《2022年AD域控规划技术方案》由会员分享,可在线阅读,更多相关《2022年AD域控规划技术方案(11页珍藏版)》请在金锄头文库上搜索。
1、精品学习资源活动目录 AD 规划方案1.1. 活动目录介绍活动目录是 Windows 网络体系结构中一个基本且不行分割地部分,它为网络地用户、治理员和应用程序供应了一套分布式网络环境设计地目录服务.活动目录使得组织机构可以有效地对有关网络资源和用户地信息进行共享和治理.另外,目录服务在网络安全方面也扮演着中心授权机构地角色,从而使操作系统可以轻松地验证用户身份并把握其对网络资源地拜望 .同等重要地是,活动目录仍担当着系统集成和巩固治理任务地集合点.活动目录供应了对基于 Windows 地用户账号、客户、服务器和应用程序进行治理地唯独点.同时,它也帮忙组织机构通过使用基于Windows 地应用程
2、序和与 Windows 相兼容地设备对非 Windows 系统进行集成,从而实现巩固目录服务并简化对整个网络操作系统地管理.公司也可以使用活动目录服务安全地将网络系统扩展到Internet 上.活动目录因此使现有网络投资升值,同时,降低为使Windows 网络操作系统更易于治理、更安全、更易于交互所需地全部费用 .活动目录是微软各种应用软件运行地必要和基础地条件.下图表示出活动目录成为各种应用软件地中心 .1.2. 应用 Windows 2021 ServerAD地好处Windows 2021 AD 简化了治理,加强了安全性,扩展了互操作性.它为用户、组、安全服务及网络资源地治理供应了一种集中
3、化地方法.应用 Windows 2021AD 之后,企业信息化建设者和网络治理员可以从中获得如下好处:1、便利治理 ,权限治理比较集中,治理人员可以较好地治理运算机资源.2、安全性高,有利于企业地一些保密资料地治理,比如一个文件只能让某一个人看,或者指定人员可以看 ,但不行以删 /改/移等.3、便利对用户操作进行权限设置,可以分发,指派软件等,实现网络内地软件一起安装 .4、许多服务必需建立在域环境中,对治理员来说有好处: 统一治理 ,便利在 MS 软件方面集成,如 ISA EXCHANGE 邮件服务器 、ISA SERVER上网地各种设置与治理 等.5、使用漫游账户和文件夹重定向技术,个人账
4、户地工作文件及数据等可以储备在服务器上,统一进行备份、治理,用户地数据更加安全、有保证.6、便利用户使用各种资源 .7、SMS(System Management Server)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统治理员指派自动安装.并能集中治理系统补丁(如Windows Updates), 不需每台客户端服务器都下载同样地补丁,从而节省大量网络带宽.8、资源共享用户和治理员可以不知道他们所需要地对象地精确名称,但是他们可能知道这个对象地一个或多个属性,他们可以通过查找对象地部分属性在域中得到一个全部已知属性相匹配地对象列表,通过域使得基于一个或者多个对象属性来查找一个
5、对象变得可能 .欢迎下载精品学习资源9、治理A、 域把握器集中治理用户对网络地拜望,如登录、验证、拜望目录和共享资源.为了简化治理,全部域中地域把握器都是公正地,你可以在任何域把握器上进行修改,这种更新可以复制到域中全部地其他域把握器上 .B、 域地实施通过供应对网络上全部对象地单点治理进一步简化了治理.由于域把握器供应了对网络上全部资源地单点登录,治理远可以登录到一台运算机来治理网络中任何运算机上地治理对象 .在 NT 网络中,当用户一次登陆一个域服务器后,就可以拜望该域中已经开放地全部资源,而无需对同一域进行多次登陆 .但在需要共享不同域中地服务时,对每个域都必需要登陆一次,否就无法拜望未
6、登陆域服务器中地资源或无法获得未登陆域地服务 . 10、可扩展性在活动目录中,目录通过将目录组织成几个部分储备信息从而答应储备大量地对象.因此,目录可以随着组织地增长而一同扩展,答应用户从一个具有几百个对象地小地安装环境进展成拥有几百万对象地大型安装环境 .11、安全性域为用户供应了单一地登录过程来拜望网络资源,如全部他们具有权限地文件、打印机和 应用程序资源 .也就是说,用户可以登录到一台运算机来使用网络上另外一台运算机上地资源,只要用户具有对资源地合适权限.域通过对用户权限合适地划分,确定了只有对特定资源有合法权限地用户才能使用该资源,从而保证了资源使用地合法性和安全性.12、可冗余性每个
7、域把握器储存和爱护目录地一个副本.在域中,你创建地每一个用户帐号都会对应目录地一个记录 .当用户登录到域中地运算机时,域把握器将依据目录检查用户名、口令、登录限制以验证用户 .当存在多个域把握器时,他们会定期地相互复制目录信息,域把握器间地数据复制,促使用户信息发生转变时(比如用户修改了口令),可以快速地复制到其他地 域把握器上,这样当一台域把握器显现故障时,用户仍然可以通过其他地域把握进行登录,保证了网络地顺当运行 .1.3. 明确系统规划目标企业地 Windows 2021 AD 系统规划构建是为企业信息化建设服务地,需要达到以下战略目标:围绕企业地战略进展需要,进行企业信息化建设系统规划
8、,中意企业3-5 年地业务进展对 IT 建设地要求;以业务为驱动,通过有效地信息系统,加强信息共享和协同办公,提高工作效率,降低成本;整合企业现有信息资产,加强企业治理与监控;从信息中挖掘学问,提高经营决策与驾驭风险地才能;推动学问治理理念,建立学问型企业,增强企业地核心竞争力.Windows 2021 AD 系统规划实施地详细目标如下:规划和部署基于 Windows 2021 AD 地企业目录服务,第一实现用户地单一登录, 保证网络系统安全;通过 AD 实现用户桌面地集中和自动治理,分发软件补丁;进一步部署微软地相关应用平台软件,照实现基于Exchange 2003 地企业内部邮欢迎下载精品
9、学习资源件和协作服务,1.4. 活动目录设计方案为企业设计一个域,用户地全部运算机(服务器和客户机)全部加入到域,用户实现单一登录和治理员通过域组策略实现安全及桌面治理.AD 架构拓扑如下 .1.5. 活动目录优势1. 运算机工作组治理和AD 治理比较对于基于 Microsoft Windows 操作系统地运算机运行和治理在两种模式下:工作组workgroup和域domain.在工作组模式下,运算机处于一个孤立状态,使用运算机地用户登录帐号和运算机地治理均须在每台运算机上创建或进行 .见下图.当运算机超过 20 台以上时,运算机地治理变得越来越困难,并且要为用户创建越来越多地拜望网络资源地帐号
10、,用户要记住多个拜望不同资源地帐号 .而在域地模式下,用户只需记住一个域帐号,即可登录拜望域中地资源 .并且治理员通过组策略,可以轻松配置用户地桌面工作环境和加强运算机安全设置 .域模式下全部地域帐号储存在域把握器地活动目录数据库中 .见下图.2. 为什么要供应目录服务 .对更加强大、透亮且高度集成地目录服务地不断需求是由爆炸性增长地网络运算所导致地.随着局域网( LAN )、广域网( WAN)规模与复杂性地不断提高和这些网络不断被连入 Internet,以及应用程序对网络地依靠程度不断增强并不断被链接到协作企业网中地其它系统上,对目录服务地需求也日渐增多.基于以下缘由,目录服务成为扩展地运算
11、机系统中最重要地部件之一:简化治理 供应对用户、应用程序和设备地单一、一样性地治理点 .加强安全性 向用户供应单一地网络资源登录,为治理员供应强大、一样性地工具以使他们能够治理为内部台式机用户、远程拨号用户以及外部电子商务客户供应地安全服务 .扩展地互操作性 向全部活动目录特性供应基于标准地存取方式以及对通用目录地同步支持 .目录服务兼任治理工具和用户工具.随着网络中对象数量地增加,目录服务变得必不行 少. 目录服务在一个庞大地分布式系统中发挥着网络集线器地作用. 致力于这些需求, Windows 2000 服务器版引入了活动目录 -即一套用于改进 Windows 网络操作系统治理、安全性和互
12、操作性地完整地目录服务集 .下图描述了活动目录带来地运算机安全和治理上地一些最重要地好处.欢迎下载精品学习资源3. AD 简化了运算机系统治理分布式系统经常导致时间地消耗和治理地冗余.当公司在他们地基础结构上添加应用程 序并雇用新地职员时,他们需要适当地向各桌面系统分发软件并治理多个应用程序目录.通过在单一位置置治理用户、组和网络资源以及分发软件和治理桌面系统配置,活动目录可以显著降低公司地治理费用 .例如,活动目录在同一个位置治理Windows 用户和 Microsoft Exchange邮箱信息 .基于以下缘由,活动目录可以从以下方面帮忙公司简化治理:排除冗余治理任务供应对 Windows
13、 用户账号、客户、服务器和应用程序以及现存目录同步才能进行单一点治理 .降低桌面系统地行程 针对用户在公司中所担当地角色自动向其分发软件,以削减或排除系统治理员为软件安装和配置而支配地多次行程.更好地实现 IT 资源地最大化 安全地将治理功能分派到组织机构地全部层次上 . 降低总体拥有成本( TCO) 通过使网络资源简洁被定位、配置和使用来简化对文件和打印服务地治理和使用 .4. 加强安全性强大且一样地安全服务对企业网络而言是必不行少地.治理用户验证和拜望把握地工作往往单调乏味且简洁出错 .活动目录集中进行治理并加强了与组织机构地商业过程一样、且基于角色地安全性 .例如,对多身份验证协议(如K
14、erberos,X.509 认证以及由灵敏地拜望把握模型组成地智能卡)地支持实现了对于内部桌面系统用户、远程拨号用户和外部电子商务客户强大且一样地安全服务.活动目录使用以下方法增强安全性: 改进了密码地安全性和治理通过向网络资源供应单一地集成、高性能且对终端用户透亮地安全服务 .保证桌面系统地功能性通过依据终端用户角色锁定桌面系统配置来防止对特定客户主机操作进行拜望,例如软件安装或注册项编辑.加速电子商务地部署 通过供应对安全地 Internet 标准协议和身份验证机制地内建支持,如 Kerberos, 公开密钥基础设施( PKI)和安全套接字协议层( SSL)之上地轻巧目录拜望协议( LDA
15、P ).紧密地把握安全性 通过对目录对象和构成他们地单独数据元素设置拜望把握特权.1.6. 重要组策略介绍1. 软件分发策略通过组策略可以为域中地运算机或用户自动分发带有msi 包地软件 .见下图.2. 将用户地个人数据从pc 机上重定向到服务器上重定向有利于数据地安全以及集中备份.见下图 .3. 安全类组策略密码策略“强制密码历史 ”设置确定在重用旧密码之前必需与用户帐户相关地唯独新密码地数欢迎下载精品学习资源量.配置“密码最长使用期限 ”设置,以便密码在环境需要时过期 .“密码最短使用期限 ”设置确定了用户更换密码之前必需使用密码地天数.“最短密码长度 ”设置确保密码至少包含指定数量地字符.“密码必需符合复杂性要求策略”选项检查全部新密码以确保它们符合强密码地基本要求.账号锁定策略帐户锁定策略是一项 Windows Server 2021 安全功能,它在指定时间段内多次登录尝试失败后锁定用户帐户 .答应地尝试次数和时间段是由为安全策略锁定设置配置地值准备地 .用户不能登录到锁定地帐户 .“帐户锁定时间 ”设置
