xx集团域管理实施方案

xx集团域解决方案制定人：xx2014-7-2211概述1.1背景介绍随着xx集团的壮大，现有的管理模式已经无法满足IT管理的需求，根据目前的IT现状，利用域管理可以实现资源集中化以及管理分散化，提高管理人员的工作效率，并且有效整合公司资源。1.2现状描述目前xx集团共有计算机六百多台，企业内部的网络环境依然使用的是工作组模式，这种管理模式较为松散，且每个个体之间都是独立存在的，网络环境中的软硬件资源都无法实现充分利用。从IT管理人员方面考虑，整合IT资源，将原有的松散的工作组模式更改为集中管理的域模式，可以减轻日常维护管理的负担，提升IT生产力。对于终端用户来说，实现域管理方式以后，可以实现单一的身份验证，用户不需要记太多的账号，密码，一个账号就可以访问公司所有的资源。1.3问题分析根据xx现有的网络环境，主要有如下几个问题需要在实施域管理之前解决（目前想到的就这么多，后期讨论过以后可能还有）：1．前期松散的网络环境太过于庞大，用户数据都是存在自己电脑上的，数据这一块是否需要增加文件服务器，文件服务器可以根据账号开权限，以此来最大限度的保证数据的安全性。（我司目前还没有文件服务器，不过我正在考虑是否需要增加）2.创建域环境以后，繁琐的账号是否需要整合？如果不整合，相当于用户又需要记住一个账号密码，太多的账号密码，对于用户体验来说也不好！目前我司这边，上网账号和电脑账号是整合的，只需要一个账号密码即可。毕竟现在所有主流系统都是可以和域联接，直接使用域账号来分权什么的。。庞大的账号集管理也方便，最大限度的体现域的好处！3.用户现在使用的是工作组模式，将来开始实施域的时候，加域的工作以及用户配置文件转移的工作怎么来进行需要考虑清楚。我司这边我是写的操作手册发给用户，然后让用户自行加域以及转移配置文件。如果考虑到用户的技术水平有限，也可以写批处理文件，让批处理来解决。或者让各部门文员负责这件事情。（不建议用批处理）24.域实施之前，要考虑给用户什么权限，目前IT行业中，大中型企业主流的权限分配是给普通用户Poweruser的权限，此权限的好处在于拥有大部分的本机管理权限，但是却又有限制，在文件安装方面，只能安装经过windows验证的程序，其实说白了就是用户没有安装文件的权限。虽然看上去繁琐了，但是也一定限度的预防病毒，还有防止用户装一些乱七八糟的软件，尽最大可能保证电脑的标准化。5.域用户的权限考虑好以后，需要合理规划OU，需要划定哪些OU，这部分非常重要，OU规划的好，在今后的权限分配方面就会轻松很多。譬如文件服务器，上网权限等。6.服务器方面，域的实施需要至少两台服务器，一台主域，一台辅域，互为备份，如果集团有刀片的话，两块刀片就可以解决了，域服务器对设备硬件要求不高，对网络要求比较高，服务器之间理论上必须千兆对接，用户层的交换机尽可能千兆，百兆也可以。网络带宽越大，组策略以及以后如果实现程序批量下发，反应时间越短。7.服务器系统，目前我司这边使用的是server2003，建议集团使用server2008,03已经要退出微软支持行列了。8.最关键的一个是组策略的制定。强烈建议域管理员在域实施之前，自己先装一台服务器，研究一下组策略。组策略的功能很庞大，运用的好，对工作效率有很大的提升。等到研究的差不多了，再实施。9.USB管控方面。可以通过注册表来管控USB设备。2解决方案实施2.1AD域命名和DNS的规划AD域名：制定合理的域名，比如wolong.comDNS：域必须基于DNS才可以工作，所以域服务器也是DNS服务器2.2确定AD逻辑结构Windows2008活动目录的逻辑结构由三个基本组件组成：森林、域和OU，我们计划采取单森林单域的方式建立域控服务器。32.3规划OU结构组织单元（OU）是一个用来在域中创建分层管理单位的容器。在域控中可以按照部门进行划分。2.4计算机名规则计算机名可以不做更改，但是对于域管理来说，最好是更改成计算机使用人的名字，以便于后期统计，包括远程协助的话，也可以通过计算机名来连接，不需要记住用户的IP地址了。2.5使用者开机用户名规则使用者的开机用户名为：三个字以上者：使用者的姓拼音全拼加上名的拼音首字母。如：彭富强peng+fq=pengfq两个字：使用者姓的全拼加上名的全拼如：何斌he+bin=hebin注：如遇上用户名相同者在开机用户名后加数字如：pengfq01，以示区分。为了保证计算机的安全，所给的用户名全为受限用户（powerusers），一些特殊用户除外。2.6硬件设备安排为实现Windows2008AD系统的部署实施，需要配置两台服务器：Windows2008AD主域控制器：1台，同时兼作DNS服务器；使用2个硬盘，RAID1模式。Windows2008AD备份域控制器：1台，同时兼作DNS服务器；不需要做raid，单硬盘即可。分布式文件服务器：1台，（非必须）2.7实施安排为了保证域控稳定安装实施，可以采用分步部署的模式，先挑出一两个部门加入域以后观察是否存在大的问题，对于出现的小问题做微调处理，保证可以大范围实施以后，再整个集团实施，确保员工工作的正常进行！