域管控解决方案

1、域管控方案说明第1页目录活动目录结构规划活动目录实施计划分企业加域方案电脑加域后问题0203040506资源需求活动目录介绍01第2页01活动目录介绍第3页 活动目录AD是Windows Server网络体系结构中一个基本且不可分割部分，它为计算机用户、管理员和应用程序提供了一套分布式网络环境。活动目录使得组织机构能够有效地对相关网络资源和用户信息进行共享和管理。另外，活动目录在网络安全方面也饰演着中心授权机构角色，从而使操作系统能够轻松地验证用户身份并控制其对网络资源访问。同时，它也帮助组织机构经过使用基于Windows应用程序和与Windows相兼容设备对非Windows系统进行集成，从而

2、实现巩固目录服务并简化对整个网络操作系统管理。活动目录介绍AD介绍第4页活动目录介绍现实状况和问题 企业网络中计算机默认处于工作组（WorkGroup）网络模式，工作组网络是一个对等网络，网络中计算机地位平等，计算机之间互不干扰，正因为工作组是一个对等网络，所以它存在以下问题。管理分散？资源共享和账号管理分散，全部设置都要在计算机当地进行设置，无法统一管理“人机”不分若要登陆到计算机必须先创建账号数据安全性较差只要能登陆到计算机，就能查看、修改，甚至删除他人文件安全策略不统一计算机安全策略必须在每台计算机当地设置补丁更新不能控制第5页活动目录介绍域网络优势集中管理各类网络资源和账号资源安全性加

3、强，权限管理更明确账户漫游和文件夹重定向方便用户使用各种共享资源SMS（System Management Server）系统管理服务微软系（MS） 软件方便集成第6页项目工作组网络域网络登陆当地账号，当地登陆当地账号和域账号均可登陆，域账号由DC控制器统一验证，域账号可登陆任何一台域内计算机账号当地创建，当地修改统一创建和修改，且密码安全性更高桌面环境本机单独配置统一配置，可提升企业形象权限本机权限集中管理，分组授权分组修改网络资源访问多人共用一个账号或者为每个人单独创建访问账号，需要屡次身份验证域账号单一验证，只需把账号加入不一样权限分组网络连接性能高较低安全管理设置简单，只需要在本机设置

4、，但若主机太多，无法统一管理设置较复杂，在服务器上设置统一安全策略，再下发到客户机上，不需要在客户机上单独设置数据安全安全性低，只要能登陆主机就能查看，修改，删除其它人文件安全性高，文件全部者拥有对文件绝对控制权，其它人不能访问单一登陆无法实现能够实现组策略无法实现不一样分组，不一样部门实施不一样安全策略活动目录介绍域网络和工作组网络对比第7页02活动目录结构规划第8页活动目录结构规划基于对站点安全和稳定性要求，计划在总企业机房架设两台域控制器，互为主备，主要用于全企业内账号服务管理。依据企业情况，采取单域模式站点：XXX企业功效级别：Windows Server r2域名：（待定）域结构设计

5、第9页活动目录结构规划域网络拓扑Server角色1、AD：DC1为主域控制器，DC2为辅控制器并与DC同步2、DNS：DC1与DC2均安装DNS服务，DC2与DC1同步3、WINS：DC1与DC2均安装WINS服务，并设置为复制搭档4、DHCP：可认为客户端分配IP地址（可选服务）第10页OU也称为组织单元，是一个容器对象，用于管理域中对象。能够在域中创建组织单位层次结构，组织单位可包含用户、组、计算机、打印机，共享文件夹以及其它组织单位，它能够反应企业内部组织结构。对OU结构做以下规划：活动目录结构规划OU结构设计第11页活动目录结构规划策略设计组策略是管理员为用户和计算机定义并控制程序、网

6、络资源及操作系统行为主要工具。经过使用组策略能够设置各种软件、计算机和用户策略。经过设置策略能更加好地满足企业系统安全、网络安全、数据保护及个性化等需求。策略含有以下功效：账户安全设定权限分配设定安全性脚本设定工作环境设定第12页活动目录结构规划基本策略设计项目序号内容备注账号标准1.1取消用户当地账号权限，用户必须使用域账号登录1.2用户计算机密码长度最少8位且符合复杂性要求。1.3用户域账号密码使用期限为90天且提前7天前提醒变更天数可按求调整1.4用户域账号锁定阀值为5次，锁定时间为30分钟1.5定时变更用户计算机administrator账号密码1.6禁用用户计算机Guest账号桌面管

7、理2.1域计算机统一桌面背景2.2域计算机统一开始菜单样式IE设定3.1禁止变更Proxy设定依据用户需求设定3.2禁用Internet连接向导依据用户需求设定3.3禁用IE更改主页设置依据用户需求设定3.4禁止变更IE安全性设定依据用户需求设定信息安全设定4.1禁用USB存放设备特殊需求申请开通4.2禁止访问网络连接属性。管理员群组例外4.3开启远程桌面连接4.4统一配置WindowsUpdate设定4.5禁止安装软件管理员群组例外4.6禁止用户建立共享管理员群组例外4.7屏幕保护启用密码保护4.8禁止特定软件运行电源节能设定5.1定时启用屏幕保护功效第13页活动目录结构规划数据同时在一个完

8、整域网络中，是存在多台域控制器，Active Directory数据存放在域控制器内，当一台域控制器Active Directory数据发生变动，这个变动数据会被自动复制到其它域控制器Active Directory内。Active Directory数据复制主要有两种方式：1、多主机模式。域控制器之间相互复制，当有数据变更时，能够在任意一台控制器上进行操作，数据变更后会自动复制到其它控制器。AD内大部分数据复制都是这种模式。2、单主机模式。单主机模式下，当提出变更对象数据要求时，有其中一台域控制器(操作主机)负责接收和处理，然后再由“操作主机”复制到其它域控制器。AD内少部分数据复制是这种模

9、式。 第14页活动目录结构规划容灾和备份Active Directory域服务(ADDS)是Windows基础结构中针对关键任务组件。假如ActiveDirectory出现故障，网络实际就瓦解了。所以，ActiveDirectory备份和恢复计划是安全性、业务连续性基础。备份策略：使用WindowsServerbackup对DomainController活动目录进行定时备份。容灾策略：ActiveDirectory环境配置多台DomainController，提供冗余环境。第15页03活动目录实施计划第16页活动目录实施计划实施计划步骤步骤描述计划时间容错步骤1域名确定0.5天2准备硬件设备

10、0.5天3在两台主备域控服务器上安装Windows server R2系统，升级到最新版本1-2天4在主域控制服务器上安装AD、DNS、DHCP、WINS角色1天5将额外域控制器服务器加入域中0.5天DNS配置6在额外域控服务器上安装AD、DNS、DHCP、WINS角色，实现与主域控制服务器冗余1天DNS配置7确定并建立OU组织架构1天8基本域控策略规划1-2天9客户端加入域测试DNS配置10创建用户账号1天11总企业客户端加入域DNS配置12完善域控策略13分企业客户端加入域DNS配置14权限委派第17页活动目录实施计划待处理问题确定域名确定OU结构权限分配（用户权限，域控权限）客户端计算机

11、名规则客户端系统标准化客户端防病毒软件第18页04分企业加域第19页分企业加域方案设计一在各分企业增加域控站点，分企业客户端登陆验证服务优先由站点提供，站点和总企业域控制器进行数据复制。此方案网络利用率更高，即使分企业和总企业之间网络断开，只要分企业内部网络正常，站点依然可认为分企业客户端提供验证服务。待和总企业网络恢复后，站点再和总企业域控制器进行数据复制。域拓扑结构以下：第20页分企业加域方案设计二分企业客户端由总企业统一管控，总企业有两台控制器（主和备），总企业客户端首选DNS为主域控，分企业客户端首选DNS为备域控。此方案对网络需求较第一个方案要高，因为分企业客户端直接和总企业域控制器

12、进行通信，一旦出现网络故障，域控制器无法为分企业客户端提供验证服务。域拓扑结构以下：第21页分企业加域方案对比内容方案一方案二验证服务优先站点控制器验证总部域控制器验证网络需求较高，客户端优先和站点通讯，站点和总部通讯很高，客户端直接和总部通讯成本控制成本增加，需要各分企业分别增加服务器总部有服务器即可第22页PPT模板下载：/moban/ 行业PPT模板：/hangye/ 节日PPT模板：/jieri/ PPT素材下载：/sucai/PPT背景图片：/beijing/ PPT图表下载：/tubiao/ 优秀 Word教程： /word/ Excel教程：/excel/ PPT课件下载：/ke

13、jian/ 字体下载：/ziti/ 05加域后问题处理第23页加域后问题处理常见问题把计算机从工作组模式换成域网络模式，用户在首次登陆计算机时可能会出现一些问题，主要包含以下几点：部分软件不能使用 有些软件在安装时，会针对当前登陆用户创建用户配置，还有些 软件必须是管理员身份才能运行。当更换到域用户后配置不在生 效，默认域用户也不是管理员，所以软件无法运行。 处理方法：使用域账户重新安装软件，把域账户加入到管理员组。用户桌面环境发生改变 因为更换了账户，所以桌面环境会发生改变，主要包含以下内容 桌面上放置资料、“我文档”内资料、配置好网络打印 机、IE里设置好“网站收藏夹”等。 处理方法：备份

14、老账号内个人文件拷贝到新账号内，重新连 接打印机。第24页加域后问题处理常见问题电脑脱离域网络怎样使用1.账号在首次登陆任何一台已加域电脑时，需要确保此台电脑在与网络环境中才能验证登陆成功，在首次登陆成功后在计算机当地会生成账户配置，以后登陆即使脱离网络也是能够登陆。2.创建当地备用账号，在非域网络环境下使用当地账号登陆电脑。不过当地账号没有权限访问域账号文件(管理员能够更改访问权限)，需要用户提前将相关文件拷贝到公共区。第25页PPT模板下载：/moban/ 行业PPT模板：/hangye/ 节日PPT模板：/jieri/ PPT素材下载：/sucai/PPT背景图片：/beijing/ PPT图表下载：/tubiao/ 优秀 Word教程： /word/ Excel教程：/excel/ PPT课件下载：/kejian/ 字体下载：/ziti/ 06资源需求第26页资源需求分企业电脑统一由总司管控硬件需求软件需求系统型号版本语言参考价需求数量参考总价用途windows server R2标准版汉字450029000域控服务器Windows 10企业版汉字1400250350000办公终端359000品牌型号类型描述参考价需求数量参考总价参考起源用途虚拟机虚拟机虚拟机4G内存/60G硬盘-2-总企业域控服务器第27页资源需求硬件需求软件需求系