用于管理 Windows 网络的最佳 Active Directory 设计

用于管理Windows网络的最佳ActiveDirectory设计本指南根据从已经在单位内部署了ActiveDirectory的客户那里了解到的最佳做法，提供了循序渐进、由浅入深的方法。它还讲述了各种任务和决定，以便于您进行ActiveDirectory设计，从而更好地管理Windows网络。本指南的读者对象是负责测试、试验和部署ActiveDirectory设计的IT专业人士。引言借助于Windows®2000的ActiveDirectory服务，各单位可以简化用户和资源管理，同时又可以建立一个可扩展的、安全而且易管理的基础结构，以便于部署更多重要的和新出现的技术。为帮助缩短计划周期并确保成功的部署，Microsoft正在陆续推出一系列结合场景加以叙述的指南，这些指南提供了说明性的、基于任务的并以解决方案为导向的指导。ActiveDirectory部署场景与那些有特殊用途的目录不同，ActiveDirectory可以在一个单位内扮演多种角色。这些角色包括从管理Windows网络到支持启用目录的电子商务等范围很广的应用情形。然而，您打算使用ActiveDirectory的方式将影响您作出重要的设计和部署决定时的方式。用于Windows网络管理的ActiveDirectory本指南主要提供了各种最佳做法，旨在帮助读者部署用于管理网络的ActiveDirectory，这样的网络由Windows客户端、Windows服务器和与Windows兼容的应用程序和设备组成。本指南将把这一角色称为网络操作系统(NOS)管理角色。作为NOS管理角色来部署ActiveDirectory的好处包括：对特大型Windows网络进行集中式管理（ActiveDirectory在设计上可支持数百万个对象）。能够消除资源域，包括它们所需要的硬件和管理。基于策略的桌面锁定和软件分发。在合适的情况下能够委派对资源的管理控制。共享资源的定位和使用得以简化。本指南只讨论了作为管理Windows网络的一部分来部署ActiveDirectory和DNS核心服务这方面的内容。附加在ActiveDirectory上的其他服务可以在以后添加，它们不影响最初的设计。例如，组策略可以对用户、组、工作站和服务器提供基于策略的管理，从而简化管理过程。可以附加在Activedirectory上的一些服务包括：组策略Exchange2003集成的公钥基础结构(PKI)服务基于域的DFS为分支机构进行部署时的特殊注意事项Microsoft为在分支机构环境下部署ActiveDirectory总结出了一些特殊的注意事项。分支机构环境有如下几个特点：大量的物理位置需要有ActiveDirectory数据的副本。每一个位置的用户数量都比较少。采用辐射状网络拓扑，在这种情况下，许多分支机构都依靠与中心站点的连接与单位内的其他分支机构进行通信。分支机构位置和中心站点之间的网络连接速度慢。由于这些要求名目繁多，Microsoft针对在分支机构环境下部署ActiveDirectory这项工作编写了更多的内容。部署Exchange2003时的特殊注意事项本指南将帮助您设计一个可以托管Exchange2003的ActiveDirectory部署。不过，本文并未提供关于成功地将Exchange2003作为ActiveDirectory的组成部分来部署方面的信息。关于本指南本指南是为那些将要参加ActiveDirectory计划和部署项目的IT专业人士编写的。它提供了设计ActiveDirectory时采用最佳做法的方法，此方法包括业务和技术方面的综合指导，旨在尽可能地将在贵单位实现ActiveDirectory所需要的时间和精力减至最低程度。本文档中还提供了工作表，以帮助您记录您的设计。采用最佳做法的方法采用最佳做法的方法是根据ActiveDirectory开发小组从已经成功地实现了ActiveDirectory的单位那里收集到的经验而总结出的。此方法通过如下做法缩短了计划周期：推广了标准的、经过测试的ActiveDirectory设计。将重点放在那些经实践证明在WindowsNOS管理角色中效果相当好的设计选择。采用流程图和工作表明确了任务里程碑和各个任务的顺序。提供了各种场景，使设计概念更加具体化。本文档的适用范围虽然本文档中提供的指导几乎适用于任何一种NOS管理部署情形，但它们是专门针对以下环境进行测试和检验的：少于100,000个用户。少于200个物理位置。对于超出这些范围的部署情形，Microsoft建议您考虑让一家咨询公司为您提供服务，这家咨询公司必须拥有在比较复杂的环境下部署ActiveDirectory的丰富经验。如何使用本指南设计过程的每一阶段，如进行目录林设计，都将有其自己的流程图，以及必须完成的任务的列表。请按照这一顺序进行ActiveDirectory设计。请注意，该过程中的每一步骤都可能涉及将负责作出决定的新的成员。每一个成员都应在提供的工作表中记录他的或她的设计决定。从本指南中将内容剪贴到您的设计文档中，以使新加入的项目成员可以理解以前的设计决定，这样也许会有帮助。只有在您填写完毕我们所提供的工作表而且所有负责人都同意了设计选择之后，才可以进入下一步骤。每一工作表都以以前的工作表中记录的信息和决定作为基础。如果您计划使用进行ActiveDirectory部署的最佳做法指南，在部署阶段也会引用到这些工作表。在继续进行设计之前，应确保您已经：为此次ActiveDirectory部署确立了业务目标并且理解这些业务目标。得到管理层的支持，以便如设计的那样实现一个由ActiveDirectory管理的Windows网络。ActiveDirectory基础结构部署可以跨越技术和业务两个领域。因此，在设计方面是否能取得进展将取决于您是否能向IT和业务决策者阐明ActiveDirectory的价值。本指南的读者对象本指南是为那些将要参加ActiveDirectory计划和部署项目的IT专业人士编写的。其中包括结构设计师、项目经理、系统集成人员和咨询人员。由于ActiveDirectory最好作为一个全单位范围内的基础结构来部署，所以设计小组很可能会涉及到您单位的许多人。本指南将阐明在项目的各个阶段分别需要哪些类型的代表。项目组必须让这些代表参加，让他们参与作出影响其所在部门的设计决定。例如，在大多数公司部署ActiveDirectory就要求与一个现有的DNS基础结构集成。所以管理这些系统的人员对于此项目的成功是至关重要的。同时，让这些组的规模尽可能小以便更容易作出决定，这一点也非常重要。需要注意的是，作为Windows网络管理角色来部署ActiveDirectory应在全单位范围内进行—而不是只在部门级别进行。如果您是一个部门级的管理员并想部署ActiveDirectory，那么您应与贵单位的IT管理员联系，以取得协助。如果不这样做，那么将来将您的部门级部署加入到全单位级别的ActiveDirectory部署时就会有困难。项目角色虽然在一个典型的ActiveDirectory部署过程中涉及许多人员，但在早期配备两个角色的人员特别重要：项目结构设计师和项目经理。在一个大型单位，可能要有好几个人共同承担这些角色。表1总结了ActiveDirectory的设计角色。表1ActiveDirectory设计角色设计角色职责说明项目结构设计师技术设计负责技术决策并确保设计能满足贵单位的业务目标的专家或咨询人员。项目经理过程计划作为中心联系人推动设计过程的进行，具体职责是，让合适的人员参与到项目中来，并让大家在设计方面达成一致意见。负责全面的计划和日程安排，以支持设计。项目结构设计师每个目录林都要求有一名ActiveDirectory结构设计师监督ActiveDirectory的设计和迁移过程。具有目录管理经验的信息技术(IT)结构设计师或IT系统计划员可能是项目结构设计师的合适人选。或者，也可以考虑聘请一名在ActiveDirectory设计和部署方面有经验的咨询人员。聘请一名咨询人员可给设计小组带来重要的经验和看法，对于解决跨部门的问题可能特别有帮助。ActiveDirectory结构设计师的职责包括：控制ActiveDirectory的设计。理解关键设计决定的逻辑依据。确定单位的业务目标是否已得到满足。在必要时建议其他可能更好地反映业务需要的解决方案。最后的ActiveDirectory设计必须既要反映出业务目标，又要反映出技术决定。因此，项目结构设计师将负责审阅设计决定，将它们与业务目标进行比较，并确保两者完全取得一致。项目经理为了推动设计过程有效地进行，管理层应任命一个人或一个小型委员会来担任项目经理的角色。项目经理应负责加强各个业务部门之间的合作以及与那些管理着技术（如DNS、网络和WindowsNT）的小组的合作。项目经理的职责包括：提供基本的项目计划，比如日程安排和预算。推动ActiveDirectory设计过程的进行。在设计过程的每一阶段让合适的人员参与进来。作为目录项目的中心联系人。让各小组之间达成一致意见。ActiveDirectory设计：关键概念随着设计开始日期的迫近，有一点必须说清楚，那就是您将要设计一个逻辑模型和一个物理模型。逻辑模型有了ActiveDirectory，管理员可以基于容器这一概念，将一个网络的各个元素（比如，用户、计算机、设备等等）组织到一个分层的树状结构中。ActiveDirectory容器的最顶层叫做目录林。在目录林内有若干个域。在域内有若干个组织单元(OU)。之所以将它叫做逻辑模型，是因为它是独立于部署项目的大多数物理方面（比如每一个域和网络拓扑内所需要的副本的数量）来设计的。为了便于对大量的对象进行管理，ActiveDirectory还支持容器级别的管理委派这一概念。通过委派，所有者可以将管理对象的权限转让给其他用户或组。委派是很重要的，因为它有助于将对大量对象的管理在许多受信任的人员中进行分配，让他们对特定的组和特定的对象类型进行管理。例如，图１显示了一家虚构的位于北美的机构中的用户分布情况。在此示例中，一个ActiveDirectory单目录林包含了该单位内的所有用户、计算机、设备和其他实体。为支持基于地理位置进行管理，该单位创建了五个域（西部、中西部、东北部、东南部和拉丁美洲）作为目录林的第一层分区。为支持进一步的委派，该单位还将西部分区再分为若干个OU，分别用虚线来表示。图1一个单位内的管理委派在此示例中，该单位将一些管理任务委派给了西部域的分区经理。西部域的分区经理又将一些管理任务委派给了其子分区经理。同样地，ActiveDirectory支持一种分层结构，此结构可创建多级管理委派，以支持目录服务和所有的目录林对象。在设计逻辑模型时（遵循本指南稍后的分步过程），您实际上是在决定将目录林、域和OU边界放在哪里。物理模型您设计完逻辑模型之后，网络的物理性质将决定您还需要完成哪些任务。这些任务可能包括决定将域和全局编录数据的副本放在哪里。您还需要在ActiveDirectory上的子网级别描述您的网络拓扑，以使它可以为局域网(LAN)之间的通信（如复制流量）设置一个最佳路径。您必须对复制决定特别注意，因为它们将影响网络流量和数据可见性的范围。例如，域控制器不在目录林之间复制目录数据。托管着全局编录的域控制器包含了有关目录林中的每一个对象的部分说明，并整个目录林范围内共享这一信息，但只与包含全局编录的其他域控制器共享。在每一个域内，对该域内的对象的所有数据更新都会自动复制到该域内的每一个域控制器，但不会复制到其他域内的域控制器。再强调一遍，本指南提供了关于所有物理模型决定和过程的分步指导。第一部分：确定您单位的目录林的数量为您的单位确定目录林的数量ActiveDirectory中最高级别的容器是目录林。作为设计过程的第一步，ActiveDirectory结构设计师和项目经理必