AD域部署方案343333
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.1 现状及存在问题的调研
客户端自行 管理安全
当前 环境
Baidu Nhomakorabea
客户端自行 管理资源
身份管理 大量的用户登录名和目录 简单或空白的密码 不安全的访问网络和应用资源 不当的admin权限开放
服务器和桌面电脑管理
如何统一管理服务器和桌面系统安全策 略 如何统一管理桌面系统的应用 如何保持所有系统安全补丁升级到最新
1.1 现状及存在问题的调研· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 3
培训和演示,帮助员工更快的的熟悉登陆及用户权限
变化。
Windows 网络架构客户端默认属于工作组的办公环境,所有的用户账号均保存在本地客户端上,
网络共享数据时只能允许所有人everyone 查看的权限,数据共享及网络安全存在较多的风险。 Windows 域架构管理模式可以解决众多网络安全性问题,域环境下可以轻易实现网络用户账号的集中 管理,规范客户端密码长度和复杂性;在域环境下,可以实现所有客户端系统的补丁自动更新,有效提 高服务器及桌面系统的安全性。 在Windows AD域的办公环境下,并不会太多改变原有的客户端工作组下的办公习惯;域账号登 陆默认缓存功能,用户离开公司网络,同样可以使用域用户账号在本机登陆,不会改变原有工作组的工 作习惯。 另外公司应用系统中,很多应用系统是基于微软的AD架构,如MS Cluster集群高可用系统、 Exchange 邮件系统、OCS及时通讯系统、MOSS 公司门户网站协作系统等等;所以AD域的架构管理 不但可以方便公司内部安全管理,还为以后的公司应用扩展提供了系统基础。
公司的AD域架构以及服务器部署完成后,在域管理上,我们利用域的组织单元OU进行公司管理架构的设计及 进行公司管理策略的分配。在OU组织单位设计上我们基于公司的管理模式而不按照公司的组织结构进行设置。 OU组织单元的设计将遵循的原则 • • • 反映公司内部的组织结构 反映公司机密程度需求 有利于通过组策略进行细化的终端管理 OU作为域的基本管理单元,在域内,管理员可以按照不同的OU组织单元运用不同级别的组策 略安全设置。通过组策略应用的安全更改类型包括: 修改文件系统的权限。 修改注册表对象的权限。 更改注册表中的设置。 更改用户权限分配。 配置系统服务。 配置审核和事件日志。 设置帐户和密码策略。 配置桌面系统环境等等。
2.1 域架构部署规划
域结构设计是活动目录中最重要,它既要尽可能贴近用户的管理模式和组织结构,也要考虑网络情况及今后的各种 变化。我们依据微软活动目录结构的设计原则,用最简单的结构来满足客户的管理需求。在域的管理架构OU组织单位设 计上基于公司的管理模式而不是公司的组织结构图。
以下是单域结构相对于其他结构的优点:
1.2 AD域架构的应用给公司管理带来的优势
1.可控的资源访问
1.方便访问各种资源
2.灵活的文件权限 3.统一的桌面规则 4.非域用户无法访 问公司资源
单一登陆 权限控制
用户方面
2.从各位置登陆桌面 3.用户文件在服务器
统一的安 全规范
病毒防控 用户规范
域 环境
统一方便的 资源管理
管理方面
1.统一的病毒设置
2.4 部署及测试计划
1、基本部署流程
服务器调 整购买 主域控制 器架设 备用域控 制器架设 多点测试
域部署 及测试
域的应用及后期
规范客户端邮件设置及整理文件,将工作文件放在统一位
置
全面域环境切换,客户端改为域用户名登陆
整体安全部署,统一软件部署 后续工作
容灾及备份,制定相关制度定时备份。
丰联金融-Windows AD域架构设计方案
公司:丰联金融 项目:windows AD域设计方案 时间:2014-7
目录
一、前言···························································································`·························································3
1.2 AD域架构的应用给公司管理带来的优势· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 4 1.3 域架构设计原则 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 5
集中管理整个公司的安全策略。
集中管理整个公司的组策略。 完全利用组织单元反映公司的管理结构。 当公司机构重组时可以非常灵活的进行调整。 当资源和用户需要在组织机构内迁移时可以非常灵活的调整。 用户在查找AD内的信息时相对简单。 单一的组策略更容易实施。
2.2 通过OU、GPO 和用户组实现域安全的管理
一、前言
由于Windows 网络系统架构在公司应用中的普及,公司会面临大量客户端及服务器的统一安全 管理;AD域的规划架构需要根据公司现有的网络规模布局和IT管理制度,以适应公司当前和长远的发 展需求,有效地保护用户的资料,减少用户的风险。 针对整个公司的域架构规划和实施,前期需要先完成公司域规划及部署:实现公司统一的目录服 务管理,统一的公司用户信息、安全策略。
2.统一的更新设置 3.统一的用户权限
1.集中部署软件 2.集中更新升级软件 2.集中备份数据
1.3 域架构设计原则
在进行总体框架设计时,考虑到公司的现有网络架构及公司管理体系,微软在AD 稳定性 在系统结构设计上要充分考虑到系统运行的稳定性。系统平台方面要考虑各种系统配置对稳定性的影响,系统必须经过严格的 测试,包括功能测试、在各种系统环境或系统配置上的测试等,确保系统在多种设备环境上能够稳定运行。必要时,可以通过远程 管理、监控手段与本地系统管理相结合的方式,保证系统的稳定、可靠。 易管理 系统平台的管理要尽量简单,尽量少地使用户涉及到系统平台的管理工作,必要的管理任务也要提供相应的培训、帮助资料甚 至操作引导界面来帮助用户顺利地完成工作。信息交换系统的管理在设计时也要考虑到易管理性方面的要求,通过操作引导界面辅 助用户完成所需的数据交换的管理工作。 易维护 系统的结构设计要易于维护,组成系统的功能元素要具有一定的独立性,可以根据用户的需要进行替换而不影响或很少影响其 他功能元素,并能够与其他功能元素协作共同完成用户的功能。 易扩展 系统无论是在业务功能上,还是在信息的交换规范上都应当易于扩展,以便适应今后业务的发展。 易用性 系统的操作应尽量简单,对操作提示、错误报告、监控信息反馈等要全面、详细,真正做到易学、易用、易培训。 安全性 使用系统平台的相关安全设置以及应用系统的安全性实现,实现整个系统的安全性。确保系统不被非授权用户侵入,数据不丢 失,确认发送者和接收者的身份,保证传输数据不被非法获取、篡改等。 统一性 各级系统的建设要遵循统一的要求进行,在平台、应用系统、应用策略、安全管理等方面保持一致,提供统一的用户体验,保 证系统内部数据传输服务的可靠性。
二、公司域架构规划··························································································································5
2.1 域架构部署规划· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 5 2.2 通过OU、GPO 和用户组实现域安全的管理· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 6 2.4 硬件部署调试计划· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 7