用于管理+Windows+网络的最佳+Active+Directory+设计

1用于管理Windows网络的最佳ActiveDirectory设计MicrosoftCorporation致谢我们非常感谢下列人员审阅了本指南并提供了有价值的反馈：（除非特别声明，这里所感谢的个人都是MicrosoftCorportaion的员工）。MickyBalladelli(AvanadeInc.)、DungHoangKhac(CompaqGlobalServices)、VicGupta、ShaunHayes、MichaelKostersitz、DougLindsey、AlainLissoir(CompaqGlobalServices)、TonyMosunmade、TonyRedmond(CompaqGlobalServices)、MatthijstenSeldam、PaulThompson(NetIQCorporation)、RuudvanVelsen、EddieHanif、FrankPlawetzki、ConnieShih、SteveTowle、ChristopherWestpoint。实验室人员：RobertThingwold和DavidMeyer实验室合作伙伴：Compaq,Inc.和CiscoSystems最佳设计指南为ActiveDirectory设计采取一种结构化的方法可以使企业级的目录服务部署变得简单并便于理解。本指南及其姊妹篇BestPracticeActiveDirectoryDeploymentforManagingWindowsNetworks（用于管理Windows网络的最佳ActiveDirectory部署）提供了业务和技术方面的综合指导，目的在于尽可能地将实现ActiveDirectory™目录服务所需要的时间和精力减到最低程度。本指南根据从已经在单位内部署了ActiveDirectory的客户那里了解到的最佳做法，提供了循序渐进、由浅入深的方法。它还讲述了各种任务和决定，以便于您进行ActiveDirectory设计，从而更好地管理Windows网络。本指南的读者对象是负责测试、试验和部署ActiveDirectory设计的IT专业人士。引言借助于Windows®2000的ActiveDirectory服务，各单位可以简化用户和资源管理，同时又可以建立一个可扩展的、安全而且易管理的基础结构，以便于部署更多重要的和新出现的技术。为帮助缩短计划周期并确保成功的部署，Microsoft正在陆续推出一系列结合场景加以叙述的指南，这些指南提供了说明性的、基于任务的并以解决方案为导向的指导。用于管理Windows网络的最佳ActiveDirectory设计及其姊妹篇BestPracticeActiveDirectoryDeploymentforManagingWindowsNetworks（用于管理Windows网络的最佳ActiveDirectory部署）是这一系列指南中的一部分。这些指南提供了设计和部署ActiveDirectory的结构化方法。若不采用这一结构化方法，在您的单位实现ActiveDirectory所花费的时间将会比预期的要长。2这些指南囊括了Microsoft的产品组的计划和部署技术和已经在其单位内设计和部署了ActiveDirectory的客户的经验教训。ActiveDirectory部署场景与那些有特殊用途的目录不同，ActiveDirectory可以在一个单位内扮演多种角色。这些角色包括从管理Windows网络到支持启用目录的电子商务等范围很广的应用情形。然而，您打算使用ActiveDirectory的方式将影响您作出重要的设计和部署决定时的方式。用于Windows网络管理的ActiveDirectory本指南主要提供了各种最佳做法，旨在帮助读者部署用于管理网络的ActiveDirectory，这样的网络由Windows客户端、Windows服务器和与Windows兼容的应用程序和设备组成。本指南将把这一角色称为网络操作系统(NOS)管理角色。作为NOS管理角色来部署ActiveDirectory的好处包括：对特大型Windows网络进行集中式管理（ActiveDirectory在设计上可支持数百万个对象）。能够消除资源域，包括它们所需要的硬件和管理。基于策略的桌面锁定和软件分发。在合适的情况下能够委派对资源的管理控制。共享资源的定位和使用得以简化。如需有关部署ActiveDirectory的商业价值方面的更多信息，请访问。本指南只讨论了作为管理Windows网络的一部分来部署ActiveDirectory和DNS核心服务这方面的内容。附加在ActiveDirectory上的其他服务可以在以后添加，它们不影响最初的设计。例如，组策略可以对用户、组、工作站和服务器提供基于策略的管理，从而简化管理过程。可以附加在Activedirectory上的一些服务包括：组策略Exchange2000集成的公钥基础结构(PKI)服务基于域的DFS为分支机构进行部署时的特殊注意事项Microsoft为在分支机构环境下部署ActiveDirectory总结出了一些特殊的注意事项。分支机构环境有如下几个特点：大量的物理位置需要有ActiveDirectory数据的副本。每一个位置的用户数量都比较少。采用辐射状网络拓扑，在这种情况下，许多分支机构都依靠与中心站点的连接与单位内的其他分支机构进行通信。3分支机构位置和中心站点之间的网络连接速度慢。由于这些要求名目繁多，Microsoft针对在分支机构环境下部署ActiveDirectory这项工作编写了更多的内容。网上有一篇名叫ActiveDirectoryBranchOfficePlanningGuide（ActiveDirectory分支机构规划指南）的文章，其网址是：。这篇文章在必要时可以与用于管理Windows网络的最佳ActiveDirectory设计指南一起使用。部署Exchange2000时的特殊注意事项本指南将帮助您设计一个可以托管Exchange2000的ActiveDirectory部署。不过，本文并未提供关于成功地将Exchange2000作为ActiveDirectory的组成部分来部署方面的信息。如需了解详细信息，请参阅MicrosoftExchange2000ServerUpgradeSeries（MicrosoftExchange2000Server升级系列文章），其网址是：。关于本指南本指南是为那些将要参加ActiveDirectory计划和部署项目的IT专业人士编写的。它提供了设计ActiveDirectory时采用最佳做法的方法，此方法包括业务和技术方面的综合指导，旨在尽可能地将在贵单位实现ActiveDirectory所需要的时间和精力减至最低程度。本文档中还提供了工作表，以帮助您记录您的设计。采用最佳做法的方法采用最佳做法的方法是根据ActiveDirectory开发小组从已经成功地实现了ActiveDirectory的单位那里收集到的经验而总结出的。此方法通过如下做法缩短了计划周期：推广了标准的、经过测试的ActiveDirectory设计。将重点放在那些经实践证明在WindowsNOS管理角色中效果相当好的设计选择。采用流程图和工作表明确了任务里程碑和各个任务的顺序。提供了各种场景，使设计概念更加具体化。本文档的适用范围虽然本文档中提供的指导几乎适用于任何一种NOS管理部署情形，但它们是专门针对以下环境进行测试和检验的：少于100,000个用户。少于200个物理位置。对于超出这些范围的部署情形，Microsoft建议您考虑让一家咨询公司为您提供服务，这家咨询公司必须拥有在比较复杂的环境下部署ActiveDirectory的丰富经验。如何使用本指南4设计过程的每一阶段，如进行目录林设计，都将有其自己的流程图，以及必须完成的任务的列表。请按照这一顺序进行ActiveDirectory设计。请注意，该过程中的每一步骤都可能涉及将负责作出决定的新的成员。每一个成员都应在提供的工作表中记录他的或她的设计决定。从本指南中将内容剪贴到您的设计文档中，以使新加入的项目成员可以理解以前的设计决定，这样也许会有帮助。只有在您填写完毕我们所提供的工作表而且所有负责人都同意了设计选择之后，才可以进入下一步骤。每一工作表都以以前的工作表中记录的信息和决定作为基础。如果您计划使用进行ActiveDirectory部署的最佳做法指南，在部署阶段也会引用到这些工作表。在继续进行设计之前，应确保您已经：为此次ActiveDirectory部署确立了业务目标并且理解这些业务目标。得到管理层的支持，以便如设计的那样实现一个由ActiveDirectory管理的Windows网络。ActiveDirectory基础结构部署可以跨越技术和业务两个领域。因此，在设计方面是否能取得进展将取决于您是否能向IT和业务决策者阐明ActiveDirectory的价值。本指南的读者对象本指南是为那些将要参加ActiveDirectory计划和部署项目的IT专业人士编写的。其中包括结构设计师、项目经理、系统集成人员和咨询人员。由于ActiveDirectory最好作为一个全单位范围内的基础结构来部署，所以设计小组很可能会涉及到您单位的许多人。本指南将阐明在项目的各个阶段分别需要哪些类型的代表。项目组必须让这些代表参加，让他们参与作出影响其所在部门的设计决定。例如，在大多数公司部署ActiveDirectory就要求与一个现有的DNS基础结构集成。所以管理这些系统的人员对于此项目的成功是至关重要的。同时，让这些组的规模尽可能小以便更容易作出决定，这一点也非常重要。需要注意的是，作为Windows网络管理角色来部署ActiveDirectory应在全单位范围内进行—而不是只在部门级别进行。如果您是一个部门级的管理员并想部署ActiveDirectory，那么您应与贵单位的IT管理员联系，以取得协助。如果不这样做，那么将来将您的部门级部署加入到全单位级别的ActiveDirectory部署时就会有困难。项目角色虽然在一个典型的ActiveDirectory部署过程中涉及许多人员，但在早期配备两个角色的人员特别重要：项目结构设计师和项目经理。在一个大型单位，可能要有好几个人共同承担这些角色。表1总结了ActiveDirectory的设计角色。表1ActiveDirectory设计角色设计角色职责说明项目结构设计师技术设计负责技术决策并确保设计能满足贵单位的业务目标的专家或咨询人员。项目经理过程计划作为中心联系人推动设计过程的进行，具体职责是，让合适的人员参与到项目中来，并让大家在设计方面达成一致意见。负责全5面的计划和日程安排，以支持设计。项目结构设计师每个目录林都要求有一名ActiveDirectory结构设计师监督ActiveDirectory的设计和迁移过程。具有目录管理经验的信息技术(IT)结构设计师或IT系统计划员可能是项目结构设计师的合适人选。或者，也可以考虑聘请一名在ActiveDirectory设计和部署方面有经验的咨询人员。聘请一名咨询人员可给设计小组带来重要的经验和看法，对于解决跨部门的问题可能特别有帮助。ActiveDirectory结构设计师的职责包括：控制ActiveDirectory的设计。理解关键设计决定的逻辑依据。确定单位的业务目标是否已得到满足。在必要时建议其他可能更好地反映业务需要的解