企业AD域控规划设计方案

企业活动AD域控规划方案活动目录介绍

活动目录是Windows 2003网络体系结构中一个基本且不可分割的部分，它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外，目录服务在网络安全方面也扮演着中心授权机构的角色，从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是，活动目录还担当着系统集成和巩固管理任务的集合点。

总的来说，活动目录的这些功能使组织机构可以将标准化的商业规则贯彻于分布式应用和网络资源当中，同时，无需管理员来维护各种不同的专用目录。

活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时，它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成，从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也可以使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值，同时，降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。

活动目录是微软各种应用软件运行的必要和基础的条件。下图表示出活动目录成为各种应用软件的中心。

1.1. 应用Windows 2003 Server AD的好处

Windows 2003 Server是微软最新推出的网络操作系统服务器，它沿用了Windows 2000 Server 的先进技术并且使之更易于部署、管理和使用。其结果是：其高效结构有助于使您的网络成为单位的战略性资产。

应用Windows 2003 Server的好处如下表所示：

优势描述

可靠性Windows Server 2003 是迄今为止最快、最可靠和最安全的Windows 服务器操作系统。

●提供集成结构，用于帮助您确保商业信息的安全性。

●提供可靠性、实用性和可伸缩性，使您可以提供用户需要的网络结构。

Windows 2003 Server的核心是一组基于Active Directory（目录服务，简称“AD”）的基础结构服务。Windows 2003 AD简化了管理，加强了安全性，扩展了互操作性。它为用户、组、安全服务及网络资源的管理提供了一种集中化的方法。

应用Windows 2003 AD之后，企业信息化建设者和网络管理员可以从中获得如下好处：

●系统平台基础架构。基于Windows 2003 AD规划网络基础架构，使企业获得一个

稳定、可扩充的网络基础平台。不单单是满足当前的网络需要，更关键的是预计了

今后3-5年内可能的发展需要，使得将来的网络规划建设无需再次重复投资。

●单一登录。可以统一用户帐户设置和用户身份验证，实现用户单一登录，用户访问

网络中的资源不再需要反复输入用户名称和口令。同时，它还是企业应用集成的基

础。基于AD的单一登录功能，便于实现在不同程序之间的协作和集成应用。

●网络安全。可以基于AD，集中设置和统一管理用户、组、资源的操作权限，方便

维护管理。

●集中管理和委派授权。基于Windows 2003活动目录OU实施委派授权管理，未来

向下属企业推广时，分级维护，集团各部门、下属公司可以对所辖范围内的部分参

数进行维护，如增加用户、设置权限、增加栏目、自定义流程等。

●用户桌面管理。通过规划部署Windows 2003 OU和组策略，可以统一规划用户桌

面和用户操作环境，实现对客户计算机的集中控制管理，加强信息管理的安全可靠

性。

●软件自动分发。通过规划部署Windows 2003 OU和组策略，还可以实现应用程序

的自动分发、升级和删除，不但可以实现客户机软件的统一安装管理，而且大大减

轻了软件安装配置的工作量。

●……

1.2. 明确系统规划目标

企业的Windows 2003 AD系统规划构建是为企业信息化建设服务的，需要达到以下战略目标：

●围绕企业的战略发展需要，进行企业信息化建设系统规划，满足企业3-5年的业务

发展对IT建设的要求；

●以业务为驱动，通过有效的信息系统，加强信息共享和协同办公，提高工作效率，

降低成本；

●整合企业现有信息资产，加强企业管理与监控；从信息中挖掘知识，提高经营决策

与驾驭风险的能力；

●推进知识管理理念，建立知识型企业，增强企业的核心竞争力。

Windows 2003 AD系统规划实施的具体目标如下：

●规划和部署基于Windows 2003 AD的企业目录服务，首先实现用户的单一登录，

保障网络系统安全；

●通过AD实现用户桌面的集中和自动管理，分发软件补丁；

●进一步部署微软的相关应用平台软件，如实现基于Exchange 2003的企业内部邮件

和协作服务，

1.3. 活动目录设计方案

我们为企业设计一个域，用户的所有计算机（服务器和客户机）全部加入到域，用户实现单一登录和管理员通过域组策略实现安全及桌面管理。AD架构拓扑如下。

2.

用户关心问题解答

2.1. 活动目录优势

1.计算机工作组管理和AD管理比较

对于基于Microsoft Windows操作系统的计算机运行和管理在两种模式下：工作组(workgroup)和域(domain)。

在工作组模式下，计算机处于一个孤立状态，使用计算机的用户登录帐号和计算机的管理均须在每台计算机上创建或进行。见下图。

当计算机超过20台以上时，计算机的管理变得越来越困难，并且要为用户创建越来越多的访问网络资源的帐号，用户要记住多个访问不同资源的帐号。

而在域的模式下，用户只需记住一个域帐号，即可登录访问域中的资源。并且管理员通过组策略，可以轻松配置用户的桌面工作环境和加强计算机安全设置。域模式下所有的域帐号保存在域控制器的活动目录数据库中。见下图。

2.为什么要提供目录服务?

对更加强大、透明且高度集成的目录服务的不断需求是由爆炸性增长的网络计算所导致的。随着局域网（LAN）、广域网（WAN）规模与复杂性的不断提高和这些网络不断被连入Internet，以及应用程序对网络的依赖程度不断增强并不断被链接到协作企业网中的其它系统上，对目录服务的需求也日渐增多。基于下列原因，目录服务成为扩展的计算机系统中最重要的部件之一：

●简化管理提供对用户、应用程序和设备的单一、一致性的管理点。

●加强安全性向用户提供单一的网络资源登录，为管理员提供强大、一致性的工具以

使他们能够管理为内部台式机用户、远程拨号用户以及外部电子商务客户提供的安全服务。

●扩展的互操作性向所有活动目录特性提供基于标准的存取方式以及对通用目录的

同步支持。