域管控解決方案

1、域管控方案說明第1頁目錄活動目錄結構規(guī)劃活動目錄實施計劃分企業(yè)加域方案電腦加域后問題0203040506資源需求活動目錄介紹01第2頁01活動目錄介紹第3頁 活動目錄AD是Windows Server網絡體系結構中一個基本且不可分割部分，它為計算機用戶、管理員和應用程序提供了一套分布式網絡環(huán)境。活動目錄使得組織機構能夠有效地對相關網絡資源和用戶信息進行共享和管理。另外，活動目錄在網絡安全方面也飾演著中心授權機構角色，從而使操作系統(tǒng)能夠輕松地驗證用戶身份并控制其對網絡資源訪問。同時，它也幫助組織機構經過使用基于Windows應用程序和與Windows相兼容設備對非Windows系統(tǒng)進行集成，從而

2、實現(xiàn)鞏固目錄服務并簡化對整個網絡操作系統(tǒng)管理。活動目錄介紹AD介紹第4頁活動目錄介紹現(xiàn)實狀況和問題 企業(yè)網絡中計算機默認處于工作組（WorkGroup）網絡模式，工作組網絡是一個對等網絡，網絡中計算機地位平等，計算機之間互不干擾，正因為工作組是一個對等網絡，所以它存在以下問題。管理分散？資源共享和賬號管理分散，全部設置都要在計算機當地進行設置，無法統(tǒng)一管理“人機”不分若要登陸到計算機必須先創(chuàng)建賬號數據安全性較差只要能登陸到計算機，就能查看、修改，甚至刪除他人文件安全策略不統(tǒng)一計算機安全策略必須在每臺計算機當地設置補丁更新不能控制第5頁活動目錄介紹域網絡優(yōu)勢集中管理各類網絡資源和賬號資源安全性加

3、強，權限管理更明確賬戶漫游和文件夾重定向方便用戶使用各種共享資源SMS（System Management Server）系統(tǒng)管理服務微軟系（MS） 軟件方便集成第6頁項目工作組網絡域網絡登陸當地賬號，當地登陸當地賬號和域賬號均可登陸，域賬號由DC控制器統(tǒng)一驗證，域賬號可登陸任何一臺域內計算機賬號當地創(chuàng)建，當地修改統(tǒng)一創(chuàng)建和修改，且密碼安全性更高桌面環(huán)境本機單獨配置統(tǒng)一配置，可提升企業(yè)形象權限本機權限集中管理，分組授權分組修改網絡資源訪問多人共用一個賬號或者為每個人單獨創(chuàng)建訪問賬號，需要屢次身份驗證域賬號單一驗證，只需把賬號加入不一樣權限分組網絡連接性能高較低安全管理設置簡單，只需要在本機設置

4、，但若主機太多，無法統(tǒng)一管理設置較復雜，在服務器上設置統(tǒng)一安全策略，再下發(fā)到客戶機上，不需要在客戶機上單獨設置數據安全安全性低，只要能登陸主機就能查看，修改，刪除其它人文件安全性高，文件全部者擁有對文件絕對控制權，其它人不能訪問單一登陸無法實現(xiàn)能夠實現(xiàn)組策略無法實現(xiàn)不一樣分組，不一樣部門實施不一樣安全策略活動目錄介紹域網絡和工作組網絡對比第7頁02活動目錄結構規(guī)劃第8頁活動目錄結構規(guī)劃基于對站點安全和穩(wěn)定性要求，計劃在總企業(yè)機房架設兩臺域控制器，互為主備，主要用于全企業(yè)內賬號服務管理。依據企業(yè)情況，采取單域模式站點：XXX企業(yè)功效級別：Windows Server r2域名：（待定）域結構設計

5、第9頁活動目錄結構規(guī)劃域網絡拓撲Server角色1、AD：DC1為主域控制器，DC2為輔控制器并與DC同步2、DNS：DC1與DC2均安裝DNS服務，DC2與DC1同步3、WINS：DC1與DC2均安裝WINS服務，并設置為復制搭檔4、DHCP：可認為客戶端分配IP地址（可選服務）第10頁OU也稱為組織單元，是一個容器對象，用于管理域中對象。能夠在域中創(chuàng)建組織單位層次結構，組織單位可包含用戶、組、計算機、打印機，共享文件夾以及其它組織單位，它能夠反應企業(yè)內部組織結構。對OU結構做以下規(guī)劃：活動目錄結構規(guī)劃OU結構設計第11頁活動目錄結構規(guī)劃策略設計組策略是管理員為用戶和計算機定義并控制程序、網

6、絡資源及操作系統(tǒng)行為主要工具。經過使用組策略能夠設置各種軟件、計算機和用戶策略。經過設置策略能更加好地滿足企業(yè)系統(tǒng)安全、網絡安全、數據保護及個性化等需求。策略含有以下功效：賬戶安全設定權限分配設定安全性腳本設定工作環(huán)境設定第12頁活動目錄結構規(guī)劃基本策略設計項目序號內容備注賬號標準1.1取消用戶當地賬號權限，用戶必須使用域賬號登錄1.2用戶計算機密碼長度最少8位且符合復雜性要求。1.3用戶域賬號密碼使用期限為90天且提前7天前提醒變更天數可按求調整1.4用戶域賬號鎖定閥值為5次，鎖定時間為30分鐘1.5定時變更用戶計算機administrator賬號密碼1.6禁用用戶計算機Guest賬號桌面管

7、理2.1域計算機統(tǒng)一桌面背景2.2域計算機統(tǒng)一開始菜單樣式IE設定3.1禁止變更Proxy設定依據用戶需求設定3.2禁用Internet連接向導依據用戶需求設定3.3禁用IE更改主頁設置依據用戶需求設定3.4禁止變更IE安全性設定依據用戶需求設定信息安全設定4.1禁用USB存放設備特殊需求申請開通4.2禁止訪問網絡連接屬性。管理員群組例外4.3開啟遠程桌面連接4.4統(tǒng)一配置WindowsUpdate設定4.5禁止安裝軟件管理員群組例外4.6禁止用戶建立共享管理員群組例外4.7屏幕保護啟用密碼保護4.8禁止特定軟件運行電源節(jié)能設定5.1定時啟用屏幕保護功效第13頁活動目錄結構規(guī)劃數據同時在一個完

8、整域網絡中，是存在多臺域控制器，Active Directory數據存放在域控制器內，當一臺域控制器Active Directory數據發(fā)生變動，這個變動數據會被自動復制到其它域控制器Active Directory內。Active Directory數據復制主要有兩種方式：1、多主機模式。域控制器之間相互復制，當有數據變更時，能夠在任意一臺控制器上進行操作，數據變更后會自動復制到其它控制器。AD內大部分數據復制都是這種模式。2、單主機模式。單主機模式下，當提出變更對象數據要求時，有其中一臺域控制器(操作主機)負責接收和處理，然后再由“操作主機”復制到其它域控制器。AD內少部分數據復制是這種模

9、式。 第14頁活動目錄結構規(guī)劃容災和備份Active Directory域服務(ADDS)是Windows基礎結構中針對關鍵任務組件。假如ActiveDirectory出現(xiàn)故障，網絡實際就瓦解了。所以，ActiveDirectory備份和恢復計劃是安全性、業(yè)務連續(xù)性基礎。備份策略：使用WindowsServerbackup對DomainController活動目錄進行定時備份。容災策略：ActiveDirectory環(huán)境配置多臺DomainController，提供冗余環(huán)境。第15頁03活動目錄實施計劃第16頁活動目錄實施計劃實施計劃步驟步驟描述計劃時間容錯步驟1域名確定0.5天2準備硬件設備

10、0.5天3在兩臺主備域控服務器上安裝Windows server R2系統(tǒng)，升級到最新版本1-2天4在主域控制服務器上安裝AD、DNS、DHCP、WINS角色1天5將額外域控制器服務器加入域中0.5天DNS配置6在額外域控服務器上安裝AD、DNS、DHCP、WINS角色，實現(xiàn)與主域控制服務器冗余1天DNS配置7確定并建立OU組織架構1天8基本域控策略規(guī)劃1-2天9客戶端加入域測試DNS配置10創(chuàng)建用戶賬號1天11總企業(yè)客戶端加入域DNS配置12完善域控策略13分企業(yè)客戶端加入域DNS配置14權限委派第17頁活動目錄實施計劃待處理問題確定域名確定OU結構權限分配（用戶權限，域控權限）客戶端計算機

11、名規(guī)則客戶端系統(tǒng)標準化客戶端防病毒軟件第18頁04分企業(yè)加域第19頁分企業(yè)加域方案設計一在各分企業(yè)增加域控站點，分企業(yè)客戶端登陸驗證服務優(yōu)先由站點提供，站點和總企業(yè)域控制器進行數據復制。此方案網絡利用率更高，即使分企業(yè)和總企業(yè)之間網絡斷開，只要分企業(yè)內部網絡正常，站點依然可認為分企業(yè)客戶端提供驗證服務。待和總企業(yè)網絡恢復后，站點再和總企業(yè)域控制器進行數據復制。域拓撲結構以下：第20頁分企業(yè)加域方案設計二分企業(yè)客戶端由總企業(yè)統(tǒng)一管控，總企業(yè)有兩臺控制器（主和備），總企業(yè)客戶端首選DNS為主域控，分企業(yè)客戶端首選DNS為備域控。此方案對網絡需求較第一個方案要高，因為分企業(yè)客戶端直接和總企業(yè)域控制器

12、進行通信，一旦出現(xiàn)網絡故障，域控制器無法為分企業(yè)客戶端提供驗證服務。域拓撲結構以下：第21頁分企業(yè)加域方案對比內容方案一方案二驗證服務優(yōu)先站點控制器驗證總部域控制器驗證網絡需求較高，客戶端優(yōu)先和站點通訊，站點和總部通訊很高，客戶端直接和總部通訊成本控制成本增加，需要各分企業(yè)分別增加服務器總部有服務器即可第22頁PPT模板下載：/moban/ 行業(yè)PPT模板：/hangye/ 節(jié)日PPT模板：/jieri/ PPT素材下載：/sucai/PPT背景圖片：/beijing/ PPT圖表下載：/tubiao/ 優(yōu)秀 Word教程： /word/ Excel教程：/excel/ PPT課件下載：/ke

13、jian/ 字體下載：/ziti/ 05加域后問題處理第23頁加域后問題處理常見問題把計算機從工作組模式換成域網絡模式，用戶在首次登陸計算機時可能會出現(xiàn)一些問題，主要包含以下幾點：部分軟件不能使用 有些軟件在安裝時，會針對當前登陸用戶創(chuàng)建用戶配置，還有些 軟件必須是管理員身份才能運行。當更換到域用戶后配置不在生 效，默認域用戶也不是管理員，所以軟件無法運行。 處理方法：使用域賬戶重新安裝軟件，把域賬戶加入到管理員組。用戶桌面環(huán)境發(fā)生改變 因為更換了賬戶，所以桌面環(huán)境會發(fā)生改變，主要包含以下內容 桌面上放置資料、“我文檔”內資料、配置好網絡打印 機、IE里設置好“網站收藏夾”等。 處理方法：備份

14、老賬號內個人文件拷貝到新賬號內，重新連 接打印機。第24頁加域后問題處理常見問題電腦脫離域網絡怎樣使用1.賬號在首次登陸任何一臺已加域電腦時，需要確保此臺電腦在與網絡環(huán)境中才能驗證登陸成功，在首次登陸成功后在計算機當地會生成賬戶配置，以后登陸即使脫離網絡也是能夠登陸。2.創(chuàng)建當地備用賬號，在非域網絡環(huán)境下使用當地賬號登陸電腦。不過當地賬號沒有權限訪問域賬號文件(管理員能夠更改訪問權限)，需要用戶提前將相關文件拷貝到公共區(qū)。第25頁PPT模板下載：/moban/ 行業(yè)PPT模板：/hangye/ 節(jié)日PPT模板：/jieri/ PPT素材下載：/sucai/PPT背景圖片：/beijing/ PPT圖表下載：/tubiao/ 優(yōu)秀 Word教程： /word/ Excel教程：/excel/ PPT課件下載：/kejian/ 字體下載：/ziti/ 06資源需求第26頁資源需求分企業(yè)電腦統(tǒng)一由總司管控硬件需求軟件需求系統(tǒng)型號版本語言參考價需求數量參考總價用途windows server R2標準版漢字450029000域控服務器Windows 10企業(yè)版漢字1400250350000辦公終端359000品牌型號類型描述參考價需求數量參考總價參考起源用途虛擬機虛擬機虛擬機4G內存/60G硬盤-2-總企業(yè)域控服務器第27頁資源需求硬件需求軟件需求系