公司ad域架構(gòu)設(shè)計(jì)方案及對(duì)策

1、<p><b>　　目 錄</b></p><p><b>　　一 前言3</b></p><p>　　1.1 企業(yè)IT面臨的挑戰(zhàn)3</p><p>　　1.2 AD域架構(gòu)的應(yīng)用給企業(yè)管理帶來(lái)的優(yōu)勢(shì)4</p><p>　　1.3 域架構(gòu)設(shè)計(jì)原則4</p>&

2、lt;p>　　二．公司域架構(gòu)規(guī)劃5</p><p>　　2.1 域架構(gòu)部署規(guī)劃5</p><p>　　2.2 通過(guò)OU、GPO 和用戶組實(shí)現(xiàn)域安全的管理6</p><p><b>　　一 前言</b></p><p>　　由于Windows 網(wǎng)絡(luò)系統(tǒng)架構(gòu)在企業(yè)應(yīng)用中的普及，企業(yè)會(huì)面臨大量客戶端及服務(wù)器的統(tǒng)一安

3、全管理； AD域的規(guī)劃架構(gòu)需要根據(jù)企業(yè)現(xiàn)有的網(wǎng)絡(luò)規(guī)模布局和IT管理制度，以適應(yīng)企業(yè)當(dāng)前和長(zhǎng)遠(yuǎn)的發(fā)展需求，有效地保護(hù)用戶的資料，減少用戶的風(fēng)險(xiǎn)。</p><p>　　針對(duì)整個(gè)公司的域架構(gòu)規(guī)劃和實(shí)施，前期需要先完成企業(yè)域規(guī)劃及部署；實(shí)現(xiàn)公司統(tǒng)一的目錄服務(wù)管理，統(tǒng)一的企業(yè)用戶信息、安全策略。</p><p>　　Windows 網(wǎng)絡(luò)架構(gòu)客戶端默認(rèn)均屬于工作組的辦公環(huán)境，所有的用戶賬號(hào)均保存在本地

4、客戶端上，網(wǎng)絡(luò)共享數(shù)據(jù)時(shí)只能允許所有人everyone 查看的權(quán)限，數(shù)據(jù)共享及網(wǎng)絡(luò)安全存在較多的風(fēng)險(xiǎn)。Windows 域架構(gòu)管理模式可以解決眾多網(wǎng)絡(luò)安全性問(wèn)題，域環(huán)境下可以輕易實(shí)現(xiàn)網(wǎng)絡(luò)用戶賬號(hào)的集中管理，規(guī)范客戶端密碼長(zhǎng)度和復(fù)雜性；在域環(huán)境下，可以實(shí)現(xiàn)所有客戶端系統(tǒng)的補(bǔ)丁自動(dòng)更新，有效提高服務(wù)器及桌面系統(tǒng)的安全性。</p><p>　　在Windows AD域的辦公環(huán)境下，并不會(huì)太多改變?cè)械目蛻舳斯ぷ鹘M下的辦公

5、習(xí)慣；域賬號(hào)登陸默認(rèn)緩存功能，用戶離開(kāi)公司網(wǎng)絡(luò)，同樣可以使用域用戶賬號(hào)在本機(jī)登陸，不會(huì)改變?cè)泄ぷ鹘M的工作習(xí)慣。 另外企業(yè)應(yīng)用系統(tǒng)中，很多應(yīng)用系統(tǒng)是基于微軟的AD架構(gòu)，如MS Cluster集群高可用系統(tǒng)、Exchange 郵件系統(tǒng)、OCS及時(shí)通訊系統(tǒng)、MOSS 企業(yè)門戶網(wǎng)站協(xié)作系統(tǒng)等等；所以AD域的架構(gòu)管理不但可以方便企業(yè)內(nèi)部安全管理，還為以后的企業(yè)應(yīng)用擴(kuò)展提供了系統(tǒng)基礎(chǔ)。</p><p>　　工作組環(huán)境下企業(yè)

6、IT面臨的挑戰(zhàn)</p><p><b>　　身份管理</b></p><p>　　大量的用戶登錄名和目錄</p><p><b>　　不牢固的密碼</b></p><p>　　安全訪問(wèn)網(wǎng)絡(luò)和應(yīng)用資源</p><p>　　增加的桌面系統(tǒng)維護(hù)費(fèi)用</p><p

7、>　　服務(wù)器和桌面電腦管理</p><p>　　如何統(tǒng)一管理服務(wù)器和桌面系統(tǒng)安全策略</p><p>　　如何統(tǒng)一管理桌面系統(tǒng)的應(yīng)用</p><p>　　如何保持所有系統(tǒng)安全補(bǔ)丁升級(jí)到最新</p><p>　　1.2 AD域架構(gòu)的應(yīng)用給企業(yè)管理帶來(lái)的優(yōu)勢(shì)</p><p><b>　　提高IT運(yùn)行效率&

8、lt;/b></p><p>　　Windows的管理效率提高30%</p><p>　　集中管理服務(wù)器和桌面系統(tǒng)</p><p>　　減少目錄帳戶和密碼的數(shù)量</p><p><b>　　對(duì)用戶實(shí)施權(quán)限管理</b></p><p>　　劃分不同級(jí)別的權(quán)限來(lái)進(jìn)行用戶管理</p>

9、<p>　　限制低級(jí)別用戶訪問(wèn)高級(jí)別用戶的相關(guān)資源</p><p>　　拒絕未經(jīng)授權(quán)的用戶訪問(wèn)域內(nèi)資源</p><p><b>　　增強(qiáng)的網(wǎng)絡(luò)安全</b></p><p>　　強(qiáng)制用戶使用復(fù)雜的密碼</p><p>　　通過(guò)域的安全邊界，實(shí)現(xiàn)域內(nèi)資源的保護(hù)，增強(qiáng)企業(yè)網(wǎng)絡(luò)的安全性</p><

10、p>　　通過(guò)域的安全更新策略，實(shí)現(xiàn)MS WSUS 統(tǒng)一更新域內(nèi)的所有計(jì)算機(jī)客戶端的系統(tǒng)安全補(bǔ)丁</p><p>　　通過(guò)對(duì)域內(nèi)資源的權(quán)限設(shè)置和統(tǒng)一安全策略的制定，減少安全隱患的產(chǎn)生</p><p>　　單一管理對(duì)網(wǎng)絡(luò)資源的訪問(wèn)</p><p>　　提高信息工作者生產(chǎn)力</p><p>　　快速找到需要的各種資源；</p>

11、<p><b>　　實(shí)現(xiàn)單點(diǎn)登錄</b></p><p>　　能提高員工的協(xié)作能力</p><p>　　1.3 域架構(gòu)設(shè)計(jì)原則</p><p>　　在進(jìn)行總體框架設(shè)計(jì)時(shí)，考慮到公司的現(xiàn)有網(wǎng)絡(luò)架構(gòu)及公司管理體系，微軟在AD域設(shè)計(jì)方面推薦遵循以下原則：</p><p><b>　　穩(wěn)定性</b&g

12、t;</p><p>　　在系統(tǒng)結(jié)構(gòu)設(shè)計(jì)上要充分考慮到系統(tǒng)運(yùn)行的穩(wěn)定性。系統(tǒng)平臺(tái)方面要考慮各種系統(tǒng)配置對(duì)穩(wěn)定性的影響，系統(tǒng)必須經(jīng)過(guò)嚴(yán)格的測(cè)試，包括功能測(cè)試、在各種系統(tǒng)環(huán)境或系統(tǒng)配置上的測(cè)試等，確保系統(tǒng)在多種設(shè)備環(huán)境上能夠穩(wěn)定運(yùn)行。必要時(shí)，可以建立管理中心，通過(guò)遠(yuǎn)程管理、監(jiān)控手段與本地系統(tǒng)管理相結(jié)合的方式，保證系統(tǒng)的穩(wěn)定、可靠。</p><p><b>　　易管理</b>

13、;</p><p>　　系統(tǒng)平臺(tái)的管理要盡量簡(jiǎn)單，盡量少地使用戶涉及到系統(tǒng)平臺(tái)的管理工作，必要的管理任務(wù)也要提供相應(yīng)的培訓(xùn)、幫助資料甚至操作引導(dǎo)界面來(lái)幫助用戶順利地完成工作。信息交換系統(tǒng)的管理在設(shè)計(jì)時(shí)也要考慮到易管理性方面的要求，通過(guò)操作引導(dǎo)界面輔助用戶完成所需的數(shù)據(jù)交換的管理工作。</p><p><b>　　易維護(hù)</b></p><p>

14、　　系統(tǒng)的結(jié)構(gòu)設(shè)計(jì)要易于維護(hù)，組成系統(tǒng)的功能元素要具有一定的獨(dú)立性，可以根據(jù)用戶的需要進(jìn)行替換而不影響或很少影響其他功能元素，并能夠與其他功能元素協(xié)作共同完成用戶的功能。</p><p><b>　　易擴(kuò)展</b></p><p>　　系統(tǒng)無(wú)論是在業(yè)務(wù)功能上，還是在信息的交換規(guī)范上都應(yīng)當(dāng)易于擴(kuò)展，以便適應(yīng)今后業(yè)務(wù)的發(fā)展。</p><p><

15、;b>　　易用性</b></p><p>　　系統(tǒng)的操作應(yīng)盡量簡(jiǎn)單，對(duì)操作提示、錯(cuò)誤報(bào)告、監(jiān)控信息反饋等要全面、詳細(xì)，真正做到易學(xué)、易用、易培訓(xùn)。</p><p><b>　　安全性</b></p><p>　　使用系統(tǒng)平臺(tái)的相關(guān)安全設(shè)置以及應(yīng)用系統(tǒng)的安全性實(shí)現(xiàn)，實(shí)現(xiàn)整個(gè)系統(tǒng)的安全性。確保系統(tǒng)不被非授權(quán)用戶侵入，數(shù)據(jù)不丟失，確

16、認(rèn)發(fā)送者和接收者的身份，保證傳輸數(shù)據(jù)不被非法獲取、篡改等。</p><p><b>　　統(tǒng)一性</b></p><p>　　各級(jí)系統(tǒng)的建設(shè)要遵循統(tǒng)一的要求進(jìn)行，在平臺(tái)、應(yīng)用系統(tǒng)、應(yīng)用策略、安全管理等方面保持一致，提供統(tǒng)一的用戶體驗(yàn)，保證系統(tǒng)內(nèi)部數(shù)據(jù)傳輸服務(wù)的可靠性。</p><p><b>　　二．公司域架構(gòu)規(guī)劃</b>&

17、lt;/p><p>　　2.1 域架構(gòu)部署規(guī)劃</p><p>　　域結(jié)構(gòu)設(shè)計(jì)是活動(dòng)目錄中最重要，它既要盡可能貼近用戶的管理模式和組織結(jié)構(gòu)，也要考慮網(wǎng)絡(luò)情況及今后的各種變化。我們依據(jù)微軟活動(dòng)目錄結(jié)構(gòu)的設(shè)計(jì)原則，用最簡(jiǎn)單的結(jié)構(gòu)來(lái)滿足客戶的管理需求。在域的管理架構(gòu)OU組織單位設(shè)計(jì)上基于公司的管理模式而不是公司的組織結(jié)構(gòu)圖。</p><p>　　以下是單域結(jié)構(gòu)相對(duì)于其他結(jié)構(gòu)的

18、優(yōu)點(diǎn)：</p><p>　　集中管理整個(gè)公司的安全策略。</p><p>　　集中管理整個(gè)公司的組策略。</p><p>　　完全利用組織單元反映公司的管理結(jié)構(gòu)。</p><p>　　當(dāng)公司機(jī)構(gòu)重組時(shí)可以非常靈活的進(jìn)行調(diào)整。</p><p>　　當(dāng)資源和用戶需要在組織機(jī)構(gòu)內(nèi)遷移時(shí)可以非常靈活的調(diào)整。</p>

19、<p>　　相對(duì)其它方案，可以使用較少的域控制器。</p><p>　　簡(jiǎn)單的名字空間設(shè)計(jì) – 只需要1個(gè)DNS名字后綴.</p><p>　　用戶在查找AD內(nèi)的信息時(shí)相對(duì)簡(jiǎn)單。</p><p>　　單一的組策略更容易實(shí)施。</p><p>　　單域模型是首選的模型：</p><p>　　用戶永遠(yuǎn)不需要在

20、多個(gè)域之間移動(dòng)。</p><p>　　不需要跨越多個(gè)域的重復(fù)組策略設(shè)置。</p><p>　　整個(gè)企業(yè)內(nèi)實(shí)施統(tǒng)一的安全規(guī)范；</p><p>　　任何域控制器都可以處理任何用戶處理的身份驗(yàn)證。</p><p>　　公司的整個(gè)域架構(gòu)采用單域模式，部署一臺(tái)AD域服務(wù)器，實(shí)現(xiàn)對(duì)所有用戶信息的統(tǒng)一管理和身份的驗(yàn)證。</p><p&

21、gt;　　活動(dòng)目錄的建設(shè)目標(biāo)是，更新目前客戶使用的活動(dòng)目錄，為全公司的工作人員提供統(tǒng)一的目錄服務(wù)。使得活動(dòng)目錄可以達(dá)到如下的目標(biāo)：將企業(yè)的安全性集成到 Active Directory 中，基于策略的管理模式減輕了最為復(fù)雜的企業(yè)網(wǎng)絡(luò)管理。企業(yè)IT可管理整個(gè)網(wǎng)絡(luò)中的服務(wù)器及客戶端訪問(wèn)資源，只有獲得授權(quán)的網(wǎng)絡(luò)用戶可訪問(wèn)網(wǎng)絡(luò)上指定的資源。</p><p>　　2.2 通過(guò)OU、GPO 和用戶組實(shí)現(xiàn)域安全的管理</

22、p><p>　　企業(yè)的AD域架構(gòu)及服務(wù)器部署完成以后，在域管理上，我們利用域的組織單元OU進(jìn)行企業(yè)管理架構(gòu)的設(shè)計(jì)及進(jìn)行企業(yè)管理策略的分配。在OU組織單位設(shè)計(jì)上我們基于公司的管理模式而不按照公司的組織結(jié)構(gòu)進(jìn)行設(shè)置。</p><p>　　OU組織單元的設(shè)計(jì)將遵循的原則：</p><p>　　反映企業(yè)內(nèi)部的組織結(jié)構(gòu)</p><p>　　反映企業(yè)機(jī)密程度

23、需求</p><p>　　有利于通過(guò)組策略進(jìn)行細(xì)化的終端管理</p><p>　　OU作為域的基本管理單元，在域內(nèi)，管理員可以按照不同的OU組織單元運(yùn)用不同級(jí)別的組策略安全設(shè)置。通過(guò)組策略應(yīng)用的安全更改類型包括：</p><p>　　修改文件系統(tǒng)的權(quán)限。</p><p>　　修改注冊(cè)表對(duì)象的權(quán)限。</p><p>　　

24、更改注冊(cè)表中的設(shè)置。</p><p><b>　　更改用戶權(quán)限分配。</b></p><p><b>　　配置系統(tǒng)服務(wù)。</b></p><p>　　配置審核和事件日志。</p><p>　　設(shè)置帳戶和密碼策略。</p><p>　　配置桌面系統(tǒng)環(huán)境等等</p>

25、<p>　　在域內(nèi)我們可以方便的利用域用戶、用戶組設(shè)置公司文件服務(wù)器的訪問(wèn)權(quán)限控制，以及控制網(wǎng)絡(luò)共享文件夾的磁盤配額和文件存儲(chǔ)類型。用戶組作為域中具有相同權(quán)限用戶的集合，我們可以簡(jiǎn)化文件訪問(wèn)權(quán)限的設(shè)定和管理。</p><p>　　為確保只有授權(quán)用戶可以訪問(wèn)企業(yè)文件夾中的數(shù)據(jù)，我們可以針對(duì)文件夾進(jìn)行權(quán)限設(shè)置。共享權(quán)限僅應(yīng)用于通過(guò)網(wǎng)絡(luò)訪問(wèn)資源的用戶。安全權(quán)限應(yīng)用于本地訪問(wèn)文件夾的權(quán)限；兩者共同設(shè)定取兩者最