案例分析一-设计与构建活动目录系统.pptxVIP

案例分析一设计与构建活动目录系统YourNameYourDepartment

背景介绍宏达公司是一家房产连锁运营企业，在北京有1000余家门店，天津有40家门店，共有员工14000多人。宏达公司现有Mail、OA、HRM等系统。

需求分析统一身份管理〔一期工程〕构建统一身份验证平台可以为员工统一分配权限对员工计算机进行平安控制邮件系统〔二期工程〕实现公司内外部互发邮件，保证备份和恢复有效性预警机制〔三期工程〕在各系统出现问题时，能够主动通知管理员，或执行操作能为一个时间段出现的问题提供数据

现状分析办公用户和计算机遍布北京、天津各地且数量众多，没有统一集中的目录资源管理平台，大局部用户和计算机处于缺乏统一管理的状态；用户对于桌面系统的使用普遍比较随意，没有集中统一的计算机管理策略和用户密码平安管理机制，计算机客户端的平安得不到有效的保障；缺乏统一的用户认证管理系统，各系统各自为政，用户需要使用不同的用户名和密码访问不同应用系统，造成系统推广和使用的本钱增加；缺乏用户密码的独立设计方法，如果设置密码复杂性策略，将应用于整个组织。不能做到灵活制定密码策略。客户端的网络接入不加身份验证限制，缺乏相应的平安控制和管理手段，使个体计算机出现的问题影响到整体的网络和应用系统正常运行；

系统设计需求实现全公司的统一的用户认证和授权机制；全公司Windows计算机统一参加活动目录域，实现用户登录活动目录域验证；根据组织机构层次利用活动目录中的组织单元管理用户和计算机帐号的存放和管理；根据不同的管理要求，能够提供相应的组策略配置方案；实现基于角色的客户端统一桌面平安管理配置策略客户端参加域后利用组策略实行软件的自动安装；通过统一的域名解析〔DNS〕效劳直观的访问计算机、打印机、文件夹等AD中的资源；根据链家地产的注册域名实现内外网不同的DNS解析域名，确保内部网络的平安性；根据链家地产的IP规划统一利用动态地址分配〔DHCP〕技术实现客户端计算机的地址分配。

系统部署完成总部活动目录效劳器部署，实现覆盖链家地产所有分支机构的系统部署；全新部署Windows2008R2活动目录域，将各分支机构的计算机统一参加Windows2008R2域中，门店桌面客户端方案参加域；链家地产数据中心部署三台域控制器，丰联部署一台域控制器，昆泰部署一台域控制器；对于宏达公司分支机构超过50人办公的远程站点，建议部署一台window2008只读域控制器，确保活动目录系统的平安性；少于50人办公的站点不单独部署域控制器，用户通过内部广域网登录上级机构的域控制器；利用MicrosoftDNS解析架构和效劳器，客户端统一利用与活动目录集成的DNS效劳器实现内外网地址解析；

系统性能近期目标支持总部约500左右用户和计算机的登录认证；远期目标支持宏达全公司范围14000左右的用户和计算机的登录认证；

系统平安根据不同管理人员定义对用户帐号、效劳器不同的操作权限；对参加活动目录的应用效劳器建立严格的基于活动目录的访问控制和授权；对于活动目录系统的访问和授权具备详细的平安日志和相应的审计功能

系统架构建立全公司用户和计算机账号管理的活动目录域，采用活动目录域名；系统采用分布式的架构，具有高扩展性，支持层次化架构和管理对象的分布性；系统可以进行灵活的调整，负载增加时系统可以进行平滑的扩容和升级；所有的软件系统升级支持在线方式，扩容不影响用户使用，对用户透明；提供基于微软标准LDAP应用开发接口支持外部系统的认证集成开发。

系统可靠性活动目录系统支持分布式网络环境的多主复制机制，能够实现分层或多节点容错；活动目录效劳器能实现在线备份和在线升级，以保证不间断效劳；活动目录效劳器既可分布式运行，也可集中式运行。

系统管理实现活动目录系统架构的集中管理和配置；实现活动目录中多种平安管理组策略的集中管理和配置；实现活动目录中中登录帐户的集中管理和配置；系统管理端具有中文界面，操作简捷、易用；划分不同的管理员角色，实现分级分层管理；系统默认提供专用的开发接口支持管理任务的二次开发；

系统详细设计—活动目录根本特性目录效劳是一种网络效劳，它存储网络资源的信息并使得用户和应用程序能访问这些资源，活动目录〔ActiveDirectory，以下简称AD〕是面向WindowsServer的目录效劳，活动目录使用了一种结构化的数据存储方式，并以此作为根底对目录信息进行符合逻辑的分层组织。目录数据存储在被称为域控制器的效劳器上，并且可以被网络应用程序或者效劳所访问。一个域可能拥有一台以上的域控制器，每一台域控制器都拥有它所在域的目录的一个可写副本。对目录的任何修改都可以从源域控制器复制到域、域树或者森林中的其它域控制器上。由于目录可以被复制，而且所有的域控制器都拥有目录的一个