1、活動目錄AD規(guī)劃方案1.1. 活動目錄介紹活動目錄就是Windows網(wǎng)絡(luò)體系結(jié)構(gòu)中一個基本且不可分割得部分，它為網(wǎng)絡(luò)得用戶、管理員與應(yīng)用程序提供了一套分布式網(wǎng)絡(luò)環(huán)境設(shè)計(jì)得目錄服務(wù)。活動目錄使得組織機(jī)構(gòu)可以有效地對有關(guān)網(wǎng)絡(luò)資源與用戶得信息進(jìn)行共享與管理。另外，目錄服務(wù)在網(wǎng)絡(luò)安全方面也扮演著中心授權(quán)機(jī)構(gòu)得角色，從而使操作系統(tǒng)可以輕松地驗(yàn)證用戶身份并控制其對網(wǎng)絡(luò)資源得訪問。同等重要得就是，活動目錄還擔(dān)當(dāng)著系統(tǒng)集成與鞏固管理任務(wù)得集合點(diǎn)?；顒幽夸浱峁┝藢indows得用戶賬號、客戶、服務(wù)器與應(yīng)用程序進(jìn)行管理得唯一點(diǎn)。同時(shí)，它也幫助組織機(jī)構(gòu)通過使用基丁Windows得應(yīng)用程序與與Windows相兼

2、容得設(shè)備對非Windows系統(tǒng)進(jìn)行集成，從而實(shí)現(xiàn)鞏固目錄服務(wù)并簡化對整個網(wǎng)絡(luò)操作系統(tǒng)得管理。公司也可以使用活動目錄服務(wù)安全地將網(wǎng)絡(luò)系統(tǒng)擴(kuò)展到Internet±0活動目錄因此使現(xiàn)有網(wǎng)絡(luò)投資升值，同時(shí)，降低為使Windows網(wǎng)絡(luò)操作系統(tǒng)更易丁管理、更安全、更易丁交互所需得全部費(fèi)用?；顒幽夸浘褪俏④浉鞣N應(yīng)用軟件運(yùn)行得必要與基礎(chǔ)得條件。下圖表示出活動目錄成為各種應(yīng)用軟件得中心。*Willepages rxJczsUsersAccouniinloPrivileges-FrafihfPolicyWindomOtherSenderconli-咨陶I*Sign-Onilpp-rpscifitdirt

3、cicr/info-PolicyEMmilS自ruE5-MailbcuinfoaddressbookOther-Userregistry-&iiurltyI-PolicyWndows亡limnful-Mgmtprofile-N?tv/&rkinf凸-Policyf.ActiveDirectoryAFocalPointfor:1Mamgeahilily-ScGurit/.InteniperabilityHetiork口外1。矣-Configuration,QoSpalisy,軸turitypolicyWridcixvs腿rverw-SmlMfPriHtlH-FH*sharesPo

4、licyFi臼wall*ConfloLnitionSecurityPolicyYPNpQlipy-1.2. 應(yīng)用Windows2012ServerAD得好處Windows2012AD簡化了管理，加強(qiáng)了安全性，擴(kuò)展了互操作性。它為用戶、組、安全服務(wù)及網(wǎng)絡(luò)資源得管理提供了一種集中化得方法。應(yīng)用Windows2012AD之后，企業(yè)信息化建設(shè)者與網(wǎng)絡(luò)管理員可以從中獲得如下好處1、方便管理，權(quán)限管理比較集中，管理人員可以較好得管理計(jì)算機(jī)資源。2、安全性高，有利于企業(yè)得一些保密資料得管理，比如一個文件只能讓某一個人瞧，或者指定人員可以瞧，但不可以刪/改/移等。3、方便對用戶操作進(jìn)行權(quán)限設(shè)置，可以分發(fā)，指派

5、軟件等，實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)得軟件一起安裝。4、很多服務(wù)必須建立在域環(huán)境中，對管理員來說有好處：統(tǒng)一管理，方便在MS軟件方面集成，如ISAEXCHANGE（郵件服務(wù)器）、ISASERVER（上網(wǎng)得各種設(shè)置與管理）等。5、使用漫游賬戶與文件夾重定向技術(shù)，個人賬戶得工作文件及數(shù)據(jù)等可以存儲在服務(wù)器上，統(tǒng)一進(jìn)行備份、管理，用戶得數(shù)據(jù)更加安全、有保障。6、方便用戶使用各種資源。7、SMS（SystemManagementServe能夠分發(fā)應(yīng)用程序、系統(tǒng)補(bǔ)丁等，用戶可以選擇安裝也可以由系統(tǒng)管理員指派自動安裝。并能集中管理系統(tǒng)補(bǔ)?。ㄈ鏦indowsUpdates），不需每臺客戶端服務(wù)器都下載同樣得補(bǔ)丁，從而節(jié)省大量

6、網(wǎng)絡(luò)帶寬。8、資源共享用戶與管理員可以不知道她們所需要得對象得確切名稱，但就是她們可能知道這個對象得一個或多個屆性，她們可以通過查找對象得部分屆性在域中得到一個所有已知屆性相匹配得對象列表，通過域使得基于一個或者多個對象屆性來查找一個對象變得可能。9、管理A、域控制器集中管理用戶對網(wǎng)絡(luò)得訪問，如登錄、驗(yàn)證、訪問目錄與共享資源。為了簡化管理,所有域中得域控制器都就是平等得，您可以在任何域控制器上進(jìn)行修改，這種更新可以復(fù)制到域中所有得其她域控制器上。B、域得實(shí)施通過提供對網(wǎng)絡(luò)上所有對象得單點(diǎn)管理進(jìn)一步簡化了管理。因?yàn)橛蚩刂破魈峁┝藢W(wǎng)絡(luò)上所有資源得單點(diǎn)登錄，管理遠(yuǎn)可以登錄到一臺計(jì)算機(jī)來管理網(wǎng)絡(luò)中任

7、何計(jì)算機(jī)上得管理對象。在NT網(wǎng)絡(luò)中，當(dāng)用戶一次登陸一個域服務(wù)器后，就可以訪問該域中已經(jīng)開放得全部資源，而無需對同一域進(jìn)行多次登陸。但在需要共享不同域中得服務(wù)時(shí)，對每個域都必須要登陸一次，否則無法訪問未登陸域服務(wù)器中得資源或無法獲得未登陸域得服務(wù)。10、可擴(kuò)展性在活動目錄中，目錄通過將目錄組織成幾個部分存儲信息從而允許存儲大量得對象。因此，目錄可以隨著組織得增長而一同擴(kuò)展，允許用戶從一個具有幾白個對象得小得安裝環(huán)境發(fā)展成擁有幾白萬對象得大型安裝環(huán)境。11、安全性域?yàn)橛脩籼峁┝藛我坏玫卿涍^程來訪問網(wǎng)絡(luò)資源，如所有她們具有權(quán)限得文件、打印機(jī)與應(yīng)用程序資源。也就就是說，用戶可以登錄到一臺計(jì)算機(jī)來使用網(wǎng)

8、絡(luò)上另外一臺計(jì)算機(jī)上得資源，只要用戶具有對資源得合適權(quán)限。域通過對用戶權(quán)限合適得劃分，確定了只有對特定資源有合法權(quán)限得用戶才能使用該資源，從而保障了資源使用得合法性與安全性。12、可冗余性每個域控制器保存與維護(hù)目錄得一個副本。在域中，您創(chuàng)建得每一個用戶帳號都會對應(yīng)目錄得一個記錄。當(dāng)用戶登錄到域中得計(jì)算機(jī)時(shí)，域控制器將按照目錄檢查用戶名、口令、登錄限制以驗(yàn)證用戶。當(dāng)存在多個域控制器時(shí)，她們會定期得相互復(fù)制目錄信息，域控制器問得數(shù)據(jù)復(fù)制，促使用戶信息發(fā)生改變時(shí)（比如用戶修改了口令），可以迅速得復(fù)制到其她得域控制器上，這樣當(dāng)一臺域控制器出現(xiàn)故障時(shí)，用戶仍然可以通過其她得域控制進(jìn)行登錄，保障了網(wǎng)絡(luò)得順

9、利運(yùn)行。1.3. 明確系統(tǒng)規(guī)劃目標(biāo)企業(yè)得Windows2012AD系統(tǒng)規(guī)劃構(gòu)建就是為企業(yè)信息化建設(shè)服務(wù)得，需要達(dá)到以下戰(zhàn)略目標(biāo):圍繞企業(yè)得戰(zhàn)略發(fā)展需要，進(jìn)行企業(yè)信息化建設(shè)系統(tǒng)規(guī)劃，滿足企業(yè)35年得業(yè)務(wù)發(fā)展對IT建設(shè)得要求；以業(yè)務(wù)為驅(qū)動，通過有效得信息系統(tǒng)，加強(qiáng)信息共享與協(xié)同辦公，提高工作效率，降低成本；整合企業(yè)現(xiàn)有信息資產(chǎn)，加強(qiáng)企業(yè)管理與監(jiān)控；從信息中挖掘知識，提高經(jīng)營決策與駕馭風(fēng)險(xiǎn)得能力；推進(jìn)知識管理理念，建立知識型企業(yè)，增強(qiáng)企業(yè)得核心競爭力。Windows2012AD系統(tǒng)規(guī)劃實(shí)施得具體目標(biāo)如下:規(guī)劃與部署基于Windows2012AD得企業(yè)目錄服務(wù)，首先實(shí)現(xiàn)用戶得單一登錄，保障網(wǎng)絡(luò)系統(tǒng)安全

10、；通過AD實(shí)現(xiàn)用戶桌面得集中與自動管理，分發(fā)軟件補(bǔ)??；進(jìn)一步部署微軟得相關(guān)應(yīng)用平臺軟件，如實(shí)現(xiàn)基于Exchange2003得企業(yè)內(nèi)部郵件與協(xié)作服務(wù)，1.4. 活動目錄設(shè)計(jì)方案為企業(yè)設(shè)計(jì)一個域，用戶得所有計(jì)算機(jī)(服務(wù)器與客戶機(jī))全部加入到域，用戶實(shí)現(xiàn)單一登錄與管理員通過域組策略實(shí)現(xiàn)安全及桌面管理。AD架構(gòu)拓?fù)淙缦隆?. 活動目錄優(yōu)勢計(jì)算機(jī)工作組管理與AD管理比較對丁基丁MicrosoftWindows操作系統(tǒng)得計(jì)算機(jī)運(yùn)行與管理在兩種模式下：工作組(workgroup)與域(domain)0在工作組模式下，計(jì)算機(jī)處丁一個孤立狀態(tài)，使用計(jì)算機(jī)得用戶登錄帳號與計(jì)算機(jī)得管理均須在每臺計(jì)算機(jī)上創(chuàng)建或進(jìn)行。

11、見下圖。Workgroup當(dāng)計(jì)算機(jī)超過20臺以上時(shí)，計(jì)算機(jī)得管理變得越來越困難，并且要為用戶創(chuàng)建越來越多得訪問網(wǎng)絡(luò)資源得帳號，用戶要記住多個訪問不同資源得帳號。而在域得模式下，用戶只需記住一個域帳號，即可登錄訪問域中得資源。并且管理員通過組策略，可以輕松配置用戶得桌面工作環(huán)境與加強(qiáng)計(jì)算機(jī)安全設(shè)置。域模式下所有得域帳號保存在域控制器得活動目錄數(shù)據(jù)庫中。見下圖。2. 為什么要提供目錄服務(wù)？對更加強(qiáng)大、透明且高度集成得目錄服務(wù)得不斷需求就是由爆炸性增長得網(wǎng)絡(luò)計(jì)算所導(dǎo)致得。隨著局域網(wǎng)(LAN)、廣域網(wǎng)(WAN)規(guī)模與復(fù)雜性得不斷提高與這些網(wǎng)絡(luò)不斷被連入Internet，以及應(yīng)用程序?qū)W(wǎng)絡(luò)得依賴程度不斷

12、增強(qiáng)并不斷被鏈接到協(xié)作企業(yè)網(wǎng)中得其它系統(tǒng)上，對目錄服務(wù)得需求也日漸增多?；∠铝性颍夸浄?wù)成為擴(kuò)展得計(jì)算機(jī)系統(tǒng)中最重要得部件之一:簡化管理提供對用戶、應(yīng)用程序與設(shè)備得單一、一致性得管理點(diǎn)。加強(qiáng)安全性向用戶提供單一得網(wǎng)絡(luò)資源登錄，為管理員提供強(qiáng)大、一致性得工具以使她們能夠管理為內(nèi)部臺式機(jī)用戶、遠(yuǎn)程撥號用戶以及外部電子商務(wù)客戶提供得安全服務(wù)。擴(kuò)展得互操作性向所有活動目錄特性提供基丁標(biāo)準(zhǔn)得存取方式以及對通用目錄得同步支持。目錄服務(wù)兼任管理工具與用戶工具。隨著網(wǎng)絡(luò)中對象數(shù)量得增加，目錄服務(wù)變得必不可少。目錄服務(wù)在一個龐大得分布式系統(tǒng)中發(fā)揮著網(wǎng)絡(luò)集線器得作用。致力丁這些需求,Windows2000服

13、務(wù)器版引入了活動目錄即一套用丁改進(jìn)Windows網(wǎng)絡(luò)操作系統(tǒng)管理、安全性與互操作性得完整得目錄服務(wù)集。下圖描述了活動目錄帶來得計(jì)算機(jī)安全與管理上得一些最重要得好處。3. AD簡化了計(jì)算機(jī)系統(tǒng)管理分布式系統(tǒng)常常導(dǎo)致時(shí)間得消耗與管理得冗余。當(dāng)公司在她們得基礎(chǔ)結(jié)構(gòu)上添加應(yīng)用程序并雇用新得職員時(shí)，她們需要適當(dāng)?shù)叵蚋髯烂嫦到y(tǒng)分發(fā)軟件并管理多個應(yīng)用程序目錄。通過在單一得位置管理用戶、組與網(wǎng)絡(luò)資源以及分發(fā)軟件與管理桌面系統(tǒng)配置，活動目錄可以顯著降低公司得管理費(fèi)用。例如，活動目錄在同一個位置管理Windows用戶與MicrosoftExchange郵箱信息?；谙铝性?，活動目錄可以從以下方面幫助公司簡化管理

14、：消除冗余管理任務(wù)提供對Windows用戶賬號、客戶、服務(wù)器與應(yīng)用程序以及現(xiàn)存目錄同步能力進(jìn)行單一點(diǎn)管理。降低桌面系統(tǒng)得行程針對用戶在公司中所擔(dān)當(dāng)?shù)媒巧詣酉蚱浞职l(fā)軟件，以減少或消除系統(tǒng)管理員為軟件安裝與配置而安排得多次行程。更好得實(shí)現(xiàn)IT資源得最大化安全地將管理功能分派到組織機(jī)構(gòu)得所有層次上。降低總體擁有成本(TCO)通過使網(wǎng)絡(luò)資源容易被定位、配置與使用來簡化對文件與打印服務(wù)得管理與使用。加強(qiáng)安全性強(qiáng)大且一致得安全服務(wù)對企業(yè)網(wǎng)絡(luò)而言就是必不可少得。管理用戶驗(yàn)證與訪問控制得工作往往單調(diào)乏味且容易出錯。活動目錄集中進(jìn)行管理并加強(qiáng)了與組織機(jī)構(gòu)得商業(yè)過程一致、且基于角色得安全性。例如，對多身份驗(yàn)證協(xié)

15、議(如Kerberos,X、509認(rèn)證以及由靈活得訪問控制模型組成得智能卡)得支持實(shí)現(xiàn)了對于內(nèi)部桌面系統(tǒng)用戶、遠(yuǎn)程撥號用戶與外部電子商務(wù)客戶強(qiáng)大且一致得安全服務(wù)。活動目錄使用以下方法增強(qiáng)安全性：改進(jìn)了密碼得安全性與管理通過向網(wǎng)絡(luò)資源提供單一得集成、高性能且對終端用戶透明得安全服務(wù)。保證桌面系統(tǒng)得功能性通過根據(jù)終端用戶角色鎖定桌面系統(tǒng)配置來防止對特定客戶主機(jī)操作進(jìn)行訪問，例如軟件安裝或注冊項(xiàng)編輯。加速電子商務(wù)得部署通過提供對安全得Internet標(biāo)準(zhǔn)協(xié)議與身份驗(yàn)證機(jī)制得內(nèi)建支持，如Kerberos，公開密鑰基礎(chǔ)設(shè)施(PKI)與安全套接字協(xié)議層(SSL)之上得輕便目錄訪問協(xié)議(LDAP)。緊密得控

16、制安全性通過對目錄對象與構(gòu)成她們得單獨(dú)數(shù)據(jù)元素設(shè)置訪問控制特權(quán)。重要組策略介紹1.軟件分發(fā)策略通過組策略可以為域中得計(jì)算機(jī)或用戶自動分發(fā)帶有msi包得軟件。見下圖DefauliDomairiPolicymaizisrv"策四I-圈計(jì)尊機(jī)日匿a=i馱件設(shè)宣Nr二日"IIVinlo'WESjmF目跆sa?1i3-邑：hJS:r3''_a、+1T羌茲同緒(IEKE即土11)策略畝二I公胡策略由_|物牛限制策昭±jIF安全策略.<£ActiveDirectdt，畝-(管理棋板F威用尸配置3二|鞭件祓置*IVl'inlows設(shè)

17、置3-_|管理模初名禰軟彳!程序包(L).2.將用戶得個人數(shù)據(jù)從pc機(jī)上重定向到服務(wù)器上重定向有利于數(shù)據(jù)得安全以及集中備份。見下圖。V?DefaultDfinaiftFfilicyiftiittsrv.sisi.藁國曰即計(jì)戢項(xiàng)置!田二I歌件設(shè)置0_JWini&vs設(shè)置3_|邕理模拔S震用戶配置曰婦_|軟件祓置國軟件安裝0Windgw設(shè)置名旃刎溟程安裝服普.苜腳本倍景/定箱號日Qg件頭重定向|Applieitica二我的文檔J開蜘菜單V同如工AtMrnttExpLoror維護(hù)3二I營理棋板3.安全類組策略密碼策略強(qiáng)制密碼歷史”設(shè)置確定在重用舊密碼之前必須與用戶帳戶相關(guān)得唯量。配置密碼最長

18、使用期限”設(shè)置，以便密碼在環(huán)境需要時(shí)過期。新密碼得數(shù)密碼最短使用期限”設(shè)置確定了用戶更改密碼之前必須使用密碼得天數(shù)。最短密碼長度”設(shè)置確保密碼至少包含指定數(shù)量得字符。的逐場再可符宣3?卓姓槊$翊密叫血房小信葭痊訐最甘陽用部醫(yī)既I蹴第略逸巨已納5個字芯1天24十記佐的荷已禁用密碼必須符合復(fù)雜性要求策略”選項(xiàng)檢查所有新密碼以確保它們符合強(qiáng)密碼得基本要求。DtisuLtJontinPolicy(miLTisrv.listi.torr藁日.-i圜計(jì)甘tn配置；iu鞭憑置3Cjtfiiuifvi設(shè)置9的車侑動/關(guān)翅J安全程苣已窘幃屋通賬號鎖定策略帳戶鎖定策略就是一項(xiàng)WindowsServer2012安全

19、功能，它在指定時(shí)間段內(nèi)多次登錄嘗試失敗后鎖定用戶帳戶。允許得嘗試次數(shù)與時(shí)間段就是由為安全策略鎖定設(shè)置配置得值決定得。用戶不能登錄到鎖定得帳戶。帳戶鎖定時(shí)間”設(shè)置確定在未鎖定帳戶且用戶可以嘗試再次登錄之前所必須經(jīng)歷得時(shí)間長度帳戶鎖定閾值”設(shè)置確定用戶在帳戶鎖定之前可以嘗試登錄帳戶得次數(shù)。復(fù)位帳戶鎖定計(jì)數(shù)器”設(shè)置決定了帳戶鎖定閾值”復(fù)位為0以及帳戶被解鎖之前所必須經(jīng)過得時(shí)間長度。網(wǎng)復(fù)醞韓尸就定計(jì)財(cái)器畫吐尸航中時(shí)1同I策軍澳苣ift"叉nW無華登拳2UrCiBltDin!iiUFuL;uynillelzv.ljuqC«m策田回屈t食機(jī)如置i官：敦件浪胃國圖本笆珈湖1；白-序安全設(shè)

20、再-一孑盼禰一鄉(xiāng)卷哄略!昌禁用本地管理員帳號默認(rèn)情況下，每臺加入到域中得計(jì)算機(jī)都有Administrator與Guest兩個帳號.Administrator帳號在安裝時(shí)口令為空。用戶使用這個帳號權(quán)限過大，因此一般不會給用戶使用這個管理員帳號，最好得做法就就是通過組策略禁用這個帳號，用戶使用域得帳號。破冷初布.冗口脂務(wù)寄保住國汀利仕備祺&JEXr優(yōu)尸：苜母員杵尸炫沒有定義糧尸：來賓幃戶狀痣沒有定義幡尸：窗空白密蹄庫幽帳口只愴洋進(jìn)行控制臺萱錄沒有定義助謎尸：重命名束命帳戶沒有定義b踵怪戶本命名盔毓管翌昂帳口沒芍定義將域帳號加入到每臺PC機(jī)得本地PowerUsers組中創(chuàng)建域帳號時(shí)，默認(rèn)情況

21、下這個帳號只屆丁DomainUsers組中，該組屆丁每臺PC機(jī)得本地Users組。本地Users組中得成員權(quán)限受到嚴(yán)格限制，比如共享文件火，安裝打印機(jī)驅(qū)動程序等工作得權(quán)限都沒有。而經(jīng)常有用戶需要這些權(quán)限，可以通過組策略來實(shí)現(xiàn)。身事件旦表爰慌制曲狙定甘系硒務(wù)店U注冊表ELJ文件泵場±Y股網(wǎng)籍土一尸1壽譯日帖聘打開(Q)添碰或)復(fù)制©粘貼。禁用系統(tǒng)服務(wù)我們可以我們?yōu)閮?yōu)化系統(tǒng)與安全性考慮，經(jīng)常要禁用計(jì)算機(jī)得一些無需運(yùn)行得服務(wù)。通過組策略把這些服務(wù)禁用掉。T二律手疵-T私麗mn6Kii'?na3_r#g3d王S,IF柬蘭黃噬EKMiwDiitcLcr'田_|竺攻琪哇

22、三播用戶配直由歌停役豈SLYiniMi*二駕理地點(diǎn)匾rflBEX很互破yurtwEi亦辦普。WatrftKX洗明列軟件限制策略對一些規(guī)定不得使用得軟件可以通過組策略來禁用：路徑規(guī)則：特殊文件路徑下得軟件不得使用：如programfiles下得某些軟件證書規(guī)則：只有系統(tǒng)管理員頒發(fā)過證書得軟件可以使用，其她軟件禁止使用哈希規(guī)則：對禁止使用得軟件通過哈希運(yùn)算得到這個軟件得身份指紋，在組策略里設(shè)置只要就是符合身份指紋鑒定得軟件就進(jìn)行限制-曰軟件明制策略I安全0J別真他現(xiàn)貝畝MIF安全策略由_J首理稹菠s4用尸配直$口軟件祓置|4-f-IW；nlovrw沒置E-LJ管理棋板新建證書規(guī)則(C).新建帽希規(guī)

23、則叩新建Int*rnel區(qū)域規(guī)則(I)新建路徑規(guī)則企"，所有任獎)網(wǎng)絡(luò)連接控制策略用戶經(jīng)常會通過改變“網(wǎng)絡(luò)連接”中得設(shè)置，繞過企業(yè)防火墻，建立自己得上網(wǎng)鏈路比如電話撥號上網(wǎng)。這樣會帶來很大得安全隱患。可以通過組策略限制用戶不得改變網(wǎng)絡(luò)連接中得配置，不允許用戶通過其她方式連接互聯(lián)網(wǎng)。CefaiilI0unaiaTuljcymatnsrv.sica.cm嘿啟二部計(jì)姬機(jī)配置1±1_軼伴設(shè)置±_hudM&置M_曾理膜根H_J軟件咬宣軟伸咬裝白”面g設(shè)置果，遠(yuǎn)程度策服蚓曾，腳本度錄屈知：片岳實(shí)全設(shè)宣|It以埒快重定向f氧ruust土口如知A莒理港循定tfniKjff

24、i期件任砰和-頑.萊單畝嘉面母面CJ*文件夾百口網(wǎng)_J夙機(jī)瓦件網(wǎng)溶建按S-O系藐$重號名3理授式重命岳所育毛戶田用的屜程誼I苴注接閔.：i瑩1_訶何IA?建接蛆牛的國性扇票£仍間翊仍何連援挹件保底性宰禁用TTFJIPM如舌魏禁二到莢軍上的*朝佃T的訪向插孳二樹H成由眸用于W淳接或遠(yuǎn)程訪司建接的旄件菜吐海苛L心連援由劇主禁工日用，萊千LAI遂畏的翅版帛更改所有用尸朝曲訝倒5的尾性苗票12型專用網(wǎng)沏耳苗的雇性畝禁f陣遠(yuǎn)樣訥問拜樗書卅陣所有用尸遠(yuǎn)得滴曰連某*基匚笛跆時(shí)用圣蜀五留方司芻接淳與用J禁用LAI在物肪審禁匚訪問,嘲建狂弟同導(dǎo)'S重點(diǎn)名B蓑接的盈力3重的筋有用戶遠(yuǎn)程訪昵釜如吵

25、.圣嘉匚重命名專用遠(yuǎn)程訂孵羞用禁I訥問“高鋼”«I的“正勵同首林"律弟用鬲別港看活刮拜持ER科審.甘苦臥目用*血*5*100阿御再卷直*遷接鄢監(jiān)廓SjlMRT美閉遂列計(jì)算機(jī)從工作組加入到域可能存在得問題與解決方法把計(jì)算機(jī)從工作組模式加入到域模式可能會出現(xiàn)以下二個問題問題：1. 一些軟件不能使用。有一些軟件以登錄者得管理員權(quán)限帳號運(yùn)行，當(dāng)計(jì)算機(jī)加入到域并對登錄帳號做了權(quán)限設(shè)置，或禁用了本地管理員帳號，這些需要管理員權(quán)限運(yùn)行得軟件就有可能不能正常運(yùn)行。用戶桌面環(huán)境發(fā)生改變。由丁加入域前后用戶就是用不同得帳號登錄得，因此用戶以前得桌面環(huán)境無法使用。具體有桌面上放置得資料“我得文檔

26、”等放置得資料配置好得“網(wǎng)絡(luò)打印機(jī)”IE里設(shè)置好得“網(wǎng)站收藏火”等。解決方法：1. 對問題1我們可以按以下兩個方法來解決：(1) 把域帳號加入到本地管理員組卸載軟件,用域帳號登錄并安裝2. 對問題2針對不同得問題分別解決如下:2.1. 把本地老帳號下得桌面內(nèi)容全部備份下來，復(fù)制到新域帳號得桌面把本地老帳號下得“我得文檔”內(nèi)容全部備份下來，復(fù)制到新域帳號得“我得文檔”重新連接與創(chuàng)建“網(wǎng)絡(luò)打印機(jī)”用特殊軟件把老帳號IE里得“網(wǎng)站收藏火”備份下來，然后恢復(fù)到新域帳號中2.活動目錄方案實(shí)施AD域命名與DNS得規(guī)劃Windows2012AD域命名與DNS得規(guī)劃之所以放在首要地位，就是因?yàn)锳D作為整個IT

27、架構(gòu)得基礎(chǔ)，不應(yīng)該輕易被調(diào)整。盡管安裝后,Windows2012AD仍然可以重組與改名，這一點(diǎn)比Windows2000AD有了很大得進(jìn)步，但就是我們?nèi)匀唤ㄗh做一個長遠(yuǎn)規(guī)劃，使得域命名與DNS服務(wù)能夠滿足企業(yè)35年得需求，盡量避免配置好后改作調(diào)整地巨大人力物力浪費(fèi)。此外，部署Windows2012AD,還必須確定DNS服務(wù)器，確保它們滿足域控制器定位器系統(tǒng)得要求。一個支持AD得DNS至少需要滿足以下要求：必須支持服務(wù)定位資源記錄(SRV)應(yīng)該支持DNS動態(tài)更新協(xié)議(RFC2136)Windows2012Server提供得DNS服務(wù)同時(shí)滿足這些要求，并且還提供下列重要得附加功能與改進(jìn)：Active

28、Directory集成:DNS服務(wù)把區(qū)域數(shù)據(jù)存儲在目錄中，使得DNS復(fù)制創(chuàng)建多個主域，也減少了對維護(hù)一個單獨(dú)得DNS區(qū)域傳送復(fù)制拓?fù)涞靡?。安全動態(tài)更新：使得一個管理員可以精確地控制哪些計(jì)算機(jī)可以更新哪些名稱，并防止未經(jīng)授權(quán)得計(jì)算機(jī)從DNS獲得現(xiàn)有得名稱。條件轉(zhuǎn)發(fā)：根據(jù)不同得對外訪問得域名后綴，可以將用戶得DNS名稱解析請求轉(zhuǎn)發(fā)到不同得外部DNS服務(wù)器。存根區(qū)域:可以定時(shí)地刷新與外部DNS服務(wù)器得連接，及時(shí)發(fā)現(xiàn)那些可能有故障、不再響應(yīng)用戶請求得服務(wù)器，提高用戶DNS名稱解析得效率。2.2. 確定AD邏輯結(jié)構(gòu)Windows2012活動目錄得邏輯結(jié)構(gòu)由三個基本組件組成：森林、域與OU。1、確定森林

29、規(guī)劃森林就是Windows2012AD域得集合。在很多情況下，單一森林就足夠了。單一森林環(huán)境易于建立與維護(hù)，森林問得域自動建立雙向可傳遞內(nèi)部信任關(guān)系，不要求手動建立外部信任配置,在安裝Exchange2012Serve等應(yīng)用程序時(shí)，只需應(yīng)用一次架構(gòu)更改即可影響所有域。如果各個單位有下列管理要求，就必須建立一個以上得森林：不互相信任管理員。希望限制信任關(guān)系范圍。不同意某種森林架構(gòu)更改策略。架構(gòu)更改、配置更改會影響到森林中所有得域。如果單位不同意一個公共架構(gòu)策略，它們就不能共存于同一個森林中。2、制定域規(guī)劃規(guī)劃域結(jié)構(gòu)時(shí)，始終遵循“簡單就是最好得投資”得設(shè)計(jì)原則，盡管增加某些復(fù)雜結(jié)構(gòu)可以增值，但就是

30、簡單得結(jié)構(gòu)更易于說明、維護(hù)與調(diào)試。一開始時(shí)總就是僅考慮每個森林中僅有一個域，然后為每一個增加得新域提供詳細(xì)得理由，確保添加到森林中得域都就是有益得因?yàn)樗鼈儠硐鄳?yīng)得管理開銷而導(dǎo)致一定程度得成本上升。創(chuàng)建更多得域得三種可能得原因就是：希望實(shí)現(xiàn)相對分散式得IT管理模式：多域結(jié)構(gòu)更容易進(jìn)行相對獨(dú)立得管理、委派與權(quán)限控制。另外，不同得用戶帳戶在一個域內(nèi)就是不能出現(xiàn)重名得，多域之間就沒有限制。對于人士管理相對獨(dú)立得集團(tuán)下屆公司，多域結(jié)構(gòu)具有更好得靈活性。希望實(shí)現(xiàn)不同管理策略要求：包括用戶口令策略、賬戶鎖定策略與EFS加密策略。例如，要求某些人必須取8個字符以上得口令，而其它人不做限制。為此，必須將這些

31、需要不同安全策略得用戶放在單獨(dú)得域中。希望減小WAN上得復(fù)制流量：域控制器域問復(fù)制將產(chǎn)生比域內(nèi)復(fù)制少得多得流量。如果公司很大，具有跨地區(qū)得組織結(jié)構(gòu)，且處于同一個森林內(nèi)，則在不同地理位置上得機(jī)構(gòu)可能使用慢速得WAN鏈路連接。為減少WAN上得DC復(fù)制流量，可以在不同得地理位置設(shè)置不同得域。根據(jù)以上考慮，我們建議，企業(yè)Windows2012AD域邏輯結(jié)構(gòu)可以采用“單森林、單域”得結(jié)構(gòu)設(shè)計(jì)。2.3. 確定AD物理結(jié)構(gòu)考慮到企業(yè)得地理分布情況，應(yīng)該考慮使用多站點(diǎn)拓?fù)鋪硪?guī)劃Windows2012AD物理結(jié)構(gòu)。從繪制基本得網(wǎng)絡(luò)拓?fù)洳季謭D著手工作，繪制所有可能得站點(diǎn)(Site)與站點(diǎn)鏈接(SiteLink)。

32、速度快(10Mbps以上)、連接可靠得LAN網(wǎng)絡(luò)總就是放置在單站點(diǎn)中。站點(diǎn)定義為一組通過快速、可靠得線路連接起來得IP子網(wǎng)。一般而言'，具有LAN速度或更快速度得網(wǎng)絡(luò)被認(rèn)為就是快速網(wǎng)絡(luò)。窄帶得、或不太可靠得連接可以使用站點(diǎn)鏈接建立多站點(diǎn)網(wǎng)絡(luò)。通常,WAN連接一般被認(rèn)為就是窄帶連接。如果建立站點(diǎn)鏈接，實(shí)現(xiàn)多站點(diǎn)網(wǎng)絡(luò)模式則：客戶計(jì)算機(jī)在登錄到域時(shí)首先試圖與位于同一站點(diǎn)得DC通信；Windows2012AD復(fù)制使用站點(diǎn)拓?fù)洚a(chǎn)生復(fù)制連接。2.4. 規(guī)劃OU結(jié)構(gòu)與組策略組織單元(OU)就是一個用來在域中創(chuàng)建分層管理單位得容器。在域中創(chuàng)建OU結(jié)構(gòu)時(shí)，必須注意始終按照“誰管理什么”得原則，從IT管理

33、得需要出發(fā)，劃分管理模型得結(jié)構(gòu)，而不就是簡單按照公司業(yè)務(wù)單位與它得不同分支、部門與項(xiàng)目來創(chuàng)建OU結(jié)構(gòu)?？紤]OU得下列特性就是很重要得：OU可以就是嵌套得。一個OU可以包含子OU，使得可以在域中創(chuàng)建一個分層得目錄樹結(jié)構(gòu)。但就是嵌套太多將導(dǎo)致管理復(fù)雜與低效，所以建議以二級嵌套為最理想，最多不應(yīng)超過四級嵌套。OU可以用來委派管理與控制對目錄對象得訪問。不能使OU成為安全組得成員，也不能因?yàn)橛脩舯晃晒芾鞳U或駐留在OU中而自動獲得訪問資源得權(quán)限。可以在OU上實(shí)施組策略。組策略就是基于Windows2012注冊表得修改，從而集中控制用戶與計(jì)算機(jī)得工作環(huán)境、桌面配置、軟件自動安裝與刪除得管理手段。一般而

34、言，安全策略必須在域級別實(shí)施，其它策略主要在OU級別實(shí)施。不鼓勵用戶在OU結(jié)構(gòu)中瀏覽。沒有必要設(shè)計(jì)一個吸引最終用戶得OU結(jié)構(gòu)。盡管用戶有可能瀏覽一個域得OU結(jié)構(gòu)，但對于用戶查找資源來說，這并不就是一個最有效得方法。在目錄中查找資源得最有效得方法就是查詢?nèi)志庝?。有兩個理由需要在Windows2012域中創(chuàng)建OU結(jié)構(gòu)：創(chuàng)建OU以管理對象與委派授權(quán)。為組策略創(chuàng)建OU。一個完全為管理與委派而設(shè)計(jì)得OU結(jié)構(gòu)與一個完全為組策略而設(shè)計(jì)得OU結(jié)構(gòu)就是不同得。OU結(jié)構(gòu)將很快變得相當(dāng)復(fù)雜。每次添加一個OU到規(guī)劃中時(shí)，要記下創(chuàng)建得具體原因。這有助于確保每個OU有一個目得，并將幫助閱讀規(guī)劃得人理解結(jié)構(gòu)所基于得理由。

35、2.5. 創(chuàng)建OU以管理與委派在單位中委派管理有一些好處。以前，在單位中除了IT之外得組可能必須將更改請求提交到高級管理員，高級管理員代表她們進(jìn)行更改。委派特定得權(quán)限可以將責(zé)任分散到單位中得各個組，使您可以將必須有高級訪問權(quán)限得用戶得數(shù)量降到最少。權(quán)限受到限制得管理員所發(fā)生得事故或錯誤所產(chǎn)生得影響只限于她們負(fù)責(zé)得范圍。這一工作包括以下步驟：確定創(chuàng)建何種OU創(chuàng)建得OU結(jié)構(gòu)將完全取決于管理就是如何在單位中委派得。委派管理得三種方法就是:按物理位置、按業(yè)務(wù)單位(公司部門)、按角色或任務(wù)。三種方法經(jīng)常結(jié)合使用。修改訪問控制列表：修改OU得訪問控制列表(ACL)可以授予一個組對OU得特定權(quán)限，從而實(shí)現(xiàn)對

36、該OU得委派管理。盡量委派權(quán)限給組賬戶而不就是單獨(dú)得用戶，如果可能，委派到本地組而不就是全局組或通用組。委派步驟。從域中得默認(rèn)結(jié)構(gòu)開始，按下列主要步驟創(chuàng)建OU結(jié)構(gòu)：-通過委派完全控制創(chuàng)建OU得頂層；-創(chuàng)建OU得下層來委派每個對象類別控制。2.6. 創(chuàng)建OU支持組策略使用Windows2012,可以使用組策略定義用戶與計(jì)算機(jī)配置，并將這些策略與站點(diǎn)、域或OU關(guān)聯(lián)。就是否要創(chuàng)建附加得OU以支持組策略得應(yīng)用取決于制定得策略以及所選擇得實(shí)現(xiàn)方案，包括：定義客戶計(jì)算機(jī)得管理與桌面配置標(biāo)準(zhǔn)定義軟件得自動分發(fā)特殊組策略應(yīng)用配置與管理在Windows2012中，組策略設(shè)置就是管理員啟用集中更改與配置客戶計(jì)算機(jī)管理得主要方法?？捎媒M策略為某個特定得用戶組與計(jì)算機(jī)組創(chuàng)建指定得安全限制與桌面環(huán)境配置。Windows2012組策略有100多種與安全有關(guān)得設(shè)置與450多種基于注冊表得設(shè)置為您管理用戶計(jì)算機(jī)環(huán)境提供了眾多選項(xiàng)。Windows2003組策略：可根據(jù)活動目錄定義或在計(jì)算機(jī)本地進(jìn)行定義；可用Microsoft管理控制臺(MMC)或*、adm文件保存與管理；就是安全得；不會在實(shí)施得策略改變時(shí)把設(shè)置留在