AD安全優(yōu)化解決方案

1、AD安全優(yōu)化解決方案設(shè)計(jì)一個(gè)穩(wěn)定、可靠和擴(kuò)展性良好的活動(dòng)目錄架構(gòu)對(duì)一個(gè)企業(yè)網(wǎng)絡(luò)的管理及安全具有重大意義，并對(duì)部署微軟的相關(guān)產(chǎn)品如 Exchange 等具有舉足輕重和決定性的重要意義。1.1. 活動(dòng)目錄介紹活動(dòng)目錄是Windows 2012 網(wǎng)絡(luò)體系結(jié)構(gòu)中一個(gè)基本且不可分割的部分，它為網(wǎng)絡(luò)的用戶、 管理員和應(yīng)用程序提供了一套分布式網(wǎng)絡(luò)環(huán)境設(shè)計(jì)的目錄服務(wù)?；顒?dòng)目錄使得組織機(jī)構(gòu)可以有效地對(duì)有關(guān)網(wǎng)絡(luò)資源和用戶的信息進(jìn)行共享和管理。另外，目錄服務(wù)在網(wǎng)絡(luò)安全方面也扮演著中心授權(quán)機(jī)構(gòu)的角色，從而使操作系統(tǒng)可以輕松地驗(yàn)證用戶身份并控制其對(duì)網(wǎng)絡(luò)資源的訪問(wèn)。同等重要的是，活動(dòng)目錄還擔(dān)當(dāng)著系統(tǒng)集成和鞏固管理任務(wù)的集

2、合點(diǎn)?？偟膩?lái)說(shuō)，活動(dòng)目錄的這些功能使組織機(jī)構(gòu)可以將標(biāo)準(zhǔn)化的商業(yè)規(guī)則貫徹于分布式應(yīng)用和網(wǎng)絡(luò)資源當(dāng)中，同時(shí)，無(wú)需管理員來(lái)維護(hù)各種不同的專用目錄。活動(dòng)目錄提供了對(duì)基于Windows 的用戶賬號(hào)、客戶、服務(wù)器和應(yīng)用程序進(jìn)行管理的唯一點(diǎn)。同時(shí)，它也幫助組織機(jī)構(gòu)通過(guò)使用基于Windows 的應(yīng)用程序和與Windows 相兼容的設(shè)備對(duì)非Windows 系統(tǒng)進(jìn)行集成，從而實(shí)現(xiàn)鞏固目錄服務(wù)并簡(jiǎn)化對(duì)整個(gè)網(wǎng)絡(luò)操作系統(tǒng)的管理。公司也可以使用活動(dòng)目錄服務(wù)安全地將網(wǎng)絡(luò)系統(tǒng)擴(kuò)展到 Internet 上?；顒?dòng)目錄因此使現(xiàn)有網(wǎng)絡(luò)投資升值，同時(shí)，降低為使Windows 網(wǎng)絡(luò)操作系統(tǒng)更易于管理、更安全、更易于交互所需的全部費(fèi)用?；?/p>

3、動(dòng)目錄是微軟各種應(yīng)用軟件運(yùn)行的必要和基礎(chǔ)的條件。下圖表示出活動(dòng)目錄成為各種應(yīng)用軟件的中心。1.2. 應(yīng)用 Windows 2012 Server AD的好處Windows 2012 Server 是微軟最新推出的網(wǎng)絡(luò)操作系統(tǒng)服務(wù)器，它沿用了Windows 2000 Server 的先進(jìn)技術(shù)并且使之更易于部署、管理和使用。其結(jié)果是：其高效結(jié)構(gòu)有助于使您的網(wǎng)絡(luò)成為單位的戰(zhàn)略性資產(chǎn)。應(yīng)用 Windows 2012 Server 的好處如下表所示：優(yōu)勢(shì)描述Windows Server 2012是迄今為止最快、最可靠和最安全的Windows服務(wù)器操作系統(tǒng)?？煽啃蕴峁┘山Y(jié)構(gòu)，用于幫助您確保商業(yè)信息的安全

4、性。提供可靠性、實(shí)用性和可伸縮性，使您可以提供用戶需要的網(wǎng)絡(luò)結(jié)構(gòu)。Windows Server 2012提供各種工具，允許您部署、管理和使用網(wǎng)絡(luò)結(jié)構(gòu)以獲得最大效率。提供靈活易用的工具，有助于使您的設(shè)計(jì)和部署與組織及網(wǎng)絡(luò)的要求相匹配。高效通過(guò)加強(qiáng)策略、使任務(wù)自動(dòng)化以及簡(jiǎn)化升級(jí)來(lái)幫助您主動(dòng)管理網(wǎng)絡(luò)。通過(guò)讓用戶自行處理更多的任務(wù)來(lái)降低支持開銷。連接Windows Server 2012 可以幫助您創(chuàng)建業(yè)務(wù)解決方案結(jié)構(gòu)，以便與雇員、合作伙伴、連接性最經(jīng)濟(jì)系統(tǒng)和客戶更好地連接。提供集成的Web 服務(wù)器和流媒體服務(wù)器，幫助您快速、輕松和安全地創(chuàng)建動(dòng)態(tài)Intranet和 Internet Web 站點(diǎn)。提供

5、集成的應(yīng)用程序服務(wù)器，幫助您輕松地開發(fā)、部署和管理XML Web服務(wù)。提供多種工具， 使您得以將XML Web服務(wù)與內(nèi)部應(yīng)用程序、 供應(yīng)商和合作伙伴連接起來(lái)。與來(lái)自Microsoft的許多硬件、 軟件和渠道合作伙伴的產(chǎn)品和服務(wù)相結(jié)合，Windows Server2012 提供了有助于使您的基礎(chǔ)架構(gòu)投資獲得最大回報(bào)的選擇。為使您得以快速將技術(shù)投入使用的完整解決方案提供簡(jiǎn)單易用的說(shuō)明性指南。通過(guò)利用最新的硬件、軟件和方法來(lái)優(yōu)化服務(wù)器部署，從而幫助您合并各個(gè)服務(wù)器。降低用戶的所屬權(quán)總成本(TCO) ，使投資很快就能獲得回報(bào)。Windows 2012 Server 的核心是一組基于Active Dir

6、ectory （目錄服務(wù)， 簡(jiǎn)稱 “ AD”）的基礎(chǔ)結(jié)構(gòu)服務(wù)。 Windows2012 AD 簡(jiǎn)化了管理，加強(qiáng)了安全性，擴(kuò)展了互操作性。它為用戶、組、安全服務(wù)及網(wǎng)絡(luò)資源的管理提供了一種集中化的方法。應(yīng)用 Windows 2012 AD之后，企業(yè)信息化建設(shè)者和網(wǎng)絡(luò)管理員可以從中獲得如下好處：系統(tǒng)平臺(tái)基礎(chǔ)架構(gòu)?；赪indows 2012 AD 規(guī)劃網(wǎng)絡(luò)基礎(chǔ)架構(gòu)，使企業(yè)獲得一個(gè)穩(wěn)定、可擴(kuò)充的網(wǎng)絡(luò)基礎(chǔ)平臺(tái)。不單單是滿足當(dāng)前的網(wǎng)絡(luò)需要，更關(guān)鍵的是預(yù)計(jì)了今后3-5 年內(nèi)可能的發(fā)展需要，使得將來(lái)的網(wǎng)絡(luò)規(guī)劃建設(shè)無(wú)需再次重復(fù)投資。單一登錄?？梢越y(tǒng)一用戶帳戶設(shè)置和用戶身份驗(yàn)證，實(shí)現(xiàn)用戶單一登錄，用戶訪問(wèn)網(wǎng)絡(luò)中的

7、資源不再需要反復(fù)輸入用戶名稱和口令。同時(shí)，它還是企業(yè)應(yīng)用集成的基礎(chǔ)?；贏D 的單一登錄功能，便于實(shí)現(xiàn)在不同程序之間的協(xié)作和集成應(yīng)用。網(wǎng)絡(luò)安全?？梢曰?AD ，集中設(shè)置和統(tǒng)一管理用戶、組、資源的操作權(quán)限，方便維護(hù)管理。集中管理和委派授權(quán)?；?Windows 2012 活動(dòng)目錄 OU 實(shí)施委派授權(quán)管理， 未來(lái)向下屬企業(yè)推廣時(shí)，分級(jí)維護(hù)，集團(tuán)各部門、下屬公司可以對(duì)所轄范圍內(nèi)的部分參數(shù)進(jìn)行維護(hù)，如增加用戶、設(shè)置權(quán)限、增加欄目、自定義流程等。用戶桌面管理。通過(guò)規(guī)劃部署Windows 2012 OU 和組策略，可以統(tǒng)一規(guī)劃用戶桌面和用戶操作環(huán)境，實(shí)現(xiàn)對(duì)客戶計(jì)算機(jī)的集中控制管理，加強(qiáng)信息管理的安全可靠

8、性。軟件自動(dòng)分發(fā)。 通過(guò)規(guī)劃部署Windows 2012 OU 和組策略， 還可以實(shí)現(xiàn)應(yīng)用程序的自動(dòng)分發(fā)、 升級(jí)和刪除，不但可以實(shí)現(xiàn)客戶機(jī)軟件的統(tǒng)一安裝管理，而且大大減輕了軟件安裝配置的工作量。1.3. 明確系統(tǒng)規(guī)劃目標(biāo)企業(yè)的 Windows 2012 AD系統(tǒng)規(guī)劃構(gòu)建是為企業(yè)信息化建設(shè)服務(wù)的，需要達(dá)到以下戰(zhàn)略目標(biāo)：圍繞企業(yè)的戰(zhàn)略發(fā)展需要，進(jìn)行企業(yè)信息化建設(shè)系統(tǒng)規(guī)劃，滿足企業(yè)3-5 年的業(yè)務(wù)發(fā)展對(duì)IT 建設(shè)的要求；以業(yè)務(wù)為驅(qū)動(dòng)，通過(guò)有效的信息系統(tǒng)，加強(qiáng)信息共享和協(xié)同辦公，提高工作效率，降低成本；整合企業(yè)現(xiàn)有信息資產(chǎn)，加強(qiáng)企業(yè)管理與監(jiān)控；從信息中挖掘知識(shí)，提高經(jīng)營(yíng)決策與駕馭風(fēng)險(xiǎn)的能力；推進(jìn)知識(shí)管

9、理理念，建立知識(shí)型企業(yè)，增強(qiáng)企業(yè)的核心競(jìng)爭(zhēng)力。Windows 2012 AD 系統(tǒng)規(guī)劃實(shí)施的具體目標(biāo)如下：規(guī)劃和部署基于 Windows 2012 AD 的企業(yè)目錄服務(wù)，首先實(shí)現(xiàn)用戶的單一登錄，保障網(wǎng)絡(luò)系統(tǒng)安全；通過(guò) AD 實(shí)現(xiàn)用戶桌面的集中和自動(dòng)管理，分發(fā)軟件補(bǔ)?。贿M(jìn)一步部署微軟的相關(guān)應(yīng)用平臺(tái)軟件，如實(shí)現(xiàn)基于Exchange 2013 的企業(yè)內(nèi)部郵件和協(xié)作服務(wù)，1.4. 活動(dòng)目錄設(shè)計(jì)方案我們?yōu)槠髽I(yè)設(shè)計(jì)一個(gè)域，用戶的所有計(jì)算機(jī)（服務(wù)器和客戶機(jī)）全部加入到域，用戶實(shí)現(xiàn)單一登錄和管理員通過(guò)域組策略實(shí)現(xiàn)安全及桌面管理。用戶關(guān)心問(wèn)題解答2.1. 活動(dòng)目錄優(yōu)勢(shì)1.計(jì)算機(jī)工作組管理和AD對(duì)于基于 Micr

10、osoft Windows管理比較操作系統(tǒng)的計(jì)算機(jī)運(yùn)行和管理在兩種模式下：工作組 (workgroup) 和域 (domain) 。在工作組模式下，計(jì)算機(jī)處于一個(gè)孤立狀態(tài)，使用計(jì)算機(jī)的用戶登錄帳號(hào)和計(jì)算機(jī)的管理均須在每臺(tái)計(jì)算機(jī)上創(chuàng)建或進(jìn)行。當(dāng)計(jì)算機(jī)超過(guò)20 臺(tái)以上時(shí)， 計(jì)算機(jī)的管理變得越來(lái)越困難，并且要為用戶創(chuàng)建越來(lái)越多的訪問(wèn)網(wǎng)絡(luò)資源的帳號(hào)，用戶要記住多個(gè)訪問(wèn)不同資源的帳號(hào)。而在域的模式下，用戶只需記住一個(gè)域帳號(hào)，即可登錄訪問(wèn)域中的資源。并且管理員通過(guò)組策略，可以輕松配置用戶的桌面工作環(huán)境和加強(qiáng)計(jì)算機(jī)安全設(shè)置。域模式下所有的域帳號(hào)保存在域控制器的活動(dòng)目錄數(shù)據(jù)庫(kù)中。見(jiàn)下圖。2.為什么要提供目錄服

11、務(wù)?對(duì)更加強(qiáng)大、透明且高度集成的目錄服務(wù)的不斷需求是由爆炸性增長(zhǎng)的網(wǎng)絡(luò)計(jì)算所導(dǎo)致的。隨著局域網(wǎng)（LAN ）、廣域網(wǎng)（ WAN ）規(guī)模與復(fù)雜性的不斷提高和這些網(wǎng)絡(luò)不斷被連入Internet ，以及應(yīng)用程序?qū)W(wǎng)絡(luò)的依賴程度不斷增強(qiáng)并不斷被鏈接到協(xié)作企業(yè)網(wǎng)中的其它系統(tǒng)上，對(duì)目錄服務(wù)的需求也日漸增多?；谙铝性?，目錄服務(wù)成為擴(kuò)展的計(jì)算機(jī)系統(tǒng)中最重要的部件之一：簡(jiǎn)化管理提供對(duì)用戶、應(yīng)用程序和設(shè)備的單一、一致性的管理點(diǎn)。加強(qiáng)安全性向用戶提供單一的網(wǎng)絡(luò)資源登錄，為管理員提供強(qiáng)大、一致性的工具以使他們能夠管理為內(nèi)部臺(tái)式機(jī)用戶、遠(yuǎn)程撥號(hào)用戶以及外部電子商務(wù)客戶提供的安全服務(wù)。擴(kuò)展的互操作性向所有活動(dòng)目錄特性提

12、供基于標(biāo)準(zhǔn)的存取方式以及對(duì)通用目錄的同步支持。目錄服務(wù)兼任管理工具和用戶工具。隨著網(wǎng)絡(luò)中對(duì)象數(shù)量的增加，目錄服務(wù)變得必不可少。目錄服務(wù)在一個(gè)龐大的分布式系統(tǒng)中發(fā)揮著網(wǎng)絡(luò)集線器的作用。致力于這些需求，Windows 2012 服務(wù)器版引入了活動(dòng)目錄- 即一套用于改進(jìn) Windows 網(wǎng)絡(luò)操作系統(tǒng)管理、安全性和互操作性的完整的目錄服務(wù)集。下圖描述了活動(dòng)目錄帶來(lái)的計(jì)算機(jī)安全和管理上的一些最重要的好處。3.AD 簡(jiǎn)化了計(jì)算機(jī)系統(tǒng)管理分布式系統(tǒng)常常導(dǎo)致時(shí)間的消耗和管理的冗余。當(dāng)公司在他們的基礎(chǔ)結(jié)構(gòu)上添加應(yīng)用程序并雇用新的職員時(shí)，他們需要適當(dāng)?shù)叵蚋髯烂嫦到y(tǒng)分發(fā)軟件并管理多個(gè)應(yīng)用程序目錄。通過(guò)在單一的位置管

13、理用戶、組和網(wǎng)絡(luò)資源以及分發(fā)軟件和管理桌面系統(tǒng)配置，活動(dòng)目錄可以顯著降低公司的管理費(fèi)用。例如，活動(dòng)目錄在同一個(gè)位置管理 Windows 用戶和 Microsoft Exchange 郵箱信息?；谙铝性颍顒?dòng)目錄可以從以下方面幫助公司簡(jiǎn)化管理：消除冗余管理任務(wù) 提供對(duì) Windows 用戶賬號(hào)、客戶、服務(wù)器和應(yīng)用程序以及現(xiàn)存目錄同步能力進(jìn)行單一點(diǎn)管理。降低桌面系統(tǒng)的行程 針對(duì)用戶在公司中所擔(dān)當(dāng)?shù)慕巧詣?dòng)向其分發(fā)軟件， 以減少或消除系統(tǒng)管理員為軟件安裝和配置而安排的多次行程。更好的實(shí)現(xiàn)IT 資源的最大化安全地將管理功能分派到組織機(jī)構(gòu)的所有層次上。降低總體擁有成本 （TCO ） 通過(guò)使網(wǎng)絡(luò)資源容

14、易被定位、配置和使用來(lái)簡(jiǎn)化對(duì)文件和打印服務(wù)的管理和使用。4. 加強(qiáng)安全性強(qiáng)大且一致的安全服務(wù)對(duì)企業(yè)網(wǎng)絡(luò)而言是必不可少的。管理用戶驗(yàn)證和訪問(wèn)控制的工作往往單調(diào)乏味且容易出錯(cuò)?；顒?dòng)目錄集中進(jìn)行管理并加強(qiáng)了與組織機(jī)構(gòu)的商業(yè)過(guò)程一致、且基于角色的安全性。例如，對(duì)多身份驗(yàn)證協(xié)議 （如 Kerberos，X.509 認(rèn)證以及由靈活的訪問(wèn)控制模型組成的智能卡）的支持實(shí)現(xiàn)了對(duì)于內(nèi)部桌面系統(tǒng)用戶、遠(yuǎn)程撥號(hào)用戶和外部電子商務(wù)客戶強(qiáng)大且一致的安全服務(wù)?；顒?dòng)目錄使用以下方法增強(qiáng)安全性：改進(jìn)了密碼的安全性和管理通過(guò)向網(wǎng)絡(luò)資源提供單一的集成、高性能且對(duì)終端用戶透明的安全服務(wù)。保證桌面系統(tǒng)的功能性通過(guò)根據(jù)終端用戶角色鎖定桌

15、面系統(tǒng)配置來(lái)防止對(duì)特定客戶主機(jī)操作進(jìn)行訪問(wèn)，例如軟件安裝或注冊(cè)項(xiàng)編輯。加速電子商務(wù)的部署通過(guò)提供對(duì)安全的Internet 標(biāo)準(zhǔn)協(xié)議和身份驗(yàn)證機(jī)制的內(nèi)建支持，如Kerberos,公開密鑰基礎(chǔ)設(shè)施（PKI ）和安全套接字協(xié)議層（SSL）之上的輕便目錄訪問(wèn)協(xié)議（LDAP ）。緊密的控制安全性通過(guò)對(duì)目錄對(duì)象和構(gòu)成他們的單獨(dú)數(shù)據(jù)元素設(shè)置訪問(wèn)控制特權(quán)。2.2. 重要組策略介紹1.軟件分發(fā)策略通過(guò)組策略可以為域中的計(jì)算機(jī)或用戶自動(dòng)分發(fā)帶有msi 包的軟件。見(jiàn)下圖。2.將用戶的個(gè)人數(shù)據(jù)從pc 機(jī)上重定向到服務(wù)器上重定向有利于數(shù)據(jù)的安全以及集中備份。見(jiàn)下圖。3.安全類組策略密碼策略2“強(qiáng)制密碼歷史 ”設(shè)置確定在

16、重用舊密碼之前必須與用戶帳戶相關(guān)的唯一新密碼的數(shù)量。2配置 “密碼最長(zhǎng)使用期限”設(shè)置，以便密碼在環(huán)境需要時(shí)過(guò)期。2“密碼最短使用期限”設(shè)置確定了用戶更改密碼之前必須使用密碼的天數(shù)。2“最短密碼長(zhǎng)度 ”設(shè)置確保密碼至少包含指定數(shù)量的字符。2“密碼必須符合復(fù)雜性要求策略”選項(xiàng)檢查所有新密碼以確保它們符合強(qiáng)密碼的基本要求。l 賬號(hào)鎖定策略帳戶鎖定策略是一項(xiàng) Windows Server 2012 安全功能，它在指定時(shí)間段內(nèi)多次登錄嘗試失敗后鎖定用戶帳戶。允許的嘗試次數(shù)和時(shí)間段是由為安全策略鎖定設(shè)置配置的值決定的。用戶不能登錄到鎖定的帳戶。2“帳戶鎖定時(shí)間 ”設(shè)置確定在未鎖定帳戶且用戶可以嘗試再次登錄

17、之前所必須經(jīng)歷的時(shí)間長(zhǎng)度2“帳戶鎖定閾值 ”設(shè)置確定用戶在帳戶鎖定之前可以嘗試登錄帳戶的次數(shù)。2“復(fù)位帳戶鎖定計(jì)數(shù)器”設(shè)置決定了 “帳戶鎖定閾值 ”復(fù)位為0 以及帳戶被解鎖之前所必須經(jīng)過(guò)的時(shí)間長(zhǎng)度。l 禁用本地管理員帳號(hào)默認(rèn)情況下，每臺(tái)加入到域中的計(jì)算機(jī)都有Administrator 和 Guest 兩個(gè)帳號(hào)， Administrator 帳號(hào)在安裝時(shí)口令為空。用戶使用這個(gè)帳號(hào)權(quán)限過(guò)大，因此一般不會(huì)給用戶使用這個(gè)管理員帳號(hào)，最好的做法就是通過(guò)組策略禁用這個(gè)帳號(hào)，用戶使用域的帳號(hào)。l 將域帳號(hào)加入到每臺(tái)PC 機(jī)的本地 Power Users組中創(chuàng)建域帳號(hào)時(shí)，默認(rèn)情況下這個(gè)帳號(hào)只屬于Domain

18、Users 組中，該組屬于每臺(tái)PC 機(jī)的本地Users 組。本地 Users 組中的成員權(quán)限受到嚴(yán)格限制，比如共享文件夾，安裝打印機(jī)驅(qū)動(dòng)程序等工作的權(quán)限都沒(méi)有。而經(jīng)常有用戶需要這些權(quán)限，可以通過(guò)組策略來(lái)實(shí)現(xiàn)。l 禁用系統(tǒng)服務(wù)我們?yōu)閮?yōu)化系統(tǒng)和安全性考慮，經(jīng)常要禁用計(jì)算機(jī)的一些無(wú)需運(yùn)行的服務(wù)。我們可以通過(guò)組策略把這些服務(wù)禁用掉。l 軟件限制策略對(duì)一些規(guī)定不得使用的軟件可以通過(guò)組策略來(lái)禁用：2路徑規(guī)則：特殊文件路徑下的軟件不得使用：如program files 下的某些軟件2證書規(guī)則：只有系統(tǒng)管理員頒發(fā)過(guò)證書的軟件可以使用，其他軟件禁止使用2哈希規(guī)則：對(duì)禁止使用的軟件通過(guò)哈希運(yùn)算得到這個(gè)軟件的身份指

19、紋，在組策略里設(shè)置只要是符合身份指紋鑒定的軟件就進(jìn)行限制l 網(wǎng)絡(luò)連接控制策略用戶經(jīng)常會(huì)通過(guò)改變“網(wǎng)絡(luò)連接 ”中的設(shè)置，繞過(guò)企業(yè)防火墻，建立自己的上網(wǎng)鏈路，比如電話撥號(hào)上網(wǎng)。這樣會(huì)帶來(lái)很大的安全隱患?？梢酝ㄟ^(guò)組策略限制用戶不得改變網(wǎng)絡(luò)連接中的配置，不允許用戶通過(guò)其他方式連接互聯(lián)網(wǎng)。2.3. 計(jì)算機(jī)從工作組加入到域可能存在的問(wèn)題和解決方法把計(jì)算機(jī)從工作組模式加入到域模式可能會(huì)出現(xiàn)以下二個(gè)問(wèn)題問(wèn)題：1. 一些軟件不能使用。有一些軟件以登錄者的管理員權(quán)限帳號(hào)運(yùn)行，當(dāng)計(jì)算機(jī)加入到域并對(duì)登錄帳號(hào)做了權(quán)限設(shè)置，或禁用了本地管理員帳號(hào)，這些需要管理員權(quán)限運(yùn)行的軟件就有可能不能正常運(yùn)行。2. 用戶桌面環(huán)境發(fā)生改

20、變。由于加入域前后用戶是用不同的帳號(hào)登錄的，因此用戶以前的桌面環(huán)境無(wú)法使用。具體有2桌面上放置的資料2“我的文檔 ”等放置的資料2配置好的 “網(wǎng)絡(luò)打印機(jī) ”2IE 里設(shè)置好的 “網(wǎng)站收藏夾 ”等。解決方法：1.對(duì)問(wèn)題 1 我們可以按以下兩個(gè)方法來(lái)解決：(1)把域帳號(hào)加入到本地管理員組(2)卸載軟件，用域帳號(hào)登錄并安裝2.對(duì)問(wèn)題 2 針對(duì)不同的問(wèn)題分別解決如下：(1)把本地老帳號(hào)下的桌面內(nèi)容全部備份下來(lái)，復(fù)制到新域帳號(hào)的桌面(2)把本地老帳號(hào)下的“我的文檔 ”內(nèi)容全部備份下來(lái)，復(fù)制到新域帳號(hào)的“我的文檔 ”(3)重新連接和創(chuàng)建“網(wǎng)絡(luò)打印機(jī) ”(4)用特殊軟件把老帳號(hào)IE 里的 “網(wǎng)站收藏夾 ”備

21、份下來(lái)，然后恢復(fù)到新域帳號(hào)中3.活動(dòng)目錄方案實(shí)施3.1. AD 域命名和 DNS 的規(guī)劃Windows 2012 AD域命名和DNS的規(guī)劃之所以放在首要地位，是因?yàn)锳D作為整個(gè)IT架構(gòu)的基礎(chǔ)，不應(yīng)該輕易被調(diào)整。盡管安裝后，Windows 2012 AD仍然可以重組和改名，這一點(diǎn)比Windows 2000 AD有了很大的進(jìn)步，但是我們?nèi)匀唤ㄗh做一個(gè)長(zhǎng)遠(yuǎn)規(guī)劃，使得域命名和DNS 服務(wù)能夠滿足企業(yè)3-5 年的需求，盡量避免配置好后改作調(diào)整地巨大人力物力浪費(fèi)。此外，部署 Windows 2012 AD ，還必須確定DNS 服務(wù)器，確保它們滿足域控制器定位器系統(tǒng)的要求。一個(gè)支持 AD 的 DNS 至少需

22、要滿足以下要求：必須支持服務(wù)定位資源記錄（SRV ）應(yīng)該支持DNS 動(dòng)態(tài)更新協(xié)議（RFC 2136）Windows 2012 Server 提供的DNS 服務(wù)同時(shí)滿足這些要求，并且還提供下列重要的附加功能和改進(jìn)：Active Directory集成： DNS 服務(wù)把區(qū)域數(shù)據(jù)存儲(chǔ)在目錄中，使得DNS 復(fù)制創(chuàng)建多個(gè)主域，也減少了對(duì)維護(hù)一個(gè)單獨(dú)的DNS 區(qū)域傳送復(fù)制拓?fù)涞囊?。安全?dòng)態(tài)更新：使得一個(gè)管理員可以精確地控制哪些計(jì)算機(jī)可以更新哪些名稱，并防止未經(jīng)授權(quán)的計(jì)算機(jī)從 DNS 獲得現(xiàn)有的名稱。條件轉(zhuǎn)發(fā)：根據(jù)不同的對(duì)外訪問(wèn)的域名后綴，可以將用戶的DNS 名稱解析請(qǐng)求轉(zhuǎn)發(fā)到不同的外部DNS 服務(wù)器。存

23、根區(qū)域： 可以定時(shí)地刷新和外部DNS 服務(wù)器的連接， 及時(shí)發(fā)現(xiàn)那些可能有故障、不再響應(yīng)用戶請(qǐng)求的服務(wù)器，提高用戶DNS 名稱解析的效率。3.2. 確定 AD 邏輯結(jié)構(gòu)Windows 2012 活動(dòng)目錄的邏輯結(jié)構(gòu)由三個(gè)基本組件組成：森林、域和OU 。1、確定森林規(guī)劃森林是 Windows 2012 AD域的集合。在很多情況下，單一森林就足夠了。單一森林環(huán)境易于建立和維護(hù)，森林間的域自動(dòng)建立雙向可傳遞內(nèi)部信任關(guān)系，不要求手動(dòng)建立外部信任配置，在安裝Exchange 2013Server 等應(yīng)用程序時(shí)，只需應(yīng)用一次架構(gòu)更改即可影響所有域。如果各個(gè)單位有下列管理要求，就必須建立一個(gè)以上的森林：不互相信

24、任管理員。希望限制信任關(guān)系范圍。不同意某種森林架構(gòu)更改策略。架構(gòu)更改、配置更改會(huì)影響到森林中所有的域。如果單位不同意一個(gè)公共架構(gòu)策略，它們就不能共存于同一個(gè)森林中。2、制定域規(guī)劃規(guī)劃域結(jié)構(gòu)時(shí)，始終遵循 “簡(jiǎn)單是最好的投資 ”的設(shè)計(jì)原則，盡管增加某些復(fù)雜結(jié)構(gòu)可以增值，但是簡(jiǎn)單的結(jié)構(gòu)更易于說(shuō)明、維護(hù)和調(diào)試。一開始時(shí)總是僅考慮每個(gè)森林中僅有一個(gè)域，然后為每一個(gè)增加的新域提供詳細(xì)的理由，確保添加到森林中的域都是有益的，因?yàn)樗鼈儠?huì)帶來(lái)相應(yīng)的管理開銷而導(dǎo)致一定程度的成本上升。創(chuàng)建更多的域的三種可能的原因是：希望實(shí)現(xiàn)相對(duì)分散式得IT 管理模式：多域結(jié)構(gòu)更容易進(jìn)行相對(duì)獨(dú)立的管理、委派和權(quán)限控制。另外，不同的用

25、戶帳戶在一個(gè)域內(nèi)是不能出現(xiàn)重名的，多域之間就沒(méi)有限制。對(duì)于人士管理相對(duì)獨(dú)立的集團(tuán)下屬公司，多域結(jié)構(gòu)具有更好的靈活性。希望實(shí)現(xiàn)不同管理策略要求：包括用戶口令策略、賬戶鎖定策略和EFS 加密策略。例如，要求某些人必須取 8 個(gè)字符以上的口令， 而其它人不做限制。 為此，必須將這些需要不同安全策略的用戶放在單獨(dú)的域中。希望減小 WAN 上的復(fù)制流量：域控制器域間復(fù)制將產(chǎn)生比域內(nèi)復(fù)制少的多的流量。如果公司很大，具有跨地區(qū)的組織結(jié)構(gòu)，且處于同一個(gè)森林內(nèi)，則在不同地理位置上的機(jī)構(gòu)可能使用慢速的WAN 鏈路連接。為減少 WAN 上的 DC 復(fù)制流量，可以在不同的地理位置設(shè)置不同的域。根據(jù)以上考慮，我們建議，

26、企業(yè)Windows 2012 AD 域邏輯結(jié)構(gòu)可以采用“單森林、單域 ”的結(jié)構(gòu)設(shè)計(jì)。3.3. 確定 AD 物理結(jié)構(gòu)Windows 2012 AD 物理結(jié)構(gòu)主要是規(guī)劃站點(diǎn)拓?fù)?，用于幫助您決定在網(wǎng)絡(luò)的什么地方放置域控制器，以及管理域控制器之間的復(fù)制流量和用戶登錄流量?？紤]到企業(yè)的地理分布情況，應(yīng)該考慮使用多站點(diǎn)拓?fù)鋪?lái)規(guī)劃Windows 2012 AD物理結(jié)構(gòu)。從繪制基本的網(wǎng)絡(luò)拓?fù)洳季謭D著手工作，繪制所有可能的站點(diǎn)（Site）和站點(diǎn)鏈接（Site Link）。速度快（10Mbps 以上）、連接可靠的LAN網(wǎng)絡(luò)總是放置在單站點(diǎn)中。站點(diǎn)定義為一組通過(guò)快速、可靠的線路連接起來(lái)的IP子網(wǎng)。一般而言，具有LA

27、N速度或更快速度的網(wǎng)絡(luò)被認(rèn)為是快速網(wǎng)絡(luò)。窄帶的、或不太可靠的連接可以使用站點(diǎn)鏈接建立多站點(diǎn)網(wǎng)絡(luò)。通常， WAN 連接一般被認(rèn)為是窄帶連接。如果建立站點(diǎn)鏈接，實(shí)現(xiàn)多站點(diǎn)網(wǎng)絡(luò)模式，則：客戶計(jì)算機(jī)在登錄到域時(shí)首先試圖與位于同一站點(diǎn)的DC 通信；Windows 2012 AD 復(fù)制使用站點(diǎn)拓?fù)洚a(chǎn)生復(fù)制連接。3.4. 規(guī)劃 OU 結(jié)構(gòu)和組策略組織單元（ OU ）是一個(gè)用來(lái)在域中創(chuàng)建分層管理單位的容器。在域中創(chuàng)建OU 結(jié)構(gòu)時(shí)，必須注意始終按照“誰(shuí)管理什么 ”的原則，從 IT 管理的需要出發(fā)，劃分管理模型的結(jié)構(gòu)，而不是簡(jiǎn)單按照公司業(yè)務(wù)單位和它的不同分支、部門和項(xiàng)目來(lái)創(chuàng)建 OU 結(jié)構(gòu)?？紤] OU 的下列特性是

28、很重要的：OU 可以是嵌套的。一個(gè) OU 可以包含子 OU，使得可以在域中創(chuàng)建一個(gè)分層的目錄樹結(jié)構(gòu)。但是嵌套太多將導(dǎo)致管理復(fù)雜和低效，所以建議以二級(jí)嵌套為最理想，最多不應(yīng)超過(guò)四級(jí)嵌套。OU 可以用來(lái)委派管理和控制對(duì)目錄對(duì)象的訪問(wèn)。不能使 OU 成為安全組的成員， 也不能因?yàn)橛脩舯晃晒芾鞳U 或駐留在 OU 中而自動(dòng)獲得訪問(wèn)資源的權(quán)限?？梢栽?OU 上實(shí)施組策略。組策略是基于 Windows 2012 注冊(cè)表的修改， 從而集中控制用戶和計(jì)算機(jī)的工作環(huán)境、桌面配置、 軟件自動(dòng)安裝和刪除的管理手段。一般而言，安全策略必須在域級(jí)別實(shí)施，其它策略主要在OU 級(jí)別實(shí)施。不鼓勵(lì)用戶在 OU 結(jié)構(gòu)中瀏覽。沒(méi)

29、有必要設(shè)計(jì)一個(gè)吸引最終用戶的OU 結(jié)構(gòu)。盡管用戶有可能瀏覽一個(gè)域的OU 結(jié)構(gòu)，但對(duì)于用戶查找資源來(lái)說(shuō)，這并不是一個(gè)最有效的方法。在目錄中查找資源的最有效的方法是查詢?nèi)志庝?。有兩個(gè)理由需要在 Windows 2012域中創(chuàng)建 OU 結(jié)構(gòu)：創(chuàng)建 OU 以管理對(duì)象和委派授權(quán)。為組策略創(chuàng)建 OU 。一個(gè)完全為管理和委派而設(shè)計(jì)的OU 結(jié)構(gòu)與一個(gè)完全為組策略而設(shè)計(jì)的OU 結(jié)構(gòu)是不同的。 OU 結(jié)構(gòu)將很快變得相當(dāng)復(fù)雜。每次添加一個(gè)OU 到規(guī)劃中時(shí)，要記下創(chuàng)建的具體原因。這有助于確保每個(gè)OU 有一個(gè)目的，并將幫助閱讀規(guī)劃的人理解結(jié)構(gòu)所基于的理由。3.5. 創(chuàng)建 OU 以管理和委派在單位中委派管理有一些好處。

30、 以前，在單位中除了 IT 之外的組可能必須將更改請(qǐng)求提交到高級(jí)管理員，高級(jí)管理員代表他們進(jìn)行更改。委派特定的權(quán)限可以將責(zé)任分散到單位中的各個(gè)組，使您可以將必須有高級(jí)訪問(wèn)權(quán)限的用戶的數(shù)量降到最少。權(quán)限受到限制的管理員所發(fā)生的事故或錯(cuò)誤所產(chǎn)生的影響只限于他們負(fù)責(zé)的范圍。這一工作包括以下步驟：確定創(chuàng)建何種OU創(chuàng)建的 OU 結(jié)構(gòu)將完全取決于管理是如何在單位中委派的。委派管理的三種方法是：按物理位置、按業(yè)務(wù)單位（公司部門）、按角色或任務(wù)。三種方法經(jīng)常結(jié)合使用。修改訪問(wèn)控制列表：修改OU 的訪問(wèn)控制列表(ACL) 可以授予一個(gè)組對(duì)OU 的特定權(quán)限，從而實(shí)現(xiàn)對(duì)該量委派權(quán)限給組賬戶而不是單獨(dú)的用戶，如果可能

31、，委派到本地組而不是全局組或通用組。委派步驟。從域中的默認(rèn)結(jié)構(gòu)開始，按下列主要步驟創(chuàng)建OU 結(jié)構(gòu)：OU的委派管理。盡通過(guò)委派完全控制創(chuàng)建OU 的頂層；創(chuàng)建OU 的下層來(lái)委派每個(gè)對(duì)象類別控制。3.6. 創(chuàng)建 OU 支持組策略使用Windows 2012 ，可以使用組策略定義用戶和計(jì)算機(jī)配置，并將這些策略與站點(diǎn)、域或OU 關(guān)聯(lián)。是否要?jiǎng)?chuàng)建附加的OU 以支持組策略的應(yīng)用取決于制定的策略以及所選擇的實(shí)現(xiàn)方案，包括：定義客戶計(jì)算機(jī)的管理與桌面配置標(biāo)準(zhǔn)定義軟件的自動(dòng)分發(fā)特殊組策略應(yīng)用配置與管理在 Windows 2012 中，組策略設(shè)置是管理員啟用集中更改和配置客戶計(jì)算機(jī)管理的主要方法。可用組策略為某個(gè)特

32、定的用戶組和計(jì)算機(jī)組創(chuàng)建指定的安全限制和桌面環(huán)境配置。Windows 2012組策略有100 多種與安全有關(guān)的設(shè)置和450 多種基于注冊(cè)表的設(shè)置，為您管理用戶計(jì)算機(jī)環(huán)境提供了眾多選項(xiàng)。Windows 2012 組策略：可根據(jù)活動(dòng)目錄定義或在計(jì)算機(jī)本地進(jìn)行定義；可用 Microsoft 管理控制臺(tái)（ MMC ）或 *.adm 文件保存和管理；是安全的；不會(huì)在實(shí)施的策略改變時(shí)把設(shè)置留在用戶配置文件中；應(yīng)用于指定的活動(dòng)目錄容器（站點(diǎn)、域與 OU ）中的用戶或計(jì)算機(jī)；可由安全組的用戶或計(jì)算機(jī)成員進(jìn)一步控制；可用來(lái)配置多種類型的安全設(shè)；可用于實(shí)施登錄、注銷、啟動(dòng)及關(guān)閉腳本；可用于安裝和維護(hù)軟件；可用于重

33、定向文件夾（如My Documents 和Application Data文件夾）；可用于在Microsoft Internet Explorer中執(zhí)行維護(hù)?？梢园聪铝腥齻€(gè)步驟配置和管理組策略：管理站點(diǎn)、域或OU 的組策略鏈接：默認(rèn)情況下，只有域管理員組和企業(yè)管理員組可以配置站點(diǎn)、域或部門的組策略?？稍谡军c(diǎn)、域或“屬性 ”頁(yè)的 “組策略 ”選項(xiàng)卡中指定鏈接至站點(diǎn)、域或OU 的組策略對(duì)象。 Active Directory為基礎(chǔ)的安全設(shè)置。創(chuàng)建組策略對(duì)象：OU 的支持以每個(gè)屬性默認(rèn)情況下，只有域管理員組、企業(yè)管理員組和組策略創(chuàng)建者（所有者）組的成員可以創(chuàng)建新的組策略對(duì)象。如果域管理員想使一個(gè)非管

34、理員用戶或組能夠創(chuàng)建組策略對(duì)象，則可將該用戶或組添至組策略創(chuàng)建者（所有者）安全組中。這樣，他們就可以創(chuàng)建、修改自己的組策略對(duì)象，并成為該組策略對(duì)象的創(chuàng)建者和所有者。編輯組策略對(duì)象：默認(rèn)情況下，組策略對(duì)象接受域管理員、企業(yè)管理員及組策略創(chuàng)建者（所有者）組成員的完全控制，課以便機(jī)組策略，但非管理員用戶沒(méi)有設(shè)置組策略鏈接的應(yīng)用權(quán)。3.7. 應(yīng)用組策略選項(xiàng)如果能認(rèn)真應(yīng)用組策略選項(xiàng)，即使開始用數(shù)據(jù)極其多的文件夾重定向選項(xiàng)和軟件安裝選項(xiàng)，也能夠改善網(wǎng)絡(luò)的響應(yīng)時(shí)間。應(yīng)恰當(dāng)?shù)貞?yīng)用組策略選項(xiàng)，尤其在剛開始時(shí)，更要仔細(xì)測(cè)試所有建議的更改，以確保不損壞網(wǎng)絡(luò)性能。下面是一些可用的選項(xiàng)：安全組篩選選項(xiàng)：可針對(duì)某個(gè)特定組

35、策略對(duì)象實(shí)施篩選，使之不能對(duì)篩選的計(jì)算機(jī)和用戶組生效。不許替代（強(qiáng)制繼承）和阻止繼承選項(xiàng)：例如，如果在域?qū)哟味x了一個(gè)指定的組策略對(duì)象，并已指定組對(duì)象是強(qiáng)制的（不許替代），那么組策略對(duì)象所包含的策略設(shè)置就會(huì)應(yīng)用于該域中的所有 OU ；層次較低的容器 (OU) 將無(wú)法替代此域的組策略，一般用于安全設(shè)置。也可阻止從父 Active Directory 容器繼承組策略。但是，不許替代（強(qiáng)制繼承）策略選項(xiàng)始終比阻止繼承策略選項(xiàng)優(yōu)先。處理 “環(huán)回 ”策略設(shè)置的策略選項(xiàng)：默認(rèn)的設(shè)置使計(jì)算機(jī)策略優(yōu)先于用戶策略起作用，但有時(shí)必須要優(yōu)先實(shí)施用戶策略，組策略的環(huán)回功能使管理員能夠?qū)崿F(xiàn)這一設(shè)置。主要用在軟件安裝這一類的策略上。低速鏈接處理的選項(xiàng)：許多用戶，如使用便攜式計(jì)算機(jī)的用戶、遠(yuǎn)離建筑物或在分部工作的用戶，有時(shí)會(huì)用低速連接至網(wǎng)絡(luò)?？蓪?duì)組策略進(jìn)行配置，使部分策略不