基于Windows+AD网络基础架构集成应用部署.pdfVIP

基于Windows AD网络基础架构集成应用与部署 中国船舶工业集团公司第七。八研究所信息技术部上海200011冯军王宁 高志龙 摘要 在基于windo孵构建的网络平台中，AD是整个网络正常运行的基础，是系统管理、安全管理和互操作 性的基石。根据我所网络特点、管理现状、保密要求，结合服务器虚拟化技术，提出了适合我所管理模式 和保密要求的活动目录部署方案，并在实践中得到很好的应用。 关键词：ActiveDirectory网络集成 VirtualServer 1．前言 从windows2000产品开始，微软公司就提出了活动目录(Active Directory，AD)的 StandardServer、Windows 概念，活动目录是面向windows Enterpriseserver以及Windows Datacenter Server的目录服务。活动目录存储了有关网络对象的信息，并且让管理员和用 户能够轻松地查找和使用这些信息。活动目录使用了一种结构化的数据存储方式，并以此作 为基础对目录信息进行合乎逻辑的分层组织。 活动目录包括两个方面：一个目录和与目录相关的服务。目录是存储各种对象的一个物 Active 理上的容器；而目录服务是使目录中所有信息和资源发挥作用的服务。Microsoft Directory服务是Windows平台的核心组件，它为用户管理网络环境各个组成要素的标识 和关系提供了一种有力的手段。 2．活动目录的优点 Active Directory已经成为了构建企业网络的坚实基础，与工作组模式独立的管理方 式比较，利用活动目录管理网络资源有以下特点： (1)方便的组织资源 活动目录将目录组织成能够存储大量对象的容器，因此活动目录能够随着组织机构的扩 大而增长。这样，网络就可以从一个只有一台服务器和几百个对象的小型网络扩展到拥有数 百个服务器和数百万个对象的大规模网络。 (2)方便的信息组织和查找 活动目录提供了搜集和分发网络中对象信息的集中存储场所，这些网络信息包括用户、 组和打印机等。活动目录中的用户可以利用活动目录工具对这些信息进行查找和使用。 127 (3)集中管理和分散管理相结合 利用活动目录工具能够对活动目录中所有的资源进行统一管理，如统一执行组策略等。 还可以根据不同用户的需要进行分散管理，如为不同组织单元执行不同的组策略，而且管理 员还可以通过委派来下放一部分管理的权限给某个用户账号，让该用户替管理员执行一定的 管理任务。 (4)资源访问的分级管理 通过登录认证和对目录中对象的访问控制，安全性和活动目录紧密地集成在一起。管理 员能够管理整个网络的目录数据，并且可以授权用户能够访问用户能访问网络上位于任何位 置的资源及权限。 (5)降低总体拥有成本 在活动目录中应用组策略，可以对整个域中所有的计算机或用户生效，这将大大减少分 别在每一台计算机上配置的时间。通过实施策略，活动目录有利于降低总体拥有成本。 (6)一次登录就能访问所有资源 与工作组模式下访问网络中其它计算机时需要提供用户信息不同，在活动目录中可以实 现单用户登录。即每个用户只要在登录域时提供一次用户信息，就可以访问网络中所有该用 户有权访问的资源。 3．活动目录部署 活动目录可以设计成单域和多域(父子域)模式。单域模式的优点是结构简单、节约成 本。由于我所客户端多，集成商在前期采用单域模式，客户端接入遇到困难。父子域模式虽 然多占用服务器，但具有较高的安全性，子域之间互不干涉，可以自治管理。在活动目录的 规划中，我们根据我所的管理现状和安全保密要求，最后选择了父子域模式。 (1)我所各部门的管理具有相对的独立性； (2)各部门的安全保密级别不同； (3)各部门有相应的IT管理人员； (4)父子域可以帮助网络更好的反映单位的组织结构 (5)对网络运行的高可靠性要求。如果网络出现故