发布时间 : 星期二 文章AD活动目录规划方案更新完毕开始阅读79f653c4112de2bd960590c69ec3d5bbfd0adaba
? 软件限制策略
对一些规定不得使用的软件可以通过组策略来禁用:
? 路径规则:特殊文件路径下的软件不得使用:如 program files 下的某些软件 ? 证书规则:只有系统管理员颁发过证书的软件可以使用,其他软件禁止使用 ? 哈希规则:对禁止使用的软件通过哈希运算得到这个软件的身份指纹,在组策
略里设置只要是符合身份指纹鉴定的软件就进行限制
? 网络连接控制策略
用户经常会通过改变“网络连接”中的设置,绕过企业防火墙,建立自己的上网链 路,比如电话拨号上网。这样会带来很大的安全隐患。可以通过组策略限制用户不得改 变网络连接中的配置,不允许用户通过其他方式连接互联网。
3.3. 计算机从工作组加入到域可能存在的问题和解决方法
把计算机从工作组模式加入到域模式可能会出现以下二个问题 问题:
1. 一些软件不能使用。有一些软件以登录者的管理员权限帐号运行,当计算机加入到
域并对登录帐号做了权限设置,或禁用了本地管理员帐号,这些需要管理员权限运 行的软件就有可能不能正常运行。
2. 用户桌面环境发生改变。由于加入域前后用户是用不同的帐号登录的,因此用户以
前的桌面环境无法使用。具体有 ? 桌面上放置的资料
? “我的文档”等放置的资料 ? 配置好的“网络打印机”
? IE 里设置好的“网站收藏夹”等。 解决方法:
1. 对问题 1 我们可以按以下两个方法来解决:
(1) 把域帐号加入到本地管理员组 (2) 卸载软件,用域帐号登录并安装
2. 对问题 2 针对不同的问题分别解决如下:
(1) 把本地老帐号下的桌面内容全部备份下来,复制到新域帐号的桌面
(2) 把本地老帐号下的“我的文档”内容全部备份下来,复制到新域帐号的“我的文
档”
(3) 重新连接和创建“网络打印机”
(4) 用特殊软件把老帐号 IE 里的“网站收藏夹”备份下来,然后恢复到新域帐号中
4. 活动目录方案实施
4.1. AD 域命名和 DNS 的规划
Windows 2003 AD 域命名和 DNS 的规划之所以放在首要地位,是因为 AD 作为整个 IT 架构的基础,不应该轻易被调整。尽管安装后,Windows 2003 AD 仍然可以重组和改名,这 一点比 Windows 2000 AD 有了很大的进步,但是我们仍然建议做一个长远规划,使得域命 名和 DNS 服务能够满足企业 3-5 年的需求,尽量避免配置好后改作调整地巨大人力物力浪 费。
此外,部署 Windows 2003 AD,还必须确定 DNS 服务器,确保它们满足域控制器定位 器系统的要求。一个支持 AD 的 DNS 至少需要满足以下要求:
? 必须支持服务定位资源记录(SRV)
? 应该支持 DNS 动态更新协议(RFC 2136)
Windows 2003 Server 提供的 DNS 服务同时满足这些要求,并且还提供下列重要的附 加功能和改进:
? Active Directory 集成:DNS 服务把区域数据存储在目录中,使得 DNS 复制
创建 多个主域,也减少了对维护一个单独的 DNS 区域传送复制拓扑的要求。
? 安全动态更新:使得一个管理员可以精确地控制哪些计算机可以更新哪些名称,并
防止未经授权的计算机从 DNS 获得现有的名称。
? 条件转发:根据不同的对外访问的域名后缀,可以将用户的 DNS 名称解析请求转
发到不同的外部 DNS 服务器。
? 存根区域:可以定时地刷新和外部 DNS 服务器的连接,及时发现那些可能有故障、
不再响应用户请求的服务器,提高用户 DNS 名称解析的效率。
4.2. 确定 AD 逻辑结构
Windows 2003 活动目录的逻辑结构由三个基本组件组成:森林、域和 OU。 1、 确定森林规划
森林是 Windows 2003 AD 域的集合。在很多情况下,单一森林就足够了。单一森林环 境易于建立和维护,森林间的域自动建立双向可传递内部信任关系,不要求手动建立外部信 任配置,在安装 Exchange 2003 Server 等应用程序时,只需应用一次架构更改即可影响所有 域。
如果各个单位有下列管理要求,就必须建立一个以上的森林: ? 不互相信任管理员。 ? 希望限制信任关系范围。
? 不同意某种森林架构更改策略。架构更改、配置更改会影响到森林中所有的域。如
果单位不同意一个公共架构策略,它们就不能共存于同一个森林中。
2、 制定域规划 规划域结构时,始终遵循“简单是最好的投资”的设计原则,尽管增加某些复杂结构
可以增值,但是简单的结构更易于说明、维护和调试。一开始时总是仅考虑每个森林中仅有 一个域,然后为每一个增加的新域提供详细的理由,确保添加到森林中的域都是有益的,因 为它们会带来相应的管理开销而导致一定程度的成本上升。
创建更多的域的三种可能的原因是:
? 希望实现相对分散式得 IT 管理模式:多域结构更容易进行相对独立的管理、委
派 和权限控制。另外,不同的用户帐户在一个域内是不能出现重名的,多域之间就没 有限制。对于人士管理相对独立的集团下属公司,多域结构具有更好的灵活性。
? 希望实现不同管理策略要求:包括用户口令策略、账户锁定策略和 EFS 加密策略。
例如,要求某些人必须取 8 个字符以上的口令,而其它人不做限制。为此,必须将 这些需要不同安全策略的用户放在单独的域中。
? 希望减小 WAN 上的复制流量:域控制器域间复制将产生比域内复制少的多的流量。
如果公司很大,具有跨地区的组织结构,且处于同一个森林内,则在不同地理位置 上的机构可能使用慢速的 WAN 链路连接。为减少 WAN 上的 DC 复制流量,可以 在不同的地理位置设置不同的域。
? 根据以上考虑,我们建议,企业 Windows 2003 AD 域逻辑结构可以采用“单森林、
单域”的结构设计。
4.3. 确定 AD 物理结构
Windows 2003 AD 物理结构主要是规划站点拓扑,用于帮助您决定在网络的什么地方 放置域控制器,以及管理域控制器之间的复制流量和用户登录流量。
考虑到企业的地理分布情况,应该考虑使用多站点拓扑来规划 Windows 2003 AD 物理 结构。从绘制基本的网络拓扑布局图着手工作,绘制所有可能的站点(Site)和站点链接(Site Link)。
? 速度快(10Mbps 以上)、连接可靠的 LAN 网络总是放置在单站点中。 站点定义
为一组通过快速、可靠的线路连接起来的 IP 子网。一般而言,具有 LAN 速度或更快速度的网络被认为是快速网络。
? 窄带的、或不太可靠的连接可以使用站点链接建立多站点网络。
通常,WAN 连接一般被认为是窄带连接。如果建立站点链接,实现多站点网络模 式,则:
? 客户计算机在登录到域时首先试图与位于同一站点的 DC 通信; ? Windows 2003 AD 复制使用站点拓扑产生复制连接。