企業(yè)AD域架構(gòu)解決方案

公司AD架構(gòu)計(jì)方公：項(xiàng)：時(shí)：

XX有公司部WindowsAD域2014-08目

錄一言...........................................................................................................................................................31.1企業(yè)IT面臨挑戰(zhàn)31.2AD域架構(gòu)的應(yīng)用企業(yè)管理來的優(yōu)勢41.3域架構(gòu)計(jì)原則4二公域構(gòu)劃......................................................................................................................................52.1域架部署規(guī)劃52.2通過OU、GPO和戶組實(shí)現(xiàn)域安全的管理6一前由于Windows網(wǎng)系統(tǒng)架構(gòu)在業(yè)應(yīng)用中的普及，企業(yè)會面臨大量客戶端及服務(wù)器的統(tǒng)一安全管理；AD域的劃架構(gòu)需要根據(jù)企業(yè)現(xiàn)有的網(wǎng)絡(luò)規(guī)模布局和IT管制度，以適應(yīng)企業(yè)當(dāng)前和長遠(yuǎn)的發(fā)展需求，有效地保護(hù)用戶的資料，減少用戶的風(fēng)險(xiǎn)。針對整個(gè)公司的域架構(gòu)規(guī)劃和實(shí)施，前期需要先完成企業(yè)域規(guī)劃及部署；實(shí)現(xiàn)公司統(tǒng)一的目錄服務(wù)管理，統(tǒng)一的企業(yè)用戶信息、安全策略。Windows網(wǎng)絡(luò)架構(gòu)客戶端默認(rèn)均于工作組的辦公環(huán)境，所有的用戶賬號均保存在本地客戶端上絡(luò)享數(shù)據(jù)時(shí)只能允許所人everyone查看的權(quán)限據(jù)共享及網(wǎng)絡(luò)安全存在較多的風(fēng)險(xiǎn)Windows域架管理模式可以解眾多網(wǎng)絡(luò)安全性問題，域環(huán)境下可以輕易實(shí)現(xiàn)網(wǎng)絡(luò)用戶賬號的集中管理，規(guī)范客戶端密碼長度和復(fù)雜性；在域環(huán)境下，可以實(shí)現(xiàn)所有客戶端系統(tǒng)的補(bǔ)丁自動(dòng)更，有效提高服務(wù)器及桌面系統(tǒng)的安全性。在WindowsAD域的辦公環(huán)境下并不會太多改變原有的客戶端工作組下的辦公習(xí)慣；域賬號登陸默認(rèn)緩存功能，用戶離開公司網(wǎng)絡(luò)，同樣可以使用域用戶賬號在本機(jī)登陸，不會改變原有作組的工作習(xí)慣。另企業(yè)應(yīng)用系統(tǒng)中，很多應(yīng)用系統(tǒng)是基于微軟的AD架構(gòu)如MSCluster集高可用系統(tǒng)、Exchange郵件系統(tǒng)OCS及時(shí)通訊系統(tǒng)MOSS企業(yè)門戶網(wǎng)站協(xié)作系統(tǒng)等等；所以AD域的架構(gòu)管理不但可以方便企業(yè)內(nèi)部安全管理，還為以后的企業(yè)應(yīng)用擴(kuò)展提供了系統(tǒng)基礎(chǔ)。1.1

工作組境下企業(yè)面臨的戰(zhàn)身管

大量的用戶登錄名和目錄不牢固的密碼安全訪問網(wǎng)絡(luò)和應(yīng)用資源增加的桌面系統(tǒng)維護(hù)費(fèi)用服器桌電管

如何統(tǒng)一管理服務(wù)器和桌面系統(tǒng)安全策略如何統(tǒng)一管理桌面系統(tǒng)的應(yīng)用如何保持所有系統(tǒng)安全補(bǔ)丁升級到最新1.2AD域架構(gòu)的應(yīng)給企業(yè)理帶來的優(yōu)1)提高IT運(yùn)效率

Windows的理效率提高30%集中管理服務(wù)器和桌面系統(tǒng)減少目錄帳戶和密碼的數(shù)量2)對用戶實(shí)施權(quán)限管理

劃分不同級別的權(quán)限來進(jìn)行用戶管理限制低級別用戶訪問高級別用戶的相關(guān)資源拒絕未經(jīng)授權(quán)的用戶訪問域內(nèi)資源3)增強(qiáng)的網(wǎng)絡(luò)安全

強(qiáng)制用戶使用復(fù)雜的密碼通過域的安全邊界，實(shí)現(xiàn)域內(nèi)資源的保護(hù)，增強(qiáng)企業(yè)網(wǎng)絡(luò)的安全性通過域的安全更新策略，實(shí)現(xiàn)MSWSUS一更新域內(nèi)的所有計(jì)算機(jī)客戶端的系統(tǒng)安全補(bǔ)丁通過對域內(nèi)資源的權(quán)限設(shè)置和統(tǒng)一安全策略的制定，減少安全隱患的產(chǎn)生單一管理對網(wǎng)絡(luò)資源的訪問4)提高信息工作者生產(chǎn)力

快速找到需要的各種資源；實(shí)現(xiàn)單點(diǎn)登錄能提高員工的協(xié)作能力1.3

域架構(gòu)計(jì)原則在進(jìn)行總體框架設(shè)計(jì)時(shí)，考慮到公司的現(xiàn)有網(wǎng)絡(luò)架構(gòu)及公司管理體系，微軟在AD域計(jì)方面推薦遵循以下原則：穩(wěn)定性在系統(tǒng)結(jié)構(gòu)設(shè)計(jì)上要充分考慮到系統(tǒng)運(yùn)行的穩(wěn)定性。系統(tǒng)平臺方面要考慮各種系統(tǒng)配置對穩(wěn)定性的影響，系統(tǒng)必須經(jīng)過嚴(yán)格的測試，包括功能測試、在各種系統(tǒng)環(huán)境或系統(tǒng)配置上的測試等確保系統(tǒng)在多種設(shè)備環(huán)境上能夠穩(wěn)定運(yùn)行。必要時(shí)，可以建立管理中心，通過遠(yuǎn)程管理、監(jiān)控手與本地系統(tǒng)管理相結(jié)合的方式，保證系統(tǒng)的穩(wěn)定、可靠。易管理系統(tǒng)平臺的管理要盡量簡單，盡量少地使用戶涉及到系統(tǒng)平臺的管理工作，必要的管理任務(wù)也要提供相應(yīng)的培訓(xùn)、幫助資料甚至操作引導(dǎo)界面來幫助用戶順利地完成工作。信息交換系統(tǒng)的理在設(shè)計(jì)時(shí)也要考慮到易管理性方面的要求，通過操作引導(dǎo)界面輔助用戶完成所需的數(shù)據(jù)交換的理工作。易維護(hù)系統(tǒng)的結(jié)構(gòu)設(shè)計(jì)要易于維護(hù)，組成系統(tǒng)的功能元素要具有一定的獨(dú)立性，可以根據(jù)用戶的需要進(jìn)行替換而不影響或很少影響其他功能元素，并能夠與其他功能元素協(xié)作共同完成用戶的功能易擴(kuò)展系統(tǒng)無論是在業(yè)務(wù)功能上，還是在信息的交換規(guī)范上都應(yīng)當(dāng)易于擴(kuò)展，以便適應(yīng)今后業(yè)務(wù)的發(fā)展。易用性系統(tǒng)的操作應(yīng)盡量簡單，對操作提示、錯(cuò)誤報(bào)告、監(jiān)控信息反饋等要全面、詳細(xì)，真正做到易學(xué)、易用、易培訓(xùn)。安全性使用系統(tǒng)平臺的相關(guān)安全設(shè)置以及應(yīng)用系統(tǒng)的安全性實(shí)現(xiàn)，實(shí)現(xiàn)整個(gè)系統(tǒng)的安全性。確保系統(tǒng)不被非授權(quán)用戶侵入，數(shù)據(jù)不丟失，確認(rèn)發(fā)送者和接收者的身份，保證傳輸數(shù)據(jù)不被非法獲取篡改等。統(tǒng)一性各級系統(tǒng)的建設(shè)要遵循統(tǒng)一的要求進(jìn)行，在平臺、應(yīng)用系統(tǒng)、應(yīng)用策略、安全管理等方面保持一致，提供統(tǒng)一的用戶體驗(yàn)，保證系統(tǒng)內(nèi)部數(shù)據(jù)傳輸服務(wù)的可靠性。二公域構(gòu)劃2.1域架構(gòu)署規(guī)劃域結(jié)構(gòu)設(shè)計(jì)是活動(dòng)目錄中最重要，它既要盡可能貼近用戶的管理模式和組織結(jié)構(gòu)，也要考慮網(wǎng)絡(luò)情況及今后的各種變化。我們依據(jù)微軟活動(dòng)目錄結(jié)構(gòu)的設(shè)計(jì)原則，用最簡單的結(jié)構(gòu)來滿足客的管理需求。在域的管理架構(gòu)組織位設(shè)計(jì)上基于公司的管理模式而不是公司的組織結(jié)構(gòu)圖。以是域構(gòu)對其結(jié)的點(diǎn)集中管理整個(gè)公司的安全策略。集管理整個(gè)公司的組策略。完利用組織單元反映公司的管理結(jié)構(gòu)。當(dāng)司機(jī)構(gòu)重組時(shí)可以非常靈活的進(jìn)行調(diào)整。當(dāng)源和用戶需要在組織機(jī)構(gòu)內(nèi)遷移時(shí)可以非常靈活的調(diào)整。相其它方案，可以使用較少的域控制器。簡的名字空間設(shè)計(jì)–只要個(gè)DNS名字綴用在查找AD內(nèi)信時(shí)相對簡單。單的組策略更容易實(shí)施。單域模型是首選的模型：

用戶永遠(yuǎn)不需要在多個(gè)域之間移動(dòng)。不需要跨越多個(gè)域的重復(fù)組策略設(shè)置。整個(gè)企業(yè)內(nèi)實(shí)施統(tǒng)一的安全規(guī)范；任何域控制器都可以處理任何用戶處理的身份驗(yàn)證。Domain公司的整個(gè)域架構(gòu)采用單域模式，部署一臺AD域務(wù)器，實(shí)現(xiàn)對所有用戶信息的統(tǒng)一管理和身份的驗(yàn)證?；顒?dòng)目錄的建設(shè)目標(biāo)是，更新目前客戶使用的活動(dòng)目錄，為全公司的工作人員提供統(tǒng)一的目錄服務(wù)。使得活動(dòng)目錄可以達(dá)到如下的目標(biāo)：將企業(yè)的安全性集成到ActiveDirectory中基于策略的管理模式減輕了最為復(fù)雜的企業(yè)網(wǎng)絡(luò)管理IT可管理整個(gè)網(wǎng)絡(luò)中的服務(wù)器及客戶端訪問源，只有獲得授權(quán)的網(wǎng)絡(luò)用戶可訪問網(wǎng)絡(luò)上指定的資源。2.2通過OU、GPO和用戶組實(shí)域安全管理企業(yè)的域構(gòu)及服務(wù)器部署完成以后，在域管理上，我們利用域的組織單元OU進(jìn)企業(yè)管理架構(gòu)的設(shè)計(jì)及進(jìn)行企業(yè)管理策略的分配OU組織單位設(shè)計(jì)上我們基于公司的管理模式而不照公司的組織結(jié)構(gòu)進(jìn)行設(shè)置。OU組織元設(shè)將循原：反企業(yè)內(nèi)部的組織結(jié)構(gòu)反企業(yè)機(jī)密程度需求有于通過組策略進(jìn)行細(xì)化的終端管理OU作為域的基本管理單元，在內(nèi)，管理員可以按照不同的OU組單元運(yùn)用不同級別的組策略安全設(shè)置。通過組策略應(yīng)用的安全更改類型包括：

修改文件系統(tǒng)的權(quán)限。修改注冊表對象的權(quán)限。更改注冊表中的設(shè)置。更改用戶權(quán)限分配。配置系統(tǒng)服務(wù)。配置審核和事件日志。設(shè)置帳戶和密碼策略。配置桌面系統(tǒng)環(huán)境等等在域內(nèi)我們可以方便的利用域用戶、用戶組設(shè)置公司文件服務(wù)器的訪問權(quán)限控制，以及控制網(wǎng)絡(luò)共享文件夾的磁盤配額和文件存儲類型。用戶組作為域中具有相同權(quán)限用戶的集合，我們可簡化文件訪問權(quán)限的設(shè)定和管理。為確保只有授權(quán)用戶可以訪問企業(yè)文件夾中的數(shù)據(jù)，我們可以針對文件夾進(jìn)行權(quán)限設(shè)置。共享權(quán)限僅應(yīng)用于通過網(wǎng)絡(luò)訪問資源的用戶。安全權(quán)限應(yīng)用于本地訪問文件夾的權(quán)限；兩者共同設(shè)取兩者最嚴(yán)格的權(quán)限。通過共享權(quán)限設(shè)定如下：共權(quán)所有用戶有只讀訪問權(quán)限使