网络工程规划与设计案例教程项目二_任务二_活动目录设计和规划方案.doc

活动目录设计和规划方案目 录 1. 活动目录的概括 1 1.1 前言 1 1.2 活动目录概述 1 1.3 应用活动目录的好处 1 1.4 活动目录架构拓扑 1 2. 活动目录设计规划 2 2.1 森林规划 2 2.2 域的规划 3 2.2.1 域数量 3 2.2.2 域命名和DNS规则 3 2.3 OU结构规划 5 2.3.1 组织单元（OU）的概述 5 2.3.2 组织单元（OU）的规划 5 2.4 域控制器规划 6 2.4.1 域的5个角色概述 6 2.4.2 域控制器数量和角色 6 2.4.3 全局编录服务器（GC）的设计 7 2.4.4 活动目录数据库复制的规划（待定） 7 2.5 站点结构的设计（本次暂不实施） 7 2.6 域控制器的配置 7 3. 用户问答 7 3.1 计算机从工作组加入到域可能存在的问题和解决方法 7 3.2 组策略介绍 8 3.2.1 软件分发策略 8 3.2.2 用户个人数据从终端机上重定向到服务器上 9 3.2.3 安全类组策略 9 附件一 13 活动目录的概括 前言 由于计算机安全和管理的需要，蓝辉科技IT部门计划部署Windows 2008 R2活动目录，希望所有的计算机分阶段加入到域，通过活动目录加强计算机安全和桌面管理，并为进一步部署Exchange等打下坚实的基础架构。 活动目录概述 活动目录是Windows 2008网络体系结构中一个基本且不可分割的部分，它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外，目录服务在网络安全方面也扮演着中心授权机构的角色，从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。 应用活动目录的好处 Windows Server 2008 R2是微软推出的网络操作系统服务器，其高效结构有助于使您的网络成为单位的战略性资产。 表1 应用Windows Server 2008 R2活动目录 优势 描述 提升用户效率 活动目录中的用户可以登录到任何一台属于活动目录中的计算机 方便快速的安装网络打印机 快速查找电话号码与员工信息 增强安全性 限制用户使用计算机 限制用户登录的时间 要求用户使用复杂的密码 限制USB接口和打印机的使用等 减轻IT管理负担与成本 软件自动安装或按需安装 软件自动更新 软件自动卸载 用户端桌面管理 管理授权，可对组织单元实现委派控制 与应用集成 与众多应用集成，优化应用管理 活动目录架构拓扑 我们设计一个单域，用户的所有计算机（服务器和客户机）全部加入到域，用户实现单一登录和管理员通过域组策略实现安全及桌面管理。 图1 AD架构拓扑图 活动目录设计规划 森林规划 森林是Windows 2008 AD域的集合。每个活动目录的实施将至少有一个森林，森林的数量取决于公司的组织架构。 在很多情况下，单一森林就足够了。单一森林环境易于建立和维护，森林间的域自动建立双向可传递内部信任关系，不要求手动建立外部信任配置，在安装Exchange Server 2010等应用程序时，只需应用一次架构更改即可影响所有域。 如果各个单位有下列管理要求，就必须建立一个以上的森林： 不互相信任管理员。 希望限制信任关系范围。 不同意某种森林架构更改策略。架构更改、配置更改会影响到森林中所有的域。如果单位不同意一个公共架构策略，它们就不能共存于同一个森林中。 表1 单森林和多森林的特点对比 复杂性 单森林 单森林是活动目录（AD DS） 低 多森林 两个或以上多个森林的部署增加了整个环境架构的复杂性 高 成本 单森林 单森林是最便宜的选择，在硬件、软件等的需求较少 低 多森林 多个森林在硬件、软件等的需求较多，增加森林设计成本 高 安全性 单森林 森林是一个安全边界，森林的管理员能访问林内所有资源 → 多森林 多森林架构，每个森林的管理员能访问和管理各自林内的资源 ↑ 按照此前与蓝辉科技公司的交流沟通，公司的组织架构符合单森林模式，在单森林的模式能满足对公司计算机安全和管理需要。因此本次实施中森林的数量建议采用“单森林”。 域的规划 域数量 规划域结构时，始终遵循“简单是最好的投资”的设计原则，尽管增加某些复杂结构可以增值，但是简单的结构更易于说明、维护和调试。 创建多域可能的原因： 希望实现相对分散式得IT管理模式：多域结构更容易进行相对独立的管理、委派和权限控制。另外，不同的用户帐户在一个域内是不能出现重名的，多域之间就没有限制。对于人士管理相对独立的集团下属公司，多域结构具有更好的灵活性。 希望实现不同管理策略要求：包括用户口令策略、账户锁定策略和EFS加密策略。例如，要求某些人必须取8个字符以上的口令，而