1、Windows AD域架構設計方案目錄一、前言3 1.1 現狀及存在問題的調研3 1.2 AD域架構的應用給公司管理帶來的優勢4 1.3 域架構設計原則 5二、公司域架構規劃5 2.1 域架構部署規劃5 2.2 通過OU、GPO 和用戶組實現域安全的管理6 2.4 硬件部署調試計劃7一、前言 由于Windows 網絡系統架構在公司應用中的普及，公司會面臨大量客戶端及服務器的統一安全管理；AD域的規劃架構需要根據公司現有的網絡規模布局和IT管理制度，以適應公司當前和長遠的發展需求，有效地保護用戶的資料，減少用戶的風險。 針對整個公司的域架構規劃和實施，前期需要先完成公司域規劃及部署：實現公司統一

2、的目錄服務管理，統一的公司用戶信息、安全策略。 Windows 網絡架構客戶端默認屬于工作組的辦公環境，所有的用戶賬號均保存在本地客戶端上，網絡共享數據時只能允許所有人everyone 查看的權限，數據共享及網絡安全存在較多的風險。Windows 域架構管理模式可以解決眾多網絡安全性問題，域環境下可以輕易實現網絡用戶賬號的集中管理，規范客戶端密碼長度和復雜性；在域環境下，可以實現所有客戶端系統的補丁自動更新，有效提高服務器及桌面系統的安全性。 在Windows AD域的辦公環境下，并不會太多改變原有的客戶端工作組下的辦公習慣；域賬號登陸默認緩存功能，用戶離開公司網絡，同樣可以使用域用戶賬號在本

3、機登陸，不會改變原有工作組的工作習慣。 另外公司應用系統中，很多應用系統是基于微軟的AD架構，如MS Cluster集群高可用系統、Exchange 郵件系統、OCS及時通訊系統、MOSS 公司門戶網站協作系統等等；所以AD域的架構管理不但可以方便公司內部安全管理，還為以后的公司應用擴展提供了系統基礎。 服務器和桌面電腦管理 如何統一管理服務器和桌面系統安全策略 如何統一管理桌面系統的應用 如何保持所有系統安全補丁升級到最新 身份管理大量的用戶登錄名和目錄簡單或空白的密碼不安全的訪問網絡和應用資源不當的admin權限開放客戶端自行管理安全客戶端自行管理資源當前環境統一的安全規范統一方便的資源管

4、理域 環境單一登陸權限控制病毒防控用戶規范1.可控的資源訪問可控的資源訪問2.靈活的文件權限靈活的文件權限3.統一的桌面規則統一的桌面規則4.非域用戶無法訪非域用戶無法訪問公司資源問公司資源1.統一的病毒設置統一的病毒設置2.統一的更新設置統一的更新設置3.統一的用戶權限統一的用戶權限用戶方面管理方面1.方便訪問各種資源方便訪問各種資源2.從各位置登陸桌面從各位置登陸桌面3.用戶文件在服務器用戶文件在服務器1.集中部署軟件集中部署軟件2.集中更新升級軟件集中更新升級軟件2.集中備份數據集中備份數據 在進行總體框架設計時，考慮到公司的現有網絡架構及公司管理體系，微軟在AD域設計方面推薦遵循的是以

5、下原則 n穩定性 在系統結構設計上要充分考慮到系統運行的穩定性。系統平臺方面要考慮各種系統配置對穩定性的影響，系統必須經過嚴格的測試，包括功能測試、在各種系統環境或系統配置上的測試等，確保系統在多種設備環境上能夠穩定運行。必要時，可以通過遠程管理、監控手段與本地系統管理相結合的方式，保證系統的穩定、可靠。 n易管理 系統平臺的管理要盡量簡單，盡量少地使用戶涉及到系統平臺的管理工作，必要的管理任務也要提供相應的培訓、幫助資料甚至操作引導界面來幫助用戶順利地完成工作。信息交換系統的管理在設計時也要考慮到易管理性方面的要求，通過操作引導界面輔助用戶完成所需的數據交換的管理工作。 n易維護 系統的結構

6、設計要易于維護，組成系統的功能元素要具有一定的獨立性，可以根據用戶的需要進行替換而不影響或很少影響其他功能元素，并能夠與其他功能元素協作共同完成用戶的功能。 n 易擴展 系統無論是在業務功能上，還是在信息的交換規范上都應當易于擴展，以便適應今后業務的發展。 n易用性 系統的操作應盡量簡單，對操作提示、錯誤報告、監控信息反饋等要全面、詳細，真正做到易學、易用、易培訓。 n安全性 使用系統平臺的相關安全設置以及應用系統的安全性實現，實現整個系統的安全性。確保系統不被非授權用戶侵入，數據不丟失，確認發送者和接收者的身份，保證傳輸數據不被非法獲取、篡改等。 n統一性 各級系統的建設要遵循統一的要求進行

7、，在平臺、應用系統、應用策略、安全管理等方面保持一致，提供統一的用戶體驗，保證系統內部數據傳輸服務的可靠性。二公司域架構規劃2.1 域架構部署規劃 域結構設計是活動目錄中最重要，它既要盡可能貼近用戶的管理模式和組織結構，也要考慮網絡情況及今后的各種變化。我們依據微軟活動目錄結構的設計原則，用最簡單的結構來滿足客戶的管理需求。在域的管理架構OU組織單位設計上基于公司的管理模式而不是公司的組織結構圖。 以下是單域結構相對于其他結構的優點：l 集中管理整個公司的安全策略。l 集中管理整個公司的組策略。l 完全利用組織單元反映公司的管理結構。l 當公司機構重組時可以非常靈活的進行調整。l 當資源和用戶

8、需要在組織機構內遷移時可以非常靈活的調整。l 相對其它方案可以使用較少的域控制器。l 用戶在查找AD內的信息時相對簡單。l 單一的組策略更容易實施。 公司的AD域架構以及服務器部署完成后，在域管理上，我們利用域的組織單元OU進行公司管理架構的設計及進行公司管理策略的分配。在OU組織單位設計上我們基于公司的管理模式而不按照公司的組織結構進行設置。OU組織單元的設計將遵循的原則組織單元的設計將遵循的原則反映公司內部的組織結構反映公司機密程度需求有利于通過組策略進行細化的終端管理 OU作為域的基本管理單元，在域內，管理員可以按照不同的OU組織單元運用不同級別的組策略安全設置。通過組策略應用的安全更改類型包括：l修改文件系統的權限。l修改注冊表對象的權限。l更改注冊表中的設置。l更改用戶權限分配。l配置系統服務。l配置審核和事件日志。l設置帳戶和密碼策略。l配置桌面系統環境等等。服務器調整購買主域控制器架