【正文】 活動目錄AD規(guī)劃方案 . 活動目錄介紹活動目錄是Windows網(wǎng)絡(luò)體系結(jié)構(gòu)中一個基本且不可分割的部分，它為網(wǎng)絡(luò)的用戶、管理員和應(yīng)用程序提供了一套分布式網(wǎng)絡(luò)環(huán)境設(shè)計的目錄服務(wù)?；顒幽夸浭沟媒M織機構(gòu)可以有效地對有關(guān)網(wǎng)絡(luò)資源和用戶的信息進行共享和管理。另外，目錄服務(wù)在網(wǎng)絡(luò)安全方面也扮演著中心授權(quán)機構(gòu)的角色，從而使操作系統(tǒng)可以輕松地驗證用戶身份并控制其對網(wǎng)絡(luò)資源的訪問。同等重要的是，活動目錄還擔當著系統(tǒng)集成和鞏固管理任務(wù)的集合點?；顒幽夸浱峁┝藢赪indows的用戶賬號、客戶、服務(wù)器和應(yīng)用程序進行管理的唯一點。同時，它也幫助組織機構(gòu)通過使用基于Windows的應(yīng)用程序和與Windows相兼容的設(shè)備對非Windows系統(tǒng)進行集成，從而實現(xiàn)鞏固目錄服務(wù)并簡化對整個網(wǎng)絡(luò)操作系統(tǒng)的管理。公司也可以使用活動目錄服務(wù)安全地將網(wǎng)絡(luò)系統(tǒng)擴展到Internet上。活動目錄因此使現(xiàn)有網(wǎng)絡(luò)投資升值，同時，降低為使Windows網(wǎng)絡(luò)操作系統(tǒng)更易于管理、更安全、更易于交互所需的全部費用。活動目錄是微軟各種應(yīng)用軟件運行的必要和基礎(chǔ)的條件。下圖表示出活動目錄成為各種應(yīng)用軟件的中心。. 應(yīng)用Windows 2012 Server AD的好處Windows 2012 AD簡化了管理，加強了安全性，擴展了互操作性。它為用戶、組、安全服務(wù)及網(wǎng)絡(luò)資源的管理提供了一種集中化的方法。應(yīng)用Windows 2012 AD之后，企業(yè)信息化建設(shè)者和網(wǎng)絡(luò)管理員可以從中獲得如下好處：方便管理,權(quán)限管理比較集中，管理人員可以較好的管理計算機資源。安全性高，有利于企業(yè)的一些保密資料的管理，比如一個文件只能讓某一個人看,或者指定人員可以看,但不可以刪/改/移等。方便對用戶操作進行權(quán)限設(shè)置，可以分發(fā)，指派軟件等,實現(xiàn)網(wǎng)絡(luò)內(nèi)的軟件一起安裝。很多服務(wù)必須建立在域環(huán)境中，對管理員來說有好處:統(tǒng)一管理,方便在MS 軟件方面集成,如ISA EXCHANGE(郵件服務(wù)器)、ISA SERVER(上網(wǎng)的各種設(shè)置與管理)等。使用漫游賬戶和文件夾重定向技術(shù)，個人賬戶的工作文件及數(shù)據(jù)等可以存儲在服務(wù)器上，統(tǒng)一進行備份、管理，用戶的數(shù)據(jù)更加安全、有保障。方便用戶使用各種資源。SMS（System Management Server）能夠分發(fā)應(yīng)用程序、系統(tǒng)補丁等，用戶可以選擇安裝，也可以由系統(tǒng)管理員指派自動安裝。并能集中管理系統(tǒng)補?。ㄈ鏦indows Updates），不需每臺客戶端服務(wù)器都下載同樣的補丁，從而節(jié)省大量網(wǎng)絡(luò)帶寬。資源共享用戶和管理員可以不知道他們所需要的對象的確切名稱，但是他們可能知道這個對象的一個或多個屬性，他們可以通過查找對象的部分屬性在域中得到一個所有已知屬性相匹配的對象列表，通過域使得基于一個或者多個對象屬性來查找一個對象變得可能。管理A、 域控制器集中管理用戶對網(wǎng)絡(luò)的訪問，如登錄、驗證、訪問目錄和共享資源。為了簡化管理，所有域中的域控制器都是平等的，你可以在任何域控制器上進行修改，這種更新可以復(fù)制到域中所有的其他域控制器上。B、 域的實施通過提供對網(wǎng)絡(luò)上所有對象的單點管理進一步簡化了管理。因為域控制器提供了對網(wǎng)絡(luò)上所有資源的單點登錄，管理遠可以登錄到一臺計算機來管理網(wǎng)絡(luò)中任何計算機上的管理對象。在NT網(wǎng)絡(luò)中，當用戶一次登陸一個域服務(wù)器后，就可以訪問該域中已經(jīng)開放的全部資源，而無需對同一域進行多次登陸。但在需要共享不同域中的服務(wù)時，對每個域都必須要登陸一次，否則無法訪問未登陸域服務(wù)器中的資源或無法獲得未登陸域的服務(wù)。可擴展性 在活動目錄中，目錄通過將目錄組織成幾個部分存儲信息從而允許存儲大量的對象。因此，目錄可以隨著組織的增長而一同擴展，允許用戶從一個具有幾百個對象的小的安裝環(huán)境發(fā)展成擁有幾百萬對象的大型安裝環(huán)境。1安全性 域為用戶提供了單一的登錄過程來訪問網(wǎng)絡(luò)資源，如所有他們具有權(quán)限的文件、打印機和應(yīng)用程序資源。也就是說，用戶可以登錄到一臺計算機來使用網(wǎng)絡(luò)上另外一臺計算機上的資源，只要用戶具有對資源的合適權(quán)限。域通過對用戶權(quán)限合適的劃分，確定了只有對特定資源有合法權(quán)限的用戶才能使用該資源，從而保障了資源使用的合法性和安全性。 1可冗余性每個域控制器保存和維護目錄的一個副本。在域中，你創(chuàng)建的每一個用戶帳號都會對應(yīng)目錄的一個記錄。當用戶登錄到域中的計算機時，域控制器將按照目錄檢查用戶名、口令、登錄限制以驗證用戶。當存在多個域控制器時，他們會定期的相互復(fù)制目錄信息，域控制器間的數(shù)據(jù)復(fù)制，促使用戶信息發(fā)生改變時（比如用戶修改了口令），可以迅速的復(fù)制到其他的域控制器上，這樣當一臺域控制器出現(xiàn)故障時，用戶仍然可以通過其他的域控制進行登錄，保障了網(wǎng)絡(luò)的順利運行。. 明確系統(tǒng)規(guī)劃目標企業(yè)的Windows 2012 AD系統(tǒng)規(guī)劃構(gòu)建是為企業(yè)信息化建設(shè)服務(wù)的，需要達到以下戰(zhàn)略目標：l 圍繞企業(yè)的戰(zhàn)略發(fā)展需要，進行企業(yè)信息化建設(shè)系統(tǒng)規(guī)劃，滿足企業(yè)35年的業(yè)務(wù)發(fā)展對IT建設(shè)的要求；l 以業(yè)務(wù)為驅(qū)動，通過有效的信息系統(tǒng)，加強信息共享和協(xié)同辦公，提高工作效率，降低成本；l 整合企業(yè)現(xiàn)有信息資產(chǎn)，加強企業(yè)管理與監(jiān)控；從信息中挖掘知識，提高經(jīng)營決策與駕馭風險的能力；l 推進知識管理理念，建立知識型企業(yè)，增強企業(yè)的核心競爭力。Windows 2012 AD系統(tǒng)規(guī)劃實施的具體目標如下：l 規(guī)劃和部署基于Windows 2012 AD的企業(yè)目錄服務(wù)，首先實現(xiàn)用戶的單一登錄，保障網(wǎng)絡(luò)系統(tǒng)安全；l 通過AD實現(xiàn)用戶桌面的集中和自動管理，分發(fā)軟件補??；l 進一步部署微軟的相關(guān)應(yīng)用平臺軟件，如實現(xiàn)基于Exchange 2003的企業(yè)內(nèi)部郵件和協(xié)作服務(wù)，. 活動目錄設(shè)計方案為企業(yè)設(shè)計一個域，用戶的所有計算機（服務(wù)器和客戶機）全部加入到域，用戶實現(xiàn)單一登錄和管理員通過域組策略實現(xiàn)安全及桌面管理。AD架構(gòu)拓撲如下。 . 活動目錄優(yōu)勢1. 計算機工作組管理和AD管理比較 對于基于Microsoft Windows操作系統(tǒng)的計算機運行和管理在兩種模式下：工作組(workgroup)和域(domain)。 在工作組模式下，計算機處于一個孤立狀態(tài)，使用計算機的用戶登錄帳號和計算機的管理均須在每臺計算機上創(chuàng)建或進行。見下圖。當計算機超過20臺以上時，計算機的管理變得越來越困難，并且要為用戶創(chuàng)建越來越多的訪問網(wǎng)絡(luò)資源的帳號，用戶要記住多個訪問不同資源的帳號。而在域的模式下，用戶只需記住一個域帳號，即可登錄訪問域中的資源。并且管理員通過組策略，可以輕松配置用戶的桌面工作環(huán)境和加強計算機安全設(shè)置。域模式下所有的域帳號保存在域控制器的活動目錄數(shù)據(jù)庫中。見下圖。2. 為什么要提供目錄服務(wù)?對更加強大、透明且高度集成的目錄服務(wù)的不斷需求是由爆炸性增長的網(wǎng)絡(luò)計算所導(dǎo)致的。隨著局域網(wǎng)（LAN）、廣域網(wǎng)（WAN）規(guī)模與復(fù)雜性的不斷提高和這些網(wǎng)絡(luò)不斷被連入Internet，以及應(yīng)用程序?qū)W(wǎng)絡(luò)的依賴程度不斷增強并不斷被鏈接到協(xié)作企業(yè)網(wǎng)中的其它系統(tǒng)上，對目錄服務(wù)的需求也日漸增多。基于下列原因，目錄服務(wù)成為擴展的計算機系統(tǒng)中最重要的部件之一： l 簡化管理 提供對用戶、應(yīng)用程序和設(shè)備的單一、一致性的管理點。 l 加強安全性 向用戶提供單一的網(wǎng)絡(luò)資源登錄，為管理員提供強大、一致性的工具以使他們能夠管理為內(nèi)部臺式機用戶、遠程撥號用戶以及外部電子商務(wù)客戶提供的安全服務(wù)。 l 擴展的互操作性 向所有活動目錄特性提供基于標準的存取方式以及對通用目錄的同步支持。目錄服務(wù)兼任管理工具和用戶工具。隨著網(wǎng)絡(luò)中對象數(shù)量的增加，目錄服務(wù)變得必不可少。目錄服務(wù)在一個龐大的分布式系統(tǒng)中發(fā)揮著網(wǎng)絡(luò)集線器的作用。致力于這些需求，Windows 2000 服務(wù)器版引入了活動目錄即一套用于改進Windows網(wǎng)絡(luò)操作系統(tǒng)管理、安全性和互操作性的完整的目錄服務(wù)集。下圖描述了活動目錄帶來的計算機安全和管理上的一些最重要的好處。3. AD簡化了計算機系統(tǒng)管理 分布式系統(tǒng)常常導(dǎo)致時間的消耗和管理的冗余。當公司在他們的基礎(chǔ)結(jié)構(gòu)上添加應(yīng)用程序并雇用新的職員時，他們需要適當?shù)叵蚋髯烂嫦到y(tǒng)分發(fā)軟件并管理多個應(yīng)用程序目錄。通過在單一的位置管理用戶、組和網(wǎng)絡(luò)資源以及分發(fā)軟件和管理桌面系統(tǒng)配置，活動目錄可以顯著降低公司的管理費用。例如，活動目錄在同一個位置管理Windows用戶和Microsoft Exchange郵箱信息?；谙铝性?，活動目錄可以從以下方面幫助公司簡化管理： l 消除冗余管理任務(wù) 提供對Windows用戶賬號、客戶、服務(wù)器和應(yīng)用程序以及現(xiàn)存目錄同步能力進行單一點管理。 l 降低桌面系統(tǒng)的行程 針對用戶在公司中所擔當?shù)慕巧詣酉蚱浞职l(fā)軟件，以減少或消除系統(tǒng)管理員為軟件安裝和配置而安排的多次行程。 l 更好的實現(xiàn)IT資源的最大化 安全地將管理功能分派到組織機構(gòu)的所有層次上。 l 降低總體擁有成本（TCO） 通過使網(wǎng)絡(luò)資源容易被定位、配置和使用來簡化對文件和打印服務(wù)的管理和使用。4. 加強安全性強大且一致的安全服務(wù)對企業(yè)網(wǎng)絡(luò)而言是必不可少的。管理用戶驗證和訪問控制的工作往往單調(diào)乏味且容易出錯?；顒幽夸浖羞M行管理并加強了與組織機構(gòu)的商業(yè)過程一致、且基于角色的安全性。例如，對多身份驗證協(xié)議（如Kerberos，）的支持實現(xiàn)了對于內(nèi)部桌面系統(tǒng)用戶、遠程撥號用戶和外部電子商務(wù)客戶強大且一致的安全服務(wù)。活動目錄使用以下方法增強安全性： 改進了密碼的安全性和管理 通過向網(wǎng)絡(luò)資源提供單一的集成、高性能且對終端用戶透明的安全服務(wù)。 保證桌面系統(tǒng)的功能性 通過根據(jù)終端用戶角色鎖定桌面系統(tǒng)配置來防止對特定客戶主機操作進行訪問，例如軟件安裝或注冊項編輯。 加速電子商務(wù)的部署 通過提供對安全的Internet標準協(xié)議和身份驗證機制的內(nèi)建支持，如Kerberos, 公開密鑰基礎(chǔ)設(shè)施（PKI）和安全套接字協(xié)議層（SSL）之上的輕便目錄訪問協(xié)議（LDAP）。 緊密的控制安全性 通過對目錄對象和構(gòu)成他們的單獨數(shù)據(jù)元素設(shè)置訪問控制特權(quán)。. 重要組策略介紹1. 軟件分發(fā)策略通過組策略可以為域中的計算機或用戶自動分發(fā)帶有msi包的軟件。見下圖。2. 將用戶的個人數(shù)據(jù)從pc機上重定向到服務(wù)器上重定向有利于數(shù)據(jù)的安全以及集中備份。見下圖。3. 安全類組策略l 密碼策略178。 “強制密碼歷史”設(shè)置確定在重用舊密碼之前必須與用戶帳戶相關(guān)的唯一新密碼的數(shù)量。178。 配置“密碼最長使用期限”設(shè)置，以便密碼在環(huán)境需要時過期。178。 “密碼最短使用期限”設(shè)置確定了用戶更改密碼之前必須使用密碼的天數(shù)。178。 “最短密碼長度”設(shè)置確保密碼至少包含指定數(shù)量的字符。178。 “密碼必須符合復(fù)雜性要求策略”選項檢查所有新密碼以確保它們符合強密碼的基本要求。賬號鎖定策略帳戶鎖定策略是一項 Windows Server 2012 安全功能，它在指定時間段內(nèi)多次登錄嘗試失敗后鎖定用戶帳戶。允許的嘗試次數(shù)和時間段是由為安全策略鎖定設(shè)置配置的值決定的。用戶不能登錄到鎖定的帳戶。178。 “帳戶鎖定時間”設(shè)置確定在未鎖定帳戶且用戶可以嘗試再次登錄之前所必須經(jīng)歷的時間長度178。 “帳戶鎖定閾值”設(shè)置確定用戶在帳戶鎖定之前可以嘗試登錄帳戶的次數(shù)。