活动目录的最佳在设计理念.pptVIP

概要 活动目录设计目标 活动目录相关概念的阐述 活动目录中域和组织结构的设计 活动目录中物理拓扑结构的设计 活动目录设计目标 必须满足企业需求 复杂程度最小的可伸缩性 建立在Internet标准基础上 灵活的、健壮的安全性 允许使用增量更新和移植 可以与现有的目录投资一起工作得很好 支持组织变化的灵活性 简化用户和网络管理 用户和组织管理 用户设备管理 提供安全服务 保护数据，而同时便于访问 基于Internet技术 简化目录管理 目录合并 目录同步 增强的底层结构服务 允许使用目录的网络 允许使用目录的服务 简化的应用程序管理 发布服务器位置，以便客户查找 基于策略和规则配置的应用程序 充分了解活动目录? 活动目录 – Schema 目录由对象组成 对象具有属性 Schema是容许的对象类型和属性的详细定义 例子: 活动目录 – 域 (Domain) 域 是活动目录中的安全边界 OU属性仅在域中继承，而不是跨域继承 提供复制边界 下一层为组织单位(Organizational Unit，OU) 活动目录 – OU(组织单位) 组织单位 是一个容器对象 活动目录中分组的最低形式 为帐号管理进行分组 可以对组织单位应用组策略 可以嵌入到任何层次中 逼真的OU视图 OU反映管理组织 可以是图形和/或商务模型分层结构 某些层次可能有子层，而其他层则可没有 活动目录 – 树型结构(Tree) 域树(Domain Tree) 一个或多个与根域有关系的域 域树内的域构成了邻接的命名空间 在域树中的所有的域中，模式是公共的 由Kerberos信任关系处理安全性 用户可以搜索域树内的所有信息 活动目录 – 森林型结构(Forest) 森林型结构 一组域树 公共模式和配置 由Kerberos信任关系保护 名空间是不邻接的，如 , 对于拥有在管理规则中需要自治的分支结构的公司而言，很有用 搜索森林型结构和树型结构 用户可以使用全局目录和开始/查找特性，搜索域树内的所有信息 允许快速搜索活动目录中的密钥信息，而无需单独地复制所有的域 活动目录 – GC(全局目录) 全局目录 包含在每个域内包含的信息的部分副本 网络管理员可以指定哪些属性可以放置在全局目录中，以及索引哪些属性 站点友好的搜索 全局目录域树 全局目录(GC) 用户帐号 姓名(Name) 头衔(Title) 上级(Manager) 办公室位置(Office Location) 电话(Phone) 部门(Division) 成本中心编号(Cost Center Code) 证书期限(Certification Expires) … 打印机 名称(Name) 制造商(Mfr) 型号(Model) 颜色(Color) 双工(Duplex) 资产编号(Asset #) 纸张尺寸(Paper Size) 物理情况如何? 我们已经定义了帮助我们进行逻辑管理的所有术语 我们如何考虑物理拓扑? 活动目录 – 站点(Site) 站点 直接与网络拓扑和网络连接性相联系 定义为“优良的”网络连接的一个方面 主要影响 用户登录，分布式文件系统 复制通信量 站点边界与域边界无关 对各部分进行评估 利用一个域开始 在一组指导方针基础上继续 我们并不是试图创造一个艺术品；实用性才是准则 反映商务需求，地理布局，并允许空间增长 各部分的规则 每个站点，域、组织单位 (SDOU)必须有存在的原因 谁正在创建DS对象? 目标? 谁管理该对象? 该对象存活的期限? 特殊特征，特殊条件 从何处开始 不要对了解它很有把握 不要误解它 反复的处理，改进，修改 评估不同的模型，并进行对比 要考虑商务增长趋势，商务中的变化量，以及变化的频度 将重点放在单域解决方案上– 简单 = 更好 一个域 组织单位设置 组织单位是在域内定义的 反映组织部门 设计用来产生企业模型的逻辑模型 考虑以下概念的含义: 组策略的继承 安全性的继承 典型地，每个域的组织单位都不同 例子: 组织单位分层结构 域边界模型 域是不是沿地理或企业边界创建的? 商务组织中最稳定的领域是什么? 例子: 地理边界：Microsoft Corporation 企业边界：Mobile组织 为什么选择多个域? 不同的企业位置 跨国公司 地区总部 局域网链接 主要站点之间的慢速链接 降低复制通信量 安全边界 分支机构 联营公司 合作伙伴 地理边界 有多少个域? 域模型 何时考虑使用森林型结构 如果公司各部门或分支是互相独立且完全不相干的，森林型结构可能是最好的模型 创建一个森林型结构将产生: 单独管理的域树 多个名空间 多个管理员 不要创建森林型结构，除非有这样做的可靠的商务原因 森林型结构 使得多个公司可以很容易地一起工作，而无需改变名称 为轻松进行合