AD活动目录方案建议.doc

XXX集团微软动目录 2014年08月 目 录 一、方案概述 2 二、项目背景 3 三、微软AD身份安全管理解决方案介绍 3 3.1 AD身份安全管理解决方案概述 3 3.2 客户面临挑战与解决方案商业价值 4 3.3 解决方案架构 6 3.4 活动目录优势 7 四、方案设计 10 4.1 方案架构设计 10 4.2 部署方案 11 4.3 项目涉及软硬件产品与服务 11 一、案概 通过部署微软操作系统活动目录（AD），为企业建立统一管理控制的计算机用户管理和授权控制系统。从而实现对企业内部网络安全的集中控制，有效防止非法登录和授权活动的产生，最终提高企业网络安全。活动目录服务提供了单一登录的能力并且为的整个网络架构提供了一个集中的信息知识库，它大大的简化了用户和计算机的管理并且提供了网络资源的更好的访问方式。活动目录确保了它成为今天的市场中最具灵活性的目录架构之一。由于与目录集成的应用变得更为普遍，因此组织能利用活动目录处理最为复杂的企业网络环境。活动目录在降低企业的总拥有成本及简化企业内部运作上得到了增强。新的特性和改进已加入到所有的产品中，从而增加了功能、简化了管理并增强了可靠性。 同一名雇员可能需要根据需要随时使用大量的设备对相同的信息进行移动访问。除非将公司信息集中在一起，以便通过单一门户进行访问，否则该雇员可能会因访问由不同系统管理的信息而遭遇麻烦和重复性工作，或者因记住多个密码而产生潜在安全风险（对此我们多数均有责任，因为我们习惯于将记有各种用户 ID 和密码的便条放在桌子或计算机上），此 外还需要在一天之内多次登录。 针对当前企业及其下属单位均已建成了针对自身的局域网络，并部署了多个信息化业务系统。在使企业资源效用最大化，避免资源重复建设，我们建议为、 随着业务的发展以及行业对信息系统功能和安全要求的集团”Windows Server 2012”作为基础架构。 当前XXX集团信息系统涉及的方面主要包括： 全新部署Windows Server 2012 Active Directory活动目录 Windows Server 2003升级移 AD域 部署分支机构 RODC只读域器 化-加域 、 企业的信息化建设最终目的都是为了能够更好的通过信息化建设的投入，提高企业现有的信息化平台的安全稳定性，及其能够给企业的生产管理带来效率的提高，将其投入转化为有形生产价值的提高，为企业生产降低成本投入！ 3.1 AD身份安全管理解决方案概述 身份安全是企业IT系统安全的基础，出色的身份安全管理将会大大地提高企业IT系统地安全水平，通过部署微软身份安全管理解决方案，您的企业可以实现： 解决企业用户身份生命周期中各阶段的安全隐患 解决计算机使用过程中因管理不到位造成的安全问题 实现单点登录（SSO）等功能，提高用户工作效率和IT管理效率 3.2 客户面临挑战与解决方案商业价值 客户面临的挑战：从员工入职开始，到最终离职整个生命周期中每个阶段都存在与身份相关的安全隐患，包括设备使用过程中由于管理不到位，造成的相关安全问题。具体风险如下表所示： 可见，企业没有很好的身份管理，将会造成众多的安全隐患；而一套完整的身份安全管理解决方案，将帮助企业实现身份的统一管理，消除各种安全隐患，奠定企业IT系统安全基础。 表1:企业中的身份安全隐患 微软的身份安全解决方案,将企业内的所有用户、设备的身份，与各应用中的身份进行集成，实现全企业的身份统一管理，解决身份安全问题，并提高IT管理员与最终用户的生产效率。 微软身份安全解决方案能够帮助企业： 表2: 微软AD身份安全管理解决方案的收效 除此之外，通过使用本解决方案，可以提高全企业的工作效率： 中心控管，统一配置，大大降低IT管理人员的工作压力。 统一的身份认证，实现了单点登录（SSO，Single Sign ON），减少了客户遗忘密码的几率与系统登陆次数，大大提高了工作效率。 3.3 解决方案架构 本方案使用Windows Server操作系统内置的活动目录（Active Directory）提供目录服务，管理企业的人员，服务器，客户端，及各种应用中的身份信息，实现统一的身份认证。管理员可以使用组策略（Group Policy）在后台对不同的身份进行统一管理，进行授权和限制， 防止用户不安全的操作，对终端进行统一配置，杜绝安全隐患。 “基于活动目录的网络基础架构”建设方案中，不仅要建设一系列丰富的，互联的底层基础架构，同时还将构建集中统一的软件基础设施、完整互通的基础数据库，无缝整合现有信息应用系统，并建立“企业信息技术基础架构——活动目录”与外部信息系统的互联互通机制。 根据企业规模大，分散广的特点，同时又要满足企业资源共享和单位协作，确