`Windows域设计方案书粤港科技应用方案中心2010年11月错误!未知的文档属性名称第2页共34页版权声明本方案书版权属于联想(深圳)电子有限公司。未经联想(深圳)电子有限公司事先书面授权,不得复制、转载、出版、泄露或用作原用途以外的其他目的。地址:深圳市南山区高新技术园(南区)高新南一道联想研发大厦邮编:518057网址:电话:800-810-8888传真:010-82876630错误!未知的文档属性名称第3页共34页目录第1章用户现状及需求分析................................................6第2章活动目录域设计....................................................72.1概述..............................................................72.2活动目录管理模式设计..............................................72.2.1基本概念...................................................72.2.2用户域设计目标.............................................92.2.3设计原则...................................................92.2.4用户登录场景..............................................112.2.5域设计....................................................122.2.6两种域模型的分析..........................................142.3组织单元结构.....................................................142.3.1OU的概念.................................................142.3.2设计规则..................................................152.3.3OU设计...................................................152.4组策略...........................................................162.5站点及复制设计...................................................172.5.1基本概念..................................................172.5.2Site设计目标.............................................182.5.3Site的划分...............................................182.5.4SiteLink的建立..........................................182.5.5SiteLink命名............................................182.5.6SiteLink开销值..........................................192.5.7SiteLink复制日程安排....................................192.5.8SiteLink副本复制频率....................................202.6DNS设计.........................................................202.6.1基本概念..................................................202.6.2DNS设计..................................................21错误!未知的文档属性名称第4页共34页2.6.3DNS名字空间设计..........................................222.6.4安全性....................................................222.6.5DNS服务器的位置和复制做法................................222.6.6DNS服务器的容量考虑......................................232.6.7域控制器上的IP配置中DNS配置.............................232.7WINS设计........................................................232.7.1基本概念..................................................232.7.2WINS服务器的位置.........................................242.7.3WINS服务器的复制.........................................242.7.4WINS服务器的容量考虑.....................................252.7.5客户端WINS配置...........................................252.7.6域控制器WINS配置.........................................262.8用户及主机命名...................................................262.8.1用户命名规范..............................................262.8.2主机命名规范..............................................262.9域控制器物理设计.................................................272.9.1基本概念..................................................272.9.2域控制器设计目标..........................................282.9.3域控制器的位置和数目......................................292.10服务器角色表.....................................................29第3章微软SUS服务.....................................................303.1SUS服务简介.....................................................303.2SUS服务要求.....................................................303.2.1服务器配置要求............................................303.2.2客户端要求................................................313.2.3SUS服务支持的更新........................................313.3太平保险有限公司SUS系统架构.....................................323.3.1集中部署..................................................323.3.2分布部署..................................................323.4SUS服务器安装和配置.............................................33错误!未知的文档属性名称第5页共34页3.5SUS服务实施方法.................................................333.5.1通过活动目录对域成员实施..................................333.5.2对非活动目录成员实施......................................34错误!未知的文档属性名称第6页共34页第1章用户现状及需求分析太平保险有限公司目前在全国搭建有自己的广域网络,网络的中心设在深圳,通过2M的广域链路连接全国的近十多家分支机构。在深圳总部及各分支机构,每个分支机构约有500个左右用户客户端。太平目前的网络中,采用对等式结构,每个客户端自我管理。在这种结构下,系统管理员没有集中管理权限,每个工作站的安全大多依赖于使用者的IT技能及意识,在网络出现大规模的病毒爆发时,容易造成大面积的影响。因此,在一个健全的网络中,系统管理员需要具备强大的集中管理权限,对整个网络中用户的权限进行分类设置,严格管控整个网络的安全。同时还要对网络中的所有可利用资源进行集中管理,并让用户能以最方便的方式去访问这些资源。此外,太平所有的客户端运行的操作系统均为Windows2003或WindowsXP。对于这两种操作系统,需要经常安装操作系统补丁来弥补系统的设计漏洞,避免受到利用漏洞进行攻击的病毒、木马及黑客程序。通常安装操作系统补丁有两种方式:1.通过Microsoft的WindowsUpdate网站进行升级;2.通过执行下载到本地的补丁程序进行修补。但这两种方法都依赖于使用者的安全意识。而根据我们的经验,大多数计算机用户是没有这样的安全意识。因此系统管理员需要一种能强制公司所有计算机用户修补系统漏洞的方法来帮助他进行安全管理。错误!未知的文档属性名称第7页共34页第2章活动目录域设计2.1概述活动目录域模型是太平保险有限公司用户和计算机管理的基础,它的设计与建立,包括用户、用户组的划分、建立与存储,用户的身份认证方式,计算机命名与DNS/WINS域名解析,用户域服务器的物理设计与站点分布。活动目录域采用内置于Windows2000/2003Server的活动目录服务建立,活动目录存储着网络上各种对象的有关信息,包括用户、计算机、打印机、应用程序、其它网络的信息,这样易于管理员和用户查找及使用。活动目录服务采用结构化的数据存储作为目录信息的逻辑层次结构的基础。基于活动目录构建的太平保险有限公司目录服务系统可以作为企业基础目录服务提供给其它应用系统使用。2.2活动目录管理模式设计2.2.1基本概念ActiveDirectory的逻辑结构提供了灵活的方法来设计目录层次结构,逻辑机构包含了三个组件:域(Domain)、组织单元(OrganizationalUnit)、树和森林(TreeandForest)。如下图所示:一至多个域可以组成树,一至多个树可以组成森林,一个域中包含组织单元。错误!未知的文档属性名称第8页共34页域规划域是ActiveDirectory逻辑结构的核心单