域管控解決方案

1、域管控方案說明第1頁目錄活動(dòng)目錄結(jié)構(gòu)規(guī)劃活動(dòng)目錄實(shí)施計(jì)劃分企業(yè)加域方案電腦加域后問題0203040506資源需求活動(dòng)目錄介紹01第2頁01活動(dòng)目錄介紹第3頁 活動(dòng)目錄AD是Windows Server網(wǎng)絡(luò)體系結(jié)構(gòu)中一個(gè)基本且不可分割部分，它為計(jì)算機(jī)用戶、管理員和應(yīng)用程序提供了一套分布式網(wǎng)絡(luò)環(huán)境。活動(dòng)目錄使得組織機(jī)構(gòu)能夠有效地對(duì)相關(guān)網(wǎng)絡(luò)資源和用戶信息進(jìn)行共享和管理。另外，活動(dòng)目錄在網(wǎng)絡(luò)安全方面也飾演著中心授權(quán)機(jī)構(gòu)角色，從而使操作系統(tǒng)能夠輕松地驗(yàn)證用戶身份并控制其對(duì)網(wǎng)絡(luò)資源訪問。同時(shí)，它也幫助組織機(jī)構(gòu)經(jīng)過使用基于Windows應(yīng)用程序和與Windows相兼容設(shè)備對(duì)非Windows系統(tǒng)進(jìn)行集成，從而

2、實(shí)現(xiàn)鞏固目錄服務(wù)并簡化對(duì)整個(gè)網(wǎng)絡(luò)操作系統(tǒng)管理。活動(dòng)目錄介紹AD介紹第4頁活動(dòng)目錄介紹現(xiàn)實(shí)狀況和問題 企業(yè)網(wǎng)絡(luò)中計(jì)算機(jī)默認(rèn)處于工作組（WorkGroup）網(wǎng)絡(luò)模式，工作組網(wǎng)絡(luò)是一個(gè)對(duì)等網(wǎng)絡(luò)，網(wǎng)絡(luò)中計(jì)算機(jī)地位平等，計(jì)算機(jī)之間互不干擾，正因?yàn)楣ぷ鹘M是一個(gè)對(duì)等網(wǎng)絡(luò)，所以它存在以下問題。管理分散？資源共享和賬號(hào)管理分散，全部設(shè)置都要在計(jì)算機(jī)當(dāng)?shù)剡M(jìn)行設(shè)置，無法統(tǒng)一管理“人機(jī)”不分若要登陸到計(jì)算機(jī)必須先創(chuàng)建賬號(hào)數(shù)據(jù)安全性較差只要能登陸到計(jì)算機(jī)，就能查看、修改，甚至刪除他人文件安全策略不統(tǒng)一計(jì)算機(jī)安全策略必須在每臺(tái)計(jì)算機(jī)當(dāng)?shù)卦O(shè)置補(bǔ)丁更新不能控制第5頁活動(dòng)目錄介紹域網(wǎng)絡(luò)優(yōu)勢(shì)集中管理各類網(wǎng)絡(luò)資源和賬號(hào)資源安全性加

3、強(qiáng)，權(quán)限管理更明確賬戶漫游和文件夾重定向方便用戶使用各種共享資源SMS（System Management Server）系統(tǒng)管理服務(wù)微軟系（MS） 軟件方便集成第6頁項(xiàng)目工作組網(wǎng)絡(luò)域網(wǎng)絡(luò)登陸當(dāng)?shù)刭~號(hào)，當(dāng)?shù)氐顷懏?dāng)?shù)刭~號(hào)和域賬號(hào)均可登陸，域賬號(hào)由DC控制器統(tǒng)一驗(yàn)證，域賬號(hào)可登陸任何一臺(tái)域內(nèi)計(jì)算機(jī)賬號(hào)當(dāng)?shù)貏?chuàng)建，當(dāng)?shù)匦薷慕y(tǒng)一創(chuàng)建和修改，且密碼安全性更高桌面環(huán)境本機(jī)單獨(dú)配置統(tǒng)一配置，可提升企業(yè)形象權(quán)限本機(jī)權(quán)限集中管理，分組授權(quán)分組修改網(wǎng)絡(luò)資源訪問多人共用一個(gè)賬號(hào)或者為每個(gè)人單獨(dú)創(chuàng)建訪問賬號(hào)，需要屢次身份驗(yàn)證域賬號(hào)單一驗(yàn)證，只需把賬號(hào)加入不一樣權(quán)限分組網(wǎng)絡(luò)連接性能高較低安全管理設(shè)置簡單，只需要在本機(jī)設(shè)置

4、，但若主機(jī)太多，無法統(tǒng)一管理設(shè)置較復(fù)雜，在服務(wù)器上設(shè)置統(tǒng)一安全策略，再下發(fā)到客戶機(jī)上，不需要在客戶機(jī)上單獨(dú)設(shè)置數(shù)據(jù)安全安全性低，只要能登陸主機(jī)就能查看，修改，刪除其它人文件安全性高，文件全部者擁有對(duì)文件絕對(duì)控制權(quán)，其它人不能訪問單一登陸無法實(shí)現(xiàn)能夠?qū)崿F(xiàn)組策略無法實(shí)現(xiàn)不一樣分組，不一樣部門實(shí)施不一樣安全策略活動(dòng)目錄介紹域網(wǎng)絡(luò)和工作組網(wǎng)絡(luò)對(duì)比第7頁02活動(dòng)目錄結(jié)構(gòu)規(guī)劃第8頁活動(dòng)目錄結(jié)構(gòu)規(guī)劃基于對(duì)站點(diǎn)安全和穩(wěn)定性要求，計(jì)劃在總企業(yè)機(jī)房架設(shè)兩臺(tái)域控制器，互為主備，主要用于全企業(yè)內(nèi)賬號(hào)服務(wù)管理。依據(jù)企業(yè)情況，采取單域模式站點(diǎn)：XXX企業(yè)功效級(jí)別：Windows Server r2域名：（待定）域結(jié)構(gòu)設(shè)計(jì)

5、第9頁活動(dòng)目錄結(jié)構(gòu)規(guī)劃域網(wǎng)絡(luò)拓?fù)銼erver角色1、AD：DC1為主域控制器，DC2為輔控制器并與DC同步2、DNS：DC1與DC2均安裝DNS服務(wù)，DC2與DC1同步3、WINS：DC1與DC2均安裝WINS服務(wù)，并設(shè)置為復(fù)制搭檔4、DHCP：可認(rèn)為客戶端分配IP地址（可選服務(wù)）第10頁OU也稱為組織單元，是一個(gè)容器對(duì)象，用于管理域中對(duì)象。能夠在域中創(chuàng)建組織單位層次結(jié)構(gòu)，組織單位可包含用戶、組、計(jì)算機(jī)、打印機(jī)，共享文件夾以及其它組織單位，它能夠反應(yīng)企業(yè)內(nèi)部組織結(jié)構(gòu)。對(duì)OU結(jié)構(gòu)做以下規(guī)劃：活動(dòng)目錄結(jié)構(gòu)規(guī)劃OU結(jié)構(gòu)設(shè)計(jì)第11頁活動(dòng)目錄結(jié)構(gòu)規(guī)劃策略設(shè)計(jì)組策略是管理員為用戶和計(jì)算機(jī)定義并控制程序、網(wǎng)

6、絡(luò)資源及操作系統(tǒng)行為主要工具。經(jīng)過使用組策略能夠設(shè)置各種軟件、計(jì)算機(jī)和用戶策略。經(jīng)過設(shè)置策略能更加好地滿足企業(yè)系統(tǒng)安全、網(wǎng)絡(luò)安全、數(shù)據(jù)保護(hù)及個(gè)性化等需求。策略含有以下功效：賬戶安全設(shè)定權(quán)限分配設(shè)定安全性腳本設(shè)定工作環(huán)境設(shè)定第12頁活動(dòng)目錄結(jié)構(gòu)規(guī)劃基本策略設(shè)計(jì)項(xiàng)目序號(hào)內(nèi)容備注賬號(hào)標(biāo)準(zhǔn)1.1取消用戶當(dāng)?shù)刭~號(hào)權(quán)限，用戶必須使用域賬號(hào)登錄1.2用戶計(jì)算機(jī)密碼長度最少8位且符合復(fù)雜性要求。1.3用戶域賬號(hào)密碼使用期限為90天且提前7天前提醒變更天數(shù)可按求調(diào)整1.4用戶域賬號(hào)鎖定閥值為5次，鎖定時(shí)間為30分鐘1.5定時(shí)變更用戶計(jì)算機(jī)administrator賬號(hào)密碼1.6禁用用戶計(jì)算機(jī)Guest賬號(hào)桌面管

7、理2.1域計(jì)算機(jī)統(tǒng)一桌面背景2.2域計(jì)算機(jī)統(tǒng)一開始菜單樣式IE設(shè)定3.1禁止變更Proxy設(shè)定依據(jù)用戶需求設(shè)定3.2禁用Internet連接向?qū)б罁?jù)用戶需求設(shè)定3.3禁用IE更改主頁設(shè)置依據(jù)用戶需求設(shè)定3.4禁止變更IE安全性設(shè)定依據(jù)用戶需求設(shè)定信息安全設(shè)定4.1禁用USB存放設(shè)備特殊需求申請(qǐng)開通4.2禁止訪問網(wǎng)絡(luò)連接屬性。管理員群組例外4.3開啟遠(yuǎn)程桌面連接4.4統(tǒng)一配置WindowsUpdate設(shè)定4.5禁止安裝軟件管理員群組例外4.6禁止用戶建立共享管理員群組例外4.7屏幕保護(hù)啟用密碼保護(hù)4.8禁止特定軟件運(yùn)行電源節(jié)能設(shè)定5.1定時(shí)啟用屏幕保護(hù)功效第13頁活動(dòng)目錄結(jié)構(gòu)規(guī)劃數(shù)據(jù)同時(shí)在一個(gè)完

8、整域網(wǎng)絡(luò)中，是存在多臺(tái)域控制器，Active Directory數(shù)據(jù)存放在域控制器內(nèi)，當(dāng)一臺(tái)域控制器Active Directory數(shù)據(jù)發(fā)生變動(dòng)，這個(gè)變動(dòng)數(shù)據(jù)會(huì)被自動(dòng)復(fù)制到其它域控制器Active Directory內(nèi)。Active Directory數(shù)據(jù)復(fù)制主要有兩種方式：1、多主機(jī)模式。域控制器之間相互復(fù)制，當(dāng)有數(shù)據(jù)變更時(shí)，能夠在任意一臺(tái)控制器上進(jìn)行操作，數(shù)據(jù)變更后會(huì)自動(dòng)復(fù)制到其它控制器。AD內(nèi)大部分?jǐn)?shù)據(jù)復(fù)制都是這種模式。2、單主機(jī)模式。單主機(jī)模式下，當(dāng)提出變更對(duì)象數(shù)據(jù)要求時(shí)，有其中一臺(tái)域控制器(操作主機(jī))負(fù)責(zé)接收和處理，然后再由“操作主機(jī)”復(fù)制到其它域控制器。AD內(nèi)少部分?jǐn)?shù)據(jù)復(fù)制是這種模

9、式。 第14頁活動(dòng)目錄結(jié)構(gòu)規(guī)劃容災(zāi)和備份Active Directory域服務(wù)(ADDS)是Windows基礎(chǔ)結(jié)構(gòu)中針對(duì)關(guān)鍵任務(wù)組件。假如ActiveDirectory出現(xiàn)故障，網(wǎng)絡(luò)實(shí)際就瓦解了。所以，ActiveDirectory備份和恢復(fù)計(jì)劃是安全性、業(yè)務(wù)連續(xù)性基礎(chǔ)。備份策略：使用WindowsServerbackup對(duì)DomainController活動(dòng)目錄進(jìn)行定時(shí)備份。容災(zāi)策略：ActiveDirectory環(huán)境配置多臺(tái)DomainController，提供冗余環(huán)境。第15頁03活動(dòng)目錄實(shí)施計(jì)劃第16頁活動(dòng)目錄實(shí)施計(jì)劃實(shí)施計(jì)劃步驟步驟描述計(jì)劃時(shí)間容錯(cuò)步驟1域名確定0.5天2準(zhǔn)備硬件設(shè)備

10、0.5天3在兩臺(tái)主備域控服務(wù)器上安裝Windows server R2系統(tǒng)，升級(jí)到最新版本1-2天4在主域控制服務(wù)器上安裝AD、DNS、DHCP、WINS角色1天5將額外域控制器服務(wù)器加入域中0.5天DNS配置6在額外域控服務(wù)器上安裝AD、DNS、DHCP、WINS角色，實(shí)現(xiàn)與主域控制服務(wù)器冗余1天DNS配置7確定并建立OU組織架構(gòu)1天8基本域控策略規(guī)劃1-2天9客戶端加入域測(cè)試DNS配置10創(chuàng)建用戶賬號(hào)1天11總企業(yè)客戶端加入域DNS配置12完善域控策略13分企業(yè)客戶端加入域DNS配置14權(quán)限委派第17頁活動(dòng)目錄實(shí)施計(jì)劃待處理問題確定域名確定OU結(jié)構(gòu)權(quán)限分配（用戶權(quán)限，域控權(quán)限）客戶端計(jì)算機(jī)

11、名規(guī)則客戶端系統(tǒng)標(biāo)準(zhǔn)化客戶端防病毒軟件第18頁04分企業(yè)加域第19頁分企業(yè)加域方案設(shè)計(jì)一在各分企業(yè)增加域控站點(diǎn)，分企業(yè)客戶端登陸驗(yàn)證服務(wù)優(yōu)先由站點(diǎn)提供，站點(diǎn)和總企業(yè)域控制器進(jìn)行數(shù)據(jù)復(fù)制。此方案網(wǎng)絡(luò)利用率更高，即使分企業(yè)和總企業(yè)之間網(wǎng)絡(luò)斷開，只要分企業(yè)內(nèi)部網(wǎng)絡(luò)正常，站點(diǎn)依然可認(rèn)為分企業(yè)客戶端提供驗(yàn)證服務(wù)。待和總企業(yè)網(wǎng)絡(luò)恢復(fù)后，站點(diǎn)再和總企業(yè)域控制器進(jìn)行數(shù)據(jù)復(fù)制。域拓?fù)浣Y(jié)構(gòu)以下：第20頁分企業(yè)加域方案設(shè)計(jì)二分企業(yè)客戶端由總企業(yè)統(tǒng)一管控，總企業(yè)有兩臺(tái)控制器（主和備），總企業(yè)客戶端首選DNS為主域控，分企業(yè)客戶端首選DNS為備域控。此方案對(duì)網(wǎng)絡(luò)需求較第一個(gè)方案要高，因?yàn)榉制髽I(yè)客戶端直接和總企業(yè)域控制器

12、進(jìn)行通信，一旦出現(xiàn)網(wǎng)絡(luò)故障，域控制器無法為分企業(yè)客戶端提供驗(yàn)證服務(wù)。域拓?fù)浣Y(jié)構(gòu)以下：第21頁分企業(yè)加域方案對(duì)比內(nèi)容方案一方案二驗(yàn)證服務(wù)優(yōu)先站點(diǎn)控制器驗(yàn)證總部域控制器驗(yàn)證網(wǎng)絡(luò)需求較高，客戶端優(yōu)先和站點(diǎn)通訊，站點(diǎn)和總部通訊很高，客戶端直接和總部通訊成本控制成本增加，需要各分企業(yè)分別增加服務(wù)器總部有服務(wù)器即可第22頁P(yáng)PT模板下載：/moban/ 行業(yè)PPT模板：/hangye/ 節(jié)日PPT模板：/jieri/ PPT素材下載：/sucai/PPT背景圖片：/beijing/ PPT圖表下載：/tubiao/ 優(yōu)秀 Word教程： /word/ Excel教程：/excel/ PPT課件下載：/ke

13、jian/ 字體下載：/ziti/ 05加域后問題處理第23頁加域后問題處理常見問題把計(jì)算機(jī)從工作組模式換成域網(wǎng)絡(luò)模式，用戶在首次登陸計(jì)算機(jī)時(shí)可能會(huì)出現(xiàn)一些問題，主要包含以下幾點(diǎn)：部分軟件不能使用 有些軟件在安裝時(shí)，會(huì)針對(duì)當(dāng)前登陸用戶創(chuàng)建用戶配置，還有些 軟件必須是管理員身份才能運(yùn)行。當(dāng)更換到域用戶后配置不在生 效，默認(rèn)域用戶也不是管理員，所以軟件無法運(yùn)行。 處理方法：使用域賬戶重新安裝軟件，把域賬戶加入到管理員組。用戶桌面環(huán)境發(fā)生改變 因?yàn)楦鼡Q了賬戶，所以桌面環(huán)境會(huì)發(fā)生改變，主要包含以下內(nèi)容 桌面上放置資料、“我文檔”內(nèi)資料、配置好網(wǎng)絡(luò)打印 機(jī)、IE里設(shè)置好“網(wǎng)站收藏夾”等。 處理方法：備份

14、老賬號(hào)內(nèi)個(gè)人文件拷貝到新賬號(hào)內(nèi)，重新連 接打印機(jī)。第24頁加域后問題處理常見問題電腦脫離域網(wǎng)絡(luò)怎樣使用1.賬號(hào)在首次登陸任何一臺(tái)已加域電腦時(shí)，需要確保此臺(tái)電腦在與網(wǎng)絡(luò)環(huán)境中才能驗(yàn)證登陸成功，在首次登陸成功后在計(jì)算機(jī)當(dāng)?shù)貢?huì)生成賬戶配置，以后登陸即使脫離網(wǎng)絡(luò)也是能夠登陸。2.創(chuàng)建當(dāng)?shù)貍溆觅~號(hào)，在非域網(wǎng)絡(luò)環(huán)境下使用當(dāng)?shù)刭~號(hào)登陸電腦。不過當(dāng)?shù)刭~號(hào)沒有權(quán)限訪問域賬號(hào)文件(管理員能夠更改訪問權(quán)限)，需要用戶提前將相關(guān)文件拷貝到公共區(qū)。第25頁P(yáng)PT模板下載：/moban/ 行業(yè)PPT模板：/hangye/ 節(jié)日PPT模板：/jieri/ PPT素材下載：/sucai/PPT背景圖片：/beijing/ PPT圖表下載：/tubiao/ 優(yōu)秀 Word教程： /word/ Excel教程：/excel/ PPT課件下載：/kejian/ 字體下載：/ziti/ 06資源需求第26頁資源需求分企業(yè)電腦統(tǒng)一由總司管控硬件需求軟件需求系統(tǒng)型號(hào)版本語言參考價(jià)需求數(shù)量參考總價(jià)用途windows server R2標(biāo)準(zhǔn)版漢字450029000域控服務(wù)器Windows 10企業(yè)版漢字1400250350000辦公終端359000品牌型號(hào)類型描述參考價(jià)需求數(shù)量參考總價(jià)參考起源用途虛擬機(jī)虛擬機(jī)虛擬機(jī)4G內(nèi)存/60G硬盤-2-總企業(yè)域控服務(wù)器第27頁資源需求硬件需求軟件需求系