企业AD域架构解决方案

1、IMicrosoft*-*WindowsServerSystem公司 WindowsAD 域架构设计方案XX 有限公司部署WindowsAD域2014-08公 司项 目时间前言 31.1 企业 IT 面临的挑战 31.2 AD 域架构的应用给企业管理带来的优势 41.3 域架构设计原则 4.公司域架构规划 5域架构部署规划 5通过 OU、GPO 和用户组实现域安全的管理 6一前言由于 WindowsWindows 网络系统架构在企业应用中的普及，企业会面临大量客户端及服务器的统一安全管理；ADAD 域的规划架构需要根据企业现有的网络规模布局和 ITIT 管理制度，以适应企业当前和长远的发展需求

2、，有效地保护用户的资料，减少用户的风险。针对整个公司的域架构规划和实施，前期需要先完成企业域规划及部署；实现公司统一的目录服务管理，统一的企业用户信息、安全策略。WindowsWindows 网络架构客户端默认均属于工作组的办公环境，所有的用户账号均保存在本地客户端上，网络共享数据时只能允许所有人 everyoneeveryone 查看的权限，数据共享及网络安全存在较多的风险。WindowsWindows 域架构管理模式可以解决众多网络安全性问题，域环境下可以轻易实现网络用户账号的集中管理，规范客户端密码长度和复杂性；在域环境下，可以实现所有客户端系统的补丁自动更新，有效提高服务器及桌面系统的

3、安全性。在 WindowsADWindowsAD 域的办公环境下，并不会太多改变原有的客户端工作组下的办公习惯；域账号登陆默认缓存功能，用户离开公司网络，同样可以使用域用户账号在本机登陆，不会改变原有工作组的工作习惯。另外企业应用系统中，很多应用系统是基于微软的 ADAD 架构，如 MSClusterMSCluster 集群高可用系统、ExchangeExchange 邮件系统、OCSOCS 及时通讯系统、MOSSkMOSSk 业门户网站协作系统等等；所以 ADAD 域的架构管理不但可以方便企业内部安全管理，还为以后的企业应用扩展提供了系统基础。工作组环境下企业 IT 面临的挑战身份管理大量的

4、用户登录名和目录不牢固的密码安全访问网络和应用资源增加的桌面系统维护费用服务器和桌面电脑管理如何统一管理服务器和桌面系统安全策略如何统一管理桌面系统的应用如何保持所有系统安全补丁升级到最新AD 域架构的应用给企业管理带来的优势提高 ITIT 运行效率WindowsWindows 的管理效率提高 30%30%集中管理服务器和桌面系统减少目录帐户和密码的数量对用户实施权限管理划分不同级别的权限来进行用户管理限制低级别用户访问高级别用户的相关资源拒绝未经授权的用户访问域内资源增强的网络安全强制用户使用复杂的密码通过域的安全边界，实现域内资源的保护，增强企业网络的安全性通过域的安全更新策略，实现 MS

5、WSUMSWSU 斑一更新域内的所有计算机客户端的系统安全补丁通过对域内资源的权限设置和统一安全策略的制定，减少安全隐患的产生单一管理对网络资源的访问提高信息工作者生产力快速找到需要的各种资源；实现单点登录能提高员工的协作能力域架构设计原则在进行总体框架设计时，考虑到公司的现有网络架构及公司管理体系，微软在 ADAD 域设计方面推荐遵循以下原则：稳定性在系统结构设计上要充分考虑到系统运行的稳定性。系统平台方面要考虑各种系统配置对稳定性的影响，系统必须经过严格的测试，包括功能测试、在各种系统环境或系统配置上的测试等，确保系统在多种设备环境上能够稳定运行。必要时，可以建立管理中心，通过远程管理、监

6、控手段与本地系统管理相结合的方式，保证系统的稳定、可靠。易管理系统平台的管理要尽量简单，尽量少地使用户涉及到系统平台的管理工作，必要的管理任务也要提供相应的培训、帮助资料甚至操作引导界面来帮助用户顺利地完成工作。 信息交换系统的管理在设计时也要考虑到易管理性方面的要求，通过操作引导界面辅助用户完成所需的数据交换的管理工作。易维护系统的结构设计要易于维护，组成系统的功能元素要具有一定的独立性，可以根据用户的需要进行替换而不影响或很少影响其他功能元素，并能够与其他功能元素协作共同完成用户的功能。易扩展系统无论是在业务功能上，还是在信息的交换规范上都应当易于扩展，以便适应今后业务的发展。易用性系统的

7、操作应尽量简单，对操作提示、错误报告、监控信息反馈等要全面、详细，真正做到易学、易用、易培训。安全性使用系统平台的相关安全设置以及应用系统的安全性实现， 实现整个系统的安全性。 确保系统不被非授权用户侵入，数据不丢失，确认发送者和接收者的身份，保证传输数据不被非法获取、篡改等。统一性各级系统的建设要遵循统一的要求进行，在平台、应用系统、应用策略、安全管理等方面保持一致，提供统一的用户体验，保证系统内部数据传输服务的可靠性。二.公司域架构规划域架构部署规划域结构设计是活动目录中最重要，它既要尽可能贴近用户的管理模式和组织结构，也要考虑网络情况及今后的各种变化。我们依据微软活动目录结构的设计原则，

8、用最简单的结构来满足客户的管理需求。在域的管理架构 OUOU 组织单位设计上基于公司的管理模式而不是公司的组织结构图。以下是单域结构相对于其他结构的优点：集中管理整个公司的安全策略。集中管理整个公司的组策略。完全利用组织单元反映公司的管理结构。当公司机构重组时可以非常灵活的进行调整。当资源和用户需要在组织机构内迁移时可以非常灵活的调整。相对其它方案，可以使用较少的域控制器。简单的名字空间设计-只需要 1 1 个 DNSDNS 名字后缀. .用户在查找 ADAD 内的信息时相对简单。单一的组策略更容易实施。单域模型是首选的模型：用户永远不需要在多个域之间移动。不需要跨越多个域的重复组策略设置。整

9、个企业内实施统一的安全规范；任何域控制器都可以处理任何用户处理的身份验证。公司的整个域架构采用单域模式，部署一台 ADAD 域服务器，实现对所有用户信息的统一管理和身份的验证。活动目录的建设目标是，更新目前客户使用的活动目录，为全公司的工作人员提供统一的目录服务。使得活动目录可以达到如下的目标：将企业的安全性集成到 ActiveDirectoryActiveDirectory 中，基于策略的管理模式减轻了最为复杂的企业网络管理。企业 ITIT 可管理整个网络中的服务器及客户端访问资源，只有获得授权的网络用户可访问网络上指定的资源。管理架构的设计及进行企业管理策略的分配。在 OUOU 组织单位设

10、计上我们基于公司的管理模式而不按通过 OUGPO 和用户组实现域安全的管理企业的 ADAD 域架构及服务器部署完成以后，在域管理上，我们利用域的组织单元 OUOU 进行企业照公司的组织结构进行设置。OUOU 组织单元的设计将遵循的原则：反映企业内部的组织结构反映企业机密程度需求有利于通过组策略进行细化的终端管理OUOU 作为域的基本管理单元，在域内，管理员可以按照不同的 OUOU 组织单元运用不同级别的组策略安全设置。通过组策略应用的安全更改类型包括：修改文件系统的权限。修改注册表对象的权限。更改注册表中的设置。更改用户权限分配。配置系统服务。配置审核和事件日志。设置帐户和密码策略。配置桌面系统环境等等在域内我们可以方便的利用域用户、用户组设置公司文件服务器的访问权限控制，以及控制网络共享文件夹的磁盘配额和文件存储类型。用户组作为域中具有相同权限用户的集合，我们可以简化文件访问权限的设定和管理。为确保只有授权用户可以访问企业文件夹中的数据，我们可以针对文件夹进行权限设置。共享权限仅应用于通过网络访问资源的用户。 安全权限应用于本地访问文件夹的权限； 两者共同设定取两者最严格的权限。 通过共享权限设定如下：共享权限注