Windows-AD-方案.pptVIP

Windows 2003 AD方案  实现、设计 Windows 的AD目录服务 目 录 活动目录介绍 活动目录的逻辑结构 活动目录的物理结构 用AD管理Windows网络的方法 管理活动目录复制 管理操作主机 设计AD 管理活动目录复制 一、介绍活动目录复制 1、单主复制与多主复制 -- NT 4.0采用单主复制的方式； -- Windows 2000采用多主复制的方式。 2、多主复制的好处 -- 克服单主复制中PDC失败后需要手工恢复的缺陷； -- 在多个物理位置放置DC，以达到容错和流量控制的目的。 管理活动目录复制 二、复制的部件和过程 1、复制的工作过程 1）AD的更新：添加、修改、删除、更新AD中的对象 2）初始更新：AD数据库变化的结果发出的更新请求； 3）复制更新：通过复制使AD的数据库变化 2、复制的潜伏期：一个DC的变化被另一个DC接受的所用的时间 1）缺省为5分钟（用改变通知的方式）； 2）没有改变时为1小时； 3）重要的改变立即复制（如帐号锁定、口令改变等）。 设计目录服务结构 设计目录服务结构简介 一、设计活动目录结构的大原则 用最简单的结构来满足用户的需求。 二、引导一个组织分析 1、确定组织的需求 2、分析管理模式 AD设计是基于公司的管理模式，而不是公司的组织结构图 ?? 3、考虑潜在的增长和改编情况 4、通告收集的所有信息，以消除可能引起的冲突情况。 活动目录的基础结构 设计名称策略 设计OU结构 设计一个单域模型 设计一个多域模型 设计站点拓扑 活动目录的基础结构 设计名称策略： 企业要求有影响力的命名，选择适当的名字来支持当前及以后的发展计划，要考虑两点： AD打算涉及的范围：整个组织/某部门、合作/独资、合并/发展 是否加入Internet 活动目录的基础结构 设计OU结构的原则 基于公司的管理模式而不是公司的组织结构图 了解IT部门的特点 AD授权策略应当反映一个组织的IT需求 集中的IT 向单个人报告，单个人负责所有的网络和信息服务 集中IT组的分散管理 一个核心的IT组负责基础结构的重要服务，而日常的管理工作分散到各部门的IT组中 分散的IT组：由多个IT组，IT组会经常的协同工作 外属的IT组：企业用外聘的公司的协定的服务标准，而对公司内部的IT组来说创建OU来包含企业的某些内部需求 活动目录的基础结构 设计OU结构的原则 开发一个基于管理的设计策略 1、基于位置的层次结构 公司的重组和并购对它的影响不大； 在安全管理方面可能有麻烦（当一个位置内有多个部门时）； 推荐使用的场合：在每个位置都有确定的一个或少数几个管理员负责管理。 2、基于组织的层次结构 -- 反映商业模型，但不利于公司重组； -- 维护部门自治，但可能影响复制效率（复制可能要跨越低带 宽的区域）。 3、基于功能的层次结构 -- 不受公司重组的影响，但可能影响复制效率 -- 只适合于小的公司。 2、基于组织的层次结构 -- 反映商业模型，但不利于公司重组； -- 维护部门自治，但可能影响复制效率（复制可能要跨越低带 宽的区域）。 3、基于功能的层次结构 -- 不受公司重组的影响，但可能影响复制效率 -- 只适合于小的公司。 活动目录的基础结构 设计一个单域模型 创建OU以支持指派控制和组策略； 仔细命名域的名字； 由于OU的存在，单域模型将在Windows的网络中广泛使用。 设计一个多域结构 一、确定商业需求 1、维护一个单域的理由 1）容易管理—较少的硬件投入、不用维护信任关系； 2）通过指派管理控制来减少域的管理员； 3）对象的容量与多域结构没有多大差别。 2、创建多个域的理由 1）不同的域级策略； 2）紧凑的管理控制和非集中的管理； 3）减小复制的流量。 二、在域间访问资源 1、穿越森林的验证； 2、快捷信任（Shortcut Trusts）； 3、外部信任（External Trusts）。 三、计划多域的树 1、创建一个空的根域； 2、计划多域树的方针 -- 要求不同的安全约束 -- 在低速网络中 -- 有特殊的原因要求分离域 -- 有不同域级别的组策略设置 四、计划多树的森林的方针 1、你的机构有不同的公共标识并需要不同的活动目录名称； 2、需要不同的安全性约束以及不同域级的组策略设置 3、设计建议： -- 不同的公共标识使用不同的DNS名字 -- 集中控制AD中的所有的树和域 Q