发布时间 : 星期六 文章网络改造项目设计实施方案更新完毕开始阅读320b8f99710abb68a98271fe910ef12d2af9a93e
网络改造项目设计实施方案
三、方案实施相关问题解答
3.1、活动目录优势
<1>、计算机工作组管理和AD管理比较
对于基于Microsoft Windows操作系统的计算机运行和管理在两种模式下:工作组(workgroup)和域(domain)。 在工作组模式下,计算机处于一个孤立状态,使用计算机的用户登录帐号和计算机的管理均须在每台计算机上创建或进行。见下图。
当计算机超过20台以上时,计算机的管理变得越来越困难,并且要为用户创建越来越多的访问网络资源的帐号,用户要记住多个访问不同资源的帐号。
而在域的模式下,用户只需记住一个域帐号,即可登录访问域中的资源。并且管理员通过组策略,可以轻松配置用户的桌面工作环境和加强计算机安全设置。域模式下所有的域帐号保存在域控制器的活动目录数据库中。见下图。
<2>、为什么要提供目录服务?
对更加强大、透明且高度集成的目录服务的不断需求是由爆炸性增长的网络计算所导致的。随着局域网(LAN)、广域网(WAN)规模与复杂性的不断提高和这些网络不断被连入Internet,以及应用程序对网络的依赖程度不断增强并不断被链接到协作企业网中的其它系统上,对目录服务的需求也日渐增多。基于下列原因,目录服务成为扩展的计算机系统中最重要的部件之一:
? 简化管理 提供对用户、应用程序和设备的单一、一致性的管理点。
? 加强安全性 向用户提供单一的网络资源登录,为管理员提供强大、一致性的工具以使他们能够管理为内部台式机用户、远程拨号用户以及外部电子商务客户提供的安全服务。 ? 扩展的互操作性 向所有活动目录特性提供基于标准的存取方式以及对通用目录的同步支持。
网络改造项目设计实施方案
目录服务兼任管理工具和用户工具。随着网络中对象数量的增加,目录服务变得必不可少。目录服务在一个庞大的分布式系统中发挥着网络集线器的作用。致力于这些需求,Windows 2000 服务器版引入了活动目录--即一套用于改进Windows网络操作系统管理、安全性和互操作性的完整的目录服务集。
下图描述了活动目录带来的计算机安全和管理上的一些最重要的好处。
<3>、AD简化了计算机系统管理
分布式系统常常导致时间的消耗和管理的冗余。当公司在他们的基础结构上添加应用程序并雇用新的职员时,他们需要适当地向各桌面系统分发软件并管理多个应用程序目录。通过在单一的位置管理用户、组和网络资源以及分发软件和管理桌面系统配置,活动目录可以显著降低公司的管理费用。例如,活动目录在同一个位置管理Windows用户和Microsoft Exchange邮箱信息。基于下列原因,活动目录可以从以下方面帮助公司简化管理:
? 消除冗余管理任务 提供对Windows用户账号、客户、服务器和应用程序以及现存目录同步能力进行单一点管理。
? 降低桌面系统的行程 针对用户在公司中所担当的角色自动向其分发软件,以减少或消除系统管理员为软件安装和配置而安排的多次行程。
? 更好的实现IT资源的最大化 安全地将管理功能分派到组织机构的所有层次上。
? 降低总体拥有成本(TCO) 通过使网络资源容易被定位、配置和使用来简化对文件和打印服务的管理和使用。 <4>、加强安全性
强大且一致的安全服务对企业网络而言是必不可少的。管理用户验证和访问控制的工作往往单调乏味且容易出错。活动目录集中进行管理并加强了与组织机构的商业过程一致、且基于角色的安全性。例如,对多身份验证协议(如Kerberos,X.509认证以及由灵活的访问控制模型组成的智能卡)的支持实现了对于内部桌面系统用户、远程拨号用户和外部电子商务客户强大且一致的安全服务。活动目录使用以下方法增强安全性:
改进了密码的安全性和管理 通过向网络资源提供单一的集成、高性能且对终端用户透明的安全服务。
网络改造项目设计实施方案
保证桌面系统的功能性 通过根据终端用户角色锁定桌面系统配置来防止对特定客户主机操作进行访问,例如软件安装或注册项编辑。
加速电子商务的部署 通过提供对安全的Internet标准协议和身份验证机制的内建支持,如Kerberos, 公开密钥基础设施(PKI)和安全套接字协议层(SSL)之上的轻便目录访问协议(LDAP)。
紧密的控制安全性 通过对目录对象和构成他们的单独数据元素设置访问控制特权。
3.2、重要组策略介绍
<1>、软件分发策略
通过组策略可以为域中的计算机或用户自动分发带有msi包的软件。见下图。
<2>、将用户的个人数据从pc机上重定向到服务器上 重定向有利于数据的安全以及集中备份。见下图。
网络改造项目设计实施方案
<3>、安全类组策略 1、密码策略
? “强制密码历史”设置确定在重用旧密码之前必须与用户帐户相关的唯一新密码的数量。 ? 配置“密码最长使用期限”设置,以便密码在环境需要时过期。
? “密码最短使用期限”设置确定了用户更改密码之前必须使用密码的天数。 ? “最短密码长度”设置确保密码至少包含指定数量的字符。
? “密码必须符合复杂性要求策略”选项检查所有新密码以确保它们符合强密码的基本要求。
2、账号锁定策略
帐户锁定策略是一项 Windows Server 2003 安全功能,它在指定时间段内多次登录尝试失败后锁定用户帐户。允许的尝试次数和时间段是由为安全策略锁定设置配置的值决定的。用户不能登录到锁定的帐户。
? “帐户锁定时间”设置确定在未锁定帐户且用户可以尝试再次登录之前所必须经历的时间长度
? “帐户锁定阈值”设置确定用户在帐户锁定之前可以尝试登录帐户的次数。
? “复位帐户锁定计数器”设置决定了“帐户锁定阈值”复位为 0 以及帐户被解锁之前所必须经过的时间长度。