《中国银行活动目录方案建议书》由会员分享,可在线阅读,更多相关《中国银行活动目录方案建议书(22页珍藏版)》请在金锄头文库上搜索。
1、 中国银行活动目录部署建议书 上海赛卫思信息技术有限公司客户服务部上海赛卫思信息技术有限公司客户服务部2007-03-28V1.0上海浦东向城路15号锦城大厦11E电话:(86-21)传真:(86-21)文档说明中国银行网络基础服务和活动目录方案建议书制作者孙可可审核者制作日期20073更新日期版本1.0密级散发范围中国银行说明本文档中所包含的内容是上海赛卫思信息技术有限公司为中国银行提供的活动目录部署方案,其中可能用到了赛卫思公司产品和技术的专有信息。这些信息仅在中国银行活动目录部署过程中使用,不应该被扩散到中国银行以外,同样也不应该在参考此手册的前提下,复制、使用和扩散本手册。Micros
2、oft Windows Server、Internet Security and Acceleration Server 2006、Microsoft SQL Server 或其它本手册中提及的 Microsoft 产品,是Microsoft 的商标或注册商标。本文档所提到的真实的公司和产品名称可能是其各自所有者的商标。项目概况随着中国银行业务的扩展和IT应用的增加,维护整个网络系统的稳定、安全、高效越来越重要。微软是企业IT基础架构领域的技术领先者,其活动目录技术被业界广泛认可,世界财富五百强的跨国公司大多采用活动目录技术来提供IT基础架构服务。中国银行和微软有着良好的合作关系,在IT应用的
3、各个领域都有很多微软的解决方案。为利用新技术全面提升IT管理能力,决定在此次项目中全面部署基于Windows Server 2003的网络基础服务和活动目录服务。Windows 2003 操作系统集成了IT基础架构所需要的各种网络服务,让企业来建立和管理网络、连接远程工作人员、连接分支机构并且建立兄弟单位的外部网。Windows 2003 Server在开放的平台上遵循标准的协议,它提供了增强的安全性和策略控制,同时提高性能并且简化了系统的安装、管理和使用。此次项目将以建立完善的网络基础服务,集中统一规划结构合理的基于Windows Server 2003活动目录为目标,赛卫思将帮助中国银行建
4、立更加强大的IT基础架构,以适应业务的高速发展。二、项目方案下文中将就网络基础服务、活动目录服务、远程安装服务三个方面进行详细介绍。2.1 网络基础服务2.1.1 背景简介Windows Server 2003的基础的网络服务包括以下两大方面:地址分配 地址分配即IP地址的分配和管理。 目前中国银行的ip地址是静态的,其添加和维护工作由IT人员在现场手工完成。 根据中国银行的安全策略,在此次项目中仍然使用静态ip地址。名称解析 名称解析是指在访问网络资源(包括文件服务器和打印机)时,如何将资源的名称转换成对应的IP地址的服务。 通过DNS和WINS的服务,相关的服务器会自动将某个名称转换成实际
5、的IP地址,用户只需记住容易辨识的资源名称即可进行相应的访问。这样网络资源的共享和使用效率将得到很大程度的提高。下文将对相关的部分进行详细的介绍。2.1.2 地址分配 这次项目不牵涉对中国银行现有ip地址分配方法的改动。Ip地址的划分和分配,还沿用原有的设计。2.1.3 名称解析DNS内部名称解析 建议在域内每一个站点都设一台DNS服务器。该服务器同时也是域控制器。换而言之,所有的域控制器同时也都将是DNS服务器。 建议中国银行内部网络的域名为:boc. DNS服务器都将DNS数据放在本地的AD数据库中,但是作为独立的Application Partition来参与域控制器之间的目录复制(Di
6、rectory Replication)从而同步DNS数据库。 中国银行内部目前使用linux的DNS服务,该DNS上面有银行内部一些应用程序需要的特有的服务纪录。在部署过程中,我们建议在活动目录的DNS服务器上设置转发,当用户需要查询这些特有的纪录时,域的DNS服务器会将解析的请求自动转发到linux上。这样既可以实现活动目录内资源的地址解析,也可以实现原有linux上提供的纪录的解析。预期效果所有内网的客户端都将通过域DNS来进行名称解析。包括登入域和访问文件服务器或其他客户端。每一个加入域的客户端都通过动态注册在DNS服务器上注册自己的主机纪录(A)和指针纪录(PTR)。管理员在服务器上
7、可以轻松的了解所有客户端的注册情况。2.2 活动目录服务2.2.1 背景简介Windows 2003 的活动目录(Active Directory)服务是Windows 2003网络结构的一个必要和不可分离的部分,该服务是特别为分布式的网络环境而设计的。活动目录可以让企业有效地共享和管理网络资源和用户的信息。此外,活动目录扮演着网络安全性的主要权威的角色,它让操作系统准备好验证用户的身份并且控制他或她对网络资源的访问。同等重要的是,活动目录起到了把系统集成到一起的结合点并且巩固管理任务的作用。新版Windows 2003的活动目录服务在Windows 2000版本的基础上,保留了大部分体系结构
8、,但在安全性,稳定性和扩展性上又有很大的进步。设计Windows 2003活动目录服务主要包括以下几方面: 域结构 组织单元结构 账号和口令管理 站点结构 FSMO角色2.2.2 域结构和DC位置规划域结构设计是活动目录中最重要,也是最基础的工作,是多种因素权衡的结果,它既要尽可能贴近用户的管理模式和组织结构,也要考虑网络情况及今后的各种变化。建议此次在中国银行的IT环境内采用单域结构,域名:BOC.以下是单域结构相对于其他结构的优点: 使用Enterprise Administrators组集中管理整个集团的安全策略。 利用域里的组织单元反映具体的企业内部组织结构。 当机构重组时可以非常灵活
9、的进行调整。 当资源和用户需要在组织机构内迁移时可以非常灵活的调整。2.2.3 组织单元结构 一个组织单元是一个容器对象,用于管理域中的对象,例如:用户账号、组、计算机、打印机和其他的组织单位。可以使用组织单位在一个逻辑层次中组织各种对象,这样能够体现企业基于部门的或基于地理分界的结构。可以在域中创建组织单位的层次结构。组织单位可包含用户、组、计算机、打印机、共享文件夹以及其他组织单位。组织单位是目录容器对象。它们表现为“Active Directory 用户和计算机”中的文件夹。组织单位简化了域中目录对象的视图以及这些对象的管理。可将每个组织单位的管理控制权委派给特定的人。这样,您就可以在管
10、理员中分配域的管理工作,以更接近指派的单位职责的方式来管理这些管理性职责工作。在中国银行活动目录部署中,组织单元的设计将遵循两点原则: 反映中国银行内部的组织结构 有利于通过组策略进行细化的终端管理 由于用户帐号(在这里包括用户组账号)和计算机账号分数两种不同的资源类型,所以也需要分开管理。通常,应该创建能反映组织单位的职能或商务结构的单位。例如,您可以创建顶级单位,例如人事、设备管理和营销等部门单位。在人事单位中,您可以创建其他的嵌套组织单位,例如福利和招聘单位。在招聘单位中,也可以创建另一级的嵌套单位。例如,内部招聘和外部招聘单位。总之,组织单位可使您以一种更有意义且易于管理的方式来模拟本
11、单位实际工作的情况,而且在任何一级指派一个适当的本地权利机构作为管理员。具体的组织单元结构在进行后续部署时进行细化。组织单元示意图:2.2.4 账号和口令管理账号管理可以分为个人账号管理、组账号管理和机器账号管理。个人账号管理个人账号可以分为两类: 第一类为普通账号,采用一人一号的方式,为每一位员工建立自己的账号。当员工加入或者离开时,按照一定的规则增加或者删除用户的账号。 第二类为特殊账号,通常不属于某一位员工,而是为了满足某些特殊的功能,比如系统管理、匿名访问等等。特殊账号有以下几个: Administrator,系统管理员账号,具有最高的权限,可以进行任何管理操作,该账号不能被删除,只能
12、更改用户名。为了提高系统的安全性,建议将管理员账号的用户名更改,比如hqadmin(仅仅是建议,系统管理员可以自行决定)。 Guest,匿名登录的账号,为了提高系统的安全性,建议将Guest账号禁止。 服务的账号,在Windows 2003中,每一个服务都需要一个账号,通常这些账号采用系统账号,无须关心,但有一些服务需要特殊的用户账号。 每个个人账号都有一个口令来保护,为了防止口令被盗用和攻击,建议在整个域中启用相应的密码策略以保证每个密码都符合一定的复杂度,具体要求如下: 长度不得小于7个字符 必须包含大写和小写字母 必须包含特殊字符(例如:!#$%&*()_+) 个人账号的命名规则,用户名
13、称将使用中文名,帐号名称为: 采用英文名称,如有重复则在末尾加用户所在部门名称的首字母,若仍有重复则在末尾加数字以示区别。 例如:姓名英文名 帐户名张刚 tony tony.zhang计算机账号管理所有加入到域中的计算机都需要一个计算机账号,通过该帐号,可以对计算机的各种配置进行管理。建议的计算机命名规则为:部门+序号。例如:HR-001(人力资源部第一台计算机)。组账号管理分组管理是重要而有效的管理策略。在Windows 2003中有三种组帐户:通用组(Universal Group)、全局组(global group)和域本地组(Domain local group),全局组可以包括本域的
14、用户帐户(user account),域本地组可以包括本域和资源域的用户帐户和全局组帐户,通用组的使用则没有任何限制。良好的分组策略可以降低管理的复杂性,避免安全上的漏洞,大大提高管理的可靠性。采用这样的分组策略:1. 按照职位分组。2. 按职能分组,例如所有的财务人员,所有的科技人员,所有的系统管理员等等。3. 对员工分类,比如普通员工,临时员工等等。由于维护用户和组账号是一项日常的工作,这项工作将由中国银行的IT人员,依据管理的需求来创建。首先将所有用户分到各个不同的组织单元(OU)下面。每个组织单元下还包含一个用户组,该用户组的成员即是该组织单元内的所有用户,这样可以较为轻松的管理用户资
15、源。2.2.5 管理控制委派总部集中的管理并不以为着所有与IT相关的操作、配置都必须由总部的IT人员完成,Windows Server 2003的活动目录提供了很好的委派管理机制,可以有效地减少总部的管理负担,实现既中央集权,又分布管理。对于一个大型的银行而言,管理IT资源的人员不可能局限于一两个人。在有多个管理员同时存在的情况下,如何分配管理权限是一个重要的问题。如果权限过于疏松,个别的人为误操作或恶意攻击将对整个企业的环境产生威胁;而权限过于严格,又会产生诸多不便,影响工作效率并增加管理负担。Windows 2003提供了一种叫做管理控制委派 (Delegation of Administrative Control) 的机制来解决这一问题。通过对不同管理控制的委派,可以轻松的让某一个或某一组普通用户帐号管理一定的资源,同时又不放松对整个域和其他重要资源的控制。
