公司ad域架構設計方案及對策

1、<p><b>　　目 錄</b></p><p><b>　　一 前言3</b></p><p>　　1.1 企業(yè)IT面臨的挑戰(zhàn)3</p><p>　　1.2 AD域架構的應用給企業(yè)管理帶來的優(yōu)勢4</p><p>　　1.3 域架構設計原則4</p>&

2、lt;p>　　二．公司域架構規(guī)劃5</p><p>　　2.1 域架構部署規(guī)劃5</p><p>　　2.2 通過OU、GPO 和用戶組實現(xiàn)域安全的管理6</p><p><b>　　一 前言</b></p><p>　　由于Windows 網(wǎng)絡系統(tǒng)架構在企業(yè)應用中的普及，企業(yè)會面臨大量客戶端及服務器的統(tǒng)一安

3、全管理； AD域的規(guī)劃架構需要根據(jù)企業(yè)現(xiàn)有的網(wǎng)絡規(guī)模布局和IT管理制度，以適應企業(yè)當前和長遠的發(fā)展需求，有效地保護用戶的資料，減少用戶的風險。</p><p>　　針對整個公司的域架構規(guī)劃和實施，前期需要先完成企業(yè)域規(guī)劃及部署；實現(xiàn)公司統(tǒng)一的目錄服務管理，統(tǒng)一的企業(yè)用戶信息、安全策略。</p><p>　　Windows 網(wǎng)絡架構客戶端默認均屬于工作組的辦公環(huán)境，所有的用戶賬號均保存在本地

4、客戶端上，網(wǎng)絡共享數(shù)據(jù)時只能允許所有人everyone 查看的權限，數(shù)據(jù)共享及網(wǎng)絡安全存在較多的風險。Windows 域架構管理模式可以解決眾多網(wǎng)絡安全性問題，域環(huán)境下可以輕易實現(xiàn)網(wǎng)絡用戶賬號的集中管理，規(guī)范客戶端密碼長度和復雜性；在域環(huán)境下，可以實現(xiàn)所有客戶端系統(tǒng)的補丁自動更新，有效提高服務器及桌面系統(tǒng)的安全性。</p><p>　　在Windows AD域的辦公環(huán)境下，并不會太多改變原有的客戶端工作組下的辦公

5、習慣；域賬號登陸默認緩存功能，用戶離開公司網(wǎng)絡，同樣可以使用域用戶賬號在本機登陸，不會改變原有工作組的工作習慣。 另外企業(yè)應用系統(tǒng)中，很多應用系統(tǒng)是基于微軟的AD架構，如MS Cluster集群高可用系統(tǒng)、Exchange 郵件系統(tǒng)、OCS及時通訊系統(tǒng)、MOSS 企業(yè)門戶網(wǎng)站協(xié)作系統(tǒng)等等；所以AD域的架構管理不但可以方便企業(yè)內(nèi)部安全管理，還為以后的企業(yè)應用擴展提供了系統(tǒng)基礎。</p><p>　　工作組環(huán)境下企業(yè)

6、IT面臨的挑戰(zhàn)</p><p><b>　　身份管理</b></p><p>　　大量的用戶登錄名和目錄</p><p><b>　　不牢固的密碼</b></p><p>　　安全訪問網(wǎng)絡和應用資源</p><p>　　增加的桌面系統(tǒng)維護費用</p><p

7、>　　服務器和桌面電腦管理</p><p>　　如何統(tǒng)一管理服務器和桌面系統(tǒng)安全策略</p><p>　　如何統(tǒng)一管理桌面系統(tǒng)的應用</p><p>　　如何保持所有系統(tǒng)安全補丁升級到最新</p><p>　　1.2 AD域架構的應用給企業(yè)管理帶來的優(yōu)勢</p><p><b>　　提高IT運行效率&

8、lt;/b></p><p>　　Windows的管理效率提高30%</p><p>　　集中管理服務器和桌面系統(tǒng)</p><p>　　減少目錄帳戶和密碼的數(shù)量</p><p><b>　　對用戶實施權限管理</b></p><p>　　劃分不同級別的權限來進行用戶管理</p>

9、<p>　　限制低級別用戶訪問高級別用戶的相關資源</p><p>　　拒絕未經(jīng)授權的用戶訪問域內(nèi)資源</p><p><b>　　增強的網(wǎng)絡安全</b></p><p>　　強制用戶使用復雜的密碼</p><p>　　通過域的安全邊界，實現(xiàn)域內(nèi)資源的保護，增強企業(yè)網(wǎng)絡的安全性</p><

10、p>　　通過域的安全更新策略，實現(xiàn)MS WSUS 統(tǒng)一更新域內(nèi)的所有計算機客戶端的系統(tǒng)安全補丁</p><p>　　通過對域內(nèi)資源的權限設置和統(tǒng)一安全策略的制定，減少安全隱患的產(chǎn)生</p><p>　　單一管理對網(wǎng)絡資源的訪問</p><p>　　提高信息工作者生產(chǎn)力</p><p>　　快速找到需要的各種資源；</p>

11、<p><b>　　實現(xiàn)單點登錄</b></p><p>　　能提高員工的協(xié)作能力</p><p>　　1.3 域架構設計原則</p><p>　　在進行總體框架設計時，考慮到公司的現(xiàn)有網(wǎng)絡架構及公司管理體系，微軟在AD域設計方面推薦遵循以下原則：</p><p><b>　　穩(wěn)定性</b&g

12、t;</p><p>　　在系統(tǒng)結構設計上要充分考慮到系統(tǒng)運行的穩(wěn)定性。系統(tǒng)平臺方面要考慮各種系統(tǒng)配置對穩(wěn)定性的影響，系統(tǒng)必須經(jīng)過嚴格的測試，包括功能測試、在各種系統(tǒng)環(huán)境或系統(tǒng)配置上的測試等，確保系統(tǒng)在多種設備環(huán)境上能夠穩(wěn)定運行。必要時，可以建立管理中心，通過遠程管理、監(jiān)控手段與本地系統(tǒng)管理相結合的方式，保證系統(tǒng)的穩(wěn)定、可靠。</p><p><b>　　易管理</b>

13、;</p><p>　　系統(tǒng)平臺的管理要盡量簡單，盡量少地使用戶涉及到系統(tǒng)平臺的管理工作，必要的管理任務也要提供相應的培訓、幫助資料甚至操作引導界面來幫助用戶順利地完成工作。信息交換系統(tǒng)的管理在設計時也要考慮到易管理性方面的要求，通過操作引導界面輔助用戶完成所需的數(shù)據(jù)交換的管理工作。</p><p><b>　　易維護</b></p><p>

14、　　系統(tǒng)的結構設計要易于維護，組成系統(tǒng)的功能元素要具有一定的獨立性，可以根據(jù)用戶的需要進行替換而不影響或很少影響其他功能元素，并能夠與其他功能元素協(xié)作共同完成用戶的功能。</p><p><b>　　易擴展</b></p><p>　　系統(tǒng)無論是在業(yè)務功能上，還是在信息的交換規(guī)范上都應當易于擴展，以便適應今后業(yè)務的發(fā)展。</p><p><

15、;b>　　易用性</b></p><p>　　系統(tǒng)的操作應盡量簡單，對操作提示、錯誤報告、監(jiān)控信息反饋等要全面、詳細，真正做到易學、易用、易培訓。</p><p><b>　　安全性</b></p><p>　　使用系統(tǒng)平臺的相關安全設置以及應用系統(tǒng)的安全性實現(xiàn)，實現(xiàn)整個系統(tǒng)的安全性。確保系統(tǒng)不被非授權用戶侵入，數(shù)據(jù)不丟失，確

16、認發(fā)送者和接收者的身份，保證傳輸數(shù)據(jù)不被非法獲取、篡改等。</p><p><b>　　統(tǒng)一性</b></p><p>　　各級系統(tǒng)的建設要遵循統(tǒng)一的要求進行，在平臺、應用系統(tǒng)、應用策略、安全管理等方面保持一致，提供統(tǒng)一的用戶體驗，保證系統(tǒng)內(nèi)部數(shù)據(jù)傳輸服務的可靠性。</p><p><b>　　二．公司域架構規(guī)劃</b>&

17、lt;/p><p>　　2.1 域架構部署規(guī)劃</p><p>　　域結構設計是活動目錄中最重要，它既要盡可能貼近用戶的管理模式和組織結構，也要考慮網(wǎng)絡情況及今后的各種變化。我們依據(jù)微軟活動目錄結構的設計原則，用最簡單的結構來滿足客戶的管理需求。在域的管理架構OU組織單位設計上基于公司的管理模式而不是公司的組織結構圖。</p><p>　　以下是單域結構相對于其他結構的

18、優(yōu)點：</p><p>　　集中管理整個公司的安全策略。</p><p>　　集中管理整個公司的組策略。</p><p>　　完全利用組織單元反映公司的管理結構。</p><p>　　當公司機構重組時可以非常靈活的進行調(diào)整。</p><p>　　當資源和用戶需要在組織機構內(nèi)遷移時可以非常靈活的調(diào)整。</p>

19、<p>　　相對其它方案，可以使用較少的域控制器。</p><p>　　簡單的名字空間設計 – 只需要1個DNS名字后綴.</p><p>　　用戶在查找AD內(nèi)的信息時相對簡單。</p><p>　　單一的組策略更容易實施。</p><p>　　單域模型是首選的模型：</p><p>　　用戶永遠不需要在

20、多個域之間移動。</p><p>　　不需要跨越多個域的重復組策略設置。</p><p>　　整個企業(yè)內(nèi)實施統(tǒng)一的安全規(guī)范；</p><p>　　任何域控制器都可以處理任何用戶處理的身份驗證。</p><p>　　公司的整個域架構采用單域模式，部署一臺AD域服務器，實現(xiàn)對所有用戶信息的統(tǒng)一管理和身份的驗證。</p><p&

21、gt;　　活動目錄的建設目標是，更新目前客戶使用的活動目錄，為全公司的工作人員提供統(tǒng)一的目錄服務。使得活動目錄可以達到如下的目標：將企業(yè)的安全性集成到 Active Directory 中，基于策略的管理模式減輕了最為復雜的企業(yè)網(wǎng)絡管理。企業(yè)IT可管理整個網(wǎng)絡中的服務器及客戶端訪問資源，只有獲得授權的網(wǎng)絡用戶可訪問網(wǎng)絡上指定的資源。</p><p>　　2.2 通過OU、GPO 和用戶組實現(xiàn)域安全的管理</

22、p><p>　　企業(yè)的AD域架構及服務器部署完成以后，在域管理上，我們利用域的組織單元OU進行企業(yè)管理架構的設計及進行企業(yè)管理策略的分配。在OU組織單位設計上我們基于公司的管理模式而不按照公司的組織結構進行設置。</p><p>　　OU組織單元的設計將遵循的原則：</p><p>　　反映企業(yè)內(nèi)部的組織結構</p><p>　　反映企業(yè)機密程度

23、需求</p><p>　　有利于通過組策略進行細化的終端管理</p><p>　　OU作為域的基本管理單元，在域內(nèi)，管理員可以按照不同的OU組織單元運用不同級別的組策略安全設置。通過組策略應用的安全更改類型包括：</p><p>　　修改文件系統(tǒng)的權限。</p><p>　　修改注冊表對象的權限。</p><p>　　

24、更改注冊表中的設置。</p><p><b>　　更改用戶權限分配。</b></p><p><b>　　配置系統(tǒng)服務。</b></p><p>　　配置審核和事件日志。</p><p>　　設置帳戶和密碼策略。</p><p>　　配置桌面系統(tǒng)環(huán)境等等</p>

25、<p>　　在域內(nèi)我們可以方便的利用域用戶、用戶組設置公司文件服務器的訪問權限控制，以及控制網(wǎng)絡共享文件夾的磁盤配額和文件存儲類型。用戶組作為域中具有相同權限用戶的集合，我們可以簡化文件訪問權限的設定和管理。</p><p>　　為確保只有授權用戶可以訪問企業(yè)文件夾中的數(shù)據(jù)，我們可以針對文件夾進行權限設置。共享權限僅應用于通過網(wǎng)絡訪問資源的用戶。安全權限應用于本地訪問文件夾的權限；兩者共同設定取兩者最