系统信息化活动目录基础架构在浙江省能源集团的应用.docVIP

系统信息化活动目录基础架构在浙江省能源集团的应用 为了在浙江省能源集团有限公司(以下简称“浙能集团“)范围内,建立统一的I T“实体“(用户帐号、计算机、网络资源)管理中心,提高IT管理的效率,降低维护成本,建立基于活动目录的安全管理中心,统一管理策略,提供信息系统的整体安全性。浙江省能源集团有限公司建立统一规划的目录服务平台,平台采用Windows 2008 R2系统的Active Directory架构作为目录服务的基础架构。 1、引言 随着信息技术的发展，统一身份验证体系的建设与服务在企业产、科技活动中起着重要的作用。浙江省能源集团有限公司计划存本部与各下属单位之问建立一套统一的基础架构系统，通过制定相关规则，建立企业级的统一安全策略、用户账号、计算机和网络资源，以适应当前企业信息化的发展。 微软活动目录基础架构是Windows操作系统的核心组件，它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。活动目录存储了有关网络对象的信息，并且让管理员和用户能够轻松地查找和使用这些信息。活动目录使用了一种结构化的数据存储方式，并以此作为基础对目录信息进行合平逻辑的分层组织。 2、系统概述 2．1功能概述 活动目录主要提供以下功能： (1)基础网络服务：包括DNS域名解析、DHCP网络地址分配、证书服务等。 (2)服务器及客户端计算机管理：管理服务器及客户端计算机账户，所有服务器及客户端计算机加入域管理并通过实施不同的组策略，达到对不问分组服务器和客户端的管理。 (3)用户服务：管理用户域账户、用户信息、企业通讯录(与电子邮件系统Exchange集成)、用户组管理、用户身份认证、用户权限管理以及用户软件控制策略等。 (4)资源管理和共享服务：管理网络打印机、文件共享服务等网络资源，对不同的用户，进行差别化的权限分配。 (5)计算机策略配置：系统管理员可以集中的配置各种计算机策略配置，如：界面功能的限制、应用程序执行特征限制、刚络连接限制、安全配置限制等。 (6)应用系统基础平台：支持补丁管理、企业门户、电子邮件、财务、人事、办公自动化、防病毒系统等各种应用系统。 2．2技术概述 活动日录基础架构基于微软公司的Windows 2008 R2系统，Microsoft Active Directory 服务是Windows平台的核心组件。Active Directory存储J 有关网络对象的信息(包括用户账户、计算机和网络资源等)，并且让管理员和用户能够轻松地查找和使用这些信息。Active Directory使用了一种结构化的数据存储方式，并以此作为基础对目录信息进行合乎逻辑的分层组织。 物理结构：采用单林单域多OU的形式，集团的两台服务器作为主域控，实现多点容错和性能优化，制定活动目录复制策略和操作主控，其他各个电厂以站点的形式和集团主域连接，实现统一管理。 逻辑结构：集团本部统一一作为单域，按各个电厂行成OU。安装和配置DNS服务以支持活动目录，配置活动目录对象的访问控制，做委派授权，实现对用户权限的控制和统一化的管理。 3、部署方案 3．1网络拓扑结构 浙能集团互联网络包括城域网、广域网及VPN网，采用星型结构组网(各下属企业局域网不互通)，城域网采用100M速率的裸光纤互联，连接在杭子公司，广域网采用2*2M速率的浙江电力通信SDH专线、1OM速率的中国电信MPLS-VPN线路互联，实现双链路负载冗余，连接非在杭下属企业，VPN网采用IPSIC加密力一式，通过中国电信Internet网、中国网通Internet网连接筹建单位。浙能集团各单位内部采用10/100/1000M以太网技术组网。 3.2部署方式 根据项目要求，硬件平台统一采用HP或者IBM高性能服务器，软件平台统一采用Windows 2008 R2企业版平台。50人以上的子公司，每个公司放置两台域控制器，一台作为主域控服务器，另一台作为备域控服务器。50人以下的子公司，每个公司放置一台域拄制器。但考虑到容错，建议都放2台域控制器。主域控和备域控服务器均配置为可读写域控制器，其中集团本部和下属各单位的主域控服务器又作为全局编录服务器(GC)。 首先将Windows 2008 R2企业版操作系统完全安装，修改域控服务器的DNS，指向自己和另一台域控。然后安装Active Directory域服务运用提升工具Dcpromo进行服务器的提升，在提升过程中同时安装域集成的DNS服务。重启服务器之后，安装组策略服务等。 在域控中，创建站点、组织单位，批量导人需要创建的用户账户、用户属性、计算机账户等信息，同时