域管控方案汇编

1、目录活 动 目 录 结 构 规 划活 动 目 录 实 施 计 划分公司加域方案电脑加域后问题资源需求活动目录介绍01 活动目录AD是Windows Server网络体系结构中一个基本且不可分割的部分，它为计算机用户、管理员和应用程序提供了一套分布式网络环境。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外，活动目录在网络安全方面也扮演着中心授权机构的角色，从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同时，它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成，从而实现巩固目录服务并简化对整个

2、网络操作系统的管理。AD介绍现状和问题 企业网络中计算机默认处于工作组（WorkGroup）网络模式，工作组网络是一种对等网络，网络中的计算机地位平等，计算机之间互不干扰，正因为工作组是一种对等网络，所以它存在以下问题。管理分散资源共享和账号管理分散，所有的设置都要在计算机本地进行设置，无法统一管理“人机”不分若要登陆到计算机必须先创建账号数据安全性较差只要能登陆到计算机，就能查看、修改，甚至删除他人文件安全策略不统一计算机的安全策略必须在每台计算机本地设置补丁更新不能控制域网络优势 集中管理各类网络资源和账号资源 安全性加强，权限管理更明确 账户漫游和文件夹重定向 方便用户使用各种共享资源

3、SMSSMS（System Management ServerSystem Management Server）系统管理服务 微软系（MSMS） 软件方便集成项目工作组网络域网络登陆本地账号，本地登陆本地账号和域账号均可登陆，域账号由DC控制器统一验证，域账号可登陆任何一台域内计算机账号本地创建，本地修改统一创建和修改，且密码安全性更高桌面环境本机单独配置统一配置，可提升企业形象权限本机权限集中管理，分组授权分组修改网络资源访问多人共用一个账号或者为每个人单独创建访问账号，需要多次身份验证域账号单一验证，只需把账号加入不同权限分组网络连接性能高较低安全管理设置简单，只需要在本机设置，但若主机太

4、多，无法统一管理设置较复杂，在服务器上设置统一的安全策略，再下发到客户机上，不需要在客户机上单独设置数据安全安全性低，只要能登陆主机就能查看，修改，删除其他人文件安全性高，文件所有者拥有对文件的绝对控制权，其他人不能访问单一登陆无法实现可以实现组策略无法实现不同分组，不同部门实行不同的安全策略域网络和工作组网络对比02基于对站点的安全和稳定性要求，计划在总公司机房架设两台域控制器，互为主备，主要用于全公司内的账号服务管理。根据公司情况，采用单域模式站点：XXX公司功能级别：Windows Server 2012 r2域名：（待定）域结构设计域网络拓扑Server角色1、AD：DC1为主域控制器

5、，DC2为辅控制器并与DC同步2、DNS：DC1与DC2均安装DNS服务，DC2与DC1同步3、WINS：DC1与DC2均安装WINS服务，并设置为复制伙伴4、DHCP：可以为客户端分配IP地址（可选服务）OU也称为组织单元，是一个容器对象，用于管理域中的对象。可以在域中创建组织单位的层次结构，组织单位可包含用户、组、计算机、打印机，共享文件夹以及其他组织单位，它能够反映企业内部的组织结构。对OU结构做如下规划：OU结构设计策略设计组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。通过设置策略能更好地满足企业的系统安

6、全、网络安全、数据保护及个性化等需求。策略具有如下功能： 账户安全设定 权限分配设定 安全性脚本设定 工作环境设定基本策略设计项目序号内容备注账号原则1.1取消用户本地账号的权限，用户必须使用域账号登录1.2用户计算机密码长度至少8位且符合复杂性要求。1.3用户域账号密码有效期限为90天且提前7天前提示变更天数可按求调整1.4用户域账号锁定阀值为5次，锁定时间为30分钟1.5定期变更用户计算机administrator账号密码1.6禁用用户计算机Guest账号桌面管理2.1域计算机统一桌面背景2.2域计算机统一开始菜单样式IE设定3.1禁止变更Proxy设定根据用户需求设定3.2禁用Inter

7、net连接向导根据用户需求设定3.3禁用IE更改主页设置根据用户需求设定3.4禁止变更IE安全性设定根据用户需求设定信息安全设定4.1禁用USB存储设备特殊需求申请开通4.2禁止访问网络连接的属性。管理员群组例外4.3开启远程桌面连接4.4统一配置Windows Update设定4.5禁止安装软件管理员群组例外4.6禁止用户建立共享管理员群组例外4.7屏幕保护启用密码保护4.8禁止特定软件运行电源节能设定5.1定时启用屏幕保护功能数据同步在一个完整的域网络中，是存在多台域控制器的，Active Directory数据存储在域控制器内，当一台域控制器的Active Directory数据发生变动

8、，这个变动的数据会被自动复制到其他域控制器的Active Directory内。Active Directory数据复制主要有两种方式：1、多主机模式。域控制器之间互相复制，当有数据变更时，可以在任意一台控制器上进行操作，数据变更后会自动复制到其他控制器。AD内的大部分数据复制都是这种模式。2、单主机模式。单主机模式下，当提出变更对象数据的要求时，有其中一台域控制器(操作主机)负责接受和处理，然后再由“操作主机”复制到其他的域控制器。AD内少部分数据复制是这种模式。 容灾和备份Active Directory域服务(ADDS)是Windows基础结构中针对关键任务的组件。如果Active Di

9、rectory出现故障，网络实际就崩溃了。因此，Active Directory的备份和恢复计划是安全性、业务连续性的基础。 备份策略：使用Windows Server backup对Domain Controller活动目录进行定期备份。容灾策略：Active Directory环境配置多台Domain Controller，提供冗余环境。03实施计划步骤步骤步骤描述步骤描述计划时间计划时间容错步骤容错步骤1 1域名确定0.5天2 2准备硬件设备0.5天3 3在两台主备域控服务器上安装Windows server 2012 R2系统，升级到最新版本1-2天4 4在主域控制服务器上安装AD、D

10、NS、DHCP、WINS角色1天5 5将额外域控制器服务器加入域中0.5天DNS配置6 6在额外域控服务器上安装AD、DNS、DHCP、WINS角色，实现与主域控制服务器的冗余1天DNS配置7 7确定并建立OU组织架构1天8 8基本域控策略规划1-2天9 9客户端加入域测试DNS配置1010创建用户账号1天1111总公司客户端加入域DNS配置1212完善域控策略1313分公司客户端加入域DNS配置1414权限委派待解决问题 确定域名 确定OU结构 权限分配（用户权限，域控权限） 客户端计算机名规则 客户端系统标准化 客户端防病毒软件04方案设计一在各分公司增加域控站点，分公司客户端的登陆验证服

11、务优先由站点提供，站点和总公司域控制器进行数据复制。此方案的网络利用率更高，即使分公司和总公司之间网络断开，只要分公司内部网络正常，站点依然可以为分公司客户端提供验证服务。待和总公司网络恢复后，站点再和总公司域控制器进行数据复制。域拓扑结构如下：方案设计二分公司客户端由总公司统一管控，总公司有两台控制器（主和备），总公司客户端首选DNS为主域控，分公司客户端首选DNS为备域控。此方案对网络需求较第一种方案要高，因为分公司的客户端直接和总公司域控制器进行通信，一旦出现网络故障，域控制器无法为分公司客户端提供验证服务。域拓扑结构如下：方案对比内容方案一方案二验证服务 优先站点控制器验证总部域控制器

12、验证网络需求较高，客户端优先和站点通讯，站点和总部通讯很高，客户端直接和总部通讯成本控制成本增加，需要各分公司分别增加服务器总部有服务器即可PPT模板下载： 行业PPT模板： 节日PPT模板： PPT素材下载： PPT图表下载： 优秀PPT下载： PPT教程： Word教程： Excel教程： 资料下载： PPT课件下载： 范文下载： 试卷下载： 教案下载： 字体下载： 05常见问题把计算机从工作组模式换成域网络模式，用户在首次登陆计算机时可能会出现一些问题，主要包含以下几点： 部分软件不能使用 有些软件在安装时，会针对当前登陆用户创建用户配置，还有些 软件必须是管理员身份才能运行。当更换到域

13、用户后配置不在生 效，默认域用户也不是管理员，所以软件无法运行。 解决方法：使用域账户重新安装软件，把域账户加入到管理员组。 用户桌面环境发生变化 因为更换了账户，所以桌面环境会发生改变，主要包含以下内容 桌面上放置的资料、“我的文档”内的资料、配置好的网络打印 机、IE里设置好的“网站收藏夹”等。 解决方法：备份老账号内的个人文件拷贝到新的账号内，重新连 接打印机。常见问题 电脑脱离域网络如何使用1.账号在首次登陆任何一台已加域电脑时，需要保证此台电脑在与网络环境中才能验证登陆成功，在首次登陆成功后在计算机本地会生成账户配置，以后登陆即使脱离网络也是可以登陆的。2.创建本地备用账号，在非域网

14、络环境下使用本地账号登陆电脑。但是本地账号没有权限访问域账号文件(管理员可以更改访问权限)，需要用户提前将相关文件拷贝到公共区。PPT模板下载： 行业PPT模板： 节日PPT模板： PPT素材下载： PPT图表下载： 优秀PPT下载： PPT教程： Word教程： Excel教程： 资料下载： PPT课件下载： 范文下载： 试卷下载： 教案下载： 字体下载： 06分公司电脑统一由总司管控硬件需求软件需求系统型号版本语言参考价需求数量参考总价用途windows server windows server 2012 R22012 R2标准版中文450029000域控服务器Windows 10Windows 10企业版中文1400250350000办公终端359000品牌型号类型描述参考价 需求数量 参考总价 参考来源用途虚拟机 虚拟机虚拟机 4G内存/60G硬盘-2-总公司域控服务器硬件需求软件需求系统型号版本语言参考价需求数量参考总价用途windows serv