1篇很不错的中小型活动目录设计实例

中小型活动目录设计实例1中小型活动目录设计实例1.0：公司概况公司简单介绍：Xx公司是一家网络项目集成企业。通过公司合理的运营和管理。发展迅速，员工人数已经有100人左右。为了满足公司未来的发展和企业运营的需求，公司决定重新部署企业的网络。公司计划部署一个由约100台计算机组成的局域网。用于完成企业的数据通信和资源共享。部门划分行政部：负责日常考勤、后勤服务等人事部：负责员工招聘、绩效考核、员工薪酬福利管理等工程部：负责对外网络工程项目、办公网络管理维护、售前售后技术支持等销售部：负责客户接洽、项目谈判、市场宣传等财务部：负责工资结算、公司账目管理等针对以上情况，我们可以利用windows2003server的“域“，以及OU可以使网络结构和公司的管理模型完全匹配。按照公司的管理层次来管理网络中的用户和计算机。我们划分ou是基于公司的部门来划分的，划分为5个ouIT状况：公司有一个局域网，运行约为100台计算机，服务器的操作系统是windowsserver2003.客户机的操作系统是windowsxp工作在工作组的模式下，员工一人一个机器办公。公司从ISP申请了ADSL线路。采用ICS技术共享上网。由于计算机较多。管理上缺乏层次。公司希望利用windows域环境管理所有的网络资源。提高办公效率。域：采用单域结构，域名为benet.com.cn与多域结构相比，实现网络资源集中管理，并保障管理上的简单性和低成本在域内按照部门名称划分组织单位（OU）为保证可靠性，需要安装2台域控制器帐户管理2公司对员工的帐户需求如下：员工一人一个帐户所有帐户集中存储管理按部门管理帐户帐户密码长度不小于8密码不能为简单密码，如12345678等对个别员工试探别人密码的行为要有所防范员工的权限级别有3种：总经理、部门经理、普通员工，他们在访问网络资源时权限不同针对以上需求我们可以采取用户帐户在各部门的OU中分别为该部门员工创建唯一的域用户账户账户名为员工姓名的拼音求域用户帐户在下次登录时更改密码密码最小长度为8，并且符合复杂性要求组为每个部门创建全局组1.2公司对文件夹的管理需求如下：文件管理公司所有的常用软件的安装文件共享到一台文件服务器上员工工作文档需要可靠存储、方便访问在文件服务器上对员工空间限制普通员工最大100MB部门经理最大1000MB总经理的使用空间不限制在文件服务器上的重要文档有定期备份审核员工登录和访问文档的行为针对以上我们可以：通过一台专用的文件服务器存储公共文件以及员工的工作文档配置共享权限和NTFS权限权限的配置应遵循AGDLP规则3启用磁盘配额制定备份策略，按任务计划自动执行文件夹名共享权限NTFS权限DsoftwareEveryone读取Everyone读取DshareEveryone完全控制Everyone列出文件夹目录，总经理完全控制1111Dshare\行政部无全局组xingzheng读取、本部门经理和总经理完全控制D:\share\人事部无全局组renshi读取、本部门经理和总经理完全控制D:\share\工程部无全局组gongcheng读取、本部门经理和总经理完全控制D:\share\销售部无全局组xiaoshou读取、本部门经理和总经理完全控制D:\share\财务部无全局组caiwu读取、本部门经理和总经理完全控制D:\share\行政部\某员工文件夹无全局组xingzheng读取、员工自己、本部门经理和总经理完全控制1.3：打印机管理需求：总经理和财务部使用一台打印设备，其他员工共享一台打印设备总经理的优先级高于部门经理，部门经理的优先级高于普通员工针对以上我们采取：需要采购2台打印设备2台设备分别安装在打印服务器Printsvr1和Printsvr2服务器名打印机共享名优先级打印权限Printsvr1HP1100_190总经理打印Printsvr1HP1100_250财务部经理打印Printsvr1HP1100_31全局组caiwu打印Printsvr2HP1100_150部门经理打印Printsvr2HP1100_21Everyone打印1.4：访问internet需求：访问Internet员工可以上网查资料监控员工上网行为针对以上可以代理服务器软件使用isa代理服务器isa的专用连接的IP为192.168.0.1，公共连接与ADSL线路连通4启用代理协议是HTTP在其他计算机上完成客户端配置2.0：项目的规划：2.1规划IP地址IP地址采用192.168.0.0/24网段计算机的默认网关为192.168.0.1服务器占用192.168.0.1-192.168.0.10之间的IP客户机占用192.168.0.11以上的IP计算机名称IP地址子网掩码首选DNS服务器地址DC1192.168.10.2255.255.255.0192.168.10.2DC2192.168.10.3255.255.255.0192.168.10.2Filesvr192.168.10.4255.255.255.0192.168.10.2Printsvr1192.168.10.5255.255.255.0192.168.10.2Printsvr2192.168.10.6255.255.255.0192.168.10.2Isaserver192.168.10.1255.255.255.0192.168.10.2客户机192.168.10.X255.255.255.0192.168.10.22.2规划域根据网络规模以及集中管理和结构简单,我们采用单域的结构，域名为XX.com.cn。与多域结构相比，实现了网络资源的集中管理。并保证了管理上的简单性和低成本。在域内部按照部门名称划分ou，即创建5个组织单元，分别是：行政部，人事部，工程部，销售部，财务部，用与存储和管理各个部门的用户帐户，组，以及打印机。整个域结构与公司管理结构相匹配可以实现公司资源的层次管理。如图所示：为保证可靠性，需要安装2台域控制器2.3：规划用户帐户和组在各个部门的ou中分别为该部门员工创建唯一的域用户帐户，帐户名为员工姓名的拼音。例如：“wanggang“,初始密码为”wanggang@.com“，并要求域用户帐户在下次登陆时更改密码。密码最小长度为8，并且要符合复杂性要求。5然后为每个部门创建全局组，命名如下所示，并将同部门的员工帐户分别加入各个部门的全局组中。用户组规划表：部门：全局组行政部Xingzheng人事部Renshi工程部Gongcheng销售部Xiaoshou财务部Caiwu2.4:规划文件服务器通过一台专用的文件服务器存储公共文件以及员工的工作文档配置共享权限和NTFS权限权限的配置应遵循AGDLP规则启用磁盘配额制定备份策略，按任务计划自动执行通过一台专用的文件服务器存储公共文件以及员工的文档。文件服务器的c:盘容量为10G安装操作系统和软件。D:盘容量大于1T，并采用ntfs文件系统，在d:盘的一个文件夹“software“存放公共的文件。常用的软件和公司的规章制度。另一个文件夹”share“存放部门和员工的工作文档。在d:”share”文件夹下为每个部门建立文件夹，部门文件夹下创建每个员工的文件夹，并通过网络映射，映射到每个帐户的机器上，配置共享权限和ntfs权限。保障文件只被授权的用户访问。权限的设置应该遵循AGDLP(用户加入到安全全局组，再将相应的全局组加入到本地组，然后给本地组赋予权限)。避免直接给用户授权。文件服务权限设置如下：文件夹名共享权限NTFS权限D:\softwareEveryone读取Everyone读取D:\shareEveryone完全控制Everyone列出文件夹目录，总经理完全控制D:\share\行政部无全局组xingzheng读取、本部门经理和总经理完全控制D:\share\人事部无全局组renshi读取、本部门经理和总经理完全控制D:\share\工程部无全局组gongcheng读取、本部门经理和总经理完全控制D:\share\销售部无全局组xiaoshou读取、本部门经理和总经理完全控制D:\share\财务部无全局组caiwu读取、本部门经理和总经理完全控制6D:\share\行政部\某员工文件夹无全局组xingzheng读取、员工自己、本部门经理和总经理完全控制在文件服务器上，普通员工最大的使用空间为100MB部门经理最大的使用权限为1000MB总经理的使用空间不限制。还有对公司的重要文件要制定备份策略。可以采用常规备份+差异备份策略，按照计划自动的执行。2.5：规划打印系统根据公司的需求，需要采购2台打印设备。2台打印设备分别安装在打印服务器print1和print2上，print1工总经理和财务部使用。Print2工公司全体员工使用，总经理。部门经理和普通员工的优先级分别为90。50。1。还要规划逻辑打印机。如下所示：服务器名打印机共享名优先级打印权限Printsvr1HP1100_190总经理打印Printsvr1HP1100_250财务部经理打印Printsvr1HP1100_31全局组caiwu打印Printsvr2HP1100_150部门经理打印Printsvr2HP1100_21Everyone打印2.6规划上网方式公司租用一条ADSL线路上网。采用代理服务器软件使公司局域网接入internet代理服务器软件采用ISAserver。代理服务器ISA的专用连接的ip为192.168.10.8。公共连接与ADSL连路连接。Ip从ISP动态获得。启用代理协议为HTTP，其他的客户端配置，实现共享上网。如下所示：3.0：项目实施：3.1：安装操作系统服务器由于数量较少，可以单独安装windowsserver2003.为了节约成本，为了提高服务的保障性和反映快速性，我们考虑将主dc单独作为一台服务器，辅助dc也单独作为一台计算机。文件服务器和打印服务器我们考虑高保证服务质量的前提下，选择购买2台高性能的计算机,并通过在计算机上采用虚拟的技术实现文件服务和打印服务的整和管理策略。由于客户机器较多，可以采用批量布置的方法，使用sysprep命令和ghost工具，实现操作系统的分发安装策略。7还有对于计算机的命名，服务器一般采用服务器功能命名，如果同类服务器有多台。可以编号，dc1和dc2。客户机器可以按照使用者的姓名或着部门的职位命名。配置ip按照前面的规划。设置完ip后，使用ipconfig/all以及ping命令验证网络的连通性。3.1.0按用户或按设备模式每用户/每设备模式定义如下：3.1.1对于访问或使用您的任何一个服务器上的服务器软件的每一个用户或设备，都要求有一个独立的WindowsCAL（任一类型）。3.1.2所需的WindowsCAL数量与访问服务器软件的用户或设备的数量相等。3.1.3如果您选择了此授权模式，您的选择将是永久性的。不过，您可以将一个WindowsCAL从一个设备重新分配到另一个设备，或从一个用户重新分配给另一个用户，但此重新分配必须符合以下前提条件：(a)WindowsCAL永久性地脱离原设备或原用户，或(b)在永久设备不能使用时临时允许租借的设备使用WindowsCAL，或在正式员工不在时允许临时雇员使用WindowsCAL。在分布式计算环境中，组织内有多个服务器为多数设备或用户提供服务，因而“按用户/按设备”模式往往是最划算的指定方式。注意，按用户/按设备模式取代了以前的授权模式中使用的按客户模式。3.2：创建Windows域在dc1上执行命令”dcpromo”安装AD，提升为域控制器。为该公司创建一个新域。域名为fire.com.cn。在安装AD的过程中安装DNS服务。保障域名解析服务正常运行。为了保证域的可靠性，和高效性。需要安装第二台域控制器。安装完域控制器之后，分别将其他的计算机加入该域。3.3根据部门划分OU为了匹配公司的管理模型，在域内按照部门名称划分组织单位（ou）,即创建5个组织单位，分别是：行政部。人事部，工程部，销售部，财务