基于Windows-Server-2003的活动目录集成方案

目录基于WindowsServer2003的活动目录集成方案....2前言...2一、企业IT环境的管理需求...2二、方案设计...31．用户管理...32．资源管理...33．应用授权管理...3三、企业活动目录实施的步骤：...31．服务器规划...32．组策略定义...43．维护和拓展体系建立...44．应用整合...55．管理制度地建立和后期培训...5四、方案成效：...51．实现人的身份管理...52．设备的管理...63．提升系统安全管理水平...94．灾难备份与恢复...9五、后续增值效益...10基于WindowsServer2003的活动目录集成方案书前言随着计算机和互联网的普及，以及社会信息化的发展，越来越多的企业开始迈入“信息化”的行列。随着企业规模日益扩大，业务日益增多，IT管理上的许多弊病逐渐暴露出来。由于企业管理力度和管理制度不完善以及缺乏先进的管理工具和技术等原因，使得IT部门的管理者（Administrators）对本企业的IT情况和IT安全隐患等难于了解和监控，对突发的IT环境管理事故缺乏应变能力，对安全问题等缺乏必要的应变手段和措施。所以，企业不得不面对一个低效甚至是难于控制的IT环境管理局面。在企业核心义务的应用比重日渐加大的今天，对IT环境的安全而有效地管理已成为企业业务的重要组成部分。加强企业的IT环境的管理，已成为大部分企业当务之急。企业活动目录架构是一个企业目录管理服务平台。他可以将企业不同系统之间的资源以目录集成的方式进行统一管理，集成电子商务运营，包括数据、应用程序、业务流程以及门户等各个方面。让所有的系统在共享功能方面由一个独立的目录系统进行统一管理，形成一个强壮灵活的现代企业IT架构。建设集中化的企业目录基础架构不仅可以维护统一的用户管理和认证，提升信息化管理水平；降低企业桌面系统的管理维护成本；面对未来业务应用的发展，更具有高度的可扩展性和灵活性，能够大大降低新系统的开发成本和建设部署周期。系统整体的架构主要是集中部署的AD域控制器提供企业目录服务一、企业IT环境的管理需求作为一个高效的现代化企业，其IT环境管理应能实现：1)具备集中可视化管理，避免或最小停机时间，使人为故障率为“零”。2)IT管理技术具备可靠的体系结构和可伸缩的基础架构。3)具备对IT环境（操作系统/网络结构）的洞察力以及能进行全球的分布式控制，能快速确定问题所在并对问题做出快速的响应，或者完全避免出现问题的可能性。即使出现故障的时候，也能立即知道它产生的原因，以尽可能快地纠正和恢复，并且避免问题进一步的恶化。4)能及时的了解一个基础架构的健康状况，了解现有的服务器之间的负载平衡是否良好的运行，找出提高服务器使用效率的模式，了解资源的使用情况，理解整个企业究竟有多少潜力可以利用，从而能科学地规划服务器资源，并因此进一步降低企业成本。5)除此之外，企业IT环境管理还要能实现跨平台管理，向IT部门的Administrator提供其IT架构所必需的信息，使总体拥有成本（TCO）的最小化，可靠性和性能的最大化。二、方案设计根据企业的需求,本方案主要从以下三方面入手：1．用户管理在AD中，根据所属部门或科室，域中用户被划分到不同的组织单元（OU），其相应享有的权限归属于不同的组（Group）。系统管理人员（Administrator）在部署初期，根据各部门或科室的业务需要，编制相应的组策略（GroupPolicy）赋予或限制一定的用户使用某应用系统或数据资源的权限。所以，用户只要在登录域时输入唯一的身份账号和密码，系统就会按照GroupPolicy定义的该用户所属OU或Group的要求，自动赋予该用户对某些应用系统的使用权限。这样，用户在这些应用系统中将不必再次输入账号和密码了。2．资源管理资源管理包括对企业内各种硬件资源和软件资源的管理。对于企业的IT管理人员来说，资源管理的挑战不仅是来自于对主机服务器的管理，也不仅是来自对网络设备的管理，因为这些都可以由专业人员集中管理解决。IT管理人员面临的真正最大的挑战是对分散在企业各个部门的数以百计的PC的管理。在AD下，企业系统Administrator可以通过GroupPolicy全面地管理连接到网络上的各种资源，包括设定是否可以自行安装应用程序，是否可以无限制地访问本地磁盘，是否可以访问特定的应用等等。所有这些管理都是通过中心系统Administrator在服务器端完成，而不需要到每个计算机终端上去进行这些配置。而对于企业内员工在各部门间调动的问题，AD特有的智能镜像（IntelliMirror）技术可以使应用管理做到“MyApplicationFollowMe”。所有和其新岗位相关的应用会自动地安装到他的PC上，同时他不再需要的有些应用会自动地被删除。3．应用授权管理对于企业来说，开发应用系统时授权管理是一件非常令人头痛的事情，尤其当企业业务繁忙，应用是跨地域的分布式系统时尤其如此,AD的部署可以让应用系统的开发人员非常方便地扩展目录服务系统，把各种应用授权管理纳入统一的目录服务中来，彻底地解决了应用授权问题。三、企业活动目录实施的步骤：项目的实施将根据系统功能分为如下五大阶段：1．服务器规划根据公司现状，规划整个公司WindowsServer服务器的数量以及部署位置,搭建Server2003Enterprise服务器。一般来说，根据地理位置划分域（Domain）是比较理想的作法。要保证核心业务的稳健运作，必须在该处部署“双服务器模式”，即：双域控制器（AD-DC）+双文件服务器(AD-FS)，从而达到尽量减少Down机时间的要求。此外，在主控制端还要预留一台较高配置的Server作为Portal（硬盘组容量至少为30GB×2,内存为4GB）,便于在其上搭建Windows2003SQL，用于公共数据的存储。具体部署如下：定义组织、部门名称，建必须的各网络和安全服务，如：DNS、DHCP、安全密码验证、网络数据加密等一般情况下，在项目测试实验阶段使用固定的IP地址，组建小型的域网，便于项目规划人员根据实际情况进行调试。但是，当活动目录开始在整个公司范围正式实施时，则应采取DHCP（动态主机配置协议）自动分配客户PC的IP地址。2．组策略定义在企业组织结构图的基础上，划分适当的OU层次，定义OU的名称和Group的代号。理论上，OU层次可以为5～8层，但实际上3层OU已经是极限了。所以尽可减少OU数量可以加快用户登录速度。根据各部门实际应用情况和管理层的要求，建立不同的GroupPolicy,使之对每台客户机进行有效的管理，对用户权限按照所属部门分类。对于一般用户，系统仅携带足以支持其日常办公需要的软件或工具（如：IE6.0、MSOutlook、MSOffice、AcrobatReader、Winzip、ACDSee、MacFee等），无须配备目前用户热衷的娱乐工具。而且，完全限制一般用户擅自安装软件，从而避免通过软驱、光驱或其他移动介质安装和运行可能携带病毒的程序模块。若用户需安装某与其业务相关的应用软件，则必须报请IT部门的技术人员，由其用Administrators账号登录安装。3．维护和拓展体系建立规划备分和灾难恢复机制在实施AD项目后，用户可以按照部门或分部集中组织并存储重要文件到文件服务器（FilesServer）上，即使在病毒危害客户端的情况下，我们也可以像以前恢复OS一样，将其在Server上存储的文件和数据恢复到客户端。此外，为了保持数据的时效性，采用目录备份（DirectoryBackUp）每天或每周更新数据。对于系统崩溃的情况，一般是用Ghosts对系统进行恢复，或由IT部门的技术人员用光盘恢复，或直接由Server上恢复。规划组织结构和人员变动时的应对方案4．应用整合通过唯一一个用户账号，系统会对用户权限进行验证和审核，同意用户在企业内能进行有效访问。使企业内部的IT应用达到“Single-sign-on”。5．管理制度地建立和后期培训当运行测试成功后，须建立和实施一定的管理制度对企业员工进行相应的要求，并且，通过一系列培训使整个企业的内部应用能充分发挥功能。四、方案成效：微软企业咨询服务的活动目录技术，提供统一用户身份管理和认证，统一网络资源实体的管理，同时也为后续的各种应用的统一认证和授权管理奠定了坚实的基础。其应用成效主要表现在以下几点：1．实现人的身份管理——通过集中的企业目录系统，统一用户管理和提供统一认证服务。（1）通过文件夹重定向或漫游用户配置文件实现统一的桌面环境管理。多个用户可以使用同一台计算机，当用户登录到其各自的工作站时，用户将收到上次注销时的桌面设置，并且一个用户对桌面环境的自定义设置不会影响到其他用户的设置。（2）设立文件共享不再需要特别设定共享密码。缺省只有域用户才可以访问，文件共享者也可以通过设定特定的域用户组和特定用户，只允许他们才可以访问该文件。当用户去访问文件服务器，不再需要输入用户名和密码。Windows会利用域账户自动去验证。具体应用：比如在工作组下面有3台计算机，分别是A、B、C，各有一个账号a、b、c，如果B上有一个文档要给a用户访问，b就要在B计算机上创建一个账号a’给a，让a用a’去访问，或者b把自己的账号密码告诉a，让a来访问，同理，其他资源也是一样处理。结果就是每一个用户要记好几个账号密码来访问不同的资源，或者就是网络里有很多额外的账号密码存在，或者很多人的密码告诉给其他人，最终网络安全变成一句空话。但是如果实现了域就不一样了，b只要在资源上设置a的访问权限就可以了，不用额外创建账号，也不用把自己的账号密码告诉别人，a来访问的时候，如果权限合适就可以直接进行操作。用户a也不需要记录额外的账号密码。（3）发布DFS，用户寻找文件更加方便，用户不必记住文件服务器的IP地址，只需要记住服务器名称即可，利用DFS统一到一个地方去存取文件，而不用担心文件物理放在哪台文件服务器上；另外DFS可配置多达32台服务器的冗余备份，从而减小单点故障引起的文件无法访问问题，当某一台服务器Down后，可自动连接到其他服务器完成资源存取。（4）发布共享打印机，使用户寻找打印机更加方便。用户甚至不必记住打印机服务器的名字，利用“寻找打印机”就可以迅速找到离自己位置最近的打印机，极大的方便工作。（5）限制各部门之间的互相访问，如财务部不能被其他部门成员访问，对有需要的部门领导可给予具有较高权限的账号，以便访问其他部门。（6）可以通过各种方式在目录结构中查询自己所需要的网络资源。尤其是对个人而言，用户可以实现单点登陆，用户每次只需要登陆到域中，当访问后台应用时，就不再需要重复输入用户名和密码。这样一方面可减轻用户记住多套用户名和密码的负担，同时也可避免每次访问应用时都要再重复输入一遍用户名和密码。（7）员工通过拨号上网，工作期间严格控制其上网时间，收发邮件可通过邮件服务器实现。如：通过组策略设置普通员工的拨号时间为20：00—22：00（8）可自定义MMC管理小工具，委派给各部门进行活动目录日常操作，以分担域管理员的管理压力。如：各部门间有人员上的调动，或是某门有新员工加入，可由委派的管理员进行用户账户的创建和配置。（9）另外，关于远程操作系统的安装、委托管理、远程桌面协助等各种功能也能在统一的管理下轻松实现。同时，活动目录充当管理用户身份和网络资源控制访问验证的统一认证机构，支持业界标准协议Kerberos认证协议，并可集成证书服务,CA和智能卡(SmartCard)认证。用户的访问便可以根据企业的统一认证服务被准许或拒绝。同时，从用户使用来看，一套用户认证系统建立了Single-SignOnSSO(单点登录)的基础，增加用户的便利性和安全性。2．设备的管理――加强终端管理，降低运维费用（1）信息的安全性大大增强建立企业目录管理系统，通过活动目录组策略继承的方式，将终端使用策略主动的继承到各个终端。只要用户登录进入域，域管理服务器就会自动继承该用户所需要的终端设置。这样就可以实现约束业务人员终端使用