AD域控規(guī)劃方案

1、作者：Pan Hon glia ng僅供個(gè)人學(xué)習(xí)活動(dòng)目錄AD規(guī)劃方案1.1. 活動(dòng)目錄介紹活動(dòng)目錄是 Windows網(wǎng)絡(luò)體系結(jié)構(gòu)中一個(gè)基本且不可分割的部分，它為網(wǎng) 絡(luò)的用戶(hù)、管理員和應(yīng)用程序提供了一套分布式網(wǎng)絡(luò)環(huán)境設(shè)計(jì)的目錄服務(wù)?；顒?dòng)目錄使得組織機(jī)構(gòu)可以有效地對(duì)有關(guān)網(wǎng)絡(luò)資源和用戶(hù)的信息進(jìn)行共享和管理。另外，目錄服務(wù)在網(wǎng)絡(luò)安全方面也扮演著中心授權(quán)機(jī)構(gòu)的角色，從而使操作系統(tǒng)可以輕松地驗(yàn)證用戶(hù)身份并控制其對(duì)網(wǎng)絡(luò)資源的訪(fǎng)問(wèn)。同等重要的是，活動(dòng)目錄還擔(dān)當(dāng)著系統(tǒng)集成和鞏固管理任務(wù)的集合點(diǎn)?；顒?dòng)目錄提供了對(duì)基于 Windows的用戶(hù)賬號(hào)、客戶(hù)、服務(wù)器和應(yīng)用程序進(jìn) 行管理的唯一點(diǎn)。同時(shí)，它也幫助組織機(jī)構(gòu)通過(guò)使

2、用基于Windows的應(yīng)用程序和與Windows相兼容的設(shè)備對(duì)非 Windows系統(tǒng)進(jìn)行集成，從而實(shí)現(xiàn)鞏固目錄服 務(wù)并簡(jiǎn)化對(duì)整個(gè)網(wǎng)絡(luò)操作系統(tǒng)的管理。公司也可以使用活動(dòng)目錄服務(wù)安全地將網(wǎng) 絡(luò)系統(tǒng)擴(kuò)展到In ternet上?；顒?dòng)目錄因此使現(xiàn)有網(wǎng)絡(luò)投資升值，同時(shí)，降低為使 Windows網(wǎng)絡(luò)操作系統(tǒng)更易于管理、更安全、更易于交互所需的全部費(fèi)用?；顒?dòng)目錄是微軟各種應(yīng)用軟件運(yùn)行的必要和基礎(chǔ)的條件。下圖表示出活動(dòng) 目錄成為各種應(yīng)用軟件的中心。1.2. 應(yīng)用 Windows 2012 Server AD 的好處Windows 2012 AD簡(jiǎn)化了管理，加強(qiáng)了安全性，擴(kuò)展了互操作性。它為用 戶(hù)、組、安全服務(wù)及

3、網(wǎng)絡(luò)資源的管理提供了一種集中化的方法。應(yīng)用Windows 2012 AD之后，企業(yè)信息化建設(shè)者和網(wǎng)絡(luò)管理員可以從中獲得如 下好處：1、方便管理，權(quán)限管理比較集中，管理人員可以較好的管理計(jì)算機(jī)資源。2、安全性高，有利于企業(yè)的一些保密資料的管理，比如一個(gè)文件只能讓某一個(gè) 人看,或者指定人員可以看，但不可以刪/改/移等。3、 方便對(duì)用戶(hù)操作進(jìn)行權(quán)限設(shè)置，可以分發(fā)，指派軟件等，實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)的軟件一 起安裝。4、很多服務(wù)必須建立在域環(huán)境中，對(duì)管理員來(lái)說(shuō)有好處：統(tǒng)一管理，方便在MS軟 件方面集成，如ISA EXCHANGE（郵件服務(wù)器）、ISA SERVER（上網(wǎng)的各種設(shè)置與 管理）等。5、使用漫游賬戶(hù)和文

4、件夾重定向技術(shù)，個(gè)人賬戶(hù)的工作文件及數(shù)據(jù)等可以存儲(chǔ) 在服務(wù)器上，統(tǒng)一進(jìn)行備份、管理，用戶(hù)的數(shù)據(jù)更加安全、有保障。6方便用戶(hù)使用各種資源。7、SMS（System Management Serve）能夠分發(fā)應(yīng)用程序、系統(tǒng)補(bǔ)丁等，用戶(hù)可 以選擇安裝，也可以由系統(tǒng)管理員指派自動(dòng)安裝。并能集中管理系統(tǒng)補(bǔ)?。ㄈ?Windows Updates，不需每臺(tái)客戶(hù)端服務(wù)器都下載同樣的補(bǔ)丁，從而節(jié)省大量網(wǎng) 絡(luò)帶寬。8、資源共享用戶(hù)和管理員可以不知道他們所需要的對(duì)象的確切名稱(chēng)，但是他們可能知道這個(gè) 對(duì)象的一個(gè)或多個(gè)屬性，他們可以通過(guò)查找對(duì)象的部分屬性在域中得到一個(gè)所有 已知屬性相匹配的對(duì)象列表，通過(guò)域使得基于一個(gè)或

5、者多個(gè)對(duì)象屬性來(lái)查找一個(gè) 對(duì)象變得可能。9、管理A、域控制器集中管理用戶(hù)對(duì)網(wǎng)絡(luò)的訪(fǎng)問(wèn)，如登錄、驗(yàn)證、訪(fǎng)問(wèn)目錄和共享資 源。為了簡(jiǎn)化管理，所有域中的域控制器都是平等的，你可以在任何域控制器上 進(jìn)行修改，這種更新可以復(fù)制到域中所有的其他域控制器上。B、域的實(shí)施通過(guò)提供對(duì)網(wǎng)絡(luò)上所有對(duì)象的單點(diǎn)管理進(jìn)一步簡(jiǎn)化了管理。因?yàn)?域控制器提供了對(duì)網(wǎng)絡(luò)上所有資源的單點(diǎn)登錄， 管理遠(yuǎn)可以登錄到一臺(tái)計(jì)算機(jī)來(lái) 管理網(wǎng)絡(luò)中任何計(jì)算機(jī)上的管理對(duì)象。在 NT網(wǎng)絡(luò)中，當(dāng)用戶(hù)一次登陸一個(gè)域服 務(wù)器后，就可以訪(fǎng)問(wèn)該域中已經(jīng)開(kāi)放的全部資源，而無(wú)需對(duì)同一域進(jìn)行多次登陸。 但在需要共享不同域中的服務(wù)時(shí)，對(duì)每個(gè)域都必須要登陸一次，否則無(wú)法

6、訪(fǎng)問(wèn)未 登陸域服務(wù)器中的資源或無(wú)法獲得未登陸域的服務(wù)。10、可擴(kuò)展性在活動(dòng)目錄中，目錄通過(guò)將目錄組織成幾個(gè)部分存儲(chǔ)信息從而允許存儲(chǔ)大量的對(duì) 象。因此，目錄可以隨著組織的增長(zhǎng)而一同擴(kuò)展， 允許用戶(hù)從一個(gè)具有幾百個(gè)對(duì) 象的小的安裝環(huán)境發(fā)展成擁有幾百萬(wàn)對(duì)象的大型安裝環(huán)境。11、安全性域?yàn)橛脩?hù)提供了單一的登錄過(guò)程來(lái)訪(fǎng)問(wèn)網(wǎng)絡(luò)資源，如所有他們具有權(quán)限的文件、 打印機(jī)和應(yīng)用程序資源。也就是說(shuō)，用戶(hù)可以登錄到一臺(tái)計(jì)算機(jī)來(lái)使用網(wǎng)絡(luò)上另 外一臺(tái)計(jì)算機(jī)上的資源，只要用戶(hù)具有對(duì)資源的合適權(quán)限。域通過(guò)對(duì)用戶(hù)權(quán)限合 適的劃分，確定了只有對(duì)特定資源有合法權(quán)限的用戶(hù)才能使用該資源，從而保障了資源使用的合法性和安全性。12、可

7、冗余性每個(gè)域控制器保存和維護(hù)目錄的一個(gè)副本。 在域中，你創(chuàng)建的每一個(gè)用戶(hù)帳號(hào)都 會(huì)對(duì)應(yīng)目錄的一個(gè)記錄。當(dāng)用戶(hù)登錄到域中的計(jì)算機(jī)時(shí)，域控制器將按照目錄檢 查用戶(hù)名、口令、登錄限制以驗(yàn)證用戶(hù)。當(dāng)存在多個(gè)域控制器時(shí)，他們會(huì)定期的 相互復(fù)制目錄信息，域控制器間的數(shù)據(jù)復(fù)制，促使用戶(hù)信息發(fā)生改變時(shí)（比如用 戶(hù)修改了口令），可以迅速的復(fù)制到其他的域控制器上，這樣當(dāng)一臺(tái)域控制器出 現(xiàn)故障時(shí)，用戶(hù)仍然可以通過(guò)其他的域控制進(jìn)行登錄，保障了網(wǎng)絡(luò)的順利運(yùn)行。1.3. 明確系統(tǒng)規(guī)劃目標(biāo)企業(yè)的Windows 2012 AD系統(tǒng)規(guī)劃構(gòu)建是為企業(yè)信息化建設(shè)服務(wù)的，需要 達(dá)到以下戰(zhàn)略目標(biāo)：圍繞企業(yè)的戰(zhàn)略發(fā)展需要，進(jìn)行企業(yè)信息化

8、建設(shè)系統(tǒng)規(guī)劃，滿(mǎn)足企業(yè) 3-5年的業(yè)務(wù)發(fā)展對(duì)IT建設(shè)的要求；以業(yè)務(wù)為驅(qū)動(dòng)，通過(guò)有效的信息系統(tǒng)，加強(qiáng)信息共享和協(xié)同辦公，提高 工作效率，降低成本；整合企業(yè)現(xiàn)有信息資產(chǎn)，加強(qiáng)企業(yè)管理與監(jiān)控；從信息中挖掘知識(shí)，提 高經(jīng)營(yíng)決策與駕馭風(fēng)險(xiǎn)的能力；推進(jìn)知識(shí)管理理念，建立知識(shí)型企業(yè)，增強(qiáng)企業(yè)的核心競(jìng)爭(zhēng)力。Windows 2012 AD系統(tǒng)規(guī)劃實(shí)施的具體目標(biāo)如下：規(guī)劃和部署基于 Windows 2012 AD的企業(yè)目錄服務(wù)，首先實(shí)現(xiàn)用戶(hù)的 單一登錄，保障網(wǎng)絡(luò)系統(tǒng)安全；通過(guò)AD實(shí)現(xiàn)用戶(hù)桌面的集中和自動(dòng)管理，分發(fā)軟件補(bǔ)丁；進(jìn)一步部署微軟的相關(guān)應(yīng)用平臺(tái)軟件，如實(shí)現(xiàn)基于Excha nge 2003的企業(yè)內(nèi)部郵件和協(xié)作

9、服務(wù)，1.4. 活動(dòng)目錄設(shè)計(jì)方案為企業(yè)設(shè)計(jì)一個(gè)域，用戶(hù)的所有計(jì)算機(jī)（服務(wù)器和客戶(hù)機(jī)）全部加入到域， 用戶(hù)實(shí)現(xiàn)單一登錄和管理員通過(guò)域組策略實(shí)現(xiàn)安全及桌面管理。AD架構(gòu)拓?fù)淙缦隆?.5. 活動(dòng)目錄優(yōu)勢(shì)1. 計(jì)算機(jī)工作組管理和AD管理比較對(duì)于基于Microsoft Windows操作系統(tǒng)的計(jì)算機(jī)運(yùn)行和管理在兩種模式下： 工作組（workgroup）和域（domai n）。在工作組模式下，計(jì)算機(jī)處于一個(gè)孤立狀態(tài)，使用計(jì)算機(jī)的用戶(hù)登錄帳號(hào)和 計(jì)算機(jī)的管理均須在每臺(tái)計(jì)算機(jī)上創(chuàng)建或進(jìn)行。見(jiàn)下圖。當(dāng)計(jì)算機(jī)超過(guò)20臺(tái)以上時(shí)，計(jì)算機(jī)的管理變得越來(lái)越困難，并且要為用戶(hù) 創(chuàng)建越來(lái)越多的訪(fǎng)問(wèn)網(wǎng)絡(luò)資源的帳號(hào)，用戶(hù)要記住多

10、個(gè)訪(fǎng)問(wèn)不同資源的帳號(hào)。而在域的模式下，用戶(hù)只需記住一個(gè)域帳號(hào)，即可登錄訪(fǎng)問(wèn)域中的資源。并 且管理員通過(guò)組策略，可以輕松配置用戶(hù)的桌面工作環(huán)境和加強(qiáng)計(jì)算機(jī)安全設(shè)置 域模式下所有的域帳號(hào)保存在域控制器的活動(dòng)目錄數(shù)據(jù)庫(kù)中。見(jiàn)下圖。2. 為什么要提供目錄服務(wù)？對(duì)更加強(qiáng)大、透明且高度集成的目錄服務(wù)的不斷需求是由爆炸性增長(zhǎng)的網(wǎng)絡(luò) 計(jì)算所導(dǎo)致的。隨著局域網(wǎng)（LAN ）、廣域網(wǎng)（WAN）規(guī)模與復(fù)雜性的不斷提高 和這些網(wǎng)絡(luò)不斷被連入In ternet，以及應(yīng)用程序?qū)W(wǎng)絡(luò)的依賴(lài)程度不斷增強(qiáng)并不 斷被鏈接到協(xié)作企業(yè)網(wǎng)中的其它系統(tǒng)上，對(duì)目錄服務(wù)的需求也日漸增多。基于下列原因，目錄服務(wù)成為擴(kuò)展的計(jì)算機(jī)系統(tǒng)中最重要的部件

11、之一：簡(jiǎn)化管理 提供對(duì)用戶(hù)、應(yīng)用程序和設(shè)備的單一、一致性的管理點(diǎn)。加強(qiáng)安全性向用戶(hù)提供單一的網(wǎng)絡(luò)資源登錄，為管理員提供強(qiáng)大、一致 性的工具以使他們能夠管理為內(nèi)部臺(tái)式機(jī)用戶(hù)、遠(yuǎn)程撥號(hào)用戶(hù)以及外部 電子商務(wù)客戶(hù)提供的安全服務(wù)。擴(kuò)展的互操作性 向所有活動(dòng)目錄特性提供基于標(biāo)準(zhǔn)的存取方式以及對(duì) 通用目錄的同步支持。目錄服務(wù)兼任管理工具和用戶(hù)工具。隨著網(wǎng)絡(luò)中對(duì)象數(shù)量的增加，目錄服務(wù) 變得必不可少。目錄服務(wù)在一個(gè)龐大的分布式系統(tǒng)中發(fā)揮著網(wǎng)絡(luò)集線(xiàn)器的作用。 致力于這些需求， Windows 2000服務(wù)器版引入了活動(dòng)目錄-即一套用于改進(jìn) Windows網(wǎng)絡(luò)操作系統(tǒng)管理、安全性和互操作性的完整的目錄服務(wù)集。下圖

12、描述了活動(dòng)目錄帶來(lái)的計(jì)算機(jī)安全和管理上的一些最重要的好處。3. AD簡(jiǎn)化了計(jì)算機(jī)系統(tǒng)管理分布式系統(tǒng)常常導(dǎo)致時(shí)間的消耗和管理的冗余。當(dāng)公司在他們的基礎(chǔ)結(jié)構(gòu)上 添加應(yīng)用程序并雇用新的職員時(shí)，他們需要適當(dāng)?shù)叵蚋髯烂嫦到y(tǒng)分發(fā)軟件并管理 多個(gè)應(yīng)用程序目錄。通過(guò)在單一的位置管理用戶(hù)、組和網(wǎng)絡(luò)資源以及分發(fā)軟件和 管理桌面系統(tǒng)配置，活動(dòng)目錄可以顯著降低公司的管理費(fèi)用。例如，活動(dòng)目錄在同一個(gè)位置管理 Windows用戶(hù)和Microsoft Exchange郵箱信息?；谙铝性颍?活動(dòng)目錄可以從以下方面幫助公司簡(jiǎn)化管理：消除冗余管理任務(wù) 提供對(duì)Windows用戶(hù)賬號(hào)、客戶(hù)、服務(wù)器和應(yīng)用程 序以及現(xiàn)存目錄同步能力

13、進(jìn)行單一點(diǎn)管理。降低桌面系統(tǒng)的行程針對(duì)用戶(hù)在公司中所擔(dān)當(dāng)?shù)慕巧詣?dòng)向其分發(fā)軟 件，以減少或消除系統(tǒng)管理員為軟件安裝和配置而安排的多次行程。 更好的實(shí)現(xiàn)IT資源的最大化安全地將管理功能分派到組織機(jī)構(gòu)的所有 層次上。降低總體擁有成本（TCO）通過(guò)使網(wǎng)絡(luò)資源容易被定位、配置和使用來(lái) 簡(jiǎn)化對(duì)文件和打印服務(wù)的管理和使用。4. 加強(qiáng)安全性強(qiáng)大且一致的安全服務(wù)對(duì)企業(yè)網(wǎng)絡(luò)而言是必不可少的。管理用戶(hù)驗(yàn)證和訪(fǎng)問(wèn)控制的工作往往單調(diào)乏味且容易出錯(cuò)?；顒?dòng)目錄集中進(jìn)行管理并加強(qiáng)了與組織機(jī)構(gòu)的商業(yè)過(guò)程一致、且基于角色的安全性。例如，對(duì)多身份驗(yàn)證協(xié) 議（如Kerberos, X.509認(rèn)證以及由靈活的訪(fǎng)問(wèn)控制模型組成的智能卡

14、）的 支持實(shí)現(xiàn)了對(duì)于內(nèi)部桌面系統(tǒng)用戶(hù)、 遠(yuǎn)程撥號(hào)用戶(hù)和外部電子商務(wù)客戶(hù)強(qiáng)大 且一致的安全服務(wù)?；顒?dòng)目錄使用以下方法增強(qiáng)安全性：改進(jìn)了密碼的安全性和管理 通過(guò)向網(wǎng)絡(luò)資源提供單一的集成、高性能且 對(duì)終端用戶(hù)透明的安全服務(wù)。保證桌面系統(tǒng)的功能性 通過(guò)根據(jù)終端用戶(hù)角色鎖定桌面系統(tǒng)配置來(lái)防 止對(duì)特定客戶(hù)主機(jī)操作進(jìn)行訪(fǎng)問(wèn)，例如軟件安裝或注冊(cè)項(xiàng)編輯。加速電子商務(wù)的部署 通過(guò)提供對(duì)安全的In ternet標(biāo)準(zhǔn)協(xié)議和身份驗(yàn)證機(jī)制的內(nèi)建支持，如Kerberos,公開(kāi)密鑰基礎(chǔ)設(shè)施（PKI）和安全套接字協(xié)議層（SSL）之上的輕便目錄訪(fǎng)問(wèn)協(xié)議（LDAP ）。緊密的控制安全性 通過(guò)對(duì)目錄對(duì)象和構(gòu)成他們的單獨(dú)數(shù)據(jù)元素設(shè)置訪(fǎng)

15、問(wèn)控制特權(quán)。1.6. 重要組策略介紹1.軟件分發(fā)策略通過(guò)組策略可以為域中的計(jì)算機(jī)或用戶(hù)自動(dòng)分發(fā)帶有msi包的軟件。見(jiàn)下圖2將用戶(hù)的個(gè)人數(shù)據(jù)從pc機(jī)上重定向到服務(wù)器上重定向有利于數(shù)據(jù)的安全以及集中備份。見(jiàn)下圖。3.安全類(lèi)組策略密碼策略強(qiáng)制密碼歷史”設(shè)置確定在重用舊密碼之前必須與用戶(hù)帳戶(hù)相關(guān)的唯一 新密碼的數(shù)量。配置 密碼最長(zhǎng)使用期限”設(shè)置，以便密碼在環(huán)境需要時(shí)過(guò)期。密碼最短使用期限”設(shè)置確定了用戶(hù)更改密碼之前必須使用密碼的天數(shù)。 最短密碼長(zhǎng)度”設(shè)置確保密碼至少包含指定數(shù)量的字符。密碼必須符合復(fù)雜性要求策略”選項(xiàng)檢查所有新密碼以確保它們符合強(qiáng) 密碼的基本要求。賬號(hào)鎖定策略帳戶(hù)鎖定策略是一項(xiàng) Win

16、dows Server 2012安全功能，它在指定時(shí)間段 內(nèi)多次登錄嘗試失敗后鎖定用戶(hù)帳戶(hù)。 允許的嘗試次數(shù)和時(shí)間段是由為安全 策略鎖定設(shè)置配置的值決定的。用戶(hù)不能登錄到鎖定的帳戶(hù)。帳戶(hù)鎖定時(shí)間”設(shè)置確定在未鎖定帳戶(hù)且用戶(hù)可以嘗試再次登錄之前所必須經(jīng)歷的時(shí)間長(zhǎng)度帳戶(hù)鎖定閾值”設(shè)置確定用戶(hù)在帳戶(hù)鎖定之前可以嘗試登錄帳戶(hù)的次數(shù)。復(fù)位帳戶(hù)鎖定計(jì)數(shù)器”設(shè)置決定了 帳戶(hù)鎖定閾值”復(fù)位為0以及帳戶(hù) 被解鎖之前所必須經(jīng)過(guò)的時(shí)間長(zhǎng)度。禁用本地管理員帳號(hào)默認(rèn)情況下，每臺(tái)加入到域中的計(jì)算機(jī)都有Administrator和Guest兩個(gè)帳號(hào)，Adm in istrator帳號(hào)在安裝時(shí)口令為空。用戶(hù)使用這個(gè)帳號(hào)權(quán)限過(guò)

17、大， 因此一般不會(huì)給用 戶(hù)使用這個(gè)管理員帳號(hào)，最好的做法就是通過(guò)組策略禁用這個(gè)帳號(hào)，用戶(hù)使用域的帳號(hào)。將域帳號(hào)加入到每臺(tái)PC機(jī)的本地Power Users組中創(chuàng)建域帳號(hào)時(shí)，默認(rèn)情況下這個(gè)帳號(hào)只屬于 Domain Users組中，該組屬 于每臺(tái)PC機(jī)的本地Users組。本地Users組中的成員權(quán)限受到嚴(yán)格限制， 比 如共享文件夾，安裝打印機(jī)驅(qū)動(dòng)程序等工作的權(quán)限都沒(méi)有。而經(jīng)常有用戶(hù)需 要這些權(quán)限，可以通過(guò)組策略來(lái)實(shí)現(xiàn)。禁用系統(tǒng)服務(wù)我們?yōu)閮?yōu)化系統(tǒng)和安全性考慮，經(jīng)常要禁用計(jì)算機(jī)的一些無(wú)需運(yùn)行的服 務(wù)。我們可以通過(guò)組策略把這些服務(wù)禁用掉。軟件限制策略對(duì)一些規(guī)定不得使用的軟件可以通過(guò)組策略來(lái)禁用：路徑規(guī)則

18、：特殊文件路徑下的軟件不得使用：如program files下的某些軟件 證書(shū)規(guī)則：只有系統(tǒng)管理員頒發(fā)過(guò)證書(shū)的軟件可以使用，其他軟件禁止使用 哈希規(guī)則：對(duì)禁止使用的軟件通過(guò)哈希運(yùn)算得到這個(gè)軟件的身份指紋，在組策略里設(shè)置只要是符合身份指紋鑒定的軟件就進(jìn)行限制網(wǎng)絡(luò)連接控制策略用戶(hù)經(jīng)常會(huì)通過(guò)改變“網(wǎng)絡(luò)連接”中的設(shè)置，繞過(guò)企業(yè)防火墻，建立自 己的上網(wǎng)鏈路，比如電話(huà)撥號(hào)上網(wǎng)。這樣會(huì)帶來(lái)很大的安全隱患?？梢酝ㄟ^(guò) 組策略限制用戶(hù)不得改變網(wǎng)絡(luò)連接中的配置，不允許用戶(hù)通過(guò)其他方式連接 互聯(lián)網(wǎng)。1.7. 計(jì)算機(jī)從工作組加入到域可能存在的問(wèn)題和解決方法把計(jì)算機(jī)從工作組模式加入到域模式可能會(huì)出現(xiàn)以下二個(gè)問(wèn)題問(wèn)題：1.

19、 一些軟件不能使用。有一些軟件以登錄者的管理員權(quán)限帳號(hào)運(yùn)行，當(dāng)計(jì) 算機(jī)加入到域并對(duì)登錄帳號(hào)做了權(quán)限設(shè)置，或禁用了本地管理員帳號(hào)， 這些需要管理員權(quán)限運(yùn)行的軟件就有可能不能正常運(yùn)行。2. 用戶(hù)桌面環(huán)境發(fā)生改變。由于加入域前后用戶(hù)是用不同的帳號(hào)登錄的， 因此用戶(hù)以前的桌面環(huán)境無(wú)法使用。具體有桌面上放置的資料“我的文檔”等放置的資料配置好的“網(wǎng)絡(luò)打印機(jī)”IE里設(shè)置好的“網(wǎng)站收藏夾”等。解決方法：1. 對(duì)問(wèn)題1我們可以按以下兩個(gè)方法來(lái)解決：(1) 把域帳號(hào)加入到本地管理員組(2) 卸載軟件，用域帳號(hào)登錄并安裝2. 對(duì)問(wèn)題2針對(duì)不同的問(wèn)題分別解決如下：(1) 把本地老帳號(hào)下的桌面內(nèi)容全部備份下來(lái)，復(fù)制到

20、新域帳號(hào)的桌面(2) 把本地老帳號(hào)下的“我的文檔”內(nèi)容全部備份下來(lái)，復(fù)制到新域帳號(hào) 的“我的文檔”(3) 重新連接和創(chuàng)建“網(wǎng)絡(luò)打印機(jī)”(4) 用特殊軟件把老帳號(hào)IE里的“網(wǎng)站收藏夾”備份下來(lái)，然后恢復(fù)到 新域帳號(hào)中2.活動(dòng)目錄方案實(shí)施2.1. AD域命名和DNS的規(guī)劃Windows 2012 AD域命名和DNS的規(guī)劃之所以放在首要地位，是因?yàn)?AD 作為整個(gè)IT架構(gòu)的基礎(chǔ)，不應(yīng)該輕易被調(diào)整。盡管安裝后，Windows 2012 AD仍然可以重組和改名，這一點(diǎn)比 Windows 2000 AD有了很大的進(jìn)步，但是我們 仍然建議做一個(gè)長(zhǎng)遠(yuǎn)規(guī)劃，使得域命名和DNS服務(wù)能夠滿(mǎn)足企業(yè)3-5年的需求， 盡

21、量避免配置好后改作調(diào)整地巨大人力物力浪費(fèi)。此外，部署 Windows 2012 AD,還必須確定DNS服務(wù)器，確保它們滿(mǎn)足域 控制器定位器系統(tǒng)的要求。一個(gè)支持 AD的DNS至少需要滿(mǎn)足以下要求：必須支持服務(wù)定位資源記錄（SRV）應(yīng)該支持 DNS動(dòng)態(tài)更新協(xié)議（RFC 2136）Windows 2012 Server提供的DNS服務(wù)同時(shí)滿(mǎn)足這些要求，并且還提供下 列重要的附加功能和改進(jìn)：Active Directory集成：DNS服務(wù)把區(qū)域數(shù)據(jù)存儲(chǔ)在目錄中，使得DNS 復(fù)制創(chuàng)建多個(gè)主域，也減少了對(duì)維護(hù)一個(gè)單獨(dú)的 DNS區(qū)域傳送復(fù)制拓 撲的要求。安全動(dòng)態(tài)更新：使得一個(gè)管理員可以精確地控制哪些計(jì)算機(jī)可

22、以更新哪 些名稱(chēng)，并防止未經(jīng)授權(quán)的計(jì)算機(jī)從DNS獲得現(xiàn)有的名稱(chēng)。條件轉(zhuǎn)發(fā)：根據(jù)不同的對(duì)外訪(fǎng)問(wèn)的域名后綴，可以將用戶(hù)的 DNS名稱(chēng) 解析請(qǐng)求轉(zhuǎn)發(fā)到不同的外部 DNS服務(wù)器。存根區(qū)域：可以定時(shí)地刷新和外部 DNS服務(wù)器的連接，及時(shí)發(fā)現(xiàn)那些 可能有故障、不再響應(yīng)用戶(hù)請(qǐng)求的服務(wù)器，提高用戶(hù) DNS名稱(chēng)解析的 效率。2.2. 確定AD邏輯結(jié)構(gòu)Windows 2012活動(dòng)目錄的邏輯結(jié)構(gòu)由三個(gè)基本組件組成： 森林、域和0U。1、確定森林規(guī)劃森林是 Windows 2012 AD域的集合。在很多情況下，單一森林就足夠了。 單一森林環(huán)境易于建立和維護(hù)，森林間的域自動(dòng)建立雙向可傳遞內(nèi)部信任關(guān)系， 不要求手動(dòng)建立外

23、部信任配置，在安裝 Excha nge 2012 Server等應(yīng)用程序時(shí)，只 需應(yīng)用一次架構(gòu)更改即可影響所有域。如果各個(gè)單位有下列管理要求，就必須建立一個(gè)以上的森林：不互相信任管理員 希望限制信任關(guān)系范圍。不同意某種森林架構(gòu)更改策略。架構(gòu)更改、配置更改會(huì)影響到森林中所 有的域。如果單位不同意一個(gè)公共架構(gòu)策略，它們就不能共存于同一個(gè) 森林中。2、制定域規(guī)劃規(guī)劃域結(jié)構(gòu)時(shí)，始終遵循“簡(jiǎn)單是最好的投資”的設(shè)計(jì)原則，盡管增加某 些復(fù)雜結(jié)構(gòu)可以增值，但是簡(jiǎn)單的結(jié)構(gòu)更易于說(shuō)明、維護(hù)和調(diào)試。一開(kāi)始時(shí)總是 僅考慮每個(gè)森林中僅有一個(gè)域，然后為每一個(gè)增加的新域提供詳細(xì)的理由， 確保 添加到森林中的域都是有益的，因

24、為它們會(huì)帶來(lái)相應(yīng)的管理開(kāi)銷(xiāo)而導(dǎo)致一定程度 的成本上升。創(chuàng)建更多的域的三種可能的原因是：希望實(shí)現(xiàn)相對(duì)分散式得IT管理模式：多域結(jié)構(gòu)更容易進(jìn)行相對(duì)獨(dú)立的 管理、委派和權(quán)限控制。另外，不同的用戶(hù)帳戶(hù)在一個(gè)域內(nèi)是不能出現(xiàn) 重名的，多域之間就沒(méi)有限制。對(duì)于人士管理相對(duì)獨(dú)立的集團(tuán)下屬公司， 多域結(jié)構(gòu)具有更好的靈活性。希望實(shí)現(xiàn)不同管理策略要求：包括用戶(hù)口令策略、賬戶(hù)鎖定策略和EFS 加密策略。例如，要求某些人必須取8個(gè)字符以上的口令，而其它人不 做限制。為此，必須將這些需要不同安全策略的用戶(hù)放在單獨(dú)的域中。希望減小WAN上的復(fù)制流量：域控制器域間復(fù)制將產(chǎn)生比域內(nèi)復(fù)制少 的多的流量。如果公司很大，具有跨地區(qū)的

25、組織結(jié)構(gòu)，且處于同一個(gè)森 林內(nèi)，則在不同地理位置上的機(jī)構(gòu)可能使用慢速的 WAN鏈路連接。為 減少WAN上的DC復(fù)制流量，可以在不同的地理位置設(shè)置不同的域。根據(jù)以上考慮，我們建議，企業(yè) Windows 2012 AD域邏輯結(jié)構(gòu)可以采 用“單森林、單域”的結(jié)構(gòu)設(shè)計(jì)。2.3. 確定AD物理結(jié)構(gòu)考慮到企業(yè)的地理分布情況，應(yīng)該考慮使用多站點(diǎn)拓?fù)鋪?lái)規(guī)劃Win dows2012 AD物理結(jié)構(gòu)。從繪制基本的網(wǎng)絡(luò)拓?fù)洳季謭D著手工作， 繪制所有可能的站 點(diǎn)（Site）和站點(diǎn)鏈接（Site Link ）。速度快（1OMbps以上）、連接可靠的LAN網(wǎng)絡(luò)總是放置在單站點(diǎn)中。 站點(diǎn)定義為一組通過(guò)快速、可靠的線(xiàn)路連接起來(lái)

26、的IP子網(wǎng)。一般而言， 具有LAN速度或更快速度的網(wǎng)絡(luò)被認(rèn)為是快速網(wǎng)絡(luò)。窄帶的、或不太可靠的連接可以使用站點(diǎn)鏈接建立多站點(diǎn)網(wǎng)絡(luò)。 通常，WAN連接一般被認(rèn)為是窄帶連接。如果建立站點(diǎn)鏈接，實(shí)現(xiàn)多 站點(diǎn)網(wǎng)絡(luò)模式，貝客戶(hù)計(jì)算機(jī)在登錄到域時(shí)首先試圖與位于同一站點(diǎn)的DC通信；Windows 2012 AD復(fù)制使用站點(diǎn)拓?fù)洚a(chǎn)生復(fù)制連接。24規(guī)劃0U結(jié)構(gòu)和組策略組織單元（0U ）是一個(gè)用來(lái)在域中創(chuàng)建分層管理單位的容器。在域中創(chuàng)建 0U結(jié)構(gòu)時(shí)，必須注意始終按照“誰(shuí)管理什么”的原則，從IT管理的需要出發(fā)， 劃分管理模型的結(jié)構(gòu)，而不是簡(jiǎn)單按照公司業(yè)務(wù)單位和它的不同分支、部門(mén)和項(xiàng) 目來(lái)創(chuàng)建0U結(jié)構(gòu)?？紤]0U的下列特

27、性是很重要的：0U可以是嵌套的。一個(gè)0U可以包含子 0U，使得可以在域中創(chuàng)建一個(gè)分層的目錄樹(shù)結(jié) 構(gòu)。但是嵌套太多將導(dǎo)致管理復(fù)雜和低效， 所以建議以二級(jí)嵌套為最理 想，最多不應(yīng)超過(guò)四級(jí)嵌套。0U可以用來(lái)委派管理和控制對(duì)目錄對(duì)象的訪(fǎng)問(wèn)。不能使0U成為安全組的成員，也不能因?yàn)橛脩?hù)被委派管理0U或駐留在0U中而自動(dòng)獲得訪(fǎng)問(wèn)資源的權(quán)限?？梢栽?U上實(shí)施組策略。組策略是基于 Windows 2012注冊(cè)表的修改，從而集中控制用戶(hù)和計(jì)算 機(jī)的工作環(huán)境、桌面配置、軟件自動(dòng)安裝和刪除的管理手段。一般而言， 安全策略必須在域級(jí)別實(shí)施，其它策略主要在 0U級(jí)別實(shí)施。不鼓勵(lì)用戶(hù)在0U結(jié)構(gòu)中瀏覽。沒(méi)有必要設(shè)計(jì)一個(gè)吸引最

28、終用戶(hù)的 0U結(jié)構(gòu)。盡管用戶(hù)有可能瀏覽一 個(gè)域的0U結(jié)構(gòu)，但對(duì)于用戶(hù)查找資源來(lái)說(shuō)，這并不是一個(gè)最有效的 方法。在目錄中查找資源的最有效的方法是查詢(xún)?nèi)志庝?。有兩個(gè)理由需要在 Windows 2012域中創(chuàng)建 0U結(jié)構(gòu)：創(chuàng)建0U以管理對(duì)象和委派授權(quán)。為組策略創(chuàng)建0U。一個(gè)完全為管理和委派而設(shè)計(jì)的0U結(jié)構(gòu)與一個(gè)完全為組策略而設(shè)計(jì)的0U結(jié)構(gòu)是不同的。0U結(jié)構(gòu)將很快變得相當(dāng)復(fù)雜。每次添加一個(gè)0U到規(guī)劃中時(shí)，要記下創(chuàng)建的具體原因。這有助于確保每個(gè)0U有一個(gè)目的，并將幫助閱讀規(guī)劃的人理解結(jié)構(gòu)所基于的理由。2.5.創(chuàng)建0U以管理和委派在單位中委派管理有一些好處。以前，在單位中除了IT之外的組可能必須將更改請(qǐng)

29、求提交到高級(jí)管理員，高級(jí)管理員代表他們進(jìn)行更改。委派特定的權(quán) 限可以將責(zé)任分散到單位中的各個(gè)組，使您可以將必須有高級(jí)訪(fǎng)問(wèn)權(quán)限的用戶(hù)的 數(shù)量降到最少。權(quán)限受到限制的管理員所發(fā)生的事故或錯(cuò)誤所產(chǎn)生的影響只限于 他們負(fù)責(zé)的范圍。這一工作包括以下步驟：確定創(chuàng)建何種0U創(chuàng)建的0U結(jié)構(gòu)將完全取決于管理是如何在單位中委派的。委派管理 的三種方法是：按物理位置、按業(yè)務(wù)單位（公司部門(mén)）、按角色或任務(wù)。三 種方法經(jīng)常結(jié)合使用。修改訪(fǎng)問(wèn)控制列表：修改0U的訪(fǎng)問(wèn)控制列表（ACL）可以授予一個(gè)組對(duì) 0U的特定權(quán)限， 從而實(shí)現(xiàn)對(duì)該0U的委派管理。盡量委派權(quán)限給組賬戶(hù)而不是單獨(dú)的用戶(hù)， 如果可能，委派到本地組而不是全局組或

30、通用組。委派步驟。從域中的默認(rèn)結(jié)構(gòu)開(kāi)始，按下列主要步驟創(chuàng)建0U結(jié)構(gòu)：-通過(guò)委派完全控制創(chuàng)建 0U的頂層；-創(chuàng)建0U的下層來(lái)委派每個(gè)對(duì)象類(lèi)別控制。2.6.創(chuàng)建0U支持組策略使用 Windows 2012,可以使用組策略定義用戶(hù)和計(jì)算機(jī)配置，并將這些策 略與站點(diǎn)、域或0U關(guān)聯(lián)。是否要?jiǎng)?chuàng)建附加的 0U以支持組策略的應(yīng)用取決于 制定的策略以及所選擇的實(shí)現(xiàn)方案，包括：定義客戶(hù)計(jì)算機(jī)的管理與桌面配置標(biāo)準(zhǔn)定義軟件的自動(dòng)分發(fā)特殊組策略應(yīng)用配置與管理在 Windows 2012中，組策略設(shè)置是管理員啟用集中更改和配置客戶(hù)計(jì)算 機(jī)管理的主要方法?？捎媒M策略為某個(gè)特定的用戶(hù)組和計(jì)算機(jī)組創(chuàng)建指定的安全 限制和桌面環(huán)境

31、配置。Windows 2012組策略有100多種與安全有關(guān)的設(shè)置和 450多種基于注 冊(cè)表的設(shè)置，為您管理用戶(hù)計(jì)算機(jī)環(huán)境提供了眾多選項(xiàng)。 Windows 2003組策略：可根據(jù)活動(dòng)目錄定義或在計(jì)算機(jī)本地進(jìn)行定義；可用Microsoft管理控制臺(tái)（MMC ）或*.adm文件保存和管理；是安全的；不會(huì)在實(shí)施的策略改變時(shí)把設(shè)置留在用戶(hù)配置文件中；可應(yīng)用于指定的活動(dòng)目錄容器（站點(diǎn)、域與0U）中的用戶(hù)或計(jì)算機(jī)；可由安全組的用戶(hù)或計(jì)算機(jī)成員進(jìn)一步控制；可用來(lái)配置多種類(lèi)型的安全設(shè)；可用于實(shí)施登錄、注銷(xiāo)、啟動(dòng)及關(guān)閉腳本；可用于安裝和維護(hù)軟件；可用于重定向文件夾（如 My Documents和 Applicat

32、ion Data文件夾）； 可用于在 Microsoft In ternet Explorer中執(zhí)行維護(hù)?？梢园聪铝腥齻€(gè)步驟配置和管理組策略：管理站點(diǎn)、域或 0U的組策略鏈接：默認(rèn)情況下，只有域管理員組和企業(yè)管理員組可以配置站點(diǎn)、域或部門(mén) 的組策略。可在站點(diǎn)、域或 0U的“屬性”頁(yè)的“組策略”選項(xiàng)卡中 指定鏈接至站點(diǎn)、域或 OU的組策略對(duì)象。Active Directory支持以每 個(gè)屬性為基礎(chǔ)的安全設(shè)置。創(chuàng)建組策略對(duì)象：默認(rèn)情況下，只有域管理員組、企業(yè)管理員組和組策略創(chuàng)建者（所有者） 組的成員可以創(chuàng)建新的組策略對(duì)象。如果域管理員想使一個(gè)非管理員用 戶(hù)或組能夠創(chuàng)建組策略對(duì)象，則可將該用戶(hù)或組添

33、至組策略創(chuàng)建者（所有者）安全組中。這樣，他們就可以創(chuàng)建、修改自己的組策略對(duì)象，并 成為該組策略對(duì)象的創(chuàng)建者和所有者。編輯組策略對(duì)象：默認(rèn)情況下，組策略對(duì)象接受域管理員、企業(yè)管理員及組策略創(chuàng)建者（所 有者）組成員的完全控制，課以便機(jī)組策略，但非管理員用戶(hù)沒(méi)有設(shè)置 組策略鏈接的應(yīng)用權(quán)。2.7. 應(yīng)用組策略選項(xiàng)如果能認(rèn)真應(yīng)用組策略選項(xiàng)，即使開(kāi)始用數(shù)據(jù)極其多的文件夾重定向選項(xiàng) 和軟件安裝選項(xiàng)，也能夠改善網(wǎng)絡(luò)的響應(yīng)時(shí)間。應(yīng)恰當(dāng)?shù)貞?yīng)用組策略選項(xiàng)，尤其 在剛開(kāi)始時(shí)，更要仔細(xì)測(cè)試所有建議的更改，以確保不損壞網(wǎng)絡(luò)性能。下面是一 些可用的選項(xiàng)：安全組篩選選項(xiàng)：可針對(duì)某個(gè)特定組策略對(duì)象實(shí)施篩選，使之不能對(duì)篩選的計(jì)算

34、機(jī)和用戶(hù) 組生效。不許替代（強(qiáng)制繼承）和阻止繼承選項(xiàng)：例如，如果在域?qū)哟味x了一個(gè)指定的組策略對(duì)象， 并已指定組對(duì)象是 強(qiáng)制的（不許替代），那么組策略對(duì)象所包含的策略設(shè)置就會(huì)應(yīng)用于該 域中的所有0U;層次較低的容器（0U）將無(wú)法替代此域的組策略，一 般用于安全設(shè)置。也可阻止從父 Active Directory容器繼承組策略。但是，不許替代（強(qiáng) 制繼承）策略選項(xiàng)始終比阻止繼承策略選項(xiàng)優(yōu)先。處理“環(huán)回”策略設(shè)置的策略選項(xiàng)：默認(rèn)的設(shè)置使計(jì)算機(jī)策略?xún)?yōu)先于用戶(hù)策略起作用，但有時(shí)必須要優(yōu)先實(shí) 施用戶(hù)策略，組策略的環(huán)回功能使管理員能夠?qū)崿F(xiàn)這一設(shè)置。主要用在 軟件安裝這一類(lèi)的策略上。低速鏈接處理的選項(xiàng)：許多用戶(hù)，如使用便攜式計(jì)算機(jī)的用戶(hù)、遠(yuǎn)離建筑物或在分部工作的用 戶(hù)，有時(shí)會(huì)用低速連接至網(wǎng)絡(luò)?？蓪?duì)組策略進(jìn)行配置，使部分策略不能 生效，以減少網(wǎng)絡(luò)開(kāi)銷(xiāo)。這些組策略設(shè)置包括：軟件安裝與維護(hù)腳本磁盤(pán)配額IP安全Dfs故障恢復(fù)策略Internet Explorer 維護(hù)周期刷新選項(xiàng)：可指定定時(shí)地處理組策略。默認(rèn)情況下， DC計(jì)算機(jī)策略每5分鐘刷 新一次，而成員服務(wù)器和客戶(hù)計(jì)算機(jī)每 90分鐘刷新一次，并帶有 30 分鐘的隨機(jī)偏移量。可根據(jù)需要改變此刷新頻率。版權(quán)申明本文部分內(nèi)容，包括文字、圖片、以及設(shè)計(jì)等在網(wǎng)上搜集整理。版權(quán)為潘宏亮個(gè)人所有This article in