[域控实施方案]初稿xxxxxxxxx有限公司盛利强2011-3-22域控实施方案2011年主要工作及重要事项中心思想内涵与作用是什么目标与任务做什么工作内容……组织实施怎么做机制保障……2011年信息科工作重点计算机信息与网络的制度建设与完善。保障公司信息化设施安全顺畅运行。在现有制度的基础上,出台或完善相关制度。上述工作基础上实现全公司电脑域控管理工作。紧紧围绕陈总工作报告“保增长、强基础、抓机遇、促发展”的工作思想。内涵与作用随着公司信息化的推进,信息技术改造传统产业并逐步实现信息化推动工业化。制造业信息化将信息技术、自动化技术、现代管理技术与制造技术相结合,带动产品设计方法和工具的创新,企业管理模式的创新,企业间协作关系的创新,实现产品设计制造和企业管理的信息化、生产过程控制的智能化、制造装备的数字化、咨询服务的网络化,全面提升公司的竞争能力。而域控的出现,正是在这个环境下孕育而生。它就好比一个是庞大的防护盖,可以把全公司所有电脑纳入ActiveDirectory(活动目录)管理,由OU(组织单位)分布用户权限与功能,从而实现系统化、标准化的整体管理模式。这是信息战的开篇,我们信息科十分有信心把此项工作做好。知识点引导域和组的区别?工作组是一群计算机的集合,它仅仅是一个逻辑的集合,各自计算机还是各自管理的,你要访问其中的计算机,还是要到被访问计算机上来实现用户验证的。而域不同,域是一个有安全边界的计算机集合,在同一个域中的计算机彼此之间已经建立了信任关系,在域内访问其他机器,不再需要被访问机器的许可了。知识点引导为什么是这样的呢?因为在加入域的时候,管理员为每个计算机在域中(可和用户不在同一域中)建立了一个计算机帐户,这个帐户和用户帐户一样,也有密码保护的。可是大家要问了,我没有输入过什么密码啊,是的,你确实没有输入,计算机帐户的密码不叫密码,在域中称为登录票据,它是由2003的DC(域控制器)上的KDC服务来颁发和维护的。为了保证系统的安全,KDC服务每30天会自动更新一次所有的票据,并把上次使用的票据记录下来。周而复始。也就是说服务器始终保存着2个票据,其有效时间是60天,60天后,上次使用的票据就会被系统丢弃。如果你的GHOST备份里带有的票据是60天的,那么该计算机将不能被KDC服务验证,从而系统将禁止在这个计算机上的任何访问请求(包括登录),解决的方法呢,简单的方法使将计算机脱离域并重新加入,KDC服务会重新设置这一票据。或者使用2003资源包里的NETDOM命令强制重新设置安全票据。因此在有域的环境下,请尽量不要在计算机加入域后使用GHOST备份系统分区,如果作了,请在恢复时确认备份是在60天内作的,如果超出,就最好联系你的系统管理员,你可以需要管理员重新设置计算机安全票据,否则你将不能登录域环境。这个也是在信息科周会时我反对的主要原因。知识点引导为什么需要域?对很多刚开始准备使用微软域服务的朋友来说,域是一个让他们感到很头疼的对象。就好比一个数学老师强行让他去教语文一样。然,可喜的事我们有一个钻研、激情、敬业的团队。域的重要性毋庸置疑,微软的重量级服务产品基本上都需要域的支持。但域对初学者来说显得复杂了一些,众多的技术术语,例如ActiveDirectory,站点,组策略,复制拓扑,操作主机角色,全局编录等。很多企业也正是因为实施域控过于复杂,或者是简单分布几个用户,或者干脆弃之不管,这些都是我们现在所要关注的问题,只有做好充足的准备,方能一战致胜。众所周知,微软管理计算机可以使用域和工作组两个模型,默认情况下计算机安装完操作系统后是隶属于工作组的。对工作组特点的描述,例如工作组属于分散管理,适合小型网络等。知识点引导我们这时要考虑一个问题,为什么工作组就不适合中大型网络呢,难道每台计算机分散管理不好吗?下面我们通过一个例子来讨论这个问题。假设现在工作组内有两台计算机,一台是服务器QQ,一台是客户机YY。服务器的职能大家都知道,无非是提供资源和分配资源。服务器提供的资源有多种形式,可以是共享文件夹,可以是共享打印机,可以是电子邮箱,也可以是数据库等等。现在服务器QQ提供一个简单的共享文件夹作为服务资源,我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国,注意,这个文件夹只有张建国一个人可以访问!那我们就要考虑一下如何才能实现这个任务,一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户账号,如果访问者能回答出张建国账号的用户名和密码,我们就认可这个访问者就是张建国。基于这个朴素的管理思路,我们来在服务器上进行具体的实施操作。知识点引导首先,如下图所示,我们在服务器上为张建国创建了用户账号。知识点引导然后在共享文件夹中进行权限分配,如下图所示,我们只把共享文件夹的读权限授予了用户张建国。知识点引导好,接下来张建国就在客户机YY上准备访问服务器上的共享文件夹了,张建国准备访问资源\\QQ\人事档案,服务器对访问者提出了身份验证请求,如下图所示,张建国输入了自己的用户名和口令。知识点引导如下图所示,张建国成功地通过了身份验证,访问到了目标资源。知识点引导看完了这个实例之后,很多朋友可能会想,在工作组模式下这个问题解决得很好啊,我们不是成功地实现了预期目标嘛!没错,在这个小型网络中,确实工作组模型没有暴露出什么问题。但是我们要把问题扩展一下!现在假设公司不是一台服务器,而是100台服务器,这大致是一个中型公司的规模,那么我们的麻烦就来了。知识点引导如果这100台服务器上都有资源要分配给张建国,那会有什么样的后果呢?由于工作组的特点是分散管理,那么意味着每台服务器都要给张建国创建一个用户账号!张建国这个用户就必须痛不欲生地记住自己在每个服务器上的用户名和密码。而服务器管理员也好不到哪儿去,每个用户账号都重新创建100次!如果公司内有1000人呢?我们难以想象这么管理网络资源的后果,这一切的根源都是由于工作组的分散管理!现在大家明白为什么工作组不适合在中大型的网络环境下工作了吧,工作组这种散漫的管理方式和中大型网络所要求的高效率是背道而驰的。知识点引导既然工作组不适合大型网络的管理要求,那我们就要重新审视一下其他的管理模型了。域域域DomainDomainDomainOUOUOU域树域树域域森林森林OU-组织单位OU-组织单位对象对象域模型知识点引导域模型是针对大型网络的管理需求而设计的,域就是共享用户账号,计算机账号和安全策略的计算机集合。从域的基本定义中我们可以看到,域模型的设计中考虑到了用户账号等资源的共享问题,这样域中只要有一台计算机为公司员工创建了用户账号,其他计算机就可以共享账号了。这样就很好地解决刚才我们提到的账号重复创建的问题。域中的这台集中存储用户账号的计算机就是域控制器,用户账号,计算机账号和安全策略被存储在域控制器上一个名为ActiveDirectory的数据库中。知识点引导上述这个简单的例子说明的只是域强大功能的冰山一角,其实域的功能远远不止这些。信息科作为域控实施者的身份,还需要适当参加微软课程专业培训,以便在使用过程中逐步增加感性认识,对域有更加深入及全面的了解,能够掌握好ActiveDirectory这个微软工程师必备的重要知识点,从而承担起实施域控方案的重任。目标与任务通过域控服务,建立一个可以集中化管理的网络环境,为企业网络安全及ERP建设打好基础。工作内容组建华友钴业(HuaYouAd.Com)域控制器通过OU(组织单元)部署公司部门级帐户通过GPMC(组策略编辑器和组策略管理控制台)把全公司计算机帐户纳入集中管理在客户端进行实施加入域,实施域控整体方案。主要收益陈述所提议的项目可提供的收益必要时,从多个方面进行论述时间表将项目拆分为多个阶段并制订每一阶段的时间表5月上旬招标采购第三阶段5月中旬组织实施第四阶段4月下旬内部讨论第二阶段4月中旬人员培训第一阶段开始日期和完成日期说明预算域控技术培训费用预计人民币1万元主域控制器服务器费用预计人民币40万元副控制器服务器费用预计人民币30万元数字KVM+双机热备软件费用预计人民币7万元实施费用预计人民币6万元主要人员域控实施小组组长:xxx组员:xxx,xxx,xxx域控硬件提供商:xxx公司及金牌代理点实施技术顾问:由硬件提供商派遣3-4人评估讨论项目成果的评估方法1.对比2.考察对后续工作带来的影响1.计算机帐号权限的管理2.网络安全的考虑3.统一部署认可列出出域控实施后来带的成果在管理、维护、技术应用上取得的成绩组织实施针对上述整个工作内容的安排具体实施步骤以“WindowsServer2003域”为概述对象进步较为详细的阐述域域域控制器域控制器实施WindowsServer2003域——总结2010年公用电脑实施域服务的经验OU2OU2OU1OU1User1User1Computer1Computer1Printer1Printer1User2User2内容回顾工作组的特性本地用户管理创建设置更改密码删除本地组管理创建本地组内置组内容回顾WindowsServer2003环境下域的特性和组成主控制器域环境的创建OU(组织单位)的基本应用域环境下用户账户和组的应用——以上为前期公用电脑域控实施所做的工作域概述什么是ActiveDirectory(活动目录)?ActiveDirectory是一个数据库ActiveDirectory是一个目录服务可以定制ActiveDirectory简化的管理可扩展性便捷的网络资源访问目录服务概述目录服务用来管理用户和计算机目录服务可以帮助用户或应用程序查找或管理目录中的信息目录服务可以帮助用户增加、删除、或修改目录中的对象信息目录服务的作用集中存储网络资源简化管理工作单个账户登录强大的查询功能域域域控制器域控制器OU1DomainComputersUsersOU2UsersPrintersComputer1User1Printer1User2WindowsServer2003域概述域是基本管理单位域中可包含大量对象计算机用户打印机共享文件夹域是活动目录的组成部分域控制器域控制器是存储活动目录数据库的计算机一个域最少一台域控制器多个域控制器需要同步数据库域控制器域控制器域域复制复制复制User1User2User1User2User3User4User3User4域树与子域域树是共用连续域名空间的Windows域(Benet.com.cn)子域是向域树中添加的任何新域(BJ.benet.com.cn)林林是由单个域树或者多个域树构成林中的不同域树不共用连续的域名空间子域域、域树、域森林域、域树、域森林根域下面可以建立多层子域域和子域构建成域树多棵域树构建成域森林域之间自动建立双向信任关系Abc.comAbc.com根Tianjin.abc.comTianjin.abc.comBeijing.abc.comBeijing.abc.com树双向信任关系双向信任关系双向信任关系Xyz.comXyz.com双向信任关系双向信任关系双向信任关系Tianjin.xyz.comTianjin.xyz.comBeijing.xyz.comBeijing.xyz.com树林中的信任关系2-1林中的信任关系2-2林中的默认信任关系的特点自动建立林中的域之间的信任关系是在创建子域或者域树时自动创建的传递信任林中的域的信任关系是可传递的如域A直接信任域B,域B直接信任域C,则域A信任域C双向信任在两个域之间有两个方向上的两条信任路径例如,域A信任域B,域B信任域A目录服务的逻辑结构层次化的目录结构面向对象的存储域域树域森林OU再来看一次动画演示林、域树和子域这3个选项应选择哪个活动目录安装与卸载条件安装者必须具有本地管理员权限(Administraotr)