工作站加入WINDOWS安全域实施方案

工作站加入WINDOWS安全域实施方案1目录1综述............................................................22部署原则........................................................22.1安全性.....................................................22.2可冗余性：.................................................22.3可扩展性：.................................................32.4应急性：...................................................33部署前提........................................................34部署步骤........................................................44.1更改计算机名称.............................................4第一种方法：.................................................4第二种方法：（推荐）..........................................64.2加入域.....................................................84.3对域用户的桌面恢复........................................124.4安全策略应用..............................................155系统测试.......................................................206应急策略.......................................................237部署安排.......................................................2321综述Windows安全域客户端的部署是整个项目的正式实施阶段，也是项目的核心阶段。因此在部署的过程中，误必做到安全部署，合理部署，按需部署，零风险部署，从而达到顺利成功的部署。我们将在方案对如何部署提供了详细的解决方案。2加入安全域原则2.1安全性安全性高，有利于企业的一些保密资料的管理，比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删除、更改、移动等操作。同时能有效阻止木马病毒的入侵行为，防止信息泄漏。域为用户提供了单一的登录过程来访问网络资源，如他们所具有权限的文件、打印机和应用程序资源。也就是说，用户可以登录到一台计算机来使用网络上另外一台计算机上的资源，只要用户具有对资源的合适权限。域通过对用户权限合适的划分，确定了只有对特定资源有合法权限的用户才能使用该资源，从而保障了资源使用的合法性和安全性。2.2可冗余性：每个域控制器保存和维护目录的一个副本。在域中，你创建的每一个用户帐号都会对应目录的一个记录。当用户登录到域中的计算机时，域控制器将按照目录检查用户名、口令、登录限制以验证用户。3当存在多个域控制器时，他们会定期的相互复制目录信息，域控制器间的数据复制，促使用户信息发生改变时（比如用户修改了口令），可以迅速的复制到其他的域控制器上，这样当一台域控制器出现故障时，用户仍然可以进行登录，保障了业务的顺利进行。2.3可扩展性：在活动目录中，目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。因此，目录可以随着组织的增长而一同扩展，允许用户从一个具有几百个对象的小的安装环境发展成拥有几百万对象的大型安装环境。2.4应急性：在部署以后出现系统不能正常运行，影响银行的正常业务工作。那么我们能恢复到域部署之前的系统状态。3加入安全域前提加入安全域之前需要有以下几个前提：3.1客户端系统必须是能加入WINDOWS域的操作系统，如：WindowsNTWorkstation、Windows2000Professional、Windows7/vista商用入门版、商用进阶版和旗舰版、Windows8专业版和企业版。此外,Windows95/98/Me、WindowsXP家庭版、Windows7家庭入门版、Windows7家庭进阶版,Windows8核心4版也都没有加入域的功能。3.2网络的可达性：DNS能够为oaad.bocd.com.cn做域名解析、能与AD服务器建立连接。3.3将要加入安全域的计算机在域中拥有相应的域账户，并且确认该计算机系统是否在规划的范围。4加入安全域步骤4.1更改计算机名称域管理实际上就是对计算机系统的管理，因此管理就必须要有一个明确的对象名称，这类似于企业管理者对员工的管理首先就要知道员工名称；为了让管理者对计算机设备的方便管理，制定了相应的命名规范：BOCD+资产编号后6位，例如：BOCD022352；步骤如下：第一种方法：1、在桌面上【我的电脑】上点击鼠标右键选择【属性】如图：5左图为XP系统截图，右图为WINDOWS7系统截图2、然后在【系统属性】里选择【计算机名】标签页，点击【更改】按扭，在计算机名编辑框中输入要更改的新名字：如BOCD022352，然后点击【确定】，最后会让你重新启动计算机；如图所示：6注：以上是XP截图，WIN7和WIN8的设置方法跟XP都差不多，这里就不截图了第二种方法：（推荐）但在现实系统中环境，维护人员为减少维护工作量，大多数计算机系统都是采用克隆的技术。因此就存在大量的计算机系统的SID号相同。SID相同的机器加入域往往会产生一些冲突，因此这里介绍另一种修改SID和更改计算机名称的方法：运行NewSID程序，点击【Next】然后就能看到当然的SID号，选择【Random】产生一个随机的SID，点击【Next】会显示当然的计算机名，然后再输入新的计算机名再点击【Next】，然后提示成功之后重新启动计算机就完成计算机更名和SID修改了。如图所示：78注：为了避免不必要的维护工作量和错误的产生，推荐采用第二种方法。4.2加入域当完成更改计算机名称后，接下来就是加入域。加入域的步骤如下：4.2.1仍然是在【计算机名称更改】标签页里，在【域】编辑框中输入：“oaad.bocd.com.cn”，然后点击【确认】如图所示：94.2.2然后在弹出的对话框输入域账户和密码：4.2.3加入成功之后会有以下提示：4.2.4重新启动后在登陆对话框中选择登陆到OAAD域，并输入域用户和密码，由于用户第一次登陆需要更改密码，更改密码后就10能正常登陆到域中：114.2.5等待进入桌面，到此加入域的初步工作就算完成了。这时候可以查看计算机名，显示为完整的计算机名称：BOCD022352.oaad.bocd.com.cn，下面会显示域：oaad.bocd.com.cn12注：Windows7与XP的加入步骤类似，只是界面有细微差别。这里就不做windows7的截图说明了。4.3对域用户的桌面恢复域用户登陆到桌面后，桌面的图标都是默认的，而且之前本地用户在桌面上保存的文件也将看不到。这时候就需要将之前本地用户的文件恢复过来，接下来就如何恢复做一个简单介绍：首先，再加入域之前就需将桌面上的文件COPY到其它分区盘里，如D盘：13注意事项：这项工作不能登陆在域之后来做，因为登陆的域用户权限很低，不能直接访问本地用户的文件目录。如图：14然后，将保存桌面的文件再COPY到域用户的桌面上去，然后将之前的本地文件用本地用户删除掉，以免造成硬盘空间浪费。这样，初步加入安全域就完成了。接下来就是域的策略制定，策略制定是在域控制器上完成，所以这里就不做详细介绍。154.4安全策略应用安全策略应用是域的管理的核心思想，但由于安全策略的制定跟据用户需求不同而不同，且条目甚多，因此我们在这里并不做一一介绍，我们只针对招标文件指定说明的策略做一个简单的介绍：4.4.1密码策略：Windows2008R2AD域建立以后将会产生一个默认的域策略，其中的密略策略已经设置好了，如图所示：4.4.2禁止加入域的用户使用本地用户登录系统作为域管理核心思想，该条策略是客户端管理的重要基石。如果不能实现“禁止加入域的用户使用本地用户登录系统”那么域管理就没有存在的意义，为此，我们在这里介绍如何来实现该策略:首先：确保确保我们的用户和计算机都哪个OU里面，分别在这些16OU里现实现以下策略：即在域策略中修改本地用户的管理员名和禁用这个用户。方法如下：首先检查需要应用策略的OU里面有没有包括需要应用的主机；然后编辑策略，我这里是新建了一个名为“XH”的策略，然后依次展开：【计算机配置】→【策略】→【Windows设置】→【安全设置】→【本地策略】→【安全选项】，在右边的窗口中双击打开【账户：管理员账户状态】在【安全策略设置】标签页中选择“定义此策略设略”再选择“已禁用”17注意：在禁用管理员账号之前一定要给管理员账号设置一个符合密码策略的密码，否则如果需要启用该账号时将会导致无法登陆；下图有详细说明：18在加入安全域之前可以使用netuseradministrator“密码”命令快速设置完成；如图所示：最后执行gpupdate/froce命令，策略就生效了；19下面是执行后的效果：205系统测试系统测试主要分：操作系统测试，应用测试两大类。操作系统测试如：权限测试，资源共享测试，访问测试等操作性测试。应用测试如：办公软件测试，防病毒软件测试，业务系统应用测试，通信软件测试等应用性测试；下表列出要测试的内容：21WINDOWS安全域环境测试报告测试项目：成都银行Windows安全域环境搭建项目测试人：测试时间：2013年6月7日序号测试类型测试内容测试方法测试结果1操作系统测试权限测试对系统盘做新建、删除、复制操作；对计算机做更名操作；对网络设置做更改操作；对域做退出操作；对权限做更改操作；2资源共享测试对网络打印机做打印测试；对共享资源做访问测试；3网络访问测试对因特网做访问测试；对业务网做访问测试；4应用系统测试业务应用软件测试测试应用软件是否能正常运行；测试应用软件是否能访问打印机，加密KEY等硬件设备；5办公软件测试测试常用的办公软件是否能正常运行；测试办公软件是否能访问其它硬件资源；6防病毒软件测试测试杀毒软件是否能正常工作，如杀毒，清理插件等操作；测试杀毒软件是否能正常更新；227即时通信软件测试QQ是否能正常使用；MSN是否能正常使用；（如果有）8B/S架构的应用测试测试页面是不能正常显示；需要加载插件的页面是不能正常运行；9其它应用测试跟据用户需求做相应测试以上测试是否达到测试标准（是□否□）部门主管签字：注：测试标准由成都银行计算机信息管理部门制定，不同用户标准也不一样。若有其它需求，备注在此：236应急策略当加入安全域时可能出现以下几种情况：1、计算机上其他应用程序无法执行，或需要特殊权限；我们将暂停加入安全域操作，项目组将会同业务部门商榷解决方案，进而重新开始；2、基于B/S架构的业务系统出现无法正常访问，如需要加载一些加密插件等要求高级别权限的应用，我们将暂停加入安全域操作，然后用管理员权限将需要加载的插件先安装到本地，然后再重新加入安全域用户。3、对于一些有特殊策略的应用，如移动存储介质的访问、3G上网卡的安装等，将根据我行相关管理办法，调整加入安全域方案及策略。4、业务部门如有特殊管理策略需求，我们将根据该需求提出相关针对性的解决方案，从而满足用户的业务需求。7加入安全域安排加入安全域前我们将跟据业务的需求和业务的状态进行分析后，做出合理的计划。初期加入域阶段：在