公司域控的實(shí)施方案

公司域控的實(shí)施方案

　　篇一：公司域控實(shí)施方案10.29

　　一、服務(wù)器、磁盤柜、操作系統(tǒng)采購(gòu)

　　二、域控服務(wù)器搭建（一個(gè)星期左右）

　　1、 硬件安裝及連接:

　　服務(wù)器與磁盤柜之間通過(guò)SAS連接線連接。

　　2、 Windows server 2008操作系統(tǒng)安裝

　　服務(wù)器上硬盤僅用來(lái)安裝操作系統(tǒng)，AD數(shù)據(jù)及安裝目錄均存入磁盤柜中硬盤。

　　（1）操作系統(tǒng)安裝:通過(guò)光驅(qū)安裝windows server 2008 標(biāo)準(zhǔn)版操作系統(tǒng)，兩臺(tái)服務(wù)器安裝完操作系統(tǒng)后，安裝系統(tǒng)補(bǔ)丁，更改計(jì)算機(jī)名，配置完整的網(wǎng)絡(luò)配置參數(shù)(靜態(tài)IP地址，備份域控的DNS地址設(shè)置為主域控IP地址)；通過(guò)windows server backup對(duì)系統(tǒng)進(jìn)行一次完整備份,再設(shè)置每天的增量備份。

　　（2）安裝域控制器:在主域控上安裝DNS，域名設(shè)置為XXXXXX.COM；安裝備份DC時(shí)，選擇“現(xiàn)有域的額外域控制器”，其它配置相同。

　　設(shè)置目錄還原密碼，該密碼用于還原活動(dòng)目錄，必須保證其復(fù)雜性。

　　3、 域控服務(wù)器設(shè)置

　　（1）用戶賬戶管理:

　　域管理員賬號(hào)設(shè)置：

　　域管理員賬號(hào)可以登錄域內(nèi)任何一臺(tái)計(jì)算機(jī)或者成員服務(wù)器，且具有最大管理權(quán)限，只為運(yùn)維管理人員設(shè)置；域賬號(hào)三次密碼輸入不正確會(huì)被鎖定，需通過(guò)另外的域管理員賬號(hào)解除鎖定。

　　為現(xiàn)有員工添加域賬號(hào)：

　　用戶名為名字的全拼，設(shè)置初始密碼，第一次登陸時(shí)，提示修改密碼，密碼必須符合復(fù)雜性要求（9位，包括字母、數(shù)字、特殊字符），三個(gè)月之內(nèi)更換一次密碼。密碼三次輸入錯(cuò)誤，賬號(hào)會(huì)被鎖定，需通知管理員解鎖，同時(shí)不得將自己的賬號(hào)和密碼擅自泄露給他人。

　　用戶登錄設(shè)置：

　　一般情況下，用戶的域賬號(hào)只能登錄至自己的計(jì)算機(jī)，特殊情況下，單個(gè)賬號(hào)可以登錄多臺(tái)計(jì)算機(jī)；同時(shí)可以設(shè)置登錄時(shí)間段，如：白天上午9點(diǎn)至下午6點(diǎn)可以正常登錄，除此時(shí)間段之外，無(wú)法登錄至計(jì)算機(jī)。

　　新員工和離職人員賬戶操作：

　　為新加入的員工，設(shè)置新的域賬號(hào)，離職員工在離職的最后一天停用其域賬號(hào)。

　　賬戶名稱變更：

　　假使某甲要離職,由新進(jìn)人員某乙接替其職位。則管理員無(wú)須先建立某乙的賬戶、再刪除某甲的賬戶,可以直接將某甲的賬戶名稱更改為某乙的賬戶名稱,如此不但省事,在權(quán)限方面也不易出錯(cuò)。

　　（2）組織單元?jiǎng)澐?/strong>：

　　按部門劃分組織單元，下面包括計(jì)算機(jī)組和用戶組。如客服部，下面包括客服部的計(jì)算機(jī)組和該部門的用戶組；用戶組包括該部門員工的域賬號(hào)，計(jì)算機(jī)組包括該部門所有的正在使用的計(jì)算機(jī)。

　　（3）權(quán)限控制：以下權(quán)限控制均通過(guò)組策略來(lái)實(shí)現(xiàn)

　　USB接口控制：通過(guò)組策略來(lái)控制計(jì)算機(jī)上的USB接口是否可用。

　　用戶文件夾重定向：使域用戶的文件存放在服務(wù)器上指定的位置，既可以避免系統(tǒng)損壞帶來(lái)的文件丟失情況，又可以在任意一臺(tái)域成員機(jī)上訪問(wèn)到自己的文件。

　　軟件權(quán)限限制：所有的域賬號(hào)登錄的計(jì)算機(jī)不具有安裝和刪除軟件的權(quán)限，軟件的安裝和卸載需通知域管理員進(jìn)行。在實(shí)際生產(chǎn)環(huán)境當(dāng)中，有少部分軟件是必須需要本地管理員權(quán)限才能運(yùn)行的，對(duì)于這種情況，把域賬號(hào)加入至本地管理組中或者使用腳本的方式來(lái)運(yùn)行這類型軟件。

　　三、客戶端設(shè)置：

　　收回本地計(jì)算機(jī)管理員權(quán)限，均采用域賬號(hào)登錄，所有計(jì)算機(jī)統(tǒng)一設(shè)置本地管理員,（須保證密碼復(fù)雜性要求，且半年更換一次），由管理員統(tǒng)一保管且不能泄露給其他人。

　　1、加域前的必須操作：

　　將桌面的相關(guān)文檔（需要用到的資料）復(fù)制至除C盤以外的其他磁盤更改計(jì)算機(jī)名稱，計(jì)算機(jī)名稱按照“GZ+部門拼音第一個(gè)字母+數(shù)字”命名規(guī)則依次進(jìn)行（如：gz-cw-01、gz-cw-02、gz-kf-02）。計(jì)算機(jī)名稱更改后，需要重啟計(jì)算機(jī)。

　　更改網(wǎng)絡(luò)配置信息：

　　設(shè)置靜態(tài)IP地址，IP地址根據(jù)事先規(guī)劃好的設(shè)置。主DNS地址為主域控的IP地址。備份DNS地址為從域控的IP地址。

　　2、如何加域：

　　右擊“我的電腦”，選擇“屬性”，選擇“計(jì)算機(jī)名”選項(xiàng)卡，點(diǎn)擊“更改”在彈出的對(duì)話框中選擇“隸屬于”“域”，填寫正確的域名后，點(diǎn)擊確定。然后重啟計(jì)算機(jī)即可。

　　四、測(cè)試階段（3天左右）

　　測(cè)試方式：通過(guò)虛擬機(jī)虛擬出xp和win7的客戶端加入到域中進(jìn)行測(cè)試。

　　測(cè)試內(nèi)容：

　　1、服務(wù)器方面的測(cè)試：

　　備份測(cè)試，測(cè)試系統(tǒng)備份和AD數(shù)據(jù)備份是否正常進(jìn)行。

　　還原性測(cè)試，備份好的數(shù)據(jù)還原后是否可以正常使用。

　　測(cè)試主從DC數(shù)據(jù)是否同步。

　　2、客戶端方面的測(cè)試：

　　測(cè)試能否正常加域。

　　測(cè)試能否正常通過(guò)域賬號(hào)登陸。

　　測(cè)試用戶賬戶管理策略是否能正常起作用。

　　測(cè)試權(quán)限控制是否正常。

　　五、上線階段（與客戶端設(shè)置一并進(jìn)行，3-4天）

　　1、將各客戶端加入到域：客戶端加入到域，需要域管理員賬號(hào)才能進(jìn)行；根據(jù)各部門的情況，分部門，分時(shí)間段進(jìn)行，進(jìn)行操作之前先通知各部門，統(tǒng)一時(shí)間操作，以免影響正常工作。

　　2、客戶端加域成功后，把個(gè)人用戶名和密碼分發(fā)給使用人。

　　3、用戶通過(guò)域賬號(hào)登錄并更改自己的密碼。

　　六、實(shí)施時(shí)可能遇到的問(wèn)題：

　　1、員工對(duì)收回管理員權(quán)限持反對(duì)意見，不配合工作。

　　2、收回管理員權(quán)限后，在安裝或更新軟件時(shí)，需跟管理員聯(lián)系，會(huì)感覺(jué)到不適應(yīng)；同時(shí)，也會(huì)給管理員帶來(lái)更多的工作量，軟件標(biāo)準(zhǔn)化的制定能有效緩解這些問(wèn)題。

　　篇二：企業(yè)AD域控規(guī)劃方案

　　目錄

　　1.前言...................................................................................................3

　　2. 活動(dòng)目錄規(guī)劃..........................................................................................3

　　2.1.活動(dòng)目錄介紹 ........................................................................................3

　　3.應(yīng)用Windows 2003 Server AD的好處 ......................................................................4

　　明確系統(tǒng)規(guī)劃目標(biāo) ........................................................................................6

　　2.4. 活動(dòng)目錄設(shè)計(jì)方案 ...................................................................................7

　　3. 用戶關(guān)心問(wèn)題解答......................................................................................8

　　3.1.

　　3.2.

　　3.3.

　　活動(dòng)目錄優(yōu)勢(shì) ............................................................................................8

　　重要組策略介紹..........................................................................................10

　　計(jì)算機(jī)從工作組加入到域可能存在的問(wèn)題和解決方法..........................................................14

　　4. 活動(dòng)目錄方案實(shí)施.....................................................................................15

　　4.1. AD域命名和DNS的規(guī)劃 ...............................................................................15

　　4.2.

　　4.3.

　　4.4.

　　4.5.

　　4.6.

　　4.7. 確定AD邏輯結(jié)構(gòu) ....................................................................................15

　　確定AD物理結(jié)構(gòu) .........................................................................................16

　　規(guī)劃OU結(jié)構(gòu)和組策略 .....................................................................................16

　　創(chuàng)建 OU 以管理和委派....................................................................................18

　　創(chuàng)建 OU 支持組策略 .....................................................................................18

　　應(yīng)用組策略選項(xiàng)..........................................................................................19

　　4.8. 硬件設(shè)備選型建議 ..................................................................................20

　　5. 活動(dòng)目錄服務(wù)內(nèi)容.....................................................................................21

　　5.1.

　　5.2.

　　5.3.

　　5.4.

　　5.5.

　　5.6.

　　5.7. 可行性調(diào)查........................................................................................21

　　規(guī)劃活動(dòng)目錄部署方案 ..................................................................................21

　　部署活動(dòng)目錄服務(wù) ......................................................................................21

　　制訂活動(dòng)目錄管理維護(hù)規(guī)范 ..............................................................................22

　　工程師定時(shí)上門進(jìn)行活動(dòng)目錄日常維護(hù).....................................................................22

　　處理活動(dòng)目錄緊急情況 ..................................................................................22

　　整理和存檔資料.........................................................................................23

　　5.8. 培訓(xùn)系統(tǒng)管理員....................................................................................23

　　6. 服務(wù)質(zhì)量保證........................................................................................24

　　7. 部分成功案例........................................................................................27

　　1. 前言

　　本文檔是深圳市協(xié)軟件數(shù)據(jù)系統(tǒng)有限公司結(jié)合自身長(zhǎng)期為客戶提供全面的IT顧問(wèn)咨詢服務(wù)和應(yīng)用解決方案積累起來(lái)的豐富經(jīng)驗(yàn)，為企業(yè)規(guī)劃Windows 2003 AD企業(yè)目錄服務(wù)的解決方案建議。

　　由于計(jì)算機(jī)安全和管理的需要，IT部門計(jì)劃部署活動(dòng)目錄，希望所有的計(jì)算機(jī)分階段加入到域，通過(guò)活動(dòng)目錄加強(qiáng)計(jì)算機(jī)安全和桌面管理，并為進(jìn)一步部署Exchange、SMS等微軟產(chǎn)品打下堅(jiān)實(shí)的基礎(chǔ)架構(gòu)。

　　方案包括以下組成部分：

　　活動(dòng)目錄整體規(guī)劃

　　用戶關(guān)心問(wèn)題解答

　　活動(dòng)目錄方案實(shí)施

　　活動(dòng)目錄服務(wù)項(xiàng)目

　　服務(wù)質(zhì)量保證

　　協(xié)軟公司成功案例

　　2. 活動(dòng)目錄規(guī)劃

　　設(shè)計(jì)一個(gè)穩(wěn)定、可靠和擴(kuò)展性良好的活動(dòng)目錄架構(gòu)對(duì)一個(gè)企業(yè)網(wǎng)絡(luò)的管理及安全具有重大意義，并對(duì)部署微軟的相關(guān)產(chǎn)品如Exchange 等具有舉足輕重和決定性的重要意義。

　　2.1. 活動(dòng)目錄介紹

　　活動(dòng)目錄是Windows 2003網(wǎng)絡(luò)體系結(jié)構(gòu)中一個(gè)基本且不可分割的部分，它為網(wǎng)絡(luò)的用戶、管理員和應(yīng)用程序提供了一套分布式網(wǎng)絡(luò)環(huán)境設(shè)計(jì)的目錄服務(wù)。活動(dòng)目錄使得組織機(jī)構(gòu)可以有效地對(duì)有關(guān)網(wǎng)絡(luò)資源和用戶的信息進(jìn)行共享和管理。另外，目錄服務(wù)在網(wǎng)絡(luò)安全方面也扮演著中心授權(quán)機(jī)構(gòu)的角色，從而使操作系統(tǒng)可以輕松地驗(yàn)證用戶身份并控制其對(duì)網(wǎng)絡(luò)資源的訪問(wèn)。同等重要的是，活動(dòng)目錄還擔(dān)當(dāng)著系統(tǒng)集成和鞏固管理任務(wù)的集合點(diǎn)。 總的來(lái)說(shuō)，活動(dòng)目錄的這些功能使組織機(jī)構(gòu)可以將標(biāo)準(zhǔn)化的商業(yè)規(guī)則貫徹于分布式應(yīng)用和網(wǎng)絡(luò)資源當(dāng)中，同時(shí)，無(wú)需管理員來(lái)維護(hù)各種不同的專用目錄。

　　活動(dòng)目錄提供了對(duì)基于Windows的用戶賬號(hào)、客戶、服務(wù)器和應(yīng)用程序進(jìn)行管理的唯一點(diǎn)。同時(shí)，它也幫助組織機(jī)構(gòu)通過(guò)使用基于Windows的應(yīng)用程序和與Windows相兼容的設(shè)備對(duì)非Windows系統(tǒng)進(jìn)行集成，從而實(shí)現(xiàn)鞏固目錄服務(wù)并簡(jiǎn)化對(duì)整個(gè)網(wǎng)絡(luò)操作系統(tǒng)的管理。公司也可以使用活動(dòng)目錄服務(wù)安全地將網(wǎng)絡(luò)系統(tǒng)擴(kuò)展到Internet上。活動(dòng)目錄因此使現(xiàn)有網(wǎng)絡(luò)投資升值，同時(shí)，降低為使Windows網(wǎng)絡(luò)操作系統(tǒng)更易于管理、更安全、更易于交互所需的全部費(fèi)用。

　　活動(dòng)目錄是微軟各種應(yīng)用軟件運(yùn)行的必要和基礎(chǔ)的條件。下圖表示出活動(dòng)目錄成為各種應(yīng)用軟件的中心。

　　2.2. 應(yīng)用Windows 2003 Server AD的好處

　　Windows 2003 Server是微軟最新推出的網(wǎng)絡(luò)操作系統(tǒng)服務(wù)器，它沿用了 Windows 2000 Server 的先進(jìn)技術(shù)并且使之更易于部署、管理和使用。其結(jié)果是：其高效結(jié)構(gòu)有助于使您的網(wǎng)絡(luò)成為單位的戰(zhàn)略性資產(chǎn)。

　　應(yīng)用Windows 2003 Server的好處如下表所示：

　　Windows 2003 Server的核心是一組基于Active Directory（目錄服務(wù)，簡(jiǎn)稱“AD”）的基礎(chǔ)結(jié)構(gòu)服務(wù)。Windows 2003 AD簡(jiǎn)化了管理，加強(qiáng)了安全性，擴(kuò)展了互操作性。它為用戶、組、安全服務(wù)及網(wǎng)絡(luò)資源的管理提供了一種集中化的方法。

　　應(yīng)用Windows 2003 AD之后，企業(yè)信息化建設(shè)者和網(wǎng)絡(luò)管理員可以從中獲得如下好處： ? 系統(tǒng)平臺(tái)基礎(chǔ)架構(gòu)。基于Windows 2003 AD規(guī)劃網(wǎng)絡(luò)基礎(chǔ)架構(gòu)，使企業(yè)獲得一個(gè)穩(wěn)定、可擴(kuò)充的網(wǎng)絡(luò)基礎(chǔ)平臺(tái)。不單單是滿足當(dāng)前的網(wǎng)絡(luò)需要，更關(guān)鍵的是預(yù)計(jì)了今后3-5年內(nèi)可能的發(fā)展需要，使得將來(lái)的網(wǎng)絡(luò)規(guī)劃建設(shè)無(wú)需再次重復(fù)投資。

　　單一登錄。可以統(tǒng)一用戶帳戶設(shè)置和用戶身份驗(yàn)證，實(shí)現(xiàn)用戶單一登錄，用戶訪問(wèn)網(wǎng)絡(luò)中的資源不再需要反復(fù)輸入用戶名稱和口令。同時(shí)，它還是企業(yè)應(yīng)用集成的基礎(chǔ)。基于AD的單一登錄功能，便于實(shí)現(xiàn)在不同程序之間的協(xié)作和集成應(yīng)用。

　　網(wǎng)絡(luò)安全。可以基于AD，集中設(shè)置和統(tǒng)一管理用戶、組、資源的操作權(quán)限，方便維護(hù)管理。

　　集中管理和委派授權(quán)。基于Windows 2003活動(dòng)目錄OU實(shí)施委派授權(quán)管理，未來(lái)向下屬企業(yè)推廣時(shí)，分級(jí)維護(hù)，集團(tuán)各部門、下屬公司可以對(duì)所轄范圍內(nèi)的部分參數(shù)進(jìn)行維護(hù)，如增加用戶、設(shè)置權(quán)限、增加欄目、自定義流程等。

　　用戶桌面管理。通過(guò)規(guī)劃部署Windows 2003 OU和組策略，可以統(tǒng)一規(guī)劃用戶桌面和用戶操作環(huán)境，實(shí)現(xiàn)對(duì)客戶計(jì)算機(jī)的集中控制管理，加強(qiáng)信息管理的安全可靠性。

　　篇三：活動(dòng)目錄(域控)解決方案

　　上海瑞軟企業(yè)管理咨詢有限公司

　　上海物美實(shí)業(yè)有限公司

　　活動(dòng)目錄解決方案

　　上海瑞軟企業(yè)管理咨詢有限公司

　　二〇一X年三月二十六日

　　地址：上海華徐公路888號(hào) 電話：+8621 6977 2303 傳真：+8621 6977 3331

　　目 錄

　　1 概述...................................................................................................2

　　1.1 背景介紹 .........................................................................................2

　　1.2 現(xiàn)狀描述 .........................................................................................2

　　1.3 問(wèn)題分析 .........................................................................................2

　　2 總體功能需求 ..........................................................................................3

　　2.1集中的組織與管理網(wǎng)絡(luò)內(nèi)的服務(wù)器及客戶端 ............................................................3

　　2.2 統(tǒng)一的數(shù)據(jù)組織與資源管理 .........................................................................3

　　2.3 單一登錄的網(wǎng)絡(luò)環(huán)境 ...............................................................................4

　　2.4 集中化的軟件部署與運(yùn)行限制 .......................................................................4

　　2.5 功能強(qiáng)大并易于擴(kuò)展的IT基礎(chǔ)架構(gòu) ...................................................................4

　　3 解決方案建議 ..........................................................................................4

　　3.1 概念描述 .........................................................................................4

　　3.2 建設(shè)內(nèi)容 .........................................................................................6

　　3.2.1 建立基礎(chǔ)平臺(tái) ...................................................................................6

　　3.2.2 整合現(xiàn)有信息技術(shù)環(huán)境 ...........................................................................6

　　3.3 建設(shè)策略 .........................................................................................6

　　4 解決方案實(shí)施 ..........................................................................................7

　　4.1 AD域命名和DNS的規(guī)劃 ..............................................................................7

　　4.2 確定AD邏輯結(jié)構(gòu) ...................................................................................7

　　4.3 確定AD物理結(jié)構(gòu) ...................................................................................9

　　4.4 規(guī)劃OU結(jié)構(gòu)和組策略 ...............................................................................9

　　4.5 創(chuàng)建OU以管理和委派 ...............................................................................10

　　4.6 創(chuàng)建OU支持組策略 .................................................................................11

　　4.7 應(yīng)用組策略選項(xiàng) ...................................................................................12

　　4.8 硬件設(shè)備選型建議 .................................................................................13

　　5 解決方案優(yōu)勢(shì) .........................................................................................14

　　5.1 為什么選擇微軟 .....................................................................................14

　　5.2 Windows Server 2008 R2 活動(dòng)目錄的優(yōu)點(diǎn) ..............................................................14

　　6 服務(wù)內(nèi)容 .............................................................................................17

　　6.1 可行性調(diào)查 .......................................................................................17

　　6.2 規(guī)劃活動(dòng)目錄部署方案 .............................................................................17

　　6.3 部署活動(dòng)目錄服務(wù) .................................................................................18

　　6.4 制訂活動(dòng)目錄管理維護(hù)規(guī)范 .........................................................................18

　　6.5 工程師定時(shí)上門進(jìn)行活動(dòng)目錄日常維護(hù) ...............................................................18

　　6.6 處理活動(dòng)目錄緊急情況 .............................................................................18

　　6.7 整理和存檔資料 ...................................................................................19

　　6.8 培訓(xùn)系統(tǒng)管理員 ...................................................................................19

　　7 服務(wù)質(zhì)量保證 .........................................................................................20

　　8 部分成功案例 .........................................................................................21

　　1 概述

　　1.1 背景介紹

　　本解決方案將從物美的IT環(huán)境現(xiàn)狀出發(fā)，分析現(xiàn)有環(huán)境，提出物美關(guān)心的關(guān)鍵問(wèn)題及未來(lái)的挑戰(zhàn)，并根據(jù)相關(guān)問(wèn)題詳細(xì)闡述對(duì)應(yīng)解決方案，幫助物美快速解決問(wèn)題，以信息技術(shù)提升企業(yè)生產(chǎn)力。

　　1.2 現(xiàn)狀描述

　　當(dāng)前國(guó)內(nèi)企業(yè)內(nèi)部網(wǎng)絡(luò)環(huán)境多數(shù)仍為松散的管理狀態(tài)，IT環(huán)境中硬件設(shè)備伴隨著組織中人員數(shù)量的增加每年都在增長(zhǎng)，大力的信息化建設(shè)使硬件和應(yīng)用軟件單純從技術(shù)層面上講都達(dá)到了較高的水平，但實(shí)際環(huán)境中無(wú)論是工作用桌面計(jì)算機(jī)還是服務(wù)器都是采用工作組模型，各自獨(dú)立。IT環(huán)境中的軟硬件資源都無(wú)法實(shí)現(xiàn)充分利用。

　　經(jīng)歷了大規(guī)模網(wǎng)絡(luò)和硬件投資建設(shè)之后，多數(shù)企業(yè)的信息技術(shù)部門開始轉(zhuǎn)向關(guān)心信息化建設(shè)投資的“效益”，——究竟過(guò)去投入建成的這些設(shè)備，能夠形成哪些應(yīng)用，帶來(lái)什么效益？這已經(jīng)成為信息技術(shù)部門與企業(yè)管理人員最為關(guān)心的重點(diǎn)問(wèn)題。

　　從信息技術(shù)部門人員來(lái)說(shuō)，如何整合現(xiàn)有IT環(huán)境中的資源，將IT環(huán)境的管理由松散方式變?yōu)榧�中管理的方式，減輕日常管理維護(hù)負(fù)擔(dān)，提升IT生產(chǎn)力。從最終用戶來(lái)說(shuō)，如何能夠?qū)崿F(xiàn)單一的身份驗(yàn)證，快速的訪問(wèn)企業(yè)內(nèi)部的各種資源，較少的宕機(jī)時(shí)間也是最大的愿望。

　　1.3 問(wèn)題分析

　　由于歷史和技術(shù)發(fā)展方面的原因，現(xiàn)有企業(yè)內(nèi)部的IT環(huán)境是逐步建立起來(lái)的，而且在早期建立時(shí)由于沒(méi)有整體架構(gòu)的科學(xué)指導(dǎo)，導(dǎo)致目前的松散型IT環(huán)境越來(lái)越“臃腫”，客戶端、服務(wù)器各自獨(dú)立，形成一個(gè)個(gè)信息“孤島”，無(wú)法統(tǒng)一管理。在松散型管理的系統(tǒng)網(wǎng)絡(luò)環(huán)境中，一旦某個(gè)節(jié)點(diǎn)出現(xiàn)問(wèn)題需要定位出現(xiàn)問(wèn)題的位置，并需要繁瑣費(fèi)時(shí)的恢復(fù)過(guò)程來(lái)實(shí)現(xiàn)修復(fù)。生產(chǎn)系統(tǒng)應(yīng)用軟件的大規(guī)模部署需要相關(guān)人員在各個(gè)計(jì)算機(jī)上逐一手工安裝，極大耗費(fèi)人力與時(shí)間。

　　企業(yè)內(nèi)部的各種資源存在于員工的客戶端桌面計(jì)算機(jī)，服務(wù)器，以及其他各種設(shè)備之中，用戶需要獲取相關(guān)資源需要首先確定資源在哪一臺(tái)計(jì)算機(jī)中，并且要針對(duì)不同資源提供不同的登錄憑據(jù)（如用戶名/密碼等）來(lái)訪問(wèn)。另外存在數(shù)據(jù)資源重復(fù)現(xiàn)象，造成硬件資源的不合理占用。

　　信息技術(shù)部門制定的IT管理規(guī)范無(wú)法完全被最終用戶執(zhí)行，IT管理規(guī)范的制訂是為了防止信息系統(tǒng)出現(xiàn)如安全問(wèn)題等不穩(wěn)定狀況，但松散型管理模式的IT環(huán)境中由于信息技術(shù)人員無(wú)法監(jiān)控與統(tǒng)一管理企業(yè)內(nèi)部的桌面計(jì)算機(jī)與服務(wù)器等，該規(guī)范變?yōu)橐患埧瘴?無(wú)法被貫徹實(shí)施。

　　現(xiàn)階段，部分企業(yè)對(duì)IT環(huán)境的發(fā)展仍然缺乏整體和長(zhǎng)遠(yuǎn)考慮，還是按照老思路，簡(jiǎn)單考慮硬件及應(yīng)用軟件的采購(gòu)與建設(shè)，照此建設(shè)思路走下去，將會(huì)使目前的IT環(huán)境更加“臃腫”，更難于管理，最終導(dǎo)致生產(chǎn)力的降低。

　　2 總體功能需求

　　隨著以上闡述的問(wèn)題在企業(yè)內(nèi)部IT環(huán)境中越來(lái)越突出，企業(yè)存在以下需求：

　　2.1 集中的組織與管理網(wǎng)絡(luò)內(nèi)的服務(wù)器及客戶端

　　通過(guò)對(duì)網(wǎng)絡(luò)內(nèi)的服務(wù)器與客戶端計(jì)算機(jī)進(jìn)行集中式的管理，有助于消除早期“松散型”管理帶來(lái)的安全漏洞及其他影響IT系統(tǒng)穩(wěn)健運(yùn)行問(wèn)題，能夠保證企業(yè)制訂的IT管理規(guī)范可以通過(guò)計(jì)算機(jī)的邏輯方式派發(fā)給各個(gè)被管理的節(jié)點(diǎn)，并且通過(guò)集中管理的模式可以有效降低客戶端的維護(hù)工作量。

　　2.2 統(tǒng)一的數(shù)據(jù)組織與資源管理

　　實(shí)現(xiàn)統(tǒng)一的數(shù)據(jù)組織，如共享文件夾的發(fā)布，共享打印機(jī)的發(fā)布等等，并且能夠提供較為簡(jiǎn)單的信息檢索方式，快速查詢并定為所需的各種資源，實(shí)現(xiàn)資源的高效利用。另外統(tǒng)一的數(shù)據(jù)組織與資源管理可以有效減少數(shù)據(jù)冗余與資源浪費(fèi)，減輕IT環(huán)境的維護(hù)難度，提升企業(yè)生產(chǎn)力。

　　2.3 單一登錄的網(wǎng)絡(luò)環(huán)境

　　企業(yè)內(nèi)的普通員工計(jì)算機(jī)應(yīng)用能力有限，如何使員工一次登錄計(jì)算機(jī)后就可以訪問(wèn)其有權(quán)限訪問(wèn)的各種資源是提升生產(chǎn)效率，對(duì)于普通員工來(lái)說(shuō)更能感受到應(yīng)用信息技術(shù)能夠帶來(lái)更加快捷的工作效率，有助于提升信息系統(tǒng)的使用率。

　　2.4 集中化的軟件部署與運(yùn)行限制

　　企業(yè)希望在大規(guī)模部署某個(gè)應(yīng)用軟件時(shí)可以避免手工逐一安裝的低效率模式，而采用服務(wù)器/客戶端的網(wǎng)絡(luò)分發(fā)模式，并能對(duì)軟件的版本更新做到一定控制，并且可以制定哪些軟件可以被安裝在哪些用戶的計(jì)算機(jī)上。通過(guò)對(duì)軟件的運(yùn)行限制，限制客戶端計(jì)算機(jī)上所運(yùn)行的應(yīng)用軟件，使工作用計(jì)算機(jī)僅可以運(yùn)行特定應(yīng)用程序，與工作無(wú)關(guān)的應(yīng)用程序?qū)��?huì)被禁止運(yùn)行，提升系統(tǒng)安全性與最大化企業(yè)IT系統(tǒng)效能。

　　2.5 功能強(qiáng)大并易于擴(kuò)展的IT基礎(chǔ)架構(gòu)

　　企業(yè)希望現(xiàn)有的IT基礎(chǔ)架構(gòu)能夠提供較強(qiáng)的功能，如安全的身份驗(yàn)證，資源整合，軟硬件集中監(jiān)控、管理等，并且希望該基礎(chǔ)架構(gòu)支持較多的上層應(yīng)用，具有較強(qiáng)的可擴(kuò)展性，在未來(lái)的幾年中可以在現(xiàn)有底層IT架構(gòu)上實(shí)現(xiàn)更多的價(jià)值。實(shí)現(xiàn)IT投資的保值。

　　3 解決方案建議

　　基于上述情況，結(jié)合國(guó)內(nèi)外企業(yè)信息化的發(fā)展趨勢(shì)和經(jīng)驗(yàn)，同時(shí)參考IT技術(shù)的現(xiàn)有能力和發(fā)展走向，建議貴公司統(tǒng)籌安排、統(tǒng)一規(guī)劃，通過(guò)分步實(shí)施、集中建設(shè)的方式，構(gòu)建一個(gè)集中、統(tǒng)一、互聯(lián)互通高可管理性的基于活動(dòng)目錄的企業(yè)核心IT基礎(chǔ)架構(gòu)。

　　概念描述

　　活動(dòng)目錄是 Windows Server網(wǎng)絡(luò)體系結(jié)構(gòu)中一個(gè)基礎(chǔ)且不可分割的部分。它提供了一套為分布式網(wǎng)絡(luò)環(huán)境設(shè)計(jì)的目錄服務(wù)，使得組織機(jī)構(gòu)可以有效地對(duì)有關(guān)網(wǎng)絡(luò)資源和用戶的信息進(jìn)行共享和管理。另外，目錄服務(wù)在網(wǎng)絡(luò)安全方面也扮演著中心授權(quán)機(jī)構(gòu)的角色，從而使操作系統(tǒng)可以輕松地驗(yàn)證用戶身份并控制其對(duì)網(wǎng)絡(luò)資源的訪問(wèn)。

　　篇四：集團(tuán)域管理實(shí)施方案

　　為了加強(qiáng)集團(tuán)IT系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)的有效管控 提升集團(tuán)電腦系統(tǒng)技術(shù)支持的服務(wù)效率 為集團(tuán)移動(dòng)辦公提供安全支撐平臺(tái)

　　IT部前期已經(jīng)搭建模擬網(wǎng)絡(luò)測(cè)試環(huán)境，對(duì)域管理的各項(xiàng)技術(shù)及有關(guān)方案進(jìn)行了初步測(cè)試。在域服務(wù)器到位后，將對(duì)集團(tuán)內(nèi)部電腦系統(tǒng)，實(shí)施域管理。

　　一、域管理的好處

　　用戶集中管理，在辦公環(huán)境，用戶需要驗(yàn)證和授權(quán)，才能進(jìn)入集團(tuán)內(nèi)部網(wǎng)絡(luò) 加入了域管理的電腦，未經(jīng)授權(quán)，不能安裝非辦公需要的軟件，有效預(yù)防由于私自安裝第三方的軟件而引起的各種系統(tǒng)、網(wǎng)絡(luò)和資源占用等方面的問(wèn)題。

　　提升公司電腦系統(tǒng)的維護(hù)效率。用戶電腦系統(tǒng)補(bǔ)丁和升級(jí)（如Windows補(bǔ)丁升級(jí)、殺毒軟件升級(jí)、其他辦公軟件升級(jí)等），域服務(wù)器將統(tǒng)一自動(dòng)分發(fā)、安裝到域內(nèi)各桌面電腦。節(jié)省網(wǎng)絡(luò)帶寬資源，防止重要的系統(tǒng)補(bǔ)丁沒(méi)有及時(shí)安裝引起的安全隱患

　　對(duì)集團(tuán)用戶分類管理，根據(jù)實(shí)際情況，可對(duì)不同用戶組提供不同的服務(wù)（包括下載、軟件安裝、系統(tǒng)升級(jí)、授權(quán)等）

　　集中化資源管理，集團(tuán)各部門的工作文檔、軟件工具等統(tǒng)一歸檔在服務(wù)器上，各部門同事根據(jù)被授予了訪問(wèn)權(quán)限才能查閱域服務(wù)器統(tǒng)一管理網(wǎng)絡(luò)打印機(jī)等公共設(shè)備，每臺(tái)桌面電腦不需要安裝打印機(jī)就可打印文件資料

　　每個(gè)同事登陸和退出集團(tuán)網(wǎng)絡(luò)都有詳細(xì)的跟蹤記錄，可以監(jiān)控非法用戶的訪問(wèn) 根據(jù)需要，有效管理相關(guān)同事使用公司網(wǎng)絡(luò)的時(shí)間范圍 有效支持集團(tuán)未來(lái)移動(dòng)辦公的需求。

　　二、域管理的具體方法

　　（1）域規(guī)劃

　　1、建立AD域，命名為gloryharvestgroup.com

　　2、我們計(jì)劃建立單域的方式建立域控服務(wù)器，活動(dòng)目錄的邏輯結(jié)構(gòu)由域和組織單元（OU）組成。

　　3、組織單元（OU）是一個(gè)用來(lái)在域中創(chuàng)建分層管理單位的單元，在域控中將會(huì)按照部門劃分，暫時(shí)分為：集團(tuán)辦公室，人力資源部，財(cái)務(wù)部，信息管理部，工程管理部，法律事務(wù)部，礦產(chǎn)事業(yè)部，地產(chǎn)事業(yè)部，酒店事業(yè)部，煙草事業(yè)部等，以后如有調(diào)整，可以適時(shí)修

　　4、用戶名命名規(guī)則，兩個(gè)字采用全拼，如李強(qiáng)，用戶名為liqiang；三個(gè)字及以上采用首字全拼加后面拼音首字母，如黃繼光，用戶名為huangjg；另可以根據(jù)用戶自己需要采用英文名命名。

　　5、為保證域控穩(wěn)定安裝實(shí)施，我們采用分布式逐個(gè)部門進(jìn)行推廣。

　　（2）域管理實(shí)施

　　1. 只能域登陸

　　方法：為了規(guī)范管理，信息管理部收回并保留每臺(tái)電腦的管理員賬戶權(quán)限，給每個(gè)用戶一個(gè)域賬戶，并把域賬戶加入到本地的power users組

　　組策略：計(jì)算機(jī)配置-windows設(shè)置-安全設(shè)置-本地策略-用戶權(quán)限分配（慎用）

　　作用：避免用戶自己下載安裝軟件，影響計(jì)算機(jī)速度，同時(shí)減少計(jì)算機(jī)中毒的可能性，系統(tǒng)已安裝的軟件不變，如用戶還需要安裝新的軟件，請(qǐng)?zhí)崆耙惶焐暾?qǐng)，并告知信息管理部，本部門收到申請(qǐng)之后兩天之內(nèi)給予答復(fù)或者安裝。

　　方法：用advanced installer 7.6把要安裝的軟件打包為windows安裝程序包.msi，（具體過(guò)程參看附件--安裝軟件打包為msi方法.docx）然后將打包好的msi程序包分發(fā)指派給指定用戶，待用戶重啟后自動(dòng)安裝。（具體過(guò)程參看附件--分發(fā)指派msi程序包.docx）

　　作用：信息管理部可以遠(yuǎn)程為所有同事安裝對(duì)方所需要的軟件，方便維護(hù)。

　　3. 限制用戶使用部分軟件

　　方法：為了提高工作效率，限制QQ，暴風(fēng)影音等軟件的使用，可以通過(guò)域管理實(shí)現(xiàn)。

　　具體步驟參看附件--限制用戶使用部分軟件.doc：提高工作效率。

　　4. AD域管理網(wǎng)絡(luò)打印機(jī)

　　方法：通過(guò)在服務(wù)器上建立打印服務(wù)器，域用戶可以直接添加，無(wú)需下載驅(qū)動(dòng)。

　　具體步驟參考附件-- AD域管理網(wǎng)絡(luò)打印機(jī).doc。

　　作用：方便打印機(jī)的添加和管理

　　5. 規(guī)定每個(gè)同事使用辦公電腦的時(shí)間

　　方法：通過(guò)域策略，可以規(guī)定大部分同事使用辦公室電腦的時(shí)間，每周一到周五的8點(diǎn)到18點(diǎn)，其他時(shí)間和節(jié)假日等關(guān)閉公司網(wǎng)絡(luò)。具體參看附件--限制用戶登錄的時(shí)間.docx。

　　篇五：公司AD域控實(shí)施計(jì)劃

　　一: 公司搭建AD域管理的好處

　　1、方便管理,權(quán)限管理比較集中，管理人員可以較好的管理計(jì)算機(jī)資源。

　　2、安全性高，有利于企業(yè)的一些保密資料的管理，比如一個(gè)文件只能讓某一個(gè)人看,或者指定人員可以看,但不可以刪/改/移等。

　　3、方便對(duì)用戶操作進(jìn)行權(quán)限設(shè)置，可以分發(fā)，指派軟件等,實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)的軟件一起安裝。

　　4、很多服務(wù)必須建立在域環(huán)境中，對(duì)管理員來(lái)說(shuō)有好處:統(tǒng)一管理,方便在MS 軟件方面集成,如ISA EXCHANGE(郵件服務(wù)器)、ISA SERVER(上網(wǎng)的各種設(shè)置與管理)等。

　　5、使用漫游賬戶和文件夾重定向技術(shù)，個(gè)人賬戶的工作文件及數(shù)據(jù)等可以存儲(chǔ)在服務(wù)器上，統(tǒng)一進(jìn)行備份、管理，用戶的數(shù)據(jù)更加安全、有保障。

　　6、方便用戶使用各種資源。

　　7、SMS（System Management Server）能夠分發(fā)應(yīng)用程序、系統(tǒng)補(bǔ)丁等，用戶可以選擇安裝，也可以由系統(tǒng)管理員指派自動(dòng)安裝。并能集中管理系統(tǒng)補(bǔ)丁（如Windows Updates），不需每臺(tái)客戶端服務(wù)器都下載同樣的補(bǔ)丁，從而節(jié)省大量網(wǎng)絡(luò)帶寬。

　　8、資源共享

　　用戶和管理員可以不知道他們所需要的對(duì)象的確切名稱，但是他們可能知道這個(gè)對(duì)象的一個(gè)或多個(gè)屬性，他們可以通過(guò)查找對(duì)象的部分屬性在域中得到一個(gè)所有已知屬性相匹配的對(duì)象列表，通過(guò)域使得基于一個(gè)或者多個(gè)對(duì)象屬性來(lái)查找一個(gè)對(duì)象變得可能。

　　9、管理

　　A、域控制器集中管理用戶對(duì)網(wǎng)絡(luò)的訪問(wèn)，如登錄、驗(yàn)證、訪問(wèn)目錄和共享資源。為了簡(jiǎn)化管理，所有域中的域控制器都是平等的，你可以在任何域控制器上進(jìn)行修改，這種更新可以復(fù)制到域中所有的其他域控制器上。

　　B、域的實(shí)施通過(guò)提供對(duì)網(wǎng)絡(luò)上所有對(duì)象的單點(diǎn)管理進(jìn)一步簡(jiǎn)化了管理。因?yàn)橛蚩刂破魈峁┝藢?duì)網(wǎng)絡(luò)上所有資源的單點(diǎn)登錄，管理遠(yuǎn)可以登錄到一臺(tái)計(jì)算機(jī)來(lái)管理網(wǎng)絡(luò)中任何計(jì)算機(jī)上的管理對(duì)象。在NT網(wǎng)絡(luò)中，當(dāng)用戶一次登陸一個(gè)域服務(wù)器后，就可以訪問(wèn)該域中已經(jīng)開放的全部資源，而無(wú)需對(duì)同一域進(jìn)行多次登陸。但在需要共享不同域中的服務(wù)時(shí)，對(duì)每個(gè)域都必須要登陸一次，否則無(wú)法訪問(wèn)未登陸域服務(wù)器中的資源或無(wú)法獲得未登陸域的服務(wù)。

　　10、可擴(kuò)展性

　　在活動(dòng)目錄中，目錄通過(guò)將目錄組織成幾個(gè)部分存儲(chǔ)信息從而允許存儲(chǔ)大量的對(duì)象。因此，目錄可以隨著組織的增長(zhǎng)而一同擴(kuò)展，允許用戶從一個(gè)具有幾百個(gè)對(duì)象的小的安裝環(huán)境發(fā)展成擁有幾百萬(wàn)對(duì)象的大型安裝環(huán)境。

　　11、安全性

　　域?yàn)橛脩籼峁┝藛我坏牡卿涍^(guò)程來(lái)訪問(wèn)網(wǎng)絡(luò)資源，如所有他們具有權(quán)限的文件、打印機(jī)和應(yīng)用程序資源。也就是說(shuō)，用戶可以登錄到一臺(tái)計(jì)算機(jī)來(lái)使用網(wǎng)絡(luò)上另外一臺(tái)計(jì)算機(jī)上的資源，只要用戶具有對(duì)資源的合適權(quán)限。域通過(guò)對(duì)用戶權(quán)限合適的劃分，確定了只有對(duì)特定資源有合法權(quán)限的用戶才能使用該資源，從而保障了資源使用的合法性和安全性。

　　12、可冗余性

　　每個(gè)域控制器保存和維護(hù)目錄的一個(gè)副本。在域中，你創(chuàng)建的每一個(gè)用戶帳號(hào)都會(huì)對(duì)應(yīng)目錄的一個(gè)記錄。當(dāng)用戶登錄到域中的計(jì)算機(jī)時(shí)，域控制器將按照目錄檢查用戶名、口令、登錄限制以驗(yàn)證用戶。當(dāng)存在多個(gè)域控制器時(shí)，他們會(huì)定期的相互復(fù)制目錄信息，域控制器間的數(shù)據(jù)復(fù)制，促使用戶信息發(fā)生改變時(shí)（比如用戶修改了口令），可以迅速的復(fù)制到其他的域控制器上，這樣當(dāng)一臺(tái)域控制器出現(xiàn)故障時(shí)，用戶仍然可以通過(guò)其他的域控制進(jìn)行登錄，保障了網(wǎng)絡(luò)的順利運(yùn)行。

　　二: 公司AD域管理實(shí)施步驟及節(jié)點(diǎn)時(shí)間

　　1、 服務(wù)器選型及采購(gòu)，3-4個(gè)工作日，預(yù)計(jì)12月19號(hào)——12月23完成。

　　2、 服務(wù)器上架與系統(tǒng)安裝，1-2個(gè)工作日，預(yù)計(jì)12月24號(hào)——12月25完成。

　　3、 AD域控服務(wù)安裝與部署，1個(gè)工作日，預(yù)計(jì)12月26號(hào)完成。

　　4、 域控工作組及域用戶創(chuàng)建，并分配對(duì)應(yīng)權(quán)限，1-2個(gè)工作日，預(yù)計(jì)12月29號(hào)——12月30完成。

　　5、 添加客戶端用戶并加入域，1-2個(gè)工作日。期間需聯(lián)系金碟人員上門，調(diào)試金蝶服務(wù)器加入域后是否能正常使用，預(yù)計(jì)12月31號(hào)——2015年1月1號(hào)完成。

　　6、 在域控中創(chuàng)建文件共享，并結(jié)合實(shí)際需求給相關(guān)部門及員工分配共享文件訪問(wèn)權(quán)限。預(yù)計(jì)2015年1月2號(hào)——1月9號(hào)完成。

　　三: 域管理實(shí)施前后注意事項(xiàng)

　　1、 員工電腦加入域控，需提前備份好桌面上的文件資料。

　　2、 員工電腦加入域控，需提前備份好即時(shí)聊天工具，如QQ、MSN、淘寶，網(wǎng)易即時(shí)通等軟件的聊天記錄。

　　3、 如使用outlook郵件服務(wù)的員工，加入域控需提前備份好郵件通訊錄及郵件數(shù)據(jù)文件夾，F(xiàn)oxmail無(wú)需備份。

　　4、 裝有應(yīng)用服務(wù)端的服務(wù)器，加入域前需提前備份好服務(wù)端的數(shù)據(jù)庫(kù)文件。

　　5、 員工電腦加入域后，某些應(yīng)用軟件需重新安裝才能正常使用。

　　6、 員工電腦加入域后，之前設(shè)置好的掃描共享及文件共享需重新設(shè)置。

　　四: 總結(jié)

　　1、 第一，微軟基于AD的域模式，最大的優(yōu)點(diǎn)是實(shí)現(xiàn)了集中式管理。以前在無(wú)數(shù)客戶端要重復(fù)多次的設(shè)置，只要在域控制器上做一次設(shè)置就可以了。減少了管理員的工作量，減少了維護(hù)企業(yè)網(wǎng)絡(luò)的開支，降低了總體擁有成本。方便了管理。

　　2、 第二，對(duì)于域中的普通用戶來(lái)說(shuō)，原來(lái)是工作組形式，每個(gè)人都是本地計(jì)算機(jī)的管理員，想裝QQ裝QQ，想裝迅雷裝迅雷，人人都有最高權(quán)限。加入域模式后。普通的域用戶對(duì)客戶機(jī)的權(quán)限就減少很多，失去了對(duì)主機(jī)的控制。這樣做可以提高工作的效率，保證員工電腦及公司網(wǎng)絡(luò)的安全，符合公司整體利益。

　　3、 第三，AD域是一個(gè)大的安全邊界，用戶只要在登錄時(shí)驗(yàn)證了身份，這個(gè)域林中所有允許訪問(wèn)資源都可以直接訪問(wèn)，不用再做身份驗(yàn)證，也提高的效率減少了維護(hù)成本。