JJJ_X分公司网络改造项目设计实施方案.docx

jjj x分公司网络改造项目设计实施方案networking design:directory services and network infrastructuredgod 362008110590611/21/2010目录一、企业用户需求分析21.1、项目概述2、企业需求概括2、建设性目标及原则21.2、系统需求概括2、组织结构和管理模式及相关业务概括2、企业现有设备状况2、网络系统的整体规划2、系统需求概括21.3、项目建设的要求2、硬件的一般性要求2、网络系统的总体设计要求2、服务系统的总体设计要求2、系统实施的要求2二、项目方案的整体设计与实施22.1、网络系统的分析与设计2、网络拓扑结构的设计2、布线系统的分析与设计2、ip地址规划2、子网地址规划2、vlan的划分2、网络设备需求分析22.2、系统及应用服务的分析与设计2、服务器系统的分析与设计2、活动目录的分析与设计2、windows客户端的分析与设计2、防病毒服务器的分析与设计2三、方案实施相关问题解答23.1、活动目录优势2、计算机工作组管理和ad管理比较2、为什么要提供目录服务?2、ad简化了计算机系统管理2、加强安全性23.2、重要组策略介绍2、软件分发策略2、将用户的个人数据从pc机上重定向到服务器上2、安全类组策略23.3、计算机从工作组加入到域可能存在的问题和解决方法2四、方案价值体现2一、企业用户需求分析1.1、项目概述、企业需求概括jjj公司是一家专业从事网络、存储产品代理销售和信息项目整体方案解决的国家一级系统集成商，总部在a，拥有x和y两家分公司，随着业务的扩大，公司的人员也在随之增多，原来的网络架构似乎已经力不从心了，与员工、客户之间的联络方式分散老旧，无法集中的去管理联络，极大的影响了公司的发展与工作效率，整个企业的网络安全也大打折扣。由此看来，企业信息沟通分散、没有良好的时效性，以前的网络及应用环境已经不能适应实际的需求，所以在保证改造的质量、工期、成本的相对适合的前提下，建议对其进行改造，使其成为工作管理和沟通协作良好的一个整合式（文件、信息集权管理）信息沟通平台体系。加强有效沟通，加强对客户和潜在客户进行关系管理和更有效的沟通。、建设性目标及原则、目标企业的windows 2003 ad系统规划构建是为企业信息化建设服务的，需要达到以下战略目标： 围绕企业的战略发展需要，进行企业信息化建设系统规划，满足企业3-5年的业务发展对it建设的要求； 以业务为驱动，通过有效的信息系统，加强信息共享和协同办公，提高工作效率，降低成本； 整合企业现有信息资产，加强企业管理与监控；从信息中挖掘知识，提高经营决策与驾驭风险的能力； 推进知识管理理念，建立知识型企业，增强企业的核心竞争力。windows 2003 ad系统规划实施的具体目标如下： 规划和部署基于windows 2003 ad的企业目录服务，首先实现用户的单一登录，保障网络系统安全； 通过ad实现用户桌面的集中和自动管理，分发软件补丁； 进一步部署微软的相关应用平台软件，如实现基于exchange 2003的企业内部邮件和协作服务等。2、原则 开放性：采用开放标准、开放技术、开放结构。 实用性：网络系统的设计以实用、满足应用为主，不追求最高、最新。 先进性：计算机网络技术、软件技术的发展迅速，网络的设计要立足于较高的起点，保证系统有较长的生命力。 安全可靠性：同时考虑应用系统的设计、网络系统设计、硬件设备的选型配置几方面，以确保数据的安全。 兼容与可扩充性：尽量采用成熟的技术，保证软硬件的兼容性，同时需考虑设备的更新与升级的能力。 经济性：在满足功能与性能的基础上实现性能/价格比最优。 可管理性：随着网络规模和复杂程度的增加，网络系统的管理和故障排除将成为较难的事情，针对各种设备都要提供一定的网络管理功能。 工程建设按照相关国家标准实施。 本次建设作为公司网络系统今后发展的基础，必须按照统一规划、着眼未来、注重实效的原则设计施工。 系统建设应兼顾先进性和实用性，尽量采用先进技术以提高系统的效率和可靠性，还要结合公司的工作特点，立足于目前公司办公现状与全社会的计算机应用水平，避免脱离实际，造成系统资源的浪费。1.2、系统需求概括、组织结构和管理模式及相关业务概括1、x分公司组织结构 2、x分公司管理概况 x分公司经理向总经理负责 x分公司各部门主管向分公司经理负责 各部门员工向部门经理负责 部门、员工各自为政，企业信息孤岛，需要一次全面整合； 员工众多、超大办公区域，怎么提高沟通效率；、企业现有设备状况企业目前拥有10台台式计算机，2台笔记本电脑计算机,其中5台台式机配有10/100mbps双工自适应网卡，5台台式机配有10mbps半双工网络接口卡,笔记本均带有10/100mbps全双工自适应网络接口卡。所有设备运行良好。现公司已经增长到50人。网络规模需要进一部进行扩大。、网络系统的整体规划 企业要求建设适合中小型企业的互连接入网络。 需要路由器一台，交换机两台，服务器6台。 分公司里的所有员工都能接入互联网，并且可以访问总公司的网络。 所有的员工都能访问内部各服务器。 分公司的计算机以部门为单位实现隔离。 为企业规划windows 2003 ad企业目录服务的解决方案建议。 建立无线与远程服务方便员工工作、系统需求概括 1、系统管理 互联网系统是公司跟外界及总公司的一条重要信息交互通道，建议具有快速高效以及运行稳定的特点，同时，要对员工用户帐户进行相应的控制和管理，并提供完善的日志功能。使用实现用户安全、帐户管理；用户权限管理；网络访问控制；以及事件日志； 系统将涉及以下3类帐户：分公司经理分公司各部门主管分公司各部门普通员工2、相关系统软件及应用软件的选择建议 主流操作系统：red hat enterprise linux as4.0 和 windows server 2003 使用windows server 2003构建以下服务：文件服务、活动目录服务、打印服务，代理服务ccproxymicrosoft offices 2003 办公软件提供公司日常办公。产品建议：red hat enterprise linux asredhat 企业级 linux as 版本是专为企业关键业务提供服务的 linux 解决方案，它内置 ha/cluster 功能，适合运行数据库、中间件、erp/crm 和集群/负载均衡系统等关键业务，支持各种平台的服务器，提供了最全面的支持服务。redhat enterprise linux as 是主要的作业系统和企业架构方案。和其它版本比较，redhat enterprise linux as 包括了最全面的支持服务，及能够支持到16个处理器，64gb 内存的最大型服务器架构，redhat enterprise linux as 已成为大型企业部门及计算中心的最佳解决方案。windows server 2003windows server 2003系列沿用了windows 2000 server的先进技术并且使之更易于部署、管理和使用。其结果是：其高效结构有助于使使用者的网络成为单位的战略性资产。客户需要的所有对业务至关重要的功能，windows server 2003中全部包括，如安全性、可靠性、可用性和可伸缩性。此外，microsoft已经改进和扩展了windows服务器操作系统，使贵单位能够体验到microsoft .net(用于连接信息、人、系统和设备的软件)的好处。windows server 2003是一个多任务操作系统，它能够按照您的需要，以集中或分布的方式处理各种服务器角色。其中的一些服务器角色包括：文件和打印服务器、web服务器和web应用程序服务器、邮件服务器、终端服务器远程访问/虚拟专用网络(vpn)服务器目录服务器、域名系统(dns)、动态主机配置协议(dhcp)服务器和windows internet命名服务(wins)、流媒体服务器。windows xp处理器（cpu）时钟频率为300mhz或更高的处理器，至少需要233mhz（单个或双处理器系统）、使用intelpentium/celeron系列、amdk6/athlon/duron系列或兼容的处理器内存（ram）128mbram或更高（最低支持64m，可能会影响性能和某些功能）硬盘至少1.5gb可用硬盘空间显示卡和监视器supervga（800x600）或分辨率更高的视频适配器和监视器其他设备cd-rom或dvd驱动器，键盘和 microsoft 鼠标或兼容的指针设备microsoft offices 2003系统/软件单价数量合计red hat enterprise linux as4.0rmb75001rmb7500windows server 2003rmb265001rmb26500windows xprmb18801rmb1880microsoft offices 2003ccproxy总计1.3、项目建设的要求、硬件的一般性要求 所有硬件必须是新产品，而且在质量和性能上能提供可靠证明。 集成商所提供的硬件设备应符合国建有关标准及规定。、网络系统的总体设计要求1、布线系统建设 总体设计需要80个信息点。 系统采用tia/eia568a和568b以及其它相关布线标准实施。 除工作区子系统外，其他子系统已布线完成。2、网络系统建设 所有员工均能连到互联网上。 网络结构体系采用星型拓扑结构。 ip地址规划要合理其次要满足未来发展的需要。 网络技术采用高宽带、高速度且简单成熟的以太网交换技术。 为了满足设备的兼容性，路由交换应该采用相同的设备。、服务系统的总体设计要求 为了满足企业要求应建设文件服务、nfs服务、web/ftp服务、打印服务、windows活动目录服务、防病毒服务、代理服务。 服务器应该采用主流的网络操作系统，并能通过核心服务器对分公司的所有员工进行不同级别的管理。 系统的安全措施必须得到加强。 打印机必须采用主流厂商的打印机产品。、系统实施的要求 集成商必须提供所有的硬件、软件、和系统集成服务。 设计书里必须注明各个模块的具体功能。 整个项目实施过程中，由第三方人员现场旁站和监察。二、项目方案的整体设计与实施2.1、网络系统的分析与设计、网络拓扑结构的设计、布线系统的分析与设计布线系统概述 根据美国国家标准化委员会电信工业协会（tia）/电子工业协会（eia）制定的商用建筑布线系统标准，即 eia/tia 568a 和eia/tia 568b以及其他相关标准，结构化布线系统主要针对电话、传真、计算机网络、电视会议、图文传真、语音邮件、卫星通信等。、ip地址规划 isp提供了一个a类的公网ip地址、8，作为jjj x分公司接入路由器r1外连接口e0/1和isp提供的路由器端口使用。那么给jjj x上海分公司接入路由器下连端口e0/0分配一个私有ip地址/24，在进行子网划分，最终划分了6个可用子网。物理接口ip地址子网掩码网关接入远程e0/无接入路由e0/0324无sw7交换机vlan1952493sw8交换机vlan1942493web服务器f0/14243文件服务器f0/25243打印服务器f0/38243域控制器f0/46243额外域控f0/57243代理服务器f0/69243nfs服务器f0/75243、子网地址规划 r4子接口ip 地址e0/0.13/27e0/0.25/27e0/0.37/27e0/0.427/27e0/0.561/27e0/093/27、vlan的划分 部门ip地址vlan100服务器组4-62/27vlan200经理部6-94/27vlan300工程部8-126/27vlan400销售部28-158 /27vlan500财务部62-190/27vlan1交换机7、8,路由器94-222/27、网络设备需求分析 在这个网络中，必需注意的是服务器区数据流量非常大，而vlan之间通信要靠汇聚链路来实现，所以这个区所搭配的交换机最好选择千兆交换机，才能保证服务器区vlan与其他vlan之间的正常通信。考虑到设备的兼容性，本项目建议选用知名的企业华为公司的网络设备。为了设备的安全性，在进行设备调试的时候，建议给设备加上密码，密码由贵公司制定。产品推荐华为 quidway r2610 模块化路由器华为 quidway r2610是一款面向中小型企业的模块化路由器，它采用了mpc8241 处理器，主频达到200mhz，拥有64mb的内存，可扩展到128mb。该款路由器拥有8mb的闪存，其数据包转发能力在70到80kpps之间。选择这款路由器主要是由于它的带机数量比较高，支持vlan，并且支持语音等功能，对于这些功能，企业网络一般情况下都是需要的。并且该款路由器的防火墙能力也比较高，加上该款路由器具有高可靠性，高稳定性等特点，非常适合于企业网络使用。该款路由器还有一个特点，就是多模块化功能，这项功能将使这款路由器的扩展能力得到大幅度提高，即使将来这些小型企业向中型企业转型时也能够胜任网络核心的作用。华为3com quidway s5012g华为3com quidway s5012g是一款高性能，低价格的全千兆交换机。该款交换机具有12个10/100/1000mbps的自适应rj45接口和4个cbic端口，这4个cbic端口可连接华为3com公司提供的多种模块，可以实现上连千兆网络。该款交换机具有24gbps的背板带宽，其数据转发率达到17.9mpps。quidway s5012g支持vlan，最多可实现4094个vlan，该款交换机支持基于端口的vlan，支持基于端口和802.1q tag混合策略的vlan，支持vlan trunking协议，支持vlan透传功能等。并且该款交换机还支持流量控制等高级功能，在操作上也十分简单，十分适合小型企业应用。华为3com quidway s5012g已经达到了企业要求，并且在性能和功能也非常突出，12个lan口虽然数量上不多，不过已经足够使用，在组建vlan网络时要做的事情就是将各个端口设置为汇聚端口，这样就能实现网络中的汇聚链路连接。tl-sf1024v这款交换机提供了24个10/100mbps自适应rj45接口，支持vlan，在10mbps网络情况下，其数据包转发率达到14880pps;在100mbps网络情况下，数据包转发率达到148800pps。选择这款交换机主要是由于价格低廉，并且支持vlan。对于网络中的交换机对于将来网络扩展之后更换的可能性非常大，所以并没有选择较好的交换机来实现。tl-sf1024v基本上能够满足用户需要。ibm机架式x3650m2-i41服务器ibm塔式x3400m3-i05服务器网络设备产品型号单价数量总价路由器华为quidway r2610rmb67001rmb6700交换机tl-sf1024vrmb7001rmb7200华为3com quidway s5012grmb65001服务器ibm机架式x3650m2-i41rmb210003rmb103800ibm塔式x3400m3-i05rmb136003总计rmb1177002.2、系统及应用服务的分析与设计、服务器系统的分析与设计、文件服务器以及dfs服务器的分析与设计 网络服务器全部采用微软的windows server 2003，客户端全部采用主流的windows xp系统。 服务器上建立镜像卷，做冗余备份。 文件服务器用户权限设置。dfs服务器的具体配置 文件服务器每个用户主目录磁盘配额限制 服务器上所以共享的目录都挂载域中dfs根目录，然后通过访问dfs根目录访问其他服务器上的服务器。 、代理服务器系统的分析与设计 根据公司员工人数及网络设备的数量，代理服务器软件采用ccproxy。 代理服务器上必须设置对上网用户相应的权限。 代理服务器上必须有员工上网相关的的日志备份。、web服务器系统的分析与设计 web服务器采用windows server 2003 的iis组件安装。 贵公司的网站应上传到web服务器上。 所以员工能够通过域名访问web服务器。、打印服务器的分析与设计 利用windows提供的打印共享功能创建打印服务器，其他员工通过网络添加网络打印机进行打印。 打印服务器上必须设置打印级别，经理、管理人员优先打印。 管理员能够通过远程web管理打印机。、活动目录的分析与设计、ad域命名和dns的规划windows 2003 ad域命名和dns的规划之所以放在首要地位，是因为ad作为整个it架构的基础，不应该轻易被调整。尽管安装后，windows 2003 ad仍然可以重组和改名，这一点比windows 2000 ad有了很大的进步，但是我们仍然建议做一个长远规划，使得域命名和dns服务能够满足企业3-5年的需求，尽量避免配置好后改作调整地巨大人力物力浪费。此外，部署windows 2003 ad，还必须确定dns服务器，确保它们满足域控制器定位器系统的要求。一个支持ad的dns至少需要满足以下要求： 必须支持服务定位资源记录（srv） 应该支持 dns 动态更新协议（rfc 2136）windows 2003 server 提供的 dns 服务同时满足这些要求，并且还提供下列重要的附加功能和改进： active directory 集成：dns 服务把区域数据存储在目录中，使得 dns 复制创建多个主域，也减少了对维护一个单独的 dns 区域传送复制拓扑的要求。 安全动态更新：使得一个管理员可以精确地控制哪些计算机可以更新哪些名称，并防止未经授权的计算机从 dns 获得现有的名称。 条件转发：根据不同的对外访问的域名后缀，可以将用户的dns名称解析请求转发到不同的外部dns服务器。 存根区域：可以定时地刷新和外部dns服务器的连接，及时发现那些可能有故障、不再响应用户请求的服务器，提高用户dns名称解析的效率。、确定ad逻辑结构windows 2003活动目录的逻辑结构由三个基本组件组成：森林、域和ou。、确定森林规划森林是windows 2003 ad域的集合。在很多情况下，单一森林就足够了。单一森林环境易于建立和维护，森林间的域自动建立双向可传递内部信任关系，不要求手动建立外部信任配置，在安装exchange 2003 server等应用程序时，只需应用一次架构更改即可影响所有域。如果各个单位有下列管理要求，就必须建立一个以上的森林： 不互相信任管理员。 希望限制信任关系范围。 不同意某种森林架构更改策略。架构更改、配置更改会影响到森林中所有的域。如果单位不同意一个公共架构策略，它们就不能共存于同一个森林中。、制定域规划规划域结构时，始终遵循“简单是最好的投资”的设计原则，尽管增加某些复杂结构可以增值，但是简单的结构更易于说明、维护和调试。一开始时总是仅考虑每个森林中仅有一个域，然后为每一个增加的新域提供详细的理由，确保添加到森林中的域都是有益的，因为它们会带来相应的管理开销而导致一定程度的成本上升。创建更多的域的三种可能的原因是： 希望实现相对分散式得it管理模式：多域结构更容易进行相对独立的管理、委派和权限控制。另外，不同的用户帐户在一个域内是不能出现重名的，多域之间就没有限制。对于人士管理相对独立的集团下属公司，多域结构具有更好的灵活性。 希望实现不同管理策略要求：包括用户口令策略、账户锁定策略和efs加密策略。例如，要求某些人必须取8个字符以上的口令，而其它人不做限制。为此，必须将这些需要不同安全策略的用户放在单独的域中。 希望减小wan上的复制流量：域控制器域间复制将产生比域内复制少的多的流量。如果公司很大，具有跨地区的组织结构，且处于同一个森林内，则在不同地理位置上的机构可能使用慢速的wan链路连接。为减少wan上的dc复制流量，可以在不同的地理位置设置不同的域。根据以上考虑，建议企业windows 2003 ad域逻辑结构可以采用“单森林、单域”的结构设计。、确定ad物理结构windows 2003 ad物理结构主要是规划站点拓扑，用于帮助您决定在网络的什么地方放置域控制器，以及管理域控制器之间的复制流量和用户登录流量。考虑到企业的地理分布情况，应该考虑使用多站点拓扑来规划windows 2003 ad物理结构。从绘制基本的网络拓扑布局图着手工作，绘制所有可能的站点（site）和站点链接（site link）。 速度快（10mbps以上）、连接可靠的lan网络总是放置在单站点中。站点定义为一组通过快速、可靠的线路连接起来的 ip 子网。一般而言，具有 lan 速度或更快速度的网络被认为是快速网络。 窄带的、或不太可靠的连接可以使用站点链接建立多站点网络。通常，wan连接一般被认为是窄带连接。如果建立站点链接，实现多站点网络模式，则： 客户计算机在登录到域时首先试图与位于同一站点的dc通信； windows 2003 ad复制使用站点拓扑产生复制连接。、规划ou结构和组策略组织单元（ou）是一个用来在域中创建分层管理单位的容器。在域中创建ou结构时，必须注意始终按照“谁管理什么”的原则，从it管理的需要出发，划分管理模型的结构，而不是简单按照公司业务单位和它的不同分支、部门和项目来创建ou结构。考虑 ou 的下列特性是很重要的： ou 可以是嵌套的。一个 ou 可以包含子 ou，使得可以在域中创建一个分层的目录树结构。但是嵌套太多将导致管理复杂和低效，所以建议以二级嵌套为最理想，最多不应超过四级嵌套。 ou 可以用来委派管理和控制对目录对象的访问。 不能使 ou 成为安全组的成员，也不能因为用户被委派管理ou或驻留在ou中而自动获得访问资源的权限。 可以在ou上实施组策略。组策略是基于windows 2003注册表的修改，从而集中控制用户和计算机的工作环境、桌面配置、软件自动安装和删除的管理手段。一般而言，安全策略必须在域级别实施，其它策略主要在ou级别实施。 不鼓励用户在 ou 结构中浏览。没有必要设计一个吸引最终用户的 ou 结构。尽管用户有可能浏览一个域的 ou 结构，但对于用户查找资源来说，这并不是一个最有效的方法。在目录中查找资源的最有效的方法是查询全局编录。有两个理由需要在windows 2003域中创建 ou 结构： 创建 ou 以管理对象和委派授权。 为组策略创建 ou。一个完全为管理和委派而设计的 ou 结构与一个完全为组策略而设计的 ou 结构是不同的。ou 结构将很快变得相当复杂。每次添加一个 ou 到规划中时，要记下创建的具体原因。这有助于确保每个 ou 有一个目的，并将帮助阅读规划的人理解结构所基于的理由。、创建 ou 以管理和委派在单位中委派管理有一些好处。以前，在单位中除了 it 之外的组可能必须将更改请求提交到高级管理员，高级管理员代表他们进行更改。委派特定的权限可以将责任分散到单位中的各个组，使您可以将必须有高级访问权限的用户的数量降到最少。权限受到限制的管理员所发生的事故或错误所产生的影响只限于他们负责的范围。这一工作包括以下步骤： 确定创建何种 ou创建的 ou 结构将完全取决于管理是如何在单位中委派的。委派管理的三种方法是：按物理位置、按业务单位（公司部门）、按角色或任务。三种方法经常结合使用。 修改访问控制列表：修改 ou 的访问控制列表 (acl)可以授予一个组对 ou 的特定权限，从而实现对该ou的委派管理。尽量委派权限给组账户而不是单独的用户，如果可能，委派到本地组而不是全局组或通用组。 委派步骤。从域中的默认结构开始，按下列主要步骤创建 ou 结构： 通过委派完全控制创建 ou 的顶层； 创建 ou 的下层来委派每个对象类别控制。、创建 ou 支持组策略使用 windows 2003，可以使用组策略定义用户和计算机配置，并将这些策略与站点、域或 ou 关联。是否要创建附加的 ou 以支持组策略的应用取决于制定的策略以及所选择的实现方案，包括： 定义客户计算机的管理与桌面配置标准 定义软件的自动分发 特殊组策略应用配置与管理在 windows 2003 中，组策略设置是管理员启用集中更改和配置客户计算机管理的主要方法。可用组策略为某个特定的用户组和计算机组创建指定的安全限制和桌面环境配置。windows 2003 组策略有 100 多种与安全有关的设置和 450 多种基于注册表的设置，为您管理用户计算机环境提供了众多选项。windows 2003 组策略： 可根据活动目录定义或在计算机本地进行定义； 可用 microsoft 管理控制台（mmc）或 *.adm 文件保存和管理； 是安全的； 不会在实施的策略改变时把设置留在用户配置文件中； 可应用于指定的活动目录容器（站点、域与 ou）中的用户或计算机； 可由安全组的用户或计算机成员进一步控制； 可用来配置多种类型的安全设； 可用于实施登录、注销、启动及关闭脚本； 可用于安装和维护软件； 可用于重定向文件夹（如 my documents 和 application data 文件夹）； 可用于在 microsoft internet explorer 中执行维护。可以按下列三个步骤配置和管理组策略： 管理站点、域或 ou 的组策略链接：默认情况下，只有域管理员组和企业管理员组可以配置站点、域或部门的组策略。可在站点、域或 ou 的“属性”页的“组策略”选项卡中指定链接至站点、域或 ou 的组策略对象。active directory 支持以每个属性为基础的安全设置。 创建组策略对象：默认情况下，只有域管理员组、企业管理员组和组策略创建者（所有者）组的成员可以创建新的组策略对象。如果域管理员想使一个非管理员用户或组能够创建组策略对象，则可将该用户或组添至组策略创建者（所有者）安全组中。这样，他们就可以创建、修改自己的组策略对象，并成为该组策略对象的创建者和所有者。 编辑组策略对象：默认情况下，组策略对象接受域管理员、企业管理员及组策略创建者（所有者）组成员的完全控制，课以便机组策略，但非管理员用户没有设置组策略链接的应用权。、应用组策略选项如果能认真应用组策略选项，即使开始用数据极其多的文件夹重定向选项和软件安装选项，也能够改善网络的响应时间。应恰当地应用组策略选项，尤其在刚开始时，更要仔细测试所有建议的更改，以确保不损坏网络性能。下面是一些可用的选项： 安全组筛选选项：可针对某个特定组策略对象实施筛选，使之不能对筛选的计算机和用户组生效。 不许替代（强制继承）和阻止继承选项：例如，如果在域层次定义了一个指定的组策略对象，并已指定组对象是强制的（不许替代），那么组策略对象所包含的策略设置就会应用于该域中的所有 ou；层次较低的容器 (ou) 将无法替代此域的组策略，一般用于安全设置。也可阻止从父 active directory 容器继承组策略。但是，不许替代（强制继承）策略选项始终比阻止继承策略选项优先。 处理“环回”策略设置的策略选项：默认的设置使计算机策略优先于用户策略起作用，但有时必须要优先实施用户策略，组策略的环回功能使管理员能够实现这一设置。主要用在软件安装这一类的策略上。 低速链接处理的选项：许多用户，如使用便携式计算机的用户、远离建筑物或在分部工作的用户，有时会用低速连接至网络。可对组策略进行配置，使部分策略不能生效，以减少网络开销。这些组策略设置包括： 软件安装与维护 脚本 磁盘配额 ip 安全 dfs 故障恢复策略 internet explorer 维护 周期刷新选项：可指定定时地处理组策略。默认情况下，dc计算机策略每 5 分钟刷新一次，而成员服务器和客户计算机每 90 分钟刷新一次，并带有 30 分钟的随机偏移量。可根据需要改变此刷新频率。、硬件设备选型建议为实现windows 2003 ad系统的部署实施，建议至少配置两台服务器： windows 2003 ad主域控制器：1台，同时兼作dns、dhcp、wins服务器； windows 2003 ad备份域控制器：1台，同时兼作dns、wins服务器；上述服务器硬件配置建议如下： 2颗p4 3.0ghz 以上cpu。 2gb以上内存。 73gb scsi硬盘：建议使用2个硬盘，实施镜像（raid-1）；或者3个以上的硬盘，实施raid-5。、示例 需要建立双域结构，其中一台做额外域控制器，增强冗余备份。 网络服务器全部采用微软的windows server 2003，客户端全部采用主流的windows xp系统。 建议贵公司的域名为jjj.com。用户的所有计算机（服务器和客户机）全部加入到域，用户实现单一登录和管理员通过域组策略实现安全及桌面管理。 为了集中管理，因在域中建立各个部门的ou，其次建立全局组，将ou里的所以用户加入对应的ou中，其次将所有ou中的全局组加入到本地域组里，并对本地域组赋予权限，也就是采用agdlp规则。如下图：示例：财务部部门主管贾俊杰 登录名：jiajunjie 全名：贾俊杰 描述：财务部主管 初始密码：1qaz2wsx 建立位置：财务组织单元 所属本地安全组：caiwubu 所属全局组(global group)：all group、windows客户端的分析与设计 客户端计算机采用相同的主流的windows xp professional操作系统。 原有设备中5台配有10/100mbps全双工自适应网络接口卡的台式机分配给技术开放部员工使用，5台配有10mbps半双工网络接口卡的台式机分配给市场销售部员工使用，两台带有10/100mbps全双工自适应网络接口卡的笔记本分配给销售部主管和市场部主管使用。其余办公单位均采购新的计算机，所有计算机应该配置10/100mbps自适应全双工网络接口卡。、防病毒服务器的分析与设计 为了增加系统的安全系，整个系统采用symantec antivirus企业版的防病毒软件，可以为企业范围内的工作站和网络服务器提供可伸缩的跨平台的病毒防护。 选择副域控制器做防病毒服务器。 防病毒服务器上能够实现给客户端自动安装防病毒客户端，并且能够实时扫描。三、方案实施相关问题解答3.1、活动目录优势、计算机工作组管理和ad管理比较对于基于microsoft windows操作系统的计算机运行和管理在两种模式下：工作组(workgroup)和域(domain)。在工作组模式下，计算机处于一个孤立状态，使用计算机的用户登录帐号和计算机的管理均须在每台计算机上创建或进行。见下图。 当计算机超过20台以上时，计算机的管理变得越来越困难，并且要为用户创建越来越多的访问网络资源的帐号，用户要记住多个访问不同资源的帐号。而在域的模式下，用户只需记住一个域帐号，即可登录访问域中的资源。并且管理员通过组策略，可以轻松配置用户的桌面工作环境和加强计算机安全设置。域模式下所有的域帐号保存在域控制器的活动目录数据库中。见下图。 、为什么要提供目录服务?对更加强大、透明且高度集成的目录服务的不断需求是由爆炸性增长的网络计算所导致的。随着局域网（lan）、广域网（wan）规模与复杂性的不断提高和这些网络不断被连入internet，以及应用程序对网络的依赖程度不断增强并不断被链接到协作企业网中的其它系统上，对目录服务的需求也日渐增多。基于下列原因，目录服务成为扩展的计算机系统中最重要的部件之一： l简化管理 提供对用户、应用程序和设备的单一、一致性的管理点。 l加强安全性 向用户提供单一的网络资源登录，为管理员提供强大、一致性的工具以使他们能够管理为内部台式机用户、远程拨号用户以及外部电子商务客户提供的安全服务。 l扩展的互操作性 向所有活动目录特性提供基于标准的存取方式以及对通用目录的同步支持。目录服务兼任管理工具和用户工具。随着网络中对象数量的增加，目录服务变得必不可少。目录服务在一个庞大的分布式系统中发挥着网络集线器的作用。致力于这些需求，windows 2000 服务器版引入了活动目录-即一套用于改进windows网络操作系统管理、安全性和互操作性的完整的目录服务集。下图描述了活动目录带来的计算机安全和管理上的一些最重要的好处。 、ad简化了计算机系统管理 分布式系统常常导致时间的消耗和管理的冗余。当公司在他们的基础结构上添加应用程序并雇用新的职员时，他们需要适当地向各桌面系统分发软件并管理多个应用程序目录。通过在单一的位置管理用户、组和网络资源以及分发软件和管理桌面系统配置，活动目录可以显著降低公司的管理费用。例如，活动目录在同一个位置管理windows用户和microsoft exchange邮箱信息。基于下列原因，活动目录可以从以下方面帮助公司简化管理： l消除冗余管理任务 提供对windows用户账号、客户、服务器和应用程序以及现存目录同步能力进行单一点管理。 l降低桌面系统的行程 针对用户在公司中所担当的角色自动向其分发软件，以减少或消除系统管理员为软件安装和配置而安排的多次行程。 l更好的实现it资源的最大化 安全地将管理功能分派到组织机构的所有层次上。 l降低总体拥有成本（tco） 通过使网络资源容易被定位、配置和使用来简化对文件和打印服务的管理和使用。、加强安全性强大且一致的安全服务对企业网络而言是必不可少的。管理用户验证和访问控制的工作往往单调乏味且容易出错。活动目录集中进行管理并加强了与组织机构的商业过程一致、且基于角色的安全性。例如，对多身份验证协议（如kerberos，x.509认证以及由灵活的访问控制模型组成的智能卡）的支持实现了对于内部桌面系统用户、远程拨号用户和外部电子商务客户强大且一致的安全服务。活动目录使用以下方法增强安全性： 改进了密码的安全性和管理 通过向网络资源提供单一的集成、高性能且对终端用户透明的安全服务。 保证桌面系统的功能性 通过根据终端用户角色锁定桌面系统配置来防止对特定客户主机操作进行访问，例如软件安装或注册项编辑。 加速电子商务的部署 通过提供对安全的internet标准协议和身份验证机制的内建支持，如kerberos, 公开密钥基础设施（pki）和安全套接字协议层（ssl）之上的轻便目录访问协议（ldap）。 紧密的控制安全性 通过对目录对象和构成他们的单独数据元素设置访问控制特权。3.2、重要组策略介绍、软件分发策略通过组策略可以为域中的计算机或用户自动分发带有msi包的软件。见下图。 、将用户的个人数据从pc机上重定向到服务器上重定向有利于数据的安全以及集中备份。见下图。 、安全类组策略、密码策略“强制密码历史”设置确定在重用旧密码之前必须与用户帐户相关的唯一新密码的数量。配置“密码最长使用期限”设置，以便密码在环境需要时过期。“密码最短使用期限”设置确定了用户更改密码之前必须使用密码的天数。“最短密码长度”设置确保密码至少包含指定数量的字符。“密码必须符合复杂性要求策略”选项检查所有新密码以确保它们符合强密码的基本要求。 、账号锁定策略帐户锁定策略是一项 windows server 2003 安全功能，它在指定时间段内多次登录尝试失败后锁定用户帐户。允许的尝试次数和时间段是由为安全策略锁定设置配置的值决定的。用户不能登录到锁定的帐户。“帐户锁定时间”设置确定在未锁定帐户且用户可以尝试再次登录之前所必须经历的时间长度“帐户锁定阈值”设置确定用户在帐户锁定之前可以尝试登录帐户的次数。“复位帐户锁定计数器”设置决定了“帐户锁定阈值”复位为 0 以及帐户被解锁之前所必须经过的时间长度。 、禁用本地管理员帐号默认情况下，每台加入到域中的计算机都有administrator和guest两个帐号，administrator帐号在安装时口令为空。用户使用这个帐号权限过大，因此一般不会给用户使用这个管理员帐号，最好的做法就是通过组策略禁用这个帐号，用户使用域的帐号。