公司活动目录规划方案.docx

《公司活动目录规划方案.docx》由会员分享，可在线阅读，更多相关《公司活动目录规划方案.docx（8页珍藏版）》请在第一文库网上搜索。

1、XXXXXXXXXXXX公司活动目录设计和规划方案PreparedforXXXXXX公司Preparedby007Yang第一章活动目录的概括31前言32 .活动目录概述33 .应用活动目录的好处343副目录架构拓扑5第二章活动目录设计规划51.森林规划52域的规划74 .域控制器规划145 .站点结构的设计（本次暂不实施）166 .域控制器的配置17第三章用户问答181 .计算机从工作组加入到域可能存在的问题和解决方法182 .组策略介绍19附件一：活动目录设计和规划框架表241.确定企业内需要多少个域森林242每一个域森林中有几个域253 .指定每一个森林每一个域的名字（包含DNS名和Ne

2、tBIOS名）254 .谢十每T域中的OU结构255 .确定每一个域中域控制器的放置方式256 .确定每一个域中每一个场所的域控制器数量267 .规划每一个森林中GC服务器的放置方式278 .规划每一个森林和域中FSMO角色的放置方式279 .规划每T站点的结构2810 .规划物理服务器的性能指标和名称2811 .策略规划清单2812 扩展m!UJ2913 .文件重定向29第一章活动目录的概括1 .HUW由于计算机安全和管理的需要，XXxXXX公司IT部门计划部署Windows2023R2活动目录，希翼所有的计算机分阶段加入到域，通过活动目录加强计算机安全和桌面管理，并为进一步部署Exchan

3、ge等打下坚实的基础架构。2 .靛目录蛔活动目录是Windows2023网络体系结构中f基本且不可分割的部份，它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。此外，目录服务在网络安全方面也扮演着中心授权机构的角色，从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。3 .应用活动目录的好处WindowsServer2023R2是微瓣隹出的网络操作系统服务器,其高效结构有助于使您的网络成为单位的战略性资产。应用WindowsServer2023R2活动目录的好处如下表所示：优势提升用活动目录

4、中的用户可以登录到任何一台属于活动目录户效率中的计算机 方便快速的安装网络打印机 快速查找电话号码与员工信息增强安限制用户使用计算机全性限制用户登录的时间 要求用户使用复杂的密码 限制USB接口和打印机的使用等减轻软件自动安装或者按需安装管理负软件自动更新担与成软件自动卸载本用户端桌面管理 管理授权，可对组织单元实现委派控制与应用与众多应用集成，优化应用管理4.活动目录架构拓扑我们设计一个单域，用户的所有计算机（服务器和客户机）全部加入到域,用户实现单一登录和管理员通过域组策略实现安全及桌面管理。AD架构拓扑如下。第二章活动目录设计规划1,森林规划森林是WindoWS2023AD域的集合。每一

5、个活动目录的实施将至少有一个森林，森林的数量取决于公司的组织架构。在不少IW况下，单一森林就足够了。单/林环境易于建立和绢户，森林间的域自动建立双向可传递内部信任关系，不要求手动建立外部信任配置,在安装ExchangeServer2023等应用程序时，只需应用一次架构更改即可影响所有域。如果各个单位有下列管理要求，就必须建立一个以上的森林： 不互相信任管理员。 希翼限制信任关系范围。 不允许某种森林架构更改策略。架构更改、配置更改会影响至I瞬林中所有的域。如果单位不允许共架构策略,它们就不能共存于同一个森林中。F表为单森林和多森林的特点对照：单森林单森林是活动目录(ADDS)默认部署架构,减少

6、了部署复杂性低多森林两个或者以上多个森林的部署增加了整个环培理构的复杂性高单森林单森林是最便宜的遢圣，在硬件、软件等的需求较少低多森林多个森林在硬件、软件等的需求较多，增加高单森林森林是全边界,森林的管理员能访问林内所有资源多森林多森林架构，每一个森林的管理员能访问和管t按照此前与XXXXXX公司的交流沟通，公司的组织架构符合单森林模式，在单森林的模式能满足对公司计算机安全和管理需要。因此本次实施中森林的数量建议采用单森林。2.域的规划域数量规划域结构时，始终遵循简单是最好的投资的设计原贝!J,尽管增加某些复杂结构可以增值，但是简单的结构更易于说明、维护和调试。创建多域可能的原因：希翼实现相对

7、分散式得IT管理模式：多域结构更容易进行相对独立的管理、委派和权限控制。止矽卜，不同的用户帐户在一个域内是不能浮现重名的，多域之间就没有限制。对于人里相对独立的集团下属公司，多域结构具有更好的灵便性。 希冀实现不同管理策略要求：包括用户口令策略、账户锁定策略和EFS加密策略。例如，要求某些人必须取8个字符以上的口令，而其它人不做限制。为此，必须将这些需要不同安全策略的用户放在单独的域中。根据以上考虑和此前与XXXXXX公司的交流沟通,我们建议,企业Windows2023AD域逻辑结构可以采用单森林、单域的结构设计。域命名和DNS规则活动目录作为整个IT架构的基础，不应该轻易被调整。因此我们应该

8、做一个长远规划，使得域命名和DNS服务能够满足企业几年的需求，尽量避免配置好后改作调整地巨大人力物力浪费。部署Windows2023AD,还必须确定DNS服务器，确保它们满足域控制器定位器系统的要求。一个支持AD的DNS至少需要满足以下要求： 必须支持服务定位资源记录(SRV) 应该支持DNS动态更新协议(RFC2136)Windows2023SerVer提供的DNS服务同时满足这些要求，并且还提供下列重要的附加功能：的原则,从口管理的需要出发，戈吩管理陲的结构。考虑OU的下列特性是很重要的： 0U可以是嵌套的。一个OU可以包含子OU,使得可以在域中创建一个分层的目录树结构。但是嵌套太多将导致

9、管理复杂侧辍，所以建议以二级嵌套为最理想，最多不应超过四级嵌套。 0U可以用来委派管理和控制对目录对象的访问。 不能使OU成为安全组的成员，也不能因为用户被委派管理OU或者驻留在OU中而自动获得访问资源的权限。 可以在OU上实施组策略。组策略是基于Windows2023注册表的修改,从而集中控制用户和计算机的工作环境、桌面配置、软件自动安装和删除的管理手段。普通而言，安全策略必须在域级SiJ实施，其它策略主要在OU级别实施。 不鼓励用户在OU结构中浏览。没有必要设计一个吸引最终用户的OU结构。尽管用户有可能浏览一个域的OU结构，但对于用户查找资源来说，这并不是一个最有效的方法。在目录中查找资源的最有效的方法是查询全局编录。有两个理由需要在Windows2023域中创建OU结构：