章：设计 Active Directory

章：设计ActiveDirectory域服务毫无疑问，ActiveDirectory域服务（ADDS）是WindowsServer2008中最重要的服务器角色之一。ADDS可为WindowsServer2008的很多其他服务器角色提供实现验证和授权的基础，并且也是MicrosoftIdentityandAccess解决方案的基础。另外，很多企业产品，例如MicrosoftExchangeServer以及MicrosoftWindowsSharePointServices，也都需要ADDS。作为企业管理员，您需要负责管理企业中的ADDS基础架构。虽然几乎所有大型企业都已经部署了ADDS，我们依然不可避免需要对其进行设计，因为业务和技术上的需求都在不停地发生变动。为大型企业设计ADDS是一个复杂的工作，作为企业管理员，我们必须了解相关的业务和技术需求，并设计能够满足这些需求的ADDS。本章将介绍ADDS林和域的设计，以及ADDS的物理拓扑。本章考点：设计ActiveDirectory林和域。设计ActiveDirectory物理拓扑。设计数据管理和数据访问。本章课程：第1课：设计ADDS林和域第2课：设计ADDS物理拓扑准备工作本章并不需要进行什么特别的准备。真实情况JohnPolicelli当ActiveDirectory域服务首次作为MicrosoftWindows2000Server操作系统的一部分发布时，很多企业快速做出了决策，要将MicrosoftWindowsNT4.0迁移到ActiveDirectory。很多关于ActiveDirectory的评论都说，这是一个比WindowsNT4.0中使用的安全帐户管理器（SAM）数据库更健壮的目录服务，可提供更好的缩放性，并且可以降低管理工作量。然而，很多企业并没有充分意识到ActiveDirectory的优势，因为他们并没有用足够的时间收集需求信息，而他们的设计也并不完善。在从WindowsNT4.0迁移到ActiveDirectory的过程中，大部分企业都没能正确评估自己的业务和技术需求，因此最终获得的ActiveDirectory结构与迁移之前，原本的WindowsNT4.0结构几乎是一样的。因此很多此类企业随后也都意识到，不充分的规划和业务需求信息的缺失导致了ActiveDirectory结构的不足。很多这类企业甚至进行了多年的规划，以便对大量林和域进行整合，以便充分利用ActiveDirectory域服务（ADDS）提供的优势。设计ADDS要求充分理解业务和技术需求，并花费大量时间正确收集此类信息，然后才能根，并在未来节约更多时间，让管理工作更简单。课：设计ADDS林和域在设计WindowsServer2008的ADDS时，首先需要设计林和域。林和域可充当ADDS的安全、管理和复制边界，并且在设计物理拓扑之前就要准备好。设计的第一个部分是林结构。要设计林结构，首先需要收集不同的需求信息。在获得了相关的林需求后，即可确定所需林的数量，以及最终要使用的林模型。在完成林的设计工作后，还需要设计域结构。设计域结构也需要从业务和技术需求信息的收集开始，这样才能确定域的模型，以及所需域的数量。因为大部分企业已经有了ADDS，因此我们还需要决定是要升级现有域，还是部署新域。最后，还需要设计林根域和域树。在涉及了林和域的结构后，还需要设计林和域的功能级别、架构和信任，以优化林内验证。本课将介绍如何收集相关的业务和技术需求，以及如何根据这些需求，设计基于WindowsServer2008的林和域。学完本课后，您将能够：收集林和域设计需求信息。决定所需的林和域的数量。设计林模型。设计域模型。决定是否升级现有域或新建域。设计林根域。设计林和域的功能级别。设计ADDS架构。设计信任以优化林内验证。预计课程时间：45分钟设计林结构每个ADDS设计都要从设计林结构开始。如果不设计林结构，我们将无法设计ADDS内后续的逻辑和物理组件。设计林结构需要判断ADDS在企业内的角色，收集业务、技术、安全以及网络需求信息，收集自治和隔离需求信息，确定所需林的数量，以及设计林模型。更多信息：WindowsServer2008的ADDS有什么新功能？有关MicrosoftWindowsServer2003SP1和WindowsServer2008在ADDS功能上的比较信息，请参考。的角色在设计林结构之前，需要理解企业中使用的ADDS的角色。ADDS可用于多种用途，例如，可用于充当网络操作系统（NOS），作为企业目录，或作为Internet目录。另外，企业可能需要将ADDS用于多种用途，例如，作为NOS目录以及企业目录。企业中ADDS的使用方式将影响林的结构。如果要将ADDS严格用于NOS目录，通常一个单林就足够了。然而，正如您可能看到的，这种通用的规则也存在例外，尤其是如果企业具有不同的组织结构或运作以及法律需求时。如果要将ADDS用于作为企业目录，则在开始设计林结构之前，必须考虑很多因素，而且必须理解在企业目录内存储信息的具体需求。首先，请判断企业目录是否将用于存储机密的员工信息，例如薪酬信息。如果是，请确定是否需要对这些信息的访问进行限制，因为通过验证的用户几乎可以获得对ADDS所有属性的只读访问。如果要将企业目录用于存储机密员工信息，而且需要对这些信息的访问进行限制，则为企业目录部署独立的林，或部署ActiveDirectory轻量级目录服务（ADLDS）实例可以更高效，这两种情况都将影响到林的结构。虽然在技术上可以修改属性的权限，但这样做，如果属性需要与其他NOS目录共享，则企业目录可能变得非常难以接受。在对存储机密信息的需求有了全面理解后，还需要决定企业目录是否需要使用自定义的属性和类。企业目录通常可以存储比NOS目录更多信息，例如机构信息以及薪酬信息。因为这些信息在不同企业中也各不相同，因此大部分企业目录往往还需要修改默认的ADDS架构，并且必须完全了解这些自定义属性和类的需求，并在设计林结构时评估架构修改对设计工作的影响。正如上文中提到的，新的属性只能被通过验证的用户看到，如果企业目录需要使用自定义属性，并且对这些自定义属性的访问必须进行限制，则使用独立的ADDS林或ADLDS实例明显要比使用企业目录更适合。通过使用独立ADDS林或独立的ADLDS实例，企业目录将具有专用的架构，并且不会与NOS目录的架构产生冲突。最后，如果要将ADDS用做Internet目录，作为林结构设计工作的一部分，还需要考虑很多额外的因素。Internet目录通常可用于存储客户或合作伙伴的身份信息，并可通过能够公开访问的服务器和应用进行访问。大部分企业受限于法律要求，需要限制对客户信息的访问，另外，很多企业希望将客户和合作伙伴的身份信息与企业员工的组织结构和运作以及安全需求信息分开保存。如果要将ADDS用做Internet目录，最好使用独立的ADDS林或ADLDS实例，以满足组织结构以及运作、法律和安全上的需求。收集业务、技术、安全和网络需求信息在充分了解了ADDS在企业环境中扮演的角色后，还必须收集业务、技术和安全需求信息。这些针对林结构的需求通常可归结到下列一个或多个类别：组织结构需求运作需求法律需求受限连接需求刘晖充分理解组织结构方面的需求对于设计林结构是至关重要的。例如，某些特定的业务单元可能需要独立于其他中的其他部门进行运作，以便将业务单元未来的维护工作降到最低。另外，特定业务单元可能需要安装一系列支持目录的应用程序，并需要对ADDS架构进行调整。在这两种情况下，如果业务单元和其他的其他部门位于同一个林中，则业务单元的特殊需求可能会对企业的其他部门产生不利影响。要收集组织结构需求信息，首先请确定企业中所有需要使用ADDS的组，随后，还需要决定这些组是否需要独立于企业的其他部门运作。如果发现确实有某个组具有特殊的组织结构需求，则还需要决定这些需求是否会对企业的其他部门产生影响。在大部分情况下，只要为可能对企业其他部门产生影响的每个业务单元使用独立的林，则就可以将这种影响降到最低。在确定了组织结构需求后，请收集可能影响林结构设计的运作需求信息。类似军事单位以及托管公司的组织所用的ADDS通常都有特殊的运作需求。要判断运作需求，首先请对企业中在运作上有特殊需求的运作团队创建清单，通过对比这份需求清单，就可以选择最适宜的林设计模型。在设计林结构时，还需要充分了解企业必须遵守的法律需求。有些组织，例如财务公司和政府机构，对于具体的职能往往有特殊的法律需求，例如限制对业务合同的某些信息的访问。如果无法满足这些需求，通常将导致失去合同或导致某些法律行为。在林结构设计工作中，在收集法律需求信息时，首先请确定企业必须遵守的法律责任，随后还需要确定使用一个ADDS林是否可以满足这些责任需求。如果不满足，则在设计林结构时，就需要准备独立的林。最后，在设计林结构时，还需要确定任何受限连接方面的需求。有些企业具有受限连接需求，例如将组放置在受限或被隔离的网络中。首先请确定企业中具有这种限制的组，对于每个要求受限连接的组，请收集有关允许这些组连接哪些网络，以及接受来自何处的连接等详细信息。真实情况JohnPolicelliWindowsServer2008中一个迟到的，并且很重要的改进是全新的细化密码策略功能。从Windows2000Server中提供ActiveDirectory功能后，密码策略和帐户锁定策略一直都只能在整个域范围内应用，这意味着域中的所有用户都必须使用同样的密码策略和帐户锁定策略。有无数次，我参与的项目在业务、技术，或这两方面同时都需要创建不同的密码策略。过去，这种局限意味着无法满足不同密码策略的要求，因此有大量可提供自定义的密码策略的第三方产品面世，但很少有项目可以承担额外的成本。随着需求的增加，项目团队往往会要求安全团队将原有的密码策略的约束放松，这通常会导致某些服务帐户被配置使用永不过期的密码。通过使用WindowsServer2008中全新的细化密码策略功能，我们终于可以为同一域的不同用户创建多个密码策略以及帐户锁定策略，另外，WindowsServer2008中的细化密码策略功能实际上是将密码策略映射给用户或组，或映射给这两者，这意味着在满足密码策略和帐户锁定策略要求时，我们实际上有了无限的灵活性。刘晖收集自治和隔离需求信息除了林设计需求，为了更有效地设计林结构，还必须确定自治和隔离需求。自治要求能够独立对资源进行控制，通过实现自治，控制权就不再是专享的。在实现自治后，管理员就可以独立管理资源，然而如果管理员具有更高授权，不仅能够控制这些资源，而且可以在需要时获取控制权。林结构的设计可实现下列类型的自治：服务自治：服务自治涉及到对部分或所有服务管理的控制情况，服务自治可以用于希望通过需要添加或删除域控制器，以够控制ADDS的服务级别的企业用户组。数据自治：数据自治涉及到对全部或部分保存在目录或成员计算机（成员计算机是指加入域的计算机）中的数据进行控制的情况，数据自治并不会影响林内服务管理员对数据的访问。隔离的存在是独立的，并可实现对资源的专享控制。如果实施隔离，管理员将有权利独立管理资源，而其他管理员无法通过任何方式获得对资源的控制。林结构的设计可实现下列类型的隔离：服务隔离：服务隔离可防止未被明确指定可对服务的管理进行控制的管理员控制或操作服务的管理，运作或法律上的需求往往会需要使用服务隔离。