xx集团域管理实施方案

xx集团域解

决方案

制定人：xx

2014-7-22

1概述

1.1 背景介绍

随着xx集团的壮大，现有的管理模式已经无法满足IT管理的需求，根据目前的IT现状，利用域管理可以实现资源集中化以及管理分散化，提高管理人员的工作效率，并且有效整合公司资源。

1.2 现状描述

目前xx集团共有计算机六百多台，企业内部的网络环境依然使用的是工作组模式，这种管理模式较为松散，且每个个体之间都是独立存在的，网络环境中的软硬件资源都无法实现充分利用。从IT管理人员方面考虑，整合IT资源，将原有的松散的工作组模式更改为集中管理的域模式，可以减轻日常维护管理的负担，提升IT生产力。对于终端用户来说，实现域管理方式以后，可以实现单一的身份验证，用户不需要记太多的账号，密码，一个账号就可以访问公司所有的资源。

1.3 问题分析

根据xx现有的网络环境，主要有如下几个问题需要在实施域管理之前解决（目前想到的就这么多，后期讨论过以后可能还有）：

1．前期松散的网络环境太过于庞大，用户数据都是存在自己电脑上的，数据这一块是否需要增加文件服务器，文件服务器可以根据账号开权限，以此来最大限度的保证数据的安全性。（我司目前还没有文件服务器，不过我正在考虑是否需要增加）

2. 创建域环境以后，繁琐的账号是否需要整合？如果不整合，相当于用户又需要记住一个账号密码，太多的账号密码，对于用户体验来说也不好！目前我司这边，上网账号和电脑账号是整合的，只需要一个账号密码即可。毕竟现在所有主流系统都是可以和域联接，直接使用域账号来分权什么的。。庞大的账号集管理也方便，最大限度的体现域的好处！

3. 用户现在使用的是工作组模式，将来开始实施域的时候，加域的工作以及用户配置文件转移的工作怎么来进行需要考虑清楚。我司这边我是写的操作手册发给用户，然后让用户自行加域以及转移配置文件。如果考虑到用户的技术水平有限，也可以写批处理文件，让批处理来解决。或者让各部门文员负责这件事情。（不建议用批处理）

4. 域实施之前，要考虑给用户什么权限，目前IT行业中，大中型企业主流的权限分配是给普通用户Power user 的权限，此权限的好处在于拥有大部分的本机管理权限，但是却又有限制，在文件安装方面，只能安装经过windows验证的程序，其实说白了就是用户没有安装文件的权限。虽然看上去繁琐了，但是也一定限度的预防病毒，还有防止用户装一些乱七八糟的软件，尽最大可能保证电脑的标准化。

5. 域用户的权限考虑好以后，需要合理规划OU，需要划定哪些OU，这部分非常重要，OU规划的好，在今后的权限分配方面就会轻松很多。譬如文件服务器，上网权限等。

6. 服务器方面，域的实施需要至少两台服务器，一台主域，一台辅域，互为备份，如果集团有刀片的话，两块刀片就可以解决了，域服务器对设备硬件要求不高，对网络要求比较高，服务器之间理论上必须千兆对接，用户层的交换机尽可能千兆，百兆也可以。网络带宽越大，组策略以及以后如果实现程序批量下发，反应时间越短。

7. 服务器系统，目前我司这边使用的是server2003，建议集团使用server2008, 03已经要退出微软支持行列了。

8. 最关键的一个是组策略的制定。强烈建议域管理员在域实施之前，自己先装一台服务器，研究一下组策略。组策略的功能很庞大，运用的好，对工作效率有很大的提升。等到研究的差不多了，再实施。

9. USB 管控方面。可以通过注册表来管控USB设备。

2解决方案实施

2.1 AD域命名和DNS的规划

AD域名：制定合理的域名，比如

DNS：域必须基于DNS才可以工作，所以域服务器也是DNS服务器

2.2 确定AD逻辑结构

Windows 2008活动目录的逻辑结构由三个基本组件组成：森林、域和OU，我们计划采取单森林单域的方式建立域控服务器。

2.3 规划OU结构

组织单元（OU）是一个用来在域中创建分层管理单位的容器。在域控中可以按照部门进行划分。

2.4 计算机名规则

计算机名可以不做更改，但是对于域管理来说，最好是更改成计算机使用人的名字，以便于后期统计，包括远程协助的话，也可以通过计算机名来连接，不需要记住用户的IP地址了。

2.5 使用者开机用户名规则

使用者的开机用户名为：

三个字以上者：使用者的姓拼音全拼加上名的拼音首字母。

如：彭富强peng+fq=pengfq

两个字：使用者姓的全拼加上名的全拼

如：何斌he+bin=hebin

注：如遇上用户名相同者在开机用户名后加数字如：pengfq01，以示区分。

为了保证计算机的安全，所给的用户名全为受限用户（power users），一些特殊用户除外。

2.6 硬件设备安排

为实现Windows 2008 AD系统的部署实施，需要配置两台服务器：

●Windows 2008 AD主域控制器：1台，同时兼作DNS服务器；使用2个硬盘，RAID1

模式。

●Windows 2008 AD备份域控制器：1台，同时兼作DNS服务器；不需要做raid，

单硬盘即可。

●分布式文件服务器：1台，（非必须）

2.7 实施安排

为了保证域控稳定安装实施，可以采用分步部署的模式，先挑出一两个部门加入域以后观察是否存在大的问题，对于出现的小问题做微调处理，保证可以大范围实施以后，再整个集团实施，确保员工工作的正常进行！