AD规划设计方案

1IT基础架构优化活动目录设计版本号修订日期修订人审核人核准人变更位置变更内容0.12011-4-27tommy新建1.02011-5-23tommy更新并发布2目录一、域结构设计.......................................................................................3二、站点设计...........................................................................................4三、活动目录数据同步...........................................................................5四、操作主机角色设计...........................................................................6五、组织单元结构设计...........................................................................7六、组策略设计.......................................................................................8七、权限设计...........................................................................................9八、用户和群组.....................................................................................11九、容灾和备份.....................................................................................123一、域结构设计1.域结构概述域结构设计是活动目录中最重要,也是最基础的工作,是多种因素权衡的结果,它既要尽可能贴近用户的管理模式和组织结构,也要考虑网络情况和未来的变化.IT部门的最终目标是能够实现集中管理.对比单域结构和目录林结构:1)集中管理整个公司的安全策略2)集中管理整个公司的组策略3)完全利用组织单元反映企业的管理结构4)当公司机构重组时可以非常灵活的进行调整5)当资源和用户需要在组织机构内迁移时可以非常灵活6)简单的名字空间设计7)查找AD信息时相对简单2.域结构设计根据公司实际环境,采用单域多站点的模式.3.域功能级别Windows2008R24.DomainName4二、站点设计1.站点的概念:“站点”由一个或数个IP子网(subnet)所组成,这些子网之间是通过”高速且可靠的链接”串联起来的,子网之间的链接速度要够快,稳定且符合需要,否则,需将他分别规划为不同的站点.具体表现为:A.一个LAN之内的各个子网之间的链接都符合速度快(高于10MB)且高可靠度的要求,可以将一个LAN规划为一个站点:B.WAN(广域网)内的各个LAN之间的链接速度一般都不快.因此WAN之中的各个LAN应分别规划为不同的站点2.站点的设计A.公司总部位于深圳,各分公司分别位于:沈阳,大连,天津,重庆,成都,云南,后续根据业务发展还会有新的分公司B.总部和分公司之间通过2M专线连接根据以上信息,站点设计参考下图:5三、活动目录数据同步1.活动目录数据同步模式ActiveDirectory存储在域控制器内,当一台域控制器的ActiveDirectory数据发生变动,这个变动的数据会被自动复制到其他域控制器的ActiveDirectory内.活动目录内部存在以下2种复制模式:A)多主机复制模式(multi-masterreplicationmodel)AD内的大部分数据利用这种模式进行复制.B)单主机复制模式(singlemasteroperationsmodel)AD内的少部分数据时采用此种模式来复制的.单主机模式下,当提出变更对象数据的要求时,有其中一台域控制器(操作主机)负载接受和处理,然后再由”操作主机”复制到其他的域控制器.2.活动目录中各域控制器同步设计图6四、操作主机角色设计1.操作主机角色介绍活动目录的FlexibleSingle-MasterOperations机制用于避免对活动目录的更改发生冲突.总共有5个FSMO角色:A.架构主机(SchemaMaster):负责更新与修改Schema内的对象和属性数据,同一时间内,整个林中只能有一台”架构主机”B.域命名主机(Domainnamingmaster)负责管理林内域的添加与删除工作.同一时间内.整个林只能有一台”域命名主机”C.RID主机(relativeidentifiermaster)负责发放RID(relativeID)给域内的所有域控制器.维护RIDs缓冲池,用户生成安全账户(用户,组,计算机).D.PDC模拟主机(PDCemulatormaster)支持旧客户端计算机(WindowsNT)减少因为密码复制延迟所造成的问题负责整个域的时间同步E.基础结构主机(infrastructuremaster)用于更新域和域之间的引用2.依照目前公司部署环境的规划,相应的角色将被安排到以下的服务器:DC01SchemaMaster,DomainNamingMaster,GCDC02PDCEmulator,RIDMaster,InfrastructureMaster7五、组织单元结构设计1.组织单元介绍一个组织单元是一个容器对象,用于管理域中的对象.可以在域中创建组织单位的层次结构,组织单位颗包含用户,组,计算机,打印机,共享文件夹以及其他组织单位.2.组织单元设计原则:A)反映企业内部的组织结构B)有利于通过组策略进行细化的终端管理3.结合目前公司的现状,对OU结构设计如下:A)第一层:类型B)第二层:地域分布C)第三层:部门名称UAOU架设设计图如下:8六、组策略设计1.组策略定义和功能介绍在WindowsServer中,策略是一组规则的集合.其功能如下:A.账户策略的设定例如设定用户密码的长度,密码使用期限,账户锁定策略B.本地策略的设定例如审核策略的设定,用户权限的指派C.,安全性的设定脚本(Scripts)的设定例如登陆/注销,启动/关机脚本的设定D.用户工作环境的设定例如隐藏用户桌面上所有的图标,2.设计原则:A.结构清晰,便于管理和修改B.高效,消除复杂性的设计.C.不要创建和链接过多的GPO3.组策略设计基本项目:项目NO.内容备注账号密码原则1.1取消用户本地账号的权限,用户必须使用域账号登录1.2用户计算机密码长度至少8位且符合复杂性要求.1.3用户域账号有效期限为60天且提前7天前提示变更天数可根据用户需求调整1.4用户域账号锁定阀值为5次，锁定时间为15分钟1.5定期变更用户计算机Administrator账号密码1.6禁用用户计算机Guest账号用户桌面管理2.1域计算机统一桌面背景2.2域计算机统一开始菜单样式IE设定3.1禁止变更Proxy设定.3.2禁用Internet连接向导3.3禁用IE更改主页设置根据用户需求设定3.4禁止变更IE安全性设定信息安全设定4.1禁用USB存储设备特殊需求可提申请开通4.2禁止访问网络连接的属性.本地管理员群组例外4.3统一配置WindowsUpdate设定4.4禁止安装软件本地管理员群组例外4.5禁止用户建立共享本地管理员群组例外4.6禁用Windows脱机文件4.7禁用自动播放:94.8禁用资安管控软件(飞鸽传书,等)4.9禁用管制软件(QQ等)4.10屏幕保护启用密码保护电源节能设定5.1定时启用屏幕保护功能七、权限设计权限设计的步骤:定义IT管理角色IT管理员建立辅助账户委派权限1.ActiveDirectory环境的管理角色分为两类:A.服务管理角色管理任务涉及提供目录服务的安全、可靠的交付.包括但不限于下列任务:a)添加和删除域控制器b)管理和监视复制c)确保正确地分配和配置操作主机角色d)执行目录数据库的定期备份e)管理域和域控制器的安全策略f)配置目录服务参数B.数据管理角色管理操作涉及管理存储在目录服务中或由目录服务保护的内容.包括但不限于下列任务:a)用户账户b)计算机账户c)安全组d)已启用ActiveDirectory和ActiveDirectory集成的应用程序的特定于应用程序的属性.如Exchange.102.建立辅助账户ActiveDirectory服务管理角色的账号需要和普通User使用账号独立出来,以避免误操作,或者被盗用所带来的安全风险.辅助账号策略:服务管理角色特殊账号数据管理角色普通账号进行权限委派3.委派权限根据ActiveDirectory环境的管理角色分类,作如下定义:服务管理角色系统工程师数据管理角色各区域公司网络工程师A.各区域的网络工程师委派其所负责地区的OU下用户的普通管理权限,如下所示:a)创建,删除以及管理用户账户b)重设用户密码并强制在下次登录时更改密码c)读取所有用户信息d)修改组成员身份e)将计算机加入域f)生成策略的结果集(计划)g)生成策略的结果集(记录)B.AD管理权限基于AD管理员的分工进行对应的委派,主要包括以下权限:a)OU的建立和删除b)组策略的创建和修改c)AD同步复制d)AD备份11八、用户和群组根据账号的不同,可以分为个人账号,管理账号1.个人账号公司员工使用账号,采用一人一账号的方式,为每一个位员工建立账号.当员工加入或者离开时,按照规则增加或者删除用户的账号.A.账号命名a.使用工号分别建立每位员工的账号.如:张三1234b.使用员工英文名.姓的命名方式,如:李涛的英文名为sam,则帐号为sam.liB.安全性策略a)账号密码不能为空b)账号秘密不能少于7位,应包括数字和字母,符合密码复杂度的要求c)账号密码都有一个有效期,超过有效期需更换密码.有效期为3个月.2.管理账号(即辅助账号)此类账号是根据管理需要而建立的管理用账号.3.群组将依照公司组织架构分别建立对应的群组.12九、容灾和备份ActiveDirectory域服务(ADDS)是Windows基础结构中针对关键任务的组件。如果ActiveDirectory出现故障，网络实际就崩溃了。因此，ActiveDirectory的备份和恢复计划是安全性、业务连续性和法规遵从性的基础。1.备份策略使用WindowsServerbackup对DomainController活动目录进行定期备份.2.容灾策略ActiveDirectory环境配置多台DomainController,提供冗余环境.