企业AD域控规划方案.doc

《企业AD域控规划方案.doc》由会员分享，可在线阅读，更多相关《企业AD域控规划方案.doc（89页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、Four short words sum up what has lifted most successful individuals above the crowd: a little bit more.-author-date企业AD域控规划方案网络 技术应用网企业活动目录AD规划方案目录1.前言32.活动目录规划32.1.活动目录介绍32.2.应用Windows 2003 Server AD的好处42.3.明确系统规划目标62.4.活动目录设计方案73.用户关心问题解答83.1.活动目录优势83.2.重要组策略介绍103.3.计算机从工作组加入到域可能存在的问题和解决方法144.活动目录

2、方案实施154.1.AD域命名和DNS的规划154.2.确定AD逻辑结构154.3.确定AD物理结构164.4.规划OU结构和组策略174.5.创建 OU 以管理和委派184.6.创建 OU 支持组策略184.7.应用组策略选项194.8.硬件设备选型建议205.活动目录服务内容215.1.可行性调查215.2.规划活动目录部署方案215.3.部署活动目录服务215.4.制订活动目录管理维护规范225.5.工程师定时上门进行活动目录日常维护225.6.处理活动目录紧急情况225.7.整理和存档资料235.8.培训系统管理员236.服务质量保证247.部分成功案例271. 前言本文档是深圳市协软

3、件数据系统有限公司结合自身长期为客户提供全面的IT顾问咨询服务和应用解决方案积累起来的丰富经验，为企业规划Windows 2003 AD企业目录服务的解决方案建议。由于计算机安全和管理的需要，IT部门计划部署活动目录，希望所有的计算机分阶段加入到域，通过活动目录加强计算机安全和桌面管理，并为进一步部署Exchange、SMS等微软产品打下坚实的基础架构。方案包括以下组成部分：l 活动目录整体规划l 用户关心问题解答l 活动目录方案实施l 活动目录服务项目l 服务质量保证l 协软公司成功案例2. 活动目录规划设计一个稳定、可靠和扩展性良好的活动目录架构对一个企业网络的管理及安全具有重大意义，并对

4、部署微软的相关产品如Exchange 等具有举足轻重和决定性的重要意义。2.1. 活动目录介绍活动目录是Windows 2003网络体系结构中一个基本且不可分割的部分，它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外，目录服务在网络安全方面也扮演着中心授权机构的角色，从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是，活动目录还担当着系统集成和巩固管理任务的集合点。总的来说，活动目录的这些功能使组织机构可以将标准化的商业规则贯彻于分布式应用和网络资源当中，同时，无需管理员

5、来维护各种不同的专用目录。活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时，它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成，从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也可以使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值，同时，降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。活动目录是微软各种应用软件运行的必要和基础的条件。下图表示出活动目录成为各种应用软件的中心。2.2. 应用Windows 2003

6、 Server AD的好处Windows 2003 Server是微软最新推出的网络操作系统服务器，它沿用了 Windows 2000 Server 的先进技术并且使之更易于部署、管理和使用。其结果是：其高效结构有助于使您的网络成为单位的战略性资产。应用Windows 2003 Server的好处如下表所示：优势描述可靠性Windows Server 2003 是迄今为止最快、最可靠和最安全的 Windows 服务器操作系统。l 提供集成结构，用于帮助您确保商业信息的安全性。 l 提供可靠性、实用性和可伸缩性，使您可以提供用户需要的网络结构。高效Windows Server 2003 提供各种

7、工具，允许您部署、管理和使用网络结构以获得最大效率。l 提供灵活易用的工具，有助于使您的设计和部署与组织及网络的要求相匹配。 l 通过加强策略、使任务自动化以及简化升级来帮助您主动管理网络。 l 通过让用户自行处理更多的任务来降低支持开销。连接性连接 Windows Server 2003 可以帮助您创建业务解决方案结构，以便与雇员、合作伙伴、系统和客户更好地连接。l 提供集成的 Web 服务器和流媒体服务器，帮助您快速、轻松和安全地创建动态 Intranet 和Internet Web 站点。 l 提供集成的应用程序服务器，帮助您轻松地开发、部署和管理 XML Web 服务。l 提供多种工具

8、，使您得以将 XML Web 服务与内部应用程序、供应商和合作伙伴连接起来。最经济与来自 Microsoft 的许多硬件、软件和渠道合作伙伴的产品和服务相结合，Windows Server 2003 提供了有助于使您的基础架构投资获得最大回报的选择。l 为使您得以快速将技术投入使用的完整解决方案提供简单易用的说明性指南。l 通过利用最新的硬件、软件和方法来优化服务器部署，从而帮助您合并各个服务器。 l 降低用户的所属权总成本 (TCO)，使投资很快就能获得回报。Windows 2003 Server的核心是一组基于Active Directory（目录服务，简称“AD”）的基础结构服务。Win

9、dows 2003 AD简化了管理，加强了安全性，扩展了互操作性。它为用户、组、安全服务及网络资源的管理提供了一种集中化的方法。应用Windows 2003 AD之后，企业信息化建设者和网络管理员可以从中获得如下好处：l 系统平台基础架构。基于Windows 2003 AD规划网络基础架构，使企业获得一个稳定、可扩充的网络基础平台。不单单是满足当前的网络需要，更关键的是预计了今后3-5年内可能的发展需要，使得将来的网络规划建设无需再次重复投资。l 单一登录。可以统一用户帐户设置和用户身份验证，实现用户单一登录，用户访问网络中的资源不再需要反复输入用户名称和口令。同时，它还是企业应用集成的基础。

10、基于AD的单一登录功能，便于实现在不同程序之间的协作和集成应用。l 网络安全。可以基于AD，集中设置和统一管理用户、组、资源的操作权限，方便维护管理。l 集中管理和委派授权。基于Windows 2003活动目录OU实施委派授权管理，未来向下属企业推广时，分级维护，集团各部门、下属公司可以对所辖范围内的部分参数进行维护，如增加用户、设置权限、增加栏目、自定义流程等。l 用户桌面管理。通过规划部署Windows 2003 OU和组策略，可以统一规划用户桌面和用户操作环境，实现对客户计算机的集中控制管理，加强信息管理的安全可靠性。l 软件自动分发。通过规划部署Windows 2003 OU和组策略，

11、还可以实现应用程序的自动分发、升级和删除，不但可以实现客户机软件的统一安装管理，而且大大减轻了软件安装配置的工作量。l 2.3. 明确系统规划目标企业的Windows 2003 AD系统规划构建是为企业信息化建设服务的，需要达到以下战略目标：l 围绕企业的战略发展需要，进行企业信息化建设系统规划，满足企业3-5年的业务发展对IT建设的要求；l 以业务为驱动，通过有效的信息系统，加强信息共享和协同办公，提高工作效率，降低成本；l 整合企业现有信息资产，加强企业管理与监控；从信息中挖掘知识，提高经营决策与驾驭风险的能力；l 推进知识管理理念，建立知识型企业，增强企业的核心竞争力。Windows 2

12、003 AD系统规划实施的具体目标如下：l 规划和部署基于Windows 2003 AD的企业目录服务，首先实现用户的单一登录，保障网络系统安全；l 通过AD实现用户桌面的集中和自动管理，分发软件补丁；l 进一步部署微软的相关应用平台软件，如实现基于Exchange 2003的企业内部邮件和协作服务，2.4. 活动目录设计方案我们为企业设计一个域，用户的所有计算机（服务器和客户机）全部加入到域，用户实现单一登录和管理员通过域组策略实现安全及桌面管理。AD架构拓扑如下。3. 用户关心问题解答3.1. 活动目录优势1. 计算机工作组管理和AD管理比较对于基于Microsoft Windows操作系

13、统的计算机运行和管理在两种模式下：工作组(workgroup)和域(domain)。在工作组模式下，计算机处于一个孤立状态，使用计算机的用户登录帐号和计算机的管理均须在每台计算机上创建或进行。见下图。当计算机超过20台以上时，计算机的管理变得越来越困难，并且要为用户创建越来越多的访问网络资源的帐号，用户要记住多个访问不同资源的帐号。而在域的模式下，用户只需记住一个域帐号，即可登录访问域中的资源。并且管理员通过组策略，可以轻松配置用户的桌面工作环境和加强计算机安全设置。域模式下所有的域帐号保存在域控制器的活动目录数据库中。见下图。2. 为什么要提供目录服务?对更加强大、透明且高度集成的目录服务的

14、不断需求是由爆炸性增长的网络计算所导致的。随着局域网（LAN）、广域网（WAN）规模与复杂性的不断提高和这些网络不断被连入Internet，以及应用程序对网络的依赖程度不断增强并不断被链接到协作企业网中的其它系统上，对目录服务的需求也日渐增多。基于下列原因，目录服务成为扩展的计算机系统中最重要的部件之一： l 简化管理 提供对用户、应用程序和设备的单一、一致性的管理点。 l 加强安全性 向用户提供单一的网络资源登录，为管理员提供强大、一致性的工具以使他们能够管理为内部台式机用户、远程拨号用户以及外部电子商务客户提供的安全服务。 l 扩展的互操作性 向所有活动目录特性提供基于标准的存取方式以及对

15、通用目录的同步支持。目录服务兼任管理工具和用户工具。随着网络中对象数量的增加，目录服务变得必不可少。目录服务在一个庞大的分布式系统中发挥着网络集线器的作用。致力于这些需求，Windows 2000 服务器版引入了活动目录-即一套用于改进Windows网络操作系统管理、安全性和互操作性的完整的目录服务集。下图描述了活动目录带来的计算机安全和管理上的一些最重要的好处。3. AD简化了计算机系统管理 分布式系统常常导致时间的消耗和管理的冗余。当公司在他们的基础结构上添加应用程序并雇用新的职员时，他们需要适当地向各桌面系统分发软件并管理多个应用程序目录。通过在单一的位置管理用户、组和网络资源以及分发软

16、件和管理桌面系统配置，活动目录可以显著降低公司的管理费用。例如，活动目录在同一个位置管理Windows用户和Microsoft Exchange邮箱信息。基于下列原因，活动目录可以从以下方面帮助公司简化管理： l 消除冗余管理任务 提供对Windows用户账号、客户、服务器和应用程序以及现存目录同步能力进行单一点管理。 l 降低桌面系统的行程 针对用户在公司中所担当的角色自动向其分发软件，以减少或消除系统管理员为软件安装和配置而安排的多次行程。 l 更好的实现IT资源的最大化 安全地将管理功能分派到组织机构的所有层次上。 l 降低总体拥有成本（TCO） 通过使网络资源容易被定位、配置和使用来简

17、化对文件和打印服务的管理和使用。4. 加强安全性强大且一致的安全服务对企业网络而言是必不可少的。管理用户验证和访问控制的工作往往单调乏味且容易出错。活动目录集中进行管理并加强了与组织机构的商业过程一致、且基于角色的安全性。例如，对多身份验证协议（如Kerberos，X.509认证以及由灵活的访问控制模型组成的智能卡）的支持实现了对于内部桌面系统用户、远程拨号用户和外部电子商务客户强大且一致的安全服务。活动目录使用以下方法增强安全性： 改进了密码的安全性和管理 通过向网络资源提供单一的集成、高性能且对终端用户透明的安全服务。 保证桌面系统的功能性 通过根据终端用户角色锁定桌面系统配置来防止对特定

18、客户主机操作进行访问，例如软件安装或注册项编辑。 加速电子商务的部署 通过提供对安全的Internet标准协议和身份验证机制的内建支持，如Kerberos, 公开密钥基础设施（PKI）和安全套接字协议层（SSL）之上的轻便目录访问协议（LDAP）。 紧密的控制安全性 通过对目录对象和构成他们的单独数据元素设置访问控制特权。3.2. 重要组策略介绍1. 软件分发策略通过组策略可以为域中的计算机或用户自动分发带有msi包的软件。见下图。2. 将用户的个人数据从pc机上重定向到服务器上重定向有利于数据的安全以及集中备份。见下图。3. 安全类组策略l 密码策略 “强制密码历史”设置确定在重用旧密码之前

19、必须与用户帐户相关的唯一新密码的数量。 配置“密码最长使用期限”设置，以便密码在环境需要时过期。 “密码最短使用期限”设置确定了用户更改密码之前必须使用密码的天数。 “最短密码长度”设置确保密码至少包含指定数量的字符。 “密码必须符合复杂性要求策略”选项检查所有新密码以确保它们符合强密码的基本要求。l 账号锁定策略帐户锁定策略是一项 Windows Server 2003 安全功能，它在指定时间段内多次登录尝试失败后锁定用户帐户。允许的尝试次数和时间段是由为安全策略锁定设置配置的值决定的。用户不能登录到锁定的帐户。 “帐户锁定时间”设置确定在未锁定帐户且用户可以尝试再次登录之前所必须经历的时间

20、长度 “帐户锁定阈值”设置确定用户在帐户锁定之前可以尝试登录帐户的次数。 “复位帐户锁定计数器”设置决定了“帐户锁定阈值”复位为 0 以及帐户被解锁之前所必须经过的时间长度。l 禁用本地管理员帐号默认情况下，每台加入到域中的计算机都有Administrator和Guest两个帐号，Administrator帐号在安装时口令为空。用户使用这个帐号权限过大，因此一般不会给用户使用这个管理员帐号，最好的做法就是通过组策略禁用这个帐号，用户使用域的帐号。l 将域帐号加入到每台PC机的本地Power Users组中创建域帐号时，默认情况下这个帐号只属于Domain Users组中，该组属于每台PC机的本

21、地Users组。本地Users组中的成员权限受到严格限制，比如共享文件夹，安装打印机驱动程序等工作的权限都没有。而经常有用户需要这些权限，可以通过组策略来实现。l 禁用系统服务我们为优化系统和安全性考虑，经常要禁用计算机的一些无需运行的服务。我们可以通过组策略把这些服务禁用掉。l 软件限制策略对一些规定不得使用的软件可以通过组策略来禁用： 路径规则：特殊文件路径下的软件不得使用：如program files下的某些软件 证书规则：只有系统管理员颁发过证书的软件可以使用，其他软件禁止使用 哈希规则：对禁止使用的软件通过哈希运算得到这个软件的身份指纹，在组策略里设置只要是符合身份指纹鉴定的软件就进

22、行限制l 网络连接控制策略用户经常会通过改变“网络连接”中的设置，绕过企业防火墙，建立自己的上网链路，比如电话拨号上网。这样会带来很大的安全隐患。可以通过组策略限制用户不得改变网络连接中的配置，不允许用户通过其他方式连接互联网。3.3. 计算机从工作组加入到域可能存在的问题和解决方法把计算机从工作组模式加入到域模式可能会出现以下二个问题问题：1. 一些软件不能使用。有一些软件以登录者的管理员权限帐号运行，当计算机加入到域并对登录帐号做了权限设置，或禁用了本地管理员帐号，这些需要管理员权限运行的软件就有可能不能正常运行。2. 用户桌面环境发生改变。由于加入域前后用户是用不同的帐号登录的，因此用户

23、以前的桌面环境无法使用。具体有 桌面上放置的资料 “我的文档”等放置的资料 配置好的“网络打印机” IE里设置好的“网站收藏夹”等。解决方法：1. 对问题1我们可以按以下两个方法来解决：(1) 把域帐号加入到本地管理员组(2) 卸载软件，用域帐号登录并安装2. 对问题2针对不同的问题分别解决如下：(1) 把本地老帐号下的桌面内容全部备份下来，复制到新域帐号的桌面(2) 把本地老帐号下的“我的文档”内容全部备份下来，复制到新域帐号的“我的文档”(3) 重新连接和创建“网络打印机”(4) 用特殊软件把老帐号IE里的“网站收藏夹”备份下来，然后恢复到新域帐号中4. 活动目录方案实施4.1. AD域命

24、名和DNS的规划Windows 2003 AD域命名和DNS的规划之所以放在首要地位，是因为AD作为整个IT架构的基础，不应该轻易被调整。尽管安装后，Windows 2003 AD仍然可以重组和改名，这一点比Windows 2000 AD有了很大的进步，但是我们仍然建议做一个长远规划，使得域命名和DNS服务能够满足企业3-5年的需求，尽量避免配置好后改作调整地巨大人力物力浪费。此外，部署Windows 2003 AD，还必须确定DNS服务器，确保它们满足域控制器定位器系统的要求。一个支持AD的DNS至少需要满足以下要求：l 必须支持服务定位资源记录（SRV）l 应该支持 DNS 动态更新协议（

25、RFC 2136）Windows 2003 Server 提供的 DNS 服务同时满足这些要求，并且还提供下列重要的附加功能和改进：l Active Directory 集成：DNS 服务把区域数据存储在目录中，使得 DNS 复制创建多个主域，也减少了对维护一个单独的 DNS 区域传送复制拓扑的要求。l 安全动态更新：使得一个管理员可以精确地控制哪些计算机可以更新哪些名称，并防止未经授权的计算机从 DNS 获得现有的名称。l 条件转发：根据不同的对外访问的域名后缀，可以将用户的DNS名称解析请求转发到不同的外部DNS服务器。l 存根区域：可以定时地刷新和外部DNS服务器的连接，及时发现那些可能

26、有故障、不再响应用户请求的服务器，提高用户DNS名称解析的效率。4.2. 确定AD逻辑结构Windows 2003活动目录的逻辑结构由三个基本组件组成：森林、域和OU。1、 确定森林规划森林是Windows 2003 AD域的集合。在很多情况下，单一森林就足够了。单一森林环境易于建立和维护，森林间的域自动建立双向可传递内部信任关系，不要求手动建立外部信任配置，在安装Exchange 2003 Server等应用程序时，只需应用一次架构更改即可影响所有域。如果各个单位有下列管理要求，就必须建立一个以上的森林：l 不互相信任管理员。l 希望限制信任关系范围。l 不同意某种森林架构更改策略。架构更改

27、、配置更改会影响到森林中所有的域。如果单位不同意一个公共架构策略，它们就不能共存于同一个森林中。2、 制定域规划规划域结构时，始终遵循“简单是最好的投资”的设计原则，尽管增加某些复杂结构可以增值，但是简单的结构更易于说明、维护和调试。一开始时总是仅考虑每个森林中仅有一个域，然后为每一个增加的新域提供详细的理由，确保添加到森林中的域都是有益的，因为它们会带来相应的管理开销而导致一定程度的成本上升。创建更多的域的三种可能的原因是：l 希望实现相对分散式得IT管理模式：多域结构更容易进行相对独立的管理、委派和权限控制。另外，不同的用户帐户在一个域内是不能出现重名的，多域之间就没有限制。对于人士管理相

28、对独立的集团下属公司，多域结构具有更好的灵活性。l 希望实现不同管理策略要求：包括用户口令策略、账户锁定策略和EFS加密策略。例如，要求某些人必须取8个字符以上的口令，而其它人不做限制。为此，必须将这些需要不同安全策略的用户放在单独的域中。l 希望减小WAN上的复制流量：域控制器域间复制将产生比域内复制少的多的流量。如果公司很大，具有跨地区的组织结构，且处于同一个森林内，则在不同地理位置上的机构可能使用慢速的WAN链路连接。为减少WAN上的DC复制流量，可以在不同的地理位置设置不同的域。l 根据以上考虑，我们建议，企业Windows 2003 AD域逻辑结构可以采用“单森林、单域”的结构设计。

29、4.3. 确定AD物理结构Windows 2003 AD物理结构主要是规划站点拓扑，用于帮助您决定在网络的什么地方放置域控制器，以及管理域控制器之间的复制流量和用户登录流量。考虑到企业的地理分布情况，应该考虑使用多站点拓扑来规划Windows 2003 AD物理结构。从绘制基本的网络拓扑布局图着手工作，绘制所有可能的站点（Site）和站点链接（Site Link）。l 速度快（10Mbps以上）、连接可靠的LAN网络总是放置在单站点中。站点定义为一组通过快速、可靠的线路连接起来的 IP 子网。一般而言，具有 LAN 速度或更快速度的网络被认为是快速网络。 l 窄带的、或不太可靠的连接可以使用站

30、点链接建立多站点网络。通常，WAN连接一般被认为是窄带连接。如果建立站点链接，实现多站点网络模式，则： 客户计算机在登录到域时首先试图与位于同一站点的DC通信； Windows 2003 AD复制使用站点拓扑产生复制连接。4.4. 规划OU结构和组策略组织单元（OU）是一个用来在域中创建分层管理单位的容器。在域中创建OU结构时，必须注意始终按照“谁管理什么”的原则，从IT管理的需要出发，划分管理模型的结构，而不是简单按照公司业务单位和它的不同分支、部门和项目来创建OU结构。考虑 OU 的下列特性是很重要的：l OU 可以是嵌套的。一个 OU 可以包含子 OU，使得可以在域中创建一个分层的目录树

31、结构。但是嵌套太多将导致管理复杂和低效，所以建议以二级嵌套为最理想，最多不应超过四级嵌套。l OU 可以用来委派管理和控制对目录对象的访问。l 不能使 OU 成为安全组的成员，也不能因为用户被委派管理OU或驻留在OU中而自动获得访问资源的权限。l 可以在OU上实施组策略。组策略是基于Windows 2003注册表的修改，从而集中控制用户和计算机的工作环境、桌面配置、软件自动安装和删除的管理手段。一般而言，安全策略必须在域级别实施，其它策略主要在OU级别实施。l 不鼓励用户在 OU 结构中浏览。没有必要设计一个吸引最终用户的 OU 结构。尽管用户有可能浏览一个域的 OU 结构，但对于用户查找资源

32、来说，这并不是一个最有效的方法。在目录中查找资源的最有效的方法是查询全局编录。有两个理由需要在Windows 2003域中创建 OU 结构：l 创建 OU 以管理对象和委派授权。l 为组策略创建 OU。一个完全为管理和委派而设计的 OU 结构与一个完全为组策略而设计的 OU 结构是不同的。OU 结构将很快变得相当复杂。每次添加一个 OU 到规划中时，要记下创建的具体原因。这有助于确保每个 OU 有一个目的，并将帮助阅读规划的人理解结构所基于的理由。4.5. 创建 OU 以管理和委派在单位中委派管理有一些好处。以前，在单位中除了 IT 之外的组可能必须将更改请求提交到高级管理员，高级管理员代表他

33、们进行更改。委派特定的权限可以将责任分散到单位中的各个组，使您可以将必须有高级访问权限的用户的数量降到最少。权限受到限制的管理员所发生的事故或错误所产生的影响只限于他们负责的范围。这一工作包括以下步骤：l 确定创建何种 OU创建的 OU 结构将完全取决于管理是如何在单位中委派的。委派管理的三种方法是：按物理位置、按业务单位（公司部门）、按角色或任务。三种方法经常结合使用。l 修改访问控制列表：修改 OU 的访问控制列表 (ACL)可以授予一个组对 OU 的特定权限，从而实现对该OU的委派管理。尽量委派权限给组账户而不是单独的用户，如果可能，委派到本地组而不是全局组或通用组。l 委派步骤。从域中

34、的默认结构开始，按下列主要步骤创建 OU 结构：- 通过委派完全控制创建 OU 的顶层；- 创建 OU 的下层来委派每个对象类别控制。4.6. 创建 OU 支持组策略使用 Windows 2003，可以使用组策略定义用户和计算机配置，并将这些策略与站点、域或 OU 关联。是否要创建附加的 OU 以支持组策略的应用取决于制定的策略以及所选择的实现方案，包括：l 定义客户计算机的管理与桌面配置标准l 定义软件的自动分发l 特殊组策略应用配置与管理在 Windows 2003 中，组策略设置是管理员启用集中更改和配置客户计算机管理的主要方法。可用组策略为某个特定的用户组和计算机组创建指定的安全限制和

35、桌面环境配置。Windows 2003 组策略有 100 多种与安全有关的设置和 450 多种基于注册表的设置，为您管理用户计算机环境提供了众多选项。Windows 2003 组策略：l 可根据活动目录定义或在计算机本地进行定义；l 可用 Microsoft 管理控制台（MMC）或 *.adm 文件保存和管理；l 是安全的；l 不会在实施的策略改变时把设置留在用户配置文件中；l 可应用于指定的活动目录容器（站点、域与 OU）中的用户或计算机；l 可由安全组的用户或计算机成员进一步控制；l 可用来配置多种类型的安全设；l 可用于实施登录、注销、启动及关闭脚本；l 可用于安装和维护软件；l 可用于

36、重定向文件夹（如 My Documents 和 Application Data 文件夹）；l 可用于在 Microsoft Internet Explorer 中执行维护。可以按下列三个步骤配置和管理组策略：l 管理站点、域或 OU 的组策略链接：默认情况下，只有域管理员组和企业管理员组可以配置站点、域或部门的组策略。可在站点、域或 OU 的“属性”页的“组策略”选项卡中指定链接至站点、域或 OU 的组策略对象。Active Directory 支持以每个属性为基础的安全设置。l 创建组策略对象：默认情况下，只有域管理员组、企业管理员组和组策略创建者（所有者）组的成员可以创建新的组策略对象。

37、如果域管理员想使一个非管理员用户或组能够创建组策略对象，则可将该用户或组添至组策略创建者（所有者）安全组中。这样，他们就可以创建、修改自己的组策略对象，并成为该组策略对象的创建者和所有者。l 编辑组策略对象：默认情况下，组策略对象接受域管理员、企业管理员及组策略创建者（所有者）组成员的完全控制，课以便机组策略，但非管理员用户没有设置组策略链接的应用权。4.7. 应用组策略选项如果能认真应用组策略选项，即使开始用数据极其多的文件夹重定向选项和软件安装选项，也能够改善网络的响应时间。应恰当地应用组策略选项，尤其在刚开始时，更要仔细测试所有建议的更改，以确保不损坏网络性能。下面是一些可用的选项：l

38、安全组筛选选项：可针对某个特定组策略对象实施筛选，使之不能对筛选的计算机和用户组生效。l 不许替代（强制继承）和阻止继承选项：例如，如果在域层次定义了一个指定的组策略对象，并已指定组对象是强制的（不许替代），那么组策略对象所包含的策略设置就会应用于该域中的所有 OU；层次较低的容器 (OU) 将无法替代此域的组策略，一般用于安全设置。也可阻止从父 Active Directory 容器继承组策略。但是，不许替代（强制继承）策略选项始终比阻止继承策略选项优先。 l 处理“环回”策略设置的策略选项：默认的设置使计算机策略优先于用户策略起作用，但有时必须要优先实施用户策略，组策略的环回功能使管理员能

39、够实现这一设置。主要用在软件安装这一类的策略上。l 低速链接处理的选项：许多用户，如使用便携式计算机的用户、远离建筑物或在分部工作的用户，有时会用低速连接至网络。可对组策略进行配置，使部分策略不能生效，以减少网络开销。这些组策略设置包括： 软件安装与维护 脚本 磁盘配额 IP 安全 Dfs 故障恢复策略 Internet Explorer 维护l 周期刷新选项：可指定定时地处理组策略。默认情况下，DC计算机策略每 5 分钟刷新一次，而成员服务器和客户计算机每 90 分钟刷新一次，并带有 30 分钟的随机偏移量。可根据需要改变此刷新频率。4.8. 硬件设备选型建议为实现Windows 2003

40、AD系统的部署实施，建议至少配置两台服务器：l Windows 2003 AD主域控制器：1台，同时兼作DNS、DHCP、WINS服务器；l Windows 2003 AD备份域控制器：1台，同时兼作DNS、WINS服务器；上述服务器硬件配置建议如下：l 2颗P4 3.0GHZ 以上CPU。l 2GB以上内存。l 73GB SCSI硬盘：建议使用2个硬盘，实施镜像（RAID-1）；或者3个以上的硬盘，实施RAID-5。5. 活动目录服务内容5.1. 可行性调查l 调查、分析用户当前系统环境，提交环境调查报告 网络拓扑结构 服务器清单 应用软件部署清单 网络及系统存在的安全和管理上的问题 网络及

41、系统调整方案l 调查、分析用户实际和潜在的活动目录服务需求，提交用户需求报告 活动目录为用户带来的商业利益分析 用户登录认证需求 网络安全需求 系统管理需求 大规模部署微软平台软件需求5.2. 规划活动目录部署方案 活动目录域及命名方案 活动目录站点方案 域用户帐号和计算机账号方案 域安全组策略方案 域管理组策略方案 活动目录实施过程方案 活动目录冗余方案 活动目录备份和灾难处理方案5.3. 部署活动目录服务 排定施工进度、步骤和里程碑任务 安排项目负责人和施工人员 制订施工手册 调整、优化当前用户网络和系统环境 施工并记录施工过程 提交施工报告 运行观察和记录5.4. 制订活动目录管理维护规

42、范 活动目录管理操作规范 活动目录运行状况检查规范 活动目录数据备份规范 制订紧急情况处理的规范5.5. 工程师定时上门进行活动目录日常维护 观察、记录活动目录的运行情况 排除故障 优化活动目录运行 调整安全策略设置 备份活动目录5.6. 处理活动目录紧急情况（2小时内到达现场、8小时内解决问题的紧急情况处理服务。） 记录故障现象 分析故障原因 制订解决方案 备份活动目录 记录域服务器环境配置 故障域服务器隔离 安装、转移或升级新的域服务器 排除故障 还原系统、配置和数据 活动目录回复到正常状态 运行观察 提交相关报告5.7. 整理和存档资料 网络拓扑图 服务器硬件配置表 服务器软件配置表 活

43、动目录运行状态日常检查记录表 管理维护规范 故障解决方案 软件产品和程序补丁 备份介质5.8. 培训系统管理员 活动目录基本概念和工作原理 活动目录设计和部署 安全组策略和桌面管理组策略全面介绍 活动目录的备份和灾难恢复 活动目录的日常维护6. 服务质量保证深圳协软数据系统有限公司从事企业全面的IT服务。服务内容包括计算机网络架构、网络安全系统、客户机/服务器部署和维护、活动目录、邮件系统、SQL/Oracle数据库、以及SMS/MOM系统管理软件等。服务深度覆盖一个项目完整的生命周期：用户环境调查、用户需求分析、方案规划设计、系统部署实施、制定操作管理制度、日常管理维护、紧急故障处理、资料整

44、理归档、售后技术培训等。深圳协软数据系统有限公司努力追求为用户提供最有价值的服务品质，让企业IT投资回报最大化。协软参考ITIL标准，规划和制定了为客户提供IT服务的作业流程，从而确保IT服务能为企业的业务运作提供更好的支持。ITIL（信息技术基础设施库）是一套IT服务管理最佳实践指南，是IT业界在一系列实践和探索的基础之上，总结了IT服务的最佳实践经验，所形成的一系列基于流程的管理和考核方法，用以规范IT服务的水平。ITIL为客户评判协软公司的IT服务提供了一个客观、严谨、可量化的标准和规范，客户可以从中获得优质服务的保障。协软公司在为用户提供IT服务时全力遵循以下基本原则：l 努力满足用户

45、的商业和技术目标。l 制定明确的项目目标、角色和职责。l 实施迭代式的、由里程碑驱动的服务过程。l 对客户所面临的风险进行积极的管理。l 对客户要求做出及时和有效的响应。l 带给客户最大的附加价值协软公司ITIL服务规范示意图协软IT服务流程：7. 部分成功案例l 深圳机场海关快件监管中心 Windows活动目录 Exchange邮件系统 Sharepoint Portal信息门户 Symantec防火墙、防病毒 ARCserve备份系统l 兄弟工业（深圳）有限公司 Windows活动目录 Exchange邮件系统 Sharepoint Portal信息门户 TREND防病毒 ARCserve备份系统l 深圳日神纺织有限公司 Windows活动目录 Exchange邮件系统 Symantec防病毒 SQL2000群集系统l 日本亚翔（深圳）塑胶五金厂 网络综合布线 机房建设 Windows活动目录 Symantec防病毒 文件服务器、打印服务器-