集团计算机域管理方案最新版本.pdfVIP

集团计算机域管理方案 1. 集团现有的网络环境 就目前集团计算机网络以物理范围上划分大致分为顺德总部，中山区 工厂分支，昆山工厂分支和海林工厂分支。另外还有顺德的生态厂，中冠工厂等， 与顺德总部 较邻近的分支〔这些分支没有常驻网络专员〕，其次不排除今后的 其他工厂分支的参加。逻辑上，中山区工厂，昆山工厂，海林工厂，及生态厂通 过VPN连接至顺 德总部，形成逻辑上的一个网络整体。各分支和总部除了以VPN 形式存在的工作组模式的网络外，没有其他应用，客户端计算机的管理也没有一 个统一。现在需要 加强总部和各分支计算机的管理，故欲部署集团形式的域管 理方案。 针对目前集团计算机的管理要求：集成化统一管理，所以决定采用单 域多站点的形式。单域，满足集成化，统一；多站点，合理管理各个效劳器之间 的复制和复制开销。 〔1〕AD架构 页脚下载后可删除，如有侵权请告知删除！ 如下图：顺德总部建立两台域控制器，分别为主域控制器 DC1， 和辅助域控制器 DC2，中山，昆山和海林各设置一台域控制器，分别为 DC3,DC4 和 DC5。鉴于物理位置上中冠和生态厂距离总部较近，有网络速度上的优势，直接 通过 VPN 登录总部域控制器验证。假设今后其它分支参加，可新增控制器方式并 入总部域。 为了方便控制和管理各个分支工厂域控制器的复制，我们通过站点的方式解决这 个问题。效劳器操作系统方面推荐使用 windows server 2003 sp2 .(sp2增强了 对站点的管理)因此，我们在顺德总部，中山，昆山，海林分别建立一个站点， 然后添加顺德总部到中山，顺德总部到昆山，顺德总部到海林的站 点链接并编 辑站点复制。 〔备注：考虑到站点复制的开销，我们这里只设置各分支到总部的 站点间复制，而不设置所有站点间相互复制。可以手动设置复制开销和复 制时 间〕 为了实现各控制器间的冗余和客户端计算机以及移动用户能本地验证 登陆，我们还需在分支工厂的域控制器上建立本地DNS，同时，可以设置顺德总 部 DC1,中山DC3,昆山DC4,海林 DC5 为 GC。客户端计算机上，主DNS 为各点本 地 DNS，备用 DNS 为总部 DNS。这样所有的控制器之间都是冗余 状态，且移动笔 记本用户无论到哪个工厂都可以实现本地验证登陆，减少登录验证时间，各分支 工厂网络专员管理本地计算机网络可以直接对该分支域控制器操作。 〔2〕OU 设计 页脚下载后可删除，如有侵权请告知删除！ 如图：一级OU 是以各分支工厂来划分的。OU 的名称可以是分支工厂 的拼音来命名便于区分。因为GPO 应用的最根本容器是 OU，将不同分支工厂分 别建立不 同OU，增强了GPO 链接的灵活性。方便了各分支工厂网络专员根据工 厂实际情况来管理计算机。与此同时，更方便了对不同分支工厂网络专员权限的 委派。二级 OU 的设计分别在各个工厂 OU 下，建立组-IT， OU-SERVERS,OU-PC,OU-NOTEBOOK,OU-USERS,OU-GROUPS. IT(组)：存放分支工厂网络专员的账号，负责该OU 下对象的管理 委派权限： 1、创立、删除以及管理用户帐户 2、重设用户密码并强制在下次登录时更改密码 3、读取所有用户信息 4、创立、删除和管理组 5、修改组成员身份 Servers(OU)：存放各分支工厂效劳器计算机账号 PC 〔OU〕：存放各分支工厂台式计算机账号 Notebook(OU)：存放各分支工厂笔记本计算机账号 Users(OU)：存放各分支工厂用户账号 Groups 〔OU〕：存放各分支工厂的组 主域 administrator 对整个 AD 具有最高管理权限，新建一个 domain admin，管 理域内所有对象。建立各分支工厂网络专员账号，委派其管理各分支工厂 OU 内 的对象。因为组策略的应用关系到整个域的稳定，所以权限不下放， 如果有需 求由分支工厂网络专员向总部 AD 管理员反映处理。之所以设置 GROUPS(OU),是 为了满足今后文件共享及其他权限的的管理。例如：人力资源中 心需要一个公 共磁盘来存放该部门文件，但又不需要其他部门查看，那么可以通过建立组的形 式来分配权限。〔备注：当然，目前我们公司很多职能中心都是通过派驻 形式 到各个分工厂，如果总部需要建立一个公共磁盘，让所有人力资源中心同事都能