XXXX司活动目录规划方案.docx

XXXXXXXXXXXX公司活动目录设计和规划方案Prepared forXXXXXX公司Prepared by007 Yang第一章 活动目录的概括31.前言32.活动目录概述33.应用活动目录的好处34.活动目录架构拓扑5第二章 活动目录设计规划51.森林规划52.域的规划74.域控制器规划145.站点结构的设计（本次暂不实施）166.域控制器的配置17第三章 用户问答181.计算机从工作组加入到域可能存在的问题和解决方法182.组策略介绍19附件一：活动目录设计和规划框架表241.确定企业内需要多少个域森林242.每个域森林中有几个域253.指定每个森林每个域的名字（包含DNS名和NetBIOS名）254.设计每个域中的OU结构255.确定每个域中域控制器的放置方式256.确定每个域中每个场所的域控制器数量267.规划每个森林中GC服务器的放置方式278.规划每个森林和域中FSMO角色的放置方式279.规划每个站点的结构2810.规划物理服务器的性能指标和名称2811.策略规划清单2812.扩展性规划2913.文件重定向29第一章 活动目录的概括1.前言由于计算机安全和管理的需要，XXXXXX公司IT部门计划部署Windows 2008 R2活动目录，希望所有的计算机分阶段加入到域，通过活动目录加强计算机安全和桌面管理，并为进一步部署Exchange等打下坚实的基础架构。2.活动目录概述活动目录是Windows 2008网络体系结构中一个基本且不可分割的部分，它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外，目录服务在网络安全方面也扮演着中心授权机构的角色，从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。3.应用活动目录的好处Windows Server 2008 R2是微软推出的网络操作系统服务器，其高效结构有助于使您的网络成为单位的战略性资产。应用Windows Server 2008 R2活动目录的好处如下表所示：优势描述提升用户效率活动目录中的用户可以登录到任何一台属于活动目录中的计算机 方便快速的安装网络打印机快速查找电话号码与员工信息增强安全性限制用户使用计算机限制用户登录的时间 要求用户使用复杂的密码 限制USB接口和打印机的使用等减轻IT管理负担与成本软件自动安装或按需安装软件自动更新软件自动卸载用户端桌面管理管理授权，可对组织单元实现委派控制与应用集成与众多应用集成，优化应用管理4.活动目录架构拓扑我们设计一个单域，用户的所有计算机（服务器和客户机）全部加入到域，用户实现单一登录和管理员通过域组策略实现安全及桌面管理。AD架构拓扑如下。第二章 活动目录设计规划1.森林规划森林是Windows 2008 AD域的集合。每个活动目录的实施将至少有一个森林，森林的数量取决于公司的组织架构。在很多情况下，单一森林就足够了。单一森林环境易于建立和维护，森林间的域自动建立双向可传递内部信任关系，不要求手动建立外部信任配置，在安装Exchange Server 2010等应用程序时，只需应用一次架构更改即可影响所有域。如果各个单位有下列管理要求，就必须建立一个以上的森林：◆不互相信任管理员。◆希望限制信任关系范围。◆不同意某种森林架构更改策略。架构更改、配置更改会影响到森林中所有的域。如果单位不同意一个公共架构策略，它们就不能共存于同一个森林中。下表为单森林和多森林的特点对比：复杂性单森林单森林是活动目录(AD DS)默认部署架构，减少了部署复杂性低多森林两个或以上多个森林的部署增加了整个环境架构的复杂性高成本单森林单森林是最便宜的选择，在硬件、软件等的需求较少低多森林多个森林在硬件、软件等的需求较多，增加森林设计成本高安全性单森林森林是一个安全边界，森林的管理员能访问林内所有资源 →多森林多森林架构，每个森林的管理员能访问和管理各自林内的资源↑按照此前与XXXXXX公司的交流沟通，公司的组织架构符合单森林模式，在单森林的模式能满足对公司计算机安全和管理需要。因此本次实施中森林的数量建议采用“单森林”。2.域的规划①域数量规划域结构时，始终遵循“简单是最好的投资”的设计原则，尽管增加某些复杂结构可以增值，但是简单的结构更易于说明、维护和调试。创建多域可能的原因：◆希望实现相对分散式得IT管理模式：多域结构更容易进行相对独立的管理、委派和权限控制。另外，不同的用户帐户在一个域内是不能出现重名的，多域之间就没有限制。对于人士管理相对独立的集团下属公司，多域结构具有更好的灵活性。◆希望实现不同管理策略要求：包括用户口令策略、账户锁定策略和EFS加密策略。例如，要求某些人必须取8个字符以上的口令，而其它人不做限制