工作站加入WINDOWS安全域实施方案.docx

工作站加入WINDOWS安全域实施方案目录1综述22部署原则22.1安全性22.2可冗余性：22.3可扩展性：32.4应急性：33部署前提34部署步骤44.1更改计算机名称4第一种方法：4第二种方法：（推荐）64.2加入域84.3对域用户的桌面恢复124.4安全策略应用155系统测试206应急策略237部署安排23综述Windows安全域客户端的部署是整个项目的正式实施阶段，也是项目的核心阶段。因此在部署的过程中，误必做到安全部署，合理部署，按需部署，零风险部署，从而达到顺利成功的部署。我们将在方案对如何部署提供了详细的解决方案。加入安全域原则安全性安全性高，有利于企业的一些必威体育官网网址资料的管理，比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删除、更改、移动等操作。同时能有效阻止木马病毒的入侵行为，防止信息泄漏。域为用户提供了单一的登录过程来访问网络资源，如他们所具有权限的文件、打印机和应用程序资源。也就是说，用户可以登录到一台计算机来使用网络上另外一台计算机上的资源，只要用户具有对资源的合适权限。域通过对用户权限合适的划分，确定了只有对特定资源有合法权限的用户才能使用该资源，从而保障了资源使用的合法性和安全性。可冗余性：每个域控制器保存和维护目录的一个副本。在域中，你创建的每一个用户帐号都会对应目录的一个记录。当用户登录到域中的计算机时，域控制器将按照目录检查用户名、口令、登录限制以验证用户。当存在多个域控制器时，他们会定期的相互复制目录信息，域控制器间的数据复制，促使用户信息发生改变时（比如用户修改了口令），可以迅速的复制到其他的域控制器上，这样当一台域控制器出现故障时，用户仍然可以进行登录，保障了业务的顺利进行。可扩展性：在活动目录中，目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。因此，目录可以随着组织的增长而一同扩展，允许用户从一个具有几百个对象的小的安装环境发展成拥有几百万对象的大型安装环境。应急性：在部署以后出现系统不能正常运行，影响银行的正常业务工作。那么我们能恢复到域部署之前的系统状态。加入安全域前提加入安全域之前需要有以下几个前提：客户端系统必须是能加入WINDOWS域的操作系统，如：Windows NT Workstation、Windows 2000 Professional、Windows 7/vista商用入门版、商用进阶版和旗舰版、Windows8专业版和企业版。此外, Windows 95 / 98 / Me、Windows XP家庭版、Windows 7家庭入门版、Windows 7家庭进阶版, Windows8核心版也都没有加入域的功能。网络的可达性：DNS能够为做域名解析、能与AD服务器建立连接。将要加入安全域的计算机在域中拥有相应的域账户，并且确认该计算机系统是否在规划的范围。加入安全域步骤更改计算机名称域管理实际上就是对计算机系统的管理，因此管理就必须要有一个明确的对象名称，这类似于企业管理者对员工的管理首先就要知道员工名称；为了让管理者对计算机设备的方便管理，制定了相应的命名规范：BOCD+资产编号后6位，例如：BOCD022352；步骤如下：第一种方法：在桌面上【我的电脑】上点击鼠标右键选择【属性】如图：左图为XP系统截图，右图为WINDOWS7系统截图然后在【系统属性】里选择【计算机名】标签页，点击【更改】按扭，在计算机名编辑框中输入要更改的新名字：如BOCD022352，然后点击【确定】，最后会让你重新启动计算机；如图所示： 注：以上是XP截图，WIN7和WIN8的设置方法跟XP都差不多，这里就不截图了第二种方法：（推荐）但在现实系统中环境，维护人员为减少维护工作量，大多数计算机系统都是采用克隆的技术。因此就存在大量的计算机系统的SID号相同。SID相同的机器加入域往往会产生一些冲突，因此这里介绍另一种修改SID和更改计算机名称的方法：运行NewSID程序，点击【Next】然后就能看到当然的SID号，选择【Random】产生一个随机的SID，点击【Next】会显示当然的计算机名，然后再输入新的计算机名再点击【Next】，然后提示成功之后重新启动计算机就完成计算机更名和SID修改了。 如图所示：注：为了避免不必要的维护工作量和错误的产生，推荐采用第二种方法。加入域当完成更改计算机名称后，接下来就是加入域。加入域的步骤如下：仍然是在【计算机名称更改】标签页里，在【域】编辑框中输入：“”，然后点击【确认】如图所示：然后在弹出的对话框输入域账户和密码：加入成功之后会有以下提示：重新启动后在登陆对话框中选择登陆到OAAD域，并输入域用户和密码，由于用户第一次登陆需要更改密码，更改密码后就能正常登陆到域中：等待进入桌面，到此加入域的初步工作就算完成了。这时候可以查看计算机