域管控方案匯編

1、目錄活 動 目 錄 結 構 規(guī) 劃活 動 目 錄 實 施 計 劃分公司加域方案電腦加域后問題資源需求活動目錄介紹01 活動目錄AD是Windows Server網(wǎng)絡體系結構中一個基本且不可分割的部分，它為計算機用戶、管理員和應用程序提供了一套分布式網(wǎng)絡環(huán)境。活動目錄使得組織機構可以有效地對有關網(wǎng)絡資源和用戶的信息進行共享和管理。另外，活動目錄在網(wǎng)絡安全方面也扮演著中心授權機構的角色，從而使操作系統(tǒng)可以輕松地驗證用戶身份并控制其對網(wǎng)絡資源的訪問。同時，它也幫助組織機構通過使用基于Windows的應用程序和與Windows相兼容的設備對非Windows系統(tǒng)進行集成，從而實現(xiàn)鞏固目錄服務并簡化對整個

2、網(wǎng)絡操作系統(tǒng)的管理。AD介紹現(xiàn)狀和問題 企業(yè)網(wǎng)絡中計算機默認處于工作組（WorkGroup）網(wǎng)絡模式，工作組網(wǎng)絡是一種對等網(wǎng)絡，網(wǎng)絡中的計算機地位平等，計算機之間互不干擾，正因為工作組是一種對等網(wǎng)絡，所以它存在以下問題。管理分散資源共享和賬號管理分散，所有的設置都要在計算機本地進行設置，無法統(tǒng)一管理“人機”不分若要登陸到計算機必須先創(chuàng)建賬號數(shù)據(jù)安全性較差只要能登陸到計算機，就能查看、修改，甚至刪除他人文件安全策略不統(tǒng)一計算機的安全策略必須在每臺計算機本地設置補丁更新不能控制域網(wǎng)絡優(yōu)勢 集中管理各類網(wǎng)絡資源和賬號資源 安全性加強，權限管理更明確 賬戶漫游和文件夾重定向 方便用戶使用各種共享資源

3、SMSSMS（System Management ServerSystem Management Server）系統(tǒng)管理服務 微軟系（MSMS） 軟件方便集成項目工作組網(wǎng)絡域網(wǎng)絡登陸本地賬號，本地登陸本地賬號和域賬號均可登陸，域賬號由DC控制器統(tǒng)一驗證，域賬號可登陸任何一臺域內計算機賬號本地創(chuàng)建，本地修改統(tǒng)一創(chuàng)建和修改，且密碼安全性更高桌面環(huán)境本機單獨配置統(tǒng)一配置，可提升企業(yè)形象權限本機權限集中管理，分組授權分組修改網(wǎng)絡資源訪問多人共用一個賬號或者為每個人單獨創(chuàng)建訪問賬號，需要多次身份驗證域賬號單一驗證，只需把賬號加入不同權限分組網(wǎng)絡連接性能高較低安全管理設置簡單，只需要在本機設置，但若主機太

4、多，無法統(tǒng)一管理設置較復雜，在服務器上設置統(tǒng)一的安全策略，再下發(fā)到客戶機上，不需要在客戶機上單獨設置數(shù)據(jù)安全安全性低，只要能登陸主機就能查看，修改，刪除其他人文件安全性高，文件所有者擁有對文件的絕對控制權，其他人不能訪問單一登陸無法實現(xiàn)可以實現(xiàn)組策略無法實現(xiàn)不同分組，不同部門實行不同的安全策略域網(wǎng)絡和工作組網(wǎng)絡對比02基于對站點的安全和穩(wěn)定性要求，計劃在總公司機房架設兩臺域控制器，互為主備，主要用于全公司內的賬號服務管理。根據(jù)公司情況，采用單域模式站點：XXX公司功能級別：Windows Server 2012 r2域名：（待定）域結構設計域網(wǎng)絡拓撲Server角色1、AD：DC1為主域控制器

5、，DC2為輔控制器并與DC同步2、DNS：DC1與DC2均安裝DNS服務，DC2與DC1同步3、WINS：DC1與DC2均安裝WINS服務，并設置為復制伙伴4、DHCP：可以為客戶端分配IP地址（可選服務）OU也稱為組織單元，是一個容器對象，用于管理域中的對象?？梢栽谟蛑袆?chuàng)建組織單位的層次結構，組織單位可包含用戶、組、計算機、打印機，共享文件夾以及其他組織單位，它能夠反映企業(yè)內部的組織結構。對OU結構做如下規(guī)劃：OU結構設計策略設計組策略是管理員為用戶和計算機定義并控制程序、網(wǎng)絡資源及操作系統(tǒng)行為的主要工具。通過使用組策略可以設置各種軟件、計算機和用戶策略。通過設置策略能更好地滿足企業(yè)的系統(tǒng)安

6、全、網(wǎng)絡安全、數(shù)據(jù)保護及個性化等需求。策略具有如下功能： 賬戶安全設定 權限分配設定 安全性腳本設定 工作環(huán)境設定基本策略設計項目序號內容備注賬號原則1.1取消用戶本地賬號的權限，用戶必須使用域賬號登錄1.2用戶計算機密碼長度至少8位且符合復雜性要求。1.3用戶域賬號密碼有效期限為90天且提前7天前提示變更天數(shù)可按求調整1.4用戶域賬號鎖定閥值為5次，鎖定時間為30分鐘1.5定期變更用戶計算機administrator賬號密碼1.6禁用用戶計算機Guest賬號桌面管理2.1域計算機統(tǒng)一桌面背景2.2域計算機統(tǒng)一開始菜單樣式IE設定3.1禁止變更Proxy設定根據(jù)用戶需求設定3.2禁用Inter

7、net連接向導根據(jù)用戶需求設定3.3禁用IE更改主頁設置根據(jù)用戶需求設定3.4禁止變更IE安全性設定根據(jù)用戶需求設定信息安全設定4.1禁用USB存儲設備特殊需求申請開通4.2禁止訪問網(wǎng)絡連接的屬性。管理員群組例外4.3開啟遠程桌面連接4.4統(tǒng)一配置Windows Update設定4.5禁止安裝軟件管理員群組例外4.6禁止用戶建立共享管理員群組例外4.7屏幕保護啟用密碼保護4.8禁止特定軟件運行電源節(jié)能設定5.1定時啟用屏幕保護功能數(shù)據(jù)同步在一個完整的域網(wǎng)絡中，是存在多臺域控制器的，Active Directory數(shù)據(jù)存儲在域控制器內，當一臺域控制器的Active Directory數(shù)據(jù)發(fā)生變動

8、，這個變動的數(shù)據(jù)會被自動復制到其他域控制器的Active Directory內。Active Directory數(shù)據(jù)復制主要有兩種方式：1、多主機模式。域控制器之間互相復制，當有數(shù)據(jù)變更時，可以在任意一臺控制器上進行操作，數(shù)據(jù)變更后會自動復制到其他控制器。AD內的大部分數(shù)據(jù)復制都是這種模式。2、單主機模式。單主機模式下，當提出變更對象數(shù)據(jù)的要求時，有其中一臺域控制器(操作主機)負責接受和處理，然后再由“操作主機”復制到其他的域控制器。AD內少部分數(shù)據(jù)復制是這種模式。 容災和備份Active Directory域服務(ADDS)是Windows基礎結構中針對關鍵任務的組件。如果Active Di

9、rectory出現(xiàn)故障，網(wǎng)絡實際就崩潰了。因此，Active Directory的備份和恢復計劃是安全性、業(yè)務連續(xù)性的基礎。 備份策略：使用Windows Server backup對Domain Controller活動目錄進行定期備份。容災策略：Active Directory環(huán)境配置多臺Domain Controller，提供冗余環(huán)境。03實施計劃步驟步驟步驟描述步驟描述計劃時間計劃時間容錯步驟容錯步驟1 1域名確定0.5天2 2準備硬件設備0.5天3 3在兩臺主備域控服務器上安裝Windows server 2012 R2系統(tǒng)，升級到最新版本1-2天4 4在主域控制服務器上安裝AD、D

10、NS、DHCP、WINS角色1天5 5將額外域控制器服務器加入域中0.5天DNS配置6 6在額外域控服務器上安裝AD、DNS、DHCP、WINS角色，實現(xiàn)與主域控制服務器的冗余1天DNS配置7 7確定并建立OU組織架構1天8 8基本域控策略規(guī)劃1-2天9 9客戶端加入域測試DNS配置1010創(chuàng)建用戶賬號1天1111總公司客戶端加入域DNS配置1212完善域控策略1313分公司客戶端加入域DNS配置1414權限委派待解決問題 確定域名 確定OU結構 權限分配（用戶權限，域控權限） 客戶端計算機名規(guī)則 客戶端系統(tǒng)標準化 客戶端防病毒軟件04方案設計一在各分公司增加域控站點，分公司客戶端的登陸驗證服

11、務優(yōu)先由站點提供，站點和總公司域控制器進行數(shù)據(jù)復制。此方案的網(wǎng)絡利用率更高，即使分公司和總公司之間網(wǎng)絡斷開，只要分公司內部網(wǎng)絡正常，站點依然可以為分公司客戶端提供驗證服務。待和總公司網(wǎng)絡恢復后，站點再和總公司域控制器進行數(shù)據(jù)復制。域拓撲結構如下：方案設計二分公司客戶端由總公司統(tǒng)一管控，總公司有兩臺控制器（主和備），總公司客戶端首選DNS為主域控，分公司客戶端首選DNS為備域控。此方案對網(wǎng)絡需求較第一種方案要高，因為分公司的客戶端直接和總公司域控制器進行通信，一旦出現(xiàn)網(wǎng)絡故障，域控制器無法為分公司客戶端提供驗證服務。域拓撲結構如下：方案對比內容方案一方案二驗證服務 優(yōu)先站點控制器驗證總部域控制器

12、驗證網(wǎng)絡需求較高，客戶端優(yōu)先和站點通訊，站點和總部通訊很高，客戶端直接和總部通訊成本控制成本增加，需要各分公司分別增加服務器總部有服務器即可PPT模板下載： 行業(yè)PPT模板： 節(jié)日PPT模板： PPT素材下載： PPT圖表下載： 優(yōu)秀PPT下載： PPT教程： Word教程： Excel教程： 資料下載： PPT課件下載： 范文下載： 試卷下載： 教案下載： 字體下載： 05常見問題把計算機從工作組模式換成域網(wǎng)絡模式，用戶在首次登陸計算機時可能會出現(xiàn)一些問題，主要包含以下幾點： 部分軟件不能使用 有些軟件在安裝時，會針對當前登陸用戶創(chuàng)建用戶配置，還有些 軟件必須是管理員身份才能運行。當更換到域

13、用戶后配置不在生 效，默認域用戶也不是管理員，所以軟件無法運行。 解決方法：使用域賬戶重新安裝軟件，把域賬戶加入到管理員組。 用戶桌面環(huán)境發(fā)生變化 因為更換了賬戶，所以桌面環(huán)境會發(fā)生改變，主要包含以下內容 桌面上放置的資料、“我的文檔”內的資料、配置好的網(wǎng)絡打印 機、IE里設置好的“網(wǎng)站收藏夾”等。 解決方法：備份老賬號內的個人文件拷貝到新的賬號內，重新連 接打印機。常見問題 電腦脫離域網(wǎng)絡如何使用1.賬號在首次登陸任何一臺已加域電腦時，需要保證此臺電腦在與網(wǎng)絡環(huán)境中才能驗證登陸成功，在首次登陸成功后在計算機本地會生成賬戶配置，以后登陸即使脫離網(wǎng)絡也是可以登陸的。2.創(chuàng)建本地備用賬號，在非域網(wǎng)

14、絡環(huán)境下使用本地賬號登陸電腦。但是本地賬號沒有權限訪問域賬號文件(管理員可以更改訪問權限)，需要用戶提前將相關文件拷貝到公共區(qū)。PPT模板下載： 行業(yè)PPT模板： 節(jié)日PPT模板： PPT素材下載： PPT圖表下載： 優(yōu)秀PPT下載： PPT教程： Word教程： Excel教程： 資料下載： PPT課件下載： 范文下載： 試卷下載： 教案下載： 字體下載： 06分公司電腦統(tǒng)一由總司管控硬件需求軟件需求系統(tǒng)型號版本語言參考價需求數(shù)量參考總價用途windows server windows server 2012 R22012 R2標準版中文450029000域控服務器Windows 10Windows 10企業(yè)版中文1400250350000辦公終端359000品牌型號類型描述參考價 需求數(shù)量 參考總價 參考來源用途虛擬機 虛擬機虛擬機 4G內存/60G硬盤-2-總公司域控服務器硬件需求軟件需求系統(tǒng)型號版本語言參考價需求數(shù)量參考總價用途windows serv