活動(dòng)目錄 AD 規(guī)劃方案 1.1. 活動(dòng)目錄介紹 活動(dòng)目錄就是 Windows 網(wǎng)絡(luò)體系結(jié)構(gòu)中一個(gè)基本且不可分割得部分,它為網(wǎng)絡(luò)得用戶(hù)、管理員與應(yīng)用程序提供了一套分布式網(wǎng)絡(luò)環(huán)境設(shè)計(jì)得目錄服務(wù)。活動(dòng)目錄使得組織機(jī)構(gòu)可以有效地對(duì)有關(guān)網(wǎng)絡(luò)資源與用戶(hù)得信息進(jìn)行共享與管理。另外,目錄服務(wù)在網(wǎng)絡(luò)安全方面也扮演著中心授權(quán)機(jī)構(gòu)得角色,從而使操作系統(tǒng)可以輕松地驗(yàn)證用戶(hù)身份并控制其對(duì)網(wǎng)絡(luò)資源得訪問(wèn)。同等重要得就是,活動(dòng)目錄還擔(dān)當(dāng)著系統(tǒng)集成與鞏固管理任務(wù)得集合點(diǎn)。

　活動(dòng)目錄提供了對(duì)基于 Windows 得用戶(hù)賬號(hào)、客戶(hù)、服務(wù)器與應(yīng)用程序進(jìn)行管理得唯一點(diǎn)。同時(shí),它也幫助組織機(jī)構(gòu)通過(guò)使用基于 Windows 得應(yīng)用程序與與 Windows 相兼容得設(shè)備對(duì)非 Windows 系統(tǒng)進(jìn)行集成,從而實(shí)現(xiàn)鞏固目錄服務(wù)并簡(jiǎn)化對(duì)整個(gè)網(wǎng)絡(luò)操作系統(tǒng)得管理。公司也可以使用活動(dòng)目錄服務(wù)安全地將網(wǎng)絡(luò)系統(tǒng)擴(kuò)展到 Internet 上。活動(dòng)目錄因此使現(xiàn)有網(wǎng)絡(luò)投資升值,同時(shí),降低為使 Windows 網(wǎng)絡(luò)操作系統(tǒng)更易于管理、更安全、更易于交互所需得全部費(fèi)用。

　活動(dòng)目錄就是微軟各種應(yīng)用軟件運(yùn)行得必要與基礎(chǔ)得條件。下圖表示出活動(dòng)目錄成為各種應(yīng)用軟件得中心。

　1.2. 應(yīng)用 Windows 2012 Server AD 得好處 Windows 2012 AD 簡(jiǎn)化了管理,加強(qiáng)了安全性,擴(kuò)展了互操作性。它為用戶(hù)、組、安全服務(wù)及網(wǎng)絡(luò)資源得管理提供了一種集中化得方法。

　應(yīng)用 Windows 2012 AD 之后,企業(yè)信息化建設(shè)者與網(wǎng)絡(luò)管理員可以從中獲得如下好處: 1、方便管理,權(quán)限管理比較集中,管理人員可以較好得管理計(jì)算機(jī)資源。

　2、安全性高,有利于企業(yè)得一些保密資料得管理,比如一個(gè)文件只能讓某一個(gè)人瞧,或者指定人員可以瞧,但不可以刪/改/移等。

　3、方便對(duì)用戶(hù)操作進(jìn)行權(quán)限設(shè)置,可以分發(fā),指派軟件等,實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)得軟件一起安裝。

　4、很多服務(wù)必須建立在域環(huán)境中,對(duì)管理員來(lái)說(shuō)有好處:統(tǒng)一管理,方便在 MS 軟件方面集成,如 ISA EXCHANGE(郵件服務(wù)器)、ISA SERVER(上網(wǎng)得各種設(shè)置與管理)等。

　5、使用漫游賬戶(hù)與文件夾重定向技術(shù),個(gè)人賬戶(hù)得工作文件及數(shù)據(jù)等可以存儲(chǔ)在服務(wù)器上,統(tǒng)一進(jìn)行備份、管理,用戶(hù)得數(shù)據(jù)更加安全、有保障。

　6、方便用戶(hù)使用各種資源。

　7、SMS(System Management Server)能夠分發(fā)應(yīng)用程序、系統(tǒng)補(bǔ)丁等,用戶(hù)可以選擇安裝,也可以由系統(tǒng)管理員指派自動(dòng)安裝。并能集中管理系統(tǒng)補(bǔ)丁(如 Windows Updates),不需每臺(tái)客戶(hù)端服務(wù)器都下載同樣得補(bǔ)丁,從而節(jié)省大量網(wǎng)絡(luò)帶寬。

　8、資源共享 用戶(hù)與管理員可以不知道她們所需要得對(duì)象得確切名稱(chēng),但就是她們可能知道這個(gè)對(duì)象得一個(gè)或多個(gè)屬性,她們可以通過(guò)查找對(duì)象得部分屬性在域中得到一個(gè)所有已知屬性相匹配得對(duì)象列表,通過(guò)域使得基于一個(gè)或者多個(gè)對(duì)象屬性來(lái)查找一個(gè)對(duì)象變得可能。

　9、管理 A、 域控制器集中管理用戶(hù)對(duì)網(wǎng)絡(luò)得訪問(wèn),如登錄、驗(yàn)證、訪問(wèn)目錄與共享資源。為了簡(jiǎn)化管理,所有域中得域控制器都就是平等得,您可以在任何域控制器上進(jìn)行修改,這種更新可以復(fù)制到域中所有得其她域控制器上。

　B、 域得實(shí)施通過(guò)提供對(duì)網(wǎng)絡(luò)上所有對(duì)象得單點(diǎn)管理進(jìn)一步簡(jiǎn)化了管理。因?yàn)橛蚩刂破魈峁┝藢?duì)網(wǎng)絡(luò)上所有資源得單點(diǎn)登錄,管理遠(yuǎn)可以登錄到一臺(tái)計(jì)算機(jī)來(lái)管理網(wǎng)絡(luò)中任何計(jì)算機(jī)上得管理對(duì)象。在 NT 網(wǎng)絡(luò)中,當(dāng)用戶(hù)一次登陸一個(gè)域服務(wù)器后,就可以訪問(wèn)該域中已經(jīng)開(kāi)放得全部資源,而無(wú)需對(duì)同一域進(jìn)行多次登陸。但在需要共享不同域中得服務(wù)時(shí),對(duì)每個(gè)域都必須要登陸一次,否則無(wú)法訪問(wèn)未登陸域服務(wù)器中得資源或無(wú)法獲得未登陸域得服務(wù)。

　10、可擴(kuò)展性

　在活動(dòng)目錄中,目錄通過(guò)將目錄組織成幾個(gè)部分存儲(chǔ)信息從而允許存儲(chǔ)大量得對(duì)象。因此,目錄可以隨著組織得增長(zhǎng)而一同擴(kuò)展,允許用戶(hù)從一個(gè)具有幾百個(gè)對(duì)象得小得安裝環(huán)境發(fā)展成擁有幾百萬(wàn)對(duì)象得大型安裝環(huán)境。

　11、安全性

　域?yàn)橛脩?hù)提供了單一得登錄過(guò)程來(lái)訪問(wèn)網(wǎng)絡(luò)資源,如所有她們具有權(quán)限得文件、打印機(jī)與應(yīng)用程序資源。也就就是說(shuō),用戶(hù)可以登錄到一臺(tái)計(jì)算機(jī)來(lái)使用網(wǎng)絡(luò)上另外一臺(tái)計(jì)算機(jī)上得資源,只要用戶(hù)具有對(duì)資源得合適權(quán)限。域通過(guò)對(duì)用戶(hù)權(quán)限合適得劃分,確定了只有對(duì)特定資源有合法權(quán)限得用戶(hù)才能使用該資源,從而保障了資源使用得合法性與安全性。

　12、可冗余性 每個(gè)域控制器保存與維護(hù)目錄得一個(gè)副本。在域中,您創(chuàng)建得每一個(gè)用戶(hù)帳號(hào)都會(huì)對(duì)應(yīng)目錄得一個(gè)記錄。當(dāng)用戶(hù)登錄到域中得計(jì)算機(jī)時(shí),域控制器將按照目錄檢查用戶(hù)名、口令、登錄限制以驗(yàn)證用戶(hù)。當(dāng)存在多個(gè)域控制器時(shí),她們會(huì)定期得相互復(fù)制目錄信息,域控制器間得數(shù)據(jù)復(fù)制,促使用戶(hù)信息發(fā)生改變時(shí)(比如用戶(hù)修改了口令),可以迅速得復(fù)制到其她得域控制器上,這樣當(dāng)一臺(tái)域控制器出現(xiàn)故障時(shí),用戶(hù)仍然可以通過(guò)其她得域控制進(jìn)行登錄,保障了網(wǎng)絡(luò)得順利運(yùn)行。

　1.3. 明確系統(tǒng)規(guī)劃目標(biāo) 企業(yè)得 Windows 2012 AD 系統(tǒng)規(guī)劃構(gòu)建就是為企業(yè)信息化建設(shè)服務(wù)得,需要達(dá)到以下戰(zhàn)略目標(biāo):

　? 圍繞企業(yè)得戰(zhàn)略發(fā)展需要,進(jìn)行企業(yè)信息化建設(shè)系統(tǒng)規(guī)劃,滿(mǎn)足企業(yè) 35 年得業(yè)務(wù)發(fā)展對(duì) IT 建設(shè)得要求; ? 以業(yè)務(wù)為驅(qū)動(dòng),通過(guò)有效得信息系統(tǒng),加強(qiáng)信息共享與協(xié)同辦公,提高工作效率,降低成本; ? 整合企業(yè)現(xiàn)有信息資產(chǎn),加強(qiáng)企業(yè)管理與監(jiān)控;從信息中挖掘知識(shí),提高經(jīng)營(yíng)決策與駕馭風(fēng)險(xiǎn)得能力; ? 推進(jìn)知識(shí)管理理念,建立知識(shí)型企業(yè),增強(qiáng)企業(yè)得核心競(jìng)爭(zhēng)力。

　Windows 2012 AD 系統(tǒng)規(guī)劃實(shí)施得具體目標(biāo)如下: ? 規(guī)劃與部署基于 Windows 2012 AD 得企業(yè)目錄服務(wù),首先實(shí)現(xiàn)用戶(hù)得單一登錄,保障網(wǎng)絡(luò)系統(tǒng)安全; ? 通過(guò) AD 實(shí)現(xiàn)用戶(hù)桌面得集中與自動(dòng)管理,分發(fā)軟件補(bǔ)丁; ? 進(jìn)一步部署微軟得相關(guān)應(yīng)用平臺(tái)軟件,如實(shí)現(xiàn)基于 Exchange 2003 得企業(yè)內(nèi)部郵件與協(xié)作服務(wù),

　1.4. 活動(dòng)目錄設(shè)計(jì)方案 為企業(yè)設(shè)計(jì)一個(gè)域,用戶(hù)得所有計(jì)算機(jī)(服務(wù)器與客戶(hù)機(jī))全部加入到域,用戶(hù)實(shí)現(xiàn)單一登錄與管理員通過(guò)域組策略實(shí)現(xiàn)安全及桌面管理。AD 架構(gòu)拓?fù)淙缦隆?/p>

　 1.5. 活動(dòng)目錄 優(yōu)勢(shì) 1. 計(jì)算機(jī)工作組管理與 AD 管理比較

　對(duì)于基于 Microsoft Windows 操作系統(tǒng)得計(jì)算機(jī)運(yùn)行與管理在兩種模式下:工作組(workgroup)與域(domain)。

　在工作組模式下,計(jì)算機(jī)處于一個(gè)孤立狀態(tài),使用計(jì)算機(jī)得用戶(hù)登錄帳號(hào)與計(jì)算機(jī)得管理均須在每臺(tái)計(jì)算機(jī)上創(chuàng)建或進(jìn)行。見(jiàn)下圖。

　當(dāng)計(jì)算機(jī)超過(guò)20臺(tái)以上時(shí),計(jì)算機(jī)得管理變得越來(lái)越困難,并且要為用戶(hù)創(chuàng)建越來(lái)越多得訪問(wèn)網(wǎng)絡(luò)資源得帳號(hào),用戶(hù)要記住多個(gè)訪問(wèn)不同資源得帳號(hào)。

　而在域得模式下,用戶(hù)只需記住一個(gè)域帳號(hào),即可登錄訪問(wèn)域中得資源。并且管理員通過(guò)組策略,可以輕松配置用戶(hù)得桌面工作環(huán)境與加強(qiáng)計(jì)算機(jī)安全設(shè)置。域模式下所有得域帳號(hào)保存在域控制器得活動(dòng)目錄數(shù)據(jù)庫(kù)中。見(jiàn)下圖。

　 2. 為什么要提供目錄服務(wù)? 對(duì)更加強(qiáng)大、透明且高度集成得目錄服務(wù)得不斷需求就是由爆炸性增長(zhǎng)得網(wǎng)絡(luò)計(jì)算所導(dǎo)致得。隨著局域網(wǎng)(LAN)、廣域網(wǎng)(WAN)規(guī)模與復(fù)雜性得不斷提高與這些網(wǎng)絡(luò)不斷被連入Internet,以及應(yīng)用程序?qū)W(wǎng)絡(luò)得依賴(lài)程度不斷增強(qiáng)并不斷被鏈接到協(xié)作企業(yè)網(wǎng)中得其它系統(tǒng)上,對(duì)目錄服務(wù)得需求也日漸增多。基于下列原因,目錄服務(wù)成為擴(kuò)展得計(jì)算機(jī)系統(tǒng)中最重要得部件之一:

　? 簡(jiǎn)化管理 提供對(duì)用戶(hù)、應(yīng)用程序與設(shè)備得單一、一致性得管理點(diǎn)。

　? 加強(qiáng)安全性 向用戶(hù)提供單一得網(wǎng)絡(luò)資源登錄,為管理員提供強(qiáng)大、一致性得工具以使她們能夠管理為內(nèi)部臺(tái)式機(jī)用戶(hù)、遠(yuǎn)程撥號(hào)用戶(hù)以及外部電子商務(wù)客戶(hù)提供得安全服務(wù)。

　? 擴(kuò)展得互操作性 向所有活動(dòng)目錄特性提供基于標(biāo)準(zhǔn)得存取方式以及對(duì)通用目錄得同步支持。

　目錄服務(wù)兼任管理工具與用戶(hù)工具。隨著網(wǎng)絡(luò)中對(duì)象數(shù)量得增加,目錄服務(wù)變得必不可少。目錄服務(wù)在一個(gè)龐大得分布式系統(tǒng)中發(fā)揮著網(wǎng)絡(luò)集線(xiàn)器得作用。致力于這些需求,Windows 2000 服務(wù)器版引入了活動(dòng)目錄即一套用于改進(jìn) Windows 網(wǎng)絡(luò)操作系統(tǒng)管理、安全性與互操作性得完整得目錄服務(wù)集。

　下圖描述了活動(dòng)目錄帶來(lái)得計(jì)算機(jī)安全與管理上得一些最重要得好處。

　3. AD 簡(jiǎn)化了計(jì)算機(jī)系統(tǒng)管理

　分布式系統(tǒng)常常導(dǎo)致時(shí)間得消耗與管理得冗余。當(dāng)公司在她們得基礎(chǔ)結(jié)構(gòu)上添加應(yīng)用程序并雇用新得職員時(shí),她們需要適當(dāng)?shù)叵蚋髯烂嫦到y(tǒng)分發(fā)軟件并管理多個(gè)應(yīng)用程序目錄。通過(guò)在單一得位置管理用戶(hù)、組與網(wǎng)絡(luò)資源以及分發(fā)軟件與管理桌面系統(tǒng)配置,活動(dòng)目錄可以顯著降低公司得管理費(fèi)用。例如,活動(dòng)目錄在同一個(gè)位置管理 Windows 用戶(hù)與 Microsoft Exchange 郵箱信息。基于下列原因,活動(dòng)目錄可以從以下方面幫助公司簡(jiǎn)化管理:

　? 消除冗余管理任務(wù) 提供對(duì) Windows 用戶(hù)賬號(hào)、客戶(hù)、服務(wù)器與應(yīng)用程序以及現(xiàn)存目錄同步能力進(jìn)行單一點(diǎn)管理。

　? 降低桌面系統(tǒng)得行程 針對(duì)用戶(hù)在公司中所擔(dān)當(dāng)?shù)媒巧詣?dòng)向其分發(fā)軟件,以減少或消除系統(tǒng)管理員為軟件安裝與配置而安排得多次行程。

　? 更好得實(shí)現(xiàn) IT 資源得最大化 安全地將管理功能分派到組織機(jī)構(gòu)得所有層次上。

　? 降低總體擁有成本(TCO) 通過(guò)使網(wǎng)絡(luò)資源容易被定位、配置與使用來(lái)簡(jiǎn)化對(duì)文件與打印服務(wù)得管理與使用。

　4. 加強(qiáng)安全性 強(qiáng)大且一致得安全服務(wù)對(duì)企業(yè)網(wǎng)絡(luò)而言就是必不可少得。管理用戶(hù)驗(yàn)證與訪問(wèn)控制得工作往往單調(diào)乏味且容易出錯(cuò)。活動(dòng)目錄集中進(jìn)行管理并加強(qiáng)了與組織機(jī)構(gòu)得商業(yè)過(guò)程一致、且基于角色得安全性。例如,對(duì)多身份驗(yàn)證協(xié)議(如 Kerberos,X、509 認(rèn)證以及由靈活得訪問(wèn)控制模型組成得智能卡)得支持實(shí)現(xiàn)了對(duì)于內(nèi)部桌面系統(tǒng)用戶(hù)、遠(yuǎn)程撥號(hào)用戶(hù)與外部電子商務(wù)客戶(hù)強(qiáng)大且一致得安全服務(wù)。活動(dòng)目錄使用以下方法增強(qiáng)安全性:

　改進(jìn)了密碼得安全性與管理 通過(guò)向網(wǎng)絡(luò)資源提供單一得集成、高性能且對(duì)終端用戶(hù)透明得安全服務(wù)。

　保證桌面系統(tǒng)得功能性 通過(guò)根據(jù)終端用戶(hù)角色鎖定桌面系統(tǒng)配置來(lái)防止對(duì)特定客戶(hù)主機(jī)操作進(jìn)行訪問(wèn),例如軟件安裝或注冊(cè)項(xiàng)編輯。

　加速電子商務(wù)得部署 通過(guò)提供對(duì)安全得 Internet 標(biāo)準(zhǔn)協(xié)議與身份驗(yàn)證機(jī)制得內(nèi)建支持,如 Kerberos, 公開(kāi)密鑰基礎(chǔ)設(shè)施(PKI)與安全套接字協(xié)議層(SSL)之上得輕便目錄訪問(wèn)協(xié)議(LDAP)。

　緊密得控制安全性 通過(guò)對(duì)目錄對(duì)象與構(gòu)成她們得單獨(dú)數(shù)據(jù)元素設(shè)置訪問(wèn)控制特權(quán)。

　1.6. 重要組策略介紹 1. 軟件分發(fā)策略 通過(guò)組策略可以為域中得計(jì)算機(jī)或用戶(hù)自動(dòng)分發(fā)帶有 msi 包得軟件。見(jiàn)下圖。

　 2. 將用戶(hù)得個(gè)人數(shù)據(jù)從 pc 機(jī)上重定向到服務(wù)器上 重定向有利于數(shù)據(jù)得安全以及集中備份。見(jiàn)下圖。

　3. 安全類(lèi)組策略 ? 密碼策略 ? “強(qiáng)制密碼歷史”設(shè)置確定在重用舊密碼之前必須與用戶(hù)帳戶(hù)相關(guān)得唯一新密碼得數(shù)量。

　? 配置“密碼最長(zhǎng)使用期限”設(shè)置,以便密碼在環(huán)境需要時(shí)過(guò)期。

　? “密碼最短使用期限”設(shè)置確定了用戶(hù)更改密碼之前必須使用密碼得天數(shù)。

　? “最短密碼長(zhǎng)度”設(shè)置確保密碼至少包含指定數(shù)量得字符。

　? “密碼必須符合復(fù)雜性要求策略”選項(xiàng)檢查所有新密碼以確保它們符合強(qiáng)密碼得基本要求。

　賬號(hào)鎖定策略 帳戶(hù)鎖定策略就是一項(xiàng) Windows Server 2012 安全功能,它在指定時(shí)間段內(nèi)多次登錄嘗試失敗后鎖定用戶(hù)帳戶(hù)。允許得嘗試次數(shù)與時(shí)間段就是由為安全策略鎖定設(shè)置配置得值決定得。用戶(hù)不能登錄到鎖定得帳戶(hù)。

　? “帳戶(hù)鎖定時(shí)間”設(shè)置確定在未鎖定帳戶(hù)且用戶(hù)可以嘗試再次登錄之前所必須經(jīng)歷得時(shí)間長(zhǎng)度 ? “帳戶(hù)鎖定閾值”設(shè)置確定用戶(hù)在帳戶(hù)鎖定之前可以嘗試登錄帳戶(hù)得次數(shù)。

　? “復(fù)位帳戶(hù)鎖定計(jì)數(shù)器”設(shè)置決定了“帳戶(hù)鎖定閾值”復(fù)位為 0 以及帳戶(hù)被解鎖之前所必須經(jīng)過(guò)得時(shí)間長(zhǎng)度。

　? 禁用本地管理員帳號(hào)

　默認(rèn)情況下,每臺(tái)加入到域中得計(jì)算機(jī)都有 Administrator 與 Guest 兩個(gè)帳號(hào),Administrator 帳號(hào)在安裝時(shí)口令為空。用戶(hù)使用這個(gè)帳號(hào)權(quán)限過(guò)大,因此一般不會(huì)給用戶(hù)使用這個(gè)管理員帳號(hào),最好得做法就就是通過(guò)組策略禁用這個(gè)帳號(hào),用戶(hù)使用域得帳號(hào)。

　? 將域帳號(hào)加入到每臺(tái) PC 機(jī)得本地 Power Users 組中

　創(chuàng)建域帳號(hào)時(shí),默認(rèn)情況下這個(gè)帳號(hào)只屬于Domain Users組中,該組屬于每臺(tái)PC機(jī)得本地 Users 組。本地 Users 組中得成員權(quán)限受到嚴(yán)格限制,比如共享文件夾,安裝打印機(jī)驅(qū)動(dòng)程序等工作得權(quán)限都沒(méi)有。而經(jīng)常有用戶(hù)需要這些權(quán)限,可以通過(guò)組策略來(lái)實(shí)現(xiàn)。

　 禁用系統(tǒng)服務(wù)

　我們?yōu)閮?yōu)化系統(tǒng)與安全性考慮,經(jīng)常要禁用計(jì)算機(jī)得一些無(wú)需運(yùn)行得服務(wù)。我們可以通過(guò)組策略把這些服務(wù)禁用掉。

　? 軟件限制策略

　對(duì)一些規(guī)定不得使用得軟件可以通過(guò)組策略來(lái)禁用: ? 路徑規(guī)則:特殊文件路徑下得軟件不得使用:如 program files 下得某些軟件 ? 證書(shū)規(guī)則:只有系統(tǒng)管理員頒發(fā)過(guò)證書(shū)得軟件可以使用,其她軟件禁止使用 ? 哈希規(guī)則:對(duì)禁止使用得軟件通過(guò)哈希運(yùn)算得到這個(gè)軟件得身份指紋,在組策略里設(shè)置只要就是符合身份指紋鑒定得軟件就進(jìn)行限制

　? 網(wǎng)絡(luò)連接控制策略

　用戶(hù)經(jīng)常會(huì)通過(guò)改變“網(wǎng)絡(luò)連接”中得設(shè)置,繞過(guò)企業(yè)防火墻,建立自己得上網(wǎng)鏈路,比如電話(huà)撥號(hào)上網(wǎng)。這樣會(huì)帶來(lái)很大得安全隱患。可以通過(guò)組策略限制用戶(hù)不得改變網(wǎng)絡(luò)連接中得配置,不允許用戶(hù)通過(guò)其她方式連接互聯(lián)網(wǎng)。

　 1.7. 計(jì)算機(jī)從工作組加入到域可能存在得問(wèn)題與解決方法 把計(jì)算機(jī)從工作組模式加入到域模式可能會(huì)出現(xiàn)以下二個(gè)問(wèn)題 問(wèn)題: 1. 一些軟件不能使用。有一些軟件以登錄者得管理員權(quán)限帳號(hào)運(yùn)行,當(dāng)計(jì)算機(jī)加入到域并對(duì)登錄帳號(hào)做了權(quán)限設(shè)置,或禁用了本地管理員帳號(hào),這些需要管理員權(quán)限運(yùn)行得軟件就有可能不能正常運(yùn)行。

　2. 用戶(hù)桌面環(huán)境發(fā)生改變。由于加入域前后用戶(hù)就是用不同得帳號(hào)登錄得,因此用戶(hù)以前得桌面環(huán)境無(wú)法使用。具體有 ? 桌面上放置得資料 ? “我得文檔”等放置得資料 ? 配置好得“網(wǎng)絡(luò)打印機(jī)” ? IE 里設(shè)置好得“網(wǎng)站收藏夾”等。

　解決方法: 1. 對(duì)問(wèn)題 1 我們可以按以下兩個(gè)方法來(lái)解決: (1) 把域帳號(hào)加入到本地管理員組 (2) 卸載軟件,用域帳號(hào)登錄并安裝 2. 對(duì)問(wèn)題 2 針對(duì)不同得問(wèn)題分別解決如下: (1) 把本地老帳號(hào)下得桌面內(nèi)容全部備份下來(lái),復(fù)制到新域帳號(hào)得桌面 (2) 把本地老帳號(hào)下得“我得文檔”內(nèi)容全部備份下來(lái),復(fù)制到新域帳號(hào)得“我得文檔” (3) 重新連接與創(chuàng)建“網(wǎng)絡(luò)打印機(jī)” (4) 用特殊軟件把老帳號(hào) IE 里得“網(wǎng)站收藏夾”備份下來(lái),然后恢復(fù)到新域帳號(hào)中

　2. 活動(dòng)目錄方案實(shí)施

　2.1. AD 域 域與 命名與 DNS 得 得 規(guī)劃 Windows 2012 AD域命名與DNS得規(guī)劃之所以放在首要地位,就是因?yàn)锳D作為整個(gè)IT架構(gòu)得基礎(chǔ),不應(yīng)該輕易被調(diào)整。盡管安裝后,Windows 2012 AD 仍然可以重組與改名,這一點(diǎn)比 Windows 2000 AD 有了很大得進(jìn)步,但就是我們?nèi)匀唤ㄗh做一個(gè)長(zhǎng)遠(yuǎn)規(guī)劃,使得域命名與DNS 服務(wù)能夠滿(mǎn)足企業(yè) 35 年得需求,盡量避免配置好后改作調(diào)整地巨大人力物力浪費(fèi)。

　此外,部署 Windows 2012 AD,還必須確定 DNS 服務(wù)器,確保它們滿(mǎn)足域控制器定位器系統(tǒng)得要求。一個(gè)支持 AD 得 DNS 至少需要滿(mǎn)足以下要求: ? 必須支持服務(wù)定位資源記錄(SRV) ? 應(yīng)該支持 DNS 動(dòng)態(tài)更新協(xié)議(RFC 2136) Windows 2012 Server 提供得 DNS 服務(wù)同時(shí)滿(mǎn)足這些要求,并且還提供下列重要得附加功能與改進(jìn): ? Active Directory 集成:DNS 服務(wù)把區(qū)域數(shù)據(jù)存儲(chǔ)在目錄中,使得 DNS 復(fù)制創(chuàng)建多個(gè)主域,也減少了對(duì)維護(hù)一個(gè)單獨(dú)得 DNS 區(qū)域傳送復(fù)制拓?fù)涞靡蟆?/p>

　? 安全動(dòng)態(tài)更新:使得一個(gè)管理員可以精確地控制哪些計(jì)算機(jī)可以更新哪些名稱(chēng),并防止未經(jīng)授權(quán)得計(jì)算機(jī)從 DNS 獲得現(xiàn)有得名稱(chēng)。

　? 條件轉(zhuǎn)發(fā):根據(jù)不同得對(duì)外訪問(wèn)得域名后綴,可以將用戶(hù)得 DNS 名稱(chēng)解析請(qǐng)求轉(zhuǎn)發(fā)到不同得外部 DNS 服務(wù)器。

　? 存根區(qū)域:可以定時(shí)地刷新與外部 DNS 服務(wù)器得連接,及時(shí)發(fā)現(xiàn)那些可能有故障、不再響應(yīng)用戶(hù)請(qǐng)求得服務(wù)器,提高用戶(hù) DNS 名稱(chēng)解析得效率。

　2.2. 確定 AD 邏輯 結(jié)構(gòu) Windows 2012 活動(dòng)目錄得邏輯結(jié)構(gòu)由三個(gè)基本組件組成:森林、域與 OU。

　1 、 確定森林規(guī)劃 森林就是 Windows 2012 AD 域得集合。在很多情況下,單一森林就足夠了。單一森林環(huán)境易于建立與維護(hù),森林間得域自動(dòng)建立雙向可傳遞內(nèi)部信任關(guān)系,不要求手動(dòng)建立外部信任配置,在安裝 Exchange 2012 Server 等應(yīng)用程序時(shí),只需應(yīng)用一次架構(gòu)更改即可影響所有域。

　如果各個(gè)單位有下列管理要求,就必須建立一個(gè)以上得森林: ? 不互相信任管理員。

　? 希望限制信任關(guān)系范圍。

　? 不同意某種森林架構(gòu)更改策略。架構(gòu)更改、配置更改會(huì)影響到森林中所有得域。如果單位不同意一個(gè)公共架構(gòu)策略,它們就不能共存于同一個(gè)森林中。

　2 、 制定域規(guī)劃 規(guī)劃域結(jié)構(gòu)時(shí),始終遵循“簡(jiǎn)單就是最好得投資”得設(shè)計(jì)原則,盡管增加某些復(fù)雜結(jié)構(gòu)可

　以增值,但就是簡(jiǎn)單得結(jié)構(gòu)更易于說(shuō)明、維護(hù)與調(diào)試。一開(kāi)始時(shí)總就是僅考慮每個(gè)森林中僅有一個(gè)域,然后為每一個(gè)增加得新域提供詳細(xì)得理由,確保添加到森林中得域都就是有益得,因?yàn)樗鼈儠?huì)帶來(lái)相應(yīng)得管理開(kāi)銷(xiāo)而導(dǎo)致一定程度得成本上升。

　創(chuàng)建更多得域得三種可能得原因就是: ? 希望實(shí)現(xiàn)相對(duì)分散式得 IT 管理模式:多域結(jié)構(gòu)更容易進(jìn)行相對(duì)獨(dú)立得管理、委派與權(quán)限控制。另外,不同得用戶(hù)帳戶(hù)在一個(gè)域內(nèi)就是不能出現(xiàn)重名得,多域之間就沒(méi)有限制。對(duì)于人士管理相對(duì)獨(dú)立得集團(tuán)下屬公司,多域結(jié)構(gòu)具有更好得靈活性。

　? 希望實(shí)現(xiàn)不同管理策略要求:包括用戶(hù)口令策略、賬戶(hù)鎖定策略與 EFS 加密策略。例如,要求某些人必須取 8 個(gè)字符以上得口令,而其它人不做限制。為此,必須將這些需要不同安全策略得用戶(hù)放在單獨(dú)得域中。

　? 希望減小 WAN 上得復(fù)制流量:域控制器域間復(fù)制將產(chǎn)生比域內(nèi)復(fù)制少得多得流量。如果公司很大,具有跨地區(qū)得組織結(jié)構(gòu),且處于同一個(gè)森林內(nèi),則在不同地理位置上得機(jī)構(gòu)可能使用慢速得 WAN 鏈路連接。為減少 WAN 上得 DC 復(fù)制流量,可以在不同得地理位置設(shè)置不同得域。

　? 根據(jù)以上考慮,我們建議,企業(yè) Windows 2012 AD 域邏輯結(jié)構(gòu)可以采用“單森林、單域”得結(jié)構(gòu)設(shè)計(jì)。

　2.3. 確定 AD 物理結(jié)構(gòu) 考慮到企業(yè)得地理分布情況,應(yīng)該考慮使用多站點(diǎn)拓?fù)鋪?lái)規(guī)劃 Windows 2012 AD 物理結(jié)構(gòu)。從繪制基本得網(wǎng)絡(luò)拓?fù)洳季謭D著手工作,繪制所有可能得站點(diǎn)(Site)與站點(diǎn)鏈接(Site Link)。

　? 速度快(10Mbps 以上)、連接可靠得 LAN 網(wǎng)絡(luò)總就是放置在單站點(diǎn)中。

　站點(diǎn)定義為一組通過(guò)快速、可靠得線(xiàn)路連接起來(lái)得 IP 子網(wǎng)。一般而言,具有 LAN 速度或更快速度得網(wǎng)絡(luò)被認(rèn)為就是快速網(wǎng)絡(luò)。

　? 窄帶得、或不太可靠得連接可以使用站點(diǎn)鏈接建立多站點(diǎn)網(wǎng)絡(luò)。

　通常,WAN 連接一般被認(rèn)為就是窄帶連接。如果建立站點(diǎn)鏈接,實(shí)現(xiàn)多站點(diǎn)網(wǎng)絡(luò)模式,則: ? 客戶(hù)計(jì)算機(jī)在登錄到域時(shí)首先試圖與位于同一站點(diǎn)得 DC 通信; ? Windows 2012 AD 復(fù)制使用站點(diǎn)拓?fù)洚a(chǎn)生復(fù)制連接。

　2.4. 規(guī)劃 OU 結(jié)構(gòu)與組策略 組織單元(OU)就是一個(gè)用來(lái)在域中創(chuàng)建分層管理單位得容器。在域中創(chuàng)建 OU 結(jié)構(gòu)時(shí),必須注意始終按照“誰(shuí)管理什么”得原則,從 IT 管理得需要出發(fā),劃分管理模型得結(jié)構(gòu),而不就是簡(jiǎn)單按照公司業(yè)務(wù)單位與它得不同分支、部門(mén)與項(xiàng)目來(lái)創(chuàng)建 OU 結(jié)構(gòu)。考慮 OU 得下列特性就是很重要得: ? OU 可以就是嵌套得。

　一個(gè) OU 可以包含子 OU,使得可以在域中創(chuàng)建一個(gè)分層得目錄樹(shù)結(jié)構(gòu)。但就是嵌套太多將導(dǎo)致管理復(fù)雜與低效,所以建議以二級(jí)嵌套為最理想,最多不應(yīng)超過(guò)四級(jí)嵌

　套。

　? OU 可以用來(lái)委派管理與控制對(duì)目錄對(duì)象得訪問(wèn)。

　? 不能使 OU 成為安全組得成員,也不能因?yàn)橛脩?hù)被委派管理 OU 或駐留在 OU 中而自動(dòng)獲得訪問(wèn)資源得權(quán)限。

　? 可以在 OU 上實(shí)施組策略。

　組策略就是基于Windows 2012注冊(cè)表得修改,從而集中控制用戶(hù)與計(jì)算機(jī)得工作環(huán)境、桌面配置、軟件自動(dòng)安裝與刪除得管理手段。一般而言,安全策略必須在域級(jí)別實(shí)施,其它策略主要在 OU 級(jí)別實(shí)施。

　? 不鼓勵(lì)用戶(hù)在 OU 結(jié)構(gòu)中瀏覽。

　沒(méi)有必要設(shè)計(jì)一個(gè)吸引最終用戶(hù)得 OU 結(jié)構(gòu)。盡管用戶(hù)有可能瀏覽一個(gè)域得 OU 結(jié)構(gòu),但對(duì)于用戶(hù)查找資源來(lái)說(shuō),這并不就是一個(gè)最有效得方法。在目錄中查找資源得最有效得方法就是查詢(xún)?nèi)志庝洝?/p>

　有兩個(gè)理由需要在 Windows 2012 域中創(chuàng)建 OU 結(jié)構(gòu): ? 創(chuàng)建 OU 以管理對(duì)象與委派授權(quán)。

　? 為組策略創(chuàng)建 OU。

　一個(gè)完全為管理與委派而設(shè)計(jì)得 OU 結(jié)構(gòu)與一個(gè)完全為組策略而設(shè)計(jì)得 OU 結(jié)構(gòu)就是不同得。OU 結(jié)構(gòu)將很快變得相當(dāng)復(fù)雜。每次添加一個(gè) OU 到規(guī)劃中時(shí),要記下創(chuàng)建得具體原因。這有助于確保每個(gè) OU 有一個(gè)目得,并將幫助閱讀規(guī)劃得人理解結(jié)構(gòu)所基于得理由。

　2.5. 創(chuàng)建 OU 以管理 與 委派 在單位中委派管理有一些好處。以前,在單位中除了 IT 之外得組可能必須將更改請(qǐng)求提交到高級(jí)管理員,高級(jí)管理員代表她們進(jìn)行更改。委派特定得權(quán)限可以將責(zé)任分散到單位中得各個(gè)組,使您可以將必須有高級(jí)訪問(wèn)權(quán)限得用戶(hù)得數(shù)量降到最少。權(quán)限受到限制得管理員所發(fā)生得事故或錯(cuò)誤所產(chǎn)生得影響只限于她們負(fù)責(zé)得范圍。

　這一工作包括以下步驟: ? 確定創(chuàng)建何種 OU

　創(chuàng)建得 OU 結(jié)構(gòu)將完全取決于管理就是如何在單位中委派得。委派管理得三種方法就是:按物理位置、按業(yè)務(wù)單位(公司部門(mén))、按角色或任務(wù)。三種方法經(jīng)常結(jié)合使用。

　? 修改訪問(wèn)控制列表:

　修改 OU 得訪問(wèn)控制列表 (ACL)可以授予一個(gè)組對(duì) OU 得特定權(quán)限,從而實(shí)現(xiàn)對(duì)該 OU 得委派管理。盡量委派權(quán)限給組賬戶(hù)而不就是單獨(dú)得用戶(hù),如果可能,委派到本地組而不就是全局組或通用組。

　? 委派步驟。從域中得默認(rèn)結(jié)構(gòu)開(kāi)始,按下列主要步驟創(chuàng)建 OU 結(jié)構(gòu): - 通過(guò)委派完全控制創(chuàng)建 OU 得頂層; - 創(chuàng)建 OU 得下層來(lái)委派每個(gè)對(duì)象類(lèi)別控制。

　2.6. 創(chuàng)建 OU 支持組策略 使用 Windows 2012,可以使用組策略定義用戶(hù)與計(jì)算機(jī)配置,并將這些策略與站點(diǎn)、域或 OU 關(guān)聯(lián)。就是否要?jiǎng)?chuàng)建附加得 OU 以支持組策略得應(yīng)用取決于制定得策略以及所選擇得實(shí)現(xiàn)方案,包括: ? 定義客戶(hù)計(jì)算機(jī)得管理與桌面配置標(biāo)準(zhǔn) ? 定義軟件得自動(dòng)分發(fā) ? 特殊組策略應(yīng)用配置與管理 在 Windows 2012 中,組策略設(shè)置就是管理員啟用集中更改與配置客戶(hù)計(jì)算機(jī)管理得主要方法。可用組策略為某個(gè)特定得用戶(hù)組與計(jì)算機(jī)組創(chuàng)建指定得安全限制與桌面環(huán)境配置。

　Windows 2012 組策略有 100 多種與安全有關(guān)得設(shè)置與 450 多種基于注冊(cè)表得設(shè)置,為您管理用戶(hù)計(jì)算機(jī)環(huán)境提供了眾多選項(xiàng)。Windows 2003 組策略: ? 可根據(jù)活動(dòng)目錄定義或在計(jì)算機(jī)本地進(jìn)行定義; ? 可用 Microsoft 管理控制臺(tái)(MMC)或 *、adm 文件保存與管理; ? 就是安全得; ? 不會(huì)在實(shí)施得策略改變時(shí)把設(shè)置留在用戶(hù)配置文件中; ? 可應(yīng)用于指定得活動(dòng)目錄容器(站點(diǎn)、域與 OU)中得用戶(hù)或計(jì)算機(jī); ? 可由安全組得用戶(hù)或計(jì)算機(jī)成員進(jìn)一步控制;

　? 可用來(lái)配置多種類(lèi)型得安全設(shè); ? 可用于實(shí)施登錄、注銷(xiāo)、啟動(dòng)及關(guān)閉腳本; ? 可用于安裝與維護(hù)軟件; ? 可用于重定向文件夾(如 My Documents 與 Application Data 文件夾); ? 可用于在 Microsoft Internet Explorer 中執(zhí)行維護(hù)。

　可以按下列三個(gè)步驟配置與管理組策略: ? 管理站點(diǎn)、域或 OU 得組策略鏈接: 默認(rèn)情況下,只有域管理員組與企業(yè)管理員組可以配置站點(diǎn)、域或部門(mén)得組策略。可在站點(diǎn)、域或 OU 得“屬性”頁(yè)得“組策略”選項(xiàng)卡中指定鏈接至站點(diǎn)、域或 OU 得組策略對(duì)象。Active Directory 支持以每個(gè)屬性為基礎(chǔ)得安全設(shè)置。

　? 創(chuàng)建組策略對(duì)象: 默認(rèn)情況下,只有域管理員組、企業(yè)管理員組與組策略創(chuàng)建者(所有者)組得成員可以創(chuàng)建新得組策略對(duì)象。如果域管理員想使一個(gè)非管理員用戶(hù)或組能夠創(chuàng)建組策略對(duì)象,則可將該用戶(hù)或組添至組策略創(chuàng)建者(所有者)安全組中。這樣,她們就可以創(chuàng)建、修改自己得組策略對(duì)象,并成為該組策略對(duì)象得創(chuàng)建者與所有者。

　? 編輯組策略對(duì)象: 默認(rèn)情況下,組策略對(duì)象接受域管理員、企業(yè)管理員及組策略創(chuàng)建者(所有者)組成員得完全控制,課以便機(jī)組策略,但非管理員用戶(hù)沒(méi)有設(shè)置組策略鏈接得應(yīng)用權(quán)。

　2.7. 應(yīng)用組策略選項(xiàng) 如果能認(rèn)真應(yīng)用組策略選項(xiàng),即使開(kāi)始用數(shù)據(jù)極其多得文件夾重定向選項(xiàng)與軟件安裝選項(xiàng),也能夠改善網(wǎng)絡(luò)得響應(yīng)時(shí)間。應(yīng)恰當(dāng)?shù)貞?yīng)用組策略選項(xiàng),尤其在剛開(kāi)始時(shí),更要仔細(xì)測(cè)試所有建議得更改,以確保不損壞網(wǎng)絡(luò)性能。下面就是一些可用得選項(xiàng): ? 安全組篩選選項(xiàng): 可針對(duì)某個(gè)特定組策略對(duì)象實(shí)施篩選,使之不能對(duì)篩選得計(jì)算機(jī)與用戶(hù)組生效。

　? 不許替代(強(qiáng)制繼承)與阻止繼承選項(xiàng): 例如,如果在域?qū)哟味x了一個(gè)指定得組策略對(duì)象,并已指定組對(duì)象就是強(qiáng)制得(不許替代),那么組策略對(duì)象所包含得策略設(shè)置就會(huì)應(yīng)用于該域中得所有 OU;層次較低得容器 (OU) 將無(wú)法替代此域得組策略,一般用于安全設(shè)置。

　也可阻止從父 Active Directory 容器繼承組策略。但就是,不許替代(強(qiáng)制繼承)策略選項(xiàng)始終比阻止繼承策略選項(xiàng)優(yōu)先。

　? 處理“環(huán)回”策略設(shè)置得策略選項(xiàng): 默認(rèn)得設(shè)置使計(jì)算機(jī)策略?xún)?yōu)先于用戶(hù)策略起作用,但有時(shí)必須要優(yōu)先實(shí)施用戶(hù)策略,組策略得環(huán)回功能使管理員能夠?qū)崿F(xiàn)這一設(shè)置。主要用在軟件安裝這一類(lèi)得策略上。

　? 低速鏈接處理得選項(xiàng): 許多用戶(hù),如使用便攜式計(jì)算機(jī)得用戶(hù)、遠(yuǎn)離建筑物或在分部工作得用戶(hù),有時(shí)會(huì)用低速連接至網(wǎng)絡(luò)。可對(duì)組策略進(jìn)行配置,使部分策略不能生效,以減少網(wǎng)絡(luò)開(kāi)銷(xiāo)。這些組策略設(shè)置包括:

　? 軟件安裝與維護(hù) ? 腳本 ? 磁盤(pán)配額 ? IP 安全 ? Dfs 故障恢復(fù)策略 ? Internet Explorer 維護(hù) ? 周期刷新選項(xiàng): 可指定定時(shí)地處理組策略。默認(rèn)情況下,DC 計(jì)算機(jī)策略每 5 分鐘刷新一次,而成員服務(wù)器與客戶(hù)計(jì)算機(jī)每 90 分鐘刷新一次,并帶有 30 分鐘得隨機(jī)偏移量。可根據(jù)需要改變此刷新頻率。

推薦訪問(wèn)： 規(guī)劃 方案 AD