常见的域管控方案.ppt

域管控方案说明 目 录 活动目录结构规划 活动目录实施计划 分公司加域方案 电脑加域后问题 资源需求 活动目录介绍 01 活动目录介绍 活动目录AD是Windows Server网络体系结构中一个基本且不可分割的部分，它为计算机用户、管理员和应用程序提供了一套分布式网络环境。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外，活动目录在网络安全方面也扮演着中心授权机构的角色，从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同时，它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成，从而实现巩固目录服务并简化对整个网络操作系统的管理。 AD介绍 现状和问题 企业网络中计算机默认处于工作组（WorkGroup）网络模式，工作组网络是一种对等网络，网络中的计算机地位平等，计算机之间互不干扰，正因为工作组是一种对等网络，所以它存在以下问题。 管理分散 ？ 资源共享和账号管理分散，所有的设置都要在计算机本地进行设置，无法统一管理 “人机”不分 若要登陆到计算机必须先创建账号 数据安全性较差 只要能登陆到计算机，就能查看、修改，甚至删除他人文件 安全策略不统一 计算机的安全策略必须在每台计算机本地设置 补丁更新不能控制 域网络优势 集中管理各类网络资源和账号资源 安全性加强，权限管理更明确 账户漫游和文件夹重定向 方便用户使用各种共享资源 SMS（System Management Server）系统管理服务 微软系（MS） 软件方便集成 项目 工作组网络 域网络 登陆 本地账号，本地登陆 本地账号和域账号均可登陆，域账号由DC控制器统一验证，域账号可登陆任何一台域内计算机 账号 本地创建，本地修改 统一创建和修改，且密码安全性更高 桌面环境 本机单独配置 统一配置，可提升企业形象 权限 本机权限 集中管理，分组授权分组修改 网络资源访问 多人共用一个账号或者为每个人单独创建访问账号，需要多次身份验证 域账号单一验证，只需把账号加入不同权限分组 网络连接性能 高 较低 安全管理 设置简单，只需要在本机设置，但若主机太多，无法统一管理 设置较复杂，在服务器上设置统一的安全策略，再下发到客户机上，不需要在客户机上单独设置 数据安全 安全性低，只要能登陆主机就能查看，修改，删除其他人文件 安全性高，文件所有者拥有对文件的绝对控制权，其他人不能访问 单一登陆 无法实现 可以实现 组策略 无法实现 不同分组，不同部门实行不同的安全策略 域网络和工作组网络对比 02 活动目录结构规划 基于对站点的安全和稳定性要求，计划在 总公司机房架设两台域控制器，互为主备， 主要用于全公司内的账号服务管理。 根据公司情况，采用单域模式 站点：XXX公司 功能级别：Windows Server 2012 r2 域名：（待定） 域结构设计 域网络拓扑 Server角色 1、AD：DC1为主域控制器，DC2为辅控制器并与DC同步 2、DNS：DC1与DC2均安装DNS服务，DC2与DC1同步 3、WINS：DC1与DC2均安装WINS服务，并设置为复制伙伴 4、DHCP：可以为客户端分配IP地址（可选服务） OU也称为组织单元，是一个容器对象，用于管理域中的对象。可以在域中创建组织单位的层次结构，组织单位可包含用户、组、计算机、打印机，共享文件夹以及其他组织单位，它能够反映企业内部的组织结构。对OU结构做如下规划： OU结构设计 策略设计 组策略是管理员为用户和计算机定义并控制程序、 网络资源及操作系统行为的主要工具。通过使用 组策略可以设置各种软件、计算机和用户策略。 通过设置策略能更好地满足企业的系统安全、网络 安全、数据保护及个性化等需求。 策略具有如下功能： 账户安全设定 权限分配设定 安全性脚本设定 工作环境设定 基本策略设计 项目 序号 内容 备注 账号原则 1.1 取消用户本地账号的权限，用户必须使用域账号登录 　 　 1.2 用户计算机密码长度至少8位且符合复杂性要求。  　 　 1.3 用户域账号密码有效期限为90天且提前7天前提示变更 天数可按求调整 　 1.4 用户域账号锁定阀值为5次，锁定时间为30分钟 　 　 1.5 定期变更用户计算机administrator账号密码 　 　 1.6 禁用用户计算机Guest账号 　 桌面管理 2.1 域计算机统一桌面背景 　 　 2.2 域计算机统一开始菜单样式 　 IE设定 3.1 禁止变更Proxy设定 根据用户需求设定  　 3.2 禁用Internet连接向导 根据用户需求设定  　 3.3 禁用IE更改主页设置 根据用户需求设定  　 3.4 禁止变更IE安全性设定 根据用户