AD活动目录方案建议

XXX集团微软AD活动目录解决方案建议书2014年08月目录一、方案概述.......................................................................................................2二、项目背景.......................................................................................................3三、微软AD身份安全管理解决方案介绍.............................................................33.1AD身份安全管理解决方案概述..............................................................................................33.2客户面临挑战与解决方案商业价值.........................................................................................43.3解决方案架构............................................................................................................................63.4活动目录优势............................................................................................................................7四、方案设计.....................................................................................................104.1方案架构设计..........................................................................................................................104.2部署方案..................................................................................................................................114.3项目涉及软硬件产品与服务..................................................................................................11一、方案概述通过部署微软操作系统活动目录（AD），为企业建立统一管理控制的计算机用户管理和授权控制系统。从而实现对企业内部网络安全的集中控制，有效防止非法登录和授权活动的产生，最终提高企业网络安全。活动目录服务提供了单一登录的能力并且为企业的整个网络架构提供了一个集中的信息知识库，它大大的简化了用户和计算机的管理并且提供了网络资源的更好的访问方式。活动目录确保了它成为今天的市场中最具灵活性的目录架构之一。由于与目录集成的应用变得更为普遍，因此组织能利用活动目录处理最为复杂的企业网络环境。活动目录在降低企业的总拥有成本及简化企业内部运作上得到了增强。新的特性和改进已加入到所有的产品中，从而增加了功能、简化了管理并增强了可靠性。在企业内部，企业雇用各种人才并采用各种业务系统，如全职员工、合同制员工以及外部服务供应商，这些雇员出于不同的需要而访问公司的信息，因此需要不同的验证和授权要求。迅速而准确地为这些个人和服务设置适当的访问权限，这对于公司生产力至关重要。例如，当新的全职雇员加入公司时，人力资源部会将其输入到人力资源数据库。这些雇员还需要访问电子邮件以及包含工作项目数据的服务器，此外还有一般公司数据和福利信息。如果供应不能与首次输入到公司数据库中的雇员资料自动连接，则验证和授权流程可能需要花费数小时甚至数天时间，这样将导致公司生产力降低。同一名雇员可能需要根据需要随时使用大量的设备对相同的信息进行移动访问。除非将公司信息集中在一起，以便通过单一门户进行访问，否则该雇员可能会因访问由不同系统管理的信息而遭遇麻烦和重复性工作，或者因记住多个密码而产生潜在安全风险（对此我们多数均有责任，因为我们习惯于将记有各种用户ID和密码的便条放在桌子或计算机上），此外还需要在一天之内多次登录。针对当前企业及其下属单位均已建成了针对自身的局域网络，并部署了多个信息化业务系统。在使企业资源效用最大化，避免资源重复建设，我们建议XXX集团采用微软的ActiveDirectory作为网络的基础架。二、项目背景随着公司业务的发展以及行业对信息系统功能和安全要求的需要,我们将为XXX集团构建基于微软活动目录”WindowsServer2012”作为基础架构。当前XXX集团信息系统涉及的方面主要包括：•全新部署WindowsServer2012ActiveDirectory活动目录•WindowsServer2003升级迁移到WindowsServer2012AD域•部署分支机构WindowsServer2012RODC只读域控制器•终端标准化-加域三、微软AD身份安全管理解决方案介绍企业的信息化建设最终目的都是为了能够更好的通过信息化建设的投入，提高企业现有的信息化平台的安全稳定性，及其能够给企业的生产管理带来效率的提高，将其投入转化为有形生产价值的提高，为企业生产降低成本投入！3.1AD身份安全管理解决方案概述身份安全是企业IT系统安全的基础，出色的身份安全管理将会大大地提高企业IT系统地安全水平，通过部署微软身份安全管理解决方案，您的企业可以实现：1.解决企业用户身份生命周期中各阶段的安全隐患2.解决计算机使用过程中因管理不到位造成的安全问题3.实现单点登录（SSO）等功能，提高用户工作效率和IT管理效率3.2客户面临挑战与解决方案商业价值客户面临的挑战：从员工入职开始，到最终离职整个生命周期中每个阶段都存在与身份相关的安全隐患，包括设备使用过程中由于管理不到位，造成的相关安全问题。具体风险如下表所示：可见，企业没有很好的身份管理，将会造成众多的安全隐患；而一套完整的身份安全管理解决方案，将帮助企业实现身份的统一管理，消除各种安全隐患，奠定企业IT系统安全基础。表1:企业中的身份安全隐患身份创建用户身份多次创建，权限分配不一致,造成冲突,管理效率低帐户不设密码，或者使用弱密码等密码安全隐患，极易导致恶意入侵分散的管理与授权，可能导致机密信息的泄漏。终端密码的丢失造成的系统不可用用户身份被冒用，造成机密信息泄漏网络身份认证时,没有加密的传输会造成隐私以及身份的泄漏身份注销多个系统的身份注销，管理压力大，一旦遗留某个系统中的身份信息未被注销，极有可能未来导致机密信息的泄漏用户身份安全隐患身份使用设备身份安全隐患电脑设备由于使用者缺乏IT知识，不及时更新补丁修复漏洞，处于极度危险境地系统配置例如IE的安全级别被随意修改，使之极易被攻击，威胁企业的IT安全系统由于用户无意识使用带有病毒、木马或者企业禁止的程序，危害到企业安全微软的身份安全解决方案,将企业内的所有用户、设备的身份，与各应用中的身份进行集成，实现全企业的身份统一管理，解决身份安全问题，并提高IT管理员与最终用户的生产效率。微软身份安全解决方案能够帮助企业：表2:微软AD身份安全管理解决方案的收效使用微软身份安全解决方案的收效自动地实现帐户身份的供应（创建与同步）和注销授权管理根据企业授权规则，统一进行权限分配，提供适当访问权限密码管理利用包含密码的严格帐户策略强制措施，提高系统安全型身份认证管理利用强大的验证机制（例如智能卡、指纹验证设备）以及公共密钥基础结构(PKI)，保护身份信息不被泄漏或者冒用按企业安全规范，后台统一配置，确保设备的安全状态合规主动地对系统进行修补，防止攻击统一控制禁止某些程序的运行，保证企业系统的安全性身份管理类型用户身份安全管理身份创建与注销身份使用设备身份安全管理配置管理行为管理除此之外，通过使用本解决方案，可以提高全企业的工作效率：中心控管，统一配置，大大降低IT管理人员的工作压力。统一的身份认证，实现了单点登录（SSO，SingleSignON），减少了客户遗忘密码的几率与系统登陆次数，大大提高了工作效率。3.3解决方案架构本方案使用WindowsServer操作系统内置的活动目录（ActiveDirectory）提供目录服务，管理企业的人员，服务器，客户端，及各种应用中的身份信息，实现统一的身份认证。管理员可以使用组策略（GroupPolicy）在后台对不同的身份进行统一管理，进行授权和限制，防止用户不安全的操作，对终端进行统一配置，杜绝安全隐患。“基于活动目录的网络基础架构”建设方案中，不仅要建设一系列丰富的，互联的底层基础架构，同时还将构建集中统一的软件基础设施、完整互通的基础数据库，无缝整合现有信息应用系统，并建立“企业信息技术基础架构——活动目录”与外部信息系统的互联互通机制。根据企业规模大，分散广的特点，同时又要满足企业资源共享和单位协作，确定了垂直结构和水平结构共用的模式，既保证集团内部的水平协作，同时保证XXX集团垂直单位的整体合作。规划域结构时，始终遵循“简单是最好的投资”的设计原则，尽管增加某些复杂结构可以增值，但是简单的结构更易于说明、维护和调试。一开始时总是仅考虑每个森林中仅有一个域，然后为每一个增加的新域提供详细的理由，确保添加到森林中的域都是有益的，因为它们会带来相应的管理开销而导致一定程度的成本上升。创建更多的域的三种可能的原因是：1.希望实现相对分散式得IT管理模式：多域结构更容易进行相对独立的管理、委派和权限控制。另外，不同的用户帐户在一个域内是不能出现重名的，多域之间就没有限制。对于人士管理相对独立的集团下属公司，多域结构具有更好的灵活性。2.希望实现不同管理策略要求：包括用户口令策略、账户锁定策略和EFS加密策略。例如，要求某些人必须取8个字符以上的口令，而其它人不做限制。为此，必须将这些需要不同安全策略的用户放在单独的域中。3.希望减小WAN上的复制流量：域控制器域间复制将产生比域内复制少的多的流量。如果公司很大，具有跨地区的组织结构，且处于同一个森林内，则在不同地理位置上的机构可能使用慢速的WAN链路连接。为减少WAN上的DC复制流量，可以在不同的地理位置设置不同的域。3.4活动目录优势1.计算机工作组管理和AD活动目录管理方式比较对于基于MicrosoftWindows操作系统的计算机运行和管理在两种模式下：工作组(workgroup)和域(domain)。在工作组模式下，计算机处于一个孤立状态，使用计算机的用户登录帐号和计算机的管理均须在每台计算机上创建或进行。当计算机超过50台以上时，计算机的管理变得越来越困难，并且要为用户创建越来越多的访问网络资源的帐号，用户要记住多个访问不同资源的帐号。而在域的模式下，用户只需记住一个域帐号，即可登录访问域中的资源。并且管理员通过组策略，可以轻松配置用户的桌面工作环境和加强计算机安全设置。域模式下所有的域帐号保存在域控制器的活动目录数据库中。2.为什么要提供目录服务?对更加强大、透明且高度集成的目录服务的不断需求是由爆炸性增长的网络计算所导致的。随着局域网（LAN）、广域网（WAN）规模与复杂性的不断提高和这些网络不断被连入Internet，以及应用程序对网络的依赖程度不断增强