已阅读5页,还剩54页未读, 继续免费阅读
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
重庆信息技术职业学院 毕业设计 题目 域管理在域管理在 gabrie 有限责任公司中的应用有限责任公司中的应用 选题性质: 设计报告其他 院 系 电子工程学院 专 业 计算机网络技术 班 级 2009 级 3 班 学 号 学生姓名 指导教师 教务处制 年 月 日 重庆信息技术职业学院毕业设计 i 摘摘 要要 随着互联网的发展,网络规模不断扩大,越来越多的网络资源分布在不同的 地域中,这无疑会增加网络管理员的工作量,以及使大中型企业在管理的时候遇 到很多不便。在这种情况下,目录服务技术应运而生。活动目录作为一种功能强 大的分布式目录服务,是 windows 2003 最重要的新增特性。本篇论文主要介绍 了活动目录在大中型企业中的应用。活动目录服务是 windows 平台的核心组件, 它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段,用于 在分布式计算机环境中方便应用程序的查找、使用和管理目录资源(例如用户名, 网络打印机和许可等) ,利用组策略来管理 windows 域提高了工作效率,减轻了 工作负担,使得软件的安装、维护和管理更为灵活和简便。 关键字关键字:域管理、活动目录、组策略 重庆信息技术职业学院毕业设计 ii 目目 录录 摘 要i 目 录.ii 前 言 .1 第 1 章 概述 .2 1.1 背景介绍.2 1.2 现状描述.2 1.3 问题分析.2 1.4 总体功能需求.3 1.4.1 集中的组织与管理网络内的服务器及客户端 3 1.4.2 统一的数据组织与资源管理 3 1.4.3 单一登录的网络环境 3 1.4.4 集中化的软件部署与运行限制 3 1.4.5 功能强大并易于扩展的 it 基础架构.3 第 2 章 解决方案规划 .5 2.1 概念描述.5 2.1.1 active directory 的概念 5 2.2 域管理的优点.6 2.2.1 工作组与域的区别 .6 2.2.2 公司采用域管理的好处 .6 2.2.3 应用 windows 2003 server ad 的好处.7 第 3 章 解决方案实施 .9 3.1 ad 域命名和 dns 的规划.9 3.2 确定 ad 逻辑结构.9 3.2.1 确定森林规划 .9 3.2.2 制定域规划 .10 3.3 确定 ad 物理结构.10 3.3.1 规划 ou 结构和组策略11 3.3.2 创建 ou 以管理和委派11 3.3.3 创建 ou 支持组策略12 3.3.4 应用组策略选项 .13 3.3.5 硬件设备选型 .14 第 4 章 ad 的安装.15 第 5 章 公司各部门域管理具体实施 .23 5.1 创建各部门 ou 并设置账户权限24 5.2 设置员工帐号密码策略 .27 5.3 打印权限 .31 5.4 公司常用软件的共享及权限设置.37 5.5 员工个人文件夹的共享及权限设置 .40 5.6 配置员工账户资料.43 5.7 创建 raid-5 卷 45 5.8 创建访问记录 .47 5.9 限制员工的使用空间 .50 重庆信息技术职业学院毕业设计 iii 5.10 发布共享 .52 总 结 .55 参考文献 .56 重庆信息技术职业学院毕业设计 第 1 页 前前 言言 在信息化高速发展的今天,企业中服务器、桌面型电脑、便携型电脑的管理 和维护已经变得越来越复杂,it 管理者普遍面临的是大规模的网络、个人用户 薄弱的安全意识、软件部署的难度、软件管理的难度和复杂的系统设置等种种问 题,这些问题使得公司的管理也变的不堪重负,microsoft active directory(简称 ad)活动目录服务作为 windows 平台的核心组件,它为用户管理网络桌面环境 中各个组成要素提供了一种有利的控制手段,而组策略 group policy object(简称 gpo)是各位 it 管理员管理网络桌面系统的必用利器。因此,研究规划和部署 ad 域环境中的组策略具有十分重要的现实意义。 重庆信息技术职业学院毕业设计 第 2 页 第第 1 章章 概述概述 1.1 背景介绍背景介绍 本设计方案将从 gabrie 有限责任公司 it 环境现状出发,分析现有环境,提 出 gabrie 有限责任公司关心的关键问题及未来的挑战,并根据相关问题详细阐 述对应解决方案,帮助 gabrie 有限责任公司快速解决问题,以信息技术提升企 业生产力。 1.2 现状描述现状描述 当前国内企业内部网络环境多数仍为松散的管理状态,it 环境中硬件设备 伴随着组织中人员数量的增加每年都在增长,大力的信息化建设使硬件和应用软 件单纯从技术层面上讲都达到了较高的水平,但实际环境中无论是工作用桌面计 算机还是服务器都是采用工作组模型,各自独立。it 环境中的软硬件资源都无 法实现充分利用。 这已经成为信息技术部门与企业管理人员最为关心的重点问题。 从信息技术部门人员来说,如何整合现有 it 环境中的资源,将 it 环境的管 理由松散方式变为集中管理的方式,减轻日常管理维护负担,提升 it 生产力。 从最终用户来说,如何能够实现单一的身份验证,快速的访问企业内部的各种资 源,较少的宕机时间也是最大的愿望。 1.3 问题分析问题分析 由于历史和技术发展方面的原因,现有企业内部的 it 环境是逐步建立起来 的,而且在早期建立时由于没有整体架构的科学指导,导致目前的松散型 it 环 境越来越“臃肿” ,客户端、服务器各自独立,形成一个个信息“孤岛” ,无法统 一管理。在松散型管理的系统网络环境中,一旦某个节点出现问题需要定位出现 问题的位置,并需要繁琐费时的恢复过程来实现修复。生产系统应用软件的大规 模部署需要相关人员在各个计算机上逐一手工安装,极大耗费人力与时间。 企业内部的各种资源存在于员工的客户端桌面计算机,服务器,以及其他各 种设备之中,用户需要获取相关资源需要首先确定资源在哪一台计算机中,并且 要针对不同资源提供不同的登录凭据(如用户名、密码等)来访问。另外存在数 据资源重复现象,造成硬件资源的不合理占用。 信息技术部门制定的 it 管理规范无法完全被最终用户执行,it 管理规范的 重庆信息技术职业学院毕业设计 第 3 页 制订是为了防止信息系统出现如安全问题等不稳定状况,但松散型管理模式的 it 环境中由于信息技术人员无法监控与统一管理企业内部的桌面计算机与服务 器等,该规范变为一纸空文,无法被贯彻实施。 现阶段,部分企业对 it 环境的发展仍然缺乏整体和长远考虑,还是按照老 思路,简单考虑硬件及应用软件的采购与建设,照此建设思路走下去,将会使目 前的 it 环境更加“臃肿”,更难于管理,最终导致生产力的降低。 1.4 总体功能需求总体功能需求 随着以上阐述的问题在企业内部 it 环境中越来越突出,企业存在以下需求: 1.4.1 集中的组织与管理网络内的服务器及客户端 通过对网络内的服务器与客户端计算机进行集中式的管理,有助于消除早期 “松散型”管理带来的安全漏洞及其他影响 it 系统稳健运行问题,能够保证企 业制订的 it 管理规范可以通过计算机的逻辑方式派发给各个被管理的节点,并 且通过集中管理的模式可以有效降低客户端的维护工作量。 1.4.2 统一的数据组织与资源管理 实现统一的数据组织,如共享文件夹的发布,共享打印机的发布等等,并且 能够提供较为简单的信息检索方式,快速查询并定为所需的各种资源,实现资源 的高效利用。另外统一的数据组织与资源管理可以有效减少数据冗余与资源浪费, 减轻 it 环境的维护难度,提升企业生产力。 1.4.3 单一登录的网络环境 企业内的普通员工计算机应用能力有限,如何使员工一次登录计算机后就可 以访问其有权限访问的各种资源是提升生产效率,对于普通员工来说更能感受到 应用信息技术能够带来更加快捷的工作效率,有助于提升信息系统的使用率。 1.4.4 集中化的软件部署与运行限制 企业希望在大规模部署某个应用软件时可以避免手工逐一安装的低效率模式, 而采用服务器/客户端的网络分发模式,并能对软件的版本更新做到一定控制, 并且可以制定哪些软件可以被安装在哪些用户的计算机上。通过对软件的运行限 制,限制客户端计算机上所运行的应用软件,使工作用计算机仅可以运行特定应 用程序,与工作无关的应用程序将会被禁止运行,提升系统安全性与最大化企业 it 系统效能。 1.4.5 功能强大并易于扩展的 it 基础架构 企业希望现有的 it 基础架构能够提供较强的功能,如安全的身份验证,资 源整合,软硬件集中监控、管理等,并且希望该基础架构支持较多的上层应用, 重庆信息技术职业学院毕业设计 第 4 页 具有较强的可扩展性,在未来的几年中可以在现有底层 it 架构上实现更多的价 值,实现 it 投资的保值。 重庆信息技术职业学院毕业设计 第 5 页 第第 2 章章 解决方案解决方案规划规划 基于上述情况,结合国内外企业信息化的发展趋势和经验,同时参考 it 技 术的现有能力和发展走向,统筹安排、统一规划,通过分步实施、集中建设的方 式,构建一个集中、统一、互联互通高可管理性的基于活动目录的企业核心 it 基础架构。使用 windows server 2003 平台,利用活动目录组策略能够更好的统 筹规划,事半功倍。 2.1 概念描述概念描述 2.1.1 active directory 的概念 active direcroty(活动目录)是用于 windows 2000 sever 的目录服务。它存 储了网络上各种对象(如用户账户组、计算机、共享资源、打印机和联系人等) 。 active directory 的目录服务起源于 windows nt 4.0,在 windows 2000 server 中 得到更好的发展和应用,具有较好的可扩展性和可调整性,并使用结构化的数据 存储作为目录信息逻辑层次结构的基础。 active directory 中的对象信息以域为安全边界。通过登录验证以及对目录中 对象的访问控制,将安全性集成到 active director 中。通过一次网络登录,管理 员可管理整个网络中的目录数据和单位,而获得授权的网络用户可访问网络上任 何地方的资源任何用户只需有一个域帐号,就可以访问 active director 中的全部 资源,漫游整个网络。而采用基于域和域控制器策略的管理泽可以大大减轻管理 的负担。 (1)目录是存储有关对象信息的层次结构。在文件系统中,目录用来存储 与文件有关的信息。 (2)活动目录(active directory ,ad)是 windows 2000 server 网络提供 的目录服务,是运行在域控制器上的数据库,存储着网络对象的信息。 (3)域控制器(domain controlor,dc)是安装了活动目录的一台 windows 2000 server 计算机,是 windows 2000 网络域的核心,负责域用户的 验证、域的管理和控制。活动目录数据库保存并运行在域控制器上。 (4)域(domain)是有管理员安装活动目录时定义的一个网络环境,是一 些计算机的集合,这个集合使用一个目录数据库,并为管理员提供对用户账户、 组和计算机等对象的集中管理维护的能力。 (5)活动目录、域控制器、域三者具有相互依存关系。活动目录运行在域 控制器上,域控制器是域中的服务器,控制域的活动。 重庆信息技术职业学院毕业设计 第 6 页 2.2 域管理的优点域管理的优点 2.2.1 工作组与域的区别 现公司所有电脑采用工作组的管理模式,域管理与工作组管理的主要区别在 于: (1)工作组网实现的是分散的管理模式,每一台计算机都是独自自主的, 用户账户和权限信息保存在本机中,同时借助工作组来共享信息,共享信息的权 限设置由每台计算机控制。在网上邻居中能够看到的工作组机的列表叫浏览列表 是通过广播查询浏览主控服务器,由浏览主控服务器提供的。 (2)而域网实现的是主/从管理模式,通过一台域控制器来集中管理域内用 户帐号和权限,帐号信息保存在域控制器内,共享信息分散在每台计算机中,但 是访问权限由控制器统一管理。这就是两者最大的不同。 (3)在“域”模式下,资源的访问有较严格的管理,至少有一台服务器负 责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为 “域控制器(domain controller,简写为 dc) ” 。 (4)域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信 息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于 这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样 不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不 能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问 windows 共享出来的资源,这样就在一定程度上保护了网络上的资源。而工作组只是进行 本地电脑的信息与安全的认证。 2.2.2 公司采用域管理的好处 (1)方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。 (2)安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让 某一个人看,或者指定人员可以看,但不可以删、改、移等。 (3)方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的 软件一起安装。 (4)很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便 在 ms 软件方面集成,如 isa exchange(邮件服务器)、isa server(上网的 各种设置与管理)等。 (5)使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可 以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。 (6)方便用户使用各种资源。 重庆信息技术职业学院毕业设计 第 7 页 (7)sms(system management server)能够分发应用程序、系统补丁等, 用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁 (如 windows updates) ,不需每台客户端服务器都下载同样的补丁,从而节省 大量网络带宽。 (8)资源共享,用户和管理员可以不知道他们所需要的对象的确切名称, 但是他们可能知道这个对象的一个或多个属性,他们可以通过查找对象的部分属 性在域中得到一个所有已知属性相匹配的对象列表,通过域使得基于一个或者多 个对象属性来查找一个对象变得可能。 (9)管理,域控制器集中管理用户对网络的访问,如登录、验证、访问目 录和共享资源。为了简化管理,所有域中的域控制器都是平等的,你可以在任何 域控制器上进行修改,这种更新可以复制到域中所有的其他域控制器上。 (10)域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。 因为域控制器提供了对网络上所有资源的单点登录,管理远可以登录到一台计算 机来管理网络中任何计算机上的管理对象。在 nt 网络中,当用户一次登陆一个 域服务器后,就可以访问该域中已经开放的全部资源,而无需对同一域进行多次 登陆。但在需要共享不同域中的服务时,对每个域都必须要登陆一次,否则无法 访问未登陆域服务器中的资源或无法获得未登陆域的服务。 (11)可扩展性,在活动目录中,目录通过将目录组织成几个部分存储信息 从而允许存储大量的对象。因此,目录可以随着组织的增长而一同扩展,允许用 户从一个具有几百个对象的小的安装环境发展成拥有几百万对象的大型安装环境。 (12)安全性,域为用户提供了单一的登录过程来访问网络资源,如所有他 们具有权限的文件、打印机和应用程序资源。也就是说,用户可以登录到一台计 算机来使用网络上另外一台计算机上的资源,只要用户具有对资源的合适权限。 域通过对用户权限合适的划分,确定了只有对特定资源有合法权限的用户才能使 用该资源,从而保障了资源使用的合法性和安全性。 (13)可冗余性,每个域控制器保存和维护目录的一个副本。在域中,你创 建的每一个用户帐号都会对应目录的一个记录。当用户登录到域中的计算机时, 域控制器将按照目录检查用户名、口令、登录限制以验证用户。当存在多个域控 制器时,他们会定期的相互复制目录信息,域控制器间的数据复制,促使用户信 息发生改变时(比如用户修改了口令) ,可以迅速的复制到其他的域控制器上, 这样当一台域控制器出现故障时,用户仍然可以通过其他的域控制进行登录,保 障了网络的顺利运行。 重庆信息技术职业学院毕业设计 第 8 页 2.2.3 应用 windows 2003 server ad 的好处 windows 2003 server 是微软推出的网络操作系统服务器,它沿用了 windows 2000 server 的先进技术并且使之更易于部署、管理和使用。其结果是: 其高效结构有助于使您的网络成为单位的战略性资产。 应用 windows 2003 server 的好处如表 2.1 所示: 表 2.1 windows 2003 server 的好处 优势描述 可靠性 windows server 2003 是迄今为止最快、最可靠和最安全的 windows 服务器操作系统。 提供集成结构,用于帮助您确保商业信息的安全性。 提供可靠性、实用性和可伸缩性,使您可以提供用户需要的网络结 构。 高效 windows server 2003 提供各种工具,允许您部署、管理和使用网络 结构以获得最大效率。 提供灵活易用的工具,有助于使您的设计和部署与组织及网络的要 求相匹配。 通过加强策略、使任务自动化以及简化升级来帮助您主动管理网络。 通过让用户自行处理更多的任务来降低支持开销。 连接性 连接 windows server 2003 可以帮助您创建业务解决方案结构,以 便与雇员、合作伙伴、系统和客户更好地连接。 提供集成的 web 服务器和流媒体服务器,帮助您快速、轻松和安 全地创建动态 intranet 和 internet web 站点。 提供集成的应用程序服务器,帮助您轻松地开发、部署和管理 xml web 服务。 提供多种工具,使您得以将 xml web 服务与内部应用程序、供应 商和合作伙伴连接起来。 最经济 与来自 microsoft 的许多硬件、软件和渠道合作伙伴的产品和服务相 结合,windows server 2003 提供了有助于使您的基础架构投资获得 最大回报的选择。 重庆信息技术职业学院毕业设计 第 9 页 第第 3 3 章章 解决方案实施解决方案实施 3.1 ad 域命名和域命名和 dns 的规划的规划 windows 2003 ad 域命名和 dns 的规划之所以放在首要地位,是因为 ad 作为整个 it 架构的基础,不应该轻易被调整。尽管安装后,windows 2003 ad 仍然可以重组和改名,但是我们仍然建议做一个长远规划,使得域命名和 dns 服务能够满足企业 3-5 年的需求,尽量避免配置好后改作调整地巨大人力物力浪 费。 此外,部署 windows 2003 ad,还必须确定 dns 服务器,确保它们满足域 控制器定位器系统的要求。一个支持 ad 的 dns 至少需要满足以下要求: (1)必须支持服务定位资源记录(srv) ; (2)应该支持 dns 动态更新协议(rfc 2136) 。 windows 2003 server 提供的 dns 服务同时满足这些要求,并且还提供下列 重要的附加功能和改进: (1)active directory 集成:dns 服务把区域数据存储在目录中,使得 dns 复制创建多个主域,也减少了对维护一个单独的 dns 区域传送复制拓扑的 要求。 (2)安全动态更新:使得一个管理员可以精确地控制哪些计算机可以更新 哪些名称,并防止未经授权的计算机从 dns 获得现有的名称。 (3)条件转发:根据不同的对外访问的域名后缀,可以将用户的 dns 名称 解析请求转发到不同的外部 dns 服务器。 (4)存根区域:可以定时地刷新和外部 dns 服务器的连接,及时发现那些 可能有故障、不再响应用户请求的服务器,提高用户 dns 名称解析的效率。 3.2 确定确定 ad 逻辑结构逻辑结构 windows 2003 活动目录的逻辑结构由三个基本组件组成:森林、域和 ou。 3.2.1 确定森林规划 森林是 windows 2003 ad 域的集合。在很多情况下,单一森林就足够了。 单一森林环境易于建立和维护,森林间的域自动建立双向可传递内部信任关系, 不要求手动建立外部信任配置,在安装 exchange 2003 server 等应用程序时,只 需应用一次架构更改即可影响所有域。 如果各个单位有下列管理要求,就必须建立一个以上的森林: (1)不互相信任管理员; 重庆信息技术职业学院毕业设计 第 10 页 (2)希望限制信任关系范围; (3)不同意某种森林架构更改策略。架构更改、配置更改会影响到森林中 所有的域。如果单位不同意一个公共架构策略,它们就不能共存于同一个森林中。 3.2.2 制定域规划 规划域结构时,始终遵循“简单是最好的投资”的设计原则,尽管增加某些 复杂结构可以增值,但是简单的结构更易于说明、维护和调试。一开始时总是仅 考虑每个森林中仅有一个域,然后为每一个增加的新域提供详细的理由,确保添 加到森林中的域都是有益的,因为它们会带来相应的管理开销而导致一定程度的 成本上升。 创建更多的域的三种可能的原因是: (1)希望实现相对分散式得 it 管理模式:多域结构更容易进行相对独立的 管理、委派和权限控制。另外,不同的用户帐户在一个域内是不能出现重名的, 多域之间就没有限制。对于人士管理相对独立的集团下属公司,多域结构具有更 好的灵活性。 (2)希望实现不同管理策略要求:包括用户口令策略、账户锁定策略和 efs 加密策略。例如,要求某些人必须取 8 个字符以上的口令,而其它人不做限 制。为此,必须将这些需要不同安全策略的用户放在单独的域中。 (3)希望减小 wan 上的复制流量:域控制器域间复制将产生比域内复制 少的多的流量。如果公司很大,具有跨地区的组织结构,且处于同一个森林内, 则在不同地理位置上的机构可能使用慢速的 wan 链路连接。为减少 wan 上的 dc 复制流量,可以在不同的地理位置设置不同的域。 (4)根据以上考虑, windows 2003 ad 域逻辑结构可以采用“单森林、单 域”的结构设计。 3.3 确定确定 ad 物理结构物理结构 windows server 2003 物理结构主要是规划站点拓扑,用于帮助决定在网络 的什么地方放置域控制器,以及管理域控制器之间的复制流量和用户登录流量。 考虑到企业的地理分布情况,应该考虑使用多站点拓扑来规划 windows server 2003 物理结构。从绘制基本的网络拓扑布局图着手工作,绘制所有可能 的站点(site)和站点链接(site link) 。 (1)速度快(10mbps 以上) 、连接可靠的 lan 网络总是放置在单站点中。 站点定义为一组通过快速、可靠的线路连接起来的 ip 子网。一般而言,具有 lan 速度或更快速度的网络被认为是快速网络。 重庆信息技术职业学院毕业设计 第 11 页 (2)窄带的或不太可靠的连接可以使用站点链接建立多站点网络。通常, wan 连接一般被认为是窄带连接。 如果建立站点链接,实现多站点网络模式,则: (1)客户计算机在登录到域时首先试图与位于同一站点的 dc 通信; (2)windows server 2003 复制使用站点拓扑产生复制连接。 3.3.1 规划 ou 结构和组策略 组织单元(ou)是一个用来在域中创建分层管理单位的容器。在域中创建 ou 结构时,必须注意始终按照“谁管理什么”的原则,从 it 管理的需要出发, 划分管理模型的结构,而不是简单按照公司业务单位和它的不同分支、部门和项 目来创建 ou 结构。考虑 ou 的下列特性是很重要的: (1)ou 可以是嵌套的。一个 ou 可以包含子 ou,使得可以在域中创建 一个分层的目录树结构。但是嵌套太多将导致管理复杂和低效,所以建议以二级 嵌套为最理想,最多不应超过四级嵌套。 (2)ou 可以用来委派管理和控制对目录对象的访问。 (3)不能使 ou 成为安全组的成员,也不能因为用户被委派管理 ou 或驻 留在 ou 中而自动获得访问资源的权限。 (4)可以在 ou 上实施组策略。组策略是基于 windows 2003 注册表的修改, 从而集中控制用户和计算机的工作环境、桌面配置、软件自动安装和删除的管理 手段。一般而言,安全策略必须在域级别实施,其它策略主要在 ou 级别实施。 (5)不鼓励用户在 ou 结构中浏览。没有必要设计一个吸引最终用户的 ou 结构。尽管用户有可能浏览一个域的 ou 结构,但对于用户查找资源来说, 这并不是一个最有效的方法。在目录中查找资源的最有效的方法是查询全局编录。 (6)有两个理由需要在 windows 2003 域中创建 ou 结构: 创建 ou 以管理对象和委派授权 为组策略创建 ou 一个完全为管理和委派而设计的 ou 结构与一个完全为组策略而设计的 ou 结构是不同的。ou 结构将很快变得相当复杂。每次添加一个 ou 到规划中时, 要记下创建的具体原因。这有助于确保每个 ou 有一个目的,并将帮助阅读规划 的人理解结构所基于的理由。 3.3.2 创建 ou 以管理和委派 在单位中委派管理有一些好处。以前,在单位中除了 it 之外的组可能必须 将更改请求提交到高级管理员,高级管理员代表他们进行更改。委派特定的权限 可以将责任分散到单位中的各个组,使您可以将必须有高级访问权限的用户的数 重庆信息技术职业学院毕业设计 第 12 页 量降到最少。权限受到限制的管理员所发生的事故或错误所产生的影响只限于他 们负责的范围。 这一工作包括以下步骤: (1)确定创建何种 ou。创建的 ou 结构将完全取决于管理是如何在单位 中委派的。委派管理的三种方法是:按物理位置、按业务单位(公司部门) 、按 角色或任务。三种方法经常结合使用。 (2)修改访问控制列表。修改 ou 的访问控制列表(acl)可以授予一个组 对 ou 的特定权限,从而实现对该 ou 的委派管理。尽量委派权限给组账户而不 是单独的用户,如果可能,委派到本地组而不是全局组或通用组。 (3)委派步骤。从域中的默认结构开始,按下列主要步骤创建 ou 结构: 通过委派完全控制创建 ou 的顶层 创建 ou 的下层来委派每个对象类别控制 3.3.3 创建 ou 支持组策略 使用 windows 2003,可以使用组策略定义用户和计算机配置,并将这些策 略与站点、域或 ou 关联。是否要创建附加的 ou 以支持组策略的应用取决于制 定的策略以及所选择的实现方案,包括: (1)定义客户计算机的管理与桌面配置标准; (2)定义软件的自动分发; (3)特殊组策略应用配置与管理。 在 windows 2003 中,组策略设置是管理员启用集中更改和配置客户计算机 管理的主要方法。可用组策略为某个特定的用户组和计算机组创建指定的安全限 制和桌面环境配置。 windows 2003 组策略有 100 多种与安全有关的设置和 450 多种基于注册表 的设置,为您管理用户计算机环境提供了众多选项: (1)可根据活动目录定义或在计算机本地进行定义; (2)可用 microsoft 管理控制台(mmc)或*.adm 文件保存和管理; (3)是安全的; (4)不会在实施的策略改变时把设置留在用户配置文件中; (5)可应用于指定的活动目录容器(站点、域与 ou)中的用户或计算机; (6)可由安全组的用户或计算机成员进一步控制; (7)可用来配置多种类型的安全设; (8)可用于实施登录、注销、启动及关闭脚本; (9)可用于安装和维护软件; 重庆信息技术职业学院毕业设计 第 13 页 (10)可用于重定向文件夹(如 my documents 和 application data 文件夹) ; (11)可用于在 microsoft internet explorer 中执行维护。 可以按下列三个步骤配置和管理组策略: (1)管理站点、域或 ou 的组策略链接,默认情况下,只有域管理员组和 企业管理员组可以配置站点、域或部门的组策略。可在站点、域或 ou 的“属性” 页的“组策略”选项卡中指定链接至站点、域或 ou 的组策略对象。active directory 支持以每个属性为基础的安全设置。 (2)创建组策略对象,默认情况下,只有域管理员组、企业管理员组和组 策略创建者(所有者)组的成员可以创建新的组策略对象。如果域管理员想使一 个非管理员用户或组能够创建组策略对象,则可将该用户或组添至组策略创建者 (所有者)安全组中。这样,他们就可以创建、修改自己的组策略对象,并成为 该组策略对象的创建者和所有者。 (3)编辑组策略对象,默认情况下,组策略对象接受域管理员、企业管理 员及组策略创建者(所有者)组成员的完全控制,课以便机组策略,但非管理员 用户没有设置组策略链接的应用权。 3.3.4 应用组策略选项 如果能认真应用组策略选项,即使开始用数据极其多的文件夹重定向选项和 软件安装选项,也能够改善网络的响应时间。应恰当地应用组策略选项,尤其在 刚开始时,更要仔细测试所有建议的更改,以确保不损坏网络性能。下面是一些 可用的选项: (1)安全组筛选选项,可针对某个特定组策略对象实施筛选,使之不能对 筛选的计算机和用户组生效。 (2)不许替代(强制继承)和阻止继承选项,例如,如果在域层次定义了 一个指定的组策略对象,并已指定组对象是强制的(不许替代) ,那么组策略对 象所包含的策略设置就会应用于该域中的所有 ou;层次较低的容器 (ou) 将 无法替代此域的组策略,一般用于安全设置。也可阻止从父 active directory 容 器继承组策略。但是,不许替代(强制继承)策略选项始终比阻止继承策略选项 优先。 (3)处理“环回”策略设置的策略选项,默认的设置使计算机策略优先于 用户策略起作用,但有时必须要优先实施用户策略,组策略的环回功能使管理员 能够实现这一设置。主要用在软件安装这一类的策略上。 (4)低速链接处理的选项,许多用户,如使用便携式计算机的用户、远离 建筑物或在分部工作的用户,有时会用低速连接至网络。可对组策略进行配置, 重庆信息技术职业学院毕业设计 第 14 页 使部分策略不能生效,以减少网络开销。这些组策略设置包括: 软件安装与维护 脚本 磁盘配额 ip 安全 dfs 故障恢复策略 internet explorer 维护 (5)周期刷新选项,可指定定时地处理组策略,默认情况下,dc 计算机 策略每 5 分钟刷新一次,而成员服务器和客户计算机每 90 分钟刷新一次,并带 有 30 分钟的随机偏移量。可根据需要改变此刷新频率。 3.3.5 硬件设备选型 为实现 windows 2003 ad 系统的部署实施,建议至少配置两台服务器: (1)windows 2003 ad 主域控制器:1 台,同时兼作 dns、dhcp、wins 服务器; (2)windows 2003 ad 备份域控制器:1 台,同时兼作 dns、wins 服务 器; 上述服务器硬件配置建议如下: (1)2 颗 p4 3.0ghz 以上 cpu。 (2)2gb 以上内存。 (3)373gb scsi 硬盘:建议使用 2 个硬盘,实施镜像(raid-1) ; 或者 3 个以上的硬盘,实施 raid-5。 重庆信息技术职业学院毕业设计 第 15 页 第第 4 章章 ad 的安装的安装 (1)开始运行dcpromo 图 4.1 运行安装 (2)进入 ad 安装向导 图 4.2 ad 安装向导 重庆信息技术职业学院毕业设计 第 16 页 (3)创建域控制器的类型 图 4.3 ad 创建域控制器类型 (4)创建一个新域 图 4.4 创建一个新域 重庆信息技术职业学院毕业设计 第 17 页 (5)创建的域的名称 图 4.5 新的域名 (6)netbios 域名 图 4.6 域名 重庆信息技术职业学院毕业设计 第 18 页 (7)数据库及日志文件存放的位置 图 4.7 数据库及日志存放位置 (8)共享的系统卷 图 4.8 共享的系统卷 重庆信息技术职业学院毕业设计 第 19 页 (9)集成安装 dns 图 4.9 集成安装 dns (10)设置权限 图 4.10 设置权限 重庆信息技术职业学院毕业设计 第 20 页 (11)ad 在进入目录服务还原模式时使用的管理员密码 图 4.11 设置管理员密码 (12)创建的域环境摘要 图 4.12 域环境摘要 重庆信息技术职业学院毕业设计 第 21 页 (13)部署 ad 图 4.13 部署 ad (14)选择映像文件 图 4.14 选择映像文件 重庆信息技术职业学院毕业设计 第 22 页 (15)安装完毕 图 4.15 安装完毕 (16)重启,ad 安装完成 重庆信息技术职业学院毕业设计 第 23 页 第第 5 5 章章 公司各部门域管理具体实施公司各部门域管理具体实施 公司现有员工 200 人,共有 5 个部门,分别为市场部、技术部、财务部、秘 书处、项目部。当前公司的采用工作组环境,但这种方式对系统管理员工作压力 非常大,无法对员工进行集中有效管理,并有严重的安全隐患。所以决定对公司 结构进行改造,采用域环境进行集中管理,公司网络环境如图 5.1 所示: 图 5.1 公司网络环境 公司按部门进行管理,每部门设经理一名,四个部门归总经理统一管理。每 个部门的账号不能登录到其他部门,并且只允许在上班时间登录计算机。部门经 理要有添加本部门员工和重设本部门员工账号密码的权利,以减少管理员工作量。 重庆信息技术职业学院毕业设计 第 24 页 5.1 创建各部门创建各部门 ou 并设置账户权限并设置账户权限 图 5.2 创建各部门 ou 图 5.3 设置需要登录的计算机 重庆信息技术职业学院毕业设计 第 25 页 图 5.4 设置登录时间 图 5.5 委派控制 重庆信息技术职业学院毕业设计 第 26 页 图 5.6 添加用户或组 图 5.7 委派权限 依次设置其他部门经理的委派权限,设置完成后经理想要使用添加本部门员 重庆信息技术职业学院毕业设计 第 27 页 工和重设本部门员工账号密码的权利的话,必须在经理使用的计算机上添加 ad 用户和计算机工具。 5.2 设置员工帐号密码策略设置员工帐号密码策略 图 5.8 设置员工帐号密码策略 重庆信息技术职业学院毕业设计 第 28 页 图 5.9 组策略管理 图 5.10 新建 gpo 图 5.11 组策略管理 重庆信息技术职业学院毕业设计 第 29 页 图 5.12 密码复杂性属性 图 5.13 密码策略 重庆信息技术职业学院毕业设计 第 30 页 图 5.14 账户错定策略设置相关配置 5.3 打印权限打印权限 重庆信息技术职业学院毕业设计 第 31 页 图 5.15 添加打印机 图 5.16 添加本地打印机 图 5.17 添加打印机 重庆信息技术职业学院毕业设计 第 32 页 图 5.18 添加逻辑打印机 图 5.19 添加逻辑打印机 重庆信息技术职业学院毕业设计 第 33 页 图 5.20 共享此打印机 图 5.21 设置员工打印级别 重庆信息技术职业学院毕业设计 第 34 页 图 5.22 设置全部用户打印权限 图 5.23 设置经理打印机级别 重庆信息技术职业学院毕业设计 第 35 页 图 5.24 添加经理账户 在员工客户机上添加级别低的打印机,在经理机上添加级别高的打印机。 图 5.25 添加打印机完成 重庆信息技术职业学院毕业设计 第 36 页 图 5.26 普通员工无经理打印权限 图 5.27 添加员工逻辑打印机 重庆信息技术职业学院毕业设计 第 37 页 5.4 公司常用软件的共享及权限设置公司常用软件的共享及权限设置 公司一些常用软件、每个用户自己的文件夹、员工账户配置资料这些都要求 保存在服务器上,并要有权限设置。并对数据的安全可靠性有一定的考虑,对于 关键数据要有访问记录,限制员工的使用空间。对于共享文件夹和打印机要方便 员工查找。 图 5.28 文件夹共享 重庆信息技术职业学院毕业设计 第 38 页 图 5.29 设置用户读取权限 图 5.30 将常用软件放入共享文件夹 重庆信息技术职业学院毕业设计 第 39 页 5.5 员工个人文件夹的共享及权限设置员工个人文件夹的共享及权限设置 图 5.31 新建用户个人文件夹 重庆信息技术职业学院毕业设计 第 40 页 图 5.32 共享权限 图 5.33 共享安全编辑 重庆信息技术职业学院毕业设计 第 41 页 图 5.34 设置员工共享文件夹权限 重庆信息技术职业学院毕业设计 第 42 页 5.6 配置员工账户资料配置员工账户资料 图 5.35 设置账户配置资料 重庆信息技术职业学院毕业设计 第 43 页 图 5.36 员工映射驱动器 图 5.37 在客户机桌面新建文件夹 重庆信息技术职业学院毕业设计 第 44
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 个人工作反思解析总结
- 本科毕业生自我鉴定集锦15篇
- 《小故事大道理》读后感集锦15篇
- 公司后勤管理工作总结
- 学校美术教师教学计划五篇
- 五年级单元作文七篇
- 大学生实习心得体会范文-14篇
- 形势与政策(黑龙江农业工程职业学院)知到智慧树答案
- 主题班会课件:小学班会调整心态把握成功
- 《将对象映射为代码》课件
- 处理突发事件流程图
- 病人病例汇报PPT
- 临床输血技术规范
- 激光原理与技术-厦门大学中国大学mooc课后章节答案期末考试题库2023年
- 全能值班员集控面试题
- 食堂每日巡检表
- 脉冲振荡肺功能简介课件
- 安徽德隆泰化工有限公司年产3000吨246-三甲基苯甲酰氯、20000吨羟基乙酸项(18000吨70%的羟基乙酸产品和2000吨99%的羟基乙酸产品)环境影响报告书
- 直燃机机组维护保养规程
- 【标准格式】有限空间告知牌(罐区储罐)
- 中国,全图及各省,地图透明,模版
评论
0/150
提交评论