xxx企業(yè)AD規(guī)劃建議書

XXX企業(yè)AD 綜合管理策略建議書總頁數(shù)17正文14附錄生效日期：2004-4-1編制： 審核：版本：2 引言Active Directory 作為目前微軟網(wǎng)絡系統(tǒng)的基礎架構(gòu)管理系統(tǒng)，隨著應用系統(tǒng)得增加，AD 本身的管理直接影響到其他應用的管理；所以AD管理是基礎中的基礎，本文是針對XXX企業(yè) 5000人規(guī)模的AD作的一些指導性的管理規(guī)則。 閱讀對象/企業(yè)信息主管基于應用程序的管理者的管理人員目錄引言2閱讀對象21帳號管理51.1計算機帳號命名規(guī)則51.2員工帳號命名規(guī)則51.3用戶Logon Name 的命名規(guī)則：61.4其他帳號屬性填寫規(guī)則61.5帳號安全策略規(guī)則61.6停用刪除帳號規(guī)則71.7帳號管理者71.8Administrator 管理規(guī)則72組管理72.1域模式規(guī)則82.2內(nèi)置組的管理82.3基于管理角色的自定義組建立規(guī)則92.4分發(fā)組管理102.5組的使用基本原則113組織單元管理113.1的層次結(jié)構(gòu)規(guī)劃113.2帳號OU規(guī)劃123.3成員服務器管理OU的建立規(guī)則143.4基于資源的OU管理153.5權(quán)限委派管理原則164組策略管理174.1規(guī)劃GPO原則174.2GPO的管理原則175域控制器及站點部署規(guī)則185.1DC 規(guī)劃管理原則：185.2AD管理帳號組的建立規(guī)則185.3Site 規(guī)劃管理原則：195.4DC 硬件配置需求206小結(jié)1 帳號管理在AD 管理中，有兩種帳號，計算機帳號和用戶帳號，對于XXX企業(yè) 5，000員工的規(guī)模，基本上每個員工對應一個計算機帳號和用戶帳號，部分員工甚至對應多個帳號，這樣大約有10，000多個帳號需要管理，考慮到企業(yè)的增長和人員變動情況，下面我們分別討論對應的管理策略。1.1 計算機帳號命名規(guī)則缺省的情況下：AD中的計算機帳號就是加入到域中的計算機的NetBIOS名；我們也可以通過創(chuàng)建一個計算機帳號對應目標計算機的GUID，雖然計算機帳號的名字可以超過15位，但實際的管理中，AD只取前15位；所以，對計算機帳號的管理我們建議按照NetBIOS名的規(guī)范去做即可：1 計算機名的長度不能超過15位2 計算機名應盡可能反映出物理使用者的信息，如可以通過以下的規(guī)則定義： XX_YYY_ZZZZZZZZ其中：XX 代表物理site YYY 代表部門名 ZZZZZZZZ 可以用不超過8位的字母代表用戶，基本上能讓管理者能方便的查詢到用戶。如：HZ_IT_Zhangsan 代表杭州IT部的張三的計算機；1.2 員工帳號命名規(guī)則員工帳號是AD管理的一個重點，因為帳號有許多的屬性，需要作統(tǒng)一規(guī)范；考慮到XXX企業(yè) 是跨國公司，其企業(yè)文化按照美國文化為主，建議規(guī)則如下：First name：如果有英文名則用英文名，否則用漢語拼音全名；Last name ：如果有英文姓則用英文姓，否則用漢語拼音姓；Display name ：取系統(tǒng)自動，可以加其他字符作區(qū)分。如中文名例：張三First name：JerryLast name：ZhangDisplay name：Jerry Zhang (張三)1.3 用戶Logon Name 的命名規(guī)則：目前采用的是員工號為Logon Name；這樣可以保證用戶名在全球企業(yè)范圍內(nèi)的唯一；對臨時員工或外包員工，在必要的情況下可以按以下規(guī)則建立帳號：V-Username ,其中V-代表是臨時、外包性質(zhì)，Username 取用戶通用名，保證其唯一性即可；1.4 其他帳號屬性填寫規(guī)則AD賬戶的屬性，在基于AD的應用中有著豐富的作用，建議以下屬性填寫正確的內(nèi)容： 所屬部門：按照HR規(guī)定的縮寫 電話號碼：分級號碼 移動電話：個人移動電話號 辦公室位置：中（英）文信息，詳細到樓層；1.5 帳號安全策略規(guī)則為保證必要的安全性，減少網(wǎng)絡入侵的可能性，建議通過組策略，強制以下賬戶策略： 使用強密碼； 最小密碼長度5位 密碼每60天必須改變 密碼保留歷史紀錄為3個 密碼鎖定閾值 5 次，自動解鎖時間3分中 并對以下時間作審計：n 審核策略更改n 審核登錄事件n 審核帳戶登錄事件n 審核帳戶管理1.6 停用刪除帳號規(guī)則一般不輕易刪除帳號，對離職員工帳號作“禁用”設置；1.7 帳號管理者為降低管理成本，可以同過委派的方式，將帳號的完全管理權(quán)限委派給以下組： HelpDesk_Account_Admin HR_CreatAccount 并且嚴格控制其組成員，建議每個物理站點不超過2個成員；1.8 Administrator 管理規(guī)則由于Administrator的特殊地位，依照安全性原則，建議如下：1 更改名字到普通的用戶名2 建立一個假的administrator 賬號3 每30天更換一次真administrator 賬號口令4 平時不用administrator 作交互式登錄和網(wǎng)絡訪問，必要時用“Runas”命令實現(xiàn)切換；2 組管理在AD 的管理范疇中，組是用來組織管理用戶的，組又分為安全組合分發(fā)組，下面我們具體討論。2.1 域模式規(guī)則為更好的發(fā)揮安全組的作用，域模式建議采用純模式（Native Mode）。安全組是用來分發(fā)權(quán)限的，在 AD 中，有三種安全組：域本地組、域全局組和通用組，在先前兼容的模式混合模式下（Mix Mode），同以類組之間是不能嵌套，組成員也有限制，最多5000個成員。在純模式下（Native Mode）沒有該限制，而且通用組只能存在于純模式。下。2.2 內(nèi)置組的管理AD 有8 個系統(tǒng)內(nèi)置組，主要是做系統(tǒng)維護管理的，缺省的情況下，用好內(nèi)置組，80% 管理工作。如下圖：圖2.2 系統(tǒng)內(nèi)置組內(nèi)置組的管理策略，見下表：組名目的建議增強安全性成員Administrators成員可以執(zhí)行操作系統(tǒng)支持的所有功能嚴格控制成員數(shù)目；建議 3個；可通過組策略嚴格控制成員列表Backup Operators成員可以備份和恢復計算機上的文件，而不管這些文件的權(quán)限如何。他們還可以登錄計算機和關(guān)閉計算機，但不能更改安全性設置。建議每物理站點1個成員可通過組策略嚴格控制成員列表；可以考慮把備份的權(quán)利和恢復的權(quán)利獨立分開，付給不同的用戶角色，以提高安全性；Server Operators管理域中的服務器組成員為：給地理分支的Service Account可通過組策略嚴格控制成員列表；Account Operators管理域中帳號組成員是：HelpDesk_Account_Admin 和HR_CreatAccount 可通過組策略嚴格控制成員列表；print Operators管理域中的打印機建議每物理站點1個成員可通過組策略嚴格控制成員列表；Replicator該組用于配置目錄復制服務。清空可通過組策略嚴格控制成員列表；guests該組提供對系統(tǒng)資源的有限訪問。除系統(tǒng)成員帳號外，不添加任何帳號可通過組策略嚴格控制成員列表；users 所有域中的用戶保留缺省表2 內(nèi)置組的管理策略2.3 基于管理角色的自定義組建立規(guī)則在實際工作中，僅僅靠AD的系統(tǒng)內(nèi)置組還不能完全實現(xiàn)高效管理，建議按照管理角色來建立相應的安全組，通過把日常的任務角色化，可以實現(xiàn)規(guī)范化管理。如：Help-desk 的管理員可能只需要修改用戶密碼的權(quán)限而不需要完整的管理員權(quán)限。所以可以定義這樣一個角色擁有修改密碼的單一權(quán)限，然后付給某一個組。結(jié)合XXX企業(yè) 目前的業(yè)務系統(tǒng)，推薦如下表：管理組目的成員Site _Topology Admins可以管理 Active Directory Site Topology，負責Site間、內(nèi)的AD復制 Machine_Account Creation可以有把計算機加入到域中的權(quán)力ut_user_admins管理企業(yè)的用戶帳號ut_group_admins管理企業(yè)的用戶組ut_computer_admins管理企業(yè)的計算機帳號ut_ou_admins管理企業(yè)的OUHelpDesk_reset_pw重設用戶密碼的權(quán)力VPN_Account_Creation可以建立VPN的撥入用戶Mail_account_creation 可以建立郵箱帳號其他基于AD應用的管理角色可以委派相應管理任務表2.3 基于管理角色的管理組設計策略建立規(guī)則如下： 組名盡量反映建組目的，但長度不要超過30字符； 所有的自定義管理角色組缺省都是域本地組，成員為其他基于組織目的的域全局組和成員； 域本地組之間不嵌套； 域全局組可以嵌套，建議不要超過2層，必要的時候可以使用通用組來滿足復雜的管理需求；2.4 分發(fā)組管理分發(fā)組是相對于安全組的，不用于AD權(quán)限得分配，主要應用在Exchange 中，可以實現(xiàn)郵件分發(fā)的作用。根據(jù)XXX企業(yè) 的現(xiàn)狀，可以考慮按照部門建立其對應的分發(fā)組，實現(xiàn)郵件分發(fā)，通過郵件的形式來討論問題。推薦如下表：分發(fā)組的建立目的成員基于技術(shù)的各種分發(fā)組；可參考現(xiàn)有的BBS討論組用戶自愿加入和委派加入基于行政的各種分發(fā)組；基本上按照組織機構(gòu)建立按照HR的分配基于管理/應用需要的分發(fā)組按照管理/應用的需求表2.4 分發(fā)組的設計策略 2.5 組的使用基本原則對企業(yè)來說，用戶的管理往往借助于組的管理來實現(xiàn)的，其基本原則是“A G （U） DL P”的思想，就是通過全局組把需要授權(quán)的用戶組織起來，通過本地組跟具體的權(quán)限邦定，然后把組織好的全局組加入到相應的付好權(quán)限的本地組中。在必要的情況下；可以使用域全局組的嵌套，或多域情況下使用通用組來實現(xiàn)大規(guī)模的人員組織情況。3 組織單元管理組織單元（OU）是一個容器對象，我們可以把域中的對象組織成邏輯組，所以OU純粹是一個邏輯概念，它可以幫助我們簡化管理工作。3.1 的層次結(jié)構(gòu)規(guī)劃在AD中我們的管理單元基本就是OU，通過權(quán)限委派和組策略來實現(xiàn)管理。所以如何管理OU是非常重要的。在這里我們可以依照以下原則來建立：的建立基本上可以以物理機構(gòu)和行政組織為基礎劃分的建立目的是從管理的角度出發(fā)的，絕不是行政組織的簡單對應最小的單元建立原則是以可以獨立的管理、安全為邊界分割的雖然的邏輯結(jié)構(gòu)是樹狀的，可以無限擴充，但從管理效率上考慮，不建議嵌套的層次超過五層按照XXX企業(yè) 的實際，我們建議采用按照地理組織、管理需求的混合組織方法，建立OU層次框架，如下圖： 圖3.1 OU規(guī)劃框架其中 Account_OU 是按照地理組織劃分的，如：杭州、上海、北京、西安等Resouce_OU 是按照資源和應用需求劃分的，如：Edoc、ERP、搬遷 等詳細的規(guī)劃，請見后面相關(guān)部分。3.2 帳號OU規(guī)劃為方便日常維護管理，按照實際物地理分布，建立以地理位置命名的OU，并建立以下子OU用于管理目的，：Users: 存放該地理組織內(nèi)的所有成員帳號，建議按照人事部門組織的形式劃分子OU；Service Account: 存放該地理組織內(nèi)的系統(tǒng)服務需要的服務帳號，一般都需要加入到Server Operators ，實現(xiàn)其特權(quán)；Computers: 存放該地理組織內(nèi)的所有計算機帳號；Member Servers: 存放該地理組織內(nèi)的所有成員服務器帳號，一般按照服務器角色劃分子；Groups: 存放該地理組織內(nèi)的所有組帳號；Admins: 存放該地理組織內(nèi)的所有管理員帳號；以杭州為例其結(jié)構(gòu)如下圖： 圖3.2 Account_OU管理框架上圖是按照杭州為模版建立的，其他各地可以依次規(guī)劃。這樣管理的好處是，方便統(tǒng)一部署，如一些基于策略的實施和升級等操作，或某些成員服務器安全加固等；結(jié)合SMS管理將更加方便。注： 對于經(jīng)常移動的用戶，一般情況下以歸屬地為主要的命名依據(jù)，在集中管理上，我們也可以根據(jù)DHCP分割的地址段位管理范圍，從而達到邏輯和物理上的統(tǒng)一。3.3 成員服務器管理OU的建立規(guī)則隨著業(yè)務應用的不斷發(fā)展，公司必然有大量的成員服務器，目前XXX企業(yè) 大約有近150臺服務器，這些服務器帳號的管理，也非常重要；按照管理需求，建議把所有的成員服務器帳號按照實際功能設計從缺省的“Computer”容器移動到與其物理位置一致的OU中的獨立的按照服務器角色設計組織單元（OU）樹中-Member Servers，其結(jié)構(gòu)如圖一。結(jié)合XXX企業(yè) 的實情，建議建立基于服務的OU，詳見下表：OU/Container目的DNS ServersContains objects relating to DNS network service.WINS (Standalone) ServersContains the WINS infrastructure service-related objects.IIS ServersContains objects relating to IIS Cluster1 services.File ServersContains the file service-related objects.Print ServersContains the print service-related objects.Backup ServersContains the backup infrastructure service-related objects.ISA ServersContains the ISA service-related objects.Proxy ServersContains objects relating to proxy infrastructure services.Intranet Web ServersContains the IIS service-related objects.Internet Web ServersContains the IIS service related-objects.Management ServersContains objects relating to management services.Certificate Authority ServersContains the certificate authority infrastructure service-related objects.Application ServersContains the application infrastructure service-related objects.SQL ServersContains objects relating to SQL Server services.Database ServersContains the SQL service-related objects.Database ClustersContains the SQL clustered service-related objects.Radius ServersContains the RADIUS service-related objects.Client VPN ServersContains objects relating to virtual private network (VPN) network services for client VPN access.Site-to-site VPN ServersContains objects relating to VPN network services for site-to-site connectivity.SMTP ServersContains objects relating to Simple Mail Transfer Protocol (SMTP) services.Security ServersContains objects relating to security services, such as IDS and so on.表3.3 建立基于應用服務的OU框架建議服務器角色盡量單一，如果是某臺服務器承擔多個角色，需要在文檔中注釋清楚。3.4 基于資源的OU管理OU可以跟實際中的IT資源/應用捆綁在一起，這樣的目的是為了更好的管理資源。建議的資源OU可以按下表的模式建立；OU管理組名控制權(quán)限成員類別_ou_adminsFull controlAll objects_ou_user_adminsFull controlUser objects_ou_user_adminsFull controlUser objects_group_adminsFull controlGroup objects表3.4 基于資源的OU管理組設計策略以當前的EDOC 應用為例，我們需要給Edoc單獨設立一個OU，分成管理者OU和普通用戶OU，然后按照應用角色，細分若干子OU，通過把相應的管理組移動到相應的Ou實現(xiàn)管理委派。在OU的組織上表現(xiàn)如下圖：圖3.4 資源OU的設計3.5 權(quán)限委派管理原則權(quán)限委派是組織單元的一個強大應用，主要可以解決給予范圍的權(quán)限分配的問題，將活動目錄部分對象的具體權(quán)限委派給某些用和組，并通過建立和布置定制的MMC控制臺進行部署，從而減輕了集中管理的負擔。權(quán)限委派可以通過使用 委派控制向?qū)硗瓿?。在XXX企業(yè) 的應用中，結(jié)合易于資源的OU設計和基于角色的管理組設計兩部分，按照管理需求共同實現(xiàn)，由于權(quán)限委派結(jié)果查詢不方便，建議管理規(guī)則為： 按照層級實現(xiàn)權(quán)限委派，不要跨級； 建立報告制度，沒級管理員定期（一個月）獻上級管理員匯報委派情況4 組策略管理組策略（）是AD管理中強大使用的管理手段，使用組策略可以做到： 站點/域級別的集中管理，OU級別分散的管理 控制用戶的系統(tǒng)軟件環(huán)境 通過控制用戶和計算機環(huán)境，降低管理成本通?？梢酝^組策略編輯器來定制需要的策略，必要的情況也可以自定義開發(fā)，通過.inf 文件導入組策略編輯器。結(jié)合XXX企業(yè) 的實際應用，目前我們可以按照微軟提供的基本模版完成一些常規(guī)的GPO設置和實施，以下時規(guī)劃和管理GPO時需要參考的原則：4.1 規(guī)劃GPO原則 在最高層應用GPO，這樣很好應用了GPO的繼承性； 降低GPO的數(shù)目，在帶寬允許的情況下，盡可能用GPO Link 而不是重建GPO； 定制GPO的設置，最好一個GPO只負責一個管理需求； 當GPO只針對用戶和計算機一項的時候，禁用掉另一項以提高性能； 只有必要的時候才使用“阻止繼承”（Block Inheritance）和“禁止替代”（No Override）和篩選（security filtering）4.2 GPO的管理原則 建立GPO管理組：建立GPO_admin 和 GPO_link 兩個域本地組，GPO_admin的成員可以管理所有GPO，建議成員數(shù)目不要超過3個；GPO-Link 組的成員只能連接GPO，建議每一個地理分支OU有一個成員； 按照管理需求建立GPO維護組，并通過權(quán)限委派實現(xiàn)降低管理負荷；如：可以規(guī)劃以下范圍的GPO管理維護組： 用戶配置管理 數(shù)據(jù)管理 軟件分發(fā) 。 建立GPO的審計規(guī)劃，以確保GPO的執(zhí)行效果； 推廣一個GPO前一定要通過測試，并且應該有詳細文檔；5 域控制器及站點部署規(guī)則域控制器（DC）和站點（Site）都是AD的物理實體，在規(guī)劃上我們需要嚴格遵需以下原則：5.1 DC 規(guī)劃管理原則： 嚴格控制AD管理帳號組成員； 嚴格控制 DC的物理安全，DC不能存放于不安全的地方； 嚴格控制 DC的備份資料，備份資料不能存放于不安全的地方； 每3個月做一次AD恢復測試； DC上裝的軟件和應用要盡量少；5.2 AD管理帳號組的建立規(guī)則目錄服務的管理被分成5個角色，如下： Forest owner: Enterprise Admin Forest owner: Schema Admin Site topology owner Domain owner Organizational unit owner其中森林所有者有2個角色構(gòu)成，Schema Admin 和 Enterprise Admin，下表將詳細描述這些角色：角色名職責 成員Forest Owner: Enterprise Admin傳遞目錄服務，并控制Forest的配置信息更改，如：添加新域后者改變Site拓撲。Built-in user group (Enterprise Admins).Forest Owner: Schema Admin傳遞目錄服務，并控制Forest的schema配置信息更改。Built-in user group (Schema Admins).Site Topology Owner 傳遞目錄服務，并控制Forest的site topology配置信息更改。 如：DC的IP、subnet、location、router-cost 的改變信息。自定義一角色組：Global