AD规划设计方案 - 360文档中心

合集下载

相关主题

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

IT基础架构优化活动目录设计

一、域结构设计 (3)

二、站点设计 (4)

三、活动目录数据同步 (5)

四、操作主机角色设计 (6)

五、组织单元结构设计 (7)

六、组策略设计 (8)

七、权限设计 (9)

八、用户和群组 (11)

九、容灾和备份 (12)

一、域结构设计

1.域结构概述

域结构设计是活动目录中最重要,也是最基础的工作,是多种因素权衡的结果,它既要尽可能贴近用户的管理模式和组织结构,也要考虑网络情况和未来的变化.

IT部门的最终目标是能够实现集中管理.对比单域结构和目录林结构:

1)集中管理整个公司的安全策略

2)集中管理整个公司的组策略

3)完全利用组织单元反映企业的管理结构

4)当公司机构重组时可以非常灵活的进行调整

5)当资源和用户需要在组织机构内迁移时可以非常灵活

6)简单的名字空间设计

7)查找AD信息时相对简单

2.域结构设计

根据公司实际环境,采用单域多站点的模式.

3.域功能级别

Windows 2008R2

4.Domain Name

二、站点设计

1.站点的概念:

“站点”由一个或数个IP子网(subnet)所组成,这些子网之间是通过”高速且可靠的链接”串联起来的,子网之间的链接速度要够快,稳定且符合需要,否则,需将他分别规划为不同的站点.具体表现为:

A.一个LAN之内的各个子网之间的链接都符合速度快(高于10MB)且高可靠度的要求,

可以将一个LAN规划为一个站点:

B.WAN(广域网)内的各个LAN之间的链接速度一般都不快.因此WAN之中的各个LAN应

分别规划为不同的站点

2.站点的设计

A.公司总部位于深圳,各分公司分别位于: 沈阳,大连,天津,重庆,成都,云南,后续根据业

务发展还会有新的分公司

B.总部和分公司之间通过2M专线连接

根据以上信息, 站点设计参考下图:

三、活动目录数据同步

1.活动目录数据同步模式

Active Directory存储在域控制器内,当一台域控制器的Active Directory数据发生变动,这个变动的数据会被自动复制到其他域控制器的Active Directory内.

活动目录内部存在以下2种复制模式:

A)多主机复制模式(multi-master replication model) AD内的大部分数据利用这种模式

进行复制.

B)单主机复制模式(single master operations model) AD内的少部分数据时采用此种模

式来复制的.单主机模式下,当提出变更对象数据的要求时,有其中一台域控制器(操作主机)负载接受和处理,然后再由”操作主机”复制到其他的域控制器.

2.活动目录中各域控制器同步设计图

四、操作主机角色设计

1.操作主机角色介绍

活动目录的Flexible Single-Master Operations 机制用于避免对活动目录的更改发生冲突.

总共有5个FSMO角色:

A.架构主机(Schema Master):

负责更新与修改Schema内的对象和属性数据,同一时间内,整个林中只能有一台”架构主机”

B.域命名主机(Domain naming master)

负责管理林内域的添加与删除工作.同一时间内.整个林只能有一台”域命名主机”C.RID主机(relative identifier master)

负责发放RID(relative ID)给域内的所有域控制器. 维护RIDs 缓冲池,用户生成安全账户(用户,组,计算机).

D.PDC模拟主机(PDC emulator master)

支持旧客户端计算机(Windows NT)

减少因为密码复制延迟所造成的问题

负责整个域的时间同步

E.基础结构主机(infrastructure master)

用于更新域和域之间的引用

2.依照目前公司部署环境的规划,相应的角色将被安排到以下的服务器:

五、组织单元结构设计

1.组织单元介绍

一个组织单元是一个容器对象,用于管理域中的对象.可以在域中创建组织单位的层次结构,组织单位颗包含用户,组,计算机,打印机,共享文件夹以及其他组织单位.

2.组织单元设计原则:

A)反映企业内部的组织结构

B)有利于通过组策略进行细化的终端管理

3.结合目前公司的现状,对OU结构设计如下:

A)第一层: 类型

B)第二层: 地域分布

C)第三层: 部门名称

UA OU架设设计图如下:

六、组策略设计

1.组策略定义和功能介绍

在Windows Server中,策略是一组规则的集合.其功能如下:

A.账户策略的设定例如设定用户密码的长度,密码使用期限,账户锁定策略

B.本地策略的设定例如审核策略的设定,用户权限的指派

C.,安全性的设定脚本(Scripts)的设定例如登陆/注销,启动/关机脚本的设定

D.用户工作环境的设定例如隐藏用户桌面上所有的图标,

2.设计原则:

A.结构清晰,便于管理和修改

B.高效, 消除复杂性的设计.

C.不要创建和链接过多的GPO

3.组策略设计基本项目: