公司域控实施方案1029.docx

公司域控实施方案服务器、磁盘柜、操作系统采购1、服务器型号及价格：型号配置参数数量用途DELL R410CPU:Xeon E5-2403 1.80GHZ内存：4GB*2根1333MHz 单列LV RDIMM 硬盘：500GB*2 7.2K RPM SATA 3.5英寸热插拔双热插拔电源PERC H310 集成RAID控制器, 迷你型DVD ROM2台域控制器2、磁盘柜型号及价格：型号配置参数数量用途PowerVault(TM) MD3220 SASStorage Array最大可支持20块硬盘1TB 2.5英寸 7.2K RPM 近线4根, 6Gbps SAS硬盘驱动器用于PowerVault? MD3200/MD3220的控制器模块PowerVault(TM) MD3200/MD3220 控制器模块6 GB SAS HBA卡冗余电源4块 1TB SAS接口硬盘1台数据存储3、操作系统版本及价格：版本数量正版Windows server 2008 标准版2套域控服务器搭建（一个星期左右）硬件安装及连接，如下图:服务器与磁盘柜之间通过SAS连接线连接。Windows server 2008操作系统安装服务器上硬盘仅用来安装操作系统，AD数据及安装目录均存入磁盘柜中硬盘。（1）、操作系统安装:通过光驱安装windows server 2008 标准版操作系统，两台服务器安装完操作系统后，安装系统补丁，更改计算机名，配置完整的网络配置参数(静态IP地址，备份域控的DNS地址设置为主域控IP地址)；通过windows server backup对系统进行一次完整备份,再设置每天的增量备份。（2）、安装域控制器:在主域控上安装DNS，域名设置为XXXXXX.COM；安装备份DC时，选择“现有域的额外域控制器”，其它配置相同。设置目录还原密码，该密码用于还原活动目录，必须保证其复杂性。域控服务器设置（1）、用户账户管理:域管理员账号设置：域管理员账号可以登录域内任何一台计算机或者成员服务器，且具有最大管理权限，只为运维管理人员设置；域账号三次密码输入不正确会被锁定，需通过另外的域管理员账号解除锁定。为现有员工添加域账号：用户名为名字的全拼，设置初始密码，第一次登陆时，提示修改密码，密码必须符合复杂性要求（9位，包括字母、数字、特殊字符），三个月之内更换一次密码。密码三次输入错误，账号会被锁定，需通知管理员解锁，同时不得将自己的账号和密码擅自泄露给他人。用户登录设置：一般情况下，用户的域账号只能登录至自己的计算机，特殊情况下，单个账号可以登录多台计算机；同时可以设置登录时间段，如：白天上午9点至下午6点可以正常登录，除此时间段之外，无法登录至计算机。新员工和离职人员账户操作：为新加入的员工，设置新的域账号，离职员工在离职的最后一天停用其域账号。账户名称变更：假使某甲要离职,由新进人员某乙接替其职位。则管理员无须先建立某乙的账户、再删除某甲的账户,可以直接将某甲的账户名称更改为某乙的账户名称,如此不但省事,在权限方面也不易出错。（2）、组织单元划分：按部门划分组织单元，下面包括计算机组和用户组。如客服部，下面包括客服部的计算机组和该部门的用户组；用户组包括该部门员工的域账号，计算机组包括该部门所有的正在使用的计算机，如下图所示：（3）、权限控制：以下权限控制均通过组策略来实现USB接口控制：通过组策略来控制计算机上的USB接口是否可用。用户文件夹重定向：使域用户的文件存放在服务器上指定的位置，既可以避免系统损坏带来的文件丢失情况，又可以在任意一台域成员机上访问到自己的文件。软件权限限制：所有的域账号登录的计算机不具有安装和删除软件的权限，软件的安装和卸载需通知域管理员进行。在实际生产环境当中，有少部分软件是必须需要本地管理员权限才能运行的，对于这种情况，把域账号加入至本地管理组中或者使用脚本的方式来运行这类型软件。三、客户端设置：收回本地计算机管理员权限，均采用域账号登录，所有计算机统一设置本地管理员,（须保证密码复杂性要求，且半年更换一次），由管理员统一保管且不能泄露给其他人。1、加域前的必须操作：将桌面的相关文档（需要用到的资料）复制至除C盘以外的其他磁盘更改计算机名称，计算机名称按照“GZ+部门拼音第一个字母+数字”命名规则依次进行（如：gz-cw-01、gz-cw-02、gz-kf-02）。计算机名称更改后，需要重启计算机。更改网络配置信息：设置静态IP地址，IP地址根据事先规划好的设置。主DNS地址为主域控的IP地址。备份DNS地址为从域控的IP地址。2、如何加域：右击“我的电脑”，选择“属性”，选择“计算机名”选项卡，点击“更改”在弹出的对话框中选择“隶属于”“域”，填写正确的域名后，点击确定。然后重启计算机即可。四、测试阶段（