AD活动目录(领导).docVIP

作为一个高效的现代化企业，其IT环境管理应能实现： 1)具备集中可视化管理，避免或最小停机时间，使人为故障率为“零”。 2)IT管理技术具备可靠的体系结构和可伸缩的基础架构。 3)具备对IT环境（操作系统/网络结构）的洞察力以及能进行全球的分布式控制，能快速确定问题所在并对问题做出快速的响应，或者完全避免出现问题的可能性。即使出现故障的时候，也能立即知道它产生的原因，以尽可能快地纠正和恢复，并且避免问题进一步的恶化。 4)能及时的了解一个基础架构的健康状况，了解现有的服务器之间的负载平衡是否良好的运行，找出提高服务器使用效率的模式，了解资源的使用情况，理解整个企业究竟有多少潜力可以利用，从而能科学地规划服务器资源，并因此进一步降低企业成本。 5)除此之外，企业IT环境管理还要能实现跨平台管理，向IT部门的Administrator提供其IT架构所必需的信息，使总体拥有成本（TCO）的最小化，可靠性和性能的最大化。 活动目录域服务（Active Directory Domain Service）规划及设计 活动目录域服务（ADDS）是包含于Windows server 2008 R2中的重要服务。它扩展了以前基于Windows的目录服务的功能，并增加了一些全新的功能。活动目录是安全的、分布式、可分区和可复制的。它的设计保证能在任何规模的安装中正常工作，从只有几百个对象，一台服务器的小系统到拥有数百万对象，上千台服务器的庞大系统它都支持。活动目录增加了许多新功能，这些功能使浏览并管理大量信息变得更容易，为管理员和终端用户都节约了时间。 AD基础结构 域（Domain） 基于Windows Server 2008 R2的计算机网络的安全边界。活动目录由一个或多个域组成。在一个独立的工作站上，域就是计算机自身。域可以跨越多个物理区域。每一个域都有自己的安全策略和与其他域的安全关系。当多个域通过信任关系连接起来，并且共享一个模式、配置和全局目录的时候，它们组成一个域树。多个域树可以组成一个森林。 域控制器(Domain Controller)--一个基于Windows NT的服务器拥有一个活动目录分区。 树（Tree） 通过可传递、双向信任关系连接在一起的Windows Server 2008 R2域的集合，它们共享相同的模式、配置和全局目录。域必须组成层次式的名字空间，例如，是树根，是的孩子，是的孩子等等。活动目录是一个或多棵域树的组合。 森林（Forest） 相互信任的一个或多个活动目录树形成的小组。森林中的所有树共享一个模式、配置和全局目录。当一个森林包括多个树的时候，所有的树不是形成连续的名字空间。给定森林中的所有树通过信任关系的双向传递相互彼此信任。与树不同的是，森林不需要一个可分辨的名称(DN)。森林作为一组交叉引用的对象和成员树之间的信任关系而存在。森林中的树形成一层次信任关系。 组织单元（Organizational Unit，简称OU） 一个容器对象，它是活动目录可管理的划分。OU可以包含用户、小组、资源和其他OU。组织单元可以管理权限委托给目录中的子树。组织单元的结构限制在一个域内。 对于Windows Server 2008 R2的活动目录，存在四种设计模型： ? 一个森林一个域 ? 一个森林一个树多个域 ? 一个森林多个树多个域 ? 多个森林多个域 针对域模型的设计，我们主要考虑以下因素： ? 账户及配置数据的集中 ? 高效、简单和灵活分配的管理 ? 设计不产生不必要的复杂性 ? 对外部和分支机构加入可以扩展 ? 简单的域名，便于雇员和合作伙伴使用 ? 根据管理政策需要，可以实施管理委派，减轻管理员的工作 ? 降低总体维护成本 在此基础上，建议采用的域模型为单域单森林结构。域模型为单域单森林这种结构的优点在于： ? 集中管理整个集团总部的安全策略。 ? 可通过委派方式实现管理权（如用户账号、邮箱添加等）的适当下放 ? 数据信息的集中提升了系统运行性能 ? 完全利用组织单元反映集团的管理结构。 ? 当集团机构重组时可以非常灵活的进行调整，比如加入新的域。 ? 当资源和用户需要在组织机构内迁移时可以非常灵活的调整。 ? 相对其它几种方案，可以使用较少的域控制器。 ? 简单的名字空间设计 – 只需要一个DNS名字后缀. ? 用户在查找AD内的信息时相对简单。 ? 单一的组策略更容易实施。 采用单域单森林模型，简化了网络的管理，便于移动用户的使用，不存在域间复制，从管理的角度可以降低维护成本，并能够提供管理委派功能，从用户数据角度，也进行了集中，便于查询分析、备份和恢复。 活动目录模型 我们建议建立一个新的基于Windows Server 2008 R2的森林，并根据管理要求建立一个主域和多个OU： TFL.com：