公司域控的实施方案.docVIP

公司域控的实施方案 　　 　　篇一：公司域控实施方案10.29 　　 　　一、服务器、磁盘柜、操作系统采购 　　 　　二、域控服务器搭建（一个星期左右） 　　 　　1、硬件安装及连接: 　　 　　服务器与磁盘柜之间通过SAS连接线连接。 　　 　　2、Windowsserver20XX操作系统安装 　　 　　服务器上硬盘仅用来安装操作系统，AD数据及安装目录均存入磁盘柜中硬盘。 　　 　　（1）操作系统安装:通过光驱安装windowsserver20XX标准版操作系统，两台服务器安装完操作系统后，安装系统补丁，更改计算机名，配置完整的网络配置参数(静态IP地址，备份域控的DNS地址设置为主域控IP地址)；通过windowsserverbackup对系统进行一次完整备份,再设置每天的增量备份。 　　 　　（2）安装域控制器:在主域控上安装DNS，域名设置为XXXXXX.；安装备份DC时，选择“现有域的额外域控制器”，其它配置相同。 　　 　　设置目录还原密码，该密码用于还原活动目录，必须保证其复杂性。 　　 　　3、域控服务器设置 　　 　　（1）用户账户管理: 　　 　　域管理员账号设置： 　　 　　域管理员账号可以登录域内任何一台计算机或者成员服务器，且具有最大管理权限，只为运维管理人员设置；域账号三次密码输入不正确会被锁定，需通过另外的域管理员账号解除锁定。 　　 　　为现有员工添加域账号： 　　 　　用户名为名字的全拼，设置初始密码，第一次登陆时，提示修改密码，密码必须符合复杂性要求（9位，包括字母、数字、特殊字符），三个月之内更换一次密码。密码三次输入错误，账号会被锁定，需通知管理员解锁，同时不得将自己的账号和密码擅自泄露给他人。 　　 　　用户登录设置： 　　 　　一般情况下，用户的域账号只能登录至自己的计算机，特殊情况下，单个账号可以登录多台计算机；同时可以设置登录时间段，如：白天上午9点至下午6点可以正常登录，除此时间段之外，无法登录至计算机。 　　 　　新员工和离职人员账户操作： 　　 　　为新加入的员工，设置新的域账号，离职员工在离职的最后一天停用其域账号。 　　 　　账户名称变更： 　　 　　假使某甲要离职,由新进人员某乙接替其职位。则管理员无须先建立某乙的账户、再删除某甲的账户,可以直接将某甲的账户名称更改为某乙的账户名称,如此不但省事,在权限方面也不易出错。 　　 　　（2）组织单元划分： 　　 　　按部门划分组织单元，下面包括计算机组和用户组。如客服部，下面包括客服部的计算机组和该部门的用户组；用户组包括该部门员工的域账号，计算机组包括该部门所有的正在使用的计算机。 　　 　　（3）权限控制：以下权限控制均通过组策略来实现 　　 　　USB接口控制：通过组策略来控制计算机上的USB接口是否可用。 　　 　　用户文件夹重定向：使域用户的文件存放在服务器上指定的位置，既可以避免系统损坏带来的文件丢失情况，又可以在任意一台域成员机上访问到自己的文件。 　　 　　软件权限限制：所有的域账号登录的计算机不具有安装和删除软件的权限，软件的安装和卸载需通知域管理员进行。在实际生产环境当中，有少部分软件是必须需要本地管理员权限才能运行的，对于这种情况，把域账号加入至本地管理组中或者使用脚本的方式来运行这类型软件。 　　 　　三、客户端设置： 　　 　　收回本地计算机管理员权限，均采用域账号登录，所有计算机统一设置本地管理员,（须保证密码复杂性要求，且半年更换一次），由管理员统一保管且不能泄露给其他人。 　　 　　1、加域前的必须操作： 　　 　　将桌面的相关文档（需要用到的资料）复制至除C盘以外的其他磁盘更改计算机名称，计算机名称按照“GZ+部门拼音第一个字母+数字”命名规则依次进行（如：gz-cw-01、gz-cw-02、gz-kf-02）。计算机名称更改后，需要重启计算机。 　　 　　更改网络配置信息： 　　 　　设置静态IP地址，IP地址根据事先规划好的设置。主DNS地址为主域控的IP地址。备份DNS地址为从域控的IP地址。 　　 　　2、如何加域： 　　 　　右击“我的电脑”，选择“属性”，选择“计算机名”选项卡，点击“更改”在弹出的对话框中选择“隶属于”“域”，填写正确的域名后，点击确定。然后重启计算机即可。 　　 　　四、测试阶段（3天左右） 　　 　　测试方式：通过虚拟机虚拟出xp和win7的客户端加入到域中进行测试。 　　 　　测试内容： 　　 　　1、服务器方面的测试： 　　 　　备份测试，测试系统备份和AD数据备份是否正常进行。 　　 　　还原性测试，备份好的数据还原后是否可以正常使用。 　　 　　测试主从DC数