中大型企业域控实施方案(初稿)

域控制器是存储活动目录数据库的计算机 一个域最少一台域控制器 r1 r1 复制 复制 Us e Us e r2 r2 Us e Us e 3 r 多个域控制器需要同步数据库 Us e ser4

U
域控制器
域控制器
域 域
域树与子域
域树是共用连续域名空间的Windows域 （Benet.com.cn） 子域是向域树中添加的任何新域 （BJ.benet.com.cn）

林
林是由单个域树或者多个域树构成 林中的不同域树不共用连续的域名空间

子域
域、域树、域森林
根域下面可以建立多层子域 双向信任关系 双向信任关系 域和子域构建成域树 多棵域树构建成域森林
根
Abc.com Abc.com Beijing.abc.com Tianjin.abc.com Beijing.abc.com Tianjin.abc.com

——以上为前期公用电脑域控实施所做的工作
域概述
什么是Active Directory（活动目录）？ Active Directory是一个数据库 Active Directory是一个目录服务 可以定制Active Directory 简化的管理 可扩展性 便捷的网络资源访问
知识点引导

如下图所示，张建国成功地通过了身份验证，访问到了目标资源。
知识点引导

看完了这个实例之后，很多朋友可能会想，在工作组模式下 这个问题解决得很好啊，我们不是成功地实现了预期目标 嘛！没错，在这个小型网络中，确实工作组模型没有暴露出 什么问题。但是我们要把问题扩展一下！现在假设公司不是 一台服务器，而是100台服务器，这大致是一个中型公司的 规模，那么我们的麻烦就来了。
树
Xyz.com 域之间自动建立双向信任关系 Beijing.xyz.com Tianjin.xyz.com Xyz.com Beijing.xyz.com Tianjin.xyz.com
知识点引导

既然工作组不适合大型网络的管理要求，那我们就要重新审 视一下其他的管理模型了。
域模型
域树 域树
域
Domain
域
域
Domain
Domain
对象 对象
OU
OU
OU
域 域 OUOU-组织单位 组织单位
森林 森林
知识点引导

域模型是针对大型网络的管理需求而设计的，域就是 共享用户账号，计算机账号和安全策略的计算机集 合。 从域的基本定义中我们可以看到，域模型的设计中考 虑到了用户账号等资源的共享问题，这样域中只要有 一台计算机为公司员工创建了用户账号，其他计算机 就可以共享账号了。这样就很好地解决刚才我们提到 的账号重复创建的问题。域中的这台集中存储用户账 号的计算机就是域控制器，用户账号，计算机账号和 安全策略被存储在域控制器上一个名为Active Directory的数据库中。

目录服务概述
目录服务用来管理用户和计算机 目录服务可以帮助用户或应用程序查找或管理 目录中的信息 目录服务可以帮助用户增加、删除、或修改目 录中的对象信息

目录服务的作用
集中存储网络资源 简化管理工作 单个账户登录 强大的查询功能

Windows Server 2003 域概述
知识点引导

首先，如下图所示，我们在服务器上为张建国创建了用户账号。
ቤተ መጻሕፍቲ ባይዱ
知识点引导

然后在共享文件夹中进行权限分配，如下图所示，我们只把共享文件 夹的读权限授予了用户张建国。
知识点引导

好，接下来张建国就在客户机YY上准备访问服务器上的共享文件夹了，张建 国准备访问资源\\QQ\人事档案，服务器对访问者提出了身份验证请求，如 下图所示，张建国输入了自己的用户名和口令。

紧紧围绕陈总工作报告“保增长、强基础、抓机 遇、促发展”的工作思想。
内涵与作用



随着公司信息化的推进，信息技术改造传统产业并逐步实现信 息化推动工业化。制造业信息化将信息技术、自动化技术、现 代管理技术与制造技术相结合，带动产品设计方法和工具的创 新，企业管理模式的创新，企业间协作关系的创新，实现产品 设计制造和企业管理的信息化、生产过程控制的智能化、制造 装备的数字化、咨询服务的网络化，全面提升公司的竞争能 力。 而域控的出现，正是在这个环境下孕育而生。它就好比一个是 庞大的防护盖，可以把全公司所有电脑纳入Active Directory （活动目录）管理，由OU（组织单位）分布用户权限与功能， 从而实现系统化、标准化的整体管理模式。 这是信息战的开篇，我们信息科十分有信心把此项工作做好。

知识点引导
上述这个简单的例子说明的只是域强大功能的 冰山一角，其实域的功能远远不止这些。 信息科作为域控实施者的身份，还需要适当参 加微软课程专业培训，以便在使用过程中逐步 增加感性认识，对域有更加深入及全面的了 解，能够掌握好Active Directory这个微软工 程师必备的重要知识点，从而承担起实施域控 方案的重任。
知识点引导
我们这时要考虑一个问题，为什么工作组就不适合中大型网络 呢，难道每台计算机分散管理不好吗？下面我们通过一个例子 来讨论这个问题。 假设现在工作组内有两台计算机，一台是服务器QQ，一台是客 户机YY。服务器的职能大家都知道，无非是提供资源和分配资 源。服务器提供的资源有多种形式，可以是共享文件夹，可以 是共享打印机，可以是电子邮箱，也可以是数据库等等。现在 服务器QQ提供一个简单的共享文件夹作为服务资源，我们的任 务是要把这个共享文件夹的访问权限授予公司内的员工张建 国，注意，这个文件夹只有张建国一个人可以访问！那我们就 要考虑一下如何才能实现这个任务，一般情况下管理员的思路 都是在服务器上为张建国这个用户创建一个用户账号，如果访 问者能回答出张建国账号的用户名和密码，我们就认可这个访 问者就是张建国。基于这个朴素的管理思路，我们来在服务器 上进行具体的实施操作。
Printer1 Printer1
——总结2010年公用电脑实施域服务的经验
内容回顾
工作组的特性 本地用户管理

创建 设置 更改密码 删除

本地组管理
创建本地组 内置组
内容回顾
Windows Server 2003 环境下域的特性和组成 主控制器域环境的创建 OU（组织单位）的基本应用 域环境下用户账户和组的应用

目标与任务
通过域控服务，建立一个可以集中化管理的网络 环境，为企业网络安全及ERP建设打好基础。
工作内容


组建华友钴业 （HuaYouAd.Com）域控制器 通过OU（组织单元）部署公 司部门级帐户 通过GPMC(组策略编辑器和组 策略管理控制台)把全公司计 算机帐户纳入集中管理 在客户端进行实施加入域， 实施域控整体方案。
主要人员
域控实施小组组长：xxx 组员：xxx，xxx，xxx

域控硬件提供商：xxx公司及金牌代理点 实施技术顾问：由硬件提供商派遣3-4人

评估
讨论项目成果的评估方法 1.对比 2.考察 对后续工作带来的影响 1.计算机帐号权限的管理 2.网络安全的考虑 3.统一部署

认可

列出出域控实施后来带 的成果 在管理、维护、技术应 用上取得的成绩
知识点引导
为什么是这样的呢？

因为在加入域的时候，管理员为每个计算机在域中（可和用户不在同一域 中）建立了一个计算机帐户，这个帐户和用户帐户一样，也有密码保护的。 可是大家要问了，我没有输入过什么密码啊，是的，你确实没有输入，计算 机帐户的密码不叫密码，在域中称为登录票据，它是由2003的DC（域控制 器）上的KDC服务来颁发和维护的。为了保证系统的安全，KDC服务每30天会 自动更新一次所有的票据，并把上次使用的票据记录下来。周而复始。也就 是说服务器始终保存着2个票据，其有效时间是60天，60天后，上次使用的 票据就会被系统丢弃。如果你的GHOST备份里带有的票据是60天的，那么该 计算机将不能被KDC服务验证，从而系统将禁止在这个计算机上的任何访问 请求（包括登录），解决的方法呢，简单的方法使将计算机脱离域并重新加 入，KDC服务会重新设置这一票据。或者使用2003资源包里的NETDOM命令强 制重新设置安全票据。因此在有域的环境下，请尽量不要在计算机加入域后 使用GHOST备份系统分区，如果作了，请在恢复时确认备份是在60天内作 的，如果超出，就最好联系你的系统管理员，你可以需要管理员重新设置计 算机安全票据，否则你将不能登录域环境。这个也是在信息科周会时我反对 的主要原因。
主要收益
陈述所提议的项目可提供的收益 必要时，从多个方面进行论述

时间表

将项目拆分为多个阶段并制订每一阶段的时间表
说明 开始日期和完成日期 4月中旬 4月下旬 5月上旬 5月中旬 人员培训 内部讨论 招标采购 组织实施
第一阶段 第二阶段 第三阶段 第四阶段
预算




域控技术培训费用预计 人民币1万元 主域控制器服务器费用预计 人民币40万元 副控制器服务器费用预计 人民币30万元 数字KVM+双机热备软件费用预计 人民币7万元 实施费用预计 人民币6万元
域是基本管理单位 域中可包含大量对象

计算机 用户 打印机 共享文件夹
域控制器 域控制器 Domain OU1 Computers Computer1 Users User1 OU2 Users User2 Printers Printer1
域 域

域是活动目录的组成部分
域控制器
xxxxxxxxx有限公司
[域控实施方案] 初稿
盛利强 2011-3-22
域控实施方案
2011年主要工作及重要事项 内涵与作用 目标与任务 工作内容 组织实施 机制保障

中心思想 是什么 做什么 …… 怎么做 ……
2011年信息科工作重点
计算机信息与网络的制度建设与完善。 保障公司信息化设施安全顺畅运行。 在现有制度的基础上，出台或完善相关制度。 上述工作基础上实现全公司电脑域控管理工作。

组织实施
针对上述整个工作内容的安排 具体实施步骤以“Windows Server 2003 域”为 概述对象进步较为详细的阐述

实施Windows Server 2003域
域控制器 域控制器
OU1 OU1
域 域 OU2 OU2
User1 User1
Computer1 Computer1
User2 User2
知识点引导
域和组的区别？


工作组是一群计算机的集合，它仅仅是一个逻辑的集 合，各自计算机还是各自管理的，你要访问其中的计 算机，还是要到被访问计算机上来实现用户验证的。 而域不同，域是一个有安全边界的计算机集合，在同 一个域中的计算机彼此之间已经建立了信任关系，在 域内访问其他机器，不再需要被访问机器的许可了。
知识点引导
为什么需要域？



对很多刚开始准备使用微软域服务的朋友来说，域是一个让他 们感到很头疼的对象。就好比一个数学老师强行让他去教语文 一样。然，可喜的事我们有一个钻研、激情、敬业的团队。 域的重要性毋庸置疑，微软的重量级服务产品基本上都需要域 的支持。但域对初学者来说显得复杂了一些，众多的技术术 语，例如Active Directory，站点，组策略，复制拓扑，操作 主机角色，全局编录等。很多企业也正是因为实施域控过于复 杂，或者是简单分布几个用户，或者干脆弃之不管，这些都是 我们现在所要关注的问题，只有做好充足的准备，方能一战致 胜。 众所周知，微软管理计算机可以使用域和工作组两个模型，默 认情况下计算机安装完操作系统后是隶属于工作组的。对工作 组特点的描述，例如工作组属于分散管理，适合小型网络等。
知识点引导
如果这100台服务器上都有资源要分配给张建国，那会有 什么样的后果呢？ 由于工作组的特点是分散管理，那么意味着每台服务 器都要给张建国创建一个用户账号！张建国这个用户 就必须痛不欲生地记住自己在每个服务器上的用户名 和密码。而服务器管理员也好不到哪儿去，每个用户 账号都重新创建100次！如果公司内有1000人呢？我们 难以想象这么管理网络资源的后果，这一切的根源都 是由于工作组的分散管理！ 现在大家明白为什么工作组不适合在中大型的网络环 境下工作了吧，工作组这种散漫的管理方式和中大型 网络所要求的高效率是背道而驰的。