Power users 的权限:装载和卸载驱动程序权限。也需要在 组策略设计中禁用阻止添加打印机驱动策略。这里谈到组策略的设计, 就需要说 下目前基本的组策略: 计算机策略: 1,帐户密码策略(便于设置密码) 2,装载和卸载设备驱动程序(便于安装打印机,扫描仪等常见设备) 3,阻止用户安装打印机驱动程序(便于添加本地和网络打印机) 4,计算机登陆和启动总是等待网络(便于更新GPO ) 5,关闭计算机更新(都是D版系统,不必说了) 6,定义计算机防火墙设置(安全方面)用户策略: 1,定义 IE 首页 2,定义受信用站点等安全区域(例如OA需要对 IE 的设置) 3,统一部署桌面,禁止修
11、改桌面(统一形象)当然,以上是一些基本的计算机和用户策略,我们还有可以根据需要设置一些计 算机优化方便的策略,例如:关机清理虚拟页面文件,禁用自动播放,关闭缩略 图缓存,定义任务栏,定义系统设置等等,这里比较广泛,主要是关于系统优化 方便。其次还有一些特殊应用,例如:禁用USB存储但可以使用 USB设备等等, 这些可以通过启动脚本来实现。 这里不做过多的阐述。 根据今后的应用来灵活修 改。 关于组策略应用连接, 我们在不修改域默认策略, 统一集团计算机环境, 各分之 灵活控制的基础上来实施。即:保持默认策略(便于意外灾难性恢复),一条基 本策略(达到统一的目的),多个优化,特殊策略(灵活配置各
12、个不同分之网络 的实际情况)分别连接域与OU等对象。客户端计算机命名和用户命名:1,计算机命名: YB+ 数字 2,用户命名:地名 +部门+数字其实整个客户端设计中, 计算机名和用户命名都是次要的,主要是为了方便管理 和识别,如果有更直观的方式也可以。3灾难性恢复,系统容错和扩展应用。前面在谈到域架构的时候, 我们所有的域控制器都是冗余的,故任何一台 辅助控制器灾难性损坏都能够在不影响其他计算机用户正常使用的情况下迅速 恢复,即使是主域控制器的灾难性损坏,我们也能够及时通过辅助控制器夺取 FSMO 主机角色,升级到主域控制器来恢复,容错能力非常强。在整个域应用成 熟之后,我们还可以扩展周边应用:例如通过SMS 来分发软件,计算机资产管 理;部署远程维护软件来实现远程维护计算机等等。4实施进度表6 月第二个星期:准备服务器。 6 月第三个星期:服务器测试。 6 月第四个星期:批量加域。 7 月第一个星期:各分支准备服务器,网络专员培训。7 月第二个星期:所有分支计算机全部加域。 7 月第三个星期:使用结果考察,后期调整。
