规划 Active Directory 部署项目

第1章在所处环境中部署Microsoft®Windows®Server2003ActiveDirectory®目录服务时，可以利用ActiveDirectory提供的集中的委派式管理模型和单一登录功能。在确定组织的当前环境及部署目标后，就可以创建能够满足组织需要的ActiveDirectory部署策略。在隔离的实验室环境中测试部署和在选定的生产环境试验区中改进部署有助于确保部署得以在整个组织内顺利进行。在本章中规划ActiveDirectory部署项目概述.................................................................................................4确定ActiveDirectory设计和部署策略..............................................................................................8测试和验证部署过程..........................................................................................................................19其他资源...............................................................................................................................................27相关信息有关规划、测试和试验部署项目的详细信息，请参阅此工具包中《Planning,Testing,andPilotingDeploymentProjects》（规划、测试和试验部署项目）的“DesigningaTestEnvironment”（设计测试环境）和“PlanningandTestingforApplicationDeployment”（针对应用程序部署的规划和测试）部分。有关部署WindowsServer2003域名系统(DNS)的详细信息，请参阅此工具包中《DeployingNetworkServices》（部署网络服务）的“DeployingDNS”（部署DNS）部分。有关组策略的详细信息，请参阅Microsoft®Windows®Server2003ResourceKit的《DistributedServicesGuide》（分布式服务指南）（也可参阅Web上位置的《DistributedServicesGuide》（分布式服务指南））。规划ActiveDirectory部署项目4第1章规划ActiveDirectory部署项目®Windows®Server2003StandardEdition、Windows®Server2003EnterpriseEdition和Windows®Server2003DatacenterEdition操作系统中的ActiveDirectory使组织能够在创建具有可伸缩性、安全性和可管理性的基础结构的同时简化用户和资源管理。可以使用ActiveDirectory来管理网络基础结构，包括分支机构、Microsoft®ExchangeServer和多林环境。尽管本书中介绍的指导原则适用于几乎所有网络操作系统(NOS)的管理部署，但这些指导原则只是在用户数量不足100,000、站点数量在1,000以下且网络连接速度最低每秒28.8KB(Kbps)的环境下进行过测试和验证。如果所处的环境不满足上述条件，请考虑让具有在更复杂环境下部署ActiveDirectory经验的咨询公司提供服务。部署ActiveDirectory可为组织带来下列益处：行政管理和资源管理得到简化。可以向组织的各个级别委派行政管理，并可以使用组策略来将行政管理集中化。网络安全性得到增强且用户可以进行单一登录。ActiveDirectory支持多个身份验证协议和X.509证书，并提供了对智能卡的支持。能够与其他目录服务进行互操作。ActiveDirectory提供了基于标准的开放式接口，可以通过这些接口与其他目录服务和应用程序（如电子邮件应用程序）进行互操作。增加了一些功能，这些功能可以降低行政管理成本、提高安全性并提供附加功能。应用程序目录分区让用户可以在域控制器上配置特定于应用程序的数据复制设置。将域或林的功能级别提升至WindowsServer2003后，可以实现下列目的：重命名域和域控制器建立双向林信任重组林改进复制去除具有大量站点的环境中的某些限制错误!使用“开始”选项卡将Heading1,FirstLevelTopic,h1应用于要在此处显示的文字。5尽管本书中介绍的WindowsServer2003ActiveDirectory设计和部署策略是以大量的实验室和试验计划测试以及在客户环境中的成功实现为基础，但可能仍然需要对您的ActiveDirectory设计和部署进行自定义，以使其更适合特定的复杂环境。有关在分支机构环境中部署ActiveDirectory的详细信息，请参阅《ActiveDirectoryBranchOfficePlanningGuide》（ActiveDirectory分支机构规划指南）。有关在Exchange环境中部署ActiveDirectory的详细信息，请参阅《BestPracticeActiveDirectoryDesignforExchange2000》（Exchange2000ActiveDirectory设计最佳实践）。有关在多林环境中部署ActiveDirectory的详细信息，请参阅《MultipleForestConsiderations》（多林注意事项）。要下载这些指南，请查看WebResources页面（位于）上的ActiveDirectory链接，然后单击“Planning&DeploymentGuides”（规划和部署指南）。本书还提供了流程图、作业辅助工具和部署示例，以帮助您优化ActiveDirectory的设计和部署过程。ActiveDirectory部署项目的规划过程要规划WindowsServer2003ActiveDirectory部署项目，首先要确定设计和部署策略，然后对设计和部署进行测试和验证。图1.1显示了ActiveDirectory部署项目的规划过程。图1.1规划ActiveDirectory部署项目6第1章规划ActiveDirectory部署项目之前，除了要熟悉完成WindowsServer2003ActiveDirectory部署过程所需要了解的ActiveDirectory相关术语外，还要熟悉ActiveDirectory的部署项目周期。ActiveDirectory部署项目周期ActiveDirectory部署项目包括下列三个阶段：设计阶段、部署阶段和操作阶段。在设计阶段，设计团队为ActiveDirectory逻辑结构创建设计，该设计能够最大程度地满足组织内将要使用该目录服务的每个部门的需要。设计获得批准后，部署团队在实验室环境中对设计进行测试，然后在生产环境中实现设计。由于测试由部署团队执行并可能会对设计阶段产生影响，因此这是一种覆盖设计和部署两个阶段的期间性活动。部署完成后，操作团队负责对目录服务进行维护。实验室测试和试验计划的实现贯穿于ActiveDirectory部署的整个生存期。图1.2显示ActiveDirectory项目周期的各个阶段与部署项目生存期之间的对应关系。图1.2ActiveDirectory项目周期各阶段之间的关系错误!使用“开始”选项卡将Heading1,FirstLevelTopic,h1应用于要在此处显示的文字。7术语和定义下列术语对于了解WindowsServer2003ActiveDirectory部署过程非常重要。ActiveDirectory域计算机网络中的一个管理单元，为便于进行管理而组合了若干项功能，其中包括：适用于整个网络的用户身份。域使得只需创建一次用户身份，就可以在已加入到域所在的林的任何计算机上对其进行引用。组成域的域控制器用于以安全方式存储用户帐户和用户凭据，如密码和证书。身份验证。域控制器为用户提供身份验证服务并提供其他身份验证数据，如用户组成员身份。这些服务可用于控制对网络上资源的访问。信任关系。域通过自动双向信任将身份验证服务扩展到其所在林内其他域中的用户，通过手动创建的外部信任或林信任将其扩展到其他林的域中的用户。策略管理。域是管理策略（如密码复杂性和密码重用规则）的作用域。复制。域会定义目录树的一个分区，该分区提供的数据足以提供所需的服务并且会在域控制器之间进行复制。这样一来，所有域控制器在域中都是对等的，将作为一个单元进行管理。ActiveDirectory林一个或多个ActiveDirectory域的集合，这些域除了共享自动的可双向传递信任关系外，还共享公用逻辑结构、目录架构和网络配置。每个林都是目录的一个实例，并且都定义一个安全界限。ActiveDirectory功能级别WindowsServer2003ActiveDirectory中的一项设置，用于启用高级域范围或林范围ActiveDirectory功能。8第1章规划ActiveDirectory部署项目迁移将对象从源域移动到目标域，同时保留或修改对象的特征，使得在新域中能够对其进行访问的过程。域重组涉及更改林的域结构的迁移过程。域重组可以包括合并域或添加域，并且可以在林之间或某个林内部进行。域合并通过将Microsoft®WindowsNT®4.0域或ActiveDirectory域的内容与其他域的内容合并来去除这两种域的重组过程。域升级将域的目录服务升级为目录服务最新版本的过程。这包括升级所有域控制器上的操作系统，以及在适用的情况下提升ActiveDirectory功能级别。原位域升级在使域对象（如用户和组）保持原位不动的情况下，对所有基于WindowsNT4.0或Microsoft®Windows®2000操作系统的域控制器上的操作系统进行升级并在适用的情况下提升域功能级别的过程。地区域为优化复制通信而基于地理区域创建的子域。确定ActiveDirectory设计和部署策略在对当前环境进行高级评估并确定ActiveDirectory部署目标后，就可以确定最适用于所处环境的部署策略。图1.3显示了定义ActiveDirectory部署过程的步骤。错误!使用“开始”选项卡将Heading1,FirstLevelTopic,h1应用于要在此处显示的文字。9图1.3确定设计和部署策略所应用的ActiveDirectory部署策略因现有网络配置的不同而异。例如，如果组织当前运行的是Windows2000，则只需将操作系统升级到WindowsServer2003即可。不过，如果组织当前运行的是WindowsNT4.0或非Windows网络操作系统，就必须先对ActiveDirectory基础结构进行设计，然后再将操作系统升级到WindowsServer2003。部署过程可能涉及重组一个ActiveDirectory林内或ActiveDirectory林之间的现有域。在部署WindowsServer2003Activ