xxx企业AD规划建议书.docVIP

XXX企业 AD 综合管理策略建议书 总页数 17 正文 14 附录 生效日期：2004-4-1 编制： 审核： 版本：Ｖ2．０　  (?? 引言 Active Directory 作为目前微软网络系统的基础架构管理系统，随着应用系统得增加，AD 本身的管理直接影响到其他应用的管理；所以AD管理是基础中的基础，本文是针对XXX企业 5000人规模的AD作的一些指导性的管理规则。 (?? 阅读对象 ＣＩＯ/企业信息主管 基于ＡＤ应用程序的管理者 ＡＤ的管理人员 目录 ? 引言 2 ? 阅读对象 2 1 帐号管理 5 1.1 计算机帐号命名规则 5 1.2 员工帐号命名规则 5 1.3 用户Logon Name 的命名规则： 6 1.4 其他帐号属性填写规则 6 1.5 帐号安全策略规则 6 1.6 停用删除帐号规则 7 1.7 帐号管理者 7 1.8 Administrator 管理规则 7 2 组管理 7 2.1 域模式规则 8 2.2 内置组的管理 8 2.3 基于管理角色的自定义组建立规则 9 2.4 分发组管理 10 2.5 组的使用基本原则 11 3 组织单元管理 11 3.1 ＯＵ的层次结构规划 11 3.2 帐号OU规划 12 3.3 成员服务器管理OU的建立规则 14 3.4 基于资源的OU管理 15 3.5 权限委派管理原则 16 4 组策略管理 17 4.1 规划GPO原则 17 4.2 GPO的管理原则 17 5 域控制器及站点部署规则 18 5.1 DC 规划管理原则： 18 5.2 AD管理帐号组的建立规则 18 5.3 Site 规划管理原则： 19 5.4 DC 硬件配置需求 20 6 小结 1?????? 帐号管理 在AD 管理中，有两种帐号，计算机帐号和用户帐号，对于XXX企业 5，000员工的规模，基本上每个员工对应一个计算机帐号和用户帐号，部分员工甚至对应多个帐号，这样大约有10，000多个帐号需要管理，考虑到企业的增长和人员变动情况，下面我们分别讨论对应的管理策略。 1.1??? 计算机帐号命名规则 缺省的情况下：AD中的计算机帐号就是加入到域中的计算机的NetBIOS名； 我们也可以通过创建一个计算机帐号对应目标计算机的GUID，虽然计算机帐号的名字可以超过15位，但实际的管理中，AD只取前15位； 所以，对计算机帐号的管理我们建议按照NetBIOS名的规范去做即可： 1．? 15位 2．? XX_YYY_ZZZZZZZZ 其中：XX 代表物理site YYY 代表部门名 ZZZZZZZZ 可以用不超过8位的字母代表用户，基本上能让管理者能方便的查询到用户。 如： HZ_IT_Zhangsan 代表杭州IT部的张三的计算机； 1.2??? 员工帐号命名规则 员工帐号是AD管理的一个重点，因为帐号有许多的属性，需要作统一规范；考虑到XXX企业 是跨国公司，其企业文化按照美国文化为主，建议规则如下： First name：如果有英文名则用英文名，否则用汉语拼音全名； Last name ：如果有英文姓则用英文姓，否则用汉语拼音姓； Display name ：取系统自动，可以加其他字符作区分。如中文名 例：张三 First name：Jerry Last name：Zhang Display name：Jerry Zhang (张三) 1.3??? 用户Logon Name 的命名规则： 目前采用的是员工号为Logon Name；这样可以保证用户名在全球企业范围内的唯一； 对临时员工或外包员工，在必要的情况下可以按以下规则建立帐号： V-Username ,其中V-代表是临时、外包性质，Username 取用户通用名，保证其唯一性即可； 1.4??? 其他帐号属性填写规则 AD账户的属性，在基于AD的应用中有着丰富的作用，建议以下属性填写正确的内容： (??????? 所属部门：按照HR规定的缩写 (??????? 电话号码：分级号码 (??????? 移动电话：个人移动电话号 (??????? 办公室位置：中（英）文信息，详细到楼层； 1.5??? 帐号安全策略规则 为保证必要的安全性，减少网络入侵的可能性，建议通过组策略，强制以下账户策略： (??????? 使用强密码； (??????? 最小密码长度5位 (??????? 密码每60天必须改变 (??????? 密码保留历史纪录为3个 (??????? 密码锁定阈值 5 次，自动解锁时间3分中 (??????? 并对以下时间作审计： (???????? 审核策略更改 (???????? 审核登录事件 (???????? 审核帐户登录事件 (???????? 审核帐户管