中国银行活动目录方案建议书.doc

上海有限公司服务部 2007-03-28 V1.0 上海 电话：（86-21） 传真：（86-21）  文档说明 制作者 审核者 制作日期 更新日期 版本 密级 散发范围 说明 本所包含的内容是上海公司提供，其中用到了公司产品和技术的专有信息。这些信息不应该被扩散到以外，同样也不应该在此手册的前提下，复制、使用和扩散本。 Microsoft Windows Server、、Microsoft SQL Server 或其它本手册中提及的 Microsoft 产品，是Microsoft 的商标或注册商标。本所提到的真实的公司和产品名称可能是其各自所有者的商标。  随着中国银行业务的扩展和IT应用的增加，维护整个网络系统的稳定、安全、高效越来越重要。 微软是企业IT基础架构领域的技术领先者，其活动目录技术被业界广泛认可，世界财富五百强的跨国公司大多采用活动目录技术来提供IT基础架构服务。中国银行和微软有着良好的合作关系，在IT应用的各个领域都有很多微软的解决方案。为利用新技术全面提升IT管理能力，决定在此次项目中全面部署基于Windows Server 2003的网络基础服务和活动目录服务。 Windows 2003 操作系统集成了网络服务，让来建立和管理网络、连接远程、连接分支并且建立的外部网。Windows 2003 Server在开放的平台上遵循标准的协议，它提供了增强的安全性和策略控制，同时提高性能并且简化了系统的安装、管理和使用。.1 网络基础服务 .1.1 背景简介 Windows 2003的基础的网络服务包括以下两方面： 地址分配 地址分配即IP地址的分配和管理。 目前，其添加和维护工作由IT人员在现场手工完成。 在此次项目中 名称解析 名称解析是指在访问网络资源（包括文件服务器和打印机）时，如何将资源的名称转换成对应的IP地址的服务。 通过DNS和WINS的服务，相关的服务器会自动将某个名称转换成实际的IP地址，用户只需记住容易辨识的资源名称即可进行相应的访问。这样网络资源的共享和使用效率将得到很大程度的提高。 下文将对相关的部分进行详细的介绍。 .1.2 地址分配Ip地址的划分和分配，还沿用原有的设计。 2.1.3 名称解析 DNS 内部名称解析 在都设一台DNS服务器。该服务器同时也是域控制器。换而言之，所有的域控制器同时也都将是DNS服务器。 内部网络的域名为 DNS服务器都将DNS数据放在本地的AD数据库中，但是作为独立的Application Partition来参与域控制器之间的目录复制(Directory Replication)从而同步DNS数据库。 预期效果 .2 活动目录服务 .2.1 背景简介 Windows 2003 的活动目录(Active Directory)服务是Windows 2003网络结构的一个必要和不可分离的部分，该服务是特别为分布式的网络环境而设计的。活动目录可以让有效地共享和管理网络资源和用户的信息。此外，活动目录扮演着网络安全性的主要权威的角色，它让操作系统准备好验证用户的身份并且控制他或她对网络资源的访问。同等重要的是，活动目录起到了把系统集成到一起的结合点并且巩固管理任务的作用。 新版Windows 2003的活动目录服务在Windows 2000版本的基础上，保留了大部分体系结构，但在安全性，稳定性和扩展性上又有很大的进步。 Windows 2003活动目录服务主要包括以下几方面： 域结构 组织单元结构 账号和口令管理 站点结构 2.2.2 域结构 域结构设计是活动目录中最重要，也是最基础的工作，是多种因素权衡的结果，它既要尽可能贴近用户的管理模式和组织结构，也要考虑网络情况及今后的各种变化。环境内采用集中管理整个集团的安全策略。 利用组织单元反映结构。 当机构重组时可以非常灵活的进行调整。 当资源和用户需要在组织机构内迁移时可以非常灵活的调整。.2.3 组织单元结构 2.2.4 账号和口令管理 账号管理可以分为个人账号管理、组账号管理和机器账号管理。 个人账号管理 个人账号可以分为两类： 第一类为普通账号，采用一人一号的方式，为每一位员工建立自己的账号。当员工加入或者离开时，按照一定的规则增加或者删除用户的账号。第二类为特殊账号，通常不属于某一位员工，而是为了满足某些特殊的功能，比如系统管理、匿名访问等等。特殊账号有以下几个： Administrator，系统管理员账号，具有最高的权限，可以进行任何管理操作，该账号不能被删除，只能更改用户名。为了提高系统的安全性，建议将管理员账号的用户名更改，比如hqadmin（仅仅是建议，系统管理员可以自行决定）。 Guest，匿名登录的账号，为了提高系统的安全性，建议将Guest账号禁止。 服务的