AD域控规划方案.pdf

活动目录AD规划方案 1.1.活动目录介绍 活动目录是Windows 网络体系结构中一个基本且不可分割的部分，它为网络的用户、 管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以 有效地对有关网络资源和用户的信息进行共享和管理。另外，目录服务在网络安全方面也扮 演着中心授权机构的角色，从而使操作系统可以轻松地验证用户身份并控制其对网络资源的 访问。同等重要的是，活动目录还担当着系统集成和巩固管理任务的集合点。 活动目录提供了对基于Windows 的用户账号、客户、服务器和应用程序进行管理的唯 一点。同时，它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的 设备对非 Windows 系统进行集成，从而实现巩固目录服务并简化对整个网络操作系统的管 理。公司也可以使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现 有网络投资升值，同时，降低为使 Windows 网络操作系统更易于管理、更安全、更易于交 互所需的全部费用。 活动目录是微软各种应用软件运行的必要和基础的条件。下图表示出活动目录成为各 种应用软件的中心。 1.2.应用Windows 2012 Server AD 的好处 Windows 2012 AD 简化了管理，加强了安全性，扩展了互操作性。它为用户、组、安 全服务及网络资源的管理提供了一种集中化的方法。 应用Windows 2012 AD 之后，企业信息化建设者和网络管理员可以从中获得如下好处： 1、方便管理,权限管理比较集中，管理人员可以较好的管理计算机资源。 2、安全性高，有利于企业的一些保密资料的管理，比如一个文件只能让某一个人看,或者指 定人员可以看,但不可以删/ 改/移等。 3、方便对用户操作进行权限设置，可以分发，指派软件等,实现网络内的软件一起安装。 4 、很多服务必须建立在域环境中，对管理员来说有好处:统一管理,方便在 MS 软件方面集 成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。 5、使用漫游账户和文件夹重定向技术，个人账户的工作文件及数据等可以存储在服务器上， 统一进行备份、管理，用户的数据更加安全、有保障。 6、方便用户使用各种资源。 7 、SMS （System Management Server ）能够分发应用程序、系统补丁等，用户可以选择安装， 也可以由系统管理员指派自动安装。并能集中管理系统补丁 （如Windows Updates ），不需每 台客户端服务器都下载同样的补丁，从而节省大量网络带宽。 8、资源共享 用户和管理员可以不知道他们所需要的对象的确切名称，但是他们可能知道这个对象的一个 或多个属性，他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象 列表，通过域使得基于一个或者多个对象属性来查找一个对象变得可能。 9、管理 A 、 域控制器集中管理用户对网络的访问，如登录、验证、访问目录和共享资源。为了简 化管理，所有域中的域控制器都是平等的，你可以在任何域控制器上进行修改，这种更新可 以复制到域中所有的其他域控制器上。 B 、 域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。因为域控制器提 供了对网络上所有资源的单点登录，管理远可以登录到一台计算机来管理网络中任何计算机 上的管理对象。在NT 网络中，当用户一次登陆一个域服务器后，就可以访问该域中已经开 放的全部资源，而无需对同一域进行多次登陆。但在需要共享不同域中的服务时，对每个域 都必须要登陆一次，否则无法访问未登陆域服务器中的资源或无法获得未登陆域的服务。 10、可扩展性 在活动目录中，目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。因此， 目录可以随着组织的增长而一同扩展，允许用户从一个具有几百个对象的小的安装环境发展 成拥有几百万对象的大型安装环境。 11、安全性 域为用户提供了单一的登录过程来访问网络资源，如所有他们具有权限的文件、打印机和应 用程序资源。也就是说，用户可以登录到一台计算机来使用网络上另外一台计算机上的资源， 只要用户具有对资源的合适权限。域通过对用户权限合适的划分，确定了只有对特定资源有 合法权限的用户才能使用该资源，从而保障了资源使用的合法性和安全性。 12、可冗余性 每个域控制器保存和维护目录的一个副本。在域中，你创建的每一个用户帐号都会对应目录 的一个记录。当用户登录到域中的计算机时，域控制器将按照目录